Tuhu Nugraha adalah praktisi transformasi digital, AI governance, dan ekonomi digital. Ia merupakan Principal IADERN dan pengurus APDATIKNAS, serta aktif menulis dan berbicara tentang tata kelola teknologi, AI, dan transformasi digital dalam konteks Indonesia dan Global South.
Selama ini, banyak diskusi tentang AI di organisasi masih berhenti pada cara memakai ChatGPT, membuat prompt yang lebih baik, atau mempercepat pekerjaan administratif. Itu semua penting. Namun perkembangan AI sedang bergerak ke tahap yang lebih serius.
AI tidak lagi hanya menjawab pertanyaan. AI kini dapat diberi tugas. Inilah yang disebut sebagai Agentic AI: sistem AI yang dapat diberi tujuan, memahami konteks, mengakses data tertentu, menggunakan tools, membuat langkah kerja, dan dalam batas tertentu menjalankan tindakan. Dengan kata lain, AI mulai bergeser dari sekadar asisten digital menjadi aktor operasional dalam proses kerja organisasi.
Bagi organisasi, ini membuka peluang besar. Pekerjaan bisa lebih cepat. Analisis bisa lebih kaya. Proses bisa lebih efisien. Namun bagi praktisi Governance, Risk, and Compliance (GRC), perkembangan ini juga membawa pertanyaan baru yang sangat penting:
Jika AI diberi tugas, siapa yang bertanggung jawab ketika terjadi kesalahan?
AI Tidak Lagi Sekadar Alat Produktivitas
Pada fase awal generative AI, risiko yang paling sering dibahas adalah halusinasi, bias, pelanggaran privasi, dan kebocoran data. Risiko tersebut tetap penting. Tetapi agentic AI membawa risiko ke level yang berbeda.
Masalahnya bukan hanya apakah jawaban AI benar atau salah. Masalahnya menjadi lebih luas: apakah AI boleh mengakses data tertentu? Apakah AI boleh menggunakan tools tertentu? Apakah AI boleh mengirim email, mengubah dokumen, menjalankan kode, memperbarui data pelanggan, atau memberi rekomendasi keputusan?
Di sinilah isu GRC menjadi sangat relevan.
Agentic AI memaksa organisasi untuk tidak hanya bertanya, “apakah AI ini pintar?”, tetapi juga “apa batas mandatnya?”, “siapa yang memberi izin?”, “apa yang dicatat?”, “kapan manusia harus menyetujui?”, dan “siapa pemilik risikonya?”
Tanpa pertanyaan-pertanyaan ini, organisasi bisa terjebak dalam euforia otomasi tanpa kesiapan tata kelola.
Dari Prompting ke Delegasi
Banyak organisasi saat ini mulai melatih karyawan untuk memakai AI. Biasanya
fokus pelatihan masih pada prompting: bagaimana memberi instruksi, bagaimana meminta ringkasan, bagaimana membuat draft, atau bagaimana memperbaiki tulisan.
Namun agentic AI menuntut kemampuan yang lebih tinggi dari sekadar prompting. Organisasi membutuhkan delegation literacy.
Delegation literacy adalah kemampuan untuk memberi mandat secara jelas: tugas apa yang boleh dilakukan AI, data apa yang boleh digunakan, tindakan apa yang dilarang, kapan AI harus berhenti, kapan harus meminta persetujuan manusia, dan bagaimana hasilnya harus diverifikasi.
Ini menjadi tantangan besar karena banyak organisasi di Indonesia masih bekerja dengan cara yang cukup informal. Instruksi bisa datang lewat chat. Approval bisa bergantung pada figur tertentu. Proses penting sering tidak terdokumentasi. Banyak keputusan berjalan karena kebiasaan, relasi, atau “sudah biasanya begitu”.
Fleksibilitas seperti ini kadang membantu organisasi bergerak cepat. Tetapi ketika AI mulai diberi akses dan kemampuan bertindak, budaya kerja informal dapat berubah menjadi risiko.
Kalau instruksi manusia saja sering tidak jelas, AI agent dapat mengalami kesalahan interpretasi instruksi. Kalau approval masih berbasis persona, AI bisa mengikuti otoritas yang salah. Kalau proses kerja hanya ada di kepala orang tertentu, AI tidak memiliki peta yang cukup untuk bekerja secara aman.
Dengan kata lain, sebelum organisasi memberi kuasa lebih besar kepada AI,
organisasi harus belajar mendelegasikan dengan lebih jelas.
Pertanyaan GRC yang Perlu Diajukan
Pertanyaan “apakah AI agent aman?” sebenarnya terlalu sederhana. Dalam dunia GRC, tidak ada sistem yang sepenuhnya bebas risiko. Yang lebih penting adalah bagaimana risiko dikelola sesuai konteks.
Ada empat pertanyaan dasar yang bisa digunakan organisasi.
Pertama, seberapa besar otonomi yang diberikan kepada AI? Apakah AI hanya membaca dan merangkum, atau sudah boleh menjalankan tindakan?
Kedua, akses apa yang dimiliki AI? Apakah hanya mengakses dokumen publik, atau sudah masuk ke data internal, data pelanggan, sistem operasional, dan aplikasi bisnis?
Ketiga, seberapa besar dampak jika AI salah bertindak? Apakah hanya salah membuat draft, atau bisa memengaruhi keputusan keuangan, reputasi, layanan publik, atau kepatuhan regulasi?
Keempat, apakah tindakan AI bisa dibatalkan? Jika terjadi kesalahan, apakah organisasi punya mekanisme koreksi, rollback, audit trail, dan incident response?
Semakin tinggi otonomi, semakin luas akses, semakin besar dampak, dan semakin sulit tindakan dibatalkan, semakin kuat pula kontrol yang dibutuhkan.
Tidak Semua Penggunaan AI Sama Risikonya
Organisasi perlu membedakan level penggunaan AI.
Pada level paling aman, AI hanya digunakan untuk membaca, merangkum, dan membantu memahami dokumen. Ini relatif rendah risiko jika data yang digunakan memang aman.
Pada level berikutnya, AI memberi rekomendasi. Di sini manusia tetap harus melakukan penilaian dan verifikasi.
Setelah itu, AI dapat membantu membuat draft: email, laporan, memo, kode, atau dokumen kerja. Namun hasilnya tetap harus ditinjau sebelum dikirim atau digunakan.
Level yang lebih tinggi adalah ketika AI boleh menjalankan tindakan setelah mendapat persetujuan manusia. Misalnya memperbarui data, mengirim respons, atau menjalankan proses tertentu setelah ada approval.
Level paling sensitif adalah ketika AI diberi wewenang bertindak otomatis dalam ruang lingkup tertentu. Pada level ini, organisasi membutuhkan kontrol yang jauh lebih ketat: identity and access management, monitoring, approval gate, audit trail, kill switch, dan incident response.
Bagi sebagian besar organisasi, langkah awal yang paling relevan bukan langsung menuju otomasi penuh. Mulailah dari zona hijau: ringkasan dokumen publik, draft internal, template laporan, meeting notes, FAQ internal, atau analisis data yang sudah dianonimkan.
Dari sana, organisasi dapat belajar membangun tata kelola sebelum masuk ke penggunaan yang lebih kompleks.
Risiko Baru untuk Organisasi
Ada beberapa risiko yang perlu menjadi perhatian praktisi GRC.
Pertama, akses yang terlalu luas. Karena ingin praktis, organisasi bisa memberi AI akses ke terlalu banyak data dan sistem. Padahal prinsip dasarnya tetap sama: akses harus dibatasi sesuai kebutuhan.
Kedua, approval yang tidak jelas. Jika AI dapat menerima instruksi dari berbagai orang atau channel, organisasi perlu memastikan siapa yang memang berwenang memberi mandat.
Ketiga, jejak audit yang lemah. Ketika AI hanya membantu menulis draft, risiko ini mungkin belum terasa besar. Tetapi ketika AI mulai mempengaruhi tindakan, organisasi harus bisa menelusuri instruksi, data, output, reviewer, approval, tools yang digunakan, dan waktu tindakan dilakukan.
Keempat, tanggung jawab yang kabur. Kesalahan AI tidak boleh menjadi alasan untuk melempar tanggung jawab ke sistem, vendor, atau model. Pemilik proses tetap manusia dan organisasi.
Kelima, shadow AI. Jika organisasi tidak memberi panduan yang jelas, karyawan akan tetap memakai AI secara sendiri-sendiri. Hasilnya bisa berupa kebocoran data, output yang tidak diverifikasi, dan proses kerja yang sulit diaudit.
Governance Before Scale
Agentic AI menawarkan peluang besar untuk meningkatkan produktivitas dan kualitas kerja organisasi. Namun peluang itu hanya dapat menjadi nilai jika dibangun di atas tata kelola yang baik.
Untuk itu, ada beberapa langkah awal yang realistis.
Mulailah dari use case rendah risiko. Jangan langsung memberi AI akses ke proses yang sensitif.
Buat SOP mini untuk setiap penggunaan AI: apa yang boleh dilakukan, apa yang tidak boleh, siapa yang memeriksa, siapa yang menyetujui, apa yang harus dicatat, dan kapan proses harus eskalasi.
Gunakan approval berbasis peran, bukan sekadar berdasarkan kedekatan, senioritas, atau instruksi informal.
Bangun logging sederhana. Minimal organisasi mencatat instruksi, sumber data, output, reviewer, approval, tools yang dipakai, dan timestamp.
Latih tim bukan hanya untuk memakai AI, tetapi juga untuk memahami data, memverifikasi output, memberi mandat dengan jelas, dan menyadari tanggung jawabnya.
Inilah prinsip pentingnya: govern before scale. Jangan menunggu masalah besar terjadi baru membangun tata kelola.
Penutup
Agentic AI sudah datang. Ia tidak harus ditakuti, tetapi juga tidak boleh dianggap sekadar tren produktivitas biasa.
Bagi praktisi GRC, agentic AI adalah pengingat bahwa transformasi digital tidak hanya soal teknologi. Ia juga soal mandat, batas kuasa, proses, kontrol, audit, dan akuntabilitas.
Bagi APDATIKNAS, isu ini penting untuk diangkat karena Indonesia membutuhkan ruang diskusi yang tidak hanya membahas AI sebagai alat, tetapi juga AI sebagai bagian dari tata kelola organisasi dan infrastruktur kepercayaan digital.
Sebelum AI diberi kuasa lebih besar, organisasi perlu memperjelas dulu cara manusia memberi mandat dan memikul tanggung jawab.
Prinsipnya sederhana:
Delegation before automation. Accountability before autonomy. Govern before scale.
Source:
https://apdatiknas.org/berita.php?slug=ketika-ai-diberi-tugas-siapa-yang-bertanggung-jawab
