BCM – Hoe bepaal je de kriticiteit van een proces in een BIA?

admin

Auteurs: Joris Bouve en Manu Steens

In BCM wordt veel gesproken over tijdskritieke processen (TKP), essentiële processen (EP) en noodzakelijke processen (NP).

Typisch gebruikt men als definitie:

  • TKP: die processen die binnen de twee werkdagen moeten heropstarten;
  • EP: die processen die niet binnen twee dagen maar wel binnen de twee weken moeten heropstarten;
  • NP: die processen die niet binnen twee weken maar wel binnen twee maanden moeten heropstarten.

Hoe kritiek een proces is, kan je ook op een andere wijze benaderen: als de impact van een te lang uitliggen (vb. > 2 dagen) van het proces te groot wordt, dan moet je het proces snel (vb. in < 2 dagen) terug opstarten. De vraag hierbij is: hoe bepaal je de kriticiteit van een proces? Ga hiervoor als volgt te werk (zie tabel hieronder):

  • Lijst de processen op in de kolom [proces];
  • Bepaal de impact op je dienstverlening als het proces dreigt uit te vallen in de volgende kolommen.
    1. Als de impact van die aard is dat de dienstverlening ernstig in het gedrang komt bij een uitval die meer dan 2 dagen zou duren of als er een wettelijke bepaling is die een heropstart vereisen binnen een termijn van 2 dagen, omschrijf je die impact in de kolom [impact als uitval > 2 dagen]. in. Er is dan sprake van een tijdskritiek proces. In de kolom [kriticiteit proces] vul je dan TKP in.
      Als die impact klein is, vul in de kolom [impact als uitval > 2 dagen] “nihil”. Evt. kan je hier ook vermelden welke maatregelen je zal nemen om het effect minimaal te houden of op welke wijze je de beoogde dienstverlening toch kan garanderen
    2. Als de impact van die aard is dat de dienstverlening ernstig in het gedrang komt bij een uitval die meer dan 2 weken zou duren of als er een wettelijke bepaling is die een heropstart vereisen binnen een termijn van 2 weken, omschrijf je die impact in de kolom [impact als uitval > 2 weken]. in. Er is dan sprake van een essentieel proces. In de kolom [kriticiteit proces] vul je dan EP in.
      Als die impact klein is, vul in de kolom [impact als uitval > 2 weken] “nihil” in
    3. Als de impact van die aard is dat de dienstverlening ernstig in het gedrang komt bij een uitval die meer dan 2 maanden zou duren of als er een wettelijke bepaling is die een heropstart vereisen binnen een termijn van 2 weken, omschrijf je die impact in de kolom [impact als uitval > 2 maanden]. Er is dan sprake van een noodzakelijk proces. In de kolom [kriticiteit proces] vul je dan NP in.

 

  • In de kolom [afhankelijkheden] vul je aan welke expertises, logistieke middelen, IT-middelen, … je nodig hebt.
  • Zoals onder punt 2) beschreven, plaats je in kolom [kriticiteit proces] tot welke categorie het proces behoort: tijdskritiek, essentieel, noodzakelijk.

 

Proces Impact als uitval > 2 dagen Impact als uitval > 2 weken Impact als uitval > 2 maanden afhankelijkheden kriticiteit proces
[naam proces] [omschrijving] [omschrijving] [omschrijving]   TKP/EP/NP
           
           
           

 

Twee voorbeelden:

  • Proces Crisismanagement. Indien dit pas na een uur opstart, kan er reeds ernstige reputatieschade zijn o.a. door verkeerde communicatie in de media. Het moet dus zeker binnen de twee dagen opgestart worden. Deze commentaar (RTO = 1h) kan je dus plaatsen in de kolom ‘Impact als > 2 dagen’. De 2 kolommen ernaast hoeven niet meer ingevuld te worden. Bij de afhankelijkheden zet je bijv. de expertises, de vergaderzaal, laptops, smartphones, communicatiemiddelen etc. In de laatste kolom plaats je de beslissing van het gekozen type proces, in dit geval TKP.

 

  • Proces X moet in augustus binnen de 5 dagen kunnen opstarten, omdat anders een regel uit de wetgeving kan overtreden worden, met bijhorende boetes en reputatieschade. Dan kan deze commentaar gezet worden in de kolom ‘Impact als > 2 weken’ en kiest men voor het type proces ‘EP’. In de kolom ‘Impact als > 2 dagen’ kan men het woord ‘nihil’ plaatsen of bijvoorbeeld dat men nadien enkele overuren zal moeten presteren. Bij afhankelijkheden kan men bijv. communicatie met de bank, een administratieve medewerker en het juiste softwareprogramma schrijven.

Deze keuze van het type proces (TKP, EP of NP) kan dan een op een overgenomen worden in de Business Impact Analyse. De afhankelijkheden kunnen eveneens overgenomen worden.

Risico management strikt genomen – Key Risk Indicatoren en risk intelligence

admin

Auteur: Manu Steens

Een belangrijk begrip in strategisch risicomanagement is dat van risk intelligence.

Risk intelligence is een “systematisch proces voor het vergaren en analyseren van informatie over de risico’s van de organisatie haar business, om daarop gebaseerd strategische beslissingen te kunnen nemen om het daarna beter te doen als business in een competitieve omgeving.” Het is dus een mogelijk antwoord op competitive intelligence van mogelijke tegenstanders.

Zoals het hier staat is het dus uitgebreider dan een klassiek risicoanalyse proces met bijhorende acties. Het gaat om àlle relevante informatie.

De organisatie moet dus capabel zijn om gebeurtenissen en uitwendige impulsen voor wijzigingen te voorzien. Verder moet het een proces zijn, omdat risico’s veranderlijk zijn, en strategieën moeten aangepast kunnen worden, en omdat nieuwe risico’s voortdurend ontstaan.

Een van de mogelijke voorspellers zijn indicatoren: KPI en KRI (Key Performance Indicators en Key Risk Indicators). Ik bespreek hier de KRI. (let op: de KRI leveren informatie, de analyse van deze informatie moet dan nog steeds gebeuren door de owners van het risico.)

KRI op basis van outcomes

Key Risk Indicatoren zijn vaak effect indicatoren. Deze meten of de gestelde doelstellingen, de outcomes van de processen, gehaald zijn.

KRI op basis van outcomes, zijn effectindicatoren. Omgekeerd kunnen effectindicatoren beschouwd worden als een sub-klasse van de risico indicatoren. Men spreekt echter best van effectindicatoren tav mensen die avers zijn van risicomanagement als weer eens een topic die het management aanhangt.

Maar hoe bekom je dan effectindicatoren?

Strikt genomen door de outcomes te bepalen van het proces, het project, de doelstelling. Een truk om deze outcomes te bepalen is niet de output van de processen of projecten als laatste stadium te zien van de activiteit, maar het doel van de activiteit. Dit kan men door het proces / project te beschrijven in een of slechts enkele zinnen, en deze beschrijving te laten eindigen met een of meerdere vervolledigingen na het woord “opdat…” of “zodat…”.

Daar stel je criteria tegenover die je dan periodiek in het oog wil houden om te zien of ze overschreden worden, of een tendens vertonen, of een sprong maken e.d.m..

Een voorbeeld kan hier klaarheid scheppen.

Bij het de werking van een BCM manager is er een proces dat bij elke cyclus terug van start gaat. Deze cyclus kan men beschreven vinden in ISO 22301, maar eveneens in de GPG van TheBCI.org.

Een voorbeeld is dan voor crisiscommunicatie “Met eenduidige stem van de organisatie naar de media spreken ten tijde van crisis”. Dit is een doelstelling van het crisismanagement team, omdat het doel tijdens een crisis is dat de informatieoverdracht eenvoudig verifieerbaar is, juist, zo volledig mogelijk enz. en in overeenstemming met de vereisten van het moment. Het ongewenst gevolg dat je loopt is dan dat een aantal mensen onterecht de media te woord heeft gestaan met alle foute informatiestromen die daaruit kunnen volgen. Daarbij kan je dus een meting doen als volgt:

T = “Som van (Het aantal mensen dat (onterecht) de media te woord staat) van de crisissen die maand.”

Je kan dan de meting illustreren met smileys als volgt:

Groene smiley:                0 mensen

Gele smiley:                      gebruik je niet in deze

Rode smiley:                     1 of meer mensen

Grijze smiley:                    er was geen communicatie naar de media nodig wegens geen crisisafhandeling die maand.

KRI op basis van risicoanalyses

Maar er is nog een tweede klasse Key Risk Indicatoren, die zich niet baseren op de gestelde outcomes of doelen, maar die teruggrijpen naar de risicoanalyse van het proces, het project of de doelstelling(en).

Een uitleg van de werkwijze kan het eenvoudigst geïllustreerd worden aan de hand van de Bow-Tie risicoanalyse methode.

Bij de Bow-Tie methode kan men voorspellend te werk gaan door te kijken naar de linkerkant (preventieve kant) van de vlinderdas, waar men stevig heeft doorgeboord tot aan de grondoorzaken van een gewenste of ongewenste gebeurtenis.

Eens men de relevante oorzaken geïnventariseerd heeft, moet men criteria vaststellen waarbij deze oorzaken optreden. Bijvoorbeeld (hypothetisch) ongelukken bij boswachters piekt wanneer 15% van de boswachters minder dan 1 jaar ervaring hebben in de branche en hun begeleiders jonger zijn dan 30. Dan kan men een KRI opstellen voor HRM om na te gaan wat de leeftijd van de begeleiders is en de combinatie van de ervaring van hun gasten. Wanneer men dan bij een nieuwe aanwerving bij deze combinatie boven dit criterium uitkomt, kan men bijvoorbeeld een herorganisatie van peter-petekind doorvoeren.

Zoals men eenvoudig inziet, zijn deze KRI zeker belangrijk vanuit hun voorspellende kracht. Ze zijn voorspellend, waar de KRI op basis van outcomes eerder onder de loupe brengen dat er iets verkeerd gelopen is of er iets verkeerd aan het lopen is.

Dat voorspellende indicatoren het verschil kunnen uitmaken tussen slagen en falen in het beoogde effect, en ze gebaseerd zijn op de resultaten van de volledige risicoanalyse, is een reden om een volledige risicoanalyse te doen volgens het Amerikaans model.

Het belangrijke van de KRI is dat men de bestaande strategieën kan aanpassen en cours de route. Men kan anticiperen.

Pandemieplan

admin

Dit document reikt handvaten aan t.a.v. leidinggevenden en medewerkers van de eigen organisatie. Hierin staat op genomen welke maatregelen een entiteit en individuele medewerkers kunnen nemen als er zich een pandemie voordoet om de continuïteit van de dienstverlening maximaal te verzekeren. Deze kunnen opgenomen worden in een BCP.

Belangrijk: ik beschouw deze kennis als open source. Iedereen mag er gebruik van maken om zijn/haar organisatie veiliger te maken. Maar het mag niet gebruikt worden om verkocht te worden op zich.

 

Icoon

Pandemieplan

1 file(s)   106.54 KB

De vier geboden van Risicobewustzijn

admin

Auteur: Manu Steens

Met dank aan Fran Bambust en Joris Bouve.

Risico-awareness (Risico-beseffend gedrag) is moeilijk te bewerkstelligen. Traditioneel pakt men dit aan met klassieke marketinggebruiken zoals posters, flyers, acties met reclamefilmpjes voor het uitwerken van de o zo gegeerde awareness. Komen er meer bedreigingen, dan komen er meer posters, meer flyers, meer filmpjes, meer regeltjes over wat er kan mis gaan. Het zijn nu net deze veelgebruikte methoden als posters die niet veel uithalen. Na jaren van proberen op deze manier denk ik dat de Risicomanagement community mag besluiten: posters helpen niet, het maakt de mensen niet beter beseffend van de gevaren rondom hen. Dikke boeken vol regeltjes helpen evenmin. Het doel blijft echter bestaan: mensen moeten eens stilstaan en nadenken voordat ze aan iets beginnen.

Oorzaak? Teveel regeltjes, dikke boeken met gedragscodes die niemand wenst te lezen. Wat mensen nodig hebben is een aanpak van gedragsverandering met een minimum aan regeltjes en een maximum aan priming (het idee zaaien). (Voor priming, zie ook het boek “Effectief Gedrag Veranderen Met Het 7E-Model” van Fran Bambust.)

Die regeltjes bestaan, mits systematische herinterpretatie in een nieuw kader. Risico-beseffend gedrag is dan terug te brengen tot de volgende vier regels:

  1. Maak niets kapot, tenzij je met de brokstukken iets beter kan maken;
  2. Doe niemand pijn, tenzij hij/zij er beter van wordt;
  3. Doe jezelf geen pijn, tenzij je er beter van wordt;
  4. Grijp je kansen, tenzij dit in strijd is met regels 1, 2 of 3.

Maar ook deze regeltjes moeten geprimed worden naar de doelgroepen toe. Daarvoor moet je de doelgroepen kennen. Voor risicomanagement zijn deze opsplitsbaar in individualisten, egalitairen, hiërarchisten en fatalisten. De grootste groep daarin zijn de individualisten: mensen die slechts aandacht geven als het hun aanbelangt, of hun gezin. En daar waar het kan hebben ze het zó nodig, dat ze het zowel thuis als op het werk kunnen gebruiken. Een win-win situatie dus. Iets dat ze kunnen gebruiken ook voor het opvoeden van de kinderen, iets eenvoudig dat, als je het goed interpreteert, je de goede oplossing aanreikt in alle situaties.

Als stimulerende voorbeelden nemen we daarbij het idee van wist je datjes. Daarbij geven we tips over wat men kan doen ivm risico-situaties zoals veel zitten op een stoel, een dolle schutter in het gebouw, een aardbeving, een reis die men wil maken… Deze gebruiken we ter illustratie om de vier geboden te primen, dus achter elk wist je datje zetten we een zin die verwijst naar de regel.

De voorbeelden worden hier dus het volgende mee:

Wist-je-dat-tje: aardbeving                                                                      

Wist je dat je niet onder een tafel of bureau moet kruipen bij een aardbeving? Die zijn niet stevig genoeg om je voldoende te beschermen tegen neerstortend puin. Buiten ben je het veiligste.

Als je om de een of andere reden niet naar buiten kan raken, zoek je het beste een sterker punt van het gebouw op waar een ‘triangle of life’ of levensdriehoek kan ontstaan. Een levensdriehoek ontstaat door vallende grote stukken puin die een driehoek vormen, waaronder iemand bij een aardbeving kan overleven. Je kan bijvoorbeeld naast de armleuning van een solide sofa gaan liggen, in een bolletje gerold.

Dit is een toepassing van regels 3 en 4: doe jezelf geen pijn en grijp je kansen.

Wist-je-dat-tje: zittend werken                              

Wist je dat we te veel zitten? Gemiddeld 9 uur per dag, zo blijkt uit onderzoek. Onze kantoren zijn zo ontworpen dat we de meeste tijd zittend doorbrengen: aan je bureau, in de vergaderzaal, in de refter, … Maar langdurig zitten heeft negatieve effecten op je gezondheid, waaronder een hoger risico op hart- en vaatziekten, kanker en diabetes type 2. Bovendien is het belastend voor de rug.

Voor een goede gezondheid is het belangrijk om elke dag minstens een half uur te bewegen én om lang stilzitten te vermijden. Bij voorkeur sta je elke 20 minuten even recht en zorg je na elk uur zittend werk voor wat beweging. Dat kan worden vergemakkelijkt door het kantoor uit te rusten met bijvoorbeeld zit-statafels en de mogelijkheid om staand te vergaderen. Wist je trouwens dat je ook wandelend kan vergaderen?

Dit is een toepassing van regel 3: doe jezelf geen pijn.

Wist-je-dat-tje: op reis naar het buitenland           

Wist je dat op reis gaan naar het buitenland risico’s met zich kan meebrengen? Ons lichaam is minder bestand tegen ziektes dan je zou denken. Een mug is genoeg om een volwassene voor lange tijd ernstig ziek in bed te krijgen.

Zoek daarom altijd op wat je kan doen om jezelf te beschermen, wanneer je naar mooie en exotische plaatsen reist. Je vindt bijvoorbeeld heel wat tips op de websites van buitenlandse zaken en de Wereldgezondheidsorganisatie.  Naast algemeen reisadvies geven die websites ook tips over het vermijden van ziektes en voor fysieke veiligheid.

Dit is een toepassing van regel 3: doe jezelf geen pijn.

 

Uiteraard moet je in dit gedragsveranderend project de vijf “P’s” respecteren. Deze zijn:

  • Prepare: bereid het gedrag en de ondersteuning voor;
  • Prime: zaai het idee (met herhaling);
  • Pauze: onderbreek het automatische gedrag;
  • Prove: bewijs de keuze;
  • Program: oefenen en herhalen.

Een extra “Pauze” kan men nemen door een wedstrijd uit te schrijven waarbij de medewerkers zelf nadenken over meer wist-je-dat-tjes, waarbij de origineelste winnaar(s) beloond en gepubliceerd worden. Daarbij geeft men dan op die manier een voorlaatste “P” in de cyclus: “Prove” van wie goed bezig is. Deze cyclus blijft men herhalen in de stap “Program”.

Nadien kunnen we Evalueren: testen, leren en aanpassen.

Risk Issues and Crisis Management in Public Relations – A Casebook of Best Practice

admin

Auteurs: Michael Regester & Judy Larkin

In dit boek behandelen de auteurs Risicomanagement (hoewel ze enkel spreken van risico-issues) en crisismanagement als een onderdeel van wat zij noemen ‘Issues management’ en dat met een insteek vanuit het bijdragestandpunt van Public relations. Hierbij geven ze tal van voorbeelden in de vorm van gevalstudies.

Het boek is opgedeeld in twee delen: een deel over de uitwerking van issues management, dat verdacht veel trekt op risicomanagement, doordat het enorm veel gelijkaardige bouwstenen heeft, en een tweede deel over crisis management, waarbij  zowel het belang van de teams wordt benadrukt, als de communicatieaspecten.

In Issues management wordt gewerkt naar een opstellen van een procedure van issues management, waarbij voornamelijk veel aandacht gaat naar de componenten die de auteurs belangrijk vinden, en waarbij het verhaal wordt afgesloten met enkele overzichten van concrete aanpakken in twee bestaande organisaties.

Bij Crisismanagement is het de bedoeling dat je het volgende zeker onthoudt (niet noodzakelijk in deze volgorde en geen limitatieve lijst):

  • Wees de eerste om het mee te delen, erken als eerste dat er een probleem is.
  • Rectificeer onmiddellijk elke fout die in de media komt,
  • Wees volledig, correct, eerlijk, transparant en gewillig om te communiceren. Zeg niet dingen zoals ‘no comment’ en als er nog niets geweten is, deel dan mee dat je geen steen onomgedraaid zult laten om te weten hoe de zaken in elkaar zitten.
  • Zorg voor een plaats om de pers te woord te staan. Voor de televisiezenders kan je best one-on-one werken. Dit laatste kan zeer veel tijd en energie vergen en daarom kan het interessant zijn om een enkele tv-interview op te laten zetten in samenspraak met alle zenders.
  • Begin onmiddellijk te communiceren, ook al heb je nog geen informatie.
  • Spreek steeds over volgende onderwerpen in de volgende volgorde:
    • Mensen
    • Milieu en omgeving
    • Eigendommen
    • Geld

En spreek steeds eerst over de feiten, dan emoties en vermeld dan een visie van wat je zal doen of er voor aan het doen bent. Voorkom een leegte in de communicatie.

  • Zorg steeds dat je acties in de kijker staan, en dat je gehoord wordt
  • Vermijd het om kwaad bloed te zetten bij de populatie
  • Bezoek de rampensite
  • Erken schuld als deze bewezen is, niet eerder. Verwijs naar experten voor de bewijsvoering en laat je niet verleiden tot oeverloze verdedigingspraat.
  • Speculeer nooit over wat je niet weet.
  • Indien de pers geen aandacht voor u heeft, loop dan niet weg, blijf in de omgeving maar trek geen aandacht naar uw organisatie. Wees geen ‘sitting target’.
  • Negeer geen enkele mediabron.
  • Wees bereid tot ex-gratia-betalingen.

Dit alles wordt uitgebreid gestoffeerd met cases waar het lukte en waar het niet lukte.