Risk yönetimi zaten proaktif bir yaklaşım, bu nasıl soru mu dediniz? Gelin birlikte bakalım.

Proaktif kelime anlamıyla, riski öngörmek suretiyle harekete geçmek demek. Ancak bu, uygulamada, tariflendiği kadar kolay değil. Onlarca kurumda risk yönetimi sistemi tasarımı yaptım, onlarca risk yönetimi sistemi tasarımı gördüm. Kurgu hepimizin bildiği gibi: Riskleri tanımla, analiz et, önceliklendir, kontrolleri tanımla ve iyileştir. Ancak başarı detaylarda saklı. Olay, bu kurguda yer alan bileşenleri nasıl tanımladığımızla ilgili.

Hiç düşündünüz mü bu aşamaların hepsini tamamlamışken, risk yönetimi sistemi neden çalışmaz? (kağıt üzerinde, excellde kalır?)

Risk yönetimine ilişkin çalışmaların en büyük hayal kırıklığı burada yaşanır. Bu aşamaları tamamlayıp risk envanterlerini oluşturmak aylar sürer. Ancak, hepsi bitip ortaya envanter çıktıktan sonra yol tıkanıverir. Elinizde bu kadar çalışma varken yine reaktif bir yapının içinde bulursunuz kendinizi: Kurum içinde yangın söndürmeler, iç denetimin, bağımsız denetimin, yönetimin vb gerçekleşen risk tespitleri düşer durur önünüze. Geçenlerde bir yönetici bu konuda harika bir tespiti yaptı: ''Dış denetim 3-5 kişi ile her seferinde bu riskleri tespit edebiliyorken, biz kurum içinde yüzlerce kişi nasıl farkedemeden aynı hataları yapıyoruz? Var işte risk envanterlerimiz''

Çünkü; risk verisi üretemiyoruz ve risk envanterleri risk verisi açısından çok zayıf. Bu envanterlere istediğiniz kadar KPI, KRI ekleyin risk verisinin oluşturulması, yorumlanması ve yönetilmesi için yeterli alt yapınız yoksa proaktif bir risk yönetimi sistemi kuramazsınız.

Risk yönetimi kurgusunu yaparken, veriye odaklanmalıyız. Ortaya çıkan veriyi anlamlı şekilde kategorize edecek bir model tasarlayarak, en başından itibaren risk yönetimi sistemindeki her verinin bu düzenli veri sistemine dahil olmasını sağlamalıyız.

Risk senaryosu, tehdit, kayıp taksonomileri, risk seviyesini ölçmek ve önceliklendirmek için kullanılacak hesaplama yöntemleri, risk iştahı ve risk yönetimi stratejilerine ilişkin hesaplama yöntemleri, kontrol faaliyeti taksonomileri, kontrol faaliyeti değerlendirmeye ilişkin hesaplama yöntemleri, risk iyileştirme eylemleri ve hedeflenen risk seviyesini ölçmeye ilişkin hesaplama yöntemleri vb tasarlamak, risk yönetimi sistemine ilişkin çalışmaların temeli olmalı.

Bu temeli doğru şekilde oluşturduğumuzda yönetilebilir risk verisine sahip olmamız mümkün hale geliyor. Elimizde veri olduğunda ise, bu veriyi işleyerek faaliyet yürütme ve karar verme mekanizmalarına dahil edebiliyoruz.

Diğer taraftan, artık ML ve AI teknolojilerini risk yönetimi sistemlerine dahil etmenin vakti geldi. Sorun şu ki; bu sistemler kaliteli risk verisi olmadan çalışamazlar. Henüz çok geç değil, ancak risk verisi üzerinde çalışmaya başlamazsanız kısa biz zaman sonra muhtemelen geç kalmış olacaksınız.

Tekrar düşünelim: Risk Yönetimi Sisteminiz Proaktif Mi?