Yazılar

Kurumlarda halinden memnun çalışan ve yönetici bulabilmek gerçekten çok zor. Herkesin ardı ardına sıraladığı onlarca, yüzlerce sorun var. Nasıl düzelir sorusunun cevabı ise oldukça karışık; çalışan için çözüm yöneticide, yönetici için çözüm çalışanda. A birimi için çözüm B biriminde, B birimine göre A’da da olabilir C biriminde de, hatta çözümlerin çoğu kurum dışında bir yerlerde.

Hal böyle olunca, kurumsal sorunların içinden çıkmak neredeyse imkansız. Hele bir de kurumun içinde, ‘’Böyle gelmiş böyle gider’’ rüzgarları esmeye başlamışsa durum gerçekten çok ama çok kötü.

Peki ne yapmalı? ‘’Böyle gelmiş böyle gider’’ in bir kültür haline gelmesini bekleyerek, rüzgarına mı bırakmalı kurumu?

Bu kesinlikle yanlış olan seçenek.

Öncelikle, sorunlu alanı doğru tespit etmekle işe başlamalı. Kurumlarda hem yöneticiler hem de personel tarafından şikayet edilen sorunun kaynağı aslında ‘Sistem’

Yüzyıl önce ortaya atılan sistem yaklaşımına göre, örgüt dış çevresi ile birlikte değerlendirildiğinde büyük bir sistemin parçasıdır ve aynı zamanda kendi içerisinde de sistemler barındırmaktadır. Tüm bu sistemler birbirlerinden etkilenmekte ve birbirlerini etkilemektedir. Yönetsel anlamda başarı için tüm sistemlerin birbirleri ile uyumlu bir şekilde çalışmaları beklenmektedir. Sistemin herhangi bir parçasında meydana gelen aksaklık diğer parçaları da olumsuz etkilemektedir. Birden fazla parçada var olan sorunlar ise zaman içinde tam anlamıyla kaosa sebep olmaktadır. Yönetici ve çalışanlar sistemi alt sistemleri ile birlikte bir bütün olarak göremediklerinde kurumun her yerinde çıkmaz sokaklar ortaya çıkmaktadır.

Sorunu tespit ettiğimizi göre artık çözüme geçebiliriz; çözüm ‘’İç Kontrol Sistemi’’

Kurumsal politika ve prosedürlerimiz ne kadar kuvvetli, kurumsal süreçlerimiz ne kadar net bir şekilde tanımlı, organizasyon yapımız ne kadar doğru oluşturulmuş, görev tanımlarımız ne kadar az boşluk içeriyor ise sistemimizin o kadar güçlüdür.

Onlarca kurumda, bu konulardaki eksiklikler nedeniyle her gün çok ciddi kayıplar yaşanıyor. Sorun ve çözüm sistemde aranmadığı için ise maalesef birçoğu için kalıcı çözümler de bulanamıyor. Açık kapatma, günü kurtarma yöntemleri ile bugün geçiştirilen sorunlar yarın tekrar tekrar ve büyüyerek çıkıyor karşımıza ve neticede böyle gelmiş böyle gider yargısı yönetici ve çalışanların önce diline sonra zihnine yerleşmeye başlıyor.

Kurumlarla yaptığımız görüşmelerde neredeyse her gün üzücü vakalar ile karşılaşıyoruz. ‘’Bir defa başımıza şöyle bir şey geldi…’’ diye anlatıyor heyecan ile mesela bir çalışan. Peki diyoruz ne yaptınız sonrasında? ‘’Hiiç.. öyle devam ediyor hala ama bir daha yaşamadık çok şükür’’ İyi halinde ise durum şu olabiliyor ‘’Biz düzelttik onu, şöyle bir önlem aldık, artık yaşanması pek muhtemel değil’’ ‘’Peki, aynı ya da benzer işi yapan başka birimler var mı? Onlarda yaşanabilir mi aynı durum?’’ Tabi ki yaşanabilir. ‘’Peki onlara bildirdiniz mi bu çözümünüzü, belki de farkında değiller böyle bir sorunun varlığının?’’ ‘’Onlarda da vardır kesin ama bildirmedik.’’

‘’Test cihazlarımızın kalibrasyon sorunu var’’ diyor mesela bir başkası. Peki diyoruz neden? Nasıl bir sorun? ‘’Vakti zamanında (uzağa gitmeyin 5-6 yıl önce) alınmış bu cihaz Japonya’dan, bakım onarım yapacak yer yok, yedek parça da yok’’ ‘’Peki ya yaptığınız testler güvenilir değilse? ‘’ ‘’Değil zaten. Bir tane daha var böyle cihaz onu da 2 yıl önce aldık. Çok pahalı bu cihazlar’’

‘’Bizim birimde 45 kişi var. En az 15 tanesi boş oturur.’’ Diyor bir diğeri. ‘’Peki neden? İş mi yok?’’ ‘’Yooo iş çok, biz eve iş götürüyoruz mesela neredeyse her gün’’

Ne yapmalı? Nereden başlamalı?

  • Öncelikle, kurumun organizasyon yapısı tüm fonksiyonları itibarıyla detaylı bir şekilde değerlendirilmeli. Kim ne yapıyor? Bir birim altında yer alan görevler birbirleri ile ne kadar ilişkili? Birimin görevleri belirli bir alana odaklanmaya ya da birbirleri ile eşgüdüm halinde yürütülmeye uygun mu? Hangi birimler birbirleri ile hangi görevler aracılığı ile bağlantılı? Bu bağlantı hangi iletişim kanalları ile sağlanıyor? Bu iletişim kanalları ne kadar doğru çalışıyor? Hangi birimler kime, ne sıklıkta, hangi içerikte rapor ve bilgi sağlıyor? Benzeri sorular ile sorunlu alanlar tespit edilerek gerekli iyileştirme çalışmaları yapılmalıdır.
  • Her kurumun mutlaka amaç ve hedefleri vardır. Bu amaç ve hedefler bir stratejik plan belgesi gibi kapsamlı bir dokümanda olabileceği gibi, iş programları gibi daha az kapsamlı dokümanlarda da olabilir. Kurumun amaç ve hedefleri üzerinde gerçekleştirilecek risk değerlendirmelerle, en önemli seviyedeki en az 30 risk belirlenmeli, mevcut durumda bu riskleri yönetmek için kullanılan yöntemlerinin ne kadar etkili olduğu değerlendirilmeli ve ihtiyaç duyulan alanlar için risk iyileştirme eylem planları hazırlanarak uygulamaya alınmalıdır. Aynı çalışma kurumun fonksiyonları üzerinde de gerçekleştirilebilir. Birim faaliyetleri bazında yapılacak risk değerlendirme ve mevcut risk yönetimi yöntemleri değerlendirilerek, risk iyileştirme eylemleri planlanarak uygulamaya alınabilir.
  • Düzen ve netlik başarı için önemli koşullardan biridir. Kurumun tüm faaliyetleri analiz edilerek, stratejik amaç ve hedeflerden alt süreçlere kadar olan tüm bağlantılar süreç hiyerarşisi ile ortaya konulmalıdır. Süreç akış diyagramları ile işlerin nasıl yürüdüğü açık bir şekilde tanımlanmalıdır. Her bir sürecin bağlantılı ve ilgili olduğu süreçler tespit edilmeli ve birbirleri ile nasıl iletişim kuracakları belirlenerek, raporlama kanalları oluşturulmalıdır.
  • Süreçlere ilişkin uygulama prosedürlerinin olup olmadığı, ne kadar güncel oldukları ve doğrulukları değerlendirilmeli, söz konusu prosedürlere ilişkin eksiklikler tamamlanarak, gerekli güncelleme çalışmaları yapılmalıdır.
  • Kurum içinde kullanılan otomasyon sistemlerinden hangi verilerin üretilebildiği ve hangi verilere ihtiyaç duyulduğu tespit edilmeli, sistemler arasında hangi alanlarda veri iletişimi sağlanması gerektiği, bu verilerin kimlere hangi sıklıkla ulaştırılması gerektiği belirlenmelidir.
  • Tüm birimler ve tüm görevlere ilişkin detaylı görev tanımları oluşturularak tebliğ edilmelidir. Görev tanımları oluşturulurken, süreç analizi çalışmalarında ortaya çıkan tüm iş ve işlemlere görev tanımlarında yer verilmelidir.
  • Görev tanımlarında yer alan iş ve işlemlerle, görevlilerin yetki ve sorumlulukları arasında boşluk olup olmadığı tespit edilmelidir. Görevlere ilişkin yetkinlik analizleri yapılarak, boşlukların nasıl giderilebileceğine ilişkin bir aksiyon planı hazırlanmalıdır.
  • Süreçler üzerinde detaylı bir risk değerlendirme çalışması gerçekleştirilmeli, kurumun tüm yönetsel ve operasyonel süreçlerine ilişkin riskler tespit edilerek, analiz edilmeli; mevcut kontrol stratejileri değerlendirilerek gerekli görülen alanlar için risk iyileştirme eylemleri planlanmalıdır.

Yukarıda sayılan ‘’Nereden başlamalı?’’ adımları, kurumlarda sorunun kaynağı olan ‘’sistem’’ e ilişkin asgari ihtiyaçların karşılanabilmesi gerekli ön koşullardır. Bu çalışmalar, mevcut durumu ortaya koyarak, sistem ve alt sistemleri görünür hale getirecek, sorunlu alanları tespit edebilmek için önemli bir başlangıç olacaktır. Kurumda iç kontrol sistemine ilişkin güçlü bir temel atılarak, yönetsel yapının iyileştirilebilmesi için uygun zemin hazırlanmış olacaktır.

Gerçek şu ki; kurumlar için çözümü olan sorunlar, çözümsüz sorunlardan çok daha fazladır. Yeter ki doğru araç ve yöntemler, doğru zamanda kullanılsın. Çok geç olmadan.

Risk, en genel ifade ile iç ve dış çevrede meydana gelebilecek ve hedefe ulaşmamızı etkileyecek tüm koşulları, bir olayın beklenenden farklı olarak gerçekleşme durumunu, kayıp, hata ya da suiistimale neden olabilecek olayları ifade eder. Kurumda işleyen bir risk yönetimi sisteminin varlığı, iç kontrolün makul güvence sağlama fonksiyonu açısından son derece önemlidir. Risk iştahı çok yüksek bir yönetici bile, karar verirken ne kadar risk alacağını bilmek isteyecektir. Bu bilgiyi, yönetici için üretebilecek olan sistem risk yönetimi sistemidir. 

Diğer yandan, risk yönetimi oldukça kapsamlı ve teknik açıdan da derinliği olan bir konudur. Risk yönetiminin, yönetsel ve operasyonel karar ve süreçlere fayda sağlayacak bir araç haline getirilebilmesi özenli ve doğru planlanmış bir çalışma gerektirmektedir. Bu süreci mümkün olduğunca basitleştirebilmek için, öncelikle kurumun ihtiyaç duyduğu risk yönetimi modeline karar verilmeli, bir plan oluşturulmalı, kullanılacak yöntem ve teknikler aşama aşama belirlenmeli ve uygulamaya alınmalıdır. Devam eden süreçte, sürekli izleme, değerlendirme ve raporlama faaliyetleri ile risk yönetimine ilişkin kurumsal farkındalık artırılmalı ve risk yönetimi sistemi iyileştirilmeye çalışılmalıdır.

Risk yönetiminin, kurumda bir kültür haline gelmesi, risk odaklı bakış açısının kazanılması ile mümkündür. Ancak öncelikle risk yönetiminin ne olduğu, kuruma, yöneticilere, çalışanlara ve kurumun paydaşlarına nasıl katkı sağlayacağı doğru bir şekilde anlatılmalıdır. Bu, şüphesiz yorucu ve zaman alacak bir süreçtir. Ancak uzun vadede risk odaklı bakış açısı, her düzeydeki yönetici ve çalışanın kontrollere olan inancını, iyileştirme istediğini ve neticede kuruma olan katkısını artıracaktır.

Kurumlarda her gün rutin operasyonlar, yeni projeler, finansal işlemler, personel giriş-çıkışları, bodro işlemleri gibi yüzlerce karar ve bu kararlara dayalı faaliyetler gerçekleştirilmekte, bu karar ve faaliyetler esnasında görevler ayrılığı, uyum kontrolleri, bütçe kontrolleri, prosedürel kontroller gibi yine yüzlerce kontrol çalıştırılmaktadır. İşlerin akışı içine her şey normal seyrindeymiş gibi görünse de kişilerden, bölümlere, bölümlerden birimlere, birimlerden kurumlara doğru akan süreç düşünüldüğünde tüm bu karar ve faaliyetler ile kontrol mekanizmalarının birbirleri ile uyumlu ve en az hata sonucu ile çalışabilmesi son derece güç bir hal almaktadır. Kurum içi işlemleri birbiri ile uyumlu hale getirebilmek, sistemsel olarak kontrol ve denetim mekanizması kurabilmek ise iç kontrol ve risk yönetimi sistemleri ile mümkün olabilmektedir.

Risk değerlendirme çalışmalarına başlamadan önce, kurum genelinde risk yönetimi konusunda ortak bir dil oluşturulmalıdır. Bu nedenle başlangıçta, kurumun risk yönetimi felsefesini ortaya koyan bir risk yönetimi politika belgesi hazırlanmalıdır. Bu belge bütün süreci yönlendireceğinden kapsamlı bir şekilde hazırlanmalı, üst yönetici onayı ile yürürlüğe girmelidir. Risk politika belgesinde, kurumun riske bakış açısı, riskin tespiti, ölçülmesi ve riske cevap verme yöntemleri, izleme, raporlama ve değerlendirme metodu, yer almalıdır. Ayrıca, kurumda risk yönetiminin her bir aşamasında kimlerin hangi görev ile rol alacağı açıkça belirlenmelidir

Hazırlık aşamasında yapılması gereken bir diğer iş, riskin ölçülmesi ve önceliklendirilmesine yönelik kriterlerin belirlenmesidir. Bu aşama da, yine uygulayıcılar tarafından belirsizlik teşkil eden alanlardan biridir. Risklerin ölçümünde kurum genelinde ortak kriterlere ihtiyaç duyulmaktadır. Her bir riskin seviyesi, kurumun tüm yönetici ve çalışanları tarafından aynı ölçekle değerlendirilmeli, riskin önem seviyesi herkes tarafından aynı şekilde anlaşılabilmelidir. Risk seviyelerinin ölçülmesinde, etki ve olasılık ölçekleri kullanılmaktadır.

Etki ve olasılık ölçekleri hazırlanırken, kurumun bütçe büyüklüğü, faaliyetlerin niteliği, sayısı ve karmaşıklığı, tabi olduğu mevzuatlar, bilgi teknolojileri sisteminin yapısı, personel sayısı, kurumsal ilişkilerin boyutu gibi konular dikkate alınmalı, ölçekler kuruma özel ifadeler içerecek şekilde hazırlanmalıdır. Etki ve olasılık ölçeklerinde nicel ve nitel kriterler birlikte kullanılmalı, risklerin nicel ve nitel yöntemler bir arada değerlendirilerek ölçülmesi sağlanmalıdır. Ölçeklerde kullanılan ifadeler çeşitli risk kategorilerini kapsayacak şekilde tasarlanmalıdır. İtibar riskleri, finansal riskler, uyum riskleri, iş sürekliliği riskleri, operasyonel riskler, bilgi işlem riskleri, güvenlik riskleri, paydaşlarla olan ilişkiler ile ilgili riskler, kurumun özel yükümlülükleri ile ilgili riskler, iş sağlığı ve güvenliği ile ilgili riskler vb. ölçekler üzerinden seviyelendirilebilir olmalıdır.

Burada amaç, herhangi bir riskin kuruma etkisinin hangi seviyede olduğu ya da olacağı ve bu riskin kurumda hangi sıklıkla gerçekleştiği ya da gerçekleşeceği konusunda kurumsal risk politikası çerçevesinde ortak bir algı ile belirlenebilmesidir.

Etki ve olasılık seviyelerine 1 ile 5 arasında bir değer verilmelidir. 1 çok düşük seviyeyi, 5 çok yüksek seviyeyi ifade edecektir. Risk seviyesi etki ve olasılık değerinin çarpımı ile bulunacaktır. Örneğin, etkisi 3 olasılığı 2 olarak belirlenen bir riskin seviyesi (3x2) 6 olacaktır.

Peki tespit ederek tanımladığımız riskleri ve belirlediğimiz risk seviyelerini uygulamada nasıl kullanacağız? Bu aşamada kurumun risk iştahına göre belirlenmiş bir risk kontrol haritasına ihtiyacımız olacak. Risk Kontrol Matrisleri, tanımlamış tüm risklerin önceliklendirilmiş olarak ve özet halde raporlandığı grafiklerdir.

Risklerin etki ve olasılık değerlerinin çarpımı ile 25 farklı değer elde edilecektir. Örneğin, 3x3 değerinin orta seviye bir riski ifade ettiği açık iken, 1x 5 ya da 2x4 değerlerinin bizim için ifade ettiği önem seviyesi üzerinde bir karar verilmelidir. Bu değerlerden hangilerinin çok düşük, düşük, orta, yüksek ya da çok yüksek önemde olduğuna karar vermek için bir önceliklendirme yapılması gerekir. Riskler önem derecesine göre renklendirilmiş risk kontrol matrisleri üzerinde gösterilir.

Risk değerlendirme çalışmaları temelde beş aşamada gerçekleştirilir;

  1. Riskin tespiti
  2. Doğal risk seviyesinin ölçülmesi
  3. Mevcut kontrollerin belirlenmesi
  4. Kalıntı risk seviyesinin ölçülmesi
  5. Ek kontrollerin planlanması/uygulama alınması

Risklerin nasıl tespit edileceğine yönelik de bir karara sahip olmanız gerekir. Riskler operasyonel seviyeden stratejik seviyeye (aşağıdan-yukarıya) belirleneceği gibi stratejik seviyeden operasyonel seviyeye (yukarıdan- aşağıya) doğru da belirlenebilir. Çalışma yöntemi, birimler bazında, süreçler bazında veya faaliyetler bazında tercih edilebilir. Operasyonel risklerin detaylı olarak analizi için faaliyetler üzerinde çalışma yapmak faydalı olacaktır. Bu şekilde her bir faaliyetin her bir adımı dikkatlice gözden geçirilerek yaşanan ya da yaşanabilecek tüm riskli durumlar tanımlanabilecektir. Stratejik risklerin tespiti için ise, stratejik plan amaç ve hedeflerini doğrudan tehdit edebilecek riskler belirlenmelidir. Operasyonel risklerin, işi yapan görevliler ve faaliyetlerin koordinasyonu, yönetim ve gözetiminden sorumlu birim yöneticileri tarafından belirlenmesi en doğru yöntem iken, stratejik risklerin kurum üst yönetimi, birim yöneticileri, hatta dış paydaşların katılımının sağlanacağı bir çalışma ile belirlenmesi daha doğru olacaktır. Stratejik riskler, stratejik plan hazırlık aşamasında mutlaka belirlenmeli, yılda en az bir defa yapılacak izleme ve değerlendirme çalışmaları ile performans gerçekleşme durumları göz önünde bulundurularak revize edilmelidir.

Risklerin yönetimine ilişkin temel rehber dokuman ve araçlar belirlendikten ve uygulama yöntemleri kurum çalışanları ile paylaşıldıktan sonra risk değerlendirme çalışmalarına başlanılabilir. Risk değerlendirme çalışmalarında amaç, işin yapısı gereği var olan riskleri faaliyetler düzeyinde tespit etmek, mevcut durumu analiz ederek kontrollerin riskler üzerindeki önleyici, düzetici ve tespit edici etkilerini belirlemek; mevcut kontrollerin yeterli olup olmadığını değerlendirerek, kalıntı risk seviyesini belirmek ve gerekli durumlarda (kalıntı riskin kurum risk iştahının üzerinde olduğu durumda) riskleri iyileştirmeye yönelik ek kontrolleri planlayarak; kurumu, yasal, operasyonel, finansal açıdan güvence altına almaktadır.

Etkin bir risk yönetimi sistemine sahip olabilmenin temel kuralı, doğru bir izleme, değerlendirme ve raporlama sistemine sahip olmaktır. Risk ve kontrollere ilişkin doğru, zamanında ve güvenilir raporlar üretemediğinizde yapılan çalışmaların değeri çok az olacaktır. Bunun için; risk değerlendirme çalışmaları sırasında üretilen tüm çıktılar raporlanabilir şekilde kayıt altına alınmalıdır. Her bir risk için bir sayı verilerek risk envanteri hazırlanmalıdır. Mevcut kontrol faaliyetleri ve planlanan kontrol faaliyetleri risklerle ilişkilendirilerek hiyerarşik olarak numaralandırılmalı ve risk envanterine kayıt edilmelidir. Risk kontrol matrisleri;  sadece kurumsal düzeyde değil, birimler ve faaliyetler düzeyinde de oluşturulmalıdır. Bu şekilde, raporlama sistemi, risk yönetimi sorumluluğu gözetilerek çalışıyor olacaktır. Stratejik riskler ayrı risk kontrol matrisinde takip edilmeli, kurumsal amaç ve hedeflerdeki sapmalar, risk yönetimi sistemi ile ilişkilendirilmeli, tespit edilen yeni riskler ve/veya ihtiyaç duyulan ek kontroller planlanmalı ve raporlara dahil edilmelidir.

Risk değerlendirme çalışmalarının kendi içinde barındırdığı en büyük risk ise tüm aşamaların manuel olarak yürütülmeye çalışılmasıdır. Kurumlar bu aşamada binlerce risk ve kontrol verisi üretmektedir. Tüm bu verilerin doğruluğunu, kurumsal risk yönetimi politikalarına uygunluğunu, güncelliğini manuel yöntemler ile sağlamak mümkün değildir. Risk yönetimi yaşayan bir sistemdir, böyle olması gerekir. Sürekli olarak değişen koşullardan veri çekerek kendini güncelleyebilmelidir. Operasyonlar sırasında meydana gelen riskler, risk envanterlerine eklenmeli ve gerekli kontroller anında planlanabilmelidir. Uygulamaya alınan yeni kontrollerin risk seviyeleri üzerindeki değişim etkisi anında raporlara kayıt edilebilmelidir. Üst yöneticiler, iç denetçiler, birim yöneticileri, risk izleme komiteleri-kurulları periyodik olarak riskler hakkında bilgilendirilmeli ve ihtiyaç duyduklarında, anlık olarak risk yönetimi raporlarına ulaşılabilmelidirler. Dış denetimler sırasında ihtiyaç duyulan raporlar hızlı ve güvenli şekilde temin edilebilmelidir.

Günümüz dünyasında bilgi, tüm kurumlar için en önemli değerdir. Bilgi miktarı sürekli olarak artarken bilgiye erişim hızının kısıtlı kalması önemli yönetsel sorunlara sebep olmaktadır. Kurumsal verilerin anlamlı bir bütün oluşturacak şekilde toplanması ve yönetsel karar ve faaliyetler aracılığı ile tekrar ve hızlıca uygulamaya döndürülmesi gerekmektedir. Hangi verinin daha önemli, katma değerinin daha yüksek olduğu, hangi verinin hatalı üretilmesi halinde daha büyük kayıplara sebep olabileceği, hangi verinin hangi alanda kullanılması gerektiği, kime, ne zaman, ne sıklıkla ulaştırılması gerektiği vb. kurumlar için stratejik kararlardır. Bu stratejik kararların mantıksal yöntemler, kurumsal hafızaya dayanan tecrübeler ile verilebilmesini sağlayacak en önemli araç risk yönetimi sistemidir.

Her düzeydeki örgüt için kısa ve uzun vadede kazanım sağlayacak öncelikli yatırım; iç kontrol, risk yönetimi ve iç denetim alanlarına yapılacak yatırım olacaktır. Bu üç konu, kurumların diğer tüm yatırımları ve ilerleyen dönemlerde gerçekleştirecekleri yatırım kararları üzerinde sağlayacakları güvence ile artarak artan şekilde katma değer yaratacaktır.