Risk Yönetimi: Kavramlar ve Süreçler

Belirsizliğin Ortasında Pusula Tutmak

Geçenlerde bir yönetim kurulu toplantısındaydım. Şirketin CEO’su sunumun tam ortasında durdu ve şöyle dedi: “Arkadaşlar, üç yıl önceki strateji planımıza baktığımda gülümsüyorum. Pandemiyi öngörmemiştik, tedarik zincirindeki çöküşü öngörmemiştik, enflasyonun bu seviyelere düzeylere geleceğini öngörmemiştik. Ama ayaktayız. Çünkü riski yönetmeyi öğrendik.”

İşte bu cümle, modern risk yönetiminin özünü anlatıyor aslında. Artık hiçbirimiz geleceği kesin olarak bilemiyoruz. Üç aylık tahminler bile bazen birkaç haftada çöp olabiliyor. Ama bu belirsizlik denizinde boğulmamak hatta rotamızı bulmak mümkün. Bunun yolu da riski anlamaktan, onu yönetilebilir parçalara ayırmaktan ve en önemlisi, riskle yaşamayı öğrenmekten geçiyor.

Gelin size bugün risk yönetimini en temel kavramlarından başlayarak, süreçlerine, inceliklerine ve gerçek hayattaki karşılıklarına kadar anlatayım. Bu yazıyı okuduğunuzda, risk yönetiminin neden sadece bir departmanın işi olmadığını, kurumun tamamına nasıl sirayet etmesi gerektiğini anlayacaksınız.

Güvence Hizmetleri ve Danışmanlık Hizmetleri: Karşılaştırma ve Örnekler

×

Risk Dedikleri Tam Olarak Ne?

Dürüst olalım: Çoğumuz risk deyince aklımıza hemen kötü şeyler geliyor. Deprem olması, döviz kurlarının fırlaması, büyük bir müşterinin kaybedilmesi, siber saldırıya uğramak… Evet, bunların hepsi risk. Ama risk sadece “başımıza gelebilecek kötü şeyler” listesi değil. İşin özünde risk, hedeflerimize ulaşmamızı etkileyebilecek her türlü belirsizliktir.

Bu tanımı biraz açalım. Diyelim ki bir teknoloji şirketisiniz ve yeni bir pazara girmeyi planlıyorsunuz. Bu kararın içinde neler var? Rakiplerin tepkisi var, mevzuat engelleri var, müşteri kabulü var, kaynak yeterliliği var. Bunların hepsi birer belirsizlik. Ama hepsi kötü mü? Yeni pazarda beklenmedik bir talep patlaması da bir belirsizliktir, değil mi? İşte bu yüzden modern risk yönetimi, riski sadece “tehdit” olarak değil, aynı zamanda “fırsat” olarak da görür.

Kafanızda canlanması için şöyle düşünün: Bir dağa tırmanıyorsunuz. Hava koşulları, ekipmann dayanıklılığı, kendi fiziksel durumunuz… Bunların hepsi risk. Ama dağa hiç çıkmamak da bir karar. Peki zirvedeki manzarayı görmeyi istiyor musunuz? İşte risk yönetimi, o manzarayı görmek için hangi koşullarda tırmanacağınıza, hangi rotayı seçeceğinize, yanınıza ne alacağınıza karar verme sanatıdır.

Hedef Yoksa Risk de Yoktur

Net hedefleriniz yoksa, riskten bahsetmenin de bir anlamı yoktur. Çünkü risk, hedeften sapma ihtimalidir. Hedefin ne olduğunu bilmiyorsanız, neyin risk olduğunu nasıl bileceksiniz?

Bunu çok somut bir örnekle anlatayım. Bir üretim şirketi düşünün. Genel müdür “kaliteyi artırmak istiyoruz” diyor. Bu bir hedef değil, temennidir. Aynı genel müdür “müşteri iadelerini yıl sonuna kadar yüzde 40 azaltacağız” derse, işte şimdi bir hedef var. Ve bu hedefe ulaşmayı engelleyebilecek şeyler de risk haline gelir: Tedarikçi kalitesindeki dalgalanmalar, üretim hattındaki eskiyen ekipmanlar, personel eğitim eksiklikleri kalite kontrol süreçlerindeki aksaklıklar…

Gördünüz mü? Hedef netleşince riskler de netleşiyor. Bu yüzden iyi bir risk yönetimi, aslında iyi bir hedef yönetimiyle başlar. Kurumun stratejik hedefleri, operasyonel hedefleri, proje hedefleri… Bunların hepsi açık, ölçülebilir ve zaman bağlı olmalı ki riskler de aynı netlikte tanımlanabilsin.

Kurumsal Risk Yönetimi

Yıllar önce bir bankada çalışan bir arkadaşım anlatmıştı. Kredi riskini yöneten bir ekip vardı, operasyonel riski yöneten başka bir ekip, piyasa riskini yöneten daha başka bir ekip. Herkes kendi alanında çok iyiydi ama kimse büyük resme bakmıyordu. Sonra ne mi oldu? Bir gün piyasalarda yaşanan dalgalanma kredi riskini tetikledi, o da operasyonel riskleri patlattı. Ekipler birbiriyle konuşmadığı için sistem çöktü.

İşte bu tür deneyimler, “Kurumsal Risk Yönetimi” (Enterprise Risk Management – ERM) yaklaşımını doğurdu. ERM’nin temel fikri basit ama devrim niteliğinde: Riskleri birbirinden bağımsız silolar halinde değil, bir bütün olarak, birbirleriyle etkileşimleri içinde yönetmek.

ERM, risk yönetimini finans departmanının teknik bir konusu olmaktan çıkarıp, yönetim kurulunun stratejik gündeminin merkezine taşıdı. Artık konuştuğumuz şey sadece “şu riske karşı ne yapalım” değil, “risk profili stratejimizle uyumlu mu”,”büyüme hedeflerimiz için doğru riskleri alıyor muyuz”, “risk kültürümüz yeterince güçlü mü” gibi sorular.

Bu dönüşümün en güzel tarafı, risk yönetiminin “korunma” odaklı bir zihniyetten “değer yaratma” odaklı bir zihniyete evrilmesi oldu. Eskiden risk yöneticileri “şunu yapmayın, bu çok riskli” diyen kişilerdi. Şimdi ise “şu riski alabiliriz çünkü potansiyel getirisi şu, ama şu riskten kaçınalım çünkü toleransımızın dışında” diyen stratejik ortaklar haline geldiler.

Riskin Anatomisi: Üç Temel Bileşen

Bir riski anlamak için onu üç temel parçasına ayırmak gerekiyor. Bu üç parçayı anlamadan riski yönetmeye kalkmak, vücudu tanımadan ameliyat yapmaya benzer.

Olay: Gerçekleşmesi muhtemel durum. Tedarikçinizin iflas etmesi bir olaydır. Bir çalışanınızın kritik bir veriyi yanlışlıkla silmesi bir olaydır. Yeni bir rakip çıkması bir olaydır. Mevzuat değişikliği bir olaydır.

Olasılık: Bu olayın gerçekleşme ihtimali. Her olayın olasılığı aynı değildir. Bazıları neredeyse kesindir (örneğin personel devir hızının belirli bir seviyede olması), bazıları çok düşük ama yıkıcıdır (örneğin büyük bir deprem).

Etki: Olay gerçekleştiğinde kurumun hedeflerine olan etkisi. Bu etki finansal olabilir, operasyonel olabilir, itibari olabilir, hukuki olabilir.

Bu üç bileşeni bir arada düşünmek risk değerlendirmesinin temelidir. Olasılık ve etkiyi birbiriyle çarpmak yetmez, aynı zamanda kurumun bu bileşenlere karşı hassasiyetini de anlamak gerekir.

Size çarpıcı bir örnek vereyim. Bir yazılım şirketi ile bir hastane düşünün. İkisi için de “sistem kesintisi” aynı olaydır. Olasılık belki benzerdir. Ama etki? Hastanede bir saatlik sistem kesintisi hayati tehlike yaratabilir. Yazılım şirketinde ise müşteri memnuniyetsizliği ve gelir kaybı yaratır. İşte bu yüzden aynı olay farklı kurumlar için farklı düzeyde risktir.

Risk Türleri

Şimdi gelelim riskleri sınıflandırmaya. Bu sınıflandırma önemli çünkü her risk türü farklı bir yönetim yaklaşımı, farklı uzmanlık ve farklı araçlar gerektirir. Hepsini aynı sepete koyup aynı yöntemle yönetmeye kalkarsanız, başarısız olursunuz.

Stratejik Riskler

Stratejik riskler, kurumun varoluş amacını, uzun vadeli yönünü ve rekabetçi konumunu etkileyen risklerdir. Bunlar genellikle dış çevreden kaynaklanır ve kurumun doğrudan kontrol edemeyeceği faktörlere bağlıdır.

Bir anımı paylaşayım. Yıllar önce bir tekstil şirketinde danışmanlık yapıyordum. Şirketin stratejik planında “Avrupa pazarında büyüme” hedefi vardı. Risk değerlendirmesi yaparken “Çin’in tekstil kotalarının kalkması” bir risk olarak not edilmişti ama düşük olasılıklı görülmüştü. Kotalar kalktı ve şirket hazırlıksız yakalandı. İşte bu tam bir stratejik risktir.

Stratejik riskler şunları içerir: İş modelinin eskimesi (Blockbuster’ın Netflix karşısındaki durumu) teknolojik dönüşümler (geleneksel otomobil üreticilerinin elektrikli araçlara geçişi), tüketici davranışlarındaki köklü değişimler, jeopolitik olaylar, sektörel konsolidasyonlar.

Bu riskleri yönetmenin en zor yanı, genellikle “yavaş yavaş, sonra birdenbire” gelişmeleridir. Bugün baktığınızda küçük bir sinyal gibi görünen şey, yarın varlık-yokluk meselesi haline gelebilir.

Operasyonel Riskler

Operasyonel riskler, günlük işleyişin içinden doğar. Süreç hataları, insan hataları, sistem arızaları, tedarik zinciri kesintileri, siber saldırılar… Bunların en tehlikeli yanı, tek başlarına küçük görünmeleri ama zincirleme etkiyle büyük sorunlara yol açabilmeleridir.

Bir lojistik şirketinde yaşanan gerçek bir olayı anlatayım. Bir operatör, konşimento numarasını yanlış girdi. Tek bir hane yanlıştı. Sonuç? Konteyner yanlış limana gitti, müşterinin üretim hattı durdu, cezai şartlar devreye girdi, müşteri ilişkisi zedelendi. Tek bir tuş hatasının maliyeti milyonlarca lirayı buldu.

Operasyonel risklerin yönetiminde anahtar kelime “dirençlilik”tir. Süreçleriniz ne kadar sağlam? Çift kontrol mekanizmalarınız var mı? İş sürekliliği planlarınız güncel mi? Çalışanlarınız olağan dışı durumlarda ne yapacağını biliyor mu?

Finansal Riskler

Finansal riskler, belki de en çok konuşulan, en çok ölçülen ve en çok yönetilmeye çalışılan risklerdir. Kur riski, faiz riski, kredi riski, likidite riski… Bunların ortak özelliği, nispeten ölçülebilir olmaları ve piyasa verileriyle modellenebilmeleridir.

Ama burada bir yanılgıya düşmeyelim. Ölçülebilir olmaları, her zaman doğru yönetildikleri anlamına gelmez. 2008 finansal krizini hatırlayın. Risk modelleri vardı, ölçümler yapılıyordu, stres testleri uygulanıyordu. Ama sistem çöktü. Neden? Çünkü modeller, sistemin kendi içindeki bağlantısallığı tam olarak yakalayamıyordu.

Özellikle Türkiye’de faaliyet gösteren şirketler için kur riski ayrı bir önem taşır. Döviz geliri olmayan ama döviz borcu olan bir şirket, farkında olmadan büyük bir kumar oynuyor olabilir. Bu riski yönetmenin yolları var: Doğal korunma (hedging), forward sözleşmeler, opsiyonlar… Ama en önemlisi, bu riskin farkında olmak ve şirketin risk iştahı çerçevesinde pozisyon almaktır.

Uyum ve Mevzuat Riskleri

Uyum riskleri son yıllarda inanılmaz bir hızla arttı. KVKK, GDPR, yaptırım listeleri, kara para aklama mevzuatı, tüketici hakları, çevre düzenlemeleri, ESG raporlama gereklilikleri… Liste uzayıp gidiyor.

Bu risklerin en can sıkıcı yanı, genellikle “yapılması gerekenler” listesi olarak görülüp işin stratejik boyutunun ıskalanmasıdır. Oysa uyum risklerini iyi yönetmek, sadece cezalardan kaçınmak değil, aynı zamanda kurumsal itibarı korumak ve rekabet avantajı elde etmektir.

Bir ilaç şirketinde çalışan bir tanıdığım anlatmıştı. Yeni bir ürünü piyasaya sürmeden önce mevzuat uyum süreçlerini o kadar sıkı tutuyorlardıki, rakiplerinden ortalama iki ay daha geç çıkıyorlardı. Yönetim kurulu bu gecikmeden rahatsızdı. Ta ki bir rakipleri, uyum eksikliği nedeniyle ürününü piyasadan çekmek zorunda kalana kadar. İki aylık gecikme, milyonlarca dolarlık geri çağırma maliyeti ve itibar kaybı yanında çok küçük kalmıştı.

İtibar Riski

İtibar, bir kurumun en değerli ama aynı zamanda en kırılgan varlığıdır. Yıllar içinde, binlerce doğru kararla, milyonlarca müşteri temasıyla inşa edilir. Ama tek bir olayla yerle bir olabilir.

İtibar riskinin ilginç bir özelliği var: Genellikle başka risklerin sonucu olarak ortaya çıkar. Bir veri sızıntısı operasyonel bir risktir ama sonuçları itibaridir. Bir ürün hatası kalite riskidir ama yankıları itibar alanındadır. Bir yöneticinin etik dışı davranışı uyum riskidir ama faturası itibara kesilir.

Sosyal medya çağında itibar riski daha da yakıcı hale geldi. Bir müşterinin kötü deneyimi dakikalar içinde milyonlara ulaşabiliyor. Bu yüzden modern risk yönetiminde itibar riski, ayrı bir kategori olarak değil, tüm risklerin bir boyutu olarak ele alınmalıdır.

Risk İştahı ve Risk Toleransı

Şimdi size risk yönetiminin belki de en çok karıştırılan iki kavramından bahsetmek istiyorum. Bu iki kavramı anlamadan etkili bir risk yönetimi yapmak mümkün değil.

Risk iştahı, kurumun stratejik hedeflerine ulaşmak için almaya razı olduğu toplam risk miktarıdır. Bu, yönetim kurulu seviyesinde belirlenen, kurumun DNA’sına işlemiş bir tercihtir. Bazı kurumlar doğaları gereği risk severdir, bazıları riskten kaçınır.

Bunu bir benzetmeyle açıklayayım. Risk iştahı, bir insanın heyecan arayışı gibidir. Bazı insanlar bunge jumping yapmaktan hoşlanır, bazıları sakin bir yürüyüşü tercih eder. İkisi de geçerli tercihlerdir, yeterki bilinçli olsun.

Risk toleransı ise daha spesifik, daha ölçülebilir bir kavramdır. Belirli bir süreç, proje veya operasyon için kabul edilebilir sapma sınırlarını tanımlar.

Gerçek bir örnekle somutlaştırayım. Bir bankanın yönetim kurulu şöyle bir risk iştahı belirlemişti: “Dijital bankacılıkta öncü olmak için teknoloji risklerini kabul ediyoruz, ancak müşteri mevduatını riske atacak pozisyonlar almayız” Bu bir risk iştahı ifadesidir.

Aynı bankanın risk toleransı ise şöyleydi: “Mobil uygulamamızın aylık kesinti süresi toplam 30 dakikayı aşamaz.” “Kredi portföyümüzde takibe dönüşüm oranı yüzde 2’nin üzerine çıkamaz.” Gördünüz mü? Toleranslar ölçülebilir, izlenebilir ve gerektiğinde aksiyon alınabilir sınırlardır.

Bu ayrımın pratikteki faydası şu: Risk iştahı size genel yönü gösterir, risk toleransları ise günlük kararlarınızda size rehberlik eder. İştahınızı bilmezseniz nereye gittiğinizi bilemezsiniz. Toleranslarınız olmazsa ne zaman duracağınızı kestiremezsiniz.

Risk Yönetim Süreci

Risk yönetimi, bir kez yapılıp rafa kaldırılacak bir çalışma değildir. Sürekli dönen, her turda biraz daha olgunlaşan, yaşayan bir süreçtir. Bu süreci adım adım inceleyelim.

Birinci Adım: Riskin Tanımlanması

Risk tanımlama, belkide tüm sürecin en kritik adımıdır. Çünkü tanımlayamadığınız bir riski yönetemezsiniz. Ve işin kötü yanı, en tehlikeli riskler genellikle en başta görünmeyenlerdir.

Peki riskleri nasıl tanımlarız? Burada tek bir doğru yöntem yok. Farklı araçların bir kombinasyonu kullanılır:

Beyin fırtınası Seansları: Farklı departmanlardan, farklı kıdemlerden insanları bir araya getirip “neyin ters gidebileceğini” konuşmak. Bu seansların en büyük değeri, farklı bakış açılarını aynı masada buluşturmasıdır. Satış ekibinin gördüğü riski finans ekibi görmeyebilir. Operasyonun hissettiği tehlikeyi insan kaynakları fark etmeyebilir.

Süreç haritalama: İş süreçlerini adım adım çıkarmak ve her adımda “burada ne ters gidebilir” diye sormak. Bu yöntem özellikle operasyoınel riskleri yakalamakta çok etkilidir.

Senaryo analizi: “Ya şöyle olursa?” sorularını sistematik olarak sormak. Ya en büyük müşterimizi kaybedersek? Ya döviz kuru bir haftada yüzde 20 artarsa? Ya kritik bir tedarikçimiz iflas ederse? Bu sorular bazen rahatsız edicidir ama sorulmaları gerekir.

Geçmiş olayların analizi: Kendi yaşadıklarımız ve sektörde yaşananlar gelecekteki riskler için en iyi öğretmendir. “Başımıza gelmeden ders almak” mümkün müdür? Evet, eğer başkalarının başına gelenlerden ders alırsanız.

Erken uyarı göstergeleri: Bazı riskler birdenbire ortaya çıkmaz, sinyaller verirler. Müşteri şikayetlerindeki artış, çalışan devir hızındaki yükseliş, tedarikçi performansındaki düşüş… Bunlar yaklaşan fırtınanın habercileridir.

Risk tanımlamanın en zor yanı, “bilinmeyen bilinmeyenleri yakalamaktır. Yani varlığından bile haberdar olmadığınız riskler. Bunlar için en iyi savunma, çeşitlendirilmiş bir bakış açısı ve açık bir kurum kültürüdür. Çalışanların “kötü haber” getirmekten çekinmediği bir ortam, bilinmeyen risklerin daha erken görünür olmasını sağlar.

İkinci Adım: Riskin Değerlendirilmesi – Öncelikleri Belirlemek

Tüm riskleri tanımladıktan sonra sıra, hangilerinin daha acil, hangilerinin daha önemli olduğuna karar vermeye gelir. Çünkü kaynaklar sınırlıdır, her riske aynı anda müdahale edemezsiniz.

Risk değerlendirmenin en yaygın aracı, olasılık-etki matrisidir. Bu matriste riskler, gerçekleşme olasılıklarına ve gerçekleşmeleri halinde yaratacakları etkiye göre konumlandırılır.

Bu matrisi şöyle düşünün: Dört bölgeden oluşan bir harita.

Yüksek olasılık – Yüksek etki bölgesi: Burası kırmızı bölgedir. Buradaki riskler acil müdahale gerektirir. Örnek: Siber güvenlik zafiyetleri, kritik tedarikçi bağımlılığı.

Düşük olasılık – Yüksek etki bölgesi: Burası turuncu bölgedir. Buradaki riskler için acil durum planları yapılmalıdır. Örnek: Büyük deprem, pandemi, terör saldırısı.

Yüksek olasılık – Düşük etki bölgesi: Burası sarı bölgedir.Buradaki riskler süreç iyileştirmeleriyle yönetilir. Örnek: Personel devir hızı, küçük çaplı sistem kesintileri.

Düşük olasılık – Düşük etki bölgesi: Burası yeşil bölgedir. Buradaki riskler izlenir ama aktif müdahale gerektirmez.

Ancak bu matrisin bir tuzak olduğunu da söylemeliyim. Çünkü insan beyni, düşük olasılıklı olayları hafife alma eğilimindedir. “Yüzde bir ihtimal” deyip geçeriz. Ama o yüzde bir gerçekleştiğinde şirketi batırabilecek bir olaysa? İşte bu yüzden değerlendirme yaparken sadece olasılığa değil, etkinin şiddetine de özel bir önem vermek gerekir.

Üçüncü Adım: Risk Yanıtının Seçilmesi

Riskleri tanımladık, değerlendirdik, önceliklendirdik. Şimdi sıra geldi en kritik soruya: Bu riskler karşısında ne yapacağız?

Risk yanıt stratejileri dört ana başlıkta toplanır. Her birini gerçek hayattan örneklerle açıklayayım.

Kaçınma: Risk yaratan faaliyetten tamamen vazgeçmek. Bu en radikal ama bazen en akıllıca seçenektir.

Bir inşaat şirketi düşünün. Deprem riski yüksek bir bölgede, zemin etüdü sonuçları kötü çıkan bir arsada proje geliştirmekten vazgeçiyor. Bu bir kaçınma stratejisidir. “Bu riski almayı tercih etmiyoruz” demektir.

Kaçınma stratejisinin maliyeti, vazgeçilen fırsattır. Bu yüzden her zaman en iyi seçenek olmayabilir.

Azaltma: Kontroller ve önlemlerle riskin olasılığını veya etkisini düşürmek. En sık kullanılan strateji budur.

Bir e-ticaret şirketi, siber saldırı riskini azaltmak için güvenlik duvarları kurar, çift faktörlü kimlik doğrulama kullanır, çalışanlarına güvenlik eğitimleri verir. Bunların hepsi risk azaltma önlemleridir. Riski sıfırlamazlar ama kabul edilebilir bir seviyeye indirirler.

Transfer: Riski başka bir tarafa kaydırmak. Genellikle sigorta, sözleşme hükümleri veya dış kaynak kullanımı yoluyla yapılır.

Bir ihracatçı, kur riskini transfer etmek için forward sözleşme yapar. Bir şirket, yangın riskini sigorta şirketine transfer eder. Bir proje, belirli riskleri taşeron sözleşmeleriyle yükleniciye aktarır.

Transfer stratejisinin maliyeti vardır (sigorta primi, forvard maliyeti, vb.) ama bazen bu maliyet riski üstlenmenin potansiyel maliyetinden çok daha düşüktür.

Kabul: Riski olduğu gibi kabullenmek. Bu da bilinçli bir karardır, ihmalkarlık değil.

Bir yazılım şirketi, çok düşük olasılıklı bir hatanın oluşması durumunda ortaya çıkacak maliyeti hesaplar ve bu maliyetin, hatayı tamamen önlemek için yapılacak yatırımdan daha düşük olduğuna karar verir. Bu durumda riski kabul eder, ama bir acil durum planı da hazırlar.

Her risk için en uygun strateji farklıdır. Ve bu stratejiyi seçerken maliyet-fayda analizi yapmak şarttır. Bir riski yönetmenin maliyeti, riskin gerçekleşmesi durumundaki beklenen kayıptan yüksekse, belki de o riski yönetmek yerine kabul etmek daha akıllıcadır.

Dördüncü Adım: İzleme ve Gözden Geçirme

Risk yönetiminin son adımı aslında yoktur, çünkü süreç döngüseldir. İzleme ve gözden geçirme, bir yandan uygulanan stratejilerin etkinliğini kontrol eder, diğer yandan yeni risklerin ortaya çıkıp çıkmadığını takip eder.

Etkili bir izleme sistemi şunları içermelidir:

Temel Risk Göstergeleri (KRI): Risk seviyesinde ki değişimleri gösteren ölçütler. Örneğin, siber risk için “aylık başarısız giriş denemesi sayısı”, operasyonel risk için “süreç sapma sayısı”, finansal risk için “döviz pozisyon açığı”.

Erken uyarı sistemi: Riskler henüz gerçekleşmeden sinyal veren göstergeler. Tedarikçi ödeme gecikmelerindeki artış, müşteri şikayetlerindeki yükseliş, sektördeki konsolidasyon haberleri…

Periyodik gözden geçirme toplantıları: Risklerin ve risk yanıtlarının düzenli olarak masaya yatırıldığı, değişen koşulların değerlendirildiği toplantılar.

Bu izleme sürecinin en önemli çıktısı, kurumun risk profilindeki değişimleri zamanında tespit edip gerekli aksiyonları alabilmektir. Unutmayın: Dün doğru olan bir risk değerlendirmesi, bugün yanlış olabilir. Çünkü dünya değişiyor, iş yapış şekilleri değişiyor, riskler değişiyor.

Doğal Risk ve Kalıntı Risk

Risk yönetiminde sıkça duyacağınız ama çoğu zaman tam anlaşılmayan iki kavram var: Doğal risk ve kalıntı risk. Bu ikisi arasındaki farkı anlamak, risk yönetiminin değerini ölçmek için kritiktir.

Doğal risk, hiçbir kontrol, önlem veya yanıt stratejisi uygulanmadan önceki risk seviyesidir. Yani “işin doğasında olan” risktir.

Bir örnek: Bir bankanın kredi verme işi düşünün. Doğal risk, verilen kredinin hiçbir teminat, kredi değerlendirmesi veya takip mekanizması olmadan geri ödenmeme ihtimalidir. Bu oldukça yüksek bir risktir.

Kalıntı risk, tüm kontroller, önlemler ve risk yanıt stratejileri uygulandıktan sonra geriye kalan risk seviyesidir.

Aynı banka örneğin de: Kredi değerlendirme süreçleri, teminatlandırma, kredi izleme, erken uyarı sistemleri… Tüm bunlar uygulandıktan sonra kalan risk, kalıntı risktir. Bu risk hala sıfır değildir ama doğal riskten çok daha düşüktür.

Risk yönetiminin temel amacı, doğal riski sıfırlamak değil (bu çoğu zaman mümkün değildir), kalıntı riski kurumun risk iştahı ve toleransı içinde tutmaktır.

Bu ayrımı anlamak, yöneticilere çok net bir soru sorma imkanı verir: “Bu riski kabul edilebilir seviyeye indirebildik mi?” Eğer cevap “hayır” ise, ek kontrollere veya farklı risk yanıt stratejilerine ihtiyaç var demektir.

Standart Çerçeveler: COSO ERM ve ISO 31000

Risk yönetimi yaparken sıfırdan bir sistem kurmak zorunda değilsiniz. Dünya çapında kabul görmüş, milyonlarca kurumun deneyimlerinden süzülmüş çerçeveler var. Bunların en yaygın ikisi COSO ERM ve ISO 31000’dür.

COSO ERM Çerçevesi

COSO (Committee of Sponsoring Organizations of the Treadway Commission), özellikle Amerika Birleşik Devletleri’nde yaygın olarak kullanılan bir çerçeve sunar. COSO ERM, risk yönetimini strateji, performans ve yönetişimle entegre eden bütüncül bir yaklaşımdır.

COSO’nun en güçlü yanı, risk yönetimini kurumsal stratejinin ayrılmaz bir parçası olarak konumlandırmasıdır. Çerçeve, risk yönetiminin değer yaratma ve koruma süreçleriyle nasıl entegre edileceğini adım adım gösterir.

COSO ERM beş ana bileşenden oluşur:

1. Yönetişim ve Kültür

2. Strateji ve Hedef Belirleme

3. Performans

4. Gözden Geçirme ve Revizyon

5. Bilgi, İletişim ve Raporlama

Bu çerçeve özellikle halka açık şirketler, finansal kurumlar ve kurumsal yönetişime önem veren büyük organizasyonlar için uygundur.

ISO 31000 Standardı

ISO 31000, Uluslararası Standartlar Örgütü tarafından yayınlanan, risk yönetimi için ilkeler, çerçeve ve süreç sunan bir standarttır. COSO’dan farklı olarak daha esnek, ilke temelli ve her ölçekteki kuruma uyarlanabilir bir yapıdadır.

ISO 31000’in en büyük avantajı, risk yönetimini “karar verme sürecinin doğal bir parçası” olarak konumlandırmasıdır. Standart, risk yönetiminin ayrı bir aktivite değil, tüm yönetim süreçlerine entegre edilmiş bir yaklaşım olması gerektiğini vurgular.

ISO 31000’in temel ilkeleri şunlardır:

• Entegre olma

• Yapılandırılmış ve kapsamlı olma

• Özelleştirilmiş olma

• Kapsayıcı olma

• Dinamik olma

• En iyi mevcut bilgiyi kullanma

• İnsani ve kültürel faktörleri dikkate alma

• Sürekli iyileştirme

Peki hangisini seçmeli? Bu sorunun tek bir doğru cevabı yok. ABD merkezli, halka açık veya finans sektöründe faaliyet gösteren bir şirketseniz COSO sizin için daha uygun olabilir. Daha esnek, uluslararası geçerliliği olan ve her sektöre uyarlanabilir bir çerçeve arıyorsanız ISO 31000 iyi bir tercihtir. Hatta birçok kurum, iki yaklaşımın en iyi yanlarını alarak kendi hibrit modellerini oluşturur.

Risk Yönetiminin Gerçek Hayattaki Yansımaları

Şimdiye kadar anlattıklarım daha çok teorik çerçeveydi. Peki gerçek hayatta, sahada risk yönetimi nasıl işliyor? Gelin birkaç sektörden somut örneklere bakalım.

Bankacılık Sektörü

Bankalar, risk yönetiminin en olgunlaştığı, en sıkı regülasyonlara tabi olduğu sektördür. Bir bankada risk yönetimi deyince akla üç ana alan gelir: Kredi riski, piyasa riski ve operasyonel risk.

Kredi riski yönetimi için bankalar gelişmiş skorlama modelleri kullanır, teminatlandırma yapar, kredi portföylerini çeşitlendirir. Piyasa riski için stres testleri, senaryo analizleri, VaR (Value at Risk) modelleri kullanır. Operasyonel risk için süreç kontrolleri, iç denetim mekanizmaları, iş sürekliliği planları devrededir.

Ama bankalarda risk yönetiminin en çarpıcı yanı, tüm bu sistemlerin regülatörler (BDDK, ECB, Fed gibi) tarafından sürekli denetleniyor olmasıdır. Sermaye yeterliliği rasyoları, likidite karşılama oranları, stres testi sonuçları… Hepsi risk yönetiminin somut, ölçülebilir çıktılarıdır.

Üretim Sektörü

Bir otomotiv yan sanayi şirketini düşünün. En büyük riskleri nelerdir? Tedarik zinciri kesintileri, kalite sapmaları, kur dalgalanmaları, iş gücü devir hızı, enerji maliyetleri…

Bu şirket için risk yönetimi, tedarikçi çeşitlendirmesi yapmak, kritik parçalar için stok tutmak, kalite kontrol süreçlerini sıkılaştırmak, enerji verimliliği projeleri geliştirmek, çalışan bağlılığını artırıcı programlar uygulamak anlamına gelir.

Pandemi döneminde tedarik zinciri risklerinin ne kadar hayati olduğunu hepimiz gördük. “Tam zamanında üretim” modelinden “tedarik zinciri dirençliliği” modeline geçiş, risk yönetimi perspektifinin nasıl evrildiğinin somut bir göstergesidir.

Teknoloji Sektörü

Bir yazılım şirketi için riskler farklıdır. Siber güvenlik tehditleri, fikri mülkiyet ihlalleri, yetenek kaybı, teknolojik eskime, mevzuat uyumu (özellikle veri koruma alanında)…

Bu sektörde risk yönetiminin en zor yanı, hız ve güvenlik arasındaki hassas dengeyi kurmaktır. Ürünü hızlı piyasaya sürmek rekabet avantajı sağlar ama yeterince test edilmemiş bir ürün, güvenlik açıkları veya performans sorunları yaratabilir.

Başarılı teknoloji şirketleri, risk yönetimini inovasyon süreçlerine entegre etmeyi başaranlardır. “Güvenli hata yapma” kültürü, hızlı prototipleme ve sürekli geri bildirim döngüleri, bu şirketlerin riskleri yönetirken aynı zamanda hızlı hareket etmelerini sağlar.

Finansal Planlama ve Risk Yönetimi

Bütçeler, geleceğe dair tahminlerdir. Ama hiçbir tahmin yüzde yüz doğru çıkmaz. İşte bu yüzden finansal planlama ile risk yönetimi el ele gitmek zorundadır.

Geleneksel bütçeleme yaklaşımında tek bir senaryo üzerinden ilerlenir. “Kur şu seviyede olacak, satışlar şu kadar artacak, maliyetler şu oranda yükselecek…” Bu varsayımlar üzerine bir bütçe inşa edilir ve yıl boyunca bu bütçeye sadık kalınmaya çalışılır.

Oysa modern yaklaşım, belirsizliği bütçeleme sürecinin merkezine koyar. Stres testleri, duyarlılık analizleri, senaryo planlaması… Bunlar finansal planlamanın ayrılmaz parçaları haline gelir.

Somut bir örnek: Bir şirket bütçesini hazırlarken üç senaryo üzerinde çalışır. Baz senaryo (en olası), iyimser senaryo ve kötümser senaryo. Her senaryo için farklı aksiyon planları hazırlanır. Kur belirli bir seviyeyi aşarsa hangi harcamalar kısılacak? Satışlar beklenenden iyi giderse ek yatırımlar nereye yapılacak?

Bu yaklaşım, şirketi sürprizlere karşı hazırlıklı kılar. Bütçe sapmaları bir başarısızlık göstergesi değil, değişen koşullara uyum sağlamanın doğal bir sonucu olarak görülür.

Geleceğin Riskleri: Yapay Zeka, Siber Güvenlik ve ESG

Risk yönetimi dinamik bir disiplindir. Dünün riskleri ile bugünün riskleri aynı değil, yarının riskleri ise henüz tam olarak şekillenmemiş durumda. Ama bazı eğilimler şimdiden belirginleşiyor.

Yapay Zeka Riskleri

Yapay zeka, iş yapış şekillerimizi kökten değiştiriyor. Verimlilik artışı, maliyet düşüşü, yeni iş modelleri… Hepsi heyecan verici. Ama yapay zeka aynı zamanda yepyeni riskler de getiriyor.

Model riski: Yapay zeka modellerinin hatalı veya önyargılı sonuçlar üretmesi. Bir bankanın kredi değerlendirme modelinin, farkında olmadan belirli gruplara karşı ayrımcılık yapması gibi.

Veri gizliliği: Yapay zeka sistemlerinin eğitilmesi için büyük miktarda veriye ihtiyaç var. Bu verilerin toplanması, saklanması ve işlenmesi ciddi gizlilik riskleri yaratır.

Açıklanabilirlik: Yapay zeka kararlarının nasıl alındığını anlamak her zaman mümkün değil. “Kara kutu” problemi, özellikle regüle sektörlerde büyük bir risk oluşturur.

Deepfake ve dezenformasyon: Yapay zeka ile üretilen sahte içerikler, itibar riskini ve dolandırıcılık riskini yeni bir boyuta taşıyor.

Siber Dayanıklılık

Siber güvenlik artık sadece “saldırıları önleme” meselesi değil. Saldırının kaçınılmaz olduğu bir dünyada, asıl mesele “ne kadar hızlı toparlanabildiğiniz” haline geldi. İşte bu yüzden “siber dayanıklılık” kavramı öne çıkıyor.

Siber dayanıklılık, bir saldırı anında operasyonları sürdürebilme, hasarı sınırlandırabilme ve normale hızla dönebilme kapasitesidir. Bu kapasiteyi oluşturmak için gerekenler: Sağlam yedekleme sistemleri, düzenli olarak test edilen iş sürekliliği planları, olay müdahale ekipleri, kriz iletişim planları.

Ve belki de en önemlisi: Çalışanların siber farkındalığı. Çünkü en gelişmiş güvenlik sistemleri bile, bir çalışanın tıkladığı şüpheli bir linkle aşılabilir.

ESG Riskleri

Çevresel, Sosyal ve Yönetişim (ESG) faktörleri, artık “iyi niyet” göstergeleri olmaktan çıktı, doğrudan finansal performansı etkileyen risk faktörleri haline geldi.

İklim riskleri: Fiziksel riskler (sel, kuraklık, aşırı hava olayları) ve geçiş riskleri (karbon vergileri, mevzuat değişiklikleri, teknoloji dönüşümü). Bir kıyı şehrindeki üretim tesisiniz, yükselen deniz seviyelerinden etkilenebilir. Ya da karbon yoğun bir sektördeyseniz, artan karbon maliyetleri iş modelinizi tehdit edebilir.

Sosyal riskler: Çalışan hakları, tedarik zincirinde insan hakları ihlalleri, toplumsal cinsiyet eşitliği, çeşitlilik ve kapsayıcılık. Bu alanlardaki zafiyetler, itibar kaybından yasal yaptırımlara kadar uzanan sonuçlar doğurabilir.

Yönetişim riskleri: Yönetim kurulu yapısı, etik standartlar, şeffaflık, hesap verebilirlik. Zayıf yönetişim, kurumun tüm risk yönetim sistemini işlevsiz hale getirebilir.

Güçlü Bir Risk Kültürü Nasıl Oluşturulur?

En iyi risk yönetimi çerçeveleri, en gelişmiş modeller, en detaylı prosedürler… Bunların hepsi, onları hayata geçirecek bir kültür yoksa kağıt üzerinde kalır. Peki güçlü bir risk kültürü nasıl oluşturulur?

Üst Yönetimin Sahiplenmesi

Risk kültürü tepeden başlar. Yönetim kurulu ve üst yönetim, risk yönetimini stratejik bir öncelik olarak görüyor mu? Risk konularını düzenli olarak gündemlerine alıyorlar mı? Risk iştahını net bir şekilde ifade ediyorlar mı?

Üst yönetimin risk yönetimine verdiği önem, tüm organizasyona yayılır. Eğer CEO, “risk yönetimi iç denetimin işidir” diye düşünüyorsa, organizasyonun geri kalanı da böyle düşünecektir. Ama CEO, her kararın arkasında bir risk değerlendirmesi varsa, bu yaklaşım zamanla kurumun DNA’sına işler.

Açık İletişim ve “Kötü Haber” Kültürü

Risk yönetiminin en büyük düşmanlarından biri, “kötü haberi getireni vurma” kültürüdür. Çalışanlar, bir riski veya hatayı bildirdiklerinde cezalandırılacaklarından korkarlarsa, riskler görünmez kalır, taki çok geç olana kadar.

Sağlıklı bir risk kültüründe, riskleri erken bildirmek ödüllendirilir. “Burada bir sorun olabilir” diyen çalışan, “sorun çıkaran” değil, “değer katan” olarak görülür. Bu kültürü oluşturmak için yöneticilerin açık iletişimi teşvik etmesi, hataları cezalandırmak yerine ders çıkarma fırsatı olarak görmesi gerekir.

Sürekli Eğitim ve Farkındalık

Risk yönetimi, bir kez öğrenilip kenara konulacak bir konu değildir. Değişen risk ortamı, yeni tehditler, gelişen yönetim teknikleri… Tüm bunlar sürekli öğrenmeyi gerektirir.

Çalışanlara düzenli olarak risk farkındalığı eğitimleri vermek, gerçek vaka çalışmaları üzerinden tartışmalar yapmak, farklı departmanları bir araya getirip risk senaryoları üzerinde çalıştırmak… Bunlar risk kültürünü canlı tutmanın yollarıdır.

Riskin Herkesin İşi Olduğu Anlayışı

Risk yönetimi sadece risk yönetimi departmanının işi değildir. Satış ekibi, bir sözleşme imzalarken risk değerlendirmesi yapmalıdır. Operasyon ekibi, bir süreç değişikliğinde riskleri düşünmelidir. İnsan kaynakları, işe alım yaparken risk farkındalığını değerlendirmelidir.

Bu anlayışı yerleştirmek için risk yönetimini performans değerlendirme sistemlerine entegre etmek, risk konularını düzenli ekip toplantılarının gündemine almak, risk yönetimindeki başarıları görünür kılmak ve takdir etmek gerekir.

Sonuç

Bu uzun yolculuğun sonuna geldik.

Risk, modern iş dünyasının kaçınılmaz bir gerçeğidir. Onu yok saymak, görmezden gelmek veya tamamen ortadan kaldırmaya çalışmak, ne mümkündür ne de akıllıcadır. Çünkü risksiz bir dünyada fırsatlar da olmaz. Büyüme, yenilik, dönüşüm…. Hepsi risk almayı gerektirir.

Asıl mesele, hangi riskleri alacağımıza bilinçli olarak karar vermek, aldığımız riskleri etkin bir şekilde yönetmek ve risk-getiri dengesini sürekli olarak gözetmektir.

Risk yönetimi, bir kurumun savunma hattıdır, evet. Ama aynı zamanda büyüme kapasitesinin de temelidir. İyi yönetilen risk, kurumu korurken aynı zamanda daha cesur adımlar atmasını, daha iddialı hedefler koymasını, daha hızlı hareket etmesini sağlar.

Belirsizlik ortadan kalkmayacak. Hatta muhtemelen artacak. Ama belirsizliği yönetmeyi öğrenen kurumlar için bu bir tehdit değil, bir fırsat kaynağıdır. Çünkü onlar, diğerlerinin kaçındığı sularda yüzmeyi bilirler.

Riskten kaçan kurumlar korunur belki. Ama riski anlayan, ölçen ve bilinçli olarak yöneten kurumlar büyür, gelişir ve lider olur.

Sizce de risk, artık korkulacak bir şey değil, anlaşılacak ve yönetilecek bir gerçeklik değil mi?

Bu yazı, risk yönetiminin temel kavramlarını ve süreçlerini anlaşılır bir dille aktarmayı amaclamaktadır. Her kurumun risk profili, risk iştahı ve risk yönetimi yaklaşımı kendine özgüdür. Burada sunulan çerçeve, kendi kurumunuza özgü bir risk yönetimi sistemi kurarken size yol gösterecek temel prensipleri içermektediir.