Bedrijfscontinuïteitsbeheer of Business Continuity Management (BCM) gaat over het zo optimaal mogelijk voorbereid zijn op het (on)verwachte en daarmee het vermogen van een organisatie om na een verstorend incident producten en diensten te kunnen blijven leveren op aanvaardbare, vooraf vastgestelde niveaus. Om dit te kunnen doen moeten we ons verdiepen in wat we doen, wat ons eventueel kan overkomen en welke keuzes we in geval van een incident of crisis moeten maken om tóch onze doelstellingen te kunnen halen. We moeten onszelf uitermate goed kennen en ook de mogelijke risico’s die we lopen in beeld hebben, om vervolgens te kunnen bepalen wat de beste strategie en oplossing is.
Door Gert Kogenhop, in samenwerking met zijn netwerk
Om onze organisatie te doorgronden vanuit een continuïteitsperspectief voeren we een bedrijfsimpactanalyse uit. Het is een inventarisatie van alle activiteiten die de levering van onze producten en diensten ondersteunen en mogelijk maken en de vaststelling van de impact in de tijd gemeten van het niet kunnen uitvoeren van deze activiteiten. Denk hierbij aan impact op het gebied van veiligheid (mensen, product of omgeving), harde euro’s (schade, omzetverlies of extra kosten), klanttevredenheid of merk/reputatie. Op deze manier kunnen we analyseren welke activiteiten meer kritisch zijn dan andere en aldus een prioritering voor herstel bepalen. Via een beoordeling van alle mogelijke bedreigingen en de huidige staat van mitigerende maatregelen, kunnen de risico’s worden bepaald die voor ons actueel en reëel zijn. Deze twee uitkomsten, welke risico’s loop ik en wat is de prioritering van herstel van mijn activiteiten in geval van een ernstige verstoring, leiden tot de bepaling van mijn herstelstrategie en het uiteindelijke Plan B, het bedrijfscontinuïteitsplan (BCP).
Zoals de beroemde Chinese militair strateeg Sun Tzu dat vele eeuwen geleden al omschreef: “If you know the enemy (mijn risico’s) and know yourself (mijn kritische geprioriteerde activiteiten), you need not fear the result of a hundred battles.”
Onze strategie is gericht op het verkleinen van de kans op en gevolgen van het risico en tegelijkertijd het verminderen van de impact op ons functioneren, wanneer de kritische activiteiten worden verstoord. Maar wanneer ‘het’ dan toch gebeurt, willen we zo optimaal mogelijk voorbereid zijn. Dat doen we met een BCP.
Geen nieuwe risico’s
Oplossingen zijn over het algemeen niet ideaal, soms zelf alleen maar noodoplossingen. We hebben ze echter wel nodig. Het is van het grootste belang dat we door de gekozen oplossingen geen nieuwe risico’s toevoegen of zelfs grotere risico’s nemen dan we aankunnen. Dit betreft zowel mitigerend, als het om de risico’s en activiteiten gaat, als wanneer het om Plan B gaat. Het middel moet niet erger zijn dan de kwaal. Uitwijken naar een alternatieve locatie, het werk door anderen laten uitvoeren of met andere machines, gereedschappen of applicaties, moet vooraf beoordeeld worden en vanzelfsprekend geoefend en getest. Dit is bedrijfsspecifiek, maar hieronder volgen een paar recente voorbeelden – sommige ‘corona-crisis’ specifiek – waar eenieder zijn of haar voordeel mee kan doen.
In een uitwijklocatie van een vleesverwerkend bedrijf zijn de medium- en high-care-afdelingen (voedselveiligheidseisen) niet zo goed geregeld als in de eigen locatie, waardoor risico’s op bacteriële besmettingen (Listeria, E. coli, Salmonella, …) op een wellicht onacceptabel niveau komen.
In de uitwijklocatie van een verzekeraar mixt het eigen personeel met personeel van de andere huurder in hetzelfde pand. Wanneer we een gebouw als geheel huren kunnen we de toegangsbeveiliging optimaal inregelen. In de nieuwe situatie wordt single-tenant in dit voorbeeld multi-tenant. Dit moet leiden tot extra beveiligingsmaatregelen en faciliteiten op verdiepingen en met betrekking tot toegang tot specifieke ruimten (ICT), zoals badge readers. Het gevolg kan zijn dat er extra investering moeten worden gedaan en een ongewenste implementatietijd ontstaat, leidend tot vertragingen.
Tijdens de coronacrisis werden in gebouwen andere looproutes ingesteld. Hierdoor ontstonden er vaak ‘lekken’ in de beveiliging, doordat er deuren werden opengezet die eigenlijk dicht moeten blijven. Door de genomen maatregelen in het gebouw werd het besmettingsrisico dan wel verlaagd, maar diezelfde maatregelen vormden wel een nieuw risico. Het risico op inbraak of insluiping werd namelijk sterk verhoogd. Hieraan gerelateerd, doordat gebouwen in bepaalde gevallen niet meer open zijn voor bezoek, of zelfs in zijn geheel gesloten worden, valt ook het onderhoud stil. Dit houdt een zeker gevaar in. Denk hierbij aan de staat van de veiligheids- en beveiligingssystemen en onderhoud aan de brandmeldinstallatie (verplicht conform bouwbesluit, licence to operate). Worden alle systemen die belangrijk zijn voor de continuïteit van de organisatie nog wel getest?
Wanneer organisaties met betrekking tot coronamaatregelen een 2G-toegangsbeleid (moeten) invoeren kan dit leiden tot een tekort aan personeel, daar niet iedereen voldoet aan de dan gestelde toegangseisen. Voor die enkele medewerker die wel op kantoor werkt kan een persoonlijk veiligheidsrisico ontstaan. Doordat slecht één of enkele personen aanwezig zijn, is er minder sociale controle. Wanneer een persoon onwel wordt, kan een zeer ongewenste situatie ontstaan (Dit geldt overigens ook als men alleen thuis aan het werk is…). Is de bedrijfshulpverlening op orde voor de mensen die nog wel op kantoor werken? Is er nog wel een BHV-er aanwezig?
Eveneens duidelijk is dat het (moeten) verbieden van interne en externe fysieke bezoeken van of aan klanten kan leiden tot verlies van omzet en mogelijk zelfs klanten.
Gemankeerd beveiligingsniveau
Een belangrijk, en niet door iedereen doordacht of zelfs vooraf bedacht risico is gelegen in de staat van beveiliging van het thuiswerken. Het beveiligingsniveau van het wifi-netwerk, de werkplek en de woning van medewerkers is niet te vergelijken met onze kantoor- of fabrieksomgeving. Het printen, bewaren, vernietigen en scannen van bijvoorbeeld klantinformatie van een bank is zeker niet op het vereiste niveau in de thuisomgeving (denk aan de Algemene Verordening Gegevensbescherming – AVG). Bij een architectenbureau werden dure softwarelicenties van kantoor overgebracht naar thuiswerkplekken, onder tijdsdruk, zonder adequate controle. Dit kan leiden tot informatieverlies of mogelijk diefstal (cybercrime). Op dit gebied zijn helaas ook veel voorbeelden te noemen van informatiebeveiligingssoftware die juist als mitigerende maatregelen zijn ingevoerd in dit kader en die juist zorg(d)en voor problemen, zoals recent het incident rond Log4J.
Een greep uit ervaringen en bevindingen die helaas nog vele andere dimensies kent. Wellicht zet het u aan het denken over uw eigen organisatie en werkomgeving.
Gert Kogenhop (Hon.) MBCI, bcm+.
bcm+ helpt u middels training, consultancy en implementatiebegeleiding uw eigen business continuity plan te ontwikkelen. Kijk voor meer info op www.bcmplus.nl of mail met: gk@bcmplus.nl
Beeld boven artikel: Thuiswerken vormt ook een bedrijfsrisico – in meerdere opzichten.