Milkyway moving through portals in different shapes, in minimalistic studio setting in vivid colours
Very Large Array satellite dish under the Milky Way

Als de wereld op slag verandert, kun je dan snel en met vertrouwen handelen?

Auteurs

Bijdragers

20 minuten leestijd 22 apr 2026
Gerelateerde topics
Transformation
Risk

In een wereld die constant versnelt en verandert, verdien je vertrouwen door direct te handelen, niet door af en toe terug te kijken.

In het kort

  • Risk operating models vragen om een omslag, van periodieke controle naar besluitvorming dichter bij de business en gestuurd door triggers.
  • Een strategy‑first, trigger‑based en governance‑forward benadering maakt snel en verantwoord handelen mogelijk.
  • Groeifasen, transacties en crisissituaties bieden daarbij het natuurlijke momentum voor vernieuwing.

In november 2025 zat de Amerikaanse overheid al zes weken dicht en dat begon voelbaar te worden. De Federal Aviation Administration (FAA) besloot het vliegverkeer op veertig drukke luchthavens tijdelijk te beperken, eerst met 4% en een week later met 10%. Dat was fors, maar de reden was eigenlijk heel nuchter. Volgens de FAA gaven personele signalen aan dat de druk op het systeem te groot werd.1

In de luchtvaart is het heel normaal om met data‑gestuurde signalen te werken om risico’s te beheersen. Dat moet ook wel, want één incident kan al snel grote gevolgen hebben. Daarom gebruiken veel luchtvaartmaatschappijen duidelijke triggers, zoals IT‑problemen of slecht weer, met vaste acties die meteen in werking treden, van vluchten omleiden tot overschakelen op reservesystemen.

Een paar maanden vóór het ingrijpen van de FAA zorgde een technisch probleem bij een Amerikaanse luchtvaartmaatschappij voor een tijdelijke stop van vluchten op meerdere grote luchthavens. Het incident kreeg weinig aandacht, juist omdat de vastgelegde protocollen hun werk deden en het probleem binnen enkele uren was opgelost. Dat is de kracht van goede triggers: snelle en beheersbare ingrepen die escalatie voorkomen en vertrouwen intact houden.

2026 EY Global Risk Transformation Study - Operating Models PDF

PDF (3 MB)

Dat staat in schril contrast met incidenten waarbij kleine verstoringen leiden tot langdurige crises. Zulke situaties kosten luchtvaartmaatschappijen niet alleen veel geld, maar schaden ook hun reputatie en het vertrouwen van klanten en andere stakeholders.

Als risico’s goed worden aangepakt, voelen stakeholders vertrouwen. In een wereld die zich snel, onvoorspelbaar en in samenhang ontwikkelt, is dat uitdagender dan ooit. Vertrouwen kan in korte tijd verdwijnen, juist omdat crises vaker voorkomen, sneller uit de hand lopen en zich onverwacht verspreiden. In een wereld waarin vertrouwen structureel onder druk staat, zijn de belangen groter dan ooit tevoren.

Traditionele risicomodellen zijn traag en periodiek ingericht. Dat botst met een wereld die steeds sneller en minder voorspelbaar wordt. Wie snel en met vertrouwen wil werken, zal het model moeten aanpassen:

  • Strategy‑first: begin bij de strategie, en richt risico’s en meetpunten op wat straks waarde oplevert, niet op wat eerder gebeurde.
  • Trigger‑based: werk met duidelijke triggers en vaste beslisrechten, zodat mensen meteen kunnen handelen als de situatie verandert.
  • Governance-forward: regel de governance vooraf, zodat iedereen weet wie verantwoordelijk is en snelle actie mogelijk blijft

Samen zorgen deze stappen ervoor dat organisaties vooruitdenken in plaats van achteraf reageren, zodat ze snel kunnen handelen bij onzekerheid en toch de controle houden.

Deze aanpak werpt duidelijke vruchten af. Organisaties die risico’s inzetten als motor voor groei zijn beter bestand tegen schokken in een NAVI‑omgeving dan traditionele riskorganisaties. Zij presteren aantoonbaar beter in het tijdig herkennen van incidenten, het beperken van verrassingen en het nemen van passende besluiten.

Women tourists sit at the top of the rock with Northern Lights or Aurora Borealis, Beautiful landscape.
1

Hoofdstuk 1

Begin bij de strategie, relevantie ontstaat bij waardecreatie

Baseer risicobeslissingen op het gewenste toekomstbeeld van de organisatie.

Risicomanagement is vaak gericht op wat al is gebeurd, terwijl strategie juist gaat over wat nog moet komen. In een wereld die snel verandert, kunnen ogenschijnlijk kleine risico’s grote ambities dwarsbomen. Dat maakt een strategy-first benadering van de riskfunctie urgenter dan ooit.

Begin bij waar je als organisatie naartoe wilt. Dat toekomstbeeld bepaalt hoe je naar risico’s kijkt, welke je prioriteit geeft en hoe je handelt. Door aannames expliciet te maken, ontdek je vroeg waar het kan misgaan als de wereld verandert.

Hoe EY kan helpen

  •  Enterprise Resilience

    De EY Enterprise Resilience solution helpt organisaties snel en slim reageren op disruptie. Zo verlaag je risico’s en bouw je aan waarde die ook op de lange termijn blijft bestaan. Meer informatie.

    Lees meer

Een autobedrijf denkt nu misschien vooral aan brandstofprijzen of stilstaande auto’s bij dealers. Maar als je vooruitkijkt naar een wereld van elektrisch rijden en Mobility as a Service (MaaS), gaan heel andere dingen tellen, zoals toegang tot grondstoffen, gebruik van mobiliteitsdiensten en afhankelijkheid van laadnetwerken, ook al is er weinig historische data beschikbaar.

 

De Zweedse witgoedfabrikant Electrolux versterkt zijn resilience door risicomanagement en investeringsplanning te baseren op toekomstige klimaatscenario’s. Waar eerder vooral naar weerrisico’s op korte termijn werd gekeken, spelen nu ook klimaatontwikkelingen over twintig tot dertig jaar een rol in de strategiebepaling, aldus Ulrich Adamheit, Head of Group Risk Management.

Powerful hurricane seen from space
2

Hoofdstuk 2

Trigger-based aansturing: aansluiten op actuele dynamiek

Laat vaste evaluatiemomenten los en stuur bij wanneer triggers daar aanleiding toe geven.

Hoe EY kan helpen

Waar een strategy-first aanpak richting geeft aan wat belangrijk is, zorgt een trigger-based operating model voor de risico-architectuur die snel en met vertrouwen handelen mogelijk maakt. Dit heeft twee effecten.

 

Het maakt duidelijk wanneer beslissingen nodig zijn en wie mag optreden, gestuurd door signalen, drempels en vooraf vastgelegde beslissingsbevoegdheden. Daarnaast richt het zich op no-regret resilience‑acties die de organisatie voorbereiden, zoals heldere besluitvorming, zicht op mitigatie-opties, het oefenen van scenario’s via simulaties en het tijdig oplossen van knelpunten, nog voordat een trigger zich voordoet.

 

Dit gaat niet om het voorspellen van elke mogelijke uitkomst of het uitschrijven van elke reactie. Geen enkel model kan elke schok voorzien; onverwachte risico’s en verliezen zullen blijven optreden. Waar het om gaat, is dat de organisatie beschikt over een duidelijke basisaanpak voor de meeste omstandigheden, én over de discipline en het organisatievermogen om te improviseren wanneer dat nodig is.

 

Hier gaat het niet langer om het inventariseren van risico’s, maar om het vormgeven van de context waarin beslissingen tot stand komen. Door triggers te gebruiken, ontwikkelen organisaties een sneller en consistenter ritme voor handelen, gebaseerd op duidelijke drempels en minder op individuele managementafwegingen.

 

Dit begint met het vertalen van strategische aannames naar betekenisvolle signalen die aangeven wanneer verschuivingen gevolgen hebben voor waardecreatie. Door deze signalen continu te monitoren en te koppelen aan objectieve drempelwaarden, ontstaat duidelijkheid over wanneer ingrijpen nodig is en met welke intensiteit. Dat niveau stuurt vier elementen: besluitvorming, respons, escalatie en communicatiecadans.

 

Organisaties die risico strategisch inzetten, werken doorgaans met drie triggerniveaus: monitoren, ingrijpen en mobiliseren. Elk niveau kent duidelijke verantwoordelijkheden, acties en communicatieafspraken. Voor elk signaal is vastgelegd wie de data beheert, hoe die wordt gemeten, hoe vaak deze wordt ververst en wie uiteindelijk beslist zodra een drempel wordt overschreden.

 

Om te zien hoe deze aanpak in de praktijk werkt, kun je denken aan een grote organisatie die zich voorbereidt op de mogelijkheid van grensoverschrijdend conflict in een regio waar geopolitieke spanningen toenemen. De organisatie start met een monitoringsstructuur rond verschillende escalatiescenario’s, variërend van beperkte politieke en economische druk tot hybride dreigingen en volledig gewapend conflict. Daarbij worden zowel directe no‑regret‑maatregelen vastgesteld, zoals het verminderen van kritieke afhankelijkheden, als vooraf goedgekeurde maatregelen die automatisch worden geactiveerd per escalatieniveau, bijvoorbeeld het scheiden van technologieomgevingen om lokale operaties te beschermen.

 

Op dit punt wordt snelheid onderdeel van de structuur. Besluitvorming over eigenaarschap en bevoegdheden vindt niet plaats tijdens een crisis, maar is vooraf verankerd. Escalatie en mandaat liggen vast, waardoor activering direct tot uitvoering leidt.

 

In crisissituaties verschuift de organisatie niet naar procesdiscussies, maar naar actie op basis van een vooraf ontworpen handelingskader. Risk vervult daarbij een ontwerpende en verbindende rol en borgt actualiteit door regelmatige testen, evaluaties na incidenten en periodieke herziening.

View on astronomic telescopes on Mauna Kea summit at sunset, Big Island, Hawaii
3

Hoofdstuk 3

Governance die meebeweegt

Maak helder wie waarvoor verantwoordelijk is en hoe wordt opgeschakeld, zodat je snel kunt handelen zonder risico’s te nemen.

Waar triggers bepalen wanneer besluiten genomen moeten worden, bepaalt governance wie handelt en wie opschaalt. Traditionele kaders zoals enterprise risk management (ERM), integrated risk management (IRM) en het three‑lines‑model blijven essentieel, maar moeten opereren op het tempo dat triggers aangeven, niet op de kalender. Governance fungeert daarbij als de verantwoordelijkheidslaag die besluitvorming snel, samenhangend en toetsbaar houdt, zonder de uitvoering te vertragen.

In veel organisaties is governance nog ingericht rond vaste risicomomenten. Een trigger‑based operating model stelt andere eisen. Het vraagt om duidelijke bevoegdheden, escalatie op basis van impact en assurance die direct meebeweegt met de situatie. Het gaat er niet om bestaande structuren los te laten, maar om ze zo in te richten dat verantwoordelijkheden en toezicht logisch volgen uit de triggers.

Dit vraagt om een andere kijk op de ontwikkeling van het three‑lines‑model. Waar het model oorspronkelijk draaide om strikte taakscheiding, vraagt een NAVI‑context om nauwere afstemming tussen de eerste en tweede lijn, met onafhankelijke toetsing door de derde lijn waar vereist. De aandacht verplaatst zich van statische rollen naar een vloeiende besluitvorming zodra triggers worden geactiveerd.

De manier waarop toonaangevende organisaties zich hier nu al op aanpassen, laat deze verschuiving duidelijk zien.

In sectoren met zware regulering, zoals financial services, wordt de derde lijn vaak scherp afgebakend. In veel andere sectoren kiezen organisaties juist bewust voor meer samenhang tussen de drie lijnen. Marathon Petroleum Company is een voorbeeld van een organisatie die daarvan profiteert. In een gezamenlijk interview leggen Kelly Niese, Vice President Treasury, en Kelly Wright, Vice President Audit uit hoe de formele afstemming tussen ERM en internal audit is ontstaan vanuit de behoefte aan één gedeeld beeld van risico’s en een gemeenschappelijke taal. Deze samenwerking heeft gezorgd voor meer flexibiliteit, waarbij auditplannen actief worden bijgesteld op basis van organisatiebrede risico’s.

De ontwikkeling is duidelijk. Volgens Satish Kumaraswami, Vice President Global Model Risk Management bij Scotiabank, groeien de three lines steeds verder naar elkaar toe. Door de eerste lijn te versterken en business managers expliciet eigenaar te maken van risico’s, ontstaat een solide basis. De tweede lijn verschuift daarbij richting een meer uitdagende rol, met extra aandacht voor nieuwe risico’s en eigen signalen uit de organisatie. De derde lijn verlegt het accent van vaste auditcycli naar doorlopende monitoring.

Volgens David Hildebrand, Chief Audit Executive bij ServiceNow, verschuiven de rollen binnen het three‑lines‑model verder. In zijn visie werken de eerste en derde lijn in de toekomst intensiever samen, terwijl de tweede lijn meer adviserend wordt of minder prominent aanwezig is. De kern daarvan is dat risicomanagement niet alleen controleert, maar actief helpt om resultaten voor de business te realiseren.

Over vijf jaar zie ik geen aparte tweede lijn meer zoals we die nu kennen. De eerste en derde lijn zullen waarschijnlijk dichter samenwerken, terwijl de tweede lijn meer een adviserend karakter krijgt of mogelijk overbodig wordt. Het uiteindelijke doel is risicomanagement dat de business daadwerkelijk vooruithelpt.

David Hildebrand

Chief Audit Executive at ServiceNow

Deze inzichten laten een consistent beeld zien. Governance is het meest effectief wanneer zij meebeweegt met het operating model, en er niet tegenin werkt. Ze maakt eigenaarschap helder. Ze versnelt escalatie. En ze maakt snelle besluitvorming toetsbaar.

Organisaties zullen verschillende structuren blijven hanteren. Waar sommige ERM centraal organiseren voor meer uniformiteit, schuiven andere organisaties verantwoordelijkheid richting de business om sneller te kunnen handelen. De meeste organisaties die risico strategisch inzetten, combineren die twee. Wat het verschil maakt, is niet hoe het is georganiseerd, maar hoe goed het samenkomt: dezelfde taal spreken, op dezelfde manier werken en rollen hebben die kunnen schakelen als het tempo verandert.

Een internationale halfgeleiderfabrikant werkt met een hybride model. Daarbij zijn risicomanagementtaken verankerd in leidinggevende functies, ondersteund door een netwerk van ERM‑ en resilience‑vertegenwoordigers. Deze aanpak verbindt centrale regie met lokale verantwoordelijkheid en maakt het mogelijk om risico’s in samenhang te benaderen.

Als governance sneller gaat werken, moet de organisatie daarin meegroeien. Boards en riskleiders hebben meer technologie‑ en AI‑inzicht nodig, terwijl leiders in de business hun risicovaardigheid moeten versterken. In een omgeving die voortdurend verandert, worden nieuwsgierigheid, kritisch denken en het durven innemen van een afwijkend perspectief steeds belangrijker. De juiste mindset is daarbij even belangrijk als de juiste skills.

“Bij het samenstellen van een riskteam zoek ik niet per se mensen met diepgaande risicokennis,” zegt Mark Dingle, onafhankelijk adviseur en voormalig EY‑partner. “Ik ben vooral geïnteresseerd in slimme, nieuwsgierige en gedreven mensen. Het is makkelijker om iemand te leren wat risk is dan om iemand de juiste mindset aan te leren.”

Hoewel medewerkers bij beide typen organisaties momenteel veel overeenkomsten vertonen, zien risk strategist organisaties scherper dat innovatiegericht denken in de toekomst doorslaggevend wordt. Zij verwachten vaker dan risk traditionalists dat medewerkers moeten samenwerken over grenzen heen, durf moeten tonen, open moeten staan voor tegenspraak en nieuwe, niet‑klassieke manieren van werken moeten omarmen.

Technologie maakt een volgende versnelling mogelijk. Met de inzet van AI en GRC‑platforms verschuift governance van periodiek toezicht naar continue zichtbaarheid. De derde lijn kan continu meekijken, de tweede lijn krijgt een meer voorspellende rol en de eerste lijn beschikt over directe risico‑inzichten. Organisaties die risico strategisch benaderen, investeren daarom fors in technologie en data‑vaardigheden.

Volgens Katie Timm, Chief Compliance and Risk Officer bij Cigna, biedt AI grote kansen binnen ERM. Door geautomatiseerde agents krijgen medewerkers toegang tot real‑time risico‑inzichten die zijn afgestemd op hun rol. Daarmee verschuift compliance en risk van controle naar ondersteuning, ondersteund door data en technologie die effectiviteit en schaalbaarheid vergroten binnen het operating model.

Veel ERM werk leent zich voor inzet van AI. Door agents te gebruiken, kunnen we risico informatie aanpassen aan de rol van medewerkers en beschikken zij over real time dashboards en scorecards. Zo worden compliance en risk ondersteunend aan de business en zorgen data en technologie voor betere prestaties binnen het operating model.

Katie Timm

Chief Compliance and Risk Officer at Cigna

Volgens Vinod Madhavan, Chief Information Security Officer bij Solstice Advanced Materials, is de toekomst van risicomanagement onlosmakelijk verbonden met AI en automatisering. Technologie vervangt statische reviews door continue controle en datagedreven inzichten. AI identificeert patronen en risico’s, verbindt vereisten over regelgeving heen en ondersteunt besluitvorming, zonder de verantwoordelijkheid bij mensen weg te nemen.

Het gaat niet om weer een nieuw organisatiemodel. Het gaat om governance die meteen in werking treedt als het nodig is, snelle keuzes mogelijk maakt en zorgt dat iedereen verantwoordelijkheid neemt. Precies wat nodig is in een wereld die continu verandert: sneller, duidelijker en beter aangesloten op de strategie.

A commercial space traveler looking at the Earth through the window of a spaceship.
4

Hoofdstuk 4

Bepaal je startpunt

Groei, overnames en incidenten zijn natuurlijke momenten om het operating model opnieuw tegen het licht te houden.

Het transformeren van het risk operating model is voor elke organisatie anders. Hoewel een strategy‑first en trigger‑based benadering een helder eindbeeld biedt, verschilt het startpunt per organisatie. Factoren als sector, volwassenheid, complexiteit, legacy en cultuur spelen daarin een bepalende rol.

De sleutel is richting, niet omvang. Kleine stappen zijn effectief zolang ze bijdragen aan een nieuw architectuurprincipe en geen bestaand, traag risicomodel bestendigen.

Volledige herontwerpen vinden zelden in één beweging plaats. Organisaties kiezen hun moment op basis van groei, strategische transacties of externe en interne schokken die verandering afdwingen. Typische instapmomenten zijn:

1. Als de organisatie groeit

Risicomanagement in een snelgroeiende technologieomgeving vraagt om een andere aanpak,” aldus Walid Sleiman, Digital Technology GRC Leader bij ServiceNow. “Succesvolle risicoleiders houden drie principes aan. Ze denken groot, starten beperkt en handelen snel door gebruik te maken van bestaande best practices die passen bij hun organisatie. Technologie fungeert daarbij als versneller, met automatisering en AI die continue monitoring en snelle besluitvorming mogelijk maken. Daarnaast is goede afstemming tussen teams onmisbaar, zodat risico’s samenkomen in één helder enterprise‑breed overzicht dat richting geeft aan besluitvorming.”

Startups kiezen in eerste instantie meestal voor een gerichte benadering van risicomanagement, toegespitst op regelgeving of op de meest materiële risico’s binnen hun sector. In de loop der tijd zorgen ontwikkelingen zoals groei, extra investeringsrondes, een IPO of internationale expansie ervoor dat de behoefte aan een meer volwassen en samenhangende risicoaanpak toeneemt.

Om het te laten werken, moet de aanpak passen bij de wendbaarheid van de organisatie is. In onderstaande bijdrage van een risicoleider bij een internationaal life sciences‑bedrijf zie je hoe deze werkwijze is toegepast na een periode van snelle groei.

2. Bij grote deals of overnames

Bij grotere organisaties vormen grote transacties vaak een logisch moment om het risk operating model te herzien. Aangezien transacties doorgaans leiden tot bredere transformatie en herstructurering, is dit een natuurlijk moment om ook risicomanagement mee te nemen. De kans op draagvlak groeit als risicotransformatie aantoonbaar bijdraagt aan strategische ambities en concrete businessuitkomsten.

De carve‑out van Solstice Advanced Materials in oktober 2025 illustreert hoe een transactie kan fungeren als katalysator voor vernieuwing van het risk operating model. Omdat een nieuwe riskfunctie moest worden ingericht, kon Solstice gericht bepalen welke inrichting en werkwijze het beste past bij elk onderdeel van het operating model. 

Hoe EY kan helpen

Of je nu flink groeit, een deal sluit of midden in een grote verandering zit, managed services kunnen helpen om het werk gaande te houden terwijl je aan iets nieuws bouwt. Ze zorgen ervoor dat de organisatie blijft draaien, terwijl risico’s beter worden ingericht. Zo kun je veranderen zonder stil te vallen en blijft de vaart erin.

 

3. Wanneer er iets misgaat

‘Never waste a good crisis’, is bij uitstek van toepassing op risicomanagement. Organisaties gebruiken cyberincidenten al sinds jaar en dag om hun cybersecuritymaatregelen opnieuw te beoordelen en te versterken.

 

Naarmate de omgeving instabieler en minder voorspelbaar wordt, zullen organisaties steeds vaker worden geconfronteerd met externe schokken. Dat zijn niet alleen incidenten binnen de eigen organisatie, maar ook bredere verstoringen zoals pandemieën of geopolitieke ontwikkelingen. Dit soort gebeurtenissen bieden telkens kansen om te leren en het operating model opnieuw vorm te geven.

 

Organisaties moeten verder kijken dan veerkracht alleen. Naast elasticiteit vraagt een volatiele omgeving om plasticiteit, het vermogen om zichzelf structureel opnieuw vorm te geven onder druk. Welke herinrichting van het operating model is nodig om toekomstige schokken beter op te vangen?

 

De inzet is hoger dan ooit. Resilience in de NAVI‑wereld betekent niet alleen beschermen wat er al is, maar mogelijk maken wat daarna komt. De organisaties die succesvol zijn, zijn degenen waarvan het risk operating model meebeweegt met de snelheid van hun strategie, besluitvorming en stakeholders.

 

Daarmee komt de riskfunctie centraal te staan. Dankzij haar enterprise‑brede blik en verbindende rol kan Risk onzekerheid vertalen naar heldere kaders voor besluitvorming en escalatie. In die rol vertraagt Risk niet, maar zorgt zij juist voor snelheid die consistent, onderbouwd en afgestemd is op de strategie.

Strategische vragen voor bestuurders

De auteurs bedanken Kyle Lawless, Senior Manager Risk Consulting bij Ernst & Young LLP, AnnMarie Pino, Associate Director bij Ernst & Young LLP, Joe Morecroft, Associate Director bij EYGS LLP, en William Reid, Assistant Director bij Ernst & Young LLP, voor hun bijdrage aan dit artikel.


Samenvatting

Traditionele en cyclische risk operating models sluiten niet meer aan bij de dynamiek van een NAVI‑omgeving. Organisaties die snel en met vertrouwen willen handelen moeten risk opnieuw inrichten als strategy‑first, trigger‑based en governance‑forward. Dat betekent sturen op toekomstige strategische aannames, vooraf vastgelegde signalen en drempels, en governance die snelheid ondersteunt. De concrete invulling moet passen bij de specifieke situatie en randvoorwaarden van de organisatie.

Lees ook

Hoe laten CEO’s hun organisatie meebewegen met een toekomst die voortdurend verandert?

Ontdek hoe CEO’s transformatie inzetten om hun organisatie wendbaar te houden. Lees de inzichten uit CEO Outlook 2026.

Andrea Guerzoni + 2

Wat als disruptie niet de uitdaging is, maar juist de kans?

Dit artikel geeft inzicht in de NAVI wereld en wat die vraagt van leiders in het bedrijfsleven. Lees meer.

Hanne Jesca Bax + 1

    Over dit artikel

    Auteurs

    Bijdragers

    Gerelateerde topics
    Transformation
    Risk
    Neem contact met ons op
    Vond u dit interessant? Neem contact op voor meer informatie.

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.