Auteur: Manu Steens
In deze bijdrage schrijf ik mijn eigen mening, niet die van enige organisatie.
Standaarden
ISO 31000 schrijft in grote mate op hoofdlijnen voor hoe een risico management systeem er uit kan zien. Het schrijft voor dat je een risicoassessment moet uitvoeren, en moet komen tot maatregelen, die je dan moet implementeren. Het schrijft echter niet voor hoe je een maatregel moet beoordelen (zie mijn eerdere blog https://emannuel.nl/hoe-een-maatregel-van-business-continuity-management-en-risico-management-beoordelen/).
Het beschrijft evenmin hoe je weet of je voorbereid bent op een risico. Het is daarover dat ik het nu wil hebben. Want als een maatregel positief beoordeeld werd, begint het feitelijke werk pas.
Een eerste stap
Een eerste stap die je moet nemen is het effectief uitvoeren van een risicoassessment. Daar is geen weg rond. Dat moet je doen. Maar het definiëren van een maatregel is pas het begin van de feitelijke operationele voorbereiding op het risico. Daarbij zijn enkele zaken die je moet ondernemen / controleren naast het implementeren.
- Heb je budget?
Voorzie budget dat groot genoeg is. En daarvan zijn er meerdere soorten budgetten die je kan voorzien.
Een eerste is het budget dat je nodig hebt voor de implementatie van de gekozen maatregel.
Een tweede is het budget dat je kan nodig hebben voor een externe verzekering.
Een derde is het budget dat je kan nodig hebben om door de donkere tijden te komen, een soort overbruggingsbudget.
Een mogelijke vierde is een budget in de vorm van een captive. Dat is pas relevant voor zeer grote risico’s of voor grote risicoportefeuilles.
Deze budgetten moeten vertegenwoordigd zijn in de balans. Zonder dubbele doeleinden.
- Heb je mensen?
Bij veel crisissen zijn er altijd handen tekort bij de operationele activiteiten. Je denkt best op voorhand na welke mensen en welke types van profielen je zal nodig hebben. Bespreek dit op voorhand met HR, om te kijken of zij in hun stuk van het business continuity plan (BCP) de van hen verlangde activiteiten kunnen opnemen. Kennen ze mensen met de geschikte profielen? Kennen ze de nodige contacten om er vlot aan te geraken? Ook HR moet dus een handje toesteken.
- Heb je materiële middelen?
De mensen kunnen veelal niets doen als ze niet beschikken over de nodige uitrusting. Heb je daartoe de nodige back-up uitrusting? Heb je de nodige goederen en informatie om het werk of de diensten verder te zetten? Zitten hier goederen of uitrusting tussen die dubbel genoteerd zijn als back-up voor meerdere doeleinden, bij meerdere maatregelen? Kan de organisatie zich dit veroorloven?
- Heb je de nodige informatie (verspreid)?
Dit kan de belboom zijn binnen je organisatie, de log-in gegevens van het verwittigingssysteem? Zijn de eigen medewerkers op de hoogte van de maatregel waar nuttig en nodig? Is de omgeving (intern en extern) op de hoogte van het mogelijke risico indien dit voor hen relevant is? De andere stakeholders ook?
- Heb je een eigenaar van het risico?
Wie is verantwoordelijk om het risico aan te pakken wanneer het zich materialiseert? Is dat de proceseigenaar? Iemand anders? Is het afhandelen van de crisis bij een andere persoon gelegd? Met hem/haar besprak je eerder reeds de maatregel in een operationele beoordeling. (cfr. URL Supra.) Wie doet wat en wie rapporteert aan het Crisis management team (CMT)?
- Heb je een sponsor van het risico?
Doorgaans is dit een hoog geplaatste manager die de budgetten voor de maatregel goedkeurt. Daarnaast besprak je eerder met hem/haar reeds de maatregel in een strategische beoordeling. (cfr. URL Supra.)
Tenslotte, indien een maatregel niet mogelijk bleek, heb je dan een plan van aanpak? Heb je gesproken met risicomanagers van andere organisaties die soortgelijke risico’s kunnen hebben en die plannen hebben? Kun je ervaringen uitwisselen? Kun je overeenkomsten sluiten met concullega’s voor gemeenschappelijke inzet van mensen wanneer een risico optreedt?
Conclusie
Het afvinken van deze lijst voorkomt niet dat je maatregel kan falen. Maar het kan tenslotte alleszins de geïnteresseerde partijen ervan overtuigen dat de organisatie al de nodige stappen ondernomen heeft om het risico af te wenden, te voorkomen of te mitigeren indien het optreedt.