Tag archieven: Risico

The Era of Global Risk

An Introduction to Existential Risk Studies

Edited by SJ Beard, Martin Rees, Catherine Richards, Clarissa Rios Rojas | 2023, Open Book Publishers

This innovative and comprehensive collection of essays explores the most significant threats facing humanity in the 21st century: threats that cannot be contained or controlled and can potentially bring about human extinction and civilization collapse. Bringing together experts from many disciplines, it provides an accessible survey of what we know about these threats, how we can understand them better, and most importantly, what can be done to manage them effectively.

These essays pair insights from decades of research and activism around global risk with the latest academic findings from the emerging field of Existential Risk Studies. Voicing the work of world-leading experts and tackling various vital issues, they weigh up the demands of natural systems with political pressures and technological advances to build an empowering vision of how we can safeguard humanity’s long-term future.

The book covers a comprehensive survey of how to study and manage global risks with an in-depth discussion of core risk drivers, including environmental breakdown, novel technologies, global-scale natural disasters, and nuclear threats. The Era of Global Risk thoroughly analyses the most severe dangers to humanity.

One of the most prominent advocates for the importance of global risk has been the World Economic Forum, who defines a global risk as “the possibility of the occurrence of an event or condition that, if it occurs, could cause significant negative impact for several countries or industries”. – quote from Introduction, xi

Inspiring, accessible, and essential reading for students of global risk and those committed to its mitigation, this book poses one critical question: How can we make sense of this era of global risk and move beyond it to a period of global safety?


Beard, S., Rees, M., Richards, C. and Rios Rojas, C. (eds) (2023) The Era of Global Risk: An Introduction to Existential Risk Studies. Cambridge, UK: Open Book Publishers. https://doi.org/10.11647/OBP.0336


Risk Governance: towards and integrative approach

A framework by International Risk Governance Council

Ortwin Renn, with annexes by Peter Graham | 2005

In this comprehensive white paper Risk Governance: Towards an integrative approach – coordinated and edited by Professor Ortwin Renn – the International Risk Governance Council (IRGC) brought together: “an integrated analytic framework for risk governance which provides guidance for the development of comprehensive assessment and management strategies to cope with risks, in particular at the global level. The framework integrates scientific, economic, social and cultural aspects and includes the effective engagement of stakeholders.” 

In this article the headlines are summarized. In the light of history this framework is noteworthy and marks the next phase in thinking of the risk concepts. It focuses on “the improvement of risk governance strategies for risks with international implications and which have the potential to harm human health and safety, the economy, the environment, and/or the fabric of society at large.”

“The concept of risk governance comprises a broad picture of risk: not only does it include what has been termed ‘risk management’ or ‘risk analysis’, it also looks at how risk-related decision-making unfolds when a range of actors is involved, requiring coordination and possibly reconciliation between a profusion of roles, perspectives, goals and activities. Indeed, the problem-solving capacities of individual actors, be they government, the scientific community, business players, NGOs or civil society as a whole, are limited and often unequal to the major challenges facing society today.”

Risk is understood in this document as an uncertain consequence of an event or an activity with respect to something that humans value 

  Kates et al. 1985 

“Risks such as those related to increasingly violent natural disasters, food safety or critical infrastructures call for coordinated effort amongst a variety of players beyond the frontiers of countries, sectors, hierarchical levels, disciplines and risk fields. Finally, risk governance also illuminates a risk’s context by taking account of such factors as the historical and legal background, guiding principles, value systems and perceptions as well as organisational imperatives.”


Kates, R.W., Hohenemser, C. and Kasperson, J. (1985) Perilous Progress: Managing the Hazards of Technology. Boulder: Westview Press. 

Renn, O. and Graham, P. (2005) Risk Governance: Towards an integrative approach. Geneva: International Governance Council.



Read white paper

This publication is part of Ecosystem City: Lessons from the Forest

Is the end of risk management near?

A collective reconsideration

Marinus de Pooter | 2015

For those who listen in various sectors, the picture quickly emerges that risk management is not successful in practice. And that despite all the investments made and the energy that has been put into it in recent years. If risk management does indeed bring so much good (as is usually claimed), how is it possible that line managers do not flock to training and conferences? Why don’t they queue up to learn more about all those wonderful concepts and tools (including the many impressive software applications)? As a management system, has it sold so badly or can it simply not deliver what is promised? Perhaps it is a combination of both. It’s time for something better. As far as I am concerned, the end of conventional risk management is near. I refer to the instrumental approach from a separate staff function. The limited enthusiasm for this usual setup is due to several factors. I will mention a number of observations from the consultancy practice.

Usually, risk management is invested in a separate function or in different specialised functions such as Security, Quality and Safety, et cetera. This easily leads to responses from line managers along the lines of: “We hired you to take care of those (information security) risks!” Regulators have devised the creation of a separate Risk Management department (or even a separate CRO function) as a counterbalance to the overthrown ambitions of line managers. However, just because of the differences in personalities, its effectiveness can only be limited. If you do something about risk management, because your supervisor requires it or because the head office requires it from you, it will not easily be embedded in your day-to-day operations. If you use it as an accountability tool, it will at most help to give supervisors a sense of (false) security.

As the backbone of their risk management systems, many organisations have built extensive management frameworks, for example for their financial reporting, information security, business continuity, etc. These frameworks, whether or not coordinated with each other, fit perfectly into a planning & control way of thinking. However, the unruly reality appears to only want to adapt to these frameworks moderately. Not least because of important disruptive factors such as people of flesh and blood. The “control frameworks” fit within the philosophy that the world can be made. If your goals are clear, you estimate your risks properly, you design, implement and implement appropriate measures, then you have reasonable assurance that reality will unfold as you did at the ‘P’ of your PDCA cycle (Plan-Do-Check-Act). In practice, this is considerably more nuanced.

The future is immensely complex, making simple predictions illusions. Some operational cause-effect relationships in a conditioned environment may be evident, but others (especially strategic ones) are difficult to determine. Many approaches conveniently ignore the limitations of our human capacities, such as estimating probabilities. If you imagine the world as an endless chain of causes and effects, then it is impossible to get a full picture of the future variants (scenarios). However, this relativity often remains unexplained, such as when determining resistive capacities.

It is also difficult that opportunities and risks are not tangible or identifiable. They are conceptual representations of future events or circumstances, which can be different for everyone. This realisation is suppressed in the more instrumental approach to risk management. Common tools such as risk registers and risk profiles can be very misleading. For example, they provide little insight into the mutual dependencies of the risk categories and the extent to which the organisational objectives will be achieved according to expectations. Moreover, the (dark red) top corner in risk diagrams (the well-known ‘heat maps’) is unrealistic: no organisation goes bankrupt (high probability) on a daily basis (high impact).

Structured thinking about the future is negatively used in conventional risk management. If you only focus on things that can go wrong, you are not holistic about the future. If you use separate risk reports with “key risk indicators”, then you give the signal that controlling threats (risk management) is separate from exploiting opportunities (performance management). You miss the connection with most directors and managers if you look at risks in isolation from opportunities. In the real world, they always go hand in hand: if you want to rule out personnel fraud completely, then as a manager you have to do everything yourself (and of course be honest as an employee).

When things go wrong, the media eagerly responds to sensational incidents. Don’t we think it’s all spectacular when a few large cranes fall on houses in Alphen aan den Rijn? However, thinking in a structured way about possible errors in advance turns out to be much less popular, because it is quickly associated with failure. For example, in an environment dominated by engineers, confidence in one’s own (technical) capabilities is nurtured. Even if the management team is primarily action-oriented, the structured improvement of the internal organisation can become subordinate to the “real work”. Not enough time is taken for reflection. The hustle and bustle of everyday life, such as putting out all kinds of fires, then determines the agenda.

Functional compartmentalisation quickly develops, especially in larger organisations. This makes it difficult for the management of the organisation to obtain and maintain a total overview of the operational management. The directing function is often less developed. And this while integrated opportunity and risk management is one major coordination issue to focus the separate disciplines and areas of knowledge on jointly achieving the formulated organisational objectives.

The above observations do not lead to great joy. It is therefore time for a rethink. Our brainpower and resources can be better spent. In my opinion, answering the main question for each management team should be central: do we manage our organisation in such a way that we meet the expectations of our most important stakeholders?


Below I give a number of point-by-point suggestions on how to achieve this in practice. In essence, they boil down to the removal of separate risk management functions. The focus should be on training decision-makers to make balanced decisions based on the agreed core values ​​and the best available information. This requires intensive cooperation and a heavy directing role for the management of the organisation.

  1. With a holistic approach you always look at opportunities and risks together. A project manager is alert to future circumstances that could promote (opportunities) or hinder (risks) the realisation of his or her objectives. It is about the integral performance that you achieve as an organisation. In that context, we should no longer use ‘risk management’ as an umbrella term. After all, most people associate that designation with things you shouldn’t have. Therefore, just use terms such as ‘(integral) management’ or ‘organise’.
  2. Many successful large SMEs do not have a separate risk management function. Of course, those management teams do manage their risks, although perhaps less explicitly than in conventional risk management. Transfer the compartmentalised risk management activities to other departments, such as Strategy & policy, Planning & control, Information provision, et cetera, and at P&O for training skills. Make sure that there is a coordination function high up in the organisation for the essential directing role.
  3. What makes integral opportunity and risk management especially challenging is that it is about the future. And that is simply uncertain. For example, no one knows whether Bitcoin will be the currency of the future or the next bubble. Realise that, as a team or individual, you can at most make the best possible move, making use of the available information.
  4. Probability and risk management is actually ‘expectation management’. Avoid unrealistic expectations. As humans, we are simply subject to many limitations. Consider the quality (timeliness, correctness, completeness, etc.) of our available information and the limitations of our human mind to make effective estimates. Be sure to also be alert to the temptations that can cause people to make wrong choices.
  5. In an environment steeped in planning and control, vigorous leadership is welcomed. “Yes, we can!” is associated with piloting the organisation’s ship through the turbulent waves. However, you must admit that you do not know exactly how it will all turn out. It is not that strange when the future is by definition uncertain.
  6. Management is about making decisions to create and maintain the intended value for your important stakeholders. The real added value of integrated management of opportunities and risks lies in the contribution to that decision-making. You need good information for good decision-making. Therefore, fully commit to knowledge management and big data, which will play an increasingly important role.
  7. Opportunity and risk management focuses on realizing the explicit and implicit objectives. The interests of specific stakeholders are decisive for these objectives. There are always interests involved when making decisions. See through that game. If you don’t understand what interests are in the background, you can never perform effective analyses of opportunities and threats.
  8. When you talk about creating and protecting value, the first question is of course what you understand by ‘value’. All too often it turns out to be about euros or dollars. But is money the end or the means? The answer depends on what your key stakeholders expect from your organisation. As a management team, first discuss what you really value. Only then does it make sense to talk about opportunities and risks.
  9. When organizing your (civil service) company to deliver and retain value for your important stakeholders, your vision is guiding. It must be clear to every employee in the organisation what you want to achieve together. That includes being clear about what you don’t want to achieve. Then the discussion automatically arises, which again was the intention of the organisation. Invest in developing and propagating that clear vision.
  10. Thinking together about opportunities and risks can best be done with daily activities as the basis. Your colleagues have to make their decisions there. Whether it concerns management, primary or supporting processes. They can make mistakes when carrying out any of the activities. They must also seize the opportunities there. Provide an integrated overview of what the important players within your organisation are doing. Without this overview it is difficult to see the interrelationships and to prioritize the desired improvements.
  11. Integrated opportunity and risk management is always about options for human action. Then you cannot avoid talking about ethics. If you reason from a “the-end-justifies-the-means” principle, you may be able to get away with inadequate legislation or enforcement. However, remember that there is more that you should not do beyond what is explicitly prohibited.
  12. In order to be able to make good judgments, you need clear core values ​​in addition to sound information. For example, to judge an investment that pays off nicely, but is ethically questionable. Core values ​​determine which stakeholders (and their interests) are dominant, what weighs most heavily in thorny issues and what behavior is expected of employees. They also play a key role in operationalising the tricky concept of ‘risk appetite’ (and its counterpart ‘chance greed’). Make sure your core values ​​are clear to all involved.
  13. The attitude of the people you have on board is decisive for a successful internal organisation. The CEO of a major international real estate investor recently told me that his chief risk manager is the Human Resources Director. Analyze the risk attitude of your managers. Select strictly at the gate on the moral compass and mentality of possible new colleagues. Also, as soon as possible, put people outside the gate who do not fit the intended core values ​​of your organisation.
  14. The owners of the objectives (and therefore of the processes required to achieve those objectives) must constantly make trade-offs. Namely what value they want to create and protect for which stakeholders. Make sure they have the necessary specialist help in realizing their objectives, for example because legislation and regulations (such as collective labor agreements) are complex, because technologies change quickly, et cetera.
  15. The added value of risk managers, controllers, compliance officers and similar functions lies in supporting those who serve the customers (citizens, tenants, patients, students, etc.). Require all staff positions to be of service to their colleagues who serve customers in the primary processes. They always have to make difficult decisions when using the available resources and can use valuable input from specialists in support departments.
  16. Taking advantage of opportunities is also a consideration process. Innovation implies uncertainty. New materials or methods can have great advantages, but the long-term effects will only become known afterwards. So it means daring to let go and being honest about possible disadvantages. Opportunities must also be prioritised. As a team, keep the focus on your strategy and prevent your colleagues from jumping on every passing train.
  17. Every issue related to internal organisation is about how much freedom you leave to the person who has to make the decisions. Do you trust the competences of the professional or is it better to record? Do you give freedom or are you going to standardise? Do you draw up tight schedules or do you count on the ability to improvise? As a management team, make conscious choices with regard to the frameworks.
  18. The underlying question in the integral management of opportunities and risks is: are you as an organisation resilient and agile enough to deal effectively with what is coming your way in the future? Keep in mind that the system world of planning and control has major limitations. Focus more on improving the agility of your organisation to respond to change (s) in circumstances.
  19. The future is inherently uncertain. It is advisable to put more effort into making forecasts (looking through the windshield of your car) than comparing with budgets (looking through the rear window). When making your decisions, therefore, do not primarily focus on whether there is a budget for it. More relevant is the question which action is wise in the light of the given (changed) circumstances.
  20. Making decisions is always optimising under preconditions. If you are responsible for something, but your options are too limited, then it is important to bring that up. Consider the situation where you cannot choose your own staff. “Competence is not a criterion here” recently sighed the controller of an Environmental Service during a reorganisation of the organisation. Apparently there was a balance between the interests of the employees and the trade unions on the one hand and the service and its ‘customers’ on the other. As a team, realise that the quality of the people you have in-house determines the ultimate effectiveness of your organisation.
  21. Ambition levels that are too high in a political environment demand solid guarantees. Like with that visionary mayor who saw an obvious regional function for his village. Supported by research reports from an expensive consultancy firm, he energetically focused on expanding retail capacity. It is not only due to increased internet sales that a significant portion of the store base is now empty. Be vigilant about controlling dominant personalities. Otherwise there can be no balanced decisions.
  22. Contracts are suitable instruments for making agreements about mutual rights and obligations. Design, construction, financing, maintenance and management are integrated in ‘DBFMO’ contracts. They can concern large interests for longer periods. Invest risks as much as possible with the contracting parties that can influence them the most, such as uncertainties with regard to permits.
  23. Dealing integrally with opportunities and risks is mainly about constantly discussing the considerations you make. In practice, it comes down to a critical look at the assumptions for submitted (investment) plans. Conduct ‘pre-mortem’ reviews. Raise it up if the substantiation in a business case is buttery soft and wafer-thin.
  24. If raising the subject of ‘accountability’ is already perceived as threatening in your organisation, there is still a lot to be done. Make those responsible for achieving the organisational objectives also responsible for exploiting the opportunities and managing the risks. Provide clarity about their ownership.
  25. If you ask me, the hardest part of dealing with opportunities and risks remains courage. If everyone yells ‘hosanna’ and ‘hallelujah’ about a possible collaboration or merger, do you, as a controller, dare to spoil the upcoming party, if you think the risks are too great? With that action you place yourself (partly) outside the group. And that remains difficult for everyone to do. Remember that good leaders value opposition. A culture of fear is not in the interest of an organisation.
  26. Being allowed to make mistakes is an indispensable condition for becoming a “High Reliability Organisation”. However, developing the learning capacity demands quite a bit from the attitude of the managers and stakeholders. After all, everyone really wants his or her treating doctors to work flawlessly. Train your people to make their decisions as professional as possible. And above all ensure exemplary behavior as a manager.

In this contribution, I have come to far-reaching conclusions regarding conventional risk management. I also touched on enriching options for adaptation with regard to integral (opportunity and risk) management. I would like to invite you to think further about its further application in daily practice. Send your suggestions to marinus@mdpmct.com. Thank you very much for that.

This essay is part of the web-book Public Risk Canon

Kanteling in risicomanagement

De weg naar good governance

Rik Buddenberg* | 2015

Het accent heeft de afgelopen jaren gelegen op risicomanagement en minder op Good Governance. Hoewel risicomanagement een belangrijk thema is, kan ik me niet aan de indruk onttrekken dat risicomanagement een enigszins achterhaald thema is. Het denken in scenario’s bij publieke organisaties is inmiddels op grote schaal gemeengoed geworden. In de begrotingen en jaarrekeningen van gemeenten (daar heb ik het meeste zicht op) worden in de risicoparagraaf de risico’s door de bank genomen zo goed en zo kwaad als dat kan gekwantificeerd en geconfronteerd met de beschikbare weerstandsreserves. 

Daar komt bij dat risicomanagement een betrekkelijk technocratisch onderwerp is. Het is een kunstje dat absoluut goed geregeld moet worden maar als het eenmaal is geregeld, ebt de belangstelling voor het onderwerp weg. Daarmee zeg ik niet dat fouten als gevolg van falend risicomanagement zich niet meer zullen voordoen. Dat zal altijd blijven gebeuren omdat verantwoordelijke bestuurders nog onvoldoende ervaring hebben of een tekortschietend besef van de risico’s. 

Maar waar het mij hier omgaat is dat het leerstuk van het onderwerp risicomanagement voldoende op de kaart staat. Diegenen, die zich hiervoor interesseren kunnen de informatie, die ze nodig hebben om risicomanagement goed te regelen altijd ergens vinden. De aandacht binnen risicomanagement verschuift ‘van cijfers en controle naar waarde en vertrouwen’. Er wordt meer gekeken naar menselijk kapitaal en de toegevoegde waarde hiervan voor een organisatie.

De aandacht binnen risicomanagement verschuift ‘van cijfers en controle naar waarde en vertrouwen’

Good Governance staat voor mij min of meer synoniem aan rolvastheid. Binnen een gemeente, mijn referentiekader, zijn diverse spelers actief in een voortdurend onderling spanningsveld zoals de gemeenteraad, het college van B en W, de burgemeester en de ambtelijke organisatie. Iedere actor moet de rol spelen, die hem of haar in het kader van de governance is toebedeeld. Maar al die actoren hebben voortdurend de neiging om op elkaars stoel te gaan zitten waardoor er fricties en irritaties ontstaan. 

En dat gaat ten koste van de effectiviteit en efficiency van het lokale openbare bestuur. Het is dus zaak om die botsing van tegengestelde belangen voortdurend te toetsen aan de regels van de governance om te voorkomen dat een lokale overheid teveel naar binnen is gericht en te weinig naar buiten. Lees de krant en de voorbeelden liggen voor het oprapen.

Vorig jaar was ik betrokken bij de organisatie van een congres met als thema: ‘De verbinding’. Hoe kun je verbinding leggen tussen de overheid en de samenleving? Die overheid is van oudsher verticaal georganiseerd: Rijk, provincies en gemeenten. Maar ook iedere overheidslaag op zich is hiërarchisch georganiseerd met meerdere managementlagen. 

De samenleving daarentegen is door de digitalisering en de opkomst van social media horizontaal georganiseerd. Via netwerken zijn we allemaal aan elkaar gelinked. Die gedigitaliseerde wereld heeft mondige en vitale burgers voortgebracht, die goed voor zichzelf kunnen zorgen. De confrontatie tussen de verticale georganiseerde overheid met de horizontale netwerksamenleving schuurt en roept fricties op. 

De vraag is derhalve hoe die verticale overheid moet reageren op de horizontale netwerksamenleving. Of anders geformuleerd: wat zijn de consequenties voor de besturingsfilosofie van de overheid? In de kern gaat het hier om de vraag hoe de veranderingen in de externe omgeving van invloed zijn op het vraagstuk van ‘Good Governance’.

Het antwoord wordt gegeven in het baanbrekende rapport uit 2012 van de Raad voor Openbaar Bestuur: ‘Loslaten in Vertrouwen’. Een zoektocht naar een nieuwe verhouding tussen overheid, markt en samenleving met als conclusie dat de overheid moet terugtreden ten behoeve van de samenleving. De burger moet meer ruimte krijgen om zijn zaakjes zelf te regelen en de overheid moet erop vertrouwen dat het goed komt in plaats van alles via wet- en regelgeving te reguleren. De overheid zit dan niet meer aan het stuur maar creëert voorwaarden waaronder de burger optimaal tot zijn recht komt. Kortom de overheid stimuleert en faciliteert.

Afhankelijk wat burgers kunnen en willen moet de overheid maatwerk leveren

Afhankelijk wat burgers kunnen en willen moet de overheid maatwerk leveren. Dat betekent voor politici, bestuurders en ambtenaren dat ze meer procesbegeleider moeten worden en minder beleidsbepaler. Het zoeken naar verbinding met de samenleving vraagt derhalve om een andere attitude en stelt veel grotere eisen aan de communicatieve vaardigheden van politici, bestuurders en ambtenaren.

Wanneer ik het bovenstaande vertaal naar de praktijk van de gemeenteraad, dan zie ik een tweetal ontwikkelingen. In de eerste plaats moet de gemeenteraad bevoegdheden loslaten aan burgerinitiatieven, wijkraden, maatschappelijk middenveld et cetera in het kader van de zogenaamde doe-democratie. Hier is de laatste tijd veel literatuur over verschenen.

Aan de andere kant zou je in eerste instantie verwachten dat gemeenteraden nieuwe taken erbij krijgen door de decentralisatie van het sociaal domein: jeugdzorg, participatie en arbeidsmarkt en WMO. Maar dit is schijn.

Gemeenten blijken grosso modo te klein te zijn om deze omvangrijke decentralisatie-operatie op eigen kracht te accommoderen. Het gevolg is nieuwe gemeenschappelijke regelingen om in samenwerking met buurgemeenten het sociaal domein op de rails te zetten waardoor de gemeenteraad verder op afstand komt te staan.  En dan te bedenken dat de gemeenteraad al veel heeft moeten inleveren aan doorzettingsmacht door de regionalisering van de politie, brandweer, ggd’en, omgevingsdiensten, afvalinzameling et cetera.

Kortom de gemeenteraad wordt aan 2 kanten in de tang genomen? Naar aanleiding van de gemeenteraadsverkiezingen vorig jaar is er een interessant boekje verschenen met interviews met personen, die hun sporen in het lokaal openbaar bestuur hebben verdiend. Voor mij heel herkenbaar. De titel: ‘De gemeenteraad heeft geen toekomst meer’.  In de kern gaat het hier ook weer om veranderingen in de governance. 

Het D66 Tweede Kamerlid Vera Bergkamp heeft naar aanleiding van de hierboven beschreven ontwikkelingen een motie ingediend waarin zij vraagt hoe de democratische legitimatie van gemeenschappelijke regelingen in gemeenteraden kan worden verbeterd. 

Naar mijn idee een onoplosbaar probleem zolang het aantal gemeenschappelijke regelingen zo drastisch toeneemt als vandaag de dag. Dit kan alleen bij een forse schaalvergroting in het binnenlands bestuur waardoor veel gemeenschappelijke regelingen overbodig worden. Kortom interessante governance-achtige thema’s.

Tenslotte nog iets over de verschuiving ‘van cijfers en controle naar waarde en vertrouwen’. Illustratief in dit verband is de hype rond het boek “Dit kan niet waar zijn” van Joris Luyendijk. Zijn boek is een verslag van antropologisch veldwerk in de City, het financiële centrum van Londen. 

Nu hij door Nederland trekt en lezingen geeft in alle hoeken en gaten hoort Joris Luyendijk overal hetzelfde: “Wat u beschrijft, gebeurt bij ons ook. De bezieling is verbannen uit ons werk, de waarde ervan gaat verloren, alles wat overblijft zijn meetbare doelen, cijfers, rendementen, targets.” ‘Dit kan niet waar zijn’ staat op nummer één in de boeken top tien, niet omdat het over Londen gaat maar omdat het over ons gaat: de City is overal.

Hieruit blijkt dat het onderwerp zingeving en waardenoriëntatie op dit moment zeer actueel is.

*Rik Buddenberg is voormalig burgemeester van Pijnacker-Nootdorp, lid van de Raad voor de financiële verhoudingen, directeur/eigenaar van Buddenberg Consultancy en voormalig bestuurslid van PRIMO Nederland.

Dit essay is opgenomen in de bundel Publiek Risico: Essays.

Risk Culture: Under the Microscope Guidance for Boards

The Institute of Risk Management | 2012

Richard Anderson, Chairman of The Institute of Risk Management: “For over 25 years the Institute of Risk Management has provided leadership and guidance to the emerging risk management profession with a unique combination of academic excellence and practical relevance. The Institute’s profile continues to grow internationally with heightened interest in the management of risk across government, public and business domains. 

This board guidance on risk culture is our latest contribution to thought leadership in the field. The continuing parade of organisational catastrophes (and indeed some notable successes) demonstrates that frameworks, processes and standards for risk management, although essential, are not sufficient to ensure that organisations reliably manage their risks and meet their strategic objectives. What is missing is the behavioural element: why do individuals, groups and organisations behave the way they do, and how does this affect all aspects of the management of risk?

“Problems with risk culture are often blamed for organisational difficulties but, until now, there was very little practical advice around on what to do about it.”

Problems with risk culture are often blamed for organisational difficulties but, until now, there was very little practical advice around on what to do about it. This paper seeks to give guidance in this area, drawing upon the wealth of practical experience and expert knowledge across the Institute. It aims to provide advice to organisations wanting greater understanding of their own risk cultures and to give them some practical tools that they can then use to drive change. It should be of interest to board members, executive and non-executive, risk professionals, HR professionals, regulators and academics.

Risk_Culture_IRM 2012


This short document summarises our approach to risk culture for those working at board level. There is also a longer companion document – Risk Culture: Resources for Practitioners – which covers the detailed thinking behind the concepts and models that we have found to be useful. This remains a developing area and we do not consider that we have written the last word on the subject – we expect to see more models and tools and in particular sector and issue-specific work emerging in the future.”

This publication is part of the web-book Public Risk Canon

Stop met risicomanagement, begin met waardemanagement

Peter Paul Leutscher* en Marinus de Pooter** | 2014

Over energie, rollen en het speelveld

Veel profit en non-profit organisaties hebben in de afgelopen jaren geïnvesteerd in risicomanagementsystemen. Het is onze observatie dat veel van die inspanningen niet hebben geleid tot bevredigende resultaten voor bestuurders en managers. In dit artikel bespreken wij diverse redenen hiervoor. Ook zetten wij uiteen waarom waardemanagement een beter alternatief is. Onder ‘waardemanagement’ verstaan wij alle managementactiviteiten gericht op het creëren en behouden van waarde voor de stakeholders. Nadat we zijn ingegaan op oorzaken waarom traditioneel risicomanagement niet werkt, geven we aan wat de kenmerken en voordelen van waardemanagement zijn. We sluiten af met een beknopte schets van de invoering ervan in de praktijk.

Waarom traditioneel risicomanagement tekort schiet

Wij denken dat traditioneel risicomanagement is ontspoord. We zien dat het in de praktijk vooral wordt ingestoken als een beheersinstrument voor het management. Vanuit de gedachte dat het een kwestie is van duidelijke doelstellingen formuleren en van voldoende interne beheersing inzetten. Dat de toekomst zich vervolgens zal ontvouwen zoals bedacht is volgens ons echter een illusie. De organisatieleiding staat voor de uitdaging om haar visie te realiseren in een onzekere toekomst. Dat gebeurt altijd met beperkte informatie. Er zijn immers altijd actoren en factoren waar zij slechts beperkt grip op hebben. De toekomst is inherent onzeker en de menselijke vermogens zijn beperkt. Dat noopt tot bescheidenheid. Dat idee past echter niet zo lekker in de denkwereld van beheersbaarheid. 

“Wij denken dat traditioneel risicomanagement is ontspoord”

Veel lijnmanagers lijken het gevoel te hebben dat ze eindelijk verder kunnen met hun gewone werk, als ze klaar zijn met hun opgelegde risicomanagement bezigheden. Die laatste hebben dan vaak een “’t is rot, maar ’t mot” karakter. Terwijl het afwegen van kansen en risico’s juist inherent is aan beslissingen nemen. Het valt ons verder op dat er weinig wordt gedacht aan risicomanagement, als het gaat over zaken die er echt toe doen. Dat leidt ertoe dat risicomanagers er niet bijgehaald worden, daar waar ze echt waarde kunnen toevoegen. Denk bijvoorbeeld aan geplande fusies, samenwerkingsverbanden, nieuwe productintroducties en betreding van nieuwe markten.

We zien dat er veel energie wordt gestoken in het inventariseren van mogelijke risico’s. Risicoregisters, ‘controlmatrices’ en risicodiagrammen voeren de boventoon. Die hebben echter het inherente gevaar dat ze vervolgens een leven op zich gaan leiden. Het draait dan om het inventariseren van zoveel mogelijk risico’s. Dan zijn de risicomanagementactiviteiten niet meer primair gericht op het actief managen van de onzekerheden die verbonden zijn met het behalen van de organisatiedoelstellingen. Bij veel analyses blijven de stakeholders zelfs helemaal buiten beeld. Hoe vaak hoort u de vraag stellen: ‘in hoeverre worden onze klanten (lees ook: burgers, patiënten, studenten) nu echt beter van deze maatregelen?’.

De veel gehanteerde term ‘risicomanager’ vinden wij misleidend. Deze staffunctionaris is niet degene die de risico’s beheert. Dat is de lijnmanager, die de klanten bedient en telkens belangrijke afwegingen moet maken in de reguliere bedrijfsvoering. ‘Decision facilitator’ vinden wij een betere aanduiding dan ‘risk manager’. Niet alle stakeholders hebben gelijksporende belangen. Doelstellingen kunnen conflicteren: snelheid en zorgvuldigheid gaan zelden samen; idem hoge kwaliteit en lage kosten. Verlengde openstelling van gemeentelijke diensten is aangenaam voor de burgers, maar betekent ook dat de medewerkers hun privé-omstandigheden anders moeten inrichten, dat de facilitaire kosten toenemen et cetera. 

Het is de lijnmanager die over risico’s gaat, niet de risicomanager

Een ander belangrijk nadeel van de huidige praktijk is dat de risicomanagement-activiteiten vooral gericht zijn op het negatieve. Overigens een verschijnsel dat we ook tegenkomen bij management letters en internal audit rapporten. Gaat u zelf maar na hoe vaak die vooral opsommingen bevatten van zaken die niet deugen. 

We merken dat er niet effectief wordt omgegaan met de interne regelgeving: verschillende functionarissen uit verschillende disciplines houden zich ermee bezig zonder veel coördinatie. Als de risicobereidheid niet wordt uitgesproken, ontstaat bij interne regelgevers de neiging om aan “de veilige kant” te gaan zitten. Dan verlangt men al gauw veel meer dan echt nodig is. Als die vele regels ook nog eens niet goed worden afgestemd tussen interne regelgevers onderling, dan is de regelchaos navenant. Kent u organisaties die beschikken over een goed gecoördineerd centraal huisregelhuis (beleidscentrum), waar alle interne spelregels voor iedereen duidelijk te vinden zijn? 

Het is onze observatie dat de interne regelgeving regelmatig over de schutting van de vestigingen of afdelingen wordt gekieperd: “Aangehecht vindt u het nieuwe inkoopbeleid. Wij wensen u veel succes met de implementatie!” De reacties laten zich raden, zeker als er geen evenwichtig proces aan is voorafgegaan van ‘reality check’ door de mensen die de regels in de praktijk moeten toepassen. Die stap is wel nodig om na te gaan of de nieuwe werkstandaarden, spelregels, etc. uiteindelijk kunnen werken zoals bedoeld. Het overslaan van die stap werkt niet bepaald draagvlak verhogend. Zeker niet, als er ook nog eens onvoldoende aandacht wordt besteed aan de doorvertaling naar de werkvloer (bijvoorbeeld door middel van uitlegsessies, helpdesks et cetera). 

De meeste risicomanagementsystemen zijn gebaseerd op beheersmaatregelen, die worden bedacht (ontwerp), uitgevoerd (bestaan) en getoetst (werking). Het is belangrijk om te beseffen dat er hierbij steeds afwegingen worden gemaakt. Essentieel is dan wie je die keuzen laat maken. We zien dat dit gemakkelijk kan ontaarden in het zoveel mogelijk dichttimmeren van de bedrijfsprocessen. Risico’s zijn er immers om gemitigeerd te worden, zo luidt de redenering. Dat is echter een eenzijdige benadering. Er zijn meer manieren om met onzekerheid om te gaan dan alleen ‘mitigeren’ (‘treat’). Denk ook aan het maken van goede afspraken in contracten (‘transfer’), het weloverwogen aanvaarden van risicovolle omstandigheden (‘take’) of het beëindigen van activiteiten (‘terminate’). 

Van mensen werkzaam in internal audit functies horen we hoezeer het ontbreken van goed georganiseerde interne regelgeving het uitvoeren van audits bemoeilijkt. Internal auditors gebruiken – bij gebrek aan beter – doorgaans zelfverklaarde ‘best practices’ als norm waartegen zij toetsen. Als de interne kaders helder zijn, dan wordt het vergelijken van de werkelijkheid met deze norm een stuk eenvoudiger.

Het besef dat risicoanalyses slechts meningen zijn…

Het besef dat risicoanalyses slechts meningen zijn zouden wij in de praktijk graag meer aantreffen. Inschattingen van risico’s (hetzelfde geldt ook voor kansen) worden beïnvloed door onder meer (recente) ervaringen, inzichten, competenties en attitudes van de betrokkenen. De opgestelde risicoprofielen zijn bovendien misleidend. We hebben het over de diagrammen met de gebruikelijke kleuren rood-oranje-geel-groen, met op de x-as de waarschijnlijkheid en op de y-as het effect. Het ‘rode gedeelte’ betreft de zogenaamde fantoomrisico’s. Die zijn niet werkelijkheidsgetrouw! Er zijn geen organisaties die dagelijks (zeer hoge waarschijnlijkheid) in de situatie verkeren dat ze failliet gaan (zeer hoog effect). De managementaandacht zou veeleer uit moeten gaan naar risico’s die een groot effect hebben, maar waarbij de kans op optreden gering wordt geacht. Dat zijn de echt gevaarlijke!

In de gebruikelijke instrumentele benadering van risicomanagement is er weinig of geen aandacht voor cultuuraspecten. Gedrag is echter de meest bepalende factor. We hebben het dan over leiderschap, interne samenwerking, mogelijkheden om onplezierig nieuws veilig te melden, het elkaar aanspreken op het overtreden van principes, et cetera. Bij organisaties komen we regelmatig beloningssystemen tegen die ongewenst gedrag in de hand werken. In het bedrijfsleven zien we verkopers die commissies krijgen op basis van gefactureerde omzet, niet op basis van geïncasseerde facturen. De onderliggende gedachte daarbij is ongetwijfeld dat de financiële afdeling zich mag bekommeren om het debiteurenrisico. 

Inschattingen van de toekomst zijn altijd gebaseerd op veronderstellingen. Zonnekoningen houden niet zo van mensen die de gehanteerde veronderstellingen ter discussie stellen. Wij vinden daarentegen dat die kritische mensen juist waarde toevoegen voor hun organisatie. Mensen die tegen de stroom in willen gaan hebben echter thuis ook een hypotheek. Er is moed voor nodig om veronderstellingen in businessplannen ter discussie te stellen. Het is gemakkelijker om met de kudde mee te lopen dan jezelf buiten de groep te plaatsen door je kritische opmerkingen – hoe terecht die ook zijn.

De meerwaarde van waardemanagement

Het is onze waarneming dat veel managementteams er maar beperkt aan toe komen om gezamenlijk te kijken naar de kwaliteit van hun interne organisatie. Velen zijn druk bezig met de operationele hectiek en het blussen van dagelijkse brandjes. Een gestructureerde verbeteraanpak zou hen dan helpen om daar verandering in te brengen. En dat is waar het bij waardemanagement om gaat. 

Holistisch kijken naar zowel kansen als risico’s is ook een voorwaarde om de visie en strategie van de organisatie te kunnen realiseren. Dat moet uiteindelijk gebeuren in de primaire bedrijfsprocessen. Daar moet je als managementteam de waarde voor de stakeholders creëren en behouden. Bij de dagelijkse activiteiten moet je je kansen benutten en je risico’s beheersen. Daarbij gaat het altijd over het maken van afwegingen onder onzekerheid. Dat is bij uitstek het geval bij innovatieve trajecten of projecten. Strategische plannen, business cases, etc. worden volgens ons alleen maar sterker, als er zogenaamde “pre-mortem reviews” worden uitgevoerd.

Het gaat erom je kansen te benutten en je risico’s te beheersen

Als organisatieleiding moet je voorkomen dat het inrichten van de interne organisatie een mechanische aangelegenheid wordt. Het is een kwestie van telkens afwegingen maken. Als je te maken hebt met voldoende capabele en integere mensen, dan heb je weinig maatregelen en kaders nodig. Moeilijke keuzen maken en dilemma’s verzoenen moet je kunnen doen op basis van gedeelde kernwaarden. Die zijn belangrijker dan protocollen, richtlijnen, procedures en werkinstructies. Vaak genoeg de waarom-vraag te stellen zorgt ervoor dat de kernwaarden helder worden. 

Het is onze ervaring dat een holistische benadering mensen zeer aanspreekt. Je onderneemt (bedrijfs)activiteiten in de verwachting om daarmee bepaalde doelen te bereiken. Je gaat op zoek naar kansen en omstandigheden die de realisatie ervan bevorderen (opportuniteiten). Onderweg kan er ook van alles gebeuren dat je belemmert om die doelen te bereiken (risico’s). Belangrijke mogelijke verstoringen wil je in beeld krijgen, de nodige maatregelen treffen en deze borgen in de dagelijkse bedrijfsvoering. 

Waar gehakt wordt vallen spaanders. Mensen – van hoog tot laag – maken fouten in de processen en projecten. Als je als managementteam gericht bent op voortdurend leren, dan vind je het ook niet zo verwonderlijk, dat er naast ‘opstaan’ ook steeds sprake zal zijn van ‘vallen’. 

Als managers en overige medewerkers ook echt fouten mogen maken, betekent dat een wereld van verschil voor de betrokkenen. Werkt u in een omgeving waarin mensen veilig kunnen zeggen wat ze denken? En waarin ze veronderstellingen ter discussie kunnen stellen zonder dat ze gelijk worden bestempeld als non-coöperatief? Dat zijn voorwaarden om een “High Reliability Organization” te kunnen worden. Dan ga je agressief op zoek naar mogelijke zwakheden in je bedrijfsvoering. Dan kun je die in een zo vroeg mogelijk stadium ontdekken en er wat aan doen. Maar toestaan dat er fouten worden gemaakt vereist vooral moed. Daarbij is niets overtuigender dan voorbeeldgedrag van leidinggevenden. 

Waardemanagement stelt de dagelijkse bedrijfsactiviteiten centraal. Daar moet je waarde creëren en behouden voor je stakeholders. Daar moet je afdoende maatregelen treffen. Waardemanagement richt zich op de voortdurende verbetering van de huidige werkstandaarden. Zonder goede doelen, kwaliteitseisen, kaders en standaarden kun je niet goed afwijkingen meten. En zonder afwijkingen ervaar je geen problemen. En zonder gevoelde problemen is er weinig animo om verbeteringen door te voeren. 

Waardemanagement gaat ervan uit dat de lijnmanagers aan het stuur zitten

De kaders die de organisatieleiding aan managers en overige medewerkers meegeeft raken aan de balans tussen vertrouwen en controle. Zeer competente en integere managers hoef je maar weinig kaders mee te geven. Als mensen echter (nog) niet toegerust zijn voor hun taak, weinig intuïtie hebben ontwikkeld of verkeerde intenties hebben, dan zullen regels niet snel toereikend zijn. 

Waardemanagement gaat ervan uit dat de lijnmanagers aan het stuur zitten. Zij moeten de geformuleerde doelstellingen bereiken en dienen het laatste woord te hebben als het gaat over de interne organisatie. Uiteraard hebben ze bij het inrichten daarvan de ondersteuning nodig van mensen die verstand hebben van bijvoorbeeld regelgeving (zoals HR functionarissen en compliance officers), techniek (zoals ICT managers) en financiële verantwoording (zoals controllers). 

Ook hebben ze mensen nodig die besluitvorming kunnen faciliteren (zoals risicomanagers) of die onafhankelijk kunnen onderzoeken in welke mate de afgesproken kaders in de praktijk worden gerespecteerd (zoals internal auditors). Maar uiteindelijk moeten de lijnmanagers zelf de afwegingen maken in hun dagelijkse worsteling om te voldoen aan de verwachtingen van hun veeleisende klanten. 

Het is gebruikelijk dat de organisatieleiding door middel van velerlei rapportages uit de verschillende silo’s binnen de organisatie wordt geïnformeerd over de stand van zaken. Goede toepassing van waardemanagement maakt het eenvoudiger om een geïntegreerde rapportage te krijgen van alle aspecten van de bedrijfsvoering. Zo kan er een gedeelde visie ontstaan over de mate waarin de doelstellingen zijn behaald en naar waarschijnlijkheid zullen worden gehaald in de toekomst. De blik verschuift dan naar voren. Goede prognoses zijn er het bewijs van dat de managers in kwestie hun kansen kennen, evenals hun risico’s en de kwaliteit van de interne beheersing in hun verantwoordelijkheidsgebied. 

Waardemanagement gaat over strategie, structuur én cultuur. Het gaat er niet alleen om wat je met elkaar afspreekt (de ‘spelregels’), maar vooral ook in welke mate je elkaar aanspreekt op de naleving ervan. Het gaat dus om het in kaart brengen van niet alleen wat er zich “boven de tafel” afspeelt, maar evenzeer over wat er “onder de tafel” gebeurt. 

Waardemanagement in de praktijk

In de weerbarstige praktijk helpen wij onze opdrachtgevers met het stroomlijnen van hun interne organisatie, gericht op het creëren en behouden van waarde voor hun belangrijke stakeholders. De benadering verschilt niet wezenlijk voor bijvoorbeeld MKB-bedrijven, semi-overheid, NGO’s, overheden of beursgenoteerde bedrijven. Steeds vormen de dagelijkse bedrijfsactiviteiten het vertrekpunt. 

De aanpak bestaat uit drie stadia:

  • Visualiseren.
  • Prioriteren.
  • Optimaliseren.

Ad 1. Visualiseren

We stellen een organisatieplattegrond op waarop alle relevante activiteiten in beeld worden gebracht. Dat doen we op een zodanig verdicht niveau dat een integrale analyse mogelijk is. Dat kan voor het hele concern of bijvoorbeeld voor een bepaald(e) divisie, dienst, werkmaatschappij, land, vestiging, afdeling of project. Zo ontstaat er een visuele voorstelling van alle relevante activiteitenclusters binnen de organisatie. Die zijn historisch zo gegroeid en geven dus ook de eigenheid van de organisatie weer. Doorgaans onderscheiden we daarbij activiteiten met betrekking tot de aansturing, het primaire proces en de ondersteuning. Het gaat in totaal om zo’n 15 hoofdclusters; voorbeelden zijn: ‘Dienstverlening, ‘Inkoop’, ‘Personeel’, ‘IT’ en ‘Financiering’.

Elk van de hoofdclusters bestaat uit tussen de 5 en 15 activiteitenclusters. Bij het hoofdcluster ‘Personeel’ gaat het dan onder meer over clusters als: “arbeidsmarkt verkennen”, “werven, selecteren en screenen”, “arbeidsvoorwaardenhuis beheren”, “pensioenen beheren”, “onderhandelen en arbeidscontracten beheren”, “relaties vakbonden onderhouden”, “trainen, opleiden en ontwikkelen” en “aanwezigheid registreren”. 

Afhankelijk van de ‘scope’ van de analyse gaat het doorgaans in totaal om tussen de 150 en 200 activiteitenclusters. Dat aantal blijkt in de praktijk goed te overzien, als ze integraal op een tafel of aan de wand worden uitgebeeld. Om een zo groot mogelijke herkenbaarheid voor de betrokkenen te realiseren zorgen we ervoor dat we aansluiten bij de benamingen die in de organisatie gebruikt worden.  

De plattegrond geeft voor het managementteam het gemeenschappelijke speelveld weer. Wij merken dat het overzicht zelfs verhelderend werkt voor collega’s die al jarenlang samenwerken, maar slechts beperkt weet hebben van waar hun collega’s zich specifiek mee bezighouden. Nadat de activiteiten in beeld zijn gebracht richten we ons op het verduidelijken van de verantwoordelijkheden. Wie kun je erop aanspreken, als de activiteiten in kwestie niet goed gaan? Ook inventariseren we per activiteitencluster de belangrijkste applicaties voor transactieverwerking, die de basis vormen voor de informatievoorziening (besluitvorming en verantwoording). 

Een voor de hand liggende vraag is hoe de huidige activiteiten zich verhouden tot de geformuleerde doelstellingen en de verwachtingen van de stakeholders. Veel bedrijfsactiviteiten zijn historisch gegroeid. Hoe dragen zij bij aan het realiseren van de huidige doelstellingen? We zien ook dat er (ambitieuze) doelstellingen bij zijn gekomen waar helemaal nog geen passende activiteiten voor zijn ingericht.

Waardemanagement gaat uit van het werken op basis van bepaalde werkstandaarden, kaders, procedures et cetera. Uiteraard voor zover als deze nodig geacht worden om de organisatie goed te kunnen laten functioneren. Het gezamenlijk werken aan voortdurende verbetering betekent voor een managementteam focus op het:

  • Wat (welke activiteiten willen we doen?).
  • Hoe (op welke manier willen we die activiteiten doen?).
  • Waarom (voor wie willen we die activiteiten eigenlijk doen?).

Ad 2. Prioriteren

In deze fase benoemen we concreet wat er bij (de uitvoering van) de dagelijkse werkzaamheden anders gedaan zou moeten worden: de verbetermogelijkheden. De geïdentificeerde verbeteringen betreffen zowel interventies in de organisatiecultuur, als aanpassingen van de structuur: wijzigingen in de bedrijfsactiviteiten, taken, bevoegdheden, verantwoordelijkheden, applicaties, besluitvorming, overlegstructuren et cetera. Het samen creëren van een intern platform voor voortdurend verbeteren draagt bij aan inzicht in de onderlinge samenhang en aan wederzijds begrip.

Tijdens workshops bepaalt en prioriteert het managementteam gezamenlijk wat er specifiek te verbeteren valt. Daarbij maken zij voor zichzelf en hun collega’s duidelijk door welke ‘brillen’ zij naar de activiteitenclusters kijken. Allemaal vanuit het besef dat ook hun stakeholders steeds door bepaalde brillen naar de organisatie kijken. Als het goed is, hebben die gekozen perspectieven alles te maken met de doelstellingen van de organisatie. Het kan dan bijvoorbeeld gaan over: continuïteit, veiligheid, duurzaamheid, integriteit, snelheid, efficiëntie, ondernemendheid en rendement.  Het is goed om te realiseren dat het woord ‘verbeteren’ op zich een leeg begrip is. De eerste vraag moet altijd zijn: wat versta je precies onder ‘beter’? Ook langs die weg kom je dan weer uit bij de waarde die je wil creëren en behouden voor je stakeholders.

Ad 3. Optimaliseren

De door te voeren verbeteringen zijn als het ware ‘verbouwingen’ van de bedrijfsvoering, terwijl de verkoop gewoon doorgaat. Daarom moeten deze aanpassingen goed geregisseerd worden. Wie herkent niet de situatie dat er talloze verbeterinitiatieven naast elkaar (blijken te) lopen, maar dat het overzicht erover ontbreekt? Het is dan ook zaak om te zorgen voor goed programmamanagement. 

Elke organisatie heeft slechts een bepaalde hoeveelheid verandercapaciteit. Daarom komt het aan op voortdurend prioriteren: welke verbouwingen moeten er vooral doorgaan? Welke kunnen we beter stoppen, omdat de beoogde resultaten voortdurend uitblijven? Het is handig om een duidelijk basissjabloon te hebben voor de verbeterplannen. Dat kan ook helpen bij het nadenken over het grote ‘waarom’: wat draagt de voorgestelde verandering van onze wijze van werken specifiek bij aan het beter realiseren van welke doelstellingen? 


In dit artikel zijn we nader ingegaan op waardemanagement. Tot slot vatten we hieronder een aantal kenmerken van deze benadering samen:

  • Integraal – ze neemt waardecreatie en –behoud voor belangrijke stakeholders als uitgangspunt.
  • Richtinggevend – ze is gericht op de realisatie van de visie en de uitvoering van de strategie.
  • Holistisch – ze kijkt nadrukkelijk ook naar de opportuniteiten.
  • Praktisch – ze neemt de dagelijkse activiteiten als basis.
  • Verhelderend – ze maakt duidelijk wie verantwoordelijk is voor het goed uitvoeren van welke activiteiten.
  • Verrijkend – ze helpt managementteams om bewust door relevante ‘brillen’ te kijken naar hun bedrijfsvoering.
  • Prioriterend – ze stelt in staat om gestructureerd te kiezen uit verschillende verbetermogelijkheden.
  • Faciliterend – ze legt nadruk op het afwegen van passende werkstandaarden.
  • Ontzorgend – ze helpt om grip te houden op de vele lopende verbeterinitiatieven.
  • Verbindend – ze stelt het gemeenschappelijke speelveld (de ‘plattegrond’ van de bedrijfsvoering) centraal.

*Peter Paul Leutscher is partner van de RedZebra Group en ** Marinus de Pooter is eigenaar van stay future proof. Hun essay is opgenomen in het e-boek Publiek Risico: 100 Essays.

2022 Global Risk Survey: Embracing risk in the face of disruption

PricewaterhouseCoopers | 2023

The world has changed in the past two years, as has the risk environment in which organizations operate. Today, change is fast and disruptive: caused disturbance in the labour market and the supply chain. The current volatile geopolitical environment is further exacerbating supply constraints, heightening cyber risks, introducing rapidly evolving sanctions and putting safety and humanity at the forefront of all decisions. Ransomware attacks are more frequent and more sophisticated, no doubt a driver of cyber’s rise to the top threat to business among CEOs in our 25th Global CEO Survey.

“Organizations’ risk management and broader resilience capabilities need to quickly adapt to support business agility and to contribute proactive, robust and timely risk insights for decision-making… Risk management capabilities provide the greatest value to Board members and business leaders when they are embedded within the organization’s strategic planning and decision-making processes.”

The changing work environment brought on by the pandemic continues to disrupt talent and labour markets. Supply shortages, sanctions and rising raw material costs are heightening risks within supply chains as organizations deal with upstream risks related to subcontractors and other fourth parties that add further complication.

“We are living through extraordinary times, with five broad megatrends—climate change, technological disruption, demographic shifts, a fracturing world and social instability—reshaping the business environment.”

Customers, investors and other stakeholders are laser-focused on ESG, particularly in light of recent proposed SEC climate disclosures. Each of these risks can cause significant impacts, but because they are also highly interconnected, any one risk can initiate far-reaching implications across the enterprise and put brand and reputation at stake.

Read more

Is het einde van risicomanagement nabij?

Marinus de Pooter | 2014

Tijd voor een collectieve herbezinning!

Voor wie zijn oor te luisteren legt in uiteenlopende sectoren doemt spoedig het beeld op dat risicomanagement in de praktijk maar beperkt aanslaat. En dat ondanks alle gedane investeringen en de energie die er in de afgelopen jaren in is gestoken. Als risicomanagement inderdaad zoveel goeds brengt (zoals gewoonlijk wordt beweerd), hoe kan het dan dat lijnmanagers niet massaal afkomen op trainingen en congressen? Waarom staan zij niet in de rij om meer te leren over al die prachtige concepten en instrumenten (inclusief de vele indrukwekkende software applicaties)? Is het als managementsysteem zo slecht verkocht of kan het gewoon niet waar maken wat er wordt beloofd? Wellicht is het een combinatie van beide. 

Het is tijd voor iets beters. Wat mij betreft is het einde van conventioneel risicomanagement nabij. Ik doel op de instrumentele benadering vanuit een aparte staffunctie. Het beperkte enthousiasme voor deze gebruikelijk opzet komt volgens mij door meerdere factoren. Ik noem een aantal observaties vanuit de adviespraktijk.

Gewoonlijk wordt risicomanagement belegd in een aparte functie of in verschillende gespecialiseerde functies zoals Beveiliging, Kwaliteit en veiligheid, et cetera. Dit leidt gemakkelijk tot reacties van lijnmanagers in de trant van: “We hebben jullie toch aangenomen om voor die (informatiebeveiligings-)risico’s te zorgen!” Toezichthouders hebben het creëren van een aparte afdeling Risicomanagement (of zelfs een aparte CRO functie) bedacht als tegenwicht voor doorgeslagen ambities van lijnmanagers. Echter, alleen al vanwege de verschillen in persoonlijkheden kan de effectiviteit slechts gering zijn. Als je iets aan risicomanagement doet, omdat dat nu eenmaal moet van je toezichthouder of omdat het hoofdkantoor het van je verlangt, dan wordt het niet snel ingebed in je dagelijkse bedrijfsvoering. Als je het inzet als verantwoordingsinstrument, dan helpt het hooguit om toezichthouders een gevoel van (schijn-)zekerheid te geven. 

Als ruggegraat van hun riscomanagementsystemen hebben veel organisaties omvangrijke beheersraamwerken gebouwd, bijvoorbeeld voor hun financiële verslaggeving, informatiebeveiliging, bedrijfscontinuïteit, et cetera. Deze al dan niet op elkaar afgestemde raamwerken passen prima in een planning & control denkwereld. De weerbarstige werkelijkheid blijkt zich echter maar matig aan deze raamwerken te willen aanpassen. Niet in de laatste plaats vanwege belangrijke verstorende factoren zoals mensen van vlees en bloed. De “control frameworks” passen binnen het gedachtegoed dat de wereld maakbaar is. Als je doelen helder zijn, je je risico’s goed inschat, je passende maatregelen ontwerpt, invoert en uitvoert, dan heb je redelijke zekerheid dat de werkelijkheid zich zal ontvouwen zoals jij het bij de ‘P’ van je PDCA-cyclus (Plan-Do-Check-Act) hebt bedacht. Dat ligt in de praktijk aanzienlijk genuanceerder.

De toekomst is mateloos complex, waardoor eenvoudige voorspellingen illusies zijn. Sommige operationele oorzaak-gevolg relaties in een geconditioneerde omgeving zijn wellicht evident, maar andere (vooral de strategische) zijn nauwelijks te bepalen. In veel benaderingen wordt gemakshalve voorbij gegaan aan de beperkingen van onze menselijke vermogens, bijvoorbeeld om waarschijnlijkheden in te schatten. Als je de wereld voorstelt als een oneindige keten van oorzaken en gevolgen, dan is het onmogelijk om de toekomstige varianten (scenario’s) volledig in beeld te krijgen. Deze betrekkelijkheid blijft echter vaak onbelicht, zoals bij het bepalen van weerstandsvermogens. 

Lastig is ook dat kansen en risico’s niet tastbaar of aanwijsbaar zijn. Het zijn conceptuele voorstellingen van toekomstige gebeurtenissen of omstandigheden, die voor iedereen verschillend kunnen zijn. Bij de meer instrumentele benadering van risicomanagement wordt dit besef onderdrukt. Gebruikelijke instrumenten zoals risicoregisters en risicoprofielen kunnen zeer misleidend zijn. Zo geven ze nauwelijks inzicht in onderlinge afhankelijkheden van de risicocategorieën en in de mate waarin de organisatiedoelstellingen naar verwachtingen gerealiseerd zullen worden. Bovendien is de (donkerrode) bovenhoek in risicodiagrammen (de bekende ‘heatmaps’) onrealistisch: geen enkele organisatie gaat dagelijks (hoge waarschijnlijkheid) failliet (hoge impact).

Het gestructureerd nadenken over de toekomst wordt bij conventioneel risicomanagement negatief ingestoken. Als je je alleen maar richt op zaken die mis kunnen gaan, dan ben je niet holistisch met de toekomst bezig. Als je aparte risicorapportages met “key risk indicators” hanteert, dan geef je het signaal dat het beheersen van bedreigingen (risicomanagement) los staat van het benutten van kansen (prestatiemanagement). Je mist de aansluiting met de meeste bestuurders en managers, als je risico’s geïsoleerd bekijkt van kansen. Ze gaan in de echte wereld altijd hand in hand: als je personeelsfraude helemaal wil uitsluiten, dan moet je als manager alles zelf doen (en uiteraard zelf als medewerker integer zijn). 

Als het fout gaat, dan springen de media gretig in op sensationele incidenten. Vinden we het eigenlijk allemaal niet spectaculair, als er een paar grote hijskranen op huizen in Alphen aan den Rijn vallen? Het vooraf gestructureerd nadenken over mogelijke fouten blijkt echter veel minder populair, omdat het al snel wordt geassocieerd met falen. Zo wordt in een door ingenieurs gedomineerde omgeving het vertrouwen in het eigen (technisch) kunnen gekoesterd. Ook als het managementteam vooral actiegericht is, kan het gestructureerd verbeteren van de interne organisatie ondergeschikt raken aan het “echte werk”. Er wordt onvoldoende tijd genomen voor reflectie. De hectiek van alledag, zoals het blussen van allerlei brandjes, bepaalt dan de agenda. 

Vooral bij grotere organisaties ontstaat er al snel functionele verkokering. Daardoor is het lastig voor de organisatieleiding om het totaaloverzicht over de bedrijfsvoering te krijgen en te houden. Vaak is de regiefunctie minder ontwikkeld. En dat terwijl integraal kans- en risicomanagement één groot coördinatievraagstuk is om de afzonderlijke disciplines en kennisgebieden te richten op het gezamenlijk behalen van de geformuleerde organisatiedoelstellingen.

Bovenstaande observaties stemmen niet tot grote blijdschap. Het is tijd daarom voor een herbezinning. Onze denkkracht en middelen kunnen beter worden besteed. Daarbij moet mijns inziens het beantwoorden van de hoofdvraag voor elk managementteam centraal staan: sturen we onze organisatie zó dat we voldoen aan de verwachtingen van onze belangrijkste stakeholders? Hierna geef ik puntsgewijs een aantal suggesties om dit in de praktijk te realiseren. In essentie komen die neer op het opheffen van aparte risicomanagementfuncties. De focus moet komen te liggen op het trainen van beslissers om evenwichtige afwegingen te maken op basis van de afgesproken kernwaarden en de beste beschikbare informatie. Dat vergt intensieve samenwerking en een zware regierol voor de organisatieleiding.

  1. Bij een holistische benadering bekijk je kansen en risico’s steeds in samenhang. Een projectmanager is alert op toekomstige omstandigheden die de realisatie van zijn of haar doelstellingen kunnen bevorderen (kansen) dan wel kunnen belemmeren (risico’s). Het gaat over de integrale prestatie die je als organisatie neerzet. In dat kader kunnen we ‘risicomanagement’ als overkoepelende term beter niet meer gebruiken. De meeste mensen associëren die aanduiding immers met zaken die je beter niet kunt hebben. Gebruik daarom maar gewoon termen als ‘(integraal) management’ of ‘organiseren’. 
  2. Veel succesvolle grote mkb-bedrijven hebben geen aparte risicomanagement-functie. Natuurlijk managen die managementteams wel degelijk hun risico’s, zij het wellicht minder expliciet uitgewerkt als bij conventioneel risicomanagement. Breng de verzuilde risicomanagement activiteiten onder bij andere afdelingen, zoals bij Strategie & beleid, Planning & control, Informatievoorziening, et cetera. En bij P&O voor het trainen van vaardigheden. Zorg dat er hoog in de organisatie een coördinatiefunctie is voor de essentiële regierol.
  3. Wat integraal kans- en risicomanagement vooral uitdagend maakt, is dat het over de toekomst gaat. En die is nu eenmaal onzeker. Zo weet niemand of Bitcoin de valuta van de toekomst wordt of de volgende zeepbel. Realiseer je dat je er als team of individu hooguit een zo goed mogelijke slag naar kunt slaan, gebruik makend van de beschikbare informatie.
  4. Kans- en risicomanagement is eigenlijk ‘verwachtingsmanagement’. Voorkom overspannen verwachtingen. Als mensen zijn we nu eenmaal aan vele beperkingen onderhevig. Denk aan de kwaliteit (tijdigheid, juistheid, volledigheid, et cetera) van onze beschikbare informatie en de beperkingen van onze menselijke geest om effectieve inschattingen te maken. Wees zeker ook alert op de verleidingen waardoor mensen verkeerde keuzen kunnen maken.
  5. In een met planning en control doordrenkte omgeving wordt krachtdadig leiderschap toegejuicht. “Yes, we can!” wordt geassocieerd met het wel even door de woelige baren heen loodsen van het schip van de organisatie. Geef echter eerlijk toe dat je zelf ook niet precies weet hoe het allemaal zal uitpakken. Zo vreemd is dat niet, als de toekomst per definitie ongewis is.
  6. Bij management gaat het over het nemen van beslissingen om de beoogde waarde te creëren en te behouden voor je belangrijke stakeholders. De echte meerwaarde van het geïntegreerd managen van kansen en risico’s zit in de bijdrage aan die besluitvorming. Voor goede besluitvorming heb je goede informatie nodig. Zet daarom vol in op kennisbeheer en big data, die een steeds grotere rol zullen gaan spelen.
  7. Kans- en risicomanagement richt zich op het realiseren van de expliciete en impliciete doelstellingen. Bepalend voor die doelstellingen zijn de belangen van specifieke stakeholders. Bij het maken van afwegingen spelen er altijd belangen. Doorzie dat spel. Als je niet snapt welke belangen er op de achtergrond spelen, kun je nooit effectieve analyses uitvoeren van kansen en bedreigingen.
  8. Als je het hebt over het creëren en beschermen van waarde is de eerste vraag natuurlijk wat je onder ‘waarde’ verstaat. Maar al te vaak blijkt het over euro’s of dollars te gaan. Maar is geld doel of middel? Het antwoord hangt af van wat je belangrijkste stakeholders verwachten van jouw organisatie. Voer als managementteam eerst de discussie over waar je echt ‘waarde’ aan hecht. Pas dan is het zinvol om te praten over kansen en risico’s.
  9. Bij het organiseren van je (ambtelijke) bedrijf om waarde te leveren en te behouden voor je belangrijke stakeholders is je visie richtinggevend. Het moet voor elke medewerker in de organisatie helder zijn wat je met z’n allen wilt bereiken. Dat houdt ook in: duidelijk zijn over wat je niet wilt bereiken. Dan komt de discussie vanzelf op wat ook alweer de bedoeling van de organisatie was. Investeer in het ontwikkelen en uitdragen van die duidelijke visie.
  10. Samen nadenken over kansen en risico’s kan het beste gebeuren met de dagelijkse activiteiten als basis. Daar moeten je collega’s hun afwegingen maken. Of het nu om aansturende, primaire of ondersteunende processen gaat. Bij het uitvoeren van elk van de werkzaamheden kunnen zij fouten maken. Daar moeten zij ook de kansen grijpen. Zorg voor een integraal overzicht van waar de belangrijke spelers binnen je organisatie mee bezig zijn. Zonder dat overzicht is het lastig om de onderlinge samenhangen te zien en om de gewenste verbeteringen te prioriteren.
  11. Integraal kans- en risicomanagement gaat steeds over opties voor menselijk handelen. Dan ontkom je er niet aan om het over ethiek te hebben. Als je redeneert vanuit een “het-doel-heiligt-de-middelen” principe, dan kun je wellicht wegkomen met gebrekkige wetgeving of handhaving ervan. Bedenk echter dat er meer is dat je beter niet kunt doen buiten wat er expliciet verboden is.
  12. Om goede afwegingen te kunnen maken heb je naast deugdelijke informatie vooral ook heldere kernwaarden nodig. Bijvoorbeeld om te oordelen over een belegging die wel prettig rendeert, maar die ethisch gezien kwestieus is. Kernwaarden bepalen welke stakeholders (en hun belangen) dominant zijn, wat het zwaarste weegt bij netelige kwesties en welk gedrag er wordt verwacht van de medewerkers. Ze spelen ook een sleutelrol bij het operationaliseren van het lastige begrip ‘risicobereidheid’ (en de tegenhanger ‘kansgretigheid’). Zorg dat je kernwaarden helder zijn voor alle betrokkenen.
  13. De houding van de mensen die je aan boord hebt is doorslaggevend voor een succesvolle interne organisatie. De CEO van een grote internationale vastgoedbelegger zei onlangs tegen me dat zijn belangrijkste risicomanager de directeur Personeelszaken is. Analyseer de risico-attitude van je managers. Selecteer streng aan de poort op het morele kompas en de mentaliteit van mogelijke nieuwe collega’s. Zet ook zo spoedig mogelijk mensen weer buiten de poort, die niet passen bij de beoogde kernwaarden van je organisatie.
  14. De eigenaren van de doelstellingen (en daarmee van de processen die nodig zijn om die doelen te bereiken) moeten daarbij voortdurend afwegingen maken. Namelijk welke waarde zij willen creëren en beschermen voor welke stakeholders. Zorg dat zij beschikken over de nodige specialistische hulp bij het realiseren van hun doelstellingen, bijvoorbeeld omdat de wet- en regelgeving (denk aan CAO’s) complex is, omdat technologieën snel wijzigen, et cetera.
  15. De toegevoegde waarde van risk managers, controllers, compliance officers en soortgelijke functies ligt in het ondersteunen van degenen die de klanten (burgers, huurders, patiënten, studenten et cetera) bedienen. Verlang van alle staffuncties dat ze zich dienstbaar opstellen voor hun collega’s die in de primaire processen de klanten bedienen. Zij moeten steeds lastige afwegingen maken bij het aanwenden van de beschikbare middelen en kunnen daarbij waardevolle inbreng gebruiken van specialisten in ondersteunende afdelingen.
  16. Ook het benutten van kansen is een afwegingsproces. Innovatie impliceert onzekerheid. Nieuwe materialen of werkwijzen kunnen grote voordelen hebben, maar de effecten op langere termijn worden pas achteraf bekend. Het betekent dus durven loslaten en eerlijk zijn over mogelijke nadelen. Ook kansen moeten worden geprioriteerd. Houd als team de focus op je strategie en voorkom dat je collega’s op elke voorbijrijdende trein springen.
  17. Elk vraagstuk met betrekking tot interne organisatie gaat over de kwestie hoeveel vrijheid je laat aan degene die de afwegingen moet maken. Vertrouw je op de competenties van de professional of is het beter om te protocolleren? Geef je vrijheid of ga je standaardiseren? Stel je strakke planningen op of reken je op het improvisatievermogen? Maak als managementteam bewuste keuzen met betrekking tot de kaders.
  18. De onderliggende vraag bij het integraal managen van kansen en risico’s is: ben je als organisatie weer- en wendbaar genoeg om effectief om te gaan met wat er in de toekomst op je afkomt? Houd er rekening mee dat de systeemwereld van planning en control grote beperkingen kent. Zet meer in op het verbeteren van de behendigheid van je organisatie om in te spelen op verander(en)de omstandigheden.
  19. De toekomst is inherent onzeker. Het is aanbevelenswaardig om meer energie te steken in het maken van prognoses (door de voorruit van je auto kijken) dan in het vergelijken met budgetten (door de achterruit kijken). Heb het bij je afwegingen daarom niet primair over de vraag of er budget voor is. Relevanter is de vraag welke actie wijs is in het licht van de gegeven (gewijzigde) omstandigheden.
  20. Beslissen is altijd optimaliseren onder randvoorwaarden. Als je ergens verantwoordelijk voor bent, maar je keuzemogelijkheden worden te zeer ingeperkt, dan is het zaak om dat aan de orde te stellen. Denk aan de situatie dat je niet zelf je personeel kunt kiezen. “Competentie is hier geen criterium” verzuchtte onlangs de controller van een Omgevingsdienst bij een herschikking van de organisatie. Daar was kennelijk een afweging gemaakt tussen de belangen van enerzijds de werknemers en de vakbonden en anderzijds de dienst en haar ‘klanten’. Realiseer je als team dat de kwaliteit van de mensen die je in huis hebt bepalend is voor de uiteindelijke effectiviteit van je organisatie.
  21. Te hoge ambitieniveaus in een politieke omgeving vragen om deugdelijke waarborgen. Zoals bij die visionaire burgemeester die een evidente regiofunctie voor zijn dorp zag. Ondersteund door onderzoeksrapporten van een duur adviesbureau zette hij voortvarend in op uitbreiding van de retail capaciteit. Het komt niet alleen door de toegenomen internetverkopen dat een aanzienlijk deel van het winkelbestand nu leeg staat. Wees alert op de beteugeling van dominante persoonlijkheden. Anders kan er geen sprake zijn van afgewogen beslissingen.
  22. Contracten zijn geëigende instrumenten om afspraken te maken over wederzijdse rechten en verplichtingen. Bij ‘DBFMO’ contracten zijn ontwerp, bouw, financiering, onderhoud en beheer geïntegreerd. Ze kunnen gaan over grote belangen gedurende langere perioden. Beleg risico’s zoveel mogelijk bij de contractpartijen die ze het meeste kunnen beïnvloeden, zoals bijvoorbeeld onzekerheden met betrekking tot vergunningen.
  23. Het integraal omgaan met kansen en risico’s gaat vooral over het steeds met elkaar hebben over de afwegingen die je maakt. Het komt in de praktijk neer op het kritisch kijken naar de veronderstellingen bij ingediende (investerings-) plannen. Voer ‘pre-mortem’ reviews uit. Stel het aan de orde, als de onderbouwingen in een business case boterzacht en flinterdun zijn.
  24. Als ook in jouw organisatie het aanroeren van het onderwerp ‘verantwoording’ al als bedreigend wordt ervaren, dan is er nog het nodige te doen. Maak degenen die verantwoordelijk zijn voor het behalen van de organisatiedoelstellingen ook verantwoordelijk voor het benutten van de kansen en het beheersen van de risico’s. Zorg voor helderheid over hun eigenaarschap.
  25. Als je het mij vraagt, blijft het moeilijkste aspect van het omgaan met kansen en risico’s dat het aankomt op moed. Als iedereen ‘hosanna’ en ‘halleluja’ roept over een mogelijke samenwerking of fusie, durf jij dan bijvoorbeeld als controller het aanstaande feestje te bederven, als volgens jou de risico’s te groot zijn? Met die actie plaats je jezelf dan wel (deels) buiten de groep. En dat blijft voor iedereen lastig om te doen. Bedenk dat goede leiders tegengeluiden juist waarderen. Een angstcultuur is niet in het belang van een organisatie.
  26. Fouten mogen maken is een onmisbare voorwaarde om een “High Reliability Organization” te worden. Het ontwikkelen van het lerend vermogen vergt echter nogal wat van de houding van de leidinggevenden en de stakeholders. Iedereen wil immers heel graag dat zijn of haar behandelende artsen foutloos werken. Train je mensen om hun afwegingen zo professioneel mogelijk te maken. En zorg vooral voor voorbeeldgedrag als leidinggevende.

De auteur heeft toestemming gegeven voor publicatie in relatie tot het e-book Publiek Risico: Essays.