BUSINESS CONTINUITY MANAGEMENT Handleiding voor implementatie

Transcriptie

1 FOD Binnenlandse Zaken Algemene Directie Crisiscentrum BUSINESS CONTINUITY MANAGEMENT Handleiding voor implementatie Sofie Senesael Verhandeling in het kader van de benoeming tot statutair ambtenaar, juni 2009 Promotor: Jaak Raes, Directeur-generaal Crisiscentrum

2

3 BUSINESS CONTINUITY MANAGEMENT Een handleiding voor implementatie Executive Summery Overheidsdiensten, waaronder ook de FOD Binnenlandse Zaken, hebben een zeer belangrijke maatschappelijke rol te vervullen. Het is dan ook nodig dat ze in staat zijn de continuiteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd. Ze kunnen zich hierop voorbereiden zodat het, in geval van een onderbreking van hun activiteiten, mogelijk is binnen de kortst mogelijke termijn de meest kritische activiteiten te hervatten. De bedoeling van het werk: BUSINESS CONTINUITY MANAGEMENT: Een handleiding voor implementatie is een methodologie voor de implementatie van een Business Continuity Management binnen de FOD Binnenlandse Zaken te geven. Wat is Business Continuity Management? Wat is de relatie met andere disciplines zoals bijvoorbeeld risicomanagement en interne audit en wat zijn de voordelen van een Business Continuity Management? Deze vragen worden beanwoord in het Deel 1 van dit werk. Deel 2 legt stap voor stap uit welke fasen doorlopen moeten worden om een Business Coninuity Management te implementeren binnen de FOD Binnenlandse Zaken en in Deel 3 bevinden zich een aantal werkdocumenten die ontwikkeld werden ter ondersteuning van het implementatieproces. Deel 1: Business Continuity Management Wat en Waarom? Er bestaat vaak verwarring tussen de begrippen Business Continuity Management (BCM) en Business Continuity Plan (BCP). Business Continuity Management is een proces waarbij de organisatie de nodige maatregelen treft om ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden opdat deze activiteiten binnen de kortst mogelijke termijn kunnen worden hersteld. Een Business Continuity Plan omschrijft hoe men dat concreet gaat doen en is bijgevolg een product van Business Continuity Management. Het Business Continuity Plan is een geheel van procedures, afspraken en contactinformatie die gebruikt wordt op het ogenblik dat een onderbreking daadwerkelijk plaatsvindt. Wat is de relatie met andere specifieke disciplines? Er bestaat een nauw verband tussen Business Continuity Management, crisismanagement, risicomanagement, interne controle en interne audit. Onder risicomanagement in de context van de FOD Binnenlandse Zaken kan enerzijds worden begrepen, het beheer van risico s die verband houden met de werking van de organisatie zelf. Anderzijds het beheer van risico s als opdracht van de organisatie. Het Business Continuity Management maakt deel uit van de eerste categorie, meer in het bijzonder het beheer van risico s die de continuïteit van de organisatie in het gedrang brengen. In Deel 1 op pagina 16 wordt op een schematische wijze de verhouding tussen de verschillende disciplines weergegeven. I

4 Wat zijn de voordelen van een Business Continuity Management? Een Business Continuity Management binnen de organisatie zal de organisatie niet alleen in staat stellen haar dienstverlening te verzekeren ondanks een onderbreking van één of meedere processen of activiteiten, daarnaast levert het proces nog andere voordelen op. Zo zorgt het er onder meer voor dat voldaan kan worden aan wettelijke en reglementaire verplichtingen, sterkt het de geloofwaardigheid en reputatie van de organisatie, is het personeel opgeleid en voorbereid om efficiënt te reageren en kan het personeel worden ingeschakeld in andere teams. Daarnaast levert het in detail bekijken van processen soms ook voordelen uit onverwachte hoek op door het zichtbaar maken van knelpunten binnen de organisatie. Business Continuity Standaarden. Er bestaan verschillende internationale standaarden en richtlijnen inzake Business Continuity. Een standaard is een document dat ontwikkeld werd door een officiële, door de International Organisation for Standardization (ISO) erkende, organisatie voor normen of standaarden. Deze standaard of norm beschrijft een afgesproken manier om iets te doen. Het biedt een theoretisch raamwerk dat kan dienen als ondersteuning voor organisaties die een Business Continuity Management programma in hun organisatie wensen te installeren. Er bestaat geen verplichting om bij de implementatie van een Business Continuity Management gebruik te maken van standaarden, het is echter wel ten zeerste aan te bevelen. Het biedt de organisatie een maatstaf aan waartegen deze haar eigen Business Continuity Plan en het ondersteunend Business Continuity Management Proces kan afmeten. Bovendien bieden sommige standaarden eveneens de mogelijkheid om na de implementatie van de standaard binnen de organisatie een certificering te bekomen. Deel 2: De 6 fasen van Business Continuity Management In deel 2 worden de verschillende fasen besproken die doorlopen moeten worden of de elementen die in de organisatie aanwezig moeten zijn om te kunnen spreken van een Business Continuity Management. Naast een beschrijving van een aantal begrippen en de beschrijving van wat deze fase precies inhoudt, wordt er ook aandacht besteed aan hoe deze fase geïmplementeerd kan worden binnen de FOD Binnenlandse Zaken. Fase 5 Oefenen Onderhouden Herzien Fase 1 BCM Programma BUSINESS CONTINUITY MANAGEMENT Fase 4 Ontwikkelen Implementeren BCM respons Fase 2 Inzicht in de organisatie Fase 3 BCM Strategie II

5 Fase 1: Het BCM Programma Er wordt aanbevolen om voor de implementatie van een Business Continuity Management de principes van het projectmanagement toe te passen. Het is van belang, net zoals bij elk project, dat er een duidelijk kader beschreven wordt voor de implementatie ervan. Zo is het onder meer nodig dat de doelstellingen van het project duidelijk zijn, de rollen en verantwoordelijkheden worden beschreven, dat er gecommuniceerd wordt over het project, enz. Al deze elementen komen aan bod in het BCM Programma, de zogenaamde kapstok van het project. Het is belangrijk dat bij aanvang van het project het management op een formele wijze, in de vorm van een beleidsverklaring, communiceert over het project. Dit benadrukt het belang dat ze aan dit project hechten en is ook meteen één van de randvoorwaarden voor een succesvolle implementatie. Fase 2: Inzicht in de organisatie Business Analyse Nadat de projectstructuur op poten werd gezet en de rollen en verantwoordelijkheden werden toegekend, kunnen de werkzaamheden starten. In deze fase moeten de verschillende processen binnen de organisatie opgelijst worden en moet met het management afgetoetst worden welke de voor hen meest prioritaire doelstellingen zijn op vlak van Business Continuity. Met andere woorden, welke zijn de doelstellingen waarvan de continuïteit niet, tijdelijk of langdurig onderbroken kan worden. Van deze processen moet een analyse worden gemaakt (Business Analyse) zodoende het duidelijk is wat onder meer de middelen zijn die men nodig heeft om het proces uit te voeren, welke de wettelijke regels zijn waaraan het proces gebonden is, hoeveel personeel er minimum nodig is voor de uitvoering van het proces, welke infrastructuur nodig is, Business Impact Analyse Daarna dient per proces een Business Impact Analyse te worden gemaakt. Hieronder kan worden begrepen dat er in eerste instantie een inschatting moet worden gemaakt van de gevolgen van een onderbreking van het proces voor de organisatie. Daarnaast moet per proces bepaald worden hoe lang het proces maximaal onderboken mag worden, zoniet loopt de organisatie onherstelbare schade op, en wat de tijdspanne is waarbinnen het proces hersteld moet zijn (herstelobjectief). Risicoanalyse Het in kaart brengen van alle mogelijke bedreigingen die kunnen leiden tot een onderbreking van één of meerdere processen binnen de organisatie is geen absolute voorwaarde voor het installeren van een Business Continuity Management en de opmaak van een Business Continuity Plan. Er wordt aanbevolen een Globaal Business Continuity Plan op te maken dat zoveel mogelijk risico s dekt in plaats van per risico een specifiek plan uit te werken. Specifieke maatregelen worden beter als bijlage opgenomen in het Globale Business Continuity Plan. Er wordt hierbij aanbevolen om zich te baseren op de 4 grote mogelijke gevolgen waarmee een organisatie geconfronteerd kan worden, met name: - Gebrek aan personeel - Gebrek aan faciliteiten (gebouw, lokalen,..) - Verlies van toegang tot de vitale data - Gebrek aan ICT III

6 Fase 3: BCM Strategie Op basis van de informatie over het proces zelf (Business Analyse) en een inschatting van de gevolgen van een onderbreking van het proces dienen maatregelen te worden geformuleerd die ervoor moeten kunnen zorgen dat: de waarschijnlijkheid van een onderbreking wordt verminderd; de periode van de onderbreking kan worden ingekort; de impact van de onderbreking op de kritische activiteiten beperkt is. In het kader van de Business Impact Analyse werd bepaald binnen welke tijdspanne welke actviteiten dienen te worden hersteld (herstelobjectief). In deze fase komt het er op aan actievoorstellen (maatregelen) te formuleren die hieraan tegemoet kunnen komen en per voorgestelde maatregel een kosten-baten analyse op te maken. Fase 4: Ontwikkelen, Implementeren BCM Respons Een Business Continuity Management Respons is het antwoord dat een organisatie voorbereid heeft om een incident te kunnen beheersen en de impact ervan op de werkprocessen te minimaliseren. De maatregelen die door het management in de vorige fase werden goedgekeurd moeten in deze fase worden uitgewerkt zodat de organisatie in geval van onderbreking van een bepaald proces snel en efficiënt kan reageren. Er kunnen drie onderling verbonden respons-stappen onderscheiden worden. Per responsfase dient een organisatie te beschikken over een plan of procedures. Alle deze plannen samen kunnen omschreven worden als het Globaal Business Continuity Plan. - Emergency Respons Incident Management Plan - Business Continuity Respons Business Continuity Plan - Business Recovery Respons Business Recovery Plan Doel Wat? Incident Plan Management Beheersen van het incident of de onderbreking zelf. Het beperken van de gevolgschade. Contacten met hulp- en interventiediensten Evacuatie gebouw Sociale bijstand en opvang personeel Business Continuity Plan Herstel of verderzetten van de meest kritische activiteiten. Alle relevante informatie (contactgegevens, procedures, ) om de kritische activiteiten terug op te starten of verder te zetten. Business Recovery Plan Herstel van alle activiteiten Terugkeer naar een normale situatie. Alle relevante informatie voor het herstel of het verderzetten van de nietkritische activiteiten (de activiteiten die niet in het BCP staan). IV

7 Fase 5: Oefenen, onderhouden en herzien Het volstaat niet om een Incident Management Plan, een Business Continuity Plan en een Business Recovery Plan in de kast te hebben staan. De plannen hebben maar hun nut als deze gekend zijn, actueel zijn en ingeoefend worden. Het inoefenen van de voorziene procedures en maatregelen in de plannen moeten ons verzekeren of de kritieke activiteiten daadwerkelijk binnen de vooropgestelde tijd hersteld kunnen worden. In navolging van oefeningen zal het nodig zijn de inhoud van de plannen bij te sturen of aan te vullen. Daarnaast moet er een procedure worden voorzien die ervoor zorgt dat bij iedere wijziging (intern of extern) met impact voor de organisatie het Business Continuity Management programma worden afgetoetst en de plannen waar nodig worden aangepast. Fase 6: Het inbedden in de organisatiecultuur Om succesvol te zijn moet het Business Continuity Management - project gedragen worden door zoveel mogelijk personen binnen de organisatie. Het management (zowel top als middelmanagement) spelen een essentiële rol bij het in kaart brengen van de kritische processen. Hun steun winnen is dus vitaal voor het project. Zoveel mogelijk personeelsleden moeten overtuigd zijn van het feit dat ze een belangrijke rol te spelen hebben om de continuïteit van de activiteiten van de organisatie te kunnen waarborgen. Het is daarom belangrijk voldoende aandacht te besteden aan bewustwording- en opleidingsprogramma s voor het personeel en verschillende sensibiliseringsactiviteiten te organiseren. Praktische aanpak om de 6 fasen te doorlopen Op pagina 73 kan een overzicht gevonden worden dat stap voor stap weergeeft wat concreet gedaan moet worden om de 6 fasen van Business Continuity Management te doorlopen. Deel 3: Werkdocumenten In deel 3 bevinden zich een aantal werkdocumenten die gebruikt kunnen worden voor het doorlopen van de verschillende fasen. V

8 VI

9 INHOUDSTAFEL Voorwoord...3 Inleiding methodologie...3 DEEL 1 : Business Continuity Management - Wat & Waarom? 1. Wat is Business Continuity Management? Wat is de relatie met andere specifieke disciplines? Risicomanagement Interne controle en interne audit Crisismanagement Schematische voorstelling Wat zijn voordelen van een Business Continuity Management Programma? Business Continuity standaarden Een aantal internationale BCM normen (standards) en richtlijnen (guidelines)...17 DEEL 2 : De 6 fasen van Business Continuity Management 1 Het BCM Programma Beleidsverklaring / Policy Development Doelstellingen, afbakeningen en uitgangspunten van de organisatie / Scope Rollen en verantwoordelijkheden Projectstructuur Permanente structuur Crisisstructuur Inzicht verkrijgen in de organisatie Business Analyse Business Impact Analyse Risicoanalyse Het bepalen van de BCM strategie Het ontwikkelen en implementeren van de BCM respons Oefenen, onderhouden en herzien Het inbedden van BCM in de organisatiecultuur...71 Tot slot synthese aanbevelingen...72 DEEL 3 - Werkdocumenten Bijlagen Literatuurlijst 1

10 2

11 Voorwoord In 2007 werden naar aanleiding van de verspreiding van het vogelgriepvirus (H5N1) door de FOD Binnenlandse Zaken een aantal sensibilisatieacties ondernomen om het bewustzijn, met betrekking tot de mogelijke gevolgen van de uitbraak van een grieppandemie op het maatschappelijke leven, te verhogen. Zo werd ondermeer een informatiecampagne uitgewerkt naar het personeel van de FOD Binnenlandse Zaken om hen bewust te maken van het belang van een goede hygiëne om de verspreiding van virussen tegen te gaan. Daarnaast werd binnen de Algemene Directie Crisiscentrum een checklist ontwikkeld en verspreid (zie bijlage 1) met specifieke maatregelen die genomen kunnen worden binnen organisaties ter voorbereiding op een grieppandemie. Vanuit deze acties en ook gelet op de recente evoluties (A/H1N1 pandemie) is steeds meer het bewustzijn gegroeid dat het noodzakelijk is dat overheidsdiensten, gelet op de vaak belangrijke maatschappelijk rol die ze vervullen, in staat zijn de continuïteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd. De Voorzitster van de FOD Binnenlandse Zaken, mejuffrouw De Knop, hecht veel belang aan risicomanagement binnen de FOD en in het bijzonder het beheren van risico s op vlak van de continuïteit van de dienstverlening, ethiek en kennisbeheer. Met dit werk, dat werd opgemaakt in het kader van mijn benoeming als statutair ambtenaar en tot doel heeft een methodologie aan te reiken voor de implementatie van een Business Continuity Management, hoop ik op een concrete wijze bij te dragen tot de realisatie van deze doelstelling van de FOD. Inleiding - methodologie Opbouw van het document Bronnen Dit document is opgebouwd uit drie delen: DEEL I bespreekt in het kort het Wat en Waarom van een Business Continuity Management en geeft voorbeelden van een aantal bestaande normen en richtlijnen inzake Business Continuity management. DEEL II geeft de verschillende fasen weer die moeten doorlopen worden om een Business Continuity Management te installeren. Op het einde van DEEL II wordt een synthese weergegeven van de aanbevelingen die doorheen het volledige document werden gemaakt. DEEL III geeft enerzijds een aantal werkdocumenten die gebruikt kunnen worden bij de implementatie van Business Continuity Management. Om te komen tot dit werk werd een literatuurstudie gedaan met betrekking tot Business Continuity Management (voor de lijst van de geconsulteerde bronnen wordt verwezen naar het einde van dit document). Het proces, voor de implementatie van een Business Continuity Management in de FOD Binnenlandse Zaken, dat in DEEL II wordt aangereikt houdt dan ook rekening met de belangrijkste principes uit een aantal internationale toonaangevende standaarden of richtlijnen op vlak van Business Continuity Management zoals opgesomd in DEEL I. OFIE SENESAEL FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM 3

12 Daarnaast werd ook contact opgenomen met een aantal personen van interne diensten van de FOD alsook externe bedrijven of organisaties, die omwille van hun expertise allen een interessante bijdrage hebben kunnen leveren aan dit document. Werkdocumenten Bestaande informatie Aanbevelingen In het kader van deze verhandeling werden eveneens een aantal documenten ontwikkeld die kunnen helpen bij de ontwikkeling van een Business Continuity Management binnen een of meerdere diensten van de FOD. Het betreft voornamelijk vragenlijsten en templates die kunnen aangewend worden tijdens het doorlopen van de verschillende fasen van het Business Continuity Management proces. Deze vragenlijsten en templates kunnen waar wenselijk worden aangepast aan de specificiteit van de dienst. In dit werk wordt rekening gehouden met de reeds bestaande informatie en ondernomen acties binnen de FOD rond onder andere procesbeschrijving, risicoanalyse (zie bijvoorbeeld de informatie verkregen uit de moderniseringsprocessen). Bij bepaalde punten in dit werk wordt dan ook gerefereerd naar reeds bestaande methodes en documenten. Doorheen dit werk worden aanbevelingen geformuleerd voor de implementatie van een Business Continuity Management binnen de FOD Binnenlandse Zaken. Deze aanbevelingen worden op het einde van DEEL II aan de hand van een schema weergegeven. 4

13 DEEL 1 Business Continuity Management - Wat & Waarom? -

14

15 1. Wat is Business Continuity Management? Definitie Vaak bestaat er verwarring tussen het begrip Business Continuity Management (BCM) en Business Continuity Plan (BCP). Deze begrippen worden regelmatig door elkaar gebruikt, maar betekenen niet hetzelfde. Hieronder staan enkele definities opgesomd waardoor het onderscheid tussen beiden duidelijk wordt. Business Continuity Management is a holistic management process that identifies potential threats to an organisation and the impacts to business operations that those threats if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities. 1 Bedrijfscontinuïteitsmanagement is een beheersproces dat risico s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritische bedrijfsprocessen en ondersteunende systemen minimaliseert, en met als ultieme doel het tijdig herstellen van de kritische bedrijfprocessen. 2 Business Continuity Management heeft tot doel de continuïteit van het bedrijfsproces en het voortbestaan van de organisatie te waarborgen. Het product van BCM bestaat uit werkbare en toepasbare maatregelen, zowel preventief (hebben tot doel het voorkomen dat zich situaties voordoen die de continuïteit van de organisatie aantasten) als repressief (in geval het risico manifest geworden is, zorgen voor repressieve maatregelen om gevolgschade te beperken tot een acceptabel niveau) 3 Business Continuity Plan (BCP) Een Business Continuity Plan is met andere woorden een product van Business Continuity Management. Een Business Continuity Plan kan omschreven worden als een geheel van reactieve (of repressieve) maatregelen om de gevolgen voor de continuïteit van de organisatie bij het manifesteren van bepaald risico te verminderen. Een Business Continuity Plan kan ook nog omschreven worden als a documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable pre-defined level. 4 De volgende definitie wordt gehanteerd door de Vlaamse Overheid: Een Business Continuity Plan is een duidelijk en gedocumenteerd plan om aan te wenden tijdens een verstoring van de bedrijfscontinuïteit, gebeurtenis, incident of crisis. Dit plan behandelt typisch alle sleutelpersonen, middelen, diensten, activiteiten noodzakelijk om het BCM proces te managen. 5 1 British Standard :2006, Business continuity management. Code of practice, p.1 2 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, British Standard :2006, Business continuity management. Code of practice, p.2 5 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari

16 Samenvattend Belang van definities Een Business Continuity Management is met andere woorden een beheersproces waarbij de organisatie de nodige maatregelen treft om in ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden opdat deze activiteiten op de kortst mogelijke termijn kunnen worden hersteld. Een Business Continuity Plan is een product van Business Continuity Management. Het is een geheel van procedures, afspraken en contactinformatie die gebruikt wordt op het ogenblik dat een onderbreking daadwerkelijk plaatsvindt. Naast de hierboven opgesomde definities bestaan nog ontelbaar andere definities van wat Business Continuity Management is. De een al wat beknopter geformuleerd dan de andere. Wat echt belangrijk is, is dat het management van een organisatie dat een Business Continuity Management wenst te implementeren het eens is over wat men voor de organisatie onder Business Continuity Management begrijpt, welke doelstellingen men hiermee wenst te bereiken en dat men bijgevolg dezelfde boodschap uitdragen binnen de volledige organisatie 6 (zie infra DEEL II, punt 1.1 beleidsverklaring). 2. Wat is de relatie met andere specifieke disciplines? Wat is de relatie van Business Continuity Management ten opzichte van andere gerelateerde disciplines. Ook hierover bestaan verschillende opvattingen. Op basis van de beschrijving van een aantal gerelateerde disciplines werd op pagina 11 een schematische voorstelling weergegeven van de opvatting die verder in dit werk gevolgd zal worden Risicomanagement Definities Link BCM Een eerste discipline die nauw aanleunt bij Business Continuity Management is risicomanagement. Risicomanagement is het overkoepelende proces om risico s te analyseren (risicoanalyse), maatregelen te nemen om de risico s tot een aanvaardbaar niveau te reduceren, en het vereiste risiconiveau te onderhouden. 7 Risicomanagement is het risicobeheerproces van het management. De houding van het management ten opzichte van de ondernemingsrisico s, zowel op strategisch vlak als op het niveau van de ondernemingsprocessen. 8 Waar risicomanagement staat voor het beheer van alle mogelijke risico s binnen een organisatie, richt Business Continuity Management zich op deze risico s die de continuïteit van de organisatie in het gedrang kunnen brengen. Volgens deze redenering maakt Business Continuity Management integraal deel uit van risicomanagement. Hoe groot het aandeel Business Continuity Management is, is moeilijk in te schatten. 7 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari R. DRIES, L. VAN BRUSSEL, M. WILLEKENS, Handbook auditing, intersentia, tweede druk, 2004, p. 16 8

17 Een risico kan afhankelijk van de context op een bepaald ogenblik een bedreiging zijn voor de continuïteit van de organisatie, terwijl dat voorheen niet het geval was. Sommige bronnen zien risicomanagement daarentegen eerder als een onderdeel van een overkoepelende Business Continuity aanpak. Alles hangt af van wat de organisatie begrijpt onder risicomanagement (wat is de scope van de organisatie met betrekking tot risicomanagement?) en wat de doelstelling is van het Business Continuity Management programma van de organisatie (omgaan met klassieke risicodomeinen of meer globaal omgaan met mogelijke incidenten van uiteenlopende aard) 9. Conclusie Er kan geconcludeerd worden dat er een duidelijk een verband is tussen risicomanagement en Business Continuity Management. In de literatuur kan men verschillende standpunten hierrond terugvinden. De context van de FOD Binnenlandse Zaken en meer in het bijzonder de specifieke taken in verband met risico- en crisisbeheer laten toe te besluiten dat Business Continuity Management, voor wat de FOD Binnenlandse Zaken betreft, deel uitmaakt van risicomanagement, doch slechts het management van een specifiek soort risico s betreft. Niet alle risico s waarmee de FOD geconfronteerd kan worden zijn immers een bedreiging voor de continuïteit van de opdrachten van de FOD zelf. Zo is de behandeling van risico s één van de opdrachten van de FOD, zonder dat deze risico s evenwel een bedreiging zijn voor haar eigen continuïteit. Het uitvaardigen van maatregelen (bijvoorbeeld afsluiten vuilnisbakken, politiebegeleiding, enz.) voor een veilig verloop van een Europese Top is bijvoorbeeld een opdracht van het Crisiscentrum, maar het veiligheidsrisico gelieerd aan de organisatie van een Europese Top is op zich geen bedreiging voor de continuïteit van het Crisiscentrum. Risicomanagement binnen de FOD BiZa Wat risicomanagement in het algemeen betreft, wordt er binnen de FOD Binnenlandse Zaken op versnipperde wijze gewerkt rond risico s. Risico s worden in kaart gebracht naar aanleiding van moderniseringsprojecten (MPM), de Interne Dienst voor de Preventie en Bescherming op het werk maakt onder meer analyses van risico s op vlak van de gezondheid en welzijn van het personeel alsook op vlak van de inrichting van de arbeidsplaatsen en werkposten. De Dienst Interne Inspectie gaat na of risico s voldoende worden beheerst en identificeren tijdens hun opdrachten ongetwijfeld nieuwe risico s. Ook in het kader van Business Continuity Management zullen risico s worden geïdentificeerd. Er wordt aanbevolen om alle risico s die binnen de FOD worden geïdentificeerd alsook de genomen maatregelen te inventariseren volgens een bepaalde methodiek alsook om de risico s jaarlijks te herevalueren (zie infra, punt 2.2, interne controle). 9 Business Continuity Management Congres, Kluwer, Edegem, 31 maart

18 2.2. Interne controle en interne audit Deze aanbeveling is conform het Koninklijk Besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht, meerbepaald de bepaling betreffende de verplichting de inventaris van de documentatie over de interne controlesystemen ter beschikking te kunnen stellen van interne en externe auditoren. Er wordt aanbevolen om met de verschillende betrokkenen na te gaan hoe dit best praktisch gerealiseerd kan worden binnen de FOD. Het beheren en detecteren van nieuwe risico s is geen éénmalig maar een continu proces is. Het is bijgevolg van belang dat het management haar standpunt bepaalt met betrekking tot de verhouding van risicomanagement ten aanzien Business Continuity Management enerzijds en de mate waarin zij wenst te investeren in risicomanagement in het algemeen met als specifiek aandachtspunt in eerste instantie Business Continuity Management. Dit is vooral van belang wanneer besloten wordt tot de opmaak van een inventaris van de documentatie van de interne controlesystemen binnen de FOD. Op dat ogenblik rijst de vraag wie daarvoor als verantwoordelijke moet worden aangeduid. De functie van een risk manager, een functie die opgang vindt in verschillende organisaties, kan een mogelijke piste zijn. Daarnaast zien we dat deze rol soms ook toegekend wordt aan de Business Continuity Manager. Interne controle en interne audit zijn twee disciplines waarvan de link met Business Continuity Management zeer groot is. De interne controle moet immers nagaan of er binnen de organisatie voldoende maatregelen werden genomen om risico s te vermijden. De interne audit bekijkt of de interne controle systemen, of nog de mate waarin de risico s beheerst worden, effectief en efficiënt zijn. Het is dan ook niet verwonderlijk dat de aandacht voor Business Continuity Management vaak groeit vanuit de resultaten van een interne audit. Zo ook is dit het geval bij de Vlaamse Overheid waar naar aanleiding van een interne audit werd vastgesteld dat het merendeel van de entiteiten binnen de Vlaamse Overheid over onvoldoende maturiteit beschikken op vlak van bedrijfscontinuïteit. In het volgende punt wordt het verschil tussen de begrippen interne audit en interne controle toegelicht. De wettelijke grondslag, alsook de wijze waarop de FOD Binnenlandse Zaken beiden in de praktijk realiseert, komen hierna aan bod. Definitie Volgens het Koninklijk Besluit van 2007 betreffende het intern controlesysteem binnen sommige departementen van de federale uitvoerende macht, is interne controle een geïntegreerd proces dat door de verantwoordelijken en het personeel van een organisatie is uitgewerkt en dat is bestemd om risico s te behandelen en een redelijke zekerheid te bieden omtrent de verwezenlijking, in het kader van de opdracht van de organisatie, van de volgende algemene doelstellingen: - uitvoering van geordende, ethische, zuinige, doeltreffende en doelmatige verrichtingen; - naleving van de verplichtingen tot rekenschap afleggen; - overeenstemming met de geldende wetten en regelgeving; - bescherming van de middelen tegen verlies, wangebruik en schade. 10

19 Een risico wordt door het Koninklijk Besluit omschreven als een onverwachte gebeurtenis die het bepalen van de vooropgestelde doelstellingen in het gedrang zou kunnen brengen. Volgende Koninklijke Besluiten leggen de federale overheidsdiensten de verplichting op om een intern controlesysteem uit te bouwen: Interne controle Het Koninklijk Besluit van 26 mei 2002 betreffende het intern controlesysteem binnen de federale overheid (Belgisch Staatsblad 31 mei 2002) legt aan elke federale overheidsdienst en federale programmatorische overheidsdienst de verplichting op een intern controlesysteem uit te bouwen. Het Koninklijk Besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige departementen van de federale uitvoerende macht past sommige bepalingen van het Koninklijk Besluit van 26 mei 2002 aan, verduidelijkt ze en vult ze aan. Verantwoordelijke Methodologie Het lijnmanagement is verantwoordelijk voor het uitbouwen van een intern controlesysteem. Zij moeten toezien op de naleving van de weten regelgeving en de vereiste procedures, beheerscontroles en rapporteringprocedures uitwerken voor een doeltreffende, kwaliteitsvolle en efficiënte werking en om de vermogensbestanddelen van de organisatie veilig te stellen. Als methodologie wordt in het Koninklijk Besluit op de interne controle het gebruik van het COSO-Enterprise Risk Management Framework aanbevolen. COSO is een managementmodel dat ontwikkeld werd door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit model is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het intern controlesysteem. In 2004 werd het model geactualiseerd, werden elementen toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Enterprise Risk Management Framework (ERMF). 11

20 Risk management objectives Risk components Entity & Unit-level Components The COSO Enterprise Risk Management Framework Wat is COSO ERMF? Als een organisatie haar doelstellingen wil bereiken dan moet ze kunnen omgaan met risico s en in staat zijn risico's te beheersen. COSO beschrijft en definieert hiervoor de verschillende elementen van een intern controlesysteem. Dit kan als raamwerk worden gebruikt voor organisaties die een intern controlesysteem willen implementeren. Het model (zie figuur hierboven) geeft in de COSO-kubus de directe relatie weer tussen: - De doelstellingen van een organisatie (de strategische doelstellingen, de effectiviteit en efficiëntie van de bedrijfsprocessen, de betrouwbaarheid van de informatie en de naleving van relevante wet- en regelgeving) - De controlecomponenten: Interne omgeving (de mate waarin risico s worden genomen) Bepaling van doelstellingen (objective setting) Identificatie van de gebeurtenissen (kansen/risico s die een positieve of negatieve invloed kunnen hebben op het behalen van de doelstellingen) De risico-inschatting of de beoordeling van de geïdentificeerde risico s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet) De risicobeheersingsmaatregelen (risk response) (risico s vermijden, aanvaarden, delen of verminderen) Controleactiviteiten (vb. functiescheiding) Informatie en communicatie Monitoring - de activiteiten/eenheden waarvoor interne controle nodig is. 12