Nederlandse ondernemingen nemen onvoldoende maatregelen om alle strategische informatie waarover zij beschikken afdoende te beschermen. Het ontbreken van maatregelen wordt met name ingegeven door een gebrek aan aandacht van de leiding van de onderneming.

“Hoewel het bestuur zich in het algemeen realiseert hoe waardevol informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en ook mogelijke overnames is voor de continuïteit en het succes van de onderneming, blijven afdoende maatregelen om dit eigendom te beschermen in het algemeen vaak uit”, zegt John Hermans, partner bij KPMG IT Advisory. 

Hermans: “Bestuursleden van Nederlandse ondernemingen en hun Raden van Commissarissen moeten dan ook veel meer verantwoordelijkheid nemen als het gaat om het beschermen van alle strategische informatie waarover zij beschikken.”
 
Maatregelen uit de pas met risico’s
Uit het onderzoek ‘The importance of information assets’ van KPMG onder C-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de maatregelen die Nederlandse bedrijven nemen om te voorkomen dat strategische informatie in verkeerde handen terecht komt in geen verhouding staan tot de risico’s die zij lopen. 
___________________________________________________________________________________________________
Wilt u het gevoerde beleid inzake risicomanagement beter verantwoorden? Wilt u aan de toegenomen regelgeving blijven voldoen? Wilt u systematisch onaangename verrassingen voorkomen? Dan is de tweedaagse cursus Enterprise Risk Management voor u onmisbaar. Meld u direct aan.
___________________________________________________________________________________________________

Hermans: “Zo’n 75% van de onderzochte ondernemingen geeft aan dat de maatregelen die genomen worden om de informatie veilig te beheren volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven zich bewust zijn van het feit dat de bescherming niet toereikend is, slagen zij er tot op de dag van vandaag niet in de risico’s beter te beheersen en de beveiliging op het vereiste niveau te krijgen. Toch geeft ruim 80% van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie.”
 
Versnipperde verantwoordelijkheid
Op basis van het onderzoek constateert Hermans dat het bij veel bedrijven schort aan ‘eigenaarschap’ van risicobeheer en aan een eenduidige wijze van rapporteren over de maatregelen die genomen zijn om het bezit van de bedrijven te waarborgen. Hermans: “De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat zowel de CFO, CIO, CRO en CISO zich met de bescherming van deze waardevolle kennis bezighouden. De huidige versnippering van de verantwoordelijkheid voor het risicobeheer duidt erop dat niemand zich daadwerkelijk eigenaar voelt.”
 
Hoger in de organisatie
Een aantal bedrijven overweegt dan ook de verantwoordelijkheid voor het risicobeheer hoger in de organisatie neer te leggen. Zo geeft één op de vier bedrijven aan de Chief Risk Officer verantwoordelijk te zullen maken en kiest iets minder dan 25% voor de Chief Information Officer. En als het gaat om het rapporteren over de risico’s, blijkt dat ruim 30% van de onderzochte functionarissen rapporteert aan de Raad van Commissarissen en dat bijna 40% dat doet dat aan de audit commissie. 

Bijna 60% voorziet de Raad van Bestuur van de noodzakelijke informatie. Een duidelijk bewijs dat de bescherming van strategische informatie beter moet worden georganiseerd. Uit het onderzoek van KPMG blijkt bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en een beperkt beeld hebben van de kosten die zij maken.
 
Inzichtelijke relatie
Voor een effectief beleid is het volgens Hermans echter essentieel dat de relatie tussen de maatregelen, de kosten en de risico’s die een onderneming loopt, inzichtelijk is. 

Hermans: “Als dat niet het geval is, is het onmogelijk om vast te stellen of het geld goed besteed wordt en om tijdens de rit verbeteringen aan te brengen. Overigens blijken kleine bedrijven hun waardevolle bezit in het algemeen beter te beschermen dan grotere ondernemingen. Ruim 40% van de kleine bedrijven stelt dat het niveau van bescherming voldoende is. Van de middelgrote bedrijven geeft bijna 20% aan dat de genomen maatregelen om hun bezittingen te beschermen volstaan. Van de grote bedrijven is dit slechts 6%. Een verklaring hiervoor is wellicht dat kleine bedrijven beter beschermd zijn omdat zij opereren in een minder complexe IT-omgeving. Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen.”