Ana Temalar ve Önemli Fikirler/Olgular 1. Riskin Tanımı ve Temel Bileşenleri Risk, literatürde farklı tanımlarla ifade edilse de, temel olarak iki ana bileşenin birleşimi olarak açıklanmaktadır: olasılık (veya frekans) ve istenmeyen bir sonucun etkisi (veya etki). Temel Tanım: "İstenmeyen bir sonucun olasılığı." Olasılık (Probability): Kantitatif bir gösterim (örn. %60, %70). Örn: "Potansiyel etki 1.000.000 $ ise ve bu riskin belirli bir zaman diliminde (örn. bir yıl) gerçekleşme olasılığı %60 ise, risk 1.000.000 $ x %60 = 600.000 $ olarak hesaplanır." İhtimal (Likelihood): Kalitatif bir gösterim (örn. olası, şiddetli, olası değil). Risklerin önceliklendirilmesine yardımcı olur. Etki (Impact): İstenmeyen sonucun büyüklüğü veya şiddeti. Kişiler için ölüm, yaralanma, mutsuzluk; tüzel kişiler için pazar payı kaybı, karlılıkta düşüş, iflas, itibar kaybı gibi sonuçlar olabilir. Karmaşık Tanım (COSO): "Olayların meydana gelme ve strateji ile iş hedeflerinin başarısını etkileme olasılığı." Bu tanım, "kayıp" kavramını aşarak fırsat maliyetleri, kaçırılan fırsatlar ve tatmin edici olmayan performanslar gibi daha geniş istenmeyen sonuçları içerir. Risk, bu bağlamda, "hedeflere ulaşılamama olasılığı" olarak yeniden tanımlanır. Risk Faktörleri ve Güvenlik Açığı: Risk faktörleri (örn. kötü beslenme, kirlilik, ekonomik durgunluk, zayıf kurumsal yönetim) bir varlık veya bireyin kırılganlık derecesini yansıtır. Risk, bu risk faktörlerine karşı duyarlılığın bir ölçüsüdür. Hız ve Süre: Riskin temel bileşenleri olan etki ve olasılığa ek olarak, hız (speed) ve süre (duration) de risk değerlendirmesinde dikkate alınması gereken önemli unsurlardır. Hız: Riskin ne kadar hızlı yayıldığını veya etkili hale geldiğini ifade eder (örn. Coronavirus'ün Wuhan'dan Avrupa'ya yayılma hızı). Bu, çeviklik ile ilgilidir. Süre: Riskin ne kadar süre devam ettiğini veya etkili kaldığını ifade eder (örn. Coronavirus pandemisinin Avrupa'da iki yıldan fazla sürmesi). Bu, dayanıklılık ile ilgilidir. Risk ve Fırsat İlişkisi: Fırsat, arzu edilen sonuçlara ulaşma olasılığıdır. Risk ve fırsat birbirine bağlıdır. "Fırsatları gerçekleştirmek için risklerle yüzleşmeye istekliyiz." Risk alma davranışı, potansiyel faydalar arttıkça risk seviyesinin de yükselmesiyle açıklanır. Yatırımcılar, yüksek riskli enstrümanlardan daha yüksek getiri talep ederler. "Hiçbir Şey Yapmamak Risk İçermez" Mitinin Çürütülmesi: "Hiçbir şey yapmamak" da bir alternatiftir ve fırsat maliyeti yaratır. Nakit tutmak bile, potansiyel alternatif getirilerden vazgeçmeyi ve fiziksel güvenlik riskini içerir. Bireysel çabalarla yönetilemeyen veya kontrol dışı riskler için "hiçbir şey yapmamak" bir seçenek olabilir. 2. Risk Türleri COSO KRY modeline göre hedefler stratejik, operasyonel, uyum ve raporlama olmak üzere dört kategoriye ayrıldığından, ana risk kategorileri de buna paralel olarak tanımlanabilir. Kitap, bu genel kategorizasyonun ötesine geçerek daha spesifik risk türlerini detaylandırmaktadır: Kredi Riskleri: Bir borçlunun kredi geri ödememe veya sözleşmeye dayalı yükümlülüklerini yerine getirememe olasılığından kaynaklanan kayıp riski. Karşı Taraf Riski: Bir işlemin taraflarından birinin sözleşmeye dayalı yükümlülüğünü yerine getirmeme olasılığı. Konsantrasyon Riski: Bir bankanın sağlığını tehdit edecek veya çekirdek operasyonlarını sürdürme yeteneğini bozacak kadar büyük kayıplara yol açabilecek tek bir maruziyet veya maruziyet grubu riski. Takas Riski (Settlement Risk): Ödemeler eş zamanlı olarak değiş tokuş edilmediğinde ortaya çıkan risk (örn. döviz işlemlerinde). Ülke Riski: Belirli bir ülkeye yatırım yapmaktan kaynaklanan politik, ekonomik vb. faktörlerden kaynaklanan belirsizlik. Varlık-Yükümlülük Riskleri (Piyasa Riski): Piyasa fiyatlarındaki olumsuz hareketlerden kaynaklanan bilanço içi ve dışı pozisyonlardaki kayıp riski. Döviz Kuru (FX) Riski: Döviz kurlarındaki dalgalanmalardan kaynaklanan risk (örn. şirketin EURO varlıkları veya borçları olduğunda). Faiz Oranı Riski: Faiz oranlarındaki dalgalanmalardan kaynaklanan bankanın maruziyeti (örn. varlıkların vadesi yükümlülüklerden uzun olduğunda veya faiz oranları farklı olduğunda). Likidite Riski: Bir işletmenin finansal taahhütlerini zamanında karşılayacak yeterli nakde sahip olmama riski. Özellikle şirket başarısızlıklarının önde gelen nedeni olarak vurgulanır (örn. Silicon Valley Bank örneği). Operasyonel Riskler: Yetersiz veya başarısız iç süreçler, insanlar ve sistemlerden veya dış olaylardan kaynaklanan doğrudan veya dolaylı kayıp riski (Basel Bankacılık Denetim Komitesi tanımı). Örnekler: İnsan hataları ("fat finger" olayı), sistem arızaları (Lloyds Banking Group), dolandırıcılık (Revolut), yasalara ve düzenlemelere uymama (Meta'ya verilen cezalar), felaket olayları (Texas LNG tesisi yangını). Çeşitli risk kategorilerini içerir: Uyum riskleri, çevresel riskler, toplumsal riskler, ekonomik riskler, itibar riskleri, iş sürekliliği riskleri, dolandırıcılık riskleri ve IT riskleri. Stratejik Riskler: Stratejik niyetin ve bunun ne kadar iyi uygulandığının içindeki belirsizlikler ve kullanılmayan fırsatlar. Operasyonel risklere göre daha derin ve kalıcı sonuçları olan daha önemli kararlardan kaynaklanır (örn. başarısız bir birleşme ve satın alma, yanlış üniversite veya meslek seçimi). Raporlama Riskleri: Bilgiye ihtiyaç duyan kişilerin mevcut durum veya performans hakkında doğru, eksiksiz, zamanında, ilgili ve güvenilir bir şekilde bilgilendirilmemesi durumu. Küresel Riskler (WEF): World Economic Forum (WEF) tarafından tanımlanan küresel riskler, global GSYİH, nüfus veya doğal kaynaklar üzerinde olumsuz etkileri olabilecek olaylardır (örn. iklim değişikliğinin azaltılamaması, doğal afetler, siber suçlar, jeoekonomik çatışma). 3. Risk Yönetimi Risk yönetimi, riskleri tanımlama, değerlendirme ve bunlara yanıt verme sürecidir. 3.1. Geleneksel Risk Yönetimi Üç adımlı bir süreçtir: Tanımlama: Potansiyel risklerin belirlenmesi ve tanımlanması. Yöntemler: SWOT analizi, beyin fırtınası, süreç/risk sahipleriyle görüşmeler, veri analizi, senaryo analizi, kıyaslama. Değerlendirme: Risklerin etki ve olasılık açısından ölçülmesi (Risk = Olasılık x Etki). Risk matrisleri ve/veya risk haritaları kullanılır. Hız ve süre gibi ek bileşenler de dikkate alınmalıdır. Geçmiş verilere körü körüne güvenmek sorunlu olabilir. Yanıt: Risklerin gerçekleşmeden önce ele alınması. Kontrollerin Uygulanması: Potansiyel olumsuz sonuçların seviyesini azaltmak için tasarlanmış faaliyetler. Etkiyi, frekansı veya her ikisini de düşürebilir. İçsel Risk (Inherent Risk): Herhangi bir kontrol faaliyeti uygulanmadan önceki risk seviyesi. Kalıntı Risk (Residual Risk): Bir kontrolün uygulanmasından sonra kalan risk seviyesi. Kontrol Etkinliği: Uygulanan bir kontrol sonrası risk seviyesindeki azalma. Kontrol Türleri: Tespit edici (yangın alarmı), önleyici (kapı kilidi), düzeltici (sigorta). Riskin Kabulü: Risk seviyesini değiştirmemek. Riskli Faaliyetin Durdurulması: İşin durdurulması. Riskin Transferi/Paylaşılması: Sigorta veya korunma (hedging) yoluyla riski üçüncü bir tarafa aktarmak. Düşük olasılıklı, yüksek etkili olaylar için önemlidir. Maliyet-Fayda Analizi: Geleneksel risk yönetiminde, bir kontrolün uygulanmasından beklenen getiri maliyetinden yüksekse, kontrol uygulanmalıdır. Aksi takdirde, risk kabul edilebilir veya riskli faaliyet durdurulabilir. 3.2. Kurumsal Risk Yönetimi (KRY) Geleneksel risk yönetiminden daha kapsamlı bir yaklaşımdır. Riskleri bireysel düzeyde değil, kurumsal düzeyde, bütünsel bir yaklaşımla ele alır. Geleneksel ile KRY Karşılaştırması:Odak Noktası: Geleneksel (bireysel riskler, kayıpları önleme) vs. KRY (bütünsel yaklaşım, iş hedeflerine ulaşma, riskleri ve fırsatları optimize etme). Verimlilik: KRY, portföy görünümü sayesinde kaynak tahsisinde daha fazla verimlilik sağlar. Risk Optimizasyonu: KRY'nin temel avantajlarından biridir; hem riskleri hem de fırsatları analiz eder. Portföy Görünümü: KRY'de, riskler ayrı ayrı değil, bir bütün olarak, bir portföy olarak ele alınır. Bu, toplu risk seviyesinin belirlenmesine ve risk iştahı doğrultusunda optimize edilmesine olanak tanır. Örnek olarak, bir şirketin toplam risk seviyesini belirlenen bir hedefin altına düşürmek için hangi kontrollerin uygulanacağına portföy bakış açısıyla karar verilmesi, bireysel risk bazında karar vermekten daha maliyet etkin olabilir. "Verilen tüm bireysel risk iyileştirme eylemleri olsa bile, toplu risk seviyesinin istenen seviyeye düşürülemediği bir durumda, KRY'de yönetim, işin hala beklenenden daha riskli olduğunu fark edecek ve riskli iş süreçlerini durdurma gibi ek bir eylemi düşünebilir." 3.3. COSO Kurumsal Risk Yönetimi (KRY) Modeli COSO KRY çerçevesi, 2004'teki ilk sürümünden sonra 2017'de güncellenmiştir. Şirketlerin paydaşlarına değer sunarken kaçınılmaz olarak bazı risklerle karşılaştığını ve risklerin strateji ile iş hedeflerinin başarısını etkilediğini vurgular. Temel Fikirler: Yönetim, kabul edilebilir risk seviyesini (risk iştahı) belirlemelidir. KRY uygulamaları, şirketlerin riskleri belirlemesine, önceliklendirmesine ve bunlara odaklanmasına yardımcı olur. KRY, kuruluşun kültürü, yetenekleri ve uygulamalarıyla iç içe geçmiş, strateji belirleme ve performans yönetimine entegre edilmiştir. KRY, yönetimin değer ile risk iştahını uyumlu hale getiren bir strateji seçmesine yardımcı olur. Beş Bileşen ve Yirmi İlke (2017 COSO Çerçevesi): Yönetişim ve Kültür: Yönetim kurulu risk denetimi yapar, işletme yapılarını kurar, istenen kültürü tanımlar, temel değerlere bağlılık gösterir, yetenekli bireyleri çeker, geliştirir ve elde tutar. Strateji ve Hedef Belirleme: İş bağlamını analiz eder, risk iştahını tanımlar, alternatif stratejileri değerlendirir, iş hedeflerini formüle eder. Performans: Riskleri belirler, riskin ciddiyetini değerlendirir, riskleri önceliklendirir, risk yanıtlarını uygular, portföy görünümünü geliştirir. İnceleme ve Revizyon: Önemli değişiklikleri değerlendirir, riski ve performansı gözden geçirir, KRY'de iyileştirme peşinde koşar. Bilgi, İletişim ve Raporlama: Bilgi ve teknolojiden yararlanır, risk bilgilerini iletir, risk, kültür ve performans hakkında raporlama yapar. 4. Bir Risk Yöneticisinin Rolü (Yunus Emre Özlem'in Görüşleri) Allianz Türkiye Risk Yönetimi Başkanı Yunus Emre Özlem'in belirttiği gibi, risk yöneticisi, organizasyonun istikrarının ve dayanıklılığının koruyucusu olarak hizmet eder. Bu rol, bir dizi ilgili süreç aracılığıyla yerine getirilir: Risk Tanımlama: Finansal, operasyonel, stratejik, uyum ve itibar riskleri dahil olmak üzere potansiyel riskleri sistematik olarak tanımlamak ve kategorize etmek. Risk Değerlendirme: Senaryo analizi ve stres testi gibi çeşitli analitik araçlar ve metodolojiler kullanarak bu risklerin olasılığını ve potansiyel etkisini değerlendirmek. Risk Azaltma: Belirlenen risklere maruziyeti en aza indirmek için risk azaltma stratejileri ve eylem planları geliştirmek ve uygulamak. İzleme ve Raporlama: Sürekli izleme ve ortaya çıkan risklere dikkat etmek, üst yönetime ve yönetim kuruluna düzenli raporlar sunarak bilgilendirilmiş karar alma sürecini desteklemek. Risk yöneticiliği mesleği, sürekli entelektüel uyarım, iş performansı üzerinde doğrudan etki, dinamik kariyer büyüme fırsatları ve küresel geçerlilik sunar. Bu rolü üstlenmek için güçlü analitik ve iletişim becerileri, finansal bilgi, sektör bilgisi ve düzenleyici uzmanlık gereklidir. Sonuç Dr. Gürol Baloğlu'nun "Kurumsal Risk Yönetimi" kitabı, risk kavramını temelden ele alarak, çeşitli risk türlerini detaylandırıyor ve geleneksel risk yönetimi ile kurumsal risk yönetimi (KRY) arasındaki temel farkları net bir şekilde ortaya koyuyor. Kitap, özellikle COSO KRY modelinin bileşenlerini ve ilkelerini derinlemesine inceleyerek, modern kurumsal dünyada risk yönetiminin bütünsel ve stratejik önemini vurguluyor. Yunus Emre Özlem'in katkıları ise bir risk yöneticisinin pratik rolünü ve bu alandaki kariyer fırsatlarını aydınlatıyor. Sonuç olarak, risk yönetimi artık sadece kayıpları önlemeye odaklanan bir işlev olmaktan çıkmış, iş hedeflerine ulaşmayı ve rekabet avantajı elde etmeyi destekleyen, fırsatları optimize eden stratejik bir araç haline gelmiştir. Bu dönüşüm, şirketlerin ayakta kalması ve sürdürülebilir büyüme sağlaması için KRY'yi vazgeçilmez kılmaktadır. ... Devamını Oku