Word abonnee

Betere borging van de bedrijfscontinuïteit met een plan

In het voorgaande artikel ‘Hoe brengt u cyberrisico’s met impact in kaart?’ (de Beursbengel nr. 895, juni 2020) is de systematiek omschreven van hoe je, zonder dat je IT-expert bent, risico’s die impact hebben op de bedrijfsvoering in kaart brengt. In dit artikel gaat het om de volgende en logische stap: een concrete aanpak van hoe je de bedrijfscontinuïteit beter kunt waarborgen door vooraf een plan te maken. Veel ondernemingen beseffen ook dat in deze roerige tijden, in de zogenoemde VUCA1-wereld, risicomanagement steeds belangrijker wordt en dat het de organisatie versterkt en veerkrachtiger (resilient) maakt. 

De continuïteit van de business wordt aan de aanbodzijde bepaald door de beschikbaarheid van de kritieke processen en middelen. De onderlinge afhankelijkheden van processen worden groter. Zo zijn ondersteunende IT-processen geleidelijk steeds meer verweven met primaire processen. Door een toename in samenwerkingsverbanden tussen organisaties neemt ook de afhankelijkheid toe van elkaars (primaire) processen. Steeds vaker eisen belanghebbenden duidelijkheid over de wijze waarop de continuïteit van de dienstverlening van de organisatie is gewaarborgd.

Meestal wordt een calamiteit, of nog erger een crisis, aangegrepen om naast het oplossen van de problemen ook bepaalde interne processen strak te trekken. Een organisatie gebruikt dan vaak de crisis om maatregelen door te voeren die eerst niet haalbaar waren. Kijk maar naar de nieuwe trend van ‘Home Office’, die door COVID-19 is ingezet, met alle neveneffecten (plussen en minnen) van dien. Vaak is reputatieschade bij crises de grootste schadepost, ook al is die schade moeilijk te kwantificeren. Kortom een crisis biedt kansen, maar in de eerste plaats voor concurrenten en andere opponenten.

We zien bedrijven failliet gaan ten gevolge van brand. Dat komt dan niet door de directe schade (die is eigenlijk altijd verzekerd), maar door een te langdurige uitval van voorzieningen, waardoor de productie te lang is komen stil te liggen. Veel ellende kun je voorkomen door vooraf een Bedrijfscontinuiteitsplan (BCP) te maken als onderdeel van een gestructureerd risicomanagement. Het plan bevat een implementatie- en strategisch plan, evenals een set van draaiboeken. Belangrijk is dat bij een calamiteit iedereen weet wat hij moet doen en dat de draaiboeken eenvoudig en up-to-date zijn. Natuurlijk is het vaak ‘einde oefening’ als er tijdens openingsuren een vliegtuig neerstort op je bedrijfsgebouw. Helaas kun je zoiets niet voorkomen en zelf beïnvloeden, en het is zinloos om hier wakker van te liggen.

Belangrijk is dat je, voordat je begint, zorgt voor een goede afbakening van het onderzoek. Het volgende voorbeeld ter illustratie (zie figuur 1):

899_bedrijfscontinuiteit_grafiek1

Praktische tip

Werk zoveel mogelijk in een kleine groep met een paar verantwoordelijken en een paar ‘dedicated’ functionarissen (experts/specialisten). Benoem een aantal crisissituaties in termen van langdurige uitval van kritische resources, bijvoorbeeld gebouw, elektriciteit, toelevering, enzovoort. Neem hierin ook ontwikkelingen mee die voor de organisatie van levensbelang zijn, zoals regelgeving en de markten waarin de onderneming zich manifesteert.

Werk zoveel mogelijk in een kleine groep met een paar verantwoordelijken en een paar experts

Een mogelijke plaats waar een BCP in de organisatie belegd kan worden, is de marketingafdeling of het (kwaliteits-)management. De proces­eigenaar is bij voorkeur iemand uit het primaire proces, bijvoorbeeld de COO of de manager Productie, de ICT-manager, de facilitymanager, et cetera. Dus niet de directeur. De ICT-afdeling is alleen verantwoordelijk voor een deelplan binnen het totale BCP. 

Businesscontinuïteit hoeft niet ingewikkeld te zijn, als het maar vanuit de business wordt benaderd. Het management is tenslotte hiervoor aansprakelijk te stellen. 

Plan van aanpak

Het Bedrijfscontinuiteitsplan is eigenlijk heel overzichtelijk. Het gaat om bedrijfskritische en tijdkritische bedrijfsprocessen en vooral om de voorzieningen van de organisatie, waarvoor uitwijk beschikbaar is of geregeld moet worden. Hiervoor moeten draaiboeken op de plank liggen, waarvan we weten dat ze daadwerkelijk zullen werken bij een calamiteit. 

Voor het maken van een BCP kun je het volgende stappenplan gebruiken. De diverse stappen zijn voorzien van een toelichting en voorbeelden, die je op weg kunnen helpen in de praktijk.

  1. Stuurgroep:
    Formeer een stuurgroep voor het BCP met een sponsor vanuit het topmanagement, bestaande uit de toekomstige leden van het crisisteam (indien aanwezig).
  2. Inventarisatieronde:
    Er wordt gestart met een inventarisatieronde langs de afdelingen. Doel hiervan is de risico’s en aandachtspunten in kaart te brengen op het gebied van de beveiliging in het algemeen en in het bijzonder bij een calamiteit. Op grond van deze inventarisatie kun je de totale risico’s voor de organisatie analyseren en maatregelen definiëren. Deze kunnen betrekking hebben op:
    -    aanpassing van de uitwijk­voorziening;
    -    het op te stellen draaiboek (reactief);
    -    preventieve maatregelen.
  3. Kritische activiteiten:
    Bepaal de meest kritische activiteiten en middelen voor de continuïteit van de primaire processen en ga na waarom ze kritisch zijn. Wat zijn de belangrijkste pijlers waarop de organisatie draait? Ga op zoek naar de single points of failure. Maak hiervoor een schets van het primaire bedrijfsproces, van leveranciers tot afnemers. Zie figuur 2.

    899_bedrijfscontinuiteit_grafiek2

    Maak ook een selectie van de (vitale) hulpprocessen/voorzieningen (zie figuur 3).

    899_bedrijfscontinuiteit_grafiek3
  4. Afhankelijkheden:
    Bepaal én analyseer de interne en externe afhankelijkheden in de supply chain, de toeleveranciersketen van de organisatie. Gebruik bijvoorbeeld het Busisness Canvas of Uitvoer-en Invoermodel als leidraad voor de inventarisatie van de kritische activiteiten en afhankelijkheden. Een dergelijk model geeft structuur aan je onderzoek en is voor iedereen herkenbaar. Gebruik deze gelegenheid ook meteen om vast na te denken over alternatieven en uitwijkmogelijkheden in de supply chain. 
  5. Risico-Inventarisatie & Evaluatie:
    Het uitvoeren van een risico-inventarisatie verschaft inzicht in de risico’s die de continuïteit van de bedrijfsvoering bedreigen. Voor de omschrijving van het risico (Dreiging) bedenk je ogenschijnlijk ondenkbare scenario’s (Worst Case-Calamiteit). Je weet niet of het ooit gebeurt en toch moet je een beeld maken van de maximale schade waarmee je rekening wilt houden. Verder inventariseer je of voor deze risico’s een BCP nodig is of reeds voorhanden is en/of geactualiseerd moet worden. Binnen de scope van het BCP worden uitsluitend zuivere risico’s inbegrepen. Dus risico’s die bij het manifest worden een neutraal of negatief resultaat hebben. De centrale vraag hierbij is: welke materiële en/of immateriële schade ondervindt de organisatie wanneer één of meerdere (ondersteunende) diensten of middelen voor de uitvoering van de bedrijfsprocessen onverwachts niet meer beschikbaar zijn?
  6. Business Impactanalyse (BIA):
    De BIA geeft inzicht in de financiële en niet-financiële impact per proces of afdeling. De BIA heeft tot doel de gevolgen te bepalen van die risico’s die een lage waarschijnlijkheid van optreden kennen en een hoge mate van impact hebben op het bedrijfsproces (de calamiteitenrisico’s). Het uitgangspunt in een BIA is de vraag: welke gevolgschade treedt op als er uitval van het proces plaatsvindt? Hierbij is de aard van een calamiteit niet van primair belang. De BIA maakt inzichtelijk en transparant wat de impact van een calamiteit is en welke kwetsbaarheden zich waar in de organisatie bevinden. Per proces moet je vastleggen wat de kwalitatieve impact is. Bepaal welke typen gevolgschade voor de afdeling/activiteit optreden in het geval van een mogelijke calamiteit in termen van finan­ciële schade, personele gevolgen, imagoschade, organisatorische impact. In figuur 4 een voorbeeld dat gebruikt kan worden, met een schaal van 1-5.

    899_bedrijfscontinuiteit_grafiek4
  7. Hersteltijd:
    Bepaal wat de maximale hersteltijd is. Bepaal wat de minimaal benodigde middelen zijn om de meest kritische activiteiten te laten functioneren. Dit proces helpt bij het rangschikken van de herstelactiviteiten.
    De centrale vraagstelling is: Zijn er noodprocedures beschikbaar waardoor de werking van het proces kan worden gecontinueerd bij uitval van systemen of productiemiddelen? Geef nu de tijd aan die nodig is om alle hersteltaken uit te voeren, zodat de activiteiten weer plaats kunnen vinden. Indien er onderlinge afhankelijkheden tussen de processen bestaan, dient de tijd voor die processen in overeenstemming met elkaar te worden gebracht. 
  8. Workshop:
    Plan een workshop met de eigenaren van de belangrijkste processen. Bepaal hierin objectief voor welke scenario’s het continuïteitsplan wordt opgesteld. En bepaal de rangschikking van deze activiteiten. In een crisis is het misschien wel belangrijker te weten wat juist níet moet gebeuren, om geen kostbare tijd te verliezen.
  9. Worst case:
    Beperk het aantal uit te werken scenario’s. De ‘Worst Case’-Calamiteit is een belangrijk uitgangspunt. Deze schept namelijk het kader waarbinnen er voorzieningen (in materiële, procedurele en organisatorische zin) moeten worden opgesteld. Als voorbeeld: het voor onbepaalde duur niet meer beschikbaar of toegankelijk zijn van de (primaire) locatie en de bijbehorende materiële voorzieningen. Plan het worst case-scenario zodat de praktijk altijd meevalt.
  10. Verdere uitwerking:
    Werk het continuïteitsplan verder uit in het crisisteam. Formeer een kerngroep, laat deze periodiek bijeenkomen en werk het plan in subgroepen uit. Betrek, afhankelijk van het thema, specialisten (collega’s) erbij. Denk ook aan communicatie en crisisorganisatie en stel duidelijke taken en verantwoordelijken op. Het kernteam coördineert de verschillende afhankelijkheden tussen de verschillende disciplines die nodig zijn voor de herstelactiviteiten. Zorg dat bestaande crisisplannen, zoals plannen van de bedrijfshulpverlening en ICT- disaster­recoveryplannen, aansluiten bij de herstelactiviteiten.

Het verloop van een crisis 

Het verloop van een crisis (zie figuur 5) kent een viertal fasen plus een voorbereidende fase. Binnen iedere fase vinden verschillende processen plaats, voor iedere fase zijn verschillende maatregelen nodig.

899-figuur 5 bedrijfscontinuiteit

Escalatie- en alarmeringsprocedures dienen in de organisatie breed gecommuniceerd te zijn. Daarbij is het belangrijk te weten wie er gealarmeerd kan worden, via welke kanalen dit gebeurt en wie er geautoriseerd is om externe partijen te alarmeren. Voor het melden van calamiteiten zijn er procedures opgesteld. Die zijn te vinden in een Ontruiming- en evacuatieplan

Bedrijfscontinuïteit hoeft niet ingewikkeld te zijn, als het maar vanuit de business wordt benaderd

Elke betrokken medewerker of bepaalde functie heeft een taak ten tijde van een calamiteit. Deze taak is bij eenieder bekend. Als een calamiteit van een zo’n grote aard is dat er meerdere hulpverleningsvoertuigen, zoals bijvoorbeeld de brandweer, aanwezig zijn, dan wordt het commando overgenomen door de Officier van Dienst.

Op het moment dat de crisis beheerst is, kunnen de herstelactiviteiten beginnen. Dit hoeft niet langer onder de aansturing van het crisisteam te gebeuren. Hierdoor kan men geneigd zijn om het hoofdstuk ‘crisis’ af te sluiten en het boek dicht te doen. In de evaluatie van de crisisbijeenkomst zal afgestemd worden welke nazorgelementen van belang zijn en welke functionaris/afdeling daarvoor verantwoordelijk is. Nazorg kan bestaan uit bijvoorbeeld het nabellen van iemand die letsel heeft opgelopen, het verwerken van claims, schades, informeren van belanghebbenden bij preventieve maatregelen, et cetera.

Review en evaluatie

Van elke crisis kan je leren en iedere crisis moet dan ook afgesloten worden met een review en evaluatie. Het is belangrijk alle betrokkenen te verzoeken verbeterpunten aan te geven en aan de hand van het logboek het gehele crisisbeheersingsproces te analyseren. Essentieel is dan dat de verbeteringen die hieruit voortkomen ook daadwerkelijk doorgevoerd worden.

Aanbevelingen

  • Om het BCP te implementeren moeten de directie en het management met de nog aan te stellen beheerder van het BCP ervoor zorgen dat het plan bekend wordt gemaakt aan relevante medewerkers en externe partijen.
  • Het management moet een verantwoordelijke functionaris aanstellen om het BCP te onderhouden.
  • Bijlagen met NAW-gegevens van de deelnemende teams en andere belangrijke instanties/bedrijven moeten volledig ingevuld worden in samenwerking met MT-leden en aan het BCP toegevoegd worden.
  • Om voldoende bewustwording te realiseren is het raadzaam om binnen drie maanden na accordering van de directie van het BCP een crisis-oefentest te organiseren met een frequentie van één keer per jaar. 

 Voetnoten

1    De vier VUCA-factoren volatiliteit (beweeglijkheid), uncertainty (onzekerheid), complexiteit en ambiguïteit creëren gezamenlijk een onstabiele en snel veranderende wereld.

Proefabonnement?
Dit artikel maakt deel uit van het online kennisplatform FLINK. Op FLINK vind je niet alleen de artikelen uit de Beursbengel, maar ook andere informatie voor de verzekeringsprofessional, zoals whitepapers, blogs, webinars en video's. Nog geen abonnement op FLINK? Neem dan nu een (proef)abonnement.

Herman Biallass2

H. (Herman) Biallass RRM

De auteur is specialist Riskmanagement & Insurance bij Boels Rental te Sittard en lid van het Genootschap voor Risicomanagement (GvRM). 
Dit artikel is op persoonlijke titel geschreven.

Andere artikelen: Editie 899 - November 2020

-->