Business Continuity Management (BCM) gaat over het beschermen van uw organisatie tegen de gevolgen van omvangrijke verstoringen en (on)bekende risico’s. Dit is anno 2022 geen overbodige luxe. Helaas denken velen onvoldoende na over hoe ze een calamiteit gestructureerd dienen aan te pakken en te overleven, terwijl steeds meer organisaties momenteel ondervinden dat niet voorbereid zijn tóch geen goede ‘strategie’ is. Hadden we nou toch maar een Plan B, maar ‘hadden is wanneer hebben is geweest’.
Door Gert Kogenhop, bcm+
Gebeurtenissen als Brexit en de coronacrisis hebben we voor uw gevoel misschien wel al achter ons gelaten, maar is dat zo? Wat, wanneer en hoe, dat blijft ongewis, maar op dit moment zien we onder andere door de situatie in Oekraïne spanningen op de grondstoffenmarkten ontstaan, specifiek olie, gas en graan. Kunt u straks nog produceren en gaat men weer hamsteren? Ook op het gebied van cybercrime, mede door de spanningen en houding van Rusland, vindt veel plaats wat ons niet geruststelt. Dat u zich zo optimaal mogelijk dient voor te bereiden lijkt duidelijk. En als er al inspanningen worden verricht in dit kader, dienen organisaties aldus te zorgen voor een effectief Plan B voor wanneer dit nodig is, als het er écht op aankomt. Geen papieren tijgers dus, bijvoorbeeld ter ‘geruststelling’ van de buitenwacht. Hier spelen naast oefenen en testen, onderhouden en verbeteren ook de interne audits een belangrijke rol. ISO 9001 (kwaliteit), ISO 14001 (milieuzorg) en bijvoorbeeld ISO 27001 (informatie¬beveiliging) zijn inmiddels bekende normen binnen organisaties. Deze zijn, met in het vizier het ‘Risk Based Thinking’-thema van de kwaliteitsnorm, te verrijken door direct aan het bestaande managementsysteem Business Continuity Management toe te voegen, al dan niet gecertificeerd conform ISO 22301 (BCMS).
Bedrijfscontinuïteit kan worden omschreven als het vermogen van een organisatie om tijdens een verstoring producten en diensten met een vooraf vastgestelde capaciteit binnen aanvaardbare tijdskaders te blijven leveren (ISO 22301:2019). Het belangrijkste deel uit deze definitie is ‘een vooraf vastgestelde capaciteit binnen aanvaardbare tijdskaders’, daar dit betekent dat u dient te weten wat die capaciteit is en wat deze aanvaardbare tijdskaders zijn. ‘Voorbereiding is 90% van het resultaat’, zouden we op een BCM-tegeltje kunnen zetten; maar dat is wel waar het over gaat. Zo optimaal mogelijk voorbereid zijn. BCM is het complete managementproces dat mogelijke gevaren met betrekking tot de continuïteit van de bedrijfsvoering vaststelt en een kader schept voor het opbouwen van weerstandsvermogen en veerkracht (resilience). Door effectief reageren worden de organisatiebelangen, de reputatie en het merk bewaakt. Ook wordt de uitvoering van de waardecreërende activiteiten gewaarborgd.
Hoe afhankelijk bent u?
De invulling met betrekking tot ‘Wat te doen in geval van een verstoring of calamiteit?’ wordt in belangrijke mate bepaald door een aantal factoren. Ten eerste welke activiteiten (met de juiste prioriteit) het betreft, welke en hoeveel mensen en middelen u daarvoor nodig heeft – wellicht meer of andere ten tijde van een calamiteit. Denk hierbij aan welke data en gegevens, machines, gereedschappen, IT-applicaties, formulieren, leveranciers, et cetera nodig zijn om deze uit te kunnen voeren en of er nog eisen zijn aan de werkplek en de logistiek. U hoeft wellicht niet altijd direct 100% te functioneren, maar welk percentage dan wel? Met welke machines en bezetting, welke producten of diensten voor welke klanten? Gaan bepaalde klanten voor? Wilt u uw productportfolio in een bepaalde volgorde beschikbaar hebben en leveren of wilt u eerst bepaalde processen met voorrang hebben opgestart?
Het eerste wat hiermee een sterke associatie heeft is het woord ‘afhankelijkheid’. Hoe afhankelijk bent u van de aanwezigheid van (alle/specifieke) medewerkers, het beschikbaar zijn van IT-applicaties, die ene leverancier of de werklocatie? Voorts antwoord op de vraag: Is er sprake van Single Point of Knowledge or Authority (medewerkers), van Single Point of Failure (IT-applicaties, machines of de werklocatie) of van Single Sourcing (leveranciers)? Vanuit het principe van BCM wil je opties hebben om je scenario te kunnen bouwen met alternatieven, vanzelfsprekend rekening houdend met reële mogelijkheden. Alles drievoudig uitvoeren zou fijn zijn, zoals triple redundant datacenters, maar in de meeste gevallen is dat een onbetaalbare optie. Aan de andere kant alles ‘Single’ uitvoeren lijkt wellicht een goed plan vanuit efficiency, bezetting en kostenbesparing (lean & mean), maar is ongewenst en een onacceptabel risico.
Tijdens de coronacrisis hebben veel organisaties dit aan den lijve ondervonden. Plannen maken voor ‘Als hét gebeurt’ is vanzelfsprekend een uitstekende strategie, maar we moeten ook de kans dat een activiteit wordt geraakt zien te verkleinen en zeker ook de mogelijke impact minimaliseren. Verder is het een voorwaarde de bedreigingen (of risico’s) te mitigeren: dus ook daar de kans of impact en eventueel de periode dat we last hebben van de gevolgen. Het uiteindelijke doel is niet verrast te worden, wat er ook gebeurt, en nooit de controle te verliezen over de situatie en uw reactie op de calamiteit.
BCM borgen in ons DNA
Waar helaas vaak minder aandacht voor is, is het borgen van BCM in ons DNA, in ‘Hoe wij hier werken’. Een voorbeeld is het samen met Supply Chain Management beoordelen van al onze leveranciers, de belangrijkste eruit filteren en deze beoordelen op hún vermogen om ons onder alle omstandigheden te kunnen leveren wat wij nodig hebben. Beoordelen wat hún BCM-vermogen is, gekoppeld aan onze eisen in dat kader. Of we wel of niet een vuist kunnen maken en eisen kunnen stellen ligt mede aan onze omvang en positie, maar een project uitvoeren om deze mogelijke zwakke plekken in onze verdediging aan te pakken mag niet worden verzaakt.
Wanneer we niet tegelijkertijd BCM meenemen in het inkoopproces als cruciaal selectie- en beoordelings-onderwerp en BCM gerelateerde contractvoorwaarden opstellen voor (nieuwe) contracten die worden onderhandeld of herzien, dan laten we de achterdeur openstaan en komen er mogelijk weer nieuwe problemen bij die we nou net aan het oplossen zijn. Voorkom ‘afhankelijkheid’ van (nieuwe) leveranciers en grotendeels onnodige risico’s of kom tot de conclusie dat dit lastig tot onmogelijk is en mitigeer dit op een andere wijze (voorraadniveaus, alternatieven voor wat ingekocht wordt).
Een ander voorbeeld is rond mensen. Wanneer uit analyses binnen het BCM-programma Single Points of Knowledge or Authority naar boven zijn gekomen, dient dit te worden aangepakt. U heeft deze wellicht opgelost door het mogelijk te hebben gemaakt dat meerdere mensen bepaalde taken kunnen uitvoeren (cross-training) of u hebt werkzaamheden dusdanig ingericht dat mensen rouleren over de afdeling en meerdere rollen kunnen vervullen (job rotation) of er is aandacht voor betere vastlegging van taken en werkvoorschriften. Wat kan gebeuren is dat na een reorganisatie of voortgaande automatisering bespaard kan worden op personeelskosten door functies te laten vervallen en werkzaamheden samen te voegen. De kans is groot dat, wanneer u geen oog heeft voor BCM in dit kader, u toch weer afhankelijkheid van mensen en functies creëert die net opgelost zijn. Wanneer dit niet binnen afdelingen geregeld kan worden kijk dan hierbuiten of zelfs naar externe back-up, maar accepteer dit niet zonder alternatieven voorhanden te hebben.
ICT als voorbeeld
Als laatste voorbeeld ICT. In de ICT is het managen van continuïteit dé nummer één prioriteit. Sterker nog, wij eisen van de ICT-functie binnen onze organisatie minimaal 99,99% betrouwbaarheid en beschikbaarheid (CIAC Confidentiality – Integrity – Availability – Currency). Zeker wanneer deze is uitbesteed aan een derde partij, wat steeds vaker het geval is. De bekende Cloud, oftewel de opslagruimte van iemand anders. Er mag niets gebeuren en als er iets gebeurt, moeten we zo snel mogelijk verder kunnen zonder al te veel vertraging en dataverlies.
De afgelopen jaren is men zich gaan realiseren dat dit eigenlijk zou moeten gelden voor álle belangrijke functies binnen de organisatie. Met de ICT-eisen vanuit de kritische, geprioriteerde activiteiten die in geval van een calamiteit het eerst hersteld moeten worden kunnen we wederom samen met ICT werken aan de snelle beschikbaarheid van de juiste applicaties (vereist). Maar ook voor de benodigde toegang tot opslagmedia, het intranet en vanzelfsprekend anno 2022 het onmisbare internet. Ook hier is Single Point of Failure – een applicatie zonder dat we daar een redelijk alternatief voor hebben bij uitval – weer een belangrijk aandachtspunt. Sluiten de eisen, (requirements) vanuit de organisatie aangaande deze ICT-elementen wel aan op de mogelijkheden c.q. het vermogen (capability) van de ICT-afdeling? Zo niet, hoe gaan we dat oplossen? Wederom een project om ervoor te zorgen dat eisen en verwachtingen worden opgelijnd met mogelijkheden en realiteit. Ook hier geldt weer dat u als het gaat om nieuwe applicaties die geïntroduceerd worden of die één of enkele anderen gaan vervangen, na dient te denken over de BCM-kant van de medaille. Sluit de hersteltijddoelstelling (RTO, Recovery Time Objective) en het verlies aan data wanneer de betreffende applicatie faalt als gevolg van de gekozen back-up strategie vertaald in het herstelpunt (RPO, Recovery Point Objective) aan op de eisen van de organisatie en creëert u niet wederom een afhankelijkheid? De schouders ophalen en stellen dat dit nu eenmaal zo is, kan nooit een acceptabele conclusie zijn. Een andere manier van werken als alternatief bij falen wel.
Alle afhankelijkheden in beeld
Het woord ‘afhankelijkheid’ zo blijkt, is onlosmakelijk verbonden met BCM. U wilt streven naar zo min mogelijk afhankelijkheden in uw organisatie. Dit verlaagt uw risico op onacceptabele impact tijdens en na een ernstige verstoringen. Wellicht zelfs het verschil tussen overleven als organisatie of onherstelbare schade oplopen.
Naast deze drie voorbeelden is het uitermate verstandig ook dezelfde denk- en werkwijze los te laten op middelen als de werkplek, machines en installaties en de vervangingsprojecten daarvan in het bijzonder (twee oude machines vervangen door één grote nieuwe klinkt goed, maar is dat ook zo?) Denk ook in het verlengde van leveranciers aan uw zakenpartners, eventuele dealers en mogelijk logistiek en transport. Een managementexercitie met als doel alle afhankelijkheden binnen uw organisatie helder te krijgen en die vervolgens eens door deze denk- en werkwijze heen te halen is naast leerzaam mogelijk het begin van het verhogen van uw weerstandsvermogen en veerkracht, uw resilience.
Binnen BCM wordt in ieder geval van de kritische, geprioriteerde activiteiten een blauwdruk gemaakt. Welke mensen en middelen zijn ervoor nodig om deze activiteit uit te voeren? Wat zijn eventuele interne en externe afhankelijkheden? Waar in de keten (binnen een proces) is de activiteit geplaatst? Alles om hiermee aan de slag te kunnen zoals hierboven vermeld, maar bij ‘Hoe wij hier werken’ hoort ook het beschikbaar hebben van alternatieven en verminderen van kans en impact op de activiteit als het een keer goed misgaat. Denk niet dat het u niet gebeurt, want dat het iedereen kan overkomen hebben de afgelopen twee jaren ons wel geleerd. Voor de voornaamste mensen en middelen (Resources) kun je in dit kader denken aan:
Mensen
Denk aan meerdere mensen die iets kunnen en voor alles wat moet gebeuren meerdere mensen beschikbaar hebben. In de productie wordt dit wel het 1-3 en 3-1 principe genoemd. Iedereen moet drie rollen kunnen uitvoeren, machines kunnen bedienen of aan drie lijnen kunnen werken, terwijl voor elke rol, machine of lijn u een driedubbele bezetting moet hebben (back-up). Zoals hiervoor genoemd zijn cross-training, job rotation en soms zelfs het gebruiken van externen (naast onze eigen Technische Dienst bijvoorbeeld) opties. Het goed vastleggen van taken en werkvoorschriften lijkt een open deur, maar onderzoek dit eens in uw organisatie en kijk vooral naar hoe recent de laatste update hiervan is. Succession planning, opvolging van de vergrijsde populatie in veel organisaties, mag ook niet ontbreken op de lijst van mogelijkheden.
Informatie, gegevens en ICT
Hier is al op ingegaan. Dit is te allen tijde nodig en dus is de focus op betrouwbare, actuele gegevens die beschikbaar zijn als u het nodig hebt (CIAC). ICT-afhankelijkheid staat eerlijk gezegd bij veel organisaties op een onacceptabel niveau en men geeft zelfs grif toe dat als ICT plat gaat, men hele serieuze problemen heeft. Hoe dat dan op te lossen? Verminder de afhankelijkheid, zorg voor alternatieven, soms manueel wellicht, denk ook aan anderen die u kunnen helpen, maar regel dit van tevoren en niet pas als het misgaat.
Werkplek en faciliteiten
Denk aan een uitwijklocatie, binnen of buiten de organisatie. Niet voor alles en iedereen is thuiswerken een optie. Dit vergt voorbereiding, zoals we allemaal hebben gemerkt in het begin van de coronapandemie, toen we niet meer op onze vaste werkplek mochten werken. Gaat u voor een tweede locatie waar u hetzelfde gaat doen? Denk aan het verdelen van de werkzaamheden (diversification), of zorg ervoor dat u op een andere locatie direct kunt overschakelen (replication) of dat u op korte termijn de werkzaamheden kunt overdragen (standby). Pas gaan bedenken wat te doen als het gebeurt, is niet verstandig. U kunt ook gaan voor het laten uitvoeren van werkzaamheden door andere mensen op een andere locatie, bijvoorbeeld door in noodsituaties callcenter-activiteiten uit te besteden aan een derde (gespecialiseerde) partij. Ook hier is gedegen voorbereiding voor nodig. Qua faciliteiten kan gedacht worden aan een voorraad water, gas of olie als u daar afhankelijk van bent of het hebben van een noodaggregaat die in ieder geval de kritische activiteiten kan bedienen.
Machines en installaties
Voorkom zoveel als mogelijk de Single Point of Failure situaties en beknibbel niet (té veel) op voorraden reserveonderdelen. Niet té snel of makkelijk de oude machine inruilen bij aanschaf van een nieuwe als deze een onderdeel vormt van een kritisch proces. Denk ook hier aan eventuele externe mogelijkheden. In de zuivelindustrie worden voor complexe verpakkingslijnen vaak door concullega’s afspraken gemaakt over het gezamenlijk houden voor de voorraad peperdure onderdelen. Verdeeld wel te verstaan. Op deze wijze kun je de kosten in de hand houden. Ook in dit geval gaat het weer om betrouwbare leveranciers en voldoende alternatieven.
Transport en logistiek
Het begint op elkaar te lijken, maar ook hier geldt dat één vervoerder, waar u misschien al jaren zaken mee doet, een risico kan vormen. Wanneer u transport en logistiek in eigen hand hebt is het tóch verstandig een alternatief achter de hand te hebben. Denk na over de gevolgen van extreem weer, vervoersstakingen en hoe u eventueel personeel verplaatst. Regel vooraf met externen hoe het proces is ingericht rond het op stel en sprong verplaatsen van voorraden en de normale goederenstromen van en naar uw uitwijklocatie.
Leveranciers en partners
Ook dit onderwerp is in een eerder voorbeeld rond Supply Chain Management besproken en het is als een rode draad door dit verhaal duidelijk geworden dat externe afhankelijkheden lastig kunnen zijn. Heeft u alternatieven, is dit mogelijk? Wanneer u in een situatie zit waarbij u weinig kunt sturen, deal daar dan mee en bedenk op welke andere wijzen u zich kunt voorbereiden op het (on)verwachte.
Ergo, net als bij onderwerpen als kwaliteit, veiligheid en informatiebeveiliging moet ook continuïteit onderdeel worden van ‘Hoe wij hier werken’ en dat is nu écht bij heel veel bedrijven en organisaties nog niet het geval. Hoe is dat bij u?
Dit artikel is eerder geplaatst in het magazine van Kwaliteit in Bedrijf
Kennismaken met Kwaliteit in Bedrijf?
Vraag hier dan een proefabonnement aan of neem een abonnement en krijg het magazine 6x per jaar toegestuurd.