GRC – Metode Baru atau Daur Ulang Metode Lama?

2 February 2021 GRC

oleh: Ir Pardi Sudradjat SE, MBA

Saat ini istilah GRC (Governance, Risk Management and Compliance) cukup populer baik dikalangan perbankan maupun perusahaan non-bank. Ada yang bilang sedang mempertimbangkan untuk mengembangkan sistem GRC, sedang mengimplementasikan dan sebagainya. Sebenarnya apa sih GRC itu? Bukankah Governance (tata-kelola), Risk Management (manajemen risiko) dan Compliance (kepatuhan) sudah sejak lama dipraktekan pada berbagai perusahaan? Apakah GRC itu barang baru, atau sekedar “mengintegrasikan” ketiga fungsi GRC tersebut dan tidak ada hal yang baru diluar itu, metode lama yang dikemas dengan packaging baru atau bagaimana?

Setiap perusahaan pada umumnya mempunyai visi, misi, tujuan yang ingin dicapai berupa “target”. Untuk mencapai target ini, ditentukan “strategi” atau cara untuk mencapai target tersebut, yang berupa serangkaian proses kerja, dilaksanakan oleh organisasi dengan SDM yang sesuai, dan didukung oleh sistem teknologi yang diperlukan. Nah, dalam melakukan berbagai proses kerja tersebut dapat terjadi risiko kesalahan yang berpotensi menimbulkan kerugian, oleh karena itu, proses tersebut harus dikelola secara “holistik” dengan dukungan sistem “GRC”, sehingga dapat dilaksanakan secara efektif, efisien dan memenuhi kaidah etika bisnis.
Proses diatas dapat digambarkan sebagai berikut: (sumber: Wikipedia)

Elemen GRC sebenarnya dapat mengadopsi proses penilaian kualitas penerapan manajemen risiko pada POJK mengenai profil risiko, yang dielaborasikan sehingga mencakup komponen GRC sebagai berikut:
1. Penetapan selera risiko dan toleransi risiko secara tertulis dan formal, serta dikomunikasikan pada seluruh jajaran organisasi, dan pastikan dipahami oleh semua nya.
2. Adanya “tine from the top”, artinya keterlibatan dewan Direksi dan Komisaris dalam mengawasi implementasi manajemen risiko dan kepatuhan pada semua jajaran organisasi.
3. Adanya struktur organisasi yang diatur sedemikian, sehingga terlihat jelas pengaturan wewenang dan tanggungjawab dari berbagai elemen organisasi, dimana ada independensi antara unsur “bisnis”, “manajemen risiko”, “kepatuhan”, dan “internal audit”.
4. Tersedianya kebijakan dan standar operasional dan prosedur (SOP) yang lengkap, mencakup pengaturan pada bidang bisnis, support dan manajemen risiko. Kebijakan dan SOP tersebut isinya harus mematuhi regulasi yang ada dan mengikuti praktek terbaik. Manajemen harus memastikan bahwa semua kebijakan dan SOP tersebut sudah disosialisasikan pada semua jajaran organisasi yang relevan harus menguasai, memastikan mereka mempunyai pemahaman yang minimal, dan menggunakan sistem untuk memonitor dan memastikan kepatuhan dari semua elemen organisasi.
5. Menetapkan proses manajemen risiko meliputi proses identifikasi, pengukuran dan asesmen, mitigasi risiko dan monitoring risiko, agar risiko dapat dikelola sesuai selera risiko yang sudah ditetapkan.
6. Tersedianya unsur penunjang yaitu SDM dengan kuantitas cukup, kompetensi yang memadai, mempunyai integritas, dengan sistem remunerasi dan jenjang karir yang mendukung SDM betah kerja di perusahaan.
7. Menyediakan Manajemen Sistem Informasi (MIS) yang mampu mengeluarkan laporan baik untuk pihak eksternal (misalnya regulator) maupun internal perusahaan (misalnya Direksi dan Komisaris), secara tepat waktu, akurat dan cukup detail sehingga manajemen mampu menggunakan informasi tersebut untuk membuat keputusan strategis.
8. Mempunyai sistem internal kontrol dan internal audit yang dapat memastikan semua anggota organisasi sudah melaksanakan tugas, tanggungjawab dan wewenang masing2 secara benar, dan sesuai aturan yang ada.

Pada proses diatas terlihat kerangka GRC yang bekerja secara bersama secara holistik, dalam upaya untuk mencapai target perusahaan.
Unsur Governance meliputi: peran dan tanggungjawab dewan komisaris dan Direksi dalam implementasi manajemen risiko dan kepatuhan, penetapan selera risiko dan toleransi risiko, peran internal kontrol, audit internal dan eksternal, sistem manajemen risiko dan kepatuhan. Kebutuhan SDM dan sistem informasi. Unsur Risk Management meliputi: Kebijakan dan SOP manajemen risiko, proses identifikasi, asesmen, mitigasi dan monitoring risiko. Unsur Compliance meliputi sistem dan metode pelaksanaan sistem kepatuhan pada kebijakan dan SOP yang sudah ditetapkan perusahaan.