中兴通讯基于ISO 37001的反贿赂管理体系建设和认证实践分享

　　一、前述

　　自国际标准化组织（International Organization for Standardization, ISO）于2016年10月发布《IS0 37001：2016 反贿赂管理体系要求及使用指南》以来，中兴通讯就积极地依据该国际标准搭建和持续维护公司的反贿赂管理体系，并于2020年11月成功获得该体系的认证证书，成为国内首家获得由英国标准协会（British Standards Institution，BSI）认证并带有ANAB认可的（美国国家标准协会—美国质量学会认证机构认可委员会，ANSI-ASQ National Accreditation Board）ISO 37001证书的中国企业。2021年7月，中兴通讯再次接受BSI对该证书的监督审核，并以扎实的体系运行和持续改进成绩又一次获得其认可；尤其是在领导作用贯穿体系管理、贿赂风险评估工具多元化、IT系统数字化管理能力提升、员工合规意识宣贯和培训的方式方法多样化、反贿赂持续监督管理的多层级化等体系持续优化的工作方面获得BSI审核组的高度肯定。

　　为充分践行“让沟通与信任无处不在”的公司愿景，促进行业在反贿赂合规领域的“共建、共赢”，积极推进“公平、公正、公开”廉洁营商环境的形成，笔者拟就中兴通讯基于ISO 37001反贿赂管理体系的应用和认证实践的经验积累，推出反贿赂管理体系搭建、运行、维护和持续改进的系列文章，以飨读者。

　　根据中兴通讯反贿赂管理体系从“无”到“有”再到“精”的生命进阶历程，本系列将包含“体系概论”、“风险评估”、“体系策划”、“组织保障”、“资源保障”、“政策制定及落地执行”、“合规意识宣贯及培训”、“流程管控”、“合规调查”、“持续监督”、“体系持续改进”及“认证申请筹备”和“认证审核响应”等短文章。

　　作为“体系概论”部分，本文主要对中兴通讯与ISO 37001的结缘、ISO 37001贯标中面临的问题与挑战、反贿赂管理体系要素做简要介绍，为后续各主题的论述和经验分享做铺垫。

　　

　　二、与ISO 37001反贿赂管理体系的结缘

　　“腐败”是一个全球性问题，一方面，腐败不仅通过分散公众资源对健康、教育和基础设施等重要领域的投入，阻碍国家和社会的经济发展；另一方面，腐败对于正当商业来说也是不好的。它不利于竞争，致使价格畸形，置不行贿的诚信商业于不利的境地。因此，在ISO 37001发布之前，各国政府就通过利用国际公约——如世界经济合作与发展组织的《禁止在国际商业交易中贿赂外国公职人员公约》（Convention on Combating Bribery of Foreign Public Officials in International Business Transactions）和《联合国反腐败公约》（United Nations Convention Against Corruption）——及其国内法如《反海外腐败法》（The U.S. Foreign Corrupt Practices Act , FCPA）、《反贿赂法案》（the UK Bribery Act 2010, UKBA）、《萨宾第二法案》（Sapin Ⅱ）等对贿赂、腐败行为的行为进行治理，使组织和个人都须为其贿赂行为承担责任。因此，在2016年10月以前——中兴通讯尚未建立反贿赂管理体系前，主要依据业务所在地/国的法律法规及其执法实践和指南、国际公约、透明国际、世界银行、经合组织等国际权威机构的良好实践指导公司在全球业务的反贿赂合规遵从。尤其是美国司法部发布的《美国反海外腐败法信息指引》（A Resource Guide to the U.S. Foreign Corrupt Practices Act）、《企业合规计划评估》(Evaluation of Corporate Compliance Programs，ECCP)对企业的实操指导意义较大。

　　然而，正如ISO 37001 前言中所提及：“仅靠法律并不足以解决贿赂问题。因此，组织有义务主动打击贿赂”；这也正是ISO 37001反贿赂管理体系国际标准应运而生的生命力所在。ISO 37001标准的研制工作自2013年下半年启动，中兴通讯在标准的制定过程中，前后多次通过该标准的技术委员会——ISO/TC 309组织治理技术委员会（前称为ISO/PC 278 反贿赂项目委员会）的中方代表团研提公司在企业合规治理中面临的实务问题及可能的解决方案。经过来自全球近60个国家多名专家、学者的多轮磋商、研讨；2016年10月，ISO 37001在经历长达三年之久的锤炼后付梓印刷。中兴通讯在该标准发布的第一时间启动了对公司合规人员的贯标培训；并自此开始投入资源不断研究和探讨该标准及其要求在公司内部的贯标落地。

　　

　　三、ISO 37001贯标中面临的问题与挑战

　　ISO 37001在中兴通讯的贯标是一个长期而又充满挑战的过程。具体来说，我们主要面临的问题与挑战有：

　　（一）ISO 37001贯标的必要性

　　如前述，在ISO 37001国际标准发布以前，如透明国际、世界银行、经合组织等国际组织和一些国家均已出台反腐败、反贿赂相关的指引和法律法规要求，且已有部分企业根据上述相关指引或法律法规的要求制定了企业的内部合规政策和指引，中兴通讯亦已发布了公司的相关指引。在此情形下，是否有必要导入ISO 37001?

　　答案是显而易见的，基于：

　　1、ISO 37001提供的是体系化合规风险治理的方法论

　　我们知悉，PDCA循环——即Plan(计划)、Do(执行)、Check(检查)和Act(处理)是ISO 3700的核心思想，它能够指导企业建立并关注合规风险的预防（Prevent）、发现（Detect）和响应（Respond）等方面的管控措施，确保对风险的治理不止步于任一环节，而是贯穿于风险全生命周期的闭环管理，进而能够真正做到消除滋生“风险”的土壤。这也是现行的相关国际公约、国际组织的指引、国家法律法规及其指引、行业良好实践在一定程度上所欠缺的。

　　2、基于ISO 37001的管理体系可成为商业信任的抓手

　　为确保合作伙伴遵从所适用的反腐败、反贿赂法律法规及商业道德或建立合规信任关系，业务实践中，如招标期间或业务开展前或过程中，企业通常会要求其合作伙伴提供合规体系的举证或被要求提供举证。通常，部分企业1）会提供诸如《商业行为准则》（Code of Conduct）、《反腐败或反贿赂政策》（Anti-Corruption or Anti-Bribery Policy）、《供应商行为准则》（Supplier Conduct of Conduct）等；另有部分企业2）会以内部政策包含公司商业秘密不宜发送为由，亦有部分3）可能因本身缺乏相关制度安排而无法举证。针对1）种情形，企业可能会因具备有效或同等要求的管控要求而可被豁免签署相关合规法律文件；针对2）和3）情形，企业则可能被要求签署相关合规法律文件，以强化企业对合规义务的遵从和认知。

　　除上述情形外，还存在部分企业在开展商业合作或对商业伙伴进行供应商评价时，会要求或被要求提供4）是否获得ISO 37001的证书或是否有计划获得该证书。作为A类标准，ISO 37001可用于认证机构评估企业管理是否满足要求的依据并向企业出具认证证书；该证书可用于上述4）情形的有力举证，从而助力于企业获得商业成功。

　　（二）“腐败”与“贿赂”孪生关系处理

　　根据ISO 37001的条文，该标准中的贿赂（Bribery）既包括商业贿赂（行贿）、也包含腐败（受贿、贪腐）等行为的治理要求；但该标准同时也指出组织（企业）应基于自身的风险来建立和维护自我的反贿赂管理体系。

　　目前，我们从一些国际知名企业的官网所公布的其反腐败、反贿赂合规政策可以了解到：当前存在部分企业的反贿赂合规政策中仅囊括“商业贿赂”的部分，部分企业的反腐败政策中则仅囊括“反腐败”部分——国内企业以此种实践的居多，亦有部分企业的则是“商业贿赂”和“反腐败”两部分的内容都包含了——国际企业以此种实践的居多。在贯标过程中，我们面临的一个问题是如何处理好这两者的关系，因为这涉及到企业的风险偏好设定。从法律和合规风险来看，企业对“商业贿赂”的治理具有法定的义务和责任，特别是根据美国的《反海外腐败法》、英国《反贿赂法案》、法国的《萨宾第二法案》等，而企业对“内部腐败”的治理则没有法定义务和责任，仅是企业基于自身良好公司治理的内部驱动和诉求。这两者关系的厘清，对于公司风险偏好的设定意义重大。中兴通讯在基于公司内部治理和法定义务遵从的多重因素综合考虑下，由公司高层设定了由公司合规部门负责“商业贿赂”合规治理部分的工作，并由公司内控审计部门负责“腐败”内控治理部分的工作。

　　这一风险偏好的设置和在此强调，是因为在本文的后续章节以及本系列的其它文章中，除有特别说明，文章所指反贿赂管理体系更多是指我司在“商业贿赂”合规治理方面的实践。鉴于反腐败内控治理部分国内已有诸多的文献进行论述，本文在此就不赘述。

　　（三）基于风险管控的合理和适当原则

　　合规体系的建设，对企业来说，离不开资源的配置和投入。究竟投入多大的资源为最佳？对此，ISO 37001中多次提到合理（Reasonable）和适当（Proportionate）的原则，那么在业务操作层面，企业应如何把握基于风险治理及资源投入比例的合理性和适当性。我们可从以下两个小场景中做一些抛砖引玉的探讨。

　　1、风险的零容忍与违规行为的零容忍

　　“零容忍态度”是一个在风险或违规行为管理中常被提及的高频词，却也常被曲解为对风险本身的零容忍，这可能导致企业采取“一刀切”的管理措施，从而置合规立于业务的对立面。然而，正如美国司法部发布的《企业合规计划评估》中所强调：“基于风险评估妥善制定的合规体系，将适当的注意力和资源投入到高风险交易，即使该体系未能防止低风险领域的某项违规行为，检察官也可以相信该合规体系的质量和有效性，并考虑作为从宽处理的因素。”这也即是说，企业不能为了消除所有的风险，而禁止开展一切可能存在风险的活动。例如，禁止一切的礼品和餐饮款待等。企业采取的应是对违规行为的零容忍态度，即对发生的贿赂违规行为或行为坚决采取严肃处理、绝不姑息态度；但在风险可控或可承受的基础上可开展相关的业务活动。在这一点上，《美国反海外腐败法信息指引》就指出“与推广、展示或说明公司的产品或服务有关的合法、诚实善意的支出”是不会违反美国《反海外腐败法》的规定的，具体来说，如企业在行业展会的展位上，提供免费的带有公司标志的笔、帽子、T恤衫和其他推广物，及提供免费的咖啡和其他饮料及小吃，即使展位有些访客是外国官员的情形是不会导致企业违反FCPA的规定。因此在实操中，中兴通讯会基于相关费用支出是否出于诚实善意的原则作为出具合规意见的依据之一。

　　2、政策的统一性与例外性

　　作为一个在全球160多个国家或地区有业务活动的实体，中兴通讯需要遵从业务所在地的相关法律法规。那么在政策制定过程中如何协调多个国家/区域的法律法规要求或潜在冲突，以及满足公司从运营商、终端、政企等复杂场景的业务需求是摆在公司贯标过程中另一难题和挑战。经过内部的研讨，中兴通讯采用在全球适用统一政策要求，如针对所有第三方管理要求，对全球员工的合规要求等。但基于政策规定不适用的个案或与当地法律法规冲突的，在法律允许及保持与公司反贿赂管理体系整体框架一致的情况下，根据业务实际需求，公司可授权相应的子公司/分公司或相关人员创建额外的管理规范和某一业务或国家/地方的工作指引或以Caselaw的形式对业务的新场景进行例外补充说明。

　　（四）标准理解转换为体系建设能力

　　如前文提及，2016年10月以前，针对反商业贿赂合规治理，中兴通讯仅发布了《中兴通讯反腐败和反贿赂政策与合规指引》。因此，在ISO 37001发布伊始，中兴通讯对于反贿赂管理体系的理解及如何建设一个满足该国际标准要求的管理体系都是处于一个“重新”、“崭新”开始的阶段。那么，中兴通讯是如何逐步从对该标准定义下的管理体系一无所知到深化理解，并最终建立满足该标准要求的管理体系的？具体来说，有以下几个步骤：

　　1、标准条款的研读

　　首先，中兴通讯聘请了外部标准制定机构的专家就标准本身架构及条款向公司合规人员进行了贯标培训，并完成了考试。基于此，我们还组织了全体合规人员——尤其是负责体系建设和维护的人员——结合业务场景和实操中的困惑对标准条文进行了逐条研读和经验分享。这一方法论对于加深中兴通讯对标准本身的理解意义重大。

　　2、标准的差距分析

　　理解标准的意义在于指导业务实践。因此，在对标准有了初步的认识后，中兴通讯启动了ISO 37001的对标项目工作，并输出了差距分析报告，以作为策划中兴通讯反贿赂管理体系的重要输入之一。在这一块上，中兴通讯同时借鉴了行业对管理体系成熟度的评价标准，将体系成熟度划分为Initial、Undisciplined、Established、Advanced、Leading五个等级，以逐步推动中兴通讯合规治理水平对标国际一流（Leading）水平。

　　3、专业技能人才的引进和孵化

　　为实现对标国际一流（leading）合规治理水平，除从高校招聘应届高校毕业生进行孵化培养外，中兴通讯还从各行各业引进具有专业技能的专家，以支撑反贿赂管理体系的运行和持续维护，不断赋能于公司合规团队的专业水平，从而实现合规能力的内化，逐步降低或减少对外部机构的依赖。不完全统计，截止目前，中兴通讯已经引进在尽职调查（Due Diligence）、审计（Audit）、风险评估（Risk assessment）、第三方管理（Third party management）等领域的多名专家，储备及形成了反贿赂合规的专家智库。

　　除此之外，为了有效提升业务标准化和持续提升团队专业能力，中兴通讯增加了端到端的流程闭环管理，并由各个流程的责任人输出流程的标准操作程序（Standard operation procedure，SOP），固化其工作中的知识和经验，确保引入的合规人员包括但不限于应届毕业生或新接手的人员等在经过3-6个月的磨合期后，可以快速地掌握各种合规技能，成为某一领域的合规专家。截止目前，中兴通讯已经形成了在风险评估、尽职调查、合规培训和宣贯、案件调查、持续监督/内部审计、规则制定等领域的SOP。

　　4、行业交流与反哺

　　为促进行业合规生态文化的形成，除通过签署承诺书或合规条款嵌入合同/协议文本等方式促使合作伙伴与中兴通讯一道为遵从所适用的反贿赂反腐败法律法规共同行动外，中兴通讯还通过不定期的合规交流、供应商大会、合规论坛、合规小叨客推送等多种形式与合作伙伴进行合规交流和沟通。一方面，将中兴通讯在合规方面的经验积累无偿地向致力于合规建设或改进的相关方进行分享；另一方面，中兴通讯也在与相关方的分享和交流中进一步反思并持续优化公司的反贿赂管理体系。

　　

　　四、中兴通讯反贿赂管理体系要素简述

　　（一）反贿赂管理体系的“八要素”

　　ISO 37001共分为10个章节，其中对体系要素进行规定的章节分别为#4.5贿赂风险评估、#5.1领导作用和承诺、#5.2反贿赂政策、#5.3.2 反贿赂合规职能、#7.1资源、#7.3意识和培训、#7.5 文件化信息、#8.3财务控制和#8.4非财务控制、#8.7礼物、款待、捐赠和类似的利益、#8.10调查和处理贿赂、#9.1 监视、测量、分析和评价及#9.2内部审核和#10改进等。

　　就合规而言，没有一个适合所有公司的通用方案。企业根据其所处行业、规模、及与其业务相关风险可能有不同的合规需求。中兴通讯基于自身企业的风险状况，根据包括上述标准条款在内的要求及借鉴业界的实践将自身的反贿赂管理体系提炼为八大要素，为：高层重视（#5.1）、合规组织（#5.3.2等）、合规资源（#7.1）、风险评估（#4.5）、合规政策（#5.2）、流程管控（#8.3、#8.7、#8.10等）、培训沟通（#7.3）和监督检查（#9.1 、#9.2、#10等）。

　　具体的详见如下体系图：

　　

　　图 1 中兴通讯反贿赂管理体系图

　　（二）“八要素”之于体系的意义

　　如开篇笔者即提及，中兴通讯反贿赂管理体系在2020年获得了认证机构英国标准协会BSI的认证。在认证过程中，BSI审核组基于标准条文要求对中兴通讯上述体系“八要素”的设计和运行有效性进行了全面、深度的审核。而基于该体系运行的实操经验，我们认为该“八要素”是构成组织反贿赂管理体系缺一不可的有机整体。具体来说：

　　1、高层重视

　　在一个企业内部，合规开始于董事会和高级管理人员如何为公司设定适当的基调，其他管理人员和员工会根据公司领导者的提示而采取行动。正如美国司法部发布的《企业合规计划评估》中说到，“除合规架构、政策和流程外，公司必须在各个层级营造和培养道德和法律遵从的文化。合规体系的有效性要求公司管理层作出高层承诺，从中层到高层践行合规文化”。高层的合规态度和风险偏好直接影响整个公司的合规文化和资源的投入，因此，在体系的设计及运行全流程中，须获得高层重视及持续的参与，这是一个体系是否成功的关键所在，也是中兴通讯建立反贿赂管理体系首要考虑的。

　　2、合规组织

　　合规组织是一个体系能否得到有效执行提供重要的组织保障。“合规体系的有效执行要求指定或任命人员或组织负责体系运行的日常监督，并确保其有足够的职权和地位（《企业合规计划评估》）”。而该等人员的任命或设置取决于企业的规模、所面临的风险状况等因素。

　　3、合规资源

　　与合规组织的一样，合规资源是确保体系得到有效设计和运行的核心；缺乏资源保障体系，即使是经过良好的设计，在实践中也可能达不到预定的目标。资源是否得到充分保障并被合理分配是合规体系停留在“‘纸面的体系’还是‘有效实施、审查和不断修正的体系’”的重要保障。

　　4、风险评估

　　风险评估是制定强有力反贿赂管理体系的重要输入和依据，企业应该采取基于风险的方法用以管理贿赂风险。如《美国反海外腐败法信息指引》中提及，“一刀切的合规方案通常都考虑欠周详并缺乏实际效果，因为资源不可避免地会被过多地用于低风险的市场和交易而过少地分配给高风险领域。将不合比例的时间用于监管娱乐和礼品馈赠的细枝末节而非关注大型政府的投标、向第三方顾问的可疑付款或给予零售商和分销商过多的折扣可能预示着公司的合规方案是无效的。”同时，“‘照搬照抄’的合规方案亦是行不通或可能是无效的。由于每个合规方案均需要针对一个组织的具体需求、风险和挑战进行定制。”

　　5、合规政策

　　一个公司的合规政策通常是其建立有效反贿赂管理体系的基础。有效的政策和程序要求对公司的业务模式有深入的理解，包括其产品和服务、第三方代理、客户、政府互动以及行业和区域风险。“对组织来说，尽管存在贿赂的特殊情况，证明组织有适当的程序用以预防其关联人员的贿赂是全面辩护手段。（《2010年反贿赂法案指引》）”

　　6、流程管控

　　融入业务是反贿赂管理体系得到有效执行的重要保障，即将反贿赂合规要求嵌入各个业务流程中，如采购流程、报销流程、招聘流程。

　　7、培训沟通

　　反贿赂管理体系被妥善制定设计的另一个特点是根据公司实际风险开展了恰当的培训和沟通，强有力的培训沟通机制是向员工传达“做正确的事情”的最有效方式。不经过公司范围内的有效培训和沟通，合规政策将无法发挥作用。

　　8、监督检查

　　一个良好的反贿赂管理体系应当是在不断进化的。企业的业务随着时间而发生变化，其运营的环境、客户的性质、管辖其行为的法律以及其行业标准也在发生变化。如果反贿赂管理体系不是停留在纸面上，而在实践过程中已经被执行了，那么不可避免地会发现合规缺陷并需要加强。企业应花时间测试其控制，并且应重点思考其潜在的缺陷和风险领域。在发生问题前采取主动的评估能够降低相关的量刑适用幅度。虽然主动评估的性质和频率可能会根据组织的规模和复杂程度而有所不同，这种努力背后的理念是一致的：不断改善和可持续性。

　　

　　为促进行业共建，后续中兴通讯计划基于公司反贿赂管理体系从“无”到“有”再到“精”的生命进阶历程和实操经验，将“风险评估”、“体系策划”、“组织保障”、“资源保障”、“政策制定及落地执行”、“意识及文化培育”、“流程管控”、“合规调查”、“持续监督”、“体系持续改进”及“认证申请筹备”和“认证审核响应”等主题对该体系各要素进行专题阐述，故在此先搁笔不表。

　　后续文章均为中兴通讯反贿赂体系各版块专家所述，均为首次重磅发布，愿与各位看官一起交流和分享。愿在交流中共同推动国内反贿赂合规体系及合规体系的发展，使产品回归企业原竞争力，使企业营利价值与社会整体价值观相守相伴，共同维护企业可持续健康经营，维护社会秩序。

　　合规守护价值，合规创造价值。