Business. Continuity. Management. Garantie voor succes?

Business Continuity Management Garantie voor succes? Afstudeerscriptie Teamnummer 1020 Postgraduate IT Audit Opleiding Vrije Universiteit Amsterdam september 2010

1. Voorwoord Deze scriptie is geschreven in het kader van het afstuderen voor de opleiding Postgraduate IT Audit aan de Faculteit der Economische Wetenschappen en Bedrijfskunde van de Vrije Universiteit in Amsterdam. De scriptie gaat over het onderwerp Business Continuity Management, en wel over de bepalende factoren voor de effectiviteit van de reactie van een organisatie op een (dreigende) verstoring van haar kritieke dienstverlening. Deze scriptie is het resultaat van een periode van intensieve werkzaamheden met de nodige hoogteen dieptepunten. Door de vele uren lezen praten en schrijven, is het familieleven de laatste tijd wat minder aan bod gekomen. Het eindresultaat is in belangrijke mate bepaald door hulp en steun van anderen. Allereerst gaat onze dank uit naar onze scriptiebegeleider, de heer Cees Coumou. Hij heeft ons geholpen gestructureerd aan de slag te gaan en door slechts enkele opmerkingen, voelden we ons steeds de juiste weg op gestuurd. Daarnaast willen wij van deze gelegenheid gebruik maken om ook onze bedrijfsbegeleiders te bedanken, de heren Raymond Scherpenzeel en Meinte Ringia. Tot slot zijn wij de (gast)docenten van de opleiding Postgraduate IT Audit erkentelijk, die ons de afgelopen jaren een grote diversiteit aan informatie op diverse kennisgebieden hebben overgedragen en hiermee hebben bijgedragen aan het verbreden van onze vakkennis. We hebben het volgen van de opleiding als een plezierige en leerzame tijd ervaren. Harry Cornelissen & Ron Dinmohamed - 1 -

2. Inhoudsopgave 1. Voorwoord... 1 2. Inhoudsopgave... 2 3. Samenvatting... 3 4. Inleiding... 5 4.1 Onderzoeksvraag... 5 4.2 Aanpak... 6 4.3 Bijgestelde aanpak... 7 4.4 Leeswijzer... 8 5. Business Continuity Management... 9 5.1 Wat is BCM?... 9 5.2 BCM en Risicomanagement... 10 5.3 Doelstellingen in het kader van BCM... 12 5.4 Certificering... 13 5.5 De BCM levenscyslus... 14 5.6 De BCM response... 17 5.7 Scope van het onderzoek in relatie tot BCM... 17 6. Effectiviteit... 19 6.1 Definities van effectiviteit... 19 6.2 Toepasbaarheid definitie effectiviteit voor een BCM response... 19 7. Factoren van invloed op de effectiviteit van de reactie op een ernstige verstoring... 21 7.1 Werkwijze... 21 7.2 Uitkomsten van de interviews met experts... 22 7.3 Factoren van invloed op de effectiviteit... 24 7.3.1 BCM doelstellingen in relatie tot de fasering van de reactie op een verstoring... 24 7.3.2 Factoren van invloed op de effectiviteit van de fase Incident Response... 26 7.3.3 Factoren van invloed op de effectiviteit van de fase Business Continuity... 28 7.4 Conclusie... 31 7.5 Nawoord en reflectie... 31 8. Referentielijst... 33 Bijlage - Interviews... 34-2 -

3. Samenvatting Het vakgebied Business Continuity Management (BCM) is gericht op de continuïteit van de kritieke dienstverlening, dus op het bestaansrecht en voortbestaan van organisaties. De belangstelling voor BCM groeit de laatste jaren sterk, onder invloed van ernstige verstoringen door natuurrampen, geweld van terroristen en wereldwijde bedreigingen van de volksgezondheid. Organisaties maken zichzelf weerbaar tegen deze verstoringen, omdat continuïteit een primair doel is van belanghebbenden als financiers, eigenaars en personeel. Ook ontstaat er geleidelijk steeds meer externe druk om iets aan BCM te doen door wet- en regelgeving, ketenpartners en toezichthouders. Tijdens de implementatie van BCM wordt bepaald wat er gedaan moet worden om alle resources te beschermen, die nodig zijn voor de kritieke dienstverlening. Naast bescherming worden er ook maatregelen genomen om deze resources binnen afzienbare tijd weer in voldoende mate beschikbaar te krijgen, in geval ze beschadigd of verloren zijn gegaan. De voorbereiding en de hulpmiddelen van een organisatie om te kunnen reageren op een ernstige verstoring wordt de BCM response genoemd. BCM kost veel inspanning, dus ook veel geld. Het resultaat van die inspanning zou een organisatie moeten opleveren die weerbaar is tegen de verstoringen, waarvoor een BCM response is ontwikkeld en geïmplementeerd. Belanghebbenden zullen op enig moment na implementatie van BCM de vraag stellen, of het gewenste niveau van weerbaarheid ook daadwerkelijk is bereikt. Dit is een vraag naar de beoordeling van de effectiviteit van de geïmplementeerde BCM response. De beantwoording van voorgaande effectiviteitsvraag wordt bemoeilijkt, omdat de beschikbare normen en standaarden voor BCM zijn gericht op het proces, niet op het product. Een toonaangevende norm voor BCM is de British Standard 25999. Certificering tegen deze norm levert een verklaring op, dat de organisatie een proces voor implementatie heeft gevolgd, wat voldoet aan de eisen uit de standaard. Deze verklaring biedt geen garantie dat geïmplementeerde BCM response (product) ook zodanig effectief is, dat de organisatie hiermee haar continuïteitsdoelstellingen zal bereiken bij een ernstige verstoring. Dit onderzoek is opgezet om hulp te bieden bij de beantwoording van de effectiviteitsvraag, door te proberen de bepalende factoren vast te stellen voor de effectiviteit van de BCM response. De uitkomsten van het onderzoek worden in deze samenvatting niet verder toegelicht, omdat wij willen zekerstellen dat de onderkende bepalende factoren gelezen worden in de context van de analyse (paragraaf 7.3). Wel staan wij hier stil bij de toegevoegde waarde en beperkingen bij gebruik van de uitkomsten van het onderzoek. Voor het beoordelen van de effectiviteit van de BCM response is een normenkader nodig. Aanhaken bij een best practice kan niet, want die is er niet voor het product BCM response. Er zal dus vanaf nul een normenkader opgebouwd moeten worden. De bepalende factoren en onderliggende elementen (als resultaat van dit onderzoek), bieden ons inziens aanknopingspunten om aan de hand daarvan een normenkader op te stellen. Het is een eerste checklist, met onderwerpen waarvoor iets in normatieve zin gesteld zou kunnen worden. De mate waarin deze factoren en elementen van toepassing zijn, hangt af van de aard van de verstoringen waartegen een organisatie zich wenst te wapenen. Als daarnaast de BCM doelstellingen van de organisatie afwijken van de binnen dit onderzoek gehanteerde generieke continuïteitsdoelstelling, dan vereist dat ook aanpassingen in de analyse met mogelijk andere uitkomsten (in de vorm - 3 -

van factoren en elementen) als gevolg. - 4 -

4. Inleiding Business Continuity Management (BCM) is een onderwerp dat steeds vaker op de agenda van bestuurders van organisaties staat. Het management is zich meer en meer bewust van de risico s die de continuïteit van de business in gevaar brengen. Een organisatie die goed voorbereid is op een ernstige verstoring van de dienstverlening, heeft een grotere kans op overleven of een betere kans om succesvol te zijn ten opzichte van concurrenten, wanneer een calamiteit zich daadwerkelijk voordoet. De markt verwacht en stelt steeds meer en hogere kwaliteitseisen aan producten en diensten, waarbij de beschikbaarheid van de bijbehorende processen en middelen een randvoorwaardelijke factor is. Vanuit wet- en regelgeving wordt meer en meer aandacht gevraagd voor continuïteitsvraagstukken. Ook toezichthouders eisen in toenemende mate aandacht voor BCM; een goed voorbeeld hiervan is De Nederlandsche Bank. De continuïteit van de business wordt aan de aanbodzijde bepaald door de beschikbaarheid van de kritieke processen en middelen. De onderlinge afhankelijkheden van processen worden groter. Zo zijn ondersteunende IT processen geleidelijk steeds meer vervlochten met primaire processen, waardoor activiteiten uit het primaire proces worden verricht zonder menselijke interactie. Door een toename in samenwerkingsverbanden tussen organisaties neemt ook de afhankelijkheid toe van elkaars (primaire) processen. Een toename van onderlinge afhankelijkheid tussen processen heeft tot gevolg dat het sturen op de beschikbaarheid van processen meer complex wordt. Belanghebbenden eisen daarom duidelijkheid over de wijze waarop de continuïteit van de dienstverlening van de organisatie is gewaarborgd. Op dit moment is de British Standard 25999 dé standaard voor BCM in West-Europa. De BS25999 bestaat uit twee delen: (1) BS25999-1:2006 Code of Practice for BCM; de best practices op het gebied van continuïteitsmanagement. (2) BS25999-2:2007 A Specification for BCM; standaard voor implementatie van continuïteitsbeheer, op basis waarvan certificering kan plaatsvinden. BS25999 is een generieke best practice waarbij het uitgangspunt is, dat deze toepasbaar is voor alle soorten organisaties. De mate waarin de afzonderlijke elementen ook zinvol toegepast kunnen worden is afhankelijk van de aard en complexiteit van de organisatie en de omgeving waarin ze opereert. BS25999 kan door professionals gebruikt worden om een BCM Systeem (BCMS) voor een organisatie te ontwikkelen, dat voldoet aan de behoeften van de organisatie en haar belanghebbenden. De standaard biedt daarmee een raamwerk om de ontwikkeling en implementatie van een BCMS te structureren. 4.1 Onderzoeksvraag Sinds eind 2007 is de British Standard Institution (BSI) als eerste instantie wereldwijd geaccrediteerd, om organisaties te certificeren tegen de BS25999. Met het oog op de enorme belangstelling voor deze standaard sinds de introductie in 2006 en de groeiende behoefte aan waarborgen, is het aannemelijk om te stellen dat tegelijkertijd ook de belangstelling voor certificering toeneemt. Een Brits onderzoek uit 2008 onder een groot aantal Europese bedrijven, levert op dat 60% van de Britse - 5 -

bedrijven en 28% van de buitenlandse bedrijven de komende jaren bij de implementatie wil voldoen aan de BS25999. [12] 1 De BS25999 is allereerst gericht op de kwaliteit van de processen om enerzijds te komen tot response- en continuïteitsplannen 2 en anderzijds een organisatie, die bij ernstige verstoringen met deze plannen aan de slag kan. Dit zijn voorbeelden van de eindproducten of uitkomsten van een BCM implementatie. Daarnaast is BS25999 gericht op de processen voor continue verbetering van de zojuist genoemde eindproducten en het onderhoud hierop ten gevolge van gewijzigde omstandigheden. Een BCM implementatie die gecertificeerd is tegen de standaard BS25999, heeft in hoofdzaak een verklaring gekregen, dat is voldaan aan de kwaliteitseisen voor de processen gericht op implementatie en onderhoud van BCM. Certificering geeft geen garantie dat ook de eindproducten van een BCM implementatie optimaal functioneren bij een verstoring van kritieke dienstverleningsprocessen, maar het helpt zeer zeker om dit te bereiken. De effectiviteit van deze eindproducten bepaalt uiteindelijk of de continuïteitsdoelstellingen na een verstoring ook daadwerkelijk worden behaald. Er zijn op dit moment geen standaarden of normen bekend, waartegen de eindproducten van een BCM implementatie kunnen worden getoetst. Een normenkader is een voorwaarde om een oordeel te kunnen geven over de effectiviteit van deze eindproducten. Inzicht in de factoren die belangrijke invloed hebben op de effectiviteit, zou een aanzet kunnen vormen voor de verdere ontwikkeling van een normenkader op dit vlak. Vanuit beide vakgebieden BCM en (IT) Auditing zal de beschikbaarheid van zo n normenkader toegejuicht worden. Om deze redenen is de volgende onderzoeksvraag opgesteld: Welke factoren zijn bepalend voor de effectiviteit van de eindproducten van een BCM implementatie? Een decompositie van de onderzoeksvraag leidt tot onderstaande deelvragen: (1) Wat zijn de eindproducten van een BCM implementatie? 3 (2) Wat is effectief in relatie tot de eindproducten van een BCM implementatie? 3 (3) Welke factoren worden meegenomen? (4) Wanneer is een factor bepalend? 4.2 Aanpak Om de onderzoeksvraag te kunnen beantwoorden hebben wij een aanpak geformuleerd met 3 fasen: Literatuurstudie, Praktijktoets en Confrontatie theorie en praktijk (inclusief analyse en eventuele bijstelling). 1 De nummers tussen haken [##] zijn verwijzingen naar de referentielijst in hoofdstuk 8 2 Deze termen zijn niet ontleend aan de BS25999, maar primair gericht op toelichting van de doelstelling van deze plannen om ze begrijpelijk te maken. 3 Binnen de kaders zoals die beschreven zijn in de standaard BS25999, waarbij aanvullende informatie gezocht wordt als de beschikbare informatie in deze standaard onvoldoende expliciet of gedetailleerd is. - 6 -

Meer in detail bevat deze aanpak de volgende tien stappen: (1) Afbakening scope BCM (2) Onderzoek naar generieke doelstellingen voor BCM (conform BS25999). (3) Vaststellen van mogelijkheden voor concretisering van doelstellingen, gericht op een definitie van beschikbaarheid in relatie tot processen en middelen. (4) Afbakening van de scope gericht op de BCM eindproducten: opsomming van vereiste en mogelijke onderliggende plannen met nut & noodzaak per plan, de hierbij betrokken organisatie en hiervoor benodigde middelen. Afhankelijk van de mate van detail van de plannen, zullen ook de specifiek in dit kader gemaakte onderliggende afspraken als BCM eindproducten meegenomen worden. (5) Onderzoek naar de effectiviteit van BCM eindproducten, gericht op: a. Een definitie van effectiviteit. b. Vaststellen van de toepasbaarheid van de definitie: per eindproduct afzonderlijk of als één geheel. (6) Onderzoek naar factoren van invloed op de effectiviteit: a. Genereren van een relatiediagram met aandachtsgebieden voor het management,die van invloed zijn op de effectiviteit van BCM eindproducten. b. Per aandachtsgebied: vaststellen van de factoren waar het management invloed op heeft en afwegen welke daarvan bepalend zijn voor de effectiviteit. (7) Bedrijven selecteren met voldoende BCM praktijkervaring via beroepsgroeporganisaties, adviesbureaus gespecialiseerd in BCM en certificerende instanties voor de BS25999. (8) Verzoeken om een uitnodiging voor een kennismakingsgesprek, uitmondend in een verzoek om mee te werken aan het praktijkonderzoek; doel: onderzoek naar 3-5 praktijksituaties. Per casus: a. Beoordelen van de BCM doelstellingen en de mate waarin deze afwijken van de uitgangspunten onder (2) en (3). b. Beoordelen van de BCM eindproducten en de mate waarin deze afwijken van de uitgangspunten onder (4). c. Vaststellen of en op welke wijze de voor de effectiviteit belangrijkste invloedfactoren (6b) ingevuld zijn en welke afweging is gemaakt om sommige hiervan buiten beschouwing te laten. (9) Analyse van in de praktijk ontbrekende factoren die uit theoretisch oogpunt bepalend zijn. (10) Theoretische uitgangspunten bevestigen of herzien, conclusies en aanbevelingen opstellen. 4.3 Bijgestelde aanpak Achteraf bezien hebben wij tijdens de fase literatuurstudie weinig tot niets gevonden over de effectiviteit van BCM eindproducten en factoren die van invloed zijn op de effectiviteit van deze - 7 -

eindproducten. Tevens bleek er in veel mindere mate gedetailleerd materiaal over BCM praktijksituaties beschikbaar te zijn, dan waar oorspronkelijk van was uitgegaan. Tijdens het opstellen van de aanpak in de vorm zoals beschreven in de vorige paragraaf (4.2), is dit materiaal als belangrijke bron onderkend voor het analyseren en vaststellen van de factoren van invloed. Het gevolg hiervan is dat stappen (5) en (6) van de oorspronkelijke aanpak afwijkend zijn ingevuld. Wij hebben voor deze onderwerpen hoofdzakelijk gesteund op ons gezond verstand in combinatie met het raadplegen van experts. Ook de experts zijn overigens terughoudend geweest met het verstrekken van gedetailleerde informatie ten aanzien van praktijkervaringen over wat misging. De resultaten uit stappen (5) en (6) hebben daardoor een meer beperkte diepgang gekregen, dan verondersteld tijdens het schrijven van de aanpak. Door deze wijzigingen ten aanzien van de literatuurstudie, is ook de praktijktoets anders ingevuld dan vooraf bedacht. Bij een praktijktoets voor meer globale theoretische uitgangspunten ligt de nadruk meer op herkenning dan op waarheidsvinding. De opeenvolgende interviews met experts ontwikkelden zich geleidelijk van raadplegend naar toetsend. De conclusie uit bovenstaande ervaringen tijdens het uitvoeren van het afstudeeronderzoek is, dat de aanpak vanaf stap (6) herzien is. In plaats van een praktijktoets met de veronderstelde zeer concrete praktijksituaties, hebben wij voor deze toets een meer divers gezelschap aan experts benaderd. In interviews met deze experts zijn de theoretische uitgangspunten en een eerste analyse besproken, getoetst en in een aantal gevallen bijgesteld. Deze interviews zijn in de plaats gekomen van de oorspronkelijke stappen (8) tot en met (10). Deze bijstelling in de aanpak heeft ook gevolgen gehad voor de beantwoording van de deelvragen 3 en 4. Deze deelvragen zijn gedefinieerd als tussentijdse resultaten van stappen uit de aanpak. Deelvraag 3 hoort bij stap 6a, deelvraag 4 bij 6b. Aangezien deze stappen met minder diepgang zijn doorlopen dan verondersteld ten tijde van het opstellen van de onderzoeksvraag, heeft dit geleid tot een summiere beantwoording van beide deelvragen in hoofdstuk 7. 4.4 Leeswijzer In hoofdstuk 5 wordt dieper ingegaan op elementen uit het vakgebied BCM. We stellen een definitie vast, gaan in op doelstellingen van BCM en aspecten bij implementatie. Uiteindelijk resulteert dit aan het eind van hoofdstuk 5 in een afbakening van de scope van BCM in relatie tot dit onderzoek. Hoofdstuk 6 behandelt het begrip effectiviteit en de toepasbaarheid van dit begrip voor de BCM eindproducten, die binnen de scope van hoofdstuk 5 vallen. In hoofdstuk 7 wordt de analyse beschreven die gebruikt is voor beantwoording van de onderzoeksvraag. Ook vindt verantwoording plaats over de wijze waarop de voor effectiviteit bepalende factoren zijn vastgesteld. Tevens wordt toegelicht welke mogelijkheden wij zien om invloed uit te oefenen op deze factoren voor het management van de organisatie. - 8 -

5. Business Continuity Management 5.1 Wat is BCM? Sinds jaar en dag dekken ondernemingen risico s af op het gebied van de beschikbaarheid van hun dienstverlening. Daar waar begin jaren negentig de nadruk voor continuïteitsbeheer lag op het herstel van de IT dienstverlening (ook wel aangeduid met Disaster Recovery Planning), nam in de jaren daarna het general management van organisaties geleidelijk het stokje over van IT management. Het voorbereiden van bedrijven op potentiële onderbrekingen van bedrijfsprocessen zagen we al gebeuren bij de eeuwwisseling (het Y2K-probleem). Hoewel destijds het leeuwendeel van de voorbereidingen waren gericht op de IT infrastructuur, stonden de mogelijke gevolgen voor de business centraal. De aandacht voor de continuïteit van de dienstverlening kreeg na de eeuwwisseling een flinke impuls, toen zich in een kort tijdsbestek grote natuurrampen (Katrina, Tsunami) en terroristische aanslagen (9/11) voordeden. Daarnaast zijn de effecten van grote stroomstoringen inmiddels pijnlijk duidelijk geworden. En wat te denken van de Grieppandemie die door de Wereldgezondheidsorganisatie werd afgekondigd? Het onderwerp continuïteit van de dienstverlening staat daardoor meer en meer op de agenda van het topmanagement bij bedrijven en overheidsorganisaties. Geleidelijk ontstond er in de periode rondom de eeuwwisseling ook meer aandacht in wet- en regelgeving op het gebied van corporate government en risicomanagement; continuïteit van de bedrijfsvoering is hiervan een belangrijke component. Voorbeelden hiervan zijn de Sarbanes-Oxley Act, Code-Tabaksblat en Basel II. Ook zagen wereldwijd standaarden en methodieken het licht om BCM te introduceren en te implementeren. In West Europa had Groot Brittannië het voortouw. In 2003 werd de Publicly Available Specification over BCM (PAS 56) uitgebracht; vanaf 2006 is deze standaard na verdere ontwikkeling opgegaan in de BS25999. De BS25999 is snel na de introductie door veel organisaties in West-Europa geadopteerd. Veel van deze (overheids) bedrijven hebben zich inmiddels voorgenomen om zich aan deze standaard te conformeren. Voor het 2011 staat gepland dat de BS25999 grotendeels in de huidige vorm opgaat in ISO 22301 waarmee de internationale acceptatie van deze standaard bezegeld wordt. Voor het managen van continuïteitsvraagstukken zijn in de loop der jaren veel verschillende termen gebruikt, met als gevolg dat begrippen door elkaar gehaald en gebruikt worden. Termen als Disaster Recovery Planning en IT Service Continuity Management hebben betrekking op de continuïteit van de IT dienstverlening zoals hiervoor al aangegeven. Deze processen zijn ondersteunend en wellicht randvoorwaardelijk voor de primaire dienstverlening van een organisatie, tenzij het een IT bedrijf betreft. Bij de onderzoeksopdracht was voorgesteld om maximaal binnen de kaders van de BS25999 te blijven. Hiervoor is al aangegeven dat deze standaard breed is geaccepteerd, waardoor de gehanteerde begrippen en methodiek naar verwachting maximaal zullen aansluiten bij de lezers van dit rapport. Aanvullende informatie wordt gezocht als de beschikbare informatie in deze standaard onvoldoende expliciet of gedetailleerd is. BCM wordt in de BS25999-2 op de volgende wijze gedefinieerd: - 9 -

Holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities. De BS25999 gaat uit van een holistische benadering. Daarmee benadrukt de standaard dat BCM geen geïsoleerde activiteit is, maar deel uitmaakt van een goede bestuurlijke inrichting van een onderneming, waarbij rekening gehouden wordt met alle relevante facetten van bedrijfsvoering (corporate governance). Uit de definitie van BS25999 wordt duidelijk dat BCM gericht is op het weerbaar maken van de organisatie tegen de invloed van verstoringen op de belangrijkste processen. Opgemerkt wordt dat deze definitie van BCM niet beperkt blijft tot de negatieve invloeden op het leveren van producten en diensten. Ook verstoringen met gevolgen voor imago of reputatie van de organisatie vallen binnen de definitie van de BS25999. Daarmee omvat BCM de verstoringen van zowel het aanbod als die van de vraag naar de producten en diensten, waarvan een organisatie afhankelijk is voor haar voortbestaan. Weerbaar zijn, vereist uitvoering van de juiste acties bij het optreden van een verstoring en het nemen van voorzorgsmaatregelen in de periode daaraan voorafgaand. Om weerbaar te blijven zijn echter ook andere activiteiten noodzakelijk. De BS25999 beschrijft dit met het begrip BCMS, zoals in de hoofdstuk 4 al kort aangeduid. Daarbij wordt steeds een cyclus ter verbetering doorlopen. Het BCMS waarborgt dat BCM binnen de organisatie up-to-date blijft ten gevolge van veranderende omstandigheden en dat er structureel verbeteringen worden doorgevoerd. In dat kader zal duidelijk zijn dat binnen het vakgebied BCM veel waarde gehecht wordt aan oefenen, testen en trainen. 5.2 BCM en Risicomanagement Risicomanagement is het overkoepelende proces om risico s te analyseren, maatregelen te nemen om de risico s tot een aanvaardbaar niveau terug te brengen, en het vereiste risiconiveau te onderhouden. Risicomanagement is het risicobeheerproces van het management, zowel op strategisch vlak als tactisch en operatoneel ten aanzien van de procesgang binnen de organisatie. Waar risicomanagement staat voor het beheer van alle mogelijke risico s binnen een organisatie, richt BCM zich op de risico s die de continuïteit van de dienstverlening in het gedrang kunnen brengen. Volgens deze redenering maakt BCM integraal deel uit van risicomanagement. Naar verluid zien sommigen 1 risicomanagement daarentegen eerder als een onderdeel van een overkoepelende aanpak van BCM; wij delen deze zienswijze niet. De in de analyse onderkende risico s worden door middel van maatregelen tot een acceptabel niveau teruggebracht. Een ordening helpt om een juiste keuze te maken ten aanzien van de te nemen acties. Daartoe wordt in een zogenaamde risicomatrix op de assen de enkelvoudige schadeverwachting per dreiging uitgezet tegen de verwachte frequentie van optreden [05]. Door de dreigingen voorkomend uit de analyse op deze twee elementen te beoordelen en onderling ten opzichte van elkaar te ordenen, kan een afweging gemaakt worden welke dreigingen met voorrang aangepakt moeten worden en welke soort maatregelen de voorkeur verdient. In de volgende figuur is een risicomatrix getekend, met daarin per cel een vermelding van de mogelijke actie. 1 Wij hebben hiervoor geen rechtstreekse bronnen gevonden, alleen een indirecte verwijzing. - 10 -

De dreigingen met een hoge verwachte frequentie van optreden en hoge gevolgschade worden als eerste aangepakt. De dreigingen uit het tegenoverliggende kwadrant ( laag/laag ) zullen in eerste instantie geen aandacht behoeven, omdat de gevolgen voor de organisatie beperkt zijn. In de overige twee kwadranten is een voorkeur weergegeven ten aanzien van de aard van de te treffen maatregelen (preventief vs. repressief) om het betreffende risico te verminderen. Een preventieve maatregel is bij een lage frequentie van voorkomen op het eerste gezicht minder doelmatig dan een repressieve maatregel, en omgekeerd. Dit is niet meer dan een voorkeur: per dreiging zal telkens opnieuw een afweging gemaakt worden van de te nemen maatregel(en). BCM is gericht zich op dreigingen met een hoge enkelvoudige schadeverwachting en heeft als doel om de organisatie weerbaar te maken voor verstoringen, die het voortbestaan in gevaar brengen. Repressieve maatregelen zijn gericht op het stoppen van de gevolgen van een incident; preventieve maatregelen hebben juist tot doel om incidenten te voorkomen. Vanuit deze invalshoek stellen wij dat BCM met name gericht is op de repressieve maatregelen om te acteren op een (dreigende) verstoring van de kritieke dienstverlening. Wij pleiten hiermee overigens niet voor harde uitsluiting van preventieve maatregelen bij de afbakening van het vakgebied BCM. Voor het reduceren van een risico worden per dreiging vaak meerdere maatregelen in samenhang getroffen. Omwille van de bewaking van diezelfde samenhang, is het niet verstandig om de bijbehorende preventieve maatregelen in een ander vakje te stoppen. Andere afbakeningen van BCM betreffen de uitsluiting van verstoringen, die geen impact hebben op de kritieke processen van de organisatie en daarom niet ernstig genoeg zijn om het voortbestaan van de organisatie in gevaar te brengen. Ook worden in de literatuur [14] risico s op verstoringen die niet plotseling optreden buiten de scope van BCM gehouden. Als reden hiervoor wordt opgegeven, dat er andere (reguliere) beheerprocessen beschikbaar zijn om deze verstoringen te verhelpen. Wij nemen de afbakening met betrekking tot de snelheid van de verstoring niet over. Ook verstoringen die geleidelijk in omvang toenemen, kunnen escaleren tot een crisis. Als een incident door een behandelaar niet binnen een vooraf bepaald tijdsinterval kan worden opgelost, dan escaleert zo n incident. De escalatie start zodra duidelijk wordt, dat er geen oplossing gecreëerd kan worden binnen de normtijd voor afhandeling. De normtijd wordt in het algemeen kleiner gesteld naarmate de impact van de verstoring toeneemt. Bij voldoende zwaarwegende verstoringen wordt bij escalatie het proces crisismanagement geactiveerd; dit is onafhankelijk van de snelheid waarmee de verstoring zich openbaart. - 11 -

5.3 Doelstellingen in het kader van BCM De doelen die organisaties voor ogen hebben bij het inrichten van BCM kunnen divers zijn. De drijfveer voor organisaties om een BCM traject starten kan zowel vanuit de interne organisatie als vanuit de omgeving ontstaan. Management dat namens de directe belanghebbenden van een organisatie (eigenaren, financiers en personeel) de overtuiging heeft, dat het voortbestaan van de organisatie niet in gevaar mag komen door het onbewust negeren van risico s, start vanuit een interne prikkel een BCM traject. Er zijn echter ook externe drijfveren die ervoor kunnen zorgen dat organisaties aan BCM beginnen. Vanuit de wet- en regelgeving worden organisaties richting gegeven ten aanzien van corporate governance (SOX, Code Tabaksblat), waarbij is inbegrepen de aandacht op het gebied van de continuïteit van de organisatie. De wet- en regelgeving is echter (nog) niet zodanig, dat organisaties worden gedwongen om BCM structureel in te voeren. Een positieve uitzondering hierop betreft de financiële sector. De Nederlandsche Bank heeft bijvoorbeeld richtlijnen uitgevaardigd voor financiële ondernemingen om maatregelen te nemen in het kader van BCM. [13] In de Verenigde Staten zijn na de terroristische aanslagen door de overheid aanbevelingen gedaan om organisaties zich te laten voorbereiden op calamiteiten.[11] Hoewel deze aanbevelingen worden bestempeld als vrijwillig, worden ze binnen een branche veelal als dwingend ervaren door het acteren van de ketenpartners onderling. Ketenpartners met veel macht dwingen anderen om maatregelen te nemen op het gebied van continuïteit, om daarmee hun eigen toeleveringen of afzet te beschermen. Om geen klanten of leveranciers te verliezen starten de anderen dan een BCM traject en zullen op termijn via certificering moeten aantonen dat ze goed voorbereid zijn. Zoals met veel zaken, is het ook op dit punt goed denkbaar dat deze tendens overkomt naar Europa. Organisaties die veel die zaken doen in de Verenigde Staten zullen er als eerste mee te maken krijgen. Een andere mogelijk externe drijfveer is dat Business Continuity de komende periode een hype wordt, vergelijkbaar met ISO9000 in de jaren 1980-1990. Een ander voorbeeld van een hype in de afgelopen periode is de invoering van ERP. Ondernemers en managers blijken sterk beïnvloedbaar door informele contacten met soortgenoten. Succesvolle verhalen kunnen plotseling leiden tot onverwachte impulsen. Het onderwerp BCM staat volop in de belangstelling. Tot op heden hebben we echter geen concrete signalen ontvangen, dat in Nederland zich een BCM hype aan het ontwikkelen is. Hoewel externe prikkels prima zijn om te starten met het nemen van continuïteitsmaatregelen, zijn wij van mening dat een BCM implementatie op termijn niet vol te houden is, zonder een intern gerichte overtuiging van de noodzaak hiertoe. BCM vereist een diepgang van plannen en maatregelen, waarbij niets aan het toeval overgelaten kan en mag worden. Dat kost veel inspanning en geld, maar dat is de enige manier om nu alvast zekerheden te creëren binnen een eventueel optredende toekomstige chaos. In de BS25999 wordt de doelstelling ten aanzien van de continuïteit van de bedrijfsvoering opgebouwd uit drie elementen. Allereerst wordt er een maximum tijdsinterval gesteld, waarbinnen de kritieke processen weer moeten functioneren; dit wordt aangeduid met Recovery Time Objective (RTO). Het is voorstelbaar dat de dienstverlening na de eerste herstelacties niet noodzakelijkerwijs direct op volle kracht hoeft te draaien. Het is daarom van belang om, in combinatie met de RTO, tevens het hieraan gekoppelde minimale niveau van dienstverlening vast te stellen. Uiteindelijk is er meestal ook een limiet gesteld ten aanzien van het tijdsinterval vanaf het ontstaan van de verstoring, waarbinnen de kritieke dienstverlening weer als vanouds zal moeten functioneren. Deze grens wordt - 12 -

Maximum Tolerable Period of Disruption (MTPD) genoemd; de RTO is in de MTPD inbegrepen. In de volgende figuur is een en ander schematisch weergegeven. [01] Een meetbare doelstelling voorkomt discussie over de beoogde resultaten. Deze doelstelling zal in alle gevallen afgeleid worden van de mate waarin de voor de organisatie kritieke dienstverlening tijdelijk verstoord mag worden, zonder dat dit consequenties heeft voor het voorbestaan van de organisatie. Zodra deze eisen bekend zijn, kunnen de continuïteitseisen voor de resources hiervan afgeleid worden. Dit gebeurt aan de hand van de voor de kritieke dienstverlening benodigde processen en de onderlinge samenhang tussen de processen. Deze afgeleide continuïteitseisen vormen de basis om een set aan passende maatregelen te selecteren om de vereiste beschikbaarheid van de resources te waarborgen. 5.4 Certificering Wij kunnen ons voorstellen dat het management na implementatie op een zeker moment behoefte heeft aan een onafhankelijk oordeel op de vraag, of het beoogde resultaat ook is behaald. Onafhankelijke oordeelsvorming hoeft niet per sé door een externe partij uitgevoerd te worden. Een interne auditafdeling is hiertoe ook prima in staat, mits deze afdeling voldoende expertise beschikbaar heeft op het vakgebied van BCM en de rol tijdens implementatie hiermee niet conflicteert. In veel gevallen zal een vraag naar een onafhankelijk oordeel bij externe partijen gelegd worden. Wellicht dat deze tendens overgewaaid is vanuit het vakgebied Kwaliteit Management. Omdat gebruik gemaakt wordt van een breed geaccepteerde standaard, ligt het voor de hand om samen met het onafhankelijk oordeel ook een certificaat te vragen of af te geven. Zo n certificaat heeft met name ook extern gericht toegevoegde waarde. Sinds de jaren 80-90 van de vorige eeuw maken bijvoorbeeld verkregen ISO 9000 certificaten nadrukkelijk deel uit van reclame-uitingen op folders en transportmiddelen. Door verdere toename van druk om iets aan BCM te doen, zien we wellicht ook voor het onderwerp BCM de komende jaren reclame-uitingen een soortgelijke ontwikkeling doormaken. Sinds 2008 kunnen organisaties de implementatie van een BCMS laten certificeren tegen de standaard BS25999-2. BSI was de eerste partij die zo n certificaat kon verlenen; inmiddels zijn er meer instanties voor certificatie tegen deze standaard. Bij de behandeling van de onderzoeksvraag in paragraaf 4.1, is al kort aangestipt dat certificering van een BCM implementatie in hoofdzaak een verklaring is, dat is voldaan aan de kwaliteitseisen voor de processen gericht op implementatie en onderhoud van BCM. - 13 -

Een interview dat wij hadden met een vertegenwoordiger van BSI, heeft opgeleverd dat de diepgang van een onderzoek in het kader van certificering beperkt blijft. Het is irreëel om uit een verkregen certificaat de conclusie te trekken, dat de organisatie ook daadwerkelijk in staat zal zijn om effectief op verstoringen te reageren. Op basis van het voorgaande concluderen wij dat een BCM certificaat tegen de BS25999 veelzeggend is over het gevolgde proces, maar weinig tot niets garandeert in relatie tot de kwaliteit van het product of eindresultaat. Eenzelfde soort beperking heeft in het verleden frustraties opgeleverd bij organisaties met een ISO 9000 certificaat, door verhalen zoals die over de fabricage van een betonnen zwemband. Op zich is dat reden genoeg om te beargumenteren dat de BS25999 niet de hype zal worden in een omvang, als die destijds rondom ISO 9000 heerste. 5.5 De BCM levenscyslus In de inleiding hebben we gesteld dat de BS25999 toepasbaar is voor alle soorten organisaties en dat de mate waarin de afzonderlijke elementen ook zinvol toegepast kunnen worden, afhankelijk is van de aard en complexiteit van de organisatie en de omgeving waarin deze opereert. De BS25999 kan gebruikt worden om een BCMS te ontwikkelen en te implementeren, wat voldoet aan de behoeften van de organisatie en haar belanghebbenden. BS25999-1: Code of Practice for BCM bevat hiertoe een raamwerk, de BCM levenscyclus, bestaande uit een zestal elementen, die onafhankelijk van het type organisatie in enige vorm aan bod komen. De elementen van de BCM levenscyclus zijn in de volgende figuur weergegeven. o BCM programma management Het BCM programma management vormt het hart van een BCM implementatie. Het heeft als doelstelling om de organisatie zich BCM eigen te laten maken en het ontwikkelde BCM gedachtegoed te verankeren. De wijze waarop BCM binnen een organisatie wordt benaderd, is sterk afhankelijk van de grootte en complexiteit van de organisatie. In alle gevallen is de participatie van het topmanagement essentieel om er voor zorg te dragen, dat het BCM proces wordt ingevoerd conform het geformuleerde beleid. Actieve deelname van het management waarborgt het draagvlak binnen - 14 -

de organisatie. Daardoor wordt BCM blijvend ondersteund en gaat het uiteindelijk deel uitmaken van de cultuur binnen de organisatie. Meer specifiek worden door middel van het BCM programma de volgende drie onderdelen geregeld: (1) het beleggen van verantwoordelijkheden en bevoegdheden binnen de organisatie voor BCM, (2) het ontwerpen, opstellen en implementeren van Business Continuity op basis van het vastgestelde beleid en (3) alle activiteiten benodigd voor het verankeren van BCM binnen de organisatie, inclusief aanpassingen van BCM aan gewijzigde omstandigheden en de zorg voor documentatie. Rondom het element BCM programma management staan een viertal elementen getekend in voorgaande figuur. Deze elementen worden iteratief doorlopen en zijn vergelijkbaar met de generieke stappen van een Kwaliteit Management Systeem (Plan/Do/Check/Act), gericht op continue verbetering. Binnen de BCM levenscyclus zijn deze stappen iets afwijkend verdeeld, maar de doelstelling is vergelijkbaar: het levendig houden en verbeteren van BCM binnen de organisatie. o Organisatieverkenning De activiteiten binnen het element Organisatieverkenning leveren informatie op over de producten en diensten, die bepalend zijn voor het voortbestaan van de organisatie. Als daarna vastgesteld is welke processen noodzakelijk zijn voor het leveren van de betreffende producten en diensten, ontstaat een basis om richting te geven aan een BCM programma wat afgestemd is op de doelstellingen van de organisatie. Op basis van de samenhang tussen de kritieke producten en diensten en de hiervoor benodigde bedrijfsprocessen wordt een zg. Business Impact Analyse (BIA) uitgevoerd. Op deze wijze worden voor elke activiteit de gevolgen van een eventuele onderbreking vastgesteld. Hieruit ontstaat een set aan kritieke activiteiten, waarvoor normen afgeleid worden ten aanzien van de maximale hersteltijd en het minimum niveau van opereren. Tevens wordt er voor deze kritieke activiteiten een inschatting gemaakt van de resources, die vereist zijn voor uitvoering (mensen, locatie, technologie, informatie en toeleveringen). Vervolgens worden de bedreigingen ten aanzien van de kritieke resources door middel van een risicoanalyse bepaald. De uitkomsten worden gebruikt om maatregelen te selecteren. Indien de risico s dermate groot zijn dat ze door het management niet geaccepteerd worden, worden maatregelen voorgesteld. Deze maatregelen (a) verkleinen de kans op verstoring, of (b) verkorten de periode van een onderbreking, of (c) beperken de gevolgen van de verstoring voor de kritieke producten en diensten. Business Continuity richt zich met name op de categorieën maatregelen (b) en (c). o Bepalen van de BCM strategie Dit element van de BCM levenscyclus is een logisch vervolg op de Organisatieverkenning. Met de uitkomsten van de BIA en de risicoanalyse, is de organisatie in staat om passende continuïteitstrategieën te kiezen. Passend wil in dit geval zeggen dat de organisatie haar doelstellingen bereikt door continuïteit in de levering van haar kritieke producten en diensten, op een acceptabel niveau (qua aantallen) en met minimale onderbrekingen in de tijd. Zoals bij het element Organisatieverkenning al genoemd, betreffen de risico s (en dus ook de maatregelen) de resources, benodigd voor de productie en levering van de kritieke producten en diensten. De strategieën in het kader van BCM zijn met name gericht op het afzwakken van, en het - 15 -

weerbaar maken van de organisatie tegen de gevolgen van verstoringen. BS25999 geeft aan dat de keuze voor de meest geschikte strategie(ën) afhankelijk is van een aantal factoren, zoals de maximaal acceptabele periode van onderbreking van een activiteit en de kosten om een strategie te implementeren. De standaard benadrukt om vooral waakzaam te zijn voor oplossingen, die door dezelfde verstoring nadelig beïnvloed kunnen worden als die waardoor de kritieke dienstverlening zelf onderbroken is. o Ontwikkelen en implementeren van een BCM response Dit onderdeel heeft betrekking op de ontwikkeling en implementatie van geschikte plannen en bijbehorende voorzieningen, om daarmee het geëscaleerde incident te managen en de continuïteit van de kritieke bedrijfsprocessen te waarborgen, binnen de vooraf vastgestelde grenzen. Het eindresultaat is een raamwerk of structuur met uitgewerkte plannen voor de fasen Incident Response (Incident Management Plan, IMP), Business Continuity (Business Continuity Plan, BCP) en Business Recovery (Business Resumption Plan, BRP). Het IMP is de leiddraad voor het proces crisismanagement, het BCP is het plan voor het herstel van de kritieke dienstverlening tot het minimaal acceptabele niveau (of daarboven), het BRP biedt richtlijnen voor de overgang business-asusual. Een IMP en BMP zijn in enige vorm voor alle organisaties vereist; de ontwikkeling van een BRP blijft vaker achterwege, omdat business-as-usual niet meer mogelijk is door de aard en omvang van de verstoring. Ook is denkbaar dat organisaties voor langere tijd een lagere niveau van dienstverlening accepteren, waardoor de tijd genomen wordt om een BRP op te stellen na het minimale herstel van de kritieke dienstverlening. De genoemde plannen regelen en beschrijven de volgende aspecten: doel en scope van het plan, rollen en verantwoordelijkheden van sleutel personen voor uitvoering van het plan, de wijze waarop het plan geactiveerd wordt, de eigenaar en beheerder van de documentatie en de belangrijkste contactgegevens. o Oefenen, beoordeling en onderhoud De achterliggende gedachten voor dit element zijn divers. Enerzijds worden het bestaan en de werking gevalideerd van de in het kader van BCM getroffen voorzieningen procedures en maatregelen. Anderzijds wordt hiermee gewaarborgd dat werkwijze en documentatie aangepast worden aan tussentijdse wijzigingen en ontwikkelingen. Oefening zorgt daarnaast voor een ingewerkt team, het bevordert de ontwikkeling van de vereiste competenties en het vertrouwen om onder extreme omstandigheden te kunnen presteren. o Inbedden van BCM in de cultuur van de organisatie Om succesvol te zijn moet BCM een vast onderdeel uitmaken van de bedrijfsvoering binnen de organisatie. In elk stadium van de levenscyclus zijn er mogelijkheden om nut en noodzaak van BCM te verkondigen en belijden tot in de haarvaten van de organisatie. De top van de organisatie heeft de sleutel in handen voor bewustwording en draagvlak ten aanzien van BCM binnen het bedrijf. Actief gebruik van communicatie en training is hierbij een belangrijke ondersteuning. De BCM levenscyclus eindigt nooit. De implementatie en instandhouding van BCM is in feite één grote voorbereiding voor de organisatie, om klaar te staan voor mogelijk toekomstig onheil met risico s voor het voortbestaan van de organisatie. Op zo n moment moeten de sleutelpersonen binnen de BCM organisatie terug kunnen vallen op voorzieningen en plannen, waarmee een - 16 -

effectieve reactie op de verstoring gegeven kan worden, inclusief de gevolgen hiervan voor de dienstverlening. 5.6 De BCM response In de hiervoor beschreven BCM levenscyclus van de BS25999 is het element Ontwikkelen en implementeren van een BCM response behandeld. Het begrip BCM response wordt in de standaard niet separaat gedefinieerd. Met dit begrip wordt gedoeld op een structuur voor een passende reactie na een opgetreden verstoring. De BS25999-1 benadrukt de beschikbaarheid van plannen bij het hoofdstuk over de ontwikkeling en implementatie van een BCM response. In de BS25999 worden drie fasen onderscheiden binnen het tijdspad van de reactie op een verstoring: Incident Response, Business Continuity en Recovery/Resumption - Back-to-normal. Incident Response heeft als doel om de verstoring te bestrijden en de gevolgen hiervan voor de organisatie te beperken. In deze fase staat crisismanagement centraal. Crisismanagement heeft in deze fase feitelijk de leiding over de organisatie en legt na afloop hierover verantwoording af, bij de overdracht van de leiding naar het reguliere management. De fase Business Continuity start pas wanneer de verstoring zodanig beheerst is, dat hieruit geen nieuwe gevolgen voor de kritieke bedrijfsprocessen voortkomen. Het Crisis Management Team (CMT) zal deze activiteiten in veel gevallen blijven coördineren. Voor de daadwerkelijke uitvoering zijn andere personen nodig dan in de voorgaande fase. Het zijn proces- en productspecialisten die onder druk en met beperkte middelen de herstelactiviteiten van de verstoorde kritieke bedrijfsprocessen voor hun rekening nemen. Afhankelijk van de verstoring, starten de herstelwerkzaamheden op een uitwijklocatie. Recovery/Resumption - Back-to-normal is als fase van toepassing, indien tijdens fase Business Continuity de dienstverlening niet op het oorspronkelijke niveau is terug gebracht. Een andere reden voor deze fase is de verstoring van niet-kritieke bedrijfsprocessen. De definitie van Back-to- normal is afhankelijk van de aard en omvang van het incident. Als bijvoorbeeld de vestigingslocatie verwoest is door een natuurramp, dan is het maar de vraag of dezelfde locatie gebruikt gaat worden voor herstel of nieuwbouw. De BS25999 beperkt zich tot identificatie van deze fase; er zijn nagenoeg geen richtlijnen voor Recovery/Resumption uitgewerkt. 5.7 Scope van het onderzoek in relatie tot BCM Tot slot van dit hoofdstuk wordt aan de hand van het voorgaande de scope van dit onderzoek nader toegelicht en in perspectief geplaatst. Hiermee geven wij tevens een antwoord op de eerste deelvraag Wat zijn de eindproducten van een BCM implementatie?. Bij de beschrijving van de onderzoeksvraag (paragraaf 4.1) staat de effectiviteit van de eindproducten van een BCM implementatie centraal. Op het moment dat deze onderzoeksvraag is opgesteld, hadden wij nog amper kennis genomen van beschikbare literatuur over BCM. In de aanloop naar de formulering van de onderzoeksvraag worden twee voorbeelden van deze BCM eindproducten gegeven: (1) response- en continuïteitsplannen en (2) de organisatie, die bij ernstige verstoringen met deze plannen aan de slag kan. Op een hoog aggregatieniveau kan gesteld worden, dat de eindproducten van een BCM implementatie alle zaken omvatten, die nodig zijn om als organisatie een adequate reactie te kunnen geven op een ernstige verstoring van de dienstverlening. Deze omschrijving van BCM eindproducten heeft veel raakvlakken met de BCM response binnen de BS25999. De standaard werkt vervolgens - 17 -

met name de plannen per fase uit met een scope, die breder is dan alleen een draaiboek voor betreffende fase. Daar waar de BS25999 niet expliciet is voor wat betreft de scope van een BCM response, kiezen wij binnen dit onderzoek voor een ruime interpretatie van het begrip BCM response, namelijk: een allesomvattende structuur ter ondersteuning van de reactie op een ernstige verstoring. Zo rekenen wij, naast de reeds genoemde plannen, ook tot de BCM response: (1) de maatregelen ter waarborging van de beschikbaarheid van de benodigde resources voor uitvoering van de plannen en kritieke processen, (2) de wijze waarop deze resources indien nodig - ter beschikking komen, en (3) reguliere maatregelen of voorzieningen binnen het bedrijf, die proactief vóór de verstoring gewerkt moeten hebben, om daarna de basis voor herstel te kunnen vormen. Een sprekend voorbeeld van het derde punt is binnen de IT, het maken (en controleren) van een back-up. Door deze ruime interpretatie van de BCM response, wordt ook nadrukkelijk de aandacht gelegd op de resources, nodig om de plannen (met name IMP en BCP) ten uitvoer te brengen. Het is wellicht enigszins verwarrend dat BCM zich met name richt op de resources ten behoeve van de kritieke processen, maar voor de uitvoering zelf ook afhankelijk is van vergelijkbare resources. De BS25999 waarschuwt daarom om waakzaam te zijn voor het feit, dat de resources voor uitvoer van de plannen door dezelfde verstoring geraakt kunnen worden als de resources van het kritieke proces. Een oplossing is om de resources gerelateerd aan de BCM response via andere bronnen ter beschikking te stellen. De benodigde resources zijn (mede hierdoor) niet altijd binnen de organisatie ter beschikking. Daarom moeten vooraf contractueel vastgelegde afspraken gemaakt zijn, ten aanzien van de mate waarin en de wijze waarop de resources ter beschikking komen zodra daar behoefte aan is. Uit de voorgaande alinea zal duidelijk zijn, dat ook deze afspraken tot de scope van de BCM eindproducten gerekend worden. BS25999 onderscheidt een aantal soorten resources in relatie tot processen: mensen, locatie, technologie, informatie en toeleveringen. Hieraan koppelen wij de volgende specifieke aandachtspunten per resource: Mensen: aantallen, skills/competenties en training/opleiding. Locatie: crisiscentrum/control-room, opslag middelen. Technologie: informatie- en communicatiemiddelen. Informatie: (deel-) plannen, modellen/templates; contactgegevens; protocollen (interne en externe informatievoorziening); dossiervorming (besluiten en verantwoorden). Toeleveringen: afroep op contracten. De beantwoording van deelvraag 1 luidt als volgt: De eindproducten van een BCM implementatie zijn vervat in een structuur (hierna aangeduid met BCM response), waar alle zaken geregeld zijn, die nodig zijn om als organisatie een adequate reactie te kunnen geven op een ernstige verstoring van de kritieke dienstverlening. Wij onderkennen de volgende elementen binnen de BCM response: (1) plannen voor de uitvoering van de onderscheiden fasen binnen de BCM response, in ieder geval voor de fasen Incident Response en Business Continuity ; (2) maatregelen ter waarborging van de beschikbaarheid van de benodigde resources voor uitvoering van de plannen en de kritieke processen; (3) procedures met de wijze waarop deze resources indien nodig - ter beschikking komen; - 18 -

(4) reguliere maatregelen of voorzieningen binnen het bedrijf, die proactief vóór de verstoring gewerkt moeten hebben, om daarna de basis voor herstel te kunnen vormen. 6. Effectiviteit 6.1 Definities van effectiviteit Het meest voorkomende synoniem (oa. Van Dale) voor effectiviteit is doeltreffendheid, ofwel de mate waarin het doel (of de doelen) worden behaald. Binnen organisaties bestaan altijd meerdere doelen tegelijkertijd. Deze doelen zullen nooit alle in één keer bereikt worden. In t Veld [04] onderscheidt concurrerende doelen en conflicterende doelen. Over concurrerende doelen is men het onderling eens binnen de organisatie. De beperking bij concurrerende doelen zit hem meestal in de beschikbaarheid van voldoende financiële middelen. Deze beperking noodzaakt de organisatie om prioriteiten te stellen. In het geval van conflicterende doelen ligt de situatie anders: de verdeling van macht binnen de organisatie bepaalt uiteindelijk welk doel nagestreefd wordt. Meestal komen beide gevallen in een doelenreeks van de organisatie voor en is de rangorde van de doelen een kwestie van onderhandelen en compromissen sluiten. Het is daarom vooral van belang, dat een vraag naar de meting of beoordeling van de effectiviteit duidelijk gekoppeld wordt aan het doel (of de doelen) die de vraagsteller voor ogen heeft. Hardjono & Bakker [03] definiëren effectiviteit als de mate waarin de producten of diensten, als output van het proces, voldoen aan de eisen en verwachtingen van klanten. Als van volledige voldoening sprake is, bereikt het proces zijn doel en is het dus doelmatig of effectief. Deze definitie lijkt sterk afgeleid van het begrip kwaliteit, waarbij de doelstelling van de proceseigenaar maximaal afgestemd wordt op de behoefte van de afnemer. In t Veld koppelt op strategisch niveau effectiviteit aan de beoordeling van de keuze uit alternatieve middelen. Hij definieert de theoretische effectiviteit van een middel als de verhouding tussen het verwachte resultaat (door inzet van het middel) en het beoogde resultaat. Indien deze verhouding kleiner is dan één, wordt het middel verworpen omdat het beoogde resultaat naar verwachting niet wordt bereikt. Pas op tactisch en operationeel niveau (bij de aanwending van middelen) komt de werkelijke effectiviteit naar voren. In het verlengde van de zienswijze van in t Veld, stelt de Wetenschappelijke Raad voor het Regeringsbeleid [15] dat effectiviteit meer is dan de mate waarin de doelen gerealiseerd zijn (doelbereiking); ook de mate waarin het bereiken van de doelen te danken is aan een bepaald beleid of keuze van inzet aan (beleid)middelen is onderdeel van effectiviteit. Voor dit onderzoek nemen wij deze zienswijze over en definiëren effectiviteit, als de mate waarin door inzet van middelen (in ruime zin) het beoogde doel wordt behaald. 6.2 Toepasbaarheid definitie effectiviteit voor een BCM response In t Veld geeft aan dat, ondanks conflicterende doelstellingen, binnen organisatie altijd minimaal één gemeenschappelijk doel aanwezig is. Dit betreft het zogenaamde primaire doel, wat betrekking heeft op het bestaansrecht en voortbestaan van de organisatie. Op het hoogste niveau van BCM staat hetzelfde doel centraal. In t Veld merkt op dat het primaire doel niet autonoom door de organisatie kan worden vastgesteld. Dit doel wordt mede bepaald door (een deel van) de omgeving van de organisatie. Het primaire doel van de organisatie is gekoppeld aan haar primaire functie; als - 19 -