Bestuurscolumn - Be prepared!
Door Robert Warmoeskerken 16 okt 2020
Hoe toepasselijk is momenteel dit themanummer ‘Business Continuity Management’. Als ik vorig jaar rond deze tijd had gezegd dat een pandemie onze gezondheidzorg en economie wereldwijd in de greep zouden hebben, dan hadden velen mij voor gek verklaard.
Het scenario pandemie binnen BCM is momenteel uiterst relevant en geeft maar weer aan dat het telkens belangrijk is om voorbereid te zijn op calamiteiten die de bedrijfsvoering in jouw keten kunnen verstoren.
Het vakgebied van BCM vergt meer dan de veelal genoemde jaarlijkse uitwijktest en is in combinatie met cyber resilience uitermate interessant en boeiend. Als voormalig CISO, waarnemend CIO en BCM-programmamanager bij een grote financiële instelling ben ik bekend met ook de niettechnische kant van BCM (en cyber resilience). Deze kant van de medaille moet je wel als voorzijde van de medaille zien. Hier draait het om. Dit zijn veelal de onderdelen waar de grootste uitdagingen zitten. Uiteraard is techniek ook belangrijk, maar is vaak beter ‘kneedbaar’ dan onderdelen als organisatie, governance, processen of de mens zelf. Als je erin slaagt om op evenwichtige en risicogebaseerde wijze deze onderdelen samen met de technologie op een hoger niveau te tillen en een ‘sluitend’ PDCAcyclus hebt bewerkstelligd, dan heb je oprecht de medaille gewonnen. Het is natuurlijk geen wedstrijd, maar wel een prestatie op zich. En tijd om achterover te leunen is er niet, want je moet blijven oefenen, leren en verbeteren om als organisatie voorbereid te blijven.
Wat interessant is om te zien is dat veranderbereidheid en verandercapaciteit tijdens de corona crisissituatie aanzienlijk hoger is dan gedurende business as usual. Het in Nederland veelal toegepaste ‘poldermodel’ wordt tijdelijk losgelaten en er worden daadwerkelijk op korte termijn knopen doorgehakt en zaken gerealiseerd. De organisatie hoef je niet te overtuigen over de noodzaak of what’s in it for me? Prioriteiten stellen en snel besluiten nemen zijn voor diverse organisaties equivalent geweest aan de keuze wel of niet overleven. Ingrediënten waar menig projectmanager jaloers op zal zijn om zijn reguliere project af te kunnen ronden en zich terecht afvraagt welke randvoorwaarden, doelen en/of stakeholders hij beter had moeten afhechten. Voorbeelden als basisonderwijs op afstand of het mogelijk maken van remote onderhoud van wafersteppers waren normaliter niet bespreekbaar geweest en op korte termijn gerealiseerd. Als BCMprogrammamanager heb ik indertijd alle leden van de Raad van Bestuur een koffiemok gegeven met daarop de confronterende tekst ‘The only thing harder than preparing for a disaster is explaining why you didn’t!’ Een dergelijke mok is, als eenmaal die pandemie zoals COVID-19 een feit is, niet meer nodig en hoop ik dat je ondertussen niet aan jouw stakeholders hebt moeten uitleggen dat je onvoldoende voorbereid was.
Als consultant, auditor, project- of interimmanager (con4RM), bestuurder bij een coöperatie (Composit), bestuurslid bij PvIB en ‘geestelijk vader’ achter het NBA-LIO volwassenheidsmodel IB [1], ben ik dagelijks bezig met informatie risicomanagement (IRM), compliancy, security, privacy en BCM. Ik ben betrokken (geweest) bij vele vraagstukken, projecten, programma’s of ‘crash acties’ om er uiteindelijk voor te zorgen dat informatierisico’s (beter) worden beheerst. Deze problematiek is weerbarstig en de komende jaren zal de vraag naar helder inzicht en tijdige stuurinformatie toenemen om het management te kunnen faciliteren in het kunnen nemen van hun verantwoordelijkheid en de uitvoering van de daarbij horende IRM-taken. Learning by doing klinkt wellicht experimenteel, maar is naar mijn mening de beste manier om gecontroleerde vooruitgang te boeken. Daarbij hoort ook leren van fouten en leren van andere organisaties. Hiervoor biedt PvIB een prima (netwerk) platform. Oftewel: Be prepared en bezoek onze (virtuele) evenementen.
Robert Warmoeskerken
[1] Behandeld in vorige editie iB-4.
Deze bestuurcolumn verscheen in IB5-2020