Penilaian Risiko Penyuapan Berbasis ISO 37001:2016
Ditulis Oleh, Rian Munanjar, Lead Consultant GRC – Robere & Associates (Indonesia)
Implementasi ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan (SMAP) dapat memberikan manfaat signifikan bagi organisasi, termasuk peningkatan reputasi, pengurangan risiko hukum dan keuangan, serta peningkatan hubungan dengan stakeholder. Standar ini juga membantu menciptakan budaya organisasi yang menolak penyuapan, mendorong integritas dan transparansi dalam semua aspek bisnis.
Mengenal ISO 37001:2016
ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan memperkenalkan kerangka kerja yang komprehensif untuk mengelola risiko penyuapan dalam operasi sehari-hari dan transaksi bisnis. Elemen kunci dari standar ini mencakup kebijakan anti penyuapan, prosedur uji kelayakan proses, pelatihan karyawan terkait dengan anti penyuapan, evaluasi risiko penyuapan, uji kelayakan rekan bisnis dan tindak lanjut serta pemantauan efektivitas sistem manajemen anti penyuapan. Pengelolaan risiko penyuapan merupakan salah satu langkah awal yang kritikal bagi organisasi yang akan mengimplementasikan SMAP.
Mengapa Organisasi Perlu Menyusun Risiko Penyuapan Berdasarkan ISO 37001:2016
Tujuan penilaian risiko penyuapan adalah agar suatu organisasi mampu membentuk fondasi yang kokoh dalam mengimplementasikan Sistem Manajemen Anti Penyuapan, dimana melalui identifikasi risiko penyuapan Organisasi dapat menetapkan fokus pada risiko prioritas. Dengan memahami risiko prioritas yang harus dihadapi, Organisasi dapat dengan tepat melaksanakan mitigasi risiko, penerapan pengendaliannya termasuk alokasi sumber daya yang diperlukan.
Bagaimana Cara Menilai Risiko Penyuapan Berdasarkan ISO 37001:2016?
Dalam melaksanakan penilaian risiko penyuapan, organisasi perlu memperhatikan beberapa ketentuan sebagai berikut:
1. Organisasi harus menetapkan level kriteria untuk risiko penyuapan dengan tetap mempertimbangkan kebijakan dan sasaran organisasi.
Penetapan level kriteria risiko penyuapan pada umumnya menggunakan Risk Heat Map. Risk Heat Map merupakan pengukuran tingkat risiko dengan mempertimbangkan Likelihood (kemungkinan terjadinya suatu risiko) serta impact (dampak atas terjadinya suatu risiko).
Likelihood merupakan kemungkinan terjadinya suatu risiko relatif sangat jarang dalam kurun waktu atau jumlah tertentu. Berikut contoh kriteria dalam penentuan nilai likelihood:
Nilai Likelihood | Pengertian | Contoh Penilaian |
---|---|---|
1 (Low) | Sangat Jarang / Tidak Mungkin Terjadi | 0 sampai 1 kejadian |
2 (Low to Moderate) | Jarang / Kemungkinan Kecil Terjadi | 2 sampai 3 kali kejadian |
3 (Moderate) | Agak Jarang / Mungkin Terjadi | 3 sampai 5 kali kejadian |
4 (Moderate to High) | Sering / Kemungkinan Besar Terjadi | 6 sampai 8 kali kejadian |
5 (High) | Sangat Sering / Pasti Terjadi | Lebih dari 8 kali kejadian |
Sementara Impact merupakan dampak terjadinya suatu risiko. Berikut contoh kriteria dalam penentuan nilai impact:
Nilai Impact | Pengertian | Penilaian |
---|---|---|
1 (Low) | Sangat Rendah | Apabila risiko terjadi, tidak mengganggu operasional, maupun keuangan. (Biaya Kerugian < 0,01% dari total ekuitas) |
2 (Low to Moderate/LTM) | Rendah | Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi, namun tidak signifikan. (Biaya Kerugian > 0,01% - < 0,25% dari total ekuitas) |
3 (Moderate) | Agak Tinggi | Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi cukup signifikan. (Biaya Kerugian > 0,25% - < 0,50% dari total ekuitas) |
4 (Moderate to High) | Tinggi | Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi relatif signifikan. (Biaya Kerugian > 0,50% - < 0,80% dari total ekuitas) |
5 (High) | Sangat Tinggi | Apabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi secara signifikan. (Biaya Kerugian > 0,80% dari total ekuitas) |
Dari penilaian likelihood dan impact pada Risk Heat Map inilah yang akan menghasilkan prioritas risiko penyuapan di dalam suatu organisasi. Contoh Tingkat prioritas risiko penyuapan adalah sebagai berikut:
Dalam pelaksanaan penilaian risiko penyuapan, organisasi harus menilai risiko inheren dan risiko residual. Risiko inheren merupakan risiko yang ada dimana belum terdapat upaya mitigasi yang dilakukan maupun kontrol atau tindakan lain yang ditetapkan untuk mengurangi risiko dari tingkat awal ke tingkat yang lebih dapat diterima oleh suatu organisasi. Sementara risiko residual merupakan risiko yang tersisa setelah upaya mitigasi maupun kontrol dilakukan untuk mengurangi risiko inheren. Risiko residual inilah yang harus dihadapi oleh organisasi berdasarkan mitigasi risiko yang sebelumnya telah ditentukan.
Berikut salah satu contoh penilaian risiko penyuapan terkait dengan proses pengadaan termasuk bagaimana suatu organisasi menangani risiko tersebut:
2. Organisasi harus melaksanakan penilaian risiko penyuapan secara berkala
Ketentuan dalam melaksanakan penilaian risiko penyuapan adalah sebagai berikut:
- Mengidentifiksi risiko penyuapan organisasi yang wajar untuk antisipasi dari isu internal maupun isu eksternal yang relevan degan tujuan suatu organisasi. Dalam melaksanakan identifikasi risiko penyuapan, organisasi perlu memahami proses bisnis yang dimiliki secara end-to-end serta melihat banyaknya jumlah interaksi yang dilaksanakan dari internal ke eksternal maupun interaksi yang dilaksanakan oleh internal ke internal di dalam suatu organisasi.
- Menganalisis, menilai dan memprioritaskan risiko penyuapan yang telah teridentifikasi; dan
- Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di organisasi untuk mengurangi risiko penyuapan yang dinilai.
3. Penilaian risiko penyuapan harus ditinjau secara berkala
Peninjauan penilaian risiko penyuapan dilaksanakan dengan ketentuan sebagai berikut:
- Peninjauan dilaksanakan secara berlaka sehingga setiap adanya perubahan informasi baru dapat dinilai secara tepat waktu oleh organisasi; dan
- Pada saat terjadinya perubahan penting terhadap struktur organisasi maupun aktivitas organisasi.
4. Terdokumentasi
Organisasi harus menyimpan informasi terdokumentasi untuk menunjukkan bahwa penilaian risiko penyuapan telah dilaksanakan dan digunakan untuk merancang maupun meningkatkan sistem manajemen anti penyuapan.