Risk yönetimi uygulamaları ile ilgili bugünün en önemli sorunu tam olarak bu.

Risklerimizi tanımladık, envanterlerimizi oluşturduk, 3 ayda bir de takip ediyoruz ANCAK, Üst Yönetim, Yönetim Kurulları, Birim Yöneticileri ve çalışanlar için hala Beklenen faydayı sağlayamıyoruz.

1) Risk yönetimi kendi başına, bağımsız çalışarak fayda sağlayabilecek bir görev ya da uygulama değil.

Risk Yönetimini, (dikey ve yatay olarak kurum genelini kapsamasını istiyorsak) süreç bazlı olarak ele almamız gerekir. Eğer hala -en azından- süreç hiyerarşiniz yoksa, Süreç haritasınız oluşturulmamışsa Risk Yönetimi Sisteminiz eksik demektir. Süreç yönetimi Risk Yönetiminin en önemli destekçisidir.

Ancak, burada Süreç Yönetiminin, 'Kalite' değil 'Risk ve Kontrol' perspektifinden ele alınması gerekliliği bilinmelidir.

2) Risk iştahı profesyonel şekilde tanımlanmalı, risk analizleri risk iştahına uyumlandırılmalıdır. Risk Yönetimi Sisteminiz, kurum genelinde tüm uygulamaların, Yönetim Kurulu tarafından belirlenen Risk iştahına uygun yönetildiğine güvence vermelidir. Risk iştahı üzerinde kalan durumlar ve risk iyileştirme planları Yönetim Kuruluna raporlanmalıdır.

3) Risk Yönetimi Sistemi, diğer standartlara ilişkin (kalite, performans, sürdürülebilirlik vb) uygulamalardan güvence almalıdır. Bunun için güçlü entegrasyon gerekir. Bu standartlar Risk Yönetimi açısından "Kontrol faaliyeti" olarak değerlendirilir. Entegrasyon olmadan aradaki güvence bağlantısını kuramazsınız.

4) Risk Yönetimi Sisteminiz manuelse, yani bir otomasyon kullanmıyorsanız; yetersiz demektir. Bir kurumda, bugünün şartlarında Risk Verisinin manuel takip edilmesi imkansızdır. Kurum genelindeki Risk ve Kontrol verisini yeterli büyüklüğe ulaştırabilirmek ve analiz edebilmek için otomasyon şarttır.

5) Risk gerçekleşmelerini, rutin bir faaliyet olarak kurum genelinde takip edebilmelisiniz. Eğer takip edemiyorsanız Risk Yönetimi Sisteminiz yetersizdir. Çünkü hala gerçek dünya ile bağlantı kuramamış demektir.

6) Risk ve Denetim Komiteleriniz yoksa ve aktif olarak çalışmıyorsa, Risk Yönetimi Sisteminiz yetersizdir. Ya Üst Yönetim farkındalığı azdır ya da Üst Yönetime beklenen faydayı sağlayamıyordur. Ki bunlar Risk Yönetimi için olmazsa olmazlarımız. Ancak, burada kurum dışından alınan sektör analizi bilgilerinin kastedilmedigini bilmek gerekir. Yönetim Kurulu, bizzat "kurum risklerini" kurum içinden alarak değerlendirebilmelidir.

Veriye dayalı ve otomasyona entegre bir Risk Yönetimi Sistemi beklenen faydaya götüren yol olacaktır. Dijital dünyada rekabet edebilmek için dijital dünya ihtiyaçlarını okumak, nimetlerinden faydalanmak gerekir.