Financiële continuïteit volgt maar uit bedrijfscontinuïteit

De bedrijfscontinuïteit komt steeds vaker in gevaar als gevolg van stakingen, interne fraude, blokkering van de informatiesystemen en tal van andere bedreigingen. De globalisering van de wereldeconomie en de koppeling van de informatiesystemen via het internet versterken de operationele risico's. De accountants doen altijd erg bezorgd over de financiële continuïteit van de onderneming, maar financiële continuïteit is maar een gevolg van de bedrijfscontinuïteit, zeggen Filip de Wolf en Harry Crosiers van het Business Continuity Institute Benelux.

Financiële instellingen, die bijzonder kwetsbaar zijn sinds ze uitgroeiden van geldhandelaren tot informatiebedrijven, zijn bijzonder bekommerd om het bewaren van hun bedrijfscontinuïteit. De overheid beseft het gevaar en nam al de nodige maatregelen om de financiële dienstenbedrijven tot de opstelling en invoering van bedrijfscontinuïteitsplannen aan te zetten. Het Business Continuity Institute Benelux (BCIB) bracht vertegenwoordigers van de Belgische financiële instellingen en toezichthouders onlangs samen op een BCIB-forum om te praten over de operationele risico's in het bankbedrijf en de band tussen het economische kapitaal en de bedrijfscontinuïteit. De zorg voor de bedrijfscontinuïteit is ingegeven door de Bazel-normen en het prudentiële toezicht op de banken. In het kader van de Bazel II-normen werden in februari 2003 een aantal gezonde werkmethoden voor het beheersen van de operationele risico's voorgesteld die leren hoe de risico's in de financiële sector het best worden ingedekt. Het principe nummer 7 stelt dat een bank over een bedrijfscontinuïteitsplan moet beschikken. Een andere principe stelt dat de nationale toezichthouder audits moet doen van de 'best practices'.

Steeds meer bedrijven uit andere sectoren dan de financiële sector stellen een bedrijfscontinuïteitsplan op. Sommige bedrijfstakken en bedrijven zijn gevoeliger voor een aantasting van de continuïteit en reageren sneller maar de noodzaak blijft. Uit het jaarlijkse onderzoeksrapport van Big Four-accountant Ernst & Young over informatiebeveiliging (Global Information Security Survey) blijkt dat veel kritische bedrijfssystemen steunen op informatiesystemen en in toenemende mate uitvallen. Bij 56 procent van de bedrijven zijn deze onderbrekingen te wijten aan hardware- of softwarefouten en bij 48 procent van de bedrijven liggen ook telecomfouten en fouten bij derden in geval van uitbesteding aan de basis van de onderbrekingen. Het onderzoek wijst uit dat slechts 53 procent van de ondervraagde bedrijven een bedrijfscontinuïteitsplan hebben of zeggen er een te hebben. 'De vraag is wat de effectieve kwaliteit is van die bedrijfscontinuïteitsplannen', zegt Harry Crosiers, senior manager Technology & Security Risk bij Ernst & Young. Is het slechts een vel papier met de namen en adressen van een aantal personen of instellingen, wordt het plan voortdurend aangepast of is het verouderd? De bedreigingen, zoals bijvoorbeeld virussen, veranderen steeds sneller van gedaante en worden ook steeds ingewikkelder. Hetzelfde onderzoek wees uit dat 60 procent van de deelnemende bedrijven verwachten dat de netwerkeconomie die de bedrijven steeds meer met elkaar verbindt, hun financiële en reputatiekwetsbaarheid vergroten. Slechts 40 procent van de bedrijven vertrouwt er op dat zij aanvallen op hun informatiesystemen kunnen keren. Minder dan de helft zet beveiligingsacties op die zekerheid moeten bieden.

Harry Crosiers vindt het echter verontrustend dat veel bedrijven bedrijfscontinuïteitsplannen verwarren met IT-rampenplannen. Dat verklaart waarom deze bedrijven het invoeren en onderhouden van bedrijfscontinuïteitsplannen in het informaticabudget opnemen hoewel zij in feite niets te maken hebben met ICT-beheer.

In de Verenigde Staten en het Verenigd Koninkrijk is het bewustzijn voor een aantasting van de bedrijfscontinuïteit groot, ondermeer als gevolg van de terroristische aanslagen van 11 september 2001 en de IRA-dreiging. In België neemt het bewustzijn langzaam toe onder internationale invloed en eventueel onder druk van het hoofdkwartier van de groep zegt Filip de Wolf, die senior consultant is bij het Brusselse bedrijf Synstar Business Continuity, dat actief is op het vlak van bedrijfscontinuïteitsbeheer en contracten heeft met bedrijven om het beheer van hun informatiesystemen over te nemen in geval van een ramp. Het gebrek aan zorg voor het bewaren van de bedrijfscontinuïteit schrijft Filip de Wolf toe aan de nonchalance en onwetendheid van veel bedrijven, die in de overtuiging leven dat bedrijfscontinuïteitsplannen (BCP) maar weinig rendement op de investering opleveren en van mening zijn dat BCP's een IT-zaak zijn. Terwijl BCP een zaak van de raad van bestuur zijn en volop aan bod moeten komen in het auditcomité en de evaluatie van de interne controlesystemen. Harry Crosiers betreurt dat IT-noodplannen en bedrijfscontinuïteitsplannen (BCP) vaak een ver-van-mijn-bedshow zijn voor de commissaris van de onderneming die met zijn team de externe financiële audit doet. IT-auditors ondersteunen in de praktijk de financiële auditor waarbij de IT-noodplannen en BCP's vervat zitten in de IT-audit. De budgetten voor dit onderdeel van de audit zijn meestal zo klein dat men niet in detail kan treden. Dat moet veranderen. De bedrijven moeten beseffen zonder wettelijke dwang zoals in de financiële sector hoe noodzakelijk een goed opgesteld en goed onderhouden bedrijfscontinuïteitsplan wel is voor hun voortbestaan. En als de bedrijven het niet beseffen, dan zouden tenminste de bestuurders dat moeten doen. Want zij dragen een steeds grotere burgerlijke en strafrechtelijke aansprakelijkheid. Volgens Crosiers plukken de bedrijven ook de vruchten van een alerte BCP-aanpak. 'Zij willen een BCP-plan dat door een onafhankelijke derde partij wordt gecertificeerd. Die verklaring kan het bedrijf dan voorleggen aan zijn partners zoals toeleveranciers in de autobranche of outsourcingbedrijven die voor een bank willen werken.'

Kris Barrezeele

Advertentie
Advertentie

Gesponsorde inhoud