Risiko suap jarang datang dengan wajah yang jelas. Ia tidak selalu muncul sebagai amplop di atas meja, transaksi mencurigakan, atau permintaan terang-terangan yang membuat semua orang langsung waspada.

Lebih sering, risikonya masuk lewat jalur yang tampak biasa: vendor baru yang direkomendasikan orang dalam, konsultan yang katanya “punya akses”, hadiah yang dianggap sekadar menjaga relasi, sponsorship yang manfaatnya samar, atau proses pengadaan yang terlalu cepat disetujui karena semua sedang dikejar deadline.

Di atas kertas, semuanya bisa terlihat normal.

Masalah baru terasa ketika perusahaan tidak punya proses due diligence yang rapi. Pihak ketiga masuk tanpa penilaian risiko yang memadai.

 Konflik kepentingan tidak terbaca sejak awal. Hubungan bisnis berjalan tanpa batas yang jelas. Lalu ketika muncul masalah, perusahaan sibuk mencari jejak, siapa yang menyetujui, apa dasar keputusannya, dan kenapa risiko itu tidak terlihat sejak awal.

Di sinilah due diligence dalam ISO 37001 menjadi penting.

Due diligence bukan alat untuk mencurigai semua pihak. Fungsinya lebih sederhana, misalkan, membantu perusahaan mengambil keputusan bisnis dengan mata yang lebih terbuka. Siapa yang layak diajak bekerja sama, risiko apa yang perlu dikendalikan, dan bukti apa yang harus disimpan agar keputusan tersebut bisa dipertanggungjawabkan.

Dalam sistem manajemen anti-penyuapan, due diligence bukan formalitas administratif. Ia adalah filter awal agar risiko suap tidak masuk terlalu jauh ke dalam proses bisnis.

Mengapa Due Diligence Penting dalam ISO 37001?

ISO 37001 membantu organisasi membangun sistem manajemen anti-penyuapan yang lebih terstruktur. Salah satu titik pentingnya adalah kemampuan perusahaan mengenali risiko sebelum risiko itu berubah menjadi kasus.

Due diligence bekerja di area itu.

Secara sederhana, due diligence adalah proses pemeriksaan sebelum perusahaan mengambil keputusan tertentu, terutama ketika keputusan tersebut melibatkan pihak ketiga, transaksi bernilai besar, aktivitas berisiko tinggi, atau hubungan bisnis yang berpotensi menimbulkan konflik kepentingan.

Dalam praktik anti-penyuapan, due diligence membantu perusahaan menjawab pertanyaan yang sering kali tidak cukup dijawab dengan intuisi:

• siapa pihak yang akan bekerja sama dengan perusahaan;
• apakah pihak tersebut punya rekam jejak yang wajar;
• apakah ada hubungan pribadi, keluarga, atau bisnis dengan orang internal;
• apakah transaksi memiliki risiko suap;
• apakah nilai pembayaran masuk akal dibanding layanan yang diberikan;
• apakah ada perantara yang perannya tidak jelas;
• apakah keputusan bisnis dapat dipertanggungjawabkan;
• apakah bukti pemeriksaan sudah disimpan dengan baik.

Tanpa due diligence, perusahaan seperti berjalan di ruangan gelap sambil membawa kontrak penting. Bisa saja aman. Tapi kalau tersandung, biasanya baru sadar bahwa lampunya belum dinyalakan.

Baca juga : Manfaat Sertifikasi ISO 37001 Bagi Citra dan Pengembangan Bisnis

Due Diligence Bukan Sekadar Cek Dokumen Legal

Salah satu kesalahan yang sering terjadi adalah menganggap due diligence hanya sebatas mengecek dokumen legal: akta, NPWP, izin usaha, alamat kantor, dan dokumen administrasi lain.

Itu penting. Tapi belum cukup.

Risiko suap tidak selalu terlihat dari kelengkapan dokumen. Vendor bisa punya dokumen legal yang rapi, tetapi tetap berisiko jika pemiliknya punya hubungan dekat dengan pengambil keputusan internal. Konsultan bisa terlihat profesional, tetapi perannya menjadi abu-abu ketika ia menawarkan “jalan cepat” tanpa ruang lingkup pekerjaan yang jelas. Sponsorship bisa tampak positif, tetapi bermasalah jika manfaat bisnisnya tidak bisa dijelaskan.

Jadi, due diligence ISO 37001 perlu melihat lebih dalam dari sekadar sah atau tidaknya pihak tersebut secara administratif.

Yang perlu dibaca adalah kewajaran hubungan bisnisnya: apakah transparan, proporsional, dan tidak membuka ruang pengaruh yang tidak semestinya.

Baca juga : Biaya Sertifikasi ISO: Kenapa Bisa Berbeda di Tiap Perusahaan?

8 Area yang Perlu Masuk Checklist Due Diligence ISO 37001

Setiap perusahaan memiliki profil risiko yang berbeda. Namun, ada beberapa area yang hampir selalu layak masuk dalam checklist due diligence ISO 37001 karena sering menjadi jalur munculnya risiko suap.

1. Vendor dan Pemasok

Vendor adalah salah satu area paling sensitif dalam due diligence anti-suap. Proses pengadaan melibatkan pemilihan pihak ketiga, penawaran harga, negosiasi, kontrak, pembayaran, sampai evaluasi kinerja. Jika tidak dikendalikan, ruang risikonya cukup besar.

Checklist due diligence untuk vendor dapat mencakup:

• identitas dan legalitas vendor;
• struktur kepemilikan;
• rekam jejak bisnis;
• pengalaman kerja sebelumnya;
• hubungan vendor dengan karyawan atau manajemen;
• kewajaran harga dan ruang lingkup pekerjaan;
• riwayat keluhan atau sengketa;
• komitmen terhadap kebijakan anti-suap;
• kemampuan vendor memenuhi persyaratan kontrak.

Yang perlu diperhatikan bukan hanya vendor baru. Vendor lama juga perlu dievaluasi, terutama jika nilai kontraknya meningkat, ruang lingkup pekerjaannya berubah, atau mulai muncul pola yang tidak biasa.

Misalnya, vendor selalu menang meskipun penawarannya tidak paling kompetitif. Atau ada vendor yang mendapat pekerjaan berulang tanpa evaluasi kinerja yang jelas. Ini bukan otomatis berarti ada suap. Tetapi cukup menjadi alasan untuk menyalakan lampu kuning.

2. Mitra Bisnis dan Joint Venture

Kerja sama seperti joint venture, strategic partnership, distributor, agen, atau mitra proyek juga perlu diperiksa dengan hati-hati.

Risikonya bisa lebih besar dibanding vendor biasa karena hubungan bisnisnya biasanya lebih panjang, lebih strategis, dan membawa nama perusahaan di hadapan pihak luar.

Checklist due diligence untuk mitra bisnis dapat mencakup:

• reputasi dan latar belakang mitra;
• struktur pemilik manfaat atau beneficial owner, yaitu pihak yang sebenarnya memiliki atau mengendalikan bisnis;
• pengalaman dalam industri terkait;
• hubungan dengan pejabat publik atau pihak berpengaruh;
• riwayat kepatuhan dan etika bisnis;
• potensi konflik kepentingan;
• pembagian peran dan tanggung jawab;
• mekanisme pengawasan kerja sama;
• klausul anti-suap dalam perjanjian.

Mitra yang terlihat kuat secara komersial tetap perlu dibaca dari sisi integritas. Jangan sampai perusahaan masuk ke kerja sama yang tampak menjanjikan di awal, tetapi membawa risiko reputasi di belakang.

Dalam isu anti-suap, reputasi sering rusak bukan karena perusahaan melakukan kesalahan langsung, tetapi karena terlalu longgar memilih pihak yang mewakili atau bekerja atas namanya.

3. Agen, Perantara, dan Konsultan

Agen dan perantara sering menjadi area rawan. Bukan karena semua agen bermasalah, tetapi karena peran mereka kadang berada di wilayah yang sulit diawasi.

Terutama jika mereka berhubungan dengan proses perizinan, tender, pengadaan, negosiasi kontrak, atau akses ke pihak tertentu.

Checklist due diligence untuk agen dan perantara dapat mencakup:

• alasan penggunaan agen atau perantara;
• peran dan ruang lingkup pekerjaan;
• kompetensi dan pengalaman;
• struktur biaya atau komisi;
• kewajaran pembayaran dibanding jasa yang diberikan;
• hubungan dengan pejabat publik atau pengambil keputusan;
• catatan komunikasi dan deliverables;
• klausul anti-suap dalam kontrak;
• bukti pekerjaan yang benar-benar dilakukan.

Red flag biasanya muncul ketika perantara tidak bisa menjelaskan kontribusinya dengan jelas, meminta pembayaran tidak wajar, meminta pembayaran ke rekening pihak lain, atau memakai istilah samar seperti “biaya koordinasi”, “biaya percepatan”, atau “uang pelicin”.

Istilahnya bisa terdengar halus. Risikonya tidak ikut halus.

4. Proses Pengadaan

Pengadaan adalah salah satu pusat risiko suap di banyak organisasi. Di sinilah keputusan vendor, harga, spesifikasi, kontrak, dan pembayaran bertemu.

Due diligence dalam proses pengadaan membantu memastikan keputusan tidak hanya cepat, tetapi juga wajar, bersih, dan bisa dijelaskan.

Checklist pengadaan dapat mencakup:

• kebutuhan barang atau jasa sudah jelas;
• spesifikasi tidak mengarah ke vendor tertentu;
• proses evaluasi vendor terdokumentasi;
• pembanding harga tersedia;
• keputusan pemilihan vendor memiliki dasar yang objektif;
• konflik kepentingan sudah dideklarasikan;
• persetujuan dilakukan oleh pihak berwenang;
• perubahan nilai kontrak dijelaskan;
• pembayaran sesuai progres atau bukti pekerjaan.

Pengadaan yang sehat tidak selalu berarti memilih vendor termurah. Yang penting, alasan pemilihannya masuk akal dan terdokumentasi.

Jika harga lebih tinggi dipilih karena kualitas, pengalaman, kapasitas, atau kemampuan teknis, alasan itu perlu dicatat. Tanpa dokumentasi, keputusan yang sebenarnya sah bisa terlihat mencurigakan.

5. Hadiah, Jamuan, dan Hospitality

Hadiah dan jamuan sering berada di wilayah abu-abu. Dalam beberapa budaya bisnis, memberi hadiah atau menjamu mitra dianggap bagian dari relasi. Namun, dalam sistem anti-penyuapan, area ini tetap perlu dikendalikan.

Bukan berarti semua hadiah dilarang. Yang penting adalah nilainya wajar, tujuannya jelas, waktunya tidak mencurigakan, dan tidak memengaruhi keputusan bisnis.

Checklist hadiah dan hospitality dapat mencakup:

• jenis hadiah atau jamuan;
• nilai estimasi;
• penerima atau pemberi;
• tujuan pemberian;
• waktu pemberian;
• hubungan dengan proses tender atau negosiasi;
• persetujuan atasan atau fungsi kepatuhan;
• pencatatan dalam register hadiah.

Hadiah kecil bisa menjadi masalah jika diberikan pada waktu yang salah. Misalnya, menjelang keputusan tender, saat evaluasi vendor, atau ketika pihak terkait sedang menunggu persetujuan penting.

Dalam praktiknya, konteks sering lebih menentukan daripada nilai.

6. Donasi, Sponsorship, dan CSR

Donasi dan sponsorship terlihat positif. Namun, tanpa due diligence, keduanya bisa menjadi jalur penyamaran suap.

Perusahaan perlu memastikan bahwa donasi atau sponsorship diberikan untuk tujuan yang jelas, kepada pihak yang valid, dan tidak digunakan untuk memengaruhi keputusan bisnis.

Checklist donasi dan sponsorship dapat mencakup:

• identitas penerima;
• tujuan kegiatan;
• hubungan penerima dengan pihak internal atau eksternal;
• manfaat yang diperoleh perusahaan;
• nilai dukungan;
• persetujuan internal;
• bukti pelaksanaan kegiatan;
• laporan penggunaan dana jika relevan;
• dokumentasi komunikasi.

Risiko meningkat jika penerima donasi memiliki hubungan dengan pihak yang sedang mengambil keputusan atas kepentingan perusahaan. Misalnya, donasi diberikan kepada organisasi yang terkait dengan pihak pengambil keputusan dalam proses izin, tender, atau kontrak.

Niat baik tetap perlu tata kelola. Kalau tidak, niat baik bisa berubah menjadi masalah yang sangat tidak baik.

7. Konflik Kepentingan

Konflik kepentingan adalah salah satu pintu masuk risiko suap yang paling sering diremehkan.

Contohnya sederhana. Karyawan ikut memilih vendor yang dimiliki keluarganya. Manajer menyetujui kontrak dengan perusahaan milik teman dekat. Tim pengadaan menerima rekomendasi vendor dari pihak internal tanpa proses evaluasi yang memadai.

Tidak semua konflik kepentingan langsung berarti pelanggaran. Tetapi konflik yang tidak dideklarasikan dan tidak dikendalikan dapat merusak objektivitas keputusan.

Checklist konflik kepentingan dapat mencakup:

• deklarasi hubungan pribadi atau bisnis;
• hubungan keluarga dengan vendor atau mitra;
• kepemilikan saham atau kepentingan finansial;
• keterlibatan dalam proses keputusan;
• mekanisme pengunduran diri dari proses evaluasi;
• persetujuan atau mitigasi dari pihak independen;
• pencatatan konflik kepentingan.

Perusahaan yang matang tidak hanya mengandalkan kalimat “kami saling percaya”. Kepercayaan tetap penting. Tetapi sistem harus memastikan keputusan bisnis tidak bergantung pada asumsi baik semata.

8. Transaksi Bernilai Besar atau Tidak Biasa

Transaksi bernilai besar, pembayaran mendesak, perubahan kontrak, atau pembayaran yang tidak biasa perlu masuk radar due diligence.

Bukan berarti semua transaksi besar mencurigakan. Namun, transaksi seperti ini punya dampak lebih besar jika terjadi penyimpangan.

Checklist transaksi berisiko dapat mencakup:

• tujuan transaksi;
• dasar kebutuhan;
• pihak penerima pembayaran;
• kesesuaian nilai dengan pekerjaan;
• bukti pekerjaan atau deliverables;
• persetujuan berjenjang;
• metode pembayaran;
• rekening tujuan;
• justifikasi jika ada pembayaran di luar prosedur normal.

Red flag muncul ketika pembayaran dilakukan ke pihak yang tidak tercantum dalam kontrak, nilai tidak sesuai pekerjaan, atau ada permintaan pembayaran tunai tanpa alasan kuat.

Di area ini, detail kecil sering menyelamatkan perusahaan dari masalah besar.

Baca juga : Skema Persyaratan Utama ISO 37001:2016 untuk Pencegahan Suap

Ringkasan Checklist Due Diligence ISO 37001

Berikut ringkasan checklist yang dapat digunakan perusahaan untuk menilai risiko suap sebelum mengambil keputusan bisnis tertentu.

Area Due Diligence	Hal yang Perlu Dicek	Bukti yang Perlu Disiapkan
Vendor dan pemasok	Legalitas, rekam jejak, hubungan dengan pihak internal, kewajaran harga	Dokumen vendor, hasil evaluasi, pembanding harga, persetujuan
Mitra bisnis	Reputasi, beneficial owner, konflik kepentingan, riwayat kepatuhan	Profil mitra, hasil screening, perjanjian kerja sama
Agen dan perantara	Peran, komisi, hubungan dengan pihak berpengaruh, bukti pekerjaan	Kontrak, invoice, laporan pekerjaan, approval
Pengadaan	Spesifikasi, evaluasi vendor, dasar pemilihan, konflik kepentingan	Berita acara, evaluasi teknis, evaluasi harga
Hadiah dan hospitality	Nilai, tujuan, waktu pemberian, penerima, persetujuan	Gift register, form approval, bukti komunikasi
Donasi dan sponsorship	Tujuan, penerima, manfaat, hubungan dengan keputusan bisnis	Proposal, approval, bukti kegiatan, laporan penggunaan dana
Konflik kepentingan	Hubungan pribadi, finansial, keluarga, atau bisnis	Form deklarasi, mitigasi, keputusan independen
Transaksi berisiko	Nilai besar, pembayaran tidak biasa, perubahan kontrak	Kontrak, bukti pekerjaan, approval berjenjang

Checklist ini sebaiknya tidak dipakai sebagai formalitas. Gunakan sebagai alat membaca risiko. Jika ada jawaban yang tidak jelas, jangan langsung dipaksa lolos. Berhenti sebentar, klarifikasi, lalu dokumentasikan keputusan.

Alur Praktis Due Diligence ISO 37001

Checklist akan jauh lebih berguna jika perusahaan punya alur kerja yang jelas. Tanpa alur, due diligence mudah berubah menjadi kegiatan mengumpulkan dokumen, jadi begini, vendor diminta mengirim file, tim internal menyimpan di folder, lalu semua merasa proses sudah selesai.

Padahal due diligence yang sehat harus membantu perusahaan mengambil keputusan. Bukan sekadar mengarsipkan dokumen.

Secara sederhana, alur due diligence ISO 37001 bisa dimulai dari beberapa langkah berikut:

1. identifikasi pihak, transaksi, atau aktivitas yang perlu diperiksa;
2. tentukan kategori risiko: rendah, sedang, atau tinggi;
3. kumpulkan dokumen dan informasi pendukung;
4. periksa red flag, konflik kepentingan, dan kewajaran transaksi;
5. tetapkan keputusan: lanjut, lanjut dengan mitigasi, atau tidak dilanjutkan;
6. dokumentasikan alasan keputusan dan pihak yang menyetujui;
7. lakukan monitoring berkala untuk pihak atau transaksi berisiko tinggi.

Alur ini membantu due diligence tidak berhenti sebagai formalitas. Setiap keputusan punya dasar, setiap risiko punya tindak lanjut, dan setiap proses punya bukti jika suatu hari perlu diperiksa kembali.

Baca juga : Pencegahan dan Pendeteksian Fraud Berbasis ISO 37001

Red Flag Risiko Suap yang Sering Terlihat Sepele

Tanda risiko suap sering muncul dalam bentuk halus. Tidak selalu dramatis. Justru karena terlihat biasa, tanda-tanda ini sering lolos.

Beberapa red flag yang perlu diperhatikan:

• vendor direkomendasikan oleh pihak internal tanpa alasan bisnis yang jelas;
• perantara meminta komisi terlalu tinggi;
• pembayaran diminta ke rekening pihak ketiga;
• vendor menolak memberikan informasi kepemilikan;
• proses pengadaan terlalu terburu-buru tanpa alasan kuat;
• spesifikasi barang atau jasa terlalu mengarah ke satu vendor;
• hadiah diberikan menjelang keputusan penting;
• biaya sponsorship tidak memiliki manfaat yang jelas;
• kontrak berubah berkali-kali tanpa penjelasan memadai;
• dokumentasi persetujuan tidak lengkap.

Red flag bukan vonis. Ia adalah tanda untuk memeriksa lebih dalam.

Perusahaan yang baik bukan perusahaan yang tidak pernah menemukan red flag. Justru perusahaan yang baik tahu harus berbuat apa ketika red flag muncul.

5 Kesalahan Umum dalam Due Diligence Anti-Suap

• Hanya Mengecek Legalitas

Legalitas penting, tetapi risiko suap tidak berhenti di sana. Vendor bisa legal, tetapi tetap punya konflik kepentingan. Mitra bisa memiliki izin lengkap, tetapi reputasinya bermasalah.

Due diligence harus melihat legalitas, rekam jejak, relasi, kewajaran transaksi, dan potensi pengaruh terhadap keputusan bisnis.

• Tidak Memperbarui Data Pihak Ketiga

Pemeriksaan tidak cukup dilakukan sekali di awal kerja sama. Profil risiko pihak ketiga bisa berubah.

Vendor kecil bisa berkembang menjadi vendor strategis. Nilai kontrak bisa meningkat. Pemilik manfaat bisa berganti. Hubungan dengan pihak internal bisa muncul belakangan.

Jika data tidak diperbarui, perusahaan bisa memakai informasi lama untuk mengambil keputusan baru.

• Menganggap Semua Pihak Ketiga Berisiko Sama

Tidak semua vendor perlu diperiksa dengan kedalaman yang sama. Vendor alat tulis tentu berbeda risikonya dengan konsultan perizinan, agen penjualan, atau mitra yang berhubungan dengan pihak pemerintah.

Due diligence yang efektif harus berbasis risiko. Semakin tinggi risiko, semakin dalam pemeriksaannya.

• Tidak Mendokumentasikan Alasan Keputusan

Ini sering terjadi. Tim sebenarnya sudah melakukan pertimbangan, tetapi alasannya tidak dicatat.

Akibatnya, ketika diaudit, keputusan terlihat lemah. Padahal keputusan itu mungkin sah dan masuk akal.

Dalam due diligence, dokumentasi bukan hanya untuk menyimpan data. Dokumentasi membantu perusahaan menjelaskan mengapa keputusan tertentu diambil.

• Tidak Ada Tindak Lanjut Setelah Risiko Ditemukan

Menemukan risiko saja tidak cukup. Perusahaan perlu menentukan tindakan mitigasi.

Misalnya, meminta komitmen anti-suap tertulis, menambahkan klausul kontrak, memperketat approval, membatasi ruang lingkup kerja, melakukan monitoring berkala, atau menolak kerja sama jika risikonya terlalu tinggi.

Risiko yang ditemukan tetapi dibiarkan akan menjadi catatan buruk dalam sistem anti-penyuapan.

Baca juga : Menggeser Paradigma Audit, Saat Audit Internal Jadi Jantung Mutu

Cara Menjalankan Due Diligence ISO 37001 agar Tidak Sekadar Formalitas

Due diligence yang baik tidak harus rumit. Yang penting, prosesnya jelas, proporsional, dan konsisten.

Mulai dari Kategori Risiko

Kelompokkan pihak ketiga atau transaksi berdasarkan tingkat risikonya. Misalnya risiko rendah, sedang, dan tinggi.

Kriteria risiko bisa mempertimbangkan:

• nilai transaksi;
• jenis layanan;
• hubungan dengan pihak pemerintah;
• penggunaan perantara;
• lokasi atau area operasional;
• rekam jejak pihak ketiga;
• potensi konflik kepentingan;
• urgensi transaksi.

Dengan cara ini, perusahaan tidak membuang energi untuk memeriksa semua hal dengan kedalaman yang sama.

Gunakan Form yang Sederhana tapi Tajam

Form due diligence tidak perlu seperti tesis. Terlalu panjang justru membuat orang mengisinya asal-asalan.

Yang penting, form mampu menangkap informasi kunci: identitas pihak, tujuan kerja sama, nilai transaksi, relasi dengan pihak internal, potensi konflik, hasil pemeriksaan, keputusan, dan mitigasi.

Sederhana boleh. Tumpul jangan.

Libatkan Fungsi yang Tepat

Due diligence tidak bisa hanya dikerjakan oleh satu fungsi jika risikonya tinggi.

Untuk transaksi tertentu, perusahaan mungkin perlu melibatkan procurement, legal, compliance, finance, user department, bahkan manajemen. Bukan untuk memperlambat proses, tetapi memastikan keputusan tidak dilihat dari satu sudut saja.

Area yang berisiko tinggi memang butuh mata lebih banyak.

Simpan Bukti dengan Rapi

Audit ISO 37001 akan melihat apakah proses due diligence benar-benar dijalankan. Karena itu, bukti perlu disimpan dengan baik.

Bukti bisa berupa form evaluasi, hasil pemeriksaan, email persetujuan, kontrak, berita acara, catatan klarifikasi, approval, atau dokumen mitigasi.

Jika proses dilakukan tetapi buktinya tidak ada, perusahaan akan kesulitan menjelaskannya.

Tinjau Ulang Secara Berkala

Due diligence bukan kegiatan sekali jalan. Pihak ketiga yang awalnya berisiko rendah bisa berubah menjadi berisiko tinggi karena perubahan nilai kontrak, perubahan pemilik, perubahan ruang lingkup kerja, atau perubahan hubungan bisnis.

Karena itu, perusahaan perlu meninjau ulang pihak ketiga secara berkala, terutama yang memiliki risiko tinggi.

Kapan Due Diligence Perlu Diperketat?

Tidak semua situasi membutuhkan pemeriksaan mendalam. Namun, ada kondisi tertentu yang sebaiknya membuat perusahaan lebih berhati-hati.

Due diligence perlu diperketat ketika:

• nilai transaksi besar;
• pihak ketiga berhubungan dengan pejabat publik;
• proses terkait perizinan atau tender;
• ada penggunaan agen atau perantara;
• pembayaran menggunakan struktur tidak biasa;
• vendor baru belum memiliki rekam jejak jelas;
• ada hubungan pribadi dengan pihak internal;
• transaksi dilakukan dalam kondisi sangat mendesak;
• area kerja memiliki risiko korupsi tinggi;
• ditemukan red flag dalam proses awal.

Dalam kondisi seperti ini, memperlambat sedikit proses untuk memeriksa risiko bukan hambatan. Itu rem yang menyelamatkan mobil sebelum tikungan tajam.

Kesimpulan

Due diligence ISO 37001 bukan sekadar aktivitas administratif sebelum memilih vendor atau mitra bisnis. Ia adalah mekanisme penting untuk mencegah risiko suap masuk ke dalam keputusan perusahaan.

Risiko suap sering muncul dari area yang terlihat biasa, umumnya pengadaan, vendor, agen, hadiah, sponsorship, konflik kepentingan, atau transaksi yang terlalu cepat disetujui tanpa pemeriksaan cukup.

Checklist due diligence membantu perusahaan membaca risiko lebih awal. Bukan untuk memperumit bisnis, tetapi untuk memastikan keputusan bisnis tetap bersih, wajar, dan bisa dipertanggungjawabkan.

Perusahaan yang serius mencegah suap tidak hanya membuat kebijakan anti-penyuapan. Mereka membangun kebiasaan untuk bertanya sebelum menyetujui, siapa pihaknya, apa risikonya, apakah transaksinya wajar, siapa yang menyetujui, dan bukti apa yang bisa ditunjukkan jika suatu hari keputusan itu diperiksa.

Pada akhirnya, sistem anti-penyuapan yang kuat bukan yang terlihat paling tebal dokumennya. Yang kuat adalah sistem yang membantu orang mengambil keputusan benar, bahkan ketika tidak ada yang sedang mengawasi.

Bangun Sistem Anti-Penyuapan yang Lebih Terarah Bersama ICICERT

Jika perusahaan ingin memperkuat pencegahan risiko suap, due diligence perlu menjadi bagian dari sistem yang lebih luas. Proses ini sebaiknya terhubung dengan kebijakan anti-penyuapan, pengendalian pihak ketiga, mekanisme pelaporan, audit internal, dan evaluasi manajemen.

ICICERT dapat menjadi mitra sertifikasi ISO 37001 bagi perusahaan yang ingin menyiapkan sistem manajemen anti-penyuapan secara lebih terarah, termasuk dalam penguatan kontrol pihak ketiga, dokumentasi due diligence, bukti mitigasi risiko suap, dan kesiapan audit sertifikasi.

Dengan persiapan yang baik, ISO 37001 tidak hanya menjadi sertifikat kepatuhan. Standar ini dapat membantu perusahaan membangun budaya bisnis yang lebih bersih, lebih transparan, dan lebih dapat dipercaya.

Pencegahan suap tidak dimulai dari slogan besar. Ia dimulai dari keputusan kecil yang diperiksa dengan serius.

FAQ Seputar Due Diligence ISO 37001

1. Apa itu due diligence dalam ISO 37001?

Due diligence dalam ISO 37001 adalah proses pemeriksaan terhadap pihak, transaksi, atau aktivitas tertentu untuk menilai dan mengendalikan risiko suap sebelum keputusan bisnis diambil.

2. Mengapa due diligence penting untuk mencegah risiko suap?

Due diligence membantu perusahaan mengenali red flag lebih awal, seperti konflik kepentingan, transaksi tidak wajar, perantara berisiko, atau hubungan bisnis yang dapat memengaruhi objektivitas keputusan.

3. Siapa saja yang perlu diperiksa dalam due diligence ISO 37001?

Pihak yang umumnya perlu diperiksa antara lain vendor, pemasok, mitra bisnis, agen, perantara, konsultan, penerima sponsorship, dan pihak lain yang berhubungan dengan transaksi berisiko.

4. Apakah semua vendor harus diperiksa dengan tingkat yang sama?

Tidak. Due diligence sebaiknya berbasis risiko. Vendor atau pihak ketiga dengan nilai transaksi besar, akses strategis, atau hubungan dengan pihak berpengaruh perlu diperiksa lebih mendalam.

5. Apa saja red flag risiko suap yang perlu diperhatikan?

Red flag yang perlu diperhatikan antara lain pembayaran ke rekening pihak ketiga, komisi tidak wajar, spesifikasi mengarah ke vendor tertentu, hadiah menjelang keputusan penting, dan konflik kepentingan yang tidak dideklarasikan.

6. Bukti apa yang perlu disimpan saat melakukan due diligence?

Bukti yang perlu disimpan antara lain form evaluasi, hasil pemeriksaan, dokumen vendor, approval, kontrak, catatan klarifikasi, bukti pekerjaan, dan tindakan mitigasi jika ditemukan risiko.

7. Apakah due diligence cukup dilakukan sekali di awal kerja sama?

Tidak selalu. Pihak ketiga berisiko tinggi perlu ditinjau ulang secara berkala, terutama jika nilai kontrak, ruang lingkup kerja, struktur kepemilikan, atau profil risikonya berubah.