Dalam beberapa tahun terakhir, perusahaan—khususnya sektor jasa keuangan dan perbankan—menghadapi tantangan yang semakin kompleks dalam bidang IT Governance, Risk, and Compliance (IT GRC). Lingkungan regulasi yang dinamis, munculnya teknologi baru, serta meningkatnya risiko operasional menuntut organisasi untuk terus memperbarui instrumen tata kelola TI mereka.
Berdasarkan pengalaman KED Consulting, terdapat tiga pain points utama yang sering muncul terkait IT GRC di sektor finansial:
1. Regulasi yang terus berubah
Perusahaan harus beradaptasi dengan regulasi dan standar yang semakin ketat dan cepat berubah. Mulai dari aturan perlindungan data, keamanan siber, hingga regulasi sektor keuangan, organisasi sering kali hanya berfokus pada kepatuhan administratif—tanpa memastikan penerapan yang efektif dalam operasi sehari-hari.
2. IT GRC lebih berorientasi pada “best practices” daripada realita di lapangan
Banyak framework IT GRC disusun untuk memenuhi standar internasional atau audit eksternal. Namun, pendekatan ini kerap tidak mencerminkan praktik nyata dalam organisasi. Hasilnya, ada kesenjangan antara dokumen kepatuhan dengan kenyataan operasional di lapangan.
3. Peningkatan risiko TI akibat teknologi baru
Adopsi cloud, AI, open banking, serta ekosistem digital dengan pihak ketiga memperluas vektor risiko TI. Ancaman terhadap data, privasi, serta ketersediaan layanan menjadi semakin signifikan—dan tidak lagi bisa diatasi dengan pendekatan tradisional.
Mengapa Pendekatan Terstruktur Diperlukan
Framework Pendekatan Terstruktur IT GRC dari KED Consulting menekankan perlunya keseimbangan antara kepatuhan regulasi, pengelolaan risiko TI, dan akuntabilitas bisnis.
Pendekatan ini berfokus pada empat domain solusi:
1. Kebijakan dan Prosedur TI
Kebijakan dan prosedur merupakan pondasi dari IT GRC. Namun seringkali, dokumen kebijakan hanya berhenti di atas kertas. Pendekatan terstruktur memastikan bahwa kebijakan TI tidak hanya sesuai regulasi, tetapi juga relevan dengan kebutuhan operasional sehari-hari. Organisasi perlu menanyakan: Apakah kebijakan ini benar-benar dapat dioperasionalkan? Apakah karyawan memahami dan menjalankannya?
2. Kontrol Internal
Kontrol internal adalah mekanisme nyata yang menjaga agar kebijakan berjalan sebagaimana mestinya. Ini mencakup proses monitoring, audit internal, serta pengujian berkala. Dengan kontrol internal yang kuat, organisasi dapat mendeteksi kelemahan sejak dini sebelum berkembang menjadi risiko besar. Efektivitas kontrol tidak hanya diukur dari ada atau tidaknya kontrol, tetapi juga dari seberapa cepat organisasi dapat merespons ketika kontrol gagal.
3. Pengecualian
Pada kenyataannya tidak semua aturan bisa diterapkan 100%. Ada kondisi di mana pengecualian perlu diberikan, misalnya untuk mendukung kebutuhan bisnis yang mendesak. Namun, tanpa tata kelola yang baik, pengecualian bisa menjadi “jalan pintas” berbahaya. Oleh karena itu, organisasi harus memiliki proses jelas untuk mendokumentasikan, meninjau, dan mengesahkan pengecualian, serta memastikan bahwa dampaknya terhadap risiko dipahami dengan baik.
4. Proyek Mitigasi
Setiap kelemahan yang ditemukan, baik melalui audit maupun insiden, harus ditindaklanjuti melalui proyek mitigasi. Ini bukan hanya soal melaksanakan proyek teknis, tetapi juga membangun accountability lintas unit untuk memastikan risiko benar-benar ditangani. Proyek mitigasi yang efektif akan mencatat progres, mengukur keberhasilan, dan menghubungkan hasilnya kembali ke tujuan bisnis dan kepatuhan regulasi.
Apa Artinya bagi Perusahaan Jasa Keuangan?
Bagi bank dan perusahaan jasa keuangan, review dan pembaruan IT GRC tidak bisa bersifat reaktif. Regulasi akan terus berkembang, risiko TI akan terus meningkat, dan praktik bisnis akan selalu berubah.
Oleh karena itu, perusahaan perlu:
- Mengadopsi pendekatan siklus berkelanjutan untuk meninjau dan memperbarui kebijakan, kontrol, dan mitigasi.
- Membangun koneksi nyata antara dokumen kepatuhan dan praktik operasional.
- Meningkatkan akuntabilitas lintas fungsi—mulai dari TI, risiko, hingga unit bisnis.
Dengan pendekatan terstruktur, IT GRC bukan sekadar memenuhi regulasi, tetapi juga menjadi alat untuk meningkatkan ketahanan organisasi, melindungi data dan aset, serta mendukung tujuan korporasi secara berkelanjutan.
