ÖZGÜN ÇINAR ŞİRKETLER KÂR ELDE ETMEDEN BÜYÜYEMEZLER

Transkript

1 LOSS PREVENTION MANAGEMENT Sayı 6 - Haziran-Temmuz 2013 ÖZGÜN ÇINAR ŞİRKETLER KÂR ELDE ETMEDEN BÜYÜYEMEZLER SALİM KADIBEŞEGİL KURUMSAL İTİBAR... TİDE İÇ DENETİM FARKINDALIK ÖDÜL TÖRENİ

2 HAZIRMISINIZ? Şirketinizin kritik altyapısını altyapını korumak, - Insan, insan, mal varlığı ve ve mal iş sürekliliğiniz varlıgı- iş sürekliliğiniz için gereklidir. için gereklidir. SDI acil acil cevap cevap ve tehditleri ve kuruluşunuz için ileri teknoloji kuruluşunuz çözümleri için sunar. ileri tehditleri azaltmaktarak teknoloji SDISecure çözümleri uygulaması, sunar. portföy SDISecure genelinde her bina portföy için, acil genelinde müdehalenin her uygulaması, bina arttırılması için, acil ve müdahalenin kurtarma işlemlerinin artırılması ve hızlandırılması kurtarma için gerekli işlemlerinin bina bilgi ve teknolojilerini için gerekli laptop, bina tablet bilgi ve hızlandırılması teknolojilerini mobil bilgisayarınıza laptop, kolaylıkla tablet ve sunar. mobil bilgisayarınıza Büyük ölçekli toplu kolaylıkla tahliye sunar. modellemesinden toplu kurumsal tahliye modellemesinden CCTV kamera ve Büyük ölçekli kurumsal CCTV kamera ve analitik analitik yapılanmasına yapılanmasına kadar ihtiyacınız kadar ihtiyacınız her olan konuda her konuda SDI uzman SDI uzman kadrosuyla kad- olan rosuyla teknoloji teknoloji çözümleri çözümleri vermeye hazırdır. vermeye hazırdır. SDI düşük işletme maliyetli kaliteli SDI güvenlik düşük sistemleri işletme maliyetli sunarak şirketinizin kaliteli güvenlik performansını sistemleri arttıran sunarak ileri şirketinizn teknoloji performansını sistemleri sunar. arttıran ileri teknoloji sistemleri sunar. Kritik BT sistemlerinizi güçlendirmenizde BT nasıl sistemlerinizi git yardımcı güçlendirme- olabilece- Kritik nizde gimizi nasıl yardımcı olabilecegimizi SDIisTHERE 'den ögrenebilirsiniz SDIisTHE- RE den ögrenebilirsiniz sizinleyiz. danışmanlık hizmetleri. teknoloji temini. smartsourcing SM SM yönetilen hizmetler.

3 E D İ T Ö R İmtiyaz Sahibi İsa Ersoy isaerso@gmail.com Sorumlu Yazı İşleri Müdürü İsa Ersoy isaerso@gmail.com Genel Yayın Yönetmeni Levend Ahmetoğlu İsa Ersoy LPM Dergi Kurucu Yayın Kurulu Ali Kamil Uzun Cüneyt Kırlar Salim Kadıbeşegil Yılmaz Halaç Editör Muammer AY AZ KAYIP ÇOK KAZANÇ Yönetim Yeri Hürriyet Mah. Spor Cad. Özkaleyurt Sitesi A1 Blok No: 104 D: 7 Kartal İstanbul Tel: Yapım Sarnıç İletişim Hizmetleri Büyükdere Cad. Atakan Sok. Berkan İşhanı No: 4 Kat: Mecidiyeköy / İstanbul Tel: Yayının Türü Yaygın Süreli Yayın Yayın Tarihi Mayıs 2013 Baskı Şan Ofset Matbaacılık San. ve Tic. Ltd. Şti. Ayazağa Mah. Kemerburgaz Cad. No: 13 Şişli / İstanbul Tel: LPM DERGİ den yeni bir sayıyla merhaba, Hızla değişen dünya düzeninde şirketler hedeflerindeki belirsizlikleri hızlı ve etkin bir şekilde yönetme gayreti içindeler. Özellikle kurumların gelir istikrarı sağlayarak, sürdürülebilir varlıklarının devam edebilmesi için olası sürprizleri en aza indirgeyip kayıp maliyetlerinin azaltılması gereklilik halini almıştır. Ülke ekonomisinin en önemli finans aktörlerinden olan kuruluşlarımız yapıları itibariyle, çalışan ve müşteri sayısının çok fazla olduğu, çok yüksek miktarlarda rakamların döndüğü yerlerdir. Bu özellikleri itibariyle her zaman dahili ve harici suistimallere açık durumdadırlar. Her ne kadar kar elde ettiklerinde kayıpları finanse edebiliyor olsalar da, yıllık bütçelerinin ciddi bir bölümünün kayıplara gittiği görülebilmektedir. İşte bu noktada kurumsal şirketlerde kullanılan, iş hayatında kayıplara sebebiyet veren risk unsurlarının belirlenip proaktif bir yaklaşımla yönetilebilmesi için İç Denetim, Kurumsal Risk Yönetimi uygulamaları tercih edilen alternatif haline gelmiştir. Bu sayımızda yer alan paylaşımlarımızın sizlere ışık tutması ve kayıplarınızın en az olması dileğiyle LPM DERGİ Haziran-Temmuz

4 IÇINDEKILER SÖYLEŞİ ARAŞTIRMA MAKALE 10 RİSK ZEKASINA SAHİP KURUM DOĞRU UYGULANMIŞ KURUMSAL RİSK YÖNETİMİ ŞİRKETLER KÂR ELDE ETMEDEN BÜYÜYEMEZLER TÖREN HABER İTİBAR BİR NUMARALI RİSKTİR VE HEMEN YANIBAŞIMIZDADIR! ARAŞTIRMA HABER İÇ DENETIM FARKINDALIK ÖDÜLLERİ DAĞITILDI İÇ DENETİM E GENÇ BAKIŞ YARIŞMASI SONUÇLANDI YÖNETİMDE YENİ BİR YAKLAŞIM: SÜREKLİ DENETİM SÜREKLİ İZLEME MESLEKTE MÜKEMMELLİĞİN KÜRESEL PAYDAŞI 4 Haziran-Temmuz 2013 LPM DERGİ

5 MAKALE SÖYLEŞİ ARAŞTIRMA 36 GENİŞLETİLEBİLİR İŞLETME RAPORLAMA DİLİ (XBRL) 40 SUİSTİMALLERİ ÖNLEMENİN ÖNEMİ SDI ın Anti-Skimming Çözümü Büyüyen Kart Dolandırıcılığı Sorununu Çözer ADVERTORIAL MAKALE 44 5 DAKIKA DA ÇIKAR ÇATIŞMASI MAKALE YAZI DİZİSİ C 56 SDI (System Development.Integration, LLC) SDI IN ANTI-SKIMMING ÇÖZÜMÜ 60 MÜŞTERİ MEMNUNİYETİ 46 İNTERNET BANKACILIĞI UYGULAMALARINDA KARŞILAŞILAN SORUNLAR 62 ÖZEL GÜVENLIK METODOLOJISI LPM DERGİ Haziran-Temmuz

6 SÖYLEŞİ ŞİRKETLER KÂR ELDE ETMEDEN BÜYÜYEMEZLER Türkiye de Risk Yönetiminin öncülerinden biri olan Şişecam Topluluğu nun Sürdürülebilir Büyüme ve yüksek performansa dayalı stratejik hedeflerine yön veren kişi de diyebiliriz. Şişecam Risk Yönetimi ve İç Denetim Başkanı Özgün Çınar a göre, İşletmelerin kâr elde etmek için belli seviyede risk alması gerekiyor. Çünkü sıfır risk sıfır getiri demek. Dolayısıyla, ekonomik hayatta kabul edilebilecek düzeylerde risk alma gerekliliği bulunuyor. İ.E. Neden Kurumsal Risk Yönetimi ne ihtiyaç duymalıyız? Ö.Ç. Hepimiz biliyoruz ki işletmelerin kâr etmek için belli seviyede risk alması gerekiyor. Çünkü sıfır risk sıfır getiri demek. Dolayısıyla, ekonomik hayatta kabul edilebilecek düzeylerde risk alma gerekliliği bulunuyor. Bu ifadedeki kabul edilebilecek düzey belirlemesi çok önemli. Nedir kabul edilebilir düzey? Bireysel olarak buna çok farklı Yönetim Kurullarının, sermayedarların ve diğer paydaşların beklentilerini dikkate alarak belirlediği risk iştahı doğrultusunda risk limitleri belirleniyor. yanıtlar verilebilir. Kurumun ise tek bir yanıtı olması lazım. Kurumsal risk yönetimi de burada anlam bulmaya başlıyor. Yönetim Kurullarının, sermayedarların ve diğer paydaşların beklentilerini dikkate alarak belirlediği risk iştahı doğrultusunda risk limitleri belirleniyor. Diğer bir ifade ile Yönetim Kurulu, icracı birimlere alabilecekleri riske ilişkin sınırları tanımlıyor. Böylelikle hem icracı birimler hareket alanını daha net görüyor, belirsizliği azaltarak daha rahat faaliyet gösteri- 6 Haziran-Temmuz 2013 LPM DERGİ

7 SÖYLEŞİ LPM DERGİ Haziran-Temmuz

8 SÖYLEŞİ yor hem de sermayedar karşılaşabileceği kaybın en yüksek boyutunu hesaplayabiliyor ve gönül rahatlığı ile kendisine düşen yönetsel sorumluluğu yerine getiriyor. Böylelikle kurumsal risk yönetimi, bir anlamda yönetim etkinliğini de artırmış oluyor. İ.E. Türkiye de Kurumsal Risk Yönetimi nin öncülerinden biri olarak neler yaptığınızı anlatır mısınız? Şişecam Topluluğunun Risk Yönetimi Stratejisi nedir? Şişecam Topluluğu da, konuya gereken önemi veren diğer gruplar gibi risklere proaktif olarak yaklaşmayı tercih ediyor. Bu amaçla, kurumsal risk yönetimi sürecinin temel adımlarını faaliyet kollarımız itibarıyla yapılandırdık. Ö.Ç. Şişecam Topluluğu da, konuya gereken önemi veren diğer gruplar gibi risklere proaktif olarak yaklaşmayı tercih ediyor. Bu amaçla, kurumsal risk yönetimi sürecinin temel adımlarını faaliyet kollarımız itibarıyla yapılandırdık. Risk kataloglarımız hazırlandı, risklerin olasılık ve etkilerine göre önem dereceleri belirlendi ve sıralamaları yapıldı, riskler ölçümlendi ve sayısallaştırıldı, bunlara karşı alınabilecek olan önlemler değerlendirildi. Bu çerçevede Topluluğumuzun halka açık şirketleri bünyesinde, Yönetim Kurullarının alt komitesi şeklinde yapılandırılan Riskin Erken Saptanması Komitelerine gerekli raporlamalar yapılıyor ve bu çalışmalarla belli düzeyde risk güvencesi temin edilmeye çalışılıyor. İ.E. Riski yönetebilen şirketlerin ortak özellikleri nelerdir? Ö.Ç. Risk yönetimi, işletmeler için bir ya da birkaç departmanın sorumluluğuna bırakılamayacak kadar önemli bir konu. Bu tespitten yola çıkacak olursak, risk yönetimi bakış açısını gerçek anlamda tüm iş süreçlerine adapte edebilen şirketler bu konuda başarı sağlayabilir. Bu yüzden, karar verme noktasında olan her yöneticinin mutlaka bir risk yöneticisi bilinç ve sorumluluğu taşıması gerekmekte. İ.E. Kuruluşların kurumsal devamlılığı ve itibarını arttırarak, sürdürülebilir büyüme hedeflerine ulaşabilmelerinde Kurumsal Risk 8 Haziran-Temmuz 2013 LPM DERGİ

9 SÖYLEŞİ Yönetimi kuruluşlara ne tür faydalar sağlamaktadır? Ö.Ç. Kurumların itibarını ve devamlılığını tehlikeye atan unsurlara baktığımızda esasen bunların da birer risk olduğunu görüyoruz. Kurumlar bunları doğru olarak tanımlayıp ölçtüklerinde ve bu risklere yönelik eylem planlarını geliştirdiklerinde zaten bu risklerin gerçekleşmesi durumuna karşı hazırlıklı hale gelmiş oluyorlar. Bu da şirketlere, stratejik hedeflerine uzun vadede bağlı kalmak anlamında önemli bir avantaj sağlıyor. İ.E. Kuruluşlar doğru miktarda risk almakta mı? Aldıkları riskler stratejileri ve hedefleri ile ne kadar ilişkilidir? Ö.Ç. Türkiye Odalar ve Borsalar Birliği nin istatistiklerine bakacak olursak, sadece geçen sene 30 binin üzerinde şirketin kapandığını ve tasfiye olduğunu görüyoruz. Bu durum da, en azından bazı kuruluşların doğru miktarda risk alamadıklarını gösteriyor kanaatimce. Teorik olarak bakacak olursak, strateji ve hedefler şirketlerin yönetim kurulları tarafından belirlendiği için risk limitlerinin, dolayısıyla alınan risklerin de bunlarla tam bir uyum içerisinde olması gerekiyor. Sürekliliği tehdit altında olan şirketlerde, bu kurguda bir zafiyet olduğu söylenebilir. İ.E. Gelecekte dünyada ve Türkiye de riskleri şekillendirecek faktörler nelerdir? Ö.Ç. Bizim değerlendirmemiz, gelecekte özellikle iklim ve iklim ile bağlantılı risklerin üst sıralarda yer alacağı yönünde. Aslında, bu yalnızca bizim değil, Dünya Ekonomik Forumu tarafından her yıl hazırlanmakta olan Global Riskler raporunun hazırlanması esnasında ankete yanıt veren yaklaşık bin kişinin, ki bunlar arasında akademik çevreler, şirket yöneticileri, sivil toplum kuruluşları ve kamu görevlileri de var, ortak görüşü diyebiliriz. Rapora göre sera gazı emisyonları ve iklim değişikliği risklerinin önemi yükseliyor. İ.E. Türkiye de iş dünyasının kronikleşen riskleri nelerdir? Bu risklerle mücadelede kurum kültürü oluşturabilmenin önemi nedir? Risk yönetiminin öneminin tüm platformlarda vurgulanması, maliyetine karşılık getirisinin piyasa aktörlerine net olarak açıklanması ve anılan aktörler tarafından faydasının kabul edilmesi, risk yönetiminin ülkemizdeki gelişiminin sağlanması açısından en büyük faydayı sağlayacaktır. Ö.Ç. Ülkemiz geçmişte birçok finansal krize girdi ve çıktı. Deneyimler gösterdi ki ülkemizdeki, bazıları hatırı sayılır büyüklükte olan şirketlerin büyük bölümü mali yönetim açısından gerekli yeterliliği taşımıyor. Bu da şirketlerin finansal risklere karşı kırılganlığını artırıyor. İlave olarak, planlama ve proaktif davranma kültürünün eksikliğine de değinmekte fayda var. İşletmeler belli bir dönem gerçekleşmeyen risklerin hiçbir zaman realize olmayacağı şeklinde yanlış bir değerlendirmeye girebiliyor ve uzun vadeli planlamalarında bu riskleri göz ardı edebiliyor. Bu yaklaşım da sürdürülebilirliklerini tehlikeye atıyor. Bu durum, Kurumsal Yönetim İlkelerinin benimsenmesi ve uygulamada daha yaygın kabul görmesi neticesinde kurumsal risk yönetimi disiplininin de önem kazanması ile birlikte kaçınılmaz olarak değişecek. Ülkemizde başlangıçta gönüllülük esasına dayalı olarak getirilen ilkeler, şu anda bildiğiniz gibi hisse senetleri borsada işlem gören, halka açık şirketler tarafından uygulanması zorunlu olan ilkeler haline geldi. Bu ilkeler de, şirketlerin bünyesinde sağlıklı risk yönetimi sistemleri kurulmasını zorunlu tutuyor. Ancak, sadece yasaya uyum amaçlı olarak yerine getirilen faaliyetlerin de arzu edilen sonuçları ortaya çıkarmayacağı açık. Risk yönetiminin öneminin tüm platformlarda vurgulanması, maliyetine karşılık getirisinin piyasa aktörlerine net olarak açıklanması ve anılan aktörler tarafından faydasının kabul edilmesi, risk yönetiminin ülkemizdeki gelişiminin sağlanması açısından en büyük faydayı sağlayacaktır. Burada da sanırım en büyük görev bu disiplinin uygulayıcısı olarak bizlere düşüyor. Kurumsal risk yönetiminin faydalarını sürekli olarak, ısrarla, her ortamda vurgulamalı ve gündemde tutmalıyız. LPM DERGİ Haziran-Temmuz

10 ARAŞTIRMA RISK ZEKASINA SAHIP KURUM DOĞRU UYGULANMIŞ KURUMSAL RISK YÖNETIMI Rastgele seçilen şirket liderlerinden Kurumsal Risk Yönetimi ni (KRY) tanımlamalarını istediğinizde, bu terim için standart bir anlayış oluşmamıştır. Çünkü KRY terimi iş dünyasında sıkça kullanılan bir terim olmasına karşın, standart bir tanımı yapılmamıştır. Riski etkili bir biçimde yönetme gereksinimi konusunda bilinçlenme her geçen gün biraz daha artarken, KRY kapsamına giren uygulamaların kapsamı çok genişlemekte ve hızla büyümektedir. Cüneyt KIRLAR Deloitte Türkiye - Kurumsal Risk Hizmetleri Lideri Genel olarak Kurumsal Risk Yönetimi faaliyetleri ve uygulamaları en az on yıldır iş dünyasında aktif olarak uygulanmaktadır. Özellikle finansal hizmetler ve enerji sektörleri gibi bazı sektörlerde, sektöre özgü birçok risk, karmaşık olasılık modelleri ve sofistike analiz yöntemleri kullanılarak, yüksek düzeyde ustalık ile yönetilir. Hizmet ve tüketici ürünleri sektörlerinde faaliyet gösteren bazı şirketler de dahil olmak üzere diğer şirketler, üzerinde daha az düşünülmüş risk yönetimi yaklaşımlarına sahipler ve bu doğrultuda daha sistematik uygulama gereksinimleri ortaya çıkmaktadır. Ancak; tüm riskleri akıllıca yöneten, riski tüm perspektifleri ve kaynakları kullanarak yeterli bir şekilde değerlendiren ve ele alan, bir şirketin karşı karşıya olduğu tüm risklerin görülmesini önleyen organizasyonel engelleri aşan ve potansiyel olarak büyük önem taşıyan riskleri sistematik olarak önceden görüp, bunlara entegre bir karşılık hazırlayan çok az sayıda şirket olduğu görüşündeyiz. Evet, finansal hizmetler sunan şirketler faiz oranları, döviz ve kredi riski konularında kapsamlı bir anlayışa sahip olabilirler ama - doğal afetler, terörist saldırıları ve iş sürekliliğine yönelik diğer tehditler gibi - ciddi olaylara karşı acil durum planları geliştirmedikleri için bu gibi olaylara bağlı olarak kaçı önemli kayıplar yaşamıştır? Doğru, birçok şirket e-ticarete geçiş yapılacağını tahmin etmiştir ama elektronik müşteri verilerini yeterince iyi koruyamadıkları için kaçı itibarlarını ve müşterilerini kaybetmiştir? Çok seyrek olarak karşılaşıldığı için, doğru yapılan Elbette, bir kurum için Risk Zekasına sahip olmaya uzanan yol uzun ve bazen de yorucudur. Her şirket, karşı karşıya olduğu benzersiz kurumsal zorluklar ve sahip olduğu yetenek ve yetkinliklere bağlı olarak, kendisini Risk Zekasına sahip olmaya uzayan yolun farklı bir yerinde bulacaktır. KRY den özel olarak bahsetmenin gerektiğine inanıyoruz. Bunun için de, bu gibi model şirketleri Risk Zekasına Sahip Kurumlar olarak adlandırıyoruz. Elbette, bir kurum için Risk Zekasına sahip olmaya uzanan yol uzun ve bazen de yorucudur. Her şirket, karşı karşıya olduğu benzersiz kurumsal zorluklar ve sahip olduğu yetenek ve yetkinliklere bağlı olarak, kendisini Risk Zekasına sahip olmaya uzayan yolun farklı bir yerinde bulacaktır. Ama Risk Zekasına Sahip Kurum statüsüne ulaşan her organizasyon, aralarında aşağıdakilerin de yer aldığı, benzer özellikleri paylaştıklarını fark edecektir: Risk yönetim uygulamalarının bütün kurumu kapsaması, çok çeşitli endüstrilerde faaliyet gösteren büyük kurumların farklı iş kollarındaki şirketlerinde oluşmuş risk yönetim silolarının birbirleri arasında ilşki kurabilmesi Risk spektrumundaki tüm risklere (finansal, operasyonel, stratejik, kredi, likidite, itibar, iş devamlılığı, güvenlik, gizlilik, sektör spesifik, rekabet riskleri gibi) hitap eden risk yönetim stratejilerini bulundurması Risk değerlendirme süreçlerinde geleneksel olarak olasılığa verilen önemin yanı sıra savunmasızlık kavramına da büyük önem verilmesi Risk yönetimi yaklaşımlarında risk olaylarını sadece birer birer ele almayıp, birden fazla riskin birbirlerini nasıl etkileyeceğini irdeleyen risk se- 10 Haziran-Temmuz 2013 LPM DERGİ

11 ARAŞTIRMA naryoları üretme ve bu senaryolara karşı yanıtları planlama Kurumsal kültüre risk yönetimi kavramını aşılama ve böylece strateji belirleme ve karar alma süreçlerini riskleri göz önüne alarak yapabilme Sadece risklerden kaçınmaya odaklanmamış, bununla birlikte kuruma değer yaratma adına doğru riskleri doğru zamanlarda almaya odaklanmış risk yönetim felsefesini içerme Maddeler halinde verilen bu öğelerden bazıları size tanıdık gelmeyebilir. Ama biz bunların tümünün, Risk Zekasına Sahip Kurumun temel özellikleri olduğu görüşündeyiz. Bu öğeler aşağıda ayrıntılı olarak açıklanmaktadır. Risk Zekasına Sahip Kurumlar farklı ölçeklerde olup, farklı sektörlerde faaliyet göstermektedir ve her kurum risk yönetim uygulamalarını, kendine özgü durum ve gereksinimlere göre şekillendirir. Bununla birlikte her Risk Zekasına Sahip Kurum şu görüşü paylaşır: Hem mevcut varlıklarına, hem de gelecekteki büyümelerine yönelik riskleri en etkili ve verimli şekilde yöneten kurumlar uzun vadede, riskleri bu kadar etkili ve verimli şekilde yönetemeyenlere kıyasla daha yüksek bir performans sergileyecektir. Basitçe ifade etmek gerekirse, şirketler risk alırlarsa para kazanırlar ve riskleri doğru yönetemezlerse para kaybederler. Risk Profili Yönetici ve yönetim kurullarını risk yönetimi konusunda bilinçli olmaya zorlayan çok sayıda etken vardır. Belki de en göze çarpan etken, son dönemlerde yaşanan çok sayıda kurumsal skandaldır: Amerika da Enron, WorldCom, Adelphia ve Tyco; Japonya da Kanebo, Livedoor ve Murakami; İtalya da Parmalat; İngiltere de One.Tel vb. Bu kurumsal skandallar ile ilgili hissedar davalarında verilen milyon dolarlık hükümler, yönetim kurulu üyelerini cezaları ödemek için kişisel varlıklarını kullanmak zorunda bırakmıştır. Aynı zamanda herkesin gözü önünde tutuklanan yöneticilerin imajları da gazete ve TV ekranlarında lekelenmiştir. Hiçbir yönetici bu duruma düşmeyi istemeyecektir. Hem mevcut varlıklarına, hem de gelecekteki büyümelerine yönelik riskleri en etkili ve verimli şeklide yöneten kurumlar uzun vadede, riskleri bu kadar etkili ve verimli şekilde yönetemeyenlere kıyasla daha yüksek bir performans sergileyecektir. Düzenleyici faaliyetler de riskin gündemde kalmasını sağlamıştır. Birçok düzenleyici kurum (Amerika da Securities and Exchange Commission, Public Company Accounting Oversight Board, ve New York Stock Exchange; Japonya da Financial Services Agency; ve Türkiye de Bankacılık Düzenleme ve Denetleme Kurumu gibi) risk yönetimi ile ilgili çalışmalar yapılmasını şart koşmakta ve teşvik etmektedir. Hem mevcut varlıklarına, hem de gelecekteki büyümelerine yönelik riskleri en etkili ve verimli şeklide yöneten kurumlar uzun vadede, riskleri bu kadar etkili ve verimli şekilde yönetemeyenlere kıyasla daha yüksek bir performans sergileyecektir. Elbette, olası riskler sadece yanlış finansal beyanların ve dolandırıcılıklardan ibaret değildir: Bilgisayar korsanları sayesinde güvenlik ve gizlilik riskleri konusundaki bilinçlilik artmaktadır. Bilgisayar korsanları sayesinde güvenlik ve gizlilik riskleri konusundaki bilinçliliği artmaktadır. Asbest ile ilgili yasal davalardan çıkan pahalı cezalar kamu sağlığı ve güvenliği ile ilgili risklerin tehlikelerini gözler önüne sermektedir. Kurumsal krizlere iyi hazırlanmamak ve acemice tepkiler vermek, itibar zedelenmesi risklerini ortaya koymaktadır. Risk Zekasına Sahip Olmanın Ödülleri Gelişmiş Risk Zekasına sahip olmanın sağladığı rekabet avantajları arasında şunlar yer alır: Kritik risk sorunlarının olmasını önlemek, risk sorunları ortaya çıktıktan sonra bunları hızlı bir şekilde tespit edebilmek, oluşacak sorunları düzeltmek, ve bunlarla ilgili bilgileri kurumdaki doğru yönetim birim ve personeline ulaştırmak ile ilgili yetkinliklerin gelişmesi Risk yönetim prensiplerini ve dilini standartlaştırarak iş operasyonlarının üzerindeki risk yönetimi ile ilgili yüklerin hafiflemesi Kurumdaki risk enformasyonunu ortak kullanarak ve mevcut risk yönetim fonksiyonlarını entegre ederek risk yönetimi maliyetinin aztılması Yönetim kurulu, hissedarlar ve diğer paydaşlara kurumun tüm risklerinin yönetim tarafından doğru anlaşıldığı ve yönetildiği ile ilgili bir güven ortamı yaratılması Risk yönetimi konusunda son yıllarda ortaya çıkan bir diğer gerçek ise hissedar beklentileri ve etkinlikleridir. Günümüzde birçok kurumsal yatırımcı güçlü risk yönetim uygulamaları talep etmektedir ve şirketler mevcut varlıklarını veya finansal tablolarının doğruluğunu korumayı başaramazlarsa, piyasa değerleri önemli ve ani bir zarar görebilir. Başta Moody s ve Standard & Poor s olmak üzere, LPM DERGİ Haziran-Temmuz

12 ARAŞTIRMA bazı yatırımcı ve kredi değerlendirme hizmeti sunan kurumlar, değerlendirme kriterlerinin arasına kurumsal risk yönetimi kapasitelerini de eklemişlerdir. Risk yönetim kapasiteleri yetersiz kabul edilen şirketler, sermaye maliyetlerinde artış ile karşı karşıya kalabilirler. Risk Yeniden Tanımlandı Risk zekasını ele almadan önce, ilk olarak önemli terim ve kavramları anlamamız gerekiyor. En önemlisi de, tabii ki risk sözcüğü. Risk sözcüğünün farklı düzeyde ayrıntı ve doğruluk payına sahip çok sayıda tanımı mevcuttur. Tanımların birçoğunu analiz ederek özümsedik ve bunları kendi bakış açımızla birleştirdik: Risk, bir şirketin hedeflerine ulaşmasını olumsuz etkileyebilen bir olayın (veya olaylar dizisinin) neden olduğu olası kayıplardır. Bu tanımın, bünyesinde hem mevcut varlıkları, hem de gelecekteki büyüme fırsatlarının geliştirilmesini barındırdığını unutmayın. Diğer bir deyişle, akıllı risk yönetimi sadece olumsuz bir şeyden kaçınmayı (bir bilgisayar korsanının müşteri veritabanınızı çalmasını önlemek gibi) değil, aynı zamanda olumlu bir şeyler elde etmeyi de (satın alınan bir şirketi başarıyla bünyenize katma gibi) içermelidir. Risk Zekasına Sahip Kurum riski sadece olumsuzluklara karşı savunmasızlık olarak değil, aynı zamanda fırsatlara karşı hazır olmak olarak da görür. Bu ayrım büyük önem taşır: Risk Zekasına Sahip Kurumlar bir piyasa fırsatını tahmin etme ve buna tepki verme becerisini, büyük olasılıkla yıkıcı olabilecek bir kurumsal karışıklığa hazır olmak kadar önemli kabul eder. Bir risk hem ilgili, hem de büyük bir etkiye sahipse, olasılığı çok az bile olsa ele alınmalıdır. Olasılık, Savunmasızlık ve Risk Etkileşimi Bir risk hem ilgili, hem de büyük bir etkiye sahipse, olasılığı çok az bile olsa ele alınmalıdır. Risk Zekasına Sahip Kurumun bir diğer belirgin özelliği de, olasılığı savunmasızlık ve risk etkileşimi ile ilişkilendirebilmesidir. Olasılık, elbette ki, geleneksel risk yönetim programlarında önem taşır ve sağlam bir temele sahiptir. Aslında, birçok risk vakası düzenli aralıklarla ortaya çıkar ve bu nedenle de istatistiksel teknikler kullanılarak etkili bir şekilde modellenebilir. Ancak, olasılık kavramının normal dalgalanmalar dışında ortaya çıkan risklerdeki değeri daha azdır (örneğin olayın nadiren gerçekleşen ve benzersiz bir olay olduğu, kuralların bilinmediği veya hızla değiştiği veya nedenlerin kişilerin veya şirketin kontrolünün dışında olan dış etkenler tarafından yönlendirildiği durumlar). Bir doğal afet örneğini düşünelim: Olasılık modellemesi genelde bir doğal afetin ne sıklıkta bir yeri vuracağını gösterebilir (Örneğin her yüzyılda bir kez büyük bir depremin İstanbul u etkilemesi beklenir). Ama bu modeller hangi yıllarda bu doğal afetlerin olacağını belirtemez ve sonuçları tahmin etme konusunda, birden fazla etken ortaya çıktığında iyi bir iş çıkaramaz. Bu gibi örneklerde, savunmasızlık ve risk etkileşimi kavramları risk değerlendirme ve risk yönetim süreçlerinde büyük önem taşımalıdır. Elbette, savunmasızlık ve etkileşime gösterilen önemin arttırılması gerektiğini savunmak, olasılığın önemli olmadığını ima etmek değildir. Olasılık, aralarında pazar, kredi ve işletim riskini yönetmek için olasılığı kullananbankacılık ile oranları ayarlamak ve rezervleri tahsis etmek için aktüeryal verilerini kullanan sigorta gibi sektörlerin de bulunduğu, birçok uygulamada çok başarılı olmaktadır. Ama değişken ve kısıtlara dayalı olarak, savunmasızlığın da genel risk değerlendirmesinde rol oynaması gerekebilir. Gerçek şu ki, - ve bu acil durum yönetimi için olduğu gibi, işletme yönetimi için de geçerlidir - bir risk hem ilgili, hem de büyük bir etkiye sahipse, olasılığı çok az bile olsa ele alınmalıdır. Ama bu bağlamda kullanılan ele almak teriminin, kesinlikle azaltmak anlamına gelmediği unutulmamalıdır. Bir şirket elbette tüm dikkatini (ve parasını), yüksek olasılıklı ve düşük etkili riskler yerine, bir kaç düşük olasılıklı, büyük etkili riski yönetmeye ve bunları azaltmaya ayıramaz. Bunun yerine, bir denge kurulması gerekir. Koşullara uygun olacak şekilde savunmasızlık, olasılık ile birlikte dikkate alınmalı ve Risk Zekasına Sahip bir karar verilmelidir. Olası yanıtlar çeşitlilik gösterebilir ve basitçe riski radar ekranında tutma ve herhangi bir risk azaltıcı önlem almadan rotadaki değişiklikleri ve zorlukları izlemeyi kapsayabilir. Kaynakların hazır bulundurulması ve planlamasının, elbette, bu değerlendirmelerde öncelikli etkenler olmaları gerekecektir. Ama bazı zamanlar yıkıcı etkilere sahip umulmadık olaylar ortaya çıkarken, diğer zamanlarda da çok olası olayların gerçekleşmediği unutulmamalıdır. Risk Zekasına Sahip Kurum sadece olası olanı değil, olabilirliği de anlar ve buna uygun tepkiler verir. 12 Haziran-Temmuz 2013 LPM DERGİ

13 ARAŞTIRMA Senaryo Planlaması Yüksek etkili/düşük olasılıklı etkinlikleri değerlendirmenin bir yolu da, istatistiksel modelleri arttıran ve şirketlerin özel olaylara karşı hazırlanmasına yardımcı olan senaryo planlamasıdır. Senaryo planları yöneticilerin şu soruları yanıtlayabilmelerini sağlar: Planlarımızı ne bozabilir? Ve buna karşı ne kadar savunmasızız? Sonuçları sadece dar bir kapsamda değerlendiren sınırlı bir tutum içinde de olsa, şirketler uzun bir süredir gelecekteki gelir ve giderleri ile ilgili tahminlerde bulunmakta (örneğin emtia fiyatlarındaki istikrarla ilgili varsayımlar) ve öncelikle bunların doğrudan kâr üzerindeki etkisine odaklanmaktadır. Maalesef bu sınırlı görüş, büyük ve beklenmedik bir olay - iyi veya kötü - gerçekleştiğinde, şirketin hazırlıksız yakalanmasına neden olabilir. Risk Zekasına Sahip Kurum, örneğin itibar ve müşteri kaybına ( olumsuz bir senaryo) veya talep artışlarına ( olumlu senaryo) karşılık üretim kapasitesi eksikliğine bağlı olarak ortaya çıkan dolaysız veya uzun vadeli etkileri de dikkate alır. Aynı şekilde bu şirketler, sebep ve sonuçları sadece kısa vadeli finansal etkinin ötesinde değerlendirir. Olası senaryolar belirlendikten sonra, daha fazla değerlendirme yapılması ve karşılık verilmesi gereken bir duruma karşı şirketi uyaran bazı tetikleyiciler (döviz kurlarının belirli bir değerin altına düşmesi veya rakiplerin belirli bir pazar payını ele geçirmesi gibi olaylar) belirlenir. Senaryo planlaması yöneticilerin şu soruları yanıtlayabilmelerini sağlar: Planlarımızı ne bozabilir? Ve buna karşı ne kadar savunmasızız? Bir şirket seçici olarak gerekli yetkinliklere yatırım yaparak, farklı senaryolara yanıt verebilme becerisi oluşturur. Örneğin bir imalat şirketi, tam mülkiyete geçme seçeneği ile birlikte başka bir pazar veya bölgedeki bir şirkette kısmi öz sermaye payı alabilir. Veya bir medya şirketi standartlar iyi tanımlanmış bir hale gelene kadar başlangıçta elektronik medya dağıtımı ile ilgili birden fazla teknolojiyi destekleyebilir. Veya bir şirket, bir üretim tesisi inşa etmek yerine piyasalarda yükselme olması durumunda daha fazla kapasiteye erişmelerini sağlamak için, üzerinde daha önceden anlaşılan bir fiyata, üretim paylaşma anlaşması (rakip bir şirketle bile) yapabilir. Bu onları, hem piyasanın beklenen yukarı yönlü hareketi durumunda ek kapasite kısıtından kurtarabilecek, hem de piyasadaki beklenen yükselişin somutlaşamadığı durumlarda, zamansız ek Senaryo planlaması yöneticilerin şu soruları yanıtlayabilmelerini sağlar: Planlarımızı ne bozabilir? Ve buna karşı ne kadar savunmasızız? kapasite üretim tesisi kurma maliyetinden tasarruf edilmesini sağlayacaktır. Ancak, senaryo planlamasında bir sorun ortaya çıkabilir: düşünülen senaryoları, mevcut risk yönetim alt yapısı içinde (işlevsel departmanlar dahilinde) ele almak genellikle zordur. Yönetim bu sorunun farkında olmalı ve bu sorunun üstesinden gelmeye çalışmalıdır. Bunu yapabilmek için, departman liderleri senaryo geliştirme sürecine dahil edilmeli ve gerekli olması halinde, bölümler-arası risk azaltma planları geliştirilirken bu kişilerle işbirliği yapılmalıdır. Tatmin edici bir şekilde ele alınamayan olası tüm senaryolar, uygun ve düzeltici eylemlerin belirlenebilmesi ve sorumlulukların verilebilmesi için uygun yönetim düzeyine atanmalıdır. Silo Durumu Silo terimi, kurumların coğrafi veya işletme faaliyetlerine dayalı olarak, özerk bölümlere ayrılma eğilimini tanımlar. Risk yönetimi özerk birimlere ayrıldığında, bu birimlerden her biri - şirket içi denetim, mali işler, İK ve BT - farklı felsefeler ve yaklaşımlar içinde bulunabilir. Aşırı uçlarda, silolar farklı kültür, jargon ve uygulamaları olan minyatür ekosistemler haline gelir. Silo durumunda birçok sorun ortaya çıkabilir: aynı işin iki kez yapılması, şirketin omuzlarındaki yükün artması, birbirinin yaptığı işe duyulan güven eksikliği, yöntemlerde standart eksikliği ve risk ile ilgili bilgilerin paylaşımının eksikliği. Bunların tümü, şirketin maruz kaldığı risklerin doğası ve düzeyi ile ilgili doğru ve kapsamlı bir bakış açısı elde edilmesini zorlaştıracak, bazı durumlarda da imkansız kılabilecektir. Ve elbette ki, bu kapsamlı bakış açısına (bazen portföy bakış açısı adı da verilmektedir) sahip olmadan, şirketin karşı karşıya olduğu tüm riskleri anlayamaz ve yönetemezsiniz. Silolar ve Dış Kaynak Kullanımı Silo sorununu daha da büyütense her geçen gün biraz daha yaygınlaşan bazı iş süreçleri (bordro ve insan kaynakları gibi) için dış kaynak kullanımıdır. Dış kaynak kullanımı riskli olabilir ve bu gibi işler için dış kaynak kullanan şirketler, risk profilleri ile ilgili kapsamlı bir bakış açısı elde etmenin daha da zorlaştığını düşünebilirler. Dış kaynak kullanımı, aynı zamanda belirli fırsatlardan yararlanmak için yapıldığında, yükselme eğilimi riskine yönelik stratejik bir yanıt niteliğindedir. Ama düzgün yönetilmediğinde (özerk birimlere ayrılma yaklaşımına LPM DERGİ Haziran-Temmuz

14 ARAŞTIRMA bağlı olarak), yarardan çok zarar verir. Bu sorun ile baş edebilmek için bazı şirketler belirli dış kaynak kullanım etkinliklerini geri çekmekte ve diğerleri de iş ortaklarının yüksek risk yönetimi standartlarına uyduklarından emin olmak için güçlendirilmiş sözleşme riski ve uyumluluk programları kullanmaktadır. Silo Senaryoları Organizasyonel silolar halinde çalışmanın sonuçları büyük olabilir. Örnek olarak, silolar halinde faaliyet gösteren bir şirket, müşterilerine ve tedarikçilerine fiyat garantileri vermek için hem hukuk hem mali işler departmanlarını kullanamayabilir ve bu da gereksiz risk ve yükümlülüklerle sonuçlanabilir. İdeal Risk Zekası uygulamasında, mali işler departmanı garantinin riskini değerlendip, garantiye uygun fiyat biçerken, hukuk departmanı ise idari ve yükümlülük risklerini yönetir. Tüm bu dezavantajlara rağmen, silolar zeki risk yönetiminin temel bir bileşeni olan risk uzmanlığını da temsil etmektedir. Günümüzde, bir iş silosunu etkileyen özel risklerle ilgili kapsamlı bir bilgi birikimine sahip olunması ve bu risklerin anlaşılması daha önce hiç olmadığı kadar gereklidir. Maalesef, silo sınırlarını aşan (yani birden fazla siloyu ilgilendiren) çok sayıda risk olduğu için işbirliği olmadan uzmanlaşmak sorunlara neden olmaktadır yılında Deloitte tarafından küresel faaliyet gösteren 1000 şirketin yaşadığı değer kaybı üzerine yapılan kapsamlı bir analiz araştırması, son on yıl içinde bu şirketlerin yarıdan fazlasının, hisse senedi fiyatlarında ani ve keskin bir düşüş (bir ay veya daha kısa süre içerisinde %20 veya daha büyük bir kayıp) yaşadığını göstermiştir. Kayıpların %80 den fazlası birden çok sayıda, silolar-arası risk etkileşimine bağlı olarak ortaya çıkmıştır. Risk Zekasına Sahip Kurum silo eğiliminin farkındadır ve işbirliğine dayalı risk yönetimini engelleyebilen kurumsal engelleri aşmak için somut adımlar atar. Bu, bilgileri paylaşan, ortak analizler yapan ve senaryo planlama sürecine katılan bölümler-arası bir işleve sahip ekipler oluşturulmasını kapsayabilir. Risk Zekasına Sahip Kurum silo eğiliminin farkındadır ve işbirliğine dayalı risk yönetimini engelleyebilen kurumsal engelleri aşmak için somut adımlar atar. Bu, bilgileri paylaşan, ortak analizler yapan ve senaryo planlama sürecine katılan bölümlerarası bir işleve sahip ekipler oluşturulmasını kapsayabilir. Ancak, gereğinden fazla merkezileşme olmamasına özen gösterilmelidir. Tüm risk yönetim silolarını tek bir çar yönetimi altında birleştirmeye çalışan bazı şirketler başarısız olmuşlardır; çünkü ya siloları homojenize etmeye çalışmışlar, ya da silolardaki uzmanlar tarafından yönetilmesi gereken risklerin merkezden kontrol edilebileceğini varsaymışlardır. Merkezi bir koordinasyon noktasının (baş risk yöneticisi gibi) gerekli olmasına karşın, bu rol risk yönetiminde gereğinden fazla baskın bir hale getirilmemelidir. İş birimlerinin daima risk alma, riski yönetme ve varsaydıkları risklere sahip çıkma konusunda sorumlu kalmaya devam etmeleri gerekir. Silo sorununu bertaraf edebilmek, kurumdaki risk yönetim faaliyetlerinin tutarlılığını sağlamak için ortak risk yöntemleri, terminoloji ve ölçütleri geliştirme gereksinimini anlamak; ve aynı zamanda yeterli özerkliğe sahip farklı işlevlerin özel risk yönetimi ile ilgili bilgibirikimlerini ve uzmanlıklarını kullanmalarına olanak sağlamakla ilgilidir. Riski Ayrıştırma Bazı yöneticiler büyük bir hata yaparak, riski ele alma sorumluluklarını riskten kaçınma görevi olarak algılamaktadır. Bu başarısızlığın reçetesidir. Riskten kaçınırsanız, başarıdan da kaçınmış olursunuz. Ödül için zekice risk almak kapitalizmin temel yapı taşlarından biri ve rekabet avantajının temelidir. Riski kabul etme veya riskten kaçınma kararı, aralarında seçim yapmak gereken birer seçenek olarak görülmemelidir. Farklı durumlar farklı tepkiler verilmesini gerektirir. Bazen tüm fişlerinizi ortaya sürersiniz, bazen de masadan kalkarsınız ama genellikle bu iki aşırı uç arasında hareket edersiniz ve oranları değerlendirip, dikkatli ve iyi düşünülmüş bahisler oynarsınız. Bununla birlikte bazı durumlarda, aşırı uçlar en kolay seçeneklerdir. Seçenekler iyi anlaşılmadığında, en iyi hareket tarzını seçmek daha ürkütücü bir zorluk niteliğindedir. Bir yöneticinin sorumluluğunun bir bölümü de riskin doğasını anlamaktır. Farklı risk türleri arasında önemli ayrımlar yapılmalıdır: getirisi olan risk / getirisi olmayan risk ve doğal risk / kalıntı risk. Risk yönetim yetkinliklerinin tam geliştirilmediği kurumlarda, getirisi olmayan riskler genellikle tüm risk yönetim etkinliklerini temsil ederler. Getirisi olmayan riskler, bu adı belirli türlerde risklerin (finansal tabloların doğruluğu ve bütünlüğünü, yasa ve düzenlemelerle uyum gibi) doğru yönetilmesine karşın kurumun elde edeceği bir getiri olmadığı gerçeğinden alır. Bunun tersine, getirisi olan riskler değer yaratmak üzerine odaklanırlar. Getirisi olan risklerde, şirket yeni ürünler, pazarlar, iş modelleri, ittifaklar ve şirket alımları ile ilgili olarak risk aldığı ve riski yö- 14 Haziran-Temmuz 2013 LPM DERGİ

15 ARAŞTIRMA nettiği ve piyasanın onayını aldığı için bir ödül elde eder. Örnek olarak, şirket birleşmeleri ve satın almalarını düşünün. Her şirket hissedar değeri yaratma amacıyla birleşme ve satın alma etkinlikleri gerçekleştirirken, bazı zamanlarda umulan kazanç elde edilemez. Bazen tüm fişlerinizi ortaya sürersiniz, bazen de masadan kalkarsınız ama genellikle bu iki aşırı uç arasında hareket edersiniz ve oranları değerlendirip, dikkatli ve iyi düşünülmüş bahisler oynarsınız. Riskli Sorular Risk değerlendirilirken, cevaplanması gereken çok sayıda soru vardır: 1. Bu riski zekice yönetmezsek, ne kadar kaybedebiliriz? 2. Riskin gerçekleşme olasılığı nedir? 3. Risk maruz kalınan diğer risklerle bağlantılı mı? 4. Bu riske karşı savunmasızlığımız nedir? 5. Riske karşı tedbirler alır ve riski azaltırsam, bu durum riskin etki ve olasılığını nasıl değiştirir? 6. Risk yönetim veya risk azaltma stratejimiz ek riskler yaratıyor mu? 7. Riski doğru yönetmemiz koşuluyla, bu riski alırsak, ne kadar kazanırız? 8. Kendimize haklı olarak güven duyduğumuzdan nasıl emin olabiliriz? 10. Bu riski yönetmek bize ne kadara mal oluyor (veya olacak)? 11. Bu riskin itibarımız üzerinde olası bir etkisi var mı? 12. Bu riski baştan sona yönetmekten kim veya hangi ekip sorumludur? Tüm entegrasyon riskleri belirlendiği, değerlendirildiği ve akıllıca yönetildiğinde, istenen sonucun elde edilmesi olasılığı daha yüksektir. Bu sav kurumsal yönetişim, anlaşma seçimleri ve şirket alımı sonrasındaki entegrasyon süreçlerindeki gelişmelerin, birleşme ve satın alma başarısızlığı risklerini azalttığını ve pazarda daha yüksek bir performans sergileyerek, gelişmiş değer yaratılmasına katkıda bulunduğunu saptayan Cass Business School (Londra, İngiltere) and Towers Perin tarafından yapılan bir çalışma tarafından da desteklenmektedir. Doğal risk siz onu ele almadan önce var olan riski ifade eder ve olasılığı veya etkiyi değiştirmek için almış olabileceğiniz önlemlerin yokluğunda şirketinizin maruz kaldığı risktir. Tüm sektörlerdeki tüm şirketler doğal risk ile karşı karşıyadır; elbette, her Bazen tüm fişlerinizi ortaya sürersiniz, bazen de masadan kalkarsınız ama genellikle bu iki aşırı uç arasında hareket edersiniz ve oranları değerlendirip, dikkatli ve iyi düşünülmüş bahisler oynarsınız. şirket bu riski etkili ve verimli bir şekilde yönetemez. Kalıntı risk savunmasızlık veya maruz kalma olarak da bilinir ve doğal riski azaltma çalışmalarınızdan sonra arta kalan risktir. Şirketler ilk olarak doğal riski ele alırlarsa, kalıntı riski anlayabilirler. Risk Zekasına Sahip Kurumlar hem doğal, hem de kalıntı riskleri göz önünde bulundururlar. Böylece, yöneticiler ve yönetim kurulu maruz kalınan riski daha iyi anlayıp değerlendirebilecek ve maruz kalınan bu riskin kabul edilip edilmeyeceğine daha doğru bir şekilde karar verebileceklerdir. Makul miktarda Korunmasızlık Ve elbette, kabul edilebilir risk düzeyinin belirlenmesi, yöneticiler ve yönetim kurulları için risk yönetimi ile ilgili temel unsurlardan birini temsil eder. İster finansal tablo dipnotlarını dolduruyor olun, ister yıllık olarak düzenlenen bir toplantıda yatırımcıların sorularını yanıtlıyor olun, ister bir kabus senaryosu olarak bir davada karşı tarafın avukatının sorduğu soruları yanıtlıyor olun, riskler ilgili aldığınız önlemler ve risk yönetimine verdiğiniz önem şüphe götürmez olmalıdır. Şirketinizin maruz kaldığı riskin bilindiği ve analiz edildiğini ve söz konusu riske maruz kalma kararının bilinçli ve üzerinde düşünülerek alındığını şüphe götürmez bir şekilde ifade etmeli ve açıkça belgelendirebilmelisiniz. Hiç kimse sizden daima doğru kararlar vermenizi bekleyemez ve kaçınılmaz olarak büyük bir dikkatle oynadığınız bahislerden bazılarını kaybedersiniz. Ama her paydaş sizden söz konusu tarihlerde tasarrufunuz altında olan bilgileri dikkate alarak, alabileceğiniz en iyi kararı almanızı haklı olarak bekleyebilir ve bu konuda ısrarcı olabilir. Basitçe ifade etmek gerekirse, kurumun başarısı buna bağlıdır. Bunu daha önce de söylemiştik ama bir kez daha tekrar etmekte fayda vardır: Hem mevcut varlıklarına, hem de gelecekteki büyümelerine yönelik riskleri en etkili ve verimli şekilde yöneten kurumlar uzun vadede, riskleri bu kadar etkili ve verimli şekilde yönetemeyenlere kıyasla daha yüksek bir performans sergileyecektir. Önünüzdeki Yol Tasarım olarak, ayrıntılı adımlar yerine geniş kavramları ele alan bu doküman, Risk Zekasına Sahip Kurumun genel görünümünü sunmaktadır. Bu nedenle, bu noktaya ulaşan birçok okuyucu şu soruları soracaktır: Diğer şirketler risk yönetimi LPM DERGİ Haziran-Temmuz

16 ARAŞTIRMA konusunda gelişme aşamasında hangi noktadalar - özellikle bizim faaliyet gösterdiğimiz sektörde? ve elbette Buradan sonra nereye ulaşacağım? Tüm paydaşlar sizden söz konusu tarihlerde sahip olduğunuz bilgiler ışığında, alabileceğiniz en iyi kararı almanızı haklı olarak bekleyebilirler ve bu konuda ısrarcı olabilirler. Yanıt şudur: Bundan sonra nereye ulaşacağınız, şu an nerede olduğunuza bağlıdır. Risk Zekasına Sahip Kurum Olgunluk Modelinde (aşağıda Şekil 1 e bakın), birçok şirketin Risk Zekasına Sahip Kurumlar haline gelmek için kat etmeleri gereken yol görülmektedir. Bu dokümanın Ek bölümü bir kurumun Risk Zekasına ulaşması için atması gereken en temel adımları içermektedir. Deloitte bu adımların her biri için kurumlara servis sunmaktadır. Deloitte risk danışmanlarının risk yönetimi konusunda çok geniş tecrübe ve yetkinlikleri vardır. Buna ek olarak Deloitte un risk yönetimi konusunda müşterilerine sunacağı sektör-spesifik yetkinlik ve referans noktaları; insan, süreç, ve teknoloji unsurlarını ele alan metodoloji, yol haritaları ve uygulamaları mevcuttur. Forrester Research Inc. ın son günlerde yaptığı bir pazar araştırmasında Deloitte un risk yönetimi danışmanlığı konusunda Pazar lideri olduğu ve müşterilerine en kapsamlı servis imkanları sunabilen risk danışmanlığı şirketi olduğu belirtilmiştir ( The Forrester WaveTM: Risk Consulting Services, Q Pazar araştırmasının detaylarını adresinde bulabilirsiniz). Risk Zekasına Sahip Kurum hakkında ek bilgi için, lütfen adresini ziyaret edin. Daha önce de belirtildiği gibi, tüm şirketler birbirinden farklıdır ve risk yönetim uygulamaları özel durumlar ve gereksinimlere göre şekillendirilmelidir. Bazı şirketler Risk Zekasına Sahip Kurum Olgunluk Modeli nde (7. sayfada Şekil 1) uzun bir yol almışken, bazıları henüz ilk aşamalarda olabilir. Her ne kadar Risk Zekasına Sahip Bir Kurum süreci her kurum için farklı olacak ve her kurum bu süreci kendi ihtiyaçlarına göre dikkatlice tasarlayacaksa da risk zekasına sahip bir kurum olabilme süreci genel olarak şu adımları içermelidir (bazı kurumlar bu adımların bir kısmını hali hazırda tamamlamış olabilirler): EK Risk Zekasına Sahip Kurum: Temel Adımlar 16 Haziran-Temmuz 2013 LPM DERGİ

17 ARAŞTIRMA 1. Risk değerlendirmesi ve yönetimi için geniş kapsamlı bir çerçeve, politika ve süreç oluşturun. Şirketinizin maruz kaldığı riskleri, bu riskleri nasıl gördüğünü ve nasıl yönettiğini ele alan bir genel riskçerçevesi var mı? Şirketinizin bir risk politikası dokümanı var mı? Bazı borsalar şirketlerin bu borsalarda faaliyet gösterebilmeleri için bunu bir ön koşul olarak tutuyorlar. Buna ek olarak bu borsalar maruz kalınan büyük finansal riskler ile maruz kalınan bu gibi riskleri izlemek ve denetlemek için yapılan işlemleri denetim komitesinin yönetim kurulu ile görüşmesini şart koşmaktadır. Bunun yanı sıra, denetim komitesinin şirketin risk değerlendirme ve risk yönetim süreçleri konusunda da tatmin edilmesi gerekmektedir. Şirketi, faaliyetleri, sektörü veya finansal konumu etkileyen risk faktörleri anlaşılabilir bir dille anlatılmalıdır. Bir risk yönetimi sürecine sahip misiniz? Tek başına risk politikası Risk Zekasına Sahip Bir Kurum yaratmaz. Risk Yönetimi koordinatörleri, risk tanımlama, değerlendirme ve önceliklendirme, risk tepkisi ve risk izleme ve raporlaması için sistematik ve disiplinli bir süreç tasarlamaları ve uygulamaları için yöneticileri sorgulamalıdır. Yöneticiler risk süreçlerinin beklendiği gibi işlediğini ve risklerle ilgili raporların güvenilir olduklarını göstermek için yönetim kurulu ile denetim komitesine düzenli güncellemeler sağlamalıdır. 2. Önemli riskleri ve savunmasızlıkları tespit edin ve bunlara karşı yanıtlarınızı planlayın. Senaryo planlamasın yapın: Alternatif gelecek senaryoları nelerdir? Neler başarısız olmanıza neden olabilir? Şirket değeri ile stratejik hedeflerde en yüksek olumsuz etkiye sahip olabilecek kritik önem taşıyan riskler nelerdir? En çok neye karşı savunmasızsınız? Erken uyarı sinyalleri nelerdir ve bunları nasıl fark edeceksiniz? Etkili Risk Zekasının önemli özelliklerinden biri de ilgisiz bilgileri ilgili bilgilerden ayırt edebilmektir. Bu alandaki önemli noktalardan biri de birden fazla riskin etkileşebilmesi sorunudur. Risklerin organizasyonel sınırları tanımadıklarını akılda tutarak, risklerin nasıl etkileşebileceğini düşünün. Bu riskleri ele almak için neler yapıyorsunuz? Ve bunların işe yaradığını nereden biliyorsunuz? Uzmanlaşmalar ortaya çıktıktan sonra, ileriki aşamalar risk yönetiminin silolardan daha entegre ve koordine bir sürece doğru taşınmasını kapsayacaktır. En yüksek yeterlilik durumu, mevcut varlıkları koruma konusuna olduğu kadar, gelecekteki büyüme ve ödül için risk alma konusuna da yeterli önemi vererek, risk yönetimini kurumsal strateji ve karar verme süreçlerine dahil edecektir. Tam anlamıyla geliştirilmiş Risk Zekasına Sahip Kurumlarda, risk yönetimi bir proje olarak değil, kültürün ve iş yapma şeklinin bir parçası olarak görülür. Risk Zekası tamamen şirket yönetimi ile ilgilidir. 3. Kurumun risk alma isteğini ve kurumun hali hazırda ne kadar risk almış olduğunu belirleyin. Risk alma isteği ile mevcut alınmış risk miktarını karşılaştırıp daha fazla risk alabilme ve alınmış riskleri azaltma fırsatlarını ve gereksinimlerini belirleyin. Risk almaya karar verdiniz ama şirketiniz ne kadar risk almayı kabulleniyor? Risk alma kapasiteniz nedir? Bir defada sermayenizin veya mevcut varlıklarınızın ne kadarını riske atmaya hazırsınız? İleriki dönemlerde büyüyebilmek için ne kadar risk almaya hazırsınız? Büyük bir risk olayı karşısında ne kadar dayanıklısınız? Genellikle gözden kaçırılan önemli soru şudur: Akıllıca ve yeterince risk alıyor musunuz? Karşılığında elde edilecek ödüllerin peşinde koşmadan riskten kaçınmanın sonuçları arasında kaçırılan iş fırsatları, azalan rekabet gücü ve son olarak da şirketin ölmesi olabilir. Rekabetçi olabilmek için şirketler risk almak zorundadır. 4. Kurum adına risk alma sorumluluğu ve yetkisinin kimde olduğuna karar verin. Şaşırtıcı bir şekilde, çok sayıda şirket bu alanda yetersiz kalmaktadır. Riskin yönetimi ile ilgili roller ve sorumluluklar genellikle belirsizdir ve iyi anlaşılmamıştır. Risk tepkileri nasıl entegre edilecek ve tüm şirket genelinde koordine edilecektir? Belirlilik bir zorunluluktur: Yönetim kuruluna verilen yetkiler nelerdir? Risk alma kararlarını kimler verebilir? Yetkiler kime ve hangi durumlarda delege edilebilir? Kırmızı bayraklı riskler için eskalasyon prosedürleri nelerdir? 5. Riski entegre ve sürdürülebilir bir şekilde yönetme yetkinliklerinizi belirleyin. Kısa bir sürede Risk Zekasına Sahip Kurum olunmaz. 7. sayfadaki Şekil 1 de de görüldüğü gibi, birçok durumda kurumlar farklı gelişim aşamalarından geçecektir. Henüz sistematik yaklaşımların olmadığı risk yönetim kapasitesinin en alttaki aşaması, büyük ölçüde kişisel tepkiler ve genellikle kahramanca çabalara dayalı bir defaya mahsus veya kaotik bir yaklaşım ile tanımlanır. Uzmanlaşmalar ortaya çıktıktan sonra, ileriki aşamalar risk yönetiminin silolardan daha entegre ve koordine bir sürece doğru taşınmasını kapsayacaktır. En yüksek yeterlilik durumu, mevcut varlıkları koruma konusuna olduğu kadar, gelecekteki büyüme ve ödül için risk alma konusuna da yeterli önemi vererek, risk yönetimini kurumsal strateji ve karar verme süreçlerine dahil edecektir. Tam anlamıyla geliştirilmiş Risk Zekasına Sahip Kurumlarda, risk yönetimi bir proje olarak değil, kültürün ve iş yapma şeklinin bir parçası olarak görülür. Risk Zekası tamamen şirket yönetimi ile ilgilidir. LPM DERGİ Haziran-Temmuz

18 MAKALE Salim Kadıbeşegil İtibar Yönetimi Danışmanı İTIBAR BIR NUMARALI RISKTIR VE HEMEN YANIBAŞIMIZDADIR! İtibar yönetiminin son yıllarda özellikle iş hayatında son derece önemli bir kavram olarak karşımıza çıkmasının arkasındaki ana neden her halde sayılabilecek tüm iş sonuçları ile doğrudan ilişkili olmasıdır. ABD de Weber Sandwick in yaptığı yeni bir araştırma tüketicilerin satın alma tercihlerinde kurum itibarının yüzde 70 oranında etkili olduğunu ortaya koymaktadır. Aynı araştırmada şirket değerlerinin yüzde 60 lık kısmının itibarla doğrudan ilişkili alanlardan geldiği gerçeği vardır. Başka araştırmalar, yetenekli gençlerin işyeri tercihlerinde kurum itibarını öncelikle değerlendirdiklerini ortaya koymaktadır. Çalışan bağlılığının bir numaralı göstergesi yine kurum itibarının ne durumda olduğu ile ilgilidir. Medyanın, akademisyenlerin, regülatörlerin, sivil toplum kuruluşlarının gözünde de itibarlı kurumlarla bu kavramı yeterince özümseyememiş kurumlara karşı açık ve net bir ilişki mesafesi farklılığı vardır. Durum böyle olunca kurum itibarı neresinden tutulacağı belli olmayan tılsımlı bir kavram olmaktan çıkıp yaşamın bir gerçeği haline dönüşmektedir. Çünkü itibar bir numaralı risktir. Eğer yönetilmez ise güven sorunu o kurumun tüm ilişkilerinde Hangisi olursa olsun itibar yönetimi bir yolculuktur. Bir proje değildir! Bir felsefesi vardır ve yaşama geçmesi bu felsefenin benimsenmesine bağlıdır! problem veya kriz olarak gündemdedir. İtibarın şirketlerin üst düzey yöneticilerinin gündeminde olması halinde yönetilebilir bir olgu olarak değerlendirilmelidir. Başta şirketlerin genel müdürleri olmak üzere yönetim takımlarının gündeminde yer almayan itibarın yönetilmesi söz konusu olamaz. Ama burada da şöyle bir sıkıntı vardır; başta finans, pazarlama, üretim, tedarik, insan kaynakları gibi can alıcı konular varken itibar nasıl olacak da şirketin üst yönetiminin gündemine girecektir? Genel uygulamalara baktığımızda iki hareket alanı görülmektedir. Ya şirketin genel müdürü oldukça vizyonerdir ve itibarın yönetilmesi konusunu kendi kişisel gündemi içinde tutmaktadır ya da şirketin başına ciddi bir itibar krizi gelmiştir, bu krizle birlikte itibar yönetimi gündemi oluşmuştur! Hangisi olursa olsun itibar yönetimi bir yolculuktur. Bir proje değildir! Bir felsefesi vardır ve yaşama geçmesi bu felsefenin benimsenmesine bağlıdır! 18 Haziran-Temmuz 2013 LPM DERGİ