Dünya genelinde “risk yönetiminin” rol ve sorumlulukları, özellikle son 10 yılda büyük değişikler gösterdi. Günümüzde risk yönetimi şirketler, kamu kuruluşları ve hatta kar amacı gütmeyen organizasyonlar açısından 10 yıl öncesine göre oldukça farklı değerlendirilen bir kavram. Bundan 10 yıl evvel ağırlıklı olarak kredi risklerinden veya piyasa risklerinden bahsederken, bugün operasyonel başta olmak üzere pek çok farklı risk türü ve bunlara yönelik pek çok farklı risk yönetim stratejisinden bahsediyoruz.

Geçmişte risk yönetimi, kurum açısından söz konusu olan tüm risklerin teker teker veya gruplar bazında ele alınmasını öngörürken, zaman içinde önce “entegre” daha sonra da “kurumsal” bir perspektife sahip hale gelmiştir. Bilindiği üzere kurumsal risk yönetimi; risklerin, örgüt genelinde hedef belirleme ve stratejiler de dahil olmak üzere üst düzey yönetsel çabalar ile eşgüdüm içinde; yönetsel ve operasyonel tüm süreçlerde etkin bir şekilde tanımlandığı, ölçüdüğü, önceliklendirildiği, yönetildiği, raporlandığı ve izlendiği bir yapıyı işaret etmektedir.

Kurumsal risk yönetimi ile hedeflenen, risk yönetimi faaliyetini kurumun iş ve örgüt kültürü içinde önem verilen ve sürekli göz önünde bulundurulan, düşünsel ve faaliyetsel bir temel haline getirmek, yani kurumun risk zekasını yükseltmektir. Bu bağlamda risk zekası yüksek kurumlar; risklerini kurumsal bir risk yönetim perspektifi ile yöneten, örgüt kültüründe risk yönetimini kabullenmiş, riskin yalnız tehdit boyutuna değil aynı zamanda fırsat boyutuna da odaklanabilen, riskten korkmayan tam tersi onu yönetme arzusu içinde olan ve risk yönetimini strateji belirlemede önemli bir araç olarak kullanan kurumlardır.

Bilindiği üzere ülkemizdeki kamu ve özel sektör kurumları açısından risk ve risk yönetimi yeni kavramlardır. Ticari bankalar, bazı holdingler ve yabancı şirketler hariç, risk yönetimi ile ilgili sistemli ve disiplinli çalışmalar yürüten kurum sayısı bir elin parmaklarını geçmez. Bu nedenle bu kurumlar hariç, diğer kurumlarımız için belirli düzeyde bir risk zekasından bahsetmek teorik olarak mümkün gözükmemektedir. Ancak kendi kurumlarında risk yönetimi ile ve ilgili diğer alanlarda görev yapan profesyonellere (risk yöneticileri, iç denetçiler, müfettişler, vb.) yol göstermek amacı ile, kurumların risk zekalarını ölçmede kullanabilecekleri bir değerlendirme ölçeğini paylaşmak istiyoruz.

Bir örgütün risk zekasının gelişimi esnasında beş ayrı aşamadan geçtiği ifade edilmekte[1]. Bu bağlamda örgütünüzün bu beş aşamadan birinde olduğunu varsayabilirsiniz. Birinci aşama (tribal & heroic), “ilkel ve tepkisel” bir risk zekasına işaret ediyor. Bu aşamadaki bir kurum, istenmeyen olaylar gerçekleşmeden önce değil, gerçekleştikten sonra tepki veren, yani reaktif bir anlayışa sahip. Riskler hakkında düşünme ve gelecekteki olaylara hazırlanma kültürü yok. Bu tür örgütler, yangın çıktıkça müdahale eden, yangın çıkmadan yangın riskini azaltmayı hedefleyen bir anlayışa sahip oluyor. Bu bağlamda, risklerden ziyade olaylar ile ilgililer.

Bir sonraki aşama (specialist silos) ise örgüt genelinde “ayrı ve bağlantısız” bir risk yönetim anlayışına işaret ediyor. Dünya üzerinde pek çok şirket bu aşamada bulunuyor. Bu aşamadaki örgütlerde, çeşitli fonksiyon, süreç ve düzeylerdeki riskler birbirlerinden bağımsız, birbirleri ile ilişkisiz şekilde ve kurum genelinde ortak bir yaklaşım geliştirilmeden yönetilmeye çalışılıyor. Burada risklerin yönetimine ilişkin farklı farklı çabalar olmakla birlikte, kurum genelinde koordinasyon bulunmuyor.

Biraz daha gelişmiş bir anlayışı temsil eden bir sonraki aşama ise “yukarıdan aşağıya” aşamasıdır. (top down). Bu aşamda yer alan örgütler, tepeden başlayarak, örgütün en alt kademelerine kadar uygulanan bir metodolojiyi hayata geçirmişlerdir. Yani burada, yukarıda oluşturulan, aşağıya doğru uygulanan ortak bir risk yönetim anlayışından bahsetmek mümkündür. Bu tür yapılarda genellikle bir risk yönetim çerçevesi bulunur.

Yukarıdan aşağıya aşamasını takip eden, daha gelişmiş aşama (systemic risk management) “sistemik risk yönetimi” aşamasıdır. Bu aşamadaki örgütlerin risk yönetimi faaliyetleri genellikle “yukarıdan aşağıya” aşamasındakilere benzemekle birlikte, daha gelişmiş özellikler segiler. Bu aşamada yer alan örgütlerin yalnız risk yönetim metodolojileri değil, bunun yanı sıra “risk iştahları” da net bir şekilde tanımlanmış ve belirlenmiştir. Buna ek olarak kurum genelinde riske dair aynı dili konuşmak, kurum genelindeki riskleri tanıtmak ve risk bilincini geliştirmek amacı ile risk yönetim eğitimleri düzenlenmektedir. Bu anlayış ile, örgüt genelinde risklere ilişkin uzlaşı sağlamak mümkün olmaktadır. Böylesi bir konsensusun bulunmaması, risklerin etkin bir şekilde yönetilmesini engellemektedir.

Bu aşamalara göre daha ileri bir düzeyi işaret eden aşama (risk intelligent) “risk zekası yüksek örgütler” aşamasıdır. Bu aşamadaki kurumlar; tüm strateji, operasyon ve aktivitelerine kurumsal rik yönetimini entegre etmeyi başarmışlardır. Yani kurumda bir bütün olarak kurumsal risk yönetimi uygulanmakta, bu anlayış kurumun tüm faaliyetlerine yansımaktadır. Kurumun stratejik ve yönetsel perspektifi, “kurumsal risk yönetim” anlayışı ve bunun pratik uygulaması olan kurumsal risk yönetim çerçevesi (COSO ERM) paralelinde şekillenmektedir.

İlk aşamalarda örgütlerin genellikle kurumlar açısından kritik önem taşımayan bazı riskler üzerine odaklanma eğiliminde oldukları görülmektedir. Bu anlayış, kurum paydaşlarına değer katma amacı ile örtüşmemektedir. Örgütler bu ölçekte en son aşamaya doğru ilerledikçe, kritik önemi haiz ve etkin yönetilmesi halinde kuruma değer katacak riskler üzerine odaklanılmaktadır.

Peki sizin kurumunuzun risk zekası ne düzeyde? Örgütünüz bu alamalardan hangisinde yer alıyor? Vereceğiniz cevaba göre alınması gereken aksiyonlar ve harcanması gereken mesai oldukça farklılık arz edecektir.