Sebuah kapal nelayan tradisional terombang-ambing di tengah badai. Nakhoda, terlalu percaya diri dengan pengalaman turun-temurun, menolak menggunakan radar atau alat navigasi modern. “Kami selalu selamat dengan cara ini,” katanya. Tapi kali lain, kapal itu kandas di karang yang sebenarnya bisa dihindari. Kisah ini bukan metafora nelayan, melainkan gambaran nyata tata kelola perusahaan di Indonesia. Lihatlah E-fishery, startup aquatech berbasis teknologi yang justru terjungkal karena fraud laporan keuangan, atau bagaimana Pertamina laksana “kebakaran jenggot” imbas dugaan kasus Pertamax oplosan. Dua kasus ini, meski berbeda konteks, adalah cermin retak kegagalan Governance, Risk & Compliance (GRC) di Indonesia. Pertanyaannya: mengapa perusahaan-perusahaan “besar” ini justru terjatuh di lubang yang sama?
Ketika Startup dan BUMN Tertidur di Atas Karang Krisis
E-fishery, yang pernah dipuji sebagai startup inovatif penghubung petambak dengan pasar global, kini tersandung skandal yang meruntuhkan kepercayaan investor. Laporan keuangan yang dimanipulasi untuk menarik pendanaan bukanlah kesalahan teknis semata. Ini adalah bukti bahwa governance dianggap sebagai beban, bukan prasyarat keberlanjutan. Di sisi lain, Pertamax—produk andalan Pertamina—belakangan diduga dioplos demi kepentingan “perut” sejumlah oknum. Keduanya adalah buah dari sistem yang mengorbankan kepatuhan dan manajemen risiko demi kecepatan pertumbuhan atau target jangka pendek.
Fenomena ini bukan kebetulan. Penelitian Claessens & Yurtoglu (2013) dalam Corporate Governance in Emerging Markets mengungkapkan bahwa di perusahaan keluarga dan BUMN, GRC sering dikalahkan oleh kepentingan “keluarga” atau tekanan politik. Di startup seperti E-fishery, ambisi menjadi unicorn membuat kontrol internal diabaikan. Di BUMN seperti Pertamina, target produksi dan tekanan harga kadung menenggelamkan prinsip kualitas. Akibatnya, seperti kapal nelayan tadi, mereka mengandalkan “kearifan lokal” alih-alih sistem yang terukur.
Tiga Lapis Pertahanan yang Roboh
Garis pertama dari model ini adalah pihak operasional dalam organisasi, yang meliputi manajer dan karyawan yang menjalankan kegiatan sehari-hari. Mereka bertanggung jawab langsung atas identifikasi dan pengelolaan risiko yang muncul dalam proses operasional. Garis pertama ini harus memastikan bahwa kontrol operasional yang ada sudah memadai dan efektif, serta mengikuti kebijakan dan prosedur yang ditetapkan oleh organisasi. Pada tingkat ini, pengendalian internal sudah mulai diterapkan, tetapi belum cukup untuk mengatasi semua risiko yang ada, sehingga membutuhkan garis pertahanan lainnya.
Garis kedua berfungsi sebagai pengawasan lebih lanjut terhadap risiko yang ada di dalam organisasi, dengan melibatkan tim atau departemen yang memiliki fokus khusus pada manajemen risiko, kepatuhan, dan pengawasan. Mereka menyediakan alat, kebijakan, dan framework untuk mendukung pengelolaan risiko yang lebih strategis. Sementara itu, garis ketiga, yaitu audit internal, memberikan evaluasi independen terhadap keseluruhan proses pengelolaan risiko dan efektivitas kontrol yang telah diterapkan. IIA, yang mempopulerkan model ini, menekankan bahwa semua tiga garis ini harus bekerja sama dengan sinergis untuk menciptakan sistem pengendalian yang tangguh dan komprehensif.
Model Three Lines of Defense (3LoD) seharusnya menjadi tameng berlapis untuk mencegah bencana seperti ini. Tapi di Indonesia, lapisan itu kerap bolong di setiap sisinya.
Pertama, garis pertahanan manajemen operasional. Di E-fishery, tim keuangan dan operasional yang seharusnya menjadi garda terdepan justru terlibat dalam rekayasa data. Menurut laporan ACFE (2022), 85% kasus kecurangan korporasi melibatkan kolusi internal—persis seperti yang terjadi di startup ini. Di Pertamina, unit produksi mungkin mengabaikan standar kualitas Pertamax demi memenuhi target volume. Budaya “yang penting jalan” mengalahkan prinsip integritas.
Kedua, fungsi risiko dan kepatuhan yang tak berdaya. Di perusahaan keluarga, posisi kepala risiko sering diisi kerabat pemilik yang minim kompetensi. GRC di perusahaan keluarga hanya jadi alat legitimasi, bukan fungsi hidup. Sementara itu, Komisi Pemberantasan Korupsi (KPK) pada tahun 2023 menemukan bahwa 60% Badan Usaha Milik Negara (BUMN) tidak memiliki Chief Risk Officer (CRO) independen dan bahwa ketiadaan CRO independen dapat menghambat identifikasi dan mitigasi risiko secara efektif, sehingga berpotensi menyebabkan masalah teknis atau operasional yang tidak terdeteksi, memiliki dasar yang kuat. KPK telah menekankan pentingnya penguatan upaya pencegahan korupsi di BUMN melalui penerapan tata kelola yang baik dan integritas.
Ketiga, audit internal yang kehilangan taring. Di E-fishery, auditor internal mungkin tak mampu mendeteksi kecurangan karena kurangnya keahlian atau tekanan untuk “menjaga nama baik perusahaan”. Teori Keagenan (Agency Theory) menjelaskan fenomena ini: auditor cenderung loyal kepada pemilik ketimbang kebenaran. Sementara di Pertamina, audit lebih fokus pada kepatuhan administratif ketimbang mengecek substansi teknis. Committee of Sponsoring Organizations of the Treadway Commission (COSO) Framework mengingatkan: audit harus berbasis risiko, bukan sekadar formalitas.
Jalan Keluar: Dari Retorika ke Aksi Nyata
Kasus E-fishery dan Pertamax seharusnya menjadi alarm. Tapi tanpa langkah konkret, kita hanya akan mengulangi drama yang sama.
Pertama, sudah saatnya teknologi sebagai penjaga integritas. Kita dapat mengadopsi AI-driven audit untuk mendeteksi anomali keuangan secara real-time, seperti yang diuji EY Singapura dalam proyek Helix, atau menggunakan blockchain untuk rantai pasok Pertamax, seperti inisiatif BP Singapore dalam melacak kualitas minyak mentah atau sistem IoT dan sensor real-time yang bisa memantau kualitas bahan bakar di setiap tahap produksi—seperti yang diimplementasikan Shell dalam studi MIT Sloan.
Kedua, independensi adalah harga mati. Perusahaan keluarga perlu memisahkan kepemilikan dan profesionalisasi. Stewardship Theory mengajarkan: kepemilikan harus diimbangi akuntabilitas. Untuk BUMN, pedoman OECD menyarankan pemisahan tegas antara peran regulator dan operator. Jangan sampai Menteri BUMN turut campur dalam keputusan teknis seperti standar oktan.
Ketiga, hukum harus berbicara. Kasus E-fishery harus diikuti sanksi yang membuat efek jera. Penelitian Indonesia Corruption Watch (2023) membuktikan, penegakan hukum konsisten menurunkan kecurangan korporasi hingga 40%. Di sisi lain, BUMN perlu membangun sistem whistleblowing yang melindungi karyawan yang berani bersuara—seperti skema yang sukses diadopsi Samsung di Korea Selatan.
Keempat, revolusi budaya melalui pendidikan GRC. Kita dapat mengintegrasikan kurikulum GRC di sekolah bisnis, seperti yang dilakukan NUS Singapore dengan program Corporate Governance Lab, dan mendorong sertifikasi CRO melalui lembaga seperti IIA Indonesia.
Penutup: GRC Bukan Sekadar Stempel, Tali Penyelamat
Kisah E-fishery dan Pertamax adalah pengingat: tanpa tata kelola yang kuat, perusahaan hanyalah ibarat menara yang siap rubuh oleh tiupan angin sekecil apa pun. Keduanya bukanlah akhir cerita. Mereka adalah cermin retak yang memantulkan wajah korporasi Indonesia: gagap antara ambisi modernitas dan mentalitas shortcut. Budaya GRC di negeri ini masih tertatih di belakang ambisi pertumbuhan.
Tapi kita masih punya waktu. Seperti nakhoda kapal yang akhirnya memasang radar setelah nyaris tenggelam, perusahaan keluarga dan BUMN harus berani berubah. GRC bukan biaya, melainkan investasi. Bukan beban, melainkan tali penyelamat. Jika tidak, kita hanya akan terus menjadi penonton di reruntuhan kepercayaan yang seharusnya bisa diselamatkan.
Indonesia punya pilihan: terus menjadi bystander dalam siklus kegagalan GRC, atau menjadi pionir reformasi tata kelola. Pilihannya ada di tangan kita—sebelum kapal ini benar-benar karam.
