Artık Risk Nedir?

Tartışma forumlarında bu soruyla karşılaşma sıklığı, artık risk teriminin çoğu uzman tarafından hâlâ yanlış anlaşıldığını açıkça ortaya koyuyor. Bu nedenle idari müdür ve direktörlerin en azından kafalarının karışmış olduğunu ya da bir ihtimal, farklı risk değerlendirme safhalarının olduğunun hiç de farkında olmadıklarını varsayabiliriz.

Risk kelimesinin tanımıyla ilgili bir tartışmaya girmeyeceğim. Riskin tanımı geçtiğimiz yıllar boyunca kapsamlı olarak tartışıldı. Bu yüzden ben, her bir kişinin riskin ne olduğu hakkındaki görüşlerini kabullenerek yazıya devam edeceğim. Bu şekilde, risk bağlamında artık kelimesinin önemine odaklanabilirim.

Artık risk, ISO 27001 ve ISO 31000’de “risk işlemeden sonra geride kalan risk“ olarak tanımlanır. COSO’nun Kurumsal Risk Yönetimi (ERM) – Bütünleştirilmiş Çerçeve Programı (2004), bunun yönetimin riske karşı müdahalesinden sonra arda kalan risk olduğunu ifade eder. COSO Bütünleştirilmiş İç Kontrol Çerçeve Programı (2013) ise bunu hedefler kapsamında, “Yönetim müdahaleleri geliştirilip uygulandıktan sonra hedeflerin yerine getirilmesine yönelik olarak arda kalan risk” olarak tanımlar. Hedefleri bu konunun dışında tutmayı ve bu terimi aşağıda belirteceğim şekilde tanımlamayı tercih etsem de bahsi geçen tüm bu tanımlar şu an için en çok kullanılan resmi tanımlardır.

Artık Riskin Tanımı

Artık risk, iç kontroller uygulanıp gözlemlendikten ve bulguların etkisi gözden geçirildikten sonraki değiştirilmiş risktir.

Artık riski tanımladıktan sonra, gelin bir de bunu değiştirmeden önce neye sahip olduğumuza bakalım. Buna değerlendirme riski demeyi tercih ediyorum çünkü bu, böylesi bir iş için yeterince nitelikli biri tarafından yapılan değerlendirmeyi izleyen risk seviyesidir. Bu biri uzman bir risk müdürü, baş denetçi ya da bir idari müdür bile olabilir. Bu değerlendirme içerisindeki yöntemler ve karışıklık derecesi, değerlendirme (ya da doğal risk) riskinin önemini değiştirmez. Önemli olan riskin belirlenmesi ve yönetimi memnun edecek şekilde sorumlulukla incelenmesidir.

Her ne kadar ben değerlendirme riski terimini tercih etsem de incelenmiş risk, değerlendirilmiş risk ve ilk risk gibi terimleri de içeren alternatifler bulunmaktadır ancak muhtemelen kullanılan en popüler terim doğal risktir. COSO ERM, doğal riski ya riskin ihtimalini ya da etkisini değiştirmek için yönetimin gerçekleştirebileceği eylemlerin yokluğu olarak tanımlar. ISO 31000 ise hiçbir yerde ‘doğal risk’ten bahsetmez ancak onun yerine düz, basit riski kullanır. Bu ise benim sevdiğim tanımlama şekli:

Doğal Riskin Tanımı

Doğal risk, riski yönetmek adına herhangi bir adım atılmadan önceki risk seviyesidir. (Risk Değerlendirme sonucu)

Artık Risk = Doğal Risk Olduğunda

İlk etapta bir riski değerlendirdiğinizde doğal riski değerlendiriyor oluyorsunuz fakat bu aşamada artık riskin doğal riske eşit olduğuna dikkat çekmek önemlidir. Artık risk ilerleyen zamanda değişebilir ya da aynı kalabilir. Eğer riski yönetir ya da onarırsak, umarım artık riski daha da azaltmak için ileri seviyedeki değerlendirmelere ulaşmış olacağız.

Risk İhtimali ve Sonucu

Doğal risk, artık risk ya da risk değerlendirmenin herhangi bir diğer aşamasından bahsetseniz de risk değerlendirme tabii ki birçok ögeden oluşur. Belki de en yaygın yapı, her bir riski ihtimal (ya da olasılık) ölçüsü ve sonuç (ya da etki ya da zarar ya da maliyet) ölçüsü olarak ayırmaktır. Bu ikisinin ortaya koyduğu ürün, bileşik bir değer ortaya koyar. (Risk ciddiyeti ya da seviyesi) kafa karıştıracak şekilde, ciddiyet bazen etkinin eş anlamlısı olarak kullanılır ancak bu konuştuğunuz kişiye göre değişir. Bu nedenle, bizim bahsedeceğimiz doğal risk, bir doğal risk ihtimali ve bir doğal risk sonucundan oluşmaktadır. Bazı risk inceleme yöntemlerinde, maruziyet ve sıklık gibi ek içerikler de ele alınmaktadır ancak karışıklık olmaması için biz sadece bu ikisiyle devam edelim.

Peki, Risk Yönetimimiz Ne Kadar İyi Çalışıyor?

Şu an elimizde ihtimal ve sonuç için doğal ve artık risk değerleri (ya da ilk ve değiştirilmiş risk) bulunuyor ama yine de bir şey eksik durumda – artık riskin kabul edilebilir olup olmadığını belirlemek için bir ölçü. Aslında bu, risk yönetim etkinliğimizin ne kadar iyi çalıştığının ölçüsüdür.

Bizler doğal olarak riski yönetmenin (ya da iyileştirmenin) öyle ya da böyle riski azaltmak için uyguladığımız bir girişim olduğunu varsayabiliriz. Bu genellikle doğru olmasına rağmen, durum her zaman böyle olmayabilir. Örneğin; oldukça tolere edilebilir bir riske sahip olabiliriz ancak yine de onu yönetmeyi seçeriz ve böylece durum ileride istenmeyen seviyelere ulaşmaz. Aynı zamanda, belli bir noktadan sonra bazı riskleri azaltmak maddi açıdan uygulanabilir olmayabilir. Bu da beni değerlendirilmiş risk verisinin üçüncü parçasına götürüyor: ‘Tolere Edilebilir Risk’ ya da ‘Kabul Edilebilir Risk’.

Tolere Edilebilir Risk

Tolere edilebilir risk, kabul edilebilir sayılan risk seviyesidir.

Artık Risk Örneği

Doğal, tolere edilebilir ve artık risk değerleri ile bunların risk yönetiminde bize nasıl yardımcı olacağını örneklendirmek için gelin basit bir senaryoyu inceleyelim:

1. Riski tanımladınız: Çalışanların art niyetli hareket etmesi
2. Mevcut risk durumunu incelediniz. Değerlendirmenizde, 1’in en düşük ve 5’in en yüksek değer olduğu 1 ile 5 arasındaki sayıları içeren metodoloji üzerinden mevcut ya da doğal risk ihtimali 3 (orta) çıktı. Değerlendirmenize göre böyle bir olay olması durumunda sonuç, 1-5 arası benzer bir metodolojiye göre 4 (yüksek) olacaktır. Yani,

• Doğal risk ihtimali = 3 (orta)
• Doğal risk sonucu = 4 (yüksek)

Yukarıda bahsedilen artık risk tartışmasından hareketle, henüz riski yönetmek adına hiçbir şey yapmadık. Bu nedenle, şu an için:

• Artık risk ihtimali = 3 (orta)
• Artık risk sonucu = 4 (yüksek)

3. Risk ihtimalini değiştirebilir misiniz? Değiştirebileceğinizi ve aklınızda bunu başarmanızı sağlayacak bazı kontrollerin olduğunu varsayalım. Hedeflenecek en makul hedef nedir? Hadi diyelim ki 1 (çok düşük)’den başka hiçbir ihtimal yönetiminiz için kabul edilebilir değil. Bu yüzden tolere edilebilir risk ihtimalinin 1 olduğunu açıkça belirtmelisiniz. Bu noktada size düşen, artık risk ihtimalini 3’ten 1’e düşürmektir. Peki, risk sonucunu değiştirebilir misiniz? Bu örneğin amacına ulaşması için diyelim ki, böyle bir risk gerçekleşirse neden olacağı etkiyi ya da zararı azaltacak uygulanabilir bir yol göremiyorsunuz. Bu durumda riski yönetmenin nitelikli bir yolu, tolere edilebilir sonucu doğal sonuca eşit olacak şekilde indirgemektir. Bu yüzden,

• Tolere edilebilir risk ihtimali = 1 (çok düşük)
• Tolere edilebilir risk sonucu = 4 (yüksek) [bu hoşunuza gitmeyebilir ancak bunu tolere etmekten başka bir seçeneğiniz yok çünkü bunu değiştiremeyeceğinize karar vermiştiniz.]

4. İç kontrolleri uyguladınız. Bu sizin risk yönetim etkinliğiniz ya da onarımınızdır. Bana kalırsa sadece kontrolleri uygulamak yeterli değildir; aynı zamanda bunların kuruluş içinde istediğiniz şekilde benimsendiğini doğrulamak için gözlem yapmanız ve bunların ne kadar iyi çalıştığını değerlendirmeniz de gerekir. Benim fikrimin haricinde birçok insan kontrollerin yürürlükte olduğunu tasdik etmenin yeterince iyi olduğu yaklaşımını benimser.
5. Belli bir zaman sonra, eklediğiniz (ve, eğer bu yaklaşımı benimsemişseniz, gözlemlediğiniz) kontroller ışığında risk ihtimalini değerlendirdiniz. Belki birtakım eylemler planladınız ama henüz tamamını uygulamadınız. Mesela, çalışanlar arasındaki iş ilişkilerini geliştirmek için sosyal aktivitelere başladınız ama çalışan kuralları ve yönetmelikleri kılavuzunu hâlâ güncellemediniz. Bu ‘onarım’dan sonra, riski tekrar değerlendirdiniz. İşte bu size artık risk ihtimalini sunar.
6. Diyelim ki kontrolleri değerlendirdiniz, bu kontroller ışığında riski tekrar gözden geçirdiniz ve sonra çalışanların kötü niyetle hareket etme ihtimalinin 3 (orta)’dan 2 (düşük)’ye düştüğü sonucuna ulaştınız. Bu açık bir ilerlemedir ve idari yönetim ile kurul bundan mutlu olacaktır. Ancak bu durum bir şeyi daha ortaya koyar ki risk seviyesi hâlâ yönetimin tolere etmeye hazırlandığı seviye olarak belirlediğiniz düzeye ulaşmadı. Evet 2, 3’ten daha iyidir fakat hâlâ 1 kadar değil. Yani, tolere edilebilir risk ihtimaline hâlâ erişilemedi. Unutmayın, tolere edilebilir risk sonucuna daha ilk etapta ‘ulaşılmış’tı.
7. 6 ay sonra, bir başka değerlendirmede bulundunuz ve çalışan kuralları ve yönetmelikleri kılavuzunun güncellendiğini, dağıtıldığını ve işçilerin sosyal aktivitelerinin gayet iyi gittiğini saptadınız. Eğer mevcut incelemeniz, çalışanların kötü niyetle hareket etme ihtimalinin 1 (çok düşük) olduğunu gösteriyorsa o zaman önceden belirlediğiniz tolere edilebilir seviyeye ulaşmışsınız demektir. Riskin kontrol altında olduğunu duyurabilirsiniz. Artık oturup kendinize bir çay ısmarlayabilirsiniz J

Bu basit bir örnekti. Doğal risk için yapılacak değişiklikler gibi daha başka hususlar da bulunmaktadır. Doğal risk yürürlükteki kontrollerden bağımsız değişebilir. Bir diğer soru da, doğal risk değerlendirmelerinin önceden yürürlüğe konmuş ‘eski’ kontrollerin etkisini içerip içermemesi gerektiğidir. Ancak bu konuyu başka bir zamana bırakıyorum…