Bedrijven, en dus ook financiële instellingen zullen altijd beducht moeten zijn op operationele risico's. Als het goed is heeft elke instelling een plan voor het geval er oorlog, een natuurramp of een andere vorm van uitval van mensen en middelen dreigt. Er is een business continuity plan en een vorm van disaster recovery. In jargon nog al eens afgekort als BCP/DR. BCP/DR of BC M (de M is van management) is doorgaans gericht op problemen met betrekking tot fysieke behuizing en gebruik van middelen op het kantoor. Het is in de 21e eeuw in toenemende mate gericht op bereikbaarheid en tijdig gebruik van hardware en software (IT) om een belangrijk en/of urgent zakelijk doel te kunnen blijven bereiken. Om dus die business continuïteit te garanderen.
Voor de continuïteit is er oorspronkelijk veel aandacht voor een duur betaald uitwijkcentrum waar traders bijvoorbeeld naar uitwijken om de handel met pensioenfondsen, verzekeraars en andere banken zo ononderbroken mogelijk voort te zetten. In zo'n uitwijkcentrum staan computers, Bloombergs etc.. om meteen door te kunnen gaan na een bepaald 'event'. Al is het maar een stroomuitval.
Hoewel er geleidelijk aan meer aandacht is gekomen voor thuiswerken, de schrijver werd er zelf pas in 2013 mee geconfronteerd, is het thuiswerken pas met de corona pandemie als een soort 'big bang' in vol ornaat ingevoerd. Niet even op je laptop een klusje afmaken. Neen. Gewoonweg maanden vanuit huis je prestaties op peil houden. Het thuiswerken heeft door de pandemie - als je het positief bekijkt - een mooie stimulans gekregen. Echter, het thuiswerken op deze schaal is wel uit nood geboren!
Hoe zit het met continuïteit en de veiligheid?
 |
| meeting riskmanagement from home |
Werknemers gebruiken nu hun particuliere internetaansluiting. Die is genoeg voor gewoon gebruik voor circa 3 á 4 personen, maar is deze toereikend voor zwaarder gebruik (videocalls en de specifieke systemen van het werk) en indien huisgenoten tegelijkertijd Netflixen en bloedige internet games uitvechten? En dat vaak nog met een standaard wachtwoord op de router.
Kan je van huis uit kritische processen laten doorgaan? Kun je snel ergens op terugvallen? En, telefoongesprekken, worden deze gelogd als deze ook op kantoor via een recorder moeten? Zijn dossiers in de kast of op de laptop goed opgeborgen en beveiligd of is de cloud goed versleuteld? Wordt de privacy van cliënten ook thuis goed gewaarborgd?
Ik heb het verder niet over het creatieve proces, de bijna automatische (sociale en zakelijke) controle en verbeteringen van elkaar omdat collega's op kantoor wel fysiek binnen bereik zijn en thuis niet. En ook niet over de emotionele effecten, die zijn in 2020 meer dan voldoende overal benoemd en besproken. Ik sta ook niet stil bij een waslijst aan andere zaken die op kantoor aan procedures, fiats en controles onderhevig zijn, en het is natuurlijk zo dat een flink aantal functies gewoonweg niet van huis gedaan worden. Ook nu niet.
Zijn uitwijkcentra eigenlijk benut, en zijn deze nog nodig? We hebben nu blijkbaar honderdduizenden mini uitwijkcentra bij mensen thuis.
Toch is het denk ik goed om even stil te staan bij de controles op kritische processen in eigen bedrijf en bij de controles op de uitbestede processen.
Financiële instellingen moeten beschikken over een adequaat Business Continuity Management (BCM). Zo kunnen zij hun kritische bedrijfsprocessen en systemen beschermen en de risico’s (én crises) beheersen. Dat doen zij op basis van continuïteitseisen, die vastgelegd zijn in de wet- en regelgeving. Instellingen die niet onder een bepaalde wet of regelgeving vallen, kunnen wet- en regelgeving wel als leidraad gebruiken voor hun risicobeheersing. Een paar voorbeelden die op de website van DNB staan:
- Joint Forum High Level Principles for Business Continuity voor banken
- Principles for Financial Market Infrastructures (PFMI) voor financiële marktinfrastructuren (FMI’s), zoals betaalsystemen, clearing- en settlementsystemen
- DNB Toetsingskader Business Continuity Management Financiële Kerninfrastructuur (FKI) voor instellingen die deel uitmaken van de FKI.
Geen opmerkingen:
Een reactie posten