Third Party Risk Management: Pengertian, Komponen, dan Cara Kerja

Ekosistem bisnis modern tidak lagi berdiri sendiri. Perusahaan saat ini terhubung erat dengan jaringan vendor, pemasok, dan penyedia layanan digital yang cukup kompleks. Integrasi ini mempercepat inovasi, namun di sisi lain membuka celah kerentanan baru yang sering tidak terdeteksi oleh firewall internal.

Di sinilah Third Party Risk Management (TPRM) memiliki peran sangat vital. Ini bukan lagi sekadar formalitas kepatuhan, melainkan strategi pertahanan wajib untuk melindungi aset, data, dan reputasi perusahaan dari kelalaian dari pihak eksternal.

Apa Itu Third Party Risk Management

Third-Party Risk Management (TPRM) adalah proses disiplin dalam menganalisis, memantau, dan mengendalikan risiko yang muncul dari pihak luar yang memiliki akses ke sistem atau data perusahaan Anda. Pihak ketiga ini mencakup vendor teknologi, mitra logistik, konsultan hukum, hingga penyedia layanan outsourcing.

Bayangkan sebuah perusahaan yang memiliki tim keamanan digital yang handal untuk menjaga pintu utama agar data rahasia tetap terlindungi. Namun, perusahaan tersebut juga memberikan “kunci cadangan” kepada pihak ketiga, seperti penyedia aplikasi penggajian atau mitra logistik, agar mereka dapat mengakses sistem guna mendukung operasional.

TPRM hadir sebagai proses untuk memastikan bahwa pihak ketiga tersebut mengelola kunci cadangan dengan standar keamanan yang tinggi, sehingga tidak disalahgunakan atau jatuh ke pihak yang tidak berwenang.

Dalam kerangka kerja perusahaan menengah ke atas, TPRM merupakan pilar fundamental dari strategi Governance, Risk, and Compliance (GRC). Tujuannya bukan untuk menghentikan kerja sama dengan vendor, melainkan menciptakan visibilitas penuh terhadap “kesehatan” keamanan mereka sebelum dampak negatifnya merambat sampai ke organisasi.

Tanpa keamanan TPRM yang baik, perusahaan pada dasarnya mempercayakan kunci keamanan kepada entitas lain yang mungkin tidak memiliki standar keamanan setara. Ini dapat memicu kebocoran data, gangguan operasional, pelanggaran regulasi, hingga kerusakan reputasi perusahaan.

Mengapa Third Party Risk Management Penting untuk Bisnis

Ketergantungan pada vendor menciptakan “pintu belakang” bagi ancaman siber. Statistik menunjukkan bahwa pelanggaran data terbesar sering kali bermula dari vendor dengan keamanan yang rapuh, bukan dari serangan langsung ke perusahaan target.

Penerapan sistem GRC UU PDP wajib untuk bisnis di Indonesia saat ini. Mengabaikan risiko pihak ketiga berarti membuka peluang sanksi hukum dan denda administratif masif akibat ketidakpatuhan regulasi.

Berikut adalah alasan mendasar mengapa TPRM harus menjadi prioritas strategis:

1. Ketergantungan pada Layanan Eksternal (SaaS/Cloud)

Perusahaan kini menggunakan puluhan hingga ratusan aplikasi SaaS. Jika penyedia cloud atau aplikasi CRM Anda mengalami downtime atau peretasan, operasional Anda akan lumpuh seketika. TPRM memastikan vendor kritis ini memiliki redundansi dan protokol pemulihan dari bencana yang teruji.

2. Akses data Sensitif oleh Pihak Ketiga

Vendor sering kali memproses data pelanggan (PII) atau kekayaan intelektual perusahaan. Tanpa audit yang ketat, Anda tidak memiliki jaminan bahwa data tersebut dienkripsi atau dikelola sesuai standar ISO 27001. Dalam banyak kerangka regulasi perlindungan data, insiden kebocoran yang terjadi di sisi vendor tetap dapat menimbulkan tanggung jawab hukum bagi perusahaan sebagai Pengendali Data.

3. Dampak Operasional dan Supply Chain

Gangguan pada satu titik rantai pasok dapat menciptakan efek domino. TPRM membantu Anda memetakan vendor mana yang bersifat single point of failure. Dengan demikian, Anda dapat menyiapkan strategi mitigasi atau vendor cadangan sebelum krisis terjadi.

4. Tuntutan kepatuhan

Regulasi seperti UU PDP di Indonesia, GDPR di Eropa, atau standar industri seperti PCI-DSS menuntut pengawasan ketat terhadap pemrosesan data oleh pihak ketiga. Kegagalan dalam mengaudit vendor dapat dianggap sebagai kelalaian manajemen yang berujung pada tuntutan hukum.

5. Kompleksitas rantai pasok

Risiko tidak berhenti pada vendor saja. Vendor Anda juga memiliki vendor lain (pihak keempat). TPRM yang komprehensif berusaha memetakan risiko hulu ini untuk memastikan tidak ada kerentanan tersembunyi di lapisan supply chain yang lebih dalam.

Jenis Risiko dari Pihak Ketiga dalam Bisnis

Mengidentifikasi risiko adalah langkah utama dalam mitigasi. Spektrum risiko yang dibawa oleh vendor sangat luas dan tidak terbatas pada isu teknis saja.

Anda perlu memahami Risk Assessment Framework yang spesifik untuk ancaman eksternal agar penilaian menjadi akurat.

1. Risiko keamanan informasi

Ini adalah risiko paling umum. Mencakup kerentanan pada sistem IT vendor yang memungkinkan malwar, ransomware, atau peretas masuk ke jaringan Anda melalui koneksi VPN atau API yang terintegrasi.

2. Risiko Operasional (Ketersediaan Layanan)

Risiko ini berkaitan dengan kegagalan vendor dalam memberikan layanan sesuai Service Level Agreement (SLA). Contohnya adalah kegagalan sistem logistik vendor yang menyebabkan keterlambatan pengiriman produk Anda ke konsumen akhir.

3. Risiko Kepatuhan dan Legal

Muncul ketika vendor melanggar hukum, regulasi ketenagakerjaan, atau standar lingkungan. Jika vendor Anda terlibat skandal hukum atau tidak mematuhi UU PDP, reputasi dan legalitas perusahaan Anda juga ikut dapat terseret dalam pusaran kasus tersebut.

4. Risiko Finansial (Kebangkrutan Vendor)

Kesehatan finansial vendor sangat krusial dalam resiko tersebut. Jika vendor kunci Anda bangkrut secara tiba-tiba, perusahaan Anda bisa kehilangan pasokan material atau layanan kritikal, yang berujung pada kerugian finansial langsung.

5. Risiko Reputasi

Perilaku vendor mencerminkan nilai perusahaan Anda. Skandal etika, kebocoran data pelanggan, atau praktik bisnis buruk yang dilakukan vendor dapat merusak citra brand yang telah Anda bangun bertahun-tahun.

Komponen Penting dalam Third Party Risk Management

Tidak semua vendor memiliki profil risiko yang sama. Vendor penyedia alat tulis kantor tentu memiliki risiko jauh lebih rendah dibandingkan vendor penyedia layanan payment gateway.

Oleh karena itu, komponen _Vendor Tiering_ atau pengelompokan prioritas menjadi sangat krusial. Seperti dijelaskan dalam praktik terbaik Vendor Tiering, alokasi sumber daya audit harus difokuskan pada vendor Tier 1 atau yang paling kritis.

1. Identifikasi dan Inventarisasi Vendor

Langkah awal adalah mendata seluruh pihak ketiga yang bekerja sama dengan perusahaan. Sering kali, departemen bisnis melakukan shadow IT atau merekrut vendor tanpa sepengetahuan tim IT atau compliance, yang menciptakan risiko blind spots.

2. Klasifikasi Risiko (Vendor Tiering)

Setelah terdata, vendor diklasifikasikan berdasarkan akses data dan kritikalitas layanan. Vendor Tier 1 (Kritis) memerlukan audit fisik dan penetrasi tes, sementara Vendor Tier 3 (Rendah) mungkin hanya memerlukan kuesioner mandiri.

3. Penilaian Risiko (Due Diligence)

Sebelum kontrak ditandatangani, perusahaan wajib melakukan background check. Ini mencakup pemeriksaan stabilitas keuangan, riwayat keamanan siber, dan validitas sertifikasi kepatuhan yang mereka miliki.

4. Evaluasi Kontrol Keamanan Vendor

Anda perlu memverifikasi apakah kontrol keamanan vendor selaras dengan kebijakan internal Anda. Apakah mereka memiliki Kebijakan Kontrol Akses? Apakah mereka melakukan enkripsi data? Verifikasi ini dilakukan melalui kuesioner keamanan standar (seperti SIG atau CAIQ).

5. Pemantauan Berkelanjutan (Continuous Monitoring)

Audit tidak boleh hanya dilakukan sekali setahun. TPRM modern menggunakan alat pemantauan otomatis untuk mendeteksi perubahan profil risiko vendor secara real-time, seperti deteksi kebocoran kredensial.

6. Strategi Mitigasi dan Remediasi

Jika celah ditemukan, harus ada rencana tindakan yang jelas. Apakah vendor wajib menambal celah tersebut dalam 30 hari? Atau apakah kontrak harus diputus? Komponen ini mengatur langkah strategis di saat risiko terdeteksi.

Siapa yang Bertanggung Jawab atas TPRM?

Manajemen risiko pihak ketiga bukan hanya tugas departemen IT. Ini adalah tanggung jawab lintas fungsi yang memerlukan kolaborasi erat.

Mengacu pada struktur peran dan tanggung jawab dalam TPRM, struktur tim yang ideal meliputi:

• Board of Directors/Eksekutif. Menetapkan risk appetite (selera risiko) dan menyetujui kebijakan makro.
• Chief Information Security Officer (CISO). Bertanggung jawab atas penilaian risiko teknis dan standar keamanan siber vendor.
• Procurement/Pengadaan. Memastikan klausul keamanan masuk dalam kontrak dan mengelola hubungan komersial.
• Legal & Compliance. Memastikan vendor mematuhi regulasi (seperti UU PDP) dan meninjau liabilitas dalam kontrak.
• Business Owner (User). Unit bisnis yang menggunakan jasa vendor bertanggung jawab memantau kinerja harian vendor tersebut.

Cara Kerja Third Party Risk Management dalam Bisnis

Siklus hidup manajemen vendor (Vendor Lifecycle Management) harus berjalan sistematis dari awal hingga akhir kerja sama.

1. Penilaian Pre-Contract (Sourcing). Saat proses tender atau seleksi, kriteria keamanan dan kepatuhan sudah menjadi bobot penilaian. Vendor dengan postur keamanan buruk harus digugurkan sebelum masuk tahap negosiasi harga.
2. Kontrak dan Onboarding Vendor. Fase ini melibatkan penandatanganan Data Processing Agreement(DPA) dan penetapan SLA. Onboarding juga mencakup pemberian akses sistem seminimal mungkin (least privilege) kepada karyawan vendor.
3. Monitoring Operasional Rutin. Selama kontrak berjalan, kinerja vendor dipantau. Audit berkala dilakukan sesuai tingkat risiko vendor. Insiden kecil harus dicatat dan dievaluasi dampaknya.
4. Peninjauan Berkala (Re-assessment). Setiap tahun, atau saat terjadi perubahan regulasi besar, vendor harus dinilai ulang. Vendor yang dulunya aman mungkin kini berisiko karena perubahan manajemen atau teknologi.
5. Offboarding dan Terminasi Akses. Fase yang sering terlupakan namun krusial. Saat kontrak berakhir, akses sistem vendor harus segera dicabut. Data perusahaan yang ada di sistem vendor harus dihapus atau dikembalikan, dibuktikan dengan sertifikat pemusnahan data.

Case Study: Tinjauan Keamanan Vendor 4 Kali Lebih Cepat pada Rumah Sakit

Sebuah studi kasus dari Velocity menyoroti tantangan yang dihadapi oleh sebuah sistem rumah sakit besar. Institusi ini harus mengelola ratusan vendor (business associates) yang memiliki akses ke data pasien yang sangat sensitif, namun terhambat oleh proses audit yang tidak lagi efisien dan belum terotomasi.

Tantangan Awal: Rumah sakit tersebut terjebak dalam proses manual berbasis spreadsheet untuk menilai risiko vendor serta mengukur kepatuhan internal terhadap standar NIST, CIS, dan HIPAA. Metode ini mengakibatkan:

• Penundaan proyek-proyek besar karena lambatnya tinjauan keamanan vendor.
• Hasil audit manual atau outsourcing yang sering kali tidak akurat.
• Kesulitan kolaborasi karena dokumen tersebar dalam file terpisah yang cepat usang (outdated).

Transformasi dan Hasil: Dengan beralih ke platform manajemen risiko terpusat (SaaS) dan meninggalkan cara manual, rumah sakit tersebut berhasil mengubah drastis efisiensi operasional mereka. Hasil kuncinya meliputi:

1. Akselerasi Waktu Audit. Waktu yang dibutuhkan untuk mendapatkan laporan keamanan vendor terpangkas drastis menjadi hanya seperempat (1/4) dari waktu sebelumnya (4x lebih cepat).
2. Efisiensi SDM. Staf keamanan siber yang sebelumnya kehabisan waktu untuk administrasi kuesioner manual, kini dapat mengelola lebih banyak vendor sekaligus fokus pada tugas strategis lainnya.
3. Peningkatan Akurasi. Platform otomatis memastikan penilaian risiko menggunakan kerangka kerja keamanan terbaru, bukan standar lama yang tertinggal di spreadsheet.

Kecepatan tidak harus mengorbankan keamanan. Dengan alat TPRM yang tepat, penilaian risiko bisa dilakukan jauh lebih cepat, lebih akurat, dan lebih hemat biaya dibandingkan metode konvensional.

Tantangan Bisnis dalam Mengelola Risiko Pihak Ketiga

Mengapa banyak perusahaan gagal dalam TPRM? Jawabannya sering kali terletak pada alat yang digunakan. Mengandalkan spreadsheet (Excel) dan email untuk mengelola ratusan vendor adalah bencana administratif.

Tantangan manual ini meliputi data yang terisolas, dokumen kadaluarsa yang tidak terdeteksi, dan kesulitan melacak status tindak lanjut perbaikan. Di sinilah Vendor Management Software menjadi bagian dari kebutuhan mutlak pada skala enterprise.

• Tanpa software, setiap manajer mungkin menilai vendor dengan standar subjektif. Software memaksakan standar penilaian risiko yang konsisten di seluruh organisasi.
• Proses manual sulit diselaraskan dengan perubahan kebijakan internal yang dinamis. Software memungkinkan pembaruan kuesioner risiko secara massal hanya dengan beberapa klik.
• Mengingatkan 500 vendor untuk memperbarui sertifikat ISO 27001 mereka via email adalah pekerjaan penuh waktu. Software mengotomatisasi notifikasi dan pengumpulan dokumen ini tanpa intervensi manusia.
• Saat audit eksternal datang, mencari bukti kepatuhan vendor di ribuan email sangat membuang waktu. Software menyediakan repositori terpusat (Single Source of Truth) untuk semua dokumen audit vendor.

Solusi Penanganan Third Party Risk Management Accelist Consulting

Kompleksitas pengelolaan risiko pihak ketiga tidak harus menjadi beban operasional tim Anda. **Adaptist Privee**, solusi compliance dan risk dari Accelist Consulting, dirancang khusus untuk menyederhanakan tantangan ini sesuai konteks regulasi di Indonesia.

Adaptist Privee menyediakan fitur Third Party Risk Assessment (TPRA) yang terintegrasi langsung dengan modul kepatuhan UU PDP.

Keunggulan Adaptist Privee dalam TPRM meliputi:

• Sentralisasi Risiko: Mengelola profil risiko seluruh vendor dalam satu dasbor Compliance Evaluation System.
• Kepatuhan Lokal: Kuesioner dan parameter risiko yang sudah disesuaikan dengan standar UU No. 27 Tahun 2022 (UU PDP), memastikan vendor Anda patuh hukum nasional.
• Efisiensi Audit: Mengurangi waktu persiapan audit vendor secara drastis dengan dokumentasi digital yang rapi dan mudah diakses.
• Mitigasi Denda:  Memastikan setiap pertukaran data dengan pihak ketiga tercatat dan memiliki dasar hukum yang kuat, melindungi Anda dari sanksi regulasi.

Dengan dukungan Adaptist Privee, perusahaan Anda dapat membangun ekosistem digital yang aman, hemat waktu, dan siap berkembang tanpa mengorbankan perlindungan data atau kenyamanan pengguna.