Sekitar 80% masyarakat Indonesia sudah menggunakan AI dalam berbagai bentuk, namun kontribusinya terhadap peningkatan produktivitas baru sekitar 13%. Kesenjangan besar antara tingkat adopsi dan hasil nyata ini bukan kebetulan ia mencerminkan pola yang sama terjadi di level organisasi: AI diadopsi jauh lebih cepat daripada kesiapan tata kelola AI perusahaan untuk mengelolanya.
Karyawan menggunakan ChatGPT atau asisten AI lain untuk menyusun laporan, menganalisis data pelanggan, bahkan membantu pengambilan keputusan seringkali tanpa sepengetahuan tim IT. Inilah yang disebut shadow AI, penggunaan teknologi AI yang berjalan di luar radar pengawasan organisasi. Seperti shadow IT di masa lalu, tren ini menjadi bom waktu yang siap meledak jika dibiarkan tanpa kendali.
Fakta di Lapangan: AI Melesat, Hasil Tersendat
Fenomena ini bukan sekadar spekulasi. Riset yang dikutip oleh Kementerian Komunikasi dan Digital menunjukkan bahwa meski adopsi AI di masyarakat Indonesia sudah sangat tinggi, kontribusinya terhadap produktivitas riil justru masih jauh tertinggal dari ekspektasi. Ini menunjukkan bahwa penggunaan AI selama ini lebih banyak bersifat eksperimen individual yang tidak terarah dan tidak terukur, ketimbang implementasi strategis yang dikelola dengan baik.
Di level perusahaan, gejala yang sama sering terlihat: banyak organisasi terburu-buru mengintegrasikan AI ke berbagai proses bisnis layanan pelanggan, analisis data, rekrutmen, hingga pengambilan keputusan kredit demi mengejar efisiensi dan tidak ingin “tertinggal” dari kompetitor. Namun pertanyaan mendasar seperti “siapa yang bertanggung jawab jika AI ini membuat keputusan yang salah?”, “data apa saja yang boleh dimasukkan ke tools AI ini?”, atau “bagaimana kita memastikan outputnya tidak bias?” sering belum terjawab sama sekali.
Baca juga : Siapkan AI Governance sebagai Standar “ISO Baru” Perusahaan
4 Ancaman Utama di Balik Shadow AI
- Kebocoran data melalui tools AI publik. Karyawan yang memasukkan data pelanggan, dokumen internal, atau bahkan data keuangan ke dalam chatbot AI publik tanpa disadari bisa menyebabkan data sensitif tersimpan atau terekspos di luar kendali perusahaan berpotensi melanggar UU PDP tanpa organisasi menyadarinya.
- Keputusan bias yang tidak terdeteksi. Algoritma AI yang digunakan untuk skoring kredit, seleksi karyawan, atau segmentasi pelanggan bisa mewarisi bias dari data pelatihannya. Tanpa mekanisme audit, bias ini bisa terus beroperasi tanpa disadari sampai menimbulkan masalah hukum atau reputasi yang signifikan.
- Ketergantungan pada output yang tidak selalu akurat (halusinasi AI). Model AI generatif dapat menghasilkan informasi yang terdengar meyakinkan namun sebenarnya salah. Jika output ini digunakan langsung dalam keputusan bisnis penting tanpa verifikasi manusia, risikonya bisa signifikan mulai dari kesalahan analisis hingga keputusan yang merugikan pelanggan.
- Ketidaksiapan menghadapi regulasi yang mulai bergerak cepat. Berbeda dari beberapa tahun lalu, regulasi AI di berbagai negara kini bergerak jauh lebih cepat dari yang diperkirakan. Organisasi yang tidak membangun fondasi tata kelola sejak awal akan kesulitan menyesuaikan diri secara mendadak ketika aturan resmi mulai diberlakukan.
Baca juga : Pentingnya AI Governance untuk Perusahaan di Era Transformasi Digital
Regulasi AI Sedang Menyusul dengan Cepat
Kesenjangan antara adopsi dan governance tidak akan bertahan selamanya. Regulator, baik di tingkat global maupun nasional, sedang mengejar ketertinggalan ini dengan cepat.
Di tingkat global, Uni Eropa sudah menerapkan EU AI Act secara bertahap, sementara Korea Selatan baru saja memberlakukan Basic AI Act mereka yang mengatur ketentuan seperti kewajiban pelabelan konten hasil AI, lengkap dengan sanksi bagi pelanggarnya.
Di Indonesia sendiri, pemerintah melalui Kementerian Komunikasi dan Digital telah menyelesaikan dua rancangan Peraturan Presiden terkait AI satu mengenai Peta Jalan Kecerdasan Artifisial Nasional, dan satu lagi mengenai Etika Kecerdasan Artifisial.Â
Kedua rancangan tersebut telah melalui proses harmonisasi dan saat ini berada di Sekretariat Negara, menunggu untuk ditandatangani. Begitu diterbitkan, kementerian dan lembaga terkait akan menyusun aturan turunan yang lebih teknis, termasuk kewajiban pelabelan konten yang dihasilkan AI di platform digital.
Sebelumnya, Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 juga telah menetapkan prinsip-prinsip etika dasar dalam pengembangan dan pemanfaatan AI di Indonesia meski sifatnya masih berupa himbauan, bukan aturan yang mengikat secara hukum penuh.
Dengan kata lain, fondasi regulasi formal sedang dalam proses finalisasi, dan bisa diterbitkan sewaktu-waktu. Perusahaan yang menunggu sampai aturan resmi benar-benar berlaku untuk mulai membangun tata kelola akan berada dalam posisi terburu-buru dan reaktif persis situasi yang sama yang pernah dialami banyak organisasi menjelang penegakan penuh UU PDP.
Baca juga : Integrasi UU PDP dan ISO 27001: Matriks Kontrol untuk Keamanan Data
Apa Itu Tata Kelola AI yang Sebenarnya?
Penting untuk membedakan antara “sudah pakai AI” dengan “sudah punya tata kelola AI”. Tata kelola AI (AI governance) bukan sekadar memiliki satu dokumen kebijakan yang melarang atau membatasi penggunaan AI tertentu. AI governance adalah sistem menyeluruh mencakup kebijakan, proses, struktur akuntabilitas, dan mekanisme pengawasan yang mengatur bagaimana AI dirancang, dikembangkan, digunakan, dan dipantau sepanjang siklus hidupnya di dalam organisasi.
Standar internasional seperti ISO/IEC 42001:2023, sistem manajemen AI (AI Management System) global pertama, memberikan kerangka kerja yang komprehensif untuk hal ini menggunakan pendekatan siklus Plan-Do-Check-Act yang serupa dengan ISO/IEC 27001, sehingga organisasi yang sudah familier dengan sistem manajemen keamanan informasi akan menemukan banyak kesamaan pendekatan.
8 Pilar Membangun Tata Kelola AI Berstandar
1. Inventarisasi Penggunaan AI (AI Inventory)
Langkah pertama yang paling mendasar ketahui dulu di mana saja AI sudah digunakan di organisasi Anda, baik yang resmi diimplementasikan tim IT maupun yang digunakan secara informal oleh karyawan (shadow AI). Tanpa inventarisasi ini, mustahil membangun kontrol yang efektif.
2. Kebijakan Penggunaan AI yang Jelas dan Praktis
Susun panduan yang jelas jenis data apa yang boleh dan tidak boleh dimasukkan ke tools AI tertentu, tools mana yang disetujui untuk digunakan, serta batasan penggunaan output AI dalam pengambilan keputusan penting.
3. AI Risk/Impact Assessment untuk Use Case Berisiko Tinggi
Tidak semua penggunaan AI memiliki tingkat risiko yang sama. Penggunaan AI untuk menyusun draf email tentu berbeda risikonya dibanding penggunaan AI untuk menentukan kelayakan kredit atau menyaring kandidat karyawan. Use case berisiko tinggi memerlukan asesmen dampak yang lebih mendalam sebelum diimplementasikan secara luas.
4. Human Oversight dan Kejelasan Akuntabilitas
Tetapkan secara jelas siapa yang bertanggung jawab jika output AI menyebabkan kesalahan atau kerugian? Prinsip “manusia tetap menjadi pengambil keputusan akhir” (human-in-the-loop) penting terutama untuk keputusan yang berdampak signifikan bagi pelanggan atau karyawan.
5. Transparansi dan Explainability
Sejauh mungkin, organisasi perlu memahami bagaimana suatu sistem AI menghasilkan output atau rekomendasinya bukan sekadar menerima hasilnya sebagai “kotak hitam” yang tidak bisa dijelaskan, terutama untuk keputusan yang berdampak pada individu.
6. Integrasi dengan Kerangka Kerja yang Sudah Ada
Perusahaan yang sudah menerapkan ISO/IEC 27001 untuk keamanan informasi sebenarnya sudah memiliki sebagian fondasi yang relevan untuk membangun tata kelola AI, karena banyak prinsip manajemen risiko dan kontrol yang bisa diselaraskan, bukan dibangun dari nol. Kepatuhan terhadap UU PDP juga menjadi elemen penting, khususnya untuk AI yang memproses data pribadi.
7. Pelatihan Karyawan tentang Penggunaan AI yang Aman dan Etis
Kebijakan yang baik tidak akan efektif jika karyawan tidak memahami cara menerapkannya dalam pekerjaan sehari-hari. Pelatihan rutin membantu membangun kesadaran tentang risiko, batasan, dan cara memanfaatkan AI secara bertanggung jawab.
8. Monitoring dan Audit Berkelanjutan
Tata kelola AI bukan proyek sekali jalan. Diperlukan mekanisme pemantauan berkelanjutan untuk memastikan kebijakan tetap relevan seiring teknologi dan penggunaannya berkembang, termasuk audit berkala terhadap sistem AI yang berisiko tinggi.
Baca juga : Pentingnya IT GRC Dalam Mengelola Risiko dan Kepatuhan Perusahaan Modern
Mengapa Harus Bertindak Sekarang?
Ada alasan strategis yang kuat untuk tidak menunggu sampai Perpres AI resmi diterbitkan sebelum mulai membangun tata kelola:
Pertama, organisasi yang lebih awal mengadopsi kerangka kerja seperti ISO/IEC 42001 pada dasarnya sudah membangun fondasi yang selaras dengan berbagai regulasi yang sedang disusun di berbagai negara, karena prinsip-prinsip dasarnya transparansi, akuntabilitas, manajemen risiko cenderung konsisten di berbagai yurisdiksi.
Kedua, kesiapan tata kelola AI mulai menjadi faktor kepercayaan dalam hubungan bisnis baik dalam proses tender, due diligence investor, maupun kemitraan strategis. Organisasi yang bisa menunjukkan tata kelola AI yang matang memiliki keunggulan kompetitif dibanding yang belum.
Ketiga, membangun tata kelola secara terencana jauh lebih murah dan efektif dibanding melakukannya secara mendadak ketika regulasi resmi tiba-tiba diberlakukan dan organisasi harus mengejar ketertinggalan dalam waktu singkat persis pola yang terjadi pada banyak perusahaan menjelang penegakan penuh UU PDP.
Kesimpulan
Kesenjangan antara kecepatan adopsi AI dan kesiapan tata kelolanya bukan sekadar isu teknis ia adalah risiko bisnis yang nyata, mencakup kebocoran data, keputusan bias, ketergantungan pada informasi yang tidak akurat, hingga ketidaksiapan menghadapi regulasi yang kini bergerak semakin cepat, baik secara global maupun di Indonesia.
Menunggu sampai regulasi resmi benar-benar berlaku bukan strategi yang bijak. Organisasi yang mulai membangun fondasi tata kelola AI sekarang mulai dari inventarisasi penggunaan, kebijakan yang jelas, hingga mekanisme pengawasan berkelanjutan akan berada dalam posisi yang jauh lebih siap, lebih dipercaya, dan lebih kompetitif dibanding yang masih menunggu dan bereaksi belakangan.
Ingin memulai langkah membangun tata kelola AI yang sesuai kebutuhan bisnis Anda? Tim Proxsis IT siap membantu memetakan kesiapan dan menyusun langkah awal yang tepat. Konsultasi Gratis 30 menit bersama konsultan ahli kami, tanpa komitmen apa pun mulai dari memahami di mana posisi kesiapan tata kelola AI di organisasi Anda saat ini.Â
Anda juga bisa membaca ulasan lebih lanjut soal urgensi AI Governance di artikel kami sebelumnya: Siapkan AI Governance sebagai Standar “ISO Baru” Perusahaan.
FAQ (Pertanyaan yang Sering Diajukan)
- Apa itu shadow AI dan mengapa berisiko bagi perusahaan?
Shadow AI adalah penggunaan tools AI oleh karyawan tanpa sepengetahuan atau persetujuan resmi organisasi. Risikonya termasuk potensi kebocoran data sensitif ke platform pihak ketiga dan ketergantungan pada output yang tidak terverifikasi, karena penggunaannya berjalan di luar pengawasan dan kebijakan internal. - Apakah tata kelola AI hanya relevan untuk perusahaan besar?
Tidak. Perusahaan dengan skala apa pun yang menggunakan AI dalam operasionalnya baik lewat tools komersial maupun sistem yang dikembangkan sendiri menghadapi risiko yang sama terkait data, bias, dan akuntabilitas, sehingga tata kelola AI relevan diterapkan secara proporsional sesuai skala dan risiko masing-masing organisasi. - Apa perbedaan antara kebijakan penggunaan AI dan tata kelola AI (AI governance)?
Kebijakan penggunaan AI biasanya berupa aturan spesifik tentang apa yang boleh dan tidak boleh dilakukan. Tata kelola AI lebih luas, mencakup keseluruhan sistem kebijakan, proses asesmen risiko, struktur akuntabilitas, pelatihan, hingga mekanisme audit berkelanjutan sepanjang siklus hidup penggunaan AI. - Bagaimana status regulasi AI di Indonesia saat ini?
Pemerintah melalui Kementerian Komunikasi dan Digital telah menyelesaikan dua rancangan Peraturan Presiden terkait Peta Jalan AI Nasional dan Etika AI, yang saat ini berada dalam proses akhir sebelum ditandatangani. Sebelumnya, Surat Edaran Menkominfo No. 9 Tahun 2023 telah memberikan panduan etika dasar, meski belum bersifat mengikat penuh secara hukum. - Apakah ISO/IEC 42001 wajib diterapkan oleh perusahaan yang menggunakan AI?
Sertifikasi ISO/IEC 42001 sifatnya sukarela, bukan kewajiban hukum. Namun, kerangka kerja ini memberikan pendekatan terstruktur yang bermanfaat untuk membangun tata kelola AI yang matang dan dapat diaudit, sekaligus mempersiapkan organisasi menghadapi regulasi yang mungkin muncul di masa depan. - Apa risiko terbesar jika perusahaan menunda pembangunan tata kelola AI?
Risiko utamanya meliputi potensi pelanggaran UU PDP akibat data yang masuk ke tools AI tanpa kontrol, keputusan bisnis yang keliru akibat output AI yang tidak terverifikasi, serta ketidaksiapan menghadapi regulasi resmi yang bisa memaksa perusahaan melakukan penyesuaian besar secara mendadak dan dengan biaya yang lebih tinggi. - Dari mana perusahaan sebaiknya mulai membangun tata kelola AI?
Langkah paling realistis adalah memulai dari inventarisasi penggunaan AI yang sudah berjalan di organisasi (termasuk yang informal), kemudian menyusun kebijakan dasar penggunaan AI, sebelum melangkah ke asesmen risiko yang lebih mendalam dan kerangka kerja formal seperti ISO/IEC 42001. - Apakah tata kelola AI akan menghambat inovasi dan kecepatan adopsi AI di perusahaan?
Sebaliknya, tata kelola yang jelas justru memberikan kepastian arah bagi tim untuk berinovasi karyawan dan tim pengembang tahu batasan yang aman untuk dieksplorasi, sehingga eksperimen dengan AI dapat dilakukan dengan lebih percaya diri, bukan secara diam-diam dan tidak terkendali.