Business Continuity Management en Pandemieën in de Bancaire Sector
Een conceptueel raamwerk voor het opzetten en evalueren van continuïteitsmaatregelen gericht op de gevolgen van een pandemie
Roel van Overdam (9981231) Henk Pater (9981232)
April 2008
i
Referaat – BCM en pandemieën
Business Continuity Management en Pandemieën in de Bancaire Sector
Een conceptueel raamwerk voor het opzetten en evalueren van continuïteitsmaatregelen gericht op de gevolgen van een pandemie
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Afstudeerrichting: Postgraduate IT Audit opleiding
K PM G IT Advisory Burgemeester Rijnderslaan 20 1185 MC Amstelveen
De Boelelaan 1105 1081 HV Amsterdam
Begeleider Universiteit C. Coumou
Auteurs: H. Pater Msc Drs. ing. R. van Overdam
Bedrijfsbegeleider A. Wijsman
E m ai l
[email protected] [email protected]
Referaat – BCM en pandemieën
VU Amsterdam Inhoudsopgave Samenvatting ............................................................................................................................ iii Voorwoord................................................................................................................................ iv 1
2
Inleiding............................................................................................................................. 1 1.1
Aanleiding ................................................................................................................ 1
1.2
Doelstelling en vraagstelling .................................................................................... 2
1.3
Reikwijdte en beperkingen ....................................................................................... 2
1.4
Structuur ................................................................................................................... 2
De bancaire sector en Business Continuity Management.................................................. 3 2.1
De bancaire sector nader gedefinieerd ..................................................................... 3
2.2
Risicomanagement ................................................................................................... 3
2.2.1 2.3
3
Business Continuity Management............................................................................ 4
2.3.1
Business Continuity Management gedefinieerd .................................................. 4
2.3.2
Business Continuity Management proces ............................................................ 5
2.4
De Nederlandsche Bank over pandemieën en continuïteit....................................... 8
2.5
Samenvatting BCM onderdelen ............................................................................... 9
Karakteristieken van een (griep)pandemie ...................................................................... 10 3.1
Pandemie gedefinieerd ........................................................................................... 10
3.2
Griepvirus, vogelgriep en grieppandemie .............................................................. 11
3.2.1
Griepvirus .......................................................................................................... 11
3.2.2
Van vogelgriep naar grieppandemie .................................................................. 12
3.3
WHO fasen voor een (dreigende) grieppandemie .................................................. 13
3.4
Kenmerkende gevolgen van een grieppandemie.................................................... 14
3.4.1 3.5
Uitval van mensen ............................................................................................. 14 Karakteristieken van een grieppandemie ............................................................... 16
3.5.1
Schaalgrootte en besmettelijkheid ..................................................................... 16
3.5.2
Voorspelbaarheid, duur en verloop.................................................................... 16
3.6 4
Risicomanagementproces volgens COSO-ERM ................................................. 4
Samenvatting kenmerkende gevolgen en karakteristieken van een grieppandemie17
Conceptueel raamwerk .................................................................................................... 18 4.1
Opbouw van het conceptueel raamwerk ................................................................ 18
4.2
Het conceptueel raamwerk als denkmodel ............................................................. 18
4.3
Vragen op basis van het conceptueel raamwerk nader uiteengezet ....................... 22
4.3.1
Primair uitval van mensen in plaats van middelen ............................................ 22
i
Referaat – BCM en pandemieën
4.3.2
Ook uitval bij andere organisaties ..................................................................... 24
4.3.3
Consumentengedrag verandert .......................................................................... 25
4.3.4
Invloed op sociaal en emotioneel gedrag ........................................................... 27
4.4 Evaluatie van gebruik en de inzetbaarheid van het conceptueel raamwerk voor de IT auditor ............................................................................................................................. 29 5
Persoonlijke reflectie ....................................................................................................... 30
Literatuurlijst ........................................................................................................................... 31 Bijlage A
Influenza nader bekeken .................................................................................... 33
Bijlage B
COSO nader bekeken ........................................................................................ 36
B.1
Interne omgeving ................................................................................................... 36
B.2
Bepalen van doelstelling ........................................................................................ 36
B.3
Identificatie van gebeurtenissen ............................................................................. 37
B.4
Risicoanalyse ......................................................................................................... 37
B.5
Risicoreactie en implementeren van maatregelen .................................................. 37
B.6
Informeren, communiceren en monitoren .............................................................. 37
Bijlage C
Circulaire DNB en AFM ................................................................................... 38
ii
Referaat – BCM en pandemieën
Samenvatting Dit referaat is geschreven ten behoeve van de afronding van de postdoctorale IT audit opleiding aan de Vrije Universiteit, Amsterdam. Het referaat is tot stand gekomen op basis van bestudering van theorie en door middel van interviews met (ervarings)deskundigen. De interviews zijn zowel in het aanvangstadium als afrondingsstadium uitgevoerd. Op deze manier hebben we de resultaten kunnen gebruiken ter aanvulling van ons referaat, evenals ter validatie. In het referaat staat onderstaande vraagstelling centraal: Welke aspecten van een pandemie, inclusief aandachtspunten vanuit De Nederlandsche Bank en de Autoriteit Financiële Markten, raken de Business Contiuinty Management maatregelen binnen banken en welke vragen zijn voor een IT auditor relevant voor het opzetten en/of evalueren van dergelijke maatregelen? Om antwoord te geven op de vraagstelling is een conceptueel raamwerk opgesteld dat banken en IT auditors in staat stelt om, vanuit de gevolgen van een pandemie, het BCM proces te evalueren voor wat betreft de risico’s en maatregelen, om als zodanig de continuïteit te waarborgen en te voldoen aan de eisen/richtlijnen vanuit de DNB/AFM. Om antwoord te geven op de vraagstelling is een conceptueel raamwerk opgesteld dat banken en IT auditors in staat stelt om de continuïteitsmaatregelen die resulteren uit het risicomanagementproces, het daaronder liggende BCM proces en de eisen/richtlijnen vanuit de DNB/AFM, te beoordelen vanuit de gevolgen van een pandemie en, waar van toepassing, de karakteristieken van de pandemie. Het conceptueel raamwerk bestaat uit een verticale as en een horizontale as. Op de verticale as zijn de stappen uit het risicomanagement en het BCM proces opgenomen als het opstellen van Business Continuity Plannen en Incident Management Plannen. De horizontale as beschrijft de belangrijkste gevolgen van een pandemie – uitval van mensen, uitval van externe partijen, veranderend consumentengedrag, en maatschappelijke ontwrichting – waarmee men rekening moet houden. In het conceptueel raamwerk zijn vragen opgenomen die de IT auditor kunnen helpen bij het inventariseren van de getroffen of nog te treffen maatregelen om de gevolgen van een pandemie te beperken en daarmee een bijdrage te leveren aan de continuïteit van een bank. Om effectiviteit van de maatregelen te beoordelen wordt ook rekening gehouden met de karakteristieken van een pandemie – wereldwijde uitbraak, mate van besmettelijkheid, mate van voorspelbaarheid, en het verloop van de griepgolf. Deze aspecten kunnen enerzijds leiden tot ineffectieve of lastig uitvoerbare maatregelen, maar kunnen anderzijds ook kansen bieden voor nieuwe of alternatieve maatregelen met een hogere effectiviteit. Daarnaast kan de IT auditor op basis van het raamwerk een relatie leggen naar zijn of haar vakgebied; met behulp van de vragen uit het conceptueel raamwerk kan worden geïnventariseerd welke maatregelen zijn opgezet (of opgezet dienen te worden). Dit kan vanuit twee perspectieven worden bekeken. Enerzijds kan worden vastgesteld of een maatregel gebruik maakt van IT als middel. Anderzijds kan, los van het feit of IT als middel in de maatregel aanwezig is, worden vastgesteld of en in hoeverre de maatregel een impact heeft op de IT organisatie.
iii
Referaat – BCM en pandemieën
Voorwoord Dit referaat is geschreven door Henk Pater en Roel van Overdam. Beiden zijn sinds 2005 werkzaam bij KPMG IT Advisory (voorheen KPMG Information Risk Management), Financial Services. In het dagelijkse werk houden wij ons bezig met het uitvoeren van een diversiteit aan opdrachten. Daarbij kan onderscheid worden gemaakt in audit en adviesgerelateerd werk. In het eerste geval gaat het om jaarrekeningcontroles, third party audits en SAS70 verklaringen en in het tweede geval, procesherontwerp, projectmanagement, risicomanagement, pakketselectie en outsourcing. Het merendeel van deze werkzaamheden voeren wij uit in de financiële sector. Bij alle werkzaamheden spelen informatievoorziening en IT een belangrijke rol. Een andere belangrijke gedeelde noemer is het beheersingsvraagstuk. Wij houden ons vaak bezig met het maken van inschattingen met de mate van beheersing binnen organisaties of projecten. In de dagelijkse werkzaamheden wordt vaak vanuit risico’s geredeneerd, maar daarbij wordt niet altijd rekening gehouden met de extremere scenario’s. In ons referaat hebben wij gekozen voor een onderwerp, uitbraak van een pandemie, dat voor veel mensen momenteel als extreem en onwaarschijnlijk wordt gezien. Echter, vanuit de wereld komen steeds meer voorbeelden van het uitbreken van allerlei besmettelijke en dodelijke virussen, denkend aan vogelgriep en SARS. Bovendien stellen experts ‘dat het niet de vraag is of een pandemie gaat uitbreken, maar wanneer.’ Vanuit de wereld van virologen wordt hier veel over gesproken en geschreven. Daarnaast zijn er artikelen te vinden over de mogelijke impact op het bedrijfsleven. Echter, over hoe een auditor of bank hierna kan kijken is weinig bekend. Met ons referaat hebben een eerste aanzet gedaan om te komen tot een conceptueel raamwerk. Als benoemd kan het conceptueel raamwerk worden gebruikt door banken en specifiek door de functies (IT) auditor, business continuity manager, risicomanager en externe auditors. Ondanks dat het geschreven is vanuit het perspectief van een bank is het naar ons inzicht ook toepasbaar op andere sectoren. Tot slot willen wij de volgende personen bedanken voor hun inzet en medewerking: R. Knip (DNB), F. de Vries (Rabobank), N. Hannema (Rabobank), T. Jansen (COT), M. Zannoni (COT), R. Fontijn (TCG), R. Hoekman (TCG), A. Wagenaar (Bank of Scotland), M. de Rijke (NIBC), J. Smit (ING), C. Meeuwisse (Equens), M. Koppers (Fortis), J. Gorlee (SNS) en M. May Didden (ABN-AMRO Mellon). Vanuit KPMG gaat onze dank uit naar Antoine Wijsman welke in het voortraject veel stimulans en inspiratie heeft geboden om het onderwerp op te pakken. Speciale dank gaat uit naar Cees Coumou voor zijn ondersteuning tijdens het schrijven van ons referaat. Cees heeft ons meerdere malen aan het denken gezet over de invulling van het vakgebied risicomanagement en Business Continuity Management. Dit heeft bijgedragen aan onze persoonlijke beeldvorming en heeft ons daarmee verrijkt als adviseurs.
Henk Pater, Roel van Overdam Amstelveen, april 2008
iv
Business Continuity Management en Pandemieën in de Bancaire Sector
1 Inleiding Dit hoofdstuk beschrijft als eerste de aanleiding van het opstellen van het referaat. Vervolgens wordt de doelstelling en vraagstelling nader toegelicht, waarnaast aandacht wordt besteed aan de aanpak en de onderzoeksmethode. Daarna worden de reikwijdte en beperkingen van het referaat besproken. Ten slotte wordt de opzet van het referaat uiteengezet.
1.1
Aanleiding
Binnen de financiële sector relatief veel aandacht voor Business Continuity Management (BCM). Dit geldt des te meer voor de bancaire sector, welke onderdeel is van de financiële sector. De afgelopen jaren worden in het kader van BCM drie nieuwe risicothema’s onderkend [1]. Het eerste nieuwe thema heeft betrekking op terrorisme. Sinds de terroristische aanslagen op het World Trade Center in New York op 9 september 2001 is terrorisme veel onder de aandacht. Daarnaast worden de consequenties van de wereldwijde klimaatsverandering meer en meer zichtbaar. Vooral extreme weersomstandigheden brengen nieuwe problemen met zich mee. Ten slotte staat het begrip pandemie als actueel thema op de kaart, vooral door de voor mensen gevaarlijke variant van de vogelgriep (H5N1), maar ook door bijvoorbeeld BSE (gekke koeienziekte). Deze nieuwe dreigingen hebben hun weerslag op hoe financiële instellingen omgaan met BCM. Dit referaat gaat in op dreiging en gevolgen die bij een pandemie horen. De World Health Organisation (WHO) gaf in 2003 voor het eerst serieus aandacht aan het onderwerp pandemie in relatie tot de risico’s voor de westerse wereld en de wereldwijde economie [2]. In de jaren daarna besteedt de WHO aandacht aan onder andere het opzetten van ‘preparedness meetings’ en het vergroten van de voorraad vaccins. Tevens is een speciale ‘Epidemic and Pandemic Alert and Response’ (EPR) unit opgezet. Er wordt gesteld dat: “Epidemics and pandemics can place sudden and intense demands on health systems. They expose existing weaknesses in these systems and, in addition to their morbidity and mortality, can disrupt economic activity and development” [3]. Met betrekking tot continuïteitsrisico’s gerelateerd aan een pandemie hebben De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) in de zomer van 2006 een brief uitgedaan met als onderwerp circulaire continuïteitsaspecten grieppandemie, welke van toepassing is voor financiële instellingen [4]. Uit de circulaire blijkt dat vanuit diverse instanties en experts een voortdurende bezorgdheid wordt geuit over de mogelijke uitbraak van een grieppandemie en de gevolgen hiervan voor de maatschappij en het financiële systeem. De circulaire van DNB en AFM maakt het onderwerp grieppandemie bespreekbaar en geeft aandachtspunten weer. Het omgaan met een pandemie behoort niet tot de kernprocessen van financiële instellingen. Bovendien betreft het een onderwerp welke ingaat op negatieve zaken (in plaats van bijvoorbeeld kansen), waardoor het onderwerp vaak een ‘ongewenst’ agendapunt voor de Management Board of Raad van Bestuur is. Te meer omdat een pandemie voor velen een “ver van mijn bed show” is, ofwel een onreële dreiging met een lage kans. Met de circulaire heeft DNB en de AFM het onderwerp grieppandemie op de agenda gezet van banken en controlerende instanties als accountantbureaus (IT auditors en financial auditors). Echter, vanuit het prudentiële gedachtegoed van DNB zijn geen concrete normen uitgebracht. Terwijl zowel de bank als controlerende beroepsgroep kan worden gevraagd een mening en/of oordeel te vormen over de getroffen maatregelen.
1
Business Continuity Management en Pandemieën in de Bancaire Sector
1.2
Doelstelling en vraagstelling
De doelstelling van het referaat is het opstellen van een conceptueel raamwerk, dat banken en IT auditors in staat stelt om, vanuit de aspecten van een pandemie, BCM maatregelen te evalueren en te voldoen aan de eisen/richtlijnen vanuit de DNB/AFM. De vraagstelling is dientengevolge: Welke aspecten van een pandemie, inclusief aandachtspunten vanuit DNB/AFM, raken de BCM maatregelen binnen banken en welke vragen zijn voor een IT auditor relevant voor het opzetten en/of evalueren van dergelijke maatregelen? Om deze vraagstelling te kunnen beantwoorden, dienen de volgende deelvragen te worden beantwoord: •
Wat wordt verstaan onder BCM en hoe ziet het BCM proces eruit?
•
Welke aandachtspunten met betrekking tot een pandemie worden gehanteerd door de DNB?
•
Wat wordt verstaan onder pandemie?
•
Wat zijn de aspecten van een pandemie?
Het referaat is tot stand gekomen op basis van bestudering van theorie en door middel van interviews met (ervarings)deskundigen. De interviews zijn zowel in het aanvangstadium als afrondingsstadium uitgevoerd. Op deze manier was het mogelijk de resultaten zowel te gebruiken ter aanvulling als ter validatie van het onderzoek
1.3
Reikwijdte en beperkingen
Het onderzoek richt zich primair op BCM binnen de bancaire sector in relatie tot continuïteitsrisico’s vanuit een pandemie. Het op te stellen conceptueel raamwerk dient bruikbaar te zijn voor de bancaire sector. Het kan dienen als evaluatiemiddel of als handvat voor het treffen van maatregelen redenerend vanuit het pandemiescenario voor zowel de business als IT. Dit referaat zal niet concluderen met een kant en klare maatregelenset; immers de invulling van maatregelen zal immers afhangen van de organisatie.
1.4
Structuur
Het referaat is als volgt opgebouwd: Hoofdstuk 2 gaat nader in op de bancaire sector en Business Continuity Management. In dit hoofdstuk wordt de verticale as van het conceptueel raamwerk gepresenteerd. Hoofdstuk 3 beschrijft het begrip pandemie en de bijhorende karakteristieken van deze dreiging, evenals de gevolgen. Aan het einde van hoofdstuk 3 wordt de horizontale as van het conceptueel raamwerk gepresenteerd. In hoofdstuk 4 wordt het totale raamwerk gepresenteerd. In het raamwerk zijn vragen opgenomen welke een bank en IT auditor bijvoorbeeld kan meenemen om BCM maatregelen van een bank op een pandemiescenario te evalueren. Dit hoofdstuk wordt tevens gezien als de conclusie van het referaat. Tot slot wordt in hoofdstuk 5 een persoonlijke reflectie gegeven over hetgeen is onderzocht en de resultaten daarvan.
2
Business Continuity Management en Pandemieën in de Bancaire Sector
2 De bancaire sector en Business Continuity Management Dit hoofdstuk richt zich op het onderwerp Business Continuity Management (BCM) binnen de bancaire sector en de invulling daarvan in het perspectief van een pandemie. Voordat wordt ingegaan op de uitwerking van het begrip BCM wordt eerst aandacht besteed aan de bancaire sector en aan risicomanagement, zodat BCM in die context kan worden bezien.
2.1
De bancaire sector nader gedefinieerd
De bancaire sector (lees: banken) maakt deel uit van de groep financiële instellingen, net als onder andere verzekeraars en pensioenfondsen. Niet iedere organisatie kan zich uitgeven als bank. Om te voldoen aan het predikaat bank en bijhorende diensten dient een bankvergunning worden aangevraagd bij DNB. In Nederland wordt het begrip bank als volgt gedefinieerd: Bank: degene die zijn bedrijf maakt van het buiten besloten kring ter beschikking verkrijgen van opvorderbare gelden van anderen dan professionele marktpartijen, en van het voor eigen rekening verrichten van kredietuitzettingen (Wet op financieel toezicht, afdeling 1.1.1, artikel 1.1) Daarnaast wordt nog een specifiek type bank gedefinieerd, namelijk de elektronische geldinstelling (egi): Elektronische geldinstelling: degene die, geen bank zijnde, zijn bedrijf maakt van het ter beschikking verkrijgen van gelden in ruil waarvoor elektronisch geld wordt uitgegeven waarmee betalingen kunnen worden verricht ook aan anderen dan degene die het elektronisch geld uitgeeft (Wet op financieel toezicht, afdeling 1.1.1, artikel 1.1) Op het moment dat een organisatie een bankvergunning verkrijgt van DNB wordt deze opgenomen in het Register van de Wet financieel toezicht (in vervolg aan te duiden als Wft). Een bank dient te voldoen aan de wet- en regelgeving opgenomen in de Wft [5]. In de Wft wordt relatief veel aandacht besteed aan het risicomanagementproces binnen banken. Hieronder valt onder andere BCM.
2.2
Risicomanagement
Dat risicomanagement een actueel onderwerp is binnen banken valt te verklaren uit onder andere de formele wetgeving waarin risicomanagement een centraal onderwerp vormt, maar ook uit de maatschappelijke druk die is ontstaan naar aanleiding van (grootschalige) incidenten die zich hebben voorgedaan en zich nog steeds voordoen. Een zeer recent voorbeeld is de kredietcrisis op de Amerikaanse markt die zijn invloed heeft op de gehele wereldeconomie [6]. Niet alleen nationaal, maar ook internationaal is er veel aandacht voor risicomanagement, evenals BCM als onderdeel van risicomanagement. De belangrijkste ontwikkelingen op dit gebied is de implementatie van het vernieuwde Basel II Akkoord [7]. Het Basel II Akkoord is opgesteld door de Bank for International Settlement en geadopteerd door de Europese Centrale Bank. Vervolgens hebben dertien landen van de Europese Unie dit Akkoord doorvertaald in landspecifieke wet- en regelgeving. In Nederland is dit gedaan door DNB [8]. De uiteindelijke vertaling is terug te vinden in de Wft.
3
Business Continuity Management en Pandemieën in de Bancaire Sector
2.2.1
Risicomanagementproces volgens COSO-ERM
Banken kunnen op verschillende manieren invulling geven aan het risicomanagementproces. Een geaccepteerd raamwerk in onder andere de bancaire sector is het COSO Enterprise Risk Management Framework (in het vervolg aan te duiden als COSO raamwerk) [9]. Het COSO raamwerk geeft handvatten om tot een concrete aanpak te komen voor risicomanagement. Vanuit het COSO raamwerk wordt het omgaan met risico management als volgt beschreven: “Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” Hieruit blijkt dat het gaat om een continu en dynamisch proces, dat vanuit strategisch niveau alle lagen van de organisatie en haar medewerkers raakt. Het risicomanagementproces is gericht op het identificeren van dreigingen op de entiteiten/organisatie, en de omgang met dreigingen afgestemd op de mate waarin de onderneming bereid is risico’s te accepteren. Het draagt bij aan het verschaffen van redelijke zekerheid over het behalen van de organisatie doelstellingen en daarmee het voldoen aan wet- en regelgeving. De omgang met de geïdentificeerde dreigingen betekent dat eventueel maatregelen worden getroffen met als doel het risico te beperken. Daarbij dient het risico te worden bekeken als de kans maal de impact van een dergelijke gebeurtenis, minus het effect van de (mitigerende) maatregelen. De mate van risicoaversie van de organisatie bepaalt in hoeverre al dan niet maatregelen worden getroffen. Het treffen en evalueren van dergelijke maatregelen is een belangrijk onderdeel van het risicomanagementproces. Binnen dit proces kan BCM worden gezien als een separaat proces, evenals een set van maatregelen gericht op het waarborgen van de continuïteit van een organisatie. In de volgende paragraaf wordt BCM nader uiteengezet.
2.3
Business Continuity Management
Wat BCM precies betekent en welk gebied het precies beslaat, lijkt moeilijk eenduidig uiteen te zetten; zowel in de literatuur als vanuit vakgroepen wordt ruimte overgelaten voor interpretatieverschillen. Toch is het van belang BCM te definiëren, voor wat betreft zowel het vakgebiedd als het proces, zodat bijvoorbeeld een Business Continuity manager of de functie die verantwoordelijk is voor BCM evenals het (lijn)management een duidelijk beeld heeft van wat precies de taken en verantwoordelijkheden zijn. 2.3.1
Business Continuity Management gedefinieerd
Met betrekking tot BCM worden meerdere definities gehanteerd. Om het begrip BCM te specificeren in het kader van dit onderzoek wordt hieronder een tweetal definities gegeven. De eerste komt vanuit de wet- en regelgeving (Basel II), de tweede vanuit het BCI instituut dat zich richt op het promoten van standaarden en uitvoering van BCM: A whole of business approach that includes policies, standards, and procedures for ensuring that specified operations can be maintained or recovered in a timely fashion in the event of a disruption. Its purpose is to minimize the operational, financial, legal, reputational and other material consequences arising from a disruption. [10] Business Continuity Management is a holistic management process that identifies potential impact that threatens an organization and provides a framework for
4
Business Continuity Management en Pandemieën in de Bancaire Sector
building resilience and the capability for an effective response that safeguards the interest of its key stakeholders, reputation, brand and value creating activities. [11] De eerste definitie benoemt BCM als een bedrijfsbenadering waarin beleid, standaarden en procedures centraal staan. Het is een betrekkelijk statische definitie welke BCM als maatregelenset plaats onder het risicomanagementproces. Deze definitie legt de nadruk op de inhoud (de ‘wat’ vraag) in plaats van het proces (de ‘hoe’ vraag). De tweede definitie bekijkt BCM als een holistisch management proces, waarin op basis van een risicoafweging bepaalde maatregelen worden getroffen. Hierbij wordt het risicomanagementproces als onderdeel van BCM bezien. Risicomanagement en BCM hebben uiteraard raakvlakken, maar het zijn twee verschillende vakgebieden. Daarom ligt in de eerste definitie ook meer nadruk op het beperken en beheersen van de gevolgen van een calamiteit of ramp (het risicomanagement heeft immers al plaatsgevonden), terwijl in de tweede definitie meer nadruk ligt op het inrichten van het (gehele) proces. Strikt gezien heeft de eerste definitie van BCM de voorkeur, aangezien hierbij risicomanagement en BCM op correcte wijze aan elkaar worden gerelateerd door BCM te bezien als apart proces en als onderdeel van risicomanagement. Echter, omdat de tweede definitie refereert naar een raamwerk, op basis van best practises, dat op praktische wijze handen en voeten geeft aan BCM, is het geschikt om de onderdelen van BCM en het BCM proces te analyseren bezien vanuit de karakteristieken van een pandemie. 2.3.2
Business Continuity Management proces
Het BCM proces kent dezelfde elementen als ieder ander ‘management proces’ binnen een organisatie. Hierin staan de volgende kernwoorden centraal: richten, inrichten, verrichten, evalueren en verbeteren. Deze kernwoorden worden concreet gemaakt door ze over de processtappen van het BCI raamwerk heen te leggen. Op deze manier krijgt het raamwerk, dat in hoofdstuk 5 verder zal worden uitgewerkt, haar vorm. Het BCI raamwerk beschrijft de volgende stappen (zie figuur 2.1): •
Begrijpen van de organisatie;
•
Vaststellen van de business continuity strategieën;
•
Ontwikkelen en implementeren van de business continuity plannen;
•
Testen en onderhouden
Figuur 2.1
De vier stappen van het BCM proces volgens the Business Continuity Institute Good Practice Guidelines (Business Continuity Institute Good Practice Guidelines, Pocket Size, 2007).
5
Business Continuity Management en Pandemieën in de Bancaire Sector
De stappen uit het BCM proces kunnen volgens BCI ingedeeld worden volgens de elementen uit het managementproces: richten, verrichten, inrichten, evalueren/verbeteren (zie tabel 2a). BCM proces volgens BCI
Relatie met management proces
•
Begrijpen van de organisatie
Richten
•
Vaststellen van de business continuity strategieën
Inrichten
•
Ontwikkelen en implementeren van de business continuity plannen
•
–
Verrichten
•
Testen en onderhouden
Evalueren en verbeteren
Tabel 2a
BCI proces versus management proces.
De stappen uit het BCI proces zijn grotendeels door te vertalen naar de elementen uit het managementproces; met uitzondering van verrichten. In het referaat wordt verrichten gezien als handelingen die uitgevoerd moeten worden ten tijde van een calamiteit. Omdat de calamiteit in de toekomst ligt, en zich nog kan voordoen, is het niet mogelijk om hier vooraf vragen over te stellen. Een bank en/of IT auditor zou hier alleen achteraf op kunnen terugblikken na het optreden en herstel van een calamiteit. Dit verklaart tevens de relevantie van het testen en onderhouden. Deze paragraaf zal de BCM processtappen nader uiteenzetten volgens het management proces principe. 2.3.2.1 Richten Bij het begrijpen van de organisatie is het van belang de gehele organisatie te overzien en te bepalen wat de doelstellingen zijn van de organisatie[12]. Voor banken zal dit veelal neerkomen op het verkopen van financiële producten aan zowel private als niet private organisaties (bijvoorbeeld financiering van overnames, korte termijn leningen of lange termijn leningen) als particulieren (bijvoorbeeld spaarrekeningen, hypotheken, leningen of beleggingen). Doelstellingen worden behaald door de inzet van mensen en middelen. De mens (lees: medewerker) heeft een belangrijke rol binnen organisaties, binnen banken is dat niet anders. Zeker bij de meer complexe producten (bijvoorbeeld de financiering van grote bouwprojecten) is inbreng van kennis en kunde van de medewerker van groot belang. Aan de andere kant ziet men de trend dat veel producten met minimale tussenkomst van de medewerkers worden afgesloten (bijvoorbeeld het online afsluiten van leningen). In weer andere situaties is de tussenkomst van de medewerker alleen nodig voor het fiatteren van een actie die grotendeels automatisch is verwerkt. Helaas kunnen verschillende gebeurtenissen de doelen in de weg staan. Afhankelijk van de risk appetite van een bank dienen hier vooraf waarborgen tegen genomen te worden, ook wel mitigerende maatregelen genoemd. Risico’s kunnen geïdentificeerd worden door het uitvoeren van risico assesments (RA’s). Vervolgens dient het risico geconcretiseerd te worden door de impact te bepalen voor de business. Hiervoor worden Business Impact Analyses uitgevoerd (BIA’s). Op basis van deze analyses dient een bank beslissingen te nemen over hoe om te gaan met bepaalde risico’s. Voor wat betreft het optreden van calamiteiten dienen deze vastgelegd te worden in een business continuity strategie. Gezien het strategische karakter van het proces richten horen deze activiteiten/analyses plaats te vinden onder het risicomanagementproces. Het risicomanagementproces levert input voor de invulling van BCM. 2.3.2.2 Inrichten In bovenstaande paragraaf is gesteld dat het proces richten geschaard dient te worden onder het overkoepelende risicomanagementproces. De eerste BCM stap is daarmee inrichten. In deze procestap wordt een concrete set aan maatregelen vastgesteld ter beperking van de
6
Business Continuity Management en Pandemieën in de Bancaire Sector
schade bij het optreden van een calamiteit. Volgens de BCI good practice guidelines kunnen hiervoor drie type plannen gedefinieerd worden [13,14]: •
Incident Management Plan (IMP);
•
Business Continuity Plan (BCP);
•
Business Unit Resumption Plans (BURP).
De plannen kennen een bepaalde gelaagdheid in ernst van de situatie, onvoorspelbaarheid en betrokkenheid van de organisatie. De IMP’s zijn gericht op het omgaan met bedreigingen c.q. incidenten die buiten het normale risicomanagementproces vallen. Voor dergelijke incidenten is directe betrokkenheid van het hoogste management van toepassing. De BCP’s bevatten meer detail informatie over hoe om te gaan tijdens het uitbreken van een vooraf ‘gedefinieerde’ calamiteit of ramp. De plannen richten zich voornamelijk op het operationele proces, terwijl de besluitvorming en aansturing tijdens een calamiteit of ramp, door bijvoorbeeld het Crisis Management Team (CMT), vaak op tactisch of zelfs strategisch niveau plaatsvindt. De BURP’s zijn sterk gericht op het opstarten van de business na optreden van een calamiteit. Wanneer we kijken naar kritieke processen binnen banken valt te constateren dat deze veelal worden ondersteund door IT systemen. Bij een ramp of andere grootschalige calamiteit is het van belang dat bepaalde IT systemen blijven draaien of (zeer) snel beschikbaar zijn. In de business continuity strategieën dient dus aandacht te zijn voor de beschikbaarheideisen ten aanzien van IT systemen. Behalve eisen aan de beschikbaarheid moeten eisen ten aanzien van de betrouwbaarheid worden gesteld. Het gaat dan in het bijzonder om de betrouwbaarheid van de gegevensverwerking (data). Betrouwbaarheid wordt gedefinieerd als vertrouwelijkheid (exclusiviteit en controleerbaarheid) en integriteit (volledigheid, juistheid en tijdigheid) [15]. Ondanks de grote mate van automatisering binnen de bancaire sector blijft de mens toch een centrale rol spelen. Denk daarbij aan het beheren van systemen, maar ook de uitvoering van werkzaamheden binnen kritieke processen en de noodzakelijke functiescheiding. Het inrichten van BCM zal met name op tactisch niveau plaatsvinden, waarbij de input afkomstig is vanuit het risicomanagementproces. 2.3.2.3 Verrichten Deze processtap is gericht op het ten uitvoer brengen van de plannen (IMP, BCP, BURP) ten tijde van een calamiteit. Omdat de calamiteit in de toekomst ligt, en zich nog moet voordoen, is het niet mogelijk om hier vooraf vragen over te stellen. Echter, een bank, maar ook de auditor zou zich toch een oordeel/mening willen vormen over de effectiviteit van de plannen ten tijde van een calamiteit. Om zich toch een oordeel en/of mening te kunnen vormen is het van belang dat de plannen periodiek worden getest. 2.3.2.4 Evalueren en verbeteren BCM dient te worden gezien als dynamisch proces vooral omdat de wereld dynamisch is en de plannen dus voortdurend verouderen. Dit betekent dat het van belang is het proces periodiek te evalueren en waar mogelijk verbeteringen door te voeren [16]. De meest beproefde methode is het testen van de maatregelen (de BCP’s, samenstelling van het CMT, voorlichting van medewerkers, afspraken met derden en overheidsinstanties, etc.). Dit wordt onderschreven door de volgende quote: “I am often asked what single piece of advice I can recommend that would be most helpful to the business community. My answer is a simple, but effective, business continuity plan that is regularly reviewed and tested.” [11] Het testen kan op verschillende manieren gebeuren, van onderhouden en reviewen (kloppen de contactgegevens nog?) tot complete (uitwijk)testen met uitgebreide testwerkzaamheden voor zowel IT (technisch herstel) als business (functioneel herstel). Hoe realistischer de test, 7
Business Continuity Management en Pandemieën in de Bancaire Sector
hoe bruikbaarder de resultaten voor verbetering en hoe beter voorbereid op een calamiteit. Mede daarom is het van belang om verschillende calamiteiten en rampen als scenario’s mee te nemen in de testwerkzaamheden.
2.4
De Nederlandsche Bank over pandemieën en continuïteit
De aanleiding van het onderzoek is deels gebaseerd op de circulaire continuïteitsaspecten grieppandemie van DNB en de AFM, welke onder banken is verspreid in de zomer van 2006, zie bijlage C. De aanleiding voor DNB en AFM om een dergelijke circulaire op stellen is de bezorgdheid over een mogelijke grieppandemie en de gevolgen hiervan voor de maatschappij en het financiële systeem. De circulaire is aanvullend op het Toetsingskader Business Continuity Planning [33]. Hierin staat beschreven hoe banken, Equens, beursinstellingen en andere marktpartijen en DNB het toetsingskader zullen gebruiken om hun BCP-plannen concreet in te vullen en actueel te houden. In 2006 is dit toetsingskader aangepast met als grootste verandering de invulling van de continuïteit van de menselijke factor voor de als kritisch aangemerkte systemen en bedrijfsprocessen. DNB en AFM verwachten dat de financiële instellingen (voornamelijk de grootbanken, Kasbank, Swift en Equens) het risico hebben onderkend, de impact hebben geanalyseerd en waar nodig aanvullende maatregelen treffen of hebben getroffen. Concreet hebben ze hiervoor zes aandachtspunten gedefinieerd. Hieronder worden de aandachtspunten op hoofdlijnen beschreven: 1
Proactief volgen van de ontwikkelingen rondom een mogelijke pandemie;
2
Uitvoeren van een expliciete risicoanalyse;
3
Beoordelen van bestaande business continuity plannen op toereikendheid, waarbij rekening wordt gehouden met 30 procent uitval;
4
Expliciet meenemen van het pandemiescenario in de teststrategie en continuïteitsplannen;
5
Rekening houden met veranderend gedrag van consumenten;
6
Vaststellen dat externe dienstverleners of kritische leverancier toereikende maatregelen hebben getroffen.
Bovenstaande aandachtspunten worden meegenomen in hoofdstuk 4, waar een raamwerk wordt gepresenteerd welke banken en IT-auditors in staat stelt om BCM plannen en beleid te evalueren vanuit de dreigingen van een pandemie.
8
Business Continuity Management en Pandemieën in de Bancaire Sector
2.5
Samenvatting BCM onderdelen
De in paragraaf 2.3 en 2.4 besproken risicomanagement en BCM onderdelen en activiteiten vormen gezamenlijk de input voor het conceptueel raamwerk. Aandachtspunten uit de circulaire van DNB worden geschaard onder het risicomanagement en het BCM proces waar van toepassing. Enkele aandachtspunten uit de circulaire zullen terugkomen in hoofdstuk 3, aangezien ze specifiek gerelateerd zijn aan aspecten van een pandemie. Figuur 2.2 geeft het totaaloverzicht.
Inrichten
Richten
Risicomanagement / BCM proces Risicoanalyse (DNB #1, #2) Business impact analyse (BIA) Analyse van herstelbenodigdheden voor continuïteit Incident managementplan (IMP) Business continuïteitplan (BCP) Uitwijkplan
Evalueren en verbeteren
Verrichten
Business herstelplan
Figuur 2.2
De te nemen stappen en acties ten tijde van een pandemie uitbraak
Testen (DNB #4) Onderhouden Reviewen De onderdelen voor de verticale as van het raamwerk.
9
Business Continuity Management en Pandemieën in de Bancaire Sector
3 Karakteristieken van een (griep)pandemie Voor menigeen zal ‘pandemie’ een woord zijn dat niet dagelijks valt, maar met de uitbraak van SARS en het H5N1 vers in het geheugen is de link naar een wereldwijde uitbraak van een ziekte – een pandemie – gemakkelijk te maken. Voor banken en organisaties in het algemeen is het echter noodzakelijk enig inzicht te hebben in wat een pandemie precies is. Nog belangrijker is een goed inzicht in de gevolgen van de pandemie en een idee over de kans dat een pandemie zich voordoet. Immers, pas wanneer de karakteristieken van een pandemie goed in kaart zijn gebracht is het mogelijk adequate maatregelen te treffen om de continuïteit van een organisatie te waarborgen. Ondanks dat de wereld van een pandemie een compleet ander vakgebied betreft, zou men zelfs tot op het niveau van Management Board of Raad van Bestuur niet de ogen gesloten mogen houden; de World Health Organisation (WHO) geeft duidelijk aan dat een pandemie een serieuze dreiging vormt en gerenommeerde virologen zijn het erover eens dat vroeg of laat een nieuwe pandemie zal uitbreken [17]. Dit hoofdstuk gaat nader in op de meest kenmerkende karakteristieken van een pandemie. Allereerst wordt besproken wat een pandemie is. Vervolgens wordt de grieppandemie nader uiteengezet en toegelicht. In relatie tot de grieppandemie wordt aandacht besteed aan de fasen die door de WHO zijn opgesteld. De fasen geven inzicht in de ontwikkeling van nieuwe griepvirussen en de kans op een pandemie als gevolg daarvan. Ten slotte worden de meest kenmerkende karakteristieken van een pandemie besproken. Deze karakteristieken worden in hoofdstuk 4 gebruikt voor de vorming van het raamwerk.
3.1
Pandemie gedefinieerd
Een omschrijving van een pandemie kan vanuit meerdere invalshoeken worden gegeven. Allereerst is een pandemie in algemene zin een ziekte die zich op zeer grote schaal verspreidt tot zelfs een wereldwijd niveau. In die zin is het een ernstige vorm van een epidemie. Het Nederlands woordenboek laat overigens ruimte voor interpretatie voor wat betreft de ernst; een epidemie wordt daarin gedefinieerd als een besmettelijke ziekte die zich zeer snel en op grote schaal verspreidt, terwijl een pandemie wordt gedefinieerd wordt als een zich over een geheel land of continent verbreidende ziekte [18]. Feit is dat we jaarlijks te maken hebben met een griepepidemie, en – statistische gezien – slechts één maal per dertig tot vijftig jaar met een grieppandemie. Het verschil wordt niet zo zeer gemaakt door de besmettelijkheid, maar in het bijzonder door het betreffende (griep)virus. Een pandemie ontstaat -in tegenstelling tot een epidemie- door een nog onbekend virus, waartegen nog geen vaccin beschikbaar is en waartegen het menselijk lichaam nog geen natuurlijke afweer heeft kunnen ontwikkelen [19]. Dit zal naar alle waarschijnlijkheid leiden tot een wereldwijde griepgolf, met een hoger aantal besmettingen en een hoger aantal doden. Historische gegevens geven in ieder geval een somber tot zeer somber beeld (zie ook paragraaf 3.2.2). De relatie tussen een pandemie en griep wordt vaak als vanzelfsprekend gemaakt. Echter, alvorens hierop nader wordt ingegaan in de volgende paragraaf, is het van belang stil te staan bij het feit dat een pandemie niet uitsluitend een grieppandemie betreft. Een pandemie is in het meest extreme scenario een wereldwijde uitbraak van een ziekte, met veel slachtoffers als gevolg. Het kan dus naast griep ook om andere ziekten gaan, zoals Ebola, de pest (de zwarte dood), pokken (formeel uitgeroeid verklaard in 1979) en antrax (miltvuur). Dit zijn ziekten die onder anderen door het Epidemic and Pandemic Alert and Response (EPR) van de WHO [20] in de gaten worden gehouden. Sommige van deze ziekten zijn voor mensen minder besmettelijk dan anderen, anderen zijn zo besmettelijk en dodelijk dat een pandemie niet waarschijnlijk is. Maar net zoals bij het griepvirus bestaat soms het risico dat het virus 10
Business Continuity Management en Pandemieën in de Bancaire Sector
muteert, waardoor de kans op besmetting van mens op mens groter of zelfs zeer groot wordt. In een extremer scenario zou een pandemie zelfs kunnen worden veroorzaakt door terroristen. Stelt u zich de ravage eens voor wanneer het Ebola virus zou worden losgelaten in Amsterdam of een andere grote wereldstad. Daarnaast is het voor een pandemiescenario noodzakelijk dat de betreffende ziekte niet of nauwelijks kan worden bestreden door het natuurlijke afweersysteem van mensen. Ditzelfde geldt voor geheel onbekende ziekten en met name virussen, die bij toeval plotseling kunnen overslaan van dieren op mensen. In dat geval is sprake van een zoönose: een pathogeen (ziekteverwerker) dat van dier op mens overspringt en daar een ziekte tot ontwikkeling brengt [21]. Interessant daarbij is dat het pathogeen niet per definitie virussen betreft zoals bij griep, ebola en pokken, maar ook een bacteriën, protozoa, prionen, schimmels en wormen. Zo gaat het bij miltvuur om een bacterie en bij de gekkekoeienziekte (BSE) om een prion. Wel staat vast dat virussen het lastigst te bestrijden zijn. Na veel bizarre gevallen van zoönoses en onderzoeken, blijkt dat vleermuizen vaak het pathogeen bij zich dragen. Een ander extreem scenario zou zich voordoen wanneer een ziekte na eeuwenlange afwezigheid opzettelijk (terroristen), per ongeluk (laboratoriumongeluk) of per toeval opnieuw wordt ‘geïntroduceerd’ en het menselijke afweersysteem niet meer immuun blijkt. Tot nu toe lijkt echter het vogelgriepvirus de grootste kanshebber te zijn om een nieuwe pandemie te veroorzaken. Daarom zal in dit referaat de grieppandemie, veroorzaakt door vogelgriep, als uitgangspositie worden gebruikt. Echter, een pandemie dat wordt veroorzaakt door een ander virus of zelfs door een ander pathogeen kan niet worden uitgesloten. Daarmee dient men, zij het in beperkte mate, rekening te houden. Zo kunnen bepaalde kenmerkende karakteristieken van een dergelijke pandemie afwijken van die van een grieppandemie (zie paragraaf 3.4).
3.2
Griepvirus, vogelgriep en grieppandemie
3.2.1
Griepvirus
Voordat een uiteenzetting wordt gegeven over een pandemisch influenza zal eerst het begrip influenza worden toegelicht. Het influenza virus is in de volksmond bekend als het griepvirus, welke jaarlijks voorkomt. Veel bijhorende klachten van het griepvirus zijn: verstopte neus, pijnlijke keel/longen, koorts en vermoeidheid [22]. Het griepvirus zorgt jaarlijks voor een wereldwijde epidemie met significante gevolgen voor de volksgezondheid en economie. Zoals in de vorige paragraaf is toegelicht, is een epidemie een zachtere vorm van een pandemie voor wat betreft de schaalgrootte en impact. Onderstaande grafiek geeft het aantal patiënten met een influenza(-achtige ziektebeeld) aan voor Nederland in 2003/2004, 2005/2006 en 2006/2007 [23]. Figuur 3.1 Aantal patiënten met een influenza(-achtig ziektebeeld) per week per 10.000 inwoners, voor Nederland in 2003/2004, 2005/2006 en 2006/2007 (Continue Morbiditeits Registratie Peilstations Nederland 2006, nivel 2006)
11
Business Continuity Management en Pandemieën in de Bancaire Sector
Uit de grafiek blijkt dat een ‘gewone’ influenza een impact heeft op de Nederlandse samenleving. Geschat wordt dat tussen de 5-10 procent van de bevolking jaarlijks ziek wordt als gevolg van het influenzavirus (= griepvirus). Schattingen over de jaarlijkse bijkomende kosten daarvan voor Nederland variëren tussen de € 367 en € 570 miljoen [24]. De bovenstaande getallen hebben alleen betrekking op Nederland. Wanneer gekeken wordt naar het aantal sterfte gevallen door griep in Europa per jaar wordt dit geschat op zo’n 40.000 mensen [25]. 3.2.2
Van vogelgriep naar grieppandemie
Een grieppandemie dient niet verward te worden met een avian influenza (vogelgriep). Avian influenza heeft betrekking op een grote groep influenzavirussen die voornamelijk effect hebben op gevogelte. In sommige gevallen leidt het avian influenza tevens tot een besmetting op andere soorten, zoals varkens of mensen. Echter, de meeste varianten hebben geen effect op mensen. Het risico op een grieppandemie ontstaat wanneer een nieuwe type influenza zich ontwikkelt dat tevens effect heeft op mensen. In eerste instantie zal het virus moeten overspringen op de mens. Tot voor kort werd aangenomen dat dit alleen mogelijk was door tussenkomst van andere dieren, zoals varkens of katachtigen. Maar volgens recent onderzoek is directe besmetting van vogel op mens ook mogelijk [26]. Voor een grieppandemie is daarnaast nog een ander ingrediënt nodig, namelijk een dusdanige mutatie van het griepvirus waardoor het kan overspringen van mens op mens. Dit kan bijvoorbeeld doordat het overgesprongen vogelgriepvirus muteert met een reeds bestaande griepvirusvariant die op het moment van overspringen al aanwezig is bij de mens. Naar aanleiding van het risico op een griepepidemie of –pandemie, worden de volgende typen influenza onderkend [27]: •
Type A – gemiddeld tot hardnekkige influenza. Effect op zowel dieren als mensen en alle leeftijdsgroepen
•
Type B – mildere epidemie. Alleen effect op mensen. Voornamelijk kinderen en ouderen zijn kwetsbaar
•
Type C – nauwelijks effect op mensen. Leidt niet tot epidemie of grieppandemie.
Gedurende de twintigste eeuw hebben drie overgesprongen [28], gemuteerde griepvirussen geleid tot een pandemie. Een overzicht hiervan wordt weergegeven in tabel 3a. In deze eeuw hebben zich nog geen pandemieën voorgedaan, maar was de dreiging met SARS en het H5N1 virus wel degelijk aanwezig. Type
Naam
Jaar
Sterf gevallen
H1N1 H2N2 H3N2
Spaanse griep Aziatische griep Hong Kong griep
1918 1957 1968
20-40 miljoen 1-4 miljoen 1-4 miljoen
Tabel 3a
Pandemie-uitbraken gedurende de twintigste eeuw
Naast de bovengenoemde typen influenza is voor het de grieppandemie tevens een fasemodel opgezet door de WHO. Hierdoor is men in één oogopslag op de hoogte van het risico op een grieppandemie en de huidige stand van zaken. Omdat deze fasen ook van belang kunnen zijn voor te treffen maatregelen door een organisatie, wordt het model in de volgende paragraaf toegelicht. Samen met de in paragraaf 3.4 uiteengezette kenmerkende karakteristieken van een grieppandemie, zal deze informatie als basis worden gebruikt voor het raamwerk, dat in hoofdstuk 5 wordt gepresenteerd.
12
Business Continuity Management en Pandemieën in de Bancaire Sector
3.3
WHO fasen voor een (dreigende) grieppandemie
Alvorens de specifieke kenmerken van een pandemie worden beschreven, is het van belang in te gaan op de door de WHO gedefinieerde fasen in geval van een pandemie. De fasen beschrijven hoe een nieuw griepvirus zicht ontwikkelt en in hoeverre er sprake is van een pandemiedreiging. Dit is met name afhankelijk van de mate waarin het virus bij mensen voorkomt en vervolgens in staat is van mens op mens over te springen. De WHO bepaalt op basis van allerlei gegevens en metingen in welke fase de wereld zich bevindt. De tabel hieronder geeft een overzicht van de zes fasen [29]. Interpandemie Fase 1
Geen nieuwe influenzavirus subtypes bij mensen. Een influenzavirus subtype die in het verleden een infectie heeft veroorzaakt bij mensen kan aanwezig zijn bij dieren, maar het risico van overdracht op een mens wordt als laag beschouwd.
Fase 2
Geen nieuwe influenzavirus subtypes bij mensen. Echter, een influenzavirus dat circuleert onder dieren zorgt voor een substantieel risico op menselijke infecties.
Pandemiealarm Fase 3
Menselijke infectie(s) met een nieuw influenzavirus subtype, maar nog geen overdracht van mens op mens, of een uitzonderlijk geval door intensief/nauw contact.
Fase 4
Kleine cluster(s) met beperkte overdracht van mens op mens. Zeer lokale verspreiding, wat impliceert dat het virus zich nog niet voldoende heeft aangepast op mensen.
Fase 5
Grotere cluster(s) met overdracht van mens op mens. Nog steeds lokale verspreiding, wat impliceert dat het virus zich beter heeft aangepast op mensen, maar nog niet volledig van mens op mens overdraagbaar is (substantieel risico op een pandemie).
Pandemie Fase 6 Tabel 3b
Pandemie: verhoogde en continue mens op mens overdracht op de gehele populatie. De zes nieuwe fasen zoals gedefinieerd door de WHO per 2005
Uit de tabel blijkt dat de WHO pas in de laatste fase spreekt van een daadwerkelijke pandemie. Echter, de drie fasen daarvoor worden door de WHO bestempeld als een ‘pandemiealarm’, waarbij al sprake is van overdracht tussen mensen. In het kader van “voorkomen is beter dan genezen” is het dus zaak dat in de eerdere fasen maatregelen worden getroffen. Een organisatie kan dus op basis van de fasen verschillende maatregelen bepalen. De in de volgende paragraaf beschreven kenmerken van een pandemie kunnen verschillen, afhankelijk van de fase waarin de wereld verkeert. Naast de fasen is het ook mogelijk om op een wereldkaart terug te vinden waar zich momenteel de ‘brandhaarden’ bevinden en hoe de verspreiding zich (chronologisch) ontwikkelt. In figuur 3.2 is een illustratie opgenomen, waarin het aantal gevallen van menselijke besmetting met het H5N1 virus is weergegeven [30].
13
Business Continuity Management en Pandemieën in de Bancaire Sector
Figuur 3.2
3.4
Overzicht van menselijke besmettingen met het H5N1 virus sinds 2003.
Kenmerkende gevolgen van een grieppandemie
Wanneer een organisatie zich wil voorbereiden op een pandemie, en waar nodig aanvullende maatregelen wil treffen voor, tijdens en na een pandemie, is het van belang inzicht te hebben in de aspecten van dit type ‘ramp’. Zowel de gevolgen als de karakteristieken van een pandemie wijken namelijk gedeeltelijk af ten opzichte van de meer bekende rampen, zoals een stroomstoring, brand, terroristische aanslag of overstroming. Wanneer de gevolgen en dus de impact afwijkt, impliceert dit dat ook andere maatregelen getroffen moeten worden. Immers, maatregelen zijn gericht op het beheersen en/of verkleinen van de impact (gevolgen) van een ramp. Daarom worden in deze paragraaf de meeste kenmerkende (onderscheidende) gevolgen van de pandemie uiteengezet. De volgende paragraaf gaat nader in op overige karakteristieken van een pandemie. Alhoewel het mogelijk is deze karakteristieken indirect in verband te brengen met de gevolgen, zijn ze vooral van belang voor het effectief inrichten en evalueren van maatregelen. 3.4.1
Uitval van mensen
De mens staat zeer centraal als het gaat om een pandemie en de waarborging van de continuïteit van een organisatie. Immers, het is primair de mens die wordt getroffen door besmetting met het griepvirus, met als gevolg ‘uitval’. En het is dezelfde mens die noodzakelijk is om een organisatie te continueren. Wanneer we spreken over mensen, kan een organisatie geneigd zijn te spreken over haar medewerkers, maar in het perspectief van een pandemie dient men een breder begrip te hanteren en wel om twee redenen. Ten eerst treft een pandemie niet alleen de eigen werknemers, maar ook die van andere organisaties (derden, concurrenten, etc.). Ten tweede
14
Business Continuity Management en Pandemieën in de Bancaire Sector
treft een pandemie de mens als individu en als maatschappij, waarbij ook de mens in de rol van de consument niet over het hoofd mag worden gezien. Om de karakteristieken van een pandemie te structureren is het praktisch onderscheid te maken tussen de mens als middel en de mens als individu. Op basis van deze tweedeling worden hieronder de meest kenmerkende gevolgen van een pandemie in kaart gebracht. 3.4.1.1 De mens als middel Terwijl bij veel andere rampen meestal sprake is van uitval van andere middelen, zoals gebouwen, elektriciteit of IT systemen, waarbij eventueel ook mensen uitvallen (bijvoorbeeld door een brand of terroristische aanval), is het bij een pandemie de mens die als eerste uitvalt. Mensen vallen uit door het griepvirus zelf of door andere redenen, zoals het zorgen voor zieke familieleden, het mentaal niet in staat zijn om te werken, of het niet kunnen reizen naar het werk of juist naar huis (vanwege quarantaine, denk aan de ophokplicht voor pluimvee welke meerdere malen door de overheid werd ingesteld). De WHO verwacht dat substantiële percentages (30% tot 40%) mensen ziek zullen worden of zelfs overlijden. In tweede instantie vallen andere resources uit, omdat mensen niet meer beschikbaar zijn om de continuïteit van deze resources te waarborgen. Het kan gaan om (de uitvoering van) primaire bedrijfsprocessen, ondersteunde processen en middelen (zoals IT), maar ook om overige voorziening, zoals catering en beveiliging, of zelfs primaire voorzieningen, zoals openbaar vervoer, scholen, winkels, of zelfs elektriciteit, gas, water en communicatiemiddelen, zoals (mobiele) telefonie en het Internet. Daarnaast zal een pandemie ook spelen bij andere partijen, zoals toeleveranciers en andere derden waarvan de organisatie afhankelijk kan zijn; de gehele keten kan worden verstoord. Het gaat daarbij niet alleen om verplichtingen van derden jegens de organisatie, maar ook om verplichtingen van de organisatie jegens derden. Ten slotte kan ook worden gekeken naar de impact op en tussen concurrenten; de beslissingen en strategieën rondom en tijdens een pandemie kunnen de continuïteit en waarde van een organisatie ten goede komen, of juist de continuïteit verder bedreigen en de waarde van een organisatie doen dalen. 3.4.1.2 De mens, de maatschappij en de emotionele aspecten Naast de mens in de rol van werknemer, kan de mens ook worden bezien vanuit de maatschappelijke en emotionele context. In die zin kan de mens worden bekeken in de rol van consument, maar ook als individu (lees: sociaal en emotioneel wezen) . Een pandemie kan het consumptiegedrag en de behoeften van mensen veranderen. Die veranderingen kunnen zich op allerlei vlakken voordoen. Relevant voor banken zijn bijvoorbeeld de impact op de beurzen (koersen, valuta’s, olie, rentes), maar ook op huizenprijzen, (levens)verzekeringen, en op het betaalgedrag van mensen (inslaan van cash via pinautomaten, piek in pintransacties of in telebankieren). Dit zal zijn weerslag hebben op een organisatie en ook op de mens als middel. Meer elementair zal een pandemie impact hebben het sociale en emotionele gedrag van mensen door bijvoorbeeld emoties als angst en onzekerheid. Het is erg lastig te voorspellen hoe mensen zich in bepaalde omstandigheden zullen gedragen. In het ergste geval kan sprake zijn van wat de overheid ‘maatschappelijke ontwrichting’ noemt. In die zin is het niet ondenkbaar dat er sprake zal zijn van inmenging van lokale, nationale of zelfs internationale autoriteiten en instanties. Het kan gaan om een informerende rol, maar ook om een ‘gebiedende’ rol, waarbij maatregelen worden opgelegd die een grote impact kunnen hebben. Denk daarbij aan het sluiten van een vliegveld of het in quarantaine stellen van bepaalde gebieden. Dergelijke maatregelen kunnen zelfs conflicteren met de strategie en maatregelen die door de organisatie zijn doorgevoerd. De uitval van mensen tijdens een pandemie en de manier waarop dat gebeurt, wordt mede gekenmerkt door een aantal karakteristieken van een pandemie. Sommige van deze karakteristieken zijn sterk afhankelijk van de fase, zoals schaalgrootte en besmettelijkheid. 15
Business Continuity Management en Pandemieën in de Bancaire Sector
Andere karakteristieken zijn juist onafhankelijk; duur en verloop van een pandemie zijn redelijk goed te voorspellen. Een en ander wordt hieronder nader toegelicht.
3.5
Karakteristieken van een grieppandemie
Zoals besproken in de vorige paragraaf zijn niet alleen de gevolgen van een pandemie relevant, maar ook een aantal andere karakteristieken waarin een pandemie zich onderscheid van veel andere rampen. Deze paragraaf licht de karakteristieken nader toe. 3.5.1
Schaalgrootte en besmettelijkheid
De schaalgrootte van het uitbreken van het griepvirus is relatief groot ten opzichte van veel andere rampen. Een daadwerkelijke pandemie (fase 6) zal volgens de WHO een wereldwijde schaal hebben, terwijl in de fasen daarvoor (fasen 3, 4 en 5) een meer regionaal karakter hebben. Uiteraard zijn scenario’s daartussenin (bijvoorbeeld nationaal en continentaal) ook denkbaar – dit is mede afhankelijk van de precieze interpretatie van de fasen. Het is mogelijk dat geografische grenzen de uitbreiding van een pandemie (tijdelijk) beperken, maar tegelijkertijd is de mobiliteit van de mens dusdanig groot, dat een snelle uitbreiding van de schaalgrootte over geografische grenzen heen zeker niet ondenkbaar is. Wanneer het virus volledig is ontwikkeld, is volgens de WHO de kans groot dat, gezien de huidige mobiliteit en globalisering, alle continenten binnen drie maanden te maken hebben met de pandemie. De besmettelijkheid van het griepvirus (lees: de adaptatie van het virus om van mens op mens over te springen) is een zeer belangrijke factor als het gaat om de door de WHO gedefinieerde fasen en hangt sterkt samen met de schaalgrootte. De kans op besmetting zal dus ook vragen om verschillende maatregelen, afhankelijk van de fase waarin we verkeren. Daarbij moet wel worden toegevoegd dat officieel pas in fase 6 sprake is van een pandemie. Echter, het is goed mogelijk dat in fase 5 de consequenties van een dreigende pandemie al worden gevoeld. In directe zin door uitval van mensen (zie 3.4.1.1), in indirecte zin door gebieden die beter niet kunnen worden bezocht (brandhaarden van de dreigende pandemie), maar waar wel vestigingen van de bank aanwezig zijn, of door reeds veranderend gedrag van mensen (zie 3.4.1.2) 3.5.2
Voorspelbaarheid, duur en verloop
Terwijl veel rampen lastig of geheel niet kunnen worden voorspeld, kunnen andere rampen wel worden voorspeld. Soms gaat het om ingewikkelde kansberekeningen, eventuele in combinatie met historische gegevens en/of actuele meetgegevens. Denk daarbij aan aardbevingen en tornado’s, maar ook blikseminslagen en overstromingen of een tsunami. Ook een pandemie kan men als het ware zien aankomen; er wordt immers gesteld dat een pandemie een terugkerende gebeurtenis is, die zich eens in de 30 tot 50 jaar voordoet. Bovendien wordt de situatie continu in de gaten gehouden door bijvoorbeeld de WHO, zie ook paragraaf 3.2. Dus waar de precieze uitvalpercentages, schaalgrootte en locaties lastig te voorspellen zijn, is het wel mogelijk om de ontwikkeling van een pandemie te volgen en op hoofdlijnen te voorspellen. Daarnaast zijn bepaalde andere karakteristieken relatief goed te voorspellen. Dit zijn de duur van een pandemie en het verloop, inclusief de terugkeer van een pandemie in golven en de piek(en) binnen een griepgolf. De duur van een pandemie is vele malen langer dan die van veel andere rampen of dreigingen voor de continuïteit van een bedrijf. Een griepgolf duurt gemiddeld 9 tot 12 weken en met meerdere golven en tussenperiodes kan de pandemie als geheel zelfs meer dan een half jaar
16
Business Continuity Management en Pandemieën in de Bancaire Sector
aanhouden. Uit eerdere gebeurtenissen blijkt dat het waarschijnlijk zal gaan om twee golven [32]. Wanneer een pandemie zich voordoet, betreft het vaak niet één enkele griepgolf, maar meerdere golven. Tussen deze golven kan de uitval door ziekte relatief laag zijn, maar valt het te bezien of er tijdelijk sprake is van ‘business as usual’. Een tweede golf kan ernstiger zijn dan de eerste golf. Daarnaast kunnen golven zich op verschillende plekken en op verschillende momenten voordoen. Met andere woorden: wereldwijd zal de pandemie niet overal op hetzelfde moment in dezelfde ‘fase’ zijn. Binnen een griepgolf kunnen zich pieken voordoen waar de uitval van mensen tot een hoogtepunt komt. Zoals reeds besproken is de meest gehoorde inschatting 30% tot 40% uitval, maar een hoger percentage valt niet uit te sluiten, doordat bijvoorbeeld veel meer mensen thuis (moeten) blijven of mentaal niet in staat zijn om te werken. Op basis van de hierboven beschreven karakteristieken wordt duidelijk dat een pandemie grote gevolgen zal hebben voor de continuïteit van organisaties en dus ook voor de bancaire sector. Het volgende hoofdstuk zal nader ingaan op de bancaire sector en BCM, zodat vervolgens kan worden onderzocht hoe de elementen van BCM worden geraakt door een pandemie.
3.6
Samenvatting kenmerkende gevolgen en karakteristieken van een grieppandemie
De in de vorige paragrafen besproken gevolgen vormen de horizontale as van het conceptueel raamwerk dat in hoofdstuk 4 verder zal worden gepresenteerd en uitgewerkt. In figuur 3.3 zijn de gevolgen nogmaals weergegeven als as van het raamwerk. Aangezien de in paragraaf 2.4 besproken aandachtspunten van DNB ook direct gerelateerd kunnen worden aan de gevolgen van een pandemie, zijn in de horizontale as de overige DNB aandachtspunten vermeld. Uitval van mensen mens als middel intern: primair vallen mensen uit in plaats van middelen
extern: ook uitval bij andere organisaties
(DNB #3)
(DNB #6)
Figuur 3.3
de mens en de maatschappij consumentengedrag verandert (DNB #5)
invloed op sociaal en emotioneel gedrag
De onderdelen voor de horizontale as van het conceptueel raamwerk.
De overige karakteristieken van een pandemie worden weliswaar niet geplot op de as van het raamwerk, maar zijn wel relevant voor het effectief inrichten en adequaat beoordelen van maatregelen die zijn gericht op het waarborgen van de continuïteit tijdens en rondom een pandemie. Voor de volledigheid worden ze weergegeven in figuur 3.4. Karakteristieken van een pandemie Schaalgrootte en besmettelijkheid
wereldwijd karakter mate van besmettelijkheid
Voorspelbaarheid, duur en verloop
mate van voorspelbaarheid door volgen van ontwikkelingen verloop van griepgolf
Figuur 3.4
De karakteristieken relevant voor inrichting en beoordeling van effectiviteit van maatregelen.
17
Business Continuity Management en Pandemieën in de Bancaire Sector
4 Conceptueel raamwerk In dit hoofdstuk wordt het conceptueel raamwerk opgebouwd en ingevuld. In de volgende paragraaf wordt allereerst toegelicht hoe het raamwerk tot stand is gekomen en waaruit het is opgebouwd. In paragraaf 4.2 wordt het raamwerk gevuld, op basis waarvan in paragraaf 4.3 een tekstuele uitwerking volgt op het ingevulde raamwerk. In paragraaf 4.4 wordt het conceptueel raamwerk kort geëvalueerd en wordt afgesloten met een conclusie.
4.1
Opbouw van het conceptueel raamwerk
Het conceptueel raamwerk bevat een verticale as en horizontale as welke tot stand zijn gekomen op basis van respectievelijk hoofdstuk 2 en hoofdstuk 3. Op de verticale as zijn de stappen uit het risicomanagementproces inclusief het BCM proces opgenomen. De horizontale as bevat de belangrijkste gevolgen van een pandemie waarmee men rekening moet houden bij het opzetten en evalueren van maatregelen. In het conceptueel raamwerk zijn vragen opgenomen die een bank of IT auditor kan stellen om zich een beeld te vormen over de mate waarin banken adequate maatregelen hebben getroffen om de continuïteit te waarborgen ten tijde van een pandemie. De vragen zijn gesteld redenerend vanuit de gevolgen van een pandemie. In de volgende paragraaf zullen de vragen nader worden besproken. Hierin zijn tevens de karakteristieken (wereldwijd, besmettelijkheid, voorspelbaarheid, verloop) van een pandemie meegenomen om nader richting te geven. Gesteld kan worden dat de effectiviteit van maatregelen van een pandemie ook afhankelijk zijn van de karakteristieken. Enerzijds kunnen deze karakteristieken de effectiviteit van maatregelen beperken, anderzijds is het mogelijk dat in het geval van een pandemie de karakteristieken mogelijkheden bieden voor effectievere maatregelen. Deze karakteristieken zullen daar waar van toepassing worden meegenomen in de toelichting. Tevens wordt een aantal voorbeelden van concrete maatregelen gegeven met als doel de besproken vragen toe te passen.
4.2
Het conceptueel raamwerk als denkmodel
In deze paragraaf wordt het conceptueel raamwerk opgebouwd en ingevuld, zie figuur 4.1. Daarbij wordt het raamwerk gebruikt als denkmodel; door het combineren van de elementen van de horizontale en verticale as worden vragen geformuleerd. In de volgende paragraaf worden de vragen nader toegelicht en uitgewerkt. Tevens worden hierin enkele praktische voorbeelden gegeven.
18
Referaat – BCM en pandemieën
VU Amsterdam
Pandemie gevolgen Risicomanagement / BCM proces Risicoanalyse (DNB #1, #2)
Uitval van mensen mens als middel intern: primair vallen mensen uit in plaats van middelen
• •
Richten
• • • •
Inrichten
extern: ook uitval bij andere organisaties
consumentengedrag verandert
(DNB #6)
(DNB #5)
invloed op sociaal en emotioneel gedrag
(DNB #3)
•
Business impact analyse (BIA)
de mens en de maatschappij
Analyse van herstelbenodigdheden voor continuïteit
•
Incident managementplan (IMP)
•
•
•
Uitval van medewerkers?
•
Uitval van leveranciers?
Uitvalpercentages vastgesteld?
•
Uitvalkansen per leverancier?
Afhankelijkheden tussen landen en kantoren? Evaluatie en bijstelling risicoanalyse op basis van nieuwe ontwikkelingen? Minimaal aantal benodigde medewerkers?
• • • •
Kritieke medewerkers? Impact van uitval medewerkers concreet vastgesteld? Lange(re) duur van invloed op herstelbenodigdheden?
• •
Tijdig stilleggen? Voldoende (contactgegevens van) vervangers en kritieke werknemers? Aangepast communicatieplan?
• •
Uitval van leverancier als losse dreiging geïdentificeerd?
• •
Uitval van leveranciers in andere landen?
•
Kritieke leveranciers bekend?
•
Vastgesteld hoe lang zonder kritieke leverancier?
•
Impact van uitval kritieke leveranciers vastgesteld? Invloed van uitval van externe organisaties op gebruik van externe organisaties bij herstel? Steunt IMP op externe organisaties? Relatie gelegd met overheid en lokale autoriteiten?
•
• •
Op welk niveau geconcretiseerd (o.a. met behulp van verloop)?
•
Veranderend gedrag van consumenten als losse dreiging geïdentificeerd?
•
Afhankelijkheden van andere landen?
•
Hoe en naar op welk niveau doorvertaald naar impact? Expliciete afhankelijkheid met uitval van mensen en leveranciers? Invloed van veranderend consumentengedrag op herstelbenodigdheden? Aangepast signaleringsplan en communicatieplan? Expliciete afhankelijkheid met maatschappelijke ontwrichting?
• •
•
•
Geconcretiseerd in de vorm van maatschappelijke ontwrichting en wegvallen vertrouwen in bancaire sector? Concrete vormen als losse dreiging geïdentificeerd? Inmenging van overheid en lokale autoriteiten? In hoeverre is impact geanalyseerd? Keuze en afstemming met betrekking tot stilleggen?
Rol van bank in samenwerking met overheid en lokale autoriteiten? Aangepast communicatieplan met voor gedefinieerde (pers)berichten?
19
Business Continuity Management en Pandemieën in de Bancaire Sector
Pandemie gevolgen Risicomanagement / BCM proces Business continuïteitplan (BCP)
Uitval van mensen mens als middel intern: primair vallen mensen uit in plaats van middelen
consumentengedrag verandert
(DNB #6)
(DNB #5)
•
Beperking van uitval?
•
Beperking van uitval?
•
Opvangen van uitval?
•
Opvangen van uitval?
•
Business herstelplan
extern: ook uitval bij andere organisaties
invloed op sociaal en emotioneel gedrag
(DNB #3)
•
Uitwijkplan
de mens en de maatschappij
•
Invloed van uitval(percentage) op overige maatregelen? Toetsing maatregelen op basis van karakteristieken? Uitwijkplan en faciliteiten aangepast op uitval medewerkers?
• • •
•
Uitwijk alternatieven?
•
Herinzetten van mensen?
•
Terugdraaien van getroffen maatregelen?
•
•
• •
Invloed van uitval(percentage) op overige maatregelen?
•
Toetsing maatregelen op basis van karakteristieken?
•
Uitwijkleveranciers en -dienstverleners meegenomen als kritieke leveranciers?
•
Inzetten van alternatieve leveranciers? Terugdraaien van getroffen maatregelen?
20
Opvangen van veranderend consumentengedrag? Invloed van veranderend consumentengedrag op overige maatregelen? Toetsing maatregelen op basis van karakteristieken? Uitwijkfaciliteiten en te betrekken medewerkers afgestemd op veranderd consumentengedrag? Plannen gericht op het behouden en terugwinnen van consumenten?
•
• •
•
Additionele maatregelen voor communicatie en informatievoorziening naar buitenwereld en eigen medewerkers? Toetsing maatregelen op basis van karakteristieken? Specifieke veiligheidsmaatregelen voor thuislocatie, uitwijklocatie en vervoer? Plannen aangepast op herstel van vertrouwen in de bancaire sector?
Business Continuity Management en Pandemieën in de Bancaire Sector
Pandemie gevolgen
mens als middel intern: primair vallen mensen uit in plaats van middelen
Evalueren en verbeteren
extern: ook uitval bij andere organisaties
consumentengedrag verandert
(DNB #6)
(DNB #5)
invloed op sociaal en emotioneel gedrag
Betreft het daadwerkelijk uitvoeren van de BCM maatregelen ten tijde van een pandemie.
Testen
Figuur 4.1
de mens en de maatschappij
(DNB #3)
Verrichten
Risicomanagement / BCM proces
Uitval van mensen
(DNB #4)
•
Uitval van medewerkers expliciet meegenomen in testscenario?
•
•
Betrekken van andere organisaties in test?
Veranderd consumentengedrag simuleren in test?
• •
Samenwerking met overheid en lokale autoriteiten? Verassingelementen in test?
Onderhouden en Reviewen
Het onderhouden en reviewen van het IMP, BCP, uitwijkplan, business herstelplan en testplan wijkt niet af.
Het conceptueel raamwerk ingevuld met vragen.
21
Referaat – BCM en pandemieën
VU Amsterdam
4.3
Vragen op basis van het conceptueel raamwerk nader uiteengezet
4.3.1
Primair uitval van mensen in plaats van middelen
Het gevolg dat een pandemie het meeste onderscheid van veel andere rampen, is dat het de mens direct raakt, in plaats van de middelen. Het spreekt voor zich dat dit gevolg centraal moet staan bij de voorbereiding op een pandemie. Dit blijkt ook uit de circulaire van DNB, waarin wordt verwezen naar uitvalpercentage van 30 procent en waarin dit onder andere meegenomen dient te worden in een expliciete risicoanalyse. Met betrekking tot de risicoanalyse is het de vraag in hoeverre de pandemie als gevolg verder is geconcretiseerd in de vorm van uitval van medewerkers en eventuele percentages. Hierbij kan ook worden nagegaan of rekening is gehouden met de karakteristieken van een pandemie. Met name het wereldwijde karakter en het verloop van de pandemie kunnen het risico nieuwe inhoud geven. Een internationale bank kan de pandemie als lokale dreiging (voor bijvoorbeeld één land of één kantoor) bekijken, maar zou daarmee de afhankelijkheden tussen kantoren en landen negeren, terwijl de gevolgen van een griepgolf op de ene plek ook impact kunnen hebben op de andere plek. Voor wat betreft de kans (en voorspelbaarheid) stellen virologen dat het niet de vraag is of het gebeurt, maar wanneer het gebeurt. Dit impliceert een kans van 100%. De vraag wanneer het gebeurd lijkt interessanter, vooral omdat virologen schatten dat een pandemie zich eens in de 30 tot 50 jaar voordoet. Als specifieke karakteristiek van een pandemie is de voorspelbaarheid daarom ook relevant voor wat betreft de risicoanalyse. De vraag is of de risicoanalyse bijvoorbeeld opnieuw wordt uitgevoerd of geëvalueerd en of dit gebeurt op periodieke basis dan wel wanneer nieuwe informatie beschikbaar komt of wanneer zich ontwikkelingen voordoen rondom de pandemie? Nieuwe inzichten met betrekking tot de kansen en gevolgen kunnen immers leiden tot aanpassingen in de maatregelen en meer algemene zin in de BCM strategie. Significante veranderingen kunnen onder de aandacht van de Raad van Bestuur of het Management Board worden gebracht. Wanneer wordt geredeneerd vanuit uitvalpercentages van medewerkers, krijgt de Business Impact Analyse ook een andere betekenis. Normaalgesproken wordt hierbij de impact van een ramp geïdentificeerd, gekwalificeerd en gekwantificeerd. Vervolgens wordt de zogenaamde Maximum Tolerable Period of Disruption (MTPD) vastgesteld. Echter, van een verstoring zal in eerste instantie geen sprake zijn. Primair moet worden nagegaan hoeveel medewerkers moeten uitvallen voordat sprake is van een daadwerkelijke verstoring. En omdat een medewerker soms specifieke kennis heeft, is ook de vraag welke medewerkers ‘kritiek’ van belang zijn. Het gaat dus om wat wij zouden vertalen als de Maximum Tolerable Unavailability of Employees (MTUE) en om de Maximum Tolerable Unavailability of Critical Employees (MTUCE). Pas nadat deze grenzen zijn overschreden, wordt de MTPD relevant. Wanneer we bovenstaande volgen, zou in principe geen sprake zijn van herstelbenodigdheden. Echter, wel kan worden nagegaan of en in hoeverre de reguliere plannen zijn aangevuld met herstelmogelijkheden waarbij rekening is gehouden met uitval van medewerkers over een langere periode. Herstel kan in een extreem scenario nog breder worden getrokken naar een bijna paradoxaal klinkende anticiperende maatregel: het beëindigen (down brengen). Dit speelt in het bijzonder bij grote productiebedrijven, waarbij een productieproces niet zonder gevolgen van het ene op het andere moment kan worden stilgelegd. Het tijdig down brengen van een productiefaciliteit heeft als voordeel dat het tijdig en snel opstarten mogelijk is wanneer een pandemie voorbij is, of tijdelijk een lage impact
22
Business Continuity Management en Pandemieën in de Bancaire Sector
heeft (bijvoorbeeld tussen twee griepgolven in), met concurrentievoordeel als mogelijk gevolg. Voor de bancaire sector, met voornamelijk ICT systemen, die – als het moet – veel gemakkelijker down kunnen worden gebracht, lijkt dit aspect in eerste instantie minder relevant. Echter, wanneer we het idee doorvertalen naar lokale bankkantoren, pinautomaten en bepaalde diensten met veel afhankelijkheden, is de vraag wel degelijk relevant. Bovendien kunnen eenzijdige beslissingen een grote impact hebben op de gehele Nederlandse bancaire sector en economie. In het incident managementplan kan specifiek aandacht worden besteed aan uitval van medewerkers. Enerzijds is het van belang na te gaan of het plan voldoende rekening houdt met significante uitval, bijvoorbeeld in de vorm van voldoende vervangers en aangescherpte overzichten met kritieke werknemers. Anderzijds door vooraf inzichtelijk te maken wat, wanneer en op welke manier wordt gecommuniceerd naar zowel de nog inzetbare als uitgevallen medewerkers (communicatieplan en standaard vooraf opgestelde berichten). Voor wat betreft het crisis management team kunnen vooraf maatregelen geïmplementeerd worden, denk bijvoorbeeld aan een extra vergaderlocatie of teleconferentiefaciliteiten voor het geval de (primaire/fysieke) locatie niet bereikbaar is (bijvoorbeeld door quarantaine). Ook moet het risico van niet beschikbare contactgegevens worden vermeden. Denk bijvoorbeeld aan een zogenaamd paspoort waarin de kritieke contactgegevens, scenario’s en andere informatie is opgenomen. Deze paspoorten kunnen worden aangereikt aan de (kritieke) medewerkers. De daadwerkelijke maatregelen met betrekking tot het opvangen van grote uitval van medewerkers kan men verwachten onder het BCP. Daarbij is het vooral relevant om na te gaan waarop de maatregelen betrekking hebben en wat de ‘balans’ is. Het kan gaan om maatregelen om verdere uitval te beperken (bijvoorbeeld het aanpassen van het reisbeleid, het treffen van additionele hygiënemaatregelen, het paraat hebben en verstrekken van antivirale middelen en het stimuleren en het faciliteren van thuiswerken). Minstens zo belangrijk zijn de maatregelen gericht op het omgaan met en opvangen van uitval van medewerkers (bijvoorbeeld het aanpassen van taken, bevoegdheden en verantwoordelijkheden, het vastleggen en beschikbaar maken van kennis, procedures en instructies, en het tijdelijk opschorten of zelfs stilleggen van bepaalde zaken). Daarnaast is het van belang na te gaan of in de overige maatregelen voldoende rekening is gehouden met het feit dat een groot aantal medewerkers uitvalt en dat hierbij nog een onderscheid kan worden gemaakt in medewerkers die daadwerkelijk ziek zijn en medewerkers die nog wel zouden kunnen werken, maar door verschillende redenen hiertoe niet in staat zijn. Ten slotte is het voor al deze drie typen maatregelen (beperken van uitval, opvangen van uitval, rekening houden met uitval in andere maatregelen) van belang na te gaan of en in hoeverre rekening is gehouden met de karakteristieken van een pandemie. Denk bijvoorbeeld aan het wereldwijde karakter waarbij uitval opgevangen kan worden door locaties in het buitenland. Bovendien kan door accurate monitoring ook worden gewaarborgd dat beslissingen, bijvoorbeeld met betrekking tot hygiënemaatregelen, thuiswerken of overplaatsen, tijdig kunnen worden genomen. De ontwikkeling van een pandemie, inclusief besmettelijkheid en verspreiding, kan immers tot op enige hoogte worden verspeld (WHO) en over het precieze verloop kunnen ook uitspraken worden gedaan. De rol van IT mag hierbij niet over het hoofd worden gezien. IT zal in het bijzonder van belang zijn bij het waar mogelijk faciliteren van thuiswerkplekken. Het gaat daarbij niet alleen om de techniek (zoals (reserve) laptops netwerk, VPN, etc.), maar ook om ondersteuning (denk aan de IT helpdesk die wellicht extra hulp moet bieden aan gebruikers die normaalgesproken niet thuiswerken). Ook het aanpassen van taken, bevoegdheden en verantwoordelijkheden zal in veel gevallen betekenen dat de aanpassingen moet worden doorgevoerd in de systemen en applicaties (bijvoorbeeld in de autorisaties van gebruikers of via bepaalde settings), net als het vastleggen en beschikbaar maken van kennis, procedures en instructies. Uitwijken lijkt in eerste instantie niet relevant, omdat de middelen nog steeds functioneren, maar juist de mensen uitvallen. Echter, er zijn scenario’s mogelijk waarbij uitwijken wel 23
Business Continuity Management en Pandemieën in de Bancaire Sector
praktisch of zelfs noodzakelijk is. Denk aan de mogelijkheid dat een bepaald gebied niet meer bereikbaar is, bijvoorbeeld door een hoog besmettingsrisico (druk stadscentrum), door quarantaine of door verstoring van de openbare orde. Uit de bespreking van BCP maatregelen komt bovendien naar voren dat het begrip uitwijken ook breder wordt getrokken, bijvoorbeeld in de vorm van uitwijk naar andere (buitenlandse) kantoren. Het is dus relevant na te gaan in hoeverre pandemiespecifieke uitwijkmaatregelen zijn opgezet en hoe deze inspelen op uitval van medewerkers. Ook kan worden nagegaan of en in hoeverre is gekeken of de huidige uitwijkmaatregelen voldoen voor het pandemiescenario. Vanuit een uitwijksituatie lijkt het herstelplan vooral relevant om te voorzien in terugkeer naar business as usual. Maar ook als niet wordt uitgeweken, kan worden nagegaan of het herstelplan rekening houdt met de maatregelen die (vanuit het BCP) zijn getroffen ten tijde van een pandemie en hoe vanuit die situatie terugkeer moet plaatsvinden naar business as usual. Denk bijvoorbeeld aan tijdelijk uitgedeelde autorisaties die weer moeten worden ingetrokken of aan laptops en VPN verbindingen (inclusief licenties) die moeten worden ingenomen c.q. moet worden gedeactiveerd. Voor wat betreft het testen kan worden nagegaan hoe uitval van medewerkers is meegenomen in het testscenario. Hoe realistischer de test, hoe effectiever. Denk daarbij aan gesimuleerde uitval met behulp van het wegstrepen van medewerkers op basis van willekeurige letters en/of het gebruiken van andere gegevens die iets kunnen zeggen over uitval (leeftijd, gezinssituatie, afstand tot kantoor, etc.). Als het gaat om het onderhouden en reviewen van het BCP, dan is vooral belangrijk na te gaan in hoeverre aandacht wordt besteed aan het actueel houden van personeels- contactgegevens. 4.3.2
Ook uitval bij andere organisaties
Met het feit dat mensen uitvallen als gevolg van een pandemie dient ook rekening te worden gehouden met het feit dat mensen uitvallen bij andere organisaties en dus bij externe dienstleveranciers en toeleveranciers. Dit is een belangrijk verschil ten opzichte van veel andere rampen die veelal een (zeer) plaatselijk karakter hebben. Daarom is het van belang dat dit gevolg mee wordt genomen in de risicoanalyse. DNB noemt dit gevolg ook als concreet aandachtspunt. Voor wat betreft de kans op het uitvallen van bepaalde leveranciers kan het belangrijk zijn na te gaan hoe deze tot stand is gekomen. Een leverancier die meer afhankelijk is van mensen zal mogelijk sneller uitvallen dan een leverancier die vooral steunt op geautomatiseerde processen. Uiteraard kunnen ook de gevolgen per uitgevallen leverancier sterk verschillen. Nagegaan kan worden of hier tijdens de risicoanalyse expliciet aandacht aan is besteed, of dat dit aan de hand van de BIA concreet is gemaakt (zie hieronder). Omdat ten opzichte van Nederland andere landen meer ervaring hebben op het gebied van rampen op grotere schaal (denk aan aardbevingen en tropische stormen), kan het tevens interessant zijn om na te gaan of deze ervaringen zijn gedeeld. Ten slotte is met betrekking tot de risicoanalyse relevant na te gaan of in de risicoanalyse uitval van leveranciers als aparte dreiging is geïdentificeerd, onder andere omdat de Good Practice Guidelines van BCI aanbevelen een significante verandering, zoals op het gebied van resources en leveranciers, mee te nemen in de BIA (waarmee wordt geïmpliceerd dat dergelijke scenario’s als dreiging in de risicoanalyse zijn meegenomen). Gelijk aan hetgeen is besproken voor uitval van mensen, dient ook bij uitval van leveranciers rekening te worden gehouden met de karakteristieken van een pandemie. Zo zal een leverancier aan de andere kant van de wereld door de pandemie uit kunnen vallen terwijl bij de betreffende bank zelf nog geen sprake is van uitval omdat de pandemie zich daar nog niet heeft gemanifesteerd. Hierbij kan men ook rekening houden met het verloop en de voorspelbaarheid van een griepgolf.
24
Business Continuity Management en Pandemieën in de Bancaire Sector
Aangezien de diversiteit in dienstleveranciers en toeleveranciers groot kan zijn (van transactieverwerkende partijen en softwareleveranciers tot beveiliging en catering), zal ook de impact sterk kunnen verschillen per uitgevallen leverancier. Het is daarom relevant om na te gaan of de kritieke leveranciers in kaart zijn gebracht, of is geanalyseerd hoe lang de business zonder de betreffende leveranciers kan en wat de impact zou zijn. In analogie met de hiervoor besproken Maximum Tolerable Unavailability of Employees (MTUE) zou de Maximum Tolerable Unavailability of Third Parties (MTUTP) in kaart kunnen worden gebracht. De Good Practice Guidelines van het BCI bevelen aan te inventariseren welke interne en externe afhankelijkheden bestaan met betrekking tot herstel. Aangezien andere partijen in het geval van een pandemie met dezelfde problemen kampen, is het van belang na te gaan wat de impact hiervan is voor eventuele herstelbenodigdheden. Als het gaat om het incident managementplan kan worden nagegaan of dit plan steunt op inzet van externe partijen. Het gaat daarbij niet alleen om leveranciers, maar ook om andere externe partijen, zoals de overheid en lokale autoriteiten. Ook de impact van een pandemie op eventuele locaties waar bijvoorbeeld het crisis management team bijeenkomt, dient opgenomen te worden in het incident managementplan. Voor wat betreft de maatregelen die vervolgens kunnen zijn opgezet binnen het BCP kan dezelfde analyse worden gemaakt als hiervoor besproken bij uitval van mensen. Nagegaan kan worden of en in hoeverre maatregelen zijn opgezet met als doel uitval van leveranciers te beperken (dit zou ook kunnen door goede afspraken te maken, zoals voorrangsregelingen), uitval van leveranciers op te vangen of te vervangen met alternatieven, en of is nagegaan wat de impact van uitval van leveranciers is op overige maatregelen. Daarbij is het ook van essentieel belang dat maatregelen waar nodig worden gecommuniceerd met de betreffende leveranciers en overheden. De betrokken partijen bij eventuele uitwijk kunnen in deze context ook als kritieke leveranciers worden bekeken. Nagegaan kan worden of en in hoeverre de hierboven besproken insteek ook is toegepast op deze leveranciers. Het testen krijgt een nieuwe dimensie; het betrekken van externe partijen (zowel leveranciers als toezichthouders en overheden) zou de test realistischer en effectiever maken. Voor zover dat niet mogelijk is, kan wel worden nagegaan of in hoeverre dergelijke aspecten zijn meegenomen in een testscenario.
4.3.3
Consumentengedrag verandert
Een van de meest waarschijnlijke gevolgen van een pandemie is een verandering in het consumentengedrag. Niet voor niets heeft DNB dit als concreet aandachtspunt opgenomen. Voor wat betreft de risicoanalyse is het van belang na te gaan of en hoe dit gevolg is meegenomen. Dit bepaalt immers de uitgangspositie op basis waarvan maatregelen zijn opgezet. Bovendien heeft een verandering van consumentengedrag mogelijk ook impact op andere continuïteitsmaatregelen die in het kader van de pandemie zijn opgezet. Hoe het consumentengedrag precies zal veranderen is een lastig en complex vraagstuk dat bovendien sterk afhankelijk is van de producten en diensten die een bank verkoopt. Als eerste kan dus worden nagegaan tot op welk niveau veranderend consumentengedrag is geconcretiseerd als risico voor de specifieke situatie van een bank. Is het enkel als onderdeel van de pandemie genoemd, of zijn er specifieke veranderingen vastgesteld, ieder met een kans en gevolg? Heeft de bank veranderend consumentengedrag reeds als aparte dreiging (los van de pandemiedreiging) geïdentificeerd en is nagegaan waar sprake is van overeenkomsten en afwijkingen. Daarbij is het ook essentieel dat rekening is gehouden met de karakteristieken van een pandemie. Het feit dat de griepgolf wereldwijd is, maar zich niet overal tegelijk
25
Business Continuity Management en Pandemieën in de Bancaire Sector
manifesteert, kan van belang zijn voor een internationale bank met veel afhankelijkheden. Een verandering van het consumentengedrag in het ene land zou enerzijds een directe impact kunnen hebben op de business in het andere land, maar zou anderzijds juist ook kunnen worden opgevangen door het andere land. Met (historische) gegevens over het verloop van griepgolven en de pieken die zich daarin voordoen, kan een realistischere inschatting worden gemaakt van hoe en wanneer het consumentengedrag zal veranderen. Daar waar normaalgesproken wordt geanalyseerd wat de impact is van het tijdelijk niet beschikbaar zijn van een middel, dienst of product dient zich nu een andere vraag aan. Indien tijdens de risicoanalyse inzichtelijk is gemaakt hoe het consumentengedrag verandert, is vervolgens de vraag of en hoe deze gegevens zijn doorvertaald naar de impact op bijvoorbeeld verschillende locaties (landen), afdelingen, processen, diensten en producten en benodigde resources. Daarbij kan een directe relatie worden gelegd met de maatregelen die zijn getroffen vanuit het gevolg dat mensen uitvallen. Een verandering in het consumentengedrag kan immers de vraag naar inzet van medewerkers en/of externe dienstverleners doen toenemen of juist doen afnemen. Het is dus de vraag in hoeverre vraag en aanbod in het perspectief van veranderend consumentengedrag opnieuw zijn vastgesteld. Daar waar een bank reeds een analyse heeft gemaakt van de benodigde herstelwerkzaamheden in het geval van een ‘reguliere’ verandering in het consumentengedrag, is het van belang na te gaan in hoeverre hiervan gebruik kan worden gemaakt en in hoeverre specifieke aanvullingen voor het pandemiescenario noodzakelijk zijn. Hoewel het waarschijnlijk is dat het consumentengedrag niet plotseling sterk verandert, kan het niet geheel worden uitgesloten. Hier ligt een directe link met maatschappelijke ontwrichting en verstoring van de openbare orde. Afhandeling van hoe een dergelijke dreiging is meegenomen in de risicoanalyse, kan voor wat betreft het incident managementplan wel de vraag worden gesteld of het plan rekening houdt met het melden of binnenkomen van meldingen van plotselinge veranderingen in het consumentengedrag. Denk bijvoorbeeld aan het plotseling massaal opnemen van geld via pinautomaten, het massaal afsluiten van leningen of het massaal opnemen van spaargelden/beleggingen. Voor wat betreft de concrete BCP maatregelen is het met name van belang te evalueren in hoeverre concrete maatregelen zijn ingericht gericht op veranderend consumentengedrag, en in hoeverre de overige maatregelen waar van toepassing zijn aangepast of rekening houden met veranderingen in het consumentengedrag. Zoals aangegeven kunnen de karakteristieken van een pandemie hierbij een belangrijke rol spelen. Een sprekend voorbeeld is de mogelijkheid om kantoren in verschillende landen te gebruiken om pieken op te vangen, omdat de pandemie zich niet overal gelijktijdig voordoet (of in elk geval niet gelijktijdig piekt). Daarbij zou het zelfs optioneel kunnen zijn om bepaalde (kritieke) werknemers naar de andere locatie af te laten reizen. Of een dergelijke actie uitvoerbaar is, hangt uiteraard wel af van de mate van besmettelijkheid, die immers zal bepalen of reizen nog mogelijk c.q. acceptabel is. Het is daarom van belang om continu te monitoren hoe de pandemie zich ontwikkelt, zodat beslissingen tijdig kunnen worden genomen. Daarnaast zal kritisch moeten worden gekeken naar de implicaties van dergelijke maatregelen. De rol van IT en de IT afdeling kan hier van groot belang zijn als het gaat om de uiteindelijke effectiviteit van de maatregel. Over de landen heen zal men eventueel toegang moeten krijgen tot verschillende systemen, zowel op de eigen locatie als daarbuiten. Er zullen in dat geval autorisaties uitgegeven moeten worden om toegang te verkrijgen. Daarnaast kan het zijn dat men gebruikt maakt van verschillende applicaties over de landen heen. De benodigde software zal beschikbaar moeten worden gesteld. Daarbij dient men zich af te vragen of dit mogelijk is op locatie of op afstand. Een ander sprekend voorbeeld is de toename in Internetbankieren. Een bank dient voldoende capaciteit beschikbaar te hebben om eventuele pieken op te vangen. Ook hier wordt IT geraakt. De IT afdeling dient voldoende middelen beschikbaar en bereikbaar te hebben om 26
Business Continuity Management en Pandemieën in de Bancaire Sector
Internetbankieren operationeel te houden. Stel dat de toepassing voor Internetbankieren extern wordt gehost en beheerd, dan dienen hierover afspraken te worden gemaakt met de externe leverancier. Die zal tijdens een pandemie op haar beurt immers ook kampen met uitval van mensen en andere externe leveranciers. Als het gaat om uitwijken tijdens een pandemie zal wederom de vraag centraal staan in hoeverre rekening is gehouden met de impact van veranderend consumentengedrag op de eisen voor wat betreft uitwijkfaciliteiten en de te betrekken medewerkers. Voor wat betreft een eventueel herstelplan kan worden nagegaan of er plannen of uitgangspunten zijn opgesteld die specifiek zijn gericht op het consumentengedrag, bijvoorbeeld op het terugwinnen van klanten of juist het behouden van extra klanten die door een verandering in het consumentengedrag klant zijn geworden tijdens een pandemie. Ten slotte zal veranderend consumentengedrag ook mee moeten worden genomen in het testen. Bij testen is het van belang een zo realistisch mogelijke test uit te voeren. Daarom is het concreet maken van veranderend consumentengedrag tijdens de risicoanalyse, evenals het analyseren van de impact op de business tijdens de business impact analyse van groot belang. Naast de mogelijkheid om de plannen en maatregelen beter af te stemmen op de ‘variabelen’ in consumentengedrag, zijn bijkomende voordelen het creëren van bewustzijn en het aanscherpen van de precieze veranderingen in het consumentengedrag.
4.3.4
Invloed op sociaal en emotioneel gedrag
Omdat een pandemie zulke ingrijpende gevolgen heeft, bestaat de kans dat de maatschappij zich als geheel anders gaat gedragen. Dat hoeft zich niet enkel te uiten in veranderend consumentengedrag; extremere scenario’s waarbij sprake is van verstoring van de openbare orde of zogenaamde maatschappelijke ontwrichting zijn ook denkbaar. Nagegaan kan worden of en in hoeverre een bank hiermee rekening heeft gehouden in de risicoanalyse. Voor de bancaire sector is verder het vertrouwen in de bancaire/financiële sector van groot belang. Daarom is het ook van belang na te gaan of deze dreiging in de risicoanalyse is meegenomen dan wel in hoeverre deze dreiging als reeds geïdentificeerde dreiging voldoende aansluit op het pandemiescenario. Los van deze dreigingen bestaat ook de kans dat de overheid of lokale autoriteiten zich zullen inmengen. Deze situatie kan in de risicoanalyse als aparte dreiging worden meegenomen. Het zou immers kunnen dat deze goed aansluiten op de maatregelen die door de bank zijn opgesteld, maar het zou ook kunnen dat ze juist met elkaar conflicteren. Om een uitspraak te kunnen doen over de kans en de precieze manier van inmenging kan worden nagegaan in hoeverre afstemming plaatsvindt tussen de bank en de overheid en/of betrokken lokale autoriteiten. Voor wat betreft het analyseren van de impact op de business van bovengenoemde punten bestaan mogelijk grote verschillen. De impact van een incidentele verstoring van de openbare orde is wellicht nog te overzien, maar de impact van (langdurige) maatschappelijke ontwrichting is lastig te kwalificeren of te kwantificeren. Hetzelfde geldt voor het wegvallen van het vertrouwen, omdat het tijdens een pandemie zeer waarschijnlijk niet één bank zal betreffen, maar de gehele bancaire/financiële sector. De essentiële vraag is in hoeverre een bank dergelijke dreigingen concreet in kaart heeft kunnen brengen en of en in hoeverre op basis daarvan de impact voor de business is geanalyseerd. Met name voor wat betreft de inmenging van de overheid en lokale autoriteiten zouden er mogelijkheden moeten zijn. Een andere, extremere, vraag zou kunnen zijn wanneer de bank (of de banken gezamenlijk) besluit(en) de business stil te leggen. Het mag duidelijk zijn dat hier ook kan worden nagegaan in hoeverre de bank dergelijke aspecten onderling afstemt met andere banken.
27
Business Continuity Management en Pandemieën in de Bancaire Sector
Bij herstel van maatschappelijke ontwrichting zal met name de overheid een belangrijke rol spelen. Echter, het is niet ondenkbaar dat een bank een bijrol kan spelen, in samenwerking met de overheid en lokale autoriteiten. Dit geldt te meer voor het herstel van het vertrouwen in de bancaire/financiële sector, waarin de overheid wederom een rol kan spelen. Het is dus de moeite waard om na te gaan in hoeverre een bank hier aandacht aan heeft besteed, in het bijzonder voor wat betreft de samenwerking met de overheid en eventuele lokale autoriteiten. Het spreekt voor zich dat communicatie en informatievoorziening, zowel richting het grote publiek, als de eigen werknemers en de overige betrokken instanties van essentieel belang kan zijn ten tijde van een pandemie. Nagegaan kan worden of en in hoeverre hiermee rekening is gehouden in het incident managementplan en in het BCP. IT en andere communicatiemiddelen kunnen van groot belang zijn voor snelle en effectieve communicatie. Denk bijvoorbeeld aan het gebruik van Internet en Intranet. Tijdens een pandemie zou de website tijdelijk veel hogere bezoekersaantallen kunnen trekken, zoals we eerder al zagen met het gebruik van Internetbankieren. Juist op die momenten is het van belang dat de website in de lucht blijft en actueel is. Andersom is het van belang werknemers tijdig te informeren en de pers en andere media voor te zijn, om te voorkomen dat medewerkers beslissingen in of over hun werk nemen op basis van mogelijk foutieve informatie. De karakteristieken van een pandemie kunnen worden gebruikt om een inschatting te maken van het scenario en verloop van maatschappelijke ontwrichting, om op die manier de kans op een effectievere maatregel te verhogen. Voor wat betreft uitwijken is het de vraag in hoeverre dit in het geval van maatschappelijke ontwrichting of bij het wegvallen van vertrouwen in de bancaire/financiële sector nog noodzakelijk is; dergelijke situaties kunnen ook grote invloed hebben op het consumentengedrag. Anderzijds kan wanneer wordt uitgeweken wel worden gekeken naar de implicaties, zowel voor het pand dat wordt achtergelaten als voor het pand waar naar wordt uitgeweken. Denk bijvoorbeeld aan (fysieke) beveiliging van het pand en de aanwezigheid en het vervoer van gegevensdragers. Eventuele herstelplannen zijn relevant indien op basis van maatschappelijke ontwrichting of bij het wegvallen van vertrouwen in de bancaire/financiële sector sprake is geweest van een verstoring en dus op een bepaald moment sprake is van terugkeer naar business as usual. De vraag is of en in hoeverre reguliere herstelplannen dit aspect afdekken. Als het gaat om het inbrengen van deze gevolgen in het testen, dan kan enerzijds de vraag worden gesteld of en in hoeverre bij het testen wordt samengewerkt met de overheid en/of lokale autoriteiten (of dat dit wordt gesimuleerd tijdens de test). Anderzijds kan worden nagegaan in hoeverre de test en het testscenario realistisch zijn. Ondanks dat maatschappelijke ontwrichting en het wegvallen van vertrouwen in de bancaire/financiële sector zich moeilijk laat simuleren, is het bijvoorbeeld wel mogelijk verrassingselementen in de test op te nemen. Net als bij verandering in consumentengedrag is ook hier een bijkomend voordeel dat de deelnemers zich bewust worden van dergelijke mogelijkheden en dat ze input kunnen geven met betrekking tot de kenmerken en gevolgen van maatschappelijke ontwrichting of het wegvallen van vertrouwen in de bancaire/financiële sector.
28
Business Continuity Management en Pandemieën in de Bancaire Sector
4.4
Evaluatie van gebruik en de inzetbaarheid van het conceptueel raamwerk voor de IT auditor
De vragen die op basis van het conceptueel raamwerk zijn opgesteld, kunnen de IT auditor allereerst helpen met de beeldvorming over de invulling van het pandemievraagstuk. Voor wat betreft de specifieke IT audit vraagstukken lijken niet alle vragen even relevant. Echter, de IT auditor kan de vragen sec loslaten op de IT organisatie van een bank. Hoewel een dergelijk aanpak kan bijdragen aan waarborging van de continuïteit tijdens een pandemie, is het de vraag of deze ‘geïsoleerde’ aanpak adequaat is. De IT organisatie staat immers niet op zichzelf, maar wordt gestuurd op basis van de vraag vanuit de business. Dat geldt ook voor wat betreft BCM. Uit de toelichtingen en illustraties in de voorgaande paragrafen wordt duidelijk dat IT een belangrijke rol kan spelen binnen continuïteitsmaatregelen gerelateerd aan een pandemie. Enerzijds doordat IT als middel wordt toegepast, bijvoorbeeld door het mogelijk maken van thuiswerken met behulp van VPN. Anderzijds doordat een maatregel, al dan niet met IT als middel, een bepaalde impact kan hebben op de (inzet van de) IT organisatie als dienstverlener, bijvoorbeeld het aanvragen van extra bevoegdheden wat vervolgens kan leiden tot het aanmaken van autorisaties in systemen (met IT). Ook is het mogelijk dat door restricties op travelpolicies het niet mogelijk is fysiek van de ene naar de andere datacenter te reizen. Dit kan invloed hebben op de mogelijkheden van het beheren van de datacenters. Met deze twee perspectieven zijn de vragen uit het conceptueel raamwerk niet per definitie allemaal relevant voor de IT auditor. Echter, om de maatregelen te beoordelen vanuit de twee genoemde perspectieven, kan de IT auditor de vragen als uitgangspunt gebruiken. Op deze manier kan worden geïnventariseerd welke maatregelen zijn ingericht (dan wel ingericht dienen te worden) en vervolgens worden beoordeeld of: •
IT een rol speelt als middel in de maatregel;
•
de maatregel van invloed is op de IT organisatie.
Met deze twee vragen en het conceptueel raamwerk als startpositie kan de IT auditor op gestructureerde wijze de continuïteitsmaatregelen die resulteren uit het risicomanagementproces, het daaronder liggende BCM proces en de eisen/richtlijnen vanuit de DNB/AFM, beoordelen vanuit de gevolgen van een pandemie en, waar van toepassing, de karakteristieken van de pandemie.
29
Business Continuity Management en Pandemieën in de Bancaire Sector
5
Persoonlijke reflectie
Dit referaat is geschreven ter afsluiting van de post-graduate IT Audit opleiding aan de VU in Amsterdam. Een pandemie is een onderwerp dat zich in eerste instantie niet gemakkelijk laat relateren aan het IT audit vakgebied. Echter, wanneer een pandemie wordt bestudeerd vanuit het Business Continuity Management (BCM) perspectief en de rol die IT daarin heeft, dan is de relatie tussen een pandemie en het IT audit vakgebied wel degelijk te maken. De relatie tussen een pandemie en BCM wordt bekrachtigd vanuit de circulaire van DNB welke de pandemiedreiging onder de aandacht heeft gebracht en daarin meenemend dat het niet de vraag is of een pandemie gaat uitbreken, maar wanneer. Dit alles maakt het een actueel onderwerp waarin ook de IT auditor een rol heeft. Wij willen u tot slot meenemen in het proces dat wij hebben ondergaan tijdens het schrijven van het referaat en de belangrijkste aandachtspunten bespreekbaar maken. Wellicht had de lezer gehoopt een op kant-en-klare set van maatregelen. Ook wij hebben ons in eerste instantie in die hoek bewogen. Echter, iedere organisatie is uniek, waardoor maatregelen in kant-en-klare vorm niet altijd de oplossing vormen. Bovendien is er weinig ervaring op dit gebied. De laatste pandemie deed zich immers veertig jaar geleden voor. Geen best practices, geen proof of concept, geen real-life cases. Om de analogie met rule-based en principle-based regelgeving te leggen, zou je kunnen stellen dat een verplichte set aan maatregelen daarom minder effectief is. Naar onze mening is het van belang goed na te denken over het concept van een pandemie. Het raamwerk biedt prima handvatten voor de algemene discussie, evenals voor het inventariseren van op te zetten of te verwachten maatregelen. Uiteraard is het niet alleen de IT auditor die zich een beeld moet vormen van de situatie; het conceptueel raamwerk is wat ons betreft breed inzetbaar. Tegelijkertijd is het juist de brede uitgangspositie die zo belangrijk is voor de IT auditor, omdat op maatregelniveau kan worden gekeken of gebruik wordt gemaakt van IT en of de maatregelen impact hebben op de IT organisatie. Wij vonden het interessant te constateren dat de rol van risicomanagement groter was dan wij in eerste instantie zouden verwachten. In de praktijk zijn wij wel eens geneigd de stappen uit het risicomanagementproces over te slaan en meteen in maatregelen te denken. In het geval van een brand of stroomstoring is dit ook denkbaar, mede door het feit dat dit meer tot de verbeelding spreekt en omdat wij daar meer ervaring mee hebben. Dit in tegenstelling tot het pandemiescenario. Het is dan ook moeilijker maatregelen te bedenken voor een pandemie zonder een duidelijk beeld te hebben van het risico. Hetzelfde probleem speelde zich ook enkele jaren geleden af bij rampen door terroristische aanvallen en grote natuurrampen, welke voor veel instellingen ook een relatief nieuw fenomeen vormden. Als vervolgonderzoek zou empirisch onderzoek uitgevoerd kunnen worden naar de getroffen maatregelen en de precieze inhoud (effectiviteit) van deze maatregelen. Het conceptueel raamwerk leent zich uitstekend voor zowel het uitvoeren van een dergelijk onderzoek als het gestructureerd vastleggen en publiceren van de resultaten. Ten slotte zijn wij benieuwd hoe het thema leeft op het niveau van de Raad van Bestuur en Management Board. Wij hopen dat het conceptueel raamwerk als denkmodel kan bijdragen aan het bespreekbaar maken van het onderwerp en om ‘sponsors’ te winnen voor initiatieven. Een waardevol en vooral leerzaam initiatief zou kunnen zijn om als bancaire sector een marktbrede pandemietest uit te voeren. Dit zou kunnen bijdragen aan het effectiever en efficiënter omgaan met de voorbereidingen op een pandemie en omgang tijdens een pandemie.
30
Business Continuity Management en Pandemieën in de Bancaire Sector
Literatuurlijst [1]
KPMG (2007). Living on the frontline, the resilient organization, mid 2007
[2]
World Health Organisation (2003). Homepage (www.who.int/mediacentre/news/releases/2003/pr13/en/), 14 February 2003
[3]
World Health Organisation (2007). Homepage (www.who.int/csr/en/), 10 December 2007
[4]
De Nederlandsche Bank en Autoriteit Financiële Markten (2006), Circulaire continuïteisaspecten grieppandemie, augustus 2006
[5]
Ministerie van Financiën (2006). Wet op financieel toezicht 2006, 28 september 2006
[6]
Elsevier (2007). Homepage (www.elsevier.nl), 25 september 2007
[7]
Bank for International Settlement, International Convergenceof Capital Measurement and Capital Standards A Revised Framework Comprehensive, June 2006
[8]
De Nederlandsche Bank (2005). Homepage (http://www.dnb.nl), 2 december 2005
[9]
Committee of Sponsoring Organizations of the Treadway Commission (2004), Enterprise Risk Management – Integrated Framework, September 2004
[10]
Bank for International Settlement (2006). The Joint Forum High-level principles for business continuity, August 2006
[11]
Business Continuity Institute (2007). The Pocket Sized Good Practice Guidelines, mid 2007
[12]
Business Continuity Institute (2008). A Management Guide to Implementing Global Good Practice in Business Continuity Management Section 2 Understanding the organization, mid 2008
[13]
Business Continuity Institute (2008). A Management Guide to Implementing Global Good Practice in Business Continuity Management Section 3 Determining BCM Strategy, mid 2008
[14]
Business Continuity Institute (2008). A Management Guide to Implementing Global Good Practice in Business Continuity Management Section 4 Developing and Implementing a BCM Response, mid 2008
[15]
Overbeek, P., Roos Lindgreen, E., en Spruit, M. (2001). Informatiebeveiliging onder controle. Zeist: A-D Druk.
[16]
Business Continuity Institute (2008). A Management Guide to Implementing Global Good Practice in Business Continuity Management Section 5 Exercising, Maintaining & Reviewing BCM arrangements, mid 2008.
[17]
Ab Osterhaus (presentatie), Nationale pandemiedebat, 22 November 2007 (Delft).
[18]
Van Dale Groot woordenboek hedendaags Nederlands (2007).
31
Business Continuity Management en Pandemieën in de Bancaire Sector
[19]
Encyclopedie Gezondheidsnet. Homepage (www.gezondheidsnet.nl), november 2007.
[20]
World Health Organisation Epidemic and Pandemic Alert and Response (EPR) (http://www.who.int/csr/disease/avian_influenza/en/index.html), oktober 2007.
[21]
National Geographic, Oktober 2007.
[22]
Nivel (2007). Homepage (www.nivel.nl), oktober 2007.
[23]
Nivel (2006). Aantal patiënten met een influenza(-achtig ziektebeeld) per week per 10.000 inwoners, voor Nederland in 2003/2004, 2005/2006 en 2006/2007, midden 2007.
[24]
Roche (2002). Door griep getroffen, september 2002.
[25]
European Centre for Disease Prevention and Control (2007), Vaccinating “high risk groups” against seasonal flu could save thousands of lives says ECDC, December 2007.
[26]
Ab Osterhaus (presentatie), Nationale pandemiedebat, 22 November 2007 (Delft).
[27]
RIVM (2005). Wat is influenza en wat is het beloop?, september 2005.
[28]
World Health Organisation (2005). WHO communicatie vogelgriep & pandemie, december 2005.
[29]
World Health Organisation (2007). International Statistical Classification of Diseases and Related Health Problems, mid 2007.
[30]
World Health Organisation (2008). Homepage (www.who.org), januari 2008.
[31]
World Health Organisation (2005). Ten things you need to know about pandemic influenza, October 2005.
[32]
World Health Organisation (2005). WHO global influenza preparedness plan - The role of WHO and recommendations for national measures before and during pandemics, 2005.
[33]
De Nederlandsche Bank (2007), Toetsingskader Business Continuity Plannen Financiële Kerninfrastructuur, januari 2007
32
Business Continuity Management en Pandemieën in de Bancaire Sector
Bijlage A
Influenza nader bekeken
In deze bijlage wordt ingegaan op het influenzavirus vanuit een virologie perspectief. Deze informatie is wellicht niet relevant voor de gemiddelde manager en IT auditor, maar voor een BCM manager kunnen de hieronder uiteengezette details als achtergrondinformatie dienen. Om een beter beeld te krijgen bij het begrip influenza zal hieronder een ‘grafische’ uitleg van een influenza virus type A worden gegeven. Een influenza virus bestaat uit het hemaglglutinin protein, welke het mogelijk maakt dat het virus vast blijft zitten aan cellen van dieren en niet aan anderen en het neuarminidase protein, welke helpt bij het loslaten van het virus cellen. In de kern van het influenza virus bevindt zich het RNA gen welke het mogelijk maakt dat twee virussen mixen en overeenkomt met het gen. Neuraminidase
Matrix protein
Segmented RNA genome Hemagglutinin (HA) M2 ion channel protein (Influenza type B virus has a different ion channel protein)
Figuur A.1
Schematische voorstelling Influenza Type A virus
Een belangrijk kenmerk van het influenza virus is dat het zich zeer snel vermenigvuldigd. Dit proces van vermenigvuldigen gaat als volgt (in vereenvoudigde voorstelling): het hemagglutinin bindt zich aan de oppervlakte van de host cel en aan het sialic zuur (zie deel A) welke target is van het influenza virus. Dit proces zorgt ervoor dat de cel wordt overheerst door het virus. Vanaf daar wordt het de kern van de cel gepenetreerd (zie deel B) en begint het proces van replicatie (zie deel C). Engulfing Virus
Figuur A.2
Uncoating and Virus Replication
Vermenigvuldigen influenza virus in de host cel
Vervolgens zal het influenza zich gaan repliceren (vermenigvuldigen). In eerste instantie wordt dit bemoeilijkt doorat het sialic zuur zich bindt aan het hemagglutinin proteïne. Echter, het virus laat het neuraminidase enzym los, en dit enzym verbreekt de verbinding tussen het hemagglutinin proteïne en sialic zuur als de cel receptoren. Dit maakt het mogelijk dat het
33
Business Continuity Management en Pandemieën in de Bancaire Sector
nieuwe virussen de host cel kunnen verlaten en andere cellen gaan besmetten. Onderstaande figuur geeft het proces van verlaten van de host cel en vermenigvuldigen weer.
Figuur A.3
Verlaten van de host cel en besmetting andere cellen
In het onderzoek is opgemerkt dat er 3 typen influenza worden onderkend (type A, B en C). Waarbij type A de grootste gevolgen met zich meeneemt. Kijkend naar het influenza virus worden 16 verschillende hemagglutinin proteïne onderkend en 9 neuraminidase enzymen. Niet iedere combinatie tussen hemagglutinin en neuraminidase leidt tot het uitbreken van een influenza type A virus. Dit hangt samen met de structuur tussen het hemagglutinin proteïne en neuraminidase enzym, welke kan veranderen. De volgende paragraaf zal nader ingaan op de structuurverandering tussen het hemagglutinin proteïne en neuraminidase enzym. Er zijn verschillende varianten tussen het hemagglutinin proteïne en neuraminidase enzym mogelijk. Deze komen tot stand door een antigenetische drift- of shift. Het proces van genetische drift begint door een fout in de RNA transcriptie machine veroorzaakt door het binnen komen van het virus in de host cel. Fouten kunnen resulteren in een verandering van de genoom van het nieuw gecreëerde virus en vervolgens leidt tot een amino zuur verandering in het hemagglutinin proteïne en neuraminidase enzym. Het virale RNA wordt omgezet in een nieuw viraal proteïne in de cytoplasm cel. Deze nieuwe proteïne worden getransporteerd via de Golgi apparatus voor verdere ontwikkeling en groei of worden getransporteerd richting de cel oppervlakte. Als de nieuwe proteïne wordt getransporteerd richting de oppervlakte dan kunnen honderdduizenden nieuwe virussen gevormd in de geïnfecteerde cel. Als deze drift resulteert in een volledig competente virus, een nieuw ‘drifted’ subtype van influenza kan ontstaan. Transformatie in RNA
Transport naar oppervlakte
Figuur A.4
Genetische drift
34
Business Continuity Management en Pandemieën in de Bancaire Sector
Een drift in het influenza virus is een evolutionaire proces en komt voor in zowel het influenza type A als B. Dergelijke drifts leiden met een periodiciteit tussen de 2 en 5 jaar tot een influenza epidemie. Een shift is een moeilijk te doorgronden antigenetische variatie dat alleen voorkomt bij het influenza type A virus. Een shift in virussen binnen mensen resulteert in een afzonderlijk antigenetisch profiel welke meestal wordt veroorzaakt door een herordening van genetisch materiaal tussen twee virale ketens. Een dergelijke shift heeft effect op zowel mensen als dieren. De Avian ketens (vogelgriep ketens) van influenza worden gezien als de veroorzaker van de pandemie uitbraken in 1918, 1957 en 1981. Een herschikking kan bijvoorbeeld voorkomen wanneer een varken wordt geïnfecteerd met zowel een menselijke als avian influenza virus. Als gezegd kan hierdoor een herschikking plaatsvinden waardoor een virus ontstaat met avian achtige hemagglutinin en welke de mogelijkheid heef over te slaan op mensen. Het is ook mogelijk dat gevogelte direct mensen infecteren met het virus wat gebeurde in 1997 in Hong Kong met de uitbraak van het H5N1 influenza virus. Hierdoor wordt gezegd dat het H5N1 virus een keten is met een pandemie potentie. Het kan uiteindelijk resulteren in een keten welke ook besmettelijk is voor mensen. Als dit gebeurt, spreekt men niet meer over een vogel virus maar over het mensen influenza virus. Een influenza pandemie ontstaat uiteindelijk waneer het virus zich efficiënt van mens tot mens kan verspreiden.
35
Business Continuity Management en Pandemieën in de Bancaire Sector
Bijlage B
COSO nader bekeken
Deze paragraaf gaat in op het risico managementproces en de erkenning van het grieppandemie risico. Het betreft een generieke uitwerking welke een voorschrijvend karakter heeft. Het COSO raamwerk is opgedeeld in drie dimensies: 1
Vier categorieën doelstellingen;
2
Acht Componenten;
3
Organisatie structuren.
De drie dimensies en onderliggende doelstellingen, componenten en structuren worden infiguur B.1 weergegeven. De rest van deze bijlage geeft een nadere toelichting op de acht compontenten.
Figuur B.1
B.1
Het COSO raamwerk met de drie dimensies en onderliggende elementen.
Interne omgeving
De interne omgeving stelt de basis voor het omgaan met hoe de organisatie tegen risico’s aankijkt en hoe dit wordt opgepakt door zowel het bestuurskader als het midden- en uitvoerende kader. Het is een vertaling van voornamelijk de zachte componenten van een organisatie, denkend aan de filosofie, (ethische) normen en waarden van de organisatie. Gezien de maatschappelijke positie die een bank inneemt mag worden verwacht dat banken hier veel aandacht voor hebben. In concreto betekent dit dat de maatschappij mag verwachten dat een bank nagedacht heeft over het uitbreken van een grieppandemie en te nemen maatregelen. Deze verwachting wordt versterkt door DNB welke een circulaire heeft verspreid onder al haar leden met het onderwerp ‘grieppandemie’.
B.2
Bepalen van doelstelling
Banken worden gezien als professionele instellingen die veel aandacht besteden aan het uitzetten van doelen (zowel op de lange, middellange als korte termijn). Verschillende
36
Business Continuity Management en Pandemieën in de Bancaire Sector
gebeurtenissen kunnen de doelen in de weg staan. Afhankelijk van de risk appetite van een bank dienen hier vooraf waarborgen tegen genomen te worden. Het uitbreken van een grieppandemie dient gezien te worden als een gebeurtenis die een grote impact heeft op de doelstellingen van de bank. Dit wordt onderschreven door DNB welke een circulaire heeft verspreid onder al haar leden met het onderwerp ‘grieppandemie’.
B.3
Identificatie van gebeurtenissen
Een bank dient vooraf een inschatting te maken van mogelijke gebeurtenissen die invloed kunnen hebben op de bedrijfsvoering. Dit kunnen zowel gebeurtenissen zijn die vanuit de interne organisatie of externe omgeving komen (Dimitris N. Chorafas, operational risk control with Basel II, 2004). Bij het uitbreken van een grieppandemie gaat het om een gebeurtenis vanuit de externe omgeving.
B.4
Risicoanalyse
Op basis van de geïdentificeerde gebeurtenissen dient een bank een risico assessment uit te voeren. In het geval van een grieppandemie dient een bank te bepalen welke impact dit heeft op de bedrijfsvoering. Afhankelijk van de complexiteit en onderliggende vitale infrastructuur van de bedrijfsvoering is dit proces meer of minder omvangrijk. Het maakt bijvoorbeeld uit of een bank alleen een vestiging heeft in Nederland of verspreid zit over de gehele wereld. Ook afhankelijk van het type product dat een bank op de markt brengt is bepalend voor het uitvoeren van de risico assessment (case uitkomsten in verwerken). Het begrip vitale infrastructuur verwijst naar het rapport ‘bescherming vitale infrastructuur in Nederland’ welke uitgegeven is door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
B.5
Risicoreactie en implementeren van maatregelen
Op basis van het geïdentificeerde risico en uitgewerkte assessment dient een risico response geformuleerd te worden en mitigerende maatregelen geïmplementeerd. Het management dient bepaalde keuzes te nemen die in overeenstemming zijn met de risico-appetite en tolerantie van de bank. Ook hier kunnen zich weer afhankelijk van de complexiteit en de onderliggende vitale infrastructuur van de bedrijfsvoering meer of minder maatregelen voor benodigd zijn.
B.6
Informeren, communiceren en monitoren
De laatste componenten van het COSO raamwerk gaan over het informeren en communiceren van o.a. de te treffen maatregelen, actieplannen, beleggen van verantwoordelijkheden en het beschikbaar maken van allerlei benodigde middelen. Door het gehele risico-management proces continue te monitoren en acties te ondernemen waar mogelijk en noodzakelijk is men instaat het proces in te bedden in de organisatie.
37
Business Continuity Management en Pandemieën in de Bancaire Sector
Bijlage C
Circulaire DNB en AFM
38
Business Continuity Management en Pandemieën in de Bancaire Sector
39