ZBC Kennisbank

Zin en onzin over business continuity management – BCM

 

“Business continuity management (BCM) (bedrijfscontinuïteitsbeheer) is de benaming van het proces dat potentiële bedreigingen voor een organisatie identificeert en bepaalt wat de uitwerking op de “operatie” van de organisatie is als deze bedreigingen daadwerkelijk manifest worden. BCM biedt een kader om tegen deze bedreigingen weerstand te bieden onder andere door in staat te zijn effectief te kunnen reageren. “ Dit is wat Wikipedia zegt over Business continuity management.

En verder stelt Wikipedia: “Het product van business continuity management bestaat uit een samenhangend stelsel van maatregelen, die zowel preventief, detectief, repressief als correctief werkzaam zijn. In preventieve zin hebben maatregelen tot doel te voorkómen dat zich situaties voordoen die de continuïteit van de organisatie kunnen aantasten. En indien een risico manifest is geworden, zorgen detective maatregelen ervoor dat zo spoedig mogelijk bekend wordt dát een bedreiging zich voordoet. Om de bedreiging zo snel mogelijk te stoppen en de gevolgschade zo veel mogelijk te beperken treden repressieve maatregelen in werking. Correctieve maatregelen zorgen er vervolgens voor dat de bedrijfsprocessen weer binnen acceptabele periode hersteld kunnen worden.” Fraaie woorden zijn het. Maar zou er één bestuurder zijn, die naar aanleiding hiervan denkt, dat zijn organisatie niet aan business continuity management doet? Natuurlijk niet. Dit alles valt toch gewoon onder risicomanagement. En risicomanagement is een taak van de directie. Bovendien is een belangrijke voorwaarde voor continuïteit, dat er een behoorlijke winst gemaakt wordt, nu en in de toekomst. Nu geld investeren in business continuity management brengt de bedrijfscontinuïteit juist in gevaar. Daar trapt geen directie in.

Business continuity management (BCM) is verzinsel

Business continuity management is een begrip dat met name door consultants nog al eens wordt opgeblazen. Vroeger had een organisatie een calamiteitenplan. Dat beschreef alleen hoe een calamiteit in de ICT aangepakt moest worden. De rest was onderdeel van het BHV-plan. Maar ja, een calamiteitenplan moet onderhouden worden, dat wil zeggen, het moet in beheer genomen  Bovendien, wat heb je aan een uitwijkplan voor de ICT, als na een calamiteit de primaire bedrijfsprocessen niet worden hersteld zijn. En zo werd de term Business Continuity Management geboren. Niemand echter, die precies wist wat er eigenlijk mee bedoeld werd en wat het verschil is met risicomanagement. Eén ding is zeker: risicomanagement en business continuity management gaan niet zozeer over het voldoen aan de regels, maar over het voorkomen van verrassingen. Veel van die verrassingen kunnen in de bestaande organisatie worden opgevangen. Mismanagement, debiteurenrisico’s, het wegvallen van belangrijke klanten of aanpassingen in wet- en regelgeving zult u dan ook nooit terug vinden in een calamiteitenplan of business continuity plan. En terecht. De organisatie is er gewoon op ingericht deze calamiteiten te voorkomen. Dus als we het hebben over business continuity management dan gaat het over het beheer van het calamiteitenplan of business continuity plan (BCP), dat ervoor moet zorgen dat de schade van een calamiteit geminimaliseerd wordt.

Afbakening business continuity plan

Een risico is een kans dat een onzekere gebeurtenis plaatsvindt, met mogelijke gevolgen voor de doelstelling van de organisatie. In het ideale geval doet een bedrijf gestructureerd aan risk management en heeft zijn risico’s en de mogelijke gevolgen in kaart gebracht. Afhankelijk van hoe groot een bedreiging is, kan een organisatie besluiten te voorkomen dat een gebeurtenis plaatsvindt (preventie), het risico dat de gebeurtenis plaatsvindt te accepteren of in tussenliggende gevallen het risico op zich te accepteren maar er wel voor te zorgen dat de schade beperkt blijft. Voor directe schade kan dan een verzekering afgesloten worden terwijl de indirecte schade wordt afgedekt door een business continuity plan. Het business continuity plan gaat dus over de gevolgschade van gebeurtenissen, waarvoor u zich als organisatie niet kunt of wilt verzekeren. En dan gaat het om onverwachte gebeurtenissen ofwel calamiteiten met als gevolg uitval van:

  • mensen,
  • locaties of toegang tot locaties,
  • nutsvoorzieningen inclusief telecom
  • de ICT infrastructuur of toegang tot informatie
  • toeleveranciers
  • reputatie

De afbakening van het business continuity plan is dan volstrekt helder.

Aanpak opzetten business continuity plan

Helaas blijkt dat in de praktijk toch anders te zijn. Bij risk management wordt vaak alleen gekeken naar de financiële risico’s voortvloeiend uit de normale bedrijfsvoering (vaak intern gebeuren gericht op compliance) en worden de effecten van calamiteiten die operational risks met zich meebrengen niet meegenomen. Want hoe was het mogelijk dat onlangs allerlei grote organisaties verrast werden door de DDos-aanval of een aantal jaren eerder door een pandemie, terwijl al jaren bekend is dat deze calamiteiten zich kunnen voordoen. Er mag dan toch minstens verwacht worden dat er een draaiboek klaar ligt hoe in dat soort gevallen te handelen. Risicoanalyses zij dus vaak incompleet. Als dat het geval is, moet een organisatie beginnen met een bedrijfsbrede risico-inventarisatie. Hoe u dit kunt aanpakken staat beschreven in ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’. Een belangrijke valkuil hierbij is dat vervolgens deze risico-inventarisatie ook als de scope van het business continuity plan wordt beschouwd. Het gevolg hiervan is dat er dubbel werk wordt gedaan. Bovendien bestaat het gevaar dat de verantwoordelijke voor het Business continuity Plan op de stoel de directie gaat zitten. Hij dient zich echter vanaf dit punt te beperken tot de calamiteiten die de organisatie niet wil of kan voorkomen. Hiervoor wordt dus een business continuity plan gemakt. Zo’n plan is als volgt opgebouwd (zie ook ‘Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan’):

De resultaten van het opstellen van een Business Continuity Plan zijn: een draaiboek dat geldt in ‘oorlogstijd’ met diverse scenario’s; • een implementatieplan waarin beschreven staat welke eenmalige en structurele acties er in ‘vredestijd’ nodig zijn om er voor te zorgen, dat het draaiboek in oorlogstijd werkt; • optioneel een uitwijkplan voor de ICT-voorzieningen, ook wel calamiteitenplan of contingency plan genoemd; vaak wordt dit plan apart opgesteld, omdat veel calamiteiten zich beperken tot de dienstverlening van de ICT-afdeling. Dit is vooral van belang als er veel verouderde hardware of software in gebruik is.

Valkuilen business continuity management

Zoals gezegd is de term business continuity management zelf al de grootste valkuil. Zeker als daar ook nog de ISO 22301 norm voor is, waarop u gecertificeerd kunt worden. Dan kom je op een weidse omschrijving als: “BCM gaat de gehele organisatie aan. De prestatie van een organisatie wordt gevormd door de som van alle bedrijfsprocessen. Het geheel aan activiteiten van het BCM proces gaat dan ook over alle bedrijfsprocessen heen en de activiteiten die op het garanderen van continuïteit zijn gericht, vinden organisatiebreed plaats. Als er binnen de organisatie al versnipperd een groot aantal activiteiten op het gebied van BCM aanwezig is, kan de waarde hiervan relatief zijn. Zolang activiteiten gefragmenteerd plaatsvinden en niet zijn geïntegreerd, door gebrek aan management en afstemming, wordt er aan het belangrijkste doel van die activiteiten voorbijgegaan en gaat het beoogde effect daarvan volledig teniet.“ (Bron: Wikipedia) Beter is om het hier beschreven geheel risk management of risicomanagement te noemen, wat direct samenhangt met het bedrijfsbeleid waarvoor de directie verantwoordelijk is. Business continuity is dus geen management systeem en past dus in feite ook niet in de ISO reeks. (Zie ook ‘Uw business continuity plan is een oplossing en geen managementsysteem’). Er is tenslotte ook al de ISO 31000 norm voor risk management. Bovendien is er bij business continuity geen sprake van een verbetercyclus. Het draaiboek moet gewoon werken als er een calamiteit optreedt. Niets meer en niets minder. Als u echter business continuity oppakt als het zoveelste management systeem jaagt u zichzelf op kosten en doet u waarschijnlijk veel dubbel werk, waarbij u waarschijnlijk ook nog een paar zaken over het hoofd ziet:

  • Gebeurtenissen waarvan u de risico’s dat ze optreden preventief wilt afdekken, kunnen toch voorkomen. Vaak ontbreekt dan het draaiboek voor het geval zo’n calamiteit dan toch optreedt. Denk bijvoorbeeld aan de recente DDos aanvallen op de banken en DigiD en ook overstromingen.
  • Risico’s die u uitsluit in uw algemene voorwaarden en dus in feite uitbesteedt aan uw klanten, omdat de optredende gebeurtenissen onder overmacht vallen, leiden bij een calamiteit tot aanzienlijke reputatieschade. Denk hierbij aan de ‘winterdienstregeling’ van de NS.

Daarom is het verstandig om uw inspanningen om te komen tot een business continuity plan goed af te bakenen en niet op te blazen tot een complex business continuity management proces. Business continuity management is niets anders dan het beheren van uw business continuity plan (BCP). Door er zo mee om te gaan, kunt u veel kosten besparen. (Zie ook ‘Hoe u een business continuity plan op de agenda krijgt bij directies’). Want zo’n draaiboek kost veel minder dan preventie. NB: In onze Cursus aanpak opzetten business continuity plan-BCP hanteren we ook deze afbakening. Hierdoor kunnen we de duur van de cursus beperken tot twee dagen, terwijl er toch voldoende aandacht wordt besteed aan en geoefend met hoe u een business continuity plan kunt opstellen.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 4 oktober 2013 | Copyright: ZBC


2 Responses to “Zin en onzin over business continuity management – BCM”

  1. B keizer schreef:

    Auteur slaat de plank volledig mis en heeft in elk geval niet het besef dat normeringskaders, wet, en regelgeving simpelweg een integraal BCM Model eisen. Natuurlijk kom je weg met single-process zaken, maar dat is geen BCM.

    • Wiebe Zijlstra schreef:

      Het is begrijpelijk dat jullie als BCM academie, met jullie uitgebreide leergangen, niet zitten te wachten op een pragmatische aanpak zoals wij die voorstellen. Voor kleinere en middelgrote organisaties is de beschreven aanpak echter ruim voldoende. En dat zoiets geen business continuity management genoemd mag worden, zeg ik ook in het artikel. Ik adviseer bedrijven om risk management integraal op te zetten en waarbij continuiteitsrisico’s een onderdeel zijn. Al dan niet door een High level structure op te zetten, zoals die nu in alle gangbare ISO-normen zitten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *