Artikel

Keamanan infrastruktur kritis semakin penting bagi para pemimpin teknologi informasi dan keamanan siber. Ancaman terhadap sektor-sektor vital ini mengalami lonjakan dramatis, dari kurang dari 10 insiden pada tahun 2013 menjadi hampir 400 pada tahun 2020 — meningkat hingga 3.900%.

Serangan-serangan ini bisa sangat berbahaya dan seringkali tidak terdeteksi dengan mudah. Oleh karena itu, pemerintah di seluruh dunia mewajibkan kontrol keamanan yang lebih ketat untuk sistem-sistem cyber-physical yang krusial.

Masalahnya terletak pada alat keamanan tradisional yang tidak lagi cukup untuk menghadapi kecepatan dan kompleksitas serangan cyber saat ini. Ini diperparah oleh konvergensi teknologi operasional (OT) — yang mengontrol mesin-mesin industri — dengan sistem informasi (IT) yang memproses data perusahaan.

Gartner melaporkan bahwa evolusi ini meninggalkan semua sistem cyber-physical dalam risiko tinggi terhadap serangan oleh peretas dan pihak-pihak jahat lainnya. Infrastruktur kritis mencakup sektor-sektor penting seperti fasilitas komersial, komunikasi, energi, layanan keuangan, dan sistem air limbah di Amerika Serikat, yang saling tergantung satu sama lain.

Sementara teknologi ini berkembang, prediksi Gartner memberi kita gambaran tentang tantangan keamanan yang akan datang dan tindakan yang perlu diambil:

1. Serangan Balasan Fisik: Pada tahun 2024, serangan siber yang serius bisa memicu tanggapan fisik dari anggota G20. Ini menunjukkan perlunya koordinasi ketat antara pemimpin militer dan perusahaan swasta untuk melindungi infrastruktur kritis.

2. Solusi Keamanan Terpadu: Pada tahun 2024, sekitar 80% organisasi infrastruktur kritis berencana meninggalkan solusi keamanan tradisional dan beralih ke solusi hiperkonvergen. Langkah ini diperlukan untuk mengurangi risiko yang dihadapi oleh sistem cyber-physical dan IT.

3. Pemenuhan Persyaratan Keamanan: Hingga tahun 2026, hanya sekitar 30% pemilik dan operator infrastruktur kritis di AS yang memenuhi persyaratan keamanan pemerintah untuk sistem cyber-physical. Untuk mengatasi tantangan ini, diperlukan strategi keamanan yang holistik, mengintegrasikan OT, Internet of Things (IoT), dan keamanan IT dalam upaya yang terkoordinasi.

Para pemimpin keamanan dan manajemen risiko dapat menggunakan prediksi Gartner ini sebagai panduan untuk mempersiapkan diri menghadapi risiko potensial di masa depan. 

Artikel ini telah diterbitkan oleh Gartner pada 8 Februari 2022, dengan judul “3 Planning Assumptions for Securing Cyber-Physical Systems of Critical Infrastructure”. Artikel selengkapnya dapat dibaca di sini.

Setiap alat penilaian risiko harus berkontribusi pada pengambilan keputusan tentang pengelolaan risiko individu. Para eksekutif dan pemimpin manajemen risiko makin sering dihadapkan pada keputusan yang tidak memiliki informasi yang dibutuhkan, terutama dalam bentuk peristiwa “angsa hitam” atau black swan.

Istilah black swan merujuk pada peristiwa yang sangat tidak dapat diprediksi, tetapi berdampak besar. Namun, dengan melihat ke belakang, peristiwa tersebut sebenarnya dapat dirasionalisasi sebagai sesuatu yang seharusnya sudah jelas.

Kuantifikasi Risiko Siber (Cyber Risk Quantification/CRQ) dan pendekatan Analisis Faktor Risiko Informasi (Factor Analysis of Information Risk/FAIR) dibangun sebagai kerangka kerja pengambilan keputusan. CRQ membantu menganalisis kejadian-kejadian black swan dengan membandingkan risiko secara lebih efektif.

Menurut whitepaper IRIS 2022 dari Cyentia Institute, meskipun rata-rata jumlah kerugian dolar yang terkait dengan pelanggaran tidak berubah secara signifikan, jumlah kerugian yang terkait dengan peristiwa ekstrem telah menjadi tren selama beberapa tahun terakhir. Keterkaitan organisasi dan teknologi telah memperluas rentang potensi kerugian, yang pada akhirnya meningkatkan potensi peristiwa black swan. Contoh peristiwa yang sedang atau berpotensi terjadi adalah sebagai berikut.

1. Pandemi Covid-19
2. Serangan siber pada infrastruktur penting
3. Risiko pasca-kuantum

Selain istilah black swan, ada pula istilah lain yang digunakan praktisi manajemen risiko, yaitu “angsa abu-abu” atau gray swan. Istilah ini merujuk pada kejadian yang sebenarnya bisa diprediksi, tetapi sulit diduga waktu dan frekuensi kejadiannya.

Beberapa risiko cenderung dianggap sebagai gray swan alih-alih black swan, misalnya

1. Sebagian besar kerentanan zero-day individual; dan
2. Perluasan ancaman ransomware yang sedang berlangsung.

Setiap organisasi harus berurusan dengan “banjir” risiko baru, yang beberapa di antaranya dapat dianggap sebagai peristiwa black swan yang potensial. Ketika berfokus pada kejadian yang berpotensi menjadi bencana atau kejadian ekstrem, proses analisis risiko dapat diadaptasi sebagai berikut.

1. Pahami aset penting

Organisasi dapat memanfaatkan perangkat enterprise risk management (ERM), audit, atau manajemen aset yang ada untuk mengidentifikasi aset dengan nilai bisnis yang penting bagi tujuan strategis organisasi.

2. Fokus pada kemungkinan ancaman

Selesaikan analisis berbasis FAIR tentang skenario kerugian potensial terhadap aset-aset ini dan visualkan skenario yang berpotensi menimbulkan kerugian tahunan rata-rata yang signifikan.

Gambar 1. Kerugian ‘Rata-Rata”

3. Jangan lupakan kemungkinan atau potensi

Dengan daftar risiko yang terkuantifikasi, kita dapat mengidentifikasi risiko-risiko yang rapuh. Jika daftar risiko tidak dapat dengan mudah mengidentifikasi potensi risiko yang tinggi tanpa kontrol yang memadai (perhatikan Gambar 2), kita akan kehilangan separuh dari gambarannya.

Gambar 2. Visualisasi Risiko Ketahanan

4. Batasi kerugian

Ketika melihat skenario kejadian kerugian yang terukur, kita dapat mulai memodelkan skenario alternatif.

Cara Kerja FAIR-CAM 

Pada 2021, FAIR Control Analytics Model (FAIR-CAM) dirilis dan memperkenalkan metode untuk menghubungkan kontrol dan efektivitas dengan skenario kerugian FAIR individu. Model ini memungkinkan kita untuk memvisualisasikan kontrol tunggal atau kontrol yang tidak efektif, yang dapat dengan mudah diperbarui dengan hasil penilaian dunia maya untuk memunculkan potensi risiko ketahanan. Lihat Gambar 3 di bawah ini untuk contoh pemetaan.

Dengan model ini, kita bisa dengan cepat dan teratur menganalisis banyak skenario dan mengevaluasi opsi penanganan risiko. Gambar 4 dua alternatif ini menggunakan kuantifikasi risiko.

Gambar 4. Pilihan Penanganan Risiko

Memahami Risiko Bencana 

Organisasi perlu berinvestasi dalam analisis risiko kuantitatif untuk memahami risiko yang paling besar. Organisasi diminta untuk lebih jelas “menunjukkan hasil kerjanya” oleh regulator. Di samping itu, kerangka kerja perlu terbukti, transparan, dan bersumber terbuka seperti FAIR dan FAIR-CAM agar dapat dapat membantu.

Organisasi perlu secara proaktif mengidentifikasi area kesenjangan atau kekurangan kontrol yang meningkatkan kerentanan organisasi terhadap kerugian besar. Organisasi harus mengantisipasi dan belajar dengan cepat dari peristiwa ancaman untuk meningkatkan kemampuan dalam menghadapi potensi ancaman ketahanan.

Artikel ini telah diterbitkan oleh Protiviti, dengan judul Using Cyber Risk Quantification to Manage Chaos. Artikel selengkapnya dapat dibaca di sini.

Menurut Aon, 421 kejadian bencana penting pada 2022 mengakibatkan kerugian ekonomi sebesar 313 miliar dolar Amerika Serikat (AS), dengan hanya 132 miliar dolar AS (42%) di antaranya yang merupakan kerugian diasuransikan.

Menurut Dan Raizman, Senior Director Climate Risk Advisory di Aon, badai Ian adalah peristiwa dengan kerugian asuransi termahal kedua yang tercatat secara global, tepat di belakang Katrina. Selain itu, ada pula tambahan banjir yang mematikan di Missouri dan Kentucky pada bulan Juli. Oleh karena itu, sangat penting untuk memahami risiko yang ditimbulkan oleh perubahan iklim saat ini dan di masa depan.

Pada awal 2023, dua perusahaan asuransi terbesar di AS, State Farm dan Allstate, berhenti menerbitkan polis baru untuk pemilik rumah di California karena risiko iklim. Sementara itu, Federal Reserve sedang melakukan uji coba Analisis Skenario Iklim (Climate Scenario Analysis/CSA) untuk enam bank besar. Hal ini dilakukan untuk mempelajari praktik manajemen risiko iklim.

Dalam banyak hal, para panelis pada sesi Tata Kelola, Kepatuhan, dan Ketahanan Operasional (Governance, Compliance, and Operational Resiliency/GCOR) RMA mengatakan, banyak bank yang masih dalam mode penemuan dalam upaya mengidentifikasi risiko iklim. Namun, mereka bergerak cepat untuk mengejar ketertinggalan.

Bagaimana caranya? Derrick Oracki, Kepala Financial Institutions Risk Consulting di Aon menyebutkan, tim bisnis lini pertama di bidang pinjaman real estat residensial dan komersial sedang menganalisis dampaknya terhadap kualitas kredit. Selain itu, tim pemodelan risiko kredit memperkirakan dampaknya terhadap probabilitas gagal bayar dan kerugian akibat gagal bayar.

Tim manajemen risiko operasional, lanjut Oracki, mempelajari ketahanan operasional dan strategi untuk melanjutkan bisnis. Tim operasional pun mengidentifikasi adaptasi atau rekayasa struktural yang harus dilakukan di cabang-cabang dan kantor-kantor mereka. Di sisi lain, tim keberlanjutan serta lingkungan, sosial, dan tata kelola (environmental, social, and governance/ESG) sangat tertarik dengan perencanaan net zero dan ekspektasi pengungkapan dari regulator dan pemangku kepentingan eksternal.

Pemodelan iklim dimulai dengan menurunkan skala model iklim global. Pemodelan seperti itu dinilai baik dalam hal memahami dampak kronis, seperti kekeringan, curah hujan ekstrem, cuaca kebakaran, panas ekstrem, dan risiko pembekuan ekstrem. Menurut Raizman, beberapa bank memilih untuk mengembangkan solusi mereka sendiri secara internal, meski pada umumnya mengandalkan vendor.

Bagi para analis bank, salah satu tugas yang harus dilakukan adalah mengambil model iklim dan menerjemahkannya ke dalam situasi berikut: bagaimana kejadian di masa depan dapat terjadi dalam hal kerugian kredit atau kejadian risiko operasional. Sebagai contoh, tekanan keuangan diantisipasi akibat kerusakan yang disebabkan oleh badai dan kebakaran hutan. Hal ini akan menyebabkan beberapa pemilik properti gagal membayar hipotek.

Cara lainnya adalah dengan memperhitungkan potensi kerugian terkait iklim di masa depan. Menurut sebuah makalah terbaru di jurnal Nature Climate Change, pasar perumahan AS dinilai terlalu tinggi (121 hingga 237 miliar dolar AS) karena risiko banjir yang tidak diasuransikan.

Mengutip kata Raizman, “Kejadian-kejadian fisik yang belum pernah terjadi sebelumnya menimbulkan risiko yang cukup besar bagi portofolio bank.” Maka, penting bagi bank untuk menyediakan waktu memahami kuantifikasi risiko.

Oracki menyarankan untuk tidak menunggu lagi dalam hal pengumpulan data yang. Pasalnya, bank diharuskan untuk memahami risiko fisik terhadap peminjam. Selain itu, dia menambahkan bahwa bank perlu melihat ketahanan masyarakat dan bagaimana mereka merespons.

“Tetaplah berpikiran terbuka tentang apa yang akan Anda temukan saat Anda mulai menganalisis iklim dan risiko bencana di bank Anda saat ini dan di masa depan,” tuturnya.

Artikel ini telah diterbitkan oleh Risk Management Association, dengan judul “How Banks Can Quantify Physical Climate Risk” pada 12 Juli 2023. Artikel selengkapnya dapat dibaca di sini.

Untuk mengimbangi dunia risiko yang terus berkembang, organisasi memerlukan fondasi tata kelola yang cerdas. Sayangnya, sumber daya dan kendala pendanaan telah mencapai batas ketika cakupan program manajemen risiko pihak ketiga (third-party risk management/TPRM) terus berkembang.

Dalam survei terbaru Ernst & Young Global Limited (EY) pada 2020, responden berharap untuk meningkatkan pengeluaran di berbagai kategori, mulai dari tata kelola dan pengawasan hingga kebijakan dan standar. Namun dalam survei tahun berikutnya, organisasi mengatakan mereka kurang bersedia meningkatkan anggaran mereka.

Karena organisasi terus berkembang untuk mengatasi teknologi yang muncul, pendekatan edukasi pasif tidaklah cukup. Maka, dua area yang paling umum menjadi fokus peninjauan oleh badan audit internal dan badan pengatur adalah penilaian pihak ketiga yang diikuti dengan pengawasan dan tata kelola. Cakupan program TPRM juga terus diperluas melalui pengelolaan inventaris pihak ketiga nontradisional. Jasa beberapa lembaga, seperti badan amal, bank agen, dan sponsor, tercakup dalam program TPRM pada setidaknya 10% lebih perusahaan.

Perluasan Dunia Berbasis Risiko

Selama dua hingga tiga tahun ke depan, jumlah upaya yang diperlukan untuk mengelola risiko pihak ketiga secara efektif akan terus meningkat, terutama pada hal-hal yang dianggap penting bagi infrastruktur suatu negara. Dengan anggaran dan jam kerja yang terbatas, organisasi perlu menentukan dengan cermat di mana dan bagaimana sumber daya dapat dikerahkan dengan baik.

Lanskap pihak ketiga terus berkembang sehingga perusahaan secara signifikan meningkatkan standar masuk untuk cakupan program. Organisasi mengalami kemajuan dalam menggunakan pendekatan berbasis risiko untuk menilai pihak ketiga. Melalui tantangan pandemi yang lalu, organisasi mempelajari apa yang benar-benar penting bagi bisnis mereka dan di mana risikonya.

Dalam hal penetapan tingkatan, organisasi terus mengurangi jumlah pihak ketiga yang diklasifikasikan sebagai pihak kritis. Jumlah pihak ketiga yang termasuk dalam kategori risiko tinggi juga semakin sedikit. Perubahan yang dipercepat ini kemungkinan besar merupakan dampak sampingan dari tekanan biaya terkait pandemi dan fokus pada ketahanan pihak ketiga.

Integrasi Lintas Fungsi

Meskipun sebagian besar program TPRM selaras dengan fungsi internal, banyak fungsi lainnya yang diserahkan kepada organisasi sendiri. Saat mereka bekerja dengan pihak ketiga, banyak fungsi yang mengumpulkan pertanyaan serupa, tetapi tidak berkomunikasi satu sama lain. Hal ini membuat organisasi tidak menyadari pandangan kolektif mengenai risiko.

Integrasi fungsional dalam program TPRM menawarkan peluang besar untuk lebih mengintegrasikan taksonomi serta meningkatkan kualitas data dan mencegah replikasi data yang tidak perlu sehingga mendorong peningkatan inventaris pihak ketiga. Hal ini akan mengurangi kelelahan pada fungsi bisnis dan kontrol pihak ketiga karena mereka merespons lebih sedikit hal permintaan data duplikat.

Sayangnya, jalan menuju integrasi menghadapi beberapa hambatan. Fungsi yang berbeda mungkin menggunakan alat atau teknologi yang berbeda untuk mengumpulkan data. Tidak ada solusi universal untuk mendukung teknologi, tetapi organisasi perlu mempertimbangkan cara mengelola siklus hidup yang terintegrasi.

Teknologi, Otomatisasi, dan Sumber Data Eksternal

Banyak organisasi berinvestasi besar-besaran pada teknologi untuk membuat proses internal lebih efisien. Namun, transformasi digital ini memiliki jaringan faktor risiko yang kompleks.

Faktanya, 35% responden terus melakukan penilaian pengendalian tahunan pada segmen pihak ketiga yang berisiko lebih rendah. Selain itu, 45% responden sama sekali tidak menggunakan penyedia data eksternal untuk menilai kesehatan keuangan dan reputasi pihak ketiga mereka. Percepatan otomatisasi dan pemberdayaan teknologi akan memberikan kejelasan yang lebih baik mengenai permasalahan dan ancaman nyata, seperti paparan dan konsentrasi risiko di seluruh perusahaan.

Bahkan dengan penggunaan alat kecerdasan yang lebih luas, hanya satu dari lima organisasi yang disurvei yang menggunakan analisis tingkat lanjut, dan bahkan lebih sedikit lagi yang menggunakan kecerdasan buatan (artificial intelligence/AI), otomatisasi proses robotik (robotic process automation/RPA), atau blockchain. Namun, ada makin banyak organisasi yang menyadari manfaat teknologi tersebut. Lebih dari satu dari tiga responden berharap untuk mulai menggunakan analitik tingkat lanjut dalam dua hingga tiga tahun ke depan.

Dunia risiko pihak ketiga terus berkembang. Untuk mengimbanginya, diperlukan landasan manajemen risiko pihak ketiga dalam tata kelola yang cerdas dan pelaksanaan program. Ketika organisasi berupaya mentransformasikan program TPRM, mereka harus mempertimbangkan peningkatan integrasi dan penyelarasan fungsional, memanfaatkan sumber yang tersedia secara eksternal, serta memanfaatkan cara kerja baru, seperti penilaian di lokasi jarak jauh dan virtual.

Artikel ini telah diterbitkan oleh Ernst & Young Global Limited, dengan judul “How Can Finite Resources Tackle an Infinite Risk Universe?” pada 16 Agustus 2021. Artikel selengkapnya dapat dibaca di sini.

Hampir dua per tiga investor global menginginkan pelaporan keberlanjutan yang menggambarkan dampak perusahaan terhadap lingkungan dan masyarakat. Dalam lokakarya bersama World Economic Forum, para investor menekankan pentingnya transparansi ini untuk memahami kaitannya dengan dampak keuangan.

Secara umum, dampak perusahaan tidak selalu terkait langsung dengan nilai ekonomi atau biaya. Tindakan perusahaan yang berdampak negatif pada masyarakat dan lingkungan seringkali menjadi eksternalitas yang harus ditanggung oleh publik, bukan perusahaan. Namun, asumsi ini mulai dipertanyakan karena eksternalitas tersebut cenderung terinternalisasi dan mempengaruhi arus kas perusahaan seiring waktu.

Ada kebutuhan mendesak untuk transparansi yang lebih menyeluruh mengenai nilai dan risiko dampak eksternal. Mengukur konsekuensi dari dampak eksternal memerlukan penilaian nilai ekonomi atau biaya dari dampak tersebut. Pengukuran ini memungkinkan perusahaan dan pemangku kepentingan untuk membandingkan berbagai area dan jenis dampak di berbagai bisnis, serta memprioritaskan tindakan yang diperlukan.

Meskipun pengukuran dampak ekonomi dari eksternalitas terlihat jelas, solusinya masih kompleks. Saat lebih banyak perusahaan berupaya mengatasi dampak mereka, kebutuhan akan metodologi standar untuk memperhitungkannya dalam pengambilan keputusan semakin meningkat. Dampak eksternal yang dikelola dengan baik bisa kembali menguntungkan bisnis, dan siklus ini akan semakin cepat seiring meningkatnya informasi yang dimiliki pemangku kepentingan.

Sebagian besar kerangka kerja alokasi modal saat ini tidak cukup untuk merencanakan skenario dampak jangka panjang. Oleh karena itu, langkah penting adalah pengembangan metodologi yang disepakati, terstandarisasi, dan dapat diterima secara global untuk mengukur biaya sosial atau nilai ekonomi dari dampak eksternal. Komponen penting dari metodologi ini adalah koefisien yang menghubungkan indikator kinerja utama keberlanjutan dengan dampak ekonomi terkait manusia dan planet.

Sejumlah perusahaan perintis telah secara sukarela memberikan pelaporan dampak yang terperinci. Dengan makin banyaknya organisasi yang bergabung, kemajuan dalam menentukan kaitan antara nilai ekonomi dan dampak akan semakin cepat terwujud.

Langkah-langkah dalam menilai dampak perusahaan meliputi identifikasi pemangku kepentingan utama dan pentingnya dampak eksternal bagi mereka, serta bagaimana dampak perusahaan dapat menciptakan atau menyelesaikan masalah sistemik seperti perubahan iklim, hilangnya keanekaragaman hayati, ketidaksetaraan pendapatan, ketidakadilan rasial, polusi plastik, atau gangguan pekerjaan akibat teknologi. Selain itu, penting untuk mempertimbangkan apakah dampak tersebut mempengaruhi arus kas dan akses keuangan perusahaan, baik saat ini maupun di masa depan. Transparansi dalam melaporkan dampak, baik positif maupun negatif, sangat penting bagi setiap perusahaan.

Artikel ini telah diterbitkan oleh PWC, dengan judul Why Impact Matters for Company Valuations. Artikel selengkapnya dapat dibaca di sini.

Ancaman siber semakin berkembang pesat, terutama di industri pertambangan dan logam. Menurut Survei Keamanan Informasi Global (GISS) terbaru dari EY, 71% responden dari sektor pertambangan melaporkan peningkatan serangan yang mengganggu dalam 12 bulan terakhir, sementara 55% eksekutif khawatir dengan kemampuan mereka untuk mengelola ancaman ini.

Saat ini, semua organisasi pertambangan secara default sudah menjadi digital. Ketergantungan pada teknologi, otomatisasi, dan data operasi semakin meningkat untuk mendorong produktivitas dan efisiensi biaya. Namun, hal ini juga memperluas permukaan serangan, membuat pengamanan lingkungan digital menjadi lebih sulit.

Lanskap teknologi setiap organisasi unik dan kompleks, mencakup berbagai tim yang bertanggung jawab untuk perencanaan strategis, penganggaran, dan dukungan. Dengan banyaknya perangkat yang terhubung, seperti laptop, tablet, dan sensor pintar, yang mengakses sistem organisasi, batas keamanan menjadi kabur.

Serangan siber bisa berupa gangguan layanan bisnis, kebocoran data besar-besaran, penipuan siber, ransomware, dan kampanye ancaman berkelanjutan terhadap target strategis. Biaya dari serangan ini terus meningkat, diperkirakan akan mencapai US$10,5 triliun per tahun pada 2025.

Pendanaan keamanan siber sering kali tidak sejalan dengan risiko yang berkembang. Setengah dari responden GISS menyatakan anggaran mereka kurang untuk mengatasi tantangan yang ada.

Perubahan budaya dan kesadaran terhadap risiko siber sangat penting. Organisasi harus mengadopsi prinsip manajemen risiko yang baik, menganggap risiko siber seperti risiko bisnis lainnya. Langkah pertama adalah memahami lanskap ancaman siber dan mengembangkan rencana yang jelas.

Beberapa langkah yang dapat diambil meliputi:

1. Mengidentifikasi aset kritis dan memetakan risiko.
2. Meningkatkan kontrol dan proses untuk mendeteksi, melindungi, merespon, dan pulih dari serangan.
3. Menilai dan memantau kinerja serta posisi risiko residu secara berkala.
4. Meningkatkan investasi berdasarkan pendekatan risiko yang terkelola.
5. Membuat keamanan menjadi tanggung jawab semua orang di organisasi.

Chief Information Security Officer (CISO) harus mempersiapkan arsitektur keamanan modern dan meningkatkan profil siber sebagai prioritas strategis untuk mengatasi potensi gangguan bisnis dan dampak finansial akibat kejahatan siber.

Dengan pendekatan yang tepat, industri pertambangan dan logam dapat mengelola risiko siber secara efektif, melindungi produktivitas, dan merealisasikan tujuan digital mereka.

Artikel ini telah diterbitkan oleh EY, dengan judul Does Cyber Risk Only Become a Priority Once You’ve Been Attacked?. Artikel selengkapnya dapat dibaca di sini.

Kerangka kerja lingkungan, sosial dan tata kelola (environmental, social, and governance/ESG) bertujuan untuk membantu organisasi mengelola risiko yang berkaitan dengan perlindungan lingkungan, tanggung jawab sosial perusahaan (corporate social responsibility/CSR) dan tata kelola perilaku bisnis. Risiko ini sudah ada sejak lama, tetapi dalam beberapa tahun terakhir ini telah menjadi topik hangat akibat adanya bencana alam di seluruh dunia.

Kini, dunia mulai bersedia mengeluarkan dana untuk perlindungan lingkungan, audit lingkungan, perluasan dan modifikasi CSR, termasuk pedoman dan perangkat barunya. Proses audit ESG menghadapi sejumlah tantangan karena melalui beberapa dimensi, termasuk efisiensi keuangan, konsistensi hukum, efektivitas teknis, dan penerimaan etika. Selain itu, tidak ada keuntungan langsung dari pengeluaran dana tersebut. Akibatnya, timbul dilema bagi para auditor karena otoritas audit perusahaan mungkin tidak akan menyetujui pengeluaran tambahan.

Untuk mengatasi dilema ini dapat dimanfaatkan algoritma heksa-dimensi berbasis etika. Tujuannya adalah untuk memberikan pencerahan terhadap faktor-faktor yang saling terkait dalam ESG dan dapat menjadi alat bantu bagi para auditor.

Algoritma ini terdiri dari dua komponen utama, yaitu matriks etika dan metrik heksa-dimensi. Matriks ini pada awalnya dikembangkan sebagai alat pendukung keputusan untuk membantu pengguna mencapai penilaian atau keputusan yang tepat. Keputusan tersebut mencakup penerimaan etika, kontrol hukum, serta teknis peraturan yang optimal untuk bidang pangan dan pertanian, yang kemudian diadaptasi ke bidang lain, termasuk teknologi informasi (TI).

Sementara itu, metrik pada algoritma tersebut awalnya juga dikembangkan sebagai alat pendukung keputusan, yaitu sebuah daftar periksa untuk mengukur kualitas dan konsekuensi dari tindakan, keputusan atau kebijakan dalam hal enam faktor. Keenam faktor yang dimaksud adalah kelayakan finansial, efektivitas teknis, keabsahan hukum, penerimaan etika, penerimaan sosial, dan keberlanjutan ekologis.

Pada akhirnya, ESG memang memungkinkan untuk diaudit. Keputusan untuk mengadaptasi algoritma heksa-dimensi, dalam hal ini, merupakan langkah awal yang baik.

Artikel ini telah diterbitkan oleh ISACA, dengan judul “Is ESG Auditable?” pada 11 Agustus 2023. Artikel selengkapnya dapat dibaca di sini.

Industri penerbangan dan dirgantara menghadapi tantangan besar dalam memenuhi harapan para pemangku kepentingan terkait dengan isu lingkungan, sosial, dan tata kelola (ESG).

Dalam menghadapi transisi menuju ekonomi global yang lebih berkelanjutan, industri ini perlu mengidentifikasi risiko dan peluang yang muncul dari faktor ESG untuk memastikan keberlanjutan dan ketahanan jangka panjang mereka.

Lingkungan

Kriteria lingkungan mencakup dampak organisasi terhadap planet ini, termasuk total emisi sebagai ukuran komitmen terhadap penanganan pemanasan global. Perusahaan penerbangan perlu mengadopsi standar seperti Greenhouse Gas Protocol untuk menetapkan target menuju penggunaan karbon rendah. Selain itu, dampak lingkungan dari kegiatan manufaktur di sektor dirgantara juga menjadi indikator penting.

Sosial

Kriteria sosial menilai bagaimana perusahaan memperlakukan dan menghargai karyawannya serta komunitas yang lebih luas. Ini mencakup kebijakan manajemen tenaga kerja, komitmen terhadap inklusi dan keberagaman, serta keamanan dan kualitas produk. Di sektor manufaktur dirgantara, etika rantai pasokan dan manajemen hubungan semakin penting untuk memastikan standar tenaga kerja yang adil.

Tata Kelola

Kriteria tata kelola menilai praktik tata kelola perusahaan, termasuk struktur dewan, kualitas audit, transparansi, dan kompensasi eksekutif. Fokus utamanya adalah kepatuhan terhadap kewajiban dan kerangka kerja, seperti yang diperkenalkan oleh the International Air Transport Association (IATA) dan International Civil Aviation Organization (ICAO).

Uji Stres ESG dan Perubahan Iklim

Berdasarkan survei Marsh, 60% responden di sektor ini menyadari dampak perubahan iklim dan faktor ESG terhadap pelanggan mereka. Namun, setengah dari perusahaan yang disurvei memiliki pengukuran terbatas terhadap risiko perubahan iklim dan ESG, sementara setengah lainnya tidak melakukan uji stres terhadap ancaman ini sama sekali. Hal ini menyoroti perlunya persiapan yang lebih baik dalam menghadapi transisi menuju ekonomi yang lebih berkelanjutan.

Rencana yang ditetapkan hari ini sangat penting untuk keberlanjutan dan ketahanan jangka panjang sektor penerbangan dan dirgantara. Tindakan kunci yang perlu diambil meliputi:

– Menilai implikasi ESG bagi organisasi menggunakan data industri, model iklim fisik, dan perspektif pemangku kepentingan.

– Menganalisis dan menetapkan cara untuk mengontrol risiko fisik, transisi, dan reputasi terkait ESG.

– Menganalisis kebutuhan pelaporan eksternal.

Dengan melakukan hal ini, perusahaan dapat mendukung penerapan prioritas ESG sesuai dengan selera risiko organisasi dan menghasilkan praktik dalam kerangka manajemen sumber daya lingkungan yang mapan.

Artikel ini telah diterbitkan oleh Marsh, dengan judul ESG Performance is Key Focus for Aviation and Aerospace Industry. Artikel selengkapnya dapat dibaca di sini.

Manajer risiko secara profesional cenderung bersikap jujur. Informasi yang salah atau menyesatkan dapat menyebabkan tingkat risiko yang tidak optimal. Namun, sejauh mana manajer risiko harus menahan diri bersikap jujur agar tidak mengganggu inovasi, kerja sama, dan efisiensi?

Pemalsuan Poin Data

Gregor Mendel dikenal sebagai Bapak Genetika karena karyanya yang inovatif dalam hal pewarisan sifat pada 1800-an. Namun, sejak awal 1900-an, banyak orang mengeluh bahwa data yang dihasilkannya terlalu mirip dengan modelnya. Dengan kata lain, publik menyebut bahwa data Mendel bukan merupakan hasil eksperimen yang jujur.

Ide Mendel tidak pernah dituduh “mengarang data”. Sebaliknya, dia dituduh memalsukan beberapa poin data untuk membuat hasil penelitiannya lebih kuat, baik secara sengaja maupun tidak. Jika Mendel tidak memalsukan data, mungkin dirinya memerlukan waktu yang lebih lama agar karya terobosannya dalam bidang genetika dapat diterima. Sayangnya, dalam beberapa dekade setelah penelitian Mendel, peneliti lain yang lebih jujur bisa diabaikan karena hasil yang dilaporkan lebih berantakan, bahkan jika temuan mereka serupa dengan Mendel.

Seimbangkan Kegunaan dan Kejujuran

Nyatanya, dilema Mendel ada di mana-mana dalam penelitian. Dalam versi buku teks, para peneliti melakukan eksperimen dengan ide-ide mereka. Pada praktiknya, eksekusi eksperimen tidak pernah sepenuhnya jelas.

Kredibilitas ilmiah berasal dari penilaian yang tepat ketika data cukup kuat digunakan untuk membuat klaim. Ilmuwan yang membuat klaim prematur yang kemudian dibantah akan kehilangan reputasi, baik ketika melaporkan hasil penelitian dengan kejujuran penuh atau memalsukannya dengan sedikit trik. Sebaliknya, ilmuwan yang klaimnya didukung oleh penelitian selanjutnya akan mendapatkan prestise dan kredibilitas.

Para peneliti di sektor swasta menghadapi masalah yang sama dengan para ilmuwan akademis. Para pengambil keputusan tidak memiliki keahlian dan waktu untuk memahami detail lengkap sebuah investigasi. Sebaliknya, para peneliti harus mengomunikasikan apa yang mereka ketahui dalam bentuk yang disederhanakan. Laporan ini sekaligus untuk menunjukkan secara akurat ketidakpastian yang ada, dengan menyeimbangkan antara kegunaan dan kejujuran.

Untuk itulah, manajer risiko harus menuntut kejujuran. Organisasi terkadang membuat pernyataan publik yang menunjukkan ketiadaan toleransi terhadap sesuatu yang kurang jujur. Tanpa budaya risiko yang baik, manajemen risiko tidak ada gunanya. Sikap terhadap kejujuran adalah aspek utama dari budaya risiko.

Artikel ini telah diterbitkan oleh Global Association of Risk Professionals (GARP), dengan judul “Is Honesty Really the Best Policy in Risk Management?” pada 18 Agustus 2023. Artikel selengkapnya dapat dibaca di sini.

Dalam industri seperti pertambangan, minyak dan gas, serta kimia, risiko bencana selalu ada. Meskipun perusahaan berusaha keras mencegahnya, bencana tetap bisa terjadi. Oleh karena itu, perusahaan yang berpikiran maju tidak hanya fokus pada pencegahan, tetapi juga siap dengan strategi untuk menghadapi dan mengurangi dampak ketika bencana terjadi.

Bencana seperti tumpahan minyak dan keruntuhan bendungan tailing menunjukkan betapa pentingnya kesiapan. Misalnya, tumpahan minyak Deepwater Horizon pada tahun 2010 menunjukkan bahwa kurangnya kesiapan bisa mengakibatkan kerugian besar, baik secara finansial maupun reputasi. Perusahaan yang terlibat mengalami penurunan harga saham sebesar 55% dalam setahun setelah kejadian.

Empat Elemen Manajemen Krisis yang Efektif

1. Tim Khusus untuk Menangani Krisis: Perusahaan di industri berisiko tinggi perlu memiliki tim khusus yang siap menghadapi skenario terburuk. Tim ini harus terdiri dari manajer yang berpengalaman dan beragam disiplin ilmu.

2. Informasi Terbaru tentang Aset Lingkungan: Memiliki data dasar tentang aset lingkungan yang mungkin terkena dampak sangat penting. Ini membantu dalam menilai kerusakan dan merancang langkah pemulihan dengan cepat.

3. Hubungan dengan Pemimpin Lokal: Menjalin hubungan baik dengan pemimpin komunitas lokal dan memahami struktur tata kelola komunitas dapat membantu dalam respons cepat dan efektif saat krisis terjadi.

4. Gambaran Akurat tentang Aktivitas Ekonomi: Mengetahui aktivitas ekonomi di daerah yang mungkin terkena dampak penting untuk memastikan kompensasi yang tepat dan pemulihan yang efektif.

Tiga Tahap Pemulihan Bencana

1. Pra-Krisis: Fokus pada pencegahan dan persiapan respons. Mengidentifikasi titik-titik stres potensial dan membangun budaya perusahaan yang mendukung pelaporan masalah.

2. Saat Krisis: Transparansi adalah kunci. Tim respons krisis harus segera bertindak dengan keputusan cepat dan tepat. Informasi harus disebarkan secara terbuka kepada semua pihak yang terlibat.

3. Pasca-Krisis: Setelah situasi stabil, lakukan penilaian total dampak dan mulai proses pemulihan. Komunikasikan rencana pemulihan secara transparan untuk membangun kepercayaan dan memastikan reputasi perusahaan tetap terjaga.

Persiapan menghadapi krisis mungkin tampak berlebihan jika bencana tidak pernah terjadi. Namun, memiliki rencana manajemen krisis yang baik dapat memperpendek durasi dan mengurangi dampak bencana, melindungi lingkungan, dan menjaga nilai perusahaan.

Artikel ini telah diterbitkan oleh Kearney, dengan judul Crisis Management: Best Practices Begin Before Disaster Strikes. Artikel selengkapnya dapat dibaca di sini.