Dalam lingkungan bisnis yang semakin terhubung, hubungan dengan penyedia eksternal—vendor teknologi, layanan outsourcing, hingga mitra distribusi—menjadi bagian tak terelakkan dari operasi perusahaan. Sayangnya, banyak organisasi di Indonesia masih memandang pengelolaan risiko pihak ketiga sebagai proses administratif semata, padahal hubungan ini menyimpan risiko kepatuhan dan operasional yang kompleks.
Menurut Global Third-Party Risk Management Survey 2023 yang diterbitkan oleh Deloitte, organisasi yang memiliki kematangan dalam pengelolaan risiko pihak ketiga terbukti lebih adaptif dan tahan terhadap perubahan risiko yang cepat dan saling terhubung—menunjukkan bahwa manajemen risiko pihak ketiga bukan hanya fungsi pendukung, tetapi bagian dari ketahanan organisasi. Survei ini melibatkan lebih dari 1.300 pemimpin risiko dari sekitar 40 negara dan menyoroti bagaimana peningkatan kompleksitas risiko pihak ketiga memperluas cakupan tantangan bagi perusahaan.
Temuan lain dari Global Economic Crime Survey 2024 oleh PwC menunjukkan bahwa fraud dalam proses pengadaan (procurement fraud)—yang erat kaitannya dengan penyedia dan vendor—masuk dalam tiga besar bentuk kejahatan ekonomi yang paling mengganggu perusahaan di dunia dalam 24 bulan terakhir, hanya setelah kejahatan siber dan korupsi. Ini menggarisbawahi bahwa hubungan dengan pihak ketiga bukan hanya berisiko terhadap operasi teknis, tetapi juga terhadap integritas proses dan kepatuhan regulasi yang dapat menimbulkan dampak material jika tidak dikelola dengan baik.
Sayangnya, banyak perusahaan masih melakukan pendekatan reaktif terhadap manajemen risiko pihak ketiga: evaluasi hanya dilakukan saat onboarding vendor, tanpa pemantauan berkelanjutan. Akibatnya, perusahaan mungkin kehilangan jejak perubahan risiko yang terjadi selama hubungan kontraktual, seperti perubahan struktur kepemilikan perusahaan mitra, serangan siber pada sistem pihak ketiga, atau pelanggaran standar kepatuhan yang berubah akibat regulasi baru.
Hal ini tidak hanya relevan di level global. Di Indonesia, regulator, terutama di sektor keuangan dan sektor teregulasi lainnya, semakin menegaskan pentingnya tata kelola yang kuat atas pihak ketiga demi menjamin keamanan data, keberlanjutan layanan, serta kepatuhan terhadap standar risiko operasional dan kepatuhan. Pengawasan yang lebih ketat ini menuntut perusahaan untuk tidak hanya memetakan risiko sejak awal, tetapi juga memantau secara berkala dan responsif terhadap dinamika risiko yang terus berubah.
Apa yang perlu dilakukan perusahaan Indonesia?
Berikut rekomendasi praktis:
- Segmentasi risiko vendor
Kelompokkan mitra bisnis berdasarkan tingkat risiko dan dampaknya terhadap operasi inti, bukan sekadar besaran biaya kontrak. - Integrasikan TPRM dalam kerangka GRC
Pastikan manajemen risiko pihak ketiga terintegrasi secara holistik dalam Governance, Risk, and Compliance perusahaan, sehingga fungsi kepatuhan, IT security, dan procurement berjalan selaras. - Pemantauan berkelanjutan
Lakukan continuous monitoring terhadap vendor kritis, termasuk evaluasi keamanan data, perubahan kepemilikan, dan pembaruan regulasi yang relevan. - Perkuat klausul kontraktual
Termasuk hak audit, kewajiban pelaporan insiden, standar keamanan minimum, dan rencana transisi hubungan kerja jika diperlukan. - Pelatihan dan budaya risiko
Tingkatkan kapasitas tim procurement dan compliance lewat pelatihan berkala — agar semua fungsi internal memahami red flags dan indikator risiko sejak dini.
Manajemen risiko pihak ketiga yang kuat melampaui fungsi administratif dan daftar periksa kepatuhan. Pendekatan ini merupakan elemen strategis dalam memperkuat ketahanan organisasi, mengelola eksposur risiko secara proaktif, serta menjaga keberlanjutan operasional di tengah dinamika regulasi dan kompleksitas rantai pasok yang terus berkembang.
