Penulis : Agustinus Haryono
Sekretaris Jenderal ICoPI
Mengacu pada SNI ISO 19600 : 2014 Sistem Manajemen Kepatuhan – Pedoman digambarkan adanya suatu bagan alur sistem manajemen kepatuhan. Pada kesempatan ini penulis akan menguraikan untuk bagian konteks organisasinya. Organisasi yang belum mengadopsi standar sistem manajemen atau kerangka kerja manajemen kepatuhan dapat dengan mudah mengadopsi standar yang ada dalam SNI ISO 19600 : 2014 tersebut sebagai pedoman mandiri di dalam organisasi mereka.
Panduan sistem manajemen kepatuhan dapat diterapkan pada semua jenis organisasi dan cakupannya bergantung pada ukuran, struktur, sifat dan kompleksitas organisasinya. Standar tersebut menyediakan panduan untuk menetapkan, mengembangkan, menerapkan, mengevaluasi, memelihara dan meningkatkan sistem manajemen kepatuhan yang efektif dan responsif pada suatu organisasi.
Adapun konteks organisasi dalam bagan alur sistem manajemen kepatuhan meliputi hal-hal sebagai berikut :
1. Pemahaman organisasi dan konteksnya (4.1)
Organisasi sebaiknya menentukan isu eksternal dan internal, seperti isu yang terkait dengan risiko kepatuhan yang relevan dengan tujuannya dan yang mempengaruhi kemampuannya untuk mencapai hasil keluaran sistem manajemen kepatuhan yang diharapkan. Dalam melakukan itu, organisasi perlu mempertimbangkan berbagai aspek eksternal dan internal, seperti regulasi, konteks sosial dan budaya, situasi ekonomi serta kebijakan internal, prosedur, proses dan sumber daya.
2. Pemahaman kebutuhan dan harapan dari para pihak yang berkepentingan (4.2)
Organisasi sebaiknya menentukan para pihak berkepentingan yang relevan dengan sistem manajemen kepatuhan dan persyaratan dari pihak berkepentingan tersebut.
3. Penentuan ruang lingkup sistem manajemen kepatuhan (4.3)
Organisasi sebaiknya menentukan batasan dan kemampuan aplikasi sistem manajemen kepatuhan untuk menetapkan ruang lingkupnya. Ruang lingkup sistem manajemen kepatuhan tersebut dimaksudkan untuk menjelaskan batasan geografi dan/atau organisasi tempat sistem manajemen kepatuhan akan berlaku, khususnya jika organisasi tersebut merupakan suatu bagian dari suatu organisasi yang lebih besar pada lokasi tertentu. Pada saat menentukan ruang lingkup ini, organisasi sebaiknya mempertimbangkan isu eksternal, internal dan persyaratan yang dirujuk.
4. Sistem manajemen kepatuhan dan prinsip tata kelola yang baik (4.4)
Organisasi sebaiknya menetapkan, mengembangkan, menerapkan, mengevaluasi, memelihara dan meningkatkan secara berkelanjutan suatu sistem manajemen kepatuhan, termasuk proses yang dibutuhkan dan interaksi di antara mereka sesuai standar dengan mempertimbangkan prinsip tata kelola berikut :
- Akses langsung fungsi kepatuhan kepada dewan tata kelola;
- Independensi fungsi kepatuhan;
- Kewenangan yang sesuai dan sumber daya yang memadai yang dialokasikan kepada fungsi kepatuhan.
Sistem manajemen kepatuhan sebaiknya mencerminkan nilai-nilai, tujuan, strategi dan risiko kepatuhan dari organisasi.
5. Identifikasi kewajiban kepatuhan (4.5.1)
Organisasi sebaiknya mengidentifikasi secara sistematis kewajiban kepatuhannya dan implikasinya terhadap aktivitas, produk dan layanan. Organisasi seharusnya memperhitungkan kewajiban ini dalam menetapkan, mengembangkan, menerapkan, mengevaluasi, memelihara dan meningkatkan sistem manajemen kepatuhannya.
Organisasi sebaiknya mendokumentasikan kewajiban kepatuhan dengan cara yang sesuai dengan ukuran, kompleksitas, struktur dan operasi organisasi. Sumber kewajiban kepatuhan sebaiknya mencakup persyaratan kepatuhan dan dapat mencakup komitmen kepatuhan.
6. Pemeliharaan kewajiban kepatuhan (4.5.2)
Organisasi sebaiknya memiliki proses untuk melakukan identifikasi akan adanya hukum, regulasi, pedoman dan kewajiban kepatuhan yang baru maupun yang akan berubah dalam memastikan keberlanjutan kepatuhan mereka. Organisasi sebaiknya memiliki proses untuk melakukan evaluasi terhadap dampak dari perubahan yang sudah teridentifikasi tersebut dan menerapkan perubahan yang diperlukan dalam pengelolaan kewajiban kepatuhan mereka.
7. Identifikasi, analisis dan evaluasi risiko kepatuhan (4.6)
Organisasi sebaiknya mengidentifikasi dan mengevaluasi risiko kepatuhannya. Evaluasi ini dapat berdasarkan pada penilaian risiko kepatuhan formal atau dilakukan melalui pendekatan alternatif. Penilaian risiko kepatuhan menjadi dasar penerapan sistem manajemen kepatuhan serta alokasi terencana sumber daya dan proses yang sesuai dan memadai untuk mengelola risiko kepatuhan yang teridentifikasi.
Organisasi sebaiknya mengidentifikasi risiko kepatuhan dengan menghubungkan kewajiban kepatuhan mereka dengan aktivitas, produk, layanan dan aspek relevan lain dari organisasinya agar dapat mengidentifikasi situasi saat ketidakpatuhan dapat terjadi. Organisasi tersebut sebaiknya mengidentifikasi penyebab dan dampak dari ketidakpatuhan tersebut.
Organisasi sebaiknya menganalisis risiko kepatuhan dengan mempertimbangkan penyebab dan sumber dari ketidakpatuhan dan kegentingan dari dampaknya serta tingkat kemungkinan dari ketidakpatuhan tersebut dan dampak terkait yang dapat terjadi, misalnya kerusakan terhadap pribadi dan lingkungan, kerugian ekonomi, kerusakan reputasi dan kewajiban administratip.
Evaluasi risiko mencakup pembandingan tingkat risiko kepatuhan yang ditemukan pada proses analisa dengan tingkat risiko kepatuhan yang dapat dan mau diterima oleh organisasi. Berdasarkan pembandingan ini, prioritas dapat ditetapkan sebagai dasar penentuan terhadap kebutuhan untuk penerapan kendali dan luas cakupan dari kendali tersebut.
Risiko kepatuhan sebaiknya dinilai ulang secara berkala dan setiap saat terjadi :
- Penambahan atau perubahan aktivitas, produk atau layanan;
- Perubahan struktur atau strategi organisasi;
- Perubahan eksternal signifikan seperti situasi keuangan dan ekonomi, kondisi pasar, kewajiban dan hubungan dengan klien;
- Perubahan kewajiban kepatuhan dan
- Ketidakpatuhan
Pendekatan berbasis risiko terhadap manajemen kepatuhan tidak berarti bahwa untuk situasi risiko kepatuhan rendah, ketidakpatuhan tersebut dapat diterima oleh organisasi. Pendekatan berbasis risiko dapat membantu organisasi untuk memfokuskan perhatian dan sumber daya utamanya pada risiko yang lebih tinggi sebagai prioritas dan pada akhirnya akan mencakup semua risiko kepatuhan mereka. Semua risiko atau situasi kepatuhan yang teridentifikasi menjadi subyek pemantauan, koreksi dan tindakan korektif.
DAFTAR REFERENSI
- ISO 19600 : 2014 Compliance Management System-Guidelines.