De urgentie van bedrijfscontinuïteit beheer (BCM) voor elke organisatie (deel 2 van 2)
In ons vorige blog lag werd duidelijk dat de COVID-19 crisis ook kansen biedt om bedrijfscontinuïteit beheer mee te nemen als onderdeel van integrale interne beheersing zodat elke organisatie beter weerbaar is bij een volgende crisis. Het implementeren van bedrijfscontinuïteit beheer biedt ook een perspectief op een hogere bedrijfswaarde. Dat perspectief biedt een interessante invalshoek namelijk de mogelijkheid om de mensgerichte kant van uw organisatie naar een hoger niveau te tillen. En is dat niet een wens die elk gerespecteerde organisatie van nature heeft?
Door Gerrit Goud
Niemand zag de COVID-19 crisis aankomen en dat is zo kenmerkend voor een crisis. Van de ene op de andere dag krijgt een organisatie te maken met de grootste uitdaging in zijn bestaan in een buitengewone onstabiele en complexe situatie die een bedreiging vormt voor de strategische doelstellingen, reputatie en uiteindelijk het voortbestaan van de organisatie. Deze gevolgen kunnen zeer schadelijk zijn als met name de indruk bestaat dat de organisatie heeft nagelaten zich voor te bereiden op een crisis of er niet in geslaagd is de crisis te beheersen of ervan te herstellen.
Heeft risicomanagement gefaald?
Je zou kunnen redeneren dat risicomanagement als beheersingsinstrument heeft gefaald. Echter die redenatie is ten dele waar. Risicomanagement wordt ingezet als sprake is van een normale bedrijfsvoering met de mogelijkheid allerlei dreigingen te benoemen en deze te voorzien van een risicoprofiel en indien nodig van mitigerende maatregelen. Bij dreigingen in de trant van calamiteiten en crises kom je dan gauw uit op verzekeren en het opzetten van BCM. En dat laatste is een afzonderlijke tak van sport met als doel de continuïteit en het voortbestaan van de organisatie te waarborgen onder alle omstandigheden. Maar dan moet je dit wel serieus willen optuigen en daar ligt meestal het probleem. De eigenaar van het risico ziet weliswaar het risico, maar doet niets om redenen van veel gedoe, geen urgentie, we lossen dit wel achteraf op, geen middelen en een uitermate geringe kans en als het gebeurt dan is dit niet bij ons, maar bij de buurman en gaat vervolgens weer over tot de orde van de dag. Een beetje gechargeerd, maar toch…
Verantwoordelijkheid BCM
Het zal niemand verbazen, maar het bestuur en de directie zijn verantwoordelijk voor BCM. Zij zijn immers ook degenen die verantwoordelijk zijn voor de strategische doelstellingen en ter verantwoording worden geroepen als die doelstellingen in gevaar komen als gevolg van in dit geval een calamiteit of crisis. Als bestuur en directie heb je heel wat uit te leggen als er geen oorlogsplan gereed is. En natuurlijk zal een oorlogsplan een crisis niet geheel afdekken, maar zorgt er wel voor dat officieren en soldaten opgeleid en getraind zijn met de juiste competenties, wapens en munitie. En dat levert de organisatie meer veerkracht en adaptief- en responsvermogen op in tijden van onvoorziene, complexe en onstabiele omstandigheden.
Omdenken door middel van BCM
Die eigenschappen maken een organisatie ook in vredestijd sterker in termen van bedrijfscultuur, ethiek, saamhorigheid, overlevingsdrang en in de geloofwaardigheid en vertrouwen om succesvol te zijn als organisatie. En dit zijn eigenschappen die elk gerespecteerde organisatie zich toewenst. In die zin kan BCM een prima opmaat zijn voor een mensgericht transitieproces ter bevordering van eerder vermelde eigenschappen in plaats van (de zoveelste) reorganisatie met hetzelfde mensgerichte doel of de weg te kiezen van allerlei op zich zelf staande bewustwordingsprogramma’s. Immers het beoogde doel, de in te zetten middelen en het resultaat komen bij BCM veel nadrukkelijker in beeld. Dit is een interessante invalshoek om vanuit ‘omdenken’ de gewenste menskant van een organisatie via BCM sneller in beweging te krijgen. Ik zou zeggen een win-win opportunity.
Beheerorganisatie BCM
Voor het borgen van BCM is een beheerorganisatie nodig die afdelingsoverstijgend opereert, geïnitieerd vanuit een top down benadering en direct gelinkt is met de directie. Zonder een beleidskader voor bedrijfscontinuïteit, betrokkenheid bestuur en directie en toereikende middelen is er geen deugdelijke basis voor BCM en zijn alle initiatieven gedoemd te mislukken. Dan creëren we hooguit een papieren tijger om vooral onszelf voor de gek te houden.
BCM is onderdeel van de normale bedrijfsvoering en ligt op het niveau van concerncontrol, weliswaar met een ander vizier maar met dezelfde vooruitziende blik. De coördinator bedrijfscontinuïteit (BC) is aanspreekpunt voor alle relevante vraagstukken op het gebied van bedrijfscontinuïteit en behoort de bedrijfsprocessen van de organisatie op hoofdlijnen te kunnen overzien en te beschikken over de juiste competenties waaronder netwerkcoördinatie. De coördinator behoort onder meer inzicht te hebben in:
- alle relevante preventieve en preparatieve maatregelen gericht op het voorkomen van ernstige verstoringen, calamiteiten of crises;
- alle van toepassing zijnde continuïteitsplannen (inclusief een crisisbeheerplan) die her en der belegd zijn in de organisatie elk voorzien van een eigenaar die verantwoordelijk is voor de inhoud en het periodiek updaten van zijn plan;
- een opleidings-, training en oefenprogramma voor elk continuïteitsplan;
- alle uit te voeren verbeterpunten in het kader van bedrijfscontinuïteit.
De lezer zal waarschijnlijk de doemscenario’s missen maar die zijn slechts onderdeel van een pragmatische aanpak op basis van ‘reverse engineering’ die ik niet in deze blog behandel, maar wel met geïnteresseerden kan bespreken.
Het is natuurlijk niet zo dat een organisatie niets heeft geregeld. Dat zou vreemd zijn. De grote vraag is wat wel geregeld is en wat nog geregeld moet worden in de context waarin de organisatie opereert. Daarvoor hebben wij een gestructureerde top-down aanpak ontwikkeld in de vorm van een QuickScan BCM voorzien van een rapport met adviezen en een routemap.
Daarnaast hebben wij een control framework BCM gelanceerd gebaseerd op de principes van de NEN/ISO 22301 en bedoeld om BCM te borgen vanuit een managementsysteem voor bedrijfscontinuïteit. Zowel ons intern beheersingsplatform (BCMS) dat gericht is op continu verbeteren op basis van een PDCA-cyclus als het normenkader BCM kunt u in licentie van ons afnemen.
Crisismanagement
Bij een calamiteit of crisis moet een organisatie snel in een overlevingsmodus worden getransformeerd en dat vereist voorbereiding, training, oefenen en oefenen met een crisismanagementteam in combinatie met een crisisbeheerplan waarmee elk teamlid vertrouwd is. Dat plan bevat geen doemscenario’s, maar wel bestuurlijke, organisatorische en coördinerende aspecten. Een crisisbeheerplan is beknopt en gericht om grip en rust te houden en in het voorzien van een effectief responsvermogen. Er behoort in het plan ruimte te zijn voor verrassingen en gebeurtenissen die niet door bestaande procedures en praktijken worden afgedekt. In zo’n situatie speelt coördinatie van getroffen maatregelen en interne en externe communicatie naar belanghebbenden over de aard en omvang van de calamiteit of crisis een cruciale rol. Dit stelt dan ook hoge eisen aan het crisismanagementteam (CMT). Zo behoort de voorzitter van het CMT een krachtige, gezaghebbende, gerespecteerde hogere leidinggevende te zijn met een langetermijnperspectief, die vertrouwd wordt en doortastend is, zonder impulsief te zijn. En dat hoeft niet in alle gevallen de hoogste in rang te zijn.
QuickScan BCM
Wij verwachten dat steeds meer organisaties zich laten certificeren op de NEN/ISO 22301, niet alleen om voorbereid te zijn op een calamiteit maar ook om hun imago en reputatie te verhogen en concurrentievoordeel te behalen en te voldoen aan eisen die klanten stellen ten aanzien van bedrijfscontinuïteit zoals we dat ook zien bij informatiebeveiliging (NEN/ISO 27001). En dat is meerwaarde die zich eveneens uit in een hogere bedrijfswaarde. En daarmee is investeren in BCM geen weggegooid geld. Om een dergelijke investering goed te onderbouwen is inzicht in waar je staat en wat je nodig hebt als organisatie op voorhand wel wenselijk. Onze QuickScan is ontwikkeld op basis van een methodiek die zich in de praktijk al heeft bewezen op andere aandachtgebieden van interne beheersing. Deze scan geeft op basis van een vragenlijst snel inzicht met als eindresultaat een rapport QuickScan BCM voorzien van adviezen. De doorlooptijd van de Quickscan inclusief rapportage is hooguit 1 week. Het rapport kan ingezet worden als opmaat naar een structurele aanpak. Daarin is een top down benadering voor BCM essentieel. Immers de top is verantwoordelijk voor haar strategische doelstellingen en wordt ter verantwoording geroepen als die doelstellingen in gevaar komen als gevolg van een calamiteit of crisis.
Wilt u meer weten over onze aanpak ten aanzien van BCM en over ons intern beheersingsplatform (BCMS), neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Demo
Interesse in een gratis demo? Neem dan contact met ons op.