PEMBANGUNAN BUSINESS CONTINUITY PLANNING ORGANISASI (STUDI KASUS PT. LAPI ITB)

PEMBANGUNAN BUSINESS CONTINUITY PLANNING ORGANISASI (STUDI KASUS PT. LAPI ITB) 1

Soni Fajar Surya Gumilang, 2Wahyu Hadi Santoso Program Studi Teknik Informatika STMIK LPKIA Jln. Soekarno Hatta No. 456 Bandung 40266, Telp. +62 22 75642823, Fax. +62 22 7564282 Email : [email protected], [email protected] Abstrak Semua organisasi bisnis sangat berpeluang untuk terkena resiko operasional yang bisa menyebabkan kegagalan proses bisnis, terganggunya proses bisnis, bahkan bisa menyebabkan tutupnya kegiatan proses bisnis untuk selamanya. Hal-hal tersebut tentunya bisa berdampak buruk bagi organisasi bisnis sehingga dibutuhkan sistem formal untuk mengidentifikasi ancaman-ancaman yang dapat timbul, kemudian menyiapkan prosedur, strategi dan taktik yang diarahkan untuk meminimalisir dan menghilangkan ancaman-ancaman tersebut. Sistem formal tersebut adalah Business Continuity Planning (BCP). Business Continuity Planning (BCP) dan Disaster Recovery Planning (DRP) merupakan dua hal yang tidak terpisahkan dimana keduanya membahas mengenai pemeliharaan bisnis dalam menghadapi gangguan dan mengembalikannya ke kondisi normal. BCP dan DRP terdiri dari persiapan, pengujian, dan memperbarui tindakan-tindakan yang diperlukan untuk melindungi proses bisnis yang kritis dari akibat kegagalan jaringan dan sistem utama. BCP menunjukkan seberapa baik suatu perusahaan/organisasi mempersiapkan diri untuk bertahan hidup dari bencana yang tak terduga, terhadap gangguan maupun perubahan dimana organisasi tersebut harus mampu memastikan bahwa proses bisnis akan terus berfungsi walau dalam keterbatasan kondisi. Sedangkan DRP membahas tentang proses pemulihan secara cepat dari suatu keadaan darurat dengan dampak minimum pada organisasi. BCP tentunya bertujuan agar proses bisnis organisasi dapat tetap berjalan meski harus beroperasi dalam kondisi yang tidak biasanya, sehingga produk maupun layanan dapat tetap dihasilkan.

Kata kunci : business continuity planning , disaster recovery planning 1.

Pendahuluan

Pada 11 Maret 2011 Jepang dilanda tsunami yang cukup dahsyat. Bencana tersebut memporakporandakan hampir seluruh kegiatan bisnis di Jepang. Beberapa perusahaan raksasa seperti Sony Corp., Toyota Motor Corp., Honda Motor Co, Nissan Motor Co, mengumumkan penghentian sementara produksi mereka. Nilai saham perusahaan-perusahaan raksasa tersebut pun turun drastis, dan ini merupakan pukulan telak bagi para pelaku ekonomi di Jepang. Masih hangat di ingatan kita ketika serangan teroris menghantam salah satu ikon ekonomi di Amerika Serikat yaitu World Trade Center pada tanggal 11 September 2001. Impact dari bencana tersebut salah satunya adalah merosotnya indeks harga saham di bursa Wall Street. Tsunami yang menghantam Aceh pada Desember 2004 silam juga membuat perekonomian di Aceh porak-poranda. Bencana seperti serangan teroris yang dialami World Trade Center pada tahun 2001, tsunami Aceh di akhir tahun 2004 serta tsunami Jepang pada tahun 2011, maupun bencana-bencana lain dapat terjadi kapan saja, dimana saja dan dapat menimpa siapa saja. Peristiwa-peristiwa seperti tersebut di atas dapat merusak dan mengganggu kegiatan bisnis suatu organisasi/perusahaan. PT. LAPI ITB, tempat dimana penyusun melakukan penelitian, belum memiliki BCP. Prosedur yang

dimiliki hanya berupa prosedur tanggap darurat bila terjadi suatu bencana. Oleh karena itu, agar kelangsungan bisnis di PT. LAPI ITB dapat dijaga, perlu dibentuk perencanaan kelangsungan bisnis untuk menghadapi peristiwa tidak terduga yang dapat merusak kelangsungan bisnis di PT. LAPI ITB. Identifikasi Permasalahan : 1. Belum adanya prosedur pemulihan setelah bencana secara terpadu. 2. Sistem berjalan hanya berupa prosedur tanggap darurat apabila terjadi bencana. Ruang Lingkup Permasalahan : 1. Bagaimana memilih bentuk metodologi BCP yang sesuai untuk perusahaan. 2. Bagaimana bentuk BCP untuk perusahaan. Tujuan Perancangan : 1. Menentukan metodologi pembangunan BCP sesuai untuk perusahaan. 2. Membangun BCP dengan menggunakan metodologi pembangunan yang sesuai untuk perusahaan.

1

2.

peringatan bencana untuk mengurangi dampak negatif dari bencana selama situasi darurat diberlakukan. 4. Recovery. Pendekatan yang dilakukan suatu organisasi untuk memastikan kegiatan pemulihan dari bencana atau kerusakan proses bisnis lainnya.

Landasan Teori.

BCP (Business Continuity Planning) dapat didefinisikan sebagai dalam proses berulang-ulang yang dirancang untuk mengidentifikasi misi fungsi bisnis kritis dan menetapkan kebijakan, proses, rencana, dan prosedur untuk memastikan kelanjutan dari fungsi-fungsi ini dalam hal suatu peristiwa tak terduga (Chip Nickollet, 2001). BCP merupakan seperangkat prosedur dan informasi sumber daya yang terintegrasi yang bisa digunakan badan usaha/perusahaan untuk mencegah atau pulih dari bencana yang menyebabkan gangguan terhadap operasi bisnis. (Barnes, 2001). BCP mengacu kepada aktivitas yang dibutuhkan untuk menjaga agar kegiatan bisnis suatu perusahaan dapat tetap berjalan, baik dalam masa perpindahan maupun dalam masa gangguan. (Institute, 2002)

3.

Analisis Metodologi.

Perbandingan Metodologi : Model pembangunan BCP yang akan digunakan

Metodologi 1

Metodologi 2

Metodologi 3

Metodologi 4

Metodologi 5

Penentuan Tujuan, Sasaran, Lingkup dan Asumsi Inisiasi Program

BCP bisa didefinisikan sebagai identifikasi dan perlindungan dari proses bisnis penting dan sumber daya yang dibutuhkan untuk mempertahankan suatu tingkat bisnis yang bisa diterima, melindungi sumber daya tersebut dan mempersiapkan prosedur untuk memastikan kelangsungan hidup organisasi pada saat terjadi gangguan. (Hiles, 2007)

Inisiasi Proyek

Inisiasi Proyek

Penentuan Koordinator Perencanaan

Inisiasi Proyek

Penentuan Aksi, Koordinasi Tanggung Jawab

Awareness Workshop/Pelatihan kesiapsiagaan

Identifikasi Resiko

Melakukan Penilaian Resiko

Penilaian Resiko

Identifikasi Resiko

Analisis Dampak Bisnis

Analisis Dampak Bisnis

Melakukan Analisis Dampak Bisnis

Analisis Dampak Bisnis

Analisis Dampak Bisnis

Pemilihan Strategi

Pemilihan Strategi

Penentuan Strategi Kelangsungan Bisnis

Pengembangan Strategi Mitigasi

Penentuan Strategi Kelangsungan Bisnis

Pembuatan Rencana

Pembuatan Rencana

Pembuatan BCP

Pembuatan BCP

Pembuatan BCP

Pelatihan, Pengujian dan Audit

Pengujian Perencanaan

Perawatan Perencanaan

Perawatan Perencanaan

Penilaian Resiko

Konsep Dasar BCP : 1. Penilaian secara realistis dan penentuan manajemen resiko; 2. Pengetahuan akan konsekuensi bisnis yang akan terjadi bila dengan hilangnya fasilitas kunci, proses, aktifitas atau manusia; 3. Strategi yang tepat untuk mengurangi kerusakan dan pulih dari bencana dalam waktu singkat.

Persiapan Dasar Proyek (Project Foundation)

Penilaian Bisnis

Pemilihan Tim Pemulihan

Memilih Strategi dan Perencanaan Pemulihan

Dokumentasi BCP

Pengujian Rencana

Alasan mengapa perusahaan harus memiliki BCP : 1. Menyediakan prosedur untuk mempertahankan operasi bisnis utama saat dilakukannya pemulihan dari gangguan bisnis; 2. Meminimalisir efek dari bencana; 3. Organisasi memiliki prosedur pengelolaan resiko; 4. Organisasi memiliki penanggung jawab BCP.

Pengujian Perencanaan Pengujian Dan Perawatan

Pendistribusian Rencana

Pengujian dan Perawatan Perawatan Perencanaan

Perawatan Rencana

Metodologi Usulan :

Karakteristik 4R BCP : 1. Reduction. Identifikasi serta penilaian terhadap resiko sehingga dengan adanya BCP, diharapkan resiko dapat dikurangi atau diminimalisir. 2. Readiness. Berhubungan dengan kesiapan organisasi dalam menghadapi bencana yang dapat mengancam kegiatan bisnis utama mereka. Kepemilikan BCP dapat menciptakan kondisi “aware” dari setiap kemungkinan bencana yang menimpa organisasi tersebut. 3. Response. Aksi cepat tanggap secara cepat yang dilakukan dalam rangka respon terhadap

Tahapan-tahapan yang terdapat dalam 5 metodologi di atas dikelompokan menjadi 6 tahapan utama dan dikelompokan berdasarkan kesamaan proses yang dilakukan. 6 tahapan tersebut antara lain : 1. Inisiasi Proyek. 2. Penilaian Resiko. 3. Analisis Dampak Bisnis 4. Pemilihan Strategi 5. Pembuatan Perencanaan 6. Pengujian dan Perawatan. 2

6 tahapan di atas merupakan model pembangungn BCP yang bila disesuaikan dengan PDCA (Plan, Do, Check, Act) model pada ISO 22301 (BCMS) tahap 1 s/d 4 masuk ke dalam “Plan”, tahap 5 sebagai “Do”, dan tahap 6 sebagai “Check and Act”.

Proses Bisnis PT. LAPI ITB :

KEGIATAN PENDUKUNG

PROSES MANAJEMEN SUMBERDAYA

PROSES PENGUKURAN, ANALISIS & PERBAIKAN

PROSES REALISASI PRODUK

PROSES TANGGUNG JAWAB MANAJEMEN

Model Pembangunan BCP (Input, proses, output) : Input

Proses

Output

Identifikasi proses bisnis Inisiasi Proyek

Struktur Organisasi

Penilaian Resiko

Proses Bisnis

Proses Bisnis

Identifikasi stakeholder, lingkup dan asumsi

Dokumentasi proyek

Identifikasi Resiko Klasifikasi Resiko Analisis resiko (berdasarkan peluang kemunculan)

Daftar Resiko dan hasil analisis

Pemahaman proses bisnis

Proses Bisnis Analisis Dampak Bisnis Daftar resiko dan hasil analisis Daftar resiko dan dampaknya Pemakaian TI dalam organisasi

Pemilihan Strategi

Daftar sumber daya

Pembuatan Perencanaan

Strategi pemulihan berdasarkan resiko Daftar resiko dan dampaknya

KEGIATAN UTAMA

Model pembangunan BCP

MARGIN (JASA)

KEMITRAAN KOMERSIAL DI BIDANG PELATIHAN

Daftar Sumber daya

Analisis dampak resiko terhadap proses bisnis utama & kritikal

Daftar resiko dan dampaknya

ULP ULP

Strategi pencegahan dan pemulihan

Analisis strategi yang sesuai dengan kondisi organisasi

Pendokumentasian perencanaan

Pengujian data

PEMILIHAN STRATEGI

Mulai

Mulai

Login

Login

Username & password benar ?

Username & password benar ?

PA/KPA PA/KPA

Jadwal & petunjuk perawatan dan pelatihan

PEMBUATAN PERENCANAAN

Tidak

Ya

Ya

Membuat Pengumuman Lelang

Mendaftar & Unduh Dokumen Pengadaan

Pengumuman Lelang

Pengumuman Lelang

Dokumen Lelang

Bertanya dan meminta penjelasan

Memberikan Penjelasan

Proses Tanya Jawab

Daftar Pertanyaan

Daftar Penjelasan

Daftar Penjelasan

Susun & Unggah Dokumen Penawaran

PENGUJIAN DAN PERAWATAN

Evaluasi Penawaran

Daftar Peserta yang lulus

4.

PENYEDIA PENYEDIA

Tidak

Hubungan timbal balik tahapan pembangunan BCP: ANALISIS DAMPAK BISNIS

SPSE SPSE

Dokumentasi BCP

Pembuatan jadwal & petunjuk perawatan serta pelatihan

PENILAIAN RESIKO

TEPAT GUNA

Mengikuti Kegiatan Lelang

Identifikasi strategi

Hasil pengujian data

INISIASI PROYEK

BIDANG TEKNOLOGI

Penggambaran Fungsi Bisnis Kegiatan Mengikuti Lelang :

Pemakaian TI di organisasi

Identifikasi sumber daya

Pembuatan metode pengujian Dokumentasi BCP

BIDANG KONSULTANSI

KEMITRAAN KOMERSIAL DI

Nilai kritikal fungsi bisnis

Identifikasi fungsi bisnis utama Identifikasi pemakaian TI di organisasi

Daftar sumber daya

Pengujian dan Perawatan

KEMITRAAN KOMERSIAL DI

Dokumen Penawaran

Pengumuman Lelang

Lihat Pengumuman

Implementasi.

Lulus ?

Evaluasi dokumen kualifikasi

Tidak

Struktur Organisasi Perusahaan :

Dokumen Kualifikasi

Persiapan Pembuktian Kualifikasi

Daftar Pemenang & Cadangan Pemenang Lelang

Selesai

Ya

Pengumuman Pemenang Lelang

Melihat Pengumuman Pemenang

Melakukan Sanggah ?

Tidak

Selesai

Ya Menerima Tembusan Sanggah Banding

Daftar Pemenang & Cadangan Pemenang Lelang setelah masa sanggah

Daftar Sanggahan Peserta

Daftar Sanggahan

Tidak

Evaluasi Sanggahan Peserta

Menerima Sanggahan Peserta ?

Ya Klarifikasi Teknis & Negosiasi Harga

Membuat Surat Penunjukan Penyedia Barang/ Jasa

a

3

Memerintahkan untuk Menghentikan Proses Lelang

Selesai

Penggambaran Fungsi Bisnis Kegiatan Pelaksanaan Pekerjaan :

Penggambaran Fungsi Bisnis Kegiatan Penagihan Pekerjaan :

Pelaksanaan Pekerjaan ULP ULP

DEPARTEMEN DEPARTEMEN PENGEMBANGAN PENGEMBANGANUSAHA USAHA

Penagihan DEPARTEMEN DEPARTEMENSMKK3L SMKK3L

TIM TIMPELAKSANA PELAKSANAPEKERJAAN PEKERJAAN

DEPARTEMEN DEPARTEMEN PENGEMBANGAN PENGEMBANGANUSAHA USAHA

DEPARTEMEN DEPARTEMENKEUANGAN KEUANGAN

PELANGGAN PELANGGAN

a

b

Menerbitkan Dokumen Kontrak

Permohonan Pembuatan Invoice

Meminta ttd ke Pimpinan Dokumen Kontrak ttd 1 pihak

Dokumen Kontrak ttd 2 pihak Rangkap ke-1

Periksa Kelengkapan sbg syarat membuat invoice

Daftar Permohonan

Dokumen Kontrak ttd 2 pihak

Dokumen Kontrak ttd 2 pihak Rangkap ke-2

Tidak Lengkap ?

Menerbitkan dan Menyerahkan Surat Perintah Mulai Kerja (SPMK)

Ya

SPMK

Tidak

Membuat Invoice Arsip SPMK

Melaksanakan Pekerjaan

Softcopy Invoice

SPMK

Hasil Pekerjaan (laporan pekerjaan)

Hardcopy Invoice

Periksa Kelengkapan invoice

Hasil Pekerjaan (laporan pekerjaan)

Menyerahkan Hasil Pekerjaan

Lengkap & Memenuhi Syarat ?

Salinan Laporan Pekerjaan

Menerbitkan Berita Acara Serah Terima Pekerjaan (BAST)

Ya

BAST ttd 1 pihak

Meminta ttd ke Pimpinan

BAST ttd 2 pihak Rangkap ke-1

BAST ttd 2 pihak BAST ttd 2 pihak

Tidak

Melakukan Pembayaran Pekerjaan

Memeriksa Pembayaran

Bukti Pembayaran

BAST ttd 2 pihak Rangkap ke-2

b

Masuk ?

Ya Uang Masuk

c

4

Penggambaran Fungsi Bisnis Kegiatan Pembayaran Pekerjaan kepada Pelaksana Pekerjaan :

No

Pembayaran Pekerjaan ke Tenaga Ahli/Tim Pelaksana Pekerjaan DEPARTEMEN DEPARTEMENKEUANGAN KEUANGAN

DEPARTEMEN DEPARTEMEN PENGEMBANGAN PENGEMBANGANUSAHA USAHA

Fungsi Bisnis

Proses Bisnis

Tingkat Kritikal

4

Pengelolaan Keuangan

Pengelolaan Pengeluaran Uang

Mission-critical

5

Tender

Pendaftaran

Mission-critical

6

Tender

Prakualifikasi

Mission-critical

7

Tender

Penyusunan Proposal

Mission-critical

8

Pelaksanaan Proyek & Penyerahan Laporan

Manajemen Proyek

Mission-critical

PEMIMPIN PEMIMPINPROYEK/TIM PROYEK/TIM PELAKSANA PELAKSANAPEKERJAAN PEKERJAAN

c

Membuat Form SPPU

Form SPPU (Surat Perintah Pengeluaran Uang)

Menyerahkan Form SPPU ke Pemimpin Proyek

Mengisi Form SPPU

Resiko yang mengancam kelangsungan bisnis organisasi bisa dikurangi dengan menerapkan strategi mitigasi resiko. Ada 4 (empat) strategi yang dapat dipilih dan diterapkan dalam organisasi, diantaranya : 1. Risk Acceptance/Menerima Resiko. Strategi ini tidak benar-benar bagian dari strategi mitigasi karena dengan menerima resiko tidak akan mengurangi efek dari resiko tersebut. Namun penerimaan resiko merupakan bagian dari manajemen resiko. Strategi ini merupakan strategi dengan biaya pengelolaan yang rendah, namun akan memakan biaya pemulihan yang tinggi setelah resiko terjadi. 2. Risk Avoidance/Menghindari Resiko. Strategi ini kebalikan dari strategi risk acceptance, dimana strategi ini dapat menekan resiko sampai ke titik terendah dengan biaya pengelolaan yang sangat tinggi, namun biaya pemulihannya rendah. Strategi yang dilakukan adalah dengan mematikan sistem yang memiliki nilai kritikal tinggi. Bisa juga dengan memindahkan sistem tersebut ke tempat yang jauh dari resiko. 3. Risk Limitation/Pembatasan Resiko. Strategi ini merupakan strategi yang paling umum digunakan oleh para pelaku bisnis dimana strategi yang dilakukan diantaranya dengan cara melakukan berapa tindakan untuk membatasi terjadinya suatu resiko. Contohnya dengan melakukan backup harian dari data bisnis yang memiliki nilai kritikal yang cukup tinggi. 4. Risk Transference/Pengalihan Resiko. Strategi ini dilakukan dengan cara mengalihkan resiko ke pihak lain dan sudah jelas pengalihan resiko ini berhubungan dengan pengeluaran biaya. Salah satu contoh umum adalah asuransi.

Tidak

SPPU yang sudah diisi

Menyerahkan SPPU yang sudah diisi

Periksa SPPU

Lengkap ?

Ya

Tidak

Melakukan Pembayaran

Bukti Pembayaran

Periksa Uang Masuk

Masuk ?

Ya

Selesai

Analisa Dampak Bisnis, dimana proses bisnis utama yang memiliki tingkat kritikal “missioncritical” menjadi fokus utama pemulihan.

No

Fungsi Bisnis

Proses Bisnis

Tingkat Kritikal

1

Tanggung Jawab, wewenang, dan komunikasi

Komunikasi

Mission-critical

2

Pengelolaan Keuangan

Pengelolaan Invoice

Mission-critical

3

Pengelolaan Keuangan

Pengelolaan Uang Masuk

Mission-critical

Setelah melihat 4 (empat) strategi di atas serta setelah mempertimbangkan resiko, kebutuhan, kondisi serta kemampuan PT. LAPI ITB, maka 5

strategi yang akan digunakan adalah risk limitation dan risk transference. Dimana dalam strategi ini akan dilakukan pemulihan dan pencegahan sederhana. Dalam kaitannya dengan proses bisnis PT. LAPI ITB, langkah yang bisa dilakukan misalnya dengan memasang firewall untuk menjaga agar jaringan tetap aman, backup data secara rutin dan terjadwal, berlatih tata cara penanganan kebakaran, dsb. Sedangkan untuk risk transference akan digunakan asuransi (dengan pertimbangan).

7. 8. 9.

10. 11. 12.

5.

Kesimpulan dan Saran.

Kesimpulan : 1. Pembangunan BCP yang telah dilakukan menghasilkan prosedur pemulihan secara terpadu yang dituangkan dalam dokumen Business Continuity Plan seperti tertuang dalam lampiran BCP.1. 2. Prosedur yang dimiliki PT. LAPI ITB dalam menghadapi keadaan darurat tidak hanya berupa prosedur tanggap darurat saja, melainkan satu prosedur baru berupa prosedur pemulihan setelah bencana yang dituangkan dalam dokumen Business Continuity Plan seperti tertera pada lampiran BCP.1.

13. 14. 15.

16.

Saran : 1. BCP yang telah disusun dilengkapi dan diperbaharui oleh PT. LAPI ITB mengikuti perubahan-perubahan yang mungkin terjadi di PT. LAPI ITB. 2. Agar BCP yang telah disusun lebih sempurna, perlu dilakukan re-assessment oleh ahli-ahli professional yang berpengalaman dalam bidang pembangunan BCP.

Daftar Pustaka : 1. James C. Barnes. 2001. A Guide to Business Continuity Planning. John Wiley & son, Ltd. 2. Andrew Hiles. 2007. The Definitive Handbook of Business Continuity Management. John Wiley & Sons Ltd. 3. Susan Snedaker. 2007. Business Continuity Planning and Disaster Recovery Planning for IT Professional. Syngress Publishing Inc. 4. Michael Gallagher. 2003. Business Continuity Management. How to protect your company from danger. Prentice Hall. 5. Kenneth L. Fulmer. 2005. Business Continuity Planning : A Step by Step Guide with Planning Forms. Rothstein Associates Inc. 6. Virginia Cerullo & Michael J. Cerullo. 2004. Business Continuity Planning : A Comprehensive Approach. 6

Chip Nickollet, MBA, PMP. 2001. Disaster Recovery White Papers. SANS Institute. 2002. Introduction to Business Continuity planning. Mariane Swanson. 2002. Contingency Planning Guide for Information Technology System (NIST Special Publication 800-34) Ardhian Agung Yulianto dkk. 2009. Analisis dan Desain Sistem Informasi http://www.businessdictionary.com, diakses tanggal 30 Agustus 2014, pukul 13.00 WIB. Thomas H. Davenport. 1993. Process Innovation: Reengineering Work Through Information Technology. Harvard Business School Press. Disaster Recovery Journal Glossary. Business Recovery Journal Glossary. http://www.iso-22301.blogspot.com, diakses pada tanggal 2 September 2014, pukul 23.20 WIB. http://www.jurnal-sdm.blogspot.com, diakses pada tanggal 2 September 2014, pukul 23.20 WIB.