Hoe moet een organisatie omgaan met vitale kennis van medewerkers in BCM projects?

De menselijke factor blijft voor veel organisaties een moeilijk te managen aspect van continuïteitplanning. Er bestaat bij veel bedrijven en organisaties een zekere schroom om kennis van medewerkers, die voor de organisatie van vitaal belang is, voldoende veilig te stellen. Vaak zelfs wordt het belang van de organisatie opgeofferd aan een, in dit verband, niet altijd gepaste zorg om de privacy of persoonlijke levenssfeer van medewerkers. In geval van een calamiteit, en denk dan bijvoorbeeld ook aan pandemie, kan het verlies van vitale kennis ernstige gevolgen hebben voor de organisatie.

Business Continuity Planners introduceert daarom in de nieuwste versie van de Baucis - BCM software de mogelijkheid om personen die als lijnmager, objecteigenaar, beheerder, interne of externe contactpersoon of lid van een crisis management team of herstelteam van bijzondere betekenis zijn voor de continuïteit van de organisatie, een Zakelijk Testament te laten aanmaken en onderhouden.
Het Zakelijk Testament van een persoon beschrijft vitale kennis van die persoon, documentatie daarover, locatie en back-up locatie van die documentatie, de kenniswaarnemer, IDs, wachtwoorden en opbergplaatsen van sleutels, passen en persoonsgebonden codes, bijzondere vertegenwoordigingen, bijzondere functies, bijzondere verantwoordelijkheden en bijzondere procuraties van deze personen.
Deze waardevolle informatie wordt opgeslagen met voldoende voorzieningen om toegang door onbevoegden te voorkomen en beschikbaarheid na calamiteiten te garanderen.
Het Zakelijke Testament is ondermeer van belang om de organisatie in staat te stellen om over die vitale kennis te kunnen blijven beschikken, ook in geval van niet inzetbaarheid van deze personen als gevolg van een fysieke calamiteit, bij een pandemie, bij plotseling vertrek of geplande afwezigheid.
Aan genoemde personen wordt tevens een Business Prioriteit toegekend op basis van hun belangrijkste functie of rol. Deze Business Prioriteit wordt ondermeer gebruikt om te zorgen dat genoemde personen met juiste prioriteit worden beveiligd, worden geëvacueerd, naar uitwijklocaties worden vervoerd of worden gevaccineerd teneinde te waarborgen dat die personen hun belangrijke rol in het Crisis Management en bij Herstelwerkzaamheden kunnen vervullen. De Business Prioriteit van personen bepaalt voorts per categorie van personen welke specifieke eisen de organisatie stelt aan hun bereikbaarheid, hun beschikbaarheid, hun kennisdocumentatie, gezamenlijk reizen, het regelen van waarneming tijdens afwezigheid et cetera, maar bepaalt bijvoorbeeld ook of een thuiswerkplek, mobiele telefoon of een PDA met bijzondere mailfaciliteiten moet worden verstrekt.

Kan er een indicatie worden gegeven van Continuity Management kosten met en zonder toepassing van BCM software?

De ervaring leert dat organisaties die BCM software hanteren, al in het eerste jaar een verankering van de Business Continuity Management functie realiseren, terwijl die verankering bijna altijd, ook na vele jaren nog, ontbreekt bij organisaties die traditionele hulpmiddelen (word, excel) toepassen.

Initiele investering

De belangrijkste bron van kostenbesparing is gelegen in het feit dat het Business Continuity Management bij toepassing van kwalitatief hoogwaardige BCM software, nagenoeg volledig met eigen medewerkers kan worden ingevuld.
Bijkomende voordelen van inzet van eigen medewerkers zijn gelegen in hogere inhoudelijke kwaliteit en herkenbaarheid van de plannen, kennisborging en continuiteit in de bezetting van de Business Continuity Management functie.
Door inzet van eigen medewerkers worden in de initiele investering besparingen van 60% op out-of-pocket expenses mogelijk ten opzichte van een benadering waarbij overwegend externe consultants worden ingeschakeld.
Het voordeel bedraagt bij kleine organisaties (indic. 500 werkplekken) voor het eerste project tot enige tienduizenden euro's, voor middelgrote organisaties (indic. 2.500 werkplekken) tot ca. € 100.000 en loopt bij zeer grote organisaties (tienduizenden werkplekken) op tot vele honderdduizenden euro's.

BCM beheerkosten

In de BCM beheerkosten zijn belangrijke besparingen te zien in de vorm van lagere kosten van onderhoud van continuiteitsplannen door toepassing van een relationele database omgeving. Over een periode van ca. 4 jaar bezien bedragen de BCM beheerkosten met toepassing van BCM software op jaarbasis ca. 35% van de beheerkosten zonder toepassing van BCM software.

Hoe breed is de verantwoordelijkheid van de Crisis Management Organisatie?

In Nederland maar ook daarbuiten zien we een onevenredig grote aandacht voor Crisis Management in enge zin. Het betreft dan ontruimingen, slachtofferhulp, eerste opvang, noodhuisvesting, crisis communicatie en dergelijke.
De rampenoefeningen van de overheid bij de Arena, in tunnels en bij dijken zijn daar een mooi voorbeeld van.
Alle aandacht gaat uit naar brandweerwagens, ziekenauto's en politiediensten die slachtoffers redden.
Ziet u dan in het Journaal ook ICT-ers die tijdens dezelfde oefening de computersystemen, verbindingen, werkplekken of call centers redden? Kennelijk valt dat buiten de scope van de oefening en buiten de verantwoordelijkheid van de betreffende Crisis Management Organisatie. Dat is iets wat maar door anderen moet worden opgelost met alle gevolgen van dien voor hen die op deze Crisis Management Organisatie vertrouwen.

Zie hier de portentiele ramp naar de ramp. Het vreemde is dus dat de meeste Crisis Management Organisaties zich kennelijk niet voor het herstel verantwoordelijk voelen en dat zij er kennelijk ook niet op worden aangesproken.

Dus, minstens zo belangrijk als de verantwoordelijkheid van de Crisis Management Organisatie voor het Crisis Management in enge zin, is de verantwoordelijkheid van de Crisis Management Organisatie voor het realiseren van noodvoorzieningen en het verzorgen van herstelmaatregelen.

Dit tweede verantwoordelijkheidsgebied van de Crisis Management Organisatie vraagt een hele gedegen voorbereiding en planning, brede deskundigheid, inzicht en overzicht over de organisaties en haar omgeving.

We zien dat het benodigde brede inzicht en overzicht bijna altijd ontbreekt en dat heel veel organisaties na een ernstige calamiteit moeten terugvallen op hoop dat benodigde kennis en inzicht dan beschikbaar zijn, op improvisatie en goedwillendheid van externe instanties en dat is treurig.

In antwoord op de vraag: de Crisis Management Organisatie is zowel verantwoordelijk voor het Crisis Management in enge zin als voor het management van de crisis in brede zin, inclusief het beperken van de gevolgen van de calamiteit.

Om die reden moet een goede Crisis Management Organisatie ook teams omvatten die als integraal onderdeel van het managen van de crisis ook noodvoorzieningen en herstel verzorgen.
Dat zijn teams van de business processen, ICT, facilitaire dienst en zelfs van vitale leveranciers.

Moet herstel van objecten worden gestuurd door Business Prioriteiten of door Technische Prioriteiten?

Business Continuity Planners maakt onderscheid tussen Business Prioriteit van objecten en Technische Prioriteit.
Business Prioriteit van objecten wordt gerelateerd aan het meest van dat object afhankelijke proces. Technische Prioriteiten worden bepaald door de technische functie van een object: een Domain Controller moet bij verlies van de gehele IT configuratie eerder worden hersteld dan een applicatieserver.

De Business Prioriteit van de te herstellen configuratie is bepalend voor de maximaal toelaatbare hersteltermijn. Echter, voor objecten met dezelfde Business Prioriteit is uiteindelijk de Technische Prioriteit bepalend voor de volgorde waarin herstelteams herstelacties zullen gaan uitvoeren.

Is een risicoanalyse verplicht in een Business Continuity Planning project?

De risicoanalyse in het kader van Business Continuity Planning projecten dient twee doelen:

1. om de belangrijkste netto risico's zo objectief mogelijk te bepalen teneinde prioriteit te geven aan de ontwikkeling van continuiteitsplannen voor de strategierichting die bij de belangrijkste netto risico's past.
2. om niet alleen correctieve maatregelen te plannen voor eventuele continuiteitsrisico's maar ook middels preventieve maatregelen zoveel mogelijk te voorkomen dat de organisatie gebruik moet gaan maken van haar continuiteitsplan.

Organisaties die er voor kiezen om de risicoanalyse over te slaan lopen het risico dat zij continuiteitsstrategieen tot plannen uitwerken, die niet gericht zijn op de belangrijkste netto risico's of dat kostbare correctieve maatregelen worden doorgevoerd terwijl mogelijk meer effectieve preventieve maatregelen over het hoofd worden gezien.

Moet voor elke dreiging een worden uitgewerkt?

Business Continuity Planners onderkennen in de Baucis BCM Software ca. 70 continuiteitsdreigingen. Deze worden gegroepeerd naar drie hoofdstrategierichtingen:

Extern kort - bij gevaarlijke stoffen, bezettingen, verkeersproblemen, et cetera

Extern lang - bij brand, explosies, overstroming, et cetera

Intern - bij computervirussen, fouten van beheerders, ziekteverzuim, et cetera.

Over het algemeen zullen herstelmaatregelen voor alle dreigingen met een strategierichting Extern lang nagenoeg gelijk zijn.
Hetzelfde geldt voor herstelmaatregelen voor dreigingen met een strategierichting Extern kort: herstelmaatregelen zullen soortgelijk zijn wanneer een locatie wordt ontruimd vanwege vrijkomend asbest door een brand bij een naburig bedrijf of wanneer een locatie wordt ontruimd vanwege een uitbraak van legionella in de eigen waterleidingen.

Maatregelen tegen dreigingen met een Interne strategierichting zullen wel verschillen. Het maakt wezenlijk verschil of een organisatie maatregelen moet treffen omdat beheerders van computersystemen onvoldoende ervaren zijn of dat een organisatie maatregelen moet treffen om arbeidsonrust te verhelpen.
Om die reden is het van belang dat de BCM tooling mogelijkheden biedt om meerdere alternatieve strategieen uit te werken.