Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

February 2018 Muh. Faisal Surya Agus
ISO 37001 : 2016 – Sistem Manajemen Anti-penyuapan Rancangan ISO 37003:2017 - Sistem Manajemen Anti-
penyuapan – Dokumen Pedoman Implementasi
Pendahuluan
Penyuapan merupakan fenomena yang luas. Hal ini menimbulkan
kepedulian yang serius dalam sosial, moral, ekonomi, dan politik,
mengacaukan tata kelola pemerintah yang baik, mengurangi
pengembangan dan mendistorsi kompetisi. Hal ini akan mengikis
keadilan, merusak hak asasi manusia dan menghambat pengentasan
kemiskinan. Hal ini juga meningkatkan biaya melakukan bisnis,
menimbulkan ketidakpastian pada transaksi komersial, meningkatkan
biaya barang dan jasa, mengurangi mutu produk dan jasa, yang mengarah
pada kehilangan nyawa dan harta, merusak kepercayaan institusi dan
mengganggu keadilan serta efisiensi operasi pasar.
Pemerintah telah membuat kemajuan dalam mengatasi penyuapan melalui
persetujuan internasional seperti organisasi untuk Economic Co-
operation and Development Convention on Combating Bribery of
Foreign Public Officials in International Business Transactions[15]
dan the United Nations Convention against Corruption[14] dan melalui
peraturan perundang-undangan masing-masing negara. Dalam banyak
yurisdiksi, penyuapan merupakan pelanggaran bagi individu yang terlibat
dan terdapat kecenderungan peningkatan yang membuat organisasi dan
individu bertanggung jawab dalam penyuapan.
Namun, hukum itu sendiri tidak cukup untuk menyelesaikan masalah.
Oleh karena itu, organisasi mempunyai tanggung jawab secara proaktif
untuk berkontribusi melawan penyuapan. Hal ini dapat dicapai melalui
sistem manajemen anti-penyuapan yang dimaksudkan oleh standar ini,
Pendahuluan
Standar Internasional ini memberikan panduan, jika sesuai, mengenai
persyaratan untuk sistem manajemen anti-penyuapan (SMAP) seperti
yang ditentukan dalam ISO / IEC 37001: 2016.
Pada Standar ini, bentuk kata berikut ini digunakan:
— "harus" menunjukkan persyaratan; — "sebaiknya" menunjukkan
rekomendasi; — "boleh" menunjukkan izin; — "dapat" menunjukkan
kemungkinan atau kemampuan. Keterangan tentang “CATATAN” hanya
merupakan acuan untuk memahami atau menjelaskan yang terkait dengan
persyaratan.
Bukan tujuan dari Standar Internasional ini untuk memberikan panduan
umum mengenai semua aspek dalam anti-penyuapan.
Klausul 4 sampai 10 dari Standar Internasional ini merupakan tinjauan
dari struktur ISO / IEC 37001: 2016.
Standar Internasional ini tidak menambahkan persyaratan baru untuk
SMAP dan istilah dan definisi terkait. Organisasi harus mengacu pada ISO
/ IEC 37001: 2016 untuk persyaratan dan definisi. Organisasi yang
menerapkan SMAP tidak berkewajiban untuk mematuhi panduan dalam
Standar Internasional ini.
SMAP menekankan pentingnya tahapan berikut ini:
- memahami kebutuhan organisasi dan kebutuhan untuk
menetapkan kebijakan dan tujuan anti-penyuapan;

dan melalui komitmen kepemimpinan untuk menetapkan budaya
kejujuran, transparansi, keterbukaan dan kepatuhan. Sifat dari budaya
organisasi adalah hal yang kritis terhadap kesuksesan atau kegagalan
sistem manajemen anti-penyuapan.
Organisasi yang dikelola dengan baik diharapkan mempunyai kebijakan
kepatuhan yang didukung sistem manajemen yang sesuai untuk
membantu pemenuhan kepatuhan hukum dan komitmen terhadap
integritas. Kebijakan anti-penyuapan merupakan komponen dari
kebijakan kepatuhan secara keseluruhan. Kebijakan anti-penyuapan dan
sistem manajemen pendukung membantu organisasi untuk menghindari
atau mengurangi biaya, risiko dan kerugian yang disebabkan penyuapan,
mempromosikan kepercayaan dan keyakinan dalam penanganan bisnis,
dan meningkatkan reputasi organisasi tersebut.
Standar ini merefleksikan tata kelola internasional yang baik dan dapat
digunakan dalam semua yurisdiksi. Berlaku untuk organisasi kecil,
medium dan besar pada semua sektor, termasuk sektor publik, swasta dan
nirlaba. Risiko penyuapan dalam satu organisasi tergantung dari berbagai
faktor seperti ukuran organisasi, lokasi dan sektor dimana organisasi
tersebut beroperasi serta sifat, skala dan kompleksitas aktivitas organisasi.
Standar ini menentukan penerapan kebijakan, prosedur dan pengendalian
organisasi yang wajar dan proporsional sesuai dengan risiko penyuapan
yang dihadapi organisasi. Lampiran A menyediakan panduan untuk
penerapan persyaratan dari standar ini.
Kesesuaian dengan standar ini tidak menjamin penyuapan tidak akan
terjadi atau akan terjadi yang berkaitan dengan organisasi, karena risiko
- menilai risiko dan peluang organisasi yang terkait dengan
penyuapan;
- menerapkan dan mengendalikan operasi dan tindakan lain untuk
menangani risiko; - memantau dan mengkaji kinerja dan
efektivitas SMAP; dan - berlatih perbaikan yang berkelanjutan.
SMAP, seperti halnya dengan sistem manajemen lainnya, mencakup
komponen utama berikut ini:
a) kebijakan;
b) orang dengan tanggung jawab yang telah terbagi dengan jelas;
c) proses manajemen yang berkaitan dengan:
1) penetapan kebijakan;
2) kesadaran dan penyediaan kompetensi;
3) perencanaan;
4) implementasi;
5) operasi;
6) penilaian kinerja;
7) tinjauan manajemen; dan
8) perbaikan; dan
d) informasi terdokumentasi.
SMAP memiliki komponen kunci yang spesifik seperti
e) penilaian risiko anti-penyuapan; dan
f) penanganan risiko anti-penyuapan, termasuk pengendalian.
Panduan yang diberikan dalam Standar Internasional ini bersifat umum
dan dimaksudkan untuk diterapkan pada semua organisasi, terlepas dari

penyuapan tidak mungkin dihilangkan secara total. Bagaimanapun,
standar ini dapat membantu organisasi menerapkan rancangan yang wajar
dan proporsional untuk mencegah, mendeteksi dan menanggapi
penyuapan.
Conformity with this standard cannot provide assurance that no bribery
has occurred or will occur in relation to the organization, as it is not
possible to completely eliminate the risk of bribery. However, this
standard can help the organization implement reasonable and
proportionate measures designed to prevent, detect and respond to bribery.
Pada Standar ini, bentuk kata berikut ini digunakan:
— "harus" menunjukkan persyaratan; — "sebaiknya" menunjukkan
rekomendasi; — "boleh" menunjukkan izin; — "dapat" menunjukkan
kemungkinan atau kemampuan. Keterangan tentang “CATATAN” hanya
merupakan acuan untuk memahami atau menjelaskan yang terkait dengan
persyaratan.
Standar ini sesuai dengan persyaratan ISO untuk standar sistem
manajemen. Persyaratan ini mencakup struktur tingkat tinggi, teks inti
yang identik, dan istilah umum dengan definisi inti, dirancang untuk
keuntungan dari pengguna yang menerapkan berbagai standar sistem
manajemen ISO. Standar ini dapat digunakan bersamaan dengan standar
sistem manajemen lainnya (misal ISO 9001, ISO 14001, ISO/IEC 27001
dan ISO 19600) dan standar manajemen (misal ISO 26000 dan ISO
31000).
jenis, ukuran atau sifatnya. Organisasi harus mengidentifikasi panduan
mana yang sesuai dengannya sesuai dengan konteks organisasi yang
spesifik (Klausul ISO / IEC 37001: 2016 4). Misalnya, beberapa panduan
dapat lebih sesuai untuk organisasi besar, dan untuk organisasi yang
sangat kecil (misalnya kurang dari 10 orang) beberapa panduan tidak
diperlukan atau sesuai.
Uraian klausul 4 sampai 10 disusun sebagai berikut:
- Aktivitas yang dibutuhkan: menyajikan kegiatan utama yang
diperlukan dalam sub pasal yang sesuai ISO / IEC 37001: 2016;
- Penjelasan: menjelaskan persyaratan ISO / IEC 37001: 2016;
- Bimbingan: memberikan informasi yang lebih rinci atau
mendukung untuk diterapkan "Aktivitas yang dibutuhkan"
termasuk contoh untuk implementasi; dan
- Informasi lainnya: memberikan informasi lebih lanjut yang dapat
dipertimbangkan.
ISO / IEC 27003, ISO / IEC 27004 dan ISO / IEC 27005 membentuk
satu set dokumen yang mendukung dan memberikan panduan
tentang ISO / IEC 27001: 2013. Di antara ketiga Standar Internasional
ini, rancangan ISO / IEC 37003 ini adalah dokumen dasar dan
komprehensif yang menjelaskan keseluruhan proses untuk memenuhi
semua persyaratan dari ISO / IEC 37001: 2016, namun tidak memiliki
deskripsi rinci mengenai "pemantauan, pengukuran, analisis dan evaluasi
" dan manajemen risiko. ISO / IEC 27004 dan ISO / IEC 27005 fokus
pada konten tertentu dan memberikan panduan yang lebih terperinci
mengenai "pemantauan, pengukuran, analisis dan evaluasi" dan
manajemen risiko.

Ada sekitar 16 persyaratan eksplisit untuk informasi terdokumentasi
dalam ISO / IEC 37001: 2016. Namun, ada sekitar 40 persyaratan yang
tidak ada persyaratan eksplisit atau implisit untuk informasi
terdokumentasi. Namun demikian, sebuah organisasi dapat menyimpan
informasi terdokumentasi sebagai bukti kesesuaian dengan persyaratan ini
sebagai bagian dari tanggapannya terhadap ISO / IEC 37001: 2016 klausal
7.5.1 butir b).
Dalam kasus ini, standar ini menggunakan ungkapan "Informasi
terdokumentasi tentang kegiatan ini dan hasilnya hanya wajib dalam
formulir dan sejauh yang ditentukan oleh organisasi diperlukan untuk
efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016 7.5 1 item
b). "

1 Lingkup
Standar ini merinci persyaratan dan menyediakan panduan untuk
menetapkan, menerapkan, memelihara, meninjau dan meningkatkan
sistem manajemen anti penyuapan. Sistem tersebut dapat berdiri
sendiri atau dapat diintegrasikan dengan keseluruhan sistem manajemen.
Standar ini
ditujukan untuk hubungan dengan aktivitas
organisasi berikut ini:
— penyuapan di sektor publik, swasta dan
nirlaba;
— penyuapan oleh organisasi; — penyuapan oleh personel yang bertindak
atas nama organisasi atau untuk keuntungannya; — penyuapan oleh rekan
bisnis dari sebuah
organisasi yang bertindak atas nama organisasi atau untuk
keuntungannya; — penyuapan oleh organisasi; — penyuapan oleh
personel organisasi sehubungan dengan aktivitas organisasi; —
penyuapan rekan bisnis organisasi sehubungan dengan aktivitas
organisasi; — penyuapan langsung dan tidak langsung (misal:
menawarkan atau menerima suap melalui atau oleh pihak ketiga).
1 Lingkup
Standar Internasional ini memberikan penjelasan dan panduan mengenai
ISO / IEC 37001: 2016, Sistem manajemen anti-penyuapan – Persyaratan
dengan panduan penggunaan
Standar ini berlaku hanya untuk penyuapan. Standar ini menentukan
persyaratan dan
menyediakan panduan sistem manajemen yang dirancang untuk
membantu organisasi mencegah, mendeteksi dan menangani penyuapan
serta mematuhi peraturan perundang-undangan yang terkait dengan anti-
penyuapan dan komitmen sukarela yang sesuai dengan aktivitas tersebut.

Standar ini tidak secara spesifik ditujukan untuk penipuan, kartel dan anti
perserikatan/pelanggaran kompetisi, pencucian uang atau aktivitas lain
yang terkait dengan praktik korupsi, meskipun organisasi dapat
memperluas lingkup dari suatu sistem manajemen untuk mencakup
aktivitas tersebut.
Persyaratan dari standar ini bersifat generik dan dimaksudkan untuk dapat
digunakan bagi semua organisasi (atau bagian dariorganisasi), tanpa
memperhatikan jenis,ukuran dan sifat dari aktivitas, baik untuksektor
publik, swasta atau nirlaba.Jangkauan aplikasi persyaratan initergantung
pada faktor yang ditentukan dalam bagian 4.1, 4.2 dan 4.5.
CATATAN 1 Lihat Klausul A.2 untuk panduan.
CATATAN 2 Tindakan yang diperlukan untukmencegah, mendeteksi
dan mengurangi risikopenyuapan oleh organisasi dapat berbeda dari
tindakan yang digunakan untuk mencegah,mendeteksi dan menanggapi
penyuapan diorganisasi (atau personel atau rekan bisnis yangbertindak
atas nama organisasi). Lihat A.8.4 sebagai panduan.
2. Acuan Normatif
Tidak ada acuan
2. Acuan Normatif
Tidak ada acuan
Dokumen-dokumen berikut, secara keseluruhan atau sebagian, secara
normatif dirujuk dalam dokumen ini dan sangat diperlukan untuk
aplikasinya. Untuk referensi bertanggal, hanya edisi yang dikutip yang
berlaku. Untuk referensi yang tidak bertanggal, edisi terakhir dokumen
yang direferensikan (termasuk amandemen) berlaku.

ISO / IEC 37001: 2016, Sistem manajemen anti-penyuapan – Persyaratan
dengan panduan penggunaan
3 Istilah dan Definisi
Untuk tujuan Standar ini, definisi dan istilah berikut berlaku:
ISO dan IEC memelihara database terminologi untuk penggunaan dalam
standardisasi pada alamat berikut ini:
— ISO Online browsing platform: available at
http://www.iso.org/obp
— IEC Electropedia: available at
http://www.electropedia.org/
3.1
penyuapan
menawarkan, menjanjikan, memberikan, menerima atau meminta
keuntungan yang tidak semestinya dari nilai apapun (berupa keuangan
atau non keuangan), langsung atau tidak langsung, terlepas dari lokasi,
merupakan pelanggaran peraturan perundang-undangan, sebagai bujukan
atau hadiah untuk orang yang bertindak atau menahan diri dari bertindak
terkait kinerja (3.16) dari tugas orang tersebut.
CATATAN 1 untuk masukan: Definisi diatas adalah generik. Arti dari
istilah “penyuapan” harus didefinisikan sebagai hukum anti-
penyuapannyang berlaku pada organisasi (3.2) dan olehnsistem
manajemen (3.5) anti-penyuapan yangbdirancang oleh organisasi
tersebut.
3 Istilah dan Definisi
Untuk tujuan dokumen ini, istilah dan definisi yang diberikan dalam ISO
/ IEC 37001 berlaku.

3.2
organisasi
orang atau kelompok orang yang memilikivfungsi masing-masing dengan
tanggung jawab, wewenang dan hubungan untuk mencapai suatu sasaran
(3.11)
CATATAN 1 untuk masukan: Konsep organisasi meliputi, tapi tidak
terbatas pada pedagang perorangan, perusahaan, korporasi,firma, badan
usaha, penguasa, kemitraan, badan amal atau institusi, atau bagian atau
kombinasinya, baik berupa perseroan terbatas atau tidak, perusahaan
publik atau privat.
CATATAN 2 untuk masukan: Untuk organisasi dengan lebih dari satu
unit operasi, satu atau lebih unit operasi dapat didefinisikan sebagai
organisasi.
3.3
pihak berkepentingan pemangku kepentingan
orang atau organisasi (3.2) yang dapat mempengaruhi, dipengaruhi, atau
menganggap dirinya terpengaruh oleh suatu keputusan atau aktivitas
CATATAN 1 untuk masukan: Pemangku kepentingan dapat dari internal
atau eksternalvorganisasi.
3.4
persyaratan

kebutuhan yang dinyatakan dan wajib
CATATAN 1 untuk masukan: Definisi inti dari “persyaratan” dalam
standar sistem manajemen ISO adalah suatu “kebutuhan atau harapan
yang dinyatakan, secara umum tersirat atau wajib”. “Persyaratan secara
umum yang tersirat” tidak
dapat diterapkan dalam konteks manajemen anti-penyuapan.
CATATAN 2 untuk masukan: ”Secara umum yang tersirat” berarti hal
ini merupakan kebiasaan atau praktik umum untuk organisasi dan pihak
berkepentingan sesuai kebutuhan atau harapan yang dipertimbangkan
tersirat.
CATATAN 3 untuk masukan: Persyaratan terperinci adalah persyaratan
yang dinyatakan, sebagai contoh, dalam informasi terdokumentasi.
3.5
sistem manajemen
sekumpulan unsur organisasi (3.2) yang saling terkait atau berinteraksi
untuk menetapkan kebijakan (3.10) dan sasaran (3.11) dan proses (3.15)
untuk mencapai sasaran tersebut
CATATAN 1 untuk masukan: Sistem manajemen dapat ditujukan untuk
satu atau beberapa disiplin.
CATATAN 2 untuk masukan: Unsur sistem manajemen meliputi
struktur, peran dan tanggung jawab, perencanaan dan pengoperasian.
CATATAN 3 untuk masukan: Lingkup sistem manajemen dapat
mencakup keseluruhan organisasi, fungsi spesifik dan yang teridentifikasi
dari organisasi, bagian spesifik dan yang teridentifikasi dari organisasi,
atau satu atau lebih fungsi antar grup organisasi.

3.6
manajemen tertinggi
orang atau kelompok orang yang mengarahkan dan mengendalikan
organisasi (3.2) pada tingkat tertinggi
CATATAN 1 untuk masukan: Manajemen puncak memiliki kekuasaan
untuk
mendelegasikan wewenang dan menyediakan sumber daya dalam
organisasi.
CATATAN 2 untuk masukan: Jika lingkup sistem manajemen (3.5)
mencakup hanya
sebagian organisasi, maka istilah manajemen puncak mengacu pada orang
yang mengarahkan dan mengendalikan bagian organisasi tersebut.
CATATAN 3 untuk masukan: Organisasi dapat diatur berdasarkan pada
kerangka kerja hukum yang berlaku dalam organisasi tersebut dan juga
sesuai dengan ukuran, sektor dst. Beberapa organisasi mempunyai
keduanya yaitu dewan pengarah (3.7) dan manajemen tertinggi,
sedangkan beberapa organisasi tidak mempunyai tanggung jawab yang
terbagi atas beberapa dewan. Variasi ini, baik dalam hal organisasi dan
tanggung jawab, dapat dipertimbangkan ketika menerapkan persyaratan
pada klausul 5.
3.7
dewan pengarah

kelompok atau badan yang memiliki tanggung jawab utama dan
kewenangan untuk aktivitas organisasi (3.2), pengelolaan dan kebijakan
yang menerima laporan dan
pertanggungjawaban dari manajemen puncak (3.6)
CATATAN 1 untuk masukan: Tidak semua organisasi, terutama
organisasi yang kecil, mempunyai dewan pengarah yang terpisah dengan
manajemen tertinggi (lihat 3.6, Catatan 3 untuk masukan).
CATATAN 2 untuk masukan: Dewan pengarah dapat mencakup tapi
tidak terbatas pada dewan direksi, dewan komite, dewan pengawas,
dewan penyantun dan pengawas.
3.8
fungsi kepatuhan anti-penyuapan
orang (kelompok) dengan tanggung jawab dan wewenang untuk
melaksanakan operasi sistem manajemen (3.5) anti-penyuapan
3.9
keefektifan
tingkatan dimana rencana aktivitas terealisasi dan hasil direncanakan
tercapai
3.10
kebijakan
maksud dan tujuan dari organisasi (3.2), yang dinyatakan secara formal
oleh
manajemen tertinggi (3.6) atau dewan pengarah (3.7)

3.11
sasaran
hasil yang ingin dicapai
CATATAN 1 untuk masukan: Sasaran dapat stratejik, taktis, atau
operasional.
CATATAN 2 untuk masukan: Sasaran dapat berkaitan dengan disiplin
berbeda (seperti target keuangan, penjualan dan pemasaran, pengadaan,
keselamatan dan kesehatan, dan lingkungan) dan dapat diterapkan pada
tingkatan yang berbeda (seperti stratejik, keseluruhan organisasi, proyek,
produk dan proses (3.15))
CATATAN 3 untuk masukan: Sasaran dapat dinyatakan dengan cara lain,
misal seperti hasil yang diharapkan, tujuan, kriteria operasional, sebagai
sasaran anti-penyuapan, atau digunakan dengan kata lain dengan arti
serupa (misal, maksud, tujuan, atau target).
CATATAN 4 untuk masukan: Dalam konteks sistem manajemen anti-
penyuapan, sasaran anti-penyuapan ditetapkan organisasi, konsisten
dengan kebijakan anti-penyuapan, untuk mencapai hasil spesifik.
3.12
risiko
dampak dari ketidakpastian pada sasaran (3.11)
CATATAN 1 untuk masukan: Dampak adalah penyimpangan dari yang
diinginkan — baik positif atau negatif.

CATATAN 2 untuk masukan: Ketidakpastian adalah keadaan, meski
hanya sebagian, dimana kekurangan informasi terkait dengan,
pemahaman atau pengetahuan dari, sebuah peristiwa, konsekuensinya,
atau kemungkinan.
CATATAN 3 untuk masukan: Risiko sering ditandai dengan acuan untuk
“kejadian” potensial (seperti didefinisikan dalam ISO Guide 73:2009,
3.5.1.3) dan “konsekuensi” (didefinisikan dalam ISO Guide 73:2009,
3.6.1.3), atau kombinasinya.
CATATAN 4 untuk masukan: Risiko sering dinyatakan dalam kombinasi
istilah dari konsekuensi suatu kejadian (termasuk perubahan dalam
lingkungan) dan “kemungkinan” terjadinya (didefinisikan dalam ISO
Guide 73:2009, 3.6.1.1).
3.13
kompetensi
kemampuan menerapkan pengetahuan dan keterampilan untuk mencapai
hasil yang diinginkan
3.14
informasi terdokumentasi
informasi dalam bentuk media penyimpanan yang dipersyaratkan untuk
dikendalikan dan dipelihara oleh organisasi (3.2) dimana informasi
tersebut berada

CATATAN 1 untuk masukan: Informasi terdokumentasi dapat dalam
bentuk dan media apapun dan dari sumber manapun.
CATATAN 2 untuk masukan: Informasi terdokumentasi dapat mengacu
pada:
— sistem manajemen (3.5), termasuk proses
(3.15) terkait;
— informasi yang dihasilkan agar organisasi dapat beroperasi
(dokumentasi);
— bukti hasil yang dicapai (rekaman).
3.15
proses
kumpulan dari aktivitas atau terkait atau berinteraksi yang merubah
masukan menjadi keluaran.
3.16
kinerja
hasil yang dapat diukur
CATATAN 1 untuk masukan: Kinerja dapat terkait dengan temuan
kuantitatif atau kualitatif.
CATATAN 2 untuk masukan: Kinerja dapat terkait dengan manajemen
dari aktivitas, proses (3.15), produk (termasuk jasa), system atau
organisasi (3.2).

3.17
alih daya
membuat pengaturan untuk organisasi (3.2) eksternal melaksanakan
sebagian fungsi atau proses (3.14) dari organisasi
CATATAN 1 untuk masukan: Organisasi eksternal diluar lingkup sistem
manajemen (3.5), meskipun fungsi atau proses yang dialih dayakan,
berada dalam lingkup.
CATATAN 2 untuk masukan: Inti dari teks standar sistem manajemen
ISO berisi definisi dan persyaratan terkait alih daya yang tidak digunakan
dalam standar ini karena penyedia alih daya termasuk dalam definisi
rekan bisnis (3.26).
3.18
pemantauan
penentuan status sistem, proses (3.15) atau aktivitas
CATATAN 1 untuk masukan: Untuk menentukan status, pemeriksaan,
pengawasan atau pengamatan kritis mungkin dibutuhkan
3.19
pengukuran
proses (3.15) untuk menentukan nilai

3.20
audit
proses (3.15) yang sistematik, mandiri dan terdokumentasi untuk
memperoleh bukti audit dan mengevaluasinya secara objektif untuk
menentukan jangkauan kriteria audit terpenuhi
CATATAN 1 untuk masukan: Audit dapat berbentuk audit internal
(pihak pertama), atau audit eksternal (pihak kedua atau ketiga) dan dapat
dijadikan sebagai audit gabungan (gabungan dari dua atau lebih disiplin).
CATATAN 2 untuk masukan: Audit internal dilaksanakan oleh
organisasi (3.2) itu sendiri, atau oleh pihak eksternal atas nama organisasi.
CATATAN 3 untuk masukan: ”Bukti audit” dan “kriteria audit”
didefinisikan dalam ISO 19011.
3.21
kesesuaian
pemenuhan persyaratan (3.4)
3.22
ketidaksesuaian
tidak dipenuhinya persyaratan (3.4)
3.23
tindakan korektif

tindakan untuk menghilangkan penyebab ketidaksesuaian (3.22) dan
untuk mencegah kejadian berulang
3.24
peningkatan berkelanjutan
kegiatan berulang untuk meningkatkan kinerja (3.16)
3.25
personel
direktur, pegawai, staf sementara atau pekerja, dan pekerja sukarela dari
organisasi (3.2)
CATATAN 1 untuk masukan: Jenis personel yang berbeda menimbulkan
jenis dan tingkatan risiko (3.12) penyuapan yang berbeda dan dapat
diperlakukan secara berbeda oleh penilaian risiko penyuapan dan
prosedur manajemen risiko penyuapan.
CATATAN 2 untuk masukan: Lihat A.8.5 sebagai panduan pekerja atau
staf sementara.
3.26
rekan bisnis
pihak eksternal dimana organisasi (3.2) mempunyai, atau merencanakan
untuk menetapkan, beberapa bentuk hubungan bisnis
CATATAN 1 untuk masukan: Rekan bisnis termasuk tetapi tidak terbatas
pada klien, pelanggan, usaha bersama, rekan usaha bersama, rekan
konsorsium, penyedia alih daya, kontraktor, konsultan, subkontraktor,

pemasok, vendor, penasihat, agen, distributor, perwakilan, perantara dan
investor. Definisi ini sengaja bersifat luas dan sebaiknya diinterpretasikan
sejalan dengan profil risiko (3.12) penyuapan dari organisasi untuk
diterapkan pada rekan bisnis organisasi yang terekspos sesuai dengan
risiko penyuapan.
CATATAN 2 untuk masukan: Jenis rekan bisnis yang berbeda
mempunyai jenis dan tingkat risiko penyuapan yang berbeda, dan
organisasi (3.2) akan memiliki derajat yang berbeda dari kemampuan
untuk mempengaruhi berbagai jenis rekan bisnis. Jenis rekan bisnis yang
berbeda dapat diperlakukan berbeda oleh penilaian risiko penyuapan serta
prosedur manajemen risiko penyuapan dari organisasi.
CATATAN 3 untuk masukan: Kata “bisnis” dalam standar ini dapat
diinterpretasikan secara luas yang berarti aktivitas yang relevan terhadap
tujuan organisasi yang ada.
3.27
pejabat publik
seseorang yang menjabat di kantor legislatif, administratif atau yudisial,
melalui penunjukan, pemilihan atau penggantian, atau setiap orang yang
melaksanakan fungsi publik, termasuk instansi publik atau badan usaha
terbuka, atau pejabat atau agen dari organisasi domestik atau
internasional, atau kandidat pejabat publik.
CATATAN 1 untuk masukan: Sebagai contoh individu yang dapat
dipertimbangkan sebagai pejabat publik, lihat klausul A.21.

3.28
pihak ketiga
orang atau badan yang mandiri dari organisasi (3.2)
CATATAN 1 untuk masukan: Semua rekan bisnis (3.26) merupakan
pihak ketiga tetapi tidak semua pihak ketiga merupakan rekan bisnis.
3
.29
konflik kepentingan
situasi dimana kepentingan bisnis, keuangan, keluarga, politik atau
personel terkait yang dapat mempengaruhi keputusan orang dalam
melaksanakan tugasnya untuk organisasi (3.2)
3.30
uji kelayakan
proses (3.15) untuk menilai lebih lanjut dari sifat dan tingkatan risiko
(3.12) penyuapan dan membantu organisasi (3.2) untuk mengambil
keputusan yang berhubungan dengan transaksi spesifik, proyek, aktivitas,
rekan bisnis (3.26) dan personel.
4 Konteks organisasi
4.1 Memahami organisasi dan konteksnya
4 Konteks organisasi
4.1 Memahami organisasi dan konteksnya
Aktivitas yang dibutuhkan

Organisasi harus menentukan isu internal dan eksternal yang relevan
dengan
tujuannya dan yang dapat berpengaruh pada kemampuannya untuk
mencapai sasaran hasil yang diinginkan dari sistem manajemen anti-
penyuapan. Isu ini akan meliputi, tanpa batasan, faktor berikut:
a) ukuran, struktur dan pendelegasian wewenang pengambil keputusan
dari organisasi;
b) lokasi dan sektor dimana organisasi itu beroperasi atau antisipasi
pengoperasian;
c) sifat, skala dan kompleksitas dari aktivitas dan operasi organisasi;
d) model bisnis organisasi;
e) entitas dimana organisasi mempunyai kendali dan entitas yang
menerapkan
kendali terhadap organisasi;
f) rekan bisnis organisasi;
g) sifat dan jangkauan interaksi dengan pejabat publik;
h) peraturan perundang-undangan, regulasi kontrak serta kewajiban dan
tugas profesional.
CATATAN Organisasi mempunyai kendali terhadap organisasi lain jika
pengendalian langsung atau tidak langsung dari manajemen organisasi
(lihat A.13.1.3).
Organisasi menentukan isu eksternal dan internal yang relevan dengan
tujuannya dan mempengaruhi kemampuannya untuk mencapai hasil yang
diharapkan dari sistem manajemen anti-penyuapan (SMAP)
Penjelasan
Sebagai fungsi integral SMAP, organisasi terus menganalisa dirinya dan
dunia sekitarnya. Analisis ini berkaitan dengan isu eksternal dan internal
yang dalam beberapa hal mempengaruhi anti-penyuapan dan risiko
penyuapan,
sebagaimana risiko penyuapan dapat dikelola, dan relevan dengan tujuan
organisasi.
Analisis masalah ini memiliki dua tujuan:
• memahami konteks untuk menentukan ruang lingkup SMAP; Dan •
menganalisis konteks untuk menentukan risiko dan peluang.
Masalah eksternal adalah masalah yang berada di luar kendali organisasi.
Hal ini sering disebut sebagai lingkungan organisasi. Menganalisis
lingkungan dapat mencakup aspek-aspek berikut:
a) sosial dan budaya;
b) politik, hukum, normatif dan peraturan;
c) keuangan dan makroekonomi;
d) teknologi;
e) alam; dan
f) kompetitif

Aspek lingkungan organisasi ini terus menyajikan isu-isu yang
mempengaruhi penyuapan dan bagaimana anti-penyuapan dapat dikelola.
Isu eksternal yang relevan bergantung pada prioritas dan situasi spesifik
organisasi. Misalnya, masalah eksternal untuk organisasi tertentu dapat
mencakup:
g) implikasi legal tentang pajak (aspek legal);
h) kemungkinan terjadinya bencana alam seperti kebakaran, banjir dan
gempa bumi (Aspek alami);
i) kemajuan teknologi komunikasi (aspek teknologi);
j) permintaan umum untuk layanan organisasi (aspek keuangan).
Masalah internal tunduk pada kontrol organisasi dan karenanya
merupakan bagian dari organisasi itu sendiri. Menganalisis masalah
internal dapat mencakup aspek-aspek berikut:
k) budaya organisasi;
l) kebijakan, tujuan, dan strategi untuk mencapainya;
m) tata kelola, struktur organisasi, peran dan akuntabilitas;
n) standar, pedoman dan model yang diadopsi oleh organisasi;
o) hubungan kontraktual yang secara langsung dapat mempengaruhi
proses organisasi yang termasuk dalam lingkup SMAP;
p) proses dan prosedur;
q) kemampuan, yang dipahami dalam hal sumber daya dan
pengetahuan (misalnya, modal, waktu, orang, proses, sistem dan
teknologi);
r) infrastruktur fisik dan lingkungan;

s) sistem informasi, arus informasi dan proses pengambilan
keputusan (baik formal maupun informal); dan
t) hasil audit sebelumnya atau hasil penilaian risiko sebelumnya.
Hasil kegiatan ini digunakan pada 4.3 dan 6.1.
Panduan
Berdasarkan pemahaman tentang tujuan organisasi (mis., Mengacu pada
pernyataan misi atau rencana bisnisnya) dan juga hasil yang diharapkan
dari SMAP organisasi, organisasi harus:
• meninjau lingkungan eksternal untuk mengidentifikasi isu
eksternal yang relevan; Dan
• meninjau aspek internal untuk mengidentifikasi isu-isu internal
yang relevan.
Untuk mengidentifikasi masalah yang relevan, pertanyaan berikut dapat
diajukan:
Bagaimana kategori isu tertentu (lihat item a sampai j di atas)
mempengaruhi manajemen anti-penyuapan?
Tiga contoh isu internal berfungsi Hasil kegiatan ini digunakan pada 4.3
dan 6.1.
Panduan
Berdasarkan pemahaman tentang tujuan organisasi (mis., Mengacu pada
pernyataan misi atau rencana bisnisnya) dan juga hasil yang diharapkan
dari

SMAP organisasi, organisasi harus:
• meninjau lingkungan eksternal untuk mengidentifikasi isu
eksternal yang relevan; Dan
• meninjau aspek internal untuk mengidentifikasi isu-isu internal
yang relevan.
Untuk mengidentifikasi masalah yang relevan, pertanyaan berikut dapat
diajukan:
Bagaimana kategori isu tertentu (lihat item a sampai j di atas)
mempengaruhi SMAP? sebagai ilustrasi:
Contoh 1 tentang tata kelola dan struktur organisasi (lihat butir m): Saat
membuat SMAP, struktur pemerintahan dan organisasi yang sudah ada
harus diperhitungkan. Sebagai contoh, organisasi dapat memodelkan
struktur SMAP-nya pada struktur sistem manajemen lain yang ada, dan
dapat menggabungkan fungsi umum, seperti tinjauan manajemen dan
audit.
Contoh 2 tentang kebijakan, tujuan dan strategi (lihat butir 1): Anti-
penyuapan dan pengelolaannyaharus disesuaikan dengan strategi dan
tujuan bisnis. Analisis terhadap kebijakan, tujuan dan strategi yang ada,
dapat menunjukkan apa yang diharapkan oleh organisasi dan bagaimana
tujuan anti-penyuapan dapat disesuaikan dengan tujuan bisnis untuk
memastikan hasil yang sukses.
Contoh 3 pada sistem informasi dan arus informasi (lihat item i): Ketika
menentukan masalah internal, organisasi harus mengidentifikasi, pada

tingkat detail yang memadai, arus informasi antara berbagai sistem
informasinya.
Karena baik itu masalah eksternal dan internal akan berubah seiring
berjalannya waktu, dan kemungkinan besar tidak secara paralel, masalah
dan pengaruhnya terhadap cakupan, batasan dan persyaratan SMAP harus
dikaji ulang secara teratur.
Informasi terdokumentasi tentang kegiatan ini dan hasilnya hanya
diwajibkan dalam bentuk dan sejauh organisasi menentukan seperlunya
untuk efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016
7.5.1 butir b)
Informasi tambahan
Dalam ISO / IEC 37001, definisi organisasi dicatat bahwa: "Konsep
organisasi mencakup namun tidak terbatas pada perusahaan pedagang
tunggal, kompi, korporasi, firma, perusahaan, otoritas, kemitraan,
lembaga amal atau institusi, atau bagian atau kombinasi
Oleh sebab itu, baik yang tergabung atau tidak, publik atau swasta.
"Beberapa contoh ini adalah keseluruhan badan hukum, sementara yang
lainnya tidak.
Ada empat kasus:
1) organisasi adalah badan hukum atau administratif (misalnya
pedagang tunggal, kompi, korporasi, firma, perusahaan, otoritas,
kemitraan, badan amal atau institusi baik yang tergabung atau
tidak, publik atau swasta);
2) organisasi adalah bagian dari entitas hukum atau administratif
(misalnya bagian dari pedagang, kompi, dsb.);

3) organisasi adalah kumpulan entitas hukum atau administratif
(misalnya konsorsium pedagang tunggal, kompibesar, korporasi,
firma, dan lain-lain); dan
4) organisasi adalah seperangkat himpunan bagian entitas hukum
atau administratif (misalnya klub, asosiasi perdagangan, dll.).
4.2 Memahami kebutuhan dan harapan pemangku kepentingan
Organisasi harus menentukan:
a) pemangku kepentingan yang relevan terhadap sistem manajemen anti-
penyuapan;
b) persyaratan yang relevan dari pemangku kepentingan.
CATATAN Dalam mengidentifikasi persyaratan pemangku kepentingan,
organisasi dapat membedakan antara persyaratan wajib dan harapan tidak
wajib, komitmen sukarela kepada, pemangku kepentingan.
4.2 Memahami kebutuhan dan harapan pihak yang berkepentingan
Organisasi menentukan pihak yang berkepentingan yang relevan dengan
SMAP dan persyaratannya yang relevan dengan anti penyuapam.
Penjelasan
Pihak yang berkepentingan adalah istilah yang didefinisikan yang
merujuk pada orang atau organisasi yang dapat mempengaruhi,
dipengaruhi oleh, atau merasa dirinya dipengaruhi oleh keputusan atau
aktivitas organisasi. Pihak yang berkepentingan dapat ditemukan baik di
luar maupun di dalam organisasi dan dapat memiliki kebutuhan dan
harapan khusus untuk anti-penyuapan organisasi.
Pihak yang berkepentingan eksternal dapat mencakup:
a) regulator dan legislator;
b) pemegang saham termasuk pemilik dan investor;
c) pemasok termasuk subkontraktor, konsultan, dan mitra
outsourcing;
d) organisasi industri;
e) pesaing;

f) pelanggan dan konsumen; dan
g) kelompok aktivis.
Pihak yang berkepentingan internal dapat mencakup:
h) pengambil keputusan termasuk manajemen tertinggi;
i) pemilik proses, pemilik sistem, dan pemilik informasi;
j) fungsi TI;
k) karyawan dan pengguna; dan
l) profesional manajemen anti-penyuapan.
Hasil kegiatan ini digunakan pada 4.3, 6.1 dan 8.1.
Panduan
Langkah-langkah berikut harus dilakukan:
• mengidentifikasi pihak yang berkepentingan eksternal;
• mengidentifikasi pihak yang berkepentingan internal; dan
• mengidentifikasi persyaratan pihak yang berkepentingan.
Karena kebutuhan dan harapan pihak-pihak yang berkepentingan berubah
seiring berjalannya waktu, perubahan dan pengaruhnya terhadap ruang
lingkup, hambatan dan persyaratan SMAP harus dikaji ulang secara
berkala.
7.5.1 butir b).

Informasi tambahan
Tidak ada informasi tambahan
4.3 Menentukan lingkup sistem manajemen anti-penyuapan
Organisasi harus menentukan batas dan penerapan dari sistem manajemen
anti penyuapan untuk menetapkan lingkupnya.
Ketika menentukan lingkup ini, organisasi harus mempertimbangkan:
a) isu internal dan eksternal yang dimaksud dalam 4.1;
b) persyaratan yang dimaksud dalam 4.2;
c) hasil dari penilaian risiko penyuapan yang dimaksud dalam 4.5.
Lingkup harus tersedia sebagai informasi terdokumentasi.
CATATAN Lihat Klausul A.2 sebagai panduan.
4.3 Menentukan ruang lingkup sistem manajemen anti-penyuapan
Organisasi menentukan batas dan penerapan SMAP untuk menetapkan
ruang lingkupnya.
Penjelasan
Ruang lingkup mendefinisikan pada bagian mana SMAP akan
diberlakukan, dan serta menjelaskan tentang batasan dalam ruang
lingkupnya.
Dengan demikian, penetapan ruang lingkup merupakan kegiatan kunci
yang menentukan landasan yang diperlukan bagi semua kegiatan lain
dalam pelaksanaan SMAP. Misalnya, penilaian risiko dan penanganan
risiko, termasuk penentuan kontrol, tidak akan menghasilkan hasil yang
valid tanpa memiliki pemahaman yang tepat tentang di mana sebenarnya
SMAP berlaku. Pengetahuan yang tepat tentang batasan penerapan SMAP
dan antarmuka dan ketergantungan antara organisasi dan organisasi
lainnya juga penting. Setiap modifikasi lingkup pada waktu kemudian
dapat menghasilkan banyak usaha dan biaya tambahan.
Faktor-faktor berikut dapat mempengaruhi penentuan ruang
lingkup:
a) isu eksternal dan internal yang diuraikan dalam 4.1;

b) pihak yang berkepentingan yang dijelaskan dalam 4.2 dan
kebutuhan dan harapan mereka;
c) kesiapan kegiatan usaha untuk dimasukkan sebagai bagian dari
cakupan SMAP;
d) semua fungsi pendukung, yaitu yang diperlukan untuk
mendukung kegiatan bisnis ini (Misalnya sumber daya manusia
untuk manajemen personalia, layanan TI dan aplikasi
e) perangkat lunak; pengelolaan fasilitas bangunan, zona fisik,
layanan dan utilitas penting); dan
f) semua fungsi yang dialihkan ke bagian lain dalam organisasi atau
ke pemasok independen
Ruang lingkup SMAP bisa sangat berbeda dari satu implementasi ke
implementasi lainnya. Misalnya, ruang lingkup dapat mencakup:
• satu atau lebih proses spesifik;
• satu atau beberapa fungsi spesifik;
• satu atau lebih bagian atau lokasi tertentu;
• seluruh badan hukum; dan
• seluruh entitas administratif dan satu atau lebih pemasoknya.
Panduan
Untuk menetapkan ruang lingkup, pendekatan multi langkah dapat
diikuti:
g) menentukan cakupan awal: kegiatan ini harus dilakukan oleh
sekelompok kecil perwakilan perwakilan manajemen yang relevan;

h) memperbaiki lingkup pendahuluan: unit fungsional di dalam dan di
luar lingkup awal harus ditinjau ulang, mungkin diikuti dengan
penyertaan atau pengucilan beberapa unit fungsional ini untuk
mengurangi jumlah antarmuka di sepanjang batas-batasnya. Saat
menyempurnakan cakupan awal semua fungsi pendukung harus
dipertimbangkan yang diperlukan untuk mendukung kegiatan bisnis;
i) menentukan ruang lingkup: cakupan yang disetujui harus dievaluasi
oleh semua manajemen yang relevan dalam lingkup yang telah
ditentukan. Jika perlu, harus disesuaikan dan kemudian dijelaskan
secara tepat; dan
j) persetujuan lingkup: informasi terdokumentasi yang menjelaskan
ruang lingkup harus disetujui secara formal oleh manajemen tertinggi.
Informasi terdokumentasi yang menjelaskan
ruang lingkupnya dapat terdiri dari:
k) lingkup organisasi, batasan dan antarmuka;
l) lingkup teknologi informasi dan komunikasi, batasan dan
antarmuka;
m) lingkup fisik, batasan dan antarmuka.
Organisasi juga harus mempertimbangkan kegiatan yang
berdampak pada SMAP atau kegiatan yang dialihkan ke bagian lain
di dalam organisasi atau ke pemasok independen. Untuk kegiatan
tersebut, antarmuka (fisik, teknis dan organisasi) dan pengaruhnya
terhadap ruang lingkup harus diidentifikasi.

Informasi lainnya
Perlu dicatat bahwa ruang lingkup sertifikasi mungkin atau
mungkin tidak sama dengan ruang lingkup SMAP.
4.4 Sistem manajemen anti-penyuapan
Organisasi harus menetapkan, mendokumentasi, menerapkan,
memelihara dan secara berkelanjutan meninjau, dan jika diperlukan,
meningkatkan sistem manajemen anti-penyuapan, termasuk proses dan
interaksinya yang diperlukan, sesuai dengan persyaratan standar ini.
Sistem manajemen anti-penyuapan harus memuat tindakan yang
dirancang untuk mengidentifikasi dan mengevaluasi risiko dari, dan untuk
mencegah, mendeteksi dan menanggapi terhadap penyuapan.
CATATAN 1 Tidak mungkin untuk menghilangkan dengan sepenuhnya
risiko penyuapan, dan tidak ada sistem manajemen anti-penyuapan yang
mampu mencegah dan mendeteksi semua penyuapan. Sistem manajemen
anti-penyuapan harus wajar dan proporsional, mempertimbangkan faktor
dimaksud dalam 4.3.
CATATAN 2 Lihat Klausul A.3 sebagai panduan.
4.4 Sistem manajemen anti-penyuapan
Organisasi menetapkan, menerapkan, memelihara dan terus memperbaiki
SMAP.
Penjelasan
ISO / IEC 37001: 2016 Clause 4.4 menyatakan persyaratan utama untuk
menetapkan, menerapkan, memelihara dan terus memperbaiki SMAP.
Sementara bagian lain dari ISO / IEC 37001: 2016 menggambarkan
elemen yang dipersyaratkan dari SMAP, klausul ini memastikan bahwa
semua elemen ditetapkan, diterapkan, dipelihara dan terus ditingkatkan.
Panduan
Tidak ada panduan khusus.
Informasi Tambahan

4.5 Penilaian risiko penyuapan
4.5.1 Organisasi harus melaksanakan penilaian risiko penyuapan secara
teratur, yang harus:
a) mengidentifikasi risiko penyuapan organisasi yang wajar untuk
antisipasi faktor yang tercantum pada 4.1;
b) menganalisa, menilai dan memprioritaskan risiko penyuapan
yang teridentifikasi;
c) mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di
organisasi untu mengurangi risiko penyuapan yang dinilai.
4.5.2 Organisasi harus menetapkan kriteria untuk mengevaluasi tingkat
risiko penyuapan, dan harus mempertimbangkan kebijakan dan sasaran
organisasi.
4.5.3 Penilaian risiko penyuapan harus ditinjau:
a) secara teratur sehingga perubahan dan informasi baru dapat
dinilai secara tepat berdasarkan waktu dan frekuensi yang
ditentukan oleh organisasi;
b) pada saat perubahan penting terhadap struktur atau aktivitas
organisasi.
4.5.4 Organisasi harus menyimpan informasi terdokumentasi untuk
memperagakan bahwa penilaian risiko penyuapan telah dilaksanakan dan
4.5 Penilaian risiko penyuapan
Pendekatan yang dilakukan akan tergantung pada pendekatan yang
diambil oleh organisasi terhadap penilaian risiko anti-penyuapan, yang
dibahas lebih rinci pada 6.1.2 rancangan ISO 37003 ini.
Organisasi yang menerapkan SMAP independen dapat memenuhi
persyaratan klausul ini secara bersamaan dengan persyaratan ISO / IEC
37003 Klausul 6.1.2, 6.1.3 dan 6.2.
Semua tindakan ini harus dikaitkan dengan tujuan anti-penyuapan (lihat
6.2).

digunakan untuk merancang atau meningkatkan sistem manajemen anti-
penyuapan.
5 Kepemimpinan
5.1 Kepemimpinan dan komitmen
5.1.1 Dewan pengarah
Bila organisasi mempunyai dewan pengarah, dewan ini harus
memperagakan
kepemimpinan dan komitmen terhadapnsistem manajemen anti-
penyuapan dengan:
a) menyetujui kebijakan anti-penyuapan organisasi;
b) memastikan bahwa strategi dan kebijakan anti-penyuapan
organisasi sejalan;
c) menerima dan meninjau informasi tentang isi dan operasi dari
sistem manajemen anti-penyuapan pada waktu yang
direncanakan;
d) membutuhkan sumber daya yang cukup dan tepat yang
diperlukan untuk operasi sistem manajemen anti-penyuapan
dialokasikan dan ditentukan;
e) melaksanakan pengawasan yang wajar terhadap penerapan dan
keefektifan sistem manajemen anti-penyuapan di organisasi oleh
manajemen tertinggi. Aktivitas ini harus dilaksanakan oleh
5 Kepemimpinan
5.1 Kepemimpinan dan komitmen
Manajemen tertinggi menunjukkan kepemimpinan dan komitmen
sehubungan dengan SMAP.
Penjelasan
Kepemimpinan dan komitmen organisasi sangat penting bagi SMAP yang
efektif.
Menurut ISO / IEC 37001, manajemen tertinggi mengarahkan dan
mengendalikan organisasi SMAP pada tingkat tertinggi, yaitu manajemen
tertinggi memiliki tanggung jawab keseluruhan, untuk SMAP. Ini berarti
mengarahkan SMAP dengan cara yang sama ke area lain dalam
organisasi, misalnya cara anggaran dialokasikan dan dipantau.
Manajemen tertinggi dapat mendelegasikan wewenang dan sumber daya
di dalam organisasi untuk benar-benar melakukan kegiatan yang berkaitan
dengan penyuapan dan SMAP, namun masih memiliki tanggung jawab
keseluruhan.

manajemen tertinggi, jika organisasi tidak mempunyai dewan
pengarah.
5.1.2 Manajemen tertinggi
Manajemen tertinggi harus memperagakan kepemimpinan dan komitmen
terhadap
sistem manajemen anti-penyuapan dengan:
a) memastikan sistem manajemen anti-penyuapan, termasuk
kebijakan dan sasaran, ditetapkan, diterapkan, dipelihara dan
ditinjau secara cukup yang dimaksudkan untuk mengatasi risiko
penyuapan pada organisasi;
b) memastikan integrasi persyaratan sistem manajemen anti-
penyuapan kedalam proses organisasi;
c) menyediakan sumber daya yang cukup dan tepat untuk operasi
yang efektif dari sistem manajemen anti-penyuapan;
d) mengomunikasikan kebijakan anti-penyuapan secara internal dan
eksternal;
e) mengomunikasikan secara internal pentingnya manajemen anti-
penyuapan yang efektif dan memenuhi persyaratan sistem
manajemen anti-penyuapan;
f) memastikan sistem manajemen anti-penyuapan dirancang secara
tepat untuk mencapai sasarannya;
g) mengarahkan dan mendukung personel untuk berkontribusi pada
keefektifan sistem manajemen anti-penyuapan;
h) mempromosikan budaya anti-penyuapan yang sesuai di
organisasi;
i) mempromosikan peningkatan berkelanjutan;
Sebagai contoh, organisasi yang menerapkan dan mengoperasikan SMAP
dapat menjadi unit bisnis dalam organisasi yang lebih besar. Dalam hal
ini, manajemen tertinggi adalah orang atau kelompok orang yang
mengarahkan dan mengendalikan unit bisnis tersebut.
Manajemen tertinggi juga berpartisipasi dalam tinjauan manajemen (lihat
9.3) dan mempromosikan perbaikan terus-menerus (lihat 10.2).
Panduan
Manajemen tertinggiharus memberikan kepemimpinan dan menunjukkan
komitmen melalui hal-hal berikut:
a) manajemen tertinggi harus memastikan bahwa kebijakan anti-
penyuapan dan tujuananti-penyuapan ditetapkan dan sesuai dengan
arahan strategis organisasi;
b) manajemen tertinggi harus memastikan bahwa persyaratan dan
kontrol anti-penyuapan diintegrasikan ke dalam proses organisasi.
Bagaimana hal ini dicapai harus disesuaikan dengan konteks spesifik
organisasi. Misalnya, organisasi yang telah menunjuk pemilik
proses dapat mendelegasikan tanggung jawab untuk menerapkan
persyaratan yang berlaku kepada orang atau kelompok orang ini.
Dukungan manajemen tertinggijuga diperlukan untuk mengatasi
hambatan organisasi terhadap perubahan proses dan kontrol;
c) manajemen tertinggi harus memastikan tersedianya sumber daya
untuk SMAP yang efektif. Sumber daya dibutuhkan untuk pendirian

j) mendukung peran manajemen yang relevan lainnya untuk
memperagakan kepemimpinannya dalam mencegah dan
mendeteksi penyuapan yang terjadi di bidang tanggung jawab
mereka;
k) mendorong penggunaan prosedur pelaporan untuk penyuapan
yang dicurigai dan aktual (lihat 8.9);
l) memastikan tidak ada personel yang menderita tindakan
pembalasan, diskriminasi atau disipliner (lihat 7.2.2.1 d))
terhadap laporan yang dibuat dengan itikad baik atau atas dasar
keyakinan yang wajar terhadap pelanggaran atau pelanggaran
yang dicurigai dari kebijakan anti-penyuapan organisasi, atau
menolak terlibat dalam penyuapan walaupun penolakan ini dapat
mengakibatkan hilangnya bisnis organisasi (kecuali jika ada
partisipasi individu dalam pelanggaran ini);
m) pada waktu yang direncanakan, melaporkan ke dewan pengarah
(jika ada) mengenai isi dan operasi dari sistem manajemen anti-
penyuapan dan atas tuduhan serius atau penyuapan terstruktur.
SMAP, pelaksanaannya, pemeliharaan dan perbaikannya, serta
untuk menerapkan kontrol anti-penyuapan.
Sumber daya yang dibutuhkan untuk SMAP meliputi:
1) sumber keuangan;
2) personil;
3) fasilitas; dan
4) infrastruktur teknis.
Sumber daya yang dibutuhkan bergantung pada konteks organisasi,
seperti ukuran, kompleksitas, dan persyaratan internal dan eksternal.
Tinjauan manajemen harus memberikan informasi yang menunjukkan
apakah sumber daya memadai untuk organisasi
d) manajemen tertinggi harus mengkomunikasikan kebutuhan akan
anti-penyuapan dalam organisasi dan kebutuhan untuk
menyesuaikan diri dengan persyaratan anti-penyuapan. Hal ini dapat
dilakukan dengan memberikan contoh praktis yang menggambarkan
kebutuhan aktual dalam konteks organisasi dan dengan
mengkomunikasikan persyaratan anti-penyuapan;
e) manajemen tertinggi harus memastikan bahwa SMAP mencapai
hasil yang diharapkan dengan mendukung pelaksanaan semua proses
manajemen anti-penyuapan, dan khususnya dengan meminta dan
meninjau laporan status dan keefektifan SMAP (lihat 5.3)
Laporan tersebut dapat diturunkan dari pengukuran (lihat 6.2 butir b dan
9.1 butir a), tinjauan manajemen dan laporan audit. Manajemen tertinggi

juga dapat menetapkan sasaran kinerja untuk personil kunci yang terlibat
dalam SMAP;
f) manajemen tertinggi harus mengarahkan dan mendukung orang-
orang dalam organisasi yang terlibat langsung dengan penyuapan
dan SMAP. Gagal melakukan hal ini dapat berdampak negatif
terhadap keefektifan SMAP. Umpan balik dari manajemen tertinggi
dapat mencakup bagaimana kegiatan yang direncanakan sesuai
dengan kebutuhan strategis organisasi dan juga untuk
memprioritaskan berbagai aktivitas di SMAP;
g) manajemen tertinggi harus menilai kebutuhan sumber daya selama
tinjauan manajemen dan menetapkan tujuan untuk perbaikan
berkelanjutan dan untuk memantau keefektifan kegiatan yang
direncanakan; dan
h) manajemen tertinggi harus mendukung orang-orang yang peran dan
bertanggung jawabnya terkait dengan pengelolaan anti-penyuapan
yang telah ditetapkan, sehingga mereka termotivasi dan dapat
mengarahkan dan mendukung kegiatan anti-penyuapan di wilayah
mereka.
Dalam kasus dimana organisasi yang menerapkan dan mengoperasikan
SMAP adalah bagian dari organisasi, kepemimpinan dan komitmen yang
lebih besar dapat ditingkatkan dengan melibatkan orang atau kelompok
orang yang mengendalikan dan mengarahkan organisasi yang lebih besar.
Jika orang atau kelompok orang ini memahami apa yang terlibat dalam
penerapan SMAP, mereka dapat memberikan dukungan untuk
manajemen tertinggi dalam lingkup SMAP dan membantu mereka

memberikan kepemimpinan dan menunjukkan komitmen terhadap
SMAP. Misalnya, jika pihak yang berkepentingan di luar lingkup SMAP
terlibat dalam pengambilan keputusan mengenai sasaran penyuapan dan
kriteria risiko dan tetap sadar akan hasil penyuapan yang dihasilkan oleh
SMAP, keputusan mereka mengenai alokasi sumber daya dapat
disesuaikan dengan persyaratan dari SMAP.
Informasi lainnya
Tidak ada informasi lain.
5.2 Kebijakan anti-penyuapan
Manajemen tertinggi harus menetapkan, memelihara dan meninjau
kebijakan anti penyuapan yang:
a) melarang penyuapan;
b) mensyaratkan kepatuhan dengan peraturan perundang-undangan
anti-penyuapan yang berlaku pada organisasi;
c) sesuai dengan tujuan organisasi;
d) menyediakan kerangka kerja untuk menetapkan, meninjau dan
mencapai sasaran anti-penyuapan;
e) termasuk komitmen untuk memenuhi persyaratan sistem
f) mendorong peningkatan kepedulian dengan itikad baik, atau atas
dasar keyakinan yang wajar, tanpa takut tindakan balasan;
g) termasuk komitmen untuk peningkatan berkelanjutan dari sistem
5.2 Kebijakan anti-penyuapan
Manajemen tertinggi menetapkan kebijakan anti-penyuapan
Penjelasan
Kebijakan anti-penyuapan menggambarkan kepentingan strategis SMAP
bagi organisasi dan tersedia sebagai informasi terdokumentasi. Kebijakan
tersebut mengarahkan aktivitas anti-penyuapan ke dalam organisasi.
Kebijakan tersebut menyatakan apa kebutuhan akan anti-penyuapan
dalam konteks aktual organisasi.
Panduan
Kebijakan anti-penyuapan harus berisi pernyataan singkat dan jelas yang
sesuai dengan maksud dan arah mengenai anti-penyuapan. Hal ini dapat

h) menjelaskan wewenang dan kemandirian dari fungsi kepatuhan
anti-penyuapan;
i) menjelaskan konsekuensi jika tidak sesuai dengan kebijakan anti-
penyuapan.
Kebijakan anti-penyuapan harus:
— tersedia sebagai informasi terdokumentasi;
— dikomunikasikan dalam bahasa yang sesuai didalam organisasi dan
kepada rekan isnis yang memiliki risiko penyuapan di atas batas rendah;
— tersedia untuk pemangku kepentingan
yang relevan, jika sesuai.
spesifik untuk lingkup SMAP, atau dapat memiliki cakupan yang lebih
luas.
Semua kebijakan, prosedur, aktivitas dan tujuan yang terkait dengan anti-
penyuapan harus disesuaikan dengan kebijakan anti-penyuapan.
Kebijakan anti-penyuapan harus mencerminkan situasi bisnis, budaya, isu
dan masalah yang berkaitan dengan penyuapan. Luasnya kebijakan anti-
penyuapan harus sesuai dan budaya organisasi serta keseimbangan antara
kemudahan membaca dan kelengkapan. Adalah penting bahwa pengguna
kebijakan dapat mengidentifikasi dirinya dengan arahan strategis dari
kebijakan tersebut.
Kebijakan anti-penyuapan dapat mencakup tujuan anti-penyuapan untuk
organisasi atau menggambarkan kerangka kerja bagaimana tujuan anti-
penyuapan ditetapkan (yaitu siapa yang menetapkannya untuk SMAP dan
bagaimana penggunaannya harus ditempatkan dalam lingkup SMAP).
Misalnya, dalam organisasi yang sangat besar, tujuan tingkat tinggi harus
ditetapkan oleh manajemen eksekutif seluruh organisasi, kemudian,
sesuai dengan kerangka kerja yang ditetapkan dalam kebijakan anti-
penyuapan, mereka harus dirinci dengan cara memberi arahan untuk
semua pihak yang berkepentingan.
Kebijakan anti-penyuapan harus mengandung pernyataan yang jelas dari
manajemen tertinggi atas komitmen mereka untuk memenuhi persyaratan
terkait penyuapan.

Kebijakan anti-penyuapan harus mengandung pernyataan yang jelas
bahwa manajemen tertinggi mendukung perbaikan terus-menerus dalam
semua aktivitas. Penting untuk menyatakan prinsip ini dalam kebijakan,
sehingga orang-orang dalam sistem manajemen menyadarinya.
Kebijakan anti-penyuapan harus dikomunikasikan kepada semua orang
dalam ruang lingkup SMAP. Oleh karena itu, format dan bahasanya harus
sesuai sehingga mudah dimengerti oleh semua penerima.
Kebijakan anti-penyuapan dapat ditulis sedemikian rupa sehingga
memungkinkan untuk mengkomunikasikannya kepada pihak
berkepentingan eksternal yang relevan di luar organisasi. Contoh pihak
eksternal tersebut adalah pelanggan, pemasok, kontraktor, subkontraktor
dan organisasi pengatur. Jika kebijakan anti-penyuapan tersedia bagi
pihak yang berkepentingan eksternal, sebaiknya tidak menyertakan
informasi rahasia.
Kebijakan anti-penyuapan harus tersedia sebagai informasi
terdokumentasi. Persyaratan dalam ISO / IEC 37001: 2016 tidak
menyiratkan bentuk spesifik dari informasi terdokumentasi ini, jadi
terserah pada organisasi untuk menentukan bentuk mana yang paling
tepat. Jika organisasi memiliki template standar untuk kebijakan, bentuk
kebijakan anti-penyuapan harus menggunakan templat ini.
Informasi tambahan
Informasi lebih lanjut mengenai kebijakan yang berkaitan dengan
keamanan informasi dapat ditemukan di ISO / IEC

27002 - Teknologi informasi - Teknik keamanan - Kode praktik
untuk kontrol kemanan informasi.
Informasi lebih lanjut tentang hubungan antara kebijakan anti-
penyuapan/keamanan informasi dan kebijakan lainnya dalam
kerangka kebijakan dapat ditemukan di Lampiran A.
5.3 Peran, tanggung jawab dan wewenang organisasi
5.3.1 Peran dan tanggung jawab
Manajemen tertinggi harus mempunyai seluruh tanggung jawab untuk
penerapan atas dan kepatuhan dengan sistem manajemen anti-penyuapan
seperti yang dijelaskan dalam 5.1.2.
Manajemen tertinggi harus memastikan bahwa tanggung jawab dan
wewenang untuk peran yang relevan ditentukan dan dikomunikasikan di
dalam dan menyeluruh ke setiap tingkatan dari organisasi. Manajer pada
setiap tingkatan harus bertanggung jawab untuk meminta bahwa
persyaratan sistem manajemen anti-penyuapan diaplikasikan dan
dipenuhi pada departemen atau fungsi mereka.
Dewan pengarah (jika ada), manajemen puncak dan seluruh personel lain
harus bertanggung jawab untuk pemahaman, pemenuhan, dan penerapan
persyaratan sistem manajemen anti-penyuapan, sebagaimana terkait
terhadap perannya didalam organisasi.
5.3 Peran, tanggung jawab dan wewenang organisasi
Manajemen tertinggi memastikan tanggung jawab dan wewenang untuk
peran yang relevan dengan anti-penyuapan ditugaskan dan
dikomunikasikan ke seluruh organisasi.
Penjelasan
Manajemen tertinggi memastikan bahwa peran dan tanggung jawab serta
otoritas yang diperlukan yang relevan dengan anti-penyuapan ditugaskan
dan dikomunikasikan. SMAP cenderung berubah dari waktu ke waktu dan
perubahan tersebut dapat menyebabkan hilangnya kesesuaian dengan
persyaratan spesifik ISO / IEC 37001: 2016. Oleh karena itu, manajemen
tertinggi memberikan tanggung jawab dan wewenang untuk memastikan
kepatuhan SMAP dengan ISO / IEC 37001: 2016 dan untuk melaporkan
kinerja SMAP kembali ke manajemen tertinggi.

5.3.2 Fungsi kepatuhan anti-penyuapan
Manajemen tertinggi harus menugaskan pada fungsi kepatuhan anti-
penyuapan tanggung jawab dan wewenang untuk:
a) mengawasi rancangan dan penerapan sistem manajemen anti-
penyuapan organisasi;
b) menyediakan petunjuk dan panduan untuk personel atas sistem
manajemen anti-penyuapan dan isu terkait penyuapan;
c) memastikan sistem manajemen anti-penyuapan sesuai dengan
persyaratan standar ini;
d) melaporkan kinerja sistem manajemen anti-penyuapan kepada
dewan pengarah (jika ada) dan manajemen tertinggi dan fungsi
kepatuhan lainnya, jika sesuai.
Fungsi kepatuhan anti-penyuapan harus mempunyai kecukupan sumber
daya dan ditugaskan pada orang (kelompok) yang mempunyai kesesuaian
kompetensi, status, tanggung jawab dan mandiri. Fungsi kepatuhan anti-
penyuapan harus mempunyai akses langsung dan cepat kepada dewan
pengarah (jika ada) dan pada manajemen tertinggi ketika ada isu atau
kepedulian yang diperlukan untuk diketahui terkait dengan penyuapan
atau sistem manajemen anti-penyuapan.
Manajemen tertinggi dapat menugaskan beberapa atau seluruh fungsi
kepatuhan anti-penyuapan kepada orang diluar organisasi. Jika hal ini
terjadi, manajemen tertinggi harus memastikan personel khusus
mempunyai tanggung jawab dan kewenanganan terhadap penugasan
eksternal yang merupakan bagian dari fungsi.
Panduan
Manajemen tertinggi harus memastikan bahwa tanggung jawab dan
wewenang untuk SMAP ditugaskan agar sistem manajemen memenuhi
persyaratan yang tercantum dalam ISO / IEC 37001: 2016.
Manajemen tertinggi tidak perlu menetapkan semua peran, tanggung
jawab dan wewenang, namun harus cukup mendelegasikan wewenang
untuk melakukan hal ini.
Manajemen tertinggi harus meninjau peran, tanggung jawab dan
kewenangan utama SMAP.
Tanggung jawab dan wewenang yang terkait dengan kegiatan anti-
penyuapan harus diberikan. Kegiatan meliputi:
a) mengkoordinasikan pembentukan, implementasi, pemeliharaan,
pelaporan kinerja, dan peningkatan SMAP;
b) menasihati penilaian dan penanganan risiko anti-penyuapan;
c) merancang proses dan sistem anti-penyuapan;
d) menetapkan standar mengenai penentuan, konfigurasi dan operasi
pengendalian anti-penyuapan; dan
e) mengelola insiden anti-penyuapan.
Di luar peran yang secara khusus terkait dengan anti-penyuapan,
tanggung jawab anti-penyuapan yang relevan dan otoritas harus
disertakan dalam peran lain. Misalnya, tanggung jawab anti-penyuapan
dapat digabungkan dalam peran:

CATATAN Lihat Klausul A.6 sebagai panduan
5.3.3 Pengambilan keputusan yang didelegasikan
Ketika manajemen tertinggi mendelegasikan wewenang kepada personel
untuk membuat keputusan terkait dengan terdapatnya risiko penyuapan di
atas batas rendah, organisasi harus menetapkan dan memelihara suatu
proses pengambilan keputusan atau mensyaratkan kendali yang
diperlukan untuk proses keputusan dan tingkat kewenangan dari
pengambil keputusan yang tepat dan bebas dari konflik kepentingan yang
aktual atau potensial. Manajemen tertinggi harus memastikan proses ini
ditinjau secara berkala sebagai bagian dari peran dan tanggung jawabnya
untuk penerapan dan kepatuhan dengan sistem manajemen anti-
penyuapan yang dijelaskan pada 5.3.1.
CATATAN Pendelegasian dari pengambilan keputusan tidak
membebaskan manajemen puncak atau dewan pengarah (jika ada) dari
tugas dan tanggung jawabnya seperti dijelaskan dalam bagian 5.1.1, 5.1.2
dan 5.3.1, juga tidak perlu menyerahkan tanggung jawab hukum kepada
personel potensial yang didelegasikan
f) pemilik informasi;
g) pemilik proses;
h) pemilik aset (misalnya pemilik aplikasi atau infrastruktur);
i) pemilik risiko;
j) fungsi koordinasi atau petugas anti-penyuapan (peran khusus ini
biasanya merupakan peran pendukung dalam SMAP);
k) manajer proyek;
l) manajer lini; dan
m) pengguna informasi
Clause 7.5).
Informasi tambahan
Tidak ada informasi tambahan.
6. Perencanaan
6.1 Tindakan yang ditujukan pada risiko dan peluang
Ketika merencanakan sistem manajemen anti-penyuapan, organisasi
harus
6 Perencanaan
6.1 Tindakan untuk mengatasi risiko dan peluang
6.1.1 Umum

mempertimbangkan isu yang mengacu pada 4.1, persyaratan yang
mengacu pada 4.2, identifikasi risiko pada 4.5, dan peluang peningkatan
yang ditujukan untuk:
a) memberi kepastian yang wajar bahwa sistem manajemen anti-
penyuapan dapat mencapai sasaran yang dimaksud;
b) mencegah, atau mengurangi, pengaruh yang tidak diinginkan
yang relevan dengan kebijakan dan sasaran anti-penyuapan;
c) memantau keefektifan sistem manajemen anti-penyuapan;
d) mencapai peningkatan berkelanjutan. Organisasi harus
merencanakan:
— tindakan untuk mengatasi risiko penyuapan dan peluang untuk
peningkatan;
— bagaimana untuk:
— mengintegrasikan dan menerapkan tindakan ini pada proses
sistem
— mengevaluasi keefektifan dari tindakantersebut.
ISO / IEC 37001: 2016, 6.1 berkaitan dengan perencanaan tindakan untuk
menangani semua jenis risiko dan peluang yang relevan dengan SMAP.
Hal ini termasuk penilaian risiko dan perencanaan untuk penanganan
risiko.
Struktur ISO / IEC 37001 membagi risiko menjadi dua kategori selama
proses perencanaan:
a) risiko dan peluang yang relevan dengan hasil yang diharapkan
dari SMAP secara keseluruhan; dan
b) Risiko anti-penyuapan yang berhubungan dengan hilangnya
kerahasiaan, integritas dan ketersediaan informasi dalam lingkup
SMAP.
Kategori pertama harus ditangani sesuai dengan persyaratan yang
ditentukan dalam ISO / IEC 37001: 2016, 6.1.1 (umum).
Risiko yang masuk dalam kategori ini dapat menjadi risiko yang berkaitan
dengan SMAP itu sendiri, definisi ruang lingkup SMAP, komitmen
manajemen puncak terhadap anti-penyuapan, sumber daya untuk
mengoperasikan SMAP, dan lain-lain.
Peluang yang termasuk dalam kategori ini dapat menjadi peluang yang
berkaitan dengan hasil dari SMAP, nilai komersial SMAP, efisiensi
proses operasi SMAP dan kontrol anti-penyuapan, dan lain-lain
Kategori kedua terdiri dari semua risiko yang berhubungan langsung
dengan hilangnya kerahasiaan, integritas dan ketersediaan informasi

dalam lingkup SMAP. Resiko ini harus ditangani sesuai dengan 6.1.2
(penilaian risiko anti-penyuapan) dan 6.1.3 (perawatan risiko anti-
penyuapan).
Organisasi dapat memilih untuk menggunakan teknik yang berbeda untuk
setiap kategori.
Subbagian persyaratan untuk menangani risiko dapat dijelaskan sebagai
berikut. Ada beberapa alasan mengapa risiko anti penyuapan ditangani
dengan cara yang lebih spesifik
- Mendorong kesesuaian dan menjaga kompabilitas dengan standar
sistem manajemen lainnya untuk organisasi yang memiliki sistem
manajemen terpadu untuk berbagai aspek seperti kualitas,
lingkungan dan anti-penyuapan;
- memastikan dengan cara mensyaratkan bahwa organisasi
mendefinisikan dan menerapkan proses yang lengkap dan terperinci
untuk penilaian dan penanganan risiko anti-penyuapan; dan
- Menekankan bahwa manajemen risiko anti-penyuapan merupakan
elemen inti dari SMAP.
ISO 37003 : 2017 ini, menggunakan ungkapan tersebut 'menentukan
risiko dan peluang' dan 'menangani risiko dan peluang'. Kata
"menentukan" dapat dianggap setara dengan kata "penilaian" yang
digunakan dalam ISO 37003: 2017 , 6.1.2 ini (yaitu mengidentifikasi,
menganalisis dan mengevaluasi). Demikian pula, kata "menangani" dapat

dianggap setara dengan kata "treatment (perawatan)" yang digunakan
dalam ISO / IEC 37001: 2016, 6.1.3.
Saat merencanakan SMAP, organisasi menentukan risiko dan peluang
yang mempertimbangkan masalah yang disebutkan dalam 4.1 dan
persyaratan yang disebutkan dalam 4.2.
Penjelasan
Untuk risiko dan peluang yang relevan dengan hasil yang diharapkan dari
SMAP, organisasi menentukannya berdasarkan masalah internal dan
eksternal (lihat 4.1) dan persyaratan dari pihak yang berkepentingan (lihat
4.2). Kemudian organisasi tersebut merencanakan SMAP untuk:
c) memastikan bahwa hasil yang diharapkan disampaikan oleh
SMAP, mis. bahwa risiko anti-penyuapan diketahui pemilik
risiko dan diperlakukan pada tingkat yang dapat diterima;
d) mencegah atau mengurangi efek yang tidak diinginkan dari risiko
yang terkait dengan hasil yang diharapkan dari SMAP. efek yang
tidak diinginkan dari risiko yang relevan dengan hasil yang
diharapkan dari SMAP dicegah atau dikurangi; dan

e) perbaikan berkelanjutan (lihat 10.2), mis. melalui mekanisme
yang tepat untuk mendeteksi dan memperbaiki kelemahan dalam
proses manajemen atau mengambil kesempatan untuk
memperbaiki anti-penyuapan.
Risiko yang terkait dengan a) di atas dapat berupa proses dan tanggung
jawab yang tidak jelas, kesadaran yang rendah di antara karyawan,
keterlibatan manajemen yang buruk, dan lain-lain.
Risiko yang terkait dengan b) di atas dapat menjadi manajemen risiko
yang buruk atau kurangnya kesadaran akan risiko.
Risiko yang terkait dengan c) di atas dapat menjadi manajemen
dokumentasi dan proses SMAP yang buruk.
Ketika sebuah organisasi melihat peluang dalam aktivitasnya, kegiatan ini
kemudian mempengaruhi konteks organisasi (ISO / IEC 37001: 2016, 4.1)
atau kebutuhan dan harapan pihak yang berkepentingan (ISO / IEC 37001:
2016, 4.2), dan dapat mengubah risiko bagi organisasi.
Contoh peluang semacam itu adalah: memfokuskan bisnisnya pada
beberapa bidang produk atau layanan, menetapkan strategi pemasaran
untuk beberapa wilayah geografis, atau memperluas kemitraan bisnis
dengan organisasi lain.
Kesempatan juga ada dalam perbaikan terus-menerus proses dan
dokumentasi SMAP, bersama dengan evaluasi hasil yang diharapkan
yang disampaikan oleh SMAP. Misalnya, pertimbangan SMAP yang

relatif baru sering menghasilkan identifikasi peluang untuk
menyempurnakan proses dengan mengklarifikasi antarmuka, mengurangi
overhead administratif, menghilangkan bagian-bagian proses yang tidak
efektif yang dapat mempengaruhi biaya operasional, dengan cara
memperbaiki dokumentasi dan mengenalkan teknologi informasi baru.
Perencanaan di 6.1.1 mencakup penentuan:
f) tindakan untuk mengatasi risiko dan peluang; dan
g) caranya adalah:
1) mengintegrasikan dan menerapkan tindakan ini ke dalam proses
SMAP; dan
2) mengevaluasi keefektifan tindakan yang diambil.
Panduan
Organisasi harus:
h) menentukan risiko dan peluang yang dapat mempengaruhi
pencapaian tujuan yang dijelaskan dalam a), b) dan c), mengingat
isu-isu yang disebutkan dalam 4.1 dan persyaratan yang
disebutkan dalam 4.2; dan
i) mengembangkan rencana untuk melaksanakan tindakan yang
telah ditentukan dan untuk mengevaluasi keefektifan tindakan
tersebut; tindakan harus direncanakan dengan
mempertimbangkan integrasi proses anti-penyuapan dan
dokumentasi dalam struktur yang ada; semua tindakan ini terkait

dengan tujuan anti-penyuapan (6.2) terhadap risiko anti-
penyuapan yang dinilai dan ditangani (lihat 6.1.2 dan 6.1.3).
Persyaratan umum untuk terus memperbaiki SMAP yang tercantum
dalam ISO / IEC 37001: 2016, 10.2 didukung oleh persyaratan untuk
mencapai peningkatan berkelanjutan yang diberikan dalam 6.1.1 dengan
persyaratan lain yang relevan dari ISO / IEC 37001: 2016, 5.1 g), 5.2 d ),
9.1, 9.2 dan 9.3.
Tindakan yang diperlukan dalam 6.1.1 dapat berbeda untuk tingkat
strategis, taktis dan operasional, untuk lokasi yang berbeda, atau untuk
berbagai layanan atau sistem.
Beberapa pendekatan dapat diambil untuk memenuhi persyaratan 6.1.1,
dua di antaranya adalah:
- mempertimbangkan risiko dan peluang yang terkait dengan
perencanaan, pelaksanaan dan operasi SMAP secara terpisah dari
risiko anti-penyuapan; dan
- mempertimbangkan semua risiko secara bersamaan.
Organisasi yang mengintegrasikan SMAP ke dalam sistem manajemen
yang benar akan menemukan bahwa persyaratan 6.1.1 dipenuhi oleh
metodologi perencanaan bisnis yang ada di perusahaan. Jika hal ini
terjadi, perawatan
harus dilakukan untuk memastikan bahwa metodologi mencakup semua
persyaratan 6.1.1.

untuk efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016,
7.5.1 b)).
Informasi lainnya
Informasi lebih lanjut tentang manajemen risiko dapat ditemukan di ISO
31000.
CATATAN Istilah "risiko" didefinisikan sebagai "efek ketidakpastian
terhadap tujuan" (lihat ISO / IEC 27000: 2016, 2.68).
6.1.2 Penilaian risiko SMAP
Organisasi mendefinisikan dan menerapkan proses penilaian risiko anti-
penyuapan.
Penjelasan
Organisasi mendefinisikan dan mengamanatkan penggunaan proses
penilaian risiko anti-penyuapan yang:
a) menetapkan dan memelihara kriteria risiko anti-penyuapan
yang meliputi:
1) kriteria penerimaan risiko; dan
2) kriteria untuk melakukan penilaian risiko anti-penyuapan, mis.
Kriteria untuk mengklasifikasikan konsekuensi dan kemungkinan
dan aturan untuk menentukan tingkat risiko; dan

b) memastikan bahwa penilaian risiko anti-penyuapan yang berulang
menghasilkan hasil yang konsisten, valid dan dapat dibandingkan.
Proses penilaian risiko anti-penyuapan kemudian didefinisikan sepanjang
sub-proses berikut ini:
c) identifikasi risiko anti-penyuapan:
1) mengidentifikasi risiko yang terkait dengan hilangnya
kerahasiaan, integritas dan ketersediaan informasi dalam
lingkup SMAP; dan
2) mengidentifikasi pemilik risiko yang terkait dengan risiko ini,
mis. Untuk mengidentifikasi dan menunjuk rang-orang dengan
wewenang dan tanggung jawab yang tepat untuk mengelola
risiko yang teridentifikasi
d) analisis risiko anti-penyuapan:
1) menilai konsekuensi potensial jika terjadi risiko yang
teridentifikasi, mis. Dampak bisnis langsung seperti kerugian
moneter atau dampak bisnis tidak langsung seperti kerusakan
reputasi;
2) menilai kemungkinan realistis terjadinya risiko yang
teridentifikasi, dengan kuantitatif (yaitu probabilitas atau
frekuensi) atau nilai kualitatif; dan
3) menentukan tingkat risiko yang teridentifikasi sebagai
kombinasi yang telah ditentukan sebelumnya dari konsekuensi
yang dinilai dan kemungkinan yang dinilai sebagaimana
didefinisikan dalam butir a.

e) evaluasi risiko anti-penyuapan:
1) membandingkan hasil analisis risiko dengan kriteria risiko yang
ditetapkan pada butir a; dan
2) memprioritaskan risiko yang dianalisis untuk penanganan
risiko, mis. Tentukan urgensi pengobatan dan urutan jika
beberapa risiko memerlukan perawatan, tunjukkan apakah
kontrol terutama harus mengobati kemungkinan atau
konsekuensi risiko.
Semua langkah proses penilaian risiko anti-penyuapan (6.1.2 butir a ke
butir e) perlu didokumentasikan dan disimpan oleh organisasi sebagai
informasi terdokumentasi. Pengoperasian proses penilaian risiko anti-
penyuapan dijelaskan pada 8.3.
Panduan
Panduan penetapan kriteria risiko (6.1.2 butir a)
Kriteria risiko keamanan anti-penyuapan ditetapkan dengan
mempertimbangkan konteks organisasi dan harus ditetapkan sesuai
dengan preferensi risiko manajemen tertinggi dan persepsi risiko di satu
pihak dan harus memungkinkan proses manajemen risiko yang layak dan
sesuai di sisi lain.
Kriteria risiko anti-penyuapan harus ditetapkan sehubungan dengan hasil
anti-penyuapan yang diinginkan.

kriteria risiko dapat didasarkan pada tingkat maksimum yang dapat
diterima dari risiko, pertimbangan biaya-manfaat, pada dampak pada
organisasi, risiko baru yang mungkin timbul jika beberapa tindakan
pengobatan resiko direncanakan dan dilaksanakan.
Kriteria penetapan atau risiko harus didahului dengan penetapan kriteria
untuk mengidentifikasi dan mengevaluasi konsekuensi dan kemungkinan
risiko anti-penyuapan dan metode untuk menggabungkannya agar
memiliki tingkat risiko.
Tabel yang telah ditentukan dengan kriteria konsekuensi yang dinyatakan
dengan penjelasan lisan untuk mengklasifikasikan tingkat konsekuensi
mungkin berguna untuk menilai konsekuensi dari risiko terwujud secara
kualitatif, kuantitatif atau semi kuantitatif. Kriteria penerimaan risiko
harus disetujui oleh manajemen yang bertanggung jawab.
Panduan untuk menghasilkan hasil penilaian yang konsisten, valid
dan sebanding (6.1.2 butir b)
Proses penilaian risiko, haruslah didasarkan pada metode dan sistem yang
dirancang itu memadai dan sesuai dengan rincian, sehingga mengarahkan
pada hasil yang konsisten, dan valid (yaitu konsisten dan sebanding) dan
yang sebanding. Selama operasi (lihat 8.2), pengulangan keseluruhan atau
bagian dari proses penilaian risiko anti-penyuapan (lihat 6.1.2) dapat
membantu dalam mengidentifikasi masalah dengan metode penilaian
risiko yang dipilih (yang dapat tampak sebagai inkonsistensi atau
perbedaan dalam hasil).

Apapun metode yang dipilih, proses penilaian anti-penyuapan harus
memastikan bahwa:
• Semua risiko, pada tingkat detail yang dibutuhkan,
dipertimbangkan;
• hasilnya konsisten (mis., Ketika kemungkinan yang dikaji atau
konsekuensi yang dikemukakan meningkat, tingkat risiko
meningkat);
• Hasilnya dapat direproduksi (yaitu identifikasi risiko analisis
mereka dan evaluasinya dapat dipahami oleh pihak ketiga dan
hasilnya sama jika orang yang berbeda menilai risikonya dalam
konteks yang sama); dan
• hasil penilaian risiko berulang sebanding (yaitu mungkin untuk
memahami jika tingkat risiko meningkat atau menurun).
Panduan identifikasi risiko anti-penyuapan (6.1.2 butir c)
Tujuan identifikasi risiko adalah menghasilkan daftar risiko yang
komprehensif berdasarkan kejadian yang dapat menciptakan,
meningkatkan, mencegah, menurunkan, mempercepat atau menunda
pencapaian tujuan.
Identifikasi risiko adalah proses menemukan, mengenali dan
menggambarkan risiko.
Ini melibatkan identifikasi sumber risiko, kejadian, sebab dan akibatnya.
Dua pendekatan yang umum digunakan untuk identifikasi risiko
anti-penyuapan:

• Pendekatan berbasis acara mempertimbangkan sumber risiko
secara generik. Peristiwa yang dianggap bisa saja terjadi di masa
lalu atau bisa diantisipasi untuk masa depan. Dalam kasus
pertama mereka dapat melibatkan data historis, dalam kasus
kedua mereka dapat didasarkan pada analisis teoritis dan
pendapat ahli; dan
• Pendekatan berdasarkan identifikasi aset, ancaman, dan
kerentanan mempertimbangkan dua jenis sumber risiko yang
berbeda: aset dengan kerentanan intrinsik, dan ancaman.
Peristiwa yang dipertimbangkan di sini adalah cara potensial
bagaimana ancaman dapat memanfaatkan kerentanan tertentu
dari suatu aset untuk mempengaruhi sasaran organisasi. Kedua
pendekatan tersebut konsisten dengan prinsip dan pedoman
umum mengenai penilaian risiko dalam ISO 31000. Pendekatan
berdasarkan aset, ancaman, dan kerentanan sesuai dengan
pendekatan identifikasi risiko anti-penyuapan yang diperlukan.
Hal ini memastikan bahwa investasi terdahulu dalam identifikasi
risiko tidak hilang.
Pedoman analisis risiko anti-penyuapan (6.1.2 butir d)
Analisis risiko memiliki tujuan untuk menentukan besaran risikonya.
ISO 31000 direferensikan dalam ISO / IEC 37001: 2016 sebagai metode
umum. ISO / IEC 37001: 2016 menentukan bahwa analisis risiko harus
didasarkan pada penilaian konsekuensi akibat risiko yang teridentifikasi
dan kemungkinan konsekuensi tersebut terjadi untuk menentukan tingkat
risiko.

Jenis analisis risiko berdasarkan kemungkinan dan konsekuensinya
dapat berupa:
1) kualitatif, menggunakan skala atribut kualifikasi (misalnya Tinggi,
Sedang, Rendah);
2) kuantitatif, menggunakan skala dengan nilai numerik (misalnya
biaya moneter, frekuensi atau probabilitas terjadinya); atau
3) semi kuantitatif, menggunakan skala kualitatif dengan nilai yang
ditetapkan.
Bila menggunakan pertimbangan tipe analisis risiko kualitatif harus
diberikan pada tingkat objektivitas pada tingkat risiko yang ditentukan.
Ada banyak metode untuk menganalisis risikonya. Analisis skenario
adalah salah satu metode yang cocok untuk analisis risiko anti-penyuapan
(dan untuk identifikasi risiko). Analisis skenario bisa paling efektif bila
dilakukan oleh para ahli dalam skenario yang sedang dibahas. Pakar ini
harus menetapkan kerangka acuan untuk pertanyaan yang harus dijawab
oleh keseluruhan tim.
Pedoman Evaluasi risiko anti-penyuapan (6.1.2 butir e)
Evaluasi risiko yang dianalisis melibatkan penggunaan proses
pengambilan keputusan organisasi untuk membandingkan tingkat
penilaian setiap risiko dengan kriteria penerimaan yang telah ditentukan
sebelumnya untuk menentukan pilihan pengobatan risiko.

Langkah terakhir dari penilaian risiko ini memverifikasi apakah risiko
yang telah dianalisis pada langkah-langkah sebelumnya dapat diterima
sesuai dengan kriteria penerimaan yang ditentukan di bawah 6.1.2 butir a,
atau memerlukan perawatan lebih lanjut. Langkah di 6.1.2 item d
memberikan informasi tentang besarnya risiko namun tidak ada informasi
langsung tentang urgensi penerapan opsi perawatan risiko.
Bergantung pada keadaan di mana risiko terjadi, mereka dapat memiliki
prioritas pengobatan yang berbeda.
Oleh karena itu, output dari langkah ini harus menjadi daftar risiko dalam
urutan prioritas. Hal ini berguna untuk menyimpan informasi lebih lanjut
tentang risiko ini dari identifikasi risiko dan langkah analisis risiko untuk
mendukung keputusan untuk penanganan risiko.
Informasi lainnya
Rincian prasyarat, langkah dan pendekatan untuk penilaian risiko
keamanan indormasi diberikan di ISO / IEC 27005 - Teknologi Informasi
- Teknik Keamanan - Manajemen risiko keamanan informasi yang
diselaraskan dengan ISO 21000, beserta contohnya.
6.1.3 Perawatan risiko anti-penyuapan
Organisasi mendefinisikan dan menerapkan proses penanganan risiko
anti-penyuapan.

Penjelasan
Perlakuan risiko anti-penyuapan adalah keseluruhan proses pemilihan
pilihan pengobatan risiko, menentukan kontrol yang tepat untuk
menerapkan opsi tersebut, merumuskan rencana perawatan risiko dan
mendapatkan persetujuan rencana perawatan risiko oleh pemilik risiko.
Operasi proses penanganan risiko anti-penyuapan dijelaskan pada 8.3.
Semua langkah proses penanganan risiko anti-penyuapan (6.1.3 item a
sampai butir f) perlu didokumentasikan dan disimpan oleh organisasi
sebagai informasi terdokumentasi.
Panduan
Panduan tentang opsi penanganan anti-penyuapan (butir 6.1.3 butir
a)
Pilihan pengobatan risiko adalah:
a) menghindari risiko dengan memutuskan untuk tidak memulai atau
melanjutkan aktivitas yang menimbulkan risiko atau dengan
menghapus sumber risiko (misalnya menutup portal e-niaga);
b) mengambil risiko tambahan atau meningkatkan risiko untuk
mendapatkan peluang (mis. membuka portal e-commerce);
c) memodifikasi risiko dengan mengubah kemungkinan (misalnya
mengurangi kerentanan) atau konsekuensinya (misalnya diversifikasi
aset) atau keduanya;
d) berbagi risiko dengan pihak lain berdasarkan asuransi, subkontrak
atau pembiayaan risiko;

e) mempertahankan risiko berdasarkan kriteria penerimaan atau
keputusan yang diinformasikan (mis. memelihara portal e-commerce
yang ada seperti apa adanya).
Setiap risiko individu harus ditangani oleh satu atau lebih opsi ini, untuk
memenuhi kriteria risiko.
Pedoman penentuan kontrol yang diperlukan (butir 6.1.3 butir b)
Hal ini dapat diperlukan untuk menggunakan beberapa kontrol untuk
mencapai modifikasi yang diperlukan. Misalnya, opsi untuk mengubah
konsekuensinya mungkin memerlukan kontrol agar bisa mendeteksi
secara cepat suatu peristiwa dan juga kontrol untuk merespons dan
memulihkan dari kejadian tersebut. Saat memilih kontrol, organisasi juga
harus memperhitungkan kontrol akun yang diperlukan untuk layanan dari
pemasok luar mis. Layanan awan (cloud), aplikasi, proses dan fungsinya.
Biasanya, kontrol ini dikelola dengan memasukkan persyaratan keamanan
dalam perjanjian dengan pemasok ini termasuk cara untuk mendapatkan
informasi sampai sejauh mana persyaratan ini terpenuhi. Sebaliknya,
mungkin ada situasi di mana organisasi, ingin memilih dan
menggambarkan kontrol terperinci sebagai bagian dari SMAP sendiri
meskipun kontrol dilakukan oleh pemasok dari luar.
Terlepas dari pendekatan yang diambil, organisasi selalu perlu
mempertimbangkan kontrol yang dibutuhkan oleh pemasok mereka saat
memilih kontrol untuk SMAP-nya.

Setiap kontrol harus memodifikasi risiko yang dinilai terhadap memenuhi
kriteria penerimaan risiko.
Panduan untuk membandingkan kontrol dengan yang ada di
Lampiran A (butir 6.1.3 butir c)
Lampiran A dari ISO / IEC 37001: 2016 berisi daftar tujuan pengendalian
dan kontrol yang dibutuhkan. Pengguna standar internasional ini
diarahkan pada representasi kontrol generik di Lampiran A untuk
memastikan bahwa tidak ada kontrol yang diperlukan yang diabaikan.
Perbandingan dengan Lampiran A juga dapat mengidentifikasi kontrol
alternatif terhadap yang ditentukan dalam 6.1.3 item b yang dapat lebih
efektif dalam memodifikasi risiko.
Tujuan pengendalian secara implisit disertakan dalam kontrol yang
dipilih. Tujuan dan kontrol kontrol yang tercantum dalam Lampiran A
tidak bersifat lengkap dan tujuan dan kontrol kontrol tambahan harus
ditambahkan sesuai kebutuhan.
Tidak semua kontrol dalam Annex A harus disertakan. Setiap kontrol
dalam Annex A yang tidak berlaku atau tidak berkontribusi terhadap
modifikasi risiko harus dikecualikan dan pembenaran harus diberikan.
Bimbingan untuk menghasilkan SOA (butir 6.1.3 butir d)
Pernyataan Penerapan The Statement of Applicability (SOA) berisi:

• semua kontrol yang diperlukan (sebagaimana ditentukan dalam
6.1.3 butir b dan 6.1.3 butir c) dan, untuk setiap kontrol;
• justifikasi untuk inklusi mereka;
• apakah kontrol yang diperlukan diterapkan atau tidak (misalnya,
implementasi sepenuhnya, sedang berlangsung, belum dimulai);
dan
• justifikasi untuk mengecualikan salah satu kontrol pada Lampiran
A ISO / IEC 37001:2016.
Justifikasi untuk memasukkan kontrol adalah pengaruhnya terhadap
modifikasi risiko. Rujukan untuk hasil penilaian risiko harus memadai,
bersamaan dengan pengurangan risiko yang diharapkan dilakukan oleh
penerapan kontrol terpilih.
Justifikasi untuk mengecualikan kontrol yang terkandung dapat
mencakup hal berikut:
• tidak berlaku karena berada di luar lingkup SMAP (misalnya ISO
/ IEC 37001: 2016 Klausal 8.1 Pengembangan outsourcing tidak
berlaku jika semua pengembangan sistem organisasi dilakukan
secara in-house);
• Disingkirkan oleh kontrol khusus (misalnya ISO /.8.3.1 dia
• biaya pelaksanaannya melebihi eksposur risiko yang dirasakan.
Catatan: Kontrol khusus adalah kontrol yang telah ditambahkan ke
kontrol Annex A dari ISO / IEC 37001: 2016.

Sebuah Pernyataan Penerapan yang berguna (SOA) harus dirancang
sebagai tabel yang berisi sekitar 100 kontrol Annex A di sepanjang baris
dan baris dengan kontrol tambahan yang tidak disebutkan dalam
Lampiran A, jika diperlukan. Satu kolom tabel dapat menunjukkan apakah
suatu kontrol diperlukan untuk menerapkan opsi perlakuan risiko atau
dapat dikecualikan.
Kolom berikutnya dapat berisi pembenaran untuk penyertaan atau
pengecualian kontrol. Kolom terakhir tabel dapat menunjukkan status
kontrol saat ini dari kontrol. Kolom lebih lanjut dapat digunakan untuk
rincian yang tidak dipersyaratkan oleh ISO / IEC 37001: 2016 namun
biasanya berguna untuk ulasan berikutnya; Rincian ini bisa menjadi
deskripsi yang lebih rinci tentang bagaimana kontrol diterapkan atau
diratifikasi silang dengan deskripsi yang lebih rinci, dan informasi dan
kebijakan terdokumentasi yang digunakan untuk mengimplementasikan
kontrol.
Meskipun bukan persyaratan spesifik dari ISO / IEC 37001: 2016,
organisasi dapat merasa berguna untuk memasukkan tanggung jawab
untuk pengoperasian setiap kontrol yang termasuk dalam SOA.
Pedoman perumusan rencana perawatan risiko (pasal 6.1.3 butir e)
37001: 2016 tidak menentukan struktur atau konten untuk rencana
perawatan risiko. Namun, rencananya harus diformulasikan dari keluaran
klausul 6.1.3 butir a sampai dengan 6.1.3 butir c di atas.

Dengan demikian rencananya harus mendokumentasikan setiap
risiko yang diobati:
• pilihan pengobatan yang dipilih;
• kontrol yang diperlukan; dan
• status implementasi
Konten bermanfaat lainnya bisa meliputi:
• pemilik risiko; dan
• Resiko residual yang diharapkan setelah pelaksanaan tindakan.
Jika ada tindakan yang diperlukan oleh rencana perawatan risiko, maka
mereka harus merencanakan untuk menunjukkan (lihat juga 6.2) tanggung
jawab dan tenggat waktu; Rencana aksi semacam itu dapat ditunjukkan
oleh daftar tindakan ini.
Rencana perawatan anti-penyuapan yang berguna harus dirancang
sebagai tabel yang diurutkan berdasarkan risiko yang diidentifikasi
selama penilaian risiko yang menunjukkan semua kontrol yang ditentukan
dalam 6.1.3 item b.
Harus ada kolom dalam tabel ini yang menunjukkan nama pemilik yang
bertanggung jawab untuk menyediakan kontrol. Kolom lebih lanjut dapat
menunjukkan tanggal pelaksanaan kontrol, informasi tentang pelaksanaan
kontrol (atau proses), mis. Bulanan, dan kolom tentang status
implementasi target.
Sebagai contoh untuk bagian dari proses perawatan risiko, pertimbangkan
pencurian ponsel. Konsekuensinya adalah hilangnya ketersediaan dan

pengungkapan informasi yang tidak diinginkan. Jika penilaian risiko
menunjukkan bahwa tingkat risiko tidak dapat diterima, organisasi dapat
memutuskan untuk mengubah kemungkinan, atau mengubah konsekuensi
risikonya.
Untuk mengubah kemungkinan kehilangan atau pencurian ponsel,
organisasi dapat menentukan bahwa kontrol yang sesuai adalah untuk
mewajibkan karyawan melalui kebijakan perangkat seluler untuk
mengurus ponsel dan secara berkala memeriksa kerugian yang mungkin
didapatkan akibat hal tersebut.
Untuk mengubah konsekuensi kehilangan atau pencurian dari
ponsel, organisasi dapat menentukan kontrol seperti:
- proses manajemen insiden sehingga pengguna dapat melaporkan
kerugian;
- Solusi Manajemen Perangkat Mobile (MDM) untuk menghapus
konten telepon jika hilang; dan
- rencana cadangan perangkat seluler untuk memulihkan konten
telepon.
Saat mempersiapkan SoA (6.1.3 d)), organisasi dapat memasukkan
kontrol yang dipilihnya (kebijakan perangkat mobile dan MDM),
membenarkan penyertaan mereka berdasarkan efeknya mengubah
kemungkinan dan konsekuensi kehilangan atau pencurian ponsel,
sehingga mengurangi risiko residual

Membandingkan kontrol ini dengan yang tercantum dalam ISO / IEC
37001: 2016, Lampiran A , dapat dilihat bahwa kebijakan perangkat
mobile selaras dengan ISO / IEC 27001: 2013, A.6.2.1, namun kontrol
MDM tidak secara langsung menyesuaikan dan harus dianggap sebagai
kontrol khusus tambahan. Jika MDM dan kontrol lainnya ditentukan
sebagai kontrol yang diperlukan dalam rencana perawatan risiko anti-
penyuapan organisasi, mereka harus disertakan dalam SoA (lihat
"Pedoman untuk membuat SoA (6.1.3 d) pada ISO ini).
Jika organisasi ingin mengurangi risiko lebih lanjut, dapat
dipertimbangkan dari ISO / IEC 37001: 2016, tentang kebijakan
(kebijakan kontrol akses) yang tidak memiliki kontrol akses ke ponsel dan
memodifikasi kebijakan perangkat mobile-nya untuk mengamanatkan
penggunaan PIN pada semua telepon genggam. Ini kemudian harus
menjadi kontrol lebih lanjut untuk mengubah konsekuensi kehilangan
atau pencurian ponsel.
Saat merumuskan rencana perawatan risiko anti-penyuapan (6.1.3 e)),
organisasi tersebut kemudian harus memasukkan tindakan untuk
menerapkan kebijakan perangkat mobile dan MDM dan menetapkan
tanggung jawab dan jangka waktu.
Panduan untuk mendapatkan persetujuan pemilik risiko (pasal 6.1.3
butir f)

Bila rencana perawatan risiko dirumuskan, organisasi harus mendapatkan
otorisasi dari pemilik risiko. Otorisasi semacam itu harus didasarkan pada
kriteria penerimaan risiko yang ditetapkan dari konsesi yang dibenarkan
jika ada penyimpangan dari mereka. Sebagai contoh, persetujuan pemilik
risiko ini dapat didokumentasikan dengan mengubah rencana perawatan
risiko yang dijelaskan di bawah panduan 6.1.3 item e dengan kolom yang
menunjukkan efektivitas pengendalian, risiko residual, dan persetujuan
pemilik risiko.
Melalui proses manajemennya, organisasi tersebut akan mencatat
penerimaan pemilik risiko atas keputusan risiko dan pengelolaan residual
dari rencana tersebut.
Informasi tambahan
Informasi lebih lanjut tentang penanganan risiko dapat ditemukan di ISO
/ IEC 27005 dan ISO 31000.
6.2 Sasaran anti-penyuapan dan perencanaan untuk mencapainya
Organisasi harus menetapkan sasaran sistem manajemen anti-penyuapan
pada fungsi dan tingkat yang relevan. Sasaran sistem manajemen anti-
penyuapan harus:
a) konsisten dengan kebijakan anti-penyuapan;
b) terukur (jika sesuai);
c) memperhitungkan faktor yang berlaku didalam 4.1, persyaratan
didalam 4.2 dan risiko penyuapan yang teridentifikasi didalam
4.5;
6.2 Tujuan anti-penyuapan dan perencanaan untuk mencapainya
Organisasi menetapkan tujuan dan tujuan anti-penyuapan untuk
mencapainya pada fungsi dan tingkatan yang relevan.
Penjelasan
Tujuan anti-penyuapan membantu mengimplementasikan tujuan strategis
suatu organisasi sekaligus menerapkan kebijakan anti-penyuapan.
Dengan demikian, tujuan dalam SMAP adalah tujuan anti-penyuapan

d) dapat dicapai;
e) dipantau;
f) dikomunikasikan sesuai dengan 7.4;
g) diperbaharui jika sesuai.
Organisasi harus menyimpan informasi terdokumentasi dari sasaran
sistem manajemen anti-penyuapan. Ketika merencanakan bagaimana
untuk mencapai sasaran sistem manajemen anti-penyuapan, organisasi
harus menetapkan:
— apa yang akan dikerjakan;
— sumber daya apa yang dipersyaratkan;
— siapa yang akan bertanggung jawab;
— kapan sasaran akan dicapai;
— bagaimana hasil akan dievaluasi dandilaporkan;
— siapa yang akan menjatuhkan sanksi atau hukuman.
untuk integritas, kepercayaan, dan mencapai tujuan perusahaan sebaik
mungkin. Demikian juga, tujuan anti-penyuapan membantu menentukan
dan mengukur kinerja kontrol dan proses anti-penyuapan, sesuai dengan
kebijakan anti-penyuapan (lihat 5.2).
Kriteria risiko yang dikembangkan dalam klausul 6.1.2
mempertimbangkan tujuan anti-penyuapan dan dengan demikian
memastikan bahwa kegiatan perlakuan risiko mempertimbangkan
masalah yang dapat mempengaruhi anti-penyuapan, persyaratan pihak
yang berkepentingan, dan tujuan organisasi. Tujuan penting untuk
penilaian risiko: kriteria risiko (lihat 6.1.2) mempertimbangkan tujuan
anti-penyuapan dan dengan demikian memastikan bahwa tingkat risiko
sesuai dengannya.
Organisasi merencanakan, menetapkan dan mengeluarkan tujuan anti-
penyuapan ke fungsi dan tingkatan yang relevan.
Persyaratan ISO / IEC 37001 tentang tujuan anti-penyuapan berlaku
untuk semua tujuan anti-penyuapan. Jika kebijakan anti-penyuapan
mengandung tujuan, maka tujuan tersebut wajib memenuhi kriteria
6.2. Jika kebijakan tersebut berisi kerangka kerja untuk menetapkan
tujuan, maka tujuan yang dihasilkan oleh kerangka kerja tersebut
harus memenuhi persyaratan 6.2.
Persyaratan yang harus dipertimbangkan saat menetapkan tujuan
adalah keputusan yang ditentukan saat memahami organisasi dan
konteksnya (lihat 4.1) serta kebutuhan dan harapan pihak yang
berkepentingan (lihat 4.2).

Hasil dari penilaian risiko dan penanganan risiko digunakan sebagai
masukan untuk meninjau kembali tujuan yang sedang berjalan untuk
memastikan agar tetap sesuai dengan keadaan organisasi.
Tujuan anti-penyuapan sesuai ISO / IEC 37001: 2016 adalah:
a) sejalan dengan kebijakan anti-penyuapan;
b) dapat diukur jika dipraktekkan ; artinya penting untuk dapat
menentukan apakah suatu tujuan dicapai atau tidak;
c) terhubung dengan persyaratan anti-penyuapan yang berlaku, dan
hasil dari penilaian risiko dan penanganan risiko;
d) terkomunikasi dan
e) diperbaharui sebagaimana mestinya
Organisai menjaga dokumen terdokumentasi pada tujuan anti-
penyuapan.
Ketika merencanakan bagaimana mencapai tujuan anti-penyuapan,
organisasi menentukan:
f) apa yang akan dilakukan ;
g) sumber apa yang diperlukan;
h) siapa yang akan bertanggung jawabe;
i) kapan akan diselesaikan; dan
j) bagaimana hasilnya akan dievaluasi.
Persyaratan mengenai perencanaan berlaku untuk semua rencana yang
dipersyaratkan oleh ISO / IEC 37001: 2016. Rencana untuk
dipertimbangkan untuk SMAP meliputi:

• rencana untuk memperbaiki SMAP yang dijelaskan dalam 6.1
dan 8.1;
• rencana untuk merawat risiko yang teridentifikasi yang dijelaskan
pada 6.1 dan 8.1; dan
• rencana lain yang perlu dilakukan untuk operasi yang efektif
(misalnya rencana pengembangan kompetensi, pengembangan
kesadaran, komunikasi, evaluasi kinerja, audit internal dan
tinjauan manajemen).
Panduan
Kebijakan anti-penyuapan harus menyebutkan tujuan anti penyuapam
atau menyediakan kerangka kerja untuk menetapkan tujuan.
Tujuan anti-penyuapan dapat diungkapkan dengan berbagai cara.
Ekspresi harus sesuai untuk memenuhi persyaratan agar dapat diukur (jika
mungkin dilakukan) (ISO / IEC 37001: 2016 Klausul 6.2 butir b)).
Contoh ekspresi tersebut adalah:
• mencapai beberapa hasil atau hasil;
• kepatuhan terhadap persyaratan ISO / IEC 37001: 2016; dan
• memenuhi persyaratan organisasi sendiri.
Tidak semua tujuan harus bersifat organisasi, namun setiap tujuan harus
konsisten dengan tujuan yang lebih umum.
Misalnya, tujuan anti-penyuapan dapat dinyatakan dalam hal:

- nilai numerik dengan batasnya, mis. "Tidak melampaui batas
tertentu", dan "mencapai tingkat 4";
- target pengukuran kinerja anti-penyuapan;
- target pengukuran efektivitas SMAP (lihat 9.1);
- kepatuhan terhadap ISO / IEC 37001;
- kepatuhan terhadap prosedur SMAP;
- kebutuhan untuk menyelesaikan tindakan dan rencana; dan
- kriteria risiko yang harus dipenuhi
Petunjuk berikut ini berlaku sesuai dengan yang telah dibahas dalam
penjelasan di atas:
k) kebijakan anti-penyuapan menentukan persyaratan utama untuk
anti-penyuapan dalam sebuah organisasi. Semua persyaratan
spesifik lainnya yang ditetapkan untuk fungsi dan level yang
relevan harus sesuai dengan tujuan organisasi. Jika kebijakan anti-
penyuapan memiliki tujuan, maka tujuan anti-penyuapan spesifik
lainnya harus dikaitkan dengan kebijakan anti-penyuapan. Jika
kebijakan anti-penyuapan hanya menyediakan kerangka kerja
untuk menetapkan tujuan, maka kerangka kerja itu harus diikuti dan
harus memastikan bahwa tujuan yang lebih spesifik dikaitkan
dengan masalah yang lebih umum;
l) membuat tujuan yang terukur mendukung pencapaian dan
peningkatan.
Tujuan anti-penyuapan harus dapat diukur, yaitu mungkin untuk
memahami apakah mereka telah tercapai atau tidak. Tidak semua

tujuan perlu diukur, namun jika suatu tujuan dapat diukur, maka
harus diukur;
m) tujuan anti-penyuapan harus disesuaikan dengan kebutuhan anti-
penyuapan; Untuk alasan ini, penilaian risiko anti-penyuapan dan
hasil pengobatan harus digunakan sebagai masukan saat
menetapkan tujuan anti-penyuapan;
n) tujuan anti-penyuapan harus dikomunikasikan kepada pihak
internal yang berkepentingan dalam organisasi. Ini juga dapat
dikomunikasikan ke pihak yang berkepentingan eksternal, mis.
Pelanggan, pemangku kepentingan, sejauh mereka perlu
mengetahui dan dipengaruhi oleh tujuan anti-penyuapan;
o) bila kebutuhan anti-penyuapan berubah dari waktu ke waktu, tujuan
anti-penyuapan terkait harus diperbarui sesuai dengan itu.
Pembaruan mereka harus dikomunikasikan sebagaimana
diwajibkan dalam peluru d), kepada pihak berkepentingan internal
dan eksternal yang sesuai;
p) tujuan anti-penyuapan dapat melalui sebuah proyek untuk
mencapainya atau melalui persyaratan yang telah ditentukan, jadi:
q) ketika sebuah tujuan memerlukan sebuah rencana proyek, tindakan,
sumber daya, tanggung jawab dan tenggat waktu yang terkait harus
disertakan dalam rencana tersebut; Dan
r) bila suatu tujuan adalah kesesuaian dengan beberapa persyaratan,
maka tugas, sumber daya, tanggung jawab dan frekuensi evaluasi
harus ditetapkan; dan
s) Sesuai dengan tenggat waktu atau frekuensi yang ditetapkan, tujuan
harus dievaluasi dan metode harus ditetapkan saat merencanakan
tujuan.

ISO / IEC 37001: 2016 mewajibkan organisasi untuk menyimpan
informasi terdokumentasi mengenai tujuan anti-penyuapan. Informasi
terdokumentasi tersebut dapat mencakup:
 rencana, tindakan, sumber daya, tanggung jawab, tenggat waktu
dan metode evaluasi;
 persyaratan, tugas, sumber daya, tanggung jawab, frekuensi dan
metode evaluasi; Dan
 hasil evaluasi.
Informasi tambahan

7 Dukungan
7.1 Sumber daya
Organisasi harus menentukan dan menyediakan sumber daya yang
diperlukan untuk penetapan, penerapan, pemeliharaan dan peningkatan
berkelanjutan dari sistem manajemen anti-penyuapan.
7 Dukungan
7.1 Sumber daya
Organisasi menentukan dan menyediakan sumber daya untuk membangun,
menerapkan, memelihara dan terus memperbaiki SMAP.
Penjelasan
Sumber daya sangat mendasar untuk melakukan aktivitas apapun.
Kategori sumber daya dapat mencakup:
a) Sumber daya manusia untuk menggerakkan dan
mengoperasikan kegiatan;
b) waktu untuk melakukan aktivitas dan waktu untuk
memungkinkan hasil menetap sebelum melakukan langkah
baru;
c) Sumber daya finansial (keuangan) untuk memperoleh,
mengembangkan dan menerapkan apa yang dibutuhkan; dan
d) informasi untuk mendukung keputusan, mengukur tindakan,
dan meningkatkan pengetahuan. Sumber daya juga bisa
termasuk cara lain yang bisa diakuisisi atau dibangun, seperti
teknologi, peralatan dan bahan terlepas dari apakah itu produk
teknologi informasi atau tidak.
e) infrastruktur dan sarana lain yang bisa diakuisisi atau dibangun,
seperti teknologi, peralatan dan bahan, terlepas dari apakah itu
produk teknologi informasi atau tidak.

Sumber daya juga dapat mencakup cara lain yang didapatkan atau
yang dibangun, seperti teknologi, peralatan maupun bahan lain
terlepas dari apakah hal tersebut merupakan produk teknologi
informasi atau tidak.
Sumber daya ini harus disesuaikan dengan kebutuhan SMAP dan
karenanya harus disesuaikan bila diperlukan.
Panduan:
Organisasi harus:
f) memperkirakan sumber daya yang dibutuhkan untuk semua
kegiatan yang berkaitan dengan SMAP dalam hal kuantitas dan
kualitas (kapasitas dan kemampuan);
g) memperoleh sumber daya sesuai kebutuhan;
h) menyediakan sumber daya;
i) memelihara sumber daya di seluruh proses SMAP dan aktivitas
spesifik;
j) meninjau sumber daya yang tersedia sesuai kebutuhan mereka,
dan menyesuaikannya sesuai kebutuhan.
untuk efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016,
7.5.1)).

Informasi lain
7.2 Kompetensi
7.2.1 Umum
Organisasi harus:
a) menentukan kompetensi yang cukup bagi orang yang
melaksanakan pekerjaan dibawah kendali organisasi yang
berpengaruh pada kinerja anti-penyuapan;
b) memastikan orang ini kompeten berdasarkan pendidikan,
pelatihan, atau pengalaman yang memadai;
c) jika bisa diterapkan, mengambil tindakan untuk memperoleh dan
mempertahankan kompetensi yang diperlukan, dan mengevaluasi
keefektifan dari tindakan yang diambil;
d) menyimpan informasi terdokumentasi yang tepat sebagai bukti dari
kompetensi.
CATATAN Tindakan yang bisa diterapkan dapat termasuk, sebagai
contoh, penyediaan pelatihan, mentoring, atau penugasan kembali orang
yang dipekerjakan atau rekan bisnis; atau menyewa atau mengontrak hal
yang sama.
7.2.2 Proses mempekerjakan
7.2 Kompetensi
Aktivitas yang diperlukan
Organisasi menentukan kompetensi yang dibutuhkan untuk kinerja anti-
penyuapan, dan memastikan bahwa orang tersebut kompeten.
Penjelasan
Tidak ada yang bisa dilakukan tanpa orang yang tepat dan kompeten yang
tepat. Kegiatan khusus dalam SMAP untuk setiap peran, (misalnya,
manajemen risiko, lihat klausul 6) memerlukan kompetensi khusus,
sementara beberapa kegiatan lainnya hanya memerlukan kompetensi
'standar'.
Kompetensi adalah kemampuan untuk menerapkan pengetahuan dan
keterampilan untuk mencapai hasil yang diinginkan. Hal ini dipengaruhi
oleh pengetahuan, pengalaman dan kebijaksanaan.
Kompetensi dapat bersifat spesifik (misalnya tentang teknologi atau area
pengelolaan khusus seperti manajemen risiko) atau umum (misalnya soft
skill, kepercayaan dan tentang subjek teknologi dan manajerial dasar).
Kompetensi berhubungan dengan orang-orang yang bekerja di bawah
kendali organisasi. Ini berarti bahwa kompetensi harus dikelola untuk

7.2.2.1 Dalam hubungannya terhadap semua personel, organisasi harus
menerapkan prosedur seperti:
a) kondisi pekerjaan yang mensyaratkan personel untuk mematuhi
kebijakan anti-penyuapan dan sistem manajemen anti-penyuapan,
dan memberikan organisasi hak untuk mendisiplinkan personel
ketika ada ketidakpatuhan;
b) dalam jangka waktu yang wajar terhitung ketika mereka
dipekerjakan, personel menerima salinan, atau disediakan akses ke,
kebijakan anti-penyuapan dan pelatihan dalam kaitannya dengan
kebijakan;
c) organisasi memiliki prosedur yang dapat mengambil tindakan
disipliner yang sesuai terhadap personel yang melanggar kebijakan
anti-penyuapan atau sistem manajemen anti-penyuapan; dan
d) personel tidak akan menerima pembalasan, diskriminasi atau
tindakan disiplin (misal dengan ancaman, isolasi, penurunan
jabatan, pencegahan peningkatan, transfer, pemecatan, intimidasi,
dikorbankan, atau bentuk lain dari pelecehan):
1) bagi penolakan untuk berpartisipasi dalam, atau untuk menolak,
setiap kegiatan dalam hal mereka telah cukup dinilai untuk menjadi
risiko penyuapan di atas batas rendah yang belum dikurangi oleh
organisasi; atau
2) karena kepedulian yang timbul atau laporan dibuat dengan itikad
baik atau atas dasar keyakinan yang wajar, dari percobaan,
penyuapan atau dugaan penyuapan atau pelanggaran kebijakan
anti-penyuapan atau sistem manajemen anti-penyuapan (kecuali
individu yang berpartisipasi dalam pelanggaran).
orang-orang yang merupakan karyawan organisasi dan orang lain sesuai
kebutuhan.
Akuisisi kompetensi dan keterampilan yang lebih tinggi atau baru dapat
dicapai baik secara internal maupun eksternal melalui pengalaman,
pelatihan, kursus, seminar dan lokakarya.
Untuk kompetensi yang hanya sementara dibutuhkan - untuk aktivitas
tertentu atau untuk jangka waktu yang singkat, mis. Untuk menutupi
kekurangan sementara yang tidak terduga dari personil internal - organisasi
dapat mempekerjakan atau mengontrak sumber daya eksternal yang
kompetensinya harus dijelaskan dan diverifikasi.
Panduan
Organisasi harus:
a) menentukan kompetensi yang diharapkan untuk setiap peran dalam
SMAP dan memutuskan apakah perlu didokumentasikan (misalnya
dalam uraian tugas);
b) menetapkan peran dalam SMAP (lihat 5.3) kepada orang-orang
dengan kompetensi yang dipersyaratkan baik oleh:
1. mengidentifikasi orang-orang di dalam organisasi yang memiliki
kompetensi (berdasarkan misinya tentang pendidikan, pengalaman,
atau sertifikasi mereka);
2. merencanakan dan melaksanakan tindakan agar orang-orang di
dalam organisasi mendapatkan kompetensi (mis. Melalui
penyediaan pelatihan, pendampingan, penugasan kembali
karyawan saat ini); atau

7.2.2.2 Sehubungan dengan semua posisi yang terkena risiko penyuapan di
atas batas rendah sebagaimana ditentukan dalam penilaian risiko penyuapan
(lihat 4.5), dan untuk fungsi kepatuhan anti-penyuapan, organisasi harus
menerapkan prosedur yangberisi tentang:
a) uji kelayakan (lihat 8.2) dilakukan pada orang sebelum mereka
dipekerjakan, dan personel sebelum mereka dipindahkan atau
dipromosikan organisasi, untuk memastikan sejauh mana hal ini
dapat diterima dan adalah tepat untuk mempekerjakan atau
memindahkan mereka dan keyakinan yang wajar bahwa mereka
akan mematuhi kebijakan anti-penyuapan dan persyaratan sistem
b) bonus kinerja, target kinerja dan elemen insentif lainnya dari
pemberian upah ditinjau secara berkala untuk memastikan bahwa
ada perlindungan yang wajar diterima untuk mencegah mereka dari
dorongan penyuapan;
c) personel seperti, manajemen tertinggi, dan dewan pengarah (jika
ada), mendeklarasikan dalam jangka waktu yang wajar sebanding
dengan risiko penyuapan yang teridentifikasi, yang
mengonfirmasikan kepatuhan mereka terhadap kebijakan anti-
penyuapan
3. melibatkan orang baru yang memiliki kompetensi (misalnya
melalui perekrutan atau kontrak);
c) mengevaluasi keefektifan tindakan dalam b) di atas;
Contoh 1 Pertimbangkan apakah orang telah memperoleh kompetensi
setelah pelatihan.
Contoh 2 Menganalisis kompetensi orang yang baru dipekerjakan atau
dikontrak beberapa saat setelah mereka tiba di organisasi.
Contoh 3 Verifikasi apakah rencana untuk memperoleh orang baru telah
selesai seperti yang diharapkan.
d) memverifikasi bahwa orang tersebut kompeten untuk peran mereka;
dan
e) memastikan bahwa kompetensi berkembang dari waktu ke waktu
sesuai kebutuhan dan memenuhi harapan.
Informasi terdokumentasi yang tepat diperlukan sebagai bukti kompetensi.
Oleh karena itu organisasi harus menyimpan dokumentasi tentang
kompetensi yang diperlukan yang mempengaruhi kinerja anti-penyuapan
dan bagaimana kompetensi ini dipenuhi oleh orang-orang yang relevan.
Informasi tambahan

CATATAN 1 Deklarasi kepatuhan anti-penyuapan dapat berdiri sendiri
atau menjadi komponen dari proses deklarasi kepatuhan yang lebih luas.
CATATAN 2 Lihat Klausul A.8 sebagai panduan
7.3 Kepedulian dan pelatihan
Organisasi harus memberikan kepedulian anti-penyuapan yang cukup dan
sesuai serta pelatihan untuk personel. Pelatihan tersebut harus menunjukkan
isu berikut yang sesuai, dengan mempertimbangkan hasil penilaian risiko
penyuapan (lihat 4.5):
a) kebijakan anti-penyuapan, prosedur dan sistem manajemen anti-
penyuapan organisasi, dan tugas mereka untuk memenuhi;
b) risiko penyuapan dan kerusakan pada mereka dan organisasi yang
mendapat hasil dari penyuapan;
c) keadaan dimana penyuapan dapat terjadi dalam kaitannya dengan
tugas mereka, dan bagaimana mengenali keadaan ini;
d) bagaimana mengenali dan menanggapi permintaan atau penawaran
suap;
e) bagaimana mereka dapat membantu mencegah dan menghindari
penyuapan serta mengenali indikator kunci risiko penyuapan;
f) kontribusi mereka terhadap efektivitas sistem manajemen anti-
penyuapan, termasuk keuntungan dari peningkatan kinerja anti-
penyuapan dan pelaporan dugaan penyuapan
g) implikasi dan konsekuensi potensial tidak sesuai dengan
persyaratan sistem manajemen anti-penyuapan;
7.3 Kepedulian dan pelatihan
Orang-orang yang melakukan pekerjaan di bawah kendali organisasi diberi
tahu tentang kebijakan anti-penyuapan, kontribusinya terhadap keefektifan
SMAP, manfaat kinerja anti-penyuapan yang lebih baik dan implikasi dari
tidak sesuai dengan persyaratan SMAP.
Penjelasan
Kepedulian dan pelatihan mengacu pada penyediaan pemahaman dan
motivasi yang diperlukan kepada orang-orang yang melakukan pekerjaan
di bawah kendali organisasi mengenai apa yang diharapkan dari mereka
berkaitan dengan anti-penyuapan.
Kepedulian dan pelatihan menyangkut orang-orang yang harus tahu,
mengerti, menerima dan
a) mendukung tujuan yang dinyatakan dalam kebijakan anti-penyuapan;
dan
b) mengikuti peraturan untuk melakukan tugas sehari-hari mereka
dengan benar untuk mendukung anti-penyuapan.

h) bagaimana dan kepada siapa mereka dapat melaporkan setiap
kepedulian (lihat 8.9);
i) informasi tentang pelatihan dan sumber daya yang tersedia.
Personel harus dilengkapi dengan kepedulian anti-penyuapan dan pelatihan
secara teratur (pada selang waktu terencana ditentukan oleh organisasi)
yang sesuai untuk peran mereka, risiko penyuapan di lingkungan mereka
berada, dan setiap keadaan yang berubah. Program kepedulian dan
pelatihan akan diperbarui secara berkala jika diperlukan untuk
mencerminkan informasi baru yang relevan.
Memperhitungkan risiko penyuapan teridentifikasi (lihat 4.5), organisasi
harus menerapkan prosedur yang ditujukan pada kepedulian dan pelatihan
anti-penyuapan untuk rekan bisnis yang bertindak atas nama atau untuk
keuntungannya yang dapat menimbulkan risiko penyuapan di atas batas
rendah untuk organisasi. Prosedur ini harus mengidentifikasi rekan bisnis
dimana kepedulian dan pelatihan seperti itu diperlukan, isinya, dan sarana
pelatihan harus disediakan.
Organisasi harus menyimpan informasi terdokumentasi tentang prosedur
pelatihan, isi pelatihan, dan kapan dan kepada siapa informasi diberikan.
CATATAN 1 Kepedulian dan persyaratan pelatihan untuk rekan bisnis
dapat dikomunikasikan melalui kontrak atau persyaratan serupa, dan
diterapkan oleh organisasi, rekan bisnis atau pihak lain yang ditunjuk untuk
tujuan itu.
Orang-orang yang melakukan pekerjaan di bawah kendali organisasi juga
perlu mengetahui, memahami dan menerima implikasi dari ketidaksesuaian
dengan persyaratan SMAP.
Implikasi bisa menjadi konsekuensi negatif bagi anti-penyuapan atau
akibatnya bagi orang tersebut.
Orang-orang ini perlu menyadari bahwa ada kebijakan anti-penyuapan dan
di mana menemukan informasi tentang hal tersebut. Banyak staf dalam
sebuah organisasi tidak perlu mengetahui isi rinci dari kebijakan tersebut.
Sebagai gantinya mereka perlu mengetahui, memahami, menerima dan
menerapkan tujuan dan persyaratan yang berasal dari kebijakan yang
mempengaruhi peran pekerjaan mereka. Persyaratan ini dapat disertakan
dalam standar atau prosedur yang diharapkan mereka ikuti untuk
melakukan pekerjaan mereka.
Panduan
Organisasi harus:
a) menyiapkan program dengan pesan spesifik yang difokuskan pada
setiap rekanan (mis. oknum internal dan eksternal);
b) mencakup kebutuhan dan harapan anti-penyuapan dalam materi
kesadaran dan pelatihan mengenai topik lain untuk menempatkan
kebutuhan anti-penyuapan ke dalam konteks operasional yang
relevan;
c) menyiapkan rencana untuk mengkomunikasikan tentang kesadaran
akan pentingan anti-penyuapan pada interval yang direncanakan;

d) memverifikasi pengetahuan dan pemahaman pesan baik di akhir sesi
kesadaran dan secara acak di antara sesi; dan
e) memverifikasi apakah orang bertindak sesuai dengan pesan yang telah
disampaikan dengan menggunakan contoh perilaku 'baik' dan 'buruk'
untuk memperkuat penyampaian tersebut.
Clause 7.5.1 item b).
Informasi lainnya
Informasi lebih lanjut tentang kesadaran dapat ditemukan dalam ISO
/ IEC 27002: 2013 Klausul 7.2.2.
7.4 Komunikasi
7.4.1 Organisasi harus menentukan komunikasi internal dan eksternal yang
relevan dengan sistem manajemen anti-penyuapan termasuk:
a) apa yang akan dikomunikasikan;
b) kapan berkomunikasi;
c) dengan siapa berkomunikasi;
d) bagaimana berkomunikasi;
e) siapa yang akan berkomunikasi;
f) bahasa yang digunakan untuk berkomunikasi.
7.4 Komunikasi
Organisasi menentukan kebutuhan akan komunikasi internal dan eksternal
yang terkait dengan SMAP.
Penjelasan
Komunikasi adalah proses kunci dalam SMAP dan, karenanya, manajemen
anti-penyuapan. Komunikasi yang memadai diperlukan dengan pihak
internal dan eksternal (lihat 4.2).
Komunikasi dapat dilakukan antara pihak-pihak yang berkepentingan
internal di semua tingkat organisasi atau antara organisasi dan pihak-pihak

7.4.2 Kebijakan anti-penyuapan harus dibuat tersedia untuk seluruh
personel organisasi dan rekan bisnis, dikomunikasikan secara langsung baik
pada personel dan rekan bisnis yang dapat menimbulkan risiko penyuapan
di atas batas rendah, dan harus dipublikasikan melalui saluran komunikasi
nternal dan eksternal jika sesuai.
yang berkepentingan eksternal. Komunikasi dapat dimulai di dalam
organisasi atau oleh pihak yang berkepentingan eksternal.
Organisasi perlu menentukan:
 konten mana yang perlu dikomunikasikan, mis. Kebijakan anti-
penyuapan
tujuan, prosedur, perubahan mereka, pengetahuan tentang risiko anti-
penyuapan, persyaratan kepada pemasok dan umpan balik mengenai
kinerja anti-penyuapan;
 titik waktu yang disukai atau optimal untuk aktivitas komunikasi;
 siapa yang harus dilibatkan dalam kegiatan komunikasi, dan yang
merupakan target audiens dari setiap usaha komunikasi;
 siapa yang harus memulai aktivitas komunikasi, mis. Konten tertentu
mungkin memerlukan komunikasi untuk diprakarsai oleh orang atau
organisasi tertentu; dan
 proses mana yang mendorong atau memulai aktivitas komunikasi, dan
proses mana yang menjadi sasaran atau dipengaruhi oleh aktivitas
komunikasi.
Komunikasi dapat berlangsung secara teratur atau tidak teratur. Bisa
proaktif atau reaktif.
Panduan
Komunikasi bergantung pada proses, saluran dan protokol. Ini harus dipilih
untuk memastikan pesan yang dikomunikasikan diterima secara integral,
dipahami dengan benar, dan bila relevan, dilakukan dengan tepat.

Organisasi harus menentukan konten mana yang perlu
dikomunikasikan, seperti:
a) rencana dan hasil pengelolaan risiko kepada pihak yang
berkepentingan sesuai kebutuhan dan sesuai, dalam identifikasi,
analisis, evaluasi, dan penanganan risiko;
b) tujuan anti-penyuapan;
c) mencapai tujuan yang direncanakan termasuk salah satu yang dapat
mendukung posisi orginasasi di mata pasar(misalnya sertifikat ISO /
IEC 37001: 2016 yang diberikan; mengklaim kesesuaian dengan
undang-undang yang berlaku);
d) insiden atau krisis, di mana transparansi sering menjadi kunci untuk
melestarikan dan meningkatkan kepercayaan dan kepercayaan
terhadap kemampuan organisasi untuk mengelola keamanannya dan
menghadapi situasi yang tidak terduga;
e) peran, tanggung jawab dan wewenang;
f) pertukaran informasi antara fungsi dan peran seperti yang
dipersyaratkan oleh proses SMAP;
g) perubahan pada SMAP;
h) hal-hal lain yang diidentifikasi dengan meninjau kontrol dan proses
dalam lingkup SMAP.
i) masalah (misalnya notifikasi insiden atau krisis) yang memerlukan
komunikasi ke badan pengatur atau pihak berkepentingan lainnya;
dan
j) permintaan atau komunikasi lain dari pihak luar seperti pelanggan,
pelanggan potensial, pengguna layanan dan pihak berwenang.

Untuk setiap masalah di mana organisasi berkomunikasi, ada pemicu yang
memulai komunikasi. Pemicu ini dapat mencakup acara, jadwal, perubahan,
dan langkah-langkah dalam proses bisnis.
Pertimbangan harus diberikan pada penugasan tanggung jawab dan
pendelegasian wewenang untuk berkomunikasi atas nama organisasi.
Organisasi harus mengidentifikasi persyaratan untuk komunikasi
mengenai isu-isu yang relevan:
k) siapa yang diizinkan untuk berkomunikasi secara eksternal dan
internal (misalnya dalam kasus khusus seperti pelanggaran data),
mengalokasikan peran tertentu dengan otoritas yang sesuai. Misalnya,
petugas komunikasi resmi dapat didefinisikan dengan kewenangan
yang sesuai. Mereka bisa menjadi petugas hubungan masyarakat
untuk komunikasi eksternal dan petugas keamanan untuk komunikasi
internal;
l) pemicu atau frekuensi komunikasi (misalnya untuk kejadian, pemicu
adalah identifikasi mereka; untuk beberapa jenis pelaporan, frekuensi
harus ditetapkan);
m) isi pesan untuk pihak yang berkepentingan utama (misalnya
pelanggan, regulator, masyarakat umum, pengguna internal penting)
berdasarkan skenario dampak tingkat tinggi. Komunikasi dapat lebih
efektif jika berdasarkan pada pesan yang disiapkan dan disetujui oleh
tingkat manajemen tertinggi sebagai bagian dari rencana komunikasi,
rencana respons insiden atau rencana kesinambungan bisnis;
n) penerima komunikasi yang dimaksud; Dalam beberapa kasus, daftar
harus dipelihara (misalnya untuk mengkomunikasikan perubahan
pada layanan atau krisis);

o) sarana dan saluran komunikasi. Komunikasi harus menggunakan
sarana dan saluran khusus, untuk memastikan bahwa pesan tersebut
resmi dan memiliki otoritas yang sesuai. Saluran komunikasi harus
menangani kebutuhan untuk melindungi kerahasiaan dan integritas
informasi yang dikirimkan; dan
p) proses yang dirancang dan metode untuk memastikan pesan dikirim
dan telah diterima dan dipahami dengan benar.
Komunikasi harus diklasifikasikan dan ditangani sesuai dengan persyaratan
organisasi.
diwajibkan dalam bentuk dan sejauh organisasi menentukan
seperlunya untuk efektivitas sistem manajemennya (lihat ISO/IEC
37001:2016 Clause 7.5.1 item b).
Informasi Tambahan
7.5 Informasi terdokumentasi
7.5.1 Umum
Sistem manajemen anti-penyuapanorganisasi harus mencakup:
a) informasi terdokumentasi yang disyaratkan oleh standar ini;
7.5 Informasi terdokumentasi
7.5.1 Umum
Organisasi tersebut memasukkan informasi terdokumentasi dalam SMAP
yang secara langsung dipersyaratkan oleh ISO / IEC 37001: 2016, dan juga
ditentukan oleh organisasi yang diperlukan untuk efektivitas SMAP.

b) informasi terdokumentasi yang ditentukan oleh organisasi yang
diperlukan untuk keefektifan sistem manajemen anti-penyuapan.
CATATAN 1 Jangkauan informasi terdokumentasi untuk sistem
manajemen anti-penyuapan bisa berbeda satu organisasi dengan yang lain
karena
— ukuran dan jenis aktivitas, proses, produk dan jasa organisasi;
— kerumitan proses dan interaksinya;
— kompetensi dari personel
CATATAN 2 Informasi terdokumentasi dapat disimpan secara terpisah
sebagai bagian dari sistem manajemen anti-penyuapan, atau dapat disimpan
sebagai bagian dari sistem manajemen lain (misal kepatuhan, keuangan,
komersial, audit dst).
7.5.2 Membuat dan memperbaharui
Ketika membuat dan memperbaharui informasi terdokumentasi organisasi
harus memastikan kesesuaian:
a) identifikasi dan deskripsi (misal judul, tanggal, penulis, atau nomor
referensi);
b) format (misal bahasa, versi piranti lunak, grafik) dan media (misal
kertas, elektronik);
c) tinjauan dan persetujuan untuk kesesuaian dan kecukupan.
Penjelasan
Informasi terdokumentasi diperlukan untuk mendefinisikan dan
mengkomunikasikan tujuan, kebijakan, pedoman, instruksi, kontrol, proses,
prosedur, dan apa yang diharapkan orang atau kelompok yang diharapkan
dan bagaimana perilaku tersebut diharapkan dapat berperilaku.
Informasi terdokumentasi juga diperlukan untuk audit SMAP dan untuk
mempertahankan SMAP yang stabil ketika orang-orang dalam peran kunci
berubah.
Selanjutnya, informasi terdokumentasi diperlukan untuk mencatat
tindakan, keputusan dan hasil proses SMAP dan kontrol anti-penyuapan.
Informasi terdokumentasi dapat berisi:
• informasi tentang tujuan, persyaratan dan standar;
• informasi tentang proses dan prosedur yang harus diikuti; dan
• catatan masukan (misalnya untuk tinjauan manajemen) dan hasil
proses (termasuk rencana dan hasil kegiatan operasional).
Oleh karena itu ada banyak aktivitas dalam SMAP yang menghasilkan
informasi terdokumentasi yang sering digunakan, sebagai masukan untuk
aktivitas lain.
ISO / IEC 37001: 2016 berisi persyaratan umum untuk efek bahwa
informasi terdokumentasi lainnya diperlukan jika diperlukan untuk
efektivitas SMAP. Secara total, informasi terdokumentasi dan wajib

7.5.3 Pengendalian informasi terdokumentasi
Informasi terdokumentasi yang dipersyaratkan oleh sistem manajemen anti-
penyuapan dan oleh dokumen ini harus dikendalikan untuk memastikan:
a) tersedia dan sesuai untuk digunakan, kapan dan dimana jika
diperlukan;
b) dilindungi secara cukup (misal dari kehilangan kerahasiaan,
penggunaan yang tidak sesuai, atau kehilangan integritas)
Untuk mengendalikan informasi terdokumentasi, organisasi harus
menunjukkan aktivitas berikut ini, jika berlaku:
— distribusi, akses, pengambilan dan penggunaan;
— penyimpanan dan preservasi, termasuk preservasi terhadap kemudahan
untuk membaca;
— pengendalian perubahan (misal pengendalian versi);
— penyimpanan dan pembuangan.
Informasi terdokumentasi yang berasal dari eksternal ditentukan oleh
organisasi diperlukan untuk merencanakan dan mengoperasikan sistem
manajemen anti-penyuapan harus diidentifikasi dengan sesuai, dan
dikendalikan.
tambahan berisi informasi yang cukup untuk memungkinkan persyaratan
evaluasi kinerja yang ditentukan dalam klausul 9 yang akan dilaksanakan.
Jumlah informasi terdokumentasi yang dibutuhkan sering dikaitkan dengan
ukuran organisasi.
Panduan
Organisasi harus menentukan informasi terdokumentasi apa yang
diperlukan untuk memastikan keefektifan SMAP di samping informasi
terdokumentasi yang dipersyaratkan oleh ISO / IEC 37001: 2016.
Informasi terdokumentasi harus ada agar sesuai dengan tujuannya.
Informasi yang faktual dan dan langsung ke tujuan adalah apa yang
dibutuhkan.
Contoh informasi terdokumentasi yang dapat ditentukan oleh organisasi
diperlukan untuk memastikan keefektifan SMAP adalah:
Hasil pendirian konteks (lihat klausul 4);
• peran, tanggung jawab dan wewenang (lihat klausul 5);
• laporan tentang fase pengelolaan risiko yang berbeda (lihat klausul
6);
• sumber daya yang ditentukan dan disediakan (lihat 7.1);
• kompetensi dan keterampilan yang diharapkan - deskripsi
pekerjaan - (lihat 7.2);
• perencanaan dan hasil klausul kegiatan penyadaran (lihat 7.3);
• perencanaan dan hasil kegiatan komunikasi (lihat 7.4);
• informasi terdokumentasi tentang asal luar yang diperlukan untuk
SMAP (lihat

CATATAN Akses dapat berarti keputusan tentang izin melihat informasi
terdokumentasi, atau izin dan wewenang untuk melihat serta merubah
informasi terdokumentasi.
• 7.5.3);
• memproses untuk mengendalikan informasi terdokumentasi (lihat
7.5.3);
• berbagai kebijakan, peraturan dan arahan untuk mengarahkan dan
mengoperasikan kegiatan anti-penyuapan;
• proses dan prosedur yang digunakan untuk menerapkan,
memelihara dan memperbaiki SMAP dan status anti-penyuapan
secara keseluruhan (lihat klausul 9);
• rencana aksi; dan
• bukti hasil proses SMAP (misalnya manajemen kejadian,
pengelolaan akses, anti-penyuapan, pemeliharaan peralatan, dll.).
Informasi terdokumentasi bisa berasal dari dalam atau luar
7.5.2 Membuat dan memperbarui
Saat membuat dan memperbarui informasi terdokumentasi, organisasi
memastikan identifikasi dan deskripsi, format dan media yang tepat, dan
review serta persetujuannya
Penjelasan
Organisasi mengidentifikasi secara rinci bagaimana informasi
terdokumentasi yang dibutuhkan terstruktur dengan baik dan
mendefinisikan pendekatan dokumentasi yang sesuai.
Review dan persetujuan oleh manajemen yang tepat memastikan bahwa
informasi terdokumentasi benar, sesuai untuk tujuan, dan dalam bentuk dan
detail yang memadai untuk khalayak yang dituju. Tinjauan rutin
memastikan kesesuaian dan kecukupan informasi terdokumentasi.

Panduan
Informasi terdokumentasi harus disimpan dalam bentuk apapun, mis.
Dokumen tradisional, baik dalam bentuk kertas maupun elektronik),
halaman web, database, log komputer, laporan yang dihasilkan komputer,
audio dan video, dan sebagainya. Informasi terdokumentasi harus terdiri
dari spesifikasi maksud (misalnya kebijakan anti-penyuapan) atau catatan
kinerja (Misalnya hasil audit) atau campuran keduanya.
Pedoman berikut ini berlaku langsung untuk dokumen tradisional yang
merupakan spesifikasi maksud, dan harus ditafsirkan dengan tepat bila
diterapkan pada bentuk informasi terdokumentasi lainnya.
Organisasi harus membuat perpustakaan informasi terstruktur yang
terdokumentasi, yang menghubungkan berbagai bagian informasi
terdokumentasi dengan:
a) menentukan struktur kerangka informasi terdokumentasi;
b) menentukan struktur standar informasi terdokumentasi;
c) menyediakan template untuk berbagai jenis informasi
terdokumentasi;
d) menentukan tanggung jawab untuk mempersiapkan, menyetujui,
menerbitkan dan mengelola informasi terdokumentasi; dan
e) menentukan dan mendokumentasikan revisi dan proses persetujuan
untuk memastikan terus menerus kesesuaian dan kecukupan.
Organisasi harus mendefinisikan pendekatan dokumentasi yang mencakup
atribut umum dari setiap dokumen, yang memungkinkan identifikasi yang

jelas dan unik. Atribut ini biasanya mencakup jenis dokumen (misalnya
kebijakan, petunjuk, aturan, pedoman, rencana, formulir, proses atau
prosedur), tujuan dan ruang lingkup, judul, tanggal publikasi, klasifikasi,
nomor referensi, nomor versi, dan riwayat revisi. Identifikasi penulis dan
orang yang saat ini bertanggung jawab atas dokumen, penerapan dan
evolusinya, serta wewenang pemberi persetujuan atau persetujuan harus
disertakan.
Persyaratan format dapat mencakup definisi bahasa dokumentasi, format
file, versi perangkat lunak yang sesuai untuk bekerja dengan mereka dan
konten grafis. Persyaratan media menentukan media fisik dan elektronik
mana yang tersedia.
Pernyataan dan gaya penulisan harus disesuaikan dengan khalayak dan
ruang lingkup dokumentasi.
Duplikasi informasi dalam informasi terdokumentasi harus dihindari dan
referensi silang yang digunakan daripada mereplikasi informasi yang sama
dalam dokumen yang berbeda.
Proses melalui pendekatan dokumentasi harus memastikan peninjauan tepat
waktu atas informasi terdokumentasi dan bahwa semua perubahan
dokumentasi dapat disetujui. Kriteria peninjauan yang sesuai dapat
disesuaikan dengan waktu (misalnya, periode waktu maksimum antara
ulasan dokumen) atau konten yang terkait. Kriteria persetujuan harus
didefinisikan, yang memastikan bahwa informasi terdokumentasi benar,
sesuai untuk tujuan, dan dalam bentuk dan detail yang memadai untuk
khalayak yang dituju.

Menghindari duplikasi informasi dalam informasi terdokumentasi, yang
berarti ada satu contoh dari sepotong informasi yang dirujuk agak
direplikasi dalam dokumen yang menggunakannya.
Pernyataan harus spesifik untuk audiens dan ruang lingkup, dan terkait
dengan tujuan dan tujuan dokumentasi.
Judul dan referensi harus dengan jelas menyebutkan jenis dokumen
(misalnya kebijakan, direktif, peraturan, pedoman, rencana, proses atau
prosedur), objek atau ruang lingkup (misalnya umum atau spesifik), dll. Di
dalam dokumen, tabel 'sejarah' singkat harus Menunjukkan perubahan versi
dan indikasi tentang apa saja yang telah berubah dan berkembang.
7.5.3 Pengendalian informasi terdokumentasi
Organisasi ini mengelola informasi terdokumentasi sepanjang siklus
hidupnya dan membuatnya tersedia kapan dan kapan dibutuhkan.
Penjelasan
Setelah disetujui, informasi terdokumentasi dikomunikasikan kepada
khalayak yang dituju sebagai relevan. Informasi terdokumentasi tersedia di
mana dan kapan diperlukan, sambil menjaga integritas, kerahasiaan, dan
relevansinya sepanjang keseluruhan siklus hidup.

Panduan
Perpustakaan informasi terdokumentasi terstruktur harus digunakan untuk
memfasilitasi akses terhadap informasi terdokumentasi.
Semua informasi terdokumentasi harus diklasifikasikan sesuai dengan
skema klasifikasi organisasi. Informasi terdokumentasi harus dilindungi
dan ditangani sesuai dengan tingkat klasifikasi (lihat ISO / IEC 37001: 2016
A.17).
Proses manajemen perubahan untuk informasi terdokumentasi harus
memastikan bahwa hanya orang yang berwenang memiliki hak untuk
mengubah dan mendistribusikannya sesuai kebutuhan melalui cara yang
tepat dan standar. Informasi terdokumentasi harus dilindungi untuk
memastikan validitas dan keasliannya
Perlindungan dokumen harus memastikan untuk tetap menjaga validitas
dan keasliannya. Informasi terdokumentasi harus didistribusikan dan
disediakan bagi pihak yang berkepentingan.
Untuk itu, organisasi harus membentuk pihak yang berkepentingan untuk
setiap informasi terdokumentasi (atau kelompok informasi
terdokumentasi), sesuai dengan klasifikasi mereka, dan sarana untuk
digunakan untuk distribusi, akses, pengambilan dan penggunaannya
(misalnya situs web dengan mekanisme kontrol akses yang sesuai ).
Distribusi harus sesuai dengan persyaratan yang terkait dengan
perlindungan dan penanganan informasi rahasia

Ketika perubahan pada informasi terdokumentasi dibuat, organisasi harus
mengkomunikasikannya kepada pihak yang berkepentingan. Untuk ini,
organisasi harus memutuskan cara yang paling tepat.
Organisasi harus menetapkan jangka waktu retensi yang sesuai untuk
informasi terdokumentasi sesuai dengan keabsahan dan persyaratan relevan
lainnya. Organisasi harus memastikan bahwa informasi dapat dibaca
selama periode retensinya (misalnya, dengan menggunakan format yang
dapat dibaca oleh perangkat lunak yang tersedia, atau memverifikasi bahwa
kertas tersebut tidak rusak).
Organisasi harus menetapkan apa yang harus dilakukan dengan informasi
terdokumentasi setelah periode retensinya telah berakhir.
Organisasi juga harus mengelola informasi terdokumentasi yang bersifat
eksternal (yaitu dari pelanggan, mitra, pemasok, badan pengatur, dsb.).
Perhatikan bahwa "sebagaimana berlaku" berarti bahwa jika kegiatan yang
diuraikan dalam ISO / IEC 37001: 2016, Klausul 7.5.3 dapat dilakukan dan
berguna, harus dilakukan. Informasi terdokumentasi tentang kegiatan ini
dan hasilnya hanya diwajibkan dalam bentuk dan sejauh organisasi
menentukan seperlunya untuk efektivitas sistem manajemennya (lihat ISO
/ IEC 37001: 2016 Clause 7.5.1 item b).
Informasi tambahan
Jika organisasi ingin mengelola informasi terdokumentasinya dalam sistem
pengelolaan dokumen, ini dapat dibangun sesuai dengan persyaratan dalam
ISO 30301 Informasi dan dokumentasi - Sistem manajemen untuk catatan

- Persyaratan. Untuk organisasi ukuran kecil, kumpulan dokumen yang
terbatas mungkin cukup memadai.
8 Operasi
8.1 Perencanaan dan pengendalian operasi
Organisasi harus merencanakan, menerapkan, meninjau dan
mengendalikan proses yang diperlukan untuk memenuhi persyaratan sistem
manajemen anti-penyuapan, dan untuk menerapkan tindakan yang
ditentukan dalam 6.1, dengan:
a) menentukan kriteria untuk proses;
b) menerapkan pengendalian proses sesuai dengan kriteria;
c) menyimpan informasi terdokumentasi pada jangkauan yang
diperlukan agar mempunyai keyakinan bahwa proses yang telah
dilakukan seperti yang direncanakan.
Proses harus mencakup pengendalian spesifik mengacu pada 8.2 sampai
dengan 8.10. Organisasi harus mengendalikan perubahan yang
direncanakan dan meninjau konsekuensi dari perubahan yang tidak
dimaksudkan, mengambil tindakan untuk mengurangi efek samping,
sebagaimana diperlukan. Organisasi harus memastikan bahwa proses alih
daya dikendalikan.
CATATAN Teks inti dari standar sistem manajemen ISO berisi
persyaratan yang terkait dengan alih daya, yang tidak digunakan dalam
8 Operasi
8.1 Perencanaan dan pengendalian operasional
Organisasi merencanakan, menerapkan dan mengendalikan proses untuk
memenuhi persyaratan anti-penyuapannya dan untuk mencapai tujuan anti-
penyuapannya.
Organisasi menyimpan informasi terdokumentasi seperlunya untuk
memiliki keyakinan bahwa proses dilakukan sesuai rencana.
Organisasi mengendalikan perubahan yang direncanakan dan meninjau
konsekuensi perubahan yang tidak diinginkan, dan memastikan bahwa
proses alih daya diidentifikasi, didefinisikan dan dikendalikan.
Penjelasan
Proses yang digunakan organisasi untuk memenuhi persyaratan anti-
penyuapannya direncanakan, dan setelah diterapkan, mereka dikendalikan,
terutama bila diperlukan perubahan.
Berdasarkan perencanaan (lihat draft ISO 37003 ) pada 6.1.1 butir d, 6.1.1
butir e, 6.1.2, 6.1.3 dan 6.2, organisasi melakukan perencanaan dan kegiatan
operasional yang diperlukan untuk melaksanakan proses yang diperlukan
untuk memenuhi persyaratan anti-penyuapan.

dokumen ini, sebagai penyedia alih daya termasuk dalam definisi rekan
bisnis. Proses untuk memenuhi persyaratan manajemen anti-penyuapan
meliputi:
a) proses SMAP (misalnya tinjauan manajemen, audit internal); dan
b) proses yang berasal dari item tindakan dalam rencana perawatan
risiko.
Implementasi rencana menghasilkan proses yang dioperasikan dan
dikendalikan.
Organisasi ini pada akhirnya tetap bertanggung jawab untuk merencanakan
dan mengendalikan proses alih daya untuk mencapai tujuan anti-
penyuapannya.
Dengan demikian organisasi perlu:
c) menentukan proses alih daya mengingat risiko anti-penyuapan
terkait dengan outsourcing; dan
d) memastikan bahwa proses alih daya dikendalikan (yaitu
direncanakan, dipantau dan ditinjau) dengan cara yang memberikan
kepastian bahwa mereka beroperasi sebagaimana mestinya (juga
mempertimbangkan tujuan anti-penyuapan dan rencana
penanganan risiko anti-penyuapan).
Setelah pelaksanaan selesai, proses dikelola, dipantau dan ditinjau ulang
untuk memastikan bahwa mereka terus memenuhi persyaratan yang
ditentukan dalam 4.2. Perubahan SMAP dalam operasi dapat direncanakan
atau terjadi tanpa disengaja. Kapan pun organisasi tersebut membuat

perubahan pada SMAP (sebagai akibat dari perencanaan atau tidak
disengaja), hal itu harus menilai konsekuensi potensial dari perubahan
untuk mengendalikan efek samping apa pun.
Organisasi dapat yakin tentang keefektifan pelaksanaan rencana dengan
mendokumentasikan kegiatan dan menggunakan informasi terdokumentasi
sebagai masukan terhadap proses evaluasi kinerja yang ditentukan dalam
pasal 9. Rumah sakit kemudian menetapkan informasi terdokumentasi yang
dibutuhkan agar tetap terjaga.
Panduan
Proses yang telah didefinisikan sebagai hasil perencanaan yang dijelaskan
dalam klausul 6 harus dilaksanakan, dioperasikan dan diverifikasi di
seluruh organisasi.
Berikut ini harus dipertimbangkan dan diterapkan:
e) proses yang spesifik untuk tata kelola anti-penyuapan (seperti
manajemen risiko, manajemen kejadian, manajemen kontinuitas,
audit internal, tinjauan manajemen);
f) proses yang berasal dari kontrol anti-penyuapan dalam rencana
perawatan risiko;
g) struktur pelaporan (isi, frekuensi, format, tanggung jawab, dll.) Di
dalam area anti-penyuapan, misalnya laporan kejadian, laporan
tentang pengukuran pemenuhan tujuan anti-penyuapan, laporan
kegiatan yang dilakukan, dll;
h) struktur rapat (frekuensi, peserta, tujuan dan otorisasi) di dalam area
anti-penyuapan. Kegiatan anti-penyuapan harus dikoordinasi oleh

perwakilan dari berbagai bagian organisasi dengan peran dan fungsi
pekerjaan yang relevan untuk pengelolaan area anti-penyuapan yang
efektif.
Untuk perubahan yang direncanakan, organisasi harus:
i) merencanakan pelaksanaannya dan menetapkan tugas, tanggung
jawab, tenggat waktu dan sumber daya;
j) menerapkan perubahan sesuai rencana;
k) memantau pelaksanaannya untuk memastikan pelaksanaannya sesuai
rencana; dan
l) mengumpulkan dan menyimpan informasi terdokumentasi tentang
pelaksanaan perubahan sebagai bukti bahwa mereka telah
dilaksanakan sesuai rencana (misalnya dengan tanggung jawab,
tenggat waktu, evaluasi efektivitas).
Untuk perubahan yang tidak diinginkan,
organisasi harus mengamati:
m) meninjau konsekuensinya;
n) menentukan apakah ada efek buruk yang telah terjadi atau
dapat terjadi di masa depan;
o) merencanakan dan melaksanakan tindakan untuk
mengurangi dampak buruk yang diperlukan; dan
p) mengumpulkan dan menyimpan informasi terdokumentasi
tentang perubahan dan tindakan yang tidak disengaja yang
diambil untuk mengurangi dampak buruk.

Jika bagian dari fungsi atau proses organisasi diserahkan ke
pemasok(Outsorcing), organisasi harus:
q) menentukan semua hubungan outsourcing;
r) membuat antarmuka(interface) yang sesuai dengan pemasok;
s) menangani masalah anti-penyuapan terkait dalam kesepakatan
pemasok;
t) memantau dan meninjau kembali layanan pemasok untuk
memastikan bahwa mereka beroperasi sebagaimana dimaksud dan
risiko anti-penyuapan terkait memenuhi kriteria penerimaan risiko
organisasi; dan
u) mengelola perubahan pada layanan pemasok jika diperlukan.
Informasi tambahan
8.2 Uji kelayakan
Bila penilaian risiko penyuapan di organisasi dilaksanakan sesuai 4.5, telah
dinilai risiko penyuapan di atas batas rendah yang berhubungan dengan:
a) kategori spesifik dari transaksi, proyek atau aktivitas,
b) hubungan terencana atau yang sedang berjalan dengan kategori
spesifik dari rekan bisnis, atau
c) kategori spesifik dari personel pada posisi tertentu (lihat 7.2.2.2),
organisasi harus menilai sifat dan tingkatan risiko penyuapan
sehubungan dengan transaksi, proyek, aktivitas, rekan bisnis yang
8.2 Uji kelayakan
Organisasi melakukan penilaian risiko anti-penyuapan.
Penjelasan
Saat melakukan penilaian risiko anti-penyuapan, organisasi menjalankan
proses yang didefinisikan dalam 6.1.2. Penilaian ini dilaksanakan sesuai
dengan jadwal yang ditetapkan sebelumnya, atau sebagai tanggapan atas
perubahan signifikan atau insiden penyuapan.

spesifik dan personel yang termasuk dalam kategori tersebut.
Penilaian ini harus mencakup setiap uji kelayakan yang diperlukan
untuk memperoleh informasi yang cukup untuk menilai risiko
penyuapan. Uji kelayakan harus diperbaharui pada frekuensi yang
ditentukan sehingga perubahan dan informasi baru dapat
diperhitungkan dengan sebaik-baiknya.
CATATAN 1 Organisasi dapat menyimpulkan bila hal tersebut tidak perlu,
tidak wajar atau tidak proporsional untuk melakukan uji kelayakan pada
kategori tertentu terhadap personel dan rekan bisnis.
CATATAN 2 Faktor yang tercantum pada a), b) dan c) diatas tidak
lengkap.
Hasil penilaian risiko anti-penyuapan disimpan dalam informasi
terdokumentasi sebagai bukti bahwa proses di 6.1.2 telah dilakukan
sebagaimana didefinisikan. Informasi terdokumentasi dari penilaian risiko
anti-penyuapan sangat penting untuk penanganan risiko anti-penyuapan
dan sangat berharga untuk evaluasi kinerja (lihat butir 9).
Panduan
Organisasi harus memiliki rencana untuk melakukan penilaian risiko anti-
penyuapan terjadwal.
Bila ada perubahan signifikan dari SMAP (atau konteksnya) atau insiden
anti-penyuapan yang telah terjadi, organisasi harus menentukan:
a) mana dari perubahan atau insiden ini memerlukan penilaian risiko
anti-penyuapan tambahan; dan
b) bagaimana penilaian ini dipicu.
Tidak disarankan agar identifikasi risiko terlalu rinci dalam siklus pertama
penilaian risiko. Memiliki gambaran yang tinggi namun gambaran yang
jelas tentang situasi risiko anti-penyuapan jauh lebih baik daripada tidak
memiliki gambar sama sekali. Tingkat detail harus disempurnakan
selangkah demi selangkah dalam iterasi lebih lanjut dalam konteks
perbaikan SMAP yang terus-menerus. Penilaian risiko anti-penyuapan
yang luas harus dilakukan minimal setahun sekali.
Organisasi harus mengacu pada panduan untuk melakukan penilaian
risiko keamanan informasi (anti-penyuapan) yang diberikan dalam
ISO / IEC 27005.

Informasi tambahan
8.3 Pengendalian keuangan
Organisasi harus menerapkan pengendalian keuangan yang mengelola
risiko penyuapan.
CATATAN Lihat Klausul A.11 sebagaipanduan
8.3 Pengendalian keuangan
Lihat Klausul A.11 pada ISO/IEC 37001-2016 sebagaipanduan
8.4 Pengendalian non keuangan
Organisasi harus menerapkan pengendalian non keuangan untuk mengelola
risiko penyuapan yang berhubungan dengan area seperti aktivitas
pengadaan, operasional, penjualan, komersial, sumber daya manusia,
hukum dan regulasi.
CATATAN 1 Pada setiap transaksi, aktivitas atau hubungan tertentu dapat
dikenakan pengendalian pada keuangan maupun non keuangan.
8.4 Pengendalian non keuangan
Lihat Klausul A.12 pada ISO/IEC 37001-2016 sebagaipanduan
8.5 Penerapan pengendalian anti-penyuapan yang dikendalikan
organisasi dan rekan bisnisnya
8.5.1 Organisasi harus menerapkan prosedur yang disyaratkan untuk
organisasi lainnya yang dikendalikan untuk:
8.5 Penerapan pengendalian anti-penyuapan yang dikendalikan
organisasi dan rekan bisnisnya
Organisasi menentukan opsi penanganan risiko anti-penyuapan,
merumuskan dan menerapkan rencana penanganan risiko anti-penyuapan.

a) menerapkan sistem manajemen anti-penyuapan; atau
b) menerapkan pengendalian anti-penyuapan mereka sendiri, dalam
setiap hal hanya sebatas yang wajar dan proporsional dan
mempunyai hubungan dengan risiko penyuapan yang dihadapi
organisasi, dikendalikan, dengan mempertimbangkan penilaian
risiko penyuapan yang dilakukan sesuai dengan 4.5.
CATATAN Organisasi memiliki kendali atas organisasi lain jika langsung
atau tidak langsung mengendalikan manajemen dari organisasi (lihat
A.13.1.3).
8.5.2 Sehubungan dengan rekan bisnis yang tidak dikendalikan oleh
organisasi yang penilaian risiko penyuapan (lihat 4.5) atau uji kelayakan
(lihat 8.2) telah mengidentifikasi risiko penyuapan di atas batas rendah, dan
dimana kendali anti-penyuapan dilaksanakan oleh rekan bisnis akan
membantu mengurangi risiko penyuapan yang relevan, organisasi harus
menerapkan prosedur sebagai berikut:
a) organisasi harus menentukan apakah ekan bisnis telah mempunyai
pengendalian anti-penyuapan yang mengelola risiko penyuapan
yang relevan;
b) di mana rekan bisnis tidak mempunyai pengendalian anti-
penyuapan, atau tidak mungkin untuk memeriksa apakah
pengendalian sudah ada :
1) bila dapat diterapkan, organisasi harus mensyaratkan rekan
bisnis melaksanakan pengendalian anti-penyuapan sehubungan
dengan transaksi, proyek atau aktivitas yang relevan, atau
Penjelasan
Untuk mengatasi risiko, organisasi perlu melakukan proses penanganan
risiko yang didefinisikan dalam 6.1.3. Sebagai bagian dari kegiatan ini,
rencana perawatan risiko dibuat dan dilaksanakan.
Hasil penanganan risiko anti-penyuapan disimpan dalam informasi
terdokumentasi sebagai bukti bahwa proses pada 6.1.3 telah dilakukan
sebagaimana didefinisikan.
Panduan
Proses penanganan risiko anti-penyuapan harus dilakukan setelah setiap
iterasi proses pengkajian anti-penyuapan di 8.2 atau saat pelaksanaan
rencana perawatan atau bagian kegagalannya gagal.
Kegiatan ini mendorong dan memantau kemajuan pelaksanaan rencana
perawatan risiko.
Perhatian khusus harus diberikan pada penentuan kontrol anti-penyuapan
yang diperlukan. Setiap kontrol harus ditentukan berdasarkan risiko anti-
penyuapan yang telah dinilai sebelumnya.
Jika sebuah organisasi memiliki penilaian risiko anti-penyuapan yang
buruk, ia memiliki dasar yang buruk mengenai pilihan kontrol anti-
penyuapan.
Penentuan kontrol yang tepat memastikan:
a) semua kontrol yang diperlukan disertakan, dan tidak ada kontrol yang
tidak perlu dipilih; dan

2) jika tidak dapat diterapkan, mensyaratkan rekan bisnis
melaksanakan pengendalian anti-penyuapan, hal ini harus
menjadi faktor yang diperhitungkan dalam mengevaluasi risiko
penyuapan yang berhubungan dengan rekan bisnis ini (lihat 4.5
dan 8.2) dan cara di mana organisasi mengelola risiko tersebut
(lihat 8.3, 8.4 dan 8.5).
b) desain kontrol yang diperlukan memenuhi luas dan kedalaman yang
diperlukan.
Sebagai konsekuensi dari pilihan kontrol yang buruk, penanganan
risiko anti-penyuapan yang diusulkan dapat dilakukan:
c) tidak efektif; dan
d) tidak efisien dan karenanya tidak tepat mahal.
Untuk memastikan bahwa penanganan risiko anti-penyuapan efektif dan
efisien, oleh karena itu penting untuk dapat menunjukkan hubungan dari
kontrol yang diperlukan kembali ke hasil penilaian risiko dan proses
perawatan risiko.
Pertimbangkan pencurian ponsel. Konsekuensinya adalah hilangnya
ketersediaan dan pengungkapan informasi yang tidak diinginkan.
Untuk memodifikasi kemungkinan mengurangi kerentanan, organisasi
harus menerapkan kebijakan perangkat seluler dan melatih semua
pengguna.
Untuk memodifikasi kemungkinan mengurangi konsekuensi, organisasi
dapat menerapkan:
 proses manajemen kejadian sehingga pengguna dapat melaporkan
kerugiannya;
 Mobile Device Management (MDM) untuk menghapus isi telepon jika
hilang;
 rencana cadangan perangkat mobile untuk memulihkan konten telepon.

Catatan: Jika MDM ditentukan sebagai kontrol yang diperlukan
dalam rencana perawatan risiko organisasi, hal itu harus disertakan
dalam SOA (lihat 6.1.3 item d).
Informasi tambahan
8.6 Komitmen anti-penyuapan
Untuk rekan bisnis yang menimbulkan risiko penyuapan di atas batas
rendah, organisasi harus melaksanakan prosedur yang mensyaratkan, hal itu
sedapat mungkin:
a) rekan bisnis berkomitmen untuk mencegah penyuapan oleh atau
atas nama atau untuk keuntungan rekan bisnis sehubungan dengan
transaksi, proyek, aktivitas, atau hubungan yang relevan;
b) organisasi mampu untuk mengakhiri hubungan dengan rekan bisnis
di mana ada penyuapan oleh atau atas nama atau untuk keuntungan
rekan bisnis sehubungan dengan transaksi, proyek, aktivitas, atau
hubungan yang relevan.
Bila tidak dapat diterapkan untuk memenuhi persyaratan a) atau b) di atas,
hal ini harus menjadi suatu faktor yang diperhitungkan dalam mengevaluasi
risiko penyuapan dari hubungan dengan rekan bisnis (lihat 4.5 dan 8.2) dan
cara di mana organisasi mengelola risiko tersebut (lihat 8.3, 8.4 dan 8.5).
8.6 Komitmen anti-penyuapan
Lihat Klausul A.14 pada ISO/IEC 37001-2016 , Klausal 5.1, dan Klausul
A.14 sebagai panduan

8.7 Hadiah, kemurahan hati, sumbangan dan keuntungan serupa
Organisasi harus menerapkan prosedur yang dirancang untuk mencegah
tawaran, penyediaan atau penerimaan hadiah, kemurahan hati, sumbangan
dan keuntungan serupa, di mana tawaran, penyediaan atau penerimaan
adalah atau layak dapat dianggap sebagai penyuapan.
8.7 Hadiah, kemurahan hati, sumbangan dan keuntungan serupa
Lihat Klausul A.15 sebagai panduan
8.8 Mengelola ketidakcukupan pengendalian anti-penyuapan
Ketika uji kelayakan (lihat 8.2) dilakukan pada transaksi, proyek, aktivitas
tertentu atau hubungan dengan rekan bisnis menentukan bahwa risiko
penyuapan tidak dapat dikelola oleh pengendalian anti-penyuapan yang
ada, dan organisasi tidak dapat atau tidak ingin menerapkan tambahan atau
peningkatan pengendalian anti-penyuapan atau mengambil tindakan yang
tepat lainnya (seperti mengubah sifat transaksi, proyek, aktivitas atau
hubungan) agar organisasi dapat mengelola risiko penyuapan yang relevan,
organisasi harus:

a) dalam hal transaksi, proyek, aktivitas atau hubungan yang ada,
ambil tindakan sesuai terhadap risiko penyuapan dari sifat
transaksi, proyek, aktivitas atau hubungan untuk mengakhiri,
menghentikan, menunda atau menarik secepat yang bisa dilakukan;
b) dalam hal pengusulan transaksi, proyek, aktivitas atau hubungan
baru, tunda atau tolak untuk melanjutkan.
8.9 Meningkatkan kepedulian
Organisasi harus menerapkan prosedur yang:
a) mendorong dan membuat orang untuk melaporkan dengan itikad
baik atau atas dasar keyakinan terhadap percobaan, kecurigaan dan
penyuapan aktual, atau setiap pelanggaran dari atau kelemahan
dalam sistem manajemen anti-penyuapan, kepada fungsi kepatuhan
anti-penyuapan atau kepada personel yang tepat (baik secara
langsung atau melalui pihak ketiga yang tepat);
b) kecuali untuk keperluan lanjut bagi kemajuan suatu penyelidikan,
mensyaratkan organisasi memperlakukan
c) laporan secara rahasia untuk melindungi identitas pelapor dan
orang lain yang terlibat atau direferensikan dalam laporan;
d) mengizinkan pelaporan tanpa nama;
e) melarang pembalasan, dan melindungi mereka yang membuat
laporan dari pembalasan, setelah memiliki itikad baik atau atas
8.9 Meningkatkan kepedulian
Pendekatan yang dilakukan akan tergantung pada pendekatan yang diambil
oleh organisasi terhadap pelatihan dan kesadaran, yang dibahas lebih rinci
pada klausal 7.3 rancangan ISO 37003 ini.

dasar dari keyakinan yang wajar, mengangkat atau melaporkan
suatu upaya tentang percobaan, dugaan atau penyuapan atau
pelanggaran kebijakan anti-penyuapan atau sistem manajemen
anti-penyuapan;
f) membuat personel untuk menerima saran dari orang yang tepat
tentang apa yang harus dilakukan jika dihadapkan pada upaya atau
situasi yang dapat melibatkan penyuapan.
Organisasi harus memastikan bahwa semua personel peduli tentang
prosedur pelaporan, dan mampu menggunakannya, dan peduli akan hak dan
perlindungan sesuai prosedur.
CATATAN 1 Prosedur ini dapat sama seperti, atau bagian bentuk dari,
yang digunakan untuk pelaporan isu lain dari kepedulian (misal
keselamatan, malpraktik, pengerjaan yang keliru atau risiko serius lain).
CATATAN 2 Organisasi dapat menggunakan rekan bisnis untuk
mengelola sistem pelaporan atas nama organisasi
CATATAN 3 Dalam beberapa yurisdiksi, persyaratan b) dan c) di atas
dilarang secara peraturan perundang-undangan. Dalam hal ini, dokumen
organisasi tidak mampu memenuhi.
8.10 Investigasi dan penanganan
Penyuapan
Organisasi harus menerapkan prosedur yang:

a) mensyaratkan penilaian dan, jika sesuai, investigasi dari setiap
penyuapan, atau pelanggaran dari kebijakan anti-penyuapan atau
dari sistem manajemen anti-penyuapan, yang dilaporkan, terdeteksi
atau layak diduga;
b) mensyaratkan tindakan yang tepat ketika investigasi mengungkap
setiap penyuapan, atau pelanggaran terhadap kebijakan anti-
penyuapan atau sistem manajemen anti-penyuapan;
c) memberdayakan dan membolehkan penyelidik;
d) mensyaratkan kerjasama dalam investigasi oleh personel yang
relevan;
e) mensyaratkan status dan hasil investigasi dilaporkan kepada fungsi
kepatuhan anti-penyuapan dan fungsi kepatuhan lainnya, jika
sesuai;
f) mensyaratkan investigasi dilakukan secara rahasia dan hasil
investigasi adalah rahasia.
Investigasi harus dilaksanakan oleh, dan dilaporkan kepada, personel yang
bukan bagian dari peran atau fungsi yang sedang diinvestigasi. Organisasi
dapat menunjuk rekan bisnis untuk melaksanakan investigasi dan
melaporkan hasilnya kepada personel yang bukan bagian dari peran atau
fungsi yang sedang diinvestigasi.

9 Evaluasi kinerja
9.1 Pemantauan, pengukuran, analisis dan evaluasi
Organisasi harus menentukan:
a) apa yang dibutuhkan untuk dipantau dan diukur;
b) siapa yang bertanggung jawab untuk pemantauan;
c) metode untuk pemantauan, pengukuran, analisis dan evaluasi, jika
berlaku, untuk memastikan hasil yang valid;
d) kapan pemantauan dan pengukuran harus dilakukan;
e) kapan hasil dari pemantauan dan pengukuran harus dianalisis dan
dievaluasi;
f) kepada siapa dan bagaimana informasi ini harus dilaporkan.
Organisasi harus menyimpan informasi terdokumentasi yang sesuai sebagai
bukti dari metode dan hasil. Organisasi harus mengevaluasi kinerja anti-
penyuapan dan keefektifan serta efisiensi dari sistem manajemen anti-
penyuapan
9 Evaluasi kinerja
9.1 Pemantauan, pengukuran, analisis dan evaluasi
Organisasi mengevaluasi kinerja anti-penyuapan dan efektivitas SMAP.
Penjelasan
Tujuan pemantauan dan pengukuran adalah untuk membantu organisasi
menilai apakah hasil yang diharapkan dari kegiatan anti-penyuapan
termasuk penilaian risiko dan penanganan dicapai sesuai rencana.
Pemantauan menentukan status suatu sistem, suatu proses atau aktivitas,
sementara pengukuran adalah suatu proses untuk menentukan suatu nilai.
Jadi orang mungkin menganggap pemantauan sebagai serangkaian
pengukuran serupa selama beberapa periode waktu
Untuk pemantauan dan pengukuran, organisasi
menetapkan:
a) apa yang harus dipantau;
b) metode yang akan digunakan sehingga
menghasilkan hasil yang valid (yaitu sebanding dan
dapat direproduksi).
c) siapa dan kapan yang memantau dan mengukur, siapa dan kapan yang
menganalisis dan mengevaluasi hasil; dan yang bertanggung jawab
untuk pemantauan dan pengukuran dan juga untuk analisis dan evaluasi
sering dilakukan untuk memisahkan orang-orang dari siapa yang
memiliki kompetensi yang berbeda dibutuhkan.

Ada dua aspek evaluasi:
a) evaluasi kinerja anti-penyuapan, yang mencakup penentuan seberapa
baik proses di dalam SMAP memenuhi spesifikasi mereka; dan
b) mengevaluasi keefektifan SMAP, yang mencakup penentuan sejauh
mana tujuan anti-penyuapan tercapai.
Kedua aspek evaluasi ini dibagi menjadi:
c) menentukan apakah organisasi sedang berjalan sesuai harapan,
d) menentukan apakah organisasi melakukan hal yang benar atau tidak.
Panduan
Sebelum memulai kegiatan pemantauan atau pengukuran, organisasi harus
mendefinisikan 'penyuapan'. Dengan kata lain, pemantauan dan pengukuran
hanya dilakukan untuk mencapai kebutuhan yang ditetapkan.
Ada dua jenis pengukuran umum:
a) pengukuran kinerja, yang mengungkapkan hasil yang direncanakan
dalam hal karakteristik kegiatan yang direncanakan, seperti jumlah
kepala, pencapaian tonggak, atau sejauh mana kontrol anti-penyuapan
dilaksanakan; dan
b) pengukuran efektivitas, yang mengungkapkan hasil yang direncanakan
dalam hal akibatnya realisasi kegiatan yang direncanakan untuk
mencapai tujuan anti-penyuapan organisasi.

Dalam organisasi yang besar, dapat dilakukan untuk menetapkan peran dan
tanggung jawab, seperti perencana pengukuran: orang atau unit organisasi
yang mendefinisikan konstruksi pengukuran yang menghubungkan atribut
terukur dengan kebutuhan informasi tertentu.
Informasi tambahan
Informasi lebih lanjut dapat ditemukan di ISO / IEC 27004 - Teknologi
informasi - Teknik keamanan - Manajemen anti-penyuapan - Monitoring,
pengukuran, analisis dan evaluasi, yang memberikan panduan untuk
memenuhi persyaratan ISO / IEC 37001: 2016 Klausal 9.1. Secara khusus,
ini memperluas semua konsep yang disebutkan di atas (seperti peran dan
tanggung jawab, dan bentuk) dan memberi banyak contoh
9.2 Audit internal
9.2.1 Organisasi harus melaksanakan audit internal pada rentang waktu
yang direncanakan untuk menyediakan informasi apakah sistem
manajemen anti-penyuapan:
a) memenuhi untuk:
1) persyaratan organisasi itu sendiri untuk sistem manajemen anti-
penyuapan;
2) persyaratan dari standar ini;
b) secara efektif diterapkan dan dipelihara.
9.2 Audit internal
Organisasi melakukan audit internal untuk memberikan informasi tentang
kesesuaian SMAP dengan persyaratan.
Penjelasan
Mengevaluasi SMAP pada interval yang direncanakan melalui audit
internal memberikan kepastian status SMAP kepada manajemen puncak.
Audit ditandai oleh sejumlah prinsip: integritas; Presentasi yang adil;
Karena perawatan profesional; Kerahasiaan; kemerdekaan; Dan
pendekatan berbasis bukti (lihat ISO 19011 - Pedoman untuk mengaudit
sistem manajemen).

CATATAN 1 Panduan sistem manajemen audit dapat diperoleh dari ISO
19011.
CATATAN 2 Lingkup dan skala aktivitas audit internal dari sebuah
organisasi dapat bervariasi tergantung dari berbagai faktor termasuk
ukuran, struktur, kematangan dan lokasi organisasi
9.2.2 Organisasi harus:
a) merencanakan, menetapkan, menerapkan dan memelihara program
audit, termasuk frekuensi, metode, tanggung jawab, persyaratan
perencanaan dan pelaporan, yang harus mempertimbangkan
pentingnya proses dimaksud dan hasil dari audit sebelumnya;
b) menentukan kriteria dan lingkup audit untuk setiap audit;
c) memilih auditor yang kompeten dan melaksanakan audit untuk
memastikan objektivitas dan ketidak berpihakan dari proses audit;
d) memastikan hasil audit dilaporkan pada manajemen yang relevan,
fungsi kepatuhan anti-penyuapan, manajemen puncak, jika sesuai,
dewan pengarah (jika ada);
e) menyimpan informasi terdokumentasi sebagai bukti penerapan
program audit dan hasil audit.
Audit internal memberikan informasi apakah SMAP sesuai dengan
"persyaratan organisasi " untuk SMAP serta persyaratan dalam ISO / IEC
37001: 2016.
Persyaratan organisasi sendiri meliputi:
a) persyaratan yang tercantum dalam kebijakan dan prosedur anti-
penyuapan;
b) persyaratan yang dihasilkan oleh kerangka kerja untuk menetapkan
anti-penyuapan, termasuk hasil dari proses perawatan risiko;
c) persyaratan hukum dan kontrak; dan
d) persyaratan pada informasi terdokumentasi.
Auditor juga mengevaluasi apakah SMAP dilaksanakan dan dipelihara
secara efektif.
Program audit menggambarkan keseluruhan kerangka kerja untuk satu set
audit, direncanakan untuk jangka waktu tertentu dan diarahkan pada tujuan
tertentu. Ini berbeda dengan rencana audit, yang menggambarkan kegiatan
dan pengaturan untuk audit tertentu.
Kriteria audit adalah seperangkat kebijakan, prosedur atau persyaratan
yang digunakan sebagai acuan untuk membandingkan bukti audit, yaitu
kriteria audit yang menggambarkan apa yang diharapkan auditor.
Audit internal dapat menemukan ketidaksesuaian, risiko dan peluang.
Ketidaksesuaian dikelola sesuai persyaratan pada 10.1. Resiko dan peluang

9.2.3 Audit harus wajar, proposional dan berbasis risiko. Audit ini harus
terdiri dari proses audit internal atau prosedur lain yang meninjau prosedur,
pengendalian dan sistem untuk:
a) penyuapan atau dugaan penyuapan ;
b) pelanggaran terhadap kebijakan anti-penyuapan atau persyaratan
sistem manajemen anti-penyuapan;
c) kegagalan rekan bisnis untuk memenuhi persyaratan anti-
penyuapan yang berlaku di organisasi; dan
d) kelemahan dalam, atau peluang untuk peningkatan pada sistem
manajemen anti-penyuapan.
9.2.4 Untuk memastikan objektivitas dan ketidak berpihakan dari program
audit, organisasi harus memastikan audit dilakukan oleh:
a) fungsi yang mandiri atau penetapan personel atau yang ditunjuk
untuk proses ini; atau
b) fungsi kepatuhan anti-penyuapan (kecuali lingkup audit mencakup
evaluasi sistem manajemen anti-penyuapan itu sendiri, atau
pekerjaan serupa dimana fungsi epatuhan anti-penyuapan
bertanggung jawab); atau
c) orang yang tepat dari departemen atau fungsi yang lain dari yang
sedang diaudit; atau
d) pihak ketiga yang sesuai; atau
dikelola sesuai persyaratan 4.1 dan 6.1 sebagai tindakan preventif atau
perbaikan.
Organisasi diharuskan untuk menyimpan informasi terdokumentasi tentang
program audit dan hasil audit.
Panduan
Mengelola program audit
Program audit mendefinisikan struktur dan tanggung jawab untuk
merencanakan, melaksanakan, melaporkan dan menindaklanjuti kegiatan
audit individual. Oleh karena itu, harus memastikan bahwa audit yang
dilakukan sesuai, memiliki cakupan yang tepat, meminimalkan dampak
pada operasi organisasi dan menjaga kualitas audit yang diperlukan.
Program audit juga harus memastikan kompetensi tim audit, pemeliharaan
catatan audit yang sesuai, dan pemantauan dan review terhadap operasi,
risiko dan efektivitas audit. Selanjutnya, program audit harus memastikan
bahwa ABMS (yaitu semua proses, fungsi dan kontrol yang relevan) diaudit
dalam jangka waktu tertentu. Akhirnya, program audit harus mencakup
informasi terdokumentasi tentang jenis, durasi, lokasi, dan jadwal audit.
Tingkat dan frekuensi audit internal harus didasarkan pada ukuran dan sifat
organisasi serta sifat, fungsionalitas, kompleksitas dan tingkat kematangan
ABMS (audit berbasis risiko).
Efektivitas pengendalian yang diimplementasikan harus diperiksa dalam
ruang lingkup audit internal. Program audit harus dirancang untuk

e) suatu grup yang terdiri dari a) sampai d). Organisasi harus
memastikan tidak ada auditor yang mengaudit lingkup kerjanya
sendiri.
memastikan cakupan semua kontrol yang diperlukan dan harus mencakup
evaluasi efektivitas kontrol yang dipilih dari waktu ke waktu. Kontrol kunci
(sesuai dengan program audit) harus disertakan dalam setiap audit
sedangkan kontrol yang diterapkan untuk mengelola risiko yang lebih
rendah mungkin diaudit lebih jarang.
Program audit juga harus mempertimbangkan bahwa proses dan kontrol
seharusnya sudah berjalan selama beberapa waktu untuk memungkinkan
evaluasi bukti yang sesuai.
Audit internal mengenai SMAP dapat dilakukan secara efektif sebagai
bagian dari, atau bekerjasama dengan, audit internal lainnya terhadap
organisasi. Program audit dapat mencakup audit yang terkait dengan satu
atau lebih standar sistem manajemen, baik secara terpisah maupun
kombinasi.
Program audit harus mencakup informasi terdokumentasi tentang: kriteria
audit; Metode audit; Pemilihan tim audit; Proses penanganan kerahasiaan,
anti-penyuapan, kesehatan dan keselamatan kerja, dan hal-hal serupa
lainnya.
Kompetensi dan evaluasi auditor
Mengenai kompetensi dan evaluasi auditor, organisasi harus:
e) mengidentifikasi persyaratan kompetensi untuk auditor
internalnya;
f) memilih auditor internal atau eksternal dengan kompetensi
yang sesuai;

g) memiliki proses untuk memantau kinerja auditor internal
dan tim audit; dan
h) memasukkan personil pada tim audit internal yang memiliki
pengetahuan spesifik dan keamanan spesifik sektor yang
sesuai.
Auditor harus dipilih mengingat mereka harus kompeten,
independen, dan cukup terlatih auditor.
Memilih auditor internal bisa sulit bagi perusahaan kecil. Jika
sumber daya dan kompetensi yang diperlukan tidak tersedia
secara internal, auditor eksternal harus ditunjuk. Ketika
organisasi menggunakan auditor eksternal, mereka harus
memastikan bahwa mereka memiliki atau memperoleh
pengetahuan yang cukup tentang konteks organisasi. Informasi
ini harus dipasok oleh staf internal.
Organisasi harus mempertimbangkan bahwa pegawai internal yang
bertindak sebagai auditor internal dapat melakukan audit terperinci
mengingat konteks organisasi, namun mungkin tidak memiliki cukup
pengetahuan tentang melakukan audit.
Organisasi kemudian harus mengenali karakteristik dan potensi kekurangan
auditor internal vs. eksternal dan membentuk tim audit yang sesuai dengan
pengetahuan dan kompetensi yang diperlukan.
Melakukan audit

Saat melakukan audit, pimpinan tim audit harus menyiapkan rencana audit
dengan mempertimbangkan hasil audit sebelumnya dan kebutuhan untuk
menindaklanjuti ketidaksesuaian yang dilaporkan sebelumnya dan risiko
yang tidak dapat diterima.
Perencanaan oleh audit harus disimpan sebagai informasi
terdokumentasi dan harus mencakup kriteria, ruang lingkup dan
metode audit.
Tim audit harus meninjau:
- kecukupan dan efektivitas proses dan pengendalian yang ditentukan;
- pemenuhan tujuan anti-penyuapan;
- kepatuhan terhadap persyaratan yang ditetapkan dalam ISO / IEC
37001: 2016 Klausul 4 sampai 10;
- Mematuhi persyaratan anti-penyuapan organisasi itu sendiri; -
konsistensi Pernyataan Penerapan terhadap hasil penilaian risiko anti-
penyuapan;
- penanganan risiko harus sesuai dengan risiko yang teridentifikasi dan
kriteria penerimaan risiko;
- relevansi (mempertimbangkan ukuran dan kompleksitas organisasi)
masukan dan keluaran tinjauan manajemen;
- dampak hasil tinjauan manajemen (termasuk kebutuhan perbaikan)
terhadap organisasi; dan
- Struktur manajemen organisasi.

Jika organisasi memiliki proses pemantauan dan pengukuran yang efektif
(dalam hal perluasan dan keandalan), tim audit dapat mempertimbangkan
untuk mengurangi upaya pengujiannya sendiri.
Tingkat dan keandalan pemantauan yang tersedia mengenai efektivitas
pengendalian yang dihasilkan oleh ABMS (lihat 9.1) dapat memungkinkan
auditor untuk mengurangi upaya evaluasi mereka sendiri, asalkan mereka
telah mengkonfirmasi keefektifan metode pengukuran.
Jika hasil audit mencakup ketidaksesuaian, audit harus menyiapkan satu
rencana tindakan untuk setiap ketidaksesuaian untuk disepakati dengan
pemimpin tim audit.
Tindak lanjut rencana aksi biasanya meliputi:
i) deskripsi ketidaksesuaian yang terdeteksi;
j) deskripsi penyebab ketidaksesuaian;
k) deskripsi koreksi jangka pendek dan tindakan korektif jangka panjang
untuk menghilangkan ketidaksesuaian yang terdeteksi dalam
kerangka waktu yang ditentukan; Dan
l) orang-orang yang bertanggung jawab untuk melaksanakan rencana
tersebut.
Auditor harus mencari bukti bahwa masukan dan keluaran dari proses
tinjauan manajemen relevan dengan ukuran dan kompleksitas organisasi
dan yang digunakan untuk memperbaiki SMAP. Auditor juga harus
mempertimbangkan bagaimana pengelolaan organisasi disusun dan
bagaimana proses tinjauan manajemen digunakan dalam struktur ini.

Organisasi diharuskan untuk menyimpan informasi terdokumentasi tentang
program audit dan hasil audit. Laporan audit, dengan hasil audit, harus
didistribusikan ke manajemen puncak.
Informasi tambahan
Informasi lebih lanjut dapat ditemukan di ISO 19011, yang memberikan
panduan umum mengenai sistem manajemen auditing, termasuk prinsip
audit, pengelolaan program audit dan pelaksanaan audit sistem manajemen.
Ini juga memberikan panduan untuk evaluasi kompetensi orang atau
kelompok orang yang terlibat dalam audit, termasuk orang yang mengelola
program audit, auditor dan tim audit.
Selain itu, selain panduan yang tertuang dalam ISO 19011, informasi
lebih lanjut dapat ditemukan di ISO / IEC 27007 - Teknologi informasi
- Teknik keamanan - Pedoman audit sistem manajemen keamanan
informasi, yang menyediakan panduan khusus
a) untuk mengelola program audit ISMS, dalam melaksanakan
audit, dan kompetensi auditor ISMS; dan
b) ISO / IEC 27008 - Teknologi informasi - Teknik keamanan -
Panduan untuk auditor mengenai kontrol keamanan informasi,
yang memberikan panduan untuk meninjau kontrol keamanan
informasi organisasi.
9.3 Tinjauan manajemen 9.3 Tinjauan manajemen

9.3.1 Tinjauan manajemen tertinggi
Manajemen tertinggi harus meninjau sistem manajemen anti-penyuapan
organisasi, pada rentang waktu terencana, untuk memastikan keberlanjutan,
kesesuaian, kecukupan dan keefektifan.
Tinjauan manajemen tertinggi harus mencakup pertimbangan dari:
a) status tindakan dari tinjauan manajemen sebelumnya;
b) perubahan dalam isu internal dan eksternal yang relevan dengan
sistem manajemen anti-penyuapan;
c) informasi pada kinerja sistem manajemen anti-penyuapan,
termasuk kecenderungan dalam:
1) ketidak sesuaian dan tindakan korektif;
2) hasil pemantauan dan pengukuran;
3) hasil audit;
4) laporan penyuapan;
5) penyelidikan;
6) sifat dan tingkat risiko penyuapan yang dihadapi oleh
organisasi;
d) keefektifan tindakan yang diambil untuk menunjukkan
risiko penyuapan;
e) peluang peningkatan berkelanjutan dari sistem manajemen
anti-penyuapan, seperti yang diacu pada 10.2. mencakup
keputusan terkait dengan peluang peningkatan
Manajemen tertinggi mengulas SMAP.
Penjelasan
Tujuan tinjauan manajemen adalah untuk memastikan kesesuaian,
kecukupan dan efektivitas SMAP yang berkelanjutan. Kesesuaian mengacu
pada kelanjutan penyelarasan dengan tujuan organisasi. Kecukupan dan
efektivitas mengacu pada desain yang cocok untuk organisasi, dan SMAP,
serta pelaksanaan yang efektif dari proses dan kontrol yang didorong oleh
SMAP.
Secara keseluruhan, review manajemen adalah proses yang dilakukan di
berbagai tingkatan dalam organisasi. Kegiatan ini dapat bervariasi dari
pertemuan unit organisasi setiap hari, mingguan, atau bulanan hingga
diskusi sederhana mengenai laporan. Akuntabilitas berada di manajemen
tertinggi, dengan masukan dari semua tingkatan dalam organisasi.
Panduan
Manajemen tertinggi harus meminta dan meninjau secara berkala pelaporan
kinerja SMAP.

berkelanjutan dan setiap kebutuhan untuk perubahan pada
sistem manajemen anti-penyuapan.
Ringkasan hasil tinjauan manajemen puncakharus dilaporkan kepada
dewan
pengarah (jika ada). Organisasi harus menyimpan informasi
terdokumentasi sebagai bukti hasil tinjauan manajemen tertinggi.
9.3.2 Tinjauan dewan pengarah
Dewan pengarah (jika ada) harus melakukan tinjauan secara berkala sistem
manajemen anti-penyuapan berdasarkan informasi yang diberikan oleh
manajemen tertinggi dan fungsi kepatuhan anti-penyuapan dan setiap
informasi lain yang diminta atau diperoleh dewan pengarah.
Organisasi harus menyimpan ringkasan informasi terdokumentasi sebagai
bukti hasil tinjauan dewan pengarah.
Ada banyak cara di mana manajemen dapat meninjau SMAP, seperti
menerima dan mengkaji pengukuran dan laporan, komunikasi elektronik,
update verbal. Masukan kunci adalah hasil pengukuran anti-penyuapan
seperti yang dijelaskan pada 9.1 dan Hasil audit internal yang dijelaskan
dalam 9.2 hasil penilaian risiko dan status rencana perawatan risiko.
Saat meninjau hasil penilaian risiko dan status rencana perawatan risiko,
manajemen harus memastikan bahwa risiko residual memenuhi kriteria
penerimaan risiko, dan bahwa rencana penanganan risiko menangani semua
risiko yang relevan dan pilihan pengobatan risikonya.
Secara keseluruhan, semua aspek SMAP harus ditinjau ulang oleh
manajemen pada interval yang direncanakan, paling tidak setiap tahun,
dengan menyiapkan jadwal dan item agenda yang sesuai dalam rapat
manajemen. SMAP yang baru atau kurang matang harus ditinjau lebih
sering oleh manajemen untuk mendorong peningkatan efektivitas.
Agenda tinjauan manajemen harus membahas topik berikut:
a) status tindakan dari tinjauan manajemen sebelumnya;
b) perubahan isu eksternal dan internal (lihat 4.1) yang relevan
dengan SMAP;
c) umpan balik mengenai kinerja anti-penyuapan, termasuk tren,
di:
1. ketidaksesuaian dan tindakan korektif;
2. hasil pemantauan dan pengukuran;
3. hasil audit; dan
4. pemenuhan tujuan anti-penyuapan.

d) umpan balik dari pihak yang berkepentingan, termasuk saran
untuk perbaikan, permintaan perubahan dan keluhan;
e) hasil penilaian risiko anti-penyuapan dan status rencana
penanganan risiko anti-penyuapan; dan
f) kesempatan untuk perbaikan terus-menerus, termasuk
peningkatan efisiensi dari SMAP dan kontrolnya.
Input ke tinjauan manajemen harus sesuai dengan tingkat detail, sesuai
dengan tujuan yang ditetapkan untuk manajemen yang terlibat dalam
peninjauan. Misalnya, manajemen tertinggi harus mengevaluasi hanya
ringkasan semua item, sesuai dengan tujuan anti-penyuapan atau tujuan
tingkat tinggi.
Output dari proses tinjauan manajemen harus mencakup keputusan terkait
dengan peluang perbaikan berkesinambungan dan kebutuhan apapun untuk
perubahan SMAP. Output juga dapat menyertakan bukti keputusan
mengenai:
g) perubahan kebijakan dan tujuan anti-penyuapan, mis. didorong oleh
perubahan isu eksternal dan internal dan persyaratan pihak yang
berkepentingan;
h) perubahan kriteria risiko;
i) tindakan, jika diperlukan, mengikuti penilaian kinerja anti-penyuapan;
j) perubahan sumber daya atau anggaran untuk SMAP;
k) rencana penanganan risiko yang diperbaharui dan / atau pernyataan
penerapan; dan
l) perlunya perbaikan kegiatan pemantauan dan pengukuran

Informasi terdokumentasi dari tinjauan manajemen harus dipelihara untuk
didemonstrasikan bahwa pertimbangan telah diberikan (setidaknya) ke
semua area yang tercantum dalam ISO / IEC 37001: 2016, walaupun
diputuskan bahwa tidak ada tindakan yang diperlukan.Bila beberapa ulasan
manajemen dilakukan di berbagai tingkat organisasi, maka harus dikaitkan
satu sama lain dengan cara yang sesuai.
Informasi tambahan
9.4 Tinjauan fungsi kepatuhan anti-penyuapan
Fungsi kepatuhan anti-penyuapan harus menilai secara berkelanjutan
apakah sistem manajemen anti-penyuapan:
a) cukup secara efektif mengelola risiko penyuapan yang dihadapi
oleh organisasi;
b) diterapkan secara efektif.
Fungsi kepatuhan anti-penyuapan harus melaporkan pada rentang waktu
terencana dan pada panitia tidak tetap, jika sesuai, kepada dewan pengarah
(jika ada) dan manajemen tertinggi, atau komite yang sesuai dari dewan
pengarah atau manajemen puncak, pada kecukupan dan penerapan dari
sistem manajemen anti-penyuapan, termasuk hasil investigasi dan audit
CATATAN 1 Frekuensi laporan tersebut tergantung pada persyaratan
organisasi, tetapi direkomendasikan sedikitnya setiap tahun.

CATATAN 2 Organisasi dapat menggunakan rekan bisnis untuk
membantu dalam peninjauan, selama pengamatan rekan bisnis
dikomunikasikan secara tepat, kepada fungsi kepatuhan anti-penyuapan,
manajemen tertinggi, dan jika sesuai, dewan pengarah (jika ada).
10 Peningkatan
10.1 Ketidaksesuaian dan tindakan korektif
Ketika ketidak sesuaian terjadi, organisasi harus:
a) segera bereaksi terhadap ketidak sesuaian, dan jika berlaku:
1) mengambil tindakan untuk mengendalikan dan mengoreksinya;
2) sepakat terhadap konsekuensi:
b) mengevaluasi kebutuhan untuk tindakan menghilangkan penyebab
ketidak sesuaian, agar hal ini tidak terulang kembali atau terjadi
ditempat lain, dengan:
1) meninjau ketidak sesuaian;
2) menentukan penyebab ketidak sesuaian;
3) menentukan jika ketidaksesuaian serupa pernah ada, atau dapat
secara potensial terjadi;
10 Peningkatan
10.1 Ketidaksesuaian dan tindakan korektif
Organisasi bereaksi terhadap ketidaksesuaian, mengevaluasinya dan
melakukan koreksi serta tindakan perbaikan jika diperlukan.
Penjelasan
Ketidaksesuaian adalah tidak terpenuhinya persyaratan SMAP.
Persyaratan adalah kebutuhan atau harapan yang dinyatakan, tersirat
atau wajib.
Reaksi terhadap ketidaksesuaian harus didasarkan pada proses
penanganan yang ditentukan. Prosesnya harus mencakup:
— mengidentifikasi luas dan dampak ketidaksesuaian;

c) menerapkan setiap tindakan yang diperlukan;
d) meninjau keefektifan dari setiap tindakan korektif yang diambil;
e) membuat perubahan terhadap sistem manajemen anti-penyuapan,
bila diperlukan.
Tindakan korektif harus sesuai dengan efek dari ketidak sesuaian yang
ditemui. Organisasi harus menyimpan informasi terdokumentasi sebagai
bukti dari:
— sifat ketidak sesuaian dan setiap tindakan berikutnya yang diambil;
— hasil setiap tindakan korektif.
CATATAN Lihat Klausul A.20 untuk panduan
— memutuskan koreksi untuk membatasi dampak ketidaksesuaian.
Koreksi bisa termasuk beralih ke keadaan sebelumnya, failsafe atau
keadaan lain yang sesuai. Perhatian harus diambil agar koreksi
tidak membuat situasi menjadi lebih buruk;
— berkomunikasi dengan personil yang relevan untuk memastikan
bahwa koreksi dilakukan;
— melakukan koreksi sesuai keputusan;
— memantau situasi untuk memastikan bahwa koreksi memiliki efek
yang diinginkan dan belum menghasilkan efek samping yang tidak
disengaja;
— bertindak lebih jauh untuk memperbaiki ketidaksesuaian jika masih
belum diperbaiki; dan
— berkomunikasi dengan pihak berkepentingan lain yang relevan, jika
sesuai.
Sebagai hasil keseluruhan, proses penanganan harus mengarah pada status
yang dikelola mengenai ketidaksesuaian dan konsekuensi yang terkait.
Namun, koreksi saja tidak akan mencegah kekambuhan ketidaksesuaian.
Ada beberapa jenis ketidaksesuaian seperti:
a) kegagalan untuk memenuhi persyaratan (seluruhnya atau sebagian) ISO
/ IEC 37001: 2016 dalam SMAP;
b) kegagalan untuk menerapkan atau menyesuaikan dengan persyaratan,
peraturan atau kontrol yang diatur oleh SMAP dengan benar; dan
c) kegagalan parsial atau total untuk memenuhi persyaratan pelanggan
yang sah atau disepakati.

Ketidaksesuaian dapat terbentuk dari:
d) orang yang tidak berperilaku seperti yang diharapkan oleh prosedur
dan kebijakan;
e) pemasok yang tidak menyediakan produk atau layanan yang disepakati;
f) proyek tidak memberikan hasil yang diharapkan; dan
g) pengaturan yang tidak beroperasi sesuai desain.
Ketidaksesuaian dapat dikenali dari:
h) kekurangan kegiatan yang dilakukan dalam lingkup sistem
manajemen;
i) pengaturanyang tidak efektif yang tidak diperbaiki dengan tepat;
j) analisis insiden anti-penyuapan yang menunjukkan kelemahan baik
dalam sistem manajemen atau dalam pengendalian khusus;
k) keluhan dari pelanggan;
l) peringatan dari pengguna atau pemasok;
m) Hasil pemantauan dan pengukuran tidak memenuhi kriteria
penerimaan; Dan
n) tujuan tidak tercapai.
Koreksi bertujuan untuk mengatasi ketidaksesuaian dengan segera dan
mengatasi konsekuensinya (10.1 item a).
Tindakan korektif dapat terjadi setelah, atau bersamaan dengan,
koreksi. Langkah-langkah proses berikut harus diambil:
1. memutuskan apakah ada kebutuhan untuk melakukan tindakan
korektif, sesuai dengan kriteria yang ditetapkan (misalnya dampak
ketidaksesuaian, kecurigaan terhadap kerentanan utama,
pengulangan, dll.);

2. meninjau ketidaksesuaian, mempertimbangkan:
 jika ketidaksesuaian serupa telah dicatat;
 semua konsekuensi dan efek samping yang disebabkan oleh
ketidaksesuaian; Dan
 koreksi yang dilakukan.
3. analisis penyebab ketidaksesuaian secara mendalam, dengan
mempertimbangkan:
 Apa yang salah, pemicu atau situasi spesifik yang menyebabkan
ketidaksesuaian (misalnya kesalahan yang ditentukan oleh orang,
metode, proses atau prosedur, perangkat keras atau perangkat
lunak, pengukuran yang salah, lingkungan); dan
 Pola dan kriteria yang dapat membantu mengidentifikasi situasi
serupa di masa depan.
4. sebuah analisis konsekuensi potensial pada SMAP, dengan
mempertimbangkan:
 apakah ketidaksesuaian serupa ada di wilayah lain, mis. Dengan
menggunakan pola dan kriteria yang ditemukan selama analisis
penyebab; dan
 apakah daerah lain sesuai dengan pola atau kriteria yang
teridentifikasi, sehingga mungkin hanya masalah waktu sebelum
ketidaksesuaian serupa terjadi.
5. penentuan tindakan yang diperlukan untuk memperbaiki
penyebabnya, mengevaluasi apakah proporsinya sesuai dengan
konsekuensi dan dampak ketidaksesuaian, dan memeriksa bahwa
mereka tidak memiliki efek samping yang dapat menyebabkan
ketidaksesuaian lainnya atau risiko anti-penyuapan baru yang
signifikan;

6. merencanakan tindakan korektif, memberi prioritas, jika mungkin, ke
daerah-daerah di mana ada kemungkinan pengulangan yang lebih
tinggi dan konsekuensi yang lebih signifikan dari ketidaksesuaian.
Perencanaan harus mencakup orang yang bertanggung jawab atas
tindakan korektif dan batas waktu pelaksanaannya;
7. Melaksanakan tindakan perbaikan secara tepat waktu dan
diprioritaskan; dan
8. menilai tindakan korektif untuk menentukan apakah hal tersebut
benar-benar
menangani penyebab ketidaksesuaian, dan apakah hal tersebut
mencegah terjadinya ketidaksesuaian terkait. Penilaian ini harus tidak
memihak, berbasis bukti dan terdokumentasi dengan baik. Hal itu juga
harus dikomunikasikan ke peran dan pihak yang berkepentingan.
Akibat koreksi dan tindakan korektif, ada kemungkinan peluang baru untuk
perbaikan diidentifikasi. Ini harus diobati sesuai (lihat 10.2).
Informasi terdokumentasi yang cukup diperlukan untuk dipertahankan
untuk menunjukkan bahwa organisasi telah bertindak dengan tepat untuk
mengatasi ketidaksesuaian dan telah menangani konsekuensi yang terkait.
Semua langkah penting pengelolaan ketidaksesuaian (mulai dari penemuan
dan koreksi) dan, jika dimulai, manajemen tindakan korektif (menyebabkan
analisis, review, keputusan tentang pelaksanaan tindakan, review dan
perubahan keputusan yang dibuat untuk SMAP itu sendiri) harus
didokumentasikan. Informasi terdokumentasi juga diperlukan untuk
menyertakan bukti bahwa tindakan yang diambil memiliki efek keseluruhan
yang diinginkan.

Beberapa organisasi memelihara register/catatan risiko (risk register) untuk
melacak ketidaksesuaian dan tindakan perbaikan. Ada lebih dari satu
register (misalnya satu untuk setiap area fungsional atau proses) dan pada
media yang berbeda (kertas, file, aplikasi, dll.). Jika ini masalahnya, maka
mereka harus dibentuk dan dikendalikan sebagai informasi terdokumentasi
dan mereka harus memberikan tinjauan komprehensif terhadap semua
ketidaksesuaian dan tindakan perbaikan untuk memastikan evaluasi yang
benar mengenai kebutuhan tindakan.
Informasi Tambahan
ISO / IEC 37001: 2016 tidak secara eksplisit menyatakan persyaratan untuk
"tindakan pencegahan". Ini karena salah satu tujuan utama sistem
manajemen yang formal adalah bertindak sebagai alat preventif. Akibatnya,
struktur tingkat tinggi dan setiap penjelasan yang identik memerlukan
penilaian terhadap "isu eksternal dan internal organisasi yang relevan
dengan tujuannya dan yang mempengaruhi kemampuannya untuk
mencapai hasil yang diinginkan" pada 4.1, dan untuk "menentukan risiko
dan peluang yang perlu ditangani: memastikan SMAP dapat mencapai hasil
yang diinginkannya, mencegah, atau mengurangi, efek yang tidak
diinginkan, dan mencapai perbaikan terus-menerus. " Di 6.1. Kedua
persyaratan ini dianggap mencakup konsep "tindakan preventif", dan juga
untuk mengambil pandangan yang lebih luas yang melihat risiko dan
peluang.

10.2 Peningkatan berkelanjutan
Organisasi harus secara terus menerus meningkatkan kesesuaian,
kecukupan dan keefektifan sistem manajemen anti-penyuapan.
CATATAN Lihat Klausul A.20 untuk panduan.
10.2 Perbaikan berkelanjutan
Organisasi terus meningkatkan kesesuaian, kecukupan dan efektivitas
SMAP.
Penjelasan
Organisasi dan konteksnya tidak statis. Selain itu, risiko terhadap sistem
informasi, dan cara mereka dapat dikompromikan, berkembang dengan
cepat. Akhirnya, tidak ada SMAP yang sempurna; Selalu ada cara untuk
memperbaiki, bahkan jika organisasi dan konteksnya tidak berubah.
Saat menilai kesesuaian, kecukupan dan keefektifan elemen SMAP,
organisasi dapat mempertimbangkan apakah elemen tersebut secara
signifikan melebihi persyaratan SMAP. Jika ya, maka bisa ada kesempatan
untuk memperbaiki SMAP dengan memodifikasi, mengganti atau
menghentikan komponen sehingga sumber daya yang tersedia lebih efisien
digunakan.
Juga pendekatan sistematis yang menggunakan perbaikan berkelanjutan
akan menghasilkan SMAP yang lebih efektif, yang akan memperbaiki anti-
penyuapan organisasi.
Manajemen anti-penyuapan memimpin kegiatan operasional organisasi
agar tidak terlalu reaktif, yaitu bahwa sebagian besar sumber daya
digunakan untuk menemukan masalah dan mengatasi masalah ini. SMAP
bekerja secara sistematis melalui perbaikan terus-menerus sehingga
organisasi dapat memiliki pendekatan yang lebih proaktif.

Manajemen tertinggi dapat menetapkan sasaran untuk peningkatan
berkelanjutan, mis. Melalui pengukuran efektivitas, biaya, atau kematangan
proses.
Sebagai konsekuensinya, organisasi memperlakukan SMAP sebagai bagian
operasi bisnis yang berkembang, belajar, dan aktif. Agar SMAP dapat
mengikuti perubahan, harus dievaluasi secara teratur berkaitan dengan
kesesuaian untuk tujuan, efektivitas, dan keselarasan dengan tujuan
organisasi. Tidak ada yang bisa diterima begitu saja, dan tidak ada yang
dianggap 'terlarang' hanya karena cukup bagus pada saat
diimplementasikan.
Panduan
Operasi SMAP yang terus-menerus harus mensyaratkan bahwa SMAP itu
sendiri dan semua elemennya dinilai mempertimbangkan masalah internal
dan eksternal.
Penilaian harus mencakup analisis terhadap:
a) kesesuaian elemen SMAP (termasuk kontrol dan proses anti-
penyuapan), mengingat ada alternatif dalam pemilihan, persyaratan
atau implementasi;
b) kecukupan perencanaan SMAP dan elemen perencanaan dan
rancangannya, mengingat jika mereka menangani semua tujuan dan

persyaratan anti-penyuapan dan jika ada risiko yang tidak mereka
identifikasi; dan
c) keefektifan SMAP dan elemen-elemennya, mengingat jika hasil yang
direncanakan tercapai dan apakah ada risiko yang tidak atau
ketidaksesuaian dapat terwujud.
Penilaian juga dapat mencakup analisis efisiensi SMAP dan elemen-
elemennya, mengingat jika penggunaan sumber daya mereka sesuai, jika
ada risiko bahwa kurangnya efisiensi dapat menyebabkan hilangnya
efektivitas atau jika ada peluang untuk meningkatkan efisiensi.
Peluang perbaikan juga dapat diidentifikasi saat mengelola ketidaksesuaian
dan tindakan perbaikan.
Untuk perbaikan diidentifikasi, organisasi harus, menurut 6.1.1:
d) mengevaluasi mereka untuk menentukan apakah mereka layak untuk
diperbaiki;
e) menentukan perubahan pada SMAP dan unsur-unsurnya untuk
mencapai perbaikan;
f) menerapkan tindakan untuk mengatasi peluang yang memastikan
bahwa manfaat direalisasikan, dan ketidaksesuaian tidak terjadi; Dan
g) mengevaluasi keefektifan tindakan.
Tindakan ini harus dianggap sebagai subset tindakan untuk mengatasi risiko
dan peluang yang dijelaskan di 6.1.1.
Informasi lainnya
Tidak ada informasi lain.

Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

More Related Content

What's hot

Similar to Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

More from Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F

Recently uploaded

Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus