‘Kurumsal Risk Yönetimi’ne Genel Bir Bakış

Giriş

Stratejik planlama, kapsamlı risk tanımlama ve etkili iletişim ile dayanıklı kurumsal risk yönetimi (enterprise risk management) oluşturarak işin sürdürülebilirliğini ve büyümesini sağlar.

Kısa bir süre önce perakendeci Bed Bath & Beyond bir Fortune 500 şirketiydi. 2023 yılında (İflas Yasası) ‘Bölüm 11’ kapsamında iflas başvurusunda bulundu ve son mağazasını Temmuz ayı sonunda kapattı. Kapatılmasının nedenleri çok sayıda ve karmaşıktır. Ancak bir zamanlar hızla gelişen iş modelini çökerten tüm tehlikeleri planlamadığı veya yapamadığı açıktır.

Pandemi, birçok ekonominin gerilemesi ve hızla artan faiz oranları gibi olayların da gösterdiği gibi, sağlam işletmeler bile sekteye uğrayabilir. Her türden şirket, operasyonlarına, itibarlarına, kârlılıklarına ve hatta sürdürülebilirliklerine zarar verebilecek çok sayıda risk ile karşı karşıyadır. Bu, kurumsal risk yönetimi girişiminin uygulanmasını kesinlikle hayati kılmaktadır. Kurumsal risk yönetiminin amacı, işletmelerin daha verimli ve kârlı bir şekilde faaliyet gösterebilmeleri için risk hakkında bilinçli kararlar almalarına yardımcı olmaktır. Ancak bir kurumsal risk yönetimi girişiminin etkili olabilmesi için dikkatli bir planlamaya ve kurum çapında katılıma ihtiyacı vardır.

1. Kurumsal Risk Yönetimi

Kurumsal risk yönetimi, bir işletmenin yürütülmesiyle ilişkili risklerin tanımlanmasına, bunların olasılıklarının ve potansiyel etkilerinin değerlendirilmesine ve bunların yönetilmesi ve hafifletilmesine yönelik stratejiler geliştirilmesine yönelik sistematik bir yaklaşımdır. Çoğu işletmenin bir çeşit risk yönetimi programı vardır. Ancak ‘geleneksel’ risk yönetiminde yönetim genellikle ayrı bölüm veya departmanların eline bırakılırken; bunun tersine kurumsal risk yönetimi, tüm organizasyon genelindeki riskleri belirlemek ve yönetmek için iş birimleri arasında iletişim ve koordinasyon gerektiren bütünsel bir yaklaşımdır. Birçok şirket, çeşitli kilit departmanlardan paydaşları içeren bir kurumsal risk yönetimi ekibi kurmuştur.

Bunun nedeni, kurumsal risk yönetiminin departman sınırları ötesinde ele aldığı risklerdir. Bunlar, işletme hedeflerine ulaşmayla ilgili faaliyetleri içeren stratejik riskleri kapsar. Bunlar ayrıca borç seviyeleri, nakit akışı açıkları veya işletmenin kârlılığına zarar verebilecek yatırımlar gibi yönetilmesi gereken finansal riskleri de içerir. Yeni teknolojiler, özellikle de ‘ChatGPT’ gibi üretken yapay zekâ teknolojileri, birçok şirketin iş modellerini bozabilir ve onları olası yasal uyum zorluklarına açık hale getirebilir. Yetersiz siber güvenlik, önemli şirket veya müşteri verilerinin siber suçluların eline geçmesine neden olabilir. Sözleşmeler veya diğer iş/işletme anlaşmalarını içeren davalar gibi yönetilmesi gereken hukuki riskler mevcuttur. Ayrıca, örneğin finansal raporlamaya ilişkin Sarbanes-Oxley gibi düzenleyici yükümlülüklerin karşılanmaması gibi yasal uyum ile ilgili riskler de vardır.

Kurumsal risk yönetimi, özellikle kuruluşun günlük operasyonlarıyla ilgili risklerin belirlenmesine, değerlendirilmesine ve yönetilmesine odaklanan operasyonel risk yönetimini (operational risk management) de içerir. Bunlar teknoloji, mevzuat uyumu ve sağlayıcıların katılımıyla ilişkili riskleri içerebilir. Kurumsal risk yönetimi gibi operasyonel kurumsal risk yönetimi de riskleri azaltmayı amaçlamaktadır. Ancak operasyonel risk yönetiminin ele aldığı riskler, çalışanların şirket veri sistemlerini yanlışlıkla siber suçlulara açması gibi kasıtsız risklerdir. Kurumsal risk yönetimi, her türlü riski yönetmenin yanı sıra, bir kuruluşun belirli kasıtlı stratejik riskleri (yeni müşteriler, yeni ürün grupları ve giderleri azaltmanın ve performansı artırmanın yeni yollarını getirebilecek riskleri) optimize etmesine de yardımcı olabilir.

Ayrıca kurumsal risk yönetimi, temel performans göstergelerinin (key performance indicators) kullanımını risk değerlendirme performansını izleyen ölçümlerle birleştirir. Aynı zamanda tipik olarak belirli faaliyetler veya operasyonlarla ilişkili potansiyel riskleri özetleyen bir ‘risk kaydı’nın geliştirilmesini de kapsar.

Kurumsal risk yönetiminin gerekli olmasının birçok nedeni bulunmaktadır. En önemlisi, onlara sadece meydana geldikten sonra tepki vermek yerine, organizasyonların potansiyel iç ve dış riskleri tespit etme ve izleme konusunda proaktif olmalarına olanak tanır. Aynı zamanda bir işletmenin kaçınamayacağı riskleri azaltmak için protokoller de oluşturur.

Bir işletmenin kurumsal risk yönetimi programı oluşturmasının bir diğer önemli nedeni de, işletmenin daha verimli ve kârlı çalışma yeteneğini geliştirmektir. Kurumsal risk yönetimi protokolleri, bir şirketin karşı karşıya olduğu potansiyel tehlikelerin profilini yükselterek, stratejik karar alma ve uygulama konusunda bilgi sağlamaya yardımcı olurken aynı zamanda potansiyel olarak zarar verici risklerden kaynaklanan kayıpları da en aza indirebilir.

Şirket çapındaki bir risk yönetimi girişimi, risk ve kolaylaştımayla ilgili bilgileri açık ve saydam bir şekilde paylaşarak tüm çalışanların ve diğer paydaşların riskler ve risk yönetimi protokolleri hakkında bilgi sahibi olmasını sağlayabilir. Çalışanlar potansiyel riskler hakkında müşteriler ile etkileşime girdiğinde bu yararlı olabilir. Bu da tüm paydaşlara şirketin dayanıklılığı ve sağlamlılığı konusunda güvence verebilir.

2. Kurumsal Risk Yönetimi Sürecinin Adımları

Başarılı bir kurumsal risk yönetimi girişimi oluşturmak, dikkatli düşünmeyi ve titiz bir uygulama gerektirir. Bu düşünce, kuruluşların iç kontrol, risk yönetimi ve dolandırıcılığı önleme konusunda rehberlik sağlamasına yardımcı olmayı amaçlayan bir özel sektör grubu olan Sponsor Kuruluşlar Komitesi (Committee of Sponsoring Organizations) tarafından geliştirilen aşağıdaki kurumsal risk yönetimi bileşenlerini haberdar eder:

2.1. Hedeflerin belirlenmesi (setting goals)

Bu, kuruluşun amaç ve hedeflerini tanımlamayı ve bunları risk toleransıyla uyumlu hale getirmeyi içerir. Bir işletme, uzun vadeli stratejik planların fırsatlara veya tehlikelere dönüşebilecek risklerle dolu olduğunu bilmelidir.

2.2. Dâhili iş akışları (internal workflows)

Kuruluşun risk yönetimini etkileyen dâhili faktörler arasında yönetim yapısı, kurumsal yönetişim ve şirket kültürü yer alır. Bu faktörler işletmenin risk iştahını ve ne tür riskleri yönetmesi gerektiğini belirler. Hangi risklerin yönetilmesi gerektiğini genellikle üst düzey yönetim (ve birçok kuruluşta şirketin yönetim kurulu) belirlerken, birçok kuruluş çalışanların katkısını da kullanır.

2.3. Risklerin belirlenmesi (identifying risks)

Bu, kuruluşun hedeflerine ulaşma yeteneğini etkileyebilecek olay veya durum olarak tanımlanan risklerin tanımlanmasını içerir. Bu etkiler şirketin gelecekteki faaliyetlerine faydalı veya zararlı olabilir. Bir kurumsal risk yönetimi programı, özellikle zarar verebilecek yüksek riskli olayları tanımlamalıdır. Böyle bir olaya örnek olarak, çok sayıda şirketin tedarik zincirini sekteye uğratan Panama Kanalı’ndaki mevcut destek verilebilir.

2.4. Risk değerlendirmesi (assessing risk)

Bu adımla bir şirket, risk olarak tanımladığı risklerin gerçekleşme olasılığının ne kadar yüksek olduğunu belirler. Ayrıca, ne kadar önemli bir etkiye sahip olabileceklerine bağlı olarak bunlara öncelik verir. Sponsor Kuruluşlar Komitesi kurumsal risk yönetimi çerçevesi, şirketlerin potansiyel bir riskin hem meydana gelme yüzdesini hem de dolar üzerindeki etkisini değerlendirmesini önerir. Ayrıca Sponsor Kuruluşlar Komitesi, bir kuruluşun yalnızca doğrudan riski (Covid-19’da sosyal mesafe) değil aynı zamanda kalan riskleri de (ofise dönmeye direnen çalışanlar) değerlendirmesini tavsiye ediyor. Sektöre bağlı olarak birçok risk değerlendirmesi türü vardır, ancak genel olarak risk değerlendirme araçlarının faydaları vardır.

2.5. Riske yanıt verme (responding to risk)

Kuruluş daha sonra belirlediği riskleri yönetmek için stratejiler geliştirir ve uygular. Stratejilerden biri kaçınmaktır. Bunun bir örneği, potansiyel tehlikelerin faydalardan daha ağır bastığı bir iş kolunun ortadan kaldırılması olabilir. İkinci strateji ise potansiyel hasarı azaltmak için protokoller oluştururken bu iş kolunu sürdürmektir. Üçüncü seçenek de kabul etmektir. Bir şirket, bir risk olayının meydana gelme olasılığının düşük olduğunu ve potansiyel olumsuz etkileri azaltma maliyetlerinin çok yüksek olduğunu tespit ederse bu yolu seçebilir.

2.6. Faaliyetlerin kontrol edilmesi (controlling activities)

İç kontrol olarak da bilinen bu faaliyetler, belirlenen risklerin azaltılmasına yönelik politika ve prosedürlerin uygulanmasını ve bunların etkinliğinin izlenmesini içermektedir. Kontrol faaliyetleri önleyici (bir risk olayını önleme veya azaltma) veya tespit edici (risk olayını tanıma ve uygun şekilde yanıt verme) olarak sınıflandırılabilir.

2.7. Risk aktivitesinin izlenmesi (monitoring risk activity)

Bu, kuruluşun risk yönetimi süreçlerini ve kontrollerini sürekli izlemeyi ve gerektiğinde ayarlamalar yapmayı içerir. Bir şirket, risk yönetimi uygulamalarını değerlendirmek için dışarıdan bir danışmanla sözleşme yapmak isteyebilir. İzlemenin dışarıdan mı yoksa içeriden mi yapıldığı, kurumsal risk yönetimi sürecinin ne kadar iyi çalıştığını ve mevcut süreç ve politikalara rağmen şirketin kendisini herhangi bir riske karşı savunmasız bırakıp bırakmadığını belirlemelidir.

2.8. Bilgi iletişiminde bulunulması (communicating information)

Bu adım, kurumun risk yönetimi süreçlerinin ve sonuçlarının paydaşlara iletilmesini sağlar. İşletmedeki kurumsal risk yönetimi girişimini denetleyen kişiler, şirketin riskleri ve bunların nasıl yönetildiğine ilişkin veri toplamalı ve ölçümler tasarlamalıdır. Bu bilgilerin üst düzey yönetimle ve etkilenen çalışanlarla paylaşılması, onların da gerekli azaltım önlemlerine dâhil olmalarını sağlayabilir.

3. Kurumsal Risk Yönetiminin Faydaları ve Zorlukları

3.1. Kurumsal risk yönetiminin faydaları

Titizlikle geliştirilmiş bir kurumsal risk yönetimi programı, finansal kayıpların, itibar kaybının, yasal uyum başarısızlıklarının ve yasal sorumluluğun önlenmesine yardımcı olabilir. Aynı zamanda bir şirketin karşı karşıya olduğu riskler hakkında daha eksiksiz bilgi sağladığı için iş karar verme sürecini de geliştirir. Sonuç olarak, bir kurumsal risk yönetimi programı kurumsal yönetimi ve gözetimi güçlendirebilir ve dolandırıcılık olaylarını azaltabilir.

Kurumsal risk yönetimi aynı zamanda işletme içi iletişimi ve departmanlar arası işbirliğini de artırır. Bir firmanın kurumsal risk yönetimi ekibinin üst yönetime sunduğu düzenli risk raporları, risklerin bir listesini veya ‘matrisini’, bu risklere nasıl hazırlanıldığını veya hafifletildiğini ve risklerin nasıl önceliklendirildiğini içerir. Bu bilgi, yönetimin karar vermesi ve risk tepkisi ve hazırlığına ilişkin rehberlik açısından çok önemlidir.

Kurumsal risk yönetimi programı, bir şirketin operasyonlarına ve kârlılığına çeşitli şekillerde yardımcı olabilir. Bir şirketin hırsızlığa veya zimmete para geçirmeye karşı savunmasız olduğu alanları ortaya çıkarabilir. Girilecek veya kaçınılacak pazarları ve ürün alanlarını keşfetmede faydalı olabilir. Kurumsal risk yönetimi ayrıca bir işletmenin tedarik zincirini, zincirin zayıf olabileceği alanları belirleyerek güçlendirebilir. Bunun bir örneği, birçok şirketin üretimini yavaşlatan son yarı iletken kıtlığı olabilir. Tüm bunlar, yeni fırsatlara (satın almalar ve yeni ürünler gibi) veya tehlikelere (yeni rakipler ve yıkıcı teknolojiler gibi) yol açabilecek stratejik risklerin daha iyi yönetilmesiyle sonuçlanabilir.

3.2. Kurumsal risk yönetiminin zorlukları

Kurumsal risk yönetiminin tüm avantajlarına rağmen, bir programın oluşturulması kesinlikle bir kazanma vuruşu (slam dunk) değildir. Çoğu şirket için kurumsal risk yönetimi, maliyetli, zaman alıcı ve yıkıcı olabilecek kültür, süreç veya sistem değişikliklerini gerektirir. Kurumsal risk yönetimi, sınırlı kaynaklara sahip işletmeler için özellikle maliyetli de olabilir. Sonuç olarak, etkili bir kurumsal risk yönetimi programını destekleyenlerin üst yönetimden destek alması zor olabilir.

Şirket liderleri, kurumsal risk yönetimi girişimini uygulamak için gereken zaman, yetenek, teknoloji ve sermaye yatırımlarının planlanmadığına ve bu maliyetlerin potansiyel faydaları aştığına inanabilirler. Yasal bir proje yönetimi aracı da dâhil olmak üzere bir programın etkililiğini tahmin etmenin zor olduğunu, çünkü bunun meydana gelebilecek veya gelmeyebilecek risk olaylarının olasılığını ve etkisini değerlendirmeyi kapsadığını iddia edebilirler. Ölçütlerin (metrik) oluşturulması genellikle bir kurumsal risk yönetimi girişiminin uğraştığı en önemli zorluklardan biridir. Ayrıca kurumsal risk yönetimi, kuruluşların belirli dijital teknoloji araçlarına bağımlı hale gelmesine de neden olabilir ve bu da başlı başına bir risk olabilir.

Bir şirket kurumsal risk yönetimi programı oluşturma konusunda ilerleme kaydederse, öngörmesi gereken başka riskler de vardır. Bir işletmenin yönetmeye çalışacağı risklerin, şirketin hâlihazırda karşı karşıya olduğu veya şu anda karşı karşıya olduğu riskler olması son derece mantıklıdır. Ancak potansiyel olarak en tehlikeli riskler henüz karşılaşmadıkları risklerdir. Son salgın (Covid-19) özellikle dikkate değer bir örnektir. Kaç şirket yalnızca salgını öngörmekle kalmadı, aynı zamanda işletmenin müşterileri, çalışanları ve diğer paydaşları üzerindeki etkisini ölçecek ölçümlere de sahipti? Peki, koronavirüs ile ilişkili riskleri azaltmanın potansiyel maliyetleri nasıl belirlenebilir?

4. Kurumsal Risk Yönetimi İçin En İyi Uygulamalar

Şirketlerin kendi kurumsal risk yönetimi programlarını oluştururken kurumsal risk yönetiminin hem faydalarını hem de zorluklarını göz önünde bulundurması gerekir. Bu, takip etmeleri gereken en iyi uygulamaları belirlemelerine yardımcı olabilir.

Daha önce tartışılan kurumsal risk yönetiminin bileşenleri, etkili bir kurumsal risk yönetimi girişiminin en iyi uygulamalarının çoğunu yansıtmaktadır. Açıkçası, böyle bir programın bir işletmenin karşılaşabileceği tüm riskleri tanımlaması, değerlendirmesi ve önceliklendirmesi gerekir. En önemli riskleri ortadan kaldıran veya azaltan tutarlı eylem planlarının yanı sıra, riski ve risk ile ilgili ölçütleri sürekli izlemeye yönelik süreçler geliştirmesi ve ardından risk yönetimi politikalarını uygulamaya koyması gerekir.

Bunun başarılı olması için bir şirketin aynı zamanda organizasyon genelinde risk ve risk yönetimi konusunda açık iletişimi içeren bir kültür geliştirmesi gerekir. Ayrıca uygun çalışanlara risk yönetimi sorumlulukları verilmeli ve risk yönetimi süreçlerini otomatikleştirmenin yollarının olup olmadığı da belirlenmelidir.

Sonuç

Öngörülemeyen, hızla değişen bir iş ortamında, kurumsal risk yönetimi girişimi çok önemlidir. Bir kurumsal risk yönetimi programı, bir şirketin gelecekteki (finansal ve diğer) sıhhat ve başarısına yönelik her türlü potansiyel riskin değerlendirilmesini, önceliklendirilmesini ve azaltılmasını içerir. Gerektiğinde tüm paydaşların (üst düzey yönetim, yönetim kurulu, çalışanlar ve müşteriler) katılımını ve katkısını talep eder.

İyi hazırlanmış bir risk yönetimi stratejisinin faydaları arasında mevzuata tam uyum, stratejik risklerin bir işletmeye nasıl yardımcı olabileceği veya zarar verebileceği konusunda daha net bir anlayış ve operasyonlar, fırsatlar ve gelecek planlaması hakkında daha iyi karar alma süreci yer alır. Kurumsal risk yönetimi programının, başarılı bir işi sürdürmek veya işten tamamen çıkmak arasındaki fark anlamına gelebileceğini söylemek çok güçlü bir şekilde ifade edilmemektedir.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.