Blog
GRC konusunda yeni trendler, regülasyonlar ve eğitimleri takip etmek için blog yazılarımıza göz atabilirsiniz.

Bireysel Risklerden, Kurumsal Risklere.. Bilinen Bilinmeyenleri Bulmak 14 Eylül 2018
Olayları rasyonelleştirebilme yeteneklerimiz yetersiz denilebilecek seviyede sınırlı gözüküyor. Kabul etmek gerekir ki, dünya bizim algılayıp kontrol edebileceğimizden çok daha karmaşık.Yanlış kararların temel sebebi yetersiz bilgiden ziyade bilgiyi yorumlayabilecek kadar karmaşık verileri yönetemiyor oluşumuz. Dünyamızın içinde bulunduğu durumu ve yakın gelecekte hepimizi korkutan felaket senaryolarını düşündüğümüzde internet çağının sağlamış olduğu bilgi akışının doğru karar verme oranını çok da fazla etkilemediğini söyleyebiliriz herhalde.
Dünyadaki tüm belirsizlikleri yani gelecekte olacakları tam anlamıyla bilmek hiç bir zaman mümkün olmayacak. Bazı şeyler için yakın gelecekte olabilecek her bir sonucu ve bu sonuca ait olasılılıkları hesaplayabileceğiz, ancak hiç bir zaman gerçekleşecek olan kati sonuç hakkında kesin bir yargıya varamayacağız. İşte tam da bu duruma risk diyoruz. Bilgiyi hiç bir zaman bu kadar detay seviyede yorumlayamıyor oluşumuz, 300 yıl önce sektörleşti. Bir insanın hayatını derinden etkileyeceğini düşündüğü ölüm, yangın, hastalık gibi belirsizlikler için öngördüğü olasılık ve gerçekleşecek olan arasındaki belirsizliğe yaptığı ödemelerin hepsi hepimizin bildiği gibi sigorta endüstrisini oluşturuyor. Risk endüstrisine verilebilecek en anlaşılır örnek.
Belirsizlik ve riskin ayrımına ait en uygun açıklamayı “23 Things They Don’t Tell You About Capitalism” kitabında buldum. George Bush’un ilk savunma bakanı olan Donald Rumsfeld’in 2002’de Afganistan’da yapmış olduğu bir basın toplantısında kurmuş olduğu cümle tam olarak şöyle: "Bilinen gerçekler var. Bildiğimizi bildiklerimiz var. Bunların yanı sıra bilinen bilinmeyenler var, bilmediğimizi bildiklerimiz var ve tüm bunlardan daha fazla bilmediğimizi bilmediklerimiz var." Bu açıklamadan yola çıkarak, riski bilinen bilinmeyenler olarak tanımlayabiliriz. bilinmeyen bilinmeyenler için ise belirsizlik tanımını kullanmak daha doğru olacaktır. Hiç bir kurumun ya da bireyin belirsizliği yönetebileceğini zannetmiyorum ancak riskin yönetilebilir olduğu fikri her geçen gün daha da kabul görmekte. Ancak ister bireysel, ister kurumsal bir bakış açımız olsun, riski yönetmenin bir numaralı kuralı belirsizlikleri risk dünyasının dışına çıkarmak ve belirsizliğin yönetilemeyeceğini kabul etmek olacaktır.
Peki bireysel olarak bu bilinen bilinmeyenler ile nasıl mücadele ediyoruz ? Herbert Simon’a (Nobel ödüllü bir iktisatçı https://tr.wikipedia.org/wiki/Herbert_Simon) göre; tüm insanlığın karşılaştığı problemlerin karmaşıklığını azaltmak için seçim özgürlüğünü kısıtlamaya yönelik büyük bir motivasyonu var. Hayatımıza baktığımızda aslında yaptığımız tam olarak da bu. Çok fazla karar almamak için hayatı rutinlerin üzerine konumlandırmak. Aynı saatte yatmak, aynı süre uyumak, aynı saatte kalkmak, kahvaltıda aynı şeyleri yemek, haftasonlarında aynı şeyleri yapmak gibi.
Herbert Simon’un kısıtlı rasyonelliğimizi daha çarpıcı bir şekilde ifade etmek için verdiği en güzel örnek satranç. Toplam 32 oyun materyali (sadece 6’sı benzersiz olan ) ve 64 kare içerisinde oynanan bir oyun kulağa gayet basitmiş gibi geliyor. Ancak gerçek hiç de öyle değil. Sıkı durun, herhangi bir satranç oyununda 10 üzeri 120 benzersiz olasılık var ki; bu oyunun hiç bir insan tarafından işlenemeyecek büyüklükteki bir olasılık havuzunda geçtiğini kanıtlamaktadır. Bir çok satranç oyuncusu daha etkin bir oyun oynayabilmek için kısıtlı hamle dizilerini içeren stratejileri geliştiriyorlar ve analiz etmeleri gereken bir çok olasılığı göz ardı ediyorlar. Sadece satranç bu kadar karmaşıksa, takdir edersiniz ki milyarlarca insanın yarattığı geleceğin karmaşıklığını hayal dahi edemeyiz. Bu noktada risk sadece kendi hamle alanımızı kapsamalıdır. 10 üzeri 120 olasılık üzerine riski hesaplamaya çalışmak içi boş bir deneme olarak kalacaktır.
Tam da bu noktada kurumsal risk anlayışına ve tanımına geçebiliriz bence. Kurumsal risk yönetimi de bireysel risk yönetiminin oluşturduğu bu “verimli rutinler oluşturma” motivasyonundan doğuyor. Kurumlar da bilgi denizinde boğulmamak için karar sayısı aralığını azaltmayı hedefliyor, kendi oluşturdukları karar verme algoritmaları, iş etik kuralları ve prosedürler üzerinden hareket ediyorlar. Bu sayede özgürlüklerini kısıtlıyor ancak binlerce kişiden oluşan o büyük organizasyonu her gün yeni kararlar vermekten kurtarıyorlar. Biz de bu kural ve rutin setlerinin hantallığına göre “bürokrasi” den bahsediyoruz.
Etkin bir risk yönetim ortamı oluşturmak için bireysel ve kurumsal bakış açılarının ne kadar benzer olduğunu gördükten sonra risk yapısını oluşturmak ve riski anlamak daha da kolay olacaktır. Riski yönetmek için öncelikler temel motivasyonumuz olan hedefler belirlenmeli ve net bir şekilde tanımlanmalıdır. Hedefler bireysel ve kurumsal anlamda çok fazla değişmemekte, temel anlamda “kazanmak” için yapılması gerekenleri ifade etmektedir. - Karın arttırılması, müşteri memnuniyeti, maliyetlerin düşürülmesi ya da operasyonel etkinliğin arttırılması gibi. Bireysel risk yönetimi penceresinden baktığımızda, sağlıklı yaşamak, yüksek kazanç sağlamak, zevk aldığımız aktivitelerde bulunmak sayılabilir.-
İşletmedeki organizasyonel hedefler belirlendikten sonra bu hedeflere ulaşmak için organizasyonun stratejik, finansal, operasyonel süreç, ürün ve hizmetlerinin tanımlandığı iş modelinin kurulması gerekmektedir. İş modeli hem kurumlar hem de hem de bireyler için tanımlanabilir. Satın alma, ödeme yapma, ödeme alma gibi bir çok kurumsal fonksiyon pek ala bireysel iş modelinin de bir parçası olabilir.
Birbiri ile beraber çalışmakta olan bu hedef ve hedefe ulaşmak için kullanılan araçlar da organizasyonun bağlı olduğu denetsel mekanizmaların belirlediği prosedür ve regülasyonlarla uyumlu olmalıdır. Dolayısıyla hedefler ve iş modellerinin sınırlarını belli eden prosedürler (kurumlar için vergi kanunu, SoX, GMP prosedürleri vb., bireyler için ise kanunlar, iş yeri kuralları, toplum kuralları örnek olarak gösterilebilir) mutlaka hesaba katılmalıdır.
Bu altyapı kurulduktan sonra Risk Organizasyonel Yapısı kurmayı deneyebiliriz. Bu aşama belirlenen hedef, aktivite, süreç, yatırım ve projelerin organizasyonla ilişkilendirme sürecidir ve risk hiyerarşisinin kurulması anlamına gelecektir. Aşağıda risk organizasyonel yapısı kurumsal bir bakış açısı ile hazırlanmış ancak bireysel olarak da hazırlanabileceğinden bahsetmeye gerek kalmadı sanırım.
Bu noktadan yola çıktığımızda, “Kurumsal Risk Yönetimi” kavramı karmaşık ve yönetilemez algısından çıkarak biraz daha berrak bir alana çekiliyor. İşte bireysel olsun ister kurumsal, hayata ilişkin riskleri yönetmek için kabul etmemiz ve düşünmemiz gereken gerçekler var ve hepsini daha ilk riski düşünmeden belirlemeliyiz. Ne istiyoruz, istediklerimizi gerçekleştirmek için neler yapıyoruz, yaptıklarımızı denetleyen kanuni ya da vicdani regülasyonlar ve denetimler nelerdir ? İşte tüm bu sorulara cevap verdikten sonra istediklerimize ulaşmamızın önündeki engelleri düşünmeye başlayabilir ve bilmediğimizi bildiğimiz o kaotik olasılık dünyasının algılayabildiğimiz kadarını sürekli olarak izleyebilir ve kontrol edebiliriz.