Business Continuity Management Sistem Pembayaran
Business Continuity Management Sistem Pembayaran 1. PENDAHULUAN Business Continuity Management - Sistem Pembayaran (BCM-SP) merupakan proses pengelolaan secara menyeluruh dalam rangka identifikasi potensi
kondisi
darurat
yang
berdampak
kepada
kelangsungan
penyelenggaraan sistem pembayaran serta berisi langkah-langkah secara rinci mengenai organisasi, tanggung jawab dan prosedur dalam upaya pencegahan dan pemulihan suatu sistem pembayaran pada saat terjadi gangguan yang disebabkan oleh faktor internal maupun eksternal. Pengembangan BCM-SPN merupakan salah satu upaya merealisasikan visi misi Sistem Pembayaran Nasional yaitu mengatur dan menjaga kelancaran sistem pembayaran nasional yang efsien, cepat, aman dan handal guna mendukung kestabilan moneter dan sistem keuangan. Sistem pembayaran memiliki fungsi yang sangat kritikal dalam menunjang kelangsungan stabilitas sistem keuangan nasional. Disisi lain, penggunaan teknologi tinggi dalam infrastruktur sistem pembayaran terutama pada sistem yang termasuk Systemically Important Payment Systems seperti sistem BI-RTGS dan sistem Kliring Nasional (BI-SKN), telah meningkatkan tingginya resiko dalam pengelolaan sistem pembayaran. Selain itu, faktor eksternal seperti kebakaran, kerususan, bencana alam dan serangan teroris yang sering terjadi di wilayah Indonesia juga telah menambah tingginya potensi terjadinya gangguan pada penyelenggaraan sistem pembayaran.
Edisi 2006.1 17 Oktober 2006
Business Continuity Management Sistem Pembayaran
Pengembangan BC M-SP merupakan kebutuhan yang mendesak sebagai upaya untuk meminima lisasi kerugian apabila terjadinya gangguan pada sistem pembayaran. Selain itu, penyusunan BCM-SP merupakan upaya pemenuhan Core Principle VII, Bank for International Settlements yang merupakan pedoman dalam pengelolaan sistem pembayaran. BCM-SP akan mencakup langkah-langkah kebijakan, identifikasi resiko sistem pembayaran, pembentukan organisasi dan pembagian tanggung jawab, mekanisme kerja serta prosedur operasional dalam upaya pemulihan suatu sistem pembayaran apabila terjadinya suatu gangguan.
2. TUJUAN BCM – SISTEM PEMBAYARAN Business Continuity Management – Sistem Pembayaran (BCM-SP) pada dasarnya merupakan langkah-langkah antisipasi terhadap gangguan yang akan berdampak terhadap fungsi dan proses kritikal dalam penyelenggaraan sistem pembayaran serta memastikan penanggulangan yang dilakukan terencana dan teruji. Adapun tujuan BCM Sistem Pembayaran adalah sebagai berikuit :
1. Meningkatkan kehandalan dan kesinambungan operasional sistem pembayaran dalam menjaga reputasi Bank Indonesia sebagai otoritas sistem pembayaran. 2. Mencegah dan memulihkan infrastruktur dan peralatan pendukung operasional sistem pembayaran serta mengurangi dampak kerugian keuangan apabila terjadinya kondisi gangguan.
Edisi 2006.1 17 Oktober 2006
Halaman
2
Business Continuity Management Sistem Pembayaran
3. Memperjelas tanggung jawab dan mekansisme kerja pihak-pihak yang terlibat dalam BCM-SP sehingga dapat mempercepat waktu proses pengambilan keputusan dalam kondisi terjadinya gangguan. 4. Meningkatkan efisiensi dan efektivitas kegiatan pemulihan operasional sistem pembayaran serta kesiapan petugas operasional da lam upaya pemulihan sistem pembayaran apabila terjadinya gangguan.
3. KONSEP DAN METODOLOGI BCM SISTEM PEMBAYARAN Pengertian
dan
konsep
Business
Continuity
telah
mengalami
perkembangan yang cukup pesat sejalan dengan perhatian dan kejadian yang dialami pelaku industri dalam menjamin kelangsungan business yang dilakukan. Perkembangan konsep Business Continuity juga diikuti dengan munculnya beberapa istilah Business Continuity yang terkadang masih menjadi perdebatan dikalangan pelaku industri dan akademisi. Dalam penyusunan BCM-SP, pengertian Business Continuity akan mengacu kepada The Business Continuity Institute sebagai lembaga profesi yang bergerak dalam sertifikasi Business Recovery dan
standar yang
dikeluarkan oleh Committee on Payment and Settleme nt Systems, Bank for International Settlements (BIS). Menurut The Business Continuity Institute, 2002,
definisi Business
Continuity Management (BCM) adalah : A holistic management process that identifies potential impacts that threaten an organisation and provides a framework for building rililience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities. Edisi 2006.1 17 Oktober 2006
Halaman
3
Business Continuity Management Sistem Pembayaran
Sedangkan Business Continuity Planning (BCP), sebagai bagian dari BCM, dapat diartikan sebagai : A clearly defined and documented plan for use at the time of business continuity emergency, event, incident and/or crisis. Typically a plan will cover all the key personnel, resources, services and actions required to manage the BCM process. Dengan pengertian diatas maka dokumen BCP terdiri dari langkahlangkah pemulihan business (Business Recovery atau Business Resumption), langkah pemulihan infrastuktur teknologi informasi (Disaster Recovery) dan langkah darurat (Contingency Plan). Sebagai gambaran, beberapa fokus dan isi dari ketiga langkah pemulihan dalam dokumen BCP dapat disajikan dalam tabel berikut :
BCP
Business Recovery
Tujuan
Pemulihan Business Proces kritikal
Pemulihan melalui restore
process recovery
Kembali normal
Penyerahan terganggu
Tempat Penyerahan warkat terbakar
Fokus Teladan Solusi
Perpanjangan penerimaan warkat
warkat
loket
Business Resumption Business proses
ke
proses
Alternatif tempat penyerahan warkat
Disaster Recovery
Contingency Plan
Pemulihan Aplikasi, Hardware, Software
Pemulihan business process melalui langkah darurat
Data Recovery
Make do
Tandem down
Tandem Back up
Sistem BI-RTGS down
Operasinal di sistem/prosedur lain (manual)
Tabel 1. Dokumen Business Coninuity Planning
Edisi 2006.1 17 Oktober 2006
Halaman
4
Business Continuity Management Sistem Pembayaran
3.1. BUSINESS CONTINUITY MANAGEMENT SISTEM PEMBAYARAN Sistem pembayaran memiliki fungsi yang krtikal dalam menunjang kegiatan
perekonomian
nasional.
Kesinambungan
operasional
sistem
pembayaran membantu terselenggaranya sistem keuangan yang stabil dan kuat. Dalam penyelenggaraan sistem pembayaran, Committee on Payment and Settlement Systems, Bank for International Settlements (CPSS-BIS) telah mengeluarkan panduan yang dikenal dengan nama Core Principles for Systemically Important Payment Systems. Core Principles berisi 10 prinsip penyelenggaran sistem pembayaran dengan tujuan agar pelaksanaan kegiatan sistem pembayaran yang bersifat kritikal dan sistemik dapat berjalan dengan aman dan efisien. Sistem pembayaran yang termasuk kedalam Systemically Important Payment Systems merupakan sistem yang bersifat kritikal dan robust dimana terjadinya gangguan terhadap sistem tersebut akan menyebabkan shock dan dapat berkontribusi terhadap terjadinya krisis di sistem keuangan. Dengan melihat pengertian tersebut maka dalam penyelenggaraan sistem pembayaran di Indonesia, Sistem Bank Indonesia - Real Time Gross Settlement dan Sistem Kliring Nasional (Clearing/Netting System) dapat dikategorikan sebagai Systemically Important Payment Systems. Dengan demikian, penyelenggaraan sistem BI-RTGS dan SKN harus memenuhi (comply) terhadap CPSS Core Principles. Salah satu Core Principles yang terkait dengan dengan kesinambungan operasional sistem pembayaran adalah Core Principle VII, Bank for International Settlements yaitu :
Edisi 2006.1 17 Oktober 2006
Halaman
5
Business Continuity Management Sistem Pembayaran
The system should ensure a high degree of security and operational reliability and should have contingency arrangements for timely completion of daily processing. Dengan
demikian,
Bank
Indonesia
sebagi
operator
perlu
memperhatikan aspek operational reliability dalam penyelengaraan sistem BI-RTGS dan SKN-BI, diantaranya adalah : 1.
Penyelenggara sistem harus memperhatikan potensi gangguan baik dari sistem teknologi maupun gangguan yang disebabkan oleh infrastruktur lain dan bencana alam.
2.
Sistem memerlukan dokumen sistem dan prosedur operasional yang baik, tegas dan menyeluruh.
3.
Penyelengara sistem harus memiliki dokumen resmi business continuity plan yang resmi mudah dan praktis.
4.
Dokumen Business Continuity Plan harus terdokumentasi dengan baik dan dilakukan testing secara berkala Mengacu kepada standar penyelenggaraan sistem pembayaran yang
ditetapkan dalam Core Principles dalam maka penyusunan Business Continuity Management Sistem Pembayaran ini menjadi suatu keharusan. 3.2. METODE TAHAP PENGEMBANGAN Dalam penyusunan BCM Sistem Pembayaran akan menggunakan metode pengembangan yang mengacu kepada Good Practice Guidelines, The Business Continuity Institute. Metode yang digunakan merupakan Tahap-tahap pengembangan Business Continuity Management (BCM-life cycle ) yang dapat digambarkan sebagai berikut :
Edisi 2006.1 17 Oktober 2006
Halaman
6
Business Continuity Management Sistem Pembayaran
1 5
2 BCM
4
3
The Business Continuity Management Programme Sebagai tahap awal, diperlukannya keterlibatan manajemen puncak, penyusunan struktur oragnisasi dan kebijakan yang akan diambil dalam pengembangan BCM Sistem Pembayaran. Tahap I : Understanding Your Business Untuk menyusun BCM strategi yang tepat maka langkah awal yang perlu dilakukan adalah memahami kegiatan usaha yang dijalankan. Beberapa teknik akan dilakukan adalah melalui Business Impact Analysis dan Risk Assessment. Tahap II : Business Continuity Management Strategies Pada tahap ini dilakukan pemilihan strategi BCM yang tepat dari beberapa pilihan yang didapat dari informasi kajian Business Impact Analysis dan Risk Assessment. Tahap III : Developing a Business Continuity Management Response Fokus pada tahap ini akan ditujukan untuk mengidentifikasi beberapa langkah kegiatan yang dipandang perlu untuk dapat memulihkan gangguan yang terjadi pada kondisi normal. Edisi 2006.1 17 Oktober 2006
Halaman
7
Business Continuity Management Sistem Pembayaran
Tahap IV : Developing a Business Continuity Management Culture Pada tahap ini akan digambarkan langkah-langkah untuk meningkatkan kesadaran (awareness) akan BCM melalui desain komunikasi, training dan sosialisasi yang terintegrasi dengan strategi organisasi. Tahap V : Exercising, Maintenance and Audit Fokus pada tahap ini adalah penyusunan strategi testing, upaya-upaya pemeliharaan dan proses audit yang dilakukan dalam BCM Sistem Pembayaran.
4. BUSINESS IMPACT ANALYSIS DAN RISK ASSESSMENT SISTEM PEMBAYARAN 4.1.
BUSINESS IMPACT ANALYSIS SISTEM PEMBAYARAN
Business Impact Analysis adalah landasan awal dalam proses penyusunan BCM sistem pembayaran melalui proses identifikasi dampak bisnis, identifikasi aktivitas yang kritikal, penentuan target waktu pemulihan, dan pengukuran standar operasi mini mal yang dibutuhkan. Tujuan dari Business Impact Analysis adalah : 1. Memperoleh informasi yang menyeluruh mengenai fungsi oraganisasi dan business prcess yang kritika serta tingkat prioritas dari proses pemulihan setiap business process yang dilakukan. 2. Memberikan
informasi
kepada
manajemen
mengenai
Maximum
Tolerable Outage untuk setiap business process 3. Menyediakan informasi kepada manajemen dalam proses pengambilan keputusan/strategi yang akan ditentukan
Edisi 2006.1 17 Oktober 2006
Halaman
8
Business Continuity Management Sistem Pembayaran
Dalam penyusunan Business Impact Analysis Sistem Pembayaran dilakukan metode sebagai berikut : 1. Mengidentifikasi business process yang dilakukan dalam penyelenggaraan sistem BI-RTGS dan SKNBI. Identifikasi ini disusun berdasarkan business process yang dilakukan Bank Indonesia baik sebagai penyelengara sistem (operator) meupun Bank Indonesia sebagai peserta sistem (user). 2. Melakukan
analisa
interdependensi
antar
business
process
untuk
mengidentifikasi dampak resiko yang akan dihadapi apabila suatu business proses mengalami gangguan. 3. Melakukan identifikasi tingkat kritikal setiap business process dan menentukan Maximum Tolarable Outage melalui metode Enterprise Risk Management dan Business Impact Analysis Matrix
4.2.
RISK ASSESSMENT SISTEM PEMBAYARAN
Risk assessment merupakan tahap lanjutan dalam proses identifikasi business process dengan memfokuskan kepada business process yang bersifat sangat kritikal atau beresiko besar (high level).
Risk Assessment juga berfungsi
untuk mengidentifikasi business process yang bersifat “single points of failure”. Tujuan dilakukannya proses Risk Assessment adalah : 1. Mengidentifikasi ancaman/gangguan yang mungkin terjadi baik secara internal maupun eksternal 2. Melakukan assessment terhadap ancaman/gangguan yang didasarkan pada probability (kecenderungan) dan impact (dampak) 3. Menentukan
prioritas
tingkat
ancaman/gangguan
berdasarkan
pengukuran risk assessment Edisi 2006.1 17 Oktober 2006
Halaman
9
Business Continuity Management Sistem Pembayaran
4. Menyediakan informasi untuk penetapan strategi manajemen resiko Metodologi yang digunakan dalam penyusunan Risk Assessment adalah sebagai berikut : 1. Melakukan identifikasi ancaman/gangguan terhadap business process yang bersifat kritikal yang dihasilkan Business Impact Analysis. 2. Menentukan
nilai
(scoring)
tingkat
kecenderungan
(probability)
terjadinya ancaman/gangguan berdasarkan data kejadian masa lalu. 3. Menentukan estimasi nilai (scoring) tingkat dampak (impact) dari suatu ancaman/gangguan. 4. Menghitung resiko dari setiap ancaman/gangguan terhadap business process dengan mengkobinasikan antara tingkat kecenderungan (probability)
dan
tingkat
dampak
(impact)
dari
suatu
ancaman/gangguan.
Edisi 2006.1 17 Oktober 2006
Halaman
10