Shadow AI Sudah Masuk ke Perusahaan Kamu, Sadar atau Tidak?

ilustrasi risiko shadow ai di perusahaan

Coba ingat-ingat. 

Dalam sebulan terakhir, apakah ada karyawan di tim kamu yang memakai chatbot AI untuk mengerjakan sesuatu yang sebenarnya tidak pernah dibahas dalam kebijakan IT perusahaan? Atau mungkin kamu sendiri pernah melakukannya, mengunggah dokumen ke platform AI, membiarkan sistem menyortir data, meminta AI merangkum laporan internal yang seharusnya bersifat rahasia?

Kalau jawabannya iya, atau bahkan “tidak tahu”, maka kemungkinan besar perusahaan kamu sudah mengalami apa yang disebut Shadow AI. Dan itu bukan sesuatu yang bisa dibiarkan begitu saja.

Situasinya mungkin terlihat sederhana,

 seorang staf marketing memakai chatbot AI untuk membuat copy campaign lebih cepat. Tim HR menggunakan tools berbasis AI untuk menyortir ratusan CV tanpa pernah melapor ke divisi IT. Di bagian finance, seseorang diam-diam mengunggah spreadsheet ke platform AI karena analisisnya jadi lebih cepat selesai. Semua terasa efisien, bahkan terasa seperti langkah maju yang seharusnya diapresiasi.

Masalahnya, perusahaan tidak tahu kalau itu sedang terjadi.

Dan ketidaktahuan itu sendiri sudah merupakan risiko. Bukan risiko abstrak yang ada di slide presentasi, tapi risiko konkret yang menyentuh data pelanggan, kepatuhan regulasi, dan reputasi bisnis yang dibangun bertahun-tahun. Semua itu bisa terdampak dari serangkaian keputusan kecil yang tampaknya tidak berbahaya.

Apa Itu Shadow AI dan Kenapa Ini Berbeda dari Masalah IT Biasa?

Shadow AI adalah penggunaan aplikasi, model, atau sistem berbasis kecerdasan buatan tanpa pengawasan resmi, tanpa persetujuan, dan tanpa tata kelola yang memadai dari organisasi. Kalau dulu kita akrab dengan istilah shadow IT, karyawan memakai software pribadi tanpa izin divisi IT, maka Shadow AI adalah versi yang jauh lebih kompleks dan jauh lebih sulit dideteksi.

Kenapa lebih kompleks? Karena AI bukan sekadar software yang membuka file atau mengirim email. AI bisa mengolah data sensitif secara massal, membuat keputusan otomatis berdasarkan pola yang bahkan tidak dipahami penggunanya, menyimpan informasi yang dimasukkan ke sistemnya, menghasilkan analisis bisnis yang bisa mempengaruhi keputusan strategis, dan membantu proses seperti coding, laporan keuangan, sampai perumusan strategi operasional. Semuanya dalam satu sesi, dalam satu tab browser, tanpa jejak yang jelas di sistem internal perusahaan.

Ada dimensi lain yang juga perlu dipahami, skala dan kecepatannya. Software konvensional yang dipakai tanpa izin, misalnya aplikasi manajemen proyek yang dipasang sendiri, biasanya terbatas pada satu pengguna, satu perangkat, dengan dampak yang relatif terlokalisasi. 

Shadow AI bisa beroperasi di seluruh divisi sekaligus, memproses data dalam jumlah besar, dan menghasilkan output yang langsung mempengaruhi keputusan bisnis. Dampaknya lebih luas, dan jejak auditnya nyaris tidak ada.

Di 2026, masalah ini meningkat signifikan bukan karena karyawan tiba-tiba jadi tidak patuh. Tapi karena tools AI semakin mudah diakses, semakin murah bahkan gratis, dan tampilannya cukup meyakinkan untuk membuat siapa pun merasa itu “aman dipakai”. Platform AI generasi terbaru menawarkan fitur yang dulu hanya bisa dilakukan oleh tim data science berpengalaman, dan sekarang bisa dijalankan siapa saja dengan beberapa klik.

Hasilnya? Seluruh lapisan organisasi, dari tim kreatif sampai divisi operasional, mulai menggunakannya. Sebagian dengan niat yang sepenuhnya baik.

Baca juga : Banyak Implementasi COBIT 2019 Gagal karena Salah Menentukan Prioritas Governance

Kenapa Perusahaan Sering Tidak Sadar Ini Sedang Terjadi?

Ini bagian yang paling menarik sekaligus paling mengkhawatirkan.

Shadow AI hampir tidak pernah dimulai dari niat buruk. Tidak ada karyawan yang bangun pagi dan berpikir, “Hari ini aku akan membocorkan data perusahaan.” Yang terjadi jauh lebih manusiawi dari itu. Seseorang punya deadline ketat. Ada pekerjaan yang bisa diselesaikan dalam dua jam kalau memakai AI, atau sepuluh jam kalau manual. Pilihan itu nyaris tidak perlu diperdebatkan.

Pola pikirnya mudah ditebak “Cuma pakai sebentar kok.” Atau, “Semua orang juga pakai AI sekarang, masa kita tidak boleh?” Atau yang paling klasik “Lebih cepat ini daripada minta approval IT yang belum tentu direspons hari ini.”

Dan jujur saja, siapa yang tidak akan berpikir seperti itu?

Perusahaan sering melewatkan Shadow AI bukan karena tidak peduli, tapi karena tanda-tandanya tidak terlihat dari permukaan. Akun-akun AI premium yang dibayar dari kantong pribadi karyawan tidak muncul di laporan pengeluaran IT. Data internal yang dimasukkan ke platform AI publik tidak meninggalkan jejak di sistem monitoring jaringan perusahaan. Kebijakan penggunaan AI yang tidak pernah ditulis tidak bisa dilanggar secara teknis. Dan divisi IT yang tidak tahu tools apa yang sedang dipakai tim lain tidak punya dasar untuk melapor adanya anomali.

Kondisi ini menciptakan blind spot yang lebar di tengah-tengah organisasi, persis di area yang harusnya paling ketat dijaga, data dan pengambilan keputusan. Dan karena tidak ada yang melanggar aturan secara teknis, aturannya memang tidak ada, tidak ada alarm yang berbunyi, tidak ada sistem yang mengirim notifikasi, tidak ada laporan anomali yang masuk ke meja CTO.

Yang ada hanyalah aktivitas yang berlangsung diam-diam, semakin meluas, sampai suatu hari sesuatu yang tidak diinginkan terjadi dan semua orang tiba-tiba bertanya: sejak kapan ini berjalan?

Risiko yang Paling Sering Diremehkan

Mari bicara konkret. Risiko Shadow AI bukan sekadar soal potensi, sebagian sudah jadi realita yang merugikan banyak organisasi.

Kebocoran data sensitif adalah yang paling nyata. Setiap kali seseorang memasukkan informasi ke sistem AI, informasi itu menjadi input yang diproses, dan dalam banyak platform, informasi itu bisa tersimpan di server pihak ketiga. Ketika staf customer service mengunggah database pelanggan untuk keperluan respons otomatis, data pelanggan itu sudah berpindah tangan secara de facto, meskipun tidak ada yang menyadarinya. Ketika tim legal meminta AI merangkum kontrak rahasia, isi kontrak itu sudah ada di luar batas sistem yang dikontrol perusahaan.

Jenis Data yang RentanContoh Penggunaan UmumPotensi Dampak
Data pelangganInput ke AI untuk analisis atau respons otomatisPelanggaran privasi, risiko hukum
Dokumen finansialAnalisis laporan keuangan menggunakan AIKebocoran informasi strategis
Kontrak dan dokumen legalRingkasan atau penerjemahan via AIHilangnya kerahasiaan informasi
Intellectual propertyPengembangan produk atau coding berbantuan AIRisiko paten dan kompetitif
Strategi bisnisBrainstorming atau perencanaan via AIBocor ke kompetitor melalui platform pihak ketiga

Selain kebocoran data, ada risiko yang lebih halus tapi tidak kalah serius, keputusan yang dibuat AI tanpa transparansi yang cukup. Bayangkan divisi HR yang menggunakan AI untuk menyaring kandidat, lalu sistem itu ternyata memiliki bias yang tidak disadari, terhadap gender tertentu, latar belakang tertentu, atau pola yang tidak relevan dengan kompetensi kerja. Siapa yang bertanggung jawab? Hukumnya jelas: perusahaan. Bukan AI-nya, bukan vendor-nya. Dan membuktikan bahwa keputusan itu “tidak bias” menjadi sangat sulit kalau tidak ada audit trail yang terdokumentasi.

Isu kepatuhan regulasi juga makin nyata. Regulasi terkait AI berkembang cepat di banyak wilayah. Organisasi mulai diwajibkan menjelaskan bagaimana AI digunakan, data apa yang diproses, risiko apa yang sudah diidentifikasi, dan siapa pihak yang bertanggung jawab atas setiap keputusan berbasis AI. Tanpa governance yang jelas, menjawab pertanyaan-pertanyaan itu dalam satu audit saja bisa jadi mimpi buruk.

Baca juga : Era AI Tiba, Inilah Alasan Anda Wajib Beralih ke ITIL v5 

Di Mana COBIT 2019 Masuk ke Dalam Gambar Ini?

Banyak yang langsung mengasosiasikan COBIT dengan audit IT atau compliance checklist yang panjang dan melelahkan. Itu tidak sepenuhnya salah, tapi juga tidak menangkap gambaran yang lebih besar.

COBIT 2019 bukan framework khusus AI. Tapi justru di situlah relevansinya dalam konteks Shadow AI. Karena masalah Shadow AI pada dasarnya bukan masalah teknologi, ini masalah governance. Masalah tentang siapa yang bertanggung jawab, proses apa yang ada, kontrol apa yang berjalan, dan bagaimana evaluasi dilakukan terhadap penggunaan teknologi secara keseluruhan.

COBIT 2019 membantu organisasi menjawab pertanyaan mendasar yang sering tidak sempat dirumuskan: bagaimana kita memastikan bahwa teknologi, termasuk AI, digunakan dengan cara yang mendukung tujuan bisnis, bukan menimbulkan risiko tersembunyi yang baru disadari setelah terjadi insiden?

Yang membuat COBIT relevan bukan karena ia punya modul khusus tentang generative AI atau kebijakan LLM. Relevansinya justru karena prinsip-prinsipnya cukup fundamental untuk diterapkan pada teknologi apa pun, termasuk yang lahir setelah framework itu sendiri dirilis. Governance tetaplah governance, apakah yang diatur itu infrastruktur jaringan, sistem ERP, atau model AI yang dipakai seluruh divisi tanpa koordinasi.

Framework ini memberi struktur untuk membangun akuntabilitas, mendefinisikan proses, menetapkan kontrol, dan menjalankan evaluasi secara berkelanjutan. Semua elemen itu adalah apa yang paling dibutuhkan untuk mengendalikan Shadow AI.

Bagaimana COBIT 2019 Membantu Secara Praktis?

Menetapkan Siapa yang Bertanggung Jawab

Salah satu akar masalah Shadow AI adalah ketidakjelasan akuntabilitas. Ketika tidak ada yang secara eksplisit bertugas mengawasi penggunaan AI di organisasi, penggunaan itu tumbuh liar tanpa batas. COBIT 2019 membantu menetapkan struktur yang jelas: siapa pemilik risiko AI, siapa yang berwenang menyetujui atau menolak penggunaan tools tertentu, siapa yang melakukan monitoring, dan siapa yang mengaudit implementasi secara berkala.

Ketika akuntabilitas sudah jelas, penggunaan AI tidak lagi bisa berlangsung dalam kegelapan. Ada orang yang namanya tertera, ada proses yang harus dilalui.

Pendekatan Berbasis Risiko, Bukan Larangan Massal

Salah satu kesalahan umum yang dilakukan organisasi saat menyadari Shadow AI adalah bereaksi berlebihan: melarang semua penggunaan AI secara total. Pendekatan itu tidak hanya tidak realistis di 2026, justru kontraproduktif, karena karyawan akan tetap mencari jalan lain yang lebih tersembunyi.

COBIT mendorong pendekatan yang lebih terukur: penilaian risiko berdasarkan konteks penggunaan.

Jenis Penggunaan AITingkat RisikoRekomendasi Pendekatan
Brainstorming konten marketingRendahIzinkan dengan panduan minimal
Analisis data non-rahasiaRendah-SedangIzinkan dengan dokumentasi tools
Pembuatan laporan internalSedangPerlu review dan persetujuan IT
Analisis data pelangganTinggiPerlu penilaian risiko dan kontrak vendor
Pengambilan keputusan finansialSangat TinggiPerlu audit trail dan oversight manajemen
Pemrosesan dokumen legal rahasiaSangat TinggiPerlu approval khusus dan pembatasan ketat

Dengan peta seperti ini, perusahaan bisa bergerak jauh lebih efisien. Tidak semua AI diperlakukan dengan tingkat keparanahan yang sama. Dan tim yang butuh AI untuk pekerjaan berisiko rendah tidak harus melewati proses birokrasi yang sama panjangnya dengan yang akan memproses data pelanggan berskala besar.

Kebijakan yang Realistis, Bukan yang Sekedar Ada

COBIT juga mendorong organisasi untuk membangun kebijakan penggunaan AI yang konkret dan operasional, bukan dokumen panjang yang tidak pernah dibaca siapa pun. Kebijakan yang efektif harus menjawab pertanyaan praktis yang dihadapi karyawan sehari-hari.

KategoriYang DiperbolehkanYang Tidak Diperbolehkan
KontenBrainstorming, drafting non-rahasia, ide kampanyeDokumen strategi bisnis, informasi kompetitif
DataAnalisis data anonim atau data publikUpload database pelanggan, laporan finansial
ProsesAutomasi tugas administratif rutinKeputusan hukum, keputusan rekruitmen final
ToolsPlatform yang sudah diverifikasi dan disetujui ITTools baru tanpa review keamanan

Ketika panduan seperti ini tersedia dan dikomunikasikan dengan jelas, karyawan tidak lagi harus menebak-nebak. Dan lebih penting dari itu, perusahaan punya dasar untuk menindaklanjuti kalau aturannya dilanggar.

Monitoring Berkelanjutan, Bukan Audit Tahunan yang Dilupakan

COBIT menekankan bahwa governance bukan sesuatu yang dilakukan sekali lalu selesai. Ini bukan seperti memperbarui kebijakan lalu menyimpannya di folder shared drive yang tidak pernah dibuka lagi.

Lanskap ancaman AI berubah terlalu cepat untuk pendekatan itu. Platform yang dianggap aman hari ini bisa mengubah kebijakan privasinya besok. Model AI yang dipakai vendor bisa diperbarui dengan cara yang mengubah karakteristik risikonya. Regulasi baru bisa muncul dan membuat praktik yang sebelumnya dianggap biasa menjadi masalah kepatuhan yang serius.

Karena itu, monitoring dan evaluasi berkala bukan pilihan, itu bagian dari sistem yang harus berjalan secara rutin. COBIT memberi kerangka untuk menjadikan evaluasi itu sistematis, bukan reaktif. Ada perbedaan besar antara organisasi yang melakukan review karena ada insiden, dengan organisasi yang melakukan review karena memang ada jadwalnya dan ada orang yang bertanggung jawab memastikan review itu benar-benar terjadi.

Frekuensi ReviewFokus Evaluasi
BulananDaftar tools AI yang digunakan, laporan anomali penggunaan
KuartalanPenilaian ulang risiko tools yang sudah disetujui, update kebijakan
TahunanAudit menyeluruh, penyesuaian dengan perubahan regulasi
Ad-hocRespons terhadap insiden, perubahan besar di vendor atau platform

Ketika Shadow AI Hampir Jadi Krisis

Ini bukan nama perusahaan nyata, tapi scenarionya sangat realistis.

Bayangkan sebuah perusahaan retail skala menengah. Tim operasional mereka mulai menggunakan platform AI gratis untuk memprediksi tren pembelian pelanggan. Hasilnya bagus, forecast penjualan meningkat, perencanaan stok jadi lebih akurat. Manajemen senang. Tim makin percaya diri.

Yang tidak ada yang sadari.

selama berbulan-bulan, histori transaksi pelanggan terus dimasukkan ke sistem AI tersebut sebagai bahan analisis. Tidak ada yang pernah memeriksa syarat dan ketentuan platform itu secara serius. Tidak ada yang mempertanyakan ke mana data itu disimpan atau bagaimana digunakan oleh vendor.

Lalu vendor mengubah kebijakan privasinya.

Audit internal yang awalnya hanya rutin menemukan fakta bahwa data pelanggan, dalam jumlah yang tidak kecil, telah diproses oleh sistem eksternal yang tidak pernah mendapat approval dari tim legal, tidak pernah masuk dalam daftar vendor yang disetujui, dan tidak pernah melewati penilaian risiko apa pun.

Konsekuensinya berlapis-lapis. Ada investigasi internal yang memakan waktu dan biaya. Ada risiko hukum yang harus dikonsultasikan dengan pengacara. Ada laporan kepada regulator. Dan yang paling sulit diperbaiki dalam jangka pendek: kepercayaan pelanggan yang mulai dipertanyakan begitu isu ini bocor ke publik.

Tahap yang Seharusnya AdaKondisi AktualDampak yang Terjadi
Penilaian risiko sebelum adopsi toolsTidak adaPlatform tidak pernah dievaluasi keamanannya
Approval data governanceTidak adaData pelanggan masuk sistem eksternal tanpa izin
Klasifikasi sensitivitas dataTidak adaTidak ada batas data mana yang boleh dipakai
Monitoring vendor riskTidak adaPerubahan kebijakan vendor tidak terdeteksi
Audit trail penggunaan AITidak adaTidak bisa membuktikan kepatuhan saat diperiksa

Dengan pendekatan governance berbasis COBIT 2019, setiap satu dari lima langkah itu seharusnya sudah ada sebelum tools pertama kali dipakai. Bukan untuk memperlambat inovasi, tapi untuk memastikan inovasi itu tidak membawa bom waktu yang meledak di kemudian hari.

Baca juga : Fokus Inti dan Perbedaan Utama COBIT 2019 vs ITIL v4

Apakah Perusahaan Harus Takut pada AI?

Tidak. Pertanyaan itu salah rumusan.

Yang sebenarnya perlu ditakuti bukan AI-nya, tapi penggunaan AI tanpa struktur yang memadai. Ini perbedaan yang penting, karena implikasi praktisnya sangat berbeda. 

Kalau yang ditakuti adalah AI itu sendiri, responsnya adalah melarang. Dan melarang AI di 2026 bukan hanya tidak realistis, itu resep untuk menciptakan Shadow AI yang lebih besar, lebih tersembunyi, dan lebih sulit dikendalikan. Karyawan akan tetap mencari jalan lain; bedanya, jalur itu jadi lebih tidak terlihat oleh organisasi.

Kalau yang ditakuti adalah ketidakadaan governance, responsnya adalah membangun tata kelola yang tepat. Dan itu adalah sesuatu yang sangat bisa dilakukan, meskipun tidak bisa dalam semalam.

Mindset yang lebih produktif adalah “enable, not prohibit”, berikan akses, tapi dengan aturan yang jelas. Dorong inovasi, tapi pastikan ada pagar keamanan yang berfungsi. Percayakan karyawan untuk menggunakan AI secara produktif, tapi bangun sistem yang bisa memverifikasi bahwa kepercayaan itu tidak disalahgunakan, bahkan tanpa disengaja.

Ini bukan soal mencurigai karyawan atau memperlakukan mereka seperti potensi ancaman internal. Ini soal membangun sistem yang melindungi semua pihak, termasuk karyawan yang dengan itikad baik menggunakan AI tapi tidak tahu risiko apa yang mereka bawa tanpa disadari.

 Karena dalam banyak kasus, orang yang mengunggah database pelanggan ke platform AIgratis tidak berniat jahat. Mereka hanya tidak tahu. Dan ketidaktahuan itu adalah sesuatu yang bisa dan harus diatasi oleh organisasi, bukan dihukum.

Ke Mana Arahnya, 2026 dan Seterusnya

Pertanyaan yang relevan untuk beberapa tahun ke depan bukan lagi “apakah perusahaan kamu memakai AI?” Hampir semua sudah, dalam satu bentuk atau lainnya. Pertanyaan yang lebih penting adalah, seberapa matang tata kelola AI di organisasimu?

Karena di lingkungan bisnis yang makin kompetitif, kemampuan untuk memanfaatkan AI secara cepat memang jadi keunggulan nyata. Tapi keunggulan itu rapuh kalau tidak dibangun di atas fondasi governance yang solid. 

Perusahaan yang paling cepat mengadopsi AI tapi paling lambat membangun struktur kontrolnya justru yang paling rentan mengalami insiden besar, dan ketika insiden itu terjadi, keunggulan kompetitif yang dibangun selama berbulan-bulan bisa runtuh dalam hitungan minggu.

Ada tren yang cukup jelas terlihat, regulasi terkait AI akan terus bertambah dan makin ketat. Banyak yurisdiksi sudah mulai mewajibkan dokumentasi yang lebih detail tentang penggunaan AI, audit berkala, dan mekanisme akuntabilitas yang jelas. 

Perusahaan yang sudah punya fondasi governance dari sekarang akan jauh lebih siap menghadapi tuntutan regulasi itu dibanding yang harus membangun semuanya dari nol saat regulasi sudah berlaku.

Di sisi lain, ekspektasi pelanggan juga bergeser. Transparansi tentang bagaimana data mereka digunakan, termasuk apakah AI terlibat di dalamnya, mulai jadi sesuatu yang pelanggan pertanyakan secara aktif. Bukan hanya di industri finansial atau kesehatan yang memang sudah sangat ketat, tapi di hampir semua sektor.

Yang akan bertahan dan berkembang adalah organisasi yang berhasil menyeimbangkan keduanya: agresif dalam pemanfaatan, tapi disiplin dalam tata kelola. Dan framework seperti COBIT 2019 memberi fondasi struktural untuk mencapai keseimbangan itu, bukan dengan mengunci inovasi, tapi dengan memastikan inovasi punya rel yang aman untuk berjalan.

Penutup

Shadow AI di perusahaan bukan fenomena yang akan hilang dengan sendirinya. Ia akan terus tumbuh selama AI makin mudah diakses dan selama ada gap antara kebutuhan produktivitas karyawan dengan kecepatan organisasi membangun kebijakan yang relevan. Gap itu, di banyak perusahaan, masih sangat lebar.

Yang paling perlu dipahami adalah ini,

Shadow AI tidak muncul karena karyawan tidak patuh. Ia muncul karena organisasi belum menyediakan jalur yang jelas untuk menggunakan AI secara bertanggung jawab. Ketika jalur resmi itu tidak ada atau terlalu lambat, orang akan mencari jalan lain. Itu bukan kelemahan karakter, itu respons manusia yang sangat wajar.

Tanggung jawab untuk mengisi kekosongan itu ada di sisi organisasi. Dan alat untuk melakukannya sudah tersedia, salah satunya COBIT 2019, yang bisa menjadi kerangka kerja untuk membangun governance AI yang terstruktur, terukur, dan berkelanjutan.

Pada akhirnya, pertanyaan paling relevan yang bisa diajukan manajemen kepada diri mereka sendiri bukan “apakah kita sudah menggunakan AI?” Pertanyaan yang lebih penting, dan lebih jujur, adalah: apakah kita masih memegang kendali atas AI yang sedang digunakan oleh seluruh organisasi kita, termasuk yang kita tidak tahu sedang terjadi?

Kalau jawabannya belum pasti, itu bukan alasan untuk panik. Tapi itu adalah sinyal yang cukup jelas bahwa ada pekerjaan rumah yang perlu segera dimulai. Karena semakin lama ditunda, semakin dalam akar Shadow AI itu tumbuh, dan semakin mahal biayanya nanti.

Rate this post

Artikel Terbaru

ITIL Version 5 vs ITIL 4: Apakah Benar Framework Ini Sudah Berubah, atau Kita yang Salah Kaprah?

Jangan Asal Investasi! Panduan Memilih Sertifikasi ITIL, COBIT, vs TOGAF Agar Modalmu Tak Sia-Sia 

Perusahaan Terjebak Shadow AI? Selamatkan Bisnis Anda dengan Integrasi COBIT, TOGAF, dan ITIL