Business Continuity Management (BCM) richt zich op het zo optimaal mogelijk voorbereid zijn op het onverwachte en zorgt er voor dat u onder (bijna) alle omstandigheden uw producten en diensten kunt leveren. Risicomanagement is hier vanzelfsprekend een wezenlijk onderdeel van. U zou de link met kwaliteitsmanagement simpelweg kunnen leggen door te stellen dat wanneer u BCM niet geregeld heeft en vervolgens niet kunt leveren als gevolg van een incident, u geen kwaliteit levert. Bovendien wordt binnen kwaliteitsmanagement ook gesproken over ‘Riskbased thinking’. Wat is de relatie in dit geval?
Door Gert Kogenhop, bcm+
Er is en wordt behoorlijk veel geschreven en gesproken over wat dat ‘Risk-based thinking’ binnen de norm ISO 9001 – Kwaliteitsmanagement, precies inhoudt. De hoofdlijnen zijn volgens de ingewijden:‘Zorgen dat bij alles wat u doet, van het begin tot het eind, u rekening houdt met de risico’s daarvan’ en ‘Preventie onderdeel maken van de strategie en de plannen’.
Het gaat om het balanceren tussen risico’s en mogelijkheden (Risks and Opportunities): wat is acceptabel en wat niet? Het uitvoeren van een risicoanalyse is echter geen verplicht onderdeel van kwaliteitsmanagement in dit kader. Volgens Charles Corrie, Committee Secretary van ISO 9001, heeft het ‘risico denken’ altijd al in de kwaliteitsnorm gezeten, maar is het nooit expliciet benoemd. Hij geeft aan dat risico moet worden beoordeeld met betrekking tot drie gebieden: Het niet voldoen van de producten en diensten aan de vereiste specificaties, het niet bereiken van de gewenste klanttevredenheid en het niet effectief zijn van het kwaliteitsmanagementsysteem.
De relatie tussen BCM en kwaliteit is in dit kader dan eenvoudig te noemen: Het niet (kunnen) leveren leidt tot het niet voldoen aan de afspraken en vervolgens tot klantontevredenheid. Het uitvoeren van een risicobeoordeling – middels het in kaart brengen van uw kwetsbaarheden en bedreigingen om vervolgens uw risico’s te bepalen en hiernaar te handelen – valt binnen de scope van BCM en staat expliciet vermeld als eis in de norm ISO 22301. Het is een logische aanvulling op het serieus nemen van risk-based thinking, zoals bedoeld binnen kwaliteitsmanagement. Voorts wordt binnen BCM gebruikgemaakt van een Business Impact Analyse, om onder andere te bepalen welke activiteiten en processen het meest kritisch zijn en de prioritering tijdens herstel tijdens/na een ernstige verstoring.
Ook hier is een logische link te leggen met het kwaliteitsmanagementsysteem, daar hierin de activiteiten en processen zijn beschreven. Een één op één link aldus, die waarde toevoegt aan beide systemen.
Kwaliteit en continuïteit gaan hand in hand en het is goed te zien dat ISO naast het uniformiseren van de normen conform de High Level Structure, tevens tracht deze optimaal op elkaar te laten aansluiten. BCM regelen ís kwaliteit leveren en tevens maatschappelijk verantwoord ondernemen.