Business Continuity Maturity Model: Cara Ukur Kematangan BCMS dan Roadmap Perbaikannya (ISO 22301)

RB 30 Januari 2026

RWI Consulting – Business continuity maturity model adalah kerangka untuk menilai seberapa “matang” Business Continuity Management System (BCMS) perusahaan: seberapa lengkap, konsisten, teruji, dan terus membaik kemampuan organisasi dalam merespons gangguan dan memulihkan proses kritikal.

Business Continuity Maturity Model

Praktiknya bukan sekadar punya dokumen BCP, tetapi memastikan kebijakan, BIA, risk assessment, strategi, rencana, latihan-simulasi, audit, dan perbaikan berjalan sebagai sistem yang hidup.

Dalam pendekatan sertifikasi ISO 22301:2019, maturity assessment dipakai untuk menilai tingkat kematangan implementasi BCMS, melakukan gap analysis terhadap persyaratan ISO 22301:2019, lalu memprioritaskan perbaikan dokumen dan kapabilitas proses kritikal.

Kenapa maturity model penting (bukan sekadar formalitas)

Organisasi yang “punya BCMS” sering gagal saat krisis karena tiga penyakit klasik:

1. dokumen ada, tapi tim tidak pernah latihan;
2. BIA tidak mengikat keputusan operasional (prioritas layanan, target pemulihan, kebutuhan minimum operasi);
3. rencana tidak terhubung ke realitas: people, fasilitas, vendor, data, dan komunikasi krisis.

ISO 22301 mendorong BCMS sebagai siklus perbaikan berkelanjutan (continuous improvement) yang berjalan dalam pola Plan–Do–Check–Act, bukan proyek sekali jadi.

Jadi maturity model membantu manajemen menjawab satu hal yang paling berguna: “kita ada di level berapa, gap terbesar ada di mana, dan langkah perbaikan mana yang paling cepat menaikkan ketahanan operasional.”

Fondasi: apa saja komponen BCMS yang dinilai

Agar penilaian maturity tidak jadi opini, pakai komponen inti BCMS yang memang muncul dalam model implementasi ISO 22301: BIA, business continuity strategy, drilling/testing simulation, business continuity plan, system improvement, audit & review.

Di implementasi nyata, ini berarti Anda menilai hal-hal seperti:

• Kebijakan dan tata kelola BCMS
• Business Impact Analysis (BIA) + risk assessment
• Business Continuity Strategy (BCS)
• Business Continuity Plan (BCP)
• Drilling/testing/simulation (DTS)
• Audit, review, corrective action, dan continual improvement

Pendekatan kerja yang umum dipakai dalam program pendampingan juga mengandalkan kaji dokumen, wawancara/FGD, dan technical meeting.

Skala maturity 1–5 (model kerja yang praktis)

ISO 22301 mengatur “apa yang harus ada” dan bagaimana siklus perbaikannya, tetapi organisasi biasanya membutuhkan skala operasional untuk memetakan kematangan. Berikut skala kerja 1–5 yang praktis dipakai untuk assessment lintas unit (ini “working model” agar scoring konsisten, bukan klaim sebagai definisi resmi ISO):

Level 1 — Ad hoc (reaktif):
Aktivitas BC sporadis; rencana tidak standar; peran tidak jelas; pemulihan mengandalkan heroics.

Di Level 2 — Basic (repeatable terbatas):
Ada template BCP/BIA di beberapa area; ada penugasan; tetapi kualitas tidak merata dan jarang diuji.

Level 3 — Defined (terstandar):
Kebijakan, proses, dan artefak utama berjalan konsisten; BIA menghasilkan RTO/RPO/MTPD; rencana terintegrasi per fungsi kritikal.

Di Level 4 — Managed (terukur dan teruji):
Latihan dan simulasi rutin; hasil uji mengubah rencana; KPI/monitoring ada; audit dan management review berjalan.

Level 5 — Optimized (adaptif):
BCMS jadi budaya; otomatisasi/alat bantu mendukung; lessons learned cepat masuk ke perbaikan; organisasi tahan guncangan dan cepat pulih lintas skenario.

Domain penilaian maturity: apa yang harus Anda “score”

Agar tidak bias, pecah penilaian menjadi domain yang mengikuti alur implementasi dan pengoperasian BCMS:

1) Governance & scope (tata kelola dan batas cakupan)

Yang dinilai:

• kebijakan BCMS, struktur tim, peran dan jalur eskalasi;
• ruang lingkup unit/proses kritikal yang dilindungi;
• mekanisme aktivasi rencana saat insiden.

Dalam implementasi, organisasi biasanya menetapkan struktur tim kelangsungan usaha dan alur kerja saat insiden (siapa memutuskan, siapa mengaktifkan BCP, siapa komunikasi krisis).

2) Business Impact Analysis (BIA) & parameter pemulihan

Yang dinilai:

• identifikasi stakeholder, proses kritikal, dampak gangguan dari waktu ke waktu;
• penetapan MTPD, RTO, RPO, kebutuhan minimum operasi.

Dalam contoh kerangka kerja, BIA memetakan stakeholder requirements, criticality tiering, lalu menetapkan target pemulihan seperti RTO/RPO/MTPD dan kebutuhan minimum operasi.

3) Risk assessment & skenario gangguan

Yang dinilai:

• daftar skenario gangguan (alam, teknis, siber, supply chain, reputasi);
• hubungan risiko terhadap proses kritikal dan strategi pemulihan;
• asumsi realistis (ketersediaan orang, lokasi, vendor, data).

4) Strategy & solution (BCS)

Yang dinilai:

• pilihan strategi pemulihan (workaround manual, alternate site, dual-sourcing, hot/warm/cold standby untuk IT, dsb);
• keselarasan strategi dengan prioritas BIA dan batas toleransi gangguan.

5) Plan quality (BCP) dan kesiapan eksekusi

Yang dinilai:

• rencana respons darurat, resumption, recovery, restoration;
• call tree, time actor matrix, checklist, resource requirement;
• kelengkapan playbook operasional per fungsi kritikal.

Program kerja BCMS yang rapi biasanya mencakup penyusunan BCP, protokol eskalasi/aktivasi, dan dokumen pendukung implementasi.

6) Exercising: drilling, testing, simulation (DTS)

Yang dinilai:

• frekuensi dan jenis uji (table-top, semi real test, real test);
• kualitas skenario dan keterlibatan lintas fungsi;
• mekanisme perbaikan pasca uji.

DTS dipakai untuk menilai efektivitas BCP, melakukan observasi, dan mendokumentasikan pelaksanaan simulasi.

7) Audit, review, continual improvement

Yang dinilai:

• audit internal dan management review;
• corrective action, pembaruan dokumen, dan pembelajaran organisasi.

ISO 22301 menempatkan “audit & review” serta “system improvement” sebagai bagian eksplisit dari model implementasi BCMS.

Contoh matriks maturity (ringkas tapi bisa dipakai)

Gunakan matriks 1–5 untuk setiap domain, lalu hitung rata-rata tertimbang. Contoh format:

Matriks Skor (1–5)

• Governance & scope: __/5
• BIA & parameter pemulihan: __/5
• Risk & scenario: __/5
• Strategy (BCS): __/5
• Plan (BCP) readiness: __/5
• Exercising (DTS): __/5
• Audit & improvement: __/5

Aturan praktis agar skor tidak jadi “asal percaya”

• Skor 1–2 hanya boleh jika bukti dokumen/rekaman minim atau tidak konsisten.
• Skor 3 butuh bukti standar + penerapan minimal di seluruh unit cakupan.
• Skor 4 butuh bukti uji dan perbaikan berbasis hasil uji.
• Skor 5 butuh bukti integrasi ke KPI/anggaran/teknologi dan perbaikan cepat lintas unit.

Metode pengumpulan buktinya tetap sederhana: kaji dokumen, wawancara/FGD, technical meeting, dan validasi bukti lapangan.

Output assessment yang “ada gunanya” bagi Direksi

Assessment yang bagus selalu menghasilkan tiga keluaran yang bisa dipakai memutuskan:

1. Laporan maturity per unit cakupan sebagai baseline;
2. Gap analysis terhadap ISO 22301:2019 dan daftar prioritas perbaikan dokumen inti (kebijakan, BIA, risk assessment, BCS, BCP);
3. Roadmap perbaikan: quick wins 90 hari, penguatan 6 bulan, pengujian dan audit 12 bulan.

Dalam program pendampingan, organisasi juga lazim menghasilkan laporan simulasi/DTS dan paket laporan perbaikan untuk kebutuhan surveilans/resertifikasi.

Roadmap peningkatan maturity (contoh 12 bulan)

Berikut pola yang biasanya paling efisien menaikkan level (tanpa “banyak rapat, sedikit hasil”):

0–90 hari: naikkan kontrol dasar

• Tetapkan scope dan fungsi kritikal (CBF) yang jelas.
• Rapikan governance: peran, eskalasi, mekanisme aktivasi BCP.
• “Reset” BIA: MTPD/RTO/RPO dan kebutuhan minimum operasi harus muncul dan dipakai.

• Target: minimal Level 2 konsisten.

3–6 bulan: standarisasi strategi dan rencana

• Finalisasi BCS yang realistis dan sesuai kemampuan organisasi.
• Standardisasi BCP per CBF + call tree + time actor matrix.
• Susun protokol eskalasi/aktivasi tingkat korporat.
  Target: menuju Level 3.

6–12 bulan: uji, ukur, dan paksa perbaikan

• Lakukan drilling/testing/simulation (table-top → semi real → real) dan dokumentasikan temuan.
• Gunakan hasil uji untuk memperbaiki BCP secara terstruktur (bukan revisi kosmetik).
• Jalankan audit & review lalu tetapkan action plan perbaikan.
• Target: stabil di Level 4.

Kesalahan yang paling sering menahan maturity tetap rendah

1. BIA jadi dokumen, bukan keputusan. RTO/RPO/MTPD harus memengaruhi prioritas pemulihan dan alokasi resource.
2. Simulasi hanya formalitas. Tanpa skenario yang menekan dan tindak lanjut perbaikan, organisasi tidak pernah belajar.
3. BCP tidak operasional. Rencana sering tidak punya langkah konkret per peran, tidak punya call tree, dan tidak mengunci kebutuhan minimum operasi.
4. Tidak ada siklus audit–review–improvement. Tanpa “check–act”, BCMS berhenti sebagai proyek dokumentasi.

Bridging ke layanan (linkwheel kontekstual)

Perusahaan biasanya memulai dari BCMS maturity assessment + gap analysis ISO 22301 untuk memetakan baseline, lalu bergerak ke implementasi BIA/BCP/DTS sampai siap audit. Kerangka deliverables seperti laporan maturity per unit, perbaikan dokumen inti, dan laporan simulasi/DTS menjadi jalur yang paling rasional untuk mempercepat kesiapan sertifikasi.

Untuk penguatan kapabilitas, organisasi sering menggabungkan assessment dengan pengembangan risk governance dan kompetensi tim (agar BCMS tidak bergantung pada segelintir orang).

Related posts

Memaksimalkan 9 Faktor Risiko pada Konteks Internal Perusahaan Peran Business Model Canvas dalam Menetapkan Konteks Risiko