Penulis: Victor Riwu Kaho

 

1.  Apa itu GRC terintegrasi dan mengapa diperlukan
Dewasa ini tidak ada lagi organisasi yang tidak membutuhkan penerapan governansi, manajemen risiko, dan kepatuhan secara terintegrasi. Hal ini karena semua upaya organisasi untuk mencetak kinerja unggul butuh pengaturan yang jelas (governansi). Mencetak kinerja unggul di tengah ketidakpastian juga butuh mekanisme untuk mitigasi ancaman gagal sambil eksploitasi peluang sukses (manajemen risiko). Semuanya ini harus dilakukan dengan memenuhi tuntutan para stakeholders akan perilaku bisnis yang sehat dan berintegritas (kepatuhan). Suka atau tidak, governansi, manajemen risiko, dan kepatuhan tidak bisa dihindari dan sumberdaya yang terbatas membuat ketiganya tidak bisa lagi dilaksanakan secara terpisah-pisah (silos), namun harus terintegrasi.
Di lain pihak, datangnya era revolusi industri 4.0 ditandai dengan munculnya teknologi canggih yang berperan bak pisau bermata dua, siap membantu organisasi bertumbuh atau justru membunuh organisasi. Digitalisasi bisnis merupakan salah satu strategi yang efektif dalam menghadapi era revolusi digital 4.0. Dengan menerapkan teknologi digital pada bisnis, maka organisasi pun bisa meningkatkan daya saing dan tetap bisa bertahan melawan gempuran teknologi. Beberapa keuntungan dari penerapan transformasi digital dalam bisnis adalah efisiensi biaya operasional, mengoptimalkan kolaborasi, dan akses data yang fleksibel kapanpun dimanapun. So, saat ini digitalisasi telah menjadi keniscayaan bagi semua pihak, sehingga tantangannya adalah bagaimana bisa mengambil manfaatnya sambil memitigasi ancamannya.

2.  Menuju Digital GRC
Sebagaimana telah dijelaskan di atas, secara konvensional GRC hanya dilihat sebagai sekumpulan fungsi bisnis, kapabilitas, dan proses yang dijalankan secara terpisah-pisah untuk mencapai misi dan visi organisasi yang ditentukan. Di lain pihak, perkembangan terkini membuat organisasi membuka diri terhadap teknologi dan saluran komunikasi yang mutakhir dan canggih, sebagai jalan menuju era baru yang dikenal sebagai,’Era Digital’. Era baru ini berpusat pada inisiatif transformasi bisnis digital yang berkembang di seluruh dunia. Sehingga kemudian bermunculan kumpulan aplikasi perangkat lunak yang dikenal sebagai “GRC Digital”. Aplikasi GRC Digital ini digunakan untuk memfasilitasi pengelolaan aktivitas GRC yang terkait dengan komponen bisnis digital seperti cloud, seluler, social media, big data, dan internet of things (IoT) dengan formasi sebagaimana gambar di bawah ini.

Formasi Digital GRC Softwares

Gambar 1. Formasi Gigital GRC Softwares

(Sumber: https://blogs.gartner.com/john-wheeler/digital-grc-the-dawn-of-a-new-era/)

 

Namun, Khullar dan Gill (2019) merekomendasikan konsep Digital GRC Principles dalam transformasi menuju Digital GRC. Secara skematik, Digital GRC Principles adalah sebagaimana gambar di bawah ini.

 

Key Digital GRC Principle

Gambar 2. Key Digital GRC Principles

Penjelasan singkat atas prinsip-prinsip Digital GRC ini adalah sebagai berikut:

  • People centric approach
    Kerangka GRC harus memberdayakan individu untuk menyuarakan pandangan mereka, dan melaporkan adanya berbagai permasalahan yang mereka hadapi dalam bekerja, serta berbagai risiko yang ditimbulkan dan setiap saat dapat berubah menjadi bencana.
  • Data Driven
    Fungsi GRC organisasi dirancang sedemikian rupa sehingga dapat menerima masukan dari berbagai sumber, mencerna, dan kemudian melaporkan kembali dalam bentuk metrik yang bermakna agar dapat membantu organisasi dalam pengambilan keputusan yang akurat, relevan, dan tepat waktu.
  • Cutting Edge Technology
    Pengembangan teknologi organisasi mampu memobilisasi, mendigitalkan, dan mengoptimalkan semua aktivitas terkait risiko dan kepatuhan perusahaan dengan melibatkan semua pemangku kepentingan sesuai kebutuhan masing-masing. Ini adalah pilar utama transformasi GRC, karena semua pilar lainnya akan membutuhkan bantuan teknologi untuk berkembang sepenuhnya dan berkinerja pada level yang diinginkan.
  • GRC for all
    Kapabilitas GRC harus dikembangkan untuk mendeteksi, melaporkan, menyelidiki dan melacak insiden di seluruh tingkatan organisasi. Ini akan memastikan bahwa perimeter risiko mencakup semua dan sarana yang tersedia dibuat untuk melaporkan dan melacak bahkan insiden terkecil sekalipun.
  • Zero trust model
    Dalam rangka menghindari peningkatan ancaman risiko, maka organisasi harus menggunakan pendekatan holistik yang menguji semua sumber yang ada untuk memberikan gambaran profil risiko berbasis informasi terbaik yang tersedia. Pengujian dengan sampel berpotensi menyisakan kemungkinan bias yang tinggi dalam analisis tingkat risiko.
  • Predictive action
    Kapabilitas GRC harus ditransformasikan untuk dapat mengaktifkan peningkatan pengendalian, yang memberikan kemampuan untuk menghentikan atau mengakhiri transaksi atau proses yang salah pada saat proses berlangsung untuk mencegah terjadinya insiden kerugian.

3.  Implementasi Digital GRC di Era Pandemi Covid-19

Setelah deklarasi pandemi Covid-19 oleh Organisasi Kesehatan Dunia (“WHO”), pemerintah di berbagai negara telah membuat dan memberlakukan hukum dan peraturan yang memberikan langkah-langkah untuk menangani pandemi Covid-19 ini.  Kondisi ini menuntut organisasi melakukan penyesuaian atas penerapan GRC terintegrasi, bukan saja untuk memenuhi kewajiban kepatuhan terhadap hukum dan regulasi terkait penanganan pandemi covid-19 ini, namun yang lebih substansi adalah agar organisasi dapat menjamin kesehatan dan keselamatan Pimpinan dan para pekerja dari risiko terpapar covid-19 selama melaksanakan tugas mereka, baik di dalam dan di luar lingkungan kantor.  Organisasi harus beradaptasi dengan cepat, mengadopsi praktik kerja baru dan memenuhi peraturan baru saat pekerja melaksanakan mekanisme bekerja yang direvisi untuk kebutuhan “kenormalan yang baru” bagi mereka.

Pada bulan Desember 2020 yang lalu, organisasi internasional untuk standardisasi (ISO) telah menerbitkan standar ISO/PAS 45005:2020 – Panduan Keamanan Kerja Saat Pandemi Covid-19.  ISO/PAS 45005: 2020 memberikan panduan tentang penerapan praktik terbaik dan akan membantu mengelola risiko yang ditimbulkan oleh pandemi COVID-19 dengan mengacu pada kesehatan, keselamatan, dan kesejahteraan terkait pekerjaan.  Beberapa manfaat bagi organisasi implementer standar ISO/PAS 45005:2020 ini, antara lain:

  • Menyediakan satu sumber praktik baik berdasarkan pengetahuan saat ini
  • Mendukung asesmen risiko yang disebabkan pandemi covid-19 secara komprehensif
  • Memberikan contoh praktis tentang cara mengelola risiko yang disebabkan pandemi covid-19
  • Mengaktifkan perencanaan dari multi lokasi dan untuk berbagai tipe pekerja
  • Membantu mengelola risiko penyakit menular dan dapat mengurangi absensi karena penyakit musiman dan penyakit lainnya, seperti flu biasa, influenza dan penyakit lambung
  • Membantu dalam mengembangkan rencana respons cepat jika tingkat risiko yang disebabkan covid-19 atau perubahan pembatasan operasi dalam waktu singkat

Sebagaimana diketahui, pada bulan November 2018 yang lalu organisasi ISO telah menerbitkan ISO Handbook The Integrated Use of Management System Standards (IUMSS)-second edition.  Handbook ini dapat digunakan untuk mengembangkan penerapan berbagai sistem manajemen secara terintegrasi.  Karena itu, organisasi dapat menggunakan ISO Handbook ini untuk membangun penerapan GRC terintegrasi dengan berbasis pada berbagai standar ISO di bidang governansi (ISO 37000 Series), manajemen risiko (ISO 31000 Series), dan kepatuhan (ISO 19600 Series)

Bagi organisasi yang telah menerapkan sistem GRC terintegrasi dengan berbasis pada berbagai standar ISO, maka sangat direkomendasikan untuk segera mengintegrasikan standar ISO/PAS 45004:2020 ini ke dalam sistem GRC terintegrasi yang telah diberlakukan. Agar dapat memperkuat kemampuan sistem GRC terintegrasi dalam mendeteksi berbagai risiko yang bersumber dari adanya pandemi covid-19 dan kemudian menyiapkan serta mengesekusi berbagai tindakan pencegahan serta melakukan tindakan quick response atas berbagai insiden yang terjadi dalam rangka meminimalisasi dampak yang lebih luas.

Penambahan unsur standar ISO/PAS 54005:2020 ini ke dalam sistem GRC terintegrasi oleh organisasi tentu saja berimplikasi pada arsitektur sistem Digital GRC yang digunakan.  Penyesuaian desain sistem digital juga harus dilakukan terutama untuk menunjang daya deteksi terhadap berbagai risiko baru yang ditimbulkan oleh pandemi covid-19 bagi organisasi, baik di dalam maupun di luar lingkungan kerja akibat pemenuhan kewajiban pembatasan jam operasional kantor maupun pembatasan jumlah pekerjaa di lingkungan kantor.  Satu hal yang tidak bisia di abaikan adalah langkah penyesuaian arsitektur dan platform digital GRC ini harus tetap menerapkan prinsip-prinsip digital GRC sebagaimana direkomendasikan oleh Khullar & Gill (2019) di atas.