Professional Documents
Culture Documents
ORGANIZATION
SPEAKER BIOGRAFI
Mohammad Mukhlis, ST. MT. CERG.
Director of IT, GRC, and Data Management
• TechnicalCommittee member of Indonesia National
Standardization Body (BSN) – SNI ISO31000
• Technical Committee member of International Standard
Organization (ISO) – TS 262
• Practitioner of ISO31000 – Risk Management, ISO27001
– Information Security Management System, ISO22301 –
Business Continuity Management, ISO9001 – Quality
Management System, and IT Governance.
• Speaker of various seminar related to ISO31000 – Risk
Management, ISO27001 – Information Security
Management System, ISO22301 – Business Continuity
Management, ISO9001 – Quality Management System,
and IT Governance.
• Nominated for Best CIO 2019
Professional Career :
• 2017 – Present : Director, PT PEFINDO Biro Kredit
• 2015 – 2017 : Division Head, Project Management Office - IT, Bursa Efek Indonesia
• 2008 – 2015 : Division Head, Risk Management, Bursa Efek Indonesia
• 2000 – 2007 : Unit Head, IT Management System, Bursa Efek Indonesia
2
PENGHARGAAN PBK
• Top GRC Awards 2020– 4 Stars
Top Business Magazine, IRMAPA, ICoPI, KNKG.
• The Best GRC & Risk Management 2020 dalam kategori Financial Service.
GRC & Performance Excellence Award 2020 - Business News Indonesia.
Point ancaman (threat) adalah key point integrasi antara BCM dan ERM
BCM & ERM
BUSINESS ENTERPRISE
CONTINUITY RISK TUJUAN
MANAGEMENT MANAGEMENT PERUSAHAAN
(BCM) (ERM)
BCM dan ERM saling melengkapi satu dengan lainya dalam menjaga
keberlangsungan bisnis saat ini untuk memperkuat perusahaan
STANDAR DAN REGULASI TERKAIT DENGAN IMPLEMENTASI BCM
(Contoh Biro Kredit)
BCMS
Risk Management
International
International Standard
Standard POJK 42 Tahun 2019
ISO 31000:2018 (peraturan OJK terkait LPIP)
ISO 22301:2019
BCMS menekankan pentingnya : Pengelolaan Risiko Adalah: POJK PASAL 36 Ayat 1 huruf c :
1) Memahami kebutuhan organisasi 1) Membantu organisasi dalam menetapkan LPIP wajib:
untuk membangun kebijakan dan strategi, mencapai tujuan, dan membuat
tujuan manajemen keberlangsungan keputusan yang diinformasikan c. memiliki kebijakan dan prosedur
bisnis operasional yang dituangkan dalam
2) Bagian dari tata kelola dan pedoman tertulis
2) Menerapkan dan mengkontrol kepemimpinan yang merupakan dasar
operasi proses serta mengukur organisasi
kemampuan organisasi secara POJK PASAL 37 Point e
3) bagian dari semua aktivitas yang terkait Kebijakan dan prosedur operasional
keseluruhan dalam mengelola
dengan organisasi dan termasuk interaksi
inciden sebagaimana dimaksud dalam Pasal 36 ayat
dengan pemangku kepentingan
3) Memantau, meninjau kinerja , dan (1) huruf c memuat paling sedikit:
4) Mengelola risiko mempertimbangkan e. rencana kelangsungan bisnis;
efektivitas BCMS konteks eksternal dan internal organisasi,
4) Perbaikan yang berkelanjutan yang termasuk manusia faktor perilaku dan
berdasarkan pengukurn objectif budaya
GAMBARAN BCM
8
ILUSTRASI ORGANISASI BERJALAN DENGAN BCM DAN TANPA BCM
Peristiwa disrupsi
KINERJA Persiapan
Skenario bencana utama operasional Operasi berjalan
normal
Step 3
Step 2
Strategi pemulihan
dijalankan Step 1
RPO
RTO (Recovery Time Objective)
WAKTU
(Recovery
Point
Objective)
ISSUES
AVAILABILITY RELIABILITY RECOVERIABILITY
ADDRESSED
Achieve and maintain the Effectively manage and Provide an effective plan to
chosen availability level of control IT Infrastructure minimize downtime of key
OBJECTIVE enterprise’s IT to improve the overall processes in the event of a
Infrastructure operational reliability major distruption
Proactive and
FOCUS Preventive Response and Recovery
MANFAAT PENERAPAN BCM
Establish
(PLAN)
Interested Party Interested Party
PROSES BCM
GAMBARAN ERM
13
RISK MANAGEMENT
(Based on ISO 31000:2018 & ISO IEC Guide 73:2009)
16
INTEGRASI BCM & ERM
Key :
BCM Activity
RM Activity
Integrated BCM/RM Activity
Risk/Threats Business
Key Process Identification strategy
Risk Map/Risk
BIA
Register
RECOVERY & RISK
Dependencies STRATEGY
Risk, Risk Event,
Vulnerability impact
Source, Risk Impact
HUBUNGAN BIA DAN RA PADA PENERAPAN BCM
AREA BCM ERM
Penerusan dan pemulihan Perlindungan terhadap
BCM PLAN Tujuan
bisnis ancaman
Aktivitas yang bersifat Aktivitas yang bersifat
Karakteristik
Responsif Preventif
Metode Business Impact Analysis
Risk Assessment (RA)
Utama (BIA)
RISK ANALYSIS Parameter
TEXTING & Dampak dan Waktu Dampak dan Probabilitas
Utama
& REVIEW
EXERCISING
BCM Insiden yang menyebabkan
Seluruh insiden yang
disrupsi bisnis secara
(Continuously Tipe Insiden
signifikan (biasanya secara
terjadi (biasanya secara
bertahap)
process) tiba-tiba / dadakan)
BUSINESS
IMPACT Kejadian yang mengancam
Ukuran operasional bisnis dan Semua kejadian yang
ANALYSIS kejadian fungsi-fungsi utama mempengaruhi organisasi
PLAN organisasi
DEVELOPMENT Terfokus kepada
Terfokus kepada
manajemen terhadap
manajemen terhadap
Ruang risiko organisasi untuk
insiden-insiden yang terjadi
Lingkup pencegahan dan
RECOVERY untuk penerusan dan
pengurangan terjadinya
pemulihan bisnis
STRATEGY insiden
IMPLEMENTASI BCM
19
POTENSI GANGGUAN DALAM IMPLEMENTASI BCM
MAO / MTPD
1. Recovery Point Objective (RPO) adalah maksimum kehilangan data yang dapat ditolerir dalam satuan waktu.
2. Recovery Time Objective (RTO) adalah waktu maksimum yang dapat ditolerir untuk mengaktifkan sistem bisnis
hingga siap beroperasi, termasuk contohnya, restore data dari back-up-nya atau memperbaiki kegagalan sistem.
Kegiatan ini dilakukan oleh Fungsi IT.
3. Work Recovery Time (WRT) adalah waktu maksimum yang dapat ditolerir untuk melakukan verifikasi sistem
dan/atau integritas data sehingga layanan kembali pulih secara normal. Contoh kegiatan ini adalah memeriksa
database, log dan parameter sistem untuk memastikan applikasi atau layanan bisnis benar-benar berfungsi dan
tersedia dengan baik termasuk konektifitas/akses suplier. Kegiatan ini dilakukan oleh Fungsi Bisnis bersama Fungsi
IT.
4. Maximum Acceptable Outage (MAO) atau Maximum Tollerable Period of Disruption (MTPD) adalah total waktu
terganggu/terhentinya suatu layanan atau proses bisnis tanpa dengan konsekuensi yang sudah dapat dipastikan
atau diterima.
BEST PRACTICE DALAM PENERAPAN BCM
COVID-19
Deklarasi
Timbul diawal
kondisi
bulan Maret
Penilaian dampak darurat dan Validasi
2020 Pelaksanaan
(core bisnis aktifasi call proses sistem
BCP
process) tree New
Notifikasi dan CMT Meeting Pelaporan Kelangsungan Restorasi Normal
eskalasi
dan proses bisnis
pengumuman
ke member
Kebakaran di Deklarasi
perusahaan kondisi
Penilaian dampak darurat dan Validasi
Pelaksanaan
(core bisnis aktifasi call proses sistem
BCP
process) tree New
Notifikasi dan CMT Meeting Pelaporan Kelangsungan Restorasi Normal
eskalasi
dan proses bisnis
pengumuman
ke member
Disaster recovery
Emergency response plan Communication plan BCP plan
Restoration plan
► Notifikasi insiden (kebakaran) ► Pelaporan dan ► Evakuasi karyawan ► Validasi proses ► Pengecekan terhadap
► Penilaian dampak (dampak terhadap pengumuman ke ► Koordinator dengan kondisi terakhir pasca
core bisnis) member dan evakuasi dan P3K melakukan kebakaran
internal terkait memastikan penarikan
► Crisis management team meeting akan aktivasi BCP inquiry oleh ► Melakukan perbaikan
kondisi dan jumlah baik kerusakan pada
► Deklarasi kondisi darurat dan aktifasi karyawan tim data
gedung dan server
call tree ► Pengumuman ataupun infrastruktur
► Relokasi ke
alternative site ke member penunjang lainya
► Set up pemulihan ► Memastikan sistem
TI di area bekerja dengan baik
alternative site setelah perbaikan
pasca kebakaran
► Tim pemulihan
melakukan set up
koneksi ke DC
secara remote
Apakah
evakuasi Ya Apakah
personil
Evakuasi kondisi
harus personil bencana Ya
dilakukan? berkurang?
Tidak
Tidak
Apakah
harus
Tentukan
relokasi ke alternative BCP
lokasi kerja
alternatif? lain
STRUKTUR ORGANISASI BCM
CRISIS MANAGEMENT
TEAM
TERIMA KASIH
28