– De laatste column van Gert Kogenhop – 

BCM OPLOSSINGEN KUNNEN RISICO’S BEVATTEN

Bedrijfscontinuïteitsbeheer of Business Continuity Management (BCM) gaat over het zo optimaal mogelijk voorbereid zijn op het (on)verwachte, het vermogen van een organisatie om na een verstorend incident producten en diensten te kunnen blijven leveren op aanvaardbare, vooraf vastgestelde niveaus. Om dit te kunnen doen dienen wij ons te verdiepen in wat we doen, wat ons eventueel kan overkomen en welke keuzes we in geval van een incident of crisis moeten maken om tóch onze doelstellingen te kunnen halen. We moeten onszelf uitermate goed kennen en tevens de mogelijke risico’s die we lopen in beeld hebben, om vervolgens te kunnen bepalen wat de beste strategie en oplossing is.

Om onze organisatie te doorgronden vanuit een continuïteitsperspectief voeren we een bedrijfsimpactanalyse uit. Een inventarisatie van alle activiteiten die de levering van onze producten en diensten ondersteunen en mogelijk maken en de vaststelling van de impact in de tijd gemeten van het niet kunnen uitvoeren van deze activiteiten. Denk hierbij aan impact op het gebied van veiligheid (mensen, product of omgeving), harde Euro’s (schade, omzetverlies of extra kosten), klanttevredenheid of merk/reputatie. Op deze wijze kunnen we analyseren welke activiteiten meer kritisch zijn dan andere en aldus een prioritering voor herstel bepalen. Via een beoordeling van alle mogelijke bedreigingen en de huidige staat van mitigerende maatregelen, kunnen de risico’s worden bepaald die voor ons actueel en reëel zijn. Deze twee uitkomsten, welke risico’s loop ik en wat is de prioritering van herstel van mijn activiteiten in geval van een ernstige verstoring, leiden tot de bepaling van mijn herstelstrategie en het uiteindelijk Plan B, bedrijfscontinuïteitsplan (BCP).

Zoals de beroemde Chinese militair strateeg Sun Tzu dat vele eeuwen geleden al omschreef:If you know the enemy (mijn risico’s) and know yourself (mijn kritische, geprioriteerde activiteiten), you need not fear the result of a hundred battles”.

Onze strategie is gericht op het verkleinen van de kans op en gevolgen van het risico en tegelijkertijd het verminderen van de impact op ons functioneren, wanneer de kritische activiteiten worden verstoord. Maar wanneer ‘het’ dan toch gebeurt, willen we zo optimaal mogelijk voorbereid zijn middels een BCP.

Oplossingen zijn over het algemeen niet ideaal, soms zelf alleen maar noodoplossingen. We hebben ze echter wel nodig. Het is van het grootste belang dat we door de gekozen oplossingen geen nieuwe risico’s toevoegen of zelfs grotere risico’s nemen dan we aan kunnen. Dit betreft zowel mitigerend, als het om de risico’s en activiteiten gaat, als wanneer het om Plan B gaat. Het middel moet niet erger zijn dan de kwaal. Uitwijken naar een alternatieve locatie, het werk door anderen laten uitvoeren of met andere machines, gereedschappen of applicaties, moet vooraf beoordeeld worden en vanzelfsprekend geoefend en getest. Dit is bedrijfsspecifiek, maar hieronder volgen een paar recente voorbeelden, sommige ‘Corona-crisis’ specifiek, waar een ieder zijn of haar voordeel mee kan doen.

In een uitwijklocatie van een vleesverwerkend bedrijf zijn de medium- en high-care afdelingen (voedselveiligheidseisen) niet zo goed geregeld als in de eigen locatie, waardoor risico’s op bacteriële besmettingen (Listeria, E. coli, Salmonella, …) op een wellicht onacceptabel niveau komen.

In de uitwijklocatie van een verzekeraar mixt het eigen personeel met personeel van de andere huurder in hetzelfde pand. Wanneer we een gebouw als geheel huren kunnen we de toegangsbeveiliging optimaal inregelen. In de nieuwe situatie wordt single-tenant in dit voorbeeld multi-tenant. Dit moet leiden tot extra beveiligingsmaatregelen en faciliteiten op verdiepingen en met betrekking tot toegang tot specifieke ruimten (ICT), zoals badge readers. Het gevolg kan zijn dat er extra investering moeten worden gedaan en een ongewenste implementatietijd ontstaat, leidend tot vertragingen.

Tijdens de Corona-crisis werden in gebouwen andere looproutes ingesteld. Hierdoor ontstonden er vaak ‘lekken’ in de beveiliging, doordat er deuren werden opengezet die eigenlijk dicht moeten blijven. Door de genomen maatregelen in het gebouw werd het besmettingsrisico dan wel verlaagd, maar diezelfde maatregelen vormden wel een nieuw risico. Het risico op inbraak of insluiping werd namelijk sterk verhoogd. Hieraan gerelateerd, doordat gebouwen in bepaalde gevallen niet meer open zijn voor bezoek, of zelfs in zijn geheel gesloten worden, valt ook het onderhoud stil. Dit houdt een zeker gevaar in. Denk hierbij aan de staat van de veiligheids- en beveiligingssystemen en onderhoud aan de brandmeldinstallatie (verplicht conform bouwbesluit, licence to operate). Worden alle systemen die belangrijk zijn voor de continuïteit van de organisatie nog wel getest?

Wanneer organisaties 2G toegangsbeleid gaan invoeren (of moeten) tijdens de huidige Corona-crisis uit gezondheidsoverweging kan dit leiden tot een tekort aan personeel, daar niet iedereen voldoet aan de dan gestelde toegangseisen. Voor die enkele medewerker die wel op kantoor werkt kan een persoonlijk veiligheidsrisico ontstaan. Doordat slecht één of enkele personen aanwezig zijn, is er een verminderde sociale controle. Wanneer een persoon onwel wordt, kan een zeer ongewenste situatie ontstaan (Dit geldt overigens ook als men alleen thuis aan het werk is….). Is de bedrijfshulpverlening op orde voor de mensen die nog wel op kantoor werken? Is er nog wel een BHV-er aanwezig?

Duidelijk is tevens dat het (moeten) verbieden van interne en externe fysieke bezoeken van of aan klanten kan leiden tot verlies van omzet en mogelijk zelfs klanten.

Een belangrijk, en niet door iedereen doordacht of zelfs van te voren bedacht risico is gelegen in de staat van beveiliging van het thuiswerken. Het beveiligingsniveau van het wifi-netwerk, de werkplek en de woning van medewerkers is niet te vergelijken met onze kantoor- of fabrieksomgeving. Het printen, bewaren, vernietigen en scannen van bijvoorbeeld klant informatie van een bank is zeker niet op het vereiste niveau in de thuisomgeving (denk aan de Algemene Verordening Gegevensbescherming – AVG). Bij een architectenbureau werden dure softwarelicenties van kantoor overgebracht naar thuiswerkplekken, onder tijdsdruk, zonder adequate controle. Dit kan leiden tot informatieverlies of mogelijk diefstal (cyber crime). Op dit gebied zijn helaas ook veel voorbeelden te noemen van informatiebeveiligingssoftware die juist als mitigerende maatregelen zijn ingevoerd in dit kader en die juist zorg(d)en voor problemen, zoals recent het incident rond Log4J.

Een greep uit ervaringen en bevindingen die nog vele andere dimensies kent (helaas). Wellicht zet het u aan het denken over uw eigen organisatie en werkomgeving.


BCM Rubriek – Kwaliteit in Bedrijf Nr 1 2022
BCM Rubriek – Kwaliteit in Bedrijf Nr 6 2021
BCM Rubriek – Kwaliteit in Bedrijf Nr 5 2021
Kwaliteit in Bedrijf 2021 nr 4 MKB en continuïteitsrisico’s
BCM Rubriek – Kwaliteit in Bedrijf Nr 4 2021
IB Magazine Juni 2021
Kunststof Magazine mei-juni BCM
BCM Rubriek – Kwaliteit in Bedrijf Nr 3 2021
Visie 2021 Gert Kogenhop Interview
BCM Rubriek – Kwaliteit in Bedrijf Nr 2 2021
Niet verrast worden door het onverwachte – Audit Magazine
Kwaliteit in Bedrijf 2021 nr 1 BCOS
BCM Rubriek – Kwaliteit in Bedrijf Nr 1 2021

 

pdf

Download/lees hier meer artikelen: 

TITEL DOWNLOAD
“Een bedrijfsimpactanalyse maken: hoe doe je dat?” BCM Rubriek – Kwaliteit in Bedrijf Nr 6 2020
“CMT-CSIRT-BCMT, rollen en verantwoordelijkheden”  IB Magazine 2020 5 – CMT-CSIRT-BCMT
“COVID-crisis bewijst nut en noodzaak van BCM”  Kwaliteit in Bedrijf 2020 nr 5 BCM
“Wat als uw werklocatie niet beschikbaar is?” BCM Rubriek – Kwaliteit in Bedrijf Nr 5 2020
“BCM en de afkeer van ‘singles’ “ BCM Rubriek – Kwaliteit in Bedrijf Nr 4 2020
“Supply Chain Continuity”  BCM Rubriek – Kwaliteit in Bedrijf Nr 3 2020
“Hoe veerkrachtig wilt u zijn?” Kwaliteit In Bedrijf 2020 nr 2 Business Resilience
“Het Coronavirus: Hoe voorbereid kan je zijn?” BCM Rubriek – Kwaliteit in Bedrijf Nr 2 2020
“IT en Business Continuity” IB Magazine 2020 1 – IT en Business Continuity
“Business Resilience als managementsysteem” Visie 2020 – Business Resilience
“Normontwikkeling voor crisismanagement” BCM Rubriek – Kwaliteit in Bedrijf Nr 1 2020
“Hoe afhankelijk is uw organisatie van ICT?” BCM Rubriek – Kwaliteit in Bedrijf Nr 6 2019
“BCM: een kwestie van balanceren” BCM Rubriek – Kwaliteit in Bedrijf Nr 5 2019
“BCM: Bezint eer ge begint” Kwaliteit in Bedrijf 2019 nr 5 BCM
“Ondersteuning hoort erbij” BCM Rubriek – Kwaliteit in Bedrijf Nr 4 2019
“Crisismanagement en Bedrijfscontinuïteitsmanagement” BCM Rubriek – Kwaliteit in Bedrijf Nr 3 2019
“BCM: durft u nog langer af te wachten” Kwaliteit in Bedrijf 2019 nr 2 BCM
“Bedrijfscontinuïteitsmanagement wérkt niet geïsoleerd” BCM Rubriek – Kwaliteit in Bedrijf Nr 2 2019
“Bedrijfscontinuïteit is keuzes maken” BCM Rubriek – Kwaliteit in Bedrijf Nr 1 2019
“Organizational Resilience: Wat is dat eigenlijk?” Kwaliteit in Bedrijf 2018 nr 8 BCM
“RM en BCM: Wat is het verschil?” Kwaliteit in Bedrijf 2018 nr 6 BCM
“Is onze afhankelijkheid van IT nog acceptabel?” Kwaliteit in Bedrijf 2018 nr 4 BCM
“Cybersecurity en ICT afhankelijkheid” Trendbijlage-2018-NIS-BCM
“Herziening Business Continuity Management norm ISO 22301 onderweg” Kwaliteit-in-Bedrijf-2018-nr-2-BCM
“Netwerk- en Informatiebeveiliging en Business Continuity Management” PvIB-Netwerk-en-Informatiebeveiliging-en-BCM
“Netwerk- en Informatiebeveiliging en BCM” Kwaliteit-in-Bedrijf-2017-nr-7-BCM
“Hoe voorbereid bent ú op het onverwachte?” Kwaliteit in Bedrijf 2017 nr 5 BCM
“SUN TZU EN ‘THE ART OF WAR’ “ Kwaliteit in Bedrijf 2017 nr 3 BCM
“2017: Risicomanagement als uitdaging voor de kwaliteitsmanager” Kwaliteit in Bedrijf Trendbijlage 2017
“Bedrijfscontinuïteitsmanagement en Crisismanagement: Is dat niet hetzelfde?” Kwaliteit in Bedrijf 2017 nr 1 BCM
“Business Continuity Management en het veranderende risicoprofiel” kwaliteit in Bedrijf 2016 nr 8 BCM
“Business Continuity Management is een essentieel bedrijfsproces” Elsevier oktober 2016 – Pagina 7
“Wat is er minimaal nodig om uw doelstellingen te kunnen halen?” Kwaliteit in Bedrijf 2016 nr 6 BCM
“Business Continuity Management … en ICT” Kwaliteit in Bedrijf 2016 nr 4 BCM
“NEN-ISO 22301:De norm voor een solide BCMS” Elsevier April 2016
“Business Continuity Management en de relatie met ISO 9001:2015” Kwaliteit in Bedrijf 2016 nr 2 BCM
“Business Continuity Management en de relatie met ‘afhankelijkheid’ “ Kwaliteit in Bedrijf 2015 nr 9 BCM
“Niet verrast worden door het onverwachte” Kunststof Magazine November 2015
“BCM is waarde creëren én waarde behouden” Management Team – Bijlage oktober 2015
“De strategische keuzes bij een een incident” Kwaliteit in Bedrijf 2015 nr 6 BCM
“BCM en de cumulatieve impact van een ernstig incident” Kwaliteit in Bedrijf 2015 nr 4 BCM
“Continuïteitsmanagement verzilvert waarde IT” AutomatiseringsGids april 2015
“Business Continuity Management is meer dan alleen hoofdstuk 14 – ISO 27001” pvib-november-2013
“Van systeem naar gedrag” KIB-april-2013
“Belangstelling voor BCM groeit” belangstelling-voor-BCM-groeit–KiB-december-2012
“ISO 22301 Maatschappelijke Veiligheid” pvib-september-2012
“Stop de vrijblijvendheid in de zorg” stop-de-vrijblijvendheid-in-de-zorg
“Het verhogen van de weerstand van de organisatie” ictzorg_oktober_2010
“Voedselvoorziening van vitaal belang” voedselvoorziening_van_vitaal_belang_2010_10
“De kwaliteitsmanager als bewaker van de continuïteit” KIB-april-2010
“Continuïteit minstens zo belangrijk als kwaliteit” ZorgVisie-29april2010