Raden van bestuur en commissarissen besteden IT-gerelateerde beslissingen te gemakkelijk uit aan de CIO. Nochtans is het hoog tijd dat ze de aansturing en verantwoording ook op het vlak van technologie en digitalisering in handen nemen. Is het de taak van bestuurders en commissarissen om een keuze te maken tussen Microsoft en SAP? Waarschijnlijk niet. Wat ze wél moeten doen, is de impact van digitalisering op de langetermijnstrategie bepalen en de bedrijfsrisico’s die ermee gepaard gaan beheersen. Want, vragen Steven De Haes en Rob Fijneman zich af, kan een bestuurskamer zonder technologiekennis zijn corporate governance-verantwoordelijkheden wel waarmaken?
Digitalisering, met tegenwoordig artificial intelligence als versneller, biedt een enorm innovatiepotentieel voor veel organisaties en kan zelfs een volledige sector disruptief beinvloeden. Toch wordt de IT-afdeling en de daarvoor verantwoordelijke CIO nog al te vaak gezien als ondersteunend, terwijl ‘IT’ in vele gevallen de drijvende kracht is achter een organisatie. Zowel qua innovatie, het waarborgen van continuiteit van de bedrijfprocessen en het verzekeren van vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsdata.
Verantwoordelijkheid van bestuurders bij IT-investeringen en risico’s
Organisaties investeren veel in IT. Als bestuurder is het belangrijk dat je weet wáár je geld in pompt en wanneer je investeert in bepaalde IT-projecten. En vooral: hoe je zekerheid hebt dat aan het einde van de rit bedrijfswaarde wordt gerealiseerd en dat de IT investeringen niet verdwijnen in een zwart gat.
Daarnaast heeft ook de controle- en risicofunctie van het bestuur een belangrijke IT-component. Het zijn de bestuursleden die na een datalek aan een toezichthouder of de pers mogen uitleggen waarom dat bedrijfsrisico niet onder controle was. In toenemende mate worden in de nieuwe regelgevingen voor IT bestuurders ook financieel aansprakelijk gesteld voor het niet naleven van de regels, zoals in de Digital Operational Resilience Act (DORA) voor financiële instellingen. Toch blijkt technologie nog vaak de olifant in de bestuurskamer.
Digitalisering op de agenda
Uit gesprekken die wij voeren met bedrijfsleiders en digitale leiders, uit praktijkwaarnemingen bij (inter)nationale bedrijven en uit onderzoeken van de Antwerp Management School en TIAS School for Business and Society, leren we dat raden van bestuur en toezicht alles wat te maken heeft met IT al te vaak doorspelen aan de CIO, zonder echt kritische vragen te stellen en advies te verlenen.
De CIO’s die wij hebben gesproken, melden over het algemeen dat zij de connectie missen met de bestuurders en toezichthouders, die vooral focussen op het financiële en juridische plaatje, maar voor de digitale economie een blinde vlek hebben.
België speelt vandaag geen voortrekkersrol wat betreft het opnemen van digitalisering in corporate governance codes. Ook in Nederland zijn de verwijzingen naar digitalisering in de corporate governance code indirect; wel is er in door het bestuur op te stellen risicoverklaringen sprake van risico’s op informatie- en communicatiegebied. In het VK is in de nieuwe governance code expliciet het beheersen van cyberrisico’s opgenomen.
Daarnaast is er in Nederland een IT-rapportage-initiatief gestart vanuit NOREA (de IT audit beroepsorganisatie) om organisaties een verslag te laten opstellen over de kwaliteit van IT. Stapjes in de goede richting, maar tot op heden nog geen grote doorbraken.
Om de competitiviteit te bewaken, is het hoog tijd dat we digitalisering omhelzen en een diepgaande digitale transformatie benaderen als een grote opportuniteit. Dit kan niet louter bottom-up gebeuren: het is van essentieel belang dat raden van bestuur en toezicht digitaal leiderschap opnemen in hun verantwoordelijkheden. Dat dit vandaag nog te weinig gebeurt, is vaak te wijten aan angst voor het onbekende en aan onvoldoende kennis van zaken.
Zomaar de hele raad reorganiseren is uiteraard niet waar wij voor pleiten: ook als je geen IT-expert bent, kun je leren om de juiste vragen te stellen aan de directie om meer redelijkheid te bouwen rond de waarderealisatie en risicobeheersing van technologie. Daarnaast kunnen ook IT audits worden ingezet door de RvB en RvT, om inzicht te krijgen in de status van IT.
Bestuursvragen rond digitale transformatie
Bestuurders moeten dus vooral de redelijke zekerheid hebben dat ze de goede dingen op de juiste manier doen en dat ze de beoogde doelen kunnen bereiken. Daarover moet men de juiste kritische vragen stellen in de bestuurskamer en aan het management:
- Heb je redelijke zekerheid dat je qua technologie de juiste dingen doet, in lijn met je bedrijfsstrategie en het competitieve landschap?
- Heb je redelijke zekerheid dat je digitale trajecten op de juiste manier doet, in lijn met je bedrijfsarchitectuur en business model?
- Heb je redelijke zekerheid dat je de juiste competenties en skills op het gebied van business en technologie in huis hebt om die vaak complexe digitale transformaties tot een goed einde te brengen?
- Heb je redelijke zekerheid dat je aan het einde van de rit de geplande baten en voordelen zal realiseren?
Hoe meer bestuurders aan de slag gaan met deze vragen, hoe meer zij de juiste en krachtige ’tone at the top’ neerzetten rond digitale transformatie. En laat dat laatste (the tone at the top) nu net, volgens tal van internationale onderzoeken, een van de kritische succesfactoren zijn die bepalen waarom sommige organisaties wel en andere niet succesvol zijn in hun digitale transformatie.
Dus we laten de lezer terug landen bij de openingsvraag, die eigenlijk retorisch is: kan een bestuurskamer zonder IT kennis zijn corporate governance-rollen volwaardig vervullen?
Steven De Haes is Decaan bij de Antwerp Management School en Professor Digital Strategy & Governance aan de University of Antwerp. Rob Fijneman is Professor IT Auditing aan de TIAS School for Business and Society.