Op 24 februari 2003 kondigde Ahold het aftreden aan van zijn bestuursvoorzitter en de financieel directeur. Het bedrijf bleek in de voorgaande twee jaar de winst met meer dan €463 miljoen overdreven te hebben. Ahold, op dat moment de op twee na grootste retailer ter wereld, zag zijn marktwaarde die dag met 63% kelderen, naar €3,3 miljard. Eind 2001 bedroeg die nog meer dan € 30 miljard.Toezichthouders hadden ontdekt dat Ahold gesjoemeld had met de boekhouding.
De winst van overgenomen bedrijven was als ‘organische groei’ opgevoerd, de waardestijging van kapitaalgoederen als gevolg van ‘sale and leaseback’-transacties werd als winst geboekt, en miljarden aan schulden werden buiten de boekhouding gehouden. Die onthulling leidde tot een reeks nieuwe regels voor corporate governance-regels. Risk management werd daarmee een vast agendaonderwerp.
Ahold overleefde het schandaal en vond zichzelf opnieuw uit. Het bedrijf heeft weer stevige voet aan de grond en is opnieuw wereldmarktleider. Dat is niet in het minst te danken aan een reeks aanzienlijke investeringen in de onlinemarkt in Europa en de VS. Tijdens deze editie van het Chubb Benelux Risk Forum legt Nick Parillo, VP Global Insurance bij Ahold uit hoe het geavanceerde enterprise riskmanagement-systeem werkt dat de groep na de gebeurtenissen in 2003 implementeerde. Een bedrijfsbrede aanpak van risicobeheer is volgens Parillo van essentieel belang voor alle bedrijven die online actief zijn, vooral als zij een cyberverzekering willen afsluiten. Adrian Ladbury doet verslag.
Stap terugdoen
Gedwongen worden om mogelijk opkomende risico’s zoals cyberrisico onder ogen te zien, heeft ook zijn voordelen. Risico- en verzekeringsmanagers, makelaars, verzekeraars en andere betrokken dienstverleners worden gedwongen een stap terug te doen en de risico’s die ze lopen of gaan lopen, nader te bekijken.
Cyberrisico’s zijn net als andere opkomende risico’s, zoals niet-materiële schade door bedrijfsonderbreking, moeilijk vast te stellen, te meten, te beheersen en over te dragen. Ze passen eenvoudigweg niet in de traditionele ‘hokjes’ die de markt voor bestaande risico’s bedacht heeft, zoals schade aan eigendommen.
Risico’s als cyberrisico kunnen bedrijven op veel manieren raken en uit uiteenlopende bronnen afkomstig zijn. Voordat er over risico-overdracht wordt nagedacht, moeten ze eerst op bedrijfsbrede basis geanalyseerd worden.
Nick Parillo, VP Global Insurance bij Ahold, de Nederlandse internationale retailgroep, stelt dat dit enerzijds een uitdaging is, maar ook van fundamenteel belang is.
“Voordat je echt over cyberverzekeringen kunt praten, zul je je organisatie het beste risicoprofiel moeten geven dat je aan de markt kunt presenteren”, legt hij uit.
“Daarvoor moet je de organisatie volledig begrijpen. Je moet weten wat je bedrijfsrisicofilosofie is en hoe je governance eruitziet. En voordat je die verzekering kunt afsluiten, zul je de markt een aantrekkelijke kandidaat om te verzekeren moeten aanbieden. We hebben daar bij Ahold dan ook heel wat tijd voor uitgetrokken.”
Om de aard van de risico’s echt te begrijpen, en om dat risico aan de verzekeringsmarkt te kunnen ‘verkopen’, moet je de organisatie van haver tot gort en op alle niveaus kennen, vertelt Parillo zijn collega risico- en verzekeringsmanagers tijdens het Chubb Benelux Risk Forum. “De manier waarop we wij naar risico kijken, is dat we het risico van het ene bedrijf als een kans voor een ander bedrijf beschouwen.”
Cyberrisico
Cyberrisico is van kritiek belang voor Ahold omdat de online verkoop in de afgelopen tijd explosief is toegenomen. Het online-avontuur van Ahold begon in 1992 met Pea-pod, de grootste Amerikaanse online bezorgdienst voor boodschappen. Pea-pod werd door twee broers in hun garage ontwikkeld, en noteert in de Verenigde Staten inmiddels dubbele groeicijfers.
In 2012 kocht Ahold voor €350 miljoen online warenhuis bol.com, marktleider in Nederland met vijf miljoen klanten in Nederland en België. Bol.com en de bestaande website ah.nl, dat onderdeel is van het originele Nederlandse Albert Heijn-supermarktmerk, groeien met ongeveer 30% per jaar. Dat is natuurlijk goed nieuws voor Ahold, maar brengt vanuit het oogpunt van risk management ook uitdagingen met zich mee, net als bij elke snelle groei.
“Hoe ga je om met een dergelijke groei, en hoe beheers je die?”, vraagt Parillo.
De apparatuur die gebruikt wordt voor het verzamelen en verwerken van data vormen een ander probleem. Vooral mobiele apparatuur, die door Parillo als “waarschijnlijk het meest angstaanjagend” wordt genoemd.
Hij wijst op een recent Amerikaans onderzoek waaruit blijkt dat 90% van de bedrijven hun werknemers toestaat hun iPhone zakelijk te gebruiken. Van die 90% had slechts 37% beveiligingssoftware geïnstalleerd. Dat betekent dat bedrijfsgegevens die op die iPhones bewaard worden, kwetsbaar zijn en dat de bedrijven de deur als het ware openzetten voor inbraken.
Parillo wijst erop dat ook inbreuk op persoonsgegevens inmiddels een grote bron van zorg is. Volgens het Amerikaanse Identity Theft Resource Centre werden er in 2015 781 datalekken gerapporteerd. Dat is het op één na hoogste aantal sinds 2005, toen het met registreren begon. In totaal kwamen er in 2014 bijna 170 miljoen records op straat te liggen.
De gemiddelde kosten van een gestolen record bedragen momenteel ongeveer $150. Voor retailers bedragen de kosten om een gestolen record te vervangen ongeveer $100. “Uitgaand van een miljoen inbreuken op de privacy van klanten of kaarthouders, loopt dat bedrag erg snel op”, stelt Parillo.
Elk bedrijf dat zijn verantwoordelijkheid serieus neemt, werkt hard aan het vaststellen, beheren en het in elk geval deels overdragen van dit groeiende risico.
Wettelijke eisen
Regeringen en toezichthouders zijn zich zeer bewust van het toenemende gevaar voor consumenten en de bredere economie. Regels en voorschriften om de risico’s te beheersen nemen internationaal en op lokaal niveau dan ook snel in aantal en omvang toe.
In Nederland werd onlangs bijvoorbeeld de Wet Bescherming Persoonsgegevens aangepast. De aangescherpte regels werden op 1 januari van 2016 van kracht. Met deze wet ziet de Nederlandse Autoriteit Persoonsgegevens erop toe dat telecom- en ISP-aanbieders voldoen aan hun verplichtingen voor gegevensbescherming.
“De Autoriteit Persoonsgegevens controleert niet alleen of de regels worden toegepast, maar handhaaft ook”, licht Parillo toe.
Een kleine overtreding van de WBP wordt bijvoorbeeld beboet met 20.000 euro. Voor een ernstige overtreding kan de boete oplopen tot 10% van de netto bedrijfsomzet van het voorgaande jaar. Dat kan behoorlijk in de papieren lopen.
Ook de Europese Unie zit er bovenop. Bestaande EU-regels houden nog geen rekening met nieuwere technologische ontwikkelingen zoals sociale-medianetwerken en cloud computing. Daarom wordt er momenteel aanvullende wetgeving ontwikkeld. Parillo vertelt dat in de concepten verplichtingen voor openbare instellingen en particuliere ondernemingen zijn opgenomen. “Die zullen gevolgen hebben voor Ahold en andere bedrijven.”
Europees-Amerikaans schild
Multinationals dienen ook rekening te houden met het recentelijk gecreëerde Europese ‘privacyschild’. Deze Europees-Amerikaanse overeenkomst werd eind april gesloten. De aanleiding hiervoor werd deels gevormd door de onrust over Amerikaanse afluisterpraktijken die er in 2013 in Europa ontstond.
De overeenkomst komt er in principe op neer dat Amerikaanse bedrijven jaarlijks zelf moeten aantonen dat zij volden aan de Europese eisen voor databescherming. Daarnaast moeten ze hun privacybeleid op hun website publiceren, direct reageren op klachten, en samenwerken met en voldoen aan de voorschriften van de Europese gegevensbeschermingsautoriteiten.
Op deze manier wordt de overdracht van persoonsgegevens naar de Verenigde Staten veiliger en transparanter. Daarnaast zorgt dit voor eenvoudigere en goedkopere verhaalsmogelijkheden in het geval van klachten. Klanten kunnen nu zelf of met hulp van hun lokale gegevensbeschermingsautoriteit verhaal halen.
“Dankzij de nieuwe regels kunnen Europeanen nu in de Verenigde Staten een klacht indienen als een Amerikaans bedrijf gegevens van Europese burgers gebruikt. Daarmee wordt het voor Europeanen mogelijk juridische stappen te ondernemen tegen Amerikaanse bedrijven die hun gegevens gebruiken.”
Parillo vertelt verder dat deze uitgebreidere regelgeving betekent dat cyberverzekeringen nog belangrijker worden.
“De wetgeving wordt langzamerhand beangstigend. Een van de belangrijkste kenmerken van een cyberverzekering is dat deze de mogelijkheid biedt de risico’s vanuit juridisch oogpunt te beperken. Een van de grootste bronnen van zorg voor bedrijven wordt daarmee kleiner”, voegt hij daaraan toe.
Bedrijfsbrede aanpak belangrijk
Een bedrijfsbrede aanpak is van het grootste belang. Dit veelzijdige risico kan niet geïsoleerd beheerst en overgedragen worden, waarschuwt Parillo.
“Bij Ahold gebruiken we sinds 2003-2004 een bedrijfsmatig model. Bedrijfsrisico neemt in ons programma voor enterprise risk management een centrale plaats in. Het biedt een kader waarbinnen wordt vastgesteld hoe groot de waarschijnlijkheid of de omvang van de impact van bijzondere gebeurtenissen of omstandigheden is met betrekking tot de bedrijfsdoelstellingen. Enterprise risk management stelt een bedrijf in staat risicobeperkend beleid op te stellen, te kwalificeren en te kwantificeren, en om blootstelling aan verschillende risico’s, zoals gegevensinbreuk, te voorkomen.
“Enterprise risk management verkleint de kans op verrassingen, verhoogt de zekerheid en beschrijft welke stappen er bij bepaalde risico’s genomen moeten worden”, voegt hij daaraan toe.
Volgens Parillo sloot Ahold in 2008 voor het eerst een cyberverzekering. Op dat moment had het bedrijf al vijf jaar ervaring met enterprise risk management. Het besluit om een verzekering af te sluiten werd genomen na een groepsgeding en een corrigerende maatregel. Die waren het gevolg van een privacyschending waarbij een retailer in het noordoosten van de Verenigde Staten betrokken was.
“Toen dat gebeurde, beseften we dat wij ook kwetsbaar waren. We realiseerden ons dat we moesten nadenken over manieren om onszelf te beschermen”, legt Parillo uit.
Dankzij het bedrijfsbrede risk management-systeem konden Parillo en zijn team de belangrijkste stakeholders snel en effectief bij hun project betrekken.
“Gelukkig beschikten we al over een goed ontwikkelde bedrijfsrisico- en governancebeleid. Daarmee konden we in overleg gaan met de Chief Information Officer, de voorzitter van onze commissie voor enterprise risk management en risicobeleid en ook bijeenkomsten regelen met onze verzekeraars.”
“We konden mensen inschakelen die bij dat proces onmisbaar waren en de verzekeringsmarkt uitleggen wat we deden om dit risico te minimaliseren. En dat we verzekeringen wilden gebruiken als laatste stap in onze enterprise risk-strategie”, legt Parillo uit.
Betrokkenheid van het topmanagement bij het bedrijfsbrede enterprise risk managementsysteem is duidelijk van cruciaal belang om ervoor te zorgen dat het hele bedrijf en externe partners, zoals verzekeraars, het serieus nemen. Parillo licht toe dat het enterprise risk managementsysteem bij Ahold gelukkig de steun heeft van het volledige senior management.
“Elke bedrijfstak stelt de grootste risico’s met betrekking tot belangrijke bedrijfsdoelstellingen en -activiteiten vast. Senior managers beoordelen deze risico’s en de risicoverkleinende maatregelen regelmatig. Hun bevindingen worden samengevoegd in een heatmap, en aan de raad van bestuur en de raad van toezicht gepresenteerd.”
“Aholds enterprise risk management-programma is van invloed op controlemechanismen, procedures en het bereik van de interne auditactiviteiten. Het is gericht op de bedrijfsplanning en het prestatieproces”, gaat Parillo verder.
Aan de strategie voor enterprise risk management van Ahold ligt een model – het Ahold Business Control Framework – ten grondslag dat risicobeoordeling, controleactiviteiten en de bewaking daarvan omvat. Dit model vormt de basis voor alle bedrijfstoepassingen, op bedrijfsbreed en functioneel niveau.
“Met het model willen we ervoor zorgen dat de risico’s die met belangrijke doelstellingen gepaard gaan, worden vastgesteld en gereduceerd”, vertelt Parillo.
Verzekeringen moeten gecentraliseerd worden
De verzekeringsstrategie die de behoeften van het bedrijfsbrede risicomanagement dekt, moet centraal geleid worden om effectief te kunnen zijn, vindt Parillo.
“Niemand kan ergens een verzekering kopen tenzij er wereldwijde dekking is. Het recht om over contracten te onderhandelen en actuarissen en verzekeringsmakelaars in te schakelen, moet centraal geregeld zijn.
Elk bedrijfsniveau kent autorisatielimieten die ervoor zorgen dat uitgaven en beslissingen door het juiste managementniveau worden goedgekeurd.”
Maar deze centralisatie van verzekeringsbeleid en -inkoop betekent niet dat lokale bedrijfsleiders niet verantwoordelijk zijn voor de afdekking van risico’s. Het eigenaarschap op bedrijfsniveau is van kritiek belang om het systeem te laten functioneren, legt Parillo uit.
“Ahold hanteert het enterprise risk-model, dat drie verdedigingslinies omvat. De eerste linie stelt in beginsel dat het bedrijf de eigenaar van het risico is.
Zij [de bedrijfsleiders] zitten het dichtst op het risico. Ze moeten in staat zijn het risico vast te stellen en te beheersen, en ze moeten met beleid komen om die risico’s zo klein mogelijk te houden”, gaat Parillo verder.
Controle en compliance…
Na de eerste verdedigingslinie beschikt Ahold over een heel arsenaal waarborgen en interne controles. Parillo legt uit dat deze waarborgen op compliance gebaseerd zijn en dat ze door de hele organisatie heen door risicobeheerders worden toegepast.
Het werk van deze beheerders is ervoor te zorgen dat beleidsrisico’s vastgesteld, beheerst en verkleind worden. Als de controllers vaststellen dat de managers hier niet aan voldoen, dan wordt dit aan de raad van bestuur gemeld.
Is de nalatigheid volgens de heatmap ernstig, dan wordt er aan de raad van toezicht gerapporteerd.
“Er moet beleid zijn voor de manier waarop je dit aanpakt. Wat zijn de financiële gevolgen, en hoe hou je die binnen de perken? Door de hele organisatie heen gebruiken we ongeveer 13 controlememo’s voor de grootste aandachtsgebieden. Compliance is verplicht voor alle dochterondernemingen.”
Vervolgens kijken interne auditors naar het complianceproces van de bedrijfsleiders en de controllers, om er zeker van te zijn dat zij hun werk goed doen en de risico’s juist inschatten. Die laatste controle wordt vastgelegd in een auditverslag over governance en bedrijfsprocessen voor de raad van toezicht.
Tot slot zet Ahold een commissie ‘governance risicobeheer en naleving’ in. De voorzitter van deze subcommissie is de group general counsel, die ook de chief corporate governance counsel is.
“Dit lijkt misschien een ingewikkeld systeem van risicomanagement en -beheersing, maar in 2003 kropen we door het oog van de naald. Naar aanleiding daarvan wilden we voorkomen dat onze reputatie ooit nog op het spel komt te staan. Je reputatie is immers alles wat je hebt”, concludeert Parillo.
(overgenomen uit Chubb Benelux Risk Forum)