Manajemen risiko pihak ketiga mulai menjadi perhatian penting bagi perusahaan Indonesia. Penyebabnya sederhana. Banyak perusahaan kini bergantung pada vendor, penyedia teknologi, layanan outsourcing, sampai mitra distribusi.
Hubungan bisnis seperti ini membantu perusahaan bekerja lebih cepat. Akan tetapi, ada risiko yang sering tidak terlihat sejak awal. Risiko itu bisa muncul dari keamanan data, layanan yang terganggu, fraud pengadaan, sampai pelanggaran aturan.
Masalahnya, sebagian perusahaan masih melihat urusan vendor sebagai pekerjaan administratif. Selama kontrak ditandatangani dan dokumen lengkap, hubungan dianggap aman. Padahal, risiko bisa berubah setelah kerja sama berjalan.
Manajemen Risiko Pihak Ketiga Makin Penting
Manajemen risiko pihak ketiga adalah cara perusahaan mengenali, menilai, dan memantau risiko dari mitra eksternal. Pihak ketiga bisa berarti vendor teknologi, konsultan, distributor, pemasok, atau penyedia jasa lain.
Risikonya tidak selalu terlihat di awal. Vendor yang terlihat aman saat proses seleksi bisa mengalami masalah beberapa bulan kemudian. Misalnya, sistemnya terkena serangan siber. Bisa juga terjadi perubahan pemilik perusahaan, konflik kepentingan, atau pelanggaran standar kepatuhan.
Karena itu, perusahaan tidak cukup hanya memeriksa vendor saat awal kerja sama. Pemantauan perlu dilakukan secara berkala. Terutama untuk vendor yang terhubung langsung dengan data, layanan utama, atau proses bisnis penting.
Dalam sektor keuangan dan sektor yang diawasi ketat, isu ini menjadi lebih sensitif. Kesalahan pihak ketiga tetap bisa berdampak kepada perusahaan utama. Reputasi, layanan pelanggan, dan kepatuhan hukum bisa ikut terganggu.
Fraud Pengadaan Jadi Sinyal Bahaya
Data global menunjukkan risiko dari pihak ketiga bukan perkara kecil. Deloitte dalam Global Third-Party Risk Management Survey 2023 menyebut organisasi dengan pengelolaan risiko pihak ketiga yang matang lebih mampu beradaptasi terhadap perubahan risiko.
Survei itu melibatkan lebih dari 1.300 pemimpin risiko dari sekitar 40 negara. Temuannya menegaskan bahwa risiko pihak ketiga makin kompleks dan saling terhubung.
PwC juga menyoroti masalah serupa dalam Global Economic Crime Survey 2024. Fraud dalam proses pengadaan masuk tiga besar bentuk kejahatan ekonomi yang paling mengganggu perusahaan dalam 24 bulan terakhir. Posisinya berada setelah kejahatan siber dan korupsi.
Bagi perusahaan, temuan ini penting. Pengadaan sering menjadi pintu masuk hubungan dengan vendor. Jika proses ini lemah, risiko bisa masuk sejak awal kerja sama.
Risiko itu bisa berupa vendor yang tidak layak, harga yang tidak wajar, atau hubungan yang memiliki konflik kepentingan. Dalam kasus tertentu, dampaknya bisa langsung terasa pada biaya, layanan, dan kepercayaan publik.
Perusahaan Perlu Memantau Vendor Secara Berkala
Perusahaan Indonesia perlu mengubah cara melihat manajemen risiko pihak ketiga. Proses ini bukan sekadar daftar periksa dokumen. Ini bagian dari tata kelola perusahaan.
Langkah pertama adalah memetakan vendor berdasarkan tingkat risikonya. Vendor yang memegang data pelanggan tentu berbeda dengan vendor perlengkapan kantor. Vendor yang menopang layanan utama juga perlu pengawasan lebih ketat.
Perusahaan juga perlu menyatukan fungsi pengadaan, kepatuhan, keamanan teknologi, dan manajemen risiko. Jika tiap bagian bekerja sendiri, tanda bahaya bisa terlambat terlihat.
Kontrak dengan vendor juga harus dibuat lebih kuat. Perusahaan perlu mencantumkan hak audit, kewajiban pelaporan insiden, standar keamanan minimum, dan rencana transisi jika kerja sama harus dihentikan.
Selain itu, tim internal perlu dilatih membaca tanda bahaya. Misalnya perubahan struktur kepemilikan vendor, keterlambatan pelaporan, penolakan audit, atau insiden keamanan yang tidak dijelaskan dengan terbuka.
Manajemen risiko pihak ketiga yang kuat membantu perusahaan menjaga layanan tetap berjalan. Lebih dari itu, perusahaan bisa mengurangi risiko hukum, biaya, dan kerusakan reputasi.
Bagi perusahaan Indonesia, isu ini makin sulit diabaikan. Ketergantungan pada mitra eksternal akan terus besar. Karena itu, pengawasan terhadap pihak ketiga perlu menjadi bagian penting dari strategi bisnis dan kepatuhan.
Artikel ini telah diterbitkan oleh CRMS Indonesia dengan judul Manajemen Risiko Pihak Ketiga: Celah Kepatuhan yang Sering Terlewat di Perusahaan Indonesia. Artikel selengkapnya dapat dibaca di sini.
