7
Digitalisering op de agenda van de RvC: hoe?
Digitalisering raakt de strategie van de corporatie en is daarmee bij uitstek een onderwerp voor de bestuurskamer. Goed toezicht begint, zoals altijd, met vragen stellen. Een Digi-Dashboard is hierbij een handig hulpmiddel.
Toezicht houden op digitalisering en IT is voor toezichthouders vaak nog relatief onbekend terrein. Maar het raakt wel de essentie van alle gebieden waar zij toezicht op dienen te houden: de strategie van de corporatie, de continuïteit van het bedrijf en de investeringen.
Een belangrijke eerste stap is: zet het onderwerp digitalisering en informatietechnologie op de agenda. Begin met het stellen van vragen. Veel toezichthouders maken zich zorgen of ze de antwoorden wel kunnen duiden. Maar alleen al de reactie (ook non-verbaal) van de bestuurder geeft al veel informatie. En u hoeft als RvC het antwoord zelf niet te geven.
Het is bovendien goed om over de inrichting van het toezicht op digitalisering en IT duidelijke afspraken in de RvC te maken, bijvoorbeeld tijdens de jaarlijkse zelfevaluatie.
Let wel! De ontwikkelingen gaan razendsnel, de toepassingen op het gebied van digitalisering zijn legio. Maar laat u als RvC niet meeslepen met alle trends in IT en digitalisering. Hou het klein: wees voorbereid en alert.
Het Digi-Dashboard
Hoe krijgen toezichthouders inzicht in de gevolgen van de digitalisering en informatietechnologie, voor de corporatie én de huurder? En hoe kunnen zij het thema in samenhang bekijken?
Een Digi-Dashboard is een goed instrument om het complexe thema in de bestuurskamer in vijf elementen op te splitsen: de IT-operatie, IT-risicomanagement, de digitale en IT-strategie, de projecten en – tot slot - kansen en disruptie.
Het Digi-Dashboard is een startpunt voor de dialoog in de RvC over het onderwerp digitalisering. Het is vooral een handreiking, een denkkader.
Bron: Digi-Dashboard voor de commissaris, Digital Governance Advisory
De basis op orde
In de onderste helft van het schema zien we de twee onderdelen die elke corporatie goed geregeld moet hebben: de basis moet op orde zijn.
‘Run the business’
Als toezichthouder is het van belang om te weten welk budget de corporatie besteedt aan IT/digitalisering en hoe dit is onderverdeeld. Welk percentage van dit budget besteedt de corporatie bijvoorbeeld aan meerjarige overeenkomsten met software-leveranciers of aan onderhoudsovereenkomsten? En wat blijft er van het budget over om - in lijn met de strategische doelstellingen van de corporatie - te werken aan de digitale transformatie? De verhouding ligt vaak op 80%/20% of zelfs 90%/10%. Als toezichthouder is het zinvol om een toelichting te vragen: is het wenselijk om meer ruimte geven aan nieuwe ontwikkelingen?
Een andere belangrijke vraag is: hoe houdt het bestuur grip op de uitgaven voor IT/digitalisering? Immers: elke nieuwe investering leidt vervolgens weer tot jaarlijkse onderhoudskosten van IT/digitale technologieën. Met KPI’s over bijvoorbeeld de kostenontwikkeling en projectbestedingen houdt het bestuur én de toezichthouder de vinger aan de pols. Ook een jaarlijkse benchmark-studie kan corporaties helpen om onderlinge kosten voor IT-digitalisering me elkaar te vergelijken.
Risico-management
Hoe houdt de corporatie grip op de mogelijke risico’s die uit IT/digitalisering voortkomen? De corporatie kan deze risico’s met behulp van verschillende instrumenten, zoals COSO Enterprise Risk Management of het Control OBjectives for IT model (COBIT) in kaart brengen. Voer als RvC de dialoog met het bestuur over de mogelijke risico’s en welke maatregelen nodig zijn om deze (zoveel mogelijk) te voorkomen en welk budget hiervoor beschikbaar wordt gesteld. Door de vraag te stellen wat er nodig is om de continuïteit van de corporatie te waarborgen, komen informatiebeveiliging en cybersecurity vanzelf aan bod.
Een EDP-audit door de accountant (in het kader van de jaarrekening) kan ook een startpunt zijn voor een goed gesprek over risico’s vanuit IT/digitalisering in de bestuurskamer. Door de toenemende automatisering en het geautomatiseerd verwerken van bijvoorbeeld persoonsgegevens van huurders wordt het steeds belangrijker om hier goed aandacht aan te besteden: overzicht van de verwerking van data en de betrouwbaarheid van die data wordt steeds belangrijker.
Corporaties kunnen de resultaten van de verschillende audits die specifiek over IT/digitalisering gaan, zoals bijv. ISO 900x en ISO27001, toepassen om het risico management te verbeteren. Ook de uitkomsten van deze audits kunnen een basis zijn voor de dialoog met het bestuur.
Besturing van de vernieuwing
De bovenste helft van het Digi-Dashboard gaat in op de besturing van de vernieuwing. Aan welke knoppen moet de corporatie draaien om digitale technologieën effectief in te zetten voor de strategie voor de corporatie?
‘Change the business’
Wat is er nodig om de aanpassingen in IT/digitalisering, op basis van de strategie van de corporatie, door te voeren? Welke projecten voert de organisatie uit: is het bestuur ‘in control’ ? Welke risico’s zijn in het projectenportfolio bekend? Aanpassing vraagt niet alleen om toepassing van nieuwe technologieën. Zijn er voldoende middelen en mensen beschikbaar om die benodigde aanpassingen goed uit te voeren? Beschikken de medewerkers over de juiste vaardigheden (niet alleen die betrekking hebben op de technologieën, maar ook om deze in de organisatie in te passen)? Is de cultuur van de organisatie in staat om met deze veranderingen om te gaan? Ook aandacht voor de architectuur van de IT/digitalisering is relevant: dat geeft goed zicht op de te volgen stappen (roadmap) en de bijbehorende kosten.
Belangrijk is om deze onderwerpen in samenhang te bekijken (zoals we eerder bespraken in Hoofdstuk 6 In samenhang vernieuwen). Ga na als RvC of dit inderdaad gebeurt.
Toegevoegde waarde
Wat is de strategie voor IT/digitalisering van de corporatie? Wat betekent digitalisering voor de corporatie? Met andere woorden: welke strategie voert de corporatie, en hoe kan digitalisering hieraan bijdragen? Welke nieuwe digitale diensten kunnen helpen om de maatschappelijke doelstellingen van de corporatie te realiseren en de (toekomstige) huurder beter van dienst te zijn? Digitalisering, innovatie en IT moeten onderdeel zijn van de strategie van de corporatie. Het is goed om de programma’s en projecten (op het gebied van digitalisering, innovatie en IT) die nodig zijn om de geformuleerde doelen te halen goed in beeld te hebben.
De corporatie kan die doelstellingen overigens alleen halen, als de organisatie de drie dimensies van het Digi-dashboard (Run the business, riscio-management en Change the business) goed op orde heeft.
Naar de toekomst
Kansen en disruptie
Digitale disruptie gaat een stap verder dan digitale transformatie. Wat zijn de mogelijkheden om met nieuwe technologieën het bedrijfsmodel van de corporatie fundamenteel te veranderen? Technologie is geen doel op zich, maar een middel om de organisatie te laten excelleren. Ga als RvC het gesprek aan over de relevantie van nieuwe technologieën, de visie van het bestuur hierop en de kansen die zich voordoen, ook in de toekomst.
Organisatie van toezicht op digitalisering in de RvC: vijf varianten
Toezicht op digitalisering kan binnen de RvC op verschillende manieren vorm krijgen. Vijf varianten zijn beschreven in het Corporate Governance Jaarboek 2016. Hieronder lichten we ze kort toe.
- Digitalisering is een collectieve verantwoordelijkheid. Volgens de Governancecode is en blijft een Raad van Commissarissen collectief verantwoordelijk voor de kwaliteit en inhoud van het toezicht. Digitalisering gaat elke commissaris aan.
- De RvC bespreekt digitalisering in de auditcommissie. In de auditcommissie gaat het vooral over financiën en risicomanagement. Dat is een belangrijke invalshoek om digitalisering te bespreken. Het gevaar bestaat wel dat de kansen die digitalisering bieden onderbelicht blijven.
- De RvC schakelt een extern adviseur in. In deze variant laat de RvC zich bijstaan door een extern adviseur op het gebied van digitalisering. De RvC-leden beschikken dan niet zelf over voldoende kennis, maar die halen ze – wanneer nodig – in huis.
- De RvC stelt een digi-commissaris aan. De RvC (omvang meestal 5 of meer) stelt een profiel op voor een digi-commissaris. Hij of zij is expert in digitalisering en heeft veel werkervaring op dit terrein. Deze variant verbetert de dialoog in de RvC en met het bestuur.
- De RvC bespreekt digitalisering in een innovatiecommissie. Een innovatiecommissie, biedt net als in de auditcommissie het geval is, meer tijd voor een diepgaander gesprek over digitalisering. Verslaglegging en terugkoppeling aan de andere RvC-leden is van belang: alle leden moeten goed op de hoogte blijven van de belangrijkste ontwikkelingen. Deze variant kost wel extra tijd.
Vragen voor de toezichthouder:
‘Run the business’.
- Hoeveel geld geven wij uit aan digitalisering en IT en geven wij dat doelmatig uit? Wat is de verhouding tussen exploitatie en vernieuwing?
- Hoe verhoudt zich dat tot wat andere corporaties uitgeven aan digitalisering?
Risico-management
- Hoe is het risico-management in relatie tot digitalisering ingericht? Wordt er gebruik gemaakt van standaarden/instrumenten (zoals hierboven genoemd)?
- Wat is de visie van het bestuur op de continuïteit, als er problemen ontstaan in de IT/digitalisering van de corporatie?
‘Change the business’
- Wat zijn onze grote digitale en IT-projecten en -investeringen voor de komende jaren? Hoe ondersteunen deze de ondernemingsvisie en dragen bij aan de doelstellingen?
Toegevoegde waarde
- Wat is de toegevoegde waarde van digitalisering voor de corporatie? Waar liggen kansen op het gebied van digitalisering en hoe krijgen deze prioriteit?
- Op welke manier volgt het bestuur de technologische ontwikkelingen en worden afwegingen gemaakt over het al dan niet inzetten van nieuwe technologie?
- Op welke manier worden de (toekomstige) huurders betrokken bij de digitalisering van de corporatie?
Organisatie van toezicht
- Welke variant hanteert de RvC in het toezicht op digitalisering? Werkt deze variant goed? Is er verbetering mogelijk?