Risicobeheersing: van controle naar leiderschap

Risicobeheersing vormt de ruggengraat van succesvol ondernemerschap en organisatieontwikkeling. In een wereld waarin onzekerheid de enige zekerheid is geworden, gaat het niet langer om het elimineren van alle risico's. Het draait om het doelgericht omgaan met onzekerheden, waarbij je bewust kiest welke risico's acceptabel zijn en welke beheersmaatregelen werkelijk waarde toevoegen.

De Nederlandse benadering van risicobeheersing heeft de afgelopen decennia een opmerkelijke transformatie doorgemaakt. Van spreadsheets en risicomatrices naar een mensgerichte aanpak waarbij diversiteit, dialoog en durven centraal staan. Deze pagina biedt een overzicht van de belangrijkste ontwikkelingen, methoden en inzichten op het gebied van risicobeheersing.

De beperkingen van traditioneel risicomanagement

Jarenlang hebben organisaties hun heil gezocht in steeds complexere risicomanagement-systemen. Risicodossiers met 543 geïdentificeerde risico's, eindeloze discussies over de vraag of een risico kansklasse 5 of 6 heeft, en de illusie dat objectieve risicobeoordelingen mogelijk zijn. Deze conventionele benadering heeft echter een fundamenteel probleem: ze past niet bij de volatiele, onzekere, complexe en ambigue werkelijkheid waarin we nu opereren.

Het gangbare risicomanagement staat vaak naast de dagelijkse bedrijfsprocessen. Het is een staffunctie die zich richt op planning, controle en beheersbaarheid. Maar juist deze eigenschappen maken het inadequaat voor het omgaan met de wilde vraagstukken van vandaag, waarbij geen eenduidige oorzaak-gevolgrelaties bestaan.

Risicoleiderschap: een paradigmaverschuiving

Risicoleiderschap markeert een fundamentele omslag in hoe we met onzekerheden omgaan. Waar conventioneel risicomanagement zich richt op het objectiveren, kwantificeren en beheersen van risico's, kiest risicoleiderschap voor een andere route. Het vertrekt vanuit waardevolle doelen, omarmt subjectiviteit en diversiteit, en integreert risicodenken volledig in dagelijkse processen.

Een risicoleider werkt doelgericht, durft onzekerheid te omarmen en gaat bewust om met risico's. Dit betekent sommige risico's accepteren of zelfs opzoeken, omdat ze kansen bieden. Het vraagt om mentale fitheid, het vermogen om verschillen in risicoperceptie bespreekbaar te maken, en de moed om afwijkingen vroegtijdig op te merken zonder direct in de beheersingsreflex te schieten.

Methodieken en frameworks

Naast de verschuiving naar risicoleiderschap blijven gestructureerde methodieken waardevol, mits verstandig toegepast. De kunst is om de zes klassieke risicostappen – doelen bepalen, risico's identificeren, classificeren, omgaan met risico's, evalueren en rapporteren – volledig in te bedden in bestaande werkprocessen.

Verschillende frameworks bieden hiervoor handvatten. ISO 31000 en COSO ERM zijn gebaseerd op principes in plaats van rigide regels, wat ruimte laat voor maatwerk. Ook PRINCE2 en het COSO ERM-model bieden bruikbare structuren, waarbij risicomanagement niet langer een apart eiland is maar onderdeel van reguliere besluitvorming.

Risicobeheersing in projecten

Projecten vormen een bijzondere context voor risicobeheersing. De tijdelijke aard, de complexe stakeholder-omgeving en de vaak ambitieuze doelstellingen maken projecten bij uitstek vatbaar voor risico's. Tegelijkertijd bieden ze kansen voor gerichte risicobeheersing, omdat de afbakening relatief helder is.

Binnen projectmanagement is risico inmiddels een volwaardig thema. Daniella van Well-Stam en Fianne Lindenaar hebben met hun werk aan de RISMAN-methode baanbrekend werk verricht. Ook in PRINCE2 is risico een van de zeven kernthema's, met concrete processen voor het identificeren, beoordelen en beheersen van projectrisico's.

De rol van perceptie en gedrag

Een cruciaal maar vaak onderbelicht aspect van risicobeheersing is de menselijke factor. Risicoperceptie is altijd subjectief, gekleurd door persoonlijke ervaringen, angsten en voorkeuren. Dit is geen zwakte maar een gegeven waarmee we constructief moeten omgaan.

Groepsdynamiek speelt hierbij een belangrijke rol. Tegenspraak organiseren, diversiteit in teams benutten en een sociaal veilige omgeving creëren waarin verschillen in risicoperceptie bespreekbaar zijn – dat is waar het om draait. Carsten Busch heeft met zijn werk over veiligheidsfabels laten zien hoeveel mythes en misvattingen er bestaan over hoe we met risico's omgaan.

Tegendenken: antifragiliteit en black swans

Soms helpt het om risico's vanuit een radicaal ander perspectief te bekijken. Jim Collins laat in zijn onderzoek zien dat succesvolle bedrijven niet per se minder risico nemen, maar daar bewuster mee omgaan. Nassim Nicholas Taleb gaat nog een stap verder met zijn concept van antifragiliteit: systemen die niet alleen bestand zijn tegen schokken, maar er juist sterker van worden.

Deze invalshoeken dwingen ons om conventionele risicomanagementstrategieën te heroverwegen. Misschien is het streven naar volledige risicobeheersing wel contraproductief. Misschien worden we robuuster door blootstelling aan kleine risico's, waardoor we beter voorbereid zijn op de echte black swans – die extreme, onvoorspelbare gebeurtenissen die alles op zijn kop zetten.

Specifieke domeinen

Risicobeheersing krijgt in verschillende vakgebieden een eigen invulling. In de informatiebeveiliging draait alles om het analyseren van bedreigingen voor systemen en gegevens, gevolgd door het implementeren van passende beheersmaatregelen op basis van ISO 27001 en ISO 27002. Bij integrale veiligheid gaat het om risicoreductie als fundamenteel onderdeel van het werk, waarbij zowel preventie als repressie aan bod komen.

In de financiële sector heeft risicomanagement een lange traditie, met specifieke aandacht voor kredietrisico, marktrisico en operationeel risico. Ook in de gezondheidszorg, bij evenementen en in supply chains krijgt risicobeheersing steeds meer aandacht, mede door ervaringen met crises als de coronapandemie.

Van theorie naar praktijk

Het verschil tussen organisaties die effectief met risico's omgaan en organisaties die eronder bezwijken, zit niet in de verfijning van hun risicomodellen. Het verschil zit in de bereidheid om het gesprek aan te gaan, om diversiteit te omarmen, om vroegtijdig af te wijken van het plan als de situatie daarom vraagt.

Praktische risicobeheersing begint met heldere doelen. Wat wil je bereiken? Welke onzekerheden kunnen je daarvan weerhouden? En wat ga je daar – binnen de grenzen van je risicobereidheid – aan doen? Deze drie vragen zijn krachtiger dan elk spreadsheet. Ze dwingen tot nadenken, tot prioriteren, tot kiezen.

Evaluatie hoort erbij maar wordt vaak overgeslagen. Welke risico's zijn opgetreden? Welke niet? Hebben de maatregelen gewerkt? Wat leren we hiervan? Alleen door deze reflectie wordt risicobeheersing een leerproces in plaats van een ritueel.

De risicodialoog als hulpmiddel

Een krachtig instrument binnen moderne risicobeheersing is de risicodialoog. In plaats van eenrichtingsverkeer – de risicomanager presenteert zijn analyse aan het management – ontstaat een tweezijdig gesprek waarin verschillende perspectieven worden gedeeld. De DOD-methode (Dialoog, Ontwerp, Doen) helpt hierbij door structuur te bieden zonder te verstikken in procedures.

In zo'n dialoog komen cruciale vragen aan bod: waarom zien we dit wel als risico en dat niet? Wat zegt dat over onze risicobereidheid? Durven we bewust te kiezen voor bepaalde risico's omdat de kansen groter zijn? En hoe zorgen we dat we vroegtijdig bijsturen als het misgaat?

De toekomst van risicobeheersing

Risicobeheersing staat op een kruispunt. De conventionele aanpak met haar nadruk op controle, planning en objectivering past niet meer bij de werkelijkheid. Tegelijk groeit het besef dat onzekerheid niet verdwijnt door betere modellen of meer data. Integendeel, in de VUCA-wereld neemt onzekerheid alleen maar toe.

De toekomst ligt bij een mensgerichte benadering die risicoleiderschap bevordert op alle niveaus. Een benadering die ruimte laat voor variatie, die diversiteit waardeert, die het gesprek aangaat in plaats van achter spreadsheets te verschuilen. Risicomanagers transformeren van controleurs naar begeleiders, van modelmakers naar gespreksleiders.

Dit vraagt om andere vaardigheden: empathie, het vermogen om psychologische veiligheid te creëren, moed om het ondenkbare bespreekbaar te maken. Het vraagt ook om mentale fitheid – het vermogen om met onzekerheid te leven zonder in paniek te raken of juist te ontkennen.

Conclusie: geen risico, geen vooruitgang

Risicobeheersing is geen doel op zich, maar een middel om doelen te bereiken ondanks onzekerheid. De verschuiving van conventioneel risicomanagement naar risicoleiderschap markeert een volwassenwording. We erkennen dat we niet alles kunnen voorspellen of beheersen, en dat die erkenning ons juist sterker maakt.

Effectieve risicobeheersing combineert structuur met flexibiliteit, analyse met intuïtie, cijfers met verhalen. Het vraagt om leiders op alle niveaus die durven te experimenteren, die variatie toelaten, die het gesprek aangaan over wat acceptabele risico's zijn. Organisaties die deze balans vinden, zijn beter toegerust voor de uitdagingen van morgen.

De vraag is niet of je risico's neemt – die neem je toch wel. De vraag is of je dat bewust doet, met helder zicht op wat je wilt bereiken en waarom bepaalde risico's het waard zijn om te nemen. Dat is de essentie van moderne risicobeheersing.