Sesuatu sedang terjadi diam-diam di banyak perusahaan. Tim HR sudah memakai AI untuk memfilter ratusan CV dalam hitungan menit. Marketing memanfaatkan generative AI untuk segmentasi pelanggan dan copywriting massal. Cybersecurity mengandalkan machine learning untuk mendeteksi anomali jaringan. Finance menggunakan predictive analytics untuk mendukung proyeksi bisnis.
Tidak ada yang salah dengan semua itu.
Masalahnya bukan pada teknologinya, AI memang membawa efisiensi yang nyata dan terukur. Masalahnya ada di celah antara kecepatan adopsi dan kesiapan tata kelola di baliknya. Perusahaan bergerak cepat memakai AI, sementara kebijakan, kontrol, dan akuntabilitas masih tertinggal beberapa langkah di belakang.
Dan ketika ada yang salah ketika sistem AI menghasilkan keputusan bias, melanggar privasi, atau tidak bisa dijelaskan ke auditor pertanyaannya langsung ke pokok persoalan: siapa yang bertanggung jawab? Vendor? Tim IT? Divisi pengguna? Atau perusahaan secara keseluruhan?
Mengapa Teknologi Selalu Bergerak Lebih Cepat dari Regulasi
Ini bukan masalah baru. Pola yang sama sudah berulang di setiap gelombang inovasi besar.
Dulu ketika cloud computing mulai populer, banyak organisasi langsung pindah ke infrastruktur cloud tanpa benar-benar memahami siapa yang memiliki datanya, di mana data disimpan, dan regulasi apa yang berlaku lintas yurisdiksi. Saat media sosial berkembang pesat, regulator di berbagai negara masih kebingungan soal konten, privasi, dan tanggung jawab platform. Fintech, cryptocurrency, e-commerce lintas negara, semuanya mengalami pola yang sama: inovasi datang dulu, aturan menyusul belakangan.
Teknologi berkembang secara eksponensial. Regulasi berkembang secara administratif.
Sebuah perusahaan teknologi bisa merilis model AI baru dalam beberapa minggu. Regulasi butuh waktu jauh lebih lama, diskusi lintas lembaga, pembahasan hukum panjang, konsultasi publik, uji dampak, sampai harmonisasi dengan standar internasional. Ketimpangan ritme inilah yang menciptakan celah nyata, dan di celah itulah risiko tumbuh tanpa banyak yang menyadari.
Bayangkan perusahaan yang mulai menggunakan AI generatif untuk menganalisis data pelanggan sebelum ada kebijakan internal yang jelas. Pada waktu itu, secara teknis mungkin tidak ada aturan yang dilanggar. Tapi begitu regulasi baru hadir, soal consent, penggunaan data, atau kewajiban explainability keputusan otomatis, perusahaan tadi bisa mendapati dirinya sudah terlalu jauh berlari tanpa fondasi governance yang kuat.
Karena itulah, organisasi yang lebih matang tidak lagi menunggu regulasi selesai. Mereka mulai membangun governance framework lebih dulu, cukup fleksibel untuk menyesuaikan diri ketika aturan berubah, dan cukup kuat untuk melindungi bisnis dari risiko yang ada sekarang.
Baca juga : Saat AI Mulai Bertindak Sendiri, Enterprise Butuh Lebih dari Sekadar Kebijakan TI
Ketika AI Bukan Lagi Sekadar Alat Bantu
Ada pergeseran besar yang sedang terjadi dan penting untuk dipahami.
Dulu AI berperan sebagai alat rekomendasi. Ia menyarankan, manusia yang memutuskan. Sekarang sistem AI mulai bergerak ke arah yang jauh lebih otonom, yang kerap disebut sebagai Agentic AI. Bukan sekadar memberi saran, tetapi langsung menjalankan tindakan, mengakses sistem, dan mengeksekusi keputusan berdasarkan tujuan yang sudah ditetapkan.
AI recruitment yang otomatis memfilter dan menolak ribuan kandidat. Fraud detection yang langsung memblokir transaksi atau akun tanpa intervensi manusia. Automated incident response di cybersecurity yang memutus akses pengguna ketika aktivitas dianggap mencurigakan. Di bidang legal, AI mulai membantu menganalisis dokumen kontrak dan memberikan rekomendasi tindakan.
Kedengarannya efisien, dan memang begitu. Tapi semakin otonom sistem AI, semakin besar pula konsekuensi hukum dan bisnisnya.
Kalau AI fraud detection salah mengidentifikasi dan memblokir pelanggan premium, dampaknya tidak berhenti di satu transaksi gagal, ada risiko reputasi, ada klaim kompensasi, ada pertanyaan dari regulator. Kalau AI recruitment menunjukkan pola diskriminatif, perusahaan bisa menghadapi tuduhan bias atau pelanggaran etika kerja yang dampaknya jauh lebih panjang dari sekadar kesalahan teknis.
Di titik ini, mengelola risiko AI tidak bisa lagi bersifat reaktif. Tidak cukup hanya memperbaiki masalah setelah insiden muncul. Harus ada pengawasan, ownership, monitoring, dan akuntabilitas yang sudah tersedia sebelum sistem berjalan penuh.
Baca juga : PMP untuk Project Manager IT: Manfaat, Syarat, dan Roadmap Persiapan
Risiko yang Diam-Diam Tumbuh Tanpa Disadari
Banyak perusahaan merasa sudah aman karena punya tim IT yang solid dan kebijakan keamanan data yang tertulis. Tapi risiko AI tidak selalu datang dari serangan luar. Justru yang paling sering terjadi berasal dari dalam, dari praktik sehari-hari yang kelihatan wajar.
Shadow AI: Produktif Tapi Tidak Terkendali
Fenomena ini mirip dengan shadow IT yang dulu sudah banyak dipahami. Karyawan menggunakan tools AI tanpa persetujuan resmi organisasi, bukan karena niat buruk, tetapi karena mudah diakses dan terasa membantu secara instan.
Staf marketing memasukkan database pelanggan ke chatbot publik untuk segmentasi cepat. Tim legal mengunggah draft kontrak agar bisa diringkas otomatis. HR menggunakan tools AI gratis untuk mengevaluasi kandidat. Semua terlihat produktif di permukaan, sementara organisasi secara diam-diam kehilangan kendali atas datanya sendiri.
Masalah terbesar shadow AI bukan niat buruk penggunanya, melainkan ketidaksadaran akan risikonya.
| Risiko | Dampak Langsung | Dampak Jangka Panjang |
| Kebocoran data pelanggan | Pelanggaran privasi | Sanksi regulasi, gugatan hukum |
| Data residency issue | Konflik regulasi lintas negara | Compliance failure |
| Prompt disclosure | Informasi rahasia terekspos | Kerugian bisnis dan reputasi |
| Tidak ada audit trail | Sulit investigasi insiden | Gagal audit, tanggung jawab hukum |
| Vendor AI tidak terverifikasi | Data diproses pihak ketiga | Kehilangan kontrol atas data |
Dengan governance yang tepat, organisasi bisa menetapkan tools mana yang disetujui, data apa yang tidak boleh diproses AI eksternal, dan mekanisme persetujuan seperti apa yang harus dilalui sebelum tools baru digunakan secara luas.
Black Box Risk: Ketika Sistem Tidak Bisa Menjelaskan Dirinya Sendiri
Pertanyaan “kenapa sistem memutuskan seperti itu?” terdengar sederhana, sampai harus dijawab di depan auditor.
Black box risk muncul ketika AI menghasilkan keputusan tanpa penjelasan yang bisa dipahami manusia. Seorang nasabah ditolak pengajuan kreditnya. Sistem hanya mengatakan “high risk”, tanpa keterangan faktor apa yang berkontribusi pada keputusan tersebut.
Di dunia compliance, ini masalah serius. Ketika perusahaan tidak bisa menjelaskan proses pengambilan keputusan AI-nya, beberapa konsekuensi bisa langsung mengikuti: audit gagal, akuntabilitas menjadi kabur, sengketa hukum meningkat, dan kepercayaan pelanggan tergerus perlahan.
Explainability bukan lagi sekadar nilai tambah teknologi, ini menjadi elemen penting governance dan, di banyak negara, mulai dibahas sebagai bagian dari regulasi yang mengikat.
Bias AI: Ketika Data Masa Lalu Menentukan Masa Depan Seseorang
AI sering dianggap lebih objektif dari manusia karena berbasis data. Sayangnya, kenyataan tidak sesederhana itu.
AI belajar dari data historis. Kalau datanya mengandung bias, disengaja maupun tidak, hasilnya ikut bias. Kasus global sudah menunjukkan sistem rekrutmen yang cenderung mengurangi skor kandidat perempuan karena model belajar dari pola historis perusahaan yang selama ini didominasi laki-laki. Di industri pinjaman, algoritma tertentu diduga menghasilkan credit scoring yang tidak proporsional pada kelompok masyarakat tertentu.
Yang membuat ini berbahaya: tanpa governance yang memadai, bias AI bisa berjalan selama bertahun-tahun tanpa terdeteksi. Bukan hanya berisiko denda atau gugatan, tetapi juga merusak kepercayaan publik yang jauh lebih sulit diperbaiki dari sekadar membayar denda.
Data Privacy dan Paparan Regulasi
AI sangat haus data. Semakin banyak data diproses, semakin besar potensi risiko privasi. Di Indonesia, isu ini semakin serius sejak hadirnya UU Perlindungan Data Pribadi. Di Eropa ada GDPR. Berbagai regulasi di seluruh dunia semakin memperketat cara data digunakan.
| Pertanyaan Kritis | Konsekuensi Jika Tidak Terjawab |
| Apakah consent pelanggan sudah jelas? | Pelanggaran peraturan privasi |
| Apakah data dipakai melampaui tujuan awal? | Penggunaan data ilegal |
| Apakah data dipindahkan lintas negara? | Konflik regulasi internasional |
| Berapa lama data disimpan? | Potensi sanksi retensi data |
| Apakah vendor AI sudah diverifikasi? | Risiko kebocoran data pihak ketiga |
Risiko terbesar terkadang bukan serangan hacker dari luar, melainkan keputusan internal yang tampak kecil tetapi ternyata melanggar aturan privasi secara signifikan.
Mengapa Perusahan Anda Butuh COBIT 2019 di Situasi Ini
Perusahaan yang realistis tahu satu hal dengan jelas: menunggu regulasi AI menjadi sempurna bukan strategi. Pada saat aturan selesai dibahas, teknologi sudah bergerak lagi beberapa langkah ke depan. Pendekatan yang lebih masuk akal adalah membangun governance framework yang fleksibel, terukur, dan mampu beradaptasi dengan perubahan regulasi. Di sinilah COBIT 2019 mulai terasa relevan.
COBIT 2019 bukan framework yang dibuat khusus untuk AI, dan justru itu kekuatannya. Framework ini dirancang untuk membantu organisasi mengelola tata kelola dan manajemen TI secara menyeluruh: risiko, kontrol, akuntabilitas, monitoring, dan penyelarasan dengan tujuan bisnis. Ketika AI sudah menjadi bagian dari proses bisnis inti, maka AI perlu masuk ke sistem governance yang sama, bukan berjalan sendiri sebagai eksperimen teknologi yang terpisah.
Alih-alih bertanya “bagaimana aturan AI terbaru?”, COBIT mendorong pertanyaan yang lebih fundamental: bagaimana memastikan penggunaan AI tetap terkendali, dapat diaudit, dan sejalan dengan tujuan perusahaan? Pertanyaan itu jauh lebih kuat karena jawabannya tidak berubah meski regulasi terus berkembang.
Menyelaraskan AI dengan Tujuan Bisnis, Bukan Sekadar Tren
Banyak organisasi mulai menggunakan AI karena melihat pesaing melakukannya, atau karena tren pasar terlihat menarik. Hasilnya? Tools bertambah, biaya meningkat, tapi nilai bisnis yang dihasilkan tidak jelas.
COBIT membantu perusahaan menghindari jebakan ini. Bukan dengan mempertanyakan apakah AI layak dipakai, tetapi dengan mendorong alignment yang jelas antara penggunaan teknologi dan tujuan bisnis yang nyata.
Perusahaan retail yang memakai AI untuk personalisasi promosi, misalnya. Governance-nya tidak berhenti di “seberapa akurat modelnya?”. Pertanyaan yang lebih penting adalah: apakah data pelanggan digunakan secara etis? Apakah ROI-nya terukur? Apakah ada dampak compliance? Apakah risiko reputasi sudah dipertimbangkan?
Inilah yang membuat tata kelola AI menjadi lebih dewasa, AI bukan sekadar alat eksperimen, tetapi bagian dari strategi bisnis yang memiliki KPI, pengawasan, dan ownership yang jelas.
Kontrol Risiko Secara Sistematis, Bukan Reaktif
Masalah compliance sering muncul bukan karena perusahaan sengaja melanggar aturan. Sering kali tidak ada yang sadar ada masalah, sampai regulator datang, pelanggan komplain, atau audit menemukan ketidaksesuaian. COBIT membalik pola pikir ini melalui mekanisme kontrol yang sistematis.
| Area Kontrol | Fungsi Utama | Pihak yang Terlibat |
| Ownership | Menetapkan penanggung jawab setiap sistem AI | CIO, Business Owner |
| Risk Assessment | Mengidentifikasi risiko sejak tahap perencanaan | Risk Team, Compliance |
| Monitoring | Mengawasi penggunaan dan output AI secara berkelanjutan | IT, Audit Internal |
| Accountability | Menetapkan pertanggungjawaban keputusan AI | C-Level, Governance Committee |
| Audit Trail | Mendokumentasikan jejak setiap keputusan penting | IT, Compliance Officer |
Misalnya, sebelum AI digunakan untuk fraud detection, organisasi bisa melakukan penilaian risiko lebih dulu: seberapa tinggi tingkat false positive-nya? Apa yang terjadi kalau pelanggan salah diblokir? Apakah ada mekanisme human oversight? Bagaimana proses banding jika keputusan AI keliru? Jawaban atas pertanyaan-pertanyaan ini bukan sekadar dokumen administratif, ini adalah perlindungan bisnis yang nyata.
Auditability: Ketika Regulator Datang dan Bertanya
“Tunjukkan bagaimana keputusan AI ini dibuat.”
Kalimat itu bisa menjadi mimpi buruk organisasi yang tidak siap. Banyak implementasi AI gagal bukan karena modelnya buruk, tetapi karena tidak ada dokumentasi yang memadai, tidak ada monitoring berkelanjutan, tidak ada jejak keputusan yang bisa dijelaskan.
COBIT membantu membangun struktur auditability yang nyata, bukan sekadar dokumen yang disimpan di server, tetapi proses yang hidup dan dapat ditelusuri kapan pun dibutuhkan.
| Elemen Auditability | Deskripsi Praktis |
| Traceability keputusan | Setiap output AI bisa ditelusuri prosesnya |
| Dokumentasi model | Perubahan model tercatat dan melewati proses persetujuan |
| Monitoring berkelanjutan | Performa dan perilaku model dipantau secara berkala |
| Reporting berkala | Laporan governance tersedia untuk stakeholder relevan |
| Penetapan tanggung jawab | Jelas siapa accountable untuk setiap sistem AI |
Kalau AI digunakan untuk customer scoring, misalnya, perusahaan harus bisa menunjukkan sumber datanya, proses pengolahannya, siapa yang menyetujui model, bagaimana hasil divalidasi, dan siapa yang bertanggung jawab kalau ada error. Transparansi seperti ini penting bukan hanya untuk auditor, ini juga soal kepercayaan stakeholder dan pelanggan jangka panjang.
Baca juga : COBIT 2019 untuk Audit Tata Kelola TI, Inilah Checklist dan Area Evaluasi
Cara Praktis Menggunakan COBIT 2019 untuk Governance AI
Ini bagian yang paling penting secara praktis. Banyak perusahaan memahami risikonya, tapi bingung harus mulai dari mana. Governance tidak harus langsung kompleks dan sempurna, yang terpenting adalah membangun fondasinya dulu.
Langkah 1: Petakan Dulu Penggunaan AI di Seluruh Organisasi
Langkah ini terdengar sederhana, tapi sangat sering dilewati. Jangan berasumsi bahwa AI hanya ada di tim IT. Penggunaan AI muncul secara informal di banyak fungsi, HR, marketing, legal, customer support, procurement, finance. Sering kali, setelah dilakukan pemetaan, organisasi terkejut menemukan puluhan tools AI sudah digunakan tanpa dokumentasi apa pun.
Empat pertanyaan kunci untuk memulai pemetaan: siapa yang memakai AI, tools apa yang digunakan, data apa yang diproses, dan untuk tujuan apa AI itu digunakan. Inilah fondasi utama AI governance readiness.
Langkah 2: Identifikasi Risiko Berdasarkan Konteks Bisnis
Tidak semua penggunaan AI punya tingkat risiko yang sama. AI untuk membuat caption media sosial jelas berbeda dampaknya dibanding AI untuk menentukan kelayakan kredit pelanggan.
| Jenis Risiko | Pertanyaan Kunci | Prioritas |
| Data privacy | Apakah ada data pribadi yang diproses? | Tinggi |
| Bias | Apakah keputusan AI memengaruhi hak seseorang? | Tinggi |
| Explainability | Bisakah output AI dijelaskan ke auditor? | Tinggi |
| Cybersecurity | Apakah tools AI membuka akses baru ke sistem? | Sedang–Tinggi |
| Vendor dependency | Seberapa tergantung pada pihak ketiga? | Sedang |
| Operational | Apa yang terjadi jika sistem AI tiba-tiba gagal? | Sedang |
Pendekatan berbasis risiko seperti ini membuat governance terasa realistis dan proporsional, bukan birokratis dan memberatkan.
Langkah 3: Tentukan Siapa yang Bertanggung Jawab
Salah satu penyebab terbesar kekacauan governance adalah ketidakjelasan ownership. Ketika AI bermasalah, semua pihak saling menunjuk: tim bisnis menyalahkan vendor, vendor menyalahkan data, tim IT menyalahkan pengguna akhir.
| Peran | Tanggung Jawab Utama |
| CIO | Arah strategi teknologi dan governance TI |
| CISO | Keamanan dan risiko keamanan informasi |
| Compliance Officer | Pemantauan kepatuhan regulasi |
| Risk Team | Penilaian dan mitigasi risiko |
| AI Governance Committee | Pengawasan lintas fungsi, kebijakan AI |
| Business Owner | Akuntabilitas atas output AI di unitnya masing-masing |
Dengan kejelasan seperti ini, pertanggungjawaban tidak perlu diperdebatkan panjang ketika insiden terjadi.
Langkah 4: Bangun Kebijakan Penggunaan AI Perusahaan
Tanpa kebijakan, AI berkembang tanpa batas yang jelas. Tidak perlu langsung sempurna, tapi minimal harus ada. Kebijakan dasar perlu mencakup tools AI mana yang disetujui, data apa yang tidak boleh diproses AI eksternal, mekanisme approval sebelum tools baru diterapkan, keharusan human oversight untuk keputusan yang berdampak signifikan, proses evaluasi vendor AI, serta kewajiban logging dan monitoring.
Contoh paling sederhana tapi paling sering diabaikan: melarang karyawan mengunggah data pelanggan, kontrak rahasia, atau dokumen internal sensitif ke generative AI tools publik tanpa izin resmi. Kalimat itu bisa masuk dalam satu paragraf kebijakan, tapi dampak perlindungannya besar.
Langkah 5: Audit Berkala, Bukan Sekali Jadi
Governance bukan dokumen yang dibuat sekali lalu disimpan. AI berubah, model diperbarui, vendor berganti, regulasi berkembang, dan governance harus ikut bergerak.
| Aktivitas Audit | Frekuensi yang Disarankan |
| AI risk assessment | Tahunan atau saat ada perubahan signifikan |
| Compliance review | Setiap kuartal |
| Governance maturity evaluation | Tahunan |
| Audit trail validation | Berkelanjutan |
| Vendor AI assessment | Saat onboarding dan evaluasi tahunan |
Audit berkala bukan hanya untuk memenuhi formalitas. Ini cara organisasi memastikan bahwa sistem AI yang berjalan masih sesuai dengan kebijakan dan tujuan bisnis, tidak melenceng secara perlahan tanpa disadari oleh siapa pun.
Studi Kasus Mini: Ketika Tidak Ada yang Mengatur
Bayangkan sebuah perusahaan jasa keuangan menengah yang mulai agresif mengadopsi AI untuk meningkatkan produktivitas. Tim HR memakai AI untuk screening kandidat. Tim legal menggunakan AI untuk menganalisis kontrak. Marketing memanfaatkan AI customer segmentation. Semua berjalan tanpa aturan khusus karena manajemen menganggap tools ini hanya alat bantu biasa.
Masalah muncul ketika seorang staf mengunggah file kontrak klien bernilai miliaran rupiah ke public AI tool untuk membuat summary otomatis.
Beberapa minggu kemudian, muncul indikasi kebocoran informasi.
Audit internal dilakukan. Hasilnya mengejutkan: tidak ada approved tools list, tidak ada kebijakan penggunaan AI, tidak ada sistem logging, tidak ada ownership yang jelas atas sistem-sistem AI yang digunakan. Kasus berkembang menjadi masalah reputasi dan legal exposure yang serius, jauh lebih mahal dari sekadar insiden teknis.
Sekarang bayangkan jika perusahaan itu sudah menerapkan pendekatan COBIT 2019 untuk governance AI. Kemungkinan besar sudah ada kebijakan penggunaan AI yang jelas, klasifikasi data berdasarkan sensitivitas, mekanisme approval sebelum tools digunakan, sistem logging dan monitoring, dan struktur accountability yang jelas di setiap lini. Masalah mungkin bisa dicegah sebelum terjadi.
Dua Arah yang Akan Membelah Perusahaan ke Depan
Ke depan, perusahaan kemungkinan akan terbagi dalam dua kelompok besar, bukan berdasarkan seberapa agresif mereka memakai AI, tapi seberapa matang tata kelolanya.
| Aspek | AI-First Tanpa Governance | AI-Enabled dengan Governance |
| Kecepatan adopsi | Sangat cepat, tidak terencana | Terencana dan terukur |
| Dokumentasi | Minim atau tidak ada | Terstruktur dan dapat ditelusuri |
| Auditability | Rendah | Tinggi |
| Risiko compliance | Tinggi dan tidak terpantau | Teridentifikasi dan dikelola |
| Kesiapan regulasi | Reaktif, menunggu masalah | Adaptif, sudah bersiap |
| Kepercayaan stakeholder | Rentan terhadap krisis | Kuat dan konsisten |
Kelompok pertama bergerak sangat cepat. Eksperimen AI ada di mana-mana, produktivitas terlihat melonjak. Tapi fondasinya rapuh. Ketika regulasi berubah atau insiden terjadi, biaya yang harus dibayar jauh lebih besar dari keuntungan yang sudah diraih sebelumnya.
Kelompok kedua mungkin terlihat lebih hati-hati di permukaan. Tapi mereka punya sesuatu yang jauh lebih berharga dalam jangka panjang: kepercayaan, skalabilitas, dan kesiapan menghadapi apapun yang datang, baik dari regulator maupun dari dinamika pasar.
Penutup
AI tidak akan melambat. Yang akan berubah bukan apakah perusahaan memakai AI, melainkan seberapa siap mereka mengelola konsekuensinya.
Ketika adopsi AI berkembang tanpa governance yang jelas, risiko kepatuhan tumbuh diam-diam, shadow AI, bias keputusan, pelanggaran privasi, hingga masalah auditability yang sulit dipertanggungjawabkan. Tantangannya bukan soal teknologi semata, tetapi soal tanggung jawab bisnis yang nyata.
COBIT 2019 menawarkan pendekatan yang tidak muluk-muluk: membangun kontrol, akuntabilitas, risk management, transparansi, dan governance yang cukup kuat untuk melindungi bisnis hari ini, sekaligus cukup fleksibel untuk bertahan ketika regulasi berkembang besok.
Bagi organisasi yang ingin mulai bergerak, langkah seperti pelatihan COBIT 2019, governance workshop, IT audit, atau AI governance readiness assessment bisa menjadi titik awal yang paling realistis, jauh lebih murah daripada menangani krisis yang sebenarnya bisa dicegah dari awal.
FAQ
1. Apa itu COBIT 2019 untuk AI Governance?
COBIT 2019 adalah framework tata kelola TI yang dapat digunakan untuk membantu organisasi mengelola penggunaan AI secara terstruktur, mencakup aspek risiko, compliance, accountability, dan auditability.
2. Mengapa perusahaan perlu governance AI meskipun regulasi belum matang?
Karena risiko bisnis muncul lebih cepat dari aturan. Governance membantu organisasi tetap aman, adaptif, dan siap ketika regulasi akhirnya berkembang.
3. Apa risiko terbesar penggunaan AI tanpa governance?
Beberapa yang paling kritis: shadow AI, kebocoran data, bias keputusan, compliance failure, serta sulitnya audit dan pertanggungjawaban di depan regulator.
4. Apakah COBIT 2019 hanya relevan untuk tim IT?
Tidak. COBIT relevan untuk CIO, CISO, compliance team, auditor internal, enterprise architect, hingga manajemen bisnis yang terlibat dalam pengambilan keputusan berbasis AI.
5. Apa langkah pertama menerapkan AI governance?
Mulailah dengan memetakan penggunaan AI di seluruh organisasi, pahami risikonya berdasarkan konteks bisnis, lalu tetapkan ownership, kebijakan, dan mekanisme audit yang jelas, dalam urutan itu.