KAYNAKLAR

Hangi Kurumsal Risk Yönetim Programı, GRC’mi Yoksa IRM’mi?

Karmaşık bir konunun serbest ekonominin olduğu her piyasada gün geçtikçe daha da karmaşıklaşacağını söylemeye gerek yok herhalde. Son 10 yılda aynı konudan bahsederken GRC (Governance, Risk and Compliance), IRM (Integrated Risk Management), 3LoD (Three Lines of Defense), Secure Operations Map ve muhtemelen benim de bilmediğim birçok akronim daha kullanılmıştır. Mevcut terminolojiye farklı bir açıdan bakan herkes kendince doğru olan ürüne/yaklaşıma yeni bir isim veriyor ya da kendi yaptığını diğer her şeyden önemliymiş gibi göstermeye gayret ediyor. Özellikle büyük organizasyonlarda, optimum maliyette bir çözüm haritası oluşturmak müthiş önemli bir yetenek haline gelmeye başladı.

Dolayısıyla, önceden belirlenmiş ve sınırları çizilmiş bir programı takip etmeden önce mutlaka konunun köklerini incelemekte fayda var diye düşünüyorum. Bu günlerde risk merkezli yönetim stratejilerine atfedilen iki farklı terimin (GRC & IRM) mucitleri tarafından verilen tanımlarını buraya yazacağım ve aradaki farkı bir süre düşünmenizi rica edeceğim:

Governance, Risk and Compliance (GRC): GRC, bir şirketin hedeflerine ulaşabilmesi için, güvenilir yöntemler kullanarak, belirsizlikleri ve alternatif sonuçları entegre bir bakış açısıyla yönetebilme yeteneğidir.

Integrated risk management (IRM): Risk temelli bir kültür oluşturarak ve teknolojinin nimetlerinden faydalanarak karar verme kalitesini ve organizasyon performansını arttırmak amacıyla belirsizlikleri ve alternatif sonuçları entegre bir bakış açısıyla yönetebilme yeteneğidir.

Bu pratiklerden bir tanesi yöntemlerin güvenilirliğine odaklanırken, bir diğeri performansı ve potansiyeli arttırmak amacıyla risk farkındalığı yüksek organizasyonlar kurmayı hedefliyor.

Bir dert hakkında kavram kargaşası yaratmak kaçınılmaz bir son demiştik. Dolayısıyla, bu karmaşada kaybolan iş değerini ortaya çıkarmak için konunun temellerini bir düşünelim. Riskin tanımı nedir diye sorsam muhtemelen yüzlerce farklı tanım geçecek aklınızdan. Benim en sevdiğim tanım şu: “Human interaction with uncertainty”. Cline (2015) – Yani: İnsanın belirsizlikle etkileşimi. Diğer bir deyişle bugüne kadar risk dendiğinde odaklandığımız kötü bir şey olma ihtimali yerine, insanların ve organizasyonların potansiyel sonuçlarla olan etkileşimini düşünmek daha doğru aslında.

Risk yönetimi ile ilgili bir diğer yanılgımız ise risk ve belirsizliği birbirine karıştırmak. Risk ve belirsizlik arasındaki farkı açıklayan şu tanım bence harika: Risk, karar vericinin verdiği kararın alternatif sonuçlarını ve her bir sonucun gerçekleşme ihtimalini yorumlayabildiği durumlarken, belirsizlik ise kararcının öngöremediği sonuçlardır.

Daha da iyisi için Donald Rumsfeld’in risk ve belirsizlik hakkındaki şu meşhur sözünü hatırlatmadan olmaz: Bildiğimizi bildiğimiz şeyler var. (gerçekler), bilmediğimizi bildiğimiz şeyler de var (riskler), bir de bilmediğimizi bilmediğimiz şeyler var. (belirsizlikler)

Bir analoji ile özetlemek gerekirse, evrende yaşam olup olmadığı ve dünya dışı yaşamın insanlığa karşı bir tehdit oluşturup oluşturmadığı bir belirsizliktir. Burada bilmediğimizi daha bilmediğimiz sonsuz boyutta bir bilgi var. Ancak ekolojik dengedeki bozulma ve buna bağlı gerçekleşen küresel ısınmanın sonuçları ve kamuoyunun aksiyon planı bilmediğimizi bildiğimiz bir şey ve bu risk hakkında önlem almak zorunlu. Küresel ısınma konusu çok dillendirilmiş bir mevzu ama risk yönetiminin kıymetini anlamak adına World Economic Forum’un web sitesinde gördüğüm şu grafik üzerinden de bildiğimiz önemli riskleri çoğaltabiliriz.

Governing Disruption

Yukarıdaki görselde, kendi uzmanlığıma dokunan dijital dönüşüm sonrası denetim ve risk yönetimindeki değişimleri odağına alan ”Governing Disruption” konusunu örneklendirdim. Ancak entegre risk yönetimi için harika bir örnek teşkil eden bu web sayfasını farklı konular için sizlerin de incelemesini şiddetle öneririm. Risk yönetiminin gerekliliğine gelecek olursak, burada bahsi geçen konular hakkında yaşadığınız ülkede kimsenin hiçbir şey yapmadığını düşünmek için kendinize bir on saniye ayırın. Bence düşünmesi bile korkutucu. Çalıştığımız, işlettiğimiz kurumlar için de hikaye benzer işte.

ÖZET

Risk temelli bir karar-destek sistemi kurmak ve teknolojiden maksimum fayda sağlayabilmek istiyor, ancak hangi risk programını uygulayalım diye düşünüyorsanız, aşağıdaki konulara dikkat etmek gerekir diye düşünüyorum;

  1. Serbest ekonomilerde; hizmet/ürün sağlayıcılar makbul metotlarda yapılan minik oynamaları ya da bilinen bir problemin potansiyel etkilerini biraz da egzajere ederek bir ilgi merkezi oluşturmaya gayret ederler. Bunu yapanlar kötü kalpli kapitalizm orduları değil, bireysel çıkarlarını düşünen siz ve ben gibi insanlardır. Dolayısıyla mevcut ekonomi sizi daha ufak problemler için çok büyük yatırımlar yapmaya yöneltebilir. GRC ve IRM gibi sınırları çizilmiş herkese uygun olduğu varsayılan dev bir program dahilinde yatırım yapmak çoğu zaman doğru ancak pahalı bir yöntem olabilir. GRC ya da IRM gibi programlardan kopmadan, problemin temeline dokunan konularda yatırım yapmak her zaman daha avantajlı olacaktır.
  2. Belirsizlik ve risk ayrı kavramlardır. Belirsizlik, riskten çok ama çok daha büyük bir kümedir. Ancak belirsizliğin büyüklüğünü bahane ederek, risk temelli düşünmemek ile evrenin ne kadar büyük olduğunu söyleyip dünyayı boş vermek aynı şeylerdir. Bilinemezcilik ya da kadercilik pek tabi bir risk yönetim metodu değildir.
  3. Risk analizinin yeni ya da moda bir kavram olduğunu söylemek bence safsatadır. Zira ”güven” ya da ”tecrübe” dediğimiz meziyetler, kısıtlı insan aklıyla yapılan risk analizlerinin sonucudur. Risk temelli yaklaşım dediğimiz fikir, ticaretin binlerce yıldır en önemli konularından biridir.

Kapanışa geçeyim; dünya dört bir koldan gelişirken bu gelişimi yönetecek ve gelişimin karanlık yüzünü yönetecek yaklaşımlar her zaman geriden geliyor. Bu yaklaşım, Fransız ihtilalinde de böyle oldu, Sanayi devriminde de. Şimdi dijital devrim / dönüşüm dönemindeyiz diyoruz, ancak riskler ve tehditler hakkında yine çok az şey yapılıyor. Bilinmeze karşı savaş açmak, Don Kişot’un yel değirmenlerine karşı savaşına benzer ve anlamsız tabi, ancak alternatif sonuçlarını görebildiğimiz konular üzerinden çok boyutlu bir karar ağacı tasarlamak ve bunun için hissiyata değil rakamlara güvenmek, hem dünya hem organizasyonlar için artık bir zorunluluk bence.

ozan2
Paylaş

İş süreçlerinizi gelişen teknolojilerle desteklemek işimizin ana hedefidir.