Apakah perusahaan kami wajib mengikuti NIST AI RMF kalau tidak ada regulasi Indonesia yang mensyaratkannya?

Tidak wajib secara hukum. NIST AI RMF voluntary, namun menjadi standar de facto karena ditegakkan oleh kontrak vendor besar (Microsoft, Google, AWS), oleh klien korporat global, dan oleh auditor pihak ketiga. Korporat Indonesia yang mengabaikan NIST AI RMF akan kesulitan saat klien EU/US bertanya, saat sertifikasi ISO/IEC 42001 dicari, atau saat audit POJK 11/2022 (untuk perbankan) dilakukan.

Bagaimana program ini selaras dengan UU 27/2022 PDP yang baru?

Pilar 1 (AI Policy) memuat dasar hukum pengolahan setiap kategori data oleh AI (Pasal 20 UU PDP) + masa retensi + transfer lintas-negara (Pasal 56 + Permen Kominfo 9/2024) + hak subjek data (Pasal 5–14). Pilar 2 (AI Risk Assessment) memetakan setiap use case ke kategori risiko PDP. Pilar 4 (kapabilitas) melatih Legal/Compliance untuk menjawab DPIA (Data Protection Impact Assessment) untuk use case AI berdampak tinggi.

Apakah kami perlu sertifikasi ISO/IEC 42001:2023?

Tidak wajib di tahun ke-1. Tema setahun fokus membangun fondasi governance yang dapat di-audit. Sertifikasi ISO/IEC 42001 menjadi pilihan strategis di tahun ke-2 atau ke-3 untuk korporat yang ingin diferensiasi pasar (terutama dengan klien global). Readiness assessment dapat dimasukkan ke scope tahun ke-1 sebagai add-on.

Bisakah BUMN membeli program ini lewat SPSE LKPP?

Ya. Kami berpengalaman memasok lewat SPSE LKPP dengan dokumentasi lengkap (RKS, HPS, BAST). Pagu mengikuti PMK 39/2024 / SBM K/L. Untuk BUMN dengan mandat AI di pelayanan publik, kontrak biasanya multi-tahun via RKAP dengan persetujuan komisaris, selaras KMP/M.PANRB 8/2023 SPBE.

Apa hubungan program ini dengan Chief Information Security Officer (CISO) jika belum ada?

CISO menjadi sponsor Pilar 3 (kontrol teknis OWASP LLM Top 10 + NIST SP 800-53). Kalau korporat belum punya CISO, fungsi sponsor dijabat sementara oleh CIO + Head of IT Security dengan rancangan transisi yang dibahas Steering Committee. Tema ini sering menjadi katalis untuk pembentukan peran CISO di tahun ke-1 atau ke-2.

Bagaimana kalau setelah pilot kami memutuskan tidak melanjutkan?

Pilot 30 hari adalah komitmen kontrak independen. Kalau organisasi memutuskan tidak melanjutkan, AI Policy v0.1, AI Risk Assessment template, dan materi pilot tetap menjadi milik klien. Kami tidak memberi diskon retroaktif; pengalaman pilot menjadi fondasi governance untuk vendor manapun di masa depan.

Siapa fasilitator inti dari Neksus untuk tema ini?

Setiap tema dipimpin oleh Account Director + Lead Facilitator dengan pengalaman 10+ tahun di AI governance / cybersecurity / data privacy + AI Governance Specialist untuk dimensi NIST AI RMF dan ISO/IEC 42001 + Curriculum Architect untuk desain modul. Biografi tim dikirim sebelum kontrak ditandatangani.

Bagaimana Neksus melindungi kerahasiaan AI Use Case kami?

NDA dua arah ditandatangani sebelum diagnostik. AI Use Case Register klien dan AI Risk Assessment spesifik klien tidak digunakan sebagai studi kasus marketing tanpa persetujuan tertulis. Akses tim Neksus ke sistem klien dibatasi pada read-only dengan log audit lengkap.

Berapa banyak waktu dari sponsor eksekutif (CHRO, CIO/CISO, Chief Legal, CFO) yang dibutuhkan?

Steering committee triwulanan 90 menit (4x/tahun) + retreat awal 1 hari + briefing direksi triwulanan 90 menit. Total ~20 jam/tahun per sponsor. Komitmen waktu yang realistis untuk eksekutif tingkat C; tanpa komitmen itu tema setahun cenderung kehilangan momentum di bulan 6–9, terutama untuk Chief Legal/Compliance yang sering overloaded.

Tema Org-Wide

Program AI Safe Adoption Tingkat Organisasi yang Berakar Setahun Penuh

Tema tahunan dengan empat pilar terintegrasi (policy & klasifikasi risiko, AI Use Case Register, kontrol teknis, kapabilitas governance), pagu anggaran terstruktur, dan rollout berfase dari pilot ke org-wide. Untuk CHRO, CIO/CISO, dan Chief Legal/Compliance yang ingin adopsi AI tanpa pelanggaran UU PDP atau guncangan reputasi.

Skala program: Org-wide (CHRO + CIO/CISO + Legal sponsorship)Skala program
Durasi tipikal: 12 bulan (renewable)Durasi tipikal
Pilar program: 4: Policy · Register · Kontrol Teknis · Kapabilitas GovernancePilar program
Pagu anggaran: Rp 350 juta – Rp 2.6 miliar/tahunPagu anggaran

Jawaban singkat

Program AI Safe Adoption Neksus adalah tema tahunan empat pilar untuk korporat Indonesia: AI Policy + klasifikasi risiko selaras NIST AI RMF, AI Use Case Register dengan AI Risk Assessment per use case, kontrol teknis OWASP LLM Top 10, dan kapabilitas governance untuk Legal/Compliance/Risk. Selaras UU 27/2022 PDP dan ISO/IEC 42001:2023. Rollout pilot 30 hari → wave 90 hari → org-wide 12 bulan. Pagu Rp 350 juta – Rp 2.6 miliar tahunan.

Tema Tahunan

Mengapa adopsi AI yang aman harus dirancang sebagai tema setahun terpisah dari transformasi digital

Transformasi digital generik berfokus pada efisiensi dan inovasi. AI Safe Adoption berfokus pada risiko legal, etika, dan reputasi yang muncul dari sistem AI, risiko yang tidak ditangani kerangka governance IT klasik. NIST AI Risk Management Framework (NIST AI 100-1, dirilis Januari 2023) adalah backbone publik tata kelola AI yang dipakai paling luas, dengan empat fungsi inti: Govern, Map, Measure, Manage. NIST AI 600-1 (GenAI Profile, Juli 2024) menambahkan 12 risiko spesifik AI generatif (CBRN information, confabulation, dangerous/violent/hateful content, data privacy, environmental, harmful bias, human-AI configuration, information integrity, information security, intellectual property, obscene/abusive/CSAM content, value chain). ISO/IEC 42001:2023 adalah AI Management System Standard pertama yang dapat disertifikasi. OWASP LLM Top 10 (versi 2025) memetakan ancaman teknis aplikasi LLM (prompt injection, sensitive information disclosure, supply chain, dst). MITRE ATLAS memetakan kerentanan adversarial pada machine learning. Di Indonesia, UU 27/2022 Perlindungan Data Pribadi memberi dasar hukum tegas untuk pengolahan data oleh AI, dengan Pasal 56 mengatur transfer data lintas-negara (lihat juga Permen Kominfo 9/2024). Permen Kominfo 20/2016 mengatur perlindungan data pribadi di sistem elektronik. Sektor terregulasi mendapat tambahan kerangka: POJK 11/POJK.03/2022 untuk perbankan, dan EU AI Act Pasal 6+9 untuk korporat dengan eksposur Uni Eropa. Program ini menjahit kerangka-kerangka ini menjadi tema setahun yang dapat dieksekusi.

AI Safe Adoption ≠ transformasi digital generik, fokus pada risiko legal/etika/reputasi spesifik AI
Backbone publik: NIST AI RMF + NIST AI 600-1 GenAI Profile + ISO/IEC 42001:2023
Kerangka teknis: OWASP LLM Top 10 + MITRE ATLAS + NIST SP 800-53
Dasar hukum Indonesia: UU 27/2022 PDP + Permen Kominfo 20/2016 + Permen Kominfo 9/2024 (transfer data) + POJK 11/2022 (perbankan)

Risiko UU PDP nyata sejak Oktober 2024

UU 27/2022 PDP berlaku penuh sejak Oktober 2024 dengan sanksi administratif sampai 2% dari pendapatan tahunan + sanksi pidana untuk pelanggaran berat. Karyawan yang memasukkan data pribadi pelanggan ke AI publik tanpa dasar hukum yang jelas menempatkan korporat pada risiko denda material. Tanpa AI Policy + klasifikasi risiko + AI Risk Assessment, risiko ini berdiri di setiap sudut organisasi setiap hari.

Empat sponsor wajib untuk tema ini

Program AI Safe Adoption membutuhkan empat sponsor selaras: CHRO (kapabilitas + perubahan perilaku), CIO/CISO (kontrol teknis + tooling), Chief Legal/Compliance (policy + UU PDP), dan CFO/COO (anggaran + adopsi operasional). Tata kelola AI yang kehilangan Legal/Compliance berakhir sebagai dokumen IT yang diabaikan tim legal.

NIST AI RMF ≠ ISO/IEC 42001 ≠ EU AI Act

NIST AI RMF adalah voluntary framework tata kelola risiko. ISO/IEC 42001:2023 adalah sistem manajemen yang dapat disertifikasi (audit pihak ketiga). EU AI Act adalah regulasi mengikat dengan klasifikasi risiko produk AI. Korporat Indonesia umumnya mulai dengan NIST AI RMF; korporat multinasional dengan eksposur EU menambahkan EU AI Act; sertifikasi ISO/IEC 42001 menjadi pilihan strategis untuk korporat yang ingin diferensiasi pasar.

Arsitektur Program

Arsitektur empat pilar terintegrasi

Setiap pilar memiliki audience, modul, dan deliverable berbeda. Tata kelola program menyelaraskan keempatnya di bawah satu peta jalan tahunan.

Pilar 1

Pilar 1, AI Policy + Klasifikasi Risiko

Menyusun AI Policy korporat lengkap (Acceptable Use, vendor due diligence, data handling, model selection, incident response) dan klasifikasi risiko per use case selaras NIST AI 600-1 GenAI Profile + 12 risk categories. Modul untuk Legal/Compliance/Risk + ratifikasi steering committee.

AI Policy v1.0 disahkan governing body, dikomunikasikan ke 100% karyawan
Klasifikasi risiko per use case (limited / minimal / high / unacceptable) terdefinisi
Acceptable Use Agreement ditandatangani 100% karyawan via HRIS

Pilar 2

Pilar 2, AI Use Case Register + AI Risk Assessment

Membangun register hidup setiap use case AI di organisasi dengan AI Risk Assessment formal (template selaras NIST AI RMF Map+Measure). Tooling sederhana (Notion/Confluence/internal portal) + workflow approval AI Council.

Register hidup 20–60 use case di tahun pertama
100% use case high-risk melewati AI Risk Assessment formal sebelum live
Decision log AI Council bulanan terdokumentasi

Pilar 3

Pilar 3, Kontrol Teknis (OWASP LLM Top 10 + NIST SP 800-53)

Mengimplementasi kontrol teknis untuk aplikasi LLM (prompt injection defense, output validation, sensitive data filtering, supply chain check, logging & audit). Selaras OWASP LLM Top 10 2025 + MITRE ATLAS + NIST SP 800-53 untuk korporat yang juga di-FedRAMP atau setara.

Checklist kontrol teknis wajib untuk setiap deployment AI
Eval harness internal untuk setiap use case high-risk
Log audit AI hidup dengan retensi sesuai UU PDP

Pilar 4

Pilar 4, Kapabilitas Governance Lintas-Fungsi

Melatih Legal/Compliance/Risk Officer + Tech Lead + Business Representative pada kerangka AI governance dan UU PDP. Cohort intensif 60–100 jam dengan capstone AI Risk Assessment use case nyata. Sertifikasi internal AI Governance Practitioner.

10–25 internal AI Governance Practitioner bersertifikasi
AI Council bulanan dengan rotasi sesi pembelajaran kasus internasional
Liaison ke regulator (Kominfo / OJK / sektoral) yang tetap terinformasi

Pagu Anggaran Tahunan

Pagu anggaran tahunan berdasarkan ukuran organisasi dan eksposur risiko

Rentang berikut mencakup empat pilar + tata kelola + change management. Lisensi AI tools (Claude Enterprise, ChatGPT Enterprise, Bedrock) di luar pagu ini.

Lingkup	Peserta	Rentang Anggaran	Catatan
Perusahaan menengah (200–500 karyawan, eksposur AI awal)	100% Acceptable Use + 12 AI Governance Practitioner + AI Council	Rp 350–700 juta/tahun	Cocok untuk korporat yang baru mulai adopsi AI dengan use case terbatas.
Korporat besar (500–2000 karyawan, multi-vendor AI)	100% Acceptable Use + 22 AI Governance Practitioner + AI Council lintas-BU	Rp 700 juta – Rp 1.6 miliar/tahun	Rollout standar 12-bulan dengan AI Use Case Register hidup.
Enterprise (2000+ karyawan, AI di produk klien-facing)	100% Acceptable Use + 40+ AI Governance Practitioner + AI Council lintas-BU + liaison regulator	Rp 1.6–2.6 miliar/tahun	Kontrak multi-tahun. Path sertifikasi ISO/IEC 42001 opsional di tahun ke-2.
BUMN / lembaga publik dengan AI di pelayanan publik	Skema setara enterprise + alignment SPBE (Perpres 95/2018) + Stranas Kecerdasan Artifisial	Rp 1.2–2.2 miliar/tahun	Procurement via SPSE LKPP. Selaras KMP/M.PANRB 8/2023 SPBE. Liaison Kominfo + sektoral wajib.
Korporat dengan eksposur EU AI Act (multinasional / pasar Uni Eropa)	Skema enterprise + EU AI Act Pasal 6+9 + bilingual ID/EN	Rp 1.5–2.5 miliar/tahun	Dual-framework NIST AI RMF + EU AI Act. Sertifikasi ISO/IEC 42001 sering menjadi pintu masuk.

Fase Rollout

Fase rollout, pilot 30 hari → wave 90 hari → org-wide 12 bulan

Rollout berfase menurunkan risiko hukum dan teknis, mengkalibrasi policy, dan membangun cerita keberhasilan governance.

Pilot, 30 hari

Bulan 1

Validasi AI Policy v0.1 dan AI Risk Assessment template dengan 1 BU pilot + 5–10 use case AI eksisting.

AI Policy v0.1 disusun dan diuji terhadap use case eksisting
AI Risk Assessment dijalankan untuk 5–10 use case pilot
AI Council pertama terbentuk dengan rotasi rapat mingguan pilot
Acceptable Use draft diuji ke 1 BU pilot

Wave 1, 90 hari

Bulan 2–4

Scale ke 3 BU prioritas + ratifikasi AI Policy v1.0 + AI Use Case Register hidup.

AI Policy v1.0 disahkan steering committee + dewan
Acceptable Use ditandatangani 100% karyawan 3 BU prioritas
AI Use Case Register hidup dengan 15–25 use case awal
Cohort AI Governance Practitioner gelombang 1 selesai (10 orang)

Wave 2–3, 180 hari

Bulan 5–10

Rollout ke seluruh organisasi + integrasi kontrol teknis OWASP LLM Top 10.

100% karyawan menandatangani Acceptable Use
AI Use Case Register hidup dengan 30–60 use case
Kontrol teknis OWASP LLM Top 10 untuk semua aplikasi produksi
Cohort AI Governance Practitioner gelombang 2+3 selesai (total 22–40 orang)

Sustaining, 60 hari + perpanjangan

Bulan 11–12 + renewal

Memformalkan operating model governance + opsi path ISO/IEC 42001.

AI Council bulanan menjadi forum resmi terdokumentasi
Capstone presentation ke direksi: register use case + risk register + insiden ditangani
Rancangan tahun ke-2 (path ISO/IEC 42001 atau EU AI Act readiness)
Sertifikasi internal AI Governance Practitioner terdaftar di HR

Metrik Sukses Org-Wide

Metrik sukses tingkat organisasi, kepatuhan + kualitas tata kelola

Pilih 4–6 metrik dari daftar berikut sebelum program mulai, dengan ambang yang disepakati.

Adopsi Acceptable Use Agreement

100% karyawan menandatangani dalam 12 bulan

HRIS confirmation

AI Use Case Register kelengkapan

≥ 95% use case AI di organisasi terdaftar (audit triwulanan)

Spot-audit BU per kuartal oleh AI Council

AI Risk Assessment untuk use case high-risk

100% use case high-risk melewati AI Risk Assessment sebelum live

AI Council risk register

Internal AI Governance Practitioner bersertifikasi

15–40 orang dalam 12 bulan (sesuai ukuran organisasi)

Sertifikasi internal + capstone AI Risk Assessment

Insiden AI material

0 insiden material 12 bulan (data leak, prompt injection berhasil, bias berdampak hukum)

Incident log Risk Officer

Time-to-approval use case low-risk

≤ 5 hari kerja

AI Council workflow tracker

% vendor AI yang lulus due diligence

100% vendor AI di register dengan SOC 2 / ISO 27001 / data residency review

Vendor security register

Alat Bantu Keputusan

Program governance terintegrasi vs Policy IT tunggal vs Tanpa tata kelola AI

Tiga pendekatan korporat, dengan profil risiko yang sangat berbeda.

Kriteria	Policy IT tunggal	Program governance terintegrasi ★	Tanpa tata kelola AI
Anggaran tahunan tipikal	Rp 80–250 juta	Rp 350 juta – Rp 2.6 miliar	Rp 0 (eksplisit)
Risiko UU PDP material	Tinggi, policy tanpa enforcement	Rendah, register + risk assessment + audit	Sangat tinggi, exposure langsung
Kapabilitas Legal/Compliance di AI	Minim	Tinggi, cohort AI Governance Practitioner	Tidak ada
Audit-readiness (ISO/IEC 42001 / EU AI Act)	Rendah	Tinggi, dapat diaudit pihak ketiga	Tidak siap
Insiden material 12 bulan	1–3 tipikal	0 target	3–10 tipikal

Alur Kerja Sama

Alur kerja sama Neksus untuk tema setahun

1
Kickoff & diagnostik AI exposure (4 minggu)
Minggu 1–4
Workshop 2 hari dengan CHRO/CIO/CISO/Legal/CFO + interview 15 stakeholder kunci + AI exposure audit (use case eksisting, vendor AI, data sensitivitas). Output: Charter program + risk profile + rancangan rollout.
2
Pilot BU 30 hari
Bulan 2
AI Policy v0.1 disusun, AI Risk Assessment dijalankan untuk 5–10 use case pilot, Acceptable Use diuji. Tim Neksus + AI Council pilot bekerja berdampingan. Retro mingguan.
3
Retro pilot & kalibrasi (2 minggu)
Bulan 3 (awal)
Workshop retrospektif dengan AI Council pilot. AI Policy direvisi v1.0. AI Risk Assessment template dikalibrasi. Rancangan Wave 1 disepakati.
4
Wave 1, 3 BU prioritas (90 hari)
Bulan 3–5
AI Policy v1.0 disahkan. Acceptable Use ditandatangani 100% karyawan 3 BU. AI Use Case Register hidup. Cohort AI Governance Practitioner gelombang 1 dimulai.
5
Wave 2–3, sisa BU + kontrol teknis (180 hari)
Bulan 6–11
Rollout ke seluruh organisasi. Kontrol teknis OWASP LLM Top 10 untuk aplikasi produksi. Cohort AI Governance Practitioner gelombang 2+3. AI Council bulanan rutin.
6
Capstone & rancangan tahun ke-2
Bulan 12
Capstone presentation ke direksi: register live, risk register, kontrol teknis. Workshop rancangan tahun ke-2 (path ISO/IEC 42001 atau EU AI Act readiness) dengan CHRO + CIO + Legal + CFO.

Tata Kelola Program

Tata kelola program, siapa, peran apa, ritme apa

Tata kelola yang jelas mencegah AI Policy menjadi dokumen mati. Empat lapisan utama dengan cadence yang berbeda.

Steering Committee (CHRO + CIO/CISO + Chief Legal/Compliance + CFO/COO)

Triwulanan

Sponsor eksekutif. Sahkan AI Policy, alokasi anggaran, prioritas wave berikutnya, dan resolusi konflik tata kelola lintas-BU. Akuntabel ke direksi.

AI Council (Legal Lead + Compliance Officer + Risk Officer + Tech Lead + Business Rep)

Bulanan + ad-hoc untuk use case mendesak

Review setiap use case AI baru, AI Risk Assessment, dan kebijakan teknis. Mengembangkan playbook governance. Approval workflow untuk use case high-risk.

Program Office (L&D Lead + PMO + Governance Lead)

Mingguan

Eksekusi operasional. Jadwal, LMS, komunikasi, koordinasi AI Council, dan pelaporan ke steering committee.

Champions Network (AI Liaison per BU)

Mingguan check-in, bulanan all-champions

Titik kontak BU untuk semua hal AI governance. Eskalasi use case baru, awareness Acceptable Use, dan retro per kuartal.

Neksus Engagement Team (Account Director + Lead Facilitator + AI Governance Specialist)

Mingguan steering call + onsite per wave

Co-design program, fasilitasi sesi inti, kalibrasi modul, eskalasi metodologi NIST AI RMF + UU PDP + OWASP LLM Top 10.

Peserta Sasaran

Siapa yang ikut dari organisasi Anda, multi-kohort terintegrasi

Program ini terdiri dari beberapa cohort paralel dengan kurikulum berbeda.

All-employee Acceptable Use

100% karyawan

Setiap karyawan (2 jam async + assessment + sign-off via HRIS).

AI Governance Practitioner internal

15–40 orang

Legal lead, compliance officer, risk officer, tech lead, business rep per BU. 60–100 jam terstruktur + capstone AI Risk Assessment use case nyata.

AI Liaison per BU

1 per BU

Mid-level employee dengan kredibilitas operasional sebagai titik kontak AI governance di BU mereka.

AI Council members

5–10 orang

Legal lead + compliance officer + risk officer + tech lead + business rep. Anggota inti governance.

Steering committee

4–5 orang

CHRO, CIO/CISO, Chief Legal/Compliance, CFO/COO.

Direksi briefing

Direksi penuh

Sesi 90 menit triwulanan dengan ringkasan register + risk register + insiden material.

Konstelasi Topik

Konstelasi topik Neksus yang membentuk tema ini

Setiap topik adalah modul terstruktur. Tema setahun menggabungkan beberapa topik menjadi pilar terintegrasi.

Literasi & Acceptable Use

Pelatihan AI Generatif untuk Korporat

Modul fondasi untuk Pilar 1 (Acceptable Use literasi) dan Pilar 2 (memahami use case AI generatif untuk diregistrasi).

Lihat detail topik

Cybersecurity Foundation

Kesadaran Keamanan Siber Karyawan

Modul pendukung Pilar 1 + Pilar 3, kesadaran keamanan data sebagai prasyarat sebelum membahas AI risk.

Lihat detail topik

Kontrol Teknis

MLOps & Production AI Engineering untuk Korporat

Modul inti Pilar 3 (kontrol teknis), membangun AI produksi yang reliable, auditable, dengan eval harness selaras OWASP LLM Top 10.

Lihat detail topik

Change Management

Manajemen Perubahan Organisasi

Modul pendukung Pilar 4 (kapabilitas governance), Kotter 8-Step + ADKAR untuk mengubah perilaku adopsi AI yang aman.

Lihat detail topik

Leadership

Kepemimpinan untuk Manajer Lini Pertama

Modul pendukung, manajer lini pertama yang mengoperasikan Acceptable Use + reporting use case di tim masing-masing.

Lihat detail topik

Mitigasi Risiko Program

Risiko program yang umum gagal, dan mitigasi yang efektif

AI Policy menjadi dokumen mati yang diabaikan karyawan

Acceptable Use ditandatangani; 6 bulan kemudian survei menunjukkan 60% karyawan tidak ingat isinya dan tetap menggunakan AI publik untuk data sensitif.

Mitigasi: Acceptable Use refresher 2 jam tahunan + spot-check survey kuartalan + sanksi nyata untuk pelanggaran serius (terdokumentasi di Pilar 1).

AI Council kewalahan oleh volume use case

Approval backlog 30+ use case menumpuk; BU bypass dengan menggunakan AI publik untuk menghindari menunggu.

Mitigasi: Fast-track approval untuk use case low-risk berdasarkan klasifikasi NIST AI RMF (limited/minimal lewat 5 hari kerja, high-risk via AI Council formal).

Vendor AI dipilih tanpa due diligence keamanan data

Tim membeli tool AI baru tiap minggu tanpa review SOC 2 / ISO 27001 / data residency.

Mitigasi: Vendor security review checklist + register vendor AI yang disetujui + procurement gate yang mensyaratkan AI Council sign-off.

Konflik dengan tim engineering yang merasa governance memperlambat inovasi

CIO/CTO mengeluh AI Council jadi 'bottleneck'; tim engineering mendorong shadow AI.

Mitigasi: Tech Lead masuk AI Council penuh + fast-track approval low-risk + AI Council sebagai enabler (template + sandbox + audit logs siap pakai) untuk mempercepat use case.

Insiden material (data leak via AI publik) di tengah program

Karyawan tanpa sengaja menempel data klien ke ChatGPT; perlu disclosure ke Kominfo + customer.

Mitigasi: Incident response playbook (Pilar 1) + tabletop exercise per kuartal + integrasi dengan tim CSIRT korporat + jalur eskalasi ke Chief Legal/Compliance dalam 4 jam.

Sponsor Legal/Compliance tidak terlibat penuh

AI Policy ditulis IT, di-stempel Legal di akhir; Legal tidak pernah merasa pemilik.

Mitigasi: Charter program dengan Legal sebagai sponsor wajib + Legal Lead masuk AI Council + cohort AI Governance Practitioner sebagai investasi karier Legal.

Pola Hasil Tipikal

Pola hasil tipikal dari klien serupa

Konteks

Korporat jasa keuangan 900 karyawan, regulasi OJK ketat, eksposur AI awal untuk wealth advisory.

Intervensi

Tema setahun dengan pilot BU wealth (30 hari). AI Policy v1.0 selaras POJK 11/2022 + NIST AI RMF disahkan bulan 4. Cohort AI Governance Practitioner 15 orang.

Hasil indikatif

Pola umum: 100% karyawan menandatangani Acceptable Use bulan 6; AI Use Case Register hidup dengan 18 use case bulan 12; 0 insiden material. Tahun ke-2 fokus path sertifikasi ISO/IEC 42001.

Konteks

BUMN sektor publik 3.000 karyawan, mandat AI untuk pelayanan publik, sponsor Direktur Digital + Direktur Hukum.

Intervensi

Tema setahun dengan pagu Rp 2.1 miliar via SPSE LKPP. AI Policy selaras Stranas Kecerdasan Artifisial + SPBE. AI Council lintas-direktorat dengan rapat bulanan.

Hasil indikatif

Pola umum: 92% Acceptable Use bulan 8; register hidup dengan 35 use case bulan 12 (chatbot pelayanan + analitik internal). Liaison Kominfo + sektoral terbentuk.

Konteks

Anak perusahaan multinasional manufaktur 600 karyawan, regional HQ Jepang, eksposur EU + APAC.

Intervensi

Tema setahun bilingual dengan dual-framework NIST AI RMF + EU AI Act + ISO/IEC 42001 readiness. Pilot tim engineering, wave ke supply chain + quality.

Hasil indikatif

Pola umum: AI Policy lokal selaras global policy regional HQ. Readiness audit ISO/IEC 42001 dilakukan di tahun ke-2 dengan rekomendasi tindak lanjut spesifik.

Informasi Procurement

Informasi procurement

Format kontrak
Tema setahun terstruktur (renewable). Pendampingan multi-tahun dengan SOW yang disepakati per tahun. Opsi path ISO/IEC 42001 di tahun ke-2.
Lokasi
Onsite di kantor klien (Jabodetabek tanpa biaya transport tambahan), regional onsite, atau hybrid (kickoff onsite + sesi bi-weekly online).
Bahasa pengantar
Bahasa Indonesia (default) atau bilingual ID/EN untuk korporat multinasional / BUMN dengan reporting global.
Materi & sertifikat peserta
Modul terstruktur, workbook bilingual, template AI Policy + AI Risk Assessment + Acceptable Use + Vendor Security Review, akses 12 bulan ke alumni resource hub, sertifikasi internal AI Governance Practitioner.
Dokumentasi pajak & e-procurement
Faktur pajak PPN, kwitansi, BAST. Dukungan e-procurement BUMN/pemerintah (SPSE LKPP) tersedia. Pagu SBM K/L untuk kementerian/lembaga.
Termin pembayaran
DP 20% saat kontrak, milestone 30% per wave (3x), pelunasan 20% pasca-capstone tahun ke-1.
Pendampingan opsional
Coaching personal Chief Legal/CISO (paket terpisah), executive briefing untuk direksi (90 menit triwulanan), audit AI Risk Assessment per use case (basis manday), readiness audit ISO/IEC 42001.

Pertanyaan Umum

Diskusikan rancangan tema AI Safe Adoption untuk organisasi Anda

Kirim ukuran organisasi, eksposur AI saat ini (vendor, use case, sektor regulasi), dan tantangan tata kelola yang dihadapi. Tim Neksus mempelajari konteks Anda dan menyiapkan rancangan tema setahun dalam 5 hari kerja.

Empat pilar terintegrasi (policy · register · kontrol teknis · kapabilitas governance) di bawah empat sponsor eksekutif
Pilot 30 hari → Wave 90 hari → Org-wide 12 bulan
AI Policy + AI Use Case Register + AI Risk Assessment selaras NIST AI RMF + NIST AI 600-1 + UU PDP
Kontrol teknis OWASP LLM Top 10 + MITRE ATLAS + NIST SP 800-53
Path opsional ISO/IEC 42001:2023 dan EU AI Act readiness di tahun ke-2

Program AI Safe Adoption Tingkat Organisasi yang Berakar Setahun Penuh

Mengapa adopsi AI yang aman harus dirancang sebagai tema setahun terpisah dari transformasi digital

Arsitektur empat pilar terintegrasi

Pagu anggaran tahunan berdasarkan ukuran organisasi dan eksposur risiko

Fase rollout, pilot 30 hari → wave 90 hari → org-wide 12 bulan

Metrik sukses tingkat organisasi, kepatuhan + kualitas tata kelola

Program governance terintegrasi vs Policy IT tunggal vs Tanpa tata kelola AI

Alur kerja sama Neksus untuk tema setahun

Kickoff & diagnostik AI exposure (4 minggu)

Pilot BU 30 hari

Retro pilot & kalibrasi (2 minggu)

Wave 1, 3 BU prioritas (90 hari)

Wave 2–3, sisa BU + kontrol teknis (180 hari)

Capstone & rancangan tahun ke-2

Tata kelola program, siapa, peran apa, ritme apa

Siapa yang ikut dari organisasi Anda, multi-kohort terintegrasi

Konstelasi topik Neksus yang membentuk tema ini

Pelatihan AI Generatif untuk Korporat

Kesadaran Keamanan Siber Karyawan

MLOps & Production AI Engineering untuk Korporat

Manajemen Perubahan Organisasi

Kepemimpinan untuk Manajer Lini Pertama

Risiko program yang umum gagal, dan mitigasi yang efektif

Pola hasil tipikal dari klien serupa

Informasi procurement

Pertanyaan Umum

Apakah perusahaan kami wajib mengikuti NIST AI RMF kalau tidak ada regulasi Indonesia yang mensyaratkannya?

Bagaimana program ini selaras dengan UU 27/2022 PDP yang baru?

Apakah kami perlu sertifikasi ISO/IEC 42001:2023?

Bisakah BUMN membeli program ini lewat SPSE LKPP?

Apa hubungan program ini dengan Chief Information Security Officer (CISO) jika belum ada?

Bagaimana kalau setelah pilot kami memutuskan tidak melanjutkan?

Siapa fasilitator inti dari Neksus untuk tema ini?

Bagaimana Neksus melindungi kerahasiaan AI Use Case kami?

Berapa banyak waktu dari sponsor eksekutif (CHRO, CIO/CISO, Chief Legal, CFO) yang dibutuhkan?

Diskusikan rancangan tema AI Safe Adoption untuk organisasi Anda