Continuïteitsplannen COVID-19

Nieuwsbericht
Datum 6 maart 2020

COVID-19 kan grote gevolgen hebben voor de continuïteit van financiële instellingen en hun dienstverlening. Het vraagt om een andere aanpak dan de standaard continuïteitsprocessen.

Digitaal Loket Toezicht

Financiële instellingen hebben van oudsher aandacht voor de continuïteit van hun dienstverlening in de vorm van business continuity management (BCM) processen en business continuity plannen (BCP).

Continuïteitsplannen zijn veelal gericht op het herstellen van kritische bedrijfsprocessen na relatief korte verstoringen veroorzaakt door natuurrampen, uitval van onderdelen van de infrastructuur (bijvoorbeeld elektra en datacommunicatie) of terroristische aanslagen.

Een pandemie is daarentegen geen eenmalig kortdurend incident, maar kan weken tot maanden achtereen duren. Gedurende die tijd krijgen instellingen te maken met zeer hoge afwezigheidpercentages van personeel als gevolg van ziekte, zorgtaken voor zieke familieleden of angst voor besmetting. Door quarantainemaatregelen van (lokale) overheden, gericht op voorkoming of beperking van verdere besmetting, kunnen alle bedrijfsactiviteiten in delen van gebouwen of zelfs hele regio’s stil komen te liggen. Ook kan het effect hebben op de bestuurlijke besluitvorming binnen een instelling. Gezien de nationale impact en de verwachte duur van een pandemie, zal het daarbij moeilijk blijken kritische bedrijfsprocessen op uitwijklocaties voort te zetten. 

Continuïteitsplannen en voorbereidingen die toereikend zijn om korte geïsoleerde gebeurtenissen op te vangen zouden in geval van een aanhoudende pandemie ontoereikend kunnen blijken. DNB verwacht dat instellingen dit risico hebben onderkend, de impact hiervan hebben geanalyseerd en daar waar nodig aanvullende maatregelen treffen. Concreet betekent dit dat DNB ten aanzien van het business continuity management van de onder toezicht vallende instellingen verwacht dat invulling wordt gegeven aan onderstaande onderwerpen: 

1.    Proactief volgen van de ontwikkelingen rondom een mogelijke pandemie. Bij voorkeur is een multidisciplinair team opgezet, bestaande uit vertegenwoordigers van onder andere IT, human resources, de business en business continuity planning, met als taak het volgen van de ontwikkelingen en de gevolgen hiervan op noodmaatregelen en continuïteitsplannen.

2.    In kaart brengen en analyseren van de mogelijke gevolgen voor de instelling van een (griep)pandemie (expliciete impact analyse). Bij het uitwerken van deze (risico)analyse en het daarvan afgeleid definiëren van maatregelen, moeten instellingen zich in voldoende mate bewust zijn van hun maatschappelijke belang en het belang van hun rol in het financiële systeem. Het borgen van bestuurlijke besluitvorming in dergelijke situaties is hierbij essentieel.

3.    Beoordelen van bestaande business continuity plannen (BCP’s) op toereikendheid, waarbij rekening wordt gehouden met de mogelijke operationele gevolgen van een pandemie (onder andere 30 procent of zelfs meer afwezigheid van personeel). Waar nodig worden verbeteringen in de bestaande BCP’s zo snel mogelijk doorgevoerd waarbij wordt gekeken naar zowel de direct tijdskritische bedrijfsprocessen, als de bedrijfsprocessen die bij (langdurig) aanhoudende uitval kritisch worden. Dit kunnen processen zijn die in reguliere omstandigheden niet als kritisch zijn gedefinieerd. Een evaluatie van de (IT) change kalender behoort hiertoe onderdeel te zijn.

4.    Expliciet meenemen van het pandemiescenario in de teststrategie van de continuïteitsplannen.

5.    Rekening houden met veranderend gedrag en voorkeuren van klanten en personeel. De infrastructurele voorzieningen dienen een sterke toename in o.a. internetverkeer (thuiswerken) te kunnen ondersteunen.

6.    Vergewissen dat, daar waar gebruik wordt gemaakt van externe dienstverleners en/of kritische leveranciers, deze toereikende maatregelen hebben getroffen en voldoende voorbereid zijn op een pandemie (de afhankelijkheid van alle uitbestedingspartners dient inzichtelijk te zijn en maatregelen toereikend). Bij kritische uitbestedingsrelaties (of leveranciers) kan dit betekenen dat uitbestedingspartners / leveranciers voor meerdere financiële instellingen in staat moeten zijn de dienstverlening voort te zetten (geanticipeerd op mogelijke concentratierisico’s). 

> Terug naar de nieuwsbrief