PEMBUATAN BUSINESS CONTINUITY PLAN BCP G
PEMBUATAN BUSINESS CONTINUITY PLAN (BCP) GUNA
MENINGKATKAN BUSINESS SURVIVAL BISNIS
PERUSAHAAN
MAKALAH
Untuk Menyelesaikan Tugas Akhir Mata Kuliah Managemen Resiko dan
Investasi TI
Disusun Oleh :
Adhitira F R (145150400111067)
Rico Govinda (145150407111003)
Yhanuar Alkhamislam (145150400111062)
Farhan Agastha Putra (145150401111049)
FAKULTAS ILMU KOMPUTER
UNIVERSITAS BRAWIJAYA
MALANG
2016
KATA PENGANTAR
Puji Syukur kehadirat Allah S.W.T atas segala rahmat dan hidayah-NYA.
Sehingga
makalah
yang
berjudul
“PENGGUNAAN
BUSINESS
CONTINUITY PLAN (BCP)” dapat diselesaikan dengan baik. Makalah ini
merupakan tugas akhir semester empat yang diberikan oleh dosen pengampu mata
kuliah Manajemen Resiko dan Investasi TI Universitas Brawijaya, bapak Fajar
Pradana, S.T., M.T.
Makalah ini berisi tentang pembahasan pengertian, proses pembuatan,
serta contoh penerapan dari penggunaan Business Continuity Plan (BCP) pada
perusahaan. Di dalam BCP, terdapa kegiatan business impact analysis dan risk
management. Dengan adanya makalah ini, diharapkan perusahaan mapan yang
belum memiliki BCP untuk mempertimbangkan membuat BCP.
Akhir kata, penulis menyadari bahwa makalah ini masih belum sempurna.
Oleh karena itu, saran dan kritik yang membangun akan sangat membantu untuk
mengembangkan makalah ini.
Malang, 09 Juni 2016
Tim penulis
i
DAFTAR ISI
KATA PENGANTAR ......................................................................................................... i
DAFTAR ISI....................................................................................................................... ii
DAFTAR GAMBAR ......................................................................................................... iii
BAB I PENDAHULUAN
1.1 Latar Belakang .......................................................................................................... 1
1.2 Perumusan Masalah .................................................................................................. 2
1.3 Tujuan ....................................................................................................................... 2
BAB II PEMBAHASAN
2.1 Pengertian Business Continuity Plan ........................................................................ 3
2.2 Komponen Penyusun Business Continuity Plan ....................................................... 4
2.3 Pengertian Analisa Resiko ........................................................................................ 5
2.3.1 Metode Analisa Resiko ...................................................................................... 5
2.4 Proses pembuatan Business Continuity Plan ............................................................ 9
2.5 Manfaat Business Continuity Plan .......................................................................... 15
BAB III KESIMPULAN
3.1 Kesimpulan ............................................................................................................. 18
3.2 Saran ....................................................................................................................... 18
DAFTAR PUSTAKA ....................................................................................................... 19
ii
DAFTAR GAMBAR
gambar 1 Siklus Business Continuity Plan pada organisasi ................................................. 3
gambar 2 Tabel analisa Resiko ............................................................................................ 9
gambar 3 Tahap pembuatan Business Continuity Plan .................................................... 10
iii
BAB I PENDAHULUAN
1.1 Latar Belakang
Dalam menjalankan kegiatan bisnis, tentunya ada berbagai hal yang dapat
mengancam keberlangsungan bisnis tersebut. Ancaman tersebut dapat berasal dari
internal perusahaan (human error) maupun dari luar perusahaan (bencama alam,
serangan malware, dan lain sebagainya). Apabila ancaman-ancaman tadi tidak
ditangani dengan baik, maka tidak menutup kemungkinan ancaman tersebut dapat
mengakibatkan suatu proses bisnis terhenti. Bila itu terjadi, maka tujuan perusahaan
akan terhambat, bahkan perusahaan tersebut dapat merugi. Untuk mengatasi hal
tersebut, salah satu solusi yang dapat digunakan adalah dengan membuat business
continuity plan.
Business Continuity Plan (BCP) adalah suatu rencana strategis yang dibuat
berdasarkan kondisi perusahaan untuk tetap menjalankan kegiatan bisnisnya secara
berkelanjutan, walaupun perusahaan tersebut sedang terjadi masalah. Bila suatu
perusahaan telah membuat BCP mereka, maka ancaman yang datang (baik dari
internal maupun eksternal perusahaan) dapat ditekan. Dengan begitu, perusahaan tadi
akan memiliki nilai business survival yang lebih baik. Dalam implementasinya, BCP
lebih berfokus kepada pencegahan (prevent) sebelum suatu ancaman terjadi.
Di dalam BCP, terdapat berbagai komponen yang mendukung perencanaan
tersebut. Komponen-komponen tersebut yakni backup data, penanggung jawab dari
BCP, pengorganisasian setiap kegiatan BCP, serta adanya asuransi. Hal tadi
merupakan beberapa komponen untuk membuat BCP.
Kemudian, terdapat beberapa langkah-langkah yang diperlukan dalam
pembuatan BCP. Langkah-langkah tersebut meliputi pembuatan Business Impact
Analysis (BIA), strategi pemulihan (recovery strategi), strategi pengembangan
1
rencana (plan development), serta pelatihan dan percobaan (testing and exercising).
Setelah melewati ke-empat tahap tadi, BCP dapat diterapkan diperusahaan.
Diharapkan dengan adanya BCP, perusahaan dapat lebih siap untuk
menghadapi segala kemungkinan resiko yang muncul. Sehingga apabila terjadi suatu
bencana, dampak yang ditimbulkan oleh bencana tersebut dapat dikurangi atau
bahkan dihilangkan.
1.2 Perumusan Masalah
1. Apa yang dimaksud dengan Business Continuity Plan (BCP)?
2. Apa saja komponen penyusun BCP?
3. Apa yang dimaksud dengan risk analysis?
4. Bagaimana metode melakukan risk analysis?
5. Bagaimana cara membuat BCP?
6. Apa manfaat menggunakan BCP terhadap perusahaan?
1.3 Tujuan
1. Mengetahui pengertian BCP
2. Mengetahui komponen BCP
3. Mengetahui pengertian risk analysis
4. Mengetahui metode untuk melakukan risk analysis
5. Mengetahui alur pembuatan BCP
6. Mengetahui manfaat BCP terhadap perusahaan
2
BAB II PEMBAHASAN
2.1 Pengertian Business Continuity Plan
Business Continuity Plan (BCP) adalah suatu rencana strategis yang dibuat
berdasarkan kondisi perusahaan untuk tetap menjalankan kegiatan bisnisnya secara
berkelanjutan, walaupun perusahaan tersebut sedang terjadi masalah. Bila suatu
perusahaan telah membuat BCP mereka, maka ancaman yang datang (baik dari
internal maupun eksternal perusahaan) dapat ditekan. Dengan begitu, perusahaan tadi
akan memiliki nilai business survival yang lebih baik.
Dalam implementasinya, BCP lebih fokus terhadap pencegahan (prevent).
Lalu, Terdapat beberapa tahap dalam melakukan BCP.
gambar 1 Siklus Business Continuity Plan pada organisasi
A. Tahap pencegahan (prevention) : Pada tahap ini, strategi yang digunakan
yakni untuk mencegah terjadinya suatu bencana, serta mencegah efek bencana
tersebut. Tahap ini akan berhubungan dengan resiko manajemen (risk management
plan). Karena berhubungan dengan resiko manajemen, maka tahap ini menggunakan
metode analisa resiko, mulai dari mengidentifikasi resiko, identifikasi dampak pada
nyawa karyawan dan properti perusahaan, dan lain sebagainya.
B. Tahap persiapan (preparedness) : Pada tahap ini, tim analisa BCP akan
melakukan pembagian skala prioritas terhadap suatu bencana. Pembagian ini
3
dilakukan untuk mengetahui dan mendapatkan tindakan dan pemulihan yang efisien
apabila nantinya terjadi suatu bencana. Kemudian, tahap ini akan berhubungan
dengan Business Impact Analysis(BIA). Contoh penerapan tahapan ini yakni
melakukan backup terhadap data-data yang penting.
C. Tahap tindakan (response) : Apabila ternyata terjadi suatu bencana pada
perusahaan, maka tahap ini akan dilakukan. Pada tahap ini, strategi yang dilakukan
yakni menahan agar bencana tadi tidak sampai mengganggu proses bisnis, serta
melakukan upaya untuk mengurangi dampak yang ditimbulkan berdasarkan skala
prioritas yang telah ditentukan pada tahap sebelumnya. Tahap ini berhubungan
dengan Incident Response Planning.
D. Tahap pemulihan (recovery) : Setelah bencana dapat teratasi, maka
langkah selanjutnya yakni melakukan pemulihan. Strategi ini dilakukan untuk
mengembalikan keadaan perusahaan seperti semula, serta meminimalkan recovery
time (waktu yang dibutuhkan untuk melakukan pemulihan). Tahap ini berhubungan
dengan recovery plan. Contoh penerapan tahap ini yakni menggunakan backup data
yang lama bila data yang baru rusak akibat terkena bencana.
Setelah melalu tahap pemulihan, proses tidak berhenti pada tahap tersebut.
Namun, tahap tadi akan memberikan feedback terhadap tahap prevention agar
nantinya bencana yang serupa dapat ditanggulangi lebih baik.
2.2 Komponen Penyusun Business Continuity Plan
Di dalam Business Continuity Plan (BCP), terdapat komponen-komponen
penting yang terdapat di dalamnya. Komponen tersebut yakni :
A. Komponen Personel
Komponen ini meliputi semua pihak yang terlibat di dalam proses BCP.
Misalnya perencana BCP (planner), penanggung jawab, tim-tim khusus tiap proses,
dan lain sebagainya. Komponen ini berfungsi untuk menjalankan strategi-strategi
yang telah dibuat sebelumnya.
4
B. Komponen Teknologi
Komponen ini berfungsi untuk mendukung proses BCP. Komponenkomponen tersebut meliputi :
Hardware : berupa jaringan komputer(network), mainframe, dan lain
sebagainya.
Software : berupa sistem operasi yang digunakan, aplikasi, dan lain-lain.
File data dan vital records : Data-data penting perusahaan yang disimpan
dalam bentuk softcopy.
Operations processing equipment : peralatan yang diguanakan untuk
melakukan proses suatu kegiatan.
Office equipment : peralatan yang menunjang kegiatan bisnis. Misalnya
printer, mesin fotokopi, kalkulator, dan lain sebagainya.
Backup data : kegiatan menyalin sebuah data untuk disimpan pada tempat
lain dan dapat dipakai dikemudian hari.
2.3 Pengertian Analisa Resiko
Sebelum membuat Business Continuity Plan (BCP), tim analisa dapat
melakukan analisa resiko (risk analysis) terlebih dahulu. Menurut Barry, analisa
resiko adalah upaya untuk melakukan identifikasikan resiko-resiko, mencari cara
untuk mengontrol dan mengurangi resiko tadi, serta memantau dampak yang masih
tersisa setelah terjadinya suatu bencana.
2.3.1 Metode Analisa Resiko
Menurut Buku James W.Marriet, ada dua metode utama dan satu metode
gabungan yang dapat digunakan untuk melakukan analisa resiko. Metode tersebut
yakni :
Metode kualitatif
Metode kualitatif adalah metode yang dilakukan dengan cara penilaian secara
deskriptif (rendah, sedang, tinggi). Metode ini digunakan pada saat data yang berupa
5
angka tidak terlalu berpengaruh terhadap hasil analisa resiko yang sedang di
identifikasikan. Kemudian, metode ini juga dapat digunakan ketika dampak dari
resiko yang dianalisa tidak terlalu berbahaya. Karena kemudahannya, metode ini
merupakan metode yang paling sering digunakan dalam menentukan suatu kegiatan
bisnis. Namun, metode ini tidak melakukan tahap analisa cost-benefit.
Menurut Thomas R. Petlier, ada beberapa proses yang dilakukan pada metode
ini, yakni :
Mengidentifikasi batasan analisa : Pada tahap ini, penganalisa akan
melakukan pembatasan ruang lingkup masalah yang akan dianalisa. Sehingga hasil
analisa tadi akan lebih tepat sasaran.
Membuat tim khusus : Selanjutnya, proses ini akan membentuk tim-tim
khusus yang nantinya akan menangani permasalahan tertentu.
Mengidentifikasi ancaman (thread) : Lalu, penganalisa membuat suatu
kuesioner untuk mengetahui ancaman dan penyebabnya.
Membuat skala prioritas ancaman : Pada tahap ini, ancaman yang telah
diidentifikasi akan di urutkan berdasarkan prioritasnya. Semakin besar dampak yang
ditimbulkan terhadap perusahaan, maka ancaman tersebut akan memiliki skala
prioritas yang tinggi.
Melakukan rekapitulasi ancaman : Pada tahap ini, ancaman tadi akan
digolongkan berdasarkan level ancaman, dampak, dan faktor penyebab resiko.
Melakukan kontrol : Dalam proses ini, analisator akan menentukan hal-hal
yang dibutuhkan untuk melakukan monitoring terhadap ancaman.
6
Mengadakan sosialisasi : Pada proses ini, analisator akan melakukan
sosialisasi untuk memberitahu hasil dari analisa resiko yang telah dilakukan.
Metode kuantitatif
Metode kuantitatif adalah suatu metode yang menggunakan data berupa nilai
angka untuk memberitahu probabilitas dan dampak yang ditimbulkan. Tidak seperti
metode kualitatif, metode kuantitatif memperhitungkan cost-benefit di dalam proses
pelaksanaannya.
Untuk melakukan metode ini, terdapat beberapa proses yang akan dilakukan.
Proses-proses tersebut meliputi :
Melakukan pengenalan karakteristik sistem : Tahap melakukan analisa dan
pengenalan terhadap sistem yang diterapkan pada perusahaan.
Mengidentifikasi ancaman : Tahap melakukan analisa terhadap ancaman,
baik yang telah terjadi maupun yang berpeluang akan terjadi dimasa mendatang.
Mengidentifikasi kelemahan : Tahap melakukan analisa terhadap
kelemahan perusahaan saat ini maupun masa yang akan datang.
Melakukan analisa kontrol : Tahap melakukan analisa terhadap proses
kontrol yang diterapkan pada perusahaan saat ini.
Memperhatikan kecenderungan (likelihood) : Tahap mengadakan analisa
terhadap kecenderungan weakness perusahaan dan ancaman. Sehingga, tahap ini akan
menghasilkan tingkat kecenderungan suatu ancaman pada perusahaan.
Menganalisa dampak : Proses mengukur dan menganalisa dampak dari
suatu ancaman. Sehingga proses ini menghasilkan level dampak pada ancaman yang
telah di-identifikasi sebelumnya.
7
Melakukan determinasi resiko : Proses menganalisa dan mengidentifikasi
hasil analisa dari tingkat kecenderungan, tingkat ancaman, serta tingkat dampak yang
ditimbulkan oleh ancaman.
Memberikan saran kontrol : Proses menyampaikan saran berupa beberapa
beberapa rekomendasi untuk melakukan monitoring terhadap ancaman guna
mengurangi dampak dari ancaman tersebut.
Membuat dokumentasi : Tahap membuat dokumentasi dari hasil analisaanalisa yang telah dilakukan sebelumnya.
Metode hibrida/semi kuantitatif
Metode hibrida merupakan gabungan antara metode kualitatif dengan metode
kuantitatif. Jadi, metode ini menggunakan nilai berupa skala angka untuk
dikategorikan untuk setiap kategori kualitatif. Meskipun merupakan gabungan,
metode ini tidak melakukan tahap-tahap yang ada serinci pada tahap kualitatif
maupun kuantitatif.
Setelah melakukan analisa resiko, maka hasil yang didapatkan yakni berupa
tabel tentang kemungkinan dan dampak yang ditimbulkan dari suatu ancaman.
8
gambar 2 Tabel analisa Resiko
Pada tabel tersebut, terdapat kolom dan baris yang menyatakan tingkat
kemungkinan (probability) dan dampak (impact) yang ditimbulkan dari suatu
ancaman. Semakin besar kemungkinan ancaman terjadi, maka tingkat probabilitasnya
semakin tinggi. Begitupula dengan impact. Semakin besar dampak yang ditimbulkan
terhadap keberlangsungan perusahaan, maka tingkat impact akan semakin tinggi.
Apabila ancaman terdapat pada level „high‟, maka langkah yang tepat harus
dilakukan untuk menanggulanginya. Apabila ancaman terdapat pada level „medium‟,
maka langkah penaggulangan sebaiknya dilakukan. Apabila ancaman terdapat pada
level „low‟, maka tidak perlu ada tindakan yang dilakukan untuk saat ini.
2.4 Proses pembuatan Business Continuity Plan
Dihimpun dari www.ready.gov, terdapat beberapa proses yang dilakukan
untuk membuat Business Continuity Plan. Ke-empat proses tersebut yakni tergambar
sebagai berikut :
9
gambar 3 Tahap pembuatan Business Continuity Plan
Langkah 1 : Membuat Business Impact Analysis
Menurut Disaster Recovery Institute International (DRII), Business Impact
Analysis (BIA) adalah adalah suatu kegiatan menganalisa dan mengukur dampak
potensial dari suatu ancaman terhadap perusahaan. Tujuan akhir dari BIA yakni
membuat suatu skala prioritas untuk menentukan masalah yang paling kritikal
terhadap perusahaan.
Berdasarkan preparedness Buletin volume 7 issue 1, di dalam BIA terdapat
beberapa informasi yang ada. Diantaranya :
Recovery time : BIA akan menentukan waktu yang dibutuhkan untuk
melakukan pemulihan resource yang terkena dampak bencana.
Prioritas fungsi bisnis : BIA berisi informasi mengenai mana fungsi bisnis
yang harus didahulukan untuk di-recovery ketika beberapa fungsi bisnis
terkena bencana.
Resource requirement : BIA informasi tentang sumber daya apa saja yang
dibutuhkan untuk menjalankan kegiatan bisnis perusahaan.
Pengembangan continuity strategies dan dokumentasi Business Continuity
Plan.
Pada BIA, terdapat istilah Recovery Time Objective dan Recovery Time
Objective (RTO). RTO adalah durasi waktu yang dibutuhkan untuk melakukan
10
pemulihan resource yang terkena bencana. Sedangkan RPO adalah jumlah maksimal
data/resource yang hilang tanpa menyebabkan dampak yang besar.
Kemudian, seperti yang telah dijabarkan sebelumnya, salah satu informasi
yang terdapat di dalam BIA yakni Resource requirement. Resource requirement berisi
hal-hal apa saja yang dibutuhkan perusahaan agar proses bisnis dapat dijalankan.
Resource requirement biasanya terdapat beberapa hal, misalnya karyawan, fasilitas,
teknologi dan komunikasi, vital records, dan office equipment.
Untuk melakukan BIA, terdapat beberapa langkah yang dilakukan.
a. Membuat kuesioner BIA
Pada langkah ini, analisator dapat mengajukan beberapa pertanyaan terkait
dengan masalah yang telah maupun yang akan dihadapi perusahaan. Pertanyaan
umum yang sering muncul pada kuesioner yakni :
- Apa saja sumber informasi yang penting bagi perusahaan?
- Apa saja proses bisnis yang dapat menyebabkan dampak negatif yang sangat
fatal apabila perusahaan tidak menjalankan proses tersebut?
b. Mengadakan workshop untuk menginstruksikan fungsi bisnis dan process manager
bagaimana cara untuk menyelesaikan BIA
Pada
tahap
ini,
analisator
akan
mengadakan
workshop
untuk
menginstruksikan fungsi bisnis dan process manager sebagai peserta workshop
bagaimana cara menyelesaikan BIA. Pada workshop tersebut, analisator akan
menyebarkankan kuesioner yang telah dibuat sebelumnya kepada peserta workshop
untuk mengisi kuesioner BIA tersebut.
c. Mereview kuesioner
Setelah peserta mengisi kuesioner, maka langkah selanjutnya yakni mereview
jawaban-jawaban tersebut. Dari jawaban-jawaban tersebut, maka penganalisa sudah
dapat membayangkan apa dan bagaimana bencana yang harus diprioritaskan.
d. Melakukan interview terhadap pengisi kuesioner
11
Langkah selanjutnya yang dilakukan yakni melakukan interview dengan pihak
terkait untuk melakukan validasi terhadap informasi yang telah didapat sebelumnya.
Selain itu, langkah ini juga berfungi untuk melengkapi informasi tertentu bila hasil
kuesioner tersebut belum jelas.
e. Menyusun dan menganalisa hasil kuesioner
Langkah terakhir yang dilakukan yakni menyusun dan menganalisa hasil
kuesioner. Dari hasil analisa ini, akan didapatkan apa saja prioritas recovery dan
strategi-strategi yang mungkin untuk diterapkan. Selain itu, hasil analisa ini juga
dapae menjadi rekomendasi untuk mengatasi kerentanan ancaman.
Langkah 2 : Membuat Recovery Strategy
Setelah melakukan Business Impact Analysis (BIA), maka langkah
selanjutnya yakni membaut sebuah strategy pemulihan (recovery strategy). Menurut
www.businessdictionary.com, Recovery strategy adalah suatu langkah-langkah
strategis yang digunakan untuk memulihkan kegiatan operasi yang kritikal dari
perusahaan yang terkena bencana ke kondisi semula. Pada proses ini, ada beberapa
langkah yang dapat digunakan.
a. Menggunakan Business Impact Analysis untuk menentukan resource requirement
Langkah pertama yang harus dilakukan yakni menggunakan Business Impact
Analysis (BIA) yang telah dibuat sebelumnya. Pada tahap ini, BIA akan digunakan
untuk mengidentifikasi dan mendokumentasikan resource requirement yang
dibutuhkan oleh perusahaan. Dengaa adanya langkah ini, maka perusahaan dapat
menentukan sumber daya penting apa saja yang dibutuhkan agar kegiatan bisnis
perusahaan tetap dapat berjalan.
b. Meniadakan gap antara recovery requirement dengan kapabilitas perusahaan
Selanjutnya, langkah yang akan dilakukan yakni menganalisa recovery
requirement dengan kapabilitas perusahaan saat ini. Apabila ada beberapa recovery
12
requirement yang tidak dapat dipenuhi oleh kapabilitas perusahaan saat ini, maka
recovery requirement tersebut tidak akan diterapkan terlebih dahulu. Begitupula
sebaliknya.
c. Mengeksplorasi pilihan-pilihan recovery strategy
Kemudian, strategi-strategi yang telah dibuat sebelumnya akan diserahkan
kepada pihak manajemen. Para manajer akan memilih kembali mana saja strategi
yang dibutuhkan oleh perusahaan. Setelah melakukan pemilihan strategi, pihak
manajer akan menyetujui rencana tersebut.
d. Melakukan implementasi strategi
Setelah mendapat persetujuan dari manajer, maka rencana tadi akan
dilaksanakan oleh perusahaan.
Langkah 3 : Membuat Plan development
Setelah membuat recovery strategy, maka langkah selanjutnya yakni membuat
rencana pengembangan (Plan Development). Secara garis besar, plan development
akan melakukan pengembangan terhadap strategi yang telah dibuat sebelumnya.
Selain itu, proses ini nantinya akan membentuk tim khusus untuk menangani
masalah-masalah yang telah didefinisikan sebelumnya. Adapun langkah-langkah
yang dilakukan pada tahap ini yakni :
a. Mengembangkan plan framework
Langkah pertama yang akan dilakukan yakni mengembangkan plan
framework. Ada beberapa plan framewotk yang dapat digunakan, misalnya COBIT
(Control Objective for Information and Related Technology). Plan framework
tersebut dapat dikembangkan dengan memperhatikan beberapa poin berikut :
Mendefinisikan posisi strategi saat ini
Merencanakan arah strategi berdasarkan visi dan misi perusahaan
13
Merencankan strategi agar arah rencana tadi dapat terlaksana
b. Membentuk recovery team
Pada langkah ini, pembuat BCP akan membentuk tim khusus yang bertugas
untuk menangani pemulihan kondisi fungsi bisnis apabila ada permasalahan yang
berdampak tidak baik bagi perusahaan. Ada beberapa tim-tim khusu yang dibuat.
MIsalnya software team yang bertugas untuk menangani permasalahan perangkat
lunak perusahaan, relocation team yang bertugas untuk menangani permasalahan
pemindahan lokasi perusahaan apabila terjadi bencana, damage assessment yang
bertugas auntuk melakukan perhitungan dampak suatu bencana, dan lain sebagainya.
d. Membuat prosedur business continuity dan IT disaster recovery
Selanjutnya, hal yang akan dilakukan yakni membuat prosedur untuk business
continuity. Selain itu. Prosedur lainnya yang harus dibuat yakni IT disaster recovery.
Kedua hal tadi akan menggunakan BIA dalam proses pembuatannya.
e. Membuat dokumentasi solusi permasalahan
Kemudian, langkah selanjutnya yakni mendokumentasikan solusi-solusi untuk
masing-masing ancaman yang telah maupun akan muncul dikemudian hari. Hal ini
dilakukan agar semua pihak yang terlibat dapat melakukan prosedur untuk menangani
permasalahan tersebut dengan baik.
Langkah 4 : Melakukan Testing and exercises
Langkah terakhir yang akan dilakukan yakni melakukan tes dan pelatiahn
(testing and exercising). Pada tahapan ini, perusahaan akan melakukan beberapa
pelatihan terhadap tim khusus yang telah dibuat sebelumnya. Adapun langkahlangkah yang dijalankan yakni :
a. Mengembangkan testing, exercises dan maintenance requirement
14
Pada langkah ini, hal yang dilakukan yakni melakukan pengembangan
(development) terhadap testing dan exerproses yang ada. Tidak hanya itu, pada
tahapan ini, analisator juga akan melakukan pengembangan terhadap maintenance
requirement yang dibutuhkan.
b. Melakukan pelatihan kepada tim business continuity
Kemudian, proses selanjutnya yakni perusahaan akan mengadakan pelatihan
terhadap tim business continuity yang telah dibentuk pada langkah ke tiga
sebelumnya. Hal ini bertujuan agar tim tersebut dapat lebih siap menjalankan
fungsinya ketika bencana benar-benar terjadi.
d. Melakukan pengujian berdasarkan hasil tes dokumen
Pada langkah terakhir ini, strategi yang telah berhasil dibuat akan diujikan
terlebih dahulu. Dari langkah ini, nantinya akan didapatkan feedback dari hasil uji
tadi. Feedback tersebut nantinya dapat dipergunakan kembali untuk meng-update
dokumentasi yang ada.
Setelah langkah ke-empat selesai, proses tidak terhenti sampai disitu saja.
Proses tersebut akan kembali lagi kepada tahap awal, yakni Business Impact Analysis
(BIA). Pada BIA, hasil yang didapatkan selama kegiatan business continuity plan
akan dikaji ulang. Hal ini bertujuan agar nantinya ancaman baru yang serupa dapat
ditangani lebih baik lagi.
2.5 Manfaat Business Continuity Plan
Business Continuity Plan (BCP) merupakan rencana yang bersifat preventif,
artinya rencana tersebut berfokuskan kepada tindak pencegahan sebelum suatu
bencana benar-benar terjadi menimpa perusahaan. Namun, bukan berarti bahwa BCP
tidak bisa menaggulangi bencana. Di dalam BCP, terdapat disaster recovery
plan(DRP) yang berfungsi sebagai tindak kuratif.
15
Menurut www.continuitysa.com, Ada banyak manfaat yang didapatkan
apabila perusahaan menggunakan BCP. Diantaranya :
Mengurangi dampak bencana ke perusahaan
Dengan menggunakan BCP, maka apabila perusahaan terkena bencana,
dampak yang ditimbulkan dapat dikurangi. Hal ini disebabkan Karena BCP
membantu perusahaan untuk mengidentifikasi berbagai macam ancaman yang telah
atau akan terjadi, serta menganalisa berbagai cara untuk menanggulangi ancaman
tersebut. Sehingga perusahaan lebih siap untuk menanggulangi bencana.
Mengurangi resiko kehilangan finansial
Seperti yang telah dijelaskan sebelumnya, BCP membantu perusahaan untuk
menganalisa resiko dan ancaman, serta bagaimana cara untuk menghadapi
permasalahan tersebut. Di dalam analisa resiko, terdapat juga metode kuantitatif yang
dapat memperhitungkan berapa probabilitas dan dampak yang ditimbulkan oleh
bencana dalam cost-benefit perusahaan. Sehingga perusaahaan dapat memperkirakan
berapa besar kerugian yang ditimbulkan oleh bencana.
Menambah kepercayaan terhadap pekerja, klien, dan supplier
BCP menjamin keberlangsungan proses bisnis serta „hidup‟ dari perusahaan
itu sendiri. Selain itu, dengan membuat BCP, berarti perusahaan tersebut berusaha
untuk memenuhi standar business continuity dari Business Continuity Institute. Oleh
sebab itu, pekerja, klien, dan supplier akan lebih percaya bahwa perusahaan dapat
memberikan service yang baik.
Membantu memulihkan fungsi yang kritikal dalam waktu tertentu
Di dalam BCP, terdapat istilah Recovery time objective (RTO) dan recovery
point objective (RPO) yang telah dibahas sebelumnya. RTO membantu perusahaan
untuk mengukur berapa lama waktu yang dibutuhkan untuk melakukan pemulihan
terhadap fungsi bisnis yang kritikal. Semakin kecil waktu yang dihasilkan, maka akan
16
semakin baik. Sedangkan dengan RPO, perusahaan dapat mengetahui jumlah
toleransi maksimal data yang hilang. Dengan adanya RTO dan RPO sebagai kontrol,
maka pemulihan fungsi kritikal dapat dilakukan dengan waktu yang lebih cepat.
17
BAB III KESIMPULAN
3.1 Kesimpulan
Business Continuity Plan (BCP) adalah suatu rencana strategis yang dibuat
berdasarkan kondisi perusahaan untuk tetap menjalankan kegiatan bisnisnya secara
berkelanjutan, walaupun perusahaan tersebut sedang terjadi masalah. Bila suatu
perusahaan telah membuat BCP mereka, maka ancaman yang datang (baik dari
internal maupun eksternal perusahaan) dapat ditekan.
Sebelum membuat BCP, analisator melakukan analisa resiko (risk analysis)
untuk mengetahui seberapa apa dan sebab suatu ancaman yang telah atau akan datang
menimpa perusahaan. Setelah melakukan analisa resiko, maka analisator dapat
membuat BCP. Kemudian, ada beberapa langkah yang digunakan untuk membuat
BCP. Mulai dari Langkah membuat Business Impact, membuat recovery strategy,
melakukan plan development, dan melakukan testing dan exercises.
Ada beberapa manfaat yang didapat bila menggunakan BCP. Diantaranya
yaitu mengurangi dampak bencana kepada perusahaan, mengurangi resiko kehilangan
finansial, menambah kepercayaan karyawan, klien, dan supplier, serta membantu
memulihkan fungsi yang kritikal dalam jangka waktu tertentu.
3.2 Saran
Sebaiknya perusahaan yang telah mapan mempertimbangkan untuk membuat
Business Continuity Plan (BCP). Sebab, meskipun pembuatan BCP tergolong mahal,
ada banyak manfaat yang didapat dengan adanya BCP di perusahaan. Salah satunya
yakni mengurangi dampak bencana kepada perusahaan, mengurangi resiko
kehilangan finansial, menambah kepercayaan karyawan, klien, dan supplier, serta
membantu memulihkan fungsi yang kritikal dalam jangka waktu tertentu.
18
DAFTAR PUSTAKA
Peltier, Thomas R.2005.Information Security Risk Analysis Second Edition.CRC
Press:Florida.
DARING
Anonim.Tanpa Tahun.Business Continuity Plan.
https://www.ready.gov/business/implementation/continuity.Diakses tanggal 06 Juni
2016.
Anonim.Tanpa Tahun.Resource Requirements.
http://www.planwrite.com/Requirements.asp.Diakses tanggal 08 Juni 2016.
Bodenstein, Cindy.2014.Six Benefits of Business Continuity management.
http://www.continuitysa.com/six-benefits-of-business-continuitymanagement/.Diakses tanggal 09 Juni 2016.
Editor.2015.Business Impact Analysis.[PDF].Diakses tanggal 09 Juni 2016.
Editor.2015.4 Essential Components of A BCP .
http://www.techadvisory.org/2015/05/4-essential-components-of-a-bcp/.Diakses
tanggal 08 Juni 2016
FFIEC.2003.Business Continuity Plan.[PDF]. Diakses tanggal 08 Juni 2016
Madrid Comunidad.Tanpa Tahun.Risk Analysis and Quantification.[PDF]. Diakses tanggal 08
Juni 2016.
Merrit, W. James.1999.A method for Quantitative Risk Analysis. [PDF].Diakses
tanggal 08 Juni 2016.
Molsoff, Robert L.Business Impact Analysis.[PDF].Diakses tanggal 08 Juni 2016.
19
Quenssland.2009.Business Continuity Planning Guide.[PDF].Diakses tanggal 06 Juni
2016.
20
MENINGKATKAN BUSINESS SURVIVAL BISNIS
PERUSAHAAN
MAKALAH
Untuk Menyelesaikan Tugas Akhir Mata Kuliah Managemen Resiko dan
Investasi TI
Disusun Oleh :
Adhitira F R (145150400111067)
Rico Govinda (145150407111003)
Yhanuar Alkhamislam (145150400111062)
Farhan Agastha Putra (145150401111049)
FAKULTAS ILMU KOMPUTER
UNIVERSITAS BRAWIJAYA
MALANG
2016
KATA PENGANTAR
Puji Syukur kehadirat Allah S.W.T atas segala rahmat dan hidayah-NYA.
Sehingga
makalah
yang
berjudul
“PENGGUNAAN
BUSINESS
CONTINUITY PLAN (BCP)” dapat diselesaikan dengan baik. Makalah ini
merupakan tugas akhir semester empat yang diberikan oleh dosen pengampu mata
kuliah Manajemen Resiko dan Investasi TI Universitas Brawijaya, bapak Fajar
Pradana, S.T., M.T.
Makalah ini berisi tentang pembahasan pengertian, proses pembuatan,
serta contoh penerapan dari penggunaan Business Continuity Plan (BCP) pada
perusahaan. Di dalam BCP, terdapa kegiatan business impact analysis dan risk
management. Dengan adanya makalah ini, diharapkan perusahaan mapan yang
belum memiliki BCP untuk mempertimbangkan membuat BCP.
Akhir kata, penulis menyadari bahwa makalah ini masih belum sempurna.
Oleh karena itu, saran dan kritik yang membangun akan sangat membantu untuk
mengembangkan makalah ini.
Malang, 09 Juni 2016
Tim penulis
i
DAFTAR ISI
KATA PENGANTAR ......................................................................................................... i
DAFTAR ISI....................................................................................................................... ii
DAFTAR GAMBAR ......................................................................................................... iii
BAB I PENDAHULUAN
1.1 Latar Belakang .......................................................................................................... 1
1.2 Perumusan Masalah .................................................................................................. 2
1.3 Tujuan ....................................................................................................................... 2
BAB II PEMBAHASAN
2.1 Pengertian Business Continuity Plan ........................................................................ 3
2.2 Komponen Penyusun Business Continuity Plan ....................................................... 4
2.3 Pengertian Analisa Resiko ........................................................................................ 5
2.3.1 Metode Analisa Resiko ...................................................................................... 5
2.4 Proses pembuatan Business Continuity Plan ............................................................ 9
2.5 Manfaat Business Continuity Plan .......................................................................... 15
BAB III KESIMPULAN
3.1 Kesimpulan ............................................................................................................. 18
3.2 Saran ....................................................................................................................... 18
DAFTAR PUSTAKA ....................................................................................................... 19
ii
DAFTAR GAMBAR
gambar 1 Siklus Business Continuity Plan pada organisasi ................................................. 3
gambar 2 Tabel analisa Resiko ............................................................................................ 9
gambar 3 Tahap pembuatan Business Continuity Plan .................................................... 10
iii
BAB I PENDAHULUAN
1.1 Latar Belakang
Dalam menjalankan kegiatan bisnis, tentunya ada berbagai hal yang dapat
mengancam keberlangsungan bisnis tersebut. Ancaman tersebut dapat berasal dari
internal perusahaan (human error) maupun dari luar perusahaan (bencama alam,
serangan malware, dan lain sebagainya). Apabila ancaman-ancaman tadi tidak
ditangani dengan baik, maka tidak menutup kemungkinan ancaman tersebut dapat
mengakibatkan suatu proses bisnis terhenti. Bila itu terjadi, maka tujuan perusahaan
akan terhambat, bahkan perusahaan tersebut dapat merugi. Untuk mengatasi hal
tersebut, salah satu solusi yang dapat digunakan adalah dengan membuat business
continuity plan.
Business Continuity Plan (BCP) adalah suatu rencana strategis yang dibuat
berdasarkan kondisi perusahaan untuk tetap menjalankan kegiatan bisnisnya secara
berkelanjutan, walaupun perusahaan tersebut sedang terjadi masalah. Bila suatu
perusahaan telah membuat BCP mereka, maka ancaman yang datang (baik dari
internal maupun eksternal perusahaan) dapat ditekan. Dengan begitu, perusahaan tadi
akan memiliki nilai business survival yang lebih baik. Dalam implementasinya, BCP
lebih berfokus kepada pencegahan (prevent) sebelum suatu ancaman terjadi.
Di dalam BCP, terdapat berbagai komponen yang mendukung perencanaan
tersebut. Komponen-komponen tersebut yakni backup data, penanggung jawab dari
BCP, pengorganisasian setiap kegiatan BCP, serta adanya asuransi. Hal tadi
merupakan beberapa komponen untuk membuat BCP.
Kemudian, terdapat beberapa langkah-langkah yang diperlukan dalam
pembuatan BCP. Langkah-langkah tersebut meliputi pembuatan Business Impact
Analysis (BIA), strategi pemulihan (recovery strategi), strategi pengembangan
1
rencana (plan development), serta pelatihan dan percobaan (testing and exercising).
Setelah melewati ke-empat tahap tadi, BCP dapat diterapkan diperusahaan.
Diharapkan dengan adanya BCP, perusahaan dapat lebih siap untuk
menghadapi segala kemungkinan resiko yang muncul. Sehingga apabila terjadi suatu
bencana, dampak yang ditimbulkan oleh bencana tersebut dapat dikurangi atau
bahkan dihilangkan.
1.2 Perumusan Masalah
1. Apa yang dimaksud dengan Business Continuity Plan (BCP)?
2. Apa saja komponen penyusun BCP?
3. Apa yang dimaksud dengan risk analysis?
4. Bagaimana metode melakukan risk analysis?
5. Bagaimana cara membuat BCP?
6. Apa manfaat menggunakan BCP terhadap perusahaan?
1.3 Tujuan
1. Mengetahui pengertian BCP
2. Mengetahui komponen BCP
3. Mengetahui pengertian risk analysis
4. Mengetahui metode untuk melakukan risk analysis
5. Mengetahui alur pembuatan BCP
6. Mengetahui manfaat BCP terhadap perusahaan
2
BAB II PEMBAHASAN
2.1 Pengertian Business Continuity Plan
Business Continuity Plan (BCP) adalah suatu rencana strategis yang dibuat
berdasarkan kondisi perusahaan untuk tetap menjalankan kegiatan bisnisnya secara
berkelanjutan, walaupun perusahaan tersebut sedang terjadi masalah. Bila suatu
perusahaan telah membuat BCP mereka, maka ancaman yang datang (baik dari
internal maupun eksternal perusahaan) dapat ditekan. Dengan begitu, perusahaan tadi
akan memiliki nilai business survival yang lebih baik.
Dalam implementasinya, BCP lebih fokus terhadap pencegahan (prevent).
Lalu, Terdapat beberapa tahap dalam melakukan BCP.
gambar 1 Siklus Business Continuity Plan pada organisasi
A. Tahap pencegahan (prevention) : Pada tahap ini, strategi yang digunakan
yakni untuk mencegah terjadinya suatu bencana, serta mencegah efek bencana
tersebut. Tahap ini akan berhubungan dengan resiko manajemen (risk management
plan). Karena berhubungan dengan resiko manajemen, maka tahap ini menggunakan
metode analisa resiko, mulai dari mengidentifikasi resiko, identifikasi dampak pada
nyawa karyawan dan properti perusahaan, dan lain sebagainya.
B. Tahap persiapan (preparedness) : Pada tahap ini, tim analisa BCP akan
melakukan pembagian skala prioritas terhadap suatu bencana. Pembagian ini
3
dilakukan untuk mengetahui dan mendapatkan tindakan dan pemulihan yang efisien
apabila nantinya terjadi suatu bencana. Kemudian, tahap ini akan berhubungan
dengan Business Impact Analysis(BIA). Contoh penerapan tahapan ini yakni
melakukan backup terhadap data-data yang penting.
C. Tahap tindakan (response) : Apabila ternyata terjadi suatu bencana pada
perusahaan, maka tahap ini akan dilakukan. Pada tahap ini, strategi yang dilakukan
yakni menahan agar bencana tadi tidak sampai mengganggu proses bisnis, serta
melakukan upaya untuk mengurangi dampak yang ditimbulkan berdasarkan skala
prioritas yang telah ditentukan pada tahap sebelumnya. Tahap ini berhubungan
dengan Incident Response Planning.
D. Tahap pemulihan (recovery) : Setelah bencana dapat teratasi, maka
langkah selanjutnya yakni melakukan pemulihan. Strategi ini dilakukan untuk
mengembalikan keadaan perusahaan seperti semula, serta meminimalkan recovery
time (waktu yang dibutuhkan untuk melakukan pemulihan). Tahap ini berhubungan
dengan recovery plan. Contoh penerapan tahap ini yakni menggunakan backup data
yang lama bila data yang baru rusak akibat terkena bencana.
Setelah melalu tahap pemulihan, proses tidak berhenti pada tahap tersebut.
Namun, tahap tadi akan memberikan feedback terhadap tahap prevention agar
nantinya bencana yang serupa dapat ditanggulangi lebih baik.
2.2 Komponen Penyusun Business Continuity Plan
Di dalam Business Continuity Plan (BCP), terdapat komponen-komponen
penting yang terdapat di dalamnya. Komponen tersebut yakni :
A. Komponen Personel
Komponen ini meliputi semua pihak yang terlibat di dalam proses BCP.
Misalnya perencana BCP (planner), penanggung jawab, tim-tim khusus tiap proses,
dan lain sebagainya. Komponen ini berfungsi untuk menjalankan strategi-strategi
yang telah dibuat sebelumnya.
4
B. Komponen Teknologi
Komponen ini berfungsi untuk mendukung proses BCP. Komponenkomponen tersebut meliputi :
Hardware : berupa jaringan komputer(network), mainframe, dan lain
sebagainya.
Software : berupa sistem operasi yang digunakan, aplikasi, dan lain-lain.
File data dan vital records : Data-data penting perusahaan yang disimpan
dalam bentuk softcopy.
Operations processing equipment : peralatan yang diguanakan untuk
melakukan proses suatu kegiatan.
Office equipment : peralatan yang menunjang kegiatan bisnis. Misalnya
printer, mesin fotokopi, kalkulator, dan lain sebagainya.
Backup data : kegiatan menyalin sebuah data untuk disimpan pada tempat
lain dan dapat dipakai dikemudian hari.
2.3 Pengertian Analisa Resiko
Sebelum membuat Business Continuity Plan (BCP), tim analisa dapat
melakukan analisa resiko (risk analysis) terlebih dahulu. Menurut Barry, analisa
resiko adalah upaya untuk melakukan identifikasikan resiko-resiko, mencari cara
untuk mengontrol dan mengurangi resiko tadi, serta memantau dampak yang masih
tersisa setelah terjadinya suatu bencana.
2.3.1 Metode Analisa Resiko
Menurut Buku James W.Marriet, ada dua metode utama dan satu metode
gabungan yang dapat digunakan untuk melakukan analisa resiko. Metode tersebut
yakni :
Metode kualitatif
Metode kualitatif adalah metode yang dilakukan dengan cara penilaian secara
deskriptif (rendah, sedang, tinggi). Metode ini digunakan pada saat data yang berupa
5
angka tidak terlalu berpengaruh terhadap hasil analisa resiko yang sedang di
identifikasikan. Kemudian, metode ini juga dapat digunakan ketika dampak dari
resiko yang dianalisa tidak terlalu berbahaya. Karena kemudahannya, metode ini
merupakan metode yang paling sering digunakan dalam menentukan suatu kegiatan
bisnis. Namun, metode ini tidak melakukan tahap analisa cost-benefit.
Menurut Thomas R. Petlier, ada beberapa proses yang dilakukan pada metode
ini, yakni :
Mengidentifikasi batasan analisa : Pada tahap ini, penganalisa akan
melakukan pembatasan ruang lingkup masalah yang akan dianalisa. Sehingga hasil
analisa tadi akan lebih tepat sasaran.
Membuat tim khusus : Selanjutnya, proses ini akan membentuk tim-tim
khusus yang nantinya akan menangani permasalahan tertentu.
Mengidentifikasi ancaman (thread) : Lalu, penganalisa membuat suatu
kuesioner untuk mengetahui ancaman dan penyebabnya.
Membuat skala prioritas ancaman : Pada tahap ini, ancaman yang telah
diidentifikasi akan di urutkan berdasarkan prioritasnya. Semakin besar dampak yang
ditimbulkan terhadap perusahaan, maka ancaman tersebut akan memiliki skala
prioritas yang tinggi.
Melakukan rekapitulasi ancaman : Pada tahap ini, ancaman tadi akan
digolongkan berdasarkan level ancaman, dampak, dan faktor penyebab resiko.
Melakukan kontrol : Dalam proses ini, analisator akan menentukan hal-hal
yang dibutuhkan untuk melakukan monitoring terhadap ancaman.
6
Mengadakan sosialisasi : Pada proses ini, analisator akan melakukan
sosialisasi untuk memberitahu hasil dari analisa resiko yang telah dilakukan.
Metode kuantitatif
Metode kuantitatif adalah suatu metode yang menggunakan data berupa nilai
angka untuk memberitahu probabilitas dan dampak yang ditimbulkan. Tidak seperti
metode kualitatif, metode kuantitatif memperhitungkan cost-benefit di dalam proses
pelaksanaannya.
Untuk melakukan metode ini, terdapat beberapa proses yang akan dilakukan.
Proses-proses tersebut meliputi :
Melakukan pengenalan karakteristik sistem : Tahap melakukan analisa dan
pengenalan terhadap sistem yang diterapkan pada perusahaan.
Mengidentifikasi ancaman : Tahap melakukan analisa terhadap ancaman,
baik yang telah terjadi maupun yang berpeluang akan terjadi dimasa mendatang.
Mengidentifikasi kelemahan : Tahap melakukan analisa terhadap
kelemahan perusahaan saat ini maupun masa yang akan datang.
Melakukan analisa kontrol : Tahap melakukan analisa terhadap proses
kontrol yang diterapkan pada perusahaan saat ini.
Memperhatikan kecenderungan (likelihood) : Tahap mengadakan analisa
terhadap kecenderungan weakness perusahaan dan ancaman. Sehingga, tahap ini akan
menghasilkan tingkat kecenderungan suatu ancaman pada perusahaan.
Menganalisa dampak : Proses mengukur dan menganalisa dampak dari
suatu ancaman. Sehingga proses ini menghasilkan level dampak pada ancaman yang
telah di-identifikasi sebelumnya.
7
Melakukan determinasi resiko : Proses menganalisa dan mengidentifikasi
hasil analisa dari tingkat kecenderungan, tingkat ancaman, serta tingkat dampak yang
ditimbulkan oleh ancaman.
Memberikan saran kontrol : Proses menyampaikan saran berupa beberapa
beberapa rekomendasi untuk melakukan monitoring terhadap ancaman guna
mengurangi dampak dari ancaman tersebut.
Membuat dokumentasi : Tahap membuat dokumentasi dari hasil analisaanalisa yang telah dilakukan sebelumnya.
Metode hibrida/semi kuantitatif
Metode hibrida merupakan gabungan antara metode kualitatif dengan metode
kuantitatif. Jadi, metode ini menggunakan nilai berupa skala angka untuk
dikategorikan untuk setiap kategori kualitatif. Meskipun merupakan gabungan,
metode ini tidak melakukan tahap-tahap yang ada serinci pada tahap kualitatif
maupun kuantitatif.
Setelah melakukan analisa resiko, maka hasil yang didapatkan yakni berupa
tabel tentang kemungkinan dan dampak yang ditimbulkan dari suatu ancaman.
8
gambar 2 Tabel analisa Resiko
Pada tabel tersebut, terdapat kolom dan baris yang menyatakan tingkat
kemungkinan (probability) dan dampak (impact) yang ditimbulkan dari suatu
ancaman. Semakin besar kemungkinan ancaman terjadi, maka tingkat probabilitasnya
semakin tinggi. Begitupula dengan impact. Semakin besar dampak yang ditimbulkan
terhadap keberlangsungan perusahaan, maka tingkat impact akan semakin tinggi.
Apabila ancaman terdapat pada level „high‟, maka langkah yang tepat harus
dilakukan untuk menanggulanginya. Apabila ancaman terdapat pada level „medium‟,
maka langkah penaggulangan sebaiknya dilakukan. Apabila ancaman terdapat pada
level „low‟, maka tidak perlu ada tindakan yang dilakukan untuk saat ini.
2.4 Proses pembuatan Business Continuity Plan
Dihimpun dari www.ready.gov, terdapat beberapa proses yang dilakukan
untuk membuat Business Continuity Plan. Ke-empat proses tersebut yakni tergambar
sebagai berikut :
9
gambar 3 Tahap pembuatan Business Continuity Plan
Langkah 1 : Membuat Business Impact Analysis
Menurut Disaster Recovery Institute International (DRII), Business Impact
Analysis (BIA) adalah adalah suatu kegiatan menganalisa dan mengukur dampak
potensial dari suatu ancaman terhadap perusahaan. Tujuan akhir dari BIA yakni
membuat suatu skala prioritas untuk menentukan masalah yang paling kritikal
terhadap perusahaan.
Berdasarkan preparedness Buletin volume 7 issue 1, di dalam BIA terdapat
beberapa informasi yang ada. Diantaranya :
Recovery time : BIA akan menentukan waktu yang dibutuhkan untuk
melakukan pemulihan resource yang terkena dampak bencana.
Prioritas fungsi bisnis : BIA berisi informasi mengenai mana fungsi bisnis
yang harus didahulukan untuk di-recovery ketika beberapa fungsi bisnis
terkena bencana.
Resource requirement : BIA informasi tentang sumber daya apa saja yang
dibutuhkan untuk menjalankan kegiatan bisnis perusahaan.
Pengembangan continuity strategies dan dokumentasi Business Continuity
Plan.
Pada BIA, terdapat istilah Recovery Time Objective dan Recovery Time
Objective (RTO). RTO adalah durasi waktu yang dibutuhkan untuk melakukan
10
pemulihan resource yang terkena bencana. Sedangkan RPO adalah jumlah maksimal
data/resource yang hilang tanpa menyebabkan dampak yang besar.
Kemudian, seperti yang telah dijabarkan sebelumnya, salah satu informasi
yang terdapat di dalam BIA yakni Resource requirement. Resource requirement berisi
hal-hal apa saja yang dibutuhkan perusahaan agar proses bisnis dapat dijalankan.
Resource requirement biasanya terdapat beberapa hal, misalnya karyawan, fasilitas,
teknologi dan komunikasi, vital records, dan office equipment.
Untuk melakukan BIA, terdapat beberapa langkah yang dilakukan.
a. Membuat kuesioner BIA
Pada langkah ini, analisator dapat mengajukan beberapa pertanyaan terkait
dengan masalah yang telah maupun yang akan dihadapi perusahaan. Pertanyaan
umum yang sering muncul pada kuesioner yakni :
- Apa saja sumber informasi yang penting bagi perusahaan?
- Apa saja proses bisnis yang dapat menyebabkan dampak negatif yang sangat
fatal apabila perusahaan tidak menjalankan proses tersebut?
b. Mengadakan workshop untuk menginstruksikan fungsi bisnis dan process manager
bagaimana cara untuk menyelesaikan BIA
Pada
tahap
ini,
analisator
akan
mengadakan
workshop
untuk
menginstruksikan fungsi bisnis dan process manager sebagai peserta workshop
bagaimana cara menyelesaikan BIA. Pada workshop tersebut, analisator akan
menyebarkankan kuesioner yang telah dibuat sebelumnya kepada peserta workshop
untuk mengisi kuesioner BIA tersebut.
c. Mereview kuesioner
Setelah peserta mengisi kuesioner, maka langkah selanjutnya yakni mereview
jawaban-jawaban tersebut. Dari jawaban-jawaban tersebut, maka penganalisa sudah
dapat membayangkan apa dan bagaimana bencana yang harus diprioritaskan.
d. Melakukan interview terhadap pengisi kuesioner
11
Langkah selanjutnya yang dilakukan yakni melakukan interview dengan pihak
terkait untuk melakukan validasi terhadap informasi yang telah didapat sebelumnya.
Selain itu, langkah ini juga berfungi untuk melengkapi informasi tertentu bila hasil
kuesioner tersebut belum jelas.
e. Menyusun dan menganalisa hasil kuesioner
Langkah terakhir yang dilakukan yakni menyusun dan menganalisa hasil
kuesioner. Dari hasil analisa ini, akan didapatkan apa saja prioritas recovery dan
strategi-strategi yang mungkin untuk diterapkan. Selain itu, hasil analisa ini juga
dapae menjadi rekomendasi untuk mengatasi kerentanan ancaman.
Langkah 2 : Membuat Recovery Strategy
Setelah melakukan Business Impact Analysis (BIA), maka langkah
selanjutnya yakni membaut sebuah strategy pemulihan (recovery strategy). Menurut
www.businessdictionary.com, Recovery strategy adalah suatu langkah-langkah
strategis yang digunakan untuk memulihkan kegiatan operasi yang kritikal dari
perusahaan yang terkena bencana ke kondisi semula. Pada proses ini, ada beberapa
langkah yang dapat digunakan.
a. Menggunakan Business Impact Analysis untuk menentukan resource requirement
Langkah pertama yang harus dilakukan yakni menggunakan Business Impact
Analysis (BIA) yang telah dibuat sebelumnya. Pada tahap ini, BIA akan digunakan
untuk mengidentifikasi dan mendokumentasikan resource requirement yang
dibutuhkan oleh perusahaan. Dengaa adanya langkah ini, maka perusahaan dapat
menentukan sumber daya penting apa saja yang dibutuhkan agar kegiatan bisnis
perusahaan tetap dapat berjalan.
b. Meniadakan gap antara recovery requirement dengan kapabilitas perusahaan
Selanjutnya, langkah yang akan dilakukan yakni menganalisa recovery
requirement dengan kapabilitas perusahaan saat ini. Apabila ada beberapa recovery
12
requirement yang tidak dapat dipenuhi oleh kapabilitas perusahaan saat ini, maka
recovery requirement tersebut tidak akan diterapkan terlebih dahulu. Begitupula
sebaliknya.
c. Mengeksplorasi pilihan-pilihan recovery strategy
Kemudian, strategi-strategi yang telah dibuat sebelumnya akan diserahkan
kepada pihak manajemen. Para manajer akan memilih kembali mana saja strategi
yang dibutuhkan oleh perusahaan. Setelah melakukan pemilihan strategi, pihak
manajer akan menyetujui rencana tersebut.
d. Melakukan implementasi strategi
Setelah mendapat persetujuan dari manajer, maka rencana tadi akan
dilaksanakan oleh perusahaan.
Langkah 3 : Membuat Plan development
Setelah membuat recovery strategy, maka langkah selanjutnya yakni membuat
rencana pengembangan (Plan Development). Secara garis besar, plan development
akan melakukan pengembangan terhadap strategi yang telah dibuat sebelumnya.
Selain itu, proses ini nantinya akan membentuk tim khusus untuk menangani
masalah-masalah yang telah didefinisikan sebelumnya. Adapun langkah-langkah
yang dilakukan pada tahap ini yakni :
a. Mengembangkan plan framework
Langkah pertama yang akan dilakukan yakni mengembangkan plan
framework. Ada beberapa plan framewotk yang dapat digunakan, misalnya COBIT
(Control Objective for Information and Related Technology). Plan framework
tersebut dapat dikembangkan dengan memperhatikan beberapa poin berikut :
Mendefinisikan posisi strategi saat ini
Merencanakan arah strategi berdasarkan visi dan misi perusahaan
13
Merencankan strategi agar arah rencana tadi dapat terlaksana
b. Membentuk recovery team
Pada langkah ini, pembuat BCP akan membentuk tim khusus yang bertugas
untuk menangani pemulihan kondisi fungsi bisnis apabila ada permasalahan yang
berdampak tidak baik bagi perusahaan. Ada beberapa tim-tim khusu yang dibuat.
MIsalnya software team yang bertugas untuk menangani permasalahan perangkat
lunak perusahaan, relocation team yang bertugas untuk menangani permasalahan
pemindahan lokasi perusahaan apabila terjadi bencana, damage assessment yang
bertugas auntuk melakukan perhitungan dampak suatu bencana, dan lain sebagainya.
d. Membuat prosedur business continuity dan IT disaster recovery
Selanjutnya, hal yang akan dilakukan yakni membuat prosedur untuk business
continuity. Selain itu. Prosedur lainnya yang harus dibuat yakni IT disaster recovery.
Kedua hal tadi akan menggunakan BIA dalam proses pembuatannya.
e. Membuat dokumentasi solusi permasalahan
Kemudian, langkah selanjutnya yakni mendokumentasikan solusi-solusi untuk
masing-masing ancaman yang telah maupun akan muncul dikemudian hari. Hal ini
dilakukan agar semua pihak yang terlibat dapat melakukan prosedur untuk menangani
permasalahan tersebut dengan baik.
Langkah 4 : Melakukan Testing and exercises
Langkah terakhir yang akan dilakukan yakni melakukan tes dan pelatiahn
(testing and exercising). Pada tahapan ini, perusahaan akan melakukan beberapa
pelatihan terhadap tim khusus yang telah dibuat sebelumnya. Adapun langkahlangkah yang dijalankan yakni :
a. Mengembangkan testing, exercises dan maintenance requirement
14
Pada langkah ini, hal yang dilakukan yakni melakukan pengembangan
(development) terhadap testing dan exerproses yang ada. Tidak hanya itu, pada
tahapan ini, analisator juga akan melakukan pengembangan terhadap maintenance
requirement yang dibutuhkan.
b. Melakukan pelatihan kepada tim business continuity
Kemudian, proses selanjutnya yakni perusahaan akan mengadakan pelatihan
terhadap tim business continuity yang telah dibentuk pada langkah ke tiga
sebelumnya. Hal ini bertujuan agar tim tersebut dapat lebih siap menjalankan
fungsinya ketika bencana benar-benar terjadi.
d. Melakukan pengujian berdasarkan hasil tes dokumen
Pada langkah terakhir ini, strategi yang telah berhasil dibuat akan diujikan
terlebih dahulu. Dari langkah ini, nantinya akan didapatkan feedback dari hasil uji
tadi. Feedback tersebut nantinya dapat dipergunakan kembali untuk meng-update
dokumentasi yang ada.
Setelah langkah ke-empat selesai, proses tidak terhenti sampai disitu saja.
Proses tersebut akan kembali lagi kepada tahap awal, yakni Business Impact Analysis
(BIA). Pada BIA, hasil yang didapatkan selama kegiatan business continuity plan
akan dikaji ulang. Hal ini bertujuan agar nantinya ancaman baru yang serupa dapat
ditangani lebih baik lagi.
2.5 Manfaat Business Continuity Plan
Business Continuity Plan (BCP) merupakan rencana yang bersifat preventif,
artinya rencana tersebut berfokuskan kepada tindak pencegahan sebelum suatu
bencana benar-benar terjadi menimpa perusahaan. Namun, bukan berarti bahwa BCP
tidak bisa menaggulangi bencana. Di dalam BCP, terdapat disaster recovery
plan(DRP) yang berfungsi sebagai tindak kuratif.
15
Menurut www.continuitysa.com, Ada banyak manfaat yang didapatkan
apabila perusahaan menggunakan BCP. Diantaranya :
Mengurangi dampak bencana ke perusahaan
Dengan menggunakan BCP, maka apabila perusahaan terkena bencana,
dampak yang ditimbulkan dapat dikurangi. Hal ini disebabkan Karena BCP
membantu perusahaan untuk mengidentifikasi berbagai macam ancaman yang telah
atau akan terjadi, serta menganalisa berbagai cara untuk menanggulangi ancaman
tersebut. Sehingga perusahaan lebih siap untuk menanggulangi bencana.
Mengurangi resiko kehilangan finansial
Seperti yang telah dijelaskan sebelumnya, BCP membantu perusahaan untuk
menganalisa resiko dan ancaman, serta bagaimana cara untuk menghadapi
permasalahan tersebut. Di dalam analisa resiko, terdapat juga metode kuantitatif yang
dapat memperhitungkan berapa probabilitas dan dampak yang ditimbulkan oleh
bencana dalam cost-benefit perusahaan. Sehingga perusaahaan dapat memperkirakan
berapa besar kerugian yang ditimbulkan oleh bencana.
Menambah kepercayaan terhadap pekerja, klien, dan supplier
BCP menjamin keberlangsungan proses bisnis serta „hidup‟ dari perusahaan
itu sendiri. Selain itu, dengan membuat BCP, berarti perusahaan tersebut berusaha
untuk memenuhi standar business continuity dari Business Continuity Institute. Oleh
sebab itu, pekerja, klien, dan supplier akan lebih percaya bahwa perusahaan dapat
memberikan service yang baik.
Membantu memulihkan fungsi yang kritikal dalam waktu tertentu
Di dalam BCP, terdapat istilah Recovery time objective (RTO) dan recovery
point objective (RPO) yang telah dibahas sebelumnya. RTO membantu perusahaan
untuk mengukur berapa lama waktu yang dibutuhkan untuk melakukan pemulihan
terhadap fungsi bisnis yang kritikal. Semakin kecil waktu yang dihasilkan, maka akan
16
semakin baik. Sedangkan dengan RPO, perusahaan dapat mengetahui jumlah
toleransi maksimal data yang hilang. Dengan adanya RTO dan RPO sebagai kontrol,
maka pemulihan fungsi kritikal dapat dilakukan dengan waktu yang lebih cepat.
17
BAB III KESIMPULAN
3.1 Kesimpulan
Business Continuity Plan (BCP) adalah suatu rencana strategis yang dibuat
berdasarkan kondisi perusahaan untuk tetap menjalankan kegiatan bisnisnya secara
berkelanjutan, walaupun perusahaan tersebut sedang terjadi masalah. Bila suatu
perusahaan telah membuat BCP mereka, maka ancaman yang datang (baik dari
internal maupun eksternal perusahaan) dapat ditekan.
Sebelum membuat BCP, analisator melakukan analisa resiko (risk analysis)
untuk mengetahui seberapa apa dan sebab suatu ancaman yang telah atau akan datang
menimpa perusahaan. Setelah melakukan analisa resiko, maka analisator dapat
membuat BCP. Kemudian, ada beberapa langkah yang digunakan untuk membuat
BCP. Mulai dari Langkah membuat Business Impact, membuat recovery strategy,
melakukan plan development, dan melakukan testing dan exercises.
Ada beberapa manfaat yang didapat bila menggunakan BCP. Diantaranya
yaitu mengurangi dampak bencana kepada perusahaan, mengurangi resiko kehilangan
finansial, menambah kepercayaan karyawan, klien, dan supplier, serta membantu
memulihkan fungsi yang kritikal dalam jangka waktu tertentu.
3.2 Saran
Sebaiknya perusahaan yang telah mapan mempertimbangkan untuk membuat
Business Continuity Plan (BCP). Sebab, meskipun pembuatan BCP tergolong mahal,
ada banyak manfaat yang didapat dengan adanya BCP di perusahaan. Salah satunya
yakni mengurangi dampak bencana kepada perusahaan, mengurangi resiko
kehilangan finansial, menambah kepercayaan karyawan, klien, dan supplier, serta
membantu memulihkan fungsi yang kritikal dalam jangka waktu tertentu.
18
DAFTAR PUSTAKA
Peltier, Thomas R.2005.Information Security Risk Analysis Second Edition.CRC
Press:Florida.
DARING
Anonim.Tanpa Tahun.Business Continuity Plan.
https://www.ready.gov/business/implementation/continuity.Diakses tanggal 06 Juni
2016.
Anonim.Tanpa Tahun.Resource Requirements.
http://www.planwrite.com/Requirements.asp.Diakses tanggal 08 Juni 2016.
Bodenstein, Cindy.2014.Six Benefits of Business Continuity management.
http://www.continuitysa.com/six-benefits-of-business-continuitymanagement/.Diakses tanggal 09 Juni 2016.
Editor.2015.Business Impact Analysis.[PDF].Diakses tanggal 09 Juni 2016.
Editor.2015.4 Essential Components of A BCP .
http://www.techadvisory.org/2015/05/4-essential-components-of-a-bcp/.Diakses
tanggal 08 Juni 2016
FFIEC.2003.Business Continuity Plan.[PDF]. Diakses tanggal 08 Juni 2016
Madrid Comunidad.Tanpa Tahun.Risk Analysis and Quantification.[PDF]. Diakses tanggal 08
Juni 2016.
Merrit, W. James.1999.A method for Quantitative Risk Analysis. [PDF].Diakses
tanggal 08 Juni 2016.
Molsoff, Robert L.Business Impact Analysis.[PDF].Diakses tanggal 08 Juni 2016.
19
Quenssland.2009.Business Continuity Planning Guide.[PDF].Diakses tanggal 06 Juni
2016.
20