Menu

Filter op
content
PONT | Governance

0

Hoe volwassen is jouw risicomanagement? Van ad hoc naar grip

Veel organisaties doen aan risicomanagement. Ze hebben een risicoregister, houden audits bij en rapporteren periodiek aan het management. Maar weten waar je staat is iets anders dan weten waar je naartoe wilt, en hoe je daar komt. Het risicomanagement volwassenheidsmodel helpt je precies dat inzichtelijk te maken.

8 juli 2026

Risicomanagement groeit niet vanzelf. Net zoals een organisatie zich ontwikkelt door mensen, structuren en cultuur, groeit ook risicomanagement stap voor stap. Je kunt die stappen niet overslaan. Een organisatie die nog volledig ad hoc werkt, wordt niet van de ene op de andere dag strategisch gestuurd. Dat werkt bij mensen niet, en bij organisaties ook niet.

Het risicomanagement volwassenheidsmodel (RMVM®) maakt die stapsgewijze groei inzichtelijk. Het model laat zien waar je nu staat, welke stap logischerwijs volgt en wat er nodig is om die stap te zetten.

Twee assen, één model

Wat het RMVM® onderscheidt van andere modellen, is dat het niet alleen kijkt naar het risicomanagementproces zelf: de methodieken, de tools, de rapportages. Het kijkt ook naar de organisatie erachter.

Dat is geen toeval. In de praktijk blijkt namelijk dat de grootste risico’s zelden voortkomen uit een gebrekkig proces. Ze ontstaan door mensen in een organisatie die zich niet bewust zijn van risico’s, of een cultuur die daar geen ruimte voor maakt. Vandaar twee assen:

De risicomanagement-as loopt van ad hoc naar geoptimaliseerd, via een ontwikkel-, structuur- en integratiefase. Hier gaat het om proces, methode, tools en aantoonbaarheid.

De organisatie-as gaat over bewustwording, cultuur en eigenaarschap. Want risicomanagement werkt alleen als mensen het dragen: niet alleen de risicomanager, maar ook het management en de rest van de organisatie.

Het meeste resultaat boek je als beide assen in balans zijn en je groei langs de 45-graden lijn volgt. Een sterk proces in een onbewuste organisatie werkt niet. Een bewuste organisatie zonder structuur ook niet.

Hoe ziet dat er in de praktijk uit?

Aan de hand van het model kun je jezelf eerlijk een aantal vragen stellen:

  • Worden risico’s bij ons structureel geïdentificeerd, of pas als er iets misgaat?
  • Is er eigenaarschap voor risico’s, of blijft alles bij de risicomanager hangen?
  • Worden bevindingen uit audits en reviews ook echt opgevolgd?
  • Weet het management welke risico’s nu echt aandacht vragen?
  • Leren we als organisatie van incidenten, of herhalen patronen zich?

Als je op meerdere van deze vragen twijfelt, zit je waarschijnlijk in de beginfase van het model. Dat is eerlijk gezegd de positie van veel organisaties. Niets mis mee, als je weet welke richting je op wilt.

Van inzicht naar actie

De waarde van een volwassenheidsmodel zit niet in het label dat je krijgt. Het zit in het gesprek dat het op gang brengt: wat doen we al goed, waar lopen we vast, en wat is de volgende concrete stap?

Die stap hoeft niet groot te zijn. Soms is het: één duidelijk eigenaar aanwijzen per risico. Of: afspreken dat bevindingen uit de interne audit worden opgevolgd in hetzelfde systeem. Of: het management één keer per kwartaal een eerlijk beeld geven van de top-10 risico’s.

Software kan daarbij helpen, niet als vervanging van het denkwerk, maar als middel om de structuur vast te houden, opvolging te borgen en voortgang zichtbaar te maken. Juist in de overgang van ad hoc naar gestructureerd is dat van grote waarde.

Artikel delen

Reacties

Laat een reactie achter