4. Bölüm
Kurumsal Risk Yönetiminin Sürekliliğinin Sağlanması
KRY nin sürekliliği, yönetimin sahiplenmesi ve kurum içerisinde stratejik bir fonksiyon olarak konumlamasıyla mümkündür. Bu da en baştan itibaren KRY ile ilgili sorumlulukların kimlere verildiği, uygulamaları destekleyecek alt yapıların nasıl oluşturulduğu ve ne şekilde izlendiği ile direkt ilgilidir. Nasıl ki bir ülkenin iyi bir anayasaya sahip olması o ülkenin iyi yönetildiği anlamına gelmezse, iyi bir KRY organizasyonunun ve planının olması da KRY uygulamalarının başarılı ve sürdürülebilir olduğu anlamına gelmeyecektir.
Amaç, risk izleme, yönetme ve değerlendirmede tekrarlanan iyi tanımlanmış yapıların tasarlanmış ve uygulanmış olması ve aynı zamanda tüm kurum içine yayılmasını sağlamaktır. Bu nedenle KRY sistemi kurulurken organizasyon ve yetkilerden başlayarak, oluşturulan değerlendirme yöntemlerine, bilginin organize edilmesi, ulaşılması, risklerin izlenmesi, raporlanması ve iyileştirilmesine kadar her noktada risk yönetiminin yönetim tarafından kullanılabilir bir karar organı olarak konumlanmasını sağlamak gerekir.
Öncelikle; organizasyonun kurumun kendi ihtiyaçlarını karşılayacak, bilgi akışını tesis edecek ve hem merkezi hem de kurum birimlerinin riskin belirlenmesi ve yönetiminde sorumluluk almasını sağlayacak şekilde yapılandırılması önemlidir. Kurumlar içerisinde bölüm ve fonksiyonel seviyede riskler ile ilgili veri dağları oluşabilir. Bu veri dağları bölümler için anlamlı olabilirken, kurumsal düzeydeki riskler gözden kaçabilir ve üst yönetime anlamlı bir bilgi sağlamayabilir. Bu nedenle, risk tanımlama ve değerlendirme çalışmalarında oluşturulan risk bilgilerinin yorumlanması ve bir araya getirilmesi merkezi bir bakış açısını gerektirir.
KRY de yetkilendirme ise, risklerle ilgili bazı kararların, merkezden operasyonların yönetiminde yer alan alt kademelere devredilmesidir. Bu aşamada; risklerin nasıl yönetileceğine göre, yaratıcılığı, inisiyatif almayı, hızı arttıracak şekilde, öte yandan risklere ve risklerin yaratacağı potansiyel kayıp ve kazançlara göre yetkilerin dağıtılması önemlidir.
Risk Tanımlama ve Değerlendirme Metodolojisi; KRY’nin sürekliliği için iyi tanımlanmış olmalıdır. Risklerin sadece birim bakış açısıyla değil tüm kurum genelinde değerlendirilmesinin sağlanması önemlidir. Özellikle olasılık ve etkiler belirlenirken seçilen ölçekler mümkün olduğunca kurum içi ve kurum dışı verilere dayandırılabilmelidir. Değerlendirmeyi yapan kişilerin olasılık ve etki kriterlerini neleri dikkate alarak seçtiği izlenebilmeli, gerekiyorsa düzeltilebilmelidir. Tekrarlanan değerlendirme dönemleri sonucunda da bu değerlendirmeler için şirket hafızası oluşturulmuş olacaktır.
Diğer önemli bir husus ise KRY’nin kurumun mevcut iş süreçlerine entegre edilmesidir. Mevcut iş süreçleri içine entegre edilmeyen KRY uygulamalarının sürekliliğini sağlamak mümkün değildir. Örneğin KRY’nin Strateji Yönetim Süreci ile, uygulamaların takibi ve ödüllendirilmesi için Performans Değerlendirme süreci ile entegrasyonu gibi.
Bilginin organize edilmiş olması ve kullanılabilir durumda tutulması ise KRY uygulamalarının başarısı ve devamlılığı için sinir sistemi işlevi görür. Hem risklerin belirlenmesi hem kaynak tahsisi hem de kurumsal risk indikatörlerinin izlenmesi için kurumun her seviyesinde bilgiye ihtiyacı vardır. Bilgi iç veya dış pek çok kaynaktan gelebilir. Önemli olan kurum kararlarında kullanıma ihtiyaç duyulan bilginin işlenerek kullanılabilir ve ulaşılabilir halde tutulmasını sağlamaktır.
Risklerin izlenmesi ise uygulamada gördüğüm en önemli boşluklardan ve KRY’nin devamlılığını etkileyen konulardan biridir. Mevcut uygulamalarda KRY’den sorumlu olan yöneticiler belirli periyotlarda birimlerin peşine düşerek gerçekleşen veya yeni oluşan bir risk olup olmadığının takibini yapmaktan asıl odaklanmaları gereken alanları kaçırabilmekte ve sonuçta KRY hem takip eden hem de takip edilenler için bürokratik bir iş haline gelmektedir. Oysa riskler hedeflere ulaşmamıza engel olan durumlardır. Dolayısıyla risk toleranslarının belirlenerek izlenmesi; hem varsa yeni oluşmuş riskleri tespit etmek ya da önceden belirlenen riskin neden oluştuğunu sorgulamak ve iyileştirme talep etmek için önemli bir mekanizma sunmaktadır. Kısaca izleyenleri birimlerin peşinde koşan konumdan hesap soran konuma yükseltmekte, yönetime bilgi akışının sağlıklı hale gelmesini sağlamaktadır.
KRY sürdürülebilirliği için önemli olduğunu düşündüğüm bir diğer nokta ise KRY çalışmalarının otomasyona alınması ve uygun bir program ile izlenmesidir.