• BIA merupakan salah satu bagian dari BCP organisasi yang menggambarkan potensi risiko organisasi.
• BIA adalah proses mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada kelangsungan bisnis proses di
organisasi seandainya terjadi gangguan/bencana yang menimbulkan terhentinya operasional dari bisnis proses tersebut.
• Dalam melakukan BIA, masing-masing unit organisasi perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total
disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor, major sampai dengan catastrophic.
• Dampak yang harus diperhatikan bukan hanya yang dapat diukur dengan jelas (tangible impact) seperti penalti akibat
keterlambatan pembayaran bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas (intangible impact)
seperti kesulitan konsumen memperoleh pelayanan.
• Hal-hal yang harus dianalisis dalam BIA:
1. Tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan antar proses bisnis serta prioritisasi yang
diperlukan;
2. Tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa lama usaha dapat bekerja tanpa sistem atau fasilitas yang
mengalami gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus berfungsi kembali);
3. Tingkat Minimum Resources Requirement (personil, data dan kelengkapan sistem serta fasilitas yang diperlukan secara minimal
agar bisnis bisa pulih dan berjalan);
4. Dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol terhadap proses bisnis dan pelayanan
kepada Stakeholders;
5. Dampak disaster terhadap seluruh organisasi dan fungsi bisnis, bukan hanya terhadap data processing;
6. Estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas kehilangan data dan terhentinya proses bisnis
serta dampak downtime terhadap kerugian finansial;
7. Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan;
8. Kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan petugas pengganti di tempat pemulihan;
9. Dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan mengenai kerahasiaan data.
3
Menyusun
BIA dan RA DJPb
BIA dan RA harus dibuat oleh Sekretariat DJPb, Direktorat lingkup DJPb, Kawil
DJPb, dan KPPN.
Artinya, ada 10 (sepuluh) BIA di DJPb yang terpisah, yaitu BIA Sekretariat
DJPb; BIA Dit. PA; BIA Dit. SMI; BIA Dit. PKN; BIA Dit. PPK BLU; BIA Dit. SITP;
BIA Dit. SP; BIA TPBP; BIA Kanwil DJPb; dan BIA KPPN.
BIA dan RA harus ditinjau kembali dan diperbarui setiap tahun untuk
mencerminkan:
1. Perubahan kegiatan utama organisasi.
2. Identifikasi risiko baru untuk organisasi.
3. Identifikasi strategi mitigasi dan tindakan pemulihan baru.
4
BIA adalah spreadsheet Excel yang digunakan
untuk mendokumentasikan kegiatan utama
organisasi dan peristiwa eksternal (atau risiko)
yang dapat mengganggu kegiatan utama
organisasi.
BIA berisi lima lembar kerja atau topik yang harus
diselesaikan, yaitu:
1. Introduction/Pendahuluan (Topik 1)
2. Critical Activities /Aktivitas Penting (Topik 2)
3. Key dependencies /Unsur Utama (Topik 3)
4. Key Risks /Risiko Utama (Topik 4)
5
Introduction/Pendahuluan (Topik 1)
Nama Unit Catatan tentang Unit
Nama Gedung/Alamat
Penyusun BIA
Jabatan
Tanggal
Keterangan tentang Penyusunan BIA
6
Lanjutan....
Nama Kolom Instruksi dan Panduan Contoh
Nama Unit Masukkan nama Sekretariat/Direktorat/Kanwil Direktorat Pengelolaan Kas Negara
/KPPN Atau
Kanwil Sulawesi Barat
Nama Gedung/Alamat Masukkan nama bangunan seperti yang dikenal Gedung Prijadi Praptosuhardjo I Lt. 1
dalam Direktorat Jenderal Perbendaharaan
Catatan tentang Unit Masukkan Catatan apa pun yang diperlukan untuk BIA selesai setelah kebakaran di lokasi, jadi
menjelaskan terkait aktivitas dalam menyelesaikan tidak semua dependensi dicatat di Topik 3
BIA.
Keterangan tentang Masukkan pernyataan tambahan apa pun yang Kanwil Sulsel bukan satu-satunya unit
Penyusunan BIA penting untuk dipahami bahwa BIA baru saja eselon II di GKN, beberapa opsi mitigasi
selesai. risiko di luar kendali Kanwil.
7
Critical Activities /Aktivitas Penting (Topik 2)
Aktivitas Penting
Dampak
Bagian/Seksi dalam Unit Aktivitas Penting
1 2
4 Jam 24 Jam 3 Hari
Minggu Minggu
Nama Bagian/Seksi Aktivitas 1
Aktivitas 2
Aktivitas 3
Aktivitas 4
Aktivitas 5
8
Lanjutan....
Field Name Instruksi dan Panduan
Bagian/Seksi dalam Unit Masukkan Subdirektorat atau Bagian yang bertanggung jawab untuk
pelaksanaan Critical Activities.
Aktivitas Penting Masukkan deskriptif dari Critical Activities yang didokumentasikan.
Dampak Ini adalah rangkaian dari lima kerangka waktu. Untuk setiap jangka
waktu, BCC harus menilai dampaknya terhadap organisasi jika Critical
Activities tidak berjalan selama beberapa waktu.
BCC harus memilih salah satu dari tiga opsi dari daftar drop-down yang
paling menggambarkan dampaknya:
1 – Rendah
4 – Sedang
9 – Tinggi
Perkiraan RTO Pada field ini harus memilih jangka waktu pemulihan untuk Critical
Activities setelah dilakukan BC.
BCC harus memilih salah satu dari enam opsi timeframe dari daftar
drop-down yang paling mengidentifikasi waktu pemulihan yang
diharapkan:
< 4 jam
4-24 jam
1-3 hari
4-7 hari
8-14 hari
>14 hari
9
Lanjutan....
Field Name Instruksi dan Panduan
Perkiraan RPO Dalam field ini harus memilih jumlah minimum dari data yang akan
dipulihkan untuk Critical Activities ini agar dapat berfungsi kembali.
Jumlah data dinyatakan dalam waktu, seperti t - 4 jam yang berarti
semua data hingga 4 jam sebelum insiden terjadi harus dipulihkan.
Opsi yang tersedia adalah:
T0 (Insiden - 0 jam)
T4 (Insiden - 4 jam)
EOD (Akhir Hari Sebelumnya)
EOW (Akhir Pekan Sebelumnya)
EOM (Akhir Bulan Sebelumnya)
EOY (Akhir Tahun Sebelumnya)
10
Key dependencies /Kunci Dependensi (Topik 3)
Equipment
Premises
Process 1
Technology
Technology
Staff
Sample Questions
What are the critical resources required for the processes to be carried out?
These can include: Premises, staff, third parties, technology, and equipment.
Is this supplied by a third party? If yes what is the name of the third party?
What controls are currently in place to limit disruption?
What additional controls could be put in place to limit disruption?
General Remarks
11
Lanjutan....
Field Name Instruksi dan Panduan
Critical Resource Type Setiap Critical Activities disampaikan menggunakan sejumlah sumber
daya (Orang, Peralatan, Sistem, dll).
Field ini mengidentifikasi jenis sumber daya yang dibutuhkan.
BCC memilih dari daftar drop-down:
Staf
Ruang Kantor
Teknologi /Sistem
Peralatan
Pihak ketiga
Prosedur
Dokumen
Formulir
Lain
Critical Resource Description Jelaskan sumber daya secara memadai sehingga tim pemulihan tahu
sumber daya apa yang harus diperoleh.
Normal Processing - Quantities Masukkan jumlah sumber daya yang diperlukan selama Proses Normal.
Required
Day of Incident - Quantities Required Masukkan jumlah sumber daya yang diperlukan selama hari terjadinya
insiden.
Day 1- Quantities Required Masukkan jumlah sumber daya yang dibutuhkan selama hari pertama
setelah insiden.
12
Lanjutan....
Field Name Instruksi dan Panduan
Days 2 - 3 - Quantities Required Masukkan jumlah sumber daya yang dibutuhkan selama hari ke 2 dan ke 3
setelah insiden.
Days 4 - 7 - Quantities Required Masukkan jumlah sumber daya yang dibutuhkan selama hari ke 4 dan ke 7
setelah insiden.
Days 8 - 14 - Quantities Required Masukkan jumlah sumber daya yang dibutuhkan selama hari ke 8 dan ke 14
setelah insiden.
Internal/ Third party supplied Identifikasi apakah pemasok sumber daya ini adalah internal untuk
operasi Kementerian Keuangan atau pemasok eksternal.
Ini adalah daftar drop-down:
Internal
Third Party/Pihak Ketiga
Name of Third Party Jika sumber daya disediakan secara eksternal, identifikasi pemasok (bukan
produsen)
Current Recovery Strategy Options Identifikasi opsi strategi pemulihan yang saat ini tersedia untuk sumber ini.
Potential Recovery Strategy Options Identifikasi opsi strategi pemulihan yang saat ini tidak ada untuk sumber
daya ini tetapi dapat diterapkan untuk memungkinkan aktivitas penting
berfungsi secara terbatas.
13
Key Risks /Risiko Kunci (Topik 4)
Risk Register
Current Risk Score Target Risk Score
Probability
Probability
Risk Score
Risk Score
Nbr
Impact
Impact
Directorate Risk Type Risk Description Proximity (Time) Current Controls Future Controls Risk Actionee Risk Owner
1 0
2 0
3 0
4 0
5 0
6 0
7 0
8 0
9 0
10 0
11 0
12 0
13 0
14 0
15 0
16 0
17 0
18 0
19 0
20 0
21 0
22 0
23 0
24 0
25 0
26 0
27 0
28 0
29 0
30 0
31 0
14
Lanjutan....
Field Name Instruksi dan Panduan
Risk Description Masukkan deskripsi lengkap tentang risiko.
Current Mitigation Strategies in place Jika ada, masukkan strategi mitigasi yang saat ini digunakan untuk risiko ini.
Impact Penilaian tentang apa dampaknya bagi organisasi jika risiko ini terjadi. BCC
akan memilih dari nilai-nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Tidak signifikan
2 - Kecil
3 - Sedang
4 - Signifikan
5 - Sangat Signifikan
Likelihood Penilaian tentang seberapa besar kemungkinan risiko ini akan terjadi. BCC
akan memilih dari nilai-nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Hampir tidak pernah terjadi
2 - Terjadi tidak sering
3 - Terjadi sesekali
4 - Sering terjadi
5 - Hampir selalu terjadi
15
Lanjutan....
Field Name Instruksi dan Panduan
Risk Score Field ini adalah otomatis terhitung- dan itu dilindungi.
Field dirancang untuk memungkinkan fungsi BC untuk menentukan
risiko yang paling penting bagi suatu organisasi. Semakin tinggi Skor
Risiko, semakin penting risikonya bagi kelangsungan organisasi
Potential Mitigation Strategies Jika ada, masukkan strategi mitigasi (s) yang dapat digunakan untuk
menurunkan Skor Risiko untuk risiko ini.
Impact if Strategies are implemented Penilaian tentang apa dampaknya bagi organisasi jika risiko ini terjadi
setelah strategi mitigasi potensial diterapkan. BCC akan memilih dari nilai-
nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Tidak signifikan
2 - Kecil
3 - Sedang
4 - Signifikan
5 - Sangat Signifikan
Likelihood if Strategies are Penilaian tentang seberapa besar kemungkinan risiko ini akan terjadi
implemented setelah strategi mitigasi potensial diterapkan. BCC akan memilih dari nilai-
nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Hampir tidak pernah terjadi
2 - Terjadi tidak sering
3 - Terjadi sesekali
4 - Sering terjadi
5 - Hampir selalu terjadi
16
Lanjutan....
Field Name Instruksi dan Panduan
Risk Score (if Potential Mitigation Field ini adalah otomatis terhitung- dan itu dilindungi.
Strategies are implemented) Field ini dirancang untuk memungkinkan fungsi BC untuk menentukan
risiko yang paling penting bagi suatu organisasi. Semakin tinggi Skor
Risiko, semakin penting risikonya bagi kelangsungan organisasi
Risk Owner Masukkan pegawai di dalam Sekretariat/Direktorat/Kanwil DJPb/KPPN yang
telah diberikan tugas melakukan pemantauan risiko ini dan mencoba untuk
menurunkan dampaknya pada organisasi.
17
RA
Risk Assessment (RA)
RA adalah metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat
diterima atau tidak.
RA merupakan kunci dalam perencanan pemulihan bencana.
RA mencakup:
1. Risk Identification
Adalah mengidentifikasi resiko yang mungkin terjadi.
Bertujuan untuk mengkategorikan resiko-resiko yang dapat mempengaruhi organisasi.
Hasilnya adalah sebuah daftar resiko yang dapat memudahkan management resiko pada tahap selanjutnya.
2. Risk Analysis
Adalah menganalisis resiko yang mungkin terjadi pada suatu organisasi yang ditimbulkan oleh potensi alam
maupun manusia.
Menghasilkan sebuah laporan analisis resiko untuk menentukan efek samping, kerugian, ancaman dan
digunakan untuk menyusun penanggulangan terhadap serangan atau bencana yang mungkin terjadi.
3. Risk Evaluation
Adalah pembentukan hubungan antara resiko dan manfaat dari potensi bahaya yang ditimbulkan.
Meliputi evaluasi dari semua informasi yang dikumpulkan untuk menentukan besarnya kerugian yang
ditimbulkan bencana.
Risk Evaluation mengevaluasi langkah apa yang akan diambil untuk mengatasi dampak dari suatu bencana.
19
Mempersiapkan RA terhadap potensi ancaman terhadap proses-proses
kunci:
Melakukan penelitian dan wawancara untuk mengidentifikasi ancaman internal dan
eksternal yang diketahui yang dapat mempengaruhi proses / kegiatan bisnis penting
yang diidentifikasi sebagai bagian dari BIA. Ini akan mempertimbangkan hasil dari
setiap latihan penilaian risiko yang dilakukan oleh DJPb sebelumnya.
Buat sistem penilaian-penilaian risiko (lihat Matriks Risiko dari Kemenkeu)
Kedekatan dengan kegagalan (Kemungkinan kegagalan terjadi selama periode
apa - Standar jangka waktu)
Evaluasi kemungkinan setiap ancaman yang terjadi (Probabilitas (5 - 1)).
Perkirakan dampak dari setiap ancaman pada proses / kegiatan bisnis yang
penting (Impact (5 - 1)).
Identifikasi setiap titik kegagalan yang dapat mempengaruhi kemampuan
keseluruhan Direktorat Treasury untuk pulih dari ancaman.
Hitung skor risiko (Lihat Matriks Risiko pada slide berikutnya)
Prioritaskan ancaman berdasarkan analisis risiko yang dilakukan.
Kembangkan rencana mitigasi risiko untuk poin tunggal kegagalan dan item skor
risiko tinggi
Buat laporan untuk Pimpinan Manajemen Kementerian Keuangan yang merinci
temuan RA, yang diberi peringkat berdasarkan skor risiko tertinggi.
20
Lanjutan....
Melakukan penelitian dan wawancara untuk mengidentifikasi ancaman
internal dan eksternal yang diketahui yang dapat mempengaruhi fungsi bisnis
penting yang diidentifikasi sebagai bagian dari BIA. Ini akan
mempertimbangkan hasil dari setiap latihan penilaian risiko yang dilakukan
oleh Direktorat Jenderal Perbendaharaan sebelumnya.
Buat sistem penilaian penilaian risiko.
Evaluasilah kemungkinan dari setiap ancaman yang terjadi.
Perkirakan dampak dari setiap ancaman pada fungsi bisnis penting.
Identifikasi satu titik kegagalan yang dapat mempengaruhi kemampuan
keseluruhan Direktorat Jenderal Perbendaharaan untuk pulih dari ancaman.
Prioritaskan ancaman berdasarkan analisis risiko yang dilakukan.
Melatih BCM Koordinator di Direktorat untuk melaksanakan Analisis & Analisis
Risiko.
Pengembangan laporan untuk pimpinan manajemen DJPb yang merinci
temuan RA, yang diberi peringkat berdasarkan skor risiko tertinggi. Ini diakui
sebagai langkah kunci dalam mendorong Strategi Kesinambungan Bisnis
21