Şirketlerde “risk” kavramı yeni bir kavram değil. Her şirket, kuruluştan itibaren risk kavramını bilen kurucular ve yöneticiler tarafından yönetiliyor. Risk almak ve risklere rağmen çalışmak, kapitalist sistemin ana motorları. “Risk” kavramının ne olduğunu bilmeyeni, ya da temel risk kavramları üzerinde düşünmemiş bir girişimci ya da üst yönetici olduğunu sanmıyorum.
Öte yandan “risk yönetimi” kavramı ve son dönemde sıkça duyduğumuz “kurumsal risk yönetimi” kavramlarına baktığımızda durum değişiyor. Riskin ne olduğunu bilen şirket kurucuları, ortaklar ve yöneticiler, riski yönetmenin ne demek olduğunu, kurumsal risk yönetiminin nasıl bir mekanizma olduğunu ve iyi risk yönetiminin “gelir”, “sermaye verimliliği” ve “ebitda” gibi kavramlar ile olan ilişkisini bilmiyorlar.
Diğer bir ifade ile kapitalizmin motoru, itici gücü olan müteşebbis iş adamları ve yöneticileri, “riski almak” kadar “riski yönetmekte” uzman değiller.
Her iş, her sektör, her şirket belirli ölçüde değişen yelpazede riskler ile karşı karşıyadır. Bu iş yapmanın doğasında vardır. Bu risklere nasıl tepki verileceği ise, risk yönetimidir. Risk yönetimi olgunluğu ise, bir kurumun veya şirketin, risk kavramına ilişkin en üstten en alta farkındalığı, risk yönetimine ilişkin sistemsel yaklaşımı, risk yönetiminde kullandığı araçlar ve konuya verdiği önem/yatırım ile alakalıdır.
Bazı kurumlarda en üstten en alt seviyelere kadar “risk”, o kurumun hızlı ve sağlıklı büyümesi için alınması gereken, dikkat gerektirmeyen, büyümeyi olumsuz etkilemeyecek ve ayrıca yönetilmesi gerekmeyen bir unsurdur. Bu özellikle yeni kurulan ya da büyümekte olan ilk dönem şirketlerde yaygın bir yaklaşımdır.
Sonraki dönemlerde şirketler mali açıdan ve örgütsel/coğrafi yapı olarak büyüdükçe, riskler yönetilmesi ve ciddiye alınması gereken bir unsur olarak ortaya çıkar. Bu noktada şirketlerin riski ciddiye almamaya devam etmek, riskleri gerçekleştikten sonra kriz yönetimi ile karşılamak veya risk yönetimine geçmek gibi farklı alternatifleri vardır. Burada verilen kararlar, şirketlerin gelecek dönemlerdeki büyüme karlılık ve sürdürülebilirlik parametrelerini etkiler. Riski ciddiye almayan ya da kriz yönetimini yeterli gören anlayışlara sahip yönetsel ve kurumsal kültürlerin, gelecekte sorun yaşamaları büyük olasılık dahilindedir. Riski fark edip, yönetmek zorunda olduğunu düşünen ve bu yönde adım atan şirket ve kurumlar ise, doğru kararı vermiş demektir.
Dünya bir VUCA (Volatility, Uncertainty, Complexity, Ambiguity) dönemine girerken belirsizlik ve bu ortamda doğru yönetsel kararları verebilmek en önemli yönetim başarısı haline gelmiştir. Ülkemizdeki hakim kültür olan, gözü kapatıp işlere dalmak, ya da gözünü karartıp yatırım yapmak, bu dönemde felaket anlamına gelmektedir. Riskler, örgütün her seviyesinde ölçülüp biçilen, tartışılan ve yönetimi için gerekli aksiyonlar alınan kurumsal gerçekler haline gelmektedir.
VUCA dönemi, bünyesinde pek çok tehlike ve fırsatı barındırdığından, yüksek seviyede bir kurumsal risk yönetimi anlayışı gerektirmektedir. Risk yönetiminin, şirketin her seviyesinde, belirli bir metodoloji ve sistematik dahilinde, yeknesak bir anlayış ile ve tüm yönetsel karar destek mekanizmalarına entegre edilmiş olarak yürütülmesi anlamına gelen kurumsal risk yönetimi, “risk yönetiminde” bir şirketin en yüksek olgunluk seviyesini hedeflendiğini göstermektedir.
Şirketlerde risk veya risk yönetimi olgunluğuna bakıldığında, risk zekası ve olgunluğu yüksek şirketlerden, risk zekası ve olgunluğu son derece düşük şirketlere kadar geniş yelpazede onbinlerce şirket ve kurum olduğunu gözlemliyoruz. Risk veya risk yönetimi olgunluğu, o şirketin risk yönetimini ne şekilde yaptığı ya da yapmadığı ile ilgili önemli bir göstergedir. VUCA döneminde, risk olduğunluğu düşük şirketler, önümüzdeki 10-15 sene içinde tarih sahnesinden silineceklerdir. Bunlar arasında büyük şirketler olduğunu da üzülerek tecrübe edeceğiz. Öte yandan risklerini belirli bir farkındalık ve kabulle yöneten, bunun için bir risk yönetim modeli ve sistematiği benimsemiş, tüm yönetim sistemlerini entegre ederek, “risk kavramını” içselleştirerek, karar süreçlerinin merkezine almış şirket ve kurumlarda ise VUCA döneminde yüksek bir performans gözlemleyeceğiz.
Risk yönetim olgunluğunun analizi ve değerlendirilmesi ile ilgili pek çok farklı yaklaşım ve model var. Bu yazıda bunlara değinmeyeceğim, belki bir sonraki yazıda bu konudan bahsedebiliriz. Ancak VUCA döneminde, risk olgunluğu düşük bir şirketin ayakta kalma olasılığı çok düşüktür, bu konuya mutlaka dikkat çekmek gerekiyor.
Bu noktada, iç denetçiler ve risk yöneticilerine büyük görev düşüyor. İlk başlangıç noktası, şirket ya da kurumun risk yönetimi olgunluk seviyesini analiz etmek ve üst yönetime/ yönetim kuruluna bu noktada bir tespit yapmak, sektörel iyi uygulamalar var ise benchmark çalışması gerçekleştirmek ve VUCA döneminde gereken risk yönetim olgunluğunu sağlayacak stratejiler ve eylemler ile ilgili bilgi veren raporlama ve sunumlar yapmaktır.
VUCA döneminin gerçekleri, gereksinimleri, şirket finansalları, olası kazanç ve kayıplar ve risk yönetimi ihtiyacı arasında bir ilişki kurmak ve bu ilişkiyi, tercihen iş senaryolarına dayalı finansal sonuçlar üzerinden göstermek, şirketinizin mevcut durumunu ve esasen olması gereken risk olgunluk seviyesini açıkça göstermekte ve yönetiminizi, daha ileri bir risk yönetim olgunluğuna taşımakta ikna edici olacaktır.