Dalam ekosistem perbankan modern, banyak fungsi operasional dan teknologi kini bergantung pada pihak ketiga (third parties) seperti vendor IT, penyedia jasa keamanan data, konsultan, call center, dan mitra outsourcing lainnya. Ketergantungan ini memberikan efisiensi, namun juga menciptakan risiko baru — baik dari aspek operasional, kepatuhan, keamanan data, maupun reputasi.
Oleh karena itu, bank wajib menerapkan Manajemen Risiko Pihak Ketiga (Third-Party Risk Management / TPRM) dan memastikan seluruh mitra bisnis mematuhi Vendor Compliance Policy, sesuai ketentuan OJK, BI, dan regulasi perlindungan data pribadi (UU PDP). Pendekatan yang sistematis terhadap TPRM membantu bank: Menjaga integritas dan keamanan operasional, Mengurangi potensi risiko hukum dan reputasi, serta Memastikan kinerja mitra sejalan dengan prinsip kehati-hatian dan tata kelola bank.
OBJECTIVE
- Memahami pentingnya manajemen risiko pihak ketiga dalam konteks tata kelola dan kepatuhan bank.
- Mengidentifikasi jenis risiko utama yang muncul dari kerja sama dengan vendor dan pihak ketiga.
- Menerapkan tahapan TPRM — mulai dari due diligence, kontraktual, hingga monitoring dan evaluasi.
- Menjamin kepatuhan vendor (vendor compliance) terhadap regulasi OJK, BI, dan kebijakan internal bank.
- Membangun sistem pengawasan dan pelaporan risiko vendor yang terintegrasi dengan manajemen risiko korporat.
COURSE OUTLINE
- Konsep dan Lingkup Third-Party Risk Management (TPRM)
- Definisi pihak ketiga, vendor, dan outsourcing.
- Regulasi terkait:
- POJK tentang Manajemen Risiko dalam Penggunaan Teknologi Informasi.
- SEOJK & PBI tentang Kegiatan Alih Daya (Outsourcing).
- Kepatuhan terhadap UU Perlindungan Data Pribadi (PDP).
- Ruang lingkup TPRM: mulai dari seleksi, kontrak, pemantauan, hingga terminasi kerja sama.
- Kategori pihak ketiga: critical vendor, strategic partner, dan low-risk vendor.
- Risiko Utama dalam Hubungan dengan Pihak Ketiga
- Risiko Operasional: gangguan layanan, kegagalan sistem, ketergantungan tinggi pada vendor.
- Risiko Kepatuhan: pelanggaran terhadap ketentuan OJK, BI, atau UU PDP.
- Risiko Keamanan Informasi (Cybersecurity Risk): kebocoran data nasabah atau akses tidak sah.
- Risiko Reputasi: dampak negatif akibat kegagalan atau penyimpangan vendor.
- Risiko Hukum & Kontraktual: perjanjian kerja sama yang tidak mencakup aspek tanggung jawab dan perlindungan bank.
- Tahapan Manajemen Risiko Pihak Ketiga
- Due Diligence & Seleksi Vendor
- Penilaian profil, rekam jejak, dan kemampuan keuangan vendor.
- Evaluasi kepatuhan dan sistem pengendalian internal vendor.
- Contracting & Risk Allocation
- Pencantuman klausul kepatuhan, keamanan data, audit right, dan exit plan dalam kontrak.
- Monitoring & Performance Management
- Penilaian berkala terhadap kinerja dan kepatuhan vendor.
- Audit vendor dan pelaporan risiko pihak ketiga ke komite manajemen risiko.
- Incident Management & Exit Strategy
- Prosedur mitigasi jika vendor gagal memenuhi kewajiban.
- Strategi pemutusan kerja sama yang aman (vendor offboarding).
- Due Diligence & Seleksi Vendor
- Vendor Compliance Management
- Penerapan Vendor Code of Conduct: etika bisnis, anti-fraud, dan anti-korupsi.
- Checklist kepatuhan vendor terhadap:
- Regulasi perbankan & keamanan data,
- Standar lingkungan, sosial, dan tata kelola (ESG compliance),
- Ketentuan KYC dan anti pencucian uang (APU-PPT).
- Penggunaan Vendor Risk Rating System atau Vendor Scorecard.
- Integrasi sistem pengawasan vendor dengan risk management dashboard bank.
