Operationell resiliens behövs när hela organisationen utmanas

Share this post:

Operationell resiliens* har sedan sommaren 2018 fått mer och mer fokus och COVID 19-pandemin har på många sätt testat organisationers resiliens till det yttersta. Att flytta fokus från resiliens som en IT-utmaning till ett område som är relevant för en hel organisation initierades av de brittiska tillsynsmyndigheterna Bank of England, FCA och PRA som en reaktion på ett flertal incidenter med negativ påverkan på kunder och ökad risk på den finansiella stabiliteten.

Planera för när det händer – inte för att undvika att något händer

I huvuddrag handlar den nya approachen om att banker måste planera för vad som görs för att skydda sina kunder och för att säkra finansiell stabilitet NÄR något händer. Traditionellt har bankerna snarare försökt tänka på hur de undviker att något går fel till att börja med. Skiftet är viktigt och har vidare implikationer än vad som först kan tyckas. Med den här förändringen måste man flytta fokus ifrån riskområden som till exempel att säkra olika applikationer etc. till att identifiera nyckelaktiviteter som negativt påverkar en banks kunder och/eller påverkar finansiell stabilitet. Det introducerar även proportionalitet då det är de viktigaste aktiviteterna som ska säkras – inte alla aktiviteter.

I stora drag innebar det nya förslaget en förändring inom tre områden:

1. ägandeskap av resiliensfrågor förväntas nu placeras på ledningsgruppsnivå hos namngivna personer med korrekt expertis som ansvarar för olika delar av strategin – inom områden som säkerhet, kundkommunikation och så vidare
2. hela bankens verksamhetsmodell behöver ha resiliens inbyggt som en del av processer och arbetssätt. Skydd av kunder ska genomsyra samtliga aktiviteter. Detta betyder även att aktiviteter som hanteras av underleverantörer måste säkras av banken
3. att man ser resiliensarbetet som fortgående. Det innefattar att regelbundet testa för nya scenarios, dokumentera resultat från test etc.

På europeisk nivå börjar beslutstagare initiera flera initiativ och både Europeiska Bankmyndigheten (EBA) och Europeiska Kommissionen har konsulterat inom det här området. EBAs riktlinjer (i enlighet med bland annat CRD IV) träder i kraft i slutet av juni och betonar vikten av ägandeskap på senior nivå, operativ inkludering av dessa krav i bankens processer och dokumentation av policys, speciellt inom riskområdena cybersäkerhet och “information and communication technology” (ICT).

Resiliens är ett uppdrag för hela organisationen

Det är dock värt att notera en skillnad mellan EBAs riktlinjer och den brittiska processen:  medan EBA diskuterar hur Enterprise License Agreement (ELAs) för underleverantörer etc. kan användas för att reducera risk, har de brittiska tillsynsmyndigheterna valt en något hårdare linje där de uttryckligen säger att banker måste ha planer för att täcka eventuella kapacitetsbortfall med interna planer så att påverkan på kunder minimeras.

I december publicerade Europeiska Kommissionen en konsultation som bygger ut EBAs riktlinjer och tittar på huruvida en central reglering på EU-nivå, snarare än ett direktiv som varje medlemsland inkorporerar i sitt eget regelverk, är lämpligare. Standardiserade krav för incidentrapportering och etablering av en central organisation som tittar enbart på tredjepartskontraktreing för till exempel molntjänster finns bland förslagen.

Viktigt att ha i åtanke här är att resiliens inte kan eller bör ses som en utmaning enbart för IT, utan är något som ska genomsyra en hel organisation och vara del av både processer och planering.

Covid-19 är ett extremt exempel på när det är personal snarare än IT som orsakar svårigheter för en organisation att bibehålla servicestandard. I det fallet handlar det om att större delen av personalen måste arbeta hemifrån, men det finns många andra exempel där banker måste aktivera resiliensplaner för att säkra organisationen under oväntade påfrestningar. Det kan handla om allt i från ryktesspridning till väderrelaterade incidenter som bränder med mera.

Om du vill höra mer om hur vi på IBM hjälper våra kunder inom bank- och försäkringsbranschen att stärka sin resiliens, hör gärna av dig till mig, eller någon av mina kollegor.

/Johanna

*Resiliens är en beskrivning av, på ett eller annat sätt, förmågan att stå emot och klara av en förändring, samt återhämta sig och vidareutvecklas. (Källa: Myndigheten för samhällsskydd och beredskap)