Melaporkan risiko TI ke dewan direksi bukan sekadar menyampaikan daftar kerentanan sistem, status server, atau temuan teknis dari audit teknologi informasi. Yang lebih penting adalah menjelaskan bagaimana risiko tersebut dapat memengaruhi pendapatan, operasional, kepatuhan, reputasi, dan keberlanjutan bisnis perusahaan. Dalam konteks tata kelola modern, risiko TI sudah menjadi isu strategis karena hampir seluruh proses bisnis kini bergantung pada sistem elektronik, data, aplikasi, jaringan, dan layanan digital.
Urgensi ini makin kuat ketika perusahaan memproses data pelanggan, menjalankan transaksi digital, atau menggunakan layanan pihak ketiga berbasis cloud. Berdasarkan ketentuan dalam UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, pengendali data pribadi memiliki kewajiban melindungi dan memastikan keamanan data pribadi yang diprosesnya. Sementara itu, PP Nomor 71 Tahun 2019 mengatur penyelenggaraan sistem dan transaksi elektronik, termasuk aspek keandalan dan keamanan sistem elektronik. Artinya, risiko TI bukan hanya persoalan teknis, tetapi juga menyentuh tanggung jawab hukum dan tata kelola perusahaan.
Mengapa Risiko TI Perlu Dibahas dengan Bahasa Bisnis?
Dewan direksi tidak selalu membutuhkan penjelasan panjang tentang jenis malware, konfigurasi firewall, atau detail patch management. Mereka lebih membutuhkan gambaran yang menjawab pertanyaan strategis: risiko apa yang paling besar, seberapa besar dampaknya, keputusan apa yang perlu diambil, dan apa konsekuensinya jika perusahaan menunda tindakan.
Di sinilah kemampuan menerjemahkan risiko TI ke bahasa bisnis dan keuangan menjadi penting. Risiko “sistem tidak diperbarui” akan lebih mudah dipahami jika dijelaskan sebagai potensi gangguan layanan selama beberapa jam, kehilangan transaksi, komplain pelanggan, denda kepatuhan, atau peningkatan biaya pemulihan. Dengan pendekatan ini, dewan tidak hanya menerima laporan, tetapi dapat menimbang prioritas dan mengambil keputusan.
NIST Cybersecurity Framework 2.0 menempatkan fungsi Govern sebagai bagian penting dalam pengelolaan risiko siber. Berdasarkan penjelasan NIST, fungsi ini mendukung komunikasi risiko dengan eksekutif, terutama untuk membahas bagaimana ketidakpastian terkait keamanan siber dapat memengaruhi tujuan organisasi. Kerangka ini relevan karena mendorong risiko TI dibaca sebagai risiko terhadap strategi, bukan sekadar catatan teknis dari tim TI.
Kesalahan Umum Saat Menyampaikan Risiko TI ke Dewan
Kesalahan yang sering terjadi adalah laporan terlalu banyak memakai istilah teknis, tetapi kurang menjelaskan dampaknya terhadap bisnis. Misalnya, tim audit menyebut terdapat kelemahan pada access control, tetapi tidak menjelaskan bahwa kelemahan tersebut dapat membuka akses tidak sah ke data pelanggan, laporan keuangan, atau sistem pembayaran.
Kesalahan lain adalah menyampaikan semua risiko dengan bobot yang sama. Dewan akhirnya menerima daftar panjang masalah, tetapi tidak tahu mana yang harus diputuskan lebih dulu. Laporan seperti ini mungkin terlihat lengkap, tetapi kurang membantu pengambilan keputusan.
Agar lebih efektif, risiko perlu disaring berdasarkan tingkat business impact, kemungkinan terjadi, urgensi perbaikan, dan hubungan dengan tujuan perusahaan. Risiko yang berdampak pada pendapatan, kepatuhan hukum, keberlangsungan layanan, dan kepercayaan pelanggan harus ditempatkan lebih tinggi dibanding temuan teknis yang dampaknya terbatas.
Cara Melaporkan Risiko TI ke Dewan Direksi Secara Efektif
Cara terbaik melaporkan risiko TI ke dewan direksi adalah memulai dari konsekuensi bisnis, baru kemudian menjelaskan akar masalah teknisnya. Alih-alih membuka laporan dengan “terdapat kerentanan pada sistem autentikasi”, auditor atau manajemen risiko dapat menyampaikan bahwa “perusahaan memiliki risiko akses tidak sah terhadap data pelanggan karena mekanisme autentikasi belum cukup kuat.”
Format seperti ini membuat dewan langsung memahami hubungan antara kelemahan teknis dan risiko bisnis. Setelah itu, laporan dapat menjelaskan bukti, penyebab, tingkat risiko, opsi mitigasi, estimasi biaya, dan keputusan yang dibutuhkan.
Untuk menjaga laporan tetap ringkas, setiap risiko utama sebaiknya memuat beberapa unsur inti:
- Dampak bisnis
Jelaskan dampak terhadap pendapatan, operasional, pelanggan, kepatuhan, atau reputasi. - Kemungkinan dan tingkat keparahan
Gunakan bahasa sederhana seperti rendah, sedang, tinggi, atau kritis. - Pemilik risiko
Tetapkan siapa yang bertanggung jawab, misalnya TI, keuangan, operasional, legal, atau unit bisnis. - Pilihan keputusan
Jelaskan apakah dewan perlu menyetujui anggaran, perubahan kebijakan, prioritas proyek, atau penguatan pengawasan.
Pendekatan ini selaras dengan prinsip tata kelola TI dalam COBIT. ISACA menjelaskan bahwa COBIT 2019 memuat 40 tujuan tata kelola dan manajemen yang menghubungkan tujuan teknologi informasi dengan tujuan perusahaan. Artinya, pelaporan risiko TI idealnya tidak berhenti pada sisi sistem, tetapi harus terhubung dengan sasaran bisnis, nilai, sumber daya, dan risiko perusahaan.
Menghubungkan Risiko TI dengan Uang, Waktu, dan Kepercayaan
Dewan biasanya lebih cepat memahami risiko jika laporan mengaitkannya dengan tiga hal: uang, waktu, dan kepercayaan. Risiko downtime dapat diterjemahkan menjadi potensi kehilangan transaksi. Risiko kebocoran data dapat diterjemahkan menjadi biaya investigasi, notifikasi pelanggan, pemulihan sistem, potensi sanksi, dan kerusakan reputasi. Risiko kegagalan backup dapat diterjemahkan menjadi lamanya waktu pemulihan layanan.
Karena itu, laporan risiko TI sebaiknya memuat estimasi dampak secara wajar. Tidak semua risiko harus dihitung dengan angka presisi. Namun, laporan perlu memberi kisaran dampak agar dewan dapat membandingkan biaya mitigasi dengan cost of inaction.
Misalnya, jika biaya peningkatan sistem keamanan sebesar Rp500 juta dapat mengurangi risiko gangguan layanan yang berpotensi menimbulkan kerugian miliaran rupiah, dewan akan lebih mudah melihat nilai ekonominya. Bahasa seperti ini jauh lebih kuat dibanding laporan yang hanya menyebut “sistem perlu diperbarui.”
Menyesuaikan Laporan dengan Konteks Regulasi dan Industri
Tidak semua perusahaan memiliki kewajiban regulasi yang sama. Namun, perusahaan yang menjalankan sistem elektronik tetap perlu memperhatikan ketentuan umum terkait penyelenggaraan sistem elektronik dan perlindungan data pribadi. Untuk perusahaan di sektor jasa keuangan, tuntutan tata kelola TI biasanya lebih ketat.
Sebagai contoh, POJK Nomor 11/POJK.03/2022 mengatur penyelenggaraan teknologi informasi oleh bank umum dan berlaku sejak 7 Juli 2022. Regulasi ini relevan sebagai contoh bagaimana otoritas menempatkan TI sebagai aspek penting dalam ketahanan operasional bank. Untuk emiten atau perusahaan publik, POJK Nomor 33/POJK.04/2014 mengatur Direksi dan Dewan Komisaris, sehingga komunikasi risiko kepada organ perusahaan perlu ditempatkan dalam kerangka tata kelola yang tertib dan akuntabel.
Dengan kata lain, perusahaan perlu menyesuaikan laporan risiko TI berdasarkan sektor, skala bisnis, jenis data yang dikelola, ketergantungan terhadap sistem, dan eksposur terhadap regulator. Laporan untuk bank, perusahaan publik, perusahaan ritel digital, dan perusahaan manufaktur tentu tidak bisa dibuat dengan pola yang sepenuhnya sama.
Peran Audit TI dalam Membantu Dewan Mengambil Keputusan
Audit TI berperan sebagai jembatan antara kondisi teknis dan kebutuhan pengawasan dewan. Auditor tidak hanya memeriksa apakah control berjalan, tetapi juga membantu manajemen memahami apakah kontrol tersebut cukup untuk menjaga tujuan bisnis.
Dalam Model Tiga Lini dari IIA, audit internal ditempatkan sebagai fungsi independen yang memberi assurance dan nasihat untuk membantu organisasi meningkatkan efektivitas tata kelola, manajemen risiko, dan pengendalian. Prinsip ini penting karena laporan audit TI harus objektif, tidak sekadar membela tim teknis, dan tidak pula membesar-besarkan risiko tanpa dasar.
Agar laporan lebih bernilai bagi dewan, auditor perlu menyusun temuan berdasarkan prioritas. Risiko yang membutuhkan keputusan strategis harus naik ke level dewan. Risiko yang bersifat operasional dapat cukup diselesaikan di tingkat manajemen, sepanjang tetap dimonitor melalui key risk indicator.
FAQ’s
Apakah semua risiko TI harus dilaporkan ke dewan?
Tidak semua risiko TI perlu dibawa ke dewan. Yang perlu dilaporkan adalah risiko yang berdampak signifikan terhadap strategi, keuangan, kepatuhan, operasional utama, reputasi, atau keberlanjutan bisnis. Risiko teknis kecil dapat ditangani di tingkat manajemen.
Seberapa sering laporan risiko TI perlu disampaikan?
Frekuensinya bergantung pada profil risiko perusahaan. Perusahaan dengan ketergantungan tinggi pada sistem digital sebaiknya menyampaikan laporan secara berkala, misalnya triwulanan, serta memberikan laporan khusus jika terjadi insiden besar atau perubahan risiko yang material.
Siapa yang sebaiknya menyampaikan laporan risiko TI?
Laporan dapat disampaikan oleh manajemen risiko, kepala TI, auditor internal, atau komite terkait. Namun, substansinya harus sudah disepakati lintas fungsi agar dewan menerima gambaran yang utuh, bukan sudut pandang teknis yang terpisah dari bisnis.
Apa indikator yang paling mudah dipahami dewan?
Indikator yang mudah dipahami biasanya terkait downtime, jumlah insiden material, waktu pemulihan, status kepatuhan, risiko pihak ketiga, tingkat penyelesaian temuan audit, dan potensi dampak finansial. Indikator ini lebih berguna dibanding daftar teknis yang terlalu detail.
Kesimpulan
Melaporkan risiko TI ke dewan direksi membutuhkan kemampuan menyaring informasi teknis menjadi pesan bisnis yang jelas. Dewan tidak perlu mengetahui setiap detail konfigurasi sistem, tetapi perlu memahami risiko utama, dampaknya, pilihan mitigasi, biaya, dan keputusan yang harus diambil.
Laporan yang baik membantu dewan melihat hubungan antara TI, strategi, kepatuhan, dan keberlanjutan perusahaan. Semakin jelas hubungan tersebut, semakin besar peluang perusahaan mengambil keputusan yang tepat sebelum risiko berubah menjadi insiden.
Ingin konsultasi atau diskusi lebih lanjut terkait cara menyusun laporan risiko TI yang mudah dipahami dewan? Anda dapat mulai dengan meninjau struktur pelaporan, prioritas risiko, dan kesiapan tata kelola TI perusahaan agar keputusan strategis tidak tertunda hanya karena risiko disampaikan dengan bahasa yang terlalu teknis.