- Pembaruan ECCP memaksa perusahaan untuk mengevaluasi kembali dan mengoptimalkan program kepatuhan mereka.
- DOJ menuntut perusahaan untuk memiliki akses dan kemampuan analisis data yang memadai untuk program kepatuhan.
- Perusahaan harus menata kembali strategi dan program kepatuhan mereka untuk memenuhi persyaratan DOJ yang baru.
pibitek.biz -Pada tanggal 23 September 2024, Departemen Kehakiman Amerika Serikat (DOJ) mengumumkan serangkaian pembaruan signifikan terhadap Panduan Evaluasi Program Kepatuhan Perusahaan (ECCP). ECCP merupakan dokumen pedoman yang digunakan oleh jaksa DOJ untuk menilai efektivitas program kepatuhan perusahaan dalam menentukan hukuman atas pelanggaran hukum. Pembaruan kali ini berfokus pada tiga aspek utama: AI, pelapor internal (whistleblower), dan penggunaan analisis data. Pembaruan yang paling menonjol terkait dengan cara jaksa DOJ akan menilai bagaimana perusahaan mengevaluasi dan mengelola risiko teknologi AI dan teknologi disruptive lainnya.
2 – Ransomware BianLian Serang Rumah Sakit Anak Boston 2 – Ransomware BianLian Serang Rumah Sakit Anak Boston
3 – AI: Ancaman Baru bagi Keamanan Siber 3 – AI: Ancaman Baru bagi Keamanan Siber
Selain AI, ECCP yang diperbarui juga menginstruksikan jaksa untuk melihat bagaimana perusahaan mendorong karyawannya untuk melaporkan potensi pelanggaran dan seberapa besar komitmen perusahaan dalam melindungi pelapor. Terakhir, ECCP baru juga menginstruksikan jaksa untuk menilai apakah program kepatuhan memiliki akses yang tepat ke sumber data yang relevan, dan apakah perusahaan menaruh sumber daya dan teknologi yang sama dalam memanfaatkan data untuk tujuan kepatuhan seperti yang mereka gunakan untuk bisnis mereka. Dalam ECCP yang diperbarui, DOJ mengategorikan AI, bersama dengan teknologi baru lainnya, sebagai risiko yang sedang berkembang yang dapat memengaruhi kemampuan perusahaan untuk mematuhi hukum.
Sesuai dengan panduan ECCP yang diperbarui, jaksa akan mengevaluasi apakah perusahaan memiliki proses yang ada untuk mengevaluasi dan menilai dampak dan risiko dari teknologi yang digunakan karyawannya untuk menjalankan bisnis. Jaksa diminta untuk mengevaluasi langkah-langkah yang telah diambil perusahaan untuk memitigasi risiko yang terkait dengan penggunaan teknologi tersebut. Sebelumnya pada tahun ini, Wakil Jaksa Agung Monaco mengumumkan bahwa jaksa DOJ diinstruksikan untuk mencari hukuman yang lebih keras ketika menuntut kasus di mana AI secara sengaja digunakan untuk melakukan kejahatan.
Oleh karena itu, sangat penting untuk memastikan bahwa perusahaan yang memanfaatkan AI atau teknologi baru lainnya untuk memajukan bisnisnya juga memastikan bahwa risiko yang terkait dengan teknologi tersebut dievaluasi dan dimitigasi melalui program kepatuhan yang efektif dan disesuaikan. Sejalan dengan Program Percontohan Penghargaan Pelapor Perusahaan yang baru saja diberlakukan, ECCP yang diperbarui sekarang menginstruksikan jaksa untuk menilai kekuatan dan efektivitas program kepatuhan perusahaan dengan melihat bagaimana organisasi tersebut mendorong dan/atau memberi insentif kepada karyawan untuk melaporkan potensi pelanggaran melalui struktur pelaporan rahasia perusahaan. Selanjutnya, DOJ akan melihat apakah perusahaan memiliki dan mematuhi kebijakan anti-pembalasan dan berkomitmen untuk melindungi anonimitas pelapor.
ECCP sebelumnya menginstruksikan jaksa DOJ untuk menilai apakah fungsi kepatuhan dan kontrol perusahaan memiliki akses ke sumber data yang relevan untuk memantau dan menilai risiko bisnis secara tepat waktu. ECCP yang diperbarui menekankan akses dan pemanfaatan sumber data. DOJ akan menganalisis bagaimana perusahaan menggunakan alat analisis data untuk menciptakan efisiensi dalam operasi kepatuhan dan untuk memperkuat program kepatuhan secara keseluruhan. Salah satu prinsip panduan untuk bagaimana DOJ melihat efektivitas program kepatuhan perusahaan adalah apakah program tersebut diperbarui secara berkala.
Faktanya, baik Manual Kehakiman DOJ dan Pedoman Penuntutan Amerika Serikat menginstruksikan bahwa "organisasi tersebut harus secara berkala menilai risiko perilaku kriminal dan harus mengambil langkah-langkah yang tepat untuk merancang, mengimplementasikan, atau memodifikasi setiap persyaratan [dari program kepatuhan] untuk mengurangi risiko perilaku kriminal". Pembaruan ECCP memaksa perusahaan untuk mengevaluasi kembali dan mengoptimalkan program kepatuhan mereka. Perusahaan yang telah mengadopsi teknologi AI, atau yang berencana untuk mengadopsi teknologi berbasis AI di masa depan, harus menyadari bahwa program kepatuhan harus disesuaikan dengan risiko yang ditimbulkan oleh teknologi yang berubah ini.
DOJ kini telah membahas, melalui ECCP, bagaimana perusahaan diharapkan untuk menggabungkan penggunaan AI dan teknologi baru lainnya ke dalam program kepatuhan mereka. Perusahaan sekarang dapat menggunakan detail tersebut untuk memastikan bahwa teknologi memiliki kerangka kerja yang tepat. Pada saat yang sama, perusahaan harus menilai apakah program kepatuhan mereka mendorong karyawan untuk melapor sendiri, dan memastikan bahwa program mereka mutakhir dalam hal akses dan analisis data. Perubahan yang signifikan ini mendorong perusahaan untuk merevisi dan memperkuat program kepatuhan mereka.
Namun, implementasi program kepatuhan yang efektif tidak semudah yang terlihat. Perusahaan dituntut untuk menelusuri dan mengidentifikasi setiap potensi risiko yang ditimbulkan oleh AI dan teknologi disruptive lainnya. Hal ini membutuhkan sumber daya dan keahlian yang mumpuni, yang tidak selalu dimiliki oleh setiap perusahaan. Persyaratan yang dipaksakan oleh DOJ tidak hanya kompleks tetapi juga mahal. Perusahaan diharuskan untuk membangun sistem pelaporan internal yang aman dan efektif. Sistem ini harus menjamin anonimitas pelapor dan melindungi mereka dari tindakan pembalasan.
Menciptakan sistem yang dapat menjamin keamanan dan anonimitas pelapor merupakan tantangan besar, dan membutuhkan investasi yang besar. DOJ juga mengharuskan perusahaan untuk memiliki akses dan kemampuan analisis data yang memadai. Data yang dikumpulkan dan dianalisis harus mencakup berbagai aspek bisnis, seperti transaksi keuangan, komunikasi internal, dan aktivitas karyawan. Hal ini membutuhkan investasi dalam infrastruktur teknologi informasi yang canggih dan tenaga ahli yang mumpuni. Di samping itu, DOJ menuntut perusahaan untuk mengalokasikan sumber daya yang cukup untuk program kepatuhan mereka.
Hal ini berarti bahwa perusahaan harus memotong pengeluaran di bidang lain untuk memenuhi persyaratan DOJ. Keadaan ini dapat menyebabkan pemotongan karyawan di bidang lain, yang pada akhirnya dapat berdampak pada kinerja perusahaan secara keseluruhan. Pembaruan ECCP telah menimbulkan kekhawatiran dan kontroversi di kalangan perusahaan. Banyak perusahaan merasa bahwa persyaratan baru ini terlalu berlebihan dan sulit dipenuhi. Beberapa perusahaan bahkan berpendapat bahwa persyaratan tersebut dapat menghambat inovasi dan pertumbuhan ekonomi.
Pembaruan ECCP merupakan langkah yang ambisius dari DOJ. Namun, implementasi yang terlalu cepat dan kurang matang dapat berdampak negatif bagi dunia usaha. Perusahaan membutuhkan waktu untuk beradaptasi dan mengembangkan program kepatuhan yang memadai. Pembaruan ECCP membawa perubahan besar bagi dunia usaha, dan membutuhkan respons yang cermat dan tepat. Perusahaan harus segera melakukan penilaian internal dan mengidentifikasi potensi risiko yang terkait dengan AI dan teknologi disruptive lainnya.
Perusahaan juga harus memastikan bahwa program kepatuhan mereka memadai untuk memenuhi persyaratan DOJ. Perubahan yang signifikan ini membawa dampak yang luas bagi dunia usaha. Perusahaan harus menata kembali strategi dan program kepatuhan mereka untuk memenuhi persyaratan DOJ. Pembaruan ECCP merupakan langkah yang tepat, namun perlunya implementasi yang bertahap dan fleksibel untuk menghindari dampak negatif bagi dunia usaha.
