RANCANGAN MODEL KUANTIFIKASI MANFAAT SI/TI
BUSINESS CONTINUITY MANAGEMENT DARI SISTEM
PEMBAYARAN MENGGUNAKAN TABEL MANFAAT BISNIS
SI/TI GENERIK DAN SYSTEM DYNAMICS : STUDI KASUS PT.
BANK XYZ
KARYA AKHIR
KRIS SATRIA PANDU DEWANTARA PUTRA
1106144992
FAKULTAS ILMU KOMPUTER
PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
RANCANGAN MODEL KUANTIFIKASI MANFAAT SI/TI
BUSINESS CONTINUITY MANAGEMENT DARI SISTEM
PEMBAYARAN MENGGUNAKAN TABEL MANFAAT BISNIS
SI/TI GENERIK DAN SYSTEM DYNAMICS : STUDI KASUS PT.
BANK XYZ
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi
KRIS SATRIA PANDU DEWANTARA PUTRA
1106144992
FAKULTAS ILMU KOMPUTER
PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI
JAKARTA
ii
Karya Akhir ini adalah hasil karya saya sendiri, dan semua sumber baik yang dikutip maupun dirujuk
telah saya nyatakan dengan benar.
Nama : Kris Satria Pandu Dewantara Putra
NPM : 1106144992
Tanda tangan : ………
iv
Puji syukur saya panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan kasih karunia-Nya, saya dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan Karya Akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada:
1. Bapak Dr. Ir. Benny Ranti, MSc. selaku dosen pembimbing yang telah menyediakan waktu, tenaga dan pikiran untuk mengarahkan saya dalam penyusunan Karya Akhir ini;
2. Bapak Widijanto S. Nugroho, Ph.D dan Bob Hardian, Ph.D selaku dosen penguji yang telah menguji dan memberi masukan perbaikan Karya Akhir ini;
3. PT. Bank XYZ dan jajaran manajemen yang telah membantu dalam usaha memperoleh data yang perlukan dalam menyelesaikan Karya Akhir ini;
4. Orang tua dan keluarga yang telah memberikan bantuan dukungan material dan moral;
5. Sahabat-sahabat yang telah banyak membantu saya dalam menyelesaikan karya akhir ini;
6. Dosen pengajar dan staf MTI UI yang telah berbagi ilmu dan bantuan kepada saya;
7. Rekan-rekan seperjuangan, sahabat MTI UI 2011FB, yang telah menghadirkan keluarga baru bagi saya saat di perkuliahan;
v
Akhir kata, saya berharap Tuhan Yang Maha Esa berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga Karya Akhir ini bisa menjadi berkat bagi banyak pihak dan membawa manfaat bagi pengembangan ilmu.
Salemba, Juli 2013
vi
Sebagai sivitas akademik Universitas Indonesia, saya yang bertanda tangan di bawah ini:
Nama : Kris Satria Pandu Dewantara Putra
NPM : 1106144992
Program Studi : Magister Teknologi Informasi
Fakultas : Ilmu Komputer
Jenis Karya : Karya Akhir
Demi pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada Universitas Indonesia Hak Bebas Royalti Nonekslusif (Non-exclusive Royalty-Free Right) atas karya ilmiah saya yang berjudul :
“Rancangan Model Kuantifikasi Manfaat SI/TI Business Continuity Management dari Sistem Pembayaran Menggunakan Tabel Manfaat BisnisSI/TI Generik dan System Dynamics : Studi Kasus PT. Bank XYZ” Beserta perangkat yang ada (jika diperlukan). Dengan Hak Bebas Royalti Non-ekskutif ini Universitas Indonesia berhak menyimpan, mengalihmedia/formatkan, mengelola dalam bentuk pangkalan data (database). Merawat, dan mempublikasikan Karya Akhir saya tanpa meminta izin dari saya selama tetap mencantumkan saya sebagai penulis/pencipta dan sebagai pemilik Hak Cipta.
Demikian pernyataan ini saya buat dengan sebenarnya.
Dibuat di : JAKARTA
Pada tanggal : 9 Juli 2013 Yang menyatakan
vii Universitas Indonesia Nama : Kris Satria Pandu Dewantara Putra
Program Studi : Magister Teknologi Informasi
Judul : Rancangan Model Kuantifikasi Manfaat SI/TI Business
Continuity Management dari Sistem Pembayaran Menggunakan Tabel Manfaat Bisnis SI/TI Generik dan System
Dynamics : Studi Kasus PT. Bank XYZ
Penerapan BCM (Business Continuity Management) sebagai salah satu kebijakan Bank Indonesia mengharuskan setiap bank setidaknya memiliki BCP (Business
Continuity Plan), DRP (Disaster Recovery Plan) dan DRC (Disaster Recovery
Center). Keberlangsungan BCM di perusahaan membutuhkan biaya yang tidak
sedikit baik di sisi TI (Teknologi Informasi) maupun operasional BCM. Kesulitan pengukuran manfaat bisnis yang diperoleh atas investasi dalam menerapkan BCM merupakan salah satu permasalahan yang muncul.
Salah satu tahapan BCM adalah Risk Asessment dan Business Impact Analysis yang menitikberatkan pada identifikasi kemungkinan risiko yang muncul pada aset atau proses bisnis di perusahaan dan dampaknya kepada perusahaan. Tabel manfaat bisnis SI/TI generik digunakan untuk melengkapi proses pada tahapan ini dengan menambahkan aspek potensi manfaat yang timbul dari mitigasi terhadap aset atau proses yang berisiko. System Dynamics digunakan untuk melihat keterkaitan sebab akibat antar manfaat yang diidentifikasi. Keterkaitan ini digunakan sebagai dasar penentuan kelompok manfaat untuk memudahkan proses kuantifikasi.
Penelitian ini membuat model kuantifikasi manfaat investasi SI/TI dari BCM di PT. Bank XYZ dengan menggunakan data dari proses bisnis sistem pembayaran atau kiriman uang antar bank yang dilakukan dengan menggunakan Real Time
Gross Settlement (RTGS) dan Sistem Kliring Nasional (SKN). Total kuantifikasi
manfaat yang didapatkan untuk proses bisnis sistem pembayaran RTGS dan SKN adalah Rp1.338.503.180.448,19,-. Untuk mendapatkan total manfaat dari investasi SI/TI implementasi BCM, proses identifikasi dan kuantifikasi dengan menggunakan model ini harus dilakukan pada semua aset atau proses bisnis yang dikelola dalam implementasi BCM di perusahaan. Hasil kuantifikasi potensi manfaat bisnis dari rencana mitigasi risiko terhadap aset atau proses bisnis pada tahap Business Impact Analysis digunakan sebagai acuan untuk menentukan risiko dari aset atau proses bisnis mana yang diprioritaskan untuk dikelola.
Kata Kunci : Business Continuity Management, Manfaat Bisnis SI/TI Generik, System Dynamics
viii Universitas Indonesia Name : Kris Satria Pandu Dewantara Putra
Program Study : Master of Information Technology
Title : Quantification Model IS/IT Value of Business Continuity Management in Payment System Using Generic IS/IT Business Value’s Table and System Dynamics : Case Study PT. Bank XYZ
Implementing BCM (Business Continuity Management) as one of Bank Indonesia’s policy requires banks least to have BCP (Business Continuity Plan), DRP (Disaster Recovery Plan) and DRC (Disaster Recovery Center). BCM spend much cost in IT (Information Technology)’s area and operational’s cost. Difficulty of measuring the business benefits earned by investment in implementing BCM is one of the problems that arise.
One of BCM’s stage is Risk Assessment and Business Impact Analysis, which focuses on the identification of possible risks arising on the assets or business processes and its impact to the company. Generic IS/IT Business Value used to complete the process at this stage by adding potential benefits arising through risk mitigation to assets and process. System Dynamics is used to identify a causal relationship between the identified benefits. This linkage is used as a basis for determining the benefit of a group that is used in quantification process.
This study developed model to quantify benefits of the IS / IT investment’s of BCM in PT. Bank XYZ by using bank payment’s data and business process in Real Time Gross Settlement (RTGS) and Sistem Kliring Nasional (SKN). Total benefits obtained for payment system’s business process in RTGS and SKN is Rp 1.338.503.180.448,19,-.To get the total benefit from the investment of IS / IT implementation of the BCM, the identification and quantification by using this model should be performed on all of the assets or business processes are managed within the BCM implementation in company. Results quantification of potential business benefits of the risk mitigation plans to assets or business processes in the phase of Business Impact Analysis is used as a reference for determining the risk of an asset or business processes which are prioritized to be managed.
Keyword : Business Continuity Management, Generic IS/IT Business Value, System Dynamics
ix Universitas Indonesia
HALAMAN JUDUL ... i
HALAMAN PERNYATAAN ORISINALITAS ... ii
HALAMAN PENGESAHAN ... iii
KATA PENGANTAR DAN UCAPAN TERIMAKASIH ... iv
HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS ... vi
ABSTRAKSI ... vii
ABSTRACT ... viii
DAFTAR ISI ... ix
DAFTAR GAMBAR ... xi
DAFTAR TABEL ... xii
BAB 1 PENDAHULUAN ... 1 1.1. Latar Belakang ... 1 1.2. Perumusan Masalah ... 2 1.2.1. Teknologi ... 3 1.2.2. Organisasi ... 4 1.2.3. Prosedur ... 4 1.2.4. Manusia ... 5 1.2.5. Angggaran ... 5
1.3. Studi Literatur Penelitian Sebelumnya... 6
1.4. Kontribusi Penelitian ... 8
1.5. Ruang Lingkup Penelitian ... 8
1.6. Tujuan dan Manfaat Penelitian ... 9
1.6.1. Tujuan Penelitian ... 9
1.6.2. Manfaat Penelitian ... 9
1.7. Sistematika Penulisan ... 10
BAB 2 TINJAUAN PUSTAKA ... 12
2.1. Business Continuity Management ... 12
2.1.1. Pengertian Business Continuity Management ... 12
2.1.2. Tahapan Business Continuity Management ... 13
2.1.3. Business Impact Analysis ... 16
2.1.4. Kategori Tingkat Kritis ... 17
2.1.5. Recovery Time Requirements ... 18
2.2. Manfaat dan Kuantifikasi Bisnis ... 20
2.2.1. Manfaat Bisnis SI/TI Generik ... 20
2.3. System Dynamics ... 23
BAB 3 METODOLOGI PENELITIAN ... 25
3.1. Kerangka Teori Penelitian... 25
3.2. Metodologi Penelitian ... 26
3.3. Profil Organisasi ... 30
3.4. Struktur Organisasi ... 30
3.4.1. Divisi Teknologi Informasi ... 30
3.4.2. Satuan Keamanan Informasi ... 30
x Universitas Indonesia
3.5.2. Misi ... 32
3.6. Program Strategis ... 32
3.7. Proses Bisnis Kritis ... 32
3.7.1. BI-RTGS ... 32
3.7.2. SKNBI ... 33
3.8. Kebijakan dan Ketentuan Business Continuity Plan ... 36
3.9. Infrastruktur Teknologi Informasi... 37
BAB 4 ANALISIS DAN PEMBAHASAN ... 39
4.1. Pembuatan Model Kuantifikasi Manfaat BCM... 39
4.2. Penentuan Proses Bisnis Kritis ... 41
4.3. Penentuan Key Performance Indicator... 44
4.4. Identifikasi Manfaat Bisnis ... 46
4.4.1. Analisis Manfaat Investasi TI dengan Tabel Manfaat SI/TI Generik ... 46
4.4.2. Permodelan Hubungan Sebab Akibat Antar Manfaat ... 50
4.4.3. Tahapan Permodelan ... 50
4.4.4. Causal Loop Diagram Manfaat Investasi BCM ... 51
4.4.5. Hasil Permodelan Manfaat ... 54
4.4.6. Kuantifikasi Manfaat Bisnis Peningkatan Pendapatan karena Pengurangan Biaya KegagalanLayanan ... 55
4.4.7. Kuantifikasi Manfaat Bisnis Peningkatan Pendapatan karena Ketersediaan Layanan ... 58
4.4.8. Kuantifikasi Manfaat Bisnis Peningkatan Pendapatan karena Kepuasan Pelangggan ... 60
BAB 5 KESIMPULAN DAN SARAN ... 63
5.1. Kesimpulan ... 63 5.2. Saran ... 65 DAFTAR PUSTAKA ... 66 LAMPIRAN 1 ... 68 LAMPIRAN 2 ... 74 LAMPIRAN 3 ... 80 LAMPIRAN 4 ... 86 LAMPIRAN 5 ... 87 LAMPIRAN 6 ... 95
xi Universitas Indonesia
Gambar 1.1 Analisis akar masalah menggunakan diagram Fishbone... 3
Gambar 2.1 Kerangka Business Continuity Management ... 13
Gambar 2.2 Siklus Business Continuity Management ... 15
Gambar 2.3 BCM Planning Methodology ... 16
Gambar 2.4 Critical Recovery Timeframes ... 19
Gambar 2.5 Keseimbangan antara Cost of Disruption dan Cost of Recovery ... 20
Gambar 3.1 Kerangka Teoritis ... 26
Gambar 3.2 Alur Metodologi Penelitian ... 29
Gambar 3.3 Struktur Organisasi terkait BCM... 30
Gambar 3.4 Aliran RTGS keluar ... 34
Gambar 3.5 Aliran RTGS masuk ... 34
Gambar 3.6 Penyerahan Kliring Kredit ... 35
Gambar 3.7 Penyerahan Kliring Debet ... 35
Gambar 3.8 Infrastruktur Teknologi Informasi ... 38
Gambar 4.1 BCM Planning Methodology ... 39
Gambar 4.2 Proses Identifikasi Manfaat BCM ... 41
Gambar 4.3 Keterkaitan Antar SubKategori ... 52
Gambar 4.4 Causal Loop Diagram Hubungan Sebab Akibat Manfaat Investasi BCM ... 53 Gambar 4.5 Cara Perhitungan Total Manfaat Business Continuity Management 61
xii Universitas Indonesia
Tabel 1.1 Identifikasi Masalah ... 2
Tabel 1.2 Perbandingan dengan Penelitian Sebelumnya ... 11
Tabel 2.1Tabel Manfaat Bisnis SI/TI Generik ... 21
Tabel 2.2 Simbol-simbol Causal Loop Diagram ... 24
Tabel 3.1 Komponen BCM ... 25
Tabel 3.2 Critical Business Function (CBF) ... 36
Tabel 4.1 Proses Bisnis Kritis di Bank XYZ ... 41
Tabel 4.2 Grading Impact Pengukuran Risiko ... 43
Tabel 4.3 Grading Likehood Pengukuran Risiko ... 44
Tabel 4.4 Recovery Time Objective (RTO) untuk Bank XYZ ... 45
Tabel 4.5 RTO dan RPO Transaksi RTGS dan SKN ... 45
Tabel 4.6 Hasil Identifikasi Manfaat Bisnis Relevan... 46
Tabel 4.7 Relevansi dan Signifikansi Manfaat Terhadap Proses Bisnis RTGS dan SKN ... 47
Tabel 4.8 Peningkatan pendapatan karena pengurangan biaya kegagalan layanan ... 54
Tabel 4.9 Peningkatan pendapatan karena ketersediaan layanan... 54
Tabel 4.10 Peningkatan pendapatan karena meningkatkan kepuasan pelanggan . 54 Tabel 4.11 Kuantifikasi Risiko untuk Penentuan Proses Bisnis Kritis ... 62
BAB 1
PENDAHULUAN
Bab 1 menjelaskan latar belakang sampai dengan permasalahan yang menghasilkan pertanyaan penelitian. Studi kasus diambil dari PT. Bank XYZ yang berlokasi di Jakarta. Selanjutnya PT. Bank XYZ disebut sebagai Bank XYZ.
1.1. Latar Belakang
Aktivitas perbankan tidak dapat terhindar dari gangguan atau kerusakan baik yang disebabkan oleh alam maupun manusia. Sebagai contoh gangguan dan kerusakan akibat gempa bumi, bom, kebakaran, banjir, power failure, kelalaian manusia, kesalahan teknis, demonstrasi dan huru-hara. Kerusakan yang terjadi akan berdampak pada kegiatan operasional bisnis bank terutama pelayanan kepada nasabah. Selain risiko operasional, tidak adanya penanganan bencana secara khusus akan menyebabkan bank menghadapi risiko reputasi yang berdampak pada menurunnya tingkat kepercayaan nasabah. Hal ini tentu saja berpotensi menurunkan keuntungan finansial yang diperoleh bank.
Untuk meminimalisasi risiko tersebut, Bank Indonesia mengeluarkan Peraturan Bank Indonesia NOMOR: 9/15/PBI/2007 tentang “Penerapan Manajemen Risiko dalam penggunaan Teknologi Informasi oleh Bank Umum”. Bank diharapkan memiliki Business Continuity Management (BCM) yaitu proses manajemen terpadu dan menyeluruh untuk menjamin kegiatan operasional bank agar tetap berfungsi meskipun terjadi gangguan/bencana guna melindungi kepentingan para
stakeholder. Business Continuity Management (selanjutnya disingkat sebagai
BCM) merupakan bagian yang terintegrasi dengan kebijakan manajemen risiko bank secara keseluruhan.
Penerapan BCM mengharuskan bank memiliki Business Continuity Plan(BCP) dan Disaster Recovery Plan (DRP). BCP merupakan dokumen tertulis yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah-langkah pengurangan risiko, penanganan dampak gangguan/bencana dan proses
pemulihan agar kegiatan operasional bank dan pelayanan kepada nasabah tetapdapat berjalan. Rencana tindak tertulis tersebut melibatkan seluruh sumber daya Teknologi Informasi (TI) termasuk sumber daya manusia yang mendukung fungsi bisnis dan kegiatan operasional yang kritikal bagi bank. Disaster Recovery
Plan (DRP) lebih menekankan pada aspek teknologi dengan fokus pada data recovery/restoration plan hingga berfungsinya sistem aplikasi dan infrastruktur TI
yang kritikal. Implementasi BCM umumnya ditindaklanjuti dengan pengadaan pusat pengadaan krisis atau biasa disebut DRC (Disaster Recovery Center).
Bank XYZ sebagai sebagai salah satu institusi perbankan di Indonesia turut serta menerapkan BCM dengan memiliki BCP sebagai kebijakan strategi internal yang tertuang dalam Surat Keputusan 016/SK/DIR/2005. Selain untuk memenuhi syarat penyelenggaraan layanan perbankan yang telah ditetapkan oleh Bank Indonesia, implementasi BCM di Bank XYZ diharapkan mendukung tercapainya strategi bisnis dan mengurangi risiko yang mungkin dihadapi oleh perusahaan.
1.2. Perumusan Masalah
Berdasarkan hasil wawanara dengan manajer operasional (Lampiran 1) di bagian sistem pembayaran dan data temuan audit, proses implementasi BCM Bank XYZ menemui beberapa kendala. Tabel 1.1 merangkum kendala dan masalah yang merupakan gap antara ekspektasi dan kenyataan yang ada di Bank XYZ, khususnya bagian sistem pembayaran.
Tabel 1.1 Identifikasi Masalah (Sumber : wawancara dan observasi)
No Masalah Keterangan
1 Biaya pengadaan dan pemeliharaan infrastruktur TI diseconday operation center yang dianggap sebagai cost center
Anggaran tahunan dan wawancara dengan manajer operasional
2 Infrastruktur, aplikasi dan data di seconday operation center (SOC) belum dikelola dengan baik
Temuan audit dan Laporan tes simulasi BCP Divisi Operasional 2011 dan 2012
No Masalah Keterangan 3 Hasil pengujian simulasi BCP live operation
ditahun 2009 yang dinyatakan belum sesuai rencana.
Hasil evaluasi Pelaksanaan Live Operation
Permasalahan yang muncul di atas berpotensi mengakibatkan implementasi BCM di Bank XYZ tidak maksimal. Untuk mengetahui akar permasalahan yang menyebabkan tidak maksimalnya implementasi BCM dibuatkan analisis sebab-akibat menggunakan diagram Fishbone.
Gambar 1.1 Analisis akar masalah menggunakan diagram Fishbone
1.2.1. Teknologi
1. Aplikasi belum mendukung perpindahan site otomatis.
Tidak semua aplikasi kritis mendukung perpindahan akses secara otomatis ke lokasi operasional cadangan atau Secondary Operation Center (selanjutnya disebut SOC) ketika terjadi gangguan. Oleh karena itu diperlukan prosedur konfigurasi manual untuk memindahkan akses aplikasi dari lokasi operasional utama ke lokasi operasional cadangan.
2. Data di lokasi operasional cadangan atau Secondary Operation Center bukan data terkini.
Data beberapa aplikasi di lokasi cadangan tidak di update secara realtime.
manual dengan periode update tertentu sesuai kebutuhan. Hal ini terkait dengan keterbatasan kapasitas penyimpanan data (storage) yang bersifat
mirror.
3. Infrastruktur di lokasi operasional cadangan atau Secondary Operation
Center memiliki kapasitas dibawah site utama.
Meskipun kapasitas DRC identik dengan Data Center utama, infrastruktur di site operasional cadangan atau Secondary Operation Center tidak identik dengan site utama. Hal ini terlihat dari spesifikasi perangkat keras dan jumlah workstation yang dipersiapkan di site operasional cadangan tidak sama dan memiliki kapasitas dibawah site utama.
1.2.2. Organisasi
1. Pembagian tugas dan tanggung jawab pelaksanaan simulasi bencana yang belum detail.
Belum jelasnya kewenangan dalam penanganan bencana. Instrumen dokumen mengenai BCP/DRP di unit kerja belum dikelola dengan baik. (Belum ada terdapat di Portal Perusahaan).
2. Temuan audit mengenai dokumentasi BCP/DRP tidak ditindaklanjuti. Temuan auditor internal ataupun eksternal mengenai kesiapan BCP/DRP belum ditindaklanjuti dengan maksimal. Hal ini ditandai dengan masih berulangnya temuan mengenai BCP/DRP di periode audit berikutnya.
1.2.3. Prosedur
1. Kurangnya sosialisasi pelaksanaan prosedur pengelolaan bencana.
Pemahaman penanganan bencana hanya disampaikan kepada beberapa karyawan dengan periode sosialisasi yang kurang intens yaitu beberapa waktu menjelang simulasi. Dokumentasi mengenai BCP/DRP belum dapat diakses dengan mudah.
2. Belum ada checklist pelaksanaan pengujian dokumen BCP secara detail. Pelaksanaan uji coba BCP/DRP sering tidak disertai daftar pelaksanaan
yang dipersiapkan sesuai dengan prosedur yang disepakati. Cheklist yang disediakan lebih kepada daftar infrastruktur dan PIC pelaksanaan. Bukan daftar pekerjaan yang harus dilakukan oleh PIC.
1.2.4. Manusia
1. Karyawan kurang memiliki pengetahuan mengenai penanganan bencana. Pihak yang memiliki peran dalam pelaksanaan BCP/DRP di unit kerja belum paham terhadap tugas dan tanggung jawabnya.
2. Kesadaran karyawan terhadap simulasi bencana kurang.
Hal ini terlihat dari ketidakseriusan dalam menjalankan simulasi bencana dan belum berhasilnya prosedur live operation di Secondary Operation
Center.
3. Karyawan kurang mendapatkan pelatihan penanganan bencana.
Minimnya pelatihan dan simulasi bencana menyebabkan petugas yang diberi tugas ketika terjadi bencana tidak paham terhadap tugasnya.
1.2.5. Angggaran
1. Belum ada kajian terhadap manfaat inventasi
Belum adanya kajian manfaat investasi implementasi BCM secara detail khususnya yang dilakukan oleh unit kerja yang menangani sistem pembayaran. Kajian BCMmasih dilakukan terhadap kemungkinan kerugian yang ditanggung perusahaan ketika terjadi bencana.
2. Belum ada evaluasi laporan anggaran BCM
Sebagai informasi saat ini anggaran penyelenggaraan BCM dikelola oleh 3 divisi. Anggaran proses Business Impact Analysis, pembuatan BCP dan operasional BCM dikelola oleh Satuan Keamanan Informasi XYZ. Anggaran pembuatan dan pemeliharaan DRP/DRC dikelola oleh Divisi Teknologi Informasi XYZ. Anggaran untuk pengadaan infrastruktur dilokasi operasional cadangan atau (SOC) Secondary Operation Center dikelola oleh masing-masing unit bisnis yang aset atau proses bisnisnya
termasuk dalam kategori kritis dan masuk dalam ruang lingkup BCM. Hal ini juga berlaku unit kerja yang menangani sistem pembayaran yang digunakan untuk studi kasus penelitian ini. Implementasi BCM berkaitan dengan investasi TI dan non TI. Manajamen menganggap pengeluaran tahunan dalam rangka operasional BCM sebagai biaya operasional.
Selanjutnya penelitian difokuskan hanya pada salah satu penyebab masalah tidak maksimalnya implementasi BCM yaitu mengenai anggaran. Secara detail akan diteliti bagaimana menilai manfaat bisnis dari investasi SI/TI dalam implementasi BCM di perusahaan. Oleh karena ruang lingkup BCM yang luas dan terbatasnya data yang diperbolehkan oleh tempat studi kasus, maka penelitian hanya dibatasi pada perancangan model kuantifikasi manfaat dengan contoh kuantifikasi di lingkunganoperasional / back office khususnya di Divisi Operasional Bank XYZ. Divisi ini dipilih karena dianggap mewakili kegiatan perbankan yang bersifat kritis yaitu sistem pembayaran antarbank. System Dynamics digunakan untuk melihat hubungan sebab akibat antar manfaat yang teridentifikasi agar tidak terjadi kuantifikasi manfaat yang berulang. Dengan demikian pertanyaan yang ingin dijawab dalam penelitian ini adalah Bagaimana mengevaluasi manfaat investasi penerapan Business Continuity Management Sistem Pembayaran di Divisi Operasional PT. Bank XYZ?
1.3. Studi Literatur Penelitian Sebelumnya
Beberapa penelitian sebelumnya yang berkaitan dengan Nilai Manfaat Investasi Teknologi Informasi antara lain :
1. Analisis Kelayakan Ekonomis Cloud Computing Pada Lembaga Keuangan Mikro di Indonesia dengan Metode Ranti’s Generic IS/IT Business Value dan Economic Value Added. Studi Kasus pada Bank Perkreditan Rakyat di Jakarta (Darmadji, 2011)
Penelitian ini melakukan analisis kelayakan ekonomis implemenasi cloud
computing yang dilakukan dengan mengidentifikasi dan mengkuantifikasi
untuk melengkapi proses kuantifikasi dilakukan kajian finansial dengan menggunakan metode Economic Value Added (EVA). Keluaran dari penelitian ini adalah pemetaan manfaat dan rekomendasi kelayakan investasi
cloud computing di perusahaan tempat studi kasus.
2. Analisis Manfaat Investasi SAP dengan menggunakan Ranti’s Generic IS/IT Business Value dan System Dynamics. Studi Kasus : PT. PINDAD (Maulana, 2012)
Penelitian ini mengidentifikasi nilai manfaat dari investasi SAP dan memodelkan hubungan sebab akibat antar manfaat yang sudah teridentifikasi menggunakan Tabel Manfaat Bisnis SI/TI Generik. Hasilnya kemudian dikuantifikasi untuk memperoleh nilai dari manfaat tersebut. Permodelan hubungan sebab akibat antar manfaat investasi SAP yang teridentifikasi menggunakan permodelan System Dynamics. Keluaran dari penelitian ini adalah kuantifikasi manfaat investasi SAP berdasarkan pengelompokan manfaat investasi yang didapat dari permodelan hubungan sebab akibat antar manfaat investasi oleh System Dynamics.
3. Evaluasi Investasi Teknologi Informasi dengan Ranti’s Generic IS/IT Business Value dan Economic Value Added. Studi Kasus : Pembuatan Data Center PT Bank XYZ (Indriasworo, 2011)
Penelitian ini bertujuan membuat pemetaaan investasi TI mengenai pembuatan Data Center di bank tempat studi kasus. Di dalamnya dilakukan evaluasi finansial untuk mengidentifikasi apakah investasi tersebut berdampak pada peningkatan performa perusahaan. Yang menarik adalah penggunaan metrik TI hasil penelitian Toha Antasari (Antasari, 2011) untuk mempermudah identifikasi manfaat investasi Data Center di subkategori Tabel Manfaat Bisnis SI/TI Generik. Keluaran dari penelitian ini adalah kuantifikasi manfaat investasi pembuatan Data Center berdasarkan pengelompokan manfaat investasi yang didapat setelah dikategorikan berdasarkan definisi kemampuan Data Center (Availability, Capacity,
4. Kajian Literatur Identifikasi dan Klasifikasi Metriks TI yang digunakaan untuk Mengkuantifikasi Nilai Manfaat SI/TI Generik Ranti (Antasari, 2011)
Penelitian ini merupakan studi literatur mengenai metrik yang digunakan untuk mengidentifikasi dan mengkuantifikasi manfaat SI/TI berdasarkan Tabel Manfaat Bisnis SI/TI Generik. Penelitian Antasari menggunakan data yang berasal dari penelitian-penelitian sebelumnya yang menggunakan Tabel Manfaat Bisnis SI/TI Generik. Berdasarkan kesamaan manfaat, metrik yang digunakan beberapa penelitian tersebut dan dari beberapa studi literatur, dikembangkan metrik yang bersifat generik dan memudahkan dalam proses identifikasi manfaat di subkategori Tabel Manfaat Bisnis SI/TI Generik.
1.4. Kontribusi Penelitian
Tabel 1.2 menjelaskan perbedaan penelitian penulis dengan penelitian sebelumnya sehingga diharapkan menjadi kontribusi penulis dalam penelitian ini.
1.5. Ruang Lingkup Penelitian
Penelitian ini memiliki ruang lingkup pembahasan diantaranya
1. Penelitian ini tidak membahas rancangan komponen penyusun Business
Continuity Management seperti Business Continuity Plan (BCP), Disaster Recovery Plan (DRP) dan Disaster Recovery Center (DRC).
2. Penelitian tidak membahas infrastruktur Teknologi Informasi secara detail yang meliputi Data Center dan Disaster Recovery Center (DRC) yang dibutuhkan dalam penyelenggaraan Business Continuity Management (BCM).
3. Penelitian tidak membahas mengenai infrastruktur Secondary Operation
Center sebagai bagian dari Business Continuity Management diperusahaan
tempat studi kasus.
4. Penelitian tidak membahas investasi dan nilai finansial dalam rangka penerapan Business Continuity Management di perusahaan tempat studi kasus
baik masa persiapan maupun pada saat pelaksanaannya.
5. Data penelitian diambil pada salah satu unit bisnis yang bersifat kritis di Bank XYZ yaitu Divisi Operasional Bank XYZ yang bertanggungjawab terhadap pelaksanaan kiriman uang antar bank atau Real Time Gross Settlement (RTGS) dan Sistem Kliring Nasional (SKN).
6. Tempat studi kasus penelitan dilaksanakan telah memiliki BCMS yang menggunakan standar SS:507:2008 dan SS:540:2008. Dengan demikian proses Risk Assesment dan hasil Bisnis Impact Analysis yang digunakan mengacu pada standar yang digunakan oleh perusahaan. Oleh karena itu penelitan ini tidak membahas mengenai teknik assessment, rencana mitigasi, sertifikasi, Organizational Environment dan Change Management yang berkaitan dengan proses BCM diperusahaan tempat studi kasus.
7. Penelitian ini mengunakan System Dynamics untuk melihat hubungan sebab
akibat antar manfaat yang teridentifikasi pada Tabel Manfaat Bisnis SI/TI Generik agar tidak terjadi kuantifikasi manfaat yang berulang.
1.6. Tujuan dan Manfaat Penelitian
Sub bab ini akan menjelaskan mengenai tujuan dan manfaat dari penelitian yang dilakukan.
1.6.1. Tujuan Penelitian
Berdasarkan latar belakang dan identifikasi masalah yang telah diuraikan sebelumnya, maka tujuan penelitian ini adalah menghasilkan model untuk mengkuantifikasi manfaat investasi SI/TI pada implementasi BCM di organisasi.
1.6.2. Manfaat Penelitian
Adapun manfaat penelitian ini adalah sebagai berikut :
1. Referensi yang dapat melengkapi pengetahuan di bidang Business Continuity
Management khususnya pada tahap penentuan nilai dari proses dan aset yang
2. Referensi bagi organisasi dalam melakukan kajian manfaat investasi SI/TI dalam mengembangkan secondary site ataupun pusat pemulihan bencana (disaster recovery center).
1.7. Sistematika Penulisan
Sistematika pembahasan masalah dalam penelitian ini dibagi ke dalam 5 bab dengan penjelasan mengenai cakupan pembahasan masing-masing bab sebagai berikut:
1. BAB 1 Pendahuluan
Bab 1 terdiri dari latar belakang penelitian, perumusan masalah, ruang lingkup penelitian, tujuan dan manfaat penelitian serta sistematika pembahasan penelitian.
2. BAB 2 Tinjauan Pustaka
Bab 2 berisi rangkuman literatur yang digunakan untuk menganalisis tahapan dalam implementasi BCM dan proses evaluasi manfaat bisnis SI/TI menggunakan Tabel Manfaat Bisnis SI/TI Generik.
3. BAB 3 Metodologi Penelitian
Pada bab 3 ditulis langkah-langkah yang digunakan untuk menyusun penelitian. Setiap langkah yang ada dirumuskan masukan,keluaran, tujuan dan metode yang digunakan.Bab ini juga menjelaskan secara singkat profil organisasi yang digunakan sebagai studi kasus yaitu PT. Bank XYZ
4. BAB 4 Analisis dan Pembahasan
Bab ini menjelaskan analisis dan pembahasan model yang digunakan untuk mengkuantifikasi manfaat dari BCM. Model yang dibuat kemudian digunakan untuk mengkuantifikasi manfaat BCM dengan mengambil contoh proses bisnis di Sistem Pembayaran.
5. BAB 5 Kesimpulan dan Saran
Bab ini menjelaskan mengenai kesimpulan atas penelitian yang telah dilakukan dan saran untuk penelitian berikutnya.
Tabel 1.2 Perbandingan dengan Penelitian Sebelumnya
(sumber : Karya Akhir Magister Teknologi Informasi Universitas Indonesia)
Peneliti Darmadji (2011) Antasari (2011) Indriasworo (2011) Maulana (2012) Penelitian ini Metode Ranti’s Generic IS/IT
Business Value, EVA Ranti’s Generic IS/IT Business Value Business Value, EVA Ranti’s Generic IS/IT Business Value, System Ranti’s Generic IS/IT Dynamics
Business Impact Analysis, Ranti’s Generic IS/IT Business Value Obyek Penelitian Implementasi Cloud
Computing Studi Literatur Data Center Proyek Implementasi SAP Enterprise Business Continuity Management
Instansi BUMN - - BUMN Swasta
Jenis Industri Perbankan - Perbankan Manufaktur Perbankan
Hasil Akhir Kerangka Acuan Template Metrik
BAB 2
TINJAUAN PUSTAKA
Bab 2 akan menjelaskan landasan teori dan studi literatur yang berkaitan dengan penelitian yaitu Business Continuity Management, Manfaat Bisnis SI/TI Generik. Landasan teori ini akan dijadikan kerangka berfikir dalam melakukan penelitian.
2.1. Business Continuity Management
Kelangsungan bisnis pada saat terjadi bencana merupakan keharusan dan menjadi perhatian bagi organisasi. Oleh karena itu Business Continuity Management menjadi elemen penting bagi organisasi dalam rangka menjaga kelangsungan bisnisnya.
2.1.1. Pengertian Business Continuity Management
Menurut ISO 22301:2012 – Societal Security – Business Continuity Management
Systems -requirements) - clause 3.4, Business Continuity Management (BCM)
adalah “Holistic management process that identifies potential threats to and
organization and the impacts to business operations those threats , if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities”.
Dapat diambil kesimpulan bahwa Business Continuity Management (BCM) merupakan proses persiapan kemungkinan insiden yang terjadi di masa depan yang bisa membahayakan aktivitas utama organisasi dalam jangka pendek maupun panjang. Dalam penerapannya, BCM dalam suatu organisasi tidak dapat melingkupi semua area dan semua kemungkinan risiko yang yang dihadapi organisasi. Untuk itu diperlukan prioritisasi aktivitas terpenting dan memiliki risiko tertinggi dalam organisasi untuk dimasukkan dalam BCM. Gambar 2.1 menggambarkan kerangka lingkup BCM.
Gambar 2.1 Kerangka Business Continuity Management (Sumber :Business Continuity Institute, 2008)
BCM menyediakan kerangka strategis dan operasional untuk menilai, mendesain ulang cara organisasi dalam menyediakan produk atau layanan sementara dalam rangka meningkatkan ketahanan terhadap gangguan dan interupsi. BCM membahas mengenai risiko dan merupakan manajemen proses yang memastikan organisasi dapat terus beroperasi ketika terjadi bencana.
2.1.2. Tahapan Business Continuity Management
Mengacu kepada dokumen Good Practice Guidelines The Business Continuity
Institute (Business Continuity Institute, 2008), tahapan pengembangan siklus
Business Continuity Management digambarkan seperti pada Gambar 2.2 dengan
penjelasan sebagai berikut :
1. Tahap I : Understanding Your Business
Dalam rangka penyusunan strategi BCM yang tepat, langkah awal yang perlu dilakukan adalah memahami aktivitas yang dijalankan.
Beberapa teknik yang dilakukan adalah Risk Assessment dan Business Impact
Analysis.
2. Tahap II : Business Continuity Management Strategies
Pada tahap ini dilakukan pemilihan strategi BCM yang tepat dari beberapa pilihan yang didapat dari informasi kajian Risk Assessment dan Business
Impact Analysis.
3. Tahap III : Developing a Business Continuity Management Response
Fokus pada tahap ini akan ditujukan untuk mengidentifikasi beberapa langkah kegiatan yang dipandang perlu untuk dapat memulihkan gangguan yang terjadi pada kondisi normal.
4. Tahap IV : Developing a Business Continuity Management Culture
Pada tahap ini akan dilakukan penjabaran strategi untuk meningkatkan kesadaran (awareness) akan BCM melalui desain komunikasi, training dan sosialisasi yang terintegrasi dengan strategi organisasi.
5. Tahap V : Exercising, Maintenance and Audit
Fokus pada tahap ini adalah penyusunan strategi testing, upaya pemeliharaan dan proses audit yang dilakukan dalam implementasi.
Tahap ke II dan ke III dari siklus pengembangan Business Continuity
Management ini akan menghasilkan dokumen Business Continuty Plan dan Disaster Recovery Plan bagi perusahaan. BCP (Business Continuity Plan) adalah
dokumen tertulis yang memuat rangkaian kegiatan terencana dan terkoordinir mengenai langkah-langkah pengurangan risiko atas penanganan gangguan yang terjadi. DRP (Disaster Recovery Plan) merupakan rangkaian kegiatan yang lebih menekankan pada aspek teknologi dengan fokus pada data recovery/restoration
plan, berfungsinya sistem aplikasi dan infrastruktur TI yang kritikal pada saat
Gambar 2.2 Siklus Business Continuity Management (Sumber :Business Continuity Institute, 2008)
Terdapat beberapa teori lain yang dapat digunakan dalam rangka menerapkan Business Continuity Management di organisasi. Diantaranya pendekatan BCM Planning Methodology (BCM Institute, 2009) seperti dijelaskan pada Gambar 2.3 dan pendekatan Model Plan-Do-Check-Act yang diperkenalkan oleh British Standard (BS ISO 22301 : 2012, 2012). Pendekatan BCM Institute menjabarkan secara lebih detail siklus dari tahapan BCM yang diperkenalkan Business Continuity Institute. Untuk memudahkan pemahaman, penelitian ini akan mengacu tahapan- tahapan yang ada pada Siklus Business Continuity Management menurut BCM Institute seperti Gambar 2.3.
Gambar 2.3 BCM Planning Methodology (sumber : BCM Institute, 2009. Telah diolah kembali)
2.1.3. Business Impact Analysis
BIA (Business Impact Anaylsis) adalah salah satu proses di tahapan ke I (Understanding Your Business) dalam siklus BCM menurut Business Continuity Institute (Business Continuity Institute, 2008) atau tahapan ke III menurut BCM Institute (BCM Institute, 2009) yang bertujuan memahami proses yang dianggap penting bagi kegiatan operasional organisasi dan mengetahui dampak gangguan terhadap proses bisnis yang dijalankan organisasi. Dalam implementasinya tahapan BIA tidak lepas dari aktivitas Risk Asessment. Pendekatan dalam menganalisis dampak risiko terhadap organisasi dapat menggunakan pendekatan aset ataupun proses. Dari sisi IT, National Institute of Standards and Technology (NIST) menjelaskan “The BIA purpose is to correlate specific system components
with the critical services that they provide, and based on that information, to characterize the consequences of a disruption to the system components”. Dapat
Analysis. Bagian pertama adalah untuk memahami proses bisnis yang bersifat
kritis dan bagian kedua adalah untuk mengkorelasikan proses bisnis yang bersifat kritis itu ke sistem TI. (Snedaker, 2007)
Terdapat beberapa aktivitas yang dilakukan pada saat melakukan proses Business
Impact Anaylsis (Snedaker, 2007), diantaranya :
1. Identifikasi proses bisnis utama dan fungsi.
2. Menetapkan persyaratan untuk pemulihan bisnis.
3. Menentukan hubungan ketergantungan sumber daya.
4. Menentukan dampak bencana terhadap operasinal.
5. Mengembangkan prioritas dan klasifikasi proses bisnis dan fungsi.
6. Mengembangkan persyaratan waktu pemulihan.
7. Menentukan dampak keuangan, operasional dan aturan terhadap gangguan.
2.1.4. Kategori Tingkat Kritis
Hasil penentuan dampak bencana terhadap bisnis organisasi pada Business Impact
Analysis umumnya dibuat dalam bentuk pengkategorian tingkat kritis (Critital Categories) dampak dari proses atau aset yang diukur. Tidak ada standar yang
baku dalam mengkategorikan tingkat kritis dari suatu dampak. Namun demikian, Snedaker memberikan gambaran mengenai kategori tingkat kritis dari suatu dampak yang umumnya digunakan (Snedaker, 2007), yaitu :
1. Category 1 - Critical Functions–Mission-Critical
2. Category 2 - Essential Functions–Vital
3. Category 3 - Necessary Functions–Important
4. Category 4 - Desirable Functions–Minor
Dalam implementasinya, kategori ini umumnya hanya dibagi dalam 3 kategori yaitu High, Medium dan Low. Bagaimana definisi kategori ini diterapkan di
organisasi tidak menjadi masalah. Hal terpenting dalam pembagian kategori adalah adanya perbedaan dari tingkat (grade) dampak dari proses atau aset yang diidentifikasi dalam Business Impact Analysis. Besaran tingkat dampak ini menjadi acuan dalam analisis dan penentuan proses atau aset di organisasi yang diprioritaskan untuk dikelola dalam tahapan BCM selanjutnya.
2.1.5. Recovery Time Requirements
Selain dampak terhadap organisasi, tingkat kekritisan proses atau aset berkaitan dengan waktu yang dibutuhkan organisasi untuk melakukan pemulihan terhadap bencana (Snedaker, 2007). Ada beberapa beberapa istilah yang digunakan untuk mendefinisikan kebutuhan waktu terhadap pemulihan fungsi bisnis.
1. Maximum Tolerable Downtime (MTD)
Waktu maksimum bisnis dapat mentolerir ketidaktersedianya fungsi bisnis tertentu. Proses bisnis atau unit bisnis organisasi yang bersifat kritis umumnya memiliki MTD yang pendek. MTD memiliki dua elemen yaitu
Recovery Time Objective (RTO) dan Work Recovery Time (WRT).
2. Recovery Time Objective (RTO)
Waktu maksimum dimana bisnis atau proses bisnis tidak dilayani. RTO dapat didefinisikan sebagai waktu maksimal yang disediakan untuk melakukan pemulihan layanan.
3. Work Recovery Time (WRT)
Waktu maksimum yang dibutuhkan untuk menjalankan proses bisnis kembali. Dari perspektif bisnis WRT merupakan waktu maksimum yang dibutuhkan untuk melakukan langkah-langkah atau prosedur sebelum bisnis dapat berjalan kembali.
4. Recovery Point Objective (RPO)
Waktu back-up data terakhir yang tersedia atau periode jumlah data yang hilang yang dapat diterima oleh bisnis.
Gambar 2.4 Critical Recovery Timeframes (Sumber : Snedaker, 2007)
Definisi kebutuhan waktu pemulihan bencana (Recovery Time Requirements) berdampak pada stretegi pemulihan yang akan dilakukan, khususnya pada pemilihan infrastruktur teknologi informasi. Pemilihan infrastuktur teknologi informasi memiliki hubungan terhadap tingkat kehilangan atau kerugian yang dapat diterima oleh organisasi akibat bencana. Umumnya didefinisikan dalam risk
appetite (besaran risiko yang dapat diterima / ditoleransi oleh organisasi). Sebagai
contoh adanya organisasi yang tidak mengijinkan kehilangan data sedikitpun apabila terjadi bencana terhadap proses tertentu membuat besaran RPO (Recovery
Point Objective) untuk proses tersebut sebesar 0 (nol) menit. Untuk memenuhi
kebutuhan ini, organisasi tersebut harus memiliki infrastrukur teknologi informasi yang mampu melakukan replikasi data secara realtime. Hal ini tentu saja berpengaruh terhadap besarnya investasi yang dikeluarkan dalam perencanaan pusat pemulihan bencana (Disaster Recovery Center). Dengan demikian dapat ditentukan rumus strategi perencanaan pusat pemulihan bencana dengan mengacu kepada relasi antara biaya akibat gangguan (Cost of Disruption) dengan biaya yang dikeluarkan untuk pemulihan (Cost to Recover). Gambar 2.5 memberikan gambaran pertemuan antara grafik Cost of Disruption dengan grafik Cost to
Recover di titik A. Titik ini memberikan gambaran parameter waktu dan biaya
Gambar 2.5 Keseimbangan antara Cost of Disruption dan Cost of Recovery (Sumber : Snedaker, 2007. Telah disesuaikan)
2.2. Manfaat dan Kuantifikasi Bisnis
Pada sub bab ini akan dibahas mengenai teori dan metode untuk melakukan identifikasi manfaat dan proses kuantifikasi manfaat SI/TI terhadap bisnis organisasi.
2.2.1. Manfaat Bisnis SI/TI Generik
Menurut Parker (Parker M. B., 1988) ada tiga tipe manfaat SI/TI yaitu tangible
benefit, quasi tangible benefit yang berfokus pada efisiensi organisasi dan intangible benefit yang berfokus pada peningkatan efektivitas organisasi. Dari
ketiga tipe tersebut hanya tangible benefit yang paling mudah diidentifikasi dampak finansialnya dan manfaatnya bagi bisnis organisasi. Namun demikian manfaat bisnis ini lebih dari sekedar memberikan keuntungan secara finansial saja, tapi juga berdasarkan pemikiran bagaimana SI/TI bisa memberikan keunggulan kompetitif terutama bagi organisasi. Dua tipe manfaat lainnya agak sulit diidentifikasi karena seringkali tidak berhubungan langsung dengan investasi SI/TI yang dilakukan dan memiliki kemungkinan identifikasi ganda. Identifikasi
ganda disebabkan karena tidak ada standardisasi penamaan manfaat SI/TI terhadap bisnis
Menurut hasil penelitian yang dilakukan oleh Benny Ranti (Ranti, 2008) dengan mengambil 60 studi kasus di Indonesia, dirumuskan 13 kategori dan 73 subkategori manfaat bisnis SI/TI. Tabel Manfaat Bisnis SI/TI Generik hasil penelitian Benny Ranti dapat dilihat padaTabel 2.1. Untuk selanjutnya tabel ini akan disebut sebagai Tabel Generik.
Tabel Generik digunakan untuk mempermudah identifikasi dan penamaan manfaat dari SI/TI. Tabel ini juga dapat dijadikan sebagai dasar pembuatan kuesioner untuk memudahkan responden dalam mengidentifikasi manfaat SI/TI.
Dalam kaitannya dengan Business Continuity Management, Tabel Generik akan digunakan untuk mengidentifikasi kemungkinan manfaat yang dapat muncul dari implementasi Business Continuity Management pada saat dilakukan proses Risk
Assessment dan Business Impact Analysis,
Tabel 2.1Tabel Manfaat Bisnis SI/TI Generik (sumber : Ranti, 2008. Telah diolah kembali)
Kategori Sub Kategori Kode
1.Mengurangi/Menekan biaya
(dari) 1. biaya telekomunikasi 2. biaya perjalanan RCO-01 RCO-02
3. biaya operator RCO-03
4. biaya pertemuan RCO-04
5. biaya kegagalan layanan RCO-05
6. biaya distribusi RCO-06
7. biaya pelatihan per setiap karyawan RCO-07 8. biaya pengembalian barang yang salah RCO-08 9. biaya uang (bunga pinjaman) RCO-09 10. biaya cetak dokumen dan ATK RCO-10
11. biaya langganan RCO-11
12. biaya sewa ruangan RCO-12
13. biaya sewa alat RCO-13
14. biaya inventori/penyimpanan RCO-14 15. biaya kesalahan penelitian RCO-15 2.Meningkatkan produktivitas 16. restrukturisasi pembagian fungsi kerja IPR-01
Kategori Sub Kategori Kode (karena disebabkan oleh) 17. mempercepat penguasaan produk IPR-02
18. kemudahan analisis IPR-03 19. meningkatkan kepuasan karyawan IPR-04 3.Mempercepat proses (dari) 20. proses produksi APR-01
21. proses pengadaan barang APR-02 22. proses pembuatan laporan APR-03 23. proses persiapan data APR-04 24. proses pemeriksaan permohonan APR-05 25. proses pembayaran hutang/tagihan APR-06
26. proses transaksi APR-07
27. proses pengambilan keputusan APR-08 4.Mengurangi resiko (dari) 28. kesalahan hitung RRI-01
29. piutang tak tertagih RRI-02 30. kehilangan penyimpanan RRI-03
31. produk gagal RRI-04
32. kehilangan data RRI-05
33. kesalahan data RRI-06
34. jatuh tempo RRI-07
35. kehilangan karyawan potensial RRI-08
36. pemalsuan RRI-09
37. penipuan/kecurangan administrasi RRI-10 38. kesalahan pembayaran RRI-11 39. kesalahan pengelolaan asset RRI-12 5.Meningkatkan pendapatan
(yg disebabkan oleh ) 40. meningkatkan kapasitas bisnis IRE-01 6.Meningkatkan keakuratan
(dari) 41. meningkatkan kualitas laporan 42. meningkatkan kepercayaan pelanggan IRE-02 IRE-03 43. memperluas segmentasi pasar IRE-04 44. meningkatkan pendapatan lain-lain IRE-05
45. tagihan IAC-01 46. analisis IAC-02 47. data IAC-03 48. perencanaan IAC-04 49. keputusan IAC-05 7.Mempercepat cash-in
(disebabkan karena) 50. mempercepat pengiriman tagihan ACI-01 8.Meningkatkan layanan
eksternal (dari) 51. mengurangi pembatalan pesanan 52. mengetahui masalah pelanggan IES-01 IES-02 53. penambahan cabang/layanan IES-03
Kategori Sub Kategori Kode 55. kepuasan pelanggan IES-05 9.Meningkatkan image
(disebabkan oleh) 56. meningkatkan mutu layanan 57. pemberian diskon IIM-01 IIM-02 58. kepatuhan pada aturan IIM-03 59. menggunakan merk terkenal IIM-04 10.Meningkatkan kualitas
(dari) 60. manajemen penyedia/ pemasok 61. hasil kerja IQU-01 IQU-02
62. layanan IQU-03
63. produk IQU-04
11.Meningkatkan layanan
internal (dari) 64. layanan bersama 65. memenuhi hak & tanggung jawab staf IIS-01 IIS-02 66. layanan untuk karyawan IIS-03 67. penjadualan dan materi pelatihan IIS-04 12.Meningkatkan keunggulan
kompetitif (disebabkan oleh) 68. membentuk kerjasama bisnis 69. mempercepat terbentuknya bisnis baru ICA-01 ICA-02 70. meningkatkan biaya-penggantian ICA-03 13.Menghindari biaya (dari) 71. dana cadangan ACO-01
72. biaya pemeliharaan ACO-02 73. biaya kehilangan dan penundaan ACO-03
Proses identifikasi manfaat bisnis SI/TI berdasarkan subkategori dari Tabel Generik dipermudah dengan metrik TI hasil penelitian Antasari(Antasari, 2011). Metrik ini merupakan hasil dari studi terhadap penelitian-penelitian mengenai investasi SI/TI pada berbagai sektor industri dan jenis aplikasi yang berbeda. Contoh subkategori “Mengurangi/menekan biaya (dari) Biaya Kegagalan” memiliki metrik biaya promosi media cetak, lama waktu sistem mati, lama waktu merespon, lama waktu perbaikan, penilaian survei pelanggan tentang dukungan layanan, jumlah gangguan per kejadian dan biaya pemulihan bencana. Daftar metrik untuk subkategori lainnya terdapat pada LAMPIRAN 5.
2.3. System Dynamics
System dynamics adalah metodologi untuk memetakan, mempelajari dan
mengelola sistem umpan balik yang kompleks dengan menggunakan simulasi computer (Sterman, 2000). System dynamics umumnya digunakan untuk
menggambarkan hubungan sebab akibat antar variabel-variabel yang bersangkutan.
CLD (Causal Loop Diagram) adalah suatu pemetaan yang menunjukkan hubungan sebab akibat antara variabel dengan panah dari sebab ke akibat . Model CLD menekankan hubungan sebab-akibat antar komponen system. Hubungan tersebut digambarkan berupa garis lengkung yang menghubungkan komponen sistem yang satu dengan yang lainnya. Hubungan tersebut dapat berupa hubungan positif (reinforcing) dengan simbol + atau R , dan dapat juga berupa hubungan negatif (balancing) dengan simbol – atau B. Tabel 2.2 menunjukkan simbol-simbol pada CLD (Causal Loop Diagram).
Tabel 2.2 Simbol-simbol Causal Loop Diagram (Sumber: Sterman, 2000. Telah diolah kembali)
NO Simbol Keterangan
1 + / - atau S / O +/S menunjukkan kesamaan arah antara sebab akibat. -/O menunjukkan perbedaan antara sebab dan akibat. 2 B (Balancing)
R (Reinforcing)
Balancing jika terjadi feedback loop negatif. Reinforcing jika terjadi feedback looop positif.
BAB 3
METODOLOGI PENELITIAN
Bab ini membahas mengenai kerangka teoritis yang digunakan, bagaimana penelitian dilakukan, data yang dibutuhkan, langkah-langkah yang dilakukan dalam melakukan penelitian dan profil organisasi yang menjadi obyek penelitian ini.
3.1. Kerangka Teori Penelitian
Dalam kerangka BCM sesuai Gambar 2.1 terlihat bahwa BCM mencakup beberapa komponen. Namun demikian penelitian ini dibatasi pada komponen
Business Continuity dan IT Recovery. Masing – masing komponen tersebut
memiliki 2 persiapan yaitu dokumen rencana/prosedur dan instrastruktur yang dipetakan pada dalam Tabel 3.1.
Tabel 3.1 Komponen BCM
Komponen BCM Persiapan (Keluaran)
Dokumen Infrastruktur
IT Recovery Disaster Recovery Plan IT Infrastructure di DRC
Business Continutiy Business Continuity Plan Infrastruktur DRC
Berdasarkan literatur yang telah ditinjau pada bagian sebelumnya, dirancang kerangka teoritis untuk merancang model perhitungan manfaat implementasi BCM. Gambar 3.1 merupakan kerangka teoritis yang digunakan dalam penelitian ini. Secara umum penelitian ini menambahkan proses identifikasi manfaat dari aset dan proses yang dihasilkan dari Risk Assesment dengan menggunakan Tabel Generik yang dipermudah dengan bantuan metrik TI dari Tabel Antasari (Antasari, 2011). Manfaat yang berhasil diidentifikasi dianalisis signifikansinya berdasarkan
Pada tahap ini didefinisikan metrik yang mempengaruhi proses kuantifikasi manfaat. Subkategori manfaat yang relevan dan signifikan kemudian dikelompokkan dan dicari keterkaitannya satu sama lain dengan menggunakan model System Dynamics. Hasil pengelompokan manfaat kategori kemudian dikuantifikasi manfaatnya menggunakan metrik yang telah didefinisikan sebelumnya.
Gambar 3.1 Kerangka Teoritis
3.2. Metodologi Penelitian
Metode penelitian merupakan langkah-langkah yang dilakukan oleh penulis dari awal sampai akhir penelitian untuk mencapai kesimpulan. Metode penelitian memberikan gambaran umum dimulai dari tujuan, metode pengolahan, masukan yang diperlukan hingga keluaran untuk masing-masing metode. Berikut dijelaskan langkah-langkah penelitian dimulai dengan perumusan masalah, proses pengumpulan data, metode analisis, hingga kesimpulan dan saran penelitian.
1. Perumusan Masalah
Tahapan ini bertujuan mengidentifikasi permasalahan yang muncul dan menghasilkan Research Question. Metode yang digunakan adalah analisis akar permasalahan dengan menggunakan diagram Fishbone. Masukan dari tahapan ini berupa hasil wawancara, dokumen testing BCP, dokumen audit dan dokumen risiko/aset. Keluaran dari tahapan ini berupa Research
Question.
2. Studi Literatur
Tahapan bertujuan mempelajarilandasan teori yang berkaitan dengan masalah yang menjadi obyek penelitian. Metode yang digunakan adalah Studi Literatur. Masukan dari tahapan ini berupa Research Question. Keluaran yang dihasilkan merupakan teori yang berhubungan dengan implementasi BCM di organisasi dan Tabel Manfaat Bisnis SI/TI Generik.
3. Pembuatan Kerangka Penelitian
Tahapan ini bertujuan membuat alur berpikir yang sistematis dalam penelitian. Metode yang digunakan adalah Compare, Critize dan Constrast. Masukan dari tahap ini adalah teori mengenai Business Continuity
Management, Manfaat Bisnis SI/TI Generik dan System Dynamics.
Keluaran dari tahapan ini berupa kerangka yang digunakan untuk penelitian.
4. Pembuatan Metodologi Penelitian
Merupakan tahapan yang membuat detail langkah-langkah yang harus dilakukan dalam melakukan penelitian. Penjabaran detail langkah – langkah dan metode yang digunakan. Masukan dari tahapan ini adalah kerangka penelitian dengan keluaran berupa Metodologi Penelitian.
5. Pengumpulan Data
Tahapan ini diawali dengan pengumpulan data perusahaan terkait dengan topik penelitian. Data yang dimaksudkan adalah wawancara, kuesioner,
Dokumen Testing BCP/DRP dan Dokumen Audit. Dokumen dan data yang dibutuhkan penelitian (Dokumen profil risiko, hasil wawancara, hasil
Risk Assessment dan hasil Business Impact Analysis)
6. Penentuan Metrik berdasarkan KPI (Key Performance Indicator)
Tahapan ini bertujuan untuk mendapatkan metrik yang digunakan dalam proses evaluasi pencapaian dari control yang diterapkan untuk meminimalisir dampak dari risiko proses bisnis kritis yang berhasil di identifikasi. Tujuan lainnya untuk membantu proses kuantifikasi manfaat yang teridentifikasi oleh subkategori Tabel Generik. Metode yang digunakan adalah wawancara dan pemetaan kesesuaian manfaat yang diidentifikasi. Tahapan ini memerlukan masukan berupa hasil Risk
Assessment, Business Impact Analysis organisasi dan hasil wawancara.
Keluaran dari tahapan ini adalah metrik untuk membantu proses kuantifikasi manfaat.
7. Identifikasi Manfaat implementasi BCM dengan Tabel Manfaat Bisnis SI/TI Generik
Tahapan ini bertujuan mendapatkan gambaran manfaat yang diperoleh organisasi karena implementasi BCM. Tabel Generik dan Tabel Antasari digunakan untuk mengidentifikasi potensi manfaat BCM yang dipetakan dari hasil Risk Assessment dan Business Impact Analysis organisasi dan metrik untuk menentukan KPI (Key Performance Indicator). Keluaran yang dihasilkan adalah model kuantifikasi manfaat dari implementasi BCM organisasi.
8. Penarikan kesimpulan dan Saran
Tujuan dari tahapan ini untuk mendapatkan kesimpulan penelitian dan saran dari hasil akhir analisis penelitian. Kesimpulan akan dipersempit pada penentuan model kuantifikasi manfaat BCM secara keseluruhan.
Gambaran dari tahapan dalam penelitian yang telah dijelaskan sebelumnya dapat dilihat pada Gambar 3.2.
Gambar 3.2 Alur Metodologi Penelitian Step 1 :
Perumusan Masalah
•Tujuan : Mengidentifikasi permasalahan yang muncul dan menghasilkan Research Question •Metode : Analisis menggunakan Fishbone
•Masukan : Hasil Wawancara, Dokumen Testing BCP, Dokumen Audit, Dokumen Risiko dan Aset •Keluaran : Research Question
Step 2 : Studi Literatur
•Tujuan : Mencari landasan teori yang berkaitan dengan masalah yang menjadi obyek penelitian •Metode : Studi Literatur
•Masukan : Research Question
•Keluaran : Teori Business Continuity Management, BS ISO 22301:2012, Generic IS/IT Business Value
Step 3 : Pembuatan
Kerangka Penelitian
•Tujuan : Membuat alur berpikir yang sistematis dalam penelitian •Metode : Compare, Critize, Constrast
•Masukan :Teori Business Continuity Management, BS ISO 22301:2012, Generic IS/IT Business Value •Keluaran : Kerangka Penelitian
Step 4 : Pembuatan Metodologi Penelitian
•Tujuan : Membuat langkah-langkah detail yang harus dilakukan dalam melakukan penelitian •Metode : Penjabaran detail langkah –langkah dan metode yang digunakan
•Masukan : Kerangka Penelitian •Keluaran : Metodologi Penelitian
Step 5 : Pengumpulan
Data
•Tujuan : Mendapatkan data primer dan sekunder untuk mendukung penelitian •Metode : Wawancara, Kuesioner
•Masukan : Hasil Wawancara, Dokumen Testing BCP/DRP, Dokumen Audit
•Keluaran : Dokumen dan data yang dibutuhkan penelitian (Dokumen profil risiko, hasil wawancara, hasil Risk Assessment dan hasil Business Impact Analysis)
Step 6 : Penentuan
Metrik berdasarkan KPI
•Tujuan : Mendapatkan metrik yang digunakan dalam mengevaluasi pencapaian dari control yang diterapkan dan membantu proses kuantifikasi manfaat yang teridentifikasi oleh sub kategori Tabel Ranti
•Metode : Wawancara, Pemetaan kesesuaiaan
•Masukan : Hasil Risk Assessment dan Business Impact Analysis organisasi, Hasil wawancara •Keluaran : Metrik hasil Risk Assessment dan Business Impact Analysis organisasi
Step 7 : Identifikasi
Manfaat implementasi
BCM
•Tujuan : Mendapatkan gambaran manfaat yang diperoleh organisasi karena implementasi BCM •Metode : Pemetaan manfaat BCM dengan Tabel Manfaat SI/TI Generik dan Tabel Antasari •Masukan : Metrik hasil Risk Assessment dan Business Impact Analysis organisasi
•Keluaran : Metrik untuk menentukan manfaat dari implementasi BCM saat ini, Model Identifikasi dan Kuantifikasi Manfaat BCM
Step 8 : Penarikan kesimpulan dan
Saran
•Tujuan : Mendapatkan kesimpulan penelitian dan saran dari hasil penelitian •Metode : Summarize
•Masukan : Metrik untuk menentukan manfaat dari implementasi BCM saat ini, Model Identifikasi dan Kuantifikasi Manfaat BCM
•Keluaran : Kesimpulan terhadap penelitian dan saran pengembangan selanjutnya
Sub Bab 1.2
Sub Bab 1.3, Bab 2
Bab 2 Bab 3 Lampiran Sub Bab 4.3 Sub Bab 4.4 Bab 5
3.3. Profil Organisasi
Bagian ini akan menjelaskan mengenai profil organisasi secara umum dan penerapan Business Continuity Management yang dilakukan.
3.4. Struktur Organisasi
Berikut ini adalah struktur organisasi dari Bank XYZ terkait pengelolaan Business
Continuity Management (BCM).
Gambar 3.3 Struktur Organisasi terkait BCM
3.4.1. Divisi Teknologi Informasi
Divisi Teknologi Informasi merupakan unit kerja yang bertanggung jawab secara
proaktif memahami kebutuhan perusahaan dan menjadi mitra strategis unit kerja dalam menciptakan keunggulan bisnis melalui inovasi dan solusi sistem teknologi informasi yang handal, efisien dan efektif. Kaitannya dengan BCM, Divisi Teknologi Informasi bertugas membuat Disaster Recovery Plan (DRP) dan
Disaster Recovery Center (DRC) sesuai dengan BCP dan dapat mencakup
kebutuhan sesuai BCP yang berlaku, melakukan pengujian DRC sesuai dengan DRP yang dibuat.
3.4.2. Satuan Keamanan Informasi
Satuan Keamanan Informasi merupakan unit kerja yang bertanggungjawab dalam aspek Manajemen Akses Informasi, Perlindungan dan Pengamanan Informasi, Manajemen Kelangsungan Usaha dan Tata Kelola Teknologi Informasi. Dalam
kaitannya dengan BCM, Satuan Keamanan Informasi bertanggungjawab menjadi koordinator dan perencanaan BCM secara menyeluruh. Satuan Keamanan Informasi menjalankan analisis konsep penanganan, identifikasi potensi risiko, membuat recovery strategy, melakukan tes kesiapan unit kerja dalam melaksanakan BCP, melakukan sosialisasi dan awareness, mengoordinasi proses pemulihan/BCP, memastikan DRP dan DRC memenuhi kebutuhan sesuai dengan BCP.
3.4.3. Divisi Manajemen Risiko.
Manajemen Risiko organisasi secara keseluruhan dikelola oleh Divisi Manajemen Risiko. Divisi Manajemen Risiko bertugas mengidentifikasi, mengukur, memantau, mengendalikan dan melaporkan dengan benar risiko organisasi melalui penerapan kerangka kerja manajemen risiko yang sesuai. Kaitannya dengan BCM, Divisi Manajemen Risiko menjadi bagian dalam sebuah komite bersama yangbertugas menjadi pengawas pelaksanaan BCM oleh Satuan Keamanan Informasi dan Divisi Teknologi Informasi serta memastikan konsep BCP sudah mencakup semua risiko yang terdapat di perusahaan.
3.4.4. Divisi Audit Internal
Divisi Audit Internal bertugas untuk meningkatkan efektivitas dan memberikan nilai tambah terhadap proses manajemen risiko, pengendalian internal dan tata kelola melalui penilaian independen dan obyektif serta pemberian konsultasi atas seluruh kegiatan perusahaan. Kaitannya dengan BCM, Divisi Audit Internal juga menjadi bagian dalam sebuah komite bersama yang bertugas menjadi pengawas dan evaluasi pelaksanaan BCM oleh Satuan Keamanan Informasi dan Divisi Teknologi Informasi.
3.5. Visi dan Misi
Sub bab ini menjelaskan mengenai visi dan misi dari organisasi.
3.5.1. Visi
berperan sebagai pilar penting perekonomian Indonesia.
3.5.2. Misi
1. Membangun institusi yang unggul di bidang penyelesaian pembayaran dan solusi keuangan bagi nasabah bisnis dan perseorangan
2. Memahami beragam kebutuhan nasabah dan memberikan layanan finansial yang tepat demi tercapainya kepuasan optimal bagi nasabah
3. Meningkatkan nilai stakeholder Bank XYZ
3.6. Program Strategis
Program Strategik Bank XYZ antara lain :
1. Memperkuat strategic positioning sebagai transactional banking
2. Mengembangkan relationship banking
3. Meningkatkan fungsi intermediasi
3.7. Proses Bisnis Kritis
Dalam melakukan implementasi BCM, terlebih dahulu ditentukan pemilihan proses/proses bisnis di organisasi yang bersifat kritis dan harus tetap berjalan meskipun terjadi bencana. Menurut dokumen BCP Bank XYZ (Kebijakan BCP XYZ, 2012) salah satu proses bisnis yang dianggap penting adalah proses kiriman uang. Oleh karena itu penelitian ini akan mengambil proses bisnis kiriman uang di Sistem Pembayaran sebagai contoh dalam membuatkan model kuantifikasi manfaat BCM di organisasi.
3.7.1. BI-RTGS
Bank Indonesia Real Time Gross Settlement (BI-RTGS) adalah suatu sistem transfer dana elektronik antar peserta dalam mata uang rupiah yang penyelesaiannya dilakukan secara seketika per transaksi secara individual. Manfaat diterapkannya Sistem BI-RTGS, selain menurunkan risiko sistem
pembayaran nasional dengan meningkatkan kepastian penyelesaian akhir, juga menyediakan tambahan pilihan sarana transfer yang praktis, cepat, efisien, aman dan handal. Selain itu juga menyediakan informasi saldo Rekening Giro Peserta secara real time dan menyeluruh sehingga, khususnya bagi bank, dapat membantu meningkatkan disiplin dan profesionalismenya dalam mengelola likuiditas. Bank yang dapat menggunakan Sistem BI-RTGS adalah bank umum sebagaimana dimaksud dalam Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998.
Bank XYZ sebagai salah satu bank umum penyelenggara layanan RTGS mengelola sistem ini di backoffice melalui Divisi Operasional. Gambar 3.4 dan Gambar 3.5 menjelaskan aliran RTGS keluar dan masuk secara internal di Bank XYZ.
3.7.2. SKNBI
Kliring merupakan pertukaran warkat atau Data Keuangan Elektronik (DKE) antar peserta kliring baik atas nama bank yang ditunjuk BI maupun atas nama nasabah peserta yang perhitungannya diselesaikan pada waktu tertentu. Sistem Kliring Nasional Bank Indonesia (SKNBI) adalah sistem kliring yang dikelola Bank Indonesia yang meliputi kliring kredit dan kliring debet yang penyelesaian akhirnya dilakukan secara nasional.
Bank XYZ sebagai salah satu bank umum penyelenggara layanan kliring mengelola sistem ini di backoffice Divisi Sentra Operasional. Gambar 3.6 dan Gambar 3.7 menjelaskan alur kliring kredit dan penyerahan kliring debet.
Gambar 3.4 Aliran RTGS keluar
(sumber :Dokumen ISO, 2012. Telah disesuaikan)
Gambar 3.5 Aliran RTGS masuk
Gambar 3.6 Penyerahan Kliring Kredit (sumber : Dokumen ISO, 2012. Telah disesuaikan)
Gambar 3.7 Penyerahan Kliring Debet (sumber : Dokumen ISO, 2012. Telah disesuaikan)
3.8. Kebijakan dan Ketentuan Business Continuity Plan
Menurut dokumen Kebijakan BCP Bank XYZ, konsep BCP yang diterapkan di Bank XYZ adalah terjadinya gangguan yang bersifat menyeluruh/nasional dan merupakan kejadian yang jarang terjadi (low frequency) tetapi mempunyai dampak yang besar (high impact). Sebagai contoh Gedung Kantor Pusat Bank XYZ tidak dapat digunakan atau salah satu Data Center Bank XYZ tidak dapat digunakan. Dalam implementasinya dikenal Critical Business Function (CBF) yaitu bisnis/proses bisnis yang dianggap penting oleh perusahaan dan harus dilayani saat terjadi gangguan.
Berikut daftar Critical Business Function (CBF) Bank XYZ yang harus segera dipulihkan apabila terjadi gangguan.
Tabel 3.2 Critical Business Function (CBF)
(sumber : Dokumen BCP Bank XYZ. Telah diolah kembali)
Jenis Layanan Jenis Transaksi
Transaksi di cabang untuk nasabah kritikal
1. Penarikan tunai 2. Setoran tunai
3. Pemindahbukuan antar-rekening Bank XYZ 4. Kliring
Delivery Channel
1. Automatic Teller Machine (ATM) : Penarikan tunai
2. Electronic Data Capture (EDC) : Transaksi debet dan penarikan tunai
3. InternetBanking (Individu dan Bisnis) : Pemindahbukuan antar rekening Bank XYZ Sentra Operasi
1. Domestik : RTGS, SKN, KSEI, Call Center 2. Internasional : Kiriman uang ke dan dari luar
negeri
3.9. Infrastruktur Teknologi Informasi
Gambar 3.8 menjelaskan gambaran infrastruktur teknologi informasi Bank XYZ secara garis besar dalam kerangka Business Continuity Management.
1. Garis penuh merupakan primary line sedangkan garis putus-putus adalah
backup line.
2. M/F Lok 1 dan Lok 2 menjalankan fungsi saling backup secara realtime karena memiliki kapasitas yang sama persis untuk kegiatan operasional Bank XYZ secara penuh (full support). Namun demikian dalam satu waktu hanya ada satu M/F yang digunakan dalam kegiatan operasional Bank XYZ. Sebagai informasi Data Center yang beroperasi saat ini adalah di M/F Lok2.
3. M/F Lok4 yang berada di luar kota dipergunakan apabila M/F Lok1 dan M/F Lok2 tidak dapat digunakan dan hanya berkapasitas untuk menunjang operasional cabang dan unit kerja yang bersifat highly critical.
4. SOC Lok3 dipergunakan apabila tempat kerja di Lok1 atau Lok2 tidak dapat digunakan.
5. SOC Lok4 yang berada di luar kota dipergunakan jika tempat kerja di Lok1, Lok2 dan SOC Lok3 tidak dapat digunakan dengan kapasitas untuk mendukung staf unit kerja highly critical.
Penempatan SOC dan M/F di Lok4 yang berada di luar kota merupakan salah satu strategi kontijensi perusahaan apabila terjadi bencana alam yang merusak infrastruktur secara menyeluruh sebagai contoh gempa bumi yang terjadi di Lok1, Lok2 dan Lok3.