ISO 37001 adalah sistem manajemen anti penyuapan. Penting bagi organisasi untuk memiliki sertifikat ISO 37001. Sertifikat ISO 37001 merupakan lambang pengakuan dari pihak luar yang kredibel dan independen bahwa organisasi sudah menjalankan persyaratan di ISO 37001.
ISO 37001 mencerminkan perkembangan praktik anti-penyuapan dengan munculnya tanggung jawab perusahaan. Persyaratannya bukanlah hal baru bagi praktisi di lapangan. Hal yang inovatif tentang ISO 37001 adalah bahwa ia menawarkan pendekatan yang terstruktur dan mendalam terhadap anti-penyuapan yang belum pernah ada sebelumnya.
Untuk mendapatkan sertifikat ISO 37001, organisasi harus mengembangkan sistem manajemen anti penyuapan dalam organisasinya. Berikut langkah-langkah yang harus dipersiapkan untuk sertifikasi ISO 37001 :
Langkah 1: Komitmen Manajemen Puncak
Manajemen puncak harus menunjukkan komitmen dan tekad untuk menerapkan sistem manajemen anti penyuapan ISO 37001 di organisasi. Ini adalah elemen penting dari sistem manajemen anti penyuapan. Faktanya, penelitian telah menunjukkan bahwa inilah salah satu faktor yang memiliki dampak paling prediktif terhadap keberhasilan tindakan anti suap. Kepemimpinan adalah Direksi atau Dewan Pengawas atau siapapun yang memiliki kewenangan tertinggi dalam suatu organisasi secara aktif mendukung dan mendorong penerapan sistem manajemen anti suap. Lebih lanjut, kepemimpinan berarti bahwa manajemen senior harus berkomitmen penuh dan secara aktif terlibat dalam menerapkan sistem dengan dukungan, bukan pendelegasian, fungsi Kepatuhan. Kepemimpinan harus dikomunikasikan dengan jelas dan terbuka.
Manajemen puncak harus memberikan bukti komitmennya untuk pengembangan dan implementasi sistem manajemen anti penyuapan dan terus meningkatkan efektivitasnya dengan:
- memastikan kebijakan dan sasaran, ditetapkan, diterapkan, dipelihara dan ditinjau secara berkelanjutan
- memastikan integrasi persyaratan sistem manajemen anti penyuapan kedalam proses organisasi
- menyediakan sumber daya yang cukup dan tepat untuk operasi yang efektif dari sistem manajemen anti penyuapan;
- mengomunikasikan kebijakan anti penyuapan secara internal dan eksternal;
- mengomunikasikan secara internal pentingnya manajemen anti penyuapan yang efektif dan memenuhi persyaratan sistem manajemen anti penyuapan;
- memastikan sistem manajemen anti penyuapan dirancang secara tepat untuk mencapai sasarannya;
- mengarahkan dan mendukung personel untuk berkontribusi pada keefektifan sistem manajemen anti penyuapan;
- mempromosikan budaya anti penyuapan yang sesuai di organisasi;
-
- mempromosikan peningkatan berkelanjutan
- mendukung peran manajemen yang relevan lainnya untuk memperagakan kepemimpinannya dalam mencegah dan mendeteksi penyuapan yang terjadi di bidang tanggung jawab mereka;
- mendorong penggunaan prosedur pelaporan untuk penyuapan yang dicurigai
- memastikan tidak ada personel yang menderita tindakan pembalasan, diskriminasi atau disipliner
- pada waktu yang direncanakan, melaporkan ke dewan pengarah (jika ada) mengenai isi dan operasi dari sistem manajemen anti penyuapan dan atas tuduhan serius atau penyuapan terstruktur.
Langkah 2. Membentuk Tim Fungsi Kepatuhan Anti Penyuapan
ISO 37001:2016 mewajibkan pembentukan tim anti penyuapan atau sering disebut fungsi kepatuhan anti penyuapan dalam penerapan ISO 37001. Bisa terdiri dari satu atau beberapa orang tergantung kompleksitas suatu organisasi. Orang-orang yang tergabung dalam team ini bertugas sebagai koordinator untuk merencanakan, implementasikan & mengawasi pelaksaan ISO 37001. Untuk kelancaran proses persiapan ISO, pastikan posisi ini diisi oleh seseorang yang mengerti perusahaan, berkompeten dan memahami persyaratan ISO 37001, regulasi yang berhubungan dengan penyuapan, dokumen kontrol, dan lebih baik seorang yang disegani oleh orang-orang di perusahaan.
Standar ISO 37001: 2016 mengharuskan fungsi kepatuhan anti-penyuapan dikelola oleh orang-orang yang memiliki kompetensi, status, wewenang, dan independensi yang sesuai. Dalam hal ini:
- Kompetensi berarti bahwa orang yang relevan memiliki pendidikan, pelatihan atau pengalaman, kemampuan pribadi untuk menangani persyaratan ISO 37001, dan kapasitas untuk belajar tentang peran dan melaksanakannya dengan tepat
- Status berarti bahwa orang lain cenderung mendengarkan dan menghormati pendapat orang tersebut
- Otoritas berarti bahwa orang yang relevan yang diberi tanggung jawab kepatuhan diberikan kekuasaan yang cukup oleh manajemen puncak sehingga mampu menjalankan tanggung jawab kepatuhan secara efektif;
- Kemandirian berarti bahwa orang yang relevan yang diberi tanggung jawab kepatuhan sejauh mungkin tidak terlibat secara pribadi dalam aktivitas organisasi yang memiliki risiko penyuapan.
Langkah 3. Memeriksa & Identifikasi Kondisi Saat ini
Tujuan ISO 37001 adalah untuk menciptakan sistem manajemen anti penyuapan yang sesuai dengan persyaratan ISO 37001. Ini tidak menghalangi untuk memasukkan, mengadaptasi, dan menambahkan program kepatuhan dan etik yang sudah ada sebelumnya. Jadi langkah selanjutnya adalah membandingkan sistem manajemen yang sudah ada saat ini dengan persyaratan dari ISO 37001:2016. Organisasi butuh membuat diagram alir proses atau proses bisnis organisasi terlebih dahulu. Sejumlah besar prosedur tertulis yang dipersyaratkan di ISO 37001 mungkin sudah ada. Jika belum ada berarti harus dibuat. Dan apakah hal-hal yang diwajibkan dilaksanakan di ISO 37001 sudah dilakukan atau belum, jika belum dilaksanakan wajib di identifikasi dan dicatat.
Dalam proses peninjauan, dokumen harus dikumpulkan , dipelajari dan didaftarkan untuk penggunaan lebih lanjut, atau mungkin direvisi.
Setelah organisasi memperoleh gambaran yang jelas tentang bagaimana sistem manajemen saat ini dibandingkan dengan persyaratan ISO 37001: 2016, semua ketidaksesuaian harus koreksi dengan rencana implementasi yang terdokumentasi.
Langkah 4. Menentukan Ruang Lingkup dan Kebijakan Organisasi
Menentukan ruang lingkup Sistem Manajemen Anti Penyuapan (SMAP) telah menjadi bagian dari persyaratan ISO 37001. Ruang lingkup ini adalah bagian penting dari manual anti penyuapan, karena menentukan seberapa jauh dan luas dalam penerapan ISO 37001 dalam perusahaan. Ruang lingkup SMAP dapat mencakup seluruh organisasi, fungsi tertentu, atau satu fungsi atau lebih di seluruh kelompok organisasi. Biasanya ruang lingkup ini akan sangat dipengaruhi oleh produk dan layanan organisasi. Pengecualian dari ruang lingkup hanya diizinkan ketika pengecualian ini tidak mempengaruhi kinerja area yang akan diaudit nantinya.
Kebijakan adalah maksud dan tujuan dari organisasi yang dinyatakan secara formal oleh manajemen puncak. Manajemen puncak harus menetapkan kebijakan anti penyuapan yang sesuai dengan tujuan dan konteks organisasi, dan ia harus mendukung arahan strategisnya. Ini juga harus menyediakan kerangka kerja untuk menetapkan dan meninjau tujuan anti penyuapan, termasuk komitmen untuk memenuhi persyaratan yang berlaku dan untuk terus meningkatkan sistem manajemen anti penyuapan. Merupakan tanggung jawab manajemen puncak untuk menerapkan dan memelihara kebijakan anti penyuapan.
Langkah 5. Melakukan Penilaian Risiko Penyuapan
Menilai risiko adalah kunci untuk membuat dan menerapkan program kepatuhan yang efektif. Penilaian risiko membantu perusahaan Anda mengidentifikasi risiko, menentukan prioritas, dan mengembangkan kebijakan dan prosedur untuk mengatasi risiko. Semakin perusahaan memahami risiko penyuapan, semakin efektif kebijakan dan prosedur untuk mencegah penyuapan. Semua area dan aktifitas yang memiliki risiko penyuapan hrus dilakukan penilaiannya.
Penilaian risiko yang efektif akan berisi komponen-komponen berikut:
- Melibatkan orang-orang yang diperlukan untuk menjamin gambaran lengkap risiko yang dihadapi organisasi di berbagai aktifitas dan area
- Memperhitungkan semua aktivitas yang mungkin berisiko menimbulkan suap
- Menghindari opini yang terbentuk sebelumnya tentang efektivitas pengendalian, serta integritas pihak ketiga atau karyawan.
- Mengidentifikasi risiko, kemudian menjelaskannya secara rinci.
- Mengevaluasi risiko penyuapan berdasarkan kemungkinan dan dampaknya.
- Memprioritaskan risiko penyuapan atau membuat level risiko berdasarkan kriteria untuk mengevaluasi tingkat risiko penyuapan,
- Membuat mitigasi untuk mengendalikan risiko penyuapan
- Didokumentasikan untuk menunjukkan bahwa penilaian risiko yang efektif telah diselesaikan.
- Dilakukan secara teratur, tidak hanya sekali.
- Dikomunikasikan untuk membantu pembuatan prosedur, kebijakan, dan kontrol yang tepat.
- Libatkan semua area yang akan di identifikasi risiko penyuapannya.
Langkah 6. Membuat Sasaran atau target SMAP & Perencanaan untuk pencapaiannya
Organisasi harus menetapkan sasaran sistem manajemen anti penyuapan pada fungsi dan tingkat yang relevan. Sasaran atau target yang dibuat harus spesifik, terukur, dimonitor dan dikomunikasikan. Sasaran ini harus dituangkan kedalam informasi yang terdokumentasi.
Selain memiliki sasaran, organisasi harus menetapkan rencana atau strategi untuk mencapai sasaran tersebut. Apa yang harus dilakukan ? Sumber daya apa yang dibutuhkan ? Siapa yang bertanggung jawab ? Kapan sasaran ini akan diselesaikan dan bagaimana hasilnya akan dievaluasi.
Langkah 8. Membuat Dokumentasi ISO 37001
ISO 37001: 2016 memberi organisasi beberapa fleksibilitas tentang cara mendokumentasikan sistem manajemen antisuap (ABMS). Ada istilah baru yaitu informasi yang terdokumentasi. Ada dokumen wajib dan dokumen yang dibutuhkan (tidak wajib). Informasi yang terdokumentasi ini bisa berbentuk prosedur atau instruksi kerja atau form, dan juga dalam bentuk catatan atau record. Organisasi dianjurkan untuk tetap membuat Manual atau Pedoman Anti penyuapan. Lalu membuat kontek organisasi yang berhubungan dengan penyuapan, serta mengidentifikasi kebutuhan dan harapan pihak yang berkepentingan. Lalu membuat pernyataan terdokumentasi tentang kebijakan anti penyuapan dan sasaran anti penyuapan beserta programnya, serta prosedur yang menerangkan beberapa proses dan aktifitas yang dipersyaratkan di ISO 37001. Dan menyediakan catatan yang membuktikan bahwa prosedur tersebut dilaksanakan.
Untuk detail dokumen ini nanti bisa dilihat diartikel lain, yaitu Dokumen ISO 37001:2016. Setelah dokumentasi sistem manajemen anti penyuapan yang diperlukan dibuat, dokumen ini harus dikontrol. Kontrol dilakukan dengan cara mengelola pembuatan, persetujuan, distribusi, revisi, penyimpanan, dan pembuangan berbagai jenis dokumentasi. Sistem kontrol dokumen harus sesederhana dan semudah mungkin dioperasikan. Selain dibuat dan di kontrol, semua dokumen ini harus dipahami pihak yang akan menggunakan dokumen tersebut
Langkah 8. Mulai Program Kesadaran & Pelatihan ISO 37001
Program kesadaran diawali dengan mengkomunikasikan secara resmi rencana organisasi untuk mempersiapkan sertifikasi ISO 37001, serta mengkomunikasikan kepada seluruh karyawan tujuan dari sistem manajemen anti penyuapan ISO 37001; keuntungan yang ditawarkannya kepada karyawan, pelanggan, dan organisasi; bagaimana cara kerjanya; dan peran serta tanggung jawab mereka dalam sistem. Program kesadaran harus menekankan manfaat yang diharapkan organisasi untuk diwujudkan melalui sistem manajemen anti penyuapan ISO 37001-nya.
Setelah itu dilakukan program pelatihan, yang harus disusun untuk berbagai kategori karyawan – manajer senior, manajer tingkat menengah, pengawas dan pekerja. Pelatihan harus mencakup konsep dasar sistem manajemen anti penyuapan, pemahaman persyaratan ISO 37001 serta dampak keseluruhannya pada tujuan strategis organisasi, proses, dan aktifitas harian.
Selain itu, pelatihan awal diperlukan dalam pemahaman penyusunan dokumen seperti manual anti penyuapan, prosedur dan instruksi kerja, dll. Jika kompetensi pihak internal untuk melakukan pelatihan seperti itu tidak tersedia, mungkin perlu untuk berpartisipasi dalam kursus pelatihan eksternal yang dijalankan oleh organisasi pelatihan profesional. Atau, lembaga pelatihan eksternal dapat diundang untuk mengadakan kursus pelatihan in-house.
Langkah 9 : Implementasi
Implementasi berdasarkan semua dokumen yang sudah dibuat sebelumnya. Ini untuk memastikan prosedur dan seluruh dokumen yang sudah dibuat telah dimengerti, dan diterapkan sepenuhnya oleh seluruh jajaran karyawan. Pastikan karyawan dan pihak terkait melaksanakan prosedur yang sudah ada.
- Menyediakan sumber daya yang sudah direncanakan.
- Meningkatkan kompetensi dengan melaksanakan sosialisasi & pelatihan mengenai Kebijakan Anti Penyuapan, Persyaratan ISO 37001 dan Sistem Manajemen Anti Penyuapan milik organisasi (Semua prosedur, instruksi kerja, mengisi form dll).
- Melaksanakan uji kelayakan terhadap projek, rekan bisnis & personal.
- Melakukan pengendalian keuangan
- Melakukan pengendalian non keuangan
- Penerapan pengendalian anti penyuapan yang dikendalikan organisasi dan rekan bisnisnya
- Meminta komitmen anti penyuapan dari rekan bisnis
- Menjalankan prosedur pemberian dan penerimaan hadiah, kemurahan hati, sumbangan dan keuntungan serupa
- Mengelola ketidakcukupan pengendalian anti penyuapan
- Meningkatkan kepedulian dengan melaksanakan program pelaporan
- Melakukan investigasi dan penanganan penyuapan
Langkah 10 : Melaksanakan Pelatihan Auditor Internal
Pelaksanaan SMAP harus dipantau untuk memastikan bahwa sistem manajemen anti penyuapan efektif dan sesuai dengan standar. Salah satu pemantauan dilakukan dengan audit internal. Audit internal dilakukan oleh auditor internal. Untuk itu perlu adanya pelatihan bagi internal auditor ini, agar mereka kompeten dalam pelaksanaan audit nantinya. Auditor harus mampu merencanakan, melaksanakan dan membuat laporan dari audit yang efektif dan memberikan nilai tambah bagi area yang diaudit. Audit bukanlah mencari-cari kesalahan, tetapi mencari kesesuaian dengan persyaratan ISO 37001:2016, persyaratan pelanggan serta kepatuhan terhadap peraturan dan perundangan. Pelatihan ini bisa melibatkan pihak luar yang sudah kompeten dalam pelaksanaan audit.
Langkah 11 : Melakukan evaluasi kinerja termasuk melaksanakan internal audit & tinjauan dari tim fungsi kepatuhan
Organisasi harus melakukan pemantauan, pengukuran, analisis dan evaluasi, untuk memungkinkan organisasi untuk menentukan apakah hasil yang diinginkan tercapai. Pemantauan sistem manajemen anti penyuapan dapat mencakup, sebagai contoh area berikut:
- a) keefektifan pelatihan.
- b) keefektifan pengendalian, misalnya apakah sasaran anti penyuapan tercapai, bagaimana budaya anti suap di organisasi.
- c) keefektifan alokasi tanggung jawab untuk memenuhi persyaratan sistem manajemen anti penyuapan.
- d) keefektifan dalam kepatuhan regulasi & identifikasi kegagalannya.
- e) evaluasi terhadap internal audit.
Organisasi juga harus memastikan bahwa semua proses evaluasi diatas terdokumentasi dan disimpan sebagai bukti hasil pemantauan, pengukuran, analisis dan evaluasinya.
Selain evaluasi diatas, organisasi diwajibkan melakukan internal audit. Perusahaan dapat mengetahui kinerja dan efektivitas sistem manajemen dari pandangan yang tidak memihak, untuk memastikan bahwa pengaturan direncanakan, dilaksanakan dan dipelihara dengan secara efektif. Melalui audit internal dapat digunakan untuk menentukan apakah sistem manajemen sesuai dengan persyaratan dari ISO 37001:2016, SMAP Organisasi dan regulasi. Metode audit harus mencakup pengamatan langsung terhadap proses (observasi), wawancara dengan orang yang relevan, dan pemeriksaan informasi terdokumentasi (seperti prosedur internal, instruksi kerja, form, persyaratan ISO 37001, peraturan dan perundangan, dan dalam sistem manajemen anti penyuapan perusahaan).
Setelah melakukan internal audit, tim fungsi kepatuhan harus melaksanakan evaluasi terhadap proses diatas. Ini adalah tinjauan yang khusus dilakukan oleh tim fungsi kepatuhan.
Fungsi kepatuhan anti penyuapan harus menilai secara berkelanjutan apakah sistem manajemen anti penyuapan:
- a) cukup secara efektif mengelola risiko penyuapan yang dihadapi oleh organisasi;
- b) diterapkan secara efektif.
Langkah 12 : Melaksanakan Rapat Tinjauan Manajemen
Manajemen puncak harus melakukan tinjauan manajemen. Ini adalah aktivitas yang harus dilakukan manajemen puncak sejalan dengan arah strategis organisasi. Tujuannya adalah untuk meninjau informasi tentang kinerja sistem manajemen anti penyuapan untuk menentukan apakah masih sesuai, memadai dan efektif.
Tinjauan manajemen harus dilakukan pada interval yang direncanakan; ini bisa bulanan, triwulanan, setengah tahunan atau tahunan. Organisasi harus membahas bagaimana hal itu akan memastikan bahwa semua persyaratan tinjauan manajemen ISO 37001 terpenuhi.
Organisasi dapat melakukan tinjauan manajemen sebagai kegiatan mandiri atau dalam kombinasi kegiatan terkait (mis. Pertemuan, laporan, rakernas dll). Waktu tinjauan manajemen dapat dijadwalkan bertepatan dengan kegiatan bisnis lainnya (mis. Perencanaan strategis, perencanaan bisnis, pertemuan tahunan, rapat operasi, ulasan standar sistem manajemen lainnya) untuk menambah nilai dan untuk menghindari beberapa pertemuan yang berlebihan.
Langkah 13 : Melaksanakan Perbaikan
Melakukan tindakan perbaikan untuk semua ketidaksesuaian dan ketidakefektifan yang ditemukan dari hasil evaluasi sebelumnya. Dan secara terus menerus meningkatkan kesesuaian, kecukupan dan keefektifan sistem manajemen anti penyuapan.
Langkah 14: Audit Ekternal oleh Badan Sertifikasi
Setelah langkah awal hingga langkah ke 13 dilaksanakan, organisasi siap menghubungi badan sertifikasi untuk pelaksanaan audit. Pihak badan sertifikasi lalu akan mengirimkan jadwal audit. Untuk audit awal ini, biasanya didahului dengan stage 1 audit, yaitu audit dokumentasi terlebih dahulu. Badan sertifikasi akan melakukan audit kelengkapan dan keakuratan dokumentasi. Jika audit ini sudah dapat terpenuhi dengan baik, maka akan dilanjutkan dengan audit stage 2. Atau audit implementasi dan keefektifan sistem manajemen anti penyuapan yang ada.
Mempersiapkan karyawan
Sebelum audit oleh pihak eksternal, organisasi harus memastikan bahwa semua karyawan tahu bahwa audit akan dilakukan, dan apa tujuan audit ini. Ini akan membantu mereka memahami bagaimana menanggapi pertanyaan auditor. Karyawan harus merespons secara terbuka dan jujur kepada auditor. Auditor mencari bukti bahwa organisasi mematuhi persyaratan ISO 37001 dan regulasi yang ada, karyawan adalah orang-orang yang akan memberikan bukti itu. Mempersiapkan mereka untuk menjawab pertanyaan auditor akan membuat audit berjalan lebih lancar.
Siapkan fasilitas
Pastikan semua area fasilitas bersih dan rapi. Pastikan dokumen tersedia. Periksa papan buletin, konter, lemari, laci untuk dokumen yang tidak terkontrol. Sediakan salinan Manual dan Prosedur untuk auditor.
Tentukan tempat bagi auditor ekternal untuk bekerja. Mereka perlu mengerjakan dokumentasi dan pelaporan. Saat Pandemi ini audit secara remote (online) juga dimungkinkan.
Selamat menikmati audit oleh pihak ekternal.