'Risk yönetimi' doğası itibarıyla ilginç bir konu. Soyut bilgiyi somut bilgiye dönüştürme çabası, teknik ve yöntemleri karmaşık kılıyor. Var olma sebebi belirsizlik; amacı belirsizliği yönetmek olduğu için sonuçlarının olumlu çıktıları her zaman gözle görülemeyebiliyor. Yokluğunu fark etmek oldukça kolay; ertelemeler, iptaller, cezalar, kayıplar. 

Risk yönetiminin en çok kafa karıştıran konularından biri operasyonel risk ve stratejik risk yönetimi ayrımı.

Stratejik Risk Yönetimi, kurumun strateji seçimleri ile ilgili risklerin yönetilmesine odaklanıyor. Bu alanı temel olarak kurumun amaç ve hedefleri ile ilişkilendirebilirsiniz. Kurumun stratejilerini belirlerken ve yönetirken risk odaklı düşünebilmesi ve risk yönetimi tekniklerinden faydalanması; güçlü ve zayıf yönler ile fırsatlar ve tehditlerin etkin bir şekilde analiz edilerek, uygun stratejilerle yönetebilmesini sağlıyor. 

Operasyonel Risk Yönetimi ise, işi yapış şeklinizden kaynaklanan risklerin yönetilmesine odaklanıyor. ('İşi yapış şekliniz' lütfen bu ifadeye dikkat edin. Operasyonel Risk Yönetimini önemli kılan şey bu çünkü.) Burası parmak izi gibi; aynı sektörde, aynı işi yapan iki kurumun operasyonel riskleri ve riskleri yönetme şekilleri birebir aynı olmuyor. Bu nedenle Operasyonel Risk Yönetiminde jenerik risklerin tanımlanması ile yürütülen uygulamalar kurumlara beklenilen sonuçları vermiyor. Operasyonel riskler, checklist mantığı ile yönetilemez. Uygulamaların genellikle bu şekilde olduğunu biliyorum. Güvenip sabretmeyi ve meşakatli bir sürece yatırım yapmayı kabul eden kurumlarda ise gözle görmenin zor olduğu o olumlu çıktıları net bir şekilde görebiliyoruz.

Operasyonel Risk Yönetimi, işi nasıl yaptığınız ile ilgili ise, önce işi nasıl yaptığınızı açık ve detaylı bir şekilde tanımlamanız gerekiyor. Bu detay; süreç analizleri, politika, prosedür, form vb doküman analizleri, rol ve sorumluluklar, yetkilendirmeler ve yetki limitleri, yasal düzenlemeler, yönetimin stratejileri ve öncelikleri, varsa kullanılan otomasyonun özellikleri ve otomasyona ilişkin yetkiler, faaliyetlerin birbirleri ile olan girdi-çıktı ilişkileri, amaç-hedef, veri-bilgi-raporlama ilişkileri, insan kaynağı özellikleri, müşteri ve tedarikçi ilişkileri, iş yapış kültürü vb analizleri içeriyor. Operasyonel Risk Yönetimi için süreç temelli risk analizi ise olmazsa olmaz. Bu derinlikte bakılmadığında, operasyonel riskle ilgili olarak en fazla bir fragmana ulaşmış olursunuz. Sorular zor yerden geldiğinde fragman yetmez.

Bulunduğunuz nokta, bu derinliğe ulaşmak için gerideyse eğer, kritik süreçlerinizi tespit ederek bir önceliklendirme yapabilirsiniz. Süreçler tek başına çalışmadıkları için, dokunduğunuz her nokta başka alanları da iyileştirecektir.

Başarılı bir yıl dilerim.