Instituut voor Veiligheids- en Crisismanagement

Risicoloos of risicobewust?

De financiële sector weet als geen ander hoe het woord crisis geschreven wordt. Maar juist dan is het van belang scherp te blijven op nieuwe fenomenen of dreigingen uit onverwachte hoek.

Compliance

Risico's zijn inherent aan investeren en ondernemen. Twee belangrijke kernbegrippen in de financiële dienstverlening. Veel risico's worden ingedamd door wet- en regelgeving. En aangevuld met interne compliance regels. Het is echter een illusie om te denken dat alle risico's hiermee daadwerkelijk zijn uitgesloten. Het overgrote deel van de financiële instellingen maakt daarom serieus werk van business continuity en van crisismanagement; voorbereid zijn op momenten die ertoe doen, om de continuïteit te kunnen waarborgen en reputatieschade te kunnen voorkomen.

Crisismanagement

Het gestructureerd afwegen en voorbereiden van risico's levert duidelijke voordelen op. Bepaalde risico's, zoals een grootschalige stroomstoring, cybercrime, pandemie en brand, overkomen een organisatie. Maar de effecten zijn wel daar en vaak blijkt er meer aan preventie te kunnen worden gedaan. Bij andere scenario's, zoals fraude en integriteitissues, speelt ook nog eens de eigen interne organisatie een rol en kan het vertrouwen in een organisatie op het spel staan. Op dat soort momenten is het van belang dat een organisatie klaar staat om te handelen.

Van papier naar praktijk

Het (vroegtijdig) opsporen van risico's en de impact daarvan binnen een organisatie dient als vertrekpunt om tot een goed crisisplan te komen. Niet alleen de impact van een verstoring wordt in kaart gebracht, ook wordt gekeken naar de cultuur binnen een organisatie. Is de organisatie bewust van de mogelijke risico's? Staan incidenten los van elkaar of is een patroon waar te nemen? Na dit verkennende onderzoek worden vervolgens taken, verantwoordelijkheden en bevoegdheden belegd binnen een crisisorganisatiestructuur. In de implementatie is het zaak om iedereen ook echt klaar te stomen voor kritische situaties. Onder meer door training, door het testen tijdens levensechte simulaties en door incidenten goed te evalueren en de lessen te implementeren.

Vraagstukken en oplossingen

Weten we voldoende van nieuwe fenomenen als cybercrime en financial recovery? Zijn onze plannen state-of-the-art? Voldoen we aan compliance regels vanuit toezichthouders? Het COT heeft al diverse banken, pensioenfondsen en andere financiële instellingen geadviseerd bij deze vraagstukken en de verdere professionalisering van hun crisismanagement. Concrete voorbeelden:

  • Simulatieoefening cybercrime/DDoS-aanval
  • Simulatie/dry-run financial recovery
  • Training- en oefenprogramma BCM+
  • Crisistrainingen sleutelposities (voorzitters, liaisons, crisisadviseurs)
  • Audit crisisplannen
  • Ontwikkelen crisisscenario's