Artikel

Artikel2021-01-27T19:01:07+07:00

Peluang dan Tantangan Penerapan Manajemen Risiko Pembangunan Daerah

Oleh: Fitri Sawitri, Tri Wahyono, Way Academy

Jika boleh dianalogikan, pemerintah daerah adalah miniatur dari pemerintah pusat dalam lingkup wilayah yang lebih kecil. Pemerintah pusat dipimpin oleh presiden dibantu oleh para menteri, mengelola anggaran dan kinerja untuk pembangunan nasional, sedangkan pemerintah daerah dipimpin oleh Kepala Daerah, dibantu kepala dinas, mengelola anggaran dan kinerja untuk pembangunan daerah. Contoh konkret misalnya untuk meningkatkan layanan pendidikan di level nasional merupakan peran Menteri Kesehatan, sedangkan di level daerah merupakan tupoksi Dinas Kesehatan. Keduanya bersinergi sesuai dengan lingkup pekerjaan masing masing  untuk meningkatkan pelayanan kesehatan untuk sebesar besarnya kemakmuran rakyat. Satu hal yang menarik bahwa pemerintah pusat tidak secara langsung melayani masyarakat, justru pemerintah daerah yang langsung bersentuhan dengan masyarakat sesuai dengan wilayah masing masing. Jika ujung dari pembangunan adalah masyarakat, maka pemerintah daerah memiliki peran yang lebih dekat dengan pelayanan masyarakat.  

 Menggunakan analogi yang sama, pembangunan daerah merupakan sistem yang kompleks, lintas sektor, dan perlu mengintegrasikan manajemen risiko untuk membersamai pembangunan daerah yang berhasil. Mengadopsi Perpres Nomor 39 Tahun 2023 tentang Manajemen Risiko Pembangunan Nasional (MRPN), maka pemerintah daerah juga dapat mengembangkan manajemen risiko pembangunan daerah. Artikel ini akan mengusulkan desain manajemen risiko pembangunan daerah yang dibagi menjadi dua bagian yaitu struktur manajemen risiko pembangunan daerah dan proses manajemen risiko pembangunan daerah.

Struktur manajemen risiko pembangunan daerah perlu melibatkan secara aktif Sekretaris Daerah yang memiliki peran penting dalam mengkoordinasikan pelaksanaan tugas seluruh perangkat daerah. Sekretaris daerah memiliki peran lintas sektor sehingga mampu mempengaruhi kebijakan dan strategi masing masing Organisasi Perangkat Daerah (OPD). Ruang lingkup pembangunan daerah bersifat lintas perangkat daerah, sehingga perlu membentuk komite manajemen risiko pembanguan daerah yang dipimpin oleh Sekretaris Daerah dengan anggota beberapa OPD utama, misalnya Bappeda, Dinas PU, Dinas Pendidikan, dan Dinas Kesehatan. Kompleksitas dari struktur tata kelola manajemen risiko pembangunan daerah tersebut dapat menyesuaikan dengan kebutuhan dengan mempertimbangkan kompleksitas pembangunan masing-masing daerah.

Merujuk pada SNI ISO 31000, proses penerapan manajemen risiko pembangunan daerah dapat dimulai dengan komunikasi dan konsultasi untuk menyamakan persepsi tentang sinergi pembangunan daerah. Selanjutnya komite perlu memahami konteks daerah, sebagai dasar penentuan lingkup dan kriteria risiko yang relevan. Setelah itu, komite manajemen risiko pembangunan daerah melakukan penilaian risiko yang berpotensi mendukung maupun menghambat pembangunan daerah (upside dan downside risks). Langkah selanjutnya, anggota komite secara bersama sama dapat menyepakati strategi untuk mengantisipasi risiko sehingga mampu memperbesar peluang keberhasilan pembangunan daerah. Sebagai bentuk pertanggungjawaban, komite melaksanakan monitoring dan evaluasi serta mendokumentasikan seluruh tahapan untuk kemudian melaporkan kepada Kepala Daerah atas keberhasilan penerapan manajemen risiko pembangunan daerah.

Secara konsep, manajemen risiko pembangunan daerah sangat layak untuk diterapkan, namun beberapa tantangan perlu menjadi perhatian, salah satunya adalah kompetensi manajemen risiko yang perlu ditingkatkan, karena jika salah langkah, penerapan manajemen risiko justru akan menjadi pemborosan karena tidak jelas hasil yang ingin diwujudkan. Prioritas peningkatan kompetensi justru lebih prioritas kepada Kepala Daerah, Sekretaris Daerah, dan seluruh pimpinan OPD karena peran mereka yang sangat dekat dengan pengambilan keputusan dan strategi pembangunan. Oleh katrena itu, perlu dibangun awareness bahwa pembangunan daerah membutuhkan sinergi sehingga dapat selaras menuju pembangunan daarah yang berkontribusi langung bagi kesejahteraan masyarakat.  

Semoga semakin banyak pimpinan daerah yang sadar akan risiko, sehingga penerapan manajemen risiko Pembangunan daerah bukan lagi menjadi keharusan, namun justru menjadi satu kebutuhan yang diharapkan dapat membantu pimpinan daerah untuk dapat mensinergikan langkah bagi Pembangunan daerah agar lebih berdampak.  

By |

Ancaman Siber dari Generative AI: Serangan Lebih Canggih, Pertahanan Harus Adaptif

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Sejak kemunculan ChatGPT, teknologi generative AI berkembang pesat dan mulai dimanfaatkan oleh pelaku kejahatan siber. Menurut survei Darktrace, 74% profesional TI menyebut ancaman berbasis AI kini jadi tantangan besar.

Mengapa Generative AI Berbahaya?

  • Pemula pun bisa jadi peretas andal hanya dengan meminta bantuan AI untuk membuat kode berbahaya
  • Model AI hasil modifikasi dijual murah (di bawah $100) untuk membantu kejahatan siber.
  • Serangan jadi lebih cepat, masif, dan pintar: mampu menganalisis kegagalan, mempelajari sistem target, lalu memodifikasi strategi serangan secara instan.

Jenis Serangan Berbasis AI:

  1. Phishing & Rekayasa Sosial: Email dan pesan palsu buatan AI tampak lebih meyakinkan dan personal.
  2. Deepfake: Video/audio palsu meyakinkan yang bisa menipu karyawan—pernah menyebabkan kerugian $25 juta.
  3. Malware & Ransomware yang Bermutasi: AI menulis kode jahat yang lolos deteksi tradisional.
  4. Eksploitasi Celah Sistem: AI mampu mencari dan memanfaatkan kerentanan perangkat lunak.
  5. SQL Injection & DDoS: AI mempermudah pencurian data dan overload sistem melalui lalu lintas palsu.

Strategi Pertahanan Siber yang Disarankan:

  • Deteksi Ancaman Berbasis AI: Gunakan machine learning untuk analisis pola serangan secara real-time.
  • Pemantauan dan Respons Otomatis: Sistem harus terus mengawasi dan segera merespons insiden.
  • Kontrol Akses Adaptif: Akses diatur dinamis berdasarkan identitas, lokasi, dan tujuan pengguna.
  • Pelatihan Karyawan: Edukasi soal ancaman seperti phishing AI dan deepfake sangat penting karena 60% pelanggaran data melibatkan kesalahan manusia.

Generative AI membuat serangan siber semakin sulit dibendung. Tanpa pembaruan strategi keamanan yang adaptif dan cerdas, organisasi bisa tertinggal jauh dalam menghadapi ancaman generasi baru.

Artikel ini telah diterbitkan oleh OliverWyman, dengan judul The Generative AI Cyber Threat. Artikel selengkapnya dapat dibaca di sini.

By |

Membangun Sistem Anti-Fraud dan Whistleblowing yang Efektif di Perusahaan

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Di tengah tuntutan transparansi dan akuntabilitas yang semakin tinggi, sistem anti-fraud dan whistleblowing menjadi bagian vital dalam kerangka manajemen risiko dan tata kelola perusahaan yang baik. Namun, membangun sistem yang efektif dibutuhkan sistem yang benar-benar berfungsi dan dipercaya oleh seluruh elemen organisasi.

Anti-Fraud: Bukan Sekadar Mencegah Kecurangan

Sistem anti-fraud dirancang untuk mendeteksi, mencegah, dan merespons setiap potensi kecurangan dalam organisasi. Proses ini dimulai dari:

  • Penilaian risiko fraud secara berkala, untuk mengidentifikasi titik-titik rawan dalam alur bisnis.
  • Dokumentasi kebijakan anti-fraud yang disosialisasikan secara menyeluruh kepada seluruh karyawan.
  • Pengendalian internal yang menggabungkan kontrol preventif dan detektif—misalnya melalui pemisahan tugas dan rekonsiliasi transaksi.
  • Pelatihan integritas secara berkala, guna membangun budaya sadar risiko dan mendorong perilaku etis.

Anti-fraud bukan hanya urusan divisi audit internal. Peran dan tanggung jawab harus didistribusikan dengan jelas, mulai dari manajemen puncak hingga staf operasional, agar budaya integritas melekat dalam keseharian kerja.

Whistleblowing: Saluran Suara dan Kepercayaan

Di sisi lain, whistleblowing adalah instrumen kepercayaan. Ketika sistem ini berjalan efektif, karyawan merasa aman untuk melaporkan pelanggaran tanpa rasa takut. Agar hal ini terwujud, perusahaan perlu memastikan:

  • Adanya kanal pelaporan yang aman, mudah diakses, dan memungkinkan anonimitas.
  • Jaminan perlindungan terhadap pelapor dari bentuk pembalasan atau intimidasi.
  • Mekanisme tindak lanjut yang objektif, terdokumentasi, serta dilengkapi umpan balik kepada pelapor.
  • Sosialisasi aktif agar semua orang tahu saluran ini ada dan berfungsi.

Sistem WBS (Whistleblowing System) membantu mendeteksi pelanggaran sejak dini dan menciptakan iklim kerja yang sehat dan berintegritas.

Penting untuk disadari bahwa efektivitas anti-fraud dan WBS bukan semata soal teknis sistem, melainkan bagaimana membangun budaya organisasi yang suportif terhadap kejujuran dan keterbukaan. Tanpa budaya tersebut, sistem sebaik apa pun akan kehilangan daya guna.

Evaluasi berkala, baik terhadap kebijakan, proses, maupun persepsi karyawan, menjadi krusial. Dari evaluasi inilah perbaikan terus dilakukan agar sistem tetap relevan dan dipercaya.

Artikel ini telah diterbitkan oleh CRMS Indonesia, dengan judul Checklist: Apakah Sistem Anti-Fraud dan Whistleblowing Anda Sudah Efektif?. Artikel selengkapnya dapat dibaca di sini.

By |

Risiko ESG di 2025: Tantangan Baru dari Regulator dan Pengawas

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Tahun 2025 menjadi titik penting dalam pengelolaan risiko ESG (Environmental, Social, and Governance) bagi bank-bank di Eropa. Meskipun ada perubahan politik global yang terlihat mengendurkan fokus pada ESG, regulator seperti EBA (European Banking Authority) dan ECB (European Central Bank) justru memperketat pengawasan terhadap risiko lingkungan dan transisi energi.

Tantangan yang Terus Berkembang

Risiko iklim dan lingkungan semakin kompleks. Cuaca ekstrem, krisis keanekaragaman hayati, dan kelangkaan sumber daya menimbulkan kerugian ekonomi besar di Eropa. Sementara itu, risiko transisi, seperti aset terdampar di sektor properti komersial, juga makin nyata karena komitmen net-zero dari Uni Eropa.

Isu greenwashing (klaim keberlanjutan yang menyesatkan) dan litigasi atas komitmen iklim perusahaan terus mendapat sorotan. EBA menegaskan pentingnya pelaporan ESG yang transparan agar bank dapat menilai risiko saat memberi pinjaman.

Tuntutan Baru dari EBA

Sejak Januari 2025, EBA telah merilis sejumlah pedoman baru:

  • Pedoman final manajemen risiko ESG, berlaku mulai Januari 2026. 
  • Konsultasi skenario ESG dan 
  • Laporan data dan metodologi eksposur ESG. 

Bank wajib memperkuat integrasi risiko ESG dalam perencanaan modal dan transisi jangka pendek hingga panjang. Fokus utama meliputi:

  • Integrasi ESG dalam penilaian risiko, 
  • Pengujian skenario yang lebih ketat, 
  • Pemantauan transisi net-zero nasabah, dan 
  • Pemanfaatan data pelaporan keberlanjutan untuk memperkuat kerangka kerja ESG. 

Sejak 2020, bank-bank besar Eropa telah membangun fondasi tata kelola dan pelaporan C&E (Climate and Environmental risks). Namun, ECB menilai sebagian masih perlu memperdalam integrasi ke dalam kerangka risiko dan pengambilan keputusan nyata seperti pemberian kredit dan perencanaan modal.

ECB akan:

  • Meningkatkan pengawasan terhadap eksposur risiko nyata, bukan hanya kebijakan internal. 
  • Mendorong penggunaan data kuantitatif dalam proses penilaian kecukupan modal internal. 
  • Mendorong strategi kredit dan risiko yang selaras dengan transisi energi. 
  • Mengajak bank meningkatkan kualitas data eksternal terkait iklim. 

Bank skala lebih kecil memiliki tenggat waktu yang lebih longgar, tetapi tetap harus mengejar ketertinggalan selama 2025.

Investor dan lembaga pemeringkat semakin mempertimbangkan aspek manajemen risiko ESG. Bank yang membangun kapasitas dalam skenario ESG, perencanaan transisi, dan manajemen data akan lebih siap menghadapi pengawasan yang makin ketat dan tantangan masa depan.

Artikel ini telah diterbitkan oleh KPMG, dengan judul ESG Risks in 2025: Responding to Regulatory and Supervisory Pressure. Artikel selengkapnya dapat dibaca di sini.

By |

Waspadai Risiko Siber dari Pihak Ketiga, Semua Perusahaan Bisa Terdampak

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Website atau sistem operasional perusahaan bisa saja terganggu karena masalah dari vendor teknologi yang digunakan. Inilah yang disebut risiko siber pihak ketiga: risiko yang berasal dari luar perusahaan, seperti mitra bisnis atau penyedia layanan yang menjadi bagian dari operasional sehari-hari.

Menurut studi dari SecurityScorecard, 29% kebocoran data disebabkan oleh serangan yang berasal dari pihak ketiga. Dari jumlah itu, 75% melibatkan produk atau layanan teknologi, sementara sisanya datang dari penyedia layanan non-teknologi. Ini menunjukkan betapa terhubungnya rantai pasokan digital kita, dan seberapa besar risiko yang mungkin timbul dari hubungan bisnis tersebut.

Fakta Risiko Pihak Ketiga

  • 60% perusahaan bekerja sama dengan lebih dari 1.000 pihak ketiga.
  • 71% perusahaan kini punya jaringan vendor yang lebih banyak dibanding tiga tahun lalu.
  • 73% pernah mengalami gangguan serius akibat pihak ketiga, seperti kebocoran data atau pelanggaran etika.
  • 73% menyatakan bahwa pihak ketiga kini punya akses lebih besar ke data penting perusahaan.
  • 80% perusahaan telah memperluas daftar pertanyaan untuk pengecekan latar belakang vendor.

Apa yang Bisa Dilakukan untuk Mengurangi Risiko Ini?

Selain menjalankan praktik dasar keamanan siber, berikut beberapa langkah yang bisa diambil:

  1. Identifikasi Vendor Kritis
    Tentukan siapa saja penyedia produk atau layanan penting. Jika bisa, cari tahu juga siapa saja pemasok mereka (vendor tingkat empat).
  2. Gunakan Pengukuran Risiko
    Hitung dan ukur potensi dampak serangan dari vendor. Ini akan membantu menyatukan pandangan para pemangku kepentingan tentang bagaimana cara mengelola risikonya.
  3. Buat Rencana Respons Insiden
    Siapkan rencana sebelum kejadian terjadi. Rencana ini harus mencakup kemungkinan serangan dari vendor, dan diuji lewat simulasi melibatkan berbagai bagian perusahaan, bukan hanya tim IT.
  4. Tinjau Polis Asuransi Siber
    Pastikan tahu apa yang dicakup oleh asuransi siber jika terjadi serangan terhadap vendor.
  5. Pastikan Vendor Punya Asuransi Siber
    Vendor juga sebaiknya punya perlindungan asuransi siber yang cukup. Ini menunjukkan bahwa mereka menjalankan standar keamanan minimal.

Contoh Nyata

Bayangkan sebuah perusahaan menggunakan layanan cloud untuk menjalankan operasional harian. Lalu, layanan cloud itu mengalami gangguan. Akibatnya? Website perusahaan tidak bisa diakses, pemrosesan pesanan terhenti, dan timbul biaya tambahan serta kehilangan pendapatan.

Inilah mengapa penting untuk mengenali dan memahami siapa saja yang terlibat dalam ekosistem vendor, serta menghitung potensi dampaknya terhadap keuangan perusahaan.

Artikel ini telah diterbitkan oleh Marsh, dengan judul Third-party Cyber Risks Impact All Organizations. Artikel selengkapnya dapat dibaca di sini.

By |

Saat Bank Menolak Model, Risiko Mengintai

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Bank punya pilihan penting saat ingin membuat sistem pemodelan risiko: pakai model statistik atau cukup mengandalkan intuisi manusia? Meskipun kelihatannya sepele, pilihan ini sebenarnya menyimpan risiko besar.

Dua Gaya Pengambilan Keputusan

Bayangkan dua bank fiktif. Keduanya punya data lengkap dan tim profesional yang hebat.

  • Bank pertama mengandalkan intuisi manusia sepenuhnya dalam menilai risiko pinjaman, tanpa bantuan model statistik. 
  • Bank kedua tetap menggunakan intuisi, tapi didukung model statistik dari tim analis. Model ini bisa saja diabaikan, tapi hanya jika ada alasan kuat. 

Meski sederhana, perbandingan ini menunjukkan satu hal: model yang baik akan selalu membantu mengurangi risiko. Bahkan jika tidak selalu akurat, model tetap memberi panduan yang bisa dikaji dan diuji ulang. Sementara intuisi manusia, meski kadang tepat, seringkali bias dan tidak bisa didokumentasikan.

Otak vs Komputer

Saat manusia membuat keputusan, sebenarnya mereka juga menggunakan “model” dalam pikirannya. Kita menyaring informasi, menimbang faktor tertentu, lalu mengambil tindakan. Namun, model di otak tidak bisa ditelusuri seperti kode komputer. Kita tidak bisa tahu pasti apakah keputusan itu berdasarkan data, intuisi, atau sekadar tebakan.

Dengan model formal, meskipun rumit, setidaknya ada dokumentasi, bisa diaudit, dan dievaluasi. Itulah kenapa pendekatan tanpa model bisa lebih berisiko.

Apakah Model Buruk Lebih Baik dari Tidak Ada Model?

Model yang buruk memang bisa membawa risiko, apalagi jika dibuat asal-asalan, tanpa validasi, atau bahkan dimanipulasi. Tapi di banyak kasus, tidak memakai model sama sekali justru lebih berbahaya.

Contohnya:

  • Data sulit dimodelkan (misalnya: kerugian dari pinjaman besar yang jarang terjadi) tetap butuh pendekatan sistematis. 
  • Model “asal-asalan” pun masih lebih baik jika bisa didokumentasikan dan dipakai dengan bijak. 
  • Model yang dimanipulasi untuk menyembunyikan data sebenarnya adalah yang paling berbahaya. Dalam kasus ini, memang lebih baik tidak pakai model. 

Saat ini, banyak bank terpaksa membuat model karena regulasi. Tapi proses membuat model sangat rumit dan mahal, mulai dari dokumentasi, uji validasi, sampai monitoring. Akibatnya, beberapa bank malah memilih tidak membuat model karena bebannya terlalu besar.

Solusinya? Regulasi harus lebih fleksibel. Jangan sampai niat baik untuk mengontrol model justru menghambat pemakaian model yang bisa berguna. Risiko dari tidak memakai model seharusnya juga jadi perhatian utama dalam manajemen risiko.

Artikel ini telah diterbitkan oleh GARP, dengan judul To Model or Not to Model?. Artikel selengkapnya dapat dibaca di sini.

By |

Ketimpangan Ekonomi dan Ancaman Risiko Reputasi bagi Perusahaan

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Di tengah meningkatnya ketimpangan ekonomi global, perusahaan menghadapi tantangan yang lebih dari sekadar finansial atau operasional. Reputasi menjadi aset yang rentan, terutama di era ketika konsumen dan pemangku kepentingan semakin peduli pada isu sosial.

Ketimpangan Ekonomi sebagai Risiko Sistemik

Menurut laporan KPMG International, ketimpangan ekonomi menimbulkan tantangan sosial, hukum, moral, dan ekonomi di dalam perusahaan. Budaya kerja dan produktivitas dapat terganggu, sementara citra perusahaan berisiko tercoreng jika dianggap tidak peduli atau justru memperburuk ketimpangan.

Survei global yang dikutip The Guardian menunjukkan bahwa penghentian program keberagaman, kesetaraan, dan inklusi dapat menjadi bumerang untuk reputasi, terlebih di tengah tekanan politik yang kian meningkat.

Perilaku Konsumen yang Semakin Kritis

Konsumen kini lebih sadar sosial dan memilih merek yang mencerminkan nilai-nilai mereka. Penelitian dari Journal of Business Research menyebutkan bahwa ketimpangan ekonomi mendorong konsumen untuk mencari kendali pribadi, mengubah cara mereka merespons pesan pemasaran.

Sementara itu, pengangguran dan penurunan daya beli—seperti dibahas dalam Raconteur—turut membahayakan stabilitas ekonomi dan permintaan pasar, memengaruhi bisnis secara langsung.

Strategi Menghadapi Risiko Reputasi

Untuk mengurangi risiko reputasi akibat ketimpangan ekonomi, perusahaan perlu:

  • Tunjukkan Kepedulian Sosial: Jalankan program yang mendukung keberagaman, perlakuan adil bagi karyawan, dan bantu masyarakat sekitar. 
  • Jujur dan Terbuka: Ceritakan secara terbuka apa saja yang sudah dilakukan perusahaan untuk mengurangi ketimpangan, agar orang bisa melihat usaha nyata perusahaan. 
  • Iklan yang Merangkul Semua: Buat kampanye pemasaran yang bisa diterima oleh semua kalangan dan mencerminkan semangat keadilan sosial. 
  • Ajak Semua Pihak Terlibat: Dengarkan pendapat karyawan, pelanggan, dan orang-orang di sekitar. Libatkan mereka dalam pengambilan keputusan penting. 
  • Cek Risiko Secara Rutin: Lakukan pengecekan berkala untuk melihat apakah ada hal yang bisa merusak reputasi perusahaan, lalu buat rencana untuk mengantisipasinya. 

Dalam iklim sosial-ekonomi saat ini, perusahaan tidak bisa menutup mata terhadap ancaman reputasi yang ditimbulkan oleh ketimpangan ekonomi. Dengan langkah yang proaktif dan transparan, perusahaan dapat menjaga kepercayaan publik sekaligus berkontribusi pada masyarakat yang lebih adil.

Artikel ini telah diterbitkan oleh ERMA, dengan judul Reputational Risks in the Age of Economic Inequality. Artikel selengkapnya dapat dibaca di sini.

By |

‘TERINTEGRASI’ versus ‘INTEGRASI’ dalam Manajemen Risiko (The interlink between ‘Integrated’ as a principle and ‘Integration’ as a component of Risk Management Framework).

Oleh: Dr. Antonius Alijoyo

Dalam arsitektur ISO 31000 Manajemen Risiko yang telah menjadi Standar Nasional Indonesia dan dikenal sebagai SNI ISO31000 terdapat dua istilah yang terkait erat satu sama lain tetapi perlu kedalaman pemahaman berbeda, yaitu isitilah ‘terintegrasi’ (Integrated) sebagai salah satu prinsip dari delapan prinsip manajemen risiko yang disarankan oleh Standar, dengan istilah ‘integrasi’ (integration) sebagai salah satu komponen kerangka-kerja manajemen risiko berbasis SNI ISO 31000.

‘Terintegrasi’ sebagai salah satu prinsip manajemen risiko

Prinsip terintegrasi dalam manajemen risiko berarti menjadikan manajemen risiko sebagai pendekatan stratejik dan terpadu di keseluruhan entitas organisasi, bukan sekedar pendekatan silo fungsional semata. Oleh karena itu, setiap insan dalam organisasi harus berpartisipasi aktif dalam mengidentifikasi, menganalisis, dan mengevaluasi risiko yang melekat dalam proses bisnis yang menjadi tugas dan tanggung jawab mereka masing-masing, dan kemudian melakukan tindakan pengendalian risiko yang diperlukan bila eksposur risiko sudah melebihi selera dan/atau toleransi risiko organisasi tersebut.

Terminologi “stratejik”, berarti manajemen risiko diterapkan mulai dari perencanaan stratejik organisasi sampai pada pada pelaksanaannya di tingkat operasional. Dalam hal ini, manajemen risiko harus melekat pada organ tertinggi organisasi dalam pelaksanaan amanah dan pemenuhan azas akuntabilitias mereka. Dewan governansi sebagai organ tertinggi (terdiri dari dewan komisaris dan direksi di organisasi perusahaan) perlu dan harus memahami efek dari ketidakpastian yang relevan dan kontekstual terhadap sasaran stratejik mereka, dan melakukan antisipasi serta pengendalian risiko yang diperlukan sehingga probabilitas untuk mencapai sasaran tersebut dapat teroptimalkan.

Terminologi “Terpadu”, berarti manajemen risiko adalah bagian tidak terpisah dari proses bisnis yang dijalankan oleh perusahaan di setiap lini aktivitas organisasi, baik dalam proses bisnis inti atau utama organisasis, maupun proses bisnis penunjang. Terpadu juga mensyaratkan bahwa manajemen risiko perlu dijalankan secara terukur, sehingga probabilitas capaian sasaran di tingkat proses bisnis dapat ditingkatkan dari waktu ke waktu secara efisien dan efektif.

Komponen ‘Integrasi’ dalam kerangka kerja manajemen risiko.

Komponen integrasi atau dalam terminologi yang lebih longgar dikenal dengan istilah ‘pengintegrasian’ manajemen risiko dalam organisasi baik di tingkat pengambilan kebijakan sampai dengan di tingkat eksekusi operasional. Dalam hal ini, dewan governansi harus memastikan adanya pengikat yang kongrit dan nyata (tangible) dalam pengintegrasian manajemen risiko, misal adanya kebijakan manajemen risiko (Risk Management Policy) yang baku, dipahami, dan harus dijalankan oleh setiap insan di organisasi. 

Contoh kedua adalah adanya sistem pelaporan manajemen risiko yang terkoordinasi dan termonitor serta ditinjau ulang secara berkala, yang dilekatkan dalam proses bisnis yang menjadi tugas dan tanggung jawab setiap insan di organisasi. Sebagai contoh ketiga adalah adanya pantauan dan tinjauan berkala yang dilakukan oleh audit internal organisasi sehingga efisiensi dan efektivitas pengelolaan risiko di organisasi dapat terjaga dengan baik.

Penutup

Singkat kata, prinsip terintegrasi dalam manajemen risiko menekankan apa yang harus ada sebagai landasan paradigma pengelolaan risiko di suatu organisasi, sedangkan komponen integrasi dalam kerangka kerja manajemen risiko, menekankan bagaimana prinsip terintegrasi tersebut diwujudkan dalam struktur, kebijakan dan mekanisme organisasi. Dengan adanya prinsip terintegrasi yang diwujudkan dalam komponen kerangka kerja manajemen risiko, kita dapat berharap bahwa proses manajemen risiko akan melekat secara terstruktur, sistematis, dan terukur sedemikian rupa sehingga organisasi dapat meningkatkan probabilitas keberhasilan pencapai tujuan dan sasaran organisasi di segala lini, serta adaptif terhadap perkembangan lingkungan bisnis yang dihadapinya.

Mudah-mudahan artikel sederhana ini bermanfaat.

By |

Web 3.0 dan Blockchain: Peluang Baru untuk Manajemen Risiko

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Teknologi blockchain bukan hanya tentang mata uang kripto. Bagi para manajer risiko, teknologi ini menawarkan pendekatan baru untuk mengelola risiko di tengah tantangan dunia digital yang semakin kompleks.

Dalam laporan terbaru PRMIA berjudul “Fragmented to Connected: Achieving Cohesion by Unifying Risk Management”, terungkap bahwa hambatan utama dalam menghadapi risiko baru adalah keterbatasan sumber daya (35%), kurangnya kesadaran (28%), perubahan teknologi yang cepat (24%), dan ketidakpastian regulasi (13%).

Namun, Web 3.0 sebagai generasi baru internet yang berbasis blockchain dapat menjadi solusi untuk mengatasi keempat tantangan tersebut.

Memahami Arsitektur Blockchain

Teknologi terbaik dibangun secara bertingkat, dan blockchain tidak terkecuali. Seperti halnya internet yang terdiri dari kabel fisik, server ISP, modem, dan browser, blockchain juga memiliki beberapa lapisan:

  • Layer 1 (Konsensus): Fondasi dari setiap blockchain. Di sinilah transaksi divalidasi melalui algoritma seperti Proof-of-Work (Bitcoin) atau Proof-of-Stake (Ethereum). 
  • Layer 2 (Skalabilitas): Solusi untuk mengurangi biaya transaksi dan meningkatkan kecepatan, misalnya dengan teknologi rollups, state channels, atau Lightning Network
  • Layer 3 (Aplikasi): Di sinilah aplikasi berbasis blockchain (DApps) berada, seperti platform keuangan terdesentralisasi (DeFi), dompet digital, dan pertukaran aset. 

Lapisan-lapisan ini memungkinkan sistem blockchain beroperasi dengan efisien, aman, dan terukur.

Yang membedakan blockchain dari internet tradisional adalah desentralisasi—tidak ada satu pihak pun yang mengontrol jaringan. Selain itu, kemampuan untuk terhubung dengan blockchain lain menjadi faktor penting dalam ekosistem Web 3.0. Proyek seperti Polkadot, Cosmos, dan MarcoPolo Protocol sedang mengembangkan desain modular agar blockchain dapat saling terhubung.

Kolaborasi AI Terdesentralisasi dalam Manajemen Risiko

Web 3.0 juga membuka jalan bagi pengembangan kecerdasan buatan (AI) secara terdesentralisasi. Dengan pendekatan seperti federated learning, differential privacy, dan homomorphic encryption, tim risiko bisa melatih model AI tanpa harus membocorkan data sensitif. Ini memungkinkan kolaborasi yang lebih luas, bahkan melibatkan regulator secara langsung dalam pengembangan model risiko di blockchain.

Contohnya, jika sebuah tim manajemen risiko memutuskan untuk menghapus variabel risiko tertentu karena dianggap tidak relevan, regulator dapat mengajukan argumen berdasarkan data dari organisasi lain yang menunjukkan bahwa variabel tersebut justru penting. Semua diskusi dan data tersimpan aman di blockchain untuk referensi ke depan.

Dengan memanfaatkan teknologi Web 3.0, manajemen risiko bisa lebih proaktif dalam menghadapi tantangan. Struktur modular dari blockchain mempermudah pemeliharaan dan pengujian model risiko, sementara lapisan-lapisan teknologinya meningkatkan keamanan dan efisiensi.

Artikel ini telah diterbitkan oleh PRMIA, dengan judul What does Blockchain Mean for Risk Managers?

By |

Membangun Ketangguhan Siber: Bukan Sekadar Bertahan, Tapi Siap Hadapi Serangan

Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Selama ini, keamanan siber sering dipahami sebatas bertahan: mencegah serangan, menutup celah keamanan, dan mengatasi ancaman. Tapi, dengan berkembangnya risiko siber yang makin cepat dan rumit, perusahaan perlu mengubah pendekatan mereka. Bukan hanya bertahan, tapi juga membangun ketangguhan siber, kemampuan untuk tetap beroperasi meski terjadi pelanggaran.

Biaya Serangan Siber yang Semakin Tinggi

Kerugian akibat serangan siber kini sudah mencapai angka yang mengkhawatirkan. Laporan Cost of a Data Breach 2023 dari IBM menunjukkan bahwa biaya rata-rata pelanggaran data global mencapai $4,45 juta, naik 15% dalam tiga tahun terakhir. Serangan ransomware juga melonjak 74% pada 2023, dengan total pembayaran tebusan melebihi $1 miliar.

Melihat angka ini, jelas bahwa perusahaan tak bisa lagi hanya mengandalkan pertahanan pasif.

Kenapa Pertahanan Tradisional Tidak Lagi Cukup?

Ada beberapa alasan mengapa pendekatan lama sudah tidak memadai:

  • Serangan Semakin Canggih: Penjahat siber terus mengembangkan teknik baru, termasuk memanfaatkan celah zero-day dan serangan berbasis AI. Contohnya, insiden MOVEit pada 2023 menyerang lebih dari 2.000 organisasi dan mengacaukan rantai pasokan. 
  • Kesalahan Manusia: Meski teknologi sudah makin maju, 74% pelanggaran data tetap melibatkan kesalahan manusia, seperti phishing atau salah konfigurasi. 
  • Pemulihan yang Lambat: Proses pemulihan pasca-serangan bisa memakan waktu berbulan-bulan. Serangan terhadap Colonial Pipeline tahun 2021, misalnya, menyebabkan kelangkaan bahan bakar selama berminggu-minggu dan kerugian jutaan dolar.

Membangun Kerangka Ketangguhan Siber

Ketangguhan siber adalah kemampuan untuk mengantisipasi, bertahan, pulih, dan beradaptasi terhadap insiden siber. Fokusnya bukan sekadar mencegah serangan, tapi memastikan operasional tetap berjalan. Inilah elemen kuncinya:

  1. Intelijen Ancaman yang Proaktif

Perusahaan perlu memanfaatkan analisis berbasis AI untuk mendeteksi ancaman lebih cepat, mengurangi waktu deteksi dari rata-rata 280 hari menjadi di bawah 200 hari.

  1. Zero Trust Architecture (ZTA)

Model Zero Trust menganggap bahwa tidak ada pihak — baik internal maupun eksternal — yang bisa langsung dipercaya. Google sudah membuktikan keberhasilannya dengan menerapkan model BeyondCorp untuk memperkecil risiko ancaman dari dalam.

  1. Rencana Tanggap Insiden dan Kelangsungan Bisnis

Kini, perusahaan wajib memiliki rencana cepat untuk menanggapi insiden. Bahkan, aturan Cybersecurity Disclosure dari SEC di tahun 2023 mewajibkan perusahaan publik melaporkan insiden besar dalam waktu empat hari kerja.

  1. Budaya Keamanan dan Pelatihan Karyawan

Karena manusia tetap menjadi celah terbesar, edukasi terus-menerus penting. Program pelatihan berbentuk game terbukti mampu mengurangi kasus phishing hingga 40%.

  1. Asuransi Siber sebagai Jaring Pengaman

Meski tak bisa mencegah serangan, asuransi siber membantu mengurangi dampak finansial. Diperkirakan, nilai pasar asuransi siber global akan mencapai $28 miliar pada 2026.

Berpindah dari sekadar bertahan menuju membangun ketangguhan siber bukan lagi pilihan—tapi sebuah keharusan. Ancaman yang semakin kompleks menuntut perusahaan untuk berinvestasi pada strategi keamanan yang adaptif.

Dengan intelijen ancaman proaktif, Zero Trust, rencana tanggap insiden yang kuat, serta budaya keamanan yang kokoh, perusahaan bisa menjaga keberlangsungan operasional, mempertahankan kepercayaan stakeholder, dan tetap kompetitif di era digital yang penuh tantangan.

Artikel ini telah diterbitkan oleh ERMA, dengan judul From Defense to Resilience: Rethinking Cybersecurity Postures. Artikel selengkapnya dapat dibaca di sini.

By |
Go to Top