63

6.3. PRINSIP-PRINSIP PENYUSUNAN BCP

Dalam penyusunan kebijakan, strategi dan prosedur yang akan diterapkan untuk menangani keadaan disaster, Bank harus memastikan diterapkannya prinsip-prinsip sebagai berikut: a. penyusunan BCP hendaknya melibatkan seluruh satuan kerja dan fungsi bisnis, bukan hanya satuan kerja TI; b. BCP disusun berdasarkan Business Impact Analysis dan Risk Asessment yang memadai; c. BCP bersifat fleksibel untuk dapat merespon berbagai skenario ancaman dan gangguan serta bencana yang sifatnya tidak terduga baik bersumber dari kondisi internal maupun eksternal; d. BCP bersifat spesifik, terdapat kondisi-kondisi tertentu dan tindakan yang dibutuhkan segera dilakukan untuk kondisi tersebut; e. dilakukan pengujian dan pengkinian secara berkala; f. BCP dan hasil pengujian BCP harus dikaji ulang oleh audit intern secara berkala.

6.4. BUSINESS IMPACT ANALYSIS

Efektifitas dari suatu BCP akan sangat bergantung pada kemampuan manajemen untuk secara tepat mengidentifikasi kritis tidaknya berbagai proses kerja atau aktivitas yang ada di Bank sebelum BCP disusun atau dikaji ulang. Dengan demikian Business Impact Analysis BIA merupakan dasar dari penyusunan keseluruhan BCP. Hal-hal yang harus dianalisis dalam BIA meliputi: a. tingkat kepentingan criticality masing-masing proses bisnis dan ketergantungan antar proses bisnis serta prioritisasi yang diperlukan; b. tingkat ketergantungan terhadap pihak penyedia jasa baik TI maupun non TI; c. tingkat Maximum Tolerable OutageRecovery Time Objective berapa lama bank dapat bekerja tanpa sistem atau fasilitas yang mengalami gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus berfungsi kembali; d. tingkat Minimum Resources Requirement personil, data dan kelengkapan sistem serta fasilitas yang diperlukan secara minimal agar bisnis bisa pulih dan berjalan; e. dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol terhadap proses bisnis dan pelayanan kepada nasabah; f. dampak disaster terhadap seluruh departemen dan fungsi bisnis, bukan hanya terhadap data processing; g. estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas kehilangan data dan terhentinya proses bisnis serta dampak downtime terhadap kerugian finansial; h. jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan; 64 i. kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan petugas pengganti di tempat pemulihan; j. dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan mengenai kerahasiaan data nasabah. Dalam melakukan BIA di atas, baik satuan kerja TI maupun masing-masing unit bisnis perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor, major sampai dengan catastrophic. Dengan demikian dampak yang harus diperhatikan bukan hanya yang dapat diukur dengan jelas tangible impact seperti penalti akibat keterlambatan pembayaran bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas intangible impact seperti kesulitan nasabah memperoleh pelayanan.

6.5. PENILAIAN RISIKO