BUSINESS CONTINUITY MANAGEMENT TO STRENGTHEN

ORGANIZATION
 SPEAKER BIOGRAFI
Mohammad Mukhlis, ST. MT. CERG.
Director of IT, GRC, and Data Management
• TechnicalCommittee member of Indonesia National
Standardization Body (BSN) – SNI ISO31000
• Technical Committee member of International Standard
Organization (ISO) – TS 262
• Practitioner of ISO31000 – Risk Management, ISO27001
– Information Security Management System, ISO22301 –
Business Continuity Management, ISO9001 – Quality
Management System, and IT Governance.
• Speaker of various seminar related to ISO31000 – Risk
Management, ISO27001 – Information Security
Management System, ISO22301 – Business Continuity
Management, ISO9001 – Quality Management System,
and IT Governance.
• Nominated for Best CIO 2019
Professional Career :
• 2017 – Present : Director, PT PEFINDO Biro Kredit
• 2015 – 2017 : Division Head, Project Management Office - IT, Bursa Efek Indonesia
• 2008 – 2015 : Division Head, Risk Management, Bursa Efek Indonesia
• 2000 – 2007 : Unit Head, IT Management System, Bursa Efek Indonesia

2
 PENGHARGAAN PBK
• Top GRC Awards 2020– 4 Stars
Top Business Magazine, IRMAPA, ICoPI, KNKG.

• The Best GRC & Risk Management 2020 dalam kategori Financial Service.
GRC & Performance Excellence Award 2020 - Business News Indonesia.

• Risk Innovation Winner – ASEAN Risk Awards 2019

Enterprise Risk Management Academy (ERMA)

• Risk Technology Winner

ASEAN Risk Awards 2019

• Risk Educator Runner Up

ASEAN Risk Awards 2019

• GRC Award Nominee

ASEAN Risk Awards 2019

• Public Initiative Nominee

ASEAN Risk Awards 2019

• Public Risk Nominee

ASEAN Risk Awards 2019

• Risk Champion Nominee

ASEAN Risk Awards 2018
 APAKAH RISIKO ITU ?

DEFINISI RISIKO BERDASARKAN ISO 31000

RISK = Effect (+) of uncertainty (+) on objectives

Risiko adalah ketidakpastian yang dapat menghambat

dalam pencapaian tujuan

Risk is usually expressed in terms of risk sources,

potential events, their consequences and their likelihood.
 APAKAH BUSINESS CONTINUITY MANAGEMENT (BCM) ITU ?

DEFINISI BCM BERDASARKAN ISO 22301

BUSINESS CONTIUNITY MANAGEMENT (BCM)

Serangkaian sistem manajemen holistik yang dilakukan untuk

mengidentifikasi potensi ancaman terhadap organisasi dan dampak yang
mungkin terjadi pada operasi bisnis organisasi, serta memberikan framework
untuk membangun ketahanan organisasi terhadap acaman dengan
kemampuan untuk merespon secara efektif yang dapat melindungi
kepentingan stakeholder utama organisasi, reputasi, merek dan
aktivitas‐aktivitas bisnis yang dapat menciptakan nilai kepada organisasi.

Point ancaman (threat) adalah key point integrasi antara BCM dan ERM
 BCM & ERM

BUSINESS ENTERPRISE
CONTINUITY RISK TUJUAN
MANAGEMENT MANAGEMENT PERUSAHAAN
(BCM) (ERM)

BCM dan ERM saling melengkapi satu dengan lainya dalam menjaga
keberlangsungan bisnis saat ini untuk memperkuat perusahaan
 STANDAR DAN REGULASI TERKAIT DENGAN IMPLEMENTASI BCM
(Contoh Biro Kredit)
BCMS
International
Standard
ISO 22301:2019
BCMS menekankan pentingnya :
1) Memahami kebutuhan organisasi
untuk membangun kebijakan dan
tujuan manajemen keberlangsungan
bisnis
2) Menerapkan dan mengkontrol
operasi proses serta mengukur
kemampuan organisasi secara
keseluruhan dalam mengelola
inciden
3) Memantau, meninjau kinerja , dan
efektivitas BCMS
4) Perbaikan yang berkelanjutan yang
berdasarkan pengukurn objectif
Risk Management
International Standard
POJK 42 Tahun 2019
ISO 31000:2018 (peraturan OJK terkait LPIP)
Pengelolaan Risiko Adalah: POJK PASAL 36 Ayat 1 huruf c :
1) Membantu organisasi dalam menetapkan LPIP wajib:
strategi, mencapai tujuan, dan membuat
keputusan yang diinformasikan c. memiliki kebijakan dan prosedur
operasional yang dituangkan dalam
2) Bagian dari tata kelola dan pedoman tertulis
kepemimpinan yang merupakan dasar
organisasi
POJK PASAL 37 Point e
3) bagian dari semua aktivitas yang terkait Kebijakan dan prosedur operasional
dengan organisasi dan termasuk interaksi
sebagaimana dimaksud dalam Pasal 36 ayat
dengan pemangku kepentingan
(1) huruf c memuat paling sedikit:
4) Mengelola risiko mempertimbangkan e. rencana kelangsungan bisnis;
konteks eksternal dan internal organisasi,
termasuk manusia faktor perilaku dan
budaya
GAMBARAN BCM

8
 ILUSTRASI ORGANISASI BERJALAN DENGAN BCM DAN TANPA BCM
Peristiwa disrupsi
KINERJA Persiapan
Skenario bencana utama operasional Operasi berjalan
normal
Step 3
Step 2
Strategi pemulihan
dijalankan Step 1

Tanpa Tanpa rencana

rencana kontingensi
tanggap bisnis
darurat

Periode di mana bisnis utama dan

pemadaman aplikasi tidak tersedia dan
Periode kehilangan
data dapat ditoleransi

RPO
RTO (Recovery Time Objective)
WAKTU
(Recovery
Point
Objective)

MTPOD (Maximum Tolerable period of downtime)

Catatan : kondisi kinerja belum tentu mencapai 100% setelah operasi

Organisasi dengan BCM berjalan normal jika terpengaruhi faktor eksternal.
Organisasi Tanpa BCM Contoh : efek pandemic covid yang berimbas pada daya beli masyarakat
 HAL-HAL UTAMA BCM

BUSINESS CONTINUITY MANAGEMENT

ISSUES
AVAILABILITY RELIABILITY RECOVERIABILITY
ADDRESSED

Enterprise High Service Level Business Continuity

SOLUTION Availability Management Planning

Achieve and maintain the Effectively manage and Provide an effective plan to
chosen availability level of control IT Infrastructure minimize downtime of key
OBJECTIVE enterprise’s IT to improve the overall processes in the event of a
Infrastructure operational reliability major distruption

EMPHASIS Technology Processes People

Proactive and
FOCUS Preventive Response and Recovery
 MANFAAT PENERAPAN BCM

BUSINESS CONTINUITY MANAGEMENT

► Memperkecil Diruption
dan kerugian operasi
► Perlindungan terhadap
potensi ancaman BCM PLANNING & METHODOLOGY
► Menambah Incident, Emergencies,
kepercayaan dari IT Business Events, Disasters Security Crisis
RECOVERY continuity
investor, stakeholder,
dan pelanggan
PLAN
► Meningkatkan reputasi
perusahaan IT DR Specific Plans Security Specific Crisis
Plan BC Plan Management
Plan plans
 PROSES IMPLEMENTASI BCM
(Based on ISO 22301 : 2019)

Continual Improvement of Business

Continuity Management System
(BCMS)

Establish
(PLAN)
Interested Party Interested Party

Business Continuity Management

(BCM)
merupakan suatu proses manajemen
Maintain and bisnis secara menyeluruh yang Implement
menyediakan kerangka kerja untuk
Improve memastikan kelangsungan bisnis dan and Operate
(ACT) ketahanan perusahaan terhadap (DO)
bencana, yang dilakukan karena nilai
tambah yang dihasilkan dan
pertimbangan dari kepatuhan
terhadap peraturan atau regulasi

Requirements Monitor and Managed

For Business Review Business
Continuity (CHECK) Continuity

PROSES BCM
GAMBARAN ERM

13
 RISK MANAGEMENT
(Based on ISO 31000:2018 & ISO IEC Guide 73:2009)

Risk : effect of LOW

uncertainty on RISK
objectives
Risk objectives can have
different aspects (such RISK MANAGEMENT :
as financial, health and coordinated activities to direct
safety, and and control an organization with
environmental goals)
regard to risk
and can apply at
different levels (such as
strategic, RISK MANAGEMENT FRAMEWORK :
organization-wide, set of components that provide the
project, product and foundations and
process). organizational arrangements for
designing, implementing,
Monitoring, reviewing and continually
improving risk management throughout
the organization
Note : The organizational arrangements include
plans, relationships, accountabilities, resources,
processes and activities.
 RISK MANAGEMENT
(Based on ISO 31000:2018 & ISO IEC Guide 73:2009)

Integrated, Risk management is an integral part of all Leadership &

organizational activities Commitment

Structured and comprehensive, A structured and

comprehensive approach to risk management
contributes to consistent and comparable results

Customized, The risk management framework and Integration

process are customized and proportionate to the
organization’s external and internal context related to
its objectives
Scope, Context,
Inclusive, Appropriate and timely involvement of
criteria

Communication & Consultation

stakeholders enables their knowledge, views and
perceptions to be considered Design
Risk Assessment

Monitoring & Review

Dynamic, Risks can emerge, change or disappear as
an organization’s external and internal context Risk Identification
changes. Risk management anticipates, detects,
acknowledges and responds to those changes and
events in an appropriate and timely manner.
Improvement Implementation
Risk Analysis
Continual improvement, Risk management is
continually improved through learning and Risk Evaluation
experience
Evaluation
Human and cultural factors, Human behaviour and
culture significantly influence all aspects of risk
management at each level and stage
Risk Treatment

Best available information, The inputs to risk

management are based on historical and current
information, as well as on future expectations

Risk Management Risk Management Risk Management

Principles Framework Process
INTEGRASI BCM DAN ERM

16
 INTEGRASI BCM & ERM

Key :
BCM Activity
RM Activity
Integrated BCM/RM Activity

Risk/Threats Business
Key Process Identification strategy

Inteview RISK MITIGATION

BIA of Key Process Risk Assessment workshop
PLAN

Risk Map/Risk
BIA
Register
RECOVERY & RISK
Dependencies STRATEGY
Risk, Risk Event,
Vulnerability impact
Source, Risk Impact
 HUBUNGAN BIA DAN RA PADA PENERAPAN BCM
AREA BCM ERM
Penerusan dan pemulihan Perlindungan terhadap
BCM PLAN Tujuan
bisnis ancaman
Aktivitas yang bersifat Aktivitas yang bersifat
Karakteristik
Responsif Preventif
Metode Business Impact Analysis
Risk Assessment (RA)
Utama (BIA)
RISK ANALYSIS Parameter
TEXTING & Dampak dan Waktu Dampak dan Probabilitas
Utama
& REVIEW
EXERCISING
BCM Insiden yang menyebabkan
Seluruh insiden yang
disrupsi bisnis secara
(Continuously Tipe Insiden
signifikan (biasanya secara
terjadi (biasanya secara
bertahap)
process) tiba-tiba / dadakan)
BUSINESS
IMPACT Kejadian yang mengancam
Ukuran operasional bisnis dan Semua kejadian yang
ANALYSIS kejadian fungsi-fungsi utama mempengaruhi organisasi
PLAN organisasi
DEVELOPMENT Terfokus kepada
Terfokus kepada
manajemen terhadap
manajemen terhadap
Ruang risiko organisasi untuk
insiden-insiden yang terjadi
Lingkup pencegahan dan
RECOVERY untuk penerusan dan
pengurangan terjadinya
pemulihan bisnis
STRATEGY insiden
IMPLEMENTASI BCM

19
 POTENSI GANGGUAN DALAM IMPLEMENTASI BCM

Tidak adanya dukungan dari Top

Management

Tidak ada strategi pelaksanaan

BCM

Tidak terpenuhinya kebutuhan

resources

Target yang tidak obyektif

Kurangnya peran aktif dan

kerjasama pihak – pihak yang
berkepentingan
FAKTOR YANG DIPERTIMBANGKAN DALAM PENERAPAN BCM
 EVALUASI RENCANA KELANGSUNGAN BISNIS

RPO RTO WRT

Maksimum
BCP, Aktifasi sistem Validasi sistem
kehilangan data
Time

Business as Disaster Recovery Activitiy as

usual usual

MAO / MTPD
1. Recovery Point Objective (RPO) adalah maksimum kehilangan data yang dapat ditolerir dalam satuan waktu.
2. Recovery Time Objective (RTO) adalah waktu maksimum yang dapat ditolerir untuk mengaktifkan sistem bisnis
hingga siap beroperasi, termasuk contohnya, restore data dari back-up-nya atau memperbaiki kegagalan sistem.
Kegiatan ini dilakukan oleh Fungsi IT.
3. Work Recovery Time (WRT) adalah waktu maksimum yang dapat ditolerir untuk melakukan verifikasi sistem
dan/atau integritas data sehingga layanan kembali pulih secara normal. Contoh kegiatan ini adalah memeriksa
database, log dan parameter sistem untuk memastikan applikasi atau layanan bisnis benar-benar berfungsi dan
tersedia dengan baik termasuk konektifitas/akses suplier. Kegiatan ini dilakukan oleh Fungsi Bisnis bersama Fungsi
IT.
4. Maximum Acceptable Outage (MAO) atau Maximum Tollerable Period of Disruption (MTPD) adalah total waktu
terganggu/terhentinya suatu layanan atau proses bisnis tanpa dengan konsekuensi yang sudah dapat dipastikan
atau diterima.
 BEST PRACTICE DALAM PENERAPAN BCM

STEP 1 STEP 2 STEP 3 STEP 4 STEP 5 STEP 6

1. Buat Policy yang

mengatur tentang
BCM (Policy
mengenai Penyusunan
emergency
response, Lakukan evaluasi Business
Pelaksanaan Evaluasi
communication dampak terhadap continuity
Analisa risiko yang Business pelaksanaan
plan, BCP, DRP, bisnis (BIA) dan management plan
Restoration plan) berpengaruh Continuity Business
tentukan proses – (BCM)
2. Penentuan struktur terhadap Management Continuity
proses penting (Rencana BC,
Organisasi dan organisasi (BCM) management
wewenang serta dalam organisasi Alokasi sumber
tanggung jawabnya yang terdampak (BCM)
daya, rencana
3. Pembuatan pemulihan)
prosedur kerja
yang berkaitan
dengan BCM
 EXPERIENCE SHARING
PANDEMIC COVID-19 BCP

COVID-19
Deklarasi
Timbul diawal
kondisi
bulan Maret
Penilaian dampak darurat dan Validasi
2020 Pelaksanaan
(core bisnis aktifasi call proses sistem
BCP
process) tree New
Notifikasi dan CMT Meeting Pelaporan Kelangsungan Restorasi Normal
eskalasi
dan proses bisnis
pengumuman
ke member

Disaster recovery Restoration

Emergency response plan Communication plan BCP
plan plan
► Notifikasi insiden (Pandemic ► Pelaporan ► Perubahan area ► Validasi proses ► Desinfeksi
Covid-19) kerja di aktivasi sistem
dan alternative site
area kantor
pengumuman sebelum
► Penilaian dampak (dampak ► Evaluasi
► Pengumuman
digunakan
terhadap core bisnis) ke member ke member
kemungkinan kembali
dan internal Full WFH
► Crisis management team meeting terkait akan (estimasi plan
► Deklarasi kondisi darurat dan diaktivasinya jika pandemic
aktifasi call tree BCP semakin
meningkat)
► Persiapan
infrastruktur
sebelum
pelaksanaan
WFH

CMT : Crisis Management Team Meeting

 EXPERIENCE SHARING
KEBAKARAN

Kebakaran di Deklarasi
perusahaan kondisi
Penilaian dampak darurat dan Validasi
Pelaksanaan
(core bisnis aktifasi call proses sistem
BCP
process) tree New
Notifikasi dan CMT Meeting Pelaporan Kelangsungan Restorasi Normal
eskalasi
dan proses bisnis
pengumuman
ke member

Disaster recovery
Emergency response plan Communication plan BCP plan
Restoration plan

► Notifikasi insiden (kebakaran) ► Pelaporan dan ► Evakuasi karyawan ► Validasi proses ► Pengecekan terhadap
► Penilaian dampak (dampak terhadap pengumuman ke ► Koordinator dengan kondisi terakhir pasca
core bisnis) member dan evakuasi dan P3K melakukan kebakaran
internal terkait memastikan penarikan
► Crisis management team meeting akan aktivasi BCP inquiry oleh ► Melakukan perbaikan
kondisi dan jumlah baik kerusakan pada
► Deklarasi kondisi darurat dan aktifasi karyawan tim data
gedung dan server
call tree ► Pengumuman ataupun infrastruktur
► Relokasi ke
alternative site ke member penunjang lainya
► Set up pemulihan ► Memastikan sistem
TI di area bekerja dengan baik
alternative site setelah perbaikan
pasca kebakaran
► Tim pemulihan
melakukan set up
koneksi ke DC
secara remote

CMT : Crisis Management Team Meeting

DIAGRAM ALIR PENETAPAN STRATEGI PEMULIHAN
EXPERIENCE SHARING
BCP
Ketua Tim
BCP
Pemulihan Validasi sistem
Analisa bencana
operasi bisnis di proses
lokasi kerja
alternatif
Prosedur Deaktivasi BCP
Apakah
menggangu emergency
Komunikasi krisis
operasional response
? kepada
stakeholder Operasional
kembali Normal

Aktivasi BCP Review status

pemulihan

Aktivasi Call Tree Evaluasi kondisi

bencana terkini

Apakah
evakuasi Ya Apakah
personil
Evakuasi kondisi
harus personil bencana Ya
dilakukan? berkurang?

Tidak
Tidak

Apakah
harus
Tentukan
relokasi ke alternative BCP
lokasi kerja
alternatif? lain
 STRUKTUR ORGANISASI BCM

CRISIS MANAGEMENT
TEAM

Emergency Communication Disaster Restoration

BCP team
response team team recovery team team
Coordinator
Coordinator Coordinator Coordinator Coordinator
 INTERNAL

TERIMA KASIH

28