Risk yönetimi farklı kurumlarda ve seviyelerde farklı yöntem ve yaklaşımlar ile uygulanan bir yönetim aracıdır. Risk yönetimi, bir holding seviyesinde farklı, bir şirket/kurum seviyesinde farklı, şirket ya da kurumda stratejik seviyede farklı, operasyonel düzeyde farklı hedeflere yönelik olarak uygulanır. Örneğin, bir holdingde holding üst yönetimi, şirketin stratejik planı çerçevesinde, hem holdingin hem de bağlı ortaklıkların stratejik risklerini bir portföy yaklaşımı çerçevesinde yönetmek zorundadır. Tek bir şirket ya da kurum söz konusu olduğunda, o şirketin üst yönetimi için sadece o şirketin/kurumun stratejik ve operasyonel seviyelerde riskleri önem arz eder. Elbette aynı şirket/kurumun operasyonel seviyelerinde görev alan bir yönetici için de kendi sorumluluk alanındaki birim/süreçlerin farklı kategorilerdeki (operasyonel, finansal, itibar, uyum, çevre, performans) risklerinin iyi yönetilmesi gerekmektedir. Ayrıca şirket/kurum içinde planlanan ve yürütülen tüm projelerde de risk yönetimi yapılması gerekmektedir. Esasen risk yönetimi hem yukarıdan aşağıya (holding seviyesinden, iş birimine), hem de aşağıdan yukarıya (iş biriminden, holding seviyesine), hem de birimler ve şirketler arası planlanması ve yürütülmesi gereken bir süreçtir. Öte yandan, hangi seviyede ve ne kapsamda yapılırsa yapılsın, risk yönetiminin temel prensipleri değişmez.
Risk yönetimi bilinenin aksine amaç ve hedefler ile ilişkilidir. Amaç ve hedef olmadan, risk olmaz. Bir insan ya da kurum nereye gideceğini bilmiyor ise, nasıl gideceği ya da giderken başına ne geleceği önem taşımaz. Ancak ortada somut amaç ve hedefler var ise risklerin yönetimi anlamlı hale gelir. Sağlıklı yaşama hedefine sahip olmayan bir insan veya karlılığa yönelik hedef ve stratejileri olmayan bir şirketin, sağlık veya karlılık risklerinin farkında olması ve risklere sistematik olarak tepki göstermesi de mümkün değildir. Hedefsiz kişi ya da kurumlar, rotasız gemilere benzer. O limadan bu limana sürüklenirler. Başlarına gelen tüm olumsuz olaylarda reaktif olarak ancak “kriz yönetimi” yaparak, olumsuzluklardan kaynaklanan zararları azaltmaya çabalarlar.
Risk; amaç ve hedefleri tehdit eden, belirli bir olasılık dahilinde gerçekleşebilecek her tür olay, koşul ya da durumun taşıdığı zarar potansiyelidir. Risk yönetimi, amaç ve hedefleri tehdit eden risklerin en etkili ve maliyet etkin yöntemler ile yönetilmesini amaçlar.
Bu noktada risk yönetimi sistemi oluşturma proje planı ile risk yönetimi planı arasındaki farklılık ve ilişkiye de değinmek gerekir. Bu iki plan farklı amaçlara hizmet eden planlardır. Birincisi, sistemin oluşturulması ve temel çıktıların elde edilmesi amacı ile yapılır. İkincisi ise, risk yönetim sisteminin işletilmesi ve hedeflenen sonuçlara ulaşması için yapılır. Risk Yönetimi Sistemi Oluşturma Proje Planı, bir şirket/kurumda risk yönetimi çalışmalarının oluşturulmasına yönelik kapsam ve takvimi içerir. Bir anlamda, risk yönetimi projesindeki rol ve sorumluluklar, kapsam, yapılacak işler, bütçe ve çıktıları toparlayan bir dokümandır. Risk yönetiminin temelleri bu proje ile atılır. Proje kapsamında, tercih edilen seviyeye bağlı olarak riskler belirli bir metodoloji ile değerlendirilmiş, ölçülmüş, risk iştahına uygun risk tepkileri ile yönetilmeye yönelik planlama yapılmış, risk toleransları çerçevesinde anahtar risk göstergeleri belirlenmiş, kabul edilemeyecek artık (bakiye) risk maruziyetlerine yönelik risk iyileştirme eylemleri tanımlanmış olur. Bundan sonraki kısım, etkili bir risk yönetimi planı oluşturmak suretiyle, sistemin işletilmesi ve güncel tutulmasıdır. Bu amaçla, risk yönetimi planı yapılır. Bir anlamda risk yönetiminin uygulanması ve izlenmesi işlemleri için yapılan plandır. Risk yönetim planı belirli bir dönem için yapılır. Dönem sonunda bir sonraki dönem için gelen veriler ile güncellenir. Risk yönetim planında hem mevcut risk pozisyonunun raporlanması, hem geleceğe dönük göstergelerin tanımlanarak izlenmesi, hem de risk tepkileri ile risk iyileştirme eylemlerinin takibi konuları yer alır.
Etkili bir risk yönetimi, risk yönetimi sisteminin kurulması projesi kapsamında çalışmaların tamamlanması sonrası iyi bir risk yönetim planı oluşturulması ile başlar. İyi bir risk yönetim planı; risk değerlendirme, yönetimi, gözetimi ve raporlama aşamalarına ilişkin tüm metodoloji ve araçlar ile risk yönetiminde rol sorumluluklar, bütçe, eylem planları gibi unsurlara da yerir. Bütüncül bir plan, kurum içinde ortak bir dil oluşturur, kurum genelinde riskler ile ilgili ortak bir platform sağlar. İyi bir risk yönetimi planı, iyi risk yönetimi için pusula niteliği taşır.
İyi bir risk yönetim planında bulunması gereken bölümler ve kapsamları aşağıda sunulmuştur:
1- Kapak
2- İçindekiler
3- Yönetici Özeti
4-Amaç, Kapsam, Kavramlar ve Metodoloji
5- Risk Yönetiminde Organizasyon, Görev ve Sorumluluklar
6- Risk Envanteri, Risk Yönetim Stratejileri ve Risk Eylem Planları (İyileştirme Planları) Tablosu
1- Kapak
Kapak sayfasında, şirket logosu, şirket kurumsal renk ve fontları, “Risk Yönetimi Planı” başlığı, hazırlayan birim/çalışma grubu, risk yönetim plan numarası, tarih bilgisi yer alır. Aynı şekilde planın arka kapağında da kurumsal renkler kullanılmalıdır. Arka kapakta herhangi bir yazı bulunmaz. Ön ve arka kapakta, diğer sayfalardan daha kalın ve kaliteli bir kağıt kullanılması ve her ikisinin de önüne birer plastik şeffaf kapak sayfası ilave edilmesi görselliği artıracaktır.
2- İçindekiler
İçindekiler bölümü, aranan bilgiye kolaylıkla ulaşılması açısından önem arz etmektedir. Gerekirse alt başlıklar seviyesinde düzenlenebilir.
3- Yönetici Özeti
Yönetici Özeti risk yönetim planının en önemli bölümüdür. Tüm çalışmaların özetlendiği ve konuların üst yöneticilere cazip geleceği şekilde özetlendiği bölümdür. Bu bölüm toplam rapor sayfa sayısının %10′ unu geçmemelidir. Örneğin ekleri ile birlikte 30 sayfa tutan bir raporun yönetici özeti maksimum 3 sayfa olmalıdır. Yönetici özeti direkt olmalı, sözü dolandırmadan, sade ifadeler ile amaçlanan sonuçlar, mevcut durum, kritik hususlar, gelişme sağlanması gereken kritik iyileştirme alanları ve üst yöneticiden beklentiler gibi konulara odaklı olmalıdır.
Risk yönetimi proje, süreç, birim, şirket ya da holding seviyesinde yapılabilir. Risk yönetim planı ve yönetici özeti bölümü, risk yönetim planı hangi seviyeye yönelik ise, o seviyeye uygun bir dil ile kaleme alınmalıdır. Örneğin stratejik risk yönetimi planı hazırlanırken, stratejik riskler (en önemli 10 kurumsal risk- top 10 risk), bu risklerden kaynaklanan maruziyet ve kayıp potansiyelleri, bunlara karşı şirket içinde alınmış tedbirler, bu stratejilerin sağlamlığı ve bunlara yönelik eylem planları hakkında özet bilgi sağlanmalıdır.
Yönetici özeti genellikle yürütülen çalışmanın amacı, kapsamı, seviyesi, yeri, tarihi ve ekip ile ilgili 1 paragraflık bir bilgi ile başlar. Bu paragrafı, risk yönetim ile ilgili mevcut durum ve ulaşılan kanaat hakkında verilen 2-3 paragraflık bir bilgilendirme takip eder. Çalışmalar sonucunda ulaşılan genel kanaatin net bir şekilde ifade edilmesi önem taşır. Bu kanaat; risk yönetiminin etkin yapıldığı, risk yönetiminde gelişme sağlanması gereken noktaları olduğu ya da risk yönetiminin etkin yapılamadığı gibi ifadelerden bir tanesi ile belirtilir. Bu noktada şirket risk yönetim modeli ve metodolojisi çerçeesinde, risk yönetimine yönelik bir rating sistemi kullanılıyor ise bir rating puanı da verilebilir. Daha sonra ikinci ve üçüncü bir paragraflar ile ulaşılmış olan bu kanaat açıklanır.
Örneğin şirket seviyesinde hazırlanan bir risk yönetim planında, risk yönetiminin belirli bir model ve metodolojiye dayanıp dayanmadığı, şirket genelinde aynı metodolojinin yeknesak olarak kullanılıp kullanılmadığı, şirket içinde risk bilgisi ve farkındalığının benzer seviyelerde olduğu, resmi politika ve prosedürler bulunup bulunmadığı, bunlara uyum düzeyi ve uyum için alınmış olan tedbirlerin yerindeliği, risk yönetimine destek düzeyi, çalışmalar sonucunda tespit edilen risk, kontrol ve risk iyileştirme eylemlerine ilişkin özet istatistiki bilgi (grafik ya da tablo olarak da verilebilir) göz önünde bulundurularak risk yönetimi süreçlerinin başarısı/başarısızlığı ortaya koyulur.
Sonraki paragraflarda, risk yönetim planının hedeflediği seviyeye bağlı olarak şirketin, birimin ya da projenin en kritik 10 riski (etki ve olasılığı en yüksek puan almış en yüksek seviyeli 10 risk raporlanır. Bu raporlamada, kısaca risk, riskin türü, riskin olası etkisi (kuruma verebileceği zarar potansiyeli), gerçekleşme ihtimali, riski yönetmek için seçilen strateji, stratejinin detayı (örneğin kontrol stratejisi seçilmiş ise kontrol faaliyeti hakkında bilgi), stratejinin yeterliliği, eğer herhangi resmi bir strateji belirlenmiş değil ise bir risk yönetim stratejisi önerisi (risk eylem planı), eylemin sorumlusu birim/birimler, sorumlu yönetici, gerekli kaynak, tahmini tamamlanma süresi gibi bilgilere yer verilir.
Risk yönetim planı stratejik seviyede risk yönetimi için yapılıyor ise, stratejik amaç ve hedeflere yönelik en önemli 10 riskin yönetici özetinde yer alması gerekir. Eğer plan, şirket bünyesinde tüm birimler için operasyonel seviyede yapılıyor ise, tüm birimlerin konsolide en yüksek 10 riski yönetici özetinde yer almalıdır. Risk yönetim planı, proje ya da süreç seviyesinde yapılıyor ise, proje ya da sürecin en yüksek seviyedeki 10 riski yönetici özetinde yer alabilir.
Bu noktada risk sayısının 10 olması gerekli ve zorunlu değildir. Bu sayı kurum ve uyguladığı metodolojiye göre değişir. Bazı risk yönetim planlarının yönetici özeti bölümünde daha özet risk bilgisi paylaşılırken, bazı planlarda, çok daha detaylı bilgi verilebilmektedir. Paylaşılan risk bilgisinin detayı ne olursa olsun, asla raporun 6- Riskler, Mevcut Risk Yönetim Stratejileri ve Risk Eylem Planları (İyileştirme Planları) Tablosu” bölümü gibi detaylı olmamalıdır.
4- Amaç, Kapsam, Kavramlar ve Metodoloji
Bu bölüm tüm risk yönetimi çalışmalarınınız dolayısı ile de raporunuzun dayanağıdır. Risk yönetimini çalışmalarını neden yaptınız? Ne amaçladınız? Hangi seviyede gerçekleştirdiniz? Ne tür bir kapsamınız oldu? Bir metodoloji (COSO veya ISO 31000) kullandınız mı? Kullandıysanız hangi kapsamda kullandınız? Risk yönetimi çalışmalarında kullandığınız terminoloji nedir? Bu terminoloji herkes tarafından bilinmekte midir? Metodolojiyi, nasıl bir proje yönetimi ile hayata geçirdiniz? Bu sorulara cevap verilen bölümdür.
Bu bölümde, risk yönetiminin dayanağı, amacı ve kapsamı açıkça belirlenmelidir. Örneği stratejik seviyede bir risk yönetimi planı yapılacak ise, bu çalışmanın sadece stratejik amaç ve hedeflere yönelik riskleri kapsadığı ifade edilmelidir. Eğer operasyonel seviyeye yönelik bir risk yönetimi planı yapıldı ise, operasyonel ve performansa yönelik risklerin yer aldığı vurgulanmalıdır. Bu noktada çalışmanın hangi süreçlerde yapıldığı net olarak açıklanmalıdır. Amaç ve kapsam bu şekilde belirlendikten sonra, Bir risk yönetimi sözlüğü de eklenmelidir. Bu sözlükte, risk, risk türleri, risk tepkisi, risk iyileştirme eylemi, anahtar risk göstergesi, kontrol faaliyeti, vb. kavramların ne anlama geldiği açıklanmalıdır.
Bu bölümde en son açıllanacak konu risk yönetimi çalışmalarında kullanılan metodolojidir. Risk yönetiminin, kurumsal veya operasyonel seviyede yapılıp yapılmadığına göre, kullanılan metodoloji değişebilir. Ancak risk yönetimi özünde risklerin değerlendirilmesi, risk yönetim stratejileri ile yönetilmesi, raporlanması ve izlenmesinden oluşan bir döngüdür. Bu döngünün her bir adımının, ne şekilde yürütüldüğünün ve hangi metodolojinin uygulandığının açıklanması gerekir. Örneğin risk değerlendirme metodolojisi çerçevesinde riskler nasıl tespit edildi, nasıl ölçüldü, nasıl önceliklendirildi bunların detaylarına değinmek gerekmektedir.
5- Risk Yönetiminde Organizasyon, Görev ve Sorumluluklar
Bu bölüm risk yönetimi faaliyetlerinde rol ve sorumluluklara değinilen bölümdür. Nasıl bir risk yönetim organizasyonu olacağını tanımlar. Bu kapsamda, risklerin ayrı bir risk yönetim fonksiyonu ve uzmanlar ile mi, yoksa her bir riskten sorumlu ayrı bir birim/süreç yöneticisi tarafından mı izlenip, raporlanacağı belirlenir. Şirketin/kurumun risk yönetimi organizasyonunun formatı pek çok farklı unsurdan etkilenir. Merkezi/Lokal çalışma, Uzman/Uzmanlaştırma, Dış Değerlendirme/Öz Değerlendirme gibi farklı alternatif yaklaşımlar tercih edilebilir.
Risk yönetim organizasyonunu tanımlarken, risklerin hangi seviyelerde kimler tarafından sahiplenileceği, sorumluluğun yukarıdan aşağıya dağılımı, raporlama ilişkileri, risk yönetiminde roller/görevler, rol/görev tanımları, rol/görev açıklamaları, risk yönetiminin izleme mekanizması, birim/süreçlerin sorumlulukları, üst yönetimin sorumlulukları ve organizasyondaki farklı sorumluluk alanlarının yetkileri gibi konulara ayrıntılı olarak yer verilir.
Risk yönetiminde, doğru bir organizasyon yapısı tanımlanması ve bu yapının işlevsel kılınması kritik önem taşır. Bu noktada, iç denetim fonksiyonu önemli geri bildirimler sağlayabilir. Sistemin işlerliğini ve çalışmaların etkinliğini sorgulayabilir.
6- Risk Envanteri, Risk Yönetim Stratejileri ve Risk Eylem Planları (İyileştirme Planları) Tablosu
Risk Yönetimi Planında son bölüm, detaylı bir tablodan oluşur. Bu tablo, risk yönetim projesi çalışmaları sırasında üretilen tüm çıktıların ve gerçekleştirilecek tüm risk aksiyonlarının özeti olarak en önemli bölümdür. Bu bölüm doğrudan risk yönetiminin muhattaplarına yöneliktir. Stratejik riskler söz konusu olduğunda yönetim kurulu ve üst yönetim, kurumsal risk yönetiminde üst yönetim ve birim yöneticileri, operasyonel süreç seviyesinde gerçekleştirilen risk yönetiminde ise birim/süreç yöneticileri bu tabloyu iyi değerlendirmek ve takip etmek durumundadır.
Bu tablo, hem mevcut durum ile ilgili tespitler hem de geleceğe dönük eylemler içerir. Bu tabloda, riskler, risklerin kategorisi, risklerin seviyesi (doğal/yapısal), risklere karşı hali hazırda alınan tedbirler (risk tepkileri/kontrol faaliyetleri), bu tedbirlerin açıklaması, bu tedbirlerin etkinliği, artık/bakiye risk seviyesi, bu seviyenin kurum risk toleransları çerçevesinde kabul edilebilir olup olmadığı, riske ilişkin anahtar performans göstergesi, riskin sorumluluğu, risk kabul edilebilir seviyede değil ise, alınması gereken aksiyon/aksiyonlar (yani risk iyileştirme eylemleri) yer alır. Bu tablolar Plana, genelde A3 formatında ve yatay olarak eklenmektedir. Bu tabloların doğru renk tonları ile renklendirilmesi, belirli alanların birbirlerinden ayrılması ve özet bilgi içermesi önemlidir.
Yazılım Desteği
Risk Yönetim Sistemi Oluşturma ve Risk Yönetim Planı Oluşturma/İzleme faaliyetlerinde yazılım çözümlerinden faydalanması büyük önem taşır. Bu noktada hem çalışmaların aktarımı, hem konsolidasyonu, hem raporlanması hem de izlenmesi kolaylaşmaktadır. Özellikle anahtar risk göstergelerinin izlenmesi, risk iyileştirme eylemlerinin uygulandığının takibi ve risklerin kurum risk metodolojisi çerçevesinde yönetildiğine dair raporlar alabilmek için bu çözümlerden faydalanılması önerilmektedir.
Şirket/kurumunuzda risk yönetim sistemi oluşturmak, her seviyede risk yönetim planlaması yapmak ve risk yönetim planlarını uygulamaya almak konularındaki sorularınız için bertan.kaya@yahoo.com adresine mail atarak irtibata geçebilirsiniz.