Kantyra Kantyra

← Alle artikelen

Algemeen

Beschermt risicomanagement echt, of stelt het vooral gerust?

Alain Rees · 10-07-2026 · 7 min leestijd

Er is een artikel dat elke risicomanager één keer gelezen moet hebben, al is het maar om erdoor geërgerd te raken. In 2009 publiceerde Michael Power, hoogleraar aan de London School of Economics, een essay met de venijnige titel "The risk management of nothing", het risicomanagement van niets. Zijn stelling luidt dat het moderne risicomanagement er middenin de financiële crisis niet in was geslaagd risico's te beheersen, omdat het iets anders was gaan doen, namelijk verantwoording produceren. Wie een ISMS of GRC-platform verkoopt, zoals ik, moet die kritiek niet wegwuiven, maar er dwars doorheen gaan. Want Power heeft gelijk over het probleem, en het onderzoek van de jaren daarna wijst vrij precies aan waar de grens ligt tussen risicomanagement dat beschermt en risicomanagement dat alleen geruststelt.

Dit artikel is een van de verdiepingen bij het model achter Kantyra en raakt alle vier de fasen, want de vraag of het stelsel werkt gaat aan elke fase vooraf.

Wat bedoelde Power met het risicomanagement van niets?

Powers analyse bestaat uit drie lagen. De eerste laag is dat risicomanagement in de praktijk is gaan gehoorzamen aan de logica van het controlespoor. Niet de vraag of we dit risico begrijpen stuurt het werk, maar de vraag of we kunnen laten zien dat we een proces hebben gevolgd. De tweede laag beschreef hij al in 2004. Organisaties en professionals zijn steeds meer bezig met wat hij secundair risicomanagement noemt, het afdekken van het eigen afbreukrisico. Het risicoregister wordt dan een verdedigingsdossier, want mocht het misgaan, dan kunnen wij aantonen dat we het proces hebben gevolgd. De derde laag is zijn kritiek op het begrip risicobereidheid, dat in de bestuurskamer is verschraald tot een statisch document met percentages, terwijl het een levend organisatieproces zou moeten zijn. Terje Aven ontleedde het begrip later formeel en kwam tot hetzelfde oordeel. De definities in de gangbare raamwerken zijn dubbelzinnig en halen acceptatie, bereidheid en doelen door elkaar.

Wie het basisartikel heeft gelezen, herkent hier de institutionele theorie. Meyer en Rowan beschreven al in 1977 hoe organisaties formele structuren invoeren als ritueel, om legitimiteit te verwerven, en die structuren vervolgens ontkoppelen van het echte werk. Powers risicomanagement van niets is die ontkoppeling, toegepast op risico.

Presteren organisaties met risicomanagement aantoonbaar beter?

Je zou verwachten dat deze vraag na twintig jaar enterprise risk management ruimschoots beantwoord is. Dat valt tegen, en dat is zelf een bevinding. Bromiley en collega's concludeerden in hun overzicht van de managementliteratuur dat het bewijs dun is. Onderzoekers meten de aanwezigheid van risicomanagement met zwakke benaderingen, zoals de vraag of er een Chief Risk Officer is benoemd, en de resultaten over prestatie-effecten zijn gemengd. De kernaannames van ERM, zoals het idee dat alle risico's van een organisatie optelbaar en kwantificeerbaar zijn, zijn volgens hen grotendeels ongetoetst.

De studies die er zijn, tekenen een consistent patroon. Gordon, Loeb en Tseng vonden dat risicomanagement alleen samenhangt met betere prestaties wanneer de inrichting past bij de organisatie, dus bij haar omgeving, omvang, complexiteit en toezicht. Een generieke inrichting levert niets op. McShane en collega's vonden bij verzekeraars dat de waarde van een onderneming toeneemt met de kwaliteit van het gewone, vakmatige risicobeheer per domein, maar dat de stap naar het hoogste, holistische ERM-niveau geen aantoonbare extra waarde toevoegde. En Aven liet in zijn overzicht van de wetenschappelijke fundamenten zien dat op kansen gebaseerde risicobeschrijvingen structureel onderschatten hoe belangrijk de sterkte van de onderliggende kennis is, een punt dat ook in het artikel over de risicomatrix terugkwam.

De optelsom is genuanceerder dan zowel de brochures als de cynici het brengen. Risicomanagement dat bij de organisatie past en vakmatig wordt uitgevoerd, hangt samen met betere uitkomsten. Risicomanagement als generiek bouwwerk, opgetuigd voor de vorm, laat geen effect zien. Het instrument is niet leeg; de rituele toepassing is leeg.

Waaraan herken je risicomanagement dat alleen op papier bestaat?

De recente literatuur, ook de Nederlandse, maakt de diagnose concreet. Bart Heerma van Voss en Ira Helsloot, de laatste hoogleraar besturen van veiligheid aan de Radboud Universiteit, onderzochten waarom staten stelselmatig te weinig doen aan zeldzame, ontwrichtende risico's. Het pijnlijkste voorbeeld dat zij geven is de pandemie. Vrijwel alle landen hadden die vóór 2020 keurig in hun risicoanalyses staan, en vrijwel geen land trof de goedkope voorzorgsmaatregelen die daaruit volgden. Het risico was beoordeeld, geregistreerd en gerapporteerd, en er gebeurde niets. Dat is het ritueel in zijn zuiverste vorm, met de analyse als eindpunt in plaats van als begin. Arjen Boin van de Universiteit Leiden wees met Martin Lodge op een verwant probleem. Moderne risico's lopen dwars door sectoren en grenzen heen, en een stelsel dat alleen het eigen register bewaakt, mist precies de verwevenheid waar Power op doelde.

Daarmee zijn de symptomen te benoemen: een register vol risico's waar geen besluit of maatregel aan hangt, een risicobereidheid die in vier jaar niet is aangeraakt, beoordelingen die voor de audit worden geactualiseerd in plaats van na een incident, en, het meest verraderlijk, een stelsel waarin niemand ooit iets vindt dat de directie onwelgevallig is. Van Asselt, destijds hoogleraar in Maastricht, en Renn vatten in hun werk over risicogovernance samen wat er dan ontbreekt. Bij onzekere en omstreden risico's is het stelsel pas iets waard als het communicatie, betrokkenheid en botsende waarden organiseert, in plaats van ze weg te rekenen.

Hoe doe je het dan wel?

Het onderzoek wijst op vier kenmerken die het verschil maken. Het eerste kenmerk is passendheid. Richt het stelsel in op de maat van je organisatie en niet op de maat van het raamwerk. Het tweede is besluitkracht. Elk risico in het register verdient een besluit, namelijk behandelen, accepteren, overdragen of vermijden, met een eigenaar en een termijn, want een register zonder besluiten is een verdedigingsdossier. Het derde is beweging. De beoordeling verandert wanneer de werkelijkheid verandert, dus na incidenten, oefeningen en verschuivingen in de omgeving, en niet alleen in de jaarlijkse ronde. Het vierde is tegenspraak. Een gezond stelsel produceert geregeld ongemakkelijke uitkomsten, en de risicobereidheid keert als gesprek terug op de bestuurstafel in plaats van als bijlage in een map te liggen.

Voor de volledigheid meld ik dat Kantyra risico's om deze reden niet als lijst behandelt, maar als knooppunt. Elk risico is gekoppeld aan maatregelen, taken, incidenten en beoordelingsmomenten, zodat zichtbaar is of er iets met het oordeel gebeurt, en een ernstig incident zet de herbeoordeling van het geraakte risico automatisch klaar. De toets van Power, namelijk of het stelsel begrip oplevert of alleen verantwoording, blijft daarbij de goede vraag om aan je eigen inrichting te stellen. De eerlijke consequentie is dat ook het mooiste platform het ritueel niet kan voorkomen; het kan het alleen zichtbaar maken.

Wat betekent dit voor jouw organisatie?

Als je één ding uit dit artikel onthoudt, laat het dan Powers onderscheid zijn. Verantwoording produceren is niet hetzelfde als risico's beheersen, en het tweede vraagt soms dat je de logica van het eerste doorbreekt. Stel jezelf drie vragen. Kun je bij je vijf grootste risico's het laatste besluit aanwijzen dat erop is genomen, met datum en eigenaar? Is je risicobereidheid het afgelopen jaar ergens in een concreet besluit merkbaar geweest, bijvoorbeeld door iets bewust níet te doen? En wanneer heeft je risicoproces voor het laatst iets opgeleverd waar het bestuur van schrok? Wie drie keer ja zegt, doet aan risicomanagement. Wie drie keer nee zegt, doet aan geruststelling, en weet nu in elk geval waar hij moet beginnen.

Verantwoording en bronnen

Dit artikel is een onderbouwde synthese van bestaand wetenschappelijk onderzoek en geen zelfstandig onderzoek dat door vakgenoten is beoordeeld. Waar ik duid of interpreteer, komt die interpretatie voor mijn rekening.

  1. Power, M. (2009). The risk management of nothing. Accounting, Organizations and Society, 34(6-7). https://doi.org/10.1016/j.aos.2009.06.001
  2. Power, M. (2004). The risk management of everything. The Journal of Risk Finance, 5(3). https://doi.org/10.1108/eb023001
  3. Power, M. (2007). Organized Uncertainty: Designing a World of Risk Management. Oxford University Press.
  4. Van Asselt, M.B.A. & Renn, O. (2011). Risk governance. Journal of Risk Research, 14(4). https://doi.org/10.1080/13669877.2011.553730
  5. Bromiley, P., McShane, M., Nair, A. & Rustambekov, E. (2015). Enterprise Risk Management: Review, Critique, and Research Directions. Long Range Planning, 48(4). https://doi.org/10.1016/j.lrp.2014.07.005
  6. Gordon, L.A., Loeb, M.P. & Tseng, C.-Y. (2009). Enterprise risk management and firm performance: A contingency perspective. Journal of Accounting and Public Policy, 28(4). https://doi.org/10.1016/j.jaccpubpol.2009.06.006
  7. McShane, M.K., Nair, A. & Rustambekov, E. (2011). Does Enterprise Risk Management Increase Firm Value? Journal of Accounting, Auditing & Finance, 26(4). https://doi.org/10.1177/0148558X11409160
  8. Aven, T. (2016). Risk assessment and risk management: Review of recent advances on their foundation. European Journal of Operational Research, 253(1). https://doi.org/10.1016/j.ejor.2015.12.023
  9. Aven, T. (2013). On the Meaning and Use of the Risk Appetite Concept. Risk Analysis, 33(3). https://doi.org/10.1111/j.1539-6924.2012.01887.x
  10. Meyer, J.W. & Rowan, B. (1977). Institutionalized Organizations: Formal Structure as Myth and Ceremony. American Journal of Sociology, 83(2). https://doi.org/10.1086/226550
  11. Boin, A. & Lodge, M. (2016). Designing Resilient Institutions for Transboundary Crisis Management: A Time for Public Administration. Public Administration, 94(2). https://doi.org/10.1111/padm.12264
  12. Heerma van Voss, B. & Helsloot, I. (2023). How states deal with long-term destabilizing risks. Journal of Risk Research, 26(10). https://doi.org/10.1080/13669877.2023.2259405
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen