Risk Yönetimine Nereden Başlanmalı?

pic_2Risk yönetimi kavramı son dönemde, finansal kuruluş ve bankalar kadar reel sektörün de ilgisini çekiyor. Yeni TTK sonrası “riskin erken teşhisi ve yönetimi” önemli bir konu haline geldi. Riskini iyi yöneten şirketlerin büyüme, karlılık, sürdürülebilirlik ve uyum konularında önemli kazanımlar elde ettiği bir dönemde yaşıyoruz. Risklerini yönetmeyi düşünmeyen veya başaramayan şirketler ise ya krizlerini yönetmek zorunda kalıyor, ya da konjonktürel bir iyi gidişin sürekli devam edebileceği umudu ile hiç bir eyleme geçme ihtiyacı duymuyorlar. Bir nevi işlerini şansa bırakıyorlar.

 

Günümüzde iş dünyası; rekabet, değişim, inovasyon ve uyum baskıları altında kalmış durumda. Bu baskılar ile başa çıkabilmek için en önemli yönetim aracı risk yönetimi. Önemi gittikçe artan risk yönetimi, şirketlerin olmazsa olmaz fonksiyonlarından bir tanesi olarak, şirket yapıları içindeki yerini hem sistem/süreç, hem de pozisyon olarak alıyor.

 

enterprise-risk-management-arrow-globeBu noktada hemen herkesin merak ettiği soru şu: Şirketler risk yönetimine nereden başlamalı? Risk yönetimi hangi seviyede daha önemlidir?

 

İç kontrol sistemlerini güçlendirmek amaçlı, süreç bazlı, operasyonel seviyelerde risk yönetimi çalışmaları mı, yoksa daha kapsamlı, daha planlı, daha bütüncül kurumsal risk yönetimi insiyatifleri mi öncelikle tercih edilmeli? Risk yönetimine nereden ve nasıl başlandığı önemli mi?

 

Son 10 senede hem Türkiye hem de yurt dışında çok fazla sayıda şirket ile bu alanda çalışma imkanı buldum. Esasen COSO’ nun Kurumsal Risk Yönetimi Çerçevesini yayınladığı 2004 senesinden bu yana, yurt içi ve dışında onlarca şirket ve kamu idaresinde risk yönetiminin nasıl yapıldığını gözlemledim. Pek çoğunun tasarımı veya iç denetiminde bulundum.

 

Tüm deneyimlerin sonucunda ulaştığım sonuç, risk yönetimine nereden ve nasıl başlanacağının önemli olduğu. Bu o kadar önemli ki, risk yönetiminden sağlanacak faydanın düzeyini bile belirliyor.

 

TPC 2 2009 blz 29

 

Risk yönetimine nereden ve nasıl başlanacağı konusu esasen COSO veya ISO 31000 çerçevelerinde net olarak tanımlanmış durumda. İşin başlangıç noktası üst yönetim. Üst yönetimin farkındalığı, desteği ve inancı olmaz ise, risk yönetiminin kurum içi başarısı ve kabulü tehlikeye girebiliyor. Risk yönetimi için mutlaka bir farkındalık gerekiyor. Bu konuda kanuni düzenleme olması yetmiyor. Üst yöneticilerin bunun gerekliliğini anlamış ve desteklemeye gönüllü olmaları kritik başarı faktörü. Elbette risk yönetimi talebinin, doğrudan yönetim kurulundan gelmiş olması da çok önemli. Bu durum icranın risk yönetimi konusunu daha fazla ciddiye almasına neden oluyor.

 

Yönetim Kurulu talebi ve üst yönetim farkındalığı ile harekete geçmesi beklenen risk yönetim çabalarının şirket içinde mutlaka bir sorumlusu olması gerekiyor. Sorumluluk, risk yönetiminin daha resmi, planlı ve odaklı ilerlemesini sağlıyor. Her şirket risk yönetimi faaliyetlerinin koordinasyonu için bir birimi görevlendirmeli. Bu birim ya ayrı kurulacak bir risk yönetim departmanı, ya kalite birimi ya da stratejik yönetim ve planlamadan sorumlu olan birim olmalı. Sorumluluk ile birlikte, bu birime gerekli insan kaynağı ve mali destek de sağlanmalı. Risk yönetiminin koordinasyonundan bu birimin sorumlu olduğu konusu, yazılı düzenlemelerde de yer almalı. Tüm şirkete duyurulmalı.

 

İşe üst yönetim desteği ve sorumluluğun tesisi ile başlanmasından sonra, kurum risk yönetim modelinin belirlenmesi ile devam edilmeli. İşte bu noktada, COSO ya da ISO 31000 iyi birer alternatif olabilir. 2004 tarihli COSO ERM Çerçevesi ISO 31000’ e göre stratejik seviyeler ve hedeflere daha fazla vurgu yapıyor. ISO 31000 ise daha anlaşılır ve pratik bir çerçeve.

 

Tecrübelerim, risk yönetiminin kendisine yaşam alanı bulması ve şirket içinde kabullenilmesi için, en başta üst yönetimin buna sahip çıkması gerektiğini gösteriyor. Bu sebeple, risk yönetimi faaliyetlerinin ilk etapta üst yönetim için değer katan bir faaliyet olduğunun ortaya koyulması gerekiyor. Bunun en iyi yolu da işe Stratejik Riskler ile başlamak. Stratejik risk yönetimi; olaya hem üst yönetimi katması, hem de üst yönetimin en çok önem verdiği konulardan birisi olan Stratejik Planlamaya destek vermesi adına, iyi bir başlangıç noktası.

 

Genel olarak stratejik amaç ve hedefler, stratejiler, projeler ve faaliyetlere yönelik risklerin tespiti, ölçümü ve önceliklendirilmesi ile başlayan, uygun risk yönetim stratejilerinin belirlenmesi, bunların risk yönetimi eylemlerine dönüştürülmesi ve izlenmesi ile devam eden ve mevcut durum ile gelişmelerin raporlanması ile son bulan bir döngüden oluşan risk yönetimi, stratejik düzey çalışmalardan sonra operasyonel seviyeye taşınıyor.

 

risk-management-in-project-managementBazı şirketler, stratejik risk yönetimi ile operasyon/süreç seviyesinde risk yönetimi çalışmalarını bir arada başlatıyor ve yürütüyor. Teoride alttan üste, üstten alta bütüncül bir yaklaşım olarak gözükse de her zaman iyi sonuçlar elde edilmesi mümkün olmuyor. Kurum içinde yeterli farkındalık ve destek oluşmadan başlatılan bu tür faaliyetlerin, hem üst seviyeler, hem de orta ve alt seviyelerde iyi anlaşılamamış olması, çalışmaları sıkıntıya sokabiliyor.

 

Risk yönetimi faaliyetlerine stratejik risk yönetimi ile başlanması, üst yönetimin en fazla dikkatini çeken büyüme, pazar payı, karlılık, kurumsal kapasite, verimlilik, uyum gibi konulara doğrudan dikkat çekilmesini ve bu tür konularda olası risklere hızla ve gönüllüce tedbir almayı sağlıyor. Üstelik bu çalışmalara orta kademe yöneticilerin de katılması ile yönetim katmanları arası riske ve risk yönetimine karşı ortak bir dil geliştirmek mümkün olabiliyor.

 

İyi uygulama olarak, stratejik risk yönetimi, risk yönetimine başlamak için doğru bir nokta. Hele de Türkiye’ de bu tür bir yaklaşımın çok daha doğru olduğunu gözlemledik. Operasyon/süreç seviyesinde yürütülen risk çalışmaları, şirket açısından çok önemli olsa da, bunlar ile başlamak ve bunların sonuçlarını raporlamak, üst yönetim açısından dikkat veya ilgi çekici olmayabiliyor.

 

En iyi uygulama olarak kabul edilebilecek COSO veya ISO gibi bir kurumsal risk yönetim çerçevesinin, Yönetim Kurulu ve İcra tarafından kabulü sonrası, stratejik konulara odaklanan bir risk yönetim metodolojisi ve süreci ile yola devam etmek, işin koordinasyonu sağlayan iş biriminin rahat etmesini sağlar. Konu anlaşıldıkça, kabul gördükçe, farkındalık arttıkça, yukarıdan aşağıya doğru ilerlenebilir.

 

Stratejik yönetim faaliyetleri veya bu faaliyetler kapsamında üretilmiş resmi bir stratejik planı olmayan şirket veya kurumlar için ilk adım stratejik yönetim olmalı. Stratejik yönetim veya planlama süreçleri bulunmayan şirket ya da kurumların, stratejik risk yönetimi yapmaları da mümkün olmaz. Stratejik risk yönetimi, stratejik yönetim ile başlar.

 

Tecrübelerimiz, risk yönetimine stratejik değil, operasyonel seviyelerde başlayan şirket ya da idarelerde, üst yönetimin destek ve katkısının sınırlı olabileceği yönünde. Bu sebeple şirket bünyesinde stratejik yönetim ve planlama olmaması nedeni ile işe doğrudan operasyonel seviyelerden başlayan şirketlerin, üst yönetim dikkat ve desteğini çekecek farklı argümanlar geliştirmeleri gerekebilir. Bu argümanları, yasa ve düzenlemelere (TTK, İş Kanunu, İş Sağlığı ve Güvenliği, Vergi Kanunları, vb.) dayandırmaları da gerekecektir.

 

Kurumsal Risk Yönetimi ile ilgili sorular ve yardım için:

bertan.kaya@yahoo.com 

Bir Cevap Yazın

E-Posta adresiniz yayınlanmadı

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


Yukarıya Git