De strategische risk radar: van plaatje naar werkende monitoring

Kennis
Kern in het kort

Veel organisaties zeggen dat ze strategisch risicomanagement hebben. Dat betekent vaak dat iemand heel lang heeft gedaan om een mooie Powerpoint presentatie te maken. Ambachtelijk werk, met interviews, analyses. Dagen, weken, soms maanden werk. De strategische risk radar draait dat om: niet de lijst, maar de vraag wélk risico welke plek verdient — en wat dat betekent voor wie er naar kijkt.

 Strategisch risicomanagement staat bij de meeste organisaties in het jaarplan. Er is een risicoparagraaf, een top-10, een appetite-statement, soms een mooi model. Maar kijk naar grote besluiten: voorstellen zijn al ver uitgewerkt voordat risico's serieus meewegen. De lijstjes lopen achter de keuzes aan.

De strategische risk radar draait dat om. Niet de lijst is het vertrekpunt, maar de vraag: welk risico krijgt welke plek op de radar, wat dat betekent voor wie ernaar kijkt, hoe vaak het terugkomt en hoe snel je moet handelen.

De radar als bestuurstafel

De strategische risk radar is een bestuurstafel op papier. Hij laat in één oogopslag zien welke onzekerheden aan de horizon verschijnen, welke je actief volgt en welke je naar binnen haalt als concrete actiepunten.

De radar bestaat uit ringen en kwadranten.

  • De ringen zeggen iets over tijd en urgentie.
  • De kwadranten geven de inhoudelijke invalshoek: people & culture, market & regulation, technology, financial, operational.

Waar je een risico plaatst op de radar, bepaalt welk gesprek je erover voert. Een thema in de buitenste ring vraagt een ander gesprek dan een thema in de binnenste cirkel.

Strategische risk radar: vier zones en vijf kwadranten
De strategische risk radar met vier zones (na de horizon, horizon, monitoring, actie) en vijf kwadranten

Vier zones, vier soorten gesprekken

Deel je radar in vier zones in en koppel elke zone aan één type bestuurlijk gesprek. Hoe dichter een thema bij het centrum staat, hoe concreter het gesprek wordt.

1. After horizon: verkennen

De buitenste zone is "na de horizon". Daar staan onderwerpen die je ziet aankomen, maar waar nog geen besluiten aan vastzitten. Vroege signalen uit de maatschappij, nieuwe technologie, eerste discussies over regulering, veranderend gedrag van klanten.

Gesprekstype: verkennen.

  • Wat zien we gebeuren?
  • Wie merkt hier nu al iets van?
  • Wat zouden mogelijke gevolgen kunnen zijn voor onze rol, keten, assets?

Er hoeven nog geen keuzes gemaakt te worden. Het punt is dat het thema een vaste plek heeft en niet elke keer als "nieuw" op tafel komt.

2. Horizon: positie kiezen

Een ring naar binnen ligt de horizon. Onderwerpen hier zijn niet meer vrijblijvend. Ze komen dichterbij, de eerste concrete effecten worden zichtbaar en mogelijk lopen er al trajecten of onderzoeken.

Gesprekstype: positioneren.

  • Willen we hier iets mee of niet?
  • Wat is onze positie als dit doorzet?
  • Wat betekent dat voor onze strategie en ons profiel?

In deze zone nemen bestuur en directie een bewuste houding in. Geen uitgewerkt plan, maar wel een helder "richting ja" of "richting nee".

3. Monitoring: volgen en voorbereiden

De volgende ring is de monitoring‑zone. Risico's die dichtbij genoeg zijn om gestructureerd te volgen, maar waar zware ingrepen nog niet nodig zijn.

Gesprekstype: sturen op informatie.

  • Welke indicatoren volgen we?
  • Welke scenario's hanteren we?
  • Wanneer schuift dit door naar actie?

Laat thema's uit de monitoring‑zone terugkomen in je dashboards, periodieke rapportages en managementgesprekken. Ze zijn nog strategisch, maar krijgen al een tactische vertaling: meetpunten, triggers, scenario's.

4. Action: omzetten naar concrete sturing

In de binnenste cirkel ligt de action‑zone. Risico's die zo dichtbij zijn dat alleen volgen niet meer volstaat. Hier moet je keuzes maken.

Gesprekstype: besluiten.

  • Wat gaan we doen, met welk budget, in welke volgorde?
  • Wat komt hiervoor in de plaats, wat stellen we uit of stoppen we?
  • Wie is eigenaar en waar sturen we op?

Deze zone is ook de schakel naar het tactische risicomanagement. Alles wat in de action-zone staat, hoort zichtbaar terug te komen op de tactische risk heat map, met concrete maatregelen, acties, deadlines en verantwoordelijken.

Van radar naar tactische heat map: het keuzemoment

De strategische radar en de tactische heat map zijn geen dubbele administratie. Ze hebben elk een eigen functie:

  • De radar: welke strategische risico's zijn relevant, en waar staan ze qua horizon?
  • De tactische heat map: welke risico's managen we actief in processen, projecten en afdelingen?

Het kruispunt ligt bij de monitoring- en action-zones.

  • Thema's in monitoring: moeten minimaal herkenbaar zijn in het tactische risicobeeld, bijvoorbeeld als categorie of "watch list". Er is zicht nodig op waar het risico zich kan materialiseren.
  • Thema's in action: krijgen een concrete plek op de heat map, met maatregelen, controls, projecten, acties.

Dit is een expliciete keuze van bestuur en directie: niets komt in action zonder dat er bewust over is gesproken. Niets blijft permanent in monitoring zonder dat iemand zich afvraagt of dat nog klopt. En omgekeerd: geen overvolle tactische heat map met onderwerpen die nooit op de radar hebben gestaan. Zo voorkom je dat alles "urgent" wordt en niets meer strategisch is.

Praktijktip: maak de koppeling tastbaar

Behandel elk item op de radar als een kaart op je tactische heat map. Leg per kaart drie dingen vast: wie is de proceseigenaar (een persoon, geen afdeling), wanneer moet het klaar zijn (afgeleid van de ring waarin het item staat), en op welke indicatoren stuur je. Dat voorkomt dubbel werk en houdt de lijn intact: radar, heat map, maatregel. Geen vertaalslag, geen overtypen.

Wat er misgaat als de radar een plaatje blijft

Zonder discipline rond de radar zie je steeds dezelfde patronen.

  • Risico's verschijnen direct in de action‑zone zodra er een incident is, zonder dat er ooit een bewust horizon‑ of monitoring‑gesprek is geweest.
  • Nieuwe regelgeving (zoals DORA of NIS2) wordt opgepakt als technisch compliance‑project, terwijl de strategische impact op ketens, continuïteit en reputatie nauwelijks besproken wordt.
  • Thema's schuiven jarenlang mee in de buitenste ringen: iedereen kent ze, niemand koppelt er een duidelijke positie of actie aan.

Je hebt dan wel een radar, maar geen strategische sturing. Het model bestaat, de governance staat op papier, maar het gedrag is ad-hoc en incident-gedreven.

Bestuur en RvC: de radar gebruiken als kader

Voor bestuur en RvC is de radar vooral een hulpmiddel om hun eigen gesprek te structureren. Een paar concrete afspraken maken al veel verschil:

  • Minimaal één keer per jaar een sessie waarin de radar wordt herijkt: wat komt erbij, wat schuift naar binnen, wat kan er af?
  • Bij elk groot strategisch besluit: expliciet de vraag stellen waar het relevante thema op de radar staat en of die positie nog klopt.
  • Durven schuiven: thema's die feitelijk al zorgen en incidenten opleveren, horen niet langer in after horizon of horizon, maar in monitoring of action.
  • Na afloop van grote trajecten: terugkijken waar het thema destijds op de radar stond, welke aannames er waren en wat daarvan is uitgekomen.

De radar hoort zo in het besluitvormingsproces zelf, niet alleen in de risicoparagraaf.

Risk: curator van de radar, niet eigenaar van de strategie

De riskfunctie hoeft de strategie niet te bepalen, maar staat centraal in het onderhoud van de radar. Belangrijke taken:

  • Signaleren: ontwikkelingen, incidenten, ketenrisico's, toezichtstrends en interne bevindingen vertalen naar voorstellen voor de radar.
  • Structureren: zorgen voor consistente criteria en taal bij het plaatsen en verplaatsen van risico's tussen de zones.
  • Verbinden: monitoring‑ en action‑items koppelen aan de tactische heat map, zodat duidelijk is waar in de organisatie ze landen en wie eigenaar is.
  • Terugmelden: periodiek laten zien welke radar‑items zijn doorgeschoven, welke in actie zijn gekomen en welke nog blijven liggen.

Risk vult de radar niet in zijn eentje. De indeling is een bestuursbeslissing. Risk organiseert het proces, bewaakt de kwaliteit en legt vast wat is afgesproken.

Internal Audit: reality‑check op de radar

Internal Audit kan nagaan of de radar in de praktijk werkt zoals afgesproken. Internal Audit kijkt naar echte beslissingen, geen extra model. Een mogelijke aanpak:

  • Kies een aantal grote besluiten van de afgelopen jaren: investeringen, IT‑trajecten, reorganisaties, strategische partnerschappen.
  • Leg de besluitdocumenten naast de radarhistorie: waar stond het relevante thema op de radar toen? Is er een verschuiving geweest tussen de zones?
  • Kijk of items die in action staan, terugkomen in de tactische heat map en in managementrapportages.
  • Breng in beeld waar het schuurt: thema's die in after horizon bleven terwijl incidenten zich opstapelden, of onderwerpen in de action‑zone zonder duidelijke tactische opvolging.

Audit hoeft niet te oordelen of de strategie "goed" is. Audit toetst of het afgesproken gebruik van de radar wordt nageleefd, en wat dat zegt over de governance rond strategische risico's.

Een compacte radartoets voor bestuur en toezicht

Een organisatie die dit wil versterken, begint met een paar vragen aan zichzelf:

  • Noem drie thema's die nu in de action‑zone staan. Welke besluiten hebben we daar de afgelopen twaalf maanden op genomen, en waar zien we die terug in projecten, budgetten en maatregelen?
  • Welke onderwerpen schuiven al langer mee in horizon of monitoring zonder dat daar een duidelijke positie of actie aan is verbonden? Waarom blijven die daar staan?
  • Welk recent incident of externe druk had eerder zichtbaar kunnen zijn als radar‑item? Stond het erop, en zo ja: in welke zone?
  • Hoe transparant is het proces van schuiven: wie beslist dat een thema van after horizon naar horizon, monitoring of action gaat, en wordt dat vastgelegd?

Dan de volgende stap: afspraken aanscherpen, de rol van radar en heat map scherper afbakenen, de samenwerking tussen bestuur, risk en Audit concreet invullen.

Start morgen: drie stappen in dertig dagen

  1. Herijk je top-drie action-items. Leg ze naast de notulen van je laatste RvC-vergadering. Stonden ze daar vooraf op de radar? Zo niet: waarom eigenlijk niet? Dat is precies het soort blinde vlek waar de radar voor bedoeld is.
  2. Plan een horizon-gesprek. Kies één extern thema, bijvoorbeeld nieuwe regulering, en bespreek uitsluitend de verkennende vragen uit de horizon-zone. Drie kwartier is genoeg. Het gaat er niet om antwoorden te vinden, maar om de juiste vragen scherp te krijgen.
  3. Test de koppeling met je heat map. Pak een item uit de action-zone en zoek het terug in je tactische risicorapport. Staat het er niet in, dan weet je waar je proces of tooling hapert. Dat is geen falen, dat is winst: je hebt de naad gevonden vóór het misgaat.

Hoe kan Audirium u helpen?

Strategisch risicomanagement staat of valt bij goede informatie en de juiste gesprekken op boardniveau. Audirium ondersteunt daar concreet bij.

  • Risk heat map tooling: implementatie en inrichting van een visueel risico-instrument dat werkt voor bestuur én management
  • Strategische risk radar: opzet en begeleiding van een werkende radar: van thema-inventarisatie tot zoneindeling en bestuurlijke bespreking
  • Strategisch risicomanagement: van risicobereidheid naar concrete normen, monitoring en opvolging
  • Bestuur- en auditcomitégesprekken: voorbereiding en begeleiding van de dialoog over risicotolerantie en strategische risico's
  • Fractional Chief Risk Officer: senior risico-expertise op maat, zonder vaste aanstelling

Wil je weten hoe Audirium je strategisch risicomanagement versterkt? Neem contact op →

Terug naar Kennis