.png){kind=small}
Business Continuity Management
Stel je voor: je organisatie ligt een dag stil. Niet alleen de mailserver, maar een cruciaal systeem. Orders worden niet verwerkt. Klanten kunnen niet geholpen worden. Een fabriek draait niet. Of een cyberaanval raakt juist die processen waar je als organisatie je license to operate aan ontleent.
De eerste uren red je het op improvisatie en adrenaline. Maar dan komt de echte vraag: hebben we hier grip op, of zijn we overgeleverd aan de omstandigheden?
Dat is precies waar Business Continuity Management (BCM) over gaat.
Wat is Business Continuity Management?
BCM wordt vaak verward met IT-disaster recovery of een mapje “calamiteitenplannen” in SharePoint. Nuttig, maar te beperkt.
In essentie is BCM het gestructureerd vermogen van een organisatie om kritieke processen te blijven uitvoeren bij verstoringen. Het gaat om continuïteit van dienstverlening, niet om het voorkomen van elk incident. Dat laatste lukt toch niet. De kernvragen zijn: welke processen moeten doorlopen, welke maximale impact accepteren we, welke structuur en welk raamwerk zetten we neer en wie neemt welke besluiten onder druk?
BCM verbindt strategie, processen, mensen, technologie en leveranciers in één verhaal. Dat maakt het bij uitstek een onderwerp voor riskmanagers, controllers en internal auditors: jullie zitten precies op het snijvlak van doelen, risico’s en beheersing.
Waarom BCM nu belangrijker is dan ooit
Organisaties opereren allang niet meer in een stabiele, voorspelbare omgeving. De afgelopen jaren hebben laten zien hoe kwetsbaar ketens zijn. Cyberaanvallen, energietekorten, personeelsschaarste, pandemieën, geopolitieke spanningen, falende leveranciers: het zijn geen theoretische scenario’s, maar dingen die “gewoon gebeuren”.
Tegelijk neemt de afhankelijkheid van digitale hulpmiddelen exponentieel toe. Een verstoring is zelden nog geïsoleerd; vaak raakt het meerdere ketenpartners tegelijk. Daarbij komen aangescherpte verwachtingen van toezichthouders en wetgevers, zoals DORA in de financiële sector of NIS2 voor vitale en belangrijke sectoren. BCM schuift daarmee van “nice to have” naar kernonderdeel van goed bestuur.
Bestuurders zien dat ook. Continuïteit, reputatie en vertrouwen van klanten zijn strategische thema’s. Maar tussen die bestuurlijke ambitie en de praktijk op de werkvloer zit vaak een gat. Precies daar kan goed BCM het verschil maken.
BCM, risicomanagement en incidentmanagement: hoe hangt het samen?
Een veel gestelde vraag: hebben we naast risicomanagement nu óók BCM nodig? Het antwoord is ja, maar niet als los traject.
Risicomanagement richt zich primair op het identificeren en behandelen van risico’s voordat ze zich voordoen. Je probeert de kans te verlagen en de impact te beperken. BCM gaat uit van de veronderstelling dat verstoringen óók daadwerkelijk optreden. Niet als “zwarte zwaan”, maar als realistische gebeurtenis. De vraag verschuift van “hoe voorkomen we dit volledig?” naar “hoe zorgen we dat we door kunnen?”.
Incidentmanagement heeft vervolgens de focus op de eerste reactie: detecteren, escaleren, oplossen. BCM kijkt verder: hoe vangen we de impact op, hoe herstellen we, hoe houden we de organisatie bestuurbaar, hoe communiceren we en hoe leren we na afloop?
Je kunt het zien als drie lagen:– risicomanagement om slimmer te worden vóór een incident,– incidentmanagement om effectief te reageren tijdens een incident,– BCM om de continuïteit van de organisatie te borgen rondom het incident.
Als internal auditor of riskmanager is het dus niet de vraag óf je met BCM te maken krijgt, maar vooral hoe goed die drie lagen op elkaar aansluiten.
De kern van BCM: van BIA tot herstel in de praktijk
Hoewel ieder BCM-traject een eigen kleur krijgt, zie je in volwassen organisaties steeds een aantal vaste bouwstenen terug. Niet als theoretisch model, maar als logisch groeipad.
Het startpunt is bijna altijd een Business Impact Analyse (BIA). Daarin breng je in kaart welke processen echt kritisch zijn, welke producten en diensten daarvan afhangen, wat de impact is van uitval en binnen hoeveel tijd je weer op een minimaal niveau moet functioneren. Het mooie van een goede BIA is dat hij het gesprek dwingt over prioriteiten. Niet alles is “hoog, rood, kritisch”.
Vanuit die impactanalyse werk je naar continuïteitsstrategieën. Wat doe je als een locatie uitvalt? Als een kernapplicatie niet beschikbaar is? Als een cruciale leverancier faalt? Ga je uit van alternatieve locaties, redundante systemen, handmatige noodprocedures, afspraken met andere partijen? Hier raakt BCM direct de wereld van architectuur, sourcing, IT-inrichting en contractmanagement.
Vervolgens worden deze keuzes vertaald naar concrete business continuity-plannen. Geen dikke bundels die niemand leest, maar praktische, rolgerichte instructies: wie belt wie, welke beslissingen worden waar genomen, welke processen schalen we eerst op, welke klanten moeten we actief informeren, hoe documenteren we wat er gebeurt?
Tot slot komt een cruciaal onderdeel dat in veel organisaties wordt onderschat: oefenen en leren. Een plan dat nooit getest is, is geen plan. Oefeningen, simulaties, onverwachte uitvalsessies: ze maken zichtbaar wat er in de praktijk wel en niet werkt. En ze leggen vaak bloot dat het echte knelpunt niet in de techniek zit, maar in coördinatie, besluitvorming en communicatie.
Mensen, gedrag en soft controls in BCM
BCM klinkt al snel technisch: fallback-locaties, RTO’s, RPO’s, redundante lijnen. Maar als je kijkt naar incidenten en crises in de praktijk, zie je dat succes of mislukking vaak wordt bepaald door gedrag.
Wordt een storing tijdig gemeld of schuift iemand het voor zich uit? Durven medewerkers een incident te escaleren als ze bang zijn dat het “gedoe” oplevert? Neemt het management onder druk besluiten of vervalt men in afwachten en micro-management? Worden verantwoordelijkheden tijdens een crisis duidelijk opgepakt, of is iedereen tegelijk “bezig”?
Dat zijn geen hard-controlvragen, maar soft-controlvragen. Ze gaan over leiderschap, cultuur, voorbeeldgedrag, open communicatie en psychologische veiligheid. In opleidingen zoals operational auditing en integraal risicomanagement zie je die thema’s steeds nadrukkelijker terugkomen, juist omdat auditors merken dat een systeem op papier klopt maar in de praktijk niet werkt als gedrag niet meedoet.
Voor BCM geldt hetzelfde. Een continuïteitsplan zonder geoefend crisisteam is als een ongelezen handleiding. Een prachtige BIA zonder draagvlak in de business is als een spreadsheet in de la. Daarom is het zo belangrijk dat BCM niet alleen “in de staf” plaatsvindt, maar dat lijnmanagement vanaf het begin betrokken is.
De rol van internal audit en risicomanagement in BCM
BCM is typisch zo’n thema waar de drie lijnen (three lines model) elkaar nodig hebben.
De eerste lijn, de business en de operationele teams kennen de processen, klanten en systemen. Zij weten welke activiteiten echt niet stil kunnen vallen en welke workaround in de praktijk nog nét werkt. Zij zijn eigenaar van continuïteitsplannen.
De tweede lijn, risk, compliance en security, helpt om kaders te zetten, methodiek te kiezen, scenario’s te beoordelen en de kwaliteit van plannen te bewaken. Zij zorgen dat BCM niet eenmalig is, maar ingebed wordt in de reguliere planning- & controlcyclus en risicodialogen.
De derde lijn, internal audit heeft een unieke rol. De auditor kijkt onafhankelijk en objectief naar de opzet, het bestaan en de werking van BCM. Klopt de logica van het raamwerk? Sluit de BIA aan op de strategische doelen? Zijn de plannen getest en geactualiseerd? Leren we van oefeningen en echte incidenten? En misschien wel de meest interessante vraag: past de continuïteitsaanpak bij de risk appetite van bestuur en directie, of is men óf veel te krampachtig, óf juist te laconiek?
Daarnaast kan internal audit een katalysator zijn voor een bredere discussie. Een audit op BCM raakt per definitie meerdere disciplines: IT, HR, facility, inkoop, business, communicatie. Het is een uitgelezen kans om silo’s te doorbreken en de organisatie als geheel naar een hoger niveau van weerbaarheid te helpen.
BCM in een wereld van ketens en uitbesteding
Waar BCM vroeger nog vooral binnen de eigen muren werd bekeken, is dat vandaag niet meer houdbaar. Vrijwel iedere organisatie is onderdeel van meerdere ketens. Denk aan cloud leveranciers, SaaS-applicaties, logistieke partners, shared service centers, uitbestede klantcontactcentra.
Dat betekent dat continuïteitsrisico’s ook buiten je eigen organisatie liggen. Een verstoring bij een leverancier kan jouw dienstverlening direct raken. BCM moet daarom hand in hand gaan met Third Party Risk Management en contractuele afspraken. Wat staat er in de SLA over beschikbaarheid en herstel? Is er een exit-strategie als een leverancier langere tijd uitvalt? Zijn er afspraken over gedeelde oefeningen en testscenario’s?
Voor auditors en riskmanagers is dit een interessante maar ook complexe dimensie. Je bent niet alleen meer bezig met interne controls, maar ook met de vraag in hoeverre je zicht en grip hebt op de weerbaarheid van partners. Zeker in sectoren waar DORA of NIS2 gelden, zie je dat toezichthouders nadrukkelijk vragen naar deze ketenblik. BCM kan daar een sterke kapstok voor zijn.
Hoe begin je zonder te verdrinken in modellen?
BCM kan intimiderend overkomen. Frameworks, standaarden, maturity-modellen, je ziet al snel door de bomen het bos niet meer. Toch hoeft een eerste stap niet ingewikkeld te zijn.
Begin met het gesprek: welke processen of diensten zijn voor ons écht cruciaal? Wat gebeurt er als die een dag, drie dagen, een week uitvallen? Welke klanten raken we dan? Welke wettelijke verplichtingen spelen een rol? Dit soort gesprekken levert vaak meer inzicht en urgentie op dan een dikke rapportage.
Van daaruit kun je gericht starten met één of twee processen. Liever klein en concreet, dan meteen een organisatiebrede exercitie die vastloopt in complexiteit. Kies een kernproces, doe een beknopte BIA, stel een praktisch continuïteitsplan op, oefen dat plan met het team en leer ervan. De ervaring die je daar opdoet, gebruik je om de rest van de organisatie stapsgewijs mee te nemen.
Internal auditors en riskmanagers hebben hierbij een mooie rol als gids. Niet door BCM “over te nemen”, maar door scherpe vragen te stellen, methodische ondersteuning te bieden en te helpen prioriteren. Zo wordt BCM geen project van één afdeling, maar een organisatiebrede beweging.
Business Continuity Management als investering in lerend vermogen
Als je BCM terugbrengt tot “een plan voor als het misgaat”, doe je jezelf tekort. In de kern is het een manier om als organisatie te leren omgaan met onzekerheid.
Je gaat bewuster kijken naar afhankelijkheden. Je ontdekt welke processen stiekem kritischer zijn dan gedacht. Je ziet hoe beslissingen in het hier en nu, bijvoorbeeld over uitbesteding, cloudmigratie of personeelsbezetting gevolgen hebben voor je toekomstige weerbaarheid. En je leert door te oefenen: hoe reageren mensen onder druk, welke informatie mis je, waar ontstaan misverstanden, waar gaat het juist heel goed?
Dat maakt BCM niet alleen een audit, risk- of compliance-verhaal, maar een ontwikkelvraagstuk. Een kans om het lerend vermogen van management en medewerkers te vergroten, en daarmee de kans dat je als organisatie ook in turbulente tijden je doelen blijft realiseren.
Tot slot
Business Continuity Management is een noodzakelijk antwoord op een wereld waarin verstoringen de norm zijn geworden. Het helpt organisaties om verder te kijken dan incidenten en brandjes, en structureel na te denken over de vraag: hoe blijven wij waarde leveren als het tegenzit?
Voor internal auditors, riskmanagers, controllers en compliance-professionals is BCM daarmee een krachtig thema om het gesprek over risico’s, governance en gedrag te verdiepen. Niet met nog een checklist, maar met concrete scenario’s, eerlijke gesprekken en praktische plannen die getest en geleefd worden.
Wil je BCM in jouw organisatie naar een hoger niveau brengen, of zoek je ondersteuning bij het uitvoeren van een audit, het opzetten van een raamwerk of het trainen van teams? Dan is dit precies het terrein waar Ferocia je kan helpen, via opleidingen en trainingen, interim en consultancy en werving en selectie. Zodat je niet alleen een “BCM-plan” hebt, maar een organisatie die daadwerkelijk veerkrachtig is als het erop aankomt.