BUSINESS CONTINUITEIT
BUSINESS CONTINUITY MANAGEMENT
Tine Bernaerts, Consultant risk management, Amelior
Business Continuity Management volgens ISO 22301: Societal Security – Business Continuity Management Systems PRENNE 19/09/2013 Tine Bernaerts Amelior
Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, digitale kopie, scan of op welke wijze dan ook en voor gelijk welke doeleinden, zonder voorafgaande schriftelijke toestemming van Amelior. Het gedeeltelijk of volledig gebruik van de inhoud van deze uitgave is verboden, tenzij met uitdrukkelijke voorafgaande schriftelijke toestemming van Amelior.
Wat biedt Amelior? WAT? • CONTROL: Beheersing, stabiliteit brengen
• IMPROVE: Systematisch verbeteren
• INSPIRE: Betrekken, inspireren, enthousiasmeren
HOE?
• Consultancy • Coaching • Interim management • Training (open en in-company) www.amelior.be © Amelior – geen kopie toegelaten
2
Specifiek Welzijn op het Werk 1. Managementsystemen OHSAS 18001, Dynamisch Risicobeheersysteem integratie met Kwaliteit, Milieu en Energie
2. Ontwikkelen veiligheidscultuur - Behaviour Based Safety 3. Compliance • Machineveiligheid voor studiedienst, maintenance, preventieadviseurs • Gevaarlijke producten (eSDS, Toxicologie, …) • Wetgevingsregister – Compliance audits Erkende opleiding Preventieadviseur (i.s.m. Howest) • Multidisciplinaire Basisvorming • Specialisatiemodule Niveau 1 • Specialisatiemodule Niveau 2 Basisopleidingen Niveau 3, HL, …
www.amelior.be
© Amelior – geen kopie toegelaten
3
Agenda 1. Algemene principes van Business Continuity Management • Wat is BCM? • Terminologie • Voordelen van BCM • Toepasbaarheid van BCM
2. Relatie BCM en Enterprise Risk Management
3. ISO 22301:2012 Societal Security – Business Continuity Management Systems
© Amelior – geen kopie toegelaten
4
Algemene principes van Business Continuity Management BCM? • Strategische en operationele bekwaamheid van een organisatie om zich voor te bereiden en te antwoorden op mogelijke incidenten en hun impact op de continuïteit van de organisatie zodat men verder kan functioneren op een vooraf bepaald niveau van bedrijfsvoering Strategisch en operationeel: op elk niveau van de organisatie Voorbereiden en antwoorden op: vooraf plannen en op het moment zelf uitvoeren Incidenten en hun impact op de continuïteit: één soort incidenten die kunnen leiden tot continuïteitcrisis Verder functioneren: doel = overleven Vooraf bepaald niveau van bedrijfsvoering: niet onmiddellijk op niveau van voor crisis
• Management proces om incidenten en hun impact te identificeren, kader om de veerkracht van een organisatie te vergroten met aandacht voor stakeholders, reputatie, merknaam en waarde creërende activiteiten (naar ISO 22301)
© Amelior – geen kopie toegelaten
5
Algemene principes van Business Continuity Management Waarom BCM? • Belangrijk onderdeel van goed bedrijfsbeheer = continuïteit Belangrijkste doelstelling van elk bedrijf
• Verantwoordelijkheden bestuurders en eigenaars Verbintenissen met / verantwoordelijkheden naar diverse stakeholders (intern en extern) Morele en sociale verantwoordelijkheid naar maatschappij en werknemers
• Alle mogelijke onderbrekingen: Man made vs. natural hazards
© Amelior – geen kopie toegelaten
6
Terminologie ‘incident’ Wat is een incident in het kader van BCM? • Gebeurtenis, beperkt in de tijd
• Uitzonderlijk van aard • Potentieel zeer hoge impact: geeft aanleiding tot crisis Financieel Reputatie Operationeel
• Onverwacht, en dus moeilijk te anticiperen • Slechte en zeer weinig informatie beschikbaar op ogenblik van incident • Beperkte opties ter beschikking om te reageren Een incident (=gebeurtenis) kan aanleiding geven tot een crisis (=situatie)
© Amelior – geen kopie toegelaten
7
Terminologie ‘crisis’ Oorzaken van crisissituaties Externe factoren
Interne factoren
•
Economie
•
Infrastructuur
•
Natuur en omgeving
•
Personeel
•
Politiek
•
Proces
•
Sociaal
•
Technologie
•
Technologisch
•
Belanghebbenden
Belang van het identificeren en analyseren van de interne en externe context van de organisatie! Meestal opgedeeld in drie groepen • (Natural) hazards • Mechanische problemen • Menselijk falen: bewust of onbewust © Amelior – geen kopie toegelaten
8
Terminologie ‘crisis’ Hoe komt crisis tot stand? • Crisis: gevolg van een zeer ernstig incident dat zich plots voordoet.
• Escalatie van een incident tot een crisis • Externe en interne factoren die het ontwikkelen van incidenten/crises kunnen beïnvloeden Eerste fase van een crisis: chaos • Kenmerken: Onzekerheid en onduidelijkheid Paniek? Weinig tijd
• Actie: incident- en crisismanagement plannen
© Amelior – geen kopie toegelaten
9
Terminologie ‘crisis’ Tweede fase van een crisis: noodoplossing • Kenmerken: Stabiele toestand Controle (Gedeeltelijke) stilstand
• Actie: Business Continuity plannen Derde fase van een crisis: herstel • Kenmerken: Overgang naar normale situatie
• Actie: recovery plannen Na de crisis: • Nazorg • Evaluatie
© Amelior – geen kopie toegelaten
10
Voordelen van BCM Door BCM kan de organisatie: • Risico’s op onderbreking van de activiteiten beheersen: voorkomen of behandelen • Proactief de impact van een mogelijke onderbreking identificeren • Een efficiënte reactie op een mogelijke onderbreking uitbouwen die de impact van de onderbreking op de organisatie minimaliseert
• Onverzekerbare risico’s beheersen • Zijn reputatie verbeteren • Een robustere organisatie uitbouwen • De werking van de interne organisatie optimaliseren • De volledige supply chain van zijn organisatie in kaart brengen en optimaliseren • Een voordeel ten opzichte van zijn concurrenten behalen • …
© Amelior – geen kopie toegelaten
11
Resultaten van een effectief BCM systeem Betere kennis van • De interne organisatie (operationeel en strategisch);
• De stakeholders en de externe omgeving. Gemotiveerd en competent personeel Meer beheerste supply chain Compliance met wet- en andere regelgeving Verbeterde reputatie
Veerkrachtige organisatie
© Amelior – geen kopie toegelaten
12
Toepasbaarheid van BCM BCM is toepasbaar op elke soort organisatie • Publiek of privaat
• KMO of multinational • Onafhankelijk van de sector, producten of diensten. Verhoogde interesse vanuit: • Sterk geregulariseerde sectoren • ITC, financiële diensten,.. • Organisaties die sterk beïnvloed worden door supply chain waarvan ze deel uit maken
© Amelior – geen kopie toegelaten
13
Agenda 1. Algemene principes van Business Continuity Management • Wat is BCM? • Terminologie • Voordelen van BCM • Toepasbaarheid van BCM
2. Relatie BCM en Enterprise Risk Management
3. ISO 22301:2012 Societal Security – Business Continuity Management Systems
© Amelior – geen kopie toegelaten
14
Definities en begrippen: risico Risico is het effect van onzekerheid op het behalen van doelstellingen. •
Een effect is een afwijking ten opzichte van de verwachting – positief en/of negatief.
•
Doelstellingen kunnen worden gekenmerkt door verschillende aspecten (bijvoorbeeld financiële, veiligheid- of milieudoelen) en kunnen betrekking hebben op verschillende niveaus (zoals strategisch, organisatiebreed, een project, product of proces).
•
Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
• Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
x
[bron: ISO Guide 73:2009] 15
© Amelior – geen kopie toegelaten
Gebeurtenis G e en n nis Oorzaken
Gevolgen
F Foutenboom Feitenboom
Schade
Basisoorzaken
3 onderdelen van een risico
Gevolgenboom boom
WAARSCHIJNLIJKHEID
IMPACT
© Amelior – geen kopie toegelaten
16
Risicobehandeling Op basis van de risicomatrix • I:
lage impact lage waarschijnlijkheid
• II:
H
lage impact hoge waarschijnlijkheid
• III:
hoge impact hoge waarschijnlijkheid
• IV:
hoge impact
lage waarschijnlijkheid
L
Waarschijnlijkheid
4 kwadranten:
II
III
I
IV Impact
L
Per kwadrant een andere aanpak
H
© Amelior – geen kopie toegelaten
17
Agenda 1. Algemene principes van Business Continuity Management • Wat is BCM? • Terminologie • Voordelen van BCM • Toepasbaarheid van BCM
2. Relatie BCM en Enterprise Risk Management
3. ISO 22301:2012 Societal Security – Business Continuity Management Systems
© Amelior – geen kopie toegelaten
18
ISO 22301 Wat is ISO 22301? • Eerste iso-norm rond Business Continuity Management
Onderdeel van reeks 223xx: Societal Security Societal security?? BCM leidt tot meer veerkrachtige samenleving
• Beschrijving ‘requirements’ voor BCM systeem Opsomming eisen voor goed BCM systeem Mogelijkheid tot certificatie door derde partij
• Management system standaard Gebaseerd op Plan-Do-Check-Act cirkel (Deming) Vergelijkbaar met standaarden voor milieu, kwaliteit, informatieveiligheid,… Mogelijkheid tot integratie in bestaand managementsysteem
© Amelior – geen kopie toegelaten
19
ISO 22301 High level structuur • Gebaseerd op ISO Guide 83 (als eerste ISO norm)
• Doel: Zelfde structuur voor alle management system standaarden Standaardisatie in tekst en begrippen
• Uitdaging: Zelfde termen voor management systeem en BCM 9 Doelstellingen 9 Middelen 9 Programma 9 …
Algemeen: eisen voor BCM in deel 8
Guidance document ISO 22313 • Verschenen in december 2012 • Verduidelijking interpretatie van normvereisten (geen implementatie gids!) © Amelior – geen kopie toegelaten
20
ISO 22301 Voordelen: • Eenvoud Duidelijke omschrijving en eenduidige begrippen High level structuur voor management systeem
• Duidelijkere doelstelling Meer nadruk op preventie en beheersing dan enkel reactief te werken: response en recovery
• Blijvende bruikbaarheid Nadruk op performance management, niet het hebben van BCM plannen
© Amelior – geen kopie toegelaten
21
Opbouw ISO 22301 Deel 0-3: gemeenschappelijk aan alle standaarden •
0. Introduction
•
1. Scope
•
2. Normative References
•
3. Terms and definitions
Deel 4-7 en deel 9-10: gestandaardiseerde tekst uit ISO Guide 83, aangepast door TC •
4. Context of the organization
•
5. Leaderschip
•
6. Planning
•
7. Support
•
9. Performance evaluation
•
10. Improvement
Deel 8: specifiek over BCM •
8. Operation
© Amelior – geen kopie toegelaten
22
PDCA cirkel in ISO22301 PLAN: uitwerken • § 4 Context of the organisation
• §5 Leadership • §6 Planning • §7 Support DO: implementeren en laten werken • §8 Operation
CHECK: monitoren en review • §9 Performance evaluation ACT: behouden en verbeteren • §10 Improvement
© Amelior – geen kopie toegelaten
23
Integratie vanuit ISO organisatie Niet • Standaarden samenvoegen Wel • Zelfde terminologie / definities • Zelfde structuur Zelfde bouwstenen (ISO Guide 83) • Audit standaard voor Q en E systemen (ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing) Risk Based Auditing Geïntegreerde controle
© Amelior – geen kopie toegelaten
24
Vragen?
Tine Bernaerts Consultant Risk Management
[email protected] +32497 43 12 40
© Amelior – geen kopie toegelaten
25
2