Waarom effectieve risicobeheersing begint met het begrijpen van de organisatie als levend systeem

Elke organisatie wil “in control” zijn. Maar wat betekent dat eigenlijk  ‘’controle’’ in een omgeving die voortdurend verandert?  

In de tweede aflevering van onze Securecast gingen Henk Meijer en Naeem Arif in gesprek over een vraag die voorafgaat aan elk risicomanagementvraagstuk: wat is een organisatie eigenlijk?  

Want voordat je risico’s kunt beheersen, moet je begrijpen wat je probeert te beheersen.  

Het woord organisatie komt van het Griekse organon, letterlijk: werktuig of instrument.  
Een organisatie is dus geen doel op zich, maar een middel om een bepaald resultaat te bereiken.  

Zoals Henk het zegt:  
“Een bedrijf is een samenspel van mensen en middelen om een gemeenschappelijk doel te bereiken.”  

Die ogenschijnlijk eenvoudige definitie raakt de kern van risicomanagement: elk risico ontstaat omdat een organisatie iets probeert te realiseren. Zonder doel, geen risico.  

Meerdere brillen op één organisatie

Naeem vertelt in de podcast hoe hij studenten regelmatig vraagt om “hun organisatie te tekenen”.  
De één schetst een gebouw, de ander de CEO, weer een ander het informatiesysteem of het logo. En ze hebben allemaal gelijk — want elke bril laat een ander aspect zien.  

Een jurist ziet contracten, een controller ziet cijfers, een IT’er ziet systemen en data.  
Samen vormen ze een mozaïek van perspectieven die nooit volledig samenvallen.  

Voor risk professionals is dat cruciaal: risico’s ontstaan juist in de overgangen tussen die brillen,  waar verantwoordelijkheden, definities of aannames niet meer op elkaar aansluiten.  

Een uitspraak uit het gesprek blijft hangen: 
“Landen, maar ook bedrijven, hebben geen vaste waarden — ze hebben vaste belangen.”  

Een organisatie verandert continu: strategieën schuiven, markten bewegen, mensen komen en gaan. Wat blijft, is het onderliggende belang — de functie in de omgeving.  

Daarmee lijkt een organisatie meer op een levend organisme dan op een machine. Ze overleeft alleen zolang ze relevant blijft. 

Of zoals Naeem het zegt:  
“De uitspraak survival of the fittest is één op één toepasbaar op organisaties. Alleen de bedrijven die zich het beste aanpassen aan veranderende omstandigheden, overleven.”  

Voor risicomanagers betekent dit dat beheersing niet statisch mag zijn. Effectief risicomanagement is adaptief risicomanagement: het vermogen om tijdig te reageren op verandering.  

De organisatiekundige Gareth Morgan beschreef acht metaforen voor organisaties, waarvan de bekendste de “organisatie als machine” is.  

Na de industriële revolutie was dat een logisch beeld: processen moesten efficiënt draaien, controle was meetbaar en mensen waren vervangbare onderdelen.  

Maar dat denken schiet tekort in de huidige realiteit.  
Mensen zijn geen radertjes; ze hebben motivatie, drijfveren en waarden. Vandaar dat de terminologie door de jaren heen verschoof, van werknemer naar medewerker en nu collega.  

Toch, merkt Henk op, blijft het machinedenken diep in organisaties geworteld:  
“Kijk maar naar dashboards, KPI’s en procesmodellen, ze ademen nog steeds de logica van de machine.”  

Wie echt effectief risico’s wil beheersen, moet de organisatie zien als organisme: een systeem dat leeft van interactie met zijn omgeving, leert van feedback en zich aanpast aan omstandigheden. 

Volg Securecast voor nieuwe afleveringen en stuur uw vragen of thema's die u behandeld wilt hebben in.

• Luister op YouTube
• Luister op Spotify
• Neem contact op met ons team: securecast@securance.com
• Verken Securance Advisory

Nuttige referenties

• IIA Drie Lijnen Model
• COSO raamwerk voor interne controle

De Britse systeemdenker Kenneth Boulding beschreef een hiërarchie van systemen, van eenvoudig (zoals een brug) tot uiterst complex (zoals menselijke samenlevingen).  

Organisaties bevinden zich bijna aan de top van die schaal: socioculturele systemen waarin gedrag, cultuur, macht, technologie en belangen samenkomen.  

Daarom is volledige voorspelbaarheid onmogelijk.  
Er bestaat geen lineaire relatie tussen oorzaak en gevolg, geen “one best way” om risico’s te managen.  

Zoals Naeem zegt:  
“Wat is de invloed van gemotiveerde mensen op het succes van een organisatie? Iedereen voelt aan dat die positief is, maar het valt niet exact te meten.”  

Voor risk professionals is dat een belangrijk besef: modellen en frameworks (COSO, COBIT, ISO) zijn nuttig, maar geen natuurwetten. Ze bieden structuur, geen zekerheid.  

In control zijn is een illusie, maar beheersing blijft essentieel  

Aan het eind van het gesprek zegt Henk treffend:  
“Organisaties zijn een van de meest complexe systemen die er bestaan. Dus echt in control zijn, dat is eigenlijk een utopie.” 

Dat klinkt scherp, maar het is geen pessimisme. 
Het betekent dat risicobeheersing niet gaat over het elimineren van onzekerheid, maar over het leren omgaan met complexiteit.  

Echte control ontstaat niet uit absolute zekerheid, maar uit inzicht, adaptiviteit en dialoog.  

Tot slot  

Wie organisaties echt wil beheersen, moet ze eerst begrijpen.  
Niet als machines met vaste knoppen, maar als levende systemen die continu reageren op hun omgeving.  

Effectieve risicobeheersing begint dus niet met regels of modellen, maar met systeeminzicht, het besef dat gedrag, cultuur, technologie en omgeving onlosmakelijk met elkaar verbonden zijn. 

In de Securecast-aflevering “De organisatie als gevangenis?” delen Henk Meijer en Naeem Arif nog meer inzichten over deze manier van kijken. 

Beluister de aflevering via Spotify of YouTube, en ontdek hoe jouw organisatie veerkrachtig en realistisch “in control” kan blijven.