Yeni Nesil KRY — Bir Risk İştahı Meselesi
Risk iştahı nedir, ne değildir?
Risk iştahı ile ilgili ufak bir araştırma yaparsanız genel olarak ortaklaşan şöyle bir ifadeye ulaşırsınız: “Bir kurumun kabul etmeye istekli olduğu risk miktarı/seviyesi”
Bu ifadenin yorumlanmasında o kadar farklı noktalarda bulabilirsiniz ki kendinizi. Risk iştahı her ne kadar somutlaştırılmaya çalışılsa da soyut bir kavram. Risk yönetiminin en çok zorlandığı konu da bu, sadece iştah için değil, riskleri değerlendirirken de bu karın ağrısı hep bizimledir. Ondandır ki bazı yerlerde risk yönetiminin bir bilim mi yoksa sanat mı olduğu tartışılır :)
Risk iştahı şirketin ileriye koşması gereken yerde oyun alanının tanımlanması için bir araç olabilir. O yüzdendir ki riskleri ve fırsatları birlikte değerlendirmek gerekir. Yavaş yavaş ISO, COSO gibi düzenleyiciler de o noktaya gelmeye başladı. Tabi daha gidecek çok yol var o ayrı.
Nice kurumlar gördüm risk iştahını tek bir finansal ifadeye bağlayan…
Risk iştahını kısıtlı tutmak, yalnızca finansal bir değere indirgemek çok büyük bir haksızlık olmasının yanı sıra çok ciddi bir yanılgı aynı zamanda.
Tolerans gösterilemeyecek bazı risklere haksızlık, farklı alanlardaki kayıplara bol gelebilecek bir gömlek, sayısallaştırılamayacak riskler için de sadece bir muammadan başka bir şey değil.
Bir kuruluşun risk iştahı nerelerde saklıdır?
Bir kuruluşa gittiğinizde aslında konuştuğunuz her kişide, duvarlarda asılmış uyarılarda, okuduğunuz her dokümanda bu konuya ilişkin bir girdi almanız mümkündür. Çünkü her ne kadar tanımlamalar farklılaşsa da risk kültürü, risk kapasitesi, risk tolerans limiti, risk iştahı, heeepsi aslında kurum kültürü ve iş yapışa bağ(ım)lıdır.
Birkaç örnek ile somutlaştırayım:
- İş kazalarına ilişkin çok sıkı önlemler alınması, “0 kaza hedefi”nin herkesin iş yapışına kazınması ya da sadece sözde kalması
- Satın alma taleplerinin/siparişlerinin onaylandığı seviyeler (ya da hiç onaylanmaması)
- Sözleşmelerin gözetiminden geçtiği kişiler, imzalayan kişiler hatta hiç sözleşme imzalanmaması
- Yatırım projelerinin karar vericileri, onaycıları, proje takibinin raporlandığı kişiler
- Bir suistimal vakasıyla karşılaşıldığında yönetimin sergilediği tutum, bu tutumda miktarının etkili olup olmadığı
- Yeşil enerji, karbon salınımı, vb gibi çevreye etki yaratılabilecek konularda yatırım yapılıp yapılmaması
- Finansal işlemlerde üst limitler, bunların belirlenip belirlenmemesi
- İşe alımlarda görüşmelere dahil olan kişiler, onaylayanlar, işe alımda gözetilen kriterler
- Satışlarda belirlenen fiyatlarda esneme yapılıp yapılamadığı, inisiyatifin kimlerde bulunduğu
- Kurumun performans karnesi, hedeflerinin neler olduğu
- Hatta ve hatta organizasyon şeması, hangi fonksiyonların bulunduğu, kimlere bağlı olduğu, komite yapıları ve etkinlikleri, bu komitelerin daimi üyeleri
- ….
Tüm bunlar risk yöneticisi için aynı zamanda bir kuruluşu tanımanın ve kurum kültürüne ilişkin bilgi toplamanın da önemli adımlarıdır.
Risk iştahını tayin ederken…
Kuruluşun paydaşları nezdinde etki alanları ve iş yapışında gözettiği/gözetmesi gereken ve istenen kaideler tek tek ele alınmalıdır. Risk iştahına dahil olacak kriterleri de genel olarak 3 ayrı kategoride ele alabiliriz:
- Sıfır (0) Tolerans Gösterilecekler
- Kalitatif Limit Belirlenebilecekler
- Kantitatif Limit Belirlenebilecekler
Kuruluşun kesinlikle esnemeyeceği alanların belirlenmesi de sayısallaştırılıp takip edilebilecek alanlara atayacağı limitler kadar önemli. Zaten bunların önemli bir kısmı kurum kültüründen ve ortak değerlerden de gelmiyor mu?
Kantitatif limitlerde de tek bir değerin her şeye karşılık gelemeyeceği konusunda el sıkıştığımızı düşünüyorum. Büyük bir yatırım projesinde kabul edilebilecek risk seviyesi ile sıklıkla yapılan bir satın alma işlemindeki aynı olamaz. Ya da tabi olduğunuz regülasyondan ötürü alabileceğiniz cezayı gözetirken yalnızca onun parasal değerine göre seviye belirlemeyeceğinizi umuyorum.
İşte bu yüzden, farklı etki alanları (paydaşlar-müşteri, çalışan, çevre, hissedarlar, tedarikçi / fonksiyonlar-ana operasyon, hazine işlemleri, satın alma, satış, kredi alacak yönetimi, vb / risk kategorileri-finansal, operasyonel, uyum, HSE, vb) için kurumun oyun alanında gözeteceği kuralları düşünüp belirlemesi gerekir.
Risk iştahında çok detaya girmek zorunda mıyız? Tabi ki hayır. Esasında onu biraz üst yönetimin kurum adına verdiği taahhüt olarak konumlandırmakta fayda var. O sebeple ben net ifadelerle 10–15 maddeyi geçmeyecek şekilde beyan hazırlanması taraftarıyım. Açıkçası verdiğim danışmanlıklarda da bu şekilde çıktılar teslim ettim.
Risk yöneticilerine tavsiyeler…
Naçizane tavsiyem odur ki, yukarıda ilk akla gelen alanlar başta olmak üzere bu tarz kural ve limit tayin edilen her noktada varlıklarını göstersinler. Gerek veri analizleri ve geçmiş yaşanmış olaylarla, gerekse sektörel ve fonksiyonel iyi uygulama araştırmalarıyla üst yönetimi bu konularda çıktılarıyla beslesinler. Sadece frene basan değil gerekli noktalarda vitesi yükselten de bir fonksiyon olabileceklerini yansıtsınlar.
Kurum kültüründen, üst yönetim taahhütlerinden ve söylemlerinden, stratejik planlama çalıştaylarından, operasyonel işleyişten, dahil olabildikleri tüm alanlardan iç görü sağlasınlar.
Çünkü bunlar daha sonra farklı formlarda yapacakları işin ve çıktılarının kalitesini arttıracak.
Bundan sonra da Kurumsal Risk Yönetimi (KRY) 101 diye adlandıracağım temel fonksiyon çıktılarında; risk değerlendirme kriterlerinin oluşturulmasında, risklerin belirlenmesinde, değerlendirilmesinde, aksiyonların tayini ve takibinde, ısı haritalarında, ve benim en çok önemsediğim anahtar risk göstergelerinde (bu konuda da bir yazı yazmayı planlıyorum) bu iç görülerin olmazsa olmaz girdiler olmasını beklerim.
Risk yönetimi fonksiyonunun yaratacağı katma değer, risk yöneticisinin kurum kültürünü ve hedeflerini doğru analiz etmesinde saklı.
Kalın sağlıcakla…
Sevgin Eke
