Risk yönetimi, kurumların hedeflerine ulaşmasını engelleyebilecek belirsizliklerin düzenli olarak tanımlanması, analiz edilmesi ve kontrol altına alınması sürecidir. Bu süreç, ortaya çıkan fırsat ve tehditlere karşı kurumsal düzeyde uygun yanıtların geliştirilmesini, alınacak aksiyonların belirlenmesini ve bu unsurların düzenli olarak raporlanmasını içerir. Aynı zamanda risk yönetimi, kurumun tüm birimlerine entegre edilen; planlı, koordineli, tutarlı ve süreklilik arz eden bir yapı içerisinde yürütülmektedir (Bozkurt, 2016).
Risk yönetimi, yalnızca risklerin belirlenmesi ve analiz edilmesiyle sınırlı kalmayıp, kurumun stratejik planlama süreciyle birleşik olarak yürütülmekte ve stratejik amaç ve hedeflere ulaşılmasını etkileyen risklerin yönetilmesine odaklanmaktadır (T.C. Hazine ve Maliye Bakanlığı, 2024). Bu yapı, iç kontrol sistemleri ile birlikte ele alınarak ve kurum genelinde uygulanarak, hedeflere ulaşılmasına yönelik makul düzeyde güvence sağlamayı amaçlamaktadır (COSO, 2004, akt. Akçakanat, 2012).
Risk Türleri
Riskler, işletmelerin faaliyet alanlarına ve maruz kaldıkları belirsizliklerin niteliğine bağlı olarak farklı biçimlerde sınıflandırılabilmektedir. Bu kapsamda literatürde; operasyonel, finansal, stratejik, bilgi teknlojileri, yasal ve uygunluk riskleri başta olmak üzere çok sayıda risk türünden söz edilmektedir. Her işletme, faaliyet gösterdiği sektör, büyüklük ve organizasyon yapısına bağlı olarak bu risk türlerinden bazılarına daha fazla maruz kalmakta ve risk yönetimi süreçlerini bu doğrultuda şekillendirmektedir (Kara ve Sakarya, 2012).
Bununla birlikte The Committee of Sponsoring Organizations of the Treadway Commission (COSO) tarafından geliştirilen Kurumsal Risk Yönetimi (ERM) çerçevesinde riskler, işletmenin hedefleriyle ilişkilendirilerek belirli kategoriler altında ele alınmaktadır (COSO, 2004);
Stratejik (Strategic): İşletmenin misyonu ve uzun vadeli hedefleriyle doğrudan ilişkili olan riskleri ifade eder. Bu kapsamda stratejik kararlar, rekabet ortamı ve dış çevresel faktörler işletmenin performansını etkileyen temel unsurlar arasında yer almaktadır.
Operasyonel (Operations): İşletmenin kaynaklarını etkin ve verimli kullanmasına ilişkin süreçlerden doğan riskleri kapsar. Üretim, hizmet sunumu ve iş süreçlerinin etkinliği bu kategori kapsamında değerlendirilmektedir.
Raporlama (Reporting): Finansal ve operasyonel bilgilerin doğruluğu, güvenilirliği ve zamanında sunulmasına ilişkin riskleri ifade eder. Bu kategori, özellikle finansal raporlama kalitesi ve bilgi güvenilirliği ile ilişkilidir.
Uyum (Compliance): İşletmenin yürürlükteki yasa, düzenleme ve sözleşmelere uygun hareket etmesine ilişkin riskleri kapsar. Mevzuata uyumsuzluk, bu kategori kapsamında önemli bir risk unsuru olarak değerlendirilmektedir.
Risk Yönetimi Süreci
Risklerin etkin bir şekilde yönetilebilmesi, bu risklerin belirli aşamalardan oluşan düzenli bir süreç çerçevesinde ele alınmasını gerektirmektedir (International Organization for Standardization, 2018);
İletişim ve Danışma (Communication and Consultation): Risk yönetimi sürecine ilişkin bilgilerin ilgili paydaşlarla paylaşılması ve sürece katılımın sağlanmasıdır.
Kapsam, Bağlam ve Kriterlerin Belirlenmesi (Scope, Context and Criteria): Risk yönetiminin uygulanacağı alanın, kurumun iç ve dış çevresinin ve risk değerlendirme kriterlerinin belirlenmesidir.
Risk Değerlendirme (Risk Assessment): Risk değerlendirme, kurumun maruz kalabileceği risklerin düzenli bir şekilde tanımlanması, analiz edilmesi ve önceliklendirilmesini kapsayan süreçtir. Risk değerlendirme süreci üç alt aşamadan oluşmaktadır;
- Risklerin Tanımlanması (Risk Identification): Kurumun faaliyetlerini etkileyebilecek potansiyel risklerin belirlenmesi.
- Risklerin Analizi (Risk Analysis): Belirlenen risklerin gerçekleşme olasılığı ve etkilerinin incelenmesi.
- Risklerin Değerlendirilmesi (Risk Evaluation): Risklerin önem derecelerine göre karşılaştırılması ve önceliklendirilmesi.
Risklerin İşlenmesi (Risk Treatment): Risklere yönelik uygun önlemlerin ve stratejilerin belirlenmesi ve uygulanmasıdır. Bu süreçte belirlenen spesifik aksiyonlar literatürde risk yanıtı (risk response) olarak da ifade edilmektedir (Goodman, 2005);
- Riskten Kaçınma (Risk Avoidance): Riski ortadan kaldırmak için ilgili faaliyetin değiştirilmesi veya tamamen bırakılmasıdır.
- Riskin Azaltılması (Risk Mitigation): Riskin gerçekleşme olasılığını veya etkisini düşürmeye yönelik kontrol ve önlemlerin uygulanmasıdır.
- Riskin Devredilmesi (Risk Transfer): Riskin sigorta, sözleşme veya benzeri yöntemlerle başka taraflara aktarılmasıdır.
- Riskin Kabul Edilmesi (Risk Acceptance): Riskin bilinçli olarak üstlenilmesi ve genellikle ek bir önlem alınmamasıdır.
İzleme ve Gözden Geçirme (Monitoring and Review): Risk yönetimi sürecinin etkinliğinin sürekli olarak takip edilmesi ve gerekli iyileştirmelerin yapılmasıdır.
Kayıt ve Raporlama (Recording and Reporting): Risklere ilişkin bilgilerin sistematik olarak kayıt altına alınması ve ilgili paydaşlara sunulmasıdır.
Kaynaklar
Bozkurt, C. (2016). RİSK, KURUMSAL RİSK YÖNETİMİ VE İÇ DENETİM. Denetişim, 4, 17-30. https://izlik.org/JA65BZ58UJ
T.C. Hazine ve Maliye Bakanlığı. (2024). Kamu kurumsal risk yönetimi rehberi. https://ms.hmb.gov.tr/uploads/2024/04/Kamu-Kurumsal-Risk-Yonetimi-Rehberi-2024.pdf
Akçakanat, Ö. (2012). Kurumsal risk yönetimi ve kurumsal risk yönetim süreci. Süleyman Demirel Üniversitesi Vizyoner Dergisi, 4(7), 30–46. https://dergipark.org.tr/en/download/article-file/213930
Kara, S., & Sakarya, Ş. (2012). KURUMSAL RİSK YÖNETİMİ ÇERÇEVESİNDE RİSK ODAKLI İÇ DENETİM VE İMKB UYGULAMASI. Journal of Accounting and Taxation Studies, 5(1), 69-96. https://izlik.org/JA46GG34ZR
Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2004). Enterprise risk management-Integrated framework.
International Organization for Standardization. (2018). ISO 31000: Risk management-Guidelines. ISO.
Goodman, R. (2005). The ascent of risk: risk and the Guide to the project management body of knowledge (PMBOK guide), 1987-1996-2000-2004. Paper presented at PMI® Global Congress 2005—Asia Pacific, Singapore. Newtown Square, PA: Project Management Institute.