Nieuws Actueel

Cybercrime: trend in risicomanagement

Caroline Spilt 29 april 2015

Cybercrime aon berg klimmen risico groot

Cyberrisico’s zijn voor het eerst één van de tien belangrijkste punten van zorg voor internationale organisaties. In 2013 kwam dat risico niet verder dan plek 18; voor 2018 wordt zelfs een zevende plaats voorzien. Reputatie- en merkschade is voor vrijwel alle regio’s en bedrijfstakken wereldwijd het belangrijkste bedrijfsrisico. Fysieke schade en wettelijke aansprakelijkheid zijn na jaren van afwezigheid weer terug in de top tien.

Dat blijkt uit de tweejaarlijkse Global Risk Management Survey van risico-adviseur en verzekeringsmakelaar Aon, waarvoor meer dan 1.400 medewerkers van organisaties uit 70 landen zijn ondervraagd. De risico-top 3 was sinds 2011 niet meer gewijzigd. Voor het eerst sinds 2009 wordt economische neergang niet meer als het grootste internationale risico gezien.Een overzicht van de top 10 risico’s door de jaren heen:

Risico’s onderling verbondenAlex van den Doel, Managing Director Aon Global Risk Consulting, is niet verrast door de hogere positie van cyberrisico’s in de lijst. Hij wijst erop dat media dagelijks berichten over grote cyberincidenten. “Neem de grootschalige cyberaanval op Sony in november 2014. Die dwong het bedrijf om de financiële en boekhoudsystemen van dochteronderneming Sony Pictures Entertainment tijdelijk stil te leggen. De schade loopt in de tientallen miljoen dollars.” De totale kosten van cybercrime wereldwijd worden geschat op bijna 100 miljard dollar per jaar.Reputatie- en merkschadeDe gegroeide bezorgdheid om reputatie- en merkschade, de nieuwe nummer één, hangt sterk samen met de toename van cyberrisico’s. Ze trekken als het ware samen op. Van den Doel: “Denk bijvoorbeeld aan het hacken van privacygevoelige informatie, een groeiend probleem dat vaak direct tot reputatieschade leidt. Ook bij risico’s als onderbreking van de bedrijfsvoering, fysieke schade en gebrekkige innovatie, die eveneens in de top tien staan, zijn er verbanden met reputatierisico’s. Niet voor niets worden die ook wel ‘the risks of risk’ genoemd.”

Steeds complexerDe onderlinge verbondenheid van risico’s maakt risicobeheersing steeds complexer. Organisaties doen er daarom goed aan om risico’s in een breder verband te zien en een integraal risicomanagementbeleid toe te passen.Uiteenlopende risicoperceptieDe risicoperceptie van risicomanagers verschilt flink van die van bestuurders. Risicomanagers maken zich vooral zorgen om risico’s die verband houden met aansprakelijkheid, zoals cyberrisico, fysieke schade en wettelijke aansprakelijkheid, terwijl bestuurders met name financiële en economische risico’s als schadelijk ervaren. Voorbeelden daarvan zijn het prijsrisico van grondstoffen, economische neergang en falende technologie.De uiteenlopende risicoperceptie van risicomanagers en bestuurders is voor Van den Doel opvallend, gezien hun afhankelijkheid van elkaar. “Je kunt het gerust problematisch noemen als die twee het niet over het belang van risico’s eens zijn. Zo kom je niet tot effectief beleid.” Het verschil in inzicht illustreert hoe belangrijk het is dat de raad van bestuur regelmatig samen met de risicomanager de belangrijkste bedreigingen bespreekt. Van den Doel: “Om als organisatie echt goed op incidenten voorbereid te zijn, is het zaak om in scenario’s te denken en een stresstest te doen. De volgende stap is het treffen van maatregelen voor de scenario’s die de grootste impact hebben op de strategische doelstellingen.”Fysieke schade Opvallend is dat fysieke schade voor het eerst sinds 2007 terugkeert in de wereldwijde risico-top 10. In 2013 stond dat risico nog op nummer 17 in de lijst. De belangrijkste oorzaak lijken de ongekend zware weer- en natuurrampen van de afgelopen jaren. Fysieke schade werd het hoogst ingedeeld door hotels en horeca, transport (met uitzondering van luchtvervoer) en onroerend goed.

Omdat het risico op fysieke schade doorgaans sterk verband houdt met het risico op onderbreking van de bedrijfsvoering, is het opvallend dat bedrijfsonderbreking ‘slechts’ de zevende plek bezet in de lijst, net als in 2013. “Dat kan duiden op onderschatting; ook cyberincidenten kunnen een bedrijfsonderbreking veroorzaken. Het is belangrijk om te blijven investeren in Business Continuity Management,” aldus Van den Doel. TechnologiesectorGebrekkige innovatie en aansluiting bij klantbehoeften is in 2015 voor de technologiesector het belangrijkste risico. In de totaallijst staat dat risico op de zesde plaats.

VerzekeringsbrancheVoor de verzekeringsbranche is de ernst van dit risico een extra alarmsignaal in combinatie met de toenemende concurrentie. Dat risico voert naar verwachting over drie jaar de lijst aan, na jaren op de derde plaats te hebben gestaan.Verborgen risico’sHet rapport benoemt ook risico’s die volgens Aon ondergewaardeerd worden. Deze onderschatte risico’s zijn onder andere:

Politieke risico’s (nu 15, in 2013 nog in top 10). Spanningen en conflicten in Oekraïne, het Midden-Oosten en Azië kunnen leiden tot fysieke schade, embargo’s en weigering of onvermogen van overheden om aan betalingsverplichtingen te voldoen. Terrorisme (plek 41). Een voorbeeld is de steeds internationalere oriëntatie van IS, die pas na het onderzoek verder gestalte heeft gekregen. Risico op pandemie (plek 44). De Ebola-uitbraak in Afrika had onder meer grenssluitingen, quarantaines en onderbroken transporten tot gevolg. Deze maatregelen toonden vele zwakheden in de omgang van de internationale gemeenschap met dit soort crises. Onder invloed van globalisering en de verdere opkomst van de Afrikaanse economie kan een pandemie in de toekomst verstrekkende gevolgen hebben.

De meest waarschijnlijke verklaring voor de lage inschatting van politieke risico’s is dat veel politieke verschuivingen regionaal van aard waren, en dat de onrust pas relatief recent is gegroeid. Daardoor is de wereldwijde impact voor organisaties vooralsnog beperkt.