Büyük gruplar dışındaki şirketlerde “kurumsal risk yönetimi” uygulamalarına ülkemizde maalesef nadiren rastlanmaktadır. Farklı ölçeklerdeki birçok şirket çoğunlukla finans odaklı risk yönetimine ağırlık vermiş durumdadır. Finansal risklerin yönetimi son derece önemli ve günümüz koşullarında da öncelikli bir konudur. Ancak OECD’nin 2014 tarihli “Risk Yönetimi ve Kurumsal Yönetim” konulu raporunda da çok belirgin şekilde vurgulandığı üzere; yalnızca finansal riskleri yöneterek şirketlerin günümüzde risklerden korunabilmeleri ve kurumsal başarıyı sürdürebilmeleri mümkün değildir. 2008 küresel ekonomik krizi dünyadaki finansal risk yönetim sistemine sahip birçok büyük şirketin yetersizliğini açık şekilde ortaya koymuştur. Bir şirketin stratejisi, hedefleri, yönetim katmanları, kültürü, süreçleri, projeleri, planları, operasyonları, çalışanları ve performansı ile bütünleştirilmemiş bir risk yönetim sisteminin günümüz koşullarında bir güvence sağlaması beklenemez.
Çok hızlı ekonomik, sosyal, politik ve teknolojik değişimlerin yaşandığı dünyamızda sürekli artan belirsizlikler her geçen gün karşılaştığımız risklerin sayısını, çeşitliliğini ve karmaşıklığını artırmaktadır ve bu eğilimin artarak devam edeceği beklenmektedir. Artık şirketler de askeri organizasyonlar gibi risk ve tehdit odaklı bir yönetim anlayışını benimsemeye başlamışlardır. Özellikle planlama ve kontrol süreçlerinde risk odaklı yaklaşımların etkisi her geçen gün daha fazla hissedilmektedir. Bugün karşılaştığımız herhangi bir risk farklı alanlardaki risklerden etkilenerek veya bu riskleri tetikleyerek tahmin edilenden daha büyük etkiler yaratma potansiyeline sahiptir.
Savunma sanayi şirketleri, diğer tüm şirketler gibi günümüzdeki temel risklerle karşı karşıyadırlar. Ancak bunun da ötesinde faaliyetlerinin doğası gereği yüksek teknolojiye odaklılık, hassas ürünler, gizlilik, özel yetenekli çalışanların önemi, yasal düzenlemeler, ulusal ve uluslararası ilişkiler gibi etkenler nedeniyle risklere karşı daha hassastırlar. Risklerin iyi yönetilmemesi halinde, savunma sanayi sektöründeki hassasiyetlerin kısa sürede krizlere dönüşme potansiyeli vardır. Bu nedenle risk ve kriz yönetimi, savunma sanayi şirketleri için özel olarak ele alınması gereken süreçlerdir.
Dünya çapında 15 büyük savunma sanayi şirketi üzerinden yapılan bir incelemede, savunma sanayi şirketlerinin karşılaştığı riskler “finansal, operasyonel, düzenlemelere uyum ve stratejik riskler şeklinde gruplandırılmış ve bu gruplandırmaya göre on kritik risk, önem derecesine göre aşağıdaki şekilde sıralanmıştır. (1)
– Jeo-politik ve ekonomik ortamdaki oynaklık (Finansal risk)
– Tedarik zinciri yönetimi (Operasyonel risk)
– İç ve dış pazarda rekabet (Stratejik risk)
– Yetenekli çalışanların elde bulundurulması (Operasyonel risk)
– Kritik sözleşmelerin yerine getirilmesi yeteneği (Operasyonel risk)
– Geniş kapsamlı sınırlamalara ve düzenlemelere uyum (Uyum riski)
– Yenilikçilik kapasitesi (Operasyonel risk)
– Birleşmeler ve ortaklıkların yararlarını göz ardı etmek (Stratejik risk)
– Siber güvenlik tehditlerine açık olmak (Operasyonel risk)
– Döviz kurları ve malzeme ücretlerindeki dalgalanmalar (Finansal risk)
Yukarıda belirtilen riskler oldukça açık ve anlaşılırdır. Bu nedenle her birinin ne ifade ettiğini ayrıntılı şekilde açıklamaya ihtiyaç duyulmamıştır. Burada önemli bir husus; bu risklerin tamamen birbirinden bağımsız değil, aksine tüm kurumsal risklerde olduğu gibi birbirini etkiler nitelikte olduğudur. Örneğin bazı özel yetenekli çalışanların şirketten ayrılmasının; kritik sözleşmelerin yerine getirilmesi yeteneğine ve yenilikçilik kapasitesine olumsuz etki edeceği, gizlilik ihlallerine yol açabileceği, bu durumun ise itibar kaybına ve dolayısı ile de pazar kaybına yol açabileceği görülebilir. İşte tam da bu nedenle risklerin bütünsel bir anlayışla analiz edilmesi ve yönetilmesi gerektiğini bir kez daha vurgulamak gerekiyor.
Diğer yandan stratejik riskler (yukarıda yapılan alıntıda rekabet ve ortaklık konuları stratejik riskler olarak belirlenmiştir) krizlere dönüşme potansiyeli son derece yüksek olan risklerdir. Bu nedenle özel bir şekilde ele alınması ve tepe yönetimi tarafından yakından takip edilmesi gerekir. Ancak yalnızca stratejik riskler krizlere dönüşme potansiyeli taşımaz. Birden fazla risk türünün birbirini tetiklemesi de stratejik sonuçlara ve bir krize yol açabilir.
Risk yönetimin en temel amaçlarından birincisi, risklerin önceden tahmin edilmesi ve olası etkilerinin önlenmesidir. Yukarıdaki sıralamada birinci sırada yer alan “jeo-politik ortamdaki oynaklık” riskini ele alalım. Örneğin; Arap Baharı diye adlandırılan fakat Arap dünyasının felaketi olan süreç, Türk Savunma Sanayinin Ortadoğu pazarında yıldızlaşmasının önünü kesmiştir. Son yıllardaki savunma sanayi sektöründeki ihracat artışları olumlu bir seyir izlemekle birlikte, aslında Ortadoğu’daki çatışmalar neticesinde Türkiye’nin aleyhine değişen jeo-politik ortam bu rakamların çok daha yüksek seviyelere ulaşmasını önlemiştir. Arap Baharı olmasaydı, Türkiye’nin Libya, Tunus, Cezayir, Mısır, Yemen, Irak, Suriye ve Körfez ülkelerine yapacağı ihracat miktarları çok daha yüksek seviyelerde olabilirdi. Tabi ki savunma sanayi sektörünün uluslararası siyasi gelişmeleri şekillendirmesi mümkün değildir. Ancak burada vurgulanmak istenen husus uluslararası gelişmelerden çok etkilenen savunma sanayi sektörünün, kurumsal risk yönetiminin bir unsuru olarak hedef pazarlardaki siyasi, ekonomik ve askeri ortamı en azından birkaç yıl öncesinden öngörebilecek şekilde gerekli sistemlerini oluşturması ve ön alıcı stratejiler geliştirebilmesidir.
Çeşitli kaynaklarda risk türlerinin yönetiminde bazı çözüm önerileri sunulmaktadır. Örneğin yetenekli çalışanların elde bulundurulması için “kurumsal aidiyet, kurumsal kültür ve yetenek yönetimi” gibi İKY uygulamalarının etkinleştirilmesi bir riskin önlenmesinde doğru yaklaşımlardır. Ancak burada daha önemli olan her riskin kendi bağlamında ele alınmasıdır. Bu nedenle öncelikle “kurumsal risk yönetim sisteminin” oluşturulmasına odaklanmak doğru olacaktır. Çünkü çağdaş normlara uygun bir “kurumsal risk yönetim sisteminin” oluşturulması ve işletilmesi; doğru risk analizleri yapılmasını, doğru risk yönetim stratejileri ve planları geliştirilmesini ve bu strateji ve planların etkin şekilde uygulanmasını güvence altına alacaktır.
Kurumsal risk yönetimi; “bir kurumun varlığını sürdürmesi, değerini koruması ve değer yaratması için makul bir güvence sağlamak amacıyla, kurumu, hedeflerini ve operasyonlarını etkileyecek potansiyel risklerin tanımlandığı, değerlendirildiği ve yönetildiği, kurumun tamamında uygulanan sistematik ve bütünsel bir süreç” olarak tanımlanabilir. Kurumsal risk yönetimi bir şirketin faaliyetlerinin kesintisiz devam ettirilmesi, hata ve kayıp maliyetlerinin azaltılması, gelir istikrarının sağlanması, imaj, itibar ve markanın korunması, yasal düzenlemelere uyum, güvenlik ve sağlığın korunması ve daha birçok önemli konuda güvence sağlayan son derece önemli bir mekanizmadır. Risk yönetiminde başarısızlık, kurumsal yönetimde başarısızlık riski yaratır.
Bugün dünyada kabul gören iki önemli uluslararası Kurumsal Risk Yönetimi standardı mevcuttur. Bunlar ISO 31000: 2018 ve COSO 2017 modelleridir. Aralarında bazı farklılıklar olmakla birlikte, her ikisinin de temel anlayış ve ilkeleri risk yönetiminde bütünsel ve kapsamlı bir yaklaşımı öngörmektedir. Aslında her iki standardın aralarındaki farklar her geçen gün azalmakta ve birbirlerine daha fazla yaklaşmaktadırlar. Yasal düzenlemelerde ve “Kamu İç Kontrol Rehberinin” risk yönetimi ile ilgili düzenlemelerinde ağırlıklı olarak COSO etkisi görülmektedir. Ancak özel sektörde, diğer ISO standartlarının yaygın olarak kullanılmasının da etkisiyle, ISO 31000 modelinin daha fazla tercih edildiği bilinmektedir. Türk Ticaret Kanununa göre “pay senetleri borsada işlem gören şirketlere risklerin yönetilmesi amacıyla uzman bir komite kurma yükümlülüğü getirilmiş, diğer şirketlere ise bu yükümlülük denetçinin gerekli görmesi halinde kurulması şeklinde koşullu olarak getirilmiştir.” (2) Türk Ticaret Kanunu düzenlemeleri her ne kadar kurumsal risk yönetimi konusunda belirli yükümlülükler getirmiş olsa da, mevcut düzenlemeler daha ziyade finans odaklıdır ve ağırlıklı olarak da yatırımcıların beklentilerini güvence altına almayı amaçlamaktadır. Dolayısı ile henüz tam anlamıyla bütünsel bir risk yönetim sisteminin ülkemizde yaygınlaşmadığı açıktır. Türkiye Kurumsal Yönetim Derneği ve Türkiye Kalite Derneği (KALDER) gibi ülkemizde yönetim kalitesinin yükseltilmesine yönelik çalışmalar yürüten çeşitli kuruluşlar ise, önerdikleri modellerde bütünsel bir risk yönetiminin önemine dikkat çekmektedirler.
Savunma sanayinde veya savunma sanayi sektöründe risk yönetimi başlığı altında arama yaptığınızda bir istisna dışında maalesef doğrudan Türkçe bir yayına rastlamak mümkün olmamıştır. O istisna yazı ASELSAN tarafından paylaşılmış olan “Riskin Erken Saptanması ve Yönetimi Komitesi Çalışma Yönergesidir.” Bu yönergeden ASELSAN’ın Türk Ticaret Kanunu düzenlemelerine uygun şekilde bir “Risk Yönetim Sistemi” oluşturduğu ve kamuoyu ile özet bilgi paylaştığı görülmektedir. (3) İnternette ASELSAN dışında diğer şirketlere ilişkin risk yönetimi konusunda bilgi bulunmaması, elbette diğer savunma sanayi şirketlerinin kurumsal risk yönetimi sistemi oluşturmadıkları anlamına gelmez. Bazı savunma sanayi şirketlerinde, belki mükemmel olmasa da, çeşitli alanlarda kurumsal risk yönetimi uygulamaları mevcuttur diyebiliriz. Ancak mevcut uygulamaların genellikle proje yönetimi, güvenlik ve finans odaklı bir risk yönetimi olduğunu ifade edebiliriz.
Savunma Sanayi Başkanlığının 2017-2021 Stratejik Planı incelendiğinde; GZFT (SWOT) analizi bölümünde doğal olarak tehditlere yer verilmiştir. Plan formatında yer alan tehditler, risklerin birleşimi olarak kabul edilebilir veya bazen risk kelimesi ile aynı anlamda kullanıldığı da düşünülebilir. Plan içerisinde ise “risk yönetimi” başlığı altında herhangi bir ifade yer almamaktadır. Ancak kurumsal stratejiler arasında yer alan “sürekli gelişim için kurumsallaşmayı destekleyen yönetim sistemlerinin kurulması, etkileşimi ve uygulamaya geçirilmesi sağlanacaktır” ifadesinin dolaylı olarak kurumsallaşmayı destekleyen bir süreç olan “kurumsal risk yönetimini” de kapsamakta olduğu yorumu yapılabilir.
Türkiye’de önemli bir kurumsal yapı olan Savunma ve Havacılık Sanayi İmalatçıları Derneğinin (SASAD) 2017 tarihli ve kamuoyu ile paylaşılan son performans raporuna baktığımızda da, risk ve risk yönetimi ile ilgili hususlara yer verilmediği görülmektedir.
Yukarıda bahsedilen üç örnekten savunma sanayi sektöründe risk yönetimine henüz yeterince önem verilmediği sonucu çıkarılabilir. Ancak son dönemde bazı savunma sanayi şirketlerinin kurumsal gelişim uygulamaları kapsamında risk ve kriz yönetimine ilişkin eğitimlere de yer vermeye başlamaları, yeterli olmasa da bu yönde atılan olumlu adımlar olarak değerlendirilmelidir.
Risklere karşı son derece hassas bir sektör olan savunma sanayi sektöründeki kurumlar ve şirketlerin “kurumsal risk yönetiminde bütünsel ve sistematik bir risk yönetimi” yaklaşımını benimsemeleri ve bu konuda bir irade ortaya koymaları tavsiye edilmektedir. Kurumsal risk yönetimi sisteminin oluşturulmasında, COSO veya ISO modeli temel alınarak ilgili kurum veya şirkete özgü bir “kurumsal risk yönetim çerçevesi” tasarlanabilir. Daha sonra da, risk yönetimi örgütlenmesi ve risk yönetimi süreci ayrıntılı şekilde oluşturularak işlevsel hale getirilebilir.
(1) Sandipan Maiti, Top Ten Risks in Aerospace & Defense, Report, Earnst & Young, Building A Better World, https://www.ey.com/Publication/vwLUAssets/ey-top-10-risks-in-aerospace-and-defense/%24File/ey-top-10-risks-in-a&d.pdf, 07 Nisan 2019
(2) Türk Ticaret Kanunu, Madde 378
(3) Riskin Erken Saptanması ve Yönetimi Komitesi Çalışma Yönergesi, https://www.aselsan.com.tr/tr-tr/yatirimci-iliskileri/kurumsal-yonetim/yonetim-kurulu komiteleri/Documents, 05 Nisan 2019

