Artikel

1. Semakin ketat peraturan industri tentang SMM dan SMR di mana organisasi kita berada, semakin besar kebutuhan organisasi tersebut untuk melakukan integrasi skala penuh.
2. Semakin tinggi tuntutan pemangku kepentingan organisasi terhadap konsistensi mutu produk dan jasa yang diharapkan dalam penciptaan nilai mereka, semakin besar kebutuhan organisasi tersebut untuk melakukan integrasi skala penuh.
3. Semakin besar organisasi, baik dari segi ukuran, cakupan pasar, dan/atau jumlah dan tipe produk serta jasa yang relatif heterogen, semakin besar kebutuhan organisasi tersebut untuk melakukan integrasi skala penuh.
4. Semakin banyak ketidakpastian – baik jenis maupun jumlah serta kedalaman yang dihadapi organisasi, semakin besar kebutuhan organisasi tersebut untuk melakukan integrasi skala penuh.
5. Semakin kompleks proses bisnis yang diadopsi oleh organisasi dan/atau semakin banyak penggunaan mitra dalam rantai nilai, semakin besar kebutuhan organisasi tersebut untuk melakukan integrasi skala penuh.

Pengembangan kapasitas organisasi merupakan bagian penting di dalam organisasi di berbagai sektor, baik sektor korporasi maupun publik. Proses pembangunan kapasitas organisasi tidak terlepas dari berbagai faktor antara lain:

1. Dimensi Sumber Daya Manusia (SDM)
   1. Kualitas dan Kuantitas SDM
2. Dimensi Infrastruktur dan Teknologi
   1. Sarana/Infrastruktur/Teknologi
3. Dimensi Proses
   1. Organisasi dan Sistem Manajemen dimulai dari perencanaan sampai dengan Evaluasi.

Merujuk dari tiga faktor diatas, pembangunan kapasitas di dalam organisasi dapat melalui pelatihan dan sertifikasi kompetensi sumberdaya manusia, pengembangan sistem manajerial, dan pengembangan infrastruktur.

Dimensi SDM dalam organisasi bertujuan untuk menggerakan suatu siklus organisasi yang saat ini banyak disoroti, baik aspek kualitas dan kuantitas yang dilihat dari knowledge, skill dan attitude. Siklus organisasi dapat dilihat dari dimensi proses melalui PDCA – plan, do, check, & action.

Dalam proses diperlukan evaluasi (check) dan pemantauan sehingga memunculkan ruang untuk peningkatan dan perbaikan dalam organisasi secara terus-menerus.

Organisasi di dunia menerapkan elemen-elemen good corporate governance yang termasuk didalamnya yaitu manajemen risiko dan audit internal.

Dalam konteks penulisan ini, dijelaskan definisi dari manajemen risiko mengacu SNI ISO 31000 dan definisi audit internal dari The Institute of Internal Auditors (IIA) sebagai berikut:

Manajemen Risiko berdasarkan SNI ISO 31000 adalah efek dari ketidakpastian pada sasaran.

Definisi internal audit menurut IIA adalah adalah “independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, discipline approach to evaluate and improve the effectiveness of risk management, control and governance process.”

Agar manajemen risiko dan audit internal (sebagai suatu perangkat/sistem manajemen) berjalan efektif untuk meningkatkan assurance, dibutuhkan pembangunan dan peningkatan kapasitas organisasi. Pembangunan kapasitas organisasi adalah suatu proses yang berlangsung secara terus-menerus. Orang-orang dalam organisasi belajar/berlatih untuk lebih kompeten dalam melaksanakan pekerjaannya. Pengembangan kapasitas individu dilakukan di semua tingkatan, melalui pendekatan top to bottom,bottom up atau dari center, yang menekankan kepada proses pembangunan kompetensi dan berbagi pengalaman. Tujuannya agar tercipta suatu pola pikir manajemen risiko dan audit internal yang menjadi budaya suatu organisasi.

Penulis: Joko H. Wibowo, ST,MM, QCRO,QRGP, CERG  KETUA LSP MKS

Seringkali metodologi risk based internal audit (RBIA) digunakan dalam melakukan audit internal di suatu organisasi. RBIA adalah metodologi yang digunakan untuk memberikan suatu reasonable assurance bahwa risiko dalam organisasi terkelola sesuai dengan selera risiko yang disepakati dalam organisasi tersebut. Untuk itu auditor harus membuat rencana audit berbasis risiko untuk menentukan prioritas aktivitas internal audit yang juga konsisten dengan tujuan organisasi (IPPF Standards, 2017).

Untuk membuat rencana audit berbasis risiko, diperlukan pemahaman tentang strategi organisasi, key business objectives, risiko-risiko yang terkait dengannya, serta proses manajemen risiko yang dijalankan selama ini. Auditor kemudian mereview dan menyesuaikan rencana auditnya, apabila dirasakan perlu, dalam merespon perubahan dalam bisnis, risiko, operasi, program, dan sistem yang terjadi di organisasi.

Dalam pelaksanaannya, RBIA akan mengevaluasi faktor risiko yang berkaitan dengan proses internal organisasi untuk mentukan apakah risiko telah dikelola pada tingkat yang dapat diterima. Pendekatan ini berusaha untuk meningkatkan kualitas dan efektivitas audit dengan menentukan area risiko yang membutuhkan perhatian lebih tinggi.

Dalam sesi practice sharing yang diberikan oleh Mr. Krasame Singhakul di dalam kelas Internal Audit Master Program International Finance Corporation (World Bank Group) di Bangkok, Thailand pada tanggal 14-16 Juli 2017, dijelaskan bagaimana metodologi RBIA dilakukan di Shanghai Construction Group (SCG). SCG yang mengelola lebih dari 250 anak perusahaannya, memulai RBIA dengan langkah sebagai berikut:

–          Memprioritaskan dan mengalokasikan sumber daya dengan menggunakan risk-ased audit model;

–          Mereviu risiko sebelum melakukan engagement;

–          Mereviu dan mendiskusikan risiko-risiko yang teridentifikasi dengan manajemen;

–          Mereviu risiko kembali setelah melakukan penyisiran terhadap proses bisnis dalam organisasi.

Risk-based audit model yang digunakan dapat memberikan keluaran mengenai peta risiko perusahaan (prioritas tinggi, sedang, dan rendah) sebagai dasar perusahaan memutuskan prioritas audit. Juga sebagai dasar menentukan area yang perlu diaudit, frekuensi audit, mengidentifikasi proses bisnis yang memiliki risiko tinggi, serta berapa orang auditor dan man-days yang akan dialokasikan.

SCG mengategorikan risikonya kedalam delapan kategori risiko. Kedelapan risiko tersebut adalah risiko SHE, risiko kepatuhan, risiko harta tak berwujud, risiko Hazard, risiko input, risiko proses, risiko finansial, dan risiko bisnis, serta dua risiko sistem manajemen (risiko proyek investasi dan risiko operasi). Semua kategori tersebut dianalisis, baik secara korporat maupun di tiap unit bisnis, dan hasil analisa tersebut dikalikan dengan bobot untuk tiap-tiap kategori (baik di level korporasi maupun di level unit bisnis).

Hasil pembobotan tersebut akan dievaluasi dengan membandingkannya dengan parameter yang dapat digunakan untuk:

• Menentukan perusahaan mana yang menjadi prioritas berdasarkan skor;
• Pengalokasian sumber daya, berupa berapa man-days yang diperlukan dan berapa auditor yang diperlukan dengan melihat apakah skor yang diperoleh (tinggi, sedang, ataurendah);
• Area apa yang perlu diprioritaskan untuk diaudit di tiap perusahaan, berdasarkan hasil kali analisa risiko dan bobot di tiap kategori risiko yang ada.

Dengan metodologi RBIA ini diharapkan dapat menjawab tantangan yang dihadapi perusahaan saat ini dimana kompleksitas maupun kecepatan perubahan bisnis yang sangat cepat. Fungsi audit internal harus dapat membuat rencana audit yang juga dinamis, menyesuaikan dengan arahan atau strategi perusahaan, sehingga selalu bisa memberikan reasonable assurance bahwa perusahaan dapat terus meningkatkan dan menjaga nilai perusahaannya dengan lebih baik.

Penulis:

Ridwan Hendra MM., ERMCP., CERG., CCSA.

Dari berbagai literatur dan diskusi dengan berbagai pihak, penulis mencatat ada dua sudut pandang yang terkait dengan penerapan enterprise risk management(ERM) di organisasi perusahaan, yaitu:

• Sudut pandang berbasis sumber daya (the resource-based view), yang sudah cukup lama dikenal sebagai teori dasar manajemen strategik.
• Sudut pandang berbasis kapabilitas dinamik (the dynamic capability perspective), yang baru berkembang beberapa tahun belakangan ini, seiring dengan pertumbuhan kebutuhan penerapan ERM di perusahaan.

Kedua sudut pandang ini menjadi dasar acuan berbagai studi empiris yang mengkaji lebih jauh mengenai keterkaitan antara manajemen risiko dengan manajemen strategik, juga antara manajemen risiko dengan manajemen operasional dalam penciptaan dan perlindungan nilai perusahaan secara berkesinambungan di era yang penuh ketidakpastian dan turbulensi.

Artikel ini dibagi dalam tiga bagian. Pertama tentang perspektif atau sudut pandang berbasis sumberdaya. Kedua tentang perspektif atau sudut pandang berbasis kapabilitas dinamis. Terakhir adalah pemaduan dua pendekatan tersebut. Perspektif ini dapat dipakai oleh praktisi dan/atau profesional independen manajemen risiko di Indonesia yang saat ini sedang membantu organisasi mereka dalam penerapan SNI ISO 31000.

SUDUT PANDANG BERBASIS SUMBER DAYA
(the resource-based view)

Aliran yang bersumber dari sudut pandang berbasis sumber daya atau kadang disebut aliran teori berbasis sumber daya (resource-based theory) yaitu Barney (1991, 2001, 2011), Wernerfelt (1984), Prahalad dan Hamel (1990). Aliran ini berpandangan bahwa keunggulan daya saing suatu perusahaan berasal atau diperoleh dari kepemilikan mereka terhadap sumber daya dengan karateristik tertentu, yaitu valuable (V) atau bernilai tinggi, rare (R) atau jarang, inimitable (I) atau tidak dapat ditiru, dan non-substitutable (N) atau tidak dapat digantikan. Keempat unsur karakteristik tersebut dikenal dengan singkatan VRIN (valuable, rare, inimitable, non-substitutable).

Kriteria VRIN di atas dapat menjadi pilar atau pondasi bagi perusahaan dalam membangun penerapan ERM yang menyeluruh. VRIN mampu membantu dalam menentukan prioritas risiko strategik perusahaan. Penentuan prioritas risiko strategik sangat kritikal bagi perusahaan dalam menjaga dan/atau membangun keunggulan bersaing sehingga dapat menciptakan/meningkatkan nilai perusahaan tersebut secara berkesinambungan.

SUDUT PANDANG BERBASIS KAPABILITAS DINAMIK
(the dynamic capability perspective)

Aliran ini sebetulnya pengembangan untuk mengatasi kekurangan dari aliran sudut pandang berbasis sumber daya di atas.  Kekurangan utama dari aliran berbasis sumberdaya adalah keterbatasan penerapannya dalam lingkungan yang dinamis.

Kapabilitas dinamis merujuk pada kapasitas organisasi untuk mampu menciptakan, mengembangkan, atau memodifikasi basis sumber daya mereka sedemikian rupa sehingga dapat beradaptasi terhadap lingkungan yang berubah cepat.

Setiap ada perubahan teknologi, atau ada pemain baru di pasar, ataupun bila ada pergeseran sosial, ekonomi, dan arus politik, semua hal tersebut dapat menjadi sumber risiko baru. Untuk mampu menangani risiko tersebut, perusahaan harus membangun kompetensi sumber daya insani mereka yang didukung dengan berbagai proses mendasar di perusahaan untuk menjadi pondasi kapabilitas dinamik mereka.

Pemaduan Dua Pendekatan dalam rangka penerapan SNI ISO 31000

Penggunaan dua sudut pandang di atas dalam penerapan ERM berbasis SNI ISO 31000 akan memberikan manfaat ganda.

Pendekatan berbasis sumber daya akan menyediakan kerangka-kerja yang dapat menolong perusahaan menentukan prioritas manajemen risiko mereka. Karena manajemen tidak dapat menangani begitu banyak risiko yang ada dalam waktu bersamaan, maka mereka butuh identifikasi dan fokus pada ancaman potensial yang paling berdampak terbesar bagi perusahaan. Pendekatan berbasis sumber daya akan memberikan klarifikasi risiko apa saja yang perusahaan sebaiknya fokus dan prioritaskan.

Setelah perusahaan menentukan prioritas risiko, pendekatan berbasis kapabilitas dinamik akan membantu perusahaan untuk mengatasi kejadian risiko yang luput dari perkiraan awal. Bila pendekatan berbasis sumber daya lebih erat hubungannya dengan penentuan penanganan risiko strategik, maka pendekatan kapabilitas dinamik akan membantu perusahaan membangun ketangguhan (risk resilience) mereka untuk menangani risiko operasional yang timbul karena adanya perubahan.

Pemaduan kedua pendekatan di atas akan memberikan manfaat ganda penerapan ERM berbasis SNI ISO 31000. Perusahaan akan efektif dalam penentuan risiko strategik yang ada dalam usaha menciptakan nilai perusahaan (create value) dan tangguh dalam melindungi perusahaan (protect the value) terhadap dinamika perubahan yang terjadi secara cepat.

Mudah-mudahan artikel ini bermanfaat bagi anggota IRMAPA dan praktisi manajemen risiko umumnya di Indonesia.

Penulis: Dr. Antonus Alijoyo, ERMCP, CERG, CCSA, CFSA, CRMA, CGAP, CGEIT, CFE

Dalam kesempatan mengikuti Internal Audit Master Program di Bangkok, Thailand, yang diselenggarakan oleh International Finance Corporation (IFC) – World Bank pada bulan Juni 2016 lalu, ada bebera catatan yang sangat menarik terkait kompetensi auditor internal di bidang manajemen risiko berbasis ISO 31000. Penulis hendak berbagi kepada para praktisi audit internal dan manajemen risiko di Indonesia.

1. Kompetensi auditor internal di bidang manajemen risiko.

Pelatihan tingkat mahir ini diikuti oleh peserta dari berbagai negara ASEAN dan negara-negara di belahan benua Asia dan Amerika Selatan ini. Kompetensi di bidang manajemen risiko telah menjadi kebutuhan mendasar para auditor internal di berbagai organisasi guna menerapkan audit internal berbasis risiko (risk-based audit) yang efektif. Pengembangan kompetensi auditor internal ini tidak dimaksudkan untuk menggantikan fungsi lini pertahanan ke-2 dalam model 3 Lini Pertahanan (3 Lines of Defense) yang dijalankan oleh para profesional manajemen risiko (risk professionals) di Departemen/Divisi/Direktorat Manajemen Risiko. Namun untuk menunjang terlaksanakannya proses asesmen risiko yang dilaksanakan secara mandiri oleh para auditor internal dalam penentuan rencana tahunan audit (audit planning). Asesmen risiko dan kendali secara mandiri (risk & control self-assessment) dari para auditor internal ini pada dasarnya tidak ditujukan untuk menggantikan atau mengabaikan profil risiko yang terbentuk dari lini pertahanan ke-1 (yang disusun oleh para pemilik risiko atau risk owner), namun lebih kepada sebuah upaya pengawasan & pengimbangan (check & balance) akan ketersediaan profil risiko yang objektif sebagai acuan penyusunan rencana audit.

2. Keberterimaan ISO 31000 sebagai rujukan praktik terbaik manajemen risiko.

Mendukung pengembangan kompetensi auditor internal di bidang manajemen risiko di atas, pemahaman mengenai ISO 31000:2009 sebagai standar internasional manajemen risiko ikut disampaikan dan dibahas dalam berbagai kesempatan pelatihan. Hal ini menunjukkan bahwa keberterimaan ISO 31000 di berbagai kalangan sebagai rujukan praktik terbaik penerapan manajemen risiko telah semakin tinggi dan meluas. Melalui kehadirannya dalam pelatihan ini, para auditor yang berasal dari berbagai belahan dunia tidak hanya mendapat kesempatan untuk lebih memahami ISO 31000, melainkan juga untuk bertukar pikiran dan berbagi pandangan mengenai peran ISO 31000 dalam menddukung penerapan audit internal berbasis risiko.

3. Peran komite dalam mendorong efektivitas penerapan manajemen risiko.

Selain topik-topik mengenai aktivitas audit internal, tersedia pula beberapa sesi yang mengulas peran komite dalam mendorong efektivitas penerapan manajemen risiko guna mendukung pelaksanaan audit internal berbasis risiko. Dalam konteks Indonesia, komite ini adalah Komite Audit dan Komite Pemantau Risiko pada Dewan Komisaris. Sehubungan dengan hal tersebut, kompetensi mengenai penerapan manajemen risiko, maupun secara khusus pemahaman mengenai ISO 31000 (atau SNI ISO 31000 dalam konteks Indonesia), tidak hanya perlu dimiliki oleh para auditor internal, melainkan juga oleh para anggota komite.

Sebagaimana dipahami bahwa akuntabilitas utama untuk memastikan pengendalian dan pengelolaan risiko yang efektif sebagai asurans terhadap pencapaian sasaran organisasi diemban oleh manajemen puncak (Direksi maupun Komisaris). Untuk itu, maka hendaknya para anggota Direksi dan Dewan Komisaris menguasai pemahaman mengenai tata kelola risiko (risk governance) maupun aspek strategis lainnya dari penerapan manajemen risiko.

Ditulis oleh: Charles R. Vorst, BCCS, CERG, ERMCP, QCRO, QRGP – Dewan Pengurus IRMAPA.

Wajar jika Indonesia memenangkan Global Inclusion Award 2017. Dalam ajang yang digelar di Jerman bulan Mei, dunia internasional mengakui kesuksesan program inklusi keuangan Indonesia. Dalam beberapa tahun terakhir, masyarakat Indonesia menyaksikan gerakan inklusi keuangan dilaksanakan secara massif.

Inklusi keuangan adalah ketersediaan akses pada berbagai lembaga, produk dan layanan jasa keuangan sesuai dengan kebutuhan dan kemampuan masyarakat dalam rangka meningkatkan kesejahteraan masyarakat (OJK, 2016). Inklusi keuangan adalah kunci utama untuk mengurangi kemiskinan dan meningkatkan kemakmuran (Bank Dunia, 2017).

Program inklusi keuangan ini dimotori Otoritas Jasa Keuangan (OJK) dengan kementerian/lembaga dan didukung penuh industri jasa keuangan (IJK). Pemerintah sangat serius meningkatkan inklusi keuangan. Buktinya, Presiden mengeluarkan Peraturan Presiden RI Nomor 82 Tahun 2016 tentang Strategi Nasional Keuangan Inklusif (SNKI).

Sasaran Masyarakat Bawah

Inklusi keuangan didesain agar lebih banyak masyarakat (berpenghasilan rendah) yang mengakses produk/layanan jasa keuangan. Survey OJK menunjukkan bahwa pada tahun 2016 indeks inklusi keuangan di Indonesia sebesar 67,82%. Artinya, baru 67 orang dari 100 orang memanfaatkan lembaga jasa keuangan. Indeks ini naik dibandingkan tahun 2013 yang hanya 59,74%. Pada tahun 2019, indeks inklusi keuangan ditargetkan mencapai 75%.

Berbagai upaya telah dilakukan untuk mengerek inklusi keuangan. Selain menerbitkan peraturan terkait inklusi keuangan, OJK bersama IJK kompak menggarapnya. Bagi IJK, upaya peningkatan inklusi keuangan adalah investasi yang akan besar hasilnya. Ada pengembangan materi literasi keuangan untuk jenjang pendidikan formal dari tingkat SD, SMP, SMA, hingga perguruan tinggi. Contoh program lainnya adalah simpanan pelajar,  asuransi mikro, reksadana ritel, penyaluran bantuan sosial nontunai, optimalisasi aset wakaf, dll.

Momentum Ramadan dan Mudik

Ada fenomena terkait keuangan di seputar bulan Ramadan. Bulan ini, ada kecenderungan pengeluaran lebih besar. Beberapa faktor pendorong antara lain keyakinan bahwa pahala dilipatgandakan untuk yang bersedekah, adanya tunjangan hari raya, fenomena mudik, dan kecenderungan konsumsi pangan dan sandang yang lebih tinggi.

Ramadan adalah momentum tepat sebagai media untuk peningkatan literasi dan inklusi keuangan. Kita dapat jumpai pada lima hal ini. Pertama, Ramadhan dan pengelolaan keuangan. Kecenderungan ‘konsumtif’ harus dibarengi dengan keterampilan merencanakan dan mengelola keuangan. Kegembiraan sambut Ramadan dan lebaran perlu disandingkan dengan kesadaran tentang kondisi keuangan pascalebaran. Ini untuk mengingatkan agar tak konsumtif melebih kemampuan.

Kedua, mudik dan uang. Sudah menjadi tradisi bahwa mudik umumnya harus membawa uang untuk keluarga di kampung halaman. Para pemudik dianggap lebih sukses dari sisi materi. Mereka umumnya juga memiliki tingkat literasi (pemahaman) dan inklusi keuangan yang lebih baik. Pada saat itulah program literasi dan inklusi keuangan dapat dikenalkan di kampung melalui sosialisasi/edukasi. Para pemudik ini sangat potensial menjadi ‘duta edukasi keuangan’.

Mereka misalnya, dapat menjelaskan bahwa mudik tidak perlu membawa uang cash banyak. Uang cukup disimpan di bank dan bisa ditarik di ATM/bank di sekitar kampung halaman. Mereka dapat mengenalkan manfaat bank. Keluarga di kampung didorong untuk membuka rekening sehingga mudah untuk transfer uang dari kota. Dalam obrolan santai keluarga, para pemudik dapat mengenalkan bagaimana bisa meminjam uang ke bank untuk tambahan modal usaha atau membeli motor.

Ketiga, asuransi mudik. Para pemudik menghadapi risiko. Ada beberapa jenis asuransi yang dapat didesain khusus untuk pemudik. Diantaranya, asuransi perjalanan (termasuk asuransi kecelakaan diri) dan asuransi pencurian/kebongkaran (burglary insurance) untuk rumah yang ditinggalkan. Melalui financial technology, jenis-jenis asuransi tersebut bisa disajikan dan diakses lebih mudah.

Keempat, ramadan dan keuangan syariah. Hasil survey OJK, indeks inklusi keuangan syariah pada tahun 2016 Indonesia baru mencapai 11,06%. Momentum ramadan sangat tepat untuk mengenalkan dan meningkatkan kontribusi keuangan syariah yang saat ini baru sekitar 5%. Tentu saja menjual keunggulan keuangan syariah harus dikombinasikan antara konsep Islam dan keunggulan riil dibandingkan jasa keuangan konvensional.

Kelima, memanfaatkan dan memfasilitasi mudik gratis. Banyak organisasi mengadakan mudik gratis. Tujuan utamanya untuk mengurangi kecelakaan, mengurangi macet, dan sebagai tanggung jawab sosial. IJK dapat memanfaatkannya sebagai momentum tepat untuk meningkatkan literasi dan inklusi keuangan.

Para peserta mudik gratis dapat dibekali pengetahuan tentang industri jasa keuangan. Perusahaan dapat menggunakan dana corporate social responsibility atau dianggarkan dari biaya lainnya. Masih ada waktu untuk merealisasikan ide ini di mudik lebaran kali ini. OJK dan IJK perlu sinergi untuk menjadikan momentum ini efektif.

*****

Munawar

Pegawai Otoritas Jasa Keuangan
Ketua Bidang Edukasi dan Komunikasi Irmapa

1. Jangan membuka surat elektronik atau situs yang berpotensi menularkan peranti perusak. Misal bila kita menerima surat elektronik yang meminta kita membuka suatu tautan tertentu, sebaiknya jangan dilakukan bila tidak ada kode ‘security’ yang menyertainya. Tautan umum dapat menjadi gerbang terunduhnya peranti perusak ke dalam sistem komputer suatu organisasi.
2. Jangan membuka situs-situs umum yang sering meminta kita membuka suatu tautan tertentu yang seakan-akan iklan atau pemberian hadiah.
3. Jangan mengunduh apapun termasuk aplikasi tertentu tanpa didukung dengan proteksi anti virus yang masih valid.
4. Bila membuka suatu situs, lebih baik langsung mengetik alamat situs tersebut dibandingkan dengan membukanya melalui suatu tautan.
5. Gunakan dan pastikan adanya anti virus yang selalu terkini dalam jaringan sistem komputer organisasi.

1. Selalu melakukan ‘back-up’ arsip secara rutin, baik ‘back-up’ di ‘cloud’ maupun dalm bentuk ‘disk drive’ secara fisik. Pastikan ‘back-up’ file tidak terhubung ke dalam sistem komputer utama.
2. Selalu melakukan pengkinian penggunaan peranti lunak secara resmi dan melakukan ‘patch’ secara berkala sehingga dapat mendeteksi seawal mungkin bila ada keganjilan yang mengarah pada infeksi sistem komputer.
3. Gunakan antivirus yang mutakhir dan selalu terkini untuk memperkecil kemungkinan adanya penetrasi ‘hackers’ untuk memasukkan peranti penyandera ke dalam sistem komputer organisasi.
4. Pendidikan dan pengetatan perilaku pekerja sehingga mereka menggunakan fasilitas komputer organisasi untuk kepentingan organisasi dengan tidak membukan tautan atau situs-situs mencurigakan.
5. Bila terkena serangan peranti penyandera, segera bertindak, yaitu:

1. Standar ISO digunakan dimana-mana (ISO standards used everywhere)
2. Mengembangkan standar berkualitas tinggi melalu keanggotaan global ISO (develop high-quality standards through ISO’s global membership)
3. Melibatkan berbagai pemangku kepentingan dan mitra (engage stakehoholders and partners)
4. Pengembangan manusia dan organisasi (people and organization development)
5. Penggunaan teknologi (use of technology)
6. Komunikasi (communication)