Kurumsal Risk Yönetimi (KRY) yaklaşımı, maalesef özellikle son 2 yıldır konumlandırma açmazıyla karşı karşıya. Şirketlerin sadece stratejik karar alma süreçlerine destek veren bir derleyici olarak mı pozisyon almalı, yoksa kolları sıvayarak şirketin her kademesinde karşılaşılabilecek riskler için sahaya mı inmeli?

Son 2 yılda yenilenen standartlar ve alt türevleri, KRY çalışmalarını yönetim kurullarına veya icracı üst düzey yöneticilere destek fonksiyonu olarak çerçevelendiriyor. Peki biz bu yaklaşımla yetinmeli miyiz?

Bu soruların yanıtlarını aramadan evvel, kurumsal risk yönetiminin şirketlere nasıl temas edebileceğini ve nasıl bir fayda yaratabileceğini incelemek gerekli.

​

Riski tanımlama
KRY ilk olarak, risklerin tanımlanması ve ardındaki nedenlerin aydınlatılmasında fayda sağlar. Burada ilk olarak şu soru akla geliyor, zaten birimlerin başındaki yöneticiler kendi operasyonlarındaki sorunları belirlemek ve ardındaki dinamikleri ortaya çıkarmak için orada değiller mi? Bir satın alma departmanı, tek bir tedarikçiye bağımlı olduğu bir senaryonun sorun yaratabileceğini fark etmiyor mu? Kurumsal risk yönetimi burada ne gibi bir katma değer sunabilir? Bu çakışma, şirketlerde kurumsal risk yönetiminin vadettiği faydayı hayata geçirebilmesinin önündeki en büyük engeldir. Bu sorun, birim yöneticilerinin diğer birimden gelen önerilere, ortak çalışmaya ne kadar açık olup olmadığı ile ilgili bir sorundur. Eğer bir yönetici, şirket içinde kendini pozisyonlama ile ilgili bir mücadele içinde ise, maalesef çalışmalar bu noktada tıkanır. Burada göz ardı edilen fayda, riskin gerçekten doğru metodoloji, doğru kavramlar ve doğru bir ilişkilendirme ile tanımlanmasıdır. Risk kavramı, tüm dünyada kabul görmüş herkesin zihninde yalın bir şekilde yer etmiş bir kavram değildir. (Bkz. Risk Nedir?) Riski tanımlama ve ardındaki dinamikleri ayıklama işini her birimin ve yöneticinin uhdesine bıraktığınızda, karmaşık ve işlenemez bir veri/yorum/şikâyet seti ortaya çıkar. KRY öncelikle bu kargaşayı ortadan kaldırır. Riskin, Kurumsal Risk Yönetimi desteğiyle tanımlanmasındaki diğer katma değer ise, kanıksanmış ve tali yollarla çözülen işleyiş aksaklıklarını tespit edebilmesidir. Bu da ortak çalıştaylar ve bir ekibin (KRY Ekibi) farklı birimlerden de geri bildirimleri harmanlamasıyla sağlanabilir.

​

Riskin Etkisini Ölçme
KRY’nin şirketlere temas edebileceği ikinci nokta, bir risk gerçekleşirse neler olabileceği ile ilgili öngörü vermesidir. Bu öngörü sayesinde neyi göze aldığımız veya gerçekten nelerden sakındığımıza dair net bir resim çizilebilir. Bu temas birçok yöntemle sağlanabilir. Bir riski nispeten daha yaygın bir yöntem olan etki&olasılık matrisi ile değerlendirebiliriz veya daha derin analiz yöntemlerine girerek hatta çeşitli modelleme yöntemleri ile muhtemel zararları tahmin edebiliriz. Bu çalışmaların sonuçları, aslında neyi ne uğruna yaptığımızın bir göstergesi olabilir.

​

Karar Destek
Üçüncü nokta, üst yönetimin stratejik kararlarına destek olma mevzusu. Bu konu, özellikle Türkiye’de pek alıcısı olmayan bir başlık. Finansal birimlerinden birçok rapor ve veri akışı var, bazı şirketlerde stratejik planlama için departmanlar var, kurumsal risk yönetimi burada, ekstra kimsede olmayan ne gibi bir fayda sağlayabilir? Öncelikle, Kurumsal Risk Yönetimini sadece karar destek olarak konumlandırdığımızda alabileceğimizden daha azıyla yetindiğimizi, bu nedenle daha fazla misyona sahip olması gerektiğini düşünüyorum. Karar destek fonksiyonu olarak ele aldığımızda ise, operasyonu yürüten birimler ve kişilerden yani sahadan geri bildirim toplayarak, birimler arası çalıştaylar ile sinerji yaratarak daha kapsamlı ve detaylı bir karar destek içeriği oluşturabilir. Gerçekten riskler ve ardındaki kök nedenler örüntüsünü veriye de dayandırarak haritalandıran bir çalışma, bir şirketin stratejisinin şekillendirmede en önemli kaynak olabilir.

​

Riski İyileştirme
KRY’nin temas ettiği dördüncü ve son nokta da belirlenen riskin iyileştirilmesi. Burada da ilk maddedeki çatışma devreye giriyor. Bir şirkette yetkin insan kaynağını elde tutmakla ilgili bir sorun varsa, bu soruna KRY ne kadar müdahil olmalıdır? Şirketteki ücret paketi veya motivasyon ile ilgili ne yapmalıdır? Yine aynı soru akla geliyor, hali hazırda o birimlerdeki yöneticiler bu sorunları çözmek için orada değiller midir? Evet riski, yerinde operasyonu yönetenler en etkin şekilde iyileştirebilir. Ama halihazırda bazı iç ve dış nedenler yüzünden riskin iyileştirilmesinde yeteri kadar performans alınamadığı için risk ön plana çıkıyor. Bu zamana kadar dahil olduğumuz işlerde gördüğüm en önemli konulardan biri, riskin sadece bir birimin çabasıyla iyileştirilemeyeceğidir. Kolektif bir çalışma gerektirir. Çünkü zaten birçok birim iç içe geçmiştir. KRY burada katalizör görevi görür. Tepkimeyi başlatır ve hızlandırır, sonra aynı çalışmaları başka birimlerle tekrar eder ve misyonunu sürdürür.

​

Kurumsal Risk Yönetimini Nasıl Konumlandırmalıyız?
Kurumsal Risk Yönetimi, şirketimizi daha ileriye götürmek için daha fazla ne yapabilirim sorusuna iyi bir yanıt olabilir. Ama özetle aşağıdaki şekilde konumlandırılırsa:

• Öncelikle iş birimlerinin sorumluluklarını elinden alarak veya onlara direktif vererek iyileştirme amaçlayan bir yapıda olmamalıdır ama iş birimleriyle zamanında ve uygun şekilde etkileşimde bulunabilmelidir.

• Katılımın aidiyet ve destek yarattığını göz önünde bulundurarak, iş birimlerinden bağımsız hareket etmemelidir kolektif çalışma prensibini benimsemelidir.

• Kesinlikle işleyişte açıklar veya kabahatli çalışanlar bulmayı amaçlayan bir oluşum olarak düşünülmemelidir, iyileştirme ve daha iyiye gitme ortak amaç olmalıdır.

• Veriye ulaşması sağlanmalıdır ve desteklenmelidir.

• İş birimlerinin karşılaştığı sorunları çözebilmesine destek olmayı amaçlamalı ve bunu onlara net bir şekilde ifade etmelidir.

• Yarattığı faydayı olabildiğince sayısallaştırmalı, öncesi ve sonrasıyla ilgili farkı yansıtmalıdır.