Masa Depan Industri Pembayaran dari Perspektif Pengelolaan Risiko
Industri pembayaran dengan cepat berada di puncak “era terpisah” baru, yang menjadikannya makin terputus dari rekening dan didominasi oleh teknologi yang unggul. Dalam konteks ini, ekspektasi pelanggan terus meningkat, sedangkan perusahaan pembayaran akan membedakan diri mereka dengan menawarkan kenyamanan, keterjangkauan, dan keamanan luar biasa kepada pelanggan. Bagi fungsi risiko, dinamika baru ini menawarkan peluang untuk peran yang lebih luas.
Risiko sebagai Mekanisme Perlindungan
Dalam lanskap pembayaran yang kompetitif, nasabah dan regulator menuntut transaksi yang lebih cepat dan aman. Akibatnya, manajemen risiko yang kuat menjadi keharusan bagi lembaga pembayaran. Terdapat empat area yang dapat menjadi fokus perusahaan untuk mendapatkan keunggulan kompetitif.
- Memperkuat proses risiko untuk menjaga kepatuhan terhadap peraturan
Selain meningkatkan fokus mitigasi penipuan, penyedia layanan pembayaran (payments service provider/PSP) dapat memodifikasi program manajemen risiko untuk melindungi pendapatan dan meningkatkan kepatuhan terhadap peraturan. Untuk memperkuat manajemen risiko, penyedia layanan pembayaran dapat mengambil langkah-langkah yang mencakup peningkatan proses, fokus secara tajam pada standar industri, menangani dampak terhadap pelanggan, mengelola risiko secara proaktif, berinvestasi dalam remediasi dan kepatuhan, dan mempertahankan budaya perusahaan yang kuat.
- Memerangi penipuan sekaligus meningkatkan pengalaman pelanggan
Pada 2022, Federal Trade Commission (FTC) melaporkan, penipuan meningkat sebanyak 49% dengan kehilangan yang dialami konsumen hampir mencapai 8,8 miliar dolar Amerika Serikat (AS). Solusi untuk tantangan ini secara konseptual sederhana: Organisasi harus lebih baik dalam mendeteksi dan mencegah penipuan. Alat-alat canggih dapat digunakan jika dipasangkan dengan komunikasi terbuka dan transparansi dengan pelanggan. Hal ini termasuk mengambil langkah proaktif untuk meningkatkan kesadaran tentang penipuan.
- Membangun ketahanan operasional untuk mencegah kegagalan
Terlepas dari perhatian regulator, PSP makin fokus pada ketahanan operasional di seluruh rantai nilai karena potensi dampaknya terhadap bisnis. PSP perlu mengambil tindakan untuk meningkatkan ketahanan operasional. Langkah awal yang baik adalah melakukan tinjauan dari atas ke bawah terhadap operasi, termasuk yang disediakan oleh penyedia layanan pihak ketiga, untuk menentukan layanan bisnis penting dan prosesnya.
- Memperbaiki proses kredit dan penagihan untuk mengatasi normalitas baru
Karena fungsi risiko terus meningkatkan relevansinya di antara PSP, upaya proaktif untuk meningkatkan pendekatan pencegahan penipuan pun dilakukan dengan cara mematuhi harapan regulator, meningkatkan ketahanan operasional, serta menyesuaikan manajemen kredit dan penagihan dengan standar baru.
Risiko sebagai Pendorong Pertumbuhan
Fungsi risiko secara historis berfokus pada risiko-risiko yang merugikan. Maka, perusahaan harus mempertimbangkan pengaturan ulang dengan kapabilitas risiko yang dilihat sebagai pendorong potensial penciptaan nilai dan diferensiasi. Terdapat tiga area perusahaan untuk memanfaatkan risiko sebagai mitra agar lebih menghasilkan keunggulan kompetitif.
- Tumbuh secara menguntungkan di pasar atau segmen baru
Meskipun fungsi risiko secara historis telah mengarahkan PSP untuk menjauhi segmen yang berisiko, organisasi yang memiliki pendekatan manajemen risiko yang kuat dapat mengevaluasi kembali selera risiko. Dengan pendekatan ini, fungsi risiko akan bertindak sebagai mitra bisnis yang dapat berpikir secara strategis tentang trade-off untuk melayani segmen yang berisiko dan berpotensi,
- Melihat risiko sebagai produk untuk melayani pedagang dengan lebih baik
PSP dapat bertindak untuk mencegah kerugian akibat penipuan dan kerugian dari transaksi yang sah, yang ditandai secara tidak akurat dengan memproduksikan dan mengomersialkan kemampuan manajemen risiko. Hal ini memungkinkan mereka untuk bermitra lebih dekat dengan pedagang.
- Merangkul operasi layanan
Seiring dengan pembayaran digital yang terus menggantikan uang tunai, PSP telah memperluas tim operasi layanan, termasuk operasi penipuan. Namun, beberapa praktik tetap tidak berubah dan sangat manual. Hal ini mengakibatkan pengalaman pelanggan yang buruk, kesalahan, penundaan, dan ketidakkonsistenan. Maka, PSP dapat melihat peluang untuk meningkatkan produktivitas dan efektivitas operasi melalui teknologi, termasuk kecerdasan buatan (artificial intelligence/AI), otomatisasi alur kerja yang cerdas, dan AI generatif.
Dalam beberapa bulan ke depan, industri pembayaran dihadapkan pada tingkat risiko yang tinggi, pengawasan regulasi yang ketat, dan perubahan signifikan dalam standar global. Dalam konteks ini, para pemain dalam rantai nilai pembayaran tidak boleh hanya bereaksi, tetapi harus secara proaktif mempelopori strategi manajemen risiko baru.
Artikel ini telah diterbitkan oleh McKinsey & Company, dengan judul “The Future of The Payments Industry: How Managing Risk Can Drive Growth” pada 2 Februari 2024. Artikel selengkapnya dapat dibaca di sini.
Navigasi Risiko AI Generatif dan Tantangan Regulasi
Ketersediaan kecerdasan buatan (artificial intelligence/AI) generatif secara massal, seperti ChatGPT dari OpenAI dan Google Bard, menjadi perhatian utama para eksekutif risiko perusahaan pada kuartal kedua 2023.
“AI generatif adalah risiko kedua yang paling sering disebut dalam survei kuartal kedua kami, yang muncul di daftar 10 besar untuk pertama kalinya,” kata Ran Xu, Direktur Penelitian Gartner Risk & Audit Practice. “Hal ini mencerminkan pertumbuhan pesat kesadaran publik dan penggunaan alat AI generatif serta luasnya potensi kasus penggunaan dan potensi risiko yang ditimbulkan oleh alat ini.”
Ketersediaan AI Generatif
Gartner sebelumnya mengidentifikasi 6 risiko AI generatif dan 4 area regulasi AI yang relevan dengan fungsi assurance. Dalam hal mengelola risiko perusahaan, ada tiga aspek utama yang harus diperhatikan.
- Kekayaan intelektual
“Informasi yang dimasukkan ke dalam alat AI generatif dapat menjadi bagian dari rangkaian pelatihannya, yang berarti bahwa informasi sensitif atau rahasia dapat berakhir pada keluaran untuk pengguna lain,” kata Xu. Maka, penting untuk mengedukasi pimpinan perusahaan tentang kehati-hatian dan transparansi dalam penggunaan alat sehingga risiko kekayaan intelektual dapat dimitigasi dengan baik baik.
- Privasi data
Alat AI generatif dapat membagikan informasi pengguna dengan pihak ketiga, seperti vendor atau penyedia layanan tanpa pemberitahuan. Hal ini berpotensi melanggar hukum privasi di banyak yurisdiksi.
- Keamanan siber
“Peretas selalu menguji teknologi baru untuk mencari cara menumbangkannya demi tujuan mereka sendiri. AI generatif tidak berbeda,” kata Xu. “Kami melihat contoh-contoh kode malware dan ransomware yang diakali oleh AI generatif untuk diproduksi, serta serangan prompt injections. Hal ini mengarah pada industrialisasi serangan phishing tingkat lanjut.”
Implikasi Risiko Kelangsungan Hidup Pihak Ketiga
Jika kondisi ekonomi memburuk secara luas, penurunan permintaan yang tidak terduga dapat muncul dan memengaruhi kelangsungan hidup vendor atau kemampuan mereka untuk menyediakan barang dan jasa secara tepat waktu. Terdapat tiga potensi konsekuensi kelangsungan hidup pihak ketiga yang perlu dipantau oleh manajer risiko seiring dengan berkembangnya situasi sebagai berikut.
- Hilangnya input dan bahan utama
Jika pihak ketiga menaikkan harga karena situasi ekonomi, akan ada risiko kehilangan akses ke input dan bahan utama. Hal ini dikarenakan pihak ketiga lebih memilih pelanggan yang membayar dengan harga lebih tinggi.
- Asumsi perencanaan keuangan yang cacat
Asumsi biaya menjadi tidak valid ketika pemasok menaikkan harga atau gagal sehingga memerlukan biaya peralihan dan kenaikan harga untuk mendapatkan barang dan jasa.
- Tantangan di luar rantai pasokan
Para mitra, termasuk penyedia layanan terkelola atau mitra komersial, kreditor, dan vendor teknologi dapat menghentikan atau mengurangi operasi.
Artikel ini telah diterbitkan oleh ERMA, dengan judul “Navigating Generative AI Risks and Regulatory Challenges” pada 14 Agustus 2023. Artikel selengkapnya dapat dibaca di sini.
Keberlanjutan: Peluang Besar Layanan Informasi
Dalam beberapa tahun terakhir, gelombang besar peraturan terkait keberlanjutan (sustainability) mulai bermunculan seiring dengan upaya negara-negara di seluruh dunia untuk mengatasi tantangan nol karbon. Beberapa peraturan, seperti Standar Pelaporan Keuangan Internasional (International Financial Reporting Standards), berkaitan dengan persyaratan pengungkapan dan memengaruhi industri secara keseluruhan. Survei kami terhadap para manajer aset menemukan bahwa 80% dari mereka menempatkan keberlanjutan dan inisiatifnya sebagai prioritas utama perusahaan.
Ekosistem informasi keberlanjutan dipenuhi oleh perusahaan data, perangkat lunak, konsultan, firma akuntansi, dan lain-lain. Perusahaan mulai mengambil langkah-langkah untuk mengatasi tekanan dan meningkatkan peringkat keberlanjutan. Namun, mereka menghadapi berbagai masalah dalam prosesnya. Sebagai contoh, beberapa fungsi, seperti pemasaran dan akuntansi, menggunakan data yang sama untuk membuat laporan yang menghasilkan kesimpulan yang sangat berbeda, Hal ini menimbulkan redundansi dan ketidakkonsistenan. Untuk mengatasi masalah tersebut, banyak perusahaan membentuk kantor terpisah yang dikepalai oleh seorang chief sustainability officer (CSO).
Praktik Utama
Sejumlah perusahaan layanan informasi bereksperimen di bidang keberlanjutan selama beberapa tahun. Namun, hanya sedikit yang membangun aliran pendapatan keberlanjutan yang besar. Untuk menghindari jebakan yang menghambat, ada tiga praktik yang menjadi kunci utama.
1. Mulai dengan Persona Pelanggan yang Sudah Dikenal
Penyedia layanan informasi harus mengatasi tantangan keberlanjutan yang dihadapi pelanggan saat ini, bukannya menargetkan persona baru. Strategi ini memiliki dua keuntungan utama, yaitu (1) kebutuhan peningkatan keterampilan untuk staf perusahaan menjadi lebih memungkinkan karena perusahaan berfokus pada topik, pengguna, dan alur kerja yang sudah ada serta (2) risiko akuisisi yang buruk atau pengembangan produk yang salah menjadi jauh lebih kecil.
2. Penyelarasan pada Jenis Penciptaan Nilai Tertentu
Karena keberlanjutan merupakan topik yang kompleks, penyedia layanan informasi sering kali tidak dapat mengartikulasikan nilai kepada pelanggan. Akibatnya, kecocokan antara produk dan pasar menjadi kurang, meskipun permintaannya kuat. Maka, penting bagi penyedia layanan informasi untuk mengidentifikasi proposisi nilai yang spesifik untuk setiap segmen target.
3. Mengantisipasi Dampak Peraturan Baru
Untuk mengantisipasi dampak regulasi, perusahaan layanan informasi direkomendasikan untuk menerapkan dua praktik terbaik. Pertama, membangun kemampuan pemantauan yang kuat. Hal ini berhubungan dengan pengembangan kapasitas untuk melakukan pemindaian terhadap peraturan, panduan, dan pembaruan. Kedua, mengoptimalkan operasi dan kontrol internal. Dengan meningkatnya permintaan akan transparansi, kemampuan ini dibutuhkan untuk mengungkapkan metodologi.
Seluruh pihak yang terlibat dalam layanan informasi perlu bergerak cepat untuk mendukung penciptaan nilai tambahan dalam jangka pendek (2024—2025), jangka menengah (2025—2028) dan jangka panjang (2028—2030 dan seterusnya).
Dalam jangka pendek, banyak pelanggan layanan informasi berfokus pada hal-hal mendasar untuk memenuhi permintaan investor dan pelanggan. Mereka mengukur kinerja mereka serta menetapkan, menyempurnakan, dan mengomunikasikan target keberlanjutan. Sementara itu, dalam jangka menengah, kebutuhan pelanggan akan layanan informasi akan meningkat dan menyebabkan gelombang penggunaan yang lebih canggih.
Dalam jangka panjang, materialitas keberlanjutan akan menjadi arus utama. Pelanggan layanan informasi akan membutuhkan bantuan untuk meningkatkan kemampuan agar menjadi sistem yang kuat.
Artikel ini telah diterbitkan oleh BCG, dengan judul “Sustainability Data Is a Big Opportunity in Information Services” pada 14 Februari 2024. Artikel selengkapnya dapat dibaca di sini.
Fokus Risiko 2025 untuk Auditor Internal
Perangkat kecerdasan buatan (artificial intelligence/AI) telah menjadikan persaingan dan permintaan pasar sebagai fokus strategis utama. AI menjanjikan pertumbuhan produktivitas Eropa pada 2025, membuka pasar baru, serta meningkatkan profitabilitas dan daya saing. Namun, tantangannya sangat berat. Untuk itu, organisasi perlu menyeimbangkan peluang dan ancaman dengan cepat.
Laporan Risk in Focus 2025 dari European Confederation of Institutes of Internal Auditing (ECIAA) mengacu pada survei terhadap 985 kepala eksekutif audit (Chief Audit Executives/CAE), 5 pertemuan dengan 48 peserta, dan 11 wawancara tatap muka mengenai tugas audit internal atas lima topik hangat sebagai berikut.
#1 Disrupsi Digital, Teknologi Baru, dan AI
Strategi Disrupsi Digital
Munculnya AI generatif (gen AI) memberikan dorongan baru bagi upaya digitalisasi organisasi. Di sisi lain, disrupsi digital, teknologi baru, dan AI memang merupakan area risiko yang paling cepat berkembang. Undang-Undang Kecerdasan Buatan (UU AI/AI Act) Uni Eropa (UE) adalah kerangka kerja regulasi paling terkemuka di dunia untuk AI secara global. Para CAE yang berpartisipasi dalam survei mengatakan bahwa AI Act telah membantu meningkatkan kesadaran dewan direksi tentang potensi risiko.
Sejumlah CAE berfokus pada kerangka kerja tata kelola sehingga mereka berencana untuk memberikan asurans atas kasus-kasus penggunaan yang kecil dan spesifik serta proses tata kelola AI dalam 12 bulan ke depan. Selain itu, beberapa CAE dalam bisnis teknologi maju mulai mengintegrasikan AI dalam proses audit internal di berbagai bidang.
Saran Perlakuan Auditor Internal
- Menilai strategi AI dan digitalisasi organisasi.
- Memberikan jaminan bahwa proyek AI terkait dengan tujuan strategis utama organisasi.
- Memberikan jaminan bahwa tata kelola organisasi mampu mengendalikan penyebaran AI.
- Menilai proses agar sesuai dengan peraturan.
- Memberikan jaminan bahwa strategi AI organisasi didukung oleh program keterampilan.
- Memberikan jaminan bahwa penggunaan AI oleh organisasi bersifat etis dan dapat dipercaya.
#2 Keamanan Siber dan Keamanan Data
Mengatasi Serangan Siber Hibrida
Kecepatan dan volume serangan siber meningkat tajam. Di Amerika Serikat (AS), angka ini mencapai 1.265% pada 2023, dengan sebagian disebabkan oleh pertumbuhan gen AI. Baru-baru ini, misalnya, serangan siber deepfake yang dihasilkan oleh AI menyamar sebagai orang penting. Perusahaan Inggris, Arup, dan perusahaan periklanan multinasional WPP menjadi sasaran serangan semacam itu pada 2024.
Pada 2024, para CAE membantu organisasi menghadapi dua UU inti yang bertujuan menyelaraskan regulasi dan meningkatkan ketahanan digital di seluruh Eropa: Digital Operational Resilience Act (DORA) dan Network and Information Security Directive (Petunjuk NIS 2).
Saran Perlakuan Auditor Internal
- Memberikan jaminan budaya keamanan seputar risiko siber dan pelatihan.
- Memberikan jaminan bahwa departemen sepenuhnya diperbarui dan sadar potensi metodologi serangan hibrida.
- Menilai organisasi dalam hal meningkatkan keamanan siber.
- Memberikan jaminan atas sistem dan proses tata kelola.
- Memberikan jaminan bahwa kerangka kerja NIS2 (dan DORA—jika relevan) diintegrasikan ke dalam kerangka kerja tata kelola organisasi.
- Memberikan jaminan bahwa pemantauan kontrol dilakukan secara holistik.
#3 SDM, Keragaman, Manajemen Talenta, dan Retensi
Menyelaraskan SDM dan Strategi Bisnis
Meningkatkan efisiensi proses SDM sangatlah penting. “Kemungkinan besar orang akan berpindah-pindah organisasi lebih sering daripada sebelumnya karena mereka mencari hal-hal yang berbeda,” kata seorang konsultan di Inggris. “Organisasi membutuhkan proses orientasi yang lebih baik agar karyawan dapat bekerja lebih cepat.” Untuk itu, departemen SDM memainkan peran kunci dalam menciptakan budaya yang ramah bagi staf dan relevan dengan tujuan strategis organisasi.
Di samping itu, mendigitalkan proses SDM dapat memberikan banyak manfaat. Misalnya, memberikan data yang dibutuhkan terkait rekrutmen, retensi, dan atrisi. Digitalisasi juga membantu fungsi SDM membangun antarmuka pengguna pada layanan digital dan seluler sehingga interaksi dengan bisnis memiliki tampilan dan nuansa yang sama dengan aplikasi sehari-hari yang populer untuk meningkatkan keterlibatan.
Saran Perlakuan Auditor Internal
- Memberikan jaminan perencanaan tenaga kerja yang efektif dan selaras dengan tujuan strategis.
- Menilai kebijakan dan prosedur SDM agar selaras dengan nilai-nilai sosial.
- Memberikan jaminan bahwa survei karyawan dilakukan dengan benar secara efektif.
- Menilai tingkat gesekan organisasi dalam kategori sehat.
- Memberikan jaminan bahwa prosedur organisasi membantu pengakuan, perpindahan, dan promosi talenta utama.
- Mendukung dewan dalam memahami ketergantungan antara perencanaan suksesi, keragaman, kesetaraan, dan inklusi.
#4 Ketidakpastian Makroekonomi dan Geopolitik
Mencari Kejelasan yang Lebih Baik
Guncangan harga inflasi memuncak di Eropa antara 2022 dan 2023, lalu berkurang pada 2024, dengan suku bunga berada di atas 2,5%. Meskipun hal tersebut telah mengurangi tekanan ke atas pada biaya berbisnis dan hidup, risiko dari kemungkinan perubahan pasar dan persaingan tetap menjadi risiko ke-8 yang paling mendesak pada 2025. Guncangan lain yang lebih besar bagi bisnis adalah meletusnya perang di Palestina dan terganggunya jalur perdagangan di Timur Tengah.
Keberadaan digitalisasi dan teknologi baru menunjukkan bahwa konflik pada abad ke-21 tidak lagi hanya berupa pertempuran antar tentara. Secara strategis, bisnis semakin memperlakukan topik ini sebagai masalah tata kelola. “Di dunia yang bergejolak, ketahanan telah berubah, dari yang sebelumnya hanya tentang memiliki modal yang cukup dan keamanan siber yang kuat, menjadi seberapa cocok model bisnis Anda dan seberapa kuat proses tata kelola Anda,” ujar seorang ketua komite audit di Inggris.
Saran Perlakuan Auditor Internal
- Memberikan jaminan bahwa proses identifikasi dan mitigasi risiko berpotensi berdampak pada bisnis terintegrasi.
- Memberikan jaminan bahwa upaya ketahanan organisasi bekerja pada tingkat strategis.
- Menilai apakah organisasi memanfaatkan pengujian stres secara memadai di area risiko utama.
- Memberikan jaminan bahwa perencanaan skenario yang kuat akan menangkap kemungkinan skenario risiko secara memadai.
- Memberikan jaminan bahwa organisasi memiliki visibilitas atas seluruh rantai bisnis (dilakukan dalam mempersiapkan pengenalan Corporate Sustainability Due Diligence Directive/CSDDD).
- Memberikan jaminan bahwa proses risiko yang muncul secara teratur dilaporkan kepada dewan direksi.
#5 Perubahan Iklim, Keanekaragaman Hayati, dan Keberlanjutan Lingkungan
Meningkatkan Ketahanan Melalui Kepatuhan
Dengan laporan tahunan pertama yang akan diterbitkan di bawah Pedoman Pelaporan Keberlanjutan Perusahaan (Corporate Sustainability Reporting Directive/CSRD) pada 2025, para CAE mengatakan bahwa aspek ini merupakan area fokus utama mereka. Cakupan yang jauh lebih luas dari CSRD telah membuatnya menjadi upaya kepatuhan yang besar.
Para CAE terus memberikan asurans atas upaya pengumpulan dan pengujian data di lini pertama dan kedua. Pada 2024, terdapat fokus tambahan untuk membawa ketelitian yang terkait dengan sistem dan kontrol yang matang seputar pelaporan keuangan ke dalam pelaporan terkait iklim. “Langkah kuncinya adalah organisasi harus mengintegrasikan data terkait iklim ke dalam arsitektur data yang sudah ada dan ke dalam aplikasi sistem inti,” ujar seorang CAE sebuah bank di Spanyol.
Saran Perlakuan Auditor Internal
- Memberikan jaminan bahwa bisnis berada di jalur yang tepat untuk meningkatkan kualitas kontrol.
- Memberikan jaminan bahwa organisasi melakukan penilaian risiko materialitas yang memadai.
- Memberi saran kepada manajemen dalam menilai dampak keterlambatan pelaporan di bawah CSRD terhadap hubungan investor dan risiko reputasi.
- Memberikan jaminan bahwa bisnis mengadopsi perencanaan strategis jangka panjang untuk aset fisik.
- Menilai peran teknologi pada penilaian risiko fisik atau investasi dalam produk ramah lingkungan.
- Memberikan jaminan bahwa organisasi memiliki visibilitas terhadap seluruh rantai nilai bisnis (dilakukan dalam mempersiapkan pengenalan Corporate Sustainability Due Diligence Directive/CSDDD).
- Memberikan jaminan bahwa manajemen risiko berfokus pada ketahanan operasional.
Artikel ini telah diterbitkan oleh ECIIA, dengan judul “Risk in Focus 2025: Hot topics for internal auditors” pada September 2024. Artikel selengkapnya dapat dibaca di sini.
Kerangka Kerja dan Studi Kasus Penilaian Risiko Keamanan Digital
Kerangka Penilaian Risiko
Organisasi harus menangani risiko keselamatan secara komprehensif serta mempertimbangkan dampaknya terhadap pengguna, non-pengguna, dan hak asasi manusia (HAM). Kerangka kerja penilaian risiko ini merupakan hasil kerja kelompok multipemangku kepentingan. Dokumen ini dimaksudkan sebagai kerangka dasar untuk menyusun pendekatan dan diskusi mengenai penilaian risiko keselamatan digital.
Bank Studi Kasus
Sejumlah pendekatan dapat digunakan untuk mendorong penilaian risiko keselamatan digital dan menekankan sifatnya yang saling berhubungan.
A. Studi Kasus 1
Kerangka Kerja Digital Trust and Safety Partnership (DTSP)
DTSP merupakan inisiatif industri untuk mengembangkan praktik terbaik, yang diverifikasi melalui penilaian internal dan pihak ketiga yang independen. DTSP menyatukan perusahaan teknologi yang menyediakan berbagai macam produk dan layanan digital dengan pendekatan umum untuk meningkatkan kepercayaan dan keamanan di internet. Komitmen ini didukung oleh 35 praktik terbaik kepercayaan dan keselamatan yang mencakup berbagai fase kerangka kerja penilaian risiko.
- Konteks dan tujuan utama
Pada 2022, sepuluh perusahaan mitra DTSP melakukan penilaian internal atas penerapan DTSP best practices framework (BPF) menggunakan metodologi penilaian organisasi, Safe Framework. Studi kasus ini merangkum hasil dan temuan utama dari penilaian awal tentang cara penerapannya dalam praktik.
- Manfaat dan risiko
Manfaat utama pendekatan DTSP adalah menyediakan panduan di seluruh industri untuk mengatasi risiko terkait konten dan perilaku. DTSP juga bersifat agnostik terhadap konten dan teknologi sehingga perusahaan yang menghadapi risiko yang sangat berbeda dapat menyelaraskan diri dengan serangkaian praktik umum.
B. Studi Kasus 2
Kerangka Kerja Global Network Initiative (GNI)
Prinsip-prinsip GNI menetapkan kerangka kerja khusus untuk membantu perusahaan teknologi menghormati kebebasan berekspresi dan privasi saat berinteraksi dengan dan menanggapi tuntutan, tekanan, dan pembatasan pemerintah. Studi kasus ini mengkaji bagaimana uji tuntas hak asasi manusia (human rights due diligence/HRDD) dijelaskan dalam kerangka kerja GNI. Studi kasus ini juga menjelaskan bagaimana anggota GNI bersatu untuk menilai, belajar, dan meningkatkan upaya perusahaan secara kolektif melalui penilaian independennya.
- Konteks dan tujuan utama
Prinsip-prinsip GNI menyatakan bahwa perusahaan-perusahaan anggota akan dimintai pertanggungjawaban melalui suatu sistem. Laporan penilaian, yang dikembangkan oleh penilai independen dan terakreditasi, mencakup informasi sensitif dan nonpublik yang menggambarkan bagaimana perusahaan-perusahaan anggota menerapkan kerangka kerja GNI. Dewan multipihak GNI menggunakan laporan-laporan ini untuk menentukan apakah perusahaan menerapkan kerangka kerja dengan itikad baik dengan peningkatan dari waktu ke waktu.
- Manfaat dan risiko
Ada beberapa manfaat dari pendekatan berbasis HAM terhadap penilaian risiko yang dirinci dalam kerangka GNI dan United Nations Guiding Principles on Business and Human Rights (UNGP), antara lain, pemusatan risiko pada orang-orang yang terkena dampak dan pemastian pengikutsertaan kepentingan kelompok yang paling rentan. Sementara itu, beberapa risiko pendekatan ini, antara lain, penekanan berlebihan pada satu perusahaan atau jenis perusahaan dan perbedaan pandangan HAM dalam praktik.
C. Studi Kasus 3
Pendekatan Berbasis Sistem/Kode Praktik Selandia Baru
Kode Praktik Aotearoa Selandia Baru untuk Keselamatan dan Bahaya Daring (Aotearoa New Zealand Code of Practice for Online Safety and Harms) merupakan kode industri sukarela yang menyediakan kerangka kerja untuk meningkatkan keselamatan pengguna daring dan meminimalkan konten berbahaya. Kode ini dimaksudkan untuk menyediakan praktik terbaik dari berbagai macam produk dan layanan serta melayani komunitas pengguna yang beragam. Kode tersebut dikembangkan antara April 2021 dan Maret 2022 oleh Netsafe, sebuah organisasi keselamatan daring nirlaba independen di Aotearoa, Selandia Baru.
- Konteks dan tujuan utama
Kode ini membahas tema keselamatan dan konten berbahaya, meliputi
- eksploitasi dan pelecehan seksual anak,
- penindasan atau pelecehan,
- ujaran kebencian,
- hasutan untuk melakukan kekerasan,
- konten kekerasan atau grafis,
- misinformasi, dan
- disinformasi.
- Manfaat dan risiko
Kode ini mendukung inisiatif lintas industri untuk meningkatkan keamanan daring. Kode ini juga mengambil pendekatan berbasis sistem dan hasil terhadap keamanan daring dan moderasi konten. Pendekatan tersebut memfasilitasi akuntabilitas melalui transparansi kebijakan, proses, sistem, dan hasil.
D. Studi Kasus 4
Alat Penilaian Safety by Design dari Australian eSafety Commissioner untuk Perusahaan Rintisan
Studi kasus ini berfokus pada layanan media sosial fiktif dengan target basis pengguna berusia 13—18 tahun. Dalam studi kasus ini, alat penilaian Komisioner Keamanan Elektronik Australia diterapkan bagi perusahaan rintisan untuk mengukur tingkat keamanan pengguna dan mendapatkan informasi tentang celah keamanan yang harus diatasi oleh platform tersebut.
- Konteks dan tujuan utama
Komisioner eSafety menawarkan dua alat penilaian interaktif dan dinamis yang komprehensif untuk memandu dan mendukung industri dalam meningkatkan praktik keselamatan daring. Untuk setiap alat penilaian, pengguna diberikan modul edukatif tentang bahaya daring melalui serangkaian pilihan pertanyaan dan respons.
- Manfaat dan risiko
Studi kasus ini mengambil pendekatan yang berpusat pada manusia yang menempatkan keselamatan dan hak pengguna sebagai inti. Studi kasus ini juga mempertimbangkan kebutuhan peserta lain dalam ekosistem teknologi melalui konsultasi multipihak dengan lembaga swadaya masyarakat (LSM), advokat, orang tua, dan kaum muda. Selain itu, dengan menjawab kuesioner, platform daring dapat melihat celah yang menghambat upaya keamanan dan kepercayaan pengguna.
E. Studi Kasus 5
Keamanan Anak: Gim, Dunia Imersif, dan Metamesta
Studi kasus ini berfokus pada elemen dinamis dan imersif dari metamesta (metaverse) atau permainan (gim) dibandingkan dengan pengalaman media sosial dan permainan tradisional. Studi kasus mengikuti perjalanan pengguna yang umum, mulai dari pendaftaran pengguna hingga definisi avatar dan fitur kreatif yang lebih luas.
- Konteks dan tujuan utama
Studi kasus ini didasarkan pada penilaian klien yang nyata, yang dilakukan pada April 2019 oleh tim konsultan risiko Crisp. Studi kasus ini difokuskan pada fase identifikasi risiko dari kerangka kerja penilaian risiko, dengan fokus khusus pada risiko yang terkait dengan keselamatan anak, khususnya child sexual abuse material (CSAM).
- Manfaat dan risiko
Pendekatan yang diambil dapat, antara lain, memberikan penilaian yang jelas tentang platform, memungkinkan pembuatan heatmap, dan memungkinkan intervensi operasional dan strategis yang diprioritaskan.
F. Studi Kasus 6
Algoritma – Alat Penilaian Dampak AI
Kasus ini mengkaji penilaian dampak pengembangan fitur otomatis baru untuk mesin pencari guna memerangi penyebaran konten yang tidak diinginkan. Untuk keperluan studi kasus, fitur-fitur ini mencakup deteksi otomatis konten, penurunan peringkat konten otomatis, dan kontrol bagi manusia untuk memulai atau mengelola intervensi otomatis. Penilaian dampak dilakukan dengan metodologi kecerdasan artifisial (artificial intelligence/AI) yang bertanggung jawab dari Microsoft.
- Konteks dan tujuan utama
Studi kasus ini membahas penerapan fitur otomatis di mesin pencari untuk mengidentifikasi materi yang membahayakan pengguna dan mengurangi risiko HAM dengan mengurangi visibilitas konten yang tidak diinginkan dalam hasil pencarian.
- Manfaat dan risiko
Manfaat pendekatan ini adalah pendekatan selaras dengan pengembangan standar internasional, yang dikembangkan oleh International Organization for Standardization/International Electrotechnical Commission (ISO/IEC), dan dikembangkan bersama ISO/IEC 42001 Artificial Intelligence Management System (AIMS). Beberapa standar internasional yang terkait dengan AIMS diharapkan dalam manajemen risiko, tata kelola, dan sertifikasi sehingga pendekatan ini menjadi pendekatan yang kuat untuk perencanaan di masa mendatang.
Artikel ini telah diterbitkan oleh World Economic Forum, dengan judul “Digital Safety Risk Assessment in Action: A Framework and Bank of Case Studies” pada Mei 2023. Artikel selengkapnya dapat dibaca di sini.
4 Pilar Utama Penciptaan Nilai Keberlanjutan
Topik penciptaan nilai berkelanjutan (sustainable value) mencakup seluruh spektrum masalah tata kelola lingkungan, sosial, dan perusahaan (environmental, social, and governance/ESG). Di Asia Tenggara, topik ini diposisikan di bagian atas agenda dewan direksi, bahkan saat ini menjadi pusat daya saing perusahaan dan kemampuan operasi organisasi.
Dewan direksi terus menghadapi tantangan dari investor dan pemangku kepentingan untuk menjadi lebih proaktif dalam mendorong penciptaan nilai yang berkelanjutan. Harapan investor meningkat dengan meluasnya pengakuan bahwa faktor ESG memberikan wawasan penting tentang bagaimana suatu organisasi mendorong dan melindungi nilainya. Namun, jika pengungkapan tidak dilaksanakan dengan efektif, investor tidak dapat menilai risiko tersebut secara efektif pula.
Bagi dewan direksi dan tim manajemen, memiliki seperangkat metrik ESG yang konsisten tidak hanya akan menunjukkan komitmen, tetapi juga memungkinkan pengukuran kinerja. Hal ini akan membantu mereka berkomunikasi dengan pemangku kepentingan tentang pertimbangan keberlanjutan yang diintegrasikan dengan strategi, manajemen risiko, dan operasi.
Empat Pilar Paradigma Baru
A. Prinsip-Prinsip Tata Kelola
Karena fokus tujuan korporasi bergeser ke arah penciptaan nilai jangka panjang dan dampak ekonomi, lingkungan, dan sosialnya, organisasi semakin diharapkan untuk mendefinisikan tujuan mereka dengan cara yang mengintegrasikan dampak sosial ini ke dalam inti bisnis mereka, dan menanamkan tujuan mereka ke seluruh strategi dan operasi mereka.
Sesungguhnya, konsep-konsep ini menjadi semakin menonjol dengan menyebarnya pandemi global COVID-19, yang telah membuat hubungan timbal balik antara perusahaan, komunitas, karyawan, pelanggan, dan pemangku kepentingan lainnya menjadi sangat jelas. Pandemi memudahkan kita untuk memahami bahwa tidak ada cara untuk bertahan dan berkembang tanpa pemangku kepentingan. Yang terpenting, pandemi memunculkan ketegangan antara kebutuhan pemegang saham dan pemangku kepentingan sekaligus mengelola tujuan finansial dan nonfinansial serta menyeimbangkan kebutuhan jangka pendek dan jangka panjang.
B. Planet
Melindungi planet dari degradasi merupakan prioritas mendesak untuk mendukung kebutuhan generasi sekarang dan masa depan. Seiring dengan meningkatnya visibilitas dampak bisnis pada planet dan meluasnya tanggung jawab perusahaan, risiko bisnis yang terkait dengan kegagalan menunjukkan pemahaman yang baik dan respons terhadap dampak lingkungan pun meningkat.
Salah satu tren yang dipercepat oleh Covid-19 adalah meningkatnya kesadaran bahwa organisasi perlu fokus lebih intens pada isu lingkungan dan iklim. Namun, untuk memahami relevansi dampak lingkungan terhadap penciptaan nilai jangka panjang dan kelangsungan komersial, organisasi perlu mempertimbangkan dampak di luar rantai nilai tempat mereka beroperasi. Mereka juga perlu memperluas fokus ke seluruh rantai nilai produk dan layanan untuk mempertahankan keberhasilan komersial
C. Manusia
Tenaga kerja menciptakan nilai finansial dan nonfinansial yang penting bagi kinerja bisnis dan keunggulan kompetitif organisasi. Mereka juga memungkinkan mengurangi risiko, mempertahankan lisensi untuk beroperasi, dan memperkuat hubungan dengan pemangku kepentingan.
Hubungan manusia dan keberadaan Covid-19 menghasilkan keadaan yang baru. Pandemi mempercepat cara-cara kerja yang lebih fleksibel serta meningkatkan kesadaran akan pentingnya kesehatan mental di tempat kerja. Selain itu, organisasi diharapkan untuk menegakkan hak asasi manusia (HAM), membina tempat kerja yang beragam dan inklusif, serta menawarkan penciptaan nilai, kesempatan untuk berkembang, dan kemajuan nyata di setiap bidang.
D. Kemakmuran
Pertumbuhan ekonomi harus dibangun atas dasar lapangan kerja yang layak, produksi dan konsumsi yang berkelanjutan, serta inovasi dan transformasi model bisnis untuk menciptakan nilai bersama bagi semua. Bisnis tidak akan berhasil dalam masyarakat yang sedang gagal. Oleh karena itu, organisasi memiliki peran penting dalam mencapai visi untuk menumbuhkan ekonomi yang kuat, inklusif, dan transformatif.
Kini, makin banyak pemimpin bisnis menyadari bahwa nilai sejati organisasi terletak pada banyak aset tak berwujud.. Namun, banyak pula organisasi yang tidak sepenuhnya menangkap aset ini dalam pengukuran dan pelaporan. Kurangnya pemahaman ini dapat mengakibatkan kesalahan perhitungan yang serius. Sebaliknya, dengan meningkatkan pengukuran dan pelaporan metrik serta pengungkapan, organisasi dan pemangku kepentingan dapat menerjemahkan nilai ini ke dalam bahasa bisnis dengan lebih baik.
Penciptaan Nilai Berkelanjutan
Fungsi dewan direksi secara tradisional telah dan tetap menjadi salah satu fungsi pengawasan dan pengelolaan. Pertimbangan cermat terhadap kebutuhan pemangku kepentingan yang lebih luas akan mendorong nilai bagi pemegang saham. Para direktur harus menggunakan kesempatan tersebut untuk mempromosikan keterlibatan yang efektif dan transparan dengan investor.
Untuk itu, nilai keberlanjutan harus ditetapkan terlebih dahulu. Ada lima langkah utama yang harus diambil oleh dewan direksi untuk merangkul penciptaan nilai berkelanjutan, yaitu
- mulai dengan tujuan,
- atur dari bagian atas,
- fokus pada prioritas utama keberlanjutan,
- tanamkan keberlanjutan dalam praktik tata kelola dewan, serta
- buat komitmen untuk keterlibatan dan komunikasi terbuka.
Secara umum, komitmen terhadap penciptaan nilai berkelanjutan memerlukan penyediaan pengungkapan yang transparan dan berkualitas tinggi. Di situlah letak peluang nyata untuk merangkul keberlanjutan, yaitu dengan memungkinkan dewan dan manajemen berkomunikasi lebih baik. Sebagai permulaan, dewan direksi hendaknya mempertimbangkan penyusunan pemikiran mereka di sepanjang empat pilar utama.
Artikel ini telah diterbitkan oleh Deloitte, dengan judul “Embracing sustainable value creation in the boardroom” pada April 2021. Artikel selengkapnya dapat dibaca di sini.
Daftar Risiko Teratas 2024
Berdasarkan survei global oleh Protoviti terhadap para eksekutif dan direktur C-level dalam hal pengaruh hambatan ekonomi, masalah talenta, teknologi baru, ancaman dunia maya, dan peristiwa geopolitik, berikut adalah daftar risiko teratas (top risk) 2024.
- Kondisi ekonomi dapat secara signifikan membatasi peluang pertumbuhan.
- Kemampuan organisasi untuk mempertahankan talenta terbaik, mengelola perubahan ekspektasi tenaga kerja, dan mengatasi tantangan suksesi dapat membatasi kemampuan mencapai target operasional.
- Organisasi mungkin tidak cukup siap mengelola ancaman siber yang dapat merusak merek.
- Risiko pihak ketiga yang timbul akibat ketergantungan pada outsourcing dan pengaturan kemitraan strategis dapat mencegah tercapainya target organisasi.
- Perubahan regulasi dan pengawasan secara signifikan memengaruhi proses produk atau layanan dirancang dan diproduksi.
- Penerapan teknologi digital mungkin memerlukan keterampilan baru yang terbatas sehingga memerlukan upaya signifikan untuk meningkatkan keterampilan karyawan.
- Operasi dan infrastruktur teknologi informasi (TI) lama mungkin tidak memenuhi harapan kinerja sebaik pesaing di era digital.
- Lingkungan suku bunga saat ini mungkin memiliki dampak signifikan terhadap biaya modal dan operasi organisasi.
- Peningkatan biaya tenaga kerja yang diantisipasi dapat memengaruhi kemampuan untuk memenuhi target profitabilitas.
- Kepatuhan terhadap peraturan privasi data mungkin memerlukan sumber daya yang signifikan untuk merestrukturisasi cara data dikumpulkan dan digunakan.
Kekhawatiran ekonomi menempati posisi risiko teratas, menggantikan risiko talenta dan masalah suksesi (naik dari posisi kedua pada 2023). Maka, kebijakan bank sentral difokuskan pada penanggulangan inflasi yang disebabkan oleh:
- peningkatan biaya tenaga kerja;
- program stimulus pemerintah yang besar;
- pengurangan risiko ketergantungan negara-negara Barat terhadap Tiongkok, konflik regional, dan perkembangan lain di kawasan lanskap geopolitik; dan
- peningkatan harga tempat tinggal, makanan, dan energi.
Kekhawatiran ekonomi melingkupi seputar lingkungan suku bunga yang secara signifikan memengaruhi biaya modal dan operasi organisasi. Sementara itu, risiko yang berkaitan dengan manusia tetap menjadi perhatian utama, sedangkan budaya menjadi prioritas kedua. Penurunan risiko terkait budaya kemungkinan terjadi karena organisasi menekankan peningkatan ketahanan dan kesadaran risiko karyawan dalam lingkungan bisnis yang berkembang pesat.
Risiko di peringkat kedua pada daftar 2024—menemukan dan mempertahankan talenta yang tepat—sangat relevan di era terkini. Organisasi harus menemukan strategi untuk menciptakan daya tarik bagi jenis talenta unik yang mereka butuhkan.
Sementara itu, keamanan siber menjadi perhatian utama dalam jangka pendek. Ancaman siber kini menempati peringkat risiko ketiga pada 2024 (naik dari peringkat ke-15 pada tahun lalu). Peningkatan posisi ini i mencerminkan meningginya kesadaran terhadap lanskap risiko siber yang dipengaruhi oleh kurva eksponensial kemajuan teknologi.
Kekuatan lain, seperti meningkatnya ketergantungan pada pihak ketiga, juga berkontribusi terhadap lanskap ancaman. Hal yang sama terjadi pada kondisi geopolitik, termasuk dengan adanya kepentingan nasional yang saling bersaing, hingga terorisme global yang memengaruhi penilaian risiko siber di wilayah dan negara tertentu.
Kekhawatiran atas pengawasan regulasi juga meningkat dalam jangka pendek. Risiko regulasi menurun selama pandemi Covid-19 karena banyaknya kekhawatiran risiko lainnya yang lebih tinggi. Meski begitu, kekhawatiran ini menyebar luas di seluruh industri.
Di sisi lain, peristiwa geopolitik mendorong perubahan penting dalam persepsi risiko. Tren penting dalam hasil survei global daftar risiko teratas tahun ini adalah mengenai apa yang terungkap dari temuan sebelum dan sesudah 7 Oktober 2023, yaitu ketika peristiwa di Israel dan Gaza meletus.
Survei ini—seperti tahun-tahun sebelumnya—menunjukkan adanya variasi dalam perspektif di seluruh kelompok industri dan wilayah di dunia. Selain itu, terdapat perbedaan perspektif di antara para direktur dan eksekutif C-level mengenai tingkat keparahan risiko pada 2024. Hal ini menunjukkan perlunya dialog di tingkat tertinggi organisasi untuk memastikan bahwa semua orang yang terlibat memiliki pemahaman yang sama mengenai risiko perusahaan yang kritis.
Pertimbangan untuk Dewan
Dalam 1 tahun ke depan, kita akan menghadapi ketidakpastian ekonomi, masalah talenta, ancaman dunia maya, risiko pihak ketiga, serta masalah regulasi dan teknologi. Keseluruhan aspek tersebut menjadi hal yang paling menyita perhatian di jajaran C-level.
Untuk itu, dewan direksi harus mempertimbangkan tema risiko dan evaluasi fokus pengawasan risiko. Jika pimpinan senior organisasi belum mengidentifikasi atau memprioritaskan masalah sebagai hal yang perlu dipertimbangkan, direktur harus bergerak untuk mempertimbangkan relevansinya dengan strategi perusahaan.
Artikel ini telah diterbitkan oleh Protiviti, dengan judul “The Top Risks for 2024: Risk Priorities Are Shifting” pada 10 Januari 2024. Artikel selengkapnya dapat dibaca di sini.
Pentingnya Pemantauan Berkelanjutan dalam Manajemen Risiko Model (MRM)
Manajemen Risiko Model (MRM) di lembaga keuangan bertujuan untuk memastikan bahwa model yang digunakan sesuai dengan peraturan, memiliki data berkualitas, dan telah diverifikasi secara konseptual. Namun, aspek penting lain yang sering terabaikan dalam MRM adalah proses pemantauan berkelanjutan. Pemantauan ini bertujuan untuk memastikan model berfungsi sesuai harapan dan tetap mematuhi peraturan yang berlaku.
Kelemahan dalam pemantauan berkelanjutan dapat berdampak serius. Misalnya, salah satu bank terbesar di AS kehilangan $2 miliar pada tahun 2012 karena penggunaan model Value-at-Risk yang tidak memadai. Model ini menyamarkan risiko, yang menyebabkan keputusan bisnis yang salah dan kerugian besar.
Komponen Utama Pemantauan Berkelanjutan
MRM yang efektif membutuhkan beberapa proses, termasuk pemantauan yang berkelanjutan, untuk memastikan model tetap berfungsi optimal. Pemantauan ini juga mendukung kepatuhan terhadap kebijakan internal serta peraturan eksternal. Berdasarkan panduan dari Federal Reserve (SR 11-7), evaluasi model harus mempertimbangkan perubahan dalam produk, eksposur, dan kondisi pasar untuk memastikan model tetap relevan.
Berikut adalah empat komponen utama pemantauan berkelanjutan:
- Input
Data internal dan eksternal yang digunakan dalam model harus terus diverifikasi untuk memastikan akurasi, kelengkapan, dan konsistensi dengan tujuan model. Penggunaan indikator risiko utama (KRI) seperti Population Stability Index (PSI) dapat membantu mengidentifikasi perubahan populasi data yang memengaruhi hasil model. - Output
Indikator kinerja utama (KPI) dari model perlu terus dievaluasi untuk mengidentifikasi pengukuran yang kurang optimal dan menyesuaikannya dengan kondisi pasar yang terbaru. KPI yang relevan memungkinkan perusahaan menilai apakah model berfungsi sesuai tujuan. - Penilaian Risiko Model dan Kebutuhan Regulasi
Penilaian risiko model digunakan untuk mengidentifikasi risiko dari setiap model, serta risiko agregat yang dihasilkan dari seluruh model dalam inventaris. Penilaian ini harus sejalan dengan prosedur validasi model perusahaan dan persyaratan regulasi. - Pelaporan
Setiap organisasi harus memiliki kerangka kerja pelaporan yang jelas untuk merespons kesalahan model, risiko, atau masalah lainnya. Proses eskalasi yang tepat hingga ke tingkat dewan sangat penting untuk memastikan pengambilan keputusan yang tepat waktu.
Pemantauan berkelanjutan memastikan bahwa struktur tata kelola, kualitas data, dan keandalan konseptual model tetap selaras dengan tujuan dan risiko organisasi. Kelemahan dalam proses ini dapat menyebabkan kerugian finansial dan reputasi yang besar. Pemantauan yang efektif harus dimulai sejak model dikembangkan dan dilaporkan secara rutin kepada manajemen untuk memungkinkan penyesuaian yang tepat waktu.
Pemantauan berkelanjutan adalah kunci keberhasilan MRM, memberikan transparansi dan membantu organisasi menavigasi perubahan risiko dengan lebih baik. Dengan adanya pemantauan yang kokoh, pemimpin organisasi dapat lebih siap dalam mengantisipasi risiko yang muncul.
Artikel ini telah diterbitkan oleh Grant Thornton pada 27 Juli 2023, dengan judul Facilitating Ongoing Monitoring in Model Risk Management. Artikel selengkapnya dapat dibaca di sini.
Disrupsi yang Berlebih Menuntut Pembaruan
Saat ini, guncangan besar terus terjadi dan volatilitasnya konstan. Hal ini mencakup fenomena cuaca yang mengganggu, pergolakan geopolitik, dan ketidakpastian ekonomi.
Ketika melakukan pembaruan untuk menciptakan peluang dari semua gangguan dan volatilitas, perusahaan perlu berpikir secara berbeda dalam memitigasi dan menavigasi risiko. Namun, hanya 14,5% organisasi (yang disurvei) yang memiliki kemampuan manajemen risiko tingkat lanjut. Organisasi-organisasi inilah yang lebih mungkin untuk berkembang sebagai bisnis.
Selama 4 tahun terakhir, gangguan meningkat sebesar 183%. Sementara itu, pada tahun lalu, angkanya menjadi sebesar 33% saja, menurut Accenture Pulse of Change: 2024 Index. Risiko-risiko yang kompleks dan saling berhubungan muncul dengan kecepatan yang lebih tinggi dibandingkan sebelumnya.
Risiko yang Menjadi Lebih Kompleks
Dunia bisnis menghadapi tantangan dalam mengelola risiko teknologi, terutama yang berhubungan dengan penggunaan cloud dan kecerdasan artifisial (artificial intelligence/AI). Selain itu, risiko peraturan meningkat seiring diberlakukannya undang-undang baru, misalnya mengenai AI serta tata kelola lingkungan, sosial, dan perusahaan (environmental, social, and governance/ESG). Di berbagai industri, risiko teknologi disruptif juga menjadi semakin signifikan, misalnya dengan keberadaan deepfake.
Bisnis juga menghadapi kompleksitas risiko sosial dan geopolitik. Sebagian besar profesional di bidang risiko (83%) mengakui bahwa risiko yang kompleks kini muncul lebih cepat. Maka dari itu, perusahaan perlu meningkatkan kemampuan mengelola risiko serta meresponsnya dengan strategi baru.
Menurut Accenture Risk Study: 2024 Edition, risiko menjadi semakin saling bergantung. Sebagai contoh, responden survei mengurutkan risiko strategis sebagai jenis risiko yang paling meningkat. Risiko strategis juga diperburuk oleh risiko keuangan, peraturan dan teknologi. Hubungan antarrisiko ini perlu diketahui untuk memungkinkan para pemimpin risiko memahami profil risiko organisasi mereka yang sebenarnya.
Dalam menghadapi kondisi ini, manajemen risiko perlu mengalami pembaruan dengan mempertimbangkan hal-hal berikut.
- Kepuasan terhadap adopsi pola pikir risiko hanya sebesar 35% dari responden.
- Kepuasan dalam aspek manajemen risiko lainnya secara keseluruhan cukup rendah, yaitu dengan persentase antara 34% hingga 39%.
- Evaluasi kemampuan bisnis menunjukkan adanya kebutuhan peningkatan untuk mengadopsi dan menjalankan pola pikir risiko secara efektif di seluruh organisasi.
Penguatan Kemampuan Risiko
Berikut adalah hubungan antara tim manajemen risiko (lini kedua) dan operasional bisnis (lini pertama) dalam organisasi/perusahaan.
- Meningkatkan keahlian
Tim risiko harus memiliki pengetahuan dan keahlian yang relevan dengan jenis risiko. Perekrutan individu dari peran operasional (lini pertama) ke manajemen risiko (lini kedua) dan sebaliknya dapat meningkatkan keahlian dan pemahaman risiko dalam organisasi.
- Menargetkan konsultasi
Tim risiko perlu menerapkan pendekatan konsultatif dan kolaboratif, bukan sekadar memberikan daftar periksa. Tujuannya, hal ini dapat memberdayakan lini pertama untuk mengelola risiko secara efektif.
- Menghindari “lini 1.5”
Di masa lalu, beberapa tim operasional bisnis menciptakan “lini 1.5”, yaitu tim risiko tersendiri. Strategi ini ditinggalkan karena tidak efektif.
Secara keseluruhan, pemimpin risiko yang sukses adalah pemimpin yang mampu membangun budaya risiko yang kuat, memberdayakan lini pertama, serta mendukung bisnis dalam mengelola risiko dengan lebih baik.
Sementara itu, beberapa langkah cepat untuk memperkuat kemampuan risiko dan menghilangkan silo adalah sebagai berikut.
- Integrasi inisiatif transformasi risiko
- Evaluasi saling ketergantungan risiko
- Penyelarasan tim risiko dan bisnis
- Penghindaran duplikasi tim
- Kontribusi risiko terhadap pertumbuhan
Secara umum, pendekatan terintegrasi dan kolaboratif diperlukan untuk memperkuat kemampuan risiko dan menghilangkan silo dalam organisasi.
Artikel ini telah diterbitkan oleh Accenture, dengan judul Hyper-Disruption Demands Constant Reinvention. Artikel selengkapnya dapat dibaca di sini.
Pendekatan Proaktif dalam Pedoman Keamanan Siber bagi Penyelenggara ITSK
Otoritas Jasa Keuangan (OJK) merilis Pedoman Keamanan Siber (Cybersecurity Guidelines) bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK). Pedoman ini berisi strategi reaktif dan proaktif atas keamanan siber yang paling banyak menyerang industri keuangan sepanjang 2023.
Dalam konteks penerapan kerangka keamanan siber, pedoman ini memberikan pemetaan atas kerangka keamanan siber melalui pendekatan multiaspek. Lebih lanjut, selain berfungsi sebagai panduan, pedoman ini juga berusaha memenuhi tujuan untuk meningkatkan awareness manajemen risiko dan audit.
Aspek-aspek dan jenis-jenis ancaman siber akan dikupas dalam pedoman ini, dilanjutkan dengan kebijakan-kebijakan mengenai pelindungan data dan keamanan informasi. Tidak hanya memaparkan mekanisme penyimpanan, pedoman ini juga menawarkan mekanisme back-up dan recovery serta pemusnahan data secara aman.
Manajemen risiko tidak luput dibahas dalam pedoman ini. Pasalnya, manajemen risiko merupakan proses penting dalam pemastian keamanan operasional penyelenggara ITSK. Penilaian, mitigasi, hingga perlakuan risiko yang sesuai konteks dibahas secara terperinci.
Strategi tanggap insiden juga menjadi topik utama dalam pedoman, mengingat posisinya yang krusial dalam menghadapi keamanan siber bagi penyelenggara ITSK. Strategi ini dimulai dari penyusunan rencana tanggap insiden, identifikasi set kritis, pembentukan tim tanggap insiden, pelatihan rutin, hingga pembuatan kebijakan eskalasi dan pelaporan insiden. Tidak hanya itu, strategi yang dimaksud juga mencakup tahap deteksi dan analisis agar potensi kejadian keamanan dapat diketahui. Tahap selanjutnya, yaitu tahap pengisolasian, pemberantasan, dan pemulihan, juga mendapat sorotan khusus karena bertujuan untuk mengembalikan data ke kondisi fungsional.
Untuk mengidentifikasi kerentanan, pedoman ini juga mendampingi penyelenggara ITSK dalam melakukan penilaian maturitas. Secara detail, langkah-langkah yang perlu dilakukan untuk meningkatkan pertahanan akan dipaparkan, mulai dari pemanfaatan assessment tools terstandardisasi, tolok ukur (benchmarking) pada standar industri, pengembangan rencana perbaikan, siklus perbaikan berkelanjutan, hingga pelaporan. Seluruh langkah ini diberikan agar penyelenggara ITSK tetap terdepan dalam menghadapi potensi ancaman siber.
Selain itu, sejumlah pendukung keamanan siber juga disebutkan dalam pedoman yang didukung oleh Kedutaan Besar Inggris melalui UK Government cyber capacity-building programme ini. Perangkat pendukung yang dimaksud dapat diterapkan pada tahap pelatihan, peningkatan awareness, dan kolaborasi antarpemangku kepentingan. Artinya, penyelenggara ITSK harus memiliki program pelatihan tertentu yang bertujuan meningkatkan pemahaman dan kemampuan mitigasi risiko. Jenis-jenis kegiatan untuk meningkatkan awareness juga perlu dikembangkan, sebagaimana kolaborasi perlu dilakukan agar informasi yang penting dapat disampaikan lebih cepat.
Secara umum, pedoman ini membawa pendekatan dan analisis komparatif dengan standar dan praktik keamanan siber. Untuk memudahkan pemahaman penyelenggara ITSK, pedoman ini dilengkapi pula dengan Kode Etik Keamanan Siber dan sejumlah checklist. Diharapkan, pedoman ini dapat mendorong pemberdayaan ekosistem digital dan memperkuat ketahanan siber. Dengan demikian, sektor ITSK dapat tumbuh dan berkontribusi pada perekonomian nasional secara optimal.
Artikel ini telah diterbitkan oleh Otoritas Jasa Keuangan, dengan judul “Pedoman Keamanan Siber Bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK)” pada 25 Juli 2024. Artikel selengkapnya dapat dibaca di sini.