PEMBANGUNAN BUSINESS CONTINUITY PLANNING ORGANISASI (STUDI KASUS PT. LAPI ITB) 1
Soni Fajar Surya Gumilang, 2Wahyu Hadi Santoso Program Studi Teknik Informatika STMIK LPKIA Jln. Soekarno Hatta No. 456 Bandung 40266, Telp. +62 22 75642823, Fax. +62 22 7564282 Email :
[email protected],
[email protected] Abstrak Semua organisasi bisnis sangat berpeluang untuk terkena resiko operasional yang bisa menyebabkan kegagalan proses bisnis, terganggunya proses bisnis, bahkan bisa menyebabkan tutupnya kegiatan proses bisnis untuk selamanya. Hal-hal tersebut tentunya bisa berdampak buruk bagi organisasi bisnis sehingga dibutuhkan sistem formal untuk mengidentifikasi ancaman-ancaman yang dapat timbul, kemudian menyiapkan prosedur, strategi dan taktik yang diarahkan untuk meminimalisir dan menghilangkan ancaman-ancaman tersebut. Sistem formal tersebut adalah Business Continuity Planning (BCP). Business Continuity Planning (BCP) dan Disaster Recovery Planning (DRP) merupakan dua hal yang tidak terpisahkan dimana keduanya membahas mengenai pemeliharaan bisnis dalam menghadapi gangguan dan mengembalikannya ke kondisi normal. BCP dan DRP terdiri dari persiapan, pengujian, dan memperbarui tindakan-tindakan yang diperlukan untuk melindungi proses bisnis yang kritis dari akibat kegagalan jaringan dan sistem utama. BCP menunjukkan seberapa baik suatu perusahaan/organisasi mempersiapkan diri untuk bertahan hidup dari bencana yang tak terduga, terhadap gangguan maupun perubahan dimana organisasi tersebut harus mampu memastikan bahwa proses bisnis akan terus berfungsi walau dalam keterbatasan kondisi. Sedangkan DRP membahas tentang proses pemulihan secara cepat dari suatu keadaan darurat dengan dampak minimum pada organisasi. BCP tentunya bertujuan agar proses bisnis organisasi dapat tetap berjalan meski harus beroperasi dalam kondisi yang tidak biasanya, sehingga produk maupun layanan dapat tetap dihasilkan.
Kata kunci : business continuity planning , disaster recovery planning 1.
Pendahuluan
Pada 11 Maret 2011 Jepang dilanda tsunami yang cukup dahsyat. Bencana tersebut memporakporandakan hampir seluruh kegiatan bisnis di Jepang. Beberapa perusahaan raksasa seperti Sony Corp., Toyota Motor Corp., Honda Motor Co, Nissan Motor Co, mengumumkan penghentian sementara produksi mereka. Nilai saham perusahaan-perusahaan raksasa tersebut pun turun drastis, dan ini merupakan pukulan telak bagi para pelaku ekonomi di Jepang. Masih hangat di ingatan kita ketika serangan teroris menghantam salah satu ikon ekonomi di Amerika Serikat yaitu World Trade Center pada tanggal 11 September 2001. Impact dari bencana tersebut salah satunya adalah merosotnya indeks harga saham di bursa Wall Street. Tsunami yang menghantam Aceh pada Desember 2004 silam juga membuat perekonomian di Aceh porak-poranda. Bencana seperti serangan teroris yang dialami World Trade Center pada tahun 2001, tsunami Aceh di akhir tahun 2004 serta tsunami Jepang pada tahun 2011, maupun bencana-bencana lain dapat terjadi kapan saja, dimana saja dan dapat menimpa siapa saja. Peristiwa-peristiwa seperti tersebut di atas dapat merusak dan mengganggu kegiatan bisnis suatu organisasi/perusahaan. PT. LAPI ITB, tempat dimana penyusun melakukan penelitian, belum memiliki BCP. Prosedur yang
dimiliki hanya berupa prosedur tanggap darurat bila terjadi suatu bencana. Oleh karena itu, agar kelangsungan bisnis di PT. LAPI ITB dapat dijaga, perlu dibentuk perencanaan kelangsungan bisnis untuk menghadapi peristiwa tidak terduga yang dapat merusak kelangsungan bisnis di PT. LAPI ITB. Identifikasi Permasalahan : 1. Belum adanya prosedur pemulihan setelah bencana secara terpadu. 2. Sistem berjalan hanya berupa prosedur tanggap darurat apabila terjadi bencana. Ruang Lingkup Permasalahan : 1. Bagaimana memilih bentuk metodologi BCP yang sesuai untuk perusahaan. 2. Bagaimana bentuk BCP untuk perusahaan. Tujuan Perancangan : 1. Menentukan metodologi pembangunan BCP sesuai untuk perusahaan. 2. Membangun BCP dengan menggunakan metodologi pembangunan yang sesuai untuk perusahaan.
1
2.
peringatan bencana untuk mengurangi dampak negatif dari bencana selama situasi darurat diberlakukan. 4. Recovery. Pendekatan yang dilakukan suatu organisasi untuk memastikan kegiatan pemulihan dari bencana atau kerusakan proses bisnis lainnya.
Landasan Teori.
BCP (Business Continuity Planning) dapat didefinisikan sebagai dalam proses berulang-ulang yang dirancang untuk mengidentifikasi misi fungsi bisnis kritis dan menetapkan kebijakan, proses, rencana, dan prosedur untuk memastikan kelanjutan dari fungsi-fungsi ini dalam hal suatu peristiwa tak terduga (Chip Nickollet, 2001). BCP merupakan seperangkat prosedur dan informasi sumber daya yang terintegrasi yang bisa digunakan badan usaha/perusahaan untuk mencegah atau pulih dari bencana yang menyebabkan gangguan terhadap operasi bisnis. (Barnes, 2001). BCP mengacu kepada aktivitas yang dibutuhkan untuk menjaga agar kegiatan bisnis suatu perusahaan dapat tetap berjalan, baik dalam masa perpindahan maupun dalam masa gangguan. (Institute, 2002)
3.
Analisis Metodologi.
Perbandingan Metodologi : Model pembangunan BCP yang akan digunakan
Metodologi 1
Metodologi 2
Metodologi 3
Metodologi 4
Metodologi 5
Penentuan Tujuan, Sasaran, Lingkup dan Asumsi Inisiasi Program
BCP bisa didefinisikan sebagai identifikasi dan perlindungan dari proses bisnis penting dan sumber daya yang dibutuhkan untuk mempertahankan suatu tingkat bisnis yang bisa diterima, melindungi sumber daya tersebut dan mempersiapkan prosedur untuk memastikan kelangsungan hidup organisasi pada saat terjadi gangguan. (Hiles, 2007)
Inisiasi Proyek
Inisiasi Proyek
Penentuan Koordinator Perencanaan
Inisiasi Proyek
Penentuan Aksi, Koordinasi Tanggung Jawab
Awareness Workshop/Pelatihan kesiapsiagaan
Identifikasi Resiko
Melakukan Penilaian Resiko
Penilaian Resiko
Identifikasi Resiko
Analisis Dampak Bisnis
Analisis Dampak Bisnis
Melakukan Analisis Dampak Bisnis
Analisis Dampak Bisnis
Analisis Dampak Bisnis
Pemilihan Strategi
Pemilihan Strategi
Penentuan Strategi Kelangsungan Bisnis
Pengembangan Strategi Mitigasi
Penentuan Strategi Kelangsungan Bisnis
Pembuatan Rencana
Pembuatan Rencana
Pembuatan BCP
Pembuatan BCP
Pembuatan BCP
Pelatihan, Pengujian dan Audit
Pengujian Perencanaan
Perawatan Perencanaan
Perawatan Perencanaan
Penilaian Resiko
Konsep Dasar BCP : 1. Penilaian secara realistis dan penentuan manajemen resiko; 2. Pengetahuan akan konsekuensi bisnis yang akan terjadi bila dengan hilangnya fasilitas kunci, proses, aktifitas atau manusia; 3. Strategi yang tepat untuk mengurangi kerusakan dan pulih dari bencana dalam waktu singkat.
Persiapan Dasar Proyek (Project Foundation)
Penilaian Bisnis
Pemilihan Tim Pemulihan
Memilih Strategi dan Perencanaan Pemulihan
Dokumentasi BCP
Pengujian Rencana
Alasan mengapa perusahaan harus memiliki BCP : 1. Menyediakan prosedur untuk mempertahankan operasi bisnis utama saat dilakukannya pemulihan dari gangguan bisnis; 2. Meminimalisir efek dari bencana; 3. Organisasi memiliki prosedur pengelolaan resiko; 4. Organisasi memiliki penanggung jawab BCP.
Pengujian Perencanaan Pengujian Dan Perawatan
Pendistribusian Rencana
Pengujian dan Perawatan Perawatan Perencanaan
Perawatan Rencana
Metodologi Usulan :
Karakteristik 4R BCP : 1. Reduction. Identifikasi serta penilaian terhadap resiko sehingga dengan adanya BCP, diharapkan resiko dapat dikurangi atau diminimalisir. 2. Readiness. Berhubungan dengan kesiapan organisasi dalam menghadapi bencana yang dapat mengancam kegiatan bisnis utama mereka. Kepemilikan BCP dapat menciptakan kondisi “aware” dari setiap kemungkinan bencana yang menimpa organisasi tersebut. 3. Response. Aksi cepat tanggap secara cepat yang dilakukan dalam rangka respon terhadap
Tahapan-tahapan yang terdapat dalam 5 metodologi di atas dikelompokan menjadi 6 tahapan utama dan dikelompokan berdasarkan kesamaan proses yang dilakukan. 6 tahapan tersebut antara lain : 1. Inisiasi Proyek. 2. Penilaian Resiko. 3. Analisis Dampak Bisnis 4. Pemilihan Strategi 5. Pembuatan Perencanaan 6. Pengujian dan Perawatan. 2
6 tahapan di atas merupakan model pembangungn BCP yang bila disesuaikan dengan PDCA (Plan, Do, Check, Act) model pada ISO 22301 (BCMS) tahap 1 s/d 4 masuk ke dalam “Plan”, tahap 5 sebagai “Do”, dan tahap 6 sebagai “Check and Act”.
Proses Bisnis PT. LAPI ITB :
KEGIATAN PENDUKUNG
PROSES MANAJEMEN SUMBERDAYA
PROSES PENGUKURAN, ANALISIS & PERBAIKAN
PROSES REALISASI PRODUK
PROSES TANGGUNG JAWAB MANAJEMEN
Model Pembangunan BCP (Input, proses, output) : Input
Proses
Output
Identifikasi proses bisnis Inisiasi Proyek
Struktur Organisasi
Penilaian Resiko
Proses Bisnis
Proses Bisnis
Identifikasi stakeholder, lingkup dan asumsi
Dokumentasi proyek
Identifikasi Resiko Klasifikasi Resiko Analisis resiko (berdasarkan peluang kemunculan)
Daftar Resiko dan hasil analisis
Pemahaman proses bisnis
Proses Bisnis Analisis Dampak Bisnis Daftar resiko dan hasil analisis Daftar resiko dan dampaknya Pemakaian TI dalam organisasi
Pemilihan Strategi
Daftar sumber daya
Pembuatan Perencanaan
Strategi pemulihan berdasarkan resiko Daftar resiko dan dampaknya
KEGIATAN UTAMA
Model pembangunan BCP
MARGIN (JASA)
KEMITRAAN KOMERSIAL DI BIDANG PELATIHAN
Daftar Sumber daya
Analisis dampak resiko terhadap proses bisnis utama & kritikal
Daftar resiko dan dampaknya
ULP ULP
Strategi pencegahan dan pemulihan
Analisis strategi yang sesuai dengan kondisi organisasi
Pendokumentasian perencanaan
Pengujian data
PEMILIHAN STRATEGI
Mulai
Mulai
Login
Login
Username & password benar ?
Username & password benar ?
PA/KPA PA/KPA
Jadwal & petunjuk perawatan dan pelatihan
PEMBUATAN PERENCANAAN
Tidak
Ya
Ya
Membuat Pengumuman Lelang
Mendaftar & Unduh Dokumen Pengadaan
Pengumuman Lelang
Pengumuman Lelang
Dokumen Lelang
Bertanya dan meminta penjelasan
Memberikan Penjelasan
Proses Tanya Jawab
Daftar Pertanyaan
Daftar Penjelasan
Daftar Penjelasan
Susun & Unggah Dokumen Penawaran
PENGUJIAN DAN PERAWATAN
Evaluasi Penawaran
Daftar Peserta yang lulus
4.
PENYEDIA PENYEDIA
Tidak
Hubungan timbal balik tahapan pembangunan BCP: ANALISIS DAMPAK BISNIS
SPSE SPSE
Dokumentasi BCP
Pembuatan jadwal & petunjuk perawatan serta pelatihan
PENILAIAN RESIKO
TEPAT GUNA
Mengikuti Kegiatan Lelang
Identifikasi strategi
Hasil pengujian data
INISIASI PROYEK
BIDANG TEKNOLOGI
Penggambaran Fungsi Bisnis Kegiatan Mengikuti Lelang :
Pemakaian TI di organisasi
Identifikasi sumber daya
Pembuatan metode pengujian Dokumentasi BCP
BIDANG KONSULTANSI
KEMITRAAN KOMERSIAL DI
Nilai kritikal fungsi bisnis
Identifikasi fungsi bisnis utama Identifikasi pemakaian TI di organisasi
Daftar sumber daya
Pengujian dan Perawatan
KEMITRAAN KOMERSIAL DI
Dokumen Penawaran
Pengumuman Lelang
Lihat Pengumuman
Implementasi.
Lulus ?
Evaluasi dokumen kualifikasi
Tidak
Struktur Organisasi Perusahaan :
Dokumen Kualifikasi
Persiapan Pembuktian Kualifikasi
Daftar Pemenang & Cadangan Pemenang Lelang
Selesai
Ya
Pengumuman Pemenang Lelang
Melihat Pengumuman Pemenang
Melakukan Sanggah ?
Tidak
Selesai
Ya Menerima Tembusan Sanggah Banding
Daftar Pemenang & Cadangan Pemenang Lelang setelah masa sanggah
Daftar Sanggahan Peserta
Daftar Sanggahan
Tidak
Evaluasi Sanggahan Peserta
Menerima Sanggahan Peserta ?
Ya Klarifikasi Teknis & Negosiasi Harga
Membuat Surat Penunjukan Penyedia Barang/ Jasa
a
3
Memerintahkan untuk Menghentikan Proses Lelang
Selesai
Penggambaran Fungsi Bisnis Kegiatan Pelaksanaan Pekerjaan :
Penggambaran Fungsi Bisnis Kegiatan Penagihan Pekerjaan :
Pelaksanaan Pekerjaan ULP ULP
DEPARTEMEN DEPARTEMEN PENGEMBANGAN PENGEMBANGANUSAHA USAHA
Penagihan DEPARTEMEN DEPARTEMENSMKK3L SMKK3L
TIM TIMPELAKSANA PELAKSANAPEKERJAAN PEKERJAAN
DEPARTEMEN DEPARTEMEN PENGEMBANGAN PENGEMBANGANUSAHA USAHA
DEPARTEMEN DEPARTEMENKEUANGAN KEUANGAN
PELANGGAN PELANGGAN
a
b
Menerbitkan Dokumen Kontrak
Permohonan Pembuatan Invoice
Meminta ttd ke Pimpinan Dokumen Kontrak ttd 1 pihak
Dokumen Kontrak ttd 2 pihak Rangkap ke-1
Periksa Kelengkapan sbg syarat membuat invoice
Daftar Permohonan
Dokumen Kontrak ttd 2 pihak
Dokumen Kontrak ttd 2 pihak Rangkap ke-2
Tidak Lengkap ?
Menerbitkan dan Menyerahkan Surat Perintah Mulai Kerja (SPMK)
Ya
SPMK
Tidak
Membuat Invoice Arsip SPMK
Melaksanakan Pekerjaan
Softcopy Invoice
SPMK
Hasil Pekerjaan (laporan pekerjaan)
Hardcopy Invoice
Periksa Kelengkapan invoice
Hasil Pekerjaan (laporan pekerjaan)
Menyerahkan Hasil Pekerjaan
Lengkap & Memenuhi Syarat ?
Salinan Laporan Pekerjaan
Menerbitkan Berita Acara Serah Terima Pekerjaan (BAST)
Ya
BAST ttd 1 pihak
Meminta ttd ke Pimpinan
BAST ttd 2 pihak Rangkap ke-1
BAST ttd 2 pihak BAST ttd 2 pihak
Tidak
Melakukan Pembayaran Pekerjaan
Memeriksa Pembayaran
Bukti Pembayaran
BAST ttd 2 pihak Rangkap ke-2
b
Masuk ?
Ya Uang Masuk
c
4
Penggambaran Fungsi Bisnis Kegiatan Pembayaran Pekerjaan kepada Pelaksana Pekerjaan :
No
Pembayaran Pekerjaan ke Tenaga Ahli/Tim Pelaksana Pekerjaan DEPARTEMEN DEPARTEMENKEUANGAN KEUANGAN
DEPARTEMEN DEPARTEMEN PENGEMBANGAN PENGEMBANGANUSAHA USAHA
Fungsi Bisnis
Proses Bisnis
Tingkat Kritikal
4
Pengelolaan Keuangan
Pengelolaan Pengeluaran Uang
Mission-critical
5
Tender
Pendaftaran
Mission-critical
6
Tender
Prakualifikasi
Mission-critical
7
Tender
Penyusunan Proposal
Mission-critical
8
Pelaksanaan Proyek & Penyerahan Laporan
Manajemen Proyek
Mission-critical
PEMIMPIN PEMIMPINPROYEK/TIM PROYEK/TIM PELAKSANA PELAKSANAPEKERJAAN PEKERJAAN
c
Membuat Form SPPU
Form SPPU (Surat Perintah Pengeluaran Uang)
Menyerahkan Form SPPU ke Pemimpin Proyek
Mengisi Form SPPU
Resiko yang mengancam kelangsungan bisnis organisasi bisa dikurangi dengan menerapkan strategi mitigasi resiko. Ada 4 (empat) strategi yang dapat dipilih dan diterapkan dalam organisasi, diantaranya : 1. Risk Acceptance/Menerima Resiko. Strategi ini tidak benar-benar bagian dari strategi mitigasi karena dengan menerima resiko tidak akan mengurangi efek dari resiko tersebut. Namun penerimaan resiko merupakan bagian dari manajemen resiko. Strategi ini merupakan strategi dengan biaya pengelolaan yang rendah, namun akan memakan biaya pemulihan yang tinggi setelah resiko terjadi. 2. Risk Avoidance/Menghindari Resiko. Strategi ini kebalikan dari strategi risk acceptance, dimana strategi ini dapat menekan resiko sampai ke titik terendah dengan biaya pengelolaan yang sangat tinggi, namun biaya pemulihannya rendah. Strategi yang dilakukan adalah dengan mematikan sistem yang memiliki nilai kritikal tinggi. Bisa juga dengan memindahkan sistem tersebut ke tempat yang jauh dari resiko. 3. Risk Limitation/Pembatasan Resiko. Strategi ini merupakan strategi yang paling umum digunakan oleh para pelaku bisnis dimana strategi yang dilakukan diantaranya dengan cara melakukan berapa tindakan untuk membatasi terjadinya suatu resiko. Contohnya dengan melakukan backup harian dari data bisnis yang memiliki nilai kritikal yang cukup tinggi. 4. Risk Transference/Pengalihan Resiko. Strategi ini dilakukan dengan cara mengalihkan resiko ke pihak lain dan sudah jelas pengalihan resiko ini berhubungan dengan pengeluaran biaya. Salah satu contoh umum adalah asuransi.
Tidak
SPPU yang sudah diisi
Menyerahkan SPPU yang sudah diisi
Periksa SPPU
Lengkap ?
Ya
Tidak
Melakukan Pembayaran
Bukti Pembayaran
Periksa Uang Masuk
Masuk ?
Ya
Selesai
Analisa Dampak Bisnis, dimana proses bisnis utama yang memiliki tingkat kritikal “missioncritical” menjadi fokus utama pemulihan.
No
Fungsi Bisnis
Proses Bisnis
Tingkat Kritikal
1
Tanggung Jawab, wewenang, dan komunikasi
Komunikasi
Mission-critical
2
Pengelolaan Keuangan
Pengelolaan Invoice
Mission-critical
3
Pengelolaan Keuangan
Pengelolaan Uang Masuk
Mission-critical
Setelah melihat 4 (empat) strategi di atas serta setelah mempertimbangkan resiko, kebutuhan, kondisi serta kemampuan PT. LAPI ITB, maka 5
strategi yang akan digunakan adalah risk limitation dan risk transference. Dimana dalam strategi ini akan dilakukan pemulihan dan pencegahan sederhana. Dalam kaitannya dengan proses bisnis PT. LAPI ITB, langkah yang bisa dilakukan misalnya dengan memasang firewall untuk menjaga agar jaringan tetap aman, backup data secara rutin dan terjadwal, berlatih tata cara penanganan kebakaran, dsb. Sedangkan untuk risk transference akan digunakan asuransi (dengan pertimbangan).
7. 8. 9.
10. 11. 12.
5.
Kesimpulan dan Saran.
Kesimpulan : 1. Pembangunan BCP yang telah dilakukan menghasilkan prosedur pemulihan secara terpadu yang dituangkan dalam dokumen Business Continuity Plan seperti tertuang dalam lampiran BCP.1. 2. Prosedur yang dimiliki PT. LAPI ITB dalam menghadapi keadaan darurat tidak hanya berupa prosedur tanggap darurat saja, melainkan satu prosedur baru berupa prosedur pemulihan setelah bencana yang dituangkan dalam dokumen Business Continuity Plan seperti tertera pada lampiran BCP.1.
13. 14. 15.
16.
Saran : 1. BCP yang telah disusun dilengkapi dan diperbaharui oleh PT. LAPI ITB mengikuti perubahan-perubahan yang mungkin terjadi di PT. LAPI ITB. 2. Agar BCP yang telah disusun lebih sempurna, perlu dilakukan re-assessment oleh ahli-ahli professional yang berpengalaman dalam bidang pembangunan BCP.
Daftar Pustaka : 1. James C. Barnes. 2001. A Guide to Business Continuity Planning. John Wiley & son, Ltd. 2. Andrew Hiles. 2007. The Definitive Handbook of Business Continuity Management. John Wiley & Sons Ltd. 3. Susan Snedaker. 2007. Business Continuity Planning and Disaster Recovery Planning for IT Professional. Syngress Publishing Inc. 4. Michael Gallagher. 2003. Business Continuity Management. How to protect your company from danger. Prentice Hall. 5. Kenneth L. Fulmer. 2005. Business Continuity Planning : A Step by Step Guide with Planning Forms. Rothstein Associates Inc. 6. Virginia Cerullo & Michael J. Cerullo. 2004. Business Continuity Planning : A Comprehensive Approach. 6
Chip Nickollet, MBA, PMP. 2001. Disaster Recovery White Papers. SANS Institute. 2002. Introduction to Business Continuity planning. Mariane Swanson. 2002. Contingency Planning Guide for Information Technology System (NIST Special Publication 800-34) Ardhian Agung Yulianto dkk. 2009. Analisis dan Desain Sistem Informasi http://www.businessdictionary.com, diakses tanggal 30 Agustus 2014, pukul 13.00 WIB. Thomas H. Davenport. 1993. Process Innovation: Reengineering Work Through Information Technology. Harvard Business School Press. Disaster Recovery Journal Glossary. Business Recovery Journal Glossary. http://www.iso-22301.blogspot.com, diakses pada tanggal 2 September 2014, pukul 23.20 WIB. http://www.jurnal-sdm.blogspot.com, diakses pada tanggal 2 September 2014, pukul 23.20 WIB.