Riski Nasıl Yönetebiliriz?

Risk, en genel ifade ile iç ve dış çevrede meydana gelebilecek ve hedefe ulaşmamızı etkileyecek tüm koşulları, bir olayın beklenenden farklı olarak gerçekleşme durumunu, kayıp, hata ya da suiistimale neden olabilecek olayları ifade eder. Kurumda işleyen bir risk yönetimi sisteminin varlığı, iç kontrolün makul güvence sağlama fonksiyonu açısından son derece önemlidir. Risk iştahı çok yüksek bir yönetici bile, karar verirken ne kadar risk alacağını bilmek isteyecektir. Bu bilgiyi, yönetici için üretebilecek olan sistem risk yönetimi sistemidir. 

Diğer yandan, risk yönetimi oldukça kapsamlı ve teknik açıdan da derinliği olan bir konudur. Risk yönetiminin, yönetsel ve operasyonel karar ve süreçlere fayda sağlayacak bir araç haline getirilebilmesi özenli ve doğru planlanmış bir çalışma gerektirmektedir. Bu süreci mümkün olduğunca basitleştirebilmek için, öncelikle kurumun ihtiyaç duyduğu risk yönetimi modeline karar verilmeli, bir plan oluşturulmalı, kullanılacak yöntem ve teknikler aşama aşama belirlenmeli ve uygulamaya alınmalıdır. Devam eden süreçte, sürekli izleme, değerlendirme ve raporlama faaliyetleri ile risk yönetimine ilişkin kurumsal farkındalık artırılmalı ve risk yönetimi sistemi iyileştirilmeye çalışılmalıdır.

Risk yönetiminin, kurumda bir kültür haline gelmesi, risk odaklı bakış açısının kazanılması ile mümkündür. Ancak öncelikle risk yönetiminin ne olduğu, kuruma, yöneticilere, çalışanlara ve kurumun paydaşlarına nasıl katkı sağlayacağı doğru bir şekilde anlatılmalıdır. Bu, şüphesiz yorucu ve zaman alacak bir süreçtir. Ancak uzun vadede risk odaklı bakış açısı, her düzeydeki yönetici ve çalışanın kontrollere olan inancını, iyileştirme istediğini ve neticede kuruma olan katkısını artıracaktır.

Kurumlarda her gün rutin operasyonlar, yeni projeler, finansal işlemler, personel giriş-çıkışları, bodro işlemleri gibi yüzlerce karar ve bu kararlara dayalı faaliyetler gerçekleştirilmekte, bu karar ve faaliyetler esnasında görevler ayrılığı, uyum kontrolleri, bütçe kontrolleri, prosedürel kontroller gibi yine yüzlerce kontrol çalıştırılmaktadır. İşlerin akışı içine her şey normal seyrindeymiş gibi görünse de kişilerden, bölümlere, bölümlerden birimlere, birimlerden kurumlara doğru akan süreç düşünüldüğünde tüm bu karar ve faaliyetler ile kontrol mekanizmalarının birbirleri ile uyumlu ve en az hata sonucu ile çalışabilmesi son derece güç bir hal almaktadır. Kurum içi işlemleri birbiri ile uyumlu hale getirebilmek, sistemsel olarak kontrol ve denetim mekanizması kurabilmek ise iç kontrol ve risk yönetimi sistemleri ile mümkün olabilmektedir.

Risk değerlendirme çalışmalarına başlamadan önce, kurum genelinde risk yönetimi konusunda ortak bir dil oluşturulmalıdır. Bu nedenle başlangıçta, kurumun risk yönetimi felsefesini ortaya koyan bir risk yönetimi politika belgesi hazırlanmalıdır. Bu belge bütün süreci yönlendireceğinden kapsamlı bir şekilde hazırlanmalı, üst yönetici onayı ile yürürlüğe girmelidir. Risk politika belgesinde, kurumun riske bakış açısı, riskin tespiti, ölçülmesi ve riske cevap verme yöntemleri, izleme, raporlama ve değerlendirme metodu, yer almalıdır. Ayrıca, kurumda risk yönetiminin her bir aşamasında kimlerin hangi görev ile rol alacağı açıkça belirlenmelidir

Hazırlık aşamasında yapılması gereken bir diğer iş, riskin ölçülmesi ve önceliklendirilmesine yönelik kriterlerin belirlenmesidir. Bu aşama da, yine uygulayıcılar tarafından belirsizlik teşkil eden alanlardan biridir. Risklerin ölçümünde kurum genelinde ortak kriterlere ihtiyaç duyulmaktadır. Her bir riskin seviyesi, kurumun tüm yönetici ve çalışanları tarafından aynı ölçekle değerlendirilmeli, riskin önem seviyesi herkes tarafından aynı şekilde anlaşılabilmelidir. Risk seviyelerinin ölçülmesinde, etki ve olasılık ölçekleri kullanılmaktadır.

Etki ve olasılık ölçekleri hazırlanırken, kurumun bütçe büyüklüğü, faaliyetlerin niteliği, sayısı ve karmaşıklığı, tabi olduğu mevzuatlar, bilgi teknolojileri sisteminin yapısı, personel sayısı, kurumsal ilişkilerin boyutu gibi konular dikkate alınmalı, ölçekler kuruma özel ifadeler içerecek şekilde hazırlanmalıdır. Etki ve olasılık ölçeklerinde nicel ve nitel kriterler birlikte kullanılmalı, risklerin nicel ve nitel yöntemler bir arada değerlendirilerek ölçülmesi sağlanmalıdır. Ölçeklerde kullanılan ifadeler çeşitli risk kategorilerini kapsayacak şekilde tasarlanmalıdır. İtibar riskleri, finansal riskler, uyum riskleri, iş sürekliliği riskleri, operasyonel riskler, bilgi işlem riskleri, güvenlik riskleri, paydaşlarla olan ilişkiler ile ilgili riskler, kurumun özel yükümlülükleri ile ilgili riskler, iş sağlığı ve güvenliği ile ilgili riskler vb. ölçekler üzerinden seviyelendirilebilir olmalıdır.

Burada amaç, herhangi bir riskin kuruma etkisinin hangi seviyede olduğu ya da olacağı ve bu riskin kurumda hangi sıklıkla gerçekleştiği ya da gerçekleşeceği konusunda kurumsal risk politikası çerçevesinde ortak bir algı ile belirlenebilmesidir.

Etki ve olasılık seviyelerine 1 ile 5 arasında bir değer verilmelidir. 1 çok düşük seviyeyi, 5 çok yüksek seviyeyi ifade edecektir. Risk seviyesi etki ve olasılık değerinin çarpımı ile bulunacaktır. Örneğin, etkisi 3 olasılığı 2 olarak belirlenen bir riskin seviyesi (3x2) 6 olacaktır.

Peki tespit ederek tanımladığımız riskleri ve belirlediğimiz risk seviyelerini uygulamada nasıl kullanacağız? Bu aşamada kurumun risk iştahına göre belirlenmiş bir risk kontrol haritasına ihtiyacımız olacak. Risk Kontrol Matrisleri, tanımlamış tüm risklerin önceliklendirilmiş olarak ve özet halde raporlandığı grafiklerdir.

Risklerin etki ve olasılık değerlerinin çarpımı ile 25 farklı değer elde edilecektir. Örneğin, 3x3 değerinin orta seviye bir riski ifade ettiği açık iken, 1x 5 ya da 2x4 değerlerinin bizim için ifade ettiği önem seviyesi üzerinde bir karar verilmelidir. Bu değerlerden hangilerinin çok düşük, düşük, orta, yüksek ya da çok yüksek önemde olduğuna karar vermek için bir önceliklendirme yapılması gerekir. Riskler önem derecesine göre renklendirilmiş risk kontrol matrisleri üzerinde gösterilir.

Risk değerlendirme çalışmaları temelde beş aşamada gerçekleştirilir;

• Riskin tespiti
• Doğal risk seviyesinin ölçülmesi
• Mevcut kontrollerin belirlenmesi
• Kalıntı risk seviyesinin ölçülmesi
• Ek kontrollerin planlanması/uygulama alınması

Risklerin nasıl tespit edileceğine yönelik de bir karara sahip olmanız gerekir. Riskler operasyonel seviyeden stratejik seviyeye (aşağıdan-yukarıya) belirleneceği gibi stratejik seviyeden operasyonel seviyeye (yukarıdan- aşağıya) doğru da belirlenebilir. Çalışma yöntemi, birimler bazında, süreçler bazında veya faaliyetler bazında tercih edilebilir. Operasyonel risklerin detaylı olarak analizi için faaliyetler üzerinde çalışma yapmak faydalı olacaktır. Bu şekilde her bir faaliyetin her bir adımı dikkatlice gözden geçirilerek yaşanan ya da yaşanabilecek tüm riskli durumlar tanımlanabilecektir. Stratejik risklerin tespiti için ise, stratejik plan amaç ve hedeflerini doğrudan tehdit edebilecek riskler belirlenmelidir. Operasyonel risklerin, işi yapan görevliler ve faaliyetlerin koordinasyonu, yönetim ve gözetiminden sorumlu birim yöneticileri tarafından belirlenmesi en doğru yöntem iken, stratejik risklerin kurum üst yönetimi, birim yöneticileri, hatta dış paydaşların katılımının sağlanacağı bir çalışma ile belirlenmesi daha doğru olacaktır. Stratejik riskler, stratejik plan hazırlık aşamasında mutlaka belirlenmeli, yılda en az bir defa yapılacak izleme ve değerlendirme çalışmaları ile performans gerçekleşme durumları göz önünde bulundurularak revize edilmelidir.

Risklerin yönetimine ilişkin temel rehber dokuman ve araçlar belirlendikten ve uygulama yöntemleri kurum çalışanları ile paylaşıldıktan sonra risk değerlendirme çalışmalarına başlanılabilir. Risk değerlendirme çalışmalarında amaç, işin yapısı gereği var olan riskleri faaliyetler düzeyinde tespit etmek, mevcut durumu analiz ederek kontrollerin riskler üzerindeki önleyici, düzetici ve tespit edici etkilerini belirlemek; mevcut kontrollerin yeterli olup olmadığını değerlendirerek, kalıntı risk seviyesini belirmek ve gerekli durumlarda (kalıntı riskin kurum risk iştahının üzerinde olduğu durumda) riskleri iyileştirmeye yönelik ek kontrolleri planlayarak; kurumu, yasal, operasyonel, finansal açıdan güvence altına almaktadır.

Etkin bir risk yönetimi sistemine sahip olabilmenin temel kuralı, doğru bir izleme, değerlendirme ve raporlama sistemine sahip olmaktır. Risk ve kontrollere ilişkin doğru, zamanında ve güvenilir raporlar üretemediğinizde yapılan çalışmaların değeri çok az olacaktır. Bunun için; risk değerlendirme çalışmaları sırasında üretilen tüm çıktılar raporlanabilir şekilde kayıt altına alınmalıdır. Her bir risk için bir sayı verilerek risk envanteri hazırlanmalıdır. Mevcut kontrol faaliyetleri ve planlanan kontrol faaliyetleri risklerle ilişkilendirilerek hiyerarşik olarak numaralandırılmalı ve risk envanterine kayıt edilmelidir. Risk kontrol matrisleri;  sadece kurumsal düzeyde değil, birimler ve faaliyetler düzeyinde de oluşturulmalıdır. Bu şekilde, raporlama sistemi, risk yönetimi sorumluluğu gözetilerek çalışıyor olacaktır. Stratejik riskler ayrı risk kontrol matrisinde takip edilmeli, kurumsal amaç ve hedeflerdeki sapmalar, risk yönetimi sistemi ile ilişkilendirilmeli, tespit edilen yeni riskler ve/veya ihtiyaç duyulan ek kontroller planlanmalı ve raporlara dahil edilmelidir.

Risk değerlendirme çalışmalarının kendi içinde barındırdığı en büyük risk ise tüm aşamaların manuel olarak yürütülmeye çalışılmasıdır. Kurumlar bu aşamada binlerce risk ve kontrol verisi üretmektedir. Tüm bu verilerin doğruluğunu, kurumsal risk yönetimi politikalarına uygunluğunu, güncelliğini manuel yöntemler ile sağlamak mümkün değildir. Risk yönetimi yaşayan bir sistemdir, böyle olması gerekir. Sürekli olarak değişen koşullardan veri çekerek kendini güncelleyebilmelidir. Operasyonlar sırasında meydana gelen riskler, risk envanterlerine eklenmeli ve gerekli kontroller anında planlanabilmelidir. Uygulamaya alınan yeni kontrollerin risk seviyeleri üzerindeki değişim etkisi anında raporlara kayıt edilebilmelidir. Üst yöneticiler, iç denetçiler, birim yöneticileri, risk izleme komiteleri-kurulları periyodik olarak riskler hakkında bilgilendirilmeli ve ihtiyaç duyduklarında, anlık olarak risk yönetimi raporlarına ulaşılabilmelidirler. Dış denetimler sırasında ihtiyaç duyulan raporlar hızlı ve güvenli şekilde temin edilebilmelidir.

Günümüz dünyasında bilgi, tüm kurumlar için en önemli değerdir. Bilgi miktarı sürekli olarak artarken bilgiye erişim hızının kısıtlı kalması önemli yönetsel sorunlara sebep olmaktadır. Kurumsal verilerin anlamlı bir bütün oluşturacak şekilde toplanması ve yönetsel karar ve faaliyetler aracılığı ile tekrar ve hızlıca uygulamaya döndürülmesi gerekmektedir. Hangi verinin daha önemli, katma değerinin daha yüksek olduğu, hangi verinin hatalı üretilmesi halinde daha büyük kayıplara sebep olabileceği, hangi verinin hangi alanda kullanılması gerektiği, kime, ne zaman, ne sıklıkla ulaştırılması gerektiği vb. kurumlar için stratejik kararlardır. Bu stratejik kararların mantıksal yöntemler, kurumsal hafızaya dayanan tecrübeler ile verilebilmesini sağlayacak en önemli araç risk yönetimi sistemidir.

Her düzeydeki örgüt için kısa ve uzun vadede kazanım sağlayacak öncelikli yatırım; iç kontrol, risk yönetimi ve iç denetim alanlarına yapılacak yatırım olacaktır. Bu üç konu, kurumların diğer tüm yatırımları ve ilerleyen dönemlerde gerçekleştirecekleri yatırım kararları üzerinde sağlayacakları güvence ile artarak artan şekilde katma değer yaratacaktır.