Er dit beredskab opdateret til en digital verden?

Arbejdet med beredskabsplaner udgør et vigtigt fundament for en finansiel virksomheds forståelse og styring af operationelle risici. Beredskabsarbejdet kan ikke kun isoleres i it-afdelingen eller i de operationelle enheder, men skal forankres på tværs i hele organisationen. En effektiv beredskabsplan kræver en grundig forståelse af virksomhedens kritiske forretningsprocesser, kunderejsen og virksomhedens forretningsmæssige prioriteringer og er derfor en integreret del af virksomhedens risikostyring. Beredskabsstrategien må nødvendigvis forankres på højeste niveau i virksomheden, og kriseledelsen bør inddrages aktivt i udformningen.

Der er et tæt samspil mellem beredskabsplanen og de øvrige discipliner omkring operationel risiko. Et stærkt kontrolmiljø og en god risikokultur er med til at reducere risikoen for, at beredskabsplanen skal effektueres. Samtidig sikrer det, at situationer hurtigt opdages og afhjælpes. Risikoindikatorer kan være varslingssignaler i forhold til alvorlige begivenheder og mindre nedbrud, og fejlsituationer kan hjælpe med at afprøve elementer i beredskabsplanen i virkelige situationer.

Arbejdet med beredskabsplaner bliver aldrig færdigt, men er hele tiden nødt til at tilpasse sig nye forretningsprocesser og nye risikofaktorer. Efter finanskrisen har mange virksomheder opdateret deres beredskab for modpartsrisiko, risici relateret til agentbanker og deres landerisiko. I de senere år har specielt tre forhold ændret risikobilledet:

• Den teknologiske udvikling og fremkomsten af en integreret global digital økonomi skaber nye risici for cyberangreb.
• Øget brug af outsourcing og off-shoring og mere fragmenterede og specialiserede forretningsprocesser.
• Øgede kundeforventninger og langt hurtigere spredning af negative nyheder drevet af de sociale medier.

Medarbejderne skal løbende klædes på for at kunne forstå og håndtere nye typer af risici.

Cyberangreb

Risikoen for cyberangreb har naturligvis eksisteret lige så længe som internettet har været i brug, men der er sket en professionalisering af de angreb, der opleves, med professionelle kriminelle netværk, organiserede aktivistgrupper – eller ’hacktivists’ – og endog regeringssponsorerede angreb.

Dette har givet anledning til flere spektakulære angreb som fx i juni 2017, hvor et storstilet angreb ramte Ukraine via en opdatering fra et skattemodul og hurtigt spredte sig globalt – herunder til Mærsk i Danmark. De berørte virksomheder var ofte inficeret måneder før, at angrebet brød ud i forbindelse med Ukraines nationaldag. De skulle derfor ikke bare håndtere nedbrud i væsentlige systemer, men også en kompliceret opgave med at finde frem til data, som var inficeret, men hvor systemet endnu ikke var brudt ned.

Virksomhedens digitale brugergrænseflader til kunderne er ofte de mest sårbare led i kæden. Det kan således være meget svært at sikre, at kunderne har den fornødne digitale beskyttelse og opmærksomhed for at undgå at blive udnyttet til angreb. Den globale tilgængelighed af disse brugergrænseflader på mobile platforme kan øge risikoen yderligere. Der er dog en stigende tendens til, at også netværk mellem virksomheder bliver udnyttet til cyberangreb eller it-kriminelle handlinger. I 2016 lykkedes det således hackere at få adgang til SWIFT-netværket i Bangladesh Bank og overføre 1 milliard USD. Og igen i 2017 blev en russisk bank udsat for et lignende angreb, hvor det lykkedes at overføre 6 millioner USD.

Begge eksempler har det til fælles, at de indirekte tab ved at håndtere og genetablere forretningen og tabte forretningsmuligheder langt oversteg de direkte tab.

Med Internet of Things bliver også fysiske installationer sårbare over for angreb. Det er ikke længere kun en virksomheds hjemmeside eller brugerinterface, der kan tages som gidsel af hackere, men potentielt også virksomhedens varme og ventilationsanlæg, lysinstallationer mv. Dette kan være særligt kritisk, hvis disse også har adgang til virksomhedens interne netværk.

Outsourcing

Når en virksomhed outsourcer kritiske forretningsprocesser, opstår der nye risici. Der vil normalt være en grundig due diligence-proces, hvor også beredskabsplaner vurderes, inden en outsourcingaftale indgås, men det ændrer ikke ved, at det stadig vil være virksomheden selv, som ultimativt har ansvar for de outsourcede processer.

Outsourcing-direktivet angiver eksplicit et ansvar for at etablere procedurer, der skal sikre, at outsourcing ikke er til hinder for gennemførelse af outsourcing af virksomhedens beredskabsplaner.

Når opgaver outsources eller udføres i egne enheder i lavtlønslande, opstår ofte nye risici relateret til kommunikationsforbindelserne mellem de forskellige destinationer, ny følsomhed over for naturkatastrofer eller kriminelle handlinger og behov for etablering af nye kommunikationsplaner i forbindelse med krisesituationer.

Kundeforventninger

Kunderejsen er blevet et centralt element, når virksomheder udvikler nye produkter og nye digitale procedurer. Det er vigtigt, at kundeoplevelsen også tænkes ind i en beredskabssituation. I en digitaliseret virksomhedsproces er selv mindre nedbrud i de interne processer direkte synlige over for kunderne. Samtidig er kundernes forventninger steget markant og tålmodigheden mindsket tilsvarende.

Det er muligt, at en forøgelse af svartiden på 50 % ikke føles som et problem for virksomhedens interne processer, men det kan være altafgørende for, om det bliver en god eller en dårlig kundeoplevelse.

Kunderne kommunikerer i dag hurtigt om oplevelser, og mange vil opleve, at virksomhedens Facebook-gruppe pludselig er en nøglefunktion i håndteringen af den eksterne kommunikation ved større nedbrud.

Det er vigtigt at huske, at en virksomhed kan gå viralt med dårlig omtale. Ikke kun i forbindelse med faktiske begivenheder, men nogle gange også bare ved rygter eller formodninger.

Det handler stadig om mennesker

Med øget fokus på digitale værktøjer til at reducere risici og sikre hurtig genetablering af kritiske processer, er det vigtigt at huske, at mennesker ofte er helt afgørende for, hvordan en krisesituation opstår og udvikler sig.

Mennesker er både en risikofaktor og den vigtigste ressource til at opdage og reagere, hvis noget går galt. Mange cyberangreb starter med et angreb på mennesker for at få nogen internt i organisationen til at afgive vigtige informationer, give hackerne adgang til virksomhedens netværk eller overføre penge. Træning bør omfatte ikke kun, hvordan risici undgås og nødprocedurer udføres, men også kriseledelsen og kommunikationsplaner, så der hurtigt kan træffes de rigtige beslutninger og igangsættes de rigtige handlinger.

Med den øgede brug af robotter og digitalisering af processer skal man være specielt opmærksom på, om man som virksomhed fortsat har den fornødne kapacitet og kompetence til at udføre de beskrevne nødprocedurer. Det kan være lige så vigtigt at sikre, at robotter og AI ikke er sat op på en måde, der forværrer situationen.

God krisestyring handler først og fremmest om ledelse, kommunikation og prioritering af ressourcer – alt sammen noget, der stadig bedst håndteres af mennesker.