Risk Nedir?
Risk kavramı, günlük hayatın birçok alanında karşımıza çıkan, sıklıkla kullanılan ve birçok durumu ve olayı betimlemeye yarayan bir kavram. Bu kadar yaygın kullanımı olan ve geniş bir anlam yelpazesine sahip olan risk kelimesinin ortak bir tanımını yapabilmek ise oldukça zor. Bu zorluğa örnek olarak, Society for Risk Analysis üyelerinden Kaplan hazırlanan final raporunu şu şekilde özetliyor:
“…Risk Analizi Derneği kurulduğunda ilk iş olarak risk kelimesinin ortak bir tanımını oluşturmak için bir alt komite oluşturuldu. Bu komite dört yıllık çalışmanın ardından nihai raporunda belki de tek bir risk tanımı yapmamanın daha iyi olacağını bildirerek çalışmalarına son verdi…”
Risk kavramının çerçevesinin çizilmesine yönelik zorluk, risk kelimesinin tarihsel perspektifte değişik durum ve olaylarla ilişkilendirilmesinden ve birçok farklı disiplinin (sağlık, finans, iş sağlığı ve güvenliği, afet, ticaret, psikoloji, sigorta vb.) riski kendilerine has dinamiklere göre yorumlamasından kaynaklanıyor olabilir.
Risk kelimesinin etimolojisi ise, günümüz kullanımındaki farklılıklar hakkında bizlere bazı fikirler verebilir.
Kelimenin Arapça, Latince ve Yunancadan geldiğini düşünen ve birçok etimolojik izahat ile güçlü bağlantıları gösteren araştırmalar olsa da kelimenin kökeni konusunda henüz tam olarak bir uzlaşı sağlanabilmiş değil.
Antik Yunan ve Roma dönemlerinde, ülkelerin kültürleri ve inançları nedeniyle kullanımın iki farklı anlamda yoğunlaştığını görebiliyoruz. Antik Yunan döneminde, Peiaro kelimesi tehlikeyi tanımlarken, Roma döneminde Periculum cesareti ve gözü pekliği ifade ediyordu. 1678 yılında Risicum olarak İtalyanca kayıtlarda görünüyor ve yine tehlike, kriz anlamında kullanılıyor.1598 yılında yazılan ilk İtalyanca – İngilizce sözlükte ise Riscare kelimesi yer alıyor ve tehlike, tehdit anlamını içeriyor.
Kelimenin kökeni konusunda Araplar ve İtalyan şehir devletleri arasındaki yoğun ticaretin kelime alışverişine neden olduğunu işaret eden çalışmalar da kökene dair ipuçları sunuyor. Ayrıca, Selçuklu döneminde Türklerin Anadolu’ya yayılımı sırasında ve Osmanlının ilk dönemlerinde Anadolu limanlarını ve deniz ticaretinin kontrol eden İtalyanlarla özellikle Venedikli tacirlerle kelime alışverişleri olduğu, risk ve rızık (çoğulu erzak) kelimelerinin aynı kökene bağlanabileceğini iddia eden çalışmalar da mevcut. (Örneğin; fırtına – fortuna, pusula – bussola, iskele – scala gibi İtalyancadan Türkçeye kelime geçişlerinden bazıları)
Risk kelimesinin İtalyancada Riscare, İngilizcede Risk, İspanyolcada Riesgo, Fransızcada Risque, Portekizcede Risco olarak tarih boyunca şekillendiği de görebiliriz.
Köken olarak insanların talih ve kaderle olan ilişkileri, kelimenin farklı zamanlarda ve farklı coğrafyalarda; tehlike, tehdit, felaket, kayıp, bilinmezlik, cesaret, kazanç, kendi kaderini tayin etme, gözü peklik gibi birçok anlamlarda kullanılmıştır.
Günümüzde risk kelimesinin kullanım alanları da büyük çoğunlukla yukarıdaki anlamlar silsilesiyle ilişkilendirilmektedir.
1921 yılında yazdığı “Risk, Belirsizlik ve Kar” başlıklı kitabıyla Frank Knight ise risk ve belirsizlik tanımlarında yeni bakış açılarına yönelik tartışmaları şekillendirdi. Sonuçların gerçekleşme ihtimallerinin nispeten hesaplanabildiği durumları risk olarak tanımlarken, sonuç yelpazesinde geleceğin bilinmezliği ve veri eksikliği nedeniyle alternatiflerin hesaplanamadığı durumları da belirsizlik olarak sınıflandırdı. Birçok eleştiriye maruz kalsa da özellikle sigortacılık ve finansal araçlar alanlarında ciddi katkılar sağladı.
Google Ngram (kelimelerin yayınlarda kullanımı) verilerine baktığımızda ise Risk kelimesinin kullanımının 1960 yıllara kadar durağan bir seyirde olduğu, 60lı yılların ortasından itibaren ise yaklaşık 4 kat arttığını görebiliyoruz.
Modern zamanlarda hala etimolojik değişimin izlerini taşır şekilde riski farklı anlamlarda kullanmaya devam ediyoruz. “Risk alan bir kişi” dendiğinde; kişinin, bir eylemin zarar verebilecek sonuçlarına ve bu sonuçların yüksek ihtimallerine rağmen o eylemi gerçekleştirmeye meyilli karakterini betimliyoruz. Muhtemel kayba ve zarara rağmen bir eylemi gerçekleştirme (veya eylemsizlik – durup bekleme) olarak görüyoruz. “Yangın riski” dendiğinde (ormanlık arazilerin yanından geçerken gördüğümüz uyarı levhalarında) o bölgede yangın çıkması ihtimalinin yüksek olduğu ve özellikle atılan izmarit, cam vb. maddelerin bu ihtimali artırdığını anlatıyoruz. “Riskli yatırımdan” bahsettiğimizde (borsa, forex ve kripto para) diğer göreceli olarak daha güvenli yatırım araçlarına göre öngöremediğimiz değişimlerin gerçekleşme ihtimali ve bu değişimlerden zarar görme ihtimalimizin daha yüksek olduğu faaliyetleri betimliyoruz. Bir hasta için ise “hayati riski devam ediyor” dendiğinde, hayatını kaybetme ihtimali yüksek seyreden kişilerin durumunu anlatmaya çalışıyoruz.
Tüm tanımları ve yaklaşımları dikkate aldığımızda riskin disiplinler arası evrensel bir tanımını ortaya koymaktansa, Kurumsal Risk Yönetimine odaklanmak, belirsizliklere rağmen karar veren ve bu kararları uygulayanlara yönelik risk kavramını tanımlamaya çalışmak daha faydalı bir yol gibi görünüyor.
Bu noktadan itibaren, bireylerin risklerini, iyi ve kötü sonuçlar denklemini; ahlak bilimi, pragmatizm ve psikolojinin uzmanlığına bırakarak, şirketlerde risk kavramına odaklanmak daha sağlıklı olacaktır.
Peki, iş dünyasında risk derken neden bahsediyoruz?
Tüm şirket çalışanlarından kendi birimleri ile ilgili riskleri yazmalarını istediğiniz bir çalışma gerçekleştirdiğinizde karşınıza çok geniş bir kümede riskler, kök nedenler, sonuçlar, kontrol eksiklikleri gibi karmaşık bir liste çıkabilir. Esasında bu durum çalışanların, operasyonlarındaki risklerden bihaber olmalarından kaynaklanmıyor. Ortak bir dil ve yöntem eksikliği, bu karmaşanın ardındaki ana neden olabilir.
Risk kavramını ve risk dediğimiz kavramın bileşenlerini netleştirmek, kurumsal risk yönetimi yönteminiz ne olursa olsun, katma değer, sürdürülebilirlik, sahiplenme ve müşterek çalışmalar açısından ciddi kazanımlar sağlayabilir.
İş dünyasında risk kavramını, bazen tamamen sonunda negatif sonuçlar doğurabilecek olayları (yangın, deprem, iş kazası, tedarik kesintisi, hastalık vb.) bazen de sonunda çok iyiden çok kötüye geniş bir yelpazede sonuçlar barındıran olayları (tehlikeli coğrafyalarda iş yapma, tek tedarikçiyle çalışma, döviz cinsinden borçlanma, bitcoin almak vb.) betimlerken kullanıyoruz. Bu farklı kullanımların ortak özelliği; kesinlik eksikliği (belirsizlik) ve iyi-kötü spektrumunda sonuçlar (bazen sadece kötü) barındırmasıdır.
Burada sorulması gereken ilk soru, bir şirket için neyin iyi neyin kötü sonuç olduğu olabilir.
Birçok yönetim ekolüne göre değişiklikler gösterse de şirketler bazı ortak temel yapılardan oluşurlar. Şirketlerin erişmek istediği hedefleri (stratejileri), bu hedeflere ulaşmak için faaliyet gösteren insan kaynağı (organizasyonu) ve hedeflere ulaşmak için gerçekleştirdiği iş faaliyetleri vardır (süreçleri).
(Not: İş süreçlerini gerçekleştirme için kullanılan binalar, tesisler, makineler, üretim hatları, yazılımlar ve sistemler vb. öğeler de süreçler başlığının alt sınıflandırmaları olarak düşünülebilir.)
Bu temel yapılar üzerinde istenmeyen sonuçlara neden olan olayları kötü, aksi durumları ise iyi sonuçlar olarak sadeleştirebiliriz.
Bir şirketin temel hedefinin sürdürülebilir büyüme olduğunu varsayarsak; birçok alt hedef de bu ana hedefe hizmet ederek kalıcı ve dinamik bir gelişim sürecini şekillendirir. Şirketler için fiziksel varlıklarını korumak, üretim devamlılığını sağlamak, karlılığı artırmak veya korumak, rekabet avantajı yakalamak, yetkin insan kaynağını korumak ve istihdamını artırmak, maliyetleri düşürmek, tedarik akışının devamlılığını sağlamak, kalitesiz ürün ve ıskarta oranlarını azaltmak, satış sürekliliğini sağlamak, müşteri sürekliliğini sağlamak, tüm paydaşlarla sağlıklı etkileşim kurmak, itibarı korumak, marka değerini artırmak gibi alt hedefler çoğaltılabilir.
Şirketlerde hedeflere ulaşmak için gerçekleştirilen iş faaliyetlerinde olaylar istenmeyen sonuçlara neden olabilir. Bu olaylar kasıtlı tercihlerimiz, kontrol eksikliklerimiz veya tamamen şirketlerin dışındaki dinamikler nedeniyle gerçekleşmiş olabilir. ISO 31000 standardında da “belirsizlerin hedefler üzerindeki etkisi” olarak tanımladığı riski, sonuçları belirsiz (bilin(e)meyen) olayların, gerçekleşerek şirketleri yukarıda yer alanlara benzer hedeflerinden saptırması olarak nitelendirebiliriz.
Risk kavramının tanımını etkileyen bir diğer önemli soru ise, şirketler için riski tanımladıktan sonra bu risklerle ne yapılacağıdır. Niçin riskleri tanımlıyoruz?
Standart kurumsal risk yönetimi yaklaşımlarının tümünde riskin önceliklendirilmesi ve kök nedenlerine yönelik iyileştirme çalışmalarının yapılması tarifleniyor. Riskleri önceliklendirmek, diğer bir deyişle hangi riskin göreceli olarak daha kritik olduğunu belirlemek için bir takım yardımcı değerlendirme kriterlerinden faydalanıyoruz. Risklerin eğer gerçekleşirlerse şirket varlıkları ve hedefleri üzerindeki etkisi ve bu bahsettiğimiz etkinin belirlenmiş bir zaman aralığında (bir yıl vb.) gerçekleşme ihtimali.
Aslında riski değerlendirmek (puanlandırmak) risk kavramının ne olduğuna dair başka bir pencere daha açıyor olabilir.
Bir durumu, bir eksikliğin olasılığını puanlandıramayız, olayın gerçekleşme ihtimalini puanlandırabiliriz. Örneğin bir şirkette çalışan performans değerlendirme sisteminin olmaması bazı istenmeyen olayların arkasındaki neden olabilir ama bu eksiklik bir belirsizlik barındırmaz, bir şirkette çalışanlara yönelik performans değerlendirme sistemi yoktur ve bu durum kesindir. Fakat bu sistemin olmaması nedeniyle kritik çalışanı etkin ödüllendiremeyebiliriz ve kaybedebiliriz, işte bu kaybın gerçekleşme ihtimalinden bahsedebiliriz çünkü bir olay gerçekleşebilir ve ihtimal dahilindedir veya hiç gerçekleşmeyebilir. Buradaki risk, kritik çalışanın kaybedilme ihtimalidir ve performans yönetim sisteminin olmaması bu riskin ardında yatan kök nedendir.
Riskin arkasında yatan kök nedenler olması ve alternatifli sonuçların olması bize gösteriyor ki şirketlerde risk dediğimiz kavram aslında içerisinde bileşenleri olan kompleks bir yapı olarak tasvir edilebilir.
Riski bir olayın üzerine inşa ettiğimizde, bu olayın gerçekleşmesini tetikleyen bazı etmenler göze çarpmaktadır. Bu kök nedenler bazen toplu halde bazen tekil tetiklenmeyle bir olayın gerçekleşmesine neden olabilirler. Şirketlerde risk barındıran bir olayın gerçekleşmesini engellemek veya tüm engellemelere rağmen gerçekleşmişse hedefler üzerindeki etkisini en aza indirmek için birtakım kontroller üretilir ve uygulanır. Tüm bu kontrollere rağmen olay gerçekleşmişse eğer, istemediğimiz, planlamadığımız, hazır olmadığımız ve şirketleri hedeflerinden saptıran sonuçlar ortaya çıkabilir.
Fırsat da diğer unsurları gibi riskin bileşenlerinden biridir ve geniş sonuçlar spektrumunda şirketler için iyi sonuçları ifade etmektedir. Fakat her riskin karakteristiği aynı olmadığı için sonuçlar havuzunda kazanç ve kayıp büyüklükleri ve ihtimalleri de aynı olmayabilir. Döviz cinsinden borçlanarak kur riskine maruz kaldığınızda, 2016 yılı için %20 değer kaybıyla karşılaşırdınız ama bu durum 2017 yılında %7 civarındaydı, burada sonuçlar yelpazesinde iyi sonuçlardan da bahsedebiliriz. Fakat, yangın riski gerçekleştiğinde veya iş kazası olduğunda sonuçlar havuzundan çok fazla iyi sonuçlardan, fırsatlardan bahsedemeyiz. Sonuç olarak bazı risklerin hiç gerçekleşmemesi kazanım olarak sınıflandırılabilir. Her ne kadar riskin sadece negatif tarafına odaklanmak, fırsatların kaybına neden olsa da sadece fırsata odaklanmak da trajik sonuçlara neden olabilir.
Tüm değerlendirmeler ışığında, kurumsal risk yönetimi faaliyetlerine konu olan risk; bazı kök nedenleri olan (iç ve dış) önceden bilemediğimiz (belirsizlik) sonuçları olan olayların meydana gelme ihtimalidir diyebiliriz. (olaylar meydana gelirse risk de gerçekleşmiş olur)
Riski tanımlarken olay bazlı tanımlama yapmak, ortak bir risk dili oluşması ve riskleri önceliklendirme ve yönetme sürecinde çalışanlarda benzer zihinsel kalıpların oluşması için en verimli yaklaşım olabilir.