IMPLEMENTASI GOVERNANCE RISK COMPLIANCE DI PERUSAHAAN

Oleh: Cahyo Adi Nugroho (Nipp. 40885), Manager of Risk Management Process Implementation

Dalam era perubahan yang serba cepat saat ini, perusahaan harus senantiasa mempertimbangkan batasan-batasan hukum, konteks sosial dan ketidakpastian yang muncul, agar pencapaian kinerja dapat lebih optimal. Selaras dengan hal tersebut, pelaksanaan fungsi tata kelola (governance), manajemen risiko (risk), dan kepatuhan (compliance) juga tidak dapat dipisahkan dari aktivitas pencapaian kinerja dimaksud.

Pelaksanaan fungsi governance, risk, and compliance (GRC) yang efektif dapat menjadi solusi optimal bagi organisasi di sektor publik maupun sektor swasta, khususnya guna mendukung iklim berusaha yang sehat. Saat ini sudah banyak perusahaan yang telah mengenal dan mempraktikkan fungsi GRC. Namun ketiganya sering dipahami dan diimplementasikan secara terpisah. Dalam upaya untuk meningkatkan pelaksanaan GRC, maka seluruh fungsi harus diselaraskan dan dioperasikan melalui tata kelola yang terintegrasi penuh. Ketiadaan sebuah pedoman yang dapat digunakan bersama telah menjadi salah satu alasan GRC Terintegrasi ini belum dapat dipahami dan diimplementasikan secara optimal.

GRC (Governance, Risk dan Compliance) adalah sebuah konsep yang komprehensif dalam pengintegrasian penerapan Manajemen Risiko, Tata kelola Organisasi yang Baik, dan Kesesuaian/Kepatuhan. Dari sisi manajemen risiko, perusahaan yang menerapkan GRC diharapkan dapat menciptakan dan meningkatkan nilai organisasi secara terus menerus (continuous value creation and enhancement) serta secara proaktif dan adaptif senantiasa mampu melindungi proses penciptaan dan peningkatan nilai tersebut (proactive and adaptable value protection) dari segala dinamika yang ada.

Dari sisi tata kelola (governance), penyelenggaraan organisasi yang berbasis TARIF (Transparency, Accountability, Responsibility, Indepence, and Fairness) diharapkan dapat mengefektifkan mekanisme check and balance di setiap jenjang pengambilan dan pelaksanaan keputusan sehingga pengelolaan organisasi dapat berjalan dengan baik tanpa ada penyalahgunaan dan penggerusan aset.

Dalam konsep GRC dipahami bahwa penerapan manajemen risiko dan tata kelola organisasi yang baik hanya dapat dilaksanakan jika dan hanya jika terdapat dan terbangun budaya kepatuhan (compliance) terhadap norma, etika, standar dan regulasi yang berlaku di lingkungan internal maupun eksternal organisasi. Dalam perspektif ini membangun penerapan dan budaya GRC harus dilaksanakan oleh seluruh organisasi secara intensif, masal, simultan dan menyeluruh, mulai dari lingkungan internal dan eksternal organisasi. Dengan penerapan GRC yang menyeluruh dan simultan diharapkan organisasi dapat beradaptasi secara agile dan dinamis sesuai dengan tantangan jaman ada, dan organisasi dapat melindungi dan menjaga kepentingan seluruh stakeholders organisasi dengan baik.

Definisi dari GRC menurut OCEG (Open Compliance and Ethics Group) adalah sebagai berikut:

1. Governance (Tata Kelola): Governance adalah tindakan yang mengarahkan, mengendalikan, dan mengevaluasi secara eksternal suatu entitas, proses, atau sumber daya.
2. Risk (Risiko): Menurut ISO 31000:2018, Risiko adalah dampak dari ketidakpastian terhadap pencapaian objektif (tujuan) atau dengan kata lain adalah deviasi dari apa yang diharapkan, bisa bersifat positif dan/atau negatif. Dalam sebuah organisasi, risiko tidak selalu negatif, tetapi risiko harus dihadapi sehingga tidak menimbulkan risiko tambahan. Cara menghadapi risiko adalah dengan mengidentifikasi risiko tersebut, melakukan analisis terhadap risiko, dan melakukan evaluasi apakah risiko tersebut harus di atasi atau dikelola.
3. Compliance (Kepatuhan): Compliance adalah kemampuan untuk membuktikan pemenuhan suatu persyaratan, aturan, dan hukum yang berlaku.

Implementasi GRC secara efektif hanya bisa dilaksanakan jika:

1. Tone from the top dan dukungan semua pemangku kepentingan

Peran pimpinan untuk mendorong tercapainya tujuan organisasi sangat diperlukan sebagai bagian dari strategi manajemen untuk menerapkan GRC secara menyeluruh pada semua lini organisasi.

2. Pemetaan kondisi yang ada dalam batasan eksternal dan internal
   1. Organisasi harus memahami batasan-batasan internal antara lain nilai-nilai organisasi, kewajiban hukum berdasarkan kontrak dengan pelanggan, kebijakan, dan pedoman internal, maupun batasan lainnya.
   2. Organisasi harus memahami batasan-batasan eksternal yang ditentukan oleh regulator terkait dalam menjalankan usaha atau aktivitas bisnisnya, seperti Undang-undang (UU), Peraturan Pemerintah (PP), Peraturan Otoritas Jasa Keuangan (POJK), Peraturan Bank Indonesia (PBI), dan sebagainya.
3. Penetapan prioritas risiko-risiko utama dan target kinerja
   1. Organisasi harus menguasai model bisnis yang dimiliki, seperti strategi, sumber daya manusia, proses bisnis, teknologi dan infrastruktur untuk mencapai tujuan usaha. Dalam hal ini, diperlukan forum dengan pihak terkait untuk menentukan sumber daya yang diperlukan.
   2. Organisasi harus dapat mengidentifikasi risiko yang dihadapi serta melakukan mitigasi risiko untuk mencegah terjadinya kerugian bagi organisasi sehingga tujuan organisasi dapat tercapai dengan baik.
4. Penentuan sasaran organisasi yang jelas

Organisasi harus dapat menetapkan tujuan organisasi secara SMART yaitu Specific, Measurable (terukur), Achievable (dapat dicapai), Relevant dan Time-based (tenggat waktu). Tujuan organisasi dapat bersifat antara lain strategis, operasional, customer oriented, berdasarkan proses.

Implementasi GRC yang efektif melibatkan manajemen puncak, menetapkan tujuan dan ruang lingkup yang jelas, membuat kebijakan dan prosedur terintegrasi, serta melakukan pelatihan dan pemantauan rutin. Selain itu, kolaborasi antar pemangku kepentingan (internal dan eksternal) dan pemanfaatan teknologi GRC juga sangat penting untuk mencapai tata kelola yang kuat, manajemen risiko yang proaktif, dan kepatuhan yang berkelanjutan.

Sumber Tulisan:

• GRC Forum Indonesia, Panduan Mencapai Keunggulan GRC, 2020.
• ISO 31000:2028 Risk Management