Skip to main content

Permasalahan Dalam Pengembangan BCP

(Issues and best practice in BCP development)

Budi Rahardjo
Direktur Pusat Penelitian dan Pengembangan Industri dan Teknologi Informasi
Institut Teknologi Bandung
Founder PT INDO CISC - <budi@indocisc.co.id>

Juni 2004

Topik Business Continuity Plan (BCP) mulai muncul dan menarik perhatian dari pelaku bisnis akhir-akhir ini. Ada banyak alasan mengenai penyebabnya, mulai dari peningkatan kejahatan dan terorisme, sampai ke tuntutan dari regulasi atau shareholders. Sudah banyak tulisan, buku, dan referensi yang membahas masalah bagaimana melakukan pengembangan BCP. Tulisan ini tidak ingin menyoroti hal itu.

Satu hal yang sangat minim dari pengembangan BCP (BCP development) adalah informasi mengenai masalah (pitfalls) yang dihadapi pada saat pengembangan dan solusinya. Tidak banyak, atau bahkan tidak ada, sumber referensi yang membahas masalah tersebut. Salah satu penyebabnya adalah BCP merupakan sebuah hal yang baru sehingga belum banyak yang betul-betul melakukannya sehingga belum dapat ditarik pelajaran dari pengembangannya. Semua pihak masih belajar sehingga belum ada best practice. Padahal hal ini sangat diperlukan untuk menghindari kesalahan yang pernah dialami oleh pihak lain.

Dalam sebuah kegiatan sharing vision, kami menanyakan kepada peserta masalah apa saja yang (akan, sedang, dan sudah) dihadapi oleh mereka dalam pengembangan BCP. Berikut ini adalah beberapa masalah dan solusinya. Uraian disusun secara acak dan tidak menentukan prioritasnya. (Kami sebetulnya menanyakan juga masalah prioritas, akan tetapi jawabannya tidak konsisten. Kami masih akan meneliti masalah ini.)


Belum adanya kesepakatan pemahaman BCP.
Ini merupakan salah satu masalah utama. Board of Directors, eksekutif, karyawan, dan pemegang saham masih memiliki persepsi yang berbeda mengenai BCP. Sebagai contoh, banyak yang beranggapan bahwa masalah BCP adalah masalah IT (information technology) saja, yaitu bagaimana menjamin bahwa sistem IT tetap berjalan ketika terjadi bencana (disaster). Ini masalah Disaster Recovery, yang meskipun terkait akan tetapi bukan BCP. BCP itu tidak terbatas hanya pada masalah IT saja akan tetapi melingkupi bisnis secara keseluruhan.

Solusi untuk mengatasi hal ini adalah melalui kegiatan awareness. Jika hal ini belum dapat diperoleh dari dalam negeri, tidak ada salahnya untuk belajar dari luar negeri meski perlu dicatat bahwa lingkungan di luar negeri berbeda dengan di negara kita. Kami ikut mencoba mengatasi masalah ini dengan berbagi ilmu dan pengalaman (dengan format sharing vision yang kami gelar berkala di Bandung).

Belum adanya komitmen dari eksekutif (atau board of directors). Tanpa ada komitmen ini, upaya BCP akan sia-sia. Endorsement dari top eksekutif dan/atau board of directors sangat dibutuhkan. Biasanya masalah ini terjadi karena belum adanya pemahaman akan pentingnya BCP. Dampak dari masalah ini adalah tidak adanya pendanaan untuk BCP.

Pemecahan terhadap masalah ini adalah dengan melalui awareness, atau bahkan dengan pemberian kewajiban dari regulator. Dahulu, pendekatan untuk memberikan pemahaman kepada top eksekutif dan board of directors adalah dengan cara menakut-nakuti (Fear, Uncertainty, and Doubt), tapi cara ini sudah tidak dapat dilakukan lagi. Pendekatan perhitungan bisnis lebih mengena. Sebagai contoh bila dapat dibuktikan bahwa sebuah bank akan tutup jika sistem mereka tidak bekerja selama 4 hari, maka pihak board of directors dan eksekutif akan melakukan langkah-langkah yang sesuai.


Kesulitan dalam membuat Business Impact Analysis (BIA).
Sebetulnya kesulitan utama bukan pada pembuatan BIA akan tetapi pada ketersediaan data. Tidak banyak orang yang mengetahui business process secara komplit dari perusahaan atau entitas yang bersangkutan. Tingkat kompleksitas yang tinggi ini pula yang menyebabkan kesulitan memperoleh data. Tanpa ada data-data yang konkrit, komitmen dari top eksekutif atau board of directors tidak akan dapat diperoleh.

Salah satu solusi dari hal ini adalah dengan meminta bantuan kepada bagian Risk Management untuk memberikan masukan. Biasanya bagian risk management telah melakukan hal ini secara berkala (meski mungkin dalam ruang lingkup yang berbeda).

Sumber Daya Manusia (SDM). Ketersediaan SDM merupakan salah satu masalah yang utama dan konsisten menjadi masalah dimana-mana. Selain SDM secara individual, masalah yang terkait dengan hal ini adalah masalah organisasi, kewenangan, dan rencana kerja.

Salah satu solusi yang dilakukan oleh sebuah instansi adalah dengan menunjuk pejabat sebagai penanggung jawab. Cara lain yang juga lazim dilakukan adalah dengan melakukan rotasi tanggung jawab dalam testing (dan training) dari BCP sehingga lebih banyak orang yang memahami masalah BCP ini. Masalah kewenangan, organisasi, dan hal-hal yang terkait umumya ditentukan melalui kesepakatan.

Perkembangan teknologi yang cepat. Perkembangan teknologi yang cepat dapat membuat BCP menjadi cepat kadaluwarsa. Hal ini memang tidak selalu benar karena meskipun teknologi berubah proses bisnis masih tetap sama. Hanya teknologi yang memiliki sifat disruption (mengubah secara fundamental) saja yang memang mengubah BCP. Sebagai contoh, perubahan teknologi seluler bergerak GSM ke CDMA tidak terlalu mengubah BCP. Akan tetapi perubahaan teknologi tetap (fixed) ke bergerak (mobile) mengubah pola bisnis dan dapat mengubah BCP.

Salah satu solusi yang dapat diterapkan adalah mengubah BCP secara berkala apabila memang ada perubahan teknologi yang mengubah proses bisnis secara signifikan. Selain itu, umumnya BCP yang ada masih tetap dapat digunakan.

Penutup


Tulisan ini mencoba menguraikan secara singkat beberapa permasalahan yang dihadapi ketika sebuah instansi ingin mengembangkan BCP. Semoga tulisan ini dapat membantu anda dalam mengembangkan BCP di instansi anda.

Pertanyaan, koreksi, dan hal-hal lain yang terkait dapat diarahkan ke penulis.

Comments

Memang sangat sulit untuk menyusun suatu BCP yang baik karena berhadapan langsung dengan 'ketidakpastian'. Ada dua aspek yang harus terkandung di dalam suatu BCP yaitu Disaster Recovery Plan (DRP) dan Continuity of Business Operation (CBO) dan HR Awareness.
Bagi BCP, DRP mungkin seperti Hardwarenya, CBO adalah Software, dan HR Awareness merupakan Brainwarenya.

Mengenai sulitnya melakukan BIA, kalo untuk Indonesia pasti sangat sulit karena proses tersebut membutuhkan data yang reliable (Qty & Qly). Data sangat sulit didapat. Bahkan Pak Kwik Kian Gie merasa sangat kesulitan untuk memperoleh data dalam rangka penyusunan profile keuangan Indonesia.

Salam,
Pingky Dezar Zulkarnain
Abu Miqdad said…
This comment has been removed by a blog administrator.
Abu Miqdad said…
Beberapa industri menerapkan pembentukan Unit Compliance untuk menjawab tuntutan dari regulasi maupun "other stakeholder" yang didalamnya mencakup juga risk manajemen, revenue assurance atau yang saya baru dengar customer assurance (mungkin nanti akan ada juga supplier/partner assurance). Saya pikir beberapa fungsi-fungsi compliance, meski lebih ke arah aspek legal, juga ada kaitannya dengan BCP (atau tidak ?)

Yang saya coba reka-reka, BCP kalau melihat namanya mustinya lebih ke arah strategi jangka panjang bukan sekedar aksi preventif jangka pendek saja. Term “bisnis” juga cenderung mengarah pada seluruh proses di organisasi nya.

Namun terlepas dari komentar diatas, saya sepakat bahwa pemahaman BCP belum jelas, dan itu wajar untuk terminologi yang cukup lebar untuk dikembangkan, bahkan istilahnya sendiri dimungkinkan berbeda untuk pemahaman yang sama (minimal mirip lah). Yang jelas BCP tidak melulu persoalan IT itu valid.


dy-namiq.blogspot.com
Anonymous said…
Setuju sekali Mas
sekarang ini saya sedang menyusun manual book u/ BCP Company , kesulitan yang saya temui persis sama dengan paparan diatas , hal yang paling mendasar adalah komitmen pimpinan puncak sampai departemental, kegiatan BCP terkesan hanya syarat sekadar ada tanpa memahami esensi sebenarnya apabila benar - benar terjadi bencana. belum lagi banyaknya data yang tidak saling melengkapi sehingga kesulitan untuk menyusun BIA.

salam

Iwan bastian

Popular posts from this blog

Himbauan Kepada Hacker & Cracker Indonesia & Malaysia

Kepada Hacker & Cracker Indonesia & Malaysia, Saya mengharapkan anda tidak melakukan penyerangan atau/dan pengrusakan situs-situs Indonesia dan Malaysia. Saya mengerti bahwa akhir-akhir ini beberapa masalah di dunia nyata membuat kita kesal dan marah. Namun kekesalan tersebut sebaiknya tidak dilimpahkan ke dunia maya (cyberspace). Semestinya sebelum melakukan aksi yang berdampak negatif, kita bisa melakukan langkah-langkah positif seperti melakukan dialog (melalui email, mailing list, bulletin board, blog, dan media elektronik lainnya). Kita harus ingat bahwa kita hidup bertetangga dan bersaudara. Yang namanya hidup bertetangga pasti mengalami perbedaan pendapat. Mari kita belajar bertetangga dengan baik. Saya berharap agar kita yang hidup di dunia maya mencontohkan bagaimana kita menyelesaikan permasalahan dengan kepala dingin dan hati yang lapang, sehingga para pemimpin kita di dunia nyata dapat mencontoh penyelesaian damai. Mudah-mudahan mereka dapat lebih arif dan bijaksana

More bad news with Malaysia - Indonesia

I've got more emails and news about bad news between Indonesia and Malaysia. To be exact, there was a news about RELA (not sure what that is) that goes out after Indonesians in Malaysia. There were incidents where they hit Indonesians, rob, and do horrible things. I cannot even write this is my blog. I am so sad and frustrated. What's going on with Malaysia (and Malaysians)? What did we - Indonesian(s) - do to deserve this? I thought there should be less boundary between Indonesia and Malaysia. But ... What's going on there, bro & sis? You know, more Indonesians now feel that they are offended by Malaysians. I can tell you that this bad feeling is increasing. This is a bad publicity towards Malaysia. People are now creating various calling names, such as "Malingsia" (it's a short of "maling" [thief] "siah" [you, Sundanese]), and worse.

Say NO to APJII!

Prolog At the end of 1997, I went back to Indonesia from my studies and work in Canada. The .ID domain management in Indonesia at that time was in a confusing state. Nobody wanted to manage it. Universitas Indonesia (UI) - the original maintainer - was in a fight with APJII (the Association of Indonesian ISP). In the end, IANA gave me a mandate to manage the .ID domain. Since then, I manage the .ID domain with open management. There are problems, but mostly minors. Until recently, when APJII (again) is trying to take over the .ID domain management from my team. Here's a short info to give you a head start. Short summary APJII (the association of ISP in Indonesia) is trying to takeover the .ID domain management in Indonesia. They have tried and will try everything to take over. Long description I've been managing the .ID domain since the end of 1997. At that time, nobody wanted to run the domain management. First of all, a brief description of how we run things. To run the .ID d