Dokumen tersebut membahas tentang teknik pemantauan, pengendalian, analisis, dan evaluasi kinerja sistem manajemen kesinambungan bisnis (BCMS) menggunakan siklus PDCA berkelanjutan. Dokumen ini menjelaskan tentang audit internal dan tinjauan manajemen untuk memastikan kesesuaian dan efektivitas BCMS, serta peluang perbaikan berkelanjutan.
4. 9.1 Monitoring, measurement, analysis and
evaluation
Organisasi harus menentukan:
a) apa yang perlu dipantau dan diukur;
b) metode untuk pemantauan, pengukuran, analisis dan
evaluasi, sebagaimana berlaku, untuk memastikan hasil
yang valid;
c) kapan dan oleh siapa pemantauan dan pengukuran harus
dilakukan;
d) kapan dan oleh siapa hasil pemantauan dan pengukuran
harus dianalisis dan dievaluasi.
Organisasi harus menyimpan informasi terdokumentasi
yang sesuai sebagai bukti hasil.
Organisasi harus mengevaluasi kinerja BCMS dan
efektivitas BCMS.
5. 9.2 Internal audit
9.2.1 General
Organisasi harus melakukan audit internal pada
interval yang direncanakan untuk memberikan
informasi apakah BCMS:
a) sesuai dengan:
1) persyaratan organisasi sendiri untuk BCMS-nya;
2) persyaratan dokumen ini;
b) diimplementasikan dan dipelihara secara efektif.
6. 9.2.2 Audit programme(s)
Organisasi harus:
a) merencanakan, menetapkan, menerapkan dan
memelihara program audit termasuk frekuensi,
metode, tanggung jawab, persyaratan perencanaan
dan pelaporan, yang harus mempertimbangkan
pentingnya proses yang bersangkutan dan hasil audit
sebelumnya;
b) menentukan kriteria dan ruang lingkup audit untuk
setiap audit;
c) memilih auditor dan melakukan audit untuk
memastikan objektivitas dan ketidakberpihakan
proses audit;
7. 9.2.2 Audit programme(s) …
Organisasi harus: ….
d) memastikan bahwa hasil audit dilaporkan kepada
manajer terkait;
e) menyimpan informasi yang terdokumentasi sebagai
bukti implementasi program audit dan hasil audit;
f) memastikan bahwa tindakan korektif yang diperlukan
diambil tanpa penundaan yang tidak semestinya
untuk menghilangkan ketidaksesuaian yang terdeteksi
dan penyebabnya;
g) memastikan bahwa tindak lanjut audit mencakup
verifikasi tindakan yang diambil dan pelaporan hasil
verifikasi.
8. 9.3 Management review
9.3.1 General
Manajemen puncak harus meninjau BCMS
organisasi, pada interval yang direncanakan,
untuk memastikan kesesuaian, kecukupan, dan
efektivitasnya yang berkelanjutan.
9. 9.3.2 Management review input
Tinjauan manajemen harus mencakup pertimbangan
tentang:
a) status tindakan dari tinjauan manajemen
sebelumnya;
b) perubahan masalah eksternal dan internal yang
relevan dengan BCMS;
c) informasi tentang kinerja BCMS, termasuk tren dalam:
1) ketidaksesuaian dan tindakan korektif;
2) hasil evaluasi pemantauan dan pengukuran;
3) hasil audit;
d) umpan balik dari pihak yang berkepentingan;
10. 9.3.2 Management review input …
e) perlunya perubahan BCMS, termasuk kebijakan dan
tujuannya;
f) prosedur dan sumber daya yang dapat digunakan
dalam organisasi untuk meningkatkan kinerja dan
efektivitas BCMS;
g) informasi dari analisis dampak bisnis dan penilaian
risiko;
h) keluaran dari evaluasi dokumentasi dan kapabilitas
bisnis (lihat 8.6);
i) risiko atau masalah yang tidak ditangani secara
memadai dalam penilaian risiko sebelumnya;
j) pelajaran yang didapat dan tindakan yang muncul dari
kejadian nyaris celaka dan gangguan;
k) peluang untuk perbaikan berkelanjutan.
11. 9.3.3 Management review outputs
9.3.3.1 Keluaran tinjauan manajemen harus mencakup keputusan yang
terkait dengan peluang peningkatan berkelanjutan dan setiap
kebutuhan perubahan pada BCMS untuk meningkatkan efisiensi dan
efektivitasnya, termasuk yang berikut ini:
a) variasi ruang lingkup BCMS;
b) pemutakhiran analisis dampak bisnis, penilaian risiko, strategi dan
solusi kesinambungan bisnis, dan rencana kesinambungan bisnis;
c) modifikasi prosedur dan kontrol untuk menanggapi masalah
internal atau eksternal yang dapat berdampak pada BCMS;
d) bagaimana efektivitas pengendalian akan diukur.
9.3.3.2 Organisasi harus menyimpan informasi terdokumentasi sebagai
bukti dari hasil tinjauan manajemen. Itu harus:
a) mengkomunikasikan hasil tinjauan manajemen kepada pihak
terkait yang berkepentingan;
b) mengambil tindakan yang tepat terkait dengan hasil tersebut.