Overheid in transitie
Blog

Leidt IT-falen tot verhoogde IT-competenties bij bestuurders?

IT-kennis bij bestuurders draagt bij aan het creëren van waarde voor organisaties. Worden bestuurders na grote operationele IT-storingen dan ook vervangen door IT-competentere mensen? Toezichthouders wijzen vaak de uitvoerende bestuurders aan als de 'zondebok'. Bij de overheid moet soms de bewindspersoon het veld ruimen. Doeltreffend? Nee.



IT-kennis bij bestuurders draagt bij aan het creëren van waarde voor organisaties. Worden bestuurders na grote operationele IT-storingen dan ook vervangen door IT-competentere mensen? Toezichthouders wijzen vaak de uitvoerende bestuurders aan als de ‘zondebok’. Bij de overheid moet soms de bewindspersoon het veld ruimen. Doeltreffend? Nee.

Kennis van bestuurders over informatietechnologie is van groot belang, juist omdat IT zo veel gebieden in de organisatie raakt. Zoals het bepalen van de strategie, de opbouw van capaciteit en de selectie van samenwerkingspartners. Er is dan ook een grote behoefte aan bestuurders die verstand hebben van IT, of ze nu uitvoerend bestuurder zijn of niet uitvoerend bestuurder. Niet uitvoerend bestuurders zijn leden van een raad van toezicht of, in de private sector, leden van een raad van commissarissen.

Stel dat het management met een voorstel komt voor een nieuw softwareplatform. Dan is duidelijk IT-leiderschap van het bestuur cruciaal: door het stellen van de juiste fundamentele vragen, het doordenken van de implementatie en het houden van toezicht door middel van prestatie indicatoren.

Toename IT-kennis

Het is niet zo dat bestuurders en toezichthouders het belang van technologie niet inzien; er is een toename van bestuurders die kennis hebben van IT. Bij het Rijk wordt daar ook mondjesmaat aan gewerkt. Maar hebben deze toenemende IT-competenties nu een positieve invloed op het functioneren van de overheid? En wat als er sprake is van falende IT: leidt dit tot vervanging van bestuurders door IT-competentere mensen? Naar deze vragen is inmiddels wat onderzoek gedaan in de private sector, met ook verrassende uitkomsten. Het goede nieuws: IT-kennis bij uitvoerende en niet-uitvoerende bestuurders draagt aantoonbaar bij aan het creëren van waarde voor organisaties. Zo is er een positief verband gevonden tussen competent bestuur en de hoogte van het IT-budget, en er is een positieve samenhang tussen IT-competente bestuurders en betere en consistentere bedrijfsprestaties. Ook externe stakeholders reageren positief op een benoeming van deze bestuurders.

Na een forse operationele IT-storing is er een toename van het verloop van CIO’s en van uitvoerende bestuurders.

Maar wat nu als nu het omgekeerde het geval is: leiden grote operationele IT-storingen nu tot vervanging van bestuurders door IT-competentere mensen? Zulke storingen, zoals beveiligingsissues of technische storingen, creëren geen waarde maar vernietigen waarde; bijvoorbeeld door de dienstverlening van een organisatie stil te leggen of door vertrouwelijkheid van data te schenden. Wat blijkt: na een forse operationele IT-storing is er een toename van het verloop van CIO’s en van uitvoerende bestuurders die vervangen worden door mensen met meer verstand van IT. Dit verloop van CIO’s is echter minder groot voor IT-intensieve organisaties. Waarschijnlijk is men zich er daar meer van bewust dat het IT-falen niet wordt opgelost door één persoon te vervangen. Juist de kennis van de CIO over bedrijfsspecifieke IT-middelen is immers cruciaal voor het verhelpen van nieuwe IT-storingen.

Toezicht

Nog een opvallend punt: operationeel falen lijkt geen effect te hebben op een verbetering in de IT-competentie van de niet-uitvoerende bestuurders: er is na een IT-storing geen extra verloop onder leden van raden van toezicht of raden van commissarissen. Een verklaring hiervoor houdt verband met het ‘zondebok effect’: omdat toezichthouders de mogelijkheid hebben om wijzigingen aan te brengen in de raad van bestuur – in de private sector hebben zij immers een werkgeversrol – kunnen zij de uitvoerende bestuurders als zondebok aanwijzen. Dit roept natuurlijk wel twijfels op over de doeltreffendheid van de commissaris of toezichthouder als ultiem IT-toezichtsorgaan.

Bestuurders van uitvoeringsorganisaties kunnen mogelijk blijven zitten, omdat de zondebok al op ministerieel niveau is aangewezen

Hoe werkt dit nu bij de overheid? Daar zou het zondebokeffect anders kunnen werken. Stel dat er geen disaster recovery faciliteiten zijn ingericht voor de diensten van het UWV, en de dienstverlening ligt er drie maanden uit zodat uitkeringen niet worden uitbetaald. Met de Eerste en Tweede Kamer als toezichtsorganen, zou het kunnen dat de minister of staatssecretaris het veld moet ruimen. De bestuurders van het UWV kunnen mogelijk blijven zitten, omdat de zondebok al op ministerieel niveau is aangewezen en zij de problemen moeten oplossen. Als we het zondebok effect voor toezichthouders doortrekken, treft de Kamerleden geen blaam: dat zou dat een mogelijke verklaring kunnen zijn waarom de IT-kennis bij de Eerste en Tweede Kamer maar zo gering toeneemt. Toch interessant om dit onderzoek eens uit te breiden naar de publieke sector.

Cokky Hilhorst is hoogleraar Business & IT aan Nyenrode Business Universiteit en toezichthouder in publieke en private organisaties.

  • Lucas Jellema (AMIS | Conclusion) | 3 januari 2023, 13:27

    Eigenlijk zou operationeel falen niet (uitsluitend) moeten worden bepaald aan de hand van storingen die optreden. De CFO ontslaan als na een brand blijkt dat er geen brandverzekering was lijkt logisch maar als zonder brand blijkt dat er (per ongeluk) geen verzekering is, dan is het falen van de CFO vergelijkbaar groot. Als er een IT-storing optreedt en de backup blijkt niet hersteld te kunnen worden – is de verantwoordelijkheid van het (IT-)management groter dan wanneer er geen IT-storing is (maar er even zo goed geen werkende backup-voorziening is)?

    Ik stel voor dat iedere organisatie zich periodiek zou moeten laten doorlichten op belangrijke IT-risico’s en de maatregelen die getroffen zijn en de wijze waarop de maatregelen getoetst worden. Als de risico’s niet onderkend zijn, er geen maatregelen zijn of er niet aannemelijk kan worden gemaakt dat de maatregelen functioneren en afdoende zijn (bijvoorbeeld door rampen-oefeningen), volgt een advies aan het management. Na enige tijd volgt een audit om te verifiëren of de adviezen zijn opgevolgd. Als dat niet het geval blijkt lijkt mij sprake van verwijtbaar tekortschieten – ook als er toevallig geen grote IT-storing is.

    Preventie is vaak moeilijk te verkopen, maar is meestal uiteindelijke de goedkoopste optie.

  • Hans Donkhorst | 3 januari 2023, 17:09

    Als de kennis gemeten is vanuit de context van de praktijk, dan geeft dat een heel andere uitkomst dan wanneer wordt gekeken vanuit geldende eisen / de context van compliance. Competenties behoren tot de eisen voorafgaand aan selectie en benoeming, zeker als het gaat om overheidsfuncties met formele bevoegdheid.
    De afstand tussen wat is en wat moet zijn wordt nog groter als de onderzoeken aansluiten bij de incidenten in de praktijk en dan redeneren vanuit (de kennelijke kwaliteit van) de geleverde “oplossing”.
    De ernstigste problemen zijn die welke doorwerken in de uitvoering en betreffen de uitkomst van de inrichting van processen waarbij IT/ICT ondersteunend behoort te zijn. Zo wordt in de praktijk te vaak een technologische verandering doorgevoerd, zonder acht te slaan op de vereisten aan de informatie en het ondersteunde proces en de mate waarin die eisen werden en (gaan) worden nagekomen.
    Overigens is het zoeken naar een bestuurlijk alleskunner ineffectief, de betere bestuurders weten zich te omringen met deskundigen die bereid zijn de discussie aan te gaan en om die reden serieus worden genomen.

    Overigens benieuwd naar de bronvermelding van de onderzoeken waar naar wordt verwezen.

  • B. Engel | 3 januari 2023, 18:01

    Een goed bestuurder heeft een holistische visie op het realiseren van doelen en daarbij het vermogen om competente vertegenwoordigers van alle daartoe noodzakelijke disciplines om zich heen te verzamelen, op een wijze waardoor een ieder zich vrij voelt zich uit te spreken, ook als het kritisch is.
    Een focus op één specialisme is risicovol voor elke bestuurder, ook als hij/zij CIO is.
    Voor je het weet is het Career Is Over.

  • Cokky Hilhorst | 5 januari 2023, 10:04

    Hans, in reactie op jouw vraag: Onderzoek naar dit onderwerp is beschreven in verschillende onderzoeksartikelen. Het onderzoek naar het operationeel IT-falen en de competentie van bestuurders betreft:
    Benaroch, M., & Chernobai, A. (2017). Operational IT failures, IT value-destruction, and board-level IT governance changes. MIS Quarterly, Vol. 41 No. 3, pp. 729-762.

  • Hans Donkhorst | 5 januari 2023, 11:49

    @Cokky, Dank voor de bronverwijzing.

    Het blijft onontkoombaar logisch, dat ervaring gebaseerd op gebeurtenissen in de directe omgeving van een bestuurder bijdragen aan diens competentie(s). Al is het maar om bij herhaling sneller te kunnen doorgronden.
    Daarbij blijft gelden dat het opdoen van praktijkervaring (overheidsbestuurders en overheids-IT) zelden voldoende is voor het voldoen aan de wettelijke kaders.
    Ook daarvoor is een reden; de uitvoering kent een veel complexere (domeinspecifieke) wetgevingscontext die ook open normen bevat.
    Om die context mee te nemen moeten bestuurders de vereiste kennis organiseren en adviseurs toestaan in een nevenschikkende rol.
    Bestuurders met bevoegdheid zijn binnen de overheid gebonden aan algemene beginselen en zouden zich meer moeten verdiepen in hun bijdrage aan de uitvoering en de verantwoording die – hoe klein ook – onderdeel is van de verantwoordingsinformatie die hoort bij de ministeriële verantwoordelijkheid.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren