A+
A-
Kurumsal risk yönetimi (KRY)
Yayınlanma:
Bağlantıyı Kopyala
Sürekli karşılaştığımız yapay afetler karşısında genel tutumumuza bakıldığında karşımıza çıkan olgular yas, günah keçisi aramak, yasal düzenlemelerdeki ayrıntıları incelemek, bu afetin siyasal malzeme yapılarak iktidar – muhalefet çatışmasında itibar kazanç ya da kayıp mücadelesine girişmek vb. olmaktadır. Oysaki kâr amaçlı ya da değil her kuruluşta mutlaka bir KRY dizgesi kurulması gerekir. Bu konu nedense pek gündeme gelmemektedir. Sistem kurmayı pek sevmeyiz. Bu konuyu kısaca ele alacağız.
KURUMSAL RİSK YÖNETİMİ (KRY) NEDİR?
KRY bir organizasyonun hedeflerine ulaşmasını, tüm risk yelpazesini ele alarak ve bu risklerin birleşik etkisini birbiriyle ilişkili bir risk portföyü olarak yöneterek destekleyen stratejik bir iş disiplinidir. Organizasyonun riske maruz kaldığı tüm alanları kapsar (finansal, operasyonel, raporlama, uyumluluk, yönetişim, stratejik, itibar vb.).
KRY’NİN KURULUŞ GENELİNE ENTEGRE EDİLMESİYLE SAĞLANACAK FAYDALAR
Kuruluşlar, KRY’yi kuruluş geneline entegre ederek birçok yarar sağlayabilir. Bunları dört başlıkta (FIRM Risk Kartı modeli ile) ele almak çok yaygın bir modeldir: Finansal / Altyapı / İtibar / Pazar yeri.
KRY STANDARDİZASYONU
KRY dizgesini standartlaştırma çalışmaları bağlamında dünyadaki gelişmelere bakıldığında şunları görmekteyiz:
a) Uluslararası Standartlar Örgütü (ISO) standartları : ISO 31073:2022 Risk Yönetimi – Sözlük; ISO 31000: 2018 Risk Yönetimi (Not: Aynı zamanda Türk Standartlar Enstitüsü tarafından TS 31000 olarak çevrilmiş, onaylanmış ve belgelendirme yapılmaktadır.)
b) COSO’nun KRY modeli (COSO: büyük ölçüde ABD merkezli olan ve risk yönetimi konusunda kapsamlı standartlar yayınlamış olan Treadway Komisyonu ‘Sponsorluk Örgütleri Komitesi’). COSO Kurumsal Risk Yönetimi (ERM) Çerçevesi ilk olarak 2004 yılında KRY ‘küpü’ olarak yayınlanmış ve ardından 2017 yılında ‘gökkuşağı çift sarmalı’ olarak güncellenmiştir. ABD şirketlerinde yaygın ve etkili olmakla birlikte, standart dünya çapında çok sayıda ülke ve işletme tarafından benimsenmiş ve/veya uyarlanmıştır.
ISO 31000’E YARARSAL BAKIŞ
Bu standart; kuruluşlarda riskleri yöneterek, karar vererek, amaçları belirleyip gerçekleştirerek ve performansı iyileştirerek değer yaratan ve bu değerleri koruyan kişilerin kullanımı için rehberlik sağlar. Riskin yönetilmesi, ISO 31000 standardında ana hatları ile verilen ilkelere, çerçeveye ve sürece dayalı olarak yapılır. KRY ile gelecekte karşılaşılabilecek zor durumlar öngörülebilir, riskler ortaya çıkmadan önlem alınması sağlanır, sürpriz ve kayıplar en aza indirilir, hızlı ve etkili karar alınabilir, zaman tasarrufu sağlanır, kaynak israfı önlenir, risklerin makul seviyelerde tutulması sağlanır, iş sürekliliği sağlanır, hedefleri gerçekleştirme olasılığı artırılır, proaktif yönetim teşvik edilir, kuruluş genelinde riski belirleme ve ele alma ihtiyacının farkında olunması sağlanır, fırsatlar ve tehditlerin analizi sağlanır, ilgili yasal koşullara ve uluslararası normlara uyum sağlanmasına yardımcı olunur, paydaş güveni ve itimadını iyileştirmeye yardımcı olunur, karar verme ve planlama için güvenilir bir temel oluşturulur, riskin ele alınması için kaynakları etkin bir şekilde tahsis etme ve kullanma kolaylığı sağlanır, operasyonel etkinlik sağlanır ve verimliliği arttırılır, kaybın önlenmesi ve vaka yönetimini iyileştirir.
KRY’NİN İKİZ DESTEKÇİLERİ: KURUMSAL DAYANIKLILIK VE İŞ SÜREKLİLİĞİ
KRY dizgesinin etkili bir biçimde işlemesi için kurumlarda ‘kurumsal dayanıklılık’ (resilience) dizgesinin de kurulması ve KRY ile entegrasyonu gerekmektedir. Kurumsal dayanıklılık ‘bir organizasyonun hedeflerine ulaşmasını, hayatta kalmasını ve gelişmesini sağlamak için değişen bir çevreye uyum sağlama ve adapte olma yeteneği’ olarak tanımlanmaktadır. Kurumsal dayanıklılık için ISO’nun yayınladığı standart ise şu: ‘IS0 22300: 2021 Güvenlik ve Dayanıklılık – Sözlük’ (Not: Aynı zamanda Türk Standartlar Enstitüsü tarafından TS 22300 olarak çevrilmiş, onaylanmış ve belgelendirme yapılmaktadır); ‘ISO 22301: 2019 Güvenlik ve Dayanıklılık – İş Süreklilik Yönetim Dizgeleri – Gereklilikler’ ve 2024’te yapılan ‘İklim Eylemi İçin Değişiklikler Eki’; ‘ISO 22313:2020 Güvenlik ve Dayanıklılık – İş Sürekliliği Yönetim Dizgeleri – ISO 22301’in Kullanımına ait Rehber’; ‘ISO 22316:2017 Güvenlik ve Dayanıklılık Kurumsal Dayanıklılık – İlkeler ve Taahhütler’; ‘ISO/TS 22318:2021 Güvenlik ve Dayanıklılık – İş Sürekliliği Yönetim Dizgeleri – Tedarik Zincirleri Sürekliliği İçin Rehber’; ‘ISO 22320: 2018 Güvenlik ve Dayanıklılık – Acil Durum Yönetimi – Olay Yanıt Gereksinimleri’; ‘ISO 22330: Güvenlik ve Dayanıklılık – İş Sürekliliği Yönetim Dizgeleri – İş Sürekliliğinin İnsan Boyutları Rehberi’; ‘ISO/WD 22333 Güvenlik ve Dayanıklılık – İş Sürekliliği Yönetimi – İş Sürekliliği Yönetim Dizgesi Süreçleri Rehberi (Henüz Taslak)’; ‘ISO 22395’.
KRY dizgesinin ve entegre biçimde kurumsal dayanıklılığın sağlanması iş sürekliliği yönetim (İSY) dizgesinin varlığıyla olanaklıdır. ISO 22301’de İSY sistemiyle ilgili şu beş bileşene sahip bir iş sürekliliği planlama yaşam döngüsü tanımlanmaktadır:
• Bir organizasyonu halihazırda etkileyen kritik risk faktörlerini belirleyin. • Bir organizasyonun ihtiyaçlarını ve yükümlülüklerini anlayın. • Organizasyonun iş sürekliliği yönetim sistemini kurun, uygulayın ve sürdürün. • Kesintiye neden olan olayları yönetme konusundaki genel yeteneği ölçün. • Belirtilen iş sürekliliği politikasına uygunluğu garanti edin.
Yeterli iş sürekliliği planlarının yerinde olduğundan emin olmanın kritik bir parçası, bir ‘İş Etkisi Analizi’nin (BIA) tamamlanmasıdır. İEA’da, her bir iş fonksiyonunun kritik doğası, söz konusu faaliyete yönelik kesintinin etkisinin değerlendirilmesiyle belirlenecektir. Bu bilgi, her bir fonksiyon için uygun süreklilik stratejilerini belirlemek amacıyla gerekli olacaktır. İEA, hem bir organizasyonun bağlamının anlaşılmasına hem de genel risk yönetimi sürecinin bir parçası olarak gerçekleştirilen risk değerlendirmesine benzer. Ancak, risk değerlendirmesinden kritik fark, bir İEA'nın vurgusunun, yalnızca bağlamı anlamak veya belirli bir fonksiyonu zayıflatabilecek olayları belirlemek yerine, her bir fonksiyonun göreceli öneminin ve kritikliğinin belirlenmesi olmasıdır.
İSY’nin üç bileşene sahip olduğu düşünülmektedir: İş sürekliliği planlaması / Kriz yönetimi / Felaket kurtarma (DRP). DRP’de operasyonların daha önce olduğu gibi veya daha önce olduğundan daha iyi (mümkünse) devam etmesini sağlamak için kurtarma önlemlerinin uygulanması planlanır.
SONSÖZ
Türkiye’de acilen KRY yasal zorunluluk haline getirilmelidir. Elbette gönüllü uygulayan şirketler var (örneğin Alaçatı Fizzio Otel vb.), ama yetmez. (Bu şirketlere örnekse
NOTLAR :
1. ISO 31000:2018’e ait ilgilisine uzunca bir video önerisi:
https://www.youtube.com/watch?v=0q8iEDOO8QE
