Elke bedrijfsleiding heeft vele zakelijke,
morele en sociale verantwoordelijkheden waarvan ze zich in meer of mindere mate
bewust is. Denk maar aan de al dan niet formele overeenkomsten die men moet
nakomen ten opzichte van klanten, werknemers, aandeelhouders, de overheid,…
Klanten willen vanuit het oogpunt van supply chain risk management zekerheden
over het feit of hun leverancier hen ten allen tijden kan beleveren en leggen
boeteclausules vast in hun contracten. Verzekeringsagenten willen weten hoe hun
klant zal reageren moest er zich een incident in de onderneming voordoen en
passen hun premies hierop aan. In de war for talent willen (toekomstige)
werknemers zekerheden over hun loopbaan binnen een onderneming en stellen eisen
aan hun werkgever. Overheden leggen steeds striktere wetgeving op voor
‘risicovolle’ bedrijven. Kortom, diverse stakeholders maken zich, net als
uzelf, zorgen over de continuïteit van uw organisatie.
De bezorgdheid van deze stakeholders is terecht: talrijke incidenten kunnen de continuïteit van de bedrijfsvoering van de organisatie bedreigen. Deze incidenten kunnen verwacht (denk maar aan aangekondigde stakingen) of onverwacht (bijvoorbeeld noodweer of cyberaanvallen) zijn en hun impact op de bedrijfsvoering kan verschillen. Één ding hebben ze gemeen: zonder een goede voorbereiding en respons kunnen ze ervoor zorgen dat uw organisatie niet verder kan functioneren, dat dus de ‘Business Continuity’ in gevaar is.
Het op een gestructureerde omgaan met de uitdagingen rond het verzekeren van continuïteit van bedrijfsvoering is beter gekend als de discipline ‘Business Continuity’. Business Continuity is de strategische en operationele bekwaamheid van een organisatie om zich voor te bereiden en te antwoorden op mogelijke incidenten en onderbrekingen van de continuïteit zodat men verder kan functioneren op een vooraf bepaald niveau van bedrijfsvoering. Business Continuity Management (BCM) is het management proces waarmee Business Continuity opgezet, gemanaged en geïmplementeerd wordt in de organisatie. Kortom, geborgd wordt in alle processen van uw organisatie.
Tot voor kort was de belangrijkste norm in dit vakgebied de BS 25999 de British Standard voor Business Continuity Management. Deze norm bestaat uit 2 delen:
- Deel 1: ‘Code of Practice’ waarin de best practices rond BCM worden beschreven om toe te passen in uw organisatie
- Deel 2: ‘Specification’ waarin de eisen voor het BCM systeem worden opgesomd. Dit deel kan gebruikt worden om een BCM systeem op te bouwen en te laten certificeren.
Sinds enige tijd werkt ISO aan een internationale norm voor Business Continuity Management, ISO 22301, gebaseerd op de bestaande normen en publicaties rond Business Continuity Management. Onder andere deze BS 25999, maar ook de ISO Guide 73, de ISO 27031 en nog enkele andere bronnen. Het is dus zeker niet zo dat de nieuwe ISO norm een internationale versie van BS 25999-2 is, maar toch vertonen beide documenten grote gelijkenissen. Deze nieuwe ISO norm is gepubliceerd in de maand mei van 2012.
De ISO 22301 maakt deel uit van de reeks standaarden rond Societal Security. Het doel van deze reeks is standaarden te voorzien voor alle mogelijke actoren die betrokken zijn voor, tijdens en na een incident met impact op de maatschappij. Alle normen die in deze reeks verschijnen, dragen de prefix 223. Andere normen die binnenkort zullen verschijnen in deze reeks zijn normen rond massa evacuatie en management van noodsituaties.
De ISO 22301 somt de vereisten voor een Business Continuity Management System op, waardoor certificatie tegen deze norm mogelijk is. De norm beschrijft de vereisten voor een management systeem, wat wil zeggen dat de gekende PDCA cirkel ook in deze norm aanwezig is.
Als eerste van een reeks aankomende ISO normen, is de vorm van deze norm gebaseerd op ISO Guide 83, die uniformisering van de management systeem normen wil bereiken door standaardisatie van structuur, hoofding en vaak voorkomende tekst. Deze evolutie zorgt ervoor dat bedrijven steeds eenvoudiger één geïntegreerd managementsysteem voor verschillende domeinen (kwaliteit, milieu, …) kunnen opzetten.
Zoals andere ISO normen, beschrijft ISO 22301 wat een organisatie nodig heeft om op een goede manier de continuïteit van bedrijfsvoering te verzekeren op maat van de grootte, cultuur en beschikbare middelen van de organisatie. Er wordt niet in detail beschreven hoe men dit kan bereiken. Hiertoe wordt momenteel de ISO 22313 opgesteld, die zich nu in de DIS fase bevindt. Deze norm zal een toelichting zijn bij ISO 22301. Tot het verschijnen van deze norm biedt de BS 25999-1 ondersteuning bij interpretatie van ISO 22301.
In vergelijking met BS 25999-2 worden een aantal zaken consistenter en meer in detail uitgewerkt in ISO 22301. Zo vraagt ISO 22301 om de eisen van alle stakeholders op te lijsten en mee te nemen in het opzetten van Business Continuity Management System. Ook het wetgevend kader en andere eisen die de organisatie onderschrijft, moeten worden geïdentificeerd en hun impact geëvalueerd. Het gedeelte rond crisiscommunicatie in geval van een incident is ook meer gedetailleerd uitgewerkt in vergelijking met BS 25999-2.
Specifiek voor de ISO 22301 is dat het gedeelte rond risk assessment, het beoordelen van mogelijke risico’s op onderbreking van de kritische activiteiten van de organisatie, volledig in lijn is uitgewerkt met ISO 31000, de ISO standaard voor Risk Management.
Gezien de grote gelijkenissen tussen beide normen, zal de BS 25999-2 worden teruggetrokken in het najaar van 2012. Bedrijven die reeds een BS 25999-2 certificaat hebben , of zich momenteel in een implementatie traject naar BS 25999-2 bevinden, kunnen door middel van een gap analyse de nodige bijkomende stappen om te voldoen aan ISO 22301 identificeren.
De nieuwe ISO 22301 biedt de mogelijkheid aan bedrijven die reeds een managementsysteem gebaseerd op een andere ISO standaard hebben opgezet, op een gelijkaardige manier BCM te integreren in dit managementsysteem. Ook bedrijven die nog geen operationeel managementsysteem hebben, vinden in het verschijnen van deze norm een kans om op een gestructureerde en georganiseerde wijze de continuïteit van hun bedrijfsvoering te verzekeren.
Het is duidelijk dat de mogelijkheid en bekwaamheid om te reageren op incidenten die de continuïteit van de organisatie kunnen bedreigen, op verschillende vlakken waarde zal toevoegen voor de organisatie. In eerste instantie zal men, door meer inzicht te hebben in de eigen organisatie, kritische processen en producten, procesverbeteringen kunnen aanbrengen of betere strategische keuzes kunnen maken. Naast de eigen organisatie zullen ook de verwachtingen die de verschillende stakeholders stellen aan de organisatie duidelijker worden, zodat men directer hierop kan inspelen.
Ook naar de markt toe zijn er een aantal voordelen: de verbeterde interne inzicht en het afstemmen van de bedrijfsstrategie hierop kunnen zorgen voor een concurrentieel voordeel ten opzichte van andere spelers op de markt.
Ook zal de algemene reputatie van de organisatie verbeteren, met mogelijk nieuwe klanten of andere opportuniteiten tot gevolg.
Men kan een BCM-systeem opgezet volgens ISO22301 laten certificeren door een externe partij. Dit certificaat geeft een objectief bewijs van het voldoen aan de eisen van de norm en kan gebruikt worden als staving naar de geïnteresseerde stakeholders.
Tine Bernaerts
consultant risk management
Amelior
tb @amelior.be