Audit Internal SMAP SNI ISO 37001:2016

Audit Internal Sistem Manajemen Anti Penyuapan (SMAP) diatur dalam Klausul 9.2 SNI ISO 37001:2016. Audit didefinisikan sebagai Proses yang sistematis, mandiri dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasi secara objektif untuk menentukan sejauhmana kriteria audit terpenuhi. Audit Internal dilakukan oleh organisasi pada rentang waktu yang direncanakan dan bertujuan untuk memastikan seluruh persyaratan SNI ISO 37001 telah dipenuhi, diterapkan dan dipelihara oleh organisasi.  Beberapa sasaran yang ingin dicapai dalam pelaksanaan Audit Internal diantaranya adalah menemukan/mencari kelemahan dari Prosedur/dokumentasi yang sudah dikembangkan, pengendalian dan sistem yang telah ditetapkan, memberikan saran untuk perbaikan, memantau efektifitas tindakan perbaikan, sebagai bentuk persiapan dan upaya yang dilakukan organisasi untuk meminimalisir temuan audit dari pihak eksternal (Badan Sertifikasi), serta memberikan masukan & umpan balik bagi manajemen.

Organisasi harus merencanakan, menetapkan, menerapkan dan memelihara program audit, termasuk frekuensi, metode, tanggung jawab, persyaratan perencanaan dan pelaporan, yang harus mempertimbangkan pentingnya proses dimaksud dan hasil dari audit sebelumnya.  Sebagai panduan, audit internal SMAP dapat berpedoman kepada Lampiran A.16 SNI ISO 37001:2016, SNI ISO 19011:2018 Pedoman Audit Sistem Manajemen. Pelaksanaan Audit Internal mempunyai banyak manfaat bagi organisasi diantaranya menjaga keasadaran dan semangat kepatuhan, kehati-hatian, ketertiban dan kesesuaian, mencegah penimbunan permasalahan, meningkatkan wawasan dan pemahaman auditee dan auditor terhadap sistem manajemen secara menyeluruh, menumbuhkan semangat pemantauan & Evaluasi Bersama melalui data dan bukti objektif, katalisator untuk membangun efektifitas, konsistensi dan efisiensi SMAP Perusahaan, Meningkatkan performansi operasional & memelihara sistem manajemen sesuai persyaratan, serta memacu untuk melakukan perbaikan berkelanjutan.

Program Audit yang dibuat harus dipastikan objektif dan tidak berpihak. Dalam pelaksanaan Audit Internal organisasi harus memilih auditor yang kompeten dan memastikan audit dilakukan oleh fungsi yang mandiri atau penetapan personel atau yang ditunjuk untuk proses ini; atau Fungsi Kepatuhan Anti Penyuapan (kecuali lingkup audit mencakup evaluasi sistem manajemen anti penyuapan itu sendiri, atau pekerjaan serupa dimana fungsi kepatuan anti penyuapan bertanggung jawab); atau orang yang tepat dari departemen atau fungsi yang lain dari yang sedang diaudit; atau pihak ketiga yang sesuai. Dan dipastikan tidak ada auditor yang mengaudit lingkup kerjanya sendiri untuk memastikan objektivitas dan ketidakberpihakan dalam proses audit tsb. Artinya dalam pelaksanaan Audit Internal ini Organisasi dipersyaratkan sesuai standar SNI ISO 37001 untuk menunjuk fungsi atau orang yang sesuai, kompeten dan independent atau bisa juga menggunakan pihak ketiga dalam melaksanakan keseluruhan program audit internal atau menerapkan porsi tertentu dalam program audit yang ada.

Berdasarkan ISO/IEC 17021-1-9:2016 Bagian 9: Persyaratan kompetensi untuk audit dan sertifikasi SMAP terdapat beberapa persyaratan kompetensi pengetahuan yang perlu dimiliki Auditor yang akan melakukan audit SMAP adalah pengetahuan audit secara umum; konsep penyuapan; konteks organisasi; hukum, regulasi dan persyaratan yang terkait; penilaian risiko penyuapan (bribery risk assessment) dan due diligence; risiko penyuapan; kontrol anti penyuapan; dan SMAP.

Beberapa prinsip-prinsip Audit yang harus dipegang teguh oleh auditor adalah :

Integrity (Integritas sebagai pondasi dari profesionalisme)

Fair Presentation (kewajiban untuk melaporkan secara akurat)

Due Professional care (Pengaplikasian dari ketekunan dan kemampuan mengambil keputusan dalam proses audit)

Confidentiality (Menjaga keamanan Informasi)Indefendence (dasar dari ketidakberpihakan audit dan keobjektifan sebuah kesimpulan)

Evidence based Approach (metode rasional untuk mencapai kesimpulan audit dan mampu direproduksi dalam sebuah proses audit yang sistematis)

Risk Based Approach (untuk memastikan audit difokuskan pada hal-hal yang signifikan dan memastikan tercapainya tujuan program audit)

 Audit internal harus dilaksanakan dengan wajar, proporsional dan berbasis risiko. Sebelum pelaksanaan audit internal, kriteria dan lingkup audit harus jelas dan ditentukan. Audit ini harus berdasarkan Prosedur Audit Internal atau prosedur lain yang meninjau penyuapan atau dugaan penyuapan, pelanggaran terhadap kebijakan anti penyuapan atau persyaratan sistem manajemen anti penyuapan, kegagalan rekan bisnis untuk memenuhi persyaratan anti penyuapan yang berlaku di organisasi dan kelemahan dalam, atau peluang untuk peningkatan Sistem Manajemen anti penyuapan.

Audit Internal biasanya perlu direncanakan terlebih dahulu seingga pihak yang relevan memiliki dokumen yang diperlukan dan ketersediaan waktu. Jika organisasi memiliki dewan pengarah, maka dewan pengarah dapat mengarahkan frekuensi dan seleksi audit internal yang dianggap penting untuk memastikan audit ditargetkan pada area risiko utama penyuapan di organisasi. Frekuensi audit internal SMAP akan tergantung pada persyaratan-persyaratan yang ditetapkan oleh masing-masing organisasi dengan minimal dilakukan 1 (satu) kali dalam 1 (satu) tahun. Untuk efektivitas, audit internal SMAP dapat dilakukan bersamaan dengan audit internal lainnya yang memang rutin dilakukan oleh Organisasi. Namun sebagai persyaratan untuk audit sertifikasi yang dilakukan oleh auditor eksternal (lembaga sertifikasi), maka setidaknya telah dilakukan 1 (satu) kali audit internal SMAP sebelum pelaksanaan audit sertifikasi. 

Hasil audit internal SMAP dituangkan dalam laporan audit yang harus dilaporkan kepada manajemen yang relevan, Fungsi Kepatuhan Anti Penyuapan (FKAP), manajemen puncak dan dewan pengarah (jika ada). Dewan Pengarah juga mensyaratkan akses ke semua laporan dan hasil audit, dan setiap audit yang mengidentifikasi jenis isu dengan risiko penyuapan lebih tinggi atau indicator risiko penyuapan yang dilaporkan kepada dewan pengarah saat audit selesai dilakukan.

Laporan Audit sebaiknya memberikan catatan audit yang lengkap, akurat, singkat dan jelas, dan sebaiknya mencakup atau merujuk pada hal berikut: Sasaran audit; Ruang lingkup audit, terutama identifikasi organisasi (auditee) dan fungsi atau proses yang diaudit; Identifikasi pihak yang diaudit (auditee); Identifikasi tim audit dan peserta auditee dalam audit; Tanggal dan lokasi aktivitas audit dilakukan; Kriteria audit;  Temuan audit dan bukti terkait; Kesimpulan audit; Pernyataan tentang sejauh mana kriteria audit telah dipenuhi; Setiap perbedaan pendapat yang tidak terselesaikan antara tim audit dan auditee; Audit pada dasarnya adalah pengambilan sampel; temuan audit dapat menunjukkan kesesuaian (conformity) atau ketidaksesuaian (non-conformity) dengan kriteria audit (persyaratan SNI ISO 37001 maupun persyaratan SMAP yang ditetapkan organisasi). Temuan audit yang berupa ketidaksesuaian (non-conformity) harus ditindaklanjuti dengan rencana perbaikan berkelanjutan dan perlu dilakukan pemantauan apakah hasil perbaikan tersebut telah sesuai dengan persyaratan. Semua informasi terdokumentasi selama pelaksanaan audit internal harus disimpan sebagai bukti penerapan program audit dan hasil audit internal SMAP.