"Den här typen av risker har varit känt sedan länge, en pandemi är ingen svart svan, och planeringen borde utgått mer från vad vi gör när ett så här omfattande verksamhetsavbrott uppstår," skriver Johanna Hellström, Financial Services Risk & Compliance Lead på IBM. 
Debatt

Kontinuitetsplanering för banker – hur man hanterar det okända 

Det som är mest intressant med Finansinspektionens tillsynsrapport om bankernas kontinuitetsplanering är inte vad den innehåller, utan snarare vad den saknar. Det skriver Johanna Hellström, Financial Services Risk & Compliance Lead på IBM.

Uppdaterad 2020-09-30
Publicerad 2020-09-30

Finansinspektionen (FI) släppte nyligen en tillsynsrapport över deras utvärdering av bankernas kontinuitetsplanering under 2017–2019. Rapporten belyser bland annat att bankerna har blivit alltmer beroende av teknik och att operativa risker blivit allt viktigare för strategiskt och operativt arbetet. Rapporteringsperioden ligger olyckligt i tiden då den inte täcker perioden för coronapandemin som ställt många kontinuitetsplaner på sin spets. 

Fråga är hur den här rapporten skulle se ut om den i stället täckt åren 2018 - 2020. Även om vi bara är halvvägs genom 2020 är tanken onekligen intressant. Vikten av att definiera och testa för allt mer extrema scenarier kommer troligen att öka, men hur långt går man? FI menar på att en banks egen riskaptit ska sätta den ribban, men vad händer om ribban sätts för lågt och en banks verksamhet ligger nere? 

FI trycker i rapporten på den potentiella skadan ett långvarigt verksamhetsavbrott kan åsamka inte bara bankens kunder utan även samhället i stort. Då den nuvarande globala pandemin har tvingat de flesta banker att testa sin förmåga att arbeta från hemmet på en skala som aldrig tidigare beskådats har vi redan sett negativa påföljder på individuella kunder, som försenade betalningar av bolån då dessa system inte alltid kan hanteras hemifrån. 

Den här typen av risker har varit känt sedan länge, en pandemi är ingen svart svan, och planeringen borde utgått mer från vad vi gör när ett så här omfattande verksamhetsavbrott uppstår, inte om. 

Att hantera en kris är inte enkelt för någon, men en bättre beredskap och tydligare planering hjälper avsevärt. Så varför har det inte funnits tydligare strategier för krishantering inom en så samhällsbärande verksamhet? Den här typen av risker har varit känt sedan länge, en pandemi är ingen svart svan, och planeringen borde utgått mer från vad vi gör när ett så här omfattande verksamhetsavbrott uppstår, inte om. 

Operativ motståndskraft, eller operationell resiliens, är beskrivningen av förmågan att stå emot och klara av en förändring, samt återhämta sig och vidareutvecklas. En vidareutveckling av kontinuitetsplanering genom operationell resiliens är något som FI för tillfället inte säger sig överväga för svenska banker. Varför FI har valt den ståndpunkten är i nuläget okänt, och huruvida de överväger att ändra den åsikten som ett resultat av pandemin är också oklart. 

I Storbritannien såg vi ett ökat fokus på kontinuitetsplanering och operativ motståndskraft efter att myndigheterna delgav ett ökat personligt ansvar för dessa områden till individer i ledningsgrupp och styrelse. Dessutom har den Europeiska Kommissionen och Baselkommitteen publicerat konsultationer inom operationell resiliens under 2020, ett tecken på att klarare regelverk och guidelines kan förväntas från internationellt håll. Det kommer på sikt ge resultat och Sverige kan vinna mycket på att följa efter. FI pekar i sin rapport på att bättre information måste ges till bankers ledning generellt då viss information ej ger en tydlig bild av bankernas situation men det talas väldigt lite om ytterst ansvar. 

Det finns ett flertal faktorer som talar för att banker behöver se över sina kontinuitetsplaner; minskad kontantanvädning, ökad brottslig cyberaktivitet och självklart alla de utmaningar som pandemin har satt fokus på inklusive kapacitet att snabbt omorganisera sin verksamhet då traditionella kontor inte är tillgängliga. 

För att lyckas med det behöver resiliensfrågor lyftas upp på ledningsgruppsnivå hos namngivna personer med korrekt expertis som ansvarar för olika delar av strategin. Dessutom behöver de integreras i verksamhetsprocesserna och arbetssätten, samtidigt som FI regelbundet behöver testa olika scenarios och dokumentera resultaten. Bara då kan vi bli bättre förberedda på när nästa kris uppstår. 

Johanna Hellström
Financial Services Risk & Compliance Lead, IBM 

Platsannonser