FERMA-president Jo Willaert: Cyber is een totaalgebeuren

FERMA (Federation of European Risk Management Associations) houdt op 8 en 9 oktober aanstaande haar Seminar 2018. Tijdens deze tweedaagse bijeenkomst, die ditmaal in Antwerpen wordt gehouden, staan twee thema's centraal. Enerzijds is er speciale aandacht voor het cyberrisico, anderzijds voor duurzaamheid. Het Seminar draagt de titel 'Widening The Horizon for Risk Managers: Cyber - Corporate Responsibility & Sustainability'.

We spreken met FERMA-voorzitter Jo Willaert (foto) over de keuze voor een van de twee thema’s, te weten ‘cyber’.

Verschil tussen FERMA Forum en FERMA Seminar
Willaert, commissioned corporate riskmanager van Agfa-Gevaert N.V.,  legt eerst het verschil uit tussen het FERMA Forum en het FERMA Seminar: “Eenmaal in de twee jaar – tijdens de jaren met de oneven jaartallen – houden we een FERMA Forum zoals vorig jaar in Monte Carlo, en zoals volgend jaar in Berlijn. Een Forum is zowel een kennisbijeenkomst als een netwerkbijeenkomst, waarbij niet alleen riskmanagers welkom zijn, maar ook vertegenwoordigers van de relevante partijen in de markt zoals verzekeringsmaatschappijen, herverzekeraars, makelaarsbedrijven en expertise-organisaties. Op een Forum zul je ook een beursvloer aantreffen waarin de businesspartners zich kunnen presenteren. Elk even kalenderjaar, zoals nu 2018, organiseren we als FERMA een Seminar. De Seminars zijn minder gericht op netwerken, maar op het vergaren van kennis en het uitwisselen van ervaringen met collega riskmanagers uit Europa. Een seminar is dan ook exclusief bedoeld voor de riskmanagers. Los van enkele sprekers en enige afgevaardigden van de strategic sponsors, zul je er geen mensen aantreffen die niet tot de beroepsgroep van de riskmanagers behoren. Sparren met collega riskmanagers werkt beter, als er geen verzekeraars of makelaars bij zitten. Dat praat toch vrijer.”

Nadruk ligt op inhoud
“De markt waarin de riskmanagers werkzaam zijn evolueert, in die zin dat er niet zo gemakkelijk als vroeger geld wordt uitgegeven en tijd wordt vrijgemaakt voor het bezoeken van seminars. Er zijn enerzijds collega’s die daarover nog geheel zelf kunnen besluiten, maar evenzo zijn er collega’s die daarvoor vooraf een onderbouwing dienen te geven. Om deelname voor zoveel mogelijk riskmanagers mogelijk te maken, hebben we allereerst de instapprijs zo laag mogelijk gehouden. Meer nog dan voorheen ligt de nadruk op de inhoud. In de avond is er nog altijd gelegenheid voor een cocktail, maar overdag wordt er gewerkt.”

Cyber is 'total corporate issue'
Cyber is specifiek een onderwerp waar de riskmanager in het bedrijf waarvoor hij werkt het verschil zal kunnen maken. “Binnen een bedrijf wordt als het over cyber gaat, veelal eerst en vooral naar de afdeling IT gekeken. In het risicobeeld voor cyber herkent men dan ook verzekeringsaspecten en juridische aspecten. Maar het is nog veel meer dan dat; het is een ‘total corporate issue’, met ook een zeer belangrijke taak weggelegd voor ‘communicatie’ en voor ‘crisismanagement’. Heel veel bedrijven hebben die mind-set nog niet. Een cyber-incident is moeilijk te voorzien, maar kan dermate verstrekkende gevolgen hebben, dat het voortbestaan van een bedrijf ermee in gevaar kan komen.  Zoals gezegd, het is een total corporate issue en moet dus de volle aandacht van de raad van bestuur hebben. De riskmanager dient de raad van bestuur van de juiste bouwstenen en instrumenten te voorzien, om de juiste beslissingen te nemen ten aanzien van cyber. Bij grote bedrijven zijn er veelal voldoende resources om dit goed te beleggen, bij middelgrote bedrijven kan dat door het gebrek aan mankracht en of ontbreken van specifieke kennis en kwaliteiten een nog moeilijker verhaal zijn.” Willaert vat samen: “We willen af van ‘cyber is een IT-issue’, wat het 20 jaar geleden duidelijk was, dan wel ‘cyber is een verzekeringsgebeuren’. Het is een totaalgebeuren."

Cyber risk governance group
"Wij hebben ongeveer een jaar geleden een ‘cyber risk governance group’ ingesteld. Deze werkgroep wil helder in beeld brengen wat allemaal onder cyber valt. Welke risico’s zijn er. Pas als we de risico’s goed kunnen identificeren, weten we welke risico’s we allemaal moeten beheersen. Wat is hun samenhang? Wat is de exposure? Wat moeten we aan het gedrag van de medewerkers doen met het oog op de risico’s? Hoe ontwikkelt het verzekeringsaanbod zich, waarbij wordt aangetekend dat dit bij uitstek een verzekering is die zich ontwikkelt van een ‘money’ polis naar een ‘service’ polis.” Op het gebied van cyber zijn onder meer relevante vragen: waar moet op gelet worden bij de keuze voor en het sluiten van een cyberverzekering? Hoe kun je de cyberrisico's in een organisatie kwantificeren? Hoe zet je voor cyber een rapportagesysteem op?

Workshops met praktijkgevallen
De bevindingen van de werkgroep zullen belangrijke input kunnen opleveren voor de riskmanagers. Los van de beschikbaar komende documentatie, zullen er tijdens het Seminar ook workshops gegeven worden, waarin praktijkgevallen besproken worden door mensen die daarbij betrokken waren. “Waar gebeurde gevallen zeggen veelal meer dan boeken van 15 cm dik”, zegt Jo Willaert. “Het moet vooral niet te academisch worden. Het is belangrijk dat de deelnemers aan het congres achteraf kunnen zeggen: ik was in Antwerpen en ik heb - heel concreet -  dit geleerd. In het doen van business is beslagen dat je risico’s neemt. Ofwel: business = risico. Ik zeg dan altijd: de riskmanager is er ‘to support the business’. De risico’s moet je zo goed mogelijk kennen. Dat geldt dus ook voor cyber, een betrekkelijk nieuw risico. Je helpt als riskmanager de ‘board’ om ook ten aanzien van cyber de goede beslissingen te nemen.” 

Europese landen, ook van buiten de EU
De FERMA-president maakt tenslotte graag van de gelegenheid gebruik een misverstand weg te nemen. “FERMA is een federatie van Europese verenigingen van riskmanagers, dus ook voor landen van buiten de EU. Dat stelt ons in een unieke positie, om op collegiale wijze met bijvoorbeeld riskmanagers uit Turkije of Rusland te overleggen. Voor ons interessant: hoe kijkt men vanuit die landen naar de West-Europese landen? We verrijken zodoende elkaars inzichten.”