Bedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering Carolina Stevens Departement Bestuurszaken Seminarie crisis- en reputatiemanagement Consciencegebouw 6 oktober 2009
Inhoud 1. Wat is bedrijfscontinuïteitsmanagement? 2. Link met crisismanagement 3. Acties vanuit de werkgroep Beveiliging / BCM 4. Vragen
Bedrijfscontinuïteitsmanagement (BCM) Wat? BCM = onderdeel van organisatiebeheersing Organisatiebeheersing “Zorgen dat de winkel goed draait” • men weet waar men naar toe wil (strategie en doelstellingen); • men weet of beseft wat de hinderpalen hierbij zijn (risico’s voor het bereiken van de strategie en doelstellingen); • men acties onderneemt om deze hinderpalen te beheersen (controle- of beheersmaatregelen)
Bedrijfscontinuïteitsmanagement (BCM) Waarom BCM? Thema-audit IAVA in 2007 VR 2008/20.06/MED.0274 Aangezien BCM grotendeels een operationele verantwoordelijkheid inhoudt en tegelijkertijd een overkoepelende aanpak nuttig is, zal ik (Vlaams Minister bevoegd voor Bestuurszaken) het CAG vragen om het verslag van IAVA te onderzoeken en concrete voorstellen te doen om de BCM-maturiteit te verhogen
BCM componenten (wat komt er bij kijken?) Crisis Management Herstel Bedrijfsvoering
Nood Planning BCM
Continuïteits Planning
IT herstelplan Pandemie Planning
Hoe BCM binnen de Vlaamse administratie? Binnen de Vlaamse administratie wordt gewerkt met een getrapt systeem • Eerste niveau = entiteitsniveau Het is de verantwoordelijkheid van de leidend ambtenaar om de nodige acties en maatregelen te treffen om incidenten te beperken, op te vangen, de continuïteit van de diensten te verzekeren en het herstelbeheer op te starten.
•
Tweede niveau = beleidsdomeinniveau. Het komt toe aan het beleidsdomein om de gepaste structuur inzake bedrijfscontinuïteit en crisis- en herstelbeheer op te zetten. Hierbij kan het managementcomité of de beleidsraad een scenario uitwerken dat toegepast wordt binnen het beleidsdomein.
•
Derde niveau = Vlaamse overheid = het coördinatie- en crisiscentrum
Continuïteitsplanning Waarom? Moet de organisatie in staat stellen dat ze voorbereid en georganiseerd is, met het oog op het • garanderen van de beschikbaarheid van de (tijds-)kritieke processen en dienstverlening; • waarborgen van essentiële bedrijfsactiva; • minimaliseren van de impact van een incident of ramp; • beschikbaar stellen van getrainde mensen om in noodsituaties en herstelsituaties in te zetten; • garanderen van het vertrouwen van klanten en andere belanghebbende partijen.
BCM en crisiscommunicatie Een continuïteitsplan bestaat uit meerdere onderdelen, namelijk o.m. volgende onderdelen • de continuïteitsplanningsstrategie • de continuïteitsteams (verantwoordelijkheden & taken) • de ondersteunende informatie en faciliteiten • de plannen (evacuatieplannen, procedures) MAAR OOK COMMUNICATIELUIK (crisiscommunicatie)
Werkgroep Beveiliging / BCM • Opdracht? in opdracht van CAG en SOBO voorstellen uitwerken ter verhoging van de maturiteit van bedrijfscontinuïteit (n.a.v. opdracht Minister Bourgeois)
• Wie? Vertegenwoordigers van de 13 beleidsdomeinen en vertegenwoordigers van de overkoepelende dienstverleners
Werkgroep Beveiliging / BCM • Bedoeling is een draaiboek met sjablonen uit te werken die gebruikt kunnen (niet moeten) worden om de continuïteitsplanning uit te tekenen. Bedoeling finale versie klaar te hebben eind november (bespreking op 26/11/2009) Belangrijke focus van de werkgroep > optimaal samenwerken en streven naar synergieën en bewaken van consistentie met leidraad IC/OB en andere beslissingen
Werkgroep Beveiliging / BCM Daarom wordt er voor het luik communicatie in het draaiboek dan ook samengewerkt met de afdeling Communicatie van DAR (eenvormigheid van sjabonen) Draaiboek met sjablonen zal via website en sharepoint ter beschikking gesteld worden
Vragen?
Bijkomende info Website • www.vlaanderen.be/internecontrole • http://www2.vlaanderen.be/internecontrole/bcm.html
Vlaamse regering • VR 2008/20.06/MED.0274 – Snelinfo 2008/31 http://koepel.vonet.be/nlapps/docs/default.asp?id=3407
• VR 2009/08.05/DOC06.51 – Snelinfo 2009/13 http://koepel.vonet.be/nlapps/docs/default.asp?id=5435
Bijkomende info Contactgegevens: Departement Bestuurszaken, stafdienst Carolina Stevens
[email protected] 02/5530375 Consultancy bedrijfscontinuïteitsplanning via de dienstencataloog van e-IB • Ascure (Filip De Wolf – 09/2431020) • EDS Telindus (Olaf Jonkers – 016/385810) Opleidingsaanbod i.s.m. het agentschap voor Overheidspersoneel (en Ascure)
Leidraad IC / OB – 11 thema’s
http://www2.vlaanderen.be/internecontrole/instrument.htm EFFECTIVITEIT
PLAN
Belanghebbendenmanagement Belanghebbendenmanagement Doelstellingen Doelstellingen en en risicomanagement risicomanagement ORG ORG
A C T
HRM HRM
DO
CUL CUL FIM FIM mgt mgt
CHECK
ICT ICT
FAM FAM ICO ICO Monitoringsystemen Monitoringsystemen
EFFICIENTIE
Veranderingsmanagement Veranderingsmanagement
I N T E G R I T E I T
K W A L I T E I T
Definitie BCM BCM = het is het beheersproces dat risico’s identificeert en beperkt, de mogelijke impact v/e onderbreking van (tijds)kritieke bedrijfsprocessen en ondersteunende systemen minimaliseert met als ultieme doel het tijdig herstellen van de kritische bedrijfsprocessen.
Risicomanagement
http://www2.vlaanderen.be/internecontrole/risicomgt.htm
1. Risico's identificeren organisatieniveau & procesniveau 5. Risico's monitoren en rapporteren
2. Risico's beoordelen impact & waarschijnlijkheid 4. Risico's beheersen aanvaarden, beperken, delen, vermijden aanvaarden Rest risico
beperken delen vermijden
Risico strategie
M
H
H
L
M
H
L
L
M
3. Beheersmaatregelen in kaart brengen adequaatheid & effectiviteit
Risicomanagement Nadat de organisatie haar doelstellingen heeft goedgekeurd en gecommuniceerd, zal zij beslissen hoe en op welke wijze ze uitvoering zal geven aan de doelstellingen. De obstakels (= risico’s) die de organisatie kan tegen komen bij het uitvoeren van deze doelstellingen worden in kaart gebracht. Dit veronderstelt een duidelijk inzicht in de werking en de processen (= procesanalyse).
Impact / probabiliteit • Een inschatting over de probabiliteit is een inschatting over de kans dat het risico zich effectief zal voordoen (de waarschijnlijkheid) • Bij de inschatting van de impact wordt een oordeel gegeven hoe erg het dan voor de organisatie is als het risico zich effectief manifesteert.
Risicostrategie Als de risico’s gedetecteerd zijn, dient de organisatie te beslissen welke strategie ze zal hanteren (risico-appetijt). Hierbij zijn er 4 mogelijkheden: • • • •
Niets doen – risico’s aanvaarden (accept) Vermijden (avoid) Beheersen / beperken > beheersmaatregelen (reduce to acceptable level) Transfereren (transfer)