OCEG GRC
OCEG GRC adalah pendekatan terintegrasi dalam mengelola Governance (Tata Kelola), Risk (Risiko), dan Compliance (Kepatuhan) yang dikembangkan oleh organisasi OCEG (Open Compliance and Ethics Group). OCEG adalah organisasi nirlaba yang menyediakan standar, panduan, dan sumber daya untuk membantu organisasi mencapai tujuan bisnis dengan integritas dan efisiensi.
Apa itu GRC?
GRC adalah kerangka kerja terpadu yang mengoordinasikan tiga pilar penting dalam organisasi:
- Governance (Tata Kelola): Proses memastikan organisasi diarahkan, dikendalikan, dan diawasi secara etis dan efektif.
- Risk (Manajemen Risiko): Identifikasi, evaluasi, dan mitigasi risiko yang dapat memengaruhi pencapaian tujuan organisasi.
- Compliance (Kepatuhan): Memastikan kepatuhan terhadap hukum, regulasi, kebijakan internal, dan standar etika.
Pendekatan OCEG terhadap GRC
OCEG tidak hanya menganggap GRC sebagai tiga aktivitas yang terpisah, tetapi sebagai satu sistem terpadu yang harus selaras untuk mencapai “principled performance” — yaitu pencapaian tujuan organisasi dengan integritas, sambil menangani ketidakpastian dan bertindak secara etis.
Komponen Utama OCEG GRC:
1. GRC Capability Model (Red Book): Panduan praktis dari OCEG untuk membangun dan menjalankan sistem GRC. Model ini mencakup komponen utama seperti:
- LEARN: Pahami konteks organisasi, risiko, dan kewajiban.
- ALIGN: Selaraskan strategi, tujuan, dan nilai organisasi dengan kebutuhan GRC.
- PERFORM: Jalankan tindakan dan kontrol untuk mencapai tujuan dan mengelola risiko.
- REVIEW: Tinjau dan tingkatkan sistem secara berkelanjutan.
2. GRC Maturity Model: Alat untuk mengukur kematangan praktik GRC dalam organisasi.
3. Sertifikasi OCEG: Seperti GRCP (GRC Professional) dan GRCA (GRC Auditor), untuk profesional yang ingin mendalami GRC.
Manfaat Menggunakan OCEG GRC
- Mengurangi duplikasi dan inefisiensi antar fungsi risiko, audit, kepatuhan, dan tata kelola.
- Meningkatkan respons organisasi terhadap perubahan regulasi dan risiko.
- Meningkatkan kepercayaan pemangku kepentingan dan reputasi perusahaan.
Perbedaan utama antara IT Governance dan OCEG GRC terletak pada cakupan, fokus, dan pendekatannya dalam manajemen organisasi. Berikut penjelasan ringkas dan perbandingan keduanya:
- Definisi dan Fokus
| Aspek | IT Governance | OCEG GRC |
| Definisi | Kerangka kerja dan proses untuk memastikan bahwa TI mendukung dan memperkuat tujuan bisnis organisasi. | Pendekatan terpadu untuk Governance, Risk, dan Compliance secara luas dalam organisasi. |
| Fokus Utama | Tata kelola penggunaan teknologi informasi dan komunikasi (TIK). | Tata kelola organisasi secara keseluruhan: strategi, budaya, risiko, kepatuhan, dan etika. |
| Tujuan | Memastikan TI selaras dengan strategi bisnis, memberikan nilai, dan mengelola risiko teknologi. | Mencapai tujuan organisasi secara etis, mengelola risiko dan memastikan kepatuhan. |
- Cakupan
| Aspek | IT Governance | OCEG GRC |
| Ruang Lingkup | Terbatas pada sistem, data, infrastruktur, proyek TI, keamanan siber, dan layanan TI. | Luas: mencakup seluruh organisasi termasuk TI, keuangan, SDM, operasional, hukum, dll. |
| Contoh Framework | COBIT, ITIL, ISO/IEC 38500 | GRC Capability Model (Red Book), COSO, ISO 31000, ISO 37301 |
- Pendekatan dan Integrasi
| Aspek | IT Governance | OCEG GRC |
| Pendekatan | Sering berdiri sendiri atau di bawah CIO/Departemen TI. | Terintegrasi antar fungsi dan departemen (enterprise-wide). |
| Integrasi | Fokus pada pengendalian dan evaluasi sistem dan layanan TI. | Menyatukan tata kelola, risiko, dan kepatuhan dalam satu sistem pengelolaan. |
- Contoh Penerapan
- IT Governance: Menggunakan COBIT untuk mengevaluasi kinerja layanan TI dan keselarasan dengan strategi bisnis.
- OCEG GRC: Membangun sistem manajemen risiko terpadu yang mencakup audit, kepatuhan hukum, dan pengawasan strategis untuk seluruh organisasi.