Langkah-Langkah Persiapan & Penerapan ISO 37001
Langkah-langkah ini dibuat berdasarkan persyaratan di ISO 37001 dan praktek dilapangan selama ini, ada
beberapa hal yang tidak wajib di persyaratan, tetapi karena penting, tetap dimasukkan dalam tabel ini.
Dokumen ini dibuat secara umum dan harus disesuaikan dengan kondisi organisasi
No Items
1 Komitmen dari Pimpinan Organisasi
2 Membentuk Tim Fungsi Kepatuhan
3 Membuatkan Tugas & Tanggung Jawab Tim Fungsi
Kepatuhan
4 Membuat Pedoman Sistem Manajemen Anti Penyuapan
(SMAP)
5 Membuat & perbarui struktur organisasi
6 Menentukan isu internal dan eksternal yang relevan
dengan tujuannya dan yang dapat berpengaruh pada
kemampuannya untuk mencapai sasaran & hasil yang
diinginkan dari sistem manajemen anti penyuapan
(SMAP)
7 Mengidentifikasi kebutuhan dan harapan
pemangku kepentingan yang relevan terhadap SMAP.
8 Menentukan batas dan penerapan dari sistem
manajemen anti penyuapan untuk menetapkan
lingkupnya.
9 Menetapkan penilaian risiko penyuapan
www.wqa-apac.com
PIC Catatan Acuan
Pimpinan Manajemen puncak harus memperagakan
kepemimpinan dan komitmen terhadap sistem
5.1.2
manajemen anti penyuapan (SMAP)
Pimpinan Fungsi kepatuhan anti penyuapan harus mempunyai
kecukupan sumber daya dan ditugaskan pada orang
(kelompok) yang mempunyai kesesuaian kompetensi,
status, tanggung jawab dan mandiri.
5.3.2
Dibuktikan dengan adanya SK pengangkatan dan
ditandatangani secara resmi oleh Pimpinan Organisasi.
Pimpinan Dibuktikan dengan adanya dokumen tugas & tanggung
jawab tim fungsi kepatuhan dan didaftarkan secara
resmi ke Document Contro (DC).
5.3.2
Panduannya detail mengeni tugas dan wewenang tim
fungsi kepatuhan bisa dilihat di klausul 5.3.2 persyaratan
ISO 37001.
Tim Fungsi Meskipun dokumen ini tidaklah wajib, ini sangat
Kepatuhan dibutuhkan untuk memberikan gambaran & menyajikan
panduan yang jelas dan terstruktur tentang bagaimana
organisasi mengelola SMAP.
Disarankan untuk penomoran klausul di Pedoman ini
mengikuti HLS di persyaratan ISO 37001.
Tim Fungsi Untuk memastikan Tim Fungsi Kepatuhan secara resmi
Kepatuhan ada di struktur organisasi atau terwakili melalui fungsi
tertentu (misalnya MR atau Tim Etika, dll)
Tim Fungsi Isu internal & eksternal ini perlu dinyatakan secara
Kepatuhan tertulis & bisa menjadi bagian dari dokumen Pedoman
SMAP (no. 3 diatas) atau berdiri sendiri.
4.1
Tim Fungsi Perlu menentukan :
Kepatuhan - Siapa pemangku kepentingan bagi organisasi
(misalnya : Pimpinan organasi, karyawan,
pelanggan, supplier dll.)
- Apa kebutuhan dan harapan dari pemangku
kepentingan diatas terhadap SMAP (misalnya 4.2
supplier berharap adanya proses seleksi yang fair
dan proses yang jelas)
Dokumen ini bisa dimasukkan dalam Pedoman SMAP
atau berdiri sendiri.
Tim Fungsi Sama seperti standard lainnya, organisasi harus
Kepatuhan menentukan ruang linkup atau scope dari penerapan
SMAP ini. Bisa disesuaikan dengan aktifitas atau bisnis
utama dari organisasi. Ruang lingkup ini harus di 4.3
dokumentasikan, dan bisa menjadi bagian dari
dokumen Pedoman SMAP (no. 3 diatas) atau berdiri
sendiri.
Tim Fungsi Ini dilaksanakan dengan :
Kepatuhan 1. Mengidentifikasi risiko penyuapan yang dapat
& semua muncul dari aktifitas di semua area di organisasi. 4.5
pihak yang 2. Menetapkan kriteria untuk mengevaluasi tingkat
relevan risiko penyuapan, biasanya dalam bentuk matrik

10 Membuat & menetapkan Kebijakan Anti Penyuapan
11 Mengkomunikasikan Kebijakan Anti Penyuapan ini
kepihak internal dan eksternal yang relevan.
12 Membuat dan menetapkan sasaran anti penyuapan &
perencanaan untuk mencapainya.
13 Membuat prosedur Proses Mempekerjakan
(Employment Process)
www.wqa-apac.com
risiko. Dan menggunakannya untuk melakukan
penilaian risiko (1)
3. Menentukan control untuk memitigasi risiko (1)
penyuapan ini.
Baik 1,2 & 3 diatas harus didokumentasikan, biasanya
dalam bentuk tabel penilaian risiko.
Pastikan tabel ini didaftarkan ke Document Control (DC)
organisasi.
Pastikan semua kontrol yang dituliskan diterapkan dan
bukti pelaksanaannya disimpan.
Pimpinan & Dibuktikan dengan adanya dokumen Kebijakan Anti
Tim Fungsi Penyuapan yang secara resmi ditetapkan oleh
Kepatuhan organisasi, dengan adanya persetujuan oleh Pimpinan.
5.2
Pastikan kebijakan ini meliputi komitmen anti penyuapan
yang ada diklassul 5.2 persyaratan ISO 37001.
Pimpinan & Dibuktikan dengan adanya kegiatan komunikasi,
Tim Fungsi misalnya dalam bentuk pertemuan, dimasukkan ke
Kepatuhan website organisasi, ditampilkan pada area publik 5.2
diligkungan kantor dll.
Tim Fungsi Dibuktikan dengan adanya dokumen Sasaran SMAP.
Kepatuhan - Dokumen ini harus mencakup semua area di
& semua organisasi yang memiliki risiko penyuapan diatas
pihak yang batas rendah. Misalnya area HRD, Marketing,
relevan Procurement, dll.
- Sasaran harus SMART dan disarankan
berhubungan dengan kontrol risiko penyuapan 6.2
(point 9 diatas) dan klausul 8 dari peryaratan ISO
37001.
- Selain ada sasaran, perencanaan untuk mencapai
sasaran juga harus ditetapkan.
- Pastikan dokumen ini terdaftar ke DC.
Tim Fungsi Dalam hubungannya terhadap semua
Kepatuhan Personel, organisasi harus menerapkan
prosedur yang berisi :
c) kondisi pekerjaan yang mensyaratkan
personel untuk mematuhi kebijakan anti
penyuapan dan sistem manajemen anti
penyuapan, dan memberikan organisasi
hak untuk mendisiplinkan personel ketika
ada ketidakpatuhan;
d) dalam jangka waktu yang wajar terhitung
ketika mereka dipekerjakan, personel
menerima salinan, atau disediakan akses
ke, kebijakan anti penyuapan dan
pelatihan dalam kaitannya dengan
kebijakan;
e) organisasi memiliki prosedur yang dapat
mengambil tindakan disipliner yang sesuai
terhadap personel yang melanggar
7.2
kebijakan anti penyuapan atau sistem
manajemen anti penyuapan; dan
f) personel tidak akan menerima
pembalasan, diskriminasi atau tindakan
disiplin (misal dengan ancaman, isolasi,
penurunan jabatan, pencegahan
peningkatan, transfer, pemecatan,
intimidasi, dikorbankan, atau bentuk lain
dari pelecehan)
Sehubungan dengan semua posisi
yang terkena risiko penyuapan di atas batas
rendah dan untuk fungsi kepatuhan anti penyuapan,
organisasi harus menerapkan prosedur yang berisi
tentang:
a) uji kelayakan dilakukan pada
orang sebelum mereka dipekerjakan, dan
personel sebelum mereka dipindahkan
 atau dipromosikan organisasi, untuk
memastikan sejauh mana hal ini dapat
diterima dan adalah tepat untuk
mempekerjakan atau memindahkan
mereka dan keyakinan yang wajar bahwa
mereka akan mematuhi kebijakan anti
penyuapan dan persyaratan sistem
manajemen anti penyuapan;
b) bonus kinerja, target kinerja dan elemen
insentif lainnya dari pemberian upah
ditinjau secara berkala untuk memastikan
bahwa ada perlindungan yang wajar
diterima untuk mencegah mereka dari
dorongan penyuapan;
c) personel seperti, manajemen puncak,
dan dewan pengarah (jika ada),
mendeklarasikan dalam jangka waktu
yang wajar sebanding dengan risiko
penyuapan yang teridentifikasi, yang
mengonfirmasikan kepatuhan mereka
terhadap kebijakan anti penyuapan.

14 Melaksanakan pelatihan mengenai pemahaman ISO Tim Fungsi Dibuktikan dengan adanya dokumen pelatihan seperti,
37001 dan dokumen internal yang berhububungan Kepatuhan materi pelatihan, daftar hadir pelatihan, sertifikat
dengan SMAP. atau HRD pelatihan dll.
7.3
Prosedur mengenai pelatihan tidak diwajibkan, tetapi jika
ada lebih baik. (yang mengatur dari TNA, pelaksanaan
training dan evaluasinya).

15 Membuat prosedur uji kelayakan. Tim Fungsi Dibuktikan dengan adanya prosedur uji kelayakan yang
Kepatuhan sudah di registrasikan pada DC.
Prosedur ini harus mengatur :
1. Uji kelayakan personal Perlu ditekankan parameter bagi batasan risiko 8.2
2. Uji kelayakan rekan bisnis penyuapan di atas batas rendah, untuk personal, rekan
3. Uji kelauakan projek. bisnis dan projek yang perlu dilakukan uji kelayakan.

16 Membuat form uji kelayakan personal, form uji Tim Fungsi Panduan bagi isi dari uji kelayakan, bisa dilihat di
kelayakan rekan bisnis & form uji kelayakan projek. Kepatuhan persyaratan ISO 37001 Annex
A.10.2
- Uji kelayakan proyek ➔ A.10.2 A.10.3
- Uji kelayakan rekan bisnis ➔ A.10.3 A.10.1
- Uji kelayakan personal ➔ A8.1

17 Melaksanakan uji kelayakan berdasarkan prosedur uji Pihak yang Pelaksanaan harus disesuaikan dengan prosedur (point
kelayakan (point 15), dengan menggunakan formulir uji relevan 15).
kelayakan (point 16)
Dilaksanakan oleh pihak yang berwenang sesuai
prosedur. Misalnya :
- Uji kelayakan personal dilakukan oleh HRD
8.2
- Uji kelayakan rekan bisnis dilakukan oleh
Procurement / Purchasing
- Uji kelayakan project dilakukan oleh Marketing atau
Pimpinan organisasi

18 Memiliki prosedur pengendalian keuangan Keuangan Prosedur ini tidak wajib, akan tetapi akan lebih baik jika
sudah ada. Dibuktikan dengan adanya prosedur yang 8.3
sudah didaftarkan di dokumen kontrol.

19 Implementasikan Pengendalian Keuangan Keuangan Organisasi diminta melakukan kontrol keuangan yang
beberapa contohnya bisa dilihat di A.11 di persyaratan
ISO 37001.

Berikut beberapa contoh pengendalian keuangan :

1. Menerapkan pemisahan tugas, sehingga orang
yang sama tidak dapat memulai dan menyetujui
pembayaran; A.11
2. menerapkan tingkat berjenjang sesuai kewenangan
untuk persetujuan pembayaran (sehingga transaksi
yang lebih besar memerlukan persetujuan
manajemen yang lebih senior);
3. memverifikasi penerima pembayaran dan
pekerjaan atau jasa yang ditunjuk telah
disetujui oleh mekanisme organisasi yang

www.wqa-apac.com

20 Implementasikan Pengendalian Non Keuangan
21 Menerapkan Komitmen Anti Penyuapan bagi rekan
bisnis
22 Memiliki prosedur yang mengatur Hadiah,
Keramahtamahan, Sumbangan & Keuntungan Serupa
23 Penerapkan prosedur yang mengatur Hadiah,
Keramahtamahan, Sumbangan & Keuntungan Serupa
kesemua pihak yang relevan.
24 Memiliki prosedur yang pengatur pelaporan yang
berhubungan dengan penyuapan
www.wqa-apac.com
relevan;
4. membutuhkan setidaknya dua tanda
tangan pada persetujuan pembayaran;
5. membutuhkan dokumen pendukung yang sesuai
untuk dilampirkan pada persetujuan pembayaran;
6. membatasi penggunaan pembayaran tunai dan
menerapkan metode pengendalian pembayaran
tunai yang efektif;
7. membutuhkan kategori pembayaran dan deskripsi
rekening yang akurat dan jelas;
8. menerapkan tinjauan manajemen secara periodik
dari transaksi keuangan yang signifikan;
9. menerapkan audit keuangan independent dan
perubahannya secara berkala, secara reguler, audit
dilakukan oleh personel atau organisasi yang
berwenang.
Ini tidak wajib semua diterapkan, tetapi akan lebih baik
jika ada. Semua bukti pengendaliannya disimpan.
Area yang Area non keuangan ini seperti aktivitas di area :
relevan - Pengadaan (Procurement atau Purchasing)
- Operasional (Produksi, Gudang, QC/QA, etc)
- Penjualan & Komersial (Marketing, Sales)
- Sumber Daya Manusia (HR-GA)
- Hukum Dan Regulasi.
- Dll 8.4
Dibuktikan dengan adanya prosedur, IK atau rekaman
yang berhubungan dengan aktifitas diarea diatas, ini
juga tergantung dengan bisnis dan jenis aktifitas di
organisasi
Pengadaan Untuk rekan bisnis yang menimbulkan risiko penyuapan
di atas batas rendah, organisasi harus melaksanakan
prosedur yang mensyaratkan :
- Rekan bisnis berkomitmen untuk mencegah
penyuapan
- Organisasi mampu untuk mengakhiri hubungan
8.6
dengan rekan bisnis di mana ada penyuapan
Ini dibuktikan dengan rekan bisnis menandatangani
formulir Komitmen Anti Penyuapan atau Pakta Integritas
atau Komitmen Etika dll.
Tim Fungsi Memiki prosedur yang mengatur baik dari sisi
Kepatuhan Penerimaan dan Pemberian untuk semua hadiah,
keramahtamahan, sumbangan dan keuntungan serupa.
Prosedur ini harus jelas menginformasikan :
- Mana hadiah/keramahtamahan/sumbangan yang
8.7 &
boleh dan mana yang tidak boleh.
A.15
- Apa yang harus dilakukan jika menerima atau
memberi hadiah diatas batas yang sudah
ditetapkan.
Detailnya bisa dilihat di A.15.3
Semua Prosedur di point 22 diatas harus di sosilisasikan dan
pihak yang dipahami dengan baik oleh semua pihak yang relevan.
relevan
Bukti implementasinya misalnya bisa dengan adanya
A.15
catatan terhadap susuatu / barang yang diterima (jika
diatas batas yang diizinkan) atau sesuatu / barang yang
diberikan (jika diatas batas yang dizinkan).
Tim Fungsi Organisasi harus memiliki prosedur pelaporan ini,
Kepatuhan pastikan mengatur hal berikit :
- Melaporkan dengan itikad baik, kemana harus
melapor, apa media pelaporan yang disediakan
- Organisasi memperlakukan laporan secara rahasia
untuk melindungi identitas pelapor dan orang lain
8.9
yang dilaporkan
- Mengizinkan laporan tanpa nama
- Melarang pembalasan, dan melindungi mereka
yang membuat laporan dari pembalasan, setelah
memiliki itikad baik
 25 Menerapkan prosedur pelaporan ini kesemua pihak
yang relevan, baik untuk internal dan eksternal
26 Menetapkan prosedur investigasi & penanganan
penyuapan
27 Melakukan monitoring, pengukuran, analisa dan
evaluasi terhadap kinerja dari SMAP
www.wqa-apac.com
Tim Fungsi Organisasi mengsosialisasikan prosedur pelaporan ini.
Kepatuhan Dibuktikan dengan adanya :
8.9
- formulir pelaporan
- jumlah laporan yang masuk (jika ada)
Tim Fungsi Organisasi harus menerapkan prosedur yang:
Kepatuhan a) mensyaratkan penilaian dan, jika sesuai, investigasi
dari setiap penyuapan, atau pelanggaran dari
kebijakan anti penyuapan.
b) mensyaratkan tindakan yang tepat ketika
investigasi mengungkap setiap penyuapan, atau
pelanggaran terhadap kebijakan anti penyuapan
atau sistem manajemen anti penyuapan;
8.10
c) memberdayakan dan membolehkan penyelidik;
A.18
d) mensyaratkan kerjasama dalam investigasi oleh
personel yang relevan;
e) mensyaratkan status dan hasil investigasi
dilaporkan kepada fungsi kepatuhan anti
penyuapan
f) mensyaratkan investigasi dilakukan secara rahasia
dan hasil investigasi adalah rahasia.
Tim Fungsi Contoh hal yang bisa dimonitor dan ukur :
Kepatuhan
a) Kebijakan dan Prosedur Anti Suap: Memantau dan
mengukur efektivitas kebijakan dan prosedur yang
telah diimplementasikan untuk mencegah suap di
organisasi. Ini bisa melibatkan peninjauan berkala
terhadap kebijakan, penyesuaian jika diperlukan,
dan memastikan pemahaman dan kepatuhan oleh
semua pihak terkait.
b) Edukasi dan Pelatihan: Mengukur tingkat partisipasi
dan pemahaman karyawan terhadap pelatihan anti
suap yang diberikan. Monitor sejauh mana
pelatihan ini membantu meningkatkan kesadaran
dan pengetahuan tentang risiko suap.
c) Pengidentifikasian Risiko Suap: Melakukan
evaluasi terhadap risiko suap yang mungkin
dihadapi oleh organisasi. Ini bisa mencakup
pengukuran identifikasi dan penilaian risiko, serta
tindakan yang diambil untuk mengurangi atau
mengelola risiko tersebut.
d) Pengawasan Transaksi Keuangan: Memantau
transaksi keuangan dan aktivitas bisnis yang
berkaitan dengan risiko suap. Ini melibatkan
pemantauan dan pemeriksaan atas transaksi yang
9.1
mencurigakan atau tidak wajar.
A.19
e) Pelaporan dan Penanganan Pelanggaran:
Mengukur efektivitas dalam pelaporan pelanggaran
atau tindakan yang mencurigakan, serta tindakan
yang diambil untuk menangani kasus tersebut
sesuai dengan kebijakan yang telah ditetapkan.
f) Audit Internal dan Eksternal: Melakukan audit
internal dan eksternal secara berkala untuk menilai
kepatuhan terhadap standar ISO 37001 dan
mengidentifikasi peluang perbaikan.
g) Penanganan Pelanggaran dan Sanksi: Memantau
dan mengukur tindakan yang diambil terhadap
individu atau unit bisnis yang terlibat dalam
pelanggaran anti suap. Ini termasuk tindakan
disipliner atau sanksi yang diberikan sesuai dengan
kebijakan organisasi.
h) Pengukuran Kinerja Umum: Seperti kinerja dari
objektif yang sudah ditetapkan. Mengukur dampak
keseluruhan penerapan ISO 37001 terhadap
kinerja organisasi, termasuk peningkatan dalam
mencegah dan mengatasi risiko suap, peningkatan
dalam reputasi dan kepercayaan, dan lain-lain.
 28 Melaksanakan pelatihan audit internal Tim Fungsi Sama dengan standar lainnya, ISO 37001 mewajibkan
Kepatuhan organisasi memiliki internal auditor yang kompeten untuk
melaksanakan audit SMAP berdasarkan ISO 37001 &
ISO 19011.
9.2
Dibuktikan dengan adanya pelaksanaan pelatihan,
daftar hadir, sertifikat pelatihan & materi pelatihan.

29 Melaksanakan audit internal Tim Fungsi Organisasi harus melaksanakan audit internal pada
Kepatuhan rentang waktu yang direncanakan. Pastikan semua area
yang relevan diaudit.

Dibuktikan dengan adanya : 9.2

- Audit plan
- Laporan audit (hasil temuan audit, jika ada)
- Bukti perbaikan & tindakan koreksi

30 Melaksanakan Tinjauan Tim Fungsi Kepatuhan Tim Fungsi Tim Fungsi Kepatuhan Anti Penyuapan melakukan
Kepatuhan penilaian terhadap :
1. Keefektifan pengelolan risiko penyuapan yang
dihadapi oleh organisasi;
2. Keefektifan penerapan.

Semua hasil dari tinjauan tim fungsi kepatuhan ini nanti 9.4
akan dilaporkan tinjauan manajemen puncak.

Semua rekaman kegaitan ini harus disimpan, seperti

waktu pelaksanaan, daftar hadir, notulen rapat yang
mencermintakn point-point diatas.

31 Melaksanakan Tinjauan Manajement Puncak Pimpinan Manajemen puncak harus meninjau SMAP organisasi,
pada rentang waktu terencana.

Pastikan menggunakan agenda masukan berikut:

1. Status tindakan dari tinjauan manajemen
sebelumnya (jika ada)
2. Perubahan dalam isu internal dan eksternal yang
relevan dengan SMAP
3. Informasi mengenai kinerja SMAP
a) Ketidak sesuaian dan tindakan korektif;
b) Hasil pemantauan dan pengukuran;
c) Hasil audit;
d) Laporan penyuapan;
e) Penyelidikan;
f) Sifat dan tingkat risiko penyuapan yang
dihadapi oleh organisasi;
9.3.1
4. Keefektifan tindakan yang diambil untuk
menunjukkan risiko penyuapan;
5. Peluang peningkatan berkelanjutan dari SMAP

Keluaran tinjauan manajemen puncak harus

mencakup keputusan terkait dengan :
1) Peluang peningkatan berkelanjutan
2) Kebutuhan untuk perubahan pada SMAP

Untuk memudahkan bisa dibuatkan formulir yang khusus

berisi hal-hal diatas.

Semua rekaman kegaitan ini harus disimpan, seperti

waktu pelaksanaan, daftar hadir, notulen rapat yang
mencermintakn point-point diatas.

33 Melaksanakan Tinjauan Dewan Pengarah (Jika Dewan Pada dasarnya Dewan Pengarah ini tidak wajib ada
organisasi memutuskan memiliki Dewan Pengarah). Pengarah dalam organisasi.

Dewan pengarah (jika ada) harus melakukan tinjauan

secara berkala sistem manajemen anti penyuapan
berdasarkan informasi yang diberikan oleh manajemen 9.3.2
puncak dan fungsi kepatuhan anti penyuapan.

Semua rekaman kegiatan ini harus disimpan, seperti

waktu pelaksanaan, daftar hadir, notulen rapat.

34 Melaksanakan correction & corrective action terhadap Tim Fungsi Dalam penerapannya, ketidak sesuaian ini bisa
10.1
semua ketidak sesuaian. Kepatuhan didapatkan dari :

www.wqa-apac.com
 - Hasil monitoring, pengukuran, analisa dan
evaluasi(point no. 27)
- Hasil audit internal
- Hasil tinjauan tim fungsi kepatuhan
- Hasil tinjauan dari manajemen

Organisasi bisa menggunakan formulir NCR

(nonconforming report) untuk membuktikan
melaksanakan hal ini.

35 Melaksanakan tindakan peningkatan atau perbaiakn Tim Fungsi Organisasi harus secara terus menerus meningkatkan
yang berkelanjutan Kepatuhan kesesuaian, kecukupan dan keefektifan SMAP.
10.2
Misalnya dibuktikan dengan perbaikan dokumen SMAP

www.wqa-apac.com