ISO 37001:2025 及 ISO 37301:2021
| 適合讀者:大學以上程度|法規、合規、反賄賂、符合性、中小企業(100人以下)實務產業界從業人員 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢專業符合性、反賄賂顧問或相關驗證機構。文中提及資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱ISO官方網站和歐盟資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
8. 營運控制與反賄賂實務 (Operational Control & Anti-Bribery)
營運控制是落實 ISO 37001 條款 8 的核心。此處不僅是文件的堆砌,而是對每一筆交易的動態監管。
8.1 商業夥伴的盡職調查實作 (條款 8.2 與 Annex A.10)
對於中小企業(SME),盡職調查深度應與風險掛鉤。調查因素包含:
- 合法性查證:
檢查公司註冊文件、實益擁有人 (UBO) 資訊。
- 能力評估:
該夥伴是否具備履行合約所需的實際資質與經驗?(Annex A.10.3)
- 紅旗信號識別:
夥伴是否堅持在「稅務天堂」付款?是否要求支付異常高額的佣金?是否拒絕簽署反賄賂承諾書?
8.2 財務控制:職能分離的藝術 (條款 8.3 與 Annex A.11)
即使只有 50 人的公司,也應遵循「三權分立」原則:
- 發起人:
業務人員提出採購或付款申請。
- 審核人:
部門主管或符合法規人員確認必要性。
- 執行人:
財務人員核對單據後匯款。
禁止同一人完成從「採購申請」到「款項支付」的全流程。
8.3 非財務控制:透明的採購流程 (條款 8.4 與 Annex A.12)
- 三方比價原則:除非有充分理由,否則重大採購應至少有三家供應商參與。
- 決策委員會制:對於高價值的合同授予,應由至少兩人共同簽字,以減少單一決策者的腐敗機會。
8.4 禮品、招待、捐贈與類似利益 (條款 8.7 與 Annex A.15)
企業應制定具體的「限額清單」。例如:
- 日常招待:單人餐費不超過新台幣 2,000 元,且需記錄在案。
- 敏感時機:在投標、談判期間,嚴禁接受任何形式的招待。
- 慈善捐贈:必須確保受贈方為合法的公益組織,嚴防捐贈成為賄賂公職人員家屬的掩護(Annex A.15.4)。
連接語:制度再嚴密也難免出現偏差,如何識別並矯正偏差決定了系統的生命力。
圖一:實務可行性評估
9. 實例分析、常見失誤與矯正措施 (Case Study & Corrective Actions)
9.1 案例分析:Facilitation
Payments 的紅線 (Annex A.2.2.1)
某 50 人規模的電子組裝廠在拓展新南向市場時,面臨海關人員索取「加班費」以加快清關。該廠負責人認為這是當地常態(便利支付),遂予以支付。在 ISO 37001 架構下,此種行為係視為「賄賂」,因為該行為係誘使官員履行其應盡職責。
- 矯正建議:
根據條款 10.2,企業應立即停止此支付,並修改符合法規的作業手冊。應要求員工在面臨此類要求時,要求對方提供「官方收據」,若無法提供則予以拒絕。
- 例外情形:
若官員以威脅人身安全為由索賄(勒索支付,Extortion),則人員安全優先。但在事後必須立即向符合法規職能報告並正確記錄於賬目中(Annex A.2.2.3)。
9.2 中小企業常見的三個管理失誤
- 管理階層豁免:
制度只管基層,老闆卻可以「彈性處理」應酬,這將徹底瓦解符合法規文化。
- 形式化盡職調查:
僅讓商業夥伴簽一份倫理聲明書,卻未核實其背後的實質利益擁有者。
- 缺乏追蹤機制:
對於稽核中發現的異常支付,僅作口頭訓誡,未進行根本原因分析(Root Cause Analysis)。
連接語: 透過矯正措施提升韌性後,最後一步是透過正式的查證與報告為利益相關者提供信心。
10. 查證、確證方式與符合法規報告 (Verification & Reporting)
符合法規管理必須具備「可稽核性」(Auditability),即使是 100 人以下的中小企業,仍須賴此建立國際信譽的基礎。
10.1 風險導向的內部稽核 (條款 9.2)
中小企業不需要聘請龐大的稽核團隊,但必須確保稽核的「客觀性與公正性」。
- 方法建議:
採用「風險導向抽樣」。針對新進入的市場、大額訂單、以及佣金比例異常的合同進行專項稽核。稽核員必須「不能稽核自己的工作」(條款 9.2.4)。
10.2 符合法規報告的必要內容
每年度產出的符合法規報告應包含:
- 不符合項統計:
包含此前偏差事項及其矯正措施的執行現況。
- 風險評鑑更新:
特別是針對氣候變遷、利害相關或數位化工具引入後的風險變更。
- 舉報處理結果:
匿名案件的數量與處理進度(前提是保護相關人等的隱私權)。
10.3 查證 (Verification) 與確證 (Validation) 的區別
- 查證:
確認「組織是否有按規定簽名?」(過程符合法規要求)。
- 確證:
確認「目前的簽名審批流程真的能攔截賄賂嗎?」(結果有效果)。
連接語: 查證後的持續追蹤是保持系統生命力的關鍵,特別是面對標準的改版時程。
11. 後續追蹤事項與持續改進 (Follow-up & Continual Improvement)
持續改進(Clause 10.1)不是目標,而是過程。符合法規系統必須隨著業務的擴張而同步進化。
11.1 管理評審後的關鍵追蹤
在每年度的管理評審後,最高管理者應追蹤以下事項:
- 資源充足性:
兼職的符合法規人員是否已經超越負荷界限?
- 技術有效性:
人工智慧(AI) 監控工具是否產生過多偽陽性訊號?
- 第三方管理:
商業夥伴的符合法規承諾是否如期履行?
11.2 ISO 37001:2025 的轉換時程 (IAF MD
30:2025)
根據國際認可論壇 (IAF) 的正式時程,企業必須注意以下關鍵節點:
- 2025年2月28日:ISO 37001:2025正式發布
- 2025 年 10 月
10 日:IAF MD 30:2025發布並生效;
- 2025 年 11 月 30 日:
驗證機構 (CB) 需向AB提交自我聲明。
- 2026 年 2 月 28 日:
認可機構(AB)完成對驗證機構(CB)的轉換決定。
- 2026 年 8 月 31 日起:
所有「初次認證」與「重新認證」稽核必須僅能採用
ISO 37001:2025。
- 2027 年 2 月 28 日:
過渡期結束的最終期限。所有ISO 37001:2016 版證書失效。
- 特別提醒:
關於氣候變遷的「修正案ISO 37001:2016/amd 1:2024」已於2024年2月發布,已併入2025年版,該版本要求組織確定氣候變遷是否為相關議題,不可等待 2027 年。
連接語: 掌握了時程後,即可對整份報告進行戰略性總結。
12. 總結 (Conclusion)
對於員工人數在 100 人以下的企業而言,建立整合的符合法規與反賄賂管理系統絕非「成本負擔」,而是一項高品質的「戰略資產」。透過將 ISO 37301:2025 的治理架構與精準控制相結合,中小企業可以向全球客戶傳遞一個明確的訊號:即便組織的體量及規模有限,但組織在誠信與專業治理上與國際標準齊頭並進。
符合法規是降低「不確定性」的唯一途徑。當企業建立了堅固的誠信 DNA,員工在誘惑面前將更有底氣,商業夥伴也將更願意建立長期且深度的合作關係。實務上給予企業經營者的最後戰略建議是:「始於高層,行於業務,重於文化」。
不要等到競爭對手都拿到了證書才開始行動,及早開始就是將符合法規轉化為競爭力的最佳時刻。
13. 引用參考文件 (References)
- ISO 37001:2025 - 反賄賂管理系統:要求及使用指南 (第 2 版)。
- ISO 37301:2021 - 合規管理系統:要求及使用指南。(參見GB/T 35770-2022)
- ISO 37001:2016/Amd 1:2024 – 增補氣候變遷修正條款。
- IAF MD 30:2025 - ISO 37001:2025 轉換要求。
- ISO 37000:2021 - 組織治理:指南。
- 聯合國反腐敗公約 (UNCAC)。
- OECD 反賄賂公約。
