Risk Yönetiminde Isı Haritaları Her Şey Mi?
Hatrı sayılır bir süredir kurumsal risk yönetimi alanında çalıştığımı düşünüyorum. Hem onlarca kurum görecek kadar danışmanlık yaptım, hem de bizzat masanın müşteri tarafında bu fonksiyonu kurdum, yürüttüm.
Isı haritası nedir, ne değildir?
Isı haritaları risk envanterinde tanımlanmış, değerlendirilmiş, üzerine pek çok kişi tarafından yazılıp çizilmiş risklerin isimleriyle görselleştirilmesi ve önceliklendirilmesi için kullanılan, renklendirme ile derecelendirilmesi sağlanan iki boyutlu bir gösterim.
Genellikle bu gösterimin bir tarafında “etki/önem”, diğer tarafında “olasılık/sıklık” değerleri bulunur. Direkt iki değerin çarpımı ile risk değeri hesaplanabilirken farklı kurumlarda ağırlıklandırma da yapılabilir. Bu değere karşılık da risk seviyesi/derecesi geliyor. Artık kullandığınız skalaya göre kritik/çok yüksek, yüksek, orta, düşük, önemsiz/çok düşük gibi değerleri tanımlayıp bir de bu değerlere karşılık aksiyon alınma periyotlarını tanımlamanız beklenir.
Tüüüm bu riskin tanımlanması ve değerlendirilmesi, bir de bu güzel görsele yerleştirilip sunulması epey de bir iştir. Sayısız çalıştaylar, anketler, üst yönetimle toplantılar derken sadece burada en yüksek önceliklendirilecek 5–10–20 riske ulaşmak için inanılmaz bir efor sarf etmeniz gerekir. (Bu işin doğal risk-artık risk değerlendirmesi, riske cevabı, aksiyon planları, vb gibi birçok farklı alt çalışmaları da mevcut, onlara farklı yazılarda yer verebilirim ilerleyen günlerde…)
Bu ısı haritasını hazırlarken amacımız:
- Kurumun en öncelikli ele alması gereken risklerini çıkarmak ve üst yönetime (Yönetim Kurulu’na, artık organizasyonda risk yönetimi fonksiyonun ve varsa komitesinin yapılanmasına göre) sunmak
- Bu öncelikli risklere aksiyon atanmasını ve takibini sağlamak
Tamam ama bu ısı haritası kurumun maruz kaldığı veya kalabileceği “tüm” riskleri kapsayabilir mi? Tabi ki hayır, mümkün değil.
Bu ısı haritası her gün değişen dinamiklere ayak uydurabilir mi? Yeterli teknoloji ve insan kaynağı ile, belki.
Bu ısı haritası kurumun orta ve üst düzey yöneticilerinin her an verdiği kararlarda yol gösterici olabilir mi? Maalesef hayır.
Üst yönetim her gün birçok riski zaten anlık veya ileriye dönük verdiği kararlarla yönetiyor.
Üst yönetime yakın çalıştığım ve sıklıkla raporlama yaptığım dönemde öğrendiğim en önemli şeylerden biri onların “zaten biliyor” olduğuydu. Tüm bu çalıştaylar sonrasında onlarla son kez üzerinden geçilip el sıkışılması, bir riskin diğer riskten daha öncelikli olması gerektiğiyle ilgili iç görü alınması, bunların tamamı bu doğruya dayanıyor.
İyi bir üst düzey yöneticinin kurumun varlığını/karlılığını/sürdürülebilirliğini etkileyebilecek riskleri bilmemesi çok daha büyük bir problem. Orada farklı kök nedenleri incelemek gerektiğini düşünüyorum. Ona bağlı çalışanların bilgi saklaması, üst yönetim raporlamalarının zayıf olması, teknolojinin ve verinin doğru kullanıl(a)maması, vb.
Şunu söyleyebilirim ki; bu ısı haritası oluşturulmaya başlandıktan belki 1 gün belki 1 hafta sonra bile güncelliğini yitiriyor. Çünkü, her gün ülkemizde ve dünyada etki yaratabilecek çok sayıda olay oluyor.
Risk yöneticilerinin, kurum içerisinde ve dışında karşılaşılan/karşılaşılabilecek tehdit ama aynı zamanda fırsatlar için üst yönetimin elçisi olması gerektiğini savunuyorum. Bu çok daha zor ve sorumluluk gerektiren bir görev. Kurum içerisindeki kişilerden bilgileri alıp bir tabloya işlemek ve sonra renkli renkli onları sunmak inanın çok kolay bunun yanında :)
Hiç mi ısı haritası oluşturmayalım?
Bazı sektörlerde bu ısı haritalarını hazırlamak zorundayız. Tamamen çöp olduğunu söylemiyorum. Risk yöneticisinin kurum içinde tüm fonksiyonlarla etkileşim kurmasını sağlaması, sektörün ve kurumun faaliyetlerini nasıl icra ettiğini öğrenmesi ve kurumu tanıması için muhakkak faydaları da var. Sadece, risk yöneticisinin zamanının büyük kısmını buna bağlı tüketmesini hem kendi kariyerinin gelişimi hem de potansiyelini gerçekleştirebilmesi yolunda bir engel olarak görüyorum. Ayrıca, orta vadede bazı şirketlerin bu fonksiyona olan inancını da yitirmesi ve bölümün kapatılmasına kadar giden bir yanılgıya da sebep olduğunu düşünüyorum.
Eee, o zaman risk yöneticisi ne yapmalı?
Üst yönetimin risk yönetimi fonksiyonundan beklediği yüzlerce satırlık bir risk envanteri oluşturup sonra ondan da aylarca herkesin yüzlerce saatini alarak toplantılar yapıp önüne halihazırda bildiği -ki bir kısmının da yanlış değerlendirildiğini düşündüğü- ilk 5–10–20 riskin çıkarılması değil. Üst yönetimin neler istediğini ve artık Kurumsal Risk Yönetiminin evrilmesi gereken konumu “Yeni Nesil Kurumsal Risk Yönetimi” yazı serimde anlatacağım.
O zamana kadar sağlıcakla kalın…
Sevgin Eke
