Risk Yönetimi Nedir?

Risk yönetimi, günlük hayatımızda sıkça karşımıza çıkan ve sadece işletmelerin konusu olan bir durum değildir. Kişisel bazdan şirket bazına, tüm içinde bulunduğumuz organizasyonlardan devletlere kadar herkes, risk faktörü ile iç içe yaşamaktadır. Risk, gelecekte gerçekleşme ihtimali olan ve kendimizin veya kurumumuzun faaliyetlerini etkileme ihtimaline sahip iç ve dış çevre faktörlerinin gerçekleştiği sürecin ismidir. Risk geçmişe dair değil, geleceğe dair bir kavramdır. Gelecekteki olayların, stratejilerimizi, hedeflerimizi ve iş yapış şekillerimizi etkileme ihtimaline verilen isimdir. Bu şekilde baktığımız zaman hayatımız boyunca risk ile karşı karşıya olduğumuzun farkına varmalıyız. Hiç kimse iş hayatında ya da özel hayatında, bir gün hatta bir dakika sonrasında bile neyle karşılaşacağını bilemez. Dolayısıyla riski doğuran nokta belirsizlik kavramıdır. 

Bir riskin kapsamı şu şekilde ifade edilebilir:

Risk = Olasılık x Önem

Olasılık, bir olayın meydana gelme ihtimalidir ve ciddiyet, ortaya çıkan kaybın kapsamı ve maliyetidir.

Genel olarak, riskler iki kategoriye ayrılabilir:

  • Saf Risk: Olası sonuçların kayıp olduğu veya hiç olmadığı risklere denir. Yangın kaybı, soyulan bina, bir çalışanın motorlu taşıt kazasına karışması vb. gibi olayları içerir.
  • Spekülatif Risk: Olası sonuçların bir zarar, kâr veya statüko olduğu risklere denir. Borsa yatırımları ve yeni ürün serileri, yeni lokasyonlar vb. gibi iş kararları noktalarını içerir.

 

İpucu

Kurumsal Risk Yönetimi Danışmanlığı yaklaşımımızı, danışmanlık sürecimizin detayları ve bu hizmetimizin püf noktalarının açıklandığı Kurumsal Risk Yönetimi Danışmanlığı sayfamız ilginizi çekecektir.

 

“Risk, güçsüz olduğunuz bir şeyi kontrol etmeye çalışmaktır.” 

Eric Clapton

Hem kişiler, hem kurumlar, hem de ülkeler olarak gelecekte neyin yaşanacağını bilmediğimiz için, bizler risk diye bir kavram tanımlarız ve bu şekilde bu işi yönetilebilir hale getirmeye çalışırız. Buradan da risk yönetimi kavramı doğar. Risk yönetimi, gelecekte karşılaşabileceğimiz ve hayatımızı, kurumumuzun işleyişini ve stratejilerimizi etkileme potansiyeline sahip davranış veya aksiyonları, bu günden planlanarak yönetilebilir hale getirme sürecine verilen isimdir. Dolayısıyla risk yönetimi, çok önemli bir kavramdır. Aslında kişisel hayatımızda da hiç farkında olmadan çok ciddi risk yönetimleri yaptığımızın farkında olmalıyız. Örneğin, yarın bir seyahate çıkacağız. Bu kapsamda yaptığımız ilk aksiyonlardan biri, havanın yağmurlu olup olmadığını görmek için internetten hava durumunu kontrol etmektir. Bu, risk yönetimini yapabilmenin bir parçasıdır. Eğer havanın yağmurlu olma ihtimali varsa üzerimize ona göre kıyafet alacağız ve mekanımızı ona göre seçeceğizdir. Aksi durumlarda da riskin gerçekleşme ihtimalini hesaplayıp belli aksiyonlar almak durumundayız. 

Özetle, risk yönetimi, riskin bir organizasyon üzerindeki olumsuz etkilerini en aza indirecek kararlar alma ve uygulama sürecidir. Riskin olumsuz etkileri, sigorta primleri ve hasar maliyetleri gibi nesnel, ölçülebilir veya sübjektif olabilir. İtibarın zedelenmesi veya üretkenliğin azalması gibi konularda da ölçülmesi zorlaşabilir. Bir işletme odaklanarak riski kontrol eder ve azaltmak için gerekli kaynakları taahhüt ederse kendini belirsizlikten korur, maliyetlerini düşürür ve iş sürekliliği ve başarı olasılığını artırır.

Kurumsal Risk Yönetimi Nedir?

Kurumsal risk yönetimi aslında risk yönetimi kavramının alt başlığıdır. Adından da belli olduğu üzere,  şirketlerin, firmaların vb. kuruluşların, bünyesinde gerçekleşecek riskleri yönetme sürecine verdikleri isimdir. Her bir kurumun organizasyonu vardır ve bu organizasyonun içerisinde farklı departmanları vardır. Kurumsal risk yönetimi kavramı, bu farklı departmanların hepsine üstten bir bakışla ele alınmasına verilen addır. Örneklemek gerekirse, satın alma departmanı kendi risk değerlendirmesini yapabilir ve kendi risk gördüğü faktörleri yönetmek ile ilgili aksiyonlar planlayabilir. Finans departmanı, tedarikçi firmadan satın alınacak belli finansal metriklerini çok ciddi bir risk olarak tanımlayabilirken satın alma departmanı bu faktörü risk olarak tanımlamayabilir. Sadece satın alma departmanı olarak olaya bakarsak eğer kurumsal bir risk değerlendirmesi yapmış olmayız çünkü işin bir de satın alma departmanının hâkim olmadığı finansal boyutu olabilir. Dolayısıyla bütün bu riskleri, üst yönetim bazında, yani kurumun genel işleyişi ve üstten bakışı anlamında yönetebilmek için kurumsal risk yönetimi tanımı ortaya çıkmıştır. 

“Yaşadığımız her an önümüzde iki seçenek vardır; gelişime doğru bir adım atmak ya da güvende hissetmek için bir adım geri kalmak.”

Abraham Maslow

Kurumsal risk yönetimi kavramının uygulamasının yerleşmesi ve şirketlerde devreye girmesi çok eskiye dayanmamaktadır. Türkiye'nin önemli şirketlerinde ve holdinglerinde bile bu kavramın 2000'li yılların ortasından itibaren devreye girdiğini ve bununla ilgili organizasyonel yapıların 2010'lu yıllarda oluşturulmaya başlandığını söyleyebiliriz. Mazisi bir 10 yıl kadar olan ama geçmişten bugüne kadar hayatımızda yer alan ve teknoloji ve verinin anlam kazanmasıyla beraber daha da hayatımızın içine giren  olmazsa olmaz bir süreç haline gelmiştir. Her şeyden önce kurumsal risk yönetimi bir süreçtir. Bunu tespit etmek lazımdır çünkü kurumsal risk yönetimi bir seferlik yapılıp biten bir iş değildir. Farklı kişiler, departmanlar, stratejiler ve iş yapış şekilleri gibi süreç adımlarının yer aldığı, tam olarak net bir zaman takvimi olmayan, şirket veya kurum yaşadıkça devam eden ve sürekli iyileştirmeye tabi olan bir kavramdır. Kurumsal risk yönetimi ile iç denetimi de aynı cümle içerisinde kullanabiliriz. Bu iki kavram aslında birbirinin tamamlayıcısıdır. Kurumsal risk yönetimi geleceğe, iç denetim ise geçmişe bakar. İkisi, aynı noktada durup yüzünüzü bir tarafta geleceğe çevirmek, diğer tarafta ise geçmişe doğru çevirmektir. Her ikisinde de analiz, kontrol ve denetim fonksiyonları vardır. İç denetimde geçmiş verileri değerlendirip analiz edersiniz ve daha sonrasında şirketin veya kurumun işleyişinde bir problem olup olmadığını, açıkları ve yaşanan olumsuzlukları geçmiş yüküyle beraber ele alırsınız. Kurumsal risk yönetiminde durum farklıdır. Burada tamamen gelecekteki olaylara odaklanırsınız. Bir şirketin stratejileri ve misyonu doğrultusunda;
-Gelecekte bu strateji ve misyona zarar verme, sekteye uğratma, olumsuzluklar yaşatma ihtimali olan iç veya dış çevre faktörlerini bugünden analiz eder,
-Planlar,
-Planladığınız ve analiz ettiğiniz olguların etki ve olasılık kavramlarını irdeleyerek önceliklendirme ortaya çıkartır
ve
-Önceliklendirmeye göre her bir durum gerçekleştiği takdirde almanız gereken aksiyonların neler olduğunu bugünden planlarsınız. 

Günümüzde bazı kurumlar, bunun adına kurumsal risk yönetimi demeseler de, şirketleri adına daha sağlıklı bir gelecek için birçok önlem politikası izlemektedir. Örneğin, aile şirketi kavramı Türkiye’deki şirketlerin %99'unu oluşturmaktadır. Günümüzde aile şirketlerinde çok sıklıkla yaşanan önemli taleplerden biri de; aile şirketi anayasası hizmetidir. Baktığınız zaman bu bir ailenin ve kurumun da içinde barındığı, riski yönetme mekanizmasının dışa vurulmasıdır. Aile anayasası hazırlamaktaki amaç, şu anda var olan aile üyelerinin kendi aralarında yaşanabilecek sorunlarını şimdiden öngörüp, bunlara bir çözüm arayarak şimdiden planlamaktır. Daha sonrasında şahıslar, gelecekteki riskleri yönetmek için bunu imza altına alıp yazılı hale getirerek süreci tanımlar. Bu sayede olası negatif durumlardaki alınacak aksiyonları bugünden planlamış olurlar. Dolayısıyla baktığınız zaman çoğu kişinin farkında olmadan aldığı bir hizmet olan aile şirketi anayasası danışmanlığı, kurumsal risk yönetiminin alt bir hizmetidir. Bu örnekten hareket edersek kurumsal risk yönetimi gelecekteki yaşanacak olumsuzlukların önüne geçmek için kurgulanmış bir yönetim metodolojisidir.  Bu kapsamda Albert Solino olarak yönetim danışmanlığı başlığı altında kurumsal risk danışmanlığı vermekteyiz.

“Önce kuralları tam bir profesyonel gibi öğrenin. Sonra onları bir sanatçı gibi kırın.” 

Pablo Picasso

 

Kurumsal Risk Yönetimi Nedir?

Her işletme, şirketin zararına olabilecek veya kalıcı olarak kapanmasına neden olabilecek beklenmedik, tehlikeli olaylar riskiyle karşı karşıyadır. Risk yönetimi, kuruluşların riskleri ve ekstra maliyetleri gerçekleşmeden önce en aza indirerek beklenmedik durumlara hazırlanmaya çalışmasına olanak tanıyan bir sistemdir.

Bir kuruluş, kurumsal risk yönetim planı uygulayarak ve çeşitli potansiyel riskleri veya olayları oluşmadan önce fark ederek tasarruf edebilir ve geleceğini koruyabilir. Bunun nedeni, sağlam bir kurumsal risk yönetim planının, bir şirketin olası tehditlerden kaçınmak, ortaya çıktıklarında etkilerini en aza indirmek ve sonuçlarla başa çıkmak için prosedürler oluşturmasına yardımcı olmasıdır.

Riski anlama ve kontrol etme yeteneği, kuruluşların iş kararlarında daha emin olmalarını sağlar. Ayrıca, özellikle risk yönetimine odaklanan güçlü kurumsal yönetim ilkeleri, bir şirketin hedeflerine ulaşmasına yardımcı olabilir.

Risk Yönetimi Görev Yetki ve Sorumluluklar

Risk yönetimi, işletmelerin iş ortamında mevcut riskleri tanımlamasına, değerlendirmesine, izlemesine ve azaltmasına yardımcı olan önemli bir iş uygulamasıdır ve her büyüklükteki işletme tarafından uygulanmaktadır. İşletmeler büyüdükçe istikrarı sağlamak ister. İşletmeyi etkileyen riskleri yönetmek, bu istikrarın kritik bir parçasıdır. İşletmeyi etkileyebilecek risklerin bilinmemesi organizasyon için kayıplara neden olabilir. Rekabetçi bir riskin farkında olmamak, pazar payı kaybına; finansal bir riskin farkında olmamak finansal kayıplara ve bir güvenlik riskinin farkında olmamak ise kazaya neden olabilir. Risk yönetimi alanında çalışan kişiler, kurumu ve çevresini izler. Organizasyon içinde takip edilen iş süreçlerine ve organizasyonu bir şekilde etkileyebilecek dış faktörlere bakarlar. Riski tahmin edebilen bir işletme her zaman avantajlı olur. Finansal bir riski tahmin edebilen bir işletme, yatırımlarını sınırlayacak ve finansmanını güçlendirmeye odaklanacaktır. Bir emniyet riskinin etkisini değerlendirebilen bir işletme, büyük bir rekabet avantajına sahip olabilecek ve güvenli bir çalışma yöntemi tasarlayabilecektir. İş dünyasını bir hipodrom olarak düşünürsek, buradaki riskler parkurdaki çukurlardır. Risk yönetimi, tüm çukurları belirleme, ne kadar zarar verici olabileceklerini anlamak için derinliklerini değerlendirme ve ardından da zararları önlemek için strateji hazırlama sürecidir. Küçük bir çukur, işletmenin yavaşlamasına neden olabilirken büyük bir çukur, işletmenin bundan tamamen kaçınmasını gerektirecektir. Bir riskin ciddiyetini ve risk olasılığını bilmek, işletmelerin kaynaklarını etkili bir şekilde tahsis etmelerine yardımcı olur. İşletmeler kendilerini etkileyen riskleri anlarsa, hangi risklerin en çok dikkat ve kaynak gerektirdiğini ve işletmenin hangilerini göz ardı edebileceğini bilecektir. Risk yönetimi, işletmelerin herhangi bir büyük hasar meydana gelmeden önce güvenlik açıklarını azaltmak için proaktif olarak hareket etmesine olanak tanır. Farklı risk türleri için farklı risk yönetimi stratejileri ve çözümleri vardır.

Peki, şirket yöneticisinin bulunduğu noktada kendisine sorması gereken soru nedir? Bu sorunun cevabı şirketin ölçeğine göre değişmektedir. Burada 10, 100 ve 1000 çalışanı olan şirket aynı cevabı vermemelidir. Temel kavramlar ve çıkış noktaları aynıdır fakat hızlı balığın yavaş balığı yuttuğu günümüz dünyasında şirketlerin ait olmadığı dünyaların kavramlarına hapsolmaması gerekir. Bu soruda 100 Milyon TL ciro yapan ve 500 bin veya üstü çalışana sahip olan uluslararası firmaları aynı kefeye koyabiliriz. Orta büyüklükte diyebileceğimiz 60-70 çalışan barındıran, 30-40 Milyon TL'den 200-300 Milyon TL'ye kadar cirosu olan firmaları da aynı kefeye koyabiliriz. Bir de daha gelişmekte olan, şirket hayatlarının başında olan, yaptıkları iş icabı niş olup daha ufak kadrolarla, daha belirli alanlarda ve daha az ciro sağlayan fakat kârlı iş yapan firmaları üçüncü kategori olarak değerlendirmeliyiz. Her üç firma da risk ve kurumsal risk kavramını hayatında barındırmalıdır fakat her üçünün de bu işe yaklaşımı farklı olmalıdır. Örneğin, 20 çalışanı olan bir firmaya "Yönetim kurulunuz, yönetim kurulunuzun içinde belli komiteleriniz, riskin erken teşhisini yapacak komiteniz, bağımsız üyeniz ve kurumsal risk departmanınızın olması gerekiyor." gibi bir öğüt verilmeye kalkılırsa ve bunlar doğrultusunda aksiyon alınmaya çalışılırsa o şirket batar. Bu şirket şu an temel fonksiyonlarını yerine getirmekle yükümlüdür, yani çalışanları istihdam etmeli ve bunlardan büyüme kapısını açmalıdır.

 

“Felaket başa gelmeden önce önleyici ve koruyucu tedbirleri düşünmek lazımdır, geldikten sonra dövünmenin bir yararı yoktur.”

Atatürk

 

"Kurumsal risk kavramı firmanın ve organizasyonunun içinde olmamalıdır." algısı yanlıştır. Küçük ölçekli veya niş ölçekli gelişmekte olan firmalar kategorilerini ele alalım. Bu yapılarda, satış ve muhasebe gibi departmanların yer aldığı ve kişilerin en fazla bulunduğu yapıların ve sadece para kazanılan operasyonun icra edildiğini düşünelim. Bu yapılarda riski yönetecek olan kişi ister istemez şirket sahibi ve patrondur. Organizasyonda ne yapılması gerektiği konusunda doğrudan patronlara yönelmek gerekir. Burada en akıllıca çözüm, riskin analiz edilmesine dönük bir hamle olur. Her şeyden önce "Ölçemediğiniz şeyi yönetemezsiniz." diye bir kavram vardır. Yani bilmediğiniz, ölçemediğiniz ve tanımlayamadığınız bir olguyu yönetmeniz söz konusu dahi olamaz. Dolayısıyla bu firmanın patronları, hissedarları ve sahipleri ilk önce riski analiz etmekle yükümlüdür. Bu konuda da şirketlerin yapı itibariyle ufak olduklarından dolayı organizasyonda bir departman kurmaları çok olası olmayabilir ve bunu dış hizmet olarak almaları akılcı bir çözümdür. İlk aşamada analiz etmek ve analize göre belli önlemleri tartışmak, hissedarın veya patronun yapacağı bir hamle olmalıdır. Bu noktada da şirket adına bu iş ile ilgilenen kişinin, organizasyonu dış kaynak kullanarak tamamlaması ve risk envanteri ve risk analizi çalışması yaptırması onun için akıllıca bir çözüm olur. 

Orta ölçekli firmalara gelecek olursak, burada durumlar değişmeye başlar çünkü orta ölçekli firmalar artık işini oturtmuş, para kazanma seviyesine gelmiş ve ciddi bir organizasyon yapısına bürünmüştür. Buna bağlı olarak bu firmaların artık belli yeni atılımları yapabilme, yeni yönetim metodolojilerini bünyesine katabilme, bunları araştırma imkânları ve olanakları vardır. Hatta kaçınılmaz olarak bunları yapma zorunlulukları vardır diyebiliriz çünkü belli bir süre sonra onları yapmadıkları takdirde orta büyüklükten ya aşağıya düşme ya da orta gelir tuzağı diye adlandırılan tuzağa düşerek aslında yerinde saymaya devam etme şeklinde bir risk onları bekler. Bu firmaların yapması gereken eylem risk analizi ve risk yol haritası çalışmasıdır. Sonrasında, ortaya çıkabilecek risk algısına karşı çözüm projelerini yapıp (belli bir önceliklendirmeye tabi tutmak kaydıyla), dış hizmet kullanarak ya da iç kaynaklardan yararlanarak kurumsal risk yönetimi departmanı oluşturmak gerekir.

Kurumsal risk yönetimi departmanı ne yapar sorusuna birçok cevap verilebilir ama özellikle orta ölçekli firmalarda şu cevabı vermek akıllıca olabilir; bir iş sahiplenilmezse o işin başarı ile sonuca ulaşmasını beklemek yanlış olur. Dolayısıyla kurumsal risk kavramını sahiplenecek biri veya birilerine ihtiyaç vardır ve en temel ihtiyacın ortaya çıkış noktası bu orta ölçekli firmalarda kurumsal risk kavramı çatısı altındadır. Çok kalabalık bir departman olmasa da, organizasyonda mutlaka doğrudan yönetim kuruluna (varsa) bağlı bir yapı olmalıdır. Yönetim kurulunun olmadığı yapılar pek ideal olmaz ama en kötü şartta doğrudan genel müdüre bağlı bir kurumsal risk yönetimi departmanı olmalıdır. Orta ölçekli firmaların, organizasyonlarında bunu hayata geçirmesi gerekir. "Böyle bir departman oluşturulmak kaydıyla biz bunu idari işlere, insan kaynaklarına yada mali işlere bağlayalım." düşüncesi de yanlıştır. Özellikle mali işlerle yürütmek çok sık düşülen bir hatadır. Kurumsal riskin sadece finansal riskten kaynaklandığı düşünülmektedir fakat bu yanlış bir algıdır. Bazen de üretim veya fabrika direktörlüğü gibi direktörlüklere bağlanan kurumsal yönetim departmanları ve uzmanları ismi ile adlandırılan organizasyonel yapılar kurulmaktadır. Bu da yanlış bir hamle olur çünkü böyle olguların olduğu durumlarda riskin kalite, sistem ve üretim operasyonu odaklı yapıldığından bahsedebiliriz. Kurumsal risk yönetimini hakkıyla yapabilmek için bütün departmanların üstü gibi tanımlanabilecek, doğrudan yönetim kuruluna hesap verecek bir yapı meydana getirmek gerekir. 

Bir diğer konu ise üst ölçekli yani büyük firmalar diye tanımlayabileceğimiz; uluslararası firmalar, holdingler, ciddi çalışan sayısına ve cirolara sahip, ciddi organizasyon büyüklüğüne ulaşmış yapılardır. Bu yapıların bir kısmında, kurumsal risk ve kurumsal yönetim kavramlarının içerisinde kurumsal risk yönetimi zorunlu hale gelen yapılar vardır. Örneğin, halka açık, STK mevzuatına tabi firmalarda böyle zorunluluklar vardır. Bu firmaları bir kenara koyacak olursak kurumsal risk yönetimi, böyle bir zorunluluğa tabi olmadan da yapılması gereken bir sorumluluktur. Bunlardan birincisi kurumsal risk yönetimi departmanını mutlaka sürdürülebilir şekilde kurmaktır. Bu departmanın işleyen bir yönetim kurulu ve icra kurulu yapılarına sahip olması gerekir ve yönetim kurulu yapılarının içerisinde de komitelerin kurulmuş olması gerekir. Buradaki risk konusunu ilgilendiren en önemli komite, riskin erken tespiti ve önlenmesi komitesidir. Bu komitenin hem Türkiye'de, hem de diğer ülkelerde kabul görmüş olan kurumsal yönetimin risk yönetimi ile ayrılmaz bir parça olduğunun bilincinde olunması gerekir. Bu yapıdaki firmalarda bazen, riskin tespit edilebilmesi için  iş körlüğü kavramı meydana gelebilmektedir. Eğer bir şirkette uzunca yıllardır çalışıyorsanız, farklı departmanlarda çalışmış bile olsanız ister istemez bazı risklere aşina hale gelip onların önemini anlayamayabilir ve doğru değerlendirememe riski ile karşılaşabilirsiniz. Dolayısıyla, bu riski bertaraf etmek için en akılcı çözüm bağımsız yönetim kurulu üyelik sistemini şirkete işlemektir. Şirketin kendi profesyonel çalışanı veya doğrudan bir iş-çıkar ilişkisi olmayan sektör veya sektör dışı belli bir uzmanlığa sahip insanların bağımsız yönetim kurulu üyesi olarak tahvil edilmesi ve bu üyelerin de riskin erken tespiti ve önlenmesi komitesinin içerisinde yer alması, hatta mümkünse başkanlığını yapması en önerilen çözümlerden bir tanesidir.

Organizasyonel anlamda büyük firmalarda kurumsal riski ilgilendirecek yan departmanlar da olacaktır. Bunlardan biri iç denetim departmanıdır çünkü iç denetim departmanının yayınladığı iç denetim raporu çalışmalarında geçmişte yapılan hataların tespit edilmesi ve gelecekteki riskinin bir öneri manasında yazılması söz konusudur. Dolayısıyla büyük firmalarda iç denetim ve kurumsal risk yönetimi departmanının organizasyonda beraber çalıştığını ve doğrudan yönetim kuruluna bağlı olduğunu görmek ve böyle uygulandığından emin olmak gerekir.

Risk Türleri Nedir?

İşletmeler, ciddi kâr kaybına ve iflasa neden olabilecek her türlü riskle karşı karşıyadır. Tüm büyük şirketler kapsamlı "risk yönetimi" departmanlarına sahipken, küçük işletmeler konuya bu kadar sistematik bir şekilde bakmama eğilimindedir. Baktığımız zaman kurumsal risk kavramı şirketlerin bütün hayatını etkileyen ve her attıkları adımda karşılarına çıkan bir olgudur. Kurumsal risk her yerde var olduğu için bunu anlayabilmek ve içselleştirmek adına biraz daha yapısal bir şekilde ele almak gerekir. Riskler 4 başlıkta incelenir;

  1. Stratejik risklefr 
  2. Finansal riskler
  3. Dış çevre riskleri
  4. Operasyonel riskler

Stratejik Riskler

Şirketlerin her faaliyetinin başladığı yer stratejidir. Başarılı bir işletmenin kapsamlı, iyi düşünülmüş bir iş planına ihtiyacı olduğunu herkes bilir. Aynı zamanda değişim hayatın bir gerçeğidir ve en iyi hazırlanmış planlarınız bile bazen çok hızlı bir şekilde modası geçmiş görünebilir. Değişime ayak uyduramamak stratejik bir risktir. Bu, şirketinizin stratejisinin daha az etkili hale gelmesi ve bunun sonucunda şirketinizin hedeflerine ulaşmakta zorlanması riskidir. Bunun nedeni teknolojik değişiklikler, pazara giren güçlü yeni bir rakip, müşteri talebindeki değişiklikler, ham madde maliyetlerindeki artışlar veya diğer büyük ölçekli değişiklikler olabilir.

Şirketler adını koysa da koymasa da, bir strateji, vizyon ve bu vizyonu gerçekleştirmek için bir misyonla doğar. Bir iş kurulduğu zaman gelecekte nereye ulaşmak istediğine dair bir hayal ve hedefi olur. Şirketin bu hedefe ulaşması için neler yapması gerektiğine dair ilk dönem teorileri, yani misyonu vardır. Dolayısıyla bunlarla doğan bir şirket, yol boyunca güncellediği strateji yolculuğunda koca bir risk ile karşı karşıyadır. Bu stratejiler; hedeflerin gerçekleşmeme, az veya çok gerçekleşme, bu hedefler ile alakalı hedeflerin yanlış konulmuş olma ve şirketi bambaşka yöne getirme gibi birçok riski içerir. Baktığımız zaman bütün bunlar risk kavramının içerisindedir. Bu noktada stratejiyi ilgilendiren, sadece hedeflerle alakalı riskler değildir. Strateji demek, şirketin kurucularının, sahiplerinin, hissedarlarının veya üst yönetimin gitmek istedikleri yeri ve rotayı belirledikleri bir süreç ve sürekli aktif olan bir süredir.

 

“Tedbir daima bilgeliğin aracıdır.”

Patrick Rothfuss

Günümüz dünyasında  stratejiler sürekli değişmektedir. Örneğin, aralık ayında şirketlerin konuştuğu ve 2021'e dair belirttikleri stratejiler ve 3-4 ay sonrasında yapılan ve konuşulan işlerin ne olduğuna bakmak gerekir. Dolayısıyla stratejiler gerçekten çok ciddi risklere gebedir. Stratejiler sadece yazılı bazda belli sözcükleri içermez. Uygulamada olan stratejiler, yani şirketlerin iş yapış biçimlerinin stratejileri, finansa, satışa veya müşteriye dönük stratejileri ve dahası da bu kavramın altına girmektedir. İç kontrolde olan yani şirketin kendi içinde belirlediği hedeflerin, iç veya dış faktörler ile değişme riski vardır. Bu faktör, stratejik riskler olarak ele alınmalıdır. Bir risk yapacağı etki ve olasılığı ile ölçülür. Stratejik risklerin de etki katsayısı ister istemez belirli bir rakamın üzerinden başlar. Bir başka deyişle patronun hayatını en çok etkileme ihtimali olan riskler bu grupta yer alır.

Finansal Riskler

Finansal risk kavramı firmalara diğer geri kalan 3 ana risk başlığından daha yakın gelen bir başlıktır çünkü finansla uğraşmayı, yani şirketi ayakta tutan para konusu ile uğraşmayı gerektirir. Bugün baktığınız zaman aslında köşe başındaki bakkal bile finansal risk yönetimi yapıyor. Nasıl yapıyor? Yazılımlar mı kullanıyor? Hayır. Departman mı kurmuş? Hayır. Bağımsız yönetim kurulu üyesi mi almış? Hayır. Bakkal en basitinden bir peynir alıyor ve o alacağı peynirin ödeme vadesini hesaplıyor, müşteriye satacağı fiyatı belirliyor ve aradaki iyi-kötü uyumsuzluğu görüp, duruma göre üzerine bunu kompas edecek kar marjı koyuyor ya da peyniri gerçekten bu vadeye uyumlu satan tedarikçiden alıyor. Bu örnekte finansal risk yönetimi yapılmaktadır. Kurumsallaşmış şirket ölçeğinde örnek verecek olursak, birçok firmada sıcak gündem olan kur konuları bulunur ve ister istemez firmalar döviz ile iş yapmaktadır. Bunun çeşitli sebepleri vardır. Örneğin, X firması ithalatçı olarak Türkiye'de ürün satıyor ve doğrudan döviz ile ithalat yapıyor ama günün sonunda TL olarak satıyor. Y firması ise, imalatçı ve yurt dışı ağırlıklı satış yapıyor ama ürünlerinin bir kısmı ithal geliyor veya ithalatı dolarla yapıyor. Sattığı ürünü Avrupa ülkeleri avroyla alıyor ve dolayısıyla orada da bir kur farkı oluşuyor. Günümüzde de artık hem Türkiye özelinde, hem dünya genelinde döviz dediğimiz kavram çok yüksek dalgalarda hareket etmekte ve bu da riski artırmaktadır. Türkiye'nin 2001 yılında yaşadığı yoğun döviz odaklı krizden sonra şirketler, finansal risk kavramına biraz daha aşina oldu ve bunu yönetmeye başladı. Finansal risk kavramı ilk başlarda finansal departmanların içerisinde yönetilmeye başlandı. Şirketler finansal risk konusuna döviz riski olarak başladılar ama kurumsal risk yönetimi sadece bu kavramdan ibaret değildir. 

Peki, kurumsal risk yönetimine eşlik eden kavramlar nedir? Finansal risk kavramının bir alt başlığı, döviz riskini yönetebilmektir. Bir diğer başlık ise net işletme sermayesini işletmektir. Yani şahıs, işini yaparken işletme sermayesi olarak elindeki parayı doğru harcayabiliyor mu harcayamıyor mu sorularının analizidir. Net işletme sermayesi, herhangi bir işi çevirmek için kasanın içinde duran ve günlük operasyonu yönetmek için aldım-sattım ve ürettim-sattım kavramları adına kullanılan maddi değerin büyüklüğüdür. O işin yürümesi için kasada, herhangi bir günde olması gereken paradır. 

Bunu nasıl doğru yönetebiliriz ve bunun riskleri nedir? Diyelim ki; bakkalın karşısına yeni bir iş merkezi yapıldı ve iş merkezine bir anda 5000 kişi geldi ve çalışmaya başladı. Bakkal fırsatı gördü ve öğle aralarında bu 5000 çalışana satmak için sandviç yapmaya başladı fakat 5000 kişinin 1000 kişisi öğlen bir anda geldi. 1000 kişinin sandviçi için harcayacağı işletme sermayesi, yani bulundurması gereken para, onun daha önceki aylarda yaptığı cirosundan daha fazla olabilir. Öyle bir para kasasında olmayabilir çünkü kazandığı parayı evini geçindirmek için kullanabilir. Dolayısıyla bir anda 30 kişinin talebini gördüğü halde işini gerçekleştiremeyecektir. Bu durumu önceden öngörebilmek gerekir. Şirketlere döndüğümüzde yeni bir müşteri peşinde koşulduğunu düşünelim. Bazı müşteriler geldiği zaman büyük bir işletme sermayesi ihtiyacı doğurabilir ve bu doğru yönetilmediği takdirde şirketi bile batırabilir. Sıklıkla bunun örnekleri ile karşılaşabiliriz. Başka önemli örnek verecek olursak; uluslararası anlamda yakın zamanda ofis kiralama hizmeti veren bir firmanın işlerinin çok iyi olduğu düşünüldüğünü varsayalım. Oysa ki bu şirket, sürekli yeni ofis açma mecburiyetinden ötürü işletme sermayesini doğru yönetememiş ve ciddi borçlara girerek işinin neredeyse yıldız haldeyken 5-6 ay içerisinde batma durumuna gelmesi riski yönetememesi örneklerinden biridir. 

Bir diğer finansal risk kavramına bakıldığı zaman şirketle alakalı bütçe kavramı ile ilgili riskler olduğu da söylenebilir. Şirketlerin mutlaka her ölçekte bütçe yapmaları gerekmektedir. Buradaki bütçeye göre bazı aksiyonlar alınacağı aşikârdır. Bu aksiyonların ve bütçe tahminlerinin eksik gerçekleşme ihtimalinde bir B planı ya da yaratacağı olumlu veya olumsuz etki de hem finansal riski ilgilendiren bir konu hem de ana stratejiler ile bağlantısı itibariyle aslında stratejik risk kavramının içerisinde yer alan bir konu olduğu da düşünülebilir. Günümüzde, bu finansal riskte özellikle döviz tarafını yönetebilmek için Türkiye'deki şirketlerin de biraz daha aşina hale geldiği bazı kavramlar vardır. Bunlardan bir tanesi Hatch kavramıdır. Örneğin, riskin belirsizlik ile paralel ilerlediğini göz önünde bulunduracak olursak, şirketler için Amerikan doları ile çalışmak, gelecekte dolar kurunun ne olacağını bilmediğimiz için bir risk meydana getirir. İthalat, ihracat ve daha birçok alan döviz ile belirlenmektedir. Dolayısıyla dövizin değişmesi çok ciddi belirsizlik meydana getirir. Bunu yönetebilmek adına finansal dünyada finansal enstrümanlar yaratıldı. Bunlardan bir tanesi de Hatch kavramıdır. Bu kavramı tanımlamak gerekirse, iş yapılan firma ila dövizi sabitleyerek, gelecekteki bir günde doların artması veya azalması ile karşılaşılabilecek zararı minimum seviyede tutmaktır. O gün geldiğinde dolar kuru bir ölçüde daha düşük veya fazla olabilir ama en azından şirket bunu bugünden sabitlediği için 6 ay sonrasına dair belirsizliği ortadan kaldırmış olur. Bu doğrultuda şirketin buna göre strateji oluşturması ve 6 aylık hesaplarını buradaki dolar kuruna sabitlemesi ile kârdan zarar da edebilir, zararını kara da dönüştürebilir ama her iki durumda da şirket yönetilebilir hale gelmiş olur. Dolayısıyla Hatch kavramı, kurumsal risk yönetimi adına çok ciddi ortaya çıkan kavramlardan bir tanesidir. Firmalar, finansal enstrümanlar konusuna titizlikle eğilmelidir.

 

Dış Çevre Riskleri

Dış çevre riskleri, şahısların, kurumların dışında bulunan ve dışarıdan kaynaklı ve kişisel veya firmasal kontrol-müdahale şansının olmadığı risklerdir. Bu risklere örnek olarak; 

  • hukuksal konular, 
  • mevzuatsal konular, 
  • siyasal-politik konular,
  • doğal afet felaket konuları verilebilir. 

Hukuki Konular 

Hukukta yeni gelen bir mevzuat veya mevcut mevzuatta farkında olunmadığı bir konudan dolayı şirketler ciddi manada hukuksal riskler taşıyor olabilir. Örneğin, gıda sektöründe üretilen ürünler ile alakalı hukuksal bir mevzuat var ve şirket bu detayı atlamış. Gıda ürününün içinde bulunmaması gereken maddeyi farkında olmadan bulundurarak bir insana zarar verebilir ve bu hukuksal bir risk ortaya çıkarır. Duruma göre buna devlet de dâhil olabilir ve şirkete dava açılır. Daha sonra bu dava karşısında yüksek tazminatlar ile karşı karşıya kalınabilir. Yine devletin belli işleri yapmak için koyduğu standartlar vardır ve bu hukuksal standartların dışına çıkılırsa hukuksal yaptırımlar ile karşı karşıya kalınır. Devletin kendi içinde koyduğu veya devletler arası anlaşma ile düzenlenen konular olabilir. Örneğin, doğalgaz boru hatları veya uluslararası enerji anlaşmaları gibi anlaşmalarda buna konu olabilir. Ülkemizde de görüldüğü gibi köprü ve hastane gibi büyük yatırım projelerinin, yurt dışı ortaklığıyla özel sektör tarafından yapılması, uluslararası tahkime konu olabilecek başlıklar doğurur. Dolayısıyla bir anda şirket uluslararası hukukun risklerini almaya başlar. 

Doğal Afet ve Felaket Konuları

Bir diğer alt başlık olan doğal afetler ve felaketler şu an aslında yaşamakta olduğumuz covid hastalığını örnek verebileceğimiz alt kırılımdır. Covid, insanoğlunun kendisinin çıkardığı değil, doğa içerisinde gelişen ve insanın doğrudan müdâhil olmadığı biçimde tüm dünya genelinde yayılmış salgın bir hastalıktır ve bunu önceden yok etmek söz konusu olamaz. Bilmediğiniz şeyi yok edemezsiniz dolayısıyla doğal afet kavramı ile karşı karşıya kalırsınız. Kontrol altına almaya çalışılabilir, önlemler planlanabilir, buna dair önceden "Böyle bir senaryo gerçekleşirse ne yapabiliriz?" sorusu üzerine düşünebilir, şirketlerin çalışması, planlaması ve öngörmesi buna bağlı kalarak A, B, C planları oluşturarak kurumsal risk yönetimi kavramı başlığı altında olası felaket durumlarında devreye alması gerekebilir. Bunun en acı örneği ülkemizde 1999 yılında meydana gelen büyük depremdir. Kocaeli’nde, İstanbul’da, Bursa’da, Adapazarı’nda, Düzce’de ana sanayi ve ticaret merkezi olan birçok firma bu depremi yaşadı. Bir başka örnek vermek gerekirse; 1995 yılında İstanbul’un göbeğinde Ayamama Deresi taştı, ana otoban yolunun tamamı sular altında kaldı ve orada olan insanlar araçlarının içinde boğuldu. Akla gelir miydi? Gelmezdi. Bu örnekte Türkiye'de yerleşik telekomünikasyon şirketlerinin birinin data merkezi tamda ana yolun yanındaydı, dolayısıyla orayı da tamamen su bastı ve bütün dataların bazılarının geri döndürülemez şekilde kaybı yaşandı. Bu da aslında dış çevre faktörlerine verilebilecek örneklerden biridir. 

Mevzuatsal Konular

Mevzuat konuları devlet çatısı altında bir regülasyon altında yapılır çünkü işin kuralı belirlenmemiş olursa orman kanunları geçerli olur. Sümerlilerden beri insanlık, belli kanunları, mevzuatları, konuları yayınlıyor ve belli işlerin nasıl yapılabileceğini, işlerin düzenli ilerlemesine dair ana sektörel parçalarını ortaya koymaya çalışıyor. Tabi ki bu mevzuatlar şirketlerin işine ister istemez yansıyor. Nasıl yansıyor? Örneğin, eskiden fiş kesilen yazar kasa ayrı, pos cihazı ayrıydı. Dolayısıyla devlet nezdinde bazı vergi kayıpları doğabiliyordu. Kredi kartından geçirmekle birlikte ilgili satıcı fiş kesmeyip öyle bir satıcı resmiyette göstermeme yoluna yasal olmasa da gidebiliyordu. Dolayısıyla o işin vergisini ödememiş oluyordu. Daha sonrasında devlet bir mevzuat yayınladı ve bu iki cihazın birleştiği, fiş ile birlikte kredi kartı slipinin beraber çıktığı yeni bir yazarkasa pos cihazı üreterek artık bunların kullanılacağını belirtti. Bu şekilde vergi kaçakçılığının önüne geçilmiş olundu. Bununla beraber işletmelere bu ne getirdi? Eski cihazların hepsi çöp oldu. Devlet, şirketlerin mal satan her bir şubesinde bu yeni yazarkasa pos cihazları olması şartını koyarak eski cihazları işlevsiz hale getirdi. Dolayısıyla bakıldığı zaman devletin getirdiği bir mevzuat şahısları ve şirketleri ellerinde olmayan şekilde doğrudan etkilemiş oldu. 

Politik-Siyasal Konular

Ülkelerin hem iç hem de dış politikaları vardır. Her ikisi de şirketleri ister istemez etkiler ve risk barındırır. Ülkenin ekonomik krize girmesi, belli politik krize girmesi, ülkeleri yöneten politikacıların çeşitli anlamda kaosa sürüklenme ile birlikte politik anlamda boşluklar doğması, ülkelerin politik anlamda birbirlerine karşı tehditkar olma ve politik ilişkilerin gerginleşmesi gibi riskler meydana gelebilir. Örneğin, Türkiye’deki bir şirket Fransa'ya çok ciddi ihracat yapıyor diyelim. Türkiye ile Fransa’nın politik anlamda ilişkileri gerilirse otomatik olarak Fransa’daki müşteri Türkiye’deki şirketten mal almayı kesebilir veya şirket istediği kadar kaliteli üretse de şirkete göstermelik çok küçük hacimlerde sipariş verebilir. Şirket her şeyi çok iyi yaptığını düşündüğü bir anda hiç elinde olmayan bir şekilde müşterisini kaybedebilir. Bu tarz olayların önlemlerini almak, etkilerini ve olasılık hesaplarını yapmaya çalışmak ve buna göre de aksiyon planlarını şimdiden ortaya koymak gerekmektedir.

Operasyonel Riskler

Operasyonel risk, bir şirketin belirli bir alanda veya sektörde günlük iş faaliyetlerini yapmaya çalışırken karşılaştığı belirsizlikleri ve tehlikeleri özetler. Bir tür iş riski, iç prosedürlerdeki, kişilerdeki ve sistemlerdeki arızalardan kaynaklanabilir. Dış olaylardan kaynaklanan riskler çoğu zaman daha olası gelse de, şirketler kendileri için de bir risk kaynağıdır.

Operasyonel risk, şirketlerin günlük operasyonlarında beklenmedik bir başarısızlık anlamına gelir. Sunucu kesintisi gibi teknik bir arıza veya çalışanlardan veya süreçlerden kaynaklanan arızalar meydana gelebilir.

İnsan yapımı prosedürleri ve düşünme süreçlerini yansıttığı için, operasyonel risk bir insan riski olarak özetlenebilir. İnsan hatası nedeniyle başarısız olan iş operasyonlarının riskidir. Endüstriden sektöre kadar değişkenlik gösterir ve potansiyel yatırım kararlarına bakarken yapılması gereken önemli bir husustur. Daha düşük insan etkileşimi olan sektörlerin daha düşük operasyonel riske sahip olması muhtemeldir. Örneğin, şirket çalışanlarından biri müşteri hesabına 10.000 TL yerine 100.000 TL ödeyerek bir çeke yanlış miktar yazabilir.

Bu bir "insan" başarısızlığıdır, aynı zamanda da bir "süreç" başarısızlığıdır. Daha güvenli bir ödeme sürecine sahip olunması, örneğin ikinci bir personelin her büyük ödemeye yetki vermesi veya gözden geçirme için olağandışı tutarları işaretleyen bir elektronik sistem kullanılmasıyla engellenebilirdi.

Bazı durumlarda operasyonel risk, doğal afet veya elektrik kesintisi gibi kontrolünüz dışındaki olaylardan veya web sitenizin sunucusundaki bir sorundan da kaynaklanabilir. Şirketinizin temel operasyonlarını kesintiye uğratan her şey operasyonel risk kategorisine girer.

Olaylar, daha önce bahsettiğimiz büyük stratejik risklerle karşılaştırıldığında oldukça küçük görünse de, operasyonel risklerin şirketiniz üzerinde büyük bir etkisi vardır. Yalnızca sorunu çözmenin maliyeti değil, aynı zamanda operasyonel sorunlar da müşteri siparişlerinin teslim edilmesini engelleyebilir veya şirkette iletişim kurmayı imkânsız hale getirebilir, bu da gelir kaybına ve şirketin itibarının zarar görmesine neden olabilir.

Operasyonel Risk ve Finansal Risk Arasındaki Fark

Kurumsal bağlamda finansal risk, bir şirketin nakit akışının yükümlülüklerini, yani kredi geri ödemelerini ve diğer borçlarını karşılamak için yetersiz olması olasılığını ifade eder. Bu yetersizlik, yönetim (özellikle şirketin finans uzmanları) tarafından alınan kararların yanı sıra, şirket ürünlerinin performansı ile ilgilidir ve bunlardan kaynaklanabilmesine rağmen, finansal risk, operasyonel riskten farklı olarak kabul edilir. Çoğu zaman, şirketi kârlı bir işletme haline getirmeye yönelik günlük çabalardan ziyade, şirketin finansal kaldıraç ve borç finansmanı kullanımı ile ilgili olduğu için operasyonel risk ve finansal risk birbirinden ayrılmaktadır.

Risk Yönetimi Uygulamaları

Etkili kurumsal risk yönetimi, günümüzün düzenleyici ortamında giderek daha önemli hale gelmektedir. Düzenleyiciler ve derecelendirme kuruluşları, şirketlerin kendi risk profillerini iyi anlamalarını ve risklerini azaltmak için uygun yönetim yapısını uygulamalarını bekler.

Bir şirketin risk değerlendirmesi yürütmesi, bir kuruluşun karşılaştığı risklerin bütünsel bir görünümünü elde etmesine ve yönetimin bu riskleri tanımlamasına ve fırsatlardan yararlanmasına olanak sağlayabilir. Riskler, bir şirketin hayatta kalma, sektör içinde başarılı bir şekilde rekabet etme ve ürün, hizmet ve çalışanlarının genel kalitesinin yanı sıra mali gücünü ve olumlu kamu imajını koruma becerisini etkiler.

Şirket sahipleri, yöneticileri vs. gibi kişiler, amaçlarını ve hedeflerini göz önünde bulundurarak, şirket içindeki riskleri düşünmelidir. "Doğal Afet Riski" gibi sigorta riskinden, "Dış Kaynak Kullanımı ve Hizmet Sağlayıcı Riski" gibi operasyonel risklere kadar her şeyi göz önünde bulundurmalıdırlar.

Piyasa riskleri, yasal, çevresel ve düzenleyici riskler gibi pek çok farklı risk türü vardır. Bu risk faktörlerinin mümkün olduğunca çoğunun belirlenmesi gerekir. Bu noktada riskin yönetilmesi kavramı riskin analiz edilmesi ile başlar. Riskin analiz edilmesi de belli metodolojilerle gerçekleşir. İlk söylenmesi gereken yöntem SWOT analizi yöntemidir. Şirketin güçlü ve zayıf yönlerini, fırsatları ve tehditleri belirlemeye yönelik bir çalışma olan SWOT analizi, stratejiler belirlenirken yapılması gereken bir adımdır. Risk, şirketlerin stratejisi planlanırken içinde var olmalıdır çünkü ancak bu şekilde homojen bir planlama elde edilebilir. Dolayısıyla riski planlamak demek stratejiyi belirlerken bu riski dâhil etmek demektir. 

Günümüzde değişen bir kavramın da altını çizmekte fayda vardır. Risk kavramı aslında geçmişten bugüne kadar hem şirketlerde hem literatürde aslında negatif bir şey olarak isimlendirilmiştir veya o yöne doğru çekilmiştir. Gelecekteki olumsuzlukları ve şirketin iş yapış şekillerini irdelemektedir. Günümüzde bu kavramın değişmeye başladığını ve kutunun dışında düşünme gerekliliğinden ortaya çıktığını belirtmek gerekir. Risk kavramını olumsuzluktan ve tehditten ziyade bir fırsatla eş değer görmek ve bu fırsatla eş değer görme kavramını içselleştirmek artık çok daha etkin bir yöntem haline gelmiştir. Riskler şirketleri gelecekteki tehditlere dair düşünmeye sevk eder ve fırsatları görmenin de kapısını açar. Örneğin, ciddi bir ekonomik kriz olduğunu varsayalım. Firmalar kapandı ve insanların geliri düştü dolayısıyla alışveriş yapılamıyor. Şirket bu zamanlarda diyelim ki  avmlerde yer almak istiyor ama hem kiralar yüksek hem de dükkân bulunmuyor. Kriz zamanlarında art arda dükkânlar kapatıldığı için avm yönetimi de kiraları aşağı çekecektir ve ödeme planında kolaylıklar gösterecektir. Dolayısıyla şirket, burada bir fırsat görüp bu riski analiz ettiği zaman bir tehdit-fırsat durumu ortaya çıkabilir. "Bu riskin şirkete yarattığı tehdit nedir?" ve "Şirkete  yarattığı fırsat nedir?" sorularının cevapları ile çok açık bir şekilde yol haritaları belirlenerek şirketin kriz anında ciro bazında kâra geçmesi sağlanabilir. Dolayısıyla yatırımcı nakit parasını iyi zamanda kenarda biriktirip bu tarz yatırımları (krizin geleceğini, belli bir yakın veya orta vade için ön görüyorsa) kriz dönemine denk getirmeyi, çok daha ucuz kiralar ile başlayarak ve devamında da ucuz kiralar ile devam ederek bir iş modeli kurgulayabilir. Bu şekilde herkes tarafından olumsuzluk ve tehdit olarak algılanan risk kavramı avantaja çevrilmiş olur. Dolayısıyla bir yöntem olarak fırsat-risk matrisinin hayatımıza girmesi kurumsal risk kavramı içerisinde yeni bir olgudur.

Bir diğer konu ise risk envanteri çalışması yapılmasıdır. Analiz çalışmasının da ana adı olarak ortaya çıkmaktadır. Daha önce saydığımız stratejik, finansal, dış çevre, operasyonel riskler başlığı altında şirketlerin bütün iç süreçlerini elden geçirip, bunun bir analizini yapması gerekiyor. Bu analizi yaparken şirketler kendilerine şu soruları sormalıdır; 

  • Gelecekteki işimi etkileme olasılığı olan olgu nedir? 
  • Bu olgunun gerçekleşme olasılığı nedir? 
  • Bu olgu gerçekleşirse bana yaratacağı etki nedir? 
  • Önem sırası nedir? 
  • Neticede bu gerçekleşirse benim almam gereken veya alabileceğim aksiyonlarım nedir? 
  • Bu riskin gerçekleşmesi durumunda uygulamaya geçirebileceğim projeler ne olabilir? 

Bütün bunları kapsayan bir risk envanterinin oluşturulması ana yöntemlerden biri olarak ortaya çıkmaktadır. Bunun yapılabilmesi için belli araçlar kullanılabilir. Analizler sırasında birebir mülakatlar veya anket yöntemleri olabilir fakat bu anketlerin soru setleri üzerinde çok ciddi şekilde düşünülmesi gerekmektedir. Daha sonrasında küçük grup ve büyük grup çalıştaylarıyla ile beraber arama konferansları diye tabir edilebilecek, riski aramak için şirket genelinde belli çalıştaylar düzenlenebilir. 

Bir diğer başlıkta bazı online araçlarla, dış kaynak kullanımlarıyla riskin tespit edilmesi için özellikle teknik riskler bağlamında belli yazılımsal veya donanımsal araçlar kullanılabilir. Departmanların birbirleriyle olan iletişimleri ne kadar uyumlu ve sağlıklı bir şekilde sağlanabilirse, ortaya çıkabilecek herhangi bir olumsuzluk erken fark edilip, gerekli önlemler alınarak yürürlüğe sokulabilir. Şirketler açısından en büyük problemlerden biri olan departmanlar arası iletişimsizlik bu yazılımsal ve donanımsal çözümler ile giderilerek, şirketin karşı karşıya kalabileceği veya kaldığı riskler öncesinde belirlenmiş olur.

Risk değerlendirme süreci sürekli devam eden bir süreçtir ve zaman içinde revize edilmelidir. Şirket risklerinin tam bir resmi görülmeden ve bunları azaltan kontrolleri ve süreçleri gerçekten anlamadan önce birkaç kez tekrarlanabilir. Sürecin sonucu, yönetime ve çalışanlarına şirket risk profilini ve riski azaltmada kontrol ortamının önemini daha iyi anlamalarını sağlar.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.