Risk Yönetimi Nedir, Aşamaları Nelerdir?

Bazı işletmelerin kısa sürede hızla yükseldiğini, bazılarının kararlı adımlarla yıllar içinde büyüdüğünü, bazılarının ise ne yaparsa yapsın yok olup gittiğini görmüşsünüzdür. İşte tüm bu sonuçlara neden olacak süreç risk yönetimidir. Çünkü işletme sahipleri ve yöneticileri bilirler ki iş dünyasında atılacak ya da atılmayacak her adım, işletmenin kendisi ve geleceği için büyük bir risk taşır.

Kurumsal yapısı oturmuş şirketler düzenli ve planlı bir şekilde risk yönetimi sürecini işleterek ansızın karşılaşacakları olumsuz durumlara karşı tedbir alırlar. Elbette, ne kadar iyi bir süreç uygulanırsa uygulansın COVID-19 pandemisi gibi sürprizler de olabilir. Ancak yine de iyi bir risk yönetimi uygulamak, göz göre göre pek çok yanlışın yapılmasını önleyecek ve işletmelerin her zaman bir acil durum planı olmasını sağlayacaktır.

Risk yönetimi nedir?

Kurumsal risk yönetimi olarak da adlandırılan risk yönetimi; kuruluşların sermayelerine ve kazançlarına karşı oluşabilecek tehditleri belirledikleri, değerlendirdikleri ve karşı planlar oluşturdukları bir süreçtir. Profesyonel bir tanım olsa da en küçük işletmenin bile bir risk yönetimi sürecine ihtiyacı vardır.

Risk yönetimi sürecinde yalnızca işletmenin başına bela olacak riskler değerlendirilmez. Bu süreçte aynı zamanda şirketin lehine sonuçlanacak riskler de değerlendirilir. Çünkü risk almak çoğu zaman yazı – tura atmak gibidir. Ancak şans oyunlarından farklı olarak risk yönetimi süreci sonucunda mutlaka şirketin lehine çıkacak bir karar alınır.

Bu süreçte işletmelerin risk iştahı hesaplanır. Yani şirket ne kadar büyüklükte bir risk almayı göze alıyor, bu durum ortaya çıkarılır. Risk iştahı çok olan şirketler, büyük oynamaya hazırdır. Risk iştahı az olan şirketler ise ufak riskler alarak ve büyük olanlardan kaçınarak belirli bir strateji izleyebilirler. Dediğimiz gibi önemli olan alınan risk sonucunun şirketin lehine olmasıdır.

Risk yönetimi gerçekten önemli mi?

Dünya ekonomisine şöyle bir göz atın, sizce önemli değil mi? İş dünyasında atılacak ve atılmayacak her adım büyük riskler barındırır. Kripto paralarda yaşanan hızlı yükselme nedeniyle tüm sermayesini blockchain geliştirmeye yatıran bir şirketin aldığı riski hayal edin. Blockchain sisteminin kripto paradan ibaret olduğunu düşünün kaç şirket batmıştır?

Amazon’un kitap satışı ile sınırlı dünyasını tüm perakende sektörüne açması, Netflix’in evlere DVD yollayan bir şirketten bugün dünyanın bir numaralı dijital yayın platformu haline gelmesi alınan riskin sonucudur. Bu tür örnekler çoğaltılabilir. Ancak aldığı risk sonucu batan şirket örnekleri, belki de başarılı olanlardan binlerce kat fazladır.

COVID-19 pandemisi sürpriz yapıp da ortaya çıkana kadar belki hiçbir şirket küresel bir salgın ihtimalini düşünmüyordu. Ancak benzer bir durum için belirlenmiş mobilite sisteminin temellerini atan şirketler, pandemi boyunca çalışanlarının evde çalışmasını sağladı ve bu süreci en zararsız şekilde atlattı. Yani belki asla uygulanmayacak bile olsa risk yönetimi süreci sayesinde her zaman bir B planı oluşturulmalıdır.

Risk yönetimi süreci ve dikkate alınması gerekenler:

Risk yönetimi sürecini şirketin kendi uzmanları belirleyebileceği gibi zaten belirlenmiş olan süreçler de işletilebilir. Örneğin Uluslararası Standardizasyon Örgütü’nün ISO 31000 standardında hazırladığı bir Risk Yönetimi kılavuzu var. Bu kılavuza göre risk yönetimi süreci 5 temel adımdan oluşuyor;

• Riskleri tanımlama
• Riskin gerçekleşme olasılığını ve etkisini hesaplama
• İş hedeflerini etkileyecek riskleri önceliklendirme
• Risk koşullarını düzeltme
• Sonuçları izleme, takip etme ve müdahale etme

Ulusal Standartlar ve Teknoloji Enstitüsü kısaca NIST tarafından hazırlanmış olan Kurumlar Arası Rapor’a göre risk yönetimi sürecinde ele alınan olumsuz risk senaryosunda mutlaka olması gereken 4 temel faktör var;

• Etkilenecek değerli varlıkların tespit edilmesi
• Tehdit oluşturacak etkinin kaynağının tespit edilmesi
• Tehdit oluşturacak etkinin kaynağının neden ve nasıl harekete geçtiğinin tespit edilmesi
• Tehdit oluşturacak etkinin kaynağının ortaya çıkaracağı diğer zararların tespit edilmesi

Risk yönetimi süreci nasıl başlatılır?

• Risk bilincinin geliştirilmesi için bir iletişim ve danışma planı oluşturulur.
• Risk iştahını belirleyecek iş hedefleri, şirket kültürü, düzenleyici mevzuat, siyasi ortam gibi faktörler değerlendirilir.
• Kuruluşun iş yapma kabiliyeti üzerinde olumlu veya olumsuz etkisi olabilecek risk senaryoları tanımlanır.
• Tanımlanan risk senaryolarının şirkete etkisi üzerinden bir risk ısı haritası belirlenir.
• Riskler değerlendirilerek; riskten kaçınma, risk azaltma, risk paylaşımı, risk kabulü için stratejiler geliştirilir.
• Belirlenen stratejiye uygun bir uygulama süreci ile risk tedavisi başlatılır.
• Uygulanan sürecin sonuçları gözlemlenir ve gerekli durumlarda süreç yeniden hesaplanır.

Risk yönetiminin avantajları ve zorlukları nelerdir?

• Risk yönetiminin avantajları;
  • Şirket genelinde risk farkındalığı oluşturur.
  • Riskler göz önüne alındığı için amaç ve hedeflere güven artar.
  • Süreç kapsamında düzenlendiği için çalışmalar çok daha verimli gerçekleşir.
  • Süreç kapsamında düzenlendiği için uygulama süreçleri çok daha verimli işler.
  • Çalışanların ve müşterilerin işletmeye güveni artar.
  • Piyasa rekabetinde şirketin öne çıkmasını sağlar.
• Risk yönetiminin zorlukları;
  • Başlangıç harcamaları yüksek olabilir.
  • Süreç uygulamasının ilk dönemi herkes için zor geçebilir.
  • Risk yönetimi sürecinde kavga çıkabilir, ortalık karışabilir.
  • Sonuç alınana kadar risk yönetimi sürecine karşı çıkacak pek çok kişi olabilir.

Risk yönetimi sürecinin hedefleri nelerdir?

Risk yönetimi süreci, şirketlerin kendi hedef ve amaçlarına göre özelleştirilebilir. Ancak bu konuda bir çerçeve sunan ISO 31000 standardı, risk yönetimi süreci sonunda şirketlerin ulaşması gereken 11 risk yönetimi ilkesi yani hedef ortaya koymaktadır;

• Kuruluş için değer yaratmak.
• Risk yönetimi sürecini şirketin ayrılmaz bir parçası haline getirmek.
• Karar verme sürecini olumlu yönde etkilemek.
• Belirsizlikleri açıkça ele alınacak duruma getirmek.
• Sistematik ve yapılandırılmış bir uygulama sürecine kavuşmak.
• Mevcut olan en iyi bilgileri ortaya çıkarmak.
• Uygulama sürecini projeye en uygun hale getirmek.
• Potansiyel hataları oluşmadan fark etmek.
• Şeffaflık sağlamak.
• Değişime uyum sağlamak.
• Sürekli izlenecek ve geliştirilmeye açık bir uygulama süreci oluşturmak.

Bir risk yönetimi süreci sonunda genel olarak işletmelerin elde etmesi ya da ulaşması gereken hedefler bu şekilde belirlenmiştir. Ancak bunlarla sınırlı kalmak zorunda değilsiniz. İşletmenin risk iştahına göre bu hedefler azaltılabilir ya da arttırılabilir.

İş dünyasının tehlikeli sularında güvenli adımlar atmanızı sağlayan risk yönetimi nedir sorusunu yanıtladık ve bu önemli süreç hakkında bilmeniz gereken detaylardan bahsettik. İster küçük, ister büyük olsun; tüm işletmelerin kendilerine özgü bir risk yönetimi süreci mutlaka olmalıdır.