governance, risk and compliance (GRC)

Apa itu Governance, Risk, and Compliance (GRC)?

Governance, Risk, and Compliance (GRC) adalah strategi yang digunakan oleh sebuah organisasi untuk mengelola keterkaitan antara tiga komponen penting berikut ini:

  1. Kebijakan corporate governance.
  2. Program Enterprise Risk Management.
  3. Kepatuhan terhadap regulasi dan kebijakan internal perusahaan.

Istilah GRC pertama kali dikenalkan pada tahun 2007 oleh OCEG (Open Compliance and Ethics Group), yaitu sebuah lembaga nirlaba. GRC mulai berkembang sebagai disiplin tersendiri di awal abad ke-21, ketika perusahaan sadar bahwa dengan mengkoordinasikan orang, proses, dan teknologi yang digunakan untuk mengelola tata kelola, risiko, dan kepatuhan, mereka bisa mendapatkan dua manfaat besar: memastikan perusahaan tetap beretika, dan mendukung pencapaian target bisnis dengan cara mengurangi inefisiensi, miskomunikasi, serta risiko akibat pendekatan data silo.

GRC ini bisa diterapkan oleh organisasi dari berbagai skala. Tapi, pembentukan sistem GRC jadi makin penting di perusahaan besar yang punya kebutuhan tata kelola, manajemen risiko, dan kepatuhan yang kompleks dan sering tumpang tindih antar programnya.

Prinsip Utama GRC

Tiga komponen utama dari GRC didefinisikan sebagai berikut:

  1. Governance. Governance mengacu pada bagaimana pimpinan perusahaan mengelola organisasi secara etis sesuai rencana bisnis dan strategi yang disetujui.
  2. Risk. Risk management adalah proses organisasi dalam mengidentifikasi, mengkategorikan, mengevaluasi, serta menerapkan strategi untuk meminimalkan risiko yang mengganggu dan mengelola risiko yang memberi nilai tambah ke operasi bisnis.
  3. Compliance. Compliance menunjukkan sejauh mana sebuah organisasi mematuhi standar, hukum, regulasi, dan praktik terbaik yang ditetapkan oleh regulator atau kebijakan internal perusahaan.

Secara tradisional, ketiga aktivitas ini berjalan secara terpisah. Tapi dengan pendekatan GRC, ketiganya tetap berfungsi di bagian masing-masing, namun dengan keterhubungan dan integrasi yang memperlihatkan banyak keuntungan.

Kenapa GRC Penting Saat Ini?

Dengan bisnis yang makin kompleks, perusahaan butuh cara yang efisien untuk mengidentifikasi dan mengelola aktivitas-aktivitas utama. Mereka juga perlu menyatukan kegiatan manajemen yang sebelumnya terpisah-pisah ke dalam satu disiplin yang menyeluruh agar proses, teknologi, keputusan, dan SDM bisa bekerja lebih efektif.

GRC membantu dengan memecah sekat antar unit bisnis, dan memaksa semua bagian untuk bekerja sama demi mencapai tujuan strategis perusahaan. Bisa dibilang, GRC jadi salah satu fondasi penting dalam manajemen organisasi modern di era 2020-an.

Kelebihan dan Kekurangan GRC

Kalau diterapkan dengan benar, kebijakan, praktik, dan perangkat lunak GRC bisa membawa beberapa keuntungan berikut:

  • Pengurangan biaya. Dengan menghilangkan proses, sumber daya, dan alat yang tumpang tindih, GRC bisa menyederhanakan operasi dan menghemat waktu dan uang.
  • Keamanan. GRC meningkatkan visibilitas terhadap risiko dan ancaman, sehingga membantu organisasi mengamankan infrastruktur, terutama dari risiko siber.
  • Kepatuhan. GRC membantu perusahaan untuk terus memenuhi standar dan regulasi yang berlaku.
  • Perlindungan dari sanksi. Karena membantu kepatuhan, GRC juga melindungi dari audit internal yang buruk, denda, bahkan tuntutan hukum.
  • Pengurangan risiko. GRC bisa mengurangi berbagai jenis risiko, termasuk risiko bisnis, keuangan, risiko operasional, dan risiko keamanan.
  • Efisiensi operasional. GRC mempercepat pengumpulan informasi, mengurangi pekerjaan yang berulang, dan mengotomatisasi tugas rutin, yang pada akhirnya meningkatkan efisiensi operasional.
  • Transparansi dan akuntabilitas. GRC mendorong keterbukaan dalam praktik bisnis, yang bisa meningkatkan kepercayaan stakeholder.

Tapi, kalau penerapannya asal-asalan atau kurang didukung manajemen atas, GRC malah bisa jadi beban. Masalah seperti biaya tinggi, visibilitas risiko yang lemah, serta fragmentasi antar departemen bisa muncul.

Software dan Alat GRC

Software GRC menyatukan berbagai aplikasi pengelolaan GRC ke dalam satu paket yang terintegrasi. Dengan ini, organisasi bisa menjalankan strategi GRC secara sistematis dan terorganisir. Daripada pakai aplikasi yang terpisah, admin cukup menggunakan satu framework buat memantau dan menegakkan aturan serta prosedur.

Penerapan yang sukses akan membantu dalam mitigasi risiko, memangkas biaya dari banyak sistem yang berdiri sendiri, dan mengurangi kompleksitas bagi manajemen.

Software GRC yang baik biasanya punya fitur pemeriksaan risiko dan penilaian risiko yang terkait langsung dengan proses bisnis, kontrol internal, dan operasi. Tools ini juga bisa mengidentifikasi proses dan alat yang digunakan buat mengendalikan risiko tersebut, serta mengintegrasikan dengan software lain yang sudah dipakai di perusahaan.

Selain itu, software GRC mendukung kepatuhan terhadap hukum dan regulasi seperti Sarbanes-Oxley Act, GDPR, dan regulasi K3 (keselamatan dan kesehatan kerja).

Beberapa fitur tambahan di platform GRC antara lain: manajemen risiko operasional, risiko IT, manajemen kebijakan, audit, risiko pihak ketiga, pelacakan masalah, dan manajemen dokumen.

Pertimbangan dalam Memilih Software GRC

Saat ini, banyak vendor menyediakan software GRC yang bisa digunakan oleh berbagai jenis dan ukuran organisasi, bahkan yang punya banyak lini bisnis sekalipun.

Namun, pasar software GRC cukup membingungkan karena jenis produknya beragam, seperti:

  • Produk GRC terintegrasi yang mendukung manajemen GRC secara menyeluruh di seluruh organisasi.
  • Produk GRC yang hanya fokus pada area tertentu seperti keuangan, IT, atau risiko saja.
  • Point solution yang hanya menyasar salah satu komponen GRC (misalnya hanya compliance atau hanya risk).

Banyak alat GRC saat ini berbasis cloud, meskipun versi on-premise dan bahkan versi gratisan juga masih tersedia. Para vendor juga mulai menambahkan fitur otomatisasi dan teknologi AI seperti machine learning dan NLP agar lebih user-friendly dan mampu mendeteksi risiko yang terus berkembang.

Beberapa contoh produk GRC yang populer antara lain:

  • Diligent HighBond
  • IBM OpenPages
  • LogicManager
  • LogicGate Risk Cloud
  • MetricStream Enterprise GRC
  • Navex Global Lockpath
  • ServiceNow Governance, Risk, and Compliance

Penerapan GRC

Implementasi software GRC biasanya melibatkan proses instalasi yang cukup kompleks, mulai dari negosiasi dengan vendor hingga koordinasi data antar tim teknis vendor dengan berbagai departemen di dalam organisasi, seperti bisnis, IT, keamanan, kepatuhan, dan audit.
Tantangan utama dalam proses ini adalah integrasi data dan informasi penting lainnya dari berbagai departemen internal maupun organisasi eksternal ke dalam sistem GRC yang fungsional, serta memastikan semua pengguna sistem GRC sudah mendapatkan pelatihan yang memadai agar bisa memaksimalkan manfaat software-nya.

Sering kali, perubahan budaya organisasi juga dibutuhkan agar sistem GRC yang sifatnya kolaboratif ini bisa berjalan optimal. Pengujian berkala terhadap software GRC sangat penting untuk memastikan tiap departemen internal menggunakannya sesuai dengan fungsi masing-masing. Sama seperti sistem krusial lainnya, software GRC juga harus masuk dalam rencana disaster recovery (DR) agar tetap bisa digunakan saat terjadi gangguan besar.

Berikut beberapa tips untuk membantu organisasi dalam menerapkan GRC:

  • Tentukan tujuan yang jelas. Organisasi perlu menetapkan tujuan bisnis spesifik dan memetakan apa yang ingin dicapai dari implementasi GRC.
  • Identifikasi celah operasional. Lakukan gap analysis dengan mengevaluasi kualitas data dan kematangan proses yang ada, lalu temukan kekurangannya setelah mengumpulkan informasi terkait praktik GRC saat ini.
  • Libatkan seluruh tim. Dukungan dari seluruh tim penting supaya GRC bisa diterapkan dengan lancar. Pastikan rencana dan anggaran GRC sudah selaras, terutama untuk membangun fokus dari manajemen puncak.
  • Uji coba framework GRC. Sebelum diterapkan secara menyeluruh, uji dulu framework GRC di satu unit bisnis sebagai pilot project. Ini akan mempermudah proses evaluasi dan penyesuaian jika perlu.
  • Jelaskan peran dan tanggung jawab. Kolaborasi adalah kunci keberhasilan GRC. Meski kebijakan utama datang dari manajemen senior, tim hukum, keuangan, dan IT juga punya peran penting. Tentukan peran secara jelas agar proses pelaporan dan penyelesaian masalah lebih cepat.

Manfaat Software GRC

Setelah berhasil diimplementasikan, dashboard dan tool analitik data dalam GRC bisa membantu admin mengidentifikasi risk exposure perusahaan, mengukur progress terhadap target kuartalan, atau menyusun laporan audit secara cepat. Tata kelola yang baik – yaitu manajemen etis yang efektif dari level eksekutif – jadi sesuatu yang bisa diukur secara objektif. Manajemen risiko dan retensi data juga bisa diubah menjadi metrik yang bisa dikalkulasi.
Software GRC bisa memenuhi kebutuhan berbagai stakeholder, seperti:

  • Eksekutif bisnis yang perlu mengelola dan mengidentifikasi risiko.
  • Manajer keuangan yang bertanggung jawab terhadap regulatory compliance.
  • Tim legal yang mengurus dokumen dan retensi arsip.
  • IT director yang mengelola instalasi software GRC lintas departemen.
  • Manajer HR yang menangani data sensitif karyawan.

Model Maturitas GRC

Saat memulai program GRC, penting untuk punya tolak ukur yang bisa digunakan dalam proses perencanaan dan implementasi. Salah satu pendekatan yang umum digunakan adalah *maturity model*, yang menjelaskan tahapan perkembangan yang bisa dilalui oleh organisasi untuk mencapai keunggulan dalam penerapan GRC.

Di Tahap 1, organisasi masih minim integrasi GRC – ketiga elemen (governance, risk, compliance) jalan masing-masing tanpa kolaborasi. Seiring naiknya tahapan, manajemen mulai menyadari pentingnya integrasi GRC. Proses manual mulai dilakukan, lalu penggunaan software mendorong ke level integrasi yang lebih otomatis dan lintas departemen. Pada Tahap 5, budaya organisasi sudah sepenuhnya mengadopsi pendekatan GRC secara menyeluruh.

Yang Boleh dan Tidak Boleh Dilakukan dalam Praktik GRC

Yang Harus Dilakukan

  1. Siapkan justifikasi bisnis yang jelas untuk integrasi GRC.
  2. Dapatkan dukungan dan pendanaan dari manajemen senior.
  3. Teliti berbagai pendekatan terhadap GRC dan susun project plan-nya.
  4. Lakukan riset mendalam sebelum memilih software GRC.
  5. Selenggarakan sesi pelatihan untuk meningkatkan awareness karyawan dan manajemen.
  6. Pahami bahwa tidak semua karyawan akan langsung mendukung program GRC.
  7. Libatkan tim IT dalam rencana implementasi sistem.
  8. Berikan kesempatan karyawan untuk mencoba sistem sebelum diproduksi penuh.
  9. Kumpulkan feedback dari pengguna awal dan sampaikan ke vendor.
  10. Lakukan update rutin ke manajemen dan karyawan tentang progres program.
  11. Implementasikan sistem dan segera tangani jika ada masalah.
  12. Tetapkan proses maintenance dan update berkala.
  13. Pastikan sistem baru sudah termasuk dalam rencana DR.
  14. Bangun sistem pelacakan performa GRC dan publikasikan hasilnya secara internal.

Yang Tidak Boleh Dilakukan

  1. Jangan langsung berasumsi kalau GRC pasti bermanfaat untuk semua perusahaan.
  2. Jangan anggap manajemen senior pasti mendukung sejak awal.
  3. Jangan anggap semua karyawan akan langsung setuju, apalagi jika menyangkut perubahan cara kerja lama.
  4. Jangan abaikan pendekatan alternatif – pertimbangkan penggunaan maturity model.
  5. Jangan lakukan analisis proses bisnis secara dangkal – pahami bisnis secara menyeluruh.
  6. Jangan ragu bertanya ke perusahaan lain soal pengalaman mereka dengan GRC, terutama jika software GRC dipertimbangkan.
  7. Jangan lupakan kerja sama dengan tim IT.
  8. Jangan anggap sesi pelatihan akan diikuti secara sukarela – butuh dukungan dari manajemen.
  9. Jangan abaikan pentingnya project plan saat implementasi GRC.
  10. Jangan kecewa jika program GRC ditunda atau dibatalkan.

Di era saat ini, perusahaan harus memenuhi berbagai kebutuhan kepatuhan regulasi. 

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *