Maak een Business Continuity Plan in 6 stappen
Een serie blogs over risicomanagement.
Het zal u niet ontgaan zijn. We bevinden ons wereldwijd in een crisis. Ook voor vele bedrijven in allerlei bedrijfstakken, van ZZPer en MKB tot multinational is het bijzonder spannend. Voor vele bedrijven is het inmiddels een echte continuïteitscrisis.
Door Rob van Erp en Wim Pauw. Van Erp is hoofd Corporate Risk bij Stedin. Pauw is partner bij Gilde van Adviseurs. Beide zijn ook universitair docent en trainer.
De Kamer van Koophandel deed een peiling onder ruim 3000 respondenten, begin april. Driekwart gaf aan dat hun positie in april verder achteruit zou gaan. Tachtig procent van de ondernemers ziet de toekomst somber in en verwacht dat ze flink zullen inleveren. Slechts een hand vol voorziet weinig problemen door de crisis.
Continuiteitscrisis
Is het dan nu te laat om nog een Business Continuity Plan (BCP) op te stellen? Nee, het is nooit te laat om een BCP op te stellen. De enige uitzondering op die stelling is wanneer u de deur écht voor de laatste keer achter u dicht trekt.
Uit een onderzoek blijkt dat bijna een kwart van de grote bedrijven niet volledig is voorbereid op een calamiteit en van het MKB heeft 80 procent nog geen BCP. Een ander onderzoek laat zien, dat de helft van de bedrijven die getroffen worden door een grote calamiteit zoals bijvoorbeeld brand, deze schade nooit meer te boven komt.
De gevolgen van de Corona crisis zijn nog erg slecht in te schatten, maar het lijkt erop dat een flink aantal organisaties de crisis niet doorkomt zonder massale (staats)steun.
Corona en BCM
Het werkterrein van Business Continuity Management (BCM) is de risico’s van het onderbreken van de reguliere werkzaamheden. Vereenvoudigd is dat het niet beschikbaar zijn van de systemen, het kantoor of de werknemers, om welke reden dan ook. Vanuit dat perspectief doet het er niet toe waaróm de mensen niet naar de werkplek kunnen komen (er kan een overstroming zijn of brand geweest), maar hoe je organiseert dat je bedrijf zo goed mogelijk kan doordraaien.
Soms is het goed niet te lang te blijven hangen in het bedenken van allerlei theoretische oorzaken, maar te focussen op je alternatieven mocht een onderbreking zich voordoen.
Richt je op impact beperking als de gebeurtenis inmiddels een gegeven is.
Maar wat als u nou helemaal nog niet aan BCM doet. Hoe begin je? Waar moet je in ieder geval aan denken? Moet u dure externe consultants inhuren voor het starten van BCM of het opstellen van zo’n BCP?
Doe bij voorkeur een Business Impact Analyse (BIA) vóórdat de crisis er is
De start van een regulier BCM proces is veelal een Business Impact Analyse; bepaal wat de kernprocessen zijn van de organisatie: wat is de echte kern van wat we doen? Waar verdienen we ons geld mee? Wat hebben onze klanten écht nodig? Kortom: Waar zit de waarde van het bedrijf! Dat zijn de processen waardoor de organisatie het meest geraakt wordt bij uitval.
En als die processen dan zouden uitvallen, om welke reden dan ook, hoe lang duurt het dan voordat die impact te merken is? Veel bedrijven kunnen prima een half uurtje zonder stroom, sommige een hele dag en andere nog geen 10 seconden. Als de medewerkers niet naar het pand kunnen komen, is dat dan al op de eerste dag funest of pas na twee weken? Het aantal kernprocessen is overigens vaak op één hand te tellen, de andere processen zijn dan wel belangrijk; maar daar moet bij een grote uitval niet de eerste aandacht naar toe. Dit overzicht maak je bij voorkeur als er nog geen crisis is. Een overzicht van de kernprocessen en de maximale toelaatbare uitval is de kern van je Business Continuity Plan.
Het Business Continuity Plan
Het Business Continuity Plan, BCP, is het draaiboek waarin dus met name maatregelen worden vastgelegd welke moeten worden genomen, nadat een calamiteit zich voordoet. Dat betreft dan dus het voorkomen van slachtoffers, maar ook de continuïteit van uw organisatie en uw bedrijfsprocessen, zoals hiervoor al aangegeven.
1. Start met een BIA en leg de kernprocessen vast.
2. Daarna een inventarisatie van gebeurtenissen die uw bedrijfscontinuïteit ernstig in gevaar kunnen brengen. Denk daarbij aan zaken als schade aan gebouwen of machines. Maar ook aan automatisering en uitval van de keten van dienstverlening waarvan u onderdeel bent.
Een wereldwijd virus is uiteraard ook een van de mogelijke gebeurtenissen die uw organisatie flinke schade kan berokkenen, want vele organisaties staan inmiddels niet meer op zichzelf en zijn onderdeel van een (wereldwijde) keten. Daarnaast zijn er meer en meer werkzaamheden uitbesteed. Denk aan ICT of bepaalde productiecapaciteit.
Onderdeel zijn van een keten kan een oorzaak zijn van continuiteitsproblemen (brand bij een leverancier) maar ook een deel van de oplossing (extra opslagruimte bij het afbranden van uw eigen loods).
TIP: inventariseer enkel gebeurtenissen met een mogelijke kans van optreden. Een aanval van buitenaardse wezens is leuk om op vrijdagmiddag over na te denken, maar de kans van optreden is bijzonder klein.
3. Een volgende inventarisatie die u niet moet vergeten is het identificeren van SPOF’s: Single Point Of Failure. Denk daarbij aan die ene enkele machine die cruciaal is voor uw bedrijf of die ene medewerker die eigenlijk niet op vakantie kan omdat hij unieke kennis heeft die niemand anders in het bedrijf heeft.
4. De volgende stap is het inventariseren van alle reeds aanwezige maatregelen zoals een BHV plan of heel simpel de afgesloten verzekeringen.
TIP: voor aanvullende maatregelen hoeft u enkel te zoeken in de categorie van correctieve maatregelen. Omdat het BCP pas in werking treedt als de crisis of ramp een feit is hoeft u geen maatregelen te treffen die de kans van optreden kleiner maken of voorkomen. Dat is namelijk risicomanagement, een andere blog.
5. De voorlaatste stap is het daadwerkelijk opstellen van een BCP. Het BCP bevat vervolgens alle kernprocessen, de geïnventariseerde gebeurtenissen, SPOF’s, getroffen maatregelen en extra benodigde maatregelen die bedacht zijn naar aanleiding van alle inventarisaties.
6. De laatste stap, die helaas veel organisaties vergeten of veronachtzamen, is: testen, oefenen, evalueren en bijstellen.
Overigens: ook tijdens een (langer lopende) crisis is het voortdurend reflecteren van grote waarde: vraag je regelmatig af of je de juiste beslissingen aan het nemen bent door even afstand te nemen. Dat kan juist ook door vreemde ogen eens mee te laten kijken. Dat kan zelfs een bedrijf uit dezelfde sector zijn; van elkaar helpen in crisistijd wordt niemand slechter!
De blogs in deze serie:
- Risicomanagement is een hoofdzaak
- Maak een Business Continuity Plan in 6 stappen
- De ezel, de steen, en de risicomanager
- Geef zekerheid aan het onzekere
- Bloeien de mooiste bloemen écht aan de rand van het ravijn?
- Effectieve security awareness: woorden, daden, herhaling
- Ga diep!
(foto: Hans Braxmeier, Pixabay)