Als de COVID-19-crisis ons de laatste twee jaren iets heeft geleerd dan is het wel dat we in de toeleveringsketen vaak een scherpe, just-in-time koers varen, met alle risico’s van dien. Ook blijkt dat we behoorlijk afhankelijk zijn van de flexibiliteit van onze medewerkers, die soms thuis kunnen werken en daar dan volledig afhankelijk zijn van IT-technologie en internettoegang, maar dat dit zeker niet in alle sectoren van de economie mogelijk is.
Door Gert Kogenhop, in samenwerking met zijn netwerk
De tekorten aan resources zijn voor de meesten voelbaar geweest en de beschikbaarheid is in vele gevallen nog steeds een uitdaging. De personeelstekorten door uitval van besmette, zieke mensen bleken mee te vallen in 2020 en 2021, maar zeker in de eerste maanden van 2022 merkten we dit wel door de torenhoge besmettingscijfers en de daaruit voortvloeiende quarantainemaatregelen. Wanneer door gebrek aan medewerkers gekozen moet worden wat we wel of niet (kunnen) doen, is een prioritering vóóraf erg wenselijk. Welke activiteit is kritisch voor ons en welke minder en kan wel even blijven liggen?
Twee recente herzieningen
Twee recente herzieningen van ondersteunende normen (Technical Specification) op het gebied van BCM zijn in dit kader de ISO 22318:2021 Security and resilience — Business continuity management systems — Guidelines for supply chain continuity management (SCCM) en de ISO 22317:2021 Security and resilience — Business continuity management systems — Guidelines for business impact analysis (BIA). Beiden zijn momenteel alleen in het Engels beschikbaar, maar bij voldoende belangstelling worden deze wellicht vertaald door NEN.
De focus van SCCM ligt op het vaststellen van de juiste inspanning binnen de toeleverketen van een organisatie als het gaat om continuïteitsmanagement. Het gaat ervan uit dat de organisatie die dit wil inrichten, de principes van BCM kent. Het is bedoeld om van toegevoegde waarde te zijn voor degenen die verantwoordelijk zijn voor de continuïteit van de toeleverketen voor alle middelen (resources) die de organisatie nodig heeft om haar producten en diensten te produceren en te leveren aan haar klanten. Omgekeerd geredeneerd is het ook relevant vanuit het leveranciersperspectief, zodat de organisatie zich kan voorbereiden om aan de continuïteitsverwachtingen van haar klanten te voldoen. Zeker interessant wanneer er een grote afhankelijkheid is van één of enkele grote klanten, wat in het MKB geregeld het geval is.
Organisaties vertrouwen erop dat middelen op tijd en conform overeengekomen kwaliteit en prijs worden geleverd om te kunnen produceren. Denk aan grondstoffen, verpakkingsmaterialen, informatie en gegevens, nutsvoorzieningen, machines en installaties, ICT-systemen en logistieke diensten, maar bijvoorbeeld ook tijdelijke arbeidskrachten. Dit wordt ‘upstream’ genoemd.
Organisaties vertrouwen er ook op dat ze hun producten en diensten aan hun klanten kunnen leveren, of die nu in de volgende schakel in de toeleverketen zitten of dat ze de eindgebruiker zijn. Productlevering en dienstverlening (bijvoorbeeld transport, software-implementatie of machine-installatie bij de klant) wordt uitgevoerd door de organisatie of door een derde partij onder de verantwoordelijkheid van de organisatie. Dit laatste wordt ‘downstream’ genoemd. Het niet op tijd leveren door een leverancier, zowel upstream als downstream, kan een bedrijfsverstoring veroorzaken. De organisatie moet balanceren tussen tegenstrijdige doelstellingen, met aan de ene kant kostenverlaging door met één leverancier in zee te gaan of het verlagen van buffervoorraden, terwijl aan de andere kant het continuïteitsrisico gemanaged moet worden.
De kleine witte pijlen in het model staan, zowel upstream als downstream, voor bijvoorbeeld transport en logistiek, software-implementatie en machine-installatie. Hier kun je als organisatie direct invloed op uitoefenen evenals op jouw leverancier (Tier 1), omdat dit de enige partijen in de keten zijn waar je een contract mee aangaat. Maar vervolgens dien je wel druk uit te oefenen op hen om datzelfde te doen richting hun leveranciers. Hoe dit aan te pakken is vervat in de richtlijn.
Vier opties
Als het gaat om strategieën en oplossingen zijn er vier opties, waarvan de makkelijkste en meest risicovolle is: Niets doen en pas reageren wanneer er iets misgaat. Optie twee is het verlagen van de afhankelijkheid en impact door bijvoorbeeld altijd meerdere leveranciers te hebben voor een middel, een hogere buffervoorraad of voor de financiële impact een goede verzekering af te sluiten.
De derde optie is uit te gaan van je eigen kracht, middels een continuïteitsplan. Bijvoorbeeld een alternatieve leverancier inschakelen als het nodig is of een contract afsluiten met een leverancier op ‘stand-by’ basis. De vierde optie is uitgaan van het continuïteitsplan van de leverancier zelf. Dit kan bijvoorbeeld werken wanneer deze is gecertificeerd conform BCMS ISO 22301:2019, maar dan moeten we wel zeker weten dat de scope van het certificaat juist is voor ons en wij hoog op hun prioriteitenlijstje staan in geval van een verstoring en dat zij kunnen leveren wat wij nodig hebben. De ISO 22318 richtlijn is een uitstekend handvat voor elke organisatie.
De bedrijfsimpactanalyse
De bedrijfsimpactanalyse (BIA) is dé manier om binnen de organisatie, inclusief de interne leverketen binnen de scope, te bepalen welke activiteiten het meest kritisch zijn en welke aldus geprioriteerd dienen te worden in geval van bijvoorbeeld een personeelstekort. Alle activiteiten worden geanalyseerd en beoordeeld in geval van stilstand op gevoeligheid voor een aantal van tevoren vastgestelde impactgebieden zoals financiële impact, wat dit betekent voor onze klanttevredenheid, productkwaliteit, reputatie of het wel of niet voldoen aan wet- en regelgeving. We bepalen een impactschaal, bijvoorbeeld Laag, Medium, Hoog of Extreem en definiëren voor elk een waarde. Vervolgens bepalen we wat wij niet meer acceptabel vinden en als dit binnen een vooraf bepaalde drempel al gebeurt, bijvoorbeeld drie dagen of een week, dan noemen we dit een kritische, geprioriteerde activiteit en willen we dit opnemen in een Plan B (Business Continuity Plan – BCP). Deze activiteiten moeten we tijdens bijvoorbeeld de ervaren periode van personeelsuitdagingen in ieder geval zien uit te voeren. Voor meer over dit onderwerp zie Kwaliteit in Bedrijf nummer 6-2020: ‘Een bedrijfsimpactanalyse maken: hoe doe je dat?’ en de ISO 22317-richtlijn.
Gert Kogenhop (Hon.) MBCI, bcm+.
bcm+ helpt u middels training, consultancy en implementatiebegeleiding uw eigen business continuity plan te ontwikkelen. Kijk voor meer info op www.bcmplus.nl of mail met: gk@bcmplus.nl