BAB 2 LANDASAN TEORI 2.1 Pengertian Sistem Informasi Menurut Satzinger, Jackson, & Burd (2012:4) dalam buku System Analysis And Design In A Changing World edisi keenam di definisikan bahwa “sistem informasi adalah kumpulan dari komponen-komponen komputer yang saling berhubungan yang bertujuan untuk mengumpulkan, memproses dan menyimpan (biasanya di dalam sebuah database) dan menyediakan informasi yang dijadikan sebagai keluaran (output) yang dibutuhkan untuk menyelesaikan tugas-tugas bisnis.” Menurut Rainer & Cegielski (2013:5) “sebuah sistem informasi mengumpulkan, memproses, menyimpan menganalisa, dan menyebarkan informasi untuk tujuan tertentu." Dengan demikian merupakan serangkaian dapat disimpulkan bahwa sistem informasi komponen yang terdiri dari mengumpulkan, memproses, menyimpan, menganalisis dan menyebarkan informasi untuk tujuan tertentu dan memberikan keluaran untuk pengguna yang di dalamnya terdapat input, proses, output. 2.2 Komponen Aplikasi Sistem Informasi Menurut Saputra, Astuti, & Rahardjo (2014) komponen-komponen aplikasi sistem informasi terdiri dari yaitu : 1. Hardware Hardware merupakan peralatan phisik yang dapat digunakan untuk mengumpulkan, memasukan, memproses, menyimpan dan mengeluarkan hasil pengolahan data dalam bentuk Informasi. 2. Software Software adalah kumpulan dari programprogram yang digunakan untuk komputer.Software menjalankan aplikasi tertentu dikelompokkan menjadi dua pada kelompok berdasarkan fungsinya yaitu perangkat lunak sistem (system software) dan perangkat lunak aplikasi (aplication software). 7 8 Perangkat lunak sistem merupakan kumpulan dari perangkat lunak yang digunakan untuk mengendalikan sistem komputer yang meliputi sistem operasi (operating system), interprenter dan compiller (kompiler). 3. Brainware Brainware merupakan sumber daya yang terlibat dalam pembuatan sistem informasi, pengumpulan dan pengolahan data, pendistribusian dan pemanfaatan informasi yang dihasilkan oleh sistem informasi tersebut. Konsep Dasar Aplikasi Aplikasi berasal dari kata application yaitu bentuk benda dari kata kerja to apply yang dalam bahasa Indonesia berarti pengolah. Secara istilah, aplikasi komputer adalah suatu sub kelas perangkat lunak komputer yang menggunakan kemampuan komputer langsung untuk melakukan suatu tugas yang diinginkan pemakai. Contoh utama perangkat lunak aplikasi adalah program pengolah kata, lembar kerja, dan pemutar media. 2.3 Keamanan Sistem Informasi Keamanan Menurut Akins, Chukwuanu, & Thomas (2013:2) keamanan sistem informasi dan keamanan komputer merupakan bagian penting dalam melakukan bisnis. Keamanan sistem informasi adalah segala bentuk mekanisme yang harus dijalankan dalam sebuah sistem yang ditujukan oleh sistem tersebut agar terhindar dari segala ancaman yang membahayakan yang pada hal ini keamanannya melingkupi keamanan data atau informasinya ataupun pelaku sistem (user) merupakan unsur yang perlu di perhatikan karena keamanan sistem informasi tersebut merupakan hal yang rentan terhadap berbagai ancaman. Seiring berkembangnya teknologi informasi, maka kesempatan terjadinya risiko akan semakin besar pula. 9 2.4 Definisi Risiko 2.4.1 Ancaman Menurut Kouns & Minoli (2010:33) definisi ancaman adalah "sebuah sumber potensial dari serangan insiden yang dapat mengakibatkan perubahan yang merugikan aset atau kelompok aset dari suatu organisasi." Definisi lain mengenai ancaman menurut Whitman & Mattord (2012: 11) adalah "Sebuah kategori benda, orang, atau badan lainnya yang menghadirkan bahaya bagi aset. Ancaman selalu hadir dan dapat dengan sengaja atau tidak terarah. Sebagai contoh, hacker sengaja mengancam sistem informasi yang tidak dilindungi, sementara badai parah kebetulan mengancam bangunan dan isinya. " Dari definisi diatas, kami menyimpulkan bahwa ancaman adalah kegiatan yang baik dengan sengaja atau tidak disengaja yang dapat membahayakan keutuhan atau keselamatan aset yang dimiliki perusahaan. 2.4.2 Kerentanan Definisi kerentanan menurut Kouns & Minoli (2010:33) adalah "Kelemahan dari aset yang dapat dimanfaatkan oleh ancaman." Kerentanan adalah sebuah kelemahan atau kesalahan di suatu sistem atau mekanisme perlindungan yang terbuka untuk diserang atau dirusak. Beberapa contoh dari kerentanan adalah sebuah kecacatan dalam sebuah usia paket perangkat lunak, sebuah sistem port yang tidak terlindungi, dan sebuah pintu yang tidak terkunci. Beberapa kerentanan yang terkenal sudah di periksa, didokumentasikan, dan diterbitkan, lainnya masih tersembunyi atau belum ditemukan (Whitman & Mattord, 2012:11). Dari definisi diatas, kami menyimpulkan bahwa kerentanan adalah kemungkinan suatu objek terkena suatu hal yang berisiko oleh 10 faktor-faktor yang berkaitan dengan rusak atau lemahnya suatu objek tersebut. 2.4.3 Risiko Risiko adalah kombinasi hitung matematika terhadap kemungkinan suatu kejadian dan dengan dampak sedangkan dampaknya dari nilai loss yang di ekspetasi (Kouns & Minoli, 2010:34). Menurut Cegielski & Rainer (2013:10) definisi risiko adalah "probabilitas bahwa ancaman akan berdampak pada sumber informasi." Whitman & Mattord (2012:11) lebih spesifik menyatakan bahwa risiko adalah "probabilitas bahwa sesuatu yang tidak diinginkan akan terjadi. Organisasi harus meminimalkan risiko untuk mencocokkan selera risiko mereka - organisasi bersedia menerima kuantitas dan sifat dari risiko." Menurut Peltier (2005:8) “Risiko merupakan ancaman yang mengeksploitasi beberapa kerentanan yang dapat menyebabkan kerugian bagi asset.” Dari definisi diatas, kami menyimpulkan bahwa risiko adalah sesuatu yang mengarah pada ketidakpastian atas terjadinya suatu peristiwa yang menyebabkan suatu kerugian yang berpengaruh terhadap aset dari suatu perusahaan. 2.5 Analisis Risiko Menurut Peltier (2005:15) analisis risiko adalah “sebuah teknik yang dilakukan untuk mengidentifikasikan dan menilai faktor-faktor yang mungkin membahayakan bagi kesuksesan dari sebuah proyek atau dalam mencapai suatu tujuan.” Menurut Berg (2010:1) analisis risiko “melibatkan pertimbangan sumber risiko, konsekuensi dan kemungkinan untuk memperkirakan risiko yang melekat atau risiko yang tidak dilindungi tanpa kontrol di tempat. Hal ini juga melibatkan identifikasi kontrol, estimasi efektivitas mereka dan tingkat 11 resultan risiko dengan kontrol di tempat (risiko yang dilindungi, residual atau dikendalikan). 2.6 Mitigasi Risiko Menurut Peltier (2005:38) mitigasi risiko adalah “sebuah metodologi sistematis yang digunakan oleh manajemen senior untuk mengurangi risiko di dalam organisasi.” Enam metode yang paling umum dari mitigasi risiko: 1. Asumsi Risiko - Setelah memeriksa ancaman dan menentukan tingkat risiko, temuan tim memimpin manajemen untuk menentukan bahwa itu adalah keputusan bisnis terbaik untuk menerima risiko potensial dan terus beroperasi. Ini merupakan hasil yang dapat diterima dari proses penilaian risiko. Jika, setelah menyelesaikan proses penilaian risiko, manajemen memutuskan untuk menerima risiko, maka telah melakukan uji tuntas. 2. Pengurangan Risiko - Manajemen senior menyetujui pelaksanaan kontrol yang direkomendasikan oleh tim manajemen risiko yang akan menurunkan risiko ke tingkat yang dapat diterima. 3. Penghindaran risiko - Ini adalah di mana setelah melakukan penilaian risiko, manajemen memilih untuk menghindari risiko dengan menghilangkan proses yang dapat menyebabkan risiko. Misalnya, sebelumnya fungsi tertentu atau perangkat tambahan untuk sistem atau aplikasi karena penilaian risiko hasil manajemen memimpin untuk menyimpulkan bahwa untuk melanjutkan, organisasi akan ditempatkan di eksposur yang terlalu besar. 4. Limit risiko - Untuk membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak merugikan dari ancaman. Ini adalah proses standar yang digunakan saat penilaian risiko selesai. Setelah mengidentifikasi ancaman, menetapkan tingkat risiko, dan memilih kontrol yang wajar dan bijaksana, manajemen membatasi eksposur risiko. 12 5. Perencanaan Risiko - Ini adalah proses di mana ia memutuskan untuk mengelola risiko dengan mengembangkan arsitektur yang memprioritaskan, mengimplementasikan, dan memelihara kontrol. 6. Transferensi Risiko - Manajemen transfer risiko dengan menggunakan pilihan lain untuk mengkompensasi kerugian, seperti pembelian polis asuransi. 2.7 Penilaian Risiko Kouns & Minoli (2010:7) menjelaskan bahwa penilaian risiko adalah keseluruhan proses yang berkaitan dengan mengidentifikasi risiko, menganalisa risiko, dan mengevaluasi risiko. Menurut Gantz (2014:29) penilaian risiko “mencakup identifikasi ancaman dan sumber risiko dan penentuan besarnya relatif risiko dari masingmasing sumber.” Menurut Istiningrum (2011:3) adalah “Penilaian risiko adalah metode sistematis dalam melihat aktivitas kerja, memikirkan apa yang dapat menjadi buruk, dan memutuskan kendali yang cocok untuk mencegah terjadinya kerugian, kerusakan, atau cedera di tempat kerja.” Menurut Peltier (2005:16) penilaian risiko merupakan “proses kedua dalam siklus hidup proses manajemen risiko. Organisasi menggunakan manajemen risko untuk menentukan apakah ada ancaman untuk sebuah aset dan tingkat risiko yang terkait ancaman tersebut.” Dari pendapat diatas, definisi penilaian risiko menurut kelompok kami adalah kegiatan penilaian atas kemungkinan terjadinya kejadian yang mengancam pencapaian tujuan perusahaan. Terdapat 6 (enam) langkah yang dapat memberikan 3 (tiga) kebutuhan yang disampaikan. Masing-masing dari enam langkah akan membutuhkan tim penilaian risiko untuk mengeksplorasi kebutuhan mereka secara menyeluruh. 13 2.7.1 Identifikasi Ancaman Menurut Peltier (2005:18) biasanya, ada tiga kategori utama dari sumber ancaman: a. Ancaman alam: Banjir, gempa bumi, tornado, tanah longsor, longsoran, badai listrik, dan acara-acara seperti lainnya. b. Ancaman manusia – Peristiwa yang baik diaktifkan oleh atau disebabkan oleh manusia, seperti tindakan yang tidak disengaja (kesalahan dan kelalaian) atau tindakan yang disengaja (fraud, perangkat lunak berbahaya, akses yang tidak sah). Secara statistik, ancaman yang menyebabkan kerugian terbesar untuk sumber daya informasi sisa dari kesalahan manusia dan kelalaian c. Ancaman lingkungan - listrik padam jangka panjang, polusi, tumpahan bahan kimia, kebocoran cairan 2.7.1.1 Unsur Ancaman Menurut Peltier (2005:46) ketika memeriksa ancaman, para ahli mengidentifikasi tiga elemen yang terkait dengan ancaman: a. Agen: Katalis yang melakukan ancaman. Agen dapat manusia, mesin, atau alam. b. Motif: Sesuatu yang menyebabkan agen untuk bertindak. tindakan ini dapat berupa disengaja atau tidak disengaja. Berdasarkan unsur-unsur yang membuat agen, satu-satunya faktor pendorong yang dapat keduanya dapat baik secara kebetulan dan disengaja manusia. c. Hasil: Hasil dari ancaman diterapkan. Untuk informasi profesi keamanan, hasil biasanya menyebabkan hilangnya akses, akses yang tidak sah, modifikasi, pengungkapan, atau penghancuran aset informasi. 14 2.7.1.2 Tingkat Terjadinya Ancaman Menurut Peltier (2005:48) setelah aset dan ancaman telah diidentifikasi, maka akan diperlukan untuk membangun beberapa hubungan antara keduanya. Salah satu bentuk yang paling dasar dari risiko analisis ini sebuah proses yang dikenal sebagai annual loss exposure (ALE). ALE mengambil value (V) dari aset dan kemudian menggunakan likelihood (L) dari kejadian ancaman dalam rumus untuk menghitung ALE: V × L = ALE 2.7.1.3 Penentuan Tingkat Risiko Menurut Peltier (2005:50) setelah daftar ancaman telah selesai, maka akan diperlukan untuk menentukan seberapa besar kemungkinan ancaman yang akan terjadi. Tim penilaian risiko akan menarik suatu kemungkinan keseluruhan yang menunjukkan kemungkinan bahwa potensi ancaman dapat dilakukan terhadap aset penilaian risiko yang dikaji. Metode lainnya adalah untuk menguji tingkat risiko dengan mempertimbangkan kontrol yang ada. Hal ini akan memungkinkan tim untuk memeriksa kontrol yang ada dan menetapkan tingkat risiko berdasarkan seberapa efektif kontrol yang ada. Metode ini biasanya digunakan ketika memeriksa spesifik Local Area Network (LAN), aplikasi, atau subnet. Setelah probabilitas bahwa ancaman mungkin terjadi telah ditentukan, dampak bahwa ancaman akan dimiliki pada organisasi harus dibenahi. Sebelum memulai analisis dampak, hal ini diperlukan untuk memperoleh hal-hal berikut: a. Misi aset: Hal ini dilakukan sebagai bagian dari pernyataan ruang lingkup proyek. Pernyataan lingkup harus dibicarakan dengan tim pada awal proses penilaian risiko. b. Sensitivitas informasi: Untuk melakukan penilaian risiko yang sukses, semua orang harus mengetahui sensitivitas informasi yang akan ditangani oleh aktiva dalam ulasan. 15 c. Aset kekritisan: Seberapa penting aset ini untuk misi organisasi? Ini akan diperlukan untuk melakukan dampak bisnis analisis (BIA) dari aset untuk menentukan kekritisan relatif. 2.7.1.4 Kontrol dan Upaya Perlindungan Menurut Peltier (2005:52) setelah tingkat risiko telah ditetapkan, tim akan mengidentifikasi kontrol atau perlindungan yang berada di tempat atau dapat diletakkan di tempat untuk kemungkinan menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. Oleh karena itu, akan sangat penting untuk mengidentifikasi beberapa titik kontrol dan upaya perlindungan sebaik mungkin yang dapat mengurangi tingkat eksposur risiko. Dengan melakukan ini, tim akan mampu mendokumentasikan semua pilihan yang dipertimbangkan. 2.7.1.5 Manfaat Analisis Biaya Menurut Peltier (2005:74) untuk mengalokasikan sumber daya dan menerapkan kontrol biaya yang efektif organisasi, setelah mengidentifikasi semua kemungkinan kontrol dan mengevaluasi kelayakan mereka dan keefektivitas harus melakukan analisis manfaat biaya. Proses ini harus dilakukan untuk setiap kontrol baru atau ditingkatkan untuk menentukan apakah kontrol direkomendasikan sesuai untuk organisasi. Sebuah manfaat analisis biaya harus menentukan dampak dari penerapan kontrol baru atau kontrol yang ditingkatkan dan kemudian menentukan dampak dari tidak menerapkan control. Saat melakukan analisis manfaat biaya, Perlu untuk mempertimbangkan biaya pelaksanaan didasarkan pada beberapa hal berikut: a) Biaya pelaksanaan, termasuk pengeluaran awal untuk perangkat keras dan perangkat lunak b) Penurunan efektivitas operasional c) Pelaksanaan kebijakan dan prosedur untuk mendukung tambahan kontrol baru 16 d) Biaya dari kemungkinan mempekerjakan staf tambahan atau, minimal, pelatihan staf yang ada di kontrol baru e) Biaya staf pendukung pendidikan untuk mempertahankan efektivitas pengendalian menentukan dampak dari tidak menerapkan pengendalian. 2.7.1.6 Dokumentasi Menurut Peltier (2005:74) setelah penilaian risiko selesai, hasilnya harus didokumentasikan dalam format standar dan laporan yang dikeluarkan kepada pemilik aset. Laporan ini akan membantu manajemen senior membuat keputusan tentang kebijakan, prosedur, anggaran, dan sistem dan perubahan manajemen. Laporan penilaian risiko harus disajikan secara sistematis dan analitis yang menilai risiko sehingga manajemen senior akan memahami risiko dan mengalokasikan sumber daya untuk mengurangi risiko ke tingkat yang dapat diterima. 2.7.2 Definisi Aset Menurut Peltier (2005:16) dalam melakukan penilaian risiko pemimpin tim dan pemilik yang mendefinisikan proses, aplikasi, sistem, atau aset yang sedang dikaji. Kuncinya di sini adalah untuk menetapkan batasbatas apa yang ditinjau. Membutuhkan waktu yang cukup lama dalam membangun penyataan mengenai ruang lingkup untuk didiskusikan dan menjelaskan ukuran dari proyek, berikut ini beberapa item yang harus di pertimbangkan setiap kali: a. Tujuan: Sepenuhnya memahami tujuan proyek. Apa kebutuhan dalam mengemudikan proyek? Jika tujuannya adalah untuk memperbaiki masalah, mengidentifikasi penyebab masalah. Sebuah analisis resiko yang telah dilakukan memutuskan bahwa proyek ini adalah untuk bergerak maju. Ulasan hasil dari proses ini untuk lebih memahami tujuan proyek. b. Pelanggan: Pelanggan Anda adalah orang atau unit yang memiliki kebutuhan bahwa proyek ini dimaksudkan untuk mengisi. 17 Menentukan siapa pelanggan nyata dan mencatat pemangku kepentingan lainnya. c. Deliverables: Ini adalah hal-hal tertentu yang akan disampaikan kepada pelanggan. Dalam penilaian risiko, deliverables biasanya adalah: a) Ancaman diidentifikasi b) Tingkat Risiko didirikan c) Kemungkinan kontrol diidentifikasi d. Sumber daya: Sumber daya apa yang akan diperlukan untuk mencapai proyek? Sumber tersebut antara lain: a) Uang b) Personil c) Peralatan d) Kebutuhan e) Layanan e. Kendala: Mengidentifikasi kegiatan-kegiatan yang dapat mempengaruhi deliverables proyek. Mertimbangkan hal-hal seperti: a) Hukum b) Kebijakan c) Prosedur d) Keterbatasan Sumber Daya f. Asumsi: Mengidentifikasi hal-hal yang tim proyek percaya benar atau lengkap: a) Penilaian risiko Infrastruktur telah selesai. b) Dasar set kontrol telah dilaksanakan. g. Kriteria: Kesepakatan khusus bagaimana pelanggan akan mengevaluasi keberhasilan proyek. Apa kriteria pelanggan untuk unsur - unsur elemen dari proyek? a) Ketepatan waktu b) Biaya c) Kualitas 18 2.7.3 Menentukan Probabilitas Kejadian Menurut Peltier (2005:19) tim manajemen risiko akan ingin menurunkan suatu kemungkinan keseluruhan yang menunjukkan kemungkinan bahwa ancaman potensial dapat dilakukan terhadap aset penilaian risiko dikaji. Ini akan diperlukan untuk menetapkan definisi pada kemungkinan dan sejumlah istilah kunci lainnya. Berikut ini adalah definisi sampel probabilitas atau kemungkinan bahwa ancaman mungkin terjadi: A. Probabilitas - Kemungkinan bahwa peristiwa ancaman akan terjadi a) Probabilitas Tinggi - Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan b) Probabilitas Medium - mungkin bahwa ancaman mungkin terjadi selama tahun depan c) Probabilitas Rendah - Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun depan 2.7.4 Menentukan Dampak Ancaman Menurut Peltier (2005:24) saat menentukan tingkat risiko (probabilitas dan dampak), maka akan diperlukan untuk membangun kerangka kerja yang evaluasi adalah terjadi. Dampak Ukuran besarnya kerugian atau kerusakan pada nilai asset: a) Dampak tinggi - mematikan unit bisnis penting yang mengarah ke kerugian yang signifikan dari bisnis, citra perusahaan, atau keuntungan b) Dampak menengah - gangguan pendek proses kritis atau sistem yang menghasilkan kerugian keuangan yang terbatas untuk unit bisnis tunggal c) Dampak Rendah - Gangguan tanpa kehilangan keuangan 19 2.7.5 Pengendalian yang direkomendasikan Menurut Peltier (2005:25) setelah tingkat risiko telah ditetapkan, tim akan mengidentifikasi kontrol atau perlindungan yang mungkin bisa menghilangkan risiko, atau setidaknya mengurangi risiko ke tingkat yang dapat diterima. 2.7.6 Dokumentasi Menurut Peltier (2005:27) setelah analisis risiko selesai, hasilnya harus didokumentasikan dalam format standar dan laporan yang dikeluarkan kepada pemilik aset. Laporan ini akan membantu manajemen senior dan pemilik bisnis membuat keputusan tentang kebijakan, prosedur, anggaran, dan sistem dan perubahan manajemen. Laporan analisis risiko itu harus disajikan secara sistematis dan analitis cara yang menilai risiko sehingga manajemen senior akan memahami risiko dan mengalokasikan sumber daya untuk mengurangi risiko ke tingkat yang dapat diterima. 2.8 Manajemen Risiko Menurut Whitman & Mattord (2012: 119) definisi manajemen risiko adalah "proses identifikasi risiko, yang diwakili oleh kerentanan, aset dan infrastruktur informasi organisasi, dan mengambil langkah-langkah untuk mengurangi risiko ini ke tingkat yang dapat diterima." Menurut Rejda (2011: 42) manajemen risiko dapat didefinsikan sebagai "Sebuah proses yang mengidentifikasi eksposur kerugian yang dihadapi oleh suatu organisasi dan memilih teknik yang paling tepat untuk menangani eksposur tersebut." Dari pendapat diatas, dapat disimpulkan bahwa definisi manajemen risiko adalah proses yang mengidentifikasi analisa risiko, mitigasi risiko, dan evaluasi pengendalian yang di hadapi oleh suatu organisasi yang menyangkut tentang informasi aset dan infrastruktur dan mengurangi risiko ke tingkat yang dapat di terima. 20 2.9 Pengertian Asuransi Asuransi menurut Mile (2011:36) merupakan sebuah usaha yang kegiatan utamanya adalah menerima atau menjual jasa dengan cara menghimpun dana masyarakat melalui pengumpulan premi asuransi, dan memberikan perlindungan kepada anggota masyarakat pemakai jasa asuransi terhadap kemungkinan timbulnya kerugian karena suatu peristiwa yang tidak pasti atau terhadap hidup atau meninggalnya seseorang, dimana pihak pemakai jasa asuransi (tertanggung) akan menerima manfaat financial karena kerugian yang diderita tertanggung diganti sepenuhnya atau sebagian oleh perusahaan asuransi (penanggung). Asuransi menurut Kamus Besar Bahasa Indonesia (2014) adalah perjanjian antara dua pihak, pihak yang satu berkewajiban membayar iuran dan pihak yang lain berkewajiban memberikan jaminan sepenuhnya kepada pembayar iuran apabila terjadi sesuatu yang menimpa pihak pertama atau barang miliknya sesuai dengan perjanjian yang dibuat. Asuransi menurut Purwanto & Ginanjar (2012:1) adalah “suatu mekanisme yang memberikan perlindungan pada tertanggung apabila terjadi risiko di masa mendatang, dengan suatu perjanjian yang melibatkan sekurang kurangnya terdapat pihak yang menderita kerugian dan pihak yang berjanji untuk memberikan ganti rugi. Apabila risiko tersebut benar - benar terjadi maka, pihak tertanggung akan mendapatkan ganti rugi sebesar nilai yang diperjanjikan antara penanggung dan tertanggung” Dari definisi diatas, dapat kami simpulkan bahwa asuransi merupakan perjanjian antara dua pihak yaitu tertanggung dan penanggung, yang dimana tertanggung membayar uang jaminan kepada penanggung sesuai dengan yang telah disepakati. 2.10 Proses Bisnis Asuransi Secara Umum Menurut Apparindo (2011) standar operasi prosedur asuransi yaitu : 1. Existing Client /Policy Minimal 1 atau 2 bulan sebelum periode polis/pertanggungan tertentu berakhir, agar diperhatikan hal-hal sebagai berikut: 21 1. Apakah terdapat outstanding premi yang belum diselesaikan oleh Tertanggung, dan untuk hal ini agar dikoordinasikan dengan Divisi/Unit Kerja yang terkait. 2. Apakah kondisi pertanggungan yang tengah berjalan sudah merupakan yang terbaik untuk kondisi insurance market saat ini? Jika belum, agar perluasan jaminan/kondisi pertanggungan dimaksud dapat dimasukkan pada penawaran program perpanjangan asuransi untuk periode berikutnya. 3. Apakah nilai atau obyek pertanggungan tidak mengalami perubahan, baik penambahan maupun pengurangan dan agar untuk hal ini ditanyakan kepada pihak Tertanggung. 4. Agar diteliti bilamana masih ada kasus klaim atas Polis Asuransi bersangkutan yang belum selesai prosesnya dan agar hal ini disampaikan kepada pihak Tertanggung 2. Review and Redesign Existing Policy 1. Sebelum membuat review atas existing policy terlebih dahulu dilakukan analisa mengenai current market conditions untuk mengetahui perkembangan terkini dalam industry perasuransian. 2. Agar dikirimkan “Renewal Notice” yang dilengkapi dengan usulan program perpanjangannya (“Renewal Program”) dan penawaran jenis penutupan asuransi lainnya, bilamana ada. 3. Atas dasar evaluasi data/informasi yang dikumpulkan, maka selain menawarkan program perpanjangan Polis Asuransi yang sudah ada, juga menawarkan penutupan Asuransi lainnya yang sekiranya diperlukan oleh Tertanggung. 4. Bilamana diperlukan, survey ulang ke lokasi resiko dapat dilakukan. 5. Pada tahap ini, Prinsip Mengenal Nasabah (Knowing Your Customer) sudah dapat dilakukan. 3. Selection of Insurer(s) Langkah berikutnya adalah pemilihan perusahaan asuransi yang akan dijadikan sebagai Penanggung. Perlu diperhatikan agar perusahaan asuransi yang dipilih harus memenuhi criteria dari berbagai aspek berdasarkan profil risiko, diantaranya reputasi, kredibilitas, pengalaman dan tenaga ahli, kapasitas, pemodalan (asset, 22 ekuitas dan RBC), komitmen manajemen dan pelayanan klaim, dukungan atas jenis risiko tertentu, serta kriteria terkait lainnya. Perlu juga diperhatikan kinerja dan layanan atas existing Insurer(s) sebagai acuan dalam pemilihan perusahaan asuransi pada program penutupan perpanjangan. 4. Insurance Placement Usulan program perpanjangan asuransi (renewal programme) yang telah disusun, selanjutnya ditawarkan kepada Perusahaan Asuransi guna mendapatkan dukungan (back-up) asuransi. 5. Propose Quotation to Insured Segera setelah program perpanjangan asuransi mendapatkan dukungan (back-up), agar penawaran program perpanjangan asuransi (Quotation Slip) kepada Tertanggung dikirimkan. 6. Presentation and Negotiation with Insured Adakan pertemuan dengan pihak Tertanggung guna membahas program perpanjangan asuransi dimaksud dan penawaran jenis penutupan asuransi lainnya, bilamana ada. 1. Bilamana Tertanggung tidak menyetujui penawaran program perpanjangan asuransi, maka selanjutnya closed file. 2. Bilaman terdapat bagian-bagian tertentu yang belum mendapat persetujuan dari 3. Tertanggung, agar hal tersebut kembali dinegosiasikan ulang kepada perusahaan asuransi. 7. Closing Instruction to Insurer(s) Bilamana Tertanggung menyetujui penawaran renewal sesuai quotation slip yang diajukan, maka segera dilakukan instruksi penutupan asuransi kepada Perusahaan Asuransi yang memberikan dukungan. Dapatkan konfirmasi ulang dari Penanggung tersebut secara tertulis sebagai bukti bahwa resiko telah dicover, dan sedapat mungkin hindari konfirmasi yang bersifat verbal. Segera setelah mendapatkan konfirmasi tertulis dari Penanggung, maka account tersebut segera dicatatkan dalam Laporan Produksi. 23 8. Collect Policy Documents Monitor penerbitan dokumen polis dari perusahaan asuransi. Setelah dokumen polis perpanjangan diterima, agar diteliti terlebih dahulu apakah syarat dan ketentuan pertanggungan yang tercantum dalam polis telah sesuai dengan syarat dan ketentuan pertanggungan yang disepakati. Kemudian penerbitan Debit/Credit Note dapat diproses. 9. Deliver Policy Document to Insured Setelah seluruh dokumen polis dipastikan benar, segera kirimkan dokumen Debit Note beserta Polis Asuransi/Cover Note/Certificate kepada Tertanggung. Sesuai ketentuan perundangan lainnya, agar diterbitkan Surat Penunjukan dan Standar Pelayanan Broker Asuransi yang ditandatangani dan Tertanggung. 10. Premium Payment from Insured and Pay to Insurer(s) Berdasarkan dokumen Debit Note, agar Divisi Keuangan & Administrasi dapat melakukan penagihan premi kepada Tertanggung, dan segera memproses pembayaran premi kepada Penanggung segera setelah Tertanggung melakukan pembayaran premi. 11. Filing Semua dokumen polis termasuk administrasi penutupan perpanjangan agar disusun secara akurat, lengkap dan updated. 2.11 Pengertian Klaim Asuransi Menurut Rasyidah (2014:3) klaim asuransi merupakan sebuah permintaan resmi kepada perusahaan asuransi meminta pembayaran berdasarkan ketentuan perjanjian. Menurut Kamus Besar Bahasa Indonesia (2014) tuntutan pengakuan atas suatu fakta bahwa seseorang berhak (memiliki atau mempunyai) atas sesuatu. Klaim asuransi menurut Purwanto & Ginanjar (2012:3) “suatu permintaan salah satu dari dua pihak yang mempunyai ikatan, agar haknya terpenuhi. Satu dari dua pihak yang melakukan ikatan tersebut akan 24 mengajukan klaimnya kepada pihak lainnya sesuai dengan perjanjian atau provos polis yang disepakati bersama oleh kedua belah pihak.” Dari definisi diatas, dapat kami simpulkan bahwa kalim asuransi merupakan pengakuan resmi atas dasar permintaan pribadi dan perusahaan kepada perusahaan asuransi untuk meminta pembayaran atau hak mereka sesuai dengan perjanjian yang telah disepakati. 2.12 Pengertian Polis Asuransi Menurut Rancangan Peraturan Menteri Keuangan Nomor: /PMK.010/2012 (2012:2) polis asuransi adalah “dokumen perjanjian asuransi antara penanggung dan pemegang polis atau tertanggung, yang memuat antara lain ketentuan umum, ketentuan tambahan, ketentuan khusus, ikhtisar polis dan/atau setiap endorsemen dan/atau perubahan lain yang terdapat di dalamnya, yang ditandatangani oleh penanggung, beserta dokumen yang terkait dengan proses penutupan asuransi termasuk surat permintaan penutupan asuransi, bukti kepesertaan dan/atau dokumen lain yang terkait dengan polis, yang secara keseluruhan merupakan satu kesatuan dan menjadi bagian yang tidak terpisahkan dari polis.” Menurut Kamus Besar Bahasa Indonesia (2014) polis asuransi adalah “ kontrak tertulis antara maskapai asuransi dan pihak yang dijamin yang memuat persyaratan dan ketentuan perjanjian.” Dari definisi diatas, dapat kami simpulkan bahwa polis asuransi adalah perjanjian yang berisikan ketentuan persyaratan maupun perjanjian antara pemengang polis atau yang di sebut tertanggung dengan pihak asuransi. 2.13 Pengertian FRAAP Menurut Peltier (2005:132) FRAAP adalah metodologi resmi yang dikembangkan melalui pemahaman proses penilaian risiko kualitatif dikembangkan sebelumnya dan memodifikasi mereka untuk memenuhi kebutuhan saat ini. 25 Menurut Tse (2009:8) FRAAP adalah (Facilitated Risk Analysis and Assessment Process) melibatkan analisis sistem, aplikasi, platform, proses bisnis, atau segmen operasi bisnis secara individual, bergantung pada personel yang dimiliki organisasi untuk melakukan proses penilaian risiko. Dalam buku FRAAP tahun 2014 terdiri dari 3 fase yaitu pre-FRAAP, FRAAP session, dan post-FRAAP. 2.13.1 Pre-FRAAP Meeting Menurut Peltier (2014: 51), “The pre-FRAAP meeting adalah kunci dari kesuksesan suatu proyek” Dalam Pre-FRAAP Meeting terdapat bagianbagian yaitu prescreening results, scope statement, visual diagram, establish the FRAAP team, meeting mechanics, agreement on definitions. Dan berikut merupakan tabel dari Risk assessment: 26 Tabel 2.1 Risk assessment definitions Istilah Definisi Aset Sebuah sumber daya yang berharga. Suatu aset mungkin orang, benda fisik, proses, atau teknologi Ancaman Potensi untuk sebuah event, berbahaya atau sebaliknya, yang akan merusak atau membahayakan aset Kemungkinan Sebuah ukuran seberapa kemungkinan ancaman mungkin terjadi Dampak Pengaruh ancaman yang dilakukan pada asetdinyatakan dalam istilah berwujud atau tidak berwujud Kerentanan Setiap cacat atau kelemahan dalam pertahanan aset yang dapat dimanfaatkan oleh ancaman untuk membuat dampak pada aset Risiko Kombinasi ancaman, probabilitas, dan dampak dinyatakan sebagai nilai dalam rentang yang telah ditetapkan Sumber: Peltier (2014: 53) Dalam banyak penilaian risiko dapat menggunakan pengujian CIA (confidentiality, integrity, and availability). Menurut Peltier (2014: 53), “CIA adalah bentuk tradisional penilaian risiko, penting untuk dimengerti bahwa ada atribut bisnis lainnya yang dapat digunakan dalam proses." Berikut adalah tabel dari Business attribute definitions (CIA). 27 Tabel 2.2 Business Attribute Definitions (CIA) CIA Example Istilah Definisi Ketersediaan Menjamin informasi dan layanan komunikasi akan siap untuk digunakan bila diharapkan Kerahasiaan Jaminan bahwa informasi tidak diungkapkan kepada entitas atau proses yang tidak pantas Integritas Menjamin informasi tidak akan disengaja atau diubah atau dihancurkan Sumber: Peltier (2014: 55) 2.13.2 FRAAP Session Menurut Peltier (2014: 62), “FRAAP session yaitu pada saat eksekutif bertanggung jawab atas aset yang dikaji." Bagian-bagian dari FRAAP Session mengidentifikasi ancaman yang mungkin terjadi, identifikasi ancaman mengunakan checklist, identifikasi kontrol, menentukan tingkat risiko, residual risk, dan FRAAP Session Summary. Dan berikut adalah tabel dari FRAAP brainstorming attribute 1. 28 Tabel 2.3 FRAAP Brainstorming Attribute 1 Integritas Definisi: menjamin informasi Ancaman tidak akan sengaja atau jahat diubah atau dihancurkan Aliran data dapat dicegat Pemrograman yang rusak bisa (secara tidak sengaja) memodifikasi data Salinan laporan dapat dialihkan (tertulis atau elektronik) ke orang yang tidak berhak atau tidak disengaja Data yang bisa dimasukkan salah Entri data yang salah Disengaja Sumber: Peltier (2014: 66) 29 Di bawah ini adalah tabel dari FRAAP brainstorming attribute 2: Tabel 2.4 FRAAP Brainstorming Attribute 2 Kerahasiaan Definisi: informasi jaminan tidak bahwa Ancaman diungkapkan kepada entitas yang tidak pantas E-mail yang tidak aman dapat berisi informasi rahasia atau proses Pencurian informasi internal Karyawan tidak dapat memverifikasi identitas klien, contoh: telepon menyamar Informasi rahasia yang tersisa terlihat jelas di atas meja Diskusi sosial di luar kantor bisa mengakibatkan pengungkapan informasi sensitif Sumber: Peltier (2014: 67) 30 Di bawah ini adalah tabel dari FRAAP brainstorming attribute 3: Tabel 2.5 Brainstorming Attribute 3 Ketersediaan Definisi: menjamin informasi Ancaman dan layanan komunikasi akan File yang disimpan dalam siap untuk digunakan bila direktori pribadi mungkin tidak diharapkan tersedia bagi karyawan lain bila diperlukan Kegagalan hardware mempengaruhi dapat ketersediaan sumber daya perusahaan Kegagalan dalam rangkaian data yang bisa melarang akses sistem Bencana alam-tsunami / badai Peningkatan dalam perangkat lunak dapat melarang akses Sumber: Peltier (2014: 67) Setelah mengidentifikasi ancaman yang mungkin terjadi, identifikasi ancaman mengunakan checklist, identifikasi kontrol. Maka dapat dilakukan penentuan tingkat risiko. Penentuan tingkat risiko terbagi menjadi lima bagian yaitu probability, threshold level, high, medium, dan low. Dan berikut adalah tabel dari FRAAP Probability Thresholds: 31 Tabel 2.6 FRAAP Probability Thresholds Istilah Definisi Kemungkinan Sebuah ukuran seberapa kemungkinan ancaman mungkin terjadi Ambang Tingkat Tinggi Sangat mungkin bahwa ancaman akan terjadi dalam tahun depan Menengah Kemungkinan bahwa ancaman akan terjadi dalam tahun depan Rendah Sangat tidak mungkin bahwa ancaman akan terjadi dalam tahun depan Sumber: Peltier (2014: 72) 32 Di bawah ini adalah tabel dari Risk level color key: Tabel 2.7 Risk Level Color Key Warna Tingkat risiko Kegiatan Merah Tinggi Memerlukan tindakan segera Kuning Menengah Mungkin memerlukan tindakan, harus terus memantau Hijau Rendah Tidak ada tindakan yang diperlukan saat ini Sumber: Peltier (2014: 74) 2.13.3 Post-FRAAP Meeting Post FRAAP Meeting hasilnya dianalisis dan Manajemen Ringkasan Laporan selesai. Untuk menyelesaikan proses ini dapat memakan waktu hingga lima hari kerja (Peltier, 2014:46 2.14 UML Diagram 2.14.1 Pengertian Ferrante, Bonacina, & Pinciroli (2013: 2) menjelaskan bahwa "UML adalah bahasa pemodelan berorientasi obyek digunakan untuk menentukan, memvisualisasikan, memodifikasi, membangun dan mendokumentasikan bahkan proses yang kompleks dari sistem perangkat lunak yang dalam pengembangan." Menurut Satzinger, Jackson, & Burd (2012: 46) UML diagram adalah "UML adalah himpunan standar model konstruksi dan notasi yang didefinisikan oleh Object Management Group (OMG), sebuah organisasi standar untuk pengembangan sistem." 33 Dari definisi diatas, dapat kami simpulkan bahwa UML diagram adalah bahasa pemodelan berorientasi obyek yang berfungsi untuk membantu sistem perangkat lunak yang dalam tahap pengembangan dan telah didefinisikan oleh organisasi standar untuk pengembangan sistem yang bernama Object Management Group (OMG). 2.14.1.1 Activity Diagram Menurut Satzinger, Jackson, & Burd (2012: 57) Activity Diagram merupakan "diagram aktivitas yang menggambarkan kegiatan pengguna (atau sistem), orang yang melakukan setiap kegiatan, dan aliran sekuensial dari kegiatan ini. 2.14.1.2 Use Case Menurut Satzinger, Jackson, & Burd (2012: 69) use case merupakan "kegiatan yang sistem lakukan, biasanya dalam menanggapi permintaan oleh pengguna." -End1 -End2 Ship item * * Shipping Clerk Gambar 2.2 Contoh Use Case with actor Satzinger, Jackson, & Burd (2012: 69) 2.14.1.3 Domain Model Class Diagram Menurut Satzinger, Jackson, & Burd (2012: 101) class diagram merupakan "Class adalah kategori atau klasifikasi yang digunakan untuk menggambarkan koleksi benda-benda. Setiap objek milik kelas." Kelas 34 domain Dan domain classes merupakan "class yang menggambarkan halhal dalam masalah domain disebut kelas domain. " Domain Model merupakan UML yang digunakan untuk menunjukkan kelas objek untuk sistem. Salah satu jenis UML class diagram yang menunjukkan hal-hal di domain masalah pengguna 'disebut diagram model domain kelas (Satzinger, Jackson, & Burd, 2012: 101). 2.14.1.4 Event Table Menurut Satzinger, Jackson, & Burd (2009: 168) Event Table adalah "Katalog use case yang berisi kejadian dalam baris dan potongan kunci dari informasi tentang setiap peristiwa di dalam kolom." Tabel 2.3 Contoh Event Table Satzinger, Jackson, & Burd (2009: 168) Event Trigger Source Use case Response Destination Pelanggan Permintaan Pelanggan Mencari Ketersediaan pelanggan ingin barang barang barang mengecek yang ketersediaan tersedia barang 1. Event : Orang yang input data ke dalam sistem 2. Trigger : Sinyal yang memberitahu sistem bahwa suatu peristiwa telah terjadi, baik kedatangan data membutuhkan pengolahan atau titik waktu 3. Source : Agen eksternal atau aktor yang memasok data ke sistem 4. Use case: Kegiatan yang sistem melakukan, biasanya dalam menanggapi permintaan oleh pengguna 5. Response: Sebuah output, yang dihasilkan oleh sistem, yang masuk ke tujuan 6. Destination: Agen eksternal atau aktor yang menerima data dari sistem 35 2.14.1.5 Storyboard Menurut Satzinger, Jackson, & Burd (2012:200) storyboard merupakan "Urutan sketsa storyboarding dari tampilan layar saat dialog." Storyboard dapat ditinjau oleh pengguna dan desainer untuk mengidentifikasi hilangnya atau informasi asing dan mendiskusikan berbagai pilihan untuk implementasi akhir, yang mungkin didasarkan pada halaman web yang ditampilkan pada layar besar, dialog window tradisional, atau user interface untuk aplikasi perangkat mobile. 2.15 Tata Kelola TI Menurut Lulu (2013) Dalam definisi diatas diterangkan bahwa “IT governance merupakan bagian dari pengelolaan perusahaan secara keseluruhan, meliputi pimpinan, struktur organisasi dan proses, yang digunakan untuk memastikan keberlajutan TI dalam organisasi dan pengembangan tujuan dan strategi organisasi. Hal ini berarti lebih menitikberatkan bagaimana membantu mengatur dan mengarahkan perilaku penggunaan TI agar sesuai dengan prilaku yang diinginkan (yaitu prilaku yang sesuai dengan visi misi, nilai-nilai, strategi dan budaya organisasi).” 2.16 Standar Kerja ISACA (ITAF) Menurut ISACA (2014) “The Information Technology Assurance Framework (ITAF) adalah model yang komprehensif dan model goodpractice-setting bahwa: 1. Menyediakan panduan dalam desain, pelaksanaan dan pelaporan audit TI dan jaminan tugas 2. Mendefinisikan istilah dan konsep khusus untuk IT jaminan 3. Menetapkan standar yang membahas mengaudit IT dan peran profesional jaminan dan tanggung jawab; pengetahuan dan keterampilan, dan ketekunan, perilaku dan persyaratan pelaporan ITAF menyediakan satu sumber di mana audit TI dan jaminan profesional dapat mencari panduan, penelitian kebijakan dan prosedur, 36 memperoleh audit dan program jaminan, dan mengembangkan laporan yang efektif. Sementara ITAF menggabungkan standar ISACA dan bimbingan yang ada, telah dirancang untuk menjadi dokumen yang hidup. Sebagai pedoman baru dikembangkan dan dikeluarkan, maka akan terindeks dalam kerangka.” 2.17 Previous Study 2.17.1 Previous Study Klaim Previous study 1: Pelaksanaan Tanggung Jawab Pihak Penanggung Terhadap Pengajuan Klaim Asuransi Kesehatan Oleh Tertanggung Di PT AXA MANDIRI FINANCIAL SERVICES Dalam penelitian sebelumnya yg dilakukan oleh Nugraha (2009) di jelaskan bahwa perkembangan asuransi di Indonesia berkembang sesuai dengan kebutuhan masyarakat dari tahun ke tahun, dengan adanya program perlindungan kesehatan selain dilakukan oleh Pemerintah juga dilakukan oleh para pihak swasta dalam hal ini adalah PT AXA MANDIRI FINANCIAL SERVICES. Permasalahan yang diangkat dalam penelitian ini berkaitan dengan tentang tanggung jawab perusahaan asuransi kepada pemegang asuransi terhadap pengajuan klaim asuransi kesehatan, dan juga untuk mengetahui hambatan dan upaya-upaya yang dilakukuan dalam menangani klaim yang terjadi sesuai dengan Prosedur penyelesaian klaim ganti rugi dalam asuransi kesehatan sesuai dengan pasal pasal yang terdapat dalam polis perjanjian antara Tertanggung dengan Penanggung, yang didalamnya terdapat prosedur tentang cara klaim. Metode pendekatan yang digunakan oleh Yulistya Adi Nugraha yaitu pendekatan yuridis empiris yaitu suatu penelitian yang menekankan pada fakta fakta yang diperolehnya dari hasil penelitian yang didasarkan pada metode ilmiah serta juga berpedoman pada teori hukum dan perundang-undangan yang ada. Berdasarkan pembahasan dari hasil penelitian ditemukan adanya hambatan dalam pelaksanaan klaim kesehatan oleh penanggung yaitu adanya ketidak jujuran oleh calon tertanggung dalam pengisian Surat Pengajuan Asuransi Jiwa yang diisi tidak sesuai dengan data keadaan yang sebenarnya dan birokrasi dari Rumah Sakit dalam hal ini yang penulis dapat di lapangan adalah Rumah Sakit Pemerintah yaitu dalam 37 mengeluarkan berkas dokumen klaim yang mengakibatkan klaim ditolak oleh penanggung, kurangnya manajemen Rumah Sakit memperhatikan departemen penanganan asuransi non PT ASKES yang mengakibatkan tertanggung dalam hal memperoleh data rekam medis melalui beberapa tahapan tahapan birokrasi yang berdampak pada lamanya klaim yang diajukan. 2.17.2 Previous Study FRAAP Previous study 2: Risk Management In Information Technology Using Facilitated Risk Analysis Process (FRAP) (Case Study: Academic Information Systems Of Satya Wacana Christian University) Dalam penelitian sebelumnya yang dilakukan oleh Bale, Sediyono, & Marwata (2014) membahas manajemen risiko teknologi informasi untuk mendukung keberlanjutan sistem informasi akademik di universitas. Tujuan dari penelitian ini adalah untuk mengidentifikasi dan mengukur risiko penerapan teknologi informasi dalam sistem informasi akademik di tingkat universitas, dengan kasus di Satya Wacana Christian University (SIA-SAT), SIA-SAT adalah sebuah sistem terintegrasi dengan berbagai macam layanan untuk mendukung kegiatan akademik dalam Universitas Kristen Satya Wacana. SIA-SAT tersedia bagi dosen dan mahasiswa, memprioritaskan risiko teknologi informasi yang ditemukan, dan menentukan bagaimana resiko dapat dikendalikan atau dikurangi. Metodologi yang digunakan oleh para peneliti adalah metode kualitatif, data yang dikumpulkan melalui studi kepustakaan dan studi lapangan: wawancara, observasi dan metode analisis Facilitated Risk Analysis Process (FRAP). Hasil yang dicapai adalah penemuan risiko, yaitu risiko yang terutama ketersediaan layanan, keamanan dan integritas data, serta kebijakan layanan. Penanganan risiko kemudian dilakukan melalui tahapan FRAP, daftar bentuk kontrol untuk setiap risiko, menentukan kontrol yang melalui lembar referensi silang, dan rekomendasi tindakan yang dapat dilakukan dalam rencana aksi. Peneliti juga menyimpulkan bahwa metode FRAP dapat diterapkan di lingkungan universitas, metode sebelumnya banyak digunakan oleh berbagai perusahaan untuk melakukan manajemen risiko. Dalam kasus SIA-SAT, FRAP 38 digunakan karena ada beberapa peserta yang terlibat langsung dalam pengelolaan dan pengembangan sistem, yang melibatkan ahli lokal peserta sendiri, tidak mahal dan membutuhkan waktu yang relatif singkat. Proses FRAP memanfaatkan pengetahuan yang dimiliki oleh ahli lokal, sehingga analisis bisa dilakukan relatif cepat. Proses FRAP dapat diselesaikan untuk rata-rata satu jam per sesi selama maksimal lima hari. 39 Contents BAB 2 ........................................................................................................................................ 7 LANDASAN TEORI ..................................................................................................................... 7 2.1 Pengertian Sistem Informasi .................................................................................... 7 2.2 Definisi Risiko ......................................................................................................... 7 2.2.1 Ancaman .......................................................................................................... 9 2.2.2 Kerentanan ....................................................................................................... 9 2.2.3 Risiko ............................................................................................................. 10 2.3 Analisis Risiko ....................................................................................................... 10 2.4 Mitigasi Risiko ....................................................................................................... 11 2.5 Penilaian Risiko ..................................................................................................... 12 2.5.1 Definisi Aset .................................................................................................. 16 2.5.2 Identifikasi Ancaman ..................................................................................... 13 2.5.3 Menentukan Probabilitas Kejadian ................................................................ 18 2.5.4 Menentukan Dampak Ancaman ..................................................................... 18 2.5.5 Pengendalian yang direkomendasikan ........................................................... 19 2.5.6 Dokumentasi .................................................................................................. 19 2.6 Manajemen Risiko ................................................................................................. 19 2.7 Pengertian Asuransi ............................................................................................... 20 2.8 Pengertian Klaim Asuransi .................................................................................... 23 2.9 Pengertian Polis Asuransi ...................................................................................... 24 2.10 Pengertian FRAAP................................................................................................. 24 2.10.1 Pre-FRAAP Meeting ...................................................................................... 25 2.10.2 FRAAP Session ............................................................................................. 27 2.10.3 Post-FRAAP Meeting .................................................................................... 32 2.11 UML Diagram ........................................................................................................ 32 2.11.1 2.12 Pengertian ...................................................................................................... 32 Previous Study ....................................................................................................... 36 40 2.12.1 Previous Study Klaim ..................................................................................... 36 2.12.2 Previous Study FRAAP .................................................................................. 37