Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
De groeiende dreiging van cybercriminaliteit heeft bedrijven wereldwijd gedwongen hun beveiligingsmaatregelen te heroverwegen. In sommige gevallen blijkt dat cybercriminelen indirect toegang kunnen krijgen tot bedrijfssystemen via andere, vaak onschuldige, kanalen. Een voorbeeld hiervan is een cybercrimineel die, vanwege de beperkte toegang tot het netwerk van een groot oliebedrijf, malware introduceerde via het online menu van een restaurant dat door de medewerkers van het bedrijf werd bezocht. Wanneer deze medewerkers bestellingen plaatsten via het online systeem, kreeg de aanvaller ongeoorloofde toegang tot de netwerken van het bedrijf, wat leidde tot een ernstige beveiligingsinbreuk (Internet Security Alliance, 2020). Dergelijke incidenten wijzen erop hoe belangrijk het is dat bedrijven robuuste, goed ontwikkelde protocollen voor cyberbeveiliging hebben, die niet alleen technische systemen beschermen, maar ook de bredere organisatorische en bestuurlijke structuren omvatten.
De financiële schade door cyberaanvallen is jaarlijks enorm en wordt geschat op meer dan 400-500 miljard dollar wereldwijd (Morgan, 2016). Dit benadrukt de noodzaak van een sterk digitaal infrastructuursysteem dat veilig en betrouwbaar is voor alle belanghebbenden. In dit verband is het cruciaal dat bedrijven het belang van cybersecurity serieus nemen. Te vaak richten directies zich enkel op de ontwikkeling van technologische innovaties en de verbetering van de winstgevendheid, terwijl de rol van cybersecurity wordt onderschat. Deze verwaarlozing heeft geleid tot aanzienlijke economische, reputatie- en regelgevende kosten voor organisaties (Vittorio & Holland, 2021). Bedrijven die investeren in technologieën zoals slimme apparaten of cloud computing kunnen kosten besparen en de efficiëntie verbeteren, maar een slechte implementatie van deze systemen kan ook nieuwe kwetsbaarheden creëren.
Het is daarom essentieel dat de raad van bestuur en het senior management een balans vinden tussen het bevorderen van technologische vooruitgang en het waarborgen van een veilige digitale omgeving. Deze balans is cruciaal voor de groei en het concurrentievermogen van een bedrijf op de lange termijn. Cybersecurity moet niet slechts een bijzaak zijn, maar een geïntegreerd onderdeel van de bedrijfsstrategie. Volgens de Internet Security Alliance (2020) kunnen basismaatregelen, zoals het beperken van gebruikers- en beheerdersrechten en het zorgen voor regelmatige software-updates, 85% van de cyberinbreuken voorkomen. Het nemen van dergelijke preventieve maatregelen helpt niet alleen de bedrijfsefficiëntie te verbeteren, maar zorgt ook voor een positieve return on investment.
Daarnaast moeten directies zowel reactieve als proactieve strategieën inzetten om de negatieve gevolgen van cyberaanvallen te minimaliseren. Dit omvat het opzetten van protocollen die in staat zijn om potentiële aanvallen te voorspellen en de systemen, processen en netwerken van het bedrijf regelmatig te testen om kwetsbaarheden op te sporen (Internet Security Alliance, 2020). De rol van het bestuur is om ervoor te zorgen dat er een cultuur van cybersecurity bestaat binnen de organisatie, waarbij alle medewerkers opgeleid worden om cyberrisico’s te herkennen en aan te pakken. Dit zal ervoor zorgen dat er geen zwakke schakels in de beveiliging van de organisatie aanwezig zijn.
De raad van bestuur moet daarnaast goed inzicht hebben in de aard en omvang van de cyberrisico's waaraan hun bedrijf wordt blootgesteld. Ze moeten ervoor zorgen dat het senior management strategieën ontwikkelt om deze risico’s te minimaliseren. Het is van groot belang dat cybersecurity niet wordt gezien als een puur IT-kwestie, maar als een breed strategisch risico dat de hele organisatie aangaat. Het heeft invloed op alle afdelingen en processen, van de financiële administratie tot de productie, en vereist dus een holistische aanpak. Volgens Hess en Morton (2020) moet de cybersecuritystrategie van een bedrijf zijn geïntegreerd in de bredere risicomanagementstrategie. Bedrijven moeten hun cyberrisico's beheren als een integraal onderdeel van hun algemene bedrijfsstrategie, en niet als een aparte technologische uitdaging.
De vijf belangrijkste principes voor effectief cyberrisicobeheer volgens de Internet Security Alliance (2020) zijn essentieel voor bedrijven die een robuuste cybersecurity-infrastructuur willen opbouwen. Het eerste principe is dat de raad van bestuur cybersecurity moet beschouwen als een probleem dat de hele organisatie aangaat, en niet alleen een verantwoordelijkheid van de IT-afdeling. De verantwoordelijkheid voor het beveiligen van de vertrouwelijke informatie en netwerken van het bedrijf mag niet beperkt blijven tot een enkel team, maar moet een collectieve verantwoordelijkheid zijn die door de gehele organisatie wordt gedragen.
Het tweede principe benadrukt de noodzaak voor een gezamenlijke aanpak van risico’s, waarbij de directie ervoor zorgt dat alle medewerkers, van IT-personeel tot de uitvoerende afdelingen, betrokken zijn bij het creëren van een cultuur van cyberrisico-bewustzijn. Alleen door het hele bedrijf bij het proces te betrekken, kunnen bedrijven echt effectief zijn in het beheren van cyberrisico's. Bovendien moeten bedrijven regelmatig de effectiviteit van hun cybersecuritymaatregelen evalueren en aanpassen aan nieuwe bedreigingen en technologieën.
Het succes van een bedrijf in een digitaal gedreven wereld is afhankelijk van het vermogen om de juiste balans te vinden tussen technologische innovatie en cyberbeveiliging. Bedrijven die dit goed doen, zullen niet alleen veerkrachtiger zijn in het licht van aanvallen, maar ook in staat zijn om de voordelen van digitalisering te maximaliseren zonder de veiligheid van hun systemen en gegevens in gevaar te brengen. Bedrijven die achterblijven in het begrijpen en aanpakken van cyberrisico's, lopen het risico aanzienlijke schade op te lopen, zowel financieel als op het gebied van hun reputatie.
Hoe kunnen bedrijven hun risicomanagement verbeteren door het oprichten van aparte commissies?
In veel bedrijven is het essentieel om een risicomanagementcommissie te hebben die zich volledig richt op het beheren van de risico’s die het bedrijf kunnen bedreigen. De criteria voor de samenstelling van een dergelijke commissie hangen af van diverse factoren zoals de industrie, de bedrijfsstrategie, de doelstellingen en de grootte van het bedrijf. De leden van de raad van bestuur moeten begrijpen dat het effectieve beheer van verschillende soorten risico's sterk afhankelijk is van de expertise van de leden van de risicomanagementcommissies. Daarom biedt het creëren van verschillende risicomanagementcommissies een extra voordeel ten opzichte van het oprichten van een enkele commissie voor risicomanagement.
Uit onderzoek van het Ernst & Young Center for Board Matters (2017) blijkt dat het aantal bedrijven in de S&P 500 met minstens één aparte risicocommissie van 61% in 2011 steeg naar 75% in 2017. Deze bedrijven hebben ten minste één risicocommissie naast de verplichte commissies zoals de commissie voor compensatierisico’s, de auditcommissie en de commissie voor risicobeheer. Toch blijkt uit hetzelfde onderzoek dat de oprichting van aparte risicomanagementcommissies minder vaak voorkomt bij bedrijven die niet tot de financiële sector behoren.
Ondanks de voordelen van aparte risicocommissies, kunnen er problemen ontstaan bij de verdeling van verantwoordelijkheden tussen de verschillende risicocommissies. De primaire toezichtrol en het besluitvormingsproces van deze commissies moeten goed afgestemd zijn op het algehele risicomanagementsysteem van de organisatie. Het is van belang dat de raad van bestuur ervoor zorgt dat de verantwoordelijkheden van elke afzonderlijke commissie niet in conflict komen met het risicomanagementsysteem dat in de organisatie is geïmplementeerd. Bovendien moeten de verschillende commissies goed met elkaar communiceren en hun rollen nauwkeurig coördineren.
De oprichting van aparte risicomanagementcommissies heeft als voordeel dat ze specifiek toezicht kunnen houden op risico’s in bepaalde delen van de organisatie. Zo hebben banken vaak een commissie die zich richt op financiën of krediet, terwijl energieproducerende bedrijven vaak beleidscommissies hebben die zich richten op veiligheid en milieu, belangrijke aspecten die gepaard gaan met hun bedrijfsactiviteiten. De raad van bestuur moet echter altijd zorgen voor een goede afstemming van de activiteiten van de verschillende commissies om de effectiviteit van het risicomanagement te waarborgen.
In gevallen waar de raad van bestuur de verantwoordelijkheid voor risicomanagement heeft beperkt tot de auditcommissie, moeten de leden van deze commissie voldoende tijd inplannen voor de periodieke beoordeling van de risicomanagementprocessen. De raad moet er ook op toezien dat elk lid van de auditcommissie zijn of haar rol begrijpt, die naast de controle van de naleving van de boekhouding en de financiële rapportages, ook het toezicht op de belangrijkste risico's van het bedrijf omvat.
Het is verder cruciaal dat de communicatie tussen de raad van bestuur, het senior management en de risicomanagers goed wordt onderhouden. De effectiviteit van het risicomanagement hangt immers af van de snelheid en betrouwbaarheid van de informatie die van het management naar de raad van bestuur vloeit. Het is van belang dat de leden van de raad van bestuur proactief voldoende informatie ontvangen over de risico’s in de organisatie. Deze informatie vormt de basis voor het ontwikkelen van de juiste reacties en actieplannen. Aparte risicocommissies moeten regelmatig bijeenkomsten houden met de top executives die verantwoordelijk zijn voor het risicomanagement binnen de organisatie. Daarnaast moeten zij ook in gesprek gaan met onafhankelijke leden van de raad om het risicomanagementbeleid en de risicocultuur binnen de organisatie te evalueren.
Bovendien moeten de risicomanagers en senior executives zich er bewust van zijn dat ze de raad van bestuur of de risicocommissie moeten kunnen informeren over escalaties van risico’s die onmiddellijke aandacht vereisen, zelfs buiten de reguliere rapportageprotocollen om. De raad van bestuur moet ook een cultuur aanmoedigen waarin rode en gele vlaggen door het management en risicomanagers worden gerapporteerd, zodat risico's snel worden geïdentificeerd en adequaat worden onderzocht.
Naast het reguliere risicomanagement moeten de juridische nalevingsprogramma's van de organisatie periodiek worden herzien. Het senior management en de risicomanagers moeten de raad voorzien van gedetailleerde informatie over hoe de juridische nalevingsprogramma’s van de organisatie bijdragen aan het risicoprofiel en ervoor zorgen dat risico’s tijdig worden geïdentificeerd en verminderd. Het is cruciaal dat de nalevingsprogramma's goed zijn afgestemd op de specifieke behoeften van de organisatie. Bij een dergelijke beoordeling moet er een sterke nadruk liggen op de cultuur binnen het bedrijf, waarbij ethisch gedrag en naleving van interne en externe regelgeving de kernwaarden zijn.
De effectiviteit van juridische nalevingsprogramma's kan ook worden gemeten aan de hand van hoe goed de organisatie in staat is om snel en adequaat te reageren op ethisch misbruik of wanpraktijken binnen de organisatie. Het ministerie van Justitie in de Verenigde Staten heeft bijvoorbeeld een beoordeling van de nalevingsprogramma’s van bedrijven onder de Federal Sentencing Guidelines geïntroduceerd, waarbij individuele verantwoordelijkheid en snel optreden bij misstanden altijd centraal staan. Dit is een belangrijk punt voor de raad van bestuur en het senior management om in gedachten te houden bij het ontwikkelen van hun strategieën en programma’s op het gebied van risicomanagement.
Welke risico’s, symptomen en aanbevelingen zijn belangrijk tijdens zwangerschap en vrouwelijke gezondheid?
Waarom slaagde Trump er niet in om een populair beleidsprogramma te realiseren?
Hoe kan fotokatalytische technologie worden toegepast voor de efficiënte extractie van uranium?
Hoe wordt een anomalous linker kransslagader (ALCAPA) succesvol chirurgisch behandeld bij zuigelingen?