Field Notes_004 _Pragmatisch risicobeheer voor kmo's: drie technieken, één architectuur, en de AI die het eindelijk betaalbaar maakt

Kernpunt - De meeste risicoregisters bij kmo's beschermen niets, omdat ze ontworpen zijn als compliance-document, niet als beslissingsinstrument. Echte bescherming komt van drie gerichte technieken in drie sessies per jaar - een pre-mortem, een beslissingsmatrix, een kwartaaldril - en van een CEO die risico behandelt als een beslissingsprobleem, niet als een documentatieprobleem. AI-tools zoals Claude maken van wat vroeger een consultancyproject van €30–50k was, een namiddag werk. De architectuur blijft van de operator; de hefboom is eindelijk binnen bereik.

Risicobeheer bij de meeste kmo's is een Excel-kolom die niemand leest. Een heatmap. Een map voor de revisor. Een register dat geen enkele operator ooit heeft opengeklikt.

En dan loopt het magazijn onder. Een sleutelleverancier reageert niet meer. Een lijnverantwoordelijke gaat met pensioen en tweeëntwintig jaar knowhow loopt mee de poort uit. In elk van die gevallen stond de juiste regel in het risicoregister. Wat er niet in stond, was een beslissing.

Dit is de vierde aflevering in de Field Notes-reeks. De vorige ging over supply chain resilience op strategisch niveau - over de perimeter van de onderneming. Dit stuk gaat naar binnen. Het is voor de CEO die al weet dat het supply chain-verhaal gedeeltelijk gebroken is, en die nu wil weten wat er moet gebeuren met de rest van het operationele risicoveld - de mensen, de vergunningen, de machines, de klanten, de systemen - zonder een Chief Risk Officer aan te werven die de onderneming niet nodig heeft.

Het publiek is hetzelfde als in de vorige drie stukken. Oprichters, eigenaar-bedrijfsleiders, CEO's, divisiehoofden, actieve bestuurders. Mensen wier week beoordeeld wordt op wat het bedrijf werkelijk verzet heeft, niet op wat er in een register werd bijgevoegd.

Waarom de meeste kmo-risicoregisters niets beschermen

Elk middelgroot bedrijf waar ik binnen heb gewerkt, heeft een risicobestand. Het leeft bij finance. Het wordt eenmaal per jaar bijgewerkt, de week voor de revisor langskomt. Het heeft dertig regels, kleurcodering in verkeerslichten, en een mitigatiekolom geschreven in de voorwaardelijke wijs. Het wordt geopend in februari en opnieuw in september, en op geen enkel ander moment van het jaar.

Het document slaagt in precies één ding. Het laat de raad van bestuur registreren dat het thema "behandeld" werd. Het produceert geen onderneming die moeilijker te breken is.

De reden is geen kwestie van inzet of intelligentie. De reden is ontwerp. Een risicoregister, zoals het bij de meeste kmo's wordt aangepakt, is een compliance-artefact - een document gebouwd om een externe waarnemer te tonen dat het onderwerp is aangeraakt. Een risicoarchitectuur is een beslissingsinstrument - een systeem gebouwd om te veranderen wat het bedrijf werkelijk doet wanneer een gedefinieerd signaal binnenkomt. Op papier lijken ze oppervlakkig op elkaar. In een crisis gedragen ze zich totaal verschillend.

Een risico dat geen prijs heeft, wordt niet beheerd. Een risico dat niet gekoppeld is aan een voorbeslist actieplan, is geen risico: het is angst in PowerPoint-vorm. En een onderneming die het artefact verwart met het instrument, heeft zichzelf een placebo gebouwd - iets dat het gevoel van risicobeheer produceert zonder het gedrag van risicobeheer te produceren.

Het kmo-probleem is scherper dan het beursgenoteerde-probleem. Een beursgenoteerd bedrijf kan een Head of Risk, een tweede verdedigingslijn, een interne audit en het bijhorende apparaat betalen. Een kmo met €5M tot €50M omzet kan dat niet. Het standaard ERM-draaiboek, toegepast op kmo-schaal, produceert ofwel een ongelezen document, ofwel een deeltijdfunctie voor de financieel directeur waar de financieel directeur een hekel aan krijgt. Geen van beide beschermt de onderneming.

De architectuur hieronder is gebouwd voor die beperking. Drie gerichte technieken. Drie sessies per jaar. Operator-gedreven. Geen tweede lijn, geen consultancyteam, geen project van €40k om het kader in stand te houden. Ontworpen om te overleven op de bandbreedte die een CEO van een middelgroot bedrijf werkelijk heeft.

Risico is een beslissingsprobleem

Schraap het apparaat weg, en het operationele principe is één regel: risicobeheer in een fysieke kmo gaat niet over risico documenteren; het gaat over op voorhand beslissen wat er gebeurt wanneer een gedefinieerd signaal binnenkomt.

Het signaal is het volume op de verkeerde plek - de leverancier die niet reageert tegen dinsdag, de voorraad onder het triggerniveau, het ontslag dat een single point of failure blootlegt, het cyberalarm dat een gedefinieerde drempel overschrijdt. De beslissing is de benoemde actie - de tweede leverancier wordt opgebeld, de productielijn wordt stilgelegd, het cross-trainingsprogramma wordt versneld, het responsteam wordt samengeroepen. De architectuur is de relatie tussen die twee - vooraf beslist, opgeschreven, met een naam erbij, voldoende geoefend zodat de spier het volhoudt onder druk.

Wat documenten niet leveren en architecturen wel, is beslissingssnelheid onder stress. Een risicoregister dat geopend wordt tijdens de bestuursvergadering kan geen leveranciersorder verplaatsen. Een beslissingsregel, opgenomen in de operationele werking, met een benoemde eigenaar en een geteste escalatiepad, wel. Het verschil in prestatie tussen die twee, in een echte schok, is geen 20%. Het is het verschil tussen een kwartaal verliezen en het bedrijf verliezen.

De ondernemingen die cycli overleven, hebben geen mooier opgestelde Excels. Het zijn de ondernemingen die al wisten wie beslist - vóór de telefoon overging.

De methode: drie technieken, drie sessies, één architectuur

Wat volgt is de operationele uitdrukking van het principe, gedestilleerd uit onderzoek naar hoe high-performing scale-ups en Site Reliability Engineering-teams hun operationele veerkracht aanpakken, en uit achttien maanden in de operatorstoel van een Belgisch industrieel bedrijf. Geen van de drie technieken is uitgevonden. Elk is geleend van een discipline die het getest heeft onder veel hardere omstandigheden dan een kmo doormaakt.

01 - De pre-mortem

De eerste sessie is de pre-mortem. De techniek werd geformaliseerd door Gary Klein in een Harvard Business Review-artikel uit 2007, gebouwd op eerder onderzoek van Mitchell, Russo en Pennington (1989) dat aantoont dat prospectieve hindsight - je inbeelden dat een uitkomst al heeft plaatsgevonden - de correcte identificatie van faalcauses met ongeveer dertig procent verbetert.

De sessie duurt twee uur. Het leiderschapsteam zit samen. De CEO geeft het kader in één zin: "Het is achttien maanden van nu. Het bedrijf heeft net €500k verloren door één enkele fout. Wat is er gebeurd?" Het team schrijft vervolgens - individueel, op papier, gedurende vijftien minuten - elke aannemelijke oorzaak op die het kan bedenken. Pas daarna komen de antwoorden op de muur.

De discipline maakt het verschil. Vragen "wat zou er fout kunnen gaan" levert een beleefde lijst op. Vragen "wat is er al fout gegaan, in de wereld die we ons inbeelden" levert een eerlijke lijst op. Het verschil zit in de psychologische toestemming die prospectieve hindsight aan de ruimte geeft - om de leverancier te benoemen die de CEO heeft beschermd, de manager die het single point of failure is, de onderhoudssnelheidswinst waarvan iedereen doet alsof die in orde is.

De output van de sessie is een bowtie-diagram van de drie belangrijkste faalmodes. De bowtie is de industriële procesveiligheidsstandaard - bedreigingen links, het topgebeurtenis in het midden, gevolgen rechts, met benoemde preventieve en mitigerende barrières aan beide zijden. Hij is bruikbaarder dan een heatmap omdat hij, per faalmode, toont wat hem op dit moment tegenhoudt en wat hem op dit moment opvangt - en dus waar de onderneming dunne of ontbrekende barrières heeft. Een heatmap zegt dat er een probleem is. Een bowtie zegt welke barrière je moet bouwen.

02 - De beslissingsmatrix

De tweede sessie is de beslissingsmatrix. Hij neemt de belangrijkste faalmodes uit de pre-mortem en zet elk ervan om in een voorbeslist protocol.

De structuur leent van RAPID (het Bain-kader: Recommend, Agree, Perform, Input, Decide) of van RACI-VS, afhankelijk van wat het bedrijf al kent. De granulariteit die telt op kmo-schaal is niet het kaderlabel; het zijn de vier vragen die per topfaalmode beantwoord worden: Wie beslist? Welke drempel triggert de beslissing? Welk responsvenster geldt? Wie voert uit?

De matrix past op één pagina. Hij leeft waar het werk gebeurt - operaties, niet finance. Hij benoemt personen, niet afdelingen. Hij definieert triggers numeriek waar een getal eerlijk is - "voorraad onder 14 dagen dekking voor SKU-groep A", niet "voorraad laag". En hij specificeert een responsvenster in uren, niet in "zo snel mogelijk".

De reden dat de matrix de operationele kern van de architectuur is, is dat hij een risicoregister van een document in gedrag omzet. Een risicoregister vertelt de CEO dat een leveranciersfout materieel zou zijn. Een beslissingsmatrix vertelt de operations manager dat, als leverancier X niet reageert tegen sluiting van de werkdag dinsdag, hij of zij de bevoegdheid heeft om woensdag voor sluiting een back-up-order te plaatsen bij leverancier Y - zonder escalatie naar de CEO, zonder te wachten op een vergadering, zonder het verlies van achtenveertig uur dat bijna altijd een beheersbare verstoring omzet in een onbeheersbare.

Een risicoregister documenteert het risico. Een beslissingsmatrix beslist wat er daarna gebeurt.

03 - De kwartaaldril

De derde sessie is de dril. Het is de enige die zich herhaalt.

De dril is geleend uit de chaos engineering- en Site Reliability Engineering-praktijk die bedrijven zoals Shopify, Stripe en AWS gebruiken om hun operationele veerkracht eerlijk te houden. In zijn volledige softwarevorm - een "game day" - injecteert het engineeringteam met opzet een storing in het productiesysteem en observeert het hoe de menselijke en machinale respons werkelijk presteert. Wat die teams meestal ontdekken: het draaiboek klopt niet, de dashboards liegen, en de persoon die nominaal van wacht is, is op vakantie.

Op kmo-schaal is de dril twee uur per kwartaal. Eén scenario per keer, gehaald uit de bowtie. Echte telefoongesprekken. De CEO of COO speelt scenario-arbiter. De benoemde eigenaars uit de beslissingsmatrix voeren werkelijk hun rol uit - de back-upleverancier bellen, naar de werkvloer gaan, de stopzettingsorder uitschrijven. De sessie eindigt met een retrospectieve waarin twee vragen eerlijk beantwoord worden: wat had de matrix verkeerd, en wat moet er aan veranderen?

De dril is de discipline die de architectuur in leven houdt. Een pre-mortem die je eenmalig houdt, is interessant. Een pre-mortem die je eenmalig houdt en daarna nooit test, is tegen het tweede jaar vergeten. Een beslissingsmatrix die nooit in een dril is gebruikt, is een document. Een beslissingsmatrix die twee jaar lang vier keer per jaar in een dril is gebruikt, is spiergeheugen - en spiergeheugen is wat correct gedrag produceert onder stress, op het moment dat het analytische deel van de hersenen het gebouw al heeft verlaten.

De AI-hefboom: wat verandert wanneer een kmo Claude heeft

Twintig jaar lang was de drie-techniekenarchitectuur hierboven, in principe, beschikbaar voor elke onderneming. In de praktijk was ze beschikbaar voor grote bedrijven. De reden was kosten. Een gefaciliteerde pre-mortem, een bowtie-workshop, het opbouwen van een beslissingsmatrix en vier kwartaaldrils kostten een middelgroot bedrijf ergens tussen €30.000 en €60.000 per jaar aan externe consultancy-fees - zodra de consulent-tijd, het materiaal, de rapportering en de opvolging eerlijk geprijsd waren.

Die economische beperking valt weg. Een general-purpose AI-tool zoals Claude maakt de operator-oordeel-delen van risicobeheer niet makkelijker - en zoals ik in de volgende paragraaf zal zeggen, is dat ook de juiste uitkomst. Wat het wel doet, is de kostprijs van elk onderdeel rond het operator-oordeel laten instorten: structureren, opstellen, faciliteren, simuleren, documenteren, vertalen.

Wat Claude werkelijk doet, in deze architectuur:

Hij faciliteert de pre-mortem. De CEO en het leiderschapsteam briefen Claude over de business, de operationele omgeving en de voor de hand liggende faalmodes. Claude voert dan een gestructureerde premortem-prompt uit - geeft het "het is achttien maanden van nu…"-kader uit, vraagt elk lid om oorzaken op te sommen, clustert de antwoorden, brengt de onderbesproken faalmodes naar boven die het team vermeden te benoemen. De sessie gebeurt nog steeds in de kamer; de facilitatie die vroeger een externe consulent vereiste, gebeurt nu via de AI.

Hij stelt de bowtie op. Gegeven een topgebeurtenis en een beschrijving van de operaties, kan Claude in enkele minuten een eerste versie van een bowtie-diagram opstellen - bedreigingen, barrières, escalatiefactoren, gevolgen - die het leiderschapsteam vervolgens corrigeert in plaats van vanaf nul opbouwt. De correctie is het werk van de operator, en is sneller dan de constructie. Het team rondt een bowtie af in een namiddag waarvoor vroeger een workshopweek nodig was.

Hij bouwt de beslissingsmatrix. Gegeven de bowtie en het organigram van het bedrijf, stelt Claude een kandidaat-beslissingsmatrix op - benoemde eigenaars, kandidaat-drempels, kandidaat-responsvensters. Het leiderschapsteam betwist elke regel. De betwiste versie, die uiteindelijk wordt overgenomen, is veel beter dan wat anders op een willekeurige dinsdagnamiddag vanaf een blanco pagina zou zijn gemaakt.

Hij speelt tafel-tegenstander in de dril. De CEO hoeft niet langer het scenario te ontwerpen of beide kanten te spelen. Claude neemt de rol op van de falende leverancier, de cyberdreiging, de toezichthouder, de journalist - voedt het team in real time met realistische, escalerende prompts, registreert de antwoorden, signaleert de momenten waarop de beslissingsmatrix geen helder antwoord gaf. De retrospectieve schrijft zichzelf uit de sessielog.

Hij onderhoudt de artefacten tussen sessies door. De bowtie, de matrix, de drillog, de retrospectieve - ze worden door de AI bijgewerkt naarmate het bedrijf verandert. De CEO beoordeelt de updates in plaats van ze zelf te produceren.

Wat economisch verandert, is de kostenstructuur van het draaien van de architectuur. Het werk dat vroeger bij een externe consulent lag - facilitatie, documentatie, scenario-ontwerp, opvolging - leeft nu bij een AI-tool die minder per jaar kost dan één dag consulting. Het werk dat bij de operator blijft, is het oordeel: welke risico's tellen, wie beslist, welke drempel is de juiste, wanneer moet je de matrix overrulen. Dat werk is het deel dat sowieso nooit had moeten worden uitbesteed. Het is ook het enige deel dat zich opstapelt.

Wat AI niet verandert

De CEO delegeert de architectuur niet aan het model. Het model stelt op. De CEO beslist. Dat onderscheid is de belangrijkste zin in dit stuk.

Een beslissingsmatrix die door Claude is opgesteld en door het leiderschapsteam nooit is uitgedaagd, is een slechter document dan wat het bedrijf zelf zou hebben geschreven. Hij is plausibel, goed gestructureerd, volledig - en losgekoppeld van de operationele realiteit die alleen de operator kan zien. Claude weet niet dat de onderhoudsverantwoordelijke de enige is die de back-uplijn werkelijk kan opstarten. Claude weet niet dat leverancier X ook de schoonbroer is van de inkoopdirecteur. Claude weet niet welke drempel de vakbond als provocatie zal behandelen. De operator weet dat. De architectuur werkt alleen wanneer het oordeel van de operator de bindende input is.

Dat is hetzelfde principe dat de tweede Field Note toepaste op prioriteitstelling. De kaders zijn niet de bron van focus; ze zijn de uitdrukking ervan. De architectuur is niet de bron van veerkracht; zij is de uitdrukking ervan. De bron is de beslissingsdiscipline van de CEO. De AI verandert de kostprijs van het draaien van de discipline. Zij vervangt haar niet.

De moeilijkere discipline

Een risicoregister vertelt de revisor dat het onderwerp behandeld is. Een beslissingsarchitectuur vertelt het bedrijf wat het moet doen op de dag dat het magazijn onderloopt. De twee uitkomsten lijken op papier op elkaar. Ze produceren tegengestelde resultaten in een crisis.

Wat de architectuur hierboven niet belooft, is dat er niets zal misgaan. Er zal van alles misgaan. De volgende supply chain-schok, het volgende cyberincident, de volgende key-person-gebeurtenis, het volgende regulatoire kantelpunt - ze komen, op een cadans die de operatorklasse niet kan voorspellen en die ze beter ophoudt te proberen voorspellen. Wat de architectuur wel belooft, is dat wanneer elk ervan binnenkomt, de onderneming al beslist heeft wat ze doet. De beslissing staat in de matrix. De eigenaar is benoemd. Het responsvenster is gedefinieerd. Het team heeft het geoefend.

De kaders bestonden al. De hefboom om ze op kmo-schaal te draaien, niet. Nu wel. De bedrijven die er in 2030 onredelijk veerkrachtig zullen uitzien, zijn de bedrijven waarvan de CEO's de architectuur in 2026 opzetten - drie sessies, drie technieken, één beslissingsinstrument, en een AI die de economie eindelijk doet kloppen.

De volgende Field Note keert terug naar binnen in het bedrijf: hoe de CEO dezelfde drie-techniekenarchitectuur gebruikt om specifiek people-risico te beheren - het single point of failure waaraan bijna elk Belgisch middelgroot bedrijf structureel is blootgesteld, en waaraan er bijna geen een prijs op heeft gezet.

Ruben Claessens is CEO van een industriële groep in België en oprichter van LIDI Partners BV. Field Notes is het publieke archief van zijn werk over operatorschap, bestuur en de Belgische midmarket-realiteit. Maandelijks gepubliceerd, met opzet.

- Brussel, mei 2026