De CFO zit bovenop het risicomanagement van een organisatie en moet dealen met alle risico’s. Cyber is een van de snelst groeiende wereldwijde risico’s. Een dreiging die niet gebagatelliseerd mag worden.
Nederlandse beursgenoteerde bedrijven scoren relatief goed als het gaat om omgaan met cybercriminaliteit. Desondanks lijkt de aandacht voor cyber enigszins te verslappen. ‘Het lijkt erop dat de progressie die een tijd geleden geboekt werd, de laatste jaren niet op dezelfde manier doorzet,’ zegt Ben Krutzen, partner bij KPMG Cyber en spreker op het event Nieuw risicomanagement voor business control. ‘Veel bedrijven zijn aan grote veranderingen aan de business kant onderhevig, en zien daarbij ook veel veranderen op IT-vlak. Denk aan e-commerce, of acquisities en divestments. Deze veranderingen zijn natuurlijk niet altijd behulpzaam bij het actief reduceren van de risico’s op IT gebied. Door die veranderingen wordt security een soort moving target.’
Zie ook: Risicomanagement in 4 valkuilen (en hoe ze te vermijden)
Ondanks de grote cyberincidenten die de laatste jaren uitgebreid in de media zijn geweest, geven bedrijven nog altijd nauwelijks inzicht in hun eigen cyberrisico’s. Krutzen: ‘Het is niet het probleem dat bedrijven niet snappen wat er met hen zou kunnen gebeuren. Daarvoor zijn de berichten in de media te veelvuldig. Maar bij alle andere veranderingen, lijkt het moeilijk om voldoende aandacht aan deze problematiek te schenken. Effectief risicomanagement is niet iets wat je met een pennenstreek doet. Het vergt grondige analyses, veranderingen in processen en implementatie van soms ingewikkelde technologie. Als je moeilijk de aandacht van de organisatie kunt krijgen omdat ze ook met andere veranderingstrajecten bezig zijn, beperkt dat de progressie.’
Cyber is niet alleen de verantwoordelijkheid van IT
Cyber wordt volgens de KPMG-partner ook nog teveel gezien als verantwoordelijkheid van de IT-afdeling. Cyberrisicomanagement blijft spijtig genoeg voor veel mensen (bewust) een ver-van-mijn-bed-show. ‘Mensen zien het als een specialistisch onderwerp waar ze er niet voldoende verstand van hebben. De IT-afdeling heeft natuurlijk ook een grote rol te spelen, dat moeten we niet ontkennen. Maar het is belangrijk dat de business het probleem onderkent, en actief de prioriteiten aangeeft om de benodigde veranderingen in IT (security) te bewerkstelligen.’ Ook blijft de menselijke factor een belangrijke component, en in het algemeen is de business effectiever in het beïnvloeden van het gedrag van medewerkers, dan leiders van functies zoals IT.
De documentatie van cyberrisico’s in jaarverslagen wordt maar heel langzaam beter, en is feitelijk onder de maat. De Finance functie heeft hier een belangrijke taak. Krutzen: ‘De rol van de controller is om ervoor te zorgen dat de goede dingen in het jaarverslag terechtkomen. Een realistische weergave van de meest significante risico’s voor de bedrijfsvoering horen daarbij. Daarom is de aandacht voor cyber vanuit control heel belangrijk. Als het jaarverslag wordt samengesteld (en later gepresenteerd), en er zijn minder positieve dingen over de cyberrisico’s van het bedrijf te melden, dan leidt dat vaak tot een indringende discussie in het bedrijf. Dat zijn de momenten waarop de belangrijkste stakeholders zich realiseren dat deze risico’s daadwerkelijk bestaan, en dat er ook iets gedaan kan en moet worden.’
‘Ik ken geen bedrijf dat niet nog een heleboel dingen aan deze problematiek moet doen. Als IT, de business en het bedreigingslandschap veranderen, en dat geldt voor ieder bedrijf, dan ben je nooit klaar. Daarom is het ook zo belangrijk om in het jaarverslag een goede paragraaf te wijden aan dit fenomeen.’
Vinkjescultuur
Krutzen veegt de verouderde compliance-gedachte van tafel: ‘Veel bedrijven hebben risk & assurance committees die door de Finance functie worden gedragen. Ook in die committees geldt dat er op de juiste manier aandacht moet worden gegeven aan cyberrisico’s. Dat betekent een risico-gebaseerde aanpak en niet puur afgaan op compliance. Het gebeurt nog te veel in die committees dat lijstjes van openstaande items afgewerkt worden. Er ontbreekt dan de tijd voor een goede dialoog over welke risico’s gelopen worden, en belangrijk, welke invloed die risico’s kunnen hebben op de strategische doelstellingen van het bedrijf. Als je de discussie op die manier insteekt, is het makkelijker om de top van een organisatie te interesseren. Dan komt het allemaal veel dichter bij.’
De rol van Finance in het cyberrisicomanagement is benoemd. De finance professional moet ruimte maken voor cyberrisico’s in het jaarverslag. Het strategische zwaartepunt ligt volgens de spreker echter bij dé topman. ‘De CEO is ultiem verantwoordelijk voor een goede balans tussen de ambities van het bedrijf en de risico’s die daarbij genomen worden. Er zijn genoeg voorbeelden van bedrijven die succesvol waren, totdat het fout ging omdat ze de risico’s niet voldoende hadden onderkend en beheerst. Er zijn ook genoeg voorbeelden van CEO’s die in de problemen zijn geraakt door verdragende cyberincidenten. Dan komt zelfs de vraag naar boven: ben ik als CEO misschien wel persoonlijk aansprakelijk als ik de risico’s niet goed beheers, en daarmee de aandeelhouders dupeer?’
Risicomanagement automatiseren
Cyberrisico’s komen logischerwijs voort uit digitalisering, maar digitalisering kan ook helpen diezelfde risico’s beter te beheersen. Krutzen: ‘Daar zie ik een grote opportunity: het digitaliseren van risicomanagementprocessen. We kunnen de complexiteit van de processen reduceren en de afhankelijkheid van security-experts beperken door gebruik te maken van automatisering. Je kunt daar flinke winst mee boeken: Beter inzicht in de risico’s, betere beslissingen waar de beperkte middelen in te zetten om die risico’s te beperken, en minder tijd en geld kwijt zijn aan de nu vaak heel arbeidsintensieve risicomanagementactiviteiten.’
Nieuw risicomanagement voor business control
Ben Krutzen vertelt op het event Nieuw risicomanagement voor business control hoe u inzicht krijgt in de risico’s en beveiliging van uw organisatie. De partner Cyber Security bij KPMG legt uit hoe digitalisering kan helpen de risico’s van cybercrime beter te beheersen.
Tijdens het congres komen alle vragen aan de orde en krijgt u handvatten voor het beter omgaan met de risico’s in de huidige dynamiek van organisaties.
