Business Continuity Management (volgens ISO 22301), als wapen tegen onvoorziene omstandigheden

Het coronavirus heeft België en zowat de hele wereld in zijn greep. Deze onverwachte en initieel ongekende verstoorder heeft het dagelijks leven van mensen en bedrijven drastisch door elkaar geschud.  Deze onzekere en woelige crisistijden brengen een pak zorgen en uitdagingen met zich mee. We beseffen nu meer dan ooit dat we beter voorziend en gewapend moeten zijn tegen onvoorziene omstandigheden om continuïteit in onze bedrijfsvoering te kunnen garanderen. Dergelijke onverwachte situaties en verstoringen in de markt kunnen immers ernstige gevolgen hebben voor de resultaten en de reputatie van een organisatie. Net zoals Covid-19 zijn er vele andere bedreigingen die onze business kunnen verstoren, zoals het falen van IT infrastructuur door een cyberaanval, langdurige stroomuitval, terrorisme, langdurige stakingen, overstromingen, enzovoort.

 

Business Continuity Management omvat een proactieve aanpak die een organisatie in staat stelt om zich voor te bereiden en een antwoord te bieden op mogelijke incidenten en onderbrekingen van haar bedrijfsactiviteiten. Het doel is om de gevolgen van de verstoring van bedrijfsactiviteiten te minimaliseren en continuïteit te voorzien, zodat men steeds op een aanvaardbaar niveau kan blijven voldoen aan de eisen van de klanten en andere stakeholders.

 

Voor het gestructureerd opzetten en organiseren van Business Continuity Management werd door ISO een Internationale standaard opgesteld, namelijk ISO 22301:2019. Deze norm omvat concrete eisen en is derhalve ook certificeerbaar. Wereldwijd zijn hiervan al een paar duizend certificaten in omloop. Hierna werd aanvullend een richtlijn geschreven (ISO 22313:2020) met wat verduidelijkingen. ISO 22301 is gebaseerd op de High Level Structure, en heeft dus dezelfde indeling en look & feel zoals we die kennen van de ISO 9001 en ISO 14001. Met andere woorden een Plan-Do-Check-Act aanpak en identieke indeling (context, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering). De specifieke en essentiële elementen zijn opgenomen in het hoofdstuk uitvoering (hoofdstuk 8 van de norm).

Deze kunnen samengevat worden in een 5 stappenplan:

 

  1. Business Impact analyse

Er dient een analyse gemaakt te worden van de mogelijke kwalitatieve en kwantitatieve impact die een organisatie kan oplopen ten gevolge van een bepaalde gebeurtenis of incident. Dit omvat onder meer de impact op de financiële resultaten en andere bedrijfsdoelstellingen, impact op haar reputatie, beïnvloeding van operaties en doorlooptijden alsook het voldoen aan wettelijke en contractuele eisen. Op basis van deze analyse kan ingeschat worden welke producten, diensten, processen en functies kritisch en prioritair zijn, alsook welke de belangrijkste afhankelijkheden zijn (zoals bijvoorbeeld volledige afhankelijkheid van één leverancier voor een kritische grondstof). In deze analysefase wordt tevens bepaald wat de tijdsschema’s zijn of zouden moeten zijn.  Voorbeelden hiervan zijn het bepalen van de maximaal getolereerde periode van verstoring (na deze periode wordt de impact onacceptabel) en de nodige herstelperiode om terug up & running te zijn.

 

  1. Risicobeoordeling

Het doel van de risicobeoordeling is om de organisatie in staat te stellen haar risico’s te identificeren, analyseren en evalueren die te maken hebben met het mogelijks verstoren van haar prioritaire activiteiten (zoals bepaald in de impact analyse).

 

Risicobeoordeling is een gestructureerd proces die een antwoord tracht te formuleren op enkele fundamentele vragen, zoals:

– Wat zou er kunnen gebeuren?

– Hoe groot is de kans dat dit gebeurt?

– Wat kunnen de gevolgen zijn?

– Is er iets dat de waarschijnlijkheid van voorvallen zou kunnen reduceren (preventief) of de gevolgen zou kunnen matigen (curatief)?

 

  1. Bepalen van de continuïteitsstrategie

Op basis van de twee voorgaande stappen dient bepaald te worden welke strategieën worden geselecteerd en welke opties worden overwogen vóór, tijdens en na het incident of ongewenste gebeurtenis. Dit omvat het bepalen van specifieke werkmethoden, procedures, back-up regelingen, afspraken met derden, opsplitsen of ontdubbelen van activiteiten en locaties, kennisbeheer, aanleggen bufferstocks,…

Voor elk van de strategieën dient bepaald te worden welke middelen dit vereist (personen, financiële middelen, ICT systemen, partners, materiaal,…). De gekozen methoden dienen geïmplementeerd en onderhouden te worden zodat ze kunnen geactiveerd worden wanneer dit nodig blijkt.

 

  1. Reageren op incidenten en noodsituaties

Er dient bepaald te worden wat er moet gebeuren ingeval daadwerkelijk een incident optreedt. Er dienen met andere woorden business continuity plannen opgesteld te worden die beschrijven hoe de organisatie zal  reageren op de omstandigheden en welke maatregelen men neemt om bedrijfscontinuïteit te garanderen.

Hierin staat onder meer wat er moet gebeuren, hoe moet het gebeuren, wie wat doet, wie waarover communiceert en met welke stakeholders,….

 

  1. Oefeningen organiseren en bijsturen waar nodig

Oefenprogramma’s dienen te worden opgesteld en geïmplementeerd om periodiek te testen en te valideren of de bepaalde strategieën en plannen werken en daadwerkelijk effectief zijn.

En last but not least dienen de nodige aanpassingen te worden doorgevoerd, om te borgen dat het systeem en de bijhorende documenten levend worden gehouden. Een Business Continuity Plan die niet mee evolueert of onvoldoende geoefend wordt, is al snel achterhaald en heeft weinig toegevoegde waarde.

We kunnen dus maar beter voorbereid zijn, voor het geval een nieuw virus ons te pakken krijgt.

 

Auteur: Joerdi Roels