Wat is de grootste zwakte in de meeste continuïteitsprogramma’s?

Wat is de grootste zwakte in de meeste continuïteitsprogramma’s?

Auteur: Manu Steens

In deze bijdrage schrijf ik mijn eigen mening, niet die van enige organisatie.

De zwakte is de bekendheid van het begrip ‘BCP’ (Business Continuity Plan).

Vaak, wanneer ik met collega’s spreek over opdrachten van BCM, hoor ik dat ze de opdracht hebben om ‘een BCP (Business Continuity Plan) te schrijven’. Dit is een enorm risico voor de organisatie die zo’n opdracht uitgeeft. De focus is namelijk minstens onvolledig te noemen.

Waar zit het addertje onder het gras?

Doordat een CEO de opdracht geeft om een BCP te maken voor zijn organisatie bestaat er een reële kans dat precies dat document het doel op zich wordt. De opdracht wordt opgenomen als een project. Men huurt snel een consultant in om dat document te schrijven, en nadien kan men het voorleggen aan audit, die het afvinkt op de lijst. En dat geeft problemen.

Welke problemen zijn er dan?

De geschetste aanpak heeft een aantal systematische risico’s door het niet implementeren van een Business continuïteitsmanagementproces.

Vooreerst moet men weten dat het proces een cyclisch gebeuren is dat een aantal processtappen kent. Problemen kunnen dan ontstaan bij elk van de ontbrekende te nemen stappen. Deze stappen zijn volgens Joop Franke in zijn boek ‘Op weg naar continuïteit en weerbaarheid – een weg- en werkwijze(r)’:

• Vooronderzoek
• Voorstel BCMP Organisatie inrichting
• Beleid
• Realisatie van de BCMP-organisatie
• BIA
• RA
• Kosten Baten
• Realisatie BCP en herstelplannen
• Testen BCP
• BCMP Procesbeheersing

Ik bespreek nu de risico’s van het weglaten van elk van deze stappen.

Vooronderzoek

In het vooronderzoek wordt bepaald met wat voor organisatie je te maken hebt. Dat is van belang om te weten waar in het organogram je best de business continuity manager plaatst. Als je niet weet waar die optimaal geplaatst wordt, zal deze zijn werk niet naar behoren kunnen uitvoeren. Het BCMP (BCM Proces) is dan gedoemd om te mislukken omdat het niet ernstig genomen wordt.

Verder bepaalt het vooronderzoek hoe de organisatie ervoor staat qua BCM. Het bepaalt o.m. de sponsor. Als die niet gekend is, heeft het BCMP geen bestaansrecht.

Daarnaast analyseert het de stakeholders. Als deze analyse niet gebeurt, zal het BCMP hen niet de juiste aandacht geven. Het BCMP gedraagt zich dan alsof de organisatie zich in een vacuüm bevindt. Bij een crisis zal de organisatie dan ook niet op hen kunnen rekenen. Ook de eigen medewerkers zijn stakeholders. Zonder hun sterktes en zwaktes te kennen zal het BCMP hun vaardigheden niet doelgericht kunnen aanscherpen, waardoor ze niet optimaal kunnen ingezet worden tijdens een crisis.

Als de bestaande risicomaatregelen niet gekend zijn, zal het BCMP misschien dubbel werk doen, wat neerkomt op verspilling van mensuren en middelen.

Zonder het grondige vooronderzoek zijn ook de risico-appetijt en -capaciteit niet gekend. Dat betekent dat de organisatie niet op een geëigende met risico’s zal omgaan.

Daarnaast is de toepasselijke wet- en regelgeving van belang. Als die niet grondig gekend is en wordt toegepast, zal de organisatie te veel juridische fouten maken, en geplaagd worden met rechtszaken.

Tenslotte moet de heersende BCM-maturiteit ingeschat worden. Als men dat niet doet, weet men in feite niet wat de groeipolen zijn van het BCM en dreigt men stil te staan of vast te lopen.

Voorstel en realisatie BCMP Organisatie inrichting

Zonder een grondige organisatie van het BCMP is er onduidelijkheid over de te ondernemen activiteiten. De activiteiten die men toch zou kennen, zal men niet toegewezen hebben aan medewerkers. De benodigde mensen, middelen, het coachen en de opleiding die de mensen zullen nodig hebben is dan ad hoc of onbestaande. Er gebeurt daardoor een hoop verspilling, dubbel werk en ontbrekende activiteiten. Hoe er moet worden samengewerkt is niet gedefinieerd, en heeft geen houvast. Hoe er gerapporteerd moet worden en van wie aan wie is niet bepaald, niet gekend.

BCMP-relevante overlegstructuren zijn niet bepaald.

Beleid

Zonder door het topmanagement goedgekeurd beleid is er geen ‘rechtsgrond’ om een BCM-werking te hebben, laat staan dat een BCP ingebed zou kunnen zijn in een gestructureerd BCMP.

BIA (Business Impact analysis)

Zonder BIA zal de organisatie geen idee hebben van wat het potentieel kan verliezen bij een crisis waarbij een proces, gebouw, of een deel van het personeel uitvalt. Het zal evenmin weten hoeveel het van wat hoe snel nodig heeft om de continuïteit te garanderen van een dienst of een operationele productie. Die dingen zijn van wezenlijk belang voor een BCP. Het bedrijf zal er geen idee hebben van welke processen de belangrijkste zijn en waarom. Noch welke tools de belangrijkste zijn. Het heeft geen idee van de maximaal tolereerbare uitvalsduur van elk van de kritieke processen.

RA (Risicoanalyse)

Zonder risicoanalyse heeft het bedrijf er geen idee van welke oorzaken te linken zijn aan welke gevolgen van welke gebeurtenissen. Het kan de bedreigingen niet inschatten en zal veel opportuniteiten missen. Daarmee kent het zijn kwetsbaarheden niet, noch hoe groot die zijn en welke bedreiging omwille van welke oorzaak-gevolgcombinatie de belangrijkste is. Zonder risico-universum is het bedrijf stuurloos in het bepalen van de bedreigingen op vlak van operationeel- en enterprise risicomanagement.

Bottom line: er is hierdoor een probleem om maatregelen te identificeren tegen de ongekende risico’s.

Kosten Baten

Zonder een kosten-baten analyse en zonder een ‘value on investment’-analyse te maken van maatregelen kan de organisatie niet bepalen welke maatregelen nuttig en nodig zijn. Het zal dus met veel kans te veel investeringen doen, of te weinig, of de verkeerde.

Realisatie BCP en herstelplannen

Door een BCP ‘out of the blue’ te laten maken is de kans zeer groot dat het een eenheidsworst-BCP wordt. Een kans op een BCP dat in al zijn facetten relevant is in gebruik door de organisatie is nihil. Er zal gewerkt worden met de mening van de consultant wat betreft de interpretatie van de ‘redelijkerwijze ernstigste situatie’. Die is niet noodzakelijk relevant voor de organisatie. De aanpak van die situatie hangt ook grotendeels af van de improvisatie van die consultant, omdat hij niet de tijd noch de bestelling heeft om een werkzaam BCMP op poten te zetten. Van herstelplannen als onderdeel van het BCP zal er helemaal geen sprake zijn. In het beste geval bevat het een aantal contactlijsten, die hopelijk volledig en relevant zijn voor het bedrijf.

Testen BCP

Doordat de focus ligt bij een ‘ad hoc BCP’ zal er van testen wellicht geen sprake geweest zijn bij de bestelling. Als er toch een test van het BCP zou komen, zou dit aangeven dat het fel in gebreke blijft en best verticaal geklasseerd wordt. Daarmee staat het bedrijf dan even ver als voor de uitbesteding van de opdracht.

BCMP Procesbeheersing

Doordat het proces niet gecreëerd wordt zal er geen continue verbetering zijn van de continuïteitsgarantie van de organisatie. Het management zal niet verbeteren in haar mogelijkheden om crisissen af te handelen. In de handen van een alerte auditor zal de organisatie een onvoldoende scoren.

Conclusie

Het is zinloos om een BCP te bestellen zonder dat dit kan ingebed worden in een volledig werkzaam BCMP. Het is weggesmeten geld, en dan doe je het beter niet. Door het BCP niet in te bedden in een BCMP creëert men een vals gevoel van security, waardoor een tijdlang alles goed gaat, tot het fout gaat. Dan zal het ook echt fout gaan. En dat niet om een enkele reden, maar om een veelheid aan redenen zoals ik hier heb geschetst. De geschetste redenen zijn wellicht slechts het deksel van de doos van Pandora.