Pernah membayangkan sistem AI yang tidak hanya menjawab pertanyaan atau menganalisis data, tetapi juga mengambil keputusan, menjalankan proses bisnis, bahkan berinteraksi langsung dengan sistem lain, tanpa menunggu instruksi manusia setiap kali? Bukan fiksi ilmiah lagi. Banyak enterprise sekarang sedang bergerak ke arah sana, perlahan tapi pasti.
Inilah yang disebut era Agentic AI.
Dan bersamaan dengan kemampuannya yang makin mengagumkan, muncul pula sederet risiko yang tidak bisa diabaikan begitu saja. Keputusan bias, kebocoran data, kegagalan model, pertanggungjawaban yang kabur, semua bisa terjadi ketika AI mulai bekerja lebih mandiri.
Banyak organisasi terlalu sibuk mengejar efisiensi lewat transformasi digital sampai lupa menyiapkan pondasi tata kelola yang solid.
Di sinilah percakapan tentang AI governance framework jadi sangat relevan. Bukan soal compliance semata, ini tentang bagaimana enterprise memastikan sistem AI tetap aman, transparan, akuntabel, dan selaras dengan arah bisnis yang sebenarnya.
Salah satu framework yang kembali mendapat sorotan adalah COBIT 2019.
Meski bukan lahir khusus untuk AI, framework tata kelola TI ini punya prinsip-prinsip yang ternyata sangat cocok diterapkan pada konteks sistem AI yang makin kompleks dan makin otonom.Kenapa justru COBIT 2019? Jawabannya ternyata lebih menarik dari yang terlihat di permukaan.
Ketika AI Bukan Lagi Eksperimen
Beberapa tahun lalu, AI lebih banyak hidup di pinggiran bisnis. Tim marketing pakai AI untuk segmentasi pelanggan. HR mencoba screening CV otomatis. Customer service mengadopsi chatbot sederhana. Kalau gagal, konsekuensinya masih bisa ditoleransi, paling buruk, kampanye jadi kurang efektif.
Situasinya sekarang berbeda total.
AI sudah masuk ke pusat operasi bisnis, ke area yang jauh lebih strategis. Sistem predictive analytics membantu CFO memproyeksikan cash flow. Model machine learning dipakai rumah sakit untuk menganalisis kemungkinan penyakit pasien. Beberapa perusahaan logistik bahkan menggunakan AI untuk mengoptimalkan rute pengiriman secara real time. Di industri finansial, AI sudah memengaruhi keputusan kredit, deteksi fraud, hingga pengelolaan risiko portofolio investasi.
Semakin tinggi posisi AI dalam rantai keputusan bisnis, semakin besar pula kebutuhan terhadap pengawasan yang terstruktur. Kalau sebelumnya kesalahan AI hanya berdampak pada campaign marketing yang kurang efektif, sekarang kesalahan yang sama bisa berimbas pada ratusan ribu keputusan kredit atau operasi supply chain yang menentukan jalannya bisnis secara keseluruhan.
Itulah kenapa istilah enterprise AI governance, AI risk management, dan responsible AI framework makin sering muncul dalam rapat-rapat tingkat direksi, bukan hanya di forum teknologi seperti biasanya.
Baca juga : Shadow AI Sudah Masuk ke Perusahaan Kamu, Sadar atau Tidak?
Masalah yang Muncul Ketika Tidak Ada Tata Kelola
Bayangkan skenario berikut. Sebuah perusahaan asuransi menggunakan model AI untuk menilai profil risiko calon nasabah. Model berjalan baik selama beberapa bulan, sampai suatu hari ditemukan bahwa rekomendasi sistem secara tidak proporsional menolak kelompok demografis tertentu. Penyebabnya? Dataset pelatihan yang tidak representatif.
Kerugiannya bukan hanya finansial. Kepercayaan nasabah runtuh. Regulator mulai menyelidiki. Reputasi perusahaan terdampak.
Ini bukan skenario hipotetis. Kasus semacam ini sudah terjadi di berbagai industri. Dan persoalannya, ketika tidak ada governance yang jelas, tidak ada yang bisa menjawab pertanyaan sederhana: siapa yang bertanggung jawab?
Enterprise juga harus menghadapi pertanyaan yang makin sering datang dari pelanggan dan regulator.
Apakah keputusan sistem dapat dijelaskan?
Apakah penggunaan data memenuhi aturan privasi yang berlaku?
Siapa yang mengawasi performa model setelah deployment?
Tanpa jawaban yang sistematis untuk pertanyaan-pertanyaan ini, perusahaan sedang bermain dengan api.
Fenomena yang tidak kalah mengkhawatirkan adalah shadow AI, ketika tim-tim internal menggunakan model AI tanpa standar keamanan atau governance yang konsisten. Satu divisi memakai alat generatif AI untuk drafting kontrak hukum, divisi lain memanfaatkan model terbuka untuk analisis data pelanggan, tanpa ada yang benar-benar tahu apakah data yang diproses sudah aman atau tidak.
Apa Itu Agentic AI, dan Kenapa Risikonya Berbeda
Untuk memahami mengapa governance AI makin mendesak, perlu dipahami dulu perbedaan mendasar antara generasi AI yang ada saat ini.
| Jenis Teknologi | Karakteristik Utama | Contoh Penggunaan |
| Automation | Menjalankan rule-based process secara berulang | RPA untuk entri data |
| Generative AI | Membuat konten, insight, atau rekomendasi | Chatbot, penulisan konten |
| Agentic AI | Bertindak semi-otonom untuk mencapai tujuan tertentu | Procurement agent, legal review agent |
Kalau generative AI bisa dianggap sebagai asisten pintar yang memberikan jawaban, Agentic AI lebih mirip pegawai digital yang mulai bekerja sendiri. Ia bisa mengingat konteks, merencanakan langkah, mengambil tindakan, bahkan berkolaborasi dengan tools lain tanpa instruksi manual di setiap tahapan.
Misalnya, AI agent pada divisi procurement dapat menganalisis kebutuhan stok, membandingkan vendor, mengirim permintaan penawaran, merekomendasikan pembelian, bahkan menjalankan approval otomatis berdasarkan aturan tertentu, semuanya dalam satu alur kerja yang mengalir tanpa intervensi manusia di setiap titik.
Hasilnya? Efisiensi yang luar biasa. Tapi juga risiko yang jauh lebih kompleks.
Risiko terbesar di era Agentic AI bukan hanya soal kesalahan teknis model. Justru yang sering lebih berbahaya adalah ketika sistem bertindak secara technically correct, tetapi keputusannya secara bisnis justru merugikan. Atau ketika tidak ada jalur yang jelas untuk melacak mengapa suatu keputusan diambil. Semakin tinggi otonomi sistem, semakin tinggi pula kebutuhan terhadap kontrol yang terstruktur.
| Risiko | Dampak Bisnis | Tingkat Urgensi |
| Bias algoritma | Diskriminasi keputusan, reputasi buruk, masalah hukum | Tinggi |
| Pelanggaran privasi data | Denda regulasi, kepercayaan pelanggan anjlok | Sangat Tinggi |
| Hallucination AI | Informasi salah yang memengaruhi keputusan bisnis | Tinggi |
| Rendahnya explainability | Sulit diaudit, tidak transparan bagi regulator | Tinggi |
| Autonomous action risk | Kesalahan operasional skala besar tanpa pengawasan | Sangat Tinggi |
| Model drift | Performa AI menurun secara diam-diam pasca deployment | Sedang–Tinggi |
Governance bukan lagi opsional dalam konteks ini. Ia menjadi infrastruktur dasar yang harus dibangun sebelum sistem makin liar dan makin kompleks.
Baca juga : Manusia Bisa Hidup 1.000 Tahun Mulai 2050 Berkat AI, Ini Fakta yang di Ungkap Ilmuwan
Mengapa COBIT 2019 Jadi Pilihan Fondasi
COBIT 2019 bukan framework yang lahir untuk AI, dan ini penting dipahami sejak awal supaya ekspektasinya tepat. COBIT adalah framework IT governance dan management yang dikembangkan ISACA untuk membantu organisasi memastikan teknologi mendukung tujuan bisnis, mengelola risiko, dan menghasilkan nilai secara konsisten.
Lalu kenapa framework ini relevan untuk AI?
Sederhana saja. AI pada akhirnya tetap bagian dari ekosistem enterprise technology. Ia membutuhkan pengambilan keputusan yang jelas, proses yang terstruktur, kontrol internal, ownership, pengukuran, dan akuntabilitas. Persis area yang menjadi kekuatan utama COBIT 2019.
Yang membuat COBIT menarik adalah pendekatannya berbasis governance objectives yang fleksibel. Organisasi dapat menyesuaikan kontrol berdasarkan konteks bisnis, profil risiko, hingga tingkat maturitas teknologi yang dimiliki. Tidak ada solusi one-size-fits-all di sini. Perusahaan manufaktur dengan AI supply chain punya kebutuhan governance yang berbeda dibanding bank dengan AI underwriting, dan COBIT mengakomodasi perbedaan itu tanpa memaksakan pendekatan tunggal.
| Prinsip COBIT 2019 | Relevansi terhadap AI Governance |
| Governance Objectives | Menentukan tujuan AI yang selaras dengan tujuan bisnis |
| Decision Rights | Memperjelas siapa yang bertanggung jawab atas setiap keputusan AI |
| Risk Optimization | Mengelola risiko AI secara proporsional, bukan menghindarinya |
| Value Delivery | Memastikan AI menghasilkan nilai nyata, bukan sekadar teknologi keren |
| Performance Measurement | Mengukur efektivitas dan akurasi sistem AI secara terstruktur |
| Stakeholder Alignment | Memastikan seluruh pihak berkepentingan bergerak dengan bahasa yang sama |
Salah satu masalah paling umum dalam implementasi AI enterprise adalah kebingungan soal tanggung jawab. Tim data science membuat model, tetapi siapa yang bertanggung jawab ketika output salah? CIO? CRO? Product owner? Atau business lead yang memutuskan implementasi?
COBIT membantu menjelaskan decision rights secara tegas. Setiap keputusan punya pemilik. Setiap proses punya governance checkpoint. Dalam konteks Agentic AI, di mana sistem tidak lagi pasif, pendekatan ini bukan hanya berguna, melainkan krusial.
Bias, Privasi, dan Explainability: Tiga Persoalan yang Sering Diremehkan
Kalau bicara risiko AI, tiga isu hampir selalu muncul bersamaan: bias algoritma, privasi data, dan explainability. Banyak yang mengira ini persoalan teknis yang cukup diselesaikan oleh tim engineering. Nyatanya, ketiganya adalah persoalan governance, dan berdampak langsung pada reputasi serta legalitas bisnis.
Bias AI terjadi ketika model menghasilkan keputusan yang tidak adil karena data pelatihan yang tidak representatif, atau karena asumsi tersembunyi dalam cara algoritma dirancang.
Kasus sistem rekrutmen otomatis yang secara tidak sengaja mendiskriminasi kelompok tertentu adalah contoh nyata dampak bias ini. Konsekuensinya tidak hanya internal, bisa memicu krisis reputasi, tekanan publik, hingga investigasi regulator yang memakan waktu dan biaya.
COBIT membantu mengatasi persoalan ini lewat prinsip risk optimization dan kontrol governance yang lebih jelas.
Organisasi dapat membangun mekanisme validasi model, quality assurance data, hingga review berkala untuk memastikan sistem tetap adil dan relevan seiring berjalannya waktu, bukan hanya saat pertama kali diluncurkan.
Soal privasi data, tantangannya makin berat. AI sangat bergantung pada data, dan sering kali data itu sensitif: informasi pelanggan, riwayat transaksi, data kesehatan, atau pola perilaku pengguna. Dengan regulasi perlindungan data yang makin ketat di berbagai negara, perusahaan tidak bisa sembarangan memanfaatkan data tanpa governance yang jelas dan terdokumentasi.
Kemudian explainability. Bayangkan pelanggan menanyakan kenapa pengajuan kreditnya ditolak, lalu perusahaan hanya bisa menjawab, “AI memutuskan begitu.” Itu tidak cukup, baik secara etis maupun legal di banyak yurisdiksi. Organisasi harus mampu menjelaskan logika di balik keputusan sistem secara masuk akal dan terdokumentasi. COBIT mendorong enterprise untuk memiliki proses dokumentasi yang kuat, kontrol audit yang terstruktur, serta ownership yang jelas, agar keputusan AI tidak menjadi kotak hitam bahkan bagi tim internal perusahaan sendiri.
Baca juga : Banyak Implementasi COBIT 2019 Gagal karena Salah Menentukan Prioritas Governance
Siapa yang Bertanggung Jawab Ketika AI Salah?
Di era Agentic AI, pertanyaan soal akuntabilitas jadi makin rumit. Ketika AI mulai bertindak lebih mandiri, memetakan tanggung jawab bukan perkara mudah.
Misalnya, sebuah AI procurement agent secara otomatis memilih vendor yang ternyata melanggar compliance perusahaan. Kesalahan ada di mana? Di model AI-nya? Di tim engineering yang membangunnya? Di procurement lead yang menyetujui deployment? Atau di pimpinan bisnis yang menentukan scope otoritasnya?
COBIT 2019 membantu menjawab kebingungan ini melalui konsep accountability dan decision rights. Setiap proses punya owner yang jelas. Setiap keputusan perlu terdokumentasi. Setiap perubahan model punya governance checkpoint yang tidak bisa dilewati begitu saja.
| Area Governance | Fungsi dalam Sistem AI |
| Audit trail | Melacak riwayat keputusan AI secara historis dan terstruktur |
| Access control | Membatasi otorisasi aksi sistem AI sesuai kewenangan yang ditetapkan |
| Model approval process | Validasi keamanan, keadilan, dan akurasi sebelum deployment |
| Continuous monitoring | Mengawasi performa dan akurasi AI secara berkelanjutan pasca-deployment |
| Accountability mapping | Memetakan siapa pemilik setiap keputusan sistem |
| Model drift detection | Mendeteksi penurunan performa model yang terjadi secara diam-diam |
| Incident response | Prosedur penanganan ketika AI menghasilkan output yang merugikan bisnis |
Pendekatan seperti ini sangat kritis di sektor-sektor yang sangat teregulasi seperti keuangan, kesehatan, telekomunikasi, dan pemerintahan. Tapi relevansinya makin meluas ke sektor lain seiring AI masuk ke keputusan yang semakin berdampak bagi pelanggan dan masyarakat.
Cara Memulai: Implementasi yang Realistis
Membangun AI governance sering terdengar seperti proyek besar yang rumit dan mahal. Banyak organisasi akhirnya menunda karena merasa harus sempurna dari awal. Itu salah satu kesalahan yang paling umum, dan paling merugikan.
Implementasi governance yang efektif hampir selalu dimulai secara bertahap. Bukan langsung membentuk komite besar atau membangun platform governance mahal, melainkan memperbaiki fondasi terlebih dahulu.
Dalam pendekatan berbasis COBIT 2019, titik awalnya adalah memahami tujuan bisnis. Apa yang ingin dicapai dengan AI? Efisiensi operasional? Pengurangan fraud? Peningkatan pengalaman pelanggan? Governance harus mengikuti konteks tersebut, bukan sebaliknya, dan ini yang sering terbalik dalam praktik.
| Tahap Implementasi | Aktivitas Kunci | Output yang Diharapkan |
| 1. Audit penggunaan AI | Identifikasi seluruh sistem AI yang aktif di organisasi | Inventaris AI yang lengkap |
| 2. Penetapan ownership | Tentukan business owner dan technical owner untuk setiap sistem | Struktur akuntabilitas |
| 3. Kebijakan penggunaan | Kembangkan aturan terkait data, keamanan, dan deployment | Policy document yang operasional |
| 4. Validasi model | Uji fairness, akurasi, bias, dan keamanan sebelum deployment | Model quality report |
| 5. Monitoring berkelanjutan | Pantau performa dan potensi model drift secara rutin | Dashboard KPI AI |
| 6. Auditability | Bangun sistem audit trail yang terintegrasi dan mudah ditelusuri | Audit-ready documentation |
| 7. Review berkala | Evaluasi ulang governance secara periodik dan perbarui sesuai perkembangan | Improvement roadmap |
Yang tidak kalah penting, dan sering terlupakan, adalah unsur budaya organisasi. Governance tidak akan berhasil jika hanya menjadi dokumen compliance yang disimpan di folder bersama tanpa pernah dibuka lagi. Tim perlu memahami mengapa governance itu ada, dan bagaimana ia justru mempermudah, bukan menghambat, pekerjaan mereka.
Ada beberapa jebakan klasik yang sering membuat implementasi governance gagal. Pertama, terlalu fokus pada teknologi sambil melupakan proses bisnis. Banyak perusahaan membeli platform governance mahal, tetapi tidak punya struktur pengambilan keputusan yang jelas di dalamnya. Platform terbaik pun tidak akan berfungsi kalau prosesnya tidak rapi.
Kedua, governance yang terlalu birokratis. Kalau setiap eksperimen kecil harus melewati approval berlapis yang menyita waktu berminggu-minggu, inovasi akan mati sebelum sempat berkembang, dan tim akhirnya mencari jalan pintas yang justru lebih berisiko.
Ketiga, tidak ada executive sponsorship. Governance AI memerlukan dukungan nyata dari pimpinan, bukan hanya tim IT atau compliance yang bekerja di bawah tekanan tanpa otoritas yang cukup.
Keempat, menganggap governance selesai setelah policy dibuat. Faktanya, governance adalah proses hidup yang harus terus berjalan melalui monitoring, audit, dan evaluasi berkala, bukan proyek sekali jadi.
Baca juga : Fokus Inti dan Perbedaan Utama COBIT 2019 vs ITIL v4
Menuju Adaptive Governance: Menyesuaikan Diri dengan Kecepatan AI
Satu hal mulai terlihat jelas: governance enterprise tidak akan sama seperti lima tahun lalu. Di masa depan, organisasi kemungkinan tidak hanya mengelola manusia, vendor, atau aplikasi, tetapi juga puluhan digital agents yang bekerja secara semi-mandiri, menangani procurement, legal drafting, customer support, analytics, dan cybersecurity monitoring secara paralel dalam satu ekosistem.
Governance tradisional yang berbentuk checklist compliance, audit tahunan, policy approval, review berkala, masih relevan sebagai dasar, tetapi tidak lagi cukup cepat dan responsif untuk menghadapi dinamika Agentic AI yang bergerak dalam hitungan detik.
Adaptive governance berarti perusahaan mulai mengadopsi pendekatan yang lebih responsif dan dinamis.
| Governance Tradisional | Adaptive Governance |
| Audit periodik (tahunan/semesteran) | Monitoring kontinu dan real-time |
| Policy statis yang jarang diperbarui | Policy dinamis yang bisa diperbarui cepat sesuai konteks |
| Review manual yang bergantung pada jadwal | Automated compliance alerts saat sistem menyimpang |
| Reaktif terhadap insiden yang sudah terjadi | Proaktif dan prediktif terhadap potensi risiko |
| Fokus utama pada compliance | Fokus seimbang pada value delivery dan risk management |
| Oversight berbasis laporan periodik | Human-in-the-loop di titik keputusan kritis secara real-time |
COBIT 2019 tetap relevan dalam konteks ini karena sifatnya yang principles-based dan cukup fleksibel untuk berkembang mengikuti teknologi baru. Framework ini tidak terikat pada satu arsitektur teknologi tertentu, ia berbicara tentang prinsip governance yang berlaku lintas platform dan lintas generasi teknologi. Itulah yang membuat ia bertahan relevan bahkan ketika lanskap AI berubah dengan cepat.
Penutup
Ada narasi keliru yang sering muncul dalam diskusi tentang AI governance, bahwa tata kelola adalah penghambat inovasi. Bahwa semakin banyak aturan, semakin lambat organisasi bergerak.
Narasi itu perlu diluruskan.
Governance yang baik justru menjadi akselerator. Organisasi yang memiliki tata kelola AI yang matang cenderung lebih cepat mengadopsi AI secara luas, karena tingkat kepercayaan internal dan eksternal mereka lebih tinggi. Tim lebih percaya diri mengembangkan use case baru. Regulator lebih nyaman memberikan ruang eksplorasi. Pelanggan lebih percaya memberikan data mereka.
Pikirkan governance seperti sistem kemudi di kendaraan. Bukan untuk memperlambat, tapi untuk memastikan perjalanan tetap menuju arah yang benar, bahkan saat lajunya tinggi.
Di era Agentic AI, tantangan enterprise bukan lagi sekadar “apakah kita harus menggunakan AI?” Pertanyaan yang lebih penting justru: apakah kita siap mengelola AI ini dengan benar, hari ini dan satu tahun ke depan?
COBIT 2019, meski bukan solusi instan, menawarkan fondasi governance yang sudah teruji dan cukup adaptif untuk dikembangkan sesuai kebutuhan enterprise. Ia membantu organisasi membangun struktur pengambilan keputusan yang jelas, mengoptimalkan risiko secara realistis, dan memastikan investasi AI benar-benar menghasilkan nilai bisnis, bukan hanya angka di slide presentasi direksi.
Pada akhirnya, masa depan enterprise bukan ditentukan oleh siapa yang paling banyak menggunakan AI. Tapi oleh siapa yang paling mampu mengelolanya dengan tanggung jawab dan konsistensi.
FAQ
- Apa itu AI Governance Framework?
AI Governance Framework adalah seperangkat kebijakan, kontrol, proses, dan struktur pengawasan untuk memastikan AI digunakan secara aman, etis, transparan, dan sesuai tujuan bisnis organisasi. - Mengapa COBIT 2019 relevan untuk tata kelola AI?
Karena COBIT 2019 menyediakan kerangka governance, pengelolaan risiko, accountability, auditability, dan value delivery yang sangat cocok diterapkan pada implementasi AI enterprise, meski bukan framework yang lahir khusus untuk AI. Fleksibilitas pendekatannya memungkinkan adaptasi sesuai konteks bisnis masing-masing. - Apa perbedaan Generative AI dengan Agentic AI?
Generative AI fokus menghasilkan konten atau insight. Agentic AI mampu mengambil tindakan semi-otonom untuk mencapai tujuan tertentu, ia tidak berhenti di rekomendasi, tetapi melanjutkan ke eksekusi aksi secara mandiri. - Apa risiko terbesar penggunaan AI di enterprise?
Risiko paling umum dan berdampak tinggi mencakup bias algoritma, pelanggaran privasi data, kurangnya explainability, kesalahan keputusan otomatis, model drift yang tidak terdeteksi, dan ketidakjelasan akuntabilitas ketika sistem bertindak otonom. - Bagaimana cara memulai AI governance di perusahaan?
Mulai dengan mengaudit seluruh penggunaan AI yang aktif, menetapkan ownership yang jelas untuk setiap sistem, membangun kebijakan penggunaan yang operasional, melakukan validasi model sebelum deployment, memonitor performa secara berkelanjutan, dan membangun audit trail yang dapat dipertanggungjawabkan kepada regulator maupun internal.