Een verandering in de toppositie qua cyberrisico’s, zo komt naar voren uit WTW’s Global D&O-rapport, gebaseerd op een onderzoek in 52 landen.Met name sociale risico’s zijn gestegen op de ladder: gezondheids- en veiligheidsrisico’s worden door 84% van de respondenten beschouwd als een zeer of zeer belangrijk punt van zorg, tegenover een gemiddelde van 45% in de voorgaande drie jaar. Het is nu de nummer één algemene zorg, gestegen van nummer vijf vorig jaar, waarmee cyberaanvallen van de eerste plaats zijn verdrongen, waar het de afgelopen drie jaar heeft gestaan.

Het is onduidelijk wat de precieze reden is voor deze toename in bezorgdheid, maar in ieder geval in het Verenigd Koninkrijk werden in 2023 veel publiciteit gegeven aan boetes die werden opgelegd aan grote bedrijven, naast een merkbare toename in handhavingsberichten van de Health and Safety Executive (HSE) en rapporten over het indrukwekkende percentage van 94% veroordelingen van individuen door de HSE.

Cyberrisico’s blijven zorgen baren

De bezorgdheid over cyberrisico’s komt op een goede tweede plaats. Cyberrisico’s zijn voortdurend in ontwikkeling en met de beschikbaarheid van tools voor kunstmatige intelligentie (AI) beginnen actoren van cyberbedreigingen AI te integreren in hun activiteiten, met name bij verkenning en social engineering, volgens het laatste rapport van het National Cyber Security Centre (NCSC). Dit, zeggen ze, maakt dergelijke aanvallen krachtiger en moeilijker te detecteren en verlaagt mogelijk de toetredingsdrempel voor beginnende criminelen, wat bijdraagt aan de wereldwijde ransomware dreiging.

Dit is een zorgwekkende ontwikkeling en voegt een extra niveau van druk toe op D&O’’s om adequate cyberbeveiligingscontroles te implementeren en efficiënt en effectief te reageren in het geval van een aanval. Cyberrisico gaat hand in hand met zorg nummer vier – gegevensverlies. Nu de GDPR al een paar jaar van kracht is, plus hervormde regelingen in veel andere rechtsgebieden, zijn bedrijven en D&O’s getuige geweest van de aanzienlijke boetes die kunnen worden opgelegd door gegevensbeschermingsautoriteiten na een inbreuk en is de wet zich nog steeds aan het ontwikkelen met betrekking tot claims van betrokkenen. Bovendien kunnen de kosten voor de eerste partij na een inbreuk aanzienlijk zijn en is het reputatierisico groot.

 Systemen en controles – Een nieuw item op de ranglijst

Regelgevende acties van financiële toezichthouders voor tekortkomingen in cybersystemen en -controles kunnen ook aan het risicolandschap worden toegevoegd. Een recent voorbeeld in het Verenigd Koninkrijk is de boete van £11,2 miljoen die in 2017 werd opgelegd aan een bedrijf voor inbreuken op de cyberbeveiliging, waardoor onbevoegden toegang kregen tot de persoonlijke gegevens van miljoenen Amerikaanse, Britse en Canadese burgers. In feite is dit in lijn met de trend die we de afgelopen jaren hebben gezien dat financiële toezichthouders aanzienlijke boetes opleggen voor een reeks tekortkomingen in systemen en controles (veel kerngebreken omvatten nu zelfs standaard een PRIN 3 tekortkoming), wat het belang aantoont van dergelijke controles bij het voorkomen van onder andere handel met voorkennis, witwassen van geld, omkoping en fraude.

Het is dan ook geen verrassing dat zorgen over systemen en controles een nieuw item zijn in de top zeven van risico’s (op nummer vijf). Van raden van bestuur wordt verwacht dat ze hier bovenop zitten en de onlangs herziene UK Corporate Governance Code van de Financial Reporting Council (FRC), die van toepassing zal zijn op boekjaren die beginnen op of na 1 januari 2025, richt zich in belangrijke mate op interne controles. De belangrijkste inhoudelijke verandering is dat raden van bestuur nu in een verklaring in hun jaarverslagen moeten uitleggen hoe ze alle materiële controles – inclusief financiële, operationele, verslagleggings- en nalevingscontroles – en hun conclusies hebben bestudeerd.

Bezorgdheid over sancties is nieuw op de lijst van grootste risico’s

Effectieve systemen en controles zijn ook van vitaal belang om overtredingen van de sanctiewetgeving te voorkomen en op te sporen. Uit ons onderzoek blijkt dat bezorgdheid over sancties nieuw is op de lijst van grootste risico’s, op nummer zeven. In het Verenigd Koninkrijk is de handhaving van de sanctiewetgeving versterkt door de invoering van de Economic Crime (Transparency and Enforcement) Act 2022. Het Office of Financial Sanctions Implementation (OFSI) kan nu sancties opleggen voor overtredingen van sancties zonder te hoeven bewijzen dat het individu op de hoogte was van de overtreding, waardoor het risico voor D&Os toeneemt. De OFSI kan overtredingen nu ook publiekelijk melden, wat reputaties kan schaden. Hoewel er tot nu toe geen stroom van handhavingsacties is geweest, kan de blootstelling toenemen als gevolg van de aankondiging door de regering op 11 december 2023 van een nieuwe eenheid – het Office of Trade Sanctions Implementation (OTSI) – om sanctieontduiking aan te pakken. Het is de bedoeling dat het OTSI een centrale rol gaat spelen in het assisteren van bedrijven bij het naleven van sancties, het onderzoeken van mogelijke overtredingen, het uitdelen van civielrechtelijke boetes en het doorverwijzen van zaken naar HMRC voor strafrechtelijke handhaving, indien nodig. Het OTSI zal in de loop van 2024 van start gaan.

De afronding van de transactie is afhankelijk van de gebruikelijke wettelijke goedkeuringen

The post WTW’s  Global Directors’ and Officers’ Survey Report 2024:Gezondheidsrisico’s en veiligheidsrisico’s  nemen nu toppositie in  appeared first on Risk & Business.