Integrasi GRC

Manajemen-ti.com — Tata kelola perusahaan yang baik (good corporate governance) adalah tuntutan bagi setiap perusahaan. Kita mungkin hanya bisa memberi pengecualian kepada perusahaan skala kecil milik perorangan yang perubahan kondisinya juga berdampak kecil kepada pihak lain di luar perusahaan [Guldentops, 2013]. Perusahaan jasa finansial seperti perbankan –tentu saja— tidak mungkin dimasukkan ke dalam kriteria perusahaan kecil baik dari segi skala maupun dampaknya kepada pihak eksternal. Tentu masih kuat dalam ingatan kita bagaimana perdebatan dan energi yang dikeluarkan oleh banyak pihak dalam urusan Bank Century yang antara lain disebut bermasalah dalam penerapan tata kelola perusahaannya.

Berbagai krisis finansial yang terjadi di berbagai belahan dunia yang berdampak dahsyat juga disebut sebagai akibat dari penerapan tata kelola perusahaan yang belum baik. Sebut saja misalnya kasus Enron, WorldCom dan lain-lain yang terjadi di Amerika Serikat yang kemudian membuat perubahan signifikan dalam aturan tata kelola perusahaan disana (misal: US Sarbanes-Oxley Act). Atau runtuhnya perusahaan-perusahaan raksasa di belahan dunia lain yang diikuti pula dengan perubahan pengaturan tata kelola perusahaan. Walaupun sebenarnya kurang fair jika menimpakan seluruh kesalahan terkait krisis-krisis tersebut hanya pada tata kelola perusahaan yang kurang baik. Karena ada faktor-faktor lain yang ikut berkontribusi seperti misalnya lemahnya pengawasan pihak regulator, fundamental ekonomi, kondisi sosial politik yang berlaku, dan sebagainya. Namun demikian pada umumnya krisis-krisis tersebut dimanfaatkan sebagai sebagai sebuah kesempatan atau momentum untuk memperbaiki pengaturan tata kelola perusahaan.

Dalam dunia Perbankan di Indonesia, berbagai kasus yang terjadi seperti kasus BLBI, kredit macet dengan jumlah besar, kasus Bank Global, Bank Century dan berbagai kasus lainnya menjadi salah satu latar belakang diterbitkannya aturan baru yang melahirkan organisasi Otoritas Jasa Keuangan (OJK) [Sulistyandari, 2012). Di negara lain seperti Inggris, kegagalan Neural Banker, Baring Banker, dan penutupan 12 bank lainnya juga memicu lahirnya Financial Services Authority (FSA) di Inggris yang mirip dengan lembaga OJK Indonesia [Zaidatul Amina, 2012].

Alhasil, kasus/kriris yang terjadi sering dijadikan sebagai salah satu pemicu perbaikan pengaturan dalam enterprise governance. Secara sederhana enterprise governance merupakan mekanisme yang diterapkan oleh perusahaan dalam rangka menjaga keseimbangan antara dimensi performance dan dimensi conformance. Dimensi performance fokus pada bagaimana membantu pimpinan perusahaan dalam  mengambil keputusan-keputusan strategis, memahami risiko serta pemicu utama untuk kinerja perusahaan yang lebih baik. Sedangkan dimensi conformance fokus kepada struktur dan tanggung-jawab pimpinan, kepatuhan terhadap standard dan regulasi, serta mekanisme assurance untuk memastikan proses-proses tata kelola berjalan secara efektif. Dari diskursus mengenai kedua dimensi governance ini kemudian lahir konsep Governance, Risk, and Compliance (GRC).

Konsep GRC ini memiliki cakupan yang luas, mencakup Enterprise Risk Management (ERM), operational risk management, incident management, dan area-area terkait lainnya [Ramanathan, 2010]. Walaupun konsep ini sudah diperkenalkan setidaknya sejak 2002, tapi tantangan-tantangan baru juga berdatangan setiap harinya seiring dengan cepatnya perubahan bisnis, lahirnya teknologi-teknologi baru, inovasi-inovasi produk, hingga perkembangan merger dan akuisisi di antara perusahaan. Hal ini terjadi pula dalam dunia perbankan, dan juga merupakan salah satu faktor yang melatar-belakangi lahirnya OJK [Rahmat Waluyanto, 2012].

(Baca juga: Beragam Pendekatan Implementasi GRC)

Integrasi GRC

Diantara semangat yang dapat diambil dari lahirnya OJK adalah integrasi pengaturan dalam industri jasa keuangan. Semangat yang sama pula perlu diterapkan dalam penerapan GRC di industri jasa keuangan ini, khususnya perbankan. Namun perlu diingat bahwa integrasi GRC juga mengandung kompleksitas tersendiri mengingat adanya:

  1. Tuntutan multi-regulasi, baik regulasi vertikal industri (misal: Basel II), regulasi horisontal (misal: Permen BUMN), kebijakan tata kelola internal, regulasi internasional, regulasi regional, regulasi lokal, dll.
  2. Cakupan lingkup yang luas (penetapan lingkup merupakan hal krusial dalam implementasi GRC), seperti: risiko operasional, kontrol finansial, IT Governance, anti fraud, Business Continuity, Information security, dan lain-lain.
  3. Masing-masing lingkup ditangani oleh proyek-proyek terpisah, dengan obyektif masing-masing, dengan mitra konsultan masing-masing, dengan metodologi dan pendekatan masing-masing, dan pemangku kepentingan masing-masing.

Adanya kompleksitas tersebut membuat kebanyakan perusahaan mengelola proyek-proyek GRC secara terpisah-pisah sehingga timbul masalah seperti inkonsistensi metodologi, duplikasi aktifitas, perspektif yang tidak seragam terhadap risiko dan kepatuhan, dll. Oleh karena itu dibutuhkan pendekatan implementasi GRC yang terintegrasi pula. Pendekatan yang mengintegrasikan aspek “G”, “R”, dan “C” dari GRC. Beragam pemodelan diajukan oleh berbagai pihak dalam rangka menerapkan GRC terintegrasi ini. Namun secara umum model integrasi GRC tersebut dapat diilustrasikan seperti pada gambar 1 [Pedro Felippe, 2012].

Seperti terlihat pada gambar di samping, ketiga komponen GRC saling berinteraksi satu dengan lainnya secara terpadu. Proses-proses dalam Governance melakukan evaluasi dan pendefinisian terhadap kebijakan, risk appetite, kultur, strategi serta obyektif perusahaan yang menunjukkan bagaimana sistem pengendalian dan evaluasi yang diterapkan di perusahaan.

Kemudian proses-proses di dalam manajemen risiko dimulai dengan mendapatkan seluruh informasi yang dibutuhkan untuk menetapkan lingkungan internal dan obyektif yang ingin dicapai. Selanjutnya dilakukan proses identifikasi kejadian baik yang telah terjadi (issues) sebelumnya maupun mungkin terjadi (risiko). Pada tahapan ini proses di kelompok manajemen kepatuhan (compliance) sudah mulai ikut terlibat untuk mengkompilasikan kebutuhan kepatuhan baik internal maupun eksternal.

Ketika analisis kebutuhan telah diselesaikan, maka selanjutnya dapat dilakukan analisis deviasi melalui Audit atau self-assessment. Disamping itu, permasalahan dan risiko yang telah diidentifikasi akan dikaji risikonya untuk mendapatkan gambaran mengenai profil risiko berikut prioritasnya.

Dari hasil risk assessment dan analisis deviasi (audit) akan dihasilkan rencana aksi untuk merespon setiap risiko serta daftar temuan audit. Berdasarkan hasil ini pula kemudian dihasilkan strategi berikut inisiatif-inisiatif yang diperlukan untuk meningkatkan kontrol internal untuk mencegah, mendeteksi, memperbaiki dan melacak risiko sedemikian sehingga tujuan dari kontrol tersebut dapat terpenuhi.

Keseluruhan proses tersebut di atas baik yang terdapat pada kelompok Governance, Risk management maupun Compliance akan berinteraksi dengan proses pelaporan dan pemantauan yang terpadu dalam rangka untuk menciptakan continuous improvement.

Model proses integrasi GRC sebagaimana dijelaskan diatas tentu saja perlu didukung dengan organisasi yang sesuai. Hal ini mengingat pada umumnya penanggung-jawab proses-proses tersebut melibatkan beragam pihak seperti Auditor (internal/eksternal), manajemen kepatuhan, manajemen risiko, manajemen keamanan, user (risk owner), dll. Disamping itu mengingat kompleksitas proses dan pihak yang terlibat, maka dukungan teknologi sistem GRC akan sangat membantu implementasi GRC yang terpadu.

Alhasil, perkembangan industri jasa keuangan yang semakin terintegrasi semakin menuntut penerapan GRC yang semakin terintegrasi pula. Integrasi tersebut perlu dilakukan baik dari sisi proses, organisasi, serta teknologi yang mendukungnya. Semuanya membutuhkan perencanaan dan pentahapan yang matang sesuai dengan kondisi dan kebutuhan dari setiap perusahaan. [manajemen-ti]

* Artikel ini sebelumnya dimuat di majalah “Compliance News” yang dikelola oleh Forum Direktur Kepatuhan Perbankan (FKDKP)

Tentang Penulis:

Umar Alhabsyi, MT, CISA, CRISC.

Merupakan konsultan IT Management Senior, aktif dan berpengalaman ekstensif dalam memberikan jasa konsultansi manajemen TI baik berupa Perencanaan Strategis TI, IT Audit & Assurance, Governance of Enterprise IT, IT Service Management, IT Risk & Security, IT Performance Management, dll untuk berbagai sektor perusahaan dan organisasi. Umar juga aktif memberikan seminar, workshop dan training publik maupun inhouse.

 

twitter: @umaralhabsyi