Het Nationaal Register trekt aan de bel: de commissaris heeft te weinig in huis om het hoofd te kunnen bieden aan de uitdagingen van de digitale transformatie. Bestuurders achten hun toezichthouders eigenlijk volstrekt ongeschikt. Disclaimer: de verwijten gaan beide kanten op. Ernstiger is dat het probleem al jaren bestaat.
De digitale transformatie is inmiddels een behoorlijk sleets begrip. Toch zagen het Nationaal Register en Nederland ICT er nog heil in om (samen met VNO-NCW) te onderzoeken “hoe men aankijkt tegen, dan wel omgaat met, actuele vraagstukken ten aanzien van digitalisering”.
Volgens het onderzoek ‘Nulmeting digitale transformatie in boardrooms in Nederland’ denkt slechts een kwart van de commissarissen in Nederland dat hun kennis over digitalisering en de digitale transformatie afdoende is. Eén procent van de directeuren denkt dat hun commissarissen ook werkelijk capabel genoeg zijn om over de digitale transformatie te oordelen. Niet onbelangrijk: van de 173 respondenten was 76% ouder dan vijftig jaar en 72% man; ruwweg 2/3 deel is werkzaam in een RvC/RvT, de rest in een RvB- of directiefunctie.
“Niet van strategisch belang”
Die conclusies werden door Nationaal Register ‘pijnlijk’ genoemd. Ze werden als volgt door onderzoeker Valerie Frissen samengevat: “Commissarissen zien digitalisering toch vooral als iets operationeels en niet als iets dat grote impact heeft op hun organisatie en dus van strategisch belang is.” Volgens Frissen wordt het strategische belang van digitalisering – digitalisering doorvertalen naar de transformatie van je bedrijf – onderschat. Er is veel te weinig aandacht voor de kansen die digitalisering biedt, voor nieuwe verdienmodellen en nieuwe manieren van (bijvoorbeeld datagedreven) werken. Frissen vreest dat de gemiddelde commissaris weinig kaas heeft gegeten van blockchain, AI en algoritmes. Veel commissarissen blijven naar haar mening steken aan de oppervlakte – met als risico dat je blijft hangen bij wat je in de media kunt lezen over technologietrends.
Onderzoeksrapporten
Hoewel het prima is om vinger aan de pols te houden over de mate waarin commissarissen ‘current’ zijn, wekt het Nationaal Register met de vermelding ‘nulmeting’ dat er weinig bekend zou zijn over de het competentieniveau van de boardroom als het gaat om ‘digitaal’. Maar niets is minder waar. Er is de afgelopen jaren – juist door de hype rondom digitale transformatie, disruptie en exponentiële ontwikkelingen – veel onderzoek gedaan. Daarbij is vooral gevraagd aan zowel toezichthouders als bestuurders hoe zij de competenties van elkaar inschatten. Het beeld wat daaruit naar voren komt, is niet positief.
Een bloemlezing uit het jaar 2015, het jaar waarin ik voor Management Scope dit soort onderzoek volgde. Een deel van dat onderzoek is uitgevoerd in 2014. Met andere woorden, onderstaande bloemlezing geeft een beeld van de stand van zaken vijf jaar geleden.
In onderzoek van KPMG onder 50 commissarissen en 8 directieleden van 30 grote banken en verzekeraars in Nederland kwam naar voren dat 90 procent van hen de IT-kennis van de gemiddelde commissaris in de financiële sector als onvoldoende beschouwt. Het onderwerp IT komt te weinig aan bod tijdens RvC-vergaderingen en er wordt onvoldoende inhoudelijke diepgang gerealiseerd zodat het accent op continuïteit in plaats van strategie ligt. 60 procent heeft geen goed inzicht in de IT-kosten. KPMG pleit ervoor dat bestuursleden en raden van commissarissen veel meer verantwoordelijkheid nemen als het gaat om het beschermen van alle strategische informatie waarover zij beschikken. Volgens KPMG beschikken commissarissen bij Nederlandse financiële instellingen over onvoldoende kennis van informatietechnologie. Hierdoor kunnen ze hun toezichthoudende rol niet goed waarmaken.
Risico’s en maatregelen niet afgestemd
KPMG voerde ook onderzoek uit naar de mate waarin Nederlandse bedrijven maatregelen nemen om hun strategische bedrijfsinformatie te beveiligen. Bestuurders zijn zich terdege bewust van de waarde van informatie over productieprocessen, nieuwe technologieën en intellectuele eigendommen voor de continuïteit en het succes van de onderneming. Maar liefst driekwart van de ondervraagde ondernemingen geeft echter aan dat maatregelen voor veilig informatiebeheer volledig uit de pas lopen met de risico’s. Van de grote bedrijven geeft slechts 6 procent aan dat de genomen maatregelen volstaan. Weet de commissaris dit ook?
Dan als laatste in het KPMG-rijtje de Global CEO Outlook 2015 van KPMG, een internationaal onderzoek onder 1.300 CEO’s. Daaruit blijkt dat de helft van de CEO’s vaststelt dat ze niet of onvoldoende zijn voorbereid op een cyber-attack. Slechts een kwart van de bedrijven heeft in het bestuur iemand aangewezen met cyber security in zijn portefeuille of gekozen voor de oprichting van een speciaal cybersecurity team. Een op de vijf CEO’s geeft cyber security een plek in de top vijf risico’s. DDoS-aanvallen en hacks zijn dagelijks aan de orde, maar bestuursvoorzitters van grote ondernemingen maken zich weinig zorgen over de mogelijke risico’s van internetcriminaliteit. Traditionele risico’s zoals operationele risico’s in de bedrijfsvoering en risico’s rondom wet- en regelgeving staan hoger in rangorde, aldus KPMG.
Gebrek aan digitale ervaring
Uit het Corporate Governance-onderzoek van Grant Thornton uit 2015 (onder meer dan 1.800 bedrijven wereldwijd) blijkt dat ondernemingen die de samenstelling van hun bestuur niet aanpassen, wellicht vastlopen in hun digitale transformatie. In de gesprekken die Grant Thornton voerde, kwam één duidelijk zorgpunt naar voren: gebrek aan ervaring met technologie bij de huidige directies. Ondertussen nam het aantal CDO’s wereldwijd toe van 1.000 (2014) naar 2.000 (2015). Die stijging komt voor een groot deel voor rekening van de VS. In Europa heeft 23 procent van de bedrijven een CDO aan boord, aldus een inventarisatie van CDO Club.
In het najaar van 2015 deed headhunter The Executive Network (TEN) onderzoek onder boardroomleden. Gemiddeld vier van de vijf topbestuurders en toezichthouders stellen dat innovatie het nummer 1 thema in de boardroom zou moeten zijn voor 2016. Ook digitalisering scoort hoog, hoewel meer toezichthouders (72 procent) dan topbestuurders (51 procent) hier een prioriteit van maken. 72 procent van de toezichthouders vindt dat er gemiddeld onvoldoende kennis van ICT en/of technologie aanwezig is in de Raad van Bestuur. Omgekeerd vindt 71 procent van de topbestuurders dat er binnen Raden van Toezicht ook een kennistekort is op dit vlak. Om goed toezicht te kunnen houden zijn soft skills zoals sociale vaardigheden en een brede belangstelling cruciaal. Toezichthouders hebben echter meer vertrouwen in de hard skills (financieel inzicht en vakkennis) dan in de soft skills van topbestuurders. Behalve dus als het gaat om technologie.
IT is een hoofdpijndossier
In de Brocade Global CIO Survey 2015 werden 200 CIO’s uit 6 landen ondervraagd. 75 procent van de CIO’s stelt dat de IT-infrastructuur problemen geeft bij het realiseren van de bedrijfsdoelstellingen, voor bijna een kwart is dit een ‘significant’ probleem. Meer dan de helft van de CIO’s besteedt meer dan vijftig procent van de tijd aan reageren op situaties waarbij downtime en beschikbaarheid van het netwerk voorop staan. De vraag is of de rest van de boardroom deze inzichten ook heeft en hoe toezichthouders hierop sturen.
Onderzoek van de Amerikaanse aandelenbeurs NYSE onder 200 bestuurders laat zien dat 35 procent van hen ‘cybersecurity’ in elke boardmeeting bespreekt. Bijna 80 procent geeft te kennen dat het in de meeste meetings wel een keer aan de orde komt. In 20 procent van de gevallen is die aandacht reactief, na een cyberaanval. Bij een cyberaanval is 40 procent van de boardroomleden primair bang voor imagoschade. Er is ook een lijstje van ‘schuldigen’: als het mis gaat, wordt als eerste de ceo verantwoordelijk gehouden; daarna de cio. Het executive team komt pas op de derde plaats. Bij het introduceren van nieuwe technologie staat echter omzetvergroting op de eerste plaats. Cybersecurity volgt op de vierde plaats – na ‘competitief voordeel’ en ‘ontwikkelkosten’.
Eind 2015 deed de Nederlandse Vereniging van Commissarissen en Directeuren onderzoek onder 250 commissarissen en toezichthouders naar het kennisniveau van de commissaris. Uitkomst: over het algemeen vindt de commissaris dat hij/zij zelf genoeg weet van de nieuwe ontwikkelingen, maar dat dat veel minder het geval is bij collega’s. 56 procent vindt dat ze genoeg weten, tegenover 8 procent van de collega’s.
Old boys network: talent of faalfactor?
Tot zo ver de impressies uit de bestuurskamers. Dan nu de oorzaken. Hoewel vrouwen goed vertegenwoordigd zijn in toezichtland (zie de top100 corporate vrouwen), zijn de Nederlandse directieteams overwegend eenzijdig samengesteld uit autochtone oudere mannen.
(Gebrek aan) diversiteit is een probleem dat echter verder reikt dan geslacht of seksuele voorkeur. Het gaat ook om de aanwezigheid van ‘unusual suspects’ in een team. Vaak blijken er in de praktijk echter nadrukkelijke relaties te bestaan tussen bestuurders en toezichthouders. Social media adviesbureau Sonean deed onderzoek onder de vijftig grootste Europese beursgenoteerde bedrijven en legde alle mogelijke relaties tussen bestuurders en toezichthouders bloot. Van de 121 onderzochte commissarissen bleek er in 44 procent van de gevallen een onmiskenbare relatie te bestaan met de bestuurders van bedrijven waar ze toezicht hielden. Die relaties liepen uiteen van studieverleden, andere bedrijven, denktanks, verenigingen en liefdadigheidsinstellingen tot aan militaire dienstplicht. De commissaris is vaak een bekende, maar dat betekent niet dat het de juiste persoon op de juiste plek is.
“Wake up call” – nadat je je verslapen hebt
Ook Frissen komt met oplossingen. “In het meest gunstige geval weet nu één commissaris wel wat van dat digi-thema af. Maar iedereen in de board moet er wat van af weten,” vindt ze. Commissarissen zouden zich vaker moeten laten bijpraten en bijscholen. Kennis is nodig om de directie kritisch te kunnen ondervragen. Jammer is echter dat Frissen niet pleit voor verplichte bijscholing. Dat is in allerlei beroepsgroepen volstrekt normaal: piloten, artsen, accountants, advocaten.
Wat Frissen betreft zijn digitalisering en het zorgvuldig en verantwoordelijk omgaan met data ‘een nieuwe dimensie van het toezicht.’ Ze geeft als voorbeeld dat audit commissies mogelijk ook de taak krijgen om toe te zien op algoritme-audits.” Frissen vindt de Nulmeting – waarin dit soort nieuwe elementen van toezicht nog niet eens zijn meegenomen – echt een “wake up call”. Dat geeft te denken, want de inzichten bestonden al jaren. Blijkbaar is er tot nu toe niets mee gedaan en staat met name het toezicht stil. Dat is pas een wake up call.
Meer weten over het onderzoek? Kijk hier.