Business Continuity Planning atau yang biasa disingkat BCP adalah sebuah rencana yang diambil perusahaan untu meneruskan bisnis perusahaan tersebut, jika suatu saat terjadi kekacauan, bencana atau kejadian yang tidak diinginkan yang akan menghambat bahkan menghentikan proses bisnis perusahaan tersebut. BCP merupakan keadaan dimana kondisi bisnis harus dapat terus berjalan pasca terjadinya bencana.
Agar dapat berjalan optimal, BCM perusahaan harus didukung penuh oleh manajemen, stakeholder serta disosialisasikan kepada seluruh lapisan dalam organisasi perusahaan. penerapan BCM berdasarkan standar ISO 27001 mencakup identifikasi resiko, proses manajemen keberlangsungan bisnis serta pengujian berkala untuk memastikan BCM perusahaan selalau dalam kondisi paling mutakhir. Ada beberapa tahap yang harus dilakukan dalam pembentukan BCM, berurutan sebagai berikut:
1. Identifikasi Ancaman (Threat Analysis)
Perusahaan yang telah terlebih dahulu melakukan identifikasi terhadap ancaman-ancaman yang dapat mengganggu operasional perusahaan. Dalam tahap identifikasi ini, ancaman dapat dikategorikan menjadi dua kelompok besar, yang pertama yaitu ancaman dari dalam (internal threats), misalnya sabotase dari karyawan, pencurian data dan spionase sedangkan yang kedua adalah ancaman dari luar (external threats), misalnya kebagakaran, gempa bumi serta ancaman cyber. Hal-hal yang terkait dengan internal threats biasanya memiliki sifat yang masih bisa dikendalikan oleh perusahaan, sedangkan external threats bersifat tidak dapat dikensalikan. Perusahaan harus membuat prioritas dan peringkat kemungkinan (likelihood) dari berbagai ancaman tersebut. Dari peringkat ancaman, perusahaan harus membuat beberapa skenario kunci untuk kejadian bencana yang mungkin terjadi.
2. Analisis Dampak Terhadap Bisnis (Business Impact Analysis/BIA)
Selanjutnya perusahaan melakukan identifikasi bagian bisnis yang bersifat kritis terhadap keberlangsungan perusahaan. pendekatan ini biasa dilakukan dengan menggunakan pendekatan resiko (risk based analysis), perusahaan menentukan resiko-resiko terkait pada setiap kegiatan operasional perusahaan, contoh: Resiko operasional, resiko finansial dan resiko kepatuhan. Ditahap ini pula perusahan menentukan waktu yang dibutuhkan untuk memulihkan layanan TI, disebut dengan Recovery Time Objective (RTO). Selain itu perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau disebut dengan Recovery Point Object (RTO). Selain itu perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau disebut Recovery Point Object (RPO).
3. Menyusun Business Continuity Plan (BCP)
Perusahaan membuat strategi pemulihan bencana berdasarkan hasil analisis terhadap bisnis (business Impact Analysis/BIA) serta skenario bencana yang mungkin terjadi. Hal ini mencakup relokasi pegawai inti ke kantor alternatif atau Business Continuity Center (BCC), pengaktifan perangkat cadangan, pemindahan server yang aktif dan lain sebagainya. BCP yang dibuatkan harus dipastikan dapat memenuhi target pemulihan RTO dan RPO, seperti yang telah ditentukan dalam BIA. Terkait
4. Menguji Serta Memperbaharui BCP
Skenario BCP yang telah dibuat harus diuji coba secara berkala. Hal ini dilakukan untuk dapat memastikan bahwa rencana yang disusun dapat mencapai tujuan pemulihan sistem atau layanan yang diharapkan secara efektif. Biasanya ada dua cara untuk melakukan uji coba ini, yaitu pertama adalah menggunakan simulasi kejadian bencana. Uji coba ini menggunakan simulasi data serta kejadian bencana yang seakan-akan kejadian sesungguhnya. Cara kedua adalah dengan menggunakan uji coba secara langsung, yaitu melakukan kegiatan operasional pada satu hari yang dipilih dengan mengaktifkan kondisi bencana.
5. Sosialisasi ke seluruh pegawai
Seluruh pegawai dalam perusahaan harus menerima pelatihan mengenai BCP. Hal ini untuk memastikan bahwa seluruh pegawai mengerti hal-hal yang harus dilakukan dalam keadaan bencana, seperti siapa yang harus dihubungi, apa yang harus dilakukan dalam keadaan darurat, dan lain sebagainya. BCP yang tidak disosialisasikan kepada pegawai hanya akan menjadi dokumen yang kurang memiliki arti.
Bentuk dan lingkup BCM sangat fleksibel dan berbeda antar organisasi, contohnya, bentuk dan lingkup BCM industri perbankan, tidak akan sama dengan industry e-commerce karena core businessnya berbeda, serta contoh lainnya, BCM Learning Management System (LMS) pada Universitas Terbuka, tingkat kritisnya berbeda dengan LMS pada universitas yang masih melakukan kegiatan dengan tatap muka. Namun yang harus dipahami adalah bagaimanapun bentuk dan lingkupnya, BCM tidak hanya berhenti pada satu siklus, harus tetap diperbarui secara berkala dan terus menerus. Hal ini sesuai dengan perubahan bisnis, perubahan infrastruktur TI, serta perubahan paparan ancaman yang ada. Perusahaan harus membuat sebuah tim mandiri yang bertugas untuk memastikan dan mengawasi BCM masih sejalan dengan operasional perusahaan serta mampu menangani permasalahan yang muncul jika terjadi gangguan maupun bencana.
Sumber
Fakhruddin, A. (2015, May 4). Memahami Arti Penting Business Continuity Management (BCM). Retrieved from Tatakelola.co: http://tatakelola.co/manajemen-risiko/memahami-arti-penting-business-continuity-management-bcm/
Ditulis Oleh:
Melisa Budiasih, S.T.
BPM Consultant
Smartpro Solusi
Smartpro Solusi
Tidak ada komentar:
Posting Komentar