Untuk mendapatkan sertifikat ISO 37001 organisasi harus mengembangkan sistem manajemen anti penyuapan dalam organisasinya. Berikut Cara dan Langkah Penerapan ISO 37001 yang harus dipersiapkan untuk melakukan proses sertifikasi :
Langkah 1: Komitmen Manajemen Puncak
Manajemen puncak harus menunjukkan komitmen dan tekad untuk menerapkan sistem manajemen anti penyuapan ISO 37001 di organisasi. Ini adalah elemen penting dari sistem manajemen anti penyuapan.
Manajemen puncak harus memberikan bukti komitmennya untuk pengembangan dan implementasi sistem manajemen anti penyuapan dan terus meningkatkan efektivitasnya
Langkah 2. Membentuk Tim Fungsi Kepatuhan Anti Penyuapan
ISO 37001:2016 mewajibkan pembentukan tim anti penyuapan atau sering disebut fungsi kepatuhan anti penyuapan dalam penerapan ISO 37001. Bisa terdiri dari satu atau beberapa orang tergantung kompleksitas suatu organisasi. Orang-orang yang tergabung dalam team ini bertugas sebagai koordinator untuk merencanakan, implementasikan & mengawasi pelaksaan ISO 37001.
Langkah 3. Memeriksa & Identifikasi Kondisi Saat ini
Jadi langkah selanjutnya adalah meninjau dan membandingkan sistem manajemen yang sudah ada saat ini dengan persyaratan dari ISO 37001:2016. Organisasi butuh membuat diagram alir proses atau proses bisnis organisasi terlebih dahulu.
Dalam proses peninjauan, dokumen harus dikumpulkan , dipelajari dan didaftarkan untuk penggunaan lebih lanjut, atau mungkin direvisi.
Setelah organisasi memperoleh gambaran yang jelas tentang bagaimana sistem manajemen saat ini dibandingkan dengan persyaratan ISO 37001: 2016, semua ketidaksesuaian harus koreksi dengan rencana implementasi yang terdokumentasi.
Langkah 4. Menentukan Ruang Lingkup dan Kebijakan Organisasi
Menentukan ruang lingkup Sistem Manajemen Anti Penyuapan (SMAP) telah menjadi bagian dari persyaratan ISO 37001. Ruang lingkup ini adalah bagian penting dari manual anti penyuapan, karena menentukan seberapa jauh dan luas dalam penerapan ISO 37001 dalam perusahaan.
Kebijakan adalah maksud dan tujuan dari organisasi yang dinyatakan secara formal oleh manajemen puncak. Manajemen puncak harus menetapkan kebijakan anti penyuapan yang sesuai dengan tujuan dan konteks organisasi, dan ia harus mendukung arahan strategisnya.
Langkah 5. Melakukan Penilaian Risiko Penyuapan
Melakukan penilaian risiko adalah kunci untuk membuat dan menerapkan program kepatuhan yang efektif. Penilaian risiko membantu perusahaan Anda mengidentifikasi risiko, menentukan prioritas, dan mengembangkan kebijakan dan prosedur untuk mengatasi risiko.
Semakin perusahaan memahami risiko penyuapan, semakin efektif kebijakan dan prosedur untuk mencegah penyuapan. Semua area dan aktifitas yang memiliki risiko penyuapan hrus dilakukan penilaiannya.
Penilaian risiko yang efektif akan berisi komponen-komponen berikut:
- Melibatkan orang-orang yang diperlukan untuk menjamin gambaran lengkap risiko yang dihadapi organisasi di berbagai aktifitas dan area
- Memperhitungkan semua aktivitas yang mungkin berisiko menimbulkan suap
- Menghindari opini yang terbentuk sebelumnya tentang efektivitas pengendalian, serta integritas pihak ketiga atau karyawan.
- Mengidentifikasi risiko, kemudian menjelaskannya secara rinci.
Langkah 6. Membuat Sasaran atau target SMAP & Perencanaan untuk pencapaiannya
Organisasi harus menetapkan sasaran sistem manajemen anti penyuapan pada fungsi dan tingkat yang relevan. Sasaran atau target yang dibuat harus spesifik, terukur, dimonitor dan dikomunikasikan. Sasaran ini harus dituangkan kedalam informasi yang terdokumentasi.
Selain memiliki sasaran, organisasi harus menetapkan rencana atau strategi untuk mencapai sasaran tersebut. Apa yang harus dilakukan ? Sumber daya apa yang dibutuhkan ? Siapa yang bertanggung jawab ? Kapan sasaran ini akan diselesaikan dan bagaimana hasilnya akan dievaluasi.
Langkah 8. Membuat Dokumentasi ISO 37001
Setelah dokumentasi sistem manajemen anti penyuapan yang diperlukan dibuat, dokumen ini harus dikontrol. dengan cara mengelola pembuatan, persetujuan, distribusi, revisi, penyimpanan, dan pembuangan berbagai jenis dokumentasi. Sistem kontrol dokumen harus sesederhana dan semudah mungkin dioperasikan. Selain dibuat dan di kontrol, semua dokumen ini harus dipahami pihak yang akan menggunakan dokumen tersebut
Langkah 8. Mulai Program Kesadaran & Pelatihan ISO 37001
Program kesadaran diawali dengan mengkomunikasikan secara resmi rencana organisasi untuk mempersiapkan sertifikasi ISO 37001, serta mengkomunikasikan kepada seluruh karyawan tujuan dari sistem manajemen anti penyuapan ISO 37001; keuntungan yang ditawarkannya kepada karyawan, pelanggan, dan organisasi; bagaimana cara kerjanya; dan peran serta tanggung jawab mereka dalam sistem. Program kesadaran harus menekankan manfaat yang diharapkan organisasi untuk diwujudkan melalui sistem manajemen anti penyuapan ISO 37001-nya.
Setelah itu dilakukan program pelatihan, yang harus disusun untuk berbagai kategori karyawan – manajer senior, manajer tingkat menengah, pengawas dan pekerja. Pelatihan harus mencakup konsep dasar sistem manajemen anti penyuapan, pemahaman persyaratan ISO 37001 serta dampak keseluruhannya pada tujuan strategis organisasi, proses, dan aktifitas harian.
Selain itu, pelatihan awal diperlukan dalam pemahaman penyusunan dokumen seperti manual anti penyuapan, prosedur dan instruksi kerja, dll. Jika kompetensi pihak internal untuk melakukan pelatihan seperti itu tidak tersedia, mungkin perlu untuk berpartisipasi dalam kursus pelatihan eksternal yang dijalankan oleh organisasi pelatihan profesional. Atau, lembaga pelatihan eksternal dapat diundang untuk mengadakan kursus pelatihan in-house.
Langkah 9 : Implementasi
Implementasi berdasarkan semua dokumen yang sudah dibuat sebelumnya. Ini untuk memastikan prosedur dan seluruh dokumen yang sudah dibuat telah dimengerti, dan diterapkan sepenuhnya oleh seluruh jajaran karyawan. Pastikan karyawan dan pihak terkait melaksanakan prosedur yang sudah ada.
- Menyediakan sumber daya yang sudah direncanakan.
- Meningkatkan kompetensi dengan melaksanakan sosialisasi & pelatihan mengenai Kebijakan Anti Penyuapan, Persyaratan ISO 37001 dan Sistem Manajemen Anti Penyuapan milik organisasi (Semua prosedur, instruksi kerja, mengisi form dll).
- Melaksanakan uji kelayakan terhadap projek, rekan bisnis & personal.
- Melakukan pengendalian keuangan
- Melakukan pengendalian non keuangan
- Penerapan pengendalian anti penyuapan yang dikendalikan organisasi dan rekan bisnisnya
- Meminta komitmen anti penyuapan dari rekan bisnis
- Menjalankan prosedur pemberian dan penerimaan hadiah, kemurahan hati, sumbangan dan keuntungan serupa
- Mengelola ketidakcukupan pengendalian anti penyuapan
- Meningkatkan kepedulian dengan melaksanakan program pelaporan
- Melakukan investigasi dan penanganan penyuapan
Langkah 10 : Melakukan evaluasi kinerja termasuk melaksanakan internal audit & tinjauan dari tim fungsi kepatuhan
Organisasi harus melakukan pemantauan, pengukuran, analisis dan evaluasi, untuk memungkinkan organisasi untuk menentukan apakah hasil yang diinginkan tercapai. Pemantauan sistem manajemen anti penyuapan dapat mencakup, sebagai contoh area berikut:
- a) keefektifan pelatihan.
- b) keefektifan pengendalian, misalnya apakah sasaran anti penyuapan tercapai, bagaimana budaya anti suap di organisasi.
- c) keefektifan alokasi tanggung jawab untuk memenuhi persyaratan sistem manajemen anti penyuapan.
- d) keefektifan dalam kepatuhan regulasi & identifikasi kegagalannya.
- e) evaluasi terhadap internal audit.
Organisasi juga harus memastikan bahwa semua proses evaluasi diatas terdokumentasi dan disimpan sebagai bukti hasil pemantauan, pengukuran, analisis dan evaluasinya.
Selain evaluasi diatas, organisasi diwajibkan melakukan internal audit. Perusahaan dapat mengetahui kinerja dan efektivitas sistem manajemen dari pandangan yang tidak memihak, untuk memastikan bahwa pengaturan direncanakan, dilaksanakan dan dipelihara dengan secara efektif.
Setelah melakukan internal audit, tim fungsi kepatuhan harus melaksanakan evaluasi terhadap proses diatas. Ini adalah tinjauan yang khusus dilakukan oleh tim fungsi kepatuhan.
Fungsi kepatuhan anti penyuapan harus menilai secara berkelanjutan apakah sistem manajemen anti penyuapan:
- a) cukup secara efektif mengelola risiko penyuapan yang dihadapi oleh organisasi;
- b) diterapkan secara efektif.
Langkah 11 : Melaksanakan Rapat Tinjauan Manajemen
Manajemen puncak harus melakukan tinjauan manajemen. Ini adalah aktivitas yang harus dilakukan manajemen puncak sejalan dengan arah strategis organisasi. Tujuannya adalah untuk meninjau informasi tentang kinerja sistem manajemen anti penyuapan untuk menentukan apakah masih sesuai, memadai dan efektif.
Tinjauan manajemen harus dilakukan pada interval yang direncanakan; ini bisa bulanan, triwulanan, setengah tahunan atau tahunan. Organisasi harus membahas bagaimana hal itu akan memastikan bahwa semua persyaratan tinjauan manajemen ISO 37001 terpenuhi.
Organisasi dapat melakukan tinjauan manajemen sebagai kegiatan mandiri atau dalam kombinasi kegiatan terkait (mis. Pertemuan, laporan, rakernas dll). Waktu tinjauan manajemen dapat dijadwalkan bertepatan dengan kegiatan bisnis lainnya (mis. Perencanaan strategis, perencanaan bisnis, pertemuan tahunan, rapat operasi, ulasan standar sistem manajemen lainnya) untuk menambah nilai dan untuk menghindari beberapa pertemuan yang berlebihan.
Langkah 12 : Melaksanakan Perbaikan
Melakukan tindakan perbaikan untuk semua ketidaksesuaian dan ketidakefektifan yang ditemukan dari hasil evaluasi sebelumnya. Dan secara terus menerus meningkatkan kesesuaian, kecukupan dan keefektifan sistem manajemen anti penyuapan.
Langkah 13: Audit Ekternal oleh Badan Sertifikasi
Setelah langkah awal hingga langkah ke 13 dilaksanakan, organisasi siap menghubungi badan sertifikasi untuk pelaksanaan audit. Pihak badan sertifikasi lalu akan mengirimkan jadwal audit. Untuk audit awal ini, biasanya didahului dengan stage 1 audit, yaitu audit dokumentasi terlebih dahulu. Badan sertifikasi akan melakukan audit kelengkapan dan keakuratan dokumentasi. Jika audit ini sudah dapat terpenuhi dengan baik, maka akan dilanjutkan dengan audit stage 2. Atau audit implementasi dan keefektifan sistem manajemen anti penyuapan yang ada.
Mempersiapkan karyawan
Sebelum audit oleh pihak eksternal, organisasi harus memastikan bahwa semua karyawan tahu bahwa audit akan dilakukan, dan apa tujuan audit ini. Ini akan membantu mereka memahami bagaimana menanggapi pertanyaan auditor. Karyawan harus merespons secara terbuka dan jujur kepada auditor. Auditor mencari bukti bahwa organisasi mematuhi persyaratan ISO 37001 dan regulasi yang ada, karyawan adalah orang-orang yang akan memberikan bukti itu. Mempersiapkan mereka untuk menjawab pertanyaan auditor akan membuat audit berjalan lebih lancar.