MILLENNIA-SOLUSI.ID— Selama dekade terakhir ini (terutama setelah mencuatnya skandal Enron) mungkin kita banyak mendengar mengenai konsep Governance, Risk management, dan Compliance (GRC). Namun demikian konsep GRC ini seringkali disalah artikan. Banyak sekali mitos terkait konsep GRC yang sebenarnya terlahir dari tuntutan mengenai pentingnya tata kelola perusahaan yang baik (good corporate governance).
Seperti misalnya: GRC itu urusan direksi saja, tidak ada hubungannya dengan manajemen operasional; GRC itu hanya untuk perusahaan besar saja; GRC itu diperlukan hanya untuk perusahaan yang sudah listed saja; GRC itu soal dokumentasi dan laporan, dan masih banyak lagi pandangan yang keliru mengenai GRC ini.
Padahal mau besar ataupun kecil suatu perusahaan kan tetap saja butuh tata kelola (governance) yang memayungi seluruh aktifitas yang dilakukannya. Sementara manajemen risiko dan kepatuhan (compliance) dibutuhkan untuk memastikan tata kelola yang baik (good governance) itu dilaksanakan. Jadi mestinya GRC itu merupakan concern bagi seluruh organisasi, apapun ukurannya dan bagaimanapun struktur kepemilikannya. Kecuali kalau perusahaan tersebut dapat menerima risiko perusahaannya salah urus atau dimanipulasi seperti yang pernah terjadi pada kasus Enron yang kondang itu atau yang sejenisnya. Walau tentu saja tingkat paparan risikonya berbeda-beda antara perusahaan yang satu dengan lainnya.
Seringkali juga GRC diterapkan sekedar untuk memenuhi kebutuhan regulator saja. Ada juga yang menerapkan konsep ini sebagai konsekuensi berubahnya status perusahaan mereka menjadi listed di sebuah bursa saham yang mensyaratkannya. Tapi sebenarya tidak apa-apa juga seperti itu sebagai langkah awal untuk memulai penerapan GRC secara lebih holistik. Memang ada beberapa pendekatan implementasi GRC yang dapat digunakan. Pendekatan-pendekatan ini cukup populer digunakan.
Pendekatan pertama adalah pendekatan dengan basis ceklis. Jadi baik implementer GRC maupun auditor akan berpegangan pada sebuah ceklis yang berisi daftar kebutuhan yang telah ditentukan untuk menguji kepatuhan dengannya. Pendekatan ini populer karena kesederhanaannya.
Kemudian pendekatan yang kedua adalah pendekatan yang basisnya adalah aset. Pendekatan ini mengidentifikasi seluruh aset informasi berikut kerawanannya (vulnerabilities) dan ancaman terhadap titik kerawanan tersebut. Kemudian dengan mempertimbangkan probabilitas terjadinya ancaman tersebut berikut dampak yang mungkin ditimbulkan, maka dapat diketahui tingkat paparan risiko (risk exposure) untuk setiap aset yang ada. Baru setelah itu, untuk aset yang memiliki tingkat paparan risiko melampaui batas toleransi risiko yang ditetapkan organisasi akan didefinisikan langkah-langkah mitigasi risikonya. Pendekatan ini seringkali digunakan oleh para konsultan dan praktisi ketika melakukan analisis risiko dalam rangka implementasi ISO 27001, walaupun sebenarnya ISO sendiri tidak merekomendasikan metode apapun untuknya.
Pendekatan implementasi ketiga adalah pendekatan berbasis insiden. Pada pendekatan ini dilakukan analisis terhadap riwayat penyimpangan yang ada, dengan berdasarkan pada laporan insiden, error yang terjadi, kegagalan sistem, dsb. Intinya pendekatan ini mengasumsikan bahwa jika terdapat permasalahan pada sistem, maka masalah tersebut pastilah dapat terlihat dari efeknya (ya, insiden itu). Pendekatan loss-event data collection yang direkomendasikan oleh Basel II dalam analisis risiko, merupakan salah satu contoh dari pendekatan berbasis insiden ini. Seberapa akuratkah metode ini? Apakah –misalnya—jika ada kerusakan pada salah satu organ tubuh kita pasti akan langsung kita rasakan efeknya? Bukankah seringkali efek baru akan kita rasakan setelah tingkat kerusakan organ kita mencapai tingkatan/stadium tertentu. Dan pada kondisi ini seringkali sudah terlambat untuk melakukan tindakan penyembuhannya.
(Baca juga: Integrasi GRC di Era Integrasi Finansial)
Diantara ketiga pendekatan di atas, sebenarnya pendekatan kedua (berbasis aset) merupakan pendekatan yang paling komprehensif. Karena pada pendekatan ini, risiko dilihat sebagai sebuah ancaman terhadap aset-aset, dan langkah penanganannya kemudian baru dipadukan ke dalam proses bisnis perusahaan.
Tapi bagaimana dengan proses bisnis itu sendiri? Bukankah sebuah insiden ataupun ancaman pada aset itu sebenarnya disebabkan kerawanan-kerawanan pada proses bisnisnya? Bukankah aset-aset itu sebenarnya merupakan komponen dari proses atau digunakan oleh proses? Jadi seharusnya sebuah analisis risiko mesti dimulai dari menganalisis proses ini terlebih dahulu. Sebenarnya eksploitasi pada kerawanan pada proses lah yang menimbulkan risiko. Eksploitasi terhadap kerawanan ini bisa menimbulkan kerusakan pada aset dan bisa juga tidak. Kerawanan ini bisa menimbulkan insiden dan bisa juga tidak. Alhasil, menganalisis risiko tidak dapat dimulai dari konsekuensinya tanpa menganalisis penyebabnya. Itulah mengapa pendekatan analisis risiko perlu dimulai dari menganalisis proses dan kerawanan-kerawanan yang terdapat padanya.
Berdasarkan pendekatan berbasis proses ini pulalah GRC sebaiknya diimplementasikan pada sebuah organisasi. Kalaupun –misalnya— implementer GRC tidak menggunakan pendekatan berbasis proses, maka Auditornya yang harus menggunakan pendekatan berbasis proses ini. Karena dengan pendekatan inilah risiko dapat diidentifikasi pada tingkatan yang paling elementer, sehingga lebih komprehensif. [msi/wkid/mti]
