Vrijwel elke organisatie heeft procedures en instructies ter ondersteuning van de dagelijkse operatie. Aanzienlijk minder organisaties hebben echter ook procedures voor momenten dat het niet ´business as usual´ is. Denk aan verstoringen in de bedrijfsvoering, bedreigingen en crisissituaties. Dit is zeer opmerkelijk aangezien juist dan heldere instructies goed van pas komen. Een crisissituatie maak je tenslotte niet elke dag mee. Dergelijke continuïteitsprocedures kunnen worden vastgelegd in een “Business Continuity Plan” (“BCP”). Business continuity is dan ook niet langer een ‘nice-to-have’. Het is een ‘need-to-have’ geworden.
Wat is een Business Continuity Plan?
Een BCP is een draaiboek waarin wordt vastgelegd welke maatregelen moeten worden genomen direct nadat zich een crisissituatie voordoet. Denk hierbij niet alleen aan het voorkomen van slachtoffers, maar ook aan de continuïteit van uw organisatie. Een BCP heeft tot doel de impact van een crisis, bedreiging of andere verstoring van uw dagelijkse processen te minimaliseren.
Let op: een BCP focust zich enkel op het garanderen van de bedrijfscontinuïteit na een bedreiging, niet op het voorkomen van de bedreiging. Het voorkomen van de bedreiging is immers een onderdeel van uw risicomanagementproces.
Hoe bepaalt u de scope?
Een BCP gaat niet over preventie, maar richt zich volledig op de continuïteit van uw organisatie als er zich toch een bedreiging voordoet. De directe schade van zo’n bedreiging is doorgaans verzekerd, maar de indirecte schade niet. Het BCP richt zich op het voorkomen van indirecte schade. Een BCP bestaat in hoofdzaak uit een aantal specifieke draaiboeken, die los of gecombineerd kunnen ingezet worden als er zich toch een bedreiging voordoet. Bij het opstellen van zo’n draaiboek wordt niet gekeken naar de bedreiging zelf, maar naar het effect van de bedreiging en hoe uw organisatie bij langdurige uitval van kritische resources en bedrijfsmiddelen zo snel mogelijk kan worden voortgezet.
Door deze benadering wordt de scope overzichtelijk. Het gaat om:
- langdurige uitval van
- mensen
- gebouwen
- toegang tot gebouwen of terreinen
- nutsvoorzieningen, inclusief telecom
- ICT
- toeleveranciers, en
- reputatieschade.
Bepaal dus vooraf wat allemaal aan bod moet komen. Dat doet u door een grondige risicoanalyse uit te voeren. U gaat met andere woorden kijken welke elementen een probleem kunnen vormen voor de continuïteit van uw bedrijf. Breng alle risico’s in kaart en bekijk wie of wat het slachtoffer wordt van die risico’s. Op basis van die risicoanalyse kan u dan de inhoud, de prioriteiten en de omvang van het Business Continuity Plan bepalen. Het is verstandig om een BCP goed af te bakenen en niet op te blazen tot een complex business continuity management proces.
Ik heb een BCP. Wat nu?
Heeft u uw BCP effectief geïmplementeerd? Blijf dan niet op uw lauweren rusten. Testen, trainen, onderhouden en verbeteren zijn een absolute noodzaak! Uw organisatie is immers een dynamisch geheel. Als het Business Continuity Plan niet mee evolueert of onvoldoende getest wordt, is het al snel verouderd en irrelevant.
