Covid-19 ile birlikte risk yönetimi son derece revaçta. Ülkemizdeki dalgalı ve oynak makro ortam ve doğal afetler de buna eklendiğinde, risk yönetimi kaçınılmaz oluyor. Ülkemiz iş insanları artık kriz yönetimi ile risk yönetimi arasındaki farkın ayırdına varmış veya varmaktalar.
Bu noktada iki tip şirket/kurum dan bahsedebiliriz. Risk yönetiminin önemini anlamış ve risk yönetimi sistem ve süreçlerini hayata geçirmiş/geçirmekte olan şirketler, kulağının üzerine yatan veya bir başka ifade ile bize birşey olmaz hep yırttık, yine yırtarız, en kötü krizimizi yönetiriz diyenler.
Bu yazıda ikinci grup için birşeyler söylemeyeceğim. Onlara daha önceki onlarca yazımda çok seslendim.
Bu yazı ilk gruptaki şirketler, yani yolculuğa başlamış şirketler için. Genel anlamda doğru yoldalar, ancak acaba risk yönetiminden gerçekten fayda sağlıyorlar mı? Bu soru size ilginç gelebilir ama son dönemde birlikte çalıştığım, eğitim verdiğin onlarca şirkette, risk yönetiminden verim alınamadığını veya kısıtlı olarak alındığını tecrübe ettim. Bu şirketlere “risk yönetimini risk yönetimi için yapan şirketler” diyorum. Sanatı sanat için yapan sanatçılar gibi.
Peki ya şirket, stratejiler ve hedeflere katkı? En önemlisi, yönetsel karar alma süreçlerine katkı?
Bu noktada pek çok şirket ve kurumda çabanın yeterli olmadığını görüyorum. Neden derseniz, risk yönetimi fazla operasyonel seviyelerde enerji harcıyor. Çok koşan, çok pres yapan ama maçı bir türlü kazanamayan takımlar gibi.
Burada iki kavram arası farklı ortaya koymak lazım. Risk yönetimi çok geniş bir çatı kavram. Riskin yönetiminde pek çok savunma hattını, yeni ifadesi ile, üç hat modelindeki üç hattı da içine alıyor. Hatta Koy olarak kısaltılan, kurumsal risk yönetimini de içine alıyor. Pek çok şirket, risk yönetimi deyince, operasyonel veya süreç seviyeside risk yönetimini anlıyor. Son 3 seneye kadar bu yaklaşım ana akım yaklaşımdı. Ancak 3 senedir bu yaklaşım terk edildi, ediliyor. Artık risk yönetimi dediğimizde, birkaç farklı risk yönetimi yaklaşımından bahsediyor olacağız.
İlki geleneksel süreç bazlı veya operasyonel risk yönetimi kavramı. İş süreçlerindeki, iş birimleri ve fonksiyonlardaki risklerin değerlendirilmesi, uygun risk yönetim tepikleri ile yönetilmesi, raporlanması ve izlenmesi döngüsünden oluşuyor. Türkiye ve dünyada en bilinen, en alışılmış, en çok uygulanan da bu. Operasyon, teknoloji, süreçler, değer zinciri, departman, lokasyon, birim, veri, bilgi bazlı tüm risk çalışmaları bu grupta görülebilir.
Birde kurumsal risk yönetimi var. “Kurumsal Risk Yönetimi” ise operasyonel bir kavram değil. Türkiye’de yanlış danışman ve akademisyen yönlendirmesi nedeniyle yanlış yorumlandığını ve uygulandığını tecrübe ediyorum. Pek çok şirket bizde kurumsal risk yönetimi var derken, aslında geleneksel süreç/departman bazlı risk yönetimi faaliyetlerini ifade ediyor, oysa KRY bu değil. Pek çok şirket, süreç veya operasyon bazlı, departman bazlı risk belirleme ve azaltma çabalarını KRY sanıyor.
Kurumsal risk yönetimi ise en üst seviyede şirket strateji amaç ve hedeflerini doğrudan veya dolaylı etkileyen iç ve dış risklerin yönetimi anlamına geliyor. İki risk yönetimi anlayışının odaklandığı seviyeler çok farklı.
Yıllardır yaptığım çalışmalarda riskleri; süreç riskleri, yönetsel riskler ve stratejik riskler olarak üç farklı seviyede ele almaya çalışıyorum. Risk kategorizasyonu ise ayrı bir kavram. Stratejik, finansal, operasyonel, uyum riskleri gibi. Bir nevi şirketin risk envanteri için belirlenmiş olan risklerin etiketlenmesi, risk veri tabanına bu şekilde kayıt edilmesi anlamına geliyor. Örneğin uyum veya finansal risklerin bazıları; hem stratejik, hem yönetsel, hem de operasyonel seviyede söz konusu olabilir.
Neyse bu ayrı bir teknik yazının konusu. Biz konumuza dönelim.
KRY demiştik. KRY, stratejik risk yönetimi demek. Yani en tepede yapılması gereken risk yönetimi. İkinci hat ile CEO, CFO ve diğer C seviyelerin (bazı şirketlerde ise GM ve GMY’ler) kol kola yönetmesi gereken riskler. Hatta pek çok stratejik riskin yönetiminde Yönetim Kurulu’nun rehberlik ve yönlendirmesi de gerekiyor. Esasen KRY, üst yönetimsel bir olgu.
KRY için tüm dünyada geçerli tek bir standart var. O da COSO’nun KRY Çerçevesi (2017). ISO 31000 (2018) daha genel bir risk yönetimi standardı. Stratejik veya süreç bazlı değil, genel olarak risk yönetimi odaklı bir çerçeve. Çok da başarılı. COSO KRY ise tam biraz önce bahsettiğim stratejik risklere odaklı bir çerçeve. COSO’yu biraz daha uzmanlaşmış, odaklı bir çerçeve olarak görmek mümkün. İşin ilginç tarafı COSO KRY biraz da iddialı bir çerçeve. Stratejik yönetimi de içine alıyor veya o şekilde bakılmasa bile SY ile büyük ölçüde entegre oluyor. Zira COSO, stratejiler ile başlayan bir çerçeve.
Ülkemizde çabaların genelde operasyonel risk yönetimi odaklı olduğunu ve risk yönetiminin risk yönetimi için yapıldığını söylemiştik. Yani bu şirketlerde risk yönetimi, ikinci hattaki iç kontrol, risk yönetimi veya kalite birimlerinin, kendi rutin görev alanları içinde sahiplendiği, sorumluluğunu aldığı ve büyük ölçüde, birinci hattan kopuk ilerleyen bir süreç. Ama biz riskleri birimler ile veya süreç sahipleri ile birlikte belirledik diyen ikinci hat birimlerine tek soru soruyorum; birinci hat birimlerinin yöneticileri ile operasyonda çalışanlar, yönetsel veya operasyonel karar almada veya performans değerlendirme noktasında, risk yönetimini kullanıyorlar mı? Cevap genelde hayır. Katılım sağlamış olmak demedi içselleştirmek ve karar süreçlerine, yönetsel süreçlere taşınmış olmak anlamına gelmiyor.
Oysa bana göre sanat toplum için yapılmalı. Topluma katkı sağlamalı (metafor tartışılabilir bir metafor ama siz özünü zaten anladınız). Yani risk yönetimi dediğimiz olay, şirkete ve performans sonuçlarına doğrudan etki etmeli.
O zaman ne yapmalı?
Bana göre üç temel konu var;
1- Risk yönetiminde en çok stratejik riskler üzerine odaklanılmalı (KRY yaklaşımı). Risk yönetimi çabalarının %70′i buraya odaklanmalı. Radikal bir söylem, belki de dünyada bu kadar açıklıkla ileri süren de yok, ancak ben sahada yaptığım çalışmalardan dolayı bundan fazlasıyla eminim.
2- Risk yönetimi hangi seviyede yapılırsa yapılsın, içselleştirilmeli. Yönetsel süreçlere bilhassa da karar süreçlerine entegre olmalı. Şirket yöneticilerin kullanmadıkları risk yönetimi risk yönetimi değildir.
3- İçselleştirme için risk yönetimi yöneticilerin bir gerçeği, vazgeçemedikleri bir yönetim aracı olmalı. Yani, yönetim ve liderlik beceri ve yetkinlik seti içinde risk yönetimine dair bir şey olmalı. Yönetici geliştirme programları muhakkak risk yönetimi konusunu içermeli. Son dönemde sevindiğim bir olay şudur ki, benden geniş çerçevede risk yönetimi veya kurumsal risk yönetimi eğtimi alan şirketler/kurumlar, temel eğitimlere tüm yönetim kadrolarını çağırıyorlar. Risk yönetimi ikinci hat birimlerinin ve birimlerden risk temsilcilerinin aldıkları bir eğitim olmaktan çıkıyor. Ama daha çok çaba lazım. Risk yönetimi iş tanımları, yetkinlikler, KPI’lar içine girmeli. İyi risk yönetimi yapmak ödüllendirilmeli.
4- 1. Madde ile paralel olarak, Yönetim Kurulları ve üst yönetim birlikte veya en azından üst yönetim kendi içinde stratejik planlar yaparak, stratejilerini ve stratejik boyutlu risklerini tanımlamalı, yönetmek için süreçleri devreye almalı. Strateji geliştirme ve kurumsal risk yönetiminin bir elmanın iki yarısı olduğu asla unutulmamalı.
Böylece hangi riskleri öncelikle ele almak ve yönetmek gerektiği ve bunu nasıl yapmak gerektiği sorularına cevap vermiş oluyoruz. Bu konuda ilerleyen günlerde bir video da çekeceğim. Lütfen takipte kalın ve YouTube kanalıma abone olmayı unutmayın.