In veel raden van commissarissen valt het toezicht op IT meestal nog onder de audit committee. Vanuit historie is er met name vanuit de financiële functie naar IT gekeken. En is de betrouwbaarheid van de (financiële) IT-systemen een vast onderdeel in het audit rapport van de accountant. 

Door Arnoud Klerkx

Maar de wereld is inmiddels mijlenver vooruit. Toezicht op IT vergt een veel bredere aanpak dan het vaststellen of de cijfers van een bedrijf met betrouwbare systemen tot stand zijn gekomen. En nee, de aandacht voor de AVG en informatiebeveiliging die nu overal aanwezig is, dekt ook niet het bredere aspect waar ik op doel.

Zie ook: Wat is jouw Killer App?

Drie gebieden
Toezicht op IT zou zich moeten afspelen over drie gebieden. De eerste is de continuïteit van de onderneming alsmede het operationele reilen en zeilen van de IT-systemen. Hier kijkt menig audit comittee en accountant wel deels naar, maar zeker niet in de volle breedte. De meeste bedrijven zijn inmiddels volledig afhankelijk van IT. Het tweede gebied heeft te maken met investeringen. In menig bedrijf zijn investeringen onlosmakelijk verbonden met IT. En niet zelden zijn met deze investeringen serieuze opbrengsten, kosten en risico’s verbonden. En die hebben dan ook gedegen toezicht nodig. En als derde kan geen enkel bedrijf meer om digitalisering heen. Welke kansen liggen er voor het bedrijf, waar komen de bedreigingen vandaan en is ons business model nog wel toekomstvast? Allemaal vragen die goed toezicht behoeven.

Wat gebeurt er als morgenochtend ons hoofdkantoor afbrandt?
Stel eens de volgende vragen tijdens een komende RvC-vergadering: wat gebeurt er als morgenochtend ons hoofdkantoor afbrandt? Hoe wordt dan geregeld dat alle processen soepel doorlopen en dat iedereen kan blijven werken? En nog belangrijker, hebben we dat nog onlangs getest? Andere vraag: wat is de status van onze vijf belangrijkste IT-projecten? Wat was de business case en halen we die nog? En waar liggen de grootste risico’s en wat doen we daaraan? En om het vragenvuur af te ronden: welke technologische trends ziet het bedrijf en hebben we besloten te negeren? En waarom dan? O ja, en sluit dan af met de vraag uit mijn vorige blog: wat is onze killer app?

Ik zie veel commissarissen nu denken: jeetje wat moet ik dan met de antwoorden.  Alleen al de reactie van de bestuurder op deze vragen is een goede graadmeter hoe zij hun zaken op orde hebben. Het moet ook vooral hen aan het denken zetten. En ja, daarnaast pleit ik ook graag voor het opnemen van digitale en IT kennis in de RvC, zodat je inderdaad de antwoorden beter kan duiden. Maar daarover volgende keer meer. Veel succes met vragen stellen. Ik beloof u in elk geval een extra lange en levendige vergadering deze keer!

Arnoud Klerkx is Chief Digital Officer en lid van de Raad van Bestuur van de Kramp groep. Hij is tevens digi-commissaris bij meerdere bedrijven.