7 Uitdagingen om gemakkelijk uw BC programma te beoordelen

Wat zijn 7 Uitdagingen om gemakkelijk uw BC Programma te beoordelen? Er bestaan assessments van BCM die nagenoeg vrij zijn, en andere die veel geld kosten. Het verschil zit er in de voorbereiding, in de mate van detail en diepgang. De hamvraag die men zich stelt is vaak “Hoe weet ik dat ik er klaar voor ben als er iets ernstigs gebeurt met mijn organisatie?” Die vraag is niet zo heel moeilijk om te beantwoorden. Veel hangt er echter van af of je jezelf wil begeven in een gebied dat je niet volledig kent. En waar je bijgevolg gewoonlijk ook geen comfortabel gevoel bij hebt. Daarom gaat het ook steeds om een uitdaging, eerder dan zomaar wat vragen te beantwoorden. Er bestaat een zeer uitgebreide lijst van vragen die te verkrijgen is bij Virtual Corp (http://www.virtual-corp.net/) waarmee je de maturiteit voor BCM van je organisatie gedetailleerd kan inschatten. Maar dat zijn er gewoonweg teveel om in een eerste start mee te beginnen.

In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.

Daarom heb ik hier 7 uitdagingen. Elke uitdaging heeft een vraag of twee als appetizer. Telkens met een korte bespreking.

Weet je wat je moet doen als je een brand ontdekt? Of als er watersnood is? Of een gewelddadige indringer? Een elektriciteitspanne of een langdurig falen van computersystemen?

Dit is in feite een korte lijst van gebeurtenissen die het personeel of de middelen van een organisatie kunnen raken. De mensen komen daarbij eerst. Zij zijn immers met hun kennis en kundigheid het meest waardevol, en het zijn zij en alleen zij die capabel zijn om de organisatie terug “up en running” te krijgen. Je hebt dus een verzameling van simpele en duidelijke procedures nodig zodat uw mensen exact weten wat ze aan moeten vangen met zo’n gebeurtenis. En ze moeten dit van te voren weten, niet nadat alles gebeurd is. Ze moeten het kennen en kunnen. Niemand heeft iets aan een perfecte procedure dat ergens in een boek staat dat niemand meer weet liggen…

Ken je de ergste risico’s voor je organisatie? Heb je maatregelen geïmplementeerd om die risico’s te reduceren / ontwijken / verplaatsen of heb je ze aanvaard?

Deze uitdaging is sterk gelinkt aan vorig puntje. De gebeurtenissen waarvan je moet wakker liggen zijn die met een hoge kans en een hoge impact. Het is daarom goed om een stap terug te zetten, weg uit je dagelijks bestaan van “dat overkomt ons niet” en “business as usual” en eens grondig na te denken over welke risico’s realistisch zijn in uw branche, in je omgeving, met uw mensen, in uw politiek en economisch klimaat… Je kan daarvoor een lijst bijhouden van problemen waarmee je in het verleden al eerder geconfronteerd werd, hoeveel kans deze hebben, hoe groot hun impact is en had kunnen zijn. En denk er ook eens over na wat je al deed om ze te reduceren. Het is afhankelijk van het type risico of je op kans, impact of beide maatregelen moet nemen. De kans op een aardbeving kan je niet wijzigen, maar kans en impact van een brand of inbraak wel. Bijvoorbeeld met badgesystemen, sloten, back-ups op een andere locatie…

Heb je al bepaald wat de minimale en eerste taken zijn die je moet doen om je organisatie te laten overleven na een lange en uitgebreide onderbreking?

Het probleem hier is dat je niet alles ineens terug in gang kan zetten. Je moet beslissen wat uw tijdskritieke processen zijn, welke uw essentiële processen zijn, welke uw noodzakelijke processen zijn en welke de bruikbare. Hierbij kan je gebruik maken van het 6 FORCES model. Consultants kennen gegarandeerd nog veel complexere methoden om uw prioriteiten te stellen. Maar voor een kleine of middelgrote onderneming is een manier van werken zoals 6 FORCES zeer handelbaar. De doelen zijn eenvoudig daarbij: welk proces is voor u het belangrijkst en waarom? Neem even de tijd om voor uzelf een aangepaste manier uit te werken, voor uzelf de juiste vragen te vinden.

Eens je de tijdskritieke processen hebt op kunnen lijsten is het de bedoeling dat je oplijst wat je nodig hebt om deze processen zo snel mogelijk terug aan de gang te krijgen. Hoeveel mensen, welke mensen, welke computerapplicaties? Hoeveel laptops? En hoeveel servers? Een netwerk? Welke documenten op papier? Welke informatie op computer? En welke facilities? Hoeveel werkplekken? Etc. etc. Bepaal dan hoe je dit gaat realiseren. Waar gaan de mensen werken als dit niet gewoon op “den bureau” kan? Hoe zit het met noodhuisvesting? Waar ga je het nodige equipment vandaan halen? Als je dat allemaal weet, ben je al een aardig stuk op de goede weg.

Heb je formele Business continuïteit plannen die jij en je mensen kennen en kunnen uitvoeren als de weerbaarheid van uw organisatie onderbroken is?

“Formeel” betekent niet meer en niet minder dan “gedocumenteerd”. Kenmerkend voor een plan is dat het maar bestaat als het doorgegeven kan worden, en dus best opgeschreven is. Als het maar een bladzijde of twee is, is het ook geen echt plan. Dan is het een idee. Je moet hard nadenken over welke stappen je allemaal wil doen als er iets ernstigs gebeurt, en dat neerschrijven. Je zal daarbij soms moeilijke beslissingen moeten nemen. En die dan implementeren. Implementeren heeft hierbij vaak de betekenis van “aanschaffen”. En daar moet je dus voor betalen. Je moet dus goed nadenken wat je minimaal nodig hebt en of dat voldoende is als ondersteuning om een minimale dienstbaarheid naar de klant of naar andere organisaties te blijven voorzien. En als dusdanig als organisatie te overleven. De sleutelwoorden hier zijn dus “minimaal nodig” en “voldoende om te kunnen overleven”

Zijn uw waardevolle gegevens veilig en beveiligd, wat er ook gebeurt?

De sleutelwoorden hier zijn “wat er ook gebeurt”. Het bewaren van vitale papieren documenten in een archief en uw digitale gegevens op een back-up in een ander lokaal van hetzelfde gebouw is eenvoudigweg onvoldoende. Je moet daar een aantal parameters voor gebruiken: is het in dezelfde afschakelzone? Is het in dezelfde geologische zone? Is het in een gebied met dezelfde waterproblematiek? Dezelfde weersomstandigheden? Je moet ze zodanig opslaan dat een andere gebeurtenis je niet kan verhinderen van je gegevens te gebruiken. En daarmee bedoel ik dus zowel digitale gegevens als gegevens op papier.

Is je personeel bekwaam om snel en efficiënt te reageren? Zijn ze erop getraind?

Dit is al wat moeilijker. Je kan plannen geschreven hebben, en die kunnen gebaseerd zijn op een goede analyse, en een goed beoordelingsvermogen. Maar als uw personeel niet weet wat er in staat, hoe kan je dan verlangen dat ze weten wat er van hen verwacht wordt wanneer dit nodig is? Een plan dat perfect is uitgewerkt, maar stof vangt in een kast, is van geen nut. Dus moet je een trainingsprogramma beginnen voor het personeel. Verzeker jezelf als BCM-trekker ervan dat ze de noodprocedures kennen, en zeker dat ze weten wat te doen als het evacuatiealarm afgaat. Het is dan te laat om de procedures door te nemen om te leren hoe ze er levens mee kunnen redden.

Heb je de plannen met het personeel geoefend om te zien of het werkt? Om te zien of je er klaar voor bent?

In het Engels is er een spreekwoord dat zegt: “The proof of the pudding is in the eating”. De beste manier om uw personeel te trainen is de plannen uit te voeren. Oefening baart kunst. Daarom moeten de plannen minstens jaarlijks uitgevoerd worden. Met zandbakoefeningen, met evacuatieoefeningen, met ICT-simulaties… Laat het een uur of maximaal twee duren. Of bouw er een teambuildingsessie rond. Kijk kritisch of ze weten wat ze moeten doen. Beoordeel hun reacties en beslis ook of je de plannen moet bijwerken.

Conclusie

Als je al deze uitdagingen positief kunt bevestigen met een “afgevinkt” op een checklist, dan denk ik dat je mag stellen dat je als organisatie er klaar voor bent als er iets ernstigs gebeurt. Als je dit nog niet allemaal hebt kunnen afvinken, heb je voor jezelf een mooie lijst van nog te ondernemen acties waar je in de nabije toekomst focus op kan leggen om “er klaar voor te zijn”.