W1
De Internationale Organisatie voor Standaardisatie (ISO) is een internationale organisatie dat
normen vaststelt. De organisatie is een samenwerkingsverband van nationale
standaardisatieorganisaties in 163 landen. ISO is een non-gouvernementele organisatie [NGO].
• Het Nederlands Normalisatie-instituut (NEN) is het nationale orgaan dat de ISO-standaarden
en Nederlandse uitgaven daarvan in beheer heeft
ISO betekent gelijk. Een standaard wordt gecreëerd als daar vraag naar is in de markt, ze worden op
basis van consensus door meerdere partijen gesmeed. Een standaard of norm is dus geen wet, het is
een best practise (wereldwijde expert kennis gebundeld) en door te certificeren kan dit een positieve
uitwerking hebben op de reputatie van een organisatie. De ISO 22301 staat centraal
Bedrijfscontinuïteit = het vermogen van de organisatie, om na een verstorend incident, producten of
diensten te blijven leveren op acceptabele, vooraf vastgestelde niveaus.
Een stelsel van samenhangende maatregelen waarmee;
- in het geval van het optreden van een calamiteit;
- een plan in werking kan worden gesteld;
- waarmee de impact van de calamiteit kan worden teruggedrongen tot een aanvaardbaar
niveau;
- en daarmee de continuïteit van de organisatie kan worden gewaarborgd.
De essentie van integrale veiligheid bestaat uit 2 dingen:
• risico’s beheersen
• continuïteit borgen
Het is in zekere zin een andere manier van kijken naar risico’s, en niet elk risico is relevant voor BCM.
Er is een samenhang met incident management, alsook crisisbeheersing en rampenbestrijding. BCM
kan niet zonder deze disciplines.
Anatomie van een crisis:
Oorzaken
- Natuurrampen
- Mechanische problemen
- Menselijk handelen
Fasen van een Crisis
- Chaos
- Noodoplossing
- Herstel naar normale situatie
- “Losse eindjes”
Kenmerken
- Slechte en te weinig informatie
- Grote schade
- Te weinig tijd
- Beperkte opties
,Een calamiteit voor een organisatie kan uitmonden in een crisis.
Crisis in “Explosievorm” en crisis die zich “smeulend en langzaam ontwikkeld”.
De oorzaken van het in gevaar komen van de continuïteit van een organisatie liggen tussen twee
uitersten.
- Het ene uiterste is de plotselinge gebeurtenis waar je geen of te weinig rekening mee had
gehouden, ondanks een uitgekiend risicomanagement. Misschien de beruchte black swan :
een (klein) onwaarschijnlijk ongeluk met grote gevolgen. Je kunt nog zulke goede
maatregelen hebben genomen en/of goed verzekerd zijn, dat helpt allemaal niets als de
vitale processen binnen je businessmodel stil komen te liggen. Het enige wat je dan wilt, is de
boel zo snel mogelijk weer op gang hebben.
- Het andere uiterste van gevaar voor de continuïteit is het sluipende proces waarin de
toekomstkansen ongemerkt wegsmelten en de situatie door suddert tot voorbij het punt
waarop het te laat is. Deze oorzaak is misschien nog wel gevaarlijker voor de continuïteit.
Omdat het om uitersten op dezelfde lijn gaat, koppelen we het managen van de bedrijfscontinuïteit
zowel aan het
- bewaken van het businessmodel
- als aan plotselinge ontwrichtende verstoringen in de operatie.
Het bewaken van het businessmodel kun je aanduiden als bedrijfscontinuïteitsmanagement op
strategisch niveau. Hierbij bewaak je de prestaties van de kritische processen van je businessmodel
met als doel te voorkomen dat ze onder een bepaald niveau zakken. Het managen van de continuïteit
bij plotselinge ontwrichtende gebeurtenissen is eerder bedrijfscontinuïteitsmanagement op
operationeel niveau en vergt meteen ingrijpen (‘genezen’). Maar bedenk wel dat beide vormen
geleidelijk in elkaar overlopen en alles met elkaar te maken hebben. De verantwoordelijkheid ervoor
hoort dan ook niet in aparte afdelingen thuis. Wel kan specifieke deskundigheid in een bepaalde
stafafdeling worden geconcentreerd als ondersteuning voor de hele organisatie. Maar
bedrijfscontinuïteit hoort bij de management- en werkpraktijk van alledag en is everybody’s business.
Het dient immers een en hetzelfde doel, namelijk een gezonde continuïteit van de organisatie. Daar
vanuit moet je als management en medewerker steeds denken en organiseren. Net zoals strategisch
en operationeel bedrijfscontinuïteitsmanagement bij elkaar horen, horen ook risicomanagement en
bedrijfscontinuïteitsmanagement bij elkaar. Ze vullen elkaar aan en ondersteunen elkaar, steeds weer
met als doel om de organisatie up and running te houden. Het verschil is dat ze elkaar logisch
opvolgen. We geven hier nog eens de definiëring:
- Bij risicomanagement (ISO 31000) identificeer je de mogelijke risico’s en bepaal je maatregelen om
het effect ervan op te vangen, te verkleinen of te vermijden.
- Bij bedrijfscontinuïteitsmanagement (ISO 22301) identificeer je de vitale processen die je
businessmodel laten werken en bepaal je maatregelen om die processen na een onverwachte en
vooraf niet onderkende verstoring zo snel mogelijk weer op het vereiste of op z’n minst acceptabel
niveau van functioneren te krijgen. Dat doe je door het inbouwen van veerkracht (=resilience). Dit is
een begrip dat je vaak in de literatuur over BCM tegenkomt.
Crisis/calamiteit kent drie chronologische fases:
- Chaos
- Noodoplossing
- Normaal
, Kenmerken crisis:
- Slechte en te weinig informatie
- Grote schade
- Te weinig tijd
- Beperkte opties
1. Chaos
- Gedurende deze eerste fase van een crisis wordt 90% van de strategische besluit genomen.
Meestal is dat binnen de eerste 24 uur. De vier kenmerken zijn allemaal aanwezig; wegnemen
ervan maakt de overgang naar de volgende fase mogelijk. De fase eindigt als de situatie
stabiel is en een overzicht bestaat van de status. Van de situatie moet daarbij voldoende
bekend zijn om verantwoord de volgende fase te starten.
Kenmerken: Iedere crisis kent vier karakteristieke kenmerken die de situatie een crisis kan laten zijn.
Het ontbreken van een of meer van die kenmerken vermindert direct de ernst van de situatie:
1. Slechte en te weinig informatie: Omdat niet bekend is wat er aan de hand is, is direct
reageren onmogelijk.
2. Grote schade: Bij een crisis zijn de gevolgen (schade of kans daarop) altijd heel groot. Zo
groot dat als er niet snel uit aan gedaan wordt, het bijna zeker is dat het voortbestaan van de
organisatie in gevaar komt, of dat er mensenlevens op het spel staan. In de meeste gevallen is
alleen al de dreiging van zeer grote schade voldoende om een verlammend effect te hebben.
3. Te weinig tijd: De noodzaak snel te handelen wordt versterkt door het gevoel van paniek
en chaos.
4. Beperkte opties: Vanwege de omvang en het dringende karakter zijn de opties tot
handelen beperkt. Er lijken weinig mogelijkheden er zonder schade uit te komen.
Het wegnemen van deze kenmerken zorgt voor stabilisatie; de chaos verdwijnt en in de organisatie
wordt het mogelijk oplossingen te creëren om de schade te beperken en verder te kunnen.
Noodoplossing
De toestand is stabiel en onder controle. Maar is nog verre van gewoon. Er moet hard gewerkt
worden om de organisatie naar buiten weer te laten functioneren. Of dat betekent dat er kritieke
processen hersteld gaan worden, hangt af van de BCM strategie. Er moet in ieder geval van tevoren
bekend zijn waar die noodoplossing uit bestaat. Gedurende deze fase zal in het algemeen het
crisisregime overgaan naar de normale lijnorganisatie toestand. Parallel wordt in deze fase gewerkt
aan herstel van de normale situatie. Deze fase duurt over het algemeen langer dan vooraf voor
mogelijk is gehouden, of zelfs van tevoren is over nagedacht. De fase eindigt als (het merendeel van)
de bedrijfsprocessen zijn opgestart en functioneren naar behoren.
Door de gevolgen van een calamiteit kan de organisatie niet meer functioneren
Preventieve (proactieve) maatregelen treffen (voor het incident)
- Verzekering afsluiten
- Alternatieve vestiging overeenkomen
- Cloudoplossing gebruiken voor back-up
- Plannen klaar hebben liggen voor correctie en repressie
- Voorbereid zijn!
Repressieve & correctieve maatregelen treffen als de calamiteit optreedt (tijdens het incident)
- Crisismanagement (plan) uitvoeren
- Disaster recovery (plan) uitvoeren
- Uitwijkplan (plan) uitvoeren
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller fleurcorstjens. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $7.80. You're not tied to anything after your purchase.