Cybersecurity: valuedriver of valuekeeper?
Internet
Internet of things, SaaS, de Cloud, we lijken er niet aan te ontkomen. Is dat erg? Al deze nieuwe ontwikkelingen leiden al jaren tot betere en nieuwe businessmodellen en daarmee ook tot nieuwe, goed renderende ondernemingen. Ook bestaande ondernemingen hechten veel waarde aan de koppeling van business aan het internet. Steeds meer wordt “alles aan elkaar geknoopt” met als ultieme doel dat alles en iedereen altijd bereikbaar en verbonden is. In 2020 zijn circa 25 miljard apparaten met elkaar en met het internet verbonden. De mogelijkheden zijn oneindig maar er zijn ook risico’s.
Hand in hand met economische ontwikkelingen gaat criminaliteit. Cybercrime neemt steeds meer toe in onze samenleving, variërend van cryptoware tot complete geopolitieke cyberaanvallen van het ene land op het andere land. En omdat we steeds beter “connected” zijn nemen de risico’s van cybercrime snel toe. (zie ook https://www.internationalespectator.nl/pub/2015/4/digitale_dreiging_is_afschrikking_van_cyberaanvallen_mogelijk/)
Waardevernietiging
De economische waarde van een onderneming bestaat in de kern uit een combinatie van de toekomstige vrije geldstromen, afgezet tegen het risico dat wordt genomen door eigenaren en investeerders door te investeren in deze specifieke onderneming. Cybercrime kan in het slechtste geval een dubbel negatief effect hebben op de waarde van de onderneming: de geldstromen kunnen onder druk komen te staan (in het ergste geval komen specifieke bedrijven compleet stil te liggen), maar ook de risico-inschatting van het bedrijf door investeerders wordt hoger als de onderneming niet “in control” is.
De waardeformule
FCF = free cash flow = toekomstige vrije geldstroom
R = rendement = vergoeding voor risico
(1+R) = disconteringsfactor
Waarde = contante waarde van de vrije geldstromen
Cybersecurity en M&A
Bij bedrijfsovernames wordt daarom tijdens het Due Diligence onderzoek steeds vaker onderzoek gedaan naar de cyberrisks en hoe deze zijn geborgd (het zogenaamde Cyber Due Diligence). Om ervoor te zorgen dat potentiële kopers geen korting op de koopprijs van de onderneming uitonderhandelen voor het ontbreken van goede “cyber economics”, is het zaak hier structureel mee bezig te zijn. Vragen die een DGA / CEO zich kan stellen zijn:
- Welke investeringen zijn gedaan in software die cybercrime detecteert maar ook in proactieve en preventieve maatregelen om informatie te beschermen?
- Is er een afdeling IT/cybersecurity met voldoende capaciteit om cyberrisks te managen?
- Hebben niet-IT-medewerkers (voldoende) cybersecurity-training gehad?
- Kunnen potentiële gegadigden met zekerheid vaststellen dat de onderneming cyberrisico’s voldoende geborgd heeft?
Het borgen van cyberrisks voor webwinkels en IT-bedrijven, maar ook voor bijvoorbeeld de bancaire sector en de dienstverlenende sector is nu al belangrijker dan stel voor een metaalbewerkingsbedrijf. Maar: door de connectiviteit en de grotere afhankelijkheid van ICT worden steeds meer ondernemingen kwetsbaarder.
De mogelijke invloed op de waarde van de onderneming: een berekening
Stel dat we een onderneming waarderen die actief in de verwerking van loon- en pensioenadministraties. Deze onderneming heeft een meer dan gemiddeld risico voor cybercrime. Wat zou de invloed kunnen zijn van het ontbreken van een actief cybersecurity-beleid?
Rekenvoorbeeld
Onderneming zonder actief cyberrisk-beleid | x € 1.000 = | Onderneming met actief cybberrisk-beleid | x € 1.000 = | |
Netto resultaat | 1.500 | Netto resultaat | 1.500 | |
Investeringen in cybersecurity | -30 | Investeringen in cybersecurity | -150 | |
Free Cashflow | 1.470 | Free Cashflow | 1.350 | |
Vermogenskostenvoet | 16% | Vermogenskostenvoet | 14% | |
Waarde | 9.188 | Waarde | 9.643 | |
Kans op calamiteit | 25% | Kans op calamiteit | 10% | |
Invloed op cashflow bij calamiteit | -450 | Invloed op cashflow bij calamiteit | -150 | |
Waarde na calamiteit | 8.484 | Waarde na calamiteit | 9.536 |
In dit voorbeeld heeft de onderneming met een actief riskbeleid hogere investeringen en een lagere cashflow, maar daardoor is de risico-perceptie (vermogenskostenvoet) van investeerders lager en de kans op en de impact van een calamiteit lager.
De waarde van de onderneming die geen actief beleid voert op cybersecurity is -gegeven de uitgangspunten in dit voorbeeld- ruim 1 miljoen euro minder waard. Het risico van cybercrime kan dus een behoorlijke impact hebben op de waarde van een onderneming en daarmee waarschijnlijk ook op de transactieprijs van dat bedrijf.
Valuedriver of Valuekeeper?
Is Cybersecurity een valuedriver? Een valuedriver is een waardestuwende factor (bijvoorbeeld innovatie) die de waarde van een onderneming kan verhogen door er in je bedrijfsstrategie en –beslissingen rekening mee te houden. Het goed beveiligen van software, website en persoonsgegevens is een voorwaarde om te kunnen ondernemen. Het risico neemt toe naarmate bedrijven te maken hebben met bedrijfsgeheimen, recepten, technologie en persoonsgegevens.
Cybersecurity is dus meer een soort “valuekeeper” dan een valuedriver. Cybersecurity beperkt het risico van cybercrime voor een bedrijf, maar dat vergt (periodieke) investeringen in tijd en geld. Deze investeringen verlagen weliswaar de vrije geldstromen (investeringen kosten geld, de waarde daalt) terwijl aan de andere zijde het risico wordt beperkt (de waarde neemt toe). Een goede beveiliging levert in de regel niet meer geld op, slechte beveiliging kost bij het verkopen van een bedrijf serieus geld.
Bas van Soest | Partner