Business Continuity Management
Business Continuity Management (BCM) is een begrip dat nog al eens wordt opgeblazen. Vroeger had een organisatie een calamiteitenplan. Dat beschreef alleen hoe een calamiteit in de ICT aangepakt moest worden. De rest was onderdeel van het BHV-plan. Maar ja, een calamiteitenplan moet onderhouden worden, dat wil zeggen, het moet in beheer genomen Bovendien, wat heb je aan een uitwijkplan voor de ICT, als na een calamiteit de primaire bedrijfsprocessen niet zijn hersteld? En zo werd de term Business Continuity Management geboren. Niemand echter, die precies wist wat er eigenlijk mee bedoeld werd en wat het verschil is met risicomanagement. Eén ding is zeker:
risicomanagement en business continuity management gaan niet zozeer over het voldoen aan de regels, maar over het voorkomen van verrassingen
. Veel van die verrassingen kunnen in de bestaande organisatie worden opgevangen. Mismanagement, debiteurenrisico’s, het wegvallen van belangrijke klanten of aanpassingen in wet- en regelgeving zult u dan ook nooit terug vinden in een calamiteitenplan of business continuity plan. En terecht. De organisatie is er gewoon op ingericht deze calamiteiten te voorkomen. Dus als we het hebben over business continuity management dan gaat het over het beheer van het calamiteitenplan of business continuity plan (BCP), dat ervoor moet zorgen dat de schade van een calamiteit geminimaliseerd wordt.
Business Continuity Plan
Een risico is een kans dat een onzekere gebeurtenis plaatsvindt, met mogelijke gevolgen voor de doelstelling van de organisatie. In het ideale geval doet een bedrijf gestructureerd aan risk management en heeft zijn risico’s en de mogelijke gevolgen in kaart gebracht. Afhankelijk van hoe groot een bedreiging is, kan een organisatie besluiten te voorkomen dat een gebeurtenis plaatsvindt (preventie), het risico dat de gebeurtenis plaatsvindt te accepteren of in tussenliggende gevallen het risico op zich te accepteren maar er wel voor te zorgen dat de schade beperkt blijft. Voor directe schade kan dan een verzekering afgesloten worden terwijl de indirecte schade wordt afgedekt door een business continuity plan.
Het business continuity plan gaat dus over de gevolgschade van gebeurtenissen, waarvoor u zich als organisatie niet kunt of wilt verzekeren. En dan gaat het om onverwachte gebeurtenissen ofwel calamiteiten met als gevolg uitval van:
- mensen,
- locaties of toegang tot locaties,
- nutsvoorzieningen inclusief telecom
- de ICT infrastructuur of toegang tot informatie
- toeleveranciers
- reputatie
(ZBC, 2013)