Business Continuity Management: een must voor grote en kleine organisaties! – CertificeringsAdvies Nederland
Mục Lục
Wat is Business Continuity Management (BCM)?
Wat is bedrijfs continuiteitsmanagement? Het moge duidelijk zijn: BCM is de afkorting van Business Continuity Management. BCM is een proces waarmee je potentiële risico’s en dreigingen voor een organisatie in kaart kunt brengen en biedt een kader om hier als organisatie op te acteren. Bedrijfscontinuïteit laat je nadenken over deze risico’s en laat je maatregelen opzetten om op een tijdige en juiste manier te handelen bij een bepaalde bedreiging/risico. Op die manier draagt BCM bij aan de continuïteit van je organisatie op moment dat risico’s zich voordoen.
BCM loopt als het ware door de hele organisatie. Het resultaat van een organisatie wordt gevormd door de prestaties van alle bedrijfsprocessen. Het geheel van BCM gaat over al die bedrijfsprocessen en de activiteiten die op het garanderen van continuïteit zijn gericht heen. Klinkt logisch als het zo uiteengezet wordt, maar om de impact hiervan te verduidelijken hieronder een recent voorbeeld uit de praktijk:
Oktober 2021 werd autofabrikant VDL doelwit van een organisatiewijde cyberaanval. De productie van diverse VDL-bedrijven kwam daardoor stil te liggen en de 105 kantoren, waaronder in Azië en Amerika, die deel uitmaken van VDL werden door de cyberaanval geraakt. Waarschijnlijk is het IT-systeem van VDL gegijzeld door criminelen die daarvoor losgeld vragen. Inschatting is dat VDL door de cyberaanval en stilgevallen productie vele miljoenen euro’s aan omzet heeft verloren.
Het voorbeeld van VDL laat zien dat het meer dan ooit zaak is om je cyberveiligheid op orde te hebben en ervoor te zorgen dat je back-ups en andere maatregelen hebt getroffen om snel te kunnen ingrijpen als het toch misgaat. Dat is de essentie van BCM: snel kunnen acteren als er zich zaken voordoen die ervoor zorgen dat de wereld er van het ene op andere moment anders uit kan zien. Hoe zorg je er dan voor dat je normale bedrijfsvoering door kan gaan of in ieder geval snel en efficiënt hersteld kan worden?
Meer lezen? Bekijk ook het artikel: Investeren in organisatieontwikkeling? JUIST nu!
Waarom BCM in je organisatie?
Business Continuity Management biedt bescherming voor:
- De belangrijkste belanghebbenden van de organisatie;
- de reputatie van de organisatie en;
- de activiteiten/producten van de organisatie.
Wanneer je organisatie wordt getroffen door een calamiteit, dan wil je in het belang van je stakeholders snel en effectief kunnen schakelen. Dat lukt alleen met de inzet van de juiste maatregelen en oefeningen. Met behulp van BCM krijg je dat tijdig voor elkaar. Wanneer je dit proces op orde hebt, blijft de financiële en imagoschade bij een calamiteit beperkt.
De gedachte dat BCM een noodzaak is voor vrijwel elke organisatie, wordt helaas nog te weinig omarmt. We zien wel dat BCM steeds vaker als eis wordt gesteld vanuit opdrachtgevers alvorens een bepaalde samenwerking tot stand kan komen. Ook vanuit aangrenzende werkvelden, zoals het sterk in belang toenemende en groeiende aspect informatiebeveiliging, is er aandacht voor bedrijfscontinuïteit. De ISO 27001 norm voor informatiebeveiligingsmanagement heeft de continuïteit van informatiebeveiliging bij ongunstige situaties, en wat je doet om dat te borgen, als expliciet onderwerp.
Binnen veel organisaties heerst momenteel de gedachte dat BCM gaat over situaties die (gelukkig) weinig voorkomen. Maar heb je er wel eens bij stilgestaan wat de gevolgen voor jouw organisatie zijn bij stroomuitval voor langere tijd? Of wanneer je het bedrijfspand niet kunt betreden vanwege omstandigheden in de omgeving van het pand? Draait jouw business dan ‘gewoon’ door? Heb je nagedacht over je plan B (fall-back)?
Kortom: BCM gaat over allerlei situaties, groot en klein, die bedreigend kunnen zijn en een snelle en effectieve reactie vereisen om op die manier te voorkomen dat je organisatie schade oploopt of erger nog: failliet gaat. Als organisatie kun je nog zo goed verzekerd zijn tegen schade door bijvoorbeeld water, brand of andere zaken, maar dat wil niet zeggen dat je klanten je trouw blijven gedurende een periode waarin je jouw product- en dienstverlening tijdelijk moest opschorten. Voor elke organisatie, groot of klein, is het daarom van belang om, vanuit een BCM gedachte, stil te staan bij dit soort zaken.
Voordelen van BCM
BCM biedt je organisatie bescherming, dat moge duidelijk zijn. Om het belang van BCM nog wat meer aan te stippen sommen we hieronder nog een aantal voordelen op:
- Maximale kwaliteit en efficiëntie: BCM, en onderliggende de bedrijfsnorm ISO 22301, biedt je organisatieeen raamwerk gebaseerd op internationale best practices rond het concept ‘Plan, Do, Check, Act’.
- Flexibiliteit tijdens verstoringen: Wanneer er een verstoring of internationale ramp plaatsvindt zorgen de BCM processen ervoor dat alle processen blijven draaien. Wanneer er een storing plaatsvindt is het dankzij die BCM processen mogelijk om snel en efficient weer aan de slag te gaan, zodat er minimale storing is op levering van producten, diensten en oplossingen.
- Zorg voor optimale klantleveringsniveaus: Het BCMS-raamwerk ondersteunt versterkte managementprocessen. Na een bepaalde periode van verstoring is de organisatie in staat om klanten een overeengekomen niveau van kritieke diensten, producten en oplossingen te kunnen (blijven) leveren.
- Concurrentievoordeel: Wanneer BCM aantoonbaar gemaakt kan worden, bijvoorbeeld door ISO 22301 als bewijs te voeren, zorgt dat voor vertrouwen bij (potentiële) klanten en biedt dat nieuwe kansen.
- Reputatiemanagement: Een goede organisatie rondom BCM, en mogelijk onderliggend ISO 22301, toont aan dat de organisatie een excellent serviceniveau aan stakeholders biedt, zelfs als er zich ongunstige omstandigheden voordoen.
BCM en ISO 9001: een logische combinatie
Wanneer je in het kader van BCM richting de bedrijfsnormen gaat denken dan kom je al snel uit op de ISO 22301 norm. Deze norm helpt organisaties om de bedrijfscontinuïteit te managen en aantoonbaar te maken dat belanghebbenden erop kunnen vertrouwen dat de continuïteit van de levering van de producten of diensten gewaarborgd is. Dankzij de High Level Structure (HLS) sluit de ISO 22301 norm naadloos aan op andere managementsysteemnormen zoals bijvoorbeeld ISO 9001:2015, de norm voor kwaliteit.
Kwaliteit en bedrijfscontinuïteit zijn voor iedere organisatie twee essentiële onderdelen van de bedrijfsvoering. De essentie van kwaliteit is ervoor zorgen dat klanten een goed product krijgen, zodat ze tevreden zijn. Daardoor wordt omzet gerealiseerd en ontstaat loyaliteit wat weer leidt tot terugkerende omzet. Op die manier zorgt kwaliteit voor de continuïteit van je organisatie. Maar wat als de bedrijfsvoering stil komt te liggen? Dan heeft dat invloed op de klanttevredenheid en loyaliteit van klanten. Want te laat of niet leveren doet afbreuk aan de kwaliteit.
Om die reden kun je BCM zien als onderdeel van kwaliteitsmanagement. Vanuit dat perspectief is het dus logisch en makkelijk om ISO 22301 en ISO 9001 met elkaar te combineren en beiden te integreren in je bedrijfsvoering. Hierdoor maak je aantoonbaar dat je een betrouwbare leverancier bent die onder alle omstandigheden levert wat is afgesproken. Eerder hebben we al benoemd dat ISO 27001 eveneens een logische combinatie is met BCM: zeker voor organisaties die in hoge mate gedigitaliseerd zijn.
BCM in een aantal stappen
Stap 1: In kaart brengen belangrijkste producten/diensten
Allereerst is het van belang om de belangrijkste producten en diensten die de organisatie levert in kaart te brengen.
Stap 2: Bepalen niveau en tijd van stil liggen werkzaamheden
Om te borgen dat je als organisatie de belangrijkste producten en diensten kunt blijven maken en leveren is het van belang dat alle (kritieke) bedrijfsprocessen blijven draaien. Om die reden is het zaak om inzichtelijk te krijgen tot welk niveau deze processen dienen te blijven draaien en hoelang deze stil mogen liggen of op mindere capaciteit mogen draaien. Wat zijn de verwachtingen van je belanghebbenden? Daarnaast dien je te voldoen aan wet- en regelgeving met het oog op het bepalen van je middelen zoals mensen, gebouwen, systemen, uitbestede diensten etc.
Stap 3: Bepalen belangrijkste risico’s
Wat zijn de belangrijkste risico’s met het oog op je (kritieke) bedrijfsprocessen? Wat zorgt ervoor dat de continuïteit van je organisatie gevaar loopt? Het is van belang om breed te denken. Menselijke fouten kunnen invloed hebben, maar ook digitale aanvallen, natuurrampen, systeemuitval door stroomstoring etc.
Stap 4: Opstellen van beheersmaatregelen
Op basis van de vastgestelde risico’s breng je in kaart wat de huidige beheersmaatregelen zijn en bepaal je of dat deze effectief genoeg zijn. Wanneer je tot de conclusie komt dat de huidige beheersmaatregelen niet voldoende zijn om aan de impactanalyse te voldoen, is het zaak om nieuwe beheersmaatregelen op te stellen. Beheersmaatregelen kun je onderverdelen in technische maatregelen, maatregelen vastgelegd in procedures en specifieke organisatorische maatregelen.
Stap 5: Plannen van oefeningen
Het BCM-plan dat je in je organisatie hanteert, moet te allen tijde actueel zijn en ook toegepast kunnen worden in nieuwe situaties. Om die reden dien je regelmatig oefeningen uit te voeren met betrekking tot BCM. Wanneer er zaken binnen je organisatie veranderen, zoals nieuwe machines die worden aangeschaft, een verhuizing, een ander proces etc., is het van belang dat deze worden opgenomen in het BCM-plan. Wanneer je hier geen oefeningen op uitvoert, dan kan het zijn dat een bepaalde beheersmaatregel niet meer effectief is, omdat deze niet toepasbaar is op de huidige situatie. Door te oefenen komen dit soort issues boven tafel en kun je het BCM-plan verbeteren.
Wil je op de hoogte blijven van allerlei trends, updates en het laatste nieuws omtrent certificeringen en organisatieontwikkeling? Schrijf je dan in voor onze maandelijkse nieuwsbrief boordevol inspiratie! Inschrijven nieuwsbrief
BCM: ook voor kleine organisaties
We hebben het hierboven al eens benoemd: BCM is niet alleen interessant voor grote organisaties. Ook kleine(re) organisaties moeten ermee aan de slag. Bij ieder type organisatie en bij organisaties van elke grootte kunnen zich onvoorziene zaken voordoen die ervoor zorgen dat de productie en levering van producten/diensten (deels) stil komt te liggen. Dat is voor iedere organisatie nadelig: linksom of rechtsom levert het je organisatie altijd schade op en in het ergste geval zelfs een faillissement.
Zorg er daarom voor dat je als organisatie bent voorbereid. Dat je nadenkt over BCM en alle (kritieke) bedrijfsprocessen waarvan je afhankelijk bent. Hoe zorg je ervoor dat je normale bedrijfsvoering altijd door kan gaan of in elk geval snel en efficiënt hersteld kan worden?
Mocht je hierover vragen hebben, meer willen weten of eens willen sparren? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!