Business Continuity Management: een must voor grote en kleine organisaties!

Heb je wel eens stilgestaan bij de omstandigheden, of dreigingen, die ervoor kunnen zorgen dat je productie en/of levering van producten/diensten volledig wordt stilgelegd? En heb je ook al eens nagedacht over de eventuele gevolgen daarvan? Nee? Dan wordt dat hoog tijd! Er zijn namelijk tal van risico’s waaraan je organisatie elke dag wordt blootgesteld. Misschien wel zonder dat je er zelf bij stilstaat. Een simpele stroomuitval kan al voor problemen zorgen. Om dan nog maar niet te spreken over een ziekte-uitbraak onder je personeel, een lockdown, terroristische aanslagen, natuurrampen, cyberaanvallen en ga zo maar door! Zorg dat je als organisatie, groot of klein, bent voorbereid en kunt acteren als het mis gaat. Hoe? Door aan de slag te gaan met Business Continuity Management (BCM).

Wat is bedrijfs continuiteitsmanagement? Het moge duidelijk zijn: BCM is de afkorting van Business Continuity Management. BCM is een proces waarmee je potentiële risico’s en dreigingen voor een organisatie in kaart kunt brengen en biedt een kader om hier als organisatie op te acteren. Bedrijfscontinuïteit laat je nadenken over deze risico’s en laat je maatregelen opzetten om op een tijdige en juiste manier te handelen bij een bepaalde bedreiging/risico. Op die manier draagt BCM bij aan de continuïteit van je organisatie op moment dat risico’s zich voordoen.

BCM loopt als het ware door de hele organisatie. Het resultaat van een organisatie wordt gevormd door de prestaties van alle bedrijfsprocessen. Het geheel van BCM gaat over al die bedrijfsprocessen en de activiteiten die op het garanderen van continuïteit zijn gericht heen. Klinkt logisch als het zo uiteengezet wordt, maar om de impact hiervan te verduidelijken hieronder een recent voorbeeld uit de praktijk:

Het voorbeeld van VDL laat zien dat het meer dan ooit zaak is om je cyberveiligheid op orde te hebben en ervoor te zorgen dat je back-ups en andere maatregelen hebt getroffen om snel te kunnen ingrijpen als het toch misgaat. Dat is de essentie van BCM: snel kunnen acteren als er zich zaken voordoen die ervoor zorgen dat de wereld er van het ene op andere moment anders uit kan zien. Hoe zorg je er dan voor dat je normale bedrijfsvoering door kan gaan of in ieder geval snel en efficiënt hersteld kan worden?

Business Continuity Management biedt bescherming voor:

Wanneer je organisatie wordt getroffen door een calamiteit, dan wil je in het belang van je stakeholders snel en effectief kunnen schakelen. Dat lukt alleen met de inzet van de juiste maatregelen en oefeningen. Met behulp van BCM krijg je dat tijdig voor elkaar. Wanneer je dit proces op orde hebt, blijft de financiële en imagoschade bij een calamiteit beperkt.

De gedachte dat BCM een noodzaak is voor vrijwel elke organisatie, wordt helaas nog te weinig omarmt. We zien wel dat BCM steeds vaker als eis wordt gesteld vanuit opdrachtgevers alvorens een bepaalde samenwerking tot stand kan komen. Ook vanuit aangrenzende werkvelden, zoals het sterk in belang toenemende en groeiende aspect informatiebeveiliging, is er aandacht voor bedrijfscontinuïteit. De ISO 27001 norm voor informatiebeveiligingsmanagement heeft de continuïteit van informatiebeveiliging bij ongunstige situaties, en wat je doet om dat te borgen, als expliciet onderwerp.

Binnen veel organisaties heerst momenteel de gedachte dat BCM gaat over situaties die (gelukkig) weinig voorkomen. Maar heb je er wel eens bij stilgestaan wat de gevolgen voor jouw organisatie zijn bij stroomuitval voor langere tijd? Of wanneer je het bedrijfspand niet kunt betreden vanwege omstandigheden in de omgeving van het pand? Draait jouw business dan ‘gewoon’ door? Heb je nagedacht over je plan B (fall-back)?

Kortom: BCM gaat over allerlei situaties, groot en klein, die bedreigend kunnen zijn en een snelle en effectieve reactie vereisen om op die manier te voorkomen dat je organisatie schade oploopt of erger nog: failliet gaat. Als organisatie kun je nog zo goed verzekerd zijn tegen schade door bijvoorbeeld water, brand of andere zaken, maar dat wil niet zeggen dat je klanten je trouw blijven gedurende een periode waarin je jouw product- en dienstverlening tijdelijk moest opschorten. Voor elke organisatie, groot of klein, is het daarom van belang om, vanuit een BCM gedachte, stil te staan bij dit soort zaken.

BCM biedt je organisatie bescherming, dat moge duidelijk zijn. Om het belang van BCM nog wat meer aan te stippen sommen we hieronder nog een aantal voordelen op:

Wanneer je in het kader van BCM richting de bedrijfsnormen gaat denken dan kom je al snel uit op de ISO 22301 norm. Deze norm helpt organisaties om de bedrijfscontinuïteit te managen en aantoonbaar te maken dat belanghebbenden erop kunnen vertrouwen dat de continuïteit van de levering van de producten of diensten gewaarborgd is. Dankzij de High Level Structure (HLS) sluit de ISO 22301 norm naadloos aan op andere managementsysteemnormen zoals bijvoorbeeld ISO 9001:2015, de norm voor kwaliteit.

Kwaliteit en bedrijfscontinuïteit zijn voor iedere organisatie twee essentiële onderdelen van de bedrijfsvoering. De essentie van kwaliteit is ervoor zorgen dat klanten een goed product krijgen, zodat ze tevreden zijn. Daardoor wordt omzet gerealiseerd en ontstaat loyaliteit wat weer leidt tot terugkerende omzet. Op die manier zorgt kwaliteit voor de continuïteit van je organisatie. Maar wat als de bedrijfsvoering stil komt te liggen? Dan heeft dat invloed op de klanttevredenheid en loyaliteit van klanten. Want te laat of niet leveren doet afbreuk aan de kwaliteit.

Om die reden kun je BCM zien als onderdeel van kwaliteitsmanagement. Vanuit dat perspectief is het dus logisch en makkelijk om ISO 22301 en ISO 9001 met elkaar te combineren en beiden te integreren in je bedrijfsvoering. Hierdoor maak je aantoonbaar dat je een betrouwbare leverancier bent die onder alle omstandigheden levert wat is afgesproken. Eerder hebben we al benoemd dat ISO 27001 eveneens een logische combinatie is met BCM: zeker voor organisaties die in hoge mate gedigitaliseerd zijn.

Allereerst is het van belang om de belangrijkste producten en diensten die de organisatie levert in kaart te brengen.

Om te borgen dat je als organisatie de belangrijkste producten en diensten kunt blijven maken en leveren is het van belang dat alle (kritieke) bedrijfsprocessen blijven draaien. Om die reden is het zaak om inzichtelijk te krijgen tot welk niveau deze processen dienen te blijven draaien en hoelang deze stil mogen liggen of op mindere capaciteit mogen draaien. Wat zijn de verwachtingen van je belanghebbenden? Daarnaast dien je te voldoen aan wet- en regelgeving met het oog op het bepalen van je middelen zoals mensen, gebouwen, systemen, uitbestede diensten etc.

Wat zijn de belangrijkste risico’s met het oog op je (kritieke) bedrijfsprocessen? Wat zorgt ervoor dat de continuïteit van je organisatie gevaar loopt? Het is van belang om breed te denken. Menselijke fouten kunnen invloed hebben, maar ook digitale aanvallen, natuurrampen, systeemuitval door stroomstoring etc.

Op basis van de vastgestelde risico’s breng je in kaart wat de huidige beheersmaatregelen zijn en bepaal je of dat deze effectief genoeg zijn. Wanneer je tot de conclusie komt dat de huidige beheersmaatregelen niet voldoende zijn om aan de impactanalyse te voldoen, is het zaak om nieuwe beheersmaatregelen op te stellen. Beheersmaatregelen kun je onderverdelen in technische maatregelen, maatregelen vastgelegd in procedures en specifieke organisatorische maatregelen.

Het BCM-plan dat je in je organisatie hanteert, moet te allen tijde actueel zijn en ook toegepast kunnen worden in nieuwe situaties. Om die reden dien je regelmatig oefeningen uit te voeren met betrekking tot BCM. Wanneer er zaken binnen je organisatie veranderen, zoals nieuwe machines die worden aangeschaft, een verhuizing, een ander proces etc., is het van belang dat deze worden opgenomen in het BCM-plan. Wanneer je hier geen oefeningen op uitvoert, dan kan het zijn dat een bepaalde beheersmaatregel niet meer effectief is, omdat deze niet toepasbaar is op de huidige situatie. Door te oefenen komen dit soort issues boven tafel en kun je het BCM-plan verbeteren.

We hebben het hierboven al eens benoemd: BCM is niet alleen interessant voor grote organisaties. Ook kleine(re) organisaties moeten ermee aan de slag. Bij ieder type organisatie en bij organisaties van elke grootte kunnen zich onvoorziene zaken voordoen die ervoor zorgen dat de productie en levering van producten/diensten (deels) stil komt te liggen. Dat is voor iedere organisatie nadelig: linksom of rechtsom levert het je organisatie altijd schade op en in het ergste geval zelfs een faillissement.

Zorg er daarom voor dat je als organisatie bent voorbereid. Dat je nadenkt over BCM en alle (kritieke) bedrijfsprocessen waarvan je afhankelijk bent. Hoe zorg je ervoor dat je normale bedrijfsvoering altijd door kan gaan of in elk geval snel en efficiënt hersteld kan worden?

Mocht je hierover vragen hebben, meer willen weten of eens willen sparren? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!