Bedrijfsherstelrisico
Wat is een bedrijfsherstelrisico?
Bedrijfsherstelrisico verwijst naar de blootstelling van een bedrijf aan verliezen als gevolg van schade aan het vermogen om de dagelijkse activiteiten uit te voeren. Verlies van het vermogen om dagelijkse activiteiten uit te voeren, kan onder meer het gevolg zijn van onderbrekingen in de toeleveringsketen, schade aan fysieke locaties of verlies van toegang tot virtuele systemen.
Belangrijkste leerpunten
- Bedrijfsherstelrisico verwijst naar de blootstelling van een bedrijf aan verliezen als gevolg van schade aan het vermogen om de dagelijkse activiteiten uit te voeren.
- Het verlies van het vermogen om de dagelijkse activiteiten uit te voeren kan het gevolg zijn van onderbrekingen in de toeleveringsketen, schade aan fysieke locaties of verlies van toegang tot virtuele systemen.
- Bedreigingen op korte termijn zijn onder meer schade aan computersystemen of het onvermogen van werknemers om de werklocatie te bereiken als gevolg van natuurrampen.
- Bedreigingen op middellange termijn kunnen onder meer uitval van de infrastructuur of verlies van personeel zijn.
- Bedreigingen op lange termijn kunnen omvangrijke materiële schade omvatten.
Inzicht in bedrijfsherstelrisico
Analyse van het risico op bedrijfsherstel omvat het categoriseren van bedreigingen op basis van impact op korte, middellange en lange termijn. Bedreigingen op korte termijn zijn onder meer schade aan computersystemen of het onvermogen van werknemers om de werklocatie te bereiken als gevolg van natuurrampen. Gevolgen voor de middellange termijn kunnen onder meer uitval van de infrastructuur of verlies van personeel zijn. Bedreigingen met een impact op de lange termijn kunnen omvangrijke materiële schade omvatten.
Bedrijven pakken het bedrijfsherstelrisico aan binnen hun bedrijfscontinuïteitsplan (BCP). Er wordt een BCP gemaakt om ervoor te zorgen dat personeel en activa worden beschermd en snel kunnen functioneren in geval van een ramp. De BCP zou een systeem creëren voor het voorkomen van en herstellen van mogelijke bedreigingen. Mogelijke risico’s zijn onder meer natuurrampen, zoals brand, overstromingen of weersomstandigheden, of cyberaanvallen.
Na de terroristische aanslagen van 11 september 2001 werd het risico van bedrijfsherstel een belangrijk onderdeel van risicobeheer en rampenherstelplannen. De handel in obligaties was twee dagen gesloten en werd op 13 september hervat. De New York Stock Exchange en Nasdaq heropend op 17 september, na de langste opschorting van de handel sinds de Grote Depressie.1 De clearing en afwikkeling van betalingstransacties liepen verschillende vertragingen op.
Een analyse bracht kwetsbaarheden aan het licht in de risicobeheerstrategieën van financiële instellingen. Terwijl ze bijvoorbeeld rampen in hun gebouwen hadden gepland, hadden de bedrijven niet gepland voor gebiedsbrede verstoringen. Hun processen veroorzaakten ook geen overtolligheid om te gaan met stillegging van leveranciers. De onderling afhankelijke reeks gebeurtenissen na de ramp benadrukte ook het belang van gecoördineerde actie, in tegenstelling tot individuele actie, om de voortzetting van het bedrijf te waarborgen.
Bedrijfscontinuïteitsplanning en noodherstel zijn een geavanceerde discipline geworden met certificeringen en planning waarbij alle afdelingen van een instelling betrokken zijn, van het senior management tot het beveiligingspersoneel dat verantwoordelijk is voor de administratie. Bij het ontwikkelen van een bedrijfscontinuïteitsplan zijn er over het algemeen vier stappen die een bedrijf moet volgen: analyse van de bedrijfsimpact, herstel, organisatie en training.
Tijdens de analyse van de bedrijfsimpact zal het bedrijf de functies en middelen identificeren die tijdgevoelig zijn. In de herstelfase zal het bedrijf bepalen hoe het kritieke bedrijfsfuncties zal herstellen. In de organisatiefase vormt het bedrijf een continuïteitsteam dat vervolgens een plan maakt om de verstoring te beheersen. Ten slotte moeten leden van het continuïteitsteam in de trainingsfase hun strategie testen en oefeningen doen die het plan en de strategie herzien.