Styrets rolle i et digitalisert samfunn
Den pågående digitaliseringen påvirker også det som skjer i styrerommet. Dette gjelder både hvilke krav som må stilles til styremedlemmers kompetanse, hvilken rolle styret skal ha og hvilken agenda som er på styremøtene.
Advokat
Direktør PwC, Risk-avdelingen
Master in management of technology
Senior Associate, PwC Risk-avdelingen
Våre viktigste anbefalinger
Sørg for at styrets årshjul også inkluderer risiko- og sårbarhetsanalyser for dagens teknologiske plattform og forretningsmodell.
Evaluer om daglig leder og andre sentrale ledere har den rette kompetansen og gjennomføringskraften for å lede selskapet gjennom endringsreisen som er nødvendig. Sikre å få inn rett kompetanse dersom dette ikke er på plass.
Påse at rapporteringen til styret integrerer endring og teknologiske aspekter løpende slik at riktig informasjon kommer til styret til rett tid.
Sett fokus på å utvikle en kultur som sikrer fleksibilitet, endringsvilje og utvikling, fremfor å sementere historiske suksesser og eksisterende roller og ansvar.
Rask utvikling av teknologi gir endrede forretningsmodeller, og digitalisering utfordrer etablerte strukturer, arbeidsprosesser og kompetansebehov. Digitalisering innebærer endring for tilnærmet alle bransjer og selskaper, og på alle nivåer og i alle posisjoner sitter mennesker med kompetanse, bakgrunn og kapasitet som er avgjørende for selskapets suksess. Forskning viser at 98 % av endringsrelaterte suksessfaktorer er avhengig av menneskene som berøres av endringen.* https://shifter.no/tech-sjefen-silvija-seres-12-gutenberg-oyeblikk-samtidig-norge-ma-satse-pa-a-best/
Den fjerde industrielle revolusjonen er digital, eksponensiell og kombinatorisk, og endrer hvordan vi jobber og hvordan vi lever
Silvija Seres, Shifter1 november 2016
Styrets ansvar ligger fast, men risikoene endres
De overordnede regulatoriske rammeverkene som definerer styrets ansvar, ligger fast. Aksjelovgivningen klargjør at forvaltningen av selskapet hører inn under styret. Styret har det overordnede ansvaret, men med ny teknologi og forretningsmodeller kommer nye problemstillinger og beslutninger til styrets bord.
I Norsk utvalg for eierstyring og selskapsledelse (NUES) er styreansvaret konkretisert: «Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring i forhold til omfanget og arten av selskapets virksomhet. Internkontrollen og systemene bør også omfatte selskapets verdigrunnlag og retningslinjer for etikk og samfunnsansvar.
Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll.»
Lignende gjelder for selskaper innenfor finans hvor man ifølge gjeldende regulering årlig gjennomfører risikovurderinger i styret som omfatter all underliggende virksomhet. Vi mener at en slik gjennomgang også er formålstjenlig for andre selskaper for å sikre at man har fokus på de nødvendige risikofaktorene som er relevante for selskapets virksomhet.
GDPR
I EU har myndighetenes fokus på forholdet til personvern i en digitalisert verden vært foranledningen til den nye personvernforordningen, The General Data Protection Regulation (GDPR). Forordningen tydeliggjør myndighetenes økte fokus på sikker innsamling, håndtering og distribusjon av data for å ivareta personvernet og sikre rettighetshavernes (privatpersoners) kontroll over sine data. Viktigheten er også understreket ved at overtredelser av forordningen potensielt kan medføre store økonomiske konsekvenser med bøter på opptil 20M EUR eller 4 % av årlige globale inntekter.
Cambridge Analytica
Personvernforordningen stiller krav til behandling av data i virksomheten, inkludert vurdering av tilhørende risiko og etablering av rapporteringsrutiner. Selskaper innhenter og håndterer store mengder informasjon om f.eks. sine ansatte, kunder og partnere som må sikres og monitoreres. Der slike dataopplysninger tidligere har vært nærmest brukt fritt, må selskapene i større grad begrense bruken og tilgangen av denne informasjonen til det behandlingsformålet som er oppnevnt i kontrakten mellom selskapet og datasubjektet. Den nylige Cambridge Analytica-saken, med misbruk av data fra Facebook, er en tydelig påminnelse på at om man ikke har riktig fokus til riktig tid, vil feil som gjøres underveis, kunne være svært alvorlige.
Nye sårbarheter
Med flere selskaper som opererer hovedsakelig på en digital plattform, kommer også nye sårbarheter. Et samfunn med flere digitale kontaktpunkter gir også økt risiko for cyberkriminalitet, for eksempel hacking og identitetssvindel. Beskyttelsen av informasjon, forretningshemmeligheter og strategisk viktige forhold fordrer at man også sikrer dette elementet både på selskapets og kundenes vegne.
Vi anbefaler at enhver utkontraktering av teknologi og andre kontrakter med tredjeparter inngås på en måte som sikrer at man løpende foretar en risikovurdering av hvilke fordeler og ulemper dette vil medføre, herunder også vurdering av leverandørens kompetanse og kapasitet.
Risikovurderinger på toppnivå
Risikovurderinger knyttet til digitaliseringsstrategier kan bidra til en mer helhetlig forståelse for hvordan teknologi kan påvirke selskapets forretningsmodell. Det kan også tydeliggjøre mulige konsekvenser av håndtering og vurderinger knyttet til komplekse regulatoriske forhold. Vi har erfart at digital samhandling med kunder, og for eksempel betalingsmåter, i større grad nødvendiggjør en vurdering av om virksomheten i realiteten burde vært underlagt konsesjonsplikt, for eksempel betalingsformidling eller e-pengeforetak.
Samtidig er ikke risikovurderinger alene tilstrekkelig for å sikre en vellykket strategisk endring. Det krever gjennomføringskraft å lykkes med selskapets forretningsstrategi og sikre maksimal verdiskapning for selskapets eiere.
Vi anbefaler at styrets årshjul inkluderer risikovurderinger og sårbarhetsanalyser knyttet til den digitale strategien, og at ansvaret for etterlevelse både av eksterne lovkrav og interne retningslinjer i organisasjonene løftes helt til toppnivå.
En digital, sammenkoblet verden skaper nye problemstillinger
Digitale forretningsmodeller innebærer trusler, samtidig som det muliggjør vekst og verdiskapning for både nye og etablerte aktører. I dette blir styrets utfordrerrolle viktigere enn noen gang. Styret må stille de gode spørsmålene og gjøre riktige valg som muliggjør at selskapet kan utvikles videre. Dette gjelder også i endringsreisen digitalisering medfører. Riktige mennesker på rett plass er nødvendig. PwCs undersøkelser om endringsledelse viser også at tonen fra toppen er avgjørende for å sikre riktige prioriteringer. Dette gjelder både etterlevelse, forretningsutvikling og digitalisering.
Endre virksomhetsstyring og kultur
I PwCs globale rapport «State of Compliance 2018» svarer nesten en tredjedel av de spurte lederne for risiko- og compliance at mangel på riktig kompetanse er en av de viktigste utfordringene for å kunne benytte seg av teknologi i håndteringen av compliance-risiko. Omstillingen som digitaliseringen medfører krever også ledelseskompetanse for å planlegge, gjennomføre og måle endringer.
Tall fra en undersøkelse som blant annet tar opp utfordringer ved gjennomføring av teknologirelaterte endringer (Rambøll, 2016)* https://iia.no/wp-content/uploads/2016/10/3-Heidi-Austlid.pdf viser at nesten fire av ti mener at manglende kultur og prosesser oppleves som noen av de største hindringene for å realisere gevinster av investerings- og endringstiltak.
Det er med andre ord et behov for å endre virksomhetsstyringen og legge til rette for nye arbeidsprosesser, for å skape en kultur som både evner å gjennomføre endringer og samtidig sikrer nødvendig rapportering av risiko.
Et annet sentralt punkt for ethvert styre er å sikre at man har den rette daglige lederen ombord. Daglig leder ansettes av styret, og i mange selskaper innenfor finans er styret også involvert i ansettelsen av risk- og complianceansvarlig i selskapet.
Behov for ny kompetanse – regtech
Det spås at digitalisering vil føre til færre arbeidsplasser. Foreløpig viser utviklingen at det ikke nødvendigvis blir færre ansatte, men at endringer skaper behov for ansatte med en annen kompetanse.
Eksempelvis kan innovativ teknologi brukes som et middel for å effektivisere og sikre god datakvalitet i forbindelse med compliance- og risikofunksjonen. Regulatorisk teknologi (regtech) er et raskt fremvoksende fenomensom er en konsekvens av økt regulering i kombinasjon med teknologisk innovasjon.
Regtech-løsninger har som formål å forbedre compliance- og risikohåndtering ved å automatisere prosesser, bryte ned compliance-siloer og forbedre oversikten, noe som igjen er med på å redusere kostnader og øke effektiviteten. Med anvendelsen av slik teknologi kan man teste hele populasjoner fremfor tidkrevende og mer eller mindre presise stikkprøver.
Digitalisering er en del av alt
Til tross for at teknologi vil være et viktig virkemiddel i fremtiden, er det isolert sett ikke nok for å lykkes. Det er et økende behov for ledelse med nødvendig kompetanse i grensesnittet mellom teknologi, regulatoriske rammeverk og forretningsutvikling. På Internrevisjonskonferansen 2018 fortalte rektor på Norges Handelshøyskole, Øystein Thøgersen, at man lenge hadde vurdert hvor mange og hvilke nye fag man skulle lansere for å ruste morgendagens siviløkonomer for den digitale økonomien. Konklusjonen var likevel at det var minst like viktig å integrere kunnskap om teknologi og digitalisering i alle fag. Dette er en vurdering som PwC deler.
Digitalisering må integreres
Digitalisering kan ikke skilles ut i en avdeling eller en separat rapport, men må integreres i løpende virksomhetsstyring, rapportering og forretningsutvikling. Mulighetene kan være større enn begrensningene.
Ta for eksempel Nordens største netthandelsaktør, Komplett, som hadde et utgangspunkt som distributør av PC-deler via internett. I dag er selskapet en komplett digital markedsplass, og har en portefølje som innebærer blant annet bank- og betalingsprodukter, apotek, bil og båt. I tillegg er selskapet tilrettelegger for tredjepartsdistribusjon av varer fra andre aktørers nettbutikker via markedsplassen.
Komplett har også etablert et utvalg av egne produkter som konkurrerer med de kjente merkevarene. De har med andre ord utnyttet mulighetene som høy grad av digitalisering og internettilgang i Norden gir, for å posisjonere selskapet ut av en distribusjonsrolle, over til å dekke større deler av verdikjeden både horisontalt og vertikalt.
Selskapet er med andre ord et nordisk eksempel med mange paralleller til hvordan gigantene Amazon og Alibaba opererer internasjonalt. For å komme dit må det jobbes bredere enn å ansette kompetanse, endre rapporteringen og løfte risikovurderinger til styret.
Culture eats strategy for breakfast
Edgar Schein/Peter Drucker
Kulturen må understøtte målene
Mange digitaliseringsprosesser og enhver endringsprosess krever at man har en kultur som understøtter målene. Kulturen gjelder ikke bare for de administrativt ansatte, men også styret. Kulturen må være forankret i selskapets verdier og er et sterkt virkemiddel for å muliggjøre (eller stå i veien for) endring. I den sammenheng er det også viktig å tenke på styrekulturen.
Ansvaret for selskapets fremdrift og overordnede videreutvikling tilligger styret som organ. Mange beslutninger skal tas av styret og styrets ledelse er i mange tilfeller avgjørende for administrasjonens agenda og handlingsplaner.
Styresammensetningen må speile utviklingen
Forankring og forståelse i styret vil være avgjørende for å få tilslutning for strategiendring, nødvendige investeringer og beslutninger knyttet til mulige endringer av selskapets forretningsdrift. En konsekvens er dermed at styresammensetningen må gjenspeile selskapets utvikling.
Kompetanse om digitalisering og teknologi er ikke bare en etterspurt kompetanse i virksomhetene, men også for medlemmer/deltakere i styret. Fra et eierperspektiv bør man sikre at styrets agenda er oppdatert til også å omfatte vurderinger av forretningsmessige implikasjoner av teknologisk disrupsjon, og ikke bare tradisjonell virksomhetsstyring og maksimering av finansielle gevinster.
Det viktigste er at vi forsøker å få ledere og sjefer til å gi litt mer slipp, få dem til å skjønne at de ikke kan kontrollere alt, slik de historisk sett har kontrollert alt. Vi (les: lederne) må løfte folk og ideer opp, fremfor å tro at vi kan skape ideene selv
Rune Bjerke, Shifter3 august 2017
Det handler med andre ord om å kunne lede når omgivelsene endrer seg, og navigere i samsvar med regulatoriske rammeverk. Dette stiller krav til eiere og ledelse og bør reflekteres på alle nivåer som påvirker selskapets strategi, organisering, kontroll og rapportering.* https://shifter.no/dnb-sjefen-mener-sjefene-ma-gi-slipp-lykkes-a-utvikle-ting-ma-vaere-ti-ganger-sa-raske-historisk-sett-vaert/