Onze diensten

Hoe realiseer je bedrijfscontinuïteit?

Auteur: William Kulk
Datum: 20-07-2020

Bedrijfscontinuïteit, voor veel organisaties momenteel relevanter dan ooit. Waar lig jij wakker van? Welke risico’s wil en moet jouw organisatie beheersen? Is jullie bedrijfscontinuïteitsplan nog actueel? Business Continuity Management (BCM) heeft tot doel de continuïteit en het voortbestaan van bedrijven te waarborgen. Het gaat hierbij om de kritische bedrijfsprocessen tijdens crisisomstandigheden voort te zetten en het kapitaal en de reputatie te beschermen. Hebben jullie capaciteitsproblemen, te maken met grote organisatorische wijzingen, overnames, cyber-attacks? Oftewel, waar kan jij hulp bij gebruiken en waar wil je meer informatie over ontvangen? In deze blog geef ik alvast wat toelichting op diverse topics aan de hand van ons flowermodel.

Strategie

Langetermijnrelaties opbouwen
Door te investeren in het opbouwen en uitbreiden van de relatie met de klant, ben je in staat een sterke band op te bouwen. Hierdoor win je het vertrouwen dat aan de basis staat van meer business. Naast het voordeel dat je sneller kunt inschatten wat de huidige en toekomstige behoeften van de klant zijn, verhoogt het de kans dat je ook in (economisch) slechtere tijden mag blijven werken voor de klant.

Aankomende wet- en regelgeving
Nederland kent veel wet- en regelgeving. Veel organisaties vinden compliant zijn belangrijk. Het is dan ook van belang om als organisatie bewust te zijn van het juridisch kader waarbinnen de organisatie zich begeeft. Hierdoor zijn mogelijke compliancerisico’s ook beter te beheersen. Dat vraagt niet alleen inzicht in huidige wet- en regelgeving, maar juist ook in aankomende wijzigingen en wetten en regels. Organisaties die de wetgeving niet naleven, lopen het risico op hoge boetes, denk bijvoorbeeld aan de privacywet AVG. Ook kan bijvoorbeeld de bedrijfscontinuïteit in gevaar komen, door het vergeten van een vergunningsaanvraag.

Tip voor organisaties zonder legal- of compliance officer: maak duidelijke afspraken wie binnen de organisatie verantwoordelijk is voor wet- en regelgeving. Huur indien nodig kennis in. Tip voor alle organisaties: bepaal periodiek, maar in ieder geval jaarlijks, welke nieuwe of gewijzigde wet- en regelgeving voor jouw organisatie relevant is en pas daar vervolgens het beleid en de processen op aan. Leg alle relevante wet- en regelgeving vast in een handig overzicht of compliancetool. Maak in het overzicht ook direct inzichtelijk op welke wijze aan de geldende regels wordt voldaan. Meer weten over dergelijke compliance tools? Laat het ons weten!

Managementsystemen
Binnen QSN merken we vaak dat de behoefte aan een ISO-certificering voort is gekomen vanuit een klantvraag. Voor ons is het de uitdaging om organisaties te overtuigen dat ISO veel meer is dan een certificaat aan de muur. Het is de implementatie van een effectief managementsysteem. Er zijn ook diverse managementsystemen waarin Business Continuity een integraal onderdeel vormt. Denk bijvoorbeeld aan ISO 27001 voor informatiebeveiliging, NEN 7510 voor informatiebeveiliging in de zorg, maar ook ISAE voor Assurance en ISO 22301, dé norm voor Business Continuity. Heeft jouw organisatie al langer het voornemen om te certificeren of in ieder geval volgens de normeisen te werken? Neem contact op, we vertellen je graag meer over certificeringsmogelijkheden of onze compliance verklaring.

Verandermanagement

Overname en fusie
Een overname of fusie heeft vaak als doel om financiële- en productietechnische voordelen te creëren voor de betrokken partijen. Dergelijke trajecten zijn spannend en intensief. Een succesvol fusie- of overnametraject kan je bedrijfscontinuïteit voor jaren veilig stellen, maar daarentegen kan een moeizaam traject de groei remmen of erger. Een belangrijke factor in fusies en overnames is communicatie. Fusies genereren sterke emotionele reacties, omdat alle betrokkenen (personeel, leveranciers en klanten) zich afvragen wat de verandering voor hen betekent. Maak een onderscheid in de verschillende betrokkenen, bijvoorbeeld door het uitvoeren van een contextanalyse. Benadruk de mogelijkheden die ontstaan. Communicatie is de smeerolie van een fusie of overname, dus stel een communicatieplan op, inclusief tijdlijn, taakverdeling en procedures.

Een aantal communicatietips:

  • Gebruik het communicatieplan als basis. Zorg dat er duidelijkheid is over wie, waarover en wanneer communiceert. Zorg dat iemand de communicatie bewaakt voor het realiseren van eenduidigheid;
  • Je kunt beter te veel dan te weinig communiceren;
  • Wees open en eerlijk en beloof terugkoppeling op zaken die nu nog niet bekend zijn;
  • Toon inlevingsvermogen in de verschillende groepen betrokkenen en richt je op hun zorgen;
  • Communiceer met respect; werknemers zijn geen productiemachine;
  • Vermijd managementjargon en wees duidelijk;
  • Communiceer de conclusies die hebben geleid tot de fusie/overname én het denken daarachter;
  • Communiceer top-down, inventariseer bottom-up.

Beheerste wijzigingen
Minder ingrijpend dan een fusie of overname, maar zeker niet zonder impact, zijn de ‘normale’ wijzigingen. Denk aan een verhuizing, een nieuwe productielijn opzetten of bijvoorbeeld een reorganisatie. Om te zorgen dat bedrijfsprocessen zo min mogelijk worden verstoord, is het belangrijk om op een beheerste manier met wijzigingen om te gaan. Dit noemt men ook wel het Management of Change (MoC) proces.  Om wijzigingen beheerst door te voeren kan een MoC-formulier worden gebruikt. Het inregelen van een MoC-proces geeft antwoord op vragen die het succes van een wijziging kunnen bepalen. Welke factoren spelen een rol? Welke middelen zetten we in? Wie neemt wanneer welke stappen? Wil je alvast een voorbeeld template ontvangen? Neem contact op.

Financiën

Reserves opbouwen
In de periode 2008-2013 had ondernemend Nederland het zwaar. Bedrijven hadden weinig vet op de botten en konden moeilijk aan geld komen bij de bank. Het werd toen pijnlijk hoe afhankelijk men was van deze insolvabele banken. Na de ‘bankencrisis’ gingen bedrijven steeds meer financiële buffers aanleggen, om dergelijke situaties in de toekomst te voorkomen. Een korte toelichting op drie verschillende reserves:

  • Winst- of algemene reserves. De (for profit) ondernemer is vrij om te bepalen hoe deze reserves worden ingezet. Dat kan zijn het aflossen van een lening of juist het doen van een investering. Voor non-profits is het iets anders. Zij moeten deze reserves besteden aan de doelstellingen van de organisatie.
  • Herwaarderingsreserve. Wanneer onroerend goed wordt herwaardeerd, is het goed mogelijk dat de waarde hoger is dan bij aanschaf van het goed. Het verschil tussen aanschaf en (hogere) herwaardering komt op de balans als herwaarderingsreserve. Is de herwaarding lager dan de aanschafwaarde? Dan kan dit van de reserve worden afgetrokken voordat het verschil op de winst- en verliesrekening komt. Deze reserve is dan ook bedoeld om schommelingen op de onroerendgoedmarkt op te vangen. Bijkomend voordeel: een dergelijke reserve verhoogt het eigen vermogen en daarmee ook de solvabiliteit en kredietwaardigheid van de onderneming.
  • Bestemmingsreserves. Deze reserves komen vooral voor in de non-profitsector. Zij zijn gekoppeld aan een specifieke bestemming zoals nieuwbouw of groot onderhoud. Reserves zijn dan een soort ‘spaarpot’ voor de toekomst. Het bestuur is niet meer vrij om voor een andere bestemming te kiezen. Een voorbeeld is de Reserve Aanvaardbare Kosten (RAK) in de gezondheidszorg. Deze ontstaat uit een overschot bij de vergoeding van de verzekerde zorg en mag in toekomstige jaren alleen aan dat doel worden uitgegeven.

Investeren in duurzaamheid
Duurzaam ondernemen, Maatschappelijk Verantwoord Ondernemen (MVO) en Maatschappelijk Verantwoord Inkopen (MVI) zijn ook vanuit het oogpunt van bedrijfscontinuïteit interessante onderwerpen. Het verduurzamen van de organisatie wordt vaak vanuit drie vlakken beschreven:

  • People (welzijn van medewerkers en maatschappij);
  • Planet (duurzame bedrijfsactiviteiten als bewust energieverbruik en milieuvriendelijk productieproces);
  • Profit (effect van bedrijfsactiviteiten op omgevingsfactoren als werkgelegenheid en infrastructuur).

Verduurzaming kan diverse positieve effecten hebben op de organisatie en haar bedrijfscontinuïteit. Zo gaat de invoering van MVO vaak gepaard met een personeelsbeleid waarin alle werknemers een stem hebben. Die betrokkenheid kan gunstige bijeffecten hebben, zoals meer efficiency op de werkvloer of een lager ziekteverzuim. Er zijn nog tal van andere mogelijke voordelen:

  • Je verbetert de reputatie van je bedrijf;
  • Je loopt vooruit op (strenge) milieuwetgeving;
  • Je bent aantrekkelijker voor prospects die duurzaamheid belangrijk vinden;
  • Je bent sneller een geschikte samenwerkingspartner voor de overheid;
  • Je verbetert je concurrentiepositie ten opzichte van organisaties die niet met MVO bezig zijn;
  • Je dient als ondernemer een groter doel. Je bent niet alleen bezig met het tevreden stellen van jezelf en je directe omgeving, maar je geeft ook iets terug aan de maatschappij.

Binnen QSN helpen wij steeds meer klanten bij het certificeren op de MVO Prestatieladder. Lees er meer over op deze pagina. 

Personeelsmanagement

Capaciteitsmanagement
Hoe bepaal ik wanneer ik meer personeel moet aannemen? Welke nieuw te werven competenties helpen me nu écht verder als bedrijf? Het zijn vragen waar iedere ondernemer of personeelsmanager zich mee bezig houdt. Er zijn gelukkig handigheden die je hierbij kunnen helpen. Een aantal van deze hulpmiddelen zijn zelfs onderdeel van een ISO-traject bij QSN. Zo kun je kennis- en competenties in kaart brengen met behulp van functieprofielen en bestaande kennis per medewerker overzichtelijk in kaart brengen in een kennismatrix. Met deze hulpmiddelen ben je beter in staat ‘knowledge gaps’ te signaleren en daar tijdig op te anticiperen.

Wegvallen sleutelfiguren
Binnen iedere organisatie zijn er sleutelfiguren. Het zijn vaak pilaren in de organisatie en zij beschikken over dusdanige kennis dat ze eigenlijk onmisbaar zijn. Hierin schuilt het risico. Want wat zou er gebeuren als deze medewerkers plotseling langdurig uitvallen en informatie niet meer direct opvraagbaar is? In het kader van continuïteit raden wij dan ook aan om te starten met het opstellen van werkinstructies – in ieder geval voor kritische processen – en deze vast te leggen in een (geback-upte) kennisbank. Een kennisbank kan in verschillende vormen worden ingericht, bijvoorbeeld met behulp van systemen als Sharepoint, Notion en Confluence. Maar een kennisbank kan ook worden gebruikt om de dienstverlening naar klanten te verbeteren, bijvoorbeeld met een kennisbank in ServiceNow of Zendesk.

Een andere tip: neem in functieprofielen van medewerkers op welke collega een functie kan vervangen, in geval iemand langdurig uitvalt. Zorg er dan ook voor dat deze elkaar vervangende medewerkers zijn geïnformeerd over de kritische taken die zij zullen overnemen. Heb je hier aanvullende vragen over? Bel ons op 0252 547000.

Informatiebeveiliging

Cyberaanvallen
Gemeentes of universiteiten die ‘gegijzeld’ worden, in geldnood verkerende prinsen uit Nigeria, CEO’s van techgiganten die Bitcoin promoten via een (gehackt) Twitter-account. Cyberaanvallen, ze zijn er al jaren. Het is een mondiale schadepost van meer dan 100 miljoen dollar (ongeveer 87 miljoen euro) op jaarbasis. Cybercrime in vier categorieën:

  • Malware aanvallen
    Gevolg: informatieverlies
    Gemiddelde kosten: 1,2 miljoen euro
  • Webgebaseerde aanvallen
    Gevolg: informatieverlies
    Gemiddelde kosten: 1,2 miljoen euro
  • Denial-of-Service (DOS)
    Gevolg: bedrijfsverstoring
    Gemiddelde kosten: 1 miljoen euro
  • Kwaadwillende insiders
    Gevolgen: bedrijfsverstoring en informatieverlies
    Gemiddelde kosten: 1 miljoen euro (0,5 miljoen per incident)

De cijfers spreken voor zich en zijn reden genoeg om de bestrijding van cybercrime definitief op de agenda te zetten. In onze ISO 27001 trajecten besteden we hier volop aandacht aan. We brengen de risico’s in kaart en stellen samen met jou procedures op voor het beveiligen van kantoor, apparaten, systemen en gegevens. Als organisatie kun je met dit onderwerp morgen al aan de slag. Bespreek de gevaren van cybercrime met je medewerkers. Wat zijn voor jullie relevante dreigingen? Phishing mails? Social engineering?

Een belangrijke tip voor het daadwerkelijk levendig houden van cybercrime is het opzetten van awareness campagnes. Een mooi voorbeeld; een van onze klanten gaf alle medewerkers een leuk cadeau voor de zomervakantie: het boek ‘Het is oorlog, maar niemand die het ziet’ van Huib Modderkolk. In het boek wordt het onderwerp cybercrime op een spannende, laagdrempelige manier besproken. Een creatieve manier om awareness rondom informatiebeveiliging te verhogen.

Logische toegangsbeveiliging
Om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen, is het belangrijk om een adequaat beleid voor toegangsbeveiliging te hebben. Stel bijvoorbeeld een autorisatiematrix op. Hierin leg je vast wie voor zijn of haar functie tot welke systemen toegang moet hebben. Ga hierbij altijd uit van het need-to-know- of need-to-use-principe. Heeft deze medewerkers wel écht toegang nodig tot deze informatie? Durf kritisch te zijn. Wil je meer tips over toegangsbeveiliging? Neem contact met ons op voor een vrijblijvend adviesgesprek.

Back-up en logging
Anno 2020 zijn we zo afhankelijk geworden van data en de voorziening daarin, dat het kwijtraken van deze informatie ernstige gevolgen kan hebben voor het imago en de continuïteit van je bedrijf. Wat zou er gebeuren als je twee weken data van vijftig klanten kwijt bent? Of als je er na een maand pas achter komt dat een van je systemen gehackt is? De gevolgen kunnen desastreus zijn. Daarom wil je de vinger aan de pols houden. Hoe? Door back-upmaatregelen goed (geautomatiseerd, volledig en redundant) in te regelen én procedures in te regelen die toezien op het naleven van deze back-upmaatregelen. Vooral het ‘toezien op’ zien wij regelmatig misgaan.

Voor wat betreft logbestanden is het belangrijk allereerst in kaart te brengen wat er in de verschillende systemen gelogd kan worden, hoe deze informatie in analyses gebruikt kan worden en wie er noodzakelijkerwijs toegang dient te hebben tot deze bestanden. Voorbeelden van nuttige logging: wie heeft wat aangepast in een systeem (dit kan ook ter controle van een leverancier zijn die in jouw systeem werkt), aantal foutieve inlogpogingen (denk aan brute-force aanvallen) of het loggen van code (bijvoorbeeld om te kunnen debuggen). Ook binnen zorgorganisaties helpen wij steeds vaker bij het implementeren van NEN 7512 en NEN 7513.

Langdurige verstoringen

Pandemie
Corona, de impact van het virus is doorgedrongen tot in de kern van onze samenleving en daarmee ook het bedrijfsleven. Gelukkig zijn we veerkrachtig en komen we met creativiteit en aanpassingsvermogen een heel eind. Op steeds meer risicoanalyses staat inmiddels dan ook het kopje ‘Pandemie’. Pandemie als risico benoemen op een risicoanalyse is een goed begin. Het is daarnaast raadzaam om een pandemie – of elke andere relevante verstoring wat dat aangaat – als scenario te beschrijven in het bedrijfscontinuïteitsplan. Formuleer vervolgens een aantal te nemen stappen zodra het scenario werkelijkheid wordt. Vergeet ook vooral niet om het scenario te testen en te evalueren. Zo blijf je ‘in het heetst van de strijd’ kalm en professioneel.

Calamiteiten
Hetzelfde geldt eigenlijk voor calamiteiten als brand of langdurige stroomuitval. Neem ook deze scenario’s op in het bedrijfscontinuïteitsplan, waar relevant. Simuleer eens een brandoefening (bij voorkeur in de zomer met goed weer i.v.m. het verzamelen op de parkeerplaats) en kijk of het opgestelde stappenplan ook adequaat wordt uitgevoerd. Is dat niet het geval, analyseer de afwijkingen, bespreek deze en verbeter het proces. Doe dat ook voor stroomuitval; flip die hoofdschakelaar eens om. Loopt de administrateur met de salarisgegevens nog op tafel naar buiten zonder de deur af te sluiten? Werkt de UPS zodat (kritische) data kan worden opgeslagen? Ook hier is het belangrijk de bevindingen te registreren en analyseren, om vervolgens beheersmaatregelen te implementeren. En als laatste; hoe staat het met arborisico’s? Is ook de RI&E van jouw organisatie nog actueel? Sluit deze aan op recente veranderingen die hebben plaatsgevonden?

Heeft jouw organisatie ook een Business Continuity uitdaging? Neem contact op, we praten graag met je verder.

Contact

Bronvermelding:
Informatie over cybercrime -> www.accenture.com
Informatie over financiële reserves -> www.performa-or.nl
Informatie over fusie en overname -> ‘Checklist Communicatie bij fusie en overname’, Outside In Marketing & Communication

Flowermodel