Kritik risk göstergesi konusu, kurumsal yönetim ilkelerini tanımlayan standartlara giriş yaptıkça, dikkatleri üzerine toplayan konulardan biri. Diğer taraftan, günümüz dinamikleri, kurumlar için risk yönetimini her geçen gün daha fazla ihtiyaç duyulur hale getiriyor ve bu ihtiyaç, riski yönetmek için farklı araç ve tekniklere olan yeni ihtiyaçları ortaya çıkarıyor.

Risk yönetimine olan ilgilinin son iki yılda giderek artıyor olması yıllardır bu alanda çalışan bir uzman olarak, benim için oldukça sevindirici. Riski yönetme ihtiyacı ve isteği, kurumsallaşmayı tetikleyen, kültür değişimi sürecine ivme kazandıran bir güç çünkü.

Diğer taraftan, her zaman söylediğim gibi, risk yönetimi alanında yoğun risk terminolojisi içinde kaybolmak çok olası. Ancak risk yönetimi, maalesef kaybolmakla zaman kaybetmek, denemek ve yanılmak için çok uygun bir alan değil, özellikle günümüzde. Son 15 yılda bu konuya hakkıyla yatırım yapan kurumlar, bolca zamana ve deneme yanılma hakkına sahiptiler. Bu zamanı ve hakkı harika değerlendirdiler, bugün meyvelerini topluyorlar.

Gelelim KRI lara...

KRI kavramı ile en çok karıştırılan kavram Kritik Performans Göstergeleri: KPI' lar. KRI' ı anlamak için ise, KPI' dan başlamak gerekiyor. 

KPI, hedefleri sayısal olarak izlemeye yarayan bir araç. Bir hedef için sayısal olarak hangi sürede, hangi aşamaya gelmeyi hedeflediğimizi tanımlar. 

Örneğin/1 yılda 1000 yeni müşteri kazanmak istiyorsunuz. 3' er aylık eşit hedefler belirlediniz diyelim. İlk 3 ayın sonunda 250 müşteri hedefine ulaştıysanız, işler yolundadır. Ulaşamadıysanız, sorunun nerede olduğunu bulup, iyileştirmeler yapmanız ve bir sonraki 3 aylık dönemde hedefine ulaşmış olmayı beklemeniz gerekir.

KRI, lar ise, ‘’sorunun nerede olduğu’’ kısmı ile ilgilidir. 

Yukarıda ki hedef için, sorun nerede? Sosyal medya içerikleri, crm sistemi, müşteri iletişimi, insan kaynağı, doğrudan pazarlama, web sitesi, hedef kitle... Yoksa daha başta ürün pazar uyumu ile ilgili bir yerlerde mi? İş planlarınız mı hatalıydı yoksa?... 

Sorunun en derindeki kaynağına ulaşmanız ne kadar mümkün olur ve ne kadar sürer sizce?

KRI' lar riskle ilgilidir. KRI yönetimi süreci, oldukça meşakkatli bir alt yapı gerektirir. Adım adım bakalım:

• Strateji belirleme sürecinde risk değerlendirmesi yapılmış olmalı, strateji riskleri tanımlı şekilde elde olmalı
• Strateji belirleme sürecinden gelen hedefler ve bu hedeflerin ölçülebilir KPI' ları tanımlanmış olmalı.
• Hedeflere ilişkin riskler tanımlanmış olmalı.
• Hedeflerle iş süreçleri ilişkilendirilmiş olmalı
• Süreç riskleri tanımlanmış olmalı
• Süreçler, riskler ve kontroller arasındaki etkileşimler tanımlanmış olmalı.

Şimdi KRI belirleyebilirsiniz. 

Hangi riskler, KPI ları olumsuz etkiler ve bu risklerin gerçekleştiğini nasıl anlarım sorunun cevabı KRI izlemelerindedir.

KRI lar değerlidir. Çünkü, riskler genellikle tek başlarına hedefleri etkilemez ve krizleri tetiklemezler. Ancak etkileşimli olarak bir araya geldiklerinde beklenmedik olumsuz durumlara sebep olabilirler. 

Risk yönetiminden 'sorun nerede?' sorusunun cevabını almak için ise, kök nedenlerin son noktasına kadar gidip, alternatif kayıp durumlarını analiz edebilen ve alternatif; ‘’tehdit + risk + kayıp’’ senaryolarını okuyabilen bir risk yönetime sistemine sahip olmalısınız. 

Bu nedenle de takdir edersiniz ki, strateji seviyesini etkileyecek bir KRI' ın arkasında izlenmesi gereken birden fazla veri olacaktır. 

KRI' lar stratejilere bağlı süreç risklerinin neler olduğunun ve hangilerinin, hedefi hangi oranda etkileyeceğinin belirlenmesi ile bu risklere ilişkin verilerin toplanması ve anlamlı şekilde bir araya getirilmesi sonucu oluşturulurlar. 

Diğer taraftan, KRI lar için varsa süreç KPI ları da veri olarak kullanılabilecektir. Örneğin, bir süreçte KPI lara ulaşılamaması KRI olarak tanımlanabilir. Ancak sorunu tespit etmek ve aksiyon almak için KPI' ın arkasında yine bir KRI' ya gidebilmelisiniz.

Özetle, süreç yönetimi, performans yönetimi kurumsal risk yönetimi, iç kontrol ve veri yönetimi sistemleriniz güçlü değilse, gerçekten işe yarayacak KRI lar belirlemek mümkün olmayacaktır. 

E bu kadar konu bir araya geldiğinde, dijital olgunluğu da sorgulamadan olmaz tabi: Böylesi bir sistemi yönetecek GRC teknolojileriniz, iş zekası teknolojileriniz var mı?

Dış göstergelere dayanan (özellikle finansal olanlar), KRI lar belirlemek kolaydır. Ancak, risk, genellikle içeride bir yol bulduğunda kuruma zarar verebilir hale gelir. Bu nedenle, risk yönetimi ve iç kontrol sistemleri; iç dünya, dış dünya ve stratejiyi güvenli şekilde uyumlandırmak üzere vardır. Dolayısıyla, operasyonel göstergeleriniz olmadan, KRI larınızı aslında şansa bırakmışsındır. Günün sonunda ise, kurullarda, komitelerde dikkat kesildiğiniz ve size güven veren harika grafiklerin anlamsızlığı ile karşılaşabilirsiniz.

Risk yönetimi 'Sistem' işidir. Bu sistem, iyi bir strateji ve iyi bir metodoloji gerektirir. Lütfen dönüp bir bakın, ‘’Risk yönetimi, kurumunuzda gerçekten bir sistem mi? İyi bir strateji ve iyi bir metodoloji üzerine mi kurulu?’’ 

KRI lar ileri düzey risk yönetimi araçlarıdır, iyi bir risk yönetimi olgunluk seviyesi gerektirirler. Eğer olgunluk seviyeniz yeterli değilse ve KRI larınız olsun istiyorsanız, yine belirleyin ancak LÜTFEN güvenmeyin. Güvenmeyin ki, stratejinizi ve metodolojinizi iyileştirmek için yol almaya devam edebilin; süreç yönetimi, performans yönetimi, risk yönetimi ve iç kontrol sistemlerine yatırım yapmaya devam edebilin. Bu yatırımlar, güvence seviyenizi her geçen gün yukarıya taşımaya destek olacaktır emin olun.