Business Continuity Management Sistem Pembayaran

Transkripsi

1 Business Continuity Management 1. PENDAHULUAN Business Continuity Management - (BCM-SP) merupakan proses pengelolaan secara menyeluruh dalam rangka identifikasi potensi kondisi darurat yang berdampak kepada kelangsungan penyelenggaraan sistem pembayaran serta berisi langkah-langkah secara rinci mengenai organisasi, tanggung jawab dan prosedur dalam upaya pencegahan dan pemulihan suatu sistem pembayaran pada saat terjadi gangguan yang disebabkan oleh faktor internal maupun eksternal. Pengembangan BCM-SPN merupakan salah satu upaya merealisasikan visi misi Nasional yaitu mengatur dan menjaga kelancaran sistem pembayaran nasional yang efsien, cepat, aman dan handal guna mendukung kestabilan moneter dan sistem keuangan. Sistem pembayaran memiliki fungsi yang sangat kritikal dalam menunjang kelangsungan stabilitas sistem keuangan nasional. Disisi lain, penggunaan teknologi tinggi dalam infrastruktur sistem pembayaran terutama pada sistem yang termasuk Systemically Important Payment Systems seperti sistem BI-RTGS dan sistem Kliring Nasional (BI-SKN), telah meningkatkan tingginya resiko dalam pengelolaan sistem pembayaran. Selain itu, faktor eksternal seperti kebakaran, kerususan, bencana alam dan serangan teroris yang sering terjadi di wilayah Indonesia juga telah menambah tingginya potensi terjadinya gangguan pada penyelenggaraan sistem pembayaran. Edisi Oktober 2006

2 Pengembangan BCM-SP merupakan kebutuhan yang mendesak sebagai upaya untuk meminimalisasi kerugian apabila terjadinya gangguan pada sistem pembayaran. Selain itu, penyusunan BCM-SP merupakan upaya pemenuhan Core Principle VII, Bank for International Settlements yang merupakan pedoman dalam pengelolaan sistem pembayaran. BCM-SP akan mencakup langkah-langkah kebijakan, identifikasi resiko sistem pembayaran, pembentukan organisasi dan pembagian tanggung jawab, mekanisme kerja serta prosedur operasional dalam upaya pemulihan suatu sistem pembayaran apabila terjadinya suatu gangguan. 2. TUJUAN BCM SISTEM PEMBAYARAN Business Continuity Management (BCM-SP) pada dasarnya merupakan langkah-langkah antisipasi terhadap gangguan yang akan berdampak terhadap fungsi dan proses kritikal dalam penyelenggaraan sistem pembayaran serta memastikan penanggulangan yang dilakukan terencana dan teruji. Adapun tujuan BCM adalah sebagai berikuit : 1. Meningkatkan kehandalan dan kesinambungan operasional sistem pembayaran dalam menjaga reputasi Bank Indonesia sebagai otoritas sistem pembayaran. 2. Mencegah dan memulihkan infrastruktur dan peralatan pendukung operasional sistem pembayaran serta mengurangi dampak kerugian keuangan apabila terjadinya kondisi gangguan. Edisi Oktober 2006 Halaman 2

3 3. Memperjelas tanggung jawab dan mekansisme kerja pihak-pihak yang terlibat dalam BCM-SP sehingga dapat mempercepat waktu proses pengambilan keputusan dalam kondisi terjadinya gangguan. 4. Meningkatkan efisiensi dan efektivitas kegiatan pemulihan operasional sistem pembayaran serta kesiapan petugas operasional dalam upaya pemulihan sistem pembayaran apabila terjadinya gangguan. 3. KONSEP DAN METODOLOGI BCM SISTEM PEMBAYARAN Pengertian dan konsep Business Continuity telah mengalami perkembangan yang cukup pesat sejalan dengan perhatian dan kejadian yang dialami pelaku industri dalam menjamin kelangsungan business yang dilakukan. Perkembangan konsep Business Continuity juga diikuti dengan munculnya beberapa istilah Business Continuity yang terkadang masih menjadi perdebatan dikalangan pelaku industri dan akademisi. Dalam penyusunan BCM-SP, pengertian Business Continuity akan mengacu kepada The Business Continuity Institute sebagai lembaga profesi yang bergerak dalam sertifikasi Business Recovery dan standar yang dikeluarkan oleh Committee on Payment and Settlement Systems, Bank for International Settlements (BIS). Menurut The Business Continuity Institute, 2002, definisi Business Continuity Management (BCM) adalah : A holistic management process that identifies potential impacts that threaten an organisation and provides a framework for building rililience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities. Edisi Oktober 2006 Halaman 3

4 Sedangkan Business Continuity Planning (BCP), sebagai bagian dari BCM, dapat diartikan sebagai : A clearly defined and documented plan for use at the time of business continuity emergency, event, incident and/or crisis. Typically a plan will cover all the key personnel, resources, services and actions required to manage the BCM process. Dengan pengertian diatas maka dokumen BCP terdiri dari langkahlangkah pemulihan business (Business Recovery atau Business Resumption), langkah pemulihan infrastuktur teknologi informasi (Disaster Recovery) dan langkah darurat (Contingency Plan). Sebagai gambaran, beberapa fokus dan isi dari ketiga langkah pemulihan dalam dokumen BCP dapat disajikan dalam tabel berikut : BCP Business Recovery Business Resumption Disaster Recovery Contingency Plan Tujuan Pemulihan Business Proces kritikal Pemulihan melalui restore Business proses Pemulihan Aplikasi, Hardware, Software Pemulihan business process melalui langkah darurat Fokus process recovery Kembali ke proses normal Data Recovery Make do Teladan Penyerahan warkat terganggu Tempat Penyerahan warkat terbakar Tandem down Sistem BI-RTGS down Solusi Perpanjangan penerimaan warkat loket Alternatif tempat penyerahan warkat Tandem Back up Operasinal di sistem/prosedur lain (manual) Tabel 1. Dokumen Business Coninuity Planning Edisi Oktober 2006 Halaman 4

5 3.1. BUSINESS CONTINUITY MANAGEMENT SISTEM PEMBAYARAN Sistem pembayaran memiliki fungsi yang krtikal dalam menunjang kegiatan perekonomian nasional. Kesinambungan operasional sistem pembayaran membantu terselenggaranya sistem keuangan yang stabil dan kuat. Dalam penyelenggaraan sistem pembayaran, Committee on Payment and Settlement Systems, Bank for International Settlements (CPSS-BIS) telah mengeluarkan panduan yang dikenal dengan nama Core Principles for Systemically Important Payment Systems. Core Principles berisi 10 prinsip penyelenggaran sistem pembayaran dengan tujuan agar pelaksanaan kegiatan sistem pembayaran yang bersifat kritikal dan sistemik dapat berjalan dengan aman dan efisien. Sistem pembayaran yang termasuk kedalam Systemically Important Payment Systems merupakan sistem yang bersifat kritikal dan robust dimana terjadinya gangguan terhadap sistem tersebut akan menyebabkan shock dan dapat berkontribusi terhadap terjadinya krisis di sistem keuangan. Dengan melihat pengertian tersebut maka dalam penyelenggaraan sistem pembayaran di Indonesia, Sistem Bank Indonesia - Real Time Gross Settlement dan Sistem Kliring Nasional (Clearing/Netting System) dapat dikategorikan sebagai Systemically Important Payment Systems. Dengan demikian, penyelenggaraan sistem BI-RTGS dan SKN harus memenuhi (comply) terhadap CPSS Core Principles. Salah satu Core Principles yang terkait dengan dengan kesinambungan operasional sistem pembayaran adalah Core Principle VII, Bank for International Settlements yaitu : Edisi Oktober 2006 Halaman 5

6 The system should ensure a high degree of security and operational reliability and should have contingency arrangements for timely completion of daily processing. Dengan demikian, Bank Indonesia sebagi operator perlu memperhatikan aspek operational reliability dalam penyelengaraan sistem BI-RTGS dan SKN-BI, diantaranya adalah : 1. Penyelenggara sistem harus memperhatikan potensi gangguan baik dari sistem teknologi maupun gangguan yang disebabkan oleh infrastruktur lain dan bencana alam. 2. Sistem memerlukan dokumen sistem dan prosedur operasional yang baik, tegas dan menyeluruh. 3. Penyelengara sistem harus memiliki dokumen resmi business continuity plan yang resmi mudah dan praktis. 4. Dokumen Business Continuity Plan harus terdokumentasi dengan baik dan dilakukan testing secara berkala Mengacu kepada standar penyelenggaraan sistem pembayaran yang ditetapkan dalam Core Principles dalam maka penyusunan Business Continuity Management ini menjadi suatu keharusan METODE TAHAP PENGEMBANGAN Dalam penyusunan BCM akan menggunakan metode pengembangan yang mengacu kepada Good Practice Guidelines, The Business Continuity Institute. Metode yang digunakan merupakan Tahap-tahap pengembangan Business Continuity Management (BCM-life cycle) yang dapat digambarkan sebagai berikut : Edisi Oktober 2006 Halaman 6

7 1 5 2 BCM 4 3 The Business Continuity Management Programme Sebagai tahap awal, diperlukannya keterlibatan manajemen puncak, penyusunan struktur oragnisasi dan kebijakan yang akan diambil dalam pengembangan BCM. Tahap I : Understanding Your Business Untuk menyusun BCM strategi yang tepat maka langkah awal yang perlu dilakukan adalah memahami kegiatan usaha yang dijalankan. Beberapa teknik akan dilakukan adalah melalui Business Impact Analysis dan Risk Assessment. Tahap II : Business Continuity Management Strategies Pada tahap ini dilakukan pemilihan strategi BCM yang tepat dari beberapa pilihan yang didapat dari informasi kajian Business Impact Analysis dan Risk Assessment. Tahap III : Developing a Business Continuity Management Response Fokus pada tahap ini akan ditujukan untuk mengidentifikasi beberapa langkah kegiatan yang dipandang perlu untuk dapat memulihkan gangguan yang terjadi pada kondisi normal. Edisi Oktober 2006 Halaman 7

8 Tahap IV : Developing a Business Continuity Management Culture Pada tahap ini akan digambarkan langkah-langkah untuk meningkatkan kesadaran (awareness) akan BCM melalui desain komunikasi, training dan sosialisasi yang terintegrasi dengan strategi organisasi. Tahap V : Exercising, Maintenance and Audit Fokus pada tahap ini adalah penyusunan strategi testing, upaya-upaya pemeliharaan dan proses audit yang dilakukan dalam BCM. 4. BUSINESS IMPACT ANALYSIS DAN RISK ASSESSMENT SISTEM PEMBAYARAN 4.1. BUSINESS IMPACT ANALYSIS SISTEM PEMBAYARAN Business Impact Analysis adalah landasan awal dalam proses penyusunan BCM sistem pembayaran melalui proses identifikasi dampak bisnis, identifikasi aktivitas yang kritikal, penentuan target waktu pemulihan, dan pengukuran standar operasi minimal yang dibutuhkan. Tujuan dari Business Impact Analysis adalah : 1. Memperoleh informasi yang menyeluruh mengenai fungsi oraganisasi dan business prcess yang kritika serta tingkat prioritas dari proses pemulihan setiap business process yang dilakukan. 2. Memberikan informasi kepada manajemen mengenai Maximum Tolerable Outage untuk setiap business process 3. Menyediakan informasi kepada manajemen dalam proses pengambilan keputusan/strategi yang akan ditentukan Edisi Oktober 2006 Halaman 8

9 Dalam penyusunan Business Impact Analysis dilakukan metode sebagai berikut : 1. Mengidentifikasi business process yang dilakukan dalam penyelenggaraan sistem BI-RTGS dan SKNBI. Identifikasi ini disusun berdasarkan business process yang dilakukan Bank Indonesia baik sebagai penyelengara sistem (operator) meupun Bank Indonesia sebagai peserta sistem (user). 2. Melakukan analisa interdependensi antar business process untuk mengidentifikasi dampak resiko yang akan dihadapi apabila suatu business proses mengalami gangguan. 3. Melakukan identifikasi tingkat kritikal setiap business process dan menentukan Maximum Tolarable Outage melalui metode Enterprise Risk Management dan Business Impact Analysis Matrix 4.2. RISK ASSESSMENT SISTEM PEMBAYARAN Risk assessment merupakan tahap lanjutan dalam proses identifikasi business process dengan memfokuskan kepada business process yang bersifat sangat kritikal atau beresiko besar (high level). Risk Assessment juga berfungsi untuk mengidentifikasi business process yang bersifat single points of failure. Tujuan dilakukannya proses Risk Assessment adalah : 1. Mengidentifikasi ancaman/gangguan yang mungkin terjadi baik secara internal maupun eksternal 2. Melakukan assessment terhadap ancaman/gangguan yang didasarkan pada probability (kecenderungan) dan impact (dampak) 3. Menentukan prioritas tingkat ancaman/gangguan berdasarkan pengukuran risk assessment Edisi Oktober 2006 Halaman 9

10 4. Menyediakan informasi untuk penetapan strategi manajemen resiko Metodologi yang digunakan dalam penyusunan Risk Assessment adalah sebagai berikut : 1. Melakukan identifikasi ancaman/gangguan terhadap business process yang bersifat kritikal yang dihasilkan Business Impact Analysis. 2. Menentukan nilai (scoring) tingkat kecenderungan (probability) terjadinya ancaman/gangguan berdasarkan data kejadian masa lalu. 3. Menentukan estimasi nilai (scoring) tingkat dampak (impact) dari suatu ancaman/gangguan. 4. Menghitung resiko dari setiap ancaman/gangguan terhadap business process dengan mengkobinasikan antara tingkat kecenderungan (probability) dan tingkat dampak (impact) dari suatu ancaman/gangguan. Edisi Oktober 2006 Halaman 10