Column: Selecte Visie
Paul Fouarge
‘Dicht de kloof tussen toezicht en IT’

Op 25 mei 2018 trad de General Data Protection Regulation (GDPR) in werking, de nieuwe Europese wet voor databescherming. Organisaties krijgen hierdoor een grotere verantwoordingsplicht bij het verwerken van persoonsgegevens. Wie niet aan de eisen voldoet, kan enorme boetes krijgen en onder grote maatschappelijke druk komen te staan. De nieuwe privacywetgeving is slechts een van veel digitale ontwikkelingen met een potentieel groot risico voor organisaties – naast bijvoorbeeld cybercrime, datafraude en het belang van het borgen van datakwaliteit. De versnelde digitalisering kan grote kansen, maar ook enorme strategische risico’s meebrengen. We hebben gerenommeerde bedrijven die te laat of niet hierop inspeelden zien verdwijnen en nieuwe bedrijven daarvoor in de plaats zien komen. De voorbeelden hiervan zijn inmiddels alom bekend: Uber, Airbnb, booking.com, Spotify, de impact van online winkelen op de retailers en recent Facebook. Of neem global players als Google en Amazon die bankdiensten willen gaan aanbieden en daarmee bestaande banken in het defensief drukken. Bestuurders en toezichthouders weten inmiddels wel globaal welke onderwerpen er spelen en wat de impact ervan kan zijn, maar dat is niet genoeg. Ik merk regelmatig dat IT nog te weinig prominent op de agenda staat. Het gaat vaak te veel over de traditionele aandachtsterreinen, waarbij IT wordt gezien als ondersteuning van het primaire proces en als kostenpost, terwijl het een steeds grotere impact heeft op de (financiële) stabiliteit en het succes van de organisatie en een belangrijk onderdeel is of zou moeten zijn van de strategie en continuïteit.

Boardroom ready

Als bestuur en toezichthouders niet de juiste dialoog met elkaar voeren over IT en digitalisering, dan kan dat vertragend of zelfs verlammend werken op de besluitvorming. Helaas moet ik nog te vaak constateren dat de IT-discipline in toezichthoudende gremia niet goed is vertegenwoordigd en geborgd en dat het onderwerp voor veel toezichthouders een nieuw of nog relatief onbekend terrein is. Men heeft te weinig overzicht, kan onvoldoende inschatten welke ontwikkelingen echt belangrijk zijn. In de boardroom zie ik gelukkig wel steeds vaker de Chief Information Officer of een Chief Digital Officer. Dat is een goede ontwikkeling, mits die CIO of CDO z’n rol goed vervult. Je moet naast je eigen vakgebied ook financieel goed onderlegd zijn en de taal van toezichthouders spreken. Alleen dan kun je plannen en wensen voor de vaak forse IT-investeringen vertalen naar waardecreatie voor de organisatie en voor de stakeholders.

Het vinden van bestuurders en toezichthouders met de juiste kennis en achtergrond is al enkele jaren een uitdaging en wordt alleen maar lastiger. Ik constateer dat veel IT-managers die een bestuurs- of toezichthoudende functie ambiëren niet boardroom ready zijn. Ze redeneren veelal te eenzijdig vanuit de IT-scope en te weinig vanuit de bedrijfsstrategie. Ze verzanden vaak in jargon, afkortingen en techniek, zodat mensen met een andere achtergrond al gauw de draad kwijtraken. Het is dan ook steeds belangrijker dat IT-managers extra aandacht besteden aan het boardroom ready worden. Tegelijk zullen toezichthouders meer hun digitale kennis en in inzicht moeten verdiepen. De eerste groep moet leren hoe toezichthouders denken en waar ze op sturen, zodat ze beter bruggen kunnen bouwen tussen hun eigen discipline, de bedrijfsstrategie en de belangen van de stakeholders. Voor hen is het de uitdaging om de noodzaak van IT-investeringen overtuigend en met visie over de Bühne te brengen.

Bestuurders en toezichthouders dienen een beter begrip te krijgen van de mogelijk disruptieve uitwerking van IT en digitalisering op de concurrentiepositie, strategie en verdienmodellen van bedrijven. Zij zullen meer aandacht moeten gaan besteden aan het strategisch toetsen op de houdbaarheid van het huidige verdienmodel en de mogelijkheden voor nieuwe, technologie gedreven winststrategieën. Wat is relevant en wat is hype? Welke kritische vragen kun je stellen om te controleren of het bestuur adequaat anticipeert op alle digitale ontwikkelingen en waar nodig de risico’s pareert. Besteedt de organisatie bijvoorbeeld voldoende aandacht en budget aan innovatie? Hoe is bij IT-investeringen de verhouding tussen instandhoudingskosten en vernieuwingskosten? Als te lang te weinig naar IT-innovatie gaat, is dat potentieel een groot bedrijfsrisico en dus een belangrijke indicatie om scherp door te vragen. Als werkgever tenslotte moeten toezichthouders onderzoeken welke houding een bestuur ten opzichte van IT heeft, hoe actief men daarin verantwoordelijkheid neemt en wat dat moet betekenen voor de teamsamenstelling en voor het profiel en de competenties bij benoemingen.

Digital ready

Om organisaties digital ready te krijgen, moeten toezichthouders samen met besturen nadenken over hoe het IT-toezicht het beste kan worden georganiseerd en geborgd. Wat is een passende rapportagelijn? Hoe kan de raad van commissarissen goed worden geïnformeerd? Waar beleg je op governance- en managementniveau thema’s als cybersecurity of privacy? Wat is de beste positionering van de CIO of CDO? Wie is het aanspreekpunt voor de commissaris over IT? Is er genoeg oog voor signalen van buiten? Hoeveel kennis en competentie is al aanwezig binnen de organisatie, het bestuur en de raad van commissarissen? Is dat genoeg of moet er wellicht een IT-commissaris, een audit-commissie of zelfs – bij een offensieve strategie met hoge investeringen – een IT Oversight Commitee met vergaande beslissingsbevoegdheid worden geïnstalleerd?

IT en de digitalisering van onze samenleving bepalen steeds meer het succes van organisaties, zowel in de private als publieke sector. Een ferme handshake tussen IT-discipline, bestuurders en toezichthouders is dus noodzakelijk, zeker als je als organisatie niet alleen defensief wilt reageren op de digitale transformatie maar juist offensief je voordeel wilt doen met alle kansen en mogelijkheden die dit ook biedt.

Drs. Ing. Paul Fouarge is sinds mei 2018 mededirecteur bij Diemen & Van Gestel. Hij heeft bijna 35 jaar ervaring als consultant, managementcoach, interim-manager, bestuurder en ondernemer. Hij heeft lange ervaring als bemiddelaar naar vaste en interim-posities op het niveau van toezicht, directie, senior-management en senior-specialisten binnen onder andere de financiële dienstverlening, de zorgsector en de overheid. Van 1985 tot 2000 werkte hij bij KPMG als senior-manager. Daarna bekleedde hij diverse interim directiefuncties. Van 2003 tot 2018 was hij directeur van C2Results en hij is founder en huidig ambassadeur van de IT Circles Nederland. Daarnaast is hij oprichter van de Okura businessclub voor commissarissen en toezichthouders. Hij heeft een groot netwerk in zowel profit als non-profit, met een sterke focus op IT en digitalisering.