Iedere organisatie kan geconfronteerd worden met incidenten die de bedrijfscontinuïteit in gevaar brengen. Deze incidenten kunnen niet alleen directe schade veroorzaken doordat de bedrijfsvoering stil komt te liggen, bijvoorbeeld wegens brand, uitval van ICT of cyberhacks, maar ook vertrouwensschade, waardoor klanten mogelijk een andere leverancier gaan zoeken. Om deze reden moeten organisaties zich bewust zijn van de gevolgen van eventuele onverwachte gebeurtenissen, en doen zij er verstandig aan te werken aan Business Continuity Management (BCM).
Gestelde doelen kunnen bereiken met behulp van BCM
“BCM moet worden gezien vanuit het perspectief van ‘wat is er minimaal nodig in de organisatie om de gestelde doelstellingen te halen’ en niet vanuit angst of vermeende risico’s”, aldus Gert Kogenhop, voorzitter van de BCM-normcommissie bij NEN (Nederlands Normalisatie-instituut). NEN beheert zowel Nederlandse als internationale normen, waaronder NEN-ISO 22301 Business Continuity Management Systems (BCMS). Als een organisatie helder heeft welke activiteiten essentieel zijn voor de doelstellingen, kan het zich aanpassen aan onverwachte gebeurtenissen met betrekking tot het leveren van haar producten en/of diensten. Het versterken van het weerstandsvermogen en de veerkracht van de organisatie is dan ook van groot belang voor het voortbestaan van een organisatie, en de kosten van deze inspanning moeten worden gezien als ‘cost of doing business’, legt Kogenhop uit.
Het belang van BCM
NEN ziet een groeiend besef onder organisaties dat het belangrijk is zo goed mogelijk voorbereid te zijn op het onverwachte. “Denk hierbij aan afhankelijkheid. Afhankelijkheid van ICT, een enkele persoon, een leverancier of zakenpartner”, zegt Kogenhop. Als bij een organisatie bijvoorbeeld de ICT zou wegvallen, kan dit een gevaar vormen voor de bedrijfscontinuïteit. Ook de mondialisering en digitalisering van het bedrijfsleven, waarbij landsgrenzen en digitale grenzen tussen bedrijven vervagen, kunnen continuïteitsrisico’s met zich meebrengen, evenals de drang van organisaties om hun bedrijfsprocessen steeds sneller en goedkoper te maken. Volgens Kogenhop creëert men hierbij vaak ongewild continuïteitsrisico’s. De impact van een incident wordt steeds groter, zeker wanneer men te veel flexibiliteit en alternatieven om kostenbesparende of efficiency redenen weghaalt.
De meeste organisaties kennen de risico’s wel, maar het is belangrijk dat zij weten hoe te handelen wanneer een dergelijke situatie zich voordoet, zodat zij niet verrast worden en te allen tijde de controle wordt behouden. Hij merkt op dat BCM binnen de ICT-functie over het algemeen redelijk goed geregeld is, maar dat dit in de rest van de organisatie vaak minder is. Omdat ICT een steeds dominantere rol speelt binnen organisaties, inmiddels binnen elke functie en bij elk bedrijfsproces, moet verder worden gekeken dan alleen het ICT-continuïteitsplan.
Een internationale norm voor BCM
Om organisaties een handvat te geven om zo snel mogelijk te herstellen van een incident dat hun bedrijfscontinuïteit in gevaar kan brengen, heeft NEN de internationale norm NEN-ISO 22301 gepubliceerd. Hierin is stapsgewijs opgenomen hoe te komen tot een solide Business Continuity Managementsysteem. Allereerst moet een organisatie de essentiële bedrijfsprocessen en mogelijke risico’s identificeren. Daarna dient men, aan de hand van deze analyses, een continuïteitsstrategie te bepalen. De volgende stap bestaat uit het vaststellen van procedures voor het omgaan met ontwrichtende gebeurtenissen en het continueren van de bedrijfsactiviteiten. De laatste stap bestaat uit het ontwikkelen van procedures om vanuit de noodvoorzieningen weer terug te keren naar de normale bedrijfsvoering. Als een organisatie deze kernelementen van BCM in het algehele (risico) managementsysteem integreert, is het goed voorbereid om essentiële bedrijfsprocessen te kunnen voortzetten als zich incidenten voordoen.
Voordelen van de BCM norm
Een norm zoals de NEN-ISO 22301 geeft organisaties een gemeenschappelijk kader om mee te werken, licht Kogenhop toe. De normen die door ISO, de internationale organisatie die normen publiceert, worden uitgegeven zijn erkend in 163 landen en worden gezamenlijk opgesteld door experts binnen het betreffende vakgebied vanuit de hele wereld. Een certificering levert voor belanghebbenden het bewijs dat de betreffende organisatie haar BCM conform de norm heeft ingevuld en “middels de Plan-Do-Check-Act dit oefent, beheert, onderhoudt en continu verbetert”, concludeert Kogenhop. “Iedereen in de organisatie is terecht gefocust op de overeengekomen doelstellingen en ‘business as usual’. Maar heeft men ook een ‘business as NOT usual’ organisatie?” Volgens hem levert een gedegen BCMS veel waarde op voor de organisatie in kwestie. Door het vergroten van het weerstandsvermogen en de veerkracht, zal de organisatie in staat zijn sneller te handelen, waardoor de schade beperkt kan blijven. Het besteden van aandacht aan BCM is volgens hem dan ook een ‘no brainer’.