---

---

Testen en praktijk – achtergrond

We kennen allemaal toetsen – van school, universiteit en beroepsopleiding bijvoorbeeld. Of ook van sport, wanneer de coach met een stopwatch en een klembord naast de 200-meterbaan staat en de tijden van de lopers documenteert. Ook bij het testen van BC-borden gaat het onder meer om resultaten en de factor tijd. Onder andere, let wel, want hier zijn tests natuurlijk wat ingewikkelder te plannen (en uit te voeren!). En toch is er een verband met de vergelijking met sport: testen geeft een uitspraak over hoe snel en veerkrachtig men is – op de 200 meter of zelfs bij het weer op gang krijgen van een bedrijf na een (gesimuleerde) gebeurtenis.

Waarom is testen zo belangrijk? Dit kan kort en compact worden beantwoord: Door te testen krijg je vertrouwen in je acties – je weet wat werkt, waar het concrete prestatievermogen ligt en je ontdekt wat je beter kunt doen voordat je bij de volgende echte gebeurtenis struikelt. Het doel is een uitvoerbare, stabiele en (in het beste geval) met de mogelijkheid van verdere ontwikkeling. Een goed resultaat wordt in beide gevallen ondersteund door een goede voorbereiding en gerichte training.

Tests en oefeningen zijn er in verschillende moeilijkheidsgraden. Het eerste niveau is een basiszekerheid. Het gaat er bijvoorbeeld om te controleren of de randvoorwaarden zodanig zijn dat de betrokken medewerkers doelgericht kunnen werken en of een individueel plan werkt. Als de basiswaarborgen er eenmaal zijn, wordt het niveau van volwassenheid van de daaropvolgende toetsen geleidelijk verhoogd en wordt voortdurend gecontroleerd of wat gepland is in de praktijk ook werkt in het bedrijf.

Normen, voorschriften & Co.

De verschillende normen en ISO-normen richten zich op het basisidee dat er getest moet worden om de effectiviteit van plannen en procedures te waarborgen. De BSI-normen (BSI, Duits Federaal Bureau voor Informatiebeveiliging) en de ISO-normen (ISO, Internationale Organisatie voor Normalisatie) beschrijven bepaalde testcategorieën, waarvan de uitvoering als gereguleerd bedrijf moet worden aangetoond. Er zijn echter nauwelijks voorschriften over de organisatie van dergelijke tests. In de voorschriften staat onder andere ook dat de tests regelmatig moeten worden uitgevoerd, maar er staat bijvoorbeeld niet beschreven wat onder regelmatig wordt verstaan.

BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), die bijvoorbeeld toezicht houdt op financiële instellingen, schrijft ook regelmatige tests voor, maar zonder verder in te gaan op de regelmaat. Maar het zegt ook dat je een opleidingsplan moet hebben. Financiële instellingen moeten bijvoorbeeld structureel kunnen aantonen dat de tests een hoger volwassenheidsniveau volgen. Ze moeten progressief gestructureerd zijn, zodat het ontwikkelingsniveau van de testpersoon steeds hoger wordt. En dit betreft zowel de eisen van de test zelf als die van de testcategorie. Gestandaardiseerde sjablonen voor de testcategorieën zijn dan ook beschikbaar in de ISO-normen en in de BSI-normen. Voor gereguleerde bedrijven is het raadzaam om bijvoorbeeld een 5-jarig test/evaluatieplan op te stellen dat een duidelijke ontwikkeling van volwassenheid vertegenwoordigt via de jaarlijks variërende testcategorieën.

Het doel van de test zelf is om een duidelijk beeld te kunnen geven van de effectiviteit van de test.

Het te bereiken doel: wat ik gepland heb werkt!

De Controllit AG volgt haar best-practice aanpak op dit gebied, die stelt dat men jaarlijks moet testen. Of het nu gaat om BCM, crisismanagement of ITSCM – je moet jaarlijks testen omdat deze onderwerpen (hopelijk) geen deel uitmaken van het dagelijks leven. Want iets wat je (te) weinig doet, werkt zelden extreem goed. Zaken waar je regelmatig mee te maken hebt, kun je alleen mentaal en functioneel verankeren. En zo is het ook met toetsen en oefeningen.

Test- en oefencategorieën – een blik op testdieptes en benamingen

In BCM, ITSCM en crisisbeheersing zijn de benamingen voor de verschillende test- en ¨batiecategorieën op een paar kleine dingen na – er zijn slechts minimale verschillen in de benamingen. Dit weerspiegelt ook goed het idee van overeenkomstige en/of zelfs gemeenschappelijke tests en oefeningen.

De eerste categorie is de Desktop Test of Walkthrough Test. Dit is een soort logische test op volledigheid en haalbaarheid. De desktop test wordt meestal uitgevoerd door slechts één tester en degene die verantwoordelijk is voor het testobject. De vraag is: Is het testobject logisch en redelijk gestructureerd en samenhangend? Bij de walkthrough test neemt het hele in het plan beschreven team deel aan de test. Aan de hand van een incident (bijv. brand in het administratiegebouw) bespreken de teamleden de taken die elk teamlid volgens het plan in zo'n geval zou uitvoeren. De vraag hierbij is: Zijn er taken vergeten en zijn de taken duidelijk voor de teamleden? Dergelijke tests kunnen worden uitgevoerd met BC- en IT-herstelplannen, maar bijvoorbeeld ook met checklists bij crisismanagement.

Nummer twee: de functionele test. Nu worden de testobjecten getest op hun praktische en technische effectiviteit. In deze testvorm zijn verschillende contactpersonen van het nood- of crisisteam nodig. Zo worden bijvoorbeeld telefoonnummers en de beschikbaarheid van arbeidsmiddelen getest. Zijn mevrouw Mustermann en de dienstverlener daadwerkelijk bereikbaar? Is het vereiste formulier beschikbaar op de beschreven locatie? Kennen de leden van het noodhulpteam hun alternatieve werkplekken en vooral, werkt het werken daar praktisch? Ook de Überpruefung der Wiederanlaufzeit speelt in deze testklasse een rol.

Procesketentest of Teamtest: Deze test is complexer, omdat het gaat om het testen van teamwerk en de functionaliteit van het totale proces. De kernvraag is: Kunnen de teamleden allemaal het doel bereiken in interactie met het testobject? Dit betekent bijvoorbeeld dat de BCP's van verschillende afdelingen worden getest, die allemaal nodig zijn voor een tijdkritisch bedrijfsproces. Er moet worden nagegaan of alles samenwerkt op basis van wat in de afzonderlijke plannen is ontwikkeld. Met andere woorden, of de eerder gemaakte processen, checklists en individuele taken ook op grote schaal samenwerken.

Simulatie of Scenario-oefening: In deze oefening wordt het strategische en tactische niveau (crisismanagementteam en situatiecentrum) geconfronteerd met een concreet scenario (d.w.z. een zeer specifieke gebeurtenis). De inhoud van dit scenario ontwikkelt zich verder tijdens de oefening. Voor scenario-oefeningen bestaat altijd een draaiboek. Zo verandert een bommelding in een bomexplosie die het halve gebouw verwoest, vervolgens krijgt een personeelslid een schok en valt uit, later zet de brandweer alle dossiers onder water en wordt dit alles gevolgd in de sociale media. Het script probeert de verzamelde leden met verschillende aspecten uit te dagen om te zien hoe de huidige situatie gezamenlijk wordt beheerd.

Full of Live Exercise: Bij een full exercise wordt de gehele responsstructuur daadwerkelijk live geoefend. Een datacenter wordt bijvoorbeeld uitgeschakeld – afhankelijk van het verzoek van de klant overdag of niet. Een live-uitschakeling van een datacenter in dagbedrijf gaat altijd gepaard met risico's, zodat er altijd backup-mechanismen moeten zijn. Volledige shutdowns zijn deels vereist door regelgeving, bijvoorbeeld voor luchtvaartmaatschappijen en luchthavens. Deze luchtvaartmaatschappijen en luchthavens voeren deze – operaties vaak samen uit, alsof zij bondgenoten zijn. Als een luchthaven bijvoorbeeld een volledige operatie moet uitvoeren, stelt een luchtvaartmaatschappij een vliegtuig en een bemanning ter beschikking. Beide partijen breiden hun crisisteams uit en testen samen. De luchthavenbrandweer, de politie, reddingsteams en ondersteunende teams zijn er meestal ook bij betrokken. Vaak worden bij dergelijke tests ook enkele gesimuleerde gewonde en ongedeerde passagiers betrokken om de paramedici en begeleiders bij de test te betrekken.

Andere test- en oefenvarianten:Een zeer elementaire, korte en vooral winstgevende test kan bijvoorbeeld een alarmeringstest voor het crisismanagementteam zijn. Deze test gaat na of de relevante medewerkers de informatie ontvangen en of ze dienovereenkomstig (kunnen) reageren. Er wordt nagegaan of iedereen even goed geïnformeerd en bereikbaar is, of de contactgegevens up-to-date zijn en of alle betrokkenen snel genoeg op de plaats kunnen komen waar gewerkt moet worden. Als deze test niet perfect werkt, weet u tenminste hoe lang alle medewerkers eigenlijk nodig hebben. In principe kunnen opleidingen en tests aangekondigd of onaangekondigd zijn. Het bedrijf beslist hier afhankelijk van zijn maturiteitsniveau, zijn bereidheid om risico's te nemen en zijn beschikbare middelen (een volledige implementatie legt echt veel beslag op de capaciteit).

Voorbereiding op tests en oefeningen

Wat het test- of beoordelingsformaat ook is, het begint allemaal met voorbereidende overwegingen: Wat voor soort test/beoordeling moet er gedaan worden? Hoe uitgebreid moet het zijn? Hoe lang moet/kan het duren? Welke middelen zijn beschikbaar? Moet de test/oefening worden aangekondigd of onaangekondigd? Alle punten moeten of mogen worden afgestemd met de meerderen. Als er bijvoorbeeld een onaangekondigde test met een crisismanagementteam wordt gepland, is het raadzaam om vooraf toestemming te krijgen van de directeuren en duidelijk te maken of er geen no-go data zijn om de dagelijkse gang van zaken niet te veel te belasten.

Als het budget en de kaderparameters bekend zijn, kan de test/oefening worden voorbereid. Als een scenario moet worden getest, wordt een script met een verwachtingshorizon geschreven. Bij dit laatste gaat het erom vast te leggen welke besluitvormingsmogelijkheden voorzienbaar zijn. Je neemt dus alles zelf stap voor stap door en bereidt je grondig voor. Zelfs bij een eenvoudige walkthrough-test is voorbereiding belangrijk: je moet het testobject vooraf goed bekijken om te bepalen of er logische breuken zijn die met de verantwoordelijke persoon moeten worden opgehelderd.

Het is raadzaam om tests vooraf ten minste aan het hoofd van de afdeling te melden, afhankelijk van met welk team u werkt.

Testen en oefeningen plannen

Wanneer het gaat om testen en toetsen, adviseert Controllit AG vijfjarenplannen die laten zien wat voor perspectief men heeft en hoe de matigheidsontwikkeling is gepland. Bij de planning voor het bedrijf is het ook belangrijk om er bijvoorbeeld rekening mee te houden dat de data van de jaarlijkse tests met de gespecialiseerde afdeling zo worden vastgesteld dat ze passen in de oorspronkelijke dagelijkse werkzaamheden van de afdelingen. Als deze data eenmaal zijn vastgesteld, kan een goed jaarplan worden opgesteld waaruit blijkt wat wanneer en met wie wordt gedaan.

Een goede planning wordt ook gekenmerkt door het feit dat rekening wordt gehouden met de output van de aanstaande test/oefening. Op die manier kunnen de processen die nog niet perfect zijn, waar aanpassingen zijn geweest en die moeten worden geoptimaliseerd, inhoudelijk en permanent worden beoordeeld en geborgd. Zonder langetermijnplanning is een dergelijke gerichte aanpak niet mogelijk.

Wie moet tests en implementaties controleren en documenteren?

In de regel werkt men met een mix van intern en extern personeel of consultants als het gaat om het uitvoeren, observeren en documenteren. Veel bedrijven zijn er dol op hun crisismanagementteam (of andere functies) jaar na jaar uit te besteden. Men zou eigenlijk kunnen zeggen dat bedrijven na twee of drie jaar weten hoe ze het moeten doen, zodat ze hun eigen crisismanagement volledig kunnen beheren. Men mag echter niet vergeten dat een externe deskundige, die ook in andere bedrijven projecten begeleidt en dus over de bijbehorende ervaring en ideeën beschikt, anders beluisterd wordt dan de medewerkers in het eigen bedrijf.

Dus: Je kunt deze Übungen intern alleen uitvoeren, als alles werkt en je geen externe blik van buitenaf nodig hebt.
Maar: Een ervaren externe adviseur brengt altijd waardevolle meerwaarde, een ander spectrum aan ideeën en een nieuw perspectief.

Een voorbeeld

Een bedrijf met een BCM, ITSCM of crisismanagement organisatie heeft functioneel beheerders en plaatsvervangers gedefinieerd. Bij een geplande &Uml;bung zouden die eigenlijk allemaal moeten üben, maar in de uitvoering is dat niet mogelijk – of zou tot chaos kunnen leiden.

De aanpak:Eén übts met een team van functionarissen/hoofdpersonen of plaatsvervangers. Idealiter is het team een mix van managers en plaatsvervangers, dus van ervaren en minder ervaren personeel. Zo blijft er een pool over van medewerkers die in principe met de kwestie te maken hebben of in het noodteam zitten, maar die op dit moment niet mogen werken, maar wel geïnteresseerd zijn in de processen. Deze medewerkers kunnen uitstekend worden geïntegreerd in de &Um;bungalow in alle functies die in een crisismanagementteam bestaan.

De constellatie: Het crisismanagementteam werkt in zijn crisismanagementkamer. Daarnaast is er de regisseur, die aan de hand van het draaiboek de productie aanstuurt. Het is een groot voordeel als een medewerker van het bedrijf in de regiekamer zit en technische ondersteuning biedt bij de (misschien verrassende) ontwikkelingen in de vergadering. Als via de controlekamer situaties in de test worden geïntroduceerd, reageert het crisismanagementteam via de controlekamer om maatregelen te sturen. Deze reacties van het crisismanagementteam moeten in de meldkamer worden beantwoord en verwerkt. Als daar iemand van het bedrijf aanwezig is die kan zeggen wat realistisch is of die kan zien hoe de interactie verloopt, is dat een winst voor beide partijen, professioneel en structureel. Er zijn (één tot drie) waarnemers in de crisisteamkamer die het leiderschap, de communicatie en het teamwerk en de rolopvatting bewaken. Het interne en externe perspectief is ook nuttig voor de observatie van de vergadering in de crisisteamkamer: Een externe waarnemer beoordeelt bijvoorbeeld de samenwerking onafhankelijk van de mensen (die hij nauwelijks kent), maar de interne waarnemer kent de bedrijfscultuur en kan gevoeliger zijn voor interpersoonlijke verschillen. Zo krijg je resultaten vanuit twee verschillende perspectieven, en juist die combinatie leidt tot zeer waardevolle eindresultaten.

Testen en oefenen - het beste op volle toeren

Bij een simulatie is het bijvoorbeeld goed om een situatie te kiezen waarbij de deelnemers betrokken raken. U moet een onderwerp kiezen dat het bedrijf en vooral de vertegenwoordigers van het crisisteam op de een of andere manier raakt, zodat ze het als realistisch kunnen beschouwen. Hoe realistischer en interessanter de opzet, hoe meer energie en adrenaline – en het kan zelfs heel hoog oplopen tijdens ¨bouts binnen het personeel!

Onmiddellijk na de oefening vindt de zogenaamde Hot Debriefing plaats. Dit eerste deel van de discussie dient enerzijds om uit de sessie te komen en deze echt af te sluiten. Daarnaast praten de deelnemers over wat goed en minder goed ging. Een evaluatie vindt hier niet plaats, het gaat alleen om de allereerste indrukken. Het is het meest effectief wanneer de deelnemers op hun gedrag reflecteren en kunnen vertellen waarom bepaalde dingen goed of minder goed werkten. Deze manier van kennis opdoen is zo waardevol omdat het het beste verankert (leren door reflectie). Wat op deze manier is geïnternaliseerd (vooral succesvolle activiteiten) is later het beste terug te vinden in een eventuele noodsituatie.

Als de emotionele afstand tot de oefening is hersteld en de hartslag weer normaal is, is er een pauze en een feedbackblad met gestructureerde vragen, bijvoorbeeld over teamwerk, communicatie en leiderschapsgedrag en dergelijke.
Dat wordt gevolgd door een tweede gestructureerde feedback, de zogenaamde formele debriefing. Hieruit kan blijken dat mensen met enige afstand een situatie gedifferentieerder evalueren dan direct na de oefening. Bovendien omvat de tweede feedback een eerste inbreng van de waarnemer(s) en de directeur. Het is ook heel belangrijk om de sterke punten van de deelnemers aan te spreken en te benadrukken. Als alleen de negatieve reacties worden besproken, kan dit onder bepaalde omstandigheden contraproductief zijn.

Conclusie - het grote voordeel van tests en oefeningen

Er is niets beter dan regelmatig testen en oefenen (met externe ondersteuning). Dit is de enige manier om open, eerlijke en doelgerichte feedback te krijgen. Ook mag niet uit het oog worden verloren dat bijvoorbeeld een crisismanagementteam, dat bestaat uit mensen uit de meest uiteenlopende vakgebieden, elkaar als team moet kennen en begrijpen, zodat er op ooghoogte en op basis van functies en rollen kan worden gecommuniceerd en gewerkt. Voor teambuilding is Üben dus altijd goud waard. Een ander positief aspect is dat je gewoon dingen kunt uitproberen en als het misgaat, heb je geen grote schade aangericht.

Zelfs een ervaren organisatie of een reeds getest en coherent Business Continuity Plan (BCP), kan nog verder worden geoptimaliseerd. Het gaat echter niet alleen om verbeteren, want het is net zo belangrijk om de processen die al goed werken te borgen en regelmatig in actie te brengen. Want een plan is slechts zo goed als het zwakste onderdeel ervan. En: leren door succes is beter dan leren door pijn.