Het is de Business Continuity Awareness Week (BCAW). Ieder jaar organiseert het Business Continuity Institute wereldwijd activiteiten die business continuity management (BCM) breed onder de aandacht brengen. Het thema van dit jaar is Return on Investment. De boodschap is: investeren in BCM loont. Opbrengsten zijn onder andere toename van de weerbaarheid van de organisatie, het borgen van een solide reputatie en het behalen van kostenvoordelen. Toch zijn veel organisaties nog steeds terughoudend in het steken van tijd en geld in BCM. Mijn indruk is dat dit ook veroorzaakt wordt door een te brede definitie van het vakgebied: waar geef je je geld nu echt aan uit als er over BCM gesproken wordt? Ik beschrijf in deze blog twee punten waarop aanscherping nodig is.
BCM: wel opbrengsten, maar geen prioriteit
Een veel gehoorde verzuchting is dat ‘we geen tijd en geld hebben voor BCM, want er lopen al zoveel andere acties’. In veel missiestatements komen woorden als ‘betrouwbaarheid’, ‘soliditeit’ en ‘continuïteit’ voor. Typische woorden die verbonden zijn met BCM, maar die dus niet altijd leiden tot prioriteit. Toch zijn de opbrengsten niet gering. Aantoonbare BCM inspanningen zorgen voor een betrouwbare reputatie in de markt en creëren goodwill bij bestaande en potentiële klanten. Onderlinge afstemming van BCM-plannen met leveranciers maakt de leveringsketen robuuster en tegelijkertijd flexibeler. Daarnaast zijn steeds meer verzekeraars bereid om hun premies te verlagen als de organisatie bewijst dat ze werk maakt van haar continuïteit en in staat geacht wordt slagvaardig te reageren in crisissituaties. Maar blijkbaar blijft het vaag wat BCM de organisatie oplevert.
Het thema van de BCAW spreekt me persoonlijk zeer aan. Laten we de opbrengsten van BCM zo scherp mogelijk vaststellen. Een goede business case en ROI berekening zorgen voor transparantie in de besluitvorming. Echter, mijn persoonlijke visie is dat er zaken onder BCM geschaard worden die er niet thuishoren. Hiermee wordt de omvang van BCM te breed en kunnen de investeringen onevenredig groot uitpakken. Ik sla dan ook graag twee piketpaaltjes.
ICT continuïteit is geen bedrijfscontinuïteit
BCM is bedrijfscontinuïteit. De vraag: ‘Hoe snel werken mijn applicaties weer?’ is toch echt een andere dan ‘Hoe snel kunnen we er weer zijn voor onze klanten?’. Toch is de vergissing snel gemaakt. Continuïteit is anno 2016 niet los te zien van ICT continuïteit. Menselijke tussenkomst is soms volledig afwezig. Persoonlijk zie ik technische continuïteitsmaatregelen als hygiënemaatregelen in het ICT domein. Redundantie, back-up, uitwijk, een tweede datacentrum, is er nog iemand die dat heel exotisch vindt? Ze zijn een randvoorwaarde voor de continuïteit van de bedrijfsprocessen. Ze bieden echter de organisatie in de breedste zin niet de benodigde weerbaarheid. Waard om in te investeren? Zeker. Maar ik noem het liever geen BCM.
Beheer is een randvoorwaarde voor BCM, niet omgekeerd
Bij een (potentiële) crisis kan onvoldoende inzicht in de relaties tussen processen, applicaties en infrastructuren zorgen voor onzekerheid. De impactanalyse door een crisisteam wordt minder effectief en leidt tot verminderde slagvaardigheid. Het verkrijgen van dit inzicht wordt vaak neergelegd bij BCM implementaties. Dat is niet juist. Deze kennis is namelijk ook nodig in het incidentmanagement proces en bij het doorvoeren van grote wijzigingen. Dit maakt het een verantwoordelijkheid van de beheerorganisatie. Waard om in te investeren? Zeker, na een goede risicoafweging. Organisaties moeten bepalen hoe ver ze willen gaan in het vastleggen én actueel houden van afhankelijkheden en dat vervolgens beleggen bij de afdeling waar het thuishoort. Het is echter een randvoorwaarde voor BCM, geen resultaat.
De werkelijke BCM investeringen
BCM helpt organisaties om tijdens een crisis slagvaardig noodoplossingen in te voeren en snel terug te keren naar een normale bedrijfssituatie. Dit vraagt om beleid, strategie, actuele continuïteitsplannen en periodieke oefeningen en testen. Dit geheel, ingebed in een langjarige managementcyclus, is de werkelijke investering in BCM. Deze investering draagt direct bij aan de eerder genoemde opbrengsten en vergroot aantoonbaar de weerbaarheid van de organisatie.
BCM is het waard om in te investeren en het getuigt van professionaliteit om zo scherp mogelijk te krijgen hoe kosten en opbrengsten zich tot elkaar verhouden. Hierbij is het wel belangrijk de kosten vanaf het begin aan de juiste bron toe te wijzen. Dit is essentieel voor het bepalen van een heldere ROI van BCM en de waardering van het vakgebied als zodanig.