In mijn optiek is de risk governance in veel gevallen een lappendeken van symptoombestrijding geworden, in plaats van een weloverwogen inrichting met als doel de organisatie te helpen de bedrijfsdoelstellingen te behalen.

Het begon heel simpel. Je had een bedrijf en dat deed z’n werk. De directie stuurde het bedrijf aan en stuurde het bij als dat nodig was. Dat ging goed, tot het bedrijf groter werd en de directie het niet meer kon overzien, ook niet met een of twee managementlagen. Dus richt je een stelsel van interne beheersing in. Je treft maatregelen die ervoor moeten zorgen dat alles in goede banen loopt. Als de organisatie groot en complex genoeg is, neem je een auditor (of een auditfunctie) aan, die periodiek beoordeelt of dat stelsel van maatregelen wel goed ingericht en effectief is. Tot zover is het nog redelijk overzichtelijk en logisch.