JURNAL ASURANSI DAN MANAJEMEN RISIKO 5-17-2-PB

Download (risk threatment) dan kebijakan manajemen risiko asuransi. Tujuan penulisan untuk mengantisipasi gangguan dan penyelamatan sistem Teknologi...

0 downloads 434 Views 382KB Size
Peran Business Continuity Plan dan Contingency Plan Dalam Meminimalisir Risiko Teknologi Informasi pada Industri Asuransi E. Susy Suhendra1, Teddy Oswari2, Silvy Setiawan3 Dosen Pascasarjana Universitas Gunadarma1, 2 E-mail: [susys, toswari]@staff.gunadarma.ac.id Bendahara Dewan Pengurus AAMAI, Vice President Director PT Reliance3 E-mail : [email protected]

Abstrak Manajemen industri asuransi di Indonesia secara umum merupakan suatu rangkaian proses mengidentifikasi, mengukur, memitigasi dan mengontrol segala bentuk risiko asuransi di perusahaan. Strategi pengendalian dan pengelolaan risiko asuransi di perusahaan dilakukan dengan langkah-langkah identifikasi dan pembuatan peta risiko (risk mapping), kuantifikasi dan pengukuran risiko (risk measurement and assessment), penanganan risiko (risk threatment) dan kebijakan manajemen risiko asuransi. Tujuan penulisan untuk mengantisipasi gangguan dan penyelamatan sistem Teknologi Informasi pada risiko operasional dengan menggunakan metode Business Continuity Plan dan Continuity Plan. Metode Business Continuity Plan dan Continuity Plan yang diterapkan pada perusahaan asuransi perlu secara sfesifik menjelaskan peraturan mengenai IT dan harus dipahami oleh seluruh karyawan. Peraturan ini harus ditetapkan oleh top management dan sebaiknya meliputi garis dan tanggung jawab sistem IT, perawatan data dan backup sistem, prosedur penerapan antivirus dan spyware, akses terhadap internal data, penggunaan internet oleh karyawan, dan kebijakan mengenai e-mail pribadi. Kebijakan ini sebaiknya didukung dengan petunjuk melakukan prosedur secara tertulis untuk memudahkan implementasi dan perlunya disusun Bussiness Continuity Plan dan Contigency Plan untuk menghadapi keadaan tidak terduga sehingga dapat meminimalisir kerugian operasional pada industri asuransi. Kata kunci: business continuity plan, contingency plan, risiko teknologi informasi

42 | P a g e

1.

Pendahuluan Pada dasarnya, risiko tidak dapat dihindari dari aktivitas bisnis perusahaan, sehingga diperlukan manajemen risiko untuk mengatasi permasalahan ini. Sistem IT pada perusahaan erat kaitannya dengan komputer. Komputer merupakan alat yang digunakan untuk mengolah dan menyimpan data. Kadangkala komputer perusahaan mengalami kegagalan dalam operasi. Hal ini dapat diakibatkan oleh kerusakan software maupun hardware. Kerusakan komputer ini dapat mempengaruhi jalannya bisnis perusahaan karena mereka tidak dapat mengakses data-data penting yang terdapat dalam komputer tersebut. Penelitian yang dilakukan oleh Ernst&Young terhadap CIO (Chief Information Officer) 34% dari mereka mengatakan kerusakan komputer sebagai risiko yang paling signifikan mempengaruhi kelangsungan perusahaan. Selanjutnya menurut survey tersebut 65% dari para CIO juga mengatakan bahwa penting untuk memperbaiki sistem yang rusak tersebut. Jika hal tersebut tidak dilakukan maka dapat memberikan pengaruh yang signifikan terhadap bisnis mereka. Beberapa masalah yang dapat terjadi adalah kehilangan pelanggan, kehilangan nama baik, masalah dalam pengelolaan keuangan, menurunnya kualitas pelayanan terhadap pelanggan dan kehilangan data. Berdasarkan konsep Risk Based Capital (RBC), perusahaan asuransi di Indonesia sebenarnya dapat beroperasi dengan modal yang sangat rendah (di atas Rp. 3 milyar) asal sehat dan memenuhi Risk Based Capital di atas 120%. Asuransi dalam bentuk cabang atau divisi dari perusahaan asuransi konvensional dapat beroperasi dengan penyisihan modal minimal Rp. 2 milyar. Brandts, S. (2004), menjelaskan risiko yang potensinya mungkin terjadi dapat menimbulkan kerugian pada suatu perusahaan. Risiko timbul karena adanya unsur ketidakpastian dimasa mendatang, adanya penyimpangan, terjadinya sesuatu yang tidak diharapkan, atau tidak terjadinya sesuatu yang diharapkan. Terdapat 2 (dua) jenis risiko bisnis yang dapat dihadapi oleh perusahaan, yaitu a) Risiko non-entrepreneurial, merupakan risiko yang bukan diakibatkan oleh keputusan kewirausahaan yang diambil perusahaan. Contohnya bencana alam, kebakaran. b) Risiko Entrepreneurial, merupakan risiko yang diakibatkan oleh keputusan kewirausahaan yang diambil perusahaan. Contohnya risiko membangun gedung baru, risiko meluncurkan produk baru, risiko menerapkan sistem IT baru.

43 | P a g e

Manajemen risiko erat kaitannya dengan kelangsungan usaha perusahaan. Manajemen risiko adalah suatu rangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi, mengukur, memonitor dan mengontrol risiko yang timbul dari bisnis operasional suatu perusahaan. Manajemen risiko ditujukan untuk memastikan kesinambungan, profitabilitas dan pertumbuhan usaha sejalan dengan visi dan misi perusahaan. Strategi pengendalian dan pengelolaan risiko usaha memerlukan langkah-langkah antara lain a) Identifikasi dan pembuatan peta risiko (risk mapping), b) Kuantifikasi dan pengukuran risiko (risk measurement and assessment), c) Penanganan risiko (risk threatment), d) Kebijakan manajemen risiko. Peran Business Continuity Plan bertujuan agar bisnis asuransi bisa tetap beroperasi optimal meskipun ada gangguan dan mampu menyelamatkan sistem informasi terhadap berbagai bentuk gangguan. Business Continuity Plan mampu melakukan proses secara manual dan otomatis yang dirancang untuk mengurangi ancaman terhadap fungsi-fungsi operasional dan IT perusahaan asuransi. Continuity Plan dipersiapkan untuk menyusun langkah-langkah penyelamatan (recovery) terhadap fasilitas IT dan sistem informasi perusahaan. 2. Metode Business Impact Analysis (BIA) Pada Industri Asuransi Bazzarello, D., Crielaard, B., Piacenza, F. and Soprano, A. (2006), menjelaskan beberapa hal yang harus diperhatikan oleh manajer risiko dalam menilai suatu risiko asuransi adalah a) Exposure, merupakan risiko kerugian maksimum yang harus dihadapi apabila terjadi suatu kejadian terburuk. b) Volatility, semakin bervariasi hasil yang akan terjadi pada masa yang akan datang, maka semakin besar risikonya. c) Probability, merupakan kemungkinan terwujudnya kejadian yang mengandung risiko. Semakin besar probabilitas dari kejadian berisiko, maka semakin besar risikonya. d) Severity, berbeda dengan exposure yang menekankan pada kerugian maksimum, severity menekankan pada kerugian yang sekiranya akan dialami. e) Time Horizon, semakin lama jangka waktu suatu investasi, maka tingkat risiko akan semakin besar. f) Correlation, jika risiko yang dihadapi saling berhubungan, maka risiko yang dihadapi perusahaan akan semakin besar. g) Capital, perusahaan menyimpan modal untuk 2 (dua) alasan utama, yaitu untuk memenuhi kebutuhan kas (cash-flow) dan untuk menutupi kerugian yang tidak diperkirakan sebelumnya akibat 44 | P a g e

exposure risiko asuransi.

Perusahaan dapat menyusun informasi risiko yang efektif, maka terdapat suatu pendekatan yang integratif dalam menangani berbagai aspek risiko, yaitu Enterprise Risk Management (ERM). ERM adalah kerangka kerja yang komprehensif dan integratif untuk mengelola risiko kredit, risiko pasar dan risiko operasional, modal ekonomi dan transfer risiko dalam upaya memaksimalkan nilai perusahaan. Kerangka efektifitas kerja ERM terbagi menjadi 4 (empat) tahap, yaitu a) Proses manajemen risiko dan Sistem Informasi Manajemen (SIM) risiko. b) Sistem Pengendalian Internal (SPI) yang menyeluruh. c) Kebijakan, prosedur dan penetapan limit. d) Pengawasan aktif dewan komisaris dan direksi. Program ERM dapat dijelaskan dari 7 (tujuh) komponen yang harus dikembangkan dan dihubungkan menjadi satu kesatuan yang terintegrasi, yaitu meliputi a) Tata kelola perusahaan untuk memastikan bahwa dewan komisaris dan direksi telah membuat proses organisatoris dan kontrol perusahaan yang tepat untuk mengukur dan mengelola risiko lintas perusahaan. b) Manajemen lini untuk mengintegrasikan manajemen risiko kedalam aktifitas penghasil pendapatan di perusahaan termasuk pengembangan bisnis, manajemen produk dan hubungan penentuan harga. c) Manajemen portofolio untuk mengumpulkan exposure risiko, menggabungkan pengaruh diversifikasi dan mengawasi konsentrasi risiko terhadap batas risiko yang dibuat. d) Pemindahan risiko untuk mengurangi exposure risiko yang dipandang terlalu tinggi, atau lebih efektif biaya memindahkan ke pihak ketiga daripada menahannya dalam portofolio risiko perusahaan. e) Analisis risiko untuk memberikan perangkat pengukuran, pelaporan dan menelusuri pemicu eksternal. f) Sumber daya data dan teknologi untuk mendukung proses analisis dan pelaporan. g) Manajemen stakeholder untuk menyampaikan dan melaporkan informasi risiko perusahaan kepada pada pada stakeholder-nya. Sadgrove (2005), Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez (2003), menyatakan Operational Risk merupakan risiko yang berhubungan dengan kegiatan perusahaan dalam proses produksi maupun operasi. Risiko-risiko operasi yang dihadapi perusahaan antara lain distribution, logistic, suppliers, kualitas barang dan jasa, employee issues, fraud, project, natura event, fire, IT. Permasalahan besar yang 45 | P a g e

menyebabkan perusahaan berpikir dan bertindak dalam skala besar harus ditangani langsung oleh pimpinan perusahaan dan melibatkan rencana strategi perusahaan. Peran Business Continuity Plan harus mempertimbangkan beberapa faktor yang dapat memiliki pengaruh bagi perusahaan seperti terhadap pelanggan, yaitu berhubungan dengan sikap pelanggan yang berubah dan ekspektasi pelanggan yang tumbuh dan sulit diprediksi dan dapat dianalisis dari tingginya kualitas pelayanan yang siberikan. Jika pelanggan hanya dapat menerima pelayanan atau produk yang dihasilkan perusahaan, maka pelanggan akan langsung mengajukan keluhan jika ada kekurangan dari produk yang ditawarkan dan membandingkan dengan produk yang ditawarkan oleh perusahaan lain yang dianggap memiliki kelebihan. Peran Business Continuity Plan terhadap new technology dapat meminimalisir ancaman operasional dan teknologi. Jika dikelola dengan baik, teknologi dapat memberikan keuntungan dan membuat perusahaan semakin kompetitif. Bentuk risiko lain yang dihadapi perusahaan asuransi antara lain stock exchange rule, tax requirements, environmental legislation, accounting standards, internal controls, ethics, termasuk juga exchange rate, interest rate, liquidity, profitability, profits, and costs. Hal-hal yang harus dipersiapkan dalam membuat Business Continuity Plan dan Contingency Plan adalah 1) memahami Information resource apa yang penting bagi kebutuhan perusahaan asuransi? Apakah proses bisnis yang tidak berjalan akan memberikan dampak negatif yang fatal bagi perusahaan?. Setiap proses harus diperhatikan criticality-nya, dengan indikasi antara lain proses yang berkaitan dengan nyawa seseorang. Proses akan menyebabkan kerugian finansial yang luar biasa dan harus mematuhi aturan yang berlaku (sektor keuangan, atau air traffic control). 2) Cost of recovery versus impact of disruption. 3) Analisis risiko dengan pendekatan kualitatif dan membuat peringkat seperti tablel dan gambar dibawah ini. Tabel 1. Klasifikasi Pemeringkat Business Continuity Plan dan Contingency Plan Klasifikasi

Deskripsi

Critical

Fungsi-fungsi ini tidak bisa bekerja kecuali digantikan dengan fungsi serupa. Tidak bisa digantikan dengan metode manual.

Vital

Bisa dilakukan secara manual pada rentang waktu yang pendek sekali. Sebaiknya bisa direstore dalam waktu 5 hari atau kurang.

46 | P a g e

Sensitive

Bisa dilakukan secara manual dalam waktu yang relatif lama, namun meskipun dilakukan secara manual pasti tetap sulit melakukannya dan membutuhkan staf lebih banyak

Noncritical

Bisa diinterupsi sampai waktu yang lama, dengan sedikit beban / tidak ada beban biaya bagi perusahaan.

Cost ($)

Cost of disruption impact

Break even strategy

Cost of recovery

Gambar 1. Perhitungan Break Even Strategy dalam Business Continuity Plan

3. Analisis Risiko Teknologi Informasi Pada Risiko Operasional Sistem IT termasuk dalam operational risk antara lain a) Pencurian komputer. Kehilangan komputer menyebabkan perusahaan tidak dapat mengelola data. Kehilangan data berarti juga perusahaan kehilangan data mengenai pelanggan, produksi, keuangan, dan lain-lain. b) Akses ilegal terhadap data. Hal ini dapat berarti 2 (dua) kemungkinan, yaitu internal (karyawan) atau external (hacker). c) Virus. Virus merupakan salah satu masalah yang umum terjadi dalam penggunaan komputer. Virus dapat berasal dari internet ataupun flashdisk yang terjangkit virus. d) Kegagalan software ataupun hardware. Survey menunjukkan bahwa software ataupun hardware pada saat instalasi awal biasanya mengalami kegagalan operasi. e) Kesalahan pengguna. Pengguna komputer berpotensi dapat melakukan kesalahan seperti tidak sengaja menghapus data. f) IT Project Failure. IT Project biasanya memiliki kekurangan pada saat awal implementasi. Mitigasi Risiko berdasarkan ketentuan penerapan manajemen risiko dalam penggunaan teknologi informasi pada industri asuransi tetap bertanggungjawab untuk setiap penerapan manajemen risiko. Perusahaan wajib melakukan mitigasi risiko untuk 47 | P a g e

setiap kelemahan dan/atau pelanggaran kebijakan dan prosedur pengamanan serta potensi risiko yang dapat mengganggu kelangsungan penyelenggaraan TI yang digunakan oleh perusahaan, baik yang terjadi di perusahaan asuransi maupun di pihak penyedia jasa. Perusahaan asuransi wajib memastikan bahwa risiko ketergantungan pada pihak penyedia jasa dapat dimitigasi sehingga perusahaan tetap mampu menjalankan bisnisnya apabila penyedia jasa wanprestasi, pemutusan hubungan atau dalam proses menuju likuidasi. Mitigasi risiko yang dapat dilakukan oleh perusahaan mencakup:

a)

memastikan bahwa pihak penyedia jasa memiliki BCP sesuai dengan jenis, cakupan dan kompleksitas aktivitas/jasa yang diberikan; b) secara aktif mendapatkan jaminan kesiapan BCP milik pihak penyedia jasa seperti pengujian secara berkala atas BCP; c) memiliki perjanjian penyimpanan source code program (escrow agreement) untuk aplikasi yang memiliki eksposur risiko tinggi, jika perusahaan tidak memiliki source code dari program aplikasi yang diselenggarakan oleh pihak penyedia jasa; d) dalam hal source code tidak dimiliki oleh penyedia jasa maka penyedia jasa harus memberikan jaminan kepada bank, bahwa kelangsungan aplikasi didukung oleh principal pengembang software. Menjamin fungsi dan efektifivitas BCP, perusahaan wajib menyusun dan melakukan pengujian BCP secara berkala, lengkap dan mencakup hal-hal yang signifikan yang didasarkan atas jenis, cakupan dan kompleksitas aktivitas atau kegiatan yang dilakukan oleh penyedia jasa. Disamping itu, pihak penyedia jasa harus melakukan pengujian sendiri untuk sistem atau fasilitas TI maupun pemrosesan yang diselenggarakan tanpa melibatkan pihak perusahaan. Hasil pengujian pihak penyedia jasa tersebut digunakan perusahaan untuk mengkinikan BCP yang dimiliki perusahaan. Solusi atau langkah-langkah dalam menghadapi risiko IT antara lain a) Menanggulangi pencurian komputer. Menghadapi pencurian komputer perusahaan dapat mengantisipasinya dengan beberapa cara. Pertama dengan memberikan pengaman pada komputer seperti memberikan label pada komputer dan memasang sensor pengaman pada pintu masuk perusahaan, serta menempatkan tenaga keamanan untuk melakukan kontrol secara berkala. Kedua dengan memasang alat pelacak posisi komputer ketika mengalami pencurian. b) Akses ilegal terhadap komputer. Terdapat beberapa cara menghindari akses ilegal terhadap komputer perusahaan, meliputi i) Menggunakan firewall. Penggunaan firewall dapat mengantisipasi akses illegal terhadap data di dalam 48 | P a g e

komputer ketika komputer terhubung dengan jaringan. ii) Membatasi komputer yang memiliki removable drives seperti USB port. iii) Membatasi akses terhadap beberapa data yang mengandung rahasia perusahaan dengan menggunakan password. iv) Membatasi jumlah komputer yang terhubung dengan internet. Terutama komputer yang menyimpan data-data penting perusahaan. Hal ini untuk menghindari akses illegal oleh hacker. v) Closed user grouping. Untuk mengirimkan data ke user tertentu melalui telephone line. vi) Password. Sebaiknya perusahaan melindungi data-data penting dengan menggunakan password. Kata-kata yang digunakan sebagai password sebaiknya unik sehingga tidak mudah dipecahkan serta secara berkala dilakukan penggantian password yaitu a) Virus. Virus merupakan salah satu masalah yang umum terjadi dalam menggunakan komputer. Jika komputer terinfeksi virus, perusahaan dapat menggunakan antivirus yang terus diupdate secara berkala. Virus merupakan hal berbahaya yang dapat merusak sistem komputer. Virus juga dapat menginfeksi komputer dari berbagai saluran seperti USB ataupun internet. Sehingga perusahaan harus memberikan perhatian lebih terhadap pengamanan virus komputer. b) Kegagalan software ataupun hardware. Untuk menghindari Kegagalan software ataupun hardware maka sebaiknya perusahaan membeli software atau hardware yang asli dan bergaransi. Sehingga apabila terdapat masalah maka perusahaan dapat mengkalim masalah tersebut. c) Kesalahan pengguna. Untuk menghindari kesalahan pengguna maka sebaiknya perusahaan mengadakan pelatihan mengenai cara penggunaan komputer. Sehingga dapat meminimalisir kesalahan oleh pengguna. d) IT Project Failure. Menerapkan sistem control yang ketat untuk menghindari kesalahan. e) Meminimalisir kehilangan data. Untuk meminimalisir kehilangan data, maka perusahaan dapat melakukan backup terhadap data. Sebaiknya tempat penyimpanan data ini ditempatkan pada lokasi yang minim risiko, seperti risiko kebakaran, banjir maupun pencurian. f) Spyware. Spyware dapat menginfeksi komputer ketika kita terhubung dengan internet. Spyware dapat merugikan perusahaan karena dapat mengirim data aktifitas yang dilakukan oleh karyawan saat menggunakan komputer. g) Scam, merupakan email oleh oknum tertentu yang meminta pengguna komputer memberikan data-data pribadi mereka yang berhubungan dengan akun bank mereka. h) Software piracy. Penggunaan software bajakan dapat merugikan perusahaan karena melanggar hokum. Mereka dapat terjerat UU No.19 tahun 2002 mengenai Perlindungan Hak Cipta. 49 | P a g e

Upaya selection of recovery strategies adalah 1) Tentukan cara/strategi untuk melakukan recovery fasilitas IT, 2) Tentukan aktifitas bisnis apa saja yang harus dilakukan selama fasilitas IT sedang di-recover. Asuransi pada perencanaannya sendiri tidak bisa diasuransikan tetapi kalau ada kecelakaan baru bisa diasuransikan. Namun dengan adanya rencana yang memadai, maka biaya premi asuransinya biasanya lebih kecil. Mainframe atau fasilitas jaringan yang besar, ada beberapa kemungkinan strategi: a) duplicate information processing facilities, b) hot sites: fully operational offsite data processing facility equipped with hardwar & software in event of a disaster. Ini penting untuk aplikasi yang critical. Namun biayanya sangat mahal, c) warm sites: fasilitas alternatif yang memiliki sarana yang lebih sedikit. Misalnya ada listrik, jaringan, telepon, meja-meja, printer, tetapi tanpa komputer yang mahal. Kadang-kadang ada komputer, tetapi less processing power, d) cold sites: fasilitas yang memiliki prasarana penunjang untuk operasi komputer, misalnya ruangan yang memiliki listrik dan AC. Tapi belum ada komputernya, namun siap dipasangi computer dan e) perjanjian dengan perusahaan lain. Strategi telekomunikasi yang berjalan adalah network redundancy, alternative routing, long haul network diversity, protection of local loop dan voice recovery. Sedangkan Strategi business continuity antara lain a) tidak melakukan apa-apa sampai recovery facility sudah „on‟, b) melakukan prosedur manual, c) memfokuskan diri pada proses yang penting saja: customer, products, d) menggunakan PC untuk data capture (pencatatan saja) dengan pengolahan minimal. Pengolahan baru dilakukan setelah recovery facility sudah bekerja. Saat membangun Business Continuity Plan dan Contingency Plan, harus melibatkan seluruh perusahaan, tidak hanya bagian IT saja. Kalau tidak ada Business Continuity Plan lapisan perusahaan, maka Business Continuity Plan dari sistem informasi harus menyertakan bagian lain yang terkait dengan Business Continuity Plan. Hal lain yang harus dipertimbangkan dalam membuat Business Continuity Plan adalah a) staf-staf yang diperlukan untuk menjalankan fungsi bisnis yang penting saat terjadi bencana, b) konfigurasi gedung, meja, kursi, telepon, dan lain sebaginya. Business Continuity Plan dan Contingency Plan harus menyepakati tahapan a) tujuan dari setiap tahap recovery, b) fasilitas alternative, c) penanggung jawab, d) sumber daya yang akan disediakan dan e) prioritas dan jadual aktifitas. Komponen 50 | P a g e

Business Continuity Plan mencakup a) siapa penanggung jawab utama, b) backup dari supplies yang dibutuhkan, c) pengorganisasian dan penanggung jawab setiap aktifitas, d) jaringan computer dan e) asuransi. 4. Tanggung Jawab Penilaian Pada Business Continuity Plan Terdapat tim yang bertugas melakukan fungsi tertentu dalam Business Continuity Plan, dan dipimpin seorang team leader. Tim terdiri dari 1) Emergency action team, tugas utamanya adalah seperti “pemadam kebakaran”, dan bertugas untuk menyelamatkan jiwa. 2) Damage assessment team, harus bisa mengkalkulasi dampak bencana dan bisa memperkirakan kapan lokasi bisa kembali normal. 3) Emergency management team, berkewajiban mengkoordinasikan aktifitas tim-tim lainnya, melakukan tindakan pengambilan keputusan, apakah akan menjalankan Business Continuity Plan atau tidak dan termasuk menangani masalah hukum dan relasi publik. 4) Off site strorage team, packing dan shipping dari media dan merekam ke offsite facility. 5) Software team, restore operation system. 6) Applications team, untuk melakukan recovery site dan menginstall kembali aplikasi komputer. 7) Emergency operations team, shift operators and shift supervisors yang harus menjalankan recovery site (alternate facility). 8) Salvage team, melakukan analisis lebih mendalam terhadap dampak bencana, menentukan apakah akan memperbaiki lokasi yang kena bencana, atau melakukan proses relokasi dan mengisi form klaim asuransi. 9) Relocation team, mengembalikan dari recovery site ke lokasi awal atau ke lokasi baru yang permanen.

5. Kesimpulan Perusahaan perlu menerapkan peraturan mengenai IT dan harus dipahami oleh seluruh karyawan. Peraturan ini harus ditetapkan oleh top management dan sebaiknya meliputi a) Garis dan tanggung jawab mengenai sistem IT, b) Perawatan data dan backup sistem, c) Prosedur penerapan antivirus dan spyware, d) Akses terhadap internal data, e) Penggunaan internet oleh karyawan dan f) Kebijakan mengenai e-mail pribadi. Kebijakan ini sebaiknya didukung dengan petunjuk melakukan prosedur secara tertulis untuk memudahkan implementasi. Bussiness Continuity Plan (BCP) dan Contigency Plan (CP) sangat diperlukan untuk menghadapi keadaan tidak terduga sehingga dapat meminimalisir kerugian perusahaan, seperti virus dan denial of service (DoS) yang 51 | P a g e

merupakan ancaman yang tidak dianggap bencana tetapi tetap dianggap sebagai high risk. Bussiness

Continuity Plan

(BCP)

dan

Contigency

Plan

(CP)

harus

mempertimbangkan strategi short-term dan strategi long-term. Misalnya untuk short term harus ada fasilitas IT alternatif, sedangkan long-term strategi misalnya menyiapkan fasilitas IT yang permanen guna mengantisipasi kasus terburuk.

Daftar Pustaka Anonim, 2008. Effective Business Continuity Plan. Diakses tanggal 15 Januari 2013 dari http://events.belgacom.be/ dataatwork/Track_2_1_Bus_Cont.pdf Bazzarello, D., Crielaard, B., Piacenza, F. and Soprano, A. 2006. Modeling Insurance Mitigation on Operational Risk Capital. Journal of Operationl Risk. 1(1). pp. 57-65. Brandts, S. 2004. Operational Risk and Insurance: Quantitative and Qualitative Aspects. Working Paper. Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez, 2003. Operational Risk: A Practicioner's View. The Journal of Risk. pp. 5. Gondodiyoto, Sanyoto & Henny Hendarti. (2006). Audit Sistem Informasi. Mitra Wancana Media, Jakarta. Hanggraeni, Dewi, 2010, Pengelolaan Risiko Usaha. LPFE. Universitas Indonesia. Leippold, M., and P. Vanini, 2005. The Quantification of Operational Risk. The Journal of Risk. pp. 8. Sadgrove, Kit, 2005, Organizational Behavior, International ed. Prentice-Hall, New York. Ulhaque, Padma dan Ramadhan, 2009. Makalah Pengelolaan Risiko Pre Empting Fraud & Avoiding IT Disaster. Universitas Indonesia

52 | P a g e

Usaha.