Di masa lalu, para pemimpin IS telah berfokus pada kegiatan untuk menjaga
sumber daya IT yang beroperasi sebagai bagian dari perencanaan kontingensi
"pemulihan bencana". Misalnya, banyak organisasi memiliki kontrak dengan penyedia
layanan eksternal untuk menyediakan pemrosesan pusat data cadangan dan dukungan
telekomunikasi. Namun, business continuity planning (BCP) melibatkan lebih dari
pemulihan TI dari bencana alam — seperti banjir, angin puting beliung, gempa bumi,
angin topan, atau kebakaran. BCP melibatkan menempatkan rencana di tempat untuk
memastikan bahwa karyawan dan operasi bisnis inti dapat dipertahankan atau
dipulihkan ketika dihadapkan dengan gangguan utama yang tak terduga. Penelitian
telah menunjukkan bahwa ketidakmampuan organisasi untuk melanjutkan dalam
rentang waktu yang wajar untuk kegiatan bisnis normal setelah gangguan besar adalah
prediktor kunci dari kelangsungan hidup bisnis. Sebagaimana banyak organisasi AS
pelajari setelah serangan teroris 9/11, dan Badai Katrina serta banjir New Orleans yang
terjadi pada tahun 2005, keberlangsungan bisnis juga mengharuskan memiliki:
• Ruang kerja alternatif untuk orang-orang dengan komputer dan saluran telepon
yang berfungsi.
• Cadangan situs IT yang tidak terlalu dekat tetapi tidak terlalu jauh (berada
dalam jarak mengemudi tetapi tidak terpengaruh oleh bencana telekomunikasi
regional).
• Rencana evakuasi terbaru yang semua orang tahu dan telah berlatih.
• Mem-back-up laptop dan server departemen, karena banyak informasi
perusahaan disimpan di mesin ini daripada di pusat data.
• Membantu orang mengatasi bencana dengan memiliki daftar telepon yang
mudah diakses, daftar e-mail, dan bahkan daftar instantmessenger sehingga
orang dapat berkomunikasi dengan orang yang dicintai dan rekan kerja.
Proses untuk menciptakan BCP dimulai dengan analisis dampak bisnis, yang dapat
mencakup hal-hal berikut:
Rencana BCP juga harus diuji. Bahkan, pengujian BCP mungkin merupakan
bagian yang paling mahal dari proses, karena menuntut menarik staf dari pekerjaan
normal mereka untuk mensimulasikan situasi paralel di mana gangguan terjadi. Juga
sulit menguji rencana karena potensi ruang lingkup bencana. Bergantung pada industri
organisasi, auditor mungkin memerlukan pengujian berkala dalam jangka waktu
tertentu.
Secara umum, manajer ERM (atau komite ERM) harus bertanggung jawab untuk hal-
hal berikut: