Home » Security » Business Continuïty - Bedrijfsrisico » Maak business continuity toch niet zo complex

Maak business continuity toch niet zo complex

Business Continuity Management (BCM) moet voorkomen dat een crisis of calamiteit in de organisatie uit de hand loopt, dat kritische bedrijfsprocessen stilvallen. BCM-standaarden zijn misschien belangrijk, maar nog belangrijker is, dat bij een calamiteit iedereen weet wat hij moet doen en dat de draaiboeken eenvoudig en up-to-date zijn. Een business continuity plan dat gebaseerd is op de BCM-standaards is vaak te theoretisch en te uitgebreid en het maken van zo’n business continuity plan is daarmee onnodig moeilijk.

Business Continuity Management (BCM) gaat over activiteiten die nodig zijn om een crisis op organisatieniveau te overleven. Of beter gezegd: om een calamiteit of crisis in uw specifieke organisatie in de relevante omgeving (dreigingen, resources) het hoofd te kunnen bieden. Als schade dreigt, die zo groot is dat daarmee de organisatie in gevaar komt, is overleven het enige dat telt. Een stukje ingeblikt boerenverstand in de vorm van overzichtelijke draaiboeken is dan een eis.

BCM-standaards

Er zijn internationale standaarden op het gebied van BCM. De inhoud daarvan varieert van een best practice op het gebied van opzet en inrichting tot een specificatie van het BCM-systeem. Door de detaillering in de standaarden leidt het zonder meer uitvoeren van de beschreven stappen tot trajecten die makkelijk meer dan een jaar in beslag kunnen nemen. De standaarden gaan daarmee voorbij aan het gegeven dat een organisatie geen tijd heeft om een jaar of meer te werken aan de inrichting van BCM. Het management moet kunnen vertrouwen op voldoende veerkracht om een crisis te overwinnen.
De meest bekende standaarden zijn:

• BS25999: BCM
  Deze standaard bestaat uit een praktijkcode met aanbevelingen (deel 1) en uit de specificaties/eisen van/aan een BCM-systeem (deel 2). Deel 1 beschrijft het inrichten van BCM. Daarbij wordt breed geïnventariseerd en veel geanalyseerd. Op basis van al die analyseresultaten wordt een strategie opgesteld. Het managementsysteem dat in deel 2 beschreven is, lijkt op het ISO 9000-kwaliteitsmanagementsysteem.
• BSI-Standard 100-4 Notfallmanagement
  Deze Duitse standaard is een zeer grondig en gedegen document waarin een zeer gedetailleerde aanpak stap voor stap beschreven staat. Uitvoering van deze aanpak zal echter veel inspanning en veel doorlooptijd vergen.
• Het Amerikaanse NIST 800-34 en de Britse PAS 77:2006 betreffen BCM voor IT-systemen
  De aanpak die in deze standaarden beschreven is, is even breed als die in de eerder genoemde standaarden.
• ENISA Business and IT Continuity
  Dit Europese document beperkt zich tot het herstellen van kritieke ICT en informatiebeveiliging. Het is een presentatie c.q. overzicht van de inzichten die in een groot aantal onderliggende documenten is gevonden door de schrijvers van het document. Het document is daarmee niet vergelijkbaar met de overige standaarden.

Iedere theoretische standaard die moet worden toegepast in de werkelijkheid heeft als gevaar, dat hij zeer uitgebreid wordt door de beschrijving van heel veel uitzonderingen. De standaard moet immers voor iedere organisatie toepasbaar zijn. Gebruikers van zulke standaards verdwalen al snel  in een woud van inventarisaties, analyses en escalatiemechanismen. Helaas maken ook veel toezichthouders gebruik van de toetsingskaders uit deze standaards om de inrichting van BCM te controleren. Zij toetsen dan in feite de theoretische correctheid van het Business Continuity Plan (BCP). De werkelijke bijdrage van dit plan aan de bedrijfscontinuïteit blijft daarmee echter buiten beeld.

De bruikbaarheid van BCM-standaards

De aanpak die beschreven staat in de standaards, begint onveranderlijk met brede inventarisaties en het verzamelen van informatie over noodzakelijke systemen, voorzieningen en werkplekken. Daarna wordt op grond van die informatie een oplossing op hoofdlijnen opgesteld. Meestal worden direct gedetailleerde lijsten met actiepunten en activiteiten geproduceerd. Deze moeten na het uitbreken van een crisis in korte tijd en volgens een strakke planning worden uitgevoerd. Het resultaat? Door de bomen ziet men het bos niet meer.
In de meeste BCM-standaarden is organisatiebewustzijn of borging in de organisatie een separaat onderdeel. Hoe dat in te richten, is veelal niet verder uitgewerkt. Dat, terwijl nu juist de betrokkenheid van managers  bij het inrichten van BCM de grootste succesfactor is. Managers zijn immers de belangrijkste spelers tijdens een crisis. De gevolgen van het uitvoeren van een te theoretische aanpak zijn als volgt samen te vatten.

• De invoering kost te veel inspanning. Voor het inventariseren van de bedrijfsprocessen en het bepalen wat ervoor nodig is om die in een crisissituatie uit te voeren, is te veel tijd nodig. Bovendien wordt er zoveel informatie mee verzameld, dat het onmogelijk is om nog een eenvoudige oplossing te verzinnen.
• De invoering kost te veel geld. Voor ieder geïnventariseerd proces wordt een crisisoplossing bepaald. Ervaring leert dat zoiets niet nodig is. Verminderde functionaliteit tijdens een crisis is immers acceptabel. Met name in ICT zal dit leiden tot een te grote investeringen.
• De crisisorganisatie wordt groter dan gewenst. Succesfactor bij het inrichten van BCM is het zo beperkt mogelijk houden van de crisisorganisatie, het escalatiemechanisme en de alarmeringen.
• Doordat het grootste deel van de inrichting zich buiten het gezichtsveld van het management afspeelt, vindt erbij het management geen bewustwording plaats. Betrokkenheid van het management, niet alleen bij het bepalen van de meest kritieke onderdelen maar ook bij het verzinnen van noodoplossingen is cruciaal.

Door deze factoren vergt het inrichten van BCM met deze BCM standaards vaak meer inspanning dan nodig is en duurt een crisis langer dan gewenst. Kortom,de veerkracht om in een crisissituatie te overleven ontstaat hiermee niet.

Het management zit niet te wachten op BCM

Het onderwerp Business Continuity Management is niet populair bij managers. Het vergt tijd en aandacht. Het vraagt investering, het kost productietijd door de oefeningen en het levert niets anders op dan een stapeltje plannen. Plannen die, als het erop aankomt, niet bij de tijd zijn, niet helpen voor deze crisis of, in het ergste geval, niet te vinden zijn.
Net als informatiebeveiligers roepen ook BCM’ers in koor, dat de awareness bij het management ontbreekt. En net als voor informatiebeveiliging geldt ook voor BCM dat men het benadert als een inhoudelijk probleem en niet neerzet als een management issue, waarover keuzes en beslissingen genomen moeten worden. (Zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’.) Die keuzes zijn vooral nodig om te kappen in het woud van standaards. Voor uw organisatie zijn niet alle standaards van  belang. Ook zijn er altijd zaken, die u al geregeld of verzekerd hebt. Want bij BCM gaat het natuurlijk om die schades, waartegen u zich niet kunt verzekeren (claims, gemiste business). (Zie ook ‘Business Continuity Plan: uw dekking voor onverzekerde schade’.) Dat die keuzes vervolgens leiden tot een aanvaardbaar aantal verbeteracties, die uitgezet moeten worden in de organisatie, is vanzelfsprekend. Zelfs voor die managers zonder awareness.

Wees wijs als een struisvogel

Het onderwerp BCM wordt het liefst vermeden aan de directietafel. Want ieder directielid weet, dat als hij dit onderwerp aanroert, hij ook gelijk het hele probleem op zijn bordje krijgt. En geen enkel directielid zit daar op te wachten. Het is daarom handiger om als struisvogel te opereren en vooral het probleem niet te willen zien.
Helaas zijn het vaak de ICT-managers, die niet zo bedacht zijn op dit spel. Zij zijn natuurlijk verantwoordelijk voor de uitwijk van de ICT-systemen en de netwerken en ze brengen het onderwerp op tafel. De andere directieleden zijn er dan meestal als de kippen bij en zetten het aapje op de schouder van de ICT-manager. Overigens niet onlogisch, want de ICT-manager is gewend om met standaarden om te gaan. Soms echter wordt gedacht dat ICT-uitwijk de oplossing is voor BCM van de hele organisatie. (Zie ook ‘ICT steeds minder het probleem bij een calamiteitenplan’.) ICT-uitwijk is een onderdeel van bedrijfsbrede BCM, net zoals ICT een onderdeel is van de business. Dat het opzetten van een business continuity plan wordt neergelegd  bij een ondersteunende afdeling zoals ICT, facilities, kwaliteit of security is niet vreemd. Maar de proceseigenaar moet gevonden worden in de business.

Houd het simpel

Een crisis is een groot operationeel probleem op businessniveau. Door de aandacht te richten op het oplossen van het businessprobleem in plaats van op de continuïteit van kritieke processen afzonderlijk, is het mogelijk een eenvoudige oplossing op te stellen. BCM is een minder weerbarstig onderwerp dan vaak wordt gedacht, als men er maar voor zorgt niet te verdwalen in het bos van inventarisaties, analyses en escalatiemechanismen. Het is mogelijk weinig plannen te maken, als gebruikgemaakt wordt van de aanwezige vakkennis, het improvisatievermogen en de flexibiliteit.
Gun daarom niet iedereen inspraak, maar werk in een kleine groep met een paar verantwoordelijken en een paar experts. En beschouw in de groep een aantal crisissituaties in termen van langdurige uitval van kritische resources als gebouw, elektriciteit, toelevering enzovoort.
Voor deze situaties doet de groep een gedachtentest om na te gaan wat er op dat moment gedaan moet worden om een crisis te overleven. Bijvoorbeeld wanneer het gebouw de komende twee weken niet beschikbaar is. Door in het managementteam een werkbare oplossing te verzinnen om die twee weken te overbruggen, wordt niet alleen de oplossing verzonnen, ook wordt de reactietijd vastgesteld. Als die acceptabel is, is daarmee aangetoond dat er voor BCM niet veel meer hoeft te gebeuren. Opschrijven van de oplossing is voldoende. (Zie ook ‘Casestudies Business Continuity Plan’.) Als de reactietijd niet acceptabel is, dan is het nodig na te gaan wat het resultaat is van de huidige oplossing en hoe groot het overblijvende probleem is. Waarschijnlijk is het mogelijk prioriteiten te verschuiven zo dat een werkbare oplossing ontstaat. Dit is een beproefde methode gebleken om de kern van BCM te bereiken. Het vinden van de noodoplossing, hoe daar te komen en te beschrijven. Managementteams die hiermee gewerkt hebben waren zonder uitzondering positief: na afloop hadden ze vertrouwen in hun eigen oplossing. Een praktisch kookboek zoals ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’ kan hierbij helpen, evenals misschien een korte ‘kookcursus’, ‘Cursus Business Continuity Management’.

Bron:
Jacques Cazemier, Dick Leegwater, Jan Ploeg, ‘BCM niet populair bij managers’. In: Automatisering Gids. 15 oktober 2010.

• Download:

Auteur: Wiebe Zijlstra | 18 februari 2011 | Copyright Wiebe Zijlstra

Gerelateerde artikelen:

1. Cursus Business Continuity Management
2. Webseminar Business continuity, een aanpak uit de praktijk
3. Business Continuity Plan: uw dekking voor onverzekerde schade
4. Business Continuity Management niet zo moeilijk in de supply chain
5. Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP
6. Business Continuity of plan bedrijfscontinuïteit: Doe effe normaal
7. Business continuity in de industrie, groothandel en distributie
8. Grieppandemie: kans of bedreiging voor uw business continuity