Seperti yang kita ketahui bahwa manajemen risiko adalah suatu proses identifikasi, analisis,
penilaian, pengendalian, dan upaya menghindari, meminimalisir, atau bahkan menghapus
risiko yang tidak dapat diterima.
Secara umum ada enam tujuan risk management dalam perusahaan atau badan usaha,
diantaranya adalah:
1. Melindungi Perusahaan
Memberikan perlindungan terhadap perusahaan dari tingkat risiko signifikan yang bisa
menghambat proses pencapaian tujuan perusahaan.
2. Membantu Pembuatan Kerangka Kerja
Membantu dalam proses pembuatan kerangka kerja manajemen risiko yang konsisten
atas ririko yang ada pada proses bisnis dan fungsi-fungsi di dalam sebuah perusahaan.
3. Mendorong Manajemen Agar Proaktif
Mendorong manajemen agar bertindak proaktif dalam mengurangi potensi risiko, dan
menjadikan manajemen risiko sebagai sumber keunggulan bersaing dan kinerja
perusahaan.
4. Sebagai Peringatan untuk Berhati-Hati
Mendorong semua individu dalam perusahaan agar bertindak hati-hati dalam
menghadapi risiko perusahaan demi tercapainya tujuan yang diinginkan bersama.
5. Meningkatkan Kinerja Perusahaan
Membantu meningkatkan kinerja perusahaan dengan menyediakan informasi tingkat
risiko yang disebutkan dalam peta risiko/ risk map. Hal ini juga berguna dalam
pengembangan strategi dan perbaikan proses risk management secara
berkesinambungan.
6. Sosialisasi Manajemen Risiko
Membangun kemampuan individu maupun manajemen untuk mensosialisasikan
pemahaman tentang risiko dan pentingnya risk management.
Dibutuhkan suatu mekanisme yang mengatur dan memastikan adanya tindakan yang dilakukan
ketika aktivitas TI mengalami gangguan/hambatan, serta memastikan bahwa proses bisnis
perusahaan masih dapat berjalan dan pelayanan tidak terhenti. Mekanisme tersebut disebut
dengan manajemen keberlangsungan bisnis atau Business Continuity Management (BCM).
Salah satu standar yang banyak dipakai dalam menerapkan BCM adalah standar yang
dikeluarkan oleh International Organization for Standardization (ISO) mengenai Sistem
Manajemen Keamanan Informasi dengan kode nomor 27001. Tujuan BCM menurut ISO
27001 adalah untuk menghadapi gangguan terhadap proses bisnis, melindungi proses bisnis
dari efek kegagalan fungsi sistem informasi atau bencana, dan memastikan perusahaan dapat
kembali melanjutkan operasi dalam waktu yang telah ditentukan. BCM diharapkan dapat
membuat proses bisnis perusahaan menjadi “tidak bisa mati”.
Agar dapat berjalan optimal, BCM perusahaan harus didukung penuh oleh manajemen,
stakeholder, serta disosialisasikan kepada seluruh lapisan dalam organisasi perusahaan.
Penerapan BCM berdasarkan standar ISO 27001 mencakup identifikasi risiko, proses
manajemen keberlangsungan bisnis, serta pengujian berkala untuk memastikan BCM
perusahaan selalu dalam kondisi paling mutakhir. Ada beberapa tahap yang harus dilakukan
dalam pembentukan BCM, berurutan sebagai berikut:
Selanjutnya perusahaan melakukan identifikasi bagian bisnis yang bersifat kritis terhadap
keberlangsungan perusahaan. Pendekatan ini biasa dilakukan dengan menggunakan
pendekatan risiko (risk based analysis), perusahaan menentukan risiko-risiko terkait pada
setiap kegiatan operasional perusahaan, contoh: risiko operasional, risiko finansial, dan risiko
kepatuhan. Ditahap ini pula perusahaan menentukan waktu yang dibutuhkan untuk
memulihkan layanan TI, disebut dengan Recovery Time Objective (RTO). Selain itu
perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau
disebut dengan Recovery Point Objective (RPO).
Perusahaan membuat strategi pemulihan bencana berdasarkan hasil analisis terhadap bisnis
(Business Impact Analysis/BIA) serta skenario bencana yang mungkin terjadi. Hal ini
mencakup relokasi pegawai inti ke kantor alternatif atau Business Continuity Center (BCC),
pengaktifan perangkat cadangan, pemindahan server yang aktif, dan lain sebagainya. BCP yang
dibuat harus dipastikan dapat memenuhi target pemulihan RTO dan RPO, seperti yang telah
ditentukan dalam BIA. Terkait dengan keamanan informasi, harus dipastikan bahwa BCP dapat
mencakup pemulihan layanan dan data jika terjadi serangan yang melumpuhkan server
produksi aktif. Aspek yang perlu dipertimbangkan dalam pembuatan BCP, antara lain strategi
dalam pemulihan bencana, struktur organisasi dalam keadaan darurat, keahlian yang harus
dikuasai SDM dalam keadaan darurat, proses detil dan prosedur penetapan kondisi bencana,
pemulihan serta restorasi ke kondisi semula (Disaster Recovery Plan/DRP), dan teknologi yang
dibutuhkan untuk mendukung keberlangsungan bisnis
Seluruh pegawai dalam perusahaan harus menerima pelatihan mengenai BCP. Hal ini untuk
memastikan bahwa seluruh pegawai mengerti hal-hal yang harus dilakukan dalam keadaan
bencana, seperti siapa yang harus dihubungi, apa yang harus dilakukan dalam keadaan darurat,
dan lain sebagainya. BCP yang tidak disosialisasikan kepada pegawai hanya akan menjadi
dokumen yang kurang memiliki arti.
Bentuk dan lingkup BCM sangat fleksibel dan berbeda antar organisasi, contohnya, bentuk dan
lingkup BCM industri perbankan, tidak akan sama dengan industry e-commerce karena core
businessnya berbeda, serta contoh lainnya, BCM Learning Management System (LMS) pada
Universitas Terbuka, tingkat kritisnya berbeda dengan LMS pada universitas yang masih
melakukan kegiatan dengan tatap muka. Namun yang harus dipahami adalah bagaimanapun
bentuk dan lingkupnya, BCM tidak hanya berhenti pada satu siklus, harus tetap diperbarui
secara berkala dan terus menerus. Hal ini sesuai dengan perubahan bisnis, perubahan
infrastruktur TI, serta perubahan paparan ancaman yang ada. Perusahaan harus membuat
sebuah tim mandiri yang bertugas untuk memastikan dan mengawasi BCM masih sejalan
dengan operasional perusahaan serta mampu menangani permasalahan yang muncul jika
terjadi gangguan maupun bencana. Sumber: www.iso.org www.ciso.co.id www.isiq.ca 1
Domain dari Busines Continuity Plan (Perencanaan Keberlangsungan Bisnis atau BCP)
dan Disaster Recovery Plan (Perencanaan Pemulihan dari Bencana atau DRP), semuanya
adalah mengenai bisnis. Sementara domain-domain yang lainnya concern dengan pencegahan
risiko dan melindungi infrastruktur dari serangan, domain ini berasumsi bahwa kejadian
terburuk telah terjadi. BCP adalah mengenai pembuatan perencanaan dan frame-work untuk
menjamin bahwa proses bisnis dapat terus berlanjut dalam keadaan emergensi. Sedangkan
DRP adalah mengenai pemulihan cepat dari keadaan emergensi atau bencana, sehingga hanya
mengakibatkan dampak minimum bagi organisasi atau perusahaan.
Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) adalah dua hal yang
sangat penting dalam proses bisnis, namun jarang menjadi prioritas karena alasan memerlukan
biaya yang mahal dan sulit penerapannya. Apalagi bencana adalah hal yang umumnya diyakini
karena faktor alam yang tak dapat diprediksi dan tak dapat dicegah atau pun dihindari, sehingga
kalangan bisnis berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini. Maka hal
yang terpenting bagi setiap perusahaan yang berniat membangun BCP adalah mendapatkan
dukungan dari pihak manajemen. Sudah terlalu sering BCP menempati urutan prioritas
terendah, atau proyek ini ditangani staf junior.
1
https://tatakelola.co/manajemen-risiko/memahami-arti-penting-business-continuity-management-bcm/
Industri keuangan/perbankan dikenal lekat dengan standar-standar tertinggi dalam hal
pengujian planning mereka secara berkala, untuk menjamin bahwa semua pihak aware
terhadap prosedur-prosedur ini, sehingga planning tersebut tetap sejalan dengan realita dan
tujuan bisnis. Sementara industri-industri lainnya cukup banyak variasinya dalam hal
pengelolaan BCP dan DRP-nya.
Akan ada pembengkakan ongkos kelewat besar yang harus dibayar untuk merespon dan
memulihkan diri dari sebuah bencana tanpa ada persiapan rencana mitigasi. Ongkos kuantitatif
untuk memperpanjang interupsi bisnis seperti biaya lembur karyawan, penyewaan fasilitas ad-
hoc, prioritas akuisisi perangkat keras, denda, dan Service Level Agreement (SLA) yang tidak
terpenuhi bisa sangat besar.
Perusahaan-perusahaan yang ingin menampilkan tingkat profesionalisme yang lebih baik dan
fokus pada perlindungan dan meningkatkan nilai stakeholder, semakin melihat
bahwa continuity plan diperlukan sebagai langkah menghindari interupsi bisnis dan
dampaknya dalam ongkos maupun hal-hal lainnya yang tinggi nilainya. Dan seiring dengan
perkembangan teknologi informasi, maka ditemukan teknologi yang dapat menjamin
keberlanjutan bisnis dan pemulihan dari bencana, yang lebih murah dan mudah penerapannya.
Bahkan BCP dan DRP telah menjadi standar tersendiri bagi kalangan bisnis terutama yang
berhubungan jalannya proses bisnis (aplikasi) dan penyimpanan data.
Tujuan dari BCP dan DRP adalah menjaga bisnis tetap beroperasi meskipun ada gangguan dan
menyelamatkan sistem informasi dari dampak bencana lebih lanjut.
Proses perencanaan suatu business continuity plan (BCP) akan memungkinkan perusahaan
menemukan dan mengurangi (reduce) ancaman-ancaman, merespon (respond) suatu peristiwa
ketika peristiwa itu terjadi, pulih (recover) dari dampak langsung suatu peristiwa dan akhirnya
mengembalikan (restore) operasi seperti semula. Reduce, respond, recover dan restore ini
lebih dikenal sebagai Empat R di BCP.
BCP dan DRP ditujukan untk memenuhi kebutuhan bisnis dalam menghadapi gangguan-
gangguan terhadap operasi perusahaan. Business Continuity Plan dan Disaster Recovery
Plan adalah meliputi persiapan, pengujian dan pemutakhiran tindakan-tindakan yang
diperlukan untuk melindungi proses bisnis fital (critical) terhadap dampak dari kegagalan
jaringan dan sistem utama.
Berikut struktur Business Continuity Management (BCM) yang merujuk pada ISO 22301
untuk diketahui oleh perusahaan.
1.
Emergency Respons Plan (ERP)
Dokumen terkait tanggap darurat yang dapat diambil oleh perusahaan dengan
tujuan membantu perusahaan agar tidak ada yang celaka.
Crisis Management Plan (CMP)
Dokumen yang berisi rencana koordinasi awal serta komunikasi yang perlu
dilakukan sesaat setelah terjadinya insiden disrupsi..
Disaster Recovery Plan (DRP)
Dokumen pemulihan, khususnya di bidang IT, yang berisi
mekanisme failover dan failback, serta rincian sistem, infrastruktur, topologi,
dan hardware pada DRC.
Post Incident Plan (PIP)
Dokumen pasca insiden yang berisi mekanisme restorasi dan normalisasi
setelah kejadian disrupsi terjadi.
2
https://proxsisgroup.com/perlukah-implementasi-business-continuity-management-dalam-organisasi/
Berikut adalah contohnya
Kesimpulannya :
BCM dan DRP adalah bagian yang tidak bisa dipisahkan dari Manajemen resiko apalagi Di era
sekarang, perusahaan sangat perlu mengimplementasikan Manajemen Kontinuitas
Bisnis (BCM) yang baik untuk menghindari perusahaan dan kebangkrutan.