6 minuten leestijd 26 okt 2018
Skydivers in tandemsprong boven een strand in Spanje

Tien manieren om de weerbaarheid van uw organisatie te vergroten

Auteurs

Cindy Doe

EY Americas Advisory Risk Leader

Seasoned financial services professional. Resides in Massachusetts with her husband and three children.

Mark Watson

EY Americas FSO Board Matters Deputy Leader

Focused on helping financial services firms become resilient and well-governed. Passionate about sound public policy. Avid movie goer. Electronic dance music fan. Proud Anglo-American.

6 minuten leestijd 26 okt 2018

COVID-19 dwingt ons stil te staan bij het feit dat ondernemingen weerbaar moeten zijn, zodat ze verschillende potentieel ontwrichtende factoren kunnen weerstaan. Wij leggen uit hoe financiële dienstverleners momenteel het beste kunnen reageren en welke voorbereidingen ze kunnen treffen.

De afgelopen jaren is veerkracht bij financiële instellingen steeds hoger op de bestuurlijke agenda komen te staan. Maar zelden was de nood zo hoog als nu. De wereldwijde uitbraak van het coronavirus en de toenemende gevolgen ervan op de wereldeconomie herinnert bestuurders aan het belang voorbereid te zijn op onverwachte gebeurtenissen.  Overal proberen besturen en managementteams de impact van disruptie op de business te beperken en zoeken zij manieren waarop de dienstverlening, ondanks onderbrekingen, toch doorgang kan vinden. Daarnaast willen ze zich ervan verzekeren dat er binnen hun bedrijf een leercultuur heerst, zodat weerbaarheidsplannen doorlopend worden bijgeschaafd; de risico's zijn immers altijd in beweging. Ook toezichthouders houden zich meer bezig met de veerkracht en het vermogen van de organisatie om diensten ononderbroken kunnen blijven leveren nu klanten dit verwachten.

Weerbaarder worden is geen eenvoudige opgave. Hiervoor moeten in elk bedrijf verschillende teams – meestal met andere prioriteiten en uiteenlopende rapportagelijnen – anders en eensgezinder te werk gaan dan voorheen; met de juiste prioriteiten, een hechtere samenwerking en betere coördinatie. Complexe ondernemingsvormen, het bedrijfsmodel en technologie kunnen de uitdaging nog groter maken.

Uit gesprekken met bedrijven uit de sector hebben we 10 belangrijke stappen gedestilleerd waarmee financiële instellingen hun weerbaarheid efficiënt en doeltreffend kunnen vergroten:

1.  Focus op het in kaart brengen en uitvoeren van bedrijfskritische diensten, zowel binnen als over de grenzen van het bedrijf heen

Maar al te vaak brengen bedrijven hun processen per afdeling in kaart. Deze aanpak staat veerkracht in de weg en leidt tot verzuilde denkwijzen en oplossingen. Tegenwoordig is het belangrijk dat een bedrijf het volledige proces begrijpt en beheerst, en eerst kijkt naar de dienst die het aan de klant of opdrachtgever levert. Daarna moet het bedrijf in kaart brengen welke toepassingen, middleware, infrastructuur, personen en processen (en gegevensstromen) elke dienst ondersteunen. Deze inventarisatie betreft ook derde of vierde partijen - buiten de eigen organisatie - die nodig zijn voor de levering van elke dienst.

2.   Praat op een gemeenschappelijke manier over veerkracht en weerbaarheid

De afgelopen tien jaar hebben bedrijven veel tijd en energie gestoken in een gemeenschappelijke en bedrijfsbrede taal of terminologie. Toch zijn maar weinig daar helemaal in geslaagd. De meeste bedrijven beschikken weliswaar over verzamelingen terminologieën, maar die zijn stuk voor stuk ontwikkeld voor één specifieke toepassing: periodieke RCSA-processen (risk control self-assessment), operationele risico's, RRP's en derden . Ook is het voor veel bedrijven lastig de eindverantwoordelijkheid voor specifieke taken of afdelingen vast te leggen. Vaak worden inspanningen om tot procedureafspraken te komen beschouwd als iets wat de eerste lijn wordt opgelegd, niet iets wat bij de eerste lijn zelf vandaan komt. De eerste lijn ziet dit als iets wat controlegroepen moeten uitvoeren om hun werk te kunnen doen en klagen over de werkbaarheid als de tekst vanuit die controle is geschreven. Er zijn maar weinig managers in de eerste lijn die inzien dat dergelijke procedures cruciaal zijn voor operationele veerkracht en ze herkennen zich vaak niet in de manier waarop ze zijn geschreven.

3.   Herken en beheer afhankelijkheden, single points of failure en de concentratie daarvan binnen en buiten het bedrijf

Alles in kaart brengen is niet genoeg. Het gaat er niet alleen om dat het bedrijf begrijpt hoe processen of gegevens lopen; minstens zo belangrijk is dat bekend is waar de knelpunten of concentratiegebieden zitten (bijv. de belangrijkste bedrijfsactiviteiten of -locaties). Denk aan IT-systemen of processen die een of meerdere cruciale stappen voor de levering van een dienst ondersteunen; aan een belangrijke afhankelijkheid upstream of downstream (iets wat vóór of na een specifiek proces plaatsvindt en de dienst tot stilstand zou brengen als het wegvalt); en zelfs aan belangrijke specialisten.

4.   Zorg voor een strategie en bedrijfsmodel gericht op weerbaarheid van de hele organisatie

Steeds vaker zien bedrijven in dat hun inspanningen op het gebied van continuïteit en veerkracht te ver uit elkaar liggen. Zo kent een bedrijf vaak tal van activiteiten op het gebied van bedrijfscontinuïteit, rampenherstel, de respons op cyberaanvallen en crisismanagement. In veel gevallen bestaan er talloze crisis- en noodplannen voor de bedrijfsonderdelen, technologieën, personeelszaken en andere gebieden. Slechts enkele van die plannen zijn aan elkaar gekoppeld of consistent toegepast. En in maar weinig plannen zijn dezelfde of consistente triggers voor escalatie en besluitvorming ingebouwd. Bovendien hebben maar weinig bedrijven hun senior executives en/of bestuursraden voorbereid op een daadwerkelijke crisis. Het gevolg? Besluitvorming is in spannende tijden ondoeltreffend, foutgevoelig en traag.

5.   Besteed aandacht aan preventie

Hoewel we snel geneigd zijn ons op respons en herstel te richten, moet er nog steeds veel aandacht zijn preventie om de kans op disruptie te verkleinen en de mogelijke gevolgen ervan beperken. Hier valt te denken aan de volgende strategieën:

  • Segmenteer cruciale systemen, waaronder netwerken en systemen, en beperk het aantal aanvals- en toegangspunten
  • Hanteer strengere toegangscontrole door gebruikersrechten te herbeoordelen, bijvoorbeeld wanneer iemand een andere functie gaat bekleden; met inbegrip van derden (vooral platforms die door klanten worden gehost)
  • Pak verouderde IT aan om de afhankelijkheid van overbodige systemen te beperken; zorg dat verouderde IT-systemen geen kwetsbaarheden in cruciale processen vormen
  • Ga effectief om met veranderingen veranderingen om de kans te verkleinen dat een matig uitgevoerde, slecht gecontroleerde of verkeerd getimede IT- of procesverandering resulteert in een disruptieve verandering
  • Focus op veerkracht in het ontwerp — in plaats van veerkracht door herstel — zodat de weerbaarheidsprincipes meet af aan worden gevolgd bij het ontwerpen van nieuwe systemen of processen

6.   Zorg voor een goed gedocumenteerde en beproefde weerbaarheidsstrategie

Van oudsher wordt tijdens een gesprek over de bedrijfscontinuïteit altijd eerst gesproken over de degelijkheid van de processen van het bedrijf, of eigenlijk: over de vraag of een belangrijk proces of stuk hardware wel of niet kan uitvallen. Maar tegenwoordig stellen klanten en toezichthouders bedrijven vaak een andere vraag: hoe denkt het bedrijf een dienst te blijven leveren wanneer een systeem of proces is uitgevallen? Met andere woorden: de vraag is niet meer óf een verstoring zal plaatsvinden, maar wat er gebeurt wanneer het zover is.

7.   Ga na of noodvoorzieningen van duurzame aard zijn

Klanten en toezichthouders nemen geen genoegen meer met theoretische antwoorden op vragen over weerbaarheid. Tegenwoordig willen ze zeker weten dat bedrijven de desbetreffende processen hebben getest om vast te stellen of het mogelijk blijft de dienst te leveren en op welk moment de kwaliteit van de dienstverlening wezenlijk zal afnemen. We hebben het dus niet meer over verwachte hersteltijd, maar over de daadwerkelijke hersteltijd.

 

8.   Stel een solide, bedrijfsbrede teststrategie vast die tot actie aanzet

Momenteel - en in de toekomst zal dat zo blijven - is er veel aandacht voor testen van weerbaarheid en veerkracht. Hier komen belangrijke vragen uit voort: Hoe goed en hoe vaak worden cruciale processen en noodvoorzieningen getest? In welke mate betrekt het bedrijf derden bij de testscenario's en tests? Hoe vaak schakelt het bedrijf de productie over op alternatieve locaties om deze live te testen? Beschikt het bedrijf over voldoende getraind personeel dat de operationele noodprocessen kan uitvoeren?

9.   Houd simulaties om het management te trainen

Organisaties trainen senior executives en bestuursleden steeds vaker door in alle bedrijfsonderdelen oefeningen of simulaties te houden. Deze vinden plaats voordat er zich een echte gebeurtenis of crisis heeft voorgedaan. In het verleden waren dergelijke oefeningen vooral bedoeld voor het middenkader: de managers die bij een incident of crisis met de voeten in de klei staan. Maar steeds vaker zien bedrijven in dat er, met het oog op de omvang, frequentie en potentiële impact van een crisis, ook aandacht moet zijn voor besluitvorming in de hoogste lagen. Tijdens een extreme crisis moeten het bestuur en het senior management weten wat hun rol in de besluitvorming is. Ook moeten zij gewend zijn te handelen in crisistijd, ongeacht de aanleiding of aard van de situatie. Een kalm en doortastend optreden van bovenaf zorgt voor vertrouwen bij alle stakeholders en spelers.

10.   Bevorder een lerende, veerkrachtige cultuur

Een bedrijf is veerkrachtig als het organisatorisch gezien voldoende gedisciplineerd en wendbaar is om plannen en mogelijkheden voor ononderbroken dienstverlening te ontwikkelen (en doorlopend aan te scherpen). Dat kan alleen binnen een cultuur waarin iedereen leert van eerdere fouten en gebeurtenissen — zowel binnen als buiten het bedrijf — en waarin ruimte is voor activiteiten die zijn gericht op tijdig en effectief herstel en verbetering. Zo komt de nadruk te liggen op het veranderen van menselijk gedrag en gaan medewerkers beseffen hoe belangrijk hun rol is; veerkracht en weerbaarheid staat of valt door hun handelen. Zij zijn er zelf verantwoordelijk voor, niemand anders. Als dit allemaal lukt, heeft een bedrijf de noodzakelijke voorwaarden voor een veerkrachtige cultuur tot stand gebracht.

Samenvatting

Aandacht voor veerkracht is zakelijk gezien heel verstandig. Tegenwoordig gaan bedrijven van front- tot backoffice immers steeds digitaler te werk en leveren zij diensten die onafgebroken beschikbaar moeten zijn, zoals hun klanten verwachten. Dat betekent dat bedrijven (en sectoren) niet meer zonder operationele veerkracht kunnen – als ze op de lange termijn succesvol willen blijven en hun concurrentiekracht willen behouden.

Veerkrachtig wordt een bedrijf niet zomaar. Maar de benodigde veranderingen zijn van absoluut levensbelang.

Over dit artikel

Auteurs

Cindy Doe

EY Americas Advisory Risk Leader

Seasoned financial services professional. Resides in Massachusetts with her husband and three children.

Mark Watson

EY Americas FSO Board Matters Deputy Leader

Focused on helping financial services firms become resilient and well-governed. Passionate about sound public policy. Avid movie goer. Electronic dance music fan. Proud Anglo-American.