Sentot Baskoro 2020

Apa itu GRC

Perkembangan ekonomi dan bisnis dunia saat ini telah menempatkan berbagai organisasi dalam kondisi
dan tantangan yang belum terbayangkan sebelumnya. Tantangan seperti operasional yang semakin
kompleks, jangkauan geografis yang semakin luas maupun dinamika lingkungan yang semakin tinggi
menjadi sesuatu yang keniscayaan yang harus dihadapi oleh berbagai organisasi pada milenial ini (GRC
Stack, 2019).

Meskipun beberapa organisasi berpikir bahwa proses bisnis mereka sudah pada tempatnya, operasional
mereka sudah efisien, risiko-risiko sudah dimitigasi dengan baik dan sudah patuh pada berbagai aturan
perundangan yang dipersyaratkan, namun masih terdapat banyak area yang belum tertangani tanpa satu
platform khusus seperti GRC.

GRC sendiri, sebagai singkatan dari Governance, Risk and Compliance atau dalam Bahasa Indonesia
diterjemahkan sebagai Governansi, Risiko dan Kepatuhan, adalah suatu konsep terintegrasi yang
menjelaskan berbagai kegiatan organisasi, mulai dari penyusun audit tahunan, menegakkan berbagai
prosedur pengawasan internal yang berkelanjutan, Menyusun tugas dan tanggung-jawab dalam proses
bisnis dan para penggunanya, hingga prosedur analisa data dari sistem bisnis tersebut
(Papazafeiropoulou, Spanaki, 2016). Isitlah GRC ini mulai diperkenalkan oleh PricewaterhouseCoopers di
tahun 2014 untuk kemudian berkembang luas dan menjadi solusi penting dalam kebutuhan bisnis dari
setiap organisasi (Gill and Purushottam, 2008).

GRC dibangun dari berbagai komponen yaitu:

1. Governance (Governansi/Tata Kelola) yang perpedoman pada ISO 37000 (draft 2020) atau
Peraturan Menteri Negara BUMN Nomor PER-01/MBU/2011 tentang Penerapan Tata Kelola
Perusahaan yang Baik (Good Corporate Governance) pada Badan Usaha Milik Negara. Pada sisi
Governansi ini titik perhatian terletak pada: pola hubungan dan fungsi peran dari pemegang
saham/Rapat Umum Pemegang Saham, Dewan Komisaris dan Dewan Direksi.
2. Risk Management (Manajemen risiko) yang berpedoman pada ISO 31000: 2018 dan/atau COSO
ERM 2017. Pengaturan utama dari standar ini ada pada komitmen dan kepedulian pada: Prinsip,
Kerangka dan Proses Manajemen Risiko.
3. Compliance (Kepatuhan) dengan berpedoman pada ISO 19600:2014 yang membahas tentang
Kepemimpinan dan Kepatuhan dalam proses identifikasi kewajiban, perencanaan, operasi dan
pengendalian, evaluasi kerja dan pelaporan, serta pengelolaan ketidakpatuhan, yang kemudian
bergulir Kembali ke fase identifikasi kewajiban.

Penelitian oleh GRC Stack (2019) menyebutkan bahwa terdapat 3 hal penting yang menjadi sinyal penting
untuk selalu dilihat dan dimonitor keberadaannya, terutama karena keberadaan hal tersebut menjadi
pertanda akan adanya kebutuhan akan suatu solusi/penerapan GRC. Hal tersebut adalah: (i) Kepatuhan
Ketat, dimana terjadi perubahan yang cepat pada aturan dan perundang-undangan pada berbagai lokasi
maupun industri beroperasinya organisasi, (ii) Luasan Wilayah Geografis, dimana melibatkan banyak
lokasi dalam rantai pasok, produksi maupun operasional bisnis yang kemudian meningkatkan risiko pada
proses pemenuhan kepatuhan organisasi jika dilalukan secara terpisah-pisah, dan (iii) Postur Risiko yang
belum optimal, dimana kemampuan memahami risiko yang berbeda dari tiap organisasi menyebabkan
penanganan maupun mitigasi risiko yang berbeda dari tiap organsiasi. Jika suatu organisasi dalam

Page 1 of 3
 Sentot Baskoro 2020

bisnisnya menghadapi kebutuhan untuk patuh pada aturan yang ketat, atau memiliki lokasi/fasilitas
operasional yang beragam, atau mempunyai selera risiko yang rendah, atau gabungan dari ketiga hal
tersebut, maka sudah saatnya organisasi tersebut mulai menerapkan GRC sehingga para personil
organisasi dapat saling berkolaborasi dalam berbagi informasi yang diperlukan dalam kewenangannya dan
bekerja dalam situasi yang harmonis.

Secara formal (OCEG’s GRC Capability Model 3.0, 2015), GRC didefinsikan sebagai suatu sistem yang terdiri
dari manusia, proses dan teknologi yang memungkinkan suatu organisasi untuk: (1) Memahami dan
menempatkan prioritas dari berbagai harapan para pemangku kepentingan, (2) Menentukan tujuan bisnis
(Business Objectives) yang selaras dengan nilai dan risiko, (3) Mencapai tujuan dengan tetap
mengoptimalkan profil risiko serta melindungi nilai, (4) Beroperasi dalam batas-batas hukum, kontrak,
internal, sosial dan etika, (5) Menyediakan informasi yang relevan, dapat diandalkan dan tepat waktu
kepada pemangku kepentingan yang sesuai, dan (6) Menyediakan ukuran dari kinerja dan efektivitas
sistem yang berjalan.

Tujuan utama dari penerapan GRC ini, dengan mengacu pada SDM, proses, teknologi, dan informasi yang
membantu perusahaan, adalah mencapai kondisi kinerja berprinsip (principled performance), yaitu:
secara andal dapat mencapai tujuan (objectives) dari organisasi, dengan memperhitungkan dan
menangani ketidak-pastian, dan tetap bertindak berpegang teguh pada integritas.

Principled
Performance

The Principled Performance View of Integration (Sumber: OCEG, 2015, GRC

Capability Model version 3.0)

Peneliti Indonesia, Leo J Susilo (2017) menjelaskan definisi principled performance yang di atas
adalah sebagai berikut:
▪ objectives: sasaran harus tertulis, dan terukur sehingga dapat ditunjukan (demonstrable), dengan kata
lain memenuhi kriteria SMART (specific, measurable, achievable, relevant and time bound);
▪ reliable achievement of: suatu proses yang dapat diandalkan karena dilaksanakan dengan disiplin,
konsisten dan akurat;
▪ addressing uncertainties: menangani ketidakpastian yang dihadapi dalam proses pencapaian sasaran
secara menyeluruh (holistic – enterprise wide), dan dilaksanakan secara proaktif, rinci dan cermat
(rigourous);
▪ acting with integrity: dilakukan dengan menaati batasan-batasan kepatuhan yang wajib (mandatory),
seperti regulasi, undang-undang, standar industri, norma-norma masyarakat, dan lain-lain, serta yang
batasan kepatuhan yang bersifat mandiri (self regulating),seperti aturan internal perusahaan,
Pedoman Etika Bisnis Perusahaan, perjanjian dan kontrak dengan vendor maupun pelanggan, dan

Page 2 of 3
 Sentot Baskoro 2020

lain-lain. Kepatuhan ini dilakukan secara realistis, artinya bila terjadi kesalahan harus kita perbaiki dan
tidak disembunyikan.

Leo J Susilo (2017) juga menegaskan bahwa GRC dan principled performance mirip dua sisi dari sebuah
mata uang. Dengan demikian, GRC tidak ada gunanya bila tidak mencapai principled performance,
demikian juga sebaliknya, dimana principled performane tidak dapat dicapai secara optimal bila GRC tidak
berhasil disinergikan dengan baik.

Daftar Pustaka:

Gill, S, & Purushottam, U, 2008, ‘Integrated GRC-is your organization ready to move. Governance, Risk
And Compliance’, SETLabs Briefings (2008) 37–46, Infosys, Bangalore.

Panel, 2019, ‘Why GRC is becoming extremely inevitable in today’s world?’ in GRC Stack: Apr 8, 2019,
Medium, Sacramento, CA.

Panel, 2015, “GRC Capability Model ver 3.0”, OCEG Red Book, Phoenix, AZ.

Papazafeiropoulou A, Spanaki K, 2016, ‘Understanding Governance, Risk And Compliance Information

Systems (GRC IS): The experts view’, Inf Syst Front 18:1251–1263, SpringerLink, New York.

Susilo LJ, 2017, ‘Governance, Risk Management & Compliance, Executive Guide to: risk governance and
risk oversight’, Grasindo, Jakarta.

Standar dan Perundang-undangan:

COSO Enterprise Risk Management, 2017, Committee of Sponsoring Organizations of Treadway

Commission, New York.

ISO 19600:2014, International Organization for Standarization, Geneva.

ISO 31000:2018, International Organization for Standarization, Geneva.

ISO/DIS 37000 (draft 2020), International Organization for Standarization, Geneva.

Peraturan Menteri Negara BUMN Nomor PER-01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan
yang Baik (Good Corporate Governance) pada Badan Usaha Milik Negara.

Page 3 of 3