Hoe schrijf je een continuïteitsplan?

Written by Manu Steens in BCM 
Een continuïteitsplan schrijven is een actie die niet op zichzelf alleen staat. Het gebeurt ingebed in een BCM-proces. De meest noodzakelijke stap die absoluut noodzakelijk is hiertoe is de opmaak van een business impact analyse. Een stap die daarbij eveneens nuttig kan zijn, maar minder noodzakelijk is volgens sommige scholen, is de risicoanalyse. Die helpt met het opstellen van het risicoregister.In deze bijdrage schrijf ik mijn eigen opinie, niet die van enige organisatie.  
Auteur: Manu Steens

Wat heb je nodig en hoe maak je een BCP (Business continuity plan)?

Op basis van bovenstaande, en van de bestaande processen boetseer je dan een bedrijfscontinuïteitsplan na het opmaken van actieplannen.

Die actieplannen geven het BCP een ‘fighting chance’. Als de maatregelen niet genomen worden, of slecht uitgewerkt zijn, kan het BCP niet veel effect hebben.

Het BCP bestaat dan uit contactlijsten, een ‘reasonable worst case scenario’ of crisissteekkaarten, en herstelplannen.

Inhoud

Hoe zien die documenten eruit?

Het BCP zelf:

Volgens Wikipedia is een BCP “Een set van documenten die preventief worden uitgewerkt om in geval van ramp een organisatie toe te laten zijn kritieke diensten te blijven leveren op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd.”

Een mogelijke inhoudsopdeling van het BCP is als volgt:

  • Managementoverzicht
    • Doelstelling en scope van het BCP
    • Kritieke processen
    • Types van situaties voor het plan met een doorverwijzing naar de crisissteekkaarten
    • Referentie aan andere documenten
  • Rollen en verantwoordelijkheden
  • Activatieschema
  • Communicatieprocessen met de belboom en rapporteringslijnen
  • Opsommingen van benodigdheden en contacten
  • Noodscenario’s
    • Voor elke van de kritieke processen wordt hieronder een overzicht gegeven van volgende informatie:
      • de processen waarvan het kritieke proces afhankelijk is en de noodzakelijke gegevens;
      • de processen die afhankelijk zijn van het kritieke proces en de noodzakelijke gegevens;
      • de middelen die noodzakelijk zijn voor het adequaat laten verlopen van het kritieke proces;
      • de mensen die noodzakelijk zijn voor het adequaat laten verlopen van het kritieke proces.
    • Zodra een kritiek proces uitvalt, moeten volgende stappen gezet worden:
      • verwittigen proceseigenaars van afhankelijke gebruikers;
      • contacteren proceseigenaars aan de leverancierszijde;
      • nagaan welke middelen beschikbaar zijn;
      • nagaan welke mensen beschikbaar zijn.
  • Schema van de beëindiging van de crisis
  • Document management informatie
  • Bijlagen
    • Crisissteekkaarten
    • Herstelplannen
    • Pandemieplan
    • Arbeidsveiligheidsplan
    • Crisismanagementplan

De crisissteekkaarten:

Een crisissteekkaart is een bondig document dat een mogelijke afhandeling van een enkelvoudig type crisis aanbeveelt. Het omvat telkens een enkele oorzaak die de organisatie voor tal van gevolgen kan zetten. Oorzaken kunnen van natuurlijke, menselijke, of natech-oorsprong zijn.

Een mogelijke inhoudsopgaven voor crisissteekkaarten kan zijn:

  • Beschrijving van het type gebeurtenis
  • Te nemen crisisstappen, in een voorstel van een mogelijke volgorde.
  • Lijst van personen met een mogelijke sleutelrol, zowel internen als externen aan de organisatie
  • Een lijst met voorgestelde vragen die het CMT (Crisis Management Team) kan stellen om zich ten gronde te informeren over de situatie op verschillende momenten doorheen de crisisafhandeling.

De herstelplannen:

Een herstelplan bevat maatregelen die kunnen worden geactiveerd in een crisissituatie, waarmee de entiteit kan terugkeren naar gewoonlijk.

Het plan beschrijft te nemen repressieve en protectieve maatregelen, zodat na een crisis de schade binnen de aangegeven grenzen blijft.

De basisinsteek komt van de bedrijfsimpactanalyse met een beeld van : 

  • De belangrijkste processen;
  • De schade door uitval van processen;
  • De grens van de schade die men aan kan.

Meer uitleg over herstelstrategieën vind je op https://emannuel.nl/wat-zijn-herstelstrategieen-voor-een-bcp/

Een BCP gemaakt, en dan?

Een BCP is dus geen enkelvoudig document dat eenmaal opgesteld in de kast kan verdwijnen. Het moet herbekeken worden telkens de BIA gebeurt of de risicoanalyse een andere situatie aanwijst, intern in de organisatie, of extern in de omgeving. Een BCP is een document dat zijn waarde moet verdienen tijdens crisissituaties. Daarom ook is het niet geschreven om op het schab te belanden, maar om minstens jaarlijks geoefend te worden. Daarbij kan normaal zeer veel inspiratie gehaald worden uit de crisissteekkaarten, waar men van kan afwijken door de situatie net iets anders te maken dan de zuivere enkelvoudige crisis. Een combinatie van crisisgebeurtenissen, of een cascade van gebeurtenissen, kunnen heel originele insteek leveren ten aanzien van de noden in het BCP.

De beste manier om goede en actuele wijzigingen aan het BCP te doen, is door de productie en leveringsmogelijkheden te bekijken in de actuele (geo)politieke context en wetgeving. Dit kan input leveren voor de BIA’s van sommige (productie)processen, waardoor er nieuwe onderwerpen zijn voor allerlei topics in het BCP, met mogelijks een of meerdere nieuwe crisissteekkaarten en / of herstelplannen als eindproduct binnen de set van documenten.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts