Integrated Governance, Risk & Compliance, Now or Never

Integrated Governance, Risk & Compliance, Now or Never
Oleh: Wilson Arafat

Kebutuhan “membumikan” Integrated Governance, Risk and Compliance (GRC) tidak dapat ditunda lagi, terlebih lagi bagi sektor jasa keuangan. Sementara David Gray menyatakan: “The drivers for Integrated GRC are more important than before”; Alf Estaban menandaskan pentingnya dan/atau meningkatnya perhatian dunia bisnis secara global terhadap penerapan GRC. Hal ini mudah dipahami karena adanya tekanan perubahan lingkungan bisnis yang semakin kompleks dan turbulence mengakibatkan eksposur risiko bisnis semakin “liar”. Oleh karena itu, saat ini, Otoritas Jasa Keuangan (OJK) begitu gencar dan/atau berupaya keras untuk mengintegrasikan kebijakan GRC agar dapat diterapkan pada sektor jasa keuangan dengan baik. Pada awal tahun 2014, OJK meluncurkan “Roadmap Tata Kelola Perusahaan Indonesia: Menuju Emiten dan Perusahaan Publik yang Lebih Baik”. Bahkan, pada akhir tahun 2014, OJK telah mewajikan penerapan manajemen risiko yang terintegrasi bagi konglomerasi keuangan.

Namun demikian, ironisnya adalah dari sekian banyak perusahaan yang telah berupaya untuk membangun dan/atau melaksanakan GRC, umumnya tidak optimal dalam pelaksanaannya di lapangan. Tidak mengherankan bila marak anggapan bahwa implementasi GRC sekadar menghamburkan “pundi-pundi” yang tidak memberikan manfaat signifikan.  
Manage in Silo
Mengapa hal tersebut dapat terjadi? Sudah menjadi rahasia umum bahwa proses pengambilan keputusan di suatu perusahaan cenderung hanya difokuskan untuk menekan biaya. Dampaknya? Perhatian terhadap isu-isu GRC menjadi “anak tiri”. Namun demikian, proliferasi regulasi yang terjadi, mengharuskan dunia bisnis menaruh perhatian lebih besar pada aspek compliance dan integritas kontrol kendati membutuhkan biaya yang tidak sedikit. Menghadapi persoalan ini, perusahaan kerap mengatasi lemahnya integrasi antara compliance framework dengan berbagai regulasi maupun business process melalui compliance efforts yang sudah embedded. Kemudian, demi memenuhi kebutuhan, banyak perusahaan mematok program kepatuhan yang terpisah (manage in silo) atau berbeda dari sistem pengendalian internal dan operasional, terlebih menyatu (inherent) dengan business process utama. Mereka cenderung berinvestasi dengan menggunakan sistem terpisah atau hanya menambahkan komponen compliance yang tidak terintegrasi. Selain itu, fungsi kontrol dan metodologi pengujian dilakukan secara manual. Sehingga, banyak perusahaan tidak memiliki suatu fokus dalam pengelolaan risiko yang terintegrasi dengan sasaran strategis dan/atau business value dan/atau kebutuhan operasional bisnis selaras dengan visi dan misi. Secara keseluruhan, hasilnya adalah program yang terfragmentasi dan rumit untuk dilaksanakan pada tataran operasional, sulit dikelola, berbiaya mahal untuk diterapkan dan dimonitor, serta semakin kurang efektif untuk mendukung keputusan bisnis sehari-hari secara tepat waktu dan akuntabel.

Dengan ungkapan lain dapat dikatakan bahwa sejatinya, fungsi GRC mengharuskan suatu perusahaan berinovasi untuk mengubah kewajiban regulasi, governance dan manajemen risiko menjadi peluang strategis. Bukan sekadar menekan biaya dan meningkatkan efektivitas pengendalian an sich, namun, lebih dari itu, bertujuan untuk mewujudkan operational excellence. Secara lebih spesifik, seharusnya, suatu perusahaan berupaya untuk mengintegrasikan strategi, goals and objectives korporat dengan fungsi GRC serta menanamkannya dalam business proccess utama yang harus selaras dengan visi dan misi perusahaan. Inilah butir-butir intinya. Dengan demikian, tanpa “makhluk” yang  bernama integrated GRC, niscaya, penerapan corporate governance, risk management dan compliance tidak akan mampu memberikan nilai tambah (create values) secara optimal, untuk tidak menyatakan menjadi hal yang sia-sia belaka.

Key Elements
Integrasi dimaksud wajib dilakukan melalui tiga key elements dari fungsi GRC. Pertama, governance process. Intinya,prinsip dasar corporate governance harus diterapkan pada seluruh lini bisnis. Hal ini diwujudkan dengan mengoptimalkan empat pilar coprporate governance system, yaitu: commitment on governance, governance structure, governance process, governance outcome, plus menjadikan etika bisnis sebagai panglima sebagai mana dituangkan dalam Corporate Code of Conduct. Kedua, risk management process, yang dimulai dengan mendefinisikan seberapa besar risiko yang bisa diterima. Risiko tersebut tercermin dalam strategi perusahaan. Hal ini dikenal dengan penetapan kebijakan risk appetite yang selanjutnya dijadikan acuan dalam alokasi segenap sumber daya yang dibutuhkan untuk me-respon risiko secara efektif dan efisien sekaligus menjabarkan risk tolerance, risk target serta penetapan limit. Selanjutnya, risiko harus dikelola dengan menggunakan serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi risiko (potential risk dan risk event), mengukur risiko (risk assessment), memantau risiko (risk monitoring), dan pada akhirnya, mengendalikan risiko (risk control dan risk mitigation). Hal ini penting dilakukan agar peluang mendapatkan keuntungan sesuai strategi dapat diwujudkankarena perusahaan mampu memotret risk profile dan menghasilkan tools pengelolaan risiko operasional dengan tepat. Ketiga, compliance process. Tugas utama fungsi compliance tidak lain adalah memastikan bahwa semua keputusan bisnis yang diambil perusahaan telah sesuai dengan semua ketentuan dan/atau peraturan regulator dan/atau ketentuan perundang-undangan. Ujungnya adalah budaya kepatuhan dapat terealisasi pada setiap jenjang organisasi.

The last but not least, berbagai hal di atas harus dapat “disuntikan” ke dalam business process utama sehingga menyatu dengan fungsi GRC secara terintegrasi.Dengan ungkapan lain, berbagai hal tersebut harus dituangkan ke dalam policies and procedures, lengkap dengan standard operating procedures (SOP) serta workflow yang diberlakukan oleh suatu perusahaan. Jika tidak, percayalah, penerapan GRC tidak akan memberikan manfaat secara signifikan. GRC tidak lebih hanya sekadar menjadi program yang terfragmentasi, rumit dilaksanakan pada tataran operasional, sulit dikelola dan dimonitor, berbiaya mahal, kurang efektif mendukung keputusan bisnis sehari-hari secara tepat waktu dan akuntabel, menghamburkan “pundi-pundi” yang tidak memberikan banyak manfaat, akan terus terjadi selamanya. So, integrated GRC is a must, now or never!

Artikel ini pernah dimuat di Majalah InfoBank