Business Continuïteitsmanagement

Resilience strikt genomen – Disaster management: Red Ants, Gray Rhinos, Black Swans, en de verhouding van BCM, Risico Management (RM) en Crisis Management (CM)

admin

Auteur: Manu Steens

Een eerste vraag die ik me stel: hoe verhouden deze begrippen zich t.o.v. elkaar?

Daarbij kan volgende figuur (de disaster tabel) soelaas bieden: dit gaat over Known Knowns.

Deze tabel geeft op zich een minimalistische schets als antwoord op “Wat kunnen Disasters zoal allemaal zijn?

Daarnaast zijn er Unknown Knowns zoals de Gray Rinho’s.

Dit zijn zaken die op ons afkomen, dat we weten dat ze er zijn, maar dat we er voor kiezen om ze niet te zien, of hen vergeten in rekening te brengen.

Gray Rhino’s zijn niet opdeelbaar in goed of slecht bekende kans en impact. De impact is groot. De kans is groot. Het is altijd goed bekend qua kans en impact, en kaderen zich dus binnen het kwadrant van Disasters, als volgt:

Daarnaast bestaan ook Known Unknowns. Dat zijn zaken waarvan we weten dat er “iets” is maar we weten niet goed wat juist. Daardoor kunnen we ze niet in rekening brengen. Deze zijn niet te klasseren met een kans of impact. De gevolgen kunnen wel of niet gekend zijn. De kansen evenzeer. Indien de gevolgen groot zijn, maar niet actief gekend, en de kans klein geschat wordt maar het plots optreedt, zonder dat we enige verwachting hadden van het gebeuren, spreken we van een Black Swan. De kalkoen weet niet waarom de boer hem altijd eten geeft, maar had een vermoeden kunnen hebben vanuit een wantrouwende “Waarom”-vraag. Maar de kalkoen kent ook het kerstfeest niet, en kan dus niet echt de kans van het gebeuren inschatten.

Tenslotte bestaan er Unknown Unknowns. Daarvan weten we niet dat we ze niet weten.

Niet alleen kennen we de kans en impact niet, we kennen de gebeurtenis niet, we kennen de aanleiding niet, we kennen de gevolgen niet. We kunnen er dus geen toekomstig voorbeeld van geven. Tenzij met terugblik op het verleden. (Hindsight) Was het juist van de priester om Adolf Hitler van de verdrinkingsdood te redden, toen die als kind door het ijs gezakt was?

Het is de bedoeling van Resilience management om zoveel mogelijk van deze vier groepen te leren kennen, en hen terug te dringen binnen de mogelijkheden, van het vierkant van de Known Knowns.

Dit geeft een mogelijke manier om resiliënce-noden te kaderen. Waarbij zit echter CM? Het antwoord is: overal. In alle 4 de groepen treedt CM actief op wanneer een bedreiging zich manifesteert. Omdat men de Known Knowns het best kent, is het altijd een voordeel om RM uit te werken en voor te bereiden.

Vraag 2: wat zijn historisch de meerwaarden van BCM, RM en CM ?

De bekende meerwaarden die reeds aanwezig waren bij deze drie disciplines in het verleden zijn:

  • Compliance met wetgeving en met opdrachtgevers
  • Bescherming van de reputatie van de organisatie en de sterkte van het merk
  • Voorlopig nog: competitieve voorsprong
  • Operationele verbeteringen
  • Vastleggen van de kennis en ervaringen
  • Waardebescherming

Vraag 3: wat zijn de “nieuwe” meerwaarden van BCM, RM?

De nieuwe meerwaarde waarmee ISO 31000 schermt:

  • Waardecreatie, en dus ook
  • Opnemen van opportuniteiten

Waardecreatie

  • Door het bestuderen van de bedreigingen bij nieuwe en bestaande projecten en processen kunnen deze bedreigingen aangepakt worden, zodat ze gebeuren met grotere kans op slagen en met minder kosten in de nazorgfase.
  • Hierdoor neemt ook de kwaliteit van de output en de outcome toe, waardoor een stevigere positionering in de markt mogelijk is, wat op zijn beurt potentieel klanten aantrekt.
  • Hierdoor verbetert direct de reputatie, waardoor een positieve spiraal ontstaat die zich afspiegelt in een betere marktwaarde van de organisatie en een positief effect genereert op de beurs.
  • Door het toepassen van RM in haar projecten zal een overheidsorganisatie mutatis mutandis een meerwaarde creëren op maatschappelijk vlak, wat ook meer inkomsten betekent voor de overheid en de private sector en dus weer een positieve waardespiraal creëert voor de maatschappij.

Opnemen van opportuniteiten

  • Wanneer er een opportuniteit zich aanbiedt, kan deze correct opgenomen worden, in die zin dat de risico’s die de organisatie loopt bekend zijn, en ze deze kan aanpakken om haar slaagkansen te optimaliseren.
  • Doordat RM een ‘outlook’ heeft, ziet men bedreigingen, maar ook opportuniteiten beter en sneller afkomen.
  • Doordat er een systematische rapportering gebeurt geïntegreerd in alle lagen van de organisatie en de processen en projecten van de business kan het beleid de opportuniteiten beter en sneller correct inschatten.

Deze meerwaarden gelden ook voor BCM.

Vraag 4: wat is de belangrijkste meerwaarde van CM?

Wat ik hierbij wil weten is wat er verwacht wordt door de medewerkers en door de maatschappij.

Mensen verwachten steeds meer van de organisaties. Ze willen dus zekerheid in onzekere tijden. Dit doet de organisatie door

  • De bedreiging (Threat) aan te pakken
  • De hoogdringendheid (Urgency) tegemoet te komen
  • De onzekerheid (Uncertainty) te bestrijden

De bedreiging (Threat) aanpakken

Bedreigingen zijn relatief en persoonlijk. De een zijn dood is de ander zijn brood zegt het spreekwoord. Maar er zijn ook algemene bedreigingen die ons allen raken. Het beste voorbeeld is wellicht terreur. Hoewel terreuraanslagen jaar na jaar veel minder slachtoffers eisen dan fijn stof, raakt het de mensen persoonlijk door de keuze van de werkwijze, de plaats van optreden en het moment. Deze kiest de terrorist zó dat hij angst maximaliseert. Deze angst raakt iedereen persoonlijk, omdat er willekeur is waar wanneer en hoe men slachtoffer kan zijn. De maatschappij weet het niet en daardoor richt iedereen van de potentiële slachtoffers zijn woede tegen de daders.

De hoogdringendheid (Urgency) tegemoetkomen

Hoogdringendheid is persoonlijk. Een potentiële crisis die u persoonlijk raakt is doorgaans hoogdringend zolang u nog hoopt op kansen om er aan te ontsnappen.

De onzekerheid (Uncertainty) bestrijden

Dit doet de organisatie voornamelijk door een opsplitsing te maken in operationeel management, communicatiemanagement en strategisch management.

Met het operationeel management kan de organisatie laten zien dat het probleem wordt aangepakt. Er gebeuren tegenacties en er zijn vorderingen waar te nemen. Met het strategisch management kan de organisatie doen aan sensemaking, en daarmee een begrijpen overhandigen aan de mensen in de omgeving van waar ze aan toe zijn. Daarbij kan de organisatie ook haar acties duiden, het waarom van acties verklaren dus, om haar aansprakelijkheden op te nemen. Alsook om lessen te leren, en de problematiek in de toekomst te kunnen vermijden. Met het communicatiemanagement kan de organisatie van zich laten horen over de situatie, dat het met de problematiek bezig is, en wat de verwachtingen zijn.

Vraag 5: En dan nu dit: Hoe zit dat met Red Ants?

Is dit een zoveelste uitvindsel om risico’s te beschrijven? Neen, eigenlijk niet. Het is een op natuurlijke manier ontbrekende disastersoort: incidenten met kleine tot gematigde impact en kleine tot grote kans, maar met de mogelijkheid om erg snel uit te groeien tot een Black Swan of een Gray Rhino.

Black Swans (Nicolaas Taleb): zeer kleine kansen, zeer grote impacts.

Gray Rhino’s (Michèle Wucker): Zeer grote kansen, zeer grote impacts

Red Ants: Zeer grote kansen, kleinere impacts.

Veelal zijn Red Ants de kleine incidenten zonder grote gevolgen die een verwittiging inhouden van imperfecties in de veiligheid van een systeem of organisatie. Doorgaans gaan een groot aantal red ants een gray rhino of een black swan vooraf. Naast het feit dat red ants een vervelend fenomeen zijn op veiligheidsvlak en veel brandjes te blussen geven, hebben ze een ernstige waarschuwende functie. Deze is: zoek de grondoorzaak en pak die ten gronde aan, of vroeg of laat gebeuren er echte ongelukken.

Zo is elke “diersoort” dus ernstig te nemen.

Vraag 6: En wat valt er dan allemaal aan te doen?

Wel, laten we dit schematisch terug voorstellen in de disastermanagement tabel:

Conclusies:

  • CM Oefeningen zijn het meest nodige aspect in disaster management.
  • Risicomanagement behelst preventieve maatregelen en beschermingsmaatregelen (naar analogie met de bow-tie analysemethode).
  • Onzekerheden hebben als kenmerk dat kansen slecht gekend zijn maar de impacts beter. Doorgaans door het slecht kennen van de oorzaken. Daardoor is er vooral nood aan beschermingsmaatregelen.
  • Ambiguïteiten hebben als kenmerk dat impacts slecht gekend zijn maar de kansen beter. Doorgaans door het slecht kennen van de gevolgen. Daardoor is er vooral nood aan preventieve maatregelen.
  • Bij een niet kennen van kans en impact moet men vooral op de uitkijk staan, om onverwachte zaken tijdig in te schatten en maatregelen in het beleid van de organisatie doorlopend te incorporeren.

Urgentie Assessment

admin

Auteur: Manu Steens

geïnspireerd door “Risk Management – Concepts and Guidance” van Carl L. Pritchard

Doel van dit type assessment:

Klassiek worden risico’s geëvalueerd op een risicomatrix, met typisch kleuren rood, oranje, geel en groen, naar aflopende waarden van het risico. De vakjes in die risicomatrix bevatten eveneens een waarde die afhankelijk is van de kans en de impact van de risicogebeurtenis. Binnen een zo’n vakje kunnen zich meerdere risico’s bevinden. Die kunnen dan allemaal een vergelijkbare kans en impact hebben volgens deze matrix en als dusdanig ook onder elkaar opgelijst worden in het risicoregister. Maar toch zijn er vaak nog redenen om het ene risico voor het andere aan te pakken, zoals bijvoorbeeld een tekort aan personeel. De vraag is dan in welke volgorde deze risico’s geprioriteerd worden. Daarvoor dient een urgentie assessment.

Opbouw van een sjabloon:

Omdat een urgentie assessment toegekend is op een sjabloon van de organisatie, zijn er twee sets van inputs nodig:

  1. De brainstorm voor het opstellen van het sjabloon
  2. De inputs van de project- / proces- / doelstellingen- / en strategische risico’s om het sjabloon op toe te passen.

De eerste hebben kennis nodig van de omgevingscondities. Die verschillen vaak op het niveau van de organisatie. Daardoor is een sjabloon vaak redelijk uniform binnen een organisatie, maar dit kan wijzigen in de tijd met de omgevingsvariabelen.

Het sjabloon is opgesteld als een tabel, met evaluatiecriteria per rij, en scorebeschrijvingen per kolom.

De outputs van dit assessment is een score die je bekomt als som van de waarden van de geldende kolommen per rij. Hoe hoger de score, hoe meer urgent het risico moet aangepakt worden.

Voorbeeld van een sjabloon:

Project naam: Risico event:
Urgentie Assessment
Evaluatie criterium

1

 2 3

4

 Score
Ervaring van het project/ proces / doelstellingen team met dit type risico Kennis van / competentie in workarounds en ad hoc oplossingen voor dit type. Enige ervaring in het afhandelen van dit type risico bij de teamleden. Een of twee teamleden die ervaring hebben met dit type risico. Geen enkel lid van het team heeft ervaring met dit type risico.
Kans dat het risico optreedt vóór de volgende review De kans is hoger naarmate later in het project en het treedt niet op voor de volgende review. De kans is even hoog later in het project als voorafgaand aan de volgende review. De kans is hoog voorafgaand aan de volgende review. De kans is het hoogst de volgende twee tijdsperioden (bijv. weken, maanden).
Klant gevoeligheid De klant heeft geen verwachtingen mbt dit risico en zou onderstellen dat we het oplossen. De klant verwacht dat dit probleem onmiddellijk opgelost wordt zonder uitstel. Dit risico treft meerdere modules en treedt snel op in het project. Dit risico treft meerdere modules en het project / proces is sterk afhankelijk van elk van hen.
Complexiteit van / integratie in het project / proces /doelstelling Het risico treft slechts een module van het project en die module kan onafhankelijk afgehandeld worden. Dit risico treft het gehele project / proces maar treedt slechts op het einde van de levenscyclus van het project / proces op. Dit risico treft meerdere modules en treedt vroeg in het project / proces op. Dit risico treft meerdere modules en het project / proces is sterk afhankelijk van elk van hen.
Visibiliteit Dit risico kan gemakkelijk geïdentificeerd worden op voorhand, wat een ingrijpen op het laatste moment toestaat. Het risico heeft een paar herkenbare eigenschappen die vroegtijdige identificatie toestaan. Dit risico is maar identificeerbaar op de moment dat het optreedt. Dit risico wordt maar geïdentificeerd als het gebeurd is.
Totaal

 

Stappen in het gebruik van deze techniek:

 

De eerste stap in het bouwen van dit sjabloon is het bepalen van de types van criteria die het ene risico meer urgent maken dan het andere. Criteria die het aangeven dat een of meerdere gebeurtenissen er staan aan te komen.

De tweede stap is het maken van een schaal. Voor elk criterium bepaal je een numerische schaal die de invloed aangeeft betreffende de urgentie van het risico, lopende van een hoog getal voor een hoge urgentie tot een laag getal voor een lage urgentie.  (In het voorbeeld is er slechts een enkele numerische schaal.)

Stap drie: valideer het sjabloon. De validatie is uit te voeren door het te testen tegen een aantal goed gekende gevallen van hoge en lage urgentie. Indien het sjabloon hier afwijkt van wat uit de historiek van de gevallen gekend is, moeten de schalen bijgesteld worden.

Stap vier: evalueer alle belangrijke risico’s. Dit zijn typisch de risico’s in de rode en oranje zone van de risicomatrix.

Stap vijf: prioriteer de risicogebeurtenissen. Rode risico’s met een hoge urgentie moeten de prioriteit krijgen op bijv. oranje risico’s met een lagere urgentie.

Stap zes: schik het risicoregister volgens de prioriteit en voer de maatregelen uit.

 

Noodplan aardbevingen

admin

Dit document reikt handvaten aan t.a.v. leidinggevenden en medewerkers van de eigen organisatie. Hierin staat opgenomen welke maatregelen een organisatieonderdeel en individuele medewerkers kunnen nemen als er zich een aardbeving voordoet om de continuïteit en het herstel van de dienstverlening maximaal te verzekeren. Dit kan opgenomen worden in de appendix van een BCP.

Icoon

Noodplan Aardbeving

1 file(s)   79.83 KB

Self-assessment BCM – tools

admin

Als je wil weten hoever je staat met het doorvoeren van je BCM-werking, moet je een (self) assessment uitvoeren.

Daarvoor bestaan specialisten die zich laten inhuren, om een audit te doen en een duur rapport schrijven. Maar vaak heb je in tijden van crisis daar het geld niet voor. Dan moet je het zelf doen. Daarvoor heb je een tool nodig. Hierbij vind je een Nederlandstalige eenvoudige tool (en een Engelse vertaling) die je nog kan aanpassen aan je eigen noden.

Icoon

Self assessment BCM - Nederlands

1 file(s)   54.92 KB
Icoon

Self-assessment BCM English

1 file(s)   54.20 KB

 

Bescherming tegen extreme geweldpleging

admin

Dit document reikt handvaten aan t.a.v. leidinggevenden en medewerkers van de eigen organisatie. Hierin staat op genomen welke maatregelen een organisatieonderdeel en individuele medewerkers kunnen nemen als er zich een extreme geweldpleging voordoet om de continuïteit van de dienstverlening maximaal te verzekeren. Dit kan opgenomen worden in de appendix van een BCP.

Icoon

Bescherming tegen extreme geweldpleging

1 file(s)   196.18 KB