Kennis
14 april 2026

De strategische risk radar: van plaatje naar werkende monitoring

 Veel organisaties zeggen dat ze "strategisch risicomanagement" hebben. Er is een risicoparagraaf, een top‑10, een appetite‑statement, soms een mooi model. Toch zie je bij grote besluiten meestal iets anders: voorstellen zijn al ver uitgewerkt voordat strategische risico's echt een rol spelen. De lijstjes lopen achter de keuzes aan.

De strategische risk radar draait dat om. Niet de lijst is het vertrekpunt, maar de vraag: wélk risico krijgt welke plek op de radar, en wat betekent dat voor wie ernaar kijkt, hoe vaak het terugkomt en hoe snel je moet handelen.

De radar als bestuurstafel

De strategische risk radar is in essentie een bestuurstafel op papier. Hij laat in één oogopslag zien welke onzekerheden aan de horizon verschijnen, welke je actief volgt en welke je naar binnen haalt als concrete actiepunten.

De radar bestaat uit ringen en kwadranten.

  • De ringen zeggen iets over tijd en urgentie.
  • De kwadranten geven de inhoudelijke invalshoek: people & culture, market & regulation, technology, financial, operational.

Waar je een risico neerzet, bepaalt welk gesprek je erover voert. Een thema in de buitenste ring vraagt een ander soort gesprek dan een thema in de binnenste cirkel.

Strategische risk radar — vier zones en vijf kwadranten
De strategische risk radar met vier zones (na de horizon, horizon, monitoring, actie) en vijf kwadranten

Vier zones, vier soorten gesprekken

Je kunt de radar grofweg in vier zones verdelen. Elke zone hoort bij een ander type gesprek.

1. After horizon — verkennen

De buitenste zone is "na de horizon". Daar staan onderwerpen die je ziet aankomen, maar waar nog geen besluiten aan vastzitten. Denk aan vroege signalen uit de maatschappij, nieuwe technologie, eerste discussies over regulering, veranderend gedrag van klanten.

Gesprekstype: verkennen.

  • Wat zien we gebeuren?
  • Wie merkt hier nu al iets van?
  • Wat zouden mogelijke gevolgen kunnen zijn voor onze rol, keten, assets?

Er hoeven nog geen keuzes te worden gemaakt. Het belangrijkste is dat het thema een plek heeft en niet telkens opnieuw "nieuw" is.

2. Horizon — positie kiezen

Een ring naar binnen ligt de horizon. Hier staan onderwerpen die niet meer vrijblijvend zijn. Ze komen dichterbij, je ziet de eerste concrete effecten, er lopen misschien al trajecten of onderzoeken.

Gesprekstype: positioneren.

  • Willen we hier iets mee of niet?
  • Wat is onze positie als dit doorzet?
  • Wat betekent dat voor onze strategie en ons profiel?

In deze zone gaat het erom dat bestuur en directie een bewuste houding innemen. Geen uitgewerkt plan, wel een duidelijk "richting ja" of "richting nee".

3. Monitoring — volgen en voorbereiden

De volgende ring is de monitoring‑zone. Hier staan risico's die dicht genoeg bij zijn om gestructureerd te volgen, maar nog niet vragen om zware ingrepen.

Gesprekstype: sturen op informatie.

  • Welke indicatoren volgen we?
  • Welke scenario's hanteren we?
  • Wanneer schuift dit door naar actie?

Thema's in de monitoring‑zone horen terug te komen in dashboards, periodieke rapportages en managementgesprekken. Ze zijn nog strategisch, maar krijgen al een tactische vertaling: meetpunten, triggers, scenario's.

4. Action — omzetten naar concrete sturing

In de binnenste cirkel ligt de action‑zone. Hier staan risico's die zo dichtbij zijn gekomen dat je niet langer alleen kunt volgen, maar keuzes moet maken.

Gesprekstype: besluiten.

  • Wat gaan we doen, met welk budget, in welke volgorde?
  • Wat komt hiervoor in de plaats, wat stellen we uit of stoppen we?
  • Wie is eigenaar en waar sturen we op?

Deze zone is ook de schakel naar het tactische risicomanagement: alles wat in de action‑zone staat, hoort zichtbaar terug te komen op de tactische risk heat map, met concrete maatregelen, acties, deadlines en verantwoordelijken.

Van radar naar tactische heat map: het keuzemoment

De strategische radar en de tactische heat map zijn geen dubbele administratie. Ze hebben ieder een eigen functie:

  • De radar: welke strategische risico's zijn relevant, en waar staan ze qua horizon?
  • De tactische heat map: welke risico's managen we actief in processen, projecten en afdelingen?

Het kruispunt ligt bij de monitoring‑ en action‑zones.

  • Thema's in monitoring: moeten minimaal herkenbaar zijn in het tactische risicobeeld, bijvoorbeeld als categorie of "watch list". Er is zicht nodig op waar het risico zich kan materialiseren.
  • Thema's in action: krijgen een concrete plek op de heat map, met maatregelen, controls, projecten, acties.

Belangrijk is dat dit een expliciete keuze is van bestuur en directie: niets komt in action zonder dat er bewust over is gesproken. Niets blijft permanent in monitoring zonder dat iemand zich afvraagt of dat nog klopt. En omgekeerd: geen overvolle tactische heat map met onderwerpen die nooit op de radar hebben gestaan. Zo voorkom je dat alles "urgent" is en niets meer echt strategisch.

Wat er misgaat als de radar een plaatje blijft

Zonder discipline rond de radar zie je steeds dezelfde patronen.

  • Risico's verschijnen direct in de action‑zone zodra er een incident is, zonder dat er ooit een bewust horizon‑ of monitoring‑gesprek is geweest.
  • Nieuwe regelgeving (zoals DORA of NIS2) wordt opgepakt als technisch compliance‑project, terwijl de strategische impact op ketens, continuïteit en reputatie nauwelijks besproken wordt.
  • Thema's schuiven jarenlang mee in de buitenste ringen — iedereen kent ze, niemand koppelt er een duidelijke positie of actie aan.

Dan heb je wel een radar, maar geen strategische sturing. Het model is er, de governance staat op papier, maar het gedrag is ad‑hoc en incident‑gedreven.

Bestuur en RvC: de radar gebruiken als kader

Voor bestuur en RvC is de radar vooral een hulpmiddel om hun eigen gesprek te structureren. Een paar concrete afspraken kunnen al veel schelen:

  • Minimaal één keer per jaar een sessie waarin de radar wordt herijkt: wat komt erbij, wat schuift naar binnen, wat kan er af?
  • Bij elk groot strategisch besluit: expliciet de vraag stellen waar het relevante thema op de radar staat en of die positie nog klopt.
  • Durven schuiven: thema's die feitelijk al zorgen en incidenten opleveren, horen niet langer in after horizon of horizon, maar in monitoring of action.
  • Na afloop van grote trajecten: terugkijken waar het thema destijds op de radar stond, welke aannames er waren en wat daarvan is uitgekomen.

Zo wordt de radar een vast onderdeel van het besluitvormingsproces, niet alleen van de risicoparagraaf.

Risk: curator van de radar, niet eigenaar van de strategie

De riskfunctie hoeft de strategie niet te bepalen, maar speelt wel een centrale rol in het onderhoud van de radar. Belangrijke taken:

  • Signaleren: ontwikkelingen, incidenten, ketenrisico's, toezichtstrends en interne bevindingen vertalen naar voorstellen voor de radar.
  • Structureren: zorgen voor consistente criteria en taal bij het plaatsen en verplaatsen van risico's tussen de zones.
  • Verbinden: monitoring‑ en action‑items koppelen aan de tactische heat map, zodat duidelijk is waar in de organisatie ze landen en wie eigenaar is.
  • Terugmelden: periodiek laten zien welke radar‑items zijn doorgeschoven, welke in actie zijn gekomen en welke nog blijven liggen.

Cruciaal is dat risk de radar niet in zijn eentje "vult". De indeling is een bestuursbeslissing; risk organiseert het proces, bewaakt de kwaliteit en legt vast wat is afgesproken.

Internal Audit: reality‑check op de radar

Internal Audit kan nagaan of de radar in de praktijk werkt zoals afgesproken. Niet door nog een extra model toe te voegen, maar door te kijken naar echte beslissingen. Een mogelijke aanpak:

  • Kies een aantal grote besluiten van de afgelopen jaren: investeringen, IT‑trajecten, reorganisaties, strategische partnerschappen.
  • Leg de besluitdocumenten naast de radarhistorie: waar stond het relevante thema op de radar toen? Is er een verschuiving geweest tussen de zones?
  • Kijk of items die in action staan, terugkomen in de tactische heat map en in managementrapportages.
  • Breng in beeld waar het schuurt: thema's die in after horizon bleven terwijl incidenten zich opstapelden, of onderwerpen in de action‑zone zonder duidelijke tactische opvolging.

Audit hoeft daarbij niet te oordelen over of de strategie "goed" is. Wel kan Audit helder maken of het afgesproken gebruik van de radar wordt nageleefd en wat dat zegt over de governance rond strategische risico's.

Een compacte radartoets voor bestuur en toezicht

Een organisatie die deze manier van werken wil versterken, kan beginnen met een klein aantal vragen aan zichzelf:

  • Noem drie thema's die nu in de action‑zone staan. Welke besluiten hebben we daar de afgelopen twaalf maanden op genomen, en waar zien we die terug in projecten, budgetten en maatregelen?
  • Welke onderwerpen schuiven al langer mee in horizon of monitoring zonder dat daar een duidelijke positie of actie aan is verbonden? Waarom blijven die daar staan?
  • Welk recent incident of externe druk had eerder zichtbaar kunnen zijn als radar‑item? Stond het erop, en zo ja: in welke zone?
  • Hoe transparant is het proces van schuiven: wie beslist dat een thema van after horizon naar horizon, monitoring of action gaat, en wordt dat vastgelegd?

Vanaf daar kun je verder bouwen: afspraken aanscherpen, de rol van radar en heat map helderder maken, en de samenwerking tussen bestuur, risk en Audit concreter invullen.

Terug naar Kennis