Business continuity management

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Business continuity (Bedrijfscontinuïteit) kan worden omschreven als het vermogen van een organisatie om te plannen voor en te reageren op incidenten met als direct gevolg een ernstige verstoring van de organisatie, om zodoende te waarborgen dat men operationeel op minimaal een van tevoren vastgelegd niveau kan functioneren. Business Continuity Management (BCM) (Bedrijfscontinuïteitsbeheer) dientengevolge is het complete management proces dat mogelijke gevaren met betrekking tot de continuïteit van de bedrijfsvoering vaststelt en een kader schept voor het opbouwen van weerstandsvermogen en veerkracht. Door effectief reageren worden de organisatiebelangen, de reputatie alsmede het merk bewaakt. Tevens wordt de uitvoering van de waarde creërende activiteiten gewaarborgd. [1]

Samenhang tussen maatregelen[bewerken]

Het product van Business continuity management bestaat uit een samenhangend stelsel van maatregelen, die zowel preventief, detectief, repressief als correctief werkzaam zijn. In preventieve zin hebben maatregelen tot doel te voorkómen dat zich situaties voordoen die de continuïteit van de organisatie kunnen aantasten. En indien een risico manifest is geworden, zorgen detectieve maatregelen ervoor dat zo spoedig mogelijk bekend wordt dát een bedreiging zich voordoet. Om de bedreiging zo snel mogelijk te stoppen en de gevolgschade zo veel mogelijk te beperken treden repressieve maatregelen in werking. Correctieve maatregelen zorgen er vervolgens voor dat de bedrijfsprocessen weer binnen acceptabele periode hersteld kunnen worden.

Organisatiebrede aanpak, holistisch[bewerken]

BCM gaat de gehele organisatie aan. In twee stappen wordt de organisatie geanalyseerd. Men gaat uit van de voor de organisatie belangrijkste producten en/of diensten. Nadat deze zijn vastgesteld worden alle activiteiten tegen het licht gehouden en die activiteiten geselecteerd, die een directe bijdrage leveren aan het tot stand komen van de belangrijkste producten en/of diensten middels een Business Impact Analyse (BIA). Deze activiteiten worden geanalyseerd en beoordeeld op gevoeligheid voor een aantal van tevoren vastgestelde bedreigingen, zoals de impact op persoonsveiligheid, productkwaliteit, financiële impact in de vorm van omzetverlies of schade of impact op de klanttevredenheid. Op deze wijze prioriteert men alle activiteiten en komen de meest kritische activiteiten naar voren en tegelijkertijd welke activiteiten best wel even kunnen stilliggen in geval van een calamiteit. De Risico Analyse (RA) geeft inzicht in welke bedreigingen voor de onderneming reëel zijn, algemeen voorkomende bedreigingen zoals stroomuitval of ICT storingen, bedreigingen behorend bij de aard van de activiteiten (advocatenkantoor of chemieconcern) en de vestigingsplaats (nabij water, het spoor, vliegveld, tankstation aan de overkant of chemiebedrijf als buurman). Het gaat hier om de kans en de mogelijke impact van het feit dat een bedreiging een ernstige verstoring veroorzaakt, het risico. Niet alle risico’s kunnen vanzelfsprekend worden uitgesloten. Er zal altijd een “restrisico” blijven. Vervolgens wordt besloten “Wat te doen” en nog belangrijker en uitermate krachtig: “Hoe kunnen we het weerstandsvermogen en de veerkracht van de organisatie verhogen?. Hoe kunnen we de kritische activiteiten minder kritisch maken en hoe kunnen we kans of de impact van een bedreiging verlagen?” Het vinden van soms eenvoudige mogelijkheden gedurende en na de implementatie van BCM in de organisatie levert een enorme toegevoegde waarde. De invulling met betrekking tot “Wat vervolgens te doen?” wordt in een belangrijke mate bepaald door een aantal factoren. Ten eerste welke activiteiten (met de juiste prioriteit) betreft het en vervolgens welke (en hoeveel) mensen en middelen zijn nodig om deze uit te kunnen voeren. Tevens is het van het grootste belang te weten wat de maximaal toelaatbare periode van de ernstige verstoring mag zijn, oftewel na welk moment in de tijd gemeten heeft doorgaan geen zin meer en kunt u beter energie steken in andere zaken. De laatste factor is het minimale activiteitenniveau waarop u tijdelijk kunt functioneren. U hoeft niet altijd direct 100% te functioneren, maar welk percentage dan wel, met welke machines en bezetting, welke producten of diensten voor welke klanten? Gaan bepaalde klanten voor, of wilt u uw producten in een bepaalde volgorde produceren of wilt u eerst bepaalde processen hebben draaien?


Standaard BS 25999 en ISO 22301 (ISO 22313)[bewerken]

Voor Business continuity management was vanaf november 2007 de British Standard 25999-2 (als opvolger van Pas56) de enige certificeerbare norm voor Business Continuity Management. Na publicatie van ISO 22301:2012 (Societal security – Business Continuity Management Systems – Requirements) in mei 2012 is de eerder genoemde British Standard in November 2012 ingetrokken. Naast ISO 22301 is er tevens een standaard ISO 22313:2012 (Societal security – Business continuity management systems – Guidance. Deze Eisen en Leidraad documenten zijn tevens in het Nederlands verkrijgbaar bij het Nederlands Normalisatie Instituut NEN.

Referenties[bewerken]

  1. ISO 22301, ISO, 2012