Het waarborgen van de continuïteit van een bedrijf is een belangrijke taak van het management van de organisatie. Het in kaart brengen van risico’s en het nemen van maatregelen ter preventie van het optreden van calamiteiten, maar ook maatregelen die bij een calamiteit in werking treden, zouden essentiële processen moeten zijn. Toch heeft lang niet iedere organisatie dat voor elkaar of zelfs maar helder op het netvlies. Business Continuity Management (BCM) is een managementproces dat niettemin op steeds meer belangstelling mag rekenen. Om professionals op dit vlak te certificeren en het vak verder te professionaliseren, is de Business Continuity Institute (BCI) internationaal actief.

BCM identificeert potentiele risico’s

Werner Verlinden, fellow van de BCI en voorzitter van de inmiddels opgerichte Nederlands-Belgische Chapter van het BCI, legt uit wat onder BCM verstaan moet worden. BCM is een holistisch managementproces dat potentiele risico’s in een organisatie identificeert, als ook de impact die deze bedreigingen op het voortbestaan van de organisatie hebben in kaart brengt, mochten die bedreigingen werkelijkheid worden, zegt Verlinden. De volgende stap in dit proces is dan het inrichten van een proces dat in werking treedt zodra een calamiteit optreedt. In dat holistisch proces zijn er drie stappen.

Het gaat om preventieve maatregelen opdat de kans op een verstoring van een risicovol proces geminimaliseerd wordt. Het gaat bovendien om het inrichten van een proces waardoor, als een calamiteit optreedt, adequaat door de organisatie kan worden gehandeld. En ten derde gaat het om het herstellen van wat een calamiteit heeft aangericht, van imagoproblemen tot fysieke schade. Alle drie de stappen vallen onder BCM en moeten op orde zijn. Verlinden: “Het doel is een veerkrachtige organisatie, die aldus de belangen van stakeholders veiligstelt en zorgdraagt voor de bescherming van een merk.”

BCM afhankelijk van externe factoren

BCM is een relatief nieuw managementproces. Natuurlijk kenden organisaties altijd al risico’s, maar met de intrede van het internet en snellere computers en IT-processen, is de afhankelijkheid van ICT steeds groter geworden. In de top 3 van bedreigingen die bedrijven ervaren, staan drie IT-gerelateerde processen: een cyberaanval, een datalek en uitval van IT- en telecomdiensten. Maar er zijn vele processen die voor bedrijven risico’s inhouden, legt Andrew Scott uit, communicatiemanager van de overkoepelende internationale BCI.

Denk aan verstoringen van de bevoorradingsketen, terrorisme, maar ook gezondheidsrisico’s voor medewerkers en omwonenden, of ontevreden medewerkers, zegt hij. “Wat voor een bedrijf de echte risico’s zijn, heeft te maken met de branche waarin het opereert, maar ook met de regio. Verstoringen van water- en energietoevoer zijn in Afrika een hot topic, terwijl corruptie en slecht weer in Midden-Amerika bedreigende factoren zijn.” De maatschappelijke context verandert door de jaren heen en in die zin veranderen risico’s ook. Denk aan de terroristische aanvallen waarmee we te maken hebben. Of het feit dat we door Het Nieuwe Werken niet langer permanent een gebouw nodig hebben waar we samen komen om te werken.

Cyberattack

Belangrijk is dat ieder bedrijf zelf beoordeelt welke oorzaken een risico kunnen vormen voor het voortbestaan ervan. Sommige bedrijven moeten dat doen als gevolg van wetgeving, zegt Scott. Denk aan banken en nutsbedrijven. Daarvoor geldt dat de maatschappelijke impact groot is als daarmee iets misgaat. “Maar voor andere bedrijven is het niettemin verstandig om dat ook in kaart te brengen.” Bedrijven kunnen meestal wel omgaan met het verlies van een gebouw, maar kunnen zich heel moeilijk voorstellen wat een impact een terroristische aanval of een cyberattack zou hebben. Sommige risico’s zijn dan in kaart gebracht, andere niet.

Schadeherstel

Wat ook gebeurt, is dat een bedrijf wel het nodige heeft gedaan aan preventie om zo calamiteiten te voorkomen of risicovolle processen af te dekken, maar niet heeft nagedacht over wat te doen als toch een calamiteit optreedt, zegt Michael Crooymans, bestuurslid van de Nederlands-Belgische Chapter van de BCI. Denk aan een cyberattack, zegt Crooymans: “Als bedrijven het beschermen van hun ICT goed op orde hebben, dan is dat weliswaar een belangrijke stap.

Maar het gaat ook om het inrichten van processen voor het geval er toch een cyberattack plaatsheeft en de schade hersteld kan worden.” Hoe snel kan een organisatie ingrijpen? Wie is verantwoordelijk voor het nemen van dan cruciale beslissingen? Hoe snel kan een back-upsysteem functioneel zijn? Wie neemt de communicatie naar stakeholders voor zijn rekening? Welke stappen moeten ondernomen worden om de schade te herstellen? Maar ook: wie vervangt wie als de eerstverantwoordelijke onbereikbaar is? Het zijn allemaal vragen waarover de organisatie moet hebben nagedacht en het proces op moet zijn ingericht.

Kostbare zaak

Met preventieve maatregelen alleen ben je er niet. Scott noemt een lijstje namen van organisaties die de laatste jaren door cyberattacks zijn overvallen. Van Ebay en de BBC tot J.P. Morgan. Niet de minste namen en toch gebeurt het hen, ondanks de vaak hoge investeringen om cyberaanvallen te pareren. Een vaak kostbare zaak, financieel maar ook voor het imago.

Daarom is het verstandig te investeren in een goed raamwerk van maatregelen die de schade ten minste voor een deel kunnen beperken. “Vraag je niet af of het gebeurt, maar eerder wanneer dat zal zijn en wees dus voorbereid”, zegt hij. Op het vlak van cyberattacks gaan de ontwikkelingen hard, en deinen criminelen mee op de innovatieve kracht van de branche. Zo is er inmiddels cryptoware die ook backupsystemen infecteert, waardoor een traditioneel backupsysteem al niet meer afdoende is.

Certificatieniveaus reflecteren kennis en ervaring

In Nederland en België zijn al zo’n 250 professionals gecertifieerd door het BCI. Er bestaan verschillende certificatieniveaus, die de kennis en ervaring van de professional reflecteren. De certificering is noodzakelijk om de kwaliteit van BCM hoog te houden. Naast certificering zorgt de BCI er ook voor dat de processtappen gestandaardiseerd worden. BCM-professionals maken van een uitgebreide versie van de Plan-Do-Check-Act-cirkel gebruik om BCM goed in te richten en steeds weer opnieuw te werken aan het verbeteren van het proces.

Er zijn ook andere positieve effecten voor organisaties die besluiten om actief met BCM aan de slag te gaan: kostenbesparingen en effectiviteitswinst zijn met name bijproducten waar iedere manager blij van wordt. Maar het belangrijkste is het voorbestaan van de organisatie, dat zou iedere bestuurder stof tot nadenken moeten geven.