Materi Bimbingan Teknis ISO IEC 17021-9 Bagi LS SMAP
BIMBINGAN TEKNIS
ISO/IEC 17021-9
Bagi Lembaga Sertifikasi
SNI ISO 37001 Sistem Manajemen Anti
Penyuapan
Jakarta
28 September 2017
The better the question. The better the answer.
The better the world works.
Agenda Pelatihan
►
Uji Tuntas dan Background Checking
►
Risiko Penyuapan
►
Penilaian Risiko Penyuapan (Bribery Risk Assessment)
►
Pengendalian Anti Penyuapan
Page 2
Uji Kelayakan (Due diligence)
Uji Tuntas
dan
Background
Checking
Page 3
SNI ISO 37001 – Uji Tuntas
SNI ISO 37001: Sistem Manajemen Anti Penyuapan
►
►
Untuk mengevaluasi lebih lanjut lingkup, skala, dan sifat atas
transaksi, proyek, aktivitas, rekan bisnis tertentu, dan personel pada
posisi tertentu, yang memiliki tingkat risiko di atas batas rendah
berdasarkan hasil identifikasi penilaian risiko Organisasi.
Uji tuntas harus diperbaharui pada frekuensi yang ditentukan
sehingga perubahan dan informasi baru dapat diperhitungkan dengan
sebaik-baiknya.
Fungsi uji tuntas bagi Organisasi:
► Mencegah dan mendeteksi risiko penyuapan;
► Menginformasikan keputusan Organisasi, apakah menunda,
memberhentikan, atau merevisi transaksi, proyek, atau
hubungan dengan rekan bisnis atau personel.
Page 4
SNI ISO 37001 – Uji Tuntas
Target Uji Tuntas
Transaksi,
aktivitas, dan
proyek
Page 5
Rekan Bisnis
Personel/
Karyawan
Target Uji Tuntas
Faktor yang perlu diperhatikan dalam proses evaluasi
Aktivitas, transaksi, dan proyek
Struktur, sifat,
dan
kompleksitas
Pengaturan
pembiayaan dan
pembayaran
Lingkup keterikatan
Organisasi dan
ketersediaan sumber
daya
Tingkat kendali
dan visibilitas
Rekan bisnis dan
pihak ketiga lainnya
yang terlibat
(termasuk pejabat
publik)
Hubungan antar
rekan bisnis dan
pihak ketiga lainnya,
dan pejabat publik
Kompetensi dan
kualifikasi pihak
terlibat
Reputasi klien
Lokasi
Laporan di pasar
atau press
Page 6
Target Uji Tuntas
Faktor yang perlu diperhatikan dalam proses evaluasi
Rekan Bisnis
Manfaat uji kelayakan
rekan bisnis bagi
Organisasi
Kemampuan
Organisasi untuk
melakukan uji
kelayakan rekan bisnis
Konsistensi prosedur
uji kelayakan di
seluruh tingkatan risiko
penyuapan
Prosedur uji kelayakan
bergantung pada jenis
rekan bisnis
Bentuk uji kelayakan
yang fleksibel (seperti
kuesioner, pencarian
media publik, dll)
Diskusi lebih lanjut
dengan rekan bisnis
berdasarkan hasil uji
kelayakan awal
Page 7
Target Uji Tuntas
Faktor yang perlu diperhatikan dalam proses evaluasi
Pemahaman atas
Kebijakan Anti
Penyuapan
Verifikasi keakuratan
kualifikasi calon
personel
Mendapatkan referensi
calon personel
Menentukan
keterlibatan calon
personel dalam
penyuapan
(berdasarkan
pengalaman)
Verifikasi calon
personel mendapatkan
jabatan bukan sebagai
balas budi
Verifikasi tujuan
memperkerjakan calon
personel
Identifikasi hubungan
calon personel dengan
pejabat publik
Page 8
Personel/Karyawan
Metode Uji Tuntas
Tahapan
Lanjutan
Risk-based Due
Diligence
Penetapan
Page 9
Pengumpulan
Penilaian
Pemberian
Status
Pelatihan/
Pengawasan
Pengendalian
Metode Uji Tuntas
1
►
Penetapan
►
►
2
3
Informasi terkait target (pencarian latar
belakang), meliputi seperti:
Pengumpulan
Penilaian
►
►
Page 10
Definisi dan kategori target uji kelayakan
Desain prosedur, persyaratan, obyektif, dan
kriteria yang akan digunakan
Desain template yang akan digunakan
►
►
4
Risk-based Due
Diligence
Transaksi/proyek: latar belakang, kegiatan
yang telah dilakukan, personel kunci, dll
Rekan bisnis: kepemilikan, reputasi, dll
Personel: latar belakang, riwayat kriminal, dll
Kategori risiko berdasarkan kriteria yang
disetujui
Ranking untuk tiap target berdasarkan
informasi awal
Uji tuntas dilakukan berdasarkan ranking
►
Pemberian
Status
►
Status untuk tiap target berdasarkan
hasil uji kelayakan
Prosedur untuk memfasilitasi dan
mengawasi tiap kegiatan dari masingmasing target
Risiko Rendah
Risiko Sedang
Risiko Tinggi
Status Penilaian
Disetujui
Desetujui dengan Kondisi
Ditolak
Metode Uji Tuntas - Penilaian
Risk-based Due
Diligence
Status Penilaian
Level 1
Pencarian dengan sumber yang terpercaya dan penyaringan
risiko
►
Tuduhan, denda, dan sanksi yang terpublikasi
►
Politically Exposed Person (PEPs), individual dan organisasi berisiko
tinggi (seperti yang masuk dalam daftar pencarian orang atau watchlist)
►
Pencarian melalui berbagai media, termasuk lokal, industri, dan bisnis
umum
Disetujui
Risiko
Rendah
Ditolak
Menaikan tingkat
uji kelayakan
Level 2
Uji kelayakan yang ditingkatkan (enhanced due diligence)
►
Melakukan uji kelayakan Level 1
►
Menambah database pencarian
►
Data publik dari negara asal (misal data pengadilan)
►
Detil laporan latar belakang dari sumber terpercaya
►
Pencarian ke hubungan kerja bisnis dan jaringan pertemanan
►
Wawancara dengan target (atau yang terlibat), kuesioner, dan dokumen
pendukung
Disetujui
Risiko
Sedang
Menaikan tingkat
uji kelayakan
Level 3
Penilaian yang mendalam
►
Melakukan uji kelayakan Level 1 dan Level 2
►
Audit dan tinjauan dari Pengendalian target dan laporan keuangan
(untuk proyek atau rekan bisnis)
►
Wawancara detil dengan referensi (untuk proyek atau rekan bisnis),
rekan politik, rekan bisnis
►
Investigasi laporan latar belakang dengan memanfaatkan sumber lokal
Page 11
Ditolak
Disetujui
Risiko
Tinggi
Ditolak
Disetujui
dengan kondisi
Metode Uji Tuntas
5
Pelatihan anti-penyuapan dan Pengendalian untuk tiap
tingkatan risiko
Pelatihan untuk tiap peserta yang berbeda dengan
memasukan isu lokal dan/ataupun kebutuhan khusus
Memastikan bahwa semua pihak terkait memiliki
pengetahuan dan kemampuan dalam anti-penyuapan
Memasukan dan menjelaskan klausan anti-penyuapan
dalam kontrak
►
Pelatihan/
Pengendalian
►
►
►
6
Tahapan Lanjutan
4
►
Pengawasan
►
►
Page 12
Pengawasan dan menambahkan/mengganti
persyaratan/kriteria penilaian sebelum target disetujui
kembali untuk tiap tingkatan risiko
Peninjauan secara berkala atas target
(transaksi/proyek, rekan bisnis, dan personel)
Identifikasi red flags dan melakukan perubahan dalam
ranking risiko (risiko rendah, sedang, dan tinggi) yang
sesuai
Hal yang perlu diperhatikan dalam Uji Tuntas
Tidak ditemukan informasi negatif tidak berarti rekan bisnis/personel
tidak memiliki risiko penyuapan
Manajemen harus tetap selalu mengawasi proses uji kelayakan dan
secara berkala meninjau efektivitas, keberlanjutan, dan kecukupannya;
sehingga bila diperlukan, dapat mengimplementasikan perbaikan dan
peningkatan
Organisasi memiliki media untuk dukungan dan konsultasi yang
ditujukan baik pihak internal (personel) maupun pihak eksternal
(rekan bisnis)
Organisasi dengan jelas mengkomunikasikan ke semua personel bahwa
mengabaikan uji kelayakan (terutama pada target risiko tinggi) dapat
diberikan tindakan disipliner
Page 13
Metode Background Checking
Pencarian
menggunakan
Search Engine
Menggunakan
Sumber Berbayar
Page 14
Cache of Search
Engines
International
Watch List
Risiko Penyuapan
Risiko
Penyuapan
Page 15
Apakah Risiko Penyuapan?
Bribery Risk atau Risiko Penyuapan merupakan risiko atas
menawarkan, membayarkan, menjanjikan, atau menerima suap
dari/ke pejabat pemerintah, karyawan, anak perusahaan, perantara,
atau pihak ketiga lainnya (baik individual atau korporasi), yang
bertindak untuk kepentingan komersial Organisasi.
Contoh bentuk-bentuk penyuapan
Pembayaran
langsung (cash
payment)
Jamuan yang
berlebihan
Sumbangan
atau Donasi
Page 16
Pemberian
hadiah
Sumbangan
Politik
Pemberian
Timbal Balik
Komisi atau
Diskon
Bentuk Risiko Penyuapan dalam Beberapa Kondisi
Mengetahui
►
►
►
Sadar telah melakukan penyuapan
Kebijakan yang ada hanya dianggap
“Formalitas”
Tone from the Top yang kuat untuk
memastikan semua personel memahani
dan mematuhi Kebijakan Anti
Penyuapan Organisasi
Tidak Mengetahui
►
►
►
Page 17
Tidak sadar telah melakukan
penyuapan
Memerlukan pelatihan, uji kelayakan,
dan audit berkala.
Memastikan semua personel dan rekan
bisnis memiliki pengetahuan atas tindak
penyuapan
Dalam Konteks Bisnis
►
►
Terjadi dalam transaksi bisnis
Hal yang perlu dilakukan Organisasi:
Klausul anti-penyuapan dalam
kontrak
Menolak/memutuskan hubungan
apabila risiko penyuapan tidak
dapat dihindarkan
Di luar Konteks Bisnis
►
►
►
Terjadi dalam transaksi rutin
Lebih sulit untuk dihindarkan
Pelatihan dan uji kelayakan intensif
perlu dilakukan
Risiko Penyuapan dalam Berbagai Sektor di
Indonesia
Sektor Publik
►
►
►
Penjualan ke pemerintah
Pengurusan lisensi dan
perijinan
Menghindari denda atau sanksi;
►
Memenangkan kontrak
pemerintah;
►
Mengeluarkan barang yang
tertahan di bea cukai;
►
►
►
Page 18
Memenangkan kasus di
pengadilan;
Mendapatkan dukungan politik,
terutama untuk mempengaruhi
peraturan dan regulasi;
Pemberian pekerjaan ke
personel yang memiliki
hubungan dengan
pemerintahan.
Sektor Swasta
►
Memenangkan pengadaan atau
kontrak;
►
Pengurusan lisensi dan
perijinan
►
Pemberian hadiah/insntif/komisi
ke pelanggan untuk
meningkatkan penjualan
Pemberian pekerjaan ke
personel rekan bisnis sebagai
tanda balas budi;
Memperlancar proses bisnis
(seperti merger atau akuisisi);
►
►
►
►
Memiliki vendor yang
berinteraksi dengan
pemerintahan
Menggunakan aset Organisasi
untuk rekan bisnis tanpa ada
tujuan bisnis tertentu
Sektor Nirlaba
►
►
►
►
►
Melobi untuk
kepentingan pihak
tertentu;
Dukungan politik;
Pengurusan lisensi dan
perijinan;
Sebagai media
pengumpulan dana suap
Mendapatkan dana dari
pihak ketiga (termasuk
pejabat pemerintah)
sebagai tanda balas budi
Penilaian Risiko Penyuapan
Penilaian
Risiko
Penyuapan
Page 19
SNI ISO 37001 – Penilaian Risiko Penyuapan
SNI ISO 37001: Sistem Manajemen Anti Penyuapan
►
►
►
►
Page 20
Penilaian risiko penyuapan mengidentifikasi risiko penyuapan yang dipusatkan
pada sistem manajemen.
Tujuan penilaian risiko penyuapan adalah:
Mengidentifikasi risiko penyuapan Organisasi yang wajar untuk antisipasi
faktor dari konteks Organisasi
Menganalisa, menilai, dan memprioritaskan risiko penyuapan yang
teridentifikasi
Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di
Organisasi untuk mengurangi risiko penyuapan yang dinilai
SNI ISO 37001 tidak mengatur metodologi yang harus digunakan, risiko yang
harus dinilai dan diprioritaskan, dan/atau tingkat risiko penyuapan yang
diterima. Ini semua tergantung pada kebijakan Organisasi sendiri.
SNI ISO 37001 tidak mengatur kriteria untuk penilaian risiko penyuaan.
Organisasi harus menetapkan kriteria untuk mengevaluasi tingkat risiko
penyuapan, dan mempertimbangkan kebijakan dan sasaran Organisasi
Fungsi Penilaian Risiko Penyuapan
Memberikan gambaran komprehensif mengenai area yang berisiko tinggi dengan
penyuapan
Membantu Organisasi untuk merancang prosedur mitigasi dan Pengendalian atas
risiko penyuapan
Fokus ke kegiatan dan hubungan bisnis yang berisiko tinggi penyuapan
Membantu Organisasi mengidentifikasikan area yang memiliki Pengendalian
berlebihan atau kurang
Menentukan tingkat risiko dari transaksi/proyek, rekan bisnis, dan personel
berdasarkan uji kelayakan (pendekatan risk based)
Mengidentifikasi efektifitas dalam Pengendalian dan kegiatan bisnis
Membantu Organisasi memberikan keputusan yang rasional berdasarkan hasil penilaian
risiko
Page 21
Tahapan Utama Penilaian Risiko Penyuapan
1
•
•
Page 22
2
Identifikasi Risiko
Evaluasi Risiko
Tahapan ini bertujuan untuk:
•
mengidentikasikan;
•
mengkategorikan;
•
mengkuantifikasikan (apabila
sesuai),
kumpulan risiko yang ada dalam
Organisasi
Tahapan ini bertujuan untuk
mengevaluasi potensi risiko yang
signifikan dan memberikan indikasi
penting yang relevan dari masingmasing risiko yang telah
teridentifikasikan
Dalam melakukan proses penilaian risiko penyuapan yang efektif dapat
dilakukan dengan menggabungkan tahapan identifikasi risiko dan evaluasi risiko.
Hal ini karena hasil dari masing-masing tahapan tersebut saling berkaitan satu
sama lain, sehingga dapat mempengaruhi hasil dari penilaian risiko penyuapan
secara umum.
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang
lingkup, dan
mobilisasi
Mengumpulkan
dan
menganalisa
informasi
Identifikasi
Risiko
DUKUNGAN MANAJEMEN
Page 23
Evaluasi
Risiko
Dokumentasi
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Persetujuan
Manajemen
Komunikasi ke
Pemangku
Kepentingan
Rencana
Penilaian Risiko
Penyuapan
Persetujuan
Rencana Penilaian
Risiko Penyuapan
Menentukan Tim
dan ruang
lingkup
Kerangka
Penilaian Risiko
Penyuapan
Format kertas
kerja dan
laporan
Identifikasi
sumber
informasi
Page 24
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Metode Pengumpulan Informasi
►
►
►
Page 25
Wawancara
Pencarian Media
Publik
Feedback
►
►
►
Workshop
Focus Group
Discussion
Survei
Tinjau Informasi
Verifikasi Informasi
Kelengkapan
Informasi
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Validasi Hasil
Analisa Informasi
Risiko
Negara
Page 26
Identifikasi Risiko
Penyuapan
Risiko
Sektor
Risiko
Transaksi
Risiko Peluang
Bisnis
Skema
Penyuapan
Risiko
Rekan Bisnis
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
►
►
Risiko Transaksi
►
Risiko Bisnis
Risiko Rekan Bisnis
Risiko ini berdasarkan dari lokasi
negara tempat operasional
Organisasi.
Dengan mengetahui risiko
berdasarkan negara ini, maka
dapat diketahui tingkat
kemungkinan terjadinya tindak
penyuapan dalam kegiatan
operasional Organisasi.
Corruption Perception Index (CPI)
dapat digunakan sebagai salah
satu dasar untuk mengidentifikasi
risiko penyuapan berdasarkan
negara,
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 27
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Negara
Negara A
Negara B
Negara C
Negara D
Negara E
Negara F
Negara G
Page 28
Nilai CPI
95
94
43
39
36
24
19
Pendapatan
(% dariTotal)
2%
10%
10%
5%
10%
5%
3%
Jumlah
Pejabat
1
3
2
1
1
1
0
Jumlah
Karyawan
5
50
50
10
300
1
0
Tingkat
Risiko
Rendah
Rendah
Sedang
Sedang
Sangat Tinggi
Tinggi
Tinggi
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
►
►
Risiko Transaksi
►
Risiko Bisnis
Dalam beberapa sektor memiliki
tingkat risiko penyuapan yang
lebih tinggi dibandingkan lainnya.
Risiko penyuapan ini timbul
bukan dikarenakan sektornya,
namun dari kegiatan operasional
yang dilakukan dalam sektor
tersebut.
Identifikasi berdasarkan sektor
ini dapat membantu
mengidentifikasi risiko
penyuapan utama dalam
Organisasi
Risiko Rekan Bisnis
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 29
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
Risiko Transaksi
Risiko Bisnis
Risiko Rekan Bisnis
►
►
Risiko pada transaksi tergantung
pada subyek transaksi, karakteristik
dari pihak ketiga, tingkat transparansi,
dan tingkat kepentingan dari transaksi
Beberapa kategori transaksi:
Penjualan ke Pemerintah
Hadiah, jamuan, dan perjalanan
Penggunaan aset Organisasi
Donasi dan sumbangan politik
Sponsorship
Memperkerjaan personel yang
terkait Pemerintah
Lisensi dan perijinan
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 30
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
►
Risiko berdasarkan
Sektor/Industri
Risiko Transaksi
Risiko Peluang Bisnis
►
Risiko ini timbul dalam proyek
dengan nilai tinggi atau yang
melibatkan banyak kontraktor dan
penengah; atau proyek yang
dilaksanakan tidak mengikuti harga
pasar atau tidak memiliki obyektif
hukum yang jelas
Karakteristik risiko peluang bisnis
dibagi menjadi:
Nilai
Kompleksitas
Rasional komersil
Risiko Rekan Bisnis
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 31
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
Risiko Transaksi
Risiko Peluang Bisnis
►
►
Melakukan outsourcing suatu
aktivitas dapat meningkatkan tingkat
risiko penyuapan, karena pihak ketiga
tidak dapat diPengendalian.
Risiko rekan bisnis terdiri dari:
Risiko yang tidak dapat
dihindarkan karena aktivitas yang
dilakukan rekan bisnis
Risiko terkait dengan rekan bisnis
itu sendiri (seperti kepemilikan,
reputasi, rekam jejak, dan lainnya)
Risiko Rekan Bisnis
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 32
Ilustrasi Bribery Risk Register – Identifikasi
Risiko
Lokasi: Country A
Unit Bisnis: Unit XYZ
Faktor Risiko Penyuapan
Kondisi Lokal Pasar
Risiko Penyuapan
Penyuapan ke pejabat
pemerintahan untuk
mengamankan atau
mempengaruhi sebuah keputusan
bisnis yang tidak sesuai
Skema Penyuapan
a) Potensi pembayaran ke
b) Potensi pembayaran ke kantor
pejabat bea cukai untuk
pajak untuk menurunkan atau
memfasilitasi proses terkait
menghilangkan kewajiban pajak
dengan import barang atau untuk
memasukan barang import yang
ilegal
Kemungkinan
Potensi Dampak
Risiko Inheren
Kontrol Anti-Penyuapan
Tingkat Kontrol Risiko
Tingkat Risiko Residual
Page 33
c) Potensi pembayaran ke
pejabat pemerintah untuk
mengamankan tanah yang
diinginkan dengan harga yang
murah
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Penilaian Risiko
Penyuapan Inheren
Dampak
Page 34
Penilaian
Pengendalian Risiko
Penyuapan
Kemungkinan
terjadi
Penilaian Risiko
Penyuapan Residual
Tiga Tahap dalam Evaluasi Risiko
Penilaian Risiko
Inheren
Penyuapan
► Penilaian
atas
kemungkinan
terjadinya dan dampak
dari risiko apabila tidak
ada Pengendalian yang
diterapkan
► Kriteria
ini ditentukan
untuk menentukan
kemungkinan
terjadinya dan dampak
atas risiko penyuapan
Page 35
Penilaian
Pengendalian
►Identifikasi
atas
kelebihan dari
Pengendalian yang
sudah ada untuk
menanggulangi
risiko penyuapan
yang teridentifikasi
Penilaian Risiko
Residual
Penyuapan
►Respon
dari risiko
residual sangat
bergantung pada
persepsi Manajeman
atas risiko residual
penyuapan
Parameter dalam Penilaian Risiko Inheren
Dampak (Impact)
►
►
►
Page 36
Tingkatan dampak atas rrisiko
penyuapan yang akan
mempengaruhi kondisi Organisasi
Faktor yang mungkin dapat
mendefinisikan penilaian dampak
yaitu dampak pada reputasi,
kemampuan untuk mencapai
obyektif utama, dan sebagainya
Kemungkinan Terjadi
(Likehood)
►
Merupakan kemungkinan
atas risiko penyuapan yang
terjadi dalam spesifik waktu
tertentu (frekuensi
terjadinya peristiwa)
Dalam melakukan pendekatan metode ini, dapat menggunakan elemen pada “Fraud Triangle” sebagai
dasar penyusunan kriteria dan penilaian
Insentif atau tekanan pada Manajemen untuk melakukan penyuapan demi melancarkan kegiatan
bisnis
Kesempatan untuk melakukan penyuapan tanpa terdeteksi
Personel/manajemen merasionalisasikan tindak penyuapan sebagai cara untuk melancarkan
kegiatan bisnis
Proses Penilaian Risiko Inheren
Kemungkinan Terjadi
(Likehood)
Dampak (Impact)
►
►
Evaluasi dengan
mengabaikan
Pengendalian yang ada
Dampak yang akan dinilai
harus mencakup
beberapa faktor seperti
kerusakan pada
keuangan, reputasi, legal,
hukum, penalti, regulasi,
dan operasional.
►
►
►
Evaluasi dilakukan
dengan mengabaikan
Pengendalian yang ada
Mengkonsiderasi tindak
penyuapan dilakukan oleh
individu atau berkoalisi
Menggunakan jangka
waktu tertentu (misal
dalam waktu 12 bulan).
Dalam melakukan penilaian dapat menggunakan skala kualitatif yang
mudah seperti “tinggi”, “sedang”, “rendah”, “sangat tinggi”, atau “sangat
rendah” untuk mengklasifikasikan penilaian pada Dampak dan
Kemungkinan Terjadi.
Page 37
Risiko Inheren
►
►
Kombinasi dari penilaian
dampak dan
kemungkinan terjadi
tindak penyuapan.
Risiko Inheren
menunjukan keseluruhan
risiko yang timbul dengan
mengabaikan
Pengendalian yang ada.
Ilustrasi Penilaian Risiko Inheren
Skala
Kemungkinan
Terjadi
Tingkat
A
(Sangat Tinggi)
B
(Tinggi)
C
(Sedang)
D
(Rendah)
E
(Sangat Rendah)
Page 38
Skala Dampak
1
(Sangat Tinggi)
2
(Tinggi)
3
(Sedang)
4
(Rendah)
5
(Sangat
Rendah)
Penting
Penting
Tinggi
Tinggi
Sedang
Penting
Penting
Tinggi
Sedang
Rendah
Penting
Tinggi
Sedang
Rendah
Rendah
Tinggi
Tinggi
Sedang
Rendah
Rendah
Tinggi
Sedang
Rendah
Rendah
Rendah
Metode dalam Proses Penilaian Pengendalian
Peninjauan dari dokumen internal yang mencakup:
►
Dokumentasi bisnis proses
►
Standar tertulis
►
Struktur Organisasi
►
Contoh dan template kontrak
►
Dokumentasi hadiah dan
jamuan
►
Survei personel sebelumnya
►
Laporan audit internal dan
eksternal
►
Validasi hasil tinjauan dokumen
Melibatkan personel utama yang memiliki
pengetahuan atas proses dan
Pengendalian areanya
►
Evaluasi dan
tinjauan dari
dokumen
internal
Wawancara
Survei terkait
Kepatuhan dan
Pengendalian dalam
Lingkungan
Organisasi
Focus Group
Discussion dan
Workshops
►
Pertanyaan terkait
kepatuhan dan
Pengendalian dalam
Organisasi.
►
Digunakan apabila terdapat responden
dalam jumlah yang besar.
Page 39
►
►
Proses wawancara ini
dapat digabungkan
pada saat identifikasi
risiko, ataupun dipisah
Penilaian terhadap
topik atau masalah
tertentu terkait
Pengendalian dalam
Organisasi.
FGD atau workshop dapat digabungkan
dengan pada saat identifikasi risiko
ataupun saat penilaian risiko inheren
►
Penilaian Risiko Residual
Risiko residual merupakan sisa risiko yang ada dengan memasukan
dampak Pengendalian yang telah mengurangi risiko penyuapan
Tingkat Penilaian Risiko Residual
Tinggi
Risiko inheren yang tinggi belum dapat dimitigasi oleh
Pengendalian yang ada
►
Sedang
Rendah
Page 40
►
Risiko inheren tinggi, namun baru sebagian dimitigasi oleh
Pengendalian, atau,
Risiko inheren yang sedang atau tidak sama sekali, namun belum
ada Pengendalian yang memitigasi
Risiko inheren yang rendah atau terdapat
Pengendalian yang sesuai untuk memitigasi risiko
Ilustrasi Ilustrasi Bribery Risk Register - Evaluasi
Risiko (1)
Lokasi: Country A
Unit Bisnis: Unit XYZ
Faktor Risiko Penyuapan
Risiko Penyuapan
Skema Penyuapan
Kemungkinan
Potensi Dampak
Risiko Inheren
Kontrol Anti-Penyuapan
Tingkat Kontrol Risiko
Tingkat Risiko Residual
Page 41
Kondisi Lokal Pasar
Penyuapan ke pejabat
pemerintahan untuk
mengamankan atau
mempengaruhi sebuah keputusan
bisnis yang tidak sesuai
a) Potensi pembayaran ke
pejabat bea cukai untuk
memfasilitasi proses terkait
dengan import barang atau untuk
memasukan barang import yang
ilegal
Sedang
Tinggi
Tinggi
a) Kebijakan dan prosedur AntiPenyuapan
b) Pelatihan Anti-Penyuapan
c) Whistleblower hotline
d) Audit kepatuhan yang
dilakukan secara reguler
Efektif
Rendah
b) Potensi pembayaran ke kantor c) Potensi pembayaran ke
pajak untuk menurunkan atau
pejabat pemerintah untuk
menghilangkan kewajiban pajak
mengamankan tanah yang
diinginkan dengan harga yang
murah
Sedang
Tinggi
Tinggi
a) Kebijakan dan prosedur AntiPenyuapan
b) Pelatihan Anti-Penyuapan
c) Whistleblower hotline
d) Audit kepatuhan yang
dilakukan secara reguler
Efektif
Rendah
Sedang
Tinggi
Tinggi
a) Kebijakan dan prosedur AntiPenyuapan
b) Pelatihan Anti-Penyuapan
c) Whistleblower hotline
d) Audit kepatuhan yang
dilakukan secara reguler
Efektif
Rendah
Ilustrasi Ilustrasi Bribery Risk Register - Evaluasi
Risiko (2)
Rating Keseluruhan
Referensi Risiko Penyuapan
Dampak
Definisi Risiko Penyuapan
Kemungkinan Terjadi
Cycle:
Rating:
SOP:
Proses Bisnis
MITIGASI KONTROL
SKEMA PENYUAPAN
No.
Page 42
Ref
Deskripsi
Dampak
Kemungkinan
Terjadi
Rating
Penyuapan
Alasan
IT-GC
TLC
Kontrol Aplikasi
TLC
Kontrol Manual
ELC
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Dokumentasi
Proses Penilaian
Risiko Penyuapan
Page 43
Validasi ke
Pemangku
Kepentingan
Komunikasi Hasil
Penilaian
berdasarkan
dokumentasi
Kunci Utama dari Penilaian Risiko Penyuapan
1 Dukungan dan komitmen penuh
6 Penilaian berdasarkan fakta
2
Partisipasi orang yang tepat
7
Membuat prioritas risiko
penyuapan
3
Komprehensif
8
Dokumentasi lengkap semua
proses penilaian risiko penyuapan
4 Hindari prasangka
9 Frekuensi
5
10 Komunikasi yang efektif
Identifikasi dan deskripsis detil
risiko penyuapan
Page 44
Pengendalian Anti-Penyuapan
Pengendalian
Anti
Penyuapan
Page 45
Pengendalian Anti Penyuapan
►
►
►
Pengendalian anti-penyuapan merupakan kelanjutan dari hasil penilaian risiko
penyuapan
Penentuan pengendalian bertujuan untuk memitigasi risiko-risiko penyuapan yang ada
di dalam Organisasi
Dalam menentukan pengendalian, Organisasi harus memikirkan apakah pengendalian
yang sudah ada telah dapat memitigasi risiko penyuapan
Metode Peningkatan Pengendalian Anti Penyuapan
Pemetaan
Pengendalian
Page 46
Gap Analysis
Remediasi
Metode Peningkatan Pengendalian Anti Penyuapan
Analisa
Kesenjangan
Pemetaan
Pengendalian
►
►
►
►
Memetakan Pengendalian
berdasarkan dari risiko
penyuapan dalam Organisasi.
►
Harus dipastikan Pengendalian
yang ada dapat memitigasi risiko
penyuapan yang ada.
Pengendalian lain yang ada
dalam Organisasi dapat bertindak
sebagai Pengendalian anti
penyuapan, walaupun diperlukan
penyesuaian lebih lanjut.
Beberapa Pengendalian dapat
mencakup lebih dari satu risiko
penyuapan
Page 47
Sumber yang digunakan dalam
analisa kesenjangan adalah:
Remediasi
►
Pengendalian yang tidak
memitigasi risiko penyuapan,
dan
Leading practice terkait antipenyuapan
Kunci utama dalam proram
remediasi:
Rancangan
Membangun
Peluncuran
Implementasi
►
Leading practice terkait antipenyuapan dapat memberikan
gambaran Pengendalian yang
diperlukan oleh Organisasi.
►
Program remediasi ini dapat
dilakukan untuk area-area yang
dirasa memerlukan prioritas
utama
►
Adanya kesenjangan menunjukan
dibutuhkannya remediasi untuk
menutup kesenjangan tersebut.
►
Ini merupakan tanggung jawab
dari pemilik unit bisnis (business
unit owner)
Ilustrasi
Penilaian Risiko termasuk Pemetaan Pengendalian
►
Rating Keseluruhan
Referensi Risiko Penyuapan
Dampak
Definisi Risiko Penyuapan
Kemungkinan Terjadi
Cycle:
Rating:
SOP:
Proses Bisnis
SKEMA PENYUAPAN
No.
Ref
MITIGASI KONTROL
Deskripsi
Dampak
Kemungkinan
Terjadi
Rating
Penyuapan
Alasan
IT-GC
TLC
Kontrol Aplikasi
TLC
Kontrol Manual
ELC
Analisa Kesenjangan
►
Risiko Penyuapan
Risiko penyuapan yang
teridentfikasi
Page 48
Realisasi
Kontrol Anti Penyuapan
Ada/Tidak
Deskripsi
Ada atau tidak untuk
Deskripsi kontrol yang
kontrol yang memitigasi ada untuk memitigasi
risiko penyuapan.
risiko penyuapan
Sumber:
a. Kebijakan
b. Prosedur
Acuan
Praktik Terbaik
a. SNI ISO 37001
b. U.S. FCPA
c. U.K. Anti Bribery
Kesenjangan
Hasil analisa
kesenjangan
Rekomendasi
Rancangan awal
untuk remediasi
Tindak Lanjut
Kunci utama dari semua prosedur yang telah dilakukan
tersebut adalah Tindak Lanjut dari Manajemen untuk
memitigasi Risiko Penyuapan
Page 49
Memastikan
implementasi yang
efektif atas Kebijakan
dan Prosedur Anti
Penyuapan
Memastikan semua
personel dan pihak ketiga
terkait mengetahui
implementasi Anti
Penyuapan
Mengawasi aktivitas
dan hubungan yang
memiliki risiko
penyuapan tinggi
Melakukan audit atas
transaksi risiko
penyuapan tinggi
Mendapatkan konfirmasi
kepatuhan atas kebijakan
anti penyuapan dari
personel dan/atau pihak
ketiga terkait
Memberikan respon
yang sesuai dengan
dugaan penyuapan
atau tindak
ketidaksesuaian
lainnya
Terima Kasih
Page 50
ISO/IEC 17021-9
Bagi Lembaga Sertifikasi
SNI ISO 37001 Sistem Manajemen Anti
Penyuapan
Jakarta
28 September 2017
The better the question. The better the answer.
The better the world works.
Agenda Pelatihan
►
Uji Tuntas dan Background Checking
►
Risiko Penyuapan
►
Penilaian Risiko Penyuapan (Bribery Risk Assessment)
►
Pengendalian Anti Penyuapan
Page 2
Uji Kelayakan (Due diligence)
Uji Tuntas
dan
Background
Checking
Page 3
SNI ISO 37001 – Uji Tuntas
SNI ISO 37001: Sistem Manajemen Anti Penyuapan
►
►
Untuk mengevaluasi lebih lanjut lingkup, skala, dan sifat atas
transaksi, proyek, aktivitas, rekan bisnis tertentu, dan personel pada
posisi tertentu, yang memiliki tingkat risiko di atas batas rendah
berdasarkan hasil identifikasi penilaian risiko Organisasi.
Uji tuntas harus diperbaharui pada frekuensi yang ditentukan
sehingga perubahan dan informasi baru dapat diperhitungkan dengan
sebaik-baiknya.
Fungsi uji tuntas bagi Organisasi:
► Mencegah dan mendeteksi risiko penyuapan;
► Menginformasikan keputusan Organisasi, apakah menunda,
memberhentikan, atau merevisi transaksi, proyek, atau
hubungan dengan rekan bisnis atau personel.
Page 4
SNI ISO 37001 – Uji Tuntas
Target Uji Tuntas
Transaksi,
aktivitas, dan
proyek
Page 5
Rekan Bisnis
Personel/
Karyawan
Target Uji Tuntas
Faktor yang perlu diperhatikan dalam proses evaluasi
Aktivitas, transaksi, dan proyek
Struktur, sifat,
dan
kompleksitas
Pengaturan
pembiayaan dan
pembayaran
Lingkup keterikatan
Organisasi dan
ketersediaan sumber
daya
Tingkat kendali
dan visibilitas
Rekan bisnis dan
pihak ketiga lainnya
yang terlibat
(termasuk pejabat
publik)
Hubungan antar
rekan bisnis dan
pihak ketiga lainnya,
dan pejabat publik
Kompetensi dan
kualifikasi pihak
terlibat
Reputasi klien
Lokasi
Laporan di pasar
atau press
Page 6
Target Uji Tuntas
Faktor yang perlu diperhatikan dalam proses evaluasi
Rekan Bisnis
Manfaat uji kelayakan
rekan bisnis bagi
Organisasi
Kemampuan
Organisasi untuk
melakukan uji
kelayakan rekan bisnis
Konsistensi prosedur
uji kelayakan di
seluruh tingkatan risiko
penyuapan
Prosedur uji kelayakan
bergantung pada jenis
rekan bisnis
Bentuk uji kelayakan
yang fleksibel (seperti
kuesioner, pencarian
media publik, dll)
Diskusi lebih lanjut
dengan rekan bisnis
berdasarkan hasil uji
kelayakan awal
Page 7
Target Uji Tuntas
Faktor yang perlu diperhatikan dalam proses evaluasi
Pemahaman atas
Kebijakan Anti
Penyuapan
Verifikasi keakuratan
kualifikasi calon
personel
Mendapatkan referensi
calon personel
Menentukan
keterlibatan calon
personel dalam
penyuapan
(berdasarkan
pengalaman)
Verifikasi calon
personel mendapatkan
jabatan bukan sebagai
balas budi
Verifikasi tujuan
memperkerjakan calon
personel
Identifikasi hubungan
calon personel dengan
pejabat publik
Page 8
Personel/Karyawan
Metode Uji Tuntas
Tahapan
Lanjutan
Risk-based Due
Diligence
Penetapan
Page 9
Pengumpulan
Penilaian
Pemberian
Status
Pelatihan/
Pengawasan
Pengendalian
Metode Uji Tuntas
1
►
Penetapan
►
►
2
3
Informasi terkait target (pencarian latar
belakang), meliputi seperti:
Pengumpulan
Penilaian
►
►
Page 10
Definisi dan kategori target uji kelayakan
Desain prosedur, persyaratan, obyektif, dan
kriteria yang akan digunakan
Desain template yang akan digunakan
►
►
4
Risk-based Due
Diligence
Transaksi/proyek: latar belakang, kegiatan
yang telah dilakukan, personel kunci, dll
Rekan bisnis: kepemilikan, reputasi, dll
Personel: latar belakang, riwayat kriminal, dll
Kategori risiko berdasarkan kriteria yang
disetujui
Ranking untuk tiap target berdasarkan
informasi awal
Uji tuntas dilakukan berdasarkan ranking
►
Pemberian
Status
►
Status untuk tiap target berdasarkan
hasil uji kelayakan
Prosedur untuk memfasilitasi dan
mengawasi tiap kegiatan dari masingmasing target
Risiko Rendah
Risiko Sedang
Risiko Tinggi
Status Penilaian
Disetujui
Desetujui dengan Kondisi
Ditolak
Metode Uji Tuntas - Penilaian
Risk-based Due
Diligence
Status Penilaian
Level 1
Pencarian dengan sumber yang terpercaya dan penyaringan
risiko
►
Tuduhan, denda, dan sanksi yang terpublikasi
►
Politically Exposed Person (PEPs), individual dan organisasi berisiko
tinggi (seperti yang masuk dalam daftar pencarian orang atau watchlist)
►
Pencarian melalui berbagai media, termasuk lokal, industri, dan bisnis
umum
Disetujui
Risiko
Rendah
Ditolak
Menaikan tingkat
uji kelayakan
Level 2
Uji kelayakan yang ditingkatkan (enhanced due diligence)
►
Melakukan uji kelayakan Level 1
►
Menambah database pencarian
►
Data publik dari negara asal (misal data pengadilan)
►
Detil laporan latar belakang dari sumber terpercaya
►
Pencarian ke hubungan kerja bisnis dan jaringan pertemanan
►
Wawancara dengan target (atau yang terlibat), kuesioner, dan dokumen
pendukung
Disetujui
Risiko
Sedang
Menaikan tingkat
uji kelayakan
Level 3
Penilaian yang mendalam
►
Melakukan uji kelayakan Level 1 dan Level 2
►
Audit dan tinjauan dari Pengendalian target dan laporan keuangan
(untuk proyek atau rekan bisnis)
►
Wawancara detil dengan referensi (untuk proyek atau rekan bisnis),
rekan politik, rekan bisnis
►
Investigasi laporan latar belakang dengan memanfaatkan sumber lokal
Page 11
Ditolak
Disetujui
Risiko
Tinggi
Ditolak
Disetujui
dengan kondisi
Metode Uji Tuntas
5
Pelatihan anti-penyuapan dan Pengendalian untuk tiap
tingkatan risiko
Pelatihan untuk tiap peserta yang berbeda dengan
memasukan isu lokal dan/ataupun kebutuhan khusus
Memastikan bahwa semua pihak terkait memiliki
pengetahuan dan kemampuan dalam anti-penyuapan
Memasukan dan menjelaskan klausan anti-penyuapan
dalam kontrak
►
Pelatihan/
Pengendalian
►
►
►
6
Tahapan Lanjutan
4
►
Pengawasan
►
►
Page 12
Pengawasan dan menambahkan/mengganti
persyaratan/kriteria penilaian sebelum target disetujui
kembali untuk tiap tingkatan risiko
Peninjauan secara berkala atas target
(transaksi/proyek, rekan bisnis, dan personel)
Identifikasi red flags dan melakukan perubahan dalam
ranking risiko (risiko rendah, sedang, dan tinggi) yang
sesuai
Hal yang perlu diperhatikan dalam Uji Tuntas
Tidak ditemukan informasi negatif tidak berarti rekan bisnis/personel
tidak memiliki risiko penyuapan
Manajemen harus tetap selalu mengawasi proses uji kelayakan dan
secara berkala meninjau efektivitas, keberlanjutan, dan kecukupannya;
sehingga bila diperlukan, dapat mengimplementasikan perbaikan dan
peningkatan
Organisasi memiliki media untuk dukungan dan konsultasi yang
ditujukan baik pihak internal (personel) maupun pihak eksternal
(rekan bisnis)
Organisasi dengan jelas mengkomunikasikan ke semua personel bahwa
mengabaikan uji kelayakan (terutama pada target risiko tinggi) dapat
diberikan tindakan disipliner
Page 13
Metode Background Checking
Pencarian
menggunakan
Search Engine
Menggunakan
Sumber Berbayar
Page 14
Cache of Search
Engines
International
Watch List
Risiko Penyuapan
Risiko
Penyuapan
Page 15
Apakah Risiko Penyuapan?
Bribery Risk atau Risiko Penyuapan merupakan risiko atas
menawarkan, membayarkan, menjanjikan, atau menerima suap
dari/ke pejabat pemerintah, karyawan, anak perusahaan, perantara,
atau pihak ketiga lainnya (baik individual atau korporasi), yang
bertindak untuk kepentingan komersial Organisasi.
Contoh bentuk-bentuk penyuapan
Pembayaran
langsung (cash
payment)
Jamuan yang
berlebihan
Sumbangan
atau Donasi
Page 16
Pemberian
hadiah
Sumbangan
Politik
Pemberian
Timbal Balik
Komisi atau
Diskon
Bentuk Risiko Penyuapan dalam Beberapa Kondisi
Mengetahui
►
►
►
Sadar telah melakukan penyuapan
Kebijakan yang ada hanya dianggap
“Formalitas”
Tone from the Top yang kuat untuk
memastikan semua personel memahani
dan mematuhi Kebijakan Anti
Penyuapan Organisasi
Tidak Mengetahui
►
►
►
Page 17
Tidak sadar telah melakukan
penyuapan
Memerlukan pelatihan, uji kelayakan,
dan audit berkala.
Memastikan semua personel dan rekan
bisnis memiliki pengetahuan atas tindak
penyuapan
Dalam Konteks Bisnis
►
►
Terjadi dalam transaksi bisnis
Hal yang perlu dilakukan Organisasi:
Klausul anti-penyuapan dalam
kontrak
Menolak/memutuskan hubungan
apabila risiko penyuapan tidak
dapat dihindarkan
Di luar Konteks Bisnis
►
►
►
Terjadi dalam transaksi rutin
Lebih sulit untuk dihindarkan
Pelatihan dan uji kelayakan intensif
perlu dilakukan
Risiko Penyuapan dalam Berbagai Sektor di
Indonesia
Sektor Publik
►
►
►
Penjualan ke pemerintah
Pengurusan lisensi dan
perijinan
Menghindari denda atau sanksi;
►
Memenangkan kontrak
pemerintah;
►
Mengeluarkan barang yang
tertahan di bea cukai;
►
►
►
Page 18
Memenangkan kasus di
pengadilan;
Mendapatkan dukungan politik,
terutama untuk mempengaruhi
peraturan dan regulasi;
Pemberian pekerjaan ke
personel yang memiliki
hubungan dengan
pemerintahan.
Sektor Swasta
►
Memenangkan pengadaan atau
kontrak;
►
Pengurusan lisensi dan
perijinan
►
Pemberian hadiah/insntif/komisi
ke pelanggan untuk
meningkatkan penjualan
Pemberian pekerjaan ke
personel rekan bisnis sebagai
tanda balas budi;
Memperlancar proses bisnis
(seperti merger atau akuisisi);
►
►
►
►
Memiliki vendor yang
berinteraksi dengan
pemerintahan
Menggunakan aset Organisasi
untuk rekan bisnis tanpa ada
tujuan bisnis tertentu
Sektor Nirlaba
►
►
►
►
►
Melobi untuk
kepentingan pihak
tertentu;
Dukungan politik;
Pengurusan lisensi dan
perijinan;
Sebagai media
pengumpulan dana suap
Mendapatkan dana dari
pihak ketiga (termasuk
pejabat pemerintah)
sebagai tanda balas budi
Penilaian Risiko Penyuapan
Penilaian
Risiko
Penyuapan
Page 19
SNI ISO 37001 – Penilaian Risiko Penyuapan
SNI ISO 37001: Sistem Manajemen Anti Penyuapan
►
►
►
►
Page 20
Penilaian risiko penyuapan mengidentifikasi risiko penyuapan yang dipusatkan
pada sistem manajemen.
Tujuan penilaian risiko penyuapan adalah:
Mengidentifikasi risiko penyuapan Organisasi yang wajar untuk antisipasi
faktor dari konteks Organisasi
Menganalisa, menilai, dan memprioritaskan risiko penyuapan yang
teridentifikasi
Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di
Organisasi untuk mengurangi risiko penyuapan yang dinilai
SNI ISO 37001 tidak mengatur metodologi yang harus digunakan, risiko yang
harus dinilai dan diprioritaskan, dan/atau tingkat risiko penyuapan yang
diterima. Ini semua tergantung pada kebijakan Organisasi sendiri.
SNI ISO 37001 tidak mengatur kriteria untuk penilaian risiko penyuaan.
Organisasi harus menetapkan kriteria untuk mengevaluasi tingkat risiko
penyuapan, dan mempertimbangkan kebijakan dan sasaran Organisasi
Fungsi Penilaian Risiko Penyuapan
Memberikan gambaran komprehensif mengenai area yang berisiko tinggi dengan
penyuapan
Membantu Organisasi untuk merancang prosedur mitigasi dan Pengendalian atas
risiko penyuapan
Fokus ke kegiatan dan hubungan bisnis yang berisiko tinggi penyuapan
Membantu Organisasi mengidentifikasikan area yang memiliki Pengendalian
berlebihan atau kurang
Menentukan tingkat risiko dari transaksi/proyek, rekan bisnis, dan personel
berdasarkan uji kelayakan (pendekatan risk based)
Mengidentifikasi efektifitas dalam Pengendalian dan kegiatan bisnis
Membantu Organisasi memberikan keputusan yang rasional berdasarkan hasil penilaian
risiko
Page 21
Tahapan Utama Penilaian Risiko Penyuapan
1
•
•
Page 22
2
Identifikasi Risiko
Evaluasi Risiko
Tahapan ini bertujuan untuk:
•
mengidentikasikan;
•
mengkategorikan;
•
mengkuantifikasikan (apabila
sesuai),
kumpulan risiko yang ada dalam
Organisasi
Tahapan ini bertujuan untuk
mengevaluasi potensi risiko yang
signifikan dan memberikan indikasi
penting yang relevan dari masingmasing risiko yang telah
teridentifikasikan
Dalam melakukan proses penilaian risiko penyuapan yang efektif dapat
dilakukan dengan menggabungkan tahapan identifikasi risiko dan evaluasi risiko.
Hal ini karena hasil dari masing-masing tahapan tersebut saling berkaitan satu
sama lain, sehingga dapat mempengaruhi hasil dari penilaian risiko penyuapan
secara umum.
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang
lingkup, dan
mobilisasi
Mengumpulkan
dan
menganalisa
informasi
Identifikasi
Risiko
DUKUNGAN MANAJEMEN
Page 23
Evaluasi
Risiko
Dokumentasi
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Persetujuan
Manajemen
Komunikasi ke
Pemangku
Kepentingan
Rencana
Penilaian Risiko
Penyuapan
Persetujuan
Rencana Penilaian
Risiko Penyuapan
Menentukan Tim
dan ruang
lingkup
Kerangka
Penilaian Risiko
Penyuapan
Format kertas
kerja dan
laporan
Identifikasi
sumber
informasi
Page 24
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Metode Pengumpulan Informasi
►
►
►
Page 25
Wawancara
Pencarian Media
Publik
Feedback
►
►
►
Workshop
Focus Group
Discussion
Survei
Tinjau Informasi
Verifikasi Informasi
Kelengkapan
Informasi
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Validasi Hasil
Analisa Informasi
Risiko
Negara
Page 26
Identifikasi Risiko
Penyuapan
Risiko
Sektor
Risiko
Transaksi
Risiko Peluang
Bisnis
Skema
Penyuapan
Risiko
Rekan Bisnis
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
►
►
Risiko Transaksi
►
Risiko Bisnis
Risiko Rekan Bisnis
Risiko ini berdasarkan dari lokasi
negara tempat operasional
Organisasi.
Dengan mengetahui risiko
berdasarkan negara ini, maka
dapat diketahui tingkat
kemungkinan terjadinya tindak
penyuapan dalam kegiatan
operasional Organisasi.
Corruption Perception Index (CPI)
dapat digunakan sebagai salah
satu dasar untuk mengidentifikasi
risiko penyuapan berdasarkan
negara,
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 27
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Negara
Negara A
Negara B
Negara C
Negara D
Negara E
Negara F
Negara G
Page 28
Nilai CPI
95
94
43
39
36
24
19
Pendapatan
(% dariTotal)
2%
10%
10%
5%
10%
5%
3%
Jumlah
Pejabat
1
3
2
1
1
1
0
Jumlah
Karyawan
5
50
50
10
300
1
0
Tingkat
Risiko
Rendah
Rendah
Sedang
Sedang
Sangat Tinggi
Tinggi
Tinggi
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
►
►
Risiko Transaksi
►
Risiko Bisnis
Dalam beberapa sektor memiliki
tingkat risiko penyuapan yang
lebih tinggi dibandingkan lainnya.
Risiko penyuapan ini timbul
bukan dikarenakan sektornya,
namun dari kegiatan operasional
yang dilakukan dalam sektor
tersebut.
Identifikasi berdasarkan sektor
ini dapat membantu
mengidentifikasi risiko
penyuapan utama dalam
Organisasi
Risiko Rekan Bisnis
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 29
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
Risiko Transaksi
Risiko Bisnis
Risiko Rekan Bisnis
►
►
Risiko pada transaksi tergantung
pada subyek transaksi, karakteristik
dari pihak ketiga, tingkat transparansi,
dan tingkat kepentingan dari transaksi
Beberapa kategori transaksi:
Penjualan ke Pemerintah
Hadiah, jamuan, dan perjalanan
Penggunaan aset Organisasi
Donasi dan sumbangan politik
Sponsorship
Memperkerjaan personel yang
terkait Pemerintah
Lisensi dan perijinan
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 30
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
►
Risiko berdasarkan
Sektor/Industri
Risiko Transaksi
Risiko Peluang Bisnis
►
Risiko ini timbul dalam proyek
dengan nilai tinggi atau yang
melibatkan banyak kontraktor dan
penengah; atau proyek yang
dilaksanakan tidak mengikuti harga
pasar atau tidak memiliki obyektif
hukum yang jelas
Karakteristik risiko peluang bisnis
dibagi menjadi:
Nilai
Kompleksitas
Rasional komersil
Risiko Rekan Bisnis
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 31
Kategori Risiko Penyuapan
Risiko berdasarkan Negara
Risiko berdasarkan
Sektor/Industri
Risiko Transaksi
Risiko Peluang Bisnis
►
►
Melakukan outsourcing suatu
aktivitas dapat meningkatkan tingkat
risiko penyuapan, karena pihak ketiga
tidak dapat diPengendalian.
Risiko rekan bisnis terdiri dari:
Risiko yang tidak dapat
dihindarkan karena aktivitas yang
dilakukan rekan bisnis
Risiko terkait dengan rekan bisnis
itu sendiri (seperti kepemilikan,
reputasi, rekam jejak, dan lainnya)
Risiko Rekan Bisnis
Note:
Walaupun belum ada kategori yang pasti dari risiko-risiko yang telah disebutkan di atas, namun tujuan dari pengategorian risiko ini adalah
untuk memastikan bahwa semua risiko yang dihadapi oleh Organisasi telah teridentifikasikan dengan konsiderasi potensi risiko penyuapan.
Page 32
Ilustrasi Bribery Risk Register – Identifikasi
Risiko
Lokasi: Country A
Unit Bisnis: Unit XYZ
Faktor Risiko Penyuapan
Kondisi Lokal Pasar
Risiko Penyuapan
Penyuapan ke pejabat
pemerintahan untuk
mengamankan atau
mempengaruhi sebuah keputusan
bisnis yang tidak sesuai
Skema Penyuapan
a) Potensi pembayaran ke
b) Potensi pembayaran ke kantor
pejabat bea cukai untuk
pajak untuk menurunkan atau
memfasilitasi proses terkait
menghilangkan kewajiban pajak
dengan import barang atau untuk
memasukan barang import yang
ilegal
Kemungkinan
Potensi Dampak
Risiko Inheren
Kontrol Anti-Penyuapan
Tingkat Kontrol Risiko
Tingkat Risiko Residual
Page 33
c) Potensi pembayaran ke
pejabat pemerintah untuk
mengamankan tanah yang
diinginkan dengan harga yang
murah
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Penilaian Risiko
Penyuapan Inheren
Dampak
Page 34
Penilaian
Pengendalian Risiko
Penyuapan
Kemungkinan
terjadi
Penilaian Risiko
Penyuapan Residual
Tiga Tahap dalam Evaluasi Risiko
Penilaian Risiko
Inheren
Penyuapan
► Penilaian
atas
kemungkinan
terjadinya dan dampak
dari risiko apabila tidak
ada Pengendalian yang
diterapkan
► Kriteria
ini ditentukan
untuk menentukan
kemungkinan
terjadinya dan dampak
atas risiko penyuapan
Page 35
Penilaian
Pengendalian
►Identifikasi
atas
kelebihan dari
Pengendalian yang
sudah ada untuk
menanggulangi
risiko penyuapan
yang teridentifikasi
Penilaian Risiko
Residual
Penyuapan
►Respon
dari risiko
residual sangat
bergantung pada
persepsi Manajeman
atas risiko residual
penyuapan
Parameter dalam Penilaian Risiko Inheren
Dampak (Impact)
►
►
►
Page 36
Tingkatan dampak atas rrisiko
penyuapan yang akan
mempengaruhi kondisi Organisasi
Faktor yang mungkin dapat
mendefinisikan penilaian dampak
yaitu dampak pada reputasi,
kemampuan untuk mencapai
obyektif utama, dan sebagainya
Kemungkinan Terjadi
(Likehood)
►
Merupakan kemungkinan
atas risiko penyuapan yang
terjadi dalam spesifik waktu
tertentu (frekuensi
terjadinya peristiwa)
Dalam melakukan pendekatan metode ini, dapat menggunakan elemen pada “Fraud Triangle” sebagai
dasar penyusunan kriteria dan penilaian
Insentif atau tekanan pada Manajemen untuk melakukan penyuapan demi melancarkan kegiatan
bisnis
Kesempatan untuk melakukan penyuapan tanpa terdeteksi
Personel/manajemen merasionalisasikan tindak penyuapan sebagai cara untuk melancarkan
kegiatan bisnis
Proses Penilaian Risiko Inheren
Kemungkinan Terjadi
(Likehood)
Dampak (Impact)
►
►
Evaluasi dengan
mengabaikan
Pengendalian yang ada
Dampak yang akan dinilai
harus mencakup
beberapa faktor seperti
kerusakan pada
keuangan, reputasi, legal,
hukum, penalti, regulasi,
dan operasional.
►
►
►
Evaluasi dilakukan
dengan mengabaikan
Pengendalian yang ada
Mengkonsiderasi tindak
penyuapan dilakukan oleh
individu atau berkoalisi
Menggunakan jangka
waktu tertentu (misal
dalam waktu 12 bulan).
Dalam melakukan penilaian dapat menggunakan skala kualitatif yang
mudah seperti “tinggi”, “sedang”, “rendah”, “sangat tinggi”, atau “sangat
rendah” untuk mengklasifikasikan penilaian pada Dampak dan
Kemungkinan Terjadi.
Page 37
Risiko Inheren
►
►
Kombinasi dari penilaian
dampak dan
kemungkinan terjadi
tindak penyuapan.
Risiko Inheren
menunjukan keseluruhan
risiko yang timbul dengan
mengabaikan
Pengendalian yang ada.
Ilustrasi Penilaian Risiko Inheren
Skala
Kemungkinan
Terjadi
Tingkat
A
(Sangat Tinggi)
B
(Tinggi)
C
(Sedang)
D
(Rendah)
E
(Sangat Rendah)
Page 38
Skala Dampak
1
(Sangat Tinggi)
2
(Tinggi)
3
(Sedang)
4
(Rendah)
5
(Sangat
Rendah)
Penting
Penting
Tinggi
Tinggi
Sedang
Penting
Penting
Tinggi
Sedang
Rendah
Penting
Tinggi
Sedang
Rendah
Rendah
Tinggi
Tinggi
Sedang
Rendah
Rendah
Tinggi
Sedang
Rendah
Rendah
Rendah
Metode dalam Proses Penilaian Pengendalian
Peninjauan dari dokumen internal yang mencakup:
►
Dokumentasi bisnis proses
►
Standar tertulis
►
Struktur Organisasi
►
Contoh dan template kontrak
►
Dokumentasi hadiah dan
jamuan
►
Survei personel sebelumnya
►
Laporan audit internal dan
eksternal
►
Validasi hasil tinjauan dokumen
Melibatkan personel utama yang memiliki
pengetahuan atas proses dan
Pengendalian areanya
►
Evaluasi dan
tinjauan dari
dokumen
internal
Wawancara
Survei terkait
Kepatuhan dan
Pengendalian dalam
Lingkungan
Organisasi
Focus Group
Discussion dan
Workshops
►
Pertanyaan terkait
kepatuhan dan
Pengendalian dalam
Organisasi.
►
Digunakan apabila terdapat responden
dalam jumlah yang besar.
Page 39
►
►
Proses wawancara ini
dapat digabungkan
pada saat identifikasi
risiko, ataupun dipisah
Penilaian terhadap
topik atau masalah
tertentu terkait
Pengendalian dalam
Organisasi.
FGD atau workshop dapat digabungkan
dengan pada saat identifikasi risiko
ataupun saat penilaian risiko inheren
►
Penilaian Risiko Residual
Risiko residual merupakan sisa risiko yang ada dengan memasukan
dampak Pengendalian yang telah mengurangi risiko penyuapan
Tingkat Penilaian Risiko Residual
Tinggi
Risiko inheren yang tinggi belum dapat dimitigasi oleh
Pengendalian yang ada
►
Sedang
Rendah
Page 40
►
Risiko inheren tinggi, namun baru sebagian dimitigasi oleh
Pengendalian, atau,
Risiko inheren yang sedang atau tidak sama sekali, namun belum
ada Pengendalian yang memitigasi
Risiko inheren yang rendah atau terdapat
Pengendalian yang sesuai untuk memitigasi risiko
Ilustrasi Ilustrasi Bribery Risk Register - Evaluasi
Risiko (1)
Lokasi: Country A
Unit Bisnis: Unit XYZ
Faktor Risiko Penyuapan
Risiko Penyuapan
Skema Penyuapan
Kemungkinan
Potensi Dampak
Risiko Inheren
Kontrol Anti-Penyuapan
Tingkat Kontrol Risiko
Tingkat Risiko Residual
Page 41
Kondisi Lokal Pasar
Penyuapan ke pejabat
pemerintahan untuk
mengamankan atau
mempengaruhi sebuah keputusan
bisnis yang tidak sesuai
a) Potensi pembayaran ke
pejabat bea cukai untuk
memfasilitasi proses terkait
dengan import barang atau untuk
memasukan barang import yang
ilegal
Sedang
Tinggi
Tinggi
a) Kebijakan dan prosedur AntiPenyuapan
b) Pelatihan Anti-Penyuapan
c) Whistleblower hotline
d) Audit kepatuhan yang
dilakukan secara reguler
Efektif
Rendah
b) Potensi pembayaran ke kantor c) Potensi pembayaran ke
pajak untuk menurunkan atau
pejabat pemerintah untuk
menghilangkan kewajiban pajak
mengamankan tanah yang
diinginkan dengan harga yang
murah
Sedang
Tinggi
Tinggi
a) Kebijakan dan prosedur AntiPenyuapan
b) Pelatihan Anti-Penyuapan
c) Whistleblower hotline
d) Audit kepatuhan yang
dilakukan secara reguler
Efektif
Rendah
Sedang
Tinggi
Tinggi
a) Kebijakan dan prosedur AntiPenyuapan
b) Pelatihan Anti-Penyuapan
c) Whistleblower hotline
d) Audit kepatuhan yang
dilakukan secara reguler
Efektif
Rendah
Ilustrasi Ilustrasi Bribery Risk Register - Evaluasi
Risiko (2)
Rating Keseluruhan
Referensi Risiko Penyuapan
Dampak
Definisi Risiko Penyuapan
Kemungkinan Terjadi
Cycle:
Rating:
SOP:
Proses Bisnis
MITIGASI KONTROL
SKEMA PENYUAPAN
No.
Page 42
Ref
Deskripsi
Dampak
Kemungkinan
Terjadi
Rating
Penyuapan
Alasan
IT-GC
TLC
Kontrol Aplikasi
TLC
Kontrol Manual
ELC
Metode Penilaian Risiko Penyuapan
Kerangka Kerja Penilaian Risiko Penyuapan
Perencanaan,
ruang lingkup,
dan mobilisasi
Mengumpulkan
dan menganalisa
informasi
Identifikasi
Risiko
Evaluasi
Risiko
Dokumentasi
Hal yang perlu diperhatikan
Dokumentasi
Proses Penilaian
Risiko Penyuapan
Page 43
Validasi ke
Pemangku
Kepentingan
Komunikasi Hasil
Penilaian
berdasarkan
dokumentasi
Kunci Utama dari Penilaian Risiko Penyuapan
1 Dukungan dan komitmen penuh
6 Penilaian berdasarkan fakta
2
Partisipasi orang yang tepat
7
Membuat prioritas risiko
penyuapan
3
Komprehensif
8
Dokumentasi lengkap semua
proses penilaian risiko penyuapan
4 Hindari prasangka
9 Frekuensi
5
10 Komunikasi yang efektif
Identifikasi dan deskripsis detil
risiko penyuapan
Page 44
Pengendalian Anti-Penyuapan
Pengendalian
Anti
Penyuapan
Page 45
Pengendalian Anti Penyuapan
►
►
►
Pengendalian anti-penyuapan merupakan kelanjutan dari hasil penilaian risiko
penyuapan
Penentuan pengendalian bertujuan untuk memitigasi risiko-risiko penyuapan yang ada
di dalam Organisasi
Dalam menentukan pengendalian, Organisasi harus memikirkan apakah pengendalian
yang sudah ada telah dapat memitigasi risiko penyuapan
Metode Peningkatan Pengendalian Anti Penyuapan
Pemetaan
Pengendalian
Page 46
Gap Analysis
Remediasi
Metode Peningkatan Pengendalian Anti Penyuapan
Analisa
Kesenjangan
Pemetaan
Pengendalian
►
►
►
►
Memetakan Pengendalian
berdasarkan dari risiko
penyuapan dalam Organisasi.
►
Harus dipastikan Pengendalian
yang ada dapat memitigasi risiko
penyuapan yang ada.
Pengendalian lain yang ada
dalam Organisasi dapat bertindak
sebagai Pengendalian anti
penyuapan, walaupun diperlukan
penyesuaian lebih lanjut.
Beberapa Pengendalian dapat
mencakup lebih dari satu risiko
penyuapan
Page 47
Sumber yang digunakan dalam
analisa kesenjangan adalah:
Remediasi
►
Pengendalian yang tidak
memitigasi risiko penyuapan,
dan
Leading practice terkait antipenyuapan
Kunci utama dalam proram
remediasi:
Rancangan
Membangun
Peluncuran
Implementasi
►
Leading practice terkait antipenyuapan dapat memberikan
gambaran Pengendalian yang
diperlukan oleh Organisasi.
►
Program remediasi ini dapat
dilakukan untuk area-area yang
dirasa memerlukan prioritas
utama
►
Adanya kesenjangan menunjukan
dibutuhkannya remediasi untuk
menutup kesenjangan tersebut.
►
Ini merupakan tanggung jawab
dari pemilik unit bisnis (business
unit owner)
Ilustrasi
Penilaian Risiko termasuk Pemetaan Pengendalian
►
Rating Keseluruhan
Referensi Risiko Penyuapan
Dampak
Definisi Risiko Penyuapan
Kemungkinan Terjadi
Cycle:
Rating:
SOP:
Proses Bisnis
SKEMA PENYUAPAN
No.
Ref
MITIGASI KONTROL
Deskripsi
Dampak
Kemungkinan
Terjadi
Rating
Penyuapan
Alasan
IT-GC
TLC
Kontrol Aplikasi
TLC
Kontrol Manual
ELC
Analisa Kesenjangan
►
Risiko Penyuapan
Risiko penyuapan yang
teridentfikasi
Page 48
Realisasi
Kontrol Anti Penyuapan
Ada/Tidak
Deskripsi
Ada atau tidak untuk
Deskripsi kontrol yang
kontrol yang memitigasi ada untuk memitigasi
risiko penyuapan.
risiko penyuapan
Sumber:
a. Kebijakan
b. Prosedur
Acuan
Praktik Terbaik
a. SNI ISO 37001
b. U.S. FCPA
c. U.K. Anti Bribery
Kesenjangan
Hasil analisa
kesenjangan
Rekomendasi
Rancangan awal
untuk remediasi
Tindak Lanjut
Kunci utama dari semua prosedur yang telah dilakukan
tersebut adalah Tindak Lanjut dari Manajemen untuk
memitigasi Risiko Penyuapan
Page 49
Memastikan
implementasi yang
efektif atas Kebijakan
dan Prosedur Anti
Penyuapan
Memastikan semua
personel dan pihak ketiga
terkait mengetahui
implementasi Anti
Penyuapan
Mengawasi aktivitas
dan hubungan yang
memiliki risiko
penyuapan tinggi
Melakukan audit atas
transaksi risiko
penyuapan tinggi
Mendapatkan konfirmasi
kepatuhan atas kebijakan
anti penyuapan dari
personel dan/atau pihak
ketiga terkait
Memberikan respon
yang sesuai dengan
dugaan penyuapan
atau tindak
ketidaksesuaian
lainnya
Terima Kasih
Page 50