Netherlands

Cyberrisico’s nieuw in top tien Global Risk Management Survey

 
Cyberrisico’s zijn voor het eerst één van de tien belangrijkste punten van zorg voor internationale organisaties. Reputatie- en merkschade is voor vrijwel alle regio’s en bedrijfstakken wereldwijd het belangrijkste bedrijfsrisico. Fysieke schade en wettelijke aansprakelijkheid zijn na jaren van afwezigheid terug in de top tien. Opvallend genoeg zitten er grote verschillen in wat risicomanagers en bestuurders inschatten als de belangrijkste risico’s.

Dat blijkt uit de Global Risk Management Survey van Aon, een tweejaarlijks onderzoek onder risicomanagers, financieel directeuren, treasurers en andere medewerkers van meer dan 1.400 organisaties uit 70 landen.


De nieuwe risico top tien, inclusief die van 2013 en een vooruitblik naar 2018
 

Cyberrisico’s blijven stijgen
De notering in de top tien voor cyberrisico’s is een primeur en betekent een forse stijging. Hoger dan de 18e plek (in 2013) was dat risico in dit onderzoek nog niet gekomen. Voor 2018 voorzien organisaties zelfs een zevende plaats voor cyberrisico’s. De stijging komt niet als een verrassing, gelet op de dagelijkse media-aandacht voor grote cyberincidenten. De financiële kosten van cybercrime zijn enorm: wereldwijd naar schatting bijna 100 miljard dollar per jaar.

De gegroeide bezorgdheid om reputatie- en merkschade, de nieuwe nummer één, hangt sterk samen met de toename van cyberrisico’s. Zo leidt een hack waarbij privacygevoelige informatie lekt vaak direct tot reputatieschade. Hetzelfde geldt voor risico’s als onderbreking van de bedrijfsvoering, fysieke schade en gebrekkige innovatie, die ook in de top tien staan. De onderlinge verbondenheid van risico’s maakt risicobeheersing steeds complexer.

Onderschatting en verborgen risico’s
Opvallend is de terugkeer van fysieke schade in de top tien; dat risico stond in 2013 nog op nummer 17 in de lijst. Deze stijging lijkt voor een groot deel veroorzaakt door de ongekend zware weer- en natuurrampen van de afgelopen jaren. Dat bedrijfsonderbreking niet meestijgt en ‘slechts’ de zevende plek bezet in de lijst, net als in 2013, lijkt te duiden op onderschatting. Ook cyberincidenten kunnen immers een bedrijfsonderbreking veroorzaken.

Er zijn ook verborgen risico’s aan te wijzen naar aanleiding van het onderzoek. Met name politieke instabiliteit (plek 15), terrorisme (41) en het risico op een pandemie (44) scoren lager dan verwacht. Hoe reëel het gevaar van een pandemie is, bleek onder meer uit de maatregelen tegen een verdere verspreiding van het Ebola-virus in Afrika, zoals grenssluitingen, quarantaines en onderbroken transporten. Die toonden aan hoe zwak de internationale gemeenschap is in de omgang met dit soort crises. Globalisering en de verdere opkomst van de Afrikaanse economie maken dat een pandemie in de toekomst verstrekkende gevolgen kan hebben.

Risicomanagers en bestuurders niet op één lijn
Risicomanagers en bestuurders blijken het onderling vaak niet eens te zijn over de rangschikking van risico’s. Zo maken risicomanagers zich met name zorgen om risico’s die verband houden met aansprakelijkheid, zoals cyberrisico’s, fysieke schade en wettelijke aansprakelijkheid. Bestuurders op hun beurt vinden financiële en economische risico’s het belangrijkst. Het verschil in inzicht illustreert het belang van frequent overleg tussen de raad van bestuur en de risicomanager over de belangrijkste dreigingen. Om echt goed op incidenten voorbereid te zijn, dienen organisaties in scenario’s te denken en een stresstest te doen.