Trainingen Referenties
Kennisbank Over ons Cuccibu Contact
Onze diensten
Kwaliteit
Milieu & Energie
Arboveiligheid
Informatiebeveiliging
Risicomanagement
Managementservices
Trainingen Referenties Kennisbank Over ons Cuccibu Contact
Blogs Risk Appetite als vertrekpunt voor verbetering

Risk Appetite als vertrekpunt voor verbetering

Auteur: William Kulk
Datum: 29-10-2019

Als ondernemer wil je natuurlijk de continuïteit van je dienstverlening en de reputatie van de organisatie waarborgen. Hoe zorg je er nu voor dat je organisatie is voorbereid op onverwachte verstoringen en incidenten? En hoe kan het management systeem jouw organisatie verder helpen? Het begint allemaal bij nadenken over Business Continuity Management (BCM).

Wat is Business Continuity Management?

BCM kan worden gedefinieerd als de geavanceerde planning van een organisatie om bedrijfsfuncties te behouden of snel te hervatten nadat zich een incident of verstoring, bijvoorbeeld brand of een cyberaanval, zich heeft voorgedaan.

BCM begint met het beleid. Het beleid bepaalt de reikwijdte van het programma, de belangrijkste partijen en de managementstructuur. Het moet duidelijk maken waarom bedrijfscontinuïteit noodzakelijk is en wie er verantwoordelijk is voor het opstellen, implementeren en bijsturen van het Business Continuity Management Systeem (hierna BCMS).

De reikwijdte definieert wat bedrijfscontinuïteit betekent voor de organisatie. Gaat het om het operationeel houden van applicaties of producten/diensten, toegankelijkheid van data of beveiliging van fysieke locaties? Het is belangrijk dat een organisatie duidelijk is over wat er onder een plan valt, of het nu gaat om inkomsten genererende componenten van de organisatie, externe aspecten of een subset van de totale organisatie.

Onder het BCMS vallen ook de procedures voor het herstel van de beschikbaarheid nadat een incident of verstoring heeft plaatsgevonden. Belangrijk is om te bepalen wie verantwoordelijk is voor specifieke handelingen als reactie op de onderbreking van de beschikbaarheid, met als doel zo snel mogelijk het primaire bedrijfsproces weer operationeel te krijgen. Daar hoort ook bij het testen en evalueren van de respons op incidenten en verstoringen, met als doel de verbeterpunten te verwerken in het BCMS.

Welke risico’s herken je voor jouw organisatie?

Risico’s komen in vele vormen voor. Denk aan bedreigingen als stroomuitval, cyberaanvallen, uitval van IT en telecom of calamiteiten zoals brand en overstromingen. Kortom, er is een breed scala aan risico’s dat van invloed kan zijn op jouw organisatie.

De impact van potentiële bedreigingen kan ingrijpend zijn. Denk aan:

  • Geen toegang tot essentiële systemen door een cyberaanval (denk aan ransomware);
  • Het verlies van belangrijke bedrijfsgegevens door calamiteiten als brand of overstroming;
  • Verstoring van de dagelijkse bedrijfsprocessen door uitval van telecom of IT;
  • Hoge boetes door het niet naleven van relevante wet- en regelgeving.

Business Impact Analyse (ofwel BIA) als vertrekpunt voor verbetering

Nadat de risico’s zijn geïdentificeerd, worden deze vastgelegd en verder uitgewerkt in een Business Impact Analyse. De risico’s worden gerangschikt naar impact en de risicotolerantie, ofwel risk appetite. Wat zijn de meest urgente, kritieke problemen die moeten worden aangepakt? Identificeer en evalueer de potentiële oplossingen en stel een kostenraming op. Als organisatie bepaal je vervolgens welke risico’s het eerst worden aangepakt. Merk op dat dit proces niet statisch is. Het proces moet regelmatig worden besproken om rekening te houden met nieuwe bedreigingen die naar voren komen.

Implementeer een plan dat past bij de organisatie

Een goed BCMS is gericht op de meest kritieke en tijdgevoelige bedrijfsprocessen en een integraal onderdeel van jouw bedrijfscultuur. Daarbij is het belangrijk om zo efficiënt, duurzaam en kosteneffectief te werken.

De beste strategieën en plannen ter wereld zijn volledig nutteloos, wanneer het personeel dat nodig is om ze uit te voeren, zich niet achter het idee schaart en begrijpt waarom de plannen nodig zijn. Met andere woorden, het is belangrijk om een BCM-cultuur te ontwikkelen binnen jouw organisatie. Iets waarvan de complexiteit niet mag worden onderschat.

Het implementeren van een BCMS betekent waarschijnlijk veranderingen in bestaande werkwijzen. Door een effectief en doorlopend bewustmakings- en trainingsprogramma te ontwikkelen, wordt de cultuur ingebed in de organisatie. Goede tweerichtingscommunicatie en rekening houden met de zorgen van het personeel zijn hierbij belangrijk. Je personeel weet immers het best hoe praktisch een plan in de praktijk is.

Waarom ISO 22301 certificering?

De ISO 22301 norm specificeert eisen voor het inrichten, onderhouden en continu verbeteren van een BCMS. Het schept een kader waarmee je aan de slag kunt. Wat is daar nu concreet de meerwaarde van? We zetten vijf belangrijke voordelen op een rijtje:

  • Je hebt een leidraad voor het plannen en inrichten van het BCMS;
  • Je hebt met een beoogde certificering een stok achter de deur om beheersmaatregelen daadwerkelijk te implementeren, onderhouden en verbeteren;
  • Je bent in de geruststelling dat je op professionele wijze om kunt gaan met impactvolle incidenten en/of verstoringen;
  • Je kunt aan stakeholders tonen dat je op het gebied van bedrijfscontinuïteit ‘in control’ bent;
  • Je kunt de ISO 22301 certificering inzetten als extra verkoopargument bij potentiële klanten.

Meer weten over ISO 22301?

Wil je meer informatie over ISO 22301 certificering? Download onze whitepaper! Wil je hulp bij je ISO 22301 certificering? Neem contact op via 0252 – 547000 of info@qsn.nl.

Contact

Risk Appetite