Tien manieren om de weerbaarheid van uw organisatie te vergroten

COVID-19 dwingt ons stil te staan bij het feit dat ondernemingen weerbaar moeten zijn, zodat ze verschillende potentieel ontwrichtende factoren kunnen weerstaan. Wij leggen uit hoe financiële dienstverleners momenteel het beste kunnen reageren en welke voorbereidingen ze kunnen treffen.

De afgelopen jaren is veerkracht bij financiële instellingen steeds hoger op de bestuurlijke agenda komen te staan. Maar zelden was de nood zo hoog als nu. De wereldwijde uitbraak van het coronavirus en de toenemende gevolgen ervan op de wereldeconomie herinnert bestuurders aan het belang voorbereid te zijn op onverwachte gebeurtenissen.  Overal proberen besturen en managementteams de impact van disruptie op de business te beperken en zoeken zij manieren waarop de dienstverlening, ondanks onderbrekingen, toch doorgang kan vinden. Daarnaast willen ze zich ervan verzekeren dat er binnen hun bedrijf een leercultuur heerst, zodat weerbaarheidsplannen doorlopend worden bijgeschaafd; de risico's zijn immers altijd in beweging. Ook toezichthouders houden zich meer bezig met de veerkracht en het vermogen van de organisatie om diensten ononderbroken kunnen blijven leveren nu klanten dit verwachten.

Weerbaarder worden is geen eenvoudige opgave. Hiervoor moeten in elk bedrijf verschillende teams – meestal met andere prioriteiten en uiteenlopende rapportagelijnen – anders en eensgezinder te werk gaan dan voorheen; met de juiste prioriteiten, een hechtere samenwerking en betere coördinatie. Complexe ondernemingsvormen, het bedrijfsmodel en technologie kunnen de uitdaging nog groter maken.

Uit gesprekken met bedrijven uit de sector hebben we 10 belangrijke stappen gedestilleerd waarmee financiële instellingen hun weerbaarheid efficiënt en doeltreffend kunnen vergroten:

2.   Praat op een gemeenschappelijke manier over veerkracht en weerbaarheid

De afgelopen tien jaar hebben bedrijven veel tijd en energie gestoken in een gemeenschappelijke en bedrijfsbrede taal of terminologie. Toch zijn maar weinig daar helemaal in geslaagd. De meeste bedrijven beschikken weliswaar over verzamelingen terminologieën, maar die zijn stuk voor stuk ontwikkeld voor één specifieke toepassing: periodieke RCSA-processen (risk control self-assessment), operationele risico's, RRP's en derden . Ook is het voor veel bedrijven lastig de eindverantwoordelijkheid voor specifieke taken of afdelingen vast te leggen. Vaak worden inspanningen om tot procedureafspraken te komen beschouwd als iets wat de eerste lijn wordt opgelegd, niet iets wat bij de eerste lijn zelf vandaan komt. De eerste lijn ziet dit als iets wat controlegroepen moeten uitvoeren om hun werk te kunnen doen en klagen over de werkbaarheid als de tekst vanuit die controle is geschreven. Er zijn maar weinig managers in de eerste lijn die inzien dat dergelijke procedures cruciaal zijn voor operationele veerkracht en ze herkennen zich vaak niet in de manier waarop ze zijn geschreven.

3.   Herken en beheer afhankelijkheden, single points of failure en de concentratie daarvan binnen en buiten het bedrijf

Alles in kaart brengen is niet genoeg. Het gaat er niet alleen om dat het bedrijf begrijpt hoe processen of gegevens lopen; minstens zo belangrijk is dat bekend is waar de knelpunten of concentratiegebieden zitten (bijv. de belangrijkste bedrijfsactiviteiten of -locaties). Denk aan IT-systemen of processen die een of meerdere cruciale stappen voor de levering van een dienst ondersteunen; aan een belangrijke afhankelijkheid upstream of downstream (iets wat vóór of na een specifiek proces plaatsvindt en de dienst tot stilstand zou brengen als het wegvalt); en zelfs aan belangrijke specialisten.

4.   Zorg voor een strategie en bedrijfsmodel gericht op weerbaarheid van de hele organisatie

Steeds vaker zien bedrijven in dat hun inspanningen op het gebied van continuïteit en veerkracht te ver uit elkaar liggen. Zo kent een bedrijf vaak tal van activiteiten op het gebied van bedrijfscontinuïteit, rampenherstel, de respons op cyberaanvallen en crisismanagement. In veel gevallen bestaan er talloze crisis- en noodplannen voor de bedrijfsonderdelen, technologieën, personeelszaken en andere gebieden. Slechts enkele van die plannen zijn aan elkaar gekoppeld of consistent toegepast. En in maar weinig plannen zijn dezelfde of consistente triggers voor escalatie en besluitvorming ingebouwd. Bovendien hebben maar weinig bedrijven hun senior executives en/of bestuursraden voorbereid op een daadwerkelijke crisis. Het gevolg? Besluitvorming is in spannende tijden ondoeltreffend, foutgevoelig en traag.

5.   Besteed aandacht aan preventie

Hoewel we snel geneigd zijn ons op respons en herstel te richten, moet er nog steeds veel aandacht zijn preventie om de kans op disruptie te verkleinen en de mogelijke gevolgen ervan beperken. Hier valt te denken aan de volgende strategieën:

• Segmenteer cruciale systemen, waaronder netwerken en systemen, en beperk het aantal aanvals- en toegangspunten
• Hanteer strengere toegangscontrole door gebruikersrechten te herbeoordelen, bijvoorbeeld wanneer iemand een andere functie gaat bekleden; met inbegrip van derden (vooral platforms die door klanten worden gehost)
• Pak verouderde IT aan om de afhankelijkheid van overbodige systemen te beperken; zorg dat verouderde IT-systemen geen kwetsbaarheden in cruciale processen vormen
• Ga effectief om met veranderingen veranderingen om de kans te verkleinen dat een matig uitgevoerde, slecht gecontroleerde of verkeerd getimede IT- of procesverandering resulteert in een disruptieve verandering
• Focus op veerkracht in het ontwerp — in plaats van veerkracht door herstel — zodat de weerbaarheidsprincipes meet af aan worden gevolgd bij het ontwerpen van nieuwe systemen of processen

9.   Houd simulaties om het management te trainen

Organisaties trainen senior executives en bestuursleden steeds vaker door in alle bedrijfsonderdelen oefeningen of simulaties te houden. Deze vinden plaats voordat er zich een echte gebeurtenis of crisis heeft voorgedaan. In het verleden waren dergelijke oefeningen vooral bedoeld voor het middenkader: de managers die bij een incident of crisis met de voeten in de klei staan. Maar steeds vaker zien bedrijven in dat er, met het oog op de omvang, frequentie en potentiële impact van een crisis, ook aandacht moet zijn voor besluitvorming in de hoogste lagen. Tijdens een extreme crisis moeten het bestuur en het senior management weten wat hun rol in de besluitvorming is. Ook moeten zij gewend zijn te handelen in crisistijd, ongeacht de aanleiding of aard van de situatie. Een kalm en doortastend optreden van bovenaf zorgt voor vertrouwen bij alle stakeholders en spelers.

10.   Bevorder een lerende, veerkrachtige cultuur

Een bedrijf is veerkrachtig als het organisatorisch gezien voldoende gedisciplineerd en wendbaar is om plannen en mogelijkheden voor ononderbroken dienstverlening te ontwikkelen (en doorlopend aan te scherpen). Dat kan alleen binnen een cultuur waarin iedereen leert van eerdere fouten en gebeurtenissen — zowel binnen als buiten het bedrijf — en waarin ruimte is voor activiteiten die zijn gericht op tijdig en effectief herstel en verbetering. Zo komt de nadruk te liggen op het veranderen van menselijk gedrag en gaan medewerkers beseffen hoe belangrijk hun rol is; veerkracht en weerbaarheid staat of valt door hun handelen. Zij zijn er zelf verantwoordelijk voor, niemand anders. Als dit allemaal lukt, heeft een bedrijf de noodzakelijke voorwaarden voor een veerkrachtige cultuur tot stand gebracht.