(Issues and best practice in BCP development)
Budi Rahardjo
Direktur Pusat Penelitian dan Pengembangan Industri dan Teknologi Informasi
Institut Teknologi Bandung
Founder PT INDO CISC - <budi@indocisc.co.id>
Juni 2004
Topik Business Continuity Plan (BCP) mulai muncul dan menarik perhatian dari pelaku bisnis akhir-akhir ini. Ada banyak alasan mengenai penyebabnya, mulai dari peningkatan kejahatan dan terorisme, sampai ke tuntutan dari regulasi atau shareholders. Sudah banyak tulisan, buku, dan referensi yang membahas masalah bagaimana melakukan pengembangan BCP. Tulisan ini tidak ingin menyoroti hal itu.
Satu hal yang sangat minim dari pengembangan BCP (BCP development) adalah informasi mengenai masalah (pitfalls) yang dihadapi pada saat pengembangan dan solusinya. Tidak banyak, atau bahkan tidak ada, sumber referensi yang membahas masalah tersebut. Salah satu penyebabnya adalah BCP merupakan sebuah hal yang baru sehingga belum banyak yang betul-betul melakukannya sehingga belum dapat ditarik pelajaran dari pengembangannya. Semua pihak masih belajar sehingga belum ada best practice. Padahal hal ini sangat diperlukan untuk menghindari kesalahan yang pernah dialami oleh pihak lain.
Dalam sebuah kegiatan sharing vision, kami menanyakan kepada peserta masalah apa saja yang (akan, sedang, dan sudah) dihadapi oleh mereka dalam pengembangan BCP. Berikut ini adalah beberapa masalah dan solusinya. Uraian disusun secara acak dan tidak menentukan prioritasnya. (Kami sebetulnya menanyakan juga masalah prioritas, akan tetapi jawabannya tidak konsisten. Kami masih akan meneliti masalah ini.)
Belum adanya kesepakatan pemahaman BCP. Ini merupakan salah satu masalah utama. Board of Directors, eksekutif, karyawan, dan pemegang saham masih memiliki persepsi yang berbeda mengenai BCP. Sebagai contoh, banyak yang beranggapan bahwa masalah BCP adalah masalah IT (information technology) saja, yaitu bagaimana menjamin bahwa sistem IT tetap berjalan ketika terjadi bencana (disaster). Ini masalah Disaster Recovery, yang meskipun terkait akan tetapi bukan BCP. BCP itu tidak terbatas hanya pada masalah IT saja akan tetapi melingkupi bisnis secara keseluruhan.
Solusi untuk mengatasi hal ini adalah melalui kegiatan awareness. Jika hal ini belum dapat diperoleh dari dalam negeri, tidak ada salahnya untuk belajar dari luar negeri meski perlu dicatat bahwa lingkungan di luar negeri berbeda dengan di negara kita. Kami ikut mencoba mengatasi masalah ini dengan berbagi ilmu dan pengalaman (dengan format sharing vision yang kami gelar berkala di Bandung).
Belum adanya komitmen dari eksekutif (atau board of directors). Tanpa ada komitmen ini, upaya BCP akan sia-sia. Endorsement dari top eksekutif dan/atau board of directors sangat dibutuhkan. Biasanya masalah ini terjadi karena belum adanya pemahaman akan pentingnya BCP. Dampak dari masalah ini adalah tidak adanya pendanaan untuk BCP.
Pemecahan terhadap masalah ini adalah dengan melalui awareness, atau bahkan dengan pemberian kewajiban dari regulator. Dahulu, pendekatan untuk memberikan pemahaman kepada top eksekutif dan board of directors adalah dengan cara menakut-nakuti (Fear, Uncertainty, and Doubt), tapi cara ini sudah tidak dapat dilakukan lagi. Pendekatan perhitungan bisnis lebih mengena. Sebagai contoh bila dapat dibuktikan bahwa sebuah bank akan tutup jika sistem mereka tidak bekerja selama 4 hari, maka pihak board of directors dan eksekutif akan melakukan langkah-langkah yang sesuai.
Kesulitan dalam membuat Business Impact Analysis (BIA). Sebetulnya kesulitan utama bukan pada pembuatan BIA akan tetapi pada ketersediaan data. Tidak banyak orang yang mengetahui business process secara komplit dari perusahaan atau entitas yang bersangkutan. Tingkat kompleksitas yang tinggi ini pula yang menyebabkan kesulitan memperoleh data. Tanpa ada data-data yang konkrit, komitmen dari top eksekutif atau board of directors tidak akan dapat diperoleh.
Salah satu solusi dari hal ini adalah dengan meminta bantuan kepada bagian Risk Management untuk memberikan masukan. Biasanya bagian risk management telah melakukan hal ini secara berkala (meski mungkin dalam ruang lingkup yang berbeda).
Sumber Daya Manusia (SDM). Ketersediaan SDM merupakan salah satu masalah yang utama dan konsisten menjadi masalah dimana-mana. Selain SDM secara individual, masalah yang terkait dengan hal ini adalah masalah organisasi, kewenangan, dan rencana kerja.
Salah satu solusi yang dilakukan oleh sebuah instansi adalah dengan menunjuk pejabat sebagai penanggung jawab. Cara lain yang juga lazim dilakukan adalah dengan melakukan rotasi tanggung jawab dalam testing (dan training) dari BCP sehingga lebih banyak orang yang memahami masalah BCP ini. Masalah kewenangan, organisasi, dan hal-hal yang terkait umumya ditentukan melalui kesepakatan.
Perkembangan teknologi yang cepat. Perkembangan teknologi yang cepat dapat membuat BCP menjadi cepat kadaluwarsa. Hal ini memang tidak selalu benar karena meskipun teknologi berubah proses bisnis masih tetap sama. Hanya teknologi yang memiliki sifat disruption (mengubah secara fundamental) saja yang memang mengubah BCP. Sebagai contoh, perubahan teknologi seluler bergerak GSM ke CDMA tidak terlalu mengubah BCP. Akan tetapi perubahaan teknologi tetap (fixed) ke bergerak (mobile) mengubah pola bisnis dan dapat mengubah BCP.
Salah satu solusi yang dapat diterapkan adalah mengubah BCP secara berkala apabila memang ada perubahan teknologi yang mengubah proses bisnis secara signifikan. Selain itu, umumnya BCP yang ada masih tetap dapat digunakan.
Tulisan ini mencoba menguraikan secara singkat beberapa permasalahan yang dihadapi ketika sebuah instansi ingin mengembangkan BCP. Semoga tulisan ini dapat membantu anda dalam mengembangkan BCP di instansi anda.
Pertanyaan, koreksi, dan hal-hal lain yang terkait dapat diarahkan ke penulis.
Budi Rahardjo
Direktur Pusat Penelitian dan Pengembangan Industri dan Teknologi Informasi
Institut Teknologi Bandung
Founder PT INDO CISC - <budi@indocisc.co.id>
Juni 2004
Topik Business Continuity Plan (BCP) mulai muncul dan menarik perhatian dari pelaku bisnis akhir-akhir ini. Ada banyak alasan mengenai penyebabnya, mulai dari peningkatan kejahatan dan terorisme, sampai ke tuntutan dari regulasi atau shareholders. Sudah banyak tulisan, buku, dan referensi yang membahas masalah bagaimana melakukan pengembangan BCP. Tulisan ini tidak ingin menyoroti hal itu.
Satu hal yang sangat minim dari pengembangan BCP (BCP development) adalah informasi mengenai masalah (pitfalls) yang dihadapi pada saat pengembangan dan solusinya. Tidak banyak, atau bahkan tidak ada, sumber referensi yang membahas masalah tersebut. Salah satu penyebabnya adalah BCP merupakan sebuah hal yang baru sehingga belum banyak yang betul-betul melakukannya sehingga belum dapat ditarik pelajaran dari pengembangannya. Semua pihak masih belajar sehingga belum ada best practice. Padahal hal ini sangat diperlukan untuk menghindari kesalahan yang pernah dialami oleh pihak lain.
Dalam sebuah kegiatan sharing vision, kami menanyakan kepada peserta masalah apa saja yang (akan, sedang, dan sudah) dihadapi oleh mereka dalam pengembangan BCP. Berikut ini adalah beberapa masalah dan solusinya. Uraian disusun secara acak dan tidak menentukan prioritasnya. (Kami sebetulnya menanyakan juga masalah prioritas, akan tetapi jawabannya tidak konsisten. Kami masih akan meneliti masalah ini.)
Belum adanya kesepakatan pemahaman BCP. Ini merupakan salah satu masalah utama. Board of Directors, eksekutif, karyawan, dan pemegang saham masih memiliki persepsi yang berbeda mengenai BCP. Sebagai contoh, banyak yang beranggapan bahwa masalah BCP adalah masalah IT (information technology) saja, yaitu bagaimana menjamin bahwa sistem IT tetap berjalan ketika terjadi bencana (disaster). Ini masalah Disaster Recovery, yang meskipun terkait akan tetapi bukan BCP. BCP itu tidak terbatas hanya pada masalah IT saja akan tetapi melingkupi bisnis secara keseluruhan.
Solusi untuk mengatasi hal ini adalah melalui kegiatan awareness. Jika hal ini belum dapat diperoleh dari dalam negeri, tidak ada salahnya untuk belajar dari luar negeri meski perlu dicatat bahwa lingkungan di luar negeri berbeda dengan di negara kita. Kami ikut mencoba mengatasi masalah ini dengan berbagi ilmu dan pengalaman (dengan format sharing vision yang kami gelar berkala di Bandung).
Belum adanya komitmen dari eksekutif (atau board of directors). Tanpa ada komitmen ini, upaya BCP akan sia-sia. Endorsement dari top eksekutif dan/atau board of directors sangat dibutuhkan. Biasanya masalah ini terjadi karena belum adanya pemahaman akan pentingnya BCP. Dampak dari masalah ini adalah tidak adanya pendanaan untuk BCP.
Pemecahan terhadap masalah ini adalah dengan melalui awareness, atau bahkan dengan pemberian kewajiban dari regulator. Dahulu, pendekatan untuk memberikan pemahaman kepada top eksekutif dan board of directors adalah dengan cara menakut-nakuti (Fear, Uncertainty, and Doubt), tapi cara ini sudah tidak dapat dilakukan lagi. Pendekatan perhitungan bisnis lebih mengena. Sebagai contoh bila dapat dibuktikan bahwa sebuah bank akan tutup jika sistem mereka tidak bekerja selama 4 hari, maka pihak board of directors dan eksekutif akan melakukan langkah-langkah yang sesuai.
Kesulitan dalam membuat Business Impact Analysis (BIA). Sebetulnya kesulitan utama bukan pada pembuatan BIA akan tetapi pada ketersediaan data. Tidak banyak orang yang mengetahui business process secara komplit dari perusahaan atau entitas yang bersangkutan. Tingkat kompleksitas yang tinggi ini pula yang menyebabkan kesulitan memperoleh data. Tanpa ada data-data yang konkrit, komitmen dari top eksekutif atau board of directors tidak akan dapat diperoleh.
Salah satu solusi dari hal ini adalah dengan meminta bantuan kepada bagian Risk Management untuk memberikan masukan. Biasanya bagian risk management telah melakukan hal ini secara berkala (meski mungkin dalam ruang lingkup yang berbeda).
Sumber Daya Manusia (SDM). Ketersediaan SDM merupakan salah satu masalah yang utama dan konsisten menjadi masalah dimana-mana. Selain SDM secara individual, masalah yang terkait dengan hal ini adalah masalah organisasi, kewenangan, dan rencana kerja.
Salah satu solusi yang dilakukan oleh sebuah instansi adalah dengan menunjuk pejabat sebagai penanggung jawab. Cara lain yang juga lazim dilakukan adalah dengan melakukan rotasi tanggung jawab dalam testing (dan training) dari BCP sehingga lebih banyak orang yang memahami masalah BCP ini. Masalah kewenangan, organisasi, dan hal-hal yang terkait umumya ditentukan melalui kesepakatan.
Perkembangan teknologi yang cepat. Perkembangan teknologi yang cepat dapat membuat BCP menjadi cepat kadaluwarsa. Hal ini memang tidak selalu benar karena meskipun teknologi berubah proses bisnis masih tetap sama. Hanya teknologi yang memiliki sifat disruption (mengubah secara fundamental) saja yang memang mengubah BCP. Sebagai contoh, perubahan teknologi seluler bergerak GSM ke CDMA tidak terlalu mengubah BCP. Akan tetapi perubahaan teknologi tetap (fixed) ke bergerak (mobile) mengubah pola bisnis dan dapat mengubah BCP.
Salah satu solusi yang dapat diterapkan adalah mengubah BCP secara berkala apabila memang ada perubahan teknologi yang mengubah proses bisnis secara signifikan. Selain itu, umumnya BCP yang ada masih tetap dapat digunakan.
Penutup
Tulisan ini mencoba menguraikan secara singkat beberapa permasalahan yang dihadapi ketika sebuah instansi ingin mengembangkan BCP. Semoga tulisan ini dapat membantu anda dalam mengembangkan BCP di instansi anda.
Pertanyaan, koreksi, dan hal-hal lain yang terkait dapat diarahkan ke penulis.
Comments
Bagi BCP, DRP mungkin seperti Hardwarenya, CBO adalah Software, dan HR Awareness merupakan Brainwarenya.
Mengenai sulitnya melakukan BIA, kalo untuk Indonesia pasti sangat sulit karena proses tersebut membutuhkan data yang reliable (Qty & Qly). Data sangat sulit didapat. Bahkan Pak Kwik Kian Gie merasa sangat kesulitan untuk memperoleh data dalam rangka penyusunan profile keuangan Indonesia.
Salam,
Pingky Dezar Zulkarnain
Yang saya coba reka-reka, BCP kalau melihat namanya mustinya lebih ke arah strategi jangka panjang bukan sekedar aksi preventif jangka pendek saja. Term “bisnis” juga cenderung mengarah pada seluruh proses di organisasi nya.
Namun terlepas dari komentar diatas, saya sepakat bahwa pemahaman BCP belum jelas, dan itu wajar untuk terminologi yang cukup lebar untuk dikembangkan, bahkan istilahnya sendiri dimungkinkan berbeda untuk pemahaman yang sama (minimal mirip lah). Yang jelas BCP tidak melulu persoalan IT itu valid.
dy-namiq.blogspot.com
sekarang ini saya sedang menyusun manual book u/ BCP Company , kesulitan yang saya temui persis sama dengan paparan diatas , hal yang paling mendasar adalah komitmen pimpinan puncak sampai departemental, kegiatan BCP terkesan hanya syarat sekadar ada tanpa memahami esensi sebenarnya apabila benar - benar terjadi bencana. belum lagi banyaknya data yang tidak saling melengkapi sehingga kesulitan untuk menyusun BIA.
salam
Iwan bastian