Enterprise risk management: van risico’s naar succes

Een nieuwe visie op risicomanagement

Risico’s zijn overal. Van strategische investeringen en het verkennen van nieuwe markten tot de keuze van de juiste leverancier of het bepalen van voorraadniveaus. Elke keuze die binnen een organisatie wordt gemaakt kan het verschil maken tussen succes en mislukking, wat vaak kan worden teruggeleid naar hoe effectief risico’s worden beheerd. Wat als elke beslissing, groot of klein, niet alleen de bedreigingen adresseert maar ook de kansen benut? Enterprise risk management (ERM) maakt dit mogelijk; het biedt een raamwerk waarmee organisaties niet alleen kunnen anticiperen op wat er mis kan gaan, maar ook kunnen bouwen aan hun succes.

Ondanks de toenemende relevantie, blijven er uitdagingen bestaan bij de toepassing van ERM. Risicomanagement krijgt vaak pas aandacht als het risico zich heeft voorgedaan. ‘Hadden we dit kunnen voorkomen?’ vraagt men zich dan af, terwijl het veel nuttiger is om proactief een risicomanagementproces in te richten. Zo’n proces helpt organisaties om alleen die risico’s te accepteren die binnen de strategie passen en tegelijkertijd kansen te benutten die ze anders mogelijk onnodig hadden vermeden.

Mijn recente wetenschappelijk onderzoek (Stasse et al., 2025) biedt een vernieuwde blik op ERM, specifiek gericht op de Nederlandse context. Met een omvangrijke steekproef en een gedetailleerd onderzoek wordt een duidelijke definitie van ERM gegeven en worden de elementen van ERM gevalideerd. Het is tijd om ERM niet alleen te begrijpen, maar strategisch te benutten om organisaties te helpen veerkrachtiger te worden. Het onderzoek levert niet alleen theoretische inzichten, maar ook praktische tips die organisaties kunnen helpen bij het navigeren door de complexiteit van moderne zakelijke omgevingen. In dit artikel worden deze tips gedeeld.

ERM is meer dan een verzameling regels

ERM is een krachtig hulpmiddel waarmee organisaties zichzelf klaarmaken voor de toekomst, door zowel bekende obstakels aan te pakken als onverwachte kansen te benutten. Het is niet zomaar een reeks regels; het is een dynamische en samenhangende strategie die risico’s omzet in strategische voordelen. 

In plaats van alleen brandjes te blussen, wil je als organisatie naar een situatie waarin iedereen samenwerkt om risico’s te beheersen en de organisatiedoelen te realiseren. ERM draait daarom om vier sleutelprincipes: 

• Het is een geïntegreerd proces, waarbij alle afdelingen binnen een organisatie samenwerken, van het financiële team tot het strategische management en de operationele uitvoering. 
• Het is een continu proces, wat betekent dat organisaties zich voortdurend aanpassen aan veranderende omstandigheden, zoals economische ontwikkelingen of technologische innovaties. 
• Er is sprake van een holistische aanpak, die ervoor zorgt dat organisaties naar het totale plaatje kijken, in plaats van focus te leggen op geïsoleerde problemen. 
• En tot slot: er wordt rekening gehouden met alle soorten risico’s, zowel strategisch als meer traditioneel zoals operationele, reporting- en compliancerisico’s.

ERM als basis voor succes in een VUCA wereld 

Onze wereld verandert in een razendsnel tempo en bedrijven staan voor een spectrum aan uitdagingen én kansen. Denk aan economische veranderingen, geopolitieke spanningen, de opkomst van nieuwe technologieën zoals (generatieve) AI en toenemende aandacht voor duurzaamheid. We bevinden ons in wat vaak een VUCA-omgeving wordt genoemd: volatility, uncertainty, complexity, ambiguity. In zo'n wereld is aanpassingsvermogen de sleutel tot succes. 

Door in te zetten op een dynamische en samenhangende strategie, helpt ERM bedrijven veerkrachtiger te worden. Met een goed geïmplementeerd ERM-proces kunnen bedrijven daardoor adequaat reageren op veranderingen én veranderingen benutten als kansen voor groei en innovatie. ERM is dus niet zomaar een trend, maar de basis voor een succesvolle en veerkrachtige organisatievoering.   

Groeiende vraag naar transparantie

Vanuit stakeholders is er een groeiende vraag naar meer transparantie over risicomanagement en de rol van governance daarin. Waar het voor veel organisaties uiteindelijk draait om continuïteit, laat de maatschappij echter een duidelijke verschuiving zien: er is een toenemende vraag naar een breder risicoperspectief. 

Ook externe accountants spelen een rol in deze verschuiving, en passen in de controle van de jaarrekening en duurzaamheidsinformatie steeds vaker een ‘outside-in’-perspectief toe, wat helpt bij het effectiever identificeren van risico's. De herziene ISA 315 uit 2021 benadrukt het belang voor accountants van gedetailleerder inzicht in de organisatie en haar omgeving, inclusief de interne controleomgeving. Maar ook ESG-principes leggen steeds meer nadruk op governance, waaronder ook risicomanagement. Dit onderstreept de verantwoordelijkheid van organisaties om niet alleen transparant te zijn over hun financiële prestaties, maar ook over hun bredere impact. Deze ontwikkelingen wijzen op een verschuiving naar een uitgebreidere kijk op management.  

Een actueel voorbeeld van de vraag naar meer transparantie is de aangepaste Corporate Governance Code in Nederland, waarin vanaf 2025 een verklaring omtrent risicobeheersing (VOR) is opgenomen als onderdeel van het bestuursverslag. Deze ontwikkeling sluit aan bij een wereldwijde trend, vergelijkbaar met de in control statements onder de Amerikaanse SOx-wetgeving en soortgelijke vereisten in landen als bijvoorbeeld Japan, Zuid-Afrika en Italië. In Nederland is deze ontwikkeling nu ook doorgezet, en mogelijk zal zij nog verder evolueren met aspecten zoals assurance bij de VOR door de externe accountant. Wie weet kan een eventuele introductie van (persoonlijke) aansprakelijkheid deze ontwikkeling nog verder versnellen.    

Deze verbreding van de rol van risicobeheer en de verantwoording daarover door het bestuur in het bestuursverslag maakt het een bijzonder boeiend en relevant onderwerp voor verdere verkenning en onderzoek. Het biedt organisaties nieuwe kansen om een leidende rol te spelen in het waarborgen van transparantie en het ondersteunen van strategische besluitvorming, waardoor ze een fundament leggen voor duurzame groei en succes.

Onderzoeksbevindingen leiden tot drie observaties 

Het eerdergenoemde wetenschappelijk onderzoek (Stasse et al., 2025) focust zich in eerste instantie op het meetbaar maken van ERM, als basis voor verder onderzoek. Voor dit onderzoek is gebruikgemaakt van een unieke dataset met 420 waarnemingen bij organisaties in diverse sectoren in Nederland. 

Op basis van een empirische analyse is een praktisch meetinstrument ontwikkeld dat 36 ERM-elementen bevat  en dat uitgaat van een twee-componentenstructuur, waarin enerzijds fundamentele elementen en anderzijds strategische elementen centraal staan. Deze structuur benadrukt de noodzaak voor organisaties om hun ERM-proces nauw te laten aansluiten bij hun strategische doelen. 

De studie onderschrijft dat de link naar strategie belangrijk is voor organisaties die hun risicobeheer willen versterken, bijvoorbeeld door risicoresponsen af te stemmen op het strategisch risicoprofiel. Zonder deze afstemming kunnen organisaties zich verliezen in het beheer van alle risico’s, wat de effectiviteit teniet kan doen. Wanneer organisaties hun ERM strategisch afstemmen op de organisatiestrategie versterken zij hun vermogen om effectief te reageren op toekomstige onzekerheden, terwijl zij zich door een VUCA-omgeving navigeren.

Ondanks dat organisaties met alle soorten risico’s rekening houden, blijkt uit de analyse van de fundamentele ERM-elementen dat zij in de praktijk tekortschieten op de overige drie van de vier bovengenoemde sleutelprincipes. Ten eerste worden niet alle individuen binnen de organisatie betrokken bij het ERM-proces. Idealiter is er een werkomgeving waarin alle leden van een organisatie gemotiveerd zijn om de doelstellingen te behalen. Ten tweede is er onvoldoende continue training en coaching op het gebied van ERM, terwijl een continu proces alertheid op risico’s en voortdurende communicatie bevordert. Ten derde blijkt communicatie met externe partijen geen integraal onderdeel te zijn van het ERM-proces. Het ERM-proces is vooral intern gefocust en zou gebaat zijn bij externe inzichten voor volledige risico-informatie. 

Conclusie: drie praktische tips

De studie heeft drie belangrijke observaties opgeleverd die organisaties kunnen helpen het potentieel van ERM optimaal te benutten:

• Betrek de hele organisatie: Het is van belang dat ERM-processen niet alleen de top van de organisatie bereiken, maar ook de individuele doelen van medewerkers op alle niveaus weerspiegelen. Organisaties kunnen dit bereiken door macrodoelen te vertalen naar microdoelen, zodat de prestaties van individuen bijdragen aan de algehele organisatiedoelstellingen. Door ERM onderdeel te maken van de dagelijkse organisatievoering, kan iedere medewerker beslissingen nemen in lijn met de strategische doelen.
• Stimuleer continu leren en ontwikkelen: ERM moet een dynamisch proces zijn waar regelmatige opleiding en coaching van werknemers prioriteit krijgt. Organiseer trainings- en educatieprogramma's die specifiek zijn gericht op risicomanagement en marktveranderingen, zodat alle medewerkers goed zijn voorbereid op het veranderende risicolandschap.
• Benut externe inzichten voor een bredere risicobeheersing: Hoewel veel organisaties de focus leggen op interne communicatie, is het integreren van input van externe stakeholders essentieel. Stimuleer een actieve dialoog met klanten, leveranciers, afnemers, omwonenden, milieugroeperingen en andere externe stakeholders om risicogerelateerde informatie te verkrijgen die een holistische kijk op risico's biedt. Het betrekken van externe perspectieven kan leiden tot meer complete risicomanagementbeslissingen. Onderlinge en externe communicatielijnen ontwikkelen zich al enigszins, bijvoorbeeld door de dubbele materialiteitanalyse waarbij de hele keten wordt betrokken. Het uitvoeren van deze analyse lijkt daarmee een zinvol en strategisch voordelige stap, los van de ontwikkelingen in de CSRD-regels.

Door deze praktische benaderingen toe te passen, kunnen organisaties niet alleen hun risicomanagementprocessen verbeteren, maar ook hun algehele veerkracht en strategische positionering versterken. Zo laten ze geen kansen liggen, maar creëren ze een sterke basis voor langdurig succes.

Meer lezen in de academische publicatie

De gedetailleerde resultaten van dit onderzoek zijn gepubliceerd in het Journal of Risk Research: 

Linda J. A. Stasse, Cokky A. R. Hilhorst & Johannes A. ten Rouwelaar (04 Sep 2025): Enterprise risk management revisited: a study to identify the elements of ERM, Journal of Risk Research, DOI: 10.1080/13669877.2025.2553846  

Nu deze basis voor verder ERM-onderzoek gelegd is, richt het vervolgonderzoek zich op de invloed van verschillende governancepartijen op het ERM-proces. De resultaten van dit vervolgonderzoek delen we graag in een volgend artikel.