Home » Security » Business Continuïty - Bedrijfsrisico » Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP

Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP

Inhoudsopgave

Eerste fase Business Continuity Plan
Stappenplan voor het opstellen van een BCP
Intake met directie of stuurgroep
Risico-inventarisatie van dreigingen
Inventarisatie kritische diensten en processen
Risicoacceptatie door de directie

1. Eerste fase Business Continuity Plan

Het grootste probleem bij het opstellen van een Business Continuity Plan of calamiteitenplan is voor veel bedrijven: ‘How to get started?’. In feite kan bij een procesmatige benadering de totale bedrijfsvoering worden meegenomen in het plan en als men uitgaat van de mogelijke dreigingen, dan kan men ook weer het hele bedrijf tegenkomen. Zo vormen bijvoorbeeld de debiteuren het belangrijkste risico voor een faillissement van een bedrijf. Maar moet u dit risico nu wel of niet meenemen in een Business Continuity Plan?
Het antwoord op deze vraag is simpel: U zult eerst keuzes moeten maken, keuzes over wat wel en wat niet door uw Business Continuity Plan afgedekt moet worden. In het artikel ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’ gaan we dieper in op de definities en de afwegingen met betrekking tot deze keuzes. In dit artikel gaan we in op de wijze van inventariseren, waardoor de keuzes gemaakt kunnen worden.
Hierbij wordt gebruik gemaakt van standaardsjablonen, omdat deze inventarisatie in hoge mate standaard is. De uitkomsten verschillen uiteraard per bedrijf en per vestiging van een bedrijf.

2. Stappenplan voor het opstellen van een BCP

Grofweg kan het opstellen van een BCP uitgevoerd worden volgens de volgende fasen en stappen:

Fase 1

intake met een vertegenwoordiging van de directie of de stuurgroep om het ambitieniveau, de belangrijkste dreigingen, de risicoacceptatie en de voorkeuren voor oplossingsrichtingen vast te stellen;
het in kaart brengen van de hoofdlijnen voor wat betreft kritische diensten en processen, dreigingen (single points of failure) en uitwijkmogelijkheden;
presentatie van de plannen en de globale risicoanalyse in een kick-off meeting, waarbij een definitieve afbakening wordt vastgesteld.

In dit artikel richten we ons dus op de uitvoering van fase 1.

Fase 2

inventarisatie kwetsbaarheden op afdelingsniveau, deels via interviews en deels via vragenlijsten;
analyse relevante processen en procedures en het vaststellen en accorderen van maatregelen;
evalueren uitwijkplan ICT en het zo nodig aanvullen hiervan;
invullen draaiboek met bijlagen en opstellen implementatieplan en inbedding van dit proces in de organisatie;
presentatie concept BCP aan de directie of de stuurgroep.

Een toelichting op de uitvoering van deze fase 2 wordt gegeven in ‘Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan’.

3. Intake met directie of stuurgroep

Voordat de inventarisatie start, zal met de directie afgestemd moeten worden wat de scope van het onderzoek is, welke ambities er zijn en hoe het traject in elkaar zit. Bovendien moet duidelijk worden dat het niet gaat om preventie maar om repressie. Preventie is tenslotte een normale bedrijfsactiviteit en het bedrijfcontinuïteitsplan is het vangnet, indien de preventieve maatregelen niet voldoende zijn.
In het artikel ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’ gaan we dieper in op deze scope, op de afwegingen en op de totale aanpak.

4. Risico-inventarisatie van dreigingen

Bij de risico-inventarisatie kijken we dus niet naar de calamiteit zelf, maar naar de effecten van calamiteiten. Vaak worden bij een risico-inventarisatie de volgende acht risicogebieden onderkend:

medewerkers;
gebouwen (toegang tot);
nutsvoorzieningen, inclusief telecom;
ICT-infrastructuur en data;
single points of failure;
externe invloeden;
aansprakelijkheid;
imagoschade (zie ook ‘Goede crisiscommunicatie voorkomt reputatieschade’).

Een goede consultant heeft per risicogebied een checklist (vaak in de vorm van een invulsjabloon) om deze dreigingen in kaart te brengen. Hieronder werken we zo’n sjabloon uit voor het risicogebied medewerkers.

Dit sjabloon wordt meestal ingevuld door de beoogde proceseigenaar van het proces business continuity in de organisatie, mits die een goed overzicht heeft over de gehele organisatie. Doorgaans is coaching door een externe consultant hierbij gewenst.
De kolommen ‘ernst’ en ‘actie’ zijn natuurlijk het meest cruciaal. Deze zullen geaccordeerd moeten worden door de directie of stuurgroep, want die bepaalt welke risico’s wel en welke niet afgedekt gaan worden.

5. Inventarisatie kritische diensten en processen

Het bestaansrecht van organisaties ligt doorgaans in de toegevoegde waarde die de organisatie heeft voor haar klanten en andere partijen in de omgeving (stakeholders), waarmee de organisatie bindende afspraken heeft.
Bij klanten moet niet alleen gedacht worden aan de klant zelf maar in veel gevallen ook aan de klant van de klant. Als een fabrikant van voedingsmiddelen of speelgoed ondeugdelijk spullen levert, waardoor de consument gevaar loopt, dan vormt dit ook een risico voor de retail, die deze producten verkoopt. Bij de stakeholders kan gedacht worden aan toezichthouders, de overheid en geldverstrekkers.
Daarnaast is de organisatie vaak afhankelijk van toeleveranciers om haar output te garanderen. Van belang is, dat met deze toeleveranciers zodanige afspraken gemaakt worden, dat de organisatie zelf aan zijn leveringsverplichtingen kan voldoen.

Figuur1: Afspraken organisatie-toeleveranciers

5.1 Calamiteitenparagraaf in overeenkomsten

Daartoe moeten dus de overeenkomsten bekeken worden, die de organisatie met haar omgeving heeft, want daar moet zij aan kunnen voldoen. In de praktijk zien we dat veel contracten of SLA’s opgesteld zijn voor vredestijd en dat een calamiteitenparagraaf ontbreekt. Zo is er bijvoorbeeld vaak wel geregeld, dat de leverancier bij een storing van een kritisch bedrijfsmiddel binnen twee uur op de stoep moet staan om de storing op te lossen, maar zijn er geen afspraken over situaties waarin een storing niet direct kan worden opgelost en helemaal niet over gevallen waarin een kritische bedrijfsmiddel volledig vernield is en in zijn geheel moet worden vervangen.
Daarom zal bij het afsluiten van contracten niet zozeer gekeken moeten worden naar het product zelf, maar veel meer naar de functie van dergelijke kritische bedrijfsmiddelen. Als het bijvoorbeeld gaat over de airco van een computerruimte, moet er een clausule opgenomen worden, dat de leverancier binnen 4 uur ervoor moet zorgen, dat er weer koeling in de computerzaal aanwezig is door bijvoorbeeld tijdelijk een mobiele airco te plaatsen. Dat vervolgens het vervangen van de oorspronkelijk airco nog twee weken duurt, is dan niet van belang voor de bedrijfscontinuïteit. Het gaat om de uitwijk in geval van een calamiteit.
In dit stadium is het uiteraard nog niet van belang om de contracten diepgaand te analyseren. Nu kan als actie genoteerd worden, dat in de toekomst bij aanbestedingen en bij het verlengen van contracten zo’n calamiteiten paragraaf opgenomen moet worden. Wel kan het noodzakelijk zijn dat de organisatie zelf op korte termijn acties onderneemt om het risico te managen.

5.2 Diensten en processen

In deze eerste fase beschouwen we de organisatie grotendeels als een black box en kijken we naar de input en de output van de organisatie als geheel.
De diensten van de organisatie vormen in feite de output en de aspecten van die diensten die we bekijken zijn de volgende:

dienstbeschrijving in steekwoorden;
de afnemers van de dienst (niet alleen klanten maar ook eventuele stakeholders);
de maximale tijd die de dienst bij een calamiteit, bijvoorbeeld in geval van brand, kan uitvallen;
de specifieke risico’s voor deze dienst (kwetsbare middelen).

Vervolgens worden de hoofdprocessen in kaart gebracht, waarbij ook kritische deelprocessen nu al genoemd worden. Zo is het kunnen voeren van de personeelsadministratie een niet tijdkritisch proces, maar daarbinnen het uitbetalen van salarissen wel.
Onderstaand een voorbeeld van een aantal processen van een ICT-bedrijf, dat de volledige automatisering uitvoert voor haar klanten:

Op dit moment bekijken we de processen vanuit business perspectief en nog niet op het niveau van bedrijfsmiddelen. Dat gebeurt in fase 2, en dan alleen voor de kritische processen en voor het opsporen van single points of failure in de organisatie.

6. Risicoacceptatie door de directie

Nadat de risicogebieden en de diensten en processenin kaart gebracht zijn, wordt dit geheel gepresenteerd aan de directie. Wat betreft de dreigingen wordt de directie gevraagd de volgende punten goed te keuren dan wel aan te passen:

ernst (1-5);
actie nodig (j/n).

Als de directie de ernst van een dreiging inschat op 4 of 5 en bij ontbreken van een uitwijk actie niet nodig vindt, dan betekent dit, dat zij het risico accepteert. Uiteraard moet de directie wel op het risico gewezen worden.
Als het gaat om de diensten en processen, wordt vooral gekeken of het risicomanagement hiervan eventueel al in de organisatie belegd is of dat het een onderdeel van het Business Continuity Plan moet vormen. Op deze manier kan worden voorkomen, dat straks in het kader van dit project alle processen binnen de organisatie onder de loep genomen gaan worden.
Nadat deze keuzes gemaakt zijn, kan meer gericht ingezoomd worden op de processen en afdelingen voor een nader onderzoek naar de ‘single points of failure. Een toelichting op de uitvoering van deze fase wordt gegeven in ‘Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan’.

Herziene versie: 28 februari 2011

Download:

Be Sociable, Share!

Gerelateerde artikelen:

Geef een reactie

Je moet inloggen om een reactie te kunnen plaatsen.