De coronacrisis zet bedrijfscontinuïteitsmanagement écht op de agenda

De coronacrisis zet de bedrijfscontinuïteit voor een groot deel van ondernemend Nederland onder druk. Met alles wat binnen onze macht ligt (en mogelijk wat hulp van overheidswege) proberen we het hoofd op korte termijn boven water te houden. Maar we realiseren ons tegelijkertijd terdege dat dit niet te lang moet duren en we ons dit niet nog eens kunnen permitteren. Het is dus tijd om bedrijfscontinuïteitsmanagement (BCM) definitief op de agenda te zetten. Daarbij dringt de vraag zich op: hoe pakken we dat aan?

Winst en continuïteit: les 1 in alle schoolboeken bedrijfseconomie leert ons dat dát de twee hoofddoelen van een onderneming zijn. De weerbarstige praktijk is echter dat bij veel ondernemers de focus toch vooral bij winst ligt en continuïteit als een soort van automatisch gevolg daarvan wordt beschouwd. De coronacrisis maakt echter hardhandig duidelijk dat die eerste les uit de schoolboeken nog niet zo gek was. Bij veel (ook zeer winstgevende) organisaties worden continuïteitskwetsbaarheden in de organisatie onder invloed van de coronacrisis opeens pijnlijk zichtbaar en voelbaar en er doemen vragen op waar voorheen nog onvoldoende over na is gedacht.

De continuïteitsvragen die zich aandienen zijn van zeer uiteenlopende aard. In de eerste plaats natuurlijk financieel: hoeveel omzetderving kunnen we opvangen en hoe lang houden we dat vol? En hebben we een mate van flexibiliteit in onze kostenstructuur, waardoor we snel besparingen kunnen realiseren? Maar ook bijvoorbeeld de afhankelijkheid van leveranciers komt meer dan ooit in beeld: blijven hun producten/diensten beschikbaar en kunnen zij hun service level blijven naleven? Wat verder te denken van de (on)mogelijkheden om (veilig) door te werken buiten de kantooromgeving en diensten op afstand aan klanten te leveren? En niet in de laatste plaats: hoe is het gesteld met de continuïteit in de personele bezetting? Onder invloed van corona zal het ziekteverzuim immers onvermijdelijk stijgen. Daarnaast zullen niet-zieke medewerkers wellicht vrij moeten nemen in verband met kinderopvang. Kunnen collega’s de werkzaamheden waarnemen als kritieke functionarissen hierdoor uitvallen? En zo kunnen we nog wel een tijdje doorgaan als het om continuïteitsrisico’s gaat.

Te verwachten (of op z’n minst te hopen) is dat een bijeffect van de coronacrisis zal zijn dat bedrijven, nu ze met hun neuzen op de feiten zijn gedrukt, écht werk gaan maken van bedrijfscontinuïteitsmanagement (BCM). In het belang van de organisatie zelf (continueren van omzet), maar zeker ook in het belang van klanten die van de levering van hun producten of diensten afhankelijk zijn.

Een handig houvast daarbij is de ISO 9001 en/of ISO 27001 norm. Continuïteitsplannen gericht op het kwaliteitsniveau van de producten en diensten en/of de beschikbaarheid, integriteit en vertrouwelijkheid van informatie maken immers onderdeel uit van deugdelijke kwaliteits- en informatiebeveiligingsmanagementsystemen, waarbij risico’s continu worden gemonitord en waar nodig passende beheersmaatregelen worden genomen. Een ISO 9001 en/of ISO 27001 gecertificeerde organisatie zal daarmee (mag je vanuit gaan) al werk hebben gemaakt van het inrichten van thuiswerkmogelijkheden, videoconferences en het delen van bestanden, bijvoorbeeld via Microsoft TEAMS. Zij zullen hun leveranciers waarschijnlijk actief gescreend hebben op kwaliteitsborging en continuïteit (en eisen van hen wellicht ook een ISO 9001 of ISO 27001 certificering) en hebben deugdelijke SLA’s afgesloten. En ze hebben, om de afhankelijkheid van individuele medewerkers met unieke kennis in te perken, al werk gemaakt van kennisdeling tussen medewerkers en deugdelijke vervangingsprocedures (al dan niet met inschakeling van interim-oplossingen). Of, als dit in de praktijk moeilijk haalbaar blijkt, besloten om bepaalde rollen binnen de organisatie te outsourcen. Daarnaast is de kans groot dat ze, hoewel het buiten de scope van hun certificering valt, al hebben nagedacht over een financiële buffer, extra financieringsmogelijkheden of verzekeringsmogelijkheden voor financiële tegenvallers. En over flexibiliteit en afschaalmogelijkheden in de kosten, bijvoorbeeld door een goede mix tussen koop- en leaseauto’s in het wagenpark. Afijn, ook hier is het aantal denkbare voorbeelden ongelimiteerd, maar de boodschap zal duidelijk zijn.

Wil dat zeggen dat ISO 9001 / ISO 27001 gecertificeerde organisaties tijdens deze coronacrisis helemaal niet voor continuïteitsverrassingen komen te staan? Nee, dat zou een wat al té boude bewering zijn. Ook bij deze organisaties zullen ongetwijfeld aspecten aan de oppervlakte komen waaraan nog onvoldoende aandacht is besteed. Maar ze zullen er in mindere mate door overvallen worden en omdat continu monitoren en verbeteren al in hun (management)systeem zit, zullen ze sneller en flexibeler op onvoorziene situaties kunnen inspelen.

Het is daarbij heel goed denkbaar dat organisaties als gevolg van de coronacrisis zullen besluiten om nog een stap verder te gaan in hun bedrijfscontinuïteitsmanagement, door hun bestaande kwaliteitsmanagementsysteem (KMS) en/of informatiebeveiligingssysteem (ISMS) uit te breiden met een bedrijfscontinuïteitsmanagementsysteem (BCMS). In maart 2020 werd de nieuwe 2019-versie van de ISO 22301 norm gelanceerd, die hiervoor een ideaal raamwerk biedt. Dankzij de high level structure is deze norm eenvoudig te koppelen aan een al bestaand managementsysteem.

Maar ook voor organisaties die nog geen andere ISO-certificeringen hebben, is implementatie van de ISO 22301 norm heel goed te doen. En misschien op korte termijn ook al noodzakelijk, omdat steeds meer klanten van hun leveranciers een ISO 22301 certificering zullen gaan vragen. In vitale sectoren, maar ook daarbuiten: ook in andere sectoren kan een gewaarborgde levering van producten of diensten voor een andere organisatie immers van levensbelang zijn.

De ISO 22301 norm helpt bedrijven potentiële bedreigingen voor kritieke bedrijfsfuncties te identificeren en een plan voor bedrijfscontinuïteitsbeheer op te stellen. Op basis van een impactanalyse en risicobeoordeling worden beleid en maatregelen gedefinieerd, uitgewerkt in procedures en getest. Zodat de continuïteit van de organisatie beschermd is bij ziekte-uitbraken, lockdowns, terroristische aanslagen, natuurrampen en andere buitengewone incidenten. ISO 22301 specificeert de vereisten voor het plannen, implementeren, bewaken, beoordelen en verbeteren van het bedrijfscontinuïteitsbeheersysteem van een bedrijf, waardoor de impact van storingen wordt geminimaliseerd. Het helpt daarmee ook om inkomstenderving en klantenverlies te voorkomen als zich een groot probleem voordoet.

Als de coronacrisis één ding duidelijk maakt, is het wel dat bedrijfscontinuïteit niet gelijk staat aan financiële gezondheid van het bedrijf, maar veel meer omvattend is dan dat. En dat bedrijfscontinuïteitsmanagement niet alleen een aandachtspunt is voor grote organisaties in risicovolle of complexe omgevingen, maar relevant is voor organisaties van élke omvang in élke branche. De vraag is, kortom, niet óf je ermee aan de slag moet gaan, ook niet wanneer (z.s.m.!), maar hóe je ermee aan de slag gaat.

Meer weten over business continuity management (BCM), of er direct mee aan de slag binnen jouw organisatie, met behulp van ISO 9001, ISO 27001 of ISO 22301? Laat het ons weten! Tijdelijk hulp nodig vanwege uitval van uw KAM-coördinator, security officer (SO), functionaris gegevensbescherming (FG) of preventiemedewerker? Informeer dan naar onze interim-oplossingen. Wat je vraag ook is: neem gerust contact met ons op. Onze adviseur beantwoordt al je vragen en helpt je graag verder.