企業合規與反賄賂管理系統整合初輯（三之三）

（續前篇）

ISO 37001:2025 及 ISO 37301:2021

適合讀者：大學以上程度｜法規、合規、反賄賂、符合性、中小企業（100人以下）實務產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢專業符合性、反賄賂顧問或相關驗證機構。文中提及資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ISO官方網站和歐盟資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。

8. 營運控制與反賄賂實務 (Operational Control & Anti-Bribery)

營運控制是落實 ISO 37001 條款 8 的核心。此處不僅是文件的堆砌，而是對每一筆交易的動態監管。

8.1 商業夥伴的盡職調查實作 (條款 8.2 與 Annex A.10)

對於中小企業（SME），盡職調查深度應與風險掛鉤。調查因素包含：

• 合法性查證： 檢查公司註冊文件、實益擁有人 (UBO) 資訊。
• 能力評估： 該夥伴是否具備履行合約所需的實際資質與經驗？(Annex A.10.3)
• 紅旗信號識別： 夥伴是否堅持在「稅務天堂」付款？是否要求支付異常高額的佣金？是否拒絕簽署反賄賂承諾書？

8.2 財務控制：職能分離的藝術 (條款 8.3 與 Annex A.11)

即使只有 50 人的公司，也應遵循「三權分立」原則：

1. 發起人： 業務人員提出採購或付款申請。
2. 審核人： 部門主管或符合法規人員確認必要性。
3. 執行人： 財務人員核對單據後匯款。 禁止同一人完成從「採購申請」到「款項支付」的全流程。

8.3 非財務控制：透明的採購流程 (條款 8.4 與 Annex A.12)

• 三方比價原則：除非有充分理由，否則重大採購應至少有三家供應商參與。
• 決策委員會制：對於高價值的合同授予，應由至少兩人共同簽字，以減少單一決策者的腐敗機會。

8.4 禮品、招待、捐贈與類似利益 (條款 8.7 與 Annex A.15)

企業應制定具體的「限額清單」。例如：

• 日常招待：單人餐費不超過新台幣 2,000 元，且需記錄在案。
• 敏感時機：在投標、談判期間，嚴禁接受任何形式的招待。
• 慈善捐贈：必須確保受贈方為合法的公益組織，嚴防捐贈成為賄賂公職人員家屬的掩護（Annex A.15.4）。

連接語：制度再嚴密也難免出現偏差，如何識別並矯正偏差決定了系統的生命力。

圖一：實務可行性評估

9. 實例分析、常見失誤與矯正措施 (Case Study & Corrective Actions)

9.1 案例分析：Facilitation Payments 的紅線 (Annex A.2.2.1)

某 50 人規模的電子組裝廠在拓展新南向市場時，面臨海關人員索取「加班費」以加快清關。該廠負責人認為這是當地常態（便利支付），遂予以支付。在 ISO 37001 架構下，此種行為係視為「賄賂」，因為該行為係誘使官員履行其應盡職責。

• 矯正建議： 根據條款 10.2，企業應立即停止此支付，並修改符合法規的作業手冊。應要求員工在面臨此類要求時，要求對方提供「官方收據」，若無法提供則予以拒絕。
• 例外情形： 若官員以威脅人身安全為由索賄（勒索支付，Extortion），則人員安全優先。但在事後必須立即向符合法規職能報告並正確記錄於賬目中（Annex A.2.2.3）。

9.2 中小企業常見的三個管理失誤

1. 管理階層豁免： 制度只管基層，老闆卻可以「彈性處理」應酬，這將徹底瓦解符合法規文化。
2. 形式化盡職調查： 僅讓商業夥伴簽一份倫理聲明書，卻未核實其背後的實質利益擁有者。
3. 缺乏追蹤機制： 對於稽核中發現的異常支付，僅作口頭訓誡，未進行根本原因分析（Root Cause Analysis）。

連接語： 透過矯正措施提升韌性後，最後一步是透過正式的查證與報告為利益相關者提供信心。

10. 查證、確證方式與符合法規報告 (Verification & Reporting)

符合法規管理必須具備「可稽核性」（Auditability），即使是 100 人以下的中小企業，仍須賴此建立國際信譽的基礎。

10.1 風險導向的內部稽核 (條款 9.2)

中小企業不需要聘請龐大的稽核團隊，但必須確保稽核的「客觀性與公正性」。

• 方法建議： 採用「風險導向抽樣」。針對新進入的市場、大額訂單、以及佣金比例異常的合同進行專項稽核。稽核員必須「不能稽核自己的工作」（條款 9.2.4）。

10.2 符合法規報告的必要內容

每年度產出的符合法規報告應包含：

• 不符合項統計： 包含此前偏差事項及其矯正措施的執行現況。
• 風險評鑑更新： 特別是針對氣候變遷、利害相關或數位化工具引入後的風險變更。
• 舉報處理結果： 匿名案件的數量與處理進度（前提是保護相關人等的隱私權）。

10.3 查證 (Verification) 與確證 (Validation) 的區別

• 查證： 確認「組織是否有按規定簽名？」（過程符合法規要求）。
• 確證： 確認「目前的簽名審批流程真的能攔截賄賂嗎？」（結果有效果）。

連接語： 查證後的持續追蹤是保持系統生命力的關鍵，特別是面對標準的改版時程。

11. 後續追蹤事項與持續改進 (Follow-up & Continual Improvement)

持續改進（Clause 10.1）不是目標，而是過程。符合法規系統必須隨著業務的擴張而同步進化。

11.1 管理評審後的關鍵追蹤

在每年度的管理評審後，最高管理者應追蹤以下事項：

1. 資源充足性： 兼職的符合法規人員是否已經超越負荷界限？
2. 技術有效性： 人工智慧（AI） 監控工具是否產生過多偽陽性訊號？
3. 第三方管理： 商業夥伴的符合法規承諾是否如期履行？

11.2 ISO 37001:2025 的轉換時程 (IAF MD 30:2025)

根據國際認可論壇 (IAF) 的正式時程，企業必須注意以下關鍵節點：

• 2025年2月28日：ISO 37001:2025正式發布
• 2025 年 10 月 10 日：IAF MD 30:2025發布並生效；
• 2025 年 11 月 30 日： 驗證機構 (CB) 需向AB提交自我聲明。
• 2026 年 2 月 28 日： 認可機構(AB)完成對驗證機構(CB)的轉換決定。
• 2026 年 8 月 31 日起： 所有「初次認證」與「重新認證」稽核必須僅能採用 ISO 37001:2025。
• 2027 年 2 月 28 日： 過渡期結束的最終期限。所有ISO 37001:2016 版證書失效。
• 特別提醒： 關於氣候變遷的「修正案ISO 37001:2016/amd 1:2024」已於2024年2月發布，已併入2025年版，該版本要求組織確定氣候變遷是否為相關議題，不可等待 2027 年。

連接語： 掌握了時程後，即可對整份報告進行戰略性總結。

12. 總結 (Conclusion)

對於員工人數在 100 人以下的企業而言，建立整合的符合法規與反賄賂管理系統絕非「成本負擔」，而是一項高品質的「戰略資產」。透過將 ISO 37301:2025 的治理架構與精準控制相結合，中小企業可以向全球客戶傳遞一個明確的訊號：即便組織的體量及規模有限，但組織在誠信與專業治理上與國際標準齊頭並進。

符合法規是降低「不確定性」的唯一途徑。當企業建立了堅固的誠信 DNA，員工在誘惑面前將更有底氣，商業夥伴也將更願意建立長期且深度的合作關係。實務上給予企業經營者的最後戰略建議是：「始於高層，行於業務，重於文化」。 不要等到競爭對手都拿到了證書才開始行動，及早開始就是將符合法規轉化為競爭力的最佳時刻。

13. 引用參考文件 (References)

• ISO 37001:2025 - 反賄賂管理系統：要求及使用指南 (第 2 版)。
• ISO 37301:2021 - 合規管理系統：要求及使用指南。（參見GB/T 35770-2022）
• ISO 37001:2016/Amd 1:2024 – 增補氣候變遷修正條款。
• IAF MD 30:2025 - ISO 37001:2025 轉換要求。
• ISO 37000:2021 - 組織治理：指南。
• 聯合國反腐敗公約 (UNCAC)。
• OECD 反賄賂公約。

（本篇完）