核心要点
- 2027年1月1日起强制执行:所有申请或续期SPKK的G7级承包商必须持有有效的MS ISO 37001反贿赂管理体系证书,无任何例外,亦无任何祖父条款。
- 外资承包商同等适用:CIDB Pekeliling Bil. 1/2026对外资G7承包商与本地承包商一视同仁,国籍不构成豁免理由。
- SPKK是参与政府招标的通行证:没有SPKK,G7承包商无法参与任何马来西亚政府建筑项目招标,资格被取消的商业代价将是灾难性的。
- 认证实施周期长达6至9个月:2026年中期仍未启动认证工作的企业,将面临极大的逾期风险,届时认证机构审计档期也可能已被抢占殆尽。
- 建议直接认证ISO 37001:2025版本:通告所引用的是2016版,但直接通过2025版认证可规避2027年初不可避免的过渡审计成本。
- 马来西亚《反腐败委员会法》第17A条加大了法律风险:ISO 37001同时构成企业在第17A条下的法律抗辩依据,其战略价值远超CIDB合规本身。
一、背景:CIDB为何在此时出台反贿赂要求
马来西亚建筑行业长期被认定为贿赂和采购舞弊的高风险领域。政府制定的《国家反腐败战略(NACS)2024–2028》明确将建筑和政府采购列为优先改革目标。作为依据1994年《建筑业发展局法》(第520法令)统一注册管理承包商的法定机构,CIDB通过Pekeliling Bil. 1/2026将上述政策方向落实为具体的监管要求。
该通告于2025年12月发布,并于2026年2月正式在CIDB官网公告。尽管其性质属于行政通告而非主要立法,但依托CIDB在第520法令下的执法权——CIDB可因不合规而中止或拒绝注册——该通告具有完整的实际法律效力。对外资承包商而言,这意味着CIDB的管辖权对所有注册主体一律平等适用,不因所有权归属而有所差异。
与此同时,该政策的出台与《马来西亚反腐败委员会法》(MACC Act 2009)第17A条的企业刑事责任条款形成协同效应。第17A条规定,若商业机构的关联方(包括董事、员工、代理商、分包商及合资伙伴)为该机构利益实施贿赂,且该机构无法证明其已建立"充分的预防程序",则该机构须承担刑事责任。ISO 37001认证是证明"充分程序"最具说服力的方式之一,因此该法令的许可要求与刑事责任维度,外资承包商的法律与合规团队必须同步理解。
二、MS ISO 37001是什么?为何在建筑行业尤为重要
ISO 37001是由国际标准化组织(ISO)制定的反贿赂管理体系(ABMS)国际标准,为组织在运营和供应链中预防、发现和应对贿赂风险提供系统性框架。马来西亚采用版本为MS ISO 37001:2016(2025年国际修订版亦已发布)。
建筑行业在采购与分包商遴选、许可证审批与现场检查、物料采购及付款审批等多个环节均面临高度贿赂风险。对于历史上曾将非正式"便利费"视为运营成本的部分外资企业而言,建立正式的ABMS要求真实的文化与运营层面转变,而非仅仅是文件整理。
ISO 37001的实质要求
与许多较为简单的合规认证不同,ISO 37001要求建立一套具有实际运行的管理体系并通过独立审计验证。合规的ABMS必须包含以下要素:
- 董事会批准的反贿赂政策——高层管理人员正式签署,明确组织对廉洁运营的承诺
- 贿赂风险评估——针对企业在马来西亚具体业务运营中贿赂风险的系统性分析
- 业务伙伴尽职调查——对分包商、供应商、代理商及合资伙伴的贿赂风险筛查
- 财务与非财务反贿赂控制措施——涵盖付款、招待、礼品及捐赠的书面程序
- 员工培训与意识提升计划——各层级定期培训并保留记录
- 举报机制——为员工提供安全、保密的可疑行为举报渠道
- 内部审核——定期独立审查ABMS有效性
- 管理层评审——高层领导定期正式评审ABMS绩效及改进措施
认证机构将对所有上述要素进行实质审计,而非仅审阅政策文件。认证获批的前提是提供实际执行的证据(培训记录、风险评估成果、尽职调查档案、审核报告等)。
三、适用范围详解:G7/SPKK体系架构
要理解为何该通告对外资承包商如此重要,必须先厘清CIDB的注册等级与证书体系。
| CIDB等级 | 招标/项目价值上限 | ISO 37001 SPKK要求(2027年1月1日起) |
|---|---|---|
| G1 | 最高RM 200,000 | 暂不要求 |
| G2 | 最高RM 500,000 | 暂不要求 |
| G3 | 最高RM 1,000,000 | 暂不要求 |
| G4 | 最高RM 3,000,000 | 暂不要求 |
| G5 | 最高RM 5,000,000 | 暂不要求 |
| G6 | 最高RM 10,000,000 | 暂不要求(关注后续通告动向) |
| G7 | 无上限 | 2027年1月1日起SPKK续期/新申请强制要求 |
G7是CIDB最高注册等级,不设招标价值上限——正是外资EPC承包商、大型中央企业及主要基础设施企业进入马来西亚政府建筑市场所追求的资质。SPKK(政府工程采购证书)是在基础CIDB承包商注册(PPK)之上的附加证书,持有后方可参与政府项目招标。
外资承包商的G7注册路径
外资承包商在马来西亚有以下主要路径取得CIDB G7注册:
- 外资承包商注册(FCR)——基于特定已授予项目的注册,证书仅对该特定项目有效。外资承包商无需本地股权可通过此路径参与私营项目,但历史上难以通过此路径参与政府招标。
- 本地公司注册(外资持股)——外资在马来西亚设立Sdn Bhd,按合规股权结构注册CIDB本地承包商。本地公司PPK注册一般要求本地股权70%以上;东盟投资者外资持股可至51%,非东盟投资者上限为30%。符合条件的本地注册主体可申请SPKK。
- SPKKA(外资承包商政府工程就业证书)——2023年依据CIDB第1/2023号通告引入,允许CPTPP成员国(包括新加坡、日本、澳大利亚、加拿大、墨西哥、秘鲁、越南、智利及新西兰)的外资承包商无需本地合资伙伴即可直接参与马来西亚政府工程招标。2027年起,持有SPKKA的G7外资承包商同样受ISO 37001要求约束。
无论适用哪条路径,ISO 37001要求均在2027年1月1日之后的G7 SPKK申请或续期时触发。
四、合规时间线:起步时间决定一切
Pekeliling CIDB Bil. 1/2026最关键的实际影响在于时间线现实:ISO 37001独立实施通常需要6至9个月。已持有ISO 9001(质量管理)或ISO 45001(职业健康安全)认证的企业,可通过整合现有管理体系基础设施将周期压缩至3至4个月。
| 启动时间 | 预计认证获批时间 | 相对2027年1月1日截止日期的状态 | 风险级别 |
|---|---|---|---|
| 2026年第一/二季度(1–6月) | 2026年第三/四季度 | 提前达标,从容应对 | 🟢 低风险 |
| 2026年第三季度(7–9月) | 2027年第一/二季度 | 大概率逾期 | 🟡 高风险 |
| 2026年第四季度(10–12月) | 2027年第二/三季度 | 必然逾期;SPKK续期面临风险 | 🔴 极高风险 |
| 尚未启动(2026年6月) | 不确定——认证机构审计档期可能已满 | 逾期风险极大 | 🔴 极高风险 |
还存在另一重压力:随着截止日期临近,全马数以千计的G7承包商将集中涌向认证机构,审计资源将极度紧张。认证机构的审计档期有限——2026年第四季度极可能全部排满。当前(2026年中期)启动认证的外资承包商虽然时间紧迫,但仍可实现;再等一个季度的企业将面临真实的运营风险。
五、版本选择:2016版还是2025版?
Pekeliling CIDB Bil. 1/2026所引用的是MS ISO 37001:2016。然而,国际标准化组织已于2025年初发布修订版ISO 37001:2025,国际过渡截止日期为2027年2月28日——仅比CIDB截止日期晚约两个月。
这造成了一个实际困境:若企业在2026年底依据2016版完成认证以满足CIDB要求,几乎在认证获批后立即又需进行向2025版的过渡审计,意味着在极短时间内承担两次审计费用。对于当前启动认证的外资承包商,建议直接向ISO 37001:2025版本认证——前提是所选认证机构已具备对2025版本的审计能力。此举可规避重复审计成本,并确保证书在2027年第一季度过渡期后仍持续有效。
六、MACC法第17A条:企业刑事责任维度
ISO 37001合规不仅是CIDB许可问题,更直接涉及马来西亚最重要的企业反腐败立法。《马来西亚反腐败委员会法》(MACC Act 2009)第17A条确立了企业刑事责任:若商业机构的关联方(包括董事、员工、代理商、分包商及合资伙伴)为该机构利益实施贿赂,且该机构无法证明其已建立"充分的预防程序",则须承担刑事责任。
唯一可用的抗辩理由是机构已建立"充分的程序"以防止此类行为。MACC已就"充分程序"发布指引,而ISO 37001认证是满足该指引要求最具操作性的方式。对外资企业而言尤为重要:马来西亚业务须受第17A条管辖,不论母公司总部位于何处。本地分包商或代理商的贿赂事件,可能将整个集团(包括海外董事)置于刑事追诉风险中。ISO 37001既能降低此类风险,又能在事件发生时提供有据可查的法律抗辩。
七、实例演示:一家中资EPC企业的合规路径
设想一家中型中资EPC企业——姑且称为港建工程——于2022年通过合资形式在马来西亚完成一个私营电厂项目。项目竣工后,港建工程正在争取一个价值3.5亿令吉的马来西亚政府铁路基础设施招标,该招标要求参与方持有G7级SPKK。
港建工程2026年6月的现状
港建工程通过其马来西亚子公司持有基础CIDB承包商注册(PPK),但SPKK续期时间为2027年3月。公司持有ISO 9001(质量)和ISO 45001(职业健康安全)认证,但尚无ISO 37001认证。采购团队刚刚获知Pekeliling要求。
合规行动路径
- 即刻行动(2026年6–7月):聘请具有马来西亚建筑行业ISO 37001经验的顾问,针对2025版标准进行差距评估。由于港建工程已持有ISO 9001和45001,部分管理体系基础设施(文件控制、内部审核职能、管理评审流程)已具备,评估结果可能显示通过整合现有体系可在4个月内完成认证。
- 2026年8–9月:制定并实施反贿赂政策;开展针对马来西亚建筑业务的贿赂风险评估;建立分包商和代理商尽职调查程序;实施培训计划;设立举报渠道。
- 2026年10月:对ABMS进行内部审核,纠正不符合项;与获认可认证机构预约第一阶段审计档期。
- 2026年11月:第一阶段(文件审查)审计;处理第一阶段发现事项。
- 2026年12月:第二阶段(现场)审计;体系实施到位则可在年底前获颁证书。
- 2027年1月:港建工程在2027年3月SPKK续期时出示MS ISO 37001证书,续期获批,顺利参与3.5亿令吉基础设施项目招标。
港建工程整合式实施的总成本(顾问费、培训费、认证机构费用)通常在RM 30,000至RM 80,000之间,视企业规模、项目工地数量及运营范围而定——相较于所争取的合同价值而言微不足道。注:具体费用以相关认证机构和顾问报价为准。
八、外资承包商的常见误区及规避方法
误区一:将ISO 37001视为文件整理工程
最常见也最危险的误解是认为ISO 37001只需起草一份反贿赂政策、高层签字即可获证。审计员将深度核查体系的实际运行:培训记录是否及时更新?是否专门针对马来西亚业务开展了真实的风险评估?举报渠道是否运转正常且被员工所知晓?通过浮于表面的实施获得的证书,既无法通过年度监督审计,也无法在第17A条下为企业提供实质保护。
误区二:以为母公司认证可以替代
母公司在中国大陆、台湾或新加坡持有的ISO 37001证书不满足CIDB要求。马来西亚子公司或注册主体必须就其马来西亚业务取得独立认证,且认证范围必须覆盖与SPKK相关的马来西亚建筑活动。
误区三:启动过晚,低估认证机构档期
获认可的认证机构审计资源有限。随着2026年第四季度临近,数千家马来西亚G7承包商的集中需求将大幅压缩可用审计档期。未能在2026年第三季度前预约认证审计的外资企业,届时即便全力推进实施,也可能因档期已满而无法在2027年1月1日前获得证书。应立即启动流程,并尽早预约审计档期——即便在实施工作完成之前,也应提前确认认证机构对您目标第二阶段审计日期的可用性。
误区四:落入版本过渡陷阱
在2026年底依据ISO 37001:2016版认证,意味着数月内就需进行2025版过渡,产生重复审计成本。建议与认证机构协商直接依据2025版标准认证,确保证书在过渡截止日期后仍具有实质有效期。
误区五:供应链尽职调查覆盖不足
ISO 37001要求对"业务伙伴"进行尽职调查——在马来西亚建筑业语境下,包括分包商、材料供应商、监管顾问、许可证代理及所有代表企业行事的第三方。外资承包商通常已有集团层面的供应商行为准则,但缺乏马来西亚本地的实施落地。审计员将核查尽职调查是否切实执行,而非仅有模板存在。
九、现在就行动:六步合规行动方案
无论您的SPKK续期时间是2027年1月还是2027年12月,要求都是一样的:续期时必须持有有效的MS ISO 37001证书。以下是马来西亚外资G7承包商的即时行动方案:
- 查明SPKK续期日期。登录CIDB的CIMS系统,确认您的SPKK具体到期时间,以此确定行动的紧迫性。
- 开展差距评估。聘请具有马来西亚建筑业ISO 37001经验的顾问,对照标准要求评估现有治理实践,确定实施范围和切实可行的时间表。
- 确定版本目标——直接实施ISO 37001:2025。确认所选认证机构已具备对2025版本审计的认可资质,以避免后续重复过渡审计。
- 实施ABMS。在马来西亚业务全范围内推行反贿赂政策、风险评估、管控措施、培训及举报机制。已有ISO管理体系的企业,应整合而非另起炉灶。
- 立即预约认证审计档期。联系获认可认证机构(如SIRIM QAS International、NIOSH-CERT、Bureau Veritas、劳氏船级社等),在档期被抢占前预约第一阶段和第二阶段审计时间。
- 取得认证并向CIDB提交。在SPKK申请或续期时出示证书。通过年度监督审计保持证书持续有效——CIDB要求在每次续期时均须提交当前有效的证书,而非一次性满足。
ONEKEY BIZ为外资企业提供从CIDB注册、SPKK申请,到ISO管理体系协调及持续合规的全流程支持。联系我们的团队,结合您的具体情况探讨合规路径,或了解我们马来西亚市场准入与合规服务的完整方案。
]]>常见问题
CIDB Pekeliling Bil. 1/2026具体适用于哪些对象?外资承包商是否也受约束?
是的。Pekeliling CIDB Bil. 1/2026适用于所有持有或申请SPKK(政府工程采购证书)的G7级承包商,无论本地还是外资。在CIDB以G7级注册并希望参与马来西亚政府建筑工程招标的外资承包商,与本地承包商适用完全相同的要求,不存在基于国籍或来源国的豁免条款。
若G7承包商未能在2027年1月1日前取得ISO 37001认证,将面临什么后果?
自2027年1月1日起,若G7承包商未持有有效的MS ISO 37001证书,其SPKK申请或续期将被拒绝或无法推进。由于SPKK是参与政府建筑招标的强制性前提条件,失去SPKK资格意味着该承包商将被排除在所有马来西亚政府建筑项目之外——而这些项目价值往往高达数亿令吉。现有G7持有者不享有任何过渡期或豁免条款。
在马来西亚实施并取得MS ISO 37001认证需要多长时间?
从零开始独立实施通常需要6至9个月,涵盖差距评估、政策与程序制定、员工培训、内部审核及外部认证审计。已持有ISO 9001或ISO 45001认证的企业,可通过与现有管理体系整合将周期缩短至3至4个月。考虑到2027年1月1日的截止日期,2026年第三季度仍未启动的承包商将面临极大的时间压力,届时认证机构的审计档期也可能已排满。
外资企业能否使用海外认证机构进行ISO 37001认证,还是必须使用马来西亚本地机构?
认证机构必须获得马来西亚标准局(DSM/JSM)的认可,或获得国际认可论坛(IAF)成员机构的认可,例如英国UKAS、印度尼西亚KAN或美国ANAB。通过马来西亚注册实体运营的国际知名认证机构的证书同样被接受。外资承包商在启动认证前,应先向所选认证机构确认其认可状态。
资料来源与参考
本文仅供一般参考,不构成法律、税务或移民建议。相关政策、门槛与官方费用由马来西亚主管机构制定,并可能随时调整。请就您的具体情况咨询我们的顾问。