2020: een bijzonder crisis- en continuïteitsjaar

De COVID-19-crisis brengt uitdagingen met zich mee voor de continuïteit van organisaties. In dit artikel concrete tips hoe auditors een actieve bijdrage kunnen leveren aan het vergroten van de veerkracht en weerbaarheid van de organisatie.

Het jaar 2020 was het jaar van COVID-19-crisis. Een nieuwe crisis met een brede en langdurige impact op de wereld, bedrijven en (semi)maatschappelijke sectoren. Een crisis is een abnormale en buitengewone verstoring, impactvol en gekenmerkt door een onstabiele en complexe situatie die een mogelijke bedreiging vormt voor de strategische doelstellingen, de veiligheid van medewerkers of omgeving, de reputatie en, uiteindelijk, de continuïteit en het voortbestaan van een organisatie.

COVID-19: een bijzondere crisis

De COVID-19-crisis past geheel in dit plaatje. Het heeft alle kenmerken van de ‘klassieke’ crisis, maar heeft ook nieuwe kenmerken.

Kenmerk 1
De crisis is begonnen als een pandemie, maar vanwege de overheidsmaatregelen (wel/geen/gedeeltelijke lockdown), de anderhalvemetersamenleving, schaarste van persoonlijke beschermingsmiddelen en het sluiten van bedrijfs- en maatschappelijke sectoren, is de crisis uiteindelijk een brede maatschappelijke crisis geworden. De crisis is zoals wij dat zeggen ‘van kleur verschoten’.

Kenmerk 2
De tijdsduur van de crisis speelt een grote rol. Waar een ‘normale’ crisis over het algemeen een duidelijk begin en eind heeft, zien we dat op dit moment geen zicht is op het einde van de COVID-19-crisis. De crisis heeft als het ware een ‘open-einderegeling’. Dit maakt het bestrijden extra complex.

Kenmerk 3
We zijn niet voorbereid op deze brede en complexe crisis. Dat is ook niet verbazingwekkend. Onze logica om risico’s in te schatten heeft immers beperkingen. We weten alleen wat we weten. Deze COVID-19-crisis en haar vele en complexe kenmerken is een typisch geval van ‘unknown-unknown’. Huidige crisis- en calamiteitenplannen gaan wel in op een deel van deze crisis, maar geen enkel crisisplan overziet het geheel. Vandaar dat bedrijven en organisaties het wiel tijdens de crisis hebben moeten uitvinden. Nieuwe pandemieplannen zijn ontwikkeld, nieuwe landelijke richtlijnen zijn bedacht en uitgevaardigd.

Kenmerk 4
We zien dat we een crisis hebben moeten bestrijden mét schaarste en restricties. Schaarste van beschermingsmaatregelen tijdens de eerste fase van deze crisis zorgde voor enorme uitdagingen voor collegiaal en intermenselijk contact. Restricties zoals anderhalve meter afstand zorg(d)en ervoor dat de continuïteit van processen in bedrijven en organisaties onder druk is komen te staan.

Kenmerk 5
Tot slot spelen de maatschappelijke opvattingen over deze crisis en de genomen maatregelen een rol. Waar we in een klassieke crisis met zijn allen dezelfde ‘vijand’ hebben, zien we door de duur van deze crisis en de impact van maatregelen dat burgers en groepen steeds vaker een mening hebben over nut en noodzaak van de genomen maatregelen. Dit vraagt nog meer van de beleidsbepalers, om niet alleen te communiceren over wat er gedaan moet worden, maar nog veel meer uitleggen waarom er gekozen wordt voor een maatregel/richting. Waar acceptatie van een besluit normaliter geen issue is, zien we nu dat het organiseren van draagvlak bijna even belangrijk is/wordt als het uitvaardigen van de maatregelen zelf.

COVID-19-crisis: een uitdagende continuïteit

Het is duidelijk dat de COVID-19-crisis een zeer grote impact heeft op de continuïteit van organisaties. Binnen het vakgebied business continuity management (BCM) wordt geanticipeerd op mogelijke bedreigingen die kunnen leiden tot discontinuïteit, vaak gerelateerd aan uitval van middelen, waaronder ook de factor mens. Specifieke pandemiescenario’s waarin de uitdaging zich alleen beperkt tot de medisch-inhoudelijke uitdaging (zoals de griepepidemieën) zijn dus niet nieuw. Maar toch is het risico behoorlijk onderschat gebleven en was de maatschappij in den brede niet voorbereid. Aanvullend op de reeds geschetste crisiskenmerken hiervoor, onderkennen we nog enkele specifieke continuiteïtsuitdagingen die afwijken van de meer klassieke risico’s.

Uitdaging 1
De impact van de overheidsmaatregelen zijn bij de meeste organisaties onvoldoende meegenomen. Organisaties die al enigszins een pandemiescenario binnen hun bestaande continuiteïtsmanagementsysteem hadden uitgewerkt, hebben veelal geanticipeerd op uitval van personeel en bepaald wat de kritische grens is. Ze hebben echter onvoldoende rekening gehouden met uitval van regio’s en landen (in dit geval door lockdowns), met een grote disbalans tussen vraag en aanbod tot gevolg.

Dit in tegenstelling tot het meer traditionele continuiteïtsdenken waarbij vaak wordt gezocht naar kwetsbaarheden die samenhangen met de zogenaamde ‘single point of failures’. De impact concentreert zich meestal op uitval van een enkele locatie, een productielijn, machine of leverancier. In de planning en analyse voor uitwijkmogelijkheden is daar onvoldoende rekening mee gehouden, zeker in het begin! De beperkte mobiliteit speelt ook een rol bij het realiseren van de uitwijk. Zeker organisaties die internationaal actief zijn, hebben te maken met verregaande beperkingen voor het verplaatsen van personeel, goederen of grondstoffen. Hiermee wordt het verplaatsen van activiteiten bijvoorbeeld bij uitwijk naar andere locaties of leveranciers ook lastiger.

Uitdaging 2
We zien wederom hoe lastig het is om goed zicht te hebben op de toeleveranciersketen en met name op de zwakste schakel(s). Inzicht betekent niet alleen inzicht in de directe leveranciers, maar ook die daarachter en weer daarachter zitten. Het is moeilijk om dit inzicht te krijgen, maar door nauwe samenwerking te zoeken met leveranciers om samen de continuïteit te verbeteren, kan dit wel. Bovendien blijken we steeds meer afhankelijk te worden van bepaalde geografische regio’s, zoals de USA, China of India. Geografische spreiding (bijvoorbeeld meer lokaal) en/of het aanleggen van strategische voorraden (just-in-case in plaats van of aanvullend op just-in-time) zijn voorbeelden van te hanteren beheersstrategieën binnen supply chain management.

Uitdaging 3
Deze uitdaging hangt samen met de vergrote afhankelijk van ICT en de invloed van werken op afstand op de beheersing van het informatiebeveiligingsrisico. De COVID-19-crisis heeft de digitalisering verder versneld. Sommige organisaties hebben hier een inhaalslag gemaakt. Daarmee is de afhankelijkheid en kwetsbaarheid voor uitval door ICT vergroot. Daardoor zullen extra beveiligingsmaatregelen getroffen dienen te worden om cyberrisico’s actief te bewaken, te detecteren en te verhelpen. Een groot deel van dit risico zit ook in menselijk gedrag en hoe omgegaan wordt met de beschikbaarheid, integriteit en vertrouwelijkheid van bedrijfsgevoelige informatie en uiteraard persoonlijke gegevens.

Uitdaging 4
Tot slot benoemen we als grote uitdaging het inspelen op de lange duur en de volatiliteit van de impact. De impact kent namelijk meerdere cycli van impact en herstel: niet alleen zijn er verschillen in de duur van de impact, maar ook verschillen in snelheid en omvang van overheidsmaatregelen tussen verschillende landen en mogelijk zelfs regio’s. De mogelijkheden om over te gaan tot herstel zijn dus sterk gecorreleerd aan de eventuele versoepelingen, of aanscherpingen in het coronabeleid door de lokale overheden. Dit vereist een grote mate van flexibiliteit, waarbij het proces van op- en afschalen continu moet worden doorlopen. Hierbij is het van belang om de kwetsbaarheden te kennen en de prioriteiten voortdurend bij te stellen. Dit vereist dan ook het nodige van de continuïteits- en crisisorganisatie, die bijna permanent actief blijft.

We zijn niet voorbereid op deze brede en complexe crisis. Deze COVID-19-crisis is een typisch geval van ‘unknown-unknown’

Auditors en hun rol

Internal audit kan een belangrijke rol spelen bij het herpakken van de veerkracht en weerbaarheid van de organisatie. Wij hebben onze ervaringen vertaald naar een zevental concrete tips die auditors vanuit hun onafhankelijke toetsings- en/of adviesrol kunnen meenemen bij het verder verbeteren van BCM en crisismanagement binnen hun organisatie:

1. Toets als auditors de positie van de crisis- en/of continuïteitsorganisatie en evalueer het crisismanagementproces sinds COVID-19. Het opzetten van een aparte organisatiestructuur, dus los van de bestaande organisatiestructuur, met korte lijnen en herstelteams blijkt effectief om snel te kunnen schakelen, beslissingen te nemen en in te kunnen spelen op de veranderingen. Hoe is dit proces binnen uw organisatie vormgegeven en kunnen hier nog verbeteringen in worden aangebracht?
2. Toets als auditor op welke risico-informatie de genomen beslissingen sinds COVID-19 zijn gebaseerd. Het verzamelen van tijdige en betrouwbare risico-informatie omtrent lokale omstandigheden, overheidsbeleid, partners, klanten en leveranciers is essentieel voor besluitvorming en tijdige anticipatie op omstandigheden.
3. Toets als auditor in hoeverre de continuiteïtsrisico’s binnen de leveranciersketen bekend zijn en of hierop adequate beheersmaatregelen worden getroffen? En bovendien: worden de belangrijkste leveranciers ook geaudit, hoe en door wie? Diepgaand inzicht in de zwakste schakels binnen de leveranciersketen is van groot belang om de juiste beheersmaatregelen te treffen, maar ook een audit programma opzetten om meer assurance te verkrijgen of leveranciers hun continuiteïtsrisico’s beheersen en hoe effectief ze dit doen (hebben ze een bedrijfscontinuïteitsplan, hebben ze alternatieven, staat uw organisatie bovenaan in hun prioriteiten voor herstel, et cetera).
4. Toets als auditor in hoeverre locatieoverstijgende uitval is meegenomen in het bestaande BCM-programma. Tref dus niet alleen maatregelen voor uitval van een belangrijke locatie, maar ook van complete regio’s. Bij het zoeken naar oplossingen dient ook rekening te worden gehouden met de beperkingen aangaande mobiliteit van goederen, personen en grondstoffen.
5. De afhankelijkheid van ICT is groter dan ooit en maakt organisaties extra kwetsbaar. Ken de kwetsbaarheden en investeer in security en redundantie! Vanuit de auditpraktijk is dit een specifiek aandachtspunt waarbij de audits ter bevordering van informatiebeveiliging geïntensiveerd moeten worden.
6. Toets als auditor welke maatregelen er specifiek zijn getroffen om de kwetsbare sleutelposities te beschermen en in hoeverre ze effectief zijn gebleken.
7. En tot slot: indien het crisis- en/of continuïteitsmanagement nog onvoldoende is vormgegeven (fragmentarisch of informeel), agendeer dit onderwerp bij het bestuur en/of de auditcommissie. Adviseer om de verantwoordelijkheid bij de eerste en tweede lijn neer te leggen en een gestructureerd programma te implementeren, waarbij vanuit de derde lijn onafhankelijk wordt getoetst voor verbetering.