SEMINAR

BUSINESS IMPACT ANALYSIS (BIA)

DAN RISK ASSESSMENT (RA)
MENYUSUN BIA
Business Impact Analysis (BIA)

• BIA merupakan salah satu bagian dari BCP organisasi yang menggambarkan potensi risiko organisasi.
• BIA adalah proses mengidentikasi, menganalisa, dan menentukan dampak yang terjadi pada kelangsungan bisnis proses di
organisasi seandainya terjadi gangguan/bencana yang menimbulkan terhentinya operasional dari bisnis proses tersebut.
• Dalam melakukan BIA, masing-masing unit organisasi perlu memperhatikan bahwa BCP yang akan disusun bukan hanya untuk total
disaster namun untuk berbagai situasi bencana dan gangguan mulai dari yang minor, major sampai dengan catastrophic.
• Dampak yang harus diperhatikan bukan hanya yang dapat diukur dengan jelas (tangible impact) seperti penalti akibat
keterlambatan pembayaran bunga atau biaya lembur pegawai, namun juga yang tidak dapat diukur secara jelas (intangible impact)
seperti kesulitan konsumen memperoleh pelayanan.
• Hal-hal yang harus dianalisis dalam BIA:
1. Tingkat kepentingan (criticality) masing-masing proses bisnis dan ketergantungan antar proses bisnis serta prioritisasi yang
diperlukan;
2. Tingkat Maximum Tolerable Outage/Recovery Time Objective (berapa lama usaha dapat bekerja tanpa sistem atau fasilitas yang
mengalami gangguan dan atau berapa cepat sistem atau fasilitas tersebut harus berfungsi kembali);
3. Tingkat Minimum Resources Requirement (personil, data dan kelengkapan sistem serta fasilitas yang diperlukan secara minimal
agar bisnis bisa pulih dan berjalan);
4. Dampak potensial dari kejadian yang bersifat tidak spesifik dan tidak dapat dikontrol terhadap proses bisnis dan pelayanan
kepada Stakeholders;
5. Dampak disaster terhadap seluruh organisasi dan fungsi bisnis, bukan hanya terhadap data processing;
6. Estimasi downtime maksimum yang dapat ditoleransi dan tingkat toleransi atas kehilangan data dan terhentinya proses bisnis
serta dampak downtime terhadap kerugian finansial;
7. Jalur komunikasi yang dibutuhkan untuk berjalannya pemulihan;
8. Kemampuan dan pengetahuan petugas mengenai Contingency Plan dan ketersediaan petugas pengganti di tempat pemulihan;
9. Dampak hukum dan pemenuhan ketentuan yang terkait, seperti ketentuan mengenai kerahasiaan data.

3
 Menyusun
BIA dan RA DJPb

BIA dan RA harus dibuat oleh Sekretariat DJPb, Direktorat lingkup DJPb, Kawil
DJPb, dan KPPN.

Artinya, ada 10 (sepuluh) BIA di DJPb yang terpisah, yaitu BIA Sekretariat
DJPb; BIA Dit. PA; BIA Dit. SMI; BIA Dit. PKN; BIA Dit. PPK BLU; BIA Dit. SITP;
BIA Dit. SP; BIA TPBP; BIA Kanwil DJPb; dan BIA KPPN.

BIA dan RA harus didokumentasikan dan diserahkan kepada Tim Manajemen

Kelangsungan Bisnis

BIA dan RA harus ditinjau kembali dan diperbarui setiap tahun untuk
mencerminkan:
1. Perubahan kegiatan utama organisasi.
2. Identifikasi risiko baru untuk organisasi.
3. Identifikasi strategi mitigasi dan tindakan pemulihan baru.

4
 BIA adalah spreadsheet Excel yang digunakan
untuk mendokumentasikan kegiatan utama
organisasi dan peristiwa eksternal (atau risiko)
yang dapat mengganggu kegiatan utama
organisasi.
 BIA berisi lima lembar kerja atau topik yang harus
diselesaikan, yaitu:
1. Introduction/Pendahuluan (Topik 1)
2. Critical Activities /Aktivitas Penting (Topik 2)
3. Key dependencies /Unsur Utama (Topik 3)
4. Key Risks /Risiko Utama (Topik 4)

5
 Introduction/Pendahuluan (Topik 1)
                     

Analisis Dampak Bisnis    

                     
Nama Unit   Catatan tentang Unit
Nama Gedung/Alamat      
 
Penyusun BIA

   
Jabatan      
Tanggal        
                     

     

                     
Keterangan tentang Penyusunan BIA        
 

6
Lanjutan....
Nama Kolom Instruksi dan Panduan Contoh
Nama Unit Masukkan nama Sekretariat/Direktorat/Kanwil Direktorat Pengelolaan Kas Negara
/KPPN Atau
Kanwil Sulawesi Barat

Nama Gedung/Alamat Masukkan nama bangunan seperti yang dikenal Gedung Prijadi Praptosuhardjo I Lt. 1
dalam Direktorat Jenderal Perbendaharaan

Penyusun BIA Masukkan nama orang yang menyelesaikan BIA. Widyaswati

Nama tersebut harus menjadi KKB organisasi yang
terdaftar di DJPb.

Jabatan Masukkan jabatan penyusun BIA Kepala Bagian umum

Tanggal Masukkan tanggal saat BIA diselesaikan (bukan 10 April 2019

tanggal dimulainya)

Catatan tentang Unit Masukkan Catatan apa pun yang diperlukan untuk BIA selesai setelah kebakaran di lokasi, jadi
menjelaskan terkait aktivitas dalam menyelesaikan tidak semua dependensi dicatat di Topik 3
BIA.
Keterangan tentang Masukkan pernyataan tambahan apa pun yang Kanwil Sulsel bukan satu-satunya unit
Penyusunan BIA penting untuk dipahami bahwa BIA baru saja eselon II di GKN, beberapa opsi mitigasi
selesai. risiko di luar kendali Kanwil.

7
 Critical Activities /Aktivitas Penting (Topik 2)
  Aktivitas Penting                
 
                    
  Dampak       
  Bagian/Seksi dalam Unit Aktivitas Penting       
1 2
4 Jam 24 Jam 3 Hari
Minggu Minggu
  Nama Bagian/Seksi Aktivitas 1       
    Aktivitas 2       
    Aktivitas 3       
    Aktivitas 4       
    Aktivitas 5       
                      
                      
                      
                      
                      
                  
 

                   
         
 
 

8
 Lanjutan....
Field Name Instruksi dan Panduan
Bagian/Seksi dalam Unit Masukkan Subdirektorat atau Bagian yang bertanggung jawab untuk
pelaksanaan Critical Activities.
Aktivitas Penting Masukkan deskriptif dari Critical Activities yang didokumentasikan.
Dampak  Ini adalah rangkaian dari lima kerangka waktu. Untuk setiap jangka
waktu, BCC harus menilai dampaknya terhadap organisasi jika Critical
Activities tidak berjalan selama beberapa waktu.
 BCC harus memilih salah satu dari tiga opsi dari daftar drop-down yang
paling menggambarkan dampaknya:
1 – Rendah
4 – Sedang
9 – Tinggi

Perkiraan RTO  Pada field ini harus memilih jangka waktu pemulihan untuk Critical
Activities setelah dilakukan BC.
 BCC harus memilih salah satu dari enam opsi timeframe dari daftar
drop-down yang paling mengidentifikasi waktu pemulihan yang
diharapkan:
< 4 jam
4-24 jam
1-3 hari
4-7 hari
8-14 hari
>14 hari

9
 Lanjutan....
Field Name Instruksi dan Panduan
Perkiraan RPO  Dalam field ini harus memilih jumlah minimum dari data yang akan
dipulihkan untuk Critical Activities ini agar dapat berfungsi kembali.
Jumlah data dinyatakan dalam waktu, seperti t - 4 jam yang berarti
semua data hingga 4 jam sebelum insiden terjadi harus dipulihkan.
 Opsi yang tersedia adalah:
T0 (Insiden - 0 jam)
T4 (Insiden - 4 jam)
EOD (Akhir Hari Sebelumnya)
EOW (Akhir Pekan Sebelumnya)
EOM (Akhir Bulan Sebelumnya)
EOY (Akhir Tahun Sebelumnya)

Strategi Pemulihan yang ada saat ini

Jelaskan strategi pemulihan (yang saat ini tidak ada) yang dapat membantu
pemulihan aktivitas penting ini.
Hal-hal yang perlu dilakukan untuk Untuk setiap Opsi Strategi Pemulihan Potensi, identifikasi langkah-langkah
menjalankan strategi pemulihan yang diperlukan untuk menerapkan strategi ini.

10
 Key dependencies /Kunci Dependensi (Topik 3)

Number required on Days 4 - 10

Critical Processes/ Dependency Type Dependency Description Internal/ Third Name of Third Party Current Recovery Estimated RTO Potential Recovery

Number required on Days 2 - 3

Activities party supplied Strategy Options Strategy Options

Number required on Day 1

Equipment                  

Equipment                  

Premises                  
Process 1
Technology                  
Technology                  
Staff                  
                     
                     
Sample Questions      
         

What are the critical resources required for the processes to be carried out?
These can include: Premises, staff, third parties, technology, and equipment.
Is this supplied by a third party? If yes what is the name of the third party?
What controls are currently in place to limit disruption?
What additional controls could be put in place to limit disruption?
                     
General Remarks
 
     

11
 Lanjutan....
Field Name Instruksi dan Panduan
Critical Resource Type  Setiap Critical Activities disampaikan menggunakan sejumlah sumber
daya (Orang, Peralatan, Sistem, dll).
 Field ini mengidentifikasi jenis sumber daya yang dibutuhkan.
 BCC memilih dari daftar drop-down:
Staf
Ruang Kantor
Teknologi /Sistem
Peralatan
Pihak ketiga
Prosedur
Dokumen
Formulir
Lain

Critical Resource Description
Normal Processing - Quantities
Required
Day of Incident - Quantities Required
Day 1- Quantities Required
Jelaskan sumber daya secara memadai sehingga tim pemulihan tahu
sumber daya apa yang harus diperoleh.
Masukkan jumlah sumber daya yang diperlukan selama Proses Normal.
Masukkan jumlah sumber daya yang diperlukan selama hari terjadinya
insiden.
Masukkan jumlah sumber daya yang dibutuhkan selama hari pertama
setelah insiden.

12
 Lanjutan....
Field Name
Days 2 - 3 - Quantities Required
Days 4 - 7 - Quantities Required
Days 8 - 14 - Quantities Required
Internal/ Third party supplied
Name of Third Party
Current Recovery Strategy Options
Potential Recovery Strategy Options
Instruksi dan Panduan
Masukkan jumlah sumber daya yang dibutuhkan selama hari ke 2 dan ke 3
setelah insiden.
Masukkan jumlah sumber daya yang dibutuhkan selama hari ke 4 dan ke 7
setelah insiden.
Masukkan jumlah sumber daya yang dibutuhkan selama hari ke 8 dan ke 14
setelah insiden.
 Identifikasi apakah pemasok sumber daya ini adalah internal untuk
operasi Kementerian Keuangan atau pemasok eksternal.
 Ini adalah daftar drop-down:
Internal
Third Party/Pihak Ketiga
Jika sumber daya disediakan secara eksternal, identifikasi pemasok (bukan
produsen)
Identifikasi opsi strategi pemulihan yang saat ini tersedia untuk sumber ini.
Identifikasi opsi strategi pemulihan yang saat ini tidak ada untuk sumber
daya ini tetapi dapat diterapkan untuk memungkinkan aktivitas penting
berfungsi secara terbatas.
13
 Key Risks /Risiko Kunci (Topik 4)
Risk Register          
Current Risk Score Target Risk Score

Probability

Probability
Risk Score

Risk Score
Nbr

Impact

Impact
Directorate Risk Type Risk Description Proximity (Time) Current Controls Future Controls Risk Actionee Risk Owner
1               0            
 
2             0            

3               0            
4               0            
5               0            
6               0            
7               0            
8               0            
9               0            
10               0            
11               0            
12               0            
13               0            
14               0            
15               0            
16               0            
17               0            
18               0            
19               0            
20               0            
21               0            
22               0            
23               0            
24               0            
25               0            
26               0            
27               0            
28               0            
29               0            
30               0            
31               0            

14
 Lanjutan....
Field Name Instruksi dan Panduan
Risk Description Masukkan deskripsi lengkap tentang risiko.
Current Mitigation Strategies in place Jika ada, masukkan strategi mitigasi yang saat ini digunakan untuk risiko ini.
Impact Penilaian tentang apa dampaknya bagi organisasi jika risiko ini terjadi. BCC
akan memilih dari nilai-nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Tidak signifikan
2 - Kecil
3 - Sedang
4 - Signifikan
5 - Sangat Signifikan

Likelihood Penilaian tentang seberapa besar kemungkinan risiko ini akan terjadi. BCC
akan memilih dari nilai-nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Hampir tidak pernah terjadi
2 - Terjadi tidak sering
3 - Terjadi sesekali
4 - Sering terjadi
5 - Hampir selalu terjadi

15
 Lanjutan....
Field Name Instruksi dan Panduan
Risk Score  Field ini adalah otomatis terhitung- dan itu dilindungi.
 Field dirancang untuk memungkinkan fungsi BC untuk menentukan
risiko yang paling penting bagi suatu organisasi. Semakin tinggi Skor
Risiko, semakin penting risikonya bagi kelangsungan organisasi
Potential Mitigation Strategies Jika ada, masukkan strategi mitigasi (s) yang dapat digunakan untuk
menurunkan Skor Risiko untuk risiko ini.
Impact if Strategies are implemented Penilaian tentang apa dampaknya bagi organisasi jika risiko ini terjadi
setelah strategi mitigasi potensial diterapkan. BCC akan memilih dari nilai-
nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Tidak signifikan
2 - Kecil
3 - Sedang
4 - Signifikan
5 - Sangat Signifikan

Likelihood if Strategies are
implemented
Penilaian tentang seberapa besar kemungkinan risiko ini akan terjadi
setelah strategi mitigasi potensial diterapkan. BCC akan memilih dari nilai-
nilai dalam daftar drop-down:
0 - Tidak Dinilai
1 - Hampir tidak pernah terjadi
2 - Terjadi tidak sering
3 - Terjadi sesekali
4 - Sering terjadi
5 - Hampir selalu terjadi

16
 Lanjutan....
Field Name Instruksi dan Panduan
Risk Score (if Potential Mitigation  Field ini adalah otomatis terhitung- dan itu dilindungi.
Strategies are implemented)  Field ini dirancang untuk memungkinkan fungsi BC untuk menentukan
risiko yang paling penting bagi suatu organisasi. Semakin tinggi Skor
Risiko, semakin penting risikonya bagi kelangsungan organisasi
Risk Owner Masukkan pegawai di dalam Sekretariat/Direktorat/Kanwil DJPb/KPPN yang
telah diberikan tugas melakukan pemantauan risiko ini dan mencoba untuk
menurunkan dampaknya pada organisasi.

17
RA
Risk Assessment (RA)
 RA adalah metode yang sistematis untuk menentukan apakah suatu organisasi memiliki resiko yang dapat
diterima atau tidak.
 RA merupakan kunci dalam perencanan pemulihan bencana.
 RA mencakup:
1. Risk Identification
 Adalah mengidentifikasi resiko yang mungkin terjadi.
 Bertujuan untuk mengkategorikan resiko-resiko yang dapat mempengaruhi organisasi.
 Hasilnya adalah sebuah daftar resiko yang dapat memudahkan management resiko pada tahap selanjutnya.
2. Risk Analysis
 Adalah menganalisis resiko yang mungkin terjadi pada suatu organisasi yang ditimbulkan oleh potensi alam
maupun manusia.
 Menghasilkan sebuah laporan analisis resiko untuk menentukan efek samping, kerugian, ancaman dan
digunakan untuk menyusun penanggulangan terhadap serangan atau bencana yang mungkin terjadi.
3. Risk Evaluation
 Adalah pembentukan hubungan antara resiko dan manfaat dari potensi bahaya yang ditimbulkan.
 Meliputi evaluasi dari semua informasi yang dikumpulkan untuk menentukan besarnya kerugian yang
ditimbulkan bencana.
 Risk Evaluation mengevaluasi langkah apa yang akan diambil untuk mengatasi dampak dari suatu bencana.

19
Mempersiapkan RA terhadap potensi ancaman terhadap proses-proses
kunci:
 Melakukan penelitian dan wawancara untuk mengidentifikasi ancaman internal dan
eksternal yang diketahui yang dapat mempengaruhi proses / kegiatan bisnis penting
yang diidentifikasi sebagai bagian dari BIA. Ini akan mempertimbangkan hasil dari
setiap latihan penilaian risiko yang dilakukan oleh DJPb sebelumnya.
 Buat sistem penilaian-penilaian risiko (lihat Matriks Risiko dari Kemenkeu)
 Kedekatan dengan kegagalan (Kemungkinan kegagalan terjadi selama periode
apa - Standar jangka waktu)
 Evaluasi kemungkinan setiap ancaman yang terjadi (Probabilitas (5 - 1)).
 Perkirakan dampak dari setiap ancaman pada proses / kegiatan bisnis yang
penting (Impact (5 - 1)).
 Identifikasi setiap titik kegagalan yang dapat mempengaruhi kemampuan
keseluruhan Direktorat Treasury untuk pulih dari ancaman.
 Hitung skor risiko (Lihat Matriks Risiko pada slide berikutnya)
 Prioritaskan ancaman berdasarkan analisis risiko yang dilakukan.
 Kembangkan rencana mitigasi risiko untuk poin tunggal kegagalan dan item skor
risiko tinggi
 Buat laporan untuk Pimpinan Manajemen Kementerian Keuangan yang merinci
temuan RA, yang diberi peringkat berdasarkan skor risiko tertinggi.

20
Lanjutan....
 Melakukan penelitian dan wawancara untuk mengidentifikasi ancaman
internal dan eksternal yang diketahui yang dapat mempengaruhi fungsi bisnis
penting yang diidentifikasi sebagai bagian dari BIA. Ini akan
mempertimbangkan hasil dari setiap latihan penilaian risiko yang dilakukan
oleh Direktorat Jenderal Perbendaharaan sebelumnya.
 Buat sistem penilaian penilaian risiko.
 Evaluasilah kemungkinan dari setiap ancaman yang terjadi.
 Perkirakan dampak dari setiap ancaman pada fungsi bisnis penting.
 Identifikasi satu titik kegagalan yang dapat mempengaruhi kemampuan
keseluruhan Direktorat Jenderal Perbendaharaan untuk pulih dari ancaman.
 Prioritaskan ancaman berdasarkan analisis risiko yang dilakukan.
 Melatih BCM Koordinator di Direktorat untuk melaksanakan Analisis & Analisis
Risiko.
 Pengembangan laporan untuk pimpinan manajemen DJPb yang merinci
temuan RA, yang diberi peringkat berdasarkan skor risiko tertinggi. Ini diakui
sebagai langkah kunci dalam mendorong Strategi Kesinambungan Bisnis

21