Consultancy

Advies, coaching en implementatiebegeleiding

Elke organisatie heeft een unieke behoefte aan hulp, zeker wanneer het onderwerp nieuw is binnen de organisatie. Business Continuity Management is ontstaan “op de ICT afdeling”. Gebruikers eisten 99,99% up-time en wanneer er onverhoopt toch iets misging, dan mocht er absoluut geen data verloren zijn gegaan. Deze eisen hebben geleid tot continuïteitsmanagement. Via de simpele back-up, via dubbel uitgevoerde systemen (mirror) naar Twin Data Centers met alle mogelijke tools om ervoor te zorgen dat de gebruiker op geen enkele wijze nadeel ondervindt mocht er toch nog iets misgaan … en dat gaat er toch wel, wat je ook bedenkt. Het heet dan ook niet voor niets Business Continuity Management en niet Business Continuity Garantie.

Advies; in de vorm van een BCM-Readiness analyse, waarin wordt vastgesteld wat het gat is tussen wat er is en de vereisten van een gedegen Business Continuity Management System, al dan niet conform de norm ISO 22301.

Coaching; als mogelijkheid om een BCM-team binnen de organisatie met raad en daad bij te staan tijdens de implementatie van een Business Continuity Management System en daarna eventueel tijdens het beheer hiervan, bij te sturen en zorg te dragen voor een effectief en efficiënt systeem.

Implementatiebegeleiding; een optie waarbij gezamenlijk wordt gewerkt naar de implementatie van een solide Business Continuity Management System. Als onderdeel van het implementatieteam zorgen voor het optimaal resultaat, inclusief borging in de organisatie. Directe kennisoverdracht en meer dan een klankbord.

schema1

 

De inhoud en aanpak conform ISO 22301

Plan

Conform de PDCA cyclus wordt gestart met de Plan (vaststellen) fase. In deze fase wordt allereerstaandacht besteed aan “context van de organisatie”. Er dient in het beleidsplan een volledige afstemming te zijn met de missie, visie en doelstellingen van de organisatie en het gewenste risicoprofiel (risk appetite). Tevens dient er rekening te worden gehouden met de behoefte en verwachtingen van de relevante (externe) belanghebbenden en eventueel van toepassing zijnde wet- en regelgeving.

Binnen het onderdeel “Leiderschap” wordt hier vorm aan gegeven door middel van het verantwoordelijk stellen van de bestuurders voor onder andere het:

  • vaststellen van het beleidsplan;
  • zorg dragen voor het linken van het BCMS aan de strategische richting;
  • integreren van het BCMS in alle processen;
  • beschikbaar stellen van de benodigde mensen en middelen;
  • vaststellen van de rollen, verantwoordelijkheden en bevoegdheden van betrokkenen;
  • sturen en ondersteunen van continue verbeteringsinitiatieven;
  • communiceren van voortgang en resultaat.

Als laatste onderdeel binnen de Plan fase dienen zaken te worden vastgelegd met betrekking tot de uitvoering en ondersteuning. Dit alles als vanzelfsprekend ondersteund met een informatiesysteem (document management system) welke een waterdicht ‘audit trail’ garandeert.

Do

De executie van het BCMS is de Do (implementeren en uitvoeren) fase. Dit bevat onder andere de vaststelling van de:

  • Bedrijfs Impact Analyse (BIA);
  • Risico Beoordeling (RB);
  • Business Continuity strategie;
  • Business Continuity Procedures (BCP);
  • test- en oefenproces.

Het is van het grootste belang dat continu wordt beoordeeld of de activiteiten in dit kader in lijn liggen met de algemene richting waarin de organisatie zich beweegt. Tevens de wensen en eisen van belanghebbenden, inclusief eventueel van toepassing zijnde wet- en regelgeving. Het communicatieplan, zowel intern als extern, dient robuust en flexibel te zijn. De tijdigheid en wijze waarop wordt gecommuniceerd is van doorslaggevend belang bij de uitvoering van het actieplan. Voorbeelden te over, helaas, waar dat in het (nabije) verleden vreselijk mis is gegaan. Het is dan ook goed vast te stellen dat de norm hier op een adequate wijze aandacht voor vraagt.

schema2

Check

In de Check (controleren en beoordelen) fase ligt de nadruk op het evalueren van deprestatie/uitvoering. In de norm is opgenomen dat er continue controle dient plaats te vinden op het BCMS alsook periodieke beoordeling en herziening ter verbetering. Als vanzelfsprekend is een interne audit procedure een vaststaand onderdeel van de vereisten. Deze dient gericht te zijn op zowel de interne doelstellingen als de vereisten gesteld in deze internationale norm.

Act

In de Act (onderhouden en verbeteren) fase dient elke afwijking (nonconformity) met een actieplan te worden beloond. Na vaststelling van de afwijking dienen correctieve maatregelen te worden genomen, deze strikt te worden gevolgd en opgevolgd. Het onderhoud en herzien van alle onderdelen van het BCMS behoort zeker ook te worden meegenomen in deze fase. Een continu verbeterproces is een vereiste, waar ook de bestuurders van de organisatie niet te licht over moeten denken. Al met al is deze fase vooral gericht om te leren van het heden en verleden om beter voorbereid de (onzekere) toekomst tegemoet te kunnen treden. Regeren is vooruitzien!