Gambar 4 : Fase Penanganan Bencana
2.3.2 Proses Business Continuity Plan
FFIEC Federal Financial Institutions Examination Council mendorong
agar institusi keuangan financial institution mengadopsi suatu siklus yaitu pendekatan proses oriented menjadi business continuity planning. Terdapat 4 proses
dalam business continuity planning, yaitu : 1.
Analisis dampak bisnis Business Impact Analysis 2.
Identifikasi Resiko Risk Assessment 3.
Menejemen Resiko Risk Management 4.
Pemantauan Resiko dan ujicoba Risk Monitoring and testing Keempat proses diatas merepresentasikan suatu siklus berlanjut yang perlu
ditingkatkan dari waktu ke waktu berdasarkan perubahan dari ancaman potensial, operasi bisnis,
rekomendasi audit, dan hasil test. Sebagai tambahan, proses ini sebaiknya mencakup tiap-tiap kritikal fungsi bisnis dan teknologi yang mendukungnya. Seperti kebijakan,
standarisasi, dan proses yang terintegrasi kedalam keseluruhan proses rencana kelangsungan bisnis business continuity plan.
2.3.2.1 Analisis Dampak Bisnis Business Impact Analysis
Business Impact Analysis adalah landasan awal dalam proses penyusunan BCP melalui proses identifikasi dampak bisnis, identifikasi aktivitas yang kritikal,
Universitas Sumatera Utara
penentuan target waktu pemulihan, dan pengukuran standar operasi minimal yang dibutuhkan.
Tujuan dari Analisis dampak bisnis business impact analysis ini adalah untuk
mendapatkan : Informasi yang menyeluruh mengenai fungsi organisasi dan business process
Informasi kepada manajemen mengenai Recovery Time Objective Informasi mengenai kebutuhan minimal dalam penyelenggaraan organisasi
minimum resources Metodologi yang digunakan adalah :
Identifikasi business process Interdependensi antar business process dan tingkat kritikal business process
Identifikasi kebutuhan minimum Menetapkan Recovery Time Objective RTO melalui metodologi Enterprise Risk
Management dan Business Impact Analysis. Hal-hal yang harus diperhatikan dalam Analisis dampak bisnis business
impact analysis adalah : Tingkat kritikal dan ketergantungan antar proses bisnis serta prioritisasi
Tingkat ketergantungan terhadap pihak penyedia jasa TINon Ti Tingkat Recovery Time Objectives dan Recovery Point Objectives
Tingkat minimum Reource Reuquirement Identifikasi dampak potensial dari suatu kejadian
Dampak Disaster terhadap seluruh fungsi bisnis Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan
Kemampuan dan kemampuan petugas termasuk petugas pengganti Pertimbangan dampak hukum dan pemenuhan ketentuan terkait.
Universitas Sumatera Utara
Gambar 5 : Tingkat RTO dan RPO
2.3.2.2 Target Waktu Pemulihan Recovery Time Objectives
Dalam menentukan Target waktu pemulihan RTO maka beberapa hal yang perlu ditanyakan :
Gambar 6 : Recovery Time Objective
Kategori Level
Lama gangguan Tindakan
Krisis 7
24 jam Aktifkan BCP
6 12 jam
Aktifkan BCP Mayor
5 6 jam
Antisipasi BCP 4
4 jam Perbaikirestorasi
3 2 jam
Perbaiki Minor
2 1 jam
Perbaiki 1
0.5 jam Perbaiki
-Segera Immediately -Dalam jam Within hours
-Satu hari today -Satu minggu This week
-Tidak memerlukan Never
Berapa lama perusahaan dapat bekerja kembali apabila terjadi disasterbencana?
Sesegera apa perusahaan membutuhkan proses pemulihan ?
Last IT Back Up RTO
Recovery Time Objective RTO
Disaster Loss Data
Recovery Time
Work Lost Escalation
Clear Backlog
Universitas Sumatera Utara
Biasa Catat log monitor
Tabel 2 : Daftar Lama Gangguan Berikut Pengaktifan BCP 2.3.2.3 Identifikasi Resiko
Risk Assessment
Identifikasi resiko adalah proses identifikasi resiko yang dihadapi suatu organisasi, identifikasi terhadap fungsi kritikal untuk menjamin kelangsungan
operasional bisnis, serta memperoleh gambaran dalam pengendalian bisnis fungsi untuk mengurangi resiko kerugian apabila terjadi gangguan.
Erik Kopp.2011:47 Identifikasi resiko adalah bagian dari rencaba BCP yang mendokumentasikan risiko yang terkait dengan gangguan dari operasi bisnis utama
atau proses. Risiko didefinisikan sebagai kombinasi dari seberapa besar kemungkinan operasi utama akan terganggu, seberapa banyak waktu sebelum bisnis mengalami
dampak negatif dari kehilanganberhentinya operasional, dan berapa banyak gangguan ini akan mengganggu kinerja bisnis.
Resiko Operasional adalah potensi seluruh gangguan dalam proses operasional suatu organisasi atau perusahaan yang menyebabkan kerugian dimasa yang akan
datang future losses atau terjadi fluktuasi pendapatan dimasa yang akan datang.
Tujuan dilakukannya risk assessment adalah sebagai berikut :
• Menentukan tingkat resiko dari berbagai jenis resiko. • Menentukan pengendalian dari jenis resiko.
• Mengukur dampak dan kuantitas berbagai jenis resiko. • Menentukan kebjakan dalam rangka mengambil keputusan terhadap resiko yang
berdampak besar.
Cakupan Resiko Risk Assesment :
Universitas Sumatera Utara
• Operasional Proses • Operasional Sumber Daya Manusia
• Operasional Sistem Teknologi Informasi • Faktor Eksternal
Proses dan Prosedur Risk Assessment
A. Identifikasi Resiko, yaitu : • Mengetahui dimana saja resiko berada
• Mengetahui penyebab timbulnya resiko • Mengetahui metode yang digunakan untuk mengidentifikasi keberadaan dan
penyebab resiko • Mengetahui pengendalian yang ada bila resiko itu terjadi.
B. Pengukuran Resiko, yakni : • Kuantitatif :“analisis berdasarkan angka-angka nyata nilai financial terhadap
biaya pembangunan keamanan dan besarnya kerugian yang terjadi”
• Kualitatif : “Sebuah analisis yang menentukan resiko tantangan organisasi dimana penilaian tersebut dilakukan berdasarkan institusi, tingkat keahlian dalam menilai
jumlah resiko yang mungkin terjadi dan potensi kerusakannya”
Hal-hal yang harus diperhatikan dalam Risk Assessment
• Membuat prioritisasi kemungkinan gangguan yang terjadi berdasarkan tingkat kerusakan dan kemungkinan terjadinya.
• Membuat suatu gap analysis dengan membandingkan BCP atau DRP atau Contingency Plan yang dimiliki saat ini dengan hasil Risk Assessment
• Melakukan analisis resiko yang akan timbul bagi perusahaan dan stakeholders akibat adanya gangguan atau bencana.
Universitas Sumatera Utara
2.3.2.4 Manajemen Resiko Risk Management
Menejemen resiko adalah langkah ketiga dalam proses rencana kelangsungan bisnis business continuity plan. Menejemen resiko adalah proses mengidentifikasi,
menaksir, dan mengurangi resiko-resiko sampai pada batas yang dapat diterima melalui
pengembangan development,
implementasi implementation
dan maintenance.
Rencana kelangsungan bisnis Business continuity plan harus : • Berdasar kepada Business impact analysis dan risk assessment yang telah ditelaah.
• Didokumentasikan dalam program yang tertulis • Telah diperiksa dan disetujui oleh senior management paling tidak setahun sekali.
• Terbuka untuk karyawan. • Dikelola dengan baik ketika proses pengembangan dan pemeliharaan dari
BCP dilakukan oleh pihak ketiga. outsource • Perhatian khusus terhadap langkah yang harus diambil pada saat terjadi gangguan.
• Fleksikbel merespon ancaman yang tidak terduga dan perubahan kondisi internal. • Fokus terhadap efek yang dihasilkan oleh ancaman yang dapat mengganggu
operasional bisnis. • Dikembangkan berdasarkan asumsi yang masuk akal dan analisis yang saling
berkaitan • Efektif dalam meminimalkan gangguan dari service dan kerugian financial melalui
implementasi BCP.
2.3.2.5 Risk Monitoring and Testing