Yıllardır en çok çaba harcadığım, zorlandığım ama en az başarıya ulaştığım konu sanırım bu büyük resmi gösterebilmek.

Çünkü büyük resim çok paydaşlı, çok fazla küçük parça ve sistemin bir araya getirilmesini gerektiriyor. Bütün bunları toplamak aylar, bazen yıllar alıyor. Araya bir de anlaşılmama ve çatışma yönetme girince sonuca ulaşmak zorlaşıyor.

Konuya birlikte bir bakalım istedim bu nedenle;

Kurumsal risk yönetimi (KRY), operasyonel risk yönetimi (ORY) ve iç kontrol çoğu zaman ayrı başlıklar gibi ele alınıyor. Oysa kurumun dayanıklılığını sağlayan şey bu üç yapının birbirine bağlı bir sistem olarak çalışmasıdır.

KRY yönetim kurulunun bakış açısını oluşturur: Hangi hedeflere gidiyoruz, risk iştahımız ne?

ORY bu hedeflere giden yolda günlük işleyişte ortaya çıkan riskleri görünür kılar: süreç aksaklıkları, insan kaynaklı hatalar, sistem kesintileri…

İç kontrol ise bu risklerin yönetilmesini sağlar: doğru süreç, doğru onay mekanizması, doğru güvence.

Ve tüm bunların birbirine bağlanması için KRI’lar (kritik risk göstergeleri) gerekir. Çünkü ölçüm olmadan risk yönetimi soyut kalır.

Sahadan bir örnek;

Bir yöneticiden KRI talep ettiğimde, “Bizde zaten bunlardan çok daha fazlası var” cevabını aldım. Evet, raporlar sayfalarca veriyi içeriyordu. Ama hepsi performans odaklıydı: satış cirosu, kapasite, çalışan sayısı…

Bunlar önemli ama riski göstermiyor. Çünkü risk yönetimi için gereken şey, verinin erken uyarı işaretine dönüşmesi:

Satış cirosu KPI’dır; müşteri şikayet oranı trendi KRI’dır.

Kapasite KPI’dır; kritik ekipman arıza sıklığı KRI’dır.

Çalışan sayısı KPI’dır; kilit pozisyon devir hızı KRI’dır.

İşte bu ayrım yapılmadığında KRY, ORY ve iç kontrol kopuk kalıyor. Strateji masasında riskler konuşuluyor ama sahadan sinyal gelmiyor; süreçlerde kontroller var ama performans göstergelerine sıkışıyor.

Doğru yaklaşım şöyle olmalı;

KRY’nin yönüyle ORY’nin günlük gerçekleri bağlanmalı. Risk iştahı tanımlanmadan operasyonel riskler doğru önceliklenemez.

ORY iç kontrolle güvence altına almalı. Riskleri görünür kılmak yetmez; hangi kontrolün çalıştığı da takip edilmeli.

KRI’lar KPI’lardan ayrılmalı, performans verisi risk sinyaline dönüştürülmeli. Bu olmadan strateji, süreç ve kontrol arasında bağ kurulamaz.

Sürekli iyileştirme benimsenmeli. Bir kere hazırlanan risk envanteri yıllarca sonuç üretmez. Deneyerek, ölçerek ve güncelleyerek ilerlemek gerekir.

Büyük resmi görmek zor ama önemli;

Kurumlar büyük yapılar: strateji, hedef, süreç, risk, kontrol, insan ve teknoloji arasında bağ kurmak kolay değil. Ama risk yönetimi zaten tek seferlik bir proje değil, yaşayan bir yolculuk.

Başarı için matık şu;

KRY ile yönü netleştir,

ORY ile günlük riskleri görünür kıl,

İç kontrolle güvence sağla,

KRI’larla tümünü birbirine bağla.

Bu parçalar ayrı ayrı değil, birlikte çalıştığında kurumun geleceğini güvence altına alıyor.