Leidinggevenden van ondernemingen boeken weliswaar aanzienlijke vooruitgang op belangrijke gebieden, zoals het opstellen van worst case-scenario’s, de invoering van AI en het opstellen van plannen voor geopolitieke risico’s (die een jaar geleden nog grotendeels ontbraken), maar er bestaan nog steeds kritieke hiaten bestaan, stelt Riskconnect in haar ‘2025 New Generation of Risk Report’ waarvoor wereldwijd meer dan 200 risico-, compliance- en resilienceprofessionals zijn ondervraagd.
Het politiek risico is gestegen naar de top drie van bedrijfsrisico’s, een stijging ten opzichte van de vijfde plaats vorig jaar. Bijna alle riskmanagers (97%) zeggen dat politieke risico’s op de een of andere manier van invloed zijn op hun bedrijf, en 40% beschrijft de impact als aanzienlijk of ernstig.
Oorzaken
Bedrijven zeggen dat ze vanwege binnenlandse politieke instabiliteit hebben moeten wachten met of minder personeel hebben moeten aannemen (37%), grote technologische investeringen of kapitaaluitgaven hebben moeten uitstellen (28%) en uitbreidingsplannen hebben moeten uitstellen (23%). Andere bedrijven hebben hun toeleveringsketens moeten diversifiëren en/of activiteiten moeten terugbrengen naar eigen land (27%).
Het is volgens de onderzoekers niet verwonderlijk dat politieke risico’s een grote zorg zijn, aangezien deze risico’s een directe invloed kunnen hebben op de bedrijfsstrategie en -stabiliteit. “Het huidige klimaat – vooral in de VS, waar tarieven, escalerende handelsspanningen en diverse beleids- en regelgevingswijzigingen de onzekerheid vergroten – heeft gevolgen voor de marges, kosten, markttoegang, activiteiten, toeleveringsketens en groeistrategieën van veel bedrijven.”
Goed voorbereid
Wat volgens Riskconnect echter wel verrassend is, is dat slechts 17% van de respondenten zegt zich goed voorbereid te voelen om politieke risico’s te beoordelen, te managen en te herstellen wanneer ze de tijd hadden om zich voor te bereiden. “Beleidswijzigingen werden vooraf aangekondigd met campagnebeloften, wat erop wijst dat bedrijven ofwel twijfelden of deze veranderingen daadwerkelijk zouden plaatsvinden en geen maatregelen hebben genomen om zich voor te bereiden, ofwel de omvang en snelheid van de veranderingen en de impact ervan hebben onderschat.”
Bedrijven worden zich bewust van geopolitieke risico’s
Hoewel de paraatheid voor binnenlandse politieke risico’s achterblijft, ziet het plaatje er anders uit als het gaat om geopolitieke dreigingen. Geopolitieke risicoplanning wint terrein: twee derde (66%) van de bedrijven begon 2025 met een plan voor het beheersen van geopolitieke volatiliteit – een aanzienlijke stijging ten opzichte van de 19% die vorig jaar aangaf een plan te hebben.
Maar de realiteit was harder dan verwacht. Van de bedrijven die een plan hadden voor dit soort gebeurtenissen, zegt 30% dat de impact erger was dan verwacht. Van de ongeveer een derde die geen plan had, meldt 26% een grotere verstoring dan verwacht. Dit bewijst hoe snel de risico-omgeving evolueert en herinnert ons eraan dat risicogebeurtenissen zelden verlopen zoals verwacht. Dit geldt met name voor geopolitieke risicogebeurtenissen, die inherent volatiel zijn en moeilijk volledig nauwkeurig te voorspellen zijn.
Jim Wetekamp, CEO van Riskonnect: “Het feit dat meer bedrijven plannen maken voor geopolitieke risico’s moet worden toegejuicht. Het doel van planning is om voorbereid te zijn op gebeurtenissen die veel extremer zijn dan verwacht. Door te plannen bouwt een organisatie veerkracht op en vergroot zij haar vermogen om zich snel en nauwkeurig aan te passen en te reageren wanneer zich een gebeurtenis voordoet. Degenen die een plan hebben, bevinden zich in een veel betere positie dan degenen die dat niet hebben.”.
Ondanks de toename in planning zegt slechts 18% van de riskmanagers zeer goed voorbereid te zijn om geopolitieke risico’s te beoordelen, te managen en te herstellen. De meeste organisaties richten hun planning nog steeds op bekende bedreigingen, zoals handelsbeleid en specifieke conflicten, in plaats van op cascade-effecten zoals knelpunten in de toelevering, cyberaanvallen en instabiliteit in secundaire regio’s.
Voorbereiden op een vertraging:
Bijna zeven op de tien (69%) riskmanagers verwachten een economische neergang in de komende 12 maanden. Van hen denkt 66% dat deze mild of van korte duur zal zijn.
Volatiliteit en verstoring zijn tegenwoordig de norm, niet de uitzondering. Toch blijft de paraatheid voor onvoorspelbare risico-events opvallend laag. Slechts 9% van de leiders in 2025 voelt zich zeer goed voorbereid om een toekomstige onbekende en onvoorspelbare risico-event te beoordelen, te beheersen en te herstellen, een lichte stijging ten opzichte van 4% in 2024 en 5% in 2023. Zelfs bekende en voorspelbare risico’s kunnen op onvoorziene manieren escaleren – door hun snelheid, omvang of de domino-effecten die ze veroorzaken. In beide gevallen is de conclusie hetzelfde: voorbereiding loont. Dit dient als een wake-upcall.
Handelsoorlogen kunnen een golf van cyberaanvallen veroorzaken
Geopolitieke instabiliteit creëert omstandigheden die vruchtbaar zijn voor cyberaanvallen. 62% van de riskmanagers zegt zelfs dat als de VS een restrictiever handelsbeleid gaat voeren of op lange termijn in een open conflict met andere landen terechtkomt, het grootste risico voor hun organisatie een verhoogde blootstelling aan cyberaanvallen door de staat en verminderde federale cyberinvesteringen is.
Nationale actoren richten zich doorgaans op bedrijven om intellectueel eigendom of gevoelige gegevens te stelen voor politiek of economisch gewin. Wanneer handelsconflicten escaleren, hebben vijandige actoren meer redenen om aan te vallen. Veel van deze aanvallen infiltreren via digitale kwetsbaarheden bij derde partijen. Door het verminderde toezicht op cyberbeveiliging op federaal niveau ligt er meer verantwoordelijkheid bij bedrijven om hun verdediging te versterken.
Andere ernstige gevolgen van een langdurig restrictief handelsklimaat zijn onder meer hogere productie- en indirecte kosten (48%), ernstige verstoringen en tekorten in de toeleveringsketen (47%) en hogere binnenlandse arbeidskosten (31%).
Agentic AI doet zijn intrede in het risicolandschap
Bedrijven lijken blind te vliegen op het gebied van een van de meest impactvolle – maar ook risicovolle – technologieën van dit moment. Bijna 60% van de riskmanagers zegt dat hun bedrijf overweegt om agentische AI-oplossingen in hun activiteiten of producten te integreren. Toch heeft meer dan de helft van die managers (55%) de risico’s nog niet beoordeeld.
“Misschien nog zorgwekkender is dat een opmerkelijk deel (15%) van de riskmanagers zegt niet te weten of hun organisatie overweegt om agentische AI in haar activiteiten of producten te integreren, wat op zich al een risico is. Dit gebrek aan riskmanagement en toezicht op agentische AI is gevaarlijk. AI moet worden behandeld als elk ander bedrijfsrisico en worden geïntegreerd in risicobeheerkaders, proactief worden beheerd en met dezelfde strengheid worden beheerd als cyberbeveiliging, compliance en andere risicodomeinen. Op dit moment zijn de meeste bedrijven niet ingesteld op de snelle ontwikkeling van AI – en de risico’s zijn te groot om te negeren. “
Dataprivacy en beveiliging
Riskmanagers zeggen dat de grootste risico’s die zij voorzien bij de implementatie van agentische AI betrekking hebben op dataprivacy en -beveiliging (68%), autonome beslissingen die in strijd zijn met bedrijfsdoelstellingen, wettelijke vereisten en/of langetermijnstrategieën (52%), en onbedoelde acties als gevolg van op hol geslagen processen (38%), zoals ongeautoriseerde transacties, onjuiste prijswijzigingen of het installeren van de verkeerde software-update.
Jim Wetekamp: “Agentic AI is een nieuwe en cruciale categorie van bedrijfsrisico’s. De autonome uitvoering van taken zal ongetwijfeld enorme efficiëntiewinst opleveren, maar ook het risico op ongecontroleerde processen of cascadefouten met zich meebrengen als deze niet goed worden beheerd. Bedrijven hebben behoefte aan verantwoordingsplicht en continu toezicht dat is afgestemd op autonome, adaptieve systemen. Begin daar nu mee. Beheer AI-risico’s net zoals u dat zou doen voor elk ander groot risico binnen uw organisatie.”
Opvallende hiaten in riskmanagement Gen AI
Slechts 12% van de bedrijven zegt zich goed voorbereid te voelen om AI- en AI-governancerisico’s te beoordelen, te beheren en te herstellen. “Dat is zorgwekkend, aangezien veel organisaties actief generatieve AI-tools testen en implementeren. Bovendien is het gebruik van schaduw-AI wijdverbreid. Uit een recent onderzoek blijkt dat werknemers bij meer dan 90% van de bedrijven persoonlijke chatbotaccounts gebruiken voor dagelijkse taken, vaak zonder toestemming van IT.”
Het gebrek aan voorbereiding en vertrouwen is waarschijnlijk groot omdat bedrijven nog steeds cruciale aspecten over het hoofd zien als het gaat om AI-toezicht:
- 42% van de bedrijven heeft geen beleid voor het gebruik van AI door werknemers.
- 72% heeft geen beleid voor het gebruik van genAI door partners en leveranciers.
- 75% zegt geen specifiek plan te hebben om genAI-risico’s, waaronder deepfakes en AI-gedreven fraudeaanvallen, aan te pakken.
- 15% zegt een budget te hebben dat specifiek gericht is op het beperken van AI-gerelateerde risico’s, wat ongeveer hetzelfde percentage is als vorig jaar.
- 23% heeft een beleid tegen het gebruik van buitenlandse AI-modellen zoals Deepseek.
“Training over AI-risico’s gaat de goede kant op. Ongeveer 32% van de bedrijven zegt dat ze het hele bedrijf formeel hebben getraind of geïnformeerd over risico’s in verband met genAI, een stijging ten opzichte van 19% in 2024 en 17% in 2023. Hoewel training essentieel is, kan deze niet alles oplossen en moeten bedrijven training aanvullen met duidelijk beleid en controles”, aldus het onderzoek.
“Verrassend genoeg onderneemt ongeveer een kwart van de bedrijven nog steeds geen noemenswaardige actie tegen de risico’s van generatieve AI. 26% van de respondenten geeft aan geen beleid, formele training, budgetten of specifieke plannen te hebben om AI-risico’s aan te pakken. De mate van paraatheid voor AI-risico’s is de afgelopen drie jaar relatief stabiel gebleven.
Kritieke blootstelling aan risico’s van derden blijft bestaan
Bedrijven blijven gevaarlijk kwetsbaar voor risico’s van derden en andere partijen, maar veel riskmanagers onderschatten deze blootstelling. De meesten (85%) zeggen dat ze een bedrijfscontinuïteits- en weerbaarheidsplan hebben om hun organisatie draaiende te houden in het geval van een grote IT-storing of cyberincident bij een van hun bedrijfskritische dienstverleners. Maar bij nader inzien laten de gegevens een fundamentele zwakte zien: hun vermogen om leveranciersrisico’s te beoordelen en te monitoren stopt bij hun directe leveranciers, waardoor verborgen kwetsbaarheden dieper in de digitale toeleveringsketen verborgen blijven.
De cijfers spreken voor zich:
- 45% van de riskmanagers zegt dat ze alleen hun tier 1-technologiepartners kunnen beoordelen en monitoren.
- 8% zegt dat ze hun ‘tier 1-partners, hun leveranciers en de leveranciers van hun leveranciers kunnen beoordelen en monitoren.
- 16% geeft toe dat ze de risico’s van hun kritieke externe technologiepartners helemaal niet kunnen monitoren en beoordelen.
“Dat laatste cijfer is bijzonder zorgwekkend, vooral voor grote ondernemingen. Elk bedrijf moet op zijn minst in staat zijn om zijn directe ‘tier 1-partners te beoordelen en te monitoren. In een omgeving waar hackers vaak misbruik maken van derde partijen, is dit gebrek aan zichtbaarheid niet alleen riskant, maar ook roekeloos.”
Het algemene gebrek aan zichtbaarheid blijft bestaan, ook al zegt 66% van de risicomanagers dat ze hun IT- en cyberrisicobeheerstrategie hebben herzien en bijgewerkt in het licht van recente grote verstoringen, zoals de storing bij Crowdstrike of het MOVEit-beveiligingslek. Dit wijst erop dat bedrijven cruciale kwetsbaarheden bij derde partijen over het hoofd zien.
“Hoewel bedrijven op papier weliswaar plannen hebben voor bedrijfscontinuïteit en weerbaarheid, baseren ze zich in de praktijk op een onvolledig beeld en aannames over de betrouwbaarheid van derde partijen. Zonder de mogelijkheid om de leveranciers van hun leveranciers te beoordelen en te monitoren, zijn organisaties kwetsbaar voor verstoringen in hun uitgebreide toeleveringsketen. Dit gebrek aan inzicht kan ook de respons- en herstelinspanningen belemmeren wanneer zich incidenten voordoen.
30% zegt dat risico’s van derden geen of slechts een minimale impact hebben op hun bedrijf – een bewijs dat velen het gevaar nog steeds onderschatten. Risicobeoordeling is gestegen naar de nummer 1 use case voor AI in riskmanagement, van 29% in 2024 naar 34% in 2025.
Risicoteams zetten in op AI om bij te blijven
Het gebruik van AI in risicobeheer neemt toe. In 2024 gebruikte 62% van de bedrijven AI of was van plan AI te gaan gebruiken om risico’s te beheren. In 2025 is dat cijfer gestegen tot 70%.
De belangrijkste manieren waarop risicomanagers AI inzetten, zijn:
- 34% Risico’s beoordelen
- 28% Risico’s voorspellen
- 28% Scenario’s plannen en simulaties uitvoeren
- 28% Risicoregisters opstellen
- 28% Risico’s aan het licht brengen die ze voorheen niet hadden overwogen
Het verborgen gevaar van schaduw-AI
34% van de VP’s en C-level risicomanagers zegt dat ze niet overwegen om agentische AI in hun activiteiten of producten op te nemen, tegenover slechts 20% van de directeuren, managers en lager. Deze kloof duidt op een groeiende dreiging: schaduw-AI, waarbij werknemers tools buiten de officiële kanalen om gebruiken, waardoor blinde vlekken en onbeheerde risico’s ontstaan.
Een van de belangrijkste gebieden waarop AI waarde toevoegt en de strategische impact van de risicofunctie helpt vergroten, is scenarioplanning – een exercitie die essentieel is geworden in de snel veranderende risico-omgeving van vandaag. Het biedt bedrijven een gestructureerde manier om meerdere plausibele scenario’s door te spelen, hun strategieën te toetsen aan verschillende omstandigheden en kwetsbaarheden te identificeren voordat zich een ramp voordoet. Het helpt leiders om risico’s te verminderen, veerkracht op te bouwen, beter geïnformeerde beslissingen te nemen en wendbaar te blijven bij allerlei soorten gebeurtenissen.
61% van de risicomanagers zegt dat ze hun worstcasescenario hebben gesimuleerd, wat een aanzienlijke stijging is ten opzichte van 44% in 2024 en 37% in 2023. Dat is een bemoedigende vooruitgang, die deels kan worden toegeschreven aan een grotere acceptatie van AI. 39% van de bedrijven voert deze cruciale oefening nog steeds niet uit, wat aantoont dat dit serieuzer moet worden genomen.
Het vertrouwen in risicogegevens groeit
Riskmanagement stapt eindelijk af van spreadsheets. Vorig jaar zei meer dan de helft (53%) van de bedrijven dat ze voornamelijk of uitsluitend spreadsheets gebruiken om risico’s te beheren. In 2025 is dat aantal gedaald tot 40%, terwijl 60% nu zegt dat ze voornamelijk of uitsluitend software gebruiken om risico’s te beheren.
Deze verschuiving is belangrijk. Naarmate bedrijven meer gebruikmaken van software, neemt het vertrouwen in riskmanagementgegevens tegelijkertijd toe. Slechts 10% van de leidinggevenden zegt geen vertrouwen te hebben in hun gegevens/dat deze niet betrouwbaar zijn, wat een daling is ten opzichte van 16% vorig jaar. Die daling van zes procentpunten betekent een echte vooruitgang na jaren van stagnatie en toont aan dat investeringen in software vruchten afwerpen.
Risico’s staan in de schijnwerpers, maar budgetten staan stil
Risico’s krijgen steeds meer aandacht in het topmanagement. Zestig procent van de bedrijven heeft nu een chief risk officer, tegenover 52% in de afgelopen twee jaar. De groeiende aanwezigheid van CRO’s en risicokennis op C-niveau geeft aan dat organisaties risicobeheer steeds meer als een prioriteit zien en dat risicomanagers een cruciale rol spelen in de strategie en groei van het bedrijf.
Ondanks deze toegenomen zichtbaarheid en invloed is de budgetgroei voor deze functie relatief vlak gebleven, terwijl de risico-omgeving zich in een ongekend tempo ontwikkelt. Slechts 28% van de riskmanagers meldt een stijging van het technologiebudget, een cijfer dat de afgelopen drie jaar gelijk is gebleven. Bijna twee derde zegt dat de budgetten helemaal niet zijn veranderd.
Risicomanagers wordt gevraagd om complexere bedreigingen aan te pakken, meer strategische input te leveren en de veerkracht van de hele onderneming te vergroten – en dat alles zonder een overeenkomstige significante toename van de middelen. Risicoteams staan onder druk om meer te doen met minder, waardoor tools zoals AI en automatisering nog essentiëler worden om strategische waarde te bieden en te voldoen aan de verwachtingen op bestuurs- en directieniveau.
