Riskinizi nasıl yönetiyorsunuz?
Şirketlerde en önemli konulardan bir tanesi risk yönetimi. Geçen yazımda da belirtmiştim, bu dönemde şirketlerin en önemli iki kası inovasyon temelli strateji gelitşirme ve risk odaklı yürütme (execution) olacak. Bunlardan bir tanesinde dahi yaşanacak aksama, EBITDA’nızı hızla bozacak. Sürdürülebilir karlılığı güçleştirecek.
Riskini yönetemeyen, krizini yönetmek zorunda kalır. Kriz yönetimi ise maliyetlidir. Üretim kaynaklı hatalar, kalite sorunları, reklamasyon maliyetleri, lojistik verimsizlikler, hile ve suiistimaller, kötü stok yönetimi, başarısız tedarikçi yönetimi, yetersiz müşteri hizmetleri, hatalı planlama, nakit darboğazları gibi pek çok konu süreçlerin ve risklerin iyi yönetilmemesinden kaynaklanır.
Bu sebeple bugün biraz risk yönetimi üzerine konuşalım istedim. Risk yönetimi hem reel sektör, hem finans, hem kamu, hem de sivil toplum kuruluşları açısından kritik önemde bir konu. Bu işi iyi yapan, rekabet avantajı sağlıyor. O kadar kritik. Yani şirketinizde, yönetim ve operasyonlarınız ile entegre başarılı bir risk yönetimi sistemi varsa, rakiplerinize avantaj sağlıyorsunuz. Bu nasıl oluyor? Müşteri, çalışan ve tedarikçi risklerini iyi yönetmek memnuniyeti artıyor, itibar ve yasal kayıplara karşı korunuyorsunuz, mali sonuçlarınız özellikle verimsizlik, kayıp ve kaçakların sınırlandırılması boyutuyla olumlu yönde etkileniyor. Stratejinizi sahada engellere takılmadan, onları önceden öngörüp yönetmek suretiyle hayata geçirebiliyorsunuz.
Risk yönetimi nedir?
Risk yönetimi şirketinizin dıç çevre ile yönetsel, destek ve operasyonel süreçlerinde karşı karşıya kalınabilecek olumsuz olay, durum, koşul ya da senaryolara verdiğiniz proaktif yani hazırlıklı ve öngörülü tepkiler anlamına geliyor. Hazırlıklı olmanın altını çiziyorum. Burada kriz yönetiminden ayrılıyor. Kriz yönetimi, risk gerçekleştikten sonra hasarı telafi etmek veya ortaya çıkan zararı azaltmak demek. Risk yönetimi ise risk gerçekleşmeden tedbir almak anlamına geliyor.
Örneğin piyasaya yeni bir ürün çıkartacaksınız, ya da yeni bir yatırım yapacaksınız. Her koşulda bunu gerçekleştirmeden evvel bir risk yönetimi çalışması yapmanız gerekiyor. Riskleri tespit etmeniz, size verebileceği zararları ve gerçekleşme olasılığını tanımlamanız, risklere karşı uygun stratejileri seçmeniz gerekiyor. Ya da mevcut süreçlerinizi daha verimli, etkin, yalın ve hızlı hale getirme hedefiniz var. Süreç analizleriniz içinde risk değerlendirmeleri önemli bir katkı sağlıyor. Bir sürecin karlı karşıya olduğu riskleri belirlemek, analiz etmek ve tedbir almak, o sürecin daha etkili çalışmasını sağlıyor. Mesela pazarlama süreçleriniz ile ilgili riskleri önceden belirlemek ve tedbir almak, yolda sürprizler ile karşılaşmanızı önlüyor.
Risk yönetimi şirketlerde hatalı uygulanıyor
Şirketlerde, ki çok büyük ve kurumsal şirketlerde bile bu durumu gözlemliyorum, temel sorun risk yönetiminin dışsal bir faaliyet olarak ele alınması. Yani risk yönetimi yönetsel ve operasyonel işlerin dışında, ayrı bir teknik konu olarak ele alınıyor. Risk yönetimi, bir departman ya da birimin işi gibi görülüyor. Adeta “mış gibi” yürütülüyor. Büyük hata! Risk yönetimi şirkette tüm yönetici ve çalışanların yapmaları gereken bir iş. O risk yönetimi birimleri sadece koordinasyon sağlar. Riski yöneticiler olarak siz yönetirsiniz.
Bazı şirketlerde “hocam bizde risk yönetimi çok iyi çalışıyor” şeklinde yorumlar alıyorum. “Nasıl yapıyorsunuz” diye detayını sorduğumda, hocam tüm birimlerimiz risklerini belirledi ve aksiyon planları oluşturdu” diyorlar. “Peki bu riskler güncel mi? Stratejik hedefler ve bütçe hedefleri ile ilişkilendirildi mi? Risklerin sorumluları ve risklere yönelik aksiyon planlarının nihai tarihleri belirlendi mi? Riskler düzenli güncelleniyor mu? Riskler gerçekleşti ise kayıt altına alındı mı? Risklere karşılık ayrıldı mı? Riskler ve aksiyon planları izleniyor mu? Günlük faaliyetlerde riskler tanımlanıp, ilgili yöneticilere iletiliyor mu?” diye sorduğumda cevap genelde olumsuz oluyor. Bu işi operasyondan kopuk, teknik, tek defalık bir iş olarak görüyorlar. Yap ve bir yere koy. Olmaz. Bu risk yönetimi değil.
Bu sebeple risk yönetimini stratejik ve operasyonel karar alma süreçlerine, icra faaliyetlerine bağlamalısınız. Onlarla entegre etmelisiniz. Bir yönetim tekniği olarak içselleştirmeli ve kullanmalısınız. Her yönetici kendi sahibi olduğu veya dahil olduğu süreçlerde risklere karşı proaktif bir yönetim tarzı sergilemeli. Diğer bir ifade ile risk odaklı yönetmeli. Bu nedenle riski yönetme başarısı ile kriz yönetme başarısını ayırmalıyız.
Riski iyi yönetmek, tüm yönetici ve çalışanların, ama özellikle de yöneticilerin görev tanımları içinde olmalı. Ayrıca da yöneticilerin ve departmanların KPI’ları yani anahtar performans göstergeleri arasına alınmalı. Alacakları primleri bile etkilemeli.
İş yönetim kurulunda başlıyor
Yönetim kurulları şirket bünyesinde risk komiteleri oluşturmalı ve bu komitede stratejik ve mali riskler ile birlikte yönetimden gelen operasyonel riskleri değerlendirmeli, ortak akılla bu risklere yönelik stratejiler konusunda YK ve İcraya rehberlik sağlamalı.
Şirketlerimizin yönetim kurullarında özellikle bağımsız üyelerden istifade etmeleri de risk yönetimi açısından faydalı olacaktır. Şirket içinde yöneticilerce dile getirilemeyen pek çok risk ve çözümü bağımsız üyelerce fark edilip, gündeme getirilecektir. Risk yönetimi veya iç denetim kökenli üyelerinizden bu komitelerin çalıştırılması, risklerin değerlendirilmesi ve yönetimi ile ilgili önemli fayda sağlayabilirsiniz.
Yönetim kurulları icradan iyi risk yönetimi talep etmeli ve riskin iyi yönetilip yönetilmediğini takip etmeli. Bütçe uygulamanız varsa, bütçeden olası sapmalar, kişi bazında değil, süreç ve risk bazında tartışılmalı. Bu performans düşüklüğü veya sapma hangi süreçten kaynaklandı, hangi risklerden dolayı gerçekleşti, bunu tartışmak fayda sağlar.
Risk yönetimi yetkinliği kazanılmalı
Kurumsal olarak risk yönetimi konusunda gelişmek için ikinci adım, bu işe yatırım yapmaktır. Şirketinizde ya risk yönetimi koordinasyonundan ve rehberliğinden sorumlu bir birim oluşturun, ya da bir kişiye bu koordinasyon görevini verin. Tüm yönetici ve çalışanlarınızın temel düzey risk yönetimi eğitimini almalarını öneriyorum. Ayrıca orta ve üst kademe yöneticiler ile tüm iş süreçlerinizden birer kişinin, risk yönetimi konusunda daha aktif rol oynamaları açısından ileri düzey eğitimler almaları da fayda sağlar.
Ayrıca etkili risk yönetimi için risklere karşı alınan aksiyonların etkin şekilde takibi lazım. Şirketinizde tüm alanlarda riskleri tanımlamış ve bu risklere karşı tedbirleri belirlemiş olsanız da, bunların hayata geçirilip geçirilmediğini de izlemeniz gerekiyor. Risklerin belirlenmesinden, risk aksiyonlarının takibine kadar tüm süreçleri dijital olarak yürütmenizi sağlayan otomasyon çözümleri mevcut. Bunlar işi kolaylaştırıyor. Bunlara GRC çözümleri deniyor.
Bir örnek vermek istiyorum. Diyelim ki EBITDA’nızı %2 artırma hedefiniz var. Bu hedef doğrultusunda satışlar, SMM ve faaliyet giderleri ile ilgili alt hedefleri belirlemeniz gerekiyor. Bu alt hedefleri de taktik hedefler, proje ve süreçler ile ilişkilendirmelisiniz. Önce bu EBITDA hedefini tehdit edebilecek makro seviyede; dış çevre kaynaklı uluslararası ekonomi, para politikası veya jeopolitik konulardan kaynaklı riskleri, sonra da o proje ve süreçler ile ilgili mikro riskleri değerlendirmeniz ve analiz ederek bunlara tedbir almanız gerekiyor. Bu makro ve mikro risklerinizi iyi yönetmeniz demek, hedeflere ulaşma olasılığınızı artırmanız demek.
Risk yönetimi yeni bir ürünü piyasaya sürmek, finansman sağlamak, pazarlama yapmak ya da yeni bir yatırımı devreye almak kadar önemli bir iş olarak görülmeli.