Setelah membahas terkait gratifikasi, komunikasi, komitmen, dan kepemimpinan dalam SNI ISO 37001:2016 Sistem Manajemen Anti Penyuapan (SMAP), kali ini akan dibahas tentang audit internal. audit internal ini tercantum dalam klausul 9.2 dalam SNI ISO 37001:2016.
Persyaratan audit internal SMAP dilakukan sesuai dengan klausul 9.2 bahwa Organisasi harus (diwajibkan) untuk melaksanakan audit internal pada rentang waktu yang direncanakan. Sebagai panduan, audit internal SMAP dapat berpedoman kepada Lampiran A.16 SNI ISO 37001:2016, SNI ISO 19011:2018 Pedoman Audit Sistem Manajemen, dan ISO/IEC 17021-1-9:2016 Bagian 9: Persyaratan kompetensi untuk audit dan sertifikasi SMAP.
Apa tujuan Audit Internal SMAP?
Tujuan audit internal SMAP adalah untuk memastikan apakah SMAP yang telah direncanakan dan diimplementasikan oleh organisasi telah: (a) memenuhi seluruh klausul yang dipersyaratkan SNI ISO 37001 dan persyaratan SMAP yang telah ditetapkan sendiri oleh Organisasi; dan (b) apakah SMAP secara efektif diterapkan dan dipelihara. Organisasi harus merencanakan, menetapkan, menerapkan dan memelihara program audit, termasuk frekuensi, metode, tanggung jawab, persyaratan perencanaan dan pelaporan, yang harus mempertimbangkan pentingnya proses dimaksud dan hasil dari audit sebelumnya. Tujuan audit pada intinya menyediakan kepastian yang wajar kepada dewan pengarah (jika ada) dan manajemen puncak bahwa SMAP telah diterapkan dan dioperasikan secara efektif, dalam membantu mencegah dan mendeteksi penyuapan, serta untuk memberikan efek jera pada setiap personel yang berpotensial korupsi (karena menyadari bahwa proyek atau departemen mereka dapat dipilih untuk diaudit).
Kapan audit internal SMAP dilakukan?
Frekuensi audit internal SMAP akan tergantung pada persyaratan-persyaratan yang ditetapkan oleh masing-masing organisasi dengan minimal dilakukan 1 (satu) kali dalam 1 (satu) tahun. Untuk efektivitas, audit internal SMAP dapat dilakukan bersamaan dengan audit internal lainnya yang memang rutin dilakukan oleh Organisasi. Namun sebagai persyaratan untuk audit sertifikasi yang dilakukan oleh auditor eksternal (lembaga sertifikasi), maka setidaknya telah dilakukan 1 (satu) kali audit internal SMAP sebelum audit sertifikasi.
Siapa yang melakukan audit internal?
Audit internal harus dilakukan oleh auditor yang kompeten dan memiliki objektivitas dan ketidakberpihakan dari proses audit. Untuk memastikan objektivitas dan ketidakberpihakan dari program audit, perlu dipastikan bahwa Auditor merupakan: (a) fungsi yang mandiri atau penetapan personel atau yang ditunjuk untuk proses ini; atau (b) fungsi kepatuhan anti penyuapan (kecuali lingkup audit mencakup evaluasi SMAP itu sendiri, atau pekerjaan serupa dimana fungsi kepatuhan anti penyuapan bertanggung jawab); atau (c) orang yang tepat dari departemen atau fungsi yang lain dari yang sedang diaudit (auditor tidak boleh mengaudit fungsi kerjanya sendiri); atau (d) pihak ketiga yang sesuai; atau (e) gabungan dari huruf a sampai d. Persyaratan ini tidak diartikan organisasi diharuskan memiliki fungsi audit internalnya sendiri. yang dipersyaratkan adalah harus menunjuk fungsi atau orang yang sesuai, kompeten, dan independen dengan tanggung jawab melaksanakan audit ini dan bahkan dapat menggunakan pihak ketiga.
Berdasarkan ISO/IEC 17021-1-9:2016 Bagian 9: Persyaratan kompetensi untuk audit dan sertifikasi SMAP terdapat beberapa persyaratan kompetensi pengetahuan yang perlu dimiliki Auditor yang akan melakukan audit SMAP, yakni: (a) pengetahuan audit secara umum; (b) konsep penyuapan; (c) konteks organisasi; (d) hukum, regulasi dan persyaratan yang terkait; (e) penilaian risiko penyuapan (bribery risk assessment) dan due diligence; (f) risiko penyuapan; (g) kontrol anti penyuapan; dan (i) SMAP. Kompetensi ini dapat diperoleh salah satunya melalui sertifikasi Lead Auditor ISO 37001:2016 dari PECB. (untuk info jadwal pelatihan dapat dilihat pada website SustaIN sebagai partner resmi PECB).
Bagaimana audit internal SMAP dilakukan?
Berdasarkan SNI ISO 37001:2016, audit internal juga harus dilaksanakan dengan wajar, proposional dan berbasis risiko. Sebelum pelaksanaan audit internal, kriteria dan lingkup audit harus jelas dan ditentukan. Audit ini harus terdiri dari proses audit internal atau prosedur lain yang meninjau prosedur, pengendalian dan sistem untuk: a) penyuapan atau dugaan penyuapan; b) pelanggaran terhadap kebijakan anti penyuapan atau persyaratan sistem manajemen anti penyuapan; c) kegagalan rekan bisnis untuk memenuhi persyaratan anti penyuapan yang berlaku di organisasi; dan d) kelemahan dalam, atau peluang untuk peningkatan pada sistem manajemen anti penyuapan. Prosedur audit internal SMAP sebaiknya juga mengacu kepada SNI ISO 19011:2018 Pedoman Audit Sistem Manajemen.
Apa hasil dari audit internal SMAP?
Hasil audit internal SMAP dituangkan dalam laporan audit yang sebaiknya memberikan catatan audit yang lengkap, akurat, singkat dan jelas, dan sebaiknya mencakup atau merujuk pada hal berikut: Sasaran audit; Ruang lingkup audit, terutama identifikasi organisasi (auditi) dan fungsi atau proses yang diaudit; Identifikasi pihak yang diaudit (auditee); Identifikasi tim audit dan peserta auditi dalam audit; Tanggal dan lokasi aktivitas audit dilakukan; Kriteria audit; Temuan audit dan bukti terkait; Kesimpulan audit; Pernyataan tentang sejauh mana kriteria audit telah dipenuhi; Setiap perbedaan pendapat yang tidak terselesaikan antara tim audit dan auditi; Audit pada dasarnya adalah pengambilan sampel; dengan demikian ada risiko bahwa bukti audit yang diperiksa tidak representatif. Temuan audit dapat menunjukkan kesesuaian (conformity) atau ketidaksesuaian (non-conformity) dengan kriteria audit (persyaratan SNI ISO 37001 maupun persyaratan SMAP yang ditetapkan organisasi). Laporan hasil audit dilaporkan kepada manajemen yang relevan, fungsi kepatuhan anti penyuapan, manajemen puncak, dan jika sesuai dan jika ada kepada dewan pengarah. Auditor perlu menyimpan seluruh informasi terdokumentasi sebagai bukti penerapan program audit dan hasil audit. Temuan audit yang berupa ketidaksesuaian (non-conformity) harus ditindaklanjuti dengan rencana perbaikan berkelanjutan dan perlu dilakukan pemantauan apakah hasil perbaikan tersebut telah sesuai dengan persyaratan.
Demikian hal-hal yang perlu diketahui dalam hal pelaksanaan audit internal SMAP sebagai salah satu syarat SNI ISO 37001:2016. Sebagai penguatan organisasi dalam pelaksanaan audit internal sesuai SNI ISO 37001: 2016, sangat disarankan agar auditor yang akan ditugaskan adalah yang memiliki kompetensi yang memadai dan sesuai standar. Peningkatan kompetensi yang tepat untuk tim auditor internal ini adalah dengan mengikuti pelatihan dan sertifikasi Lead Auditor ISO 37001:2016 Anti Bribery Management System. Selengkapnya tentang Lead Auditor ISO 37001:2016 ini dapat anda pelajari pada tautan ini. (DSS/DL)