Abstract | U digitaliziranom poslovnom okružju, kibernetički rizici pojavljuju se kao značajna prijetnja poslovanju organizacija, potencijalno ugrožavajući njihovu uspješnost, ugled te ostvarenje strateških ciljeva. Uloga glavnih izvršnih menadžera postaje ključna u poticanju promjena koje vode upravljanju kibernetičkim rizicima te integraciji istog u proces upravljanja poslovnim rizicima (engl. Enterprise risk management – ERM). Međutim, percepcija i odluke glavnih izvršnih menadžera često nisu pod utjecajem samo objektivnih činjenica, a racionalnost također može biti ograničena kognitivnim pristranostima i emocijama. Prepoznajući navedeno, bitno je razumjeti kako pristranosti i emocije utječu na percepcije menadžera i odlučivanje povezano s kibernetičkim rizicima te kako time oblikuju cjelokupni organizacijski pristup upravljanju kibernetičkim rizicima. U području namjera i ponašanja u vezi kibernetičkih rizika, kao adekvatan teorijski okvir analize izdvaja se teorija motivacije za zaštitom (engl. Protection motivation theory – PMT) koja pretpostavlja da je namjera upravljanja kibernetičkim rizicima određena percepcijom kibernetičkih rizika kao prijetnje za poslovanje organizacije (percepcija prijetnje) i percepcijom sposobnosti organizacije u upravljanju kibernetičkim rizicima (percepcija suočavanja). Uočen izostanak empirijske potvrde utjecaja percepcije prijetnje na namjeru upravljanja, motiv je nadogradnje teorije motivacije za zaštitom. Istraživanje bazirano na teoriji motivacije za zaštitom te njenoj nadogradnji za pretpostavke bihevioralne ekonomije ima za cilj produbiti razumijevanje namjera glavnih izvršnih menadžera prema upravljanju kibernetičkim rizicima u organizacijskom okruženju. Proširenjem tradicionalnog teorijskog okvira naglašava se uloga kognitivnih pristranosti i emocija, pri čemu se nastoji istražiti učinak kognitivnih pristranosti na percepciju prijetnje kibernetičkih rizika te posrednička uloga emocija između percepcije prijetnje i namjere upravljanja kibernetičkim rizicima. S obzirom na obilježja kibernetičkih rizika, kao što su evolucijska priroda, kompleksnost, recentnost te ograničena pouzdanost povijesnih podataka, pristranost optimizma i pristranost dostupnosti izdvojeni su u okviru istraživanja kao utjecajni čimbenici na percepciju kibernetičkih rizika kao prijetnje, dok emocije i žaljenje u modelu preuzimaju posredničku ulogu. Empirijsko istraživanje temeljeno je na odgovorima 673 glavna izvršna menadžera koji upravljaju poslovnim organizacijama u Republici Hrvatskoj. Odgovori su prikupljeni putem anketnog upitnika u elektroničkoj formi u razdoblju od 24. svibnja 2023. do 1. srpnja 2023. godine. Primijenjena je metoda modeliranja strukturalnim jednadžbama koja je kao složeni analitički pristup utemeljena na kombiniranju faktorske analize, analize puta i analize višestruke regresije. S obzirom na postavljeni cilj istraživanja koji je eksplorativne naravi, složenost konceptualnog modela i distribucijska svojstva prikupljenih podataka, primijenjena je PLS-SEM tehnika za procjenu modela. Analizom je potvrđeno da pristranost optimizma, kao oblik kognitivne pristranosti među glavnim izvršnim menadžerima, značajno negativno utječe na percepciju kibernetičkog rizika kao prijetnje za poslovanje organizacije. Pristranost dostupnosti, kao drugi proučavani oblik kognitivne pristranosti, pozitivno doprinosi percepciji glavnih izvršnih menadžera o kibernetičkim rizicima kao prijetnji za poslovanje organizacija. Emocije, odnosno strah i žaljenje, posreduju u odnosu između percepcije prijetnje i namjere upravljanja kibernetičkim rizicima. Potvrđuje se kako uvjerenje glavnih izvršnih menadžera u sposobnost organizacije da se suoči s kibernetičkim prijetnjama na način da istima upravlja, značajno i pozitivno utječe na namjeru upravljanja kibernetičkim rizicima. Time se potvrđuje kako je namjera upravljanja kibernetičkim rizicima određena percepcijom ekonomske provedivosti upravljanja kibernetičkim rizicima, koja ima značajniji utjecaj nego percepcija prijetnje. Rezultati potvrđuju konzistentnost kroz proširenje osnovnog modela za kontrolne varijable te kroz razmatranje modela višeg reda. Istraživanjem se potvrđuje kako su pristranost optimizma i pristranost dostupnosti te osjećaji straha i žaljenja, čimbenici koji oblikuju odluke glavnih izvršnih menadžera u vezi upravljanja kibernetičkim rizicima. Time se potvrđuje kako je proširenje tradicionalnog koncepta teorije motivacije za zaštitom za pretpostavke bihevioralne ekonomije opravdano. S obzirom na činjenicu da se poslovanje organizacija u sve značajnijoj mjeri oslanja na digitalna rješenja, izloženost kibernetičkom prostoru sve je izraženija, a digitalni svijet postaje sve umreženiji, izloženost kibernetičkim rizicima postaje neizbježna. Postupak identifikacije i kvantifikacije kibernetičkih rizika postaje sve kompleksniji, a donošenje odluka u uvjetima nepotpunih informacija sve izglednije. Stoga, nemogućnost oslanjanja na objektivne pokazatelje ostavlja prostor utjecaju bihevioralnih čimbenika u oblikovanju odluka koje se odnose na upravljanje kibernetičkim rizicima, što je istraživanjem i potvrđeno. |
Abstract (english) | In today's digitized business environment, cyber risks pose a significant threat to operations of organizations, potentially endangering their success, reputation, and the achievement of strategic goals. The role of chief executive officers is crucial in initiating changes that lead to cyber risk management and their integration into the enterprise risk management process (ERM). It's essential to recognize that managers' decisions concerning cyber risks are not solely based on objective facts but can be also influenced by cognitive biases and emotions. Based on a review of literature in the area of intentions and behaviours related to cyber risks, the protection motivation theory (PMT) emerges as an adequate theoretical framework. This theory posits that the intention to manage cyber risks is influenced by the perception of cyber risks as a threat to an organization's operations (threat perception) and the organization's perceived ability to handle these risks (coping perception). The noticeable absence of empirical evidence regarding the influence of threat perception on management intentions underscores the need to further develop the protection motivation theory. This research, grounded in the protection motivation theory and enriched with insights from behavioural economics, delves into understanding of the intentions of chief executive officers toward cyber risk management. Aiming to expand upon the conventional theoretical framework, the research delves into the influence of cognitive biases and emotions and considers the unique characteristics of cyber risks such as their evolutionary nature, complexity, recent emergence, and the lack of reliable historical data. It examines how specific biases, such as optimism and recency, shape the perception of cyber threats, and explores the intermediary role of emotions, such as fear and regret, in bridging the gap between threat perception and the intent to manage these risks. The empirical research is based on the responses of 673 chief executive officers from companies in Croatia and the core research data was collected through an electronic questionnaire in the period from May 24 to July 1, 2023. Structural equation modelling was the primary analytical method, intertwining factor analysis, path analysis, and multiple regression analysis. Given the study's exploratory nature, the complexity of the conceptual model, and the distributional properties of the collected data, the PLS-SEM technique was used to evaluate the model. Findings indicate that optimism bias among chief executive officers diminishes the perception of cyber risk, while recency bias enhances it. Emotions, like fear and regret, act as mediators between threat perception and risk management intentions. Furthermore, a manager's confidence in an organization's ability to handle cyber threats has a positive correlation with their intention to manage these risks. This confirms that the intention to manage cyber risks is determined by the perception of the economic feasibility of managing cyber risks, which has a more significant impact than the perception of the threat. Results remained consistent even when extending the model for control variables and examining a higher-order model. The study underscores how biases, like optimism bias and recency bias, along with emotions such as fear and regret, play pivotal roles in shaping chief executive officers' cyber risk management decisions. This reinforces the argument for broadening the traditional protection motivation theory to include elements of behavioural economics. Cyber risk exposure grows as the digital realm becomes more interconnected and organizations lean more on digital solutions. Navigating this complex landscape, often with incomplete information, highlights the increasing influence of behavioural factors in cyber risk management decision-making, as confirmed by the research. |