Goed toezicht op digitalisering door commissarissen en toezichthouders is om meerdere redenen van groot belang. En om goed toezicht te houden, is kennis over en ervaring met dit onderwerp essentieel.
Digitalisering en IT in breedst mogelijke zin
Het is belangrijk om digitalisering en IT in de breedst mogelijke vorm te bezien, te ontdekken en te beschrijven. Het is immers net als bij een schilderij: als je maar de helft kunt zien, dan mis je het totale plaatje. In het boek Digitalisering en IT voor commissarissen en toezichthouders worden daarom alle aspecten behandeld die relevant zijn in relatie tot IT en digitalisering. Deze kunnen voor een commissaris allemaal belangrijk zijn, of voor een deel. Maar je moet toch eerst het volledige spectrum begrijpen om te bepalen wat toepasselijk en bepalend is voor de specifieke situatie binnen jouw organisatie.
Indrukwekkende IT-termen
Er komen regelmatig indrukwekkende termen voorbij als het gaat over IT en digitaal. Een niet-uitputtend rijtje:
- Systeem, applicatie, digitale transformatie, automatiseren, digitaliseren, IT, ICT, online, customer experience, businessmodel, data, big data, AI, algoritme.
Deze termen komen hierna allemaal aan bod. - SLA, governance, onderhoud, cybersecurity, recovery, uitwijk, agile, Scrum, architectuur, killer app, IoT, block chain, augmented reality, virtual reality.
- Mhz, Ghz, MB, Mb, bandbreedte, functiepunt, Java, Python, API.
Deze termen moet je gauw vergeten. Om goed toezicht te kunnen houden op digitalisering en IT moet je zeker iets van het onderwerp afweten, maar dit soort technische zaken heb je hierbij niet nodig.
De term IT
Een goed begin is een duidelijke uitleg over de termen ‘IT’ en ‘digitaliseren’. Sinds de jaren tachtig van de vorige eeuw zijn bedrijven enthousiast met computers aan de slag gegaan. Met gebruikmaking van informatietechnologie (IT) zijn zij op grote schaal bedrijfsprocessen gaan automatiseren. Daarbij was het doel om meer efficiency te bereiken en te besparen op de inzet van werknemers. Deze automatisering was intern gefocust en daarmee op het bedrijf zelf gericht. Het doel was ook om grip te krijgen op de processen en de bijbehorende data in die processen. Denk aan de gegevens die bij een verzekeringspolis horen, of bij een bestelling. Het was erop gericht om regels, door middel van het inzetten van IT-systemen, de data te laten beheersen. En voor de duidelijkheid: automatiseren doen we vandaag de dag nog steeds.
De term digitaliseren
Sinds 2010 zijn we daarnaast gaan digitaliseren. Daarbij maak je gebruik van diezelfde informatietechnologie. Maar het grote verschil met automatiseren is dat je door het internet in een tijdperk terecht bent gekomen waarin je als organisatie of bedrijf rechtstreeks online kunt gaan acteren en communiceren met je klant of je leverancier. En dan verandert automatiseren – dat intern gericht is – in digitaliseren. Dat is juist extern gericht, op de interactie met je klant. En dan kom je plotseling in de wereld van ‘altijd online’ en de customer experience. In goed Nederlands is dat de ‘klantbeleving’. Het wordt dan heel belangrijk hoe de klant de interactie met een organisatie of bedrijf ervaart. Dan spelen data plotseling een nog grotere rol. Dan gebruiken we data, door middel van IT-systemen, om patronen (regels) te ontdekken. Dan gaat het over algoritmes die we kunnen gebruiken om bijvoorbeeld dingen te voorspellen. Dat is dus een totaal omgekeerde benadering ten opzichte van automatiseren. Het gaat over big data. Waar je met automatiseren de data vooral wilt controleren, wil je met digitaliseren zo veel mogelijk data verzamelen om daar waarde uit te halen voor je organisatie of onderneming, door toegevoegde waarde te bieden voor je klanten.
Digitale transformatie
Een ‘digitale transformatie’ is de overtreffende trap van digitaliseren en automatiseren. Dan gebruik je informatietechnologie om je bedrijf een compleet nieuw businessmodel te geven of richt je je bedrijf radicaal anders in om zo betere resultaten voor elkaar te krijgen. En dat gaat veel verder dan gebruikmaken van IT. Het raakt processen en mensen, en gaat over grote risico’s.
Big data en AI
Er is veel te doen over big data. Het is een veelgebruikte benaming die ook vaak wordt gebruikt in combinatie met andere ingewikkelde termen zoals artificial intelligence, algoritme, machine learning, neural networking en allerlei andersoortige moeilijke woorden. Ook hier is het vrij eenvoudig om de mist rond dit onderwerp en bijbehorende termen weg te nemen. Want ook hier is het lang niet zo complex en moeilijk als het op het eerste gezicht lijkt.
Hoe werken big data? Je pakt eerst een grote bak met data. Dat is in deze online wereld heel eenvoudig, omdat data nu veel breder beschikbaar zijn dan in de vorige eeuw. Vervolgens ga je met je snelle computerchip patronen zoeken in die bak met data. Een patroon zou kunnen zijn dat als A en B plaatsvinden, de kans heel groot is dat C ook plaatsvindt. Of als je F met G combineert, de kans dan groot is dat je H voor elkaar kunt krijgen. Een ander woord voor ‘patroon’ is ‘algoritme’. En als je die grote bak met data hebt en je voegt daar (nieuwe) data aan toe en kijkt opnieuw naar het patroon, dan zal het patroon wellicht iets wijzigen. En dan noemen we dit met een moeilijk begrip machine learning. Als je zo een patroon ontdekt dat continu leert door data toe te voegen en dit vervolgens ergens gaat toepassen, noemen we dat artificial intelligence (AI). Denk bijvoorbeeld aan een chatbot of aan de verwarmingsthermostaat bij jou thuis die zich aanpast aan jouw gedrag. Of de zoekmachine die al halverwege het woord dat jij aan het intypen bent het woord afmaakt. Allemaal AI die ontwikkeld is door data te gebruiken, er een patroon in te vinden en de AI vervolgens continu te laten leren door data toe te voegen.
Kunstmatig intelligent is niet intelligent
Een goed voorbeeld om te laten zien dat kunstmatige intelligentie (AI) helemaal niet zo intelligent is, is het voorbeeld van Amazon Echo. Amazon Echo is een box (Alexa) waar je tegen kunt praten zodat deze handelingen kan uitvoeren. Bijvoorbeeld het afspelen van muziek of vertellen wat de weersverwachting is. Je kunt hem bijvoorbeeld ook vertellen wat je naam is en dat zal Alexa onthouden. Een bekend voorbeeld is de situatie waarin iemand een ambulance nodig heeft. Deze persoon zegt: ‘Alexa, please call me an ambulance?’ Waarop Alexa reageert: ‘OK, thanks, I will call you Ambulance.’Angst voor AI
Er heerst heel veel onwetendheid en angst rondom het begrip artificial intelligence of ‘kunstmatige intelligentie’. Alleen de term zelf al zou suggereren dat we met computers in staat zijn om een zelfdenkende machine te ontwikkelen die vergelijkbaar is met de mens. De bekende ‘Terminator’-angst. Dat is een heel grote misvatting. De woorden artificial intelligence of kunstmatige intelligentie zijn in feite totaal verkeerd gekozen. Op dit moment weet de wetenschap relatief weinig over hoe de hersenen van de mens functioneren. Laat staan dat we in staat zijn om ze met computers te gaan namaken. Naast het feit dat we überhaupt nauwelijks begrijpen hoe hersenen werken, is het goed om te beseffen dat er tot op heden geen enkele wetenschapper op deze aarde bezig is geweest om ook daadwerkelijk te proberen die hersenen na te maken. Omdat ze simpelweg niet weten waar ze moeten beginnen. Als je kijkt naar waar we inmiddels wel toe in staat zijn, dan kun je alleen maar constateren dat die algoritmes en AI juist heel erg dom zijn. Ze kunnen een heel specifieke taak uitstekend uitvoeren, maar ook alleen maar die ene specifieke taak. Zodra er ook maar iets wijzigt, dan loopt het algoritme snel vast.
Het toepassen van de Digi&IT cockpit
Bij het toezicht houden op de financiële huishouding van een onderneming is het voor een raad van commissarissen heel helder waar en op welke onderwerpen er toezicht moet worden gehouden. Er zijn mondiale afspraken, regels en wetgeving gemaakt over zaken als een winst- en verliesrekening en een bijbehorende balans. Voor het toezicht houden op digitalisering en IT zijn er geen centrale afspraken gemaakt. Er is geen standaard framework. Om goed toezicht te kunnen houden op digitalisering en IT en om te weten op welke onderwerpen je nu precies toezicht moet houden, heb ik de Digi&IT cockpit ontwikkeld. De Digi&IT cockpit bevat alle relevante onderwerpen waar een commissaris toezicht op zou moeten houden in het digitale speelveld. In de cockpit zitten vijf aandachtsgebieden die samen een goed totaalbeeld geven van digitalisering en IT. Deze vijf gebieden corresponderen ook met de drie hoofdredenen waarom goed toezicht op digitaal en IT zo belangrijk is.
Figuur 2.1 De Digi&IT cockpit
Bedrijfscontinuïteit
Bedrijfscontinuïteit: boven in de Digi&IT cockpit zijn er twee gebieden die corresponderen met het toezicht houden op de bedrijfscontinuïteit van de onderneming.
- Run the business: dit betreft alle aspecten rondom het uitvoeren van de dagelijkse activiteiten van een bedrijf. Dat gaat over de IT-kosten en de bijbehorende dienstverlening van de IT-systemen.
- Risicomanagement: dit gaat over de risico’s die een bedrijf loopt die gerelateerd zijn aan IT. Dit gaat onder andere over informatiebeveiliging en uitwijk.
IT-investeringen
IT-investeringen: onder aan de Digi&IT cockpit staan twee gebieden die corresponderen met het toezicht houden op de IT-investeringen en de verandering.
- Businesswaarde: dit is de toegevoegde waarde van het toepassen van informatietechnologie voor de organisatie. Dit heeft betrekking op de IT-strategie, de digitale strategie en alle IT-projecten van een bedrijf.
- Change the business: hierin komt de architectuur en de inrichting van IT aan bod. En hier is aandacht voor de belangrijkste grote IT-investeringen die een bedrijf doet.
Toezicht
In het midden van de Digi&IT cockpit bevindt zich het gebied dat correspondeert met het toezicht houden op de strategie, innovatie en nieuwe bedrijfsmodellen.
5. Kansen en disruptie: hier wordt gekeken naar de kansen en bedreigingen die er ontstaan door IT-trends en door de digitale ontwikkelingen die plaatsvinden of zich aan het ontwikkelen zijn.
De Digi&IT cockpit bevat dus alle relevante gebieden waar een commissaris toezicht op zou moeten houden. Maar met het benoemen van de relevante gebieden zijn we er nog niet. Goed toezicht houden begint met het stellen van de juiste vragen aan directies en management. Door vragen te stellen, kan een commissaris zich een beeld vormen van een bepaald onderwerp.
Wat doe je met het antwoord?
Goed toezicht houden begint met het stellen van de juiste vraag. Maar veel commissarissen vinden dat lastig en zelfs spannend als het over digitalisering en IT gaat. Wat doe je dan met het antwoord? Als je de juiste vraag stelt, dan wordt het duiden van het antwoord vele malen makkelijker. En als je echt geen idee hebt, dan kun je altijd expertise inhuren.De inrichting van het toezicht op digitalisering en IT in de rvc
Met de Digi&IT cockpit zijn de onderwerpen bekend waar toezicht op moet worden gehouden. De volgende belangrijke vraag is op welke manier je het toezicht houden op deze onderwerpen inricht vanuit de raad van commissarissen.
Er zijn vijf manieren om het toezicht op digitalisering en IT in te richten. Ze zijn niet allemaal even effectief. Belangrijk is dat er duidelijk wordt gekozen voor een model dat past bij de organisatie- of bedrijfsuitdaging waar de strategie van de organisatie op is gericht en dat de rvc zich bewust is van de consequenties van deze keuze.
De meeste raden van commissarissen werken met een model waarin het onderwerp digitalisering en IT een generiek onderwerp is. Dat betekent dat als er over digitalisering en/of IT gesproken wordt, dit als algemeen onderwerp op de agenda komt en wordt besproken met alle commissarissen. Het voordeel van deze inrichting is dat iedereen betrokken wordt bij het onderwerp. Het probleem is echter dat verschillende onderzoeken hebben aangetoond dat de kennis over het onderwerp IT ondermaats belegd is bij raden van commissarissen. Dit betekent dat een gemiddelde voltallige rvc niet over voldoende kennis beschikt om dit onderwerp gezamenlijk te bespreken en er toezicht op te houden.
Onderdeel Audit Committee
Veel raden van commissarissen kiezen ervoor om het onderwerp juist onderdeel te laten zijn van de verantwoordelijkheid van de Audit Committee. Dit is in vele gevallen geen goede oplossing. Ook hier is de afwezigheid van kennis over het onderwerp het argument om niet voor deze optie te kiezen. Daarnaast heeft een Audit Committee vooral een insteek op risico’s, terwijl het onderwerp digitalisering en IT veel verder gaat dan alleen de risico-insteek. Als het onderwerp digitalisering op de agenda van de rvc staat, dan zou het ook moeten gaan over kansen en over de impact op de strategie van de onderneming. Dit soort onderwerpen komt in de regel niet of nauwelijks aan bod in een Audit Committee.
Een derde mogelijkheid is om op gepaste tijden externe expertise in te huren als er over een belangrijk onderwerp aangaande digitalisering of IT wordt gesproken of besloten. Op zich kan dit tot op bepaalde hoogte zeker helpen om goed toezicht te houden. Het onderwerp is echter zo breed en van dermate groot belang dat het in veel gevallen meer aandacht verdient dan een incidenteel agendaonderwerp. Ook loop je hier het risico dat je alleen de allergrootste onderwerpen bespreekt, terwijl er veel meer onderwerpen belangrijk genoeg zijn om op de agenda van de raad van commissarissen te zetten.
In toenemende mate zien we dat er in raden van commissarissen zogenoemde ‘digi-commissarissen’ verschijnen. Dat zijn commissarissen met veel kennis van en ervaring met het vakgebied digitalisering en IT. Dit is een manier van inrichten van het toezicht die effectief kan zijn. Het gevaar van deze optie is wel dat het onderwerp specifiek wordt opgepakt door deze digi-commissaris. Digitalisering en IT blijven relevante onderwerpen voor de hele rvc. Net zoals alle commissarissen basiskennis hebben van financiën, zouden zij ook allemaal basiskennis moeten hebben van digitalisering en IT.
Digital native vs digital immigrant?
Vaak wordt gesuggereerd dat een digi-commissaris vooral een jong persoon zou moeten zijn. Dat heeft te maken met de perceptie dat de wereld nog steeds uit digital natives en digital immigrants bestaat. Wetenschappelijk onderzoek laat zien dat dit niet het geval is. Het is niet zo dat over het algemeen ouderen niets van digitaal begrijpen én dat jongeren per definitie digitaal zijn. Sterker nog, de jongere generatie zou je eerder ‘digitaal Facebooker’ of ‘digitale TikTokker’ noemen dan digital native. De leeftijd van een commissaris is dus geen maatstaf voor dit onderwerp.Als laatste is er een aantal bedrijven dat het toezicht op digitalisering en IT zo belangrijk vindt dat het er een aparte IT Committee voor heeft ingericht. Dit is vooral van toepassing op bedrijven die zwaar gedreven worden door en afhankelijk zijn van informatietechnologie voor hun toekomst.
Bron: Digitalisering en IT voor commissarissen en toezichthouders
Door: Arnoud Klerkx
