INTERNAL AUDIT

GRC (Governance, Risk, and Complience) Approach

Chapter 28
GRC Approach

A. Pengertian GRC (Governance, Risk, and Complience)

Dalam singkatan GRC (Governance, Risk, and Compliance), Governance
memiliki arti mengurus bisnis, memastikan bahwa kinerja perusahaan sesuai dengan
regulasi perusahaan dan keputusan BOD. Governance juga berarti apa yang harus
dilakukan oleh perusahaan (sesuai dengan harapan stakeholder) sehingga setiap
karyawan mengetahui arah operasi perusahaan.
Sedangkan Risk berarti bahwa segala sesuatu yang dilakukan perusahaan pasti
mengandung risiko. Risiko menjadi cara perusahaan untuk melindungi value dari asset
yang ada dan menciptakan value dengan melakukan ekspansi perusahaan secara strategis
atau menambahkan produk/jasa baru.
Compliance diartikan sebagai kepatuhan terhadap hukum dan peraturan yang
berkaitan dengan bisnis dan masyarakat. Seringkali C diartikan sebagai Compliance’s
Control yang berarti aktivitas pengendalian untuk memastikan bahwa perusahaan
mematuhi peraturan dan hukum yang berlaku. GRC tidak hanya berarti apa yang harus
dilakukan untuk mengurus bisnis, tetapi sebuah paradigma untuk membantu perusahaan
berkembang kea rah yang lebih baik.
 Gambar di atas adalah GRC Concepts. Aspek GRC concepts saling terikat kuat satu
dengan yang lain. Dalam gambar diatas ditujuntukan bahwa:

o Internal policies adalah factor utama pendukung governance.

o External regulations adalah factor utama pendukung compliance.
o Enterprise’s risk appetite adalah faktor utama pendukung risk management.

Di dalam segitiga, terdapat 4 komponen GRC:

o strategy
o effective processes
o technology
o people

Bagian kanan dari segitiga tersebut, menunjukan bahwa perusahaan membutuhkan

management attention and support, ethical behavior yang benar, organizational efficiency, dan
improved effectiveness untuk menunjang pelaksanaan bisnisnya

Proses compliance GRC yang efektif dapat membantu perusahaan untuk mentransformasi
operasi bisnisnya serta memiliki wawasan dan kemampuan membuat prediksi yang lebih
mendalam mengenai proses bisnisnya ketika perusahaan dapat memenuhi tuntutan peraturan
hukum yang berlaku. Penggerak utama bisnis yang dimaksud ialah kemampuan dalam mengelola
informasi asset, menujukkan kepatuhan terhadap peraturan dan kewajiban hukum yang berlaku,
mengurangi risiko proses pengadilan, mengurangi biaya penyimpanan dan penemuan, serta
menunjukkan akuntabilitas perusahaan. Maka untuk dapat mewujudkan risk management dan
COSO ERM processes yang efektif, maka perusahaan perlu memiliki governance dan
compliance proses yang kuat juga dengan tujuan untuk membangun program GRC yang efektif

B. Importance of GRC Governance

Ketiga prinsip GRC memiliki hubungan yang berkelanjutan dan saling terkait,
ketiganya secara bersama-sama memiliki kedudukan yang sama pentingnya.
Corporate/Enterprise Governance merupakan peraturan, proses, atau bahkan dimana
bisnis dijalankan, diatur, dan dikendalikan. Istilah tersebut juga mengacu pada factor
internal yang ditentukan oleh officer, stockholder, atau dokumen dan aturan tertulis serta
 tujuan dasar dari perusahaan, dan juga pihak eksternal seperti konsumen, klien dan
peraturan pemerintah.
Dari segi operasi perusahaan, kita dapat mendefinisikan Enterprise Governance
sebagai pertanggungjawaban dan pelaksanaan yang dilakukan oleh dewan, executive,
management, dan semua fungsi manajemen dengan tujuan memberikan arahan strategis,
memastikan bahwa tujuan perusahaan tercapai, memastikan bahwa risiko dikelola dengan
baik, dan memverifikasi bahwa sumber daya digunakan secara bertanggung jawab. Tata
kelola merujuk pada proses mengembangkan aturan dan prosedur di seluruh tingkatan
dalam perusahaan, mengkomunikasikan aturan tersebut kepada stockholders yang terkait,
mengawasi pelaksanaan aturan tersebut, dan memberikan penghargaan dan sanksi
berdasarkan kinerja terkait atau kepatuhan terhadap aturan.

C. Risk Management Component of GRC

Risk management harus menjadi bagian dari kebudayaan perusahaan secara
keseluruhan, mulai dari Broad of Directors, setiap senior officers, hingga para staf
(mencakup seluruh struktur organisasi dari paling atas hingga paling bawah. Berikut ini
adalah empat langkah yang saling berhubungan dalam proses GRC yang efektif dan risk
management perusahaan :
1. Risk Assessment and Planning
Perusahaan menghadapi risiko dalam berbagai level. Kita tidak bisa
mengidentifikasikan setiap jenis risiko yang mungkin memberikan dampak bagi
perusahaan, namun Analisa mengenai risiko-risiko potensial yang mungkin
dihadapi perusahaan harus selalu dilakukan secara berkelanjutan.
2. Risk Identification and Analysis
Selain memproyeksikan risiko-risiko potensial, dibutuhkan Analisa yang lebih
detail mengenai tingkat kemungkinan terjadinya risiko dan dampak-dampak yang
mungkin terjadi. Risiko yang telah diidentifikasi perlu diukur dampaknya untuk
selanjutnya menentukan mitigation strategy. Mitigation strategy berkaitan dengan
menentukan alternative terbaik utnuk mengurangi atau menghilangkan dampak
dari risiko yang teridentifikasi. Risiko yang apabila terjadi dapat diukur total cost-
nya terhadap perusahaan akan menjadi lebih signifikan. Factor-faktor yang
mempengaruhi terjadinya risiko tersebut juga perlu diidentifikasi.
3. Eksploit and Develop Risk Response Srategies
Perusahaan harus mengembangkan rencana dan strategi untuk mengembalikan
operasi perusahaan seandainya risiko benar-benar terjadi. Hal ini berkaitan engan
menganalisa opportunity yang berkaitan dengan risiko. Misalnya, apabila
perusahaan menemukan adanya risiko kegagalan produksi karena peralatan
produksi yang sudah tua, maka salah satu opportunity yang ada adalah
menggantikan peralatan tersebut dengan teknologi yang lebih baru dan canggih.
Opportunity lain yang mungkin dilakukan adalah memindahkan lokasi produksi
ke lokasi yang lebih baik dan mendukung.
4. Risk Monitoring
 Risk monitoring membutuhkan berbagai rangkaian laporan khusus, standar yang
telah dibuat dan dapat diukur, dan fungsi sumber daya manusia yang etkun.
Tujuannya adalah supaya perusahaan dapat terus maju dan hasil dari risk
monitoring dapat digunakan untuk proses risk management selanjutnya.
Risk management harus menciptakan value dan menjadi bagian yang utuh dalam
proses organisasi. Risk management juga harus menjadi bagian dari proses pengambilan
keputusan dan harus disesuaikan terhadap masing-masing perusahaan dengan cara yang
sistematis dan terstruktur supaya dapat menunjukkan ketidakpastian yang dihadapi
perusahaan secara eksplisit. Proses risk management harus dinamis, berulang, responsif
terhadap perubahan, dan dapat terus ditingkatkan (continual improvements and
enhancements).
D. GRC and Enterprise Compliance
Compliance adalah proses mematuhi kumpulan pedoman dan peraturan yang telah
disusun oleh agensi pemerintah, kelompok pembuat standar, atau kebijakan internal perusahaan.
Mematuhi hal-hal tersebut merupakan tantangan bagi perusahaan karena beberapa isu berikut
ini :
 Sering dibuat regulasi baru
 Terdapat regulasi tertulis yang sama (tidak jelas) dan membutuhkan interpretasi
sendiri
 Tidak ada persetujuan mengenai best practices dari pelaksanaan kepatuhan
 Banyak regulasi yang saling tumpang tindih
 Regulasi yang terus berubah secara konstan

Compliance merupakan suatu proses berkelanjutan (continuous process), bukan hanya

one-time process. Ada lingkup dari Compliance yang mempengaruhi berbagai aspek di
perusahaan yaitu : strategi, organisasi, proses, aplikasi, dan data, serta fasilitas. Dalam setiap
lingkup Compliance tersebut memiliki isu yang harus dipertimbangkan oleh perusahaan sebagai
usaha untuk dapat membangun scope dan approach to compliance Scope of Compliance
Architectures Consideration.
1. Strategi
 Dalam menentukan strategi, perusahaan harus mengikuti peraturan yang relevan
saat ini, terutama di lokasi dan bidang dimana perusahaan bergerak. Contohnya
peraturan
 Compliance sustainability harus menjadi bagian integral dari seluruh strategi
Compliance
2. Organisasi
Struktur organisasi perusahaan harus dibangun untuk memenuhi kebutuhan spesifik dari
setiap peraturan. Contohnya, perusahaan harus memiliki komite audit yang
mempengaruhi struktur organisasi sebagai tindak lanjut dari kepatuhan terhadap
peraturan Sarbanes-Oxley Act.
3. Proses
Key processes harus didokumentasikan dan dilaksanakan. Audit atau review harus
dilakukan untuk memastikan proses yang telah didokumentasikan tersebut telah
digunakan secara efektif untuk memenuhi tuntutan atau kebutuhan dari
peraturan.Contohnya pada perusahaan manufaktu. Ada ketentuan ISO untuk produk-
produk yang dibuatnya. Perusahaan harus membuat dokumentasi mengenai sistem
produksi perusahaan yang telah mematuhi ketentuan ISO tersebut dan perlu dilakukan
audit atau review apakah ketentuan ISO tersebut benar-benar telah dilakukan oleh
perusahaan.
4. Aplikasi dan data
 Aplikasi harus didesain, diimplementasikan, dan diuji secara berkelanjutan untuk
mendukung tuntutan dari tiap peraturan.
 Data harus diproteksi dengan tepat dan ditangani sesuai dengan peraturan yang
berlaku.
5. Fasilitas
Fasillitas harus didesain dan tersedia untk memenuhi tuntutan tiap peraturan (misalnya
peraturan mengenai Pengawasan Tidak Langsung (off-site) yang dilakukan oleh Bank
Indonesia terhadap Lembaga Pengelola Informasi Perkreditan (LPIP). LPIP wajib
memberikan fasilitas akses informasi kepada Bank Indonesia utnuk melakukan
pengawasan melalui pemeriksaan (on-site) dan melalui analisis laporan, dokumen, data
dan/atau informasi lainnya (off-site).

Ketika perusahaan dapat melakukan pendekatan konsisten terhadap pencapaian system

kepatuhan yang disertai teknologi pendukung, maka perusahaan akan mendapat keuntungan-
keuntungan sebagai berikut :
a. Mengurangi total cost of ownership
1nvestasi dapat bermanfaat dan menjadi suatu keuntungan dari berbagai peraturan.
Contohnya, banyak peraturan yang menjabarkan dengan rinci persyaratan
dari penyimpanan dokumen, yang dapat dipenuhi dengan sebuah investasi dalam isi
dan catatan pada sistem manajemen.
b. Flexibility
Salah satu kesulitan dari pelaksanaan system Compliance adalah ketika seringnya
muncul peraturan baru dan peraturan yang telah ada menjadi berubah. Maka dengan
menggunakan organization-wide compliance architecture, perusahaan akan dengan
lebih cepat beradaptasi dengan perubahan tersebut karena langkah awal dalam
mewujudkan Compliance telah dikelola secara terpusat.
c. Competitive Advantage
Compliance architecture yang luas dan konsisten dapat membantu perusahaan untuk
dapat memahami dan mengendalikan proses bisnisnya dengan lebih baik yang
membantu juga dalam merespon secara cepat dan tepat terhadap tekanan ekternal
dan internal. Selain itu, peraturan tertentu juga mengandung benefit yang nyata bagi
bisnis dengan mengurangi kebutuhan modal minimum yang mungkin terjadi.
.