Alex van den Doel (Aon): “AI wordt het nieuwe cyber-risk”

07 mei 2025

Alex van den Doel (Aon): "AI wordt het nieuwe cyber-risk"

Artificiële intelligentie zien we vooral als kans. Een technologie die ons efficiënter maakt, die onze processen versnelt, die ons helpt betere beslissingen te nemen. Maar wat als die AI een fout maakt met verregaande gevolgen voor de bedrijfsvoering? Tijdens de workshop ‘The impact of future risks on the resilience of your organization’ op CFO Day 2025 (“From Obstacle to Opportunity”) oefenden deelnemers hoe ze AI-risico’s beter kunnen beheersen.

Elke twee jaar doet Aon, dienstverlener op het gebied van risico-, pensioen- en gezondheidsoplossingen, onderzoek onder duizenden CFO’s, service managers en andere functionarissen naar wat zij als grootste bedrijfsrisico’s zien. Cyberrisico’s staan de laatste jaren steevast bovenaan. Ook andere traditionele risico’s figureren hoog in de top-10, zoals het risico op problemen in de toeleveringsketen (continuïteit) en personeelsrisico’s (denk aan het tekort aan personeel). Maar de lijst gaat verder dan de top 10. Daar komen we ESG-risico’s tegen. En, nog lager in de lijst, risico’s die zijn gerelateerd aan het gebruik van AI.

In september dit jaar verschijnt de volgende editie van de Global Risk Management Survey van Aon. “Mogelijk dat de risico’s rondom AI dan inmiddels wat hoger staan genoteerd, misschien zelfs in de top-10. Wij zijn hoe dan ook van mening dat het onderwerp meer aandacht verdienen van de CFO”, aldus Alex van den Doel, Managing Director van Aon’s Global Risk Consulting in Rotterdam, expert op het gebied van Enterprise Risk Management. En een graag geziene gast op de CFO Day, waar hij vorig jaar een rondetafelbijeenkomsten leidde over risicomanagement.

AI: niet alleen een kans
Ook dit jaar is hij aanwezig, en leidt hij een workshop over ‘The impact of future risks on the resilience of your organization’. Vrij vertaald: de risico’s van morgen. De workshop zal met name over AI-gerelateerde risico’s gaan: “Risico’s die aanzienlijk kunnen zijn – en waar heel veel complexiteit en mogelijke impact aan vastzit”, volgens Van den Doel. Risico’s die bovendien ook zwaar onderschat worden. “Vaak zien CFO’s AI vooral als een kans – ‘the sky is the limit’ – en investeren ze er gretig in. Maar er is ook een downside. Daar hebben ze minder oog voor. Voor zover AI-risico’s op de radar van de CFO staan, dan niet heel scherp in beeld.”

Van den Doel trekt een parallel tussen de huidige perceptie van AI-risico’s en die van cyberrisico’s tien jaar geleden: “Destijds werd cyberveiligheid als een IT-kwestie gezien met beperkt risico (“ik heb nog nooit gehoord van een hack in onze sector”), totdat grote incidenten plaatsvonden die bewustwording creëerden. Zo is het nu ook met AI.”
Hoewel er momenteel weinig voorbeelden van AI-incidenten zijn, verwacht Van den Doel dat deze zich de komende jaren zullen opstapelen: “Er zullen dingen echt mis gaan. En veel bedrijven zullen er moeite mee hebben om dat te pareren, aangezien ze zo weinig kennis hebben over de precieze aard en omvang van de risico’s rondom AI.”

Workshop annex ‘pressure cooker’

De workshop had een soortgelijke opzet hebben als 2024, toen de focus lag op de toprisico’s cyber en bedrijfsstilstand. Aan het begin was er een inleiding over de ‘future risks’, waarna de deelnemers aan het werk werden gezet met een gesimuleerde crisissituatie. Deze crisissituatie draaide om een incident in een bedrijf waarbij het AI-systeem bepaalde keuzes maakt die binnen het ESG-beleid niet door de beugel kunnen, met gevolgen op strategisch, operationeel, financieel en reputatieniveau.

De acht CFO’s (per tafel) die deelnemen vormden samen een crisisteam, waarin ze elk een verschillende rol kregen toebedeeld. “En zij worden met z’n achten met allerlei dilemma’s geconfronteerd: Moeten bedrijfsprocessen worden stilgelegd? Wat breng je naar buiten? Hoe zit het met juridische aspecten? Ben jij bijvoorbeeld aansprakelijk als AI een fout maakt of de aanbieder van het AI-systeem? Wat is er wel en niet verzekerd?”

Om het extra uitdagend te maken, werd het crisisteam tijdens de simulatie steeds met nieuwe informatie gevoed, wat de druk op het team nog verder verhoogde. De deelnemers bevonden zich dus in een echte ‘pressure cooker’, zoals Van den Doel het noemt. In zo’n situatie moet men vaak met 50% van de informatie 100% van de beslissing nemen en in dit geval is er oog nog beperkte kennis over het type risico, wat het extra complex maakt.

De sessie duurde een uur, verdeeld over de inleiding, de simulatie zelf (30 minuten) en een nabespreking met lessons learned en feedback van Aon. Het hoofddoel was om de deelnemers bewust te maken van de blinde vlekken in hun risicomanagement en hun concrete handvatten te geven om hun organisatie weerbaarder te maken.

Deelnemers aan de interactieve workshop gingen naar huis met concrete inzichten in de risico’s van morgen, die direct toepasbaar zijn in hun organisatie.