Informatietechnologie blijft olifant in bestuurskamer
De raad van bestuur en commissarissen besteden IT-gerelateerde beslissingen té gemakkelijk uit naar de CIO. Nochtans is het hoog tijd dat ze de aansturing en verantwoording ook op vlak van technologie en digitalisering in handen nemen. Is het de taak van de raad om een keuze te maken tussen Microsoft en SAP? Waarschijnlijk nee. Wat ze wél moeten doen, is de impact van digitalisering op de langetermijnstrategie bepalen en de bedrijfsrisico’s die ermee gepaard gaan beheersen.
Of gesteld in een vraag: kan een bestuurskamer zonder technologie kennis haar corporate governance verantwoordelijkheden nog waarmaken?
Digitalisering, met nu Artificial Intelligence als versneller, biedt een enorm innovatiepotentieel voor veel organisaties en kan zelfs een volledige sector disruptief beinvloeden. Toch wordt de IT-afdeling en de daarvoor verantwoordelijke CIO nog al te vaak gezien als een ondersteunende afdeling, terwijl het in vele gevallen de drijvende kracht is achter een organisatie. Zowel naar innovatie, naar het waarborgen van continuiteit van de bedrijfprocessen en naar het verzekeren van vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsdata.
De verantwoordelijkheid van bestuurders bij IT-investeringen en risico's
Organisaties investeren veel in IT. Als bestuurder is het belangrijk dat je weet wààr je geld in pompt, wanneer je investeert in bepaalde IT-projecten. En vooral: hoe heb je zekerheid dat op het einde van rit de bedrijfswaarde wordt gerealiseerd en dat de IT investeringen niet lijken te verdwijnen in een groot zwart gat. Daarnaast heeft ook de controle- en risicofunctie van het bestuur een belangrijke IT-component. Het zijn de bestuursleden die na een datalek aan een toezichthouder of de pers mogen gaan uitleggen waarom dat bedrijfsrisico niet onder controle was. In toenemende mate worden in de nieuwe regelgevingen voor IT de bestuurders ook financieel aansprakelijk gesteld voor het niet naleven van de regels, zoals in de Digital Operational Resilience Act (DORA) die geldt voor financiële instellingen. Toch blijkt dat technologie nog vaak de spreekwoordelijke olifant in de bestuurskamer is.
Digitalisering op de agenda
Uit gesprekken die wij voeren met bedrijfsleiders en digitale leiders, uit praktijkwaarnemingen bij (inter)nationale bedrijven en uit onderzoeken van de Antwerp Management School en TIAS School for Business and Society, leren we dat de raad van bestuur en toezicht alles wat te maken heeft met IT al te vaak doorspeelt aan de CIO, zonder echte kritische vragen te stellen en advies te verlenen.
De CIO’s die wij hebben gesproken melden over het algemeen dat zij de connectie missen met de bestuurders en toezichthouders, die zich vooral focussen op het financiële en juridische plaatje maar er in de digitale economie een blinde vlek op na houden. In België spelen we vandaag ook geen voortrekkersrol wat betreft het opnemen van digitalisering in corporate governance codes. Ook in Nederland zijn de verwijzingen naar digitalisering in de corporate governance code indirect, wel is in een door het bestuur op te stellen risico verklaring sprake van risico's op informatie- en communicatiegebied. In de UK is in de nieuwe governance code expliciet het beheersen van Cyberrisico's opgenomen. Daarnaast is er in Nederland een IT rapportage initiatief gestart vanuit de IT audit beroepsorganisatie NOREA om organisaties een verslag te laten opstellen over de kwaliteit van IT. Stapjes in de goede richting, maar tot op heden nog geen grote doorbraken.
Om de competitiviteit te bewaken, is het hoog tijd dat we digitalisering omhelzen en een diepgaande digitale transformatie benaderen als een grote opportuniteit. Dit kan niet louter bottom-up gebeuren: het is van essentieel belang dat de raad van bestuur en toezicht digitaal leiderschap mee opnemen in hun verantwoordelijkheden. Dat dit vandaag nog te weinig gebeurt, is vaak te wijten aan een angst voor het onbekende, en aan onvoldoende kennis van zaken aan de bestuurstafel. Zomaar de hele raad reorganiseren is uiteraard niet waar wij voor pleiten: ook als je geen IT-expert bent, kan je leren om de juiste vragen te stellen aan de directie om meer redelijkheid te bouwen rond de waarde realisatie en risicobeheersing van technologie. Daarnaast kunnen ook IT audits worden ingezet door de raad van bestuur en toezicht om inzicht te krijgen in de status van IT.
Bestuursvragen rond digitale transformatie
Bestuurders moeten dus vooral de redelijke zekerheid hebben dat ze de goede dingen op de juiste manier aan het doen zijn en dat ze de beoogde doelen gaan kunnen bereiken. Daarover moet men de juiste kritische vragen stellen in de bestuurskamer en aan het management.
1. Heb je redelijke zekerheid dat je qua technologie de juiste dingen aan het doen bent in lijn met je bedrijfsstrategie en competitief landschap?
2. Heb je redelijke zekerheid dat je digitale trajecten op de juiste manier aan het doen bent, in lijn met je bedrijfsarchitectuur en business model?
3. Heb je redelijke zekerheid dat je de juiste business en technologie competenties en skills in huis hebt om die vaak complexe digitale transformaties tot een goed einde te brengen?
4. Heb je redelijke zekerheid dat je op het einde van de rit de geplande baten en voordelen zal realiseren?
Hoe meer bestuurders aan de slag gaan met deze vragen, hoe meer zij de juiste en krachtige “tone at the top” neerzetten rond digitale transformatie. En laat dat laatste (“tone at the top”) nu net, volgens tal van internationaal onderzoek, één van de kritische succesfactoren zijn die bepalen waarom sommige organisaties wel en anderen niet succesvol zijn in de digitale tranformatie.
Dus we laten de lezer van dit opiniestuk terug landen bij de openingsvraag, die eigenlijk een retorische vraag was: kan een bestuurskamer zonder IT kennis haar corporate governance rollen volwaardig vervullen?
Auteurs
Steven De Haes | Decaan, Antwerp Management School en Professor Digital Strategy & Governance, University of Antwerp
Rob Fijneman | Professor IT Auditing, TIAS School for Business and Society
Bereid je organisatie voor op de digitale toekomst
In een tijd waarin technologie een steeds grotere rol speelt in bedrijfsstrategie en risicobeheersing, is het essentieel dat bestuursleden en toezichthouders inzicht hebben in de impact en risico's van digitalisering. De TIAS
Executive Master of IT Auditing biedt een diepgaand programma voor professionals die willen bijdragen aan strategische IT-beslissingen en een stevige basis willen leggen in IT-governance en auditing. Door deel te nemen aan deze opleiding, leren bestuurders en managers niet alleen hoe ze hun organisaties kunnen beschermen tegen digitale risico's, maar ook hoe ze technologie effectief kunnen inzetten voor duurzame waardecreatie. Interesse? Ontdek wat de opleiding voor jouw carrière kan betekenen.
Lees meer over de Executive Master of IT Auditing »