Güvenin ama kontrol edin!

Risk yönetimi, belirlediğiniz hedefe ulaşmanızı mümkün kılan rota gibidir. Rotanızı, geminiz buz dağına çarpmadan önce doğru şekilde belirlemiş, rotanızın doğruluğunu destekleyici çalışmaları gerçekleştirmiş olmanız lazımdır. Buz dağlarının nerede ve ne büyüklükte olduğunu zamanında ve doğru şekilde belirleyemezseniz (risklerinizi doğru şekilde öngöremezseniz), belirlediğiniz rota (risk yönetimi politikanız) da yeterli olmayacaktır. Bu sebepledir ki risk yönetiminin ilk ve en önemli adımı “kurumun maruz kalabileceği risklerin doğru şekilde belirlenmesidir.” Bu temin edildiğinde çizilecek rota da doğru olacağından gelecekten endişelenmeniz söz konusu olmaz.

İşletmelerin, mevcut konjonktürde (toplu durumda) artmış olmakla birlikte, her dönem en büyük risk kaleminin “operasyonel risk”1 olduğuna inanıyorum. Operasyonel risk çatısı altında ise en büyük alt kalem “suistimal riski”dir. Bu risk her türlü alanda faaliyet gösteren, her ölçekteki kurumun maruz kalabileceği bir risktir ve efektif bir şekilde yönetilmelidir.

İşe alımlardaki kriterlerden biri “güven vermek”tir muhtemelen, ve bu sebeple “Ben çalışanlarıma güvenirim”. “Çalışanlarıma, onlardan şüphelendiğimi gösteren bazı kontrolleri uygulamaktan, onları rahatsız etmekten çekiniyorum” vb. gibi savunma veya çekinme ifadelerine sıkça rastlamak mümkün. Güveniyor olmanızın kontrol etmenizin önünde engel olmaması gerektiğini de ben söylemek isterim, zira denetim tecrübem sırasında yaşadığım ve duyduğum birçok suistimal olayının kahramanı yöneticilerin en çok güvendiği kişiler olmuştur. Ayrıca suistimal edenler sadece içeriden değil, zaman zaman dışarıdan da (müşteriler, tedarikçiler) olabilmektedir. Bu kişilerin işlediği suçun adının “suistimal” olmasının sebebinin, bu kişilerin, sizin onlara duyduğunuz güveni suistimal ediyor olmaları olduğunu unutmayın.

Suistimal riskine yönelik uygulanacak tedbirlerin, işletmenizin operasyonel risk yönetiminin bir parçası olmasını sağladığınız anda, bu süreçlerden ne siz rahatsız olacaksınız, ne de çalışanlarınız rahatsız olacaktır. Söz konusu süreçlerin başlangıç noktası da zaten çalışanlar nezdinde “risk bilinci” oluşturmak olacaktır. Riske maruz kalma olasılığını azaltacak tedbirlerin tespiti ve uygulaması ancak bu suretle başarıya ulaşabilecektir. “Kurum çapında risk yönetimi (ERM-enterprise-wide risk management)” diye anılan bu yapı ile siz ve yöneticileriniz fiilien işinizin başında olmadığı anlarda dahi riskleriniz yönetiliyor olacaktır.

Suistimal riskinin tespitine dair gerçekleştirilebilecek birçok çalışma içinde önemli çalışmalardan biri “Öz değerlendirme (Self Assessment)” adlı, iş birimlerinin kendi risklerini risk yöneticileri ile birlikte değerlendirdiği ve bu risklerin sıklık ve şiddet bilgilerini derecelendirdiği bir çalışmadır. Bu çalışma ile birlikte kurumun maruz kaldığı ya da kalabileceği risklerin bir listesi çıkacak, “anahtar risk göstergesi2 (KRI’s-Key risk indicators)” kataloğunuz oluşmuş olacak ve de risk yöneticileri(sorumluları) suistimal de dahil olmak üzere operasyonel risk noktalarının tespitine dair önemli veriler elde etmiş olacaklardır. Bu çalışma sonrasında tüm bu tespitlere dayanan tedbir geliştirme (aksiyon alma) aşamasına geçilebilecektir ki, bu işletmenizin hayatta kalmasını garantileyen en önemli fonksiyonlardan biridir. Bu süreçleri yaşayan, doğru ve yeterli şekilde uygulayan işletmelerin, her türlü krizde hayatta kalacaklarına dair inancım tamdır.

Geminiz rotasız, rotanız esassız olmasın!