KAYNAKLAR

Risklerin Objektifleştirilmesi

Gerçek anlamına bakacak olursak TDK’ye göre risk, “zarara uğrama tehlikesi” olarak tanımlanır. Ancak günümüz iş dünyasında birçok kaynağa göre riskin, “belirsizliğin hedefler üzerine etkileri” olarak tanımlandığını görürüz. Bu farkın oluşmasındaki temel sebep, iş dünyasında risklere karşı bakış açısının değişmesidir. Riskleri yönetme teknikleri geliştikçe, riskin aslında sadece zarar ifade etmediği anlaşılmıştır. Değişen bakış açısıyla beraber şirketler için risk yönetiminde zarardan kaçmak yetersiz kalmış, sonrasında zarardan kaçarken fayda yaratmayı da kültürlerinin bir parçası haline getirmeye çalışmışlardır. Muntazam bir risk yönetimi kurmayı başaran kuruluşlar gerçekten de zarardan kaçmanın ötesine geçmeyi başararak kendilerine fayda sağlamışlardır.

Peki birçok şirket bakış açısındaki bu değişime ve farkındalığa rağmen, neden hala yeterli faydayı sağlayamazlar? Bunun iki basit sebebi vardır: risk algısının subjektifliği ve risk yönetiminin benimsenmeyişi. Bu iki sebebi açmak gerekirse;

  • Risk, insanın algı filtrelerinden geçerken insanın duygu ve tecrübelerine göre şekillenir. Yani bizim için bir riskin büyüklüğü aslında yine bizim tecrübe ve algılarımızla belirlenir. Bu sebeple aslında risk objektiftir ancak riskin algısı subjektiftir. Bunu şöyle bir örnekle açıklayabiliriz: aynı şehirde, aynı apartmanda, aynı katta yaşayan iki insan için deprem olasılığı aynı mıdır? Evet. Aynı binada bulundukları için binanın durumu iki komşu için aynı olacaktır. Üstelik aynı katta oturduklarını da düşünürsek, olası bir depremin etkisi aynı mıdır? Evet. Ancak bu iki insanın geçmiş tecrübelerine veya kişisel yargılarına göre bu riske dair algıları farklı olabilir. Daha önce büyük bir deprem yaşamış bir insan ile hiç deprem yaşamamış bir insanın deprem riskine karşı algılarının aynı olmasını bekleyebilir miyiz? Tabi ki hayır.

Sadece geçmiş yaşanmışlıkların getirdiği algı değil, kişisel duygu ve düşünceler de riskin objektifliğinin önüne geçebilir. Mesela risk yönetim departmanının yüksek seviyede belirlediği bir risk için yapmış olduğu bilgilendirmede; süreç sahibinin onu bilgilendiren veya riskin seviyesini belirlemiş olan kişilere karşı sahip olduğu önyargılar, riski sübjektifleştirmiş olur. Daha da açmak gerekirse; bir risk ile ilgili bilginin geldiği kişi ile, bildirilen kişi arasındaki insani ilişki, aşırı güven veya aşırı güvensizlikle riskin o insandaki algısını yönetebilir. Yani çalışanın risk departmanındaki kişilere karşı aşırı güven duygusuna sahip olması, kişinin o riske dair daha az kaygı duymasını sağlayarak riskin objektifliğini gölgeler. Tam tersi; kişi, hiç güven duymadığı insanların sözlerini dikkate almayarak yine riskin objektifliğini gölgeleyebilir ve risk yönetiminin sağlıklı yapılamamasını sağlayabilir. Daniel Kahneman’ın çok satan kitabı ‘Thinking Fast and Slow’da da konusu geçen ‘insan yanlılığı’ çok fazla örnekle derinleştirilebilir. Ancak bu konuda insanın tarafsız olamayışına, doğrulama yanlılığı örneği son derece uygun düşecektir. İnsan, hali hazırda inandığı düşünceleri teyit eden bilgileri kayırır, kendi düşüncelerinden farklı düşünceleri algısal olarak yok sayma eğilimindedir. Bu da insanın algılarının objektif olamadığını kanıtlar niteliktedir.

  • • Risk kültürünün tüm kurum tarafından benimsenmeyişi ise iş dünyasında risk yönetimine dair yaşanan sorunlardan büyük çoğunluğunun kaynağıdır. Bir risk kültürü oluşturamamış şirketlerdeki iş birimi sahipleri, risklerin kendi problemleri olmadığını düşünürler. Kısacası risk yönetiminin, risk departmanı veya iç denetimin işi olduğuna dair bir algıları vardır. İş biriminin sahibi, risklerin risk departmanının sorumluluğu olduğunu düşündüğü müddetçe risk yönetimi konusunda gerekli ehemmiyeti gösteremez. Aslında yaptığı tek şey, bindiği dalı kesmektir. Çünkü risk yönetim departmanının risklere dair yaptığı değerlendirmeler ve belirlediği aksiyonlar o iş sürecini çok daha verimli olmasını sağlar. Halbuki sağlıklı bir risk kültürü tüm kurum tarafından benimsenmiş olursa, iş birimi sahipleri de kendi birimleri ile ilgili risklere dair daha objektif bir algı ile yaklaşarak, risk yönetiminin kurum genelinde muntazam şekilde yürütülmesine katkı sağlamış olur.

Yukarıda açıklamış olduğum iki ana problemin de özünün insan algılarından kaynaklandığını görebiliriz. Peki bu algıların önüne nasıl geçebilir? Onları risklere karşı nasıl objektifleştirebiliriz? Güncel ve isabetli veriler ile riskleri eşleyip, iş birimi sahiplerine daha somut bilgilendirmeler yaparak. Bu bilgilendirmelerin ve verilerin otomatik takibinin yapılabileceği ana unsur da Anahtar Risk Göstergeleridir (KRI: Key Risk Indicators).

SAP GRC’nin teknik olarak herhangi bir kısıt olmadan her sistemle (web servisleri, küçük ya da büyük ölçekli yazılımlar vb.) yapabileceği bağlantılar KRI metriklerinin anlık ve güncel takibinin yapılabilmesini sağlar (Görsel1). Bu da kurumlara; risklerini anlık takip edebilme ve bununla beraber, risk seviyeleri önceden belirlenmiş eşik değerleri geçtiğinde ilgili kişilere otomatik aksiyonlar atanması ile risklerini daha iyi yönetebilme imkanı sağlar (Görsel2). KRI metriklerinin otomatik takibi birçok açıdan risk yönetimine sınıf atlatacağı bir gerçektir. Ancak bu düzenin sürdürülebilmesi için, verilerin sağlıklı olduğundan emin olmak gerekir. Çünkü tüm sistem otomatize edildikten sonra sistemin yürütülmesini sağlayan, KRI’lar olacaktır. KRI’ların GRC sayesinde takibinin kolaylaşması, sağlanan avantajlardan sadece küçük bir tanesi gibi gözükse de aslında şirket içinde bir risk kültürü oluşması adına da çok önemlidir. Her çalışan kendi iş birimindeki riskleri ve o risk ile ilişkili metrikleri günlük olarak takip edebilir ve belirlenecek birden fazla eşik değer ile bu risklerin seviyeleri belli noktalara geldiğinde bildirimler almaları sağlanabilir. Çalışanların KRI’lar ve onların alarmları ile yönlendirilmeleri, ister istemez risk algılarını metrikler ile eşleyecek ve risklere veriler ışığında daha objektif bakmalarını sağlayacaktır. Bu sayede iş süreci sahibi kişi veya kişiler, hem kişisel tecrübe ve algılarından sıyrılacak hem de risklerin kendi sorumluluklarında olmadığına dair bulundukları algıdan kurtulacaklardır. Üstüne üstlük bu KRI’lar ilgili iş birimlerinin veya kurumların hedefleri ile doğrudan eşleştirilerek, iş biriminin hedeflerini tutturmasına da katkı sağlar. Böylelikle süreç geliştirilmiş olur.

1 KPI History
Resim1. KRI Geçmişi

Sarı çizgi ilk eşik değerini, kırmızı çizgi ise ikinci eşik değerini gösterir. Mavi çizgi ise otomatize edilmiş aylık takip edilen KRI çizgisidir.

Örnek olarak bir şirketin alacak limitleri gösterilebilir. Bu görselde alacak limitleri %90’a geldiğinde 1. eşik değeri, %100’e geldiğinde 2. eşik değeri aşılmış olacaktır. Görüldüğü üzere alacak limitleri henüz uyarı seviyelerine gelmemiş durumdadır.

2 Maintain KRI Value
Resim2. Eşik Değeri

Kurumun risk iştahına göre belirlenecek olan eşik değerleri, KRI’ların otomasyonunda büyük rol oynar. Bildirimlerin gönderilmesi, risk değerlendirilmesinin tetiklenmesi veya otomatik aksiyonların ilgili kişilere tayin edilmesi gibi birçok otomasyon seçeneği sunar.

Sonuç olarak, günümüz iş dünyasında kurumların, risk yönetiminin sağlayabileceği avantajlardan faydalanamamasının en temel sebebi algıdır. Otomatikleştirilmiş, hedefler ile ilişkilendirilmiş, güncel ve sağlıklı veriler ile takip edilen KRI’lar sayesinde şirketler önce tek bir çalışandan başlayarak, departman ve sonunda tüm kuruluş olarak objektif bir risk algısı yaratabilir. Bu da çalışandan başlayarak, departmanların ve tüm kuruluşun etkinliğini ve verimliliğini arttırır. Dolayısıyla aslında her kurumun nihai amacı olan hedeflere ulaşmayı sağlar.

İnsan algıları bir günde değişecek değildir. Ancak ve ancak benimsenmiş bir plan ve vizyon ile bir kurumda risk kültürü inşa edilebilir. GRC ürünleri risk yönetiminin muntazamlaştırılmasının yanı sıra, kurumun tüm seviyelerinde risk kültürünün oluşmasında da oldukça fayda sağlar.

Kütüphanesinde hazır risk ve rol setleri bulunan Solvia RS olarak; geniş ve tecrübeli danışman kadromuz, karmaşık sistemlerde tamamlamış olduğumuz birçok proje, sahip olduğumuz yeni nesil çözüm teknolojileri ve alanlarında uzman partnerlerimiz ile dijital dönüşümünüzü gerçekleştirebilir, kurumunuzda bir risk kültürü inşa etmenize katkıda bulunabiliriz.

Ismail Karakaya
Paylaş

İş süreçlerinizi gelişen teknolojilerle desteklemek işimizin ana hedefidir.