Business Continuity Management - ISO 22301
Het waarborgen van bedrijfscontinuïteit
Business Continuity is belangrijk omdat organisaties zich steeds bewuster worden van hun afhankelijkheid. Afhankelijkheid van IT leveranciers, afhankelijkheid van toeleveranciers en afhankelijkheid van andere stakeholders. Ondernemers en managers stellen zich terecht vragen als: ‘wat zijn de gevolgen als het netwerk van mijn provider plotseling uitvalt? In hoeverre heb ik grip op dat ene geoutsourcete, maar niet minder kritische, proces? Wat is het effect op mijn levertijd als ergens anders in de supply chain een bedrijf zijn deuren sluit?’ Kortom, deze afhankelijkheid brengt een hoop vragen en uitdagingen met zich mee en zorgt ervoor dat organisaties zich steeds beter willen voorbereiden op het onbekende. Business Continuity Management (BCM) haakt daar op aan en probeert blinde vlekken weg te nemen en risico’s te beheersen. Hierbij focust Business Continuity Management zich enerzijds op het implementeren van processen en maatregelen die je moeten beschermen tegen verstoringen (preventief) en anderzijds op de kunde om in geval van ernstige verstoringen de impact ervan zoveel mogelijk te beperken (regressief).
Uitleg over BCM
Wat is Business Continuity Management?
Business Continuity Management (BCM) is het geheel dat een organisatie doet om potentiële dreigingen die de continuïteit van de bedrijfsvoering in gevaar brengen te inventariseren en hier acties op te ondernemen. Door hier actief én op voorhand over na te denken kunnen nadelige gevolgen van een verstorend incident worden beperkt of wellicht volledig worden voorkomen. Een belangrijk onderdeel van BCM is het opstellen van een Business Continuity Plan (BCP). In een BCP wordt opgenomen wat de bedrijfskritische processen zijn die (in beperkte vorm) door moeten lopen na een verstorend incident. Het doel van een dit plan is om de organisatie houvast te geven in welke stappen genomen moeten worden nadat een verstorend incident heeft plaatsgevonden. Wie is verantwoordelijk voor het in gang zetten van de processen nadat een incident heeft plaatsgevonden? En hoe kunnen de mogelijke gevolgen na een incident zoveel mogelijk worden beperkt? Organisaties kunnen middels een ISO 22301 certificaat aantonen dat ze op het gebied van bedrijfscontinuïteit ‘in control’ zijn.
Meer weten over BCM? Lees hier onze blog over ketenweerbaarheid, een essentieel onderdeel van BCM.
Wat is de ISO 22301?
ISO 22301 is dé internationale norm voor bedrijfscontinuïteit en beschrijft hoe organisaties een managementsysteem kunnen inrichten om de bedrijfscontinuïteit te waarborgen. Het managementsysteem omvat een procesbeschrijving om vereisten aan de beschikbaarheid van producten en diensten te verzamelen en daarnaast de risico’s (met eventuele maatregelen) te bepalen. Ook beschrijft het managementsysteem de werkafspraken, communicatie en prioriteiten tijdens het oplossen van een incident of verstoring.
“De juiste dingen op het juiste moment doen” is een belangrijk uitgangspunt als je met ISO 22301 aan de slag gaat. Het begint met het identificeren van risico’s met mogelijke impact op de bedrijfscontinuïteit van jouw organisatie. Nadat de risico’s zijn geïdentificeerd, worden deze vastgelegd en verder uitgewerkt in een Business Impact Analyse, ofwel BIA. De risico’s worden gerangschikt naar impact en de risicotolerantie – ook wel risk appetite genoemd – dient te worden vastgesteld. Vervolgens bepaal je welke risico’s het eerst worden aangepakt en dat vormt de basis voor een implementatieplan. Het plan moet aansluiten op de organisatie, want je wilt dat personeel zich achter het idee schaart en begrijpt waarom de plannen nodig zijn. Goede, tweezijdige communicatie is hierbij essentieel. Het personeel weet immers het best hoe realistisch een plan in de praktijk is. Het doel is om een bedrijfscontinuïteitssysteem op zo een wijze te implementeren, dat continu verbetering de standaard wordt binnen de bedrijfscultuur.
Hoe kunnen wij helpen?
Het neerzetten van een sterk BCM en het ontwikkelen van een BCP is een veelomvattend en kennisintensief proces. Onze consultants helpen graag jouw organisatie nóg bestendiger te maken. Hierbij nemen we het efficiënt en duurzaam inrichten van de processen omtrent bedrijfscontinuïteit als belangrijk uitgangspunt. Wij kunnen ondersteunen bij een eerste analyse om de bedreigingen in kaart te brengen, het volledig organiseren van het Business Continuity Management proces, het opstellen van een Bedrijfscontinuïteitsplan tot het begeleiden naar ISO 22301 certificatie. Neem contact voor een vrijblijvend adviesgesprek.
Meest gestelde vragen
We zetten de meest gestelde vragen over Business Continuity Management en ISO 22301 voor je op een rijtje.
Allereerst biedt de ISO 22301 norm een leidraad voor het plannen en inrichten van bedrijfscontinuïteitsprocessen. Daarnaast heb je, met oog op certificering, een stok achter de deur om beheersmaatregelen daadwerkelijk te implementeren, onderhouden en verbeteren. Met een ISO 22301 certificaat ben je in de geruststelling dat je op een professionele wijze om kan gaan met impactvolle incidenten en/of verstoringen. Ook toon je aan stakeholders aan dat je op het gebied van bedrijfscontinuïteit ‘in control’ bent. Tot slot, kan je de ISO 22301 certificering inzetten als extra verkoopargument bij potentiële klanten.
Een Business Continuity Plan (BCP) heeft drie grote voordelen. Het eerste voordeel is dat het een framework biedt om de veerkracht van de organisatie te versterken. Business Continuity Management is een breed begrip dus een Business Continuity Plan bestaat ook uit verschillende disciplines, denk bijvoorbeeld aan ontruimingsplannen, crisiscommunicatie, pandemie maar ook aan risico’s bij uitval van IT of het vertrekken/uitvallen van een sleutelfunctionaris. Een ander belangrijk voordeel is dat je als organisatie adequaat kan handelen. Door een Business Continuity Plan op te stellen breng je de relevante risico’s in kaart, inclusief een bijbehorend stappenplan hoe te handelen als zo’n scenario werkelijkheid wordt. Het derde en laatste voordeel is dat risicomanagement een integraal onderdeel wordt van de organisatie. Het ultieme doel is dat risicomanagement binnen de organisatie en processen wordt ingebed en dat het werkbare en toepasbare maatregelen oplevert, zowel op preventief als regressief niveau.
