Risk Yönetimi Nedir?

Risk yönetimi, günlük hayatımızda sıkça karşımıza çıkan ve sadece işletmelerin konusu olan bir durum değildir. Kişisel bazdan şirket bazına, tüm içinde bulunduğumuz organizasyonlardan devletlere kadar herkes, risk faktörü ile iç içe yaşamaktadır. Risk, gelecekte gerçekleşme ihtimali olan ve kendimizin veya kurumumuzun faaliyetlerini etkileme ihtimaline sahip iç ve dış çevre faktörlerinin gerçekleştiği sürecin ismidir. Risk geçmişe dair değil, geleceğe dair bir kavramdır. Gelecekteki olayların, stratejilerimizi, hedeflerimizi ve iş yapış şekillerimizi etkileme ihtimaline verilen isimdir. Bu şekilde baktığımız zaman hayatımız boyunca risk ile karşı karşıya olduğumuzun farkına varmalıyız. Hiç kimse iş hayatında ya da özel hayatında, bir gün hatta bir dakika sonrasında bile neyle karşılaşacağını bilemez. Dolayısıyla riski doğuran nokta belirsizlik kavramıdır. 

Bir riskin kapsamı şu şekilde ifade edilebilir:

Risk = Olasılık x Önem

Olasılık, bir olayın meydana gelme ihtimalidir ve ciddiyet, ortaya çıkan kaybın kapsamı ve maliyetidir.

Genel olarak, riskler iki kategoriye ayrılabilir:

  • Saf Risk: Olası sonuçların kayıp olduğu veya hiç olmadığı risklere denir. Yangın kaybı, soyulan bina, bir çalışanın motorlu taşıt kazasına karışması vb. gibi olayları içerir.
  • Spekülatif Risk: Olası sonuçların bir zarar, kâr veya statüko olduğu risklere denir. Borsa yatırımları ve yeni ürün serileri, yeni lokasyonlar vb. gibi iş kararları noktalarını içerir.

 

İpucu

Kurumsal Risk Yönetimi Danışmanlığı yaklaşımımızı, danışmanlık sürecimizin detayları ve bu hizmetimizin püf noktalarının açıklandığı Kurumsal Risk Yönetimi Danışmanlığı sayfamız ilginizi çekecektir.

 

“Risk, güçsüz olduğunuz bir şeyi kontrol etmeye çalışmaktır.” 

Eric Clapton

Hem kişiler, hem kurumlar, hem de ülkeler olarak gelecekte neyin yaşanacağını bilmediğimiz için, bizler risk diye bir kavram tanımlarız ve bu şekilde bu işi yönetilebilir hale getirmeye çalışırız. Buradan da risk yönetimi kavramı doğar. Risk yönetimi, gelecekte karşılaşabileceğimiz ve hayatımızı, kurumumuzun işleyişini ve stratejilerimizi etkileme potansiyeline sahip davranış veya aksiyonları, bu günden planlanarak yönetilebilir hale getirme sürecine verilen isimdir. Dolayısıyla risk yönetimi, çok önemli bir kavramdır. Aslında kişisel hayatımızda da hiç farkında olmadan çok ciddi risk yönetimleri yaptığımızın farkında olmalıyız. Örneğin, yarın bir seyahate çıkacağız. Bu kapsamda yaptığımız ilk aksiyonlardan biri, havanın yağmurlu olup olmadığını görmek için internetten hava durumunu kontrol etmektir. Bu, risk yönetimini yapabilmenin bir parçasıdır. Eğer havanın yağmurlu olma ihtimali varsa üzerimize ona göre kıyafet alacağız ve mekanımızı ona göre seçeceğizdir. Aksi durumlarda da riskin gerçekleşme ihtimalini hesaplayıp belli aksiyonlar almak durumundayız. 

Özetle, risk yönetimi, riskin bir organizasyon üzerindeki olumsuz etkilerini en aza indirecek kararlar alma ve uygulama sürecidir. Riskin olumsuz etkileri, sigorta primleri ve hasar maliyetleri gibi nesnel, ölçülebilir veya sübjektif olabilir. İtibarın zedelenmesi veya üretkenliğin azalması gibi konularda da ölçülmesi zorlaşabilir. Bir işletme odaklanarak riski kontrol eder ve azaltmak için gerekli kaynakları taahhüt ederse kendini belirsizlikten korur, maliyetlerini düşürür ve iş sürekliliği ve başarı olasılığını artırır.

Kurumsal Risk Yönetimi Nedir?

Kurumsal risk yönetimi aslında risk yönetimi kavramının alt başlığıdır. Adından da belli olduğu üzere,  şirketlerin, firmaların vb. kuruluşların, bünyesinde gerçekleşecek riskleri yönetme sürecine verdikleri isimdir. Her bir kurumun organizasyonu vardır ve bu organizasyonun içerisinde farklı departmanları vardır. Kurumsal risk yönetimi kavramı, bu farklı departmanların hepsine üstten bir bakışla ele alınmasına verilen addır.

Örneklemek gerekirse, satın alma departmanı kendi risk değerlendirmesini yapabilir ve kendi risk gördüğü faktörleri yönetmek ile ilgili aksiyonlar planlayabilir. Finans departmanı, tedarikçi firmadan satın alınacak belli finansal metriklerini çok ciddi bir risk olarak tanımlayabilirken satın alma departmanı bu faktörü risk olarak tanımlamayabilir. Sadece satın alma departmanı olarak olaya bakarsak eğer kurumsal bir risk değerlendirmesi yapmış olmayız çünkü işin bir de satın alma departmanının hâkim olmadığı finansal boyutu olabilir. Dolayısıyla bütün bu riskleri, üst yönetim bazında, yani kurumun genel işleyişi ve üstten bakışı anlamında yönetebilmek için kurumsal risk yönetimi tanımı ortaya çıkmıştır. 

“Yaşadığımız her an önümüzde iki seçenek vardır; gelişime doğru bir adım atmak ya da güvende hissetmek için bir adım geri kalmak.”

Abraham Maslow

Kurumsal risk yönetimi kavramının uygulamasının yerleşmesi ve şirketlerde devreye girmesi çok eskiye dayanmamaktadır. Türkiye'nin önemli şirketlerinde ve holdinglerinde bile bu kavramın 2000'li yılların ortasından itibaren devreye girdiğini ve bununla ilgili organizasyonel yapıların 2010'lu yıllarda oluşturulmaya başlandığını söyleyebiliriz. Mazisi bir 10 yıl kadar olan ama geçmişten bugüne kadar hayatımızda yer alan ve teknoloji ve verinin anlam kazanmasıyla beraber daha da hayatımızın içine giren  olmazsa olmaz bir süreç haline gelmiştir.

Her şeyden önce kurumsal risk yönetimi bir süreçtir. Bunu tespit etmek lazımdır çünkü kurumsal risk yönetimi bir seferlik yapılıp biten bir iş değildir. Farklı kişiler, departmanlar, stratejiler ve iş yapış şekilleri gibi süreç adımlarının yer aldığı, tam olarak net bir zaman takvimi olmayan, şirket veya kurum yaşadıkça devam eden ve sürekli iyileştirmeye tabi olan bir kavramdır.

Kurumsal risk yönetimi ile iç denetimi de aynı cümle içerisinde kullanabiliriz. Bu iki kavram aslında birbirinin tamamlayıcısıdır. Kurumsal risk yönetimi geleceğe, iç denetim ise geçmişe bakar. İkisi, aynı noktada durup yüzünüzü bir tarafta geleceğe çevirmek, diğer tarafta ise geçmişe doğru çevirmektir. Her ikisinde de analiz, kontrol ve denetim fonksiyonları vardır. İç denetimde geçmiş verileri değerlendirip analiz edersiniz ve daha sonrasında şirketin veya kurumun işleyişinde bir problem olup olmadığını, açıkları ve yaşanan olumsuzlukları geçmiş yüküyle beraber ele alırsınız. Kurumsal risk yönetiminde durum farklıdır. Burada tamamen gelecekteki olaylara odaklanırsınız. Bir şirketin stratejileri ve misyonu doğrultusunda;

  • Gelecekte bu strateji ve misyona zarar verme, sekteye uğratma, olumsuzluklar yaşatma ihtimali olan iç veya dış çevre faktörlerini bugünden analiz eder,
  • Planlar,
  • Planladığınız ve analiz ettiğiniz olguların etki ve olasılık kavramlarını irdeleyerek önceliklendirme ortaya çıkartı,
  • Önceliklendirmeye göre her bir durum gerçekleştiği takdirde almanız gereken aksiyonların neler olduğunu bugünden planlarsınız. 

Günümüzde bazı kurumlar, bunun adına kurumsal risk yönetimi demeseler de, şirketleri adına daha sağlıklı bir gelecek için birçok önlem politikası izlemektedir.

Örneğin, aile şirketi kavramı Türkiye’deki şirketlerin %99'unu oluşturmaktadır. Günümüzde aile şirketlerinde çok sıklıkla yaşanan önemli taleplerden biri de; aile şirketi anayasası hizmetidir. Baktığınız zaman bu bir ailenin ve kurumun da içinde barındığı, riski yönetme mekanizmasının dışa vurulmasıdır. Aile anayasası hazırlamaktaki amaç, şu anda var olan aile üyelerinin kendi aralarında yaşanabilecek sorunlarını şimdiden öngörüp, bunlara bir çözüm arayarak şimdiden planlamaktır. Daha sonrasında şahıslar, gelecekteki riskleri yönetmek için bunu imza altına alıp yazılı hale getirerek süreci tanımlar. Bu sayede olası negatif durumlardaki alınacak aksiyonları bugünden planlamış olurlar.

Baktığınız zaman çoğu kişinin farkında olmadan aldığı bir hizmet olan aile şirketi anayasası danışmanlığı, kurumsal risk yönetiminin alt bir hizmetidir. Bu örnekten hareket edersek kurumsal risk yönetimi gelecekteki yaşanacak olumsuzlukların önüne geçmek için kurgulanmış bir yönetim metodolojisidir.  Bu kapsamda Albert Solino olarak yönetim danışmanlığı başlığı altında kurumsal risk danışmanlığı vermekteyiz.

“Önce kuralları tam bir profesyonel gibi öğrenin. Sonra onları bir sanatçı gibi kırın.” 

Pablo Picasso

 

Kurumsal Risk Yönetimi Nedir?

Her işletme, şirketin zararına olabilecek veya kalıcı olarak kapanmasına neden olabilecek beklenmedik, tehlikeli olaylar riskiyle karşı karşıyadır. Risk yönetimi, kuruluşların riskleri ve ekstra maliyetleri gerçekleşmeden önce en aza indirerek beklenmedik durumlara hazırlanmaya çalışmasına olanak tanıyan bir sistemdir.

Bir kuruluş, kurumsal risk yönetim planı uygulayarak ve çeşitli potansiyel riskleri veya olayları oluşmadan önce fark ederek tasarruf edebilir ve geleceğini koruyabilir. Bunun nedeni, sağlam bir kurumsal risk yönetim planının, bir şirketin olası tehditlerden kaçınmak, ortaya çıktıklarında etkilerini en aza indirmek ve sonuçlarla başa çıkmak için prosedürler oluşturmasına yardımcı olmasıdır.

Riski anlama ve kontrol etme yeteneği, kuruluşların iş kararlarında daha emin olmalarını sağlar. Ayrıca, özellikle risk yönetimine odaklanan güçlü kurumsal yönetim ilkeleri, bir şirketin hedeflerine ulaşmasına yardımcı olabilir.

Kurumsal risk yönetiminde detaylara baktığımız zaman, her bir kurumun bir organizasyonu vardır ve bu organizasyonun içerisinde farklı departmanları vardır. Kurumsal risk yönetimi kavramı bu farklı departmanların hepsine üstten bir bakışla ele alınmasına verilen addır.

Örneklemek gerekirse, satın alma departmanı kendi risk değerlendirmesini yapabilir, kendi risk gördüğü faktörleri yönetmek ile ilgili aksiyonlar planlayabilir, bu da çok olumludur fakat satın almanın risk görmediği, satın alacağı tedarikçi firmadaki belli finansal metrikleri finans departmanı çok ciddi bir risk olarak tanımlayabilirken satın alma departmanı bu faktörü risk olarak tanımlamayabilir.

risk yönetimi nedir

Kurumsal Risk, işletme ve organizasyonların sürdürülebilirliğine zarar verebilecek, mevcut yapı ve işleyişlerini sekteye uğratma potansiyeline sahip olan görünen veya görünmeyen tüm olay ve durumlar olarak tanımlanabilir. Dört çeşit kurumsal risk yönetimi türü vardır. 

Risk Yönetimi Türleri

Risk yönetiminin 4 çeşidi bulunmaktadır:

1)Tehdit Risk Yönetimi

Yaşam, sağlık veya mülk için yüksek düzeyde tehdit oluşturan riskleri içerir.

  • Makroekonomik Durum
  • Hukuki etkenler
  • Terörizm
  • Doğal afetler

2)Finansal Risk Yönetimi

Doğrudan para ile ilgili riskleri ifade eder. Maliyetlerde artış veya gelirlerde düşüş gibi finansal sonuçları içerir.

  • Borçlanma ve Faiz Oranları
  •  Varlık Sorunları
  • Amortisman Süresi
  • Ham Madde ve/veya Yarı Mamül Fiyatları

3)Stratejik Risk Yönetimi

Stratejik iş kararlarını etkileyen veya bunların yarattığı risklerdir.

  • Arz-Talep Dengesizliği
  • Entegrasyon sorunları
  • Piyasadaki Fiyatlandırma Baskısı
  • Kanun, Yönetmelik ve Regülasyonlar
  • Sektördeki gerilemeler

4)Operasyonel Risk Yönetimi

Bir kuruluşun operasyonlarını önemli ölçüde etkileyen risklerdir.

  • Zayıf Kapasite
  • Tedarik Zinciri Sorunları
  • Çalışan Sorunları

Risk Türleri Nedir?

İşletmeler, bazıları ciddi kar kaybına ve hatta iflasa neden olabilecek her türlü riskle karşı karşıyadır. Ancak tüm büyük şirketler kapsamlı "risk yönetimi" departmanlarına sahipken, küçük işletmeler konuya bu kadar sistematik bir şekilde bakmama eğilimindedir. Baktığımız zaman kurumsal risk kavramı şirketlerin bütün hayatını etkileyen, her attıkları adımda karşılarına çıkan bir olgudur. Her yerde var olduğu için bunu anlayabilmek ve içselleştirmek adına biraz daha yapısal bir şekilde ele almamızda fayda var. 4 başlıkta incelemek gerekirse;

  1. Stratejik riskler 
  2. Finansal riskler
  3. Dış çevre riskleri
  4. Operasyonel riskler.

Stratejik Riskler

Şirketlerin her şeyinin başladığı yer stratejidir. Başarılı bir işletmenin kapsamlı, iyi düşünülmüş bir iş planına ihtiyacı olduğunu herkes bilir. Ama aynı zamanda bir şeylerin değişmesi hayatın bir gerçeğidir ve en iyi hazırlanmış planlarınız bazen çok hızlı bir şekilde çok modası geçmiş görünebilir.

Bu stratejik risktir. Bu, şirketinizin stratejisinin daha az etkili hale gelmesi ve bunun sonucunda şirketinizin hedeflerine ulaşmakta zorlanması riskidir. Bunun nedeni teknolojik değişiklikler, pazara giren güçlü yeni bir rakip, müşteri talebindeki değişiklikler, hammadde maliyetlerindeki artışlar veya diğer büyük ölçekli değişiklikler olabilir.

Şirketler adını koysa da koymasa da aslında bir strateji, vizyonla ve bu vizyonu gerçekleştirmek için bir misyonla doğuyorlar. Aslında bir iş kurulduğu zaman gelecekte nereye ulaşmak istediğine dair bir hayal ve hedefle kuruluyor. Bu hedefe ulaşmak için neler yapması gerektiğine dair ilk dönem teorileri ile yani misyonu ile doğuyor. Dolayısıyla bununla doğan bir şirket, yol boyunca güncellediği bu strateji yolculuğunda aslında koca bir risk ile karşı karşıya .

Bu stratejiler birçok risk içeriyor; hedeflerin gerçekleşmeme ihtimali, az veya çok gerçekleşme ihtimali, bu hedefler ile alakalı hedeflerin yanlış konulmuş olma ve şirketi bambaşka yöne getirme riskleri. Baktığımız zaman bütün bunlar aslında risk kavramının içerisindedir. Bu noktada stratejiyi ilgilendiren, sadece hedeflerle ilgili riskler değildir. Strateji demek, şirketin kurucularının, sahiplerinin, hissedarlarının veya üst yönetimin gitmek istedikleri yeri ve rotayı belirledikleri bir süreç ve sürekli aktif olan bir süredir.

“Tedbir daima bilgeliğin aracıdır.”

Patrick Rothfuss

risk türleri

Günümüz dünyasında  stratejiler sürekli değişmektedir. Örneğin bu sene covid senesindeyiz ve aralık ayında şirketlerin konuştuğu ve 2020 ye dair belirttikleri stratejiler neydi, 3-4 ay sonrasında yapılan ve konuşulan işler neydi diye bakmak lazım. Dolayısıyla stratejiler gerçekten çok ciddi risklere gebe ve bu stratejiler sadece yazılı bazda belli sözcükleri içermiyor. Uygulamada olan straejiler, yani şirketlerin iş yapış biçimlerinin stratejileri, finansa dönük stratejileri, satış veya müşteriye dönük stratejileri ve dahası da bu kavramın altına girmekte.

Baktığınız zaman iç kontrolde olan yani şirketin aslında kendi içinde belirlediği, bu belirlediği şeylerin iç veya dış faktörler ile değişmesi riski bulunan konularda açıkçası çok ciddi riskler doğurabiliyor. Bu faktör, stratejik riskler olarak mutlaka ele alınması gerekiyor. Bir dipnot olarak; stratejinin tanımının da gereği olarak, stratejik riskler belki de (bir risk aslında yapacağı etki ve olasılığı ile ölçülür) ister istemez etki katsayısı belli bir rakamın üzerinden başlıyor gibi var sayabiliriz. Yani bir başka deyişle patronun hayatını en çok etkileme ihtimali olan riskler bu grupta yer alıyor.

Finansal Riskler

Finansal risk kavramı firmalara diğer geri kalan 3 ana risk başlığından daha yakın gelen bir başlıktır çünkü finansla uğraşmayı, yani şirketi ayakta tutan para konusu ile uğraşmayı gerektiriyor ve bugün baktığınız zaman aslında köşe başındaki bakkal bile finansal risk yönetimi yapıyor. Nasıl yapıyor? Yazılımlar mı kullanıyor? Hayır. Departman mı kurmuş? Hayır. Bağımsız yönetim kurulu üyesi mi almış? Hayır. Yaptığı şey en basitinden; peynir alıyor ve o alacağı peyniri ödeme vadesini, müşteriye satacağı fiyatı belirliyor ve parayı bunlar arasındaki iyi kötü uyumsuzluğu görüp, duruma göre üzerine bunu kompas edecek kar marjı koyuyor ya da peyniri gerçekten bu vadeye uyumlu satan tedarikçiden alıyor. Burada finansal risk yönetimi vardır.

Kurumsallaşmış şirket ölçeğinde hemen örnek verecek olursak, birçok firmada ülkemizde de sıcak gündem olan kur konuları var ve  ister istemez firmalar döviz ile iş yapıyor. Bunun çeşitli sebepleri var. Ya firma ithalatçı olarak Türkiye'de ürün satıyor ve doğrudan döviz ile ithalat yapıyor ama günün sonunda tl olarak satıyor. Başka bir versiyonu, firma imalatçı ve yurt dışı ağırlıklı satış yapıyor ama diyelim ki ürünlerinin bir kısmı ithal geliyor veya ithalatı dolarla yapıyor. Sattığı ürünü Avrupa ülkeleri euro'yla alıyor ve dolayısıyla orada da bir kur farkı oluşuyor.

Günümüzde de artık hem Türkiye özelinde, hem dünya genelinde döviz dediğimiz kavram çok yüksek dalgalarda hareket etmekte ve buda riski artırmaktadır. Dolayısıyla firmalar bunu özellikle Türkiye'nin 2001 yılında yaşadığı çok yoğun döviz odaklı krizden sonra bu finansal risk kavramına firmalar biraz daha aşina oldular ve bunu yönetmeye başladılar. İlk başlarda finansal departmanların içerisinde yönetilmeye başlandı. Sadece döviz riski olarak başladılar ama şirketlerde risk yönetimi sadece bu kavramdan ibaret değildir. 

finansal risk

Bir diğer finansal risk kavramına bakıldığı zaman şirketle alakalı bütçe kavramı ile ilgili riskler olduğu da söylenebilir. Yani şirketlerin mutlaka her ölçekte bütçe yapmaları gerekmektedir. Buradaki bütçeye göre bazı aksiyonlar alınacağı aşikardır. Fakat bu aksiyonların ve bu bütçe tahminlerinin eksik gerçekleşme ihtimalinde bir B planı ya da yaratacağı olumlu veya olumsuz etki de hem finansal riski ilgilendiren bir konu hem de ana stratejiler ile bağlantısı itibariyle aslında stratejik risk kavramının içerisinde yer alan bir konu olduğu da düşünülebilir.

Günümüzde, bu finansal riskte özellikle döviz tarafını yönetebilmek için Türkiye'deki şirketlerinde biraz daha aşina hale geldiği bazı kavramlar vardır. Bunlardan bir tanesi Hedge kavramıdır. Örneğin, riskin belirsizlik ile paralel ilerlediğini göz önünde bulunduracak olursak, amerikan doları, gelecekte dolar kurunun ne olacağını bilmediğimiz için aslında bu durum şirketler için bir risk meydana getiriyor.

İthalat olabilir, ihracat olabilir veya birçok şey günümüzde akaryakıttan tutunda yediğimiz içtiğimiz temel ithal ürünlere kadar birçok şey döviz ile belirleniyor. Dolayısıyla dövizin değişmesi çok ciddi belirsizlik meydana getiriyor. Bunu yönetebilmek adına finansal dünyada finansal enstrümanlar yaratıldı.

Bunlardan bir tanesi Hedge kavramıdır. Bu kavramı tanımlamak gerekirse, iş yapılan firma ila dövizi sabitleyerek gelecekteki bir günde doların artması veya azalması ile karşılaşılabilecek zararı minimum seviyede tutmaktır. O gün geldiğinde dolar kuru bir ölçüde daha düşük veya fazla olabilir ama en azından şirket bunu bugünden sabitlediği için 6. ay sonrasına dair belirsizliği ortadan kaldırmış olur. Bu doğrultuda şirketin buna göre strateji oluşturması ve 6 aylık hesaplarını buradaki dolar kuruna sabitlemesi ile kardan zararda edebilir, zararını kara da dönüştürebilir ama her iki durumda şirket yönetilebilir hale gelmiş olur. Dolayısıyla Hedge kavramı, kurumsal risk yönetimi adına çok ciddi ortaya çıkan kavramlardan bir tanesidir. Firmalar, finansal enstrümanlar konusuna titizlikle eğilmelidir.

Dış Çevre Riskleri

Dış çevre riskleri, şahısların, kurumların dışında bulunan ve dışarıdan kaynaklı ve kişisel veya firmasal kontrol-müdahale şansının olmadığı risklerdir. Bu risklere örnek olarak; 

  • hukuksal konular, 
  • mevzuatsal konular, 
  • siyasal-politik konular,
  • doğal afet felaket konuları verilebilir. 

Hukuki Konular 

Hukukta yeni gelen bir mevzuat veya mevcut mevzuatta şirketlerin farkında olmadığı bir konudan dolayı şirketler ciddi manada hukuksal riskleri taşıyor olabilirler. Örneğin, gıda sektöründe üretilen ürünler ile alakalı hukuksal bir mevzuat var ve şirket bu detayı atlamış. Gıda ürününün içinde bulunmaması gereken maddeyi farkında olmadan bulundurarak bir insana zarar verebilir ve bu hukuksal bir risk ortaya çıkarır hatta duruma göre buna devlette dahil olabilir ve şirkete dava açılır. Daha sonra bu dava karşısında yüksek tazminatlar ile karşı karşıya kalınabilir.

Devletin belli işleri yapmak için koyduğu standartlar vardır ve bu hukuksal standartların dışına çıkılırsa hukuksal yaptırımlar ile karşı karşıya kalınır. Devletin kendi içinde koyduğu veya devletler arası anlaşma ile düzenlenen konular olabilir. Örneğin, doğalgaz boru hatları veya uluslararası enerji anlaşmaları gibi anlaşmalarda buna konu olabilir. Ülkemizde de görüldüğü gibi büyük yatırım projelerinin, köprü hastane projeleri gibi, yurt dışı ortaklığıyla özel sektör tarafından yapılması, uluslararası tahkime konu olabilecek başlıklar doğuruyor. Dolayısıyla bir anda şirket uluslararası hukukun risklerini almaya başlıyor. 

risk yönetmek

Doğal Afet ve Felaket Konuları

Bir diğer alt başlık olan doğal afetler ve felaketler şu an aslında yaşamakta olduğumuz covid hastalığını örnek verebileceğimiz alt kırılımdır. Covid, insanoğlunun kendisinin çıkardığı değil doğa içerisinde gelişen ve insanın doğrudan müdahil olmadığı biçimde tüm dünya genelinde bir salgın hastalıktır ve bunu önceden yok etmek söz konusu olamıyor çünkü bilmediğiniz şeyi yok edemezsiniz dolayısıyla doğal afet kavramı ile karşı karşıya kalınıyor. Tabi kontrol altına almaya çalışılabilir, önlemler planlanabilir ve buna dair önceden “böyle bir senaryo gerçekleşirse ne yapabiliriz”i şirketlerin çalışması, planlaması ve öngörmesi buna bağlı kalarak A, B, C planları oluşturarak kurumsal risk yönetimi kavramı başlığı altında olası felaket durumlarında devreye alması gerekmektedir.

Bunun en acı örneği ülkemizde 1999 yılında meydana gelen büyük depremdir. İstanbul’da, Kocaeli’de, Bursa’da, Adapazarı’nda, Düzce’de ana sanayi ve ticaret merkezi olan bir çok firma bu depremi yaşadı. Bir başka örnek vermek gerekirse; 1995 yılında İstanbul’un göbeğinde ayamama deresi taştı ve ana otoban yolun tamamı sular altında kalarak orada insanlar araçlarının içinde boğuldu. Akla gelir miydi? Gelmezdi. Ve bu örnekte Türkiye'de yerleşik telekomünikasyon şirketlerinin birinin data merkezi tamda ana yolun yanındaydı, dolayısıyla orayıda tamamen su bastı ve bütün dataların bazılarının geri döndürülemez şekilde kaybı yaşandı. Buda aslında dış çevre faktörlerine verilebilecek örneklerden biridir. 

kurumsal risk analizi örneği

Mevzuatsal Konular

Mevzuat konuları devlet çatısı altında bir regülasyon altında yapılıyor çünkü öbür türlü işin kuralı belirlenmemiş olursa orman kanunları geçerli olacağından ötürü sümerlilerden beri insanlık belli kanunları, mevzuatları, konuları yayınlıyor ve belli işlerin nasıl yapılabileceğini, işlerin düzenli ilerlemesine dair ana sektörel parçalarını ortaya koymaya çalışıyor. Tabiki bu mevzuatlar şirketlerin işine ister istemez yansıyor. Nasıl yansıyor? Örneğin, eskiden fiş kesilen yazar kasa ayrı pos cihazı ayrıydı. Dolayısıyla devlet nezdinde bazı vergi kayıpları doğabiliyordu. Kredi kartından geçirmekle birlikte ilgili satıcı fiş kesmeyip öyle bir satıcı resmiyette göstermeme yoluna yasal olmasada gidebiliyordu. Dolayısıyla o işin vergisini ödememiş oluyordu.

Sonrasında devlet bir mevzuat yayınladı ve bu iki cihazın birleştiği, fiş ile birlikte kredi kartı slipinin beraber çıktığı yeni bir yazarkasa pos cihazı üreterek artık bunların kullanılacağını belirtti. Bu şekilde vergi kaçakçılığının önüne geçmiş olundu. Bununla beraber işletmelere bu ne getirdi? Eski cihazların hepsi çöp oldu. Çünkü devlet, şirketlerin mal satan her bir şubesinde bu yeni yazarkasa pos cihazları olması şartını koyarak eski cihazları işlevsiz hale getirdi. Dolayısıyla bakıldığı zaman devletin getirdiği bir mevzuat şahısları ve şirketleri ellerinde olmayan şekilde doğrudan etkilemiş oldu. 

Politik-Siyasal Konular

Ülkelerin hem iç hemde dış politikaları vardır. Her ikisi de şirketleri ister istemez etkiliyor ve bir risk barındırıyor. Bunlar; ülkenin ekonomik krize girmesi, belli politik krize girmesi, ülkeleri yöneten politikacıların çeşitli anlamda kaosa sürüklenme ile birlikte politik anlamda boşluklar doğması, ülkelerin politik anlamda birbirlerine karşı tehditkar olma ve politik ilişkilerin gerginleşmesi .

Örneğin, Türkiye’de ki bir şirket Fransa'ya çok ciddi ihracat yapıyor ve Türkiye ile Fransa’nın politik anlamda ilişkileri gerilirse otomatik olarak Fransa’da ki müşteri Türkiye’deki şirketten mal almayı kesebilir veya şirket istediği kadar kaliteli üretsede şirkete göstermelik çok küçük hacimlerde sipariş verebilir. Şirket her şeyi çok iyi yaptığını düşündüğü bir anda hiç elinde olmayan bir şekilde müşterisini kaybedebilir. Bu tarz olayların önlemlerini almak, etkilerini ve olasılık hesaplarını yapmaya çalışmak ve buna görede aksiyon planlarını şimdiden ortaya koymak gerekmektedir.

Operasyonel Riskler

Operasyonel risk, bir şirketin belirli bir alanda veya sektörde günlük iş faaliyetlerini yapmaya çalışırken karşılaştığı belirsizlikleri ve tehlikeleri özetler. Bir tür iş riski, iç prosedürlerdeki, kişilerdeki ve sistemlerdeki arızalardan kaynaklanabilir. Dış olaylardan kaynaklanan riskler çoğu zaman daha olası gelsede şirketler kendileri için de bir risk kaynağıdır.

Operasyonel risk, şirketlerin günlük operasyonlarında beklenmedik bir başarısızlık anlamına gelir. Sunucu kesintisi gibi teknik bir arıza olabilir, çalışanlardan veya süreçlerden kaynaklanıyor olabilir.

İnsan yapımı prosedürleri ve düşünme süreçlerini yansıttığı için, operasyonel risk bir insan riski olarak özetlenebilir; insan hatası nedeniyle başarısız olan iş operasyonlarının riskidir. Endüstriden sektöre değişir ve potansiyel yatırım kararlarına bakarken yapılması gereken önemli bir husustur. Daha düşük insan etkileşimi olan sektörlerin daha düşük operasyonel riske sahip olması muhtemeldir. Örneğin, şirket çalışanlarından biri müşteri hesabına 10.000 TL yerine 100.000 TL ödeyerek bir çeke yanlış miktar yazabilir.

Bu bir "insan" başarısızlığıdır, aynı zamanda bir "süreç" başarısızlığıdır. Daha güvenli bir ödeme sürecine sahip olunması, örneğin ikinci bir personelin her büyük ödemeye yetki vermesi veya gözden geçirme için olağandışı tutarları işaretleyen bir elektronik sistem kullanılmasıyla engellenebilirdi.

Bazı durumlarda, operasyonel risk, doğal afet veya elektrik kesintisi gibi kontrolünüz dışındaki olaylardan veya web sitenizin sunucusundaki bir sorundan da kaynaklanabilir. Şirketinizin temel operasyonlarını kesintiye uğratan her şey operasyonel risk kategorisine girer.

Olaylar, daha önce bahsettiğimiz büyük stratejik risklerle karşılaştırıldığında oldukça küçük görünse de, operasyonel risklerin şirketiniz üzerinde hala büyük bir etkisi vardır. Yalnızca sorunu çözmenin maliyeti değil, aynı zamanda operasyonel sorunlar da müşteri siparişlerinin teslim edilmesini engelleyebilir veya şirkette iletişim kurmayı imkansız hale getirebilir, bu da gelir kaybına ve şirketin itibarının zarar görmesine neden olabilir.

kurumsal risk örnekleri

Operasyonel Risk ve Finansal Risk Arasındaki Fark

Kurumsal bağlamda finansal risk, bir şirketin nakit akışının yükümlülüklerini, yani kredi geri ödemelerini ve diğer borçlarını karşılamak için yetersiz olması olasılığını ifade eder. Bu yetersizlik, yönetim (özellikle şirket finans uzmanları) tarafından alınan kararların yanı sıra şirket ürünlerinin performansı ile ilgilidir ve bunlardan kaynaklanabilmesine rağmen, finansal risk operasyonel riskten farklı olarak kabul edilir. Çoğu zaman, şirketi kârlı işletme haline getirmeye yönelik günlük çabalardan ziyade, şirketin finansal kaldıraç ve borç finansmanı kullanımı ile ilgili olduğu için operasyonel risk ve finansal risk birbirinden ayrılmaktadır.

 

Risk Yönetimi Görev Yetki ve Sorumluluklar

Risk yönetimi, işletmelerin iş ortamında mevcut riskleri tanımlamasına, değerlendirmesine, izlemesine ve azaltmasına yardımcı olan önemli bir iş uygulamasıdır ve her büyüklükteki işletme tarafından uygulanmaktadır. İşletmeler büyüdükçe istikrarı sağlamak ister. İşletmeyi etkileyen riskleri yönetmek, bu istikrarın kritik bir parçasıdır.

İşletmeyi etkileyebilecek risklerin bilinmemesi organizasyon için kayıplara neden olabilir. Rekabetçi bir riskin farkında olmamak, pazar payı kaybına; finansal bir riskin farkında olmamak finansal kayıplara ve bir güvenlik riskinin farkında olmamak ise kazaya neden olabilir. Risk yönetimi alanında çalışan kişiler, kurumu ve çevresini izler. Organizasyon içinde takip edilen iş süreçlerine ve organizasyonu bir şekilde etkileyebilecek dış faktörlere bakarlar.

Riski tahmin edebilen bir işletme her zaman avantajlı olur. Finansal bir riski tahmin edebilen bir işletme, yatırımlarını sınırlayacak ve finansmanını güçlendirmeye odaklanacaktır. Bir emniyet riskinin etkisini değerlendirebilen bir işletme, büyük bir rekabet avantajına sahip olabilecek ve güvenli bir çalışma yöntemi tasarlayabilecektir.

İş dünyasını bir hipodrom olarak düşünürsek, buradaki riskler parkurdaki çukurlardır. Risk yönetimi, tüm çukurları belirleme, ne kadar zarar verici olabileceklerini anlamak için derinliklerini değerlendirme ve ardından da zararları önlemek için strateji hazırlama sürecidir. Küçük bir çukur, işletmenin yavaşlamasına neden olabilirken büyük bir çukur, işletmenin bundan tamamen kaçınmasını gerektirecektir. Bir riskin ciddiyetini ve risk olasılığını bilmek, işletmelerin kaynaklarını etkili bir şekilde tahsis etmelerine yardımcı olur.

İşletmeler kendilerini etkileyen riskleri anlarsa, hangi risklerin en çok dikkat ve kaynak gerektirdiğini ve işletmenin hangilerini göz ardı edebileceğini bilecektir. Risk yönetimi, işletmelerin herhangi bir büyük hasar meydana gelmeden önce güvenlik açıklarını azaltmak için proaktif olarak hareket etmesine olanak tanır. Farklı risk türleri için farklı risk yönetimi stratejileri ve çözümleri vardır.

Peki, şirket yöneticisinin bulunduğu noktada kendisine sorması gereken soru nedir? Bu sorunun cevabı şirketin ölçeğine göre değişmektedir. Burada 10, 100 ve 1000 çalışanı olan şirket aynı cevabı vermemelidir. Temel kavramlar ve çıkış noktaları aynıdır fakat hızlı balığın yavaş balığı yuttuğu günümüz dünyasında şirketlerin ait olmadığı dünyaların kavramlarına hapsolmaması gerekir.

Bu soruda 100 Milyon TL ciro yapan ve 500 bin veya üstü çalışana sahip olan uluslararası firmaları aynı kefeye koyabiliriz. Orta büyüklükte diyebileceğimiz 60-70 çalışan barındıran, 30-40 Milyon TL'den 200-300 Milyon TL'ye kadar cirosu olan firmaları da aynı kefeye koyabiliriz. Bir de daha gelişmekte olan, şirket hayatlarının başında olan, yaptıkları iş icabı niş olup daha ufak kadrolarla, daha belirli alanlarda ve daha az ciro sağlayan fakat kârlı iş yapan firmaları üçüncü kategori olarak değerlendirmeliyiz.

Her üç firma da risk ve kurumsal risk kavramını hayatında barındırmalıdır fakat her üçünün de bu işe yaklaşımı farklı olmalıdır. Örneğin, 20 çalışanı olan bir firmaya "Yönetim kurulunuz, yönetim kurulunuzun içinde belli komiteleriniz, riskin erken teşhisini yapacak komiteniz, bağımsız üyeniz ve kurumsal risk departmanınızın olması gerekiyor." gibi bir öğüt verilmeye kalkılırsa ve bunlar doğrultusunda aksiyon alınmaya çalışılırsa o şirket batar. Bu şirket şu an temel fonksiyonlarını yerine getirmekle yükümlüdür, yani çalışanları istihdam etmeli ve bunlardan büyüme kapısını açmalıdır.

 

“Felaket başa gelmeden önce önleyici ve koruyucu tedbirleri düşünmek lazımdır, geldikten sonra dövünmenin bir yararı yoktur.”

Atatürk

 

"Kurumsal risk kavramı firmanın ve organizasyonunun içinde olmamalıdır." algısı yanlıştır. Küçük ölçekli veya niş ölçekli gelişmekte olan firmalar kategorilerini ele alalım. Bu yapılarda, satış ve muhasebe gibi departmanların yer aldığı ve kişilerin en fazla bulunduğu yapıların ve sadece para kazanılan operasyonun icra edildiğini düşünelim. Bu yapılarda riski yönetecek olan kişi ister istemez şirket sahibi ve patrondur. Organizasyonda ne yapılması gerektiği konusunda doğrudan patronlara yönelmek gerekir. Burada en akıllıca çözüm, riskin analiz edilmesine dönük bir hamle olur.

Her şeyden önce "Ölçemediğiniz şeyi yönetemezsiniz." diye bir kavram vardır. Yani bilmediğiniz, ölçemediğiniz ve tanımlayamadığınız bir olguyu yönetmeniz söz konusu dahi olamaz. Dolayısıyla bu firmanın patronları, hissedarları ve sahipleri ilk önce riski analiz etmekle yükümlüdür. Bu konuda da şirketlerin yapı itibariyle ufak olduklarından dolayı organizasyonda bir departman kurmaları çok olası olmayabilir ve bunu dış hizmet olarak almaları akılcı bir çözümdür. İlk aşamada analiz etmek ve analize göre belli önlemleri tartışmak, hissedarın veya patronun yapacağı bir hamle olmalıdır. Bu noktada da şirket adına bu iş ile ilgilenen kişinin, organizasyonu dış kaynak kullanarak tamamlaması ve risk envanteri ve risk analizi çalışması yaptırması onun için akıllıca bir çözüm olur. 

Orta ölçekli firmalara gelecek olursak, burada durumlar değişmeye başlar çünkü orta ölçekli firmalar artık işini oturtmuş, para kazanma seviyesine gelmiş ve ciddi bir organizasyon yapısına bürünmüştür. Buna bağlı olarak bu firmaların artık belli yeni atılımları yapabilme, yeni yönetim metodolojilerini bünyesine katabilme, bunları araştırma imkânları ve olanakları vardır. Hatta kaçınılmaz olarak bunları yapma zorunlulukları vardır diyebiliriz çünkü belli bir süre sonra onları yapmadıkları takdirde orta büyüklükten ya aşağıya düşme ya da orta gelir tuzağı diye adlandırılan tuzağa düşerek aslında yerinde saymaya devam etme şeklinde bir risk onları bekler. Bu firmaların yapması gereken eylem risk analizi ve risk yol haritası çalışmasıdır. Sonrasında, ortaya çıkabilecek risk algısına karşı çözüm projelerini yapıp (belli bir önceliklendirmeye tabi tutmak kaydıyla), dış hizmet kullanarak ya da iç kaynaklardan yararlanarak kurumsal risk yönetimi departmanı oluşturmak gerekir.

Kurumsal risk yönetimi departmanı ne yapar sorusuna birçok cevap verilebilir ama özellikle orta ölçekli firmalarda şu cevabı vermek akıllıca olabilir; bir iş sahiplenilmezse o işin başarı ile sonuca ulaşmasını beklemek yanlış olur. Dolayısıyla kurumsal risk kavramını sahiplenecek biri veya birilerine ihtiyaç vardır ve en temel ihtiyacın ortaya çıkış noktası bu orta ölçekli firmalarda kurumsal risk kavramı çatısı altındadır.

Çok kalabalık bir departman olmasa da, organizasyonda mutlaka doğrudan yönetim kuruluna (varsa) bağlı bir yapı olmalıdır. Yönetim kurulunun olmadığı yapılar pek ideal olmaz ama en kötü şartta doğrudan genel müdüre bağlı bir kurumsal risk yönetimi departmanı olmalıdır. Orta ölçekli firmaların, organizasyonlarında bunu hayata geçirmesi gerekir. "Böyle bir departman oluşturulmak kaydıyla biz bunu idari işlere, insan kaynaklarına yada mali işlere bağlayalım." düşüncesi de yanlıştır. Özellikle mali işlerle yürütmek çok sık düşülen bir hatadır.

Kurumsal riskin sadece finansal riskten kaynaklandığı düşünülmektedir fakat bu yanlış bir algıdır. Bazen de üretim veya fabrika direktörlüğü gibi direktörlüklere bağlanan kurumsal yönetim departmanları ve uzmanları ismi ile adlandırılan organizasyonel yapılar kurulmaktadır. Bu da yanlış bir hamle olur çünkü böyle olguların olduğu durumlarda riskin kalite, sistem ve üretim operasyonu odaklı yapıldığından bahsedebiliriz. Kurumsal risk yönetimini hakkıyla yapabilmek için bütün departmanların üstü gibi tanımlanabilecek, doğrudan yönetim kuruluna hesap verecek bir yapı meydana getirmek gerekir. 

Bir diğer konu ise üst ölçekli yani büyük firmalar diye tanımlayabileceğimiz; uluslararası firmalar, holdingler, ciddi çalışan sayısına ve cirolara sahip, ciddi organizasyon büyüklüğüne ulaşmış yapılardır. Bu yapıların bir kısmında, kurumsal risk ve kurumsal yönetim kavramlarının içerisinde kurumsal risk yönetimi zorunlu hale gelen yapılar vardır.

Örneğin, halka açık, STK mevzuatına tabi firmalarda böyle zorunluluklar vardır. Bu firmaları bir kenara koyacak olursak kurumsal risk yönetimi, böyle bir zorunluluğa tabi olmadan da yapılması gereken bir sorumluluktur. Bunlardan birincisi kurumsal risk yönetimi departmanını mutlaka sürdürülebilir şekilde kurmaktır. Bu departmanın işleyen bir yönetim kurulu ve icra kurulu yapılarına sahip olması gerekir ve yönetim kurulu yapılarının içerisinde de komitelerin kurulmuş olması gerekir. Buradaki risk konusunu ilgilendiren en önemli komite, riskin erken tespiti ve önlenmesi komitesidir.

Bu komitenin hem Türkiye'de, hem de diğer ülkelerde kabul görmüş olan kurumsal yönetimin risk yönetimi ile ayrılmaz bir parça olduğunun bilincinde olunması gerekir. Bu yapıdaki firmalarda bazen, riskin tespit edilebilmesi için  iş körlüğü kavramı meydana gelebilmektedir. Eğer bir şirkette uzunca yıllardır çalışıyorsanız, farklı departmanlarda çalışmış bile olsanız ister istemez bazı risklere aşina hale gelip onların önemini anlayamayabilir ve doğru değerlendirememe riski ile karşılaşabilirsiniz.

Bu riski bertaraf etmek için en akılcı çözüm bağımsız yönetim kurulu üyelik sistemini şirkete işlemektir. Şirketin kendi profesyonel çalışanı veya doğrudan bir iş-çıkar ilişkisi olmayan sektör veya sektör dışı belli bir uzmanlığa sahip insanların bağımsız yönetim kurulu üyesi olarak tahvil edilmesi ve bu üyelerin de riskin erken tespiti ve önlenmesi komitesinin içerisinde yer alması, hatta mümkünse başkanlığını yapması en önerilen çözümlerden bir tanesidir.

Organizasyonel anlamda büyük firmalarda kurumsal riski ilgilendirecek yan departmanlar da olacaktır. Bunlardan biri iç denetim departmanıdır çünkü iç denetim departmanının yayınladığı iç denetim raporu çalışmalarında geçmişte yapılan hataların tespit edilmesi ve gelecekteki riskinin bir öneri manasında yazılması söz konusudur. Dolayısıyla büyük firmalarda iç denetim ve kurumsal risk yönetimi departmanının organizasyonda beraber çalıştığını ve doğrudan yönetim kuruluna bağlı olduğunu görmek ve böyle uygulandığından emin olmak gerekir.

Risk Yönetimi Uygulamaları

Etkili kurumsal risk yönetimi, günümüzün düzenleyici ortamında giderek daha önemli hale gelmektedir. Düzenleyiciler ve derecelendirme kuruluşları, şirketlerin kendi risk profillerini iyi anlamalarını ve risklerini azaltmak için uygun yönetim yapısını uygulamalarını bekler.

Bir şirketin risk değerlendirmesi yürütmesi, bir kuruluşun karşılaştığı risklerin bütünsel bir görünümünü elde etmesine ve yönetimin bu riskleri tanımlamasına ve fırsatlardan yararlanmasına olanak sağlayabilir. Riskler, bir şirketin hayatta kalma, sektör içinde başarılı bir şekilde rekabet etme ve ürün, hizmet ve çalışanlarının genel kalitesinin yanı sıra mali gücünü ve olumlu kamu imajını koruma becerisini etkiler.

Şirket sahipleri, yöneticileri vs. gibi kişiler, amaçlarını ve hedeflerini göz önünde bulundurarak, şirket içindeki riskleri düşünmelidir. "Doğal Afet Riski" gibi sigorta riskinden, "Dış Kaynak Kullanımı ve Hizmet Sağlayıcı Riski" gibi operasyonel risklere kadar her şeyi göz önünde bulundurmalıdırlar.

Piyasa riskleri, yasal, çevresel ve düzenleyici riskler gibi pek çok farklı risk türü vardır. Bu risk faktörlerinin mümkün olduğunca çoğunun belirlenmesi gerekir. Bu noktada riskin yönetilmesi kavramı riskin analiz edilmesi ile başlar. Riskin analiz edilmesi de belli metodolojilerle gerçekleşir. İlk söylenmesi gereken yöntem SWOT analizi yöntemidir. Şirketin güçlü ve zayıf yönlerini, fırsatları ve tehditleri belirlemeye yönelik bir çalışma olan SWOT analizi, stratejiler belirlenirken yapılması gereken bir adımdır. Risk, şirketlerin stratejisi planlanırken içinde var olmalıdır çünkü ancak bu şekilde homojen bir planlama elde edilebilir. Dolayısıyla riski planlamak demek stratejiyi belirlerken bu riski dâhil etmek demektir. 

Günümüzde değişen bir kavramın da altını çizmekte fayda vardır. Risk kavramı aslında geçmişten bugüne kadar hem şirketlerde hem literatürde aslında negatif bir şey olarak isimlendirilmiştir veya o yöne doğru çekilmiştir. Gelecekteki olumsuzlukları ve şirketin iş yapış şekillerini irdelemektedir. Günümüzde bu kavramın değişmeye başladığını ve kutunun dışında düşünme gerekliliğinden ortaya çıktığını belirtmek gerekir.

Risk kavramını olumsuzluktan ve tehditten ziyade bir fırsatla eş değer görmek ve bu fırsatla eş değer görme kavramını içselleştirmek artık çok daha etkin bir yöntem haline gelmiştir. Riskler şirketleri gelecekteki tehditlere dair düşünmeye sevk eder ve fırsatları görmenin de kapısını açar. Örneğin, ciddi bir ekonomik kriz olduğunu varsayalım. Firmalar kapandı ve insanların geliri düştü dolayısıyla alışveriş yapılamıyor. Şirket bu zamanlarda diyelim ki  avmlerde yer almak istiyor ama hem kiralar yüksek hem de dükkân bulunmuyor.

Kriz zamanlarında art arda dükkânlar kapatıldığı için avm yönetimi de kiraları aşağı çekecektir ve ödeme planında kolaylıklar gösterecektir. Dolayısıyla şirket, burada bir fırsat görüp bu riski analiz ettiği zaman bir tehdit-fırsat durumu ortaya çıkabilir. "Bu riskin şirkete yarattığı tehdit nedir?" ve "Şirkete  yarattığı fırsat nedir?" sorularının cevapları ile çok açık bir şekilde yol haritaları belirlenerek şirketin kriz anında ciro bazında kâra geçmesi sağlanabilir.

Yatırımcı nakit parasını iyi zamanda kenarda biriktirip bu tarz yatırımları (krizin geleceğini, belli bir yakın veya orta vade için ön görüyorsa) kriz dönemine denk getirmeyi, çok daha ucuz kiralar ile başlayarak ve devamında da ucuz kiralar ile devam ederek bir iş modeli kurgulayabilir. Bu şekilde herkes tarafından olumsuzluk ve tehdit olarak algılanan risk kavramı avantaja çevrilmiş olur. Dolayısıyla bir yöntem olarak fırsat-risk matrisinin hayatımıza girmesi kurumsal risk kavramı içerisinde yeni bir olgudur.

Bir diğer konu ise risk envanteri çalışması yapılmasıdır. Analiz çalışmasının da ana adı olarak ortaya çıkmaktadır. Daha önce saydığımız stratejik, finansal, dış çevre, operasyonel riskler başlığı altında şirketlerin bütün iç süreçlerini elden geçirip, bunun bir analizini yapması gerekiyor. Bu analizi yaparken şirketler kendilerine şu soruları sormalıdır; 

  • Gelecekteki işimi etkileme olasılığı olan olgu nedir? 
  • Bu olgunun gerçekleşme olasılığı nedir? 
  • Bu olgu gerçekleşirse bana yaratacağı etki nedir? 
  • Önem sırası nedir? 
  • Neticede bu gerçekleşirse benim almam gereken veya alabileceğim aksiyonlarım nedir? 
  • Bu riskin gerçekleşmesi durumunda uygulamaya geçirebileceğim projeler ne olabilir? 

Bütün bunları kapsayan bir risk envanterinin oluşturulması ana yöntemlerden biri olarak ortaya çıkmaktadır. Bunun yapılabilmesi için belli araçlar kullanılabilir. Analizler sırasında birebir mülakatlar veya anket yöntemleri olabilir fakat bu anketlerin soru setleri üzerinde çok ciddi şekilde düşünülmesi gerekmektedir. Daha sonrasında küçük grup ve büyük grup çalıştaylarıyla ile beraber arama konferansları diye tabir edilebilecek, riski aramak için şirket genelinde belli çalıştaylar düzenlenebilir. 

Bir diğer başlıkta bazı online araçlarla, dış kaynak kullanımlarıyla riskin tespit edilmesi için özellikle teknik riskler bağlamında belli yazılımsal veya donanımsal araçlar kullanılabilir. Departmanların birbirleriyle olan iletişimleri ne kadar uyumlu ve sağlıklı bir şekilde sağlanabilirse, ortaya çıkabilecek herhangi bir olumsuzluk erken fark edilip, gerekli önlemler alınarak yürürlüğe sokulabilir. Şirketler açısından en büyük problemlerden biri olan departmanlar arası iletişimsizlik bu yazılımsal ve donanımsal çözümler ile giderilerek, şirketin karşı karşıya kalabileceği veya kaldığı riskler öncesinde belirlenmiş olur.

Risk değerlendirme süreci sürekli devam eden bir süreçtir ve zaman içinde revize edilmelidir. Şirket risklerinin tam bir resmi görülmeden ve bunları azaltan kontrolleri ve süreçleri gerçekten anlamadan önce birkaç kez tekrarlanabilir. Sürecin sonucu, yönetime ve çalışanlarına şirket risk profilini ve riski azaltmada kontrol ortamının önemini daha iyi anlamalarını sağlar.