Hoe je business continuïteit verhogen in onzekere tijden?
Allanta onderstreept kracht van risicobestendige ISO-standaard
Hoe effectief zijn de noodplannen die we liggen hebben? Dat zal de coronacrisis ongetwijfeld duidelijk hebben gemaakt. De kans is groot dat veel van die plannen te weinig steun boden om met een pandemie om te gaan. Om in de toekomst beter gewapend voor de dag te komen, raadt Ilse Gilio, coach & senior expert kwaliteit bij adviesbureau Allanta, aan om een stevig kwaliteitssysteem op te zetten waar we op kunnen terugvallen als nieuw onheil op ons afkomt. Met name de tot nu toe vrij onbekende ISO-standaard 22301 kan daarbij een goede basis vormen.
De huidige coronacrisis vergelijkt Ilse Gilio met een zeer zware storm, die heel veel schepen – onze bedrijven dus – uit hun koers heeft gebracht. De storm was onvermijdelijk, nu is het aan de kapitein van het schip om het zo snel mogelijk terug op koers te krijgen. Een goed managementsysteem kan helpen om het schip terug naar een vooraf bepaald punt aan de horizon te sturen. De medewerking van de matrozen op het schip – onze medewerkers – zal daarbij een belangrijke rol spelen.
Hoelang de storm nog zal aanhouden en hoe groot de averij uiteindelijk zal zijn, weet niemand. Maar intussen hebben de meeste bedrijven wel een zicht op de impact. “De vraag die je je nu moet stellen, is of je had kunnen voorspellen dat er een crisis op ons af stevende”, begint Ilse Gilio. “Hebben we aan de hand van een business continuïteitsoefening tijdig nagegaan hoe weerbaar en wendbaar we zijn om een crisis van dergelijke omvang in te gaan? Hoe snel zijn we erin geslaagd onze processen aan te passen? Hoe snel waren we eruit welke activiteiten we nog konden uitvoeren en welke niet? Met andere woorden, hebben we met ons schip het oog van de storm weten te omzeilen? Uiteraard is het optimaal als de aanpassingen op een geplande manier zijn gebeurd. Als je ze ad hoc hebt doorgevoerd, gaat dat immers ten koste van de efficiëntie. Bij ad hoc aanpassingen komen de medewerkers ook vaak uit de lucht gevallen, wat kan leiden tot weerstand of frustratie.”
Managementsysteem als houvast
Hoewel een wereldwijde ramp als het coronavirus sowieso grote consequenties heeft, kan een managementsysteem wel helpen om beter voorbereid te zijn.
Ilse Gilio: “Conform de gekende ISO 9001-standaard voor kwaliteitsmanagement zijn we in 2015 met z’n allen verplicht aan de slag gegaan met risicomanagement. Maar uiteraard zijn veel bedrijven daar al eerder mee gestart. Dat risicomanagement helpt om enerzijds de interne factoren te bepalen die een risico kunnen vormen, zoals een te grote stress in de organisatie of inefficiënte processen. Anderzijds zijn er de externe factoren, zoals politieke issues, mogelijke natuurrampen en de mogelijkheid dat er – zoals nu – een pandemie op ons af komt.”
Vorig jaar, toen er van een storm nog helemaal geen sprake was, zijn al die factoren idealiter de revue gepasseerd. “Toen begin dit jaar de eerste onheilspellende berichtgeving over het coronavirus vanuit China binnenkwam, hadden er al alarmbellen moeten rinkelen. En in februari, toen het virus duidelijk deze kant op kwam, had het alle hens aan dek moeten zijn. Toch hebben velen onder ons zich laten verrassen”, weet Ilse Gilio.
Dat heel wat bedrijven niet tijdig hebben gereageerd, komt voor een deel omdat risicomanagement niet in hun processen ingebakken zit. “Om de strategische doelstellingen en onderliggende risicofactoren te ondersteunen, moeten we de vertaalslag naar het tactische en operationele gebeuren maken”, vertelt Ilse Gilio. “Enkel als we het risicomanagement op procesniveau doortrekken, kunnen we voor voldoende weerbaarheid zorgen. Ook het opzetten van KPI’s om uiteindelijk de strategische doelstellingen te behalen, is in dat kader noodzakelijk. Bedrijven die dat alles hebben gedaan, voelden wellicht als eerste de bui hangen. Daarom raad ik aan op gezette tijdstippen als het ware een foto van de situatie op dat moment te maken. Op basis daarvan kun je het plan om de risico’s te beperken definiëren of bijsturen. Vervolgens kun je die zaken in je dagelijkse activiteiten meenemen, waarbij die foto’s als het ware een film worden die we op ons netvlies moeten branden. Zo is de kans veel groter dat we op een gepaste manier reageren als een risico ook werkelijkheid wordt. Pas dan kunnen we spreken van een actief en geïmplementeerd proces van risicobeheersing.”
Nood aan up-to-date noodplan
Voor alle duidelijkheid: in de ISO 9001 staat nergens expliciet vermeld dat er een noodplan moet zijn. Andere, sectorgebonden managementsystemen – zoals voor de automobielsector – stellen die wel als concrete eis voorop.
I. Gilio: Wat ik in de praktijk helaas merk, is dat veel noodplannen niet up-to-date zijn. Als een noodplan ergens onderin een lade ligt, heeft het weinig kans op slagen als zich plots een crisissituatie voordoet. Het is noodzakelijk dat een noodplan op basis van de veranderende context wordt aangepast. Verder merk ik dat heel wat noodplannen vooral op economisch onheil focussen, zoals een brand die uitbreekt of een leverancier die failliet gaat. Die focus is te eng.”
Ilse Gilio pleit voor een basisnoodplan, dat iteratief wordt aangepast op basis van de veranderingen die gaandeweg opduiken: “De coronacrisis, bijvoorbeeld, heeft aangetoond dat het heel lastig is om een noodplan uit te werken dat op alle vragen een treffend antwoord geeft. Een basisnoodplan zorgt voor een stevig kader dat nog steeds de ruimte biedt om aan de hand van vooruitschrijdend inzicht bij te sturen. In dat geval hadden we er bij de eerste alarmerende signalen het noodplan bij moeten nemen om op basis van de ontwikkelingen de nodige finetuning te doen, om zo tot een concreet en werkbaar plan te komen.”
De kracht van de ISO 22301
Noodzakelijk bij het uitwerken van een noodplan is dat we weten waar onze grote operationele kwetsbaarheden schuilen zodat we ze daar ook in kunnen meenemen. Verder is het belangrijk in het noodplan te bepalen wie welke verantwoordelijkheden op zich neemt van zodra het plan van kracht wordt en met wie en hoe er zal worden gecommuniceerd.
Een standaard die kan helpen om een en ander op een goede manier aan te pakken, is de minder bekende ISO 22301, die in 2019 zijn laatste revisie kreeg.
I. Gilio: “Die ISO-standaard focust op het hebben van een managementsysteem rond bedrijfscontinuïteit. Een groot voordeel is dat ISO 22301 een kader biedt om de nodige veerkracht en weerbaarheid te borgen. De standaard helpt te bepalen welke processen of activiteiten je tijdens crisismomenten wil blijven uitvoeren en welke activiteiten je zal schrappen of bijsturen. Ook helpt hij om op een geplande manier de directe en indirecte kosten van die veranderingen te bepalen. Als je zaken ad hoc aanpast – wat tijdens de huidige crisis heel vaak gebeurt – heb je vaak geen tijd meer om dat op een goede manier te doen. Bovendien creëert zo’n standaard vertrouwen bij de stakeholders, niet alleen bij geldschieters maar ook bij medewerkers. Last but nog least laat de standaard toe de operationele kwetsbaarheden niet alleen te identificeren, maar ze ook tijdig aan te pakken, wat onze efficiëntie verhoogt. In die zin draagt die standaard ook bij tot continue verbetering.”
Maar hoe verhoudt zich de eerder onbekende ISO 22301 nu tegenover de ingeburgerde ISO 9001 of de specifieke managementsystemen voor de verschillende sectoren?
I. Gilio: “Net als andere kwaliteitsmanagementsystemen is de ISO 22301 gebaseerd op de ‘high level structure’. Dat betekent dat de opzet en de eisen grotendeels dezelfde zijn. Zo moeten we ook bij deze standaard de belangrijke interne en externe factoren binnen onze context bepalen. Er moet een overzicht zijn van de activiteiten en processen waarop het systeem van toepassing is en de verantwoordelijkheden om bedrijfscontinuïteit te garanderen moeten worden verdeeld. Ook vertrouwd is de eis om een plan van aanpak uit te stippelen om risico’s te verminderen en kansen te benutten. Dat de processen rond bedrijfscontinuïteit moeten worden gemeten, komt eveneens in andere systemen terug.”
Het grote verschil zit in hoofdstuk acht, dat focust op de uitvoering van de processen rond bedrijfscontinuïteit. “In dat hoofdstuk krijg je richtlijnen mee om een risicomanagementsysteem op strategisch niveau op te zetten. Belangrijk is ook dat dit hoofdstuk is gebaseerd op de ‘plan-do-check-act’ methode (zie figuur), waar we even dieper op ingaan”, klinkt het.
Plan
In de planfase schatten we de mogelijke impact op onze activiteiten in. Met andere woorden: we moeten nadenken over welke zaken we nodig hebben om onze activiteiten verder te zetten en of we eventueel alternatieve activiteiten kunnen opstarten. Denken we maar aan de online bestelmogelijkheden die tijdens de coronacrisis als paddenstoelen uit de grond schieten als alternatief voor de traditionele winkels.
Vaak verloopt deze strategische planfase aan de hand van een sterkte-zwakteanalyse. Belangrijk is dat we daarbij van een brede invalshoek uitgaan, dus breder dan de financiële en markteconomische aspecten. Een goede methode om een maximum aan externe factoren mee te nemen, is de zogenaamde STEEPLE-methode, wat staat voor ‘social’, ‘technological’, ‘economic’, ‘environmental’, ‘political’, ‘legal’ and ‘ethical’.
Om na te gaan welke aspecten we bij een crisis willen aanpakken, is het handig om er de 6M-methode bij nemen, waarbij de zes M’s staan voor mensen, machines, materiaal, methode, milieu en management.
I. Gilio: “Als we de coronacrisis als uitgangspunt nemen, moeten we bijvoorbeeld op het vlak van mensen tijdig inschatten welke persoonlijke beschermingsmiddelen nodig zijn en welke de kritische functies op dat moment zijn. Kunnen we in een geval van een pandemie bijvoorbeeld vermijden dat groepen medewerkers met elkaar in contact komen, is iets wat daarbij ook aan bod kan komen. Wat ‘machines’ betreft, weten we vandaag maar al te goed dat het in het kader van thuiswerk nodig is de nodige laptops te voorzien. Bij ‘materiaal’ denk ik niet enkel aan grondstoffen, verpakking en transport, maar ook aan zaken als IT-ondersteuning. In dat kader moeten we ook bekijken hoe afhankelijk we zijn van leveranciers en partners om onze activiteiten verder te zetten. Het aanpassen van de workflow is het belangrijkste aandachtspunt wat de ‘methode’ betreft. Als we het over ‘milieu’ hebben, denk ik bij de coronacrisis in de eerste plaats aan de sociale onrust bij de medewerkers die we moeten opvangen. En last but not least moeten we op het vlak van ‘management’ uiteraard met heel wat maatregelen rekening houden, zonder de cashflow uit het oog te verliezen.”
Do
In een volgende stap stellen we, op basis van een grondige kosten-batenalyse, een concreet plan van aanpak op. “Belangrijk is ook om in te schatten hoelang we de vooropgestelde maatregelen en veranderingen op een financieel aanvaardbare manier kunnen volhouden. Om een voorbeeld te geven: een online winkel zal qua handling- en transportkosten doorgaans duurder uitvallen dan een traditionele winkel”, stelt Ilse Gilio. “Ik zou bedrijven dan ook willen waarschuwen om op te letten met de talrijke extraatjes die ze nu soms gratis en voor niks bieden. Als we eenmaal terug bij het ‘nieuwe normaal’ belanden, zou het best kunnen dat klanten verwachten dat je die service blijft garanderen. Op een gegeven moment zul je die extra kosten nog maar moeilijk kunnen verantwoorden.”
Op gezette tijdstippen moeten we ook nagaan of ons plan van aanpak nog up-to-date is. De context waarin we als bedrijf actief zijn, verandert immers continu. Verder moet in dit stadium een reactiestructuur worden ontwikkeld, waarbij zowel de interne als de externe stakeholders worden gewaarschuwd bij een verstoring van de activiteiten. Zo kunnen de rollen en de bijbehorende verantwoordelijkheden die in het noodplan zijn vastgelegd tijdig in werking treden.
Een ander deel van de do-fase is het uitwerken van een herstelplan. Met andere woorden: hoe willen we de normale bedrijfsprocessen weer opstarten als de wind is gaan liggen? Verkiezen we een gefaseerde aanpak of willen we toch liever in één keer terug opstarten? Hoewel uiteraard veel zal afhangen van de omstandigheden van het moment, is het toch belangrijk dat we daar in ons basisnoodplan al over nadenken.
Check & Act
In de check-fase moeten we, op basis van de up-to-date informatie, een testprogramma opzetten.
I. Gilio: “Ik geef hierbij vaak het voorbeeld van de brandoefening. In feite zouden we die in het kader van bedrijfscontinuïteit ook af en toe eens moeten doen. Alleen dan weten we met honderd procent zekerheid of ons noodplan wel effectief is.”
Als we ons noodplan hebben getest of – zoals nu – effectief een crisis hebben doorstaan, is het tijd voor de act-fase. Heeft ons noodplan zijn werk gedaan en waar zijn er verbeteringen mogelijk? Hebben we voor de juiste activiteiten gekozen en waren de middelen voldoende om op de juiste manier te kunnen reageren? Hebben we onze risicoanalyse bijgesteld toen het nodig was en hoe is er gedocumenteerd? Daaruit kunnen we dan lessen voor de toekomst trekken.
Samengevat is een goede voorbereiding ook bij een crisis het halve werk. Hoewel een grote impact van een crisis voor de meeste bedrijven onvermijdbaar is, is de invoering van de ISO 22301-standaard een goede manier om in elk geval beter gewapend voor de dag te komen. “Bovendien is deze standaard gemakkelijk te integreren in de bestaande managementstructuur van bedrijven. Het kost relatief weinig moeite om ermee aan de slag te gaan. Eigenlijk kunnen we hem beschouwen als een handige ‘add-on’ voor ons strategisch risicobeheer en het opstellen van een noodplan dat niet de kans krijgt om onder het stof te raken”, besluit Ilse Gilio.