2.12 Pengertian Polis Asuransi

advertisement
BAB 2
LANDASAN TEORI
2.1
Pengertian Sistem Informasi
Menurut Satzinger, Jackson, & Burd (2012:4) dalam buku System
Analysis And Design In A Changing World edisi keenam di definisikan bahwa
“sistem informasi adalah kumpulan dari komponen-komponen komputer yang
saling berhubungan yang bertujuan untuk mengumpulkan, memproses dan
menyimpan (biasanya di dalam sebuah database) dan menyediakan informasi
yang
dijadikan
sebagai
keluaran
(output)
yang
dibutuhkan
untuk
menyelesaikan tugas-tugas bisnis.”
Menurut Rainer & Cegielski (2013:5) “sebuah sistem informasi
mengumpulkan, memproses, menyimpan menganalisa, dan menyebarkan
informasi untuk tujuan tertentu."
Dengan demikian
merupakan
serangkaian
dapat
disimpulkan bahwa sistem informasi
komponen
yang terdiri
dari
mengumpulkan,
memproses, menyimpan, menganalisis dan menyebarkan informasi untuk
tujuan tertentu dan memberikan keluaran untuk pengguna yang di dalamnya
terdapat input, proses, output.
2.2
Komponen Aplikasi Sistem Informasi
Menurut Saputra, Astuti, & Rahardjo (2014) komponen-komponen
aplikasi sistem informasi terdiri dari yaitu :
1. Hardware Hardware merupakan peralatan phisik yang dapat
digunakan
untuk
mengumpulkan,
memasukan,
memproses,
menyimpan dan mengeluarkan hasil pengolahan data dalam bentuk
Informasi.
2. Software Software adalah kumpulan dari programprogram yang
digunakan
untuk
komputer.Software
menjalankan
aplikasi
tertentu
dikelompokkan
menjadi
dua
pada
kelompok
berdasarkan fungsinya yaitu perangkat lunak sistem (system
software) dan perangkat lunak aplikasi (aplication software).
7
8
Perangkat lunak sistem merupakan kumpulan dari perangkat lunak
yang digunakan untuk mengendalikan sistem komputer yang
meliputi sistem operasi (operating system), interprenter dan
compiller (kompiler).
3. Brainware Brainware merupakan sumber daya yang terlibat dalam
pembuatan sistem informasi, pengumpulan dan pengolahan data,
pendistribusian dan pemanfaatan informasi yang dihasilkan oleh
sistem informasi tersebut.
Konsep Dasar Aplikasi Aplikasi berasal dari kata application yaitu
bentuk benda dari kata kerja to apply yang dalam bahasa Indonesia berarti
pengolah. Secara istilah, aplikasi komputer adalah suatu sub kelas perangkat
lunak komputer yang menggunakan kemampuan komputer langsung untuk
melakukan suatu tugas yang diinginkan pemakai. Contoh utama perangkat
lunak aplikasi adalah program pengolah kata, lembar kerja, dan pemutar media.
2.3
Keamanan Sistem Informasi Keamanan
Menurut Akins, Chukwuanu, & Thomas (2013:2) keamanan sistem
informasi dan keamanan komputer merupakan bagian penting dalam
melakukan bisnis. Keamanan sistem informasi adalah segala bentuk
mekanisme yang harus dijalankan dalam sebuah sistem yang ditujukan oleh
sistem tersebut agar terhindar dari segala ancaman yang membahayakan yang
pada hal ini keamanannya melingkupi keamanan data atau informasinya
ataupun pelaku sistem (user) merupakan unsur yang perlu di perhatikan karena
keamanan sistem informasi tersebut merupakan hal yang rentan terhadap
berbagai ancaman. Seiring berkembangnya teknologi informasi, maka
kesempatan terjadinya risiko akan semakin besar pula.
9
2.4
Definisi Risiko
2.4.1
Ancaman
Menurut Kouns & Minoli (2010:33) definisi ancaman adalah
"sebuah
sumber
potensial
dari
serangan
insiden
yang dapat
mengakibatkan perubahan yang merugikan aset atau kelompok aset dari
suatu organisasi."
Definisi lain mengenai ancaman menurut Whitman & Mattord (2012:
11) adalah "Sebuah kategori benda, orang, atau badan lainnya yang
menghadirkan bahaya bagi aset. Ancaman selalu hadir dan dapat
dengan sengaja atau tidak terarah. Sebagai contoh, hacker sengaja
mengancam sistem informasi yang tidak dilindungi, sementara badai
parah kebetulan mengancam bangunan dan isinya. "
Dari definisi diatas, kami menyimpulkan bahwa ancaman adalah
kegiatan yang baik dengan sengaja atau tidak disengaja yang dapat
membahayakan keutuhan atau keselamatan aset yang dimiliki
perusahaan.
2.4.2
Kerentanan
Definisi kerentanan menurut Kouns & Minoli (2010:33) adalah
"Kelemahan dari aset yang dapat dimanfaatkan oleh ancaman."
Kerentanan adalah sebuah kelemahan atau kesalahan di suatu
sistem atau mekanisme perlindungan yang terbuka untuk diserang atau
dirusak. Beberapa contoh dari kerentanan adalah sebuah kecacatan
dalam sebuah usia paket perangkat lunak, sebuah sistem port yang tidak
terlindungi, dan sebuah pintu yang tidak terkunci. Beberapa kerentanan
yang terkenal sudah di periksa, didokumentasikan, dan diterbitkan,
lainnya masih tersembunyi atau belum ditemukan (Whitman &
Mattord, 2012:11).
Dari definisi diatas, kami menyimpulkan bahwa kerentanan
adalah kemungkinan suatu objek terkena suatu hal yang berisiko oleh
10
faktor-faktor yang berkaitan dengan rusak atau lemahnya suatu objek
tersebut.
2.4.3
Risiko
Risiko adalah kombinasi hitung matematika terhadap kemungkinan
suatu kejadian dan dengan dampak sedangkan dampaknya dari nilai loss
yang di ekspetasi (Kouns & Minoli, 2010:34).
Menurut Cegielski & Rainer (2013:10) definisi risiko adalah
"probabilitas bahwa ancaman akan berdampak pada sumber informasi."
Whitman & Mattord (2012:11) lebih spesifik menyatakan bahwa
risiko adalah "probabilitas bahwa sesuatu yang tidak diinginkan akan
terjadi. Organisasi harus meminimalkan risiko untuk mencocokkan selera
risiko mereka - organisasi bersedia menerima kuantitas dan sifat dari risiko."
Menurut Peltier (2005:8) “Risiko merupakan ancaman yang
mengeksploitasi beberapa kerentanan yang dapat menyebabkan kerugian
bagi asset.”
Dari definisi diatas, kami menyimpulkan bahwa risiko adalah
sesuatu yang mengarah pada ketidakpastian atas terjadinya suatu peristiwa
yang menyebabkan suatu kerugian yang berpengaruh terhadap aset dari
suatu perusahaan.
2.5
Analisis Risiko
Menurut Peltier (2005:15) analisis risiko adalah “sebuah teknik yang
dilakukan untuk mengidentifikasikan dan menilai faktor-faktor yang mungkin
membahayakan bagi kesuksesan dari sebuah proyek atau dalam mencapai
suatu tujuan.”
Menurut Berg (2010:1) analisis risiko “melibatkan pertimbangan
sumber risiko, konsekuensi dan kemungkinan untuk memperkirakan risiko
yang melekat atau risiko yang tidak dilindungi tanpa kontrol di tempat. Hal ini
juga melibatkan identifikasi kontrol, estimasi efektivitas mereka dan tingkat
11
resultan risiko dengan kontrol di tempat (risiko yang dilindungi, residual atau
dikendalikan).
2.6
Mitigasi Risiko
Menurut Peltier (2005:38) mitigasi risiko adalah “sebuah metodologi
sistematis yang digunakan oleh manajemen senior untuk mengurangi risiko di
dalam organisasi.” Enam metode yang paling umum dari mitigasi risiko:
1.
Asumsi Risiko - Setelah memeriksa ancaman dan menentukan
tingkat
risiko,
temuan
tim
memimpin
manajemen
untuk
menentukan bahwa itu adalah keputusan bisnis terbaik untuk
menerima risiko potensial dan terus beroperasi. Ini merupakan hasil
yang dapat diterima dari proses penilaian risiko. Jika, setelah
menyelesaikan proses penilaian risiko, manajemen memutuskan
untuk menerima risiko, maka telah melakukan uji tuntas.
2.
Pengurangan Risiko - Manajemen senior menyetujui pelaksanaan
kontrol yang direkomendasikan oleh tim manajemen risiko yang
akan menurunkan risiko ke tingkat yang dapat diterima.
3.
Penghindaran risiko - Ini adalah di mana setelah melakukan
penilaian risiko, manajemen memilih untuk menghindari risiko
dengan menghilangkan proses yang dapat menyebabkan risiko.
Misalnya, sebelumnya fungsi tertentu atau perangkat tambahan
untuk sistem atau aplikasi karena penilaian risiko hasil manajemen
memimpin untuk menyimpulkan bahwa untuk melanjutkan,
organisasi akan ditempatkan di eksposur yang terlalu besar.
4.
Limit risiko - Untuk membatasi risiko dengan menerapkan kontrol
yang meminimalkan dampak merugikan dari ancaman. Ini adalah
proses standar yang digunakan saat penilaian risiko selesai. Setelah
mengidentifikasi ancaman, menetapkan tingkat risiko, dan memilih
kontrol yang wajar dan bijaksana, manajemen membatasi eksposur
risiko.
12
5.
Perencanaan Risiko - Ini adalah proses di mana ia memutuskan
untuk mengelola risiko dengan mengembangkan arsitektur yang
memprioritaskan, mengimplementasikan, dan memelihara kontrol.
6.
Transferensi
Risiko
-
Manajemen
transfer
risiko
dengan
menggunakan pilihan lain untuk mengkompensasi kerugian, seperti
pembelian polis asuransi.
2.7
Penilaian Risiko
Kouns & Minoli (2010:7) menjelaskan bahwa penilaian risiko adalah
keseluruhan
proses
yang
berkaitan
dengan
mengidentifikasi
risiko,
menganalisa risiko, dan mengevaluasi risiko.
Menurut Gantz (2014:29) penilaian risiko “mencakup identifikasi
ancaman dan sumber risiko dan penentuan besarnya relatif risiko dari masingmasing sumber.”
Menurut Istiningrum (2011:3) adalah “Penilaian risiko adalah metode
sistematis dalam melihat aktivitas kerja, memikirkan apa yang dapat menjadi
buruk, dan memutuskan kendali yang cocok untuk mencegah terjadinya
kerugian, kerusakan, atau cedera di tempat kerja.”
Menurut Peltier (2005:16) penilaian risiko merupakan “proses kedua
dalam siklus hidup proses manajemen risiko. Organisasi menggunakan
manajemen risko untuk menentukan apakah ada ancaman untuk sebuah aset
dan tingkat risiko yang terkait ancaman tersebut.”
Dari pendapat diatas, definisi penilaian risiko menurut kelompok kami
adalah kegiatan penilaian atas kemungkinan terjadinya kejadian yang
mengancam pencapaian tujuan perusahaan.
Terdapat 6 (enam) langkah yang dapat memberikan 3 (tiga) kebutuhan
yang disampaikan. Masing-masing dari enam langkah akan membutuhkan tim
penilaian risiko untuk mengeksplorasi kebutuhan mereka secara menyeluruh.
13
2.7.1
Identifikasi Ancaman
Menurut Peltier (2005:18) biasanya, ada tiga kategori utama dari
sumber ancaman:
a. Ancaman alam: Banjir, gempa bumi, tornado, tanah longsor,
longsoran, badai listrik, dan acara-acara seperti lainnya.
b. Ancaman manusia – Peristiwa yang baik diaktifkan oleh atau
disebabkan oleh manusia, seperti tindakan yang tidak disengaja
(kesalahan dan kelalaian) atau tindakan yang disengaja (fraud,
perangkat lunak berbahaya, akses yang tidak sah). Secara statistik,
ancaman yang menyebabkan kerugian terbesar untuk sumber daya
informasi sisa dari kesalahan manusia dan kelalaian
c. Ancaman lingkungan - listrik padam jangka panjang, polusi,
tumpahan bahan kimia, kebocoran cairan
2.7.1.1 Unsur Ancaman
Menurut Peltier (2005:46) ketika memeriksa ancaman, para ahli
mengidentifikasi tiga elemen yang terkait dengan ancaman:
a. Agen: Katalis yang melakukan ancaman. Agen dapat manusia, mesin,
atau alam.
b. Motif: Sesuatu yang menyebabkan agen untuk bertindak. tindakan ini
dapat berupa disengaja atau tidak disengaja. Berdasarkan unsur-unsur
yang membuat agen, satu-satunya faktor pendorong yang dapat
keduanya dapat baik secara kebetulan dan disengaja manusia.
c. Hasil: Hasil dari ancaman diterapkan. Untuk informasi profesi
keamanan, hasil biasanya menyebabkan hilangnya akses, akses yang
tidak sah, modifikasi, pengungkapan, atau penghancuran aset
informasi.
14
2.7.1.2 Tingkat Terjadinya Ancaman
Menurut Peltier (2005:48) setelah aset dan ancaman telah
diidentifikasi, maka akan diperlukan untuk membangun beberapa hubungan
antara keduanya. Salah satu bentuk yang paling dasar dari risiko analisis ini
sebuah proses yang dikenal sebagai annual loss exposure (ALE). ALE
mengambil value (V) dari aset dan kemudian menggunakan likelihood (L)
dari kejadian ancaman dalam rumus untuk menghitung ALE:
V × L = ALE
2.7.1.3 Penentuan Tingkat Risiko
Menurut Peltier (2005:50) setelah daftar ancaman telah selesai,
maka akan diperlukan untuk menentukan seberapa besar kemungkinan
ancaman yang akan terjadi. Tim penilaian risiko akan menarik suatu
kemungkinan keseluruhan yang menunjukkan kemungkinan bahwa potensi
ancaman dapat dilakukan terhadap aset penilaian risiko yang dikaji.
Metode lainnya adalah untuk menguji tingkat risiko dengan
mempertimbangkan kontrol yang ada. Hal ini akan memungkinkan tim
untuk memeriksa kontrol yang ada dan menetapkan tingkat risiko
berdasarkan seberapa efektif kontrol yang ada. Metode ini biasanya
digunakan ketika memeriksa spesifik Local Area Network (LAN), aplikasi,
atau subnet. Setelah probabilitas bahwa ancaman mungkin terjadi telah
ditentukan, dampak bahwa ancaman akan dimiliki pada organisasi harus
dibenahi. Sebelum memulai analisis dampak, hal ini diperlukan untuk
memperoleh hal-hal berikut:
a. Misi aset: Hal ini dilakukan sebagai bagian dari pernyataan ruang
lingkup proyek. Pernyataan lingkup harus dibicarakan dengan tim pada
awal proses penilaian risiko.
b. Sensitivitas informasi: Untuk melakukan penilaian risiko yang sukses,
semua orang harus mengetahui sensitivitas informasi yang akan
ditangani oleh aktiva dalam ulasan.
15
c. Aset kekritisan: Seberapa penting aset ini untuk misi organisasi? Ini
akan diperlukan untuk melakukan dampak bisnis analisis (BIA) dari aset
untuk menentukan kekritisan relatif.
2.7.1.4 Kontrol dan Upaya Perlindungan
Menurut Peltier (2005:52) setelah tingkat risiko telah ditetapkan,
tim akan mengidentifikasi kontrol atau perlindungan yang berada di tempat
atau dapat diletakkan di tempat untuk kemungkinan menghilangkan risiko,
atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. Oleh
karena itu, akan sangat penting untuk mengidentifikasi beberapa titik
kontrol dan upaya perlindungan sebaik mungkin yang dapat mengurangi
tingkat eksposur risiko. Dengan melakukan ini, tim akan mampu
mendokumentasikan semua pilihan yang dipertimbangkan.
2.7.1.5 Manfaat Analisis Biaya
Menurut Peltier (2005:74) untuk mengalokasikan sumber daya dan
menerapkan kontrol biaya yang efektif organisasi, setelah mengidentifikasi
semua kemungkinan kontrol dan mengevaluasi kelayakan mereka dan
keefektivitas harus melakukan analisis manfaat biaya. Proses ini harus
dilakukan untuk setiap kontrol baru atau ditingkatkan untuk menentukan
apakah kontrol direkomendasikan sesuai untuk organisasi. Sebuah manfaat
analisis biaya harus menentukan dampak dari penerapan kontrol baru atau
kontrol yang ditingkatkan dan kemudian menentukan dampak dari tidak
menerapkan control. Saat melakukan analisis manfaat biaya, Perlu untuk
mempertimbangkan biaya pelaksanaan didasarkan pada beberapa hal
berikut:
a) Biaya pelaksanaan, termasuk pengeluaran awal untuk perangkat keras
dan perangkat lunak
b) Penurunan efektivitas operasional
c) Pelaksanaan kebijakan dan prosedur untuk mendukung tambahan
kontrol baru
16
d) Biaya dari kemungkinan mempekerjakan staf tambahan atau,
minimal, pelatihan staf yang ada di kontrol baru
e) Biaya staf pendukung pendidikan untuk mempertahankan efektivitas
pengendalian
menentukan
dampak
dari
tidak
menerapkan
pengendalian.
2.7.1.6 Dokumentasi
Menurut Peltier (2005:74) setelah penilaian risiko selesai, hasilnya
harus didokumentasikan dalam format standar dan laporan yang dikeluarkan
kepada pemilik aset. Laporan ini akan membantu manajemen senior
membuat keputusan tentang kebijakan, prosedur, anggaran, dan sistem dan
perubahan manajemen. Laporan penilaian risiko harus disajikan secara
sistematis dan analitis yang menilai risiko sehingga manajemen senior akan
memahami risiko dan mengalokasikan sumber daya untuk mengurangi
risiko ke tingkat yang dapat diterima.
2.7.2 Definisi Aset
Menurut Peltier (2005:16) dalam melakukan penilaian risiko
pemimpin tim dan pemilik yang mendefinisikan proses, aplikasi, sistem, atau
aset yang sedang dikaji. Kuncinya di sini adalah untuk menetapkan batasbatas apa yang ditinjau. Membutuhkan waktu yang cukup lama dalam
membangun penyataan mengenai ruang lingkup untuk didiskusikan dan
menjelaskan ukuran dari proyek, berikut ini beberapa item yang harus di
pertimbangkan setiap kali:
a. Tujuan: Sepenuhnya memahami tujuan proyek. Apa kebutuhan
dalam mengemudikan proyek? Jika tujuannya adalah untuk
memperbaiki masalah, mengidentifikasi penyebab masalah.
Sebuah analisis resiko yang telah dilakukan memutuskan bahwa
proyek ini adalah untuk bergerak maju. Ulasan hasil dari proses
ini untuk lebih memahami tujuan proyek.
b. Pelanggan: Pelanggan Anda adalah orang atau unit yang memiliki
kebutuhan bahwa proyek ini dimaksudkan untuk mengisi.
17
Menentukan siapa pelanggan nyata dan mencatat pemangku
kepentingan lainnya.
c. Deliverables: Ini adalah hal-hal tertentu yang akan disampaikan
kepada pelanggan. Dalam penilaian risiko, deliverables biasanya
adalah:
a) Ancaman diidentifikasi
b) Tingkat Risiko didirikan
c) Kemungkinan kontrol diidentifikasi
d. Sumber daya: Sumber daya apa yang akan diperlukan untuk
mencapai proyek? Sumber tersebut antara lain:
a) Uang
b) Personil
c) Peralatan
d) Kebutuhan
e) Layanan
e. Kendala:
Mengidentifikasi
kegiatan-kegiatan
yang
dapat
mempengaruhi deliverables proyek. Mertimbangkan hal-hal
seperti:
a) Hukum
b) Kebijakan
c) Prosedur
d) Keterbatasan Sumber Daya
f. Asumsi: Mengidentifikasi hal-hal yang tim proyek percaya benar
atau lengkap:
a) Penilaian risiko Infrastruktur telah selesai.
b) Dasar set kontrol telah dilaksanakan.
g. Kriteria:
Kesepakatan
khusus
bagaimana
pelanggan
akan
mengevaluasi keberhasilan proyek. Apa kriteria pelanggan untuk
unsur - unsur elemen dari proyek?
a) Ketepatan waktu
b) Biaya
c) Kualitas
18
2.7.3 Menentukan Probabilitas Kejadian
Menurut Peltier (2005:19) tim manajemen risiko akan ingin
menurunkan
suatu
kemungkinan
keseluruhan
yang
menunjukkan
kemungkinan bahwa ancaman potensial dapat dilakukan terhadap aset
penilaian risiko dikaji. Ini akan diperlukan untuk menetapkan definisi pada
kemungkinan dan sejumlah istilah kunci lainnya.
Berikut ini adalah definisi sampel probabilitas atau kemungkinan
bahwa ancaman mungkin terjadi:
A. Probabilitas - Kemungkinan bahwa peristiwa ancaman akan terjadi
a) Probabilitas Tinggi - Sangat mungkin bahwa ancaman akan terjadi
dalam tahun depan
b) Probabilitas Medium - mungkin bahwa ancaman mungkin terjadi
selama tahun depan
c) Probabilitas Rendah - Sangat tidak mungkin bahwa ancaman akan
terjadi selama tahun depan
2.7.4 Menentukan Dampak Ancaman
Menurut Peltier (2005:24) saat menentukan tingkat risiko (probabilitas
dan dampak), maka akan diperlukan untuk membangun kerangka kerja yang
evaluasi adalah terjadi. Dampak Ukuran besarnya kerugian atau kerusakan
pada nilai asset:
a) Dampak tinggi - mematikan unit bisnis penting yang mengarah ke
kerugian yang signifikan dari bisnis, citra perusahaan, atau
keuntungan
b) Dampak menengah - gangguan pendek proses kritis atau sistem
yang menghasilkan kerugian keuangan yang terbatas untuk unit
bisnis tunggal
c) Dampak Rendah - Gangguan tanpa kehilangan keuangan
19
2.7.5
Pengendalian yang direkomendasikan
Menurut Peltier (2005:25) setelah tingkat risiko telah ditetapkan, tim
akan mengidentifikasi kontrol atau perlindungan yang mungkin bisa
menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang
dapat diterima.
2.7.6
Dokumentasi
Menurut Peltier (2005:27) setelah analisis risiko selesai, hasilnya
harus didokumentasikan dalam format standar dan laporan yang dikeluarkan
kepada pemilik aset. Laporan ini akan membantu manajemen senior dan
pemilik bisnis membuat keputusan tentang kebijakan, prosedur, anggaran,
dan sistem dan perubahan manajemen. Laporan analisis risiko itu harus
disajikan secara sistematis dan analitis cara yang menilai risiko sehingga
manajemen senior akan memahami risiko dan mengalokasikan sumber daya
untuk mengurangi risiko ke tingkat yang dapat diterima.
2.8
Manajemen Risiko
Menurut Whitman & Mattord (2012: 119) definisi manajemen risiko
adalah "proses identifikasi risiko, yang diwakili oleh kerentanan, aset dan
infrastruktur informasi organisasi, dan mengambil langkah-langkah untuk
mengurangi risiko ini ke tingkat yang dapat diterima."
Menurut Rejda (2011: 42) manajemen risiko dapat didefinsikan sebagai
"Sebuah proses yang mengidentifikasi eksposur kerugian yang dihadapi oleh
suatu organisasi dan memilih teknik yang paling tepat untuk menangani
eksposur tersebut."
Dari pendapat diatas, dapat disimpulkan bahwa definisi manajemen
risiko adalah proses yang mengidentifikasi analisa risiko, mitigasi risiko, dan
evaluasi pengendalian yang di hadapi oleh suatu organisasi yang menyangkut
tentang informasi aset dan infrastruktur dan mengurangi risiko ke tingkat yang
dapat di terima.
20
2.9
Pengertian Asuransi
Asuransi menurut Mile (2011:36) merupakan sebuah usaha yang
kegiatan utamanya adalah menerima atau menjual jasa dengan cara
menghimpun dana masyarakat melalui pengumpulan premi asuransi, dan
memberikan perlindungan kepada anggota masyarakat pemakai jasa asuransi
terhadap kemungkinan timbulnya kerugian karena suatu peristiwa yang tidak
pasti atau terhadap hidup atau meninggalnya seseorang, dimana pihak pemakai
jasa asuransi (tertanggung) akan menerima manfaat financial karena kerugian
yang diderita tertanggung diganti sepenuhnya atau sebagian oleh perusahaan
asuransi (penanggung).
Asuransi menurut Kamus Besar Bahasa Indonesia (2014) adalah
perjanjian antara dua pihak, pihak yang satu berkewajiban membayar iuran dan
pihak yang lain berkewajiban memberikan jaminan sepenuhnya kepada
pembayar iuran apabila terjadi sesuatu yang menimpa pihak pertama atau
barang miliknya sesuai dengan perjanjian yang dibuat.
Asuransi menurut Purwanto & Ginanjar (2012:1) adalah “suatu
mekanisme yang memberikan perlindungan pada tertanggung apabila terjadi
risiko di masa mendatang, dengan suatu perjanjian yang melibatkan sekurang kurangnya terdapat pihak yang menderita kerugian dan pihak yang berjanji
untuk memberikan ganti rugi. Apabila risiko tersebut benar - benar terjadi
maka, pihak tertanggung akan mendapatkan ganti rugi sebesar nilai yang
diperjanjikan antara penanggung dan tertanggung”
Dari definisi diatas, dapat kami simpulkan bahwa asuransi merupakan
perjanjian antara dua pihak yaitu tertanggung dan penanggung, yang dimana
tertanggung membayar uang jaminan kepada penanggung sesuai dengan yang
telah disepakati.
2.10 Proses Bisnis Asuransi Secara Umum
Menurut Apparindo (2011) standar operasi prosedur asuransi yaitu :
1. Existing Client /Policy
Minimal 1 atau 2 bulan sebelum periode polis/pertanggungan
tertentu berakhir, agar diperhatikan hal-hal sebagai berikut:
21
1. Apakah terdapat outstanding premi yang belum diselesaikan oleh
Tertanggung, dan untuk hal ini agar dikoordinasikan dengan
Divisi/Unit Kerja yang terkait.
2. Apakah kondisi pertanggungan yang tengah berjalan sudah
merupakan yang terbaik untuk kondisi insurance market saat ini?
Jika belum, agar perluasan jaminan/kondisi pertanggungan
dimaksud
dapat
dimasukkan
pada
penawaran
program
perpanjangan asuransi untuk periode berikutnya.
3. Apakah nilai atau obyek pertanggungan tidak mengalami
perubahan, baik penambahan maupun pengurangan dan agar
untuk hal ini ditanyakan kepada pihak Tertanggung.
4. Agar diteliti bilamana masih ada kasus klaim atas Polis Asuransi
bersangkutan yang belum selesai prosesnya dan agar hal ini
disampaikan kepada pihak Tertanggung
2. Review and Redesign Existing Policy
1. Sebelum membuat review atas existing policy terlebih dahulu
dilakukan analisa mengenai current market conditions untuk
mengetahui perkembangan terkini dalam industry perasuransian.
2. Agar dikirimkan “Renewal Notice” yang dilengkapi dengan
usulan program perpanjangannya (“Renewal Program”) dan
penawaran jenis penutupan asuransi lainnya, bilamana ada.
3.
Atas dasar evaluasi data/informasi yang dikumpulkan, maka
selain menawarkan program perpanjangan Polis Asuransi yang
sudah ada, juga menawarkan penutupan Asuransi lainnya yang
sekiranya diperlukan oleh Tertanggung.
4. Bilamana diperlukan, survey ulang ke lokasi resiko dapat
dilakukan.
5. Pada tahap ini, Prinsip Mengenal Nasabah (Knowing Your
Customer) sudah dapat dilakukan.
3. Selection of Insurer(s)
Langkah berikutnya adalah pemilihan perusahaan asuransi yang akan dijadikan
sebagai Penanggung. Perlu diperhatikan agar perusahaan asuransi yang dipilih
harus memenuhi criteria dari berbagai aspek berdasarkan profil risiko, diantaranya
reputasi, kredibilitas, pengalaman dan tenaga ahli, kapasitas, pemodalan (asset,
22
ekuitas dan RBC), komitmen manajemen dan pelayanan klaim, dukungan atas
jenis risiko tertentu, serta kriteria terkait lainnya. Perlu juga diperhatikan kinerja
dan layanan atas existing Insurer(s) sebagai acuan dalam pemilihan perusahaan
asuransi pada program penutupan perpanjangan.
4. Insurance Placement
Usulan program perpanjangan asuransi (renewal programme) yang telah disusun,
selanjutnya ditawarkan kepada Perusahaan Asuransi guna mendapatkan dukungan
(back-up) asuransi.
5. Propose Quotation to Insured
Segera setelah program perpanjangan asuransi mendapatkan dukungan (back-up),
agar penawaran program perpanjangan asuransi (Quotation Slip) kepada
Tertanggung dikirimkan.
6. Presentation and Negotiation with Insured
Adakan pertemuan dengan pihak Tertanggung guna membahas program
perpanjangan asuransi dimaksud dan penawaran jenis penutupan asuransi lainnya,
bilamana ada.
1. Bilamana Tertanggung tidak menyetujui penawaran program
perpanjangan asuransi, maka selanjutnya closed file.
2. Bilaman terdapat bagian-bagian tertentu yang belum mendapat
persetujuan dari
3. Tertanggung, agar hal tersebut kembali dinegosiasikan ulang
kepada perusahaan asuransi.
7. Closing Instruction to Insurer(s)
Bilamana Tertanggung menyetujui penawaran renewal sesuai quotation slip yang
diajukan, maka segera dilakukan instruksi penutupan asuransi kepada Perusahaan
Asuransi yang memberikan dukungan.
Dapatkan konfirmasi ulang dari Penanggung tersebut secara tertulis sebagai bukti
bahwa resiko telah dicover, dan sedapat mungkin hindari konfirmasi yang bersifat
verbal.
Segera setelah mendapatkan konfirmasi tertulis dari Penanggung, maka account
tersebut segera dicatatkan dalam Laporan Produksi.
23
8. Collect Policy Documents
Monitor penerbitan dokumen polis dari perusahaan asuransi. Setelah
dokumen polis perpanjangan diterima, agar diteliti terlebih dahulu
apakah syarat dan ketentuan pertanggungan yang tercantum dalam polis
telah sesuai dengan syarat dan ketentuan pertanggungan yang disepakati.
Kemudian penerbitan Debit/Credit Note dapat diproses.
9. Deliver Policy Document to Insured
Setelah seluruh dokumen polis dipastikan benar, segera kirimkan
dokumen Debit Note beserta Polis Asuransi/Cover Note/Certificate
kepada Tertanggung. Sesuai ketentuan perundangan lainnya, agar
diterbitkan Surat Penunjukan dan Standar Pelayanan Broker Asuransi
yang ditandatangani dan Tertanggung.
10. Premium Payment from Insured and Pay to Insurer(s)
Berdasarkan dokumen Debit Note, agar Divisi Keuangan & Administrasi
dapat melakukan penagihan premi kepada Tertanggung, dan segera
memproses pembayaran premi kepada Penanggung segera setelah
Tertanggung melakukan pembayaran premi.
11. Filing
Semua dokumen polis termasuk administrasi penutupan perpanjangan
agar disusun secara akurat, lengkap dan updated.
2.11 Pengertian Klaim Asuransi
Menurut Rasyidah (2014:3) klaim asuransi merupakan sebuah
permintaan resmi kepada perusahaan asuransi meminta pembayaran
berdasarkan ketentuan perjanjian.
Menurut Kamus Besar Bahasa Indonesia (2014) tuntutan pengakuan
atas suatu fakta bahwa seseorang berhak (memiliki atau mempunyai) atas
sesuatu.
Klaim asuransi menurut Purwanto & Ginanjar (2012:3) “suatu
permintaan salah satu dari dua pihak yang mempunyai ikatan, agar haknya
terpenuhi. Satu dari dua pihak yang melakukan ikatan tersebut akan
24
mengajukan klaimnya kepada pihak lainnya sesuai dengan perjanjian atau
provos polis yang disepakati bersama oleh kedua belah pihak.”
Dari definisi diatas, dapat kami simpulkan bahwa kalim asuransi
merupakan pengakuan resmi atas dasar permintaan pribadi dan perusahaan
kepada perusahaan asuransi untuk meminta pembayaran atau hak mereka
sesuai dengan perjanjian yang telah disepakati.
2.12 Pengertian Polis Asuransi
Menurut
Rancangan
Peraturan
Menteri
Keuangan
Nomor:
/PMK.010/2012 (2012:2) polis asuransi adalah “dokumen perjanjian asuransi
antara penanggung dan pemegang polis atau tertanggung, yang memuat antara
lain ketentuan umum, ketentuan tambahan, ketentuan khusus, ikhtisar polis
dan/atau setiap endorsemen dan/atau perubahan lain yang terdapat di
dalamnya, yang ditandatangani oleh penanggung, beserta dokumen yang terkait
dengan proses penutupan asuransi termasuk surat permintaan penutupan
asuransi, bukti kepesertaan dan/atau dokumen lain yang terkait dengan polis,
yang secara keseluruhan merupakan satu kesatuan dan menjadi bagian yang
tidak terpisahkan dari polis.”
Menurut Kamus Besar Bahasa Indonesia (2014) polis asuransi adalah
“ kontrak tertulis antara maskapai asuransi dan pihak yang dijamin yang
memuat persyaratan dan ketentuan perjanjian.”
Dari definisi diatas, dapat kami simpulkan bahwa polis asuransi
adalah perjanjian yang berisikan ketentuan persyaratan maupun perjanjian
antara pemengang polis atau yang di sebut tertanggung dengan pihak asuransi.
2.13 Pengertian FRAAP
Menurut Peltier (2005:132) FRAAP adalah metodologi resmi yang
dikembangkan
melalui
pemahaman
proses
penilaian
risiko
kualitatif
dikembangkan sebelumnya dan memodifikasi mereka untuk memenuhi
kebutuhan saat ini.
25
Menurut Tse (2009:8) FRAAP adalah (Facilitated Risk Analysis and
Assessment Process) melibatkan analisis sistem, aplikasi, platform, proses
bisnis, atau segmen operasi bisnis secara individual, bergantung pada personel
yang dimiliki organisasi untuk melakukan proses penilaian risiko.
Dalam buku FRAAP tahun 2014 terdiri dari 3 fase yaitu pre-FRAAP,
FRAAP session, dan post-FRAAP.
2.13.1 Pre-FRAAP Meeting
Menurut Peltier (2014: 51), “The pre-FRAAP meeting adalah kunci
dari kesuksesan suatu proyek” Dalam Pre-FRAAP Meeting terdapat bagianbagian yaitu prescreening results, scope statement, visual diagram, establish
the FRAAP team, meeting mechanics, agreement on definitions. Dan berikut
merupakan tabel dari Risk assessment:
26
Tabel 2.1 Risk assessment definitions
Istilah
Definisi
Aset
Sebuah sumber daya yang berharga. Suatu aset
mungkin orang, benda fisik, proses, atau teknologi
Ancaman
Potensi untuk sebuah event, berbahaya atau
sebaliknya, yang akan merusak atau membahayakan
aset
Kemungkinan
Sebuah ukuran seberapa kemungkinan ancaman
mungkin terjadi
Dampak
Pengaruh ancaman yang dilakukan pada asetdinyatakan dalam istilah berwujud atau tidak
berwujud
Kerentanan
Setiap cacat atau kelemahan dalam pertahanan aset
yang dapat dimanfaatkan oleh ancaman untuk
membuat dampak pada aset
Risiko
Kombinasi ancaman, probabilitas, dan dampak
dinyatakan sebagai nilai dalam rentang yang telah
ditetapkan
Sumber: Peltier (2014: 53)
Dalam banyak penilaian risiko dapat menggunakan pengujian CIA
(confidentiality, integrity, and availability). Menurut Peltier (2014: 53), “CIA
adalah bentuk tradisional penilaian risiko, penting untuk dimengerti bahwa
ada atribut bisnis lainnya yang dapat digunakan dalam proses." Berikut
adalah tabel dari Business attribute definitions (CIA).
27
Tabel 2.2 Business Attribute Definitions (CIA)
CIA Example
Istilah
Definisi
Ketersediaan
Menjamin
informasi
dan
layanan komunikasi akan siap
untuk
digunakan
bila
diharapkan
Kerahasiaan
Jaminan bahwa informasi tidak
diungkapkan
kepada
entitas
atau proses yang tidak pantas
Integritas
Menjamin informasi tidak akan
disengaja atau diubah atau
dihancurkan
Sumber: Peltier (2014: 55)
2.13.2 FRAAP Session
Menurut Peltier (2014: 62), “FRAAP session yaitu pada saat eksekutif
bertanggung jawab atas aset yang dikaji." Bagian-bagian dari FRAAP
Session mengidentifikasi ancaman yang mungkin terjadi, identifikasi
ancaman mengunakan checklist, identifikasi kontrol, menentukan tingkat
risiko, residual risk, dan FRAAP Session Summary. Dan berikut adalah tabel
dari FRAAP brainstorming attribute 1.
28
Tabel 2.3 FRAAP Brainstorming Attribute 1
Integritas
Definisi: menjamin informasi Ancaman
tidak akan sengaja atau jahat
diubah atau dihancurkan
Aliran data dapat dicegat
Pemrograman yang rusak bisa
(secara
tidak
sengaja)
memodifikasi data
Salinan laporan dapat dialihkan
(tertulis atau elektronik) ke
orang yang tidak berhak atau
tidak disengaja
Data yang bisa dimasukkan
salah
Entri data yang salah Disengaja
Sumber: Peltier (2014: 66)
29
Di bawah ini adalah tabel dari FRAAP brainstorming attribute 2:
Tabel 2.4 FRAAP Brainstorming Attribute 2
Kerahasiaan
Definisi:
informasi
jaminan
tidak
bahwa Ancaman
diungkapkan
kepada entitas yang tidak pantas
E-mail yang tidak aman dapat
berisi informasi rahasia
atau proses
Pencurian informasi internal
Karyawan
tidak
dapat
memverifikasi identitas klien,
contoh: telepon menyamar
Informasi rahasia yang tersisa
terlihat jelas di atas meja
Diskusi sosial di luar kantor bisa
mengakibatkan pengungkapan
informasi sensitif
Sumber: Peltier (2014: 67)
30
Di bawah ini adalah tabel dari FRAAP brainstorming attribute 3:
Tabel 2.5 Brainstorming Attribute 3
Ketersediaan
Definisi: menjamin informasi Ancaman
dan layanan komunikasi akan File yang disimpan dalam
siap untuk digunakan bila direktori pribadi mungkin tidak
diharapkan
tersedia bagi karyawan lain bila
diperlukan
Kegagalan
hardware
mempengaruhi
dapat
ketersediaan
sumber daya perusahaan
Kegagalan
dalam
rangkaian
data yang bisa melarang akses
sistem
Bencana alam-tsunami / badai
Peningkatan dalam perangkat
lunak dapat melarang akses
Sumber: Peltier (2014: 67)
Setelah mengidentifikasi ancaman yang mungkin terjadi, identifikasi
ancaman mengunakan checklist, identifikasi kontrol. Maka dapat dilakukan
penentuan tingkat risiko. Penentuan tingkat risiko terbagi menjadi lima
bagian yaitu probability, threshold level, high, medium, dan low. Dan berikut
adalah tabel dari FRAAP Probability Thresholds:
31
Tabel 2.6 FRAAP Probability Thresholds
Istilah
Definisi
Kemungkinan
Sebuah
ukuran
seberapa
kemungkinan ancaman mungkin
terjadi
Ambang Tingkat
Tinggi
Sangat
mungkin
bahwa
ancaman akan terjadi dalam
tahun depan
Menengah
Kemungkinan bahwa ancaman
akan terjadi dalam tahun depan
Rendah
Sangat tidak mungkin bahwa
ancaman akan terjadi dalam
tahun depan
Sumber: Peltier (2014: 72)
32
Di bawah ini adalah tabel dari Risk level color key:
Tabel 2.7 Risk Level Color Key
Warna
Tingkat risiko
Kegiatan
Merah
Tinggi
Memerlukan
tindakan segera
Kuning
Menengah
Mungkin
memerlukan
tindakan, harus terus
memantau
Hijau
Rendah
Tidak ada tindakan
yang diperlukan saat
ini
Sumber: Peltier (2014: 74)
2.13.3 Post-FRAAP Meeting
Post FRAAP Meeting hasilnya dianalisis dan Manajemen Ringkasan
Laporan selesai. Untuk menyelesaikan proses ini dapat memakan waktu
hingga lima hari kerja (Peltier, 2014:46
2.14 UML Diagram
2.14.1
Pengertian
Ferrante, Bonacina, & Pinciroli (2013: 2) menjelaskan bahwa "UML
adalah bahasa pemodelan berorientasi obyek digunakan untuk menentukan,
memvisualisasikan, memodifikasi, membangun dan mendokumentasikan
bahkan proses yang kompleks dari sistem perangkat lunak yang dalam
pengembangan."
Menurut Satzinger, Jackson, & Burd (2012: 46) UML diagram
adalah "UML adalah himpunan standar model konstruksi dan notasi yang
didefinisikan oleh Object Management Group (OMG), sebuah organisasi
standar untuk pengembangan sistem."
33
Dari definisi diatas, dapat kami simpulkan bahwa UML diagram
adalah bahasa pemodelan berorientasi obyek yang berfungsi untuk membantu
sistem perangkat lunak yang dalam tahap pengembangan dan telah
didefinisikan oleh organisasi standar untuk pengembangan sistem yang
bernama Object Management Group (OMG).
2.14.1.1
Activity Diagram
Menurut Satzinger, Jackson, & Burd (2012: 57) Activity
Diagram merupakan "diagram aktivitas yang menggambarkan
kegiatan pengguna (atau sistem), orang yang melakukan setiap
kegiatan, dan aliran sekuensial dari kegiatan ini.
2.14.1.2
Use Case
Menurut Satzinger, Jackson, & Burd (2012: 69) use case
merupakan "kegiatan yang sistem lakukan, biasanya dalam
menanggapi permintaan oleh pengguna."
-End1
-End2
Ship item
*
*
Shipping Clerk
Gambar 2.2 Contoh Use Case with actor Satzinger, Jackson, & Burd
(2012: 69)
2.14.1.3
Domain Model Class Diagram
Menurut Satzinger, Jackson, & Burd (2012: 101) class diagram
merupakan "Class adalah kategori atau klasifikasi yang digunakan untuk
menggambarkan koleksi benda-benda. Setiap objek milik kelas." Kelas
34
domain Dan domain classes merupakan "class yang menggambarkan halhal dalam masalah domain disebut kelas domain. "
Domain
Model
merupakan
UML
yang
digunakan
untuk
menunjukkan kelas objek untuk sistem. Salah satu jenis UML class diagram
yang menunjukkan hal-hal di domain masalah pengguna 'disebut diagram
model domain kelas (Satzinger, Jackson, & Burd, 2012: 101).
2.14.1.4
Event Table
Menurut Satzinger, Jackson, & Burd (2009: 168) Event Table adalah
"Katalog use case yang berisi kejadian dalam baris dan potongan kunci dari
informasi tentang setiap peristiwa di dalam kolom."
Tabel 2.3 Contoh Event Table Satzinger, Jackson, & Burd (2009: 168)
Event
Trigger
Source
Use case
Response
Destination
Pelanggan
Permintaan
Pelanggan
Mencari
Ketersediaan
pelanggan
ingin
barang
barang
barang
mengecek
yang
ketersediaan
tersedia
barang
1. Event : Orang yang input data ke dalam sistem
2. Trigger : Sinyal yang memberitahu sistem bahwa suatu peristiwa telah
terjadi, baik kedatangan data membutuhkan pengolahan atau titik
waktu
3. Source : Agen eksternal atau aktor yang memasok data ke sistem
4. Use case: Kegiatan yang sistem melakukan, biasanya dalam
menanggapi permintaan oleh pengguna
5. Response: Sebuah output, yang dihasilkan oleh sistem, yang masuk ke
tujuan
6. Destination: Agen eksternal atau aktor yang menerima data dari
sistem
35
2.14.1.5
Storyboard
Menurut Satzinger, Jackson, & Burd (2012:200) storyboard
merupakan "Urutan sketsa storyboarding dari tampilan layar saat
dialog." Storyboard dapat ditinjau oleh pengguna dan desainer
untuk mengidentifikasi hilangnya atau informasi asing dan
mendiskusikan berbagai pilihan untuk implementasi akhir, yang
mungkin didasarkan pada halaman web yang ditampilkan pada
layar besar, dialog window tradisional, atau user interface untuk
aplikasi perangkat mobile.
2.15
Tata Kelola TI
Menurut Lulu (2013) Dalam definisi diatas diterangkan bahwa “IT
governance
merupakan
bagian
dari
pengelolaan
perusahaan
secara
keseluruhan, meliputi pimpinan, struktur organisasi dan proses, yang
digunakan untuk memastikan keberlajutan TI dalam organisasi dan
pengembangan tujuan dan strategi organisasi. Hal ini berarti lebih
menitikberatkan bagaimana membantu mengatur dan mengarahkan perilaku
penggunaan TI agar sesuai dengan prilaku yang diinginkan (yaitu prilaku
yang sesuai dengan visi misi, nilai-nilai, strategi dan budaya organisasi).”
2.16
Standar Kerja ISACA (ITAF)
Menurut ISACA (2014) “The Information Technology Assurance
Framework (ITAF) adalah model yang komprehensif dan model goodpractice-setting bahwa:
1. Menyediakan panduan dalam desain, pelaksanaan dan pelaporan
audit TI dan jaminan tugas
2. Mendefinisikan istilah dan konsep khusus untuk IT jaminan
3. Menetapkan standar yang membahas mengaudit IT dan peran
profesional jaminan dan tanggung jawab; pengetahuan dan
keterampilan, dan ketekunan, perilaku dan persyaratan pelaporan
ITAF menyediakan satu sumber di mana audit TI dan jaminan
profesional dapat mencari panduan, penelitian kebijakan dan prosedur,
36
memperoleh audit dan program jaminan, dan mengembangkan laporan yang
efektif. Sementara ITAF menggabungkan standar ISACA dan bimbingan
yang ada, telah dirancang untuk menjadi dokumen yang hidup. Sebagai
pedoman baru dikembangkan dan dikeluarkan, maka akan terindeks dalam
kerangka.”
2.17
Previous Study
2.17.1 Previous Study Klaim
Previous study 1: Pelaksanaan Tanggung Jawab Pihak Penanggung Terhadap
Pengajuan Klaim Asuransi Kesehatan Oleh Tertanggung Di PT AXA
MANDIRI FINANCIAL SERVICES
Dalam penelitian sebelumnya yg dilakukan oleh Nugraha (2009) di
jelaskan bahwa perkembangan asuransi di Indonesia berkembang sesuai
dengan kebutuhan masyarakat dari tahun ke tahun, dengan adanya program
perlindungan kesehatan selain dilakukan oleh Pemerintah juga dilakukan oleh
para pihak swasta dalam hal ini adalah PT AXA MANDIRI FINANCIAL
SERVICES. Permasalahan yang diangkat dalam penelitian ini berkaitan
dengan tentang tanggung jawab perusahaan asuransi kepada pemegang
asuransi terhadap pengajuan klaim asuransi kesehatan, dan juga untuk
mengetahui hambatan dan upaya-upaya yang dilakukuan dalam menangani
klaim yang terjadi sesuai dengan Prosedur penyelesaian klaim ganti rugi
dalam asuransi kesehatan sesuai dengan pasal pasal yang terdapat dalam polis
perjanjian antara Tertanggung dengan Penanggung, yang didalamnya terdapat
prosedur tentang cara klaim. Metode pendekatan yang digunakan oleh
Yulistya Adi Nugraha yaitu pendekatan yuridis empiris yaitu suatu penelitian
yang menekankan pada fakta fakta yang diperolehnya dari hasil penelitian
yang didasarkan pada metode ilmiah serta juga berpedoman pada teori hukum
dan perundang-undangan yang ada. Berdasarkan pembahasan dari hasil
penelitian ditemukan adanya hambatan dalam pelaksanaan klaim kesehatan
oleh penanggung yaitu adanya ketidak jujuran oleh calon tertanggung dalam
pengisian Surat Pengajuan Asuransi Jiwa yang diisi tidak sesuai dengan data
keadaan yang sebenarnya dan birokrasi dari Rumah Sakit dalam hal ini yang
penulis dapat di lapangan adalah Rumah Sakit Pemerintah yaitu dalam
37
mengeluarkan berkas dokumen klaim yang mengakibatkan klaim ditolak oleh
penanggung,
kurangnya
manajemen
Rumah
Sakit
memperhatikan
departemen penanganan asuransi non PT ASKES yang mengakibatkan
tertanggung dalam hal memperoleh data rekam medis melalui beberapa
tahapan tahapan birokrasi yang berdampak pada lamanya klaim yang
diajukan.
2.17.2 Previous Study FRAAP
Previous study 2: Risk Management In Information Technology Using
Facilitated Risk Analysis Process (FRAP) (Case Study: Academic
Information Systems Of Satya Wacana Christian University)
Dalam penelitian sebelumnya yang dilakukan oleh Bale, Sediyono, &
Marwata (2014) membahas manajemen risiko teknologi informasi untuk
mendukung keberlanjutan sistem informasi akademik di universitas. Tujuan
dari penelitian ini adalah untuk mengidentifikasi dan mengukur risiko
penerapan teknologi informasi dalam sistem informasi akademik di tingkat
universitas, dengan kasus di Satya Wacana Christian University (SIA-SAT),
SIA-SAT adalah sebuah sistem terintegrasi dengan berbagai macam layanan
untuk mendukung kegiatan akademik dalam Universitas Kristen Satya
Wacana. SIA-SAT tersedia bagi dosen dan mahasiswa, memprioritaskan
risiko teknologi informasi yang ditemukan, dan menentukan bagaimana
resiko dapat dikendalikan atau dikurangi. Metodologi yang digunakan oleh
para peneliti adalah metode kualitatif, data yang dikumpulkan melalui studi
kepustakaan dan studi lapangan: wawancara, observasi dan metode analisis
Facilitated Risk Analysis Process (FRAP). Hasil yang dicapai adalah
penemuan risiko, yaitu risiko yang terutama ketersediaan layanan, keamanan
dan integritas data, serta kebijakan layanan. Penanganan risiko kemudian
dilakukan melalui tahapan FRAP, daftar bentuk kontrol untuk setiap risiko,
menentukan kontrol yang melalui lembar referensi silang, dan rekomendasi
tindakan yang dapat dilakukan dalam rencana aksi. Peneliti juga
menyimpulkan bahwa metode FRAP dapat diterapkan di lingkungan
universitas, metode sebelumnya banyak digunakan oleh berbagai perusahaan
untuk melakukan manajemen risiko. Dalam kasus SIA-SAT, FRAP
38
digunakan karena ada beberapa peserta yang terlibat langsung dalam
pengelolaan dan pengembangan sistem, yang melibatkan ahli lokal peserta
sendiri, tidak mahal dan membutuhkan waktu yang relatif singkat. Proses
FRAP memanfaatkan pengetahuan yang dimiliki oleh ahli lokal, sehingga
analisis bisa dilakukan relatif cepat. Proses FRAP dapat diselesaikan untuk
rata-rata satu jam per sesi selama maksimal lima hari.
39
Contents
BAB 2 ........................................................................................................................................ 7
LANDASAN TEORI ..................................................................................................................... 7
2.1
Pengertian Sistem Informasi .................................................................................... 7
2.2
Definisi Risiko ......................................................................................................... 7
2.2.1
Ancaman .......................................................................................................... 9
2.2.2
Kerentanan ....................................................................................................... 9
2.2.3
Risiko ............................................................................................................. 10
2.3
Analisis Risiko ....................................................................................................... 10
2.4
Mitigasi Risiko ....................................................................................................... 11
2.5
Penilaian Risiko ..................................................................................................... 12
2.5.1
Definisi Aset .................................................................................................. 16
2.5.2
Identifikasi Ancaman ..................................................................................... 13
2.5.3
Menentukan Probabilitas Kejadian ................................................................ 18
2.5.4
Menentukan Dampak Ancaman ..................................................................... 18
2.5.5
Pengendalian yang direkomendasikan ........................................................... 19
2.5.6
Dokumentasi .................................................................................................. 19
2.6
Manajemen Risiko ................................................................................................. 19
2.7
Pengertian Asuransi ............................................................................................... 20
2.8
Pengertian Klaim Asuransi .................................................................................... 23
2.9
Pengertian Polis Asuransi ...................................................................................... 24
2.10
Pengertian FRAAP................................................................................................. 24
2.10.1
Pre-FRAAP Meeting ...................................................................................... 25
2.10.2
FRAAP Session ............................................................................................. 27
2.10.3
Post-FRAAP Meeting .................................................................................... 32
2.11
UML Diagram ........................................................................................................ 32
2.11.1
2.12
Pengertian ...................................................................................................... 32
Previous Study ....................................................................................................... 36
40
2.12.1
Previous Study Klaim ..................................................................................... 36
2.12.2
Previous Study FRAAP .................................................................................. 37
Download