Cyberaanvallen, ICT-storingen, extreem weer zijn factoren die bedrijfsprocessen ernstig kunnen verstoren. Business Continuity Management (BCM) is een essentieel bedrijfsproces, want het houdt je bedrijf draaiende als er iets misgaat. NEN-ISO 22301 is de norm voor een solide business continuity managementsysteem die 163 landen hanteren. Oorspronkelijk komt de norm uit het Verenigd Koninkrijk, waar onheil zich begin deze eeuw verkondigde met overstromingen en de gekkekoeienziekte.
De Britse overheid verplichtte onder meer overheidsorganisaties een BCM Systeem in te richten en uit te dragen. In Nederland wordt sinds 2012 de norm bewaakt en de focus bepaald door de BCM-normcommissie van het NEN (Nederlands Normalisatie-instituut) met daarin leden van verschillende organisaties, onder andere van energiebedrijven, supermarkten en banken. Ze monitoren wat beter kan, bieden instructies en technische specificaties en bepalen of normuitbreiding noodzakelijk is. Voorzitter Gert Kogenhop verwacht in 2017 verversing van de norm met veel veranderingen.
BCM
Voor 2012 hielden vooral grote bedrijven zich bezig met business continuity management. In 2011 stelde De Nederlandsche Bank de richtlijn Financiële Kerninfrastructuur op voor banken en verzekeraars. Volgens Kogenhop is het grootste risico voor bedrijven ICT-uitval. Toch ziet hij niet vaak een interne sense of urgency bij Nederlandse bedrijven om iets aan business continuity management te doen. “Vaak eist hun grootste klant dat ze aan de ISO-norm voldoen of bedrijven doen er wel aan, maar moeten hun systeem nog in de ‘norm gieten’.” Bij een wereldwijd opererende bank is het eerder noodzakelijk de norm te hanteren dan bijvoorbeeld bij kleine of middelgrote (familie)bedrijven met sterk betrokken medewerkers. “Business Continuity Management is een essentieel bedrijfsproces dat eigenlijk uit de koker van de directie of aandeelhouders zou moeten komen. Nu komt het voornamelijk van klanten.”
Strakgetrokken supply chain
Een grote supermarktketen wil bijvoorbeeld niet afhankelijk zijn van een leverancier, omdat bij niet leveren de bedrijfscontinuïteit in gevaar komt. Kogenhop wijst erop dat we tegenwoordig te maken hebben met een strakgetrokken supply chain die geen vertraging meer duldt. Een supermarkt wordt niet meer drie keer per week, maar drie keer per dag bevoorraad. Als een supermarkt uitbreidt, is het gebouw niet groter geworden, maar het magazijn bij de winkel getrokken. Er hoeft immers minder te worden opgeslagen. In vervlogen tijden was de consument al blij als een zending uit de Verenigde Staten binnen twee weken was geleverd of iets later kwam. Nu bieden webshops diezelfde avond bezorging aan als je voor tien uur ’s morgens bestelt. “Nu ben je boos als dat niet lukt. Het verwachtingspatroon is veranderd, maar er hoeft maar een ding mis te gaan en dan krijg je het niet.” Die verwachtingen doet de consument zichszelf aan en BCM denkt daarover na. Bedrijven vervroegen bijvoorbeeld hun productieproces om maar op tijd te kunnen leveren.
Helft organisaties gebruikt ISO 22301
Een kwart van de organisaties voeren helemaal geen risicoanalyses voor de lange termijn uit, een derde doet niets met de resultaten en de helft gebruikt ISO 22301 niet, blijkt uit het Horizon Scan Report 2016 dat eind 2015 onder 568 organisaties in 74 landen is gehouden. De baas van de Britse standaardorganisatie kan zich moeilijk voorstellen dat investeerders en klanten van deze organisaties hier gerust over zijn. Volgens hem moeten organisaties erkennen dat waar risico’s zijn, ook kansen liggen door gebruik te maken van die norm. Niet alleen om te overleven, maar ook om te bloeien en hun imago en reputatie te verbeteren. Verder blijkt uit het rapport dat grote bedrijven (74 procent) meer geneigd zijn trendanalyses te doen dan het midden-en kleinbedrijf (58 procent). Sectoren die meer willen investeren in bedrijfscontinuïteit zijn de maakindustrie, retail en ICT/telecom. Minder investeringen worden verwacht in onderwijs, gezondheidszorg en overheid. De sectoren die de ISO 22301 overnemen zijn vooral telecom/ICT, dienstverlening en de financiële sector.
Grote continuïteitsrisico’s
De ISO-norm zorgt ervoor dat bedrijven in kaart brengen wat er kan gebeuren (brand, ICT-uitval etc.) en wat minimaal nodig is aan omzet, klanten en machines om bedrijfsdoelstellingen te halen. De administratie doet in- en uitgaande facturen, belastingen en salaris, maar is dat allemaal even belangrijk? Je kunt bij een calamiteit ervoor kiezen uitgaande facturen wel te blijven doen. “Een callcenter kan acceptabel van tien naar vijf mensen, maar een krantendrukkerij draait niet zomaar op halve kracht. Je bent afhankelijk van ICT, leveranciers en monteurs. De standaard is de gids.” Volgens Kogenhop is kennis vaak wel aanwezig bij bedrijven, maar maken ad-hoc-beslissingen het alleen maar erger. Zo ontstaan grote continuïteitsrisico’s. Het is dus belangrijk te weten wat de essentiële bedrijfsactiviteiten zijn. Als een supermarkt zich profileert op versproducten, moeten die aanwezig zijn. Luiers kunnen dan wel even wachten. Kogenhop beseft dat deze manier van denken ingaat tegen bedrijfsfilosofieën als lean en just in time of efficiënt inkopen. “Maar zo beheers je wel risico’s. Als slechts één persoon een machine kan repareren, vind ik dat uit continuïteitsperspectief een groot risico. Je moet niet te veel wegsnijden.”
Business continuity management
Bij business continuity management gaat het erom niet vanuit het negatieve te denken (wat kan er allemaal misgaan), maar vanuit het positieve (wat is minimaal nodig om je doelstellingen te behalen). Oplossingen liggen bijvoorbeeld in job rotation en meer verdeling van kennis en verantwoordelijkheden. Bij elke nieuwe investering moeten bedrijven actief nadenken over continuïteitsrisico’s. De norm biedt de mogelijkheid om veerkracht en weerstandsvermogen van je bedrijf te verbeteren. BCM en het bijbehorende certificaat zijn geen extra’s, het is een essentieel bedrijfsproces. Dat niet alle organisaties ermee werken noemt Kogenhop ‘onbewust onbekwaam’. Hij noemt een callcenter bij een verzekeraar waar alle computers op zwart gaan, maar de telefoons doorrinkelen. Veel medewerkers gaan dan met de handen over elkaar zitten, maar één weet dat vroeger met formulieren werd gewerkt. “Die bleken nog voor 90 procent te kloppen. Je kunt dan door en die informatie later met extra mankracht verwerken.” Het gaat bij BCM om drie dingen: afhankelijkheid, verrassing en de zaak onder controle hebben. “Het is belangrijk BCM verder te ontwikkelen. Om een zo breed mogelijk spectrum aan organisaties te kunnen bedienen is het wenselijk dat meer partijen zich melden voor deelname aan de BCM-normcommissie.”
