← 返回洞察 牌照与许可

CIDB Pekeliling 1/2026:2027年1月1日前,马来西亚外资G7承包商必须满足的ISO 37001反贿赂新规全解析

·17 分钟阅读
2025年12月,马来西亚建筑业发展局(CIDB)悄然颁布了一项将深刻改变政府建筑市场竞争格局的行政通告——Pekeliling CIDB Bil. 1/2026。该通告规定,自2027年1月1日起,所有申请或续期政府工程采购证书(Sijil Perolehan Kerja Kerajaan,简称SPKK)的G7级承包商,必须持有有效的MS ISO 37001反贿赂管理体系(ABMS)认证。对于活跃于马来西亚基础设施、能源及房地产领域的中资、台资、港资及新加坡建筑企业而言,这绝非边缘合规事项,而是直接关系到能否参与马来西亚政府项目招标的生死线。

核心要点

  • 2027年1月1日起强制执行:所有申请或续期SPKK的G7级承包商必须持有有效的MS ISO 37001反贿赂管理体系证书,无任何例外,亦无任何祖父条款。
  • 外资承包商同等适用:CIDB Pekeliling Bil. 1/2026对外资G7承包商与本地承包商一视同仁,国籍不构成豁免理由。
  • SPKK是参与政府招标的通行证:没有SPKK,G7承包商无法参与任何马来西亚政府建筑项目招标,资格被取消的商业代价将是灾难性的。
  • 认证实施周期长达6至9个月:2026年中期仍未启动认证工作的企业,将面临极大的逾期风险,届时认证机构审计档期也可能已被抢占殆尽。
  • 建议直接认证ISO 37001:2025版本:通告所引用的是2016版,但直接通过2025版认证可规避2027年初不可避免的过渡审计成本。
  • 马来西亚《反腐败委员会法》第17A条加大了法律风险:ISO 37001同时构成企业在第17A条下的法律抗辩依据,其战略价值远超CIDB合规本身。

一、背景:CIDB为何在此时出台反贿赂要求

马来西亚建筑行业长期被认定为贿赂和采购舞弊的高风险领域。政府制定的《国家反腐败战略(NACS)2024–2028》明确将建筑和政府采购列为优先改革目标。作为依据1994年《建筑业发展局法》(第520法令)统一注册管理承包商的法定机构,CIDB通过Pekeliling Bil. 1/2026将上述政策方向落实为具体的监管要求。

该通告于2025年12月发布,并于2026年2月正式在CIDB官网公告。尽管其性质属于行政通告而非主要立法,但依托CIDB在第520法令下的执法权——CIDB可因不合规而中止或拒绝注册——该通告具有完整的实际法律效力。对外资承包商而言,这意味着CIDB的管辖权对所有注册主体一律平等适用,不因所有权归属而有所差异。

与此同时,该政策的出台与《马来西亚反腐败委员会法》(MACC Act 2009)第17A条的企业刑事责任条款形成协同效应。第17A条规定,若商业机构的关联方(包括董事、员工、代理商、分包商及合资伙伴)为该机构利益实施贿赂,且该机构无法证明其已建立"充分的预防程序",则该机构须承担刑事责任。ISO 37001认证是证明"充分程序"最具说服力的方式之一,因此该法令的许可要求与刑事责任维度,外资承包商的法律与合规团队必须同步理解。

二、MS ISO 37001是什么?为何在建筑行业尤为重要

ISO 37001是由国际标准化组织(ISO)制定的反贿赂管理体系(ABMS)国际标准,为组织在运营和供应链中预防、发现和应对贿赂风险提供系统性框架。马来西亚采用版本为MS ISO 37001:2016(2025年国际修订版亦已发布)。

建筑行业在采购与分包商遴选、许可证审批与现场检查、物料采购及付款审批等多个环节均面临高度贿赂风险。对于历史上曾将非正式"便利费"视为运营成本的部分外资企业而言,建立正式的ABMS要求真实的文化与运营层面转变,而非仅仅是文件整理。

ISO 37001的实质要求

与许多较为简单的合规认证不同,ISO 37001要求建立一套具有实际运行的管理体系并通过独立审计验证。合规的ABMS必须包含以下要素:

认证机构将对所有上述要素进行实质审计,而非仅审阅政策文件。认证获批的前提是提供实际执行的证据(培训记录、风险评估成果、尽职调查档案、审核报告等)。

外资承包商需特别注意:Pekeliling CIDB Bil. 1/2026不设祖父条款。无论您是新申请G7资质的企业,还是现有G7持有者在2027年1月1日之后任何时候到期续期SPKK,均须在申请或续期时出示有效的MS ISO 37001证书。未能提供该证书,SPKK续期将被拒绝,意味着无法参与任何政府建筑项目招标。

三、适用范围详解:G7/SPKK体系架构

要理解为何该通告对外资承包商如此重要,必须先厘清CIDB的注册等级与证书体系。

CIDB等级 招标/项目价值上限 ISO 37001 SPKK要求(2027年1月1日起)
G1 最高RM 200,000 暂不要求
G2 最高RM 500,000 暂不要求
G3 最高RM 1,000,000 暂不要求
G4 最高RM 3,000,000 暂不要求
G5 最高RM 5,000,000 暂不要求
G6 最高RM 10,000,000 暂不要求(关注后续通告动向)
G7 无上限 2027年1月1日起SPKK续期/新申请强制要求

G7是CIDB最高注册等级,不设招标价值上限——正是外资EPC承包商、大型中央企业及主要基础设施企业进入马来西亚政府建筑市场所追求的资质。SPKK(政府工程采购证书)是在基础CIDB承包商注册(PPK)之上的附加证书,持有后方可参与政府项目招标。

外资承包商的G7注册路径

外资承包商在马来西亚有以下主要路径取得CIDB G7注册:

无论适用哪条路径,ISO 37001要求均在2027年1月1日之后的G7 SPKK申请或续期时触发。

四、合规时间线:起步时间决定一切

Pekeliling CIDB Bil. 1/2026最关键的实际影响在于时间线现实:ISO 37001独立实施通常需要6至9个月。已持有ISO 9001(质量管理)或ISO 45001(职业健康安全)认证的企业,可通过整合现有管理体系基础设施将周期压缩至3至4个月。

启动时间 预计认证获批时间 相对2027年1月1日截止日期的状态 风险级别
2026年第一/二季度(1–6月) 2026年第三/四季度 提前达标,从容应对 🟢 低风险
2026年第三季度(7–9月) 2027年第一/二季度 大概率逾期 🟡 高风险
2026年第四季度(10–12月) 2027年第二/三季度 必然逾期;SPKK续期面临风险 🔴 极高风险
尚未启动(2026年6月) 不确定——认证机构审计档期可能已满 逾期风险极大 🔴 极高风险

还存在另一重压力:随着截止日期临近,全马数以千计的G7承包商将集中涌向认证机构,审计资源将极度紧张。认证机构的审计档期有限——2026年第四季度极可能全部排满。当前(2026年中期)启动认证的外资承包商虽然时间紧迫,但仍可实现;再等一个季度的企业将面临真实的运营风险。

五、版本选择:2016版还是2025版?

Pekeliling CIDB Bil. 1/2026所引用的是MS ISO 37001:2016。然而,国际标准化组织已于2025年初发布修订版ISO 37001:2025,国际过渡截止日期为2027年2月28日——仅比CIDB截止日期晚约两个月。

这造成了一个实际困境:若企业在2026年底依据2016版完成认证以满足CIDB要求,几乎在认证获批后立即又需进行向2025版的过渡审计,意味着在极短时间内承担两次审计费用。对于当前启动认证的外资承包商,建议直接向ISO 37001:2025版本认证——前提是所选认证机构已具备对2025版本的审计能力。此举可规避重复审计成本,并确保证书在2027年第一季度过渡期后仍持续有效。

六、MACC法第17A条:企业刑事责任维度

ISO 37001合规不仅是CIDB许可问题,更直接涉及马来西亚最重要的企业反腐败立法。《马来西亚反腐败委员会法》(MACC Act 2009)第17A条确立了企业刑事责任:若商业机构的关联方(包括董事、员工、代理商、分包商及合资伙伴)为该机构利益实施贿赂,且该机构无法证明其已建立"充分的预防程序",则须承担刑事责任。

唯一可用的抗辩理由是机构已建立"充分的程序"以防止此类行为。MACC已就"充分程序"发布指引,而ISO 37001认证是满足该指引要求最具操作性的方式。对外资企业而言尤为重要:马来西亚业务须受第17A条管辖,不论母公司总部位于何处。本地分包商或代理商的贿赂事件,可能将整个集团(包括海外董事)置于刑事追诉风险中。ISO 37001既能降低此类风险,又能在事件发生时提供有据可查的法律抗辩。

特别提示中资及台资承包商:许多在马来西亚运营的大型中央企业和台资EPC企业已依据本国反腐败法律框架建立相关体系。然而,马来西亚法律独立适用,CIDB不接受以本国反贿赂认证替代MS ISO 37001。您的企业必须从获得马来西亚或国际认可认证框架认可的机构取得认证——无论您在中国大陆、台湾或其他地区已持有何种认证。

七、实例演示:一家中资EPC企业的合规路径

设想一家中型中资EPC企业——姑且称为港建工程——于2022年通过合资形式在马来西亚完成一个私营电厂项目。项目竣工后,港建工程正在争取一个价值3.5亿令吉的马来西亚政府铁路基础设施招标,该招标要求参与方持有G7级SPKK。

港建工程2026年6月的现状

港建工程通过其马来西亚子公司持有基础CIDB承包商注册(PPK),但SPKK续期时间为2027年3月。公司持有ISO 9001(质量)和ISO 45001(职业健康安全)认证,但尚无ISO 37001认证。采购团队刚刚获知Pekeliling要求。

合规行动路径

港建工程整合式实施的总成本(顾问费、培训费、认证机构费用)通常在RM 30,000至RM 80,000之间,视企业规模、项目工地数量及运营范围而定——相较于所争取的合同价值而言微不足道。注:具体费用以相关认证机构和顾问报价为准。

八、外资承包商的常见误区及规避方法

误区一:将ISO 37001视为文件整理工程

最常见也最危险的误解是认为ISO 37001只需起草一份反贿赂政策、高层签字即可获证。审计员将深度核查体系的实际运行:培训记录是否及时更新?是否专门针对马来西亚业务开展了真实的风险评估?举报渠道是否运转正常且被员工所知晓?通过浮于表面的实施获得的证书,既无法通过年度监督审计,也无法在第17A条下为企业提供实质保护。

误区二:以为母公司认证可以替代

母公司在中国大陆、台湾或新加坡持有的ISO 37001证书不满足CIDB要求。马来西亚子公司或注册主体必须就其马来西亚业务取得独立认证,且认证范围必须覆盖与SPKK相关的马来西亚建筑活动。

误区三:启动过晚,低估认证机构档期

获认可的认证机构审计资源有限。随着2026年第四季度临近,数千家马来西亚G7承包商的集中需求将大幅压缩可用审计档期。未能在2026年第三季度前预约认证审计的外资企业,届时即便全力推进实施,也可能因档期已满而无法在2027年1月1日前获得证书。应立即启动流程,并尽早预约审计档期——即便在实施工作完成之前,也应提前确认认证机构对您目标第二阶段审计日期的可用性。

误区四:落入版本过渡陷阱

在2026年底依据ISO 37001:2016版认证,意味着数月内就需进行2025版过渡,产生重复审计成本。建议与认证机构协商直接依据2025版标准认证,确保证书在过渡截止日期后仍具有实质有效期。

误区五:供应链尽职调查覆盖不足

ISO 37001要求对"业务伙伴"进行尽职调查——在马来西亚建筑业语境下,包括分包商、材料供应商、监管顾问、许可证代理及所有代表企业行事的第三方。外资承包商通常已有集团层面的供应商行为准则,但缺乏马来西亚本地的实施落地。审计员将核查尽职调查是否切实执行,而非仅有模板存在。

九、现在就行动:六步合规行动方案

无论您的SPKK续期时间是2027年1月还是2027年12月,要求都是一样的:续期时必须持有有效的MS ISO 37001证书。以下是马来西亚外资G7承包商的即时行动方案:

  1. 查明SPKK续期日期。登录CIDB的CIMS系统,确认您的SPKK具体到期时间,以此确定行动的紧迫性。
  2. 开展差距评估。聘请具有马来西亚建筑业ISO 37001经验的顾问,对照标准要求评估现有治理实践,确定实施范围和切实可行的时间表。
  3. 确定版本目标——直接实施ISO 37001:2025。确认所选认证机构已具备对2025版本审计的认可资质,以避免后续重复过渡审计。
  4. 实施ABMS。在马来西亚业务全范围内推行反贿赂政策、风险评估、管控措施、培训及举报机制。已有ISO管理体系的企业,应整合而非另起炉灶。
  5. 立即预约认证审计档期。联系获认可认证机构(如SIRIM QAS International、NIOSH-CERT、Bureau Veritas、劳氏船级社等),在档期被抢占前预约第一阶段和第二阶段审计时间。
  6. 取得认证并向CIDB提交。在SPKK申请或续期时出示证书。通过年度监督审计保持证书持续有效——CIDB要求在每次续期时均须提交当前有效的证书,而非一次性满足。

ONEKEY BIZ为外资企业提供从CIDB注册、SPKK申请,到ISO管理体系协调及持续合规的全流程支持。联系我们的团队,结合您的具体情况探讨合规路径,或了解我们马来西亚市场准入与合规服务的完整方案

]]>

常见问题

CIDB Pekeliling Bil. 1/2026具体适用于哪些对象?外资承包商是否也受约束?

是的。Pekeliling CIDB Bil. 1/2026适用于所有持有或申请SPKK(政府工程采购证书)的G7级承包商,无论本地还是外资。在CIDB以G7级注册并希望参与马来西亚政府建筑工程招标的外资承包商,与本地承包商适用完全相同的要求,不存在基于国籍或来源国的豁免条款。

若G7承包商未能在2027年1月1日前取得ISO 37001认证,将面临什么后果?

自2027年1月1日起,若G7承包商未持有有效的MS ISO 37001证书,其SPKK申请或续期将被拒绝或无法推进。由于SPKK是参与政府建筑招标的强制性前提条件,失去SPKK资格意味着该承包商将被排除在所有马来西亚政府建筑项目之外——而这些项目价值往往高达数亿令吉。现有G7持有者不享有任何过渡期或豁免条款。

在马来西亚实施并取得MS ISO 37001认证需要多长时间?

从零开始独立实施通常需要6至9个月,涵盖差距评估、政策与程序制定、员工培训、内部审核及外部认证审计。已持有ISO 9001或ISO 45001认证的企业,可通过与现有管理体系整合将周期缩短至3至4个月。考虑到2027年1月1日的截止日期,2026年第三季度仍未启动的承包商将面临极大的时间压力,届时认证机构的审计档期也可能已排满。

外资企业能否使用海外认证机构进行ISO 37001认证,还是必须使用马来西亚本地机构?

认证机构必须获得马来西亚标准局(DSM/JSM)的认可,或获得国际认可论坛(IAF)成员机构的认可,例如英国UKAS、印度尼西亚KAN或美国ANAB。通过马来西亚注册实体运营的国际知名认证机构的证书同样被接受。外资承包商在启动认证前,应先向所选认证机构确认其认可状态。

本文仅供一般参考,不构成法律、税务或移民建议。相关政策、门槛与官方费用由马来西亚主管机构制定,并可能随时调整。请就您的具体情况咨询我们的顾问。

ONEKEY BIZ 如何协助您

需要我们在马来西亚协助您办理?

中英文顾问全程代办——固定报价,绝无隐藏费用。