BUSINESS CONTINUITEIT

BUSINESS CONTINUITEIT

BUSINESS CONTINUITY MANAGEMENT

Tine Bernaerts, Consultant risk management, Amelior

Business Continuity Management volgens ISO 22301: Societal Security – Business Continuity Management Systems PRENNE 19/09/2013 Tine Bernaerts Amelior

Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, digitale kopie, scan of op welke wijze dan ook en voor gelijk welke doeleinden, zonder voorafgaande schriftelijke toestemming van Amelior. Het gedeeltelijk of volledig gebruik van de inhoud van deze uitgave is verboden, tenzij met uitdrukkelijke voorafgaande schriftelijke toestemming van Amelior.

Wat biedt Amelior? WAT? • CONTROL: Beheersing, stabiliteit brengen

• IMPROVE: Systematisch verbeteren

• INSPIRE: Betrekken, inspireren, enthousiasmeren

HOE?

• Consultancy • Coaching • Interim management • Training (open en in-company) www.amelior.be © Amelior – geen kopie toegelaten

2

Specifiek Welzijn op het Werk 1. Managementsystemen OHSAS 18001, Dynamisch Risicobeheersysteem integratie met Kwaliteit, Milieu en Energie

2. Ontwikkelen veiligheidscultuur - Behaviour Based Safety 3. Compliance • Machineveiligheid voor studiedienst, maintenance, preventieadviseurs • Gevaarlijke producten (eSDS, Toxicologie, …) • Wetgevingsregister – Compliance audits Erkende opleiding Preventieadviseur (i.s.m. Howest) • Multidisciplinaire Basisvorming • Specialisatiemodule Niveau 1 • Specialisatiemodule Niveau 2 Basisopleidingen Niveau 3, HL, …

www.amelior.be

© Amelior – geen kopie toegelaten

3

Agenda 1. Algemene principes van Business Continuity Management • Wat is BCM? • Terminologie • Voordelen van BCM • Toepasbaarheid van BCM

2. Relatie BCM en Enterprise Risk Management

3. ISO 22301:2012 Societal Security – Business Continuity Management Systems


4

Algemene principes van Business Continuity Management BCM? • Strategische en operationele bekwaamheid van een organisatie om zich voor te bereiden en te antwoorden op mogelijke incidenten en hun impact op de continuïteit van de organisatie zodat men verder kan functioneren op een vooraf bepaald niveau van bedrijfsvoering Strategisch en operationeel: op elk niveau van de organisatie Voorbereiden en antwoorden op: vooraf plannen en op het moment zelf uitvoeren Incidenten en hun impact op de continuïteit: één soort incidenten die kunnen leiden tot continuïteitcrisis Verder functioneren: doel = overleven Vooraf bepaald niveau van bedrijfsvoering: niet onmiddellijk op niveau van voor crisis

• Management proces om incidenten en hun impact te identificeren, kader om de veerkracht van een organisatie te vergroten met aandacht voor stakeholders, reputatie, merknaam en waarde creërende activiteiten (naar ISO 22301)


5

Algemene principes van Business Continuity Management Waarom BCM? • Belangrijk onderdeel van goed bedrijfsbeheer = continuïteit Belangrijkste doelstelling van elk bedrijf

• Verantwoordelijkheden bestuurders en eigenaars Verbintenissen met / verantwoordelijkheden naar diverse stakeholders (intern en extern) Morele en sociale verantwoordelijkheid naar maatschappij en werknemers

• Alle mogelijke onderbrekingen: Man made vs. natural hazards


6

Terminologie ‘incident’ Wat is een incident in het kader van BCM? • Gebeurtenis, beperkt in de tijd

• Uitzonderlijk van aard • Potentieel zeer hoge impact: geeft aanleiding tot crisis Financieel Reputatie Operationeel

• Onverwacht, en dus moeilijk te anticiperen • Slechte en zeer weinig informatie beschikbaar op ogenblik van incident • Beperkte opties ter beschikking om te reageren Een incident (=gebeurtenis) kan aanleiding geven tot een crisis (=situatie)


7

Terminologie ‘crisis’ Oorzaken van crisissituaties Externe factoren

Interne factoren

•

Economie

•

Infrastructuur

•

Natuur en omgeving

•

Personeel

•

Politiek

•

Proces

•

Sociaal

•

Technologie

•

Technologisch

•

Belanghebbenden

Belang van het identificeren en analyseren van de interne en externe context van de organisatie! Meestal opgedeeld in drie groepen • (Natural) hazards • Mechanische problemen • Menselijk falen: bewust of onbewust © Amelior – geen kopie toegelaten

8

Terminologie ‘crisis’ Hoe komt crisis tot stand? • Crisis: gevolg van een zeer ernstig incident dat zich plots voordoet.

• Escalatie van een incident tot een crisis • Externe en interne factoren die het ontwikkelen van incidenten/crises kunnen beïnvloeden Eerste fase van een crisis: chaos • Kenmerken: Onzekerheid en onduidelijkheid Paniek? Weinig tijd

• Actie: incidenten crisismanagement plannen


9

Terminologie ‘crisis’ Tweede fase van een crisis: noodoplossing • Kenmerken: Stabiele toestand Controle (Gedeeltelijke) stilstand

• Actie: Business Continuity plannen Derde fase van een crisis: herstel • Kenmerken: Overgang naar normale situatie

• Actie: recovery plannen Na de crisis: • Nazorg • Evaluatie


10

Voordelen van BCM Door BCM kan de organisatie: • Risico’s op onderbreking van de activiteiten beheersen: voorkomen of behandelen • Proactief de impact van een mogelijke onderbreking identificeren • Een efficiënte reactie op een mogelijke onderbreking uitbouwen die de impact van de onderbreking op de organisatie minimaliseert

• Onverzekerbare risico’s beheersen • Zijn reputatie verbeteren • Een robustere organisatie uitbouwen • De werking van de interne organisatie optimaliseren • De volledige supply chain van zijn organisatie in kaart brengen en optimaliseren • Een voordeel ten opzichte van zijn concurrenten behalen • …


11

Resultaten van een effectief BCM systeem Betere kennis van • De interne organisatie (operationeel en strategisch);

• De stakeholders en de externe omgeving. Gemotiveerd en competent personeel Meer beheerste supply chain Compliance met wet- en andere regelgeving Verbeterde reputatie

Veerkrachtige organisatie


12

Toepasbaarheid van BCM BCM is toepasbaar op elke soort organisatie • Publiek of privaat

• KMO of multinational • Onafhankelijk van de sector, producten of diensten. Verhoogde interesse vanuit: • Sterk geregulariseerde sectoren • ITC, financiële diensten,.. • Organisaties die sterk beïnvloed worden door supply chain waarvan ze deel uit maken


13





14

Definities en begrippen: risico Risico is het effect van onzekerheid op het behalen van doelstellingen. •

Een effect is een afwijking ten opzichte van de verwachting – positief en/of negatief.

•

Doelstellingen kunnen worden gekenmerkt door verschillende aspecten (bijvoorbeeld financiële, veiligheid- of milieudoelen) en kunnen betrekking hebben op verschillende niveaus (zoals strategisch, organisatiebreed, een project, product of proces).

•

Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.

• Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.

x

[bron: ISO Guide 73:2009] 15


Gebeurtenis G e en n nis Oorzaken

Gevolgen

F Foutenboom Feitenboom

Schade

Basisoorzaken

3 onderdelen van een risico

Gevolgenboom boom

WAARSCHIJNLIJKHEID

IMPACT


16

Risicobehandeling Op basis van de risicomatrix • I:

lage impact lage waarschijnlijkheid

• II:

H

lage impact hoge waarschijnlijkheid

• III:

hoge impact hoge waarschijnlijkheid

• IV:

hoge impact

lage waarschijnlijkheid

L

Waarschijnlijkheid

4 kwadranten:

II

III

I

IV Impact

L

Per kwadrant een andere aanpak

H


17





18

ISO 22301 Wat is ISO 22301? • Eerste iso-norm rond Business Continuity Management

Onderdeel van reeks 223xx: Societal Security Societal security?? BCM leidt tot meer veerkrachtige samenleving

• Beschrijving ‘requirements’ voor BCM systeem Opsomming eisen voor goed BCM systeem Mogelijkheid tot certificatie door derde partij

• Management system standaard Gebaseerd op Plan-Do-Check-Act cirkel (Deming) Vergelijkbaar met standaarden voor milieu, kwaliteit, informatieveiligheid,… Mogelijkheid tot integratie in bestaand managementsysteem


19

ISO 22301 High level structuur • Gebaseerd op ISO Guide 83 (als eerste ISO norm)

• Doel: Zelfde structuur voor alle management system standaarden Standaardisatie in tekst en begrippen

• Uitdaging: Zelfde termen voor management systeem en BCM 9 Doelstellingen 9 Middelen 9 Programma 9 …

Algemeen: eisen voor BCM in deel 8

Guidance document ISO 22313 • Verschenen in december 2012 • Verduidelijking interpretatie van normvereisten (geen implementatie gids!) © Amelior – geen kopie toegelaten

20

ISO 22301 Voordelen: • Eenvoud Duidelijke omschrijving en eenduidige begrippen High level structuur voor management systeem

• Duidelijkere doelstelling Meer nadruk op preventie en beheersing dan enkel reactief te werken: response en recovery

• Blijvende bruikbaarheid Nadruk op performance management, niet het hebben van BCM plannen


21

Opbouw ISO 22301 Deel 0-3: gemeenschappelijk aan alle standaarden •

0. Introduction

•

1. Scope

•

2. Normative References

•

3. Terms and definitions

Deel 4-7 en deel 9-10: gestandaardiseerde tekst uit ISO Guide 83, aangepast door TC •

4. Context of the organization

•

5. Leaderschip

•

6. Planning

•

7. Support

•

9. Performance evaluation

•

10. Improvement

Deel 8: specifiek over BCM •

8. Operation


22

PDCA cirkel in ISO22301 PLAN: uitwerken • § 4 Context of the organisation

• §5 Leadership • §6 Planning • §7 Support DO: implementeren en laten werken • §8 Operation

CHECK: monitoren en review • §9 Performance evaluation ACT: behouden en verbeteren • §10 Improvement


23

Integratie vanuit ISO organisatie Niet • Standaarden samenvoegen Wel • Zelfde terminologie / definities • Zelfde structuur Zelfde bouwstenen (ISO Guide 83) • Audit standaard voor Q en E systemen (ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing) Risk Based Auditing Geïntegreerde controle


24

Vragen?

Tine Bernaerts Consultant Risk Management [email protected] +32497 43 12 40


25

2

BUSINESS CONTINUITEIT

Recommend Documents