Samenvatting
Wenselijke situatie
De top vijf stellingen waar de gemiddelde wenselijkheid het grootst is, bestaat uit: een organisatie die voldoende bekwaam is om de digitale transformatie vorm te geven, uit een datamanagement dat binnen de organisatie op orde is, de organisatie heeft het afgelopen jaar een cybersecurityoefening gedaan, diezelfde oefening mét betrokkenheid van de rvb en uit een organisatie die leveranciers aanspreekt op hun cyberweerbaarheid. Daarnaast zijn er nog vijf andere stellingen waarbij de gemiddelde score duidelijk mee eens is.
Aan de andere kant zien we dat geen van de benchmarks het erg wenselijk vindt dat de rvc het management gaat verbieden om voor de herijking van de doelstellingen en strategie van het bedrijf gebruik te maken van AI (zoals ChatGPT). Ook zijn maar weinig benchmarks ervan overtuigd dat elk lid moet beschikken over een nu inzetbare satelliettelefoon en/of aangeven dat als de communicatiekabels in de Noordzee/Atlantische Oceaan niet meer functioneren dat hun organisatie raakt.
Veranderwensen
Voor alle benchmarks samen is het veranderpercentage met 81 procent zeer hoog. Bij zestien van de twintig stellingen hebben minstens tien benchmarks een veranderwens. Koplopers zijn de stellingen over het hebben van regels als rvc voor het omgaan met social media en het in beeld hebben (als rvc, rvb en organisatie zelf) van de voor- en nadelen van AI voor de organisatie. Verder het opstellen van beleid hoe om te gaan met AI, het als rvc hebben van voldoende overzicht over waar in de organisatie algoritmes worden gebruikt en het als organisatie doen van een cybersecurityoefening (ook samen met de rvc).
De enige stelling met weinig veranderwensen (2) betreft: algoritmes mogen in onze organisatie alleen beslissingsondersteunend zijn.
Huidige situatie
In de huidige situatie is bij slechts één van de twintig stellingen meer dan 50 procent van de benchmarks het minimaal duidelijk eens: dat de organisatie in het afgelopen jaar een cybersecurityoefening heeft gedaan (59 procent van de benchmarks). Dat geldt ook voor het basisprofiel.
Organisaties, rvb’s en rvc’s hebben nog een onvoldoende beeld van de voor- en nadelen van AI voor hun organisatie. Zorgelijker is dat maar weinig organisaties bezig zijn geweest om beleid op te stellen rondom het gebruik van AI.
Onderzoeksvraag
Aan de respondenten zijn twintig stellingen voorgelegd met betrekking tot digitalisering, cybersecurity en AI. Voor het grootste deel geldt dat dit de eerste keer is dat we deze stellingen voorleggen. We hebben daarom geen vergelijkingsmateriaal uit eerdere jaren. Alleen de stellingen over de inhuur van ethische hackers, het voldoende bekwaam zijn van de organisatie en het op orde hebben van datamanagement is eerder voorgelegd.
We hebben de 5-puntsschaal gebruikt met 1 = volstrekt oneens, 2 = oneens, 3 = deels oneens/deels eens, 4 = eens en 5 = volstrekt mee eens.
7.1 Wenselijke situatie
.
Basisprofiel: inhuur ethisch hackers zeer gewenst
Gewenste situatie basisprofiel
Het basisprofiel heeft de hoogste mate van instemming, bijna ‘volstrekt eens’ (score ≥ 4.5) met de stelling dat de organisatie minimaal een keer in de drie jaar ethische hackers inhuurt om te zien of er lekken zijn in de ICT-systemen / software. In totaal vallen er tien stellingen in de klasse ‘duidelijk mee eens’ (4.0 ≤ score < 4.5). Het gaat er hierbij om dat de organisatie in het afgelopen jaar een cybersecurity oefening heeft gedaan, ook samen met de rvb, dat de organisatie voldoende bekwaam is om de digitale transformatie vorm te geven, dat zowel de organisatie als de rvb voldoende beeld hebben wat de voor- en nadelen zijn van AI, dat beleid is opgesteld hoe om te gaan met AI (zoals ChatGPT) en dat de organisatie leveranciers aanspreekt op hun cyberweerbaarheid.
Dat de rvc voldoende in beeld heeft wat de voor- en nadelen zijn van AI zit dicht tegen die klasse aan, maar uiteindelijk net wat lager, in de klasse min of meer eens (3.5 ≤ score < 4.0). Daarin vinden we verder ook nog dat het datamanagement binnen de organisatie op orde moet zijn en dat algoritmes alleen beslissingsondersteunend mogen zijn in het bedrijf.
In de klasse ‘neigt naar instemming’ (3.2 ≤ score < 3.5) zitten de stellingen dat de rvc regels heeft met betrekking tot het gebruik van social media, dat het bedrijf samen met de rvc een cybersecurityoefening heeft gedaan en dat de rvc voldoende overzicht heeft over waar in de organisatie algoritmes worden gebruikt.
In de klasse oneens/eens (2.8 ≤ score < 3.2) vinden we de stelling dat als de communicatiekabels in de Noordzee/Atlantische Oceaan niet meer functioneren het de organisatie waarschijnlijk niet raakt en de stelling dat elk rvb-lid over een nu inzetbare satelliettelefoon dient te beschikken en in de klasse volstrekt oneens dat de rvc moet verbieden dat het management, bij het herijken van doelstellingen en strategie, gebruikmaakt van AI (zoals ChatGPT).
Draagvlak: hoe breed delen de benchmarks de wenselijkheid?
Geen verbod gebruik AI voor herijking doelstellingen en strategie
De procentueel meest gedeelde opvattingen (score veelal > 4.0) door de benchmarks zijn:
• Voor de herijking van de doelstellingen en strategie moet worden verboden dat het management gebruik maakt van AI (100 procent oneens).
• De organisatie heeft het afgelopen jaar een cybersecurityoefening gedaan (83 procent eens) en mét de rvb erbij (67 procent eens).
• Minimaal een keer in de 3 jaar een ethische hacker inhuren (76 procent eens).
• Als organisatie de voordelen van AI in beeld hebben (65 procent eens).
• Leveranciers aanspreken op cyberweerbaarheid, als rvb voor- en nadelen van AI in beeld hebben, als organisatie en als rvc nadelen van AI in beeld hebben (elk 59 procent eens).
Non-profitsector grote uitzondering qua instemming
In het algemeen laten de profitsector en de persoonlijke benchmarks grotendeels dezelfde accenten zien, maar wat meer uitgesproken. De uitzonderingen doen zich primair voor bij de non-profitsector, waar doorgaans procentueel gezien minder sprake is van instemming.
Overigens geeft 75 procent van de benchmarks in de profitsector aan dat er ook beleid is opgesteld hoe om te gaan met AI. En bij de persoonlijke benchmarks geeft respectievelijk 57 procent van de commissarissen en 100 procent van de niet-commissarissen aan dat het datamanagement op orde moet zijn.
Andere benchmarks vergeleken met het basisprofiel
.
GB en MKB redelijk eens met basisprofiel
Bedrijfsbenchmarks
In de profitsector zien we relatief weinig grote, materiële verschillen met het basisprofiel. GB en Fam wijken elk een keer af en MKB drie keer. Waar het basisprofiel vreest deels wel en deels niet te worden getroffen als de communicatiekabels in de Noordzee/Atlantische oceaan worden geraakt, geldt dat niet voor GB en MKB. Zij denken niet geraakt te worden.
In non-profitsector vaak minder instemming. Vooral Zorg vindt veel minder wenselijk
In de non-profitsector zien we meer verschillen met het basisprofiel. Zorg (13), ON (10), OW (9) leiden de dans. Corp blijft enigszins in het spoor van het basisprofiel (4).
Alle vier hebben een materieel lagere wenselijkheid voor het opstellen van beleid hoe om te gaan met AI. En op Corp na hebben de overige drie telkens een materieel lagere score voor: de inhuur van ethische hackers, het doen van een cybersecurity-oefening als organisatie en met rvb, het aanspreken van leveranciers op cyberweerbaarheid, het geraakt worden door niet meer functionerende communicatiekabels en het als organisatie voldoende in beeld hebben van de voordelen van AI.
Zorg heeft daarnaast veel minder instemming dan het basisprofiel als het gaat om het in beeld hebben van de voor- en nadelen van AI.
.
Bij persoonsgebonden commissarissen benchmarks veel instemming met basisprofiel. Behalve Merv.
Persoonsgebonden benchmarks
Bij de commissarissen is het beeld wat rustiger in vergelijking met de bedrijfsbenchmarks. Merv wijkt het vaakst materieel af bij vier scores en VR drie keer. De andere wijken slechts een- of tweemaal af van het basisprofiel of helemaal niet (VZ en Jong). Bij Merv zijn de afwijkingen allemaal negatief, wat minder wenselijk dan het basisprofiel betekent. Bij VR zijn de afwijkingen juist positief, wat betekent dat deze benchmark meer instemt bij die stellingen dan het basisprofiel.
De vicevoorzitter twijfelt over de stelling dat algoritmes alleen beslissingsondersteunend mogen zijn. In tegenstelling tot het basisprofiel dat het daar min of meer mee eens is.
VR is het als enige benchmark min of meer eens dat elk lid beschikt over een nu inzetbare mobiele satelliettelefoon en als enige benchmark ervan overtuigd is dat als de communicatiekabels in de Noordzee/Atlantische oceaan niet meer functioneren dat de organisatie raakt. Merv vindt het slechts min of meer wenselijk dat de organisatie minimaal een keer in de drie jaar ethische hackers inhuurt. Ook de wens om leveranciers aan te spreken op hun cyberweerbaarheid is minder aanwezig dan bij het basisprofiel.neren dat de organisatie raakt. Merv vindt het slechts min of meer wenselijk dat de organisatie minimaal een keer in de drie jaar ethische hackers inhuurt. Ook de wens om leveranciers aan te spreken op hun cyberweerbaarheid is minder aanwezig dan bij het basisprofiel.
Vooral IA minder instemming
Ook bij de niet-commissarissen is het beeld wat rustiger dan bij de bedrijfsbenchmarks. Alleen IA wijkt wat meer af met zes. DIR en Secr slechts twee keer.1 IA zit bij het voldoende in beeld hebben van de voor- en nadelen van AI overal in de ‘min of meer mee eens-sfeer’ qua wenselijkheid. Daarmee wijkt deze benchmark af van het basisprofiel als het gaat over de organisatie en de rvb. Wel is ze een groter voorstander van regels voor de rvc voor de omgang met social media.
1Secr had bij de wenselijke situatie slechts bij vier stellingen voldoende waarnemingen.
7.2 Veranderwensen en huidige situatie
.
Negen urgente verbeterwensen, één urgent bespreekbaar punt
Basisprofiel
Bij het basisprofiel geldt dat bij maar liefst vijftien stellingen sprake is van veranderwensen. Negen daarvan zijn een urgente verbeterwens en één een urgent bespreekbaar punt. Daarnaast zijn er nog drie forse veranderwensen, een bespreekbaar punt en een overkwalificatie. Kortom, bij slechts vijf van de twintig stellingen bij dit onderwerp heeft het basisprofiel geen veranderwensen.
De negen urgente verbeterwensen gaan over hoe goed de organisatie, de rvb en de rvc de voor- en nadelen van AI in beeld heeft, of er beleid is opgesteld in de organisatie hoe er omgegaan wordt met AI, dat de rvc voldoende overzicht heeft over waar in de organisatie algoritmes worden gebruikt en dat de rvc regels heeft met betrekking tot het gebruik van social media.
Andere benchmarks
Zeer hoog overall veranderpercentage
Voor alle benchmarks gezamenlijk is het veranderpercentage met 81 procent zeer hoog. De scores van die veranderingen liggen in de wenselijke situatie niet allemaal boven de 3.2. Dat betekent dat een deel ook bespreekbare punten zijn (score < 3.2). Voor de bedrijfsbenchmarks in totaal is het percentage 81 procent. De profitsector heeft een iets lager veranderpercentage dan de non-profitsector (77 om 85).
Voor de persoonsgebonden benchmarks is het overall veranderpercentage 75 procent, waarbij de commissarissen en niet-commissarissen ook iets uit elkaar liggen.
.
Bijna alle aan AI gerelateerde stellingen leveren verbeterwensen op in de profitsector en veelal urgent
Bedrijfsbenchmarks
In de profitsector hebben het basisprofiel en GB beide vijftien veranderwensen. Fam heeft er veertien en MKB achttien. Voor alle vier is het voldoende in beeld krijgen wat de voor- en nadelen zijn van AI een urgente verbeterwens. Dat geldt ook voor het opstellen van beleid, het overzicht dat de rvc heeft van in de organisatie gebruikte algoritmes en regels met betrekking tot het gebruik van social media van de rvc. Het doen van een cybersecurityoefening, ook mét de rvc, is voor alle vier ook een veranderwens. Ook kan de organisatie nog groeien om de digitale transformatie vorm te geven.
De inhuur van ethische hackers is bij het MKB en Fam een verbeterwens.
Datamanagement lijkt op orde in profitsector
De enige stelling waarbij geen van de vier benchmarks in de profitsector veranderwensen heeft aangegeven is die over het datamanagement. Dat lijkt op orde te zijn.
Ook bij de benchmarks in de non-profitsector zien we veel veranderwensen, die veelal gedeeld worden. Alle veranderwensen die de profitbenchmarks delen zien we ook hier terug. Daarnaast is er bij alle benchmarks in de non-profit sprake van een urgente verbeterwens om een cybersecurityoefening te doen en, in tegenstelling tot de profit, is dat ook een forse verbeterwens om dat met de rvb te doen.
Bezit satelliet telefoon bespreekbaar geworden en geen verbod voor gebruik AI bij herijking strategie
Bij de bedrijfsbenchmarks, zowel in de profit- als in de non-profitsector, zijn de stelling over het hebben van een satelliettelefoon door elk rvb-lid en die over de communicatiekabels bespreekbare punten. Dat lijkt in zekere zin ook op te gaan voor een verbod op het gebruik van AI bij het herijken van doelstellingen en strategie. Maar het lijkt ons dat hier, onder andere op basis van onze persoonlijke interviews een andere omschrijving beter is: de afwijzing van het verbod is nog steeds zeer uitgesproken.
.
Ook bij persoonsgebonden benchmarks veel verbeterwensen
Persoonsgebonden benchmarks
Bij de commissarissen hebben Merv en rvbEL de meeste veranderwensen (18) maar VVZ en VR hebben er bijna net zoveel (16). AC is relatief het meest tevreden (12). Bij allen zijn de stellingen over het in beeld hebben van de voor- en nadelen van AI een urgente verbeterwens. Dat geldt ook voor het opstellen van beleid rond AI en dat de rvc regels opstelt voor het gebruik van social media. Op één benchmark na, geldt dat ook voor het overzicht dat de rvc moet hebben van waar in de organisatie algoritmes worden gebruikt.
Verder is er een aantal stellingen waarbij de ene benchmark wel een verbeterwens formuleert en de andere niet. Zo vinden AC en Jong de organisatie op dit moment voldoende bekwaam om de digitale transformatie vorm te geven terwijl de anderen dat niet vinden. Een ander voorbeeld is dat VZ en rvbEL vinden dat de organisatie leveranciers wat vaker of beter zou mogen aanspreken op hun cyberweerbaarheid.
De niet-commissarissen onderscheiden zich niet wat betreft de veranderwensen van de andere benchmarks.
Gedeelde veranderwensen
Zeer veel gedeelde veranderwensen
Bij zestien van de twintig stellingen hebben minstens tien benchmarks een veranderwens. Koplopers zijn de stellingen over het hebben van regels als rvc voor het omgaan met social media, het in beeld hebben van de voor- en nadelen van AI voor de organisatie, het opstellen van beleid hoe om te gaan met AI, het als rvc hebben van voldoende overzicht over waar in de organisatie algoritmes worden gebruikt en het als organisatie doen van een cybersecurityoefening (ook samen met de rvc).
De enige stelling met weinig veranderwensen (2) is: algoritmes mogen in onze organisatie alleen beslissingsondersteunend zijn.
Huidige situatie
.
Weinig instemming bij stellingen door basisprofiel
Basisprofiel
Bij het basisprofiel valt alleen de stelling ‘minimaal een keer in de drie jaar huurt 'mijn' organisatie ethische hackers in om te zien of er lekken zijn in onze ICT-systemen / software’ in de klasse ‘duidelijk mee eens’ qua instemming.
In de klasse ‘min of meer mee eens’ (3.5 ≤ score < 4.0) vinden we aan de bovenkant dat de organisatie het afgelopen jaar een cybersecurityoefening heeft gedaan, ook samen met de rvb en dat de organisatie leveranciers aanspreekt op hun cyberweerbaarheid. Verder dat het datamanagement in de organisatie op orde is en dat algoritmes alleen beslissingsondersteunend mogen zijn, dat de organisatie voldoende bekwaam is om de digitale transformatie vorm te geven en dat als de communicatiekabels in de Noordzee/Atlantische Oceaan niet meer functioneren dat de organisatie raakt.
Bij alle andere stellingen zijn de scores (ruim) onder de 3.0 gelegen en vallen daarmee in de klasse ‘deels oneens/deels eens’ (2.8 ≤ score < 3.2) of oneens.
.
In totaal voor 6 procent van de opties score ≥ 4.0
Andere benchmarks
In de huidige situatie is bij slechts één van de twintig stellingen meer dan 50 procent van de benchmarks het minimaal duidelijk eens. Dat is de inhuur van ethische hackers (59 procent van de benchmarks). Dat geldt ook voor het basisprofiel.
In totaal heeft 6 procent van de opties een score ≥ 4.0. In de wenselijke situatie is dat 39 procent. Wanneer we de grens bij een score van 3.5 leggen, scoort in de huidige situatie 23 procent boven die grens tegen 71 procent in de wenselijke situatie.
Lagere scores dan 2.8 (oneens tot en met volstrekt oneens) komen veelvuldig voor. Ten eerste bij het voor de herijking van de doelstellingen en strategie van het bedrijf door de rvc verbieden dat het management gebruikmaakt van AI (zoals ChatGPT). Ten tweede dat elk rvb-lid beschikt over een nu inzetbare satelliettelefoon. Ten derde dat de rvc regels over hoe om te gaan met social media, ten vierde dat de rvc voldoende overzicht heeft over waar in de organisatie algoritmes worden gebruikt. En als laatste alle stellingen met betrekking tot het hebben van een beeld over de voor- en nadelen van AI voor de organisatie.
Velen volgen de mate van instemming van het basisprofiel. Als er afwijkingen zijn dan zijn deze meestal negatief wat betekent dat er bij de betreffende benchmark nog minder instemming is dan bij het basisprofiel. Opvallend is de relatief hoge score van VZ als het gaat over het voldoende in beeld hebben van de voor- en nadelen van AI voor de organisatie. Met scores telkens rond de 3.0 scoort deze benchmark het hoogst van alle benchmark bij deze stellingen.
.
Datamanagement beter op orde
Historische vergelijking
In de reguliere zomereditie van ons jaarlijks commissarissen benchmark uit 2020 was de stelling over het op orde hebben van het datamanagement ook opgenomen. Of beter gezegd, voor het eerst. In dat onderzoek leverde dat bij alle achttien benchmarks (urgente) verbeterwensen op. Inmiddels zijn we vier jaar verder en is het ‘nog maar’ bij acht benchmarks een verbeterwens en alleen bij ONP en VR urgent. Daar lijkt een wereld gewonnen. Wel vragen wij ons af, gezien de perikelen met het gereed maken van de CSRD-rapportage, of dat voor alle informatie geldt.
In de extra wintereditie van het onderzoek dat jaar kwamen de stellingen over de inhuur van ethische hackers en over het voldoende bekwaam zijn van de organisatie aan de orde. Alleen hebben we tijdens de wintereditie een onderscheid gemaakt in profit- en non-profitsector en niet in benchmarks. Dat maakt een vergelijking bij deze twee stellingen iets lastiger dan bij die over het datamanagement.
Het minimaal een keer in de drie jaar inhuren van ethische hackers om te zien of er lekken zijn in de ICT-systemen/ software gebeurde in de non-profitsector niet. Met een gemiddelde score van 3.0 was het beeld bij de profitsector wat wisselender. Het was voor beide sectoren wel een verbeterwens waarbij de instemming om dat te doen groter was bij de profit- dan bij de non-profitsector.
Een aantal benchmarks geven in de huidige editie aan dat ze dit inmiddels doen. Dan hebben we het over het basisprofiel, GB, de woningcorporatie en in minder mate over het familiebedrijf en het MKB. Bij zorg en welzijn en onderwijs lijkt dit niet te gebeuren.
In dezelfde editie vonden de commissarissen in de non-profitsector de organisatie nog onvoldoende bekwaam om de digitale transformatie vorm te geven. De profitsector kon daar maar net mee instemmen. Het was wel wenselijk dat de organisatie dat meer werd en dat leverde twee urgente verbeterwensen op.
Die urgentie blijft gehandhaafd want ook dit jaar is dit bij veel benchmarks een (urgente) verbeterwens. Alleen bij AC en Jong levert deze stelling geen veranderwens op.
7.3 Enige bespiegelingen/vragen/kanttekeningen
Waarom is het bespreken van algoritmes door de rvc taboe?
Twee jaar geleden concludeerden we dat alle respondenten, op de secretaris en internal auditor na, van mening waren dat digitalisering voldoende onderdeel moet zijn van de strategie. De wenselijkheid van een belangrijke randvoorwaarde als een ethisch kader lag wat laag, maar dat gold ook voor de score voor de huidige situatie. Uit de interviews bleek dat velen zich niet helemaal konden voorstellen wat dat precies in moest houden.
Vorig jaar concludeerden we dat dat tot op zekere hoogte ook leek te gelden voor het bespreken van algoritmes in de rvc. De wenselijkheid lag, op een enkele benchmark na (Familiebedrijf en vrouwelijke commissaris), onder de instemmingsscore van 3.2. Tegelijkertijd zagen we dat alle benchmarks het een urgent (bespreekbaar) punt vonden. De commissaris lijkt sterk te worstelen met wat een rvc nu met algoritmes aan moet.Daarom hadden we de (vraag)stelling voor dit jaar wat veralgemeniseert naar ‘de rvc heeft voldoende overzicht over waar in de organisatie algoritmes worden gebruikt’. Dat lijkt min of meer hetzelfde beeld op te leveren. Alle benchmarks hebben weer (urgente)veranderwensen en de wenselijkheid ligt (ruim) onder een duidelijke instemmingsscore. Maar, wel iets hoger dan de stelling over het bespreken van algoritmes in de rvc. Kortom, de rvc lijkt nog steeds niet te weten wat het met AI aan moet.
We kunnen daarom gerust het onderstaande van vorig jaar herhalen: is dit ‘domein’ te gedetailleerd om te bespreken voor een rvc? Moeten zij dit misschien overlaten aan de organisatie en directie? Mag een rvc de discussie dan wel aanzwengelen of wacht de rvc op het initiatief van de directie? Denkt de rvc dat AI slechts een hype is die, net als blockchain eerder, misschien niet (op korte termijn) van toepassing gaat zijn of is voor (de business van) de organisatie? Of is het angst omdat de commissaris geen idee heeft van wat AI is en zou kunnen betekenen?
Recipe for desaster?
In het verlengde van bovenstaande bespiegeling is het opmerkelijk dat niemand het wenselijk vindt dat de rvc een verbod oplegt aan het management om gebruik te maken van AI tijdens het herijken van doelstellingen en strategie. Tegelijkertijd is de rvc maar matig enthousiast om voldoende overzicht te krijgen van waar in de organisatie AI wordt gebruikt, heeft het geen beeld van de mogelijke voor- en nadelen van AI voor de organisatie en is ook niet iedereen ervan overtuigd dat de organisatie beleid op moet stellen hoe om te gaan met AI. Dat lijkt ons een recipe voor disaster en een rvc die de kop in het zand steekt.
We hadden toch verwacht dat de rvc misschien meer rond de scores van deels oneens/deels eens zouden zitten. Want we kunnen ons toch niet voorstellen dat er zonder een goed ingekaderd proces over hoe AI gebruikt mag worden doelstellingen herijkt worden? Wil de rvc niet weten hoe dat proces tot stand komt? Tijdens de interviews gaven diverse respondenten aan dat zij wel gecharmeerd waren van eerst zelf wat uitdenken met betrekking tot de herijking van doelstellingen en strategie en vervolgens checken met AI. Wel bestond er enige zorg hoe te voorkomen dat bedrijfsspecifieke data op internet konden komen.
Kan de rvc een afwachtende houding aannemen bij toepassing AI en Algoritmes?
Twee gedachten ter afbakening van de discussie:
• AI en algoritmes zijn ongetwijfeld nodig en onontkoombaar.
• AI en algoritmes kunnen gevaarlijk zijn en daarmee een punt van zorg.
De vraag is: wat weegt het zwaars en wie bepaalt dat? En hoe gaan we kijken wat we met AI en algoritmes gaan doen en met welk tempo?
Het aantal toepassingen van AI en algoritmes waarover wordt gepubliceerd, neemt de laatste tijd fors toe. Het gamma varieert van concrete toepassingen tot voorbeelden van ‘work in progress’. Net als met de blockchain hype van een tijd geleden zullen diverse initiatieven op korte termijn stranden, maar het aantal werkzame toepassingen is inmiddels al substantieel aan het worden. Zowel op korte termijn als op lange termijn ziet het ernaar uit dat AI en algoritmes fundamentele veranderingen teweeg zullen brengen. Belangrijke uitdagingen liggen op het gebied van het voorkomen van biassen. En ook niet te veronachtzamen, op welk platform en met welke garanties gaan we de slag aan. Gaan we weer als lemmingen ons best doen om een nieuwe Google of Meta in het zadel te helpen? Of zullen we bereid zijn meer te investeren en ervoor zorgen dat we niet een nieuwe monopolist en mogelijke concurrent in het zadel helpen? En doen we dat alleen of gaan we op een of andere manier via partnerships aan de slag? Of creëren we ons eigen domein, waar we zeker weten dat we onze data niet delen met een derde? Maar hebben we daarvoor wel voldoende schaalgrootte? En zijn we in staat zowel qua organisatie en qua bijvoorbeeld financiën voldoende snelheid te maken met ontwikkelen en implementeren? Gemakkelijk is het allemaal niet. Maar er is haast en dan kan de rvc niet aan de zijlijn blijven staan. Want het risico om een rem te worden voor het bedrijf op dit terrein is niet meer acceptabel.
Moet de rvc niet weten of de communicatie technisch gewaarborgd is?
Als de communicatiekabels in de Noordzee/Atlantische Oceaan niet meer functioneren raakt dat onze organisatie. Samen met de stelling over het in bezit hebben door elk rvb-lid van een mobiele satelliettelefoon waren dit de twee stellingen met substantieel (circa 20 procent) minder antwoorden dan gemiddeld, zowel voor de huidige als de wenselijke situatie. In de wenselijke situatie waren dit ook de stellingen met een gemiddeld zeer lage mate van instemming, maar beide met de hoogste standaarddeviatie (uiteenlopende opvattingen). Tijdens de interviews bleek het niet invullen bij de meeste respondenten een signaal van ‘ik weet het niet’ en dat zowel voor huidig als wenselijk. Maar er waren ook respondenten die gedecideerd ‘ja’ of ‘nee’ als antwoord gaven. Maar een aanzienlijk groter deel veronderstelde wat het antwoord was, maar wist het niet zeker. Tijdens de discussies over de vraag, maar mag je volstaan met ‘ik weet het niet’ leidde dit geregeld tot enig ongemak bij de respondent. Een reactie was ‘onze ceo en cfo wonen nog geen 10 kilometer bij elkaar vandaan’. Nou en, er is misschien geen communicatie. Dus hoe weten ze wie naar de ander moet gaan. Een ander antwoord was ‘in een dergelijk geval gaan de betrokken bestuurders naar het hoofdkantoor’. En ook een reactie was ‘maar niet alleen onze rvb-leden moeten een mobiele satelliettelefoon, maar ons hele crisisteam’. En een laatste reactie nog ‘als de verbindingen wegvallen, zit iedereen in de shit'. Wij denken dat een dergelijk antwoord niet acceptabel is. Niet weten bij dergelijke zaken, vereist het stellen van vragen en, afhankelijk van de mogelijke ernst van de situatie, nadenken over scenario’s hoe hiermee om te gaan. Misschien moeten er wel gecompartimenteerde communicatiesystemen worden ingericht, waarbij de compartimenten bijvoorbeeld kunnen samenvallen met regio’s. En ook hier geldt ‘regeren is vooruitzien’.
Is de non-profitsector van mening dat medewerkers niet met AI (gaan) werken?
Er is een redelijk groot verschil in wenselijkheid tussen de profit- en de non-profitsector als het gaat om het formuleren van AI-beleid door de organisatie. De profitsector (minus MKB) vindt dat duidelijk een goed idee, in de non-profitsector zit het tussen ‘neigt naar instemming’ en ‘min of meer mee eens’. Een stuk minder overtuigend! Dat vinden wij nogal vreemd. Is de verwachting bij de commissarissen/toezichthouders in de non-profitsector dat medewerkers in hun organisatie niet met AI (zoals ChatGPT) werken of gaan werken? Dat lijkt dan in zekere zin overeen te komen met de uitkomsten van een wereldwijd onderzoek van Salesforce. Daarin gaven de respondenten aan dat bij 38 procent er geen bedrijfsbeleid is en 16 procent meldt dat er onduidelijke regels zijn. Een derde (33%) weet het niet en slechts bij 14% is het op orde. En verder dat een aanzienlijk deel van de respondenten doet alsof door AI geproduceerd materiaal van hunzelf is.1We kunnen ons niet voorstellen dat op ‘kantoor’ niet geëxperimenteerd is met AI. Al is het maar voor de jaarlijkse kerstgroet. Bovendien zien we in de zorg verschillende experimenten op het gebied van ondersteuning van artsen in verband met het stellen van diagnoses en ook call centers maken gebruik van AI en deze zijn ook actief in de non-profitsector.
Welke Instacommissaris zit op TikTok?
Een verrassende koploper qua aantal verbeterwensen. Alle benchmarks zijn van mening dat de rvc iets van regels moet hebben met betrekking tot het gebruik van social media. Niemand heeft die nu, alleen de internal auditor denkt dat de rvc die wel heeft. Er is ook niemand die echt zit te wachten op ‘regels’. Nagenoeg iedereen neigt naar instemming of is het er min of meer mee eens als we het hebben over de wenselijke situatie. Dat komt overeen met wat we hoorden tijdens onze interviews. Het is eigenlijk zelden dat de commissaris zit te wachten op nog meer regels. Wel merkten we tijdens dezelfde interviews op dat het gebruik van social media door de rvc eigenlijk nooit een thema was geweest. Dat is niet vreemd want de meeste commissarissen gaven aan zeer terughoudend te zijn. Dan hadden ze het in de meeste gevallen over LinkedIn. Toch willen we een klein pleidooi houden om het op de agenda van de rvc te zetten. Zowel vanuit een positieve als vanuit een negatieve optiek. Om met dat eerste te beginnen, het liken van een vacature in de organisatie door de commissaris kan een laagdrempelige manier zijn om gebruik te maken van het netwerk van de commissaris. Misschien dat dat net het verschil maakt in een krappe arbeidsmarkt. Sommige commissarissen doen dit al, sommigen niet. Overleg dit met elkaar, maar durf ook de organisatie te vragen of die dat kunnen waarderen.
Het tweede, de negatieve reden om het gebruik van social media van commissarissen te bespreken, heeft betrekking op reputatierisico. Niet zozeer voor zichzelf, maar vooral voor de organisatie. Dan kunt u denken aan een commissaris die zich in een verhitte X-discussie stort met argumenten die misschien haaks staan op de waarden van de organisatie waarop hij toezicht houdt. Kan dat? Het aantal voorbeelden dat we hoorden tijdens de interviews was gelukkig miniem, maar waren er wel.
Een goed voorbeeld om het rvc-bewustzijn aan te wakkeren was om bij de stukken voor een nieuwe commissaris ook het social mediabeleid van de organisatie mee te sturen. Bij een andere rvc was het social mediabeleid van de organisatie kort door de rvc besproken en ondertekend. Het hoeft niet moeilijk te zijn.
Welke commissaris zit op Instagram, X of TikTok? Waarschijnlijk zijn niet veel commissarissen op de hoogte of hun collega daarop aanwezig is en hoe die zich daar presenteert. Ligt hier een rol voor de secretaris van de rvc? Of voor de communicatieafdeling van de organisatie?
Is ethiek onderdeel van social mediabesluitvorming?
Een andere discussie die bij social media hoort is of de commissaris van mening is dat bijvoorbeeld X nog een goed platform is om daarop aanwezig te zijn? Het zal u misschien niet ontgaan zijn dat meer mensen de afgelopen periode besloten hebben om van dit platform af te stappen. How a about ethics? Ook dat kan een onderdeel zijn van het bespreken van het social mediagebruik door de rvc en misschien in het verlengde daarvan het gebruik door de organisatie. Is er een ethisch kader in de organisatie waarlangs besluiten gaan over het gebruik van bepaalde social mediakanalen of kan de afdeling communicatie haar gang gaan zonder toetsing. En is het louter het bereik van de doelgroep dat telt? Is de organisatie alleen nog maar bereikbaar via social media?
Vertrouwt commissaris de data waarop beslissingen worden genomen?
In de reguliere zomereditie van 2020 van dit onderzoek was de stelling over het op orde hebben van het datamanagement ook opgenomen, voor het eerst. In dat onderzoek leverde dat bij alle achttien benchmarks (urgente) verbeterwensen op. Inmiddels zijn we vier jaar verder en is het ‘nog maar’ bij acht benchmarks een verbeterwens. En alleen bij ONP, VR en IA urgent. Daar lijkt een wereld gewonnen. En tegelijkertijd geeft nu niemand aan het voor de huidige situatie duidelijk eens te zijn met de stelling. De commissaris twijfelt nog of het datamanagement echt op orde is. Of weet niet hoe hij nu precies kan duiden wanneer het op orde is. Of concludeert dat het nooit op orde kan zijn want alles verandert continu. Daarmee is de commissaris niet de enige die wat twijfelt over de kwaliteit van de data.1 En dat is toch wel opmerkelijk. Want aangezien men nu al veel beslissingen neemt op basis van data wordt dat in de toekomst zeker niet minder. Zeker als de organisatie in de toekomst wil of moet gaan werken met AI. Eigenlijk vraagt de commissaris zich dus af of de beslissingen die men nu neemt wel gebaseerd zijn op goede data…
In dit verband zijn de signalen met betrekking tot de toekomstige rapportage over CSRD een veeg teken aan de wand. Bij een groot aantal bedrijven is de database nog niet op orde en er wordt zelfs getwijfeld of op alle relevante aandachtsgebieden de noodzakelijke informatie wel kan worden gegenereerd. Misschien gaat dit wel nooit lukken. En sommige bedrijven zijn misschien wel erg zwartgallig met de uitspraak ‘administratie is nu op orde, maar de patiënt is overleden’ om te kunnen voldoen aan de informatie-/regeldruk.
Juist rvc moet meedoen aan cybersecurity oefening van bedrijf
Uit het onderzoek blijkt dat de respondenten een voorstander zijn van het houden van een cybersecurityoefening bij organisaties en dat ook samen met de rvb. Voor de rvc wordt dat niet zo nodig geacht, zij het dat het bij 16 van de 17 benchmarks een (urgent) bespreekbaar punt is geworden. Gezien het hoge percentage veranderwensen bij dit onderdeel van het onderzoek, een situatie die al jaren actueel is en de mogelijk ingrijpende veranderingen als gevolg van ontwikkeling op het gebied van digitalisering, AI en cybercrime is het naar ons idee wenselijk om elke kans/mogelijkheid te benutten om commissarissen zoveel mogelijk te betrekken bij concrete acties op dit domein.