Knowledge

Penilaian Risiko Penyuapan Berbasis ISO 37001:2016

Ditulis Oleh, Rian Munanjar, Lead Consultant GRC – Robere & Associates (Indonesia)

Implementasi ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan (SMAP) dapat memberikan manfaat signifikan bagi organisasi, termasuk peningkatan reputasi, pengurangan risiko hukum dan keuangan, serta peningkatan hubungan dengan stakeholder. Standar ini juga membantu menciptakan budaya organisasi yang menolak penyuapan, mendorong integritas dan transparansi dalam semua aspek bisnis.

Mengenal ISO 37001:2016  

ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan memperkenalkan kerangka kerja yang komprehensif untuk mengelola risiko penyuapan dalam operasi sehari-hari dan transaksi bisnis. Elemen kunci dari standar ini mencakup kebijakan anti penyuapan, prosedur uji kelayakan proses, pelatihan karyawan terkait dengan anti penyuapan, evaluasi risiko penyuapan, uji kelayakan rekan bisnis dan tindak lanjut serta pemantauan efektivitas sistem manajemen anti penyuapan. Pengelolaan risiko penyuapan merupakan salah satu langkah awal yang kritikal bagi organisasi yang akan mengimplementasikan SMAP.

Mengapa Organisasi Perlu Menyusun Risiko Penyuapan Berdasarkan ISO 37001:2016

Tujuan penilaian risiko penyuapan adalah agar suatu organisasi mampu membentuk fondasi yang kokoh dalam mengimplementasikan Sistem Manajemen Anti Penyuapan, dimana melalui identifikasi risiko penyuapan Organisasi dapat menetapkan fokus pada risiko prioritas. Dengan memahami risiko prioritas yang harus dihadapi, Organisasi dapat dengan tepat melaksanakan mitigasi risiko, penerapan pengendaliannya termasuk alokasi sumber daya yang diperlukan.

Bagaimana Cara Menilai Risiko Penyuapan Berdasarkan ISO 37001:2016?

Dalam melaksanakan penilaian risiko penyuapan, organisasi perlu memperhatikan beberapa ketentuan sebagai berikut:

1. Organisasi harus menetapkan level kriteria untuk risiko penyuapan dengan tetap mempertimbangkan kebijakan dan sasaran organisasi.

Penetapan level kriteria risiko penyuapan pada umumnya menggunakan Risk Heat Map. Risk Heat Map merupakan pengukuran tingkat risiko dengan mempertimbangkan Likelihood (kemungkinan terjadinya suatu risiko) serta impact (dampak atas terjadinya suatu risiko).

ISO 37001:2016

Likelihood merupakan kemungkinan terjadinya suatu risiko relatif sangat jarang dalam kurun waktu atau jumlah tertentu. Berikut contoh kriteria dalam penentuan nilai likelihood:

Nilai LikelihoodPengertianContoh Penilaian
1
(Low)
Sangat Jarang / Tidak Mungkin Terjadi0 sampai 1 kejadian
2
(Low to Moderate)
Jarang / Kemungkinan Kecil Terjadi2 sampai 3 kali kejadian
3
(Moderate)
Agak Jarang / Mungkin Terjadi3 sampai 5 kali kejadian
4
(Moderate to High)
Sering / Kemungkinan Besar Terjadi6 sampai 8 kali kejadian
5
(High)
Sangat Sering / Pasti TerjadiLebih dari 8 kali kejadian

Sementara Impact merupakan dampak terjadinya suatu risiko. Berikut contoh kriteria dalam penentuan nilai impact:

Nilai ImpactPengertian Penilaian
1
(Low)
Sangat RendahApabila risiko terjadi, tidak mengganggu operasional, maupun keuangan.

(Biaya Kerugian < 0,01% dari total ekuitas)
2
(Low to Moderate/LTM)
RendahApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi, namun tidak signifikan.

(Biaya Kerugian > 0,01% - < 0,25% dari total ekuitas)
3
(Moderate)
Agak TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi cukup signifikan.

(Biaya Kerugian > 0,25% - < 0,50% dari total ekuitas)
4
(Moderate to High)
TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi relatif signifikan.

(Biaya Kerugian > 0,50% - < 0,80% dari total ekuitas)
5
(High)
Sangat TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi secara signifikan.

(Biaya Kerugian > 0,80% dari total ekuitas)

Dari penilaian likelihood dan impact pada Risk Heat Map inilah yang akan menghasilkan prioritas risiko penyuapan di dalam suatu organisasi. Contoh Tingkat prioritas risiko penyuapan adalah sebagai berikut:

ISO 37001:2106

Dalam pelaksanaan penilaian risiko penyuapan, organisasi harus menilai risiko inheren dan risiko residual. Risiko inheren merupakan risiko yang ada dimana belum terdapat upaya mitigasi yang dilakukan maupun kontrol atau tindakan lain yang ditetapkan untuk mengurangi risiko dari tingkat awal ke tingkat yang lebih dapat diterima oleh suatu organisasi. Sementara risiko residual merupakan risiko yang tersisa setelah upaya mitigasi maupun kontrol dilakukan untuk mengurangi risiko inheren. Risiko residual inilah yang harus dihadapi oleh organisasi berdasarkan mitigasi risiko yang sebelumnya telah ditentukan.

ISO 37001:2016

Berikut salah satu contoh penilaian risiko penyuapan terkait dengan proses pengadaan termasuk bagaimana suatu organisasi menangani risiko tersebut:

ISO 37001:2016

2. Organisasi harus melaksanakan penilaian risiko penyuapan secara berkala

Ketentuan dalam melaksanakan penilaian risiko penyuapan adalah sebagai berikut:

  • Mengidentifiksi risiko penyuapan organisasi yang wajar untuk antisipasi dari isu internal maupun isu eksternal yang relevan degan tujuan suatu organisasi. Dalam melaksanakan identifikasi risiko penyuapan, organisasi perlu memahami proses bisnis yang dimiliki secara end-to-end serta melihat banyaknya jumlah interaksi yang dilaksanakan dari internal ke eksternal maupun interaksi yang dilaksanakan oleh internal ke internal di dalam suatu organisasi.
  • Menganalisis, menilai dan memprioritaskan risiko penyuapan yang telah teridentifikasi; dan
  • Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di organisasi untuk mengurangi risiko penyuapan yang dinilai.

3. Penilaian risiko penyuapan harus ditinjau secara berkala

Peninjauan penilaian risiko penyuapan dilaksanakan dengan ketentuan sebagai berikut:

  • Peninjauan dilaksanakan secara berlaka sehingga setiap adanya perubahan informasi baru dapat dinilai secara tepat waktu oleh organisasi; dan
  • Pada saat terjadinya perubahan penting terhadap struktur organisasi maupun aktivitas organisasi.

4. Terdokumentasi

Organisasi harus menyimpan informasi terdokumentasi untuk menunjukkan bahwa penilaian risiko penyuapan telah dilaksanakan dan digunakan untuk merancang maupun meningkatkan sistem manajemen anti penyuapan.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Sistem Manajemen Anti Penyuapan berdasarkan ISO 37001:2016, Robere & Associates siap membantu. Gabung sekarang!

Contact Us
Consult with us