Patika Bağımlılığı

Patika Bağımlılığı

Bir önceki yazımda dijitalizasyonla birlikte değişen risk perspektifinden bahsetmiş, operasyonel riskin nasıl klasik risk yönetim metodolojisini saracağından, şimdilik altı olan alt grupların onlara ulaşacağından bahsetmiştim. Her ne kadar genel olarak operasyonel risk desek de aslında değişimdeki esas pay siber riskten gelmekte. Çünkü sigorta ve reasürans dünyası başka hiçbir branşta (LoB – Line of Business) önümüzdeki üç yıl içerisinde %200’ü aşacak (10 milyar dolardan 22 milyar dolara) bir artış öngörmemekte. Ancak sigortacılığın her alanında olduğu gibi bu alanda da biz iktisatçıların ve risk yöneticilerinin yakından tanıdığı, müthiş bir patika bağımlılığı (path dependency) söz konusu.

Patika nerde? Para nerde?

Patika bağımlılığı; bireylerin, grupların veya toplumların belli faaliyetlerinde yaptıkları tercihlerin bir sonraki yönelimlerini koşullaması ve hareket alanlarını kayda değer şekilde sınırlaması anlamına gelir. Patika bağımlılığının risk yönetimiyle ilgisini doktoram sırasında davranışsal iktisat çalışmaya başladığımda fark etmiştim. Sonrasında bu ikiliye sigorta ve reasürans sektörlerini de ekleyince ortaya harika bir ‘birbirinden beslenen yapı’ ortaya çıkmıştı. Bu üçlü yapıdaki en belirgin pay ise hiç şüphesiz reasürans sektörünün. Çünkü patikanın yönüne de genişliğine de, sigortacıların bu bilinmeyen siber risk denizinde ne kadar ileriye gidebileceğine de, ne kadar derine inebileceğine de karar veren her zaman olduğu gibi yine reasürörler. Peki bu nasıl oluyor?

Canım Değer Zincirim

Sigorta değer zincirinin her adımını ayrı ayrı seviyorum, birbirinden ayırt edilemeyecek kadar önemliler benim gözümde (1. Product/Service Development, 2. Marketing and Sales, 3. Policy Administration, 4. Claims/Benefits Management, 5. Asset Management). Ancak iki büyük hata içermekte. Ben değer zincirini düzenleyecek olsam öncelikle reasürans fonksiyonunu ikincil faaliyetler (secondary activities) yerine ürün ve hizmet geliştirme fonksiyonunun taa en başına koyardım. Bu perspektifle, web sitemin başlığında (www.zeynepstefan.com) yazan ‘Insurers are the ones who really build a city. Without insurers, there would be no skyscrapers’ (Şehirleri gerçek anlamda sigortacılar inşa ederler. Sigortasız bina yapamazsınız) lafını da aslında reasürörler için söylerdim. Önce reasürörler sigortacıları ortaya çıkarır, sonra sigortacılar şehirleri. Reasürör olduğu için sigortacı mevcut. Benim gözümde pek yumurta tavuk gibi de değil üstelik, belirleyici üstünlük her zaman reasürörlerde.   

Değer zincirinde tespit ettiğim ikinci hata ise yine ikincil faaliyetlerde, şirket altyapısı içerisinde, mali işler ve bilgi işlem fonksiyonları ile yer alan risk yönetiminin yeri. Hak ettiği şekilde bütün beş adımı yeterince şekillendirecek farklı bir pozisyona getirilmesi daha yerinde bir hamle olacaktır.

Önce ‘Understanding’, Sonra ‘Underwriting’

Siber risk dünyasındaki en belirleyici güç olan reasürans piyasasına dönersek, her ne kadar siber riskler için talep sürekli artıyor olsa da reasürans şirketleri henüz kapasitelerini tam manasıyla açmış değiller. Çünkü, bence dünyanın en sofistike ve en konservatif iş kolu olan reasürans halen siber riskin sınırlarını bilim insanlarıyla birlikte çizmeye çalışıyor. Yani siber risk piyasasında ‘underwriting (UW)’ ile ‘understanding’i birlikte ilerletmeye çalışıyorlar ki, bu alanda bir gelişme olacaksa her zamanki gibi öncelikle reasürörlerin eliyle olacaktır. Öncelikle piyasadaki belirsizlikleri azaltmak, sonrasında netleşen resme uygun dinamiklikte bir teminat yapısı geliştirmek ve son olarak bu yapıyı fiber kablolarla yayılan siber risk gibi dünya geneline yaymak reasürörlerin şimdilik en önemli görevleri.

Yazının başlığına dönersek, normal şartlar altında reasürörler bir patika yaratır, sonrasında sigorta şirketleri ve teminat talep eden kişi ve/veya kurumlar bu patikayı takip eder. Yeni nesil sigortacılıkta ise ilk kural patika bağımlılığını bertaraf etmek ve siber riskin dinamizmine ve sofistike yapısına uygun bir UW deneyimini hızla; ya reasürörlerin, ya sigorta şirketlerinin ya da InsurTech’lerin eliyle; yaratmak ki sigorta ve reasürans sektörlerindeki parlamayı siz o zaman görün.

#ZeynepStefan, #AIZA, #PathDependency, #CyberRiskManagement, #Digitalisation, #OpRiskManagement, #LoBs, #InsuranceValueChain.

 1,410 total views

Mein D.O.R.A.

EIOPA güzellememe kaldığım yerden devam ediyorum. Bir önceki yazımda EIOPA’nın analiz ve gelecek dönem beklentilerini paylaştığı rapordan altının çizilmesi gerektiğini düşündüğüm satır başlarını sizinle paylaşmıştım. Belki de Türkiye sigorta ve reasürans piyasasını en çok ilgilendirecek konuyu ise sona saklamıştım: D.O.R.A.

Şu an değil; Geçmiş veya Gelecek

Risk yöneticisi olarak şu ana değil ya geçmişe ya da geleceğe odaklanırım. Geçmiş bana çalıştığım kurum için net bir çerçeve çizmemde yardım eder, gelecek ise yönetim kurulunun önüne gerçeğe en yakın resmi koymamda ve bu resme göre karar almalarını sağlamamda benimle birliktedir. Şu an yoktur. Çünkü ‘şu an’ risk yönetiminde de yoktur. Karar için ya çok geçtir ya çok erkendir. Dolayısıyla iyi bir risk yöneticisi şu ana en yakın noktada karar alabilecek ferasete sahiptir. İşte D.O.R.A.’da tam bir gelecek şekillendiricisi. Dijitalizasyonla birlikte belki de en çok form değiştiren fonksiyonlardan biri olan risk yönetiminin önündeki yeni gelecek başlığı.

D.O.R.A., yani Digital Operational Resilience Act; tam Türkçe’ye çevirebilir miyim bilmiyorum aslında, dijital ve operasyonel rezilyans diyebiliriz; yukarıda bahsettiğim değişen risk yönetimi dinamiklerinin bir yansıması. Öncü rolünü her zaman takdir ettiğim EIOPA’nın ise herkesin iklim değişikliği ve enflasyonla birlikte artan doğal afet maliyetlerinden yakındığı bir ortamda dikkatleri tekrar dijitalizasyonun dönüştürücü etkilerine çekmesi ise tesadüf değil, ECB’nin (European Central Bank – Avrupa Merkez Bankası) bankalara yönelik operasyonel sağlamlık yönergesinden sonra EIOPA’dan da benzer bir hamle bekliyordum.

Dijital ve Operasyonel Rezilyans

 Öncelikle Ocak 2022’de Avrupa Birliği dijital finans stratejisine giren D.O.R.A., I.C.T. olarak sınıflandırılan bilgi ve iletişim teknolojisi alanındaki risk yönetim faaliyetlerinin iyileştirilmesini hedeflemekte. D.O.R.A. aslında hızla gelişen dijital çağda Avrupa Birliği ülkelerinin rekabet avantajını sağlamlaştırmak ve bölgesel avantajını koruyarak güçlendirmek için gönderilen bir öncü kuvvet. Özellikle artan siber saldırılardan ve kontrol edilemeyen maliyetlerden dolayı dört ana başlık altında gelişim hedefleyen D.O.R.A.; siber/ICT risk yönetimi, saldırı raporlama metodolojisi, rezilyans testleri ve dış hizmet alım faaliyetlerine yönelik önemli yükümlülükler getirileceğinin habercisi. Avrupa’da işler böyle yürür, düzenleyici kurum öncelikle kuyuya atılan taş gibi bir taslak ortaya çıkarır, bu taslak genellikle bir yıla yakın bir periyot içerisinde tartışılır, şekillendirilir ve sonrasında yürürlüğe sokulur. Bu optimum bir yöntem mi? Bence değil, rekabet avantajını kaybetmeye devam eden Kıta Avrupası sigortacılığı da bunun göstergesi. Biraz daha zamanın ruhuna uygun işlemeli diye düşünüyorum, çünkü artık analiz yöntemleri hem karar süreçlerini kısaltıyor hem de bütün Avrupa Birliği düzenleyici kurumları artık saliseler uzaklıkta. Dolayısıyla EIOPA’nın karar süreçlerinde ciddi bir revizyona gitme gerekliliği her geçen gün artmakta.

D.O.R.A.’ya dönersek Avrupa Parlamentosu ve Avrupa Konseyi tarafından uzun zamandır değerlendirilen siber risk ve roketten daha hızlı yükselen etkisi D.O.R.A.’nın uygulama sürecini hızlandıran bir diğer etken olarak öne çıkacaktır. 2022’nin ikinci yarısında uygulama sürecinin başladığı D.O.R.A. için 2024’ün ikinci yarısında tamamlanacak bir süreç öngörülmekte ki ben ilk defa EIOPA’nın açıklanan süreyi kısaltacağını düşünüyorum.

Bütün Yollar Operasyonel Riske Çıkarken

Geçenlerde ünlü bir reasürans şirketinin, hatta benim gözümde en ünlüsünün, operasyonel risk yöneticisiyle yaptığımız konuşmamda belirttiğim gibi artık bütün riskler nihayetinde operasyonel risk başlığı altında toplanacak. Klasik literatürde altı ana başlık altında değerlendirdiğimiz operasyonel risk yönetimini artık alt başlıklar veya yeni ortaya çıkacak risk türleri ile birlikte belki de onlarca kategoride inceliyor olacağız.  

D.O.R.A. analizim henüz bitmedi. Türkiye için izdüşümlerim de izleyen yazımın konusu olacak. Bununla birlikte EIOPA’ya üye olamasak da Avrupa Birliği tarafından oluşturulan kurumları taklit edebiliriz. Örneğin Avrupa Birliği genelinde sistemik riski yöneten European Systemic Risk Board (ESRB) Türkiye’de öncelikle hayata geçirilmesi gereken fonksiyonlardan biri bence. Nasıl kurulabileceğine de bir sonraki yazımda değiniyor olacağım.

#ZeynepStefan, #DORA, #EIOPA, #ESRB, #ICT, #CyberRiskManagement, #ECB, #OpRisk, #AIZA

 1,412 total views