Risk in Focus 2026 – De belangrijkste risico’s voor Europa volgens auditors

De ECIIA verkent jaarlijks welke risico’s volgens interne auditors in Europa het belangrijkst zijn, waar het meeste tijd aan besteed wordt en wat hieraan gaat veranderen in de komende drie jaar. De risicoranglijst die hieruit voortkomt en de verschuivingen die jaar op jaar waargenomen worden geven stof tot nadenken – een weerspiegeling van technologische, geopolitieke en economische ontwikkelingen in en om Europa. In dit artikel een korte bespreking van de risico’s die voor volgend jaar in focus staan. Beginnend bij de onbetwiste nummer één zoeken we naar aansluiting tussen de verschillende risico’s. Het artikel gaat dus niet van boven naar beneden het lijstje af, maar volgt de verwevenheid van de top-risico’s. Bij ieder risico staat wel aangegeven op welke plek het is geëindigd op de risicoranglijst.

Cybersecurity en data security (1^ste plaats)

Al sinds de eerste editie van Risk in Focus in 2017 staat ‘Cybersecurity en data security’ op de eerste plaats, maar in het verslag wordt de vraag gesteld of deze dominantie terecht is. De werkelijke kosten ten gevolge van cyberaanvallen en datalekken piekte tijdens de COVID-19 pandemie in 2022, gemeten als een percentage van de omzet zakte ze sinds dien van 2,84% naar 1,32% in 2025. Deze daling is het gevolg van de grote investeringen in cybersecurity die er de afgelopen jaren zijn gemaakt – lagere sancties, verminderd reputatierisico, verbeterde mitigatie in het geval van een aanval en uitbreiding van bestrijdingsmechanismen naar systemen van derden worden onder andere genoemd.

Het sentiment van de Chief Audit Executives (CAE’s) die meedoen aan het onderzoek lijkt hier ontkoppelt van de data. Dit wordt volgens het verslag veroorzaakt doordat men snel geneigd is risico’s te beoordelen zonder de effectiviteit van beheersingsmaatregelen echt te overwegen. De potentiële impact van een succesvolle cyberaanval blijft bij veel organisaties catastrofaal, maar dat plafond is in feite haast onbereikbaar voor zelfs de sluwste cybercriminelen. Het doel lijkt, met andere woorden, groter voor de keeper dan voor de spits.

De zorgen van auditors over digitale veiligheid zijn echter niet geheel ongegrond. Dit risicodomein is een constante wapenwedloop achter de schermen. Wellicht geeft deze tweestrijd dit risico ook wel haar aanhoudende urgentie. Terwijl hackers alsmaar nieuwe tunnels aan het graven zijn om moderne systemen binnen te kunnen dringen zijn de cybersecurity professionals nieuwe maatregelen aan het ontwikkelen om aanvallen op voorhand te kunnen weerstaan.

Er is een stip op de horizon waar beide partijen zich al lange tijd op voorbereiden. De zogenoemde Q-dag is de dag dat hackers zullen beschikken over kwantumcomputers. Deze voor leken haast ondoorgrondelijke nieuwe technologie heeft de potentie om bepaalde methodes van hedendaagse cryptografie verleden tijd te maken. Er wordt hard gewerkt om versleutelingen op te schalen en nieuwe manieren te vinden om bescherming tegen kwantumcomputers te realiseren. Projecties plaatsen de komst van deze machines binnen een periode van drie tot vijf jaar, een tijdlijn die overigens significant is gekrompen door de komst van AI. Het wordt een uitdaging om systemen tegen die tijd gereed te hebben om aanvallen met kwantumcomputers te weerstaan.

Digital disruption, new technology and AI (3^de plaats)

Technologische ontwikkeling is de aandrijfkracht en de belangrijkste variabele achter de dreiging van cyberaanvallen. Door AI zijn phishing e-mails overtuigender dan ooit, en deepfakes zijn een nieuw middel voor social engineering waar nog niet iedereen op voorbereid is. Aan de andere kant wordt AI ook gebruikt om mogelijke dreigingen te signaleren die anders niet gedetecteerd zouden worden. Risico’s ten gevolge van de opkomst van AI is een terugkerend thema in het verlag. Verschillende risicodomeinen staan onder invloed van de nieuwe technologie, maar er is er een die specifiek op AI ingaat. ‘Digital disruption, new technology and AI’ is in twee jaar tijd van de 6^e naar de 3^e plek is gestegen.

Nieuwe technologie en de schokken die het teweeg kan brengt is een bredere categorie dan cyber- en datasecurity. Hier is geen sprake van een aanvallende en een verdedigende partij, eigenlijk is dat zelden zo in risicomanagement. Innovatie moet worden beteugeld zonder te stagneren – ‘Balancing risk and innovation’ luidt de ondertitel in het verslag. Bovenaan dit hoofdstuk wordt het Draghi rapport van 2024 genoemd waarin de concurrentiepositie van Europa, met name op gebied van technologie, als ernstig achtergesteld bestempeld wordt. Dit rapport was een impuls voor grootschalige investering in de technologische sector, zowel als de mogelijke herziening van wetgeving die innovatie momenteel moeilijk en investering onaantrekkelijk maakt in Europa.

AI is het belangrijkste onderwerp binnen dit risicodomein, en een uitstekend voorbeeld van een nieuwe technologie waar de balans tussen innovatie en risico continu in beweging is. De adoptie van generative AI (GenAI) en in het bijzonder Large Language Model’s (LLM’s) zoals ChatGPT blijkt voor veel organisaties moeilijk bij te benen. Waar en wanneer deze technologie binnen een bedrijf wordt ingezet is niet onder controle te houden tenzij je als bestuur in actie komt en zelf medewerkers uitrust met de middelen die ze willen gebruiken. Het blijft echter moeilijk te voorspellen waar de volgende doorbraak van AI gaat plaatsvinden, hoe het volgende AI schandaal zich zal voltrekken en hoeveel waarde jouw organisatie uit de implementatie van AI zal halen. Bewustzijn en wendbaarheid zijn hiermee de sleutelwoorden als het gaat om GenAI.

Dat is extra uitdagend omdat de manier waarop AI werkt en waar het antwoorden vandaan haalt heel ondoorzichtig kan zijn. Het AI-model wordt dan een zogeheten ‘Black box’ waarbinnen zich van alles afspeelt dat niemand kan zien of begrijpen. Voor deze reden wordt AI-geletterdheid als een belangrijke investering gezien voor toekomstbestendig innovatiebeleid. Zonder de benodigde kennis laat je namelijk gemakkelijk de deur openstaan voor onnoemelijke juridische en maatschappelijke risico’s – datalekken, schending van privacy, reputatieschade, discriminatie en plagiaat om er een paar te noemen.

Naast de technologische ontwikkeling is ook de AI-regulering constant in beweging. Door de achterstand van de Europese technologiesector ten opzichte van de VS en China, en door politieke druk uit de VS, wordt nu door de EU beleid ingetrokken en teruggedraaid. Buitenlands beleid in de VS is overigens een grote drijfveer achter risico nummer 5 op de lijst – ‘Macroeconomic, social and geopolitical uncertainty’ – al zijn er daar wel meer significante factoren in het spel zoals de oorlogen in Oekraïne en Gaza.

Human capital, diversity, talent management and retention (2^de plaats)

HR is een risicodomein waar AI een dreiging zowel als een oplossing vormt. Grote personeelstekorten spelen in verschillende sectoren door heel Europa. Verschillende vakgebieden kampen met een tekort aan specifiek opgeleide en getrainde mensen, van bouwvakkers tot chemische ingenieurs. Dit domein staat sinds 2023 op de tweede plaats in het Risk in Focus onderzoek.

AI speelt een rol als deel van het probleem. Het zogenoemde ‘deskilling’ is sinds de opkomst van de nieuwe technologie een zorg gebleven. Mensen zullen de verschillende vaardigheden benodigd voor de taken die AI overneemt langzaam verliezen. De ernst van dit fenomeen is voor een deel subjectief – is het verlies van mooie handschriften door toedoen van de typemachine of sterke navigators door de GPS niet even betreurenswaardig? Maar er zijn wel degelijk tekenen dat de impact van AI niet hiermee te vergelijken is.

We laten AI graag de saaie, repetitieve taken van ons werk overnemen. Taken die voorheen vaak aan juniorposities werden overgelaten. Repetitie is echter niet voor niets synoniem met oefening. De zorg is dat mensen aan het begin van hun carrière niet meer de kans zullen krijgen om echt geoefend te worden in hun vak. Aan de andere kant wordt er nu juist veel geïnvesteerd in het verkrijgen van de vaardigheden om effectief met AI te werken en de technologie te begrijpen, dat is weer een ander soort oefening. De toekomst van carrières met AI geïmplementeerd in de strategie van bedrijven is nog onzeker.

Er wordt weinig geïnvesteerd in het beheersen van HR risico’s ten opzichte van de hoge plaats in de rangorde. De observatie was dan ook dat veel HR beleid nog vast zit in operationele vraagstukken, en dat een duidelijke link met de visie en strategie van bedrijven ontbreekt. Auditors geven aan dat de beste manier waarop zij waarde kunnen toevoegen in dat geval in advieswerk zit, zij zouden in gesprek willen gaan met bestuurders over hun HR strategie om op een constructieve manier het beleid te kunnen uitdagen.

In concrete zin worstelen bedrijven ook nog steeds met gevolgen van de normalisering van werken op afstand. Werknemers verwachten tegenwoordig in de meeste gevallen dat hybride werken een optie zal zijn. Hoewel de veiligheidsoverwegingen inherent aan deze verschuiving grotendeels overkomen zijn blijven andere uitdagingen nog aanwezig. Toezicht op werknemers, kwaliteitscontrole van het geleverde werk, vlotte communicatie en samenwerking blijven voor sommige organisaties nog problematisch.

Macroeconomic, social and geopolitical uncertainty (5^de plaats)

Ook op internationaal niveau is samenwerking niet altijd meer vanzelfsprekend. De Amerikaanse overheid heeft met de introductie van hoge handelstarieven een onvoorspelbare en zwaarwegende nieuwe variabele in het spel gebracht. Het kost bedrijven tijd om nieuwe markten aan te boren en de supply chain te herzien, voor die tijd kan het landschap al totaal veranderd zijn. De handelsoorlog tussen de VS en China heeft grote gevolgen voor heel de wereld, als koopkracht voor importgoederen in Aziatische landen daalt door de hoge prijzen heeft dat ook gevolgen voor Europese bedrijven.

Onzekerheid over politiek en regelgeving speelt ook steeds meer in Europa zelf. Grote schommelingen van en naar de gevestigde politieke partijen in verschillende landen waaronder Frankrijk en Engeland worden steeds gewoner. Zo wordt regelgeving niet alleen steeds veranderlijker maar gaat ze ook steeds sterker verschillen van land tot land. Compliance wordt zo een steeds complexere puzzel van verschillende kaders en uiteenlopende prioriteiten van landelijke en internationale autoriteiten.

Climate change, biodiversity and environmental sustainability (10^de plaats)

Waar regelgeving bijvoorbeeld uiteenloopt is op het gebied van klimaat en duurzaamheid. ‘Climate change, biodiversity and environmental sustainability’ is als risicodomein in het onderzoek van het ECIIA gezakt van de zesde naar de tiende plaats, de grootste verschuiving in het onderzoek ten opzichte van vorig jaar. Ondanks de lage score is er toch voor gekozen om een hoofdstuk toe te wijden aan dit onderwerp. Deze daling is namelijk vanuit het perspectief van de impact van klimaatverandering onlogisch. Onvoorspelbaar extreem weer, overstromingen en hittegolven worden steeds frequenter. De politiek gaat echter de andere kant uit, mede veroorzaakt door het beleid uit de VS.

Klimaatverandering is een dreiging die alleen bestreden kan worden als overheden over de hele wereld de handen in elkaar steken, en dat is steeds minder het geval. De ommekeer van de VS, bijvoorbeeld op het gebied van fossiele brandstoffen, zet Europese overheden voor een keuze. Of de groene lijn aanhouden en verder achterop raken in de wereldeconomie, of het beleid aanpassen en de waarschuwingen voor klimaatverandering in de wind slaan.

Europese Environment, Social en Governance (ESG) regulering wordt al op verschillende manieren afgezwakt. Chief Audit Executives die meededen aan het onderzoek drukte hierover wel frustratie uit. Zij verwachten dat de laksere regels ervoor zorgen dat klimaatdoelstellingen het onderspit zullen delven in bedrijfsplannen. Europese regelgeving op dit gebied is nu nog het meest vooruitstrevend in de wereld. Zonder die expliciete maatstaf als referentie vreest men dat de nodige doelmatigheid van beleid voor concrete acties zal ontbreken. De noodzaak voor concurrentievermogen op de korte termijn weegt al snel zwaarder dan de wens voor een groene toekomst.

Conclusie – Wat kunnen risicomanagers met dit verslag?

Misschien is de lage positie van klimaat en duurzaamheid ook wel simpelweg het gevolg van de stijging van andere risico’s. Het andere risico in de top vijf – ‘Change in laws and regulations’ op nummer vier – is nauw verbonden aan geopolitieke onzekerheid. In de top tien staan nog meer risico’s die stijgen door instabiliteit van internationale verhoudingen:

6^de: Business continuity, operational resilience, crisis management and disasters response

7^de: Market changes, competition and changing consumer behaviour

8^ste: Supply chain, outsourcing and ‘nth’ party risk

9^de: Financial, liquidity and insolvency risks

In de introductie van het verslag wordt ook geobserveerd dat de belangrijkste risico’s nog nooit zo dicht bij elkaar geplaatst zijn door audit professionals. Dit wordt toegedicht aan het idee dat deze risico’s allemaal meer dan ooit in elkaar grijpen. Dat is de reden dat het verslag begint met het hoofdstuk over ‘Macroeconomic and geopolitical uncertainty’ ook al staat op een gedeelde vierde plaats. CAE’s zijn het er over eens dat iedere andere categorie onder de invloed staat van deze dreigingen.

De verwevenheid van top-risico’s is een sterk argument om in te zetten op integraal risicomanagement. Verschillende risico’s over verschillende silo’s verdelen kan het reactievermogen enkel vertragen en de kans op fouten en gemiste mogelijkheden vergroten. Dit kan een van de invalshoeken zijn om dit rapport te bespreken in bestuurlijke vergadering. Daarnaast kan het risicoprofiel in algemene zin gespiegeld worden aan het profiel dat geschetst wordt door de markt. Waar verschillen jullie toprisico’s en waarom? De context van iedere organisatie anders, en er kunnen strategische redenen zijn waarom bepaalde risico’s hoger of lager op de lijst terecht komen bij verschillende organisaties. Het kan echter ook dat bepaalde dreigingen toch nog relatief onderschat worden, zoals de diepgaande gevolgen voor de grootschalige adoptie van GenAI. Daarom kan dit verslag dienen als een waardevol referentiepunt voor strategische dialogen over risicomanagement. Als je als organisatie afwijkt van de markt, bijvoorbeeld door te blijven investeren in vooruitgang op gebied van ESG, is het belangrijk om daar als risicomanager of bestuurder bewust van te zijn.

Factoren die nu onvoorspelbaar lijken, zoals de gevolgen van AI adoptie, handelstarieven of kwantumcomputers, zullen met de tijd steeds scherper worden. De hoofdrol van AI in dit rapport zal naar verwachting nog langer in beeld blijven. Auditors voorzien een verdubbeling van de hoeveelheid werk op dit gebied in de komende drie jaar. Als auditor, risicomanager of bestuurder is het je taak om naar de horizon te turen en als een van de eersten te zien waar de kansen liggen en waar het gevaar schuilt. Er worden grote schokken verwacht uit verschillende hoeken die steeds een effect hebben op risicobeoordelingen en de risicobereidheid. Risicomanagers moeten daarom bijzonder alert zijn en snel kunnen handelen.

De wereldeconomie staat op het laagste punt sinds de crisis van 2008, wat betekent dat er ook vaak met een beperkt budget gewerkt moet worden om de ernstige nieuwe risico’s te beheersen. Het Risk in Focus verslag van de ECIIA lijkt wellicht wel een erg somber plaatje te schilderen, maar het is een weerspiegeling van de situatie van Europa. In deze tijden van internationale turbulentie en uitdagende doorbraken in technologie is het voor auditors en riskprofessionals, en eigenlijk voor iedereen, belangrijker dan ooit om flexibel te zijn. Bedrijven die klaar staan om hun kansen te grijpen, of om zich terug te trekken als het nodig is, zullen sterker staan wanneer de storm gaat liggen.

Over AethiQs

Hallo! Wij zijn AethiQs, jouw Relevantieadviseur
Elke bestuurder neemt beslissingen te midden van toenemende complexiteit. Vraagstukken van uiteenlopende aard vragen om keuzes en beleid. Daarbij moet je rekening houden met afhankelijkheden, onzekerheden en de belangen van een uitdijende groep stakeholders. Maar tellen al die afzonderlijke beslissingen nog wel bij elkaar op? Dragen ze bij aan het bestaansrecht en het voortbestaan van jouw organisatie?

Wij adviseren bij fundamentele vraagstukken
Wees eerlijk. Wat is nu de relevantie van jouw organisatie? En over 5 jaar? 10 jaar? Dat is een hele fundamentele vraag. Een vraag die vaak uit zicht raakt in de dagelijkse dynamiek van een organisatie.

Het is dé centrale vraag achter alles wat AethiQs doet. Wij werken voor maatschappelijk relevante organisaties. Wij helpen hen relevant te zijn en te blijven. Wij noemen dat Relevantiewaarde. We gaan daarbij altijd terug naar de kern. Samen met onze klanten bepalen we wat de basis is voor de continuïteit én de geloofwaardigheid van hun organisatie. Zodat ze van daaruit kunnen beslissen, besturen en bouwen aan een relevante toekomst. Die van jouw deelnemers nu en de deelnemers voor de toekomst.

Vanuit onze liefde voor relevantie
Wij doen dat niet alleen vanuit onze actuele kennis, maar meer nog vanuit 3x liefde: voor onze klanten, voor de vakgebieden waarin we actief zijn, en voor al onze collega’s, onze Relevantieadviseurs. Met onze lenigheid van geest kijken we altijd over sectoren en vakken heen. Want waarom zou wat in de ene sector werkt ook niet in de andere kunnen werken? Als je teruggaat tot de kern, zie je vergelijkbare oplossingen voor hele verschillende soorten organisaties. Van pensioenfondsen tot publieke omroepen, van zorginstellingen tot financiële instellingen. Voor al deze organisaties geldt dat je alleen relevant kunt blijven als het duidelijk is wat jouw bestaansrecht is, vandaag en morgen. We heten niet voor niets AethiQs. Het goede doen, en dat goed doen.

Meer van AethiQs

Invaarbeschikking binnen: het invaren kan beginnen

Aangeboden door AethiQs
Microsoft Copilot in de pensioensector:

Aangeboden door AethiQs
En un momento dado

Aangeboden door AethiQs