2024年3月13日发(作者：电脑键盘快捷键大全一览表)

如何进行贿赂风险评价？

How to Assess Bribery Risk?

雒宏伟 时书毅（上海天祥质量技术服务有限公司）

在《质量与认证》2018年第11期发表

摘要：本文分析了贿赂风险评价的重要性、并运用过程方法分析了贿赂风险评价

过程，然后重点讲解了贿赂风险识别、分析和评价过程，并对评价结果的使用和

贿赂风险评价结果的评审进行了说明

关键词：ISO37001 反贿赂管理体系

4.5贿赂风险评价（Bribery Risk Assessment）是整个反贿赂管理体系的核心和基础，通

过全面的贿赂风险识别、分析和评估（Evaluation）,从而评价出较高贿赂风险并排列优先顺

序，作为制定控制措施和分配资源以及整个体系策划的依据。应该说整个反贿赂管理体系就

是围绕着贿赂风险展开的，贿赂风险评价的结果作为”6.1应对风险和机会的措施”、”6.2

反贿赂目标及其实现的策划”、”4.3确定反贿赂管理体系的范围”、以及整个7支持、8

运行、9绩效评价关注的重点，而且整个反贿赂管理体系就是一个贿赂预防、贿赂发现和贿

赂响应的过程，因此贿赂风险评价过程出现偏差将直接影响到整个反贿赂管理体系的有效

性。

为了更好理解如何进行贿赂风险评价，我们运用过程方法对4.5贿赂风险评价过程进行

分析，如表1所示：

输入 输出 主要活

动

4.1组织的评价出

内外部影响

贿赂风险的

因素；

4.2对组织

有影响的主

要相关方对

的较高

贿赂风

险

贿赂风

险的识

别、分

析和评

估

确保较

高贿赂

风险得

到全面

识别并

排列优

先顺序

Ø 较高贿赂风险有漏项；

Ø 贿赂风险分析和评估不准确；

贿赂风

险评价

目标 风险 KPI

Ø 组织的内外部影响贿赂风险的

的完整

因素和对组织有影响的主要相性、准

关方对组织反贿赂管理的要求确性、

发生重大变化，没有及时评价贿及时性

赂风险评价结果；

组织反贿赂

管理的要

求；

表1

Ø 贿赂风险评价结果没有被作为

体系策划和改进的依据

下面我们从贿赂风险识别、分析和评估三个阶段，说明如何在贿赂风险评价的过程中，

控制表1中识别出的贿赂风险评价过程的风险，确保贿赂风险评价过程目标的实现。

1、 贿赂风险的识别

我们先看贿赂的定义：

bribery 贿赂[1]错误!未定义书签。

offering, promising, giving, accepting or soliciting of an undue advantage of any value

(which could be financial or non-financial), directly or indirectly, and irrespective of

location(s), in violation of applicable law, as an inducement or reward for a person acting or

refraining from acting in relation to the performance (3.16) of that person’s duties.无论在

何地直接或间接地提供、承诺、给予、接受或索取任何价值的不当利益（可以是财务的或

非财务的），违反适用法律，以引诱或奖励个人利用职务之便（3·16）的作为或不作为的行

为。

Note 1 to entry: The above is a generic definition. The meaning of the term “bribery”

is as defined by the anti-bribery law applicable to the organization (3.2) and by the anti-

bribery management system (3.5) designed by the organization.

注1：以上是通常的定义。“贿赂”这个术语的含义按照适用于组织（3.2）的反贿赂

法律和组织设计的反贿赂管理体系（3.5）中所定义的。

从贿赂的定义可以看出，“任何价值的不当利益（可以是财务的或非财务的）”都有可

能成为贿赂；“直接或间接地”也就是说无论是组织自身、组织的员工和商业伙伴代表自己

或者为了组织利益行贿和受贿都会给组织带来贿赂风险，因此任何组织都很难识别所有贿

赂风险。同时我们应该看到反贿赂管理体系的基本原则是合理适当（参看ISO37001:2016附

录A3），组织没有必要控制所有贿赂风险，对于较低贿赂风险，组织可以保持现有措施。

因此贿赂风险的识别的关键不是识别所有贿赂风险，而是不遗漏较高的贿赂风险。所以我

们应该基于标准4.1条款识别出的组织内外部影响贿赂风险的因素，由反贿赂合规部门组

织，各部门参与，对组织的所有活动（包括与商业伙伴有关的活动）进行识别，同时重点

关注对组织、对员工和对商业伙伴有重大影响的因素如：

对组织有重大影响的因素有：企业的资质审批、政府补贴、税收政策、重大合同、政

府监管等；

对员工有重大影响的因素有：员工的入职、升职、加薪、转岗、绩效评价、处罚等

对商业伙伴有重大影响的因素有：供应商名单的准入、供应商业绩评价、重大项目招

标、项目验收等。

对组织、对员工和对商业伙伴影响越大，涉及的预期不当收益越大，诱惑越大，贿赂

发生的可能性越大，因此关注上述对组织、对员工和对商业伙伴有重大影响的因素，可以

尽可能减少遗漏较高贿赂风险的可能性。

另外，对于贿赂风险描述问题，我们认为虽然标准对贿赂风险的描述没有明确的规

定，但是贿赂风险识别本身没有实际价值，贿赂风险识别的目的是为了进行分析、评估和

处置，以降低贿赂风险，因此贿赂风险的表述应有利于贿赂风险分析、评估和制定措施。

我们通常的表述是：在xxx过程中，xxx岗位的人员为了xxx利益采用xxx手段进行行贿或受

贿。

2、 贿赂风险分析

对于识别出的贿赂风险，逐项进行分析，主要考虑的因素是：贿赂发生的可能性

（Occurrence）、贿赂事件的后果(Severity)和组织现有控制措施的有效性(Detectivity) ，贿

赂风险R=S*O*D。对于每个因素的可以确定一个量表，比如说1-2-3-4-5五级量表，或者

1-2-3-4-5-6-7七级量表等都可以，对选择的量表进行说明，比如说贿赂发生的可能性多

高是1，多高是5等。基于确定的量表对每个贿赂风险进行打分。进行贿赂风险分析时，要

基于组织的实际情况，并考虑一些重要因素，如：前面我们说过在评估贿赂发生的可能性

时我们会考虑预期的不当收益；评估贿赂事件的后果我们要考虑4.2识别出的相关方的要

求，尤其是监管机构、重要客户的要求；评估组织现有措施的有效性，要考虑都有哪些措

施、措施实施的力度和效果，然后计算贿赂风险评分是多少。如：潜在供应商为了进入供

应商名单通过礼物、款待、承诺高回扣等形式贿赂采购部门这个贿赂风险，如果采用五级

量表，贿赂发生的可能性评分是4，贿赂事件的后果评分为2，现有控制措施的有效性评分

为3，R=4*2*3=24。

3、 贿赂风险评估

组织可以考虑组织的战略发展需要和制定的反贿赂方针和目标，确定R值是多少为中

风险，多少为高风险，比如规定2045高风险（不可接受风险），前面

举例识别的贿赂风险的R=24就是中风险，组织可以根据措施的成本和可能效果确定是否需

要采取新的措施，如果R>45，组织就必须要制定新的措施将贿赂风险降低到R<45。

组织评价出的较高贿赂风险要通过“6.1应对风险和机会的措施”制定制定措施，通过

“8.1运行策划与控制”将6.1制定的措施作为反贿赂管理体系要求所需过程（这些过程应

包括8.2 到8.10 中涉及的具体控制）的准则。另外组织的7支持过程和9绩效评价过程均要

考虑风险评价的结果。

我们应该看到影响到贿赂风险的组织的内外部因素、相关方的要求都会发生变化，而

且组织评价出的较高贿赂风险经过采取措施并实施后贿赂风险应该降低，因此组织应该定

期进行贿赂风险评价并在影响到贿赂风险的组织的内外部因素、相关方的要求出现较大变

化时，如：组织在腐败感受指数较高地区建立的分公司、组织开展了新的业务、组织的组

织架构发生的重大变化等，也要在及时重新进行贿赂风险评价，并根据评价的结果必要时

制定新的措施。

参考文献

【1】 ISO，ISO37001:2016 Anti-bribery management systems—

Requirements with guidance for use

作者简介

雒宏伟，工商管理博士。研究方向：道路交通安全管理、资产管理、反贿赂管理 。

INTERTEK集团上海天祥质量技术服务有限公司ISO37001、ISO39001和

ISO55001项目经理。

时书毅，INTERTEK集团上海天祥质量技术服务有限公司审核员