Abstrak
Manajemen industri asuransi di Indonesia secara umum merupakan suatu
rangkaian proses mengidentifikasi, mengukur, memitigasi dan mengontrol
segala bentuk risiko asuransi di perusahaan. Strategi pengendalian dan
pengelolaan risiko asuransi di perusahaan dilakukan dengan langkah-langkah
identifikasi dan pembuatan peta risiko (risk mapping), kuantifikasi dan
pengukuran risiko (risk measurement and assessment), penanganan risiko
(risk threatment) dan kebijakan manajemen risiko asuransi. Tujuan penulisan
untuk mengantisipasi gangguan dan penyelamatan sistem Teknologi Informasi
pada risiko operasional dengan menggunakan metode Business Continuity Plan
dan Continuity Plan.
Metode Business Continuity Plan dan Continuity Plan yang diterapkan pada
perusahaan asuransi perlu secara sfesifik menjelaskan peraturan mengenai IT
dan harus dipahami oleh seluruh karyawan. Peraturan ini harus ditetapkan oleh
top management dan sebaiknya meliputi garis dan tanggung jawab sistem IT,
perawatan data dan backup sistem, prosedur penerapan antivirus dan spyware,
akses terhadap internal data, penggunaan internet oleh karyawan, dan kebijakan
mengenai e-mail pribadi.
Kebijakan ini sebaiknya didukung dengan petunjuk melakukan prosedur
secara tertulis untuk memudahkan implementasi dan perlunya disusun Bussiness
Continuity Plan dan Contigency Plan untuk menghadapi keadaan tidak terduga
sehingga dapat meminimalisir kerugian operasional pada industri asuransi.
Kata kunci: business continuity plan, contingency plan, risiko teknologi
informasi
42 | P a g e
1.
Pendahuluan
Pada dasarnya, risiko tidak dapat dihindari dari aktivitas bisnis perusahaan,
sehingga diperlukan manajemen risiko untuk mengatasi permasalahan ini. Sistem IT
pada perusahaan erat kaitannya dengan komputer. Komputer merupakan alat yang
digunakan untuk mengolah dan menyimpan data. Kadangkala komputer perusahaan
mengalami kegagalan dalam operasi. Hal ini dapat diakibatkan oleh kerusakan software
maupun hardware. Kerusakan komputer ini dapat mempengaruhi jalannya bisnis
perusahaan karena mereka tidak dapat mengakses data-data penting yang terdapat dalam
komputer tersebut.
Penelitian yang dilakukan oleh Ernst&Young terhadap CIO (Chief Information
Officer) 34% dari mereka mengatakan kerusakan komputer sebagai risiko yang paling
signifikan mempengaruhi kelangsungan perusahaan. Selanjutnya menurut survey
tersebut 65% dari para CIO juga mengatakan bahwa penting untuk memperbaiki sistem
yang rusak tersebut. Jika hal tersebut tidak dilakukan maka dapat memberikan pengaruh
yang signifikan terhadap bisnis mereka. Beberapa masalah yang dapat terjadi adalah
kehilangan pelanggan, kehilangan nama baik, masalah dalam pengelolaan keuangan,
menurunnya kualitas pelayanan terhadap pelanggan dan kehilangan data.
Berdasarkan konsep Risk Based Capital (RBC), perusahaan asuransi di
Indonesia sebenarnya dapat beroperasi dengan modal yang sangat rendah (di atas Rp. 3
milyar) asal sehat dan memenuhi Risk Based Capital di atas 120%. Asuransi dalam
bentuk cabang atau divisi dari perusahaan asuransi konvensional dapat beroperasi
dengan penyisihan modal minimal Rp. 2 milyar. Brandts, S. (2004), menjelaskan risiko
yang potensinya mungkin terjadi dapat menimbulkan kerugian pada suatu
perusahaan. Risiko timbul karena adanya unsur ketidakpastian dimasa mendatang,
adanya penyimpangan, terjadinya sesuatu yang tidak diharapkan, atau tidak terjadinya
sesuatu yang diharapkan. Terdapat 2 (dua) jenis risiko bisnis yang dapat dihadapi oleh
perusahaan, yaitu a) Risiko non-entrepreneurial, merupakan risiko yang bukan
diakibatkan oleh keputusan kewirausahaan yang diambil perusahaan. Contohnya
bencana alam, kebakaran. b) Risiko Entrepreneurial, merupakan risiko yang
diakibatkan oleh keputusan kewirausahaan yang diambil perusahaan. Contohnya
risiko membangun gedung baru, risiko meluncurkan produk baru, risiko menerapkan
sistem IT baru.
43 | P a g e
Perusahaan dapat menyusun informasi risiko yang efektif, maka terdapat suatu
pendekatan yang integratif dalam menangani berbagai aspek risiko, yaitu Enterprise
Risk Management (ERM). ERM adalah kerangka kerja yang komprehensif dan
integratif untuk mengelola risiko kredit, risiko pasar dan risiko operasional, modal
ekonomi dan transfer risiko dalam upaya memaksimalkan nilai perusahaan. Kerangka
efektifitas kerja ERM terbagi menjadi 4 (empat) tahap, yaitu a) Proses manajemen
risiko dan Sistem Informasi Manajemen (SIM) risiko. b) Sistem Pengendalian
Internal (SPI) yang menyeluruh. c) Kebijakan, prosedur dan penetapan limit.
d) Pengawasan aktif dewan komisaris dan direksi.
Program ERM dapat dijelaskan dari 7 (tujuh) komponen yang harus
dikembangkan dan dihubungkan menjadi satu kesatuan yang terintegrasi, yaitu
meliputi a) Tata kelola perusahaan untuk memastikan bahwa dewan komisaris dan
direksi telah membuat proses organisatoris dan kontrol perusahaan yang tepat untuk
mengukur dan mengelola risiko lintas perusahaan. b) Manajemen lini untuk
mengintegrasikan manajemen risiko kedalam aktifitas penghasil pendapatan di
perusahaan termasuk pengembangan bisnis, manajemen produk dan hubungan
penentuan harga. c) Manajemen portofolio untuk mengumpulkan exposure risiko,
menggabungkan pengaruh diversifikasi dan mengawasi konsentrasi risiko terhadap
batas risiko yang dibuat. d) Pemindahan risiko untuk mengurangi exposure risiko
yang dipandang terlalu tinggi, atau lebih efektif biaya memindahkan ke pihak ketiga
daripada menahannya dalam portofolio risiko perusahaan. e) Analisis risiko untuk
memberikan perangkat pengukuran, pelaporan dan menelusuri pemicu eksternal.
f) Sumber daya data dan teknologi untuk mendukung proses analisis dan pelaporan.
g) Manajemen stakeholder untuk menyampaikan dan melaporkan informasi risiko
perusahaan kepada pada pada stakeholder-nya.
Sadgrove (2005), Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez (2003),
menyatakan Operational Risk merupakan risiko yang berhubungan dengan kegiatan
perusahaan dalam proses produksi maupun operasi. Risiko-risiko operasi yang
dihadapi perusahaan antara lain distribution, logistic, suppliers, kualitas barang dan
jasa, employee issues, fraud, project, natura event, fire, IT. Permasalahan besar yang
45 | P a g e
menyebabkan perusahaan berpikir dan bertindak dalam skala besar harus ditangani
langsung oleh pimpinan perusahaan dan melibatkan rencana strategi perusahaan. Peran
Business Continuity Plan harus mempertimbangkan beberapa faktor yang dapat
memiliki pengaruh bagi perusahaan seperti terhadap pelanggan, yaitu berhubungan
dengan sikap pelanggan yang berubah dan ekspektasi pelanggan yang tumbuh dan sulit
diprediksi dan dapat dianalisis dari tingginya kualitas pelayanan yang siberikan. Jika
pelanggan hanya dapat menerima pelayanan atau produk yang dihasilkan perusahaan,
maka pelanggan akan langsung mengajukan keluhan jika ada kekurangan dari produk
yang ditawarkan dan membandingkan dengan produk yang ditawarkan oleh perusahaan
lain yang dianggap memiliki kelebihan.
Peran Business Continuity Plan terhadap new technology dapat meminimalisir
ancaman operasional dan teknologi. Jika dikelola dengan baik, teknologi dapat
memberikan keuntungan dan membuat perusahaan semakin kompetitif. Bentuk risiko
lain yang dihadapi perusahaan asuransi antara lain stock exchange rule, tax
requirements, environmental legislation, accounting standards, internal controls, ethics,
termasuk juga exchange rate, interest rate, liquidity, profitability, profits, and costs.
Hal-hal yang harus dipersiapkan dalam membuat Business Continuity Plan dan
Contingency Plan adalah 1) memahami Information resource apa yang penting bagi
kebutuhan perusahaan asuransi? Apakah proses bisnis yang tidak berjalan akan
memberikan dampak negatif yang fatal bagi perusahaan?. Setiap proses harus
diperhatikan criticality-nya, dengan indikasi antara lain proses yang berkaitan dengan
nyawa seseorang. Proses akan menyebabkan kerugian finansial yang luar biasa dan
harus mematuhi aturan yang berlaku (sektor keuangan, atau air traffic control). 2) Cost
of recovery versus impact of disruption. 3) Analisis risiko dengan pendekatan kualitatif
dan membuat peringkat seperti tablel dan gambar dibawah ini.
Tabel 1. Klasifikasi Pemeringkat Business Continuity Plan dan Contingency Plan
Klasifikasi
Deskripsi
Critical
Vital
Bisa dilakukan secara manual pada rentang waktu yang pendek sekali.
Sebaiknya bisa direstore dalam waktu 5 hari atau kurang.
46 | P a g e
Sensitive
Bisa dilakukan secara manual dalam waktu yang relatif lama, namun
meskipun dilakukan secara manual pasti tetap sulit melakukannya dan
membutuhkan staf lebih banyak
Noncritical
Bisa diinterupsi sampai waktu yang lama, dengan sedikit beban / tidak
ada beban biaya bagi perusahaan.
Cost ($)
Break even
strategy
Cost of recovery
Gambar 1.
Perhitungan Break Even Strategy dalam Business Continuity Plan
a)
memastikan bahwa pihak penyedia jasa memiliki BCP sesuai dengan jenis, cakupan dan
kompleksitas aktivitas/jasa yang diberikan; b) secara aktif mendapatkan jaminan
kesiapan BCP milik pihak penyedia jasa seperti pengujian secara berkala atas BCP;
c) memiliki perjanjian penyimpanan source code program (escrow agreement) untuk
aplikasi yang memiliki eksposur risiko tinggi, jika perusahaan tidak memiliki source
code dari program aplikasi yang diselenggarakan oleh pihak penyedia jasa; d) dalam hal
source code tidak dimiliki oleh penyedia jasa maka penyedia jasa harus memberikan
jaminan kepada bank, bahwa kelangsungan aplikasi didukung oleh principal
pengembang software. Menjamin fungsi dan efektifivitas BCP, perusahaan wajib
menyusun dan melakukan pengujian BCP secara berkala, lengkap dan mencakup hal-hal
yang signifikan yang didasarkan atas jenis, cakupan dan kompleksitas aktivitas atau
kegiatan yang dilakukan oleh penyedia jasa. Disamping itu, pihak penyedia jasa harus
melakukan pengujian sendiri untuk sistem atau fasilitas TI maupun pemrosesan yang
diselenggarakan tanpa melibatkan pihak perusahaan. Hasil pengujian pihak penyedia
jasa tersebut digunakan perusahaan untuk mengkinikan BCP yang dimiliki perusahaan.
Solusi atau langkah-langkah dalam menghadapi risiko IT antara lain a)
Menanggulangi pencurian komputer. Menghadapi pencurian komputer perusahaan dapat
mengantisipasinya dengan beberapa cara. Pertama dengan memberikan pengaman pada
komputer seperti memberikan label pada komputer dan memasang sensor pengaman
pada pintu masuk perusahaan, serta menempatkan tenaga keamanan untuk melakukan
kontrol secara berkala. Kedua dengan memasang alat pelacak posisi komputer ketika
mengalami pencurian. b) Akses ilegal terhadap komputer. Terdapat beberapa cara
menghindari akses ilegal terhadap komputer perusahaan, meliputi i) Menggunakan
firewall. Penggunaan firewall dapat mengantisipasi akses illegal terhadap data di dalam
48 | P a g e
komputer ketika komputer terhubung dengan jaringan. ii) Membatasi komputer yang
memiliki removable drives seperti USB port. iii) Membatasi akses terhadap beberapa
data yang mengandung rahasia perusahaan dengan menggunakan password. iv)
Membatasi jumlah komputer yang terhubung dengan internet. Terutama komputer yang
menyimpan data-data penting perusahaan. Hal ini untuk menghindari akses illegal oleh
hacker. v) Closed user grouping. Untuk mengirimkan data ke user tertentu melalui
telephone line. vi) Password. Sebaiknya perusahaan melindungi data-data penting
dengan menggunakan password. Kata-kata yang digunakan sebagai password sebaiknya
unik sehingga tidak mudah dipecahkan serta secara berkala dilakukan penggantian
password yaitu a) Virus. Virus merupakan salah satu masalah yang umum terjadi dalam
menggunakan komputer. Jika komputer terinfeksi virus, perusahaan dapat menggunakan
antivirus yang terus diupdate secara berkala. Virus merupakan hal berbahaya yang dapat
merusak sistem komputer. Virus juga dapat menginfeksi komputer dari berbagai saluran
seperti USB ataupun internet. Sehingga perusahaan harus memberikan perhatian lebih
terhadap pengamanan virus komputer. b) Kegagalan software ataupun hardware. Untuk
menghindari Kegagalan software ataupun hardware maka sebaiknya perusahaan
membeli software atau hardware yang asli dan bergaransi. Sehingga apabila terdapat
masalah maka perusahaan dapat mengkalim masalah tersebut. c) Kesalahan pengguna.
Untuk menghindari kesalahan pengguna maka sebaiknya perusahaan mengadakan
pelatihan mengenai cara penggunaan komputer. Sehingga dapat meminimalisir
kesalahan oleh pengguna. d) IT Project Failure. Menerapkan sistem control yang ketat
untuk menghindari kesalahan. e) Meminimalisir kehilangan data. Untuk meminimalisir
kehilangan data, maka perusahaan dapat melakukan backup terhadap data. Sebaiknya
tempat penyimpanan data ini ditempatkan pada lokasi yang minim risiko, seperti risiko
kebakaran, banjir maupun pencurian. f) Spyware. Spyware dapat menginfeksi komputer
ketika kita terhubung dengan internet. Spyware dapat merugikan perusahaan karena
dapat mengirim data aktifitas yang dilakukan oleh karyawan saat menggunakan
komputer. g) Scam, merupakan email oleh oknum tertentu yang meminta pengguna
komputer memberikan data-data pribadi mereka yang berhubungan dengan akun bank
mereka. h) Software piracy. Penggunaan software bajakan dapat merugikan perusahaan
karena melanggar hokum. Mereka dapat terjerat UU No.19 tahun 2002 mengenai
Perlindungan Hak Cipta.
49 | P a g e
Business Continuity Plan mencakup a) siapa penanggung jawab utama, b) backup dari
supplies yang dibutuhkan, c) pengorganisasian dan penanggung jawab setiap aktifitas,
d) jaringan computer dan e) asuransi.
4. Tanggung Jawab Penilaian Pada Business Continuity Plan
Terdapat tim yang bertugas melakukan fungsi tertentu dalam Business
Continuity Plan, dan dipimpin seorang team leader. Tim terdiri dari 1) Emergency
action team, tugas utamanya adalah seperti pemadam kebakaran, dan bertugas untuk
menyelamatkan jiwa. 2) Damage assessment team, harus bisa mengkalkulasi dampak
bencana dan bisa memperkirakan kapan lokasi bisa kembali normal. 3) Emergency
management team, berkewajiban mengkoordinasikan aktifitas tim-tim lainnya,
melakukan tindakan pengambilan keputusan, apakah akan menjalankan Business
Continuity Plan atau tidak dan termasuk menangani masalah hukum dan relasi publik.
4) Off site strorage team, packing dan shipping dari media dan merekam ke offsite
facility. 5) Software team, restore operation system. 6) Applications team, untuk
melakukan recovery site dan menginstall kembali aplikasi komputer. 7) Emergency
operations team, shift operators and shift supervisors yang harus menjalankan recovery
site (alternate facility). 8) Salvage team, melakukan analisis lebih mendalam terhadap
dampak bencana, menentukan apakah akan memperbaiki lokasi yang kena bencana, atau
melakukan proses relokasi dan mengisi form klaim asuransi. 9) Relocation team,
mengembalikan dari recovery site ke lokasi awal atau ke lokasi baru yang permanen.
5. Kesimpulan
Perusahaan perlu menerapkan peraturan mengenai IT dan harus dipahami oleh
seluruh karyawan. Peraturan ini harus ditetapkan oleh top management dan sebaiknya
meliputi a) Garis dan tanggung jawab mengenai sistem IT, b) Perawatan data dan
backup sistem, c) Prosedur penerapan antivirus dan spyware, d) Akses terhadap internal
data, e) Penggunaan internet oleh karyawan dan f) Kebijakan mengenai e-mail pribadi.
Kebijakan ini sebaiknya didukung dengan petunjuk melakukan prosedur secara tertulis
untuk memudahkan implementasi. Bussiness Continuity Plan (BCP) dan Contigency
Plan (CP) sangat diperlukan untuk menghadapi keadaan tidak terduga sehingga dapat
meminimalisir kerugian perusahaan, seperti virus dan denial of service (DoS) yang
51 | P a g e
merupakan ancaman yang tidak dianggap bencana tetapi tetap dianggap sebagai high
risk.
Bussiness
Continuity Plan
(BCP)
dan
Contigency
Plan
(CP)
harus
Daftar Pustaka
Anonim, 2008. Effective Business Continuity Plan. Diakses tanggal 15 Januari 2013 dari
http://events.belgacom.be/ dataatwork/Track_2_1_Bus_Cont.pdf
Bazzarello, D., Crielaard, B., Piacenza, F. and Soprano, A. 2006. Modeling Insurance
Mitigation on Operational Risk Capital. Journal of Operationl Risk. 1(1). pp. 57-65.
Brandts, S. 2004. Operational Risk and Insurance: Quantitative and Qualitative Aspects.
Working Paper.
Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez, 2003. Operational Risk: A
Practicioner's View. The Journal of Risk. pp. 5.
Gondodiyoto, Sanyoto & Henny Hendarti. (2006). Audit Sistem Informasi. Mitra Wancana
Media, Jakarta.
Hanggraeni, Dewi, 2010, Pengelolaan Risiko Usaha. LPFE. Universitas Indonesia.
Leippold, M., and P. Vanini, 2005. The Quantification of Operational Risk. The Journal of
Risk. pp. 8.
Sadgrove, Kit, 2005, Organizational Behavior, International ed. Prentice-Hall, New York.
Ulhaque, Padma dan Ramadhan, 2009. Makalah Pengelolaan Risiko
Pre Empting Fraud & Avoiding IT Disaster. Universitas Indonesia
52 | P a g e
Usaha.