Keamanan Informasi untuk Mendukung Aspek ESG Organisasi

Ditulis Oleh, Maulana Iqbal Ruswandi, Lead Consultant IT GRC – Robere & Associates (Indonesia)

Dewasa ini, ESG (Environmental, Social, and Governance) telah menjadi aspek penting yang perlu diperhatikan oleh organisasi dalam menjalankan bisnisnya. Ketiga aspek ini sering digunakan untuk mengukur dampak dan keberlanjutan usaha suatu organisasi.

Pentingnya ESG dalam Dunia Bisnis

Aspek ESG mempengaruhi berbagai aspek operasional organisasi, persepsi publik, serta nilai jual organisasi. Berikut penjabaran dari aspek-aspek ESG:

  1. Environmental (Lingkungan): Mengukur dampak kegiatan organisasi terhadap lingkungan, termasuk pengelolaan limbah, penggunaan sumber daya, pelestarian lingkungan, serta kebijakan terkait perubahan iklim.
  2. Social (Sosial): Menilai interaksi perusahaan dengan karyawan, pemasok, pelanggan, dan otoritas. Fokus pada pemenuhan harapan dan kebutuhan, kondisi kerja, kesehatan dan keselamatan, serta hubungan dengan kelompok minat khusus.
  3. Governance (Tata Kelola): Merujuk pada kepemimpinan, audit, kontrol internal, dan pemenuhan hak shareholders. Penting untuk memastikan kehandalan dalam pengelolaan perusahaan, mengurangi risiko penurunan kinerja dan reputasi.

Pengelolaan Keamanan Informasi dan ESG

Untuk mendukung aspek-aspek ESG, organisasi perlu meningkatkan pengelolaan keamanan informasi dalam operasional bisnis. Salah satu standar internasional yang dapat diacu adalah ISO/IEC 27001:2022, yang berfokus pada menjaga ketersediaan, kerahasiaan, dan integritas informasi serta fasilitas pengolahan informasi.

Meskipun fokus utamanya pada keamanan informasi, penerapan ISO/IEC 27001:2022 dapat memberikan dampak positif terhadap aspek-aspek ESG:

  1. Pengaruh terhadap Lingkungan (Environmental):
    • Pada pasal 4.1, standar ISO/IEC 27001:2022 mengharuskan organisasi untuk mengidentifikasi isu internal dan eksternal dengan mempertimbangkan aspek perubahan iklim dan lingkungan.
    • Contohnya adalah penggunaan metode paperless dalam pengelolaan dokumen, yang tidak hanya mengurangi risiko kerusakan dan pencurian dokumen tetapi juga ramah lingkungan.
  2. Pengaruh Sosial (Social):
    • Standar ini dapat meningkatkan perlindungan data pribadi dan hak kekayaan intelektual (HAKI), yang merupakan inti dari tanggung jawab sosial.
    • Pengelolaan dan perlindungan data yang efektif menunjukkan komitmen terhadap privasi dan keamanan, membangun kepercayaan pelanggan.
  3. Tata Kelola (Governance):
    • ISO/IEC 27001:2022 menetapkan kerangka kerja untuk penerapan sistem manajemen keamanan informasi yang mencakup perencanaan, pelaksanaan, pemeriksaan, dan tindak lanjut.
    • Hal ini membantu organisasi menerapkan tata kelola terkait keamanan informasi yang baik.

Kesimpulan

Penerapan ISO/IEC 27001:2022 dalam pengelolaan keamanan informasi memberikan dampak positif signifikan terhadap aspek ESG dalam organisasi. Implementasi ini tidak hanya meningkatkan kualitas dan nilai tambah organisasi tetapi juga memastikan operasional yang lebih berkelanjutan dan bertanggung jawab.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Keamanan Informasi berdasarkan ISO/IEC 27001:2022, Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Meningkatkan Kinerja melalui Penerapan Tata Kelola Perusahaan

Ditulis Oleh, Hilman Badhi Adikara, Team Leader GRC – Robere & Associates (Indonesia)

Tata kelola perusahaan adalah fondasi utama keberhasilan suatu perusahaan. Dalam era globalisasi dan persaingan yang semakin ketat saat ini, perusahaan yang mampu menerapkan praktik tata kelola yang baik memiliki peluang yang lebih besar untuk mencapai pertumbuhan yang berkelanjutan. Tata kelola perusahaan dapat merujuk pada kerangka kerja dan praktik manajemen yang digunakan oleh suatu perusahaan untuk mengelola dan mengarahkan operasinya. Hal ini mencakup hubungan antara pemegang saham, dewan komisaris, dewan direksi, dan pihak-pihak terkait lainnya.

Untuk dapat melakukan penerapan yang baik, Perusahaan dapat berpedoman kepada peraturan perundangan yang relevan dengan proses bisnis dijalankan atau referensi lain yang berisikan kerangka kerja tata kelola.

Mengapa penting bagi Perusahaan?

Pada dasarnya tata kelola merupakan aturan dasar yang harus dimiliki oleh Perusahaan, untuk mendukung berjalannya proses bisnis perusahaan yang efektif dan efisien, serta mendukung pencapaian target Perusahaan. Namun, sayangnya beberapa perusahaan saat ini belum sepenuhnya mengetahui betapa penting tata kelola perusahaan yang baik.

Beberapa manfaat penting dalam menerapkan tata kelola perusahaan yang baik, diantaranya:

  1. Meningkatkan nilai bagi pemangku kepentingan dalam jangka panjang;
  2. Stewardship sumber daya yang efektif;
  3. Ketahanan dan kinerja perusahaan dapat meningkat;
  4. Meningkatkan efektivitas pengambilan keputusan;
  5. Komposisi dan retensi personel di perusahaan meningkat;
  6. Meningkatkan kepercayaan dari pihak – pihak yang berkepentingan dengan perusahaan;
  7. Meningkatkan nilai aset yang tidak berwujud, seperti reputasi, citra publik, dan kepercayaan publik.

Referensi Regulasi di Indonesia

Dalam hal penerapan tata kelola, regulator di Indonesia telah menetapkan beberapa peraturan yang mengatur bagaimana perusahaan dalam menerapkan tata kelola berdasarkan proses bisnis yang dijalankan. Berikut beberapa referensi regulasi berdasarkan jenis Perusahaan yang ada di Indonesia sebagai berikut:

Jenis PerusahaanRegulasi Tata Kelola
Perusahaan Badan Usaha Milik Negara (BUMN)Peraturan Menteri BUMN Nomor 2 tahun 2023 tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan BUMN (Badan Usaha Milik Negara).
Perusahaan perasuransianOtoritas Jasa Keuangan Nomor 73/POJK.05/2016 tentang Tata Kelola Perusahaan yang Baik bagi Perusahaan Perasuransian dan Peraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 7 tahun 2023 tentang Tata Kelola dan Kelembagaan Perusahaan Asuransi Berbentuk Usaha Bersama.
Bank UmumPeraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 17 tahun 2023 tentang Penerapan Tata Kelola bagi Bank Umum.
Bank Perkreditan RakyatPenerapan Tata Kelola bagi Bank Perkreditan Rakyat.
Perusahaan PembiayaanPeraturan Otoritas Jasa Keuangan Nomor 30/POJK.05/2014 tentang Tata Kelola Perusahaan yang Baik bagi Perusahaan Pembiayaan.
Perusahaan Modal VenturaPeraturan Otoritas Jasa Keuangan Nomor 36/POJK.05/2015 tentang Tata Kelola Perusahaan yang Baik bagi Perusahaan Modal Ventura.

Standar Internasional terkait Tata Kelola Perusahaan

International Organization for Standardization (IOS) menerbitkan standar internasional terkait Tata Kelola Perusahaan yang baik yaitu ISO 37000 pada tahun 2021. Standar ISO 37000 memberikan gambaran umum mengenai tata kelola perusahaan disertai dengan prinsip dan hasil keluaran dari penerapan tata kelola. Berikut gambaran umum dari ISO 37000:2021:

Standar Internasional terkait Tata Kelola Perusahaan
Gambaran Umum ISO 37000:2021

 

Integrasi Tujuan dan Prinsip untuk Tata Kelola Perusahaan Menurut ISO 37000:2021

ISO 37000:2021 menekankan pentingnya Perusahaan memiliki Tujuan (Purpose) yang jelas sebagai prinsip utama (Primary) bagi Perusahaan. Untuk mendukung tercapainya tujuan, Perusahaan harus menetapkan nilai Perusahaan (Value generation), strategi, pengawasan, dan juga akuntanbilitas dalam proses bisnisnya. Hal tersebut menjadi prinsip dasar (foundational) dalam penerapan tata kelola perusahaan yang baik Penerapan prinsip utama dan prinsip dasar perlu didukung oleh prinsip pendukung (enabling) yang terdiri atas kepemimpinan, pengambilan keputusan berdasarkan data, tata kelola risiko, tanggung jawab sosial, keterlibatan dengan pemangku kepentingan, kinerja dan keberlangsungan Perusahaan.

Melalui penerapan prinsip utama, prinsip dasar, dan prinsip pendukung ini Perusahaan dapat memperoleh hasil yang terdiri atas:

  1. Kinerja yang efektif: Perusahaan dapat berjalan sesuai dengan tujuan dan persyaratan yang berlaku, meningkatkan nilai bagi pemangku kepentingan, serta selaras dengan kebijakan dan ekspektasi dari pemangku kepentingan yang relevan.
  2. Stewardship yang bertanggung jawab: Perusahaan dapat memanfaatkan sumber daya dengan cara yang bertanggung jawab, dapat menyeimbangkan dampak positif dan negatif yang timbul dari proses kerja perusahaan, mempertimbangkan konteks secara global yang dapat mempengaruhi bisnis perusahaan, memastikan kontribusi perusahaan terhadap pembangunan berkelanjutan, serta menimbulkan kepercayaan dan keyakinan dari masyarakat di tempat perusahaan beroperasi.
  3. Perilaku etis: Perusahaan memiliki perilaku sesuai dengan prinsip – prinsip yang dapat diterima dan norma yang berlaku, seperti budaya etis, akuntabilitas, keadilan dalam perlakukan dan keterlibatan dengan pemangku kepentingan, integritas dan transparansi dalam memenuhi kewajibannya, serta berkompetensi dan menjunjung tinggi kejujuran ketika perusahaan membuat keputusan.

Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Tata Kelola Perusahaan berdasarkan ISO 37000:2021,

Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Penilaian Risiko Penyuapan Berbasis ISO 37001:2016

Ditulis Oleh, Rian Munanjar, Lead Consultant GRC – Robere & Associates (Indonesia)

Implementasi ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan (SMAP) dapat memberikan manfaat signifikan bagi organisasi, termasuk peningkatan reputasi, pengurangan risiko hukum dan keuangan, serta peningkatan hubungan dengan stakeholder. Standar ini juga membantu menciptakan budaya organisasi yang menolak penyuapan, mendorong integritas dan transparansi dalam semua aspek bisnis.

Mengenal ISO 37001:2016  

ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan memperkenalkan kerangka kerja yang komprehensif untuk mengelola risiko penyuapan dalam operasi sehari-hari dan transaksi bisnis. Elemen kunci dari standar ini mencakup kebijakan anti penyuapan, prosedur uji kelayakan proses, pelatihan karyawan terkait dengan anti penyuapan, evaluasi risiko penyuapan, uji kelayakan rekan bisnis dan tindak lanjut serta pemantauan efektivitas sistem manajemen anti penyuapan. Pengelolaan risiko penyuapan merupakan salah satu langkah awal yang kritikal bagi organisasi yang akan mengimplementasikan SMAP.

Mengapa Organisasi Perlu Menyusun Risiko Penyuapan Berdasarkan ISO 37001:2016

Tujuan penilaian risiko penyuapan adalah agar suatu organisasi mampu membentuk fondasi yang kokoh dalam mengimplementasikan Sistem Manajemen Anti Penyuapan, dimana melalui identifikasi risiko penyuapan Organisasi dapat menetapkan fokus pada risiko prioritas. Dengan memahami risiko prioritas yang harus dihadapi, Organisasi dapat dengan tepat melaksanakan mitigasi risiko, penerapan pengendaliannya termasuk alokasi sumber daya yang diperlukan.

Bagaimana Cara Menilai Risiko Penyuapan Berdasarkan ISO 37001:2016?

Dalam melaksanakan penilaian risiko penyuapan, organisasi perlu memperhatikan beberapa ketentuan sebagai berikut:

1. Organisasi harus menetapkan level kriteria untuk risiko penyuapan dengan tetap mempertimbangkan kebijakan dan sasaran organisasi.

Penetapan level kriteria risiko penyuapan pada umumnya menggunakan Risk Heat Map. Risk Heat Map merupakan pengukuran tingkat risiko dengan mempertimbangkan Likelihood (kemungkinan terjadinya suatu risiko) serta impact (dampak atas terjadinya suatu risiko).

ISO 37001:2016

Likelihood merupakan kemungkinan terjadinya suatu risiko relatif sangat jarang dalam kurun waktu atau jumlah tertentu. Berikut contoh kriteria dalam penentuan nilai likelihood:

Nilai LikelihoodPengertianContoh Penilaian
1
(Low)
Sangat Jarang / Tidak Mungkin Terjadi0 sampai 1 kejadian
2
(Low to Moderate)
Jarang / Kemungkinan Kecil Terjadi2 sampai 3 kali kejadian
3
(Moderate)
Agak Jarang / Mungkin Terjadi3 sampai 5 kali kejadian
4
(Moderate to High)
Sering / Kemungkinan Besar Terjadi6 sampai 8 kali kejadian
5
(High)
Sangat Sering / Pasti TerjadiLebih dari 8 kali kejadian

Sementara Impact merupakan dampak terjadinya suatu risiko. Berikut contoh kriteria dalam penentuan nilai impact:

Nilai ImpactPengertian Penilaian
1
(Low)
Sangat RendahApabila risiko terjadi, tidak mengganggu operasional, maupun keuangan.

(Biaya Kerugian < 0,01% dari total ekuitas)
2
(Low to Moderate/LTM)
RendahApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi, namun tidak signifikan.

(Biaya Kerugian > 0,01% - < 0,25% dari total ekuitas)
3
(Moderate)
Agak TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi cukup signifikan.

(Biaya Kerugian > 0,25% - < 0,50% dari total ekuitas)
4
(Moderate to High)
TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi relatif signifikan.

(Biaya Kerugian > 0,50% - < 0,80% dari total ekuitas)
5
(High)
Sangat TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi secara signifikan.

(Biaya Kerugian > 0,80% dari total ekuitas)

Dari penilaian likelihood dan impact pada Risk Heat Map inilah yang akan menghasilkan prioritas risiko penyuapan di dalam suatu organisasi. Contoh Tingkat prioritas risiko penyuapan adalah sebagai berikut:

ISO 37001:2106

Dalam pelaksanaan penilaian risiko penyuapan, organisasi harus menilai risiko inheren dan risiko residual. Risiko inheren merupakan risiko yang ada dimana belum terdapat upaya mitigasi yang dilakukan maupun kontrol atau tindakan lain yang ditetapkan untuk mengurangi risiko dari tingkat awal ke tingkat yang lebih dapat diterima oleh suatu organisasi. Sementara risiko residual merupakan risiko yang tersisa setelah upaya mitigasi maupun kontrol dilakukan untuk mengurangi risiko inheren. Risiko residual inilah yang harus dihadapi oleh organisasi berdasarkan mitigasi risiko yang sebelumnya telah ditentukan.

ISO 37001:2016

Berikut salah satu contoh penilaian risiko penyuapan terkait dengan proses pengadaan termasuk bagaimana suatu organisasi menangani risiko tersebut:

ISO 37001:2016

2. Organisasi harus melaksanakan penilaian risiko penyuapan secara berkala

Ketentuan dalam melaksanakan penilaian risiko penyuapan adalah sebagai berikut:

  • Mengidentifiksi risiko penyuapan organisasi yang wajar untuk antisipasi dari isu internal maupun isu eksternal yang relevan degan tujuan suatu organisasi. Dalam melaksanakan identifikasi risiko penyuapan, organisasi perlu memahami proses bisnis yang dimiliki secara end-to-end serta melihat banyaknya jumlah interaksi yang dilaksanakan dari internal ke eksternal maupun interaksi yang dilaksanakan oleh internal ke internal di dalam suatu organisasi.
  • Menganalisis, menilai dan memprioritaskan risiko penyuapan yang telah teridentifikasi; dan
  • Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di organisasi untuk mengurangi risiko penyuapan yang dinilai.

3. Penilaian risiko penyuapan harus ditinjau secara berkala

Peninjauan penilaian risiko penyuapan dilaksanakan dengan ketentuan sebagai berikut:

  • Peninjauan dilaksanakan secara berlaka sehingga setiap adanya perubahan informasi baru dapat dinilai secara tepat waktu oleh organisasi; dan
  • Pada saat terjadinya perubahan penting terhadap struktur organisasi maupun aktivitas organisasi.

4. Terdokumentasi

Organisasi harus menyimpan informasi terdokumentasi untuk menunjukkan bahwa penilaian risiko penyuapan telah dilaksanakan dan digunakan untuk merancang maupun meningkatkan sistem manajemen anti penyuapan.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Sistem Manajemen Anti Penyuapan berdasarkan ISO 37001:2016, Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Sistem Penanganan Pelaporan Pelanggaran Berbasis ISO 37002

ISO 37002:2021

Ditulis Oleh, Satrio Adhi Pradana, Lead Consultant GRC – Robere & Associates (Indonesia)

Dunia bisnis saat ini mengalami perkembangan secara pesat, namun tidak dapat dipungkiri di tengah pesatnya perkembangan tersebut, pelanggaran seperti kecurangan dalam faktor keuangan, penyalahgunaan kebijakan perusahaan, serta tindakan ilegal lainnya juga mengalami perkembangan. Oleh karena itu, organisasi sangat direkomendasikan untuk memiliki sistem pengelolaan pelaporan dan penanganan yang sistematis sebagai paduan yang dapat membantu organisasi dalam mengelola pelanggaran yang disampaikan oleh pihak yang relevan di organisasi. Dalam hal ini, Standar internasional ISO 37002:2021 tentang Sistem Manajemen Pelaporan Pelanggaran dapat dimanfaatkan sebagai panduan dalam implementasi pengelolaan sistem penanganan pelaporan pelanggaran bagi organisasi.

Manfaat Implementasi ISO 37002:2021

ISO 37002:2021 merupakan panduan yang diterbitkan oleh International Organization for Standardization (ISO) yang bertujuan untuk memberikan panduan dalam mendesain, menerapkan, mengelola, dan meningkatkan secara berkesinambungan sistem manajemen pelaporan pelanggaran.

ISO 37002:2021 dapat dimanfaatkan sebagai panduan bagi organisasi dalam mencegah atau meminimalisir kerugian yang diakibatkan oleh perilaku yang menyimpang dengan mengidentifikasi, menangani, mengelola penyimpangan yang dilaporkan sedini mungkin.

Selain itu, implementasi ISO 37002:2021 dapat menunjukkan bahwa organisasi telah mendemonstrasikan praktik tata kelola yang baik dan berintegritas kepada pihak berkepentingan yang relevan.

Aspek Penting dari ISO 37002:2021

Salah satu aspek penting dari ISO 37002:2021 adalah memberikan panduan tentang bagaimana organisasi dapat menciptakan lingkungan yang mendukung pelaporan pelanggaran, termasuk memastikan bahwa para pelapor merasa aman dan dilindungi, serta mendorong budaya terbuka dan transparan di seluruh organisasi. Adapun langkah-langkah penting yang dicakup dalam ISO 37002:2021 meliputi beberapa hal sebagai berikut:

1. Proses Pelaporan

Organisasi disarankan untuk menciptakan mekanisme pengelolaan pelaporan pelanggaran dengan memperhatikan 2 aspek sebagai berikut:

  • Ketelusuran (Traceability)

Setiap laporan harus dilacak secara rinci mulai dari penerimaan hingga penyelesaian untuk menciptakan transparansi dan memastikan akuntabilitas dalam penanganan laporan.

Sebagai contoh, pemberian nomor pelaporan yang diberikan kepada pelapor agar pelapor dapat memantau seluruh proses penanganan laporan yang telah disampaikan.

  • Kerahasiaan

Organisasi perlu menerapkan langkah-langkah untuk melindungi identitas pelapor dan menjaga kerahasiaan informasi yang terkait dengan laporan. Aspek kerahasiaan ini akan membantu organisasi dalam menciptakan lingkungan dimana pekerja akan merasa aman untuk melaporkan pelanggaran.

Sebagai contoh, Organisasi dapat menyediakan opsi pelaporan pelanggaran secara anonim. Dalam hal anonimitas, terdapat 2 opsi sebagai berikut:

  • Anonimitas Total, dimana identitas pelapor sepenuhnya disembunyikan dan tidak terdapat informasi yang dapat menghubungkan antara laporan dengan pelapor nya.
  • Anonimitas Terbatas, dimana identitas pelapor hanya dapat diketahui oleh pihak yang berwenang dalam hal ini pengelola WBS dan/atau tim penyelidik yang ditugaskan untuk menindaklanjuti laporan.

2. Penilaian terhadap Pelaporan

Organisasi perlu memastikan bahwa proses penilaian, triase, dan manajemen laporan pengaduan perilaku yang menyimpang bebas dari keberpihakan dan/atau benturan kepentingan. Organisasi juga direkomendasikan dapat mengurutkan prioritas laporan penyimpangan berdasarkan pertimbangan risiko yang merugikan bagi organisasi dan/atau pihak relevan lainnya.

Sebagai contoh, untuk mempermudah penilaian, pengelola WBS dapat melakukan penilaian dengan dengan memastikan beberapa aspek sebagai berikut:

  • Verifikasi keabsahan laporan;
  • Melakukan evaluasi terhadap risiko sejauh mana pelanggaran terkait dampak merugikan perusahaan dari segi finansial, reputasi, hukum, dan operasional;
  • Melakukan pengkategorian atas laporan yang masuk berdasarkan tingkat urgensinya;
  • Apabila diperlukan, organisasi dapat melakukan konsultasi terkait hukum dan peraturan yang berlaku untuk memastikan tindakan yang akan diambil sudah sesuai ketentuan yang berlaku dengan pihak yang dianggap berkompeten baik secara internal maupun eksternal.

3. Penanganan Pelanggaran

Organisasi perlu memastikan adanya mekanisme penyelidikan yang adil dan obyektif. Mekanisme penyelidikan sebaiknya dilakukan tanpa bias dan terlapor sebaiknya diberikan hak untuk merespon terhadap laporan terkait.

4. Perlindungan Pelapor, Terlapor, dan Investigator

Standar ini menekankan pentingnya melindungi Pelapor, Terlapor, dan Investigator dari segala bentuk pembalasan atau diskriminasi sebagai akibat dari pelaporan. Hal ini bertujuan untuk menciptakan lingkungan yang mendukung integritas dan keberanian dalam melaporkan pelanggaran.

5. Penyelesaian Kasus Pengaduan

Kasus pelaporan dapat dinyatakan selesai apabila tidak ada lagi tindakan yang dianggap perlu dalam merespon laporan, ketika pencarian fakta menentukan tidak ada lagi investigasi yang diperlukan, ketika laporan terkait dirujuk ke proses lain yang harus ditangani, atau akhir dari proses investigasi yang dapat membuktikan perilaku yang menyimpang benar terjadi atau tidak.

ISO 37002:2021 dapat menjadi fondasi untuk menciptakan organisasi yang berintegritas, di mana pelaporan pelanggaran dapat terjadi tanpa takut pembalasan, dan di mana setiap laporan ditangani secara adil dan transparan. Dengan demikian, implementasi ISO 37002:2021 bukan hanya tentang memenuhi standar, tetapi juga tentang membangun kepercayaan, melindungi pelapor, dan mengukuhkan reputasi organisasi sebagai entitas yang berkomitmen pada nilai-nilai etika dan keberlanjutan.

Bermitra dengan Kepatuhan: Kunci untuk Mencapai Bisnis Berkelanjutan Melalui ISO 37301

ISO 37301

 

Ditulis Oleh, Farrah Alizah Larasati, Lead Consultant GRC – Robere & Associates (Indonesia)

Kepatuhan merupakan salah satu aspek kritikal yang harus dipenuhi perusahaan dalam menjalankan proses bisnisnya. Setiap Perusahaan, dalam bidang apapun, akan memiliki ketentuan regulasi maupun persyaratan dari pihak berkepentingan yang wajib untuk dipenuhi. Apabila Perusahaan tidak menaati ketentuan ataupun persyaratan yang berlaku, maka berpotensi menimbulkan kerugian reputasi, keuangan hingga dikenakanya sanksi hukum atau pidana bagi Perusahaan.

Sebagai contoh kasus yang terjadi pada salah satu BPR atau Bank Perekonomian Rakyat pada tahun 2023 yang tidak mematuhi ketentuan terkait dengan pengelolaan kredit, dengan menyalurkan kredit fiktif, sehingga menyebabkan izin usaha atas BPR dicabut oleh OJK.

Pentingnya untuk mematuhi setiap ketentuan ataupun persyaratan, mendorong Perusahaan untuk memiliki suatu sistem manajemen yang secara sistematis untuk mengidentifikasi, mengevaluasi, dan memastikan kepatuhan. Dalam hal ini, Standar internasional ISO 37301:2021 tentang Sistem Manajemen Kepatuhan merupakan salah satu best practice yang dapat digunakan oleh Perusahaan dalam sebagai panduan untuk mengelola kepatuhan.

Apa itu ISO 37301:2021?

ISO 37301:2021 Sistem Manajemen Kepatuhan adalah standar internasional yang menetapkan bagaimana perusahaan dapat mengelola dan mematuhi peraturan dengan baik. Standar ini memberikan panduan yang jelas tentang bagaimana perusahaan dapat mengembangkan, menerapkan, memelihara, dan secara berkesinambungan meningkatkan sistem manajemen kepatuhan.

Aspek Kritikal Dalam Implementasi ISO 37301:2021

Aspek kritikal yang perlu dipenuhi oleh Perusahaan dalam mengimplementasikan ISO 37301:2021 Sistem Manajemen Kepatuhan adalah sebagai berikut:

1. Komitmen terhadap kepatuhan

Komitmen terhadap implementasi Sistem Manajemen Kepatuhan sangat penting dalam Perusahaan, khususnya komitmen dari Dewan Pengarah dan Manajemen Puncak. Komitmen dari Dewan Pengarah dan Manajemen Puncak diantaranya diwujudkan dengan menetapkan Kebijakan Kepatuhan, memastikan bahwa mengimplementasikan Sistem Manajemen Kepatuhan telah tercapai, serta memastikan tersedianya Sumber Daya yang dibutuhkan dalam mengimplementasikan Sistem Manajemen Kepatuhan pada Perusahaan.

2. Penetapan Fungsi Kepatuhan

Dalam implementasi ISO 37301, Perusahaan perlu menetapkan Fungsi Kepatuhan, yang memiliki tugas dan tanggung jawab untuk memfasilitasi untuk mengidentifikasi kewajiban kepatuhan, melakukan analisis dan evaluasi terkait kinerja Sistem Manajemen Kepatuhan untuk mengidentifikasi kebutuhan tindakan perbaikan, menetapkan mekanisme terkait pelaporan kepatuhan, melakukan pemantauan dan melaporkan hasil implementasi Sistem Manajemen Kepatuhan kepada Manajemen Puncak. Pada umumnya Fungsi Kepatuhan ditugaskan kepada Unit Kerja yang membawahi bidang Kepatuhan pada Perusahaan.

3. Kesadaran

Perusahaan wajib memastikan bahwa seluruh pegawai perlu diberikan pemahaman terkait implementasi Sistem Manajemen Kepatuhan, diantaranya dengan memberikan pelatihan yang berhubungan dengan Sistem Manajemen Kepatuhan serta sosialisasi terkait Kebijakan Kepatuhan.

4. Penetapan Kewajiban Kepatuhan

Kewajiban kepatuhan adalah regulasi dan ketentuan yang harus dipatuhi oleh Perusahaan sesuai dengan proses bisnis yang dijalankan, baik dari peraturan eksternal maupun internal. Dalam implementasi ISO 37301, Perusahaan perlu mengidentifikasi kewajiban kepatuhan, melakukan analisis dan dampak dari setiap peraturan, serta melakukan evaluasi untuk memastikan seluruh peraturan telah dijalankan. Kewajiban kepatuhan dapat dibedakan menjadi 2 yaitu mandatory obligation dan voluntary obligation. Mandatory obligation adalah ketentuan yang wajib dipatuhi seperti contoh ketentuan regulator, ketentuan pemerintah maupun ketentuan dari pelanggan, sedangkan voluntary obligation adalah ketentuan yang bersifat sukarela, dimana hal ini tidak diwajibkan, namun Perusahaan berkomitmen untuk memenuhi ketentuan tersebut, seperti contoh adalah standar ISO 37301.

5. Indikator Kepatuhan

Perusahaan dapat menetapkan indikator kepatuhan untuk menilai tingkat kepatuhan Perusahaan, dimana pada ISO 37301, indikator kepatuhan terbagi menjadi prediktif indikator dan reaktif indikator. Prediktif indikator diantaranya risiko ketidakpatuhan diukur sebagai potensi tercapai atau tidak tercapainya target, serta trend atas ketidakpatuhan. Contoh dari reaktif indikator adalah jumlah ketidakpatuhan yang terjadi, waktu yang dibutuhkan untuk menindaklanjuti ketidakpatuhan dan tindakan perbaikan.

Perusahaan yang mengimplementasikan Sistem Manajemen Kepatuhan berdasarkan ISO 37301 tidak hanya memastikan kepatuhan terhadap ketentuan yang berlaku, tetapi juga meminimalkan risiko, meningkatkan efisiensi operasional, serta membangun reputasi yang baik, sehingga Perusahaan dapat terus berkembang dan memastikan keberlanjutan Perusahaan.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Governance, Risk, and Compliance, Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Penerapan Asset Criticality Ranking pada Pengelolaan Aset

Ditulis Oleh, Hilman Badhi Adikara, Team Leader GRC – Robere & Associates (Indonesia)

Dalam menjalankan proses bisnisnya, Perusahaan perlu didukung oleh aset yang berkualitas dan dapat mendukung kinerja Perusahaan dalam mencapai tujuan dan sasaran yang telah ditetapkan. Oleh sebab itu, Perusahaan pasti akan mengelola aset yang dimiliki, baik dari proses perencanaan kebutuhan aset, inventarisasi aset, pengoperasian aset, pemeliharaan aset, penilaian aset hingga penghapusan aset atau yang biasa disebut dengan life cycle asset.

Pengelolaan Aset
Siklus Pengelolaan Aset

 

Manfaat Penerapan Sistem Manajemen Aset

Melihat rangkaian proses yang panjang dalam pengelolaan aset tersebut, Perusahaan dapat menggunakan Sistem Manajemen Aset sebagai kerangka dasar untuk bisa memantau setiap proses pada pengelolaan aset. Disamping itu, banyak kegunaan dalam penerapan Sistem Manajemen Aset bagi Perusahaan, diantaranya:

  1. Mendukung Perusahaan dalam pengambilan keputusan yang tepat, khususnya dalam menyusun rencana strategis manajemen aset;
  2. Meningkatkan kinerja Perusahaan dengan alokasi aset yang efektif;
  3. Meninjau nilai aset secara aktual termasuk dalam penyusutan nilai aset untuk menghindari penurunan kinerja Perusahaan;
  4. Mempermudah perencanaan anggaran untuk mengelola aset;
  5. Mengoptimalkan manajemen risiko terkait aset, khususnya dalam penentuan tingkat kritikalisasi aset.

Salah satu acuan yang dapat digunakan untuk menerapkan Sistem Manajemen Aset adalah standar ISO 55001. Pada standar ISO 55001 salah satu yang menarik adalah bagaimana Perusahaan dapat menetapkan prioritas kegiatan yang akan dilakukan untuk mencapai sasaran yang telah ditetapkan oleh Perusahaan dalam pengelolaan aset. Penetapan prioritas kegiatan ini dapat dilakukan dengan penentuan tingkat kritikal aset atau biasa dikenal dengan Asset Criticality Ranking.

Apa Itu Asset Criticality Ranking?

Pengertian dari Asset Criticality Ranking sendiri adalah suatu metode yang digunakan untuk dapat mengidentifikasi aset yang dapat diprioritaskan untuk dilakukan pemeliharaan dan perlindungan. Pelaksanaan Asset Criticality Ranking dapat dilakukan oleh Perusahaan dengan mempertimbangkan beberapa hal, diantaranya:

  1. Jenis aset yang dikelola, baik aset fisik maupun non fisik;
  2. Penetapan kriteria konsekuensi (consequences) yang dapat terjadi pada aset;
  3. Penetapan kriteria keandalan (reliability) dari tingkat kemungkinan terjadinya konsekuensi pada aset;
  4. Penetapan kriteria deteksi (detectability) sebagai bentuk prediksi terhadap potensi kerusakan pada aset; dan
  5. Penetapan matriks tingkat kritikal aset.

Perusahaan kemudian dapat melakukan penilaian dengan menetapkan nilai pada kriteria konsekuensi, keandalan, dan deteksi. Semakin tinggi hasil dari penilaian Asset Criticality Ranking makan akan mempengaruhi terhadap penanganan aset tersebut, khususnya  prioritas untuk dilakukan pemantauan yang lebih ketat, jadwal pemeliharaan yang relatif lebih singkat untuk memastikan kinerja aset tetap optimal.

Menetapkan Asset Criticality Ranking

Berikut salah satu contoh kriteria yang dapat digunakan untuk menganalisa setiap aset yang selanjutnya akan ditentukan tingkat kritikalnya:

KriteriaLevel
1234
Dampak Kegagalan Operasional (A)Tidak berdampak terhadap proses operasional secara langsungBerdampak terhadap proses operasional pada area DepartemenBerdampak terhadap proses operasional pada area Divisi/Satuan KerjaBerdampak terhadap proses operasional Perusahaan
Utilisasi (B)Aset digunakan sebanyak <50% dalam waktu 1 tahunAset digunakan sebanyak 50% dalam waktu 1 tahunAset digunakan sebanyak 75% dalam waktu 1 tahunAset digunakan secara terus menerus
Downtime/ Repair Time (C)Lebih dari 60 menit31 - 60 menit16 - 30 menit0 - 15 menit
Kemungkinan Kegagalan Operasional (D)Jarang terjadi (0 - 1 kali dalam 1 tahun)Mungkin Terjadi (2 - 3 kali dalam 1 tahun)Sering Terjadi (4 -6 kali dalam 1 tahun)Sangat Sering Terjadi (>7 kali dalam 1 tahun)

Setelah dilakukan analisa aset terhadap setiap kriteria, maka perlu dilakukan penjumlahan atas setiap kriteria (A+B+C+D). Hasil penjumlahan yang didapatkan kemudian perlu disesuaikan dengan tingkat kritikal dibawah ini.

Tingkat KritikalNilaiTindakan
Low1 – 81.Preventive Maintenance dilakukan minimal 1 tahun sekali
2.Monitoring aset dilakukan secara bulanan
3.Tidak harus disediakan proses bypass/back up apabila terjadi kegagalan
4.Tidak harus disediakan alert system
Medium9 – 111.Preventive Maintenance dilakukan minimal 6 bulan sekali
2.Monitoring aset dilakukan secara mingguan
3.Harus tersedia proses bypass/back up apabila terjadi kegagalan operasional
4.Harus tersedia alert system
High12 – 161.Preventive Maintenance dilakukan minimal 4 bulan sekali
2.Monitoring aset dilakukan secara harian
3.Harus tersedia proses by pass/back up apabila terjadi kegagalan operasional
4.Harus tersedia alert system

Contoh:

Perusahaan memiliki aset dalam bentuk server dan kendaraan operasional yang selanjutnya Perusahaan akan menilai tingkat kritikalnya dalam bentuk tabel sebagai berikut:

Nama AsetServerKendaraan Operasional
Dampak Kegagalan Operasional (A)(4) Berdampak terhadap proses operasional Perusahaan(1) Tidak berdampak terhadap proses operasional secara langsung
Utilisasi (B)(4) Aset digunakan secara terus menerus(1) Aset digunakan sebanyak <50% dalam waktu 1 tahun
Downtime/ Repair Time (C)(4) 0 - 15 menit(1) Lebih dari 60 menit
Kemungkinan Kegagalan Operasional (D)(1) Jarang terjadi (0 - 1 kali dalam 1 tahun)(2) Mungkin Terjadi (2 - 3 kali dalam 1 tahun)
Nilai Tingkat Kritikal4 + 4 + 4 + 1 = 131 + 1 + 1 + 2 = 5
Tingkat KritikalHighLow

Berdasarkan tabel diatas dapat dilihat tingkat kritikal dari server lebih tinggi dibandingkan dengan kendaraan operasional, sehingga perlu perlakukan yang lebih intens terhadap server dibandingkan dengan kendaraan operasional, baik dari segi perawatan yang jangka waktunya lebih pendek, monitoring yang dilakukan secara berkelanjutan, mempersiapkan mekanisme back up plan apabila server down, hingga menyediakan bentuk pemberitahuan apabila terdapat gangguan pada server.

Hasil penilaian Asset Criticality Ranking dapat bermanfaat bagi Perusahaan untuk mencegah kerusakan aset yang akan berdampak secara langsung terhadap proses bisnis Perusahaan. Selain itu, hasil penilaian Asset Criticality Ranking dapat juga digunakan oleh Perusahaan sebagai dasar dalam hal penetapan siklus aset.

Seberapa Pentingkah Pengelolaan Service Level Agreement (SLA) Dalam Menyediakan Suatu Layanan

Ditulis Oleh, Syifa Aulia Sari, Team Leader IT GRC – Robere & Associates (Indonesia)

Pada zaman modern ini, Layanan Teknologi Informasi sudah menjadi kebutuhan yang mendasar bagi sebagian besar masyarakat di Indonesia. Perkembangan Digitalisasi dan pengaruh Globalisasi membuat masyarakat tidak bisa lepas dari kebutuhan atas layanan Teknologi Informasi. Atas dasar kebutuhan inilah, maka banyak perusahaan yang berlomba-lomba untuk menyediakan layanan yang dapat memberikan kualitas terbaik, serta memberikan kepuasan bagi para pelanggannya.

Apa Itu Service Level Agreement (SLA)

Untuk menyediakan layanan, tentu saja diperlukan beberapa aspek yang harus di dikelola dengan baik, salah satu aspek tersebut adalah Perjanjian Tingkat Layanan atau lebih dikenal dengan sebutan SLA / Service Level Agreement. Secara sederhana, SLA itu sendiri adalah perjanjian yang berisi kesanggupan jaminan kinerja yang dipenuhi oleh penyedia layanan untuk memenuhi kebutuhan dan harapan pelanggan. SLA umumnya mencakup berbagai parameter kinerja seperti ketersediaan layanan, waktu respons, waktu pemulihan, keamanan informasi, dan parameter lainnya yang relevan dengan layanan yang disediakan.

Manfaat Service Level Agreement (SLA)

Dengan adanya SLA layanan, baik penyedia layanan maupun pelanggan memiliki pemahaman yang jelas tentang apa yang diharapkan dari layanan yang diberikan, serta tanggung jawab dan implikasi untuk masing-masing pihak jika terjadi pelanggaran terhadap kesepakatan tersebut. SLA  layanan juga dapat membantu menciptakan transparansi, meningkatkan kepercayaan antara penyedia layanan dan pelanggan, dan menyediakan kerangka kerja untuk penyedia layanan dalam melakukan evaluasi kinerja layanan secara berkala. oleh karena itu pengelolaan SLA dari sisi penyedia layanan menjadi sangat penting, dimana dengan pengelolaan SLA yang baik akan dapat membantu organisasi penyedia layanan untuk dapat memberikan layanan yang dapat memenuhi atau bahkan melampaui ekspektasi pelanggan.

Service Level Agreement (SLA) dalam ISO/IEC 20000-1:2018

Dalam ISO/IEC 20000-1:2018, yaitu standar Internasional untuk Sistem Manajemen layanan, SLA itu sendiri merupakan aspek yang diatur dalam salah satu klausul (klausul 8.3.3) untuk pemenuhan kesesuaian standar ISO/IEC 20000-1:2018 untuk implementasi maupun sertifikasi Sistem Manajemen Layanan. Oleh karena itu standar  ISO/IEC 20000-1 :2018 ini dapat digunakan sebagai panduan dalam implementasi maupun sertifikasi Sistem Manajemen layanan, termasuk pengelolaan SLA Layanan.

Pengelolaan Service Level Agreement Sebagai Bagian Dari ISO/IEC 20000-1:2018

Beberapa Aspek pengelolaan terkait SLA yang diatur dalam standar ISO/IEC 2000-1:2018 adalah :

  1. Penyusunan SLA yang jelas dan terukur antara penyedia layanan dan pelanggan. SLA harus mencakup parameter kinerja layanan yang ditetapkan, seperti ketersediaan, waktu respons, dan waktu pemulihan, serta harus konsisten dengan kebutuhan bisnis dan persyaratan pelanggan.
  2. Pemantauan dan Pengukuran Kinerja secara berkala sesuai dengan SLA yang disepakati. aspek Ini mencakup pengumpulan data kinerja layanan, analisis hasil, dan pelaporan kepada pelanggan.
  3. Manajemen Insiden dalam memenuhi dan meningkatkan pemenuhan SLA. Ketika terjadi pelanggaran SLA atau masalah dalam penyediaan layanan, penyedia layanan harus dapat merespons dengan cepat dan mengambil tindakan yang diperlukan.
  4. Komitmen Terhadap Peningkatan Berkelanjutan (continual improvement) dalam pengelolaan layanan. Penyedia layanan diharapkan untuk secara terus-menerus mengevaluasi dan meningkatkan proses, sistem, dan kinerja layanan mereka untuk memastikan pemenuhan SLA yang konsisten dan memenuhi atau bahkan melampaui ekspektasi pelanggan.

Dari beberapa penjelasan diatas, dapat dilihat bahwa ISO/IEC 20000-1:2018 memiliki peranan penting sebagai panduan bagi organisasi untuk membantu mengelola layanan yang disediakan termasuk pengelolaan SLA di dalamnya. Oleh karena itu, dengan implementasi dan sertifikasi ISO/IEC 2000-1:2018 ini, selain dapat meningkatkan pengelolaan SLA menjadi lebih baik, harapannya juga akan sekaligus meningkatkan pengelolaan layanan secara menyeluruh yang nantinya akan memberikan dampak peningkatan kualitas dan nilai jual layanan itu sendiri.

Seminar ISO 37301:2021, Strategi Kepatuhan Organisasi di Tengah Peningkatan Regulasi

Seminar ISO 37301 tahun 2024

Ditulis Oleh, Marketing Communication – Robere & Associates (Indonesia)

Pada periode 2019-2023, pemerintah pusat, daerah, dan lembaga telah menerbitkan lebih dari 9.340 regulasi, menunjukkan peningkatan signifikan dalam upaya pengaturan. Dalam konteks ini, Dr. Paul James Robere, pendiri Robere & Associates International, menyoroti pentingnya Sistem Manajemen Kepatuhan sebagai proses penyesuaian organisasi terhadap hukum, regulasi, dan kode etik yang berlaku.

Dalam seminar “Unveiling the Power of Compliance Management System Based on ISO 37301 for GRC Excellence,” Paul menjelaskan konsep tersebut. Direktur Robere & Associates Indonesia, Vera Anita, menekankan prinsip independensi organisasi dalam mengelola peran dan fungsi tanpa tekanan eksternal. Organisasi diharapkan memahami dan memenuhi kewajiban kepatuhan yang telah teralokasikan, serta menciptakan budaya kepatuhan di seluruh personel.

Vera Anita juga menyoroti pentingnya identifikasi kewajiban kepatuhan dari aktivitas, produk, dan jasa yang dihasilkan oleh organisasi, sambil menilai dampaknya terhadap operasi. Selain itu, penilaian dampak regulasi diharapkan membantu perubahan yang lebih baik saat organisasi mengimplementasikan Sistem Manajemen Kepatuhan berdasarkan ISO 37301.

Seminar ini dihadiri oleh Andri Satriyo Pratomo, Corporate Governance Department Head PT Bank Tabungan Negara (Persero) Tbk, yang membagikan kesuksesan BTN dalam mengimplementasikan Sistem Manajemen terkait kepatuhan, khususnya Anti-Penyuapan.

Untuk berita selengkapnya dapat Anda baca melalui link berikut:

Lembaga Tingkat Pusat Hingga Daerah Terbitkan 9.340 Regulasi Sejak Tahun 2019 sampai 2023

Bank BRI, Didukung oleh Robere & Associates, Gelar Simulasi Bencana untuk Keberlanjutan Bisnis

Kegiatan Simulasi Kebencanaan Gempa
Rangkaian Simulasi Keberlanjutan Bisnis berdasarkan ISO 22301:2019

Ditulis Oleh, Marketing Communication – Robere & Associates (Indonesia)

Simulasi bencana dan keberlangsungan bisnis yang diadakan oleh PT Bank Rakyat Indonesia (Persero) Tbk di Kantor Pusat Gedung BRI menegaskan komitmen mereka terhadap keamanan dan keberlanjutan operasional, mengingat sektor perbankan memiliki dampak kritis terhadap stabilitas perekonomian di Indonesia.

Melalui latihan simulasi ini, Bank BRI memperkuat kesiapan mereka dalam menghadapi potensi bencana dan menjaga kelangsungan bisnis dengan strategi pemulihan yang efektif. Tindakan proaktif ini mencerminkan peran penting sektor keuangan dalam mendukung stabilitas ekonomi nasional dan memastikan perlindungan terhadap aset dan kepentingan nasabah di tengah tantangan yang mungkin timbul.

Baca artikel di bawah ini untuk informasi lebih lanjut

Menjaga Keberlangsungan Bisnis, Bank BRI Rutin Gelar Simulasi Gempa bagi Pekerja

CQI-IRCA Approves Robere & Associates for ISMS ISO/IEC 27001:2022 Lead Auditor Course

Standar ISO/IEC 27001:2022 diterbitkan pada 25 Oktober 2022, merupakan tonggak penting dalam pengelolaan keamanan informasi. Keberadaannya menjadi kunci utama bagi organisasi dalam memastikan keamanan data dan informasi penting mereka. Mulai 27 April 2023, Robere & Associates telah menerima pengakuan dan persetujuan dari CQI-IRCA, dan secara resmi memiliki otoritas untuk menyelenggarakan Lead Auditor Course ISMS ISO/IEC 27001:2022.

Pelatihan ini bertujuan untuk memberi peserta pengetahuan dan keterampilan yang diperlukan untuk melakukan audit sistem manajemen keamanan informasi yang efektif, yang memungkinkan mereka untuk menemukan kemungkinan masalah dan membuat saran strategis untuk perbaikan. Peserta pelatihan akan dipandu melalui prinsip-prinsip audit, metodologi, dan praktik terbaik dengan fokus pada standar ISO/IEC 27001:2022 terbaru.

Melalui pelatihan ini, Robere & Associates berkontribusi signifikan dalam mempersiapkan generasi baru auditor keamanan informasi yang tidak hanya kompeten dalam teori tetapi juga mahir dalam aplikasi praktis. Pelatihan ini memainkan peran vital dalam memperkuat infrastruktur keamanan informasi perusahaan dan meningkatkan ketahanan mereka terhadap ancaman siber, sekaligus memenuhi permintaan pasar akan profesional keamanan informasi yang berkualitas.

Consult with us