BUSINESS CONTINUITY PLAN

Kegiatan perusahaan tidak dapat terhindar dari adanya gangguan/kerusakan yang disebabkan oleh  alam maupun manusia misalnya terjadinya gempa bumi, bom, kebakaran, banjir, power failure, kesalahan teknis, kelalaian manusia, demo buruh, huru-hara dan sebagainya. Kerusakan yang terjadi tidak hanya berdampak pada kemampuan teknologi suatu Usaha, tetapi juga berdampak pada kegiatan operasional bisnis Usaha terutama pelayanan kepada nasabah. Bila tidak ditangani secara khusus, selain Usaha akan menghadapi risiko operasional, juga akan mempengaruhi risiko reputasi dan berdampak pada menurunnya tingkat kepercayaan kepada Usaha.

Untuk meminimalisasi risiko tersebut, diperlukan memiliki Business Continuity Management (BCM) yaitu proses manajemen terpadu dan menyeluruh untuk menjamin kegiatan operasional tetap dapat berfungsi walaupun terdapat gangguan/bencana guna melindungi kepentingan para stakeholder. BCM merupakan bagian yang terintegrasi dengan kebijakan manajemen risiko secara keseluruhan.

BCM yang efektif perlu didukung dengan hal-hal sebagai berikut:

a. Adanya pengawasan aktif manajemen;

b. Melalui Business Impact Analysis dan Risk Assessment;

c. Penyusunan Business Continuity Plan yang memadai;

d. Dilakukannya pengujian terhadap BCP; dan

e. Dilakukan pemeriksaan oleh Auditor Intern.

Business Continuity Plan (BCP) merupakan suatu dokumen tertulis yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah-langkah pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan agar kegiatan operasional  tetap dapat berjalan.

Rencana tindak tertulis tersebut melibatkan seluruh sumber daya Teknologi Informasi (TI) termasuk sumber daya manusia yang mendukung fungsi bisnis dan kegiatan operasional yang kritikal bagi Usaha.

Komponen prosedur BCP yang harus dimiliki Usaha paling kurang meliputi Disaster Recovery Plan (DRP) dan Contingency Plan (CP). Disaster Recovery Plan (DRP) lebih menekankan pada aspek teknologi dengan fokus pada data recovery/restoration plan dan berfungsinya sistem aplikasi dan infrastruktur TI yang kritikal. Sedangkan Contingency Plan (CP) menekankan pada rencana tindak untuk menjaga kelangsungan bisnisnya apabila terjadi gangguan atau bencana termasuk tindakan antisipatif menghadapi kondisi terburuk misalnya bila TI yang digunakan sama sekali tidak dapat dipulihkan untuk waktu yang cukup lama. Contingency Plan (CP) harus meliputi pula rencana untuk memastikan kelangsungan seluruh pelayanan.

1.        PENGAWASAN AKTIF MANAJEMEN

Efektifitas dari BCP akan sangat bergantung pada komitmen manajemen untuk menyediakan sumber daya yang diperlukan dalam rangka mengidenfikasi, menyusun dan melakukan pengujian terhadap BCP.

Peran dan Tanggung Jawab Direksi

a.      Menetapkan kebijakan, strategi dan prosedur BCP;

b.      Menetapkan BCP yang dikinikan secara berkala;

c.     Memastikan adanya suatu organisasi atau tim kerja yang bertanggungjawab atas BCP, yang terdiri dari personil yang kompeten dan terlatih;

d.      Meyakini bahwa BCP disosialisasikan kepada seluruh fungsi bisnis dan personil;

e.       Menelaah hasil kaji ulang atas pengujian BCP yang dilakukan secara reguler;

f.       Mengevaluasi hasil pemeriksaan audit intern atas kecukupan BCP.

Peran dan Tanggung Jawab Tim Kerja BCP

Agar BCP dapat berjalan dengan baik pada saat diperlukan, maka usaha perlu membentuk suatu organisasi atau tim kerja untuk mengkoordinasi pelaksanaan BCP, yang terdiri dari:

a.         Koordinator;

b.         Anggota tim yang memiliki tanggung jawab

Adapun peran tim kerja penanggung jawab BCP di atas sekurang-kurangnya meliputi:

a.      Bertanggung jawab penuh terhadap efektivitas penyelenggaraan BCP, termasuk memastikan bahwa program awareness atas BCP diterapkan;

b.      Memutuskan kondisi disaster dan pemulihannya;

c.       Menentukan skenario pemulihan yang akan digunakan bila terjadi gangguan atau bencana berdasarkan prioritisasi atas aktivitas, fungsi dan jasa yang dianggap kritis;

d.      Me-review laporan mengenai setiap tahapan dalam pengujian dan pelaksanaan BCP;

e.       Melaksanakan komunikasi kepada pihak intern dan ekstern Usaha bila terjadi suatu gangguan operasional yang bersifat major.

2.         PRINSIP-PRINSIP PENYUSUNAN BCP

Dalam penyusunan kebijakan, strategi dan prosedur yang akan diterapkan untuk menangani keadaan disaster, Usaha harus memastikan diterapkannya prinsip-prinsip sebagai berikut:

a.       Penyusunan BCP hendaknya melibatkan seluruh satuan kerja dan fungsi bisnis,

b.      BCP disusun berdasarkan Business Impact Analysis dan Risk Asessment yang memadai;

c.       BCP bersifat fleksibel untuk dapat merespon berbagai skenario ancaman dan gangguan serta bencana yang sifatnya tidak terduga baik bersumber dari kondisi internal maupun eksternal;

d.      BCP bersifat spesifik, terdapat kondisi-kondisi tertentu dan tindakan yang dibutuhkan segera dilakukan untuk kondisi tersebut;

e.       Dilakukan pengujian dan pengkinian secara berkala;

f.       BCP dan hasil pengujian BCP harus dikaji ulang oleh audit intern secara berkala.

3.        BUSINESS IMPACT ANALYSIS

Efektifitas dari suatu BCP akan sangat bergantung pada kemampuan manajemen untuk secara tepat mengidentifikasi kritis tidaknya berbagai proses kerja atau aktivitas yang ada  sebelum BCP disusun atau dikaji ulang. Dengan demikian Business Impact Analysis (BIA) merupakan dasar dari penyusunan keseluruhan BCP. Hal-hal yang harus dianalisis dalam BIA meliputi:

a.         Tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan antar proses bisnis serta prioritisasi yang diperlukan;

b.         Tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa lama usaha dapat bekerja tanpa sistem atau fasilitas yang mengalami gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus berfungsi kembali);

c.         Tingkat Minimum Resources Requirement (personil, data dan kelengkapan sistem serta fasilitas yang diperlukan secara minimal agar bisnis bisa pulih dan berjalan);

d.         Dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol terhadap proses bisnis dan pelayanan kepada nasabah;

e.         Dampak disaster terhadap seluruh departemen dan fungsi bisnis, bukan hanya terhadap data processing;

f.          Estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas kehilangan data dan terhentinya proses bisnis serta dampak downtime terhadap kerugian finansial;

g.         Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan;

h.         Kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan petugas pengganti di tempat pemulihan;

i.           Dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan mengenai kerahasiaan data.

Dalam melakukan Business Impact Analysis, satuan kerja masing-masing unit bisnis perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor, major sampai dengan catastrophic.

Dengan demikian dampak yang harus diperhatikan bukan hanya yang dapat diukur dengan jelas (tangible impact) seperti penalti akibat keterlambatan pembayaran bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas (intangible impact) seperti kesulitan konsumen memperoleh pelayanan.

PENILAIAN RISIKO

Penilaian risiko (risk assessment) yang terdiri dari identifikasi dan pengukuran risiko merupakan tahap kedua yang harus dilalui dalam penyusunan suatu BCP. Proses ini diperlukan untuk dapat mengetahui tingkat kemungkinan terjadi gangguan pada kegiatan usaha yang penting (critical) serta dampaknya bagi kelangsungan usaha usaha. Risk assessment sekurang-kurangnya mencakup hal-hal sebagai berikut:

a.         Melakukan analisis atas dampak gangguan atau bencana terhadap usaha, nasabah dan industri keuangan;

b.         Melakukan gap analysis dengan membandingkan kondisi saat ini dengan langkah atau skenario yang seharusnya diterapkan;

c.         Membuat peringkat potensi gangguan bisnis berdasarkan tingkat kerusakan (severity) dan kemungkinan terjadinya (likelihood).

PROSES PENYUSUNAN BUSINESS CONTINUITY PLAN

Penyusunan BCP dilakukan setelah proses BIA dan Risk Assessment. Adapun tujuan dan sasaran dari penyusunan BCP antara lain:

a.         Mengamankan aset penting usaha;

b.         Meminimalisasi risiko akibat disaster misalnya membatasi kerugian finansial, risiko hukum dan reputasi;

c.         Meyakini ketersediaan layanan yang berkesinambungan

d.         Mempersiapkan alternatif lain agar fungsi bisnis yang kritikal tetap dapat berjalan untuk menjaga kelangsungan operasi usaha.

BCP terdiri dari kebijakan, strategi, skenario dan prosedur yang diperlukan untuk dapat memastikan kelangsungan proses bisnis pada saat terjadinya gangguan atau bencana. BCP harus memuat beberapa alternatif strategi yang dapat diambil untuk mengatasi masing-masing jenis dan ukuran gangguan atau bencana. Strategi pemulihan tersebut disesuaikan dengan hasil BIA, analisis risiko, sumber daya yang dimiliki serta kapasitas dan tingkat teknologi. Contoh strategi yang dapat dipilih antara lain, penggunaan jasa pihak lain (outsourcing), Disaster Recovery Center (hot site, warm site atau cold site) dan atau Business Recovery Center. Setiap strategi yang dipilih hendaknya disertai analisis/alasan yang melatarberlakangi dan harus didukung dengan sistem dan prosedur yang sesuai.

4.        PENGUJIAN BCP

Pengujian BCP diperlukan untuk meyakini bahwa BCP dapat dioperasikan dengan baik pada saat terjadi gangguan/bencana. Uji coba dilakukan atas BCP dan DRP sekurang-kurangnya 1 (satu) tahun sekali untuk seluruh sistem/aplikasi kritikal (sesuai hasil Business Impact Analysis) dan mewakili seluruh infrastruktur yang kritikal serta melibatkan end user (end to end).

5.        PEMELIHARAAN BCP DAN AUDIT INTERN

Pemeliharaan BCP

Usaha harus memastikan bahwa BCP dapat digunakan setiap saat antara lain dengan menyimpan salinan dokumen BCP di lokasi alternatif (alternate site), meningkatkan pemahaman semua pihak maupun di penyedia jasa atas pentingnya BCP dan berpartisipasi aktif dalam pelaksanaan BCP. Setiap personil inti di Tim Kerja BCP harus memiliki ringkasan prosedur tanggap darurat BCP serta daftar contact person terkini yang harus dihubungi pada saat terjadi gangguan/bencana (calltree).

Di samping itu setiap satuan kerja secara berkala harus melakukan self assessment kesesuaian Business Impact Analysis dengan perubahan yang terjadi dalam kegiatan operasional baik yang diselenggarakan sendiri maupun oleh pihak penyedia jasa.

Audit Intern

Auditor Intern harus melakukan pemeriksaan terhadap:

a.       Kesesuaian BCP dengan kebijakan manajemen risiko Usaha;

b.      BCP mencakup kegiatan kritikal berdasarkan Business Impact Analysis;

c.       Kecukupan BCP untuk mengendalikan dan memitigasi risiko yang telah ditetapkan dalam risk assessment;

d.      Kecukupan prosedur pengujian BCP;

e.       Efektifitas pelaksanaan pengujian BCP;

f.       Program pelatihan dan sosialisasi BCP; keterkinian BCP sesuai perkembangan kegiatan operasional Usaha dan hasil pengujian terakhir.

    Source: Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007