Nieuws 09 maart 2015

KPMG: Bescherming strategische informatie te versnipperd

Nederlandse ondernemingen beschermen hun strategische informatie onvoldoende. Het ontbreken van maatregelen komt met name ingegeven door een gebrek aan aandacht van de bedrijfsleiding.

Dat concludeert KPMG uit het eigen onderzoek 'The importance of information assets'. “Hoewel het bestuur zich in het algemeen realiseert hoe waardevol informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en ook mogelijke overnames is, blijven afdoende beschermingsmaatregelen vaak uit”, zegt John Hermans, partner bij KPMG IT Advisory. Bestuursleden en commissarissen van Nederlandse ondernemingen moeten daar volgens hem veel meer verantwoordelijkheid in nemen.

Uit het onderzoek van KPMG, gehouden onder C-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de genomen maatregelen om te voorkomen dat strategische informatie in verkeerde handen terecht komt, in geen verhouding staan tot de risico’s. Zo’n 75 procent van de ondernemingen geeft aan dat de genomen maatregelen volledig uit de pas lopen met de risico’s. Toch geeft ruim 80 procent van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie.

Hermans constateert dat het bij veel bedrijven schort aan ‘eigenaarschap’ van risicobeheer en aan een eenduidige wijze van rapporteren over de genomen maatregelen. De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat “zowel de cfo, cio, cro en ciso zich er mee bezighouden”. De huidige versnippering heeft tot gevolg dat “niemand zich daadwerkelijk eigenaar voelt”.

Een aantal bedrijven overweegt dan ook de verantwoordelijkheid voor het risicobeheer hoger in de organisatie neer te leggen. Eén op de vier bedrijven wil de chief risk officer verantwoordelijk maken en iets minder dan 25 procent kiest voor de chief information officer.

En als het gaat om het rapporteren over de risico’s, blijkt dat ruim 30 procent van de onderzochte functionarissen rapporteert aan de raad van commissarissen en bijna 40 procent aan de auditcommissie. Bijna 60 procent voorziet de raad van bestuur van de noodzakelijke informatie.

Uit het onderzoek concludeert KPMG bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en slecht een beperkt beeld hebben van de gemaakte kosten.

Opvallend is dat volgens Hermans kleine bedrijven hun waardevolle bezit in het algemeen beter blijken te beschermen dan grotere ondernemingen. Ruim 40 procent van de kleine bedrijven stelt dat het niveau van bescherming voldoende is, bij middelgrote bedrijven is dat bijna 20 procent en bij de grote slechts 6 procent.

Wellicht komt dit omdat kleine bedrijven opereren in een minder complexe IT-omgeving, aldus Hermans. “Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen.”