Riskleri Yönetmede Başarısızlık, Krizleri Yönetmek Zorunda Bırakır

 

“RİSKLERİ YÖNETMEDE BAŞARISIZLIK, KRİZLERİ YÖNETMEK ZORUNDA BIRAKIR”

Büyük gruplar dışındaki şirketlerde “kurumsal risk yönetimi” uygulamalarına ülkemizde maalesef nadiren rastlanmaktadır. Farklı ölçeklerdeki birçok şirket çoğunlukla finans odaklı risk yönetimine ağırlık vermiş durumdadır. Finansal risklerin yönetimi son derece önemli ve günümüz koşullarında da öncelikli bir konudur. Ancak OECD’nin 2014 tarihli “Risk Yönetimi ve Kurumsal Yönetim” konulu raporunda da çok belirgin şekilde vurgulandığı üzere; yalnızca finansal riskleri yöneterek şirketlerin günümüzde risklerden korunabilmeleri ve kurumsal başarıyı sürdürebilmeleri mümkün değildir. 2008 küresel ekonomik krizi dünyadaki finansal risk yönetim sistemine sahip birçok büyük şirketin yetersizliğini açık şekilde ortaya koymuştur. Bir şirketin stratejisi, hedefleri, yönetim katmanları, kültürü, süreçleri, projeleri, planları, operasyonları, çalışanları ve performansı ile bütünleştirilmemiş bir risk yönetim sisteminin günümüz koşullarında bir güvence sağlaması beklenemez.

Çok hızlı ekonomik, sosyal, politik ve teknolojik değişimlerin yaşandığı dünyamızda sürekli artan belirsizlikler her geçen gün karşılaştığımız risklerin sayısını, çeşitliliğini ve karmaşıklığını artırmaktadır ve bu eğilimin artarak devam edeceği beklenmektedir. Artık şirketler de askeri organizasyonlar gibi risk ve tehdit odaklı bir yönetim anlayışını benimsemeye başlamışlardır. Özelikle planlama ve kontrol süreçlerinde risk odaklı yaklaşımların etkisi her geçen gün daha fazla hissedilmektedir. Bugün karşılaştığımız herhangi bir risk farklı alanlardaki risklerden etkilenerek veya bu riskleri tetikleyerek tahmin edilenden daha büyük etkiler yaratma potansiyeline sahiptir. 2010 yılında Meksika Körfezindeki BP sondaj kuyusunda teknik güvenlik standartlarındaki risklerin ihmal edilmesi nedeniyle meydana gelen patlamayı ve sonrasında 200 kilometrelik bir sahil şeridinin petrolle kaplanmasını hatırlarsınız. Patlamanın hemen sonrasında BP CEO’su Tony Howard’ın “okyanusun büyüklüğüne göre sızıntı küçük, çevreyi bizden daha çok kirletenler var ve sorunla mücadele için gerekli teçhizata sahip değiliz” şeklindeki ilk açıklamalarına tepki olarak sosyal medya üzerinden tüm dünyada BP ürünlerine karşı bir boykot başlatılmış ve sadece CEO’nun yaptığı açıklamanın bedeli BP için milyarlarca dolara mal olmuştur.

Kurumsal risk yönetimi; “bir kurumun varlığını sürdürmesi, değerini koruması ve değer yaratması için makul bir güvence sağlamak amacıyla, kurumu, hedeflerini ve operasyonlarını etkileyecek potansiyel risklerin tanımlandığı, değerlendirildiği ve yönetildiği, kurumun tamamında uygulanan sistematik ve bütünsel bir süreç” olarak tanımlanabilir. Kurumsal risk yönetimi bir şirketin faaliyetlerinin kesintisiz devam ettirilmesi, hata ve kayıp maliyetlerinin azaltılması, gelir istikrarının sağlanması, imaj, itibar ve markanın korunması, yasal düzenlemelere uyum, güvenlik ve sağlığın korunması ve daha birçok önemli konuda güvence sağlayan son derece önemli bir mekanizmadır.

Bugün dünyada kabul gören iki önemli uluslararası Kurumsal Risk Yönetimi standardı mevcuttur. Bunlar ISO 31000: 2018 ve COSO 2017 modelleridir. Aralarında bazı farklılıklar olmakla birlikte, her ikisinin de temel anlayış ve ilkeleri risk yönetiminde bütünsel ve kapsamlı bir yaklaşımı öngörmektedir. Aslında her iki standardın aralarındaki farklar her geçen gün azalmakta ve birbirlerine daha fazla yaklaşmaktadırlar. Sürekli her alanda yüksek risklerle karşı karşıya olan ülkemizde henüz kendimize has milli bir “Risk Yönetimi Modeli” geliştirilmemiş olması önemli bir eksikliktir. Yasal düzenlemelerde ve “Kamu İç Kontrol Rehberinin” risk yönetimi ile ilgili düzenlemelerinde ağırlıklı olarak COSO etkisi görülmektedir. Ancak özel sektörde, diğer ISO standartlarının yaygın olarak kullanılmasının da etkisiyle, ISO 31000 modelinin daha fazla tercih edildiği bilinmektedir. Ancak yıllık faaliyet raporlarından gerek kamuda gerekse özel sektörde ISO ve COSO sistemlerinin yeterince anlaşılamadığı ve oluşturulan sistemlerde hala mali kontrol odaklı anlayışın etkileri görülmektedir.

Risk yönetiminde başarısızlık, kurumsal yönetimde başarısızlık riski yaratır. Ancak şirketlerimiz bütçe kısıtlamaları nedeniyle bir kurumsal risk yönetim sistemi kurmaktan kaçınmaktadırlar. Kısa vadedeki maliyetlerden kaçınmanın, aslında orta ve uzun dönemde daha büyük maliyetlere neden olacağı unutulmamalıdır. Maalesef başta KOBİ’ler olmak üzere şirketlerimizin çoğunun risklere ve krizlere dayanıklılığı oldukça düşüktür. Dolayısı ile ekonomik dalgalanmalarda binlerce şirket iflas etmektedir. İflas edenler arasında ulusal ölçekte faaliyet gösteren tanınmış şirketlere de rastlanmaktadır. Bu iflaslar kaynakların israf edilmesine, birçok kişinin işsiz kalmasına ve ağır sosyal sorunlara neden olmaktadır. İflasların mali ve finansal nedenlere dayandığı düşüncesi esasında buzdağının görünen kısmıdır. Esas nedenler ise buzdağının altındaki kurumsal yönetim sorunları ve eksiklikleridir. Türk Ticaret Kanununa göre “pay senetleri borsada işlem gören şirketlere getirilen risklerin yönetilmesi amacıyla uzman bir komite kurma yükümlülüğü, diğer şirketlere denetçinin gerekli görmesi halinde kurulması şeklinde koşullu olarak getirilmiştir. [1] Borsada işlem görmeyen belirli büyüklükteki şirketlerin kurumsal risk yönetimi sistemini oluşturmaları esasen kendi çıkarları gereğidir ve yasal yükümlülük koşullarına bakılmaksızın yerine getirmelerinde yarar vardır. Türkiye Kurumsal Yönetim Derneğinin Aile Şirketleri Yönetim Rehberinde şirketler beş kategoriye ayrılmıştır. Çalışanlarının yalnızca aile bireylerinin olduğu birinci kategorideki şirketler dışındaki diğer tüm kategorilerdeki şirketlerde risk yönetimi uygulanması ve üçüncü kategori olan aile içi ve aile dışından birçok kişinin pay sahibi olduğu yapıdaki şirketlerden itibaren de risk yönetimi sistemi kurulması bir gereklilik olarak ortaya konmuştur. [2]

Özelikle stratejik riskler günümüzde çok kısa sürede krizlere evrilebilmektedir. Şirketler açısından kriz ise bir yaşam savaşıdır. Kriz yönetimi konusunda ISO veya benzeri kuruluşların önerdiği standartlar yoktur. Genellikle devletler, uluslararası kuruluşlar ve büyük şirketler kendi ihtiyaçlarına özgü kriz yönetimi sistemleri oluşturmaktadırlar. Ülkemizde kamuda ve özel sektörde kriz yönetimi alanında bilgi düzeyi ve yapısal düzenlemeler bakımından önemli eksiklikler olduğu görülmektedir. Büyük şirketler krizleri de risk yönetimi sistemi ile yönetebilecekleri şeklinde maalesef yanlış bir kanı içerisindedirler. Risk ve kriz yönetimi aynı işlevi yerine getiren sistemler değildir, ancak birbirlerini tamamlayan sistemlerdir. Krizler çoğunlukla risk yönetimindeki başarısızlık sonucu ortaya çıkar. Ancak bazen de, güncel bir örnek olan NISSAN vakasında olduğu gibi öngörülemeyen ve kontrol edilemeyen iç ve dış çevredeki çeşitli gelişmeler sonucunda ortaya çıkar. Geçtiğimiz günlerde gelirlerinin büyük kısmı hakkında vergi beyanında bulunmayan ve şirket imkânları ile şahsi amaçlarına yönelik usulsüzlükler yapan NISSAN CEO’su Carlos Ghosn büyük bir krize yol açarak NISSAN’dan kovulmuştur. Bu olayın Nissan-Mitsubishi-Renault ortaklığının geleceği hakkında çeşitli belirsizliklere yol açacağı, olayın yalnızca bir CEO meselesi olmadığı, Japonya’nın bu ortaklıkta Renault’un Nissan ve Mitsubishi'den daha fazla söz sahibi olmasına son vermek istediği gibi yorumlar yapılmıştır. Renault hisselerinin %13 ve Nissan hisselerinin %10 değer kaybettiği görülmüş ve zararın ne kadar büyüyeceği henüz tahmin edilememektedir.

Her ne kadar genişleyen risk yönetimi anlayışı krizlerin önlenmesini içerse de; bir risk yönetim sistemi tek başına krizlerin başarıyla yönetilmesini garanti edemez. Risk “bir kurumun varlığını, değerini, hedeflerini ve operasyonlarını etkileyecek, her türlü belirsizlik faktörünün gerçekleşme ve beklenenden sapma yaratma olasılığıdır”. Kriz ise; ortamda meydana gelen değişim sonucu; bir sistemin rutin işleyişini sekteye uğratan, sistemin temel yapısına, değerlerine, düzenine ve amaçlarına yönelik yüksek derecede tehdit oluşturan, zaman baskısı ve yüksek belirsizlik altında kritik kararlar alınmasını gerektiren, gelişmeler üzerinde kontrolün azaldığı istikrarsız bir durumdur.” [3]

Tanımlardan da anlaşılacağı üzere kriz olağanüstü bir dönemdir ve kriz yönetimi de bu olağanüstü dönemin yönetilmesidir. Kriz yönetimindeki kriz öncesi dönem, risk ve kriz yönetiminin kesişim alanlarından oluşur. Krize yol açma potansiyeline sahip risklerin (özellikle stratejik riskler) tanımlanması, bu risklerin izlenmesi ve krize dönüşmesinin önlenmesi risk ve kriz yönetimi süreçlerinin ortak faaliyetleridir. Risklerin bir krize evrilme olasılığının baş göstermesi ile kriz yönetimi süreci aktive edilir ve krizin ortaya çıkması ile de süreç kriz yönetiminin kontrolüne geçer. Kontrolün ve yeniden istikrarın sağlanması ile kriz sona erer, ancak kriz yönetimi devam eder. Kriz yönetimi kriz sonrasında hasar ve kayıpların onarımı ve yeniden yapılanmanın tamamlanması ile nihayete erer. Risk yönetimi ise kesintisiz işleyen bir süreç olarak tüm aşamalarda kriz yönetimini destekler.  

Günümüzde kriz yönetimindeki yeni yaklaşım kapsamlı yaklaşım olarak isimlendirilmektedir. Bu yaklaşım disiplinler arası, bütünleşik ve paydaşlarla işbirliğini öngören bir yaklaşımdır. Disiplinler arası olması krizlerin siyasi, ekonomik, sosyal, güvenlik, teknolojik, iletişim, altyapı vb., tüm boyutlarla ele alınmasına işaret etmektedir. Bütünleşiklik ise kriz öncesi, kriz dönemi ve kriz sonrası dönemlerin bir arada düşünülmesinin yanında kriz yönetiminin de risk yönetiminde olduğu gibi kurumun stratejisi, yapısı, süreçleri, kültürü, plan ve programları ve uygulamaları ile bütün olarak tasarlanmasını ve işletilmesini ifade etmektedir. Günümüzde genellikle kurumların ve şirketlerin yalnızca kendi kapasiteleri ile krizleri yönetemeyecekleri, dolayısı ile mutlaka paydaşları ile işbirliği yapılması gerektiği düşüncesi de kapsamlı yaklaşımın üçüncü unsurudur.

Kriz yönetiminde mevcut yapıya eklemlenecek kriz yönetimi takımı, kriz yönetim merkezi ve her krize özgü özel çalışma gruplarından oluşan bir yapılanmaya ihtiyaç duyulur. Kurumsal risk yönetimi yapılanması, bazı uyarlamalarla ve ilave düzenlemelerle bir kriz yönetimi yapılanmasına dönüştürülebilir. Kriz yönetimindeki en büyük güçlüklerden birisi yüksek zaman baskısı ve belirsizlik altında önemli kararların verilmesine olan ihtiyaçtır. Kararlar stratejilere ve planlara dönüştürülür, planlar uygulamaya geçirilir, uygulama sonuçları ve birçok yeni gelişme kesintisiz izlenir ve sürekli yapılan değerlendirmelerle yeni kararlar alınarak bu döngü devam ettirilir. Gelişmeler planlarda ve uygulamalarda sık değişiklikler gerektirebilir. Bir savaşın yönetimi gibi son derece dinamik olan bu ortamın yönetilmesi yüksek tempoda bir iletişim, bilgi yönetimi ve karar sisteminin işleyişini gerektirir. Kriz yönetiminde liderlik, etkili iç ve dış iletişim, kurumsal kültür hayati derecede önemlidir. Önceden oluşturulmamış, çeşitli senaryolara göre hazırlığı yapılmamış ve eğitimlerle denenmemiş bir sistemin gerçek bir kriz durumunda başarılı olması ancak tesadüfî olarak yorumlanabilir.

Kısa bir süre önce kaybettiğimiz değerli ekonomi profesörü Güngör Uras’ın deyimiyle “denizleri teknelerle aşamazsınız”. Büyük kaynaklarla ve umutlarla kurulan şirketlerimizin dünyaya açılabilmeleri için tam anlamıyla kurumsal yönetim ilke ve yöntemlerini uygulamaları gerekmektedir. Şirketlerimizin varlığını istikrarlı bir şekilde sürdürmesi, değerini koruması ve değer yaratması için de iç kontrol sistemi ile birlikte kurumsal yönetimin önemli bir güvence unsuru olan kurumsal risk yönetimi sistemini oluşturmaları ve kurumsal risk yönetimi sistemini kriz yönetimi sistemi ile tamamlamaları bugün kaçınılmaz bir ihtiyaçtır.

 

Ufuk URAS

KalDer Üyesi

Stratejik Yönetim Danışmanı

Qualis Grande İş Çözümleri ve Danışmanlık Hizmetleri


[1] Türk Ticaret Kanunu, Madde 378

[2] Türkiye Kurumsal Yönetim Derneğinin Aile Şirketleri Yönetim Rehberi, Sayfa 34

[3] Ufuk Uras, Kriz Yönetimi, Trend Yayınevi, 2017