Wat is BCM? Lees nu de uitgebreide FAQ van Kader | Kader Group
BCM
Weerstand tegen bedreigingen
BCM geeft maatregelen om tegen deze bedreigingen weerstand te bieden waardoor de organisatie in staat is effectief te reageren. Business Continuity Management biedt bescherming voor de belangrijkste belanghebbenden van de organisatie, de reputatie van de organisatie en de activiteiten/producten van de organisatie.
Wanneer een organisatie getroffen is door een calamiteit kan deze organisatie door Business Continuity Management toch de bedrijfscontinuïteit blijven realiseren doordat zij producten en diensten aan haar klanten kan blijven leveren. Hiermee blijft de financiële schade en imagoschade beperkt. BCM is een noodzaak voor vrijwel iedere organisatie, niet alleen in tijden van economische crisis. Daarnaast stellen stake- en shareholders Business Continuity Management vaak als eis.
De standaard (norm) voor Business Continuity Management is eind 2006 vastgelegd. Dit wordt ook wel de British Standard (BS) 25999 genoemd. De standaard wordt gepubliceerd door de British Standards Institution (BSI). De BS 25999 vervangt PAS56.
Mục Lục
BCM maatregelen
De maatregelen van BCM Business Continuity Management hebben in preventieve zin tot doel dat situaties die de continuïteit van de organisatie kunnen aantasten voorkomen worden. Te denken valt aan maatregelen zoals het ontwikkelen van een ontruimingsplan (BHV) en het maken van back-ups. Als een risico zich al gemanifesteerd heeft, dan zorgen de detectieve maatregelen ervoor dat direct binnen de organisatie bekend wordt dat de bedreiging zich voordoet. Om de bedreiging zo snel mogelijk te beëindigen en de gevolgschade te beperken, treden de repressieve maatregelen in werking. Te denken valt aan het calamiteitenplan en het Business Continuity Plan. Uiteindelijk zorgen de correctieve maatregelen ervoor dat de bedrijfsprocessen binnen een geringe periode hersteld kunnen worden.
Wat betekenen deze BCM maatregelen concreet?
Vóór het incident (preventief):
-
Inzichtelijk maken van kwetsbaarheden en bedreigingen organisatie
-
Vermindering van risico’s (kans en/of impact op de organisatie)
-
Verdieping van kennis van bedrijfsprocessen
-
Verbetering van onderhandelingspositie
-
Inzicht in zaken als Single Sourcing of SPOK
-
Bekendheid met connecties tussen afdelingen en disciplines onderling en derden
-
Versteviging van betrouwbaarheid van partners
Tijdens het incident (detectief en repressief):
-
Garanderen van veiligheid van medewerkers
-
Organisatie operationeel houden (zonder daarbij het incident hinder te laten vinden)
-
Beschermen van ‘bezittingen’ van de organisatie, zoals:
-
voorraden en (bedrijfs)middelen
-
kennis en vaardigheden
-
reputatie en merk
-
aandeelhouderswaarde en financiën
-
Verwarring en onzekerheid minimaliseren, door:
-
bevoegdheid voor beslissingen
-
leiderschap te tonen (rollen en taken)
-
duidelijke communicatie
Direct na het incident (correctief:
-
Zo snel mogelijk terug naar de normale gang van zaken (de optimale herstelcapaciteit van de organisatie)
-
Wederopbouw van marktaandeel en het herwinnen van klantvertrouwen door effectief reageren
-
Leren van het incident!
BCM en Business Continuity Plan
Met BCM brengt de organisatie vooraf de belangrijkste risico’s voor de continuïteit van de organisatie in kaart. Er wordt onderzocht welke gevolgen deze mogelijk hebben voor de organisatie, wat de financiële impact is van de bedrijfsschade en wat de mogelijke BCM maatregelen zijn. In het Business Continuity Plan (BCP) komt al deze informatie samen.
Concreet bestaat het Business Continuity Plan uit 3 onderdelen die onlosmakelijk met elkaar verbonden zijn. Als één van deze onderdelen ontbreekt, kan dat grote gevolgen hebben voor de organisatie bij een calamiteit:
1. Bedrijfshulpverleningsplan
2. Crisismanagementplan
3. Continuïteitsplan primaire processen
Met het BCP wordt de bedrijfsschade en het klantverlies tot een aanvaardbaar niveau beperkt. Ook wordt er veel tijd en geld bespaard en wordt het voortbestaan van de organisatie beschermd. Belangrijk is om het Business Continuity Plan ieder jaar met het crisisteam te bespreken, te oefenen, de resultaten te evalueren en verbeteringen door te voeren.
BCM en ISO 22301
Alles rondom Business Continuity Management komt uiteindelijk samen in een Business Continuity Management System (BCMS). In het BCMS worden methodes, procedures en regels gebundeld om de continuïteit van kritieke processen te waarborgen. De vereisten voor dit managementsysteem zijn vastgelegd in de internationale norm ISO 22301. Organisaties krijgen zo inzicht in mogelijke bedreigingen voor de organisatie en zijn in staat de calamiteiten te beheersen.
De verschillende onderdelen van het BCMS, volgens ISO 22301, bestaan uit:
4. Business Impact Analyse (BIA) en een Risicobeoordeling (RB)
5. Bepaling strategie
6. Bepaling procedures
7. Oefenen
8. Herstellen
Aanpak opzetten business continuity plan
Bij risk management wordt vaak alleen gekeken naar de financiële risico’s voortvloeiend uit de normale bedrijfsvoering (vaak intern gebeuren gericht op compliance) en worden de effecten van calamiteiten die operational risks met zich meebrengen niet meegenomen. Want hoe was het mogelijk dat onlangs allerlei grote organisaties verrast werden door de DDos-aanval of een aantal jaren eerder door een pandemie, terwijl al jaren bekend is dat deze calamiteiten zich kunnen voordoen. Er mag dan toch minstens verwacht worden dat er een draaiboek klaar ligt hoe in dat soort gevallen te handelen. Risicoanalyses zij dus vaak incompleet. Als dat het geval is, moet een organisatie beginnen met een bedrijfsbrede risico-inventarisatie. Hoe u dit kunt aanpakken staat beschreven in ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’. Een belangrijke valkuil hierbij is dat vervolgens deze risico-inventarisatie ook als de scope van het business continuity plan wordt beschouwd. Het gevolg hiervan is dat er dubbel werk wordt gedaan. Bovendien bestaat het gevaar dat de verantwoordelijke voor het Business continuity Plan op de stoel de directie gaat zitten. Hij dient zich echter vanaf dit punt te beperken tot de calamiteiten die de organisatie niet wil of kan voorkomen. Hiervoor wordt dus een business continuity plan gemakt.
De resultaten van het opstellen van een Business Continuity Plan zijn:
- een draaiboek dat geldt in ‘oorlogstijd’ met diverse scenario’s;
- een implementatieplan waarin beschreven staat welke eenmalige en structurele acties er in ‘vredestijd’ nodig zijn om er voor te zorgen, dat het draaiboek in oorlogstijd werkt;
- optioneel een uitwijkplan voor de ICT-voorzieningen, ook wel calamiteitenplan of contingency plan genoemd;
- vaak wordt dit plan apart opgesteld, omdat veel calamiteiten zich beperken tot de dienstverlening van de ICT-afdeling. Dit is vooral van belang als er veel verouderde hardware of software in gebruik is.
Valkuilen business continuity management
De term business continuity management zelf is al de grootste valkuil. Zeker als daar ook nog de ISO 22301 norm voor is, waarop je gecertificeerd kunt worden. Dan kom je op een weidse omschrijving als: “BCM gaat de gehele organisatie aan. De prestatie van een organisatie wordt gevormd door de som van alle bedrijfsprocessen. Het geheel aan activiteiten van het BCM proces gaat dan ook over alle bedrijfsprocessen heen en de activiteiten die op het garanderen van continuïteit zijn gericht, vinden organisatiebreed plaats. Als er binnen de organisatie al versnipperd een groot aantal activiteiten op het gebied van BCM aanwezig is, kan de waarde hiervan relatief zijn. Zolang activiteiten gefragmenteerd plaatsvinden en niet zijn geïntegreerd, door gebrek aan management en afstemming, wordt er aan het belangrijkste doel van die activiteiten voorbijgegaan en gaat het beoogde effect daarvan volledig teniet. Beter is om het hier beschreven geheel risk management of risicomanagement te noemen, wat direct samenhangt met het bedrijfsbeleid waarvoor de directie verantwoordelijk is. Business continuity is dus geen management systeem en past dus in feite ook niet in de ISO reeks. Er is tenslotte ook al de ISO 31000 norm voor risk management. Bovendien is er bij business continuity geen sprake van een verbetercyclus. Het draaiboek moet gewoon werken als er een calamiteit optreedt. Niets meer en niets minder. Als je echter business continuity oppakt als het zoveelste management systeem jaag je jezelf op kosten en doe je waarschijnlijk veel dubbel werk, waarbij je waarschijnlijk ook nog een paar zaken over het hoofd ziet:
- Gebeurtenissen waarvan je de risico’s dat ze optreden preventief wilt afdekken, kunnen toch voorkomen. Vaak ontbreekt dan het draaiboek voor het geval zo’n calamiteit dan toch optreedt. Denk bijvoorbeeld aan de recente DDos aanvallen op de banken en DigiD en ook overstromingen.
- Risico’s die je uitsluit in jouw algemene voorwaarden en dus in feite uitbesteedt aan uw klanten, omdat de optredende gebeurtenissen onder overmacht vallen, leiden bij een calamiteit tot aanzienlijke reputatieschade. Denk hierbij aan de ‘winterdienstregeling’ van de NS.
Daarom is het verstandig om uw inspanningen om te komen tot een business continuity plan goed af te bakenen en niet op te blazen tot een complex business continuity management proces. Business continuity management is niets anders dan het beheren van uw business continuity plan (BCP). Door er zo mee om te gaan, kun je veel kosten besparen.