Risico’s beheersen of omarmen? COSO versus Taleb’s antifragiliteit
‘Risicomanagement? Dat voelt vaak als een papieren exercitie die weinig impact heeft. Het draait vaak om het vermijden van risico’s, zowel in de samenleving als binnen organisaties. Maar wat is de prijs? Een toenemende regeldruk en groeiende bureaucratie.’ Dit las ik in een essay van Martin van Staveren in het financieel dagblad van 22 augustus 2024, en het zette me aan het denken. Risicomanagement lijkt een verplicht onderdeel van elk jaarplan, businesscase en projectplan. Maar hoe gaan we eigenlijk met risico’s om? Misschien kan de theorie ons hierbij helpen. Twee benaderingen vallen op: het COSO-framework¹ en de inzichten van Nassim Nicholas Taleb². Beide hebben veel te zeggen over hoe je met risico’s om kunt gaan, maar hun aanpakken verschillen als dag en nacht.
Het COSO-framework: structuur en stabiliteit
Het COSO-framework is ideaal voor iedereen die houdt van structuur en controle. Het biedt een systematische aanpak van risicomanagement, afgestemd op de strategische doelstellingen van een organisatie. Het framework werkt op basis van vijf componenten: de interne beheersomgeving, risicobeoordeling, controleactiviteiten, informatie en communicatie en monitoring. Samen vormen deze componenten een robuust controlesysteem dat risico’s effectief beheert. COSO gaat uit van de veronderstelling dat de wereld in zekere mate voorspelbaar en beheersbaar is. De kracht van het COSO-framework ligt in de aanname dat, met de juiste gegevens en controles, op risico’s kan worden geanticipeerd en dat ze kunnen worden beheerst. Dit biedt organisaties houvast, vooral wanneer zij in een relatief stabiele en voorspelbare omgeving opereren. Bijvoorbeeld de ESG-rapportage om aan de eisen van compliance te voldoen.
Taleb’s zwarte zwanen: voorbereid op het onvoorspelbare
Nassim Nicholas Taleb benadert risicomanagement op een fundamenteel andere manier. In tegenstelling tot het COSO-framework, gelooft Taleb niet in een voorspelbare en beheersbare wereld. Integendeel, hij stelt dat veel risico’s onvoorspelbaar en extreem zijn – zogenaamde ‘zwarte zwanen’ – die plotselinge en ingrijpende gevolgen kunnen hebben. Een treffend voorbeeld dat Taleb gebruikt, is dat van de kalkoen: elke dag wordt de kalkoen gevoed en uit die dagelijkse routine trekt het dier de conclusie dat het leven veilig en voorspelbaar is. Tot de dag voor Thanksgiving, wanneer het ondenkbare gebeurt. Dit illustreert hoe we onszelf kunnen misleiden door te vertrouwen op patronen uit het verleden, terwijl het onverwachte altijd op de loer ligt.
Taleb benadrukt dat systemen die te veel vertrouwen op data en modellen kwetsbaar zijn voor onverwachte schokken. In plaats van risico’s te beheersen door controle, pleit hij voor antifragiliteit: systemen en organisaties moeten zo worden ontworpen dat ze sterker worden door onzekerheid en chaos. Taleb’s aanpak is veel meer streetwise; hij benadrukt de noodzaak om in de echte wereld flexibel en alert te zijn, altijd voorbereid op het onverwachte. Dit vraagt om praktische wijsheid en aanpassingsvermogen, in plaats van blind vertrouwen op theoretische modellen en voorspellingen. Hoewel Taleb’s filosofie van antifragiliteit veel waarde heeft, kan het voor zorgorganisaties, met hun strikte wet- en regelgeving, lastig kan zijn om deze volledig te omarmen.
De kracht van balans: Hoe COSO en Taleb samen sterker risico’s beheersen
Als we de verschillende benaderingen van risicomanagement naast elkaar leggen, wordt duidelijk dat er geen one-size-fits-all-oplossing is. Het COSO-framework biedt stabiliteit en voorspelbaarheid, terwijl Taleb juist benadrukt dat we chaos en onzekerheid moeten omarmen. Beide visies hebben hun waarde, afhankelijk van de context waarin een organisatie zich bevindt. De echte kracht ligt niet in het kiezen tussen de twee, maar in het leren van beide benaderingen. Hoewel COSO en Taleb op het eerste gezicht lijnrecht tegenover elkaar lijken te staan, kunnen ze elkaar ook aanvullen. Door de structuur van COSO te combineren met Taleb’s antifragiliteit, kunnen we niet alleen risico’s beheersen, maar er ook sterker uitkomen. Deze balans kan organisaties voorbereiden op zowel voorspelbare risico’s als onverwachte schokken.
Hoe ga jij om met risico’s?
De vraag ligt nu bij jou als lezer: hoe ziet risicomanagement er in jouw organisatie uit? Blijf je vasthouden aan traditionele controlemechanismen of durf je ruimte te maken voor flexibiliteit en antifragiliteit? In een dynamische omgeving zijn vakmanschap, ervaring en intuïtie van professionals onmisbaar. En het voorkomt bureaucratie. Neem de tijd om kritisch naar de risico’s binnen je organisatie te kijken en na te denken over hoe je zowel voorspelbare als onvoorspelbare risico’s wilt beheren. Zoals Martin van Staveren in zijn essay schrijft: ’Laten we klein beginnen door open de dialoog over risico’s aan te gaan. Wat zijn ze, wat kunnen en willen we eraan doen en met welke neveneffecten?’
¹ Committee of Sponsoring Organizations of the Treadway Commission) is een systeem voor het beheersen van risico’s en het verbeteren van interne controle binnen organisaties. Het werd ontwikkeld door een commissie die in 1985 in de Verenigde Staten werd opgericht met als doel het voorkomen van frauduleuze financiële rapportages en het bevorderen van goed bestuur binnen organisaties. Het framework wordt wereldwijd gebruikt en erkend als een leidraad voor risicomanagement, interne controle, en corporate governance.
² De inzichten van Taleb zijn te vinden in de boeken: ‘De Zwarte Zwaan: De impact van het onwaarschijnlijke’ en ‘Antifragil: Dingen die baat hebben bij wanorde’.
Auteur: Edwin Kalbfleisch
Edwin Kalbfleisch wil met zijn blogs het financieel management in de zorg versimpelen en daarmee een brug te slaan tussen de theorie en de praktijk. Hij zit in het Raad van Bestuur bij De Zorgcirkel en is schrijver van het boek ‘Financieel management in de zorg ontcijferd’.