Risicomanagement is meer dan compliance, of zou dat moeten zijn. Het is ook meer dan het routinematig invullen van risicodossiers, of zou dat moeten zijn. Volgens het eerste principe van de ISO 31000-richtlijn voor risicomanagement voegt het waarde toe, maar is dat wel zo? Waarom heeft dan slechts elf procent van de Nederlandse organisaties een volledig organisatie-breed enterprise risk management systeem in gebruik? Dat kan niet zo zijn, omdat de gemiddelde organisatie nauwelijks met financiu00eble risico's in aanraking komt. Of is het misschien omdat er geen relatie kan worden aangetoond tussen de toepassing van de COSO-ERM standaard en de effectiviteit van organisatiebreed risicomanagement? Het lijkt hoogste tijd voor een andere manier van omgaan met risico's.