Enigszins in stilte is de nieuwe ISO 22301 goedgekeurd en gepubliceerd. Het is inmiddels de tweede editie van een van de eerste normen gebaseerd op de High Level Structure (HLS). Familie van ISO 9001 dus. Daarmee is ISO 22301 uitermate geschikt voor organisaties die ISO 9001 al toepassen. Mits business continuity management voldoende toegevoegde waarde levert. Voldoende reden om deze nieuwe norm aan een klein onderzoek te onderwerpen.
Leverbetrouwbaarheid is voor veel inkopers een belangrijk criterium om een potentiële leverancier op te beoordelen. Vanuit de verkopende zijde is leverbetrouwbaarheid een voorwaarde om succesvol te zijn. Voor het realiseren van een hoge mate van leverbetrouwbaarheid is de continuïteit van de processen voor het leveren van producten en diensten essentieel.
ISO 22301
ISO 22301 heeft als onderwerp business continuity management systems en is afkomstig uit de hoek van de maatschappelijke veiligheid. Het is een onderwerp dat een sterke samenhang kent met crisismanagement en vooral bekendheid geniet in de vitale sectoren. Denk hierbij aan de sectoren die essentieel zijn voor de continuïteit en veerkracht van de maatschappij, zoals beheerders van de elektriciteitsvoorziening en de (digitale) infrastructuur.
Maar ook organisaties – met wellicht een beperktere maatschappelijk impact – zouden voordeel kunnen genieten van het implementeren van een business continuity management system (BCMS). Iedere organisatie – ook de kleinere – die de wens heeft om te leveren aan industrieën waar leverbetrouwbaarheid belangrijk is, zou met een BCMS het vertrouwen kunnen wekken dat zij in staat is de benodigde leverbetrouwbaarheid te realiseren.
Organizational of Business Continuity?
Allereerst is het essentieel om overeenstemming te hebben over wat het doel van Business Continuity (BC) is. Gaat het om het voortbestaan van een organisatie, of om de continuïteit van de business? Of is dat simpelweg hetzelfde?
In ISO 22301 wordt business continuity gedefinieerd als: ‘het vermogen van de organisatie om producten of diensten te blijven leveren binnen een acceptabel tijdschema op een vooraf vastgesteld niveau tijdens een verstoring‘. Een vrije vertaling van ‘business’ leest dan als: ‘het leveren van producten en diensten’ op. Ofwel, datgene waarmee een organisatie geld genereert.
Vanuit een maatschappelijk oogpunt is het, met name binnen vitale sectoren, vanzelfsprekend dat bepaalde producten en diensten continu moeten worden geleverd. Het is nu eenmaal niet acceptabel dat de elektriciteitsvoorziening enkele uren wordt onderbroken. Of dat de brandweer éven niet kan komen.
Misschien maakt het voor de maatschappij niet zoveel uit of jouw business overeind blijft, maar voor je klanten kan continue levering essentieel zijn. Een BCMS kan daar een hulpmiddel in zijn.
Misschien maakt het voor de maatschappij niet zoveel uit of jouw business overeind blijft, maar voor je klanten kunnen jouw producten of diensten van levensbelang zijn. Het kan voor jouw klanten essentieel zijn dat je de continue levering van producten en diensten kunt garanderen. Een BCMS kán daar een hulpmiddel in zijn.
Er zijn veel mogelijke oorzaken die het voortbestaan van de organisatie als geheel bedreigen. Het niet nakomen van de afspraken om producten en diensten is er daar één van, omdat niet leveren betekent: geen factuur sturen. Ofwel, geen inkomsten ontvangen. En mogelijk zelfs: extra kosten maken.
ISO 22301 gaat over business continuity en daarmee indirect ook over organizational continuity.
ISO 22301 gaat over business continuity, maar daarmee indirect ook over organizational continuity.
Waarom niet gewoon ISO 9001 toepassen?
Het waarborgen van de continuïteit van het leveren van producten en diensten kent een sterke verwantschap met het begrip ‘leverbetrouwbaarheid’. Leverbetrouwbaarheid wordt nog wel eens beschouwd als onderdeel van ISO 9001, omdat niet (op tijd) leveren leidt tot ontevredenheid bij klanten.
Lees ook: De vergeten essentie van de ISO 9001 norm.
Het best gelezen artikel van SigmaOnline in 2019!
Een logische redenering, waardoor organisaties (en auditoren) op zoek gaan naar risico’s (en kansen) die betrekking hebben op het stilvallen van het leveren van producten en diensten. Denk aan het risico dat een belangrijke medewerker door omstandigheden niet beschikbaar is. Of het ontbreken van een keuringsticker op een brandblusser. Want,als er brand uitbreekt, dan ben je niet in staat om aan je klanten te leveren.
Een kwaliteitsmanagementsysteem (KMS) richt zich op de inherente kenmerken van producten en diensten. Ieder geleverd product en iedere geleverde dienst moet de kenmerken bezitten die door klanten of vanuit relevante wet- en regelgeving vereist zijn. De maatregelen die moeten worden genomen binnen een KMS zijn gericht op het waarborgen van de aanwezigheid van die vereiste kenmerken.
Neem als voorbeeld het onderwerp vrijgave van producten. Dit staat in paragraaf 8.6 van ISO 9001. Daar staat onder andere dat een product of dienst pas mag worden vrijgegeven als aan alle geplande maatregelen die nodig zijn om aan de eisen te voldoen, is voldaan. Als een specifiek product niet mag worden vrijgegeven, kan dit betekenen dat een product te laat wordt geleverd. De continuïteit van leveren staat daarmee onder druk. ISO 9001 richt zich dus niet op continuïteit, maar op het consequent voldoen aan de eisen die aan producten en diensten worden gesteld.
Natuurlijk hebben de maatregelen en het bewustzijn voortkomend uit de toepassing van ISO 9001 een gunstig effect op de continuïteit. Maar ISO 9001 zou niet moeten worden gebruikt als Zwitsers zakmes. ISO 22301 kent juist wel een aantal ‘tools’ die gericht zijn op het waarborgen van die continuïteit.
Belangrijkste verschillen tussen een BCMS en KMS
Om verschillen te benoemen, is het nuttig eerst vermelden dat er overeenkomsten zijn. Zoals al eerder aangegeven is ISO 22301 een van de eerste normen gebaseerd op de HLS. Daardoor is ISO 23301 voor de geoefende ISO 9001-gebruiker eenvoudig te lezen.
Met name het managementsysteemdeel van de normen is vrijwel gelijk. Wie de norm leest, zal al snel zien dat op hoofdstuk 8 na de paragrafen vrijwel gelijk zijn aan de eisen behorende tot de eisen uit de HLS. En daarmee grotendeels met ISO 9001. Al weten we ook dat ISO 9001 op enkele plaatsen toch afwijkt van de kerneisen uit de HLS. Zo ook ISO 22301.
Het meest essentiële verschil met ISO 9001 is dat ISO 22301 uitgaat van twee verschillende soorten risico’s.
Het meest essentiële verschil is dat ISO 22301 uitgaat van twee verschillende soorten risico’s. In paragraaf 6.1 wordt van een organisatie vereist dat men nadenkt over de effecten van onzekerheid in relatie tot het BCMS. In paragraaf 8.2.3 gaat het vervolgens om de risico’s die samenhangen met de continuïteit van het leveren van producten en diensten. ISO 9001 daarentegen kent één soort risico’s en kansen. Namelijk alleen risico’s en kansen die invloed hebben op het vermogen van de organisatie om producten en diensten te leveren die aan de eisen van klanten en vanuit relevante wet- en regelgeving voldoen.
Het gevolg van deze andere kijk op risico’s en kansen is dat de ‘operationele planning en beheersing’ binnen ISO 22301 gericht is op de beheersing van de maatregelen die nodig zijn om continuïteit van het leveren van producten en diensten te managen. Binnen ISO 9001 is de ‘operationele planning en beheersing’ gericht op het managen van de processen die nodig zijn om producten en diensten te leveren.
Anders gezegd: ISO 22301 richt zich op het optimaliseren van de bescherming, opdat de processen zo min mogelijk worden verstoord. ISO 9001 zich richt op het optimaliseren van die processen, opdat de uitkomst voldoet aan de eisen. Het gevolg is dat vanuit een andere invalshoek naar de processen wordt gekeken.
Het hart van een BCMS volgens ISO 22301: de Business Impact Analyse
De operationele planning en beheersing van een BCMS bestaat volgens ISO 22301 uit de volgende stappen:
- Business impact analyse en risk assessment
- Business continuity strategies and solutions
- Business continuity plan and procedures
- Exercise programme
Deze stappen zijn geen eenmalige acties maar vormen gezamenlijk het uitgangspunt van de maatregelen ter bescherming van de processen. Het hart van deze maatregelen is de Business Impact Analyse (BIA) en het onlosmakelijk verbonden Risk Assessment (RA).
Een BIA houdt in dat een organisatie nadenkt over wat haar belangrijkste producten en diensten zijn. Althans, voor welke producten en diensten continuïteit van leveren het meest essentieel is. Voor sommige producten en diensten geldt dat de continuïteit van leveren, de leverbetrouwbaarheid, voor klanten minder zwaar weegt. Of de leverbetrouwbaarheid is voor de organisatie minder belangrijk, omdat ze worden geleverd aan klanten die een minder groot deel van de omzet vertegenwoordigen of die om een andere reden strategisch minder belangrijk zijn. De prioriteit moet liggen bij de continue levering van de belangrijkste producten en diensten.
Vervolgens moet een organisatie nadenken volgens welke processen deze producten en diensten tot stand komen en welke activiteiten (en middelen) daarbij essentieel zijn. En welke afhankelijkheden daartussen bestaan. Een productieproces kan voor een goed resultaat afhankelijk zijn van één specifieke activiteit die afhankelijk is van één specifieke medewerker. Of één specifieke machine. Of één specifieke freewareapplicatie op één werkplek.
Het niet beschikbaar zijn van die specifieke medewerker, machine of applicatie kan ertoe leiden dat het gehele productieproces stilvalt.
Het niet beschikbaar zijn van die specifieke medewerker, machine of applicatie kan ertoe leiden dat het gehele productieproces stilvalt. Het kan best zijn dat andere activiteiten binnen het proces uitgevoerd kunnen worden, maar als net die ene activiteit niet kan worden uitgevoerd omdat toevallig die specifieke machine niet beschikbaar is, dan kan er uiteindelijk toch geen product worden afgeleverd.
Het stilvallen van deze activiteiten, leidt tot het stilvallen van de gehele productieketen. In ISO 22301 worden dit de geprioriteerde processen en activiteiten genoemd. Deze geprioriteerde processen en activiteiten (inclusief de middelen die hiervoor nodig zijn) moeten enerzijds worden beschermd tegen verstorende incidenten en anderzijds moeten zij na een verstorend incident weer als eerste operationeel zijn. Vervolgens moet worden vastgesteld hoe lang deze geprioriteerde processen en activiteiten mogen worden onderbroken na een verstorend incident. Dit wordt de maximum tolerable period of disruption (MTPD) genoemd.
ISO/TS 22317 bevat een verhelderende afbeelding om dit te verduidelijken:
Bron: ISO/IEC 22317 – Societal Security – Business continuity management systems – Guidelines for business impact analysis (BIA).
De impact van een verstoring van een proces neemt toe met de tijd. Het kan zijn dat de impact in eerste instantie nog draaglijk is voor de organisatie. Maar naarmate de tijd vordert en het leveren van producten en diensten langer stilligt, neemt de impact toe tot een niveau dat niet meer acceptabel is voor de organisatie. De tijd die verstrijkt tussen het stilvallen en het groeien tot een onacceptabel impactniveau is de MTPD.
Zodra deze analyses zijn uitgevoerd, moet het Risk Assessment worden uitgevoerd. Dit specifieke onderzoek richt zich op de gebeurtenissen die tot een verstorend incident kunnen leiden. Een verstorend incident verhindert een geprioriteerd(e) proces of activiteit. Dit kan zowel een interne als een externe oorsprong hebben. De focus van het risk assessment ligt bij het bepalen van de risico’s op verstoring van de geprioriteerde activiteiten en de benodigde middelen.
Bij een verstoring van externe oorsprong kan worden gedacht aan een storing in het net van uw telecomprovider, waardoor belangrijke (logistieke) gegevens niet op tijd beschikbaar zijn. Of een blokkade van aanvoerwegen naar uw locatie, waardoor uw leveranciers óf uw klanten u niet meer kunnen bereiken.
Een interne verstoring kan zijn dat die ene medewerker niet aanwezig kan zijn, waardoor een specifieke activiteit niet wordt uitgevoerd. Of die ene machine die in storing valt. Misschien door gebrekkig onderhoud. Of misschien wel die freewareapplicatie op die ene werkplek die vastloopt omdat de uitgever geen updates meer uitvoert.
Het prioriteren van producten en diensten, processen en activiteiten/middelen is geen simpel klusje voor een regenachtige middag. Het inzicht dat een vanuit een KMS is verkregen, kan als vertrekpunt dienen, maar is – omdat de invalshoek anders is – niet afdoende. De geïdentificeerde kwaliteitsrisico’s en kansen kúnnen overlap hebben met continuïteitsrisico’s, maar zullen nooit volledig zijn. Daardoor zal vanzelfsprekend geen geschikte strategie noch voldoende oplossingen worden ingevoerd.
Business continuity strategies and solutions
Op basis van de uitkomst van de BIA en het RA bepaalt een organisatie welke opties er zijn voorafgaand aan een verstoring, tijdens een storing en na afloop van een storing. Eén van de leidende criteria hierbij is in welke mate de strategie en de daaruit voortvloeiende oplossingen bijdragen herstellen van de activiteiten binnen de MTPD. Hierbij geldt ook de bereidheid van de organisatie tot het nemen van risico’s en de kosten en baten die gepaard gaan met de oplossing.
De organisatie moet bepalen welke middelen nodig zijn om de oplossingen te implementeren. Hierbij kan worden gedacht aan uitwijkmogelijkheden, zowel fysiek als virtueel. Maar ook het opleiden van meer medewerkers voor geprioriteerde activiteiten.
Business continuity plans and procedures
Zodra de strategie en oplossingen zijn bepaald, moet de organisatie een structuur implementeren om te reageren op verstorende incidenten. Deze structuur moet zorgen voor tijdige waarschuwingen en communicatie met belanghebbenden. Er moeten plannen en procedures zijn om de organisatie te managen tijdens een verstoring. Deze business continuity plansmoeten een organisatie de weg wijzen hoe te reageren op een verstoring en het leveren van diensten te hervatten, in lijn met de doelstellingen.
Excercise programme
De oplossingen die een organisatie kiest zijn hopelijk nooit nodig in werkelijkheid. Daardoor zijn de acties die behoren bij de oplossingen geen onderdeel van de dagelijkse routine. Wetende dat het al gauw enkele weken duurt om als individu nieuw gedrag aan te leren, ligt het voor de hand dat organisaties meer dan één keer cruciale ‘noodprocedures’ zouden moeten oefenen om ervoor te zorgen dat iedereen weet wat te doen op een moment van de waarheid.
Een tweede argument om te oefenen is dat het niet mogelijk is om de effectiviteit van deze oplossingen tijdens de dagelijkse gang van zaken te meten en monitoren. De evaluatie van oefeningen moet de data opleveren aan de hand waarvan kan worden vastgesteld of de oplossingen doeltreffend zijn. Hopelijk voordat ze daadwerkelijk in werking moeten treden.
Wat levert een BCMS op?
Opbrengsten mogen niet los worden gezien van investeringen. Het implementeren van een BCMS is voornamelijk een preventieve investering. Het is vooraf lastig om een reële business case te maken van de besparingen die worden gerealiseerd. De werkelijke besparingen hangen grotendeels af van het aantal en de ernst van de verstorende incidenten die doeltreffend het hoofd zijn geboden.
Een BCMS gebaseerd op ISO 22301 biedt je afnemers de zekerheid dat je in ieder geval over een aantal onderwerpen hebt nagedacht.
Voor de eigen organisatie kan de investering in een BCMS worden gezien als de verzekeringspremie voor het voortbestaan. Voor afnemers kan een BCMS de zekerheid betekenen dat de productieprocessen niet zullen stilvallen als gevolg van het gebrek aan de grondstoffen die je levert. Ofwel, een argument om een langdurige relatie met jouw organisatie aan te gaan.
Een BCMS gebaseerd op ISO 22301 biedt je afnemers de zekerheid dat je in ieder geval over een aantal onderwerpen hebt nagedacht. Potentiële afnemers weten dat je onder andere een BIA en RA hebt uitgevoerd en zouden deze met je kunnen bespreken om inzicht, maar vooral vertrouwen, in jouw organisatie te verkrijgen. Een eventueel ISO 22301-certificaat kan dit nog verder vereenvoudigen.
Resumerend
ISO 22301 is breder toepasbaar dan de sectoren die zich nu bezighouden met business continuity management. De gemeenschappelijke elementen vanuit de HLS helpen met de integratie in een doeltreffend KMS. Het inzicht in de processen vanuit dat KMS kan een goed vertrekpunt zijn voor de analyses die nodig zijn voor een BCMS.
Met name voor wat kleinere organisaties, waar noodgedwongen de nodige ‘single points of failure’ bestaan, is het zinvol om na te gaan waar de impact van een verstorend incident het leveren van producten en diensten en mogelijk het voortbestaan van de organisatie direct bedreigt. Voorbereid zijn op een verstorend incident kan het verschil maken tussen blijven voortbestaan of noodgedwongen moeten stoppen. Voldoende reden om aandacht aan ISO 22301 te besteden.
Ronald Spruit is zelfstandig adviseur op het gebied van kwaliteitsmanagement, business continuity management en conformiteitsbeoordeling. Door zijn deelname aan de normcommissies voor deze onderwerpen, is hij meer dan gemiddeld op de hoogte van de letterlijke inhoud en de bedoelingen van de normen op deze vakgebieden. Contact: advies@ronaldspruit.nl
