6.2 Persyaratan hukum dan lainnya 6.3 Penilaian risiko dan analisis dampak 6.7 Program IPOCM
6.7.2 Program pencegahan dan mitigasi 6.7.3 Program manajemen respon
7. Pelaksanaan dan operasi
7.1 Sumber daya, peran, tanggungjawab dan wewenang
7.2 Membangun dan menanmkan IPOCM dalam budaya organisasi
7.3 Kompetensi, pelatihan dan kewaspadaan
7.4 Komunikasi dan peringatan 7.5 Pengendalian operasional 7. Keuangan dan administrasi
8. Pengkajian kinerja
8.1 Evaluasi sistem
8.2 Pemantauan dan pengukuran kinerja 8.3 Pengujian dan latihan
8.4 Tindakan korektif dan preventif 8.5 Pemeliharaan
8.6 Audit dan penilaian internal
Peningkatan berkesinam-bungan
Gambar 2 — Diagram alir kesiapsiagaan insiden dan kontinuitas operasi
5 Kebijakan 5 Policy
5.1 Membuat program 5.1 Establishing the program
Tujuan dari pembentukan program kesiapsiagaan insiden/kontinuitas operasional adalah untuk memastikan
bahwa seluruh aktifitas manajemen risiko dan aktifitas kontinuitas yang lain dilaksanakan dan sesuai dengan persetujuan dan dalam kontrol organisasi, sehingga mencapai kemampuan yang memenuhi kebutuhan operasional yang berubah-ubah dan sesuai dengan ukuran, kompleksitas maupun sifat organisasi. Pembuatan program IPOCM ini menghasilkan suatu kerangka kerja yang jelas untuk kemampuan manajemen kontinuitas operasi yang sedang berlangsung.
Tatalaksana kegiatan, yang biasanya berbentuk suatu proyek, menggabungkan
The purpose of establishing an incident preparedness/operational continuity program is to ensure that all risk management and continuity activities are conducted and implemented in an agreed and controlled manner within the organization, thereby achieving a capability that meets the changing operational needs and is appropriate to the size, complexity and nature of the organization. It establishes a clearly defined framework for the ongoing management of the operational continuity capability.
The set-up activities, which usually take the form of a project, incorporate the
end-ta Badan Send-tandardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
dari awal sampai akhir kegiatan rancang bangun, implementasi, uji awal dan latihan kemampuan kontinuitas operasional. Hal-hal yang harus dipertimbangkan adalah integrasi awal prosedur dan teknik IPOCM dalam proses perancangan organisasi atau bisnis, perencanaan, operasi, pelatihan, dan kebijakan keuangan dan ekonomi. Kegiatan manajemen dan pemeliharaan diantaranya memastikan bahwa kelangsungan operasi tertanam dalam organisasi, diuji secara berkala dan diperbaharui, dan dipertimbangkan apabila terjadi perubahan signifikan (misalnya lingkungan, personil, proses atau teknologi). IPOCM juga harus menjamin perlindungan pemangku kepentingan dari dampak yang merugikan karena terganggunya fungsi dan operasi suatu organisasi.
Singkatnya, program manajemen merupakan tatalaksana organisasi, dan manajemen kontinuitas operasional.
to-end designing, building, implementing, and initial testing and exercising of the operational continuity capability. Early integration of IPOCM techniques and procedures in the organizational or business process design, planning, operations, training, and financial and economic policies and procedures should be considered. The ongoing maintenance and management activities include ensuring that operational continuity is embedded within the organization, is regularly tested and updated, and is considered whenever there is a significant change (e.g. environment, personnel, process or technology). IPOCM should also ensure the protection of stakeholders from possible adverse impact due to the disruption of the organization's operations and functions.
In summary, the management program represents the set-up, organization and ongoing management of the operational continuity capability.
5.2 Mendefinisikan lingkup program 5.2 Defining program scope
Organisasi harus menetapkan, mendokumentasikan, menerapkan, memelihara, mengevaluasi dan terus meningkatkan kesiapsiagaan insiden dan program-program kontinuitas operasi.
Organisasi harus menentukan kegiatan dan tujuan operasi yang vital sebagaimana tercantum dalam strategi, rencana bisnis, misi dan kebijakan, rencana manajemen risiko, dan alat manajemen seperti analisis SWOT (Kekuatan, Kelemahan, Peluang dan Ancaman) dan balanced scorecard. Proses yang vital harus diidentifikasi dan didokumentasikan. Hal ini agar organisasi dapat fokus pada sumber daya yang dibutuhkan untuk mengoperasikan fungsi dan kegiatan yang vital tersebut dengan keterbatasan keuangannya.
Organisasi harus menetapkan dasar pembenaran bagi program IPOCM untuk menentukan keuntungan dari mengadopsi suatu pendekatan. Hal ini mungkin didasarkan pada:
The organization should establish, document, implement, maintain, evaluate and continually improve its incident preparedness and operational continuity programs.
The organization should determine its critical operational objectives and activities as identified in strategies, business plans, policy and mission statements, risk management plans, and management tools such as SWOT analysis (Strengths, Weakness, Opportunities and Threats) and balanced scorecard. Operational critical processes should be identified and documented. This will allow the organization to focus the resources required to operate the organization's critical activities and functions within the context of the economic constraints of the organization.
The organization should establish a justification for the IPOCM program to determine the advantages of adopting an organization-wide approach. This may be based on:
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
— Kejadian terkait risiko yang terjadi dalam organisasi;
— risiko yang muncul saat ini;
— kecenderungan gangguan operasi dan insiden sebelumnya;
— kenaikan biaya dan kerugian pendapatan akibat dari gangguan potensial;
— biaya risiko; — kewajiban;
— tanggung jawab sosial;
— keberhasilan dan kegagalan proyek dan program IPOCM lainnya.
Organisasi harus menetapkan dan mendokumentasikan lingkup sistem IPOCM nya. Organisasi memiliki kebebasan dan fleksibilitas untuk menentukan batas-batasnya, dan dapat memilih untuk melaksanakan pedomanini yang berkenaan dengan seluruh organisasi atau unit operasi atau kegiatan tertentu dari organisasi. Untuk ini perlu dipertimbangkan hubungan dengan organisasi lain (organisasi mitra) dan pemangku kepentingan yang berkontribusi terhadap atau mempengaruhi operasi organisasi, termasuk pengaruh yang disebabkan oleh proses / kegiatan dari luar dan rantai pasokan. Ruang lingkup harus terkait langsung dengan kegiatan, fungsi, produk, dan pelayanan vital, yang menentukan parameter penilaian risiko dan pengembangan program berdasarkan tingkat pentingnya dan kemungkinan potensi serta konsekuensi dari suatu insiden.
— historical risk events within the organization;
— current and emerging risk exposures; — operational disruption trends and
prior incidents;
— cost increases and revenue losses arising from potential disruptions; — risk financing costs;
— liabilities;
— social responsibilities;
— success and failure of other IPOCM projects and programs.
The organization should define and document the scope of its IPOCM system. An organization has the freedom and flexibility to define its boundaries, and may choose to implement this guideline with respect to the entire organization or to specific operating units or activities of the organization, It should consider, however, relationships with other organizations (partner entities) and stakeholders that contribute to or influence the organization's operations, including influences due to the outsourcing of processes/activities and the supply chain. The scope should be directly related to the critical activities, functions, products, and services of the organization, defining the parameters for risk assessment and program development based on their criticality and the potential likelihood and consequences of an incident.
5.3 Komitmen dan kepemimpinan manajemen
5.3 Management leadership and commitment
To be effective, an IPOCM program should be an integrated management process driven from the top of the organization, endorsed and promoted by the principal managers and executives. It should be managed at both the operational and Agar efektif, program IPOCM harus berupa
sebuah proses manajemen terpadu yang berasal dari manajemen puncak, didukung dan dipromosikan oleh jajaran manajer utama dan eksekutif. Program ini harus dikelola baik di tingkat operasional maupun tingkat organisasi.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
organizational levels. Sejumlah praktisi profesional di bidang
kesiapsiagaan insiden dan manajemen kontinuitas operasional serta staf dari disiplin ilmu dan jurusan manajemen lain mungkin diperlukan untuk mendukung dan mengelola program IPOCM. Jumlah sumber daya yang diperlukan akan tergantung pada ukuran dan keragaman organisasi.
A number of professional incident preparedness and OCM practitioners and staff from other management disciplines and departments may be required to support and manage the IPOCM program. The quantity of resources required will be dependent upon the size and diversity of the organization.
5.4 Pengembangan kebijakan 5.4 Policy development
Organisasi harus mengembangkan kebijakan IPOCM. Awalnya, mungkin dimulai dari tingkat tinggi kemudian dilakukan penyempurnaan dan peningkatan sejalan dengan berkembangnya kemampuan. Kebijakan tersebut harus secara berkala ditinjau dan diperbarui sesuai dengan kebutuhan operasi.
Kebijakan IPOCM harus berisi prinsip tertulis yang berisi aspirasi dan dengan prinsip tersebut kemampuan IPOCM dapat diukur
Proses kebijakan organisasi harus terdiri dari unsur-unsur berikut:
— Manajemen puncak harus memutuskan pengembangan program IPOCM dan menyampaikan keputusan tersebut ke seluruh organisasi;
— Manajemen puncak harus membuat kebijakan IPOCM dasar;
— Manajemen puncak harus
menyampaikan kegiatan IPOCM ke pemangku kepentingan internal dan eksternal yang tepat;
— Manajemen puncak harus menjamin ketersediaan sumber daya, seperti anggaran dan personil yang diperlukan untuk melakukan kegiatan sesuai dengan kebijakan IPOCM dasar;
— Manajemen puncak harus berpartisipasi dalam proses pengembangan program IPOCM.
—
The organization should develop an
IPOCM policy. Initially, this may be at a high level with further refinement and enhancement as the capability is developed. The policy should be regularly reviewed and updated in line with operational needs.
The IPOCM policy should provide the organization with documented principles to which it will aspire and against which its IPOCM capability should be measured. The policy process of an organization should be composed of the following elements:
— top management should decide to develop an IPOCM program and communicate the decision throughout the organization;
— top management should establish a basic IPOCM policy;
— top management should communicate IPOCM activities of the organization to appropriate internal and external stakeholders;
— top management should ensure the availability of resources, such as budget and personnel necessary to perform activities in line with the basic IPOCM policy;
— top management should participate in a process of IPOCM program development.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
5.5 Tinjauan kebijakan 5.5 Policy Review
Organisasi harus menetapkan kaji-ulang kebijakan IPOCM secara teratur, dengan mempertimbangkan antara lain:
— hasil kaji-ulang sistem IPOCM;
— perubahan lingkungan fisik;
— perubahan profil risiko;
— perubahan personil kunci, operasi, layanan, proses, produk, pemasok, distributor, pengaturan sumber internal dan eksternal, dan kekuatan pasar;
— merger dan akuisisi;
— perubahan penting dalam aspek legislatif dan peraturan.
Kaji ulang kebijakan IPOCM harus diintegrasikan sebagai bagian dari bisnis organisasi dan proses perencanaan operasi yang disetujui oleh manajemen puncak. Kebijakan IPOCM tingkat organisasi harus diturunkan ke setiap kebijakan IPOCM tingkat fungsional di bawahnya.
An organization should establish regular
review of the IPOCM policy, considering the following, including but not limited to:
— results of IPOCM system review;
— changes in physical environment;
— changes in risk profile;
— changes in key personnel, operations, services, processes, products, suppliers, distributors, sourcing and outsourcing arrangements, and market forces;
— mergers and acquisitions;
— significant changes in the legislative and regulatory environment.
The IPOCM policy review should be integrated as part of the organization-wide business and operational planning process approved by top management. An organization-wide IPOCM policy should be cascaded down to each functional IPOCM policy.
5.6 Struktur organisasi untuk pelaksanaan
5.6 Organizational structure for implementation
Kebijakan dan strategi untuk program ini dikembangkan dan dilaksanakan oleh tim proyek. Berikut adalah dasar untuk menentukan kebutuhan struktur manajemen proyek formal maupun informal:
— persyaratan untuk melanjutkan visibilitas dan keterlibatan manajemen puncak;
— persyaratan ketrampilan;
— persyaratan sumber daya, anggaran, dan pembiayaan untuk proyek;
— pengetahuan spesialis organisasi;
— bidang organisasi yang terlibat dalam proyek.
Suatu organisasi dapat menunjuk koordinator program IPOCM yang
Policy and strategy for the program is
developed and implemented by the project team. Determine the need for formal or informal project management structures based on:
— requirements for continuing top management visibility and involvement;
— skills requirements;
— resource, budget, and financing requirements for the project;
— specialist knowledge of the
organization;
— areas of organization involved in the project.
An organization may appoint an IPOCM program coordinator who should have responsibility for establishing the IPOCM
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
bertanggung jawab untuk membuat program IPOCM. Koordinator program IPOCM bertanggung jawab antara lain untuk mengkoordinasikan kesiapsiagaan insiden dan proyek kontinuitas operasional, mengelola kesiapsiagaan insiden dan struktur organisasi untuk kontinuitas operasional, memperoleh dukungan dari manajemen puncak, mengembangkan dan melaksanakan program IPOCM, memberikan pelatihan, dan secara teratur mengkaji-ulang program kesiapsiagaan insiden dan kontinuitas operasional. Tanggung jawab dan wewenang manajemen puncak harus ditetapkan untuk memperjelas tanggung jawab utama yang ada dalam organisasi. Panitia program IPOCM lintas-fungsional dapat dibentuk. Para anggotanya harus terdiri dari mereka yang terlibat dalam fungsi-fungsi utama yang berkaitan dengan program IPOCM untuk menangani berbagai isu-isu di sekitar organisasi.
program. The IPOCM program coordinator should be responsible for coordinating incident preparedness and operational continuity projects, managing incident preparedness and operational continuity organizational structure, obtaining support from top management, developing and implementing the IPOCM program, providing training, and regularly reviewing the incident preparedness and operational continuity program among others. Responsibility and authority of top management should be defined in order to make it clear where ultimate responsibility lies in the organization.
A cross-functional IPOCM program committee may be formed. Its members should be composed of those involved in the major functions relating to the IPOCM program in order to enable it to address various organization-wide issues.
6 Perencanaan 6 Planning
6.1 Umum 6.1 General
Organisasi harus menetapkan, menerapkan, dan menggunakan prosedur untuk identifikasi ancaman dan bahaya; penilaian risiko, kerentanan, dan kekritisan; dan analisis dampak. Fase ini menetapkan parameter untuk tahap perencanaan dan strategi sehingga organisasi mampu meminimalkan gangguan dan terus memenuhi tujuannya selama ada gangguan pada tingkat operasi yang dapat diterima. Pemahaman organisasi berasal dari identifikasi dan evaluasi potensi risiko dan ancaman gangguan terhadap organisasi serta penentuan lamanya gangguan yang masih dapat diterima oleh pemangku kepentingan. Pemahaman akan produk dan layanan yang dihasilkan suatu organisasi dan bagaimana hal ini disampaikan melalui aktifitas dalam organisasi menjadi pra-syarat penting untuk langkah selanjutnya dalam tahap ini. Pemetaan proses dan alat manajemen lainnya dapat membantu organisasi untuk mendokumentasikan pemahaman tentang
The organization should establish,
implement, and maintain procedures to perform threat and hazard identification; risk, vulnerability, and criticality assessments; and impact analysis. This phase sets the parameters for the strategy and planning stages that will enable the organization to minimize the likelihood of a disruption and continue to meet its objectives during a disruption by performing at an acceptable level of operation. An understanding of the organization comes from identifying and evaluating potential risks and threats of disruptions to the organization as well as determining the duration of a disruption that is tolerable to its stakeholders. It is an essential pre-requisite for the following steps in this stage that the organization should understand its products and services, and how these are delivered by activities within the organization. Process mapping and other management tools may assist an organization to document this understanding of their critical operations.
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
operasi vitalnya.
6.2 Persyaratan hukum dan lainnya 6.2 Legal and other requirements
Organisasi harus menetapkan dan memelihara prosedur untuk mengidentifikasi dan mengevaluasi persyaratan hukum, peraturan, dan persyaratan lainnya yang terkait dengan ancaman dan risiko yang dapat berpengaruh pada fasilitas, kegiatan, produk, layanan, kontraktor, dan rantai pasokannya. Organisasi harus menjaga agar informasi ini tetap mutakhir (up to date), dan menyampaikan informasi mengenai persyaratan hukum dan persyaratan lainnya kepada karyawannya dan pihak ketiga yang relevan termasuk kontraktor.
Sistem IPOCM harus memiliki komitmen untuk mematuhi undang-undang dan peraturan yang berlaku, sesuai dengan petunjuk dan kebijakan, dan mempertimbangkan praktik industri yang baik berkenaan dengan kegiatan IPOCM, produk, atau layanannya.
The organization should establish and
maintain procedures to identify and evaluate the applicable legal, regulatory, and other requirements to which the organization subscribes that are related to the threats and risks that are applicable to its facilities, activities, products, services, contractors, and supply chain. The organization should keep this information up-to-date, and communicate relevant information on legal and other requirements to its employees and other relevant third parties including contractors.
The IPOCM system should commit to comply with applicable legislation and regulations, conform to directives and policies, and consider industry good practices concerning IPOCM activities, products, or services.
6.3 Penilaian risiko dan analisis dampak 6.3 Risk assessment and impact analysis
Ada berbagai metodologi untuk penilaian risiko dan analisis dampak yang akan menentukan urutan langkah-langkah analisis yang diadopsi.
There are various methodologies for risk
assessment and impact analysis which will determine the order of the analysis steps adopted.
6.4 Identifikasi bahaya, risiko, dan ancaman
6.4 Hazard, risk, and threat identification
Identifikasi bahaya, risiko, dan ancaman harus mencakup antara lain:
— bahaya alam yang terjadi tanpa pengaruh orang dan memiliki potensi berdampak langsung maupun tidak langsung pada operasi organisasi, orang, harta benda dan/ atau lingkungan (bahaya geologi, meteorologi dan biologi);
— Manusia dan teknologi yang
menyebabkan peristiwa/kejadian (tidak disengaja dan disengaja);
— peristiwa terkait bisnis (positif dan negatif).
Hazard, risk, and threat identification
should include, but not be limited to:
— naturally occurring hazards that can occur without the influence of people and have potential for direct or indirect impact on the organization's operations, people, property and/or environment (geological, meteorological and biological hazards);
— human and technology caused events (accidental and intentional);
— business-related events (positive and negative).
ta Badan Standardisasi Nasional, Copy s
tan
dar ini dibuat untuk penayangan di www.bsn.go.id
dan tidak untuk di komersialkan”
Identifikasi risiko harus menjadi kegiatan yang terus berlangsung. Organisasi harus mencari tahu sumber dan potensi penyebab kerusakan dan mengidentifikasi risiko. Organisasi harus berkonsultasi dengan pihak yang berwenang dan pelayanan publik lainnya untuk mengidentifikasi risiko yang potensial terhadap organisasi dan para pemangku kepentingan.
Risk identification should be an ongoing activity, The organization should find out sources and potentials to cause damage and identify risks. The organization should consult with appropriate authorities and other public services to identify potential risks to the organization and the stakeholders.
6 . 5 P e n i l a i a n ri s i k o 6 . 5 R i s k a s s e s s m e n t
Organisasi dapat menggunakan proses evaluasi formal dan tertulis untuk mengidentifikasi risiko dan ancaman, kemungkinan kejadiannya, dan kerentanan serta kondisi kritis orang, harta benda, lingkungan, dan organisasi itu sendiri terhadap ancaman tersebut. Organisasi sebaiknya secara kuantitatif maupun kualitatif mengestimasi kemungkinan atau probabilitas potensi risiko yang sudah diidentifikasi tersebut dan signifikansi dampaknya bila benar-benar terjadi. Hasil estimasi ini harus digunakan sebagai masukan untuk evaluasi risiko agar dapat memprioritaskan risiko potensial.
Organisasi harus menilai risiko potensial dengan menggunakan kriteria yang masuk akal dan pertimbangan bahwa semua risiko potensial tersebut sudah dikenal. Organisasi harus mempertimbangkan berbagai unsur seperti kehidupan manusia, aset, kompensasi, laba, kredit dan lingkungan alam. Organisasi harus menganalisa informasi risiko, dan memilih risiko yang dapat menimbulkan konsekuensi yang signifikan dan/atau risiko yang akibatnya sulit ditentukan apakah cukup signifikan.
Organisasi harus menyimpan informasi terkait dengan ancaman, risiko dan penilaian kondisi kritis yang mutakhir dan rahasia, sebagaimana layaknya. Penilaian ancaman, risiko dan kondisi kritis harus dievaluasi ulang bila ada perubahan dalam organisasi atau dibuat untuk lingkungan operasi, prosedur, fungsi, dan pelayanan organisasi.
The organization may use a formal
and documented evaluation process to identify its risks and threats, the likelihood of their occurrence, and the