Op weg naar een operational resilience framework

Op weg naar een operational resilience framework

Op dit moment staat ‘operational resilience’ (operationele veerkracht) voor veel organisaties bovenaan de agenda van de raad van bestuur en het senior management. De COVID-19-pandemie heeft duidelijk laten zien hoe kwetsbaar samenlevingen en organisaties zijn voor onverwachte en onvoorziene gebeurtenissen.

De pandemie is slechts één voorbeeld van een gebeurtenis die kritieke activiteiten kan verstoren, hetgeen kan leiden tot fragiele en uiteindelijk omvallende bedrijven. Cybercriminaliteit, klimaatverandering, technologische veranderingen en geopolitieke ontwikkelingen zijn slechts enkele andere voorbeelden van potentiële oorzaken van disrupties. Toezichthouders realiseren zich dat diverse potentiële disrupties niet kunnen worden voorkomen en onderzoeken de mogelijkheden om financiële instellingen te begeleiden bij het verbeteren van hun operational resilience. In samenwerking met GloComNet ondersteunt Zanders organisaties om dit te bereiken.

Operational resilience wordt gedefinieerd als “het vermogen van een organisatie om bij disrupties kritieke activiteiten te kunnen blijven uitvoeren. Dit vermogen helpt een organisatie om deze gebeurtenissen te identificeren, zichzelf ertegen te beschermen, erop te reageren en zich aan te passen, evenals te herstellen, ervan te leren en om de impact op kritieke activiteiten te minimaliseren.”*

Onlangs heeft het onderwerp de aandacht getrokken van toezichthouders in de financiële sector. Disrupties zoals de ‘Grote Financiële Crisis’ van 2008, klimaatverandering, witwaspraktijken en fraude, en de ongekende dreigingen van de pandemie hebben deze sector vaak op de proef gesteld.

Operational resilience framework

Regelgeving

Al geruime tijd ligt de focus van regelgeving en toezicht in de financiële sector op het vermogen om financiële schokken op te vangen. Een groot deel van deze regelgeving is gebaseerd op statistiek en historische data, dus op gebeurtenissen die eerder hebben plaatsgevonden. Regelgeving die banken voorbereidt op onzekere in plaats van risicovolle gebeurtenissen ontbreekt echter.

Daarom publiceerde de Bank of England in maart 2021 het discussiestuk ‘Building operational resilience: Impact tolerances for important business services’ (Opbouwen van operationele veerkracht: impacttoleranties voor belangrijke zakelijke diensten). De nieuwe regelgeving wordt vanaf 31 maart 2022 van kracht voor banken en beleggingsondernemingen in het VK. Ook publiceerde het Comité van Basel voor het banktoezicht (BCBS, Basel Committee on Banking Supervision) in maart 2021 ‘Principles for Operational Resilience’ (Beginselen voor operationele veerkracht). Dit document schetst regelgeving die van toepassing zal worden op banken als een voorbode van nieuwe regelgeving in de Europese Unie.

Het BCBS erkent dat bepaalde potentiële disrupties, zoals pandemieën, niet kunnen worden voorkomen. Ze stelt echter dat “het mogelijk is om de veerkracht van de activiteiten van een bank tegen dergelijke gebeurtenissen te verbeteren.” Belangrijk hierbij is dat de tolerantie van een bank voor de potentiële impact van dergelijke disrupties wordt afgestemd op haar inspanningen om de operational resilience te verbeteren. Centraal in dit proces staan zeven principes met betrekking tot:

  • Governance
  • Operationeel risicomanagement
  • Plannen en testen van bedrijfscontinuïteit
  • In kaart brengen van interconnecties en onderlinge afhankelijkheden
  • Management van afhankelijkheid van derden
  • Incidentmanagement
  • ICT en cybersecurity

Operational resilience versus operational risk

Operational resilience moet niet worden verward met operational risk. Operational risk is gericht op niet-financiële risico’s die van nature ontstaan wanneer een organisatie haar reguliere activiteiten uitvoert en rekening houdt met verliezen als gevolg van verstoorde activiteiten. Operational resilience wordt naast traditioneel operationeel risicomanagement geïntroduceerd, omdat kwantitatieve methoden hun beperkingen hebben bij complexe activiteiten en onzekerheden. Er doen zich altijd potentiële situaties voor waarin men verrast wordt en nieuwe beslissingen of acties moet ondernemen.

Operational resilience overkoepelt operational risk in meerdere dimensies. Allereerst erkent operational resilience niet alleen risicovolle, maar ook onzekere gebeurtenissen. Bovendien, waar operational risk een vrij passieve manier blijft om naar potentieel verstorende gebeurtenissen te kijken, definieert operational resilience methoden om ermee om te gaan, wat leidt tot een verschuiving van een passieve naar een actieve benadering. Tot slot gaat operational resilience over meer dan alleen het vergroten van de resilience van de organisatie. Het omvat ook governance, strategie, informatiebeveiliging, bedrijfscontinuïteit, calamiteitenherstel (disaster recovery) en de organisatiecultuur. Operational risk kan daarom worden gezien als een subset van operational resilience.

Het BCBS is van mening dat banken effectieve oplossingen voor operational resilience en bedrijfscontinuïteitsplannen moeten implementeren. Daarnaast moeten banken hun interne en externe onderlinge afhankelijkheden verkennen en beheren, hun incidentrespons verbeteren, herstelplannen ontwikkelen en geleerde lessen documenteren om de impact van potentiële disrupties te beperken.

De routekaart

Samen met prof. dr. Lex Hoogduin (zie kader hieronder) ontwikkelde Zanders het Operational Resilience Framework (raamwerk voor operationele veerkracht), kortweg het OR-raamwerk. Het doel van het OR-raamwerk is om organisaties te ondersteunen bij het behouden van een ongestoorde bedrijfsvoering. Het raamwerk bouwt voort op economische theorie en is gebaseerd op het raamwerk voor handelen onder onzekerheid en complexiteit (FAUC, Framework for Acting under Uncertainty and Complexity). Het FAUC combineert inzichten uit de theorie en de praktijk van leidinggevenden in de financiële sector.

De routekaart naar het OR-raamwerk bestaat uit een ‘continue feedbackloop’ met vijf fasen. Elke fase biedt een leidraad voor een organisatie om veerkrachtiger te worden.

Fase 1: Activiteiten in kaart brengen
De eerste fase richt zich op het in kaart brengen van kritische bedrijfsactiviteiten. Het in kaart brengen van afzonderlijke activiteiten maakt het mogelijk om gebeurtenissen die mogelijk specifieke activiteiten verstoren op een gestructureerde manier te identificeren. Aangezien elke organisatie en haar activiteiten uniek zijn, zijn de potentiële bronnen van disrupties dat ook.

Fase 2: Veilige activiteiten opbouwen
De tweede fase is gericht op het opbouwen van zekerheden in de activiteiten. Voor elke kritieke bedrijfsactiviteit wordt een lijst samengesteld van potentiële disrupties en oorzaken van disrupties die geïdentificeerd worden door te onderzoeken ‘Wat er mis kan gaan’ en ‘Waarom deze dingen mis gaan’. Het maken van een lijst met kwetsbaarheden voor kritieke activiteiten stelt de organisatie in staat om maatregelen te nemen om de impact van potentiële disrupties te elimineren, te vermijden, bescherming hiertegen te bieden, hierop te anticiperen en/of deze te beperken. Om op dergelijke gebeurtenissen te kunnen anticiperen, moet worden bepaald ‘Wanneer het precies mis gaat’. Door drempelwaarden (‘thresholds’) in te stellen die acties in gang stellen zodra ze worden overschreden, wordt een sterke en collectieve incidentrespons mogelijk gemaakt.

Fase 3: Alert zijn
Deze fase heeft betrekking op het monitoren en detecteren van disrupties. Cruciaal in deze fase zijn vroegtijdige detectie en melding aan belanghebbenden, en het direct ondernemen van actie. Dit maakt het mogelijk om maatregelen te nemen en aanpassingen te doen aan een nieuwe situatie, wat leidt tot een veerkrachtigere organisatie die in staat is om kansen te creëren en te benutten.

operational resilience framework

Fase 4: Weerbaar zijn
De volgende fase bestaat uit het reageren op en herstellen van disrupties wanneer deze zich voordoen. Flexibiliteit bij het aanpassen aan de situatie is daarbij van belang. Financiële buffers, herstelplannen, reglementen en draaiboeken, ‘brandoefeningen’ en simulaties bereiden de organisatie voor op disrupties.

Fase 5: Leren
De vijfde fase is gericht op het leren van disrupties uit het verleden. Effectieve incidentrespons vereist dat eerder ondervonden disrupties en genomen maatregelen duidelijk worden gecommuniceerd en gedocumenteerd. De focus bij deze stap ligt op een ‘continu feedbackproces’ om kwetsbaarheden van de organisatie te ontdekken en ervan te leren, en om zo veerkrachtiger te worden.

Just culture

Een belangrijke voorwaarde voor een succesvolle implementatie van het OR Framework is het eerlijk en tijdig melden van disrupties die zich binnen de organisatie voordoen. Dit vereist vertrouwen om continu processen te onderzoeken, disrupties te detecteren en te communiceren. Zo kan de organisatie snel reageren op disrupties. Een cruciale voorwaarde voor een succesvolle implementatie van het OR Framework is daarom een rechtvaardige cultuur (‘Just Culture’).

Een Just Culture wordt gedefinieerd als een evoluerende set aan regels, normen en waarden, en gedrag die individuen en organisaties in staat stelt om duurzaam te leren en te profiteren van menselijke interactie. In een Just Culture is het noodzakelijk dat mensen persoonlijke verantwoording afleggen door betrokken te zijn bij de continuïteit van de onderneming. Een Just Culture wordt aangemoedigd door het goede voorbeeld te geven van bovenaf.

Risico, onzekerheid en complexiteit

Om het OR Framework te begrijpen, maken we een onderscheid tussen risico, de belangrijkste focus van traditioneel risicomanagement, en onzekerheid. Risicovolle gebeurtenissen zijn berekenbaar en kansberekening en kwantitatieve modelleringsinstrumenten zijn toepasbaar. Onzekere gebeurtenissen zijn dit niet en er moeten andere methoden worden toegepast om iets te kunnen zeggen over toekomstige onzekere gebeurtenissen.

Het OR Framework is gebaseerd op het idee dat de wereld complex en fundamenteel onzeker is. Ontwikkelingen als bevolkingsgroei, technologische innovaties en toenemende onderlinge verbondenheid van mensen en systemen zullen onvermijdelijk tot meer onvoorziene gebeurtenissen leiden. Omgaan met onzekerheid betekent voornamelijk omgaan met zulke potentiële onvoorziene gebeurtenissen.

Het gevolg is dat de operational risilience in de financiële sector om methoden vraagt die een aanvulling vormen op traditioneel risicomanagement. De hamvraag is: Als we geconfronteerd worden met een onzekere in plaats van risicovolle wereld vol potentiële onvoorziene gebeurtenissen, hoe kunnen we daar dan mee omgaan?

De implementatie

De implementatie van het OR Framework wordt voor iedere kritieke activiteit van de organisatie apart gedaan. Zanders biedt de routekaart door in elke stap van het raamwerk potentiële hiaten in de nakoming van regelgeving te beoordelen en op te vullen, door workshops en trainingen te organiseren en door beleidsdocumentatie en advies op maat te bieden. Dit maakt het mogelijk om potentiële (oorzaken van) disrupties van kritieke bedrijfsactiviteiten te ontdekken en op maat gemaakte disruptieve materialiteitsinzichten te ontwikkelen, opgeslagen in de zogenaamde Disruption Materiality Matrix. Op deze manier vergroot de organisatie bij elke stap van de OR Framework cyclus haar veerkracht. Zanders biedt begeleiding bij de implementatie van software die het gebruik van het OR Framework ondersteunt. Daarnaast kan GloComNet helpen bij het ontwikkelen en behouden van een Just Culture binnen de organisatie. Om de inpassing van het raamwerk te onderzoeken en meer vertrouwd te raken met het proces, kan een demoworkshop worden georganiseerd om de veerkracht van een van de kritieke bedrijfsactiviteiten van uw organisatie op de proef te stellen.

Voetnoot:
*) Het Comité van Basel voor het banktoezicht, Principles for Operational Resilience (Beginselen voor operationele veerkracht), maart 2021.

GloComNet

De wereld is complex en de toekomst onzeker. Wat betekent dat voor de bestaande modellen waarop we onze verwachtingen baseren? Voor Lex Hoogduin, hoogleraar Complexity and Uncertainty in Financial Markets and Financial Institutions aan de Rijksuniversiteit Groningen, oud-voorzitter van LCH en oud-directeur van de Nederlandsche Bank, was het een reden om het Global Complexity Network (GloComNet) op te zetten, een open platform gericht op het effectief omgaan met ‘complexiteit en onzekerheid’.

Samen met Zanders ontwikkelde GloComNet het raamwerk voor handelen onder onzekerheid en complexiteit (FAUC, Framework for Acting under Uncertainty and Complexity), dat organisaties helpt om effectief om te gaan met complexiteit en onzekerheid.