Tanyakan pada pemilik bisnis di mana data operasional perusahaan sebenarnya tersimpan, dan mereka akan menunjuk ke ERP, CRM, atau sistem apa pun yang sudah mereka bayar mahal. Tanyakan pada staf yang benar-benar menjalankan operasional harian, dan separuh dari mereka akan menunjuk ke sebuah spreadsheet di laptop pribadi seseorang yang belum pernah dilihat oleh siapa pun di level manajemen. Celah itulah tempat risiko shadow IT bersembunyi, dan menurut pengalaman saya, hal ini ada di hampir setiap SME yang pernah saya audit, tanpa kecuali.
Shadow IT sering dibicarakan sebagai kegagalan keamanan, staf yang bertindak sendiri, mengabaikan kebijakan, melakukan sesuatu yang seharusnya tidak dilakukan. Menurut saya framing itu sebagian besar keliru dan tidak membantu. Spreadsheet dan aplikasi pribadi yang saya temukan saat audit hampir selalu merupakan bukti adanya kebutuhan yang tidak terpenuhi, bukan kesalahan staf. Seseorang membuat solusi alternatif karena sistem resmi tidak bisa melakukan apa yang benar-benar dibutuhkan pekerjaannya, dan tidak ada orang di atasnya yang pernah menyadari atau menanyakan alasannya.
Memahami perbedaan ini mengubah cara Anda meresponsnya, dan itulah yang membedakan audit yang benar-benar memperbaiki sesuatu dari audit yang hanya membuat orang takut dan lebih pandai menyembunyikan solusi alternatifnya.
Kenapa Spreadsheet Itu Ada
Setiap spreadsheet bayangan yang pernah saya temukan punya alasan yang sepenuhnya masuk akal dari sudut pandang orang yang membuatnya:
- Sistem resmi tidak mendukung sebuah field yang benar-benar dibutuhkan bisnis, jadi seseorang mencatatnya secara terpisah.
- Mengeluarkan laporan dari sistem resmi butuh tiket support dan menunggu tiga hari, jadi seseorang membuat versi pribadi yang lebih cepat.
- Software yang disetujui tidak bisa berkomunikasi dengan sistem milik supplier, jadi seseorang menjembataninya secara manual.
- Seorang manajer resign, dan penggantinya mewarisi proses yang tidak terdokumentasi tanpa sistem pencatatan resmi, jadi ia membuat sistemnya sendiri.
Tidak ada satu pun dari ini yang berniat jahat. Ini inisiatif, diterapkan pada celah yang tidak dilihat atau tidak diprioritaskan untuk diperbaiki oleh manajemen. Staf yang membuat spreadsheet itu biasanya justru orang paling capable di timnya, bukan yang paling kurang disiplin.
Apa yang Sebenarnya Diancam oleh Shadow IT
Risikonya tetap nyata meskipun niatnya baik. Tiga mode kegagalan ini berulang kali muncul:
- Single point of failure. Jika satu-satunya orang yang memahami formula dan macro di spreadsheet itu resign atau sakit, proses yang didukungnya langsung berhenti berjalan, dan seringkali tidak ada orang lain yang tahu proses itu ada sampai akhirnya rusak.
- Drift integritas data. Spreadsheet yang awalnya cuma pelacak sederhana lama-lama menumpuk override manual, kesalahan copy-paste, dan logika yang tidak terdokumentasi selama bertahun-tahun. Tidak ada yang bisa memastikan dengan yakin apakah angka di dalamnya masih benar.
- Dependensi yang tidak terlihat. Manajemen mengambil keputusan dengan asumsi sistem resmi adalah sumber kebenaran, padahal realitas operasional sebenarnya hidup di sebuah file yang tidak diketahui pihak resmi mana pun. Keputusan diambil berdasarkan data yang basi atau tidak lengkap tanpa ada yang menyadarinya.
Saya pernah menyaksikan ini terjadi di sebuah perusahaan multifinance, di mana pencatatan pencairan pinjaman secara resmi hidup di core system mereka, tapi tim operasional diam-diam membuat spreadsheet paralel untuk menangani pengecualian yang tidak bisa diproses core system. Ketika sebuah audit akhirnya menemukannya, tidak ada yang bisa memastikan, termasuk kepala operasionalnya sendiri, apakah kedua sistem itu cocok satu sama lain selama dua belas bulan terakhir. Rekonsiliasi itu memakan waktu berminggu-minggu dan menunda sebuah compliance review.
Cara Menemukannya
Pertanyaan langsung, "apakah kamu pakai spreadsheet tidak resmi," jarang berhasil. Staf sudah belajar bahwa menjawab jujur kadang membawa masalah bagi mereka, jadi mereka meremehkan seberapa besar mereka sebenarnya bergantung pada itu. Pertanyaan yang lebih baik:
"Kalau laptopmu rusak besok tanpa backup, apa yang akan berhenti berjalan?"
Pertanyaan ini mengubah arah percakapan menjadi soal kelangsungan bisnis, bukan kepatuhan, dan orang menjawabnya jauh lebih jujur. Tanyakan ini pada setiap team lead dan biasanya Anda akan menemukan sebagian besar sistem bayangan hanya dalam satu putaran wawancara. Lanjutkan dengan menanyakan apa yang dilakukan spreadsheet itu yang tidak bisa dilakukan sistem resmi, jawabannya akan menunjukkan persis celah apa yang sedang ditambal.
Merespons Tanpa Menghukum Inisiatif
Setelah Anda punya daftar lengkapnya, kelompokkan setiap sistem bayangan ke salah satu dari tiga kategori berikut:
| Kategori | Respons |
|---|---|
| Benar-benar berguna, risiko rendah | Formalkan: dokumentasikan, backup, tunjuk pemilik cadangan |
| Benar-benar berguna, risiko tinggi | Pindahkan logikanya ke sistem yang layak, dengan melibatkan pembuat aslinya dalam desainnya |
| Redundan atau berbahaya | Pensiunkan, tapi hanya setelah memastikan apa yang menggantikan celah yang sedang ditambalnya |
Kesalahan yang paling sering saya lihat adalah langsung lompat ke "larang semua spreadsheet tidak resmi" tanpa melakukan triase ini dulu. Itu hanya mendorong solusi alternatifnya semakin bersembunyi, biasanya pindah ke ponsel pribadi atau cloud drive pribadi seseorang, yang justru hasilnya lebih buruk daripada kondisi semula.
Kesimpulan Praktis
Risiko shadow IT bukan soal kedisiplinan staf, melainkan sinyal bahwa sistem resmi Anda punya celah yang diam-diam ditambal tim Anda atas inisiatif sendiri. Temukan itu dengan bertanya apa yang akan rusak kalau sebuah laptop mati, bukan dengan menuntut pengakuan. Lalu formalkan yang berguna dan gantikan yang berbahaya, dengan melibatkan orang yang membuatnya alih-alih mengabaikan mereka. Kalau akar masalahnya adalah sistem inti dan website Anda memang tidak pernah dirancang mengikuti cara kerja yang sebenarnya terjadi, rencana strategi digital satu halaman yang bisa ditulis setiap SME adalah langkah lanjutan yang baik, dan untuk sudut pandang AI dalam merapikan operasional di sekitar alur kerja nyata, lihat apa arti sebenarnya dari operasional yang AI-native bagi bisnis.