Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

February 2018 Muh. Faisal Surya Agus
ISO 37001 : 2016 – Sistem Manajemen Anti-penyuapan Rancangan ISO 37003:2017 - Sistem Manajemen Anti-
penyuapan – Dokumen Pedoman Implementasi
Pendahuluan
Penyuapan merupakan fenomena yang luas. Hal ini menimbulkan
kepedulian yang serius dalam sosial, moral, ekonomi, dan politik,
mengacaukan tata kelola pemerintah yang baik, mengurangi
pengembangan dan mendistorsi kompetisi. Hal ini akan mengikis
keadilan, merusak hak asasi manusia dan menghambat pengentasan
kemiskinan. Hal ini juga meningkatkan biaya melakukan bisnis,
menimbulkan ketidakpastian pada transaksi komersial, meningkatkan
biaya barang dan jasa, mengurangi mutu produk dan jasa, yang mengarah
pada kehilangan nyawa dan harta, merusak kepercayaan institusi dan
mengganggu keadilan serta efisiensi operasi pasar.
Pemerintah telah membuat kemajuan dalam mengatasi penyuapan melalui
persetujuan internasional seperti organisasi untuk Economic Co-
operation and Development Convention on Combating Bribery of
Foreign Public Officials in International Business Transactions[15]
dan the United Nations Convention against Corruption[14] dan melalui
peraturan perundang-undangan masing-masing negara. Dalam banyak
yurisdiksi, penyuapan merupakan pelanggaran bagi individu yang terlibat
dan terdapat kecenderungan peningkatan yang membuat organisasi dan
individu bertanggung jawab dalam penyuapan.
Namun, hukum itu sendiri tidak cukup untuk menyelesaikan masalah.
Oleh karena itu, organisasi mempunyai tanggung jawab secara proaktif
untuk berkontribusi melawan penyuapan. Hal ini dapat dicapai melalui
sistem manajemen anti-penyuapan yang dimaksudkan oleh standar ini,
Pendahuluan
Standar Internasional ini memberikan panduan, jika sesuai, mengenai
persyaratan untuk sistem manajemen anti-penyuapan (SMAP) seperti
yang ditentukan dalam ISO / IEC 37001: 2016.
Pada Standar ini, bentuk kata berikut ini digunakan:
— "harus" menunjukkan persyaratan; — "sebaiknya" menunjukkan
rekomendasi; — "boleh" menunjukkan izin; — "dapat" menunjukkan
kemungkinan atau kemampuan. Keterangan tentang “CATATAN” hanya
merupakan acuan untuk memahami atau menjelaskan yang terkait dengan
persyaratan.
Bukan tujuan dari Standar Internasional ini untuk memberikan panduan
umum mengenai semua aspek dalam anti-penyuapan.
Klausul 4 sampai 10 dari Standar Internasional ini merupakan tinjauan
dari struktur ISO / IEC 37001: 2016.
Standar Internasional ini tidak menambahkan persyaratan baru untuk
SMAP dan istilah dan definisi terkait. Organisasi harus mengacu pada ISO
/ IEC 37001: 2016 untuk persyaratan dan definisi. Organisasi yang
menerapkan SMAP tidak berkewajiban untuk mematuhi panduan dalam
Standar Internasional ini.
SMAP menekankan pentingnya tahapan berikut ini:
- memahami kebutuhan organisasi dan kebutuhan untuk
menetapkan kebijakan dan tujuan anti-penyuapan;

dan melalui komitmen kepemimpinan untuk menetapkan budaya
kejujuran, transparansi, keterbukaan dan kepatuhan. Sifat dari budaya
organisasi adalah hal yang kritis terhadap kesuksesan atau kegagalan
sistem manajemen anti-penyuapan.
Organisasi yang dikelola dengan baik diharapkan mempunyai kebijakan
kepatuhan yang didukung sistem manajemen yang sesuai untuk
membantu pemenuhan kepatuhan hukum dan komitmen terhadap
integritas. Kebijakan anti-penyuapan merupakan komponen dari
kebijakan kepatuhan secara keseluruhan. Kebijakan anti-penyuapan dan
sistem manajemen pendukung membantu organisasi untuk menghindari
atau mengurangi biaya, risiko dan kerugian yang disebabkan penyuapan,
mempromosikan kepercayaan dan keyakinan dalam penanganan bisnis,
dan meningkatkan reputasi organisasi tersebut.
Standar ini merefleksikan tata kelola internasional yang baik dan dapat
digunakan dalam semua yurisdiksi. Berlaku untuk organisasi kecil,
medium dan besar pada semua sektor, termasuk sektor publik, swasta dan
nirlaba. Risiko penyuapan dalam satu organisasi tergantung dari berbagai
faktor seperti ukuran organisasi, lokasi dan sektor dimana organisasi
tersebut beroperasi serta sifat, skala dan kompleksitas aktivitas organisasi.
Standar ini menentukan penerapan kebijakan, prosedur dan pengendalian
organisasi yang wajar dan proporsional sesuai dengan risiko penyuapan
yang dihadapi organisasi. Lampiran A menyediakan panduan untuk
penerapan persyaratan dari standar ini.
Kesesuaian dengan standar ini tidak menjamin penyuapan tidak akan
terjadi atau akan terjadi yang berkaitan dengan organisasi, karena risiko
- menilai risiko dan peluang organisasi yang terkait dengan
penyuapan;
- menerapkan dan mengendalikan operasi dan tindakan lain untuk
menangani risiko; - memantau dan mengkaji kinerja dan
efektivitas SMAP; dan - berlatih perbaikan yang berkelanjutan.
SMAP, seperti halnya dengan sistem manajemen lainnya, mencakup
komponen utama berikut ini:
a) kebijakan;
b) orang dengan tanggung jawab yang telah terbagi dengan jelas;
c) proses manajemen yang berkaitan dengan:
1) penetapan kebijakan;
2) kesadaran dan penyediaan kompetensi;
3) perencanaan;
4) implementasi;
5) operasi;
6) penilaian kinerja;
7) tinjauan manajemen; dan
8) perbaikan; dan
d) informasi terdokumentasi.
SMAP memiliki komponen kunci yang spesifik seperti
e) penilaian risiko anti-penyuapan; dan
f) penanganan risiko anti-penyuapan, termasuk pengendalian.
Panduan yang diberikan dalam Standar Internasional ini bersifat umum
dan dimaksudkan untuk diterapkan pada semua organisasi, terlepas dari

penyuapan tidak mungkin dihilangkan secara total. Bagaimanapun,
standar ini dapat membantu organisasi menerapkan rancangan yang wajar
dan proporsional untuk mencegah, mendeteksi dan menanggapi
penyuapan.
Conformity with this standard cannot provide assurance that no bribery
has occurred or will occur in relation to the organization, as it is not
possible to completely eliminate the risk of bribery. However, this
standard can help the organization implement reasonable and
proportionate measures designed to prevent, detect and respond to bribery.
Pada Standar ini, bentuk kata berikut ini digunakan:
— "harus" menunjukkan persyaratan; — "sebaiknya" menunjukkan
rekomendasi; — "boleh" menunjukkan izin; — "dapat" menunjukkan
kemungkinan atau kemampuan. Keterangan tentang “CATATAN” hanya
merupakan acuan untuk memahami atau menjelaskan yang terkait dengan
persyaratan.
Standar ini sesuai dengan persyaratan ISO untuk standar sistem
manajemen. Persyaratan ini mencakup struktur tingkat tinggi, teks inti
yang identik, dan istilah umum dengan definisi inti, dirancang untuk
keuntungan dari pengguna yang menerapkan berbagai standar sistem
manajemen ISO. Standar ini dapat digunakan bersamaan dengan standar
sistem manajemen lainnya (misal ISO 9001, ISO 14001, ISO/IEC 27001
dan ISO 19600) dan standar manajemen (misal ISO 26000 dan ISO
31000).
jenis, ukuran atau sifatnya. Organisasi harus mengidentifikasi panduan
mana yang sesuai dengannya sesuai dengan konteks organisasi yang
spesifik (Klausul ISO / IEC 37001: 2016 4). Misalnya, beberapa panduan
dapat lebih sesuai untuk organisasi besar, dan untuk organisasi yang
sangat kecil (misalnya kurang dari 10 orang) beberapa panduan tidak
diperlukan atau sesuai.
Uraian klausul 4 sampai 10 disusun sebagai berikut:
- Aktivitas yang dibutuhkan: menyajikan kegiatan utama yang
diperlukan dalam sub pasal yang sesuai ISO / IEC 37001: 2016;
- Penjelasan: menjelaskan persyaratan ISO / IEC 37001: 2016;
- Bimbingan: memberikan informasi yang lebih rinci atau
mendukung untuk diterapkan "Aktivitas yang dibutuhkan"
termasuk contoh untuk implementasi; dan
- Informasi lainnya: memberikan informasi lebih lanjut yang dapat
dipertimbangkan.
ISO / IEC 27003, ISO / IEC 27004 dan ISO / IEC 27005 membentuk
satu set dokumen yang mendukung dan memberikan panduan
tentang ISO / IEC 27001: 2013. Di antara ketiga Standar Internasional
ini, rancangan ISO / IEC 37003 ini adalah dokumen dasar dan
komprehensif yang menjelaskan keseluruhan proses untuk memenuhi
semua persyaratan dari ISO / IEC 37001: 2016, namun tidak memiliki
deskripsi rinci mengenai "pemantauan, pengukuran, analisis dan evaluasi
" dan manajemen risiko. ISO / IEC 27004 dan ISO / IEC 27005 fokus
pada konten tertentu dan memberikan panduan yang lebih terperinci
mengenai "pemantauan, pengukuran, analisis dan evaluasi" dan
manajemen risiko.

Ada sekitar 16 persyaratan eksplisit untuk informasi terdokumentasi
dalam ISO / IEC 37001: 2016. Namun, ada sekitar 40 persyaratan yang
tidak ada persyaratan eksplisit atau implisit untuk informasi
terdokumentasi. Namun demikian, sebuah organisasi dapat menyimpan
informasi terdokumentasi sebagai bukti kesesuaian dengan persyaratan ini
sebagai bagian dari tanggapannya terhadap ISO / IEC 37001: 2016 klausal
7.5.1 butir b).
Dalam kasus ini, standar ini menggunakan ungkapan "Informasi
terdokumentasi tentang kegiatan ini dan hasilnya hanya wajib dalam
formulir dan sejauh yang ditentukan oleh organisasi diperlukan untuk
efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016 7.5 1 item
b). "

1 Lingkup
Standar ini merinci persyaratan dan menyediakan panduan untuk
menetapkan, menerapkan, memelihara, meninjau dan meningkatkan
sistem manajemen anti penyuapan. Sistem tersebut dapat berdiri
sendiri atau dapat diintegrasikan dengan keseluruhan sistem manajemen.
Standar ini
ditujukan untuk hubungan dengan aktivitas
organisasi berikut ini:
— penyuapan di sektor publik, swasta dan
nirlaba;
— penyuapan oleh organisasi; — penyuapan oleh personel yang bertindak
atas nama organisasi atau untuk keuntungannya; — penyuapan oleh rekan
bisnis dari sebuah
organisasi yang bertindak atas nama organisasi atau untuk
keuntungannya; — penyuapan oleh organisasi; — penyuapan oleh
personel organisasi sehubungan dengan aktivitas organisasi; —
penyuapan rekan bisnis organisasi sehubungan dengan aktivitas
organisasi; — penyuapan langsung dan tidak langsung (misal:
menawarkan atau menerima suap melalui atau oleh pihak ketiga).
1 Lingkup
Standar Internasional ini memberikan penjelasan dan panduan mengenai
ISO / IEC 37001: 2016, Sistem manajemen anti-penyuapan – Persyaratan
dengan panduan penggunaan
Standar ini berlaku hanya untuk penyuapan. Standar ini menentukan
persyaratan dan
menyediakan panduan sistem manajemen yang dirancang untuk
membantu organisasi mencegah, mendeteksi dan menangani penyuapan
serta mematuhi peraturan perundang-undangan yang terkait dengan anti-
penyuapan dan komitmen sukarela yang sesuai dengan aktivitas tersebut.

Standar ini tidak secara spesifik ditujukan untuk penipuan, kartel dan anti
perserikatan/pelanggaran kompetisi, pencucian uang atau aktivitas lain
yang terkait dengan praktik korupsi, meskipun organisasi dapat
memperluas lingkup dari suatu sistem manajemen untuk mencakup
aktivitas tersebut.
Persyaratan dari standar ini bersifat generik dan dimaksudkan untuk dapat
digunakan bagi semua organisasi (atau bagian dariorganisasi), tanpa
memperhatikan jenis,ukuran dan sifat dari aktivitas, baik untuksektor
publik, swasta atau nirlaba.Jangkauan aplikasi persyaratan initergantung
pada faktor yang ditentukan dalam bagian 4.1, 4.2 dan 4.5.
CATATAN 1 Lihat Klausul A.2 untuk panduan.
CATATAN 2 Tindakan yang diperlukan untukmencegah, mendeteksi
dan mengurangi risikopenyuapan oleh organisasi dapat berbeda dari
tindakan yang digunakan untuk mencegah,mendeteksi dan menanggapi
penyuapan diorganisasi (atau personel atau rekan bisnis yangbertindak
atas nama organisasi). Lihat A.8.4 sebagai panduan.
2. Acuan Normatif
Tidak ada acuan
2. Acuan Normatif
Tidak ada acuan
Dokumen-dokumen berikut, secara keseluruhan atau sebagian, secara
normatif dirujuk dalam dokumen ini dan sangat diperlukan untuk
aplikasinya. Untuk referensi bertanggal, hanya edisi yang dikutip yang
berlaku. Untuk referensi yang tidak bertanggal, edisi terakhir dokumen
yang direferensikan (termasuk amandemen) berlaku.

ISO / IEC 37001: 2016, Sistem manajemen anti-penyuapan – Persyaratan
dengan panduan penggunaan
3 Istilah dan Definisi
Untuk tujuan Standar ini, definisi dan istilah berikut berlaku:
ISO dan IEC memelihara database terminologi untuk penggunaan dalam
standardisasi pada alamat berikut ini:
— ISO Online browsing platform: available at
http://www.iso.org/obp
— IEC Electropedia: available at
http://www.electropedia.org/
3.1
penyuapan
menawarkan, menjanjikan, memberikan, menerima atau meminta
keuntungan yang tidak semestinya dari nilai apapun (berupa keuangan
atau non keuangan), langsung atau tidak langsung, terlepas dari lokasi,
merupakan pelanggaran peraturan perundang-undangan, sebagai bujukan
atau hadiah untuk orang yang bertindak atau menahan diri dari bertindak
terkait kinerja (3.16) dari tugas orang tersebut.
CATATAN 1 untuk masukan: Definisi diatas adalah generik. Arti dari
istilah “penyuapan” harus didefinisikan sebagai hukum anti-
penyuapannyang berlaku pada organisasi (3.2) dan olehnsistem
manajemen (3.5) anti-penyuapan yangbdirancang oleh organisasi
tersebut.
3 Istilah dan Definisi
Untuk tujuan dokumen ini, istilah dan definisi yang diberikan dalam ISO
/ IEC 37001 berlaku.

3.2
organisasi
orang atau kelompok orang yang memilikivfungsi masing-masing dengan
tanggung jawab, wewenang dan hubungan untuk mencapai suatu sasaran
(3.11)
CATATAN 1 untuk masukan: Konsep organisasi meliputi, tapi tidak
terbatas pada pedagang perorangan, perusahaan, korporasi,firma, badan
usaha, penguasa, kemitraan, badan amal atau institusi, atau bagian atau
kombinasinya, baik berupa perseroan terbatas atau tidak, perusahaan
publik atau privat.
CATATAN 2 untuk masukan: Untuk organisasi dengan lebih dari satu
unit operasi, satu atau lebih unit operasi dapat didefinisikan sebagai
organisasi.
3.3
pihak berkepentingan pemangku kepentingan
orang atau organisasi (3.2) yang dapat mempengaruhi, dipengaruhi, atau
menganggap dirinya terpengaruh oleh suatu keputusan atau aktivitas
CATATAN 1 untuk masukan: Pemangku kepentingan dapat dari internal
atau eksternalvorganisasi.
3.4
persyaratan

kebutuhan yang dinyatakan dan wajib
CATATAN 1 untuk masukan: Definisi inti dari “persyaratan” dalam
standar sistem manajemen ISO adalah suatu “kebutuhan atau harapan
yang dinyatakan, secara umum tersirat atau wajib”. “Persyaratan secara
umum yang tersirat” tidak
dapat diterapkan dalam konteks manajemen anti-penyuapan.
CATATAN 2 untuk masukan: ”Secara umum yang tersirat” berarti hal
ini merupakan kebiasaan atau praktik umum untuk organisasi dan pihak
berkepentingan sesuai kebutuhan atau harapan yang dipertimbangkan
tersirat.
CATATAN 3 untuk masukan: Persyaratan terperinci adalah persyaratan
yang dinyatakan, sebagai contoh, dalam informasi terdokumentasi.
3.5
sistem manajemen
sekumpulan unsur organisasi (3.2) yang saling terkait atau berinteraksi
untuk menetapkan kebijakan (3.10) dan sasaran (3.11) dan proses (3.15)
untuk mencapai sasaran tersebut
CATATAN 1 untuk masukan: Sistem manajemen dapat ditujukan untuk
satu atau beberapa disiplin.
CATATAN 2 untuk masukan: Unsur sistem manajemen meliputi
struktur, peran dan tanggung jawab, perencanaan dan pengoperasian.
CATATAN 3 untuk masukan: Lingkup sistem manajemen dapat
mencakup keseluruhan organisasi, fungsi spesifik dan yang teridentifikasi
dari organisasi, bagian spesifik dan yang teridentifikasi dari organisasi,
atau satu atau lebih fungsi antar grup organisasi.

3.6
manajemen tertinggi
orang atau kelompok orang yang mengarahkan dan mengendalikan
organisasi (3.2) pada tingkat tertinggi
CATATAN 1 untuk masukan: Manajemen puncak memiliki kekuasaan
untuk
mendelegasikan wewenang dan menyediakan sumber daya dalam
organisasi.
CATATAN 2 untuk masukan: Jika lingkup sistem manajemen (3.5)
mencakup hanya
sebagian organisasi, maka istilah manajemen puncak mengacu pada orang
yang mengarahkan dan mengendalikan bagian organisasi tersebut.
CATATAN 3 untuk masukan: Organisasi dapat diatur berdasarkan pada
kerangka kerja hukum yang berlaku dalam organisasi tersebut dan juga
sesuai dengan ukuran, sektor dst. Beberapa organisasi mempunyai
keduanya yaitu dewan pengarah (3.7) dan manajemen tertinggi,
sedangkan beberapa organisasi tidak mempunyai tanggung jawab yang
terbagi atas beberapa dewan. Variasi ini, baik dalam hal organisasi dan
tanggung jawab, dapat dipertimbangkan ketika menerapkan persyaratan
pada klausul 5.
3.7
dewan pengarah

kelompok atau badan yang memiliki tanggung jawab utama dan
kewenangan untuk aktivitas organisasi (3.2), pengelolaan dan kebijakan
yang menerima laporan dan
pertanggungjawaban dari manajemen puncak (3.6)
CATATAN 1 untuk masukan: Tidak semua organisasi, terutama
organisasi yang kecil, mempunyai dewan pengarah yang terpisah dengan
manajemen tertinggi (lihat 3.6, Catatan 3 untuk masukan).
CATATAN 2 untuk masukan: Dewan pengarah dapat mencakup tapi
tidak terbatas pada dewan direksi, dewan komite, dewan pengawas,
dewan penyantun dan pengawas.
3.8
fungsi kepatuhan anti-penyuapan
orang (kelompok) dengan tanggung jawab dan wewenang untuk
melaksanakan operasi sistem manajemen (3.5) anti-penyuapan
3.9
keefektifan
tingkatan dimana rencana aktivitas terealisasi dan hasil direncanakan
tercapai
3.10
kebijakan
maksud dan tujuan dari organisasi (3.2), yang dinyatakan secara formal
oleh
manajemen tertinggi (3.6) atau dewan pengarah (3.7)

3.11
sasaran
hasil yang ingin dicapai
CATATAN 1 untuk masukan: Sasaran dapat stratejik, taktis, atau
operasional.
CATATAN 2 untuk masukan: Sasaran dapat berkaitan dengan disiplin
berbeda (seperti target keuangan, penjualan dan pemasaran, pengadaan,
keselamatan dan kesehatan, dan lingkungan) dan dapat diterapkan pada
tingkatan yang berbeda (seperti stratejik, keseluruhan organisasi, proyek,
produk dan proses (3.15))
CATATAN 3 untuk masukan: Sasaran dapat dinyatakan dengan cara lain,
misal seperti hasil yang diharapkan, tujuan, kriteria operasional, sebagai
sasaran anti-penyuapan, atau digunakan dengan kata lain dengan arti
serupa (misal, maksud, tujuan, atau target).
CATATAN 4 untuk masukan: Dalam konteks sistem manajemen anti-
penyuapan, sasaran anti-penyuapan ditetapkan organisasi, konsisten
dengan kebijakan anti-penyuapan, untuk mencapai hasil spesifik.
3.12
risiko
dampak dari ketidakpastian pada sasaran (3.11)
CATATAN 1 untuk masukan: Dampak adalah penyimpangan dari yang
diinginkan — baik positif atau negatif.

CATATAN 2 untuk masukan: Ketidakpastian adalah keadaan, meski
hanya sebagian, dimana kekurangan informasi terkait dengan,
pemahaman atau pengetahuan dari, sebuah peristiwa, konsekuensinya,
atau kemungkinan.
CATATAN 3 untuk masukan: Risiko sering ditandai dengan acuan untuk
“kejadian” potensial (seperti didefinisikan dalam ISO Guide 73:2009,
3.5.1.3) dan “konsekuensi” (didefinisikan dalam ISO Guide 73:2009,
3.6.1.3), atau kombinasinya.
CATATAN 4 untuk masukan: Risiko sering dinyatakan dalam kombinasi
istilah dari konsekuensi suatu kejadian (termasuk perubahan dalam
lingkungan) dan “kemungkinan” terjadinya (didefinisikan dalam ISO
Guide 73:2009, 3.6.1.1).
3.13
kompetensi
kemampuan menerapkan pengetahuan dan keterampilan untuk mencapai
hasil yang diinginkan
3.14
informasi terdokumentasi
informasi dalam bentuk media penyimpanan yang dipersyaratkan untuk
dikendalikan dan dipelihara oleh organisasi (3.2) dimana informasi
tersebut berada

CATATAN 1 untuk masukan: Informasi terdokumentasi dapat dalam
bentuk dan media apapun dan dari sumber manapun.
CATATAN 2 untuk masukan: Informasi terdokumentasi dapat mengacu
pada:
— sistem manajemen (3.5), termasuk proses
(3.15) terkait;
— informasi yang dihasilkan agar organisasi dapat beroperasi
(dokumentasi);
— bukti hasil yang dicapai (rekaman).
3.15
proses
kumpulan dari aktivitas atau terkait atau berinteraksi yang merubah
masukan menjadi keluaran.
3.16
kinerja
hasil yang dapat diukur
CATATAN 1 untuk masukan: Kinerja dapat terkait dengan temuan
kuantitatif atau kualitatif.
CATATAN 2 untuk masukan: Kinerja dapat terkait dengan manajemen
dari aktivitas, proses (3.15), produk (termasuk jasa), system atau
organisasi (3.2).

3.17
alih daya
membuat pengaturan untuk organisasi (3.2) eksternal melaksanakan
sebagian fungsi atau proses (3.14) dari organisasi
CATATAN 1 untuk masukan: Organisasi eksternal diluar lingkup sistem
manajemen (3.5), meskipun fungsi atau proses yang dialih dayakan,
berada dalam lingkup.
CATATAN 2 untuk masukan: Inti dari teks standar sistem manajemen
ISO berisi definisi dan persyaratan terkait alih daya yang tidak digunakan
dalam standar ini karena penyedia alih daya termasuk dalam definisi
rekan bisnis (3.26).
3.18
pemantauan
penentuan status sistem, proses (3.15) atau aktivitas
CATATAN 1 untuk masukan: Untuk menentukan status, pemeriksaan,
pengawasan atau pengamatan kritis mungkin dibutuhkan
3.19
pengukuran
proses (3.15) untuk menentukan nilai

3.20
audit
proses (3.15) yang sistematik, mandiri dan terdokumentasi untuk
memperoleh bukti audit dan mengevaluasinya secara objektif untuk
menentukan jangkauan kriteria audit terpenuhi
CATATAN 1 untuk masukan: Audit dapat berbentuk audit internal
(pihak pertama), atau audit eksternal (pihak kedua atau ketiga) dan dapat
dijadikan sebagai audit gabungan (gabungan dari dua atau lebih disiplin).
CATATAN 2 untuk masukan: Audit internal dilaksanakan oleh
organisasi (3.2) itu sendiri, atau oleh pihak eksternal atas nama organisasi.
CATATAN 3 untuk masukan: ”Bukti audit” dan “kriteria audit”
didefinisikan dalam ISO 19011.
3.21
kesesuaian
pemenuhan persyaratan (3.4)
3.22
ketidaksesuaian
tidak dipenuhinya persyaratan (3.4)
3.23
tindakan korektif

tindakan untuk menghilangkan penyebab ketidaksesuaian (3.22) dan
untuk mencegah kejadian berulang
3.24
peningkatan berkelanjutan
kegiatan berulang untuk meningkatkan kinerja (3.16)
3.25
personel
direktur, pegawai, staf sementara atau pekerja, dan pekerja sukarela dari
organisasi (3.2)
CATATAN 1 untuk masukan: Jenis personel yang berbeda menimbulkan
jenis dan tingkatan risiko (3.12) penyuapan yang berbeda dan dapat
diperlakukan secara berbeda oleh penilaian risiko penyuapan dan
prosedur manajemen risiko penyuapan.
CATATAN 2 untuk masukan: Lihat A.8.5 sebagai panduan pekerja atau
staf sementara.
3.26
rekan bisnis
pihak eksternal dimana organisasi (3.2) mempunyai, atau merencanakan
untuk menetapkan, beberapa bentuk hubungan bisnis
CATATAN 1 untuk masukan: Rekan bisnis termasuk tetapi tidak terbatas
pada klien, pelanggan, usaha bersama, rekan usaha bersama, rekan
konsorsium, penyedia alih daya, kontraktor, konsultan, subkontraktor,

pemasok, vendor, penasihat, agen, distributor, perwakilan, perantara dan
investor. Definisi ini sengaja bersifat luas dan sebaiknya diinterpretasikan
sejalan dengan profil risiko (3.12) penyuapan dari organisasi untuk
diterapkan pada rekan bisnis organisasi yang terekspos sesuai dengan
risiko penyuapan.
CATATAN 2 untuk masukan: Jenis rekan bisnis yang berbeda
mempunyai jenis dan tingkat risiko penyuapan yang berbeda, dan
organisasi (3.2) akan memiliki derajat yang berbeda dari kemampuan
untuk mempengaruhi berbagai jenis rekan bisnis. Jenis rekan bisnis yang
berbeda dapat diperlakukan berbeda oleh penilaian risiko penyuapan serta
prosedur manajemen risiko penyuapan dari organisasi.
CATATAN 3 untuk masukan: Kata “bisnis” dalam standar ini dapat
diinterpretasikan secara luas yang berarti aktivitas yang relevan terhadap
tujuan organisasi yang ada.
3.27
pejabat publik
seseorang yang menjabat di kantor legislatif, administratif atau yudisial,
melalui penunjukan, pemilihan atau penggantian, atau setiap orang yang
melaksanakan fungsi publik, termasuk instansi publik atau badan usaha
terbuka, atau pejabat atau agen dari organisasi domestik atau
internasional, atau kandidat pejabat publik.
CATATAN 1 untuk masukan: Sebagai contoh individu yang dapat
dipertimbangkan sebagai pejabat publik, lihat klausul A.21.

3.28
pihak ketiga
orang atau badan yang mandiri dari organisasi (3.2)
CATATAN 1 untuk masukan: Semua rekan bisnis (3.26) merupakan
pihak ketiga tetapi tidak semua pihak ketiga merupakan rekan bisnis.
3
.29
konflik kepentingan
situasi dimana kepentingan bisnis, keuangan, keluarga, politik atau
personel terkait yang dapat mempengaruhi keputusan orang dalam
melaksanakan tugasnya untuk organisasi (3.2)
3.30
uji kelayakan
proses (3.15) untuk menilai lebih lanjut dari sifat dan tingkatan risiko
(3.12) penyuapan dan membantu organisasi (3.2) untuk mengambil
keputusan yang berhubungan dengan transaksi spesifik, proyek, aktivitas,
rekan bisnis (3.26) dan personel.
4 Konteks organisasi
4.1 Memahami organisasi dan konteksnya
4 Konteks organisasi
4.1 Memahami organisasi dan konteksnya
Aktivitas yang dibutuhkan

Organisasi harus menentukan isu internal dan eksternal yang relevan
dengan
tujuannya dan yang dapat berpengaruh pada kemampuannya untuk
mencapai sasaran hasil yang diinginkan dari sistem manajemen anti-
penyuapan. Isu ini akan meliputi, tanpa batasan, faktor berikut:
a) ukuran, struktur dan pendelegasian wewenang pengambil keputusan
dari organisasi;
b) lokasi dan sektor dimana organisasi itu beroperasi atau antisipasi
pengoperasian;
c) sifat, skala dan kompleksitas dari aktivitas dan operasi organisasi;
d) model bisnis organisasi;
e) entitas dimana organisasi mempunyai kendali dan entitas yang
menerapkan
kendali terhadap organisasi;
f) rekan bisnis organisasi;
g) sifat dan jangkauan interaksi dengan pejabat publik;
h) peraturan perundang-undangan, regulasi kontrak serta kewajiban dan
tugas profesional.
CATATAN Organisasi mempunyai kendali terhadap organisasi lain jika
pengendalian langsung atau tidak langsung dari manajemen organisasi
(lihat A.13.1.3).
Organisasi menentukan isu eksternal dan internal yang relevan dengan
tujuannya dan mempengaruhi kemampuannya untuk mencapai hasil yang
diharapkan dari sistem manajemen anti-penyuapan (SMAP)
Penjelasan
Sebagai fungsi integral SMAP, organisasi terus menganalisa dirinya dan
dunia sekitarnya. Analisis ini berkaitan dengan isu eksternal dan internal
yang dalam beberapa hal mempengaruhi anti-penyuapan dan risiko
penyuapan,
sebagaimana risiko penyuapan dapat dikelola, dan relevan dengan tujuan
organisasi.
Analisis masalah ini memiliki dua tujuan:
• memahami konteks untuk menentukan ruang lingkup SMAP; Dan •
menganalisis konteks untuk menentukan risiko dan peluang.
Masalah eksternal adalah masalah yang berada di luar kendali organisasi.
Hal ini sering disebut sebagai lingkungan organisasi. Menganalisis
lingkungan dapat mencakup aspek-aspek berikut:
a) sosial dan budaya;
b) politik, hukum, normatif dan peraturan;
c) keuangan dan makroekonomi;
d) teknologi;
e) alam; dan
f) kompetitif

Aspek lingkungan organisasi ini terus menyajikan isu-isu yang
mempengaruhi penyuapan dan bagaimana anti-penyuapan dapat dikelola.
Isu eksternal yang relevan bergantung pada prioritas dan situasi spesifik
organisasi. Misalnya, masalah eksternal untuk organisasi tertentu dapat
mencakup:
g) implikasi legal tentang pajak (aspek legal);
h) kemungkinan terjadinya bencana alam seperti kebakaran, banjir dan
gempa bumi (Aspek alami);
i) kemajuan teknologi komunikasi (aspek teknologi);
j) permintaan umum untuk layanan organisasi (aspek keuangan).
Masalah internal tunduk pada kontrol organisasi dan karenanya
merupakan bagian dari organisasi itu sendiri. Menganalisis masalah
internal dapat mencakup aspek-aspek berikut:
k) budaya organisasi;
l) kebijakan, tujuan, dan strategi untuk mencapainya;
m) tata kelola, struktur organisasi, peran dan akuntabilitas;
n) standar, pedoman dan model yang diadopsi oleh organisasi;
o) hubungan kontraktual yang secara langsung dapat mempengaruhi
proses organisasi yang termasuk dalam lingkup SMAP;
p) proses dan prosedur;
q) kemampuan, yang dipahami dalam hal sumber daya dan
pengetahuan (misalnya, modal, waktu, orang, proses, sistem dan
teknologi);
r) infrastruktur fisik dan lingkungan;

s) sistem informasi, arus informasi dan proses pengambilan
keputusan (baik formal maupun informal); dan
t) hasil audit sebelumnya atau hasil penilaian risiko sebelumnya.
Hasil kegiatan ini digunakan pada 4.3 dan 6.1.
Panduan
Berdasarkan pemahaman tentang tujuan organisasi (mis., Mengacu pada
pernyataan misi atau rencana bisnisnya) dan juga hasil yang diharapkan
dari SMAP organisasi, organisasi harus:
• meninjau lingkungan eksternal untuk mengidentifikasi isu
eksternal yang relevan; Dan
• meninjau aspek internal untuk mengidentifikasi isu-isu internal
yang relevan.
Untuk mengidentifikasi masalah yang relevan, pertanyaan berikut dapat
diajukan:
Bagaimana kategori isu tertentu (lihat item a sampai j di atas)
mempengaruhi manajemen anti-penyuapan?
Tiga contoh isu internal berfungsi Hasil kegiatan ini digunakan pada 4.3
dan 6.1.
Panduan
Berdasarkan pemahaman tentang tujuan organisasi (mis., Mengacu pada
pernyataan misi atau rencana bisnisnya) dan juga hasil yang diharapkan
dari

SMAP organisasi, organisasi harus:
• meninjau lingkungan eksternal untuk mengidentifikasi isu
eksternal yang relevan; Dan
• meninjau aspek internal untuk mengidentifikasi isu-isu internal
yang relevan.
Untuk mengidentifikasi masalah yang relevan, pertanyaan berikut dapat
diajukan:
Bagaimana kategori isu tertentu (lihat item a sampai j di atas)
mempengaruhi SMAP? sebagai ilustrasi:
Contoh 1 tentang tata kelola dan struktur organisasi (lihat butir m): Saat
membuat SMAP, struktur pemerintahan dan organisasi yang sudah ada
harus diperhitungkan. Sebagai contoh, organisasi dapat memodelkan
struktur SMAP-nya pada struktur sistem manajemen lain yang ada, dan
dapat menggabungkan fungsi umum, seperti tinjauan manajemen dan
audit.
Contoh 2 tentang kebijakan, tujuan dan strategi (lihat butir 1): Anti-
penyuapan dan pengelolaannyaharus disesuaikan dengan strategi dan
tujuan bisnis. Analisis terhadap kebijakan, tujuan dan strategi yang ada,
dapat menunjukkan apa yang diharapkan oleh organisasi dan bagaimana
tujuan anti-penyuapan dapat disesuaikan dengan tujuan bisnis untuk
memastikan hasil yang sukses.
Contoh 3 pada sistem informasi dan arus informasi (lihat item i): Ketika
menentukan masalah internal, organisasi harus mengidentifikasi, pada

tingkat detail yang memadai, arus informasi antara berbagai sistem
informasinya.
Karena baik itu masalah eksternal dan internal akan berubah seiring
berjalannya waktu, dan kemungkinan besar tidak secara paralel, masalah
dan pengaruhnya terhadap cakupan, batasan dan persyaratan SMAP harus
dikaji ulang secara teratur.
Informasi terdokumentasi tentang kegiatan ini dan hasilnya hanya
diwajibkan dalam bentuk dan sejauh organisasi menentukan seperlunya
untuk efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016
7.5.1 butir b)
Informasi tambahan
Dalam ISO / IEC 37001, definisi organisasi dicatat bahwa: "Konsep
organisasi mencakup namun tidak terbatas pada perusahaan pedagang
tunggal, kompi, korporasi, firma, perusahaan, otoritas, kemitraan,
lembaga amal atau institusi, atau bagian atau kombinasi
Oleh sebab itu, baik yang tergabung atau tidak, publik atau swasta.
"Beberapa contoh ini adalah keseluruhan badan hukum, sementara yang
lainnya tidak.
Ada empat kasus:
1) organisasi adalah badan hukum atau administratif (misalnya
pedagang tunggal, kompi, korporasi, firma, perusahaan, otoritas,
kemitraan, badan amal atau institusi baik yang tergabung atau
tidak, publik atau swasta);
2) organisasi adalah bagian dari entitas hukum atau administratif
(misalnya bagian dari pedagang, kompi, dsb.);

3) organisasi adalah kumpulan entitas hukum atau administratif
(misalnya konsorsium pedagang tunggal, kompibesar, korporasi,
firma, dan lain-lain); dan
4) organisasi adalah seperangkat himpunan bagian entitas hukum
atau administratif (misalnya klub, asosiasi perdagangan, dll.).
4.2 Memahami kebutuhan dan harapan pemangku kepentingan
Organisasi harus menentukan:
a) pemangku kepentingan yang relevan terhadap sistem manajemen anti-
penyuapan;
b) persyaratan yang relevan dari pemangku kepentingan.
CATATAN Dalam mengidentifikasi persyaratan pemangku kepentingan,
organisasi dapat membedakan antara persyaratan wajib dan harapan tidak
wajib, komitmen sukarela kepada, pemangku kepentingan.
4.2 Memahami kebutuhan dan harapan pihak yang berkepentingan
Organisasi menentukan pihak yang berkepentingan yang relevan dengan
SMAP dan persyaratannya yang relevan dengan anti penyuapam.
Penjelasan
Pihak yang berkepentingan adalah istilah yang didefinisikan yang
merujuk pada orang atau organisasi yang dapat mempengaruhi,
dipengaruhi oleh, atau merasa dirinya dipengaruhi oleh keputusan atau
aktivitas organisasi. Pihak yang berkepentingan dapat ditemukan baik di
luar maupun di dalam organisasi dan dapat memiliki kebutuhan dan
harapan khusus untuk anti-penyuapan organisasi.
Pihak yang berkepentingan eksternal dapat mencakup:
a) regulator dan legislator;
b) pemegang saham termasuk pemilik dan investor;
c) pemasok termasuk subkontraktor, konsultan, dan mitra
outsourcing;
d) organisasi industri;
e) pesaing;

f) pelanggan dan konsumen; dan
g) kelompok aktivis.
Pihak yang berkepentingan internal dapat mencakup:
h) pengambil keputusan termasuk manajemen tertinggi;
i) pemilik proses, pemilik sistem, dan pemilik informasi;
j) fungsi TI;
k) karyawan dan pengguna; dan
l) profesional manajemen anti-penyuapan.
Hasil kegiatan ini digunakan pada 4.3, 6.1 dan 8.1.
Panduan
Langkah-langkah berikut harus dilakukan:
• mengidentifikasi pihak yang berkepentingan eksternal;
• mengidentifikasi pihak yang berkepentingan internal; dan
• mengidentifikasi persyaratan pihak yang berkepentingan.
Karena kebutuhan dan harapan pihak-pihak yang berkepentingan berubah
seiring berjalannya waktu, perubahan dan pengaruhnya terhadap ruang
lingkup, hambatan dan persyaratan SMAP harus dikaji ulang secara
berkala.
7.5.1 butir b).

Informasi tambahan
Tidak ada informasi tambahan
4.3 Menentukan lingkup sistem manajemen anti-penyuapan
Organisasi harus menentukan batas dan penerapan dari sistem manajemen
anti penyuapan untuk menetapkan lingkupnya.
Ketika menentukan lingkup ini, organisasi harus mempertimbangkan:
a) isu internal dan eksternal yang dimaksud dalam 4.1;
b) persyaratan yang dimaksud dalam 4.2;
c) hasil dari penilaian risiko penyuapan yang dimaksud dalam 4.5.
Lingkup harus tersedia sebagai informasi terdokumentasi.
CATATAN Lihat Klausul A.2 sebagai panduan.
4.3 Menentukan ruang lingkup sistem manajemen anti-penyuapan
Organisasi menentukan batas dan penerapan SMAP untuk menetapkan
ruang lingkupnya.
Penjelasan
Ruang lingkup mendefinisikan pada bagian mana SMAP akan
diberlakukan, dan serta menjelaskan tentang batasan dalam ruang
lingkupnya.
Dengan demikian, penetapan ruang lingkup merupakan kegiatan kunci
yang menentukan landasan yang diperlukan bagi semua kegiatan lain
dalam pelaksanaan SMAP. Misalnya, penilaian risiko dan penanganan
risiko, termasuk penentuan kontrol, tidak akan menghasilkan hasil yang
valid tanpa memiliki pemahaman yang tepat tentang di mana sebenarnya
SMAP berlaku. Pengetahuan yang tepat tentang batasan penerapan SMAP
dan antarmuka dan ketergantungan antara organisasi dan organisasi
lainnya juga penting. Setiap modifikasi lingkup pada waktu kemudian
dapat menghasilkan banyak usaha dan biaya tambahan.
Faktor-faktor berikut dapat mempengaruhi penentuan ruang
lingkup:
a) isu eksternal dan internal yang diuraikan dalam 4.1;

b) pihak yang berkepentingan yang dijelaskan dalam 4.2 dan
kebutuhan dan harapan mereka;
c) kesiapan kegiatan usaha untuk dimasukkan sebagai bagian dari
cakupan SMAP;
d) semua fungsi pendukung, yaitu yang diperlukan untuk
mendukung kegiatan bisnis ini (Misalnya sumber daya manusia
untuk manajemen personalia, layanan TI dan aplikasi
e) perangkat lunak; pengelolaan fasilitas bangunan, zona fisik,
layanan dan utilitas penting); dan
f) semua fungsi yang dialihkan ke bagian lain dalam organisasi atau
ke pemasok independen
Ruang lingkup SMAP bisa sangat berbeda dari satu implementasi ke
implementasi lainnya. Misalnya, ruang lingkup dapat mencakup:
• satu atau lebih proses spesifik;
• satu atau beberapa fungsi spesifik;
• satu atau lebih bagian atau lokasi tertentu;
• seluruh badan hukum; dan
• seluruh entitas administratif dan satu atau lebih pemasoknya.
Panduan
Untuk menetapkan ruang lingkup, pendekatan multi langkah dapat
diikuti:
g) menentukan cakupan awal: kegiatan ini harus dilakukan oleh
sekelompok kecil perwakilan perwakilan manajemen yang relevan;

h) memperbaiki lingkup pendahuluan: unit fungsional di dalam dan di
luar lingkup awal harus ditinjau ulang, mungkin diikuti dengan
penyertaan atau pengucilan beberapa unit fungsional ini untuk
mengurangi jumlah antarmuka di sepanjang batas-batasnya. Saat
menyempurnakan cakupan awal semua fungsi pendukung harus
dipertimbangkan yang diperlukan untuk mendukung kegiatan bisnis;
i) menentukan ruang lingkup: cakupan yang disetujui harus dievaluasi
oleh semua manajemen yang relevan dalam lingkup yang telah
ditentukan. Jika perlu, harus disesuaikan dan kemudian dijelaskan
secara tepat; dan
j) persetujuan lingkup: informasi terdokumentasi yang menjelaskan
ruang lingkup harus disetujui secara formal oleh manajemen tertinggi.
Informasi terdokumentasi yang menjelaskan
ruang lingkupnya dapat terdiri dari:
k) lingkup organisasi, batasan dan antarmuka;
l) lingkup teknologi informasi dan komunikasi, batasan dan
antarmuka;
m) lingkup fisik, batasan dan antarmuka.
Organisasi juga harus mempertimbangkan kegiatan yang
berdampak pada SMAP atau kegiatan yang dialihkan ke bagian lain
di dalam organisasi atau ke pemasok independen. Untuk kegiatan
tersebut, antarmuka (fisik, teknis dan organisasi) dan pengaruhnya
terhadap ruang lingkup harus diidentifikasi.

Informasi lainnya
Perlu dicatat bahwa ruang lingkup sertifikasi mungkin atau
mungkin tidak sama dengan ruang lingkup SMAP.
4.4 Sistem manajemen anti-penyuapan
Organisasi harus menetapkan, mendokumentasi, menerapkan,
memelihara dan secara berkelanjutan meninjau, dan jika diperlukan,
meningkatkan sistem manajemen anti-penyuapan, termasuk proses dan
interaksinya yang diperlukan, sesuai dengan persyaratan standar ini.
Sistem manajemen anti-penyuapan harus memuat tindakan yang
dirancang untuk mengidentifikasi dan mengevaluasi risiko dari, dan untuk
mencegah, mendeteksi dan menanggapi terhadap penyuapan.
CATATAN 1 Tidak mungkin untuk menghilangkan dengan sepenuhnya
risiko penyuapan, dan tidak ada sistem manajemen anti-penyuapan yang
mampu mencegah dan mendeteksi semua penyuapan. Sistem manajemen
anti-penyuapan harus wajar dan proporsional, mempertimbangkan faktor
dimaksud dalam 4.3.
CATATAN 2 Lihat Klausul A.3 sebagai panduan.
4.4 Sistem manajemen anti-penyuapan
Organisasi menetapkan, menerapkan, memelihara dan terus memperbaiki
SMAP.
Penjelasan
ISO / IEC 37001: 2016 Clause 4.4 menyatakan persyaratan utama untuk
menetapkan, menerapkan, memelihara dan terus memperbaiki SMAP.
Sementara bagian lain dari ISO / IEC 37001: 2016 menggambarkan
elemen yang dipersyaratkan dari SMAP, klausul ini memastikan bahwa
semua elemen ditetapkan, diterapkan, dipelihara dan terus ditingkatkan.
Panduan
Tidak ada panduan khusus.
Informasi Tambahan
Tidak ada informasi tambahan

4.5 Penilaian risiko penyuapan
4.5.1 Organisasi harus melaksanakan penilaian risiko penyuapan secara
teratur, yang harus:
a) mengidentifikasi risiko penyuapan organisasi yang wajar untuk
antisipasi faktor yang tercantum pada 4.1;
b) menganalisa, menilai dan memprioritaskan risiko penyuapan
yang teridentifikasi;
c) mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di
organisasi untu mengurangi risiko penyuapan yang dinilai.
4.5.2 Organisasi harus menetapkan kriteria untuk mengevaluasi tingkat
risiko penyuapan, dan harus mempertimbangkan kebijakan dan sasaran
organisasi.
4.5.3 Penilaian risiko penyuapan harus ditinjau:
a) secara teratur sehingga perubahan dan informasi baru dapat
dinilai secara tepat berdasarkan waktu dan frekuensi yang
ditentukan oleh organisasi;
b) pada saat perubahan penting terhadap struktur atau aktivitas
organisasi.
4.5.4 Organisasi harus menyimpan informasi terdokumentasi untuk
memperagakan bahwa penilaian risiko penyuapan telah dilaksanakan dan
4.5 Penilaian risiko penyuapan
Pendekatan yang dilakukan akan tergantung pada pendekatan yang
diambil oleh organisasi terhadap penilaian risiko anti-penyuapan, yang
dibahas lebih rinci pada 6.1.2 rancangan ISO 37003 ini.
Organisasi yang menerapkan SMAP independen dapat memenuhi
persyaratan klausul ini secara bersamaan dengan persyaratan ISO / IEC
37003 Klausul 6.1.2, 6.1.3 dan 6.2.
Semua tindakan ini harus dikaitkan dengan tujuan anti-penyuapan (lihat
6.2).

digunakan untuk merancang atau meningkatkan sistem manajemen anti-
penyuapan.
5 Kepemimpinan
5.1 Kepemimpinan dan komitmen
5.1.1 Dewan pengarah
Bila organisasi mempunyai dewan pengarah, dewan ini harus
memperagakan
kepemimpinan dan komitmen terhadapnsistem manajemen anti-
penyuapan dengan:
a) menyetujui kebijakan anti-penyuapan organisasi;
b) memastikan bahwa strategi dan kebijakan anti-penyuapan
organisasi sejalan;
c) menerima dan meninjau informasi tentang isi dan operasi dari
sistem manajemen anti-penyuapan pada waktu yang
direncanakan;
d) membutuhkan sumber daya yang cukup dan tepat yang
diperlukan untuk operasi sistem manajemen anti-penyuapan
dialokasikan dan ditentukan;
e) melaksanakan pengawasan yang wajar terhadap penerapan dan
keefektifan sistem manajemen anti-penyuapan di organisasi oleh
manajemen tertinggi. Aktivitas ini harus dilaksanakan oleh
5 Kepemimpinan
5.1 Kepemimpinan dan komitmen
Manajemen tertinggi menunjukkan kepemimpinan dan komitmen
sehubungan dengan SMAP.
Penjelasan
Kepemimpinan dan komitmen organisasi sangat penting bagi SMAP yang
efektif.
Menurut ISO / IEC 37001, manajemen tertinggi mengarahkan dan
mengendalikan organisasi SMAP pada tingkat tertinggi, yaitu manajemen
tertinggi memiliki tanggung jawab keseluruhan, untuk SMAP. Ini berarti
mengarahkan SMAP dengan cara yang sama ke area lain dalam
organisasi, misalnya cara anggaran dialokasikan dan dipantau.
Manajemen tertinggi dapat mendelegasikan wewenang dan sumber daya
di dalam organisasi untuk benar-benar melakukan kegiatan yang berkaitan
dengan penyuapan dan SMAP, namun masih memiliki tanggung jawab
keseluruhan.

manajemen tertinggi, jika organisasi tidak mempunyai dewan
pengarah.
5.1.2 Manajemen tertinggi
Manajemen tertinggi harus memperagakan kepemimpinan dan komitmen
terhadap
sistem manajemen anti-penyuapan dengan:
a) memastikan sistem manajemen anti-penyuapan, termasuk
kebijakan dan sasaran, ditetapkan, diterapkan, dipelihara dan
ditinjau secara cukup yang dimaksudkan untuk mengatasi risiko
penyuapan pada organisasi;
b) memastikan integrasi persyaratan sistem manajemen anti-
penyuapan kedalam proses organisasi;
c) menyediakan sumber daya yang cukup dan tepat untuk operasi
yang efektif dari sistem manajemen anti-penyuapan;
d) mengomunikasikan kebijakan anti-penyuapan secara internal dan
eksternal;
e) mengomunikasikan secara internal pentingnya manajemen anti-
penyuapan yang efektif dan memenuhi persyaratan sistem
manajemen anti-penyuapan;
f) memastikan sistem manajemen anti-penyuapan dirancang secara
tepat untuk mencapai sasarannya;
g) mengarahkan dan mendukung personel untuk berkontribusi pada
keefektifan sistem manajemen anti-penyuapan;
h) mempromosikan budaya anti-penyuapan yang sesuai di
organisasi;
i) mempromosikan peningkatan berkelanjutan;
Sebagai contoh, organisasi yang menerapkan dan mengoperasikan SMAP
dapat menjadi unit bisnis dalam organisasi yang lebih besar. Dalam hal
ini, manajemen tertinggi adalah orang atau kelompok orang yang
mengarahkan dan mengendalikan unit bisnis tersebut.
Manajemen tertinggi juga berpartisipasi dalam tinjauan manajemen (lihat
9.3) dan mempromosikan perbaikan terus-menerus (lihat 10.2).
Panduan
Manajemen tertinggiharus memberikan kepemimpinan dan menunjukkan
komitmen melalui hal-hal berikut:
a) manajemen tertinggi harus memastikan bahwa kebijakan anti-
penyuapan dan tujuananti-penyuapan ditetapkan dan sesuai dengan
arahan strategis organisasi;
b) manajemen tertinggi harus memastikan bahwa persyaratan dan
kontrol anti-penyuapan diintegrasikan ke dalam proses organisasi.
Bagaimana hal ini dicapai harus disesuaikan dengan konteks spesifik
organisasi. Misalnya, organisasi yang telah menunjuk pemilik
proses dapat mendelegasikan tanggung jawab untuk menerapkan
persyaratan yang berlaku kepada orang atau kelompok orang ini.
Dukungan manajemen tertinggijuga diperlukan untuk mengatasi
hambatan organisasi terhadap perubahan proses dan kontrol;
c) manajemen tertinggi harus memastikan tersedianya sumber daya
untuk SMAP yang efektif. Sumber daya dibutuhkan untuk pendirian

j) mendukung peran manajemen yang relevan lainnya untuk
memperagakan kepemimpinannya dalam mencegah dan
mendeteksi penyuapan yang terjadi di bidang tanggung jawab
mereka;
k) mendorong penggunaan prosedur pelaporan untuk penyuapan
yang dicurigai dan aktual (lihat 8.9);
l) memastikan tidak ada personel yang menderita tindakan
pembalasan, diskriminasi atau disipliner (lihat 7.2.2.1 d))
terhadap laporan yang dibuat dengan itikad baik atau atas dasar
keyakinan yang wajar terhadap pelanggaran atau pelanggaran
yang dicurigai dari kebijakan anti-penyuapan organisasi, atau
menolak terlibat dalam penyuapan walaupun penolakan ini dapat
mengakibatkan hilangnya bisnis organisasi (kecuali jika ada
partisipasi individu dalam pelanggaran ini);
m) pada waktu yang direncanakan, melaporkan ke dewan pengarah
(jika ada) mengenai isi dan operasi dari sistem manajemen anti-
penyuapan dan atas tuduhan serius atau penyuapan terstruktur.
SMAP, pelaksanaannya, pemeliharaan dan perbaikannya, serta
untuk menerapkan kontrol anti-penyuapan.
Sumber daya yang dibutuhkan untuk SMAP meliputi:
1) sumber keuangan;
2) personil;
3) fasilitas; dan
4) infrastruktur teknis.
Sumber daya yang dibutuhkan bergantung pada konteks organisasi,
seperti ukuran, kompleksitas, dan persyaratan internal dan eksternal.
Tinjauan manajemen harus memberikan informasi yang menunjukkan
apakah sumber daya memadai untuk organisasi
d) manajemen tertinggi harus mengkomunikasikan kebutuhan akan
anti-penyuapan dalam organisasi dan kebutuhan untuk
menyesuaikan diri dengan persyaratan anti-penyuapan. Hal ini dapat
dilakukan dengan memberikan contoh praktis yang menggambarkan
kebutuhan aktual dalam konteks organisasi dan dengan
mengkomunikasikan persyaratan anti-penyuapan;
e) manajemen tertinggi harus memastikan bahwa SMAP mencapai
hasil yang diharapkan dengan mendukung pelaksanaan semua proses
manajemen anti-penyuapan, dan khususnya dengan meminta dan
meninjau laporan status dan keefektifan SMAP (lihat 5.3)
Laporan tersebut dapat diturunkan dari pengukuran (lihat 6.2 butir b dan
9.1 butir a), tinjauan manajemen dan laporan audit. Manajemen tertinggi

juga dapat menetapkan sasaran kinerja untuk personil kunci yang terlibat
dalam SMAP;
f) manajemen tertinggi harus mengarahkan dan mendukung orang-
orang dalam organisasi yang terlibat langsung dengan penyuapan
dan SMAP. Gagal melakukan hal ini dapat berdampak negatif
terhadap keefektifan SMAP. Umpan balik dari manajemen tertinggi
dapat mencakup bagaimana kegiatan yang direncanakan sesuai
dengan kebutuhan strategis organisasi dan juga untuk
memprioritaskan berbagai aktivitas di SMAP;
g) manajemen tertinggi harus menilai kebutuhan sumber daya selama
tinjauan manajemen dan menetapkan tujuan untuk perbaikan
berkelanjutan dan untuk memantau keefektifan kegiatan yang
direncanakan; dan
h) manajemen tertinggi harus mendukung orang-orang yang peran dan
bertanggung jawabnya terkait dengan pengelolaan anti-penyuapan
yang telah ditetapkan, sehingga mereka termotivasi dan dapat
mengarahkan dan mendukung kegiatan anti-penyuapan di wilayah
mereka.
Dalam kasus dimana organisasi yang menerapkan dan mengoperasikan
SMAP adalah bagian dari organisasi, kepemimpinan dan komitmen yang
lebih besar dapat ditingkatkan dengan melibatkan orang atau kelompok
orang yang mengendalikan dan mengarahkan organisasi yang lebih besar.
Jika orang atau kelompok orang ini memahami apa yang terlibat dalam
penerapan SMAP, mereka dapat memberikan dukungan untuk
manajemen tertinggi dalam lingkup SMAP dan membantu mereka

memberikan kepemimpinan dan menunjukkan komitmen terhadap
SMAP. Misalnya, jika pihak yang berkepentingan di luar lingkup SMAP
terlibat dalam pengambilan keputusan mengenai sasaran penyuapan dan
kriteria risiko dan tetap sadar akan hasil penyuapan yang dihasilkan oleh
SMAP, keputusan mereka mengenai alokasi sumber daya dapat
disesuaikan dengan persyaratan dari SMAP.
Informasi lainnya
Tidak ada informasi lain.
5.2 Kebijakan anti-penyuapan
Manajemen tertinggi harus menetapkan, memelihara dan meninjau
kebijakan anti penyuapan yang:
a) melarang penyuapan;
b) mensyaratkan kepatuhan dengan peraturan perundang-undangan
anti-penyuapan yang berlaku pada organisasi;
c) sesuai dengan tujuan organisasi;
d) menyediakan kerangka kerja untuk menetapkan, meninjau dan
mencapai sasaran anti-penyuapan;
e) termasuk komitmen untuk memenuhi persyaratan sistem
f) mendorong peningkatan kepedulian dengan itikad baik, atau atas
dasar keyakinan yang wajar, tanpa takut tindakan balasan;
g) termasuk komitmen untuk peningkatan berkelanjutan dari sistem
5.2 Kebijakan anti-penyuapan
Manajemen tertinggi menetapkan kebijakan anti-penyuapan
Penjelasan
Kebijakan anti-penyuapan menggambarkan kepentingan strategis SMAP
bagi organisasi dan tersedia sebagai informasi terdokumentasi. Kebijakan
tersebut mengarahkan aktivitas anti-penyuapan ke dalam organisasi.
Kebijakan tersebut menyatakan apa kebutuhan akan anti-penyuapan
dalam konteks aktual organisasi.
Panduan
Kebijakan anti-penyuapan harus berisi pernyataan singkat dan jelas yang
sesuai dengan maksud dan arah mengenai anti-penyuapan. Hal ini dapat

h) menjelaskan wewenang dan kemandirian dari fungsi kepatuhan
anti-penyuapan;
i) menjelaskan konsekuensi jika tidak sesuai dengan kebijakan anti-
penyuapan.
Kebijakan anti-penyuapan harus:
— tersedia sebagai informasi terdokumentasi;
— dikomunikasikan dalam bahasa yang sesuai didalam organisasi dan
kepada rekan isnis yang memiliki risiko penyuapan di atas batas rendah;
— tersedia untuk pemangku kepentingan
yang relevan, jika sesuai.
spesifik untuk lingkup SMAP, atau dapat memiliki cakupan yang lebih
luas.
Semua kebijakan, prosedur, aktivitas dan tujuan yang terkait dengan anti-
penyuapan harus disesuaikan dengan kebijakan anti-penyuapan.
Kebijakan anti-penyuapan harus mencerminkan situasi bisnis, budaya, isu
dan masalah yang berkaitan dengan penyuapan. Luasnya kebijakan anti-
penyuapan harus sesuai dan budaya organisasi serta keseimbangan antara
kemudahan membaca dan kelengkapan. Adalah penting bahwa pengguna
kebijakan dapat mengidentifikasi dirinya dengan arahan strategis dari
kebijakan tersebut.
Kebijakan anti-penyuapan dapat mencakup tujuan anti-penyuapan untuk
organisasi atau menggambarkan kerangka kerja bagaimana tujuan anti-
penyuapan ditetapkan (yaitu siapa yang menetapkannya untuk SMAP dan
bagaimana penggunaannya harus ditempatkan dalam lingkup SMAP).
Misalnya, dalam organisasi yang sangat besar, tujuan tingkat tinggi harus
ditetapkan oleh manajemen eksekutif seluruh organisasi, kemudian,
sesuai dengan kerangka kerja yang ditetapkan dalam kebijakan anti-
penyuapan, mereka harus dirinci dengan cara memberi arahan untuk
semua pihak yang berkepentingan.
Kebijakan anti-penyuapan harus mengandung pernyataan yang jelas dari
manajemen tertinggi atas komitmen mereka untuk memenuhi persyaratan
terkait penyuapan.

Kebijakan anti-penyuapan harus mengandung pernyataan yang jelas
bahwa manajemen tertinggi mendukung perbaikan terus-menerus dalam
semua aktivitas. Penting untuk menyatakan prinsip ini dalam kebijakan,
sehingga orang-orang dalam sistem manajemen menyadarinya.
Kebijakan anti-penyuapan harus dikomunikasikan kepada semua orang
dalam ruang lingkup SMAP. Oleh karena itu, format dan bahasanya harus
sesuai sehingga mudah dimengerti oleh semua penerima.
Kebijakan anti-penyuapan dapat ditulis sedemikian rupa sehingga
memungkinkan untuk mengkomunikasikannya kepada pihak
berkepentingan eksternal yang relevan di luar organisasi. Contoh pihak
eksternal tersebut adalah pelanggan, pemasok, kontraktor, subkontraktor
dan organisasi pengatur. Jika kebijakan anti-penyuapan tersedia bagi
pihak yang berkepentingan eksternal, sebaiknya tidak menyertakan
informasi rahasia.
Kebijakan anti-penyuapan harus tersedia sebagai informasi
terdokumentasi. Persyaratan dalam ISO / IEC 37001: 2016 tidak
menyiratkan bentuk spesifik dari informasi terdokumentasi ini, jadi
terserah pada organisasi untuk menentukan bentuk mana yang paling
tepat. Jika organisasi memiliki template standar untuk kebijakan, bentuk
kebijakan anti-penyuapan harus menggunakan templat ini.
Informasi tambahan
Informasi lebih lanjut mengenai kebijakan yang berkaitan dengan
keamanan informasi dapat ditemukan di ISO / IEC

27002 - Teknologi informasi - Teknik keamanan - Kode praktik
untuk kontrol kemanan informasi.
Informasi lebih lanjut tentang hubungan antara kebijakan anti-
penyuapan/keamanan informasi dan kebijakan lainnya dalam
kerangka kebijakan dapat ditemukan di Lampiran A.
5.3 Peran, tanggung jawab dan wewenang organisasi
5.3.1 Peran dan tanggung jawab
Manajemen tertinggi harus mempunyai seluruh tanggung jawab untuk
penerapan atas dan kepatuhan dengan sistem manajemen anti-penyuapan
seperti yang dijelaskan dalam 5.1.2.
Manajemen tertinggi harus memastikan bahwa tanggung jawab dan
wewenang untuk peran yang relevan ditentukan dan dikomunikasikan di
dalam dan menyeluruh ke setiap tingkatan dari organisasi. Manajer pada
setiap tingkatan harus bertanggung jawab untuk meminta bahwa
persyaratan sistem manajemen anti-penyuapan diaplikasikan dan
dipenuhi pada departemen atau fungsi mereka.
Dewan pengarah (jika ada), manajemen puncak dan seluruh personel lain
harus bertanggung jawab untuk pemahaman, pemenuhan, dan penerapan
persyaratan sistem manajemen anti-penyuapan, sebagaimana terkait
terhadap perannya didalam organisasi.
5.3 Peran, tanggung jawab dan wewenang organisasi
Manajemen tertinggi memastikan tanggung jawab dan wewenang untuk
peran yang relevan dengan anti-penyuapan ditugaskan dan
dikomunikasikan ke seluruh organisasi.
Penjelasan
Manajemen tertinggi memastikan bahwa peran dan tanggung jawab serta
otoritas yang diperlukan yang relevan dengan anti-penyuapan ditugaskan
dan dikomunikasikan. SMAP cenderung berubah dari waktu ke waktu dan
perubahan tersebut dapat menyebabkan hilangnya kesesuaian dengan
persyaratan spesifik ISO / IEC 37001: 2016. Oleh karena itu, manajemen
tertinggi memberikan tanggung jawab dan wewenang untuk memastikan
kepatuhan SMAP dengan ISO / IEC 37001: 2016 dan untuk melaporkan
kinerja SMAP kembali ke manajemen tertinggi.

5.3.2 Fungsi kepatuhan anti-penyuapan
Manajemen tertinggi harus menugaskan pada fungsi kepatuhan anti-
penyuapan tanggung jawab dan wewenang untuk:
a) mengawasi rancangan dan penerapan sistem manajemen anti-
penyuapan organisasi;
b) menyediakan petunjuk dan panduan untuk personel atas sistem
manajemen anti-penyuapan dan isu terkait penyuapan;
c) memastikan sistem manajemen anti-penyuapan sesuai dengan
persyaratan standar ini;
d) melaporkan kinerja sistem manajemen anti-penyuapan kepada
dewan pengarah (jika ada) dan manajemen tertinggi dan fungsi
kepatuhan lainnya, jika sesuai.
Fungsi kepatuhan anti-penyuapan harus mempunyai kecukupan sumber
daya dan ditugaskan pada orang (kelompok) yang mempunyai kesesuaian
kompetensi, status, tanggung jawab dan mandiri. Fungsi kepatuhan anti-
penyuapan harus mempunyai akses langsung dan cepat kepada dewan
pengarah (jika ada) dan pada manajemen tertinggi ketika ada isu atau
kepedulian yang diperlukan untuk diketahui terkait dengan penyuapan
atau sistem manajemen anti-penyuapan.
Manajemen tertinggi dapat menugaskan beberapa atau seluruh fungsi
kepatuhan anti-penyuapan kepada orang diluar organisasi. Jika hal ini
terjadi, manajemen tertinggi harus memastikan personel khusus
mempunyai tanggung jawab dan kewenanganan terhadap penugasan
eksternal yang merupakan bagian dari fungsi.
Panduan
Manajemen tertinggi harus memastikan bahwa tanggung jawab dan
wewenang untuk SMAP ditugaskan agar sistem manajemen memenuhi
persyaratan yang tercantum dalam ISO / IEC 37001: 2016.
Manajemen tertinggi tidak perlu menetapkan semua peran, tanggung
jawab dan wewenang, namun harus cukup mendelegasikan wewenang
untuk melakukan hal ini.
Manajemen tertinggi harus meninjau peran, tanggung jawab dan
kewenangan utama SMAP.
Tanggung jawab dan wewenang yang terkait dengan kegiatan anti-
penyuapan harus diberikan. Kegiatan meliputi:
a) mengkoordinasikan pembentukan, implementasi, pemeliharaan,
pelaporan kinerja, dan peningkatan SMAP;
b) menasihati penilaian dan penanganan risiko anti-penyuapan;
c) merancang proses dan sistem anti-penyuapan;
d) menetapkan standar mengenai penentuan, konfigurasi dan operasi
pengendalian anti-penyuapan; dan
e) mengelola insiden anti-penyuapan.
Di luar peran yang secara khusus terkait dengan anti-penyuapan,
tanggung jawab anti-penyuapan yang relevan dan otoritas harus
disertakan dalam peran lain. Misalnya, tanggung jawab anti-penyuapan
dapat digabungkan dalam peran:

CATATAN Lihat Klausul A.6 sebagai panduan
5.3.3 Pengambilan keputusan yang didelegasikan
Ketika manajemen tertinggi mendelegasikan wewenang kepada personel
untuk membuat keputusan terkait dengan terdapatnya risiko penyuapan di
atas batas rendah, organisasi harus menetapkan dan memelihara suatu
proses pengambilan keputusan atau mensyaratkan kendali yang
diperlukan untuk proses keputusan dan tingkat kewenangan dari
pengambil keputusan yang tepat dan bebas dari konflik kepentingan yang
aktual atau potensial. Manajemen tertinggi harus memastikan proses ini
ditinjau secara berkala sebagai bagian dari peran dan tanggung jawabnya
untuk penerapan dan kepatuhan dengan sistem manajemen anti-
penyuapan yang dijelaskan pada 5.3.1.
CATATAN Pendelegasian dari pengambilan keputusan tidak
membebaskan manajemen puncak atau dewan pengarah (jika ada) dari
tugas dan tanggung jawabnya seperti dijelaskan dalam bagian 5.1.1, 5.1.2
dan 5.3.1, juga tidak perlu menyerahkan tanggung jawab hukum kepada
personel potensial yang didelegasikan
f) pemilik informasi;
g) pemilik proses;
h) pemilik aset (misalnya pemilik aplikasi atau infrastruktur);
i) pemilik risiko;
j) fungsi koordinasi atau petugas anti-penyuapan (peran khusus ini
biasanya merupakan peran pendukung dalam SMAP);
k) manajer proyek;
l) manajer lini; dan
m) pengguna informasi
Clause 7.5).
Informasi tambahan
Tidak ada informasi tambahan.
6. Perencanaan
6.1 Tindakan yang ditujukan pada risiko dan peluang
Ketika merencanakan sistem manajemen anti-penyuapan, organisasi
harus
6 Perencanaan
6.1 Tindakan untuk mengatasi risiko dan peluang
6.1.1 Umum

mempertimbangkan isu yang mengacu pada 4.1, persyaratan yang
mengacu pada 4.2, identifikasi risiko pada 4.5, dan peluang peningkatan
yang ditujukan untuk:
a) memberi kepastian yang wajar bahwa sistem manajemen anti-
penyuapan dapat mencapai sasaran yang dimaksud;
b) mencegah, atau mengurangi, pengaruh yang tidak diinginkan
yang relevan dengan kebijakan dan sasaran anti-penyuapan;
c) memantau keefektifan sistem manajemen anti-penyuapan;
d) mencapai peningkatan berkelanjutan. Organisasi harus
merencanakan:
— tindakan untuk mengatasi risiko penyuapan dan peluang untuk
peningkatan;
— bagaimana untuk:
— mengintegrasikan dan menerapkan tindakan ini pada proses
sistem
— mengevaluasi keefektifan dari tindakantersebut.
ISO / IEC 37001: 2016, 6.1 berkaitan dengan perencanaan tindakan untuk
menangani semua jenis risiko dan peluang yang relevan dengan SMAP.
Hal ini termasuk penilaian risiko dan perencanaan untuk penanganan
risiko.
Struktur ISO / IEC 37001 membagi risiko menjadi dua kategori selama
proses perencanaan:
a) risiko dan peluang yang relevan dengan hasil yang diharapkan
dari SMAP secara keseluruhan; dan
b) Risiko anti-penyuapan yang berhubungan dengan hilangnya
kerahasiaan, integritas dan ketersediaan informasi dalam lingkup
SMAP.
Kategori pertama harus ditangani sesuai dengan persyaratan yang
ditentukan dalam ISO / IEC 37001: 2016, 6.1.1 (umum).
Risiko yang masuk dalam kategori ini dapat menjadi risiko yang berkaitan
dengan SMAP itu sendiri, definisi ruang lingkup SMAP, komitmen
manajemen puncak terhadap anti-penyuapan, sumber daya untuk
mengoperasikan SMAP, dan lain-lain.
Peluang yang termasuk dalam kategori ini dapat menjadi peluang yang
berkaitan dengan hasil dari SMAP, nilai komersial SMAP, efisiensi
proses operasi SMAP dan kontrol anti-penyuapan, dan lain-lain
Kategori kedua terdiri dari semua risiko yang berhubungan langsung
dengan hilangnya kerahasiaan, integritas dan ketersediaan informasi

dalam lingkup SMAP. Resiko ini harus ditangani sesuai dengan 6.1.2
(penilaian risiko anti-penyuapan) dan 6.1.3 (perawatan risiko anti-
penyuapan).
Organisasi dapat memilih untuk menggunakan teknik yang berbeda untuk
setiap kategori.
Subbagian persyaratan untuk menangani risiko dapat dijelaskan sebagai
berikut. Ada beberapa alasan mengapa risiko anti penyuapan ditangani
dengan cara yang lebih spesifik
- Mendorong kesesuaian dan menjaga kompabilitas dengan standar
sistem manajemen lainnya untuk organisasi yang memiliki sistem
manajemen terpadu untuk berbagai aspek seperti kualitas,
lingkungan dan anti-penyuapan;
- memastikan dengan cara mensyaratkan bahwa organisasi
mendefinisikan dan menerapkan proses yang lengkap dan terperinci
untuk penilaian dan penanganan risiko anti-penyuapan; dan
- Menekankan bahwa manajemen risiko anti-penyuapan merupakan
elemen inti dari SMAP.
ISO 37003 : 2017 ini, menggunakan ungkapan tersebut 'menentukan
risiko dan peluang' dan 'menangani risiko dan peluang'. Kata
"menentukan" dapat dianggap setara dengan kata "penilaian" yang
digunakan dalam ISO 37003: 2017 , 6.1.2 ini (yaitu mengidentifikasi,
menganalisis dan mengevaluasi). Demikian pula, kata "menangani" dapat

dianggap setara dengan kata "treatment (perawatan)" yang digunakan
dalam ISO / IEC 37001: 2016, 6.1.3.
Saat merencanakan SMAP, organisasi menentukan risiko dan peluang
yang mempertimbangkan masalah yang disebutkan dalam 4.1 dan
persyaratan yang disebutkan dalam 4.2.
Penjelasan
Untuk risiko dan peluang yang relevan dengan hasil yang diharapkan dari
SMAP, organisasi menentukannya berdasarkan masalah internal dan
eksternal (lihat 4.1) dan persyaratan dari pihak yang berkepentingan (lihat
4.2). Kemudian organisasi tersebut merencanakan SMAP untuk:
c) memastikan bahwa hasil yang diharapkan disampaikan oleh
SMAP, mis. bahwa risiko anti-penyuapan diketahui pemilik
risiko dan diperlakukan pada tingkat yang dapat diterima;
d) mencegah atau mengurangi efek yang tidak diinginkan dari risiko
yang terkait dengan hasil yang diharapkan dari SMAP. efek yang
tidak diinginkan dari risiko yang relevan dengan hasil yang
diharapkan dari SMAP dicegah atau dikurangi; dan

e) perbaikan berkelanjutan (lihat 10.2), mis. melalui mekanisme
yang tepat untuk mendeteksi dan memperbaiki kelemahan dalam
proses manajemen atau mengambil kesempatan untuk
memperbaiki anti-penyuapan.
Risiko yang terkait dengan a) di atas dapat berupa proses dan tanggung
jawab yang tidak jelas, kesadaran yang rendah di antara karyawan,
keterlibatan manajemen yang buruk, dan lain-lain.
Risiko yang terkait dengan b) di atas dapat menjadi manajemen risiko
yang buruk atau kurangnya kesadaran akan risiko.
Risiko yang terkait dengan c) di atas dapat menjadi manajemen
dokumentasi dan proses SMAP yang buruk.
Ketika sebuah organisasi melihat peluang dalam aktivitasnya, kegiatan ini
kemudian mempengaruhi konteks organisasi (ISO / IEC 37001: 2016, 4.1)
atau kebutuhan dan harapan pihak yang berkepentingan (ISO / IEC 37001:
2016, 4.2), dan dapat mengubah risiko bagi organisasi.
Contoh peluang semacam itu adalah: memfokuskan bisnisnya pada
beberapa bidang produk atau layanan, menetapkan strategi pemasaran
untuk beberapa wilayah geografis, atau memperluas kemitraan bisnis
dengan organisasi lain.
Kesempatan juga ada dalam perbaikan terus-menerus proses dan
dokumentasi SMAP, bersama dengan evaluasi hasil yang diharapkan
yang disampaikan oleh SMAP. Misalnya, pertimbangan SMAP yang

relatif baru sering menghasilkan identifikasi peluang untuk
menyempurnakan proses dengan mengklarifikasi antarmuka, mengurangi
overhead administratif, menghilangkan bagian-bagian proses yang tidak
efektif yang dapat mempengaruhi biaya operasional, dengan cara
memperbaiki dokumentasi dan mengenalkan teknologi informasi baru.
Perencanaan di 6.1.1 mencakup penentuan:
f) tindakan untuk mengatasi risiko dan peluang; dan
g) caranya adalah:
1) mengintegrasikan dan menerapkan tindakan ini ke dalam proses
SMAP; dan
2) mengevaluasi keefektifan tindakan yang diambil.
Panduan
Organisasi harus:
h) menentukan risiko dan peluang yang dapat mempengaruhi
pencapaian tujuan yang dijelaskan dalam a), b) dan c), mengingat
isu-isu yang disebutkan dalam 4.1 dan persyaratan yang
disebutkan dalam 4.2; dan
i) mengembangkan rencana untuk melaksanakan tindakan yang
telah ditentukan dan untuk mengevaluasi keefektifan tindakan
tersebut; tindakan harus direncanakan dengan
mempertimbangkan integrasi proses anti-penyuapan dan
dokumentasi dalam struktur yang ada; semua tindakan ini terkait

dengan tujuan anti-penyuapan (6.2) terhadap risiko anti-
penyuapan yang dinilai dan ditangani (lihat 6.1.2 dan 6.1.3).
Persyaratan umum untuk terus memperbaiki SMAP yang tercantum
dalam ISO / IEC 37001: 2016, 10.2 didukung oleh persyaratan untuk
mencapai peningkatan berkelanjutan yang diberikan dalam 6.1.1 dengan
persyaratan lain yang relevan dari ISO / IEC 37001: 2016, 5.1 g), 5.2 d ),
9.1, 9.2 dan 9.3.
Tindakan yang diperlukan dalam 6.1.1 dapat berbeda untuk tingkat
strategis, taktis dan operasional, untuk lokasi yang berbeda, atau untuk
berbagai layanan atau sistem.
Beberapa pendekatan dapat diambil untuk memenuhi persyaratan 6.1.1,
dua di antaranya adalah:
- mempertimbangkan risiko dan peluang yang terkait dengan
perencanaan, pelaksanaan dan operasi SMAP secara terpisah dari
risiko anti-penyuapan; dan
- mempertimbangkan semua risiko secara bersamaan.
Organisasi yang mengintegrasikan SMAP ke dalam sistem manajemen
yang benar akan menemukan bahwa persyaratan 6.1.1 dipenuhi oleh
metodologi perencanaan bisnis yang ada di perusahaan. Jika hal ini
terjadi, perawatan
harus dilakukan untuk memastikan bahwa metodologi mencakup semua
persyaratan 6.1.1.

untuk efektivitas sistem manajemennya (lihat ISO / IEC 37001: 2016,
7.5.1 b)).
Informasi lainnya
Informasi lebih lanjut tentang manajemen risiko dapat ditemukan di ISO
31000.
CATATAN Istilah "risiko" didefinisikan sebagai "efek ketidakpastian
terhadap tujuan" (lihat ISO / IEC 27000: 2016, 2.68).
6.1.2 Penilaian risiko SMAP
Organisasi mendefinisikan dan menerapkan proses penilaian risiko anti-
penyuapan.
Penjelasan
Organisasi mendefinisikan dan mengamanatkan penggunaan proses
penilaian risiko anti-penyuapan yang:
a) menetapkan dan memelihara kriteria risiko anti-penyuapan
yang meliputi:
1) kriteria penerimaan risiko; dan
2) kriteria untuk melakukan penilaian risiko anti-penyuapan, mis.
Kriteria untuk mengklasifikasikan konsekuensi dan kemungkinan
dan aturan untuk menentukan tingkat risiko; dan

b) memastikan bahwa penilaian risiko anti-penyuapan yang berulang
menghasilkan hasil yang konsisten, valid dan dapat dibandingkan.
Proses penilaian risiko anti-penyuapan kemudian didefinisikan sepanjang
sub-proses berikut ini:
c) identifikasi risiko anti-penyuapan:
1) mengidentifikasi risiko yang terkait dengan hilangnya
kerahasiaan, integritas dan ketersediaan informasi dalam
lingkup SMAP; dan
2) mengidentifikasi pemilik risiko yang terkait dengan risiko ini,
mis. Untuk mengidentifikasi dan menunjuk rang-orang dengan
wewenang dan tanggung jawab yang tepat untuk mengelola
risiko yang teridentifikasi
d) analisis risiko anti-penyuapan:
1) menilai konsekuensi potensial jika terjadi risiko yang
teridentifikasi, mis. Dampak bisnis langsung seperti kerugian
moneter atau dampak bisnis tidak langsung seperti kerusakan
reputasi;
2) menilai kemungkinan realistis terjadinya risiko yang
teridentifikasi, dengan kuantitatif (yaitu probabilitas atau
frekuensi) atau nilai kualitatif; dan
3) menentukan tingkat risiko yang teridentifikasi sebagai
kombinasi yang telah ditentukan sebelumnya dari konsekuensi
yang dinilai dan kemungkinan yang dinilai sebagaimana
didefinisikan dalam butir a.

e) evaluasi risiko anti-penyuapan:
1) membandingkan hasil analisis risiko dengan kriteria risiko yang
ditetapkan pada butir a; dan
2) memprioritaskan risiko yang dianalisis untuk penanganan
risiko, mis. Tentukan urgensi pengobatan dan urutan jika
beberapa risiko memerlukan perawatan, tunjukkan apakah
kontrol terutama harus mengobati kemungkinan atau
konsekuensi risiko.
Semua langkah proses penilaian risiko anti-penyuapan (6.1.2 butir a ke
butir e) perlu didokumentasikan dan disimpan oleh organisasi sebagai
informasi terdokumentasi. Pengoperasian proses penilaian risiko anti-
penyuapan dijelaskan pada 8.3.
Panduan
Panduan penetapan kriteria risiko (6.1.2 butir a)
Kriteria risiko keamanan anti-penyuapan ditetapkan dengan
mempertimbangkan konteks organisasi dan harus ditetapkan sesuai
dengan preferensi risiko manajemen tertinggi dan persepsi risiko di satu
pihak dan harus memungkinkan proses manajemen risiko yang layak dan
sesuai di sisi lain.
Kriteria risiko anti-penyuapan harus ditetapkan sehubungan dengan hasil
anti-penyuapan yang diinginkan.

kriteria risiko dapat didasarkan pada tingkat maksimum yang dapat
diterima dari risiko, pertimbangan biaya-manfaat, pada dampak pada
organisasi, risiko baru yang mungkin timbul jika beberapa tindakan
pengobatan resiko direncanakan dan dilaksanakan.
Kriteria penetapan atau risiko harus didahului dengan penetapan kriteria
untuk mengidentifikasi dan mengevaluasi konsekuensi dan kemungkinan
risiko anti-penyuapan dan metode untuk menggabungkannya agar
memiliki tingkat risiko.
Tabel yang telah ditentukan dengan kriteria konsekuensi yang dinyatakan
dengan penjelasan lisan untuk mengklasifikasikan tingkat konsekuensi
mungkin berguna untuk menilai konsekuensi dari risiko terwujud secara
kualitatif, kuantitatif atau semi kuantitatif. Kriteria penerimaan risiko
harus disetujui oleh manajemen yang bertanggung jawab.
Panduan untuk menghasilkan hasil penilaian yang konsisten, valid
dan sebanding (6.1.2 butir b)
Proses penilaian risiko, haruslah didasarkan pada metode dan sistem yang
dirancang itu memadai dan sesuai dengan rincian, sehingga mengarahkan
pada hasil yang konsisten, dan valid (yaitu konsisten dan sebanding) dan
yang sebanding. Selama operasi (lihat 8.2), pengulangan keseluruhan atau
bagian dari proses penilaian risiko anti-penyuapan (lihat 6.1.2) dapat
membantu dalam mengidentifikasi masalah dengan metode penilaian
risiko yang dipilih (yang dapat tampak sebagai inkonsistensi atau
perbedaan dalam hasil).

Apapun metode yang dipilih, proses penilaian anti-penyuapan harus
memastikan bahwa:
• Semua risiko, pada tingkat detail yang dibutuhkan,
dipertimbangkan;
• hasilnya konsisten (mis., Ketika kemungkinan yang dikaji atau
konsekuensi yang dikemukakan meningkat, tingkat risiko
meningkat);
• Hasilnya dapat direproduksi (yaitu identifikasi risiko analisis
mereka dan evaluasinya dapat dipahami oleh pihak ketiga dan
hasilnya sama jika orang yang berbeda menilai risikonya dalam
konteks yang sama); dan
• hasil penilaian risiko berulang sebanding (yaitu mungkin untuk
memahami jika tingkat risiko meningkat atau menurun).
Panduan identifikasi risiko anti-penyuapan (6.1.2 butir c)
Tujuan identifikasi risiko adalah menghasilkan daftar risiko yang
komprehensif berdasarkan kejadian yang dapat menciptakan,
meningkatkan, mencegah, menurunkan, mempercepat atau menunda
pencapaian tujuan.
Identifikasi risiko adalah proses menemukan, mengenali dan
menggambarkan risiko.
Ini melibatkan identifikasi sumber risiko, kejadian, sebab dan akibatnya.
Dua pendekatan yang umum digunakan untuk identifikasi risiko
anti-penyuapan:

• Pendekatan berbasis acara mempertimbangkan sumber risiko
secara generik. Peristiwa yang dianggap bisa saja terjadi di masa
lalu atau bisa diantisipasi untuk masa depan. Dalam kasus
pertama mereka dapat melibatkan data historis, dalam kasus
kedua mereka dapat didasarkan pada analisis teoritis dan
pendapat ahli; dan
• Pendekatan berdasarkan identifikasi aset, ancaman, dan
kerentanan mempertimbangkan dua jenis sumber risiko yang
berbeda: aset dengan kerentanan intrinsik, dan ancaman.
Peristiwa yang dipertimbangkan di sini adalah cara potensial
bagaimana ancaman dapat memanfaatkan kerentanan tertentu
dari suatu aset untuk mempengaruhi sasaran organisasi. Kedua
pendekatan tersebut konsisten dengan prinsip dan pedoman
umum mengenai penilaian risiko dalam ISO 31000. Pendekatan
berdasarkan aset, ancaman, dan kerentanan sesuai dengan
pendekatan identifikasi risiko anti-penyuapan yang diperlukan.
Hal ini memastikan bahwa investasi terdahulu dalam identifikasi
risiko tidak hilang.
Pedoman analisis risiko anti-penyuapan (6.1.2 butir d)
Analisis risiko memiliki tujuan untuk menentukan besaran risikonya.
ISO 31000 direferensikan dalam ISO / IEC 37001: 2016 sebagai metode
umum. ISO / IEC 37001: 2016 menentukan bahwa analisis risiko harus
didasarkan pada penilaian konsekuensi akibat risiko yang teridentifikasi
dan kemungkinan konsekuensi tersebut terjadi untuk menentukan tingkat
risiko.

Jenis analisis risiko berdasarkan kemungkinan dan konsekuensinya
dapat berupa:
1) kualitatif, menggunakan skala atribut kualifikasi (misalnya Tinggi,
Sedang, Rendah);
2) kuantitatif, menggunakan skala dengan nilai numerik (misalnya
biaya moneter, frekuensi atau probabilitas terjadinya); atau
3) semi kuantitatif, menggunakan skala kualitatif dengan nilai yang
ditetapkan.
Bila menggunakan pertimbangan tipe analisis risiko kualitatif harus
diberikan pada tingkat objektivitas pada tingkat risiko yang ditentukan.
Ada banyak metode untuk menganalisis risikonya. Analisis skenario
adalah salah satu metode yang cocok untuk analisis risiko anti-penyuapan
(dan untuk identifikasi risiko). Analisis skenario bisa paling efektif bila
dilakukan oleh para ahli dalam skenario yang sedang dibahas. Pakar ini
harus menetapkan kerangka acuan untuk pertanyaan yang harus dijawab
oleh keseluruhan tim.
Pedoman Evaluasi risiko anti-penyuapan (6.1.2 butir e)
Evaluasi risiko yang dianalisis melibatkan penggunaan proses
pengambilan keputusan organisasi untuk membandingkan tingkat
penilaian setiap risiko dengan kriteria penerimaan yang telah ditentukan
sebelumnya untuk menentukan pilihan pengobatan risiko.

Langkah terakhir dari penilaian risiko ini memverifikasi apakah risiko
yang telah dianalisis pada langkah-langkah sebelumnya dapat diterima
sesuai dengan kriteria penerimaan yang ditentukan di bawah 6.1.2 butir a,
atau memerlukan perawatan lebih lanjut. Langkah di 6.1.2 item d
memberikan informasi tentang besarnya risiko namun tidak ada informasi
langsung tentang urgensi penerapan opsi perawatan risiko.
Bergantung pada keadaan di mana risiko terjadi, mereka dapat memiliki
prioritas pengobatan yang berbeda.
Oleh karena itu, output dari langkah ini harus menjadi daftar risiko dalam
urutan prioritas. Hal ini berguna untuk menyimpan informasi lebih lanjut
tentang risiko ini dari identifikasi risiko dan langkah analisis risiko untuk
mendukung keputusan untuk penanganan risiko.
Informasi lainnya
Rincian prasyarat, langkah dan pendekatan untuk penilaian risiko
keamanan indormasi diberikan di ISO / IEC 27005 - Teknologi Informasi
- Teknik Keamanan - Manajemen risiko keamanan informasi yang
diselaraskan dengan ISO 21000, beserta contohnya.
6.1.3 Perawatan risiko anti-penyuapan
Organisasi mendefinisikan dan menerapkan proses penanganan risiko
anti-penyuapan.

Penjelasan
Perlakuan risiko anti-penyuapan adalah keseluruhan proses pemilihan
pilihan pengobatan risiko, menentukan kontrol yang tepat untuk
menerapkan opsi tersebut, merumuskan rencana perawatan risiko dan
mendapatkan persetujuan rencana perawatan risiko oleh pemilik risiko.
Operasi proses penanganan risiko anti-penyuapan dijelaskan pada 8.3.
Semua langkah proses penanganan risiko anti-penyuapan (6.1.3 item a
sampai butir f) perlu didokumentasikan dan disimpan oleh organisasi
sebagai informasi terdokumentasi.
Panduan
Panduan tentang opsi penanganan anti-penyuapan (butir 6.1.3 butir
a)
Pilihan pengobatan risiko adalah:
a) menghindari risiko dengan memutuskan untuk tidak memulai atau
melanjutkan aktivitas yang menimbulkan risiko atau dengan
menghapus sumber risiko (misalnya menutup portal e-niaga);
b) mengambil risiko tambahan atau meningkatkan risiko untuk
mendapatkan peluang (mis. membuka portal e-commerce);
c) memodifikasi risiko dengan mengubah kemungkinan (misalnya
mengurangi kerentanan) atau konsekuensinya (misalnya diversifikasi
aset) atau keduanya;
d) berbagi risiko dengan pihak lain berdasarkan asuransi, subkontrak
atau pembiayaan risiko;

e) mempertahankan risiko berdasarkan kriteria penerimaan atau
keputusan yang diinformasikan (mis. memelihara portal e-commerce
yang ada seperti apa adanya).
Setiap risiko individu harus ditangani oleh satu atau lebih opsi ini, untuk
memenuhi kriteria risiko.
Pedoman penentuan kontrol yang diperlukan (butir 6.1.3 butir b)
Hal ini dapat diperlukan untuk menggunakan beberapa kontrol untuk
mencapai modifikasi yang diperlukan. Misalnya, opsi untuk mengubah
konsekuensinya mungkin memerlukan kontrol agar bisa mendeteksi
secara cepat suatu peristiwa dan juga kontrol untuk merespons dan
memulihkan dari kejadian tersebut. Saat memilih kontrol, organisasi juga
harus memperhitungkan kontrol akun yang diperlukan untuk layanan dari
pemasok luar mis. Layanan awan (cloud), aplikasi, proses dan fungsinya.
Biasanya, kontrol ini dikelola dengan memasukkan persyaratan keamanan
dalam perjanjian dengan pemasok ini termasuk cara untuk mendapatkan
informasi sampai sejauh mana persyaratan ini terpenuhi. Sebaliknya,
mungkin ada situasi di mana organisasi, ingin memilih dan
menggambarkan kontrol terperinci sebagai bagian dari SMAP sendiri
meskipun kontrol dilakukan oleh pemasok dari luar.
Terlepas dari pendekatan yang diambil, organisasi selalu perlu
mempertimbangkan kontrol yang dibutuhkan oleh pemasok mereka saat
memilih kontrol untuk SMAP-nya.

Setiap kontrol harus memodifikasi risiko yang dinilai terhadap memenuhi
kriteria penerimaan risiko.
Panduan untuk membandingkan kontrol dengan yang ada di
Lampiran A (butir 6.1.3 butir c)
Lampiran A dari ISO / IEC 37001: 2016 berisi daftar tujuan pengendalian
dan kontrol yang dibutuhkan. Pengguna standar internasional ini
diarahkan pada representasi kontrol generik di Lampiran A untuk
memastikan bahwa tidak ada kontrol yang diperlukan yang diabaikan.
Perbandingan dengan Lampiran A juga dapat mengidentifikasi kontrol
alternatif terhadap yang ditentukan dalam 6.1.3 item b yang dapat lebih
efektif dalam memodifikasi risiko.
Tujuan pengendalian secara implisit disertakan dalam kontrol yang
dipilih. Tujuan dan kontrol kontrol yang tercantum dalam Lampiran A
tidak bersifat lengkap dan tujuan dan kontrol kontrol tambahan harus
ditambahkan sesuai kebutuhan.
Tidak semua kontrol dalam Annex A harus disertakan. Setiap kontrol
dalam Annex A yang tidak berlaku atau tidak berkontribusi terhadap
modifikasi risiko harus dikecualikan dan pembenaran harus diberikan.
Bimbingan untuk menghasilkan SOA (butir 6.1.3 butir d)
Pernyataan Penerapan The Statement of Applicability (SOA) berisi:

• semua kontrol yang diperlukan (sebagaimana ditentukan dalam
6.1.3 butir b dan 6.1.3 butir c) dan, untuk setiap kontrol;
• justifikasi untuk inklusi mereka;
• apakah kontrol yang diperlukan diterapkan atau tidak (misalnya,
implementasi sepenuhnya, sedang berlangsung, belum dimulai);
dan
• justifikasi untuk mengecualikan salah satu kontrol pada Lampiran
A ISO / IEC 37001:2016.
Justifikasi untuk memasukkan kontrol adalah pengaruhnya terhadap
modifikasi risiko. Rujukan untuk hasil penilaian risiko harus memadai,
bersamaan dengan pengurangan risiko yang diharapkan dilakukan oleh
penerapan kontrol terpilih.
Justifikasi untuk mengecualikan kontrol yang terkandung dapat
mencakup hal berikut:
• tidak berlaku karena berada di luar lingkup SMAP (misalnya ISO
/ IEC 37001: 2016 Klausal 8.1 Pengembangan outsourcing tidak
berlaku jika semua pengembangan sistem organisasi dilakukan
secara in-house);
• Disingkirkan oleh kontrol khusus (misalnya ISO /.8.3.1 dia
• biaya pelaksanaannya melebihi eksposur risiko yang dirasakan.
Catatan: Kontrol khusus adalah kontrol yang telah ditambahkan ke
kontrol Annex A dari ISO / IEC 37001: 2016.

Sebuah Pernyataan Penerapan yang berguna (SOA) harus dirancang
sebagai tabel yang berisi sekitar 100 kontrol Annex A di sepanjang baris
dan baris dengan kontrol tambahan yang tidak disebutkan dalam
Lampiran A, jika diperlukan. Satu kolom tabel dapat menunjukkan apakah
suatu kontrol diperlukan untuk menerapkan opsi perlakuan risiko atau
dapat dikecualikan.
Kolom berikutnya dapat berisi pembenaran untuk penyertaan atau
pengecualian kontrol. Kolom terakhir tabel dapat menunjukkan status
kontrol saat ini dari kontrol. Kolom lebih lanjut dapat digunakan untuk
rincian yang tidak dipersyaratkan oleh ISO / IEC 37001: 2016 namun
biasanya berguna untuk ulasan berikutnya; Rincian ini bisa menjadi
deskripsi yang lebih rinci tentang bagaimana kontrol diterapkan atau
diratifikasi silang dengan deskripsi yang lebih rinci, dan informasi dan
kebijakan terdokumentasi yang digunakan untuk mengimplementasikan
kontrol.
Meskipun bukan persyaratan spesifik dari ISO / IEC 37001: 2016,
organisasi dapat merasa berguna untuk memasukkan tanggung jawab
untuk pengoperasian setiap kontrol yang termasuk dalam SOA.
Pedoman perumusan rencana perawatan risiko (pasal 6.1.3 butir e)
37001: 2016 tidak menentukan struktur atau konten untuk rencana
perawatan risiko. Namun, rencananya harus diformulasikan dari keluaran
klausul 6.1.3 butir a sampai dengan 6.1.3 butir c di atas.

Dengan demikian rencananya harus mendokumentasikan setiap
risiko yang diobati:
• pilihan pengobatan yang dipilih;
• kontrol yang diperlukan; dan
• status implementasi
Konten bermanfaat lainnya bisa meliputi:
• pemilik risiko; dan
• Resiko residual yang diharapkan setelah pelaksanaan tindakan.
Jika ada tindakan yang diperlukan oleh rencana perawatan risiko, maka
mereka harus merencanakan untuk menunjukkan (lihat juga 6.2) tanggung
jawab dan tenggat waktu; Rencana aksi semacam itu dapat ditunjukkan
oleh daftar tindakan ini.
Rencana perawatan anti-penyuapan yang berguna harus dirancang
sebagai tabel yang diurutkan berdasarkan risiko yang diidentifikasi
selama penilaian risiko yang menunjukkan semua kontrol yang ditentukan
dalam 6.1.3 item b.
Harus ada kolom dalam tabel ini yang menunjukkan nama pemilik yang
bertanggung jawab untuk menyediakan kontrol. Kolom lebih lanjut dapat
menunjukkan tanggal pelaksanaan kontrol, informasi tentang pelaksanaan
kontrol (atau proses), mis. Bulanan, dan kolom tentang status
implementasi target.
Sebagai contoh untuk bagian dari proses perawatan risiko, pertimbangkan
pencurian ponsel. Konsekuensinya adalah hilangnya ketersediaan dan

pengungkapan informasi yang tidak diinginkan. Jika penilaian risiko
menunjukkan bahwa tingkat risiko tidak dapat diterima, organisasi dapat
memutuskan untuk mengubah kemungkinan, atau mengubah konsekuensi
risikonya.
Untuk mengubah kemungkinan kehilangan atau pencurian ponsel,
organisasi dapat menentukan bahwa kontrol yang sesuai adalah untuk
mewajibkan karyawan melalui kebijakan perangkat seluler untuk
mengurus ponsel dan secara berkala memeriksa kerugian yang mungkin
didapatkan akibat hal tersebut.
Untuk mengubah konsekuensi kehilangan atau pencurian dari
ponsel, organisasi dapat menentukan kontrol seperti:
- proses manajemen insiden sehingga pengguna dapat melaporkan
kerugian;
- Solusi Manajemen Perangkat Mobile (MDM) untuk menghapus
konten telepon jika hilang; dan
- rencana cadangan perangkat seluler untuk memulihkan konten
telepon.
Saat mempersiapkan SoA (6.1.3 d)), organisasi dapat memasukkan
kontrol yang dipilihnya (kebijakan perangkat mobile dan MDM),
membenarkan penyertaan mereka berdasarkan efeknya mengubah
kemungkinan dan konsekuensi kehilangan atau pencurian ponsel,
sehingga mengurangi risiko residual

Membandingkan kontrol ini dengan yang tercantum dalam ISO / IEC
37001: 2016, Lampiran A , dapat dilihat bahwa kebijakan perangkat
mobile selaras dengan ISO / IEC 27001: 2013, A.6.2.1, namun kontrol
MDM tidak secara langsung menyesuaikan dan harus dianggap sebagai
kontrol khusus tambahan. Jika MDM dan kontrol lainnya ditentukan
sebagai kontrol yang diperlukan dalam rencana perawatan risiko anti-
penyuapan organisasi, mereka harus disertakan dalam SoA (lihat
"Pedoman untuk membuat SoA (6.1.3 d) pada ISO ini).
Jika organisasi ingin mengurangi risiko lebih lanjut, dapat
dipertimbangkan dari ISO / IEC 37001: 2016, tentang kebijakan
(kebijakan kontrol akses) yang tidak memiliki kontrol akses ke ponsel dan
memodifikasi kebijakan perangkat mobile-nya untuk mengamanatkan
penggunaan PIN pada semua telepon genggam. Ini kemudian harus
menjadi kontrol lebih lanjut untuk mengubah konsekuensi kehilangan
atau pencurian ponsel.
Saat merumuskan rencana perawatan risiko anti-penyuapan (6.1.3 e)),
organisasi tersebut kemudian harus memasukkan tindakan untuk
menerapkan kebijakan perangkat mobile dan MDM dan menetapkan
tanggung jawab dan jangka waktu.
Panduan untuk mendapatkan persetujuan pemilik risiko (pasal 6.1.3
butir f)

Bila rencana perawatan risiko dirumuskan, organisasi harus mendapatkan
otorisasi dari pemilik risiko. Otorisasi semacam itu harus didasarkan pada
kriteria penerimaan risiko yang ditetapkan dari konsesi yang dibenarkan
jika ada penyimpangan dari mereka. Sebagai contoh, persetujuan pemilik
risiko ini dapat didokumentasikan dengan mengubah rencana perawatan
risiko yang dijelaskan di bawah panduan 6.1.3 item e dengan kolom yang
menunjukkan efektivitas pengendalian, risiko residual, dan persetujuan
pemilik risiko.
Melalui proses manajemennya, organisasi tersebut akan mencatat
penerimaan pemilik risiko atas keputusan risiko dan pengelolaan residual
dari rencana tersebut.
Informasi tambahan
Informasi lebih lanjut tentang penanganan risiko dapat ditemukan di ISO
/ IEC 27005 dan ISO 31000.
6.2 Sasaran anti-penyuapan dan perencanaan untuk mencapainya
Organisasi harus menetapkan sasaran sistem manajemen anti-penyuapan
pada fungsi dan tingkat yang relevan. Sasaran sistem manajemen anti-
penyuapan harus:
a) konsisten dengan kebijakan anti-penyuapan;
b) terukur (jika sesuai);
c) memperhitungkan faktor yang berlaku didalam 4.1, persyaratan
didalam 4.2 dan risiko penyuapan yang teridentifikasi didalam
4.5;
6.2 Tujuan anti-penyuapan dan perencanaan untuk mencapainya
Organisasi menetapkan tujuan dan tujuan anti-penyuapan untuk
mencapainya pada fungsi dan tingkatan yang relevan.
Penjelasan
Tujuan anti-penyuapan membantu mengimplementasikan tujuan strategis
suatu organisasi sekaligus menerapkan kebijakan anti-penyuapan.
Dengan demikian, tujuan dalam SMAP adalah tujuan anti-penyuapan

Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus

Ähnlich wie Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus (20)

Mehr von Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F

Mehr von Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Pedoman implementasi iso 37001 - buatan Muh. Faisal Surya Agus