3. Introduction
• Trend pengembangan sistem manajemen ke depan
berbasis pengelolaan risiko (risk management). Kita
mengenal ada sistem manajemen ISO 9001:2015,
ISO 14001:2015, OHSAS 18001, ISO 27001, ISO
20000, ISO 22000, dan sistem manajemen lainnya.
Semua standar sistem manajemen tersebut sudah
berbasis pengelolaan risiko.
• Untuk pengelolaan risiko di sistem Business
Continuity Management lebih dikenal dengan istilah
BIA (Business Impact Analysis). BIA adalah sebuah
metode Risk Assessment untuk menilai suatu risiko
atau dampak yang berpengaruh pada bisnis.
4. Intoduction …
• Perusahaan yang mampu mengelola risiko dengan
baik akan dipandang memiliki kemampuan sensitif
untuk mendeteksi risiko, memiliki fleksibilitas
untuk merespon risiko dan menjamin kapabilitas
sumber daya untuk melakukan tindakan guna
mengurangi tingkat risiko.
• Sedangkan yang tidak dapat mengelola risiko
dengan baik akan menyebabkan terjadinya
pemborosan sumber dana dan waktu serta tidak
tercapainya tujuan perusahaan. Identifikasi dan
penilaian risiko akan memberikan gambaran terkait
ancaman yang membayangi organisasi beserta
tingkat dampaknya.
5.
6.
7. Apa yang duluan: BIA atau RA?
• Direkomendasikan untuk memulai dengan BIA. Ini
akan melibatkan pengidentifikasian aktivitas kritis dari
rantai nilai bisnis atau aset penting dan menilai
dampaknya (dalam hal hilangnya produksi, hilangnya
pendapatan, hilangnya jam kerja, dll) terhadap bisnis
secara keseluruhan jika kinerja mereka tidak berjalan.
• Penilaian risiko kemudian akan dilakukan untuk
mengidentifikasi risiko yang akan berdampak negatif
terhadap aktivitas rantai nilai kritis atau aset, yang
dilanjutkan dengan merumuskan rencana mitigasi
untuk risiko teratas yang diidentifikasi.
8. Risk Assessment dan Business Impact Analysis
mempunyai dua target yang berbeda, yaitu:
• Risk assessment (RA)
target: mitigasi risiko, mengurangi business yang
rentan
• Business Impact Analysis (BIA)
target: strategi pemulihan bisnis, prioritas
kelangsungan pelayanan, RTO (Recovery Time
Objective), RPO (Recovery Point Objective), dan
sebagainya.
11. • BIA adalah metode menilai risiko yang berpengaruh pada bisnis,
setelah organisasi mengalami masa krisi atau disruptive incident.
Metode ini bagian dari Business Continuity Plan (BCP) dimana
organisasi melakukan antisipasi untuk merencanakan pemulihan
terhadap operasi dan financial sehingga bisnis dan pelayanan dapat
berjalan dengan seperti sediakala. Dalam analisa BIA, penilaian risiko
tidak hanya berasal dari proses, tapi juga asset, critical
information yang menjadi faktor penilaian risiko business
diidentifikasi.
• Mitigasi risiko dalam BIA adalah :
bagaimana hasil analisa risiko mencapai nilai RTO (Recovery Time
Objective) atau Tujuan Waktu Pemulihan dimana waktu yang
diharapakan untuk pemulihan terhadap dampak tersebut
ditentukan.
Nilai lainnya yaitu RPO (Recovery Point Objective) yaitu Tujuan Nilai
Pemulihan yakni nilai dari waktu yang ditolerir suatu
informasi/data boleh hilang dari suatu tujuan pemulihan
ditentukan.
Business Impact Analysis (BIA)
12. BIA ….
• BIA mengidentifikasi potensi kerusakan atau kehilangan
yang mungkin disebabkan oleh bencana, terhadap proses-
proses bisnis yang kritis.
• BIA juga memberikan informasi mengenai toleransi
terhadap bencana, maksimal waktu yang diperkenankan
terhadap terhentinya sistem atau aplikasi, dan berbagai
tingkatan toleransi terhadap interupsi tersebut pada
operasi bisnis yang berbeda-beda. Hal ini menuntut
manajemen organisasi untuk mau memastikan bahwa
Service Level Agreement (SLA) merefleksikan kerusakan
maksimal yang bisa diterima pada operasi-operasi tertentu.
Recovery time objective (RTO) dan Recovery Point Objective
(RPO) perlu dikuantifikasi sehubungan dengan peran
vendor yang dipilih.
13.
14. • Maksud dari proses BIA adalah untuk membantu
manajemen organisasi dalam memahami besarnya
dampak operasional dan keuangan yang terkait dengan
bencana atau gangguan serius. Jika mereka mengerti,
manajemen dapat menggunakan pengetahuan ini untuk
menghitung tujuan waktu pemulihan (RTO) layanan dan
sumber daya dukungan yang sangat mendesak.
• Di sebagian besar organisasi, sumber daya dukungan ini
meliputi:
Fasilitas
Infrastruktur TI (termasuk jaringan komunikasi suara
dan data)
Perangkat keras dan perangkat lunak
Catatan penting
Data
Mitra bisnis
BIA ….
15. Business Impact Analysis (BIA)
• Salah satu langkah awal yang dilakukan untuk melakukan
implementasi BCMS adalah melakukan Business Impact
Analysis (BIA) terhadap proses bisnis organisasi.
BIA dilakukan untuk mengidentifikasi dampak
kerugian terhadap waktu dari aspek finansial maupun
aspek non-finansial.
BIA memungkinkan perusahaan untuk melakukan
prioritisasi dalam upaya pemulihan saat kondisi
disruptif terjadi.
Beberapa hasil BIA antara lain adalah Maximum
Acceptable Outage (MAO), Recovery Time Objective
(RTO) dan Recovery Point Objective (RPO).
18. Tahapan BIA
• BIA adalah tahapan untuk menentukan
layanan mana yang akan menjadi prioritas
bagi perusahaan untuk ditangani segera,
terutama barkaitan dengan masa pemulihan.
• Tahap ini akan dilakukan dalam tiga langkah :
1. Penilaian Tingkat Kritikalitas Layanan
2. Penilaian Tingkat Kompleksitas Layanan
3. Menentukan Prioritas Pemulihan
19. 1. Penilaian Tingkat Kritikalitas Layanan
• Penilaian tingkat kritikalitas layanan diukur dengan
melakukan penentuan estimated downtime dan
pengukuran severity of impact dari masing-masing
layanan yang dimiliki.
• Penentuan estimated downtime merupakan
perpaduan antara :
RPO (Recovery Point Objective),
RTO (Recovery Time Objective), dan
MTD (Maximum Tolerable Downtime).
20.
21. 2. Penilaian Tingkat Kompleksitas Layanan
• Penilaian tingkat kompleksitas layanan diukur
dengan melakukan penilaian kompleks atau
tidaknya suatu layanan berasarkan aspek yang
telah disepakati.
• Misalnya: aspek sistem aplikasi dan aspek
infrastruktur. Aspek sistem aplikasi dapat memiliki
3 komponen penilaian, yaitu: instalasi,
konfigurasi, dan testing. Sedangkan untuk aspek
infrastruktur dapat memiliki 4 komponen
penilaian, yaitu: security, backup, coverage, dan
konfigurasi.
22. 3. Menentukan Prioritas Pemulihan
• Penentuan prioritas pemulihan layanan
dilakukan dengan cara mengombinasikan hasil
penilaian kritikalitas dan kompleksitas layanan.
Hasil dari kombinasi kedua komponen penilaian
tersebut kemudian diurutkan dari prioritas
tertinggi hingga terendah.
• Berdasarkan hasil penentuan prioritas layanan,
didapati sedemikian banyak layanan memiliki
prioritas dengan level tinggi, layanan yang
memiliki prioritas dengan level sedang, dan
sisanya prioritas dengan level rendah
25. • Dalam kajian Business Continuity Management
(BCM), organisasi harus membuat pengelolaan
risiko terhadap risiko-risiko yang dapat
mengancam kelangsungan bisnis ketika
mengalami krisis (disruptive incident).
• Organisasi diwajibkan untuk membuat rencana-
rencana antisipasi dalam menentukan dan
mengendalikan aspek risiko tersebut.
Risk Assessment
26. • Adalah metode untuk menilai risiko yang
berpengaruh kepada bisnis dari identifikasi risiko-
risiko proses atau issue kepada bisnis perusahaan.
• Risk assessment secara umum menilai bagaimana
sebuah risiko dari kemungkinan dan dampak dari
risiko tersebut kepada bisnis organisasi. Orang
mengenalnya dengan
istilah likelihood dan severity/concequence suatu
risiko, untuk dapat dinilai dan dilakukan mitigasi
risiko tersebut.
• Manfaatnya adalah bagaimana organisasi
mengelola risiko sehingga organisasi terkendali dan
mencapai tujuannya.
Risk Assessment
27. • Kriteria Likelihood merupakan pengukuran
seberapa besar kemungkinan terjadinya
bencana dinilai dari probabilitasnya.
• Sedangkan kriteria Severity (Consequence)
merupakan pengukuran terhadap konsekuensi
yang harus ditanggung perusahaan.
28. Risk Assessment
• Risk Assessment (RA)/Penilaian risiko mengenali
semua risiko yang berpotensi memengaruhi
operasi organisasi, proses, atau sistem.
• RA menghitung dampak dan kemungkinan kejadian
potensial ke depan.
• Oleh karena itu, penilaian risiko sangat
memperhatikan kemungkinan penyebab gangguan,
dari mana kemungkinan tersebut diturunkan.
• RA adalah alat yang berharga untuk mengenali
ancaman dan mengambil tindakan untuk
meminimalkan risiko ke tingkat yang dapat
diterima.