ISO 37001:2025 adalah versi terbaru dari sistem manajemen anti-penyuapan yang berfokus pada pembentukan budaya integritas, transparansi, keterbukaan, dan kepatuhan. Dalam artikel ini, kami akan membahas pembaruan utama dalam ISO 37001:2025 serta dampaknya terhadap organisasi yang menerapkan standar ini. Pembaruan ini bertujuan untuk meningkatkan efektivitas sistem manajemen anti-penyuapan dan memastikan kepatuhan terhadap regulasi yang berlaku.

ISO 37001:2025: Sistem Manajemen Anti-Penyuapan yang Efektif

ISO 37001 adalah sistem manajemen anti-penyuapan yang bertujuan untuk melindungi organisasi dari praktik penyuapan dengan cara yang terstruktur dan terukur. ISO 37001:2025 berfokus pada pembentukan budaya integritas dan transparansi melalui beberapa elemen kunci berikut:

1. Proportional Procedure (Prosedur Proporsional)

   Kebijakan dan prosedur yang digunakan dalam implementasi sistem manajemen anti-penyuapan harus proporsional dengan risiko yang dihadapi oleh organisasi. Hal ini bertujuan untuk memastikan bahwa langkah-langkah yang diambil sesuai dengan tingkat risiko penyuapan yang ada.

2. Communication (Komunikasi Efektif)

   Komunikasi yang jelas dan efektif antara pihak internal dan eksternal sangat penting untuk memastikan pemahaman yang sama serta penerimaan terhadap kebijakan anti-penyuapan yang diterapkan. Hal ini akan memperkuat penerapan sistem di seluruh level organisasi.

3. Monitoring & Review (Pemantauan dan Evaluasi)

   Pemantauan dan review berkala terhadap sistem manajemen anti-penyuapan yang diterapkan sangat penting untuk mengetahui keefektifan kebijakan yang ada dan memastikan bahwa sistem tetap relevan dan efisien dalam mengatasi potensi penyuapan.

4. Risk Assessment (Penilaian Risiko)

   Organisasi perlu memiliki kesadaran penuh terhadap risiko yang mungkin timbul terkait penyuapan. Penilaian risiko yang cermat akan membantu organisasi untuk melakukan mitigasi yang tepat dan meminimalkan dampak negatif yang dapat timbul.

5. Due Diligence (Uji Tuntas)

   Proses due diligence perlu dilakukan untuk mengkaji lebih dalam terhadap proses atau pihak yang memiliki tingkat risiko penyuapan yang tinggi, guna mengidentifikasi dan menangani potensi ancaman yang ada.

6. Top Level Commitment (Komitmen Pimpinan Tinggi)

   Komitmen dari pimpinan organisasi sangat penting sebagai role model dalam penerapan sistem manajemen anti-penyuapan. Pimpinan harus memastikan bahwa semua personel di dalam organisasi berperan aktif dalam mendukung kebijakan anti-penyuapan dan memastikan keberlanjutan program ini.

Perubahan Penting dalam ISO 37001:2025

Dengan diluncurkannya ISO 37001:2025, beberapa perubahan penting telah diperkenalkan untuk menyempurnakan sistem manajemen anti-penyuapan. Berikut adalah pembaruan yang perlu diperhatikan:

1. Governing Body Tidak Lagi Bersifat Opsional

   Governing Body atau dewan pengarah bersama-sama dengan pimpinan organisasi kini diwajibkan untuk terlibat dan mendukung komitmen anti-penyuapan di seluruh organisasi. Organisasi harus memastikan bahwa pimpinan memainkan peran utama dalam mempromosikan Kebijakan anti-penyuapan.

2. Pengembangan Budaya Anti-Penyuapan

   Organisasi diwajibkan untuk mengembangkan, memelihara, dan mempromosikan budaya anti-penyuapan di semua level organisasi, memastikan bahwa semua pihak memahami pentingnya integritas dan kepatuhan terhadap kebijakan anti-penyuapan.

3. Perubahan Sistem Manajemen Anti-Penyuapan Secara Terencana

   Ketika organisasi menentukan kebutuhan untuk melakukan perubahan dalam sistem manajemen anti-penyuapan, perubahan tersebut harus dilakukan dengan cara yang terencana untuk memastikan efektivitas berkelanjutan dari sistem tersebut.

4. Kesadaran Personel Terhadap Konflik Kepentingan

   Personel harus diberi pemahaman mengenai pentingnya melaporkan potensi dan konflik kepentingan yang ada, guna memastikan transparansi dan kepatuhan terhadap kebijakan anti-penyuapan.

5. Pelatihan bagi Personel dan Mitra Bisnis

   Organisasi harus memastikan bahwa personel dan mitra bisnis menyadari tanggung jawab mereka dalam sistem manajemen anti-penyuapan yang diterapkan, serta memastikan bahwa mereka mematuhi standar yang ditetapkan dengan menyediakan sarana pelatihan yang dapat meningkatkan pengetahuan mereka terkait dengan Sistem Manajemen Anti Penyuapan.

Dampak Pembaruan ISO 37001:2025 bagi Organisasi

Dengan pembaruan-pembaruan dalam ISO 37001:2025, organisasi akan merasakan berbagai manfaat:

• Kemudahan Implementasi: Dengan penyusunan yang lebih efisien dan penggabungan kontrol yang lebih sederhana, organisasi dapat lebih mudah mengimplementasikan sistem manajemen anti-penyuapan tanpa mengorbankan efektivitasnya.
• Kepatuhan yang Lebih Baik: Fokus pada kepatuhan terhadap regulasi dan keterlibatan pemangku kepentingan akan memastikan bahwa kebijakan anti-penyuapan tidak hanya dipatuhi oleh internal organisasi, tetapi juga oleh mitra dan pihak ketiga yang berinteraksi dengan organisasi.
• Peningkatan Transparansi: Pembaruan ini juga memperkuat mekanisme pelaporan, sehingga meningkatkan transparansi dan akuntabilitas organisasi dalam menangani isu-isu terkait penyuapan.

Kesimpulan: Keuntungan ISO 37001:2025 untuk Organisasi Anda

ISO 37001:2025 memberikan dasar yang lebih solid bagi organisasi untuk mengelola risiko penyuapan dan mencapai tata kelola yang lebih baik. Dengan pembaruan yang lebih sederhana dan terfokus, standar ini memastikan organisasi dapat lebih mudah diakses dan diterapkan, baik oleh yang baru pertama kali mengimplementasikan standar ini maupun yang sudah mengadopsi ISO 37001 sebelumnya.

Jika organisasi Anda ingin memperkuat sistem manajemen anti-penyuapan, ISO 37001:2025 adalah langkah yang tepat. Implementasi yang efektif akan membantu meningkatkan integritas, transparansi, dan kepatuhan di seluruh aspek operasi bisnis Anda.

---

Siap Beralih ke ISO 37001:2025? Kami Siap Membantu Anda!

Kami di Robere & Associates (Indonesia) siap membantu Anda dalam proses implementasi dan transisi yang cepat dan efisien ke ISO 37001:2025. Dapatkan dukungan penuh untuk memastikan sistem anti-penyuapan Anda sesuai dengan standar terbaru.

Hubungi Kami Sekarang melalui WhatsApp Robere untuk Program Transisi ISO 37001:2025!

Pernahkah Anda membeli gorengan dan terkejut ketika mendapati bungkusnya menggunakan dokumen penting seperti ijazah, kartu keluarga, atau bahkan dokumen penting lainnya? Situasi seperti ini mungkin dapat membuat Anda tersenyum, sekaligus mengingatkan kita tentang betapa pentingnya pengelolaan arsip yang baik. Tanpa pengelolaan yang baik, dokumen berharga yang Anda kelola dapat berakhir pada tempat yang tak terduga.

Pengelolaan arsip yang efektif merupakan komponen penting dalam mendukung keberlangsungan suatu organisasi dalam menjalankan proses bisnis. Arsip tidak hanya berfungsi sebagai bukti kegiatan bisnis, tetapi juga sebagai aset informasi strategis yang dapat mendukung efisiensi, akuntabilitas, dan keberlanjutan bisnis apabila dikelola dengan baik.

Untuk memastikan pengelolaan arsip yang optimal, organisasi dapat merujuk pada standar internasional seperti ISO 30301:2019 dan ISO 15489:2016, yang memberikan pedoman serta kerangka kerja untuk manajemen arsip yang sesuai dengan kebutuhan organisasi.

Apa itu ISO 30301:2019?

ISO 30301:2019 adalah standar internasional tentang Sistem Manajemen Arsip (Management System for Records). Standar ini berisi persyaratan yang dapat membantu organisasi dalam merancang, mengimplementasikan, mengelola sistem manajemen arsip secara efektif dan efisien.

Langkah-Langkah Implementasi ISO 30301:2019

Dalam implementasi ISO 30301, Organisasi perlu menyusun kebijakan dalam pengelolaan arsip, dimulai dari:

• Komitmen dari manajemen puncak yang dituangkan dalam kebijakan arsip;
• Penyediaan sumber daya yang diperlukan dalam penerapan sistem manajemen arsip, diantaranya namun tidak terbatas pada manusia, infrastruktur, keuangan, dan sumber daya lainnya tersedia;
• Penetapan kebijakan pengelolaan arsip;
• Penyediaan sistem arsip untuk mendukung pengelolaan arsip; serta
• Evaluasi atas kinerja sistem manajemen arsip untuk memastikan sistem manajemen arsip dapat di implementasi kan secara efektif dan efisien.

Apa Itu ISO 15489:2016?

Berbeda dengan ISO 30301 yang merupakan standar dari Sistem Manajemen Arsip, ISO 15489:2016 adalah panduan dalam pengelolaan arsip di Organisasi yang mencakup proses penciptaan, penyimpanan, peminjaman/ penggunaan, pemeliharaan, hingga penyusutan.

Aspek Penting dalam ISO 15489:2016

1. Penciptaan Arsip

Organisasi perlu memastikan bahwa arsip yang diciptakan memiliki karakteristik otentik, andal, memiliki integritas. Penciptaan arsip di setiap organisasi dapat mengacu pada ketentuan tata naskah dinas yang berlaku.

2. Pemberkasan Arsip

Organisasi perlu memastikan bahwa arsip yang telah diciptakan dikelompokkan sesuai dengan perihal arsip, diberi identifikasi arsip yang menggambarkan isi arsip, serta diberi klasifikasi arsip sesuai dengan isi arsip.

3.Penyimpanan Arsip

Organisasi perlu memastikan bahwa arsip disimpan pada sarana simpan dan ruang simpan arsip yang memadai, yang dapat memastikan arsip tetap dapat dibaca selama masa penyimpanan.

4. Disposisi Arsip

Disposisi Arsip harus dilaksanakan sesuai dengan ketentuan klasifikasi dan jadwal retensi arsip, serta dengan metode disposisi arsip yang sesuai.

Aspek Kunci dalam Implementasi Manajemen Arsip

Implementasi standar ISO 30301 dan ISO 15489 memerlukan perhatian khusus pada berbagai aspek untuk memastikan manajemen arsip yang efektif dan efisien. Kedua standar ini memberikan kerangka kerja yang komprehensif untuk pengelolaan arsip, baik dari segi sistem manajemen maupun praktik pada kegiatan operasional. Adapun beberapa aspek yang perlu diperhatikan dalam implementasi kedua standar ini adalah:

1. Kepemimpinan dan Komitmen

Manajemen puncak harus menunjukkan dukungan penuh dengan menetapkan kebijakan arsip, memastikan ketersediaan sumber daya yang dibutuhkan, dan mempromosikan pentingnya manajemen arsip.

2. Kebijakan dan Sasaran

Organisasi harus menentukan kebijakan arsip yang jelas dan sasaran yang terukur untuk memastikan semua kegiatan arsip selaras dengan tujuan bisnis dan kebutuhan operasional.

3. Penetapan Klasifikasi dan Jangka Retensi Arsip

Organisasi harus menetapkan klasifikasi dan jangka retensi arsip sebagai panduan organisasi dalam pengelolaan dan penyimpanan arsip.

4. Pengelolaan Arsip

Arsip harus dikelola dari penciptaan hingga disposisi, termasuk pemberkasan dan pengklasifikasian, penyimpanan, pemeliharaan, dan pemusnahan arsip.

5. Evaluasi Kinerja

Melakukan evaluasi secara berkala terhadap implementasi sistem manajemen arsip melalui audit internal dan tinjauan manajemen untuk memastikan efektivitas dan kesesuaian dengan standar.

Manfaat Penerapan ISO 30301 dan ISO 15489 bagi Organisasi

Penerapan standar ISO 30301 dan ISO 15489 dapat memberikan berbagai manfaat strategis bagi organisasi diantaranya mengurangi risiko kehilangan informasi penting yang dibutuhkan oleh organisasi dan memastikan arsip dikelola sesuai dengan peraturan dan persyaratan yang berlaku baik secara nasional maupun internasional.

Melalui penerapan standar internasional seperti ISO 30301:2019 dan ISO 15489:2016, organisasi dapat memastikan bahwa arsip dikelola secara sistematis dan terstruktur. Dengan mengadopsi praktik-praktik terbaik pada kedua standar ini, Organisasi tidak hanya melindungi aset informasinya, tetapi juga meningkatkan efisiensi, akuntabilitas, dan daya saing dalam jangka panjang. Oleh karena itu, manajemen kearsipan yang baik harus menjadi bagian dari strategi organisasi untuk mencapai tujuan bisnis yang berkelanjutan.

Ditulis Oleh, Satrio Adhi Pradana – Lead Consultant GRC Robere & Associates (Indonesia), 2025

---

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang sistem manajemen arsip berdasarkan ISO 30301 & ISO 15489, Robere & Associates siap membantu. Hubungi kami sekarang!

Aset merupakan salah satu pilar penting bagi Perusahaan untuk dapat menjalankan proses bisnis yang optimal dan bersaing dengan Perusahaan lainnya. Banyak Perusahaan yang tidak optimal dalam mengelola aset yang dimiliki, sehingga menghambat proses pertumbuhan yang telah direncanakan sebelumnya. Salah satu penyebab utamanya adalah proses inventarisasi aset yang tidak dilakukan secara transparan dan optimal.

Apa Itu Inventarisasi Aset?

Inventarisasi aset merupakan proses penting dalam siklus pengelolaan aset, dimana akan dilakukan proses identifikasi kesesuaian antara aset yang tercatat dan aset yang dikelola oleh Perusahaan. Aset yang dikelola dapat berupa:

• Aset fisik/ aset tetap: seperti bangunan, kendaraan, dan peralatan.
• Aset tidak berwujud: seperti hak cipta, lisensi, dan perangkat lunak serta barang inventaris Perusahaan.

Tujuan dari pelaksanaan inventarisasi aset ini adalah untuk memastikan bahwa semua aset tercatat dengan baik, terawat, dan dapat dimanfaatkan secara optimal guna mendukung pencapaian tujuan Perusahaan.

Manfaat Inventarisasi Aset bagi Perusahaan

Banyak tantangan yang dihadapi dalam melaksanakan inventarisasi aset, namun harus diketahui juga dampak positif yang didapatkan apabila melakukan proses inventarisasi aset yang baik dan benar, yaitu:

1. Transparansi dan Akurasi Data

Dengan melakukan inventarisasi aset, Perusahaan dapat memiliki data yang akurat dan transparan tentang jumlah, jenis, lokasi, dan kondisi aset yang dimiliki. Hal ini penting untuk pengambilan keputusan yang berbasis data, termasuk penyajian data aset yang tertuang pada laporan keuangan Perusahaan.

2. Pengelolaan Aset yang Efisien

Inventarisasi aset membantu Perusahaan untuk mengidentifikasi aset yang sudah tidak layak digunakan atau kurang produktif, sehingga dapat dioptimalkan sesuai kebutuhan atau dihapusbukukan.

3. Manajemen Risiko terkait Aset

Dengan pencatatan aset yang baik, maka risiko kehilangan, kerusakan, atau penyalahgunaan aset dapat diminimalkan.

4. Kepatuhan terhadap Regulasi

Banyak peraturan yang berkaitan dengan proses bisnis beberapa Perusahaan yang mengharuskan Perusahaan memiliki catatan aset yang lengkap dan terperinci. Proses inventarisasi aset dapat membantu untuk memastikan kepatuhan terhadap peraturan tersebut.

Meningkatkan Efektivitas Inventarisasi Aset dengan Teknologi

Guna mendukung Perusahaan untuk dapat melaksanakan proses inventarisasi aset yang cepat dan efektif. Beberapa Solusi yang dapat diterapkan meliputi:

• Sistem atau aplikasi manajemen aset berbasis perangkat lunak yang memungkinkan pencatatan dan penelusuran aset secara otomatis dan real-time,
• Teknologi seperti kode QR, RFID (Radio Frequency Identification),
• dan IoT (Internet of Things) dapat mempermudah proses identifikasi dan monitoring aset.

Apakah Teknologi Sudah Cukup untuk Optimasi Inventarisasi Aset?

Jika saat ini proses pengelolaan aset dilakukan secara manual, maka improvement yang dapat dilakukan adalah dapat menggunakan sistem atau aplikasi manajemen aset yang user friendly dan mengakomodir data aset yang dibutuhkan Perusahaan.

Namun, jika Perusahaan telah menggunakan sistem atau aplikasi manajemen aset yang mutakhir, maka berikut beberapa peningkatan yang dapat dilakukan dari hasil inventarisasi aset guna mendukung proses inventarisasi aset yang lebih optimal, yaitu:

1. Memberikan usulan optimalisasi aset yang mempertimbangkan faktor ESG (environment, social and governance);
2. Pembaharuan secara berkala untuk sistem keamanan aset yang digunakan, khususnya untuk sistem atau aplikasi yang digunakan oleh Perusahaan;
3. Menerapkan standar internasional seperti Sistem Manajemen Aset ISO 55001;
4. Penggunaan Artificial Intelligence (AI) untuk dapat memberikan data analisis prediktif terhadap aset, seperti proses pemeliharaan aset yang mempertimbangkan riwayat dari aset tersebut.

Dengan langkah-langkah di atas, Perusahaan tidak hanya mampu mengelola aset secara efektif, tetapi juga diharapkan dapat mengoptimalkan nilai aset untuk mendukung pertumbuhan dan keberlanjutan bisnis di masa depan. Inventarisasi aset yang baik adalah investasi jangka panjang yang akan memberikan dampak positif bagi kinerja perusahaan.

Ditulis Oleh, Hilman Badhi Adikara – Team Leader GRC Robere & Associates (Indonesia), 2025

---

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Invetarisasi Aset berdasarkan ISO 55001, Robere & Associates siap membantu. Hubungi kami sekarang!

ISO 8000-1:2022 adalah standar internasional yang mengatur manajemen data kualitas (Data Quality Management) untuk memastikan data yang digunakan dalam sistem organisasi akurat, terpercaya, dan dapat diandalkan. Standar ini memberikan panduan terstruktur bagi organisasi dalam pengelolaan data, sehingga dapat meningkatkan efisiensi operasional, mengurangi risiko kesalahan, dan memastikan kepatuhan terhadap regulasi data.

Prinsip Utama ISO 8000-1

ISO 8000-1:2022 menetapkan beberapa prinsip utama dalam pengelolaan data berkualitas, di antaranya:

1. Identifikasi dan dokumentasi data: Organisasi harus mampu mengidentifikasi data yang digunakan dalam proses operasional organisasi dan mendokumentasikan karakteristik dan atributnya.
2. Ketepatan data: Data harus akurat dan relevan untuk tujuan yang dimaksud.
3. Interoperabilitas data: Data harus dapat digunakan dan dipertukarkan dengan mudah antara sistem dan organisasi yang berbeda.
4. Keamanan data: Organisasi harus memastikan bahwa data dilindungi dari ancaman keamanan dan privasi yang mungkin.
5. Ketersediaan data: Data harus tersedia secara tepat waktu ketika dibutuhkan.
6. Keterukuran data: Data harus dapat diukur dan dinilai untuk memastikan kualitasnya.

Framework ISO 8000-1:2022

1. Role data (peran data) dalam ISO 8000-1:2022

ISO 8000-1:2022 membagi data ke dalam beberapa kategori utama, yaitu:

• Master Data

Master data adalah data inti yang mendefinisikan elemen bisnis penting dalam suatu organisasi. Berfungsi sebagai sumber kebenaran (single source of truth) untuk mendukung proses bisnis utama dan menjadi dasar bagi konsistensi serta interoperabilitas dalam organisasi. Contohnya adalah Data pelanggan, produk, pemasok, lokasi, dan karyawan. ISO 8000-1:2022 menekankan bahwa organisasi harus memiliki Master Data Management (MDM) yang baik sebelum implementasi lebih lanjut. Master data harus memenuhi kriteria kualitas seperti keakuratan, kelengkapan, dan konsistensi.

• Reference Data

Reference data adalah data standar yang memberikan konteks atau klasifikasi bagi data lainnya. Hal ini dapat mendukung interoperabilitas dan pertukaran data lintas sistem atau organisasi dan Membantu menyelaraskan terminologi serta klasifikasi data agar seragam. Contohnya adalah Kode pos, kode area telepon, mata uang, unit pengukuran, standar internasional. ISO 8000-1:2022 menekankan bahwa Reference data harus didokumentasikan dengan metadata yang jelas untuk memastikan penggunaan yang konsisten, serta mendorong penggunaan reference data berbasis standar terbuka untuk meningkatkan keandalan dalam integrasi data.

• Transactional Data

Transactional data adalah data yang dihasilkan dari aktivitas bisnis sehari-hari. Memberikan catatan aktivitas yang mendukung proses operasional dan digunakan untuk analisis dan pengambilan keputusan berbasis data. Contohnya adalah Faktur penjualan, pesanan pembelian, laporan transaksi keuangan. ISO 8000-1:2022 menekankan bahwa Kualitas transaksi data sangat bergantung pada kualitas master data dan reference data, ISO 8000-1:2022 memastikan bahwa data transaksi terstruktur dengan baik dan memiliki keterlacakan yang jelas.

• Metadata

Metadata adalah data tentang data, yang menjelaskan atribut, struktur, dan konteks data. Meningkatkan pemahaman dan interoperabilitas data dan Memastikan transparansi dalam pengelolaan data. Contohnya adalah nama elemen data, tipe data, format, hubungan antar data. ISO 8000-1:2022 menekankan bahwa Metadata adalah elemen kunci dalam standar ini untuk mendukung dokumentasi dan validasi kualitas data, ISO 8000-1:2022 mewajibkan penggunaan metadata yang terstandar sebagai dasar manajemen kualitas data.

• Derived Data

Data yang dihasilkan dari manipulasi atau penggabungan data lain. Memberikan nilai tambah melalui pengolahan data dan Mendukung pengambilan keputusan strategis. Seperti laporan analitik, prediksi berbasis data, KPI (Key Performance Indicator). ISO 8000-1:2022 menekankan bahwa Derived data harus didasarkan pada data yang berkualitas untuk menghasilkan output yang akurat dan dapat dipercaya.

• Historical Data

Data yang merepresentasikan informasi masa lalu. Mendukung analisis tren dan pelaporan historis dan Berguna untuk kepatuhan regulasi dan audit. Seperti riwayat transaksi, data penjualan tahunan, rekam medis pasien. ISO 8000-1:2022 menekankan bahwa Historical data harus disimpan dan dikelola dengan baik untuk memastikan aksesibilitas dan keaslian.

Role data dalam ISO 8000-1 mencakup berbagai jenis data yang bekerja bersama untuk memastikan integritas, konsistensi, dan interoperabilitas data dalam organisasi. Master data dan reference data menjadi inti yang mendukung transactional data, metadata, derived data, dan historical data. Implementasi ISO 8000-1 memerlukan pendekatan menyeluruh untuk memastikan setiap jenis data dikelola sesuai dengan prinsip kualitas data.

2. Data Arsitektur dalam ISO 8000-1:2022

Kerangka kerja yang mencakup bagaimana data diatur, disimpan, diakses, dan dikelola dalam suatu organisasi. Arsitektur ini dirancang untuk memastikan bahwa data yang digunakan memenuhi standar kualitas, dapat diakses, dan mendukung operasional serta pengambilan keputusan bisnis. Komponen Utama Data Arsitektur:

1. Struktur Data
   • Mengidentifikasi bagaimana data diatur, termasuk format, tipe data, dan relasi antar elemen data.
   • Contoh: Database yang dirancang dengan entitas seperti “Pelanggan,” “Produk,” dan “Transaksi.”
2. Pengelolaan Metadata
   • Metadata mendukung transparansi dan pemahaman tentang data dengan menjelaskan atribut dan hubungan antar elemen data.
3. Proses dan Aliran Data
   • Mendefinisikan bagaimana data bergerak di seluruh sistem, dari input hingga pemrosesan dan output.
4. Keamanan dan Akses Data
   • Mengatur hak akses dan kontrol untuk memastikan keamanan data, termasuk perlindungan terhadap pelanggaran atau penyalahgunaan.

Selain itu Data Dictionary juga merupakan bagian penting dari data arsitektur yang berfungsi sebagai dokumentasi resmi mengenai data dalam sistem. Data dictionary adalah kumpulan informasi terstruktur yang mencatat:

• Definisi setiap elemen data.
• Struktur data (tipe data, panjang, format).
• Atribut data (hubungan dengan elemen lain, nilai default, dan sebagainya).

Data dictionary biasanya mencakup informasi berikut:

• Nama Elemen Data: Nama unik untuk setiap elemen.
• Deskripsi: Penjelasan tentang tujuan elemen data.
• Tipe Data: Seperti string, integer, atau date.
• Format: Spesifikasi tentang cara data disajikan (misalnya, “YYYY-MM-DD” untuk tanggal).
• Nilai yang Diperbolehkan: Jika ada, seperti daftar kode atau batasan numerik.
• Hubungan Antar Data: Menjelaskan relasi dengan elemen data lainnya.

Relevansi Data Arsitektur dan Data Dictionary dengan ISO 8000-1

• ISO 8000-1 menekankan pentingnya dokumentasi yang baik, termasuk data dictionary, sebagai bagian dari pengelolaan data berkualitas.
• Data dictionary membantu organisasi mencapai transparansi, konsistensi, dan keterlacakan dalam penggunaan data.
• Elemen-elemen dalam data dictionary mendukung proses validasi data, interoperabilitas, dan pengambilan keputusan berbasis data yang lebih baik.

Data arsitektur yang baik, dengan dukungan data dictionary, memungkinkan organisasi memastikan bahwa data dapat diandalkan, sesuai standar, dan mendukung tujuan bisnis.

3. Lingkup Implementasi ISO 8000-1

Lingkup implementasi dimulai dengan menentukan jenis data yang menjadi prioritas untuk dikelola. Hal ini mencakup identifikasi data yang kritis bagi keberhasilan operasional atau strategis organisasi. Contoh Lingkup Implementasi Berdasarkan Jenis Data:

Perusahaan Ritel:

Fokus pada data produk, termasuk katalog produk, harga, stok, dan pemasok, yang dimana tujuannya yaitu untuk Meningkatkan efisiensi manajemen inventaris dan pengalaman pelanggan.

Perusahaan Akuntansi:

Fokus pada catatan keuangan, seperti laporan transaksi, buku besar, dan data audit, yang dimana tujuannya yaitu untuk Memastikan kepatuhan terhadap regulasi keuangan dan meningkatkan keakuratan laporan.

Organisasi Pemerintah:

Fokus pada data penduduk (misalnya, data kependudukan dari Dukcapil) atau data pajak, yang dimana tujuannya yaitu untuk Meningkatkan pelayanan publik dan transparansi.

Dalam menentukan Lingkup implementasi ISO 8000-1 sangat fleksibel dan disesuaikan dengan kebutuhan spesifik organisasi. Penentuan data yang dikelola menjadi langkah pertama yang penting untuk memastikan bahwa upaya pengelolaan kualitas data fokus pada elemen yang memberikan dampak terbesar bagi bisnis. Dengan pendekatan ini, organisasi dapat memaksimalkan manfaat dari penerapan standar ISO 8000-1.

4. Industri Pemilik Data

ISO 8000-1 dirancang agar fleksibel dan dapat disesuaikan dengan kebutuhan spesifik berbagai industri. Untuk itu, standar ini memiliki ekstensi yang mendukung pengelolaan data sesuai dengan karakteristik dan persyaratan industri tertentu. Berikut adalah penjelasan mengenai penerapan standar berdasarkan jenis industri:

1. Industri Manufaktur

Industri manufaktur membutuhkan pengelolaan data yang sangat presisi untuk memastikan rantai pasokan yang efisien dan akurat.

Ekstensi yang Digunakan: ISO 8000-115 (Smart Prefix) yang dimana secara fungsi
Membantu dalam identifikasi unik komponen, produk, atau barang dalam rantai pasokan.

Contoh Implementasi: Mengidentifikasi komponen seperti baut, mur, atau modul elektronik dengan kode unik yang dapat dikenali oleh semua pihak dalam rantai pasokan.

2. Industri Perbankan

Perbankan berfokus pada pengelolaan data transaksi, pelanggan, dan dokumen berbasis format digital, khususnya XML (Extensible Markup Language).

Ekstensi yang Digunakan: ISO 22745 yang dimana secara fungsi Mendukung pertukaran data berbasis XML yang efisien dan konsisten.

Contoh Implementasi: Data transaksi antar bank yang menggunakan format XML terstandar untuk memastikan kelancaran pertukaran informasi.

3. Industri Legal

Dalam konteks hukum, data sering kali digunakan untuk dokumentasi, kepatuhan regulasi, dan penyimpanan dokumen hukum.

Ekstensi yang Digunakan: ISO 8000-116 yang dimana secara fungsi
Menyediakan standar untuk pengelolaan data yang relevan dengan konteks hukum atau regulasi.

Contoh Implementasi: Pengelolaan dokumen kontrak atau perjanjian yang dilengkapi dengan metadata terstandar seperti tanggal pembuatan, pihak yang terlibat, dan nomor referensi.

Industri pemilik data memiliki kebutuhan yang berbeda, dan ISO 8000-1 memberikan fleksibilitas melalui ekstensi khusus, seperti ISO 8000-115 untuk manufaktur, ISO 22745 untuk perbankan, dan ISO 8000-116 untuk legal. Dengan penerapan ekstensi ini, organisasi dapat memastikan bahwa pengelolaan data mereka sesuai dengan kebutuhan spesifik industri, mendukung interoperabilitas, dan meningkatkan kualitas data secara keseluruhan.

5. Quality Identifier (QI)

Merupakan elemen kunci dalam ISO 8000-1 yang bertujuan untuk memberikan identifikasi yang unik, akurat, dan dapat diandalkan terhadap data, serta memastikan keterlacakan sumber atau pemilik data. Sebagai contoh :

a. Data Perbankan:

Key identifier seperti BRI123456789 dapat digunakan untuk menunjukkan bahwa data tersebut milik Bank BRI.

b. Data Kependudukan:

Data NIK (Nomor Induk Kependudukan) dari Dukcapil dilengkapi dengan key identifier unik untuk setiap individu.

c. Data Kesehatan:

Data milik BPJS diberi identifier unik, misalnya BPJS-5678-2025, untuk membedakan dari penyedia layanan kesehatan lainnya.

Quality Identifier adalah elemen penting dalam pengelolaan data yang berkualitas. Dengan menyediakan identifikasi yang unik dan jelas untuk setiap elemen data, QI mendukung akuntabilitas, transparansi, dan efisiensi dalam pengelolaan dan pertukaran data. Penerapannya memungkinkan organisasi memastikan bahwa data yang mereka gunakan dapat dipercaya, bebas dari duplikasi, dan mudah diintegrasikan ke dalam sistem yang lebih luas.

Penerapan ISO 8000-1:2022 memberikan berbagai manfaat untuk organisasi, antara lain:

1. Meningkatkan Kualitas Data

• ISO 8000-1:2022 membantu organisasi dalam memastikan bahwa data yang digunakan dalam proses bisnis akurat, lengkap, konsisten, dan dapat diandalkan.
• Peningkatan kualitas data berkontribusi pada keputusan yang lebih tepat dan lebih cepat.

2. Efisiensi Operasional

• Data yang terkelola dengan baik, organisasi dapat mengurangi waktu yang dihabiskan untuk mencari, membersihkan, dan memperbaiki data yang tidak akurat.
• Selain itu juga membantu mengurangi duplikasi dan meningkatkan alur kerja yang lebih efisien.

3. Mengurangi Risiko Bisnis

• Data yang buruk dapat menyebabkan kesalahan operasional dan finansial. Dengan kualitas data yang lebih baik, organisasi dapat mengurangi potensi risiko terkait kesalahan data, misalnya dalam laporan keuangan atau peraturan.
• Penerapan ISO 8000-1:2022 membantu meminimalkan kesalahan dalam data yang dapat mempengaruhi keputusan bisnis.

4. Meningkatkan Kepercayaan Pelanggan

• Pelanggan cenderung lebih mempercayai organisasi yang dapat menunjukkan komitmennya terhadap pengelolaan data yang berkualitas dan transparansi.
• Penerapan ISO 8000-1:2022 dapat menjadi bukti bahwa organisasi peduli dengan kualitas dan integritas data yang di kelola.

5. Mendukung Transformasi Digital

• Pengelolaan data yang baik adalah fondasi dari banyak inisiatif transformasi digital.
• ISO 8000-1:2022 memfasilitasi penggunaan teknologi baru, seperti big data dan analitik, dengan memastikan kualitas data yang dikelola.

Dengan penerapan standar ISO 8000-1:2022, organisasi dapat meningkatkan pengelolaan data secara keseluruhan, yang dapat mendukung pengambilan keputusan yang lebih baik, mengurangi biaya operasional, dan meningkatkan kepuasan pelanggan.

Ditulis Oleh, Syifa Aulia Sari – Team Leader IT GRC Robere & Associates (Indonesia), 2025

---

Diskusikan dengan Kami!

Ditulis Oleh, Rian Munanjar, Lead Consultant GRC – Robere & Associates (Indonesia)

Implementasi ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan (SMAP) dapat memberikan manfaat signifikan bagi organisasi, termasuk peningkatan reputasi, pengurangan risiko hukum dan keuangan, serta peningkatan hubungan dengan stakeholder. Standar ini juga membantu menciptakan budaya organisasi yang menolak penyuapan, mendorong integritas dan transparansi dalam semua aspek bisnis.

Mengenal ISO 37001:2016  

ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan memperkenalkan kerangka kerja yang komprehensif untuk mengelola risiko penyuapan dalam operasi sehari-hari dan transaksi bisnis. Elemen kunci dari standar ini mencakup kebijakan anti penyuapan, prosedur uji kelayakan proses, pelatihan karyawan terkait dengan anti penyuapan, evaluasi risiko penyuapan, uji kelayakan rekan bisnis dan tindak lanjut serta pemantauan efektivitas sistem manajemen anti penyuapan. Pengelolaan risiko penyuapan merupakan salah satu langkah awal yang kritikal bagi organisasi yang akan mengimplementasikan SMAP.

Mengapa Organisasi Perlu Menyusun Risiko Penyuapan Berdasarkan ISO 37001:2016

Tujuan penilaian risiko penyuapan adalah agar suatu organisasi mampu membentuk fondasi yang kokoh dalam mengimplementasikan Sistem Manajemen Anti Penyuapan, dimana melalui identifikasi risiko penyuapan Organisasi dapat menetapkan fokus pada risiko prioritas. Dengan memahami risiko prioritas yang harus dihadapi, Organisasi dapat dengan tepat melaksanakan mitigasi risiko, penerapan pengendaliannya termasuk alokasi sumber daya yang diperlukan.

Bagaimana Cara Menilai Risiko Penyuapan Berdasarkan ISO 37001:2016?

Dalam melaksanakan penilaian risiko penyuapan, organisasi perlu memperhatikan beberapa ketentuan sebagai berikut:

1. Organisasi harus menetapkan level kriteria untuk risiko penyuapan dengan tetap mempertimbangkan kebijakan dan sasaran organisasi.

Penetapan level kriteria risiko penyuapan pada umumnya menggunakan Risk Heat Map. Risk Heat Map merupakan pengukuran tingkat risiko dengan mempertimbangkan Likelihood (kemungkinan terjadinya suatu risiko) serta impact (dampak atas terjadinya suatu risiko).

Likelihood merupakan kemungkinan terjadinya suatu risiko relatif sangat jarang dalam kurun waktu atau jumlah tertentu. Berikut contoh kriteria dalam penentuan nilai likelihood:

Nilai Likelihood	Pengertian	Contoh Penilaian
1 (Low)	Sangat Jarang / Tidak Mungkin Terjadi	0 sampai 1 kejadian
2 (Low to Moderate)	Jarang / Kemungkinan Kecil Terjadi	2 sampai 3 kali kejadian
3 (Moderate)	Agak Jarang / Mungkin Terjadi	3 sampai 5 kali kejadian
4 (Moderate to High)	Sering / Kemungkinan Besar Terjadi	6 sampai 8 kali kejadian
5 (High)	Sangat Sering / Pasti Terjadi	Lebih dari 8 kali kejadian

Sementara Impact merupakan dampak terjadinya suatu risiko. Berikut contoh kriteria dalam penentuan nilai impact:

Nilai Impact	Pengertian	Penilaian
1 (Low)	Sangat Rendah	Apabila risiko terjadi, tidak mengganggu operasional, maupun keuangan. (Biaya Kerugian < 0,01% dari total ekuitas)
2 (Low to Moderate/LTM)	Rendah	Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi, namun tidak signifikan. (Biaya Kerugian > 0,01% - < 0,25% dari total ekuitas)
3 (Moderate)	Agak Tinggi	Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi cukup signifikan. (Biaya Kerugian > 0,25% - < 0,50% dari total ekuitas)
4 (Moderate to High)	Tinggi	Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi relatif signifikan. (Biaya Kerugian > 0,50% - < 0,80% dari total ekuitas)
5 (High)	Sangat Tinggi	Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi secara signifikan. (Biaya Kerugian > 0,80% dari total ekuitas)

Dari penilaian likelihood dan impact pada Risk Heat Map inilah yang akan menghasilkan prioritas risiko penyuapan di dalam suatu organisasi. Contoh Tingkat prioritas risiko penyuapan adalah sebagai berikut:

Dalam pelaksanaan penilaian risiko penyuapan, organisasi harus menilai risiko inheren dan risiko residual. Risiko inheren merupakan risiko yang ada dimana belum terdapat upaya mitigasi yang dilakukan maupun kontrol atau tindakan lain yang ditetapkan untuk mengurangi risiko dari tingkat awal ke tingkat yang lebih dapat diterima oleh suatu organisasi. Sementara risiko residual merupakan risiko yang tersisa setelah upaya mitigasi maupun kontrol dilakukan untuk mengurangi risiko inheren. Risiko residual inilah yang harus dihadapi oleh organisasi berdasarkan mitigasi risiko yang sebelumnya telah ditentukan.

Berikut salah satu contoh penilaian risiko penyuapan terkait dengan proses pengadaan termasuk bagaimana suatu organisasi menangani risiko tersebut:

2. Organisasi harus melaksanakan penilaian risiko penyuapan secara berkala

Ketentuan dalam melaksanakan penilaian risiko penyuapan adalah sebagai berikut:

• Mengidentifiksi risiko penyuapan organisasi yang wajar untuk antisipasi dari isu internal maupun isu eksternal yang relevan degan tujuan suatu organisasi. Dalam melaksanakan identifikasi risiko penyuapan, organisasi perlu memahami proses bisnis yang dimiliki secara end-to-end serta melihat banyaknya jumlah interaksi yang dilaksanakan dari internal ke eksternal maupun interaksi yang dilaksanakan oleh internal ke internal di dalam suatu organisasi.
• Menganalisis, menilai dan memprioritaskan risiko penyuapan yang telah teridentifikasi; dan
• Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di organisasi untuk mengurangi risiko penyuapan yang dinilai.

3. Penilaian risiko penyuapan harus ditinjau secara berkala

Peninjauan penilaian risiko penyuapan dilaksanakan dengan ketentuan sebagai berikut:

• Peninjauan dilaksanakan secara berlaka sehingga setiap adanya perubahan informasi baru dapat dinilai secara tepat waktu oleh organisasi; dan
• Pada saat terjadinya perubahan penting terhadap struktur organisasi maupun aktivitas organisasi.

4. Terdokumentasi

Organisasi harus menyimpan informasi terdokumentasi untuk menunjukkan bahwa penilaian risiko penyuapan telah dilaksanakan dan digunakan untuk merancang maupun meningkatkan sistem manajemen anti penyuapan.

---

Diskusikan dengan Kami!

Ditulis Oleh, Satrio Adhi Pradana, Lead Consultant GRC – Robere & Associates (Indonesia)

Dunia bisnis saat ini mengalami perkembangan secara pesat, namun tidak dapat dipungkiri di tengah pesatnya perkembangan tersebut, pelanggaran seperti kecurangan dalam faktor keuangan, penyalahgunaan kebijakan perusahaan, serta tindakan ilegal lainnya juga mengalami perkembangan. Oleh karena itu, organisasi sangat direkomendasikan untuk memiliki sistem pengelolaan pelaporan dan penanganan yang sistematis sebagai paduan yang dapat membantu organisasi dalam mengelola pelanggaran yang disampaikan oleh pihak yang relevan di organisasi. Dalam hal ini, Standar internasional ISO 37002:2021 tentang Sistem Manajemen Pelaporan Pelanggaran dapat dimanfaatkan sebagai panduan dalam implementasi pengelolaan sistem penanganan pelaporan pelanggaran bagi organisasi.

Manfaat Implementasi ISO 37002:2021

ISO 37002:2021 merupakan panduan yang diterbitkan oleh International Organization for Standardization (ISO) yang bertujuan untuk memberikan panduan dalam mendesain, menerapkan, mengelola, dan meningkatkan secara berkesinambungan sistem manajemen pelaporan pelanggaran.

ISO 37002:2021 dapat dimanfaatkan sebagai panduan bagi organisasi dalam mencegah atau meminimalisir kerugian yang diakibatkan oleh perilaku yang menyimpang dengan mengidentifikasi, menangani, mengelola penyimpangan yang dilaporkan sedini mungkin.

Selain itu, implementasi ISO 37002:2021 dapat menunjukkan bahwa organisasi telah mendemonstrasikan praktik tata kelola yang baik dan berintegritas kepada pihak berkepentingan yang relevan.

Aspek Penting dari ISO 37002:2021

Salah satu aspek penting dari ISO 37002:2021 adalah memberikan panduan tentang bagaimana organisasi dapat menciptakan lingkungan yang mendukung pelaporan pelanggaran, termasuk memastikan bahwa para pelapor merasa aman dan dilindungi, serta mendorong budaya terbuka dan transparan di seluruh organisasi. Adapun langkah-langkah penting yang dicakup dalam ISO 37002:2021 meliputi beberapa hal sebagai berikut:

1. Proses Pelaporan

Organisasi disarankan untuk menciptakan mekanisme pengelolaan pelaporan pelanggaran dengan memperhatikan 2 aspek sebagai berikut:

• Ketelusuran (Traceability)

Setiap laporan harus dilacak secara rinci mulai dari penerimaan hingga penyelesaian untuk menciptakan transparansi dan memastikan akuntabilitas dalam penanganan laporan.

Sebagai contoh, pemberian nomor pelaporan yang diberikan kepada pelapor agar pelapor dapat memantau seluruh proses penanganan laporan yang telah disampaikan.

• Kerahasiaan

Organisasi perlu menerapkan langkah-langkah untuk melindungi identitas pelapor dan menjaga kerahasiaan informasi yang terkait dengan laporan. Aspek kerahasiaan ini akan membantu organisasi dalam menciptakan lingkungan dimana pekerja akan merasa aman untuk melaporkan pelanggaran.

Sebagai contoh, Organisasi dapat menyediakan opsi pelaporan pelanggaran secara anonim. Dalam hal anonimitas, terdapat 2 opsi sebagai berikut:

• Anonimitas Total, dimana identitas pelapor sepenuhnya disembunyikan dan tidak terdapat informasi yang dapat menghubungkan antara laporan dengan pelapor nya.
• Anonimitas Terbatas, dimana identitas pelapor hanya dapat diketahui oleh pihak yang berwenang dalam hal ini pengelola WBS dan/atau tim penyelidik yang ditugaskan untuk menindaklanjuti laporan.

2. Penilaian terhadap Pelaporan

Organisasi perlu memastikan bahwa proses penilaian, triase, dan manajemen laporan pengaduan perilaku yang menyimpang bebas dari keberpihakan dan/atau benturan kepentingan. Organisasi juga direkomendasikan dapat mengurutkan prioritas laporan penyimpangan berdasarkan pertimbangan risiko yang merugikan bagi organisasi dan/atau pihak relevan lainnya.

Sebagai contoh, untuk mempermudah penilaian, pengelola WBS dapat melakukan penilaian dengan dengan memastikan beberapa aspek sebagai berikut:

• Verifikasi keabsahan laporan;
• Melakukan evaluasi terhadap risiko sejauh mana pelanggaran terkait dampak merugikan perusahaan dari segi finansial, reputasi, hukum, dan operasional;
• Melakukan pengkategorian atas laporan yang masuk berdasarkan tingkat urgensinya;
• Apabila diperlukan, organisasi dapat melakukan konsultasi terkait hukum dan peraturan yang berlaku untuk memastikan tindakan yang akan diambil sudah sesuai ketentuan yang berlaku dengan pihak yang dianggap berkompeten baik secara internal maupun eksternal.

3. Penanganan Pelanggaran

Organisasi perlu memastikan adanya mekanisme penyelidikan yang adil dan obyektif. Mekanisme penyelidikan sebaiknya dilakukan tanpa bias dan terlapor sebaiknya diberikan hak untuk merespon terhadap laporan terkait.

4. Perlindungan Pelapor, Terlapor, dan Investigator

Standar ini menekankan pentingnya melindungi Pelapor, Terlapor, dan Investigator dari segala bentuk pembalasan atau diskriminasi sebagai akibat dari pelaporan. Hal ini bertujuan untuk menciptakan lingkungan yang mendukung integritas dan keberanian dalam melaporkan pelanggaran.

5. Penyelesaian Kasus Pengaduan

Kasus pelaporan dapat dinyatakan selesai apabila tidak ada lagi tindakan yang dianggap perlu dalam merespon laporan, ketika pencarian fakta menentukan tidak ada lagi investigasi yang diperlukan, ketika laporan terkait dirujuk ke proses lain yang harus ditangani, atau akhir dari proses investigasi yang dapat membuktikan perilaku yang menyimpang benar terjadi atau tidak.

ISO 37002:2021 dapat menjadi fondasi untuk menciptakan organisasi yang berintegritas, di mana pelaporan pelanggaran dapat terjadi tanpa takut pembalasan, dan di mana setiap laporan ditangani secara adil dan transparan. Dengan demikian, implementasi ISO 37002:2021 bukan hanya tentang memenuhi standar, tetapi juga tentang membangun kepercayaan, melindungi pelapor, dan mengukuhkan reputasi organisasi sebagai entitas yang berkomitmen pada nilai-nilai etika dan keberlanjutan.

 

Ditulis Oleh, Farrah Alizah Larasati, Lead Consultant GRC – Robere & Associates (Indonesia)

Kepatuhan merupakan salah satu aspek kritikal yang harus dipenuhi perusahaan dalam menjalankan proses bisnisnya. Setiap Perusahaan, dalam bidang apapun, akan memiliki ketentuan regulasi maupun persyaratan dari pihak berkepentingan yang wajib untuk dipenuhi. Apabila Perusahaan tidak menaati ketentuan ataupun persyaratan yang berlaku, maka berpotensi menimbulkan kerugian reputasi, keuangan hingga dikenakanya sanksi hukum atau pidana bagi Perusahaan.

Sebagai contoh kasus yang terjadi pada salah satu BPR atau Bank Perekonomian Rakyat pada tahun 2023 yang tidak mematuhi ketentuan terkait dengan pengelolaan kredit, dengan menyalurkan kredit fiktif, sehingga menyebabkan izin usaha atas BPR dicabut oleh OJK.

Pentingnya untuk mematuhi setiap ketentuan ataupun persyaratan, mendorong Perusahaan untuk memiliki suatu sistem manajemen yang secara sistematis untuk mengidentifikasi, mengevaluasi, dan memastikan kepatuhan. Dalam hal ini, Standar internasional ISO 37301:2021 tentang Sistem Manajemen Kepatuhan merupakan salah satu best practice yang dapat digunakan oleh Perusahaan dalam sebagai panduan untuk mengelola kepatuhan.

Apa itu ISO 37301:2021?

ISO 37301:2021 Sistem Manajemen Kepatuhan adalah standar internasional yang menetapkan bagaimana perusahaan dapat mengelola dan mematuhi peraturan dengan baik. Standar ini memberikan panduan yang jelas tentang bagaimana perusahaan dapat mengembangkan, menerapkan, memelihara, dan secara berkesinambungan meningkatkan sistem manajemen kepatuhan.

Aspek Kritikal Dalam Implementasi ISO 37301:2021

Aspek kritikal yang perlu dipenuhi oleh Perusahaan dalam mengimplementasikan ISO 37301:2021 Sistem Manajemen Kepatuhan adalah sebagai berikut:

1. Komitmen terhadap kepatuhan

Komitmen terhadap implementasi Sistem Manajemen Kepatuhan sangat penting dalam Perusahaan, khususnya komitmen dari Dewan Pengarah dan Manajemen Puncak. Komitmen dari Dewan Pengarah dan Manajemen Puncak diantaranya diwujudkan dengan menetapkan Kebijakan Kepatuhan, memastikan bahwa mengimplementasikan Sistem Manajemen Kepatuhan telah tercapai, serta memastikan tersedianya Sumber Daya yang dibutuhkan dalam mengimplementasikan Sistem Manajemen Kepatuhan pada Perusahaan.

2. Penetapan Fungsi Kepatuhan

Dalam implementasi ISO 37301, Perusahaan perlu menetapkan Fungsi Kepatuhan, yang memiliki tugas dan tanggung jawab untuk memfasilitasi untuk mengidentifikasi kewajiban kepatuhan, melakukan analisis dan evaluasi terkait kinerja Sistem Manajemen Kepatuhan untuk mengidentifikasi kebutuhan tindakan perbaikan, menetapkan mekanisme terkait pelaporan kepatuhan, melakukan pemantauan dan melaporkan hasil implementasi Sistem Manajemen Kepatuhan kepada Manajemen Puncak. Pada umumnya Fungsi Kepatuhan ditugaskan kepada Unit Kerja yang membawahi bidang Kepatuhan pada Perusahaan.

3. Kesadaran

Perusahaan wajib memastikan bahwa seluruh pegawai perlu diberikan pemahaman terkait implementasi Sistem Manajemen Kepatuhan, diantaranya dengan memberikan pelatihan yang berhubungan dengan Sistem Manajemen Kepatuhan serta sosialisasi terkait Kebijakan Kepatuhan.

4. Penetapan Kewajiban Kepatuhan

Kewajiban kepatuhan adalah regulasi dan ketentuan yang harus dipatuhi oleh Perusahaan sesuai dengan proses bisnis yang dijalankan, baik dari peraturan eksternal maupun internal. Dalam implementasi ISO 37301, Perusahaan perlu mengidentifikasi kewajiban kepatuhan, melakukan analisis dan dampak dari setiap peraturan, serta melakukan evaluasi untuk memastikan seluruh peraturan telah dijalankan. Kewajiban kepatuhan dapat dibedakan menjadi 2 yaitu mandatory obligation dan voluntary obligation. Mandatory obligation adalah ketentuan yang wajib dipatuhi seperti contoh ketentuan regulator, ketentuan pemerintah maupun ketentuan dari pelanggan, sedangkan voluntary obligation adalah ketentuan yang bersifat sukarela, dimana hal ini tidak diwajibkan, namun Perusahaan berkomitmen untuk memenuhi ketentuan tersebut, seperti contoh adalah standar ISO 37301.

5. Indikator Kepatuhan

Perusahaan dapat menetapkan indikator kepatuhan untuk menilai tingkat kepatuhan Perusahaan, dimana pada ISO 37301, indikator kepatuhan terbagi menjadi prediktif indikator dan reaktif indikator. Prediktif indikator diantaranya risiko ketidakpatuhan diukur sebagai potensi tercapai atau tidak tercapainya target, serta trend atas ketidakpatuhan. Contoh dari reaktif indikator adalah jumlah ketidakpatuhan yang terjadi, waktu yang dibutuhkan untuk menindaklanjuti ketidakpatuhan dan tindakan perbaikan.

Perusahaan yang mengimplementasikan Sistem Manajemen Kepatuhan berdasarkan ISO 37301 tidak hanya memastikan kepatuhan terhadap ketentuan yang berlaku, tetapi juga meminimalkan risiko, meningkatkan efisiensi operasional, serta membangun reputasi yang baik, sehingga Perusahaan dapat terus berkembang dan memastikan keberlanjutan Perusahaan.

---

Diskusikan dengan Kami!

Ditulis Oleh, Syifa Aulia Sari, Team Leader IT GRC – Robere & Associates (Indonesia)

Pada zaman modern ini, Layanan Teknologi Informasi sudah menjadi kebutuhan yang mendasar bagi sebagian besar masyarakat di Indonesia. Perkembangan Digitalisasi dan pengaruh Globalisasi membuat masyarakat tidak bisa lepas dari kebutuhan atas layanan Teknologi Informasi. Atas dasar kebutuhan inilah, maka banyak perusahaan yang berlomba-lomba untuk menyediakan layanan yang dapat memberikan kualitas terbaik, serta memberikan kepuasan bagi para pelanggannya.

Apa Itu Service Level Agreement (SLA)

Untuk menyediakan layanan, tentu saja diperlukan beberapa aspek yang harus di dikelola dengan baik, salah satu aspek tersebut adalah Perjanjian Tingkat Layanan atau lebih dikenal dengan sebutan SLA / Service Level Agreement. Secara sederhana, SLA itu sendiri adalah perjanjian yang berisi kesanggupan jaminan kinerja yang dipenuhi oleh penyedia layanan untuk memenuhi kebutuhan dan harapan pelanggan. SLA umumnya mencakup berbagai parameter kinerja seperti ketersediaan layanan, waktu respons, waktu pemulihan, keamanan informasi, dan parameter lainnya yang relevan dengan layanan yang disediakan.

Manfaat Service Level Agreement (SLA)

Dengan adanya SLA layanan, baik penyedia layanan maupun pelanggan memiliki pemahaman yang jelas tentang apa yang diharapkan dari layanan yang diberikan, serta tanggung jawab dan implikasi untuk masing-masing pihak jika terjadi pelanggaran terhadap kesepakatan tersebut. SLA  layanan juga dapat membantu menciptakan transparansi, meningkatkan kepercayaan antara penyedia layanan dan pelanggan, dan menyediakan kerangka kerja untuk penyedia layanan dalam melakukan evaluasi kinerja layanan secara berkala. oleh karena itu pengelolaan SLA dari sisi penyedia layanan menjadi sangat penting, dimana dengan pengelolaan SLA yang baik akan dapat membantu organisasi penyedia layanan untuk dapat memberikan layanan yang dapat memenuhi atau bahkan melampaui ekspektasi pelanggan.

Service Level Agreement (SLA) dalam ISO/IEC 20000-1:2018

Dalam ISO/IEC 20000-1:2018, yaitu standar Internasional untuk Sistem Manajemen layanan, SLA itu sendiri merupakan aspek yang diatur dalam salah satu klausul (klausul 8.3.3) untuk pemenuhan kesesuaian standar ISO/IEC 20000-1:2018 untuk implementasi maupun sertifikasi Sistem Manajemen Layanan. Oleh karena itu standar  ISO/IEC 20000-1 :2018 ini dapat digunakan sebagai panduan dalam implementasi maupun sertifikasi Sistem Manajemen layanan, termasuk pengelolaan SLA Layanan.

Pengelolaan Service Level Agreement Sebagai Bagian Dari ISO/IEC 20000-1:2018

Beberapa Aspek pengelolaan terkait SLA yang diatur dalam standar ISO/IEC 2000-1:2018 adalah :

1. Penyusunan SLA yang jelas dan terukur antara penyedia layanan dan pelanggan. SLA harus mencakup parameter kinerja layanan yang ditetapkan, seperti ketersediaan, waktu respons, dan waktu pemulihan, serta harus konsisten dengan kebutuhan bisnis dan persyaratan pelanggan.
2. Pemantauan dan Pengukuran Kinerja secara berkala sesuai dengan SLA yang disepakati. aspek Ini mencakup pengumpulan data kinerja layanan, analisis hasil, dan pelaporan kepada pelanggan.
3. Manajemen Insiden dalam memenuhi dan meningkatkan pemenuhan SLA. Ketika terjadi pelanggaran SLA atau masalah dalam penyediaan layanan, penyedia layanan harus dapat merespons dengan cepat dan mengambil tindakan yang diperlukan.
4. Komitmen Terhadap Peningkatan Berkelanjutan (continual improvement) dalam pengelolaan layanan. Penyedia layanan diharapkan untuk secara terus-menerus mengevaluasi dan meningkatkan proses, sistem, dan kinerja layanan mereka untuk memastikan pemenuhan SLA yang konsisten dan memenuhi atau bahkan melampaui ekspektasi pelanggan.

Dari beberapa penjelasan diatas, dapat dilihat bahwa ISO/IEC 20000-1:2018 memiliki peranan penting sebagai panduan bagi organisasi untuk membantu mengelola layanan yang disediakan termasuk pengelolaan SLA di dalamnya. Oleh karena itu, dengan implementasi dan sertifikasi ISO/IEC 2000-1:2018 ini, selain dapat meningkatkan pengelolaan SLA menjadi lebih baik, harapannya juga akan sekaligus meningkatkan pengelolaan layanan secara menyeluruh yang nantinya akan memberikan dampak peningkatan kualitas dan nilai jual layanan itu sendiri.

1. Jadwal Update ISO/IEC 27001:2022

Standar Sistem Manajemen Keamanan Informasi ISO/IEC 27001 sudah mengalami perubahan dimana versi terbaru ISO/IEC 27001:2022 telah resmi dipublikasikan pada tanggal 25 Oktober 2022 sebagai hasil dari proses voting oleh Join Technical Committee (JTC) yang telah selesai pada tanggal 22 September 2022. Seluruh organisasi yang telah atau akan mengimplementasikan Sistem Manajemen Keamanan Informasi berdasarkan ISO/IEC 27001 telah dapat mengadopsi standar ISO/IEC 27001:2022 tersebut, dimana ISO/IEC 27001:2013 masih dapat dilakukan audit sertifikasi (Initial sertifikasi maupun resertifikasi) selambat-lambatnya sampai dengan 25 Oktober 2023; setelah itu seluruh audit initial sertifikasi/ resertifikasi harus menggunakan ISO/IEC 27001:2022. Sedangkan untuk proses surveillance audit ISO/IEC 27001:2013 masih dapat dilakukan sampai selambat-lambatnya 24 Oktober 2025.

2. Apa Saja Perubahan ISO 27001 di Versi Terbaru

Perubahan Standar ISO/IEC 27001 di tahun 2022 ini sejalan dengan perkembangan praktik bisnis yang semakin digital, seperti penggunaan Remote Working, Bring Your Own Device, dan peningkatan ketergantungan pada Cloud Services.

Secara umum, rincian perubahan yang akan diterapkan pada ISO/IEC 27001:2022 ini  meliputi:

1. Perubahan jumlah total Kontrol Annex, dari 114 menjadi 93, dengan rincian:

• 24 Kontrol gabungan
• 23 Kontrol berubah penamaannya
• 35 Kontrol berubah penomorannya
• 11 Kontrol tambahan/ baru yang meliputi:
• Threat Intelligence
• Keamanan Informasi Cloud Services
• ICT (Information and Communications Technology) untuk Kesinambungan Bisnis
• Pemantauan Keamanan Fisik
• Kegiatan Pemantauan
• Web Filtering
• Data Masking
• Secure Coding
• Manajemen konfigurasi
• Penghapusan Informasi
• Pencegahan Kebocoran Data

2. Restrukturisasi Domain kontrol Annex menjadi 4 Domain utama:

• Manusia (8 Kontrol): Kontrol yang Menyangkut individu, seperti Kerja Jarak Jauh (Teleworking), Filtering, dan Perjanjian Kerahasiaan.
• Organisasi (37 Kontrol): Kontrol yang menyangkut Organisasi, seperti Kebijakan Keamanan Informasi, Pengembalian Aset, dan Keamanan Informasi untuk Penggunaan Layanan Cloud.
• Teknologi (34 Kontrol): Kontrol yang menyangkut teknologi, seperti Otentikasi, Penghapusan Informasi, Pencegahan Kebocoran Data, atau Pengembangan Sistem.
• Fisik (physical) (14 Kontrol): Kontrol yang menyangkut obyek fisik, seperti Media Penyimpanan, Pemeliharaan Peralatan, Pemantauan Keamanan Fisik, Pengamanan Ruangan Kantor.

3. Terdapat lima jenis atribut atas Kontrol untuk membuatnya lebih mudah untuk dikategorikan, Yang terdiri atas:

• Tipe Kontrol (Pencegahan, Detektif, Dorektif)
• Aspek Keamanan Informasi (Kerahasiaan, Integritas, Ketersediaan)
• Konsep Pengamanan Siber (Identify, Protect, Detect, Respond, Recover)
• Operasional (Tata Kelola, Manajemen Aset, Manajemen Risiko, dll.)
• Domain keamanan (Tata Kelola, perlindungan, keberlangsungan Bisnis)

Secara umum, tidak ada perbedaan yang signifikan antara standar ISO/IEC 27001:2022 dengan versi ISO/IEC 27001:2013, hanya saja akan terdapat perubahan pada Security Controls yang ada sehingga pembaharuan Statement of Applicability (SOA) yang telah diterapkan menjadi prioritas yang harus dilakukan.

3. Kunci Dari Transisi ke ISO/IEC 27001:2022

Transisi ke ISO/IEC 27001:2022 dapat anda lakukan sejak saat ini dengan batas waktu paling lambat di tanggal 25 Oktober 2025 atau 3 tahun sejak standar ISO/IEC 27001:2022 dikeluarkan, dengan penjelasan milestones sebagai berikut:

Meskipun akan ada proses transisi yang ditimbulkan ketika standar ISO/IEC 27001:2022 Diterbitkan, Anda tidak perlu khawatir tentang proses tersebut. Selama persiapan transisi ke ISO/IEC 27001:2022 tersebut, Robere & Associates siap membantu organisasi Anda untuk mendampingi dalam proses transisi tersebut.

Robere & Associates siap mendukung Anda sejak standar ISO/IEC 27001 :2022 diterbitkan. Kami akan terus memberikan informasi kepada Anda tentang kemajuannya dan memberikan detail lebih lanjut tentang proses transisi yang harus anda lakukan berikutnya.

---

Diskusikan dengan Kami!

Apa Itu System Security Hardening?

ISO/IEC 27001:2013 merupakan standar internasional yang mengatur persyaratan dalam sistem manajemen keamanan informasi. Annex 12.6.1 (Management of Technical Vulnerabilities) dan Annex 14.2.8 (System Security Testing) menekankan pentingnya pengamanan sistem dan aplikasi dari potensi serangan. Salah satu metode yang digunakan adalah system hardening, yaitu proses mengamankan sistem atau aplikasi untuk mengurangi risiko serangan peretas.

Dalam dunia IT, istilah “security hardening” sering digunakan saat sistem atau aplikasi akan di-deploy atau masuk ke lingkungan production. System hardening adalah sekumpulan tools, teknik, dan best practices untuk mengurangi kerentanan terhadap serangan siber, dengan tujuan mengeliminasi attack vectors dan memperkecil attack surface yang dapat dimanfaatkan oleh peretas atau malware.

Jenis-Jenis System Hardening

System hardening mencakup beberapa aspek utama dalam pengamanan ekosistem IT. Berikut adalah lima jenis utama dalam hardening:

1. Application Hardening – Mengamankan aplikasi dari eksploitasi dan serangan berbahaya.
2. Operating System Hardening – Menghilangkan layanan atau konfigurasi yang tidak diperlukan pada OS.
3. Server Hardening – Mengamankan server dari akses tidak sah atau eksploitasi.
4. Database Hardening – Mencegah kebocoran data melalui pengaturan akses dan enkripsi.
5. Network Hardening – Meningkatkan keamanan jaringan dengan firewall, segmentasi, dan kontrol akses.

Mengapa System Hardening Penting?

System hardening berperan penting dalam menurunkan kemungkinan sistem diretas dengan mengurangi potensi pintu masuk bagi serangan. Langkah ini sangat diperlukan dalam industri yang menerapkan standar keamanan tinggi seperti Payment Card Industry Data Security Standard (PCI DSS) di sektor finansial dan Health Insurance Portability and Accountability Act (HIPAA) di sektor kesehatan.

System hardening harus dilakukan secara berkala sepanjang lifecycle teknologi, mulai dari instalasi awal hingga sistem berjalan dalam lingkungan live production. Beberapa organisasi bahkan mengembangkan metode otomasi hardening untuk mempercepat dan meningkatkan efektivitas proses ini.

Apakah System Hardening Menjamin Keamanan 100%?

Jawabannya tidak. Tidak ada sistem yang 100% aman, tetapi system hardening dapat meningkatkan ketahanan sistem terhadap serangan dan mengurangi kemungkinan eksploitasi. Dengan menerapkan hardening, serangan yang awalnya dapat dilakukan oleh peretas dengan tingkat keahlian dasar akan menjadi lebih sulit, sehingga hanya peretas dengan tingkat keahlian lebih tinggi yang dapat mencoba menembus sistem.

Dengan pendekatan yang tepat, system hardening akan menjadi bagian dari strategi keamanan siber yang lebih luas dan membantu organisasi dalam melindungi data serta infrastruktur IT mereka.

_

IT GRC Team
Robere & Associates (Indonesia)

Implementasi Manajemen Risiko erat kaitannya dengan proses komunikasi dan konsultasi. Dimana, proses tersebut merupakan salah satu faktor yang mendukung kelancaran proses manajemen risiko dari tahap ke tahap. Serta tidak dapat dipungkiri proses komunikasi dan konsultasi dengan beberapa Stakeholder dapat mempengaruhi beberapa keputusan yang ditetapkan, baik dalam penerapan kerangka kerja atau proses manajemen risiko, sehingga apabila proses komunikasi dan konsultasi tidak dapat berjalan lancar maka dapat memunculkan risiko baru.

Membahas terkait kesalahan komunikasi dalam implementasi manajemen risiko, kita dapat mengacu kepada salah satu kasus besar yang terjadi pada tahun 2001 yaitu Kasus Kebangkrutan Enron, dimana perusahaan tersebut tidak dapat memberikan informasi yang sesuai dengan realitanya, sehingga tim manajemen risiko Enron tidak dapat mengidentifikasi risiko apa yang akan dihadapi. Penyampaian data yang akurat dan aktual dari suatu perusahaan sangat berguna untuk mengidentifikasi risiko apa yang akan dihadapi, tanpa adanya informasi tersebut sebuah perusahaan hanya dapat memprediksi risiko dari hystorical data yang belum tentu akurat hasilnya.

Berkaitan dengan penjabaran diatas, pada artikel kali ini akan membahas salah satu metode yang dapat digunakan untuk menyusun dan mengidentifikasi dengan jelas bagaimana alur yang baik dalam menjalankan proses komunikasi dan konsultasi yang baik dalam mengimplementasikan Sistem Manajemen Risiko yaitu RACI Matriks. Metode ini membantu perusahaan untuk mengidentifikasi pihak – pihak yang terkait dengan proses komunikasi dan konsultasi Sistem Manajemen Risiko yang pada umumnya terbagi menjadi 4, yaitu Responsibility (R), Accountable (A), Consulted (C), Informed (I). Sebagai panduan menyusun RACI Matriks, terdapat beberapa tahapan yang dapat dilakukan yaitu

1. Identifikasi pihak yang berkepentingan dengan Sistem Manajemen Risiko
   Sebelum menyusun RACI Matriks, perlu ditentukan siapa saja pihak yang berkepentingan terkait dengan Sistem Manajemen Risiko. Contohnya seperti :
   • Dewan Komisaris
   • Direksi
   • Manager Departemen / Kepala Divisi
   • Staff Departemen/ Risk Owner
   • Stakeholder Eksternal (Customer, Pemegang Saham, Pemerintah, Risk Consultant,dll)
2. Identifikasi tahapan yang akan dilaksanakan di Sistem Manajemen Risiko
   Setelah menentukan pihak yang berkepentingan, maka perlu diidentifikasi tahapan apa saja yang akan dilakukan saat mengimplementasikan Sistem Manajemen Risiko. Contohnya seperti :
   • Penetapan Lingkup, Konteks, dan Kriteria
   • Identifikasi Risiko
   • Analisa Risiko
   • Evakuasi Risiko
   • Pengendalian Risiko
   • Pemantauan dan Kaji Ulang Risiko
   • Pencatatan dan Pelaporan Risiko

   Sebagai saran untuk peningkatan, semakin detail keterangan pada setiap tahapan di Sistem Manajemen Risiko, maka akan semakin jelas peran dari pihak berkepentingan yang menjalankan tahapan tersebut.

3. Menyusun RACI Matriks
   RACI Matriks disusun berdasarkan peran dari pihak berkepentingan terhadap tahapan yang dilakukan dalam menjalankan Sistem Manajemen Risiko. Hal tersebut seperti yang telah disebutkan diatas yaitu terbagi menjadi :
   • Responsible (R), yaitu pihak yang bertugas melaksanakan tahapan tertentu dari serangkaian proses di Sistem Manajemen Risiko. Contohnya seperti Staff Departemen/Risk Owner.
   • Accountable (A), yaitu pihak yang bertanggung jawab terhadap hasil akhir dari suatu tahapan yang terkait dengan proses Sistem Manajemen Risiko serta pengambil keputusan terhadap suatu permasalahan yang terjadi. Contohnya seperti pimpinan di masing – masing Unit Kerja/ Departemen/Divisi (Manager Departemen/Kepala Divisi).
   • Consulted (C), yaitu pihak yang memiliki keahlian terkait Sistem Manajemen Risiko. Contohnya seperti Departemen Manajemen Risiko (ERM Departement), Risk Analyst, Risk Consultant.
   • Informed (I), yaitu pihak yang menerima informasi terkait hasil implementasi dari tahapan – tahapan Sistem Manajemen Risiko. Contohnya seperti Dewan Komisaris, Direksi Perusahaan, dan Stakeholder Eksternal.

   Salah satu contoh bentuk RACI Matriks dapat dilihat pada tabel di bawah berikut ini: Table 1.1: RACI Matriks

4. Keterangan tambahan pada RACI MatriksApabila RACI Matriks telah disusun, maka dapat ditambahkan beberapa keterangan seperti :
   • Jenis informasi yang disampaikan sebagai bentuk output dari masing – masing tahapan di Sistem Manajemen Risiko. Contohnya seperti Laporan Identifikasi Risiko, Laporan Evaluasi Sistem Manajemen Risiko, dll
   • Metode penyampaian hasil tahapan di Sistem Manajemen Risiko. Contohnya seperti Monthly Meeting, Yearly Meeting, Management Review Meeting, Email, Surat,dll.
   • Frekuensi penyampaian hasil tahapan Sistem Manajemen Risiko. Contohnya seperti perBulan, perSemester, perTahun, setiap 3 bulan, dll.

Pada dasarnya RACI Matriks adalah salah satu metode yang bertujuan untuk lebih meningkatkan keefektifan Sistem Manajemen Risiko yang diimplementasikan oleh organisasi. Dimana, harapannya apabila sebuah organisasi atau perusahaan telah menyusun RACI Matriks yang baik maka :

• Tidak terdapat tumpang tindih tugas dan tanggung jawab dalam mengimplementasikan Sistem Manajemen Risiko
• Pengambilan keputusan dan penyelesaian masalah menjadi lebih singkat
• Distribusi informasi internal dan eksternal menjadi lebih jelas
• Transparansi terhadap informasi dalam menjalankan Sistem Manajemen

—

^{Hilman Badhi Adikara
Non-IT GRC Consultant
Robere & Associates (Indonesia)}

Kepuasan pelanggan merupakan faktor krusial dalam keberlangsungan sebuah perusahaan. Sebagai pengguna produk atau jasa, pelanggan memiliki peran penting dalam menentukan arah perkembangan bisnis. Oleh karena itu, melakukan survey kepuasan pelanggan menjadi salah satu bentuk komitmen perusahaan dalam memastikan bahwa kebutuhan dan harapan pelanggan terpenuhi dengan baik.

Manfaat Survey Kepuasan Pelanggan bagi Perusahaan

Survey kepuasan pelanggan memberikan banyak manfaat bagi perusahaan, di antaranya:

1. Menilai Kualitas Produk dan Jasa

Melalui survey ini, perusahaan dapat mengetahui sejauh mana produk atau jasa yang disediakan telah memenuhi harapan pelanggan. Dengan memahami tingkat kepuasan pelanggan, perusahaan dapat mengidentifikasi aspek yang perlu diperbaiki atau ditingkatkan.

2. Mengidentifikasi Kebutuhan Perbaikan

Survey kepuasan pelanggan juga berfungsi sebagai alat evaluasi untuk meningkatkan kualitas produk dan layanan. Dengan mendapatkan feedback dari pelanggan, perusahaan dapat melakukan perbaikan yang lebih tepat sasaran dan sesuai dengan kebutuhan pasar.

3. Menganalisis Perilaku Pelanggan

Data dari survey kepuasan pelanggan memungkinkan perusahaan untuk memahami pola perilaku pelanggan, termasuk preferensi, kebiasaan, dan faktor yang mempengaruhi keputusan pembelian. Informasi ini dapat digunakan untuk menyusun strategi pemasaran yang lebih efektif.

4. Meningkatkan Daya Saing Perusahaan

Survey kepuasan pelanggan juga membantu perusahaan dalam membandingkan produk dan layanan mereka dengan kompetitor. Dengan memahami keunggulan dan kelemahan pesaing, perusahaan dapat merancang strategi yang lebih kompetitif dan memperluas pangsa pasar.

Metode Pelaksanaan Survey Kepuasan Pelanggan

Ada berbagai metode yang dapat digunakan perusahaan untuk melakukan survey kepuasan pelanggan, antara lain:

1. Pengajuan Form Survey kepada Pelanggan

Metode ini adalah cara paling sederhana untuk mengumpulkan feedback pelanggan. Form survey dapat disebarkan dalam bentuk kuesioner tertulis atau melalui platform digital seperti email, media sosial, atau website perusahaan.

2. Customer Business Meeting

Mengadakan pertemuan langsung dengan pelanggan memungkinkan perusahaan untuk mendapatkan masukan secara langsung. Selain itu, forum ini juga menjadi kesempatan untuk berdiskusi dan menawarkan solusi terbaik bagi pelanggan.

3. Lost Customer Analysis

Lost Customer Analysis bertujuan untuk menghubungi pelanggan yang berhenti menggunakan produk atau jasa perusahaan guna mengetahui alasan mereka beralih ke kompetitor. Data ini sangat berharga dalam upaya perbaikan layanan dan peningkatan loyalitas pelanggan.

Pentingnya Survey Kepuasan Pelanggan dalam Sistem Manajemen Mutu

Survey kepuasan pelanggan juga merupakan salah satu persyaratan dalam implementasi sistem manajemen mutu, seperti ISO 9001. Dengan melakukan survey ini secara berkala, perusahaan dapat:

• Menilai efektivitas layanan dan produk yang disediakan.
• Mengidentifikasi dan menangani keluhan pelanggan secara proaktif.
• Memastikan peningkatan kualitas secara berkelanjutan.
• Membangun hubungan jangka panjang dengan pelanggan.

Kesimpulan

Melakukan survey kepuasan pelanggan bukan hanya sekadar formalitas, tetapi merupakan strategi bisnis yang dapat meningkatkan kualitas layanan, mempertahankan pelanggan, dan memenangkan persaingan di pasar. Dengan memahami kebutuhan pelanggan dan bertindak berdasarkan hasil survey, perusahaan dapat terus berkembang dan meningkatkan loyalitas pelanggan.

Jika Anda ingin mengetahui lebih lanjut tentang bagaimana meningkatkan kepuasan pelanggan dan menerapkan strategi bisnis berbasis data, pastikan untuk melakukan survey kepuasan pelanggan secara berkala dan menganalisis hasilnya dengan cermat.