15 Adımda Kurumsal Risk Yönetimi
Kurumsal Risk Yönetimini, şirketlerde risklerin daha etkin, kapsamlı, detaylı ve verimli yönetebilmesi için destek görevi gören enstrümanlar ve yöntemler bileşimi olarak özetleyebiliriz. Bu yaklaşımı benimsemenin esas getirisi, riskleri yönetme çalışmalarının, şirketin tüm bileşenleriyle, ortak bir dil ve kolektif gayretle yürütülmesi ve şirketin kültüründe yer edinmesidir.
Özellikle kriz ve durgunluk dönemlerinde, finansal kırılganlıkların arttığı, nakit akışı performansının bozulduğu, kredi ve girdi maliyetlerinin arttığı zamanlarda, operasyonel verimin artırılması, iş devamlılığının kesintisiz sağlanması, aksamaların ivedilikle fark edilmesi ve iyileştirilmesin açısından büyük önem taşır ve fark yaratmanızı sağlar. Kurumsal Risk Yönetimi yaklaşımları, büyüme ve genişleme dönemlerine ihmal edilen alanlarda kurumsal perspektifte iç onarım ve bakım görevi görerek kurum direncini artırmaya fayda sağlar.
Aşağıda yer alan 15 maddede, kurumsal risk yönetimi yaklaşımlarını şirketlerine entegre etmek isteyen ama yöntem ve çıktılar konusunda soru işaretleri olanlar için adım adım uygulama akışını anlatmaya çalıştım.
NOT : Aşağıda yer alan maddeler, kişisel deneyimlere göre şekillendirilmiştir. Gerçekleştirdiğim projelerde karşılaştığım sorunların çözümlerine yönelik öneriler ve doğru olduğunu düşündüğüm uygulama yöntemlerini içermektedir.
15 Başlıkta Adım Adım Kurumsal Risk Yönetimi
1.Kurumsal Risk Yönetimi Uygulamalarının İçeriğinin ve Derinliğinin Belirlenmesi
Kurumsal Risk Yönetimi yaklaşımlarında karşılaşılan ilk zorluk, çalışmaların tüm şirket çapında aynı anda mı yoksa pilot departmanlarda mı başlaması gerektiğidir. Bu karar, projenin gidişatı, iş yükü ve sağlıklı beklentilerin oluşturulması için oldukça önemlidir. Özellikle 250+ beyaz yaka çalışanı olan birden fazla lokasyonda faaliyet gösteren şirketlerde kapsamı kontrollü şekilde genişletmek, ivmeyi korumak için fayda sağlamaktadır. Bazı şirketlerde çalışmaların derinliği nispeten sığ tutulmakta ve sadece direktör veya üst yönetici ile risk tanımlama ve değerlendirme çalışmaları yapılmaktadır. Bu yaklaşımı pek tavsiye etmiyorum. Eğer risklerin kök nedenlerine inmeyi amaçlıyorsak, çalışmalar operasyonları yürüten ve yöneten yöneticiler seviyesinde yapılmalıdır.
2.Ekip Oluşturulması ve Kurumsal Risk Yönetiminin Konumlandırılması
Kurumsal Risk Yönetimi için bir ekip kurulması şart mıdır? Şart değildir. Bu durum, şirketlerin kaynak ayırabilme tercihine bağlıdır ama ekip kurmanın oldukça faydası olacaktır. İş birimlerine risklerinizi tanımlayın ve değerlendirin diye bir e-mail attığınızda muhtemel kaotik bir riskler, kök nedenler, sonuçlar, geçmiş olaylar, şikayetlerle listesiyle karşılaşabilirsiniz. Bir ekibin tek tek birimlerle çalıştaylar düzenlemesi, farklı birimler arasında etkileşim sonucu doğan riskleri masaya yatırması açısından önemlidir. Satış ekibinin tahsilat birimini, üretimin ham madde satın alma birimini, pazarlamanın satışı, İK’nın üretimi etkilediği günümüz kompleks iş dünyasında birimlerin risklerini birbirinden kolayca ayrıştıramayız, bu nedenle birimler arası yeni bir iletişim kanalının yaratılması ciddi fayda sağlayacaktır. Ayrıca Kurumsal Risk Yönetimi ekibi, uygulanan risk yönetimi yaklaşımlarının zamanla iyileştirilmesi, kurum genelinde standart bir model ve yöntemle ilerlenmesini sağlar. Şirket için danışman görevini de üstlenir. Kurumsal Risk Yönetiminden sorumlu ekip, eğer imkanlar uygunsa direkt olarak genel müdür veya yönetim kuruluna bağlı olmalı ve icracı yöneticilere karşı objektif bir tutum sergileyebilmelidir.
3.Metodoloji ve Ortak Dil Oluşturulması
Riski tanımlama, değerlendirme ve iyileştirmeye yönelik uygulama yöntemleri ve dokümanları standart ve şirket işleyişine uygun olmalıdır. Şirketlerde risk ve risk yönetimi yaklaşımları, sigorta, hasar, iş kazası, yangın, hukuki sorunlar ve yaptırımlar, kalite belgelendirmeleri veya ekonomik dalgalanmalarla karıştırılabiliyor. Bu nedenle, tüm kuruma yaygınlaştırılan ve detaylı bir şekilde anlatılan bir yöntem ve ortak dil oluşturulmalı ve bunlara olabildiğince sadık kalınmalıdır.
4.Tüm Çalışanlarla İletişimin Sağlanması ve Bilgilendirme
Kurumsal Risk Yönetimi uygulamalarında temel sorunlardan biri, çalışmalara katılacak iş birimlerinin konuyla ilgili yeteri kadar bilgisi olmamasıdır. Bu projeyle amaçlanan nedir, çalışanlardan beklentiler nelerdir, projenin tüm aşamalarında neler yapılacaktır ve ne gibi çıktılar oluşturulacaktır konularında bilgilendirme eğitimleri ve kılavuz dokümanlar hazırlanmalıdır. Tüm çerçeve şeffaf ve detaylı bir şekilde aktarılmalıdır.
Kurumsal Risk Yönetimi çalışmalarının şirket içinde sahiplenilmesi, destek görmesi ve iş yapış şekline entegre edilmesi için çalışanların katkı verebilmesi oldukça önemlidir. Çalışanların görüş ve önerileriyle desteklenmeyen bir metodoloji maalesef uzun ömürlü olamamaktadır. Bu nedenle ilk iletişim şeffaf ve geri bildirime açık olmalıdır.
5.Ekip Desteğiyle Risk Tanımlama Çalıştaylarının Gerçekleştirilmesi
Birinci maddede bahsettiğim karmaşık bir listeden kaçınmanın en etkili yolu bir ekibin koordine ettiği ve tüm toplantılara katıldığı “Risk Tanımlama Çalıştayı” yöntemini benimsemektir. Çeşitli kitaplar ve kaynaklarda risk tanımlama yöntemi olarak SWOT Analizi, Anket Çalışmaları, Hasar Analizi vb. yöntemlerden de bahsedilir, ama en etkili yöntem şirkette günlük operasyonları yürüten, kararları alan ve uygulayan süreç sahipleriyle çalıştaylar düzenlemektir. Diğer yöntemler destekleyici çalışmalardır.
6.Gerekli Durumlarda Tekrarlanan Ek Çalıştayların Gerçekleştirilmesi
İş birimleri, süreçleri yürütürken şirketteki diğer birimlerle yoğun bir iş alışverişi halindedir. Bakım birimi için üretim teknisyenin otonom bakım yapması, mali işler birimi için satış ekibinin tahsilat performansını ve müşterileri takip etmesi, üretim birimleri için yeterli insan kaynağının doğru zamanda istihdam edilmesi, hazine operasyonları için temel sistemlerin kesintisiz ilerlemesi gibi günlük operasyonlarda birçok birimler arası etkileşim olmaktadır. Bu nedenle bir birimin diğer birimden kaynaklandığını düşündüğü riskler, Kurumsal Risk Yönetimi ekibi tarafından çapraz kontrol amacıyla diğer birimlerle tekrar masaya yatırılmalıdır.
7.“Risk Değerlendirme Skalalarının” Oluşturulması
Kısaca tanımlayacak olursak, risk iştahı; bir şirketin, bir olayın gerçekleşmesi sonucunda kabul etmeyi göze aldığı zararın üst sınırını, risk toleransı ise bir olayın gerçekleşmesinin ardından şirketin finansal ve operasyonel olarak kaldırabileceği zararın üst sınırını temsil etmektedir. Bir şirket hukuki olarak 10 Milyon TL cezayı kaldırabilir (risk toleransı) ama bu cezayı itibari ve diğer stratejik gerekçelerle istemeyebilir ve maksimum 1 Milyon TL cezai işleme göre kararlarını şekillendirebilir. (Risk İştahı)
Risk iştahı ve toleransını düşünerek riskler gerçekleştiğinde vereceği zararın şirket için çok yıkıcı mı yoksa ihmal edilebilir mi olduğunu belirlemek için “Risk Değerlendirme Skalaları” oluşturulmalıdır. Bu skalalar, risklerin etkisi değerlendirilirken kılavuzluk yapacaktır. Özetle bir riskin şirket için yıkıcı olup olmadığı skalada yer alan aralıklara göre belirlenecektir.
8.Risklerin Değerlendirilmesi ve Önceliklendirme
Bir birimin kritik riski, muhtemel o birime göre şirketin en kritik riski olarak görülmektedir. Ama bu yaklaşım maalesef risklere geniş perspektiften bakmayı engellemektedir. Bu nedenle objektif bir sıralama için riskler standart bir kriterler tablosuna göre puanlandırılarak önceliklendirilmelidir. Bu yöntem üzerinde hala birçok platformda tartışmalar devam etse de en yaygın kabul gören yaklaşım 5x5 yöntemidir. Risk skoru, riskin gerçekleştiği durumda şirkette yaratacağı etki ve bu boyuttaki bir etkisi olan bir olayın gerçekleşme ihtimalinin çarpımıdır. Riskler 25 maksimum değer üzerinden haritalandırılmalı ve değerlendirilmelidir.
9.Kritik Risklerde Mevcut Kontrollerin Değerlendirilmesi ve Yeni Risk İyileştirme Aksiyonları
Riski tanımlama ve önceliklendirmenin asıl amaçlarından biri, hangi risk iyileştirme faaliyetine ne kadar kaynağın ayrılması gerektiğine karar verebilmektir. Seçilen kritik riskler için o riski yöneten ve riskten etkilenen birimlerin bir araya geldiği “Risk İyileştirme” çalıştayları düzenlenmelidir. Bu çalıştaylarda ilgili riski yönetebilmek için hali hazırda uygulanan kontroller ve çalışmalar masaya yatırılmalı, değerlendirilmelidir. Mevcut kontrollere ek olarak yeni aksiyonlar üretilmeli ve süreç yöneticileri tarafından sahiplenilmelidir.
10.Kurumsal Risk Yönetimi Eğitimleri
İlk dokuz adımda Kurumsal Risk Yönetimi yaklaşımına adaptasyon için ilk tur tamamlanmış oldu. Bundan sonraki süreçte, iş birimlerinin kendi risklerini sahiplenmesi, yöntemleri ve enstrümanları günlük iş akışlarına dahil etmesi için kapsamlı bir bilgilendirme eğitimi düzenlenmelidir. Yöntem, araçlar, beklentiler ve kılavuzlar bu eğitim aracılığıyla açık ve kolay anlaşılır bir şekilde aktarılmalıdır.
11.Kurumsal Risk Yönetimi El Kitabı / Kılavuzu
Türkiye’de şirketlerdeki en büyük aksaklıklardan biri “kişilere bağımlılık” sorunudur. Kurumsal Risk Yönetimi uygulamalarının da sadece Kurumsal Risk Yönetimi ekibindeki çalışanlara bağımlı kalmaması için uygulama yöntemleri, oluşturulan kurumsal risk yönetimi dokümanları, raporlama içeriği ve takvimi, denetleme derinliği vb. bilgiler yazıya geçirilmeli ve prosedür haline getirilmelidir. Kurumsal Risk Yönetimi El Kitabı, tüm kurumsal risk yönetimi faaliyetleri için kılavuz görevini üstlenebilecek derinlikte ve kapsamda hazırlanmalıdır.
12.Kurumsal Risk Yönetiminde İzleme ve Kontrol
Çoğu şirkette Kurumsal Risk Yönetimi faaliyetleri büyük gayret ve harcamayla kurgulanıp ilk tur risklerin tanımlanması ve iyileştirme çalışmalarının belirlenmesinin ardından süratle çalışanların gündeminden düşmektedir. Bu sorunun yaşanmaması için aksiyonlara ve risklerdeki değişimlere yönelik eğer şirkette varsa iç denetim birimi aracılığıyla, olmadığı durumda ise Kurumsal Risk Yönetimi ekipleri aracılığıyla şirket dinamiklerine uygun zaman dilimlerinde düzenli kontrol ve destek seansları düzenlenmelidir.
13.Kurumsal Risk Yönetimi Raporlaması
Çeşitli kaynaklarda Kurumsal Risk Yönetiminin başarısı için en etkili şartın üst yönetim desteği olduğu birçok kez vurgulanmıştır. Üst yönetim desteği alabilmek için üst yönetimin gerçekten faydalanabileceği, etraflıca düşünülerek tasnif edilmiş, özetlenmiş ve kapsamlı bilgiye ulaşmaya olanak sağlayan bilgi akışı kurgulanmalıdır. Doğru ve detaylı verinin özetlenerek raporlanması, ilerlemenin etkin takibi ve sadece sonuçların değil sürecin ve gelişimin iyi yansıtıldığı raporlama kanalları ve enstrümanları oluşturulmalıdır.
14.Kapsamın Genişletilmesi
Kurumsal Risk Yönetimi uygulamalarında kullanılan yöntemler ve çıktılar, özellikle son 5 yılda oldukça geniş bir alanla etkileşime geçmiştir. Bu nedenle, ISG çalışmalarında, bilgi güvenliği standartlarına uyumda (ISO 27001), kalite yönetiminde süreç ve ürün risklerinde (ISO 9001) veya bazı sektörel standartlarda (IATF 16949) etkileşim sağlanmalıdır. İş kesintisi risklerinin yönetilmesi için geliştirilen İş Sürekliliği Yönetimi yaklaşımları (ISO 22301) özelinde çalışmalarda koordinasyon ve entegrasyon sağlanmalıdır. Şirketlerdeki, kalite yönetimi birimleri, ISG sorumluları, idari işler yöneticileri ve IT ekipleriyle iş birlikleri sağlanmalıdır.
15.Kurumsal Risk Yönetimi Performansının Değerlendirilmesi
Performansın bir danışman tarafından değerlendirilmesi diğer maddeler kadar elzem değildir. Kurumsal Risk Yönetimi standardı (ISO 31000) ve uygulamaları gönüllülük esasına dayalı bir yaklaşımdır. Fakat, şirket içindeki kurumsal risk yönetimi uygulamalarının işlevselliği, kalitesi ve gelişim alanlarının tespit edilmesi için dış bir göz tarafından değerlendirilmesinin faydası göz ardı edilmemelidir.