Business Continuity Plan

Secara sederhana, perencanaan kelangsungan bisnis (Bahasa Inggris: business continuity planning, BCP) diciptakan untuk mencegah gangguan terhadap aktivitas bisnis normal. BCP dirancang untuk melindungi proses bisnis yang kritis dari kegagalan/bencana alam atau yang dibuat manusia dan akibatnya hilangnya modal dalam kaitannya dengan ketidaktersediaan untuk proses bisnis secara normal. BCP merupakan suatu strategi untuk memperkecil efek gangguan dan untuk memungkinkan proses bisnis terus berlangsung.

Peristiwa yang mengganggu adalah segala bentuk pelanggaran keamanan baik yang disengaja ataupun tidak yang menyebabkan bisnis tidak bisa beroperasi secara normal. Tujuan BCP adalah untuk memperkecil efek peristiwa mengganggu tersebut pada perusahaan. Tujuan BCP yang utama adalah untuk mengurangi risiko kerugian keuangan dan meningkatkan kemampuan organisasi dalam proses pemulihan sesegera mungkin dari suatu peristiwa yang mengganggu. BCP juga membantu memperkecil biaya yang berhubungan dengan peristiwa yang mengganggu tersebut dan mengurangi risiko yang berhubungan dengan itu.

Kejadian atau hal-hal yang menahan proses bisnis adalah segala sesuatu gangguan keamanan yang terduga dan tak terduga yang bisa mematikan operasi normal bisnis dalam kurun waktu tertentu. Tujuan dari BCP adalah untuk meminimalisir efek dari kejadian atau bencana tersebut dalam sebuah perusahaan atau organisasi. Manfaat utama dari Business Continuity Plan adalah untuk mereduksi risiko kerugian keuangan dan meningkatkan kemampuan perusahaan untuk memulihkan diri dari bencana atau gangguan sesegera mungkin. Perencanaan keberlangsungan bisnis juga harus dapat membantu meminimalisir biaya dan mengurangi risiko sehubungan dengan kejadian bencana tersebut.

Business Continuity Plan perlu memperhatikan semua area proses informasi kritis dari perusahaan, seperti hal di bawah ini : 

•  LAN, WAN, dan server

•  Hubungan telekomunikasi dan komunikasi data

•  Lokasi dan ruang kerja 

•  Aplikasi, software, dan data

•  Media dan tempat penyimpanan rekaman/data

•  Proses produksi dan staf-staf yang bekerja

Peristiwa-peristiwa yang mengganggu Kesinambungan Bisnis Berikut daftar peristiwa-peristiwa yang dapat mengganggu kesinambungan bisnis yang digolongkan pada sumber terjadinya, akibat alam atau ulah manusia.

Contoh peristiwa alami yang dapat mempengaruhi kesinambungan bisnis adalah sebagai berikut:

•  Kebakaran atau ledakan

•  Gempa bumi, badai, banjir, dan kebakaran alami

Contoh peristiwa yang diakibatkan oleh manusia yang dapat mempengaruhi kesinambungan bisnis sebagai adalah berikut:

•  Peristiwa pemboman, sabotase, atau serangan lain yang disengaja

•  Kegagalan infrastruktur komunikasi

Memiliki sebuah BCP dipandang sebagai sebuah jaminan kebijakan yang memberikan kontribusi pada “good governance”-nya sebuah bisnis. Namun, tidak semua industri atau negara di dunia menyadari pentingnya nilai BCP. Di seluruh dunia, industri jasa keuangan adalah terdepan dibanding industri lainnya dalam persyaratan BCP yang up todate dan tested. Regulasi-regulasi ini ditegakkan dengan audit-audit internal dan eksternal dan dalam kasus-kasus ekstrim dengan berbagai sanksi dan denda.

Beberapa badan regulasi tertentu mengawasi persyaratan mutlak untuk BCP di negara-negara yang berbeda. Di AS, ada US Federal Reserve Board yang melakukan tugas ini. Kemudian di Singapura, ada Monetary Authority of Singapore (MAS) dan di Hong Kong ada Hong Kong Monetary Authority (HKMA). Biasanya badan-badan seperti ini selalu mengikuti best practise dari seluruh dunia dan menyebarluaskannya ke institusi-institusi di bawahnya. 

Dampaknya, sebagian besar dari masyarakat terjamin dan tenang bahwa jika ada bencana yang menimpa bank, perusahaan sekuritas, asuransi atau institusi keuangan lainnya yang menjadi rekan usaha atau penyedia jasa untuk masyarakat, mereka mampu bertahan dari peristiwa tersebut untuk melanjutkan pelayanan kepada masyarakat sebagai customer atau rekan bisnis dalam periode waktu yang sewajarnya.

Proses perencanaan suatu business continuity plan (BCP) akan memungkinkan perusahaan atau organisasi menemukan dan mengurangi (reduce) ancaman-ancaman, merespon (respond) suatu peristiwa ketika peristiwa itu terjadi, pemulihan (recover) dari dampak langsung suatu peristiwa atau bencana, dan akhirnya mengembalikan (restore) operasi menjadi seperti semula. Reduce, respond, recover dan restore ini lebih dikenal sebagai Empat R di BCP. 

Business Continuity dan Service Level Agreements (SLA)

Umumnya organisasi tidak beroperasi secara terisolasi, keputusan untuk melakukan out source proses bisnis ke vendor eksternal ditentukan berdasarkan beberapa kriteria seperti alasan ekonomis atau harga dan keuntungan fungsional dari suatu tehnologi. Saat suatu bisnis proses di outsource, TOR (Term of Reference), peran dan tanggung jawab akan ditetapkan dalam kontrak, bersamaan dengan dukungan terhadap SLA. Service Level Agreement (SLA) meliputi layanan yang akan diberikan, peran dan tanggung jawab operasional dan ketentuan dalam penyediaan layanan, oprasional dan quality, serta biaya layanan. Intinya adalah menggunakan Service Level Agreement (SLA) untuk menentukan efektivitas dan efisiensi dari performa vendor.

Kunci keberhasilan untuk memadukan business impact analysis (BIA) dengan service level agreement (SLA) adalah mendapatkan data-data (dokument) dari pemilik/user dan pengembang, sehingga dokumen pada BIA dapat dipadukan dengan SLA. BIA sangat diperlukan untuk menetapkan tingkat critical operasi bisnis. Berdasarkan buku Central Computer and Telecommunication Agency (CCTA), “A Guide to Business Continuity Management,” tahun 1995. BIA mengidentifikasi potensi kerusakan atau kehilangan yang mungkin disebabkan oleh bencana, terhadap proses-proses bisnis yang critis.

Business impact analysis (BIA) juga memberikan informasi mengenai toleransi terhadap bencana, maksimal waktu yang diperkenankan terhadap terhentinya sistem atau aplikasi, dan berbagai tingkatan toleransi terhadap interupsi tersebut pada operasi bisnis yang berbeda-beda. Hal ini menuntut manajemen organisasi untuk mau memastikan bahwa service level agreement (SLA) merefleksikan kerusakan maksimal yang bisa diterima pada operasi-operasi tertentu. Recovery time objective (RTO) dan a recovery point objective (RPO) perlu dikuantifikasi sehubungan dengan peran vendor yang dipilih

20 truths

Jika seseorang mendapat tangung jawab untuk mengembangkan business continuity plan (BCP) dalam kurun waktu tertentu, maka orang tersebut akan dihadapkan pada beberapa karakteristik program yang harus diperhitungkan. Pendapat beberapa ahli dibidang ini mengatakan bahwa  ada beberapa karakteristik, atau keyakinan yang tak pernah gagal, yaitu sebanyak dua puluh keyakinan, “20 truth” sebagai berikut:

1.  Biaya untuk pencegahan adalah lebih murah ketimbang biaya untuk pemulihan, dan pecegahan jauh lebih cepat.

2.  Jika real estate itu harganya murah, pasti ada alasannya. Saat mencari fasilitas untuk sumber daya cadangan atau alternatif, pastikan bahwa risiko tidak ada ditempat tersebut.

3.  Jangan taruh semua telur dalam satu keranjang. Tempatkan operasi-operasi bisnis vital secara menyebar, jangan memusat, tempatkan pada beberapa lokasi.

4.  Saat bencana timbul, hal pertama yang bisa hilang adalah perencanaan. Kondisi yang tenang atau tidak panik, membuat kita mampu mengikuti prosedure yang telah ditetapkan, pada saat terjadi bencana.

5.  Saat bencana timbul, para kompetitor akan memanfaatkannya. Pemulihan yang lama akan membuat reputasi perusahaan turun, dan para kompetitor akan memanfaatkan kekosongan tersebut.

6.  Polis asuransi menjadi benar-benar jelas setelah adanya bencana. Jangan menunggu adanya bencana, polis asuransi bisa membantu perusahaan dalam menghadapi kerugian akibat bencana.

7.  Rumah and, Kehidupan dan kendaraan diasuransikan ... Ini benar-benar sudah melindungi, atau tidak. Perlindungan terhadap bisnis sangat penting. Kegagalan bisnis karena bencana, dan tanpa asuransi, menjadi bencana bagi perusahaan dan individu atau pegawai.

8.  Tiga P dalam disaster plan: People, Property, Priorities (business). Ada tiga lagi: Praktek, Praktek, Praktek. Praktek atau berlatih adalah satu-satunya cara untuk kita supaya lebih baik dalam segala hal yang kita lakukan. Jika kita tidak pernah atau jarang mempraktekkan rencana kita, maka kita tidak akan mampu menghadapi bencana selancar yang kita harapkan. Bahkan pemain olah raga profesional pun sering berlatih.

9.  Terapkan investasi untuk keberlanjutan bisnis sesuai dengan prioritas dan ancaman yang ada. Pastikan bahwa segala sesuatu yang akan dilindingi memiliki nilai terhadap bisnis dan ancaman yang bisa mengenainya.

10. Lindungilah orang terlebih dahulu, karena jika ada benda yang hilang maka benda-benda lain akan bisa menggantikannya. Kehilangan pegawai akan selalu ada di benak orang-orang dan bisa selama-lamanya. 

11. Pemulihan adalah seperti resep; segala sesuatu harus datang bersamaan pada waktu yang tepat dan dalam bentuk yang bisa digunakan. Pemulihan membutuhkan berbagai perangkat pendukung yang tepat waktu dan dapat digunakan, seperti halnya saat memasak.

12. Pastikan pimpinan telah menentukan prioritas, sebelum bencana terjadi. Dan mengapa hal tersebut menjadi prioritas. Jangan sampai bingung menentukan prioritas sementara bencana sudah menimpa.

13. Libatkan pimpinan dalam proses perencanaan. Jika pimpinan tidak terlibat dalam perencanaan, jangan harapkan mereka akan mengikuti perencanaan, padahal mereka yang akan memimpin proses pemulihan. Jangan sampai rencana tak digunakan, jadi sia-sia.

14. Prioritas pertama pegawai adalah keluarga mereka. Pada saat bencana yang cakupan wilayahnya luas atau regional, pastikan pegawai anda sudah memastikan kondisi keluarganya, sehingga mereka bisa bekerja, melakukan pemulihan bisnis dengan tenang.

15. Pegawai pasti akan membantu proses pemulihan. Tapi pastikan adanya petunjuk yang telah disiapkan sebelumnya. Sehingga karyawanan tahu apa yang harus dilakukannya dan tidak jalan sendiri-sendiri.

16. Bencana membuat kita paham siapa sahabat sebenarnya. Sahabat-sahabat sejati pasti akan bersedia saling bantu.

17. Pastikan kita telah berkonsultasi dengan petugas pemadam, polisi dan lainnya sebelum membuat rencana pemulihan. Karena pada kondisi bencana, terutama yang bersifat regional, mereka lah yang memegang kendali, terkadang membuat pegawai tersinggung. 

18. Software rencana pemulihan mengelola rencana data, tidak bisa membuat rencana untuk manusia. Software tersebut tidak akan bisa mengambil alih strategi pemulihan, tidak akan mengurangi risiko dari ancaman, dan tidak bisa mengambil alih sisi kemanusiaan dalam pemulihan bisnis. Tempatkan software pada waktu yang tepat saat proses perencanaan pemulihan.

19. Jangan pernah mudah percaya dengan apa yang dibaca, terutama dalam perencanaan pemulihan dari bencana. Lakukan pengetesan!

20. Selalu dapatkan persetujuan dari atasan. Perencanaan tanpa persetujuan pihak manajemen tidak akan mampu laksana, karena pada implementasinya tidak akan mendapatkan dukungan sumber daya dan kepemimpinan yang dibutuhkan. 

Pengembangan BCP

Untuk membangun sebuah BCP dibutuhkan informasi-informasi dari beberapa bagian yang berbeda seperti pengetahuan mengenai pengoperasian, pemahaman mengenai fungsi-fungsi bisnis yang penting di dalam pengoperasian, penentuan waktu sasaran pemulihan (recovery) untuk fungsi-fungsi ini, memahami ancaman lokal, pengetahuan mengenai regulasi lokal, dan beberapa hal lainnya.

Orang yang bertugas sebagai koordinator BCP harus memimpin usaha ini selayaknya seorang project manager, seperti halnya inisiatif-inisiatif formal lainnya yang lazim dilakukan sebuah perusahaan. Namun demikian, memahami seluk beluk pengoperasian perusahaan atau organisasi akan sangat membantu dalam menyiapkan planning yang relevan dan praktis. Beberapa team leader yang bertanggung jawab terhadap berbagai aspek pengoperasian perusahaan harus dilibatkan untuk membantu memahami fungsi-fungsi bisnis yang penting, dan membantu membuat prioritas dan menentukan recovery time objectives (RTO).

Ada empat element atau langkah-langkah dalam membangun sebuah BCP yang baik, yaitu meliputi:

1.   Pembuatan Cakupan dan Rencana.

Tahapan ini menandai dimulainya proses BCP. Hal yang dilakukan adalah membuat lingkup dan elemen lainnya yang diperlukan untuk menentukan parameter dari rencana.

2.   Business Impact Assassment (BIA).

Proses ini dilakukan sebelum membuat Disaster Recovery Plan. BIA digunakan untuk membantu unit bisnis memahami dampak dari bencana. Tahapan ini adalah meliputi pelaksanaan analisa risiko dan menentukan dampak terhadap perusahaan jika potential loss yang teridentifikasi oleh risk analysis sungguh-sungguh terjadi.

3.   Pembuatan Business Continuity Plan.

Tahapan ini menggunakan informasi yang didapat pada proses BIA untuk mengembangkan business continuity plan yang sebenarnya. Proses pengembangannya adalah meliputi rencana implementasi, rencana pengujian, dan pemeliharaan rencana yang dijalankan. Tahapan ini juga menentukan strategi pengoperasian business recovery alternatif untuk pemulihan bisnis dan kapabilitas TI di dalam periode recovery time yang sudah ditentukan.

4.   Persetujuan dan Implementasi.

Proses ini terdiri dari mendapatkan persetujuan akhir dari manajemen senior, penyiapan sebuah program awareness korporat dan menerapkan prosedur pemeliharaan untuk meng-update rencana sesuai dengan kebutuhan.

Business Impact Assassment (BIA) seringkali dijalankan dengan fokus utamanya pada potensi dampak atau kebalikan dari BAU (business as usual). BIA perlu menilai risiko berdasarkan catatan historis dari bencana alam dan konsekuensinya terhadap proses bisnis, dan menimbang risiko-risiko ini terhadap fungsi-fungsi penting yang dijalankan sebuah perusahaan. Biasanya fungsi-fungsi yang menuntut down time paling kecil ini adalah fungsi-fungsi yang memiliki dampak finansial yang signifikan (misalnya sebuah bank tidak mampu menerima telepon dari seorang customer untuk memblokir pembayaran sebuah cek) atau yang menyebabkan terjadinya pelanggaran Service Level Agreement (SLA).

Perusahaan-perusahaan lainnya mungkin akan menganggap ketidaktersediaan selama periode inbound yang kritis (misalnya setelah kampanye promosi diluncurkan) atau periode-periode sibuk yang sudah jadi tradisi (misalnya saat lebaran, natal atau tahun baru) akan berdampak sangat besar sehingga memerlukan kelonggaran dan memiliki strategi pelaksanaan recovery. Segera setelah direncanakan, BCP harus diuji atau di-exercise. Untuk hal ini, pengetahuan tentang seluk beluk proses bisnis sebuah perusahaan menjadi syarat mutlak bagi seorang koordinator BCP yang berusaha merancang latihan (exercise) yang secara realistis memasukkan seluruh skenario kedalamnya, tanpa harus mengganggu BAU.

Dengan BCP, perusahaan bisa memformulasikan rencana kelanjutan bisnisnya secara jelas ketika bencana terjadi dan dapat mengurangi potensi gangguan-gangguan terhadap pengoperasian perusahaan serta mengembalikannya ke keadaan semula seefisien mungkin.

sumber :

1. The 20 Truths of Business Continuity by  Gerard Minnich,  Disaster Recovery Journal, Volume 17, Issue 1, Systems Support Inc., Winter 2004

2. Pemulihan Bencana, http://id.wikipedia.org 

3. The Small And Medium Size Businesses Guide To A Successful Continuity Program, http://www.drj.com/special/smallbusiness/article1-01.html 

4. Perencanaan kelangsungan bisnis, http://id.wikipedia.org

5. Disaster Recovery Journal, http://www.drj.com