Van professionele (risico)managers, compliance officers en internal auditors mag verwacht worden dat zij inzicht hebben in en ervaring hebben met de interne bedrijfsprocessen en de hiermee samenhangende interne risico’s. Tegelijkertijd mag niet van hen verwacht worden, aldus de auteur, dat zij ook alles weten over allerlei ‘non-core’ risico’s, zoals sanctiewetgeving, financieel-economische criminaliteit, cybercriminaliteit of onvoorspelbaar gedrag van medewerkers. Organisaties krijgen steeds vaker met dit soort risico’s te maken – risico’s waarvoor traditioneel risicomanagement geen oplossingen biedt.