گذری بر مرزهای علم مالی – قسمت بیست و سوم

در یکی از مقالات منتشرشده در جدیدترین شماره از مجله «مروری بر پژوهش‌های مالی۱» (ژانویه سال ۲۰۲۳) که وابسته به دانشگاه آکسفورد است به یکی از مباحث جدید مدیریت ریسک، یعنی «ریسک امنیت سایبری»۲ پرداخته شده است. به‌طور کلی و در تعریفی جامع، ریسک امنیت سایبری، ریسک زیان مالی یا آسیب به شهرت یک شرکت به‌دلیل ناتوانی سامانه‌های فناوری اطلاعات آن شرکت در مقابله با حملات خارجی است. مواردی مانند از دست دادن داده‌های حساس داخلی، آسیب شبکه‌ها و خدمات شرکت و آسیب‌های الکترونیکی فیزیکی از جمله نمونه‌های قابل‌ذکر در این خصوص است. نویسندگان این مقاله با اشاره به رشد فزاینده اهمیت این ریسک در جهان دیجیتال امروز و تأثیر مستقیم و غیرمستقیم حملات سایبری بر شرکت‌ها، روشی نوین را جهت اندازه‌گیری ریسک سایبری ارائه نموده‌اند که در ادامه به توضیح آن خواهیم پرداخت.

خلاصه مقاله
همانطورکه عنوان شد، هدف اصلی نویسندگان مقاله موردبررسی، ارائه روشی نوین برای اندازه‌گیری ریسک امنیت سایبری بوده است و در ادامه به بررسی اثرات این ریسک بر بازدهی ‌‌شرکت‌ها نیز پرداخته‌اند.
این پژوهشگران در ابتدا و برای ارائه معیاری جهت اندازه‌گیری ریسک امنیت سایبری دو ایده اساسی را مطرح کرده‌اند. اول اینکه، ‌‌شرکت‌هایی که حمله سایبری را تجربه کرده‌اند، در آینده نیز ریسک بیشتری در این حوزه خواهند داشت. دوم اینکه، ‌‌شرکت‌هایی که در بخش افشای ریسک‌های امنیت سایبری در بیانیه ریسک خود، دارای شباهت با ‌‌شرکت‌های گروه اول هستند نیز با ریسک بیشتری مواجه خواهند بود. بنابراین، با مبنا قرار دادن ‌‌شرکت‌های گروه اول به‌عنوان نمونه آموزشی مدل و سپس ارائه بخش مربوطه در بیانیه ریسک (قسمتی خاص از فرم ۱۰-k) سایر ‌‌شرکت‌ها، به اندازه‌گیری شباهت میان این دو گروه پرداخته (از طریق معیارهایی همچون شباهت کسینوسی و …) و بر این مبنا، معیار نوآورانه خود را ارائه نمودند. از یافته‌های قابل‌ذکر این بخش، موارد زیر جالب‌توجه است:
۱- تأکید بیشتر ‌‌شرکت‌های گروه اول بر مشکلات روزافزون مقابله با ریسک‌های سایبری به ‌جای اطمینان‌بخشی در خصوص اقدامات انجام‌شده؛
۲- طولانی و پیچیده‌تر بودن بخش مربوطه در خصوص ‌شرکت‌های گروه اول و تأکید بیشتر آنها بر عواقب حقوقی حملات سایبری و استفاده بیشتر از کلمات منفی در این بخش به‌منظور ایجاد امنیت حقوقی برای خود؛
۳- اقدامات عملی بیشتر در ‌شرکت‌های گروه اول مانند خرید بیمه مربوطه؛
۴- روند فزاینده ریسک حملات سایبری به‌ویژه از سال ۲۰۱۱ به بعد؛
۵- بالاتر بودن ریسک امنیت سایبری در خصوص ‌شرکت‌های با وابستگی بالا به حوزه فناوری اطلاعات؛
۶- بالاتر بودن نرخ حملات سایبری آتی در ‌شرکت‌های با ریسک بالاتر بر اساس معیار ارائه‌شده.
همچنین این نویسندگان دریافتند که بازدهی پرتفوی متشکل از ‌شرکت‌های با ریسک امنیت سایبری بالا، نسبت به دیگر ‌شرکت‌ها، پس از مد نظر قرار دادن سایر عوامل مربوطه، به‌طور متوسط سالانه ۸/۳ درصد (میانگین هم‌وزن) بیشتر است (این اختلاف پس از حذف ‌شرکت‌هایی که بخشی از این ریسک را بیمه نموده‌اند، افزایش می‌یابد) که این امر به‌دلیل تخصیص ریسک بالاتر توسط سرمایه‌گذاران به این ‌شرکت‌ها است.