LEDELSE | Digital suverenitet
– Én hendelse unna et styreproblem
«Alle» leter etter digital suverenitet. Utfordringen er å vite hvor suveren virksomheten egentlig er. – Datasuverenitet må vurderes på samme måte som andre strategiske risikoer og investeringer, sier fagdirektør Jørgen Longva i Experis.
Datasuverenitetens dilemma, som man kan kalle det, er i høyeste grad et styre- og eieranliggende. Årsaken er at «suverenitetsgjeld» kan bli en skjult finansiell og strategisk risiko som først materialiserer seg i det rammebetingelsene endrer seg.
Og det kan skje fort.
Fagdirektør Jørgen Longva i konsulentselskapet Experis bruker begrepet suverenitetsgjeld som et slags kompass. Målet er å gjøre avhengighet til ulike eksterne leverandører både målbar og styrbar på linje med annen gjeld og risiko.
– Problemet oppstår når ledelsen ikke vet hvor mye gjeld virksomheten har knyttet til datasuverenitet, hva den koster, eller om virksomheten kan betjene den hvis forutsetningene endrer seg, sier Longva.
Mer innlåsing?
– Mange ledere ser dilemmaet. De ønsker mer kontroll, men de må samtidig modernisere, redusere kostnader og levere raskere. Da blir det ofte rasjonelt å bygge videre på plattformene de allerede bruker.
– Hvert valg kan forsvares. Summen kan likevel bli mer innlåsing, legger han til.
Med innlåsing menes summen av bindinger som reduserer virksomhetens mulighet til å flytte data, bytte leverandør eller endre teknologi, og begrepet exit-strategi brukes som en plan for nettopp å ha handlingsrom til å skifte.
Longva peker på at så lenge konkurrenter øker tempoet og brukerne forventer bedre tjenester, kan kostnadskravene gjøre det vanskelig å prioritere løsninger som gir mer handlingsrom på lang sikt.
Slik blir datasuverenitet en strategisk ambisjon som kan tape kampen mot kortsiktige effektivitetskrav i prosjekter og produktteam.
Styrets ansvar
Experis og Longva advarer samtidig mot det han kaller «den gradvise oppbyggingen av suverenitetsgjeld som ingen ser».
Han mener at det er styrets ansvar å sørge for at hverdagens prosjektbeslutninger rapporterer på konsekvensene for innlåsing og suverenitet, ikke bare på kostnad, tempo og funksjonalitet.
Når virksomheten kan se hvor den er låst, hva innlåsingen betyr, og hvilke tiltak som faktisk øker handlingsrommet, kan ledelsen vurdere datasuverenitet på samme måte som andre strategiske risikoer og investeringer.
– Når virksomheten kan se hvor den er låst, hva innlåsingen betyr, og hvilke tiltak som faktisk øker handlingsrommet, kan ledelsen vurdere datasuverenitet på samme måte som andre strategiske risikoer og investeringer, påpeker Longva.
Advarselen fra fagdirektøren peker på at det kan være svært kort vei før man går på en suverenitets-smell.
– Virksomheten kan være én regulatorisk endring, én geopolitisk hendelse eller én leverandørendring unna et problem den ikke har kapasitet til å håndtere, sier Longva.
– Når noe skjer, blir responstiden kort. Da viser det seg om virksomheten faktisk har handlingsrom, legger han til.
Finansielt press
Han peker på at cybersikkerhet blir testet kontinuerlig gjennom angrep, mens datasuverenitet sjeldent får den samme «hjelpen», der virksomhetene må gjennomføre testene selv.
Dette gjør manglende testing av exit-strategier, portabilitet og alternativbruk til en styringssvikt snarere enn et teknisk problem.
Longva beskriver samtidig hvordan finansielle insentiver kan presse toppledelsen bort fra langsiktige suverenitetshensyn.
Topplederen rapporterer til styret, og styret rapporterer til eierne. For et børsnotert selskap blir mye styrt av børskursen på korte horisonter.
– Topplederen rapporterer til styret, og styret rapporterer til eierne. For et børsnotert selskap blir mye styrt av børskursen på korte horisonter. Da kan det være utfordrende å si at vi ikke klarer å levere så gode tall nå. Fordi nå må vi faktisk investere litt i langsiktig robusthet og flytte ting, gjøre ting mer redundant, mer resilient, sier Longva.
– Det flyr fort veldig dårlig når du blir straffet på børsen med lavere børskurs fordi du gjør det dårligere enn konkurrentene, som tar høyere risiko enn deg selv, sier han.
Suverenitetsvasking
Dermed blir datasuverenitet en del av den klassiske avveiingen mellom kortsiktig avkastning og langsiktig robusthet, uten at risikoen er tydelig kvantifisert og tegnet opp.
Longva mener styret i en virksomhet likevel ikke kan slå seg til ro med dokumentasjon som ser bra ut på papiret.
Styret må eie datasuverenitet. Men eierskap alene løser ingenting.
– Styret må eie datasuverenitet. Men eierskap alene løser ingenting. Det må operasjonaliseres ned i de daglige beslutningene i prosjekter, produktteam og plattformteam. Det er der suverenitetsgjelden bygges opp, og det er der den kan styres, sier han.
En virksomhet kan lagre data i Europa, ha exit-klausuler i kontraktene og risikovurderinger på plass, men fortsatt mangle reell kontroll. Har virksomheten aldri testet hva det krever å flytte data og tjenester, gir dokumentasjonen falsk trygghet.
– Det kaller vi suverenitetsvasking, og det er lett å lure seg selv når ingen tester deg, sier Longva, som sammenligner dette med beredskapsarbeid uten øvelser, der forskjellen mellom antatt og reell kontroll først blir synlig når noe skjer.
– Da kan kostnadene bli høye og alternativene få, avslutter han.