Audit Sertifikasi ISO 37001: Apa Saja yang Menjadi Fokus Penilaian Auditor?

Audit ISO 37001 tidak dapat disederhanakan hanya sebagai “pencocokan dokumen” karena auditor menilai sejauh mana sistem manajemen anti penyuapan benar‑benar diimplementasikan dan terintegrasikan dalam alur proses bisnis, termasuk budaya integritas, pengendalian risiko korupsi, dan bukti nyata penerapan kebijakan serta prosedur. Auditor tidak hanya melihat ada tidaknya manual, SOP, dan record, tetapi juga memverifikasi konsistensi, relevansi, dan efektivitas implementasi di lapangan. Termasuk wawancara dengan berbagai level organisasi dan penelusuran terhadap proses kritis seperti pengadaan, penjualan, dan rekrutmen. 

Pemahaman yang tepat terhadap sudut pandang auditor sangat penting untuk meminimalisir temuan Non‑Conformance (NC), karena auditor menilai kesesuaian sistem terhadap klausul ISO 37001 dan kemampuan organisasi untuk mengelola risiko suap secara proaktif, bukan hanya memenuhi formalitas administrasi. Dengan memetakan kriteria audit, memastikan kontinuitas implementasi, serta melatih tim agar memahami logika dan metodologi auditor, organisasi dapat mengurangi risiko temuan mayor maupun minor sejak tahap audit internal hingga audit sertifikasi. 

Simak juga: Siapa yang Wajib Sertifikasi ISO 37001?

Tahapan Umum Audit Sertifikasi ISO 37001

Secara umum, audit sertifikasi terbagi dalam 2 tahap, yaitu Audit Tahap 1 (Evaluasi Dokumen) dan Audit Tahap 2 (Audit Lapangan). 

• Pada audit tahap 1, auditor menilai kecukupan dan kesesuaian informasi terdokumentasi Sistem Manajemen Anti Penyuapan (SMAP) terhadap persyaratan standar ISO 37001:2025. Yang diperiksa diantaranya kelengkapan dokumen wajib seperti kebijakan anti penyuapan, ruang lingkup SMAP, analisis risiko penyuapan, prosedur pengendalian, dan rekaman pelatihan untuk memastikan kerangka sistem telah dirancang secara memadai sebelum implementasi penuh. Jika ditemukan ketidakcukupan, berarti organisasi harus melakukan perbaikan dokumentasi sebelum proceeding ke tahap selanjutnya.
• Sementara, pada audit tahap 2 yang dievaluasi adalah implementasi dan efektivitas SMAP dalam praktik operasional organisasi. Auditor akan mengumpulkan bukti objektif melalui observasi, wawancara, dan peninjauan rekaman untuk memverifikasi bahwa kontrol anti penyuapan diterapkan sesuai prosedur yang didokumentasikan dan efektif mencegah penyuapan. Selanjutnya, temuan ketidaksesuaian (minor maupun mayor) harus ditindaklanjuti dengan rencana tindakan korektif yang disetujui lembaga sertifikasi sebelum sertifikat ISO 37001 diterbitkan. 

5 Area Kritis yang Menjadi Fokus Utama Auditor SMAP

Komitmen Manajemen Puncak (Tone at the Top) 

Auditor mewawancarai direksi untuk memvalidasi komitmen nyata terhadap SMAP, bukan sekadar pernyataan formal. Komitmen ini mencakup penetapan kebijakan anti-penyuapan, tinjauan kinerja SMAP, dan tindakan korektif atas ketidaksesuaian. Manajemen puncak memastikan seluruh organisasi memahami tujuan SMAP sebagai fondasi pencegahan suap.

Uji Tuntas (Due Diligence)

Perusahaan wajib menilai integritas vendor, mitra bisnis, dan personel berisiko tinggi melalui due diligence berbasis tingkat risiko penyuapan. Proses ini melibatkan pemeriksaan reputasi, latar belakang pemegang saham, dan track record manajemen top mitra sebelum penandatanganan kontrak. Auditor memverifikasi kepatuhan klausul 8.2 ISO 37001 untuk mitigasi risiko pihak ketiga. 

Penilaian Risiko Suap (Bribery Risk Assessment)

Auditor mengevaluasi relevansi daftar risiko suap dengan operasional aktual, termasuk identifikasi aktivitas rentan seperti akuisisi, SDM, dan pengadaan. Penilaian ini menghasilkan prioritas risiko melalui heat map likelihood dan impact untuk pengembangan prosedur mitigasi. Hasilnya harus proporsional dan mendukung pengelolaan risiko secara berkelanjutan. 

Kontrol Finansial dan Non-Finansial

Pemeriksaan mencakup sistem persetujuan biaya, hibah, donasi, dan pengadaan barang untuk mencegah penyuapan terselubung. Kontrol ini memastikan tidak adanya kolusi, kickback, atau gratifikasi dalam proses finansial dan non-finansial. Auditor menguji efektivitas prosedur untuk mengurangi risiko pada transaksi berisiko tinggi. 

Efektivitas Fungsi Kepatuhan

Fungsi Kepatuhan Anti Penyuapan (FKAP) dinilai berdasarkan independensi, akses langsung ke manajemen puncak, dan wewenang pengawasan SMAP. Auditor memverifikasi pelaporan berkelanjutan atas kinerja SMAP, termasuk evaluasi kepatuhan dan rekomendasi perbaikan. Efektivitas diukur melalui tinjauan manajemen dan audit internal untuk memastikan pengelolaan risiko penyuapan optimal.

Dokumen yang Paling Sering Diperiksa Saat Audit

• Pakta Integritas (Internal & Eksternal) 

Pakta Integritas merupakan komitmen tertulis yang ditandatangani oleh personel organisasi untuk menjamin kepatuhan terhadap prinsip anti-korupsi, baik dalam lingkup internal (antar pegawai) maupun eksternal (dengan mitra atau pihak ketiga). Dokumen ini sering diperiksa auditor untuk memverifikasi kesadaran dan tanggung jawab individu terhadap pencegahan suap sesuai ISO 37001:2025, termasuk kesiapan diaudit dan sanksi pelanggaran.

• Laporan Whistleblowing System dan Tindak Lanjutnya 

Laporan Whistleblowing System mencatat pengaduan pelanggaran etika atau suap dari whistleblower internal maupun eksternal, beserta bukti verifikasi dan tindak lanjutnya seperti Berita Acara Hasil Verifikasi (BAHV). Auditor memeriksanya untuk menilai efektivitas mekanisme pelaporan yang aman dan independen, serta pemantauan penanganan guna mencegah fraud.

• Catatan Pelatihan Anti-Suap bagi Karyawan

Catatan pelatihan anti-suap mendokumentasikan program edukasi wajib bagi karyawan mengenai kebijakan ISO 37001, risiko suap, dan prosedur pelaporan, termasuk peserta, materi, serta evaluasi pemahaman. Dokumen ini krusial dalam audit untuk membuktikan kompetensi personel dalam menerapkan Sistem Manajemen Anti-Penyuapan (SMAP).

Mengapa Wawancara Karyawan Menjadi Penentu?

Wawancara karyawan menjadi penentu karena auditor perlu memperoleh bukti auditorial yang valid bahwa budaya anti-suap tidak hanya terdokumentasi dalam kebijakan manajerial, tetapi benar-benar meresap hingga ke level staf sebagai bagian dari operasional harian organisasi. Melalui wawancara, auditor menguji pemahaman staf terhadap kebijakan anti penyuapan, kesadaran akan risiko suap dalam interaksi bisnis, serta konsistensi penerapan nilai integritas dalam praktik nyata sesuai dengan persyaratan ISO 37001 yang mewajibkan komitmen anti-suap diterapkan oleh setiap anggota perusahaan mulai dari staf hingga manajemen puncak.

Mengingatnya vitalnya ISO 37001 pada bisnis, maka ISO 37001 berperan penting dalam sektor perbankan dan sertifikasi ISO 37001 wajib untuk perusahaan konstruksi. 

Tips Menghadapi Auditor

Kejujuran dalam menjawab auditor harus diutamakan karena audit berbasis pada integritas informasi, sementara data pendukung yang lengkap, relevan, dan andal menjadi dasar untuk memverifikasi kesesuaian klaim dengan kondisi aktual. Dalam konteks evidence-based, setiap pernyataan sebaiknya dapat ditelusuri ke dokumen, catatan, atau bukti lain yang sah agar proses audit berlangsung objektif dan dapat dipertanggungjawabkan. 

Audit juga perlu dipahami sebagai sarana perbaikan berkelanjutan, bukan sekadar penilaian lulus atau tidak lulus, karena hasil audit seharusnya menghasilkan pembelajaran, rekomendasi, dan penguatan proses kerja. Dengan sudut pandang ini, temuan audit menjadi masukan untuk meningkatkan efektivitas pengendalian, mutu layanan, dan tata kelola organisasi secara berkesinambungan. 

Ingin implementasi ISO 37001 anti-penyuapan yang lebih terarah dan sesuai kebutuhan bisnis Anda? Konsultasikan bersama Kualita Konsultan untuk mendapatkan pendampingan profesional dalam penyusunan, penerapan, hingga persiapan audit.

Hubungi kami sekarang dan mulai langkah menuju sistem manajemen anti-penyuapan yang lebih kuat, terpercaya, dan berkelanjutan.