📌主题概述
评估企业如何防范贪污腐败、反竞争行为,并确保负责任的信息管理(数据隐私、信息安全)。
所有行业均适用,金融与科技行业尤其重要。Anticompetitive Practices 已从问卷移除,但 360° Watch 仍监测。
📋涵盖标准(3 项)
🎯核心管理重点
- 反腐败政策与第三方尽职调查
- 举报机制与 whistleblower 保护
- 信息安全与数据隐私政策
- ISO 37001 / ISO 27001 认证
🧭在 EcoVadis 中的角色
商业道德主题评估企业是否以诚信、透明和负责任的方式经营,重点关注反腐败、公平竞争、举报保护、数据隐私和信息安全。EcoVadis不仅考察企业是否有道德准则,也关注企业是否具备风险评估、培训、第三方尽职调查、事件处理和持续改进机制。
🏢典型适用场景
- 所有企业均适用,因为所有企业都可能面临腐败、利益冲突、数据泄露或不当商业行为风险。
- 与政府客户、国有企业、代理商、经销商、海关、招投标、许可证审批相关的企业,腐败风险通常较高。
- 金融、科技、SaaS、医疗、外包服务、电商、数据处理企业,信息安全和数据隐私权重通常较高。
- 市场集中度高、参与行业协会频繁或经销体系复杂的企业,应特别关注反垄断和公平竞争风险。
🏛️管理体系期望
📋 政策要求 (Policies)
- 制定商业道德准则或行为准则,覆盖反腐败、利益冲突、礼品招待、政治捐赠、慈善赞助、反洗钱和公平竞争。
- 制定数据隐私和信息安全政策,覆盖个人信息、商业机密、客户数据、供应商数据和员工数据。
- 建立举报机制和反报复保护政策。
- 政策应适用于员工、管理层、董事、承包商、代理商、供应商和其他商业伙伴。
⚡ 行动要求 (Actions)
- 开展腐败、竞争法、数据隐私和信息安全风险评估。
- 对员工和高风险岗位开展定期商业道德培训。
- 对代理商、分销商、顾问、中介、供应商等第三方开展尽职调查。
- 建立礼品招待审批、利益冲突申报、举报调查和纪律处分流程。
- 实施访问控制、数据分类、漏洞管理、备份、加密、事件响应和第三方信息安全评估。
- 对行业协会会议、招投标、价格沟通和经销协议进行反垄断合规审查。
📊 结果要求 (Results)
- 披露培训覆盖率、举报案件数量、案件关闭率、第三方尽调覆盖率和违规处理结果。
- 披露数据泄露事件、信息安全事件、漏洞修复及时率和权限审查完成率。
- 对于重大争议、处罚或媒体负面事件,应提供事实说明、根因分析和整改措施。
- 360° Watch可能持续监测公开争议,因此外部声誉和公开信息一致性非常重要。
📁推荐证明文件
政策类文件
- 商业道德准则
- 反腐败与反贿赂政策
- 礼品、招待、差旅和赞助政策
- 利益冲突政策
- 公平竞争或反垄断政策
- 举报人保护政策
- 数据隐私政策
- 信息安全政策
- 数据保留与删除政策
- 第三方合规管理政策
行动类文件
- 反腐败培训记录
- 第三方尽职调查流程和样例
- 礼品招待审批台账
- 利益冲突申报记录
- 举报渠道截图、热线说明、案件处理流程
- 内部调查报告和整改记录
- 反垄断培训材料和会议合规指引
- ISO 27001信息安全管理体系文件
- 网络安全风险评估、渗透测试或漏洞扫描报告
- 数据泄露响应演练记录
- 隐私影响评估、数据处理活动记录、供应商安全评估
结果/绩效文件
- 商业道德培训覆盖率
- 高风险第三方尽调覆盖率
- 举报案件数量、分类、关闭率和平均处理时间
- 利益冲突申报数量
- 腐败、欺诈、反垄断或数据泄露相关违规事件数量
- 数据主体请求处理数量和及时率
- 漏洞修复率、备份成功率、权限审查完成率
认证与第三方核验
- ISO 37001反贿赂管理体系认证
- ISO 27001信息安全管理体系认证
- SOC 2报告
- CyberVadis评估报告
- PCI DSS
- TISAX
- 第三方隐私或网络安全评估报告
📊常见绩效指标(KPI)
- 商业道德培训覆盖率
- 反腐败培训覆盖率
- 高风险第三方尽职调查覆盖率
- 礼品招待审批数量和拒绝数量
- 利益冲突申报数量
- 举报案件数量、 substantiated案件数量和关闭率
- 商业道德违规导致的纪律处分数量
- 反垄断或公平竞争相关事件数量
- 信息安全培训覆盖率
- 数据泄露事件数量
- 重大网络安全事件数量
- 漏洞修复及时率
- 访问权限复核完成率
- 隐私请求响应及时率
🏭行业高风险示例
工程、建筑与基础设施
- 招投标舞弊
- 政府关系风险
- 第三方中介贿赂
- 项目审批腐败
- 承包商合规风险
医疗、制药与生命科学
- 医生或医院不当利益
- 经销商腐败
- 临床数据诚信
- 患者隐私
- 推广合规
科技、SaaS与数据服务
- 个人数据泄露
- 网络攻击
- 算法或数据使用责任
- 第三方云服务风险
- 客户数据访问控制
消费品与零售
- 经销商管理
- 价格协调风险
- 消费者数据隐私
- 促销合规
- 供应商舞弊
✅证据质量要求
- 商业道德政策应包含明确禁止行为,而不仅是价值观口号。
- 培训记录应能证明覆盖高风险岗位,如销售、采购、财务、物流、政府事务、管理层。
- 第三方尽调证据应显示风险分级、审查内容、批准流程和后续监控。
- 举报数据可脱敏,但应显示渠道运行、案件分类、调查流程和关闭状态。
- 信息安全证书应确认认证范围,避免证书只覆盖IT部门而不覆盖核心业务。
- 数据隐私文件应覆盖数据主体权利、跨境传输、数据保留、第三方处理和泄露通知。
- 若存在公开处罚或争议,应提供整改证据,避免只提供否认声明。
⚠️常见不足(扣分点)
- 只有商业道德准则,没有培训、举报、尽调或案件处理记录。
- 反腐败政策未覆盖第三方、代理商和供应商。
- 没有礼品招待、利益冲突或赞助捐赠审批机制。
- 举报机制缺少匿名性、保密性或反报复保护。
- 第三方尽调只在供应商准入阶段一次性完成,缺少风险分级和持续监控。
- 只提供IT政策,没有实际网络安全控制或事件响应记录。
- 隐私政策只面向网站用户,未覆盖员工、客户、供应商和业务数据处理。
- 发生公开争议后缺少整改和治理改进证据。
🗺️改进路线图
🌱 基础阶段 (Basic)
- 建立商业道德准则、反腐败政策、举报渠道和数据隐私政策。
- 对全体员工开展基础商业道德和信息安全培训。
- 建立礼品招待、利益冲突和举报案件台账。
- 梳理个人数据和敏感信息的主要处理活动。
🚀 进阶阶段 (Intermediate)
- 开展商业道德风险评估并识别高风险岗位、地区和第三方。
- 建立第三方尽调和风险分级管理流程。
- 完善举报调查、纪律处分、整改和反报复机制。
- 实施访问控制、加密、备份、漏洞管理和安全事件响应流程。
- 对高风险合同、投标和行业协会活动进行公平竞争审查。
⭐ 成熟阶段 (Advanced)
- 取得ISO 37001、ISO 27001或其他适用认证。
- 将商业道德、隐私和安全风险纳入企业风险管理和董事会监督。
- 建立数据保护官、合规委员会或独立调查机制。
- 实施持续监控、数据分析和第三方合规审计。
- 对重大合规事件进行公开透明披露,并展示根因分析和制度改进。
💡答题提示
- 反腐败问题不要只上传道德准则,应补充培训记录、第三方尽调和举报处理流程。
- 如果企业使用代理商、顾问、经销商,应重点准备第三方合规管理证据。
- 信息安全问题应提供技术和管理双重证据,例如政策、权限控制、培训、漏洞管理和事件响应。
- 如果有ISO 27001、CyberVadis或SOC 2,应确保认证范围与被评估业务一致。
- 反竞争行为虽然可能不在问卷中直接出现,但公开处罚和新闻仍可能通过360° Watch影响评分。
- 如有争议事件,应准备整改闭环、人员问责、流程优化和再培训记录。
🏛️治理衔接
商业道德主题高度依赖治理结构。成熟企业通常设有合规负责人、数据保护负责人、信息安全负责人或审计委员会,并向高级管理层或董事会定期报告重大合规、举报、网络安全和隐私事件。
🔗跨主题关联
- 与可持续采购主题相关:供应商反腐败、信息安全、商业道德条款和第三方尽调是可持续采购的重要组成部分。
- 与劳工与人权主题相关:举报机制、反报复保护和调查程序也用于处理骚扰、歧视和人权申诉。
- 与环境主题相关:环境数据造假、许可证违规或污染争议可能同时构成商业道德和合规风险。
希望系统梳理 商业道德 主题下的政策、行动与 KPI?
可以预约一次 EcoVadis 方法论解读,结合企业现状规划证据准备路径。