Peran Business Continuity Plan dan Contingency Plan

Dalam Meminimalisir Risiko Teknologi Informasi

pada Industri Asuransi
E. Susy Suhendra1, Teddy Oswari2, Silvy Setiawan3
Dosen Pascasarjana Universitas Gunadarma1, 2
E-mail: [susys, toswari]@staff.gunadarma.ac.id
Bendahara Dewan Pengurus AAMAI, Vice President Director PT Reliance3
E-mail : sylvy.setiawan@reliance-insurance.com

Abstrak
Manajemen industri asuransi di Indonesia secara umum merupakan suatu
rangkaian proses mengidentifikasi, mengukur, memitigasi dan mengontrol
segala bentuk risiko asuransi di perusahaan. Strategi pengendalian dan
pengelolaan risiko asuransi di perusahaan dilakukan dengan langkah-langkah
identifikasi dan pembuatan peta risiko (risk mapping), kuantifikasi dan
pengukuran risiko (risk measurement and assessment), penanganan risiko
(risk threatment) dan kebijakan manajemen risiko asuransi. Tujuan penulisan
untuk mengantisipasi gangguan dan penyelamatan sistem Teknologi Informasi
pada risiko operasional dengan menggunakan metode Business Continuity Plan
dan Continuity Plan.
Metode Business Continuity Plan dan Continuity Plan yang diterapkan pada
perusahaan asuransi perlu secara sfesifik menjelaskan peraturan mengenai IT
dan harus dipahami oleh seluruh karyawan. Peraturan ini harus ditetapkan oleh
top management dan sebaiknya meliputi garis dan tanggung jawab sistem IT,
perawatan data dan backup sistem, prosedur penerapan antivirus dan spyware,
akses terhadap internal data, penggunaan internet oleh karyawan, dan kebijakan
mengenai e-mail pribadi.
Kebijakan ini sebaiknya didukung dengan petunjuk melakukan prosedur
secara tertulis untuk memudahkan implementasi dan perlunya disusun Bussiness
Continuity Plan dan Contigency Plan untuk menghadapi keadaan tidak terduga
sehingga dapat meminimalisir kerugian operasional pada industri asuransi.
Kata kunci: business continuity plan, contingency plan, risiko teknologi
informasi

42 | P a g e

1.

Pendahuluan
Pada dasarnya, risiko tidak dapat dihindari dari aktivitas bisnis perusahaan,
sehingga diperlukan manajemen risiko untuk mengatasi permasalahan ini. Sistem IT
pada perusahaan erat kaitannya dengan komputer. Komputer merupakan alat yang
digunakan untuk mengolah dan menyimpan data. Kadangkala komputer perusahaan
mengalami kegagalan dalam operasi. Hal ini dapat diakibatkan oleh kerusakan software
maupun hardware. Kerusakan komputer ini dapat mempengaruhi jalannya bisnis
perusahaan karena mereka tidak dapat mengakses data-data penting yang terdapat dalam
komputer tersebut.
Penelitian yang dilakukan oleh Ernst&Young terhadap CIO (Chief Information
Officer) 34% dari mereka mengatakan kerusakan komputer sebagai risiko yang paling
signifikan mempengaruhi kelangsungan perusahaan. Selanjutnya menurut survey
tersebut 65% dari para CIO juga mengatakan bahwa penting untuk memperbaiki sistem
yang rusak tersebut. Jika hal tersebut tidak dilakukan maka dapat memberikan pengaruh
yang signifikan terhadap bisnis mereka. Beberapa masalah yang dapat terjadi adalah
kehilangan pelanggan, kehilangan nama baik, masalah dalam pengelolaan keuangan,
menurunnya kualitas pelayanan terhadap pelanggan dan kehilangan data.
Berdasarkan konsep Risk Based Capital (RBC), perusahaan asuransi di
Indonesia sebenarnya dapat beroperasi dengan modal yang sangat rendah (di atas Rp. 3
milyar) asal sehat dan memenuhi Risk Based Capital di atas 120%. Asuransi dalam
bentuk cabang atau divisi dari perusahaan asuransi konvensional dapat beroperasi
dengan penyisihan modal minimal Rp. 2 milyar. Brandts, S. (2004), menjelaskan risiko
yang potensinya mungkin terjadi dapat menimbulkan kerugian pada suatu
perusahaan. Risiko timbul karena adanya unsur ketidakpastian dimasa mendatang,
adanya penyimpangan, terjadinya sesuatu yang tidak diharapkan, atau tidak terjadinya
sesuatu yang diharapkan. Terdapat 2 (dua) jenis risiko bisnis yang dapat dihadapi oleh
perusahaan, yaitu a) Risiko non-entrepreneurial, merupakan risiko yang bukan
diakibatkan oleh keputusan kewirausahaan yang diambil perusahaan. Contohnya
bencana alam, kebakaran. b) Risiko Entrepreneurial, merupakan risiko yang
diakibatkan oleh keputusan kewirausahaan yang diambil perusahaan. Contohnya
risiko membangun gedung baru, risiko meluncurkan produk baru, risiko menerapkan
sistem IT baru.

43 | P a g e

Manajemen risiko erat kaitannya dengan kelangsungan usaha perusahaan.

Manajemen risiko adalah suatu rangkaian prosedur dan metodologi yang digunakan
untuk mengidentifikasi, mengukur, memonitor dan mengontrol risiko yang timbul
dari bisnis operasional suatu perusahaan. Manajemen risiko ditujukan untuk
memastikan kesinambungan, profitabilitas dan pertumbuhan usaha sejalan dengan
visi dan misi perusahaan. Strategi pengendalian dan pengelolaan risiko usaha
memerlukan langkah-langkah antara lain a) Identifikasi dan pembuatan peta risiko
(risk mapping), b) Kuantifikasi dan pengukuran risiko (risk measurement and
assessment), c) Penanganan risiko (risk threatment), d) Kebijakan manajemen risiko.
Peran Business Continuity Plan bertujuan agar bisnis asuransi bisa tetap
beroperasi optimal meskipun ada gangguan dan mampu menyelamatkan sistem
informasi terhadap berbagai bentuk gangguan. Business Continuity Plan mampu
melakukan proses secara manual dan otomatis yang dirancang untuk mengurangi
ancaman terhadap fungsi-fungsi operasional dan IT perusahaan asuransi. Continuity
Plan dipersiapkan untuk menyusun langkah-langkah penyelamatan (recovery) terhadap
fasilitas IT dan sistem informasi perusahaan.
2. Metode Business Impact Analysis (BIA) Pada Industri Asuransi
Bazzarello, D., Crielaard, B., Piacenza, F. and Soprano, A. (2006), menjelaskan
beberapa hal yang harus diperhatikan oleh manajer risiko dalam menilai suatu risiko
asuransi adalah a) Exposure, merupakan risiko kerugian maksimum yang harus
dihadapi apabila terjadi suatu kejadian terburuk. b) Volatility, semakin bervariasi hasil
yang akan terjadi pada masa yang akan datang, maka semakin besar risikonya.
c) Probability, merupakan kemungkinan terwujudnya kejadian yang mengandung
risiko. Semakin besar probabilitas dari kejadian berisiko, maka semakin besar
risikonya. d) Severity, berbeda dengan exposure yang menekankan pada kerugian
maksimum, severity menekankan pada kerugian yang sekiranya akan dialami. e) Time
Horizon, semakin lama jangka waktu suatu investasi, maka tingkat risiko akan
semakin besar. f) Correlation, jika risiko yang dihadapi saling berhubungan, maka
risiko yang dihadapi perusahaan akan semakin besar. g) Capital, perusahaan
menyimpan modal untuk 2 (dua) alasan utama, yaitu untuk memenuhi kebutuhan kas
(cash-flow) dan untuk menutupi kerugian yang tidak diperkirakan sebelumnya akibat
44 | P a g e

exposure risiko asuransi.

Perusahaan dapat menyusun informasi risiko yang efektif, maka terdapat suatu
pendekatan yang integratif dalam menangani berbagai aspek risiko, yaitu Enterprise
Risk Management (ERM). ERM adalah kerangka kerja yang komprehensif dan
integratif untuk mengelola risiko kredit, risiko pasar dan risiko operasional, modal
ekonomi dan transfer risiko dalam upaya memaksimalkan nilai perusahaan. Kerangka
efektifitas kerja ERM terbagi menjadi 4 (empat) tahap, yaitu a) Proses manajemen
risiko dan Sistem Informasi Manajemen (SIM) risiko. b) Sistem Pengendalian
Internal (SPI) yang menyeluruh. c) Kebijakan, prosedur dan penetapan limit.
d) Pengawasan aktif dewan komisaris dan direksi.
Program ERM dapat dijelaskan dari 7 (tujuh) komponen yang harus
dikembangkan dan dihubungkan menjadi satu kesatuan yang terintegrasi, yaitu
meliputi a) Tata kelola perusahaan untuk memastikan bahwa dewan komisaris dan
direksi telah membuat proses organisatoris dan kontrol perusahaan yang tepat untuk
mengukur dan mengelola risiko lintas perusahaan. b) Manajemen lini untuk
mengintegrasikan manajemen risiko kedalam aktifitas penghasil pendapatan di
perusahaan termasuk pengembangan bisnis, manajemen produk dan hubungan
penentuan harga. c) Manajemen portofolio untuk mengumpulkan exposure risiko,
menggabungkan pengaruh diversifikasi dan mengawasi konsentrasi risiko terhadap
batas risiko yang dibuat. d) Pemindahan risiko untuk mengurangi exposure risiko
yang dipandang terlalu tinggi, atau lebih efektif biaya memindahkan ke pihak ketiga
daripada menahannya dalam portofolio risiko perusahaan. e) Analisis risiko untuk
memberikan perangkat pengukuran, pelaporan dan menelusuri pemicu eksternal.
f) Sumber daya data dan teknologi untuk mendukung proses analisis dan pelaporan.
g) Manajemen stakeholder untuk menyampaikan dan melaporkan informasi risiko
perusahaan kepada pada pada stakeholder-nya.
Sadgrove (2005), Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez (2003),
menyatakan Operational Risk merupakan risiko yang berhubungan dengan kegiatan
perusahaan dalam proses produksi maupun operasi. Risiko-risiko operasi yang
dihadapi perusahaan antara lain distribution, logistic, suppliers, kualitas barang dan
jasa, employee issues, fraud, project, natura event, fire, IT. Permasalahan besar yang
45 | P a g e

menyebabkan perusahaan berpikir dan bertindak dalam skala besar harus ditangani
langsung oleh pimpinan perusahaan dan melibatkan rencana strategi perusahaan. Peran
Business Continuity Plan harus mempertimbangkan beberapa faktor yang dapat
memiliki pengaruh bagi perusahaan seperti terhadap pelanggan, yaitu berhubungan
dengan sikap pelanggan yang berubah dan ekspektasi pelanggan yang tumbuh dan sulit
diprediksi dan dapat dianalisis dari tingginya kualitas pelayanan yang siberikan. Jika
pelanggan hanya dapat menerima pelayanan atau produk yang dihasilkan perusahaan,
maka pelanggan akan langsung mengajukan keluhan jika ada kekurangan dari produk
yang ditawarkan dan membandingkan dengan produk yang ditawarkan oleh perusahaan
lain yang dianggap memiliki kelebihan.
Peran Business Continuity Plan terhadap new technology dapat meminimalisir
ancaman operasional dan teknologi. Jika dikelola dengan baik, teknologi dapat
memberikan keuntungan dan membuat perusahaan semakin kompetitif. Bentuk risiko
lain yang dihadapi perusahaan asuransi antara lain stock exchange rule, tax
requirements, environmental legislation, accounting standards, internal controls, ethics,
termasuk juga exchange rate, interest rate, liquidity, profitability, profits, and costs.
Hal-hal yang harus dipersiapkan dalam membuat Business Continuity Plan dan
Contingency Plan adalah 1) memahami Information resource apa yang penting bagi
kebutuhan perusahaan asuransi? Apakah proses bisnis yang tidak berjalan akan
memberikan dampak negatif yang fatal bagi perusahaan?. Setiap proses harus
diperhatikan criticality-nya, dengan indikasi antara lain proses yang berkaitan dengan
nyawa seseorang. Proses akan menyebabkan kerugian finansial yang luar biasa dan
harus mematuhi aturan yang berlaku (sektor keuangan, atau air traffic control). 2) Cost
of recovery versus impact of disruption. 3) Analisis risiko dengan pendekatan kualitatif
dan membuat peringkat seperti tablel dan gambar dibawah ini.
Tabel 1. Klasifikasi Pemeringkat Business Continuity Plan dan Contingency Plan
Klasifikasi

Deskripsi

Critical

Fungsi-fungsi ini tidak bisa bekerja kecuali digantikan dengan fungsi

serupa. Tidak bisa digantikan dengan metode manual.

Vital

Bisa dilakukan secara manual pada rentang waktu yang pendek sekali.
Sebaiknya bisa direstore dalam waktu 5 hari atau kurang.

46 | P a g e

Sensitive

Bisa dilakukan secara manual dalam waktu yang relatif lama, namun
meskipun dilakukan secara manual pasti tetap sulit melakukannya dan
membutuhkan staf lebih banyak

Noncritical

Bisa diinterupsi sampai waktu yang lama, dengan sedikit beban / tidak
ada beban biaya bagi perusahaan.

Cost ($)

Cost of disruption impact

Break even
strategy

Cost of recovery

Gambar 1.
Perhitungan Break Even Strategy dalam Business Continuity Plan

3. Analisis Risiko Teknologi Informasi Pada Risiko Operasional

Sistem IT termasuk dalam operational risk antara lain a) Pencurian komputer.
Kehilangan komputer menyebabkan perusahaan tidak dapat mengelola data. Kehilangan
data berarti juga perusahaan kehilangan data mengenai pelanggan, produksi, keuangan,
dan lain-lain. b) Akses ilegal terhadap data. Hal ini dapat berarti 2 (dua) kemungkinan,
yaitu internal (karyawan) atau external (hacker). c) Virus. Virus merupakan salah satu
masalah yang umum terjadi dalam penggunaan komputer. Virus dapat berasal dari
internet ataupun flashdisk yang terjangkit virus. d) Kegagalan software ataupun
hardware. Survey menunjukkan bahwa software ataupun hardware pada saat instalasi
awal biasanya mengalami kegagalan operasi. e) Kesalahan pengguna. Pengguna
komputer berpotensi dapat melakukan kesalahan seperti tidak sengaja menghapus data.
f) IT Project Failure. IT Project biasanya memiliki kekurangan pada saat awal
implementasi.
Mitigasi Risiko berdasarkan ketentuan penerapan manajemen risiko dalam
penggunaan teknologi informasi pada industri asuransi tetap bertanggungjawab untuk
setiap penerapan manajemen risiko. Perusahaan wajib melakukan mitigasi risiko untuk
47 | P a g e

setiap kelemahan dan/atau pelanggaran kebijakan dan prosedur pengamanan serta

potensi risiko yang dapat mengganggu kelangsungan penyelenggaraan TI yang
digunakan oleh perusahaan, baik yang terjadi di perusahaan asuransi maupun di pihak
penyedia jasa.
Perusahaan asuransi wajib memastikan bahwa risiko ketergantungan pada pihak
penyedia jasa dapat dimitigasi sehingga perusahaan tetap mampu menjalankan bisnisnya
apabila penyedia jasa wanprestasi, pemutusan hubungan atau dalam proses menuju
likuidasi. Mitigasi risiko yang dapat dilakukan oleh perusahaan mencakup:

a)

memastikan bahwa pihak penyedia jasa memiliki BCP sesuai dengan jenis, cakupan dan
kompleksitas aktivitas/jasa yang diberikan; b) secara aktif mendapatkan jaminan
kesiapan BCP milik pihak penyedia jasa seperti pengujian secara berkala atas BCP;
c) memiliki perjanjian penyimpanan source code program (escrow agreement) untuk
aplikasi yang memiliki eksposur risiko tinggi, jika perusahaan tidak memiliki source
code dari program aplikasi yang diselenggarakan oleh pihak penyedia jasa; d) dalam hal
source code tidak dimiliki oleh penyedia jasa maka penyedia jasa harus memberikan
jaminan kepada bank, bahwa kelangsungan aplikasi didukung oleh principal
pengembang software. Menjamin fungsi dan efektifivitas BCP, perusahaan wajib
menyusun dan melakukan pengujian BCP secara berkala, lengkap dan mencakup hal-hal
yang signifikan yang didasarkan atas jenis, cakupan dan kompleksitas aktivitas atau
kegiatan yang dilakukan oleh penyedia jasa. Disamping itu, pihak penyedia jasa harus
melakukan pengujian sendiri untuk sistem atau fasilitas TI maupun pemrosesan yang
diselenggarakan tanpa melibatkan pihak perusahaan. Hasil pengujian pihak penyedia
jasa tersebut digunakan perusahaan untuk mengkinikan BCP yang dimiliki perusahaan.
Solusi atau langkah-langkah dalam menghadapi risiko IT antara lain a)
Menanggulangi pencurian komputer. Menghadapi pencurian komputer perusahaan dapat
mengantisipasinya dengan beberapa cara. Pertama dengan memberikan pengaman pada
komputer seperti memberikan label pada komputer dan memasang sensor pengaman
pada pintu masuk perusahaan, serta menempatkan tenaga keamanan untuk melakukan
kontrol secara berkala. Kedua dengan memasang alat pelacak posisi komputer ketika
mengalami pencurian. b) Akses ilegal terhadap komputer. Terdapat beberapa cara
menghindari akses ilegal terhadap komputer perusahaan, meliputi i) Menggunakan
firewall. Penggunaan firewall dapat mengantisipasi akses illegal terhadap data di dalam
48 | P a g e

komputer ketika komputer terhubung dengan jaringan. ii) Membatasi komputer yang
memiliki removable drives seperti USB port. iii) Membatasi akses terhadap beberapa
data yang mengandung rahasia perusahaan dengan menggunakan password. iv)
Membatasi jumlah komputer yang terhubung dengan internet. Terutama komputer yang
menyimpan data-data penting perusahaan. Hal ini untuk menghindari akses illegal oleh
hacker. v) Closed user grouping. Untuk mengirimkan data ke user tertentu melalui
telephone line. vi) Password. Sebaiknya perusahaan melindungi data-data penting
dengan menggunakan password. Kata-kata yang digunakan sebagai password sebaiknya
unik sehingga tidak mudah dipecahkan serta secara berkala dilakukan penggantian
password yaitu a) Virus. Virus merupakan salah satu masalah yang umum terjadi dalam
menggunakan komputer. Jika komputer terinfeksi virus, perusahaan dapat menggunakan
antivirus yang terus diupdate secara berkala. Virus merupakan hal berbahaya yang dapat
merusak sistem komputer. Virus juga dapat menginfeksi komputer dari berbagai saluran
seperti USB ataupun internet. Sehingga perusahaan harus memberikan perhatian lebih
terhadap pengamanan virus komputer. b) Kegagalan software ataupun hardware. Untuk
menghindari Kegagalan software ataupun hardware maka sebaiknya perusahaan
membeli software atau hardware yang asli dan bergaransi. Sehingga apabila terdapat
masalah maka perusahaan dapat mengkalim masalah tersebut. c) Kesalahan pengguna.
Untuk menghindari kesalahan pengguna maka sebaiknya perusahaan mengadakan
pelatihan mengenai cara penggunaan komputer. Sehingga dapat meminimalisir
kesalahan oleh pengguna. d) IT Project Failure. Menerapkan sistem control yang ketat
untuk menghindari kesalahan. e) Meminimalisir kehilangan data. Untuk meminimalisir
kehilangan data, maka perusahaan dapat melakukan backup terhadap data. Sebaiknya
tempat penyimpanan data ini ditempatkan pada lokasi yang minim risiko, seperti risiko
kebakaran, banjir maupun pencurian. f) Spyware. Spyware dapat menginfeksi komputer
ketika kita terhubung dengan internet. Spyware dapat merugikan perusahaan karena
dapat mengirim data aktifitas yang dilakukan oleh karyawan saat menggunakan
komputer. g) Scam, merupakan email oleh oknum tertentu yang meminta pengguna
komputer memberikan data-data pribadi mereka yang berhubungan dengan akun bank
mereka. h) Software piracy. Penggunaan software bajakan dapat merugikan perusahaan
karena melanggar hokum. Mereka dapat terjerat UU No.19 tahun 2002 mengenai
Perlindungan Hak Cipta.
49 | P a g e

Upaya selection of recovery strategies adalah 1) Tentukan cara/strategi untuk

melakukan recovery fasilitas IT, 2) Tentukan aktifitas bisnis apa saja yang harus
dilakukan selama fasilitas IT sedang di-recover. Asuransi pada perencanaannya sendiri
tidak bisa diasuransikan tetapi kalau ada kecelakaan baru bisa diasuransikan. Namun
dengan adanya rencana yang memadai, maka biaya premi asuransinya biasanya lebih
kecil. Mainframe atau fasilitas jaringan yang besar, ada beberapa kemungkinan strategi:
a) duplicate information processing facilities, b) hot sites: fully operational offsite data
processing facility equipped with hardwar & software in event of a disaster. Ini penting
untuk aplikasi yang critical. Namun biayanya sangat mahal, c) warm sites: fasilitas
alternatif yang memiliki sarana yang lebih sedikit. Misalnya ada listrik, jaringan,
telepon, meja-meja, printer, tetapi tanpa komputer yang mahal. Kadang-kadang ada
komputer, tetapi less processing power, d) cold sites: fasilitas yang memiliki prasarana
penunjang untuk operasi komputer, misalnya ruangan yang memiliki listrik dan AC.
Tapi belum ada komputernya, namun siap dipasangi computer dan e) perjanjian dengan
perusahaan lain.
Strategi telekomunikasi yang berjalan adalah network redundancy, alternative
routing, long haul network diversity, protection of local loop dan voice recovery.
Sedangkan Strategi business continuity antara lain a) tidak melakukan apa-apa sampai
recovery facility sudah on, b) melakukan prosedur manual, c) memfokuskan diri pada
proses yang penting saja: customer, products, d) menggunakan PC untuk data capture
(pencatatan saja) dengan pengolahan minimal. Pengolahan baru dilakukan setelah
recovery facility sudah bekerja. Saat membangun Business Continuity Plan dan
Contingency Plan, harus melibatkan seluruh perusahaan, tidak hanya bagian IT saja.
Kalau tidak ada Business Continuity Plan lapisan perusahaan, maka Business Continuity
Plan dari sistem informasi harus menyertakan bagian lain yang terkait dengan Business
Continuity Plan. Hal lain yang harus dipertimbangkan dalam membuat Business
Continuity Plan adalah a) staf-staf yang diperlukan untuk menjalankan fungsi bisnis
yang penting saat terjadi bencana, b) konfigurasi gedung, meja, kursi, telepon, dan lain
sebaginya.
Business Continuity Plan dan Contingency Plan harus menyepakati tahapan a)
tujuan dari setiap tahap recovery, b) fasilitas alternative, c) penanggung jawab, d)
sumber daya yang akan disediakan dan e) prioritas dan jadual aktifitas. Komponen
50 | P a g e

Business Continuity Plan mencakup a) siapa penanggung jawab utama, b) backup dari
supplies yang dibutuhkan, c) pengorganisasian dan penanggung jawab setiap aktifitas,
d) jaringan computer dan e) asuransi.
4. Tanggung Jawab Penilaian Pada Business Continuity Plan
Terdapat tim yang bertugas melakukan fungsi tertentu dalam Business
Continuity Plan, dan dipimpin seorang team leader. Tim terdiri dari 1) Emergency
action team, tugas utamanya adalah seperti pemadam kebakaran, dan bertugas untuk
menyelamatkan jiwa. 2) Damage assessment team, harus bisa mengkalkulasi dampak
bencana dan bisa memperkirakan kapan lokasi bisa kembali normal. 3) Emergency
management team, berkewajiban mengkoordinasikan aktifitas tim-tim lainnya,
melakukan tindakan pengambilan keputusan, apakah akan menjalankan Business
Continuity Plan atau tidak dan termasuk menangani masalah hukum dan relasi publik.
4) Off site strorage team, packing dan shipping dari media dan merekam ke offsite
facility. 5) Software team, restore operation system. 6) Applications team, untuk
melakukan recovery site dan menginstall kembali aplikasi komputer. 7) Emergency
operations team, shift operators and shift supervisors yang harus menjalankan recovery
site (alternate facility). 8) Salvage team, melakukan analisis lebih mendalam terhadap
dampak bencana, menentukan apakah akan memperbaiki lokasi yang kena bencana, atau
melakukan proses relokasi dan mengisi form klaim asuransi. 9) Relocation team,
mengembalikan dari recovery site ke lokasi awal atau ke lokasi baru yang permanen.

5. Kesimpulan
Perusahaan perlu menerapkan peraturan mengenai IT dan harus dipahami oleh
seluruh karyawan. Peraturan ini harus ditetapkan oleh top management dan sebaiknya
meliputi a) Garis dan tanggung jawab mengenai sistem IT, b) Perawatan data dan
backup sistem, c) Prosedur penerapan antivirus dan spyware, d) Akses terhadap internal
data, e) Penggunaan internet oleh karyawan dan f) Kebijakan mengenai e-mail pribadi.
Kebijakan ini sebaiknya didukung dengan petunjuk melakukan prosedur secara tertulis
untuk memudahkan implementasi. Bussiness Continuity Plan (BCP) dan Contigency
Plan (CP) sangat diperlukan untuk menghadapi keadaan tidak terduga sehingga dapat
meminimalisir kerugian perusahaan, seperti virus dan denial of service (DoS) yang
51 | P a g e

merupakan ancaman yang tidak dianggap bencana tetapi tetap dianggap sebagai high
risk.
Bussiness

Continuity Plan

(BCP)

dan

Contigency

Plan

(CP)

harus

mempertimbangkan strategi short-term dan strategi long-term. Misalnya untuk short

term harus ada fasilitas IT alternatif, sedangkan long-term strategi misalnya menyiapkan
fasilitas IT yang permanen guna mengantisipasi kasus terburuk.

Daftar Pustaka
Anonim, 2008. Effective Business Continuity Plan. Diakses tanggal 15 Januari 2013 dari
http://events.belgacom.be/ dataatwork/Track_2_1_Bus_Cont.pdf
Bazzarello, D., Crielaard, B., Piacenza, F. and Soprano, A. 2006. Modeling Insurance
Mitigation on Operational Risk Capital. Journal of Operationl Risk. 1(1). pp. 57-65.
Brandts, S. 2004. Operational Risk and Insurance: Quantitative and Qualitative Aspects.
Working Paper.
Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez, 2003. Operational Risk: A
Practicioner's View. The Journal of Risk. pp. 5.
Gondodiyoto, Sanyoto & Henny Hendarti. (2006). Audit Sistem Informasi. Mitra Wancana
Media, Jakarta.
Hanggraeni, Dewi, 2010, Pengelolaan Risiko Usaha. LPFE. Universitas Indonesia.
Leippold, M., and P. Vanini, 2005. The Quantification of Operational Risk. The Journal of
Risk. pp. 8.
Sadgrove, Kit, 2005, Organizational Behavior, International ed. Prentice-Hall, New York.
Ulhaque, Padma dan Ramadhan, 2009. Makalah Pengelolaan Risiko
Pre Empting Fraud & Avoiding IT Disaster. Universitas Indonesia

52 | P a g e

Usaha.