1. Bölüm
Kurumsal Risk Yönetimine Başlarken Nasıl Bir Strateji İzlenmelidir?
Kurumsal Risk Yönetimini “niçin” gerekli olduğu konusunda genellikle büyük bir hem fikirlik varken, “nereden başlanılacağı” konusuna gelindiğinde bir anda büyü bozulur ve her kafadan farklı bir yol haritası çıkabilir. Bunun nedeni aslında çok basittir. Her ülke, her kültür, her kurum, her pazar, her müşteri grubu, her ürün farklıdır. Dolayısıyla KRY’nin yol haritası da farklı olacaktır. Çünkü KRY, kurumun mevcut süreçlerinden bağımsız tek başına işleyen, bürokratik, başlayıp biten bir proje değil, kurumun süreçleri ve karar alma mekanizmasının doğru işlemesini sağlayan bir parçası olmak zorundadır.
Bu nedenle Kurumsal Risk Yönetimine başlarken nasıl bir strateji izleneceğine, değişimin nasıl yapılacağına dair reçete yazmak, kurallar oluşturmak oldukça zordur. Aslında bunun cevabı kurumun içinde gizlidir. Bunu görebilmek çoğu kez zannedilenin üstünde bir uzmanlık gerektirir.
Üstelik her kurum, hedeflerine ulaşmak için risklerini ön görmeye çalışarak gerekli önlemleri alırken, en basitten sofistike yaklaşımlara kadar risk yönetiminin gerektirdiği pek çok isteği zaten yerine getirmektedir. Bu nedenle kurumların, Kurumsal Risk Yönetimi için çalışmaya ve kaynak transferi yapmaya başlamadan önce, mevcut risk yönetimi ile ilgili var olan yöntemlerini, yetkinliklerini ve kurum kültürünü belirlemeleri doğru bir başlangıç noktası olacaktır. Bu ilk adım, KRY açısından kurumun mevcut yetkinliğini belirlemesine imkân sağlayacağı gibi nereye ulaşmak istediğini, hangi risklerden korunması gerektiğini de belirlemesine yardımcı olacaktır.
İkinci adım ise, KRY tanımının içerisinde görülebilir. “KRY, şirketin yönetim kurulu, üst yönetimi ve diğer tüm çalışanları tarafından etkilenen ve kurumun tümünde uygulanan sistematik bir süreçtir.” Kısaca KRY kurumun üst yönetiminden başlayarak tüm çalışanlarının desteğine bağlıdır ve bu konunun atlanması sıklıkla gördüğümüz bir başarısızlık sebebidir.
Üst yönetimin Kurumsal Risk Yönetimini sahiplenmemesi, gerekli kültürel alt yapıyı oluşturmadan uygulamayı başlatması ve risk yönetimi çalışmalarını bir proje gibi alt kademelere devretmeleri sonucu KRY maalesef olması gerektiği gibi stratejik bir fonksiyon haline gelememektedir. Bu nedenle KRY uygulamalarına başlamadan önce atılacak ikinci önemli adım KRY’nin üst yönetim tarafından sahiplenilmesi ve risk stratejisinin oluşturularak, kurum genelinde riske karşı hassas ve duyarlı bir kültür oluşturulması olmalıdır. Riske karşı hassas ve duyarlı bir kültür ise tüm çalışanların yürütülen tüm çalışmalarda düşüncelerini rahatlıkla paylaşabilmeleri demektir.
KRY yolculuğunda üçüncü adım, gerekli sistemsel alt yapıyı tanımlamak olacaktır. Sistemsel alt yapı ise risk iştahının, risk organizasyonunun, görevlerin, risk yönetim süreçlerinin, metodolojilerin, yetkinliklerin, bilgi, iletişim ve raporlama yapısının ve teknolojinin kombinasyonundan meydana gelmektedir.
Sonuç olarak KRY süreci (uygulaması) ancak bu üç adımın tamamlanmasını takiben hayata geçirilmelidir.