Şirket risk yönetimi: 6 aşamayla başlayın

Şirket risk yönetiminin ihtirasından yıldınız mı? İşte ŞRY (Şirket Risk Yönetimi: ERM)’nin ticari değere kavuşturulmasında dosdoğru bir uygulama.

Diyelim ki şirketinizin resmi bir “Şirket Risk Yönetim Programı” (Enterprise risk management program) yok. Büyük bir şirkette iseniz, ŞRY’silolar (ambar, depo), durgun dönemlerden ve başka birçok sebeplerden dolayı yıldırıcı olabilir. Eğer küçük bir şirkette iseniz, eksik kaynakların işi kotarmanızı engellediği düşüncesine sahip olabilirsiniz.

ŞRY yapılmasını tavsiye ederim ve “sonucu aklınızdan çıkarmadan” başlarsanız, karmaşık olması gerekmez. Bunu Stephen Covey’de “Başarılı İnsanların 7 Alışkanlığı” kitabında (Güvenlik liderleri için de aynısı gerekmelidir.) belirtmiştir. Ayrıca CSO’da: Güvenliğe örnekli kılavuz (ALSO ON CSO: The Illustrated Guide to Security )

Düşüncelerimin temeli COSO’nun ŞRY sistemine (COSO's ERM framework) dayanmaktadır. (Link Yönetsel özet pdf’ine gitmektedir.) ŞRY çalışmalarınıza başlarken aklınızda tutmanız gereken sonuç bu noktada öne çıkar ve COSO çalışmasından alıntılanmıştır:

Yaratmanız gereken

* Bir süreçtir (işlemdir)

* Strateji düzenine uygun olmalıdır.

* Ticaretin ulaşmak istediği amaçlara ulaşmak için yapılmalıdır.

COSO’ya göre şirket risk yönetiminin hedefi “tüzel kuruluşun amacını elde etmek üzere makul güvenceler sağlamaktır”. Tercümesi ise: Amaç ticareti sağlamak olmalıdır. Bu güvenlik departmanının hedefi olmalı ve CEO bunu bilmelidir. Bu sebeple COSO’nun formülasyonunu beğeniyorum. Konu tamamıyla iş ile alakalıdır ve müteşebbisin (organizasyonun) hedeflerine ulaşmasını sağlamak için çalışmaktasınızdır.

Also see 'Enterprise risk management: All systems go'

(Bkn. Şirket Risk Yönetimi: Tüm sistemler devrede olmalı)

İşte strateji düzenine uyarlanabilecek bir süreci planlama ve ince ayarını yapmaya başlarken size yardımcı olabilecek bir egzersiz. Bu, org şeması uygulaması gerektirmez. Bu sadece bir başlangıçtır ama anında sonuç verir ve yolda ilerlerken daha resmi olan çabalarınıza destek sağlamanıza yardımcı olur. Bu egzersiz (süreç) altı aşamadan oluşur. İç tahkikatları (internal investigations), bu altı aşamayı uyarlayacağımız ilk iş faaliyeti olarak seçelim. Bu başlangıç egzersizi için uyarlanmış, COSO’nun ŞRYnin yedi bileşeni bu altı aşamaya dayanmaktadır.

Aşama 1: İç tahkikatta (İç Saldırgan: Insider) rol alan her departmandan bir temsilciyi içerecek bir çalışma grubu oluşturun. İK, Güvenlik, IT Güvenlik, Tesis Yönetimi, Muhasebe ve Hukuk Departmanlarını içerebilir.

Aşama 2: İç tahkikatta şirket için risk oluşturabilecek senaryolar üzerinde beyin fırtınası gerçekleştirin. Bu faaliyetler her departmandaki potansiyel şiddet şüphelileri ve bilgi sızıntılarını içerebilir.

Aşama 3: Riskleri olasılık ve etki bağlamı üzerine önemliden önemsize doğru sıralayın. Her ne kadar bu aşama yeni ölçümler toplama (gather new metrics ) güdüsü doğursa da bu aşamada hem işiniz hem de dış dünyada karşılaştırma amaçlı tam ve kesin olma gereksizdir.

Aşama 4: Denetimler ve çözümler için mevcut denetimleri listeleyiniz. Departmanlar arası uygulamalarda gereğinden fazla tekrarlara bakın. Riskleri belirlemek için yenilikleri beyin fırtınasına tabi tutun. Maliyete, Zorluğa ve Etkinliğe dayalı yeni denetimleri sıraya sokun: özellikle değişik tipteki olayların olasılık ve etki bakımından indirgenebileceği denetimleri ele alın. Şanslıysanız, bir yeni denetime ödeme yaparak sadece mevcut denetimlerin gereksizlerini kaldırabilirsiniz.

Aşama 5: Her bir yüksek öncelikli denetim için uygun bir sorumlu personel atayın.

Aşama 6: Çalışma grubunuzun içinde veya dışında, ölçümlemeleri paylaşmak ve her bir yeni denetimi ölçümleme için bir yöntem bulun. Bu aşamada çok resmi olup bürokraside tıkamayın. Sonuca odaklı olun: Ticari hedefleri mümkün kılın. Basitleştirmeler sağlayın. Gelişme gösterin. İç tahkikatları etkinleştirirken, riski azaltın.

Şimdi bu 6 aşama sürecini yeni takımlar kurarak aşağıdaki konularda da tekrarlayabilirsiniz:

* İş sürekliliği ve Afet kurtarma business continuity and disaster recovery

* Entelektüel ürün koruma intellectual property protection

* Ve Marka koruma brand protection.

Tabiki tüm bu alanlar değişik takım üyeleri gerektirecektir.

İşe spesifik değer katan bu konularda –5 ve 6. aşamaların ortaya koyacağı sonuçlar – departmanlar arası iletişim ve koordinasyonun sonucu olacaktır. Güvenlik departmanı finans, pazarlama ve diğer gruplarla daha fazla ve iyi iletişim kurar olacaktır. Daha önce de belirtildiği gibi, bu iletişim şirketinizin rekabet avantajının temelini (form the basis for competitive advantage for your company.) oluşturacaktır.

 

Başarı hevesli hedefler mi?

Evet, fakat ilk aşamalar devasa yapıda olmamalıdır. Umarız ki bu 6 aşama egzersizi size bir başlangıç noktası olacaktır.

 

Jeff Spivey, Şirket Risk Yönetimi üzerine

Eski ASIS başkanı, daha çağdaş risk modellemesi üzerine hızla artan bir hareketi açıklamaktadır. (Gelecekteki Güvenlik Kehanetleri serisinin bir bölümü)

Güvenlik “reaktif” olarak sınıflandırıldığında, ŞRY (ERM: Şirket risk yönetimi) gibi resmi risk yönetim metodoloji ve süreçleri en kritik girişim şekli olarak ortaya çıkar. Jeff Spivey çok gelişmiş organizasyonel modellerin ŞRY konusunda iş dünyasının konuyu hızla benimseyebilmesi hakkında iyimserdir.

Güvenlik Risk Yönetimi A.Ş.’nin çalışanı Spivey, ASIS Uluslararası Güvenlik Derneği’nin önceki başkanıdır. Kendisi bu günlerde ASIS’in Şirket Güvenlik Risk Yönetim Birliği (AESRM: Alliance for Enterprise Security Risk Management)’nin öncülüğünü yapmakta, bu işte fiziksel güvenlik, bilgi güvenliği ve bilgi sistemleri denetimi konularını geçmişte temsil eden dernekçe kurulmuş işbirliği çabalarına önayak olmaktadır.

 

CSO: Öncelikle bize şirket risk yönetiminin tanımını yapar mısınız?

Jeff Spivey: Ben ŞRY’ni bir ticari kuruluş veya hükümetin maruz kalabileceği tüm risklerin bütünsel görünümü olarak değerlendiririm.

Bu sadece operasyonel riskleri mi içerir, yoksa yatırım riskini de içine alır mı?

Bir organizasyonun karşılaşabileceği operasyonel risk, marka riski, mali riskler… gibi tüm riskleri.

Maalesef olan şu ki; güvenlik mikroskobundan baktığımızda bir şirketin güvenlik riski haricinde, operasyonel risk de dahil olmak üzere başka birçok risklerinin de olduğunu anlamıyor ve bundan geri kalmıyoruz. ŞRY için bütünsellikten bahsediyorsak risk yönetiminin tümünü içerdiğinden emin olmak zorundayız. Aksi takdirde açık vermiş oluruz.

 

Son birkaç yıldır veya az fazlasında risk yönetiminin paylaşımsızlığının kaldırılmasında (removing risk management stovepipes ) çok yol aldık; Bu süreçte ne aşamadayız? Gelecek sene neler olacak?

CFO’lar ve diğer şirket yöneticileri bugün kendi kredi değerlendirmelerinin, riski nasıl ele aldıklarına ve ŞRY’lerinin ne kadar olgunlaştırdıklarına dayandığını anlıyorlar. Bence bu durum ŞRY’ni daha ileri götüren kuvvetlendirici faktör olacak.

Düşünceme göre şirket risk yönetiminin önemi bugün daha anlaşılır. Bakınız ki;

2007’de raporlar, tam anlamıyla yürürlüğe konmuş ŞRY kullanacak şirketlerin sayısı %12 veya az fazlası olacağını göstermektedir. 2009’da bazı raporlar bu rakamın %20’ye ulaşacağını tahmin ettirmektedir. Hatta ben, biraz cesurca bir tahminle, ŞRY’nin benimsenme ve olgunlaştırmasında %30 veya az fazlası bir rakamın oluşacağını ileri sürmekteyim.

 

Geriye kalan %70 nedir?

Anlayışsızlık. Şirketler hala kullanılan bazı terminolojilerden şaşkın. “Şirket Risk Yönetimi’ni duydukları zaman “Risk Müdürümüz var, biz bu işi ele aldık.” diyorlar. Fakat aslında eski geleneksel yaklaşımı sergiliyorlar. Yani Sigorta satın alarak riski transfer ediyorlar. Aslında risk belirleme veya bazı talep (şikâyet) analizi yapabilme içinde olabilmeliler, yine de full ŞRY konseptini gerçekten bilmiyorlar.

Gelecek yıl bu durumdan, stratejik anlamdaki risk yönetimine geçecekler. Risk hakkında daha fazla data toplayacak, biriktirecek, analiz edecek ve yönetecekler. Hatta, tüm bu görüşme konusu itibariyle, şirketlerde paylaşılmayan bilgi unsurları fazlalaşacak.

 

Sigorta poliçelerinden bahsettiniz. Sigorta risk yönetimcileri ile güvenlik risk yöneticilerinin iletişimi nasıldır?

Şirket Güvenlik Risk Yönetim Birliği (AESRM) Risk ve Sigorta Yönetim Cemiyeti (RIMS) Yönetim Kuruluna bir sunum yaptı. Öncelikle biz onları birliğe davet ettik, bu konu değerlendirmede. Fakat müzakerelerden sonra birçok insan tam da aradığımız şey – risk tiplerini ve değişik ele alış modellerini daha fazla anlamalıyız demeye başladı. Bu girişim büyük alkış alıyor.

Bu noktada birtakım gelişmeler var. Şirket Güvenliği Risk Yönetim Birliği,

Böylece bir girişim başladı. Eksik olan şey müzakerenin yapısı – ve bu tip müzakerelerde bir yol (yöntem) bulunmadığından, birliğin yol olmasını umuyoruz. ŞRYni ve Güvenliğin ŞRYindeki rolünü anlayanlar diğerlerinden daha zeki değildir; onlar sadece diğer birimlerle konuşan ve bunu geniş perspektifte biraz daha iyi anlayanlardır. (iletişim!)

Şirket Risk Yönetimi müzakerelerinde Uluslararası Mahremiyet Profesyonelleri Derneği (IAPP: International Association of Privacy Professionals) ve Akredite Sahtecilik Müfettişleri (CFE) Derneği (ACFE: Association of Certified Fraud Examiners)’nin… kritik rol oynayacağını tahmin edersiniz.

Bence onlar da eklenebilir. Günün sonunda iki şey olacaktır. Organizasyonların içinden bütünsel bakışa sahip üstün niteliklere sahip kimseler ortaya çıkacak fakat yinede müzakereler için bir yapıya ihtiyaç duyacaklardır. Şükür ki, müzakerelerde fikirleri olgunlaştırmak için sosyal medya, wiki(s) ve diğer teknolojilerle teknolojik çağa giriyoruz. Bu fikirler belli ve alakalı bazı şirketler ya da endüstrilerden çıkabilir.

 

Diyelim ki ben, ŞRY yolundan çok ta uzak olmayan bir şirketin CSO’suyum. CEO’nun desteğini almak için bir değerlendirme sunumu, ifade veya etkin bir karşılaştırma var mı?

Yönettikleri riskler için bütçeyi aşmak. Çünkü buna organizasyonlarındaki birimlerle yaklaşıyorlar. Bu sebeple sadece belirledikleri risklere fazla para harcamakla kalmıyor, birimler arasındaki ayrılıklardan doğan muhtemel kayıplara da maruz kalıyorlar. Etkin değiller.

Üstümüze gelen ekonomik zorlukların büyümesi konuşabilmeyi önemli kılıyor. Fikrimce şirketler bu günlerde;

Verimsizliği değiştirebilirler. Ama bunun olması için kültürde, şirket içi, hükümet içi, sektör içi anlayışta büyük değişimler gerekir.

Bunu yapmak, şirketlerde birimler arası paylaşımsızlığı kırmak ve müzakereyi devam ettirmek girişimi için Devlet Güvenliği Departmanı kurulmasını (the creation of the Department of Homeland Security (DHS) ) tartışabilirsiniz. Tabi ki her şeyin bir kritiği yapılabilir fakat DHSnin amacını yerine getiremediği geniş biçimde değerlendiriliyor gözüküyor. En azından henüz değil.

ŞRYnin daha az hiyerarşi ve daha fazla süreç entegrasyonu ile alakalı olduğu fikri yanlısıyım. Bunun için komuta kontrol yapısının ve DHSde veya başka hükümet gruplarında, hatta büyük iş yerlerinde var olabilecek muhtemel paylaşımsızlıklar bu süreç entegrasyonunu engelleyen şeydir.

DHS veya büyük şirketlerde herhangi bir bürokrasi – ki ben bürokrasiyi beş kişiden fazla her grup için tanımlarım – bir sürü kural ve kaidelerle işinizi yapmanızı engeller.

Değer kazandırıcı sunuma geri dönecek olursak, sunum şudur: “Patron, riski indirgeyecek, paramızı daha iyi harcayacağız ve sizden ilk ihtiyacım olan şey bir komisyon kurmanız ve bu grubun risk listeleri tespit etmeye başlaması olacaktır.

CEO ve CFO nun doğal olarak fikri anlayacaktır; cevabın ne olabileceğini henüz bilmeseler bile. Bunun için ilk aşama riskin belirlenmesi ve sonrasında hep birlikte önceliklendirilmesidir.

Ancak bundan sonar bu riskleri birçok şekilde de olsa yönetebilirsiniz. Riskle başa çıkmanın beş yolu vardır. Bunu REITA olarak hatırlıyorum. Riski; İndirgeyebilir, Görmezlikten gelebilir, Elimine edebilir, Transfer edebilir veya Kabul edebilirsiniz. Her bir risk bunlardan biri veya birkaçı ile ele alınabilir.

Olan başka bir olgu da Şirket Risk Yönetimi’nin yönetim kurulu seviyesinde çok dikkat çekiyor olmasıdır. Sarbanes-Oxley (Public Company Accounting Reform and Investor Protection Act: Kamu şirketleri Hesap Reformu ve Yatırımcı koruma Kanunu) oluşturulduğunda yönetim kurulu üyeleri riski anlamamaktan sorumlu olacaklarını algıladılar. Yönetim kurullarında riski anlama ve yönetme konusunda bir dürtü artık oluştu. Akabinde Avrupa’da bazı yönetim kurullarının riski kontrol etmeyi kendi seviyelerinde üstlendiklerini duydum. Onlarda üstlenme C-Suite (İdare Kurulu) üzerinde bile değil. Bu yaklaşımın burada; ABD’de, gerçekten işe yarayıp yaramayacağını bilmiyorum.