HUBUNGAN ANTARA MANAJEMEN

RESIKO DENGAN BISNIS BCM DAN DRP

Seperti yang kita ketahui bahwa manajemen risiko adalah suatu proses identifikasi, analisis,
penilaian, pengendalian, dan upaya menghindari, meminimalisir, atau bahkan menghapus
risiko yang tidak dapat diterima.

Secara umum ada enam tujuan risk management dalam perusahaan atau badan usaha,
diantaranya adalah:

1. Melindungi Perusahaan
Memberikan perlindungan terhadap perusahaan dari tingkat risiko signifikan yang bisa
menghambat proses pencapaian tujuan perusahaan.
2. Membantu Pembuatan Kerangka Kerja
Membantu dalam proses pembuatan kerangka kerja manajemen risiko yang konsisten
atas ririko yang ada pada proses bisnis dan fungsi-fungsi di dalam sebuah perusahaan.
3. Mendorong Manajemen Agar Proaktif
Mendorong manajemen agar bertindak proaktif dalam mengurangi potensi risiko, dan
menjadikan manajemen risiko sebagai sumber keunggulan bersaing dan kinerja
perusahaan.
4. Sebagai Peringatan untuk Berhati-Hati
Mendorong semua individu dalam perusahaan agar bertindak hati-hati dalam
menghadapi risiko perusahaan demi tercapainya tujuan yang diinginkan bersama.
5. Meningkatkan Kinerja Perusahaan
Membantu meningkatkan kinerja perusahaan dengan menyediakan informasi tingkat
risiko yang disebutkan dalam peta risiko/ risk map. Hal ini juga berguna dalam
pengembangan strategi dan perbaikan proses risk management secara
berkesinambungan.
6. Sosialisasi Manajemen Risiko
Membangun kemampuan individu maupun manajemen untuk mensosialisasikan
pemahaman tentang risiko dan pentingnya risk management.

Dibutuhkan suatu mekanisme yang mengatur dan memastikan adanya tindakan yang dilakukan
ketika aktivitas TI mengalami gangguan/hambatan, serta memastikan bahwa proses bisnis
perusahaan masih dapat berjalan dan pelayanan tidak terhenti. Mekanisme tersebut disebut
dengan manajemen keberlangsungan bisnis atau Business Continuity Management (BCM).
Salah satu standar yang banyak dipakai dalam menerapkan BCM adalah standar yang
dikeluarkan oleh International Organization for Standardization (ISO) mengenai Sistem
Manajemen Keamanan Informasi dengan kode nomor 27001. Tujuan BCM menurut ISO
27001 adalah untuk menghadapi gangguan terhadap proses bisnis, melindungi proses bisnis
dari efek kegagalan fungsi sistem informasi atau bencana, dan memastikan perusahaan dapat
kembali melanjutkan operasi dalam waktu yang telah ditentukan. BCM diharapkan dapat
membuat proses bisnis perusahaan menjadi “tidak bisa mati”.
Agar dapat berjalan optimal, BCM perusahaan harus didukung penuh oleh manajemen,
stakeholder, serta disosialisasikan kepada seluruh lapisan dalam organisasi perusahaan.
Penerapan BCM berdasarkan standar ISO 27001 mencakup identifikasi risiko, proses
manajemen keberlangsungan bisnis, serta pengujian berkala untuk memastikan BCM
perusahaan selalu dalam kondisi paling mutakhir. Ada beberapa tahap yang harus dilakukan
dalam pembentukan BCM, berurutan sebagai berikut:

1. Identifikasi ancaman (threat analysis)

Perusahaan terlebih dahulu melakukan identifikasi terhadap ancaman-ancaman yang dapat

mengganggu operasional perusahaan. Dalam tahap identifikasi ini, ancaman dapat
dikategorikan menjadi dua kelompok besar, yang pertama yaitu ancaman dari dalam (internal
threats), misalnya sabotase dari karwayan, pencurian data, dan spionase, sedangkan yang
kedua adalah ancaman dari luar (external threats), misalnya kebakaran, gempa bumi, dan juga
ancaman cyber. Hal-hal yang terkait dengan internal threats biasanya memiliki sifat masih
dapat dikendalikan oleh perusahaan, sedangkan external threats bersifat tidak dapat
dikendalikan. Perusahaan harus membuat prioritas dan peringkat kemungkinan (likelihood)
dari berbagai ancaman tersebut. Dari peringkat ancaman, perusahaan harus membuat beberapa
skenario kunci untuk kejadian bencana yang mungkin terjadi.

2. Analisis dampak terhadap bisnis (Business Impact Analysis/BIA)

Selanjutnya perusahaan melakukan identifikasi bagian bisnis yang bersifat kritis terhadap
keberlangsungan perusahaan. Pendekatan ini biasa dilakukan dengan menggunakan
pendekatan risiko (risk based analysis), perusahaan menentukan risiko-risiko terkait pada
setiap kegiatan operasional perusahaan, contoh: risiko operasional, risiko finansial, dan risiko
kepatuhan. Ditahap ini pula perusahaan menentukan waktu yang dibutuhkan untuk
memulihkan layanan TI, disebut dengan Recovery Time Objective (RTO). Selain itu
perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau
disebut dengan Recovery Point Objective (RPO).

3. Menyusun Business Continuity Plan (BCP)

Perusahaan membuat strategi pemulihan bencana berdasarkan hasil analisis terhadap bisnis
(Business Impact Analysis/BIA) serta skenario bencana yang mungkin terjadi. Hal ini
mencakup relokasi pegawai inti ke kantor alternatif atau Business Continuity Center (BCC),
pengaktifan perangkat cadangan, pemindahan server yang aktif, dan lain sebagainya. BCP yang
dibuat harus dipastikan dapat memenuhi target pemulihan RTO dan RPO, seperti yang telah
ditentukan dalam BIA. Terkait dengan keamanan informasi, harus dipastikan bahwa BCP dapat
mencakup pemulihan layanan dan data jika terjadi serangan yang melumpuhkan server
produksi aktif. Aspek yang perlu dipertimbangkan dalam pembuatan BCP, antara lain strategi
dalam pemulihan bencana, struktur organisasi dalam keadaan darurat, keahlian yang harus
dikuasai SDM dalam keadaan darurat, proses detil dan prosedur penetapan kondisi bencana,
pemulihan serta restorasi ke kondisi semula (Disaster Recovery Plan/DRP), dan teknologi yang
dibutuhkan untuk mendukung keberlangsungan bisnis

4. Menguji serta memperbaharui BCP

Skenario BCP yang telah dibuat harus diuji coba secara berkala. Hal ini dilakukan untuk dapat
memastikan bahwa rencana yang disusun dapat mencapai tujuan pemulihan sistem atau
layanan yang diharapkan secara efektif. Biasanya ada dua cara untuk melakukan uji coba ini,
yaitu pertama adalah menggunakan simulasi kejadian bencana. Uji coba ini menggunakan
simulasi data serta kejadian bencana yang seakan-akan kejadian sesungguhnya. Cara kedua
adalah dengan menggunakan uji coba secara langsung, yaitu melakukan kegiatan operasional
pada satu hari yang dipilih dengan mengaktifkan kondisi bencana.

5. Sosialisasi ke seluruh pegawai

Seluruh pegawai dalam perusahaan harus menerima pelatihan mengenai BCP. Hal ini untuk
memastikan bahwa seluruh pegawai mengerti hal-hal yang harus dilakukan dalam keadaan
bencana, seperti siapa yang harus dihubungi, apa yang harus dilakukan dalam keadaan darurat,
dan lain sebagainya. BCP yang tidak disosialisasikan kepada pegawai hanya akan menjadi
dokumen yang kurang memiliki arti.

Bentuk dan lingkup BCM sangat fleksibel dan berbeda antar organisasi, contohnya, bentuk dan
lingkup BCM industri perbankan, tidak akan sama dengan industry e-commerce karena core
businessnya berbeda, serta contoh lainnya, BCM Learning Management System (LMS) pada
Universitas Terbuka, tingkat kritisnya berbeda dengan LMS pada universitas yang masih
melakukan kegiatan dengan tatap muka. Namun yang harus dipahami adalah bagaimanapun
bentuk dan lingkupnya, BCM tidak hanya berhenti pada satu siklus, harus tetap diperbarui
secara berkala dan terus menerus. Hal ini sesuai dengan perubahan bisnis, perubahan
infrastruktur TI, serta perubahan paparan ancaman yang ada. Perusahaan harus membuat
sebuah tim mandiri yang bertugas untuk memastikan dan mengawasi BCM masih sejalan
dengan operasional perusahaan serta mampu menangani permasalahan yang muncul jika
terjadi gangguan maupun bencana. Sumber: www.iso.org www.ciso.co.id www.isiq.ca 1

Domain dari Busines Continuity Plan (Perencanaan Keberlangsungan Bisnis atau BCP)
dan Disaster Recovery Plan (Perencanaan Pemulihan dari Bencana atau DRP), semuanya
adalah mengenai bisnis. Sementara domain-domain yang lainnya concern dengan pencegahan
risiko dan melindungi infrastruktur dari serangan, domain ini berasumsi bahwa kejadian
terburuk telah terjadi. BCP adalah mengenai pembuatan perencanaan dan frame-work untuk
menjamin bahwa proses bisnis dapat terus berlanjut dalam keadaan emergensi. Sedangkan
DRP adalah mengenai pemulihan cepat dari keadaan emergensi atau bencana, sehingga hanya
mengakibatkan dampak minimum bagi organisasi atau perusahaan.

Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) adalah dua hal yang
sangat penting dalam proses bisnis, namun jarang menjadi prioritas karena alasan memerlukan
biaya yang mahal dan sulit penerapannya. Apalagi bencana adalah hal yang umumnya diyakini
karena faktor alam yang tak dapat diprediksi dan tak dapat dicegah atau pun dihindari, sehingga
kalangan bisnis berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini. Maka hal
yang terpenting bagi setiap perusahaan yang berniat membangun BCP adalah mendapatkan
dukungan dari pihak manajemen. Sudah terlalu sering BCP menempati urutan prioritas
terendah, atau proyek ini ditangani staf junior.

1
https://tatakelola.co/manajemen-risiko/memahami-arti-penting-business-continuity-management-bcm/
Industri keuangan/perbankan dikenal lekat dengan standar-standar tertinggi dalam hal
pengujian planning mereka secara berkala, untuk menjamin bahwa semua pihak aware
terhadap prosedur-prosedur ini, sehingga planning tersebut tetap sejalan dengan realita dan
tujuan bisnis. Sementara industri-industri lainnya cukup banyak variasinya dalam hal
pengelolaan BCP dan DRP-nya.

Akan ada pembengkakan ongkos kelewat besar yang harus dibayar untuk merespon dan
memulihkan diri dari sebuah bencana tanpa ada persiapan rencana mitigasi. Ongkos kuantitatif
untuk memperpanjang interupsi bisnis seperti biaya lembur karyawan, penyewaan fasilitas ad-
hoc, prioritas akuisisi perangkat keras, denda, dan Service Level Agreement (SLA) yang tidak
terpenuhi bisa sangat besar.

Perusahaan-perusahaan yang ingin menampilkan tingkat profesionalisme yang lebih baik dan
fokus pada perlindungan dan meningkatkan nilai stakeholder, semakin melihat
bahwa continuity plan diperlukan sebagai langkah menghindari interupsi bisnis dan
dampaknya dalam ongkos maupun hal-hal lainnya yang tinggi nilainya. Dan seiring dengan
perkembangan teknologi informasi, maka ditemukan teknologi yang dapat menjamin
keberlanjutan bisnis dan pemulihan dari bencana, yang lebih murah dan mudah penerapannya.
Bahkan BCP dan DRP telah menjadi standar tersendiri bagi kalangan bisnis terutama yang
berhubungan jalannya proses bisnis (aplikasi) dan penyimpanan data.

Tujuan dari BCP dan DRP adalah menjaga bisnis tetap beroperasi meskipun ada gangguan dan
menyelamatkan sistem informasi dari dampak bencana lebih lanjut.

Proses perencanaan suatu business continuity plan (BCP) akan memungkinkan perusahaan
menemukan dan mengurangi (reduce) ancaman-ancaman, merespon (respond) suatu peristiwa
ketika peristiwa itu terjadi, pulih (recover) dari dampak langsung suatu peristiwa dan akhirnya
mengembalikan (restore) operasi seperti semula. Reduce, respond, recover dan restore ini
lebih dikenal sebagai Empat R di BCP.

BCP dan DRP ditujukan untk memenuhi kebutuhan bisnis dalam menghadapi gangguan-
gangguan terhadap operasi perusahaan. Business Continuity Plan dan Disaster Recovery
Plan adalah meliputi persiapan, pengujian dan pemutakhiran tindakan-tindakan yang
diperlukan untuk melindungi proses bisnis fital (critical) terhadap dampak dari kegagalan
jaringan dan sistem utama.

Proses BCP adalah meliputi:

 Inisiasi Perencanaan dan Lingkup

 Business Impact Assessment (BIA)
 Pengembangan Business Continuity Plan

Proses DRP adalah meliputi:

 Proses Disaster Recovery Planning

 Pengujian Disaster Recovery Plan
 Prosedur Pemulihan Bencana
Business Continuity Management (BCM) adalah alat yang diterapkan oleh perusahaan untuk
menyakinkan usaha-usaha yang dilakukan perusahaan agar bisnis tetap beroperasi kembali
pada kondisi yang dapat diterima setelah terjadinya insiden disrupsi.

Berikut struktur Business Continuity Management (BCM) yang merujuk pada ISO 22301
untuk diketahui oleh perusahaan.

1. Business Impact Analysis (BIA)

Analisis yang dapat dilakukan oleh perusahaan terkait proses bisnis inti yang dapat
memengaruhi kegiatan bisnis perusahaan.
2. Disruptive Risk Assessment (DRA)
Asesmen yang dapat dilakukan oleh perusahaan untuk mengklasifikasi risiko-risiko
yang timbul berdasarkan Business Impact Analysis (BIA) yang telah dilakukan.

3. Business Continuity Strategy (BCS)

Langkah strategis yang dapat diambil oleh perusahaan saat kejadian disrupsi terjadi,
dengan tujuan bisnis perusahaan dapat dilakukan dalam kondisi yang dapat diterima
oleh pelanggan/mitra.

4. Business Continuity Plan (BCP)

Rencana keberlangsungan bisnis yang dibuat secara sistematis sebagai respons dari
kejadian disrupsi, dokumen yang masuk dalam BCP adalah sebagai berikut:

1.
 Emergency Respons Plan (ERP)
Dokumen terkait tanggap darurat yang dapat diambil oleh perusahaan dengan
tujuan membantu perusahaan agar tidak ada yang celaka.
 Crisis Management Plan (CMP)
Dokumen yang berisi rencana koordinasi awal serta komunikasi yang perlu
dilakukan sesaat setelah terjadinya insiden disrupsi..
 Disaster Recovery Plan (DRP)
Dokumen pemulihan, khususnya di bidang IT, yang berisi
 mekanisme failover dan failback, serta rincian sistem, infrastruktur, topologi,
dan hardware pada DRC.
 Post Incident Plan (PIP)
Dokumen pasca insiden yang berisi mekanisme restorasi dan normalisasi
setelah kejadian disrupsi terjadi.

Manfaat Business Continuity Management

Adapun manfaat-manfaat yang didapatkan oleh perusahaan jika menerapkan Business

Continuity management adalah sebagai berikut.

1. Melindungi aset perusahaan

2. Meningkatkan ketahanan organisasi
3. Melindungi pencapaian terhadap sasaran organisasi
4. Meningkatkan reputasi organisasi
5. Memberikan kontribusi terhadap peningkatan berkelanjutan pada organisasi.

Referensi: SNI 22301:2014 Sumber Gambar: www.metricstream.com2

2
https://proxsisgroup.com/perlukah-implementasi-business-continuity-management-dalam-organisasi/
Berikut adalah contohnya
Kesimpulannya :

BCM dan DRP adalah bagian yang tidak bisa dipisahkan dari Manajemen resiko apalagi Di era
sekarang, perusahaan sangat perlu mengimplementasikan Manajemen Kontinuitas
Bisnis (BCM) yang baik untuk menghindari perusahaan dan kebangkrutan.

Implementasi BCM mampu mengendalikan perusahaan untuk bertahan dan selama

pascadisrupsi. Perusahaan yang telah mengimplementasikan Manajemen Kontinuitas
Bisnis (BCM) yang baik, maka telah mengedukasi seluruh elemen perusahaan dalam
merespons kejadian disrupsi dan juga perusahaan telah memitigasi resiko yang ada, dengan
Plan-Do-Check-Act (PDCA) yang dilakukan oleh perusahaan.