Business Continuity Management De stand van zaken bij banken in Nederland
Doctoraalscriptie t.b.v. opleiding Bedrijfseconomie, afdeling BIV -AO. 1e beoordelaar: drs. R.W.J. van Loon
2e beoordelaar: drs. R.P. van den Broek
………………………………………….
……………………………………………..
Naam Studentnummer Datum voltooiing
: B.J. Korver : 9956670 : 31 augustus 2006
Business Continuity Management
UVA AgBS
VOORWOORD Voor u ligt een scriptie ter afronding van mijn studie Bedrijfseconomie aan de Universiteit van Amsterdam. In recente jaren hebben bedreigingen (Y2K) en calamiteiten (9/11) het wereldnieuws gehaald. In dit licht heb ik onderzoek gedaan naar continuïteitsmaatregelen die Nederlandse banken hebben genomen ten einde ernstige verstoringen in kritische processen te overleve n. Met ambitie en motivatie ben ik de studie in 1999 gestart en nu in 2006 afgerond. In 2004 was ik klaar met alle vakken en ‘kwam het zo uit’ om alvast de volgende studie te starten: de postdoctorale opleiding tot Register Controller. De doctoraalscriptie zou ik tussendoor wel even schrijven… Ik was even vergeten dat ik ook nog een privé-leven had wat gaande de jaren niet bepaald stabiel was, een vaak gehoorde eis om 1 laat staan 2 studies te volgen…naast je werk. Vriendin, vaderschap, huis compleet verbouwen, altijd blijven sporten, familie en vrienden, hoe heb ik het kunnen combineren? Iedereen in mijn privé -omgeving wil ik bij deze dan ook enorm bedanken voor hun steun, begrip en aanmoediging. Zonder hun had ik deze scriptie nooit kunnen afronden. Ook een dankwoord aan mijn werkgever en collega’s die geld en tijd beschikbaar hebben gesteld en zijn blijven geloven in een succesvolle afronding van mijn studie. Wie ik zeker niet mag vergeten te bedanken, zijn de mensen die ik voor mijn onderzoek heb geïnterviewd. Allen kregen te maken met mijn strakke afstudeerplanning, maar niemand klaagde en iedereen werkte mee. Top! Ten slotte een woord van dank aan mijn studieadviseuse Froukje Mebius en scriptiebegeleider Ron van Loon. Fantastisch hoe jullie mij het nodige vertrouwen hebben gegeven: groen licht voor een strakke afstudeerplanning en veel zelfstandigheid in het afschrijven van de scriptie. Dit waren uiteindelijk de randvoorwaarden waarbinnen ik mijn scriptie op tijd heb kunnen afronden.
Bernard Korver Vleuten, augustus 2006
2006 Bernard Korver
1
Business Continuity Management
UVA AgBS
SAMENVATTING Financiële dienstverleners staan in meer dan gemiddelde mate onder toezicht. Dit kan worden verklaard door de plaats die banken innemen in het (internationaal) maatschappelijk verkeer. Toezicht op de Nederlandse bankinstellingen wordt uitgeoefend door De Nederlandse Bank (DNB). Vertrouwen, transparantie, stabiliteit en continuïteit zijn belangrijke uitgangspunten in het toezicht uitgeoefend door de DNB. Een belangrijk onderdeel van het uitgeoefende toezicht spitst zich op risicomanagement waarvan Business Continuity Management (BCM) onderdeel is. Nationale regelgeving wordt uitgevaardigd door de DNB, overigens vaak afgeleid van Europese of supranationale regelgeving. De verwachting is daarom dat er een verband bestaat tussen specifieke wet- en regelgeving en de inrichting van BCM bij banken. In deze scriptie is het onderzoek beschreven hoe met behulp van vijf onderzoeksvragen tot beantwoording is gekomen van de probleemstelling: Welke eisen stellen wetgever en toezichthouders aan BCM binnen banken en op welke wijze hebben banken hier invulling aan gegeven? Het onderzoek is verder afgebakend tot de 10 banken die behoren tot de financiële kerninfrastructuur in Nederland en heeft daarmee, althans in eerste instantie, voldoende basis voor het doen van kwalitatieve uitspraken. Door literatuuronderzoek zijn 15 BCM eisen van wetgever en toezichthouder en best practises beschreven. Vervolgens zijn vijf hypotheses ontworpen die op houdbaarheid zijn getoetst. Hiervoor zijn kwalitatieve interviews afgenomen bij BCM experts van Nederlandse banken. Over de houdbaarheid van hypothese 2 kon geen uitspraak worden gedaan door het ontbreken van voldoende en vergelijkbare informatie. Veder komt uit het onderzoek naar voren dat hypotheses 1 en 5 ruimschoots en 3 en 4 zeer nipt houdbaar zijn. De volgende leemtes zijn gevonden tussen de 15 BCM eisen en de realiteit: § Niet alle BCM afdelingen beschikken over (management-)informatie met betrekking tot BCM (bijvoorbeeld over test uitkomsten, status van actiepunten of versiebeheer van de BCP’s); § Tests van BCP’s en BCM middelen hebben dikwijls onvoldoende diepgang; § De interne accountant is onvoldoende betrokken en in zijn onderzoeken blijven BCM risico analyse en het BCM beleid dikwijls buiten schot; § Ex-post bewaking van de kwaliteit van BCM bij outsourcing partners gebeurt te weinig; § Een proces voor de bewaking van de implementatiestatus van BCP’s is niet altijd aanwezig.
2006 Bernard Korver
2
Business Continuity Management
UVA AgBS
De gevonden leemtes kunnen banken ondersteunen bij het verder optimaliseren en versterken van de inrichting van hun BCM. Tegelijkertijd voldoen ze daarmee nog meer aan eisen die worden gesteld door de DNB, interntationale wet- en regelgeving en best practises. Met de inzichten verkregen uit literatuuronderzoek en de beantwoording van de hypothesen is uiteindelijk antwoord verkregen op de probleemstelling.
2006 Bernard Korver
3
Business Continuity Management
UVA AgBS
INHOUDSOPGAVE 1. Inleiding ................................................................................................ 6 1.1 1.2 1.4 1.5
Context ..............................................................................................................................................................6 Probleemstelling..............................................................................................................................................7 Beperkingen van het onderzoek...................................................................................................................8 Structuur van het rapport...............................................................................................................................8
2. Business Continuity Management .............................................................10 2.1 2.2 2.3 2.4 2.4 2.5
Introductie ......................................................................................................................................................10 Definitie BCM ...............................................................................................................................................10 Afbakening BCM ..........................................................................................................................................12 Aanverwante concepten...............................................................................................................................13 Behoefte aan BCM .......................................................................................................................................16 Conclusie ........................................................................................................................................................19
3. BCM binnen banken in Nederland ............................................................20 3.1 3.2 3.3 3.4
Introductie ......................................................................................................................................................20 Marktschets ....................................................................................................................................................20 BCM ontwikkelingen in het betalings- en effectenverkeer ...................................................................23 Conclusie ........................................................................................................................................................24
4. Bouwstenen voor een professioneel BCM systeem .....................................26 4.1 4.2 4.3 4.4 4.5 4.6
Introductie ......................................................................................................................................................26 Internationale wet- en regelgeving.............................................................................................................26 Nederlandse Wet- en regelgeving..............................................................................................................31 Best practises.................................................................................................................................................33 Model voor inrichting BCM bij Nederlandse banken............................................................................36 Conclusie ........................................................................................................................................................38
5. Hypothesen...........................................................................................39 5.1 5.2 5.3 5.4 5.5 5.6 5.7
Introductie ......................................................................................................................................................39 Hypothese 1 ...................................................................................................................................................39 Hypothese 2 ...................................................................................................................................................39 Hypothese 3 ...................................................................................................................................................40 Hypothes e 4 ...................................................................................................................................................40 Hypothese 5 ...................................................................................................................................................40 Conclusie ........................................................................................................................................................41
6. Praktijk toetsing.....................................................................................42 6.1 6.2 6.3 6.4 6.5 6.6
Introductie ......................................................................................................................................................42 Kwalitatieve interviews ...............................................................................................................................42 Opzet kwalitatieve interviews.....................................................................................................................42 Vragenlijst kwalitatieve interviews ...........................................................................................................43 Selectie van banken in Nederland..............................................................................................................44 Conclusie ........................................................................................................................................................44
7. Uitkomsten toetsing aan de praktijk .........................................................45 7.1 7.2
Introductie ......................................................................................................................................................45 Hypothese 1 ...................................................................................................................................................45
2006 Bernard Korver
4
Business Continuity Management
7.3 7.4 7.5 7.6 7.7
UVA AgBS
Hypothese 2 ...................................................................................................................................................46 Hypothese 3 ...................................................................................................................................................47 Hypothese 4 ...................................................................................................................................................48 Hypothese 5 ...................................................................................................................................................51 Conclusie ........................................................................................................................................................52
8. Conclusie en opties vervolgonderzoek ......................................................53 8.1 8.2 8.3
Introductie ......................................................................................................................................................53 Eindresultaat..................................................................................................................................................53 Opties vervolgonderzoek.............................................................................................................................54
Bijlage 1: Begrippenlijst..............................................................................55 Bijlage 2: Referenties .................................................................................56 Bijlage 3: Betalings- en Effectenverkeersytemen in Nederland (DNB 2006).......59 Bijlage 4: Kerncijfers financiële kerninfrastructuur .........................................60 Bijlage 5: Basel II: drie Pillars en de plaats van BCM......................................61 Bijlage 6: The Core Principles on SIPS..........................................................62 Bijlage 7: Recommendations for Security Settlement Systems.........................63 Bijlage 8: Recommendations for Central Counter Parties ................................65 Bijlage 9: Interagency Paper on Sound Practises to Strengthen the Resilience of the US Financial System .............................................................................67 Bijlage 10: Sarbanes-Oxley Act....................................................................71 Bijlage 11: Regeling Organisatie en Beheer ...................................................73 Bijlage 12: Toetsingskader BCP betalings- en effectenverkeer .........................75 Bijlage 13: High Level Principles for Business Continuity.................................77 Bijlage 14: Publicly Available Specification (PAS) 56.......................................78 Bijlage 15: Control Objectives or Information Technology...............................79 Bijlage 16: IT Infrastructure Library .............................................................80 Bijlage 17: Standaard ISO/IEC 17799: 2005..................................................81 Bijlage 18: Model voor inrichting BCM bij Nederlandse banken ........................82 Bijlage 19: Vragenlijst Interviews.................................................................86
2006 Bernard Korver
5
Business Continuity Management
UVA AgBS
1. Inleiding 1.1 Context Het belang van een schokbestendige financiële infrastructuur is na de aanslagen op het WTC in New York op 11 september 2001 nogmaals benadrukt door de reactie van de financiële markten op de aanslagen van 7 juli 2005 in Londen. De effecten van de aanslagen op de betalings- en effecten afwikkelsystemen bleven beperkt omdat deze nauwelijks fysiek werden beschadigd en soepel kon worden overgestapt naar back-up locaties. Mede als gevolg van de aanhoudende terroristische dreiging staat ook in Nederland de continuïteit van financiële infrastructuur hoog op de agenda van banken en toezichthouders (DNB 2005-2). 1.1.1 Toename attentie voor continuïteit Ondanks dat de meeste risico’s niet nieuw zijn, is een stijging in bewustzijn voor continuïteit gerelateerde zaken waar te nemen. De toenemende druk op organisaties om continuïteit te waarborgen over hun dienstverlening beinvloedt de toename in bewustzijn. De toegenomen druk wordt o.a. uitgeoefend door klanteisen, media-aandacht m.b.t. (potentiële) calamiteiten en toezichthoudende instanties. Naast toename in behoefte van continuïteit, wordt continuïteit ook moeilijker om te waarborgen. Onder andere door toegenomen ketenintegratie kunnen bedrijfsprocessen niet meer of moeilijker zelfstanding worden beoordeeld en beheerst. Afhankelijkheden van derden nemen toe en de discontinuïteit van een partij heeft gevolgen voor de gehele keten. Daarnaast zijn continuïteit bedreigingen toegenomen door toenemende afhankelijkheid van complexe informatie (technologie) systemen zowel binnen als tussen organisaties en door outsourcing, off-shoring en centralisatie van activiteiten (Smit 2005). 1.1.2 Opkomst Business Continuity Management Gegeven de onderliggende factoren voor de toegenomen attentie voor continuïteit zijn methoden als Beveiliging en Disaster Recovery niet meer toereikend om de toegenomen behoefte te bevredigen. Dit heeft ermee te maken dat genoemde methoden zich meestal richten op de continuïteit van een (enkele) faciliteit, vaak IT. Om continuïteit van een organisatie te waarborgen is meer nodig dan een methode gericht op een enkele faciliteit. Om de continuïteit te waarborgen van de gehele organisatie zijn maatregelen vereist die gericht zijn op de bedrijfsprocessen die het voortbestaan van de organisatie als geheel waarborgen of in belangrijke mate het bereiken van doelstellingen positief beïnvloed, zogenaamde kritische bedrijfsprocessen. Een aanpak gericht op de continuïteit van kritische bedrijfsprocessen wordt genoemd Business Continuity Management of kortweg BCM (Smit 2005).
2006 Bernard Korver
6
Business Continuity Management
UVA AgBS
1.2 Probleemstelling Financiële dienstverleners in het algemeen en banken in het bijzonder staan in meer dan gemiddelde mate onder toezicht. Dit kan worden verklaard door de plaats die banken innemen in het (internationaal) maatschappelijk verkeer. Toezicht op de Nederlandse bankinstellingen wordt uitgeoefend door De Nederlandse Bank (DNB). Vertrouwen, transparantie, stabiliteit en continuïteit zijn belangrijke uitgangspunten in het toezicht uitgeoefend door de DNB. Een belangrijk onderdeel van het uitgeoefende toezicht spitst zich op risicomanagement waarvan BCM onderdeel is. Nationale regelgeving wordt uitgevaardigd door de DNB, overigens vaak afgeleid van Europese of supranationale regelgeving (Basel Committee van de Bank for International Settlements). In dit kader zijn bijvoorbeeld van belang de Regeling Organisatie en Beheer (ROB) (DNB, 2004-1), het BCP Toetsingskader (DNB, 2004-2) en de ‘High Level Principles for Business Continuity’ (Basel Committee, 2005). De verwachting is daarom dat er een verband bestaat tussen specifieke wet- en regelgeving en de inrichting van BCM bij banken. Zodoende kom ik tot de volgende probleemstelling: Welke eisen stellen wetgever en toezichthouders aan BCM binnen banken en op welke wijze hebben banken hier invulling aan gegeven?
De volgende onderzoeksvragen worden uit de probleemstelling afgeleid: 1. Wat wordt onder BCM verstaan? 2. Waardoor worden Nederlandse banken gekenschetst? 3. Aan welke specifieke wet- en regelgeving moeten banken in Nederland voldoen? 4. Welke andere elementen zijn bepalend voor de inrichting van BCM bij banken? 5. Zijn er leemtes te onderkennen in de inrichting van BCM bij banken?
Onderzoeksvraag 1 wordt beantwoord door vanuit de literatuur een vergelijking te maken tussen definities voor de inrichting van BCM. Eventueel wordt een eigen model neergezet op basis van onderdelen van modellen die in de literatuur zijn gevonden. Middels literatuuronderzoek worden antwoorden gezocht voor onderzoeksvragen 2, 3 en 4. Doel is daarbij op hoger niveau geldende kenmerken, wet- en regelgeving en overige kenmerken te onderscheiden die van belang zijn voor de inrichting van BCM.
2006 Bernard Korver
7
Business Continuity Management
UVA AgBS
De uit de literatuur verkregen antwoorden op onderzoeksvragen 3 en 4 worden vervolgens in de praktijk getoetst met behulp van kwalitatieve interviews. Ten slotte zal onderzoeksvraag 5 worden beantwoord door de uitkomsten van de kwalitatieve interviews bij Nederlandse banken te analyseren, categoriseren en te vergelijken met de in de literatuur gevonden antwoorden. 1.4 Beperkingen van het onderzoek Uit de probleemstelling en de onderzoeksvragen is de volgende beperking af te leiden: Het onderzoek richt zich enkel op banken in Nederland. Het verkregen inzicht door dit onderzoek kan daarom niet generiek worden opgevat voor alle sectoren in Nederland. Verder betreft het praktijkonderzoek slechts een deelwaarneming en geen statistisch onderbouwd onderzoek. Hierdoor mogen de conclusies uit dit onderzoek niet zonder meer als representatief voor de gehele sector worden geïnterpreteerd. 1.5 Structuur van het rapport Hoofdstuk 2: Business Continuity Management. Het concept BCM wordt toegelicht aan de hand van definities, de noodzaak voor BCM en afbakening van BCM binnen het kader van dit onderzoek. Hoofdstuk 3: BCM binnen banken in Nederland In het derde hoofdstuk wordt een marktschets van het Nederlandse bankwezen gegeven. Specifiek onder de aandacht komen een aantal BCM ontwikkelingen op het vlak van betalings- en effectenverkeer. Hoofdstuk 4: BCM wet- en regelgeving Doel van dit hoofdstuk is om weer te geven welke wet- en regelgeving van toepassing is op Nederlandse banken in het kader van BCM. Dit zal worden gedaan vanuit een Nederlandse visie als vanuit een buitenlandse visie. Buitenlandse wet- en regelgeving is immers van belang voor internationaal werkzame banken. Hoofdstuk 5: Hypothesen Na een beoordeling en analyse van de conclusies uit hoofdstukken 2, 3 en 4, worden een of meer in de praktijk toetsbare hypothesen gepresenteerd over de inrichting van BCM bij banken in Nederland. Hoofdstuk 6: Praktijk toetsing Doel van dit hoofdstuk is te beschrijven hoe de in hoofdstuk 5 afgeleide hypothesen aan de praktijk worden getoetst. Aan bod komt de opzet van de
2006 Bernard Korver
8
Business Continuity Management
kwalitatieve interviews en de uiteindelijke vragenlijst. Ook onderbouwing gegeven voor de selectie van Nederlandse banken.
UVA AgBS
wordt
een
Hoofdstuk 7: Uitkomsten toetsing aan de praktijk In dit hoofdstuk wordt het antwoord gepresenteerd op de vraag of de hypothesen gehandhaafd mogen worden of niet. Ook passeren gevonden leemtes de revue met betrekking tot de inrichting van BCM bij Nederlandse banken. Hoofdstuk 8: Conclusie In het laatste hoofdstuk wordt de hoofdconclusie van het onderzoek gepresenteerd. Daarnaast komen opties aan bod voor vervolgonderzoek.
2006 Bernard Korver
9
Business Continuity Management
UVA AgBS
2. Business Continuity Management 2.1 Introductie In dit hoofdstuk wordt het concept van Business Continuity Management (BCM) geïntroduceerd. Eerst komen een aantal definities aan de orde gevolgd door een afgrenzing die in de literatuur gevonden is in relatie tot aanverwante onderwerpen. Vervolgens wordt aangegeven waarom BCM volgens de literatuur aan belang gewonnen zou hebben. Afgesloten volgt een conclusie waaruit in hoofdstuk 5 hypotheses worden afgeleid. 2.2 Definitie BCM Voor een juiste afbakening van deze scriptie is een heldere, werkbare definitie vereist. Eerst wordt een aantal gevonden definities voor BCM opgesomd. Daaruit wordt een definitie gekozen als leidraad voor het onderzoek. De Office of Government Commerce (OGC, 2005) stelt: ”BCM is een iteratief proces van risico beoordeling en risico management met als doel continuïteit te waarborgen indien zich een risico voordoet. Deze risico’s kunnen zowel van binnen als van buiten de organisatie komen en zijn vooral bedreigend voor de lange termijn continuïteit van een organisatie”. Het Business Continuity Institute (BCI, 2006) hanteert de volgende definitie: “BCM is een holistisch proces om bedreigingen met een negatieve impact te identificeren en biedt daarbij een model aan om veerkrachtig te worden en effectieve maatregelen in te zetten ter bewaking van de belangen van stakeholders, reputatie, merk en waardegenererende activiteiten”. Spring Singapore (2005) gebruikt de volgende definitie: “BCM is een holistisch proces van het identificeren van potentiële calamiteiten die de organisatie bedreigen en het ontwikkelen van plannen als reactie op een calamiteit. BCM dekt een breed scala aan business en management disciplines zoals risk management, Disaster Recovery en crisis management”. De Nederlandse Bank (DNB 2004-2): Met BCM wordt de uitvoering van het aansturen en beheer van continuïteitsmaatregelen aangeven, terwijl onder BCP de planvorming rond de continuïteitsmaatregelen wordt bedoeld. BCM en BCP zijn beide gericht op het zo vlug mogelijk weer operationeel zijn van essentiële bedrijfssystemen en processen bij een ramp. Dit kan gebeuren door bijvoorbeeld uit te wijken naar een back-up site. In de literatuur worden de begrippen BCM en BCP nog wel eens door elkaar gebruikt. De Bank for International Settlements (Basel Committee 2005): BCM is een bedrijfsbrede aanpak welke beleid, standaarden en procedures omvat, gericht op het waarborgen dat aangewezen operaties binnen een bepaald tijdsbestek
2006 Bernard Korver
10
Business Continuity Management
UVA AgBS
behouden of heropgestart kunnen worden wanneer zich een calamiteit voordoet. Doelstelling daarbij is om operationele, financiële, juridische, reputatie en andere materiële schade tot een minimum te beperken. Ondanks dat er geen uniforme geldende definitie bestaat voor BCM, kunnen wel de volgende overeenkomsten en verschillen worden geïdentificeerd: Overeenkomsten: § BCM richt zicht op een bepaald minimaal niveau voor continueren van bedrijfsprocessen op lange termijn. § BCM maatregelen zouden zich moeten richten op de kritische bedrijfsprocessen. § Aangezien BCM zowel het voorkomen als beperken van (gevolg)schade van calamiteiten omvat, hebben BCM maatregelen een preventief, correctief en repressief karakter. § BCM is een management proces en geen eenmalig project. Verschillen: § Niet alle definities spreken over de kritische processen waarvoor in eerste instantie continuïteitsmaatregelen moeten worden getroffen. Wel kennen enkele definities indirecte aanwijzingen: lange termijn continuïteit, effectieve inzet maatregelen, schade tot een minimum beperken. § Gehanteerde doelstellingen lopen uiteen van lange termijn continuïteit van een organisatie tot het bewaken van belangen van stakeholders. § Gehanteerde risicoclassificaties verschillen van intern/extern, via calamiteiten tot operationele/financiële/reputatie en andere materiële schade. Aangezien de definitie van de Bank for International Settlements het meest overeenkomt met bovengenoemde overeenkomsten en redelijk tegemoet komst aan de opgesomde verschillen, wordt in het vervolg van het onderzoek de volgende definitie voor BCM gebruikt: Business Continuity Management is een bedrijfsbrede aanpak welke beleid, standaarden en procedures omvat, gericht op het waarborgen dat aangewezen operaties binnen een bepaald tijdsbestek behouden of heropgestart kunnen worden wanneer zich een calamiteit voordoet. Doelstelling daarbij is om operationele, financiële, juridische, reputatie en andere materiële schade tot een minimum te beperken. Naast BCM worden er in dit onderzoek nog meer BCM gerelateerde begrippen en jargon gehanteerd die niet voor iedere lezer hetzelfde betekenen dan wel (deels) onbekend zijn. Om de leesbaarheid van dit onderzoeksrapport te vergroten is in Bijlage 1 een korte begrippenlijst opgenomen.
2006 Bernard Korver
11
Business Continuity Management
UVA AgBS
2.3 Afbakening BCM Om duidelijk te maken wat BCM zoal omvat, wordt een nadere afbakening geven. Een juiste afbakening maakt het mogelijk om te bepalen welke aspecten wel of niet tot BCM behoren. Daarnaast biedt het de mogelijkheid om te bepalen hoe BCM relateert aan andere concepten als Disaster Recovery, Contingency Planning en (informatie)beveiliging. Al eerder al bij het vaststellen van een BCM definitie (paragraaf 2.2) kwam aan bod dat BCM gaat over processen, risico’s en maatregelen. Bij onderstaande afbakening van BCM wordt hierop verder ingaan. 2.3.1 Processen: focus op de kritieke bedrijfsprocessen BCM richt zich op het waarborgen van de continuïteit van een organisatie. Echter, niet elk proces brengt materiele schade voor een organisatie met zich mee als de continuïteit ervan in het gedrang komt. Daarom concentreert BCM zich op de kritieke bedrijfsprocessen, die zowel kern bedrijfsprocessen als kritieke ondersteunende processen kunnen betreffen. De continuïteit van nietkritieke processen moet uiteindelijk ook worden gewaarborgd, maar met minder prioriteit en snelheid. Het waarborgen van continuïteit van niet-kritieke processen valt buiten BCM. Een volledig BCM proces vereist van een organisatie de identificatie van haar kritieke processen en alle bedrijfsmiddelen waarvan deze processen afhankelijk zijn. Bedrijfsmiddelen zijn veelal te categoriseren in IT, HR en gebouwen. Daarom moeten alle BCM maatregelen worden afgeleid van de kritieke bedrijfsprocessen (Smit 2005). 2.3.2 Risico's: slechts die een plotselinge en ernstige verstoring kunnen veroorzaken Alleen risico’s die een plotselinge en ernstige verstoring van processen veroorzaken, worden beschouwd binnen BCM. Overigens kan het risico zelf divers van aard zijn, van natuurramp tot de factor mens (terrorisme) en van IT tot wanprestatie van leveranciers. De risico's die niet aan bovenstaande omschrijving voldoen vallen buiten BCM. Anders geformuleerd: risico's die niet plotseling of ernstig genoeg zijn, vallen buiten BCM. Zo zijn lange termijn risico’s niet plotseling en vallen daarom buiten BCM. Hoewel een dergelijk risico een grote invloed kan hebben, heeft het management de tijd om het risico te identificeren, te evalueren en maatregelen te treffen. Een voorbeeld van een lange(ere) termijn risico zijn de bedreigingen die concur renten met zich meebrengen. Ook risico's die niet ernstig genoeg zijn om de continuïteit van een organisatie in gevaar te brengen, behoren niet tot BCM. Deze risico’s verdienen ook de attentie van management, maar op een ander niveau inde organisatie. De minder ernstige bedreigingen moeten ergens anders binnen de organisatie worden behandeld indien nodig (Smit 2005). 2006 Bernard Korver
12
Business Continuity Management
UVA AgBS
Hoofdstuk 4 zal nader ingaan op eisen van wet- en regelgevers met betrekking tot risicomanagement. 2.3.3 Maatregelen voor continuïteit BCM betreft zowel het voorkomen calamiteiten en procesverstoringen als het beperken van de schade van een calamiteit of procesverstoring, die ondanks de preventieve maatregelen kunnen plaatsvinden. BCM maatregelen zijn in te delen in 5 categorieën: 1. Preventieve maatregelen: kunnen het risico wegnemen of verminderen de kans; 2. Repressieve maatregelen: kunnen de schade beperken als het risico zich voordoet; 3. Correctieve maatregelen: kunnen de schade herstellen als een risico zich voordoet. Grafisch, kan het verschil tussen de diverse maatregelen hieronder worden getoond:
Bedreiging
Calamiteit
Preventie f
Repressief
Totale
Bedrijfs-
schade
schade
Correctief
Bron: Smit 2005
Naast bovengenoemde concrete maatregelen hebben organisaties in theorie nog drie andere keuzes in hoe zij met BCM risico’s wensen om te gaan: 1. Risico’s accepteren. Echter, klanten, wet- en regelgevers en ketenpartners kunnen deze benadering verhinderen; 2. Risico’s overdragen. Bijvoorbeeld door processen te outsourcen of risico’s te verzekeren. Echter, de meeste verzekeringsmaatschappijen dekken geen BCM risico’s zoals terrorisme, fraude en natuurrampen (uitzondering: Lloyds en overstromingsschadeverzekering); 3. Risico’s vermijden, bijvoorbeeld door het herontwerpen van processen. Dit betekent dat een organisatie in theorie zes keuzes heeft om eenmaal geïdentificeerde BCM risico's te mitigeren. De verschillende opties sluiten elkaar niet uit, zij kunnen elkaar ook aanvullen. 2.4 Aanverwante concepten Nu BCM afgebakend is, is gemakkelijk te zien hoe BCM in verhouding staat met andere concepten die vaak in verband worden gebracht of zelfs verward met 2006 Bernard Korver
13
Business Continuity Management
UVA AgBS
BCM. De volgende concepten zullen kort de revue passeren: Disaster Recovery, Contingency Planning en (informatie)beveiliging.
2.4.1 BCM, Disaster Recovery en Contingency Planning Onderstaand figuur visualiseert de verschillen tussen de concepten BCM, Disaster Recovery en Contingency Planning.
Processen
Business Continuity Management
Focus Contingency Planning Disaster Recovery IT Correctief & repressief
Preventief
Maatregel Figuur 1: BCM versus DR en CP (HIPAA, 2005)
Een eerste poging om continuïteit te managen was het concept Disaster Recovery (DR). DR, zoals origineel bedacht, kan worden gedefinieerd als: “Het proces waarmee een organisatie verloren data kan herstellen na een calamiteit als brand, vandalisme, natuurramp of falend sys teem.” (Hipaa Basics, 2005). DR concentreerde zich vooral op de continuïteit van IT faciliteiten. DR was een toevoeging op al bestaande preventieve IT beveiligingsmaatregelen. DR gaat vooral in op back-up systemen die gebruikt kunnen worden in het geval va n systeemuitval (correctieve maatregel). Door het relatief beperkte aandachtsgebied van DR, welke onvoldoende is voor de continuïteit van een organisatie, is het concept Contingency Planning (CP) opgekomen. CP is gericht op een breder aandachtsgebied dan enkel IT en voorziet bijvoorbeeld in actieplannen voor wanneer zich een calamiteit voordoet (preventieve maatregel) (Smit 2005).
2006 Bernard Korver
14
Business Continuity Management
UVA AgBS
2.4.2 BCM en Informatiebeveiliging Informatiebeveiliging en BCM hebben gedeeltelijk een gezamenlijk aandachtsgebied. Sommige BCM maatregelen behoren namelijk tot het concept informatiebeveiliging, maar niet alle informatiebeveiligingsmaatregelen behoren tot BCM. Informatie beveiliging waarborgt de beschikbaarheid, integriteit en betrouwbaarheid van informatie. De meeste informatiebeveiligingsmaatregelen zijn preventief van karakter. BCM maatregelen richten zich ook op correctieve en repressieve maatregelen1. Preventieve BCM maatregelen kunnen aan IT gerelateerd zijn maar ook aan kantoorpanden (fysieke beveiliging) of aan werknemers. Omgekeerd zijn niet alle informatiebeveiligingsmaatregelen gericht op enkel de continuïteit van kritische processen. Informatiebeveiliging richt zich op meer dan alleen de IT gerelateerde preventieve maatregelen die onderdeel uitmaken van BCM. De integriteit van bijvoorbeeld de personeelsadministratie is niet direct noodzakelijk kritisch voor de continuïteit van een organisatie. Op deze wijze valt de personeelsadministratie buiten het aandachtsgebied van BCM (Smit 2005). Onderstaand figuur visualiseert het overlappende aandachtsgebied van de concepten BCM en informatiebeveiliging.
BCM
Alle functies
IT
Overlap
IT Security
Kritische processen
Alle processen Figuur 2: BCM versus IT Security (Knegtel, 2006)
1
Zoals besproken in paragraaf 2.3.3 zijn in theorie nog drie typen maatregelen beschikbaar: risico acceptatie, risico overdracht en risico vermijding. 2006 Bernard Korver
15
Business Continuity Management
UVA AgBS
2.4 Behoefte aan BCM Als begrip en methode kwam BCM naar voren in de jaren '90 maar heeft pas het laatste decennium echt aan bekendheid gewonnen. De reden hiervoor is tweeledig. Enerzijds wordt op organisaties in toenemende mate druk uitgeoefend om continuïteit van hun bedrijfsprocessen te waarborgen. Dit wordt hoofdzakelijk veroorzaakt door twee ontwikkelingen, namelijk door 1) de toenemende concurrentie en hogere eisen van klanten en 2) toegenomen vereisten regelgevende instanties (Deloitte & Touche en CPM, 2006). Anderzijds wordt het waarborgen van de continuïteit van bedrijfsprocessen meer complex. Drie ontwikkelingen die dit hebben veroorzaakt kunnen worden geïdentificeerd, namelijk 1) toename bedreigingen, 2) toegenomen ketenintegratie en 3) de afhankelijkheid van complexe informatie systemen neemt toe (Knegtel, 2006). Naast de vijf hierboven vermelde ontwikkelingen, is er nog een ander element dat de komst van BCM heeft beïnvloed. Hoewel de komst van procesgeoriënteerde managementconcepten niet in directe zin de komst van BCM veroorzaakte, veroorzaakte het wel een verschuiving in organisatorisch denken welke de procesoriëntatie van BCM toeliet (Knegtel, 2006). Hieronder volgt enkele korte toelichtingen op alle zes ontwikkelingen. 2.5.1 Toenemende concurrentie en hogere eisen van de klanten Toenemende concurrentie en de hogere eisen van klanten, zoals de verwachting van 24*7 beschikbaarheid van (digitale) diensten, maken het voor organisaties noodzakelijk om extra aandacht aan hun continuïteitsmaatregelen te besteden. Verstoringen in (dienstverlenende) processen kunnen gevolgen hebben, zoals financieel verlies en reputatieschade, voor de betrokken organisatie. Daarnaast zijn het de klanten die steeds vaker eisen stellen met betrekking tot de continuïteit van de dienstverlening van hun leveranciers door bijvoorbeeld een SAS702 verklaring te vragen. Aangezien de waardecreatie van BCM maatregelen niet altijd gemakkelijk is aan te tonen, zijn vooral de sterker geworden klanteisen (24*7 beschikbaarheid en de SAS70 verklaring) sterke bedrijfseconomische drijfveren voor het investeren in BCM maatregelen.
2
Bij outsourcing van (delen) van processen wordt vaak een Statement on Auditing Standards no.70 (SAS 70) in het contract overeengekomen. De SAS 70 is een standaard uitgegeven door de AICPA (American Institute of Certified Public Accountants) en gaat o.a. in op de beheersmaatregelen ten aanzien van continuïteit van de dienstverlening. 2006 Bernard Korver
16
Business Continuity Management
UVA AgBS
2.5.2 Toegenomen vereisten regelgevende instanties Niet alleen ondernemingen zelf en hun klanten erkennen de behoefte aan waarborging van continuïteit. De toename in wetten en regels die continuïteit van dienstverleningen en processen aangaan, kan als een andere belangrijke drijfveer worden gezien voor de (toegenomen) aandacht voor BCM. Regelgevende instanties dwingen organisaties om meer aandacht aan de continuïteit van hun (bedrijfs)processen te besteden. Voor de (internationale) financiële sector is een breed scala aan wet- en regelgeving uitgevaardigd. Te denken valt bijvoorbeeld aan het Toetsingskader BCP (DNB 2004-2), Regeling Organisatie en Beheer (DNB 2004-1), de Sarbanes-Oxley Act (SOXA) en de High Level Principles for Business Continuity (Basel Committee 2005). De toegenomen vereisten van wet- en regelgevers pleit ervoor dat organisaties beschikken over een centrale BCM afdeling ten behoeve van een efficiënte aansturing van het BCM proces en het behoud van overzicht over huidige en toekomstige wet- en regelgeving. In hoofdstuk 4 wordt uitgebreid aandacht besteed aan nationale en internationale BCM wet- en regelgeving. 2.5.3 Bedreigingen toegenomen Bedreigingen nemen toe die de continuïteit van organisaties aangaan. (Dreigingen van) terrorisme, natuurrampen en (boekhoud)fraude zijn de laatste jaren gestegen. Naast een toename in het aantal bedreigingen, is er ook een toename in de aandacht voor de dreigingen waar te nemen in diverse media. De extra aandacht werkt vervolgens versterkend op het bewustzijn van organisaties om een vorm van BCM op te tuigen, aan te houden of uit te breiden. 2.5.4 Toenemende ketenintegratie Organisaties kiezen ervoor om zich meer en meer op hun kernactiviteiten te concentreren. Niet kernactiviteiten worden geoutsourced aan partners of partijen waartoe de activiteit wel tot hun kernactiviteit of specialisme behoort. Dit is toe te schrijven aan de toenemende concurrentie, dat tot een behoefte aan kostenefficiency leidt. Door outsourcing en procesintegratie tussen ketenpartners neemt ketenintegratie toe tussen de aanbodzijde en de vraagzijde van organisaties. Een gevolg hiervan is dat er hogere eisen worden gesteld aan levertijden, kwaliteit en prijs en worden ketenpartners gedwongen meer samen te werken. Door de toegenomen ketenintegratie worden de gevolgen van discontinuïteit ook groter. Het effect van discontinuïteit is niet beperkt tot één partij maar kan gevolgen hebben voor de volledige keten. Deze ketenafhankelijkheid moet in acht worden genomen bij BCM. Zo kunnen organisaties met betrekking tot hun afhankelijkheid van derden BCM maatregelen treffen zoals: § het overeenkomen van een SAS70 verklaring; 2006 Bernard Korver
17
Business Continuity Management
§ § §
UVA AgBS
het outsourcen van processen aan twee of meer partijen (load balancing); het aandringen op internationale wet- en regelgeving en aandringen op samenwerking met internationale toezichthouders; en het vragen om kwaliteitskeurmerken van (inter)nationale norminstituten (e.g. ISO, BSI, NEN) 3 aan dienstverleners.
2.5.5 Afhankelijkheid van complexe informatie systemen neemt toe Organisaties zijn steeds meer afhankelijker geworden van hun informatiesystemen en onderliggende infrastructuren. Daarbij zijn operationele en administratieve processen bij financiële instellingen in sterke mate geautomatiseerd (Starreveld et al, 2002) ten behoeve van massale gegevensverwerking. Daarom geldt de toegenomen afhankelijkheid van complexe informatiesystemen des te meer voor financiële instellingen. Deze toegenomen afhankelijkheid maakt organisaties kwetsbaarder voor (dreigende) storingen in informatie systemen en IT. Een duidelijk voorbeeld was de Y2K bedreiging of het millenniumprobleem welke bij organisaties voor grote commotie zorgde en gevolgd werd door een toename van BCM maatregelen. 2.5.6 Opkomst proces gerichte managementconcepten Managementconcepten als Business Process Redesign en Total Quality Management hebben geleid tot een verschuiving in organisatorisch denken. Organisaties realiseerden zich dat waardecreatie wordt gecreëerd door middel van een geheel proces en niet alleen door stand-alone bedrijfsfuncties. De verandering in organisatorisch denken heeft zich ook gemanifesteerd bij (voorlopers van) BCM. Eerst richtten organisaties zich op individuele bedrijfsfuncties als fysieke beveiliging, Disaster Recovery en informatiebeveiliging (Smit 2005). Met BCM wordt gekozen voor een procesgeoriënteerde benadering die aandacht heeft voor de kritiek processen (paragraaf 2.3.1). Met een procesgerichte benadering i.p.v. een focus op bedrijfsfuncties wordt ondervangen dat ondersteunende functies op voorhand buiten een risico inventarisatie vallen. Dit terwijl deze ondersteunende functies van vitaal belang kunnen zijn voor de werking van een kern bedrijfsproces. Men kan hierbij denken aan de backoffice van een dealing room. Hoe goed de back-up ook geregeld is van alle dealing desks met hun handelssystemen en settlementsystemen, zonder continuïteitsmaatregelen voor de backoffice kunnen orders niet of niet tijdig vastgelegd en afgehandeld worden. De niet tijdige afwikkeling leidt in de effectenhandel snel tot reputatieschade en verlies van marktvertrouwen. Ook directe financiële schade – het niet tijdig kunnen afdekken van risicovolle posities – kan het gevolg zijn.
3
ISO = International Organization for Standardization, BSI = British Standards Institution en NEN = Nederlands Normalisatie-instituut. 2006 Bernard Korver
18
Business Continuity Management
UVA AgBS
2.5 Conclusie In dit hoofdstuk is het begrip BCM geïntroduceerd. Gevonden is dat BCM een relatief nieuw concept is en voorafgegaan is door andere concepten zoals Disaster Recovery en Contingency Planning gericht op het waarborgen van continuïteit van een organisatie. BCM onderscheidt zich van deze andere concepten vooral door zich te richten op de kritieke processen in plaats van functies (bijvoorbeeld IT). Ook onderscheidend is dat BCM zowel preventieve, correctieve en repressieve maatregelen betreft, wat bij andere concepten niet of in mindere mate het geval is. Uit in de literatuur gevonden en door toonaangevende instanties gegeven definities van BCM is de volgende definitie gekozen: “Business Continuity Management is een bedrijfsbrede aanpak welke beleid, standaarden en procedures omvat, gericht op het waarborgen dat aangewezen operaties binnen een bepaald tijdsbestek behouden of heropgestart kunnen worden wanneer zich een calamiteit voordoet. Doelstelling daarbij is om operationele, financiële, juridische, reputatie en andere materiële schade tot een minimum te beperken.” De conclusie wordt getrokken dat organisaties in het algemeen en financiële instellingen in het bijzonder, met name het laatste decennium, meer aandacht hebben gekregen voor BCM. De toegenomen aandacht voor BCM wordt veroorzaakt door enerzijds de toenemende druk van buitenaf om continuïteit te waarborgen en anderzijds door de toegenomen complexiteit om continuïteitsmaatregelen te treffen. Ook de verschuiving in organisatorisch denken van managen van stand-alone bedrijfsfuncties naar het managen van het hele proces, is van belang geweest voor de opkomst van BCM. Met bovenstaande conclusie over het begrip BCM, een BCM definitie en ontwikkelingen binnen BCM is onderzoeksvraag 1 Wat wordt onder BCM verstaan? in voldoende mate beantwoord.
2006 Bernard Korver
19
Business Continuity Management
UVA AgBS
3. BCM binnen banken in Nederland 3.1 Introductie In het vorige hoofdstuk is het begrip Business Continuity Management uitgelegd en is het belang voor financiële instellingen al kort aangestipt. In dit derde hoofdstuk zal het belang van BCM voor financiële instellingen in het algemeen en banken in het bijzonder verder toegelicht worden. Eerst volgt een algemene marktschets van banken in Nederland. Vervolgens wordt specifiek aandacht gegeven aan BCM in het betalings- en effectenverkeer. Ook komen een aantal recente ontwikkelingen en BCM initiatieven in het betalings- en effectenverkeer aan bod. Afsluitend volgt een conclusie waaruit in hoofdstuk 5 hypotheses kunnen worden afgeleid. 3.2 Marktschets In Nederland staan 781 banken ingeschreven bij de DNB. Daarvan houdt de DNB toezicht op 95 algemene banken, 16 specifieke banken als spaar- en hypotheekbanken, 6 niet-EU bijkantoren en 5 overige financiële instellingen (DNB 2005-1)4. Algemene banken worden ingedeeld naar het Spaarbedrijf, Kredietbedrijf, Effectenbedrijf en Betalingsverkeer (NIBE 2005). Vooral de laatste twee categorieën zijn voor BCM van belang. Een verstoring van het spaar- en kredietproces leidt namelijk minder snel tot een continuïteitsrisico dan een verstoring in het effecten- of betalingsproces. Enerzijds is bij de laatste twee categorieën veel minder sprake van ketenafhankelijkheid (syndicaatleningen uitgesloten). Anderzijds is het aantal transacties en het volume (vooral in het effectenverkeer) groter waardoor de impact van een verstoring in potentie groter is dan een verstoring in het spaar- en kredietproces. Onder de 95 algemene banken zijn 10 banken die behoren tot de kerninfrastructuur 5 van het betalings- en effectenverkeer (DNB 2004-2). Tot deze top 10 banken worden gerekend: ABN Amro, Rabobank, ING Bank, Fortis Bank, SNS Bank, F. van Lanschot Bankiers, Bank Nederlandse Gemeenten, Friesland Bank, Kas Bank en NIBCapital. Het is vooral het interbancaire betalings- en effectenverkeer waarvoor de financiële sector relatief veel aandacht heeft voor continuïteit van hun bedrijfsvoering. Deze aandacht is enerzijds te verklaren door de aloude bewaarfunctie van banken waarvoor vertrouwen nodig is. Daarom hechten banken en toezichthouders veel waarde aan het reputatierisico. De reputatie van banken wordt bijvoorbeeld negatief beïnvloed indien zich een 4
Verschil met het aantal banken onder toezicht bij de DNB wordt veroorzaakt door de Rabobank (258 lokale banken ingeschreven maar centraal onder toezicht) en 401 EU-kredietinstellingen vallen onder het toezicht van hun thuisstaat. 5 Onder de kerninfrastructuur van het betalings- en effectenverkeer in Nederland worden verstaan de systemen van de 10 banken die hiervoor het meest van belang zijn, Interpay, Euronext, Clearnet en Euroclear Netherlands, evenals DNB. 2006 Bernard Korver
20
Business Continuity Management
UVA AgBS
calamiteit voordoet waardoor klanten (tijdelijk) niet over hun geld kunnen beschikken. Anderzijds is de aandacht voor continuïteit te verklaren door het toegenomen systeemrisico. In dit kader wordt met systeemrisico bedoeld het risico op het niet na kunnen komen van afspraken tussen banken onderling met betrekking tot de verevening van vooral hoogwaardige en tijdskritische betalingen6 welke door een domino-effect leiden tot een ernstige verstoring in de wereldwijde economie. Toegenomen aandacht voor het systeemrisico wordt vooral veroorzaakt door recente aanslagen in Londen (7 juli 2005) en aanhoudende terroristische dreiging. Het toegenomen besef van de kwetsbaarheid van vitale sectoren7 van de samenleving heeft ertoe geleid dat er ook meer aandacht van de overheid is gekomen voor de continuïteit en veiligheid van het betalings- en effectenverkeer. Het betalings- en effectenverkeer is immers de olie van de economie zodat bij (langdurige) uitval ervan, de economie ernstig verstoord wordt en de financiële stabiliteit van Nederland gevaar loopt (MBK 2005-1). Voor een overzicht van betalings- en effecten afwikkelingssystemen in Nederland wordt verwezen naar Bijlage 3. 3.2.1 De financiële kerninfrastructuur Zoals in de vorige paragraaf aangehaald bestaat de kerninfrastructuur in Nederland uit 10 banken, vier verwerkingsinstellingen en de DNB. Gezien mijn centrale onderzoeksvraag - Welke eisen stellen wetgever en toezichthouders aan BCM binnen banken en op welke wijze hebben banken hier invulling aan gegeven? – worden de vier verwerkinginstellingen niet verder behandeld. De toezichthoudende functie van de DNB wordt beschreven in het volgende hoofdstuk (4) dat nationale en buitenlandse wet- en regelgeving behandeld welke van belang is voor BCM. In het vervolg van dit onderzoek worden de 10 banken betrokken die in de optiek van de DNB behoren tot de financiële kerninfrastructuur. Overigens vallen onder de resterende 85 banken 39 dochters en deelnemingen van de top 10 banken, waardoor een focus op de top 10 indirect een focus op 49 banken betreft (46 % van het aantal algemene banken in Nederland). Juist voor deze kerninfrastructuur heeft de DNB specifiek wet- en regelgeving opgesteld (zie verder hoofdstuk 4) wat onderwerp van dit onderzoek is. 6
Onder hoogwaardige en tijdskritische betalingen wordt volgens de DNB verstaan het wholesale betalingsverkeer en het effectenverkeer. 7 Onder vitale sectoren wordt verstaan de 12 sectoren zoals in 2002 gedefinieerd door de overheid. De 12 sectoren, waaronder de financiële sector, maken deel uit van het Alerteringssysteem Terrorismebestrijding (AT). Het AT is een van de maatregelen van de overheid geweest ter bestrijding van terrorisme. 2006 Bernard Korver
21
Business Continuity Management
UVA AgBS
De 10 banken die behoren tot de financiële kerninfrastructuur in Nederland verschillen van elkaar in meerdere opzichten. Met betrekking tot BCM is het relevant om de 10 banken te vergelijken op een viertal aspecten die bepalend kunnen zijn voor de inrichting van BCM bij elke individuele bank. Internationale werkzaamheid Voor BCM is internationale werkzaamheid van belang vanuit een aantal invalshoeken. Complexiteit van BCM is namelijk positief gecorreleerd met het aantal landen waarin een bank werkzaam is. De complexiteit omvat bijvoorbeeld lokale betalings- en effectenverkeer afwikkelingssystemen, lokale kwaliteit van de water- en energie-infrastructuur, tijdsverschillen tussen landen, cultuurverschillen met betrekking tot risicoacceptatie maar ook BCM maatregelen getroffen door overheden, landspecifieke wet- en regelgeving in het kader van BCM en geografische ligging. Met het laatste deelaspect wordt bijvoorbeeld bedoeld het risico op wervelstormen omdat een datacenter in een wervelstorm actief gebied gelegen is. Bedrijfsactiviteiten Ook de soort activiteit die een bank uitoefent, is van belang voor BCM. Zoals in paragraaf 3.2 staat beschreven, worden algemene banken ingedeeld naar het Spaarbedrijf, Kredietbedrijf, Effectenbedrijf en Betalingsverkeer en zijn vooral de laatste twee categorieën van belang voor BCM. De 10 banken die behoren tot de financiële kerninfrastructuur oefenen een of meer van de vier hoofdbedrijven uit. De verwachting is dat banken die relatief actief zijn in het Effecten- en Betaalbedrijf meer BCM maatregelen treffen dan banken die relatief minder actief zijn in de twee bankbedrijven. Na een analyse van de jaarverslagen van de 10 banken moet worden vastgesteld dat omzet- en resultaatgegevens niet specifiek worden toegerekend aan een van de twee bankbedrijven. Daarom kan bovengenoemde verwachting niet objectief worden vastgesteld. In Bijlage 4 zijn van de 10 banken een aantal kerncijfers opgenomen waarmee bovengenoemde verwachting slechts indicatief beantwoord kan worden. BCM middelen Een ander aspect is het BCM budget of BCM middelen. Verwacht wordt dat de hoeveelheid aan ingezette BCM middelen mede afhangt van de grootte van de bank waarbij de grootte van de bank gemeten kan worden in balanstotaal en totaal aantal medewerkers (Deloitte & Touche en CPM, 2006). Onder BCM middelen vallen bijvoorbeeld BCM medewerkers, uitwijklocaties, back-up systemen en crisis command centers. Het aantal BCM medewerkers is hiervan de beste vergelijkingsmaatstaf. Verwacht wordt dat de andere elementen meer variëren naar gelang de aan- of afwezigheid van bankbedrijven (spaar-, krediet, betaal- of effectenbedrijf). Zie Bijlage 4 voor een overzicht van het balanstotaal en het aantal medewerkers van de 10 banken die behoren tot de financiële kerninfrastructuur in Nederland.
2006 Bernard Korver
22
Business Continuity Management
UVA AgBS
Calamiteit ervaring Het laatste aspect gaat over de mate van ervaring met calamiteiten. Gekoppeld aan het gezegde: “Pas als het kalf verdronken is, dempt men de put” is het te verwachten dat banken met meer calamiteitervaring ook meer bewust zijn van continuïteitrisico’s en vice versa. Meerjarige onderzoeken (Deloitte & Touche en CPM, 2006) wijzen telkens uit dat de mate van ervaring met calamiteiten een van de hoofdfactoren is voor het bewustzijn van continuïteitsrisico’s en voor de volwassenheid van BCM met betrekking tot de inrichting in de organisatie. 3.3 BCM ontwikkelingen in het betalings- en effectenverkeer In het landschap van BCM in Nederland maar ook internationaal is een aantal recente ontwikkelingen te bespeuren. Zo heeft de DNB als toezichthouder op banken in Nederland in 2005 een onderzoek uitgevoerd en heeft de overheid het project “Vitale infrastructuren” gestart. Daarnaast ontplooid de financiële sector ook zelf BCM initiatieven zoals het project van de Nederlandse Vereniging van Banken (NVB) om tot ‘best practises’ te komen voor interne accountantsdiensten van banken om BCM te auditen. Hieronder worden de vier BCM ontwikkelingen kort toegelicht. 3.3.1 Onderzoek DNB De DNB heeft in 2005 een inventariserend onderzoek uitgevoerd naar Business Continuity Planning en Crisis Management ten aanzien van de kerninfrastructuur van het betalings- en effectenverkeer. De bela ngrijkste conclusie hiervan is dat de financiële kerninfrastructuur als geheel in voldoende mate is beschermd, maar dat gelet op de huidige externe bedreigingen hier en daar verbeteringen mogelijk zijn. In een aantal gevallen wordt nog onvoldoende rekening gehouden met potentieel verlies van mensen, kennis en kunde. Ook dienen instellingen plannen te testen en actueel te houden (DNB 2005-1). Deze bevindingen heeft de DNB naar alle betrokken instellingen teruggekoppeld. In 2006 zal de DNB vervolggesprekken voeren om de voortgang in voorgestelde verbeterpunten te bewaken.
3.3.2 Regeringsproject Vitale infrastructuren Het kabinet heeft in september 2005 de eerste overkoepelende rapportage ‘Bescherming van de vitale sectoren van de Nederlandse economie en samenleving’ aan het parlement aangeboden. De financiële sector is een van de 12 vitale infrastructuren. In het rapport worden, naast de maatregelen van de afzonderlijke sectoren, een aantal sector overschreidende maatregelen voorgesteld om de bescherming tegen bijvoorbeeld terroristische bedreigingen verder te verbeteren. Voor de financiële infrastructuur zijn de volgende extra maatregelen te noemen (MBK 2005-2):
2006 Bernard Korver
23
Business Continuity Management
§ § §
UVA AgBS
Aansluiting op het Alerteringssyteem Terrorismebestrijding (AT). Het AT is een communicatiemiddel tussen bedrijfsleven en de overheid en vormt het coordinatiecentrum bij (een dreiging van) een clamiteit. De instelling van een escalatiecomissie voor het betalings- en effectenverkeer die in actie komt wanneer er in het betalings- en effectenverkeer ernstige problemen zijn. Een programma wordt opgesteld om scenario-analyses uit te voeren m.b.t. uitval van telecom en elektriciteit, twee calamiteiten tegelijk, een langdurige storing van het massa betalingsverkeer en internationale crisiscommunicatie.
3.3.3 Best practises voor interne accountantsdiensten De Nederlandse Vereniging van Banken (NVB) behartigt de gemeenschappelijke belangen van de Nederlandse banken. Een van haar doelstellingen is om eensgezind met gesprekspartners te communiceren. Een belangrijke gesprekspartner is de DNB als toezichthouder. Een van de subcommissies binnen de NVB is de commissie EDP auditing en bestaat uit een vertegenwoordiging van interne accountantsdiensten (internal auditors) van aangesloten banken. De commissie stelt onder andere handreikingen, checklists en referentiemodellen op voor algemeen management en interne accountantsdiensten. Zo heeft zij eerder handreikingen uitgevaardigd m.b.t. Outsourcing, Remote Access en SLA / SLM. De interne accountantsdiensten dienen de ha ndreiking te hanteren als een best practise om BCM te betrekken in hun onderzoeken. Daarmee bereikt de NVB haar doel om – specifiek met betrekking tot risicobeheersing - uniform en eensgezind te communiceren met toezichthouders. Begin 2006 is een project gestart om voor BCM een handreiking te gaan opstellen. Het project bevindt zich nog in een heel pril stadium en een voorlopige versie van de handreiking is nog niet gereed. Daarom kan de BCM handreiking pas later inhoudelijk worden bekeken. 3.4 Conclusie In dit hoofdstuk is eerst een marktschets van banken in Nederland gegeven. Uitgaande van begrippen en definities die de DNB hanteert, zijn de 10 banken die tot de financiële kerninfrastructuur behoren verder uitgelicht. Vier voor BCM relevante aspecten zijn gedefinieerd, te weten: ‘internationale werkzaamheid’, ‘bedrijfsactiviteiten’, ‘BCM middelen’ en ‘calamiteit ervaring’. De eerste twee aspecten zullen een relativerende werking hebben op de uitkomsten van de vergelijking van BCM tussen de 10 banken die behoren tot de financiële kerninfrastructuur in Nederland. Daarnaast blijkt uit eerder onderzoek dat de aspecten ‘BCM middelen’ en ‘calamiteit ervaring’ sterke factoren zijn voor het bewustzijn van continuïteitsrisico’s en voor de volwassenheid van BCM met betrekking tot de inrichting in de organisatie.
2006 Bernard Korver
24
Business Continuity Management
UVA AgBS
Verder is gebleken dat het landschap van BCM in Nederland maar ook internationaal in beweging is. Een aantal recente ontwikkelingen geven deze beweging aan. Zo heeft de DNB in 2005 een onderzoek uitgevoerd en heeft de overheid het project “Vitale infrastructuren” gestart. Ten slotte heeft de NVB een project gestart om tot ‘best practises’ te komen voor interne accountantsdiensten van banken om BCM te auditen. Dit NVB project bevindt zich in een heel prille fase. Met bovenstaande conclusie over de gegeven marktschets van banken in Nederland en BCM ontwikkelingen in het betalings- en effectenverkeer is onderzoeksvraag 2 Waardoor worden Nederlandse banken gekenschetst? op dit moment in voldoende mate beantwoord. Naar verwachting wordt onderzoeksvraag 2 verder beantwoord in hoofdstuk 7, waar de uitkomst van de vergelijking van de BCM inrichting bij een selectie van banken in Nederland wordt weergegeven.
2006 Bernard Korver
25
Business Continuity Management
UVA AgBS
4. Bouwstenen voor een professioneel BCM systeem 4.1 Introductie In hoofdstuk 2 werd aangegeven dat toegenomen vereisten van regelgevende instanties een belangrijke drijfveer is voor banken om een BCM programma te implementeren. In dit vierde hoofdstuk wordt inhoudelijk ingegaan op wetten, regels en modellen die voor het professioneel inrichten van een BCM systeem relevant zijn. In de laatste paragraaf worden deze verschillende bouwstenen omgevormd tot een model voor de inrichting van BCM bij Nederlandse banken. Afgesloten wordt met een conclusie waaruit in hoofdstuk 5 hypotheses worden afgeleid. 4.2 Internationale wet- en regelgeving Binnen het tijdsbestek van dit onderzoek is het bijna onmogelijk om van wet- en regelgeving van alle landen in de wereld te bepalen wat relevant is voor de inrichting van BCM bij banken in Nederland. Daarnaast is de vraag gerechtvaardigd of van alle landen de wet- en regelgeving even zwaar weegt. Een helpende hand wordt geboden door de Bank for International Settlements (BIS). De BIS vaardigt standaarden, verdragen en best practises uit die wereldwijd door financiële instellingen als wet- en regelgeving worden beschouwd. Naast de standaarden en verdragen van de BIS, hebben enkele vooraanstaande landen in de financiële wereld additionele wet- en regelgeving uitgevaardigd die van invloed is op de inrichting van BCM bij banken in Nederland. Deze additionele regelgeving is mede opgesteld naar aanleiding van specifieke calamiteiten als: de aanslagen op het World Trade Center in New York in 2001 en de faillissementen door boekhoudschandalen bij Enron (2001) en Worldcom (2002). In dit kader wordt hieronder behandeld de specifieke wet- en regelgeving uitgevaardigd door de BIS en de door de Verenigde Staten. 4.2.1 Bank for International Settlements De Bank for International Settlements (BIS) werd op 17 mei 1930 opgericht en is het oudste internationale financiële organisatie. De BIS is een organisatie welke wereldwijd monetaire en financiële samenwerking bevordert en dienst doet als bank voor centrale banken (BIS 2006). Momenteel zijn 55 nationale centrale banken en de Europese Centrale Bank aangesloten bij de BIS. Van belang is dat onder de leden van de BIS zich de centrale banken bevinden van de – in financieel en kapitaalmarkt opzicht - meest invloedrijke landen als de Verenigde Staten, Verenigd Koninkrijk, Japan en Europa. Gezien de kwantiteit en kwaliteit van de leden van de BIS 8, is de BIS een organisatie met breed draagvlak. Een 8
De leden van de BIS zijn de centrale banken van Algerije, Argentinië, Australië, België, Bosnië Herzegovina, Brazilië, Bulgarije, Canada, Chili, China, Denemarken, Duitsland, Estland, Filippijnen, Finland, Frankrijk, Griekenland, Hongarije, Hongkong, India, Ierland, Indonesië, Israël, 2006 Bernard Korver
26
Business Continuity Management
UVA AgBS
breed draagvlak is nodig voor het opstellen, invoeren en naleven van de standaarden, verdragen en best practises die de BIS uitvaardigt. De leden van de BIS zijn de nationale centrale banken, die vanuit hun wettelijke bevoegdheid – althans in Nederland - toezien op implementatie en naleving van standaarden en verdragen door individuele financiële instellingen. Hierdoor hebben de standaarden en de verdragen de formele status van wet- of regelgeving. Onder de BIS ressorteren de volgende vier commissies (BIS 2006): § Basel Committee on Banking Supervision; § Committee on Payment and Settlement Systems; § Committee on the Global Financial System; en § Markets Committee. De eerste twee commissies hebben regelgeving opgesteld die raakvlakken hebben met BCM. Hieronder wordt van beide commissies de voor BCM relevante standaarden en verdragen toegelicht, te weten: Basel II, Core Principles for Systemically Important Payment Systems, Recommendations for Securities Settlement Systems en Recommendations for Central Counter Parties. Basel II Onder toezicht van het Basel Committee on Banking Supervision (BCBS) werd in 1988 het Basel akkoord (Basel I) overeengekomen met betrekking tot het verplichten van banken tot het reserveren van minimaal kapitaal om onverwachte verliezen op uitstaande kredieten te kunnen opvangen. Hoofddoel van Basel I is het streven naar een gezond en stabiel internationaal bancair systeem (BIS 2006). Basel I wordt kenmerkt door een generieke wijze van berekening van kapitaalreservering. In juni 2004 is de definitieve tekst van het nieuwe kapitaalakkoord – Basel II genoemd – gepresenteerd. In september 2005 heeft het Europese Parlement de ‘Capital Requirement Directive’ (CRD) goedgekeurd, wat een vertaling is van Basel II naar Europese regelgeving. De Capital Requirement Directive vormt nu de basis voor de nationale wetgeving van de EU-lidstaten. In Nederland is de DNB bezig een vertaalslag te maken van de CRD naar Nederlandse wetgeving en wordt in de Wet Financieel Toezicht (WFT) opgenomen. Beoogde implementatiedatum van de WFT is 1 januari 2007 (DNB 2005-1). Aangezien dat Basel II (internationaal) en WFT (Nederland) per 1 januari 20079 de status van wetgeving zullen hebben, is het te verwachten dat banken in Nederland al hiermee rekening houden met betrekking tot hun inrichting van BCM.
Italië, Japan, Korea, Kroatië, Letland, Litouwen, Macedonië, Maleisië, Mexico, Nederland, Nieuw Zeeland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Rusland, Saoedi-Arabië, Singapore, Slowakije, Spanje, Thailand, Tsjechië, Turkije, Verenigd Koninkrijk, Verenigde Staten, IJsland, Zuid-Afrika, Zweden , Zwitserland en de Europese Centrale Bank. 9 Voor financiële instellingen die van de DNB de Advanced Measurement Approach berekeningsmethode mogen toepassen voor het berekenen van operationeel risico geldt een verwachte implementatiedatum van 1 januari 2008. 2006 Bernard Korver
27
Business Continuity Management
UVA AgBS
Het nieuwe kapitaalakkoord is flexibeler en beoogt tot meer risicogevoelige kapitaaleisen te komen. Banken mogen daarbij onder kwalitatieve en kwantitatieve criteria gebruik maken van interne risicobeoordelingssystemen voor de berekening van het aan te houden minimumkapitaal. Bazel II vormt een integraal raamwerk voor het toezicht op banken en kent drie zogenaamde pijlers (‘Pillars’) die onderling samenhangen (BIS 2006): § Pillar 1: Minimale eisen voor het kapitaalsbeslag. § Pillar 2: Supervisory review. § Pillar 3: Transparantie. Onder Pillar 1 (zie Bijlage 5) wordt een classificatie gemaakt naar drie risico’s waarvoor kapitaal gereserveerd moet worden: § Krediet risico § Markt risico § Operationeel risico De BIS hanteert voor operationeel risico de volgende definitie (vertaald naar het Nederlands): “Operationeel risico is het risico op financiële schade als gevolg van inadequate of falende interne processen, mensen en systemen of door externe gebeurtenissen”. Duidelijk is dat BCM binnen de definitie van operationeel risico van de BIS valt. Daarom wordt gesteld dat de eisen die de BIS in het kader van Basel II stelt voor operationeel risico ook gaan gelden voor BCM. Op hoofdlijnen10 worden in het kader van Basel II / WFT de volgende eisen gesteld aan de BCM voor banken in Nederland (BIS 2006): 1. Risicobeheerssysteem moet aanwezig zijn. 2. Risicomeetsysteem moet aanwezig zijn. 3. Risico rapportagesysteem moet aanwezig zijn. Core Principles for Systemically Important Payment Systems Onder toezicht van het Committee on Payment and Settlement Systems (CPSS) is er voor BCM een relevante standaard uitgevaardigd. De in 2001 uitgevaardigde standaard betreft Core Principle VII van de ‘Core Principles for Systemically Important Payment Systems 11. De Core Principles bestaan uit twee delen, een voor individuele financiële instellingen en een voor nationale centrale banken (zie Bijlage 6). Van het deel voor individuele financiële instellingen is 10 Het voert voor dit onderzoek – dat zich richt op de inrichting en niet op de werking van BCM bij Nederlandse banken - te ver om alle details te behandelen van deze drie eisen. Voor meer informatie wordt verwezen naar de internetsite van de DNB http://www.dnb.nl/dnb/pagina.jsp?pid=tcm:12-51359-64 . Van belang zijn de documenten ‘Concept Toezichthouderregels Operationeel Risico’ en ‘Concept Toezichthouderregels Operationeel Risico - Basisindicatorbenadering en Standaardbenadering’. 11 Een betalings- of vereveningssysteem is ‘systemically important’ als bij onvoldoende BCM maatregelen een verstoring zou leiden tot verstoringen in systemen van andere deelnemers of zou leiden tot een (financiële) marktbrede verstoring ten aanzien het onderlinge systeem (CPSS 2001).
2006 Bernard Korver
28
Business Continuity Management
UVA AgBS
Core Principle VII het meest relevant voor BCM en luidt vertaald naar het Nederlands: “Het betaal- en effectensysteem moet 1) een hoge mate van veiligheid en operationeel vertrouwen garanderen en 2) contingency maatregelen hebben voor tijdige afhandeling van dagelijkse transacties” (CPSS 2001). Met opzet zijn alle Core Principles van het CPSS ruim gedefinieerd om daarmee initieel een breed draagvlak te creëren bij al haar leden (BIS 2001). Uit het tweede deel van de Core Principles is op te maken dat het de verantwoordelijkheid is van de nationale centrale banken om onder andere een nadere invullingen te geven van de (contingency) doelstellingen van het betaalen effectensysteem aan de financiële instellingen die onder haar toezicht staan. In Nederland heeft de DNB een vertaalslag gemaakt van de Core Principles wat heeft geleid tot het “Toetsingskader BCP betalings- en effectenverkeer”. Het Toetsingskader BCP wordt verder behandeld in paragraaf 3 van dit hoofdstuk. Recommendations for Securities Settlement Systems Het Committee on Payment and Settlement Systems (CPSS) heeft in 2001 samen met het International Organization of Securities Commissions (IOSCO) 19 aanbevelingen voor Effecten afwikkel systemen uitgevaardigd (Recommendations for Securities Settlement Systems, BIS 2001-1). De 19 aanbevelingen borduren voort op de door het CPSS in 2001 uitgebrachte Core Principles for Systemically Important Payment Systems (zie vorige paragraaf) en op de door de IOSCO in 1998 uitgebrachte Principles of Securities Regulation. Van de 19 aanbevelingen is nummer elf relevant voor BCM (zie Bijlage 7). Op hoofdlijnen worden de volgende eisen gesteld aan BCM voor banken in Nederland (BIS 2001-1): 1. Risico analyse uitvoeren. 2. Beleid, procedures en contingency plannen (cp’s) opstellen. 3. Periodiek oefenen van de cp’s. 4. Periodiek evalueren van risico analyse en beleid, procedures en de cp’s. 5. Evaluatie door Internal Audit van risico analyse en beleid, procedures en de cp’s en de evaluatie ervan. 6. Aandacht voor BCM bij outsourcing. Recommendations for Central Counter Parties Het Committee on Payment and Settlement Systems (CPSS) heeft in 2004 samen met het International Organization of Securities Commissions (IOSCO) 14 aanbevelingen voor Centrale Tegenpartijen (CCPs) uitgevaardigd (Recommendations for Central Counter Parties, BIS 2001-2). De 14 aanbevelingen zijn een specifieke vertaling van de Recommendations for Security Settlement Systems voor Centrale Tegenpartijen. Een Centrale Tegenpartij is een financiële instelling die optreedt als tussenpersoon tussen aanbieders en vragers van financiële transacties. Voor de meeste van 10 banken die behoren tot de financiële kerninfrastructuur in Nederland oefenen in meer of mindere mate de functie van centrale tegenpartij uit.
2006 Bernard Korver
29
Business Continuity Management
UVA AgBS
Van de 14 aanbevelingen is nummer zeven relevant voor BCM (zie Bijlage 8). Additioneel t.o.v. de Recommendations for Security Settlement Systems worden de volgende eisen gesteld aan BCM voor banken in Nederla nd (BIS 2001-1): 1. Het Business Continuity Plan (BCP) moet het risico van een ernstige operationele verstoring bevatten. 2. BCP testresultaten leiden tot adequate aanpassingen van de BCP. 4.2.2 Verenigde Staten De Verenigde Staten is in het begin van de 20e eeuw opgeschrikt door onder andere de aanslagen op het World Trade Center (WTC) te New York op 11 september 2001 en de faillissementen door boekhoudschandalen bij Enron in 2001 en Worldcom in 2002. In reactie hierop hebben de Verenigde Staten nieuwe wetgeving uitgevaardigd, te weten: Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System en de Sarbanes-Oxley Act. Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System Het WTC stond op een steenworpafstand van de effectenbeurs op Wallstreet en vormde het centrum voor vestigingen van vele (internationale) banken. De naar aanleiding van de aanslagen uitgevaardigde wet- en regelgeving is relevant voor dit onderzoek aangezien enkele Nederlandse banken op de Amerikaanse beurs genoteerd zijn of een belangrijke rol spelen in het afwikkelen van hoogwaardige en tijdskritische betalings- en effectentransacties12. Op 7 maart 2003 hebben de ‘the Agencies’ (Federal Reserve System, Office of the Comptroller of the Currency en de Securities and Exchange Commission) gezamenlijk het “Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System” (SEC 2001) uitgebracht. Het Interagency Paper beschrijft drie Business Continuity doelstellingen en vier sound practises voor financiële instellingen verplicht te implementeren vanaf 2004 (zie Bijlage 9). Op hoofdlijnen worden de volgende vier sound practises voorgeschreven (SEC 2001): 1. Identificatie van activiteiten, processen en ondersteunende systemen. 2. Vaststellen van Recovery Time Objectives (RTO) van maximaal 4 uur. 3. Voldoende geografische spreiding van medewerkers, faciliteiten en data. 4. Periodiek testen van de BCM maatregelen. Sarbanes-Oxley Act In navolging van de boekhoudschandalen bij onder andere Enrom en Worldcom die in 2001 en 2002 tot hun faillissement leidde, heeft de Verenigde Staten op 30 juli 2002 de Sarbanes-Oxley Act (Soxa) uitgevaardigd. 12
Onder hoogwaardige en tijdskritische betalings- en effectentransacties wordt volgens de Agencies verstaan het wholesale betalingsverkeer en het effectenverkeer (DNB 2005-1). 2006 Bernard Korver
30
Business Continuity Management
UVA AgBS
Kern van Soxa is dat bedrijven die op de Amerikaanse beurs genoteerd zijn, moeten waarborgen dat hun (externe) financiële rapportage betrouwbaar is (Soxa 2002). De relatie met BCM is niet heel direct. Toch is Soxa relevant in het kader van BCM voor Nederlandse banken omdat: a). Een aantal Nederlandse banken een notering heeft op de Amerikaanse beurs, dat in de toekomst van plan is of een vergelijkbare kwaliteitseis wil overleggen ten behoeve van bijvoorbeeld rating agencies13; b) Betrouwbaarheid van financiële rapportage mede afhangt van systemen en de BCM maatregelen daaromtrent. Voor BCM is een van de 63 secties, sectie ‘404: Management Assessment of Internal Controls’, het meest relevant (zie Bijlage 10). Op hoofdlijnen gelden de volgende twee eisen (Soxa 2002): 1. Management is verantwoordelijk voor het implementeren van adequate interne controles in casu BCM maatregelen. 2. Interne en externe accountants controleren of een getest Business Continuity Plan aanwezig is. 4.3 Nederlandse Wet- en regelgeving In de Nederlandse wet- en regelgeving zijn voor financiële instellingen een aantal BCM relevante wetten, regels en richtlijnen uitgevaardigd door de wetgever of door de DNB als toezichthouder. De richtlijnen van de DNB zijn veelal een vertaling van internationaal uitgevaardigde wet- en regelgeving van de BIS zoals behandeld in paragraaf 4.2. In dit kader worden in dit onderzoek behandeld de Regeling Organisatie en Beheer en het Toetsingskader BCP betalings- en effectenverkeer.
4.3.1 Regeling Organisatie en Beheer Op 1 januari 2001 is de Regeling Organisatie en Beheer (ROB) in werking getreden. Tegelijkertijd kwam te vervallen het Memorandum over de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen uit 1988. De ROB is door de DNB uitgevaardigd en kent als juridische grondslag de Wet Toezicht op Kredieti nstellingen (WTK 1992) en het Besluit integere bedrijfsvoering kredietinstellingen en verzekeraars (DNB 20041). De ROB onderkent de volgende risicogebieden (DNB 2004-1): § Kredietrisico § Marktrisico 13
Rating Agencies als Standard & Poor en Moody’s zijn onafhankelijke instanties die de kredietwaardigheid van bedrijven beoordelen en openbaar bekendmaken. Afhankelijk van de verkregen beoordeling (rating) kunnen bedrijven goedkoper lenen op de kapitaalmarkt. Van de Rabobank is bekend dat zij de hoogste rating (AAA) heeft onder banken. 2006 Bernard Korver
31
Business Continuity Management
§ § § § § §
UVA AgBS
Liquiditeitsrisico Operationeel risico Informatietechnologie (IT) Uitbesteding van (delen van) bedrijfsprocessen Integriteitsrisico Rechten en plichten van (potentiële) cliënten
Verder wordt in de ROB operationeel risico gedefinieerd als “het risico van directe of indirecte verliezen die het gevolg zijn van ontoereikende of gebrekkige interne processen en systemen, van ontoereikend of gebrekkig menselijk handelen, dan wel van externe gebeurtenissen”. Binnen deze definitie valt ook het risico van inadequaat BCM. Onder de ROB zijn 76 artikelen opgenomen. Hierva n zijn er voor BCM drie relevant (zie Bijlage 11). De drie relevante artikelen (53, 57 en 61) stellen op hoofdlijnen de volgende eisen aan Nederlandse banken (DNB 2004-1): 1. Risico meetsysteem moet aanwezig zijn. 2. Risico beheerssysteem moet aanwezig zijn. 3. Risico rapportage van (dreigende) calamiteiten moet aanwezig zijn. 4. IT: toepassen van back-up- en recovery-maatregelen, het beschikken over een actueel calamiteitenplan, het beschikken over uitwijkmaatregelen evenals het periodiek testen daarvan. 5. Outsourcing: waarborgen dat dienstverlener een calamiteitenplan en backup procedures heeft. 4.3.2 Toetsingskader BCP betalings- en effectenverkeer Eind 2004 heeft de DNB richtlijnen voor Business Continuity Planning (BCP) uitgevaardigd genaamd ‘Toetsingskader BCP betalings- en effectenverkeer’ (verder ‘Toetsingskader BCP’). Het Toetsingskader BCP is tot stand gekomen door samenwerking met instellingen van de financiële kerninfrastructuur. Aangezien het Toetsingskader BCP eerder is uitgevaardigd dan de High Level Principles on Business Continuity van het BCBS (zie paragraaf 4.4.1) èn de DNB betrokken is geweest bij het opstellen van High Level Principles on Business Continuity van het BCBS, vertonen beide grote gelijkenis. Wel is de verwachting dat de DNB met een nieuwe versie van het Toetsingskader BCP zal komen teneinde meer concrete normen en handvaten te bieden. Het Toetsingskader BCP bevat 10 normen waaraan Nederlandse banken worden getoetst. In 2005 heeft de DNB de 10 banken die onder de financiële kerninfrastructuur vallen voor het laatst getoetst aan de hand van de 10 normen. Alle normen (zie Bijlage 12) zijn relevant voor dit onderzoek en betreffen op hoofdlijnen de volgende (DNB 2004-2):
2006 Bernard Korver
32
Business Continuity Management
UVA AgBS
1. BCP is goedgekeurd door senior management en bevat de strategie, doelen, kritische processen en de BCM maatregelen. Veiligheid van de mens staat voorop en het BCP wordt tenminste jaarlijks geactualiseerd. 2. Risico analyse van mogelijke calamiteiten en de impact ervan is aanwezig. 3. In het BCP staat hoe de factor mens zo min mogelijk de bottleneck vormt bij het voortzetten / hervatten van processen. 4. Crisisorganisatie is aangesteld door senior management 5. Analyse van afhankelijkheden van basisvoorzieningen (electriciteit, water, telecom) is aanwezig. 6. Kritische processen en ondersteunende systemen dienen bij een calamiteit zo spoedig mogelijk te worden hervat. 7. Voor kritische processen en ondersteunende systemen is een uitwijklocatie beschikbaar op voldoende afstand. 8. BCM maatregelen op de uitwijklocatie worden tenminste jaarlijks getest. 9. Een crisis communicatieplan is beschikbaar. 10. Een BCM strategie is beschikbaar voor de kerninfrastructuur als geheel. 4.4 Best practises Naast wet- en regelgeving bestaan er diverse standaarden, richtlijnen en kwaliteitsnormen die direct of indirect verband houden met BCM. Het betreffen weliswaar geen formele wetten maar hebben nagenoeg wel die status die ingegeven is door beroepsgroepen of door internationaal certificerende instituten. Achtereenvolgens worden hieronder behandeld de High Level Principles on Business Continuity, PAS 56, CobiT, ITIL en ISO/IEC 17799:2005 Information Security Management. 4.4.1 High Level Principles on Business Continuity Het Joint Forum is opgericht is 1996 door het Basel Committee on Banking Supervision (BCBS), het International Organization of Securities Commissions (IOSCO) en het International Association of Insurance Supervisors (IAIS) om overleg te bevorderen over algemene zaken van bank- en verzekeringswezen, inclusief de regulatie van financiële conglomerate n (Basel Committee on Banking Supervision 2005). In 2005 heeft het Joint Forum een ‘consultative paper’ uitgebracht onder de titel “High Level Principles on Business Continuity”. Het betreft een ‘consultative paper’ en stakeholders hebben tot 10 maart 2006 hun reactie kunnen geven. Op het moment van dit onderzoek is er nog geen definitieve versie van het document verschenen. Het document beschrijft zeven principes die samen een algemeen raamwerk vormen ter ondersteuning voor internationale regelgevende instanties en nationale financiële autoriteiten om uiteindelijk tot een veerkrachtig financieel bestel te komen dat bestand is tegen ernstige operationele verstoringen (zie Bijlage 13).
2006 Bernard Korver
33
Business Continuity Management
UVA AgBS
Vooral Principle drie zou een uitbreiding betekenen op bestaande wet- en regelgeving. Principle drie vergt van belangrijke financiële instellingen (bijvoorbeeld Interpay in Nederland) BCM maatregelen te treffen die zij op individuele basis niet zou treffen aangezien de kosten de baten te boven zouden gaan. Verder zijn de zeven High Level Principles reeds afgedekt door het “Toetsingskader BCP betalings- en effectenverkeer”. Het Toetsingskader BCP is verwerkt in het model voor inrichting van BCM bij banken en wordt verder behandeld in paragraaf 3 van dit hoofdstuk. 4.4.2 PAS 56 Het toonaangevende Britse normeninstituut Brittish Standards Institution (BSI) heeft samen met het Business Continuity Institute (BCI) de standaard Publicly Available Specification (PAS) 56 uitgevaardigd. PAS 56 beschrijft de BCMlevenscyclus, relaties met andere processen en Engelse best practises. PAS 56 beschrijft de volgende 15 componenten (BCI 2006): 1. BCM Programme Management 2. BCM Policy 3. BCM assurance 4. BIA 5. Risk Assessment 6. Organisation (Corporate) Strategy 7. Process Strategy 8. Resource Recovery Strategy 9. Planning 10. Solutions 11. Crisis Management 12. Training / Awareness 13. Exercising 14. Maintenance 15. Audit Volgens PAS 56 wordt BCM door vijf levensfasen gekenmerkt met daarbinnen meerdere kernelementen (zie Bijlage 14): 1. Understanding your business: BIA, risico analyse en RTOs 2. Develop Continuity Strategy: uitwijkstrategieën / kostenefficiënt 3. Developing the response: preventieve en repressieve BCM maatregelen 4. Establishing the Continuity Culture: educatie en bewustzijn stakeholders 5. Exercising & Plan Maintenance: oefenen, auditen en change management
2006 Bernard Korver
34
Business Continuity Management
UVA AgBS
4.4.3 CobiT De Control objectives for information and related technology (CobiT) betreft een control en management raamwerk voor het gestructureerd inrichten en beoordelen van een IT-inrichting (ISACA 2006) in elk type bedrijf. CobiT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). CobiT stelt IT managers in staat om op basis van algemeen geaccepteerde Best Practices de ICT beheermaatregelen in te richten. Daarnaast zijn het vooral (EDP)auditors die op basis van het Cobit-raamwerk hun controleprogramma beschrijven en uitvoeren CobiT 2006). Van de huidige versie 4.0 zijn er drie van de 34 high level doelstellingen (zie Bijlage 15) die verband houden met BCM, te weten (CobiT 2006): 1. DS3: Availability and performance requirements 2. DS4: IT Continuity Framework 3. PO9: Business Risk Assessment De eerste doelstelling is weliswaar nieuw ten opzichte van Nederlandse wet- en regelgeving, maar niet ten opzichte van de onderzochte internationale wet- en regelgeving. De andere twee doelstellingen zijn al verankerd in Nederlandse weten regelgeving. Daarom zijn alledrie de doelstellingen toegevoegd aan het model voor inrichting van BCM bij banken.
4.4.4 ITIL Information Technology Infrastructure Library (ITIL) schrijft kwaliteitsnormen voor IT service management en gerelateerde processen ten behoeve van een effectief en efficiënt gebruik van IT diensten (ITIL 2006). ITIL onderscheidt vijftien IT processen waarvan er twee direct met BCM te maken hebben (zie Bijlage 16). De hoofdstukken IT Service Continuity Management (H8) en Availability Management (H9) onderscheiden respectievelijk vijf en negen onderwerpen die in detail BCM behandelen. Van de in totaal veertien onderwerpen zijn de volgende twee niet in de onderzochte wet- of regelgeving terug gevonden (ITIL 2006): 1. Review IT service and component availability 2. Improve availability within cost constraints Beide onderwerpen zijn nieuw ten opzichte van Nederlandse wet- en regelgeving, maar niet ten opzicht van internationale wet- en regelgeving. Daarom zijn beide doelstellingen opgenomen in het model voor inrichting van BCM bij banken. 4.4.5 ISO/IEC 17799:2005 Information Security Management Het International Organization for Standardization (ISO) en het International Electrotechnical Commission (IEC) geven wereldwijd erkende standaarden uit
2006 Bernard Korver
35
Business Continuity Management
UVA AgBS
waarvoor organisaties uit alle sectoren zich kunnen laten certificeren (ISO 2006). De standaard ISO/IEC 17799 (zie Bijlage 17) is tot stand gekomen door een samenwerking van nationale norminstituten. Nederlandse inbreng was er van de normcommissie Informatiebeveiliging 14 van het Nederlands Normalisatie-instituut (NEN). De standaard beschrijft uniforme richtlijnen en principes voor het initiëren, implementeren, onderhouden verbeteren van informatie beveiliging voor elke organisatie. Hoofdstuk 10 van het elf hoofdstukken tellende standaard ISO/IEC 17799 gaat over BCM. Op hoofdlijnen worden de volgende elementen voorgeschreven (ISO 2006): 1. Business Continuity Management procesbeschrijving 2. Uitvoeren van een Business Impact Analyse 3. Ontwikkeling Business Continuity Plan 4. Implementatie Business Continuity Plan 5. Kader voor Business Continuity Planning 6. Testen en onderhouden van Business Continuity Plannen Alle elementen uit hoofdstuk 10 van standaard ISO/IEC 17799 worden teruggevonden in Nederlandse en internationale wet- en regelgeving. Daarom zijn alle elementen van standaard ISO/IEC 17799 toegevoegd aan het model voor inrichting van BCM bij banken. 4.5 Model voor inrichting BCM bij Nederlandse banken In de voorgaande paragrafen zijn wet- en regelgeving en best practises behandeld die in theorie de basis vormen voor een professsionele inrichting van BCM bij Nederlandse banken. In totaal zijn hierbij de hoofdlijnen van 58 BCMeisen behandeld welke in Bijlage 18 zijn opgenomen. Hieronder wordt eerst de opzet van het model uitegelegd en daarna de inrichting van het model. Bij de inrichting van het model. 4.5.1 Opzet model Naar het model BCM-model PAS56 (zie paragraaf 4.4.2) kunnen de 58 BCMeisen verdeeld worden over de volgende vijf BCM-levensfasen: 1. Understanding your business: BIA, risico analyse en RTOs. 2. Develop Continuity Strategy: uitwijkstrategieën / kostenefficiënt. 3. Developing the response: preventieve en repressieve BCM maatregelen. 4. Establishing the Continuity Culture: educatie en bewustzijn stakeholders. 5. Exercising & Plan Maintenance: oefenen, auditen en change management.
14
De normcommissie Informatiebeveiliging bestaat uit vertegenwoordigers van Interpay, ABN AMRO, ING Bank,TNO Telecom, Getronics, Logica CMG, UT Twente, Deloitte, DNB en IBM. 2006 Bernard Korver
36
Business Continuity Management
UVA AgBS
Echter, het PAS56-model mist de onderdelen strategie, beleid en inrichting. Daarom zijn de volgende drie fasen ontworpen, waarbij in de eerste fase strategie, beleid en inrichting ondergebracht zijn. Bij de tweede en derde fase zijn de elementen van de vijf fases van het PAS56-model verdeeld. 1. De organisatorische plaats van BCM: strategie, beleid en inrichting 2. BCM Programma: BIA, risico analyse, RTO’s, uitwijkstrategieën, BCM maatregelen, educatie, bewustzijn en oefenen. 3. Beheer BCM: audit en change management. 4.5.2 Inrichting model Om het model aan de hand van de hierboven ontworpen drie fasen in te richten en definitief te maken, zijn een aantal stappen doorlopen. Een eerste stap om tot het model te komen is om alle 58 BCM-eisen te verdelen onder een van de drie bovenstaande fasen. Vervolgens zijn gelijkluidende eisen en doublures verwijderd (zie Bijlage 18). Als resultaat resteren de volgende 15 BCM-eisen die samen vormgeven aan het model voor inrichting van BCM bij Nederlandse banken. De organisatorische plaats van BCM 1. Management is verantwoordelijk voor een BCM strategie. 2. Management stelt beleid en procedures op. 3. Risico meetsysteem moet aanwezig zijn. 4. Risico beheerssysteem moet aanwezig zijn. 5. Risico rapportage van calamiteiten moet aanwezig zijn. BCM Programma 6. Identificeer activiteiten, kernprocessen en ondersteunende systemen en andere afhankelijkheden, maak een risico analyse en bepaal de impact ervan. 7. Stel Business Continuity Plannen op (BCP’s) en regel voor kritische processen en ondersteunende systemen een uitwijklocatie op voldoende afstand en andere BCM maatregelen. 8. Oefen periodiek de BCP’s, BCM maatregelen, laat interne of externe accountants hierop controleren en kweek bewustzijn. 9. Bij Outsourcing: waarborg dat dienstverlener een calamiteitenplan en back-up procedures heeft. 10. Stel minimaal de volgende prioriteiten: RTOs, voldoende geografische spreiding van medewerkers, faciliteiten en data en veiligheid van de mens. 11. In het BCP staat hoe de factor mens zo min mogelijk de bottleneck vormt bij het voortzetten & hervatten van processen. 12. Een Crisisorganisatie is aangesteld en kent een communicatieplan. 13. Bewaak de implementatie van het Business Continuity Plan.
2006 Bernard Korver
37
Business Continuity Management
UVA AgBS
Beheer BCM 14. Jaarlijkse evaluatie en overige testresultaten leiden tot een actueel beleid, procedures en BCP’s. 15. (Internal) Audit vindt plaats op risico analyse, beleid, procedures en de BCP’s. Met het hierboven gepresenteerde model en de beschreven methode hoe tot de 15 BCM eisen is gekomen (zie ook Bijlage 18), wordt gewaarborgd dat het model ruimschoots dekkend is voor de internationaal en nationaal gestelde eisen en best practises. 4.6 Conclusie In dit vierde hoofdstuk is uiteengezet welke internationale en Nederlandse BCM wet- en regelgeving van belang is voor Nederlandse banken. In totaal zijn acht wetten, standaarden en richtlijnen behandelt, waarvan zes internationaal en twee uit Nederland. Opvallend is dat de meeste wetten, standaarden en richtlijnen ruim gedefinieerd zijn. Zo ontbreken dikwijls gedetailleerde normen voor BCM maatregelen. Hiermee is ruimschoots een antwoord gevormd op onderzoeksvraag 3 Aan welke specifieke wet- en regelgeving moeten banken in Nederland voldoen? Daarnaast zijn vijf internationaal geaccepteerde concepte n toegelicht die voor elk type organisatie van toepassing kunnen zijn. Formeel hebben deze concepten niet de status van wet of regelgeving. Echter, door BCM experts worden deze concepten als best practise ervaren en kunnen daarom richting geven aan de inrichting van BCM bij Nederlandse banken. Zodoende is ook antwoord gegeven op onderzoeksvraag 4 Welke andere elementen zijn bepalend voor de inrichting van BCM bij banken? Ten slotte is in de laatste paragraaf een model gepresenteerd voor de inrichting van BCM bij Nederlandse banken. De gevonden 58 BCM-eisen zijn hiermee teruggebracht naar 15 BCM-eisen en verdeeld over drie fasen. Dit model wordt in hoofdstuk 5 gebruikt voor het vormen van hypothesen en in hoofdstuk 6 voor het opzetten van een praktijkonderzoek.
2006 Bernard Korver
38
Business Continuity Management
UVA AgBS
5. Hypothesen 5.1 Introductie In de hoofdstukken 2, 3 en 4 is vanuit de literatuur een basis gelegd voor het vormen van hypothesen voor de inrichting van BCM bij Nederlandse banken. Naast verwachtingen en algemene conclusies zijn er uiteindelijk 15 BCM-eisen vanuit wet- en regelgeving en best practises gepresenteerd. In dit vijfde hoofdstuk worden hieruit een vijftal hypothesen ontworpen. In hoofdstuk 6 worden de hypothesen verder uitgewerkt naar in de praktijk toetsbare vragen. 5.2 Hypothese 1 Uit voorgaande hoofdstukken komt naar voren dat financiële instellingen het laatste decennium meer aandacht hebben gekregen voor BCM en dat deze toename veroorzaakt wordt door de volgende elementen: § Eisen van klanten (H2.5.2) § toegenomen wet- en regelgeving (H2.5.3); § eigen ervaring met calamiteiten H3.2.1); en § toegenomen complexiteit in IT (H2.5.5) Deze bevinding uit de literatuur met betrekking tot de toegenomen aandacht voor BCM, wordt aan de praktijk getoetst aan de hand van de volgende hypothese (1): “Toegenomen klanteisen, wet- en regelgeving, eigen ervaring met calamiteiten of toegenomen complexiteit van IT hebben ertoe geleid dat financiële instellingen meer aandacht hebben gekregen voor BCM.” 5.3 Hypothese 2 Uit hoofdstuk 3 is de verwachting behandeld dat de hoeveelheid aan ingezette BCM middelen mede afhangt van de grootte van de bank. Hierbij wordt de grootte van de bank gemeten in balanstotaal en totaal aantal medewerkers. Als vergelijkingsmaatstaf voor BCM middelen is gekozen voor het aantal BCM medewerkers van banken. Deze bevinding uit de literatuur met betrekking tot verwachte inzet van BCM middelen, wordt aan de praktijk getoetst aan de hand van de volgende hypothese (2): “Het aantal BCM medewerkers hangt af van de grootte van banken gemeten in balanstotaal en totaal aantal medewerkers.”
2006 Bernard Korver
39
Business Continuity Management
UVA AgBS
5.4 Hypothese 3 In hoofdstuk 4 is BCM- relevante de wet- en regelgeving behandeld. Hieruit is naar voren gekomen dat op hoofdlijnen vijf BCM-eisen van toepassing zijn op de organisatorische plaats van BCM bij Nederlandse banken. Deze in de literatuur gevonden vijf BCM-eisen aangaande de organisatorische plaats van BCM, worden aan de praktijk getoetst met behulp van de volgende hypothese (3): “De organisatorische plaats van BCM voldoet aan tenminste vier van de vijf (80%) BCM-eisen teneinde te voldoen aan BCM wet- en regelgeving.” NB Het gekozen percentage (80%) voor het aannemen of verwerpen van de hypothese is willekeurig en houdt geen rekening met eventuele wegingsfactoren van de vijf BCM-eisen. 5.5 Hypothese 4 Verder is uit hoofdstuk 4 naar voren gekomen dat op hoofdlijnen acht BCM-eisen van toepassing zijn op het BCM programma bij Nederlandse banken. Deze acht BCM-eisen uit de literatuur met betrekking tot het BCM programma worden aan de praktijk getoetst met behulp van de volgende hypothese (4): “Het BCM programma voldoet aan tenminste zes van de acht (75%) BCMeisen teneinde te voldoen aan BCM wet- en regelgeving.” NB Het gekozen percentage (75%) voor het aannemen of verwerpen van de hypothese is willekeurig en houdt geen rekening met eventuele wegingsfactoren van de acht BCM-eisen. 5.6 Hypothese 5 Tenslotte geeft hoofdstuk 4 aan welke twee BCM-eisen van toepassing zijn op het beheer van BCM bij Nederlandse banken. Deze in de literatuur gevonden twee BCM-eisen aangaande het beheer van BCM, worden aan de praktijk getoetst met behulp van de volgende hypothese (5): “Het beheer van BCM voldoet aan de twee BCM-eisen teneinde te voldoen aan BCM wet- en regelgeving.” NB Gezien het relatief lage aantal (2) BCM-eisen, is voor hypothese 5 niet gekozen een percentage te hanteren voor het aannemen of verwerpen van de hypothese.
2006 Bernard Korver
40
Business Continuity Management
UVA AgBS
5.7 Conclusie In de hoofdstukken 2, 3 en 4 is vanuit de literatuur een basis gelegd voor het vormen van hypothesen voor de inrichting van BCM bij Nederlandse banken. Naast verwachtingen en algemene conclusies zijn er uiteindelijk 15 BCM-eisen vanuit wet- en regelgeving en best practises gepresenteerd. In dit vijfde hoofdstuk zijn hieruit de volgende vijf hypothesen ontworpen: Hypothese 1 “Toegenomen klanteisen, wet- en regelgeving, eigen ervaring met calamiteiten of toegenomen complexiteit van IT hebben ertoe geleid dat financiële instellingen meer aandacht hebben gekregen voor BCM.” Hypothese 2 “Het aantal BCM medewerkers hangt af van de grootte van banken gemeten in balanstotaal en totaal aantal medewerkers.” Hypothese 3 “De organisatorische plaats van BCM voldoet aan tenminste vier van de vijf (80%) BCM-eisen teneinde te voldoen aan BCM wet- en regelgeving.” Hypothese 4 “Het BCM programma voldoet aan tenminste zes van de acht (75%) BCMeisen teneinde te voldoen aan BCM wet- en regelgeving.” Hypothese 5 “Het beheer van BCM voldoet aan de twee BCM-eisen teneinde te voldoen aan BCM wet- en regelgeving.”
In hoofdstuk 6 worden de hypothesen verder uitgewerkt naar in de praktijk toetsbare vragen.
2006 Bernard Korver
41
Business Continuity Management
UVA AgBS
6. Praktijk toetsing 6.1 Introductie In hoofdstuk 5 zijn vijf hypothesen ontworpen gebaseerd op het literatuuronderzoek zoals behandeld in hoofdstukken 2, 3 en 4. In dit zesde hoofdstuk komt de praktijk toetsing van de vijf hypotheses aan bod. Eerst wordt de keuze toegelicht voor kwalitatieve interviews als methode voor interviewen. Daarna komt de opzet van de kwalitatieve interviews aan bod. Ten slotte wordt de keuze van respondenten toegelicht. 6.2 Kwalitatieve interviews Het afnemen van interviews is een algemeen aanvaarde methode voor het uitvoeren van praktijkonderzoek. Aangezien dit onderzoek gericht is op de inrichting en niet de werking van BCM bij Nederlandse banken, is gedetailleerde informatie over de individuele banken niet nodig. Daarom zou een interview per bank de noodzakelijke informatie moeten opleveren om de houdbaarheid van de hypothesen te beantwoorden. Gubrium en Holstein (2002) onderscheiden drie verschillende typen interviews: Survey-interviews, kwalitatieve interviews en diepte interviews. Voor dit onderzoek zijn kwalitatieve interviews het meest geschikt. Bij kwalitatieve interviews wordt een standaard vragenlijst gebruikt zodat de interviewresultaten kunnen worden vergeleken. Vergelijkbaarheid is belangrijk aangezien dit onderzoek niet gericht is op een individuele uitkomst bij één bank maar gericht is op een algemeen beeld over de inrichting van BCM bij Nederlandse banken. De minder gestandaardiseerde diepte interviews zijn echter wel geschikt om een beeld van individuele organisaties te krijgen. 6.3 Opzet kwalitatieve interviews Een goede opzet van de kwalitatieve interviews is belangrijk om te waarborgen dat de resultaten van het onderzoek zowel valide als van toegevoegde waarde zijn. Daarom is er voor de voor kwalitatieve interviews een gestandaardiseerde vragenlijst nodig waarop de verschillende banken vergeleken kunnen worden. De vragen moeten uitnodigen tot het doen van kwalitatieve antwoorden. Ook moeten de vragen open genoeg zijn om de geïnterviewden toe te staan om hun mening te geven over het onderwerp in plaats van slechts het vragen om een kort antwoord. De vragenlijst bestond uit verscheidene open hoofdvragen en een aantal subvragen. De volgende paragraaf behandelt de vragenlijst meer in detail. Voorafgaand aan de interviews zijn enkel de hoofdvragen aan de geïnterviewden opgestuurd. Op deze manier werden de geïnterviewden in de gelegenheid gesteld zich voor te bereiden en zou het interview een natuurlijk verloop krijgen.
2006 Bernard Korver
42
Business Continuity Management
UVA AgBS
Elk interview duurde 1 tot 1,5 uur, wat voldoende was om de hoofd - en subvragen in met voldoende diepgang beantwoord te krijgen. Sommige geïnterviewden stuurden van te voren of achteraf ondersteunend materiaal op (documenten, rapporten). Onder het principe van ‘hoor en wederhoor’, is elke bank persoonlijk bezocht door de onderzoeker. Vervolgens is van alle interviews geluidsopnamen en aanvullende notities gemaakt (‘hoor’). Na volledige uitwerking van de geluidsopnamen en notities zijn de concept interviewverslagen aan de geïnterviewden opgestuurd voor commentaar (‘wederhoor’). Terugontvangen commentaren betroffen vooral detailopmerkingen zoals verduidelijkingen van bankspecifieke termen en afdelingsnamen. Vervolgens zijn de interviewverslagen definitief gemaakt. De analyse en vergelijking van de definitieve interviewresultaten wordt in hoofdstuk 7 beschreven. 6.4 Vragenlijst kwalitatieve interviews Een goede vragenlijst vormt de basis voor een goed interview. Als basis voor de vragenlijst dienen de hypothesen uit hoofdstuk 5. Naast een vertaling van de hypothesen in hoofdvragen, moeten de vragen open zijn om daarmee de geïnterviewden de ruimte te laten een antwoord te formuleren. Naast hoofdvragen zijn ook subvragen ontworpen. De subvragen hebben twee doelen. Enerzijds dienen de subvragen om het risico te mitigeren dat sommige antwoorden onvoldoende informatief zouden zijn. Anderzijds dienen de subvragen als verdiepingsvraag zodat geïnterviewden bij het beantwoorden van een hoofdvraag niet teveel in detail hoeven te treden. Het is gebruikelijk om vragenlijsten voor te leggen aan een testgroep om daarmee de kwaliteit ervan te verhogen (Yin 2003). Echter, het testen van de vragenlijsten is achterwege gelaten aangezien de meerwaarde ervan onvoldoende is om de volgende redenen: § de hypothesen, hoofd- en subvragen zijn grotendeels afgeleid van wet- en regelgeving waardoor de kans op interpretatieverschillen van vragen klein is; § de subvragen bieden de onderzoeker de gelegenheid het gesprek en de beantwoording te sturen in de richting van hoe de vraag geïnterpreteerd moet worden. De voor de interviews gebruikte vragenlijst is opgenomen in Bijlage 19 en bestaat uit 6 delen met de volgende koppeling naar de hypothesen: A. Inleiding ⇒ toetsing hypothese 1 B. Organisatie BCM ⇒ toetsing hypothesen 2 en 3 C. Analyse en aanpak ⇒ algemeen voor toetsing hypotheses 3,4 en 5 D. BCM Programma ⇒ toetsing hypothese 4 E. Beheer BCM ⇒ toetsing hypothese 5 F. BCM wet- en regelgeving ⇒ algemeen voor toetsing hypotheses 3,4 en 5
2006 Bernard Korver
43
Business Continuity Management
UVA AgBS
6.5 Selectie van banken in Nederland De onderzoeksvraag voor dit onderzoek luidt: “Welke eisen stellen wetgever en toezichthouders aan BCM binnen banken en op welke wijze hebben banken hier invulling aan gegeven?” In paragraaf 1.4 is gesteld dat het onderzoek zich beperkt tot Nederlandse banken. Verder is in paragraaf 3.2.1 een specifieke afbakening aangegeven, te weten de tien banken die behoren tot de financiële kerninfrastructuur van het betalings- en effectenverkeer. Van de zes grootste van de tien banken15 zijn BCM deskundigen benaderd voor deelname aan het onderzoek. Vanwege twee late afzeggingen en zomervakantie van BCM deskundigen van andere banken, is het onderzoek uiteindelijk beperkt gebleven tot vier banken. Desondanks bieden de vier banken voldoende basis voor het al of niet handhaven van de hypothesen, omdat: § De vier banken samen ongeveer 75 % bezitten van het balanstotaal en bijna 75 % vertegenwoordigen van de totale nettowinst van de 10 banken; § De vier banken samen werkgelegenheid bieden aan bijna 70 % van het totaal aantal medewerkers van de 10 banken. Omdat het onderzoek kritische bedrijfsprocessen raakt van vier banken, is overeengekomen dat alle verkregen informatie vertrouwelijk wordt behandeld. Dit houdt in dat de namen van de deelnemende vier banken niet genoemd worden en dat onderzoeksresultaten anoniem blijven. Overigens zal dit de validiteit en toegevoegde waarde niet beperken omdat het onderzoek niet gericht is op individuele banken maar op de Nederlandse banken in het algemeen. Voor relevante kerncijfers van alle 10 banken van de financiële kerninfrastructuur wordt verwezen naar Bijlage 4. 6.6 Conclusie Voor het toetsen van de hypothesen zijn vier kwalitatieve interviews afgenomen bij 4 van de 10 banken die behoren tot de financiële kerninfrastructuur van Nederlandse banken. In dit hoofdstuk is beschreven waarom gekozen is voor kwalitatieve interviews, hoe de vragenlijst tot stand is gekomen en hoe selectie van de vier banken heeft plaatsgevonden. In het volgende hoofdstuk worden de interviewresultaten geanalyseerd om tot een uitspraak over de houdbaarheid van de vijf hypothesen te komen.
15
Tot deze 10 banken behoren: ABN Amro, Rabobank, ING Bank, Fortis Bank, SNS Bank, F. van Lanschot Bankiers, Bank Nederlandse Gemeenten, Friesland Bank, Kas Bank en NIBCapital. 2006 Bernard Korver
44
Business Continuity Management
UVA AgBS
7. Uitkomsten toetsing aan de praktijk 7.1 Introductie In dit zevende hoofdstuk worden de uitkomsten van de afgenomen interviews beschreven. Aan de hand van deze resultaten zullen de in hoofdstuk 5 ontworpen hypothesen houdbaar blijken of worden verworpen. Een uitspraak over de houdbaarheid vindt plaats na een analyse per element van elke hypothese. 7.2 Hypothese 1 De eerste hypothese luid: “Toegenomen klanteisen, wet- en regelgeving, eigen ervaring met calamiteiten of toegenomen complexiteit van IT hebben ertoe geleid dat financiële instellingen meer aandacht hebben gekregen voor BCM” waarbij onderstaande vier elementen zijn getoetst. Klanteisen Uit het onderzoek komt naar voren dat bij drie van de vier banken toegenomen klanteisen een zekere factor hebben gespeeld. Naast de eisen van externe klanten worden ook de eisen van interne klanten zoals gebruikers van IT genoemd. Twee banken hebben klanteisen met betrekking tot continuïteit van de dienstverlening zelfs vertaald in bedrijfsfilosofie of missiestatement. Zodoende wordt geconcludeerd dat klanteisen een belangrijke factor zijn voor verhoogde aandacht voor BCM. Wet- en regelgeving Drie banken geven aan dat vooral buitenlandse we t- en regelgeving drijfveren zijn geweest. Specifiek zijn genoemd wet- en regelgeving uit de Verenigde Staten (1 maal) en Basel2 van de BIS (3 maal). Een bank noemt als specifieke drijfveer het door de DNB in 2005 (en eerder) uitgevoerde onderzoek. Aanbeve ling van de DNB hebben geleid tot een bedrijfsbreed meer aandacht voor BCM. Toename in Wet- en regelgeving is een belangrijke drijfveer voor verhoogde aandacht voor BCM, luidt de conclusie. Ervaring met calamiteiten Twee banken geven te kennen dat eigen calamiteiten in de eigen organisatie bewustzijn voor BCM hebben verhoogd en voor één bank was het de directe aanleiding een speciaal programma op te starten om BCM op niveau te krijgen. Drie banken stellen dat externe calamiteiten als de bom aanslagen op het WTC te New York (9/11) de aandacht is verhoogd een zekere rol hebben gespeeld.
2006 Bernard Korver
45
Business Continuity Management
UVA AgBS
Geconcludeerd wordt dat ervaring met calamiteiten een belangrijke drijfveer is voor meer aandacht voor BCM. Complexiteit IT Bij twee banken wordt de toegenomen IT complexiteit aangegeven als drijfveer. Één bank geeft daarbij aan dat de IT complexiteit veroorzaakt is door samenvoeging van IT van overgenomen bedrijfsonderdelen. Zodoende blijkt uit het onderzoek dat toegenomen complexiteit van IT slechts gedeeltelijk een drijfveer is voor toegenomen aandacht voor BCM. 7.2.1 Houdbaar Op basis van de verkregen antwoorden verdeeld over de vier elementen van hypothese 1, wordt geconcludeerd dat hypothese 1 niet verworpen wordt en dus houdbaar is. Een kanttekening wordt geplaatst bij toegenomen complexiteit van IT aangezien deze drijfveer het minst is genoemd. Mogelijke oorzaak hiervan is IT reeds door voorgangers van BCM onder de aandacht heeft gestaan en dat daarom IT in mindere mate als complex wordt ervaren. 7.3 Hypothese 2 De tweede hypothese luid: “Het aantal BCM medewerkers hangt af van de grootte van banken gemeten in balanstotaal en totaal aantal medewerkers” waarbij onderstaande twee elementen zijn getoetst. Grootte van banken Aan de hand van de jaarverslagen over 2005 zijn gegevens verkregen met betrekking tot het balanstotaal en het totaal aantal medewerkers (zie Bijlage 4). Het is niet nodig geacht om deze openbare en door externe accountants gecertificeerde informatie nogmaals te laten bevestigen door de geïnterviewden. Daarom zijn hierover geen vragen gesteld in de interviews. Aantal BCM medewerkers Slechts bij één bank was een schatting beschikbaar van het totale aantal BCM medewerkers in de hele organisatie. Bij de andere drie banken was slechts het aantal BCM medewerkers op de centrale afdeling bekend. Als oorzaken zijn besproken dat afdelingen zelf budgetverantwoordelijk zijn en zelf eindverantwoordelijk zijn voor BCM. Hierdoor zijn onvergelijkbare aantallen BCM medewerkers vergregen en kan daarom geen uitspraak worden gedaan over de houdbaarheid van hypothese 2.
2006 Bernard Korver
46
Business Continuity Management
UVA AgBS
7.3.1 Geen uitspraak Gezien de beperkt beschikbare en onvergelijkbare informatie verkregen uit de interviews is het niet mogelijk een uitspraak te doen over de houdbaarheid van hypothese 2. In vervolgonderzoek kan hier rekening mee worden gehouden door enquetes te laten invullen door een representatief deel van de zelfverantwoordelijke afdelingen van banken. 7.4 Hypothese 3 De derde hypothese luid: “De organisatorische plaats van BCM voldoet aan tenminste vier van de vijf (80%) BCM-eisen teneinde te voldoen aan BCM weten regelgeving” waarbij onderstaande vijf eisen zijn getoetst. Management is verantwoordelijk voor een BCM strategie. Bij alle banken is er sprake van centrale aansturing en verantwoordelijkheid va n hoger management voor strategie en beleid. Bij één bank betreft de centrale aansturing een vorm van projectmangement en bij de andere drie banken bestaat er een centrlae BCM afdeling. Ondanks dat de centrale BCM afdelingen niet allemaal even hoog in de organisatie geplaats zijn, is er formeel sprake van centrale aansturing en verantwoordelijkheid voor BCM strategie op management niveau. Daarom wordt een score toegekend van 100%. Management stelt beleid en procedures op. Uit de interviews en uit de toegezonden documentatie wordt geconcludeerd dat BCM beleid hoog in de organisatie wordt opgesteld en goedgekeurd door de Raad van Bestuur. Bij twee banken bestaat er één centraal beleidsstuk en bij de andere twee banken betreffen het meerdere beleidsstukken die BCM raken. Vaak zijn dit IT gerelateerde beleidsstukken. Overigens is men bij één bank van de laatste categorie banken wel bezig met het formuleren van een centraal beleidsstuk. Daarom wordt een score toegekend van 100 %. Risico meetsysteem moet aanwezig zijn. De gevonden risico meetsystemen bestaan uit een mix van onderzoeken uitgevoerd door de BCM afdeling zelf of door uitgevoerd door de interne accountantsdienst. Twee banken doen beide en bij twee banken voert alleen de interne accountantsdienst onderzoeken uit. Men kan hiermee concluderen dat alle banken een risico meetsysteem hebben, Echter, in kwalitatief opzicht is dat niet helemaal het geval omdat de BCM afdelingen van de twee banken waarbij enkel de interne accountantsdienst onderzoeken uitvoert, geen onderzoeksrapportages ontvangen. Daarom wordt een score toegekend van 75%. Risico beheerssysteem moet aanwezig zijn. De interviewresultaten laten zien dat de risico beheersystemen gebaseerd zijn op beleid en nadere uitwerkingen ervan in de vorm van richtlijnen en procedures. Zodoende melden de BCM afdelingen van twee banken dat zij niet beschikken
2006 Bernard Korver
47
Business Continuity Management
UVA AgBS
over (management-)informatie met betrekking tot bijvoorbeeld test uitkomsten, status van actiepunten of versiebeheer van de BCP’s. De twee andere banken krijgen hier wel informatie over. Daarom wordt een score toegekend van 50%. Risico rapportage van calamiteiten moet aanwezig zijn. Uit de onderzoeksresultaten komt naar voren dat alle vier de banken een systematiek bezitten voor het rapporteren over calamiteiten. Het bij alle banken een systematiek die niet door de BCM afdeling wordt aangestuurd maar door afdeling die zich bezighoudt met Basel2/operationioneel risico rapportages. Meestal bevindt deze afdeling zich onder Operational Risk Management. In eerste instantie kan de conclusie luiden dat hiermee formeel aan het vereiste is voldaan. Echter, de BCM afdelingen van twee van de vier banken ontvangen de rapportage niet. Daarom wordt een score toegekend van 75%. 7.4.1 Houdbaar Het gemiddelde van de toegekende scores is exact 80%. Daarom wordt hypothese 3 niet verworpen en blijft dus houdbaar. Belangrijkste kanttekening is dat niet alle BCM afdelingen beschikken over (management-)informatie met betrekking tot bijvoorbeeld test uitkomsten, status van actiepunten of versiebeheer van de BCP’s. 7.5 Hypothese 4 De vierde hypothese luid: “Het BCM programma voldoet aan tenminste zes van de acht (75%) BCM-eisen teneinde te voldoen aan BCM wet- en regelgeving” waarbij onderstaande acht verzamelingen van eisen zijn getoetst. Identificeer activiteiten, kernprocessen en ondersteunende systemen en andere afhankelijkheden, maak een risico analyse en bepaal de impact ervan. De onderzoeksresultaten tonen aan dat alle banken aan alle elementen invulling geven en zodoende lijken te voldoen aan de gestelde eis. Twee van de vier banken geven aan dat kernprocessen vaak door meerdere afdelingen of business units heen lopen. Voor deze tweebanken wordt voor wat betreft de ketenprocessen niet geheel voldaan aan de gestelde eis. Overigens hanteert één bank in haar risico analyse categorieën van calamiteiten in plaats van de wenselijke indeling vanuit BCP toetsingskader van de DNB naar operationeel, financieel, juridisch en reputatie risico (DNB 2004-2). Zodoende wordt een score van 90% toegekend. Stel Business Continuity Plannen op (BCP’s) en regel voor kritische processen en ondersteunende systemen een uitwijklocatie op voldoende afstand en andere BCM maatregelen.
2006 Bernard Korver
48
Business Continuity Management
UVA AgBS
Ook geven de onderzoeksresultaten aan dat de vier banken voldoen aan de meeste elementen van de gestelde eis. Daarbij zijn twee banken bezig met de inrichting van nieuwe of andere uitwijklocatie om dat de huidige niet adequaat blijkt te zijn zoals bij één bank bleek uit een ‘near accident’. Ook geven twee banken aan dat voor ketenprocessen nog geen BCP beschikbaar is voor de keten als geheel, wel voor specifieke afdelingen en business units die een deel van het proces uitvoeren. Zodoende wordt een score van 90% toegekend. Oefen periodiek de BCP’s, BCM maatregelen, laat interne of externe accountants hierop controleren en kweek bewustzijn. Uit de onderzoeksresultaten blijkt dat alle banken een periodieke test uitvoeren op de BCP’s en de BCM maatregelen. Daarbij zijn verschillen geconstateerd in diepgang en periodiciteit van de tests. Op aandringen van het DNB onderzoek uit 2005 naar de kwaliteit van BCM bij de financiële kerninfrastructuur zijn verbeteracties ingezet. Twee banken geven aan dat een volledige BIT -test niet of slechts eens per twee jaar wordt uitgevoerd. Tevens geven twee van de vier banken aan dat de interne accountant niet controleert op de uitvoering van de test. De controle van de externe accountant op het oefenen van BCP’s en BCM maatregelen wordt geacht buiten de verantwoordelijkheid te vallen van de banken zelf en za l daarom ook niet meewegen voor de houdbaarheid van hypothese 4. Voor het bereiken van bewustzijn onder de organisatie over BCP’s en bewustzijn is onvoldoende informatie verkregen om mee te laten wegen voor de houdbaarheid van hypothese 4. Zodoende wordt een score van 50 % gegeven. Bij Outsourcing: waarborg dat dienstverlener een calamiteitenplan en backup procedures heeft. Van de vier banken heeft er één aangegeven geen processen geoutsourced te hebben. Van de resterende drie banken is vernomen dat zij allen aandacht hebben voor BCM bij outsourcing. BCM plannen, testrapporten worden vooral in het voortraject van outsourcing opgevraagd. Één bank geeft aan tijdens de outsourcing periodiek om SAS70 verklaringen te vragen om daarmee te waarborgen dat BCM adequaat is en niet enkel a priori goed geregeld was. Daarom wordt voor deze eis een score van 50% gegeven. Stel minimaal de volgende prioriteiten: RTOs, voldoende geografische spreiding van medewerkers, faciliteiten en data en veiligheid van de mens. Alle vier de banken hebben zo hun eigen opsomming van prioriteiten maar bevatten tenminste de gestelde eisen. Verder is door elke bank genoemd dat de veiligheid van de mens (klanten en medewerkers) als eerste prioriteit geldt. Over de eis van voldoende geografische spreiding van medewerkers is onvoldoende vergelijkbare informatie ontvangen. In de interviews bleek dat niet alle banken in het land activiteiten hadden en dus niet onderworpen zijn aan
2006 Bernard Korver
49
Business Continuity Management
UVA AgBS
deze eis. De betreffende eis zal dan ook niet verder meegewogen worden in de score deze vijfde eis. Daarom wordt een score toegekend van 100%. In het BCP staat hoe de factor mens zo min mogelijk de bottleneck vormt bij het voortzetten & hervatten van processen. Uit de onderzoeksresultaten is vernomen dat de factor mens een specifiek element is in het beleid of bij het uitvoeren van de risicoanalyses. Desondanks wordt bij twee van de vier banken te kennen gegeven dat aandacht in het beleid voor de continuïteit van kennis en kunde van medewerkers voor verbetering vatbaar is. Overigens wordt in het DNB onderzoek uit 2005 naar de kwaliteit van BCM onder de 10 banken van de financiële kerninfrastructuur als mitigerende factor genoemd dat nooit alle werknemers tegelijkertijd aan het werk zijn of op één locatie aanwezig zijn. Daarom wordt voor deze eis een score van 75% gegeven. Een Crisisorganisatie is aangesteld en kent een communicatieplan. De vier BCM experts geven te kennen dat CMT’s op meerdere niveaus in de organisatie voorkomen. Ook zijn er CMT’s voor bepaalde (hoofd-)locaties. CMT plannen verwijzen of naar een contactpersoon van de communicatieafdeling of een communicatieprotocol is geïntegreerd in het CMT plan of BCP. Door één bank wordt aangegeven dat het CMT plan beoordeeld is door de communicatieafdeling. Daarom wordt een score toegekend van 100%. Bewaak implementatie van het Business Continuity Plan. Zoals in het beleid opgenomen bij alle banken, zijn afdelingen zelf verantwoordelijk voor de implementatie van de BCP’s. Voor goede functiescheiding moet de bewaking over de implementatie van de BCP’s niet bij dezelfde afdeling liggen maar in dit geval bij voorkeur bij een centrale BCM afdeling. Uit de onderzoeksresultaten komt naar voren dat twee banken op centraal niveau de implementatiestatus bewaken van de BCP’s. De andere twee banken hebben hier geen geformaliseerde procedure voor. Deze bevinding sluit aan bij de bevinding van hypothese 3 met betrekking tot de vereiste aanwezigheid van een risico beheersysteem. Daarom wordt hier een score van 50% toegekend. 7.5.1 Houdbaar Het gemiddelde van de toegekende scores is afgerond naar beneden 75%. Dit percentage is niet lager dan de in de hypothese gestelde eis van 75%. Daarom wordt hypothese 4 niet verworpen maar blijft nipt houdbaar. Belangrijkste kanttekeningen zijn: § onvoldoende diepgang van tests van BCP’s en BCM middelen en de betrokkenheid van de interne accountant daarbij bij twee banken;
2006 Bernard Korver
50
Business Continuity Management
§ §
UVA AgBS
ex-post bewaking van de kwaliteit van BCM bij outsourcing partners bij drie banken; ontbreken van zichtbare bewaking op de implementatiestatus van BCP’s nij twee banken.
7.6 Hypothese 5 De vijfde hypothese luid: “Het beheer van BCM voldoet aan de twee BCM-eisen teneinde te voldoen aan BCM wet- en regelgeving” waarbij onderstaande elementen van belang zijn. Jaarlijkse evaluatie en overige testresultaten leiden tot een actueel beleid, procedures en BCP’s. Mede dankzij het DNB onderzoek van 2005 naar de kwaliteit van BCM bij de 10 banken van de financiële infrastructuur, hebben de vier banken in meer of mindere mate aandacht voor de gestelde eis. Twee banken hebben een geformaliseerde procedure en de andere twee banken niet. Deze bevinding sluit aan bij de bevinding van hypothese 3 over de aanwezigheid van een risico beheersysteem. Overigens zijn afdelingen bij alle banken zelf verantwoordelijk gehouden voor de gestelde eis, zoals in het beleid is opgenomen. Daarom wordt een score van 100% toegekend. (Internal) Audit vindt plaats op risico analyse, beleid, procedures en de BCP’s. De onderzoeksresultaten laten zien dat bij drie van de vier banken de interne accountant onderzoeken uitvoert op alle vier de elementen uit de gestelde eis. Bij één bank is aangegeven dat de interne accountant – van de vier vereiste elementen - enkel onderzoeken uitvoert op de naleving van procedures en de actualiteit van de BCP’s. Zodoende wordt een score toegekend van 90%. 7.6.1 Houdbaar Het gemiddelde van de toegekende scores is 95%. Daarom wordt hypothese 3 niet verworpen en blijft dus houdbaar. Belangrijkste kanttekening is dat bij één bank de interne accountant – van de vereiste vier elementen - enkel onderzoeken uitvoert op de naleving van procedures en de actualiteit van de BCP’s en niet op de risico analyse en het beleid.
2006 Bernard Korver
51
Business Continuity Management
UVA AgBS
7.7 Conclusie In dit hoofdstuk is de uitkomst van het praktijkonderzoek aan de hand van afgenomen interviews beschreven. Vier van de vijf hypothesen zijn houdbaar gebleken, waarvan twee ruimschoots (H1 en 5) en twee zeer nipt (H3 en 4). Over hypothese 2 kon geen uitspraak worden gedaan over de houdbaarheid. Slechts bij één bank was een schatting beschikbaar van het totale aantal BCM medewerkers in de hele organisatie. Bij de andere drie banken was slechts het aantal BCM medewerkers op de centrale afdeling bekend. Hierdoor zijn onvergelijkbare aantallen BCM medewerkers vergregen en kon daarom geen uitspraak worden gedaan over de houdbaarheid van hypothese 2. Bij hypotheses 1, 3, 4 en 5 waarover wel een uitspraak gedaan kon worden over de houdbaarheid, zijn de volgende leemtes ontdekt in de inrichting van BCM op basis van wet- en regelgeving en best practises: § Niet alle BCM afdelingen beschikken over (management-)informatie met betrekking tot BCM (bijvoorbeeld over test uitkomsten, status van actiepunten of versiebeheer van de BCP’s); § Tests van BCP’s en BCM middelen hebben dikwijls onvoldoende diepgang; § De interne accountant is onvoldoende betrokken en in zijn onderzoeken blijven risico analyse en het BCM beleid dikwijls buiten schot; § Ex-post bewaking van de kwaliteit van BCM bij outsourcing partners gebeurt te weinig; § Een proces voor de bewaking van de implementatiestatus van BCP’s is niet overal aanwezig. Hiermee is ruimschoots een antwoord gevormd op onderzoeksvraag 5 Zijn er leemtes te onderkennen in de inrichting van BCM bij banken?
2006 Bernard Korver
52
Business Continuity Management
UVA AgBS
8. Conclusie en opties vervolgonderzoek 8.1 Introductie In dit laatste hoofdstuk wordt op basis van de beantwoording van alle onderzoeksvragen een antwoord geven op de probleemstelling van dit onderzoek. Afgesloten wordt met een opsomming van enkele opties voor vervolgonderzoek. 8.2 Eindresultaat Gegeven de toegenomen belangstelling voor BCM bij bedrijven en het belang van BCM voor financiële instellingen, ontstond het idee om deze ontwikkeling te gebruiken voor dit onderzoek. Uit eerdere onderzoeken was gebleken dat weten regelgeving een belangrijke drijfveer is voor financiële instellingen om BCM aandacht te geven. Met die achtergrond is de volgende probleemstelling ontworpen voor dit onderzoek: Welke eisen stellen wetgever en toezichthouders aan BCM binnen banken en op welke wijze hebben banken hier invulling aan gegeven? Deze probleemstelling is aan de hand van een vijftal onderzoeksvragen geoperationaliseerd welke gaande het onderzoek allen zijn beantwoord. Drie onderzoeksvragen en het onderzoek tot de beantwoording ervan hebben geleid tot 5 hypotheses. Samen vormen de vijf hypothesen op hoofdlijnen de eisen die wetgever en toezichthouder stellen aan banken. In zoverre was hiermee het eerste deel van de probleemstelling beantwoord: Welke eisen stellen wetgever en toezichthouders aan BCM binnen banken? De vijf hypotheses zijn vervolgens aan de praktijk getoetst op hun houdbaarheid door deze te vertalen in standaard vragenlijsten voor het afnemen van kwalitatieve interviews. Uit de resultaten van de interviews is het volgende geconcludeerd: § Hypothese 1: ruimschoots houdbaar § Hypothese 2: geen uitspraak mogelijk § Hypothese 3: nipt houdbaar § Hypothese 4: nipt houdbaar § Hypothese 5: ruimschoots houdbaar Vooral bij de nipt houdbare hypotheses zijn de volgende verschillen (leemtes) gevonden tussen BCM inrichtingseisen van wetgever en toezichthouders en de realiteit:
2006 Bernard Korver
53
Business Continuity Management
§ § § § §
UVA AgBS
Niet alle BCM afdelingen beschikken over (management-)informatie met betrekking tot BCM (bijvoorbeeld over test uitkomsten, status van actiepunten of versiebeheer van de BCP’s); Tests van BCP’s en BCM middelen hebben dikwijls onvoldoende diepgang; De interne accountant is onvoldoende betrokken en in zijn onderzoeken blijven risico analyse en het BCM beleid dikwijls buiten schot; Ex-post bewaking van de kwaliteit van BCM bij outsourcing partners gebeurt te weinig; Een proces voor het bewaking van de implementatiestatus van BCP’s is niet overal aanwezig.
Hiermee is ook het tweede en laatste deel van de probleemstelling beantwoord: Op welke wijze hebben banken hier invulling aan gegeven? 8.3 Opties vervolgonderzoek Tot slot wordt in deze paragraaf enkele opties gegeven voor vervolgonderzoek. De opties komen voort uit ontwikkelingen, afbakening en gekozen onderzoeksmethode. Optie 1 Dat bewustzijn voor de noodzaak van BCM is toegenomen mede door (bedreigingen van) ernstige calamiteiten als de bomaanslagen op het WTC in New York (9/11) moge evident zijn. Niet evident is in hoeverre dit effect wegebt na verloop van tijd. Daarom zou het een optie zijn om een jaarlijks terugkerend onderzoek naar BCM bewustzijn te doen, om te bepalen of het effect veranderd is. Optie 2 Dit onderzoek heeft zich gericht op één van de 12 kerninfrastructuren in Nederland, te weten de financiële kerninfrastructuur. Een optie voor vervolgonderzoek kan zijn om een van de andere kerninfrastructuren i=onder de loep te nemen of om een internationale financiële kerninfrastructuur te definiëren en deze onder de loep te nemen. Optie 3 Dit onderzoek was gericht op de inrichting van BCM bij Nederlandse banken wat is getoetst met behulp van kwalitatieve interviews afgenomen bij BCM experts. Het zou een goed onderzoek kunnen vormen om in te zoomen op de werking van BCM bij dezelfde Nederlandse banken. Hiervoor zou dan het beste de onderzoeksmethode van enquêtes passen.
2006 Bernard Korver
54
Business Continuity Management
UVA AgBS
Bijlage 1: Begrippenlijst Business Continuity Management (BCM) Business Continuity Management is een bedrijfsbrede aanpak welke beleid, standaarden en procedures omvat, gericht op het waarborgen dat aangewezen operaties binnen een bepaald tijdsbestek behouden of heropgestart kunnen worden wanneer zich een calamiteit voordoet. Doelstelling daarbij is om operationele, financiële, juridische, reputatie en andere materiële schade tot een minimum te beperken. Business Continuity Plan (BCP) Een plan dat maatregelen omvat die leiden tot het waarborgen van continuïteit. Een BCP bestaat uit deelplannen voor de continuïteit van faciliteiten, informatie(-systemen), processen en mensen. In de deelplannen staat wat te doen bij een calamiteit en hoe terug te keren naar ‘business as usual’. Business Continuity Risk Assessment (BCRA) Een BCRA omvat een analyse van mogelijke calamiteiten die de continuïteit van kritische processen kunnen beïnvloeden. Business Impact Analysis (BIA) Een BIA volgt na een BCRA en omvat een analyse van de gevolgen indien zich een geïdentificeerde calamiteit voordoet. Gevolgen worden vaak ingedeeld in de categorieën operationeel, reputatie, financieel en juridisch. Business Integration Test (BIT) Een BIT betreft de volledige oefening van een BCP op een aangegeven uitwijklocatie. Processen worden daadwerkelijk uitgevoerd op de uitwijklocatie met behulp van de daar beschikbare werkplekken en IT middelen. Calamiteit Een calamiteit heeft het risico in zich een plotselinge en ernstige verstoring van processen te veroorzaken. Calamiteiten zijn divers van aard, van natuurramp tot de factor mens (terrorisme) en van IT tot wanprestatie van leveranciers. Crisis Management Team (CMT) Een CMT is het orgaan dat ten tijde van een calamiteit actief wordt en de regie voert over de uitvoering van het BCP. Een CMT wordt inactief nadat de status ‘business as usual’ is bereikt. Recovery Time Objective (RTO) Een RTO wordt toegekend aan processen, activiteiten en ondersteunende IT middelen. RTO’s worden meestal in uren en dagen gedefinieerd en worden in eerste instantie door functionarissen met kennis van kritische processen.
2006 Bernard Korver
55
Business Continuity Management
UVA AgBS
Bijlage 2: Referenties BIS (2001-1). Bron: www.bis.org/publ/cpss43, bezocht in juni 2006. BIS (2001-2). Bron: www.bis.org/publ/cpss46, bezocht in juni 2006. BIS (2004). Bron: www.bis.org/publ/cpss61, bezocht in juni 2006. BIS (2006). Bron: www.bis.org/about/index, bezocht in juli 2006. Basel Committee on Banking Supervision (2005). High level principles for Business Continuity. Bron: www.bis.org, bezocht in juni 2006. BCI – Business Continuity Institute. Bron: www.thebci.com, bezocht in juli 2006. BCI (2003). PAS56: Guide to Business Continuity Management. Bron: www.thebci.org, bezocht in mei 2006. Business Continuity Planners. Bron: www.businesscontinuityplanners.nl, bezocht in juni 2006. CobiT – Control Objectives for Information Technology. Bron: www.isaca.org, bezocht in juli 2006. CPSS (2001). Core Principles for Systemically Important Payment Systems. Bron: www.bis.org, bezocht in juni 2006. Deloitte & Touche en CPM (2006). Continuing the Journey. The 2005 Business Continuity Survey. San Jose/Flemington, Deloitte & Touche en CPM. De Nederlandse Bank (2004-1). Regeling Organisatie en Beheer. Amsterdam, DNB. De Nederlandse Bank (2004-2). Toetsingskader Business Continuity Planning. Amsterdam, DNB. De Nederlandse Bank (2005-1). Jaarverslag 2005. Amsterdam, DNB. De Nederlandse Bank (2005-2). Overzicht Financiële Stabiliteit in Nederland. Amsterdam, DNB. De Nederlandse Bank (2006). Toetsingskader Business Continuity Planning en noodscenario’s van de financiële sector. Presentatie BCM themadag Platform Informatiebeveiliging op 15 februari 2006. Gubrium en Holstein (2002). Handbook of interview research: context & method. Thousand Oakes, Sage. Hipaa Basics (2006). Hipaa Basics Glossary. Bron: www.hipaabasics.com, bezocht in juli 2006. ISO – International Organization for Standardization. Bron: www.iso.org, bezocht in juli 2006. Knegtel, L. (2006). BCM Pocketbook. Werkendam, BCM Academy, Damen. MBK (2005-1) - Ministerie van Binnenlandse zaken en Koninkrijksrelaties. Nieuwsbrief Crisibeheersing. Jaargang 3, nummer 6. MBK (2005-2) - Ministerie van Binnenlandse zaken en Koninkrijksrelaties. Rapport Bescherming Vitale Infrastructuur. 1 september 2005. NEN – Nederland Normalisatie-instituut. Bron: www2.nen.nl, bezocht in juli 2006. NIBE (2005). Algemene opleiding bankbedrijf. Amsterdam, NIBE SVV. Office of Government Commerce (2005). Business continuity and contingency management. Bron: via www.spring.gov.sg, bezocht in juni 2006. SEC (2001). Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System. Bron: www.sec.gov, bezocht in juni 2006. Smit (2005). Business Continuity Management – A maturity model. Rotterdam, thesis. Soxa (2002). Sarbanes Oxley Act. Bron: http://fl1.findlaw.com/news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf, bezocht in juli 2006.
2006 Bernard Korver
56
Business Continuity Management
UVA AgBS
Spring Singapore (2005). Fact sheet on business continuity management. Bron: www.spring.gov.sg/portal/products/nat_certification/bcm/bcm, bezocht in juni 2006. Starreveld, R.W., Mare,H.B. de, Joëls, E.J. (1998). Bestuurlijke Informatieverzorging / 2B Toepassingen. Typologie voor bedrijfshuishoudingen. Groningen, Wolters Noordhoff. Yin, R.K. (1994). Case study research - Design and methods. Thousand Oaks, Sage.
2006 Bernard Korver
57
Business Continuity Management
UVA AgBS
Bijlage 3: Betalings- en Effectenverkeersytemen in Nederland (DNB 2006)
2006 Bernard Korver
59
Business Continuity Management
UVA AgBS
Bijlage 4: Kerncijfers financiële kerninfrastructuur In miljoenen Euro’s per 31 december 2005
Balanstotaal
ING ABN Amro Fortis Rabobank SNS BNG NIB Capital F. van Lanschot Friesland bank KasBank
1.158.639 880.804 728.995 506.234 68.088 91.671 32.009 17.972 9.094 7.774
Totaal
3.494.227
Operationele Netto Totaal aantal kosten winst medewerkers 14.582 7.515 115.300 13.343 4.443 98.080 7.147 3.941 54.245 5.833 2.083 50.988 811 323 5.336 42 311 376 192 185 665 258 152 2.054 181 88 954 84 19 748 42.437 19.050
328.754
Bron: jaarverslagen gepubliceerd op officiële internetsites van de 10 banken.
2006 Bernard Korver
60
Business Continuity Management
UVA AgBS
Bijlage 5: Basel II: drie Pillars en de plaats van BCM Bron: BIS 2006
Onder Pillar 1 wordt een classificatie gemaakt naar drie ris ico’s waarvoor kapitaal gereserveerd moet worden: § Krediet risico (Part 2, II, III en IV) § Markt risico (Part 2, VI) § Operationeel risico (Part 2, V)
2006 Bernard Korver
61
Business Continuity Management
UVA AgBS
Bijlage 6: The Core Principles on SIPS Bron: CPSS 2001
De Core Principles on Systemically Important Payment Systems (SIPS) bestaan uit twee delen, een voor individuele financiële instellingen en een voor nationale centrale banken. Van het deel voor individuele financiële instellingen is Core Principle VII het meest relevant voor BCM bij banken in Nederland. Core principles for systemically important payment systems 1. The system should have a well founded legal basis under all relevant jurisdictions. 2. The system’s rules and procedures should enable participants to have a clear understanding of the system’s impact on each of the financial risks they incur through participation of it. 3. The system should have clearly defined procedures for the management of credit risk and liquidity risk, which specify the respective responsibilities of the system operator and the participants and which provide appropriate to manage and contain those risks. 4. The system should provide prompt final settlement on the day of value, preferably during the day and at a minimum at the end of the day. 5. A system in which multilateral netting takes place should, at a minimum, be capable of ensuring the timely completion of daily settlements in the event of an inability to settle by the participant with the largest single settlement obligation. 6. Assets used for settlement should preferably be a claim on the central bank; where other assets are used, they should carry little or no credit risk and little or no liquidity risk. 7. The system should ensure a high degree of security and operational reliability and should have contingency arrangements for timely completion of daily processing. 8. The system should provide a means for of making payments which is practical for its users and efficient for the economy. 9. The system should have objective and publicly disclosed criteria for participation, which permit fair and open access. 10. The system’s government arrangements should be effective, accountable and transparent. Responsibilities of the central bank in applying the Core Principles 1. The central bank should define clearly its payment system objectives and should disclose publicly its role and major policies with respect to systemically important payment systems. 2. The central bank should ensure that the systems it operates comply with the Core Principles. 3. The central bank should oversee compliance with the Core Principles by systems it does not operate and it should have the ability to carry out this oversight. 4. The central bank, in promoting payment system safety and efficiency through the Core Principles, should cooperate with other central banks and with any other relevant domestic or foreign authorities.
2006 Bernard Korver
62
Business Continuity Management
UVA AgBS
Bijlage 7: Recommendations for Security Settlement Systems Bron: BIS 2001-1
Van de 19 aanbevelingen voor Security Settlement Systems (SSSs) is nummer 11 relevant voor BCM en hieronder in detail uitgelicht.
Legal risk 1. Legal framework Pre-settlement risk 2. Trade confirmation 3. Settlement cycles 4. Central Counter Parties (CCPs) 5. Securities lending Settlement risk 6. Central Securities Depositories (CSDs) 7. Delivery versus payment (DVP) 8. Timing of settlement finality 9. CSD risk controls to address participants’ failures to settle 10. Cash settlement assets Operational risk 11. Operational reliability Sources of operational risk arising in the clearing and settlement process should be identified and minimised through the development of appropriate systems, controls and procedures. Systems should be reliable and secure, and have adequate, scalable capacity. Contingency plans and backup facilities should be established to allow for timely recovery of operations and completion of the settlement process. 3.57 To minimise operational risk, system operators should identify sources of operational risk, whether arising from the arrangements of the operator itself or from those of its participants, and establish clear policies and procedures to address those risks. There should be adequate management controls and sufficient (and sufficiently well qualified) personnel to ensure that procedures are implemented accordingly. Risks, operational policies and procedures, and systems should be reviewed periodically and after modifications to the system. Information systems should be subject to periodic independent audit, and external audits should be seriously considered. 3.58 All key systems should be secure (that is, have access controls, be equipped with adequate safeguards to prevent external intrusions, and provide audit trails), reliable, scalable and able to handle stress volume and have appropriate contingency plans to account for system interruption. Contingency plans should be rehearsed and capacity stress-tested. Ideally, backup systems should be immediately available. While it may be possible to recommence operations following a system disruption with some data loss, contingency plans should ensure that, as a minimum, the status of all transactions at the time of the disruption can be identified with certainty in a timely manner. The system
2006 Bernard Korver
63
Business Continuity Management
UVA AgBS
should be able to recover operations and data in a manner that does not disrupt settlement. Increasingly, SSSs are dependent on electronic communications and need to ensure the integrity of messages through using reliable networks and procedures (such as cryptographic techniques) to transmit data accurately, promptly and without material interruption. Markets should strive to keep up with improvements in technologies and procedures even though the ability to contain operational risks may be limited by the infrastructure in the relevant market (for example, telecommunications). Core Principle VII of the Core Principles for Systemically Important Payment Systems provides more details on operational issues. 3.59 Some clearing and settlement operations may be outsourced to third parties. In these circumstances, operational risk will reside with the outside service provider. System operators who outsource operations should ensure that those operations meet the same standards as if they were provided directly by the system operator. Custody risk 12. Protection of customers’ securities Other issues 13. Governance 14. Access 15. Efficiency 16. Communication procedures and standards 17. Transparency 18. Regulation and oversight 19. Risks in cross-border links
2006 Bernard Korver
64
Business Continuity Management
UVA AgBS
Bijlage 8: Recommendations for Central Counter Parties Bron: BIS 2001-2
Van de 14 aanbevelingen voor Centrale Tegenpartijen (CCPs) is nummer 7 relevant voor BCM en hieronder in detail uitgelicht. 1. 2. 3. 4. 5. 6.
Legal risk Participation requirements Collateral requirements Financial resources Default procedures Custody and investment risks
7. Operational risk A CCP should identify sources of operational risk and minimise them through the development of appropriate systems, controls and procedures. Systems should be reliable and secure, and have adequate, scalable capacity. Business continuity plans should allow for timely recovery of operations and fulfilment of a CCP’s obligations. 4.7.4 To minimise operational risk, CCPs should identify sources of risk, whether arising from the arrangements of the CCP itself, from those of its participants or from external factors, and establish clear policies and procedures to address those risks. Sound internal controls are essential to a CCP’s management of operational risk. There should be adequate management controls and sufficient (and sufficiently well qualified) personnel to ensure that procedures are implemented appropriately. Operational policies and procedures should be reviewed periodically and after modifications to systems. Information systems should be subject to periodic independent audit, and external audits should be seriously considered. 4.7.5 All key systems should be secure (that is, have access controls, be equipped with adequate safeguards to prevent external intrusions, and provide audit trails), reliable, scalable and able to handle stress volume. CCPs are dependent on electronic communications and need to ensure the integrity of messages by using reliable networks and procedures (such as cryptographic techniques) to transmit data accurately, promptly and without material interruption. Core Principle VII of the Core Principles for Systemically Important Payment Systems provides more details on operational issues. 4.7.6 Before a CCP embarks on other activities, it should be satisfied that these activities do not divert resources required to support its CCP functions. Where such a concern exists for current operations, it should either reduce its activities or increase its resources to a level that supports all of its activities adequately. 4.7.7 A CCP should have a business continuity plan that addresses events posing a significant risk of disrupting operations. Responsibility for business continuity planning within the CCP should be explicit, adequate resources should be devoted to this planning, and the commitment to planning should come from the highest levels of management. Business continuity plans should have clearly stated objectives, policies and procedures that allow for rapid recovery and timely resumption of critical operations
2006 Bernard Korver
65
Business Continuity Management
UVA AgBS
and that allow a CCP to continue to monitor the risks of its participants. Ideally, backup systems should commence processing immediately. While it may be possible to recommence operations following a system disruption with some data loss, contingency plans should, at a minimum, provide for the recovery of all transactions at the time of the disruption to allow systems to continue to operate with certainty. Several key jurisdictions regard two hours as the time by which critical systems should recommence operations. But depending upon the nature of problems, the recovery time may take longer. At a minimum, the recovery of operations and data should occur in a manner and time period that enables a CCP to meet its obligations on time. Business continuity plans should be regularly reviewed and tested with participants, and appropriate adjustments should be made to plans based on the results of such exercises. 4.7.8 Some CCP operations may be outsourced to third parties. In these circumstances, operational failures by the outside service providers can create operational risk for a CCP. CCPs that outsource operations should ensure that those operations meet the same standards as if they were provided directly. Further, a CCP should evaluate its vulnerability arising from reliance on one or a small number of outside providers for utility and similar services. If such a service provider stops operating, a CCP’s ability to operate could be compromised, possibly causing uncertainty in financial markets if it occurred with little or no warning. A CCP should seek to achieve diversity in key systems such as electricity and telecommunications to the extent possible. 8. Money settlements 9. Physical deliveries 10. Risks in links between CCPs 11. Efficiency 12. Governance 13. Transparency 14. Regulation and oversight
2006 Bernard Korver
66
Business Continuity Management
UVA AgBS
Bijlage 9: Interagency Paper on Sound Practises to Strengthen the Resilience of the US Financial System Bron: SEC 2001
Het Interagency Paper beschrijft drie Business Continuity doelstellingen en vier sound practises voor financiële instellingen verplicht te implementeren vanaf 2004. Doelstellingen: 1. Rapid recovery and timely resumption of critical operations following a wide-scale disruption; 2. Rapid recovery and timely resumption of critical operations following the loss or inaccessibility of staff in at least one major operating location; and 3. A high level of confidence, through ongoing use or robust testing, that critical internal and external continuity arrangements are effective and compatible. Sound Practises: 1. Identify clearing and settlement activities in support of critical financial markets. An organization should identify all clearing and settlement activities in each critical financial market in which it is a core clearing and settlement organization or plays a significant role. This assessment should include identification of activities or systems that support or are integrally related to the performance of clearing and settlement activities in those markets. 2. Determine appropriate recovery and resumption objectives for clearing and settlement activities in support of critical markets. For purposes of the sound practices, a recovery-time objective is the amount of time in which a firm aims to recover clearing and settlement activities after a wide-scale disruption with the overall goal of completing material pending transactions on the scheduled settlement date. Recovery-time objectives for clearing and settlement activities should be relatively consistent across critical financial markets. This promotes the compatibility of recovery plans and helps ensure that core clearing and settlement organizations and firms that play significant roles in critical financial markets will be able to participate in the financial system in times of wide-scale disruptions. Recovery-time objectives provide concrete goals to plan for and test against. They should not be regarded as hard and fast deadlines that must be met in every emergency situation. Indeed, the agencies recognize that various external factors surrounding a disruption such as time of day, scope of disruption, and status of critical infrastructure — particularly telecommunications — can affect actual recovery times. Furthermore, recovery time objectives might not be achievable following a late-day disruption without an extension of normal business hours. Market participants agree that core clearing and settlement organizations must meet more aggressive recovery-time objectives than firms that play significant roles in critical financial markets. This is because core clearing and settlement organizations are necessary to the completion of most transactions in critical markets; accordingly, they must recover and resume their critical functions in order for other market participants to process pending transactions and complete large-value payments. It also is reasonable to assume that there will be firms that play significant roles and other market participants
2006 Bernard Korver
67
Business Continuity Management
UVA AgBS
in locations not affected by a particular disruption that will need to clear and settle pending transactions in critical markets. Therefore, core clearing and settlement organizations should plan both to recover and resume their processing and other activities that support critical markets. In light of the large volume and value of transactions/payments that are cleared and settled on a daily basis, failure to complete the clearing and settlement of pending transactions within the business day could create systemic liquidity dislocations, as well as exacerbate credit and market risk for critical markets. Therefore, core clearing and settlement organizations should develop the capacity to recover and resume clearing and settlement activities within the business day on which the disruption occurs with the overall goal of achieving recovery and resumption within two hours after an event. Core clearing and settlement organizations also should develop plans for communicating with participants during a disruption to facilitate their rapid recovery. The ability of firms that play significant roles in critical financial markets to recover clearing and settlement activities depends on the timing of the recovery of core clearing and settlement organizations for those markets. For planning purposes, firms should assume that core clearing and settlement organizations will recover and resume clearance and settlement activities within the business day of the disruption. Accordingly, firms that play significant roles in critical financial markets should plan to recover clearing and settlement activities for those markets as soon as possible after the core clearing and settlement organizations have recovered and resumed their operations and within the business day on which a disruption occurs. In some markets, such as wholesale payments, the banking industry has had long-established recovery benchmarks of four hours and the largest participants in the wholesale payments market have actively discussed the need for a two-hour recovery standard by such organizations. Firms that play significant roles in the other critical financial markets should strive to achieve a four-hour recovery time capability for clearing and settlement activities in order to ensure that they will be able to meet a within the business day recovery target. 3. Maintain sufficient geographically dispersed resources to meet recovery and resumption objectives. Recovery of clearing and settlement activities within target times during a wide-scale disruption generally requires an appropriate level of geographic diversity between primary and back-up sites for back-office operations and data centers. The agencies do not believe it is necessary or appropriate to prescribe specific mileage requirements for geographically dispersed back-up sites. It is important for firms to retain flexibility in considering various approaches to establishing back-up arrangements that could be effective given a firm's particular risk profile. However, long-standing principles of business continuity planning suggest that back-up arrangements should be as far away from the primary site as necessary to avoid being subject to the same set of risks as the primary location. Back-up sites should not rely on the same infrastructure components (e.g., transportation, telecommunications, water supply, and electric power) used by the primary site. Moreover, the operation of such sites should not be impaired by a widescale evacuation at or the inaccessibility of staff that service the primary site. The effectiveness of back-up arrangements in recovering from a wide-scale disruption should be confirmed through testing. Core clearing and settlement organizations have the highest responsibility to develop resources that permit the recovery and resumption of clearing and settlement activities within the business day. Accordingly, these organizations should establish back-up facilities a significant distance away from their primary sites. Core clearing and 2006 Bernard Korver
68
Business Continuity Management
UVA AgBS
settlement organizations that use synchronous back-up facilities or whose back-up sites depend primarily on the same labour pool as the primary site should address the risk that a wide-scale disruption could impact either or both of the sites and their labour pool. Such organizations should establish even more distant back-up arrangements that can recover and resume critical operations within the business day on which the disruption occurs. Firms that play significant roles in critical financial markets should maintain sufficient geographically dispersed resources, including staff, equipment and data to recover clearing and settlement activities within the business day on which a disruption occurs. Firms may consider the costs and benefits of a variety of approaches that ensure rapid recovery from a wide-scale disruption. However, if a back-up site relies largely on staff from the primary site, it is critical for the firm to determine how staffing needs at the backup site would be met if a disruption results in loss or inaccessibility of staff at the primary site. Moreover, firms that use synchronous back-up facilities or whose back-up sites depend primarily on the same labour pool as the primary site should address the risk that a wide-scale disruption could impact either or both of the sites and their labour pools. As part of their ongoing planning process, firms with such back-up arrangements should strive to develop even more distant data back-up and operational resources that prove sufficient to recover clearing and settlement activities within the business day on which the disruption occurs. The business continuity planning process should take into consideration improvements in technology and business processes supporting back-up arrangements and the need to ensure greater resilience in the event of a wide-scale disruption. Interim steps a firm may take should be compatible with the objective of establishing even more distant back-up arrangements. The agencies expect that, as technology and business processes supporting back-up arrangements continue to improve and become increasingly cost effective, firms will take advantage of these developments to increase the geographic diversification of their back-up sites. 4. Routinely use or test recovery and resumption arrangements. One of the lessons learned from September 11 is that testing of business recovery arrangements should be expanded. It is critical for firms to test back-up facilities with the primary and back-up facilities of markets, core clearing and settlement organizations, and third-party service providers to ensure connectivity, capacity, and the integrity of data transmission. It also is important to test back-up arrangements with major counter parties and customers, as appropriate. Such testing ensures that recovery objectives are achievable and that staff and necessary external parties are sufficiently informed. Core clearing and settlement organizations should periodically test recovery and resumption plans at all of their back-up sites. Test scenarios should include wide-scale disruptions that affect the accessibility of key staff; demonstrate the ability to recover and resume within the business day; and aim for a two-hour recovery time. Core clearing and settlement organizations should require participants to test connectivity between their primary and back-up sites and those of the core clearing and settlement organizations. They also may wish to consider organizing a broader industry stress test to ensure that recovery systems are consistently robust across critical market participants. Firms that play significant roles in critical financial markets should routinely use or test their individual internal recovery and resumption arrangements for connectivity, functionality, and volume capacity. Firms that establish back-up sites within the current perimeter of synchronous back-up technology or that rely primarily on staff at the primary site should confirm that their plans would be effective if a wide-scale disaster affects both sites. Firms also are encouraged to take advantage of testing opportunities offered by markets, core clearing and settlement organizations and third-party service providers 2006 Bernard Korver
69
Business Continuity Management
UVA AgBS
to ensure connectivity, capacity and the integrity of data transmission. Firms are encouraged to continue to work cooperatively with their core clearing and settlement organizations and trade associations to design and schedule appropriate industry tests to ensure the compatibility of individual recovery and resumption strategies across critical markets.
2006 Bernard Korver
70
Business Continuity Management
UVA AgBS
Bijlage 10: Sarbanes-Oxley Act Bron: Soxa 2002
Sectie 404 van de Sarbanes-Oxley Act is het meest relevant voor BCM. TITLE I—PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD Sec. 101. Establishment; administrative provisions. Sec. 102. Registration with the Board. Sec. 103. Auditing, quality control, and independence standards and rules. Sec. 104. Inspections of registered public accounting firms. Sec. 105. Investigations and disciplinary proceedings. Sec. 106. Foreign public accounting firms. Sec. 107. Commission oversight of the Board. Sec. 108. Accounting standards. Sec. 109. Funding. TITLE II—AUDITOR INDEPENDENCE Sec. 201. Services outside the scope of practice of auditors. Sec. 202. Preapproval requirements. Sec. 203. Audit partner rotation. Sec. 204. Auditor reports to audit committees. Sec. 205. Conforming amendments. Sec. 206. Conflicts of interest. Sec. 207. Study of mandatory rotation of registered public accounting firms. Sec. 208. Commission authority. Sec. 209. Considerations by appropriate State regulatory authorities. TITLE III—CORPORATE RESPONSIBILITY Sec. 301. Public company audit committees. Sec. 302. Corporate responsibility for financial reports. Sec. 303. Improper influence on conduct of audits. Sec. 304. Forfeiture of certain bonuses and profits. Sec. 305. Officer and director bars and penalties. Sec. 306. Insider trades during pension fund blackout periods. Sec. 307. Rules of professional responsibility for attorneys. Sec. 308. Fair funds for investors. TITLE IV—ENHANCED FINANCIAL DISCLOSURES Sec. 401. Disclosures in periodic reports. Sec. 402. Enhanced conflict of interest provisions. Sec. 403. Disclosures of transactions involving management and principal stockholders. Sec. 404. Management assessment of internal controls. Sec. 405. Exemption. Sec. 406. Code of ethics for senior financial officers. Sec. 407. Disclosure of audit committee financial expert. Sec. 408. Enhanced review of periodic disclosures by issuers. Sec. 409. Real time issuer disclosures. TITLE V—ANALYST CONFLICTS OF INTEREST Sec. 501. Treatment of securities analysts by registered securities associations and national securities exchanges.
2006 Bernard Korver
71
Business Continuity Management
UVA AgBS
TITLE VI—COMMISSION RESOURCES AND AUTHORITY Sec. 601. Authorization of appropriations. Sec. 602. Appearance and practice before the Commission. Sec. 603. Federal court authority to impose penny stock bars. Sec. 604. Qualifications of associated persons of brokers and dealers. TITLE VII—STUDIES AND REPORTS Sec. 701. GAO study and report regarding consolidation of public accounting firms. Sec. 702. Commission study and report regarding credit rating agencies. Sec. 703. Study and report on violators and violations Sec. 704. Study of enforcement actions. Sec. 705. Study of investment banks. TITLE VIII—CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY Sec. 801. Short title. Sec. 802. Criminal penalties for altering documents. Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws. Sec. 804. Statute of limitations for securities fraud. Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive criminal fraud. Sec. 806. Protection for employees of publicly traded companies who provide evidence of fraud. Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies. TITLE IX—WHITE-COLLAR CRIME PENALTY ENHANCEMENTS Sec. 901. Short title. Sec. 902. Attempts and conspiracies to commit criminal fraud offences. Sec. 903. Criminal penalties for mail and wire fraud. Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security Act of 1974. Sec. 905. Amendment to sentencing guidelines relating to certain white-collar offences. Sec. 906. Corporate responsibility for financial reports. TITLE X—CORPORATE TAX RETURNS Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by chief executive officers. TITLE XI—CORPORATE FRAUD AND ACCOUNTABILITY Sec. 1101. Short title. Sec. 1102. Tampering with a record or otherwise impeding an official proceeding. Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission. Sec. 1104. Amendment to the Federal Sentencing Guidelines. Sec. 1105. Authority of the Commission to prohibit persons from serving as officers or directors. Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934. Sec. 1107. Retaliation against informants.
2006 Bernard Korver
72
Business Continuity Management
UVA AgBS
Bijlage 11: Regeling Organisatie en Beheer Bron: DNB 2004-1
Onder de Regeling Organisatie en Beheer (ROB) zijn 76 artikelen opgenomen. Hiervan zijn hieronder de voor BCM drie relevante artikelen weergegeven. Artikel 53 De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van alle operationele risico’s, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De operationele risico’s die de instelling loopt dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) calamiteiten en verliezen. De rapportage geschiedt overeenkomstig de door de instelling vastgestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen. Voor een adequate beheersing van operationele risico’s dient een systeem te worden opgezet waarin calamiteiten en verliezen op systematische wijze worden geregistreerd, geëvalueerd en gerapporteerd. Rapportage van operationele verliezen dient primair aan de relevante sleutelfunctionarissen plaats te vinden en, indien materieel, tevens aan het bestuur, teneinde zeker te stellen dat een adequate analyse wordt uitgevoerd op grond waarvan kan worden beoordeeld welke procedures en maatregelen (aanvullend) nodig zijn om herhaling te voorkomen. Artikel 57 De instelling draagt zorg voor specifieke maatregelen die een afdoende beveiliging van de informatie en de continuïteit van de IT waarborgen. De rechtszekerheid en de privacy van de cliënten dienen bij gebruikmaking van ITtoepassingen in voldoende mate te zijn gewaarborgd. Specifieke maatregelen met betrekking tot beveiliging van informatie dienen het exclusiviteits- en integriteitsrisico in voldoende mate in te perken. Het belang van een toereikende beveiliging van de informatie is groter naarmate de IT van de instelling door middel van netwerken is verbonden met de buitenwereld. Dit brengt risico’s met zich mee zoals het onderscheppen en manipuleren van berichten en documenten, alsmede ongeautoriseerde toegang tot de IT-omgeving, waartegen de instelling afdoende maatregelen dient te treffen. Voorts behoeft in dat kader de handhaving van de privacy van cliënten en zijn gegevens bijzondere aandacht. In het kader van haar beveiligingsbeleid dient de instelling zich tevens te beijveren om haar cliënten bij gebruik van (open) netwerkomgevingen een zelfde rechtszekerheid en bescherming te bieden als bij gebruik van meer traditionele communicatieomgevingen. Bij het gebruik maken van elektronische media voor transactiediensten zal de instelling extra aandacht dienen te geven aan de te treffen beveiligingsmaatregelen. Onder transactiediensten worden in dit verband verstaan die toepassingen waarbij acceptatie of uitwisseling van rechten, verplichtingen of zaken of van daarop betrekking hebbende informatie wordt aangeboden. Ook op het gebied van de toepassing van technische verificatie- en beschermingsmaatregelen ter beveiliging van de elektronische media verwacht de Bank van de instelling, dat zij zich conformeert aan de ter zake geldende ‘sound practices’. Het ongestoord functioneren van de dienstverlening van de instelling is in belangrijke
2006 Bernard Korver
73
Business Continuity Management
UVA AgBS
mate afhankelijk van de beschikbaarheid van de IT. De instelling dient daarom maatregelen te treffen respectievelijk procedures in te stellen die zorgdragen voor de ongestoorde beschikbaarheid van de IT, waarbij aandacht wordt besteed aan bijvoorbeeld het toepassen van back-up- en recovery-maatregelen, het beschikken over een actueel calamiteitenplan, het beschikken over uitwijkmaatregelen alsmede het periodiek testen daarvan. Artikel 61 De instelling werkt de beleidsuitgangspunten ter beheersing van uitbestedingsrisico’s nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen. In de artikelen 58 en 59 is een zorgvuldigheidseis gesteld, ten aanzien waarvan de volgende uitvoeringsaspecten kunnen worden genoemd: § passende procedures en maatregelen ter voorbereiding van de besluitvorming ten aanzien van voorgenomen nieuwe of gewijzigde uitbesteding, waaronder de eerder genoemde risicoanalyse en de beschikbaarheid van voldoende gegevens; § de beoordeling van de externe dienstverlener/leverancier op aspecten als de financiële gegoedheid, reputatie en integriteit, kwaliteit van de dienstverlening, interne organisatie en beheersing, beschikbaarheid van voldoende deskundig personeel, eventuele onderaanbesteding, vertrouwelijkheid van informatie, het land van vestiging met de daarbij behorende mogelijkheden tot toegang voor de instelling en haar externe accountant, alsmede voor de Bank (zie artikel 62); § een calamiteitenplan, waaronder back-upprocedures.
2006 Bernard Korver
74
Business Continuity Management
UVA AgBS
Bijlage 12: Toetsingskader BCP betalings- en effectenverkeer Bron: DNB 2004-2
1. Iedere instelling moet een door de directie/senior-management goedgekeurd business continuity plan hebben waarin de strategie, business continuity doeleinden en kritische bedrijfsprocessen zijn bepaald en waar in adequate continuïteitsmaatregelen staan beschreven. Uiteraard staat de veiligheid en bescherming van de medewerkers voorop. Het plan moet tenminste a j arlijks worden geactualiseerd en eventueel vaker als er ingrijpende wijzigingen zijn in de organisatie, bedrijfsprocessen of systemen. In het plan dient uitleg te worden gegeven over de maximaal acceptabele tijd dat bedrijfsprocessen en systemen niet kunnen functioneren. In het plan moet tevens aandacht zijn besteed aan de internationale dimensie van de organisatie en consequenties van b.v. outsourcing zijn meegenomen. Het verdient overweging dat het BCP-plan door de interne auditafdeling is beoordeeld. 2. Iedere instelling dient een risicoanalyse te hebben gemaakt van mogelijke calamiteiten en vooral de impact op essentiële systemen en processen. Hierbij kunnen calamiteitenscenario’s worden geclassificeerd in de categorieën: technisch en organisatorisch falen, moedwillig menselijk handelen (terrorisme, fysiek geweld, cyberaanvallen) en natuurrampen. Deze aanpak sluit ook aan op de lopende regeringsprojecten Vitale infrastructuren en Crisisbeheersing. Voorts dienen aanvaardbare restrisico’s te worden aangegeven. 3. In het business continuity plan dient transparant te worden gemaakt op welke wijze in de plannen rekening is gehouden dat de menselijke factor zo min mogelijk een bottleneck is bij het voortzetten van de bedrijfsprocessen en hoe inzet van (andere) medewerkers na een ramp kan worden georganiseerd. Dit zowel voor de ICT als voor de business. Het gaat hierbij met name om een inspanningsverplichting omdat dit een lastige conditie is om te realiseren. Een gedachte bij veel instellingen is dat altijd wel een deel van de medewerkers buiten de locatie is (b.v. vrij). 4. Iedere instelling dient over een crisisorganisatie te beschikken om in geval van nood handelend te kunnen optreden. De crisisorganisatie wordt aangestuurd door directie/seniormanagement. 5. Elke instelling dient een analyse te hebben in welke mate men afhankelijk is van basisvoorzieningen (elektriciteit, telecom etc.) en externe providers en op welke wijze de uitwijk hiervoor is georganiseerd. Single points of failure dienen te worden geïdentificeerd. Dit kan overigens ook een organisatieonderdeel zijn of het feit dat slechts een of een paar medewerkers over essentiële kennis beschikken. Ook dient te zijn nagedacht over eventuele alternatieven om de continuïteit van kernvoorzieningen veilig te stellen. 6. De essentiële bedrijfsprocessen en systemen dienen zo vlug mogelijk te worden hervat. Hierbij kan voor deelnemers buiten de kerninfrastructuur een langere hersteltijd gelden. 7. Elke instelling dient met zijn essentiële systemen te kunnen uitwijken naar een ander centrum dat, afhankelijk van het risicoprofiel, op voldoende afstand ligt van de hoofdsite.
2006 Bernard Korver
75
Business Continuity Management
UVA AgBS
Hierbij dient een tijdshorizon voor de verwachte uitval- of hersteltijd te worden toegepast. Voorts dient een risicoafweging beschikbaar te zijn, waarin is aangegeven welke risico’s bij uitwijken worden gelopen en onder welke omstandigheden de risico’s kunnen worden beperkt door het systeem op de hoofdsite te herstellen en opnieuw op te starten. 8. Uitwijk van systemen en continuity- en contingencyprocedures moeten regelmatig worden getest. Het gaat hierbij om het testen van zowel ICT-systemen als medewerkers (b.v. uitwijk van de business). Afhankelijk van het belang van het systeem en de business dient dit minimaal eenmaal per jaar te gebeuren. Desgewenst kan worden afgesproken om end-to-end testen voor de gehele keten te organiseren (intern en extern). Voorts kunnen testen van primary site naar secondary site en van secondary site naar secondary site worden gehouden (dit vereist wel een brede afstemming binnen de kerninfrastructuur). 9. Iedere instelling dient een communicatieplan te hebben over de wijze waarop in geval van een calamiteit de communicatie naar alle stakeholders zo adequaat mogelijk kan worden georganiseerd (o.a. de aanleg van contactlijsten en boodschappen). 10. Voor de kerninfrastructuur van het betalings- en effectenverkeer als geheel dient een business continuity strategie en plan te worden gemaakt. Deze norm is een gezamenlijke verantwoordelijkheid van de instellingen die de kerninfrastructuur vormen (en dus geen afzonderlijke verantwoordelijkheid). Op dit niveau kunnen uitwijkprocedures tenminste een keer per jaar worden geoefend en, indien verantwoord, kunnen end-to-end en cross-tests plaatsvinden. Daarnaast dient een crisiscommunicatiestructuur aanwezig te zijn (Escalatiecommissie) om direct slagvaardig te kunnen optreden. Voorts dient op sectorniveau aandacht te worden besteed aan de juridische grondslag voor ‘emergency powers’.
2006 Bernard Korver
76
Business Continuity Management
UVA AgBS
Bijlage 13: High Level Principles for Business Continuity Bron: Basel Committee on Banking Supervision 2005
Principle 1: Board and senior management responsibility Financial industry participants and financial authorities should have effective and comprehensive approaches to business continuity management. An organisation’s board of directors and senior management are collectively responsible for the organisation’s business continuity. Principle 2: Major operational disruptions Financial industry participants and financial authorities should incorporate the risk of a major operational disruption into their approaches to business continuity management. Financial authorities’ business continuity management also should address how they will respond to a major operational disruption that affects the operation of the financial industry participants or financial system for which they are responsible. Principle 3: Recovery objectives Financial industry participants should develop recovery objectives that reflect the risk they represent to the operation of the financial system. As appropriate, such recovery objectives may be established in consultation with, or by, the relevant financial authorities. Principle 4: Communications Financial industry participants and financial authorities should include in their business continuity plans procedures for communicating within their organisations and with relevant external parties in the event of a major operational disruption. Principle 5: Cross-border communications Financial industry participants’ and financial authorities’ communication procedures should address communications with financial authorities in other jurisdictions in the event of major operational disruptions with cross-border implications. Principle 6: Testing Financial industry participants and financial authorities should test their business continuity plans, evaluate their effectiveness, and update their business continuity management, as appropriate. Principle 7: Business continuity management reviews by financial authorities Financial authorities should incorporate business continuity management reviews into their frameworks for the ongoing assessment of the financial industry participants for which they are responsible.
2006 Bernard Korver
77
Business Continuity Management
UVA AgBS
Bijlage 14: Publicly Available Specification (PAS) 56 Bron: BCI 2003
Volgens PAS 56 wordt BCM door vijf levensfasen gekenmerkt met daarbinnen meerdere kernelementen: 1. 2. 3. 4. 5.
Understanding your business: BIA, risico analyse en RTOs Develop Continuity Strategy: uitwijkstrategieën / kostenefficiënt Developing the response: preventieve en repressieve BCM maatregelen Establishing the Continuity Culture: educatie en bewustzijn stakeholders Exercising & Plan Maintenance: oefenen, auditen en change management
2006 Bernard Korver
78
Business Continuity Management
UVA AgBS
Bijlage 15: Control Objectives or Information Technology Bron: CobiT 2006
Van de 34 high level doelstellingen van CobiT zijn er drie die direct verband houden met BCM, te weten: § DS 3: Availability and performance requirements § DS 4: IT Continuity Framework § PO 9: Business Risk Assessment Categorie Plan and Organize
Nr PO 1 PO 2 PO 3 PO 4 PO 5 PO 6 PO 7 PO 8 PO 9 PO 10 PO 11
Beheersingsdoelstelling Define a strategic IT Plan Define the Information Architecture Determine Technological Direction Define the IT Organisation and Relationships Manage the IT Investment Communicate Management Aims and Direction Manage Human Resources Ensure Compliance With External Requirements Assess Risks Manage Projects Manage Quality
Acquire and Implement AI 1 AI 2 AI 3 AI 4 AI 5 AI 6
Identify Automated Solutions Acquire and Maintain Application Software Acquire and Maintain Technology Infrastructure Develop and Maintain Procedures Install and Accredit Systems Manage Changes
Deliver and Support
DS 1 DS 2 DS 3 DS 4 DS 5 DS 6 DS 7 DS 8 DS 9 DS 10 DS 11 DS 12 DS 13
Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure Systems Security Identify and Attribute Costs Educate and Train Users Assist and Advise Customers Manage the Configuration Manage Problems and Incidents Manage Data Manage Facilities Manage Operations
Monitor
M1 M2 M3 M4
Monitor the Processes Assess Internal Control Adequacy Obtain Independent Assurance Provide for Independent Audit
2006 Bernard Korver
79
Business Continuity Management
UVA AgBS
Bijlage 16: IT Infrastructure Library Bron: ITIL 2006
ITIL onderscheidt vijftien IT processen waarvan er twee direct met BCM te maken hebben. Hoofdstuk 8 IT Service Continuity Management en hoofdstuk 9 Availability Management onderscheiden respectievelijk vijf en negen onderwerpen die in detail BCM behandelen. Nr 1 2 3 4 5 6 7 8
9
IT Proces Business Perspective Planning to Implement Service Management ICT Infrastructure Management Application Management Service Level Management Financial Management for IT Services Capacity Management IT Service Continuity Management 8.1 8.2 8.3 8.4 8.5 Availability Management 9.1 9.2 9.3 9.4 9.5
10 11 12 13 14 15
9.6 9.7 9.8 9.9 The Service Desk Incident Management Problem Management Configuration Management Change Management Release Management
2006 Bernard Korver
Beheersingsdoelstelling
Determine scope of IT SCM Establish roles and responsibilities Undertake risk assessment and business impact analysis Develop business continuity strategy Develop and test IT SCM plans Determine availability requirements from the business Formulate availability and recovery design criteria Maintain availability plan Define targets for availability, reliability and maintainability Establish measures that reflect stakeholder perspectives Monitor availability and report on trends Review IT service and component availability Consider security requirements Improve availability within cost constraints
80
Business Continuity Management
UVA AgBS
Bijlage 17: Standaard ISO/IEC 17799: 2005 Bron: ISO 2006
De standaard beschrijft uniforme richtlijnen en principes voor het initiëren, implementeren, onderhouden verbeteren van informatie beveiliging voor elke organisatie. § § § § § § § § § § §
H 1: Security policy H 2: Organisation of information security H 3: Asset management H 4: Human resources security H 5: Physical and environmental security H 6: Communications and operations management H 7: Access control H 8: Information systems acquisition, development and maintenance H 9: Information security incident management H 10: Business continuity management H 11: Compliance
Hoofdstuk 10 gaat over BCM en beschrijft de volgende zes onderwerpen: § § § § § §
H 10.1: Business Continuity Management procesbeschrijving H 10.2: Uitvoeren van een Business Impact Analyse H 10.3: Ontwikkeling Business Continuity Plan H 10.4: Implementatie Business Continuity Plan H 10.5: Kader voor Business Continuity Planning H 10.6: Testen en onderhouden van Business Continuity Plannen
2006 Bernard Korver
81
Business Continuity Management
UVA AgBS
Bijlage 18: Model voor inrichting BCM bij Nederlandse banken In totaal zijn 58 BCM-eisen behandeld die in wet- en regelgeving en best practises voorkomen. Om tot een finaal model te komen voor inrichting van BCM bij Nederlandse banken volgen hieronder twee stappen: 1. Onderverdeling van alle 58 BCM-eisen naar de drie onderwerpen: § De organisatorische plaats van BCM § BCM Programma § Beheer BCM 2. Samenvoeging van gelijkluidende eisen en verwijdering van doublures Stap 1 Alle 58 BCM-eisen worden door een verwijzing naar de bron voorafgegaan en genummerd De volgende legenda is toegepast: Bas = Basel2 CCP = Recommendations for Central Counter Parties Cob = CobiT InP = Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System ISO = ISO/IEC 17799:2005 Information Security Management ITI = ITIL P56 = PAS 56 ROB = Regeling Organisatie en Beheer Sox = Soxa SSS = Recommendations for Security Settlement Systems Toe = Toetsingskader BCP betalings- en effectenverkeer De organisatorische plaats van BCM 1. Bas_1 : Risicobeheerssysteem moet aanwezig zijn. 2. Bas_2 : Risicomeetsysteem moet aanwezig zijn. 3. Bas_3 : Risico rapportagesysteem moet aanwezig zijn. 4. SSS_2a: Beleid en procedures opstellen. 5. Sox_1 : Management is verantwoordelijk voor het implementeren van adequate interne controles in casu BCM maatregelen. 6. ROB_1 : Risico meetsysteem moet aanwezig zijn. 7. ROB_2 : Risico beheerssysteem moet aanwezig zijn. 8. ROB_3 : Risico rapportage van (dreigende) calamiteiten moet aanwezig zijn. 9. Toe_1a: BCP is goedgekeurd door senior management en bevat de strategie, doelen, kritische processen en de BCM maatregelen. 10. Toe_10: Een BCM strategie is beschikbaar voor de kerninfrastructuur als geheel. 11. P56_1 : BCM Programme Management 12. P56_2 : BCM Policy 13. P56_6 : Organisation (Corporate) Strategy 14. ISO_1 : Business Continuity Management procesbeschrijving 15. ISO_5 : Kader voor Business Continuity Planning 16. Cob_2 : DS4: IT Continuity Framework 17. P56_9 : Planning
2006 Bernard Korver
82
Business Continuity Management
UVA AgBS
BCM Programma 18. SSS_1 : Risico analyse uitvoeren. 19. SSS_2b: Contingency plannen (cp’s) opstellen. 20. SSS_3 : Periodiek oefenen van de cp’s. 21. SSS_6 : Aandacht voor BCM bij outsourcing. 22. CCP_1 : Het Business Continuity Plan (BCP) moet het risico van een ernstige operationele verstoring bevatten. 23. InP_1 : Identificatie van activiteiten, processen en ondersteunende systemen. 24. InP_2 : Vaststellen van Recovery Time Objectives (RTO) van maximaal 4 uur. 25. InP_3 : Voldoende geografische spreiding van medewerkers, faciliteiten en data. 26. InP_4 : Periodiek testen van de BCM maatregelen. 27. Sox_2 : Interne en externe accountants controleren of een getest Business Continuity Plan aanwezig is. 28. ROB_4a: IT: toepassen van back-up- en recovery-maatregelen, het beschikken over een actueel calamiteitenplan, het beschikken over uitwijkmaatregelen alsmede het periodiek testen daarvan. 29. ROB_4b: IT: Het periodiek testen van back-up- en recovery-maatregelen, het calamiteitenplan en de uitwijkmaatregelen. 30. ROB_5 : Outsourcing: waarborgen dat dienstverlener een calamiteitenplan en backup procedures heeft. 31. Toe_1b : Veiligheid van de mens staat voorop en het BCP wordt tenminste jaarlijks geactualiseerd. 32. Toe_2 : Risico analyse van mogelijke calamiteiten en de impact ervan is aanwezig. 33. Toe_3 : In het BCP staat hoe de factor mens zo min mogelijk de bottleneck vormt bij het voortzetten & hervatten van processen. 34. Toe_4 : Crisisorganisatie is aangesteld door senior management 35. Toe_5 : Analyse van afhankelijkheden van basisvoorzieningen (elektriciteit, water, telecom) is aanwezig. 36. Toe_6 : Kritische processen en ondersteunende systemen dienen bij een calamiteit zo spoedig mogelijk te worden hervat. 37. Toe_7 : Voor kritische processen en ondersteunende systemen is een uitwijklocatie beschikbaar op voldoende afstand. 38. Toe_8 : BCM maatregelen op de uitwijklocatie worden tenminste jaarlijks getest. 39. Toe_9 : Een crisis communicatieplan is beschikbaar. 40. P56_3 : BCM assurance 41. P56_4 : BIA 42. P56_5 : Risk Assessment 43. P56_7 : Process Strategy 44. P56_8 : Resource Recovery Strategy 45. P56_10: Solutions 46. P56_11: Crisis Management 47. P56_12: Training & Awareness 48. P56_13: Exercising 49. Cob_1 : DS3: Availability and performance requirements 50. Cob_3 : PO9: Business Risk Assessment 51. ITI_1 : Review IT service and component availability 52. ITI_2 : Improve availability within cost constraints 53. ISO_2 : Uitvoeren van een Business Impact Analyse 54. ISO_3 : Ontwikkeling Business Continuity Plan 55. ISO_4 : Implementatie Business Continuity Plan 56. ISO_6a: Testen van Business Continuity Plannen 2006 Bernard Korver
83
Business Continuity Management
UVA AgBS
Beheer BCM 57. SSS_4 : Periodiek evalueren van risico analyse en beleid, procedures en de cp’s. 58. SSS_5 : Evaluatie door Internal Audit van risico analyse en beleid, procedures en de cp’s en de evaluatie ervan. 59. CCP_2 : BCP testresultaten leiden tot adequate aanpassingen van de BCP. 60. P56_14: Maintenance 61. P56_15: Audit 62. ISO_6b: Onderhouden van Business Continuity Plannen NB. Door de opsplitsing van BCM-eisen Toe_1, ROB_4, SSS_2 en ISO_6 in een a en b deel, zijn er in eerste instantie 62 BCM-eisen ontstaan. Stap 2 De organisatorische plaats van BCM 7 Sox_1/P56_1/Toe_1a/Toe_10/ISO_1/ISO_5/ P56_6/Cob_2/P56_9: Management is verantwoordelijk voor het implementeren van adequate interne controles in casu BCM maatregelen/ Business Continuity Management procesbeschrijving/BCP is goedgekeurd door senior management en bevat de strategie, doelen, kritische processen en de BCM maatregelen/Een BCM strategie is beschikbaar voor de kerninfrastructuur als geheel/BCM Programme Management/Kader voor Business Continuity Planning/Organisation (Corporate) Strategy/DS4: IT Continuity Framework/Planning. 8 ROB_1 : Risico meetsysteem moet aanwezig zijn. 9 ROB_2 : Risico beheerssysteem moet aanwezig zijn. 10 Bas_3/ROB_3 : Risico rapportage van (dreigende) calamiteiten moet aanwezig zijn. 11 SSS_2a/P56_2: Beleid en procedures opstellen/BCM Policy. BCM Programma 12 SSS_1/InP_1/Toe_2/P56_4/P56_5/Cob_1/Cob_3/ISO_2: Risico analyse uitvoeren/Identificatie van activiteiten, processen en ondersteunende systemen /Risico analyse van mogelijke calamiteiten en de impact ervan is aanwezig/BIA/Risk Assessment/DS3: Availability and performance requirements/PO9: Business Risk Assessment/Uitvoeren van een Business Impact Analyse. 13 SSS_2b/CCP_1/ROB_4a/Toe_5/Toe_6/Toe_7/P56_7/P56_8/ITI_1/ISO_3: Contingency plannen (cp’s) opstellen/Het Business Continuity Plan (BCP) moet het risico van een ernstige operationele verstoring bevatten/IT: toepassen van back-upen recovery-maatregelen, het beschikken over een actueel calamiteitenplan, het beschikken over uitwijkmaatregelen evenals het periodiek testen daarvan/Analyse van afhankelijkheden van basisvoorzieningen (elektriciteit, water, telecom) is aanwezig/Kritische processen en ondersteunende systemen dienen bij een calamiteit zo spoedig mogelijk te worden hervat/Voor kritische processen en ondersteunende systemen is een uitwijklocatie beschikbaar op voldoende afstand/Process Strategy/ Resource Recovery Strategy/Review IT service and component availability/ Ontwikkeling Business Continuity Plan. 14 SSS_3/InP_4/Sox_2/Toe_8/P56_12/P56_13/ISO_6a: Periodiek oefenen van de cp’s/Periodiek testen van de BCM maatregelen/Interne en externe accountants controleren of een getest Business Continuity Plan aanwezig is/BCM maatregelen op de uitwijklocatie worden tenminste jaarlijks getest/Training & Awareness/ Exercising/ Testen van Business Continuity Plannen. 2006 Bernard Korver
84
Business Continuity Management
UVA AgBS
15 SSS_6/ROB_5/ : Aandacht voor BCM bij outsourcing/Outsourcing: waarborgen dat dienstverlener een calamiteitenplan en back-up procedures heeft. 16 InP_2/InP_3/P56_10/ITI_2 : Vaststellen van Recovery Time Objectives (RTO) van maximaal 4 uur/Voldoende geografische spreiding van medewerkers, faciliteiten en data/Veiligheid van de mens staat voorop en het BCP wordt tenminste jaarlijks geactualiseerd/Solutions/Improve availability within cost constraints 17 Toe_3: In het BCP staat hoe de factor mens zo min mogelijk de bottleneck vormt bij het voortzetten & hervatten van processen. 18 Toe_4/Toe_9/P56_11: Crisisorganisatie is aangesteld door senior management/Een crisis communicatieplan is beschikbaar/Crisis Management. 19 P56_3/ISO_4: BCM assurance/Implementatie Business Continuity Plan. Beheer BCM 20 ROB_4b/SSS_4/CCP_2/P56_14/ISO_6b: IT: Het periodiek testen van back-up- en recovery-maatregelen, het calamiteitenplan en de uitwijkmaatregelen/Periodiek evalueren van risico analyse en beleid, procedures en de cp’s/BCP testresultaten leiden tot adequate aanpassingen van de BCP/Maintenance/Onderhouden van Business Continuity Plannen. 21 SSS_5/P56: Evaluatie door Internal Audit van risico analyse en beleid, procedures en de cp’s en de evaluatie ervan/Audit.
2006 Bernard Korver
85
Business Continuity Management
UVA AgBS
Bijlage 19: Vragenlijst Interviews Onderstaande vragenlijst is gebruikt tijdens de interviews. De hoofdvragen - vragen met een nummer ervoor - zijn van te voren opgestuurd ter voorbereiding van de geïnterviewden. Indien de hoofdvraag niet direct voldoende werd beantwoord, zijn subvragen – met een letter ervoor - gesteld om alsnog een voldoende antwoord te verkrijgen. A - Inleiding 1 - Waarom is BCM belangrijk (geworden) voor uw organisatie? a. Aanleiding aandacht voor BCM? b. Eigen ervaring in calamiteiten? c. Welke rol speelt (nieuwe) wetgeving? B - Organisatie BCM 1 - Hoe is BCM georganiseerd in uw organisatie? (verantwoordelijkheden, budget) a. Wie is verantwoordelijk? Centrale unit? Budget – FTEs ? b. Tot hoe hoog in de organisatie wordt specifiek over BCM gerapporteerd? c. Worden er BCM-losses geregistreerd i.n.k.v. Basel2? Door wie? d. Internationale focus / alignment met organisatie model? 2 - Bestaat er een bedrijfsbreed BCM beleid? (1 of meer beleidsstukken?) a. Corporate policy? Guidelines? b. Is deze afgetekend door strategisch/hoger management? C - Analyse en aanpak 1 - Hoe is vastgesteld welke eisen aan BCM gesteld moeten worden? (intern, extern, wetgeving) a. Aandacht voor wet- en regelgeving (ROB, Basel2, Sox, 7 HL principles on BCM-BIS)? b. Best practises (PAS 56, ISO, Cobit, etc)? c. Betrokken in DNB onderzoek in 2005/2006? Wat waren de voornaamste aanbevelingen? Eye-openers? D - BCM Programma 1 - Welke elementen zijn te onderscheiden in uw BCM programma? (model, CMT, BCRA, BIA, BCP, etc) a. Hanteert u een specifiek model? b. Analyse kritische processen, utilities, key persons, key systems? c. Is outsourcing een specifiek element? (SAS70, echt getest of anders) d. Impact analyse categorisering: Fysiek (IT, gebouw), data, mensen? e. Risico analyse (BIA) naar categorieën (bv operatie, financieel, juridisch, reputatie)? f. Onderscheid naar preventieve, correctieve en repressieve maatregelen? g. Hoe heeft de implementatie plaatsgevonden?
2006 Bernard Korver
86
Business Continuity Management
UVA AgBS
h. Wordt er een CMT onderscheiden? Niveau in organisatie? CMT trainingen en de frequentie ervan? i. Communicatie protocollen in BCP? (Intern, x-border FSI) j. Welke prioritering volgt uw organisatie? 1) mens (in aantal, kennis) en 2) afhandeling van Betalingsverkeer en effectenverkeer? k. Is het testen van BCM plannen voorgeschreven? Aandacht voor diepgang (systeemtest, people, BIT – end-to-end) en frequentie. E - Beheer BCM 1 - Hoe wordt gezorgd dat het BCM programma up-to-date blijft? a. En bij wets- en regelwijzigingen? b. En bij proces of organisatie wijzigingen? c. Hoe wordt geleerd van test uitkomsten? d. Vinden er (onafhankelijke) onderzoeken plaats? Audit? F - BCM wet- en regelgeving 1- Wat is uw visie over de huidige BCM wet – en regelgeving? a. Intern/extern/NL/Internationaal? b. Hoe ziet u deze wet- en regelgeving ontwikkelen de aankomende jaren?
2006 Bernard Korver
87