Kerangka Penilaian Risiko

Organisasi harus menangani risiko keselamatan secara komprehensif serta mempertimbangkan dampaknya terhadap pengguna, non-pengguna, dan hak asasi manusia (HAM). Kerangka kerja penilaian risiko ini merupakan hasil kerja kelompok multipemangku kepentingan. Dokumen ini dimaksudkan sebagai kerangka dasar untuk menyusun pendekatan dan diskusi mengenai penilaian risiko keselamatan digital.

Bank Studi Kasus

Sejumlah pendekatan dapat digunakan untuk mendorong penilaian risiko keselamatan digital dan menekankan sifatnya yang saling berhubungan.

A. Studi Kasus 1

Kerangka Kerja Digital Trust and Safety Partnership (DTSP)

DTSP merupakan inisiatif industri untuk mengembangkan praktik terbaik, yang diverifikasi melalui penilaian internal dan pihak ketiga yang independen. DTSP menyatukan perusahaan teknologi yang menyediakan berbagai macam produk dan layanan digital dengan pendekatan umum untuk meningkatkan kepercayaan dan keamanan di internet. Komitmen ini didukung oleh 35 praktik terbaik kepercayaan dan keselamatan yang mencakup berbagai fase kerangka kerja penilaian risiko. 

• Konteks dan tujuan utama 

Pada 2022, sepuluh perusahaan mitra DTSP melakukan penilaian internal atas penerapan DTSP best practices framework (BPF) menggunakan metodologi penilaian organisasi, Safe Framework. Studi kasus ini merangkum hasil dan temuan utama dari penilaian awal tentang cara penerapannya dalam praktik. 

• Manfaat dan risiko 

Manfaat utama pendekatan DTSP adalah menyediakan panduan di seluruh industri untuk mengatasi risiko terkait konten dan perilaku. DTSP juga bersifat agnostik terhadap konten dan teknologi sehingga perusahaan yang menghadapi risiko yang sangat berbeda dapat menyelaraskan diri dengan serangkaian praktik umum.

B. Studi Kasus 2

Kerangka Kerja Global Network Initiative (GNI)

Prinsip-prinsip GNI menetapkan kerangka kerja khusus untuk membantu perusahaan teknologi menghormati kebebasan berekspresi dan privasi saat berinteraksi dengan dan menanggapi tuntutan, tekanan, dan pembatasan pemerintah. Studi kasus ini mengkaji bagaimana uji tuntas hak asasi manusia (human rights due diligence/HRDD) dijelaskan dalam kerangka kerja GNI. Studi kasus ini juga menjelaskan bagaimana anggota GNI bersatu untuk menilai, belajar, dan meningkatkan upaya perusahaan secara kolektif melalui penilaian independennya. 

• Konteks dan tujuan utama 

Prinsip-prinsip GNI menyatakan bahwa perusahaan-perusahaan anggota akan dimintai pertanggungjawaban melalui suatu sistem. Laporan penilaian, yang dikembangkan oleh penilai independen dan terakreditasi, mencakup informasi sensitif dan nonpublik yang menggambarkan bagaimana perusahaan-perusahaan anggota menerapkan kerangka kerja GNI. Dewan multipihak GNI menggunakan laporan-laporan ini untuk menentukan apakah perusahaan menerapkan kerangka kerja dengan itikad baik dengan peningkatan dari waktu ke waktu.

• Manfaat dan risiko

Ada beberapa manfaat dari pendekatan berbasis HAM terhadap penilaian risiko yang dirinci dalam kerangka GNI dan United Nations Guiding Principles on Business and Human Rights (UNGP), antara lain, pemusatan risiko pada orang-orang yang terkena dampak dan pemastian pengikutsertaan kepentingan kelompok yang paling rentan. Sementara itu, beberapa risiko pendekatan ini, antara lain,  penekanan berlebihan pada satu perusahaan atau jenis perusahaan dan perbedaan pandangan HAM dalam praktik.

C. Studi Kasus 3

Pendekatan Berbasis Sistem/Kode Praktik Selandia Baru

Kode Praktik Aotearoa Selandia Baru untuk Keselamatan dan Bahaya Daring (Aotearoa New Zealand Code of Practice for Online Safety and Harms) merupakan kode industri sukarela yang menyediakan kerangka kerja untuk meningkatkan keselamatan pengguna daring dan meminimalkan konten berbahaya. Kode ini dimaksudkan untuk menyediakan praktik terbaik dari berbagai macam produk dan layanan serta melayani komunitas pengguna yang beragam. Kode tersebut dikembangkan antara April 2021 dan Maret 2022 oleh Netsafe, sebuah organisasi keselamatan daring nirlaba independen di Aotearoa, Selandia Baru.

• Konteks dan tujuan utama

Kode ini membahas tema keselamatan dan konten berbahaya, meliputi

1. eksploitasi dan pelecehan seksual anak,
2. penindasan atau pelecehan,
3. ujaran kebencian,
4. hasutan untuk melakukan kekerasan,
5. konten kekerasan atau grafis,
6. misinformasi, dan
7. disinformasi.

• Manfaat dan risiko 

Kode ini mendukung inisiatif lintas industri untuk meningkatkan keamanan daring. Kode ini juga mengambil pendekatan berbasis sistem dan hasil terhadap keamanan daring dan moderasi konten. Pendekatan tersebut memfasilitasi akuntabilitas melalui transparansi kebijakan, proses, sistem, dan hasil. 

D. Studi Kasus 4

Alat Penilaian Safety by Design dari Australian eSafety Commissioner untuk Perusahaan Rintisan

Studi kasus ini berfokus pada layanan media sosial fiktif dengan target basis pengguna berusia 13—18 tahun. Dalam studi kasus ini, alat penilaian Komisioner Keamanan Elektronik Australia diterapkan bagi perusahaan rintisan untuk mengukur tingkat keamanan pengguna dan mendapatkan informasi tentang celah keamanan yang harus diatasi oleh platform tersebut.

• Konteks dan tujuan utama

Komisioner eSafety menawarkan dua alat penilaian interaktif dan dinamis yang komprehensif untuk memandu dan mendukung industri dalam meningkatkan praktik keselamatan daring. Untuk setiap alat penilaian, pengguna diberikan modul edukatif tentang bahaya daring melalui serangkaian pilihan pertanyaan dan respons. 

• Manfaat dan risiko

Studi kasus ini mengambil pendekatan yang berpusat pada manusia yang menempatkan keselamatan dan hak pengguna sebagai inti. Studi kasus ini juga mempertimbangkan kebutuhan peserta lain dalam ekosistem teknologi melalui konsultasi multipihak dengan lembaga swadaya masyarakat (LSM), advokat, orang tua, dan kaum muda. Selain itu, dengan menjawab kuesioner, platform daring dapat melihat celah yang menghambat upaya keamanan dan kepercayaan pengguna. 

E. Studi Kasus 5

Keamanan Anak: Gim, Dunia Imersif, dan Metamesta

Studi kasus ini berfokus pada elemen dinamis dan imersif dari metamesta (metaverse) atau permainan (gim) dibandingkan dengan pengalaman media sosial dan permainan tradisional. Studi kasus mengikuti perjalanan pengguna yang umum, mulai dari pendaftaran pengguna hingga definisi avatar dan fitur kreatif yang lebih luas.

• Konteks dan tujuan utama 

Studi kasus ini didasarkan pada penilaian klien yang nyata, yang dilakukan pada April 2019 oleh tim konsultan risiko Crisp. Studi kasus ini difokuskan pada fase identifikasi risiko dari kerangka kerja penilaian risiko, dengan fokus khusus pada risiko yang terkait dengan keselamatan anak, khususnya child sexual abuse material (CSAM).

• Manfaat dan risiko 

Pendekatan yang diambil dapat, antara lain, memberikan penilaian yang jelas tentang platform, memungkinkan pembuatan heatmap, dan memungkinkan intervensi operasional dan strategis yang diprioritaskan.

F. Studi Kasus 6

Algoritma – Alat Penilaian Dampak AI

Kasus ini mengkaji penilaian dampak pengembangan fitur otomatis baru untuk mesin pencari guna memerangi penyebaran konten yang tidak diinginkan. Untuk keperluan studi kasus, fitur-fitur ini mencakup deteksi otomatis konten, penurunan peringkat konten otomatis, dan kontrol bagi manusia untuk memulai atau mengelola intervensi otomatis. Penilaian dampak dilakukan dengan metodologi kecerdasan artifisial (artificial intelligence/AI) yang bertanggung jawab dari Microsoft. 

• Konteks dan tujuan utama 

Studi kasus ini membahas penerapan fitur otomatis di mesin pencari untuk mengidentifikasi materi yang membahayakan pengguna dan mengurangi risiko HAM dengan mengurangi visibilitas konten yang tidak diinginkan dalam hasil pencarian. 

• Manfaat dan risiko 

Manfaat pendekatan ini adalah pendekatan selaras dengan pengembangan standar internasional, yang dikembangkan oleh International Organization for Standardization/International Electrotechnical Commission (ISO/IEC), dan dikembangkan bersama ISO/IEC 42001 Artificial Intelligence Management System (AIMS). Beberapa standar internasional yang terkait dengan AIMS diharapkan dalam manajemen risiko, tata kelola, dan sertifikasi sehingga pendekatan ini menjadi pendekatan yang kuat untuk perencanaan di masa mendatang.

Artikel ini telah diterbitkan oleh World Economic Forum, dengan judul “Digital Safety Risk Assessment in Action: A Framework and Bank of Case Studies” pada Mei 2023. Artikel selengkapnya dapat dibaca di sini.

Topik penciptaan nilai berkelanjutan (sustainable value) mencakup seluruh spektrum masalah tata kelola lingkungan, sosial, dan perusahaan (environmental, social, and governance/ESG). Di Asia Tenggara, topik ini diposisikan di bagian atas agenda dewan direksi, bahkan saat ini menjadi pusat daya saing perusahaan dan kemampuan operasi organisasi.

Dewan direksi terus menghadapi tantangan dari investor dan pemangku kepentingan untuk menjadi lebih proaktif dalam mendorong penciptaan nilai yang berkelanjutan. Harapan investor meningkat dengan meluasnya pengakuan bahwa faktor ESG memberikan wawasan penting tentang bagaimana suatu organisasi mendorong dan melindungi nilainya. Namun, jika pengungkapan tidak dilaksanakan dengan efektif, investor tidak dapat menilai risiko tersebut secara efektif pula.

Bagi dewan direksi dan tim manajemen, memiliki seperangkat metrik ESG yang konsisten tidak hanya akan menunjukkan komitmen, tetapi juga memungkinkan pengukuran kinerja. Hal ini akan membantu mereka berkomunikasi dengan pemangku kepentingan tentang pertimbangan keberlanjutan yang diintegrasikan dengan strategi, manajemen risiko, dan operasi.

Empat Pilar Paradigma Baru

A. Prinsip-Prinsip Tata Kelola

Karena fokus tujuan korporasi bergeser ke arah penciptaan nilai jangka panjang dan dampak ekonomi, lingkungan, dan sosialnya, organisasi semakin diharapkan untuk mendefinisikan tujuan mereka dengan cara yang mengintegrasikan dampak sosial ini ke dalam inti bisnis mereka, dan menanamkan tujuan mereka ke seluruh strategi dan operasi mereka.

Sesungguhnya, konsep-konsep ini menjadi semakin menonjol dengan menyebarnya pandemi global COVID-19, yang telah membuat hubungan timbal balik antara perusahaan, komunitas, karyawan, pelanggan, dan pemangku kepentingan lainnya menjadi sangat jelas. Pandemi memudahkan kita untuk memahami bahwa tidak ada cara untuk bertahan dan berkembang tanpa pemangku kepentingan. Yang terpenting, pandemi memunculkan ketegangan antara kebutuhan pemegang saham dan pemangku kepentingan sekaligus mengelola tujuan finansial dan nonfinansial serta menyeimbangkan kebutuhan jangka pendek dan jangka panjang.

B. Planet

Melindungi planet dari degradasi merupakan prioritas mendesak untuk mendukung kebutuhan generasi sekarang dan masa depan. Seiring dengan meningkatnya visibilitas dampak bisnis pada planet dan meluasnya tanggung jawab perusahaan, risiko bisnis yang terkait dengan kegagalan menunjukkan pemahaman yang baik dan respons terhadap dampak lingkungan pun meningkat.

Salah satu tren yang dipercepat oleh Covid-19 adalah meningkatnya kesadaran bahwa organisasi perlu fokus lebih intens pada isu lingkungan dan iklim. Namun, untuk memahami relevansi dampak lingkungan terhadap penciptaan nilai jangka panjang dan kelangsungan komersial, organisasi perlu mempertimbangkan dampak di luar rantai nilai tempat mereka beroperasi. Mereka juga perlu memperluas fokus ke seluruh rantai nilai produk dan layanan untuk mempertahankan keberhasilan komersial

C. Manusia

Tenaga kerja menciptakan nilai finansial dan nonfinansial yang penting bagi kinerja bisnis dan keunggulan kompetitif organisasi. Mereka juga memungkinkan mengurangi risiko, mempertahankan lisensi untuk beroperasi, dan memperkuat hubungan dengan pemangku kepentingan.

Hubungan manusia dan keberadaan Covid-19 menghasilkan keadaan yang baru. Pandemi mempercepat cara-cara kerja yang lebih fleksibel serta meningkatkan kesadaran akan pentingnya kesehatan mental di tempat kerja. Selain itu, organisasi diharapkan untuk menegakkan hak asasi manusia (HAM), membina tempat kerja yang beragam dan inklusif, serta menawarkan penciptaan nilai, kesempatan untuk berkembang, dan kemajuan nyata di setiap bidang.

D. Kemakmuran

Pertumbuhan ekonomi harus dibangun atas dasar lapangan kerja yang layak, produksi dan konsumsi yang berkelanjutan, serta inovasi dan transformasi model bisnis untuk menciptakan nilai bersama bagi semua. Bisnis tidak akan berhasil dalam masyarakat yang sedang gagal. Oleh karena itu, organisasi memiliki peran penting dalam mencapai visi untuk menumbuhkan ekonomi yang kuat, inklusif, dan transformatif.

Kini, makin banyak pemimpin bisnis menyadari bahwa nilai sejati organisasi terletak pada banyak aset tak berwujud.. Namun, banyak pula organisasi yang tidak sepenuhnya menangkap aset ini dalam pengukuran dan pelaporan. Kurangnya pemahaman ini dapat mengakibatkan kesalahan perhitungan yang serius. Sebaliknya, dengan meningkatkan pengukuran dan pelaporan metrik serta pengungkapan, organisasi dan pemangku kepentingan dapat menerjemahkan nilai ini ke dalam bahasa bisnis dengan lebih baik.

Penciptaan Nilai Berkelanjutan

Fungsi dewan direksi secara tradisional telah dan tetap menjadi salah satu fungsi pengawasan dan pengelolaan. Pertimbangan cermat terhadap kebutuhan pemangku kepentingan yang lebih luas akan mendorong nilai bagi pemegang saham. Para direktur harus menggunakan kesempatan tersebut untuk mempromosikan keterlibatan yang efektif dan transparan dengan investor.

Untuk itu, nilai keberlanjutan harus ditetapkan terlebih dahulu. Ada lima langkah utama yang harus diambil oleh dewan direksi untuk merangkul penciptaan nilai berkelanjutan, yaitu

1. mulai dengan tujuan,
2. atur dari bagian atas,
3. fokus pada prioritas utama keberlanjutan,
4. tanamkan keberlanjutan dalam praktik tata kelola dewan, serta
5. buat komitmen untuk keterlibatan dan komunikasi terbuka.

Secara umum, komitmen terhadap penciptaan nilai berkelanjutan memerlukan penyediaan pengungkapan yang transparan dan berkualitas tinggi. Di situlah letak peluang nyata untuk merangkul keberlanjutan, yaitu dengan memungkinkan dewan dan manajemen berkomunikasi lebih baik. Sebagai permulaan, dewan direksi hendaknya mempertimbangkan penyusunan pemikiran mereka di sepanjang empat pilar utama.

Artikel ini telah diterbitkan oleh Deloitte, dengan judul “Embracing sustainable value creation in the boardroom” pada April 2021. Artikel selengkapnya dapat dibaca di sini.

Berdasarkan survei global oleh Protoviti terhadap para eksekutif dan direktur C-level dalam hal pengaruh hambatan ekonomi, masalah talenta, teknologi baru, ancaman dunia maya, dan peristiwa geopolitik, berikut adalah daftar risiko teratas (top risk) 2024.

1. Kondisi ekonomi dapat secara signifikan membatasi peluang pertumbuhan.
2. Kemampuan organisasi untuk mempertahankan talenta terbaik, mengelola perubahan ekspektasi tenaga kerja, dan mengatasi tantangan suksesi dapat membatasi kemampuan mencapai target operasional.
3. Organisasi mungkin tidak cukup siap mengelola ancaman siber yang dapat merusak merek.
4. Risiko pihak ketiga yang timbul akibat ketergantungan pada outsourcing dan pengaturan kemitraan strategis dapat mencegah tercapainya target organisasi.
5. Perubahan regulasi dan pengawasan secara signifikan memengaruhi proses produk atau layanan dirancang dan diproduksi.
6. Penerapan teknologi digital mungkin memerlukan keterampilan baru yang terbatas sehingga memerlukan upaya signifikan untuk meningkatkan keterampilan karyawan.
7. Operasi dan infrastruktur teknologi informasi (TI) lama mungkin tidak memenuhi harapan kinerja sebaik pesaing di era digital.
8. Lingkungan suku bunga saat ini mungkin memiliki dampak signifikan terhadap biaya modal dan operasi organisasi.
9. Peningkatan biaya tenaga kerja yang diantisipasi dapat memengaruhi kemampuan untuk memenuhi target profitabilitas.
10. Kepatuhan terhadap peraturan privasi data mungkin memerlukan sumber daya yang signifikan untuk merestrukturisasi cara data dikumpulkan dan digunakan.

Kekhawatiran ekonomi menempati posisi risiko teratas, menggantikan risiko talenta dan masalah suksesi (naik dari posisi kedua pada 2023). Maka, kebijakan bank sentral difokuskan pada penanggulangan inflasi yang disebabkan oleh:

• peningkatan biaya tenaga kerja;
• program stimulus pemerintah yang besar;
• pengurangan risiko ketergantungan negara-negara Barat terhadap Tiongkok, konflik regional, dan perkembangan lain di kawasan lanskap geopolitik; dan
• peningkatan harga tempat tinggal, makanan, dan energi.

Kekhawatiran ekonomi melingkupi seputar lingkungan suku bunga yang secara signifikan memengaruhi biaya modal dan operasi organisasi. Sementara itu, risiko yang berkaitan dengan manusia tetap menjadi perhatian utama, sedangkan budaya menjadi prioritas kedua. Penurunan risiko terkait budaya kemungkinan terjadi karena organisasi menekankan peningkatan ketahanan dan kesadaran risiko karyawan dalam lingkungan bisnis yang berkembang pesat.

Risiko di peringkat kedua pada daftar 2024—menemukan dan mempertahankan talenta yang tepat—sangat relevan di era terkini. Organisasi harus menemukan strategi untuk menciptakan daya tarik bagi jenis talenta unik yang mereka butuhkan.

Sementara itu, keamanan siber menjadi perhatian utama dalam jangka pendek. Ancaman siber kini menempati peringkat risiko ketiga pada 2024 (naik dari peringkat ke-15 pada tahun lalu). Peningkatan posisi ini i mencerminkan meningginya kesadaran terhadap lanskap risiko siber yang dipengaruhi oleh kurva eksponensial kemajuan teknologi.

Kekuatan lain, seperti meningkatnya ketergantungan pada pihak ketiga, juga berkontribusi terhadap lanskap ancaman. Hal yang sama terjadi pada kondisi geopolitik, termasuk dengan adanya kepentingan nasional yang saling bersaing, hingga terorisme global yang memengaruhi penilaian risiko siber di wilayah dan negara tertentu.

Kekhawatiran atas pengawasan regulasi juga meningkat dalam jangka pendek. Risiko regulasi menurun selama pandemi Covid-19 karena banyaknya kekhawatiran risiko lainnya yang lebih tinggi. Meski begitu, kekhawatiran ini menyebar luas di seluruh industri.

Di sisi lain, peristiwa geopolitik mendorong perubahan penting dalam persepsi risiko. Tren penting dalam hasil survei global daftar risiko teratas tahun ini adalah mengenai apa yang terungkap dari temuan sebelum dan sesudah 7 Oktober 2023, yaitu ketika peristiwa di Israel dan Gaza meletus. 

Survei ini—seperti tahun-tahun sebelumnya—menunjukkan adanya variasi dalam perspektif di seluruh kelompok industri dan wilayah di dunia. Selain itu, terdapat perbedaan perspektif di antara para direktur dan eksekutif C-level mengenai tingkat keparahan risiko pada 2024. Hal ini menunjukkan perlunya dialog di tingkat tertinggi organisasi untuk memastikan bahwa semua orang yang terlibat memiliki pemahaman yang sama mengenai risiko perusahaan yang kritis.

Pertimbangan untuk Dewan

Dalam 1 tahun ke depan, kita akan menghadapi ketidakpastian ekonomi, masalah talenta, ancaman dunia maya, risiko pihak ketiga, serta masalah regulasi dan teknologi. Keseluruhan aspek tersebut menjadi hal yang paling menyita perhatian di jajaran C-level.

Untuk itu, dewan direksi harus mempertimbangkan tema risiko dan evaluasi fokus pengawasan risiko. Jika pimpinan senior organisasi belum mengidentifikasi atau memprioritaskan masalah sebagai hal yang perlu dipertimbangkan, direktur harus bergerak untuk mempertimbangkan relevansinya dengan strategi perusahaan.

Artikel ini telah diterbitkan oleh Protiviti, dengan judul “The Top Risks for 2024: Risk Priorities Are Shifting” pada 10 Januari 2024. Artikel selengkapnya dapat dibaca di sini.

Manajemen Risiko Model (MRM) di lembaga keuangan bertujuan untuk memastikan bahwa model yang digunakan sesuai dengan peraturan, memiliki data berkualitas, dan telah diverifikasi secara konseptual. Namun, aspek penting lain yang sering terabaikan dalam MRM adalah proses pemantauan berkelanjutan. Pemantauan ini bertujuan untuk memastikan model berfungsi sesuai harapan dan tetap mematuhi peraturan yang berlaku.

Kelemahan dalam pemantauan berkelanjutan dapat berdampak serius. Misalnya, salah satu bank terbesar di AS kehilangan $2 miliar pada tahun 2012 karena penggunaan model Value-at-Risk yang tidak memadai. Model ini menyamarkan risiko, yang menyebabkan keputusan bisnis yang salah dan kerugian besar.

Komponen Utama Pemantauan Berkelanjutan

MRM yang efektif membutuhkan beberapa proses, termasuk pemantauan yang berkelanjutan, untuk memastikan model tetap berfungsi optimal. Pemantauan ini juga mendukung kepatuhan terhadap kebijakan internal serta peraturan eksternal. Berdasarkan panduan dari Federal Reserve (SR 11-7), evaluasi model harus mempertimbangkan perubahan dalam produk, eksposur, dan kondisi pasar untuk memastikan model tetap relevan.

Berikut adalah empat komponen utama pemantauan berkelanjutan:

1. Input
   Data internal dan eksternal yang digunakan dalam model harus terus diverifikasi untuk memastikan akurasi, kelengkapan, dan konsistensi dengan tujuan model. Penggunaan indikator risiko utama (KRI) seperti Population Stability Index (PSI) dapat membantu mengidentifikasi perubahan populasi data yang memengaruhi hasil model.
2. Output
   Indikator kinerja utama (KPI) dari model perlu terus dievaluasi untuk mengidentifikasi pengukuran yang kurang optimal dan menyesuaikannya dengan kondisi pasar yang terbaru. KPI yang relevan memungkinkan perusahaan menilai apakah model berfungsi sesuai tujuan.
3. Penilaian Risiko Model dan Kebutuhan Regulasi
   Penilaian risiko model digunakan untuk mengidentifikasi risiko dari setiap model, serta risiko agregat yang dihasilkan dari seluruh model dalam inventaris. Penilaian ini harus sejalan dengan prosedur validasi model perusahaan dan persyaratan regulasi.
4. Pelaporan
   Setiap organisasi harus memiliki kerangka kerja pelaporan yang jelas untuk merespons kesalahan model, risiko, atau masalah lainnya. Proses eskalasi yang tepat hingga ke tingkat dewan sangat penting untuk memastikan pengambilan keputusan yang tepat waktu.

Pemantauan berkelanjutan memastikan bahwa struktur tata kelola, kualitas data, dan keandalan konseptual model tetap selaras dengan tujuan dan risiko organisasi. Kelemahan dalam proses ini dapat menyebabkan kerugian finansial dan reputasi yang besar. Pemantauan yang efektif harus dimulai sejak model dikembangkan dan dilaporkan secara rutin kepada manajemen untuk memungkinkan penyesuaian yang tepat waktu.

Pemantauan berkelanjutan adalah kunci keberhasilan MRM, memberikan transparansi dan membantu organisasi menavigasi perubahan risiko dengan lebih baik. Dengan adanya pemantauan yang kokoh, pemimpin organisasi dapat lebih siap dalam mengantisipasi risiko yang muncul.

Artikel ini telah diterbitkan oleh Grant Thornton pada 27 Juli 2023, dengan judul Facilitating Ongoing Monitoring in Model Risk Management. Artikel selengkapnya dapat dibaca di sini.

Saat ini, guncangan besar terus terjadi dan volatilitasnya konstan. Hal ini mencakup fenomena cuaca yang mengganggu, pergolakan geopolitik, dan ketidakpastian ekonomi. 

Ketika melakukan pembaruan untuk menciptakan peluang dari semua gangguan dan volatilitas, perusahaan perlu berpikir secara berbeda dalam memitigasi dan menavigasi risiko. Namun, hanya 14,5% organisasi (yang disurvei) yang memiliki kemampuan manajemen risiko tingkat lanjut. Organisasi-organisasi inilah yang lebih mungkin untuk berkembang sebagai bisnis. 

Selama 4 tahun terakhir, gangguan meningkat sebesar 183%. Sementara itu, pada tahun lalu, angkanya menjadi sebesar 33% saja, menurut Accenture Pulse of Change: 2024 Index. Risiko-risiko yang kompleks dan saling berhubungan muncul dengan kecepatan yang lebih tinggi dibandingkan sebelumnya.

Risiko yang Menjadi Lebih Kompleks

Dunia bisnis menghadapi tantangan dalam mengelola risiko teknologi, terutama yang berhubungan dengan penggunaan cloud dan kecerdasan artifisial (artificial intelligence/AI). Selain itu, risiko peraturan meningkat seiring diberlakukannya undang-undang baru, misalnya mengenai AI serta tata kelola lingkungan, sosial, dan perusahaan (environmental, social, and governance/ESG). Di berbagai industri, risiko teknologi disruptif juga menjadi semakin signifikan, misalnya dengan keberadaan deepfake. 

Bisnis juga menghadapi kompleksitas risiko sosial dan geopolitik. Sebagian besar profesional di bidang risiko (83%) mengakui bahwa risiko yang kompleks kini muncul lebih cepat. Maka dari itu, perusahaan perlu meningkatkan kemampuan mengelola risiko serta meresponsnya dengan strategi baru. 

Menurut Accenture Risk Study: 2024 Edition, risiko menjadi semakin saling bergantung. Sebagai contoh, responden survei mengurutkan risiko strategis sebagai jenis risiko yang paling meningkat. Risiko strategis juga diperburuk oleh risiko keuangan, peraturan dan teknologi. Hubungan antarrisiko ini perlu diketahui untuk memungkinkan para pemimpin risiko memahami profil risiko organisasi mereka yang sebenarnya. 

Dalam menghadapi kondisi ini, manajemen risiko perlu mengalami pembaruan dengan mempertimbangkan hal-hal berikut. 

1. Kepuasan terhadap adopsi pola pikir risiko hanya sebesar 35% dari responden.   
2. Kepuasan dalam aspek manajemen risiko lainnya secara keseluruhan cukup rendah, yaitu dengan persentase antara 34% hingga 39%.
3. Evaluasi kemampuan bisnis menunjukkan adanya kebutuhan peningkatan untuk mengadopsi dan menjalankan pola pikir risiko secara efektif di seluruh organisasi.

Penguatan Kemampuan Risiko

Berikut adalah hubungan antara tim manajemen risiko (lini kedua) dan operasional bisnis (lini pertama) dalam organisasi/perusahaan.

1. Meningkatkan keahlian

Tim risiko harus memiliki pengetahuan dan keahlian yang relevan dengan jenis risiko. Perekrutan individu dari peran operasional (lini pertama) ke manajemen risiko (lini kedua) dan sebaliknya dapat meningkatkan keahlian dan pemahaman risiko dalam organisasi. 

1. Menargetkan konsultasi 

Tim risiko perlu menerapkan pendekatan konsultatif dan kolaboratif, bukan sekadar memberikan daftar periksa. Tujuannya, hal ini dapat memberdayakan lini pertama untuk mengelola risiko secara efektif.

1. Menghindari “lini 1.5”

Di masa lalu, beberapa tim operasional bisnis menciptakan “lini 1.5”, yaitu tim risiko tersendiri. Strategi ini ditinggalkan karena tidak efektif.

Secara keseluruhan, pemimpin risiko yang sukses adalah pemimpin yang mampu membangun budaya risiko yang kuat, memberdayakan lini pertama, serta mendukung bisnis dalam mengelola risiko dengan lebih baik.

Sementara itu, beberapa langkah cepat untuk memperkuat kemampuan risiko dan menghilangkan silo adalah sebagai berikut.

1. Integrasi inisiatif transformasi risiko
2. Evaluasi saling ketergantungan risiko
3. Penyelarasan tim risiko dan bisnis
4. Penghindaran duplikasi tim
5. Kontribusi risiko terhadap pertumbuhan

Secara umum, pendekatan terintegrasi dan kolaboratif diperlukan untuk memperkuat kemampuan risiko dan menghilangkan silo dalam organisasi.

Artikel ini telah diterbitkan oleh Accenture, dengan judul Hyper-Disruption Demands Constant Reinvention. Artikel selengkapnya dapat dibaca di sini.

Otoritas Jasa Keuangan (OJK) merilis Pedoman Keamanan Siber (Cybersecurity Guidelines) bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK). Pedoman ini berisi strategi reaktif dan proaktif atas keamanan siber yang paling banyak menyerang industri keuangan sepanjang 2023.

Dalam konteks penerapan kerangka keamanan siber, pedoman ini memberikan pemetaan atas kerangka keamanan siber melalui pendekatan multiaspek. Lebih lanjut, selain berfungsi sebagai panduan, pedoman ini juga berusaha memenuhi tujuan untuk meningkatkan awareness manajemen risiko dan audit.

Aspek-aspek dan jenis-jenis ancaman siber akan dikupas dalam pedoman ini, dilanjutkan dengan kebijakan-kebijakan mengenai pelindungan data dan keamanan informasi. Tidak hanya memaparkan mekanisme penyimpanan, pedoman ini juga menawarkan mekanisme back-up dan recovery serta pemusnahan data secara aman.

Manajemen risiko tidak luput dibahas dalam pedoman ini. Pasalnya, manajemen risiko merupakan proses penting dalam pemastian keamanan operasional penyelenggara ITSK. Penilaian, mitigasi, hingga perlakuan risiko yang sesuai konteks dibahas secara terperinci.

Strategi tanggap insiden juga menjadi topik utama dalam pedoman, mengingat posisinya yang krusial dalam menghadapi keamanan siber bagi penyelenggara ITSK. Strategi ini dimulai dari penyusunan rencana tanggap insiden, identifikasi set kritis, pembentukan tim tanggap insiden, pelatihan rutin, hingga pembuatan kebijakan eskalasi dan pelaporan insiden. Tidak hanya itu, strategi yang dimaksud juga mencakup tahap deteksi dan analisis agar potensi kejadian keamanan dapat diketahui. Tahap selanjutnya, yaitu tahap pengisolasian, pemberantasan, dan pemulihan, juga mendapat sorotan khusus karena bertujuan untuk mengembalikan data ke kondisi fungsional.

Untuk mengidentifikasi kerentanan, pedoman ini juga mendampingi penyelenggara ITSK dalam melakukan penilaian maturitas. Secara detail, langkah-langkah yang perlu dilakukan untuk meningkatkan pertahanan akan dipaparkan, mulai dari pemanfaatan assessment tools terstandardisasi, tolok ukur (benchmarking) pada standar industri, pengembangan rencana perbaikan, siklus perbaikan berkelanjutan, hingga pelaporan. Seluruh langkah ini diberikan agar penyelenggara ITSK tetap terdepan dalam menghadapi potensi ancaman siber.

Selain itu, sejumlah pendukung keamanan siber juga disebutkan dalam pedoman yang didukung oleh Kedutaan Besar Inggris melalui UK Government cyber capacity-building programme ini. Perangkat pendukung yang dimaksud dapat diterapkan pada tahap pelatihan, peningkatan awareness, dan kolaborasi antarpemangku kepentingan. Artinya, penyelenggara ITSK harus memiliki program pelatihan tertentu yang bertujuan meningkatkan pemahaman dan kemampuan mitigasi risiko. Jenis-jenis kegiatan untuk meningkatkan awareness juga perlu dikembangkan, sebagaimana kolaborasi perlu dilakukan agar informasi yang penting dapat disampaikan lebih cepat.

Secara umum, pedoman ini membawa pendekatan dan analisis komparatif dengan standar dan praktik keamanan siber. Untuk memudahkan pemahaman penyelenggara ITSK, pedoman ini dilengkapi pula dengan Kode Etik Keamanan Siber dan sejumlah checklist. Diharapkan, pedoman ini dapat mendorong pemberdayaan ekosistem digital dan memperkuat ketahanan siber. Dengan demikian, sektor ITSK dapat tumbuh dan berkontribusi pada perekonomian nasional secara optimal.

 

Artikel ini telah diterbitkan oleh Otoritas Jasa Keuangan, dengan judul “Pedoman Keamanan Siber Bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK)” pada 25 Juli 2024. Artikel selengkapnya dapat dibaca di sini.

Di era digital yang semakin kompleks, perusahaan di sektor infrastruktur kritis menghadapi tantangan besar dalam menangani ancaman siber yang terus berkembang. Banyak tim keamanan tidak memanfaatkan data secara optimal, sehingga gagal memberikan kontribusi maksimal bagi organisasi.

Pemimpin perusahaan, konsumen, dan regulator mengharapkan data digunakan sebagai aset strategis. Namun, banyak bisnis justru kewalahan dengan data yang tidak terstruktur, sulit diakses, dan membengkakkan biaya penyimpanan. Berbagi informasi melalui cara tradisional seperti spreadsheet dan database lama mengakibatkan hilangnya peluang dalam melawan ancaman siber.

Sebagai contoh, di sektor keuangan, banyak data penting yang tersembunyi dapat membantu bank mendeteksi peretasan dan penipuan lebih cepat jika informasi tersebut bisa disajikan dengan jelas. Di perusahaan global, catatan keamanan tersebar di berbagai lokasi, padahal data ini dapat memperkuat postur keamanan secara global jika tim keamanan di seluruh dunia memiliki pandangan risiko yang terintegrasi secara real-time.

Untuk mengatasi tantangan dari kelompok kriminal dan ancaman canggih lainnya, perusahaan membutuhkan cara inovatif untuk mengubah data menjadi wawasan manajemen risiko. Salah satu caranya adalah pendekatan keamanan siber berbasis data yang menggabungkan teknologi dan talenta untuk mendukung seluruh organisasi.

Pendekatan ini mengintegrasikan berbagai kelompok seperti operasi siber, respons insiden, intelijen, investigasi keamanan global, dan manajemen penipuan. Dengan tata kelola data yang terarah, tim-tim ini dapat membuat keputusan secara real-time dalam menghadapi ancaman yang berkembang.

Ketika sebuah bank menghadapi ancaman kompleks, seperti evolusi dari peretasan menjadi skema penipuan, pendekatan berbasis data memungkinkan tim spesialis untuk berbagi data dengan cepat, berkolaborasi, dan mengalihkan penyelidikan dengan mulus dari satu tahap ke tahap berikutnya.

Pendekatan ini juga membantu perusahaan di seluruh industri infrastruktur kritis. Misalnya, produsen global besar bisa lebih proaktif dalam menangani risiko, berbagi data keamanan dengan cepat, dan mengelola ancaman dengan lebih efektif. Dengan pandangan risiko yang menyeluruh, perusahaan dapat meningkatkan keamanan bahkan di bagian-bagian yang mengalami keterbatasan sumber daya.

Selain itu, pendekatan ini membuat penyimpanan data besar lebih efisien, memungkinkan perusahaan memanfaatkan analitik keamanan secara real-time dan menerapkan siber canggih yang prediktif.

Dengan mengadopsi pendekatan manajemen risiko siber berbasis data, organisasi dapat meraih keunggulan kompetitif. 

Artikel ini telah diterbitkan oleh Booz Allen dengan judul How Data-Driven Cybersecurity Can Enable Your Business. Artikel selengkapnya dapat dibaca di sini.

Kemajuan teknologi terus berkembang pesat, dan manajemen risiko menjadi komponen penting dalam organisasi modern. Salah satu contoh nyata yang menunjukkan ancaman yang dihadapi di dunia yang semakin terhubung adalah kampanye peretasan global yang baru-baru ini menargetkan MOVEit Transfer, perangkat lunak transfer file yang banyak digunakan.

MOVEit Transfer: Kasus Serangan Siber Terbaru

MOVEit Transfer adalah alat populer yang digunakan oleh organisasi untuk transfer data sensitif, seperti catatan keuangan. Namun, perangkat ini menjadi sasaran kampanye peretasan yang luas. Beberapa entitas, termasuk Departemen Energi AS (DOE), perusahaan energi Shell, dan universitas ternama seperti Johns Hopkins, terkena dampak serangan ini. Grup peretas Cl0p, yang terhubung dengan Rusia, mengklaim bertanggung jawab atas peretasan tersebut dengan mengeksploitasi celah keamanan yang ditemukan pada perangkat lunak ini.

Tantangan Risiko IT: Keamanan, Pelanggaran Data, dan Kepatuhan Regulasi

1. Kerentanan Keamanan: Kampanye peretasan ini menunjukkan betapa pentingnya mengidentifikasi dan memperbaiki celah keamanan pada perangkat lunak. Kerentanan yang tidak ditambal dapat menjadi pintu terbuka bagi peretas.
2. Pelanggaran Data: Pelanggaran ini berdampak besar bagi entitas seperti DOE dan Shell, yang mengelola informasi sensitif yang mempengaruhi keamanan nasional dan posisi kompetitif perusahaan. Pentingnya melindungi informasi sensitif melalui enkripsi, segmentasi jaringan, dan pengawasan akses menjadi sangat krusial.
3. Kepatuhan Regulasi: Pelanggaran ini juga menunjukkan risiko kepatuhan terhadap regulasi. Ketidakpatuhan terhadap undang-undang perlindungan data dapat mengakibatkan sanksi berat dan merusak reputasi organisasi.

Strategi Mitigasi Risiko IT

Untuk mengatasi risiko IT yang kompleks, organisasi harus mengadopsi pendekatan beragam dalam manajemen risiko IT:

1. Manajemen Risiko Pihak Ketiga: Perlu evaluasi keamanan vendor secara berkala, termasuk asesmen keamanan vendor dan monitoring berkelanjutan.
2. Keamanan Cloud: Memahami model tanggung jawab bersama dalam layanan cloud, serta memastikan konfigurasi keamanan yang tepat.
3. Manajemen Kerentanan Berkelanjutan: Mempekerjakan monitoring dan patching sistem secara berkala untuk menutup celah keamanan secepat mungkin.
4. Enkripsi dan Transfer Data Aman: Data sensitif harus dienkripsi baik saat disimpan maupun saat ditransfer.
5. Pelatihan dan Kesadaran Karyawan: Karyawan adalah lini pertahanan pertama. Pelatihan dan simulasi keamanan yang berkelanjutan dapat membantu mereka mengenali ancaman dan merespons dengan tepat.
6. Rencana Respons Insiden: Membentuk tim respons insiden yang siap menghadapi pelanggaran keamanan adalah langkah krusial. Prosedur yang jelas dan latihan rutin memastikan kesiapan organisasi menghadapi berbagai jenis insiden.
7. Kepatuhan Hukum dan Regulasi: Pastikan organisasi mematuhi semua peraturan yang berlaku melalui audit berkala.

Insiden MOVEit Transfer menjadi pengingat pentingnya manajemen risiko IT. Dengan pendekatan yang melibatkan monitoring berkelanjutan, pelatihan karyawan, dan kepatuhan terhadap regulasi, organisasi dapat mengurangi risiko dan membangun masa depan yang lebih aman di era digital ini. Risiko IT bukan hanya masalah teknis, tetapi juga prioritas bisnis yang harus dikelola dengan baik oleh para pemimpin masa kini.

Artikel ini telah diterbitkan oleh ISACA, dengan judul Navigating the Treacherous Waters of IT Risk: The MOVEit Transfer Exploit as a Case Study. Artikel selengkapnya dapat dibaca di sini.

Pada tahun 1980-an, Angkatan Udara AS menciptakan istilah “keamanan siber” untuk menggambarkan perlindungan terhadap jaringan komputer. Istilah ini pertama kali diperkenalkan ke publik pada tahun 1985 melalui sebuah makalah dari Angkatan Udara.

Memasuki tahun 1990-an, dengan pesatnya pertumbuhan internet, pemerintah AS membentuk National Institute of Standards and Technology (NIST) untuk mengembangkan standar keamanan siber. NIST kemudian menerbitkan Special Publication (SP) 800-53 pada tahun 1997 yang berisi kontrol keamanan untuk sistem informasi.

Seiring dengan meningkatnya frekuensi dan kecanggihan serangan siber, keamanan siber kini meliputi perlindungan semua aspek sistem dan jaringan komputer, termasuk perangkat keras, perangkat lunak, data, dan orang-orang. Dengan semakin banyaknya aktivitas yang berpindah ke dunia maya, informasi pribadi dan finansial menjadi semakin rentan terhadap serangan siber. Oleh karena itu, keamanan siber menjadi isu penting bagi perusahaan, pemerintah, dan individu. Langkah pertama yang perlu dilakukan adalah melakukan audit keamanan siber.

Audit keamanan siber membantu organisasi dari berbagai ukuran untuk mengidentifikasi dan mengurangi risiko keamanan mereka. Ini adalah pemeriksaan sistematis terhadap kontrol keamanan informasi untuk memastikan efektivitas perlindungan data dan sistem sensitif.

Enam Manfaat Audit Keamanan Siber:

1. Identifikasi dan Mitigasi Risiko: Menemukan dan mengurangi kerentanan dalam sistem.
2. Lindungi Informasi Sensitif: Memastikan data terlindungi dengan enkripsi dan kontrol akses.
3. Patuhi Regulasi: Menjamin kepatuhan terhadap standar keamanan.
4. Tingkatkan Postur Keamanan: Mengidentifikasi dan memperbaiki kelemahan dalam kontrol keamanan.
5. Dapatkan Kepercayaan Pelanggan: Meningkatkan kepercayaan pelanggan dengan komitmen terhadap keamanan data.
6. Pertahankan Kontinuitas Bisnis: Melindungi sistem dan data penting untuk mencegah gangguan operasional.

Langkah-langkah Melakukan Audit Keamanan Siber

Melakukan audit keamanan siber melibatkan enam langkah berikut:

1. Rencanakan dan Tentukan Ruang Lingkup Audit

Auditor harus memahami lingkungan TI, tujuan, dan risiko organisasi sebelum memulai audit. Pengetahuan tentang kerangka kerja keamanan siber juga penting.

2. Kumpulkan Informasi dan Data

Gunakan metode seperti:

• Penilaian Risiko: Mengidentifikasi risiko potensial terhadap infrastruktur TI.
• Alat Pemindai Kerentanan: Menemukan kerentanan dalam sistem.
• Pengujian Penetrasi: Mensimulasikan serangan untuk mengidentifikasi kelemahan.

3. Evaluasi Efektivitas Kontrol Keamanan

Evaluasi kontrol seperti akses, enkripsi, dan respons insiden untuk memastikan efektivitasnya.

4. Tinjau Data yang Dikumpulkan

Identifikasi kerentanan dan evaluasi efektivitas kontrol dalam menangani risiko.

5. Dokumentasikan Temuan dan Buat Rekomendasi

Laporan harus jelas dan ringkas, mencakup rekomendasi perbaikan yang mudah dipahami dan diimplementasikan.

6. Tindak Lanjuti Hasil Audit

Pastikan organisasi menerapkan rekomendasi dan pantau kemajuan perbaikan postur keamanan.

Audit keamanan siber yang rutin sangat penting untuk memastikan bahwa kontrol keamanan tetap efektif, kerentanan diidentifikasi dan ditangani, serta data terlindungi dengan baik. Dengan investasi dalam audit keamanan siber, organisasi dapat mengurangi risiko serangan dan pelanggaran data, memperbaiki postur keamanan, serta meningkatkan kepercayaan pelanggan.

Artikel ini telah diterbitkan oleh ISACA dengan judul Six Benefits of a Cybersecurity Audit (and 6 Steps to Perform One). Artikel selengkapnya dapat dibaca di sini.

Dunia telah berubah besar dalam tiga tahun terakhir. Pandemi mengganggu kesehatan, ekonomi, dan pasar tenaga kerja. Ketidakstabilan geopolitik dan perubahan iklim semakin memperburuk kondisi, seperti terlihat dari banjir Auckland dan Siklon Gabrielle di Selandia Baru. Kini, risiko siber, inflasi, dan volatilitas makroekonomi menjadi fokus utama CEO.

Organisasi terkemuka menggunakan periode ini untuk meningkatkan ketahanan dan manajemen risiko mereka. Berikut adalah empat cara CEO mengubah pandangan mereka tentang risiko:

1. Membutuhkan Pandangan Menyeluruh tentang Risiko

Para pemimpin perlu memahami semua elemen risiko, baik strategis, operasional, regulasi, keuangan, maupun teknologi. Data memainkan peran penting dalam mendeteksi perubahan dan menciptakan intelijen risiko yang bisa ditindaklanjuti.

2. Menetapkan Selera Risiko & Mengembangkan Budaya Risiko yang Kuat

Menetapkan selera risiko membantu organisasi memahami di mana mereka bisa mengambil lebih banyak risiko untuk pertumbuhan. Selera risiko mendukung kelincahan dan keselarasan, serta mengingatkan tentang pentingnya mempertimbangkan aspek masyarakat yang lebih luas. Budaya risiko yang kuat memanfaatkan potensi keuntungan dari risiko dengan cara yang gesit, sesuai dengan tujuan organisasi.

3. Mengantisipasi Risiko Menggunakan Data

Kita tidak bisa hanya mengandalkan pengalaman masa lalu untuk memprediksi risiko di masa depan. Organisasi kini memanfaatkan data internal dan eksternal serta teknologi terbaru untuk melihat perubahan secara real-time. Data real-time digunakan dalam berbagai aspek bisnis, seperti pemasaran digital dan mobil otonom, untuk merespons risiko dengan gesit.

4. Melibatkan Komunitas Pemecah Masalah yang Beragam

Menghadapi risiko memerlukan perspektif yang beragam. Keterampilan dari berbagai bidang, seperti psikologi dan desain berpusat pada manusia, dapat membantu memprediksi dan mengelola risiko. Survei menunjukkan bahwa 70% organisasi kini memprioritaskan keberagaman dalam tim risiko dan memanfaatkan aliansi untuk meningkatkan kesadaran risiko.

Secara keseluruhan, mengelola risiko bukan hanya tentang merespons perubahan, tetapi tentang mengubah cara kita melihat dan menghadapi risiko dengan perspektif baru.

Artikel ini telah diterbitkan oleh PwC, dengan judul Should CEOs Think Differently About Risk?. Artikel selengkapnya dapat dibaca di sini.