Artikel

Di tengah perubahan dunia yang terus bergerak, peran manajemen risiko dalam organisasi juga berkembang. Tak hanya berfokus pada mitigasi ancaman, kini manajemen risiko semakin strategis dengan tujuan mendukung pertumbuhan dan daya saing perusahaan. Fungsi ini membantu organisasi menghadapi ketidakpastian sekaligus membangun kepercayaan di kalangan pemangku kepentingan.

Survei Chief Risk Officer (CRO) 2023 dari KPMG yang melibatkan 390 eksekutif risiko di Amerika Serikat mengungkapkan bahwa fungsi risiko akan mengalami transformasi besar dalam lima tahun ke depan. Berikut lima tekanan utama yang mendorong transformasi ini:

1. De-Risking di Tengah Ketidakpastian Ekonomi
   De-risking membantu mengurangi eksposur terhadap sektor berisiko tinggi, terutama di masa ketidakstabilan ekonomi dan politik. Strategi ini dilakukan dengan memindahkan investasi ke pasar yang lebih aman dan memperketat kepatuhan.
2. Penyesuaian dengan Pertumbuhan Strategis
   Organisasi yang adaptif pada peluang pasar dan teknologi baru perlu menyelaraskan manajemen risiko dengan strategi bisnis, dengan dukungan penuh dari para eksekutif untuk mencapai tujuan.
3. Kepatuhan Regulasi yang Semakin Ketat
   Regulasi global yang terus berkembang menuntut pendekatan manajemen risiko yang proaktif, membantu organisasi untuk patuh sekaligus mendukung pertumbuhan cerdas.
4. Efektivitas dan Efisiensi Risiko melalui Teknologi
   Teknologi AI dan analitik data menjadi pendorong utama dalam meningkatkan efektivitas manajemen risiko, dengan fokus pada pelatihan, kebijakan, dan akuntabilitas yang lebih baik.
5. Penghematan Biaya
   Biaya manajemen risiko yang terus meningkat mendorong organisasi mencari efisiensi, misalnya melalui outsourcing dan otomatisasi proses, tanpa mengorbankan kontrol risiko.

Dengan peran strategis mencakup efisiensi, kepatuhan, dan pertumbuhan, organisasi yang berhasil mengintegrasikan manajemen risiko akan memperoleh keunggulan kompetitif berkelanjutan.

Artikel ini telah diterbitkan oleh ERMA, dengan judul Five Mounting Pressures Propelling Risk Transformation. Artikel selengkapnya dapat dibaca di sini.

Dalam era digital saat ini, organisasi dihadapkan pada tantangan besar dalam mengidentifikasi dan mengelola risiko siber. Dengan semakin terhubungnya bisnis dan ketergantungan pada teknologi pihak ketiga, perlindungan terhadap aset digital menjadi semakin kompleks. Untuk menghadapi tantangan ini, pemimpin di sektor bisnis dan keamanan harus secara proaktif mengelola risiko siber agar dapat mencapai tujuan strategis mereka.

Tantangan dalam Manajemen Risiko Tradisional

Banyak organisasi masih mengandalkan kerangka kerja tata kelola, risiko, dan kepatuhan atau governance, risk, and compliance (GRC) yang kurang efektif dalam mengumpulkan dan menganalisis data dari berbagai sumber. Hal ini sering kali mengakibatkan pemahaman yang terbatas tentang posisi risiko mereka, sehingga menghambat pengambilan keputusan yang tepat.

Metode tradisional yang bergantung pada metrik kualitatif tidak menyediakan data objektif dan terukur yang diperlukan untuk penilaian risiko yang akurat. Akibatnya, fokus perusahaan cenderung pada kepatuhan daripada pemahaman mengenai risiko siber.

Para pemimpin keamanan sering kali menghadapi tantangan utama dalam mengelola risiko siber, seperti mengidentifikasi risiko siber yang paling signifikan dan memahami potensi dampak finansial yang mungkin timbul akibat risiko tersebut. Selain itu, mereka perlu memastikan bahwa strategi keamanan siber yang diterapkan selaras dengan lanskap ancaman yang ada saat ini. Penting juga bagi mereka untuk dapat menunjukkan pengembalian investasi keamanan kepada pemangku kepentingan dan menentukan alokasi anggaran keamanan yang tepat untuk mencapai dampak maksimum.

Untuk mengatasi tantangan ini secara efektif, organisasi perlu mengadopsi program manajemen risiko siber yang strategis dengan mengintegrasikan Kuantifikasi Risiko Siber atau cyber risk quantification (CRQ). CRQ adalah pendekatan analitis yang mengumpulkan dan menganalisis data dari berbagai sumber untuk memberikan pandangan komprehensif mengenai risiko siber. Dengan menghasilkan estimasi probabilistik tentang dampak finansial dari peristiwa siber, CRQ membantu bisnis menyelaraskan strategi mereka dengan profil risiko yang ada.

Program yang mengadopsi CRQ memungkinkan organisasi untuk:

• Mengukur dan mengelola risiko sebelum mempengaruhi operasi bisnis.
• Membenarkan investasi dalam keamanan siber berdasarkan penilaian risiko yang akurat.
• Meningkatkan proses pengambilan keputusan dengan menyediakan wawasan yang relevan dalam istilah bisnis.

Beralih dari GRC ke Manajemen Risiko Terintegrasi (IRM)

Walaupun alat GRC biasanya berfokus pada pelacakan kepatuhan, mereka tidak efektif dalam mengukur risiko dalam istilah moneter. Untuk itu, transisi menuju Manajemen Risiko Terintegrasi atau Integrated Risk Management (IRM) diperlukan dengan penekanan pada kuantifikasi statistik risiko. Dengan mengadopsi CRQ, organisasi dapat mematangkan program manajemen risiko mereka dan membuat keputusan yang lebih tepat yang sejalan dengan tujuan bisnis.

Manfaat Menerapkan CRQ

Organisasi yang menerapkan CRQ dapat meraih berbagai manfaat, antara lain:

1. Meningkatkan Ketahanan Siber: Pengukuran eksposur risiko yang akurat memungkinkan tindakan mitigasi yang tepat waktu.
2. Pengambilan Keputusan yang Terkoordinasi: Wawasan yang disajikan dalam bahasa bisnis menyelaraskan keamanan siber dengan tujuan keseluruhan perusahaan.
3. Pengeluaran yang Lebih Efisien: Peningkatan akurasi data dapat meningkatkan efektivitas kontrol dan alokasi sumber daya.
4. Pengurangan Biaya Asuransi Siber: CRQ menyediakan data yang diperlukan untuk bernegosiasi mengenai syarat asuransi yang lebih baik dan mengurangi biaya yang tidak perlu.

Memahami dan mengkuantifikasi risiko siber sangat penting bagi keberhasilan organisasi modern. Dengan menerapkan CRQ, bisnis dapat menghubungkan ancaman siber dengan pengambilan keputusan strategis, yang pada gilirannya meningkatkan ketahanan dan efisiensi operasional. Para pemimpin keamanan siber harus mendorong pendekatan terintegrasi ini, sehingga organisasi dapat dengan lebih baik menghadapi kompleksitas lanskap digital saat ini.

Artikel ini telah diterbitkan oleh Booz Allen, dengan judul “Transforming Your Cyber Risk Management Program”. Artikel selengkapnya dapat dibaca di sini.

Survei EMEA Cloud Business terbaru dari PwC menunjukkan bahwa perusahaan yang memanfaatkan teknologi cloud secara optimal atau “cloud-powered” meraih pertumbuhan pendapatan, peningkatan produktivitas, respons yang lebih cepat terhadap ancaman siber, dan pemulihan lebih tangguh dari insiden. Keunggulan ini tercapai karena perusahaan-perusahaan tersebut mengutamakan kerangka kerja tata kelola cloud dan kontrol internal mereka.

Perusahaan yang sukses dalam transformasi cloud biasanya memiliki pendekatan matang dengan melibatkan berbagai fungsi bisnis, menerapkan praktik kontrol cloud terbaik, membangun hubungan erat antar eksekutif, dan memanfaatkan otomatisasi serta AI secara efektif. Langkah-langkah ini membantu mereka meraih nilai berkelanjutan dari teknologi cloud.

Namun, jika risiko dan kontrol cloud diabaikan, perusahaan dapat menghadapi ancaman siber, gangguan operasional, pelanggaran regulasi, serta pembengkakan anggaran. Organisasi yang mengembangkan kerangka kerja risiko tradisional dalam perjalanan cloud mereka mampu mengurangi waktu pengelolaan kepatuhan, memperluas cakupan kontrol, dan merespons kebutuhan bisnis dengan lebih baik.

6 Alasan Mengapa Risiko dan Kontrol Cloud Sangat Penting

1. Tata Kelola yang Matang Memberikan Keunggulan: Tata kelola cloud yang kuat berdampak langsung pada efisiensi operasional dan peningkatan pendapatan.
2. Kolaborasi Eksekutif: Eksekutif perlu bekerja sama sejak awal untuk mengelola risiko cloud secara efektif.
3. Multi-Cloud Menambah Kompleksitas: Infrastruktur multi-cloud membutuhkan pendekatan kontrol yang lebih mendalam.
4. Kemitraan antara CIO dan Pemimpin Keamanan: Hubungan ini sangat penting untuk menjaga keamanan data dan kelangsungan operasional.
5. Penyesuaian dengan Regulasi yang Berkembang: Mengikuti perkembangan regulasi terbaru membantu perusahaan terhindar dari risiko kepatuhan.
6. Peran Generative AI (GenAI): Adopsi GenAI mendorong penggunaan cloud lebih jauh, tapi membutuhkan tata kelola yang lebih kuat.

Langkah Praktis untuk Tata Kelola Cloud yang Efektif

Organisasi dapat mengambil langkah-langkah berikut:

• Mengadopsi model tanggung jawab bersama dengan penyedia layanan cloud atau cloud service providers (CSP) untuk memahami kontrol yang dikelola oleh CSP dan yang menjadi tanggung jawab organisasi.
• Menerapkan enkripsi data serta prosedur keamanan yang kuat, termasuk sistem manajemen akses yang mengatur akses pengguna ke cloud.
• Menginvestasikan pelatihan karyawan untuk mendukung transisi cloud secara lancar.

Dalam transformasi cloud, risiko dan kontrol cloud adalah elemen penting yang harus diintegrasikan sejak awal. Organisasi yang mengadopsi pendekatan kolaboratif dan menyeluruh dapat memaksimalkan potensi cloud sambil menjaga keamanan dan kepatuhan.

Artikel ini telah diterbitkan oleh PwC, dengan judul “Maximising cloud value: The essential role of risk and controls”. Artikel selengkapnya dapat dibaca di sini.

Transformasi digital meningkat pesat di sektor manufaktur, terlebih dengan adanya investasi berkelanjutan dalam inovasi dan teknologi baru, seperti robotika, kecerdasan buatan (artificial intelligence/AI) generatif, komputasi Cloud, dan industrial internet of things (IIoT).

Meningkatnya konektivitas dalam ekosistem manufaktur telah memperluas paparan sektor tersebut, menjadikannya sektor yang paling banyak menjadi sasaran serangan siber. Gangguan yang dialami mencapai 25,7%, dengan ransomware mencakup 71%. Hal ini cukup berbahaya karena gangguan sepanjang proses manufaktur dapat memberikan dampak berjenjang di seluruh sistem.

Di antara risiko signifikan yang dihadapi organisasi manufaktur, rekayasa sosial dan phishing menduduki peringkat kedua sebagai ancaman siber paling menonjol. Berikutnya, serangan rantai pasokan menempati posisi ketiga.

Menurut Global Cybersecurity Outlook 2024, sebanyak 54% organisasi tidak memiliki visibilitas memadai terhadap kerentanan rantai pasokan. Selain itu, 41% organisasi melaporkan bahwa serangan tersebut berasal dari pihak ketiga.

Tantangan Sektor Manufaktur

Beberapa aspek memengaruhi proses menuju ketangguhan sektor manufaktur atas gangguan siber. Secara umum, aspek-aspek tersebut terbagi sebagai berikut.

1. Budaya dan sumber daya yang berbeda

• Kurangnya kolaborasi pada strategi konvergensi information technology/operational technology (IT/OT) menghambat digitalisasi lingkungan industri yang aman.
• Sejumlah organisasi memiliki karyawan yang memegang banyak jabatan dan melakukan berbagai tugas sehingga mengabaikan pentingnya pemisahan tugas dan risiko terkait.
• Tata kelola keamanan siber terfragmentasi.
• Kekurangan talenta keamanan siber pada sektor ini mencapai hampir 4 juta.

2. Peningkatan konektivitas dan sistem lama

• Sistem OT dan kontrol industri lama menimbulkan kerentanan yang signifikan karena desain yang ketinggalan zaman dan manajemen akses terbatas.
• Teknologi yang baru menghadirkan peluang dan tantangan terhadap keamanan siber.
• Ketergantungan pada perangkat lunak masih berjalan untuk mengoptimalkan proses, efisiensi, dan kualitas produk.

3. Kepekaan operasional

• Toleransi waktu henti (downtime) yang terbatas membuat perusahaan manufaktur menjadi target utama serangan ransomware.
• Seiring dengan makin banyaknya fasilitas manufaktur yang mengadopsi proses berbasis data, cakupan risikonya pun melampaui rantai pasokan tradisional.
• Digitalisasi yang cepat mendorong kebutuhan akan keahlian baru dalam domain internal.

4. Penyelarasan strategi dengan prioritas bisnis

• Tujuan bisnis jangka pendek masih lebih diutamakan daripada investasi dalam langkah-langkah ketahanan jangka panjang.
• Dinamika pasar sektor manufaktur terus berubah.
• Meningkatnya ketegangan geopolitik.

5. Lanskap regulasi yang luas dan kompleks

• Regulasi menimbulkan tantangan yang signifikan bagi sektor manufaktur.
• Keamanan siber diidentifikasi sebagai risiko utama.

Prinsip Panduan Keamanan Siber

Ketiga prinsip panduan bertujuan untuk mendukung para pemimpin manufaktur dan rantai pasokan dalam membangun strategi untuk menghadirkan budaya keamanan siber. Prinsip-prinsip ini dirumuskan setelah penelitian dan konsultasi yang mendalam dengan para pemimpin industri serta badan-badan standar dan regulasi.

1. Jadikan ketahanan siber sebagai kebutuhan bisnis

Hal-hal yang perlu dipertimbangkan berdasarkan prinsip ini adalah investasi dalam pendidikan dan pelatihan, pelatihan berkesinambungan dan menyeluruh, anggaran dan sumber daya yang aman, penetapan tata kelola keamanan siber, serta penciptaan insentif.

2. Dorong ketahanan siber berdasarkan desain

Hal-hal yang perlu dipertimbangkan berdasarkan prinsip ini adalah penyertaan keamanan siber dalam proses bisnis, peningkatan aset operasional, identifikasi proses kritis, perancangam keamanan di sekitar tujuan dan hasil bisnis, serta persiapan memulihkan diri dari setiap serangan siber.

3. Melibatkan dan mengelola ekosistem

Hal-hal yang perlu dipertimbangkan berdasarkan prinsip ini adalah identifikasi pemangku kepentingan utama, penyelarasan dengan dasar-dasar keamanan siber, pengawasan yang konsisten, serta proses belajar yang terus berjalan.

Artikel ini telah diterbitkan oleh World Economic Forum, dengan judul “Building a Culture of Cyber Resilience in Manufacturing” pada Mei 2024. Artikel selengkapnya dapat dibaca di sini.

Sebanyak 99% perusahaan S&P 500[1] melaporkan informasi terkait lingkungan, sosial, dan tata kelola (environmental, social, and governance/ESG). Hampir semuanya mengacu pada setidaknya satu kerangka kerja atau standar pelaporan ESG.

Perusahaan-perusahaan dengan kinerja ESG yang tinggi memiliki margin operasi 4,7x lipat lebih tinggi daripada perusahaan dengan kinerja ESG sedang. Namun, meskipun tanda kemajuan telah terlihat, banyak perusahaan yang kesulitan dalam mengukur kemajuan tersebut. Hal ini mungkin disebabkan karena perusahaan lebih cepat merespons motivasi yang bersifat hukuman (yang disebut juga sebagai stick atau “tongkat”) dibandingkan penghargaan (yang disebut juga sebagai carrot atau “wortel”).

Data yang Tepat, Keputusan yang Tepat

Secara umum, perusahaan yang merespons “wortel”, seperti insentif, penghematan biaya, dan loyalitas pelanggan cenderung memiliki intervensi yang tertanam lebih dalam di seluruh organisasi. Mereka akan menggunakan data untuk mendorong keputusan bisnis dengan keberlanjutan sebagai inti strategi.

Strategi ESG dan keberlanjutan yang kuat dapat menghasilkan kinerja bisnis yang lebih baik dalam beberapa cara sebagai berikut.

1. Optimalisasi biaya dengan mengurangi konsumsi energi, pengelolaan limbah dan air, serta meningkatkan efisiensi operasional
2. Pemodelan skenario, pengelolaan risiko kritis, dan tindakan yang memungkinkan kelangsungan bisnis di seluruh rantai pasokan
3. Transformasi berbasis data
4. Persiapan ulang untuk data dan analitik

Aliran data, visibilitas data, dan kekuatan analitik adalah kunci dari transformasi berbasis data ini. Kemampuan untuk mengukur jejak karbon di seluruh proses dan produk serta transparansi juga menjadi komponen penting. Dengan mengumpulkan dan menganalisis data tentang berbagai aspek operasi perusahaan, pemimpin dapat mengidentifikasi area yang perlu ditingkatkan.

Perubahan dan Penciptaan Ulang

Manusia adalah inti dari semua perubahan. Dengan menanamkan keberlanjutan ke dalam setiap peran, perusahaan akan memastikan bahwa hal tersebut terkait dengan agenda sumber daya manusia (SDM) dan menghilangkan silo. Perusahaan dapat membangun hubungan yang lebih kuat dengan para pemangku kepentingan, termasuk pelanggan, karyawan, dan investor.

Menanamkan keberlanjutan dan inti digital juga menjadi dasar bagi total enterprise reinvention, yaitu pergeseran paradigma dari perusahaan yang hanya berfokus pada pelaporan menjadi perusahaan yang berkelanjutan dan digerakkan oleh kinerja.

Untuk menyeimbangkan pendekatan “wortel” dan “tongkat” dalam pengukuran ESG, berikut adalah tindakan yang berbeda dalam jangka pendek, menengah, dan jangka panjang:

1. Jangka pendek (6—12 bulan)

• Mendefinisikan arti keberlanjutan bagi perusahaan dengan fokus pada persyaratan peraturan, materialitas, dan manajemen risiko
• Menetapkan model data yang kuat untuk metrik keberlanjutan
• Membawa lensa risiko dan peluang ESG ke dalam perencanaan strategis

2. Jangka menengah (1—2 tahun)

• Otomatisasi alur kerja ESG secara menyeluruh
• Mengintegrasikan keberlanjutan dalam pengambilan keputusan Perusahaan

3. Jangka panjang (3-5 tahun)

• Mengulangi strategi dan narasi seputar nilai
• Berinovasi pada model bisnis
• Bertahan di tempat

Pada kenyataannya, perusahaan harus bersikap seimbang antara menanggapi peraturan yang keras dan memenuhi permintaan pemangku kepentingan. Dengan demikian, perusahaan dapat menikmati “wortel” terbaik: mengetahui bahwa mereka melakukan hal yang benar bagi planet dan keuntungan.

Artikel ini telah diterbitkan oleh Accenture, dengan judul “Measuring Up: Achieving Resilience Through ESG” pada 19 September 2023. Artikel selengkapnya dapat dibaca di sini.

Perubahan iklim meningkatkan risiko dan biaya kesehatan bagi masyarakat dan bisnis di seluruh dunia. Dampak kesehatan dapat berkisar dari ringan hingga berat, akut hingga kronis.

Ketahanan bisnis bergantung pada kesehatan dan kesejahteraan karyawan. Ketika manusia berkembang, begitu pula organisasi dan masyarakat. Konsekuensi dari perusahaan yang mengabaikan risiko ini sangat signifikan, bahkan berpotensi mencakup biaya reputasi, produktivitas, dan ekonomi.

Mengapa Perusahaan Harus Peduli?

Dampak dari insiden kesehatan terkait iklim sudah sangat luas. Global Risks Report 2024 menyebutkan bahwa cuaca ekstrem merupakan risiko utama yang paling mungkin menimbulkan krisis material dalam skala global tahun ini. Di Amerika Serikat (AS), misalnya, suhu panas yang tinggi menyebabkan kerugian sebesar 100 miliar dolar AS per tahun. Paparan panas di India, sementara itu, menyebabkan hilangnya 490 miliar jam kerja potensial pada 2022.

Ketegangan bisnis akibat bahaya iklim ini dapat mencakup

1. lonjakan kebutuhan dan biaya perawatan kesehatan,
2. kerapuhan infrastruktur,
3. peningkatan risiko kesehatan dan keselamatan,
4. kehilangan produktivitas akibat ketidakhadiran pekerja, serta
5. risiko reputasi, hukum, dan peraturan.

Apa yang Dapat Dilakukan Pemberi Kerja?

Secara umum, ada dua jenis tindakan yang diperlukan. Pertama, reaktif, yaitu mendukung kesejahteraan karyawan dalam menghadapi peristiwa iklim. Kedua, preventif, yaitu membantu mengurangi dampak perubahan iklim sehingga diperlukan tindakan reaktif.

Dengan bertindak lebih awal, organisasi memiliki peluang untuk meminimalkan bahaya dan ketidakadilan kesehatan serta mencegah perubahan drastis di masa depan. Pemantauan risiko terkait iklim terhadap kesehatan fisik dan mental dapat dilakukan dengan cara, antara lain,

1. memahami akses kesehatan dan mempertimbangkan model digital untuk mengatasi tantangan selama krisis;
2. memitigasi risiko melalui pelatihan dan perubahan pada lokasi kerja, jadwal, praktik, dan peralatan;
3. memastikan panduan dan dukungan bagi para pekerja yang terkena dampak;
4. meningkatkan faktor penentu sosial-ekonomi kesehatan; dan
5. berinvestasi dalam langkah-langkah ketahanan.

Organisasi dapat menggunakan solusi asuransi inovatif dan layanan manajemen risiko untuk membantu melindungi tenaga kerja dari risiko terkait iklim.

Melindungi Tenaga Kerja

Perubahan iklim memberikan ancaman kesehatan global terbesar pada abad ke-21. Selain mengurangi jejak karbon, perusahaan harus melakukan investasi dalam hal ketahanan tenaga kerja.

Legislasi dan peraturan yang tepat seharusnya diberlakukan untuk melindungi pekerja dari masalah yang mengancam kesehatan, seperti cuaca panas ekstrem. Perusahaan sebaiknya mengambil langkah-langkah untuk melindungi pekerja dari sejumlah ancaman penyakit.

Artikel ini telah diterbitkan oleh Marsh, dengan judul “How Climate Change Is Impacting The Health Of Your Workforce” pada 4 Agustus 2024. Artikel selengkapnya dapat dibaca di sini.

Fungsi pengadaan memainkan peran penting dalam manajemen risiko rantai pasokan. Aktivitas utamanya terdiri atas kegiatan memilih vendor, mencari sumber input perusahaan, dan mengelola rantai pasokan hulu. Keseluruhan langkah tersebut secara langsung memengaruhi eksposur risiko perusahaan dan melibatkan kekuatan-kekuatan global utama, termasuk ketegangan geopolitik, perubahan iklim, ketidakpastian ekonomi, dan kesetaraan sosial.

Fungsi pengadaan yang efektif berkolaborasi erat dengan manajemen risiko dan unit bisnis perusahaan. Membangun transparansi, memprioritaskan risiko, mengembangkan algoritma prediksi waktu nyata (real time), dan mengintegrasikan manajemen risiko ke dalam perusahaan menjadi aspek penting untuk proposisi nilai pengadaan.

Kolaborasi dan Alat Bantu Digital

Saat ini, perusahaan harus bergerak secara agresif untuk mengatasi risiko rantai pasokan. Membangun ketahanan membutuhkan penyebaran orang dan teknologi yang terintegrasi. Untuk mencapai hal ini, tim pengadaan dan manajemen risiko harus menyelaraskan tujuan dan strategi serta berkolaborasi dalam penilaian risiko dan langkah-langkah mitigasi. Para profesional pengadaan juga harus terlibat dengan rekan-rekan di unit bisnis, termasuk pimpinan produk dan proyek serta kepala departemen.

Di samping itu, mendeteksi dan memitigasi risiko pemasok memerlukan penataan, pemrosesan, dan analisis data yang sangat berharga bagi alat bantu digital berkemampuan kecerdasan buatan (artificial intelligence/AI). Alat bantu AI tradisional mendukung manajemen risiko pemasok melalui penataan dan pengayaan data awal, analisis prediktif, pemantauan pasokan waktu nyata, dan penentuan strategi pengoptimalan rantai pasokan.

AI tradisional juga menganalisis data dari berbagai sumber, termasuk dari artikel berita dan laporan keuangan. AI generatif memang belum digunakan untuk menganalisis data mentah, tetapi dapat membantu evaluasi pemasok dan penilaian risiko dengan mengotomatiskan pembuatan dokumen.

Empat Tantangan Utama

Hal-hal di atas menjadi kunci untuk mengatasi empat tantangan utama manajemen risiko rantai pasokan sebagai berikut.

1. Membangun Transparansi di Seluruh Subtingkatan

Berbagai opsi perangkat lunak yang diperkaya dengan AI dapat membantu mengumpulkan data. Perusahaan harus memastikan bahwa data tersedia untuk dianalisis dengan cara mengumpulkannya secara terstruktur.

2. Memprioritaskan Risiko untuk Pelacakan

Perusahaan menghadapi risiko di tingkat pemasok, industri, dan geografis, mulai dari kebangkrutan, bencana alam, dan ketidakseimbangan penawaran-permintaan. Maka, perusahaan harus mengidentifikasi risiko yang menimbulkan ancaman signifikan terhadap kinerja bisnis. Alat bantu digital dapat membantu proses ini dan memberikan dasar pemikiran untuk pemilihan risiko yang diprioritaskan.

3. Algoritma Khusus untuk Prediksi Risiko

Pendekatan yang efektif bagi perusahaan diperlukan untuk mengidentifikasi faktor input paling relevan untuk risiko spesifik mereka. Alat bantu digital, termasuk AI, dapat membantu menghitung algoritma risiko untuk diterapkan pada data yang paling relevan dan menyediakan antarmuka pengguna serta kemampuan agregasi yang diperlukan.

4. Menanamkan Fungsi Manajemen Risiko dalam Organisasi

Manajemen risiko pemasok membutuhkan berbagai sumber daya dan keterampilan. Meskipun semua unit perusahaan membutuhkan kemampuan ini, sering kali kemampuan tersebut tidak sepenuhnya dikembangkan. Maka, untuk menutup kesenjangan kapabilitas, fungsi manajemen risiko harus diintegrasikan dengan bisnis secara keseluruhan.

Rantai pasokan saat ini bersifat global dan kompleks. Akibatnya, fungsi pengadaan harus menghadapi tantangan untuk mendeteksi dan memitigasi risiko. Dengan berkolaborasi secara efektif dan memanfaatkan AI serta perangkat digital, fungsi pengadaan dapat memenuhi proposisi nilai dan meningkatkan ketahanan terhadap gangguan rantai pasokan.

Artikel ini telah diterbitkan oleh BCG, dengan judul “Two Keys to Success in Supplier Risk Management” pada 25 September 2023. Artikel selengkapnya dapat dibaca di sini.

Budaya risiko kerap dipahami sebagai budaya organisasi secara keseluruhan, yang secara spesifik berkaitan dengan cara orang berpikir dan berperilaku dalam mengelola risiko. Menilai perilaku sebagai bagian dari tinjauan pengawasan budaya organisasi/risiko merupakan pendekatan yang pertama kali diperkenalkan oleh DNB (regulator Belanda) pada 2010. Anggapan ini juga telah dipertimbangkan oleh regulator lain di seluruh dunia.

Dengan meningkatnya fokus pemangku kepentingan terhadap budaya risiko yang sehat, akan sangat membantu untuk kita memahami target budaya risiko di suatu organisasi. Terdapat empat elemen kunci yang membangun budaya risiko tersebut.

1. Tujuan dan Kepemimpinan Risiko
2. Tata Kelola dan Keputusan
3. Kompetensi
4. Sistem dan Kontrol

Peta Jalan Budaya Risiko yang Sehat

1. Melakukan diagnostik budaya risiko dengan kombinasi berbagai metode, termasuk survei dan wawancara karyawan
2. Membayangkan kondisi target yang sejalan dengan strategi bisnis untuk jangka menengah dan jangka panjang
3. Melakukan analisis kesenjangan.
4. Mengembangkan strategi budaya risiko dan peta jalan implementasi yang terperinci
5. Mendapatkan komitmen dewan dan manajemen untuk dukungan jangka panjang
6. Implementasi strategi budaya.
7. Melaksanakan peta jalan terperinci melalui pendekatan bertahap dengan melakukan orientasi tim
8. Secara berkala meninjau, memvalidasi ulang, dan memperbarui strategi transformasi budaya risiko

Tantangan Utama Budaya Risiko yang Sehat

1. Pendekatan “satu ukuran untuk semua” di dalam organisasi tidak akan berhasil karena tingkat perubahan dan kesiapan karyawan berbeda-beda, sedangkan analisis untuk memahaminya sering kali tidak dilakukan.
2. Resistensi terhadap perubahan di seluruh organisasi akibat perilaku manusia yang dipengaruhi oleh bias-bias yang sulit untuk diubah.
3. Kesulitan dalam mengukur budaya disebabkan oleh indikator konvensional tidak benar-benar mengukur budaya sehingga sulit untuk mengetahui kondisi budaya risiko saat ini.
4. Sebagian besar organisasi cenderung menghadapi ekspektasi dan kebutuhan pemangku kepentingan yang saling bertentangan.
5. Karena prioritas organisasi yang saling bersaing, mungkin ada kesulitan dalam memprioritaskan inisiatif budaya risiko.
6. Dewan direksi sering kali tidak memiliki keahlian dalam hal perilaku dan budaya, para pemimpin tidak cukup mematuhi nilai-nilai yang mereka dukung, dan langkah-langkah yang diusulkan tidak cukup untuk mencapai perubahan yang diinginkan.

Faktor-Faktor Keberhasilan Kritis

1. Dukungan dan advokasi yang kuat dari manajemen tingkat atas dan menengah merupakan kekuatan pendorong bagi setiap inisiatif perubahan. Perilaku kepemimpinan yang dapat diamati adalah salah satu pengaruh terkuat untuk mendorong perubahan organisasi.
2. Pendekatan yang disesuaikan untuk perubahan dilakukan untuk mendapatkan pemahaman yang komprehensif tentang lanskap organisasi, dengan dibantu oleh alat ilmu perilaku.
3. Akar penyebab kelemahan selama fase diagnostik budaya risiko diamati dan diatasi. Tindakan harus dimasukkan dalam peta jalan implementasi yang terperinci.
4. Ketergantungan utama di seluruh organisasi harus dipahami dan komitmen lintas fungsi perlu dibangun untuk mendukung inisiatif transformasi budaya risiko.
5. Sistem informasi manajemen baru perlu dikembangkan untuk menilai hasil budaya, termasuk indikator berwawasan ke depan yang bermakna.
6. Penghargaan dan insentif terhadap perilaku target risiko perlu diberikan, dengan mencakup penyeimbangan kartu penilaian kinerja dan perilaku pengambilan risiko yang hati-hati.

Secara keseluruhan, budaya risiko yang efektif mendorong budaya organisasi yang sehat. Manfaat nyata, dengan demikian, dapat dicapai, misalnya mengubah pola pikir manajemen risiko yang reaktif menjadi proaktif, membangun kapabilitas organisasi, meningkatkan ketahanan staf terhadap perubahan, meningkatkan keterlibatan sosial, mengurangi risiko reputasi, dan memenuhi ekspektasi regulator. Dengan banyaknya manfaat yang ditawarkan, tidak ada alasan untuk tidak memulai perjalanan transformasi budaya risiko.

Artikel ini telah diterbitkan oleh PRMIA, dengan judul “Creating and Sustaining A Healthy Risk Culture” pada Februari 2024.

Ancaman siber menduduki urutan pertama dalam daftar risiko bisnis. Aspek lainnya dalam peringkat yang sama adalah gangguan bisnis—setidaknya begitu disebutkan dalam Barometer Risiko Tahunan Allianz. Risiko fisik juga muncul dalam beberapa bentuk, misalnya bencana alam, kebakaran dan ledakan, serta perubahan iklim.

Laporan dari Allianz menyebutkan, banyak dari risiko-risiko tersebut terjadi di Indonesia. Beberapa di antaranya adalah cuaca ekstrem, serangan ransomware, dan konflik regional yang menguji ketahanan rantai pasokan dan model bisnis. Adanya laju perubahan yang cepat dan sifat risiko yang saling terkait pada akhirnya mengharuskan pergeseran bagi sejumlah perusahaan dalam hal manajemen risiko ke arah yang lebih baik.

Kelemahan-Kelemahan

Para ahli manajemen risiko mengatakan bahwa kekhawatiran utama adalah terhadap gangguan bisnis yang disebabkan oleh serangan siber. Penggunaan kecerdasan buatan (artificial intelligence/AI) secara inventif mendorong peretas untuk memproduksi bentuk-bentuk serangan baru. Mereka justru akan menemukan cara-cara untuk mengeksploitasi kelemahan lama secara cerdas.

Survei oleh Allianz mengatakan, responden memandang pembobolan data dan peretasan infrastruktur dan aset fisik sebagai hal yang sangat memprihatinkan. Jika dilihat dari konteks geopolitik yang bergejolak dan ketergantungan yang pada perangkat digital, terdapat potensi penutupan infrastruktur penting sebagai sebuah risiko yang signifikan dan mengkhawatirkan bagi bisnis pada masa mendatang.

Gangguan-Gangguan

Sifat dunia bisnis saat ini saling terhubung. Alhasil, gangguan bisnis tampak terkait erat dengan beberapa risiko utama yang disebutkan dalam survei. Gangguan-gangguan ini juga memiliki kategori tersendiri.

Laporan tersebut menjelaskan jenis tindakan yang umum dilakukan oleh bisnis untuk mengurangi risiko rantai pasokan. Beberapa di antaranya adalah mengembangkan pemasok alternatif, meningkatkan manajemen kelangsungan bisnis, dan mengidentifikasi serta memperbaiki hambatan rantai pasokan.

Perusahaan konsultan Protiviti melakukan survei terpisah. Dari hasil survei tersebut, diketahui bahwa para eksekutif bisnis menempatkan faktor melemahnya kondisi ekonomi dan kurangnya tenaga kerja sebagai dua risiko utama sepanjang 2024.

Jangka Panjang

Masih disebutkan dalam survei Protiviti, para eksekutif memperkirakan ancaman siber akan menguasai daftar peringkat risiko—menjadi pemilik posisi pertama—lalu diikuti faktor lain, yaitu manajemen talenta, adopsi digital, dan inovasi yang mengganggu. Kondisi ini setidaknya akan terjadi dalam satu dekade.

Kepentingan untuk menavigasi laju inovasi digital dan menemukan cara untuk memanfaatkan wawasan dari volume data yang harus dievaluasi oleh perusahaan kini menjadi sorotan khusus bagi para eksekutif. Hal ini berlaku setidaknya saat mereka membayangkan apa yang akan terjadi pada perusahaan dalam satu dekade mendatang.

Artikel ini telah diterbitkan oleh Institute of Risk Management, dengan judul “Cyber Threat and Business Interruption Loom Large in 2024” pada 23 Januari 2024. Artikel selengkapnya dapat dibaca di sini.

Kecerdasan buatan (artificial intelligence/AI) tercatat memiliki sejumlah risiko, termasuk bias dan manipulasi data serta pelanggaran privasi dan hak kekayaan intelektual. Selain itu, ada ketakutan bahwa AI telah dipersenjatai dan ancamannya bisa lebih buruk daripada yang telah dialami saat ini. Misalnya, deep fakes, pemalsuan suara, dugaan campur tangan dalam pemilihan umum, eksploitasi phishing, dan ransomware.

“AI generatif (GenAI) sudah ada sejak 1960-an, tetapi sekarang jauh lebih mudah diakses, memiliki kemampuan yang jauh lebih besar, dan lebih mudah digunakan,” ujar Jason Harrell, Direktur Pelaksana Risiko Operasional Dan Teknologi Depository Trust & Clearing Corp (DTCC).

“Apa yang biasanya membutuhkan waktu berhari-hari atau berminggu-minggu bagi para pelaku ancaman untuk membuat kode baru untuk berbagai upaya, GenAI dapat membuatnya hanya dalam hitungan menit,” kata Neal Dennis, Spesialis Intelijen Ancaman dari Cyware.

Langkah Menghadapi Kerentanan

Ancaman keamanan yang ditimbulkan oleh AI harus dipandang signifikan dan meningkat dengan cepat. “Penjahat siber berada pada tahap awal dalam memanfaatkan teknologi canggih ini,” jelas Brett Hansen, Chief Growth Officer Cigent Technology.

Pada pertemuan World Economic Forum di Davos pada Januari, CEO Aset Dan Manajemen Kekayaan JPMorgan Mary Callahan Erdoes mengatakan, keamanan adalah pertimbangan utama dalam pengeluaran bank. Menurutnya, para penipu menjadi lebih pintar, lebih cerdas, lebih cepat, lebih licik, dan lebih nakal. Yang pasti, penjahat siber memiliki cara untuk menghindari pengejarnya.

GenAI dan model bahasa besar (large language models/LLM) memiliki kegunaan yang cukup besar bagi para penyerang. Aplikasi-aplikasi ini dapat mendukung teknik-teknik menipu yang secara curang merepresentasikan orang yang sebenarnya. Ada juga penipuan dokumen atau pembuatan dokumentasi palsu untuk mendukung faktur palsu dan proses pembayaran.

Pada 29 April, National Institute of Standards and Technology Amerika Serikat (AS) menerbitkan beberapa dokumen panduan. Salah satunya, pendamping yang berfokus pada GenAI untuk Kerangka Kerja Manajemen Risiko AI NIST, yang berpusat pada daftar 13 risiko dan lebih dari 400 tindakan yang dapat dilakukan pengembang untuk mengelolanya.

Kondisi Saat Ini

Beberapa pengamat berpendapat, meskipun kecanggihan AI yang lebih besar akan berada dalam jangkauan penyerang siber, kondisi saat ini cukup memuaskan. Bagi Ilia Kolochenko, CEO dan Kepala Arsitek Spesialis Keamanan Aplikasi ImmuniWeb, GenAI hanya memberikan sedikit bantuan dalam kampanye ransomware, serangan siber, atau spionase industri dengan ancaman yang bertujuan untuk mencuri informasi rahasia dari pemerintah.

Meskipun demikian, Kolochenko menyarankan agar sistem otentikasi yang didasarkan pada suara atau tampilan visual klien segera diuji. Karyawan yang mungkin menjadi target untuk menerima surel (email) atau teks yang menipu juga harus dilatih.

Kepala Petugas AI

Dengan mempertimbangkan risiko serta kebutuhan akan kepemimpinan tingkat senior, peran kepala pejabat AI atau jabatan fungsional yang setara dapat memberikan penekanan yang diperlukan pada pelatihan karyawan.

Rata-rata karyawan besar akan dihadapkan pada serangan phishing yang dihasilkan oleh AI. Maka, karyawan perlu dilatih sebab standar kualitas serangan telah ditingkatkan. GenAI juga telah menciptakan lingkungan yang tidak stabil dan mengalami perubahan.

Jika phishing dan teknik-teknik lain lolos dari penanggulangan yang ada saat ini, apa implikasi dari agen atau botnet bertenaga AI?

“Akankah kecerdasan umum buatan menciptakan taktik dan teknik baru?” sebut David Ratner, CEO HYAS. Sebagai penutup, dirinya menyatakan, “Para pembela HAM harus mempersiapkan diri, melakukan penelitian, dan siap untuk beradaptasi.”

Artikel ini telah diterbitkan oleh GARP, dengan judul “AI Rears Its Head as a Cyber Threat” pada 3 Mei 2024. Artikel selengkapnya dapat dibaca di sini.