Pak een blanco vel papier. Schrijf de drie grootste risico’s op die jouw bedrijf vandaag bedreigen. Zonder hulp van iemand anders, zonder Google. Nu.
Lukt dat in vijf minuten?
Voor de meeste directeuren is het antwoord nee. Niet omdat ze de risico’s niet kennen — maar omdat ze er nooit hardop over hebben gesproken. Het zit in hun hoofd, maar versplinterd: een gevoel over die ene leverancier, een vermoeden over een proces, een herinnering aan een incident bij een collega-bedrijf. Geen lijstje. Geen volgorde. Geen woorden.
Kennen is iets anders dan benoemen
Veel directeuren denken dat ze hun risico’s kennen. En misschien klopt dat — op het niveau van intuïtie, ervaring, onderbuik. Maar bestuur is geen onderbuik. Bestuur is keuzes maken die door anderen uitgevoerd kunnen worden.
Een risico dat alleen in je hoofd zit, kan je organisatie niets mee. Je kunt je IT-er er niet op laten sturen. Je kunt je verzekeraar er niets over vertellen. Je kunt het niet wegen tegen je investeringsbudget. Het bestaat alleen voor jou.
Dat is geen overzicht. Dat is een geheim.
Drie is het minimum, niet het maximum
Waarom drie? Omdat één benoemen makkelijk is — iedereen heeft wel een topzorg. Vijf benoemen is een lijstje uit een rapport. Maar drie hardop kunnen noemen, in de juiste volgorde, onderbouwd: dat vraagt dat je hebt nagedacht over wat het zwaarst weegt en waarom.
Drie betekent dat je kunt prioriteren. En prioriteren is wat een bestuurder doet. Zonder die volgorde behandelt je organisatie alle risico’s als even belangrijk — wat in de praktijk betekent dat ze niets serieus aanpakt.
Waarom risico geen tweede kans geeft
In andere domeinen bestuur je op gevoel en kun je bijsturen. Twijfel na een wervingskeuze los je op met een vervolggesprek. Een tegenvallende campagne stuur je twee weken later bij. Een klant die ontevreden is kan toch blijven.
Bij risico werkt dat niet. Een ransomware-aanval die je niet hebt zien aankomen, bel je niet terug. Een AVG-boete maak je niet ongedaan met een excuus. Een leverancier die jouw klantdata lekt, repareer je niet door volgende week beter op te letten.
Daarom heeft bestuur op gevoel hier andere consequenties dan elders. Niet omdat het vak ingewikkelder is — omdat de fout duurder is.
Wat je vandaag kunt doen
Pak dat vel papier weer. Schrijf de drie risico’s op. Lukt het niet, dan heb je geen overzicht. En zonder overzicht ben je geen bestuurder van dat dossier — je bent toeschouwer.
Dat is geen probleem dat je in een ochtend oplost. Maar het is wel een probleem dat je vandaag kunt erkennen. En erkennen is de eerste vraag die elke bestuurlijke verantwoordelijkheid stelt: weet je wat je beheert?