Hoe enorm de kracht van social media is, heeft één van de machtigste zakenbanken onlangs moeten ondervinden. Goldman Sachs verloor door social media in één dag 2 miljard dollar aan beurswaarde. Om een organisatie te behoeden voor de potentiële gevaren van social media wordt in dit artikel inzicht gegeven in de risico’s van social media en de wijze waarop men zich hiertegen kan bewapenen. Om als organisatie ‘in control’ te zijn moeten vier aandachtsgebieden worden afgedekt. Een auditor speelt een cruciale rol bij het bepalen en toetsen van de in dit artikel genoemde risico’s en set aan beheersingsmaatregelen.
Inleiding
Hoe enorm de kracht van social media is, heeft één van de machtigste zakenbanken, namelijk Goldman Sachs, onlangs moeten ondervinden. Een ‘onschuldige en hardwerkende’ bankier Smith geeft een interview aan de New York Times. Het felle en kritische opiniestuk illustreert deze machtige zakenbank als een stel aasgieren peuzelend aan een karkas. Smith, die reeds zijn ontslag ingediend heeft, zet op zijn Facebook een link naar het onlineartikel. Binnen een paar uur is het stuk drie miljoen keer aangeklikt, opiniemakers twitteren het nieuws en wereldwijde weblogs reageren met ‘nog nooit grotere inkomensval voor Goldman’. In het huidige glorietijdperk van social media gaat het nieuws in een mum van tijd als een lopend vuurtje de wereld over. Goldman is compleet verrast en verliest die dag 2 miljard dollar aan beurswaarde.[Het Financieele Dagblad, 17 maart 2012, ‘Vampierinktvissen, aasgieren en muppets bij zakenbank Goldman Sachs’.]
Social media staan vandaag de dag prominent op de agenda van elke bestuursvoorzitter. Zij worden ondersteund door zowel beleidsmakers als consultants om wegen te vinden om de applicaties als Facebook, Wikipedia, YouTube en Twitter winstgevend in te zetten. En met succes; onderzoek heeft uitgewezen dat sterke merken een directe correlatie hebben met enerzijds een goede financiële prestatie en anderzijds een brede inzet van sociale media.[Engagementsdb, The world’s most valuable brands? Who’s most engaged? Ranking the Top 100 Global Brands.]
Om de organisatie te behoeden voor de potentiële gevaren van social media wordt in dit artikel inzicht gegeven in de risico’s van social media en de wijze waarop men zich hiertegen kan bewapenen. De beheersing van deze risico’s is een primaire verantwoordelijkheid van het lijnmanagement, maar ook speelt de auditfunctie een belangrijke rol. Hoe kunnen zij de organisatie toetsen, zodat aan de directie inzicht wordt gegeven over de mate van beheersing? Dit artikel moet een leidraad zijn om social media in organisaties op een beheersbare wijze in te richten, zodat u niet midden in de nacht badend van het zweet wakker wordt en denkt dat uw organisatie 2 miljard minder waard is.
Double-edged sword
Social media wordt door veel bedrijven angstig bezien als een double-edged sword. Hoe pluk je de vruchten van de mogelijkheden die de organisatie de beloofde boost bezorgen, terwijl de risico’s als wolven op de loer liggen? Organisaties moeten ook waken voor de negatieve impact en risico’s van deze nieuwe ontwikkeling. Opdroging van verkopen, schending van privacy, afbraak van vertrouwde merknamen, om maar een paar voorbeelden te noemen. Zoals het voorbeeld van Goldman Sachs laat zien, kan de impact in de miljarden lopen.
Als eerste dient gezegd te worden dat men social media niet links kan laten liggen, de laissez faire-methode is ook niet het antwoord. Social media is een must; het vereist een duidelijke visie wat de organisatie met social media wil bereiken. Kiezen voor een ad-hocaanpak vergt veel minder resources dan wanneer gekozen wordt om social media in te zetten als enige business driver. Deze laatste vraagt naast afstemming met de strategie van de organisatie, ook senior commitment en een voortdurende alignment van systemen, processen en cultuur. De gemaakte keuze bepaalt het financieel gewin.
‘Elk voordeel heb een nadeel’
Aan deze nieuwste ontwikkeling kleven ook risico’s met (financiële) negatieve implicaties. Overall gezien vormt reputatieschade één van de zwaarste risico’s in termen van moeilijk te corrigeren. Mensen vormen de sleutelpositie voor de reputatie van de organisatie. Wat te denken van de onderlinge communicatie waarbij de organisatie geschaad kan worden? Ongepast, lasterlijk en onjuist taalgebruik kan vervelende consequenties hebben voor de organisatie. Een conversatie wordt geïnitieerd en men reageert snel en open op elkaar, echter dit kan ook escaleren of een geheel andere wending krijgen. Dit levert hoe dan ook schade voor de organisatie op, opmerkingen van bijvoorbeeld klanten (of (ex-)werknemers) kunnen een eigen leven gaan leiden en zo de reputatie en merkbeleving schade toebrengen. Vaak is de persoon die een en ander geïnitieerd heeft al uit beeld en had hij of zij die negatieve intentie totaal niet.
Op korte termijn kunnen social media leiden tot reputatieschade; de gebruikers van social media zetten de organisatie in een kwaad daglicht; dit kan snel verergeren als meerdere gebruikers meedoen. Het kan zelfs opgepakt worden door de media (consumentenprogramma’s en/of documentairemakers).
Op lange termijn kan het gebruik van social media leiden tot financiële schade; consumenten associëren de organisatie negatief; omzet en winst verminderen, in het ergste geval gaat de organisatie failliet.
Daarnaast mag het social netwerk van een onderneming niet gehackt worden door bijvoorbeeld malware. Malware staat voor ‘malicious software’. Dit is een verzamelnaam van kwaadwillende software die zich verspreidt in de programmatuur van de computer. Malware in relatie tot bijvoorbeeld Facebook zorgt ervoor dat het virus zich verspreidt onder gelinkte klanten, partners of andere contacten. Dergelijke aanvallen op Facebook en Twitter zorgen namelijk ook voor permissie aan de gelinkte gebruikers en data. Het ‘posten’ van berichten in naam van een werknemer of door een werknemer inclusief een linkje kan desastreuze gevolgen hebben voor de onderneming.[Mortleman, Social Media strategies, Computer fraud & Security.]
De internationale beroepsvereniging ISACA[De Information Systems Audit and Control Association (ISACA) is een internationale beroepsvereniging in de vakgebieden IT-governance, IT-auditing, informatiebeveiliging en risicomanagement van automatisering. Zij is wereldwijd actief in 160 landen, met meer dan 86.000 constituties.] heeft de risico’s van het gebruik van social media geclassificeerd in een viertal aandachtsgebieden:[ISACA, Social Media: Business Benefits and Security, Governance and Assurance Perspectives, May 2010.]
1 Social-media-inzet als businesstool
Bedrijven zetten social media steeds vaker in als businesstool. Hiermee worden social media benut als communicatiemiddel voor geïnteresseerden en potentiële consumenten. Maar wat als het communicatiemiddel niet helemaal juist gebruikt wordt?
2 Social-mediagebruik met toegang vanuit bedrijfsnetwerk
Social media worden steeds vaker uitgerold op bedrijfsmiddelen als laptop, iPad of mobiele telefoon. Dit zal in de toekomst verder worden uitgerold om het nieuwe werken in een flexibele kantoortuin mogelijk te maken. De bedrijfsapparatuur (computers en netwerk) wordt niet alleen gebruikt voor de bedrijfsapplicaties. Toegang via een browser wordt ook benut voor social media. Maar zijn met de introductie hiervan de gelinkte klanten dan nog wel veilig? Wat te denken van de bedrijfsgegevens en privacy van klanten?
3 Social-mediagebruik op mobiele telefoon
Het gebruik van social media wordt steeds persoonlijker en vindt steeds meer plaats op de mobiele telefoon. Social media worden hiermee laagdrempelig en het gebruik is daardoor explosief gestegen. Dit brengt echter ook specifieke risico’s met zich mee, hetgeen bevestigd wordt in de securityonderzoeken naar deze devices. Problemen hebben vaak te maken met de vele social-engineeringpogingen om informatie te achterhalen van gebruikers om zodoende ook toegang te krijgen tot het bedrijfsnetwerk. Wat te doen als de mobiele telefoons gestolen of verloren raken? Liggen de gegevens van de organisatie dan ook op straat of nog erger bij de concurrent?
4 Persoonlijk gebruik vanuit huis
Een laatste en meer controversiële overweging is het gebruik van social media in huis op privécomputers. Het beheer van de privédevices kan vaak niet geregeld en gecontroleerd worden door organisaties. Hoe moet hiermee worden omgegaan?
Afhankelijk waar de organisatie social media voor gaat inzetten zijn de bovenstaande vier aandachtsgebieden van toepassing. Ieder aandachtsgebied kent zijn eigen risico’s, en deze dienen (of beter gezegd moeten) te worden afgedekt. Daarbij speelt een auditor een belangrijke rol. Hij kan aangeven welke risico’s daadwerkelijk spelen, wat de ernst van de risico’s is en welke wijze van afdekken aan te bevelen is, en kan een onafhankelijke toetsing uitvoeren of de risico’s ook daadwerkelijk afgedekt worden.
In control
Voor een organisatie is het belangrijk om ‘in control’ te zijn. Het refereert aan de accountantsterm ‘statement of control’, dit is een ‘kwaliteitscertificaat’ waarin de mate van beheersing van de bedrijfsvoering beoordeeld wordt door auditors. Het geeft aan in hoeverre het management grip heeft op zijn processen. In het statement wordt verwezen naar:
- een set van normen waaraan de beheersing getoetst is;
- de in de processen opgenomen interne controles;
- de aangetroffen tekortkomingen en de oorzaken hiervan;
- en de voorgenomen maatregelen om de knelpunten op te lossen.
Gezien het risico dat social media vormen, is het voor een organisatie wenselijk ‘in control’ te zijn en de tekortkomingen tot een minimum te beperken. Dit betekent dat alle vier ISACA-aandachtsgebieden van de social-media-inzet moeten worden afgedekt. Eerst dient een overallplan te worden opgesteld. Hierin worden de ‘regels’ opgenomen omtrent het beheer van social media. Zo’n plan wordt ook wel het strategisch plan genoemd.
Figuur 1. Strategisch plan voor beheer van social media.
Om ‘in control’ op de vier risicogebieden te zijn moet allereerst een social media strategisch plan opgesteld worden. Succesvolle strategische plannen dienen niet alleen te focussen op de social-media-tooling, maar vooral op de relaties met consumenten in combinatie met de bedrijfsdoelstellingen (opgesteld in strategisch organisatorisch plan). Het besef moet doorgedrongen zijn dat de primaire aandachtsgebieden van social media sociologisch en psychologisch zijn en daaraan gekoppeld het secundaire: technologie en tooling. Een voorbeeld van het goed toepassen van het strategisch plan is het playbook van Cisco.[http://www.scribd.com/doc/33518678/Cisco-Social-Media-Playbook-Best-Practice-Sharing.]
Strategisch plan
Cisco heeft social media intern en extern geprofileerd. Zij heeft een Social Media Playbook geïntroduceerd; zij geeft daarmee aan hoe zij social media benadert voor de Cisco-organisatie: luisteren online, verzamelen van feedback en het leren van de ervaringen. Ondertussen wordt het playbook gezien als één van de best practices rond sharing en social-media-gebruik en -inzet.
De internationale beroepsvereniging van internal auditors IIA[Het Instituut van Internal Auditors Nederland (IIA) is de grootste beroepsvereniging van internal auditors in Nederland. De missie van IIA is om het beroep en vak internal audit in Nederland te ontwikkelen en te promoten en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal-auditfunctie. De hoofdtaken van IIA bestaan uit het profileren van het vak, kwaliteitsbewaking, belangenbehartiging en het delen van kennis.] heeft een boek uitgebracht met vereisten waaraan een strategisch plan ter beheersing van social media dient te voldoen.[P.R. Scott en J.M. Jacka, Auditing-Social-Media-A-Governance-and-Risk-Guide.]
Tabel 1. Social media strategisch plan.
Het social media strategisch plan dient door relevante stakeholders opgesteld te worden; daarbij valt te denken aan: Marketing, IT, Juridische Zaken en Compliance. Nadat de strategie is opgesteld, dient de uitvoering plaats te vinden, inclusief monitoring en terugkoppeling van de bevindingen. Dit laatste dient uitgevoerd te worden door de gedelegeerde verantwoordelijke van social media. Aan de auditor de taak om deze gehele managementcyclus te auditen.
Risk & beheersing
Het risico van social media valt niet op voorhand uit te sluiten door organisaties. Als organisatie kun je niet zelf bepalen of je meedoet met social media of niet. Immers, dat wordt bepaald door de ‘internetwereld’. Met risico wordt in deze context bedoeld de potentiële gevaren van social media die de organisatie kunnen bedreigen in haar bedrijfsvoering. De potentiële gevaren kunnen door beheersingsmaatregelen zo goed mogelijk worden gemitigeerd. Daarbij wordt, voor zover mogelijk, de waarschijnlijkheid en impact van een risico tot het minimum beperkt. Zoals eerder besproken zijn social media een enorme kans voor de organisatie, maar heeft dit fenomeen twee kanten (double-edged sword).
In tabel 2 wordt per aandachtsgebied het risico voor de organisatie genoemd. Daarachter worden in een kolom de mogelijke beheersingsmaatregelen genoemd. Deze laatste beheersingsmaatregelen dient een organisatie in te voeren om in control te zijn. Aan een auditor de taak om de beheersingsmaatregelen te toetsen op inhoudelijkheid.
Tabel 2. Risico’s voor de organisatie per aandachtsgebied (deel 1). [Klik op de afbeelding voor een grotere afbeelding]
Tabel 2. Risico’s voor de organisatie per aandachtsgebied (deel 2). [Klik op de afbeelding voor een grotere afbeelding]
Conclusie
Worden social media gehanteerd als middel om financiële prestaties van de organisatie te verbeteren? Wordt er overwogen social media in te zetten, maar is er twijfel over het double-edged sword? Dan wordt aangeraden om eerst een strategisch plan op te stellen om op social media ‘in control’ te zijn en te blijven. Daarbij is een auditor van toegevoegde waarde en kunnen de risico’s en beheersingsmaatregelen in de huidige inrichting onder de loep worden genomen. Een auditor kan dat doen aan de hand van een normenkader dat specifiek van toepassing is op de situatie van de organisatie. De auditor kan het social-mediaproces ondersteunen en helpen beheersen. Aangeraden wordt dit minimaal eenmaal per jaar uit te voeren, zodat de organisatie niet net als Goldman Sachs op de voorpagina van Het Financieele Dagblad verschijnt …