CHAPTER 5

Corporate and IT Governance

Disusun Oleh :

Devina Halim 201850044

Griselda Arianti Fauzi 201850102

Angela Natalia 201850110

Shania Florensa 201850112

PSSI, Senin 10.30, 503

Trisakti School Of Management

Jakarta

2020
WHAT IS IT GOVERNANCE? (Hal. 131)
Tata kelola perusahaan adalah serangkaian proses, kebiasaan, aturan, prosedur,
kebijakan, dan tradisi yang menentukan cara untuk mengarahkan dan
mengendalikan kegiatan manajemen. Tata kelola perusahaan membahas
masalah-masalah seperti :
 Persiapan perusahaan dalam laporan keuangan;
 Memonitor pilihan dari prinsip dan kebijakan akuntansi;
 Pembentukan kontrol internal;
 Mempekerjakan auditor eksternal;
 Manajemen risiko;
 Kebijakan dividen;
 Menominasikan dan memilih orang untuk menjadi dewan direksi.
Ketertarikan pada tata kelola perusahaan telah tumbuh karena skandal akuntansi
yang mengakibatkan kebangkrutan, denda jutaan dolar, dan/ atau hukuman
penjara bagi eksekutif senior di perusahaan seperti: Arthur Endersen, Asosiasii
Komputer, Enron, Hewlett Packard, JP Morgan, Tesco, Tyco, dan Worldeom.
Selain itu, anggota dewan yang bertanggung jawab untuk membayar eksekutif
telah ditantang karena beberapa skandal di mana eksekutif seperti: Philippe
Dauman dari Viacom, Lary Ellison dari Oracle, dll. Eksekutif harus memiliki
karakter dan integritas untuk menghindari perilaku yang tidak pantas.
Tata kelola TI adalah kerangka kerja yang memastikan bahwa keputusan
teknologi informasi dibuat dengan mempertimbangkan tujuan dan sasaran
bisnis. Tata kelola meliputi mendefinisikan siapa yang membuat keputusan;
siapa yang bertanggung jawab atas hasil; dan bagaimana hasil keputusan
dikomunikasuikan, diukur, dan dipantau.
Eksekutif dan dewan direksi organisasi bertanggung jawab atas tata kelola.
Mereka melaksanakan tugas ini melalui komite yang mengawasi bidang-bidang
seperti audit, kompensasi, dan akuisisi.
2 Tujuan utama tata kelola TI yang efektif adalah : (Hal. 132)
1) Memastikan bahwa suatu organisasi mencapai good value dari
investasinya dalam TI;
2) Memitigasi risiko terkait TI.
Tata kelola TI mirip dengan manajemen portofolio, di mana seorang manajer
menimbang tingkat pengembalian dan menyeimbangkannya dengan risiko yang
terkait dengan setiap investasi. Manajer kemudian membuat pilihan untuk
mencapai tingkat pengembalian yang baik pada tngkat risiko yang dapat
diterima.

Ensuring That an Organization Achieves Good Value from Its Investment in IT

(Hal.133)
Pada waktu itu, TI dipandang hanya sebagai fungsi pendukung yang terpisah
dan berbeda dari bisnis. Namun, saat ini, infrastruktur dan aplikasi TI sangat
terintegrasi dengan berbagai lini dan fungsi bisnis sehingga banyak bagian
organisasi tidak dapat beroperasi tanpa TI.
Jika TI merupakan bagian integral dari bisnis dan manajer bisnis harus
mengambil peran kunci, maka sarana yang digunakan manajer untuk
melepaskan tanggung jawab mereka dengan tata kelola yang diterapkan pada
manajemen TI. Proses perencanaan strategis TI yang efektif, dapat membantu
organisasi mencapai good value dari investasi TI dengan memastikan
keselarasan yang erat antara tujuan dan sasaran bisnis serta sasaran proyek TI.
Hanya proyek TI yang konsisten dengan strategi bisnis yang harus
dipertimbangkan untuk penempatan staf dan pendanaan. Proyek-proyek tersebut
akan memberikan sasaran strategi organisasi, apakah akan meningkatkan
pendapatan, penurunan biaya, peningkatan layanan pelanggan, peningkatan
pangsa pasar.
Agar proyek TI selaras dengan sasaran bisnis dan dikelola dengan tepat,
didanai, dan dieksekusi, proyek tersebut harus memberikan hasil bisnis yang
diharapkan tepat waktu dan sesuai anggaran.
Mitigating IT-Related Risks (Hal. 134)
Risiko terkait TI mencakup kegagalan sistem dan proses TI untuk memenugi
beragam perraturan dan regulasi pemerintah negara bagian dan federal, risiko
keamanan dari peretas dan serangan penolakan layanan, risiko privasi dari
pencurian data dan identitas, dan acaman gangguan binis karena bencana /
pemadaman.
Pengawasan internal dan akuntabilitas manajemen yang baik harus
tertanam dalam organisasi untuk menghindari risiko terkait TI.
(Hal. 135)
Internal Control adalah proses yang ditetapkan oleh dewan direksi, manajer, dan
sistem TI organisasi untuk memberikan jaminan yang masuk akal untuk
efektivitas dan efisiensi operasi, keandalan pelaporan keuangan, dan kepatuhan
terhadap undang-undang dan peraturan yang berlaku. Pemisahan tugas sangat
penting untuk setiap proses yang melibatkan penanganan transaksi keuangan
sehingga penipuan memerlukan kolusi dua atau lebih pihak.
(Hal. 136)
Ketika merancang sistem informasi piutang, misalnya, pemisahan tugas
menentukan bahwa Anda memisahkan tanggung jawab untuk penerimaan
pembayaran pelanggan, menyetujui penghapusan, menyetor uang tunai, dan
merekonsiliasi laporan bank.
Kontrol internal memainkan peran kunci dalam mencegah dan mendeteksi
penipuan serta melindungi sumber daya organisasi. Pemisahaan tugas yang
tepat sering ditinjau selama audit operasi bisnis.
MENGAPA MANAJER HARUS MEMAHAMI TATA KELOLA (Hal. 137)
Manajer yang sukses mencari peluang untuk memberikan manfaat
potensial yang dijanjikan oleh TI. Namun, inisiatif terkait TI jarang sederhana
dan langsung. Mereka dipengaruhi oleh banyak faktor: visi, misi, dan nilai-nilai
organisasi; etika dan nilai-nilai masyarakat dan organisasi; segudang hukum,
peraturan, dan kebijakan; pedoman dan praktik industri; perubahan kebutuhan
bisnis; dan nilai-nilai pemangku kepentingan TI dan pemilik perusahaan. Dalam
organisasi yang memiliki tata kelola TI yang baik, organisasi TI lebih selaras
dan terintegrasi dengan bisnis, risiko dan biaya berkurang, dan TI membantu
perusahaan memperoleh keuntungan bisnis. Organisasi di mana tata kelola TI
kurang memiliki arahan dan kepemimpinan yang tidak memadai, kurangnya
akuntabilitas, dan tidak ada pengukuran hasil keputusan terkait TI.
KERANGKA KERJA TATA KELOLA (Hal. 137 – 139)
Organisasi TI dapat menggunakan salah satu dari sejumlah kerangka
kerja yang terbukti sebagai dasar untuk mengembangkan model tata kelola TI
mereka sendiri. Organisasi TI sering mengadopsi salah satu kerangka kerja ini
untuk mendapatkan "lompatan awal" dalam meningkatkan proses terkait TI
yang menjadi perhatian utama mereka. Pendekatan pemecahan masalah ‘Plan-
Do-Check-Act’ digunakan dalam peningkatan kualitas dan dapat meningkatkan
proses terkait IT.
Dua kerangka kerja paling terkenal adalah ITIL dan COBIT. ITIL
memberikan praktik terbaik dan kriteria untuk layanan TI yang efektif seperti
bantuan keamanan jaringan, dan operasi TI. ITIL menganjurkan agar layanan TI
diselaraskan dengan tujuan bisnis dan mendukung proses bisnis inti. COBIT
menyediakan pedoman untuk 37 proses yang menjangkau berbagai kegiatan
terkait TI. COBIT adalah alat yang berguna untuk meningkatkan kualitas dan
terukur tata kelola TI atau menerapkan sistem kontrol untuk perbaikan.
IT Infrastructure Library (ITIL) (Hal. 139)
ITIL adalah seperangkat pedoman yang digunakan untuk
menstandarisasi, mengintegrasikan, dan mengelola pengiriman layanan TI. ITIL
menyediakan kerangka kerja yang terbukti dan praktis untuk merencanakan dan
memberikan layanan operasional TI berdasarkan sintesis dari para praktisi
internasional. Prinsip utama ITIL adalah bahwa penyedia layanan TI harus
memiliki pemahaman yang jelas tentang prioritas bisnis pelanggan dan peran
yang dimainkan layanan TI dalam memenuhi tujuan-tujuan ini.
ITIL diatur dalam siklus hidup 5 fase yaitu:
1. Strategi layanan melibatkan pemahaman siapa pelanggan TI, penawaran
layanan yang diperlukan untuk memenuhi kebutuhan mereka, dan
kemampuan dan sumber daya TI yang diperlukan untuk mengembangkan
dan berhasil melaksanakan penawaran ini.
2. Desain layanan memastikan bahwa layanan baru dan / atau yang diubah
dirancang secara efektif untuk memenuhi harapan pelanggan.
3. Transisi layanan melibatkan mengikuti desain untuk membangun,
menguji, dan beralih ke produksi layanan yang akan memenuhi harapan
pelanggan.
4. Operasi layanan memberikan layanan secara berkelanjutan sambil
memantau kualitas layanan secara keseluruhan.
5. Peningkatan proses yang berkesinambungan menyediakan sarana bagi
organisasi TI untuk mengukur dan meningkatkan tingkat layanan,
teknologi, dan efisiensi dan efektivitas proses yang digunakan dalam
manajemen layanan secara keseluruhan.
Control Objectives for Information and Related Technology (COBIT) (Hal. 140
– 141)
COBIT adalah seperangkat pedoman yang tujuannya adalah untuk
menyelaraskan sumber daya dan proses TI dengan tujuan bisnis, standar
kualitas, kendali moneter, dan kebutuhan keamanan. Pedoman ini dikeluarkan
oleh IT Governance Institute. Mereka menyediakan metrik, praktik terbaik, dan
faktor penentu keberhasilan untuk proses terkait IT COBIT-defined.
Set awal pedoman COBIT telah disempurnakan dan ditingkatkan
beberapa kali, versi saat ini 5.0, dirilis pada 2012. IT Governance Institute,
melalui COBIT Steering Commitie, berniat untuk terus mengembangkan
pedoman. COBIT 5.0, mengusulkan 5 prinsip yang memandu tata kelola TI:
1. Memenuhi kebutuhan pemangku kepentingan;
2. Mencakup perusahaan end-to-end;
3. Menerapkan kerangka kerja tunggal yang terintegrasi;
4. Memungkinkan pendekatan holistik; dan
5. Memisahkan tata kelola dari manajemen.
Proses COBIT 5.0 dikelompokkan menjadi dua domain dan 5 area
utama: (Hal. 141)
Domain Area Proses
- Tetapkan dan pertahankan kerangka
kerja tata kelola
Mengevaluasi, - Pastikan optimasi nilai
Governance mengarahkan, - Pastikan optimisasi risiko
memantau - Pastikan optimisasi sumber daya
- Pastikan transparansi pemangku
kepentingan
Managemen Perencanaan - Tentukan kerangka kerja manajemen
t untuk TI
- Kelola strategi
- Kelola arsitektur perusahaan
- Kelola inovasi
- Kelola portofolio
- Kelola anggaran dan biaya
- Kelola sumber daya manusia
- Kelola hubungan
- Kelola perjanjian layanan
- Kelola pemasok
- Kelola kualitas
 - Kelola risiko
- Kelola keamanan

- Kelola program dan proyek

- Tetapkan persyaratan
- Identifikasi dan bangun solusi
- Kelola ketersediaan dan kapasitas
- Kelola pemberdayaan perubahan
organisasi
Managemen
Pembangunan - Memberikan layanan dan dukungan
t
- Kelola perubahan
- Kelola perubahan penerimaan dan
transisi
- Kelola pengetahuan
- Kelola asset
- Kelola konfigurasi
- Kelola operasi
- Kelola permintaan dan insiden
layanan
Managemen
Menjalankan - Kelola masalah
t
- Kelola kesinambungan
- Kelola layanan keamanan
- Kelola kontrol proses bisnis
- Mengukur kinerja dan kesesuaian
Managemen - Ukur sistem kontrol internal
Memantau
t - Ukur kepatuhan dengan persyaratan
eksternal
 Untuk setiap proses COBIT, "tingkat kematangan" proses manajemen
dapat dievaluasi pada skala 0 hingga 5. Skala tersebut secara kasar didefinisikan
sebagai berikut: (Hal. 141 – 142)
Skala Definisi
Proses Manajemen yang tidak ada sama sekali tidak
0
diterapkan
Inisial / ad hoc-Proses bersifat ad hoc dan tidak
1
terorganisir
2 Berulang tapi intuitif-Proses mengikuti pola biasa
Proses-Ditentukan didokumentasikan dan
3
dikomunikasikan
4 Dikelola dan terukur-Proses dipantau dan diukur
5 Praktik Terbaik yang Dioptimalkan diikuti dan otomatis

Organisasi dapat menggunakan skala untuk setiap proses untuk

mengevaluasi sejumlah item: (Hal. 142)
 Tentukan tingkat kematangan organisasi saat ini
 Tetapkan tingkat kematangan yang harus dicapai organisasi
 Identifikasi tingkat kematangan yang dianggap praktik terbaik dalam
industri mereka
 Identifikasi tingkat kematangan yang dicapai oleh pesaing terkuat mereka
 Organisasi kemudian dapat menggunakan informasi ini untuk memilih
proses mana yang diprioritaskan untuk perbaikan dan yang dapat diatasi
kemudian

Menggunakan PDCA dan Kerangka Kerja Tata Kelola TI ( Hal. 142-143 )

Menggunakan PDCA dan Kerangka Kerja Tata Kelola TI Model Plan-Do-
Check-Act (PDCA), ditunjukkan pada Gambar 5-5, adalah metode yang
terbukti dapat diterapkan pada proses bertarget spesifik yang telah diidentifikasi
untuk perbaikan. Setiap langkah dalam model memiliki tujuan spesifik
berikut:
  Langkah Rencana mengharuskan tim perbaikan untuk mengidentifikasi
area target perbaikan, menganalisis cara kerja saat ini, dan
mengidentifikasi peluang untuk perbaikan.
 Pada langkah Lakukan, perubahan yang diputuskan dalam langkah
Rencana dilaksanakan, seringkali berdasarkan uji coba atau terbatas
untuk menilai dampak potensial dari perubahan yang diusulkan.
 Pada langkah Periksa, hasil perubahan diukur. Apakah hasilnya tercapai?
Adakah efek samping negatif yang tidak terduga? Apakah perbaikan
lebih lanjut diperlukan?
 Pada langkah Undang-undang, tim perbaikan mempertimbangkan apakah
layak melanjutkan proses dengan perubahan yang baru-baru ini
diterapkan. Jika perubahan terlalu rumit bagi orang untuk diikuti atau
jika menyebabkan perbaikan yang tidak signifikan, maka perubahan
tersebut dapat dibatalkan. Pada titik ini tim akan kembali ke langkah Do
dan memulai dari awal. Dengan demikian, penyelesaian satu siklus
peningkatan mengalir ke awal siklus berikutnya.

PERENCANAAN KONTINUITAS BISNIS ( Hal. 144-147 )

Bencana adalah gangguan yang tidak direncanakan dari operasi bisnis normal
untuk periode waktu yang tidak dapat diterima. Sayangnya, daftar peristiwa
yang berpotensi mengganggu bisnis tampaknya semakin panjang (lihat Tabel 5-
5). Apakah itu mempengaruhi area geografis yang luas dan ribuan organisasi
atau terbatas pada satu lantai bangunan satu organisasi, bencana dapat
mengakibatkan banyak konsekuensi negatif:
 Kehilangan staf karena kematian atau cedera
 Tidak ada staf karena terganggunya kemampuan atau kemauan mereka
untuk bepergian
  Efek psikologis yang merugikan pada staf, termasuk stres dan
demoralisasi
 Kerusakan bangunan, peralatan, bahan baku, dan produk jadi
 Tidak mampu menjalankan proses yang peka terhadap waktu seperti
pemrosesan pesanan, penggajian, hutang dagang, piutang, dan kontrol
inventaris.
 Kehilangan kemampuan pemrosesan data.
 Kehilangan komunikasi suara dan data.
 Kehilangan catatan elektronik dan manual yang penting.
 Gangguan terhadap pelanggan dan organisasi yang bergantung pada
kerusakan dan meningkatkan kesulitan dalam meminjam uang
Process for Developing a Disaster Recovery Plan (Hal. 148)
Identify Vital Records and Data (Hal. 148)
Setiap perusahaan memiliki kunci catatan elektronik dan data cetak yang
penting untuk mengelola dan mengendalikan arus kas dan aset berwujud lainnya
dari organisasi. Catatan-catatan ini termasuk data pelanggan, kontrak, informasi
pesanan saat ini, data hutang dagang, data piutang dagang, catatan persediaan,
dan informasi penggajian. Perusahaan harus mengidentifikasi catatan dan data
penting dan kemudian menentukan di mana dan bagaimana mereka disimpan
dan didukung. Kemudian, dengan mempertimbangkan berbagai skenario
bencana, perusahaan harus menilai kecukupan rencana penyimpanan data saat
ini.
Salah satu pendekatan yang buruk adalah meminta karyawan membawa salinan
cadangan data vital ke rumah pada akhir hari kerja. Data seperti itu mudah
dicuri atau hilang. Pendekatan buruk lainnya adalah menyimpan data cadangan
di sebuah bangunan di seberang jalan: bencana yang memengaruhi area lokal
dapat menghapus data primer dan data cadangan.
Pendekatan lain direkomendasikan dan diimplementasikan secara luas.
Misalnya, karena database online diperbarui, perusahaan dapat memiliki
perubahan ini tercermin pada database cadangan yang jaraknya ratusan mil.
Pendekatan ini mahal, tetapi menyediakan akses cepat ke data saat ini jika
terjadi bencana. Pendekatan lain adalah menyalin basis data online setiap
malam ke perangkat penyimpanan magnetik volume tinggi yang murah dan
mengirimkannya di luar lokasi ke fasilitas penyimpanan data di negara bagian
lain. Solusi berbiaya rendah ini meminimalkan potensi kehilangan lebih dari
satu hari data.
Conduct a Business Impact Analysis (Hal.148)
Bahkan dalam organisasi yang sama, berbagai bagian bisnis memiliki
kebutuhan yang berbeda. Fungsi yang mengendalikan arus kas perusahaan dan
menyediakan layanan penting bagi pelanggan dianggap yang paling kritis. Cara
yang berguna untuk mengklasifikasikan fungsi bisnis ditunjukkan pada tabel
berikut:
Business Function Recovery Time Example
Classification Objective
AAA Fungsi bisnis ini sangat Order Processing
penting untuk operasi
perusahaan dan dapat
tidak tersedia selama
lebih dari beberapa
menit tanpa
menyebabkan masalah
parah.
AA Fungsi bisnis ini sangat Accounts Payable
penting untuk operasi Accounts Receivable
perusahaan dan dapat
tidak tersedia selama
 lebih dari beberapa jam
tanpa menggunakan
masalah parah.
A Fungsi bisnis ini, Payroll
meskipun signifikan,
dapat tidak tersedia
hingga beberapa hari
tanpa menyebabkan
masalah parah.
B Fungsi bisnis ini dapat Employee Recruiting
tidak tersedia selama
beberapa hari di saat
terjadi kerusakan
besar tanpa
menyebabkan masalah
besar.

Klasifikasi ini didasarkan pada pengidentifikasian dan kuantifikasi dampak

keuangan, operasional, dan layanan yang terkait dengan fungsi bisnis menjadi
tidak dapat dioperasikan. Penting untuk analisis ini adalah menentukan seberapa
cepat dampak akan dirasakan. Waktu di mana fungsi bisnis harus dipulihkan
sebelum organisasi menderita kerusakan serius disebut tujuan waktu pemulihan.
Berdasarkan data ini, setiap fungsi bisnis dapat ditempatkan dalam kategori
yang sesuai. Pendekatan triase untuk perencanaan pemulihan bencana ini
memungkinkan orang untuk fokus dalam memenuhi kebutuhan pemulihan
fungsi yang paling penting.

Define Resources and Actions Required to Recover (Hal. 148)

Untuk semua fungsi bisnis prioritas AAA, dokumentasikan semua sumber daya
yang diperlukan untuk memulihkan fungsi bisnis dalam sasaran waktu
pemulihan: jumlah orang, telepon, file, meja, ruang kantor, faks, komputer,
perangkat lunak, printer, dan sebagainya . Buat daftar notifikasi yang
mengidentifikasi siapa yang perlu diberitahu jika terjadi bencana, termasuk key
suppliers, customers, dan anggota media.

Fitur khusus yang perlu dipertimbangkan untuk dimasukkan dalam pemulihan

fungsi bisnis prioritas AAA meliputi yang berikut:
 Penggunaan generator darurat untuk menggantikan layanan utilitas
publik yang hilang.
 Kemungkinan berencana untuk memindahkan operasi ke situs lain atau
menjalankan peralatan TI dari fasilitas cadangan. Banyak organisasi
membayar untuk menggunakan situs pengganti untuk menampung
karyawan, menyimpan file dan data cadangan mereka, dan
mengoperasikan peralatan cadangan jika karyawan tidak dapat kembali
ke tempat kerja.
 Pertimbangan cadangan gudang, produksi, dan kemampuan distribusi
untuk memungkinkan perusahaan untuk terus membuat produknya dan
membawanya ke pasar.
 Kemampuan beralih cerdas dan jaringan cadangan untuk komunikasi
suara dan data. Sakelar cerdas dapat mengenali ketika sebagian jaringan
telah hilang dan secara otomatis mengalihkan komunikasi suara dan data
melalui jalur komunikasi alternatif ke lokasi yang masih berfungsi.
Ketika semua tugas sebelumnya telah selesai untuk fungsi bisnis prioritas AAA,
ulangi proses untuk semua fungsi bisnis prioritas AA dan kemudian untuk
semua fungsi bisnis prioritas A.

Disaster Recovery as a Service (DRaaS) adalah replikasi dan hosting dari server
fisik atau virtual dan perangkat keras dan perangkat lunak lain yang diperlukan
oleh penyedia layanan pihak ketiga untuk memberikan layanan TI jika terjadi
kerusakan. Banyak organisasi kecil hingga menengah menerapkan strategi
DRaas untuk menghindari biaya dan upaya yang terkait dengan membangun
dan memelihara lingkungan pemulihan bencana (DR) di luar lokasi mereka
sendiri. Ada dua risiko dengan pendekatan ini. Pertama, organisasi harus
percaya bahwa penyedia layanan DRaaS dapat benar-benar menyediakan
layanan TI jika terjadi bencana dan memenuhi tujuan waktu pemulihan yang
ditetapkan. Kedua, organisasi harus percaya bahwa penyedia layanan akan
memiliki kapasitas untuk menyediakan layanan DR untuk semua kliennya jika
terjadi bencana luas seperti badai atau gempa bumi. Penyedia layanan DRaaS
cenderung memprioritaskan klien yang lebih besar yang menandatangani
kontrak yang lebih menguntungkan, sehingga perusahaan yang lebih kecil
mungkin menemukan bahwa mereka harus menunggu lebih lama untuk sistem
mereka dipulihkan.

Define Emergency Procedures (Hal. 150)

Sedikit perencanaan dan praktik prosedur semacam itu dapat meminimalkan
hilangnya nyawa dan cedera serta mengurangi dampak pada bisnis dan
operasinya. Yang terbaik adalah mengembangkan rencana-rencana ini bersama
dengan para responden pertama yang profesional seperti departemen pemadam
kebakaran, departemen kepolisian, dan organisasi pertahanan sipil. Sedapat
mungkin, proses pencadangan komputer, data, dan peralatan harus dipicu secara
otomatis atau dengan sedikit intervensi manusia. Misalnya, file server harus
secara otomatis mendeteksi bahwa sumber daya utama telah hilang sehingga
peralatan dapat berjalan dengan baterai atau sumber daya alternatif. Deteksi ini
harus memicu prosedur otomatis untuk membuat cadangan file kunci melalui
jaringan ke server yang berlokasi di tempat lain.
Identify and Train Disaster Recovery Teams (Hal. 150)
Diperlukan tiga tim pemulihan bencana (kelompok kontrol, tim tanggap
darurat, dan tim pemulihan bisnis). Anggota tim ini harus dipilih dengan
cermat berdasarkan bidang keahlian, pengalaman, dan kemampuan mereka
untuk berfungsi dengan baik di bawah tekanan yang ekstrem. Lebih banyak
anggota harus dipilih dan dilatih daripada yang sebenarnya dibutuhkan, jika
personil hilang atau tidak terjangkau dalam bencana. Untuk alasan yang sama,
bijaksana untuk melatih orang.
Kelompok kontrol memberikan arahan dan kontrol selama bencana dan
beroperasi dari pusat operasi darurat yang aman yang dilengkapi dengan
peralatan komunikasi darurat. Kelompok ini mengumpulkan dan menganalisis
data yang diperlukan untuk membuat keputusan dan mengarahkan pekerjaan
tim tanggap darurat dan tim pemulihan bisnis. Komunikasi harus dijaga antara
kelompok kontrol, tim tanggap darurat, dan tim pemulihan bencana.
Untuk sebagian besar organisasi, tim tanggap darurat termasuk anggota
pemadam kebakaran, departemen kepolisian, dan responden pertama lainnya.
Beberapa organisasi besar memiliki departemen pemadam kebakaran darurat.
Peran mereka adalah untuk membantu menyelamatkan nyawa dan
mengendalikan arus dampak bencana mereka.
Tim pemulihan termasuk karyawan dan spesialis non-karyawan yang menilai
situasi begitu aman untuk melakukannya. Mereka menilai tingkat kerusakan dan
memutuskan apakah atau kapan mungkin aman untuk masuk kembali ke area
kerja yang terkena dampak. Mereka merekomendasikan apakah rencana
pemulihan bencana perlu diberlakukan, tergantung pada dampak bencana atau
insiden tersebut.
Train Employees (Hal 151)
Semua karyawan harus dilatih untuk mengenali dan menanggapi berbagai jenis
peringatan bencana, seperti kebakaran, tornado, pelepasan gas, dan sebagainya.
Karyawan harus tahu apakah akan mengungsi kantor mereka, mencari tempat
berlindung di ruang bawah tanah, tetap di tempat, atau mengambil tindakan lain.
Selain itu, praktik yang baik untuk mengidentifikasi "floor wardens" yang
bertanggung jawab untuk mengevakuasi lantai atau area kerja tertentu. Floor
wardens ini menerima pelatihan tambahan dalam pengendalian kerumunan,
pertolongan pertama, RJP, operasi defibrillator, dan membantu pekerja yang
cacat mengungsi. Mereka memberikan kepemimpinan dan arahan bagi pekerja
lain di saat bencana.

Practice and Update the Plan (Hal 151)

Sangat penting untuk menangkap masalah yang tidak sesuai rencana dan
merevisinya untuk memasukkan solusi. Dengan cara ini, rencana tersebut terus
ditingkatkan untuk menjadi lebih efektif. Sebagai bagian dari pengujian dan
peningkatan rencana pemulihan bencana mereka, organisasi yang memilih
untuk mengimplementasikan solusi DRaaS juga harus bekerja dengan hati-hati
dengan penyedia layanan mereka.
Organisasi berada dalam kondisi perubahan yang konstan, sehingga rencana
tersebut harus terus diperbarui untuk memperhitungkan perubahan seperti
berikut:
 Perubahan personil dan peran mereka dalam organisasi
 Akuisisi, divestasi, dan merger unit organisasi
 Relokasi orang, aset organisasi, dan lokasi tempat acara dilakukan
 Peningkatan perangkat lunak, perangkat keras, dan peralatan lainnya
 Perubahan pemasok dan pelanggan utama
 Perubahan dalam informasi keanggotaan dan kontak untuk tim kontrol,
tim tanggap darurat, dan tim pemulihan bencana