Cyber Security 2026-03-31 09:54:16

Sistem Udah Keren, Tapi Kok Masalahnya Itu-itu Terus?

Kalau kamu kerja di dunia IT, compliance, security, atau banking, kamu pasti pernah dengar keluhan klasik: “Dokumennya banyak, tapi kok compliance-nya susah ya?” Atau versi yang lebih pedes: “Kenapa tiap audit kita ribut lagi, ribut lagi?”

Tiara Aulianingtyas
Author
5 minutes read
Share:
Sistem Udah Keren, Tapi Kok Masalahnya Itu-itu Terus?
Kalau kamu kerja di dunia IT, compliance, security, atau banking, kamu pasti pernah dengar keluhan klasik:

“Dokumennya banyak, tapi kok compliance-nya susah ya?”

Atau versi yang lebih pedes:
“Kenapa tiap audit kita ribut lagi, ribut lagi?”

Well, selamat datang di realita GRC—tempat di mana kebijakan super lengkap pun bisa kalah sama budaya kerja yang nggak sejalan.

Hari ini, kita bahas masalah paling umum dalam GRC, tapi pelan-pelan biar nggak pusing duluan.

1. Kebijakan Sudah Ada, Tapi Cuma Jadi Pajangan

Siapa yang nggak pernah lihat folderPolicies” yang isinya rapi banget?
Ada SOP, guideline, policy, work instruction, semuanya lengkap.

Tapi kenyataannya?

  • Tim nggak baca.
  • Tim nggak ngerti.
  • Tim nggak jalanin.

Akhirnya kebijakan cuma jadi “hiasan digital” yang bagus buat ditunjukin ke auditor.

Padahal GRC itu bukan soal banyaknya dokumen—tapi seberapa hidup kebijakan itu di aktivitas sehari-hari.

2. Risk Register: Rajin Dibuat, Jarang Di-update

Risk register itu kayak resolusi tahun baru.
Awal tahun semangat banget: “Kita bikin risk register lengkap!”
Tapi habis itu?

  • Mitigasi statusnya “ongoing” dari Januari sampai Desember.
  • Owner nggak jelas siapa.
  • Risiko baru nggak pernah ditambah.
  • Risiko lama nggak pernah ditutup.

Kata orang: “Risiko berubah, tapi Excel-nya tetap.”

3. Awareness Lemah, Teknologi Kalah

Ini masalah klasik: sistem sudah aman, SOP sudah cakep…
tapi user masih klik link phishing yang tulisannya “Cek Paket Anda”.

Walaupun GRC terlihat serius dan formal, salah satu faktor paling menentukan justru human behavior.
Kalau awareness lemah, semua kebijakan di dunia pun percuma.

4. Dokumentasi Semrawut, Versi Banyak

Ini salah satu mimpi buruk auditor AND tim IT governance:

  • Dokumen ada di SharePoint
  • Ada versi lain di Google Drive
  • Ada versi lebih lama di email
  • Ada revisi cepat di WhatsApp
  • Ada draft offline di laptop seseorang
  • Ada yang salah upload di folder “final-final-beneran-final”

Akhirnya semua bingung:
Mana yang sebenarnya versi terbaru?

5. Silo Antar Divisi

Yang satu bilang: “Itu tugas IT.”
Yang IT bilang: “Itu tugas Ops.”
Yang Ops bilang: “Tanya Security aja.”

Padahal inti GRC itu justru kolaborasi antar divisi.
Kalau semua jalan sendiri-sendiri kayak pulau terpisah, ya compliance susah tercapai.

6. Tidak Ada Single Source of Truth

Ketika SOP versi A beda sama versi B, risk register ada di laptop orang yang resign, dan KPI security hilang entah dimana…
itulah tanda bahwa perusahaan belum punya sistem GRC yang terpusat.

Akibatnya:

  • Audit jadi lama
  • Approval susah dilacak
  • Bukti implementasi susah dikumpulkan
  • Semua kelabakan tiap kali regulator minta dokumen

7. Audit Fatigue alias Kelelahan Audit

Ini terutama terjadi di perbankan & fintech.

Setahun bisa ada:

  • Audit internal
  • Audit eksternal
  • Audit OJK
  • Audit BI
  • Audit BSSN
  • Audit vendor
  • Audit partner bisnis

Formatnya beda-beda, request-nya ulang-ulang, tapi tim-nya itu-itu aja.
Akhirnya orang bukan capek kerja, tapi capek audit.

8. Kurang “Top Management Ownership

GRC itu nggak bisa sukses kalau cuma jadi pekerjaan tim kecil di bawah.
Harus ada dukungan dari atas.

Kalau manajemen:

  • Kurang paham pentingnya GRC
  • Nggak kasih resource
  • Nggak prioritasin compliance

Maka GRC pasti jalan terseok-seok.

9. Tools GRC Ada, Tapi Jadi Pajangan

Sudah beli tools GRC/IRM mahal, puluhan sampai ratusan juta per tahun.
Tapi kalau:

  • Datanya nggak pernah di-update
  • Workflow tetap manual
  • User nggak pernah login
  • Spreadsheet tetap dipakai

Artinya tools itu cuma jadi “hiasan premium”.

10. Fokus ke Dokumen, Lupa ke Implementasi

Ini salah satu yang paling sering:

Ada perusahaan yang dokumennya super lengkap, tapi implementasinya minim.

Dan ada juga perusahaan yang praktiknya bagus, tapi dokumennya nggak bisa menjelaskan apa yang sudah dilakukan.

GRC itu harus seimbang: dokumen dan implementasi.

Jadi, Solusinya Apa?

Nggak ada satu obat ajaib untuk semua.
Tapi ada 3 pilar penting:

1. Simplicity: Policies & proses harus mudah dipahami.

2. Consistency: Update rutin, bukan musiman.

3. Culture: Semua orang harus ikut, bukan cuma satu divisi.

GRC itu bukan beban, tapi fondasi perusahaan buat bertumbuh aman dan patuh regulasi.

"
Tiara Aulianingtyas
Published on 31 Mar 2026
Share this article:

Featured Articles

Other articles that might interest you

RAT: Our Daily CCTV
Cyber Security 08 Apr 2026
RAT: Our Daily CCTV

Have you ever thought about what it feels like if a stranger suddenly sits next to you, looking at all your chats, flipping through your photo gallery, or even turning on your camera without you realizing it?

Wiranata 3 min
Read More
RAT: CCTV Kegiatan Harian
Cyber Security 08 Apr 2026
RAT: CCTV Kegiatan Harian

Hati-Hati, Kamu Dimata-matai!

Wiranata 3 min
Read More
PT Humanis Siber Indonesia (Sibertahan) Achieves BSSN Verification: A Milestone in Our Cybersecurity Commitment
Cyber Security 01 Apr 2026
PT Humanis Siber Indonesia (Sibertahan) Achieves BSSN Verification: A Milestone in Our Cybersecurity Commitment

We are excited to announce that PT Humanis Siber Indonesia (Sibertahan) has officially been verified and whitelisted by Badan Siber dan Sandi Negara (BSSN), marking a significant achievement in our journey to strengthen cybersecurity efforts across Indonesia.

Tiara Aulianingtyas 3 min
Read More
View All Articles

Ensure Your System Security and Compliance

Ensure Your System Security and Compliance

Get Consultation About Us

Better Security, Better Human Rights

Quick Link
Quick Service
Contact Info

PT Humanis Siber Indonesia © 2026. All Rights Reserved.