Sterker toezicht op IT & Innovatie noodzaak

Download artikel

Sterker toezicht op IT & Innovatie noodzaak

Inleiding
Commissarissen en toezichthouders worden geconfronteerd met vraagstukken van strategie en beleid die in toenemende mate verbonden raken met de rol van moderne technologie. Hoewel digitalisering en informatietechnologie van strategisch belang zijn, wordt het in veel bestuurskamers behandeld als een onderdeel van bedrijfsvoering, een operationeel of hooguit tactisch thema. Het thema is daarbij ook vaak lastig te begrijpen, met bovendien risico´s van kostenoverschrijdingen en veiligheid. Waarschijnlijk voor veel toezichthouders geen aantrekkelijk onderwerp om in de portefeuille te hebben.

Maar tijden veranderen, getuige ook dit citaat uit een rapport over de organisatie inrichting van woningcorporaties (Atrivé, jan. 2013)[i]:

´We zijn van mening dat corporaties qua inrichting en structuur naar elkaar toe zullen groeien. In de afgelopen 10 jaar, toen er nauwelijks financiële en politieke beperkingen werden gesteld aan woningcorporaties, maakte het eigenlijk niet zo heel veel uit welke organisatievorm er werd gekozen. Verkeerde keuzes werden niet afgestraft. De komende 10 jaar zal dat anders zijn. En omdat woningcorporaties voor 80% allemaal dezelfde werkzaamheden verrichten, denken we dat processen en organisatie-inrichting zullen convergeren richting één model, één best practice´.

Beter en meer gezamenlijk inzetten op digitalisering en informatievoorziening wordt dus ook voor de corporatiessector van belang. Diverse andere sectoren zijn voor gegaan, de corporatiesector zit bepaald niet in een kopgroep en kan leren van eerdere ervaringen. De Nederlandsche Bank neemt IT op in het intern toezichtprogramma, Nederlandse gemeenten voeren gezamenlijk een programma uit om ál hun dienstverlening te digitaliseren, onderwijsinstellingen zijn gezamenlijk bezig met ontwikkelingen als flip the classroom en massive open online courses (MOOC´s). In de zorg is de aandacht voor e-health sterk groeiend, in de jeugdzorg zien we radicale vernieuwingen als Jeugdcloud 3.0. Grote ondernemingen als Philips kunnen door IT hun producten in services verpakken die de toegevoegde waarde en marge vergroten.

We gaan in dit artikel kort in op een aantal opgaves rond IT & innovatie bij de corporatie én, gezien de aard van de opgaves, ook bij het intern toezicht. We geven vervolgens enkele inhoudelijke en procesmatige suggesties voor een benadering vanuit het toezicht.

Welke opgaves liggen er rond IT en innovatie.
Er zijn drie generieke opgaves rond IT & Innovatie die ook voor het interne toezicht relevant zijn:

In de 1.0 Het verantwoord beheren van de al bestaande installatie.
In de 2.0 Het goed beheersen van de vernieuwing van het bestaande.
In de 3.0 Het concurreren tegen nieuwe verdienmodellen.

Opgave in de 1.0: beheren van de al bestaande installatie.
Bij veel instellingen en bedrijven bestaat de ´computerinstallatie´ al 30 tot 40 jaar. In de systemen draaien historische gegevens en rekenformules van verzekeringen, beleggingen, fiscaliteit, pensioenen. Er bestaan in die oudere omgevingen meestal problemen die het beheer lastig en duur maken: er zijn meerdere versie van dezelfde programmatuur , systemen zijn slecht gedocumenteerd, er zijn een misfit tussen benodigde technische infrastructuur en functionele eisen die nieuwe softwarereleases stellen enzovoorts. Veel ouder personeel is met pensioen, veel kennis is verdwenen, het huidige personeel is vaak getrouwd met het bestaande systeem, wat defensief en niet op de business gericht, veelal wat behoudend.

Banken, verzekeraars, gemeenten als Amsterdam en Rotterdam en ook de Nederlandse politie kampen met deze situatie. Het ICT-vernieuwingsprogramma van de Politie werd een half jaar na de start in 2012 op onderdelen stilgelegd en uitgesteld. Het zogeheten ´Aanvalsprogramma´ bleek te complex, eerst moest de bestaande ICT "gestabiliseerd" worden. Ander voorbeeld is dat bij een recente uitdraai uit de systemen van zorgverzekeraars bleek dat zo´n 15% van hun huidige verzekerden geboren zou zijn vóór 1900. Door fusies en overnames ontstaat vaak een onoverzichtelijk landschap van informatie en informatiesystemen die de nieuwe organisaties nog lang kan blijven hinderen.

Transitieprogramma´s naar nieuwere omgevingen zijn mogelijk maar kosten veel geld, duren lang en omvatten technische, financiële, personele, culturele en ambachtelijke aspecten. Maar het moet, bijna alle moderne organisaties zijn afhankelijk van IT voor hun kernprocessen. Topmanagers die IT verwaarlozen spelen een gevaarlijk spel. Werken met verouderde en complexe systemen, waarbinnen men constant bezig moet zijn met upgrades, patches en andere reparaties en waar soms de leverancier geen onderhoud meer aan wil doen, is vragen om problemen. Het intern toezicht kan een rol pakken door het beschermen van een transitieprogramma tegen financiële, personele of andersoortige tegenwind vanuit de organisatie.

Opgave in de 2.0: verbeteren en vernieuwen
De talrijke mislukte IT nieuwbouwprojecten bij de overheid hebben tot een parlementair onderzoek geleid. Het gaat om het verlies van miljarden euro’s door overschrijdingen en compleet falen. Het SPEER project van Defensie zou aanvankelijk enkele tientalen miljoenen kosten maar kost tot 2013 al 900 miljoen. De problemen bij de Belastingdienst hebben honderden miljoenen gekost. De geflopte invoering van het Elektronisch Patiënten Dossier (EPD) kost minstens driehonderd miljoen euro. Een systeem voor gevangenissen, Cajis, kostte twaalf miljoen euro en kwam er nooit. De kosten voor het systeem SP Direct voor het plannen van bewakers in gevangenissen vielen twintig keer hoger uit. De Algemene Rekenkamer kwam al eerder tot de conclusie dat er te grote risico’s werden genomen, het overzicht zoek was en dat er een ongelooflijk optimisme over de projecten heerste.

Schrale troost is dat dit niet alleen in Nederland het geval is maar ook wereldwijd. En ook in het bedrijfsleven zijn er projecten die een bodemloze put blijken. Het CHAOS instituut[ii] (2013) stelt dat van de grotere projecten maar 10% ronduit slaagt, de rest faalt geheel of gedeeltelijk. En de leercurve van opdrachtgevers en IT dienstverleners stijgt helaas maar heel licht.

Veilig nieuw bouwen zal in sommige opzichten ook niet gemakkelijker worden. De samenleving is zich aan het horizontaliseren. Bij de zorg op gemeentelijk niveau moeten verzekeraars, instanties, overheden en corporaties kunnen samenwerken in ketens. Betrouwbaar informatiemanagement en waterdicht case management zijn daarbij the name of the game. De technologie die daarbij hoort vatten we met de term ´internet´ maar het gaat om riskante en complexe technologieën voor identificatie, privacy en beveiliging. Lastig te hanteren in maatschappelijk zeer gevoelige processen, getuige het DigID debacle. In Eindhoven heeft een corporatie onlangs een hack gehad waarna alle bewoners per brief en via de pers moesten worden gewaarschuwd voor fraude.

Opgave in 3.0: ontwikkelen nieuwe ´verdienmodellen´
Het zijn tijden waarin het voor veel organisaties de vraag is hoe zij ´relevant´ kunnen blijven voor hun klant. De huisarts ondervindt sinds kort concurrentie van Constamed, een voor patiënten gratis platform waar een netwerk van aangesloten huisartsen antwoorden geven op vragen van patiënten. Banken krijgen in het betalingsverkeer concurrentie van Google , Apple en Bitcoin. Inkoopcombinaties en energie coöperaties ontstaan buiten de energiebedrijven, lokaal of op initiatief van de Consumentenbond, de ANWB, de Vereniging Eigen Huis. De vraag voor de oude sectororganisatie wordt hoe men in het eigen klantcontact nog zijn waarde kan bewijzen en de klant kan behouden.

Technologie drijft deze veranderingen. In vrijwel alle maatschappelijke sectoren is dat zichtbaar, van onderwijs tot zorg tot mobiliteit. Onlangs is de in Jakarta wonende student Sigit Angdrew bijna volledig via Skype afgestudeerd als watermanager. Hij moest slechts één keer, en volgens hemzelf ook nog onnodig, voor een practicum naar Delft.

De backoffice van banken wordt verdrongen door 24 uurs uitstekend werkende selfservice, u kunt zelf via uw smartphone bovenaan de zwarte piste een verzekering nemen en die onderaan weer opzeggen. Mensen met dementie, hartfalen of diabetes kunnen langer regie over hun leven houden door zelfmonitoring, smart homes en patroonherkenning. Intramurale zorg wordt verdrongen door het hospital at home. Bibliotheken zijn inmiddels grandcafés geworden, de werkplek van de toekomst is een Starbucks met gratis 4G internet. Gemeenten gaan dienstverlening via internet doen en sluiten dus gemeentehuizen. De Ubertaxi verdringt de Taxicentrale, de gemeente Amsterdam én de lokale hoteliers hebben zich neergelegd bij het enorme succes van AirB&B ´omdat het onafwendbaar is´. En wat gebeurt er bijvoorbeeld met de miljoen Europese vrachtwagenchauffeurs als over 10 jaar het goederenvervoer met self driving trucks wordt uitgevoerd.

Hoe blijft in deze ontwikkeling de woningcorporatie relevant en preferred partner voor de huurder, de wijk, de zorginstellingen, de gemeenten, de politiek. Als u niet beweegt, kunt u zomaar worden verrast door een derde die tegen lagere kosten minstens hetzelfde als u doet maar dat waarschijnlijk beter, makkelijker en goedkoper doet.

IJkpunten voor de interne toezichthouder
Een citaat van Ben Verwaayen van oktober 2013 tijdens een conferentie voor interne toezichthouders: ´Als we als bedrijfsleven in Nederland geld willen blijven verdienen, moeten we ons afvragen wat de impact van de digitale wereld zal zijn. En dat geldt ook als u een gesubsidieerde organisatie leidt´.

In de corporatiesector hangt veel fruit in de IT boom nog laag en is makkelijk te pakken voor het interne toezicht. We noemen een aantal inhoudelijke ijkpunten maar ook een aantal die betrekking hebben op aansturing van IT en innovatie.

IJkpunten op inhoud
´IT technische´ ijkpunten zijn:

• Werk als sector samen vanuit dezelfde ´architectuur´, dat maakt het uiteindelijk goedkoper om te vernieuwen doordat u beproefde techniek kunt inzetten met een lagere faalkans. Recent heeft de gemeente Midden Drenthe al haar dienstverleningsprocessen turn key en gratis overgedragen aan de collega gemeente De Waard.
• Werk met open standaards en blijf daarmee een makkelijk ´in te pluggen´ partner voor bijvoorbeeld het zorg- en veiligheidsdomein. Voorkom dat u door uw eigen automatisering op een eiland eindigt.
• Door te werken onder architectuur worden benchmarks én normeren mogelijk . En daar zit de sector nog ver van af getuige het citaat uit het Atrivé rapport 2013: ´Een ding moet ons van het hart. Het is nauwelijks of niet mogelijk woningcorporaties op basis van cijfers en kengetallen te vergelijken. Er zijn wel degelijk ‘best practices’ in processen te onderscheiden, het is niet aantoonbaar omdat er geen eenduidige procesindicatoren binnen de sector worden gehanteerd. Ook worden kosten vaak op verschillende manieren geboekt zodat vergelijkingen alleen bij benadering mogelijk zijn. Dat maakt tegelijk duidelijk dat er nog veel verbeterd kan worden in deze sector´.
• Standaardiseer de routinedienstverleningsprocessen en fundeer daar servicecentra op die u ook met andere corporaties kunt opzetten. Samenwerken wordt zo een vorm van slim uitbesteden, ook als een goede voorloper van fuseren. Dit kan een formatiereductie bij klant- en verhuurprocessen opleveren van 30%.
• Kies radicaal voor de internet als kanaal en investeer in zelfbediening van bewoners, opdrachtnemers en anderen. Zelfbediening goed organiseren leidt ook tot een klein en dus goedkoop klantcontactcentrum.
• Kijk wat u kunt uitbesteden aan derden en wat u in de cloud kunt brengen, zeker het routinebeheer van het computernetwerk. Veiligheid is in de cloud vaak beter gewaarborgd dan on premisse systemen kunnen garanderen.
• Trek zwaardere informatiemanagers aan die direct gekoppeld kunnen worden aan de strategische vragen. De tijd dat alle medewerkers automatisering nog vooral handig moeten zijn met de schroevendraaier en het bug fixen van uw laptop ligt achter ons.

IJkpunten op beleid en sturing
McKinsey[iii] heeft in 2013 een aantal do or die vragen geformuleerd die het interne toezicht kan stellen over de manier waarop het bestuur omgaat met de technologische push van dit moment. Ook voor de toezichthouder bij een woningcorporatie kunnen die relevant zijn:

• Hoe gaat IT onze business veranderen, waar kunnen we zelf nieuwe diensten maken voor nieuwe markten. Maar omgekeerd, waar komt nieuwe competitie vandaan en hoe kan die ons raken?
• Zetten we IT goed genoeg in om onze huidige prestaties te vergroten in efficiency en wendbaarheid?
• Hoe is ons bestuur op dit punt aan het werk, hebben we een app of hebben we een strategie?
• Hoe kunnen wij onze huurders bedienen op een manier die past bij de norm rond digitale dienstverlening die thans ontstaat?
• Is onze IT organisatie in staat ons de toekomst te brengen, waar zijn zij sterk en waar zwak en wat betekent dat? Wat betekent het als een van onze missie kritische IT leveranciers failliet zou gaan?
• Hoe staat het met onze risico´s als cybersecurity en privacy, hoe groot zijn eventuele claims?
• Geven we voldoende ruimte aan vernieuwing, hebben we een portfolio van innovatieve mogelijkheden tot onze beschikking?

Ook prof. dr. Fred van Eenennaam (RSM/Harvard Faculty) geeft een aantal suggesties:

• Maak IT & innovatie tot een vast agendapunt in het overleg bestuur en toezicht.
• Leg het aspect innovatie bij een strategiecommissie. Leg de risicokanten bij de auditcommissie.
• Zorg dat je de CIO zelf spreekt.
• Laat bij tijden een onafhankelijke adviseur de board meeting over IT & innovatie organiseren op inhoud en proces.
• Sta experimenten toe, ga niet te controlerend om met vernieuwingsinitiatieven uit de organisatie. Vraag vaker : ´wat als het mis gaat´ en niet ´óf het mis gaat´.
• Als men het risicomanagement bureaucratiseert gaat het mis, getuige de NASA case met het ongeluk van het ruimteveer Challenger.

Conclusie
Als vanuit het bestuur een echte visie op nieuwe technologieën en innovatie ontbreekt, zou het toezicht dat moeten opvatten als een bedreiging voor de continuïteit. Eigen deskundigheid vanuit het toezicht is dus nodig. Echter, onderzoek van de Erasmus (2010)[iv] wijst uit dat 76% van de commissarissen meent over voldoende ICT kennis te beschikken. Dit moet bijna een ‘onbewust-onbekwaam’ combinatie zijn. De uitkijk op de Titanic zag de ijsberg te laat want de sleutel van de verrekijkerkast ontbrak. Voorkom als toezicht dat de organisatie ‘never knew what hit her’, breek de kast open, geef de uitkijk een kijker maar hou er zelf ook een.

Tijd dus voor de corporatiesector om op gang te komen. De sector zou zichzelf een dienst kunnen doen als er de komende jaren een krachtig IT & Innovatie boegbeeld zou zijn die het thema oppakt en op het juiste niveau weet te brengen. Denk aan Annemarie Jorritsma die een dergelijke rol voor de Nederlandse gemeenten waarmaakt. Een boegbeeld dat ook het interne toezicht aanspreekt om haar bijdrage op dit vlak te versterken.

Ook voorzitters van RvC´s/ RvT´s zouden op dit transitiemoment het initiatief kunnen pakken om zowel op inhoud als proces het toezicht op IT & Innovatie bij de tijd te brengen. Daarover gaat de conferentie van 28 maart 2014 die de VTW samen met INSEIT organiseert.

Ga naar de Agenda voor meer informatie over de conferentie 'Toezicht op IT & Innovatie´ (vrijdagochtend 28 maart, Beatrixgebouw te Utrecht). Bekijk direct het programma.

Ad Kroft is bestuurslid van het Instituut voor Supervisie op Enterprise IT & Innovatie (INSEIT). Het Instituut ondersteunt specifiek en uitsluitend interne toezichthouders in hun rol rond toezicht op IT & Innovatie. Het Instituut levert opleidingen en advies en voorziet in informatie over relevante en actuele innovaties per sector. Het Instituut is onafhankelijk van de IT en adviesindustrie.

[i] De Nieuwe Woningcorporatie, Bouwstenen voor de inrichting van de organisatie, Atrivé 2013
[ii] Chaos Manifesto, Standish Group International, 2013
[iii] McKinsey, Paul Willmott, June 2013
[iv] Erasmus Universiteit, Jan Stolker, maart 2010