Elke bedrijfsleiding heeft vele zakelijke, morele en sociale verantwoordelijkheden waarvan ze zich in meer of mindere mate bewust is. Denk maar aan de al dan niet formele overeenkomsten die men moet nakomen ten opzichte van klanten, werknemers, aandeelhouders, de overheid,… Klanten willen vanuit het oogpunt van supply chain risk management zekerheden over het feit of hun leverancier hen ten allen tijden kan beleveren en leggen boeteclausules vast in hun contracten. Verzekeringsagenten willen weten hoe hun klant zal reageren moest er zich een incident in de onderneming voordoen en passen hun premies hierop aan. In de war for talent willen (toekomstige) werknemers zekerheden over hun loopbaan binnen een onderneming en stellen eisen aan hun werkgever. Overheden leggen steeds striktere wetgeving op voor ‘risicovolle' bedrijven. Kortom, diverse stakeholders maken zich, net als uzelf, zorgen over de continuïteit van uw organisatie.
De bezorgdheid van deze stakeholders is terecht: talrijke incidenten kunnen de continuïteit van de bedrijfsvoering van de organisatie bedreigen. Deze incidenten kunnen verwacht (denk maar aan aangekondigde stakingen) of onverwacht (bijvoorbeeld noodweer of cyberaanvallen) zijn en hun impact op de bedrijfsvoering kan verschillen. Één ding hebben ze gemeen: zonder een goede voorbereiding en respons kunnen ze ervoor zorgen dat uw organisatie niet verder kan functioneren, dat dus de ‘Business Continuity' in gevaar is.
Wat is BS 25999 – 1 en 2?
Business Continuity Management (BCM) is het managementproces waarmee Business Continuity opgezet, gemanaged en geïmplementeerd wordt in de organisatie.
Zoals voor andere managementsystemen bestaat er ook voor BCM een norm: BS 25999, de British Standard voor Business Continuity Management. Die bestaat uit 2 delen:
- Deel 1: ‘Code of Practice' waarin de best practices rond BCM worden beschreven om toe te passen in uw organisatie
- Deel 2: ‘Specification' waarin de eisen voor het BCM-systeem worden opgesomd. Dit deel kan gebruikt worden om het systeem op te bouwen en te laten certificeren.
In BS 25 999 worden zes elementen in de levenscyclus van BCM toegelicht. Onafhankelijk van de grootte of sector van de organisatie moeten deze zes fasen doorlopen worden om tot een volwaardig BCM-systeem te komen. Er is een sterke gelijkenis met de PDCA-cyclus van andere (ISO) managementsystemen, in die mate dat men ook streeft naar continue verbetering van het systeem en de verschillende fasen meerdere malen doorloopt.
In onderstaande figuur worden de 6 elementen en hun onderlinge relatie weergegeven. Elk van deze elementen wordt hieronder kort toegelicht.
BCM- programmamanagement
BCM-programmamanagement is het centrum van het BCM-proces. Het beschrijft enkele zaken die noodzakelijk zijn om het BCM-systeem te kunnen opbouwen: het toewijzen van taken en verantwoordelijkheden; het implementeren van BCM in de gehele organisatie en het voortdurende onderhoud van het systeem.
Begrijpen van de organisatie
In deze fase moet men de doelen van de organisatie, de verplichtingen ten opzichte van zijn stakeholders, het wetgevend kader en de omgeving waarin de organisatie zich bevindt, oplijsten. Bedoeling is om de kritische activiteiten in de bedrijfsvoering en mogelijke bedreigingen en hun impact te identificeren.
Bepalen van de BCM strategie
Gebaseerd op de resultaten van de vorige fases, kan de organisatie bepalen welke strategie per kritische activiteit men gaat volgen om de continuïteit van de organisatie te verzekeren. De keuze van de te volgen strategie zal afhankelijk zijn van de kosten van verschillende strategische opties, de kost van het niet uitvoeren van enige acties en hoe kritisch de activiteit is voor de gehele bedrijfsvoering. Bij het bepalen van de strategie moet men rekening houden met verschillende deelaspecten van bedrijfsvoering: personeel, technologie, informatie,… Voor elk van deze deelaspecten moet men een strategie voorzien.
Ontwikkelen en implementeren van de BCM response
De volgende fase bestaat uit het vertalen van de BCM-strategie in een incident response structuur. In deze incident response structuur worden de plannen en afspraken nodig om de BCM-strategie in geval van een incident uit te voeren, uitgewerkt en gedocumenteerd.
Inoefenen, onderhouden en herzien
De plannen en afspraken zoals uitgewerkt in de vorige fase moeten worden ingeoefend en onderhouden. Op basis van de ‘lessons learned' tijdens deze oefeningen worden de plannen verbeterd en worden ook mogelijke verbeteringen aan de vorige fasen geïdentificeerd.
Borgen van BCM in de cultuur van de organisatie
De zesde fase beoogt het borgen van BCM in de algemene cultuur van de organisatie. De norm stelt dat dit een noodzakelijke voorwaarde is voor het succes van BCM. Deze fase, die in de figuur ook rond de overige fasen wordt geplaatst, moet gedurende de vorige fasen mee worden uitgevoerd.
Voordelen
Het is duidelijk dat de mogelijkheid en bekwaamheid om te reageren op incidenten die de continuïteit van de organisatie kunnen bedreigen, op verschillende vlakken waarde zal toevoegen voor de organisatie. In eerste instantie zal men, door meer inzicht te hebben in de eigen organisatie, kritische processen en producten, procesverbeteringen kunnen aanbrengen of betere strategische keuzes kunnen maken. Naast de eigen organisatie zullen ook de verwachtingen die de verschillende stakeholders stellen aan de organisatie duidelijker worden, zodat men directer hierop kan inspelen.
Ook naar de markt toe zijn er een aantal voordelen: de verbeterde interne inzichten en het afstemmen van de bedrijfsstrategie hierop kunnen zorgen voor een concurrentieel voordeel ten opzichte van andere spelers op de markt.
Ook zal de algemene reputatie van de organisatie verbeteren, met mogelijk nieuwe klanten of andere opportuniteiten tot gevolg.
Zoals ook geldt voor sommige andere normen kan men een BCM-systeem opgezet volgens BS 25999-2 laten certificeren door een externe partij. Dit certificaat geeft een objectief bewijs van het voldoen van het BCM-systeem aan de eisen van BS 25999-2.
Word zelf ‘Expert in Risk Management'
Reeds meer dan tien jaar organiseert Amelior als enige een langlopende opleiding tot ‘Certified ISO 31000 Risk Manager'. Hierin wordt u de brede visie op risk management zoals voorzien in ISO 31000 bijgebracht.
Deze opleiding wordt zeer sterk geapprecieerd door de deelnemers. Eén van hen was Jo Maes, CFO en Risk Manager van Asco Industries. Dit is zijn getuigenis: “De door Amelior aangeboden opleiding heeft als verdienste terug te gaan naar de beginselen van risicobeheer, haar organisatie en de buy-in van het senior management. Zonder een goed geoliede organisatie zal risk management een ‘one man show' zijn en zonder de steun van de top van de onderneming wordt risk management dode letter. De beginselen van risk management en het verder uitdiepen van de verschillende soorten risico's werpen een verruimende blik op deze complexe materie die nooit af is en af kàn zijn. Een constante bijsturing is meer dan noodzakelijk. Voor alle professionals die in hun loopbaan al met risk management in aanraking zijn geweest is de opleiding een kans om up to date te blijven, voor al degenen die van risk management in de onderneming een aandachtspunt wensen te maken is deze opleiding een absoluut niet te missen basis om verder op te bouwen.”