Salah satu risiko terbesar Artificial Intelligence (AI) di industri bukan ketika AI tidak melaksanakan tugasnya, melainkan risiko yang lebih berbahaya/katastropik justru terjadi ketika AI melaksanakan tugasnya terlalu cepat, terlalu meyakinkan, tetapi tidak ada mekanisme pengawasan yang efektif.
Di industri perasuransian, penjaminan, dan dana pensiun, AI mulai dapat digunakan ataupun sudah digunakan di proses bisnis, antara lain untuk membaca prospek, membuat simulasi, menilai risiko, menentukan segmentasi, mendukung underwriting, mendeteksi fraud, mempercepat layanan klaim, menganalisis investasi, dan memantau portofolio risiko, dan kemungkinan masih banyak hal yang bisa dilakukan oleh AI. Sekilas, semuanya terlihat sebagai kemajuan, namun, di balik efisiensi itu, muncul pertanyaan yang sangat mendasar yaitu apakah keputusan AI akuntabel dan dapat dipertanggungjawabkan?
Ketika sebuah algoritma memengaruhi keputusan-keputusan baik di level strategis, operasional maupun keputusan sehari-hari, antara lain proposal/quoatation, premi, iuran, klaim, layanan peserta, atau keputusan investasi, maka AI bukan lagi sekadar urusan teknologi. AI telah menjadi isu organisasi/strategis yaitu isu tata kelola, isu manajemen risiko, isu kepatuhan, isu etik, dan isu kepercayaan publik.
Di sinilah ISO/IEC 42001:2023 menemukan relevansinya. Melalui Artificial Intelligence Management System (AIMS), organisasi memiliki kerangka untuk memastikan AI bekerja dalam koridor tata kelola, manajemen risiko, kepatuhan, etika, dan perlindungan konsumen sebagai sistem manajemen yang terstruktur, terdokumentasi, terukur, dan diawasi yang dapat menjadi rujukan sebagai landasan AI Governance Framework yang menjembatani antara inovasi teknologi dan kepercayaan.
ISO/IEC 42001:2023 memperkenalkan pendekatan sistem manajemen untuk menetapkan, menerapkan, memelihara, dan meningkatkan pengelolaan AI secara berkelanjutan. Artinya, AI tidak diperlakukan sebagai proyek teknologi yang selesai saat go-live, tetapi sebagai kapabilitas organisasi yang harus dikelola sepanjang siklus hidupnya. Dalam praktiknya, AIMS merupakan mekanisme agar inovasi AI berjalan sesuai koridor dan tetap selaras dengan strategi, risk appetite, regulasi, dan ekspektasi pemangku kepentingan. Pendekatan ini juga membantu organisasi menyeimbangkan inovasi, prudent governance, dan kecepatan transformasi digital tanpa mengorbankan kepercayaan publik.
Bagi industri PPDP di Indonesia, AIMS relevan karena lanskap industri semakin ketat antara lain tuntutan solvabilitas dan kesehatan perusahaan, kewajiban manajemen risiko, perlindungan data pribadi, perlindungan konsumen, transparansi produk, serta pengawasan terhadap pihak ketiga. AI dapat mempercepat keputusan, tetapi juga dapat menciptakan bias underwriting, kesalahan segmentasi nasabah, model drift, rekomendasi investasi yang tidak sesuai profil risiko, kebocoran data, maupun keputusan otomatis yang sulit dijelaskan. Risiko yang muncul bukan hanya risiko teknologi (risiko operasional), tetapi juga menyentuh risiko strategis, kepatuhan, hukum, reputasi, aktuaria, investasi, dan konsumen. Karena itu, ISO/IEC 42001:2023 sebaiknya tidak dipahami sebagai standar global yang berdiri sendiri, melainkan sebagai jembatan untuk memperkuat
kepatuhan terhadap regulasi nasional dan ekspektasi regulator, pemegang polis, peserta, pemegang saham, serta masyarakat.
AIMS dapat menjadi landasan AI Governance Framework melalui beberapa pilar. Pertama, konteks organisasi dan pemangku kepentingan harus dipetakan. Perusahaan perlu memahami perannya: sebagai pengguna AI, pengembang model, pembeli solusi vendor, pengelola data peserta, atau pihak yang memutuskan hasil bisnis berbasis AI. Kedua, Direksi dan Dewan Komisaris perlu menetapkan AI policy yang jelas: tujuan penggunaan AI, prinsip etis, batasan penggunaan, akuntabilitas, human oversight, eskalasi insiden, serta hubungan dengan kebijakan manajemen risiko, keamanan informasi, privasi, pengadaan, dan kepatuhan.
Ketiga, organisasi perlu membangun AI inventory dan klasifikasi use case. Tidak semua AI memiliki risiko yang sama. Chatbot internal untuk produktivitas berbeda level risikonya dengan model penolakan klaim, scoring peserta, atau pricing produk. Karena itu, setiap use case perlu dinilai berdasarkan tujuan, data yang digunakan, pihak terdampak, dampak finansial, dampak sosial, keterjelasan model, dan ketergantungan vendor. Keempat, dilakukan AI risk assessment dan AI system impact assessment sebelum implementasi, saat perubahan signifikan, dan secara periodik. Pendekatan ini membantu organisasi melihat tidak hanya “apakah model akurat”, tetapi juga “siapa yang terdampak, seberapa adil, seberapa dapat dijelaskan, dan apa konsekuensinya bila salah”.
Kelima, kontrol siklus hidup AI harus dibangun dari hulu ke hilir: kualitas dan asal-usul data, desain model, validasi, deployment, logging, monitoring, change management, incident handling, sampai decommissioning. Untuk PPDP, kontrol data sangat krusial karena data kesehatan, keuangan, kepesertaan, klaim, dan profil nasabah termasuk sensitif. Vendor AI juga harus masuk dalam kerangka third-party risk management: kontrak perlu mengatur akses data, auditability, service level, keamanan, perubahan model, kepemilikan output, dan tanggung jawab bila terjadi dampak merugikan.
Keenam, AIMS membutuhkan assurance. Fungsi manajemen risiko, kepatuhan, hukum, IT security, aktuaria, audit internal, dan unit bisnis tidak boleh bekerja seperti pulau-pulau terpisah. Diperlukan forum lintas fungsi, dashboard KRI/KCI, pelaporan insiden AI, internal audit atas AIMS, dan management review berkala. Metrik yang dipantau dapat mencakup akurasi model, fairness, explainability, complaint rate, override decision, model drift, data incident, serta kepatuhan terhadap approval gate. Dengan begitu, governance tidak berhenti di dokumen, tetapi hidup dalam keputusan harian.
Kesimpulannya, AIMS berbasis ISO/IEC 4200:2023 adalah “pagar yang membuat inovasi terus melaju dalam koridornya”. Untuk industri PPDP Indonesia, kerangka ini membantu perusahaan bergerak dari sekadar adopsi AI menuju AI yang akuntabel, comply, secure, fair, transparent, dan trusted. Langkah awalnya dapat dimulai dari inventarisasi seluruh AI, menetapkan kebijakan, membentuk governance forum, menilai risiko dan dampak, mengontrol data serta vendor, lalu memantau performa secara berkelanjutan. AI yang kuat bukan hanya canggih. AI yang kuat adalah AI yang dapat dipercaya, terukur, dapat diaudit, dan memberi nilai nyata bagi peserta, pemegang polis, regulator, serta pemegang saham secara konsisten dan berkelanjutan.
