Business continuity management in de praktijk

Uitgave: Pensioen Bestuur & Management (PBM) nummer 4 2020

DR. AUGUSTINUS MOHN EN PIETER KIVERON, KPMG Rubriek: Balansmanagement
Geplaatst op 20-10-2020
Business continuity management in de praktijk Voor veel pensioenfondsbestuurders blijkt de huidige pandemie de ultieme test voor hun bedrijfscontinuïteitsplan of, zoals de Britten het zo mooi zeggen: the proof of the pudding is in the eating ... Dat geldt niet alleen voor het financiële, maar vooral ook voor het operationele plan. Laten we, om ook iets positiefs uit deze crisis mee te nemen, eens goed kijken naar de lessen die we hieruit kunnen trekken.

pk

Net als veel andere bedrijven en organisaties zijn ook de Nederlandse pensioenfondsen geraakt door de recente coronacrisis. Door de lockdownmaatregelen van de overheid moesten er nieuwe manieren van werken worden gevonden om operationeel te blijven. Zo heeft thuiswerken geleid tot meer aandacht voor HR-management, de vraag naar nieuwe IT-oplossingen en de bijbehorende beveiligingsmaatregelen. Waar veel pensioenfondsen deze transitie met succes hebben doorgevoerd, hadden andere fondsen er moeite mee. Voor pensioenfondsen die niet op de pandemie waren voorbereid was het een uitdaging om over te schakelen naar een operationele crisismodus. Hoewel het hebben van een financieel bedrijfscontinuïteitsplan voor pensioenfondsen verplicht is, is een plan dat zich richt op de continuïteit van de dagelijkse bedrijfsvoering en IT minder gebruikelijk voor deze sector. Het is voor een beheerste en integere bedrijfsvoering echter wel essentieel. Door zich niet voor te bereiden op zogenaamde ‘low-frequency/high-impact’-crises is een organisatie kwetsbaar en weerloos als zoiets zich voordoet. Met dit artikel willen we best practices op deze gebieden delen, waarbij we ons niet alleen richten op de manier waarop pensioenfondsen in Nederland de recente coronacrisis hebben ervaren en beheerst, maar we ook enkele belangrijke aandachtspunten belichten, zoals het uitbesteden van kritieke processen en/of IT aan externe dienstverleners.

Mate van ‘readiness’ voor de crisis
Een belangrijk probleem bij veel organisaties is dat zij de kans op operationele ‘staart’-risico's, ook wel bekend als ‘black swans’ (onverwachte gebeurtenissen die niemand van tevoren heeft zien aankomen of voorspeld), onderschatten. Voorbereid zijn op het onverwachte begint een belangrijke factor te worden voor de risicoplanning van organisaties. Net als bij cyberaanvallen, die steeds vaker voorkomen maar nog steeds worden onderschat, stonden tot voor kort pandemieën niet – of niet prominent – op de lijst van veel risicomanagementafdelingen.
Voor dit artikel hebben we een onderzoek uitgevoerd onder pensioenfondsen in Nederland. Meer dan twee derde van de twintig respondenten vertelde ons dat ze ook een ander crisisplan hadden dan dat voor de financiële risico's. Maar van de respondenten die wel een relevant operationeel crisisplan hadden, meldde de meerderheid dat het plan van recente datum was en het met succes in praktijk is gebracht.

kpmg

De belangrijkste hieruit geleerde lessen, zoals door de respondenten gerapporteerd, zijn:
- Het is belangrijk om een toegewijd crisisteam te hebben en duidelijk te hebben wie de leiding heeft en verantwoordelijk is voor het nemen van belangrijke beslissingen.
- Het van tevoren testen van de plannen was zeker nuttig en belangrijk voor het succes ervan tijdens de echte crisis.
- Thuiswerken is mogelijk, maar kan gepaard gaan met HR-gerelateerde zaken – zoals de balans tussen werk en privé en de gezondheid – die ook een risico kunnen vormen voor de voortzetting van de activiteiten op de lange termijn.
- Het is belangrijk een onderscheid te maken tussen financiële en niet-financiële bedrijfscontinuïteitsplanning.
- Het crisismanagement was vaak ad hoc, een gedetailleerder plan zou zeker van pas zijn gekomen.
- De dienstverlening van pensioenuitvoeringsorganisaties en andere externe dienstverleners bleek betrouwbaar met over het algemeen een gedegen bedrijfscontinuïteitsbeheer.

De pensioenfondsen die niet over een (ander dan financieel) crisisplan beschikten, hadden moeite met de coördinatie van de crisis. Wat hierbij hielp was dat hun externe dienstverleners over het algemeen een gedegen bedrijfscontinuïteitsbeheer hadden dat betrouwbaar bleek te zijn. Het pensioenfondsbestuur blijft echter de eindverantwoordelijkheid dragen. De hierboven beschreven inzichten maken duidelijk dat pensioenfondsen zich zouden moeten voorbereiden op ook andere dan financiële bedrijfscontinuïteitgerelateerde gebeurtenissen – naast het hebben van de juiste contractuele afspraken met externe dienstverleners.

Best practice-aanpak
Een goed uitgangspunt is het beoordelen van de ‘huidige staat’ van uw bedrijfscontinuïteitsmaatregelen en -plannen. Wetgeving en guidance van de toezichthouder dienen hiervoor als maatstaf. Er zijn in de ‘Good Practice’ voor Informatiebeveiliging van DNB eisen opgenomen waaraan moet worden voldaan. Internationaal erkende standaarden bieden ook nuttige handvatten. De belangrijkste zijn de ISO-norm 22301:2019 (Security and Resilience – Business Continuity Management Systems – Requirements) en de Good Practice Guidelines van het Business Continuity Institute. Tot slot kan de premiebetaler – de sponsor/werkgever – van een pensioenfonds ook eisen hebben op dit gebied. Zodra de huidige toestand (IST) helder is, wordt het tijd om een plan te formuleren voor de gewenste staat (SOL). Aan welke strategische en operationele doelstellingen moeten de bedrijfscontinuïteitsmaatregelen precies voldoen?
Het is belangrijk om bedrijfscontinuïteit niet alleen vanuit een juridisch of nalevingsperspectief te bezien, maar ook om te bepalen wat er daadwerkelijk nodig is om tijdens een crisis operationeel te blijven. Met andere woorden, voeg de daad bij het woord. Het is niet voldoende om slechts een mooi document op te stellen. Een goed bedrijfscontinuïteitsplan is specifiek afgestemd op een bepaald pensioenfonds, wordt geïmplementeerd, doorleefd en regelmatig getest.

1. Identificeer bedrijfskritieke processen
Bepaal de reikwijdte van het bedrijfscontinuïteitsplan. De verschillende afdelingen moeten worden geraadpleegd om hun behoeften en eisen in kaart te brengen. Maak op basis hiervan een prioriteitenlijstje van welke processen en functies het meest kritiek zijn voor het werk van het pensioenfonds. Een nuttig instrument hierbij is het uitvoeren van een Business Impact Analyse (BIA): Wat zou de impact zijn van een verstoring van een specifiek proces of een specifieke bedrijfsfunctie voor andere processen en functies – en voor het pensioenfonds in het algemeen?

2. Bepaal de afhankelijkheden en onderliggende IT-capaciteiten (incl. externe dienstverleners)
Bepaal als onderdeel van de BIA de afhankelijkheden tussen bedrijfsprocessen – als proces A wordt verstoord, welke impact heeft dat op proces B? Ook de onderliggende IT-capaciteiten moeten worden beoordeeld. Vergeet tot slot niet de impact van externe dienstverleners. Als een grote dienstverlener in gebreke blijft, hebben we dan een alternatief?

3. Bepaal de bedrijfscontinuïteitsvereisten
Definieer de bedrijfscontinuïteitsvereisten voor de geïdentificeerde processen en de onderliggende IT. Houd hierbij rekening met:
- De maximaal toelaatbare onderbrekingsduur (gekwantificeerd in een MTPD – ‘maximum tolerable period of disruption’).
- De hersteltijddoelstelling (gekwantificeerd in een RTO – ‘recovery time objective’).
- Maximaal toelaatbare hoeveelheid dataverlies (gekwantificeerd in een RPO – ‘recovery point objective’).
Bepaal ook wat het minimaal aanvaardbare serviceniveau is om het pensioenfonds draaiende te houden – hoeveel medewerkers hebben we nodig om de werkzaamheden uit te voeren? En tot slot, welke service level agreements (SLA’s) zijn of zouden moeten worden afgesloten met onze externe dienstverleners met betrekking tot hun bedrijfscontinuïteit?

4. Stel dreigings- en risicoscenario’s op en preventie- en herstelstrategieën met duidelijke rollen en verantwoordelijkheden
Ontwikkel op basis van de BIA mogelijke dreigings- en risicoscenario’s en een preventieen herstelstrategie/-plan. Breng mogelijke gebeurtenissen/scenario’s in kaart die tot een verstoring van de relevante processen kunnen leiden. Geef ook de waarschijnlijkheid ervan aan en toets minimaal het product van die twee aan uw risicobereidheid. Implementeer eventuele preventie- en andere beheersmaatregelen (opzet, bestaan én werking). Stel voor elk daarvan een duidelijk plan op, met inbegrip van de rolverdeling van wie er verantwoordelijk, eindverantwoordelijk, geraadpleegd en geïnformeerd is of moet worden (op basis de RACI-matrix: responsible, accountable, consulted, informed).

5. Periodiek het plan testen en het op basis van de geleerde lessen aanpassen of verbeteren
Het programma voor bedrijfscontinuïteit:
- Een bedrijfscontinuïteitsstrategie, waarin de belangrijkste strategische doelstelling van het bedrijfscontinuïteitsprogramma wordt uiteengezet, met inbegrip van preventie- en herstelstrategieën.
- Een bedrijfscontinuïteitsplan dat de reikwijdte van het programma bepaalt en informatie uit de BIA's en dreigings- en risicoscenario's omvat, met inbegrip van RACI's voor verschillende crisisscenario's (of een afzonderlijk crisisplan).
- Ondersteunende documentatie, zoals een IT- ‘disaster & recovery’-plan (D&R), om back-up locaties en andere technische maatregelen om het pensioenfonds draaiende te houden, in kaart te brengen.
Maar bovenal is het belangrijk dat deze plannen regelmatig worden getest om eventuele tekortkomingen vast te stellen.

Belangrijkste aandachtspunten
- Het plan vereist ‘buy-in’ tot in de hoogste managementniveaus – om de organisatiebrede steun te onderstrepen.
- Crisisbeheer moet korte communicatielijnen met de (overige) pensioenfondsbestuurders hebben om kritieke besluitvorming te vergemakkelijken. Een andere mogelijkheid is om het crisisteam de bevoegdheid te geven om zelf deze kritieke beslissingen te nemen voor het fonds. Alle relevante onderdelen van het bedrijf moeten in het crisisbeheer vertegenwoordigd zijn, met name IT.
- Trap niet in de val van het ’brandjes blussen’. Er moet een team zijn dat specifiek gericht is op het operationele crisismanagement en een apart team dat verantwoordelijk is voor het ontwikkelen van crisisbeleid, -plannen en -strategieën. Natuurlijk moeten deze teams met elkaar communiceren om de geleerde lessen verder te ontwikkelen en de plannen te oefenen.
- ‘Oefening baart kunst’ – een goed plan wordt periodiek getest en voortdurend verbeterd, dat is het kenmerk van een ‘lerende organisatie’ (bijvoorbeeld de ‘plan-do-check-act’-kwaliteitscirkel van Deming).
- Vergeet uw externe dienstverleners niet!

Hoe nu verder?

De coronacrisis heeft aangetoond dat pensioenfondsen een gedegen bedrijfscontinuïteitsplanning nodig hebben, naast hun financiële crisisplan.
Een goed plan voldoet aan de volgende criteria:
- Voeg de daad bij het woord – implementeer het plan en zie het niet slechts als een verplicht nummer waaraan voldaan moet worden.
- Oefening baart kunst – test het plan op regelmatige basis en verbeter het aan de hand van de geleerde lessen.
- Vertrouw niet op uw leveranciers – u blijft uiteindelijk eindverantwoordelijk.