MENGENAL BUSINESS COUNTINUITY MANAGEMENT SYSTEM (BCMS)

Oleh : Ibu Ira Kurniawati, CISA *
Kelangsungan bisnis (Business Countinuity)

Business Countinuity

Business Continuity (BC) didefinisikan sebagai kemampuan organisasi untuk melanjutkan pengiriman produk atau jasa pada tingkat yang telah ditetapkan dan dapat diterima menyusul insiden yang mengganggu. (Sumber: ISO 22301:2012)

 

Mengapa Perlu Business Countinuity ?

Business Countinuity antara lain karena :

  • Kita tidak bisa menjamin kondisi selalu ideal untuk menjalankan kegiatan bisnis perusahaan.
  • Kondisi diluar normal tidak dapat dikendalikan sehingga seringkali menyebabkan “Sudden & massive lost”
  • Terdapat cukup banyak hal yang tidak dapat dicegah, namun yang bisa dilakukan adalah mengurangi dampaknya.
  • Sebagai pemenuhan prasyaratan dari stakeholder organisasi (stakeholder : pemerintah, principle, customer, dsb)

 

Apa yang dimaksud dengan kondisi diluar normal?

Kodisi diluar normal adalah kondisi dimana organisasi / perusahaan tidak dapat mengantisipasi kondisi tersebut. Contohnya adalah :

Natural Disaster : banjir, gempa bumi, gunung meletus.

Man-made disaster : sabotase, peperangan, serangan teroris.

Main Facility Failure : kegagalan supplay listrik, kegagalan system pendingin dan lain sebagainnya.

GovernmentalIssue : Pemohokan, embargo ekonomi, dan sebagainya

Penyebaran Penyakit Menular.

Dan sebagainnya

 

Bagaimana jika terjadi Kondisi Diluar Normal?

Kondisi di luar normal (kondisi bahaya) adalah kondisi-kondisi yang tidak direncanakan dan berpotensi menimbulkan kerugian yang cukup besar bagi perusahaan. Jika terjadi kondisi ini maka hal yang perlu dilakukan adalah menentukan nilai Maximum Tolerable Disruption Periode. (MTDP).

Maximum Tolerable Disruption Periode (MTDP) adalah Berapa lama waktu layanan tidak berfungsi dan bisa ditoleransi oleh pengguna

Karena MTDP adalah waktu yang bisa ditoreransi oleh pengguna, maka penentapan MTDP harus dilakukan bersama-sama dengan (persetujuan) pengguna. MTDL adalah obyektif yang dilihat dari sudut pandang unit pengguna/user yang melakukan kegiatan operasional.

Selanjutnya dari sudut penyedia layanan perlu memperhitungkan waktu yang dibutuhkan dalam melakukan pemulihan layanan. Ada 2 objektif yang harus diperhitungkan, yaitu:

 

  1. Recovery Time Objectives (RTO) adalah lama waktu yang dibutuhkan untuk pemulihan sistem dan data.Jika antar komponen layanan atau service component terjadi dependency, maka waktu recovery dihitung secara serial untuk komponen-komponen yang interdepencency.Jika antar komponen layanan tidak saling bergantung, recovery time dapat dihitung secara paralel antara komponen layanan.Maksimum RTO adalah 80% dari maksimum waktu layanan tidak befungsi yang ditoleransi atau MTDL.

 

  1. Recovery Point Objectives (RPO) adalah ambang berapa banyak data yang boleh hilang sejak terakhir backup dilakukan. Jika backup dilakukan sekali sehari pada malam hari, sementara kerusakan sistem/storage dapat terjadi beberapa menit sebelum proses backup dijalankan, maka nilai RPO adalah 24 jam. Dengan kata lain RPO merupakan pernyataan berapa lama suatu informasi/data boleh hilang.

 

 

 

Gambar Penetepan MTDP

 

Business Countinuity Management

Apa yang dimaksud dengan Business Countinuity Management ?

Buniness Continuity Management (BCM) adalah manajemen holistic mulai dari menyediakan langkah-langkah kebijakan, identifikasi risiko, struktur organisasi dan tanggung jawab, mekanisme kerja sertaprosedur operasional dalam upaya pemulihan organisasi dan aktivitasnya.

 

Mengapa perlu Business Countinuity Management System (BCMS)?

Buniness Continuity Management (BCM) menjadi suatu keharusan karena bertujuan untuk mempersiapkan dan melatih perusahaan agar mempunyai ketahanan dalam operasional bisnis kritikal, sehingga apabila terjadi bencana atau gangguan proses operasional bisnis tersebut akan tetap berjalan.

BCM perusahaan bisa bekerja dengan baik pada saat disaster apabila semua faktor penting dari pendukungnya siap pada tempatnya kapansaja. Untuk mencapai hal tersebut perusahaan harus terus menerus memperbaiki BCM lewat proses testing, reviwing, maintaining dan auditing.

Definisi dan pemahaman awal sangat penting untuk mengetahui secara lengkap Scope BCM dan kaitannya dengan aktivitas lain di perusahaan lain seperti Enterprise Risk Management (ERM), atau aktifitas operasional. Hal tersebut juga diperlukan untuk mengatur organisasi pelaksana BCM di perusahaan.

Untuk mencapai ketahanan terhadap crisis atau bencana yang tak terduga, perusahaan harus menyiapkan BCM Strategy yang akan dituangkan dalam bentuk penetapan kebijakan, pengembangan dokumen Plan (BCP, CMP) dan implementasi resource yang diperlukan dalam rangka continuity tersebut.

 

atasan Scope BCM adalah sesuatu yang strategik ditinjau dari aspek kebutuhan pelanggan, finansial, reputasi, hukum dan regulasi serta stakeholder. Jika sebuah produk masuk ke dalam scope, maka keseluruhan aktifitas yang mendukung harus masuk dalam pembahasan BCP yang dibuat. Pertimbangan diluar diluar scope yang harus diperhatikan adalah produk/layanan yang sudah akan terminasi, dang roduk dengan proporsi pendapatan kecil (margin kecil).

Seharusnya BCM ditetapkan pada setiap lini perusahaan, namun kadang-kadang hal ini perlu dilakuakan secara bertahap. Maka dari itu harus dimual dari yang paling penting yaitu produk dan layanan yang dihasilkan oleh perusahaan untuk pelanggannya. Jika produk dan layanan ini cukup banyak dimulai dari yang paling besar “value” nya untuk perusahaanm jadi perusahaan dapat menentukan mana yang lebih penting.

Dari produk dan layanan yang terpilih, tentukan divisi utama yang mengirim layanan tersebut. Dengan demikian, akan diperoleh divisi apa saja yang masuk dalam scope BCM ini.

 

 

Bagaimana menyusun Business Countinuity Management System (BCMS)?

Dokumentasi Business Countinuity Management System (BCMS) terdiri atas dua dokumentasi yaitu :

  1. BCM Strategis, dan;
  2. Business Continuity Plan (BCP).

Dokumen BCM Strategy yaitu suatu dokumen yang memuat segala asumsi dan analisa yang diperlukan, yang menjadi acuan bagi pembuatan dokumen BCP.

Dokumen  Business Continuity Plan (BCP) yaitu suatu panduan operasional untuk kondisi sebelum /saat/sesudah kondisi di luar normal terjadi.

 

Adapun langkah-langkah untuk penyusunan Business Countinuity Management System (BCMS) Strategy adalah :

 

  1. Kebijakan Pembentukan dan Penetapan Ruang Lingkup

Dokumen kebijakan Business Countinuity Management System (BCMS) dibuat untuk menggambarkan komitmen dan prinsip-prinsip dasar dari BCMS.

Selain membuat kebijakan BCMS maka dilakukan penetapan ruang lingkup, penetapan ruang lingkup ini dilakukan untuk membatasi effort dan “Proof on concept”. Prinsip penentuan scope disarankan adalah area yang paling kritikal namun paling mudah dilakukan.

Hal-hal yang menjadi batasan dalam scope adalah :

–      Physical Area

–      Proses Bisnis

–      Organisasi

–      Asset

 

  1. Pendefinisian Kondisi Abnormal

Setelah menentukan ruang lingkup dari BCMS lakukan analisa untuk menentukan kondisi abnormal yang mungkin dari ruang lingkup BCM yang telah ditetapkan. Kondisi abnormal ini ditentukan untuk memudahkan dalam melakukan BIA (Business Impact Analysis) pada tahapan BCMS selanjutnya.

 

  1. Business Impact Analysis (BIA)

Apa itu Business Impact Analysis (BIA)?

Analisa dampak bisnis/business impact analysis (BIA) merupakan salah satu bagian dari rencana kelanjutan bisnis/business continuity planning (BCP) organisasi yang menggambarkan potensi risiko organisasi. Analisa dampak bisnis/business impact analysis (BIA) adalah proses mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada kelangsungan bisnis proses di organisasi seandainya terjadi gangguan/bencana yang menimbulkan terhentinya operasional dari bisnis proses tersebut.

Bagaimana Tahapan Penyusunan Business Impact Analysis (BIA)?

Efektifitas dari suatu BCP akan sangat bergantung pada kemampuan manajemen untuk secara tepat mengidentifikasi kritis tidaknya berbagai proses kerja atau aktivitas yang ada  sebelum BCP disusun atau dikaji ulang. Dengan demikian Business Impact Analysis (BIA) merupakan dasar dari penyusunan keseluruhan BCP. Hal-hal yang harus dianalisis dalam BIA meliputi:

  1. Tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan antar proses bisnis serta prioritisasi yang diperlukan;
  2. Tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa lama usaha dapat bekerja tanpa sistem atau fasilitas yang mengalami gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus berfungsi kembali);
  3. Tingkat Minimum Resources Requirement (personil, data dan kelengkapan sistem serta fasilitas yang diperlukan secara minimal agar bisnis bisa pulih dan berjalan);
  4. Dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol terhadap proses bisnis dan pelayanan kepada nasabah;
  5. Dampak disaster terhadap seluruh departemen dan fungsi bisnis, bukan hanya terhadap data processing;
  6. Estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas kehilangan data dan terhentinya proses bisnis serta dampak downtime terhadap kerugian finansial;
  7. Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan;
  8. Kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan petugas pengganti di tempat pemulihan;
  9. Dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan mengenai kerahasiaan data.

 

Dalam melakukan Business Impact Analysis, satuan kerja masing-masing unit bisnis perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor, major sampai dengancatastrophic.

Dengan demikian dampak yang harus diperhatikan bukan hanya yang dapat diukur dengan jelas (tangible impact) seperti penalti akibat keterlambatan pembayaran bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas (intangible impact) seperti kesulitan konsumen memperoleh pelayanan.

 

  1. Risk Assessment

Risk assessment adalah metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak.

Risk assessment merupakan kunci dalam perencanan pemulihan bencana. Risk assessment mencakup risk identification, risk analysis dan risk evaluation.

  1. Risk identification  adalahmengidentifikasi resiko yang mungkin terjadi , risk identification bertujuan untuk mengkategorikan resiko – resiko yang dapat mempengaruhi organisasi. . Hasil dari risk identification adalah sebuah daftar resiko yang dapat memudahkan management resiko pada tahap selanjutnya
  2. Risk Analysis adalah menganalisis resiko yang mungkin terjadi pada suatu organisasi yang ditimbulkan oleh potensi alam maupun manusia. Risk analysis menghasilkan sebuah laporan analisis resiko untuk menentukan efek samping, kerugian, ancaman dan digunakan untuk menyusun penanggulangan terhadap serangan atau bencana yang mungkin terjadi.
  3. Risk Evaluation adalah Pembentukan hubungan antara resiko dan manfaat dari potensi bahaya yang ditimbulkan.Meliputi evaluasi dari semua informasi yang dikumpulkan untuk menentukan besarnya kerugian yang ditimbulkan bencana. Risk evaluation mengevaluasi langkah apa yang akan diambil untuk mengatasi dampak dari suatu bencana.

 

Jenis bencana berdasarkan kerusakan yang ditimbulkan dibagi menjadi 2, yaitu :

1. Minor Disaster

Bencana kecil yang ditimbulkan baik dari alam ataupun dari kesalahan manusia

Contoh : gempa kecil, mouse rusak, gangguan listrik, serangan penyakit yang menyebabkan karyawan yang memegang posisi penting, perampokan, operator error, kebocoran, pemadaman listrik, dll

 

2. Mayor Disaster

Bencana besar yang menyebabkan sistem informasi benar – benar terhenti tanpa toleransi

Contoh : gempa bumi, tsunami, kebakaran, kerusakan hardware pada server, kerusakan jaringan, serangan hacker, perang, terorisme, kegagalan telekomunikasi, ledakan, dll

 

  1. Formulasi Strategi Keberlangsungan

Penyusunan strategi keberlangsungan dilakukan dengan cara :

  1. Petakan komponen-komponen pendukung suatu sumber daya yang akan dikelalo keberlangsungannya.
  2. Tentukan Recovery Time objective (RTO) dan khusus untuk komponen yang berupa informasi, tentukan juga Recovery Point Objective (RPO), sehingga MTDPdari sumber daya yang akan dikelola dapat tercapai.

 

  1. Business Continuity Plan (BCP)

Apa itu Business Continuity Plan (BCP)?

Business Continuity Plan (BCP) adalah suatu kreasi dan validasi perencanaan logistik tentang bagaimana organisasi dapat mengembalikan atau memulihkan fungsi dari bagian organisasinya uang rusak setelah terjadinya bencana atau gangguan (Zhao et al., 2012). Dalam bahasa lain, BCP adalah rencana bagaimana suatu organisasi bertahan dalam menghadapi bencana yang terjadi.
Saat ini semakin banyak perusahan yang membutuhkkan layanan jaringan untuk menjalankan proses bisnisnya, oleh karena itu, keamanan informasi menjadi lebih penting dari sebelumnya, apalagi jika dihubungkan dengan bencana yang terjadi namun tidak terprediksikan sebelumnya. BCP menjadi salah satu perencanaan yang bertujuan meminimalkan dampak terjadinya bencana tersebut.

 

Bagaimana Tahapan Penyusunan Business Continuity Plan?

Gambar.1 BCP Life Cycle

Berikut ini tahapan penyusunan Bisnis Continuity Plan (BCP) :

  1. Mengorganisasi Proyek Penyusunan BCP

Pada tahap ini dilakukan perencanaan pembuatan dokumen Business Continuity Plan (BCP) yang meliputi :

  • Tujuan BCP
  • Ruang Lingkup
  • Struktur Organisasi Proyek
  • Jadwal Pelaksanaan BCP
  1. Mengidentifikasi dan Menganalisa Dampak Resiko

Pada tahap ini dilakukan identifikasi dan analisa dampak potensial apa sajakah yang dapat terjadi serta bagaimana akibatnya terhadap operasional bisnis.

  1. Mempersiapkan Kondisi Darurat

Persiapan kondisi darurat dilakukan dengan :

  • Menentukan strateti back-up (penyelamatan) dan recovery (pemulihan) untuk setiap prediksi bencana
  • Menentukan prosedur untuk menghadapi kondisi darurat.
  1. Menentukan Tindakan Pemulihan Bisnis

Tindakan pemulihan bisnis dilakukan dengan cara  menentukan personil / tim yang bertanggung jawab dan menentukan prosedur yang dilakukan untuk pemulihan bisnis.

  1. Melakukan Pengujian BCP

Pengujian terhadap BCP ini dilakukan dengan menguji sistem BCP yang disusun serta melakukan evaluasi dan perbaikan sistem BCP

  1. Melakukan Pelatihan BCP

Pelatihan dilakukan dengan sosialisasi dan pelatihan BCP kepada seluruh pegawai khususnya serta mengevaluasi hasil pelatihan tersebut.

  1. Melakukan Pemeliharaan Sistem BCP

Pada tahap ini dilakukan dengan peninjauan ulang BCP yang dibuat dan membuat prosedur kebijakan untuk melakukan perubahan.

 

Apa Manfaat dengan adanya BCP?

Manfaat utama dari pendekatan Business Continuity Plan adalah membantu mencapai keyakinan yang memadai ketersediaan proses bisnis dan fungsi “end-to-end” yang penting dengan biaya yang efektif dan efisien. Fokus utama adalah pada persyaratan pemulihan bisnis. Pemangku Kepentingan Bisnis bekerjasama untuk melaksanakan rencana darurat dan pengaturan yang sesuai dengan kebutuhan mereka.

Sangat dipercaya bahwa relevansi dari program kontinuitas bisnis tergantung pada proses bisnis yang mendasarinya diambil dalam konteks dan tujuan strategi manajemen. Tujuan bisnis harus mendorong strategi pemulihan. Hal ini adalah kombinasi pengalaman kontinuitas (keberlanjutan), teknologi “know-how”, dan pengetahuan industri untuk fokus secara efisien pada apa yang penting dan untuk membantu memfokuskan waktu dan sumber daya pada solusi kesinambungan yang tepat.

*Senior Consultan Proxsis IT

Whoops, you're not connected to Mailchimp. You need to enter a valid Mailchimp API key.

Inquiry