1
PEMBANGUNAN BUSINESS CONTINUITY PLANNING ORGANISASI
(STUDI KASUS PT. LAPI ITB)
1Soni Fajar Surya Gumilang, 2Wahyu Hadi Santoso
Program Studi Teknik Informatika STMIK LPKIA
Jln. Soekarno Hatta No. 456 Bandung 40266, Telp. +62 22 75642823, Fax. +62 22 7564282
Email : 1sonifajar@gmail.com, 2wahyu.hadi.santoso@gmail.com
Abstrak
Semua organisasi bisnis sangat berpeluang untuk terkena resiko operasional yang bisa menyebabkan kegagalan proses bisnis, terganggunya proses bisnis, bahkan bisa menyebabkan tutupnya kegiatan proses bisnis untuk selamanya. Hal-hal tersebut tentunya bisa berdampak buruk bagi organisasi bisnis sehingga dibutuhkan sistem formal untuk mengidentifikasi ancaman-ancaman yang dapat timbul, kemudian menyiapkan prosedur, strategi dan taktik yang diarahkan untuk meminimalisir dan menghilangkan ancaman-ancaman tersebut. Sistem formal tersebut adalah Business Continuity Planning (BCP).
Business Continuity Planning (BCP) dan Disaster Recovery Planning (DRP) merupakan dua hal yang tidak
terpisahkan dimana keduanya membahas mengenai pemeliharaan bisnis dalam menghadapi gangguan dan mengembalikannya ke kondisi normal. BCP dan DRP terdiri dari persiapan, pengujian, dan memperbarui tindakan-tindakan yang diperlukan untuk melindungi proses bisnis yang kritis dari akibat kegagalan jaringan dan sistem utama.
BCP menunjukkan seberapa baik suatu perusahaan/organisasi mempersiapkan diri untuk bertahan hidup dari bencana yang tak terduga, terhadap gangguan maupun perubahan dimana organisasi tersebut harus mampu memastikan bahwa proses bisnis akan terus berfungsi walau dalam keterbatasan kondisi. Sedangkan DRP membahas tentang proses pemulihan secara cepat dari suatu keadaan darurat dengan dampak minimum pada organisasi. BCP tentunya bertujuan agar proses bisnis organisasi dapat tetap berjalan meski harus beroperasi dalam kondisi yang tidak biasanya, sehingga produk maupun layanan dapat tetap dihasilkan.
Kata kunci : business continuity planning , disaster recovery planning
1. Pendahuluan
Pada 11 Maret 2011 Jepang dilanda tsunami yang cukup dahsyat. Bencana tersebut memporak-porandakan hampir seluruh kegiatan bisnis di Jepang. Beberapa perusahaan raksasa seperti Sony Corp., Toyota Motor Corp., Honda Motor Co, Nissan Motor Co, mengumumkan penghentian
sementara produksi mereka. Nilai saham
perusahaan-perusahaan raksasa tersebut pun turun drastis, dan ini merupakan pukulan telak bagi para pelaku ekonomi di Jepang.
Masih hangat di ingatan kita ketika serangan teroris menghantam salah satu ikon ekonomi di Amerika Serikat yaitu World Trade Center pada tanggal 11 September 2001. Impact dari bencana tersebut salah satunya adalah merosotnya indeks harga saham di bursa Wall Street. Tsunami yang menghantam Aceh pada Desember 2004 silam juga membuat perekonomian di Aceh porak-poranda.
Bencana seperti serangan teroris yang dialami
World Trade Center pada tahun 2001, tsunami
Aceh di akhir tahun 2004 serta tsunami Jepang pada tahun 2011, maupun bencana-bencana lain dapat terjadi kapan saja, dimana saja dan dapat menimpa siapa saja. Peristiwa-peristiwa seperti tersebut di atas dapat merusak dan mengganggu kegiatan bisnis suatu organisasi/perusahaan. PT. LAPI ITB, tempat dimana penyusun melakukan penelitian, belum memiliki BCP. Prosedur yang
dimiliki hanya berupa prosedur tanggap darurat bila terjadi suatu bencana. Oleh karena itu, agar kelangsungan bisnis di PT. LAPI ITB dapat dijaga, perlu dibentuk perencanaan kelangsungan bisnis untuk menghadapi peristiwa tidak terduga yang dapat merusak kelangsungan bisnis di PT. LAPI
ITB
.
Identifikasi Permasalahan :
1. Belum adanya prosedur pemulihan setelah bencana secara terpadu.
2. Sistem berjalan hanya berupa prosedur tanggap darurat apabila terjadi bencana.
Ruang Lingkup Permasalahan :
1. Bagaimana memilih bentuk metodologi BCP yang sesuai untuk perusahaan.
2. Bagaimana bentuk BCP untuk perusahaan. Tujuan Perancangan :
1. Menentukan metodologi pembangunan BCP sesuai untuk perusahaan.
2. Membangun BCP dengan menggunakan
metodologi pembangunan yang sesuai untuk perusahaan.
2
2. Landasan Teori.
BCP (Business Continuity Planning) dapat
didefinisikan sebagai dalam proses berulang-ulang yang dirancang untuk mengidentifikasi misi fungsi bisnis kritis dan menetapkan kebijakan, proses, rencana, dan prosedur untuk memastikan kelanjutan dari fungsi-fungsi ini dalam hal suatu peristiwa tak terduga (Chip Nickollet, 2001). BCP merupakan seperangkat prosedur dan informasi sumber daya yang terintegrasi yang bisa digunakan badan usaha/perusahaan untuk mencegah atau pulih dari bencana yang menyebabkan gangguan terhadap operasi bisnis. (Barnes, 2001). BCP mengacu kepada aktivitas yang dibutuhkan untuk menjaga agar kegiatan bisnis suatu perusahaan dapat tetap berjalan, baik dalam masa perpindahan maupun dalam masa gangguan. (Institute, 2002)
BCP bisa didefinisikan sebagai identifikasi dan perlindungan dari proses bisnis penting dan sumber daya yang dibutuhkan untuk mempertahankan suatu tingkat bisnis yang bisa diterima, melindungi sumber daya tersebut dan mempersiapkan prosedur untuk memastikan kelangsungan hidup organisasi pada saat terjadi gangguan. (Hiles, 2007)
Konsep Dasar BCP :
1. Penilaian secara realistis dan penentuan manajemen resiko;
2. Pengetahuan akan konsekuensi bisnis yang akan terjadi bila dengan hilangnya fasilitas kunci, proses, aktifitas atau manusia;
3. Strategi yang tepat untuk mengurangi
kerusakan dan pulih dari bencana dalam waktu singkat.
Alasan mengapa perusahaan harus memiliki BCP : 1. Menyediakan prosedur untuk mempertahankan
operasi bisnis utama saat dilakukannya pemulihan dari gangguan bisnis;
2. Meminimalisir efek dari bencana;
3. Organisasi memiliki prosedur pengelolaan resiko;
4. Organisasi memiliki penanggung jawab BCP.
Karakteristik 4R BCP :
1. Reduction. Identifikasi serta penilaian terhadap
resiko sehingga dengan adanya BCP,
diharapkan resiko dapat dikurangi atau diminimalisir.
2. Readiness. Berhubungan dengan kesiapan organisasi dalam menghadapi bencana yang dapat mengancam kegiatan bisnis utama mereka. Kepemilikan BCP dapat menciptakan kondisi “aware” dari setiap kemungkinan bencana yang menimpa organisasi tersebut. 3. Response. Aksi cepat tanggap secara cepat
yang dilakukan dalam rangka respon terhadap
peringatan bencana untuk mengurangi dampak negatif dari bencana selama situasi darurat diberlakukan.
4. Recovery. Pendekatan yang dilakukan suatu
organisasi untuk memastikan kegiatan
pemulihan dari bencana atau kerusakan proses bisnis lainnya. 3. Analisis Metodologi. Perbandingan Metodologi : Model pembangunan BCP yang akan digunakan Metodologi
1 Metodologi 2 Metodologi 3 Metodologi 4 Metodologi 5
Inisiasi Proyek Persiapan Dasar Proyek (Project Foundation) Inisiasi Proyek Penentuan Tujuan, Sasaran, Lingkup dan Asumsi Inisiasi Program Inisiasi Proyek Penentuan Koordinator Perencanaan Penentuan Aksi, Koordinasi Tanggung Jawab Awareness Workshop/Pelatihan kesiapsiagaan Penilaian Resiko Penilaian Bisnis Identifikasi Resiko Melakukan Penilaian Resiko
Penilaian Resiko Identifikasi Resiko
Analisis Dampak Bisnis Analisis Dampak Bisnis Melakukan Analisis Dampak Bisnis Analisis Dampak Bisnis Analisis Dampak Bisnis Pemilihan Strategi Pemilihan Strategi Penentuan Strategi Kelangsungan Bisnis Pemilihan Tim Pemulihan Pengembangan Strategi Mitigasi Penentuan Strategi Kelangsungan Bisnis Memilih Strategi dan Perencanaan Pemulihan Pembuatan Rencana Pembuatan Rencana Pembuatan BCP Dokumentasi BCP Pembuatan BCP Pembuatan BCP Pengujian Dan Perawatan Pengujian dan Perawatan Pengujian Perencanaan Pengujian Rencana Pelatihan, Pengujian dan Audit Pengujian Perencanaan Pendistribusian Rencana Perawatan Perencanaan Perawatan Rencana Perawatan Perencanaan Perawatan Perencanaan Metodologi Usulan :
Tahapan-tahapan yang terdapat dalam 5 metodologi di atas dikelompokan menjadi 6 tahapan utama dan dikelompokan berdasarkan kesamaan proses yang dilakukan. 6 tahapan tersebut antara lain :
1. Inisiasi Proyek. 2. Penilaian Resiko. 3. Analisis Dampak Bisnis 4. Pemilihan Strategi 5. Pembuatan Perencanaan
3 6 tahapan di atas merupakan model pembangungn BCP yang bila disesuaikan dengan PDCA (Plan,
Do, Check, Act) model pada ISO 22301 (BCMS)
tahap 1 s/d 4 masuk ke dalam “Plan”, tahap 5 sebagai “Do”, dan tahap 6 sebagai “Check and
Act”.
Model Pembangunan BCP (Input, proses, output) : Model pembangunan
BCP Input Proses Output
Inisiasi Proyek Struktur Organisasi
Identifikasi proses bisnis Proses Bisnis Identifikasi stakeholder,
lingkup dan asumsi Dokumentasi proyek
Penilaian Resiko Proses Bisnis
Identifikasi Resiko
Daftar Resiko dan hasil analisis Klasifikasi Resiko
Analisis resiko (berdasarkan peluang kemunculan)
Analisis Dampak Bisnis
Proses Bisnis
Pemahaman proses bisnis
Nilai kritikal fungsi bisnis Identifikasi fungsi bisnis utama
Identifikasi pemakaian TI di organisasi
Pemakaian TI di organisasi Identifikasi sumber daya Daftar Sumber daya
Daftar resiko dan hasil analisis
Analisis dampak resiko terhadap proses bisnis utama & kritikal
Daftar resiko dan dampaknya
Pemilihan Strategi
Daftar resiko dan
dampaknya Identifikasi strategi
Strategi pencegahan dan pemulihan Pemakaian TI dalam
organisasi Analisis strategi yang sesuai dengan kondisi organisasi Daftar sumber daya
Pembuatan Perencanaan
Strategi pemulihan berdasarkan resiko
Pendokumentasian
perencanaan Dokumentasi BCP Daftar resiko dan
dampaknya Daftar sumber daya
Pengujian dan
Perawatan Dokumentasi BCP
Pembuatan metode pengujian
Hasil pengujian data Pengujian data
Pembuatan jadwal & petunjuk perawatan serta pelatihan
Jadwal & petunjuk perawatan dan pelatihan
Hubungan timbal balik tahapan pembangunan BCP:
INISIASI PROYEK PENILAIAN RESIKO ANALISIS DAMPAK
BISNIS PEMILIHAN STRATEGI PERENCANAANPEMBUATAN PENGUJIAN DAN PERAWATAN
4. Implementasi.
Struktur Organisasi Perusahaan :
Proses Bisnis PT. LAPI ITB :
Penggambaran Fungsi Bisnis Kegiatan Mengikuti Lelang : KEMITRAAN KOMERSIAL DI BIDANG PELATIHAN KEMITRAAN KOMERSIAL DI BIDANG KONSULTANSI KEMITRAAN KOMERSIAL DI BIDANG TEKNOLOGI TEPAT GUNA PROSES MANAJEMEN SUMBERDAYA
PROSES PENGUKURAN, ANALISIS & PERBAIKAN
PROSES REALISASI PRODUK
PROSES TANGGUNG JAWAB MANAJEMEN
MARGIN (JASA) KEG IA TA N PEN DU KU NG KEG IA TA N UT AM A
Mengikuti Kegiatan Lelang
PA/KPA PA/KPA PENYEDIA PENYEDIA SPSE SPSE ULP ULP Pengumuman Lelang Login Proses Tanya Jawab Login Bertanya dan meminta penjelasan Membuat Pengumuman Lelang
Susun & Unggah Dokumen Penawaran Mendaftar & Unduh
Dokumen Pengadaan Memberikan Penjelasan Username & password benar ? Mulai Mulai Ya Tidak Username & password benar ? Ya Tidak Pengumuman Lelang Dokumen Lelang Daftar Pertanyaan Daftar Penjelasan Daftar Penjelasan Dokumen Penawaran Evaluasi Penawaran Evaluasi dokumen kualifikasi Daftar Peserta yang lulus Pengumuman
Lelang Lihat Pengumuman
Lulus ? Tidak Selesai
Ya Persiapan Pembuktian Kualifikasi Dokumen Kualifikasi
Daftar Pemenang & Cadangan Pemenang Lelang Pengumuman Pemenang Lelang Melihat Pengumuman Pemenang Melakukan Sanggah ? Tidak Selesai
Ya Daftar Sanggahan Peserta Evaluasi Sanggahan Peserta Memerintahkan untuk Menghentikan Proses Lelang Daftar Sanggahan Menerima Tembusan Sanggah Banding
Daftar Pemenang & Cadangan Pemenang Lelang setelah masa sanggah Menerima Sanggahan Peserta ? Ya Tidak Selesai Membuat Surat Penunjukan Penyedia Barang/ Jasa Klarifikasi Teknis & Negosiasi Harga
4 Penggambaran Fungsi Bisnis Kegiatan Pelaksanaan Pekerjaan :
Penggambaran Fungsi Bisnis Kegiatan Penagihan Pekerjaan :
Pelaksanaan Pekerjaan
DEPARTEMEN SMKK3L
DEPARTEMEN SMKK3L TIM PELAKSANA PEKERJAANTIM PELAKSANA PEKERJAAN
DEPARTEMEN PENGEMBANGAN USAHA DEPARTEMEN PENGEMBANGAN USAHA ULP ULP Menerbitkan Berita Acara Serah Terima Pekerjaan (BAST) a b Menerbitkan Dokumen Kontrak Meminta ttd ke Pimpinan Menerbitkan dan Menyerahkan Surat Perintah Mulai Kerja (SPMK) Melaksanakan Pekerjaan Menyerahkan Hasil Pekerjaan Dokumen Kontrak ttd 2 pihak Dokumen Kontrak ttd 2 pihak Rangkap ke-1 Dokumen Kontrak ttd 2 pihak Rangkap ke-2 SPMK SPMK Arsip SPMK Hasil Pekerjaan (laporan pekerjaan) Salinan Laporan Pekerjaan Hasil Pekerjaan (laporan pekerjaan) Dokumen Kontrak ttd 1 pihak
BAST ttd 1 pihak Meminta ttd ke Pimpinan BAST ttd 2 pihak Rangkap ke-2 BAST ttd 2 pihak Rangkap ke-1 BAST ttd 2 pihak BAST ttd 2 pihak Penagihan PELANGGAN PELANGGAN DEPARTEMEN KEUANGAN DEPARTEMEN KEUANGAN DEPARTEMEN PENGEMBANGAN USAHA DEPARTEMEN PENGEMBANGAN USAHA Periksa Kelengkapan sbg syarat membuat invoice Permohonan Pembuatan Invoice
Lengkap & Memenuhi Syarat ? Melakukan Pembayaran Pekerjaan Ya Memeriksa Pembayaran b Lengkap ? Tidak Membuat Invoice Ya Periksa Kelengkapan invoice S o f t c o p y I n v o ic e Hardcopy Invoice Daftar Permohonan Tidak Bukti Pembayaran Masuk ? c Tidak Uang Masuk Ya
5 Penggambaran Fungsi Bisnis Kegiatan Pembayaran Pekerjaan kepada Pelaksana Pekerjaan :
Analisa Dampak Bisnis, dimana proses bisnis utama yang memiliki tingkat kritikal
“mission-critical” menjadi fokus utama pemulihan.
No Fungsi Bisnis Proses Bisnis Tingkat Kritikal
1 Tanggung Jawab, wewenang, dan komunikasi Komunikasi Mission-critical
2 Pengelolaan Keuangan Pengelolaan
Invoice Mission-critical
3 Pengelolaan Keuangan Uang Masuk Pengelolaan Mission-critical
No Fungsi Bisnis Proses Bisnis Tingkat Kritikal
4 Pengelolaan Keuangan
Pengelolaan Pengeluaran Uang
Mission-critical
5 Tender Pendaftaran Mission-critical
6 Tender Prakualifikasi Mission-critical
7 Tender Penyusunan
Proposal Mission-critical
8 Pelaksanaan Proyek & Penyerahan Laporan Manajemen
Proyek Mission-critical
Resiko yang mengancam kelangsungan bisnis organisasi bisa dikurangi dengan menerapkan strategi mitigasi resiko. Ada 4 (empat) strategi yang dapat dipilih dan diterapkan dalam organisasi, diantaranya :
1. Risk Acceptance/Menerima Resiko. Strategi ini tidak benar-benar bagian dari strategi mitigasi karena dengan menerima resiko tidak akan mengurangi efek dari resiko tersebut. Namun penerimaan resiko merupakan bagian
dari manajemen resiko. Strategi ini
merupakan strategi dengan biaya pengelolaan yang rendah, namun akan memakan biaya pemulihan yang tinggi setelah resiko terjadi. 2. Risk Avoidance/Menghindari Resiko. Strategi
ini kebalikan dari strategi risk acceptance, dimana strategi ini dapat menekan resiko sampai ke titik terendah dengan biaya pengelolaan yang sangat tinggi, namun biaya
pemulihannya rendah. Strategi yang
dilakukan adalah dengan mematikan sistem yang memiliki nilai kritikal tinggi. Bisa juga dengan memindahkan sistem tersebut ke tempat yang jauh dari resiko.
3. Risk Limitation/Pembatasan Resiko. Strategi ini merupakan strategi yang paling umum digunakan oleh para pelaku bisnis dimana strategi yang dilakukan diantaranya dengan cara melakukan berapa tindakan untuk membatasi terjadinya suatu resiko. Contohnya dengan melakukan backup harian dari data bisnis yang memiliki nilai kritikal yang cukup tinggi.
4. Risk Transference/Pengalihan Resiko. Strategi ini dilakukan dengan cara mengalihkan resiko ke pihak lain dan sudah jelas pengalihan resiko ini berhubungan dengan pengeluaran biaya. Salah satu contoh umum adalah asuransi.
Setelah melihat 4 (empat) strategi di atas serta setelah mempertimbangkan resiko, kebutuhan, kondisi serta kemampuan PT. LAPI ITB, maka Pembayaran Pekerjaan ke Tenaga Ahli/Tim Pelaksana Pekerjaan
PEMIMPIN PROYEK/TIM PELAKSANA PEKERJAAN
PEMIMPIN PROYEK/TIM PELAKSANA PEKERJAAN
DEPARTEMEN KEUANGAN
DEPARTEMEN KEUANGAN DEPARTEMEN
PENGEMBANGAN USAHA
DEPARTEMEN PENGEMBANGAN USAHA
c
Membuat Form SPPU
Lengkap ?
Melakukan Pembayaran Ya
Tidak
Periksa Uang Masuk
Selesai Ya Menyerahkan Form
SPPU ke Pemimpin Proyek
Mengisi Form SPPU
SPPU yang sudah diisi Periksa SPPU
Bukti Pembayaran Form SPPU (Surat Perintah Pengeluaran
Uang)
Masuk ? Tidak Menyerahkan SPPU
6 strategi yang akan digunakan adalah risk limitation dan risk transference. Dimana dalam strategi ini
akan dilakukan pemulihan dan pencegahan
sederhana. Dalam kaitannya dengan proses bisnis PT. LAPI ITB, langkah yang bisa dilakukan misalnya dengan memasang firewall untuk menjaga agar jaringan tetap aman, backup data secara rutin dan terjadwal, berlatih tata cara penanganan kebakaran, dsb. Sedangkan untuk risk transference akan digunakan asuransi (dengan pertimbangan).
5. Kesimpulan dan Saran.
Kesimpulan :
1. Pembangunan BCP yang telah dilakukan menghasilkan prosedur pemulihan secara terpadu yang dituangkan dalam dokumen
Business Continuity Plan seperti tertuang
dalam lampiran BCP.1.
2. Prosedur yang dimiliki PT. LAPI ITB dalam menghadapi keadaan darurat tidak hanya
berupa prosedur tanggap darurat saja,
melainkan satu prosedur baru berupa prosedur pemulihan setelah bencana yang dituangkan dalam dokumen Business Continuity Plan seperti tertera pada lampiran BCP.1.
Saran :
1. BCP yang telah disusun dilengkapi dan diperbaharui oleh PT. LAPI ITB mengikuti perubahan-perubahan yang mungkin terjadi di PT. LAPI ITB.
2. Agar BCP yang telah disusun lebih sempurna,
perlu dilakukan re-assessment oleh ahli-ahli
professional yang berpengalaman dalam bidang pembangunan BCP.
Daftar Pustaka :
1. James C. Barnes. 2001. A Guide to Business Continuity Planning. John Wiley & son, Ltd. 2. Andrew Hiles. 2007. The Definitive Handbook
of Business Continuity Management. John Wiley & Sons Ltd.
3. Susan Snedaker. 2007. Business Continuity Planning and Disaster Recovery Planning for IT Professional. Syngress Publishing Inc. 4. Michael Gallagher. 2003. Business Continuity
Management. How to protect your company from danger. Prentice Hall.
5. Kenneth L. Fulmer. 2005. Business Continuity Planning : A Step by Step Guide with Planning Forms. Rothstein Associates Inc.
6. Virginia Cerullo & Michael J. Cerullo. 2004.
Business Continuity Planning : A
Comprehensive Approach.
7. Chip Nickollet, MBA, PMP. 2001. Disaster Recovery White Papers.
8. SANS Institute. 2002. Introduction to Business Continuity planning.
9. Mariane Swanson. 2002. Contingency
Planning Guide for Information Technology System (NIST Special Publication 800-34) 10. Ardhian Agung Yulianto dkk. 2009. Analisis
dan Desain Sistem Informasi
11. http://www.businessdictionary.com, diakses tanggal 30 Agustus 2014, pukul 13.00 WIB. 12. Thomas H. Davenport. 1993. Process Innovation: Reengineering Work Through Information Technology. Harvard Business School Press.
13. Disaster Recovery Journal Glossary. 14. Business Recovery Journal Glossary. 15. http://www.iso-22301.blogspot.com, diakses
pada tanggal 2 September 2014, pukul 23.20 WIB.
16. http://www.jurnal-sdm.blogspot.com, diakses pada tanggal 2 September 2014, pukul 23.20 WIB.
