Implementasi kecerdasan artifisial (artificial intelligence/AI) pada Perusahaan Perasuransian, Lembaga Penjamin, dan Dana Pensiun (PPDP) bukan lagi isu masa depan. AI mulai digunakan dalam underwriting, penetapan harga (pricing), deteksi kecurangan (fraud), klaim, aktuaria, investasi, hingga layanan nasabah. Namun bagi industri yang tumbuh di atas janji perlindungan dan kepercayaan, AI yang cepat dan cerdas saja tidak memadai. AI juga harus dapat dijelaskan (explainable), dikendalikan, diawasi, dan akuntabel.
POJK Nomor 28 Tahun 2025 tentang Penerapan Manajemen Risiko bagi PPDP — ditetapkan 10 November 2025 dan mencabut POJK 44/POJK.05/2020 — mewajibkan manajemen risiko yang efektif dan proporsional. Empat pilarnya yaitu (1) pengawasan aktif Direksi, Dewan Komisaris, dan Dewan Pengawas Syariah (2) kecukupan kebijakan, prosedur, dan limit risiko;
(3) proses identifikasi, pengukuran, pemantauan, dan pengendalian risiko serta (4) sistem pengendalian internal yang menyeluruh. Karena bersifat berbasis prinsip (principle-based), kualitas penerapannya bergantung pada kematangan tata Kelola, termasuk untuk AI. Pilar- pilar itu perlu diterjemahkan menjadi tata kelola AI (AI governance), bukan hanya sekadar dokumen kepatuhan.
Pembagian peran sebaiknya mengikuti Model Tiga Lini (Three Lines Model IIA, 2020), unit bisnis pemilik AI mengelola risiko harian; fungsi manajemen risiko dan kepatuhan menyusun kerangka, memvalidasi model secara independen, dan memantau; audit internal memberi keyakinan (assurance) atas tata kelola, kualitas data, dan keandalan pengendalian. Tanpa pembagian peran yang tegas, AI dapat menjadi hanya sebagai Risiko teknologi semata.
Dua standar internasional menjadi rujukan utama. ISO/IEC 42001:2023 menyediakan kerangka Sistem Manajemen AI (AI Management System/AIMS) untuk memastikan penggunaan AI yang bertanggung jawab dan terus diperbaiki melalui siklus Plan-Do-Check-Act antara lain mencakup kebijakan AI, penilaian dan penanganan risiko, penilaian dampak sistem AI, pemantauan, serta tinjauan manajemen. ISO/IEC 23894:2023, sejalan dengan ISO 31000:2018, menegaskan manajemen risiko AI yang terintegrasi, terstruktur, dinamis, dan diperbaiki berkelanjutan. Maka penerapan AI tidak boleh berdiri sendiri; ia harus terhubung dengan manajemen risiko korporasi (enterprise risk management), kepatuhan OJK, pelindungan data, keamanan informasi, aktuaria, dan audit internal.
Dimensi yang tak boleh diabaikan adalah pelindungan data pribadi sesuai Undang-Undang Nomor 27 Tahun 2022. Bagi PPDP yang mengolah data kesehatan, keuangan, dan demografis dalam jumlah besar, AI memperbesar paparan risiko privasi, bias algoritmik, dan diskriminasi. AI generatif (generative AI) menambah risiko khas yaitu halusinasi keluaran, kebocoran data melalui prompt, serta ketergantungan dan konsentrasi pada model dasar pihak ketiga (foundation model). AI sebaiknya diperlakukan sebagai pengubah karakter risiko yang ada, sekaligus diwaspadai sebagai risiko yang benar-benar baru (emerging risk)
Kesiapan implementasi dapat ditempuh melalui langkah praktis berikut. Pertama, susun inventaris AI (AI inventory), AI apa, dipakai unit mana, untuk keputusan apa, dengan data dan vendor mana, berdampak kepada siapa. Kedua, tetapkan tata kelola yaitu pada setiap kasus penggunaan wajib memiliki pemilik (owner), pemberi persetujuan (approver), peninjau (reviewer), dan jalur eskalasi yang jelas. Ketiga, tetapkan selera dan kriteria risiko khusus AI dengan menggolongkan kasus penggunaan menurut tingkat Risiko yang tidak dapat diterima, tinggi, terbatas, dan minimal, misalnya klaim bernilai besar tidak boleh sepenuhnya otomatis dan model underwriting wajib dapat dijelaskan. Keempat, lakukan penilaian risiko berbasis siklus hidup AI, desain, data, pengembangan, pengujian, penerapan, pemantauan, pemutakhiran, hingga penghentian. Kelima, terapkan penanganan Risiko, validasi model, keterlibatan manusia (human-in-the-loop), pemisahan tugas, jaminan vendor, dan dasbor indikator risiko utama (KRI) seperti penyimpangan model (model drift) dan tingkat anulir manusia (override rate). Keenam, integrasikan risiko AI ke profil risiko sesuai POJK 28/2025 — mendesak karena penilaian sendiri (self-assessment) profil risiko periode 2026 wajib disampaikan paling lambat 15 Februari 2027. Ketujuh, lakukan pencatatan, pelaporan, dan perbaikan berkelanjutan (continual improvement) agar pembelajaran dari galat model, keluhan nasabah, dan temuan audit mengalir kembali ke desain pengendalian.
Dalam konteks Indonesia, tantangan sesungguhnya bukan teknologi, melainkan kesiapan budaya, data, talenta, biaya, dan disiplin dokumentasi. Karena itu, implementasi AI sebaiknya berpijak pada akuntabilitas dan integritas. Inovasi boleh cepat, tetapi rem, kaca spion, peta perjalanan, dan dasbor risiko harus berfungsi. Dengan memadukan POJK 28/2025, ISO/IEC 42001:2023, dan ISO/IEC 23894:2023, AI menjadi alat penciptaan nilai — bukan sumber kejutan atau titik buta baru. Pada era ini, pemenangnya bukan yang paling cepat memakai AI, melainkan yang paling matang mengendalikannya.
