Berapa lama hingga risk culture maturity bergerak secara terukur?

Risk culture maturity score biasanya bergerak 1 level penuh (skala 1-5) dalam 12 bulan untuk korporat yang menyelesaikan fondasi empat pilar dengan disiplin. Repeat audit finding turun signifikan di tahun pertama. Sertifikasi eksternal (ISO 37301 atau SMAP ISO 37001) lulus di tahun ke-2 setelah fondasi mengakar dan dokumentasi audit-ready.

Apa perbedaan ISO 37301:2021 dan ISO 37001:2016?

ISO 37301:2021 (Compliance Management Systems) adalah standar payung untuk seluruh sistem compliance organisasi, menggantikan ISO 19600:2014. ISO 37001:2016 (Anti-Bribery Management Systems / SMAP) adalah standar spesifik untuk pencegahan suap saja, biasanya menjadi subset compliance system yang lebih luas. Banyak korporat Indonesia mulai dengan ISO 37001 (lebih spesifik, ekspektasi BUMN), kemudian memperluas ke ISO 37301 di tahun ke-2 atau ke-3.

Apakah POJK 17/2023 wajib untuk semua lembaga keuangan?

POJK 17/2023 tentang Penyelenggaraan Produk Bank Umum (dan POJK terkait lain) berlaku untuk bank umum dengan ekspektasi spesifik tentang risk management maturity. Untuk lembaga keuangan lain (asuransi, multifinance, sekuritas), ada POJK sektoral terpisah dengan struktur serupa. Program ini disesuaikan dengan POJK relevan per sektor klien.

Bagaimana UU PDP 27/2022 diintegrasikan ke compliance program existing?

Pilar 1 (compliance literacy) memasukkan UU PDP sebagai modul mandatori dengan use case per role (HR data, customer data, vendor data, AI processing). Pilar 2 (risk ownership) menambahkan privacy risk ke risk register BU dengan kategorisasi sesuai Pasal 5-14 (hak subjek data) dan Pasal 56 (transfer lintas-negara). Pilar 3 (audit) menambahkan PDP audit ke risk-based audit plan. Pilar 4 (horizon scanning) memonitor regulasi turunan UU PDP dari Kemenkominfo.

Apa yang membedakan program ini dari konsultan GRC besar (PwC, Deloitte, EY, KPMG)?

Big Four GRC fokus pada assessment + advisory + audit eksternal (high-touch consultancy). Neksus fokus pada capability building internal + train-the-trainer + sustainability operasional. Banyak klien menggunakan keduanya komplementer: Big Four untuk audit eksternal independen tahunan, Neksus untuk capability building yang membuat sistem internal mampu menghadapi audit dengan posture matang.

Bisakah program ini lewat SPSE LKPP untuk BUMN dan instansi pemerintah?

Ya. Kami berpengalaman memasok lewat SPSE LKPP dengan dokumentasi lengkap (RKS, HPS, BAST). Pagu mengikuti PMK 39/2024 dan SBM K/L. Untuk BUMN dengan target ISO 37001 SMAP sebagai bagian roadmap Kementerian BUMN, program dapat di-paketkan dengan persiapan audit eksternal rekanan terakreditasi.

Bagaimana program ini menjaga independensi Internal Audit?

Pilar 3 mensyaratkan Internal Audit Charter dengan reporting line direct ke Komite Audit Komisaris (bukan via CEO/CFO). Charter di-review tahunan oleh Komite Audit. Independen external review setiap 3 tahun (sesuai IIA Standards). Akses Head of Internal Audit ke Komite Audit tanpa filter manajemen. Tim Neksus tidak menggantikan internal audit, kami melatih kapabilitas, bukan mengambil alih fungsi.

Berapa banyak waktu sponsor eksekutif (CEO, CCO, CRO) yang dibutuhkan?

Steering committee triwulanan 90 menit (4x/tahun) + retreat awal 1 hari + Komite Audit Komisaris briefing triwulanan 90 menit + monthly GRC Council attendance (90 menit). Total ~25 jam/tahun per sponsor utama. CEO sebagai sponsor utama membutuhkan tambahan 5-10 jam untuk tone from the top communication dan recognition program.

Apakah Whistleblowing channel harus di-host third party?

Direkomendasikan kuat. Kepercayaan karyawan terhadap perlindungan anonim adalah determinan utama utilization rate. Channel internal sering kurang dipercaya karena dianggap dapat diakses HR atau IT. Third party independen (rekanan terakreditasi seperti Convercent, NAVEX Global, atau lokal yang setara) memberikan kerahasiaan dengan SLA dan audit trail yang terpisah dari internal. Investasi awal terbayar dengan utilization rate yang naik dan early warning yang lebih banyak.

Tema Org-Wide

Program Compliance & Risk Capability Building Tingkat Organisasi Setahun Penuh

Tema tahunan empat pilar (compliance literacy, risk ownership, internal audit & assurance, regulatory horizon scanning) selaras ISO 37301:2021, ISO 37001:2016 SMAP, ISO 31000:2018, COSO ERM 2017, UU PDP 27/2022, UU 8/2010 APU-PPT, POJK 17/2023, dan BCBS 239. Untuk CEO, Chief Compliance Officer, Chief Risk Officer, dan Komisaris yang menggerakkan compliance dari kepatuhan reaktif ke kapabilitas organisasi.

Skala program: Org-wide (CEO + CCO + CRO + Komisaris)Skala program
Durasi tipikal: 12 bulan (renewable)Durasi tipikal
Pilar program: 4: Literacy · Risk Ownership · Audit · Horizon ScanningPilar program
Pagu anggaran: Rp 400 juta – Rp 2.2 miliar/tahunPagu anggaran

Jawaban singkat

Program compliance & risk Neksus adalah tema tahunan empat pilar: compliance literacy (UU PDP 27/2022 + APU-PPT UU 8/2010 + sector POJK), risk ownership (ISO 31000:2018 + COSO ERM 2017 + three lines of defense), internal audit & assurance (ISO 19011:2018 + ISO 37301:2021 compliance management + ISO 37001:2016 SMAP anti-suap), dan regulatory horizon scanning (KPK UKAP + sectoral regulator monitoring). Rollout pilot 30 hari → wave 90 hari → org-wide 12 bulan dengan pagu Rp 400 juta hingga Rp 2.2 miliar tahunan untuk korporat dan BUMN.

Tema Tahunan

Mengapa compliance & risk harus dirancang sebagai kapabilitas organisasi, bukan checkbox tahunan menjelang audit

Lanskap regulasi Indonesia dan global memasuki fase paling intensif dalam dua dekade terakhir. Di sisi nasional: UU 27/2022 Perlindungan Data Pribadi berlaku efektif Oktober 2024 dengan sanksi material; UU 8/2010 APU-PPT dengan UKAP KPK sebagai standar pencegahan korupsi; POJK 17/2023 untuk perbankan dengan ekspektasi risk culture yang matang; PP 39/2024 mengubah lanskap procurement BUMN. Di sisi global: ISO 37301:2021 (Compliance Management Systems) menggantikan ISO 19600:2014 sebagai standar global terkini; ISO 37001:2016 SMAP (Anti-Bribery Management Systems) sudah diadopsi banyak BUMN besar; ISO 31000:2018 (Risk Management Guidelines) dan COSO ERM 2017 (Enterprise Risk Management, Integrating with Strategy and Performance) menjadi backbone risk; BCBS 239 (Basel Committee Principles for Effective Risk Data Aggregation and Risk Reporting) wajib untuk perbankan sistemik. Pendekatan korporat yang umum, e-learning compliance generik sekali setahun, sesi sosialisasi dari unit Compliance, dan audit internal yang reaktif, gagal membangun kapabilitas karena tiga gap struktural: (a) compliance literacy yang menempel di bahasa peraturan, bukan di workflow karyawan; (b) risk ownership yang tinggal di Risk Officer, tidak diturunkan ke BU; (c) audit assurance yang fokus pada finding compliance reaktif, tidak pada effectiveness control. Tema tahunan empat pilar menutup gap ini dengan disiplin kapabilitas yang selaras standar global + regulasi nasional Indonesia. ISO 19011:2018 menjadi rujukan untuk audit kompetensi.

Lanskap regulasi 2024-2026 paling intensif: UU PDP + APU-PPT + POJK + PP procurement
Standar global terkini: ISO 37301:2021 (compliance), ISO 37001:2016 (SMAP), ISO 31000:2018, COSO ERM 2017, BCBS 239
Three structural gap: literacy hidup di peraturan, risk ownership di Risk Officer, audit reaktif
Tema tahunan empat pilar selaras standar global + regulasi Indonesia
ISO 19011:2018 sebagai backbone audit kompetensi

E-learning compliance generik tahunan = kepatuhan teater

Korporat sering memasang e-learning compliance generik 2 jam per karyawan per tahun untuk lulus audit. Hasil: 95% completion rate, perilaku lapangan kembali ke baseline dalam 60 hari, dan finding compliance berulang dari audit ke audit. Compliance hidup membutuhkan literasi yang terkalibrasi ke workflow karyawan (bukan bahasa peraturan), reinforcement di rutinitas kerja, dan accountability terpetakan ke risk owner BU.

Empat sponsor wajib: CEO + CCO + CRO + Komite Audit Komisaris

Compliance & risk capability yang berakar membutuhkan empat sponsor: CEO (tone from the top), Chief Compliance Officer (program ownership), Chief Risk Officer (risk methodology), dan Komite Audit di tingkat Komisaris (oversight independen). Tanpa Komite Audit Komisaris, program kehilangan independensi yang dibutuhkan untuk credibility eksternal.

Three lines of defense yang jalan = leverage tertinggi

IIA (Institute of Internal Auditors) Three Lines Model 2020 menempatkan: line 1 (BU sebagai risk owner), line 2 (Compliance + Risk Function sebagai oversight), line 3 (Internal Audit sebagai independent assurance). Kebanyakan korporat punya struktur ini di organogram tetapi line 1 tidak benar-benar own risk; di Pilar 2 program ini, risk ownership digeser dari Risk Officer ke BU Head dengan KPI risk yang terintegrasi.

ISO 37301:2021 = bahasa universal compliance management

ISO 37301:2021 (Compliance Management Systems, Requirements with guidance for use, menggantikan ISO 19600:2014) memberi bahasa global yang konsisten dengan ISO 9001 (quality), ISO 27001 (information security), dan ISO 45001 (OHS). Audit eksternal terstandarisasi, integrasi dengan management system existing alami, dan reporting ke board terkalibrasi. Adopsi struktur ISO 37301 adalah pilihan kuat di tahun pertama.

Arsitektur Program

Arsitektur empat pilar, Literacy · Risk Ownership · Audit · Horizon Scanning

Setiap pilar menyentuh determinan compliance capability berbeda dengan kerangka global dan regulasi Indonesia. Program tahunan menjalin keempatnya menjadi disiplin organisasi yang terdokumentasi.

Pilar 1

Pilar 1, Compliance Literacy (Workflow-First, Bukan Peraturan-First)

Literasi compliance terkalibrasi ke workflow karyawan per BU. Modul UU PDP 27/2022 dengan use case nyata (HR data, customer data, vendor data). Modul APU-PPT UU 8/2010 untuk industri keuangan + non-keuangan yang relevan. Sectoral POJK / Permen sektor. Modul anti-suap selaras ISO 37001:2016 SMAP.

100% karyawan menyelesaikan literacy 4-8 jam terkalibrasi per role
Acceptable Use Policy + AI Policy + Data Protection Policy disahkan + ditandatangani 100% karyawan
Compliance helpline + whistleblowing channel berjalan dengan tracking metric

Pilar 2

Pilar 2, Risk Ownership di BU (ISO 31000 + COSO ERM)

Risk ownership digeser dari Risk Officer ke BU Head dengan ISO 31000:2018 framework + COSO ERM 2017 (Strategy + Operations + Reporting + Compliance objectives). Risk register hidup per BU dengan kategorisasi inherent vs residual risk. Risk appetite statement disahkan board.

Risk register hidup di semua BU dengan inherent + residual + control + owner
Risk appetite statement disahkan board, di-cascade ke BU dengan tolerance limit
BU Head menjalani risk ownership 16 jam + scoring tahunan ke risk culture maturity

Pilar 3

Pilar 3, Internal Audit & Assurance (ISO 19011:2018 + ISO 37301)

Internal auditor terlatih ISO 19011:2018 dengan kompetensi sesuai jenis audit (compliance, financial, operational, IT). Audit selaras ISO 37301:2021 untuk compliance management system + ISO 37001:2016 untuk SMAP. Risk-based audit plan (bukan calendar-based) dengan prioritisasi by risk score.

100% internal auditor menyelesaikan sertifikasi ISO 19011:2018 lead auditor
Audit plan tahunan risk-based dengan minimal 70% audit fokus area high-risk
Audit finding ditindaklanjuti dalam SLA + tracked di dashboard executive

Pilar 4

Pilar 4, Regulatory Horizon Scanning

Tim monitoring regulasi multi-sumber (OJK, BI, KPK, Kemenkominfo, KPPU, Kemenkes, Kemenperin sesuai industri). Quarterly regulatory horizon scan ke board + impact assessment per regulasi baru. Integrasi dengan AI Council jika ada Pilar AI Governance terpisah.

Quarterly regulatory horizon report ke Komite Audit Komisaris + Direksi
Impact assessment dilakukan dalam 30 hari setiap regulasi baru yang relevan
Compliance roadmap di-update kuartalan berdasarkan horizon scan

Pagu Anggaran Tahunan

Pagu anggaran tahunan berdasarkan kompleksitas regulasi sektor

Rentang berikut mencakup empat pilar + sertifikasi internal auditor + persiapan audit eksternal. Software GRC (MetricStream, ServiceNow GRC) opsional di luar pagu.

Lingkup	Peserta	Rentang Anggaran	Catatan
Korporat sedang non-keuangan (300-800 karyawan)	Empat pilar dengan fokus UU PDP + ISO 37001 SMAP + sectoral relevan	Rp 400-700 juta/tahun	Tahun pertama dengan fokus literacy + risk ownership + audit fondasi.
Korporat besar non-keuangan (800-2500 karyawan)	Empat pilar lengkap + sertifikasi 10-20 internal auditor + risk culture survey	Rp 700 juta – Rp 1.4 miliar/tahun	Standar rollout 12-bulan empat pilar dengan persiapan audit eksternal ISO 37301 atau ISO 37001.
Bank / Asuransi / Lembaga Keuangan	Empat pilar + modul khusus POJK 17/2023 + BCBS 239 + APU-PPT mendalam	Rp 1.2-2.2 miliar/tahun	POJK 17/2023 ekspektasi risk culture maturity tinggi. BCBS 239 untuk bank sistemik. APU-PPT intensitas tinggi untuk semua line of business.
BUMN dengan ekspektasi GRC tinggi	Empat pilar + ISO 37001 SMAP audit prep + UKAP KPK + RKAP integration	Rp 1-1.8 miliar/tahun	Procurement via SPSE LKPP. Pagu mengikuti PMK 39/2024 dan SBM K/L. ISO 37001 SMAP sertifikasi sebagai bagian dari Kementerian BUMN target.
Anak perusahaan multinasional	Lokalisasi global compliance program + bilingual + alignment global GRC	Rp 800 juta – Rp 1.5 miliar/tahun	Kontrak akhir disetujui regional HQ. Reporting bilingual ID/EN. Alignment dengan FCPA / UK Bribery Act untuk grup global.

Fase Rollout

Fase rollout, pilot 30 hari → wave 90 hari → org-wide 12 bulan

Rollout berfase memungkinkan kalibrasi literacy ke workflow lokal dan persiapan dokumentasi untuk audit eksternal.

Pilot, 30 hari

Bulan 1

Validasi empat pilar dengan 1 BU pilot 30-80 karyawan + persiapan dokumentasi compliance.

Risk register BU pilot dengan 15-30 risk teridentifikasi (inherent + residual)
Literacy 8 jam dilakukan untuk seluruh BU pilot dengan workflow integration
Internal auditor pilot (3-5 orang) menyelesaikan ISO 19011:2018 foundation
Retrospektif pilot dengan kalibrasi modul + risk register template

Wave 1, 90 hari

Bulan 2-4

Scale ke 3 BU prioritas dengan empat pilar + dokumentasi compliance system fondasi.

Risk register hidup di 3 BU prioritas + risk appetite statement draft
Literacy 100% di 3 BU prioritas + Acceptable Use Policy + Data Protection Policy disahkan
Internal auditor gelombang pertama (60% target) ISO 19011:2018 selesai
Compliance Management System (CMS) selaras ISO 37301:2021 draft v1.0

Wave 2-3, 180 hari

Bulan 5-10

Rollout ke seluruh organisasi + sertifikasi audit eksternal opsional + horizon scanning aktif.

100% karyawan literacy + 100% BU risk register hidup
100% internal auditor tersertifikasi ISO 19011:2018
CMS ISO 37301 / SMAP ISO 37001 readiness untuk audit eksternal jika dipilih
Quarterly regulatory horizon report mulai dirilis

Sustaining, 60 hari + renewal

Bulan 11-12 + renewal

Memformalkan compliance & risk sebagai disiplin organisasi permanen.

Capstone report ke Komite Audit Komisaris: risk register update, compliance posture, finding trend
GRC Council triwulanan jadi forum permanen
Audit eksternal ISO 37301 atau ISO 37001 selesai jika dipilih
Rancangan tahun ke-2 dengan fokus advanced (risk quantification, GRC tooling)

Metrik Sukses Org-Wide

Metrik sukses tingkat organisasi, melampaui completion rate e-learning

Pilih 5-7 metrik dari daftar berikut sebelum program dimulai. Risk culture maturity dan audit finding trend adalah metrik utama.

Risk culture maturity score

Meningkat ≥1 level (skala 1-5) dalam 12 bulan

Risk culture survey tervalidasi (IFC Risk Culture / KPMG framework), baseline + Q4

Compliance literacy completion + assessment pass rate

100% completion dalam 12 bulan + ≥85% assessment pass rate

LMS + post-training assessment

Risk register live di seluruh BU

100% BU memiliki risk register live yang di-review minimal kuartalan

Risk register audit + dashboard tracking

Audit finding ditindaklanjuti dalam SLA

≥90% high-risk finding diselesaikan dalam SLA, ≥80% medium-risk

Audit issue tracking system

Whistleblowing channel utilization rate

≥1.5 report per 100 karyawan per tahun (benchmark global)

Whistleblowing channel log (anonim)

Repeat finding compliance

Turun ≥30% dalam 12 bulan (audit-to-audit)

Audit issue tracking system dengan tagging repeat

Internal auditor tersertifikasi ISO 19011:2018

100% internal auditor tersertifikasi dalam 12 bulan

Regulatory horizon scan adoption

100% regulasi baru relevan punya impact assessment dalam 30 hari

Regulatory tracker dengan SLA

Alat Bantu Keputusan

Tema tahunan empat pilar vs E-learning compliance generik vs Sosialisasi unit Compliance saja

Tiga pendekatan yang sering dipilih korporat untuk compliance & risk, dengan profil dampak kapabilitas yang sangat berbeda.

Kriteria	E-learning compliance generik	Tema tahunan empat pilar ★	Sosialisasi unit Compliance saja
Anggaran tahunan tipikal	Rp 100-300 juta	Rp 400 juta – Rp 2.2 miliar	Rp 150-400 juta (in-house)
Workflow-first literacy	Bahasa peraturan	Terkalibrasi per role + workflow	Sebagian
Risk ownership di BU	Tidak ada	Ya, risk register hidup per BU	Tidak
Audit risk-based + ISO 19011	Audit calendar-based	Risk-based + auditor tersertifikasi	Audit ad-hoc
Regulatory horizon scanning	Reaktif	Quarterly scan + impact assessment	Reaktif
Selaras ISO 37301 / SMAP / COSO	Tidak selaras standar	Selaras + audit prep	Sebagian

Alur Kerja Sama

Alur kerja sama Neksus untuk tema compliance & risk setahun

1
Kickoff & GRC maturity diagnostic (4 minggu)
Minggu 1-4
Workshop 2 hari dengan CEO + CCO + CRO + Komite Audit Komisaris + interview 15 BU Head + risk culture survey baseline + audit historical finding analysis. Output: Charter program + maturity assessment + rancangan rollout.
2
Pilot 1 BU 30 hari
Bulan 2
Rollout empat pilar ke 1 BU pilot. Risk register dibangun, literacy 8 jam, internal auditor pilot ISO 19011:2018 foundation. Tim Neksus + GRC Champions BU pilot bekerja berdampingan.
3
Retro pilot & kalibrasi (2 minggu)
Bulan 3 (awal)
Workshop retrospektif. Modul disesuaikan dengan feedback. Risk register template dan CMS framework ISO 37301 diperhalus. Rancangan Wave 1 (3 BU prioritas) disepakati.
4
Wave 1, 3 BU prioritas (90 hari)
Bulan 3-5
Risk register hidup di 3 BU, literacy 100%, internal auditor gelombang 1 ISO 19011:2018, CMS draft v1.0, risk appetite statement draft. Kalibrasi mingguan dengan steering committee.
5
Wave 2-3, seluruh BU + audit prep (180 hari)
Bulan 6-11
Rollout ke seluruh organisasi. Auditor 100% tersertifikasi. CMS ISO 37301 atau SMAP ISO 37001 audit readiness jika dipilih. Quarterly regulatory horizon scan dirilis.
6
Capstone & rancangan tahun ke-2
Bulan 12
Capstone report ke Komite Audit Komisaris dengan risk culture maturity, compliance posture, finding trend, regulatory readiness. Workshop rancangan tahun ke-2 dengan fokus risk quantification + GRC tooling.

Tata Kelola Program

Tata kelola program, siapa, peran apa, ritme apa

Tata kelola jelas mencegah compliance kembali jadi unit isolasi dan menjaga independensi assurance.

Komite Audit Komisaris (Independen)

Triwulanan (selaras siklus audit committee)

Oversight tertinggi compliance & risk capability. Review capstone report tahunan, sahkan audit charter, ratifikasi risk appetite statement. Akuntabel ke pemegang saham + regulator.

Steering Committee (CEO + CCO + CRO + CFO + Komite Audit Chair)

Triwulanan

Sponsor eksekutif. Sahkan kebijakan compliance, alokasi anggaran, prioritas wave, eskalasi konflik antar-BU. Akuntabel ke Komite Audit Komisaris.

GRC Council (CCO + CRO + Head of Internal Audit + Head of Legal + Head of HR + IT Security Lead)

Bulanan

Review risk register update, finding compliance, regulatory horizon scan, dan kebijakan tematik. Cross-functional decision making untuk kasus borderline.

Program Office (GRC Program Manager + L&D Lead + PMO)

Mingguan

Eksekusi operasional. Jadwal training, koordinasi sertifikasi auditor, dashboard GRC bulanan, koordinasi rekanan sertifikasi eksternal.

GRC Champions per BU (1-2 per BU)

Mingguan check-in, bulanan all-champions

Risk owner di BU, koordinator risk register update, peer trainer untuk literacy. Pelatihan 24 jam train-the-trainer + alokasi waktu kerja 10%.

Internal Audit Function (Independen)

Audit per cycle + bulanan finding review

Audit risk-based selaras ISO 19011:2018. Akses langsung ke Komite Audit Komisaris untuk independensi. Reporting tidak melalui Direksi untuk topik sensitif.

Neksus Engagement Team (Account Director + GRC Architect + Lead Auditor Trainer)

Mingguan steering call + onsite per wave

Co-design program, fasilitasi training literacy + risk + audit, sertifikasi ISO 19011 trainer, eskalasi metodologi.

Peserta Sasaran

Siapa yang ikut dari organisasi Anda, desain multi-kohort

Program ini menggerakkan tier governance, BU Head, support function, dan all-employee paralel dengan kurikulum berbeda.

Komite Audit Komisaris

3-5 orang

Briefing tahunan compliance posture, risk culture maturity, dan regulatory horizon. 8 jam per tahun + capstone presentation.

Direksi + Eksekutif (CEO, CCO, CRO, BU Head)

10-25 orang

Steering committee + risk ownership. Modul ISO 37301 + COSO ERM + risk appetite statement. 16 jam per tahun.

BU Head + Senior Manager (Risk Owner)

30-100 orang

Risk ownership BU dengan ISO 31000 framework. Risk register building + reporting cadence. 24 jam.

Compliance Officer + Risk Officer (Line 2)

10-30 orang

Modul deep ISO 37301:2021 CMS, ISO 37001:2016 SMAP, sectoral POJK, dan oversight skill. 40 jam.

Internal Auditor (Line 3)

5-30 orang tergantung skala

Sertifikasi ISO 19011:2018 lead auditor + ISO 37301 compliance audit + risk-based audit methodology. 80 jam + capstone audit nyata.

GRC Champions per BU

1-2 per BU

Train-the-trainer 24 jam untuk peer literacy + risk register maintenance. Alokasi waktu kerja 10%.

All-employee compliance literacy

100% karyawan

Modul 4-8 jam terkalibrasi per role: UU PDP, APU-PPT (relevan), anti-suap, AI ethics, whistleblowing.

Konstelasi Topik

Konstelasi topik Neksus yang membentuk tema ini

Setiap topik adalah modul terstruktur. Tema compliance & risk menjalin beberapa topik menjadi pilar terintegrasi.

Compliance Literacy, Data Protection

Kesadaran Keamanan Siber Karyawan

Modul inti Pilar 1 untuk literacy keamanan informasi + UU PDP. ISO 27001 alignment.

Lihat detail topik

Risk Ownership, Culture Shift

Manajemen Perubahan Organisasi

Pergeseran risk ownership dari Risk Officer ke BU Head = perubahan budaya struktural. Modul change management untuk Pilar 2.

Lihat detail topik

Risk Ownership, Manager Layer

Kepemimpinan untuk Manajer Lini Pertama

Manajer lini sebagai compliance champion lapangan. Tone from the middle. Modul pendukung Pilar 1 + 2.

Lihat detail topik

Audit & Assurance, Reporting

Komunikasi & Presentasi Eksekutif

CCO + CRO + Head of Internal Audit butuh kapabilitas presentasi risk culture maturity + finding trend ke Komite Audit Komisaris.

Lihat detail topik

Mitigasi Risiko Program

Risiko program yang umum gagal, dan mitigasi yang efektif

Risk ownership tetap di Risk Officer, BU Head menolak akuntabilitas

Risk register diisi oleh Risk Officer alone, BU Head menandatangani formal tanpa understanding atau ownership.

Mitigasi: Risk register score masuk KPI BU Head dengan bobot 10-15%. Steering committee triwulanan review risk culture per BU. CEO secara terbuka memberi recognition ke BU dengan risk maturity tertinggi.

Internal Audit kehilangan independensi karena tekanan operasional

Audit finding dihaluskan sebelum dilaporkan ke Komite Audit, atau audit area sensitif dilewati.

Mitigasi: Internal Audit Charter dengan reporting line direct ke Komite Audit Komisaris (bukan via CEO/CFO). Audit Charter di-review oleh Komite Audit tahunan + independen review tiap 3 tahun.

Sertifikasi ISO 37301 / SMAP dipaksakan di tahun pertama tanpa fondasi

Tim menyiapkan dokumentasi audit secara crash; pasca-sertifikasi sistem tidak benar-benar dijalankan; sertifikat formal tanpa effectiveness.

Mitigasi: Tahun pertama fokus pada fondasi (literacy + risk ownership + audit kompetensi). Persiapan audit eksternal direkomendasikan tahun ke-2 setelah fondasi mengakar. Pilot audit internal di tahun pertama untuk readiness.

Compliance literacy gagal karena bahasa peraturan, bukan bahasa workflow

Karyawan 'lulus' e-learning UU PDP tetapi tetap forward email klien ke Gmail pribadi karena literacy tidak terkalibrasi ke konteks pekerjaan.

Mitigasi: Literacy modul dirancang per role dengan use case dari workflow nyata BU tersebut. Co-creation dengan BU Champions. Assessment berbasis skenario, bukan multiple choice peraturan.

Whistleblowing channel mati karena tidak ada kepercayaan

Channel ada tetapi report nol; karyawan tidak yakin perlindungan anonim atau retaliasi.

Mitigasi: Channel di-host oleh third party independen (bukan internal HR/IT), CEO + Komite Audit komunikasi rutin tentang protection, dan publik tracking metric (anonim agregat). Investigasi protokol terdokumentasi.

Regulatory horizon scanning luruh setelah 6 bulan

Quarterly horizon scan dilewati saat tekanan operasional naik; impact assessment regulasi baru tidak dilakukan; korporat terkejut saat enforcement.

Mitigasi: Horizon scan masuk KPI CCO + dedicated regulatory analyst. Cadence kuartalan terjadwal di kalender board. Subscribe ke layanan regulatory monitoring (Compliance.ai atau setara) sebagai input.

Pola Hasil Tipikal

Pola hasil tipikal dari klien serupa

Konteks

Bank menengah 2200 karyawan, POJK 17/2023 expectation tinggi, baseline risk culture maturity level 2 (out of 5), repeat audit finding tinggi.

Intervensi

Tema setahun empat pilar dengan fokus POJK + BCBS 239 + APU-PPT mendalam. Pilot di unit Credit Risk, wave ke Operations + Compliance + Treasury. Sertifikasi 18 internal auditor ISO 19011:2018. Risk register hidup di 12 BU.

Hasil indikatif

Risk culture maturity naik dari level 2 ke 3 dalam 11 bulan. Repeat audit finding turun 38%. POJK off-site supervision review menunjukkan peningkatan risk management framework. APU-PPT compliance posture diakui regulator.

Konteks

BUMN sektor energi 3500 karyawan, target Kementerian BUMN untuk sertifikasi ISO 37001:2016 SMAP, baseline whistleblowing channel low utilization.

Intervensi

Tema setahun integrasi ISO 37001 SMAP dengan UKAP KPK. Pilot di unit Procurement (area risk korupsi tinggi), wave ke seluruh BUMN. Whistleblowing channel di-host third party. Risk owner shift ke BU Head.

Hasil indikatif

ISO 37001:2016 sertifikasi audit selesai dengan zero major finding. Whistleblowing channel utilization naik dari 0.3 ke 2.1 report per 100 karyawan per tahun. Procurement compliance posture diakui di laporan publik Kementerian BUMN.

Konteks

Korporat publik manufaktur 1500 karyawan, persiapan IPO dengan GRC maturity yang dipertanyakan auditor.

Intervensi

Tema setahun fokus ISO 37301:2021 CMS sebagai backbone, ISO 31000 risk register hidup, dan internal audit independen direstrukturisasi. Roadmap 12 bulan untuk auditor eksternal IPO readiness.

Hasil indikatif

GRC readiness assessment auditor eksternal positif. ISO 37301:2021 audit eksternal lulus tahun ke-2 sebagai bagian dari diferensiasi corporate governance vs peer. Komite Audit Komisaris diakui kuat oleh underwriter IPO.

Informasi Procurement

Informasi procurement

Format kontrak
Tema setahun terstruktur (renewable). Pendampingan multi-tahun dengan SOW disepakati per tahun.
Lokasi
Onsite di kantor klien (Jabodetabek tanpa biaya transport tambahan), regional onsite, atau hybrid (kickoff onsite + sesi bi-weekly online + audit training onsite per region).
Bahasa pengantar
Bahasa Indonesia (default) atau bilingual ID/EN untuk korporat multinasional dengan reporting global.
Materi & sertifikat peserta
Modul terstruktur, workbook ISO 37301/37001/31000 + COSO ERM, template risk register + CMS, akses 12 bulan ke alumni resource hub, sertifikat completion + ISO 19011:2018 lead auditor (via partner terakreditasi).
Sertifikasi eksternal opsional
Persiapan audit ISO 37301:2021 CMS, ISO 37001:2016 SMAP, atau certified rekanan untuk Risk Practitioner (FRM, PRMIA). Pendampingan readiness 6-12 bulan ke audit eksternal.
Dokumentasi pajak & e-procurement
Faktur pajak PPN, kwitansi, BAST. Dukungan e-procurement BUMN/pemerintah (SPSE LKPP) tersedia. Pagu SBM K/L untuk kementerian/lembaga.
Termin pembayaran
DP 20% saat kontrak, milestone 30% per wave (3x), pelunasan 20% pasca-capstone tahun ke-1.
Pendampingan opsional
Coaching personal CCO/CRO (paket terpisah), Komite Audit Komisaris briefing series (90 menit triwulanan), GRC tooling implementation support (MetricStream, ServiceNow GRC), dan audit eksternal preparation.

Pertanyaan Umum

Diskusikan rancangan tema compliance & risk capability untuk organisasi Anda

Kirim sektor industri, ukuran organisasi, ekspektasi regulator, dan tantangan GRC yang sedang dihadapi. Tim Neksus mempelajari konteks Anda dan menyiapkan rancangan tema setahun dalam 5 hari kerja.

Empat pilar terintegrasi (literacy · risk ownership · audit · horizon scanning) selaras ISO 37301 + ISO 37001 + ISO 31000 + COSO ERM + UU PDP + APU-PPT + POJK
Pilot 30 hari → Wave 90 hari → Org-wide 12 bulan
Internal auditor sertifikasi ISO 19011:2018 lead auditor
Risk register hidup per BU dengan risk appetite statement disahkan board
Capstone report ke Komite Audit Komisaris dengan risk culture maturity + finding trend + regulatory readiness

Program Compliance & Risk Capability Building Tingkat Organisasi Setahun Penuh

Mengapa compliance & risk harus dirancang sebagai kapabilitas organisasi, bukan checkbox tahunan menjelang audit

Arsitektur empat pilar, Literacy · Risk Ownership · Audit · Horizon Scanning

Pagu anggaran tahunan berdasarkan kompleksitas regulasi sektor

Fase rollout, pilot 30 hari → wave 90 hari → org-wide 12 bulan

Metrik sukses tingkat organisasi, melampaui completion rate e-learning

Tema tahunan empat pilar vs E-learning compliance generik vs Sosialisasi unit Compliance saja

Alur kerja sama Neksus untuk tema compliance & risk setahun

Kickoff & GRC maturity diagnostic (4 minggu)

Pilot 1 BU 30 hari

Retro pilot & kalibrasi (2 minggu)

Wave 1, 3 BU prioritas (90 hari)

Wave 2-3, seluruh BU + audit prep (180 hari)

Capstone & rancangan tahun ke-2

Tata kelola program, siapa, peran apa, ritme apa

Siapa yang ikut dari organisasi Anda, desain multi-kohort

Konstelasi topik Neksus yang membentuk tema ini

Kesadaran Keamanan Siber Karyawan

Manajemen Perubahan Organisasi

Kepemimpinan untuk Manajer Lini Pertama

Komunikasi & Presentasi Eksekutif

Risiko program yang umum gagal, dan mitigasi yang efektif

Pola hasil tipikal dari klien serupa

Informasi procurement

Pertanyaan Umum

Berapa lama hingga risk culture maturity bergerak secara terukur?

Apa perbedaan ISO 37301:2021 dan ISO 37001:2016?

Apakah POJK 17/2023 wajib untuk semua lembaga keuangan?

Bagaimana UU PDP 27/2022 diintegrasikan ke compliance program existing?

Apa yang membedakan program ini dari konsultan GRC besar (PwC, Deloitte, EY, KPMG)?

Bisakah program ini lewat SPSE LKPP untuk BUMN dan instansi pemerintah?

Bagaimana program ini menjaga independensi Internal Audit?

Berapa banyak waktu sponsor eksekutif (CEO, CCO, CRO) yang dibutuhkan?

Apakah Whistleblowing channel harus di-host third party?

Diskusikan rancangan tema compliance & risk capability untuk organisasi Anda