Artikel

Dalam beberapa tahun terakhir, biaya premi asuransi siber yang semakin naik telah menjadi perhatian serius bagi perusahaan-perusahaan dari berbagai ukuran. Kenaikan ini terutama dipicu oleh lonjakan besar klaim serangan siber di seluruh dunia. Analis S&P Global mencatat peningkatan klaim ransomware sebesar 232% dari tahun 2019 hingga 2021. Karena serangan siber saling terhubung, perusahaan asuransi siber kini meninjau kembali cakupan mereka — termasuk kampanye rekayasa sosial atau serangan yang didukung negara — untuk mengelola risiko secara lebih baik.

Dalam kondisi pasar ini, meningkatkan praktik keamanan siber sangat penting bagi organisasi untuk mengelola biaya dengan efektif. Misalnya, menjaga kebersihan siber yang lebih baik dan melakukan pemantauan terus-menerus dapat mengurangi kemungkinan klaim dan membantu mendapatkan perlindungan asuransi dengan biaya yang lebih terjangkau. Berikut adalah enam praktik terbaik keamanan siber yang dapat membantu organisasi memperkuat jaringan mereka:

1. Otentikasi Multi-Faktor (MFA) 

MFA dan otentikasi dua faktor semakin populer di perusahaan karena kebutuhan untuk memverifikasi identitas pengguna yang masuk ke jaringan. MFA adalah langkah sederhana yang dapat diterapkan untuk memastikan keaslian pengguna, mengingat serangan yang sering menggunakan taktik rekayasa sosial.

2. Pencadangan dan Penyimpanan Data di Lokasi Eksternal 

Memiliki cadangan dan penyimpanan data eksternal sangat penting dalam menghadapi serangan yang mengenkripsi atau mengancam data sensitif. Solusi ini tidak hanya membantu memulihkan operasi bisnis, tetapi juga menunjukkan kepada asuransi bahwa perusahaan siap dalam menghadapi risiko.

3. Manajemen Identitas dan Akses (IAM) 

Manajemen ini krusial untuk memantau aktivitas pengguna secara terus-menerus, mengurangi kemungkinan serangan yang tidak terdeteksi dalam jaringan.

4. Kemitraan dalam Respons Krisis

Bermitra dengan ahli hukum dan responden insiden dapat membantu mengelola risiko hukum dan teknis setelah terjadi serangan siber.

5. Latihan Meja Putar 

Latihan meja putar (tabletop exercises) adalah simulasi yang dilakukan oleh organisasi untuk menguji dan mempersiapkan respons mereka terhadap berbagai skenario krisis atau serangan, termasuk serangan siber. Latihan ini membantu tim keamanan dan manajemen untuk mempersiapkan tanggapan terhadap serangan siber dengan lebih baik, mengurangi dampak negatif pada reputasi dan biaya perusahaan.

6. Kerangka Kerja Zero Trust 

Pendekatan ini membatasi akses tidak sah dalam lingkungan perusahaan, mengurangi risiko dari akun yang diretas dan meningkatkan keamanan secara keseluruhan.

Menerapkan praktik-praktik ini tidak hanya membantu melindungi organisasi dari serangan siber, tetapi juga memperkuat posisi mereka dalam mendapatkan perlindungan asuransi yang lebih baik. 

Artikel ini telah diterbitkan oleh ERMA, dengan judul “6 Tips for Improving Network Security”. Artikel selengkapnya dapat dibaca di sini.

Produsen yang berpikiran maju kini menghadapi tantangan serangan siber yang semakin meningkat di era digital dan Industri 4.0. Konvergensi teknologi informasi dan operasional membuat keamanan siber menjadi prioritas bagi infrastruktur nasional dan semua sektor industri. Pelaku ancaman telah berkembang dari peretas rumahan menjadi penjahat siber dan aktor negara yang terorganisir, menjadikan keamanan siber perhatian utama untuk produk yang rentan terhadap serangan.

Contohnya, peretasan SolarWinds mempengaruhi lebih dari 18.000 pelanggan dan menyebabkan penurunan saham hampir 40 persen. Untuk menghadapi ancaman ini, perusahaan harus memastikan produk mereka memiliki kemampuan keamanan yang tepat dan dikembangkan serta disampaikan dengan cara yang aman secara siber.

Serangan siber meningkat baik dalam jumlah maupun kerusakan yang ditimbulkan. Serangan rantai pasokan seperti peretasan SolarWinds semakin cepat, dan rantai pasokan global rentan terhadap ancaman. Di berbagai industri, tren ini membuat produk dan sistem terbuka untuk diserang dan menjadikan industri lebih menarik bagi pelaku ancaman. Di atas semua ini, Industri 4.0 dan otomatisasi konsumen, termasuk penggunaan luas perangkat rumah pintar, membanjiri domain digital dengan interaksi manusia yang semakin banyak, memperluas risiko siber, termasuk pada kendaraan terhubung dan otonom.

Produk masa kini harus aman secara siber dalam perangkat keras maupun perangkat lunak, termasuk fungsi keamanan seperti manajemen identitas dan akses, keamanan data, dan cara menangani lalu lintas jaringan. Keamanan siber harus tertanam dalam setiap proses pengembangan produk dengan pemeriksaan dan keseimbangan untuk memastikan keamanan terkelola di setiap langkah.

Setelah dikembangkan, produk perlu dilindungi dalam manufaktur dan rantai pasokan, serta menjaga integritas produk perangkat lunak selama distribusi. Produk dengan siklus hidup panjang perlu diatur, dikonfigurasi, dan dioperasikan dengan cara yang aman secara siber untuk menghindari kerusakan konfigurasi dan menyesuaikan dengan situasi baru.

Perusahaan harus meyakinkan pasar tentang keamanan siber mereka. Kepercayaan dibangun seiring waktu dan memerlukan fokus tanpa henti untuk mengirimkan produk yang aman secara siber. Dengan langkah yang tepat dan sikap proaktif, biaya keamanan dapat diimbangi dengan kepercayaan pelanggan dan posisi kompetitif yang lebih kuat.

Artikel ini telah diterbitkan oleh Kearney, dengan judul “Creating a Competitive Advantage with Cybersecurity”. Artikel selengkapnya dapat dibaca di sini.

Generative AI telah menjadi sorotan bagi konsumen. Misalnya, ChatGPT dari OpenAI memecahkan rekor dengan 100 juta pengguna dalam dua bulan setelah peluncurannya tahun ini. Namun, apakah teknologi yang mengganggu ini memberikan nilai praktis bagi para pemodel risiko kredit?

ChatGPT adalah aplikasi yang terlihat dalam domain lebih luas dari “Large Language Models.” Ini adalah contoh dari AI generatif: kecerdasan buatan yang digunakan untuk menghasilkan output baru berdasarkan instruksi singkat pengguna yang disebut “prompts” — sebuah proses yang dikenal sebagai teknik prompt. Pengguna dapat mengajukan pertanyaan kepada ChatGPT tentang hampir setiap topik, dan ia akan memberikan jawaban dalam format yang pengguna inginkan.

Pada awal tahun ini, dalam sebuah konferensi risiko kredit, moderator menampilkan pidato yang dihasilkan oleh ChatGPT. Pidato yang sangat meyakinkan ini menyoroti beberapa tren risiko kredit terbaru.

AI generatif dapat meningkatkan pemodelan risiko kredit. ChatGPT mengidentifikasi total 18(!) area di mana AI generatif bisa bermanfaat bagi para pemodel. Ini dapat diringkas menjadi empat manfaat kunci berikut:

1. Pemetaan PD, LGD, dan EAD yang lebih baik, melalui model yang lebih terkalibrasi. (Probability of Default (PD) adalah probabilitas bahwa seorang peminjam akan gagal membayar kembali pinjaman mereka; Loss Given Default (LGD) adalah persentase dari nilai kredit yang hilang jika peminjam gagal bayar; dan Exposure at Default (EAD) adalah nilai moneter yang diharapkan dari jumlah yang tertunda yang belum digunakan pada saat pembatalan.)
2. Pengujian stres yang lebih unggul, melalui generasi skenario yang luas dan merugikan.
3. Validasi model yang lebih baik (dengan bantuan data sintetis), mengurangi bias pemodelan dan penjelasan yang lebih baik.
4. Dataset yang lebih seimbang (proporsi default/non-default yang lebih baik) dan peningkatan kualitas data serta deteksi outlier yang lebih baik.

Secara singkat, satu area di mana AI generatif memiliki potensi untuk secara mendasar mengubah cara kerja pemodel risiko kredit adalah dalam pengkodean model PD, LGD, dan EAD.

Sebagai contoh, Anda dapat bertanya kepada ChatGPT tentang pendekatan untuk dilema pemodelan yang sudah dikenal — misalnya, bagaimana mengubah PD siklus (Through-the-Cycle) menjadi PD titik waktu (Point-in-Time). ChatGPT tidak secara spontan merekomendasikan formula Vasicek; tetapi, setelah formula ini disarankan, ChatGPT mengkonfirmasi validitas gagasan tersebut dan memberikan spesifikasi formula Vasicek.

Lebih jauh lagi, ketika diminta untuk menulis kode terkait (mengubah PD TTC menjadi PD PIT, melalui formula Vasicek), ChatGPT mengekspresikan formula yang diperlukan dalam bentuk fungsi, yang merupakan ide bagus. Ini juga menambahkan banyak komentar, meningkatkan kejelasan kode. Lebih lanjut, ChatGPT menjelaskan aplikasi fungsi tersebut dengan contoh.

Para pemodel risiko kredit disarankan untuk mempertimbangkan secara seksama pro dan kontra sistem AI generatif seperti ChatGPT. Meskipun tidak sempurna, teknologi ini memberikan manfaat yang signifikan kepada para pemodel, termasuk peningkatan koding yang memperbaiki model PD. 

Artikel ini telah diterbitkan oleh GARP, dengan judul “How Generative AI Will Disrupt Credit Risk Modeling” pada 1 September 2023. Artikel selengkapnya dapat dibaca di sini.

Pada era di mana teknologi mengubah cara kita bekerja dan berbisnis, risiko keamanan siber semakin menjadi perhatian utama, terutama bagi perusahaan investasi swasta atau private equity (PE) dan portofolio mereka. 

Dalam beberapa tahun terakhir, keamanan siber telah mengalami perubahan dramatis. Dengan pekerjaan yang tersebar di rumah, kantor, dan lounge bandara, infrastruktur beralih ke cloud, dan proses rantai pasokan digital, risiko keamanan semakin meningkat. Serangan dari pihak yang tidak bertanggung jawab juga semakin canggih.

Asuransi siber telah menjadi krusial bagi PE karena risiko yang ditimbulkan terhadap perusahaan-perusahaan di portofolio mereka. Namun, mendapatkan asuransi ini bukanlah hal yang mudah. Premi yang tinggi, standar yang ketat, dan keterbatasan dalam industri tertentu membuat proses ini menantang.

Praktik Terbaik untuk Perusahaan Portofolio

John Pearce, dari Grant Thornton, menyarankan beberapa praktik terbaik untuk perusahaan portofolio:

• Fokus pada deteksi, respons, dan pemantauan.
• Terapkan otentikasi multi-faktor.
• Siapkan proses tanggap kejadian dan pemulihan data.

Penerapan strategi keamanan siber yang baik tidak hanya meningkatkan akses perusahaan ke asuransi yang terjangkau, tetapi juga melindungi reputasi dan operasional perusahaan dari dampak serangan.

PE seringkali menghadapi tantangan unik terkait dengan keamanan siber, terutama karena keterbatasan sumber daya dibandingkan dengan perusahaan besar. Mereka perlu mempertimbangkan solusi asuransi sendiri atau membangun survei untuk mengelola risiko di portofolio mereka.

Keamanan siber terus berubah, dan regulasi semakin ketat. PE diharapkan untuk mengadopsi kebijakan keamanan siber yang lebih baik untuk mempertahankan kepercayaan investor.

Dalam rangka melindungi investasi mereka dari serangan siber yang semakin canggih, PE perlu menghadapi tantangan ini dengan strategi yang matang dan solusi asuransi yang tepat.

Dengan demikian, perlindungan terhadap keamanan siber bukan lagi sekadar pilihan, tetapi keharusan bagi PE dan perusahaan portofolio mereka dalam menghadapi tantangan masa depan yang semakin kompleks ini.

Artikel ini telah diterbitkan oleh Grant Thornton pada 12 April 2023, dengan judul “PE Seeks Cyber Insurance for Portfolio Companies”. Artikel selengkapnya dapat dibaca di sini.

Keamanan infrastruktur kritis semakin penting bagi para pemimpin teknologi informasi dan keamanan siber. Ancaman terhadap sektor-sektor vital ini mengalami lonjakan dramatis, dari kurang dari 10 insiden pada tahun 2013 menjadi hampir 400 pada tahun 2020 — meningkat hingga 3.900%.

Serangan-serangan ini bisa sangat berbahaya dan seringkali tidak terdeteksi dengan mudah. Oleh karena itu, pemerintah di seluruh dunia mewajibkan kontrol keamanan yang lebih ketat untuk sistem-sistem cyber-physical yang krusial.

Masalahnya terletak pada alat keamanan tradisional yang tidak lagi cukup untuk menghadapi kecepatan dan kompleksitas serangan cyber saat ini. Ini diperparah oleh konvergensi teknologi operasional (OT) — yang mengontrol mesin-mesin industri — dengan sistem informasi (IT) yang memproses data perusahaan.

Gartner melaporkan bahwa evolusi ini meninggalkan semua sistem cyber-physical dalam risiko tinggi terhadap serangan oleh peretas dan pihak-pihak jahat lainnya. Infrastruktur kritis mencakup sektor-sektor penting seperti fasilitas komersial, komunikasi, energi, layanan keuangan, dan sistem air limbah di Amerika Serikat, yang saling tergantung satu sama lain.

Sementara teknologi ini berkembang, prediksi Gartner memberi kita gambaran tentang tantangan keamanan yang akan datang dan tindakan yang perlu diambil:

1. Serangan Balasan Fisik: Pada tahun 2024, serangan siber yang serius bisa memicu tanggapan fisik dari anggota G20. Ini menunjukkan perlunya koordinasi ketat antara pemimpin militer dan perusahaan swasta untuk melindungi infrastruktur kritis.

2. Solusi Keamanan Terpadu: Pada tahun 2024, sekitar 80% organisasi infrastruktur kritis berencana meninggalkan solusi keamanan tradisional dan beralih ke solusi hiperkonvergen. Langkah ini diperlukan untuk mengurangi risiko yang dihadapi oleh sistem cyber-physical dan IT.

3. Pemenuhan Persyaratan Keamanan: Hingga tahun 2026, hanya sekitar 30% pemilik dan operator infrastruktur kritis di AS yang memenuhi persyaratan keamanan pemerintah untuk sistem cyber-physical. Untuk mengatasi tantangan ini, diperlukan strategi keamanan yang holistik, mengintegrasikan OT, Internet of Things (IoT), dan keamanan IT dalam upaya yang terkoordinasi.

Para pemimpin keamanan dan manajemen risiko dapat menggunakan prediksi Gartner ini sebagai panduan untuk mempersiapkan diri menghadapi risiko potensial di masa depan. 

Artikel ini telah diterbitkan oleh Gartner pada 8 Februari 2022, dengan judul “3 Planning Assumptions for Securing Cyber-Physical Systems of Critical Infrastructure”. Artikel selengkapnya dapat dibaca di sini.

Setiap alat penilaian risiko harus berkontribusi pada pengambilan keputusan tentang pengelolaan risiko individu. Para eksekutif dan pemimpin manajemen risiko makin sering dihadapkan pada keputusan yang tidak memiliki informasi yang dibutuhkan, terutama dalam bentuk peristiwa “angsa hitam” atau black swan.

Istilah black swan merujuk pada peristiwa yang sangat tidak dapat diprediksi, tetapi berdampak besar. Namun, dengan melihat ke belakang, peristiwa tersebut sebenarnya dapat dirasionalisasi sebagai sesuatu yang seharusnya sudah jelas.

Kuantifikasi Risiko Siber (Cyber Risk Quantification/CRQ) dan pendekatan Analisis Faktor Risiko Informasi (Factor Analysis of Information Risk/FAIR) dibangun sebagai kerangka kerja pengambilan keputusan. CRQ membantu menganalisis kejadian-kejadian black swan dengan membandingkan risiko secara lebih efektif.

Menurut whitepaper IRIS 2022 dari Cyentia Institute, meskipun rata-rata jumlah kerugian dolar yang terkait dengan pelanggaran tidak berubah secara signifikan, jumlah kerugian yang terkait dengan peristiwa ekstrem telah menjadi tren selama beberapa tahun terakhir. Keterkaitan organisasi dan teknologi telah memperluas rentang potensi kerugian, yang pada akhirnya meningkatkan potensi peristiwa black swan. Contoh peristiwa yang sedang atau berpotensi terjadi adalah sebagai berikut.

1. Pandemi Covid-19
2. Serangan siber pada infrastruktur penting
3. Risiko pasca-kuantum

Selain istilah black swan, ada pula istilah lain yang digunakan praktisi manajemen risiko, yaitu “angsa abu-abu” atau gray swan. Istilah ini merujuk pada kejadian yang sebenarnya bisa diprediksi, tetapi sulit diduga waktu dan frekuensi kejadiannya.

Beberapa risiko cenderung dianggap sebagai gray swan alih-alih black swan, misalnya

1. Sebagian besar kerentanan zero-day individual; dan
2. Perluasan ancaman ransomware yang sedang berlangsung.

Setiap organisasi harus berurusan dengan “banjir” risiko baru, yang beberapa di antaranya dapat dianggap sebagai peristiwa black swan yang potensial. Ketika berfokus pada kejadian yang berpotensi menjadi bencana atau kejadian ekstrem, proses analisis risiko dapat diadaptasi sebagai berikut.

1. Pahami aset penting

Organisasi dapat memanfaatkan perangkat enterprise risk management (ERM), audit, atau manajemen aset yang ada untuk mengidentifikasi aset dengan nilai bisnis yang penting bagi tujuan strategis organisasi.

2. Fokus pada kemungkinan ancaman

Selesaikan analisis berbasis FAIR tentang skenario kerugian potensial terhadap aset-aset ini dan visualkan skenario yang berpotensi menimbulkan kerugian tahunan rata-rata yang signifikan.

Gambar 1. Kerugian ‘Rata-Rata”

3. Jangan lupakan kemungkinan atau potensi

Dengan daftar risiko yang terkuantifikasi, kita dapat mengidentifikasi risiko-risiko yang rapuh. Jika daftar risiko tidak dapat dengan mudah mengidentifikasi potensi risiko yang tinggi tanpa kontrol yang memadai (perhatikan Gambar 2), kita akan kehilangan separuh dari gambarannya.

Gambar 2. Visualisasi Risiko Ketahanan

4. Batasi kerugian

Ketika melihat skenario kejadian kerugian yang terukur, kita dapat mulai memodelkan skenario alternatif.

Cara Kerja FAIR-CAM 

Pada 2021, FAIR Control Analytics Model (FAIR-CAM) dirilis dan memperkenalkan metode untuk menghubungkan kontrol dan efektivitas dengan skenario kerugian FAIR individu. Model ini memungkinkan kita untuk memvisualisasikan kontrol tunggal atau kontrol yang tidak efektif, yang dapat dengan mudah diperbarui dengan hasil penilaian dunia maya untuk memunculkan potensi risiko ketahanan. Lihat Gambar 3 di bawah ini untuk contoh pemetaan.

Dengan model ini, kita bisa dengan cepat dan teratur menganalisis banyak skenario dan mengevaluasi opsi penanganan risiko. Gambar 4 dua alternatif ini menggunakan kuantifikasi risiko.

Gambar 4. Pilihan Penanganan Risiko

Memahami Risiko Bencana 

Organisasi perlu berinvestasi dalam analisis risiko kuantitatif untuk memahami risiko yang paling besar. Organisasi diminta untuk lebih jelas “menunjukkan hasil kerjanya” oleh regulator. Di samping itu, kerangka kerja perlu terbukti, transparan, dan bersumber terbuka seperti FAIR dan FAIR-CAM agar dapat dapat membantu.

Organisasi perlu secara proaktif mengidentifikasi area kesenjangan atau kekurangan kontrol yang meningkatkan kerentanan organisasi terhadap kerugian besar. Organisasi harus mengantisipasi dan belajar dengan cepat dari peristiwa ancaman untuk meningkatkan kemampuan dalam menghadapi potensi ancaman ketahanan.

Artikel ini telah diterbitkan oleh Protiviti, dengan judul Using Cyber Risk Quantification to Manage Chaos. Artikel selengkapnya dapat dibaca di sini.

Menurut Aon, 421 kejadian bencana penting pada 2022 mengakibatkan kerugian ekonomi sebesar 313 miliar dolar Amerika Serikat (AS), dengan hanya 132 miliar dolar AS (42%) di antaranya yang merupakan kerugian diasuransikan.

Menurut Dan Raizman, Senior Director Climate Risk Advisory di Aon, badai Ian adalah peristiwa dengan kerugian asuransi termahal kedua yang tercatat secara global, tepat di belakang Katrina. Selain itu, ada pula tambahan banjir yang mematikan di Missouri dan Kentucky pada bulan Juli. Oleh karena itu, sangat penting untuk memahami risiko yang ditimbulkan oleh perubahan iklim saat ini dan di masa depan.

Pada awal 2023, dua perusahaan asuransi terbesar di AS, State Farm dan Allstate, berhenti menerbitkan polis baru untuk pemilik rumah di California karena risiko iklim. Sementara itu, Federal Reserve sedang melakukan uji coba Analisis Skenario Iklim (Climate Scenario Analysis/CSA) untuk enam bank besar. Hal ini dilakukan untuk mempelajari praktik manajemen risiko iklim.

Dalam banyak hal, para panelis pada sesi Tata Kelola, Kepatuhan, dan Ketahanan Operasional (Governance, Compliance, and Operational Resiliency/GCOR) RMA mengatakan, banyak bank yang masih dalam mode penemuan dalam upaya mengidentifikasi risiko iklim. Namun, mereka bergerak cepat untuk mengejar ketertinggalan.

Bagaimana caranya? Derrick Oracki, Kepala Financial Institutions Risk Consulting di Aon menyebutkan, tim bisnis lini pertama di bidang pinjaman real estat residensial dan komersial sedang menganalisis dampaknya terhadap kualitas kredit. Selain itu, tim pemodelan risiko kredit memperkirakan dampaknya terhadap probabilitas gagal bayar dan kerugian akibat gagal bayar.

Tim manajemen risiko operasional, lanjut Oracki, mempelajari ketahanan operasional dan strategi untuk melanjutkan bisnis. Tim operasional pun mengidentifikasi adaptasi atau rekayasa struktural yang harus dilakukan di cabang-cabang dan kantor-kantor mereka. Di sisi lain, tim keberlanjutan serta lingkungan, sosial, dan tata kelola (environmental, social, and governance/ESG) sangat tertarik dengan perencanaan net zero dan ekspektasi pengungkapan dari regulator dan pemangku kepentingan eksternal.

Pemodelan iklim dimulai dengan menurunkan skala model iklim global. Pemodelan seperti itu dinilai baik dalam hal memahami dampak kronis, seperti kekeringan, curah hujan ekstrem, cuaca kebakaran, panas ekstrem, dan risiko pembekuan ekstrem. Menurut Raizman, beberapa bank memilih untuk mengembangkan solusi mereka sendiri secara internal, meski pada umumnya mengandalkan vendor.

Bagi para analis bank, salah satu tugas yang harus dilakukan adalah mengambil model iklim dan menerjemahkannya ke dalam situasi berikut: bagaimana kejadian di masa depan dapat terjadi dalam hal kerugian kredit atau kejadian risiko operasional. Sebagai contoh, tekanan keuangan diantisipasi akibat kerusakan yang disebabkan oleh badai dan kebakaran hutan. Hal ini akan menyebabkan beberapa pemilik properti gagal membayar hipotek.

Cara lainnya adalah dengan memperhitungkan potensi kerugian terkait iklim di masa depan. Menurut sebuah makalah terbaru di jurnal Nature Climate Change, pasar perumahan AS dinilai terlalu tinggi (121 hingga 237 miliar dolar AS) karena risiko banjir yang tidak diasuransikan.

Mengutip kata Raizman, “Kejadian-kejadian fisik yang belum pernah terjadi sebelumnya menimbulkan risiko yang cukup besar bagi portofolio bank.” Maka, penting bagi bank untuk menyediakan waktu memahami kuantifikasi risiko.

Oracki menyarankan untuk tidak menunggu lagi dalam hal pengumpulan data yang. Pasalnya, bank diharuskan untuk memahami risiko fisik terhadap peminjam. Selain itu, dia menambahkan bahwa bank perlu melihat ketahanan masyarakat dan bagaimana mereka merespons.

“Tetaplah berpikiran terbuka tentang apa yang akan Anda temukan saat Anda mulai menganalisis iklim dan risiko bencana di bank Anda saat ini dan di masa depan,” tuturnya.

Artikel ini telah diterbitkan oleh Risk Management Association, dengan judul “How Banks Can Quantify Physical Climate Risk” pada 12 Juli 2023. Artikel selengkapnya dapat dibaca di sini.

Untuk mengimbangi dunia risiko yang terus berkembang, organisasi memerlukan fondasi tata kelola yang cerdas. Sayangnya, sumber daya dan kendala pendanaan telah mencapai batas ketika cakupan program manajemen risiko pihak ketiga (third-party risk management/TPRM) terus berkembang.

Dalam survei terbaru Ernst & Young Global Limited (EY) pada 2020, responden berharap untuk meningkatkan pengeluaran di berbagai kategori, mulai dari tata kelola dan pengawasan hingga kebijakan dan standar. Namun dalam survei tahun berikutnya, organisasi mengatakan mereka kurang bersedia meningkatkan anggaran mereka.

Karena organisasi terus berkembang untuk mengatasi teknologi yang muncul, pendekatan edukasi pasif tidaklah cukup. Maka, dua area yang paling umum menjadi fokus peninjauan oleh badan audit internal dan badan pengatur adalah penilaian pihak ketiga yang diikuti dengan pengawasan dan tata kelola. Cakupan program TPRM juga terus diperluas melalui pengelolaan inventaris pihak ketiga nontradisional. Jasa beberapa lembaga, seperti badan amal, bank agen, dan sponsor, tercakup dalam program TPRM pada setidaknya 10% lebih perusahaan.

Perluasan Dunia Berbasis Risiko

Selama dua hingga tiga tahun ke depan, jumlah upaya yang diperlukan untuk mengelola risiko pihak ketiga secara efektif akan terus meningkat, terutama pada hal-hal yang dianggap penting bagi infrastruktur suatu negara. Dengan anggaran dan jam kerja yang terbatas, organisasi perlu menentukan dengan cermat di mana dan bagaimana sumber daya dapat dikerahkan dengan baik.

Lanskap pihak ketiga terus berkembang sehingga perusahaan secara signifikan meningkatkan standar masuk untuk cakupan program. Organisasi mengalami kemajuan dalam menggunakan pendekatan berbasis risiko untuk menilai pihak ketiga. Melalui tantangan pandemi yang lalu, organisasi mempelajari apa yang benar-benar penting bagi bisnis mereka dan di mana risikonya.

Dalam hal penetapan tingkatan, organisasi terus mengurangi jumlah pihak ketiga yang diklasifikasikan sebagai pihak kritis. Jumlah pihak ketiga yang termasuk dalam kategori risiko tinggi juga semakin sedikit. Perubahan yang dipercepat ini kemungkinan besar merupakan dampak sampingan dari tekanan biaya terkait pandemi dan fokus pada ketahanan pihak ketiga.

Integrasi Lintas Fungsi

Meskipun sebagian besar program TPRM selaras dengan fungsi internal, banyak fungsi lainnya yang diserahkan kepada organisasi sendiri. Saat mereka bekerja dengan pihak ketiga, banyak fungsi yang mengumpulkan pertanyaan serupa, tetapi tidak berkomunikasi satu sama lain. Hal ini membuat organisasi tidak menyadari pandangan kolektif mengenai risiko.

Integrasi fungsional dalam program TPRM menawarkan peluang besar untuk lebih mengintegrasikan taksonomi serta meningkatkan kualitas data dan mencegah replikasi data yang tidak perlu sehingga mendorong peningkatan inventaris pihak ketiga. Hal ini akan mengurangi kelelahan pada fungsi bisnis dan kontrol pihak ketiga karena mereka merespons lebih sedikit hal permintaan data duplikat.

Sayangnya, jalan menuju integrasi menghadapi beberapa hambatan. Fungsi yang berbeda mungkin menggunakan alat atau teknologi yang berbeda untuk mengumpulkan data. Tidak ada solusi universal untuk mendukung teknologi, tetapi organisasi perlu mempertimbangkan cara mengelola siklus hidup yang terintegrasi.

Teknologi, Otomatisasi, dan Sumber Data Eksternal

Banyak organisasi berinvestasi besar-besaran pada teknologi untuk membuat proses internal lebih efisien. Namun, transformasi digital ini memiliki jaringan faktor risiko yang kompleks.

Faktanya, 35% responden terus melakukan penilaian pengendalian tahunan pada segmen pihak ketiga yang berisiko lebih rendah. Selain itu, 45% responden sama sekali tidak menggunakan penyedia data eksternal untuk menilai kesehatan keuangan dan reputasi pihak ketiga mereka. Percepatan otomatisasi dan pemberdayaan teknologi akan memberikan kejelasan yang lebih baik mengenai permasalahan dan ancaman nyata, seperti paparan dan konsentrasi risiko di seluruh perusahaan.

Bahkan dengan penggunaan alat kecerdasan yang lebih luas, hanya satu dari lima organisasi yang disurvei yang menggunakan analisis tingkat lanjut, dan bahkan lebih sedikit lagi yang menggunakan kecerdasan buatan (artificial intelligence/AI), otomatisasi proses robotik (robotic process automation/RPA), atau blockchain. Namun, ada makin banyak organisasi yang menyadari manfaat teknologi tersebut. Lebih dari satu dari tiga responden berharap untuk mulai menggunakan analitik tingkat lanjut dalam dua hingga tiga tahun ke depan.

Dunia risiko pihak ketiga terus berkembang. Untuk mengimbanginya, diperlukan landasan manajemen risiko pihak ketiga dalam tata kelola yang cerdas dan pelaksanaan program. Ketika organisasi berupaya mentransformasikan program TPRM, mereka harus mempertimbangkan peningkatan integrasi dan penyelarasan fungsional, memanfaatkan sumber yang tersedia secara eksternal, serta memanfaatkan cara kerja baru, seperti penilaian di lokasi jarak jauh dan virtual.

Artikel ini telah diterbitkan oleh Ernst & Young Global Limited, dengan judul “How Can Finite Resources Tackle an Infinite Risk Universe?” pada 16 Agustus 2021. Artikel selengkapnya dapat dibaca di sini.

Hampir dua per tiga investor global menginginkan pelaporan keberlanjutan yang menggambarkan dampak perusahaan terhadap lingkungan dan masyarakat. Dalam lokakarya bersama World Economic Forum, para investor menekankan pentingnya transparansi ini untuk memahami kaitannya dengan dampak keuangan.

Secara umum, dampak perusahaan tidak selalu terkait langsung dengan nilai ekonomi atau biaya. Tindakan perusahaan yang berdampak negatif pada masyarakat dan lingkungan seringkali menjadi eksternalitas yang harus ditanggung oleh publik, bukan perusahaan. Namun, asumsi ini mulai dipertanyakan karena eksternalitas tersebut cenderung terinternalisasi dan mempengaruhi arus kas perusahaan seiring waktu.

Ada kebutuhan mendesak untuk transparansi yang lebih menyeluruh mengenai nilai dan risiko dampak eksternal. Mengukur konsekuensi dari dampak eksternal memerlukan penilaian nilai ekonomi atau biaya dari dampak tersebut. Pengukuran ini memungkinkan perusahaan dan pemangku kepentingan untuk membandingkan berbagai area dan jenis dampak di berbagai bisnis, serta memprioritaskan tindakan yang diperlukan.

Meskipun pengukuran dampak ekonomi dari eksternalitas terlihat jelas, solusinya masih kompleks. Saat lebih banyak perusahaan berupaya mengatasi dampak mereka, kebutuhan akan metodologi standar untuk memperhitungkannya dalam pengambilan keputusan semakin meningkat. Dampak eksternal yang dikelola dengan baik bisa kembali menguntungkan bisnis, dan siklus ini akan semakin cepat seiring meningkatnya informasi yang dimiliki pemangku kepentingan.

Sebagian besar kerangka kerja alokasi modal saat ini tidak cukup untuk merencanakan skenario dampak jangka panjang. Oleh karena itu, langkah penting adalah pengembangan metodologi yang disepakati, terstandarisasi, dan dapat diterima secara global untuk mengukur biaya sosial atau nilai ekonomi dari dampak eksternal. Komponen penting dari metodologi ini adalah koefisien yang menghubungkan indikator kinerja utama keberlanjutan dengan dampak ekonomi terkait manusia dan planet.

Sejumlah perusahaan perintis telah secara sukarela memberikan pelaporan dampak yang terperinci. Dengan makin banyaknya organisasi yang bergabung, kemajuan dalam menentukan kaitan antara nilai ekonomi dan dampak akan semakin cepat terwujud.

Langkah-langkah dalam menilai dampak perusahaan meliputi identifikasi pemangku kepentingan utama dan pentingnya dampak eksternal bagi mereka, serta bagaimana dampak perusahaan dapat menciptakan atau menyelesaikan masalah sistemik seperti perubahan iklim, hilangnya keanekaragaman hayati, ketidaksetaraan pendapatan, ketidakadilan rasial, polusi plastik, atau gangguan pekerjaan akibat teknologi. Selain itu, penting untuk mempertimbangkan apakah dampak tersebut mempengaruhi arus kas dan akses keuangan perusahaan, baik saat ini maupun di masa depan. Transparansi dalam melaporkan dampak, baik positif maupun negatif, sangat penting bagi setiap perusahaan.

Artikel ini telah diterbitkan oleh PWC, dengan judul Why Impact Matters for Company Valuations. Artikel selengkapnya dapat dibaca di sini.

Ancaman siber semakin berkembang pesat, terutama di industri pertambangan dan logam. Menurut Survei Keamanan Informasi Global (GISS) terbaru dari EY, 71% responden dari sektor pertambangan melaporkan peningkatan serangan yang mengganggu dalam 12 bulan terakhir, sementara 55% eksekutif khawatir dengan kemampuan mereka untuk mengelola ancaman ini.

Saat ini, semua organisasi pertambangan secara default sudah menjadi digital. Ketergantungan pada teknologi, otomatisasi, dan data operasi semakin meningkat untuk mendorong produktivitas dan efisiensi biaya. Namun, hal ini juga memperluas permukaan serangan, membuat pengamanan lingkungan digital menjadi lebih sulit.

Lanskap teknologi setiap organisasi unik dan kompleks, mencakup berbagai tim yang bertanggung jawab untuk perencanaan strategis, penganggaran, dan dukungan. Dengan banyaknya perangkat yang terhubung, seperti laptop, tablet, dan sensor pintar, yang mengakses sistem organisasi, batas keamanan menjadi kabur.

Serangan siber bisa berupa gangguan layanan bisnis, kebocoran data besar-besaran, penipuan siber, ransomware, dan kampanye ancaman berkelanjutan terhadap target strategis. Biaya dari serangan ini terus meningkat, diperkirakan akan mencapai US$10,5 triliun per tahun pada 2025.

Pendanaan keamanan siber sering kali tidak sejalan dengan risiko yang berkembang. Setengah dari responden GISS menyatakan anggaran mereka kurang untuk mengatasi tantangan yang ada.

Perubahan budaya dan kesadaran terhadap risiko siber sangat penting. Organisasi harus mengadopsi prinsip manajemen risiko yang baik, menganggap risiko siber seperti risiko bisnis lainnya. Langkah pertama adalah memahami lanskap ancaman siber dan mengembangkan rencana yang jelas.

Beberapa langkah yang dapat diambil meliputi:

1. Mengidentifikasi aset kritis dan memetakan risiko.
2. Meningkatkan kontrol dan proses untuk mendeteksi, melindungi, merespon, dan pulih dari serangan.
3. Menilai dan memantau kinerja serta posisi risiko residu secara berkala.
4. Meningkatkan investasi berdasarkan pendekatan risiko yang terkelola.
5. Membuat keamanan menjadi tanggung jawab semua orang di organisasi.

Chief Information Security Officer (CISO) harus mempersiapkan arsitektur keamanan modern dan meningkatkan profil siber sebagai prioritas strategis untuk mengatasi potensi gangguan bisnis dan dampak finansial akibat kejahatan siber.

Dengan pendekatan yang tepat, industri pertambangan dan logam dapat mengelola risiko siber secara efektif, melindungi produktivitas, dan merealisasikan tujuan digital mereka.

Artikel ini telah diterbitkan oleh EY, dengan judul Does Cyber Risk Only Become a Priority Once You’ve Been Attacked?. Artikel selengkapnya dapat dibaca di sini.