Bridging Organizational Gaps: Menutup Celah Tata Kelola Organisasi melalui Implementasi Integrated GRC

Audithink kembali hadir dengan sebuah forum diskusi strategis yang mempertemukan para praktisi dan pemimpin korporasi dalam satu ruang refleksi. Pada Selasa, 19 Mei 2026, Audithink menyelenggarakan sebuah Sharing Session yang bertemakan “Bridging Organizational Gaps through Implementation of Integrated Governance, Risk Management, and Compliance (GRC)”. Sebuah sesi diskusi yang tidak hanya membahas teori, tetapi juga membawa perspektif langsung dari lapangan korporasi.

Acara ini berlangsung di PACE Serviced Office Plaza Senayan, Senayan, Jakarta Pusat, mulai pukul 09:30 WIB. Didukung oleh Sekawan Media, forum ini menghadirkan dua narasumber dengan rekam jejak yang kuat di bidang GRC, serta seorang moderator berpengalaman dari industri keuangan dan auditing.

Hadir sebagai pembicara dalam acara ini adalah Dr. Setyo Wibowo, CIA, CISA, CFE, CRMA, QIA, CA. Seorang Professional GRC Practitioner & Senior Auditor, sekaligus pemateri dari sisi konseptual dan strategis GRC. Perspektif korporasi dibawa langsung oleh Nuzulul Iman, Enterprise Risk Management and Assurance Division Head di PT MRT Jakarta (Perseroda), yang berbagi pengalaman nyata dalam membangun ekosistem GRC terintegrasi di salah satu perusahaan transportasi publik terbesar di Indonesia. Sesi ini dimoderatori oleh Nur Imroatun S., S.E., M.Com., CIA, CISA, CISSP, CGEIT, CRISC, Sr. Manager Internal Audit PT Sarana Multi Infrastruktur.

Materi 1: Strategic Discussion Forum (Dr. Setyo Wibowo)

Materi pertama disampaikan oleh Dr. Setyo Wibowo dengan pendekatan berbasis data dan kerangka konseptual yang tajam. Pembahasan berfokus pada realitas kondisi GRC di sebagian besar organisasi saat ini, dan mengapa integrasi yang sesungguhnya masih menjadi pekerjaan rumah besar.

A. Fakta GRC. Sudah Ada, Belum Terintegrasi

Merujuk pada OCEG 2025 GRC Maturity Survey, Dr. Setyo menegaskan bahwa sebagian besar organisasi sebenarnya sudah memiliki aktivitas governance, risk, dan compliance namun hanya sedikit yang benar-benar telah mencapai integrasi penuh. Tantangan terbesar bukan ketiadaan fungsi GRC, melainkan fragmentasi di antara fungsi-fungsi tersebut.

Data yang didapatkan menunjukkan bahwa hanya sekitar 19,8% organisasi yang telah beroperasi secara fully integrated across silos, sementara sisanya masih berada di level berbagai tingkatan fragmentasi. Mulai dari integrasi proses dengan kesenjangan teknologi, standardisasi yang belum merata, hingga operasi yang sepenuhnya berjalan silo.

B. Isu Teknologi dan Informasi dalam GRC Maturity

Dr. Setyo menjelaskan bahwa meskipun banyak organisasi telah memiliki sistem GRC, sistem-sistem tersebut berjalan secara terpisah dan menciptakan silo informasi yang memperlambat pengambilan keputusan manajemen.

Lima isu utama teknologi dan informasi yang umumnya ditemui di antaranya adalah: Technology Integration Gap, Low Data Maturity, Disconnected Reporting, Limited Automation, dan Weak Data Accessibility.

C. Mengapa Integrated GRC Penting?

Pada bagian ini, Narasumber memetakan secara kontras antara kondisi organisasi yang tidak memiliki integrated GRC dengan yang telah menerapkannya secara menyeluruh.

Tanpa integrated GRC, organisasi rentan terhadap: duplikasi kontrol, fragmentasi pelaporan, visibilitas terbatas antar unit bisnis, respons lambat terhadap risiko yang berkembang, hingga membengkaknya biaya kepatuhan. Sebaliknya, dengan integrated GRC, organisasi dapat menikmati connected organizational visibility, koordinasi assurance lintas fungsi, pengambilan keputusan yang lebih cepat dan berbasis risiko, serta ketahanan organisasi yang jauh lebih kuat.

D. Apa yang Mendefinisikan Integrated GRC Sesungguhnya?

Dr. Setyo menegaskan bahwa Integrated GRC bukan sekadar penggabungan fungsi atau software, melainkan menghubungkan keputusan organisasi dari tujuan bisnis hingga insight manajemen. Terdapat lima karakteristik yang mendefinisikan Integrated GRC sejati:

• Common Objective: semua fungsi bekerja untuk tujuan organisasi yang sama
• Shared Risk Language: risk, compliance, dan audit menggunakan taksonomi yang konsisten
• Connected Controls & Assurance: kontrol dan assurance dilakukan secara terintegrasi lintas fungsi
• Integrated Reporting: manajemen memperoleh consolidated view terhadap risk dan compliance exposure
• Risk-Informed Decisions: mendukung keputusan yang lebih baik dan lebih cepat

E. Teknologi sebagai Enabler

Di bagian terakhir materi pertama, Dr. Setyo menempatkan teknologi sebagai enabler yang memungkinkan connected governance intelligence. Masa depan Integrated GRC pastinya juga akan mencakup sinkronisasi informasi dan keputusan organisasi secara menyeluruh. Mulai dari Unified Risk Visibility, Integrated Assurance & Connected Reporting, hingga Real-time Management Insight yang mendukung keputusan strategis berbasis risiko.

Materi 2: GRC dalam Perspektif Korporasi (Nuzulul Iman, PT MRT Jakarta)

A. Mengenal PT MRT Jakarta

PT MRT Jakarta (Perseroda) beroperasi berdasarkan Perda DKI Jakarta No. 11 Tahun 2024, mengemban mandat di tiga pilar utama: Pembangunan Infrastruktur (stasiun, depo, sistem perkeretaapian, rolling stock, dan sistem pembayaran), Operasi & Pemeliharaan, serta TOD & Business Development yang mencakup pengembangan kawasan transit-oriented dan konsultansi proyek perkeretaapian.

Sebagai Induk Strategis, MRT Jakarta juga memiliki portofolio kepemilikan di beberapa entitas transportasi terintegrasi, termasuk PT Moda Integrasi Transportasi Jabodetabek (MITJ), PT Integrasi Transit Jakarta, dan PT Jaklingko Indonesia.

B. Perjalanan Membangun GRC 2020–2026

Nuzulul Iman memaparkan roadmap GRC MRT Jakarta secara kronologis, menunjukkan evolusi yang terstruktur dan konsisten sejak 2020:

• 2020: Manajemen puncak mengarahkan penerapan GRC; implementasi masih bersifat silo; pengesahan Pedoman Sistem Manajemen Anti Penyuapan (ISO 37001)
• 2021: Pandemi COVID-19 mendorong penerapan Business Continuity Management yang menggerakkan seluruh lini GRC.
• 2022: Penyusunan dokumen dan infrastruktur GRC (Pedoman GRC Terintegrasi, Prosedur Evaluasi, Revisi Pedoman Manajemen Risiko); pengembangan MIRA (MRTJ Integrated Risk Assessment System); penyusunan Roadmap GRC Terintegrasi 2022–2026
• 2023: Pengesahan dokumen GRC; Internal Audit Sistem Manajemen secara terintegrasi; pengembangan Sistem Manajemen Kepatuhan ISO 37301:2021; evaluasi roadmap
• 2024: Regulatory Mapping & Gap Analysis tahap awal; gap analysis sistem aplikasi GRC; pengembangan tools pengukuran maturitas dan budaya GRC; pemutakhiran Fraud Risk Assessment
• 2025: Pembuatan BRD Aplikasi MIRA Tahap 2; Combined Assurance dikoordinasikan oleh Divisi Internal Audit; pengukuran Maturitas dan Budaya GRC Tahun 2025
• 2026: Pengembangan Sistem Aplikasi MIRA Tahap 2; penyusunan KCI serta Regulatory Mapping dan Gap Analysis Tahap Lanjutan; pengembangan Aplikasi Pemantauan Peraturan Internal dan Eksternal

C. Peran Kepemimpinan

Nuzulul Iman menekankan bahwa kepemimpinan adalah fondasi GRC, bukan aksesoris. Pemimpin memiliki empat peran krusial: menetapkan tone at the top, menciptakan budaya GRC, menyediakan sumber daya dan komitmen, menetapkan risk appetite dan framework manajemen risiko, serta memastikan komunikasi dan konsultasi yang efektif di seluruh organisasi.

D. Struktur Three Lines Model

MRT Jakarta mengimplementasikan GRC melalui Three Lines Model yang terstruktur dengan jelas:

• Lini Pertama: seluruh unit kerja sebagai GRC Officer; Risk Champion diperluas menjadi GRC Officer dengan pelatihan dan sertifikasi CRMO/ERMAP
• Lini Kedua: divisi Corporate Secretary, Corporate Strategy, Enterprise Risk Management & Assurance, dan Divisi Information System & Technology
• Lini Ketiga: divisi Internal Audit sebagai fungsi assurance independen

Di tingkat Dewan Komisaris, terdapat empat komite pendukung yang mencakup fungsi G, R, dan C: Komite Tata Kelola & Keberlanjutan, Komite Pemantau Risiko & Sekuriti, Komite Audit & Kepatuhan, serta Komite Operasi & Proyek. Sementara di tingkat Direksi, terdapat Komite GRC Terintegrasi yang mengkoordinasikan seluruh fungsi secara lintas unit kerja.

Pendekatan ini mencakup Unit Kerja GRACE IT: Governance, Strategy & Performance; Risk Management; Assurance (Internal Audit); Compliance Management; Ethics & Culture; serta IT & Security.

E. Tantangan Implementasi

Berdasarkan analisis internal MRT Jakarta dan referensi eksternal, Nuzulul Iman mengidentifikasi enam tantangan utama implementasi GRC di korporasi: Poor Technology Integration, Absence of the Right Leadership, Organizational Silos, Control Duplication, Inadequate Investment in Technologies, and Insufficient GRC Culture Awareness.

F. Membangun Budaya GRC

MRT Jakarta membuktikan bahwa budaya GRC tidak bisa dibangun dengan regulasi semata. Berbagai inisiatif dilakukan secara konsisten: penyelenggaraan diskusi panel nasional GRC Series. Sebuah event tahunan yang membahas berbagai isu penerapan GRC; GRC Forum untuk BOD, BOC, dan Kepala Divisi sebagai tone at the top; penerapan Whistleblowing System (WBS) dengan dashboard terintegrasi; pengelolaan LHKPN dan Gratifikasi; penandatanganan Code of Conduct & Pakta Integritas; Safety Talk; serta sosialisasi pedoman GRC melalui online meeting, Learning Management System, dan Platform Kinetic.

G. GRC-Based Decision Making

Salah satu pencapaian paling matang dari implementasi GRC MRT Jakarta adalah bagaimana GRC telah benar-benar tertanam dalam proses pengambilan keputusan melalui Business Judgement Rule berbasis GRC. Setiap keputusan bisnis harus memenuhi tiga dimensi secara simultan:

• G (Governance). Disetujui Direksi, berbasis data yang dapat dipertanggungjawabkan, bebas dari benturan kepentingan, selaras dengan KPI/RKAP/RJPP, dan anggaran tersedia
• R (Risk). Asesmen risiko telah ditinjau Pemilik Risiko, terdokumentasi di Risk Register, mempertimbangkan Risk Tolerance perusahaan, dengan Key Risk Indicators sebagai Early Warning System
• C (Compliance). Sesuai regulasi, pedoman, dan SOP internal; ada pendapat dari unit Legal, Risiko, dan Kepatuhan; serta konsultasi dengan Internal Audit jika terkait tindak lanjut temuan audit

Rangkuman Key Takeaways

Dari dua materi yang disampaikan dalam Audithink Sharing Session ini, terdapat beberapa benang merah yang menjadi pesan utama bagi para peserta:

Dari Sisi Konseptual (Dr. Setyo Wibowo):

• Permasalahan GRC di Indonesia bukan ketiadaan aktivitas, melainkan fragmented organizational visibility
• Integrated GRC adalah integrated organizational intelligence, bukan sekadar software atau prosedur
• Teknologi adalah enabler, yang menunjang kepemimpinan dan budaya

Dari Sisi Korporasi (Nuzulul Iman, PT MRT Jakarta):

• Perjalanan GRC terintegrasi membutuhkan konsistensi jangka panjang dan dukungan kepemimpinan yang nyata
• Three Lines Model yang terstruktur adalah fondasi sebelum berbicara integrasi
• GRC yang matang tertanam langsung dalam decision making bisnis, bukan berdiri terpisah sebagai fungsi kepatuhan semata

Conclusion

Melalui perspektif strategis Dr. Setyo Wibowo dan pengalaman nyata Nuzulul Iman dari PT MRT Jakarta, forum ini menegaskan bahwa perjalanan menuju connected organizational intelligence memang tidak mudah dan tidak instan. Namun dengan roadmap yang jelas, struktur yang tepat, dan komitmen kepemimpinan yang konsisten, Integrated GRC bukan hanya cita-cita, ia adalah realitas yang bisa dibangun, satu langkah demi satu langkah.

Bagi organisasi yang hari ini masih beroperasi dalam silo, pesan dari forum ini sederhana namun kuat: mulailah dari kepemimpinan, bangun budayanya, dan biarkan teknologi memperkuat apa yang sudah terhubung.

Sesuai dengan esensi dari Sharing Session ini, teknologi bertindak sebagai enabler utama untuk mencapai maturitas GRC tertinggi. Jangan biarkan inefisiensi operasional dan duplikasi kontrol menghambat laju bisnis Anda. Melalui aplikasi Audithink, Anda dapat mengintegrasikan seluruh alur kerja pemantauan kepatuhan, mitigasi risiko, dan proses audit internal ke dalam satu ekosistem digital yang seamless. Dapatkan visibilitas penuh (connected organizational visibility) atas postur tata kelola perusahaan Anda hanya melalui satu dashboard pintar. Pelajari Lebih Lanjut Fitur Integrasi GRC Audithink di Sini.