Risk yönetimi, günlük hayatımızda sıkça karşımıza çıkan ve sadece işletmelerin konusu olan bir durum değildir. Kişisel bazdan şirket bazına, tüm içinde bulunduğumuz organizasyonlardan devletlere kadar herkes, risk faktörü ile iç içe yaşıyor. Risk, gelecekte gerçekleşme ihtimali olan ve kendimizin veya kurumumuzun faaliyetlerini etkileme ihtimaline sahip iç ve dış çevre faktörlerinin gerçekleşleştiği durumlardaki sürecin ismidir. Risk aslında geleceğe dair bir kavramdır, geçmişe dair bir kavram değildir. Gelecekteki olayların, bizim stratejilerimizi, hedeflerimizi ve iş yapış şekillerimizi etkileme ihtimaline verilen isimdir. Bu şekilde baktığımız zaman aslında bütün hayatımızı risk ile karşı karşıya olduğumuzun farkında olarak geçirmeliyiz. Çünkü hiç kimse ne iş hayatında ne özel hayatında, değil birgün sonrasını aslında bir dakika sonrasında ne ile karşılaşacağını tam olarak bilemez. Dolayısıyla riski doğuran şey belirsizlik kavramıdır. 

Bir riskin kapsamı şu şekilde ifade edilebilir:

Risk = Olasılık x Önem

Olasılık, bir olayın meydana gelme olasılığıdır ve ciddiyet, ortaya çıkan kaybın kapsamı ve maliyetidir.

Genel olarak, riskler iki kategoriye ayrılabilir:

  • Saf Risk - Olası sonuçların kayıp olduğu veya hiç olmadığı riskler. Yangın kaybı, soyulan bina, bir çalışanın motorlu taşıt kazasına karışması vb. Şeyleri içerir.
  • Spekülatif Risk - Olası sonuçların bir zarar, kâr veya statüko olduğu riskler. Borsa yatırımları ve yeni ürün serileri, yeni lokasyonlar vb. Gibi iş kararları gibi şeyleri içerir.

 

İpucu

Kurumsal Risk Yönetimi Danışmanlığı yaklaşımımızı, danışmanlık sürecimizin detayları ve bu hizmetimizin püf noktalarının açıklandığı Kurumsal Risk Yönetimi Danışmanlığı sayfamız ilginizi çekecektir.

 

“Risk, güçsüz olduğunuz bir şeyi kontrol etmeye çalışmaktır.” 

Eric Clapton

 

Gelecekte neyin yaşanacağını hem kişiler hem kurumlar hem ülkeler bazında bilmediğimiz için, bizler risk diye bir kavramı tanımlarız ve bu şekilde bu işi yönetilebilir hale getirmeye çalışıyoruz. Buradan da risk yönetimi kavramı doğar. Risk yönetimi, gelecekte karşılaşabileceğimiz ve bizim hayatımızı, kurumumuzun işleyişini, stratejilerimizi etkileme potansiyeline sahip davranış veya aksiyonları, bu günden planlanarak yönetilebilir hale getirme sürecine verilen isimdir. Dolayısıyla risk yönetimi, çok önemli bir kavramdır. Aslında hiç farkında olmadan da kişisel hayatımıza dönecek olursak çok ciddi risk yönetimleri yaptığımızın farkında olmalıyız. Örneğin, yarın bir seyahate çıkacağız ve ilk yaptığımız şeylerden biri, hava yağmurlu mu değil mi diye internetten hava durumunu kontrol etmektir. Bu tamamen aslında risk yönetimini yapabilmenin bir parçasıdır. Çünkü eğer yağmurlu olma ihtimali varsa üzerimize ona göre kıyafet alacağız, mekanımızı ona göre kapalı seçeceğiz fakat aksi durumlarda da riskin gerçekleşme ihtimalini hesaplayıp belli aksiyonlar almak durumundayız. 

Özetle, Risk yönetimi, riskin bir organizasyon üzerindeki olumsuz etkilerini en aza indirecek kararlar alma ve uygulama sürecidir. Riskin olumsuz etkileri, sigorta primleri ve hasar maliyetleri gibi nesnel veya ölçülebilir veya sübjektif olabilir ve itibarın zedelenmesi veya üretkenliğin azalması gibi ölçülmesi zor olabilir. Riske odaklanarak ve riski kontrol etmek ve azaltmak için gerekli kaynakları taahhüt ederek, bir işletme kendisini belirsizlikten koruyacak, maliyetleri düşürecek ve iş sürekliliği ve başarısı olasılığını artıracaktır.

Kurumsal Risk Yönetimi Nedir?

Kurumsal risk yönetimi aslında risk yönetimi kavramının alt başlığıdır. Adındanda belli olduğu üzere,  şirketlerin, firmaların vb. kuruluşların, bünyesinde gerçekleşecek riskleri yönetme sürecine verdikleri isimdir. Bunu biraz daha açacak olursak; kurumsal risk yönetiminde detaylara baktığımız zaman, her bir kurumun bir organizasyonu vardır ve bu organizasyonun içerisinde farklı departmanları vardır. Kurumsal risk yönetimi kavramı bu farklı departmanların hepsine üstten bir bakışla ele alınmasına verilen addır. Örneklemek gerekirse, satın alma departmanı kendi risk değerlendirmesini yapabilir, kendi risk gördüğü faktörleri yönetmek ile ilgili aksiyonlar planlayabilir, bu da çok olumlu bir seydir fakat satın almanın risk görmediği, satın alacağı tedarikçi firmadaki belli finansal metrikleri finans departmanı çok ciddi bir risk olarak tanımlayabilirken satın alma departmanı bu faktörü risk olarak tanımlamayabilir. Sadece satın alma departmanı olarak olaya bakarsak eğer kurumsal bir risk değerlendirmesi yapmış olmuyoruz çünkü işin bir de satın alma departmanının hakim olmadığı finansal boyutu olabilir. Dolayısıyla bütün bu riskleri, üst yönetim bazında, yani kurumun genel işleyişi ve üstten bakışı anlamında yönetebilmek için kurumsal risk yönetimi tanımı ortaya çıkmıştır. 

“Yaşadığımız her an önümüzde iki seçenek vardır; gelişime doğru bir adım atmak ya da güvende hissetmek için bir adım geri kalmak.”

Abraham Maslow

Kurumsal risk yönetimi kavramının uygulamasının yerleşmesi ve şirketlerde devreye girmesi çok eskiye dayanmamaktadır. Türkiye'nin önemli şirketlerinde ve holdinglerinde bile bu kavramın 2000 li yılların ortasından itibaren devreye girdiğini ve bununla ilgili organizasyonel yapıların 2010 lu yıllarda oluşturulmya başlandığını söyleyebiliriz. Mazisi bir 10 yıl kadar olan ama geçmişten bugüne hayatımızda olan, sadece artık teknoloji ve verinin anlam kazanması ile beraber daha da hayatımızın içine giren ve olmazsa olmazımız olan bir süreç haline gelmiştir. Herşeyden önce kurumsal risk yönetimi bir süreçtir. Bunu tespit etmek lazım çünkü bir seferlik yapılıpta biten bir iş değildir. Farklı kişiler, departmanlar, stratejiler ve iş yapış şekilleri gibi süreç adımlarının yer aldığı, tam olarak net bir zaman takvimi olmayan, şirket veya kurum yaşadıkça devam eden ve sürekli iyileştirmeye tabi olan bir kavramdır. Kurumsal risk yönetiminden daha detaylı bahsedecek olursak, kurumsal risk yönetimi ile iç denetimi de aynı cümle içerisinde kullanabiliriz. Çünkü bu ikisi aslında birbirinin tamamlayıcısıdır. Kurumsal risk yönetimi demek aslında geleceğe bakmak demektir, iç denetim ise geçmişe bakmak demektir. İkisi aslında aynı noktada durup yüzünüzü bir tarafta geleceğe çevirmek, diğer tarafta ise geçmişe doğru çevirmektir. Her ikisinde de analiz, kontrol ve denetim fonksiyonları vardır. Fakat iç denetimde aslında geçmiş verileri değerlendirip analiz edersiniz ve daha sonrasında şirketin veya kurumun işleyişinde bir problem olup olmadığını, açıkları ve yaşanan olumsuzlukları geçmiş yüküyle beraber ele alırsınız. Fakat kurumsal risk yönetiminde bu böyle değildir. Burada tamamen gelecekteki olaylara odaklanırsınız. Bir şirketin stratejileri ve misyonu doğrultusunda gelecekte bu strateji ve miyona zarar verme, sekteye uğratma, olumsuzluklar yaşatma ihtimali olan iç veya dış çevre faktörlerini bugünden analiz eder, planlar, planladığınız ve analiz ettiğiniz olguların etki ve olasılık kavramlarını irdeleyerek bir önceliklendirme ortaya çıkartır ve akabinde de bu önceliklendirmeye göre her bir durum gerçekleştiği takdirde almanız gereken aksiyonların neler olduğunu bugünden planlarsınız. 

Günümüzde baktığınız zaman kurumlar birçok anlamda bunun adına kurumsal risk yönetimi demeselerde şirketleri adına daha sağlıklı bir gelecek için birçok önlem politikası izlemektedirler. Somut bir örnek vermek gerekirse, aile şirketi kavramı Türkiye’deki şirketlerin %99 unu oluşturmakta. Günümüzde aile şirketlerinde çok sıklıkla yaşanan önemli taleplerden biri de; aile şirketi anayasası hizmetidir. Baktığınız zaman bu bir ailenin ve buna bağlı olarak kurumun da içinde barındığı, riski yönetme mekanizmasının dışa vurumudur. Çünkü aile anayasası hazırlamaktaki amaç, şu anda var olan aile üyelerinin kendi aralarında gelecekte yaşanabilecek sorunları şimdiden ön görerek, bunlara bir çözüm arayarak şimdiden planlamasıdır ve daha sonrasında şahıslar, gelecekteki riskleri yönetmek için bunu imza altına alarak ve yazılı hale getirerek bu süreci tanımlarlar. Bu sayede olası negatif durumlardaki alınacak aksiyonları bugünden planlamış olurlar. Dolayısıyla baktığınız zaman çoğu kişinin farkında olmadan aldığı bir hizmet olan aile şirketi anayasası danışmanlığı, tamamen bir kurumsal risk yönetiminin alt hizmetidir. Bu örnekten hareket edersek kurumsal risk yönetimi gelecekteki yaşanacak olumsuzlukları önüne geçmek için kurgulanmış bir yönetim metodolojisidir.

“Önce kuralları tam bir profesyonel gibi öğrenin. Sonra onları bir sanatçı gibi kırın.” 

Pablo Picasso

 

Risk Yönetimi Kapsamında İşletmedeki Organizasyon Yapısının Görev, Yetki ve Sorumlulukları Nelerdir?

Risk yönetimi, işletmelerin iş ortamında mevcut riskleri tanımlamasına, değerlendirmesine, izlemesine ve azaltmasına yardımcı olan önemli bir iş uygulamasıdır ve her büyüklükteki işletme tarafından uygulanmaktadır. İşletmeler büyüdükçe istikrarı sağlamak ister. İşletmeyi etkileyen riskleri yönetmek, bu istikrarın kritik bir parçasıdır. İşletmeyi etkileyebilecek risklerin bilinmemesi, organizasyon için kayıplara neden olabilir. Rekabetçi bir riskin farkında olmamak, pazar payı kaybına, finansal bir riskin farkında olmamak finansal kayıplara, bir güvenlik riskinin farkında olmak kazaya neden olabilir. Risk yönetimi alanında çalışan kişiler, kurumu ve çevresini izler. Organizasyon içinde takip edilen iş süreçlerine bakarlar ve organizasyonu bir şekilde etkileyebilecek dış faktörlere bakarlar. Bir riski tahmin edebilen bir işletme her zaman avantajlı olacaktır. Finansal bir riski tahmin edebilen bir işletme, yatırımlarını sınırlayacak ve finansmanını güçlendirmeye odaklanacaktır. Bir emniyet riskinin etkisini değerlendirebilen bir işletme, büyük bir rekabet avantajı olabilecek güvenli bir çalışma yöntemi tasarlayabilir. İş dünyasını bir hipodrom olarak düşünürsek, riskler, yarışı kazanmak istiyorlarsa, parkurdaki her işletmenin kaçınması gereken şey çukurlardır. Risk yönetimi, tüm çukurları belirleme, ne kadar zarar verici olabileceklerini anlamak için derinliklerini değerlendirme ve ardından zararları önlemek için bir strateji hazırlama sürecidir. Küçük bir çukur, işletmenin yavaşlamasına neden olabilirken büyük bir çukur, işletmenin bundan tamamen kaçınmasını gerektirecektir. Bir riskin ciddiyetini ve risk olasılığını bilmek, işletmelerin kaynaklarını etkili bir şekilde tahsis etmelerine yardımcı olur. İşletmeler kendilerini etkileyen riskleri anlarlarsa, hangi risklerin en çok dikkat ve kaynak gerektirdiğini ve işletmenin hangilerini göz ardı edebileceğini bileceklerdir. Risk yönetimi, işletmelerin herhangi bir büyük hasar meydana gelmeden önce güvenlik açıklarını azaltmak için proaktif olarak hareket etmesine olanak tanır. Farklı risk türleri için farklı risk yönetimi stratejileri ve çözümleri vardır.

Peki şirket yöneticisinin bulunduğu noktada kendisine sorması gereken soru nedir? Bu sorunun yanıtını vermeye başlarsak daha iyi ilerleriz çünkü bu sorunun cevabı, şirketin ölçeğine göre değişmektedir. Burada 10 çalışanı olan şirket, 100 çalışanı olan şirket, 1000 çalışanı olan şirket aynı cevabı vermemeli. Temel kavramlar ve çıkış noktaları aynıdır fakat içinde bulunduğumuz, hızlı balığın yavaş balığı yuttuğu günümüz dünyasında şirketlerin ait olmadığı dünyaların kavramlarına hapsolmaması gerekiyor. Bu soruda 100 Milyon TL ciro yapan, 500 bin veya üstü çalışanı olan uluslararası firmaları aynı kefeye koyabiliriz. Orta büyüklükte diyebileceğimiz 60-70 çalışan barındıran, 30-40 Milyon TL den 200-300 Milyon TL ye kadar cirosu olan firmaları da aynı kefeye koyabiliriz. Bir de daha gelişmekte olan, şirket hayatlarının başında olan, yaptıkları iş icabi niş olup daha ufak kadrolarla daha niş alanlarda daha az ciro sağlayan fakat karlı iş yapan firmaları üçüncü kategori olarak değerlendirmeliyiz. Çünkü her üçünde de risk ve kurumsal risk kavramı hayatında olmalı fakat her üçünün bu işe yaklaşımı farklı olmalı. Örneğin,  20 çalışanı olan bir firmaya yönetim kurulunuz olmalı, yönetim kurulunuzun içinde belli komiteler olmalı, riskin erken teşhis komitesi olmalı, mutlaka bağımsız üyeniz olmalı, kurumsal risk departmanı olmalı gibi öğütler verilmeye kalkılırsa ve bunlar doğrultusunda aksiyon alınmaya çalışılırsa o şirket batar çünkü o şirket zaten şu an temel fonksiyonlarını yerine getirmekle yükümlü olan çalışanları istihdam etmeli ve bunlardan büyüme kapısını açmalı. 

 

“Felaket başa gelmeden önce önleyici ve koruyucu tedbirleri düşünmek lazımdır, geldikten sonra dövünmenin bir yararı yoktur.”

Atatürk

 

Kurumsal risk kavramı bu firmaların içerisinde ve organizasyonunun içinde olmamalı algısı yanlıştır. Küçük ölçekli veya niş ölçekli, gelişmekte olan firmalar kategorisi olarak başlayalım. Bu yapılarda sadece para kazandığı operasyonunu icra eden ve bu operasyonun temel yapı taşları olan, yan yapı taşları olan, satış gibi muhasebe gibi departmanların veya kişilerin en fazla bulunduğu yapılar olarak ön görebiliriz. Bu yapılarda aslında riski yönetecek olan kişi ister istemez şirket sahibi ve patrondur ve doğrudan organizasyonda ne yapılması gerektiği konusunda patronlara yönelmeliyiz. Burada en akıllıca çözüm, riskin analiz edilmesine dönük bir hamle olur. Herşeyden önce bildiğiniz üzere ölçemediğiniz şeyi yönetemezsiniz diye bir kavram vardır. Yani bilmediğiniz, ölçemediğiniz, tanımlayamadığınız bir olguyu yönetmeniz söz konusu dahi olamaz. Dolayısıyla bu firmanın patronları, hissedarları, sahipleri ilk önce riski analiz etmekle yükümlüdürler. Bu konuda da şirketlerin yapı itibariyle ufak olduklarından dolayı organizasyonda bir departman kurmaları çok olası olmayabilir ve bunu dış hizmet olarak almaları akılcı bir çözümdür. Çünkü ilk aşamada burada analiz etmek, analize göre belli önlemleri tartışmak, hissedarın veya  patronun yapacağı bir hamle olmalıdır. Bu noktada da şirket adına bu iş ile ilgilenen kişinin, organizasyonu dış kaynak kullanarak tamamlaması bir risk envanteri ve risk analizi çalışması yaptırması onun için akıllıca bir çözüm olur. 

Orta ölçekli firmalara gelecek olursak, burada durumlar değişmeye başlıyor çünkü orta ölçekli firmalar artık işini oturtmuş para kazanma seviyesine gelmiş, ciddi bir organizasyon yapısına bürünmüş hale gelmiştir. Buna bağlı olarak bu firmaların artık belli yeni atılımları yapabilme, yeni yönetim metodolojilerini bünyesine katabilme, bunları araştırma imkanları ve olanakları vardır. Hatta kaçınılmaz olarak bunları yapma zorunlulukları vardır diyebiliriz çünkü belli bir süre sonra onları yapmadıkları takdirde orta büyüklükten ya aşağıya düşme ya da orta gelir tuzağı diye isimlenen tuzağa düşerek aslında yerinde saymaya devam etme şeklinde bir risk onları bekliyor. Dolayısıyla bu firmaların yapması gereken şey belkide bir risk analizi ve risk yol haritası çalışmasıdır ve yine dış kaynak kullanarak yaptırdıktan sonra orada ortaya çıkabilecek risk algısına karşı çözüm projelerini belli bir önceliklendirmeye tabi tutmak kaydıyla, belki yine dış hizmet kullanarak beki iç kaynaklardan yararlanarak, kurumsal risk yönetimi departmanı oluşturmak olduğunu söyleyebiliriz. 

Kurumsal risk yönetimi departmanı ne yapar sorusuna birçok cevap verilebilir ama özellikle orta ölçekli firmalarda şu cevabı vermek en akıllıca cevap olabilir; bir iş sahiplenilmezse o işin başarı ile sonuca ulaşmasını beklemek yanlış olur. Dolayısıyla kurumsal risk kavramını sahiplenecek biri veya birilerine ihtiyaç vardır ve en temel ihtiyacın ortaya çıkış noktası bu orta ölçekli firmalarda kurumsal risk kavramı çatısı altındadır. Çok kalabalık bir departman olmasada organizasyonda mutlaka doğrudan yönetim kuruluna (varsa) bağlı , yönetim kurulunun olmadığı yapılar pek ideal yapılar olmaz ama en kötü şartta doğrudan genel müdüre bağlı bir kurumsal risk yönetimi departmanı olmalıdır. Orta ölçekli firmaların,  organizasyonlarında  bunu hayata geçirmesi gerekir. Şuda yanlıştır; böyle bir departman oluşturulmak kaydıyla biz bunu idari işlere, insan kaynaklarına yada mali işlere bağlayalım. Özellikle mali işler çok sık düşünülen bir hatadır. Çünkü kurumsal riskin sadece finansal riskten kaynaklandığı düşünülmektedir fakat bu yanlış bir algıdır. Bazende üretim veya fabrika direktörlüğü gibi direktörlüklere bağlanan kurumsal yönetim departmanları ve uzmanları ismi ile adlandırılan organizasyonel yapılar kurulmakta. Bu da yanlış bir hamle olur çünkü böyle olguların olduğu durumlarda riskin kalite, sistem, üretim operasyonu odaklı yapıldığından bahsedebiliriz. Kurumsal risk yönetimini hakkıyla yapabilmek için bütün departmanların üstü gibi tanımlanabilecek, doğrudan yönetim kuruluna hesap verecek bir yapı meydana getirmek gerekir. 

Bir diğer konu ise üst ölçekli yani büyük firmalar diye tanımlayabileceğimiz; uluslararası firmalar, holdingler, ciddi çalışan sayısına ve cirolara ulaşmış, ciddi organizasyon büyüklüğüne ulaşmış yapılardır. Bu yapılarda zaten bir kısmında kurumsal risk ve kurumsal yönetim kavramlarının içerisinde kurumsal risk yönetimi zorunlu hale gelen yapılar vardır. Örneğin, halka açık, STK mevzuatına tabi firmalarda böyle zorunluluklar var ama onları bir kenara koyacak olursak kurumsal risk yönetimi, böyle zorunluluğa tabi olmadanda bu firmaların yapması gereken bir sorumluluktur. Bunlardan birincisi tabiki kurumsal risk yönetimi departmanını mutlaka sürdürülebilir şekilde kurmaktır. Ancak bundan bir adım önce yapılacak iş şudur; bu yapıların ister istemez mutlaka  işleyen bir yönetim kurulu ve icra kurulu yapılarının olması gerekiyor ve yönetim kurulu yapılarının içerisinde de kesinlikle komitelerin kurulmuş olmasını ve işler vaziyette olması gerekiyor. Buradaki risk konusunu ilgilendiren en önemli komite, riskin erken tespiti ve önlenmesi komitesi olduğunu belirtmek gerekiyor. Bu komitenin hem Türkiye'de, hem bütün ülkelerde kabul görmüş olan kurumsal yönetimin risk yönetimi ile ayrılmaz bir parça olduğunun bilincinde olması gerekiyor. Bu yapıdaki firmalarda bazen, riskin tespit edilebilmesi için  iş körlüğü kavramı meydana geliyor. Eğer bir şirkette uzunca yıllardır çalışıyorsanız , farklı departmanlarda çalışmış bile olsanız ister istemez bazı risklere aşina hale gelip onların önemini anlayamayabilir ve doğru değerlendirememe riski ile karşılaşabilirsiniz. Dolayısıyla kendinizde bu riski bertaraf etmek için aslında en akılcı çözüm bağımsız yönetim kurulu üyelik sistemini şirkete işlemek oluyor. Yani yönetim kurullarına kendi profesyonel çalışanı veya doğrudan bir iş-çıkar ilişkisi olmayan sektör veya sektör dışı belli bir uzmanlığa sahip insanların bağımsız yönetim kurulu üyesi olarak tahvil edilmesi ve bu üyelerinde mutlaka riskin erken tespiti ve önlenmesi komitesinin içerisinde yer alması, hatta mümkünse başkanlığını yapması en önerilen çözümlerden bir tanesi.

Tabiki organizasyonel anlamda kurumsal riski bu büyük firmalarda ilgilendirecek yan departmanlarda olacaktır. Bunlardan biri iç denetim departmanıdır ve mutlaka olmalıdır çünkü iç denetim departmanının yayınladığı iç denetim raporu çalışmalarında aslında geçmişte yapılan hataların tespit edilmesi ve gelecekteki bunun riskinin bir öneri manasıda yazılması da söz konusudur. Dolayısıyla büyük firmalarda iç denetim ve kurumsal risk yönetimi departmanının organizasyonda beraber çalıştığını ve doğrudan yönetim kuruluna bağlı olduğunu görmek ve böyle uygulandığından emin olmak gerekiyor.

Kurumsal Risk Türleri Nelerdir?

İşletmeler, bazıları ciddi kar kaybına ve hatta iflasa neden olabilecek her türlü riskle karşı karşıyadır. Ancak tüm büyük şirketler kapsamlı "risk yönetimi" departmanlarına sahipken, küçük işletmeler konuya bu kadar sistematik bir şekilde bakmama eğilimindedir. Baktığımız zaman kurumsal risk kavramı şirketlerin bütün hayatını etkileyen, her attıkları adımda karşılarına çıkan bir olgudur. Her yerde var olduğu için bunu anlayabilmek ve içselleştirmek adına biraz daha yapısal bir şekilde ele almamızda fayda var. 4 başlıkta incelemek gerekirse;

  1. Stratejik riskler 
  2. Finansal riskler
  3. Dış çevre riskleri
  4. Operasyonel riskler.

Stratejik Riskler

Şirketlerin her şeyinin başladığı yer stratejidir. Başarılı bir işletmenin kapsamlı, iyi düşünülmüş bir iş planına ihtiyacı olduğunu herkes bilir. Ama aynı zamanda bir şeylerin değişmesi hayatın bir gerçeğidir ve en iyi hazırlanmış planlarınız bazen çok hızlı bir şekilde çok modası geçmiş görünebilir. Bu stratejik risktir. Bu, şirketinizin stratejisinin daha az etkili hale gelmesi ve bunun sonucunda şirketinizin hedeflerine ulaşmakta zorlanması riskidir. Bunun nedeni teknolojik değişiklikler, pazara giren güçlü yeni bir rakip, müşteri talebindeki değişiklikler, hammadde maliyetlerindeki artışlar veya diğer büyük ölçekli değişiklikler olabilir.

Şirketler adını koysada koymasada aslında bir strateji, vizyonla ve bu vizyonu gerçekleştirmek için bir misyonla doğuyorlar. Aslında bir iş kurulduğu zaman gelecekte nereye ulaşmak istediğine dair bir hayal ve hedefle kuruluyor. Bu hedefe ulaşmak için neler yapması gerektiğine dair ilk dönem teorileri ile yani misyonu ile doğuyor. Dolayısıyla bununla doğan bir şirket, yol boyunca güncellediği bu strateji yolculuğunda aslında koca bir risk ile karşı karşıya . Bu stratejiler birçok risk içeriyor; hedeflerin gerçekleşmeme ihtimali, az veya çok gerçekleşme ihtimali, bu hedefler ile alakalı hedeflerin yanlış konulmuş olma ve şirketi bambaşka yöne getirme riskleri. Baktığımız zaman bütün bunlar aslında risk kavramının içerisindedir. Bu noktada stratejiyi ilgilendiren, sadece hedeflerle ilgili riskler değildir. Strateji demek, şirketin kurucularının, sahiplerinin, hissedarlarının veya üst yönetimin gitmek istedikleri yeri ve rotayı belirledikleri bir süreç ve sürekli aktif olan bir süredir.

 

“Tedbir daima bilgeliğin aracıdır.”

Patrick Rothfuss

Günümüz dünyasında  stratejiler sürekli değişmektedir. Örneğin bu sene covid senesindeyiz ve aralık ayında şirketlerin konuştuğu ve 2020 ye dair belirttikleri stratejiler neydi, 3-4 ay sonrasında yapılan ve konuşulan işler neydi diye bakmak lazım. Dolayısıyla stratejiler gerçekten çok ciddi risklere gebe ve bu stratejiler sadece yazılı bazda belli sözcükleri içermiyor. Uygulamada olan straejiler, yani şirketlerin iş yapış biçimlerinin stratejileri, finansa dönük stratejileri, satış veya müşteriye dönük stratejileri ve dahası da bu kavramın altına girmekte. Dolayısıyla baktığınız zaman iç kontrolde olan yani şirketin aslında kendi içinde belirlediği, bu belirlediği şeylerin iç veya dış faktörler ile değişmesi riski bulunan konularda açıkçası çok ciddi riskler doğurabiliyor. Bu faktör, stratejik riskler olarak mutlaka ele alınması gerekiyor. Bir dipnot olarak; stratejinin tanımının da gereği olarak, stratejik riskler belki de (bir risk aslında yapacağı etki ve olasılığı ile ölçülür) ister istemez etki katsayısı belli bir rakamın üzerinden başlıyor gibi var sayabiliriz. Yani bir başka deyişle patronun hayatını en çok etkileme ihtimali olan riskler bu grupta yer alıyor.

Finansal Riskler

Finansal risk kavramı firmalara diğer geri kalan 3 ana risk başlığından daha yakın gelen bir başlıktır çünkü finansla uğraşmayı, yani şirketi ayakta tutan para konusu ile uğraşmayı gerektiriyor ve bugün baktığınız zaman aslında köşe başındaki bakkal bile finansal risk yönetimi yapıyor. Nasıl yapıyor? Yazılımlar mı kullanıyor? Hayır. Departman mı kurmuş? Hayır. Bağımsız yönetim kurulu üyesi mi almış? Hayır. Yaptığı şey en basitinden; peynir alıyor ve o alacağı peyniri ödeme vadesini, müşteriye satacağı fiyatı belirliyor ve parayı bunlar arasındaki iyi kötü uyumsuzluğu görüp, duruma göre üzerine bunu kompas edecek kar marjı koyuyor ya da peyniri gerçekten bu vadeye uyumlu satan tedarikçiden alıyor. Burada finansal risk yönetimi vardır. Kurumsallaşmış şirket ölçeğinde hemen örnek verecek olursak, birçok firmada ülkemizde de sıcak gündem olan kur konuları var ve  ister istemez firmalar döviz ile iş yapıyor. Bunun çeşitli sebepleri var. Ya firma ithalatçı olarak Türkiye'de ürün satıyor ve doğrudan döviz ile ithalat yapıyor ama günün sonunda tl olarak satıyor. Başka bir versiyonu, firma imalatçı ve yurt dışı ağırlıklı satış yapıyor ama diyelim ki ürünlerinin bir kısmı ithal geliyor veya ithalatı dolarla yapıyor. Sattığı ürünü Avrupa Ülkeleri euroyla alıyor ve dolayısıyla orada da bir kur farkı oluşuyor. Günümüzde de artık hem Türkiye özelinde, hem dünya genelinde döviz dediğimiz kavram çok yüksek dalgalarda hareket etmekte ve buda riski artırmaktadır. Dolayısıyla firmalar bunu özellikle Türkiye'nin 2001 yılında yaşadığı çok yoğun döviz odaklı krizden sonra bu finansal risk kavramına firmalar biraz daha aşina oldular ve bunu yönetmeye başladılar. İlk başlarda finansal departmanların içerisinde yönetilmeye başlandı. Sadece döviz riski olarak başladılar ama kurumsal risk yönetimi sadece bu kavramdan ibaret değildir. 

Kurumsal risk yönetimine eşlik eden kavramlar nedir peki? Finansal risk kavramının bir alt başlığı, döviz riskini yönetebilmektir. Bir diğer başlık ise net işletme sermayesini yönetebilmektir. Yani şahıs, işini yaparken işletme sermayesi olarak elindeki parayı doğru harcayabiliyor mu harcayamıyor mu sorularının analizidir. Çünkü net işletme sermayesi aslında, herhangi bir işi çevirmek için tabiri caizse bir kasamız varsa ofisimizde o kasanın içinde duran ve günlük operasyonu yönetmek için aldım-sattım ve ürettim-sattım kavramları  adına kullanılan paranın maddi değerin büyüklüğüdür. Yani o işin yürümesi için kasada, herhangi bir günde olması gereken paradır. 

Bunu nasıl doğru yönetebiliriz ve bunun riskleri nelerdir? Şöyle düşünün diyelim ki; bakkalın karşısına yeni bir iş merkezi yapıldı ve iş merkezine bir anda 5000 kişi geldi ve çalışmaya başladı. Bakkal fırsatı gördü ve öğle aralarında bu 5000 çalışana satmak için sandviç yapmaya başladı fakat 5000 kişinin 1000 kişisi öğlen bir anda geldi. 1000 kişinin sandviçi için harcayacağı işletme sermayesi, yani bulundurması gereken para, belki de onun 1 aylık veya daha önceki aylarda yaptığı cirosundan daha fazla. Öyle bir para kasasında yok çünkü zaten kazandığı parayı evini geçindirmek için kullanıyor. Dolayısıyla bir anda 10-20 kişiye sandviç hazırlayacak ama 30 kişinin talebini gördüğü halde yapamayacak. İşte bunu önceden öngörebilmek gerekiyor. Şirketlere döndüğümüzde yeni bir müşteri peşinde koşuldu ama belki bazı müşteriler geldiği zaman o kadar büyük bir işletme sermayesi ihtiyacı doğurabilir ve bu doğru yönetilmediği takdirde şirketi bile batırabilir. Sıklıkla örnekleri ile karşılaşabiliriz. En önemli örneklerinden biri de; uluslararası anlamda yakın zamanda ofis kiralama hizmeti veren bir firmanın aslında işlerinin de çok ta iyi olduğu düşünülmesine rağmen, sürekli yeni ofis açmak mecburiyetinden ötürü aslında işletme sermayesini doğru yönetememiş ve ciddi borçlara girerek işinin neredeyse yıldız haldeyken 5-6 ay içerisinde batma durumuna gelmesi riski yönetememesi örneklerinden biridir. 

Bir diğer finansal risk kavramına bakıldığı zaman şirketle alakalı bütçe kavramı ile ilgili riskler olduğu da söylenebilir. Yani şirketlerin mutlaka her ölçekte bütçe yapmaları gerekmektedir. Buradaki bütçeye göre bazı aksiyonlar alınacağı aşikardır. Fakat bu aksiyonların ve bu bütçe tahminlerinin eksik gerçekleşme ihtimalinde bir B planı ya da yaratacağı olumlu veya olumsuz etki de hem finansal riski ilgilendiren bir konu hem de ana stratejiler ile bağlantısı itibariyle aslında stratejik risk kavramının içerisinde yer alan bir konu olduğu da düşünülebilir. Günümüzde, bu finansal riskte özellikle döviz tarafını yönetebilmek için Türkiye'deki şirketlerinde biraz daha aşina hale geldiği bazı kavramlar vardır. Bunlardan bir tanesi Hatch kavramıdır. Örneğin, riskin belirsizlik ile paralel ilerlediğini göz önünde bulunduracak olursak, amerikan doları, gelecekte dolar kurunun ne olacağını bilmediğimiz için aslında bir risk meydana getiriyor şirketler için. İthalat olabilir ihracat olabilir veya birçok şey günümüzde akaryakıttan tutunda yediğimiz içtiğimiz temel ithal ürünlere kadar birçok şey döviz ile belirleniyor. Dolayısıyla dövizin değişmesi çok ciddi belirsizlik meydana getiriyor. Bunu yönetebilmek adına finansal dünyada finansal enstrümanlar yaratıldı. Bunlardan bir tanesi Hatch kavramıdır. Bu kavramı tanımlamak gerekirse, iş yapılan firma ila dövizi sabitleyerek gelecekteki bir günde doların artması veya azalması ile karşılaşılabilecek zararı minimum seviyede tutmaktır. O gün geldiğinde dolar kuru bir ölçüde daha düşük veya fazla olabilir ama en azından şirket bunu bugünden sabitlediği için 6. ay sonrasına dair belirsizliği ortadan kaldırmış olur. Bu doğrultuda şirketin buna göre strateji oluşturması ve 6 aylık hesaplarını buradaki dolar kuruna sabitlemesi ile kardan zararda edebilir, zararını kara da dönüştürebilir ama her iki durumda şirket yönetilebilir hale gelmiş olur. Dolayısıyla Hatch kavramı, kurumsal risk yönetimi adına çok ciddi ortaya çıkan kavramlardan bir tanesidir. Firmalar, finansal enstrümanlar konusuna titizlikle eğilmelidir.

 

Dış Çevre Riskleri

Dış çevre riskleri, şahısların, kurumların dışında bulunan ve dışarıdan kaynaklı ve kişisel veya firmasal kontrol-müdahale şansının olmadığı risklerdir. Bu risklere örnek olarak; 

  • hukuksal konular, 
  • mevzuatsal konular, 
  • siyasal-politik konular,
  • doğal afet felaket konuları verilebilir. 

Hukuki Konular 

Hukukta yeni gelen bir mevzuat veya mevcut mevzuatta şirketlerin farkında olmadığı bir konudan dolayı şirketler ciddi manada hukuksal riskleri taşıyor olabilirler. Örneğin, gıda sektöründe üretilen ürünler ile alakalı hukuksal bir mevzuat var ve şirket bu detayı atlamış. Gıda ürününün içinde bulunmaması gereken maddeyi farkında olmadan bulundurarak bir insana zarar verebilir ve bu hukuksal bir risk ortaya çıkarır hatta duruma göre buna devlette dahil olabilir ve şirkete dava açılır. Daha sonra bu dava karşısında yüksek tazminatlar ile karşı karşıya kalınabilir. Yine devletin belli işleri yapmak için koyduğu standartlar vardır ve bu hukuksal standartların dışına çıkılırsa hukuksal yaptırımlar ile karşı karşıya kalınır. Devletin kendi içinde koyduğu veya devletler arası anlaşma ile düzenlenen konular olabilir. Örneğin, doğalgaz boru hatları veya uluslararası enerji anlaşmaları gibi anlaşmalarda buna konu olabilir. Ülkemizde de görüldüğü gibi büyük yatırım projelerinin, köprü hastane projeleri gibi, yurt dışı ortaklığıyla özel sektör tarafından yapılması, uluslararası tahkime konu olabilecek başlıklar doğuruyor. Dolayısıyla bir anda şirket uluslararası hukukun risklerini almaya başlıyor. 

Doğal Afet ve Felaket Konuları

Bir diğer alt başlık olan doğal afetler ve felaketler şu an aslında yaşamakta olduğumuz covid hastalığını örnek verebileceğimiz alt kırılımdır. Covid, insanoğlunun kendisinin çıkardığı değil doğa içerisinde gelişen ve insanın doğrudan müdahil olmadığı biçimde tüm dünya genelinde bir salgın hastalıktır ve bunu önceden yok etmek söz konusu olamıyor çünkü bilmediğiniz şeyi yok edemezsiniz dolayısıyla doğal afet kavramı ile karşı karşıya kalınıyor. Tabi kontrol altına almaya çalışılabilir, önlemler planlanabilir ve buna dair önceden “böyle bir senaryo gerçekleşirse ne yapabiliriz”i şirketlerin çalışması, planlaması ve öngörmesi buna bağlı kalarak A, B, C planları oluşturarak kurumsal risk yönetimi kavramı başlığı altında olası felaket durumlarında devreye alması gerekmektedir. Bunun en acı örneği ülkemizde 1999 yılında meydana gelen büyük depremdir. İstanbul’da, Kocaeli’de, Bursa’da, Adapazarı’nda, Düzce’de ana sanayi ve ticaret merkezi olan bir çok firma bu depremi yaşadı. Bir başka örnek vermek gerekirse; 1995 yılında İstanbul’un göbeğinde ayamama deresi taştı ve ana otoban yolun tamamı sular altında kalarak orada insanlar araçlarının içinde boğuldu. Akla gelir miydi? Gelmezdi. Ve bu örnekte Türkiye'de yerleşik telekomünikasyon şirketlerinin birinin data merkezi tamda ana yolun yanındaydı, dolayısıyla orayıda tamamen su bastı ve bütün dataların bazılarının geri döndürülemez şekilde kaybı yaşandı. Buda aslında dış çevre faktörlerine verilebilecek örneklerden biridir. 

Mevzuatsal Konular

Mevzuat konuları devlet çatısı altında bir regülasyon altında yapılıyor çünkü öbür türlü işin kuralı belirlenmemiş olursa orman kanunları geçerli olacağından ötürü sümerlilerden beri insanlık belli kanunları, mevzuatları, konuları yayınlıyor ve belli işlerin nasıl yapılabileceğini, işlerin düzenli ilerlemesine dair ana sektörel parçalarını ortaya koymaya çalışıyor. Tabiki bu mevzuatlar şirketlerin işine ister istemez yansıyor. Nasıl yansıyor? Örneğin, eskiden fiş kesilen yazar kasa ayrı pos cihazı ayrıydı. Dolayısıyla devlet nezdinde bazı vergi kayıpları doğabiliyordu. Kredi kartından geçirmekle birlikte ilgili satıcı fiş kesmeyip öyle bir satıcı resmiyette göstermeme yoluna yasal olmasada gidebiliyordu. Dolayısıyla o işin vergisini ödememiş oluyordu. Daha sonrasında devlet bir mevzuat yayınladı ve bu iki cihazın birleştiği, fiş ile birlikte kredi kartı slipinin beraber çıktığı yeni bir yazarkasa pos cihazı üreterek artık bunların kullanılacağını belirtti. Bu şekilde vergi kaçakçılığının önüne geçmiş olundu. Bununla beraber işletmelere bu ne getirdi? Eski cihazların hepsi çöp oldu. Çünkü devlet, şirketlerin mal satan her bir şubesinde bu yeni yazarkasa pos cihazları olması şartını koyarak eski cihazları işlevsiz hale getirdi. Dolayısıyla bakıldığı zaman devletin getirdiği bir mevzuat şahısları ve şirketleri ellerinde olmayan şekilde doğrudan etkilemiş oldu. 

Politik-Siyasal Konular

Ülkelerin hem iç hem de dış politikaları vardır. Her ikisi de şirketleri ister istemez etkiliyor ve bir risk barındırıyor. Bunlar; ülkenin ekonomik krize girmesi, belli politik krize girmesi, ülkeleri yöneten politikacıların çeşitli anlamda kaosa sürüklenme ile birlikte politik anlamda boşluklar doğması, ülkelerin politik anlamda birbirlerine karşı tehditkar olma ve politik ilişkilerin gerginleşmesi . Örneğin, Türkiye’de ki bir şirket Fransa'ya çok ciddi ihracat yapıyor ve Türkiye ile Fransa’nın politik anlamda ilişkileri gerilirse otomatik olarak Fransa’da ki müşteri Türkiye’deki şirketten mal almayı kesebilir veya şirket istediği kadar kaliteli üretse de şirkete göstermelik çok küçük hacimlerde sipariş verebilir. Şirket herşeyi çok iyi yaptığını düşündüğü bir anda hiç elinde olmayan bir şekilde müşterisini kaybedebilir. Bu tarz olayların önlemlerini almak, etkilerini ve olasılık hesaplarını yapmaya çalışmak ve buna görede aksiyon planlarını şimdiden ortaya koymak gerekmektedir.

Operasyonel Riskler

Operasyonel risk, bir şirketin belirli bir alanda veya sektörde günlük iş faaliyetlerini yapmaya çalışırken karşılaştığı belirsizlikleri ve tehlikeleri özetler. Bir tür iş riski, iç prosedürlerdeki, kişilerdeki ve sistemlerdeki arızalardan kaynaklanabilir. Dış olaylardan kaynaklanan riskler çoğu zaman daha olası gelsede şirketler kendileri için de bir risk kaynağıdır.

Operasyonel risk, şirketlerin günlük operasyonlarında beklenmedik bir başarısızlık anlamına gelir. Sunucu kesintisi gibi teknik bir arıza olabilir, çalışanlardan veya süreçlerden kaynaklanıyor olabilir.

İnsan yapımı prosedürleri ve düşünme süreçlerini yansıttığı için, operasyonel risk bir insan riski olarak özetlenebilir; insan hatası nedeniyle başarısız olan iş operasyonlarının riskidir. Endüstriden sektöre değişir ve potansiyel yatırım kararlarına bakarken yapılması gereken önemli bir husustur. Daha düşük insan etkileşimi olan sektörlerin daha düşük operasyonel riske sahip olması muhtemeldir. Örneğin, şirket çalışanlarından biri müşteri hesabına 10.000 TL yerine 100.000 TL ödeyerek bir çeke yanlış miktar yazabilir.

Bu bir "insan" başarısızlığıdır, aynı zamanda bir "süreç" başarısızlığıdır. Daha güvenli bir ödeme sürecine sahip olunması, örneğin ikinci bir personelin her büyük ödemeye yetki vermesi veya gözden geçirme için olağandışı tutarları işaretleyen bir elektronik sistem kullanılmasıyla engellenebilirdi.

Bazı durumlarda, operasyonel risk, doğal afet veya elektrik kesintisi gibi kontrolünüz dışındaki olaylardan veya web sitenizin sunucusundaki bir sorundan da kaynaklanabilir. Şirketinizin temel operasyonlarını kesintiye uğratan her şey operasyonel risk kategorisine girer.

Olaylar, daha önce bahsettiğimiz büyük stratejik risklerle karşılaştırıldığında oldukça küçük görünse de, operasyonel risklerin şirketiniz üzerinde hala büyük bir etkisi vardır. Yalnızca sorunu çözmenin maliyeti değil, aynı zamanda operasyonel sorunlar da müşteri siparişlerinin teslim edilmesini engelleyebilir veya şirkette iletişim kurmayı imkansız hale getirebilir, bu da gelir kaybına ve şirketin itibarının zarar görmesine neden olabilir.

Operasyonel Risk ve Finansal Risk Arasındaki Fark

Kurumsal bağlamda finansal risk, bir şirketin nakit akışının yükümlülüklerini, yani kredi geri ödemelerini ve diğer borçlarını karşılamak için yetersiz olması olasılığını ifade eder. Bu yetersizlik, yönetim (özellikle şirket finans uzmanları) tarafından alınan kararların yanı sıra şirket ürünlerinin performansı ile ilgilidir ve bunlardan kaynaklanabilmesine rağmen, finansal risk operasyonel riskten farklı olarak kabul edilir. Çoğu zaman, şirketi kârlı bir işletme haline getirmeye yönelik günlük çabalardan ziyade, şirketin finansal kaldıraç ve borç finansmanı kullanımı ile ilgili olduğu için operasyonel risk ve finansal risk birbirinden ayrılmaktadır.

Kurumsal Risk Yönetimi Kapsamında, Riskleri Tespit Etmek İçin Yaygın Olarak Kullanılan Yöntemler Nelerdir?

Etkili kurumsal risk yönetimi, günümüzün düzenleyici ortamında giderek daha önemli hale gelmektedir. Düzenleyiciler ve derecelendirme kuruluşları, şirketlerin kendi risk profillerini iyi anlamalarını ve risklerini azaltmak için uygun yönetim yapısını uygulamalarını bekler.

Bir şirket risk değerlendirmesi yürütmek, bir kuruluşun karşılaştığı risklerin bütünsel bir görünümünü elde etmesine ve yönetimin bu riskleri tanımlamasına ve fırsatlardan yararlanmasına olanak sağlayabilir. Riskler, bir şirketin hayatta kalma, sektör içinde başarılı bir şekilde rekabet etme ve ürün, hizmet ve çalışanlarının genel kalitesinin yanı sıra mali gücünü ve olumlu kamu imajını koruma becerisini etkiler.

Şirket sahipleri, yöneticileri vs. amaçlarını ve hedeflerini göz önünde bulundurarak, şirket içindeki kendi bakış açılarından riskleri düşünmelidirler. "Doğal Afet Riski" gibi sigorta riskinden "Dış Kaynak Kullanımı ve Hizmet Sağlayıcı Riski" gibi operasyonel risklere kadar her şeyi göz önünde bulundurmalıdırlar.

Pek çok farklı risk türü vardır - yasal riskler, çevresel riskler, piyasa riskleri, düzenleyici riskler ve çok daha fazlası. Bu risk faktörlerinin mümkün olduğunca çoğunun belirlenmesi önemlidir. Bu noktada tabiki riskin yönetilmesi kavramı riskin analiz edilmesi ile başlıyor. Riskin analiz edilmesi de belli metodolojilerle gerçekleşiyor. İlk söylenmesi gereken yöntem SWOT analizi yöntemidir. Şirketin güçlü, zayıf yönlerini ve fırsatları, tehditleri belirlemeye yönelik bir çalışmadık ve stratejiler belirlenirken yapılması gereken bir adımdır. Risk aslında şirketlerin stratejini planlarken içinde olmalı çünkü ancak bu şekilde homojen bir planlama elde edilebilir. Dolayısıyla riski planlamak demek stratejiyi belirlerken bu riske göre belirlemeyi içermektedir. 

Günümüzde değişen bir kavramında altını çizmekte fayda var. Risk kavramı aslında geçmişten bugüne kadar hem şirketlerde hem literatürde aslında hep negatif bir şey olarak isimlendirilmiştir veya o yöne doğru çekilmiştir. Gelecekteki olumsuzlukları ve bu olumsuzlukların şirketin iş yapış şekillerini irdelenmektedir. Fakat günümüzde bu kavramında değişmeye başladığını, kutunun dışında düşünme gerekliliğinden ortaya çıktığını belirtmek gerekir. Aslında risk kavramına olumsuzluktan ve tehditten ziyade bir fırsatla eşdeğer görmek ve bu fırsatla eşdeğer görme kavramını içselleştirme artık günümüzde çok daha etkin bir yöntem haline geldi. Çünkü riskler şirketleri gelecekteki tehditlere dair düşünmeye sevk ediyor bununla beraber bir fırsat görmeninde kapısını açıyor. Örneğin, diyelim ki ciddi bir ekonomik kriz oldu firmalar kapandı insanların geliri düştü dolayısıyla alışveriş yapamıyorlar vs. buna bağlı olarak şirket, bir ürünü mağazacılık kanalı üzerinden satmak istiyorsa buna şu şekilde bakılabilir; bir kriz çıktığı zaman (daha kriz olmadan şirketin risk planını yaptığını var sayıyoruz) evet insanların geliri düşecek ama insanlar yemeye devam edecekler ve şirket bu zamanlarda diyelim ki  avm'lerde yer almak istiyor ama hem kiralar yüksek hem dükkan bulunmuyor. Ancak kriz zamanlarında ar tarda dükkanların kapatıldığı için avm yönetimi de kiraları aşağı çekecektir ve ödeme planında kolaylıklar göstereceklerdir. Dolayısıyla şirket, burada bir fırsat görüp bu riski analiz ettiği zaman bir tehdit-fırsat durumu ortaya çıkmaktadır. Evet bu bir risk , bu riskin şirkete yarattığı tehdit nedir? Şirkete  yarattığı fırsat nedir? sorularının cevapları ile çok açık bir şekilde yol haritaları belirlenerek şirketin kriz anında ciro bazında kara geçmesi sağlanabilir. Dolayısıyla aslında yatırımcı nakit parasını iyi zamanda kenarda biriktirip bu tarz yatırımları (krizin geleceğini, belli bir yakın veya orta vade için ön görüyorsa) şimdi yatırım yapmayıp  yeni iş planını kriz dönemine denk getirmeyi ve çok daha ucuz kiralar ile başlayarak ve devamında da ucuz kiralar ile devam ederek bir iş modeli kurgulayabilir. Bu şekilde herkes tarafından olumsuzluk ve tehdit olarak algılanan risk kavramı avantaja çevrilmiş olur. Dolayısıyla bir yöntem olarak fırsat-risk matrisinin hayatımıza girmesi kurumsal risk kavramı içerisinde yeni bir olgudur.

 

Bir diğer konu ise risk envanteri çalışması yapılmasıdır. Analiz çalışmasının da ana adı olarak ortaya çıkmaktadır. Daha önce saydığımız stratejik, finansal, dış çevre, operasyonel riskler başlığı altında şirketlerin bütün iç süreçlerini elden geçirip, bunun bir analizini yapması gerekiyor. Bu analizi yaparken şirketlerin kendilerine şu soruları sormalılar; 

  • Gelecekteki işimi etkileme olasılığı olan olgu nedir? 
  • Bu olgunun gerçekleşme olasılığı nedir? 
  • Bu olgu gerçekleşirse bana yaratacağı etki nedir? 
  • Önem sırası nedir? 
  • Neticede bu gerçekleşirse benim almam gereken veya alabileceğim aksiyonlarım nelerdir? 
  • Bu riskin gerçekleşmesi durumunda uygulamaya geçirebileceğim projeler ne olabilir? 

Bütün bunları kapsayan bir risk envanterinin oluşturulması ana yöntemlerden biri olarak ortaya çıkmaktadır. Bunun yapılabilmesi için belli araçlar kullanılabilir. Analizler sırasında birebir mülakatlar olabilir, anket yöntemleri olabilir fakat bu anketlerin soru setleri üzerinde çok ciddi şekilde düşünülmesi gerekmektedir. Daha sonrasında küçük grup ve büyük grup çalıştaylarıyla ile beraber arama konferansları diye tabir edilebilecek, riski aramak için şirket genelinde belli çalıştaylar düzenlenebilir. 

Bir diğer başlıkta bazı online araçlarla, dış kaynak kullanımlarıyla riskin tespit edilmesi için özellikle teknik riskler bağlamında belli yazılımsal veya donanımsal araçlar kullanılabilir. Departmanların birbirleriyle olan iletişimleri ne kadar uyumlu ve sağlıklı bir şekilde sağlanabilirse iletişim kuvveti sayesinde ortaya çıkabilecek herhangi bir olumsuzluk erken farkedilerek gerekli önlemler alınarak yürürlüğe sokulabilir. Şirketler açısından en büyük problemlerden biri olan departmanlar arası iletişimsizlik bu yazılımsal ve donanımsal çözümler ile giderilerek, şirketin karşı karşıya kalabileceği veya kaldığı riskler öncesinde belirlenmiş olur.

Risk değerlendirme süreci sürekli devam eden bir süreçtir ve zaman içinde revize edilmelidir. Şirket risklerinin tam bir resmi görülmeden ve bunları azaltan kontrolleri ve süreçleri gerçekten anlamadan önce birkaç kez tekrarlanabilir. Sürecin sonucu, yönetime ve çalışanlarına şirket risk profilini ve riski azaltmada kontrol ortamının önemini daha iyi anlamalarını sağlar.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.