Het begint vaak met een risico dat niemand betwist.
Een leverancier voldoet nog niet aan alle gemaakte afspraken. Een beveiligingsmaatregel werkt in de praktijk minder goed dan op papier. Een klantvraag legt bloot dat een proces afhankelijk is van één persoon. Het risico wordt herkend, besproken en genoteerd. Iedereen begrijpt dat er iets mee moet gebeuren.
En toch blijft het liggen.
Niet omdat mensen het onbelangrijk vinden. Ook niet omdat het risico onbekend is. Het blijft liggen omdat nergens echt duidelijk is wie de keuze moet maken. De compliance-verantwoordelijke heeft het risico vastgelegd. IT ziet de technische kant. Degene die over prioriteit en capaciteit gaat, begrijpt de mogelijke impact. En de collega met klantcontact voelt de druk vanuit de klant.
Iedereen ziet een deel van het probleem. Niemand is eigenaar van de afweging.
Dat is een kwetsbaar moment in risicobeheer. Zolang een risico alleen wordt beschreven, lijkt er grip te zijn. Het staat in een overzicht, heeft een score en misschien zelfs een toelichting. Maar daarmee is nog niet bepaald wat de organisatie ermee doet.
Wordt het risico geaccepteerd? Moet er direct capaciteit vrijgemaakt worden? Is uitstel verdedigbaar? Moet de klant iets worden verteld? Of is het risico eigenlijk groter geworden doordat er al maanden niets verandert?
Zonder eigenaar blijven die vragen hangen.
Waarom dit probleem ontstaat
In organisaties waar mensen meerdere rollen combineren, lopen signaleren, beoordelen en besluiten vaak door elkaar. Dat is praktisch en meestal ook begrijpelijk. De lijnen zijn kort, veel kennis zit dicht op het werk en problemen worden vaak snel informeel opgelost.
Maar juist daardoor ontstaat een kwetsbaarheid. Degene die een risico ziet, is niet automatisch degene die mag kiezen wat ermee gebeurt.
Iemand kan signaleren dat een leverancier kwetsbaar is, maar niet besluiten dat het contract wordt aangepast. Iemand kan zien dat een proces afhankelijk is van één medewerker, maar niet bepalen dat er tijd wordt vrijgemaakt voor overdracht. Iemand kan een beveiligingsrisico benoemen, maar niet zelfstandig besluiten dat een klantbelofte wordt vertraagd.
Daar ontstaat het gat tussen inzicht en eigenaarschap.
Het overzicht laat dan wel zien dát er een risico is, maar niet waar de afweging thuishoort. Daardoor wordt uitstel makkelijk verward met acceptatie. “We pakken dit later op” klinkt dan als een besluit, terwijl het vaak vooral betekent dat niemand de knoop heeft doorgehakt.
Waarom gangbare oplossingen tekortschieten
De eerste reflex is vaak om het risico-overzicht verder aan te vullen. Er komt een extra kolom voor status, een toelichting, een kleurcode of een prioriteit. Dat kan nuttig zijn, maar het lost het kernprobleem niet op.
Meer informatie maakt nog geen eigenaar.
Een andere reflex is om alvast een maatregel te formuleren. Ook dat voelt concreet. Maar een maatregel zonder besluit blijft kwetsbaar. Wie bepaalt of deze maatregel voldoende is? Wie bewaakt of zij wordt uitgevoerd? Wie mag bepalen dat het risico voorlopig aanvaardbaar is?
Zolang die vragen onbeantwoord blijven, ontstaat vooral schijnrust. Het risico lijkt behandeld, omdat er iets bij staat. In werkelijkheid is alleen de administratie bijgewerkt.
Ook periodiek overleg helpt niet vanzelf. Een risico kan meerdere keren terugkomen op de agenda zonder dat er iets verandert. Dan wordt het onderwerp wel besproken, maar niet echt gekozen. Het gesprek houdt het risico levend, maar geeft het nog geen eigenaar.
Structuur en uitlegbaarheid als denkkader
Goede structuur begint niet bij meer velden of zwaardere procedures. Ze begint bij een eenvoudig onderscheid: wie ziet het risico, wie beoordeelt het risico en wie mag kiezen wat ermee gebeurt?
Dat hoeft geen formeel comité te zijn. Zeker niet in organisaties waar mensen meerdere rollen combineren. Het gaat erom dat zichtbaar is waar de afweging ligt. Als een risico klantimpact heeft, moet duidelijk zijn wie die klantimpact mag accepteren. Als een risico budget vraagt, moet duidelijk zijn wie daarover beslist. Als een risico operationele gevolgen heeft, moet duidelijk zijn wie de uitvoering kan dragen.
Uitlegbaarheid ontstaat wanneer die keuze wordt vastgehouden. Niet alleen de uitkomst, maar ook de reden. Waarom is dit risico nu acceptabel? Waarom krijgt een ander risico voorrang? Waarom wachten we met een maatregel? En wanneer kijken we opnieuw?
Dat is geen bureaucratie. Het is organisatorisch geheugen.
Juist dat geheugen maakt het verschil tussen een risico dat bewust wordt beheerst en een risico dat langzaam uit beeld verdwijnt. Niet omdat het onbelangrijk is geworden, maar omdat niemand meer precies weet welke afweging is gemaakt.
Tot slot
Risico’s blijven zelden liggen omdat niemand ze ziet. Ze blijven liggen omdat eigenaarschap onduidelijk is op het moment dat er gekozen moet worden.
Dat maakt risicobeheer minder een kwestie van analyseren en meer een kwestie van verantwoordelijkheid organiseren. Niet zwaar, niet formeel, maar wel expliciet genoeg om verschil te maken tussen bewust uitstellen en ongemerkt laten liggen.
Wie naar zijn eigen risico-overzicht kijkt, kan daarom beter niet alleen vragen welke risico’s hoog scoren. De scherpere vraag is: bij welke risico’s weten we eigenlijk niet wie de keuze moet maken?
Daar begint vaak het echte inzicht.
Geef een reactie