Business Continuity


“Business continuity management (BCM) (bedrijfscontinuïteitsbeheer) is de benaming van het proces dat potentiële bedreigingen voor een organisatie identificeert en bepaalt wat de uitwerking op de “operatie” van de organisatie is als deze bedreigingen daadwerkelijk manifest worden. BCM biedt een kader om tegen deze bedreigingen weerstand te bieden onder andere door in staat te zijn effectief te kunnen reageren. “ Volgens Wikipedia”.

 

“Het product van business continuity management bestaat uit een samenhangend stelsel van maatregelen, die zowel preventief, detectief, repressief als correctief werkzaam zijn. In preventieve zin hebben maatregelen tot doel te voorkómen dat zich situaties voordoen die de continuïteit van de organisatie kunnen aantasten. En indien een risico manifest is geworden, zorgen detective maatregelen ervoor dat zo spoedig mogelijk bekend wordt dát een bedreiging zich voordoet. Om de bedreiging zo snel mogelijk te stoppen en de gevolgschade zo veel mogelijk te beperken treden repressieve maatregelen in werking. Correctieve maatregelen zorgen er vervolgens voor dat de bedrijfsprocessen weer binnen acceptabele periode hersteld kunnen worden.”

 

Het business continuity plan

Een risico is een kans dat een onzekere gebeurtenis plaatsvindt, met mogelijke gevolgen voor de doelstelling van de organisatie. In het ideale geval doet een bedrijf gestructureerd aan risk management en heeft zijn risico’s en de mogelijke gevolgen in kaart gebracht. Afhankelijk van hoe groot een bedreiging is, kan een organisatie besluiten te voorkomen dat een gebeurtenis plaatsvindt (preventie), het risico dat de gebeurtenis plaatsvindt te accepteren of in tussenliggende gevallen het risico op zich te accepteren maar er wel voor te zorgen dat de schade beperkt blijft. Voor directe schade kan dan een verzekering afgesloten worden terwijl de indirecte schade wordt afgedekt door een business continuity plan.

Het business continuity plan gaat dus over de gevolgschade van gebeurtenissen, waarvoor u zich als organisatie niet kunt of wilt verzekeren. En dan gaat het om onverwachte gebeurtenissen ofwel calamiteiten met als gevolg uitval van:

•           mensen,

•           locaties of toegang tot locaties,

•           nutsvoorzieningen inclusief telecom

•           de ICT infrastructuur of toegang tot informatie

•           toeleveranciers

•           reputatie

De afbakening van het business continuity plan is dan volstrekt helder.

 

Mogelijke valkuilen van business continuity management

De term business continuity management zelf is al de grootste valkuil. Zeker als daar ook nog de ISO 22301 norm voor is, waarop u gecertificeerd kunt worden. Dan kom je op een weidse omschrijving als: “BCM gaat de gehele organisatie aan. De prestatie van een organisatie wordt gevormd door de som van alle bedrijfsprocessen. Het geheel aan activiteiten van het BCM proces gaat dan ook over alle bedrijfsprocessen heen en de activiteiten die op het garanderen van continuïteit zijn gericht, vinden organisatie breed plaats. Als er binnen de organisatie al versnipperd een groot aantal activiteiten op het gebied van BCM aanwezig is, kan de waarde hiervan relatief zijn. Zolang activiteiten gefragmenteerd plaatsvinden en niet zijn geïntegreerd, door gebrek aan management en afstemming, wordt er aan het belangrijkste doel van die activiteiten voorbijgegaan en gaat het beoogde effect daarvan volledig teniet.“ Beter is om het hier beschreven geheel risk management of risicomanagement te noemen, wat direct samenhangt met het bedrijfsbeleid waarvoor de directie verantwoordelijk is.

Business continuity is dus geen management systeem en past dus in feite ook niet in de ISO reeks. (Zie ook ‘Uw business continuity plan is een oplossing en geen managementsysteem’). Er is tenslotte ook al de ISO 31000 norm voor risk management. Bovendien is er bij business continuity geen sprake van een verbetercyclus. Het draaiboek moet gewoon werken als er een calamiteit optreedt. Niets meer en niets minder. Als u echter business continuity oppakt als het zoveelste management systeem jaagt u zichzelf op kosten en doet u waarschijnlijk veel dubbel werk, waarbij u waarschijnlijk ook nog een zaken over het hoofd kunt zien.

Gebeurtenissen waarvan u de risico’s dat ze optreden preventief wilt afdekken, kunnen toch voorkomen. Vaak ontbreekt dan het draaiboek voor het geval zo’n calamiteit dan toch optreedt. Denk bijvoorbeeld aan de recente DDos aanvallen op de banken en DigiD en ook overstromingen.

Risico’s die u uitsluit in uw algemene voorwaarden en dus in feite uitbesteedt aan uw klanten, omdat de optredende gebeurtenissen onder overmacht vallen, leiden bij een calamiteit tot aanzienlijke reputatieschade. Denk hierbij aan de ‘winterdienstregeling’ van de NS.

Daarom is het verstandig om uw inspanningen om te komen tot een business continuity plan goed af te bakenen en niet op te blazen tot een complex business continuity management proces. Business continuity management is niets anders dan het beheren van uw business continuity plan (BCP). Door er zo mee om te gaan, kunt u veel kosten besparen.

ISO 9001 voor kwaliteitsmanagement, ISO 14001 voor milieumanagement, ISO 22000 voor voedselveiligheidsmanagement en ISO 45001 voor Arbo management, het zijn eigenlijk allemaal normen die beschrijven hoe een organisatie een specifiek risico moet managen.

Bij kwaliteitsmanagement gaat het om de risico’s dat producten en diensten niet aan de eisen van de klant en van toepassing zijnde wettelijke eisen voldoen. Bij milieumanagement om risico’s dat schade aan het milieu wordt toegebracht met als mogelijk gevolg aansprakelijkheidsclaims, imagoschade, strafrechtelijke vervolging etc..

Bij voedselveiligheidsmanagement om risico’s dat producten schadelijk zijn voor de gezondheid van de consument. Zo is elke managementsysteemnorm te koppelen aan een specifiek risico waar de organisatie rekening mee moet houden. Die normen bevatten op hoofdlijnen allemaal dezelfde componenten:

•           beleid en doelstellingen;

•           vaststellen van eisen waaraan moet worden voldaan;

•           risicoanalyse en vaststelling beheersmaatregelen;

•           organisatie, middelen, competenties;

•           procesbeheersing;

•           monitoring, analyse en verbetering.

ISO 31000 (zie ‘ISO 31000 raamwerk voor risk management’) kan hiervoor als paraplu dienen.
 

Van verzuiling naar integratie

In het verleden zijn binnen veel organisaties allerlei verzuilde managementsystemen ontstaan, gekoppeld aan de verschillende normen met eigen coördinatoren, vaak vakspecialisten. Die systemen stonden vaak los van elkaar en ook nog eens los van het ‘echte managementsysteem’ van de organisatie. Dat ‘echte’ systeem is gekoppeld aan het strategisch en financieel management, het domein van de directie en de controller van de organisatie.

Inmiddels is het besef gegroeid dat een organisatie bij het implementeren van een managementsysteemnorm die norm niet als een recept moet gebruiken om een nieuw managementsysteem in de organisatie neer te zetten. Het gaat erom dat wordt nagegaan waar het al bestaande ‘echte’ managementsysteem (formeel of informeel) moet worden aangepast of aangevuld om te kunnen claimen dat aan bijvoorbeeld ISO 14001 wordt voldaan. Als dat goed gebeurt, worden twee vliegen in een klap geslagen: verzuiling (en daarmee versnippering en inefficiënties) wordt tegengegaan en het betreffende risico/aspect wordt meegenomen in het algehele management van de organisatie (op strategisch, tactisch en operationeel niveau).(Bronvermelding: ZBC, BCM en Wikipedia)

Agenda

Online KKNF Webinar - Remote Auditing & delen van overige QHSE-ervaringen
Online NNK - Het veranderende ecosysteem van de kwaliteitsmanager
Online (link wordt op 24 mei verzonden)
Online NNK - Platform HBO - Flexibel onderwijs en kwaliteitszorg
Online (link wordt op 2 juni verzonden)
Online KKT Workshop - Kwaliteit in projecten/projectoptimalisatie

Kennismaken?

Wilt u een keer kennismaken? Kom dan op onze volgende activiteit.

Aanmelden

Verslagen

Vind hier alle verslagen van diverse evenementen

Publicaties

Vind hier onze publicaties

Krul

Logo Q-Consult Progress Partners
Logo Ubbink B.V.
Logo Voortman Consultancy
Logo SIKA Nederland (Deventer en Utrecht)
Logo iSee iKnow B.V.
Logo Adequaatment
Logo ICP Group
Logo OKAM advies Kwaliteit Arbo Milieu
Logo AfvalWater Techniek Twente B.V.
Logo ASSET-CARE maintenance engineers
Logo kijk op kwaliteit
Logo Dijkstra Plastics BV HK-Plastics BV
Logo IPA Bedrijfsmanagement
Logo TReNT Glasvezel
Logo Coster Consult
Logo 3T BV
Logo Symbol B.V.
Logo Micronit Microtechnologies
Logo Audite Adviesbureau
Logo LOGICS B.V.
Logo Icologiq B.V.
Logo Norma Hengelo B.V.
Logo ROC van Twente
Logo ZGT Ziekenhuisgroep Twente
Logo SWB Midden Twente
Logo Adviesburo Witteveen
Logo Electromach B.V.
Logo Vernay Europa B.V.
Logo Trioliet B.V.
Logo Minivalve International B.V.
Logo Twentse weg- en waterbouw BV
Logo Wouter Witzel EuroValve B.V.
Logo Pentas Moulding B.V.
Logo Ortageo Beheer
Logo Asito B.V.
Logo smartFMEA
Logo Qamedo
Logo STRAIGHT Human Support
Logo ATS Applied Tech Systems B.V.
Logo Brink Climate Systems B.V.
Logo Twente Quality Centre - TQC
Logo Oranda Krupers