3.1.Risk Yönetimi ve Önemi Risk; kurumların hedeflerine ulaşmasını tehlikeye düşüren, beklenmedik olaylar olarak tanımlanabilir Günümüzde yönetime en fazla güçlük çıkaran sorun, değer yaratma sürecinde kurumun ne kadar risk üstlenmeye hazır olduğuna karar verebilmektir Risk sonucun tahmin edilemez olmasıdır ve iyi bir risk yönetimi kuruma şunları sağlar: Kurumun istediği sonucu elde etmesine artan güven Tehditleri kabul edilebilir seviyede sınırlamak Fırsatlardan yararlanma konusunda elde edilen gerekli bilgiye dayanarak kararlar almak Paydaşların kurumun yönetimine ve hüküm verme yeteneklerine olan güvenlerinin artması. Genel bir bakış açısıyla bakılacak olursa risk yönetimi; riskin tanımlanmasına, analizine, değerlendirilmesine, mücadele edilmesine ve izlenmesine ilişkin yönetim politikalarının, prosedürlerinin ve uygulamalarının sistematik bütünü olarak tanımlanabilir. Risk yönetimi ile riskli bir durumun yaratacağı olumsuz etkilerin en aza indirilmesi ya da pozitif sonuçlarının mümkün olabildiğince fazlalaştırılması sağlanmaya çalışılır. Şekil 3.1. Risk Yönetim Süreci Şekil 3.1 e göre risk yönetim süreci aşağıdaki aşamalardan oluşmaktadır : i. Kurumsal hedefleri anlama. ii. Risk yönetim misyonunu tanımlama (hedef ve politika belirleme). iii. Risk ve belirsizliklerin değerlendirilmesi (tanımlama, analiz ve ölçme). iv. Risk kontrolü (ortadan kaldırma, kaçınma, azaltma, önleme ve yönetme). v. Risk finansmanı (riskin finansal sonuçlarının ölçümü ve değerlendirmesi). vi. Program yönetimi (uygulama tedbirleri geliştirme, inceleme ve izleme).
İyi bir risk yönetim sistemi kurumun; istediği sonuçlara ulaşma güvenini artırır, tehditleri kabul edilebilir bir seviyede etkili bir şekilde tutmasını ve fırsatları kullanarak bilinçli karar almasını sağlar 3.2.Risk Yönetiminin Amacı ve Kapsamı Risk yönetimi, riski iyi tanımak, doğru teşhis etmek, bertaraf etmenin yollarını aramak ve minimize ederek transfer edebilmek süreçlerinden oluşur. Risk yönetimi, karar vericilerin riski azaltmak veya ortadan kaldırmak üzere yararlandıkları bir yoldur. Risk yönetim süreci, herhangi bir durum için en uygun eylem biçiminin seçimi ve tanımlanmasında yönetici ve personele sistematik bir mekanizma sağlamaktadır. Risk yönetim politikası aşağıdaki bölümleri içermelidir: Risk yönetimi ve iç kontrol hedefleri (yönetişim) Kurumun riske karşı davranış tarzının beyanı (risk stratejisi) Risk farkındalığı kültürünün veya denetim ortamının açıklaması Seviye ve mahiyeti kabul edilebilir risk (risk iştahı) Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi) Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme) Risk analizi ve raporlama için belgeler listesi (riski protokolleri) Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi) Risk yönetimi rollerinin ve sorumluluklarının tahsisi Risk yönetimi eğitim konuları ve öncelikleri Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama) Risk yönetimi için uygun kaynakların tahsisi Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri 3.3.Risk Yönetimi Süreci Risk yönetim fonksiyonunun rolü: risk yönetim strateji ve politikalarını belirlemek; stratejik ve operasyonel düzeyde risk yönetimi sağlamak; risk farkındalık kültürü oluşturmak, buna yönelik eğitimleri koordine etmek; iş birimlerine yönelik risk politika ve yapıları oluşturmak; risk yönetimi için süreçleri tasarlamak ve yeniden gözden geçirmek; kurum içinde risk yönetimini geliştirici faaliyetleri koordine etmek; acil durum ve iş süreklilik programları dâhil olmak üzere risk tutumlarını geliştirmek ve yönetim kurulu ve paydaşlar için rapor hazırlamaktır. Risk yönetimi için kapsamlı, uygun ve iyi planlanmış bir stratejiye ihtiyaç vardır Risk yönetimi Problemlerin oluşmadan önlenmesini sağlayan proaktif bir yaklaşımdır. Sorumluların hesap verme sorumluluğu ve performans ölçümü, kurumun her seviyesinde etkinliği artırmak amacıyla, risk yönetim sistemince desteklenmektedir.
Şekil 3.2. Risk Yönetim Sürecinin Sürekliliği Şekil 3.3. ISO 31000 e göre Risk Yönetim süreci Tablo3.1.RiskAnalizveYönetim modeli Şekil 3.4. 3*3 Risk Matrisi Her kurum farklı bir yöntem kullanabilir; ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3 (yüksek-orta-düşük) matrisini kullanmaktadır.
Bazıları da 5*5 (önem derecesi çok düşük, önemsiz, makul, önemli, feci (yıkıcı)) matrisinin daha iyi sonuç verdiğini düşünerek bunu tercih etmektedir Şekil 3.5. 5*5 Risk Matrisi Risk analiz süreci tamamlandıktan sonra kurumun risk kriterleri ile risk tahminlerinin karşılaştırılması gerekir. Risk kriterleri ilgili maliyet ve faydaları, yasal gereklilikleri, sosyoekonomik ve çevresel faktörleri, paydaşların kaygılarını vb. unsurları içerir Kurumsal risk yönetim sürecinde birçok kurum risk etki ve olasılık haritası oluşturmaktadır. Haritalamanın önemi, tarafların risklere yönelik ortak aklını yansıtmasıdır. Risk haritaları aynı zamanda risklerle ilgili önemli bilgileri içermektedir. Olasılık değerlendirmesi düşük, orta, yüksek; olanaksız, olası, büyük olasılık; kesin ve önemsiz, muhtemel, kuvvetle muhtemel vb. şeklinde. Ölçeklendirilebilir. Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle dikkate alınır. çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3 (yüksek-orta-düşük) matrisini kullanmaktadır Risk yönetimi, kurum hedeflerini destekleyerek kurumu ve paydaşlarını korumakta ve onlara değer katmaktadır Kötü olan risk değil, riskin anlaşılmaması, yanlış değerlendirilmesi, yönetilememesi ve göz ardı edilmesidir 3.4.Risk Yönetiminde 4T Yaklaşımı 4T Yaklaşımı, risk yönetimini Tespit, tahlil, tedbir ve takip olarak dört aşamada anlatmaktadır 3.4.1.Tespit / Belirleme İşletmenin faaliyetini sürdürdüğü yasal, ekonomik, kültürel ortam ve içinde bulunduğu pazar analiz edildikten sonra işletmenin stratejik ve operasyonel hedefleri doğrultusunda temel riskler ortaya konulmaktadır. Riskler tespit edilirken tehlikelerin yanında fırsatlar da belirlenmektedir. 3.4.2.Tahlil / Analiz. Tahlil aşamasında tüm iştirakler, orta ve üst kademe yönetiminin katılımı ile workshoplar, olasılık-etki analizleri ve anketler uygulayarak riskleri tahlil eder ve önceliklerini belirler. risk haritaları, risk göstergeleri, iç değerlendirme, geçmiş kayıp verileri, workshoplar, dış denetim ve mevzuat gereklilikleri, en iyi uygulamalar ve yasal yükümlülükler risk belirlemede
kullanılan bazı araçlardır. Tahlil aşamasının önemli özelliği, risk yönetimi aracının fayda-maliyet analizinin doğru yapılmasıdır 4.3.Tedbir / Uygulama Tedbir aşaması, mevcut risk yönetimi seviyesinin belirlenmesi ve gerekirse yeni risk karşılama stratejilerinin oluşturulmasıdır 3.4.4.Takip / Performans Ölçümü Takip aşamasında ölçümlenen risk, sayılabilen risk olarak adlandırılmaktadır. Takip aşamasında cevaplarını aradığımız sorular aşağıdaki gibidir: Teşhis edilip ortaya çıkarılan ölçümler doğru mu? Risk yönetimi araçları kullanışlı mı? Fayda-maliyet analizleri uygun şekilde değerlendirilmiş mi? Beklenmedik sonuçlarla karşılaşıldı mı? İlgili deneyimlerden neler öğrenilebilir? Risk yönetimi kalitesi nasıl geliştirilebilir? 3.5.Risk Alma Eğilimlerine Göre Risk Yönetim Türleri Kurum tarafından, riski yönlendirmek için yapılan her faaliyet, iç kontrol olarak bilinen kavramın bir parçasını oluşturur. Riske karşılık vermenin beş temel yolu vardır: riski kabul etmek, riski azaltmak, riski transfer etmek, riskten kaçınmak ve diğerlerinin bir alternatifi olmayıp tüm risklerde değerlendirilmesi gereken fırsatların gözetilmesidir. 3.5.1. Riski Kabullenme / Göze Alma Maruz kalınan risk herhangi bir karşılık vermeye gerek olmaksızın katlanılabilir olabilir. Katlanılabilir olmasa bile bazı risklerle ilgili önlem alma kabiliyeti sınırlı olabilir veya herhangi bir faaliyette bulunmanın maliyeti kazanılacak potansiyel yarara göre orantısız olabilir. Böyle durumlarda riske verilecek karşılık, riskin var olan düzeyine katlanmaktır 3.5.2.Riskten Kaçınma / Faaliyetten Vazgeçme Bazı riskler sadece faaliyete son verilerek kabul edilebilir seviyede sınırlandırılabilir; birkaç faaliyet kamu sektörü tarafından yürütülür çünkü bağlı riskler o kadar yüksektir ki toplum yararı için istenen çıktının veya gelirin elde edilmesinin başka yol yoktur 3.5.3.Riski Azaltma / Riskle Mücadele Etme Riskleri azaltmanın iki yöntemi vardır. Risklerin olasılığının azaltılması ve/veya etkilerinin azaltılması şeklinde özetlenebilecek olan bu yöntemlerin ilkinde uygun kontroller yardımı ile
olayların olumsuz etkilerinin ortaya çıkma ihtimalinin azaltılması söz konusuyken ikincisinde amaç olayların olumsuz etkilerinin büyüklüğünün azaltılmasıdır. 3.5.4. Riskin Transferi / Paylaşma Bazı riskler için en iyi karşılık onları transfer etmek veya riski yaymak olabilir. Bu geleneksel sigorta yöntemiyle yapılabilir veya üçüncü bir şahsa başka bir şekilde riski üstlenmesi için ödeme yapmak yöntemiyle yapılabilir Riskin başarıyla transfer edilmesini garantilemek için riskin transfer edildiği üçüncü şahısla olan ilişkiler dikkatle yönetilmelidir. 3.6. Entegre/Bütünleşik Risk Yönetimi Bu çerçeve kanada hükümetinin kamu sektöründe risk yönetimi uygulamalarını güçlendirmek için geliştirilmiştir. Bunu yaparak bütünleşmiş risk yönetimi çerçevesi Kanada halkı için şu sonuçların elde edildiğinin altını çizmektedir: vatandaş odağı, değerler, sonuçlar ve harcama sorumluluğu. Bu çerçevenin tasarlanma amacı modern yönetim uygulamalarının yerleştirilmesi ve federal kamu hizmetlerinde yeniliklerin desteklenmesidir. Bu çerçeve bir kuruma farklı riskleri aynı seviyeye indirerek sürdürülebilirliği sağlamak, karşılaştırma yapmak ve tartışmak tabanında stratejik risklerin yönetilmesi için genel bir yaklaşım geliştirir Risk yönetiminin rasyonel, sistematik ve aktif bir biçimde yerleştirilmesini garantilemek için bir kurum birbiriyle ilintili üç sonuç aramalıdır: Risk yönetimi ile ilgili yönetimin yönü (vizyonu, politikaları, faaliyet prensipleri) ilerletilmeli, anlaşılmalı ve uygulanmalıdır. Bütünleşmiş risk yönetimini yaklaşımının var olan karar verme yapısına yerleştirilmesi gerekir Kapasite inşa etmek: kurumda kullanılmak üzere geliştirilen planlar ve araçlar öğrenilmelidir Risk yönetiminin uygulanabilmesi için öncelikle kurumun risk yönetimi vizyonunun, hedeflerinin ve faaliyet kriterlerinin oluşturulması ve iletilmesi gerekir Risk yönetiminin etkili biçimde uygulanması, var olan karar verme sürecine dahil edilmesine bağlıdır. İyi yönetimin vazgeçilmez bir unsuru risk yönetimidir. Her kurum karşı karşıya olduğu risklere karşı kendi kapasite stratejilerini belirlemelidir. Risk kapasitesinin belirlenmesi risk profilinin çıkarılması ile daha kolaylaşacaktır.. İyi bir risk yönetimi uygulamasından şu sonuçlar beklenir: risk yönetimi sürecinin kurumun her seviyesine yerleştirilmesi, karar verme, karar vermeye yardımcı olacak araç ve metotların yerleştirilmesi, sürekli iletişimin sağlanması 3.7.Stratejik Risk Yönetimi ve Planlaması Stratejik plan çalışmalarıyla eşanlı başlayan kurumsal risk yönetiminin oluşturulması süreci kurumun misyon ve vizyonunun belirlenmesi ile şekillenir. sonra durum analizi yapılarak kurumun hangi konumda bulunduğunu belirlenir. Durum analizinin ardından hedefler konur Durum analizinden elde
edilen sonuçlarla hedefe karşılık gelecek bu riskler tespit edilmelidir. Bu tespitler sonucu risk matrisleri oluşturulur. Şekil 3.8 Basit risk/tolerans matrisi Şekil 3.9. Strateji, Hedef, Risk İştahı ve Risk Tolerans ilişkisi Bu değerlendirme sonucu her risk puanlanır ve önceliklendirilir. Bu önceliklendirmede risk haritaları kullanılabilir