Business Impact Analysis Lawan Risk Assessment, Sebuah Kajian Bisnis

Dalam kajian Business Continuity Management, organisasi harus membuat pengelolaan risiko terhadap risiko-risiko yang dapat mengancam kelangsungan bisnis ketika mengalami krisis (disruptive incident). Organisasi diwajibkan untuk membuat rencana-rencana antisipasi dalam menentukan dan mengendalikan aspek risiko tersebut.

Perbedaan risk assessment dalam pengelolaan risiko Business Continuity Management dengan pengelolaan risiko di sistem lainnya terletak pada objektif dan tujuan risk assessment tersebut.

Trend pengembangan sistem manajemen ke depan berbasis pengelolaan risiko (risk management). Kita mengenal ada sistem manajemen ISO 9001:2015, ISO 14001:2015, OHSAS 18001, ISO 27001, ISO 20000, ISO 22000, dan sistem manajemen lainnya. Semua standar sistem manajemen tersebut sudah berbasis pengelolaan risiko. Untuk pengelolaan risiko di sistem Business Continuity Management lebih dikenal dengan istilah BIA (Business Impact Analysis). BIA adalah sebuah metode risk assessment untuk menilai suatu risiko atau dampak yang berpengaruh pada bisnis. Perbedaan antara risk assessment dengan BIA adalah:

Risk Assessment

Metode untuk menilai risiko yang berpengaruh kepada bisnis dari identifikasi risiko-risiko proses atau issue kepada bisnis perusahaan. Risk assessment secara umum menilai bagaimana sebuah risiko dari kemungkinan dan dampak dari risiko tersebut kepada bisnis organisasi. Orang mengenalnya dengan istilah likelihood dan severity suatu risiko, untuk dapat dinilai dan dilakukan mitigasi risiko tersebut. Manfaatnya adalah bagaimana organisasi mengelola risiko sehingga organisasi terkendali dan mencapai tujuannya.

Business Impact Analysis (BIA)

Adalah metode menilai risiko yang berpengaruh pada bisnis, setelah organisasi mengalami masa krisi atau disruptive incident. Metode ini bagian dari Business Continuity Plan (BCP) dimana organisasi melakukan antisipasi untuk merencanakan pemulihan terhadap operasi dan financial sehingga bisnis dan pelayanan dapat berjalan dengan seperti sediakala. Dalam analisa BIA, penilaian risiko tidak hanya berasal dari proses, tapi juga asset, critical information yang menjadi faktor penilaian risiko business diidentifikasi. Mitigasi risiko dalam BIA adalah bagaimana hasil analisa risiko mencapai nilai RTO (Recovery Time Objective) atau Tujuan Waktu Pemulihan dimana waktu yang diharapakan untuk pemulihan terhadap dampai tersebut ditentukan. Nilai lainnya yaitu RPO (Recovery Point Objective) yaitu Tujuan Nilai Pemulihan yakni nilai dari waktu yang ditolerir suatu informasi/data  boleh hilang dari suatu tujuan pemulihan ditentukan.

Contoh:

Komponen penilaian, yaitu data informasi nasabah, dimana terdapat dokumen A, maka RTO yang diharapkan adalah 2 hari, RPO 5 jam.

BCDRTimeline

Komponen BIA lainnya adalah bagaimana dengan parameter MTD (Maximum Torelable Downtime), yaitu batas waktu maksimum dari lamanya waktu pemulihan atas data atau informasi yang hilang.

BIA menjadi menarik karena identifikasi input berasal dari Enterprise Business Process yang mana tidak hanya melakukan identifikasi dari informasi atau data atau asset berasal dari bagian operation, tapi juga dari bagian lainnya yang relevan dengan lingkup bisnis organisasi.

Sehingga Risk Assessment dan Business Impact Analysis mempunyai dua target yang berbeda, yaitu:

Risk assessment

target: mitigasi risiko, mengurangi business yang rentan

Business Impact Analysis (BIA)

target: strategi pemulihan bisnis, prioritas kelangsungan pelayanan, RTO, RPO, dan sebagainya.

Leave a Reply

Your email address will not be published. Required fields are marked *