Penyusunan Pedoman Business Continuity Management (BCM)

BCM

Image
Indonesia adalah Negara yang berada dalam “ring of fire”, yang memiliki potensi bencana yang tinggi dan beragam. Seperti gempa bumi, gunung meletus, kabut asap, tsunami, demonstrasi, dan lainnya. Bencana/gangguan yang terjadi bukan hanya yang bersifat fisik seperti disebutkan sebelumnya, namun juga terdapat bencana non-fisik seperti krisis moneter tahun 1998, krisis kepercayaan saat banyak bank dilikuidasi dan sebagainya. Karena potensi bencana yang tinggi, diperlukan suatu bidang keilmuan yang dapat menjawab:
  • Bencana apa yang berpotensi terjadi dan memiliki dampak terbesar bagi perusahaan/organisasi?
  • Berapa lama operasional perusahaan/organisasi kembali normal?
  • Bagaimana Perusahaan memulihkan operasionalnya akibat gangguan/bencana?
  • Bagaimana Perusahaan mempertahankan bisnis utamanya saat gangguan/bencana terjadi?
  • Berapa kerugian yang akan diderita perusahaan/organisasi bila suatu Unit Kerja berhenti beroperasi selama waktu tertentu?
  • Unit Kerja dan fungsi bisnis apa yang mendapat prioritas untuk dipulihkan?
  • Apa yang akan dilakukan perusahaan/organisasi jika ada respon yang buruk di media?
  • dan lain-lain.
Untuk menjawab pertanyaan-pertanyaan tersebut, dibutuhkan implementasi Business Continuity Management (BCM), yang secara sederhana dapat diartikan proses antisipasi atas dampak dari gangguan/bencana terhadap kelangsungan bisnis organisasi. Implementasi BCM pada industri perbankan adalah mandatory, karena perbankan memiliki systemic risk, yang memiliki potensi dan dampak pada kondisi ekonomi secara nasional. BCM bukan saja bermanfaat saat kondisi gangguan/bencana, namun dapat memberikan manfaat saat kondisi operasional normal. Hal ini karena Implementasi BCM akan melengkapi proses manajemen risiko Perusahaan yang telah berlangsung. Bank Indonesia melalui Lampiran SEBI No. 9/30/2007 mendefinisikan BCM sebagai “Proses manajemen terpadu dan menyeluruh untuk menjamin kegiatan operasional Bank tetap dapat berfungsi walaupun terdapat gangguan/bencana guna melindungi kepentingan para stakeholder.” Menurut ISO 22301:2012, BCM didefinisikan sebagai “Proses manajemen menyeluruh yang mengidentifikasi dampak potensial yang dapat menghambat organisasi, dengan menyediakan kerangka membentuk ketahanan dalam kapasitas respon efektif, yang melindungi kepentingan stakeholder penting perusahaan, reputasi, brand dan aktivitas value creating”. Ketentuan-ketentuan implementasi BCM di Indonesia telah diatur dalam:
  1. Lembaga Jasa Keuangan Non-Bank (LJKNB)
  • Peraturan Otoritas Jasa Keuangan (POJK) No. 1/POJK.05/2015 tentang Penerapan Manajemen Risiko Bagi Lembaga Keuangan Non-Bank.
  • Lampiran 1 Surat Edaran Otoritas Jasa Keuangan (SEOJK) No. 10/SEOJK.05/2016 tentang Pedoman Penerapan Manajemen Risiko dan Laporan Hasil Penilaian Sendiri Penerapan Manajemen Risiko Bagi Lembaga Jasa Keuangan Non-Bank.
  • Peraturan Pemerintah RI No. 82 Tahun 2012 pasal 17 dan pasal 39 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
  1. Industri Perbankan
  • PBI No.5/8/PBI/2013 tentang Penerapan Manajemen Risiko Bagi Bank Umum

“Kebijakan Manajemen Risiko sekurang-kurangnya memuat: (e) penyusunan rencana darurat (contingency plan) dalam kondisi terburuk (worst case scenario)”.

  • SEBI No. 5/21/2003 Pedoman Standar Penerapan Manajemen Risiko Bank Umum.
  • PBI No. 6/8/PBI/ 2004 – Business Continuity Plan on Real Time Gross Settlement (RTGS).
  • SEBI No.7/59/DASP tgl. 30 Des 2005 tentang Tata Cara Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu

“Prosedur pengendalian risiko reputasi dan risiko operasional, sekurang-kurangnya memuat (c) prosedur perencanaan darurat (disaster recovery plan) dan kesinambungan usaha (business continuity plan) yang efektif dalam mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak diperkirakan, yang dapat mengganggu kelancaran operasional sistem APMK.”

  • PBI No.9/15/PBI/2007 tanggal 30 November 2007 perihal “Penerapan Manajemen Risiko Dan Penggunaan Teknologi Informasi Oleh Bank Umum”

Bank wajib memastikan BCP & DRP dapat dilaksanakan secara efektif agar kegiatan usaha Bank tetap berjalan saat terjadi gangguan yg signifikan pada sarana TI yg digunakan Bank.

  • SEBI No. 9/30/DPNP tanggal 12 Desember 2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum dan Lampirannya.

(4) Kebijakan dan prosedur mencakup aspek-aspek (f) Business Continuity Plan

  • PBI No 13/23/PBI/2011 tentang Penerapan Manajemen Risiko Bagi Bank Umum Syariah dan Unit Usaha Syariah.

Pasal 10: Penyusunan rencana darurat (contingency plan) dalam kondisi terburuk

  • Surat Edaran Bank Indonesia Nomor 13/23/DPNP tanggal 25 Okt 2011

Kebijakan Manajemen Risiko paling kurang memuat:

(8) kebijakan rencana kelangsungan usaha (business continuity plan atau business continuity management) atas kemungkinan kondisi eksternal dan internal terburuk, sehingga kelangsungan usaha Bank dapat dipertahankan termasuk rencana pemulihan bencana (disaster recovery plan) dan rencana kontinjensi (contingency plan). Penyusunan kebijakan rencana kelangsungan usaha memenuhi hal-hal antara lain sebagai berikut:

    1. Melibatkan berbagai satuan kerja terkait;
    2. Bersifat fleksibel untuk dapat merespon berbagai skenario gangguan yang sifatnya tidak terduga dan spesifik, yaitu gambaran kondisi-kondisi tertentu dan tindakan yang dibutuhkan segera;
    3. Pengujian dan evaluasi rencana kelangsungan usaha secara berkala;
    4. Direksi wajib menguji, mereview, dan mengkinikan rencana kelangsungan usaha secara berkala untuk memastikan efektivitas rencana kelangsungan usaha yang telah disusun.

Bank harus memiliki Business Continuity Management (BCM) yaitu proses manajemen (protokol) terpadu dan menyeluruh untuk memastikan kelangsungan operasional Bank dalam menjalankan bisnis dan melayani nasabah. Di dalam BCM, Bank wajib memiliki kebijakan yang paling kurang mencakup:

    • Business Impact Analysis (BIA);
    • Penilaian Risiko Operasional yang dapat terjadi akibat gangguan-gangguan dalam operasional Bank;
    • Strategi pemulihan yang dijalankan Bank untuk tiap-tiap bentuk gangguan yang terjadi;
    • Dokumentasi, antara lain rencana pemulihan bencana dan rencana kontijensi;
    • Pengujian secara berkala untuk meyakini bahwa pendekatan BCM yang digunakan dapat dioperasikan dengan efektif pada saat terjadi gangguan.
  • Peraturan OJK No. 13/POJK.03/2015 Tentang Penerapan Manajemen Risiko Bagi Bank Perkreditan Rakyat, BAB IV Kebijakan Manajemen Risiko, Prosedur Manajemen Risiko, dan Penetapan Limit Risiko.

Pasal 7

Kebijakan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b angka 1) paling sedikit meliputi:

    1. Penyusunan rencana darurat (contingency plan) dalam kondisi terburuk
  • Peraturan Otoritas Jasa Keuangan No. 17/POJK.03/2014 tentang Penerapan Manajemen Risiko Terintegrasi Bagi Konglomerasi Keuangan.

Pasal 21

Kebijakan Manajemen Risiko Terintegrasi memuat paling sedikit:

    1. Penyusunan rencana darurat (contingency plan) dalam kondisi terburuk (worst case scenario)
  • Peraturan Otoritas Jasa Keuangan No. 18/POJK.03/2016 Tentang Penerapan Manajemen Risiko Bagi Bank Umum. BAB IV Kebijakan dan Prosedur Manajemen Risiko Serta Penetapan Limit Risiko, Bagian Kesatu Kebijakan Manajemen Risiko

Pasal 8

Kebijakan Manajemen Risiko sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b paling sedikit memuat:

    1. Penyusunan rencana darurat (contingency plan) dalam kondisi terburuk (worst case scenario)
  1. Badan Usaha Milik Negara (BUMN)
  • Peraturan Menteri BUMN No. PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan Teknologi Informasi BUMN

5.2.1.2 Ruang Lingkup

Kebijakan pengelolaan layanan TI meliputi antara lain proses-proses:

    • Pengelolaan kesinambungan layanan TI (Service Continuity Management)

Proses pengelolaan kesinambungan layanan TI adalah proses yang mengelola kesinambungan layanan TI agar tetap dapat beroperasi sesuai dengan tingkat layanan yang dijaminkan. Salah satu upayanya antara lain dengan adanya Disaster Recovery Plan (DRP) untuk layanan kritikal.

  • Peraturan Pemerintah RI No. 82 Tahun 2012

Pasal 17

    1. Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya.
    2. Penyelenggaran Sistem Elektronik untuk pelayanan public wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan Negara terhadap data warga negaranya.
    3. Ketentuan lebih lanjut mengenai kewajiban penempatan pusat data dan pusat pemulihan bencana di wilayah Indonesia sebagaimana dimaksud pada ayat (2) diatur oleh Instansi Pengawas dan Pengatur Sektor terkait sesuai dengan ketentuan perundang-undangan setelah berkoordinasi dengan Menteri.

Pasal 39

    1. Penyelenggara Agen Elektronik wajib:
    2. Memiliki rencana keberlangsungan bisnis termasuk rencana kontingensi yang efektif untuk memastikan tersedianya system dan jasa Transaksi Elektronik secara berkesinambungan,
    3. Memiliki prosedur penanganan kejadian tak terduga yang cepat dan tepat untuk mengurangi dampak suatu insiden, penipuan, dan kegagalan System Elektronik.

Selain ketentuan-ketentuan di atas, terdapat pula ketentuan-ketentuan yang digunakan dalam pengembangan BCM di perusahaan, yaitu:

    • ISO 22301 Societal Security – Business Continuity Management Systems – Requirements
    • ISO 22313 Societal Security – Business Continuity Management Systems – Guidance
    • ISO 22316 Societal Security – Guidelines for Organizational Resilience
    • ISO/TS Societal Security – Business Continuity Management Systems – guidelines for business impact analysis
    • ISO/TS 22318 Societal SecurityBusiness Continuity Management SystemsGuidelines for supply Chain Continuity

Ruang lingkup BCM sangat luas, mulai dari life safety, reputational risk, liquidity risk, operational risk, dan legal/compliance risk. Dan masing-masing memiliki standard tersendiri. Sebagai contohnya untuk life safety, terdapat ketentuan-ketentuan berikut:

    1. UU No.24 Th. 2007 Tentang Penanggulangan Bencana
    2. PP No. 21 Th. 2008 Tentang Penyelenggaraan Penanggulangan Bencana
    3. PP No. 50 Th. 2012 Tentang Penerapan Sistem Manajemen Keselamatan dan Kesehatan Kerja (SMK3)
    4. Peraturan Kepala Badan Nasional Penanggulangan Bencana No. 4 Tahun 2008 Tentang Pedoman Penyusunan Rencana Penanggulangan Bencana
    1. Kitab Undang-Undang Hukum Pidana (KUHP) BAB VII Kejahatan yang Membahayakan Keamanan Umum Bagi Orang atau Barang

Pasal 189

Barang siapa pada waktu ada atau akan ada kebakaran, dengan sengaja dan melawan hukum menyembunyikan atau membikin tak dapat dipakai perkakas-perkakas atau alat-alat pemadam api atau dengan cara apa pun merintangi atau menghalang-halangi pekerjaan memadamkan api, diancam dengan pidana penjara paling lama tujuh tahun

Dari uraian diatas, dapat disimpulkan, bahwa pemerintah melalui regulator (BI/OJK) telah mengeluarkan ketentuan mengenai contingency plan/BCM sejak tahun 2003, dan telah mewajibkan setiap Industri Keuangan Baik Bank maupun Non-Bank untuk mengimplementasikan BCM sebagai bagian dari manajemen risikonya. Implementasi BCM disesuaikan dengan kebutuhan dan karakteristik masing-masing dan sejalan dengan risk appetite perusahaan.

Tujuan

Memiliki pedoman BCM yang sudah disempurnakan
Memastikan perusahaan memiliki pedoman BCM yang sudah disempurnakan secara berkala merujuk pada aturan terkini.
Menjelaskan alur tugas, wewenang dan tanggung jawab
Untuk menjelaskan alur tugas, wewenang dan tanggung jawab dari setiap unit kerja, terkait pelaksanaan BCM.
Menjamin kelangsungan fungsi bisnis
Menjamin kelangsungan fungsi bisnis saat kondisi gangguan atau bencana, terutama fungsi bisnis atau operasional yang kritikal agar layanan Perusahaan tetap berjalan.
Sebagai acuan
Sebagai acuan dalam pelaksanaan kegiatan BCM.
Menghindari tumpang tindih
Menghindari tumpang tindih pelaksanaan tugas.
Memastikan ketersediaan prosedur kerja
Memastikan ketersediaan prosedur kerja bagi Unit Kerja saat terjadi gangguan atau bencana, sehingga dapat meminimalisasi dampak dan menghindari kerugian yang lebih besar bagi Perusahaan dan Interested Parties.
Mengindari kesalahan
Untuk mengindari kesalahan dalam proses pelaksanaan kegiatan BCM.
Memenuhi ketentuan Undang-Undang
Memenuhi ketentuan Undang-Undang Nomor 24 Tahun 2007 tentang Penanggulangan Bencana.
Membangun budaya, pemahaman, dan kesadaran BCM
Membangun budaya, pemahaman, dan kesadaran BCM (BCM awareness) melalui sosialisasi secara berkesinambungan dan simulasi penanganan gangguan atau bencana.

Download brosur kami!

Ada keraguan? Hubungi kami segera
Mulailah membangun pengalaman tingkat berikutnya dengan RMG.
Hubungi kami