SAĞLIK İŞLETMELERİNDE RİSK YÖNETİMİ

Transkript

1 İSTANBUL ÜNİVERSİTESİ AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ SAĞLIK İŞLETMELERİNDE RİSK YÖNETİMİ SAĞLIK YÖNETİMİ LİSANS TAMAMLAMA PROGRAMI Doç.Dr. Ercan SARIDOĞAN

2 İSTANBUL ÜNİVERSİTESİ AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ SAĞLIK İŞLETMELERİNDE RİSK YÖNETİMİ SAĞLIK YÖNETİMİ LİSANS TAMAMLAMA PROGRAMI Doç.Dr. Ercan SARIDOĞAN

3 ÖNSÖZ 1 Sağlık İşletmelerinde Risk Yönetimi dersi, sağlık işletmeleri yönetimi alanında eğitim alan öğrencilere, risk analizindeki temel yaklaşımları kazandırmayı hedeflemektedir. Günümüzde yüksek belirsizlik sebebiyle işletme içi ve işletme dışı çevreden kaynaklanan riskler artmaktadır. Artan riskler, işletmelerde insan ve maddi kaynak açısından önemli kayıplara yol açmaktadır. İşletmelerin riskkleri başarılı bir şekilde çözümlemeleri ve yönetim süreçlerini geliştirebilmeleri günümüzde tüm sektörlerde önemli olduğu gibi sağlık işletmelerinde de sürdürülebilir rekabet gücü, iş güvenliği ve kayıpların azaltılması için son derece büyük önem arzetmektedir. 1 Bu ders notları Sağlık İşletmelerinde Risk Yönetimi öğrencilerinin ders notu ihtiyacını karşılamak için ekte belirtilen kaynaklardan derlenmiş olup, metin içi referanslar düzenlenme aşamasındadır.

4 YAZAR NOTU Sağlık İşletmelerinde Risk Yönetimi dersi, sağlık işletmeleri yönetimi alanında eğitim alan öğrencilere, risk analizindeki temel yaklaşımları kazandırmayı hedeflemektedir. Günümüzde yüksek belirsizlik sebebiyle işletme içi ve işletme dışı çevreden kaynaklanan riskler artmaktadır. Artan riskler, işletmelerde insan ve maddi kaynak açısından önemli kayıplara yol açmaktadır. İşletmelerin riskkleri başarılı bir şekilde çözümlemeleri ve yönetim süreçlerini geliştirebilmeleri günümüzde tüm sektörlerde önemli olduğu gibi sağlık işletmelerinde de sürdürülebilir rekabet gücü, iş güvenliği ve kayıpların azaltılması için son derece büyük önem arzetmektedir.

5 İÇİNDEKİLER ÖNSÖZ... 3 YAZAR NOTU RİSK ANALİZİ TEMEL TANIMLAR VE KAVRAMLAR Riskin Tanımı ve Temel Kavramlar Risk ve Belirsizlik Risk, Tehdit ve Tehlike Risk ve Kayıp Risk ve Fırsat Risk ve Olasılık Risk ve Zaman Risk ve Karmaşıklık RİSK TÜRLERİ Sistematik Risk Piyasa Riski Politik risk Faiz oranı riski Döviz Kuru Riski Enflasyon riski Yasal risk Sistematik olmayan risk Operasyonel risk Yönetim riski... 40

6 2.2.3.Finansal risk Pazar riski Kredi riski Likidite riski Sermaye yapısı riski RİSK YÖNETİM SÜRECİ Risk Yönetimi ve Önemi Risk Yönetiminin Amacı ve Kapsamı Risk Yönetimi Süreci Risk Yönetiminde 4T Yaklaşımı Tespit / Belirleme Tahlil / Analiz Tedbir / Uygulama Takip / Performans Ölçümü Risk Alma Eğilimlerine Göre Risk Yönetim Türleri Riski Kabullenme / Göze Alma Riskten Kaçınma / Faaliyetten Vazgeçme Riski Azaltma / Riskle Mücadele Etme Riskin Transferi / Paylaşma Entegre/Bütünelşik Risk Yönetimi Stratejik Risk Yönetimi ve Planlaması KURUMSAL RİSK YÖNETİMİNİN GELİŞİMİ Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş Kurumsal Risk Yönetiminin Tanımı ve Önemi Kurumsal Risk Yönetiminde Genel Yapısı Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı... 90

7 4.3. Kurumsal Risk Yönetiminin Amaçları Kurumsal Risk Yönetiminin Faydaları Kurumsal Risk Yönetimi Olgunluk Seviyeleri Kurumsal Risk Yönetiminin Etkinliği Kurumsal Risk Yönetiminin Sınırlılıkları KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I İç Çevre / Ortam Amaçların Belirlenmesi Olay Tanımlama Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi Olayların (Risklerin/Fırsatların) Kaynakları Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler Risklerin Sınıflandırılması Risklerin Değerlendirilmesi Etki Analizi Olasılık Analizi Risklerin Puanlanması Risklerin Önceliklendirilmesi İçsel ve Kalıntı Riskin Ölçülmesi KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ II Risk Tutumu / Tepkileri Kaçınma Azaltma (Kontrol Etme) Transfer Etme Kabul Etme Kontrol Aktiviteleri

8 6.3. Bilgi ve İletisim Risklerin İzlenmesi ÜLKE UYGULAMALARINDA RISK YÖNETIM MODELLERI Avustralya ve Yeni Zelanda Risk Yönetim Modeli İngiltere Risk Yönetim Modeli Kanada Risk Yönetim Modeli Amerika Risk Yönetim Modeli KURUMSAL RİSK YÖNETİMİ İÇİN YASAL DÜZENLEMELER Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Sarbanes-Oxley Kanunu Dod-Frank Kanunu Kontrag Kanunu, Cabdury ve Turnbull Raporu EU 8. Direktifi The Combined Code On Corporate Governance Risk Management Standard Türkiye de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler Sermaye Piyasası Kurulu Düzenlemeleri Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik Yeni Türk Ticaret Kanunu RİSK KONTROLÜ İÇİN FAALİYETLER Kontrollerin Amaçları

9 9.1.1.Riskin Etkisini Azaltan Kontroller Riskin Olasılığını Azaltan Kontroller Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller Kontrol Türleri Önleyici Kontroller Düzeltici Kontroller Yönlendirici Kontroller Tespit Edici Kontroller Kontrol Faaliyeti Aşamaları Temel Kontrol Biçimleri STRATEJİK RİSK YÖNETİMİ Stratejik Planlama Stratejik Rekabet Analizi Kuruluş Dışı Çevre Analizi Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi Performans Programı Kurumsal Risk Yönetimi KURUMSAL RİSK YÖNETİMİ UYGULAMASINI ETKİLEYEN FAKTÖRLER VE ARAÇLAR Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler İşletme Büyüklüğü Finansal Kaldıraç Karlılık Yönetim Kurulu Üyelerinin Bağımsızlığı Denetim Firmaları Coğrafi Çeşitlilik Bağlı Ortak Sayısı

10 Büyüme İÇ DENETİM SİSTEMİ, KAPSAMI ve ÖZELLİKLERİ İç Denetimin Tanımı İç Denetim Faaliyetineİhtiyaç Duyulma Nedenleri İç Denetimin Kapsam ve Alanı İç Denetimin Amacı İç Denetim SistemininÖzellikleri ve Etkililiği İç Denetim Unsurları Nesnel Güvence Sağlama Bağımsız Olma Tarafsız Olma Danışmanlık Hizmeti Verme Kurum Faaliyetlerine Değer Katma ve Geliştirme Standartlara Uygunluk İç Denetim Türleri Uygunluk Denetimi Performans Denetimi Mali Denetim Bilgi Teknolojisi Denetimi Sistem Denetimi İç Denetim Teknikleri Fiziki ve Kaydı İnceleme Belge İnceleme Hesaplama ve Karşılaştırma Doğrulama

11 13. KURUMSAL RİSK YÖNETİMİ ODAKLI İÇ DENETİM SİSTEMİ İç Denetim Sistemindeki Değişim ve Özellikleri Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri İç Denetçilerin Kurumsal Risk YönetimSistemindeki Görev ve Sorumlulukları İç Denetçi ve Güvence Hizmeti İç Denetçilerin Danışmanlık Rolü İç Denetçilerin Taşıması Gereken Özellikler İç Denetçilerin Durumu Sayılı Kanun Kapsamında Risk Yönetim Sistemi Kamu İç Denetim Standartlarında Risk Yönetim Sistemi KURUMSAL RİSK YÖNETİMİ ORGANİZASYON YAPISI Üst Yönetim ve Yönetim Kurulu Yöneticiler Risk Görevlileri Finans Yetkilileri Kurum İçi Diğer Sorumlular Bağımsız Dış Denetçiler Yasa Koyucu ve Düzenleyiciler Kurum ile İlişki İçerisinde Olan Kişiler KAYNAKLAR

12 1.RİSK ANALİZİ TEMEL TANIMLAR VE KAVRAMLAR

13 Bu Bölümde Neler Öğreneceğiz? Riskin Tanımı ve Temel Kavramlar Risk ve Belirsizlik Risk, Tehdit ve Tehlike Risk ve Kayıp Risk ve Fırsat Risk ve Olasılık Risk ve Zaman Risk ve Karmaşıklık

14 Bölüm Hakkında İlgi Oluşturan Sorular S-1. Gün içinde trafik kazası ile karşılaşma ihtimaliniz nedir? S-2. Evinize hırsız girmemesi için ne gibi tedbirler alıyorsunuz?

15 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Riskin Tanımı ve Temel Kavramlar Kazanım Riskin Tanımı ve Temel Kavramlar açıklayabilme Kazanımın nasıl elde edileceği veya geliştirileceği Riskin Tanımı ve Temel Kavramlar analiz ederek

16 Anahtar Kavramlar Riskin Tanımı ve Temel Kavramlar Risk ve Belirsizlik Risk, Tehdit ve Tehlike Risk ve Kayıp Risk ve Fırsat Risk ve Olasılık Risk ve Zaman Risk ve Karmaşıklık

17 1.1. Riskin Tanımı ve Temel Kavramlar Risk mevcut mevcut veya gelecekteki durum veya hedeflerin zarar görme olasılığıdır. İktisadi karar birimlerinin verecekleri kararlar sonucunda ortaya çıkacak getiriyi olumsuz etkileyebilecek olayların gerçekleşme olasılığı, diğer bir deyişle olayların gerçekleşme olasılığının bilindiği durum. Zarara uğrama tehlikesi, riziko Geleneksel risk tanımlarında riskin, potansiyel problem, tehdit, tehlike, zarar ya da kayıp gibi olumsuz unsurlarının ön plana çıkarıldığı görülmektedir. Kurumsal Risk Yönetimi çerçevesinde yapılan çağdaş tanımlarda ise riskin söz konusu olumsuz unsurlarının yanında fırsat, fayda kar, kazanç gibi olumlu unsurlarını da içerecek şekilde tanımlandığı görülmektedir. Risk kavramına yüklenilen anlamın, zamana ve kullanım alanına göre değiştiğini görmekteyiz. Önceleri sadece zararlı etkilerini gidermek veya alt seviyeye çekmek amacıyla riskle mücadele edilmesi düşüncesi benimsenmekteyken zamanla kavrama yeni yüklenilen anlamlarla birlikte her riskin beraberinde bir fırsatı da getirdiği ilkesi genel kabul görmüştür. Bu bağlamda risk, mevcut veya gelecekteki durum veya hedeflerin sapma göstermesidir. Ancak iktisadi birimler ( birey, firma ve devlet) hedeflerden sapmaların olumsuz olma ihtimali minimize etmelidir. Şekil 1 de, KRY kapsamındaki risk tanımının tehlike ve belirsizlik anlayışından avantaja dönüştürülen ve kurum değerinin artırılmasına neden olma olasılığını taşıyan risk boyutuna taşınması gösterilmektedir. Bu anlamda risk sadece tehlike ve belirsizlik içermemekte, kapsamında fırsatları da barındırmaktadır.

18 Şekil-1.1. Risk Tanımında Değişim ve Sonuçları Kamu İç Denetiminde Risk Değerleme Rehberi nde risk, İdarelerin kuruluş amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel olabilecek durum ya da olaylar. olarak tanımlanmıştır. Uluslararası Standardizasyon Kurumu (ISO) nun 1 Kasım 2000 tarihli Risk Yönetim Terminolojisi nde risk, Bir olayın olma ihtimali ve bunun sonuçlarının kombinasyonu; Not 1: Bazı durumlarda risk beklenenden sapmadır şeklinde tanımlanmıştır. Yukarıda yapılan tanımlardan özellikle de kurumsal risk yönetimi yaklaşımı çerçevesinde yapılan yeni tanımlardan hareketle risk kavramının temel unsurlarının şunlar olduğu ifade edilebilir: Risk, kurum amaçları ve hedefleri üzerinde etkili olan bir olgudur. Riskin temel kaynağı; geleceğe, gelecekteki olay ve değişimlere, bu olay ve değişimlerin sonuçlarına ilişkin mevcut bilgilerin yetersizliğinden doğan belirsizliktir. Risk, kesin olmayan yani gerçekleşmesi ihtimalli bir olgudur. Risk, dünya da bugün ile değil yarınla yani gelecekle ilgili bir olgudur. Risk, değişen olay ve durumlara bağlı olarak sürekli değişim gösteren karmaşık bir olgudur.

19 Risk, amaçlar ve hedefler üzerinde olumlu (fırsat, kar, kazanç), olumsuz (tehdit, tehlike, zarar, kayıp) ya da hem olumlu hem de olumsuz etkileri olabilen bir olgudur. (Şekil 1.2.) Şekil 1.2. Amaç, Tehdit, Fırsat ve Risk Arasındaki İlişki Herhangi bir kurumun/birimin/sürecin içerisinde risklerin belirlenmesi veya tanımlanması yapılırken öncelikle kurumun/birimin/sürecin amaç ve hedeflerinin ne olduğu açık bir şekilde ortaya konulmalıdır. Kurumun/birimin/sürecin amaç ve hedefleri net olarak belirlendikten sonra bu amaç ve hedeflerin gerçekleşmesini engelleyecek durum, tehlike veya tehditler tespit edilmeli ve risk ona göre tanımlanmalıdır. Belirsizlik: Gelecekte gerçekleşmesi muhtemel olayların olasılık ölçüsünü ve etkisini önceden bilememeyi ifade eder. Olasılık: Bir olayın gerçekleşme ihtimalini ifade eder. Olasılık kelimesi bazen yüksek, orta, düşük gibi nitel ifadelerle, bazen de yüzde, gerçekleşme sıklığı gibi nicel değerlerle ifade edilir. Risk: Kurumsal amaçları olumsuz etkileyebilecek olayların gerçekleşme olasılığını ifade eder. Artık Risk: Yönetimin gerçekleşme olasılığını ve etkisini azaltmak için aldığı önlemlerden sonra arta kalan riskleri ifade eder. Risk İştahı: Kurumun, sahip olduğu misyon ve vizyonu doğrultusunda kabul edebileceği geniş kapsamlı risk miktarını ifade eder. Başka bir ifadeyle yönetimin herhangi bir önlem almanın gerekliliğine hüküm vermeden önce maruz kalmaya hazır olduğu risk miktarıdır. Yönetimin kabul edilebilir olduğunu düşündüğü risk seviyesidir.

20 Risk kapasitesi: Bir kurumun olumsuz bir olayın etkisini atlatma kabiliyetidir. Diğer bir deyişle kurumun ne kadar büyük bir sarsıntıya dayanabileceğidir. Risk kapasitesi nakit miktarıyla, diğer kaynaklarla veya kredi imkanlarıyla ölçülebilir. Bir kurumun risk kapasitesini bilmesi ne kadar riski üstlenmeye istekli olduğuna karar vermesi açısından önemlidir. Risk Toleransı: Belirli bir amacın başarılmasına yönelik olarak kabul edilebilecek risk miktarını ifade eder. Başka bir ifadeyle risk toleransı hedefler etrafındaki kabul edilebilir bir değişkenliği belirtir. Risk iştahı da, risk toleransı da risk almayla ilgili sınırları belirtir ancak risk iştahı daha geniş kapsamlıdır. Makul Güvence: Kurumsal risk yönetimi, ne kadar iyi tasarlanmış ve yürütülüyor olursa olsun, kurumsal amaçların gerçekleştirilmesi hakkına mutlak güvence sağlayamaz. Bunun sebebi kurumsal risk yönetiminin doğasında var olan (kalıtsal risk) ve önlenemeyen sınırlardır. Kurumsal Risk Yönetimi Süreci: Kurumda uygulanmakta olan kurumsal risk yönetimi faaliyetlerini ifade eder. Kalıtsal Risk: Yönetim tarafından herhangi bir önlem alınmaması durumunda gerçekleşme olasılığının ve etkisinin değiştirilemeyeceği riskleri ifade eder. Kalıtsal Sınırlamalar: Kurumsal risk yönetiminin doğasında var olan sınırlamaları ifade eder. Bu sınırlar; 1) kişisel yargılar, 2) kaynak kısıtları ve bir kontrole ilişkin maliyet-fayda analizi, 3) sistemin çökmesi ihtimali, 4) yönetimin sistemi önemsememesi ve hileli davranması olarak sıralanabilir. İç Kontrol: Bir kurumun yönetim kurulu, yöneticileri ve çalışanları tarafından yürütülen ve 1. Faaliyetlerin etkinliği ve verimliliği, 2. Mali raporlamanın güvenilirliği, 3. Yasalara ve diğer düzenlemelere uyum amaçlarının gerçekleştirilebilmesi için makul güvence sağlayan bir süreçtir. İç Kontrol Sistemi: Kurumda uygulanmakta olan iç kontrol faaliyetlerini ve süreçlerini ifade eder Risk ve Belirsizlik Genel olarak risk, bilinebilen olasılıklar kapsamında rastlantısallık, belirsizlik ise bilenemeyen olasılıklar kapsamında rastlantısallık olarak tanımlamıştır. Bu açıdan ele

21 alındığında risk, bir sonucun olasılığının belirlenebildiği ve böylelikle bu sonucun sigortalanabildiği bir durumu ifade etmektedir. Belirsizlik ise tam tersi olarak,olasılığı bilinemeyen bir olayı işaret ettiği için sigortalanamaz. Riskle belirsizlik arasında şöyle bir ayrım yapılabilmektedir: Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları çıkarabiliyorlarsa risk, uzmanlar bu konuda bir anlaşmaya varamıyorsa belirsizlik söz konusudur. Risk, çoğu zaman istenmeyen bir olayın oluşma olasılığına ilişkin istatistiksel verilere dayalı olarak ölçülebilen bir kavramdır. Belirsizlik, istatistiksel verilerin mevcut olmadığı durumlarda kullanılan, ölçülemeyen bir kavramdır. Belirsizlik, bir olayın oluşma olasılığının verilerle belirlenemediği durumları ifade eder. Belirsizlik, olasılık dağılımı bilinmeyen, kontrol edilemeyen ve gelişigüzel olayları ifade eder. Bir olay belirsiz ise, kontrol edilemeyen olayın olasılık dağılımı bilinmez; başka bir ifade ile olaya ilişkin olasılık dağılımını çıkarabilecek geçmiş verilere sahip değilsek, olay hakkında olasılık dağılımını tahmin edemeyiz. Risk, bilinen olasılık dağılımından ya da mevcut verilerden yararlanarak belirlenebilen ve ölçülebilen gelişigüzel ve kontrolsüz olayları ifade eder Risk, Tehdit ve Tehlike Tehdit, bilinçli ya da bilinçsiz olarak potansiyel tehlikeye neden olabilecek faktörler ya da olaylardır. Tehdit, bir kurumu potansiyel olarak riske açık hale getirecek eylem ya da olaydır. Bir örgütte başarıyı engelleyebilecek veya zarara sebep olabilecek her şey bir tehdit unsurudur. Tehlike, amaçların gerçekleştirilmesine olumsuz etkide bulunabilecek olayların gerçekleşme olasılığıdır. Kurum amaçlar üzerinde ters etkiye sahip bu olaylar değer yaratmayı engeller ya da mevcut değerin yitirilmesine neden olur. Tehlike, örgütlerin amaçlarını zorlaştıran veya imkansız hale getiren yeni bir durum demektir. Risk ve tehlike birbirine bağlı iki kavramdır. Tehlikelerin var oluşu riski yaratır. Kurumsal Risk Yönetimi yaklaşımının geliştirilmesine kadar risk sadece olumsuzluk olarak ve işletme amaçlarının başarılmasını tehdit eden bir tehlike olarak ele alınmıştır. Risk, çeşitli tehlikelere maruz kalmaktan (açık olmaktan) kaynaklanan kayıpların veya bozulmaların şiddeti ve olasılığıdır. Tehlikelerin dikkatle saptanması, analiz ve kontrol edilmesi gerekir. İş Sağlığı ve Güvenliği Yönetim Sistemleri (TS 18001:2008 İSG) kapsamında tehlike, Mal, can ve çevre için potansiyel bir tehlike oluşturan malzeme, durum veya aktivitenin karakteristiğidir. şeklinde tanımlanmaktadır. Tehdit ve tehlike

22 kavramlarına yönelik olarak yukarıda belirtilen tanımlar ve açıklamalar incelendiğinde genel olarak tehdit ve tehlike kavramlarının Kurumsal Risk Yönetimi yaklaşımı çerçevesinde aynı anlamda algılandığı görülmektedir. Belirtilen tanımlarda hem tehdit kavramının hem de tehlike kavramının kurum amaçları ve hedefleri üzerinde olumsuz etkileri olan, amaçların ve hedeflerin gerçekleşmesini engelleyecek eylem, olay ve durumlar olarak algılandığı ve tanımlandığı görülmektedir. Dolayısıyla Kurumsal Risk Yönetimi yaklaşımı çerçevesinde tehdit ve tehlike kavramları; gerçekleşmesi beklenen ve gerçekleşmesi durumunda kurumun amaçlarına ve hedeflerine ulaşmayı olumsuz etkileyecek olan, kurum içi ve dışı faktörlerden kaynaklanabilecek eylem, olay ve durumlar şeklinde tanımlanabilir. Bu kapsamda risk ise tehdit ve tehlikelerin amaçlar ve hedefler üzerindeki olumsuz sonuçları veya etkileridir. Tehdit ve tehlikelerin gerçekleşmesi sonucu kurumun karşılaştığı can, mal, müşteri ve imaj kayıpları, zararlar, hukuka aykırı işlemler, yolsuzluklar, hatalı ürün ve hizmetler v.b. olumsuz sonuçlar kurumun karşı karşıya kalabileceği riskleridir. Riske neden olan tehditler/tehlikeler kurum içi faktörlerden doğabileceği gibi kurum dışı faktörlerden de doğabilir. Karşı karşıya kalınan risk, içsel ya da dışsal bir takım etkenlere dayanıyor olabilir. Organizasyonun türüne, idari yapısına, faaliyet gösterdiği sahaya, coğrafi bölgeye ve diğer pek çok faktöre göre maruz kalınabilecek iç ve dış etkenler farklılık gösterecektir Risk ve Kayıp Risk daima bir çeşit kayıp olasılığını da içermektedir. Gerçekleşme olasılığı çok düşük de olsa kaybın getireceği sonuçlara katlanılmak istenmediği için riskler yönetilmektedir. Eğer kayıp olasılığı yoksa bu amacı, işi, faaliyeti ya da projeyi tehlikeye atmayacağından risk hakkında endişe edilmez. Dikkat edilmesi gereken kayıp olasılığıdır.her kurumun temel amaçlarından birisi maddi ve gayri maddi her türlü varlık ve değerlerini öncelikle korumak sonra da bunları artırmaktır. Kurumların maddi ve gayri maddi varlık ve değerlerinin azalması ya da hedeflendiği şekilde artmaması birer kayıp ya da zarar olarak tanımlanabilir. Bir yangın tehdidinin gerçekleşmesi sonucu yaşana can ve mal kayıpları, kurum personelinin yapmış olduğu yolsuzluk ya da hırsızlık sonucu kurum gelirlerinin ya da varlıklarının azalması, kilit personelin kurumdan ayrılması sonucu yaşanan müşteri ve hasılat kayıpları, başarısız olarak yürütülen bir proje veya faaliyet sonucu oluşan zarar ve

23 bu zararla birlikte oluşan imaj kaybı gibi örnekler risklerin gerçekleşmesi sonucu karşılaşılan kayıp ve zararlara örnek olarak verilebilir Risk ve Fırsat Eylem, olay ve durumların negatif, pozitif ve bazen hem negatif hem pozitif etkileri olabilir. Negatif sonuçları olan eylem, olay ve durumlar tehditler/tehlikelerdir. Fırsatlar ise pozitif sonuçları olan olaylardır. Fırsat, amaçların gerçekleştirilmesine olumlu katkıda bulunacak eylem, olay ve durumlardır. Fırsatlar değer yaratmaya imkan sağlayan veya mevcut değerlerin korunmasını destekleyen eylem, olay ve durumlardır. Yönetimler ancak bu fırsatları değerlendirerek belirledikleri strateji ve hedefler doğrultusunda yeni fırsatlar yakalayabilirler.65 Ayrıca fırsatlar, tehditlerin amaçlar üzerindeki olumsuz etkilerini dengeler. Gelecekteki eylem, olay ve durumların kurum için tehdit mi yoksa fırsat mı olacağı bunlar gerçekleşmeden, önceden kesin olarak bilinemez. Zira tehdit olarak tanımlanan ve amaçlara/hedeflere olumsuz etkisi olacağı düşünülen eylem, olay ve durumların gerçekleşmesinden sonra sonuçlarının amaçlara/hedeflere olumlu etkisi olabilir yani sonuçta kurum için bir fırsat olabilir. Ya da tehdidin olumsuz etkileri ile birlikte olumlu etkileri de olabilir. Benzer şekilde amaçlara/hedeflere olumlu etkisi olacağı düşünülen eylem, olay ve durumların gerçekleşmesinden sonra sonuçlarının amaçlara/hedeflere olumsuz etkileri olabilir yani kurum için bir tehdit olabilir. Ya da fırsatın olumlu etkileri ile birlikte olumsuz etkileri de olabilir. Eylem, olay ve durumların amaçlar üzerindeki etkisinin olumlu ya da olumsuz olabileceğini Çince deki ideogram kelimesinin ikili anlam yapısı güzel bir şekilde izah etmektedir. Çince de her kelime bir şekille anlatılırken risk iki şekil yan yana getirilerek yazılır: Tehlike ve Fırsat. Çince de riskin karşılığı olarak kullanılan ideogram kavramının hem fırsat hem de tehdit anlamı taşıdığı ifade edilmektedir Risk ve Olasılık Olasılık, belirli bir olayın oluşma olasılığını ifade eden bir sayıdır.bir başka tanımda olasılık, bir olayın meydana gelme ihtimali ve ifadeler arasındaki mantıksal ilişki olarak tanımlanmıştır. Olasılık, risk değerlendirme tekniklerinin çoğunda kullanılan önemli bir niceleme ölçüsüdür. Belirli bir olayın gelecekte ortaya çıkma olasılığı geçmişte yaşanmış tekrarlarla benzerdir. Riskin olasılığı, risk analizlerinde kullanılan iki parametreden biridir. Risk analizinde, riskin büyüklüğünü ya da önemini riskin gerçekleşme olasılığı

24 ile gerçekleşmesi durumunda yapacağı etkinin şiddeti belirlemektedir. Riskin olasılığı ile etkisinin birleşimi riskin kurum için önemini ya da büyüklüğünü göstermektedir. Bu nedenle riskin gerçekleşme olasılığı, risk analizlerinde ve bu analizler sonucu risklerin önem derecelerine göre önceliklendirilmesinde önemli bir unsurdur Risk ve Zaman Değişen ve küreselleşen dinamik işletme/kurum çevresinde zaman önemli unsurlardan birisidir. Risklerin belirlenmesi sırasında zaman bileşeni de dikkate alınmaktadır. Zaman belirsizlik ve kararsızlık açısından da önemlidir. Belirsizlik ve karmaşıklık zamanla artmaktadır. Bu durum, riskleri de niteliksel olarak değiştirmekte, sayı ve tür olarak artırmaktadır. Ayrıca risklerin yönetilmesinde harcanan zaman ve bu kapsamda yönetim faaliyetlerinin etkililiği de önemlidir. Gelecekte gerçekleşebilecek ve kurum amaçlarına olumsuz etkileri (riskler) olabilecek eylem, olay ve durumların (tehditlerin) belirlenmesinde ve gerçekleşme olasılıkları ile etkilerinin tahmin edilmesinde kullanılan zaman aralığı önemli bir unsurdur. Kullanılan zaman aralığı ne kadar uzun olursa risklerin belirlenmesi ve gerçekleşme olasılıkları ile etkilerinin tahmin edilmesinde isabet oranı o derece düşük olacaktır. Tahminin yapıldığı zaman aralığı, sonuçların kesinlik derecesini etkileyecektir. Tahminin kesinlik derecesi ve güvenilirliği konusunda tahminin üretilmesi için öngörülen zamanın önemli etkileri olacaktır. Yakın geleceği öngörmek daha kolaydır ve belirsizlik daha düşüktür. Uzak gelecekteki olaylar hakkında karar verilirken belirsizlik ve belirsizlikten kaynaklanan riskler ve fırsatlar daha fazladır. Uzun vadede olacaklar hakkında kestirimde bulunulması, senaryoların geliştirilmesi, hayal gücünün kullanılması verilen kararlar üzerinde etkili olacaktır. Uzun vadeli kararların içerdiği potansiyel riskler ve fırsatların öngörülmesi, derin bir uzgörü, bilgi birikimi, deneyim, hayal gücü ve zeka gerektirir Risk ve Karmaşıklık Bir olaydaki bileşen sayısı ve bileşenler arasındaki ilişkinin artması, olayın karmaşıklığını arttırır. Bir olayın ya da durumun karmaşıklık derecesi, olası risk şiddetini etkileyen bir faktördür. Sistem karmaşıklığı, sistem bileşenleri ve aralarındaki ilişkinin sayısı ile tanımlanır.86 Yüksek teknolojik ürünler, yüksek karmaşıklığa sahiptirler. Teknolojideki hızlı gelişmeler ürünlerin karmaşıklığını daha da artırmaktadırlar.

25 Kurumların ya da kurumların karşı karşıya kalabileceği eylem, olay ve durumların karmaşıklığı arttıkça risk de artmaktadır. Kurumları etkileyen iç ve dış değişimler de karmaşıklığı artıran bir faktördür. İster kurum içerisinden ister kurum dışından kaynaklansın değişimlerin sayısı, niteliği ve hızı ne kadar fazla olursa kurumda yaratacağı karmaşıklık da o derece fazla olacaktır. Artan karmaşıklık da potansiyel olarak risklerin artmasına neden olacaktır. Bu Bölümde Ne Öğrendik Özeti Riskin Tanımı ve Temel Kavramlar Risk ve Belirsizlik Risk, Tehdit ve Tehlike Risk ve Kayıp Risk ve Fırsat Risk ve Olasılık Risk ve Zaman Risk ve Karmaşıklık

26 Bölüm Soruları S.1. S.2. S.3. S.4. S.5. S.6. S.7. S.8. Riskin Tanımı ve Temel Kavramlarını açıklayınız. Risk ve Belirsizlik nedir? Risk, Tehdit ve Tehlike nedir? Risk ve Kayıp nedir? Risk ve Fırsat nedir? Risk ve Olasılık nedir? Risk ve Zaman nedir? Risk ve Karmaşıklık nedir? S.9 Risk nedir? a. Tehlikedir b. Daima fırsattır c. Kayıp olasılığıdır d. Belirsizliktir S.10 Olasılık nedir? a. Bir durumun gerçekleşme ihtimalidir b. Kesinliktir c. Kayıptır d. Belirsizliktir Cevaplar: 9. c, 10.a

27 2.RİSK TÜRLERİ

28 Bu Bölümde Neler Öğreneceğiz? Sistematik Risk Piyasa Riski Politik risk Faiz oranı riski Döviz Kuru Riski Enflasyon riski Yasal risk Sistematik olmayan risk Operasyonel risk Yönetim riski Finansal risk Pazar riski Kredi riski Likidite riski Sermaye yapısı riski

29 Bölüm Hakkında İlgi Oluşturan Sorular S-1. İş yerinizde iş kazalarını önlemek için ne tür tedbirler alınıyor? S-2. Altın fiyatlarının artması kimin için olumlu kimin için olumsuz sonuç doğuru?

30 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kazanım Kazanımın nasıl elde edileceği veya geliştirileceği Sistematik Risk Sistematik Riski açıklar Sistematik Riski analiz ederek Sistematik olmayan risk Sistematik olmayan Riski açıklar Sistematik olmayan Riski analiz ederek Finansal risk Finansal Riski açıklar Finansal Riski analiz ederek

31 Anahtar Kavramlar Sistematik Risk Sistematik olmayan risk Finansal risk

32 KRY uygulamalarında sıklıkla tercih edilen risklerin sınıflandırılması aşağıdaki şekilde yapılabilmektedir (Şekil 2.1.) 1) Stratejik Riskler: Orta ve uzun vadede kurum amaç/hedeflerini etkileyebilecek olan risklerdir. Bunlar da kendi içinde politik, ekonomik, sosyal, teknolojik ve müşteri kaynaklı olarak çeşitlendirilebilir. 2) Operasyonel Riskler: Günlük faaliyetlerin yürütülmesi esnasında yönetim ve personelin karşılaştığı risklerdir. Bu riskler rekabete dayalı, fiziksel ve sözleşmeye dayalı nedenlerle ortaya çıkabilirler. 3) Finansal Riskler: Finansal planlama, bütçe kontrolü, likidite sıkışıklığı veya yetersiz izleme ve raporlama temelli risklerdir. 4) İtibar Riskleri: Kurum ünvanına/itibarına zarar verecek her türlü riski içerir. 5) Bilgi Teknolojileri Riskleri: Teknolojik eksikliklerden kaynaklanabileceği gibi fiziksel bilişim araçları temelli de olabilir. 6) Düzenleme/Hukuki Riskler: Ulusal veya uluslararası düzenleme otoritelerinden, bu otoritelerin çıkardığı düzenlemelerden/yasalardan kaynaklanabilecek risklerdir. 7) Birey Temelli Riskler: Profesyonel insan kaynağı yetersizliklerinden kaynaklanabileceği gibi kilit personelin kaybından da kaynaklanabilir. Yukarıda belirtilen risk sınıflarını kesin çizgiler ile birbirlerinden ayırmak doğru değildir. Örneğin bir kredi riski, sonuçları itibari ile finansal risk, nedenleri itibari ile operasyonel bir risk olarak algılanabilir. Uygulamada farklı kurumlar/sektörler ve bilim dalları içinde pek çok risk sınıflandırması yapılmaktadır. Özel sektör işletmelerinde yaygın olarak kullanılan bir başka risk sınıflandırmasına aşağıda Şekil 12 de yer verilmiştir:

33 Şekil 2.1. Risk Sınıflandırması Örneği

34 Şekil 2.2. İç ve Dış Kaynaklı Önemli Risk Faktörleri

35 Şekil Olaylar ve Riskler 2.1.Sistematik Risk Sistematik risk, firmaların sahip oldukları varlıklar üzerindeki riski çesitlendirme yoluyla azaltamadıgı, piyasanın genel ekonomik kosullarından kaynaklanan ve tüm firmaları etkileyen risktir. Sistematik risk tanımından da anlasılacagı gibi tamamıyla dıs etkenlerden kaynaklanan bir risk çesididir. Sistematik risk piyasa riski ve çesitlendirilemeyen risk olarak da adlandırılır. Firmaların sistematik riski ortadan kaldıramamasının ya da azaltamamasının nedeni ekonomik, sosyal ve politik kosullardaki

36 degismelerin, mevcut piyasadaki tüm menkul kıymetler üzerinde farklı oranlarda fakat aynı dogrultuda etkili olmasıdır Piyasa Riski Piyasalarda, bazen belirli bir nedenden, bazen de belirli bir nedeni olmadan kaynaklanan ve bunun sonucunda da piyasalardaki yatırımcı firmaların finansal varlıklarının fiyatlarının olumsuz etkilenmesi piyasa riski olarak adlandırılır. Piyasa riski potansiyel kazanç ya da kaybın piyasa durumlarındaki faiz oranlarının, emtia fiyatlarının, hisse senedi fiyatlarının gibi ekonomik ve finansal degiskenlerin degismesi sonucu ortaya çıkmaktadır. Ayrıca piyasa riski yatırımcıların davranıslarıyla, beklentileriyle ve tercihleriyle dogru orantılıdır. Çünkü piyasalardaki finansal varlıkların fiyatlarındaki dalgalanmaların baslıca nedenleri arasında yatırımcıların beklentilerinde, davranıslarında ve tercihlerinde yasanan degisimler yer almaktadır. Bu nedenle herhangi bir zaman aralıgı olmadan ortaya çıkan bu riski en aza indirmek için piyasadaki firmaların denetimini, bilgi alısverisini ve olusan bu süreci iyi koordine etmek gerekmektedir Politik risk Politik risk, firmaların faaliyet gösterdigi ülkede veya bir baska ülkede meydana gelen siyasi ve ekonomik krizlerin, savasların firmaların davranısları üzerinde olusturdugu etki olarak adlandırılır. Güçlü hükümetlerin uygulamaları ve sivil toplum kuruluslarının eylemleri tarafından tam ya da parça belirsizlikten kaynaklanan bu riske politik risk denmektedir. Daha sık denizasırı ülkeler ile gelismekte olan ülkelerin özelligi olmasına ragmen politik risk kavramı tanımının hem yurtiçi hemde uluslararası piyasalarda geçerliligi kabul görmüstür. Politik risk unsurları, koruma girisimleri, kotalar, döviz kurundaki dalgalanmalar ve yabancı sermaye yatırımlarıdır. Politik risk, hem yerel hemde ulusal hükümetlerin eylemsizlikleri ve dogrudan eylemleri sonucu ortaya çıkmaktadır. Eylemsizlikleri sonucu ortaya çıkan risk unsuru yasaların uygulanmasındaki basarısızlıktır. Eylemleri sonucu ise izlemis oldugu siyasi, vergi, para, fiyat, ücret ve dıs ticaret politikalarının piyasalardaki menkul kıymetler üzerinde olumlu ya da olumsuz etki yaratmasıdır.

37 2.1.3.Faiz oranı riski Faiz oran riski, kazanç veya sermaye faiz oranlarının degiskenliginden dogan bir risk çesididir. Faiz oranı içindeki degiskenlik olumsuz yönde ise, yüksek faiz maliyetlerine veya düsük yatırım getirilerine ve kayıplara veya daha az kar a sebep olmaktadır. Faiz oran riski, firmaların faize duyarlı varlıklarının (tahvil, bono, hisse senedi vb.) vade açısından faiz oranlarının uyumsuzlugu sonucu da ortaya çıkabilmektedir. Firmalar vade uyumsuzlugu risklerinden varlıklarını etkili bir izleme, takip etme sistemiyle koruyabilmektedir. Piyasada faiz oranının yükselmesi firmaların varlıklarını deger kaybına ugrattıgı gibi faiz oranının düsmesi ise varlıkların prim yapma ihtimalini artırır. Bununla birlikte Sermaye Piyasası Teorisi kapsamında ele alınan risksiz faiz oranı da piyasada faizlerin degiskenliklerine ters dogrultuda degiskenlik göstermektedir Döviz Kuru Riski Sabit kur sisteminin terk edilmesiyle döviz kur riski ülkelere, endüstrilere ve firmalara ciddi anlamda hem tehdit hem de fırsat sunarak önemli bir risk kaynagı haline gelmistir. Kur riski, döviz kurundaki beklenmeyen degisimlerin firma üzerindeki etkisi olarak ifade edilmektedir. Bir baska ifadeyle döviz kur riski, siyasi olaylar, ödemelerde çıkan sorunlar gibi belirli nedenlerin ulusal para degerini etkilemesi sonucu ulusal para degerinin yabancı para degeri karsısında olumlu ya da olumsuz degisim göstermesidir. Döviz kuru harekeleri firmaların hisse senetlerinin piyasa degerini, nakit akıslarını, varlık ve yükümlülüklerini ve net karını dogrudan veya dolaylı etkilemektedir. Firmaların döviz kuru hareketlerinden etkilenmeleri için döviz kur riskine açık olmaları gerekmektedir. Kur riskine açık olma, yabancı para cinsinden varlıklara ya da yükümlülüklere sahip olan firmanın döviz fiyatlarındaki degismelerden etkilenmesi olarak ifade edilmektedir. Döviz kur riski üç çeside ayrılır. Bunlar; islem, dönüstürme ve ekonomik olarak sıralanabilir. İşlem riski: Firmanın nakit giris ve çıkıslarının döviz kurunda meydana gelen dalgalanmalardan etkilenmesidir. Dogal olarak yabancı para cinsinden islem yapılması sırasında ortaya çıkmaktadır. Dönüstürme riski: Çok uluslu firmaların dönem sonu bilanço ve gelir tablolarının konsolidasyonu esnasında ortaya çıkan bir risktir. İki bilanço tarihleri arasında kurlarda meydana gelen degismelerin bilanço degerlerinde olusturdugu etkidir.

38 Ekonomik risk: Kurdaki degismelerin firmanın degerini ya da firmanın nakit akıslarını etkilemesidir. Eger firma degerinde bir düsüs varsa buna baglı olarak firmanın nakit akıslarında da bir sorun vardır. Firma dönüstürme riskine etki edemezken bu riske direkt etki edebilmektedir bu yüzden firma degerini korumak için gerekli önlemleri almalıdır Enflasyon riski Enflasyon fiyatların sürekli artması olarak tanımlanmaktadır. Enflasyon riski, menkul deger yatırımı yapan firmaların ve kurulusların yatırım süresince elde ettikleri getirilerinin enflasyondan etkilenme olasılıgıdır. Baska bir ifadeyle enflasyon riski, yatırılan fonların gelecekteki satın alma gücünün belirsiz hale gelmesi olarak da tanımlanabilir. Enflasyonda (fiyatlar genel düzeyinde) meydana gelen sürekli artıslar paranın satın alma gücünü azaltmakta buna baglı olarak da firmanın yatırımını olumsuz yönde etkilemektedir. Farklı türdeki varlıklar enflasyon riskinden farklı derecelerde etkilenmektedirler; sabit getirili finansal varlıklar (tahvil ve bono) enflasyon riskinden oldukça fazla etkilenirken, hisse senetlerinin enflasyon riskinden en az etkilenen finansal varlılar oldugu varsayılmaktadır Yasal risk Yasal risk, gerçeklesen satıs sonrası, kanuna aykırı olan bir anlasmanın uygulamaya koyulamaması nedeniyle firmanın karsı karsıya kaldıgı risk sekli olarak tanımlanabilir. Bu risk sekli firmalar arasındaki anlasmada belirtilen maddelerin taraflardan biri tarafından karsılanmaması durumunda da ortaya çıkabilir. Yasal risk, yargı ve düzenleme uygulamalarına maruz kalan risk olup finansal sözlesmelerde yaygın olarak görülmektedir. Yasal riskler, firmaların ve kurulusların hukuki danısmanlarının risk yönetimi ve üst yönetimle yaptıgı görüsmeler sonucu gelistirilen politikalarla kontrol edilmeye çalısılmaktadır. Firmalar ve kuruluslar herhangi bir anlasma yapmadan önce yapılacak anlasmaların uygulanabilirligini analiz etmeleri gerekmektedir.

39 2.2. Sistematik olmayan risk Sistematik olmayan risk, firmaya özgü nedenlerle ortaya çıkan bir risk çesididir. Bir varlıgın getirisinin baska bir varlıgın getirisini etkilemedigi risk olarak da tanımlanır. Bu risk, genel olarak firmanın ekonomik birimlerinin faaliyetlerine ve kararlarına baglı olarak ve firmanın öz sermayesinde olusan deger kaybı nedeniyle ortaya çıkabilmektedi. Ayrıca, yönetimin firmayla ilgili aldıgı kararlar, çalısanların greve gitmesi, hammadde saglama imkanlarında ortaya çıkan sorunlar, teknoloji, üretim, pazarlama ve finansman yapısı verimliligi, çevre düzenlenmesi ve hükümet kararları sonucu da ortaya çıkmaktadır. Bu risk çesidini firmalar ve kuruluslar çok iyi çesitlendirilmis portföyle en aza indirebilir hatta ortadan kaldırabilirler. Sistematik olmayan risk çesitleri; finansal risk, operasyonel risk ve yönetim riskidir Operasyonel risk Operasyonel risk, çalısanlardan kaynaklanan veya teknik hatalar sonucu ortaya çıkan ya da kazalar sonucu olusan kayıplara iliskin risk olarak ifade edilebilir. Ürünün ortaya çıkıs asamasından, ortadan kaldırılma veya dagıtımına kadar olan süreçte olusan insan kaynaklı hatalar, bölümler arası iletisim kopuklugu, sistemden kaynaklanan sorunlar, müsteriden kaynaklanan sorunlar, dogal afetler ve bunun gibi birçok nedenden kaynaklanan sorunlar operasyonel riski olusturmaktadır ve firmaların bütün bölümleri bu riskten sorumlu tutulmaktadır. Firmalar iç kontrol sistemlerini karsılasabilecekleri risklerden korunmak ya da riskleri fırsata çevirmek amacıyla gelistirmektedirler ama bu sürecin yetersiz veya basarısız olması ya da yanlıs kullanılması operasyonel riskin ortaya çıkmasına neden olmaktadır. Operasyonel risk; yalnızca operasyonel islemlerle ortaya çıkan risk çesidi degil süreçlerin genelinde meydana gelecek herhangi bir aksaklıktır. Örnek verecek olursak; yapılan muhasebe hataları, bilgilerin sisteme yanlıs kodlanması veya eksik girilmesi, çalısanların firma araçlarını kendi amaçları dogrultusunda kullanmaları, çalısanların fiziksel ya da fikri hırsızlık yapmalar gibi.

40 2.2.2.Yönetim riski Firma yöneticilerinin hataları veya yanlıs kararları sonucu ortaya çıkan risk çesididir. Bu riskte firma yönetiminin yapacagı hatalar firmayı dogrudan etkileyeceginden yatırımcının firma hakkında bilgi edinmesinde bu risk çesidi önemli rol oynamaktadır. Firma yönetiminin aldıgı kararlar ve uyguladıgı politikalar firmanın gelismesinde ve büyümesinde olumlu ya da olumsuz etki yapmaktadır. Yönetim riski, basarı ya da basarısızlıkta önemli rol oynayan yöneticilerin kalite düzeylerinden ortaya çıkmaktadır. Bu nedenle firmaların basarılı olabilmesi için iyi bir yönetim kadrosuna sahip olmaları gerekmektedir. Yönetim riski firmaları finansal olarak olumsuz etkileyebilmektedir. Yöneticilerin hatalı kararları firmanın karlılıgını, piyasada ki etkinligini ve Pazar payının azalmasına neden olmakta ve bunun sonucu olarak da firmanın hisse senedi deger kaybetmektedir. Sistematik olmayan risk içinde finansal riskin mali tablolara yansımasının daha çabuk olması ve bu risk çesitleri arasında en önemli yeri olusturdugu için finansal risk bir sonraki bölümde daha ayrıntılı bir biçimde ele alınmaktadır Finansal risk Finansal risk sistematik olmayan risklerden biri olup firmanın finansal yapısından dogan, firma tarafından kontrolü saglanan ve portföydeki varlıkların çesitlendirilmesiyle azaltılabilen ya da yok edilebilen risk çesididir. Finansal risk, fiyatlarda olusan dalgalanmalar veya faiz oranlarındaki degisimler sonucunda firmaların aktiflerindeki ya da pasiflerindeki varlıkların degerlerinin degismesi olarak ifade edilmektedir. Bu risk çesidi, firmanın likiditesinin azalması, ekonomik ve çevresel kosullarda meydana gelen degisimlerin firmanın finansmanını etkilemesi sonucu ortaya çıkmaktadır. Firmaların temel fonksiyonu finansal risklerle ilgili öngörüleri tahmin etmek ve finansal riskleri aktif sekilde yönetmektir. Firma açısından finansal risk; pazar riski, kredi riski, likidite riski ve sermaye riski olarak dört çeside ayrılır Pazar riski Bu risk firmanın faaliyette bulundugu endüstri alanındaki arz ve talep degisiklikleri, piyasadaki yasal sınırlandırmalar, firmanın pazar istek ve ihtiyaçlarına yeterince cevap

41 verememesi, uygun fiyatlandırma politikalarının izlenmemesi ve gereken pazar arastırmalarının yapılmaması sonucu ortaya çıkmaktadır. Teknolojideki gelismelerin gerisinde kalan firma pazar payını kaybetme riskiyle karsı karsıya kaldıgı gibi bu gelismeleri yakından takip edip karsılasacagı riski fırsata da çevirebilmektedir. Pazar riski firmadan kaynaklandıgı gibi firmanın dısında gelisen olaylar sonucu da ortaya çıkabilmektedir. Firma dısında gelisen bu olaylar siyasi, spekülatif ya da psikolojik faktörlerden kaynaklanabilir. Firmanın faaliyette bulundugu pazardaki müsterilerin tüketim egiliminde ve tercihlerinde meydana gelen ani degismeler, ülkeler arası siyasi krizler ve savaslar ya da faaliyette bulunulan ülkede iç savasın çıkması bu riskin firmanın portföyünde bulunan varlıklarının üzerindeki etkilerine örnek olarak verilebilir. Pazar riskini etkileyen bir baska faktörde enflasyon oranıdır. Enflasyon oranındaki olası bir artıs firmanın yatırım kararlarının degismesine ve önceden yapılmıs olan yatırımlardan gelecek getirilerin de etkilenmesine neden olacaktır. Firmanın elinde bulundurdugu varlıkları ne ile (öz sermaye ya da borç) finanse ettigi de bu açıdan önemli olacaktır. Firmalar bu risk çesidini farklı çesitlendirme yollarıyla azaltmaktadırlar. Örnegin; enflasyon riskine maruz kalan firma finansmanında öz sermaye kullanımı yerine borç kullanmayı tercih ederek bulundugu ülkenin para degerini elinde bulundurmaktan kaçıp daha çok borçlanmayı seçmektedir. Bunun nedeni ise firma borçlanarak elde ettigi kaynakları öz sermayesine aktararak ilerde karsılasacagı satın alma gücü riskini azaltmıs olmaktadır. Özetleyecek olursak pazar riski firmalar açısından çift yönlü bir risktir. Birinci yönü, bu risk firmanın bulundugu pazarın dogal yapısı geregi olusabilmekte ve firmanın da bunun önüne geçemeyerek yalnızca daha fazla etkilenmemek için kendini bu riske karsı koruması ve dogabilecek fırsatlardan yararlanmaya çalısmasıdır. _kinci yönü ise, firmanın elinde bulundurdugu varlıkları nasıl finanse ettigi ve firmanın stratejik kararlarının ne kadar dogru olup olmadıgı ya da iyi bir sekilde uygulanıp uygulanmadıgıdır Kredi riski Kredi riski, borçlu firmanın veya alacaklı firmanın yükümlülük anlasmalarını yerine getirmemeleri üzerine ortaya çıkan risktir. Bu risk çesidi karsı tarafın kayıpla karsı karsıya kalmasına neden olabilmektedir. Bu yasanacak kayıp meydana gelecek gerçek kayıptan önce gerçeklesebilir. Daha genel olarak ifade etmek gerekirse kredi riski faktoring,

42 dogrudan kiralama ve vadeli finansman islemleri, bir menkul kıymetin ve kredi alım satım olayına baglı olarak, firmanın piyasa degerinde karsılasması olası kayıplar olarak tanımlanmaktadır. Kredi riski sadece vadesi gelen tutarın vadesinde ödenmemesi degil kısmi ya da gecikmeli ödenmesini de içermektedir. Çünkü vadesi geldiginde ödenmeyen tutar firmanın nakit akısını etkiler ve firmayı belirsizlige sürükleyebilir. Bununla beraber firmalar kredi tahsis ettikleri kurulusların kredi derecelendirme notlarının belli bir seviyenin altına düsmesi sonucu riskine de maruz kalabilirler. Riske maruz kalınan tutar, kredi tutarı olsa da riskin gerçeklesmesi anında kayıp olarak nitelendirilir ve bu nitelendirilen tutar hesaplanırken tutarın niteligi ve likiditesi göz önüne alınmalıdır. Kredi riskinde firmaların ve kurulusların dikkat etmesi gereken bir diger hususta takas riskidir. Bu risk döviz kurlarındaki degis tokusların yapılması sırasında sıkça karsılasılan bir risk çesididir. Farklı zamanlarda farklı ülkelerden yapılan döviz degis tokusları bu riski içermektedir. Örnegin; sabah Avrupa da yapılan kredi teslimatlarının Amerika da ögleden sonra yapılıyor olması. Kredi riskinin üç temel bileseni vardır. Bunlardan ilki, firmalar veya kuruluslardan birinin basarısızlıga ugraması sonucu ortaya çıkan kayıp miktarıdır. İkincisi ise, taraflardan birinin borcunu ödeyememesi ya da diger tarafın alacagını temin edememesi durumudur. Bu durum taraflardan birinin sözlesme yükümlülügünü yerine getirememesi anlamına da gelmektedir. Sonuncu bilesen ise, taraflardan birinin borcunu ödeyememesi durumunda kaybedilecek kısmın bir kısmını kurtarma oranıdır. Bunları dikkate alarak finansal firmalar ya da kredi veren kuruluslar kredi riski yönetimi sürecinde müsterileri hakkında bilgi toplamalılar, onları bu bilgileri dogrultusunda finansal yeterliliklerine göre derecelendirmeliler ve kredi portfolyosu degerlerini kapsamlı sekilde degerlendirmelidir. Sonuç olarak kredi riskiyle karsı karsıya kalmak istemeyen firmalar ya da kuruluslar yapmıs oldukları sözlesme yükümlülüklerini yerine getirmek ve planlanmıs geri ödeme çizelgelerine uymak zorundadırlar Likidite riski Likidite risk, firmanın su anki ve gelecekteki nakit akıslarının ve firmanın ekonomik durumunu ya da günlük operasyonlarının etkisi olmadan ortaya çıkan ek ihtiyaçlarını hızlı ve verimli bir sekilde karsılayamıyor olması riskidir. Bu risk bireysel stoklarda (hisse

43 senetlerinde) ve piyasa içinde genel olarak degisiklik göstermektedir. Örnegin, piyasa likiditesinin olmaması ihtimalinin yatırımcı açısından büyük risk kaynagı olusturmasıdır. likidite riski, firmanın borç yükümlülüklerini yerine getirememesi riskiyle karsı karsıya kalmasıdır. Borçların temerrüdünün veya alacakların degersiz hale gelebileceginin önemsenmemesi nakit ihtiyacının önemini arttırır. Bu ihtiyaç duyuldugu zaman firmanın finansmanındaki varlıklar arasından en uygun olan alternatifi seçme ihtimalide ortadan kalkmaktadır. Nedeni ise firma alternatif varlık (tahvil, pay senedi vb.) seçmek için belli bir süreye ihtiyaç duymaktadır. Firmanın varlıklarını istedigi anda nakite çevirememesi riskine varlık likiditesi, nakit akımından meydana gelen riske de fon likiditesi riski denmektedir. Varlık likidite riski, piyasa likiditesi olarak da ifade edilmektedir. Örnegin, güçlü dövizler olsun hazine bonosu olsun bunlar düsük fiyatla likidite edildigi için derin piyasaya sahiptirler. Tezgah üstü türev araçları veya hisse senetlerindeki islemler fiyatlar üzerinde yüksek etki oranına sahiptir. Tabi bu firmanın aldıgı pozisyonun bir parçasıdır. Nakit akım likidite riski ise, kayıt altındaki kayıpları tahakkuku saglanmıs kayıplara dönüstüren ödeme yükümlülüklerindeki yetersizligi ifade etmektedir. Bu fonlama riski nakit akım ihtiyaçlarına uygun belirli programların ve çesitlendirilmelerin yapılması, olusan nakit akım aralıklarına belirli sınırların konulmasıyla ve nakit akımdaki daralmaların giderilmesine iliskin uygun yöntemlerin kullanılmasıyla control edilebilmektedir. Firmanın bilançosu ne kadar büyük olursa ya da karmasık hale gelirse ve sermaye piyasalarında fon ihtiyacı ne kadar artarsa, firma için likidite riskini yönetmek de o kadar karmasık ve zor hale gelmektedir. Bu nedenle firma yönetimleri likidite ihtiyaçlarını iyi belirlemeli ve yüksek maliyetli fon seçiminden ya da paraya çevrilme gücü düsük varlıklardan onları uzak tutacak gerçekçi bir planlama yapmak zorundadırlar Sermaye yapısı riski Firmalar sermaye yapılarını öz sermaye ya da borç kullanarak olustururlar. Bu olusum öz sermaye ve yabancı kaynakların firma finansmanındaki dagılımını ifade etmektedir. Firmaların sermaye yapıları seçimleri firmanın büyüklügü, faaliyet gösterdigi pazarın özellikleri, sahip oldugu varlık yapısı ve makroekonomik kosullar gibi etkenlere göre degismektedir.

44 Firma yöneticilerinin, firma varlıklarını yönetmekte izledikleri stratejiler ve aldıkları kararlar firmanın degerinin artmasında ve finansal yapısında önemli rol oynamaktadır. Alınacak yanlıs bir karar ya da uygulanacak yanlıs bir strateji firmayı iflas riskiyle dolayısıyla da sermaye riskiyle karsı karsıya bırakabilir. Firma yöneticileri burada firmanın degerine deger katacak, kullandıgı kaynakların maliyetini düsük tutacak, istek ve ihtiyaçlarına en yüksek seviyede cevap verecek ve karsılasacagı riskleri en aza indirecek bir optimum sermaye yapısı olusturmalıdırlar. Kurumsal finans literatüründe de ana konu firmaların optimum sermaye yapısı düzeylerinin belirlemeleridir. Optimum sermaye yapısı, risk ile karlılık arasındaki dengeyi saglamaktadır. Bu sermaye yapısı firmaların ekonomik güçlerine, büyüklüklerine ve faaliyet gösterdigi alanın yapısına göre firmadan firmaya degismektedir. Sermaye yapısı ne kadar saglam ve güçlü olursa finansal açıdan firmalarda o kadar rahat etmekte ve riskten o kadar uzaklasmaktadır. Sermaye yapısı eger gereginden fazla borçla olusturulmus ise firmanın sermaye yapısı riskini dogal olarak yükseltmekte ve firma karlılıgını olumsuz etkilemektedir. Eger düsük oranda borç kullanılmıs ise firmanın karı yükselmekte ve firma yükümlülüklerini tam zamanında yerine getirmektedir. Özetle firmanın olusturmus oldugu sermaye yapısı firmanın karsılasacagı Pazar riskini, kredi riskini, likidite riskini ve firma riskini etkilemektedir ya da bu risklerden etkilenmektedir. Bu nedenle firmalar sermaye yapılarını olustururken bu etkenleri degerlendirerek yapacakları yatırımlara ve bu süreçte yatırımlardan bekledikleri getirilere iliskin uygun kararları almalı ve bu kararları iyi bir sekilde uygulamalıdırlar.

45 Bu Bölümde Ne Öğrendik Özeti Sistematik Risk Piyasa Riski Politik risk Faiz oranı riski Döviz Kuru Riski Enflasyon riski Yasal risk Sistematik olmayan risk Operasyonel risk Yönetim riski Finansal risk Pazar riski Kredi riski Likidite riski Sermaye yapısı riski

46 Bölüm Soruları S.1. S.2. S.3. S.4. S.5. S.6. S.7. S.8. Sistematik Risk nedir açıklayınız? Piyasa Riski nedir açıklayınız? Politik risk nedir açıklayınız? Faiz oranı riski nedir açıklayınız? Döviz Kuru Riski nedir açıklayınız? Enflasyon riski nedir açıklayınız? Yasal risk nedir açıklayınız? Sistematik olmayan risk nedir açıklayınız? S.9 Hangisi bir sistematik risk değildir? a. Piyasa riski b. Politik risk c. Yönetim riski d. Yasal risk S.9 Hangisi bir sistematik olmayan risktir? a. Piyasa riski b. Politik risk c. Yönetim riski d. Yasal risk Cevaplar: 9. c, 10.c

47 3. RİSK YÖNETİM SÜRECİ

48 Bu Bölümde Neler Öğreneceğiz? Risk Yönetimi ve Önemi Risk Yönetiminin Amacı ve Kapsamı Risk Yönetimi Süreci Risk Yönetiminde T Yaklaşımı Risk Alma Eğilimlerine Göre Risk Yönetim Türleri Entegre/Bütünelşik Risk Yönetimi Stratejik Risk Yönetimi ve Planlaması

49 Bölüm Hakkında İlgi Oluşturan Sorular S-1. Evinize hırsız girmemesi için hangi tedbirleri alıyorsunuz? S-2. Bilgisayarlarda antivirüs programlarına neden gerek var?

50 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Risk Yönetimi ve Önemi Risk Yönetimi Süreci Kazanım Risk Yönetimi ve Önemini açıklar Risk Yönetimi Sürecini gerçekleştirir Kazanımın nasıl elde edileceği veya geliştirileceği Risk Yönetimi ve Önemini analiz ederek Risk Yönetimi Sürecini uygular

51 Anahtar Kavramlar Risk Yönetimi ve Önemi Risk Yönetiminin Amacı ve Kapsamı Risk Yönetimi Süreci Risk Yönetiminde T Yaklaşımı Risk Alma Eğilimlerine Göre Risk Yönetim Türleri Entegre/Bütünelşik Risk Yönetimi Stratejik Risk Yönetimi ve Planlaması

52 3.1.Risk Yönetimi ve Önemi Risk; kurumların hedeflerine ulaşmasını tehlikeye düşüren, beklenmedik olaylar olarak tanımlanabilir. Risklerin kaynağı, kurumun faaliyet gösterdiği çevredeki belirsizlikler ve gelecekteki bilinmeyen olaylardır. Bu olayların kurum için olumlu ya da olumsuz etkileri olabilmektedir. Bu nedenle her kurum faaliyetlerini sürdürebilmek için bu olayları öngörmek, olumlu etkisi olan fırsatları kurumun lehine kullanmak, olumsuz etkisi olan riskleri ise çeşitli yöntemlerle yöneterek kurumu hedefleri doğrultusunda ilerledikleri yolda tutmak zorundadır. Günümüzde yönetime en fazla güçlük çıkaran sorun, değer yaratma sürecinde kurumun ne kadar risk üstlenmeye hazır olduğuna karar verebilmektir. Bu kararı verebilmek için kurumun iyi bir risk yönetim sürecini yerleştirmiş olması gerekmektedir. Risk sonucun tahmin edilemez olmasıdır ve iyi bir risk yönetimi kuruma şunları sağlar: Kurumun istediği sonucu elde etmesine artan güven Tehditleri kabul edilebilir seviyede sınırlamak Fırsatlardan yararlanma konusunda elde edilen gerekli bilgiye dayanarak kararlar almak Paydaşların kurumun yönetimine ve hüküm verme yeteneklerine olan güvenlerinin artması Risk yönetimi, iyi yönetimin ve karar almanın ayrılmaz bir unsurudur. Tüm kurumlar fark etseler de etmeseler de risk yönetimi yaparlar. Kimi kurumlar risk yönetimini daha ciddiye alır ve sistematik bir biçimde uygular. Bazıları ise bir sistem olarak algılamamakla birlikte günlük kararları alırken ve kurumu yönetirken riskleri de yönetirler. Risk yönetimi ise kurumun hedeflerine ulaşmasını engelleyecek risklerin belirlenmesi, azaltılması ve başarıya ulaşılmasını sağlayacak fırsatların ortaya çıkarılarak kullanılması sürecidir. Günümüz dünyasının giderek karmaşıklaşan yapısı ve artan değişim, karşılaşılan riskleri ve bunların etkilerini durmaksızın artırmaktadır. Risk yönetimi, iyi yönetimin ve karar almanın ayrılmaz bir unsurudur. Tüm kurumlar farketseler de etmeseler de risklerini yönetirler. Genel bir bakış açısıyla bakılacak olursa risk yönetimi; riskin tanımlanmasına,

53 analizine, değerlendirilmesine, mücadele edilmesine ve izlenmesine ilişkin yönetim politikalarının, prosedürlerinin ve uygulamalarının sistematik bütünü olarak tanımlanabilir. Risk yönetimi ile riskli bir durumun yaratacağı olumsuz etkilerin en aza indirilmesi ya da pozitif sonuçlarının mümkün olabildiğince fazlalaştırılması sağlanmaya çalışılır. Gelecekteki olayların kurum için olumlu ya da olumsuz etkileri olabilmektedir. Bu nedenle her kurum, faaliyetlerini sürdürebilmek için bu olayları öngörmek, olumlu etkisi olan fırsatları kurumun lehine kullanmak, olumsuz etkisi olan riskleri ise çeşitli yöntemlerle yöneterek kurumu hedefleri doğrultusunda ilerledikleri yolda tutmak zorundadır. Bunun için kurumların iyi bir risk yönetim sürecine sahip olmaları gerekmektedir.

54 Şekil 3.1. Risk Yönetim Süreci Şekil 3.1 e göre risk yönetim süreci aşağıdaki aşamalardan oluşmaktadır : i. Kurumsal hedefleri anlama. ii. Risk yönetim misyonunu tanımlama (hedef ve politika belirleme). iii. Risk ve belirsizliklerin değerlendirilmesi (tanımlama, analiz ve ölçme). iv. Risk kontrolü (ortadan kaldırma, kaçınma, azaltma, önleme ve yönetme).

55 v. Risk finansmanı (riskin finansal sonuçlarının ölçümü ve değerlendirmesi). vi. Program yönetimi (uygulama tedbirleri geliştirme, inceleme ve izleme). Risk yönetimin ilk defa uygulanacağı kurumlarda kurumsal yapı sistemin uygulanmasına imkân verecek biçimde şekillendirilmektedir. Bu aşamada sorumlular ve sorumluluklar belirlenmekte, iletişim yapısı uygun hale getirilmekte ve gerekli fiziki donanım sağlanmaktadır.risklerin yönetimi için kurum strateji, süreç, personel, teknoloji ve bilgi birikiminin birlikte hareket etmesi gerekmektedir. Risk yönetimin amacı gelecekte kuruma zarar verme olasılığı olan olayları ve olayların meydana gelmesi durumunda ortaya çıkacak olumsuz sonuçları azaltmak, olası sonuçlarda meydana gelebilecek sapmaları kontrol etmek, fırsatların önceden farkına varılmasını sağlayarak kurum için avantaja dönüştürülmesine öncülük etmek, risk yönetim sonuçlarına yönelik farkındalığı artırmak ve hedeflere ulaşılmasını sağlayıcı süreçleri koordine etmektir. İyi bir risk yönetim sistemi kurumun; istediği sonuçlara ulaşma güvenini artırır, tehditleri kabul edilebilir bir seviyede etkili bir şekilde tutmasını ve fırsatları kullanarak bilinçli karar almasını sağlar. 3.2.Risk Yönetiminin Amacı ve Kapsamı Risk yönetimi, karar vericilerin riski azaltmak veya ortadan kaldırmak üzere yararlandıkları bir yoldur. Risk yönetim süreci, herhangi bir durum için en uygun eylem biçiminin seçimi ve tanımlanmasında yönetici ve personele sistematik bir mekanizma sağlamaktadır.108 Risk yönetimi, riski iyi tanımak, doğru teşhis etmek, bertaraf etmenin yollarını aramak ve minimize ederek transfer edebilmek süreçlerinden oluşur. Belirsizliğin yarattığı bir sis perdesi mevcuttur ve risk yönetim modelleri, risklerin sistem boyunca iletişiminin sağlanmasını sağlayan bir mekanizma oluşturur. Bir risk yönetimi sistemi, bir modeldir; risklerin tanımlanması, sınıflandırılması, analiz edilmesi ve bunların sonucunda riske karşı bir tepki verilmesi için bir araç sunar. Risk yönetimi, bireyleri ve örgütleri aydınlatmak suretiyle çok çeşitli kaynaklardan gelebilecek risklere karşı uyarmaya ve bu alanlardaki kontrolü artırmaya yönelik önlemler dizisi olarak anlaşılabilir.

56 Risk yönetimi, risk/kazanç dengesinin şirket üst yönetiminin risk alma profiline uygun olarak oluşturulmasıdır. Şirketler iktisadi olarak kar elde etmek amacı ile kurulmaktadır. Ancak bu karı elde edebilmek için belirli risklerin alınması gerekmektedir. İşte risk yönetimi, arzu edilen kar miktarına ulaşabilmek için hangi risklerin, ne ölçüde alınması gerektiğini belirleyen ve bu sürecin planlandığı şekilde gerçekleşmesini güvence altına almayı hedefleyen bir sistemdir. Risk yönetimi, bir yönetim aracıdır. Kurumun arzu ettiği risk/kazanç dengesine ulaşması amacında kullanılan bir araçtır. Risk yönetimi tanım olarak, riskin tümüyle engellenmesi değil, sorunlara sistematik ve dikkatli bir şekilde yaklaşılması ve almaya karar verilen risklerin dikkatli yönetimi yoluyla gereksiz kayıpların engellenmesi anlamına gelmektedir. Başarılı bir risk yönetimi için örgütlerin varlıklarına ve hedeflerine yönelik riskleri belirlemek, analiz etmek, kontrol altında tutmak ve izlemek gerekmektedir. Risk yönetim politikası aşağıdaki bölümleri içermelidir: Risk yönetimi ve iç kontrol hedefleri (yönetişim) Kurumun riske karşı davranış tarzının beyanı (risk stratejisi) Risk farkındalığı kültürünün veya denetim ortamının açıklaması Seviye ve mahiyeti kabul edilebilir risk (risk iştahı) Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi) Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme) Risk analizi ve raporlama için belgeler listesi (riski protokolleri) Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi) Risk yönetimi rollerinin ve sorumluluklarının tahsisi Risk yönetimi eğitim konuları ve öncelikleri Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama) Risk yönetimi için uygun kaynakların tahsisi Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri 3.3.Risk Yönetimi Süreci Risk yönetim fonksiyonunun rolü: risk yönetim strateji ve politikalarını belirlemek; stratejik ve operasyonel düzeyde risk yönetimi sağlamak; risk farkındalık kültürü oluşturmak, buna yönelik eğitimleri koordine etmek; iş birimlerine yönelik risk politika

57 ve yapıları oluşturmak; risk yönetimi için süreçleri tasarlamak ve yeniden gözden geçirmek; kurum içinde risk yönetimini geliştirici faaliyetleri koordine etmek; acil durum ve iş süreklilik programları dâhil olmak üzere risk tutumlarını geliştirmek ve yönetim kurulu ve paydaşlar için rapor hazırlamaktır. Risk yönetimi, belirsizlikleri ve belirsizliğin yaratacağı olumsuz etkileri daha kabul edilebilir bir düzeye indirgemeyi sağlayan bir disiplindir. Problemlerin oluşmadan önlenmesini sağlayan proaktif bir yaklaşımdır. Kurumların başarıları, problemleri oluşmadan önleyebilmeleri ile doğrudan ilişkilidir. Öngörülebilen potansiyel problemler ya da riskler mercek altına alınarak kurumun ya da programın başarısına olumsuz etkileri en aza indirgenmelidir. Risklerin öngörülmesi ve azaltılması çalışmaları yalnızca problemlerin oluşmadan önlenmesini sağlamakla kalmayıp önemli fırsatları da yakalama olanağı sunacaktır. Beklenmedik bir olayla karşılaşma anında baş edilmesi gereken tek sorun, olayın üstesinden gelmek değildir. Aynı anda, olayın üstesinden gelecek stratejilerin ve yolların da belirlenmesi gerekir. Risk yönetimi için kapsamlı, uygun ve iyi planlanmış bir stratejiye ihtiyaç vardır. Risk yönetimi kurum stratejisi ve stratejinin uygulanması kapsamında işleyen ve gelişen sürekli bir süreç olmalı ve kurum kültürüne etkili plan ve programla üst yönetim tarafından entegre edilmelidir. Kurumun dünkü, bugünkü ve özellikle gelecekteki faaliyetleri kapsamında tüm riskler değerlendirilmelidir. Stratejiler uygulama hedeflerine dönüştürülmeli ve kurum yönetici ve çalışanlarının iş alanlarındaki risk yönetim sorumlulukları belirlenmelidir.sorumluların hesap verme sorumluluğu ve performans ölçümü, kurumun her seviyesinde etkinliği artırmak amacıyla, risk yönetim sistemince desteklenmektedir. Riske yönelik bireysel ya da grup yaklaşımının biçimlenmesinde son edinilen deneyimler ve kurumun ödül veya ceza sistemi etkili olmaktadır.

58 Şekil 3.2. Risk Yönetim Sürecinin Sürekliliği Şekil 3.3. ISO e göre Risk Yönetim süreci Tablo 3.1. Risk Analizi ve Yönetim Modeli

59 Şekil *3 Risk Matrisi Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle dikkate alınır. Her kurum risk iştahına dayalı olarak riskleri azaltmak ya da kabul edilebilir seviyeye getirmek için çeşitli yöntemler kullanır. Her kurum farklı bir yöntem kullanabilir;

60 ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3 (yüksek-orta-düşük) matrisini kullanmaktadır. Bazıları da 5*5 (önem derecesi çok düşük, önemsiz, makul, önemli, feci (yıkıcı)) matrisinin daha iyi sonuç verdiğini düşünerek bunu tercih etmektedir Şekil *5 Risk Matrisi Risk analiz süreci tamamlandıktan sonra kurumun risk kriterleri ile risk tahminlerinin karşılaştırılması gerekir. Risk kriterleri ilgili maliyet ve faydaları, yasal gereklilikleri, sosyoekonomik ve çevresel faktörleri, paydaşların kaygılarını vb. unsurları içerir Kurumsal risk yönetim sürecinde birçok kurum risk etki ve olasılık haritası oluşturmaktadır. Haritalarda risklerin aynı zamanda aynı alana koyulduğunda nasıl göründüğü de analiz edilir. Bu basit bir uygulama gibi görünse de sonuçları etkileyici olabilir. Risk haritalama aynı zamanda kurumun risk tutumu belirlemesine yardımcı olmaktadır. Haritalamanın önemi, tarafların risklere yönelik ortak aklını yansıtmasıdır. Risk haritaları aynı zamanda risklerle ilgili önemli bilgileri içermektedir. Olasılık değerlendirmesi yapılırken kurumsal risk yönetim personeli çeşitli ölçekler kullanabilir. Örneğin: düşük, orta,

61 yüksek; olanaksız, olası, büyük olasılık; kesin ve önemsiz, muhtemel, kuvvetle muhtemel vb. şeklinde. Aynı şeyler risk etki değerlendirmesi için de geçerlidir: düşük, orta ya da yüksek etki; az, orta, kritik ya da hayatta kalma Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle dikkate alınır. Her kurum risk iştahına dayalı olarak riskleri azaltmak ya da kabul edilebilir seviyeye getirmek için çeşitli yöntemler kullanır.her kurum farklı bir yöntem kullanabilir; ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3 (yüksek-orta-düşük) matrisini kullanmaktadır Risk yönetimi, kurum hedeflerini destekleyerek kurumu ve paydaşlarını korumakta ve onlara değer katmaktadır. Sistem kurum hedeflerini desteklerken, kurumun gelecekteki faaliyetlerinin tutarlı ve kontrollü bir şekilde oluşumu için bir çerçeve sunar; karar alım süreçlerinin iyileştirilmesine, kapsamlı ve yapısal iş alanlarının planlanması ve önceliklendirilmesine yardımcı olur; sermaye ve kaynakların daha verimli kullanımına, kurum imaj ve varlıklarının korunması ve geliştirilmesine katkı sağlar; personel ve kurum bilgi tabanını geliştirir ve destekler; kurumun çalışma alanındaki sert kayıp ya da dalgalanmaları azaltır ve kurumsal etkinliği ve verimliliği artırır. Kötü olan risk değil, riskin anlaşılmaması, yanlış değerlendirilmesi, yönetilememesi ve göz ardı edilmesidir. İyi bir risk yönetim sistemi ileriye yönelik karar alımında ve yönetiminde kurum yöneticilerine yardımcı olmakta ve sadece kayıpların önlenmesi ya da azaltılması değil, aynı zamanda değer katıcı fırsatların fark edilmesini sağlamaktadır. Bu ifadelendirmelere ilişkin değerlendirmelere Tablo 3 de yer verilmektedir. 3.4.Risk Yönetiminde 4T Yaklaşımı 4T Yaklaşımı, risk yönetimini Tespit, tahlil, tedbir ve takip olarak dört aşamada anlatmaktadır Tespit / Belirleme Risklerin belirlenebilmesine işletmenin çevresini iyi tanımakla başlanmaktadır. İşletmenin faaliyetini sürdürdüğü yasal, ekonomik, kültürel ortam ve içinde bulunduğu pazar analiz edildikten sonra işletmenin stratejik ve operasyonel hedefleri doğrultusunda temel riskler ortaya konulmaktadır. Deneyimler ve çevreden elde edilen bilgi

62 çerçevesinde sistematik ve sistematik olmayan riskler genel olarak belirlenmeye çalışılır. Riskler tespit edilirken tehlikelerin yanında fırsatlar da belirlenmektedir. Şeki 3.6. Risk ve Fırsatların Amaçlar Üzerindeki Etkisi Tahlil / Analiz İşletme içerisindeki alt birimler ve farklı birimlerden oluşmuş gruplar belirlenen risklerin olası etkilerini inceler. Tahlil aşamasında tüm iştirakler, orta ve üst kademe yönetiminin katılımı ile workshoplar, olasılık-etki analizleri ve anketler uygulayarak riskleri tahlil eder ve önceliklerini belirler. Riskleri belirlemek için kullandığımız başlıca araçlar; risk haritaları, risk göstergeleri, iç değerlendirme, geçmiş kayıp verileri, workshoplar, dış denetim ve mevzuat gereklilikleri, en iyi uygulamalar ve yasal yükümlülükler olarak sayılabilmektedir. Bu aşama, riskin yerine geçebilen çeşitli araçları analiz etmeyi de içermektedir. Tahlil aşamasının önemli özelliği, risk yönetimi aracının fayda-maliyet analizinin doğru yapılmasıdır. Örneğin, işletmenin döviz kuru riskine karşı türev araçlardan faydalanarak güvenlik önlemleri alacağını farz edelim. İlgili türev aracın fiyatı ile riski azaltma yönündeki faydaları analiz edilebilmelidir Tedbir / Uygulama Tedbir aşaması, mevcut risk yönetimi seviyesinin belirlenmesi ve gerekirse yeni risk karşılama stratejilerinin oluşturulmasıdır.43 En uygun çözümün seçilip uygulanması bu aşamadadır. Risk yönetiminde en çok istenen, sorunları gerçekleşmeden önce belirleyip ortadan kaldırmaktır. Fakat bu her zaman mümkün değildir. Belirlenen risklerin meydana

63 gelme olasılığı ve etkisinin en aza indirgemesini sağlayan faaliyetler planlanıp uygulanmaktadır Takip / Performans Ölçümü Riski ölçmek, riski yönetmenin esaslı bir parçasıdır. Şeffaf ve güvenilir risk yönetim yapısının oluşturulmasının ardından, risk politikaları ve prensipleri dahilinde, risk karşılama etkinliğinin periyodik ve sistematik takibi yapılmaktadır. İşletmelerin kurmuş oldukları risk yönetimi yapılarında riskleri tamamen ortadan kaldırmaları mümkün olmamaktadır. Bu nedenle kabul edilebilir seviyedeki risk izlenmektedir. Takip aşamasında ölçümlenen risk, sayılabilen risk olarak adlandırılmaktadır. Takip aşamasında cevaplarını aradığımız sorular aşağıdaki gibidir: S.1. Teşhis edilip ortaya çıkarılan ölçümler doğru mu? Risk yönetimi araçları kullanışlı mı? Fayda-maliyet analizleri uygun şekilde değerlendirilmiş mi? Beklenmedik sonuçlarla karşılaşıldı mı? İlgili deneyimlerden neler öğrenilebilir? Risk yönetimi kalitesi nasıl geliştirilebilir? 3.5.Risk Alma Eğilimlerine Göre Risk Yönetim Türleri Riske karşılık vermenin amacı tehditleri sınırlayarak ve fırsatlardan fayda sağlayarak belirsizliği kurumun menfaatine çevirmektir. Kurum tarafından, riski yönlendirmek için yapılan her faaliyet, iç kontrol olarak bilinen kavramın bir parçasını oluşturur. Riske karşılık vermenin beş temel yolu vardır: riski kabul etmek, riski azaltmak, riski transfer etmek, riskten kaçınmak ve diğerlerinin bir alternatifi olmayıp tüm risklerde değerlendirilmesi gereken fırsatların gözetilmesidir.

64 Şekil 3.7. Riske Karşılık Verme Seçenekleri Riski Kabullenme / Göze Alma Maruz kalınan risk herhangi bir karşılık vermeye gerek olmaksızın katlanılabilir olabilir. Katlanılabilir olmasa bile bazı risklerle ilgili önlem alma kabiliyeti sınırlı olabilir veya herhangi bir faaliyette bulunmanın maliyeti kazanılacak potansiyel yarara göre orantısız olabilir. Böyle durumlarda riske verilecek karşılık, riskin var olan düzeyine katlanmaktır. Tabi ki bu seçenek risk gerçekleşirse etkisiyle başa çıkabilmek için acil durum planlarıyla tamamlanmalıdır. Bunun dışında içinde doğası gereği belirli bir oranda tehdit bulunduran risklere diğer riske karşılık verme seçeneklerinden biri veya birkaçı uygulandıktan sonra geriye bir miktar risk kalacaktır. Artık riskler; yapısal risklere karşılık verildikten sonra kalan risk miktarıdır ve kurum her halükarda bu riskleri kabul etmek durumundadır.

65 3.5.2.Riskten Kaçınma / Faaliyetten Vazgeçme Bazı riskler sadece faaliyete son verilerek kabul edilebilir seviyede sınırlandırılabilir. Şuna dikkat edilmelidir ki faaliyete son verme seçeneği özel sektörle karşılaştırıldığında kamu sektöründe ciddi biçimde sınırlı olabilir; birkaç faaliyet kamu sektörü tarafından yürütülür çünkü bağlı riskler o kadar yüksektir ki toplum yararı için istenen çıktının veya gelirin elde edilmesinin başka yol yoktur. Bu seçenek özellikle tahmini fayda maliyet ilişkisinin tehlikeye düşeceği açık hale gelirse proje yönetimi için önemli olabilir Riski Azaltma / Riskle Mücadele Etme Şimdiye kadar risklerin büyük çoğunluğu bu yolla yönlendirilmiştir. Azaltmanın amacı kurumda riskin doğumuna neden olan faaliyet devam ederken riski kabul edilebilir bir seviyede sınırlamak için harekete geçmektir. Riskleri azaltmanın iki yöntemi vardır. Risklerin olasılığının azaltılması ve/veya etkilerinin azaltılması şeklinde özetlenebilecek olan bu yöntemlerin ilkinde uygun kontroller yardımı ile olayların olumsuz etkilerinin ortaya çıkma ihtimalinin azaltılması söz konusuyken ikincisinde amaç olayların olumsuz etkilerinin büyüklüğünün azaltılmasıdır. Olumsuz etkilerin azaltılmasına yönelik kontroller olay öncesinde önlem alma veya olay olduktan sonra zararın azaltılması için plan yapılması şeklinde olabilir Riskin Transferi / Paylaşma Bazı riskler için en iyi karşılık onları transfer etmek veya riski yaymak olabilir. Bu geleneksel sigorta yöntemiyle yapılabilir veya üçüncü bir şahsa başka bir şekilde riski üstlenmesi için ödeme yapmak yöntemiyle yapılabilir. Bu seçenek özellikle finansal risklerin veya varlıkların riskinin azaltılması için uygundur. Ya maruz kalınacak risk oranını azaltmak için ya da başka bir organizasyon (belki de başka bir devlet kuruluşu) riski etkili yönetmeye daha muktedir olduğundan, riskin transfer edilmesine karar verilebilir. Bazı risklerin tamamen transfer edilemeyeceğine dikkat etmek önemlidir, özellikle hizmetin yerine getirilmesi anlaşma ile başka şirkete bırakılmış olsa bile genelde itibari riskleri transfer etmek mümkün değildir. Riskin başarıyla transfer edilmesini garantilemek için riskin transfer edildiği üçüncü şahısla olan ilişkiler dikkatle yönetilmelidir.

66 3.6. Entegre/Bütünelşik Risk Yönetimi Bu çerçeve kanada hükümetinin kamu sektöründe risk yönetimi uygulamalarını güçlendirmek için geliştirilmiştir. Bunu yaparak bütünleşmiş risk yönetimi çerçevesi Kanada halkı için şu sonuçların elde edildiğinin altını çizmektedir: vatandaş odağı, değerler, sonuçlar ve harcama sorumluluğu. Bu çerçevenin tasarlanma amacı modern yönetim uygulamalarının yerleştirilmesi ve federal kamu hizmetlerinde yeniliklerin desteklenmesidir. Bu çerçeve bir kuruma farklı riskleri aynı seviyeye indirerek sürdürülebilirliği sağlamak, karşılaştırma yapmak ve tartışmak tabanında stratejik risklerin yönetilmesi için genel bir yaklaşım geliştirir. Bütünleşmiş risk yönetimi risk yönetimine kıyasla, daha çok kurumun tümünü kapsayan bir yaklaşımdır. Bu yaklaşımla kurumların ve çalışanlarının doğasını daha iyi anlamaları ve riskleri daha sistematik yönetmeleri sağlanır. Bu dört aşamada gerçekleşir: kurum risk profilini oluşturmak, bütünleşmiş risk yönetimi fonksiyonu oluşturmak, bütünleşmiş risk yönetimi uygulamak ve risk yönetiminin sürekli öğrenildiğini garantilemek. Bütünleşmiş risk yönetimi fonksiyonunun yerleştirilmesi: Bütünleşmiş risk yönetimi fonksiyonunun yerleştirilmesi için risk konularının içsel olarak anlaşılması ve iletişimin güçlendirilmesi için tasarlanan ve üst yönetime bir yön çizmek konusunda destek olan risk yönetimi altyapısı oluşturulmalıdır. Kurum risk profili kurum risk yönetiminin hedef ve strateji kurması için gerekli verileri sağlar. Etkili olmak için risk yönetimi kurumun genel hedefleri, kurumun ilgi odağı, stratejik yönü, faaliyet uygulamaları ve iç kültürü ile uyumlu olmalıdır. Risk yönetiminin etkili olabilmesi için var olan yönetim ve karar verme yapısına ve faaliyet ve strateji seviyelerine yerleştirilmesi gereklidir. Risk yönetiminin rasyonel, sistematik ve aktif bir biçimde yerleştirilmesini garantilemek için bir kurum birbiriyle ilintili üç sonuç aramalıdır: Risk yönetimi ile ilgili yönetimin yönü (vizyonu, politikaları, faaliyet prensipleri) ilerletilmeli, anlaşılmalı ve uygulanmalıdır. Bütünleşmiş risk yönetimini yaklaşımının var olan karar verme yapısına yerleştirilmesi gerekir Kapasite inşa etmek: kurumda kullanılmak üzere geliştirilen planlar ve araçlar öğrenilmelidir.

67 Risk yönetiminin uygulanabilmesi için öncelikle kurumun risk yönetimi vizyonunun, hedeflerinin ve faaliyet kriterlerinin oluşturulması ve iletilmesi gerekir. Bu araçlar kullanılarak risk yönetiminin herkesin görevi olduğu anlayışı güçlendirilmelidir. Süreç yerleştirilirken stratejik risk yönetiminin yönü belirlenmeli, iç ve dış meseleler, bakış açıları ve risk toleransı göz önünde bulundurulmalıdır. Risk yönetiminin etkili biçimde uygulanması, var olan karar verme sürecine dahil edilmesine bağlıdır. İyi yönetimin vazgeçilmez bir unsuru risk yönetimidir. Uygulamanın başarıyla yerleştirilmesi için yönetim genelinde ve ilgili daireler bazında yönetimin geri beslemesi için risk yönetimi faaliyetlerinin değerleme ve raporlama mekanizmaları oluşturulmalıdır. Sonuçlar sürekli olarak izlenmelidir. Kurumsal kapasite yaratmak bir başka önemli unsurdur. Bu, kurum risk yönetimini yerleştirdikten sonra bile yönetimi zorlayan bir görevdir. Çevre taraması ve dikkate değer yeni alanların ve faaliyetlerin dikkate alınması devam etmelidir. Bu risk yönetimi yeteneğini geliştirir ve uygulamanın başarı şansını arttırır. Her kurum karşı karşıya olduğu risklere karşı kendi kapasite stratejilerini belirlemelidir. Risk kapasitesinin belirlenmesi risk profilinin çıkarılması ile daha kolaylaşacaktır. Risk profili kurumun var olan güçlü ve zayıf yanlarını tanımlar. Bütünleşmiş risk yönetimi yaklaşımını kuruma yerleştirmek yönetimin karar vermesi ve güçlü bir bağlılıkla bunu uygulamasına ve kurumsal hedeflerin gerçekleştirilmesine bağlıdır. İyi bir risk yönetimi uygulamasından şu sonuçlar beklenir: risk yönetimi sürecinin kurumun her seviyesine yerleştirilmesi, karar verme, karar vermeye yardımcı olacak araç ve metotların yerleştirilmesi, sürekli iletişimin sağlanması. Devamlı bir risk yönetimi süreci kuruma riskleri anlamak, yönetmek ve iletişimde yardımcı olur. Devamlı risk yönetiminin aşamaları şöyle bir diyagramla gösterilebilir:

68 Tablo 3.1. Bütünleşmiş Risk Yönetim Uygulaması Sonuç olarak bütünleşmiş risk yönetimi risk yönetimine daha sistematik ve bütünü kapsayan bir yaklaşımdır. Kurumdaki kişilerin ve yönetimin önemini vurgulayarak dairelerin ihtiyaçlarının ve kişilerin rollerinin daha açık bir biçimde tanımlanmasını sağlar. Kurumun değerleri, öncelikleri, alınan dersleri, en iyi uygulamaları temel alan riske yönetimi vizyonunu ve hedeflerini açıklar. 3.7.Stratejik Risk Yönetimi ve Planlaması Stratejik plan çalışmalarıyla eşanlı başlayan kurumsal risk yönetiminin oluşturulması süreci kurumun misyon ve vizyonunun belirlenmesi ile şekillenir. Misyon ve vizyonun ardından yapılan durum analizi kurumun hangi konumda bulunduğunu belirler. Buradan hareketle stratejik plan kurumun ulaşmayı hedeflediği noktaya gidişiyle ilgili stratejileri belirlerken risk yönetimi çalışmaları ile de o noktaya varılmasının garantilenmesi sağlanmalıdır. Durum analizinin ardından hedefler konur. Her hedefin kendine ait riskleri vardır. Durum analizinden elde edilen sonuçlar da dikkate alınarak ve anket, beyin fırtınası gibi yöntemlerle her hedefe karşılık gelecek bu riskler tespit edilmelidir. Bu tespitler sonucu risk matrisleri oluşturulur. Böylece her hedefin risk(ler)inin belirlenmesi garantilenmiş olur:

69 Tablo 3.4. Risk Matrisi Şekil 3.8 Basit risk/tolerans matrisi

70 Şekil 3.9. Strateji, Hedef, Risk İştahı ve Risk Tolerans ilişkisi Tespit edilen bu riskler değerlendirilir. Bunarın gerçekleşme olasılıkları ve gerçekleşirse kurumu ne kadar etkileyecekleri saptanır. Bu değerlendirme sonucu her risk puanlanır ve önceliklendirilir. Bu önceliklendirmede risk haritaları kullanılabilir.

71 Bu Bölümde Ne Öğrendik Özeti Risk Yönetimi ve Önemi Risk Yönetiminin Amacı ve Kapsamı Risk Yönetimi Süreci Risk Yönetiminde T Yaklaşımı Risk Alma Eğilimlerine Göre Risk Yönetim Türleri Entegre/Bütünelşik Risk Yönetimi Stratejik Risk Yönetimi ve Planlaması

72 Bölüm Soruları S.1. Risk Yönetimi ve Önemi nedir açıklayınız? S.2. Risk Yönetiminin Amacı ve Kapsamı nedir açıklayınız? S.3. Risk Yönetimi Süreci nedir açıklayınız? S.4. Risk Yönetiminde T Yaklaşımı nedir açıklayınız? S.5. Risk Alma Eğilimlerine Göre Risk Yönetim Türleri nelerdir açıklayınız? S.6. Entegre/Bütünelşik Risk Yönetimi nedir açıklayınız? S.7. Stratejik Risk Yönetimi ve Planlaması nedir açıklayınız? S.9 Hangisi bir risk yaklaşımında 4T nin bir aşamasıdır? a. Piyasaya sunma b. Politika yapma c. Yönetime katılma d. İzleme S.9 Hangisi bir bir risk yönetim türüdür? a. Piyasadan çıkma b. Politika geliştirme c. Kabullenme d. Toplam kalite Cevaplar: 9. d, 10.c

73 4.KURUMSAL RİSK YÖNETİMİNİN GELİŞİMİ

74 Bu Bölümde Neler Öğreneceğiz? Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş Kurumsal Risk Yönetiminin Tanımı ve Önemi Kurumsal Risk Yönetiminde Genel Yapısı Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı Kurumsal Risk Yönetiminin Amaçları Kurumsal Risk Yönetiminin Faydaları Kurumsal Risk Yönetimi Olgunluk Seviyeleri Kurumsal Risk Yönetiminin Etkinliği Kurumsal Risk Yönetiminin Sınırlılıkları

75 Bölüm Hakkında İlgi Oluşturan Sorular S-1. Hırsızlık için alınabilecek kaç türlü tedbir sayabilirsiniz? S-2. Trafik kazalarını önlemek için hangi tedbirleri alınabilir.

76 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kurumsal Risk Yönetiminde Genel Yapısı Kazanım Kurumsal Risk Yönetiminde Genel Yapısını açıklar Kazanımın nasıl elde edileceği veya geliştirileceği Kurumsal Risk Yönetiminde Genel Yapısını analiz edere Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamını açıklar. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamını analiz ederek

77 Anahtar Kavramlar Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş Kurumsal Risk Yönetiminin Tanımı ve Önemi Kurumsal Risk Yönetiminde Genel Yapısı Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı Kurumsal Risk Yönetiminin Amaçları Kurumsal Risk Yönetiminin Faydaları Kurumsal Risk Yönetimi Olgunluk Seviyeleri Kurumsal Risk Yönetiminin Etkinliği Kurumsal Risk Yönetiminin Sınırlılıkları

78 4.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş Risk yönetimi uygulamaları, 1990 lı yıllarda şirketleri etkileyen tüm risklerin kapsama alındığı daha geniş ve entegre bir yaklaşıma bırakmıştır. Bu dönüşümde en önemli belirleyici, toplumların büyük çok uluslu şirketlerin yarattıkları hasarların nasıl kontrol edilebileceğini sorgulamaya başlamaları ve bunun sonucunda da kurumsal yönetim anlayışının gelişmesi olmuştur. Kurumsal yönetim kısaca kurumların daha şeffaf ve adil bir şekilde yönetilmeleri olgusunu savunurken, risk yönetimi bu amaca ulaşmada en önemli araçlardan biri olarak görülmeye başlanmıştır. Günümüzde gelinen aşamada kurumun karşı karşıya olduğu tüm riskler stratejik, operasyonel, finansal ve tehlike (harici/sigortalanabilir) risk yönetimi kapsamına alınmıştır. Aşağıda Şekil 3 te risk yönetiminin kapsamına dair tarihi gelişim gösterilmektedir Şekil 4.1. Risk Yönetiminin Tarihsel Gelişimi Risk yönetimi paradigması birçok işletmede kademeli olarak değişmektedir. Bazıları paradigma değişimini ve risk yönetimi üzerine yeni perspektifin avantajlarını fark etmemiş olabilirler. Geleneksel olarak işletmelerin çoğu risk yönetimini

79 özelleştirilmiş ve izole edilmiş bir faaliyet olarak (silo mantalitesi) görmektedir: Sigorta veya döviz kuru riski yönetimi örneklerinde olduğu gibi. Yeni yaklaşım tüm seviyelerde çalışanları ve yöneticileri duyarlılık temelinde ve riskle ilgili kılmaktadır. Tablo 1 risk yönetimindeki paradigma değişimini 3 temel açıdan göstermektedir. Tabloda gösterildiği üzere bazı işletmelerde risk yönetimi paradigması parçalara ayrılmış, planlanmamış ve belirli bir amaç için kullanılan dar kapsamlı yaklaşımdan bütünsel, sürekli ve geniş kapsamlı yaklaşıma dönüşmektedir. Burada sorun üst yönetimin bu dönüşümü ve değişimi sürekli tarzda ele alabilmesindedir. Tablo 4.1. Geleneksel ve Yeni Risk Yönetimi Paradigmasının Temel Nitelikleri

80 Tablo 4.2. Geleneksel ve Kurumsal Risk Yönetim Sistemleri Arasındaki Temel Farklılıklar Risk yönetiminde sistematik ve bütünsel bir yaklaşım sunan kurumsal risk yönetim sistemi, kurumsal yönetişim ve hesap verme sorumluluğunun en temel unsurudur. Sistem kurumun durumsal farkındalığını artırarak risk tutumlarının daha aktif yönetimini sağlamaktadır. Kurumsal yönetişim ve risk yönetimin birleştirilmesi kurumun; rekabet avantajı kazanmasını ve paydaşlara değer katmasını, bu değeri korumasını ve geliştirmesini sağlamaktadır.

81 Şekil 4.2. Risk Yönetiminin Değeri Tablo 4.3. Risk Yönetimi nden Kurumsal Risk Yönetimi ne Geçiş Geleneksel risk yönetim sistemi genel olarak riskin mali yapı üzerindeki olumsuz etkilerinden kurumu korumaya odaklanmakta iken kurumsal risk yönetim sistemi, risk yönetimini kurum stratejisinin bir parçası haline getirmekte ve kuruma değer katmak

82 amacıyla risklere ilişkin en iyi tutumların belirlenmesini ve risklerin etkili yönetilmesini sağlamaktadır. Geleneksel risk yönetim ile kurumsal risk yönetim sistemi arasındaki temel farklılıklar Tablo 2 de ele alınmaktadır.

83 Şekil 4.3. Risk Yönetimin Gelişim Süreci Risk yönetimindeki bu yeni paradigma farklı isimlerle anılmaktadır: Entegre Risk Yönetimi, Stratejik Risk Yönetimi, İş Riski Yönetimi veya Kurum Çapında Risk Yönetimi. Bu çalışmada konu Kurumsal Risk Yönetimi olarak belirlenmiştir. KRY yapılandırılmış ve disipline edilmiş bir yaklaşımdır. KRY, kurumun karşı karşıya kaldığı değer yaratacak ya da azaltacak belirsizliklerin değerlendirilmesi ve yönetilmesi amacıyla strateji, süreçler, insan, teknoloji ve bilgi belirlemeleridir. Bu nedenle KRY girişiminin amacı işletmenin/kurumun amaçlarına ulaşmasını hem olumlu hem de olumsuz etkileyebilecek belirsizliklerin yönetilmesi yoluyla ortak değerini yaratmak, korumak ve artırmaktır. Geleneksel risk yönetimi paradigması, silo mantalitesi olarak da adlandırılmaktadır. Silo mantalitesine dayanan yaklaşım, tek bir iş birimi veya tek bir seviye hedefi ile ilgili risklerin verilerinin toplanıp analiz edilmesidir. Ancak KRY portföy tabanlı ve bütünsel risk bakış açısı üzerinde durmaktadır. Çünkü tek bir risk bütün hedefleri etkileyebilmekte ve aynı şekilde birçok risk tek bir hedeften etkilenebilmektedir. Ayrıca riskler birbirlerini de etkilemektedirler. Riskler arasında çift yönlü bir etkileşim bulunmaktadır. KRY kapsamında yer alan risk belirleme ve değerlendirme teknikleri, yönetime, portföy tabanlı risk anlayışı yaratmak, bütünsel bir yaklaşım sağlamak ve riske karşı verilen tepkilerin daha etkili bütünleştirilmesi için yardımcı olabilmektedir. Geleneksel silo mantalitesi yaklaşımında riskler yönetilmeye çalışıldığında işletme yönetiminin elinde birleştirmesi gerekli parçalar olacaktır. Bu parçalar farklı ölçümler, yaklaşımlar sonucu oluşturularak farklı formatta hazırlanacağı için birleştirilmesinde zorluklar ortaya çıkacaktır. KRY nin amacı bütünsel resmi oluşturmaktır. Bu noktalardan hareketle geleneksel risk yönetimi (GRY) ile KRY arasındaki temel farklar aşağıda özet olarak açıklanmıştır: GRY de amaç kurum değerini korumak iken; KRY de amaç kurum değerini korumak ve artırmak olarak belirlenmiştir - GRY de uygulamalar seçilmiş risk alanları, üniteler (birimler) ve süreçler üzerineyken, KRY bütün değer kaynakları için kurum çapında strateji geliştirilerek her seviye ve birim için kurum çapında uygulanmaktadır.

84 - GRY finansal ve operasyonel yönetim vurgusuna sahip iken, KRY strateji geliştirme vurgusuna sahiptir - KRY, GRY yi proaktif, sürekli, değer-temelli, geniş odaklı ve süreç belirli aktivitelere dönüştürmüştür - KRY, GRY den odak, amaç, kapsam, önem vurguları ve uygulama konularında farklılıklar göstermektedir - KRY strateji, insan, süreç, teknoloji ve bilgi sıralı olup, KRY de strateji üzerinde vurgu vardır ve uygulama kurum çapında gerçekleşmektedir - KRY fırsatları artırmaya ve riskleri en aza indirmeye çalışırken; stratejik amaçlarla ilişkili tüm riskleri dikkate alma yollarını araştıran bir yaklaşımdır. Risk yönetiminin yükselen profili ve evrimi incelendiğinde, üç aşamanın önemli olduğu görülmektedir. Bunlardan ilki, risk yönetiminin işletmeler veya kurumlar için önemli bir yönetim konusu olduğunun farkına varılmıştır. İkincisi, işletmenin stratejik amaçları üzerine odaklanılmasıyla risklerin en aza indirilmesi yaklaşımı risk optimizasyonuna (en iyilemeye) taşınmıştır. Üçüncüsü, fark edilmiştir ki riskler silo mantalitesi ile etkin şekilde yönetilememektedir.

85 Tablo 4.4. Risk yönetiminden kurumsal risk yönetimine Kurumsal Risk Yönetiminin Tanımı ve Önemi Kurumsal risk yönetiminin birçok tanımı bulunmaktadır. Kurumsal risk yönetiminin en kapsamlı tanımı COSO (Committee of Sponsoring Organizations) tarafından yapılmıştır. COSO nun Kurumsal Risk Yönetimi: Bütünleşik Çerçeve modeline göre kurumsal risk yönetimi, değer yaratmayı ve değer korumayı etkileyen riskleri ve fırsatları ele alıp işlemekte ve şu şekilde tanımlanmaktadır: Kurumsal risk yönetimi, bir kurumun hedeflerine ulaşmasını etkileyebilecek potansiyel olayları tanımlayan, risk alma istekliliği (risk iştahı) sınırları içinde yöneten ve kurum hedeflerinin başarılması konusunda makul derecede güvence sağlayan, kurum genelinde yapılandırılmış ve kurum yönetim kurulundan, yönetimden ve diğer personelden etkilenen bir süreçtir.

86 Kurumsal risk yönetim sistemi risklerin entegre edilmesinden daha fazlasını ifade etmektedir. Sistem riski kurumun hedeflerine ulaşmasını ya da stratejilerini başarıyla uygulamasını olumsuz etkileyen herhangi bir eylem ya da faaliyet olarak tanımlamaktadır Kurumsal risk yönetim sistemi, stratejilerin oluşturulması ve kurum çapında uygulanması, kurumu etkileme olasılığı olan olayların belirlenmesi, risklerin risk iştahı kapsamında yönetilmesi ve kurum hedeflerine ulaşılmasına yönelik makul güvence sağlayan kurum yönetim kurulu, yönetimi ve diğer personeli tarafından etki edilen bir süreçtir. COSO nun tanımında yer verilen değer yaratma ve değer koruma terimleri kamu sektöründe özel sektördeki gibi doğrudan doğruya ilgili olma özelliğine sahip değildir. Ancak bu tanım, olabildiği kadar çok sektörü ve organizasyon türünü kapsamak amacıyla bilerek geniş tutulmuştur. Aslında tanımın kamu sektörü kurumlarına bütünüyle uygulanabilmesi için, değer yaratma ve değer koruma terimlerini hizmet yaratma hizmet sürdürme terimleri ile değiştirmek mümkündür.144 COSO nun kurumsal risk yönetimi tanımından da anlaşılacağı üzere kurumsal risk yönetimi kurumsal hedefler odaklıdır ve riskleri sadece kurumun başarısına zıt şeyler olarak görmeyip, gerekli zamanlarda ve durumlarda doğru riskleri alarak kurumu hedeflerine ulaştırmayı amaçlamıştır. COSO nun KRY tanımı, kurumlarda/işletmelerde risk yönetiminin etkili bir şekilde uygulanabilmesi için bir temel oluşturmaktadır. CAS (Causalty Actuarial Society) tarafından KRY şu şekilde tanımlanmıştır: Bütün endüstrilerdeki işletmelerde, işletmenin ve ortakların uzun ve kısa dönem değerini artırmak amacıyla, tüm kaynakların risklerini değerlendirmek, kontrol etmek, finanse etmek ve izlemek aşamalarından oluşan süreçtir. CAS tanımı işletme ve finansal riskin yarattığı hem tehditlere hem de fırsatlara bilimsel önem verme girişimini temsil eder. İşletmenin stratejik amaçlarını başarmasını tehdit eden tüm kaynaklardaki risklerin belirlenmesi, değerlendirilmesi ve analizi için özenli bir yaklaşımdır. Ek olarak, KRY, rekabetçi avantaj yaratan fırsatları temsil eden riskleri belirler şeklinde yapılmıştır. Bir diğer tanımla KRY; amacı işletmenin amaçlarına ulaşmasını etkileyebilecek belirsizliklerin yönetilmesi yoluyla ortak değeri yaratmak, korumak ve artırmak olan bir girişimdir

87 4.3. Kurumsal Risk Yönetiminde Genel Yapısı COSO nun tanımı kurumsal risk yönetim sistemi ile ilgili aşağıdaki temel noktaları ortaya koymaktadır: i. Kurum çapında sürmekte olan ve her kademedeki çalışanın katkıda bulunduğu akıcı bir süreçtir. ii. Kurum stratejisi oluşturulurken uygulanmaktadır. iii. Kurumun risk portföy varlık seviyesini oluşturmaya odaklanılmaktadır. iv. Meydana gelmesi durumunda kurumu etkileyebilecek olası olaylar belirlenmektedir. v. Risklerin kurum risk iştahı kapsamında yönetilmesini sağlayıcı tedbirler alınmaktadır. vi. Hedeflere ulaşılabilmesi için bir ya da daha fazla birbirinden ayrı; fakat örtüşen kategorilere yönelinmektedir. vii. Kurum üst yönetimine ve yönetime makul bir güvence sunmaktadır. Kurumsal risk yönetim yaklaşımı kuruma değer katmak amacıyla strateji, süreç, insan, teknoloji ve bilgi kaynaklarının kurumun karşı karşıya kaldığı belirsizliklerin değerlendirilmesi ve yönetilmesi amacıyla kullanıldığı disiplinli, durağan olmayan, devamlılık ve değişkenlik gösteren kuruma nüfuz etmiş bir sistemdir. Sistemin temel sürücüleri vardır. Kurumsal risk yönetim sürücüleri şekil 8 de gösterilmektedir.

88 Şekil 4.4. Kurumsal Risk Yönetimi Süreci Şekil 4.5. Kurumsal Risk Yönetim Sürücüleri

89 Şekil 4.6. Kurumsal Risk Yönetiminde Amaç ve Bileşenlerin İlişkisi Kurumsal risk yönetiminin tasarlanmasında ve uygulanmasında COSO nun Kurumsal Risk Yönetimi Modeli esas alınmıştır. Bu nedenle bu bölümde, COSO Kurumsal Risk Yönetimi Modeli bileşenlerine ve bu bileşenlerle ilgili bazı kavramların açıklamalarına

90 yer verilmiştir. KRY bileşenleri, amaçları gerçekleştirmek için ihtiyaç duyulan unsurları göstermektedir. Bu ilişki Şekil 5 te gösterilmektedir. KRY küpünün yatay ekseninde 4 amaç kategorisi gösterilmektedir ki bunlar; stratejik, operasyonlar, raporlama ve uyum dur. Dikey eksende KRY sürecini oluşturan 8 bileşen yer almaktadır. Kurum seviyeleri ise matrisin üçüncü boyutunda gösterilmektedir. Dikey eksende bulunan her bir bileşendeki faaliyetler, amaçlar kategorisi dikkate alınarak ve bununla uyumlu şekilde gerçekleştirilmektedir. Her bir bileşen, dört amaç kategorisi için sırası ile uygulanmaktadır. Örneğin, finansal ve finansal olmayan veri, iç ve dış kaynaklardan elde edilebilmektedir. Bu kaynaklar KRY nin bilgi ve iletişim bileşeninin bir parçasıdır: Strateji geliştirmede, işletme operasyonlarını etkili yönetmede ve verimli raporlamada gereklidir. Tüm bunlar da kurumun ilgili olduğu yasa ve düzenlemeler ile uyumlu şekilde gerçekleştirilmektedir. KRY, dinamik bir süreçtir. Örneğin, risklerin değerlendirilmesi risk tepkilerini/yanıtlarını doğurur ve kontrol faaliyetlerini etkileyerek kurumun inceleme faaliyetlerini ya da iletişim ihtiyaçlarını vurgular. Bu yüzden, KRY bir bileşenin bir diğerini izlediği, belirli bir sırayı izleyen bir süreç değildir. Her bileşenin neredeyse bütün bileşenleri etkileyebildiği ve diğer bileşenlerden etkilendiği çok yönlü ve yinelenen bir süreçtir.250 Bileşen kategorisine bakıldığında 8 bileşenin her birinin birbiriyle ilişkili olduğu görülmektedir. Bir bileşen ele alındığında, bu bileşendeki faaliyetlerin etkin olarak gerçekleştirilmesi diğer bileşenlerin uygulama başarısı için önemlidir. KRY kurumun tamamı ile ilgili olduğu kadar belirli iş ünitesi ile de ilgili olabilir. Bu ilişki matrisin üçüncü boyutunda gösterilmiştir ki burada tedarikçiler, iş üniteleri, bölümler ve kurum seviyesi bulunmaktadır. Amaçların (stratejik, operasyon, raporlama ve uyum) kurumun amaçlarını gösterdiği, bunların kurumun belirli bir ünitesinin veya bölümünün amaçları olmadığının fark edilmesi gerekmektedir. KRY hem kurumun bütünü hem de ayrı ayrı her bir bölümüyle alâkalıdır. Bu ilişki yan kuruluşları, alt bölümleri ve diğer bağlı kuruluşları üçüncü bir boyutla da tanımlayabilir Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı Kurumsal risk yönetim sistemi kapsamındaki temel faaliyetler şunlardır: i. Temel misyon ve program hedeflerini düzgün bir şekilde belirlemek ve kuruma bildirmek.

91 ii. Kurum risk iştahını belirlemek. iii. Risk yönetim çerçevesi dâhil olmak üzere uygun bir iç ortam oluşturmak. iv. Kurum hedeflerine ulaşılmasını engelleyici olası tehditleri tanımlamak ve risk evreni oluşturmak. v. Etki ve olasılık kapsamında riskleri değerlendirmek. vi. Risk tutumlarına karar vermek ve uygulamak. vii. Kontrol ve diğer tepki faaliyetlerini yürütmek. viii. Kurumun her seviyesinde risklerle ilgili süreklilik temelinde bilgi alışverişi sağlamak. ix. Risk yönetim süreç ve çıktılarının merkezi izleme ve koordinasyonunu sağlamak. x. Risklerin etkili yönetildiğine dair güvence sunmak. xi. Bağımsız nesnel güvence ve danışmanlık sağlamak. xii. Mevcut sistemlerle (iç kontrol, dış denetim, iç denetim) kurumsal risk yönetim sistemini entegre etmek. Kurumsal risk yönetimin başlangıç noktası kurum misyon ve vizyonunun belirlenmesidir. Yönetim misyon kapsamında stratejik hedefleri belirler ve hedeflere ulaşılmasını sağlayıcı stratejileri seçer. Devamında hedeflere ulaşmayı engelleyici riskler ve riskleri azaltıcı kontrol sistemleri ve sorumlular belirlenir. Hedeflere ulaşılmasını etkileyecek olaylar düzenli olarak belirli aralıklarla gözden geçirilir, riskler yeniden değerlendirilir ve gerekli durumlarda yeni risk tutumları saptanır. Performans ve sonuçların zamanında raporlanmasına dikkat edilir. Bu disiplinli ve sistematik yaklaşım kurumun stratejik, faaliyet, uygunluk, mali vb. risklerini azaltmak amacıyla faaliyetleri planlar, yürütür ve kontrol eder. KRY Dinamik Bir Süreçtir: KRY sürekli ve akışkan bir süreçtir. KRY bir olay veya durumdan oluşan bir etkinlik değil kurum faaliyetlerinin içinde yer alan bir eylemler serisidir. KRY bütün kurumda süregelen ve devam eden bir süreçtir. Sabit olmayıp yapılan işlerdeki devamlılığın ve yinelenen etkilenmelerin sonucudur. KRY, kurumun aktivitelerine ek olarak yapılan bir işlem değildir. Ancak burada ifade edilmek istenen,

92 etkin bir KRY için ayrıca ve artan bir çaba gerekmediği değildir. Örnek olarak, risk değerlendirme ve analizi, ihtiyaç duyulan modelleri geliştirmek için ek bir çaba gerektirebilir ve gerekli analizler ile hesaplamaların yapılması için de ayrıca çaba harcanmasını gerektirebilir. Bununla birlikte, KRY uygulamalarına ait sistemler, kurum faaliyetleri ile birbirine geçmiştir ve temel kurum amaçları için mevcuttur. KRY Kurum Personelinden Etkilenir: KRY, kurumun her seviyesindeki personelinden etkilenir. KRY, kurumun yönetim kurulundan, yöneticilerinden ve diğer personelden etkilenir. Yönetim kurulu KRY nin en önemli öğelerinden birisidir. Bunun yanısıra stratejileri, işlemleri ve politikaları onaylayan yöneticilerin de KRY üzerinde etkileri fazladır. Her birey iş yerine kendine has tecrübe ve teknik becerileri ile gelir ve farklı ihtiyaç ve öncelikleri vardır. Bu faktörler KRY yi hem etkiler hem de ondan etkilenir. Her bireyin olaylara farklı bir açıdan yaklaşması, o bireyin riski nasıl tanımladığını, değerlendirdiğini ve tepki verdiğini etkiler. KRY Kurumun Her Seviyesinde Uygulanır: KRY kurum genelindeki faaliyetlerle ilgilidir ve kurumun tamamında uygulanır. KRY yi uygularken kurumda yürütülen bütün faaliyetlerin değerlendirilmesi gerekir. KRY stratejik planlama ve kaynakların dağıtımından, mal/hizmet sunumuna ve insan kaynaklarına kadar kurumun her seviyedeki işlemlerini ilgilendirir. Ayrıca, kurum hiyerarşisinde veya organizasyon şemasında kesin bir yeri olmayan bazı özel projelerde ve yeni girişimlerde de uygulanabilir. KRY, kurumun tüm risklerine tek bir portföy olarak bakmayı gerektirir. Buna her yöneticinin belirli bir bölüm, işlem veya başka faaliyet için risk değerlendirmesi yapması dahil olabilir. İlgili değerlendirme nicelik veya niteliğe göre olabilir. Kurumun her bir müteakip seviyesinin birleşik bir bakış açısı ile üst yönetim, kurumun tüm risk profilinin, kurumun risk iştahı ile orantılı olduğunu sağlamalıdır. Yönetim birbiriyle bağlantılı riskleri, kurumun risk portföy perspektifinden değerlendirir. Kurumların her bir bölümündeki risk, bölümün risk toleransı içinde olabilir. Fakat bu risklerin toplamı kurumun bütün olarak almayı arzu ettiği orandan fazla olabilir. Veya tam tersi olarak, olası olaylar başka bir etkiyi ortadan kaldırmazsa kurum için kabul edilemez bir riski temsil edebilir. Birbirleriyle ilgili riskler tanımlanması ve risklerin toplamının kurumun arzuladığı risk oranıyla aynı düzeyde olması için buna göre değerlendirilmesi gerekir.

93 Kurumun var olan değerlerinin korunması ve maksimize edilmesi ile ilgili tüm karar ve faaliyet süreçleri KRY nin kapsamı içerisindedir. Bu süreçlerden bazılarını aşağıdaki Şekil 6 da görmek mümkündür. KRY daha önce de ifade edildiği gibi aşağıdaki şemada belirtilen süreçlerin entegrasyonunu sağlamayı hedeflemektedir. Böylelikle kurum içerisinde birbirinden bağımsız şekilde işleyen farklı risk yönetim sistemlerinin riskleri bir bütün olarak görmeleri ve böylelikle daha az maliyetli ve daha etkin entegre risk yönetim çözümlerinin geliştirilmesi sağlanabilmektedir. KRY Strateji Belirlemede Kullanılır: Kurum öncelikle misyon ve vizyonunu belirler. Daha sonra misyon ve vizyonun gerçekleştirilmesini sağlayacak stratejik amaç ve hedefler belirlenir. Sonrasında ise stratejik amaç ve hedeflerin gerçekleştirilmesi için kullanılacak genel strateji ve alt stratejiler belirlenir. KRY, amaçların/hedeflerin gerçekleştirilmesinde kullanılabilecek alternatif stratejilerin risklerini ve fırsatlarını değerlendirir. Böylece kurum tarafından alternatif stratejilerden en uygun olanının belirlenmesini ve seçilmesini sağlar. Örneğin, alternatif bir strateji Pazar payını arttırmak için başka işletmeleri satın almak olarak belirlenebilir. Bir başka seçenek ise kaynak maliyetlerini keserek daha fazla kar payı yüzdesi sağlamak olarak belirlenmiş olabilir. Her iki seçenek de bazı riskleri barındırmaktadır. Eğer yönetim ilk stratejiyi seçerse, yeni ve çok bilinmeyen pazarlara girmek ve rakiplerine kendi pazarından pay kaybetmek zorunda kalabilir veya işletmenin bu seçeneği etkin bir şekilde uygulamak için yeterliliği olmayabilir. İkinci seçenekte ise yeni teknolojiler veya tedarikçiler ya da yeni iş anlaşmalarının kapsadığı riskler vardır. Bu aşamada KRY kurumun strateji ve buna bağlı hedeflerini değerlendirmesinde ve seçmesinde yardımcı olmaktadır.

94 Şekil 4.7. Kurumsal Risk Yönetiminin Kapsamı KRY Kurumun Risk İştahını Esas Alır: KRY riskleri risk iştahı (risk alma isteği/arzusu, risk istekliliği) doğrultusunda yönetmek için tasarlanmıştır. Risk iştahı, geniş anlamıyla bir değeri elde etmek için bir kurumun almayı kabul ettiği risk oranı ya da seviyesidir. Kurumun risk yönetim felsefesini yansıtır ve buna karşılık kurumun kültürünü ve yönetim tarzını etkiler. Kurumlar arzulanan riski yüksek, orta, düşük gibi nitelik bakımından veya büyüme hedeflerini ve risk getirisini yansıtıp dengeleyerek nicelik bakımından sınıflandırabilir. Risk iştahı daha fazla olan bir işletme, sermayesinin büyük bir bölümünü gelişmekte olan pazarlar gibi daha riskli alanlara yatırabilir. Buna karşın risk iştahı daha az olan bir işletme, kısa dönemde zarar etme riskini azaltmak için

95 olgun ve değişkenliği az olan pazarlara yatırım yapabilir. Risk iştahı direkt olarak kurumun stratejisiyle ilgilidir. Değişik stratejiler kurumu değişik risklerle karşılaştırdığı için, risk yönetimi strateji belirlemenin de bir parçası sayılır. KRY, yönetimin risk iştahına ve beklenen değer oluşumuna uygun stratejiyi seçmesine yardımcı olur. KRY Makul Güvence Sağlar: KRY, kurum hedeflerinin başarılacağına ilişkin makul düzeyde güvence sağlar. Makul düzeyde güvence, geleceğin belirsizliği ve risklerin gelecekle ilgili olmasından dolayı önceden kesin bir tahmin yapılamayacağı gerçeğine dayanır. Ayrıca insan doğasından kaynaklanabilecek; hatalı risk değerlendirme ve risk tepkisi kararı alma gibi nedenlerle KRY sistemi ne kadar iyi kurulursa kurulsun belli bir takım sınırlılıkları vardır. Başka bir deyişle en etkin KRY bile başarısızlıklar yaşayabilmektedir. Makul bir oranda güvence, kesin güvence anlamına gelmemektedir. Fakat bu KRY nin sıklıkla başarısız olacağı anlamına gelmemektedir. Ayrı ayrı ya da birlikte olarak birçok faktör makul oranda güvence kavramını etkilemektedir. Farklı risk tepkilerinin ve çok amaçlı iç denetimin birleşen etkileri, kurumun hedeflerine ulaşamama riskini azaltmaktadır. Ayrıca kurumun her seviyedeki çalışanının günlük çalışmaları ve sorumlulukları, kurumun hedeflerine ulaşmasını sağlamak içindir. KRY Amaçlara Ulaşmak İçin Bir Araçtır: KRY amaç değil amaca ulaşmak için bir araçtır. KRY, kurum misyonunun, vizyonunun ve stratejik amaç/hedeflerin belirlenen stratejilere ve risk iştahına uygun olarak gerçekleştirilmesine katkı sağlayan ve bunları destekleyen bir yönetim aracıdır. Bu nedenle KRY nin kendisi asla bir sonuç ya da amaç değildir. Kurumların amaçları/hedefleri genel olarak; 1.)Stratejik, 2.)Operasyonel, 3.) Raporlama, 4.)Uygunluk, olmak üzere dört sınıfa ayrılmaktadır. KRY nin kurumların güvenilir raporlama, mevzuata uygunluk konularında hedeflerine ulaşmasında güvence sağlaması beklenebilir. Bu konulardaki hedeflere ulaşılması kurumun kontrolündedir ve kurumun bu konularla ilgili diğer faaliyetlerini nasıl uyguladığına bağlıdır. Fakat belli bir pazar payının kazanılması gibi stratejik

96 hedeflerin ve yeni bir ürünün başarılı bir şekilde pazara sunulması gibi operasyonel hedeflerin başarısı, her zaman kurumun kontrolü altında gelişmeyebilir. KRY kötü yargı ve kararları veya operasyonel hedeflerin başarısızlığa uğramasına neden olabilecek dış etkenleri önleyemez. Fakat yönetimin daha iyi karar verme şansını arttırmaktadır. Bu amaçlar için KRY yöneticilere ve yönetim kuruluna, kurumun hedeflerine zamanında ulaşması yolunda nerede olduklarını belirtmek konusunda makul bir oranda güvence vermektedir. KRY esasında, işletme riskleri için kapsamlı risk yönetimi yaklaşımının en son adıdır. Bu kavram, öncesindeki geleneksel risk yönetimi, işletme risk yönetimi, bütünsel risk yönetimi ve stratejik risk yönetimi gibi uygulamaları da kapsamaktadır. Bu kavramların her biri biraz farklı odaklara sahip olmasına rağmen, her kavramın yükselişinde işletmelere ilişkin dikkate alınan konulardaki risk unsurları ve genel içerik oldukça benzerdir. KRY, risk yönetiminin evrimsel gelişiminde bugün gelinmiş olunan noktadır. Kurumların karşı karşıya olduğu mevcut ve olası riskler doğaları gereği dinamik, hareketli ve yüksek derecede birbirine bağlıdır. Farklı bileşenlere ayrılamaz ve birbirinden bağımsız şekilde yönetilemezler. Günümüzde kurumlar değişken bir çevrede faaliyet göstermektedirler ve bu çevrede risk portföylerini oluşturmak ve yönetmek için çok daha bütünsel bir yaklaşım gerekmektedir. Bu gerekliliğin farkında olmayarak ve geleneksel tarzda yönetilen işletmeler silo-bazlı kapsamda riskleri yönetmektedirler: Piyasa, kredi ve operasyonel riskler ayrı ayrı ele alınır ve sıklıkla kurum içinde farklı bölümlerce yönetilir. Örneğin, kredi uzmanları hata riskini değerlendirir, ipotek uzmanları ön ödeme riskini analiz eder, aktüerler (sigorta istatistikleri uzmanları) borç, ölüm ve diğer sigorta risklerini yönetir, finans ve denetim gibi kurumsal fonksiyonlar diğer operasyonel riskler olarak ele alınır ve iş risklerini üst yöneticiler belirler. KRY, işletmenin amaçlarına ulaşmasını etkileyen risklerin belirlenmesinde, analizinde, önem sırasına göre sıralandırılmasında ve belirlenen risklere karşı önemli hedefleri, ilgili projeleri ve günlük faaliyetleri göz önünde bulundurarak gerekli tepkinin verilmesinde, işletme büyüklüğüne ve misyonuna bakmaksızın, tüm işletmelere kapsamlı ve sistematik bir şekilde yardımcı olan bir yaklaşımdır. KRY, işletmelerde ortaya çıkan belirsizlikleri en etkili biçimde yönetme becerilerini geliştirmektedir. KRY

97 belirsizliklerle bunlara bağlı olan risklerin, fırsatların ve işletmenin değerini arttırma kapasitesinin daha etkin bir şekilde kullanmasına olanak tanımaktadır. İşletmeler için küreselleşme, teknoloji, yeni yapılanmalar, değişen pazarlar, rekabet ve yasalar, belirsizlik yaratan ana sebepler arasında sıralanabilir. Belirsizlik, olayların olma olasılıklarını ve buna bağlı etkilerini iyi belirleyememenin sonucu olarak ortaya çıkar. Aynı şekilde işletmenin stratejik kararları da belirsizlikler doğurabilmektedir. Örneğin, büyüme stratejisi başka ülkelere açılmak olan bir işletme için seçilen bu strateji, yeni ülkenin politik durumuna, kaynaklarına, pazarlarına, dağıtım kanallarına, iş gücü kapasitesine ve maliyetlerine bağlı olarak işletme için bazı risk ve fırsatlar sunar. KRY risk ve fırsatları kullanarak değer yaratmayı ve yaratılan değerleri korumayı hedeflemektedir Kurumsal Risk Yönetiminin Amaçları KRY kurum amaç/hedeflerinin başarılmasına odaklanmıştır ve bu amaç/hedefler; 1.) Stratejik, 2.) Operasyonel/faaliyetler, 3.)Raporlama, 4.)Uygunluk/uyum olarak sıralanır. Stratejik amaçlar, yüksek düzey hedeflerle ilgilidir ve kurum misyonunu desteklemelerine göre sıralanırlar. Operasyonel/faaliyetlere ilişkin amaçlar ise kurum kaynaklarının etkin ve verimli kullanımı ile ilgilidir. Diğer yandan KRY den raporlamanın güvenirliğine ve yürürlükteki kanun ve düzenlemelere uyuma ilişkin makul derecede güvence sağlaması beklenir. Bu kategorideki amaçlara ulaşılması kontrollere ve bunlarla ilgili faaliyetlerin nasıl yürütüldüğüne bağlıdır. Sonuç olarak, stratejik amaçlar ve operasyonel/faaliyetlere ilişkin amaçlar genellikle kurum kontrolleri dışındadır. KRY, dış çevre kaynaklı olaylar veya durumlarla ilgili kötü sonuçları engelleyemez. Fakat yönetimin daha iyi kararlar alma olasılığını artırabilir. Raporlama ve uygunluk kurumun yapısıyla ilgilidir ve dış çevre kaynaklı olaylara göre kontrolü ve yönetimi daha çok mümkündür. KRY nin amaçları genel olarak aşağıdaki başlıklar altında sıralanabilmektedir:223

98 - Stratejik planlama ve stratejik karar alma süreçleri ile risk yönetiminin bütünleştirilmesi, - Operasyonlarda en iyi maliyet kontrolü, - Raporlama ve uyum, - Fırsatların artırılması ve kayıpların en aza indirilmesi yoluyla işletme/kurum değerinin korunması ve artırılması, 4.4. Kurumsal Risk Yönetiminin Faydaları Sistemin kuruma sağlayacağı temel faydalar şunlardır: Hedeflere ulaşılma olasılığını artırır. ii. Yönetimin riskleri anlama, tanımlama ve önlem alarak yönetme yeteneğini geliştirir. iii. Birbirinden farklı risk raporlarının yönetim kurulu düzeyinde birleştirilmesini sağlar. iv. Önemli riskleri ve onların etki alanlarının anlaşılma düzeyini geliştirir. v. Kurum içi çapraz risklerin belirlenmesi ve paylaşılmasını sağlar. vi. Ortak ve kesişen riskleri tanımlar ve birimlerarası iletişimi güçlendirir. vii. Gerçekten önemli konular üzerine odaklanan kaliteli bir yönetim sağlar. viii. Kriz gibi ya da başarıyı olumsuz etkileyecek olumsuz durumlarla karşılaşılma olasılığını azaltır. ix. işlerin doğru şekilde yapılışına odaklanılmasını sağlar. x. Başarıya ulaşabilmek için değişiklik yapmaya yönelik insiyatif alma sorumluluğunu artırır. xi. Daha büyük başarılar için daha büyük riskler alma yeteneğini geliştirir. xii. Risk almaya yönelik karar vermede daha bilinçli olunmasını sağlar. xiii. Kurumsal verimliliği en uygun hale getirir, korur ve kurumsal imajı güçlendirir. xiv. Hesap verebilirliği sağlar ve bütünleşik iç kontrol sistemini güçlendirir. Sistem, risk yönetimine verilen önemi artırmakta, yüksek düzeyde sorumluluk alınmasını ve sorumlulukların açıkça belirlenmesini sağlamaktadır. Ayrıca standartlar oluşturulmasını ve risklerin daha etkili şekilde yönetilmesi ve azaltılması için fırsat sunmakla birlikte etkinlik ve büyüme için yeni fırsatlar yaratılmasını sağlamaktadır.

99 Kurumsal risk yönetim sistemi etkili raporlama, yasa ve düzenlemelere uygunluk ve kayıpların önlenmesi (gelir ya da itibar) konularında da kuruma yardımcı olmaktadır. iyi tasarlanmış ve etkin işleyen kurumsal risk yönetim sistemi, yönetim ve yönetim kuruluna kurum hedeflerinin başarılması ile ilgili makul güvence sağlayabilir. Makul güvence, kimsenin kesin tahminlerde bulunamayacağı gelecekteki belirsizlik ve riskleri yansıtmaktadır. Çoğu faktör, bireysel ya da toplu olarak, makul güvence kavramını desteklemektedir. Faaliyetler yürütülürken ve sorumluluklar yerine getirilirken hedeflerde başarıya ulaşılması amaçlanır. iyi bir iç kontrol sistemine sahip olan kurumlar, stratejik ve faaliyet hedeflerine yönelik eylemlerden düzenli olarak bilgi sahibi olacaktır. Bununla beraber kontrol edilemeyen bir olay, hata ya da yanlış raporlama meydana gelebilir. Bir başka deyişle, etkin bir kurumsal risk yönetim sistemine rağmen hata ile karşılaşılabilir. Bu nedenle sistemin işleyişinin etkinliği ile ilgili üst yönetime ancak makul bir güvence sunulur ve bu kesin güvence anlamına gelmemektedir. Güçlü bir kurumsal risk yönetim sisteminin önemi dünya genelinde giderek daha fazla kabul edilmektedir. Kurumlar; sosyal, etik, çevre, finans ve faaliyet alanlarında karşılaştıkları riskleri tanımlamaya ve risklerin kabul edilen seviyede (risk iştahı) yönetimi ile ilgili açıklama yapmaya zorlanmaktadır. Risklerin başarılı bir şekilde yönetilmesi için önemli ve stratejik bir çaba gösterilerek kurumsal risk yönetim sorumluluğu kurum çapında üstlenilmelidir. Ayrıca etkili kurumsal risk yönetimin etik risk yönetimine dayandığı unutulmamalıdır Hiçbir kurum risklerden arındırılmış bir ortamda operasyonlarını/faaliyetlerini yürütmediği gibi KRY de hiçbir kuruma böyle bir ortamı sağlayamaz. Kuruma temel katkısı, risklerle dolu bir çalışma ortamında faaliyetlerin daha etkin yürütülmesi olan KRY nin başlıca faydaları şu şekilde sıralanabilir. KRY nin ilk faydası, risk yönetimi için kurumsal çapta bir yaklaşım tesis etmesidir. Geçmişte, işletmeler genellikle geleneksel bir silo yaklaşımla riskleri ele almaktaydılar. Silo yaklaşımında, işletmeler riskleri departman bazında bir perspektiften ve dar bir kapsamda incelemekteydiler. Örneğin, risklerin yönetimi departman içi stratejiler yoluyla yapılıyordu ki buralarda her bir ayrı departman kendi risklerini yönetmekteydi. Bu yaklaşım risk yönetimi için tamamen yetersizdir. Çünkü risklerin birbiriyle ilişkisi ve etkileşimi vardır ve bu etkileşim sonucunda potansiyel bir domino etkisi

100 oluşabilmektedir. Silo yaklaşımında bu etkileşim ve ilişki dikkate alınmamaktadır. KRY, riskler karşısında bütün kurum düzeyinde ortak çalışılması gerektiğinin ve risklerin potansiyel domino etkilerinin anlaşılmasını sağlar. KRY nin bir diğer faydası, işletmelerin risklerini yönetmede çok daha proaktif bir tutum takınmalarını sağlamasıdır. Günümüzün hızlı ve değişken pazarları dikkate alındığında, günlük bazda potansiyel risklere maruz kalınmaktadır. Bu maruz kalma ile başa çıkabilmek KRY deki gibi çok daha etkili bir strateji gerektirmektedir. Proaktif tutum yoluyla riskler meydana gelmeden önce belirlenir ve bu risklerin olumsuz etkilerini azaltmak için önceden düzeltici faaliyetlerde bulunulur. KRY nin kullanılmasıyla, işletmeler bir risk sinir sistemi tesis edebilirler ki bu da çeşitli kararlarla birleşmiş risklerin sistematik olarak belirlenmesini mümkün kılar, olası maruz kalmalar için uyarıcı olur, önleyici faaliyetlerin yapılmasını ve bu aksiyonlardan öğrenilmesini olanaklı kılar. KRY, kurumlarda reaktif yönetim tarzından proaktif yönetim tarzına geçilmesine katkıda bulunur. KRY, kurumun varlığının ve/veya operasyonlarının/hizmetlerinin kesintisiz devam etmesini sağlar. KRY, bir kurumun operasyonlarının/hizmetlerinin kesilmesi ya da durması olasılığını ve etkilerini kritik seviyeden düşük tutarak kurumun operasyonlarının/hizmetlerinin devamlılığını önemli ölçüde güvence altına alır. KRY, risk ve getiri/değer oluşturma arasındaki ilişkiyi kuvvetlendirir. Kurumlar değer oluşturmak/hizmet sunmak veya mevcut değerleri korumak/hizmetleri sürdürmek adına riskleri kabul ederler ve bir getiri/değer oluşturma beklerler. KRY yürüttüğü faaliyetlerle risk ve getiri/değer oluşturma arasındaki ilişkiyi sağlamlaştırır. KRY, olası kayıpların etkilerini kontrol altında tutarak maliyetlerin azaltılmasına ve dolayısı ile kurumun varlıklarının ve maddi değerlerinin korunmasına yardımcı olur. KRY, kayıpların olası büyüklüklerine göre çok daha düşük maliyetli önlemler ile daha büyük kayıpların önüne geçer. Ciddi kayıplara yol açabilecek potansiyel tehditlerin sigorta gibi mekanizmalarla üçüncü şahıslara transfer edilmesi gibi stratejiler ile doğabilecek potansiyel maliyetlerin azaltılmasına yardımcı olur. KRY, kurum yönetiminin, risk tepkilerine ilişkin kararlar alabilmesi için uygun yöntemler ve teknikler sağlar. Bu sayede kurum üst yönetimi daha az belirsizlik daha çok

101 belirlilik koşulları altında karar alır. Ayrıca alınan kararların uygun verilerle desteklenmesi üst yönetime performans değerlendirmeleri için fırsat verir. KRY, kurumun daha az sürprizlerle karşılaşıp amaçlarına/hedeflerine ulaşma olasılığını artırır. KRY ile kurumun karşı karşıya kalabileceği olumsuzluklar hem nitelik hem de nicelik açısından önemli ölçüde azaltılabilir. Böylelikle kurum üst yöneticileri enerjilerini ve ilgilerini anlık problemleri çözmek yerine kurumun stratejik önceliklerine yönlendirme imkânını yakalayabilirler ve önlerini daha net bir şekilde görebilirler. KRY, yasal ve idari zorunluluklara uyumu sağlayan önemli bir araçtır. Kurumlar faaliyet göstermekte oldukları alanlara bağlı olarak çok farklı sayıda yasaya ve düzenlemeye bağlı olarak çalışmak zorundadırlar. Bu yasalara ve düzenlemelere aykırı olarak yürütülecek faaliyetler kurumun varlığını dahi tehdit edebilecek büyüklükte sonuçlar doğurabilmektedir. Kurum üst yönetimleri etkin bir KRY ile bu alandaki faaliyetleri arzu edilen düzeyde kontrol altında tutabilecek alt yapıya sahip olurlar. KRY nin diğer bir faydası iç denetim fonksiyonunun beklenen gelişimidir. KRY, çeşitli yollarla denetim fonksiyonunu çok daha iyi ve etkili kılmaktadır. Bunun nedeni, KRY uygulamaları ile iç denetçilerin işletmelerin risk profiline dair önemli miktarda bilgi elde etmeleri ve böylece kapsamı ölçülebilen risklerin daha etkin yönetilebilir hale gelmesidir. KRY olmaksızın, iç denetçilerin kendileri için yüksek kaliteli bilgi elde etmeleri oldukça güç olacaktır. Bu yüzden KRY iç denetçilere kendi işletmelerinin risklerini en iyi şekilde anlamalarına, bu riskleri uygun şekilde önceliklerine göre sıralamalarına ve bu riskleri hafifletmek için uygun planlar geliştirmelerine olanak tanıyacak önemli miktarda bilgi elde etmelerini sağlayacaktır. KRY nin bir diğer önemli faydası da iç denetçinin risk algılamasını etkileyerek iç denetçinin kurumun amaçlarına ulaşmasını engelleyecek risklere odaklanmasını sağlamaktır. Böylelikle iç denetçinin kuruma değer katma fonksiyonu ön plana çıkmaktadır Kurumsal Risk Yönetimi Olgunluk Seviyeleri Günümüzde KRY işletmelerde/kurumlarda temel uygulama, genele uygulama, bugünün en iyi uygulamaları ve yarının en iyi uygulamaları olmak üzere toplam 4 olgunluk seviyesinde uygulanmaktadır. Olgunluk seviyesi, işletmenin kendi KRY içyapısını tanıması açısından önemlidir.

102 Şekil 4.8. Kurumsal Risk Yönetimi Olgunluk Seviyeleri Şekil 4 te belirtilen olgunluk seviyeleri, kayıpları önlemeye yönelik risk yönetimi faaliyetlerinden değer yaratmaya doğru bir gelişme çizgisini ifade etmektedir. Daha üst olgunluk seviyelerine ulaşmak için alt seviyelerin sırasıyla tamamlanması gerekmektedir. Her bir seviye eklenerek bir üsttekini desteklemektedir. KRY çerçevesi, adım adım planlanarak oluşturulmalıdır. Bu seviyeler, işletmeleri KRY açısından herhangi bir iyi kötü ölçeğinde değerlendirmek amacıyla kullanılmamaktadır ve kullanılmamalıdır. İşletmelerin olmaları gereken seviyelere ulaşmamaları ve/veya o noktanın gerisinde kalmaları, olgunluk seviyesi açısından önem taşımaktadır Kurumsal Risk Yönetiminin Etkinliği KRY bir süreç iken, etkinlik bu sürecin belli bir noktasındaki durum ya da haldir. Kurum amaçlarına en etkili şekilde ulaşabilmesi KRY de yer alan bileşenlerin birbirleri ile olan ilişkisinin etkin kurulumu ile mümkün olabilir. KRY nin etkin olup

103 olmadığına karar vermek için sözü geçen sekiz bileşenin mevcut olduğunu ve etkin bir şekilde işleyip işlemediğini değerlendirmek gerekir. Nitekim bu bileşenler KRY nin etkinlik kriterleridir. Bileşenlerin mevcut ve etkin olmaları için hiç maddi zayıflık olmamalı ve alınan risk istenen seviyede olmalıdır. KRY tüm dört amaç kategorisinde etkin ise, yönetim makul bir güvenceyle aşağıdakileri varsayabilir: Kurumun stratejik hedefleri gerçekleştiriliyor, Kurumun operasyonel hedefleri gerçekleştiriliyor, Kurum güvenilir raporlama yapıyor, İlgili kanun ve düzenlemelere uyuluyor.336 COSO nun KRY modeli, çapı ve büyüklüğü fark etmeksizin bütün kurumlarda/işletmelerde uygulanabilir niteliktedir. Küçük ve orta ölçekli kurumların uygulama aşamalarındaki faktörler büyük işletmelerden farklı olabilir. Ancak bu, verimliliği ve etkililiği olumsuz yönde etkilemez. KRY modeli, küçük işletmelerde büyük işletmelerdekilere göre daha az biçimsel, resmi ve yapılandırılmış olabilmektedir. Ancak temel içerik büyüklük fark etmeksizin her kurum için hazır olmalıdır. KRY, bir kurumun tamamını bağlayıcı olarak tasarlanır. Bunu yapabilmek için de uygulamalar genel işletme üniteleri içinde incelenir. Etkin KRY de, bazen belli bir birim diğerlerinden farklı bir şekilde de incelenebilir. Böyle bir durumda, risk yönetiminin etkin olabilmesi için bu birimde sekiz unsurun mevcut olup etkin bir şekilde işlemesi gerekir. Dolayısıyla, belli özelliklere sahip bir yönetim kurulu kurumun iç ortamının bir parçası olduğundan, belli bir birim için KRY nin etkin olarak incelenebilmesi için buna uygun, etkin çalışan bir yönetim kuruluna ya da benzeri bir yapıya sahip olunmalıdır. Aynı şekilde, risk tepkisi unsuru, eldeki riski portföy bakış açısından incelenip açıklandığı için, KRY nin etkin olarak incelenebilmesi için o birim de riski aynı şekilde görmelidir Kurumsal Risk Yönetiminin Sınırlılıkları KRY uygulamasının çok sayıda faydaları olmasına rağmen, burada dile getirilmesi gereken bazı sınırlılıkları da bulunmaktadır. Maalesef bir kurumda KRY nin etkin olarak tasarlanması ve uygulanması kurumun amaçlarının başarılmasını garanti etmemektedir. KRY nin, bir kurumun olası başarısızlığını tamamen engellediği yaklaşımı tamamen yanıltıcıdır. Bu bağlamda KRY, kurumun amaçlarının başarılması hususunda kesin bir

104 güvence vermez ancak makul düzeyde bir güvence verir. Ancak makul güvence kavramı, KRY nin sürekli başarısızlığa uğrayacağı anlamını taşımaz. Birçok unsur, yalnız başına veya bir arada, makul güvence kavramını kuvvetlendirmektedir. Riske yönelik bütünsel yaklaşımlar birçok hedefe ulaşılmasını sağlayabilir ve iç denetimin çok amaçlı doğası kurumun hedeflerine ulaşamama riskini azaltır. Ayrıca, kurumun günlük operasyonel faaliyet ve görevlerinde bulunan farklı mevkilerdeki personeller, kurumu hedeflerine ulaşma doğrultusunda yönlendirebilirler. Aslında, iyi yönetilen kurumlarda genellikle birimler kurumun stratejik ve operasyonel hedeflerine yönelik çalışmalar ile ilgili düzenli olarak bilgilendirilir, yönetmeliklere bağlı kalınır ve belli aralıklarla güvenilir raporlar üretilir. Ancak, kontrol dışında gelişen bir durum, bir hata ya da uygunsuz raporlamalar gerçekleşebilir. Diğer bir deyişle, etkin bir KRY uygulamasında bile hatalar olabilir. Bu bağlamda makul güvence, kesin güvence demek değildir. KRY nin belli başlı sınırlılıklarına aşağıda yer verilmiştir. Geleceğin Belirsizliği: Kurumların risk ve fırsatlarla karşılaşmasına neden olan belirsizlik, gelecekte olabilecek potansiyel olayların olasılıklarının ve bu olayların sonuçlarının kesin olarak belirlenememesi durumudur. Üst Yönetimin Desteği: Bir kurumda KRY nin oluşturulabilmesi ve etkin çalışabilmesi üst yönetimin KRY ye önem vermesine ve KRY uygulamalarını desteklemesine bağlıdır. Eğer üst yönetim KRY'yi desteklemiyorsa veya kısıtlı/yetersiz bir destek veriyorsa sistemin işletilmesi için gerekli verilere ulaşılamayacak, KRY uygulamalarına ilişkin faaliyetler gerçekleştirilemeyecek ve sonuç olarak KRY den beklenen faydalar sağlanamayacaktır. Hatalı Kararlar/Uygulamalar: KRY nin önündeki sınırlılıkların bir diğeri de kurum kararlarının alınması ve uygulanması sürecinde insan doğasından kaynaklanabilecek hatalardır. KRY nin etkinliği hatalı kararlar alabilen insanlarla sınırlıdır. Kararlar insan yargılarıyla, eldeki veriler ışığında ve iş hayatının baskı dolu sürecinde alınmaktadır. Bu durum da kararların güvenilirliğini zayıflatabilir. Kötü Niyet: İki ya da daha fazla personelin kötü niyetli anlaşması KRY nin başarısız olmasına sebep olabilir. Usulsüz faaliyetlerinin tespit edilememesi için aralarında organize olan personeller, genellikle finansal ve yönetsel verileri de KRY süreçlerinin belirleyemeyeceği şekilde manipüle edebilmektedirler.

105 Maliyet ve Kazanç/Değer Yaratma: Kaynaklar sınırlı olduğundan kurumlar/işletmeler kaynaklarının maliyet ve kazanç hesaplarını yapmak zorundadırlar. Kaynaklara ilişkin kararlar, risk yönetim ve kontrol faaliyetlerini de içermelidir. Bir kararın alınması ya da kontrolün oluşturulmasını belirlemek için olası başarısızlık riski ve bunun kurumdaki etkileri, maliyetleriyle birlikte öngörülmelidir. Yönetim Engeli: KRY, ancak onun işleyişinden sorumlu insanlar kadar etkin olabilir. Risk ve kontrol bilincinin ve etik davranışların ön planda olduğu, alternatif iletişim kanalları ile gerekli yönetim kurallarının bilincinde olan bir kurulun bulunduğu kurumlarda/işletmelerde bile bir yönetici KRY ye gerekli önemi vermeyebilir. Hiçbir yönetim hatasız değildir ve suç işleme eğilimi olanlar sistemi yanıltmaya çalışabilirler.

106 Bu Bölümde Ne Öğrendik Özeti Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş Kurumsal Risk Yönetiminin Tanımı ve Önemi Kurumsal Risk Yönetiminde Genel Yapısı Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı Kurumsal Risk Yönetiminin Amaçları Kurumsal Risk Yönetiminin Faydaları Kurumsal Risk Yönetimi Olgunluk Seviyeleri Kurumsal Risk Yönetiminin Etkinliği Kurumsal Risk Yönetiminin Sınırlılıkları

107 Bölüm Soruları S.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçişi açıklayınz. S.2. Kurumsal Risk Yönetiminin Tanımı ve Önemini açıklayınz. S.3. Kurumsal Risk Yönetiminde Genel Yapısını açıklayınz. S.4. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamını açıklayınz. S.5. Kurumsal Risk Yönetiminin Amaçlarını açıklayınz. S.6. Kurumsal Risk Yönetiminin Faydalarını açıklayınz. S.7. Kurumsal Risk Yönetimi Olgunluk Seviyelerini açıklayınz. S.8. Kurumsal Risk Yönetiminin Etkinliğini açıklayınz. S.9. Kurumsal Risk Yönetiminin Sınırlılıklarını açıklayınz.

108 5. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I

109 Bu Bölümde Neler Öğreneceğiz? Kurumsal Risk Yönetiminde İç Çevre / Ortam Kurumsal Risk Yönetiminde Amaçların Belirlenmesi Kurumsal Risk Yönetiminde Olay Tanımlama Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi

110 Bölüm Hakkında İlgi Oluşturan Sorular S.1. İş yerlerinde neden güvenlik personeli çalıştırılır S.2. İş yerlerindeki standartlar niçin vardır?

111 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kurumsal Risk Yönetiminde İç Çevre / Ortam Kurumsal Risk Yönetiminde Amaçların Belirlenmesi Kurumsal Risk Yönetiminde Olay Tanımlama Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi Kazanım Kurumsal Risk Yönetiminde İç Çevre / Ortamı açıklar Kurumsal Risk Yönetiminde Amaçların Belirlenmesini yapar Kurumsal Risk Yönetiminde Olay Tanımlamasını yapar Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesini yapar Kazanımın nasıl elde edileceği veya geliştirileceği Kurumsal Risk Yönetiminde İç Çevre / Ortamı inceleyerek Kurumsal Risk Yönetiminde Amaçların Belirlenmesini yaparak Kurumsal Risk Yönetiminde Olay Tanımlamasını uygulaması yaparak Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesini yaparak

112 Anahtar Kavramlar Kurumsal Risk Yönetiminde İç Çevre / Ortam Kurumsal Risk Yönetiminde Amaçların Belirlenmesi Kurumsal Risk Yönetiminde Olay Tanımlama Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi

113 Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır: İç Ortam Amaç/Hedef Belirleme Olay Tanımlama Risk Değerlendirme Risk Tepkileri Kontrol Faaliyetleri Bilgi ve İletişim İzleme Nihai olarak her kurumun KRY algılaması ve uygulaması farklılık gösterebilmektedir. Bu farklılığın nedeni faaliyette bulunulan sektörler olabileceği gibi kurum büyüklüğü, kültürü ve yönetim felsefesi de olabilir. Bu nedenle kurumlarda uygulanan KRY çerçeveleri ve kontrol yapıları farklı olabilir. Bu da genel olarak KRY bileşenlerinin uygulamadaki ağırlıklarını ve dikkate alınma düzeylerini etkilemektedir.

114 Tablo 5.1. COSO ERM Süreç Akışı

115 5.1.İç Çevre / Ortam İç ortam/çevre, kurumdaki bütün personelin risk bilincini etkilediği için kurum kültürünü yansıtır, bir disiplin ve yapı oluşturmak suretiyle KRY nin diğer bütün bileşenleri için bir temel oluşturur. İç ortamın anlaşılması kurumun faaliyetlerini gerçekleştirirken karşılaşabileceği risklerin anlaşılabilmesi için temel şarttır. Bu nedenle iç ortam hakkında yeterli bilgiye sahip olmak KRY sisteminin kurulması ve KRY bileşenlerinin etkinlikleri açısından önemlidir. Kurumun risk yönetim felsefesi, risk iştahı, yönetimin felsefesi/çalışma tarzı, dürüstlük ve etik değerler, personelin uzmanlığı ile organizasyonel yapı iç ortam faktörleri arasındadır. 5.2.Amaçların Belirlenmesi Amaç/hedef belirleme olay tanımlama, risk değerlendirme ve risk tepkilerinin ön şartıdır. Olay tanımlamanın, risk değerlendirmenin ve risk tepkisinin etkin gerçekleştirilebilmesi farklı seviyelerdeki kurum amaçlarının/hedeflerinin tam ve doğru olarak belirlenmesine bağlıdır. Yönetimin gerekli önlemleri almak ve başarılı olmak için riskleri tanımlayıp değerlendirmeden önce belirlenmiş amaçlarının/hedeflerinin olması gerekir. Dolayısıyla amaçların/hedeflerin belirlenmesi, risk yönetiminin ön koşuludur. Bir kurumun amaç/hedeflerinin ve buna bağlı olarak belirlenmiş stratejilerinin bulunması, o kurumun değer yaratma ve risk yönetimi uygulamaları için sağlam bir zemin oluşturduğunu gösterir. COSO nun Kurumsal Risk Yönetimi Modeli doğrultusunda amaçlar aşağıdaki şekilde sınıflandırılmaktadır: Stratejik Amaçlar; Kurumun misyonunu ve vizyonunu destekleyen üst düzey amaçlardır. Operasyonel Amaçlar; Kurumun temel görevlerinin gerçekleştirilmesine yönelik, faaliyetlerin etkinliği ve verimliliği ile performans standartları ve varlıkların kayıplara karşı korunmasını da içeren amaçlardır. Raporlama Amaçları; Hesap verme sorumluluğu da dâhil olmak üzere raporlamanın güvenilirliğine ilişkin amaçlardır. Güvenilir raporlamanın temel amacı, sağlıklı karar verebilmesi için yönetime, uygun, doğru ve tam bilgi sağlamaktır.

116 Uygunluk/Uyum Amaçları; Yürürlükteki yasa ve düzenlemeler ile politikalara uygunluğa ilişkin amaçlardır. Kurumun amaçlarının bu şekilde kategorize edilmesi, kurumsal risk yönetiminin farklı açılardan ele alınabilmesine imkân sağlar. Bir amaç birden fazla kategoriye dâhil olabilir. Öncelikle stratejik amaçlar/hedefler belirlenmeli ve kurumun stratejik planında yer almalıdır. Daha sonra stratejik amaçları/hedefleri destekleyen alt/bağlı hedefler (operasyonel, raporlama, uygunluk) belirlenmelidir. Stratejik amaçlar/hedefler ve operasyonel amaçlar/hedefler tamamıyla kurum kontrolünde değildir. Amaçların/hedeflerin belirlenmesi sürecinde kurum stratejileri, risk iştahı ve bunların kurum misyonu ve vizyonu ile olan ilişkileri dikkate alınmalıdır. Aksi halde belirlenen amaçlar/hedefler birbirleriyle çelişebilecek veya ulaşılması imkânsız olabilecektir. Kurumun ana hizmet birimleri, alt bölümleri ve daha alt bölümleri için belirlenen hedefler, kurumun stratejik amaç/hedefleriyle bütünleşecek şekilde belirlenmelidir. Birim/bölüm misyonu, vizyonu ve amaçlarının/hedeflerinin de kurumun stratejik amaçlarını/hedeflerini destekleyecek şekilde belirlenmesi ve dokümante edilmesi gerekmektedir. Birimin amaçlarının/hedeflerinin bu şekilde açıkça belirlenmesi, birim performansının ölçülmesi ve izlenmesini de kolaylaştıracaktır Olay Tanımlama KRY bileşenlerinden üçüncüsü olan olay tanımlama, gelecekte karşılaşılabilecek olan ve kurum amaçlarının/hedeflerinin gerçekleşmesini engelleyebilecek olay veya durumların tanımlanmasıdır. Bu olay veya durumlar, negatif bir etki yaratabilecek olmaları halinde risk pozitif bir etki yarabilecek olmaları halinde ise fırsat olarak tanımlanır. Bu aşamada, kurum iç ortamı ve belirlenen amaçlar/hedefler çerçevesinde kurumun amaçlarına/hedeflerine ulaşmasının önündeki engeller olan riskler ile amaçları/hedefleri destekleyen fırsatlar tanımlanır. Olaylar tanımlanırken iki önemli konuya dikkat edilmelidir. Bunlardan biri gelecekte olma olasılığı diğeri ise fırsat veya tehdit içermesidir. Belli bir durumda, tanımlanmış veya tanımlanmamış çok sayıda sorun olabilir. Ancak bu sorunlar mevcut bir durumun (statement) ifadesidir ve risk kapsamında değerlendirilmemelidir. Çünkü risk şu anda var olanlara değil gelecekte ortaya çıkması muhtemel durumlara işaret eder. Mevcut sorunlar için çözüm geliştirilmesi ile risklere karşı yanıt üretilmesi birbirinden farklı yaklaşım ve yöntemler gerektirdiğinden bu önemli

117 bir ayrımdır. İkinci önemli konu riskler kadar fırsatların da tanımlanması gerekliliğidir. Çünkü gelecekte olması muhtemel bazı durumlar, amaçlarımıza ulaşmamızı sekteye uğratabileceği gibi yeni fırsatlar sunarak amaçlarımıza ulaşmamızı kolaylaştırabilir. Yönetimin amacı, kurumun risk ve fırsatlara hazırlıklı olmasını sağlamaktır. Bu hazırlık, olumsuzluklar karşısında çaresizliğe düşülmesini engelleyecek veya fırsatlardan azami ölçüde istifade edilmesini sağlayacaktır Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi Olay (risk/fırsat) tanımlamalarında kullanılacak veriler kurum içinden ve önceden belirlenen kurum hedeflerinden elde edilir. Olay (risk) tanımlama süreci sonucunda ise risk kaynaklarına, riske neden olabilecek potansiyel olaylara, risk belirtilerine ve KRY nin bundan sonraki aşamaları için gerekli olan temel verilere ulaşılır. Olay (risk/fırsat) tanımlama sürecine yön veren temel belgeler; kurum stratejik planı ve hedefleri, performans planı/programı, kontrol listeleri, kayıtlara ve deneyimlere bağlı çıkarımlar, akış diyagramları, tartışmalar, sistem analizleri, senaryo analizleri ve sistem mühendislik teknikleridir. Kullanılan yaklaşım, gözden geçirilen aktivitelerin doğasına, risk tiplerine, kurumun iç unsurlarına ve risk yönetim çalışmasının amacına bağlı olarak değişecektir Olayların (Risklerin/Fırsatların) Kaynakları Amaçlar/hedefler üzerinde etki yaratabilecek olaylar, iç veya dış ortamdan kaynaklanabilir. Bu nedenle olayların tanımlanması sırasında, iç ve dış ortama ilişkin bilgilerin elde edilmesi ve analizi gerekir. İç ve dış ortam, kurumun faaliyetlerini sürdürdüğü veya bu faaliyetler esnasında etkileşim içerisinde olduğu, fiziki olan veya olmayan bütün unsurlardır. Bu unsurlar, risklerin kaynağını oluşturur, riskleri tetikler veya risklerin etki düzeylerini belirler. Riskin gerçekleşme ihtimali ve eğer gerçekleşirse nasıl bir etki göstereceğinin tahmininde iç ve dış ortamın bilinmesi gereklidir. İç ortam analizi, kurumun iç ortamından kaynaklanan ve kurum tarafından kontrol edilebilecek olayların (risk/fırsatların); dış ortam analizi ise kurumun kontrolü dışındaki koşullardan kaynaklanabilecek olayların (risk/fırsatların)belirlenmesini sağlar. Risklerin

118 kaynağının belirlenmesi, risklerin yönetilmesini kolaylaştırır. Kurum içi nedenlerden kaynaklanabilecek risklerin yönetimi dış kaynaklardan doğabilecek risklere göre daha kolaydır. Dış faktörlere/kaynaklara örnek olarak, ülkedeki ekonomik veya siyasi durum, doğal afetler, nüfus yapısı, teknolojik değişiklikler; iç faktörlere ise, kurumun organizasyon yapısı, insan kaynakları, kurum kültürü, teknoloji alt yapısı, bütçe büyüklüğü v.b. verilebilir Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler Olay (risk/fırsat) tanımlamasında çok çeşitli yöntem ve tekniklerden yararlanılabilir. Bunlar çalıştaylar, mülakatlar ve atölye çalışmaları, senaryo analizleri, anketler, süreç analizleri, beyin fırtınası, sektör karşılaştırmaları, geçmiş hataların analizi, tarihsel veriler temelli tanımlama ve performans gözden geçirmeleri olarak sıralanabilir. Risklerin tanımlanması aşamasında kullanılabilecek bir diğer yöntem de kurum geçmişine ait verilerin incelenmesidir. İncelenecek veriler muhasebe kökenli olabileceği gibi geçmiş dönem denetim çalışma kâğıtları, vatandaş/müşteri şikâyetleri, iş akış şemaları ve faaliyetlerin yürütülmesi sırasında uyulması geren yönetmelikler de dahil olmak üzere geniş kapsamlı olarak düşünülebilir. Olay envanteri yönteminde, benzer kurumlarda gözlemlenen olayların ayrıntılı listeleri oluşturulur. Dahili analiz yönteminde ise personel toplantıları aracılığı ile müzakereler yapılmaktadır. İşlem akışı analizinde ise girdiler, görevler, sorumluluklar ve çıktılar bir süreç olarak ele alınıp incelenmektedir Risklerin Sınıflandırılması Olay (risk/fırsat) tanımlama süreci, tanımlanan risklerin sınıflandırılması ile son bulur. Bir kurumun/işletmenin karşılaşabileceği riskler çok farklı şekillerde sınıflandırılabilir. İşletmenin yapısal ve sektörel özellikleri bu sınıflandırmayı önemli ölçüde etkileyecektir Risklerin Değerlendirilmesi Risk değerlendirme, tanımlanan ve sınıflandırılan risklerin ortaya çıkma olasılığı ve muhtemel etkilerinin ölçülmesi, sıralanması ve önceliklendirilmesi süreçlerini içerir. Risk değerlendirme bir önceki aşamada belirlenmiş olan risklerin daha detaylı anlaşılması ile ilgilidir. Risk değerlendirme ile risklerin önceliklendirilmesi sağlanır. Riskler

119 önceliklendirilmelidir çünkü kurumun amaçları/hedefleri üzerinde her risk eşit düzeyde önemli değildir. Bu nedenle yöneticiler hangi alana daha çok yoğunlaşmaları gerektiğini risklerini ölçerek ve değerlendirerek belirlerler. Ayrıca risk değerlendirmesi, belirlenmiş risklere nasıl tepki verileceğine ve fayda/maliyet dengesi açısından en uygun olan karşılıkların seçilmesine de yardımcı olacaktır. Risk değerlendirmenin KRY bileşenleri içinde anahtar bir rolü bulunmaktadır. KRY bileşenlerinden iç ortam, amaç/hedef belirleme ve olay tanımlama aşamaları diğer aşamalar için bir bilgi toplama ve çerçevenin çizilmesi olarak kabul edilebilir. Bundan sonraki aşamalar (risk değerlendirme, risk tepkileri, bilgi-iletişim ve izleme) risklere karşı faaliyet alanıdır ve bu faaliyetlere risk değerlendirme sürecinin çıktıları yön verir. Risk değerlendirme metodolojisi nitel veya nicel olabilir, objektif ya da subjektif metotlara dayanabilir. Etki ve olasılık analizi, iş etki analizi, SWOT analizi, olay ağacı yöntemi, PEST analizi bu yöntemlerden bazılarıdır. Kurumlar, ihtiyaçları ve kapasiteleri doğrultusunda bu yöntemlerden birini veya birkaçını tercih edebilirler. Kurumlar, genellikle risklerin niceliksel olarak ölçülmesinin mümkün olmadığı veya niceliksel değerlendirme için gerekli olan yeterli güvenilir verinin bulunmadığı ya da bu tip verinin elde edilmesi ve incelenmesinin aşırı maliyetli olduğu durumlarda niteliksel değerlendirme tekniklerini kullanırlar. Niceliksel teknikler, analizlere daha çok doğruluk ve kesinlik kazandırmakta ve karmaşık faaliyetlerde niteliksel teknikleri tamamlayıcı olarak kullanılmaktadır. Niceliksel değerlendirme, bazı zamanlar matematiksel modellerin kullanılması gibi daha yüksek çaba gerektiren teknikler içermektedir. Niteliksel teknikler, yardımcı verilerin ve varsayımların kalitesine bağlı olmakla birlikte, belirli tarih ve değişkenlik sıklığına sahip olan ve güvenilir tahmin imkânı veren riske açık olma durumlarıyla oldukça ilişkilidir.

120 Şekil 5.1. Basit risk/tolerans matrisi Şekil 5.2. Yapısal risk artık risk1

121 Etki Analizi Riskler genellikle ortaya çıkma olasılıklarına ve ortaya çıktıklarında kuruma etkilerine göre analiz edilirler. Bu nedenle risklerin önem seviyesi, etkiler ve olasılıkların bir araya gelmesi ile oluşturulmalıdır. Tek başına etki veya olasılık, riskin öneminin ve önceliğinin belirlenmesinde kullanılmamalıdır. Bu durum; Risk = f (Etki, Olasılık) olarak formüle edilebilir. Etki ve olasılık analizinde, riskin muhtemel etkisi ve gerçekleşme olasılığı, belirlenen risk kriterleri doğrultusunda değerlendirilir. Risk kriterlerinin sayısı sınırlı tutulmalı, bununla birlikte bu sayı risk değerlendirmenin kapsamlı olduğuna güven duyulmasını sağlamaya da yetmelidir. Risk değerlendirmede kullanılacak kriterler risk değerlendirmenin yapılış amacına, zamanın elverişliliğine, uzman personelin varlığına, katılımcıların bilgi seviyesine ve beklentilerine ve son olarak ulaşılmak istenen sonuçlara bağlıdır. Kullanılan risk kriterleri mutlaka açık bir şekilde tanımlanmalıdır. Etki ve olasılığın tahmin edilmesinde istatistiksel analiz ve hesaplamalar da kullanılabilir. Eğer elde bulunan bilgiler yetersiz, konu ile doğrudan ilgili ve güvenilir değil ise belirli bir olayın ya da sonucun oluşacağına dair bireylerin veya grupların tahminlerine dayandırılan analiz yapılabilir. Bu tip analizlerde bireylerin tahminleri ve grupların tahminleri arasında bir denge sağlanmalı ve analiz sonucunda ortaya çıkabilecek farklı tahminler arasında bir görüş birliğine ulaşılması sağlanmalıdır. Analizler her ne kadar sübjektif olsa da mutlaka bazı kritik risk göstergeleri ile ilişkilendirilmelidir. Riskin etkisi, kurum hedeflerinin aşarılamaması ve kurum stratejilerinin başarılı bir şekilde yürütülememesi durumunda kurumun karşı karşıya kalacağı olumsuz durumlardır. Kurumun zarara uğraması, kurum imajının zarar görmesi, kurumun verdiği hizmetlerin durması ya da hizmetlerin kalitesiz bir şekilde verilmesi, personelin ya da halktan birilerinin ölmesi/yaralanması v.b. durumlar riskin muhtemel etkilerine somut örnekler olarak verilebilir. Riskin muhtemel etkisinin değerlendirilmesinde kullanılabilecek risk kriterlerine ilişkin bazı örnekler aşağıda yer almaktadır: Kurum hedefleri Kurum imajı/itibarı Varlıkların korunması

122 Finansal etki Stratejik etki Sağlık/güvenlik Hizmet sunumu/kalitesi Sosyal etki Operasyonların etkinliği ve verimliliği Yukarıda belirtilen kriterlerden finansal etki kriteri, riskin gerçekleşmesi durumunda kurumun finansal varlıkları üzerinde ne derecede bir etki yapacağını belirlemek için kullanılan kriterdir. Kurum imajı/itibarı kriteri ise riskin gerçekleşmesi durumunda kurumun imajı/itibarı üzerinde ne derecede bir etki yapacağını belirlemek için kullanılan kriterdir. Etki kriterlerinin belirlenmesinde ve ağırlıklandırılmasında bu kriterlerin kurum için taşıdığı önem dikkate alınmalıdır Olasılık Analizi Gelecekte meydana gelebilecek bir olayın ortaya çıkma olasılığının tahmini, gelecek zaman dilimindeki olaylarla ilgili mevcut belirsizlik ve insan faktörünün yapılacak tahminlere olan güvensizliği nedenlerinden dolayı oldukça zordur.291 Riskin oluşma olasılığı, geçmiş deneyimler ışığında ya da mevcutsa geçmiş verilerin istatistiksel olarak değerlendirilmesiyle tahmin edilir. Olasılık teorisi, riskin oluşma olasılığının değerini belirlemekte önemli rol oynar. Riskin olasılığı en basit şekliyle düşük, orta ve yüksek olarak ölçeklendirilebilir. Ölçeklendirme risklerin ne kadar hassas değerlendirildiğiyle ilgilidir ve daha ayrıntılı ölçeklendirmeler de kullanılabilir. Genel olarak gerek olasılığın gerekse etkinin ölçülmesinde beşli ölçekler tercih edilmektedir. Aşağıda Tablo 4 de 5 li bir olasılık ölçeği örnek olarak verilmiştir. Risklerin gerçekleşme olasılıklarının belirlenmesinde çeşitli olasılık kriterleri kullanılabilir. Riskin gerçekleşme olasılığının değerlendirilmesinde kullanılabilecek kriterlere ilişkin bazı örneklere aşağıda yer verilmiştir. Yasa ve düzenlemelerin yeterliliği Personelin uzmanlığı, yeterliliği ve güvenilirliği Faaliyetlerin karmaşıklığı ve değişkenliği

123 Otomasyon düzeyi Faaliyetlerin coğrafi dağılımı İç kontrol sisteminin yeterliliği ve etkinliği S Risklerin Puanlanması Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde, olasılık ve etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu aşamada, her bir risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu puanlar, seçilen risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle her bir riske ilişkin etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları birbiri ile toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık ve etki sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının toplanması ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit ortalama veya ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki puanlarının toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık kriterlerine farklı ağırlıklar verilir. Örneğin etki kriterinin daha önemli olduğunun düşünülmesi durumunda etki kriterinin ağırlığı daha yüksek belirlenebilir. Çarpma işleminde ise her bir riskin etki ve olasılık puanları çarpılmak suretiyle nihai risk puanı belirlenir. Çapma işlemi ile risk puanlarının belirlenmesinde kurum açısından önemli olduğu düşünülen etki veya olasılık kriterlerine yüksek ağırlıklar verilebilir. Örneğin risklerin stratejik etkilerinin finansal etkilerinden Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde, olasılık ve etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu aşamada, her bir risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu puanlar, seçilen risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle her bir riske ilişkin etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları birbiri ile toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık ve etki sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının toplanması ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit ortalama veya ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki puanlarının toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık kriterlerine farklı ağırlıklar verilir. Örneğin etki kriterinin daha önemli olduğunun

124 düşünülmesi durumunda etki kriterinin ağırlığı daha yüksek belirlenebilir. Çarpma işleminde ise her bir riskin etki ve olasılık puanları çarpılmak suretiyle nihai risk puanı belirlenir. Çapma işlemi ile risk puanlarının belirlenmesinde kurum açısından önemli olduğu düşünülen etki veya olasılık kriterlerine yüksek ağırlıklar verilebilir. Örneğin risklerin stratejik etkilerinin finansal etkilerinden daha önemli olduğu düşünülüyorsa stratejik etkinin ağırlığı finansal etkinin ağırlığından daha yüksek belirlenebilir. Risklerin puanlanması çalışmaları sırasında aşağıda belirtilen hususlar dikkate alınmalıdır: Değerlendirmelerin mümkün olduğunca objektif olmasını sağlayabilmek için kilit personelin bir araya gelmesine ve etki/olasılık puanlamalarının tartışma ortamı içerisinde yapılmasına özen gösterilmelidir. Puanlamalar sırasında, kriter tanımları sürekli gözden geçirilerek, risk kriterinin neyi ölçmekte olduğu hatırlanmalıdır. Her bir risk, etki ve olasılık kriterleri açısından 1-5 arası puanlar verilerek yani 5 li bir ölçek kullanılarak değerlendirilmelidir. Bu değerlendirmede (1) en düşük ya da ilgili olmayan etkiyi/olasılığı, 5 ise en yüksek etkiyi/olasılığı ifade etmektedir. Puanlar verilirken, en düşük(1) ve en yüksek (5) puanlar için birer örnek düşünülmeye çalışılmalıdır. Her bir risk ayrı ayrı ele alınmalı ve ölçüm yatay bir şekilde uygulanmalıdır.

125 S.3. S.4. Şekil 5.3. Nitel ve Nicel Ölçüm Tekniklerinin Birleşimi S Risklerin Önceliklendirilmesi KRY nin öncelikli amacı, kurumun amaç ve hedefleri üzerinde etkili olabilecek kritik risklerin belirlenmesi ve sınırlı kaynakların bu alanlarda yoğunlaştırılmasıdır. Bu

126 nedenle, bütün risklerin en yüksek risk puanından başlayarak kendi içerisinde sıralanması gerekir. Risklerin olasılık ve etki sonuçları risk matrisi (haritası) ile gösterilebilir. Risk kriterleri kullanılarak önce etki ve olasılık puanları daha sonra nihai risk puanları belirlenen ve bu puanlara göre sıralanan riskler, risk matrisi (haritası) aracılığıyla toplu bir şekilde gösterilirler. Risk matrisi, yatay ekseni risklerin olasılık boyutunu dikey ekseni ise etki boyutunu gösteren bir grafik şeklindedir. Şekil 5.4. Risk haritası - Önceliklendirme Tablo 5.2. Risk Matrisi (Haritası)

127 I. Nolu Alan: Etkisi ve olasılığı düşük olan riskler bu alanda yer alır. Bu riskler, kurumun risk iştahı sınırları içinde kalması nedeniyle kabul edilebilir olan risklerdir. Bu riskler, herhangi bir önlem alınmadan olduğu gibi bırakılabilir. II. Nolu Alan: Bu alanda etkisi yüksek ve olasılığı düşük olan riskler yer almaktadır. Olasılığın düşük olması, kontrollerin (insan kaynakları, mevzuat ve düzenlemeler, otomasyon düzeyi v.b) görece yeterli olduğunu göstermektedir. Dolayısıyla bu alanda yer alan risklere ilişkin kontroller, birim yöneticisi tarafından değerlendirilmeli ve etkinliğine ilişkin olarak güvence verilmelidir. III. Nolu Alan: Bu alan etkisi düşük ancak gerçekleşme olasılığı yüksek olan risklerin yer aldığı alandır. Kurum kaynaklarının yeterli olması halinde, bu risklere ilişkin kontrol faaliyetleri geliştirilebilecektir. IV. Nolu Alan: Bu alanda etkisi ve olasılığı yüksek olan riskler yer almaktadır. Olasılığın yüksek olması, kontrollerin bulunmadığı veya yetersiz olduğuna işaret etmektedir. Üst yönetim tarafından, bu risklere yönelik risk tepkilerinin (kaçınmak, kontrol etmek, transfer etmek) belirlenmesi gerekir. Birim, risk raporlamalarında bu riskler ile risklere ilişkin önerilerini, üst yönetimin onayına sunmalıdır. Puanlanan risklerin Risk Matrisi nde toplu olarak gösterilmesine ilişkin örnek bir tablo aşağıda yer almaktadır:

128 Tablo 5.3. Puanlanan Risklerin Matriste (Risk Haritası) Gösterilmesi İçsel ve Kalıntı Riskin Ölçülmesi Risklerin değerlendirilmesi sürecinde dikkate alınması gereken bir diğer önemli konu da risklerin içsel ve kalıntı risk seviyelerinin ayrı ayrı değerlendirilerek ölçülmesidir. Doğal risk ya da yapısal risk olarak da ifade edilen içsel risk, herhangi bir kontrol mekanizmasının bulunmadığı durumlarda işlem süreçlerinin doğasında varolan risktir. İçsel risk, yönetimin etki veya olasılığını değiştirmek için hiçbir şey yapmadığı ve hiçbir önlem almadığında kurumun karşı karşıya olduğu risktir. Bakiye risk ya da artık risk olarak da ifade edilebilen kalıntı riskler ise alınan kontrol önlemlerine rağmen mevcut olan risklerdir. Kalıntı risk, yönetimin riskin etki ve olasılığını azaltmak için aldığı kontrol aktivitelerini de içeren önlemlerden sonra kalan risktir. Risk değerlendirme faaliyeti kapsamında öncelikle her bir riskin içsel risk düzeyi ölçülür daha sonra da kalıntı risk düzeyi ölçülür. İlk önce, alınan iç kontrol önlemlerinden önce var olan riskin etki ve olasılıkları değerlendirilerek içsel risk ölçülür. Daha sonra alınan iç kontrol önlemlerinden sonra hala var olan (kalıntı) riskin etki ve olasılığı değerlendirilerek kalıntı risk düzeyi ölçülür. İçsel ve kalıntı riskin ölçümüne ilişkin

129 aşağıda bir örnek verilmiştir: İçsel riskte, olasılık % 50 ve bunun sonucunda ortaya çıkacak finansal kayıp (etki) 100 YTL iken, uygun önlemler alındığında ve bunlar etkin olarak uygulandığında olasılık %10 a düşürülebilir. Bu durumda içsel ve kalıntı riski hesaplarsak; İçsel Risk: 0.50 x 100 YTL = 50 YTL Kalıntı Risk: 0.10 x 100 YTL = 10 YTL olacaktır. Kurumun risk seviyesinde 10 YTL düşük risk olarak belirlenmiş, 50 YTL ise orta seviye risk olarak belirlenmiş olabilir. İçsel ve kalıntı risk düzeyi aşağıda grafikle gösterilmiştir. Şekil 5.5. İçsel ve Kalıntı Riskin Grafikle Gösterimi

130 Bu Bölümde Ne Öğrendik Özeti Kurumsal Risk Yönetiminde İç Çevre / Ortam Kurumsal Risk Yönetiminde Amaçların Belirlenmesi Kurumsal Risk Yönetiminde Olay Tanımlama Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi

131 Bölüm Soruları S.1. S.2. S.3. S.4. Kurumsal Risk Yönetiminde İç Çevre / Ortam nedir açıklayınız? Kurumsal Risk Yönetiminde Amaçların Belirlenmesi nedir açıklayınız? Kurumsal Risk Yönetiminde Olay Tanımlama nedir açıklayınız? Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi nedir açıklayınız?

132 6. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ II

133 Bu Bölümde Neler Öğreneceğiz? Risk Tutumu / Tepkileri Kontrol Aktiviteleri Bilgi ve İletisim Risklerin İzlenmesi

134 Bölüm Hakkında İlgi Oluşturan Sorular S.1. Güvenlik kameraları neden kullanılır? S.2. Arkadaşınıza borç verirken nelere dikkat edersiniz? S.3. Aracınıza kasko yaptırmanızın fayda/maliyeti nedir?

135 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kazanım Kazanımın nasıl elde edileceği veya geliştirileceği Risk Tutumu / Tepkileri Risk Tutumu / Tepkileri açıklar Risk Tutumu / Tepkileri inceleyerek Kontrol Aktiviteleri Kontrol Aktivitelerini Kontrol Aktivitelerini yapar yaparak Bilgi ve İletisim Bilgi ve İletisim yönetir Bilgi ve İletisim yöneterek Risklerin İzlenmesi Risklerin İzlenmesini yapar Risklerin İzlenmesini yaparak

136 Anahtar Kavramlar Risk Tutumu / Tepkileri Kontrol Aktiviteleri Bilgi ve İletisim Risklerin İzlenmesi

137 Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır: İç Ortam Amaç/Hedef Belirleme Olay Tanımlama Risk Değerlendirme Risk Tepkileri Kontrol Faaliyetleri Bilgi ve İletişim İzleme Nihai olarak her kurumun KRY algılaması ve uygulaması farklılık gösterebilmektedir. Bu farklılığın nedeni faaliyette bulunulan sektörler olabileceği gibi kurum büyüklüğü, kültürü ve yönetim felsefesi de olabilir. Bu nedenle kurumlarda uygulanan KRY çerçeveleri ve kontrol yapıları farklı olabilir. Bu da genel olarak KRY bileşenlerinin uygulamadaki ağırlıklarını ve dikkate alınma düzeylerini etkilemektedir Risk Tutumu / Tepkileri Risk değerlendirme sürecini izleyen aşama riske yönelik tepkilerin belirlenmesidir. KRY nin beşinci bileşeni olan risk tepkileri bazı kaynaklarda risk tutumu, risk yanıtı ve riske karşılık verme olarak da isimlendirilmiştir. Risk tepkisi, kurum yönetimi tarafından, riske karşılık alınacak tutumun/tavrın belirlenmesidir. Risk değerlendirme sonuçlarına göre belirlenecek olan risk tepkileri, risk yönetiminin riskler karşısındaki eylem alanıdır. Riske yönelik tepkilerin belirlenmesini etkileyen ana faktör kurum yönetimi tarafından belirlenen risk iştahı seviyesi/sınırıdır. Risk iştahı temelde, kurum üst yönetiminin çalışma tarzı tarafından belirlenir. Eğer üst yönetim risk almaktan hoşlanan bir yönetim tarzına sahipse kurumun risk iştahı seviyesi yüksek olarak belirlenecektir. Aksi durumda ise risk iştahı seviyesi düşük belirlenecektir. Risk değerlendirmeleri ve ölçümleri/puanlamaları sonucu elde edilen veriler risk iştahı

138 seviyesi ile karşılaştırılır. Kurumun risk iştahı seviyesinin üzerinde olan bu yüzden deöncelikli olarak önlem alınması gereken riskler belirlenir. Daha sonra da her bir riske yönelik olarak (alternatif tepkiler de dikkate alınarak) en uygun risk tepkileri belirlenmeye çalışılır. Etkin bir KRY, yönetimin belirleyeceği risk tepkileri aracılığıyla risklerin olasılık ve etki derecelerinin risk iştahı seviyesi altında tutulmasını sağlar. Risk tepkisinin belirlenmesi sürecinde öncelikle alternatif risk tepkileri belirlenir daha sonra kurum risk kültürüne, risk iştahı seviyesine, maliyetfayda değerlendirme sonuçlarına ve risklerle ilgili fırsat değerlendirmelerine uygun olan tepki veya tepkiler uygulamaya konur. Yönetimin riske yönelik tepkileri, riskleri kabul etmek/üstlenmek, risklerden kaçınmak, riskleri kontrol etmek veya riskleri transfer etmek şeklinde olabilir Kaçınma Riske neden olan faaliyetin sonlandırılması veya stratejinin terk edilmesidir. Bu grupta, risk iştahı seviyesinin üzerinde yer alan riskler veya kontrol maliyetlerinin risk getirisini aştığı durumdaki riskler yer alır. Kamu kurumları açısından bir faaliyetin sonlandırılması seyrek bir durumdur. Bu yöntem daha çok stratejilerin belirlenmesi aşamasında yararlı bir yöntem olabilir Azaltma (Kontrol Etme) Riskin, yönetim tarafından kabul edilebilir bir seviyeye yani risk iştahı seviyesine kadar indirilebilmesi için, ortaya çıkma olasılığını veya olası etkilerini azaltmaya yönelik uygun kontroller tasarlanmasıdır. En yaygın kullanılan risk tepkisi şeklidir. Riskin kurum risk iştahı seviyesini aştığı ancak yönetimin riske ait etki ve olasılığın kabul edilebilir bir seviyeye indirilebileceğine dair bir inancının bulunduğu durumlarda riskler kontrol altında tutulmaya, diğer bir deyişle risklerin etki ve olasılıkları azaltılmaya çalışılır. Risk olasılığının azaltılması, uygun kontroller yardımıyla riskin ortaya çıkma olasılığının azaltılması anlamını taşır. Riskin etkisinin azaltılması ise uygun kontroller tasarlanarak ve uygulanarak riskin olası etkisinin şiddetinin azaltılmasıdır.

139 Transfer Etme Kurum risk iştahı seviyesini aşan risklerin kurum tarafından yönetilemeyeceğinin anlaşılması ancak kurum temel stratejileri ve hedeflerine göre bu riskli faaliyetin bırakılmasının da mümkün olmadığı durumlarda riskli faaliyetin kurum dışı üçüncü taraflara transfer edilmesidir. Risklerin transferi genellikle sigortalama sureti ile gerçekleştirilir. Bazı faaliyetlerin dış kaynaktan temini de (hizmet alımı) bir transfer yöntemidir. Bununla birlikte, risk transferinde risklerin ortadan kaldırılmadığı veya etkisinin azaltılmadığı, sadece riskin taraflar arasında el değiştirdiği unutulmamalıdır. Bazı risklerin transferi özellikleri gereği mümkün değildir. Kurum itibarının zarara uğraması riski transfere uygun değildir. Örneğin perakende sektöründe, zamanında ve istenilen şartlarda teslim edilmeyen mallar için tedarikçi firmadan zarar tazmin edilebilir fakat bu durum perakendeci firmanın satışlarının düşmesini ve belki de daha önemlisi müşterinin gözünde kaybolan imajını engelleyemez Kabul Etme Kurumun risk iştahı seviyesi içerisinde bulunan riskler, herhangi bir önlem alınmadan olduğu gibi bırakılabilir. Riskler, eğer risk iştahı seviyesi altındaysa riskin olasılık ve etki boyutunu ilgilendiren herhangi bir önlem alınmadan riskler üstlenilebilir diğer bir ifadeyle kabul edilebilir. Riskin kabulü, aynı zamanda risklerin azaltılmasından veya paylaşılmasından sonra geriye kalan risklerin kabulünü de içermektedir. Günümüz kurum içi ve dışı ortam koşulları altında, çok az risk bu kategoriye girmektedir

140 Şekil 6.1. Risk Haritası 6.2. Kontrol Aktiviteleri Kontrol faaliyetleri, mevcut riskleri yönetmek veya olasılık ve etkilerini azaltmak için tasarlanan ve uygulanan risk tepkileridir. Yönetim tarafından belirlenen kontrol faaliyetleri, riskleri belirlenen risk iştahı seviyesi/sınırları içinde tutabilmek ve risk tepkilerinin etkili yürütülüp yürütülmediğinden emin olmak için tasarlanır ve uygulanırlar. Kurumun ortaya koyduğu politika, prosedür ve diğer dokümantasyonlar, iş tanımları, organizasyon şemaları, otomasyon sistemi, standartlar gibi temel yönetim faaliyetleri aynı zamanda birer kontrol faaliyetidir. Kontrol faaliyetleri çerçevesinde risklere yönelik tasarlanan mevcut kontroller dokümante edilir ve kontrollerin etkinliği sürekli değerlendirilir. Gerekli olması halinde ilave kontroller geliştirilir. Bununla birlikte, kontroller tasarlanır, değerlendirilir ve geliştirilirken aşırı kontrol uygulanmasından da kaçınılmalıdır. Aşırı kontroller, artan bürokrasi ve düşen verimlilik nedeniyle en az riskler kadar tehlikeli olabilirler. Kontrollerin tasarlanması ve değerlendirilmesi sürecinde optimum kontrol seviyesinin oluşturulması gerekir. Kontroller günlük işleyişi ve faaliyetleri engellemeyecek düzeyde esnek, ancak hedeflere ulaşılma olasılığını artıracak düzeyde de katı olmalıdır. Bir riski yönetmek üzere, yeni bir

141 kontrol yürürlüğe konulmadan önce, gerekliliğinden emin olunmalıdır. Zira genellikle mevcut kontrolün etkin uygulanması riskin yönetilmesi için yeterli olabilmektedir. Kontrol faaliyetleri niteliklerine göre; 1.) Yönlendirici Kontrol, 2.) Belirleyici/Tespit Edici Kontrol, 3.) Önleyici Kontrol, 4.) Düzeltici Kontrol, Yönlendirici kontroller amaçları/hedefleri gerçekleştirmek için yürütülecek faaliyetlerin kim tarafından, nerede, ne zaman, nasıl yapılacağı gibi hususları düzenleyen yani kurumun her türlü faaliyetlerini yönlendiren kontrollerdir. Yasalar, yönetmelikler, politikalar, prosedürler, rehberler bu nitelikteki kontrollere örnek olarak verilebilir. Belirleyici/tespit edici kontroller ise kurumdaki hataları, uygunsuzlukları, standart dışı uygulamaları v.b. ortaya çıkarmak için tasarlanan kontrollerdir. Genel olarak belirleyici kontroller, hata veya uygunsuzluğu önlemez ancak olduktan sonra teşhis edilmesini sağlarlar. Bununla birlikte, belirleyici kontrollerin varlığı bazen önleyici bir etki de yaratabilir. Belirleyici kontrollere örnek olarak; mutabakatlar, sayımlar, karşılaştırmalar ve istisna raporları verilebilir. Önleyici kontroller, sorunların ortaya çıkmasını engellemek/önlemek amacıyla tasarlanan kontrollerdir. Yetkilendirme, görevler ayrılığı ilkesi, onaylama, kapı kilitleri, trafik ışıkları, şifre kontrolleri önleyici kontrollere örnek olarak verilebilir. Düzeltici kontroller oluşan hataları ve uygunsuzlukları düzeltmek amacıyla tasarlanan kontrollerdir. Hatalı uygulamalara yönelik olarak personele eğitim verilmesi, gözden geçirmeler ve izlemeler, mutabakat işlemi sonucu tespit edilen farklılıkların giderilmesi, iletişim toplantıları bu tür kontrollere örnek olarak verilebilir Bilgi ve İletisim Risklerin belirlenmesi, değerlendirilmesi ve uygun risk tepkilerinin geliştirilmesi için kurumda etkin bir bilgi ve iletişim sistemi oluşturulmalıdır. Bilgi ve Bilgi Sistemleri: KRY nin etkin olarak uygulanabilmesi ve kurumun hedeflerine ulaşmasını sağlamak için kurumun her seviyesinde bilgiye ihtiyaç vardır. Etkin bir KRY

142 için doğru bilgiyi, doğru yer ve zamanda elde etmek önemlidir. Kurum amaçlarına hizmet edecek, personelin ve yöneticilerin sorumluluklarını yerine getirmelerine yardımcı olacak bilgiler; tanımlanmış, iletişime hazır formda ve istenilen zamanda hazır olmalıdır. Bilgi eksikliği risklerin tanımlanması, değerlendirilmesi ve kontrolü süreçlerinin etkinliğini zayıflatacaktır. Bilgi sistemleri formel ya da informel olabilir. Bilgi sistemlerinin, genellikle kurum içi bilgileri işlemek için kullanıldığı düşünülür ancak bilgi sistemlerinin çok daha geniş bir uygulama alanı vardır. Riskleri ve fırsatları belirlemek için gereken bilgiler hizmet alıcıları/müşterilerden, tedarikçilerden ve kurum personeliyle yapılan görüşmelerden elde edilebilir. Veri toplama, işleme ve depolamadaki gelişmeler, veri hacminde gittikçe artan bir büyümeye neden olmuştur. Asıl sorun doğru bilgiyi, doğru şekilde, doğru kişiye, doğru zamanda ulaştırıp fazla bilgi yüklemesinden kaçınabilmektir. Bilgi altyapısını geliştirirken her kullanıcı ve bölümün farklı bilgi gereksinimlerine ve yönetimin ihtiyaç duyduğu özet bilgilere önem verilmelidir. Bilgi Kalitesi: Gelişmiş bilgi sistemlerine ve veri tabanlı otomatik karar sistem ve süreçlerine olan bağımlılığın artması, veri güvenilirliğini önemli hale getiriyor. Doğru olmayan veriler, risklerin belirlenememesi ya da yeterince değerlendirilememesi, kötü yönetim kararlarına sebep olur. Bilginin kalitesi için aşağıdakilerin belirlenmesi gerekir:318 İçeriğinin uygunluğu Yeterli derecede detaylı mı? Bilginin zamanlaması Gerektiğinde ve zamanında bulunabiliyor mu? Bilginin güncel olması En günceli mi? Bilginin kesin doğru olması Veriler doğru mu? Bilginin ulaşılabilir olması İsteyenlerin bilgiye ulaşması kolay mı? İletişim: İletişim, bilgi sistemlerinden ayrı düşünülemez. İletişim, ilgili personele görevlerini yerine getirme imkânı veren bilgileri sağlamanın yanı sıra, kurum kültürünü yansıtan, beklentilere cevap veren, bireylerin ve grupların sorumluluklarını ve diğer önemli meseleleri kapsayan daha geniş bir anlamda düşünülmelidir.

143 Kurum İçi İletişim: Yönetim, personelin davranışları konusundaki beklentilerini ve personelin sorumluluklarını anlatırken kesin ve doğrudan bir iletişim kurar. Kurumun risk yönetimi felsefesinin ve sorumluluk dağılımının açıkça tanımlanması da buna dahildir. İşlemler ve prosedürler konusunda iletilenler, oluşturulmak istenen kurum kültürüyle uyumlu olmalı ve bu kültürü desteklemelidir. İletişim etkin bir şekilde şunları ifade etmelidir: Etkin KRY nin önemi, Kurumun hedefleri, Kurumun almayı istediği risk iştahı ve kabul edebileceği risk sınırları Ortak bir risk dili, KRY bileşenlerini etkileyen ve destekleyen personelin rolleri ve sorumlulukları. Kurum Dışı İletişim: Sadece kurum içinde değil, kurum dışında da etkin bir iletişime ihtiyaç vardır. Açık dış iletişim kanallarıyla kurumun dış paydaşlarından önemli bilgiler sağlanabilir. Dış paydaşlarla iletişim, değişen dış koşulları ve bu koşulların yaratacağı riskleri anlamak için gereken bilgileri sağlar. Yönetimin dış paydaşlarla iletişim kurmaya bağlılığı (iletişim ve iletilen konuların takibindeki ciddiyet) bütün kuruma mesajlar gönderir. İletişim Araçları: İletişim, kurum iletişim politikasına ilişkin dokümanlar, kurum web sayfaları, memolar, ler, ilan panosu mesajları, webcastlar, video mesajları gibi birçok değişik şekilde olabilir. Mesajların sözle iletildiği yerlerde (grup içinde, küçük toplantılarda veya bire bir görüşmelerde) ses tonu ve vücut dili de önemli iletişim araçlarıdır. Yönetimin personelle ilgili bir sorunu çözme şekli çok güçlü mesajlar içerebilir. Yöneticiler yapılan hareketlerin söylenen sözlerden daha etkili olduğunu unutmamalıdırlar. Buna karşılık yönetimin hareketleri de kurumun tarihi, kültürü ve onlardan önceki yöneticilerin benzer durumlarda nasıl davrandıklarından etkilenir.

144 6.4. Risklerin İzlenmesi İzleme faaliyetinin amacı KRY çerçevesinde risklere yönelik tasarlanan önlemlerin ve süreçlerin uygulamada gerçekleştirilip gerçekleştirilmediğinin doğrulanmasıdır. Söz konusu önlemlerin ve risk tepkilerinin riskleri, risk iştahı seviyesi içinde tutup tutamadığının doğrulanması ve izlemeler sonucunda tespit edilen sorunlara ilişkin gerekli önlemlerin alınması gerekir. İzleme faaliyeti, uygun kontrollerin varolduğuna ve KRY aşamalarının doğru konumlandırılıp takip edildiğine ve yürütülen faaliyetlerin risk tepki stratejileriyle uyumuna ilişkin güvence sağlar. İzlemeler sonucunda risk sınıflandırmalarında yanlışlıklar yapılmışsa, risklerin doğru ve tam olarak ölçümünde yaşanan sıkıntılar mevcutsa ve raporlar asıl ilgililer/sorumluların eline ulaşmıyor veya raporlama kapsamında sorunlar varsa bunlar ortaya çıkarılır ve böylelikle gerekli önlemler alınabilir.329 Gerçekleştirilen izleme sonucunda KRY sisteminde tespit edilen yetersizlikler (kurumun süreçlerini iyileştirmek amacıyla) üst yönetime raporlanır. İzleme, sürekli (rutin) izleme faaliyetleri, ayrık değerlendirmeler (evaluations) ya da ikisinin kombinasyonu aracılığıyla gerçekleştirilebilir. KRY mekanizmaları, belirli seviyelere kadar kendilerini sürekli (rutin) olarak izlemek üzere yapılandırılmıştır. Kurum günlük faaliyetleri içine yerleştirilen sürekli izlemeler gerçek zamanlıdır ve değişikliklere dinamik tepki verirler. Bu nedenle ayrık değerlendirmelerden daha etkindir. Sürekli izlemelerin etkinlikleri arttıkça ayrık değerlendirmelere daha az ihtiyaç duyulur. Ayrık değerlendirmeler kurum ihtiyaç hissettiğinde ya da bir olaydan sonra gerçekleştiği için sürekli izlemeyle problemler çoğu zaman daha erken belirlenir. Ciddi sürekli izleme aktiviteleri bulunan pek çok kurum, KRY nin ayrık değerlendirmelerini de gerçekleştirmektedir. Ayrık değerlendirmelerin sıklığı yönetimin kararına bağlıdır. Bu karar, kurumda meydana gelen değişikliklerin derecesi, değişikliklere bağlı olarak ortaya çıkan yeni riskler, risk tepkilerini ve ilgili kontrolleri uygulayan personellerin yetkinlikleri ve son olarak da sürekli izlemenin sonuçları gibi hususlar dikkate alınarak verilir. Daha sık ayrık değerlendirmelerin ihtiyacını hisseden bir kurum, sürekli izleme aktivitelerini iyileştirmeye odaklanmalıdır. İzlemelerle ilgili diğer bir önemli konu da izleme faaliyetlerinin kapsam ve sıklıklarının belirlenmesidir. İzleme faaliyetlerinin kapsamları ve sıklıkları, risklerin ve risk tepkilerinin önem derecesiyle ilişkilidir. Doğal olarak yüksek riskli alanlar ve bu alandaki risk tepkileri daha sık değerlendirilirken bütün

145 olarak KRY sistemini değerlendirme faaliyeti daha az rastlanılan bir durumdur. İzleme faaliyetinde temel başarı faktörü, izlemeleri gerçekleştiren ekibin bağımsız hareket etme kabiliyetidir. Bu çerçevede izleme faaliyetine konu olan ana faaliyetin yürütülmesinde görevli olanlar, izleme faaliyetini yürütecek ekip içerisinde yer almamalıdır. Benzer şekilde, iç denetim birimi risk yönetiminde danışman olarak görev almışsa danışman olarak görev almayan iç denetçilerden oluşan bir izleme ekibi oluşturulmalıdır.izleme sürecine rehberlik eden ve izleme faaliyetleri çerçevesinde düzenlenen ve kullanılan bazı belgeler ve raporlar şunlardır: Yönetim performans/faaliyet sonuçları ve raporları, yönetim kurulu ve risk komitesi raporları, denetim komitesi toplantı tutanakları ve raporları, iç denetim raporları, kurum risk kütüğü ve kontrol raporları.

146 Bu Bölümde Ne Öğrendik Özeti Risk Tutumu / Tepkileri Kontrol Aktiviteleri Bilgi ve İletisim Risklerin İzlenmesi

147 Bölüm Soruları S.1. Risk Tutumu / Tepkileri nelerdir açıklayınız? S.2. Kontrol Aktiviteleri nelerdir açıklayınız? S.3. Bilgi ve İletisim sürecini açıklayınız. S.4. Risklerin İzlenmesi nasıl yapılır açıklayınız?

148 7. ÜLKE UYGULAMALARINDA RISK YÖNETIM MODELLERI

149 Bu Bölümde Neler Öğreneceğiz? Avustralya ve Yeni Zelanda Risk Yönetim Modeli İngiltere Risk Yönetim Modeli Kanada Risk Yönetim Modeli Amerika Risk Yönetim Modeli

150 Bölüm Hakkında İlgi Oluşturan Sorular S-1. Trafik kuralları ülkelere farklı mıdır? S-2. Yabancı firmalar ve yerli firmaların kalite stndartları değişiyor mu?

151 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Avustralya ve Yeni Zelanda Risk Yönetim Modeli İngiltere Risk Yönetim Modeli Kanada Risk Yönetim Modeli Amerika Risk Yönetim Modeli Kazanım Avustralya ve Yeni Zelanda Risk Yönetim Modeli ni açıklar İngiltere Risk Yönetim Modeli ni açıklar Kanada Risk Yönetim Modeli ni açıklar Amerika Risk Yönetim Modeli ni açıklar Kazanımın nasıl elde edileceği veya geliştirileceği Avustralya ve Yeni Zelanda Risk Yönetim Modeli ni inceleyerek İngiltere Risk Yönetim Modeli ni inceleyerek Kanada Risk Yönetim Modeli ni inceleyerek Amerika Risk Yönetim Modeli ni inceleyerek

152 Anahtar Kavramlar Avustralya ve Yeni Zelanda Risk Yönetim Modeli İngiltere Risk Yönetim Modeli Kanada Risk Yönetim Modeli Amerika Risk Yönetim Modeli Birçok ülkede uygulanmakta olan farklı risk yönetim modelleri bulunmaktadır. Bunlardan en çok tercih edilenleri; Avustralya ve Yeni Zelanda, Amerika, ingiltere ve Kanada risk yönetim modelleridir.

153 7.1. Avustralya ve Yeni Zelanda Risk Yönetim Modeli 1995 de ortaya çıkan Avustralya ve Yeni Zelanda risk yönetim sistemi, risklerin yönetilmesi ve belgelendirilmesinde dünyanın ilk resmi ve çok güçlü standartlarına sahip bir uygulama modelidir yılında yeniden yapılandırılan Avustralya ve Yeni Zelanda risk yönetim standartları Risk Yönetim Esasları AS/NZS 4360:2004 olarak bilinmektedir. AS/NZS 4360 standartları, Avustralya ve Yeni Zelanda daki kâr amaçlı ve kâr amacı olmayan grup temsilcilerinden oluşan bir ortak teknik komite tarafından geliştirilmiş ve her çeşit kurumda kullanılabilir şekilde tasarlanmıştır. Yirmi sekiz sayfa uzunluğunda, anlaşılması ve uygulanması kolay ve esnek olan standartlar, kurumsal risk yönetim sisteminin uygulanması için dokuz adımlı bir program sunmaktadır. Standartlar, risklerin işlevsel risk yönetim grubu tarafından yönetileceğini ve bu grubun gerekli beceri ve tecrübeye sahip olduğunu ifade etmektedir Standartlar hem Sarbanes-Oxley uyumu gerektiren organizasyonlar için risk yönetim metodolojisi olarak hem de riskleri yönetmek için olasılık ve sonuç gibi geleneksel bir yöntem kullanmayı tercih eden organizasyonlar için iyi çalıştığından kullanımı teşvik edilmektedir. AS/NZS 4360 standartları şirket veya sistemik riskler için teknik risklerden daha iyi çalışır; ancak tehdit risk modeli yapılı uygulamaları sağlayan metotları ele almaz. Ayrıca güvenlik incelemeleri için riskleri sınıflandırsa da web uygulamalarındaki tehditleri belirten yapısal metottaki eksikliği onu diğer metotlardan daha az çekici kılmaktadır. AS/NZS 4360 risk yönetim standartları, risk yönetim sisteminin uygulanması ve gelişimi için yapılması gerekenlere açıklık getiren bir rehber niteliği göstermektedir. Standartlara göre ilk olarak kurumun stratejik, kurumsal ve risk yönetim kapsamı oluşturulmalıdır. Kurumsal politika; risk yönetim hedeflerini kapsayıcı bir şekilde geliştirilmeli, kurumsal ve bireysel sorumluluklara, uygulama ve değerlendirme prosedürlerinin kapsamına açıklık getirmelidir. Risk yönetimi kurum kültürünün bir parçası olmalı ve bu kapsamda risk farkındalığı ve iletişim düzeyi artırılmalıdır. Bu amaçla eğitim programlarının organize edilmesi tavsiye edilmektedir. Üst yönetimin sistemi desteklemesi sistemin işlerliği ve gelişimi için gerekli bir diğer ön adım olarak belirtilmektedir. Standartlara göre risk yönetimi, kurumun planlama ve yönetim süreçlerinin birer parçası haline getirilmelidir. Risk yönetimi ile ilgili kapsam oluşturulduktan sonra riskler tanımlanmalıdır. Daha sonra riskler meydana gelme olasılıkları, etkileri ve sonuçları dikkate alınarak değerlendirilmeli ve öncelik sırasına konulmalıdır. Risklere yönelik uygulanacak politikalar tespit edilmelidir. Risk yönetim süreci izlenmeli ve

154 değerlendirilmelidir. Hem kurum içi hem de kurum dışı paydaşlarla sonuçlar paylaşılmalı ve bütün süreçlerin yazılı doküman halinde saklanmasına özen gösterilmelidir. Risk yönetim sisteminde süreklilik sağlanarak sistemin uygulanması garanti altına alınmalıdır. AS/NZS 4360 risk yönetim süreci; kapsam oluşturma, risk belirleme, risk analizi, risk değerlendirme, risk yönetimi, iletişim, danışma, izleme ve değerlendirme aşamalarından oluşmaktadır. Avustralya ve Yeni Zelanda Risk Yönetim Standartları ndaki risk yönetim süreçleri şekil 4 te gösterilmektedir. Şekil 7.1. Avustralya ve Yeni Zelanda Risk Yönetim Süreci AS/NZS ISO standartlarının kuruma sağladığı temel faydalar şunlardır: i. Risk yönetimin etkinleştirilmesini sağlayarak hedeflere ulaşılma olasılığını artırır. ii. Kurum çapında risklerin ve tutumların belirlenmesine yönelik farkındalık yaratır. iii. Fırsat ve tehditlerin belirlenmesinde gelişim sağlar. iv. ilgili yasal ve uluslararası normlara uygunluk kazandırır. v. Finansal raporlamayı, kurumsal yönetişimi ve paydaş güvenini geliştirir. vi. Karar verme ve planlama için güvenilir bir temel oluşturur. vii. Kontrol sistemini geliştirir.

155 viii. Etkin risk tutumu belirlemede kaynak tahsisi ve kullanımı sağlar. ix. Faaliyetlerdeki etkinliği ve verimliliği artırır. x. Kayıpları önlemeyi ve olay yönetimini geliştirir ve kayıpları en aza indirir. xi. Kurumsal öğrenmeyi, esnekliği ve direnci artırır. xii. Hazırlanan risk yönetim raporları ile hem üst yönetime hem de yönetim kurulu ve denetim komitesine önemli risklerin standartlara uygun olarak yönetildiğine dair bilgi sağlar 7.2. İngiltere Risk Yönetim Modeli şubat 2008 de ingiltere de BS adıyla Risk Yönetimi: Uygulama Kuralları taslağı yayımlanmış ve Haziran 2011 de BS 31100: 2011 Risk Yönetimi- ISO için Uygulama ilke ve Esasları (BS 31100: 2011 Risk Management. Code of Practice and Guidance for The Implementation of ISO 31000) adıyla British Standards Institution tarafından basılmıştır. BS 31100, ISO ni destekleyici uygulama kodudur. BS risk yönetim hedeflerine ulaşılması ve risklerin kurum çapında yönetilmesi için risk yönetim esas, model, çerçeve ve süreçlerine rehberlik sağlayacak şekilde tasarlanmış sistematik ve etkili bir standartlar dizisidir. Standartlar risk yönetim sisteminin, kurumun stratejisi kapsamında ve stratejinin uygulanmasında sürekli ve gelişen bir süreç olması gerektiğine dikkat çekmektedir. BS 31100, uluslararası standartlarda olmayan risk yönetimi ile ilgili ek ilkelere de yer vermektedir ( BS risk yönetim standartları ile ilgili ilkeler şunlardır: i. Risk yönetimi kuruma uygun yapılandırılmalıdır. ii. Risk yönetimi kurum kültüründe ve personel algısında yer edinmelidir. iii. Risk yönetimi sistematik ve yapısal olmalıdır. iv. Risk yönetimi için kurumda genel bir risk dili oluşturulmalıdır. v. Risk yönetimi en doğru bilgilere dayanmalıdır. vi. Risk yönetimi belirsizlikleri açık bir şekilde değerlendirmelidir. vii. Risk yönetimi karar alım sürecinin bir parçası olmalıdır. viii. Risk yönetimi şeffaf bir yapıda ve kapsamlı olmalıdır. ix. Risk yönetimi dinamik ve değişimlere uyumlu olmalıdır. x. Risk yönetimi süreklilik özelliği taşımalıdır. xi. Risk yönetim ilkeleri dönemsel olarak tekrar değerlendirilmelidir. Risk yönetim sisteminin yapısı kapsamında; görev ve bağlılık, risklerin yönetimi için bir içerik oluşturulması (risk yönetim stratejisinin, politikasının, kültürünün, risk iştahının, risk profilinin ve risk kriterlerinin belirlenmesi; rol, sorumluluk ve yetkilerin yazılı hale getirilmesi; risk yönetim teknik ve araçlarının tespit edilmesi), risk yönetiminin uygulanması, izleme ve

156 değerlendirme süreci ve sistemdeki hata ya da eksikliklerin giderilmesi ve geliştirilmesi yer almaktadır. BS standartları riskleri inceleme, tanımlama, değerlendirme, uygun tutum belirleme ve raporlama süreçlerinden oluşmaktadır. BS standartlarına ilişkin risk yönetim süreci şekil 6 da gösterilmektedir. Standartlar risk yönetimin ilke ve terminolojisini oluşturmakta ve kurum hedeflerine ulaşma olasılığını artırmak için kurum çapında etkili risk yönetim sisteminin anlaşılması, geliştirilmesi ve uygulanması için bir temel sağlamaktadır. Standartlarda, iyi uygulama örnekleri ve tecrübelere dayalı olarak risk yönetim yapı, süreç ve uygulamasına yönelik önerilere yer verilmektedir. Temel risk yönetim ilkeleri her kurum için uygulanabilir niteliktedir; ancak uygulama tekniği kurumun kapsamı, niteliği, karmaşıklığı ve büyüklüğüne göre değişmektedir. Diğer standartlar kayıpları azaltmaya odaklanırken BS risklerin üstlenilerek kurum için nasıl değere dönüştürülebileceği üzerine yoğunlaşmaktadır. BS standartlarının kullanılması risk yönetim stratejilerine ve kurum hedeflerine ulaşıldığına ve spesifik alan ya da faaliyetlerle ilgili risklerin gerekli tedbirler alınarak yönetildiğine dair güvence verir. Standartlar risk yönetim sisteminin kontrolünü ve paydaşlara rapor sunulmasını sağlar

157 Şekil 7.2. BS ISO Risk Yönetim Süreci 7.3. Kanada Risk Yönetim Modeli Kanada da uygulanmakta olan Bütünleşik Risk Yönetim Sistemi standartları Treasury Board Secretariat tarafından yayımlanmıştır. Bütünleşik risk yönetim sistemi, kurum çapında risklerin anlaşılmasını, yönetilmesini ve risklerle ilgili gerekli bilgi ve iletişimin sağlanmasını amaçlayan sistematik ve süreklilik özelliği taşıyan proaktif bir süreçtir (Robillard, 2001: 7). Sistem kurumun kurumsal stratejisine entegre edilmekte ve kurum risk yönetim kültürünü biçimlendirmektedir. Sistem, kurumun her seviyesindeki olası risklerin sürekli değerlendirilmesini ve daha sonra değerlendirme sonuçlarının bir araya getirilerek öncelikli düzenlemelerin ve geliştirici kararların alınmasını gerekli kılmaktadır. Sistemde sadece risklerin azaltılmasına odaklanılmamakta aynı zamanda yenilik getirici faaliyetler desteklenerek kabul edilebilir en iyi sonuç, maliyet ve risk oranlarına ulaşılması hedeflenmektedir.

158 Sistem risklerin yönetilmesinde daha bütünsel bir yaklaşımın adapte edilmesine ilişkin esasları belirlemekte ve kurumsal düzeyde dengenin sağlanması için mücadele edilmesini teşvik etmektedir. Böylece hem çalışanlar hem de yöneticiler tarafından risklerin yapısı daha iyi anlaşılmakta ve daha sistematik bir risk yönetim modeli uygulanmaktadır. Sistem birbiri ile ilişkili dört unsurdan oluşmaktadır. Bunlar aşağıda yer almaktadır (The President of The Treasury Board, 2010): i. Kurumsal risk profili geliştirilmesi: Riskler kurum içi ve kurum dışı çevresel tarama ile tespit edilir. Kurumun mevcut risk yönetim yapısı değerlendirilir. Kurum risk profili tanımlanır. ii. Bütünleşik risk yönetim fonksiyonu oluşturulması: Risk yönetimine yönelik yönetim tebliğinin iletilmesi, anlaşılması ve uygulanması. Risk yönetim sistemi, karar alım ve raporlama sürecine entegre edilir. Öğrenme planları ve araçlar geliştirilerek risk yönetim kapasitesi oluşturulur. iii. Bütünleşik risk yönetim sisteminin uygulanması: Kurumun her düzeyinde ortak bir risk yönetim süreci sürekli uygulanır. Risk yönetim sonuçları karar alımında ve öncelikli düzenlemelerin yapımında belirleyicidir. Araç ve yöntemler uygulanır. Paydaşlarla iletişim ve müzakereler sürdürülür. iv. Risk yönetim uygulamasında sürekliliğin öğrenilmesini sağlama: Tecrübeye dayalı öğrenmeyi, bilgi ve deneyimlerin paylaşımına dayalı destekleyici bir çalışma ortamı kurulur. Hizmetiçi eğitim planları oluşturulur. Risk yönetim sonuçları yeniliği, öğrenmeyi ve sürekli gelişimi destekleyici şekilde değerlendirilir.

159 En iyi uygulama örnekleri ve tecrübeler paylaşılır. Kanada Bütünleşik Risk Yönetim Sisteminin süreçleri arasındaki ilişki şekil 7 de gösterilmektedir. şekil 7 de görüldüğü üzere bütünleşik risk yönetim süreciyle ilgili faaliyetler dokuz adımdan oluşmaktadır. Öncelikle sorunların ve fırsatların belirlenmesi ve risk yönetimi ile ilgili kapsamın oluşturulması gerekmektedir. Risk yönetim sisteminde kullanılacak yöntem, uzman personel, araç ve gereçler de ilk adımda tespit edilmelidir. Daha sonraki adımlarda hedeflerle ilişkili faaliyetlere yönelik riskler belirlenir. Risk yönetim sürecine ilişkin beklentiler ya da hedefler tespit edilir ve planlamalar yapılır. Süreçler takip edilerek gerekli durumlarda strateji değişikliğine gidilir ve sistemden maksimum fayda sağlanması amacıyla süreçler izlenir ve değerlendirilir (Robillard, 2001: 16-17). Bütünleşik risk yönetim sisteminde Treasury Board Secretariat, üst yönetici, yöneticiler, danışmanlar, uzmanlar, iç denetçiler ve diğer tüm kurum çalışanlarının görev ve sorumlulukları olduğu belirtilmekte ve bunlara ilişkin ayrıntılı açıklamalara yer verilmektedir Şekil 7.3. Kanada Bütünleşik Risk Yönetim Süreçleri

160 7.4. Amerika Risk Yönetim Modeli COSO, Amerika daki beş büyük profesyonel finans kuruluşu (The American Associtacion, The American Institute of Certified Public Accountants, The Financial Executives Institute, The Institute of Internal Auditors ve The Institute of Management Accountants) tarafından desteklenen gönüllü bir özel sektör kuruluşudur. COSO etkili dış denetim, kurumsal yönetişim ve iş ahlâkı ile finansal raporların kalitesini artırmaya odaklanmıştır. COSO, daha önceden iç Kontrol Bütünleşik Çerçevesine (Internal Controls-Integrated Framework) duyulan ihtiyacın aynısının risk yönetimi için de duyulduğunu farkına vardıktan sonra bir çalışma içerisine girmiştir. COSO, orijinal kurumsal risk yönetim çerçevesini 1992 yılında oluşturmuş ve 2002 yılında güncelleyerek son halini vermiştir. Kurumsal risk yönetim çerçevesi, COSO iç Kontrol-Bütünleşik Çerçevesi ile uyumlu olacak şekilde hazırlanmıştır. Böylece kurumların iç kontrole yönelik yatırım yaparken risk yönetim sisteminin gelişimi için de uygun ortam hazırlaması hedeflenmiştir. COSO tarafından 2004 yılında yayımlanan Kurumsal Risk Yönetim Bütünleşik Çerçeve ve Uygulama Rehberi ve Kurumsal Risk Yönetim Bütünleşik Çerçeve ve Uygulama Özeti adlı kitaplar kurumsal risk yönetim sistemi ve unsurlarının anlaşılması adına önem taşıyan birincil derece kaynaklardır. iyi yönetim uygulamalarının yanı sıra iyi risk yönetim uygulamalarını da içeren iç Denetimin Kurumsal Risk Yönetiminde Oynadığı Rol isimli detaylı bir belge de IIA tarafından 2004 yılında hazırlanmış ve 2009 Ocak ayında revize edilerek tekrar yayımlanmıştır. Yukarıda adı geçen kaynaklar, yeni bir yaklaşım olan kurumsal risk yönetim sisteminin kurulum ve uygulanma sürecini ayrıntısıyla açıklamakta ve bu kapsamda ortak bir dil oluşturulması sürecine hizmet etmektedir. Bu kaynaklar ayrıca şu anda kabul edilen kurumsal risk yönetim çözüm yollarını kurum için kıyaslama aracı olarak değerlendirmede ve kurumsal risk yönetim uygulaması için doğru bir yol haritası çizmede temel kaynak olma niteliği taşımaktadır (Tonello, 2007: 5). COSO nun kurumsal risk yönetim çerçevesini tasarlamadaki amacı, kurumların uyguladıkları risk yönetim süreçleriyle bu yeni sistemi karşılaştırabilmelerini sağlamaktır Kurumsal risk yönetim sistemi ileriki bölümde ayrıntısı ile ele alınacağından burada kısaca yer verilmektedir. COSO modelinin tercih edilmesinin sebebi, Türk Kamu Mali

161 Yönetimi ve Kontrol alanında ön mali kontrol, iç kontrol, iç denetim ve dış denetim konularında COSO standartlarının tercih edilmiş ve uygulanılıyor olmasıdır. Ayrıca iç denetçilerin kurumsal risk yönetim süreci kapsamındaki sorumlulukları IIA tarafından ayrıntısıyla düzenlenmiştir. Bu Bölümde Ne Öğrendik Özeti Avustralya ve Yeni Zelanda Risk Yönetim Modeli İngiltere Risk Yönetim Modeli Kanada Risk Yönetim Modeli Amerika Risk Yönetim Modeli

162 Bölüm Soruları S.1. S.2. S.3. S.4. Avustralya ve Yeni Zelanda Risk Yönetim Modelini açıklayınız. İngiltere Risk Yönetim Modelini açıklayınız. Kanada Risk Yönetim Modelini açıklayınız. Amerika Risk Yönetim Modelini açıklayınız.

163 8. KURUMSAL RİSK YÖNETİMİ İÇİN YASAL DÜZENLEMELER

164 Bu Bölümde Neler Öğreneceğiz? Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Sarbanes-Oxley Kanunu Dod-Frank Kanunu Kontrag Kanunu, Cabdury ve Turnbull Raporu EU Direktifi The Combined Code On Corporate Governance Risk Management Standard Türkiye de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler Sermaye Piyasası Kurulu Düzenlemeleri Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik Yeni Türk Ticaret Kanunu

165 Bölüm Hakkında İlgi Oluşturan Sorular S-1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler nelerdir? S-1. Türkiye de Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler nelerdir?

166 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Kazanım Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeleri açıklar Kazanımın nasıl elde edileceği veya geliştirileceği Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler inceler Türkiy de Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Türkiy de Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler açıklar Türkiy de Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler inceler

167 Anahtar Kavramlar Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Sarbanes-Oxley Kanunu Dod-Frank Kanunu Kontrag Kanunu, Cabdury ve Turnbull Raporu EU Direktifi The Combined Code On Corporate Governance Risk Management Standard Türkiye de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler Sermaye Piyasası Kurulu Düzenlemeleri Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik Yeni Türk Ticaret Kanunu

168 8.1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Sarbanes-Oxley Kanunu 30 Temmuz 2002 de ABD de Sarbanes Oxley Yasası (SOX), denetim ve fınansal raporlama kalitesini korumak ve arttırmak; aynı zamanda yatırımcıları sermaye piyasalarına yeniden kazandırmaya yönelik bir düzenleme niteliği taşımaktadır. Sarbanes-Oxley Yasası nın amacı, fınansal raporlamada, bağımsız denetimde ve muhasebe hizmetlerinde kalite ve şeffaflığı arttırmak, muhasebe uygulamalarında standart bir çerçeve belirlenmesi sürecini yaygınlaştırmak ve bağımsız denetim işletmelerinin bağımsızlığını güçlendirmektir. Sarbanes-Oxley Yasası, 1929 yılında yaşanan Büyük Ekonomik Buhran ardından muhasebe ve denetim alanında yapılan ilk düzenleme olarak değerlendirilebilir. Bu bağlamda, yatırımcılar ve diğer menfaat gruplarının muhasebe bilgilerine yeniden güven duymalarını sağlamak adına çıkarılmış olan Sarbanes Oxley Yasası reel sektör işletmelerine birtakım avantajlar sunmaktadır. Bu avantajlar, şu şekilde özetlenebilir : Yatırımcıya doğru zamanda, anlaşılır ve kapsamlı fınansal bilgi sunulması, Daha iyi bir kurumsal yönetimin sağlanması, İç kontrollerin daha etkin yapılması, Bağımsız denetim işletmeleri ile iç denetimden sorumlu kurulların bağımsızlığının sağlanması, Bağımsız denetim işletmelerinden alınabilecek danışmanlık gibi hizmetlerin sınırlandırılmasıdır. Sarbanes-Oxley Yasası na göre, halka açık işletmelerin iç kontrol sistemi ve bunun denetimi yönetim kurullarının sorumluluğuna bırakılmaktadır. Yönetim kurulları, işletmelerde etkin bir iç kontrol sistemi kurabilmek için komiteler kumak zorunda bırakılmıştır. Yasanın 404. maddesinde; yönetimin iç kontrol sistemi kurduğunu ve etkili bir şekilde uyguladığının yıllık faaliyet raporlarında belirtilmesi gerektiği ifade edilmektedir. Aynı zamanda, iç kontrol raporunun da bağımsız denetçi tarafından verilen rapor ile desteklenmesi gerekmektedir. Bu maddede, fınansal raporlama ve risklerle ilgili işletme kontrol ortamı düzenlemelerine yer verilmiştir. Burada yer alan düzenlemeler, COSO İç Kontrol ve Kurumsal Risk Yönetimi (KRY) uygulamaları ile paraleldir.

169 Dod-Frank Kanunu Küresel fınans krizinin ardından 21 Temmuz 2010 tarihinde ABD de Dodd-Frank Wall Street Reform ve Consumer Protection Act Yasası, fınansal sistemde hesap verebilirlik ve şeffaflığın geliştirilmesine yönelik bir düzenleme olarak kabul edilmektedir. Dodd-Frank Yasası ile birlikte, özellikle 10 milyar dolar ve daha fazla varlığı olan bankalar ve bankalar dışındaki fınansal kuruluşlar için denetim komitesinden ayrı olarak örgütlenmiş bir risk yönetimi komitesi kurma zorunluluğu getirilmiştir. Bununla birlikte, ABD deki birçok reel sektör işletmesi de risk yönetimi komitesi kurma yönünde girişimlere başlamıştır. Risk yönetimi komitesi ile fınansal ve fınansal olmayan işletmelerin bütünleşik ve kurum çapında bir risk yönetimi faaliyeti gerçekleştireceği ve bunun da risk raporlama ve gözetiminin kalitesini arttıracağı belirtilebilir Kontrag Kanunu, Cabdury ve Turnbull Raporu Risk yönetiminin artan önemi, halka açık olan ya da olmayan işletmelerde uygun risk yönetim sistemlerinin kurulması zorunluluğunu beraberinde getirmektedir. Almanya da 1 Mayıs 1998 de kabul edilen Alman Kurumsal Denetim ve Şeffaflık Yasası (Kontrag), halka açık işletmelerin kurumsal yönetim uygulamalarını geliştirmeyi amaçlamaktadır. Bu yasa ile iç denetim kapsamında halka açık işletmelerin riskin erken teşhisi ve yönetimi sistemine sahip olmaları; bununla birlikte bu sistemin kurulup kurulmadığının yıllık denetim raporunda belirtilmesi gerekmektedir. Ingiltere de risk yönetimine ilişkin düzenlemeler, Cabdury Raporu ile birlikte gündeme gelmektedir. Cadbury Raporu, temelde işletmelerin uymak zorunda olduğu kurumsal yönetim ilkeleriyle ilgili düzenlemeleri içermektedir. Başkanlığını Sir Adrian Cadbury nin yaptığı ve Cadbury Raporu olarak bilinen kurumsal yönetim ilkelerine göre, Londra Borsası na kayıtlı tüm işletmeler için uygula ya da açıkla ilkesi belirlenmiştir. Uygula ya da açıkla ilkesine göre işletmelerin yıllık faaliyet raporlarında kurumsal yönetim ilkelerine uyduklarını açıklaması; uymuyorlarsa da neden

170 uymadıklarını açıklamaları gerekmektedir. Bu raporda, işletmelerin risk yönetiminden sorumlu bir komiteye sahip olması önerilmektedir. Cadbury Raporu sonrasında, 1999 yılında Birleşik Krallık Sertifikalı Muhasebeciler Kurulu (Institute of Charted Accountants of England and Wales) tarafından yayınlanan Turnbull Raporu, kurumsal yönetimin bir gereği olarak halka açık işletmeler için işletme çapında uygulanan iç kontrol ve risk yönetim sisteminin var olması gerektiğini ifade etmektedir. COSO modeli ve Kontrag Yasası nda olduğu gibi Turnbull Raporu nda da işletme çapında uygulanabilecek bir risk yönetimi sistemine vurgu yapılarak, risk yönetimi sisteminin kurulmasıyla birlikte işletmelerin uzun vadeli çıkarlarının korunmasına yönelik önlemler alınacağı kabul edilmektedir EU 8. Direktifi 10 Nisan 1984 tarihinde kabul edilen 84/253/ECC sayılı 8. yönerge, muhasebe raporları üzerinde yasal açıdan denetim yapan denetçilerin sorumlulukları ve mesleki standartlarıyla ilgilidir. Bu yönergenin amacı, yasal denetçi olarak çalışan kişilerin gereksinimlerinin karşılanması ve Avrupa Birliğine üye ülkelerde denetime ilişkin düzenlemelerin sağlanmasıdır. AB ne üye ülkelere 1988 yılına kadar bu yönerge doğrultusunda gerekli düzenlemeleri yapma süresi tanınmış ve yönerge 1 Ocak 1990 tarihinde yürürlüğü girmiştir. Yönerge ile Avrupa Birliğine üye ülkelerde, işletmelerin finansal raporlarının yasal denetimlerini yürütme ve denetimler ile AB hukukunun gerektirdiği doğrulama derecesinde yıllık faaliyet raporlarının yıllık hesaplara uygunluğunu doğrulama amaçlanmıştır. Holdinglerin konsolide finansal raporlarının yasal denetimlerini yürütme ve bu denetimler ile AB hukukunun gerektirdiği doğrulama ölçüsünde konsolide yıllık hesapların, konsolide faaliyet raporlarına uygunluğunu doğrulama, bağımsız dış denetim kapsamı olarak belirlenmiştir. Söz konusu denetim işini yapan kişiler, gerçek kişiler olabileceği gibi tüzel kişiliğe sahip denetim firmaları da olabilir.

171 Yönerge; kapsam, yetkiye ilişkin kurallar, mesleki kurallar, mesleki dürüstlük ve bağımsızlık, açıklık ve son hükümler olmak üzere beş kısımdan oluşmaktadır The Combined Code On Corporate Governance Combined Code, 1998 yılında, İngiltere de daha önce yayımlanmış üç raporu esas alan yeni bir rapordur. Turnbull Raporu olarak da adlandırılan ve iç kontroller ve risk yönetimi hakkında özel sektör direktörleri için hazırlanmış rehber niteliğindeki rapor, 2003 te revize edilmiştir. İngiltere, Londra borsası şirketlerine yönelik uygulauygulamıyorsan açıkla esasına dayalı Combined Code raporunda Yönetim Kurulu Başkanı nın ücretlendirme komitesinde yer alması konusunda sınırlama kalkmış ve yer alan önerilere uyum sağlanması, Londra Menkul Kıymetler Borsasına kote şirketler için zorunlu hale getirilmiştir. Combined Code, İngiltere de kurumsal yönetişim konusundaki yaklaşımı yansıtmaktadır. İngiltere de hisse senetleri Londra Borsası nda işlem gören şirketlerin iyi yönetişim ilkesine ve bu konudaki mevzuata bağlılığını sağlamak amacıyla The Institute of Chartered Accountants in England-Wales (1999) isimli örgüt tarafından İç Kontrol, Birleştirilmiş Kurallar Üzerine Yönetim Kurulu Üyeleri İçin Rehber (Internal Control, Guidance for Directors on the Combined Code) başlığıyla yayınlanan bir versiyonu da vardır. Sarbanes-Oxley gibi, bu kılavuz da, tüm iç kontrol çerçevesi üzerine odaklanmıştır. Muhasebe dönemlerinin başlangıcında uygulanan 2006 ve 2008 olarak iki versiyonu mevcuttur. Combined Code Mevzuatı Londra Borsası kotasyon şartı, yönetim kurulu üyelerinin yarısının bağımsızlığı, yönetim kurulunun kendi öz değerlendirmesi, ayrıntılı ücret politikası oluşturma ve geliştirme, Hesap verebilirlik ve denetim, ve paydaşlarla ilişkiler konularını içerir Risk Management Standard Hazırlanan Risk Yönetim Standardı İngiltere nin önde gelen risk yönetim organizasyonlarından Risk Yönetim Enstitüsü (The Institute of Risk Management IRM), Sigorta ve Risk Yöneticileri Derneği (AIRMIC) ve Kamu Sektörü Risk Yönetimi Ulusal Forumu (ALARM) kuramlarının temsilcilerinden oluşan ekibin çalışmalarının bir

172 sonucudur. Çalışmalar esnasında risk yönetimi ile ilgili diğer profesyonel organizasyonların da görüş ve fikirleri alınmıştır. Kullanılan terminoloji, risk yönetimi süreci, risk yönetimi için organizasyonel yapı, ve risk yönetiminin amacı gibi konularda fikir birliğinin sağlanması amacı ile bir standarda ihtiyaç duyulmaktadır. Risk yönetimi amaçlarının gerçekleştirilmesi için birçok farklı yol vardır ve bunların hepsini tek bir belgeye sığdırmak mümkün değildir. Bu nedenle, bu standart çerçevesinde detaylı ve sıkı kurallar koyan bir standart geliştirmek yada sertifikalanabilecek süreçler oluşturmak amaçlanmamıştır. Farklı yollarla da olsa bu standartın farklı parçalarının hayata geçirilmesi ile, şirketler standarda uygun çalıştıklarını raporlayabilecek düzeye geleceklerdir. Standart, şirketlerin kendi uygulamalarını karşılaştırabilecekleri en iyi uygulamayı sunmaktadır. Risk yönetimi sadece şirketler ve kamu kurumları için olmaktan öte, kısa veya uzun vadeli herhangi bir faaliyet için kullanılabilir.

173

174

175 8.2. Türkiye de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler Dünyada risk yönetimi sistemlerinin işletme bünyesinde yer almasına yönelik yapılan yasal düzenlemelerin etkisiyle, Türkiye de de bu alanda benzer mevzuatlar oluşturulmuştur. Yapılan düzenlemeler ile birlikte Türkiye de özellikle halka açık işletmelerin yönetim kurullarına etkin bir risk yönetimi sistemi kurmaları konusunda birtakım zorunluluklar getirilmektedir Sermaye Piyasası Kurulu Düzenlemeleri Sermaye Piyasası Kurulu (SPK) tarafından tarihinde yayınlanan Kurumsal Yönetim İlklerinin Belirlenmesine ve Uygulanmasına İlişkin Tebliğ, Türkiye de borsa işletmelerinin esas alacakları kurumsal yönetim ilkelerini düzenlemektedir. Sermaye Piyasası Kurulu tarafından yayınlanan kurumsal yönetim ilkeleri; pay sahipleri, kamuoyu aydınlatma ve şeffaflık, menfaat sahipleri ile yönetim kurulu olmak üzere dört unsur altında ele alınmaktadır. Buna göre, her bir unsurun ele aldığı konular pay sahipleri, kamuoyu ve şeffaflık, menfaat sahipleri ve yönetim kurulu olmak üzere dört farklı alanda gruplandırılabilmektedir. Sermaye Piyasası Kurulu (SPK) tarafından yayınlanan yönetim kuruluna ilişkin kurumsal yönetim ilkeleri kapsamında, yönetim kurulu bünyesinde birtakım komiteler oluşturulması gerektiği belirtilmektedir. Bu bağlamda, işletmenin varlığını, gelişmesini ve devamını tehlikeye düşürebilecek risklerin erken teşhisi, tespit edilen risklerle ilgili gerekli önlemlerin alınması ve riskin yönetilmesi amacıyla çalışmalar yapmakla sorumlu olan riskin erken saptanması komitesi nin kurulması, halka açık işletmeler (bankalar hariç) için zorunlu tutulmaktadır. Halka açık işletmelere riskin erken saptanması komitelerinin kurulması zorunluluğunun getirilmesi, işletmelerin uzun vadeli çıkarlarının korunmasına yönelik önemli bir düzenleme olarak değerlendirilebilir. Bu bağlamda, riskin erken saptanması komitelerinin kurulması ile birlikte, tasarruflarını sermaye piyasalarında değerlendirmek isteyen pay sahiplerinin haklarının güvence altına alınmaya çalışıldığı kabul edilebilir.

176 Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik 1 Kasım 2005 te yürürlüğe giren Bankacılık Kanunu nun üçüncü kısmında yer alan ilkeler, kurumsal yönetim ilkeleri olarak adlandırılmaktadır. Bu kısımda iç kontrol ve iç denetim sistemleri ayrıntılı olarak ele alınmış fakat iç denetim ve risk yönetiminin ortak çalışma alanlarına ve her iki sistem arasında gerçekleşebilecek olası veri transferlerine değinilmemiştir. Kanunda yer almayan ve yukarıda sözü edilen düzenlemelere 1 Kasım 2006 tarihinde yayınlanan Bankaların İç Sistemleri Hakkında Yönetmelik üçüncü kısım İç Denetim Sistemi başlığı altında yer verilmiştir. Söz konusu yönetmelikte iç denetim sisteminin amacı iç kontrol ve risk yönetimi sistemlerinin etkinliği ve yeterliliği hakkında güvence sağlamak şeklinde ifade edilmiştir. Dönemsel değerlendirmelerin riske dayalı olması gerektiği belirtilmekle beraber, banka tarafından kullanılan risk yönetimi tekniklerinin denetlenmesi gerektiği yönetmelikte vurgulanmaktadır. Risklerin belirlenmesi ve ölçülmesi kapsamda geçekleştirilen modelleme çalışmaları BDDK ve uluslararası düzenlemelere koşut olarak yürütülmektedir. Bank for International Settlements (BIS) nezdindeki Basel Komitesi tarafından yayımlanan yeni sermaye düzenlemeleri, Türkiye deki bankacılık sektörünü bağlayıcı özellik göstermektedir. Basel Komitesi tarafından yayınlanan ilkeler ile birlikte fınans kesiminde yer alan işletmelerin risk yönetimi konusunda daha bilinçli hareket ettiği söylenebilir. Bu noktada, özellikle 2008 yılından itibaren yaşanan küresel fınans krizinin Türk bankacılık kesiminde yer alan firmalara etkisinin çok az olduğu belirtilebilir Yeni Türk Ticaret Kanunu Yeni Türk Ticaret Kanunu, küreselleşen dünya ekonomisi, teknoloji ve bilgi toplumu hizmetlerindeki gelişmelerin yanı sıra 2000 li yılların başından bu yana önem kazanan kurumsal yönetim ilkeleri ve şeffaflık yaklaşımının şekillendirdiği çağdaş bir yaklaşım olarak değerlendirilebilmektedir. Dolayısıyla, Türk ticari hayatına yönelik çağdaş düzenlemeler içeren Yeni Türk Ticaret Kanunu nun kurumsal yönetim ilkelerinin uygulanabilirliğini arttırmayı hedeflediği ifade edilebilir.

177 Ticaret hayatında önemli değişim ve dönüşümleri sağlayacak hükümler içeren yeni Türk Ticaret Kanunu (YTTK), işletmelerin kurumsal yönetimini pekiştirecek ve işletme faaliyetlerinin doğal akışı içinde karşı karşıya kalınan risklerin erken tespit edilerek gerekli önlemlerin alınmasına olanak tanıyamakta; bu yolla da işletme varlıklarının ve gelişimlerinin devamlılığını güçlendirecek risk yönetim sistemlerine ve komitelerine ilişkin düzenlemeler öngörmektedir. Söz konusu düzenlemelerin kapsamında pay senetleri borsada işlem gören işletmeler ile denetçilerin gerekli gördüğü işletmeler bulunmaktadır. Başka bir anlatımla, yeni Türk Ticaret Kanunu ile birlikte hem halka açık hem de halka açık olmayan tüm işletmelerin kurumsal yönetim anlayışına kavuşturulmasının hedeflendiği kabul edilebilir. Özellike risklerin erken saptanmasına ilişkin komitenin kurulması ile birlikte, belirsizliklerin daha da arttığı ve işletmelerin faaliyetlerini sürdürmesinin giderek zorlaştığı işletme ortamında, önemli bir yenilik getirildiği görülmektedir. Ayrıca, risk yönetimi sistemlerinin ve bilincinin pay senetleri borsada işlem görmeyen işletmelerde de yaygınlaşmasıyla birlikte, işletmelerin sürekliliğine katkıda bulunarak genel olarak ülke ekonomilerine de fayda sağlayacağı belirtilebilir. Yeni Türk Ticaret Kanunu ile yürürlüğe girmiş olan riskin erken saptanması ve yönetimi komitesi, Türkiye deki halka açık işletmelere yönelik risk yönetimi faaliyetlere yönelik yasal bir zorunluluk taşıması bakımından oldukça önem taşımaktadır. Bu bağlamda, risk yönetimi kavramının 6102 Sayılı Türk Ticaret Kanunu nda yer alan düzenlemelerle birlikte ilk kez Türk ticaret hayatına girdiği söylenebilir.

178 Bu Bölümde Ne Öğrendik Özeti Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler Sarbanes-Oxley Kanunu Dod-Frank Kanunu Kontrag Kanunu, Cabdury ve Turnbull Raporu EU Direktifi The Combined Code On Corporate Governance Risk Management Standard Türkiye de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler Sermaye Piyasası Kurulu Düzenlemeleri Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik Yeni Türk Ticaret Kanunu

179 Bölüm Soruları S.1. S.2. S.3. S.4. S.5. S.6. S.7. S.8. S.9. Dünyada kurumsal risk yönetimi konusunda yapılan yasal düzenlemeleri açıklayınız. Sarbanes-oxley kanunu açıklayınız. Dod-frank kanunu açıklayınız. Kontrag kanunu, cabdury ve turnbull raporu açıklayınız. Eu direktifini açıklayınız. The combined code on corporate governance i açıklayınız. Risk management standardı açıklayınız. Türkiye de kurumsal risk yönetimi konusunda yapılan düzenlemeleri açıklayınız. Sermaye piyasası kurulu düzenlemeleri açıklayınız. S.10. Bankalarda risk yönetim sistemi kurulmasına ilişkin yönetmeliği açıklayınız. S.11. Yeni türk ticaret kanununu açıklayınız.

180 9. RİSK KONTROLÜ İÇİN FAALİYETLER

181 Bu Bölümde Neler Öğreneceğiz? Kontrollerin Amaçları Riskin Etkisini Azaltan Kontroller Riskin Olasılığını Azaltan Kontroller Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller Kontrol Türleri Önleyici Kontroller Düzeltici Kontroller Yönlendirici Kontroller Tespit Edici Kontroller Kontrol Faaliyeti Aşamaları Temel Kontrol Biçimleri

182 Bölüm Hakkında İlgi Oluşturan Sorular S.1. Kontrollerin Amaçları nelerdir? S.2. Riskin Etkisini Azaltan Kontroller nelerdir? S.3. Riskin Olasılığını Azaltan Kontroller nelerdir?

183 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kazanım Kontrollerin Amaçları Kontrollerin Amaçlarını açıklayabilmek Riskin Etkisini Azaltan Riskin Etkisini Azaltan Kontroller Kontrolleri açıklayabilmek Riskin Olasılığını Azaltan Riskin Olasılığını Azaltan Kontroller Kontrolleri açıklayabilmek Kazanımın nasıl elde edileceği veya geliştirileceği Kontrollerin Amaçları incelemek Riskin Etkisini Azaltan Kontrolleri incelemek Riskin Olasılığını Azaltan Kontrolleri incelemek

184 Anahtar Kavramlar Kontrollerin Amaçları Riskin Etkisini Azaltan Kontroller Riskin Olasılığını Azaltan Kontroller Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller Kontrol Türleri Önleyici Kontroller Düzeltici Kontroller Yönlendirici Kontroller Tespit Edici Kontroller Kontrol Faaliyeti Aşamaları Temel Kontrol Biçimleri

185 9.1.Kontrollerin Amaçları Kontrol faaliyetleri; riske verilecek karşılıkların etkili bir biçimde yerine getirilmesi, devam eden risklerin risk kapasitesi sınırları içinde yönetilmesi ve kurumun yürürlükteki yasa ve yönetmeliklerle uyumunun sürekli sağlanmasına yardımcı olmak için yerleştirilen politika ve prosedürlerdir. Kontrol faaliyetleri kamu idarelerinin bilinçli veya bilinçsiz olarak uyguladıkları tedbirlerdir. Kontrol faaliyetleri riskleri etkisiz bırakmaya veya etkilerini azaltmaya yönelik atılmış adımlardır. Riskler, her iş ve işlemde doğası gereği mevcuttur ve bu riskler kontrol altına alınmalıdır. Kontrol faaliyetleri ile sistemli olarak riskleri yönetmek başlıca amacımızdır. Kontollerimizin gücünü doğal riskimiz ile artık riskimiz arasındaki ilişkiye göre tespit ederiz. Bu ilişki artık riskimizin formülü ile ortaya çıkar: Kontroller sadece riskleri bertaraf etme amacı gütmezler. Risklerin ortaya çıkaracağı etkiyi azaltmaya yönelik olabileceği gibi ortaya çıkma ihtimalini azaltmaya yönelik özellikler gösterebilir. Hem etkisini azaltmak hem de ortaya çıkma olasılığını minimize etmeye yönelikte olabilir. Özetlemek gerekirse kontrollerin üç amacı vardır:

186 Kontrol faaliyetleri riskin ortaya çıkmasıyla oluşturacağı etkileri azaltmaya yönelik geliştirilmiş olabilir. Örneğin bir kamu idaresinin elektrik kesintisi yüzünden hizmetlerinin aksaması riskine karşılık jeneratör veya kesintisiz güç kaynağı alımı gerçekleştirmesi riskin etkisini önlemeye yönelik bir kontrol faaliyetidir. Aynı şekilde, bir otomobil firmasının ürettiği otomobillere hava yastığı seçeneğinin sunulması ortaya çıkabilecek bir trafik kazasında etkileri azaltmaya yönelik bir kontrol faaliyetidir. Bir örnek daha vermek gerekirse, bir bankanın soyulma Riskin Etkisini Azaltan Kontroller Kontrol faaliyetleri riskin ortaya çıkmasıyla oluşturacağı etkileri azaltmaya yönelik geliştirilmiş olabilir. Örneğin bir kamu idaresinin elektrik kesintisi yüzünden hizmetlerinin aksaması riskine karşılık jeneratör veya kesintisiz güç kaynağı alımı gerçekleştirmesi riskin etkisini önlemeye yönelik bir kontrol faaliyetidir. Aynı şekilde, bir otomobil firmasının ürettiği otomobillere hava yastığı seçeneğinin sunulması ortaya çıkabilecek bir trafik kazasında etkileri azaltmaya yönelik bir kontrol faaliyetidir. Bir örnek daha vermek gerekirse, bir bankanın soyulma ihtimaline karşı bankanın paralarını birden fazla kasanın farklı depolarında saklaması bankanın olası bir soygunda daha az mali kayba uğramasını sağlayacaktır.

187 9.1.2.Riskin Olasılığını Azaltan Kontroller Kontrol faaliyetleri bazen riskin ortaya çıkmasını önlemeye yönelik olarak düzenlenebilir. Kamu idaresinin elektrik kesintisi yüzünden hizmetlerinin aksaması riskinin ortaya çıkmasını engellemek için eskiyen elektrik kablo tesisatının yeni teknolojilere uygun, ihtiyaçları karşılayabilecek şekilde yenilenmesi riskin olasılığını azaltmaya yönelik bir kontrol tasarımıdır. Aynı şekilde, bir bankanın internet şubelerine giriş yapılırken hacker saldırıları ihtimaline karşılık cep telefonlarına SMS yoluyla şifre göndererek sisteme giriş yaptırması doğrudan riskin olasılığını azaltmaya yöneliktir. Çoğu kontroller riskin ortaya çıkma ihtimalini azaltmaya yöneliktir Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller Kontrol faaliyetleri riskin hem etkisini hem de ortaya çıkma olasılığını azaltmaya yönelik geliştirilmiş olabilir. Örneğin, bir otomobil firmasının ürettiği otomobillere fren sistemi koyması veya ABS, EBD gibi etkili fren sistemi koyması hem kaza yapma ihtimalini azaltacak hem de kaza ortaya çıksa bile daha az hasarlı trafik kazalarına yol açacak bir kontrol faaliyetidir. Bir bankanın soyulma riskine karşılık alarm sistemi taktırması soygunları caydırabileceği gibi bir soygun sırasında alarm sisteminin devreye girmesiyle soyguncuların daha az bir nakitle bankadan çıkmasını sağlayacaktır. Kontrol faaliyetlerinin çoğu riskin olasılığını azaltmaya yöneliktir. Ancak, kontrollerin asıl amacı riskin etkilerini azaltmaya çalışmaktır. Risk sorumluları etkiyi azaltmaya yönelik kontrol arayışı içerisindedir. Kontrol faaliyetleri KRY halkasının ana unsurudur. Riskler zaten mevcuttur, kontroller ise mevcut olabileceği gibi eksik veya hiç olmayabilir. Amacımız risklerin etki ve olasılığını azaltacak yeni kontroller geliştirmek veya var olan kontrollerimizi gözden geçirmektir Kontrol Türleri 4 çeşit kontrol türümüz vardır. Bu kontrol türlerinin yanı sıra kontrol türü olmasa bile riski kontrol edemeyeceğimiz durumlarda hazırlamamız gereken acil eylem planlarını kontrol türü olarak düşünebiliriz. Kontrol türlerini tespit ederken sormamız gereken 4 ana soru vardır. Bunlar;

188 Bu dört soruya verdiğimiz cevapla kontrollerimizi tespit edebiliriz. Bu sorular aynı zamanda kontrol türlerini bulmamızı sağlar Önleyici Kontroller Önleyici kontroller istenmeyen fiilleri vuku bulmadan önlemeyi veya caydırmayı amaçlar. Kayıpların önlenmesi konusunda inisiyatifi ele alır. Önleyici kontrollere örnek

189 olarak görevlerin ayrımını, yeterli dokümanı ve varlıklar üzerinde fiziksel kontrolü gösterebiliriz Düzeltici Kontroller Bu kontroller, meydana gelmiş olan istenmeyen sonuçların düzeltilmesi için tasarlanmıştır. Kaybın veya hasarın bir parça düzeltilmesini sağlamak adına bir geri dönüş rotası çizerler. Buna örnek olarak, sözleşme şartlarının, fazla ödeme yapılması halinde geri ödeme yapılacak şekilde dizayn edilmesi verilebilir. Bir riskin gerçekleşmesi riskine karşı mali iyileşme sağladığından dolayı sigorta da bir düzeltici önemle olarak kabul edilebilir. Kurumların, kontrol edemedikleri olaylardan sonra faaliyetin devam etmesi / iyileşmesini sağlayacak araçlar olan acil durum planları da düzeltici kontrolün önemli birer unsurudur Yönlendirici Kontroller Bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri kontrol etme yöntemidir. Kanun, yönetmelik, tebliğ gibi mevzuatlar, broşürler, iş akış şemaları, zaman çizelgeleri örnek olarak gösterilebilir Tespit Edici Kontroller Tespit edici kontroller ise istenmeyen fiillerin vuku bulduktan sonra ortaya çıkarılmasını sağlar. Örneğin, hesap mutabakatlarını, denetimleri, incelemeleri, analizleri gösterebiliriz.

190

191 9.3.Kontrol Faaliyeti Aşamaları Kontrollerimizi oluşturmamızı sağlayan süreç aşağıdaki tabloda özetlenmiştir. Kontrol faaliyetleri düzenlerken şu hususlara dikkat etmemiz gerekir. Kontrol faaliyetleri tespit edilirken ve bu faaliyetlere kaynak tahsisi yapılırken, risk puanına göre yapılan önceliklendirme dikkate alınır. Bununla birlikte, Risk Haritasına göre olasılığı yüksek ve etkisi düşük risklere de öncelik verilmesi gerekebilir.

192 Olasılığı ve etkisi çok yüksek olan riskler için kontrol faaliyetlerine ilave olarak acil durum eylem planlarının da hazırlanması büyük önem taşımaktadır. İç risklerin hem gerçekleşme olasılığının hem de etkisinin azaltılması kontrol faaliyetleri ile mümkün olabilmektedir. Dış risklerin gerçekleşme olasılığını azaltmak ise idarenin elinde olmayabilir. Ancak, risklerin etkilerini zayıflatmak uygun bir risk yönetimi ile mümkün olacaktır. Risklere cevap verirken aşırı kontrol faaliyetlerinden kaçınmak gerekir. Kontrol eksikliği kadar kontrollerin gereğinden fazla olması da risk yönetiminin etkinliğine zarar verir. Riskin içeriğine göre gerekiyorsa kontrol yöntemlerinden birkaçı bir arada kullanılabilir. Kontrol faaliyetlerini uygulamanın maliyet ve fayda analizleri yapılmalıdır. İstenilen etkiyi yaratıp yaratmadıklarını görmek için gereken durumlarda kontrol faaliyetlerinin pilot uygulaması yapılabilir. Kontrol faaliyetlerinin etkinliği ve işleyişinin planlandığı şekilde gerçekleşmesi izlenmelidir. Kontrollerin işlediğine ilişkin gerekli kanıtlar periyodik olarak toplanmalı ve analiz edilmelidir. Makul bir zaman sonra yeni kontrol faaliyetlerinin ve devam etmekte olan mevcut kontrollerin beklendiği gibi işleyip işlemediği değerlendirilerek yönetici/risk koordinatörüne raporlanmalıdır. S Temel Kontrol Biçimleri Temel Kontrol Çeşitleri tablosunda yer alan bazı kontrollerden kısaca bahsetmek gerekir. "Gündelik işlerin" aksaması durumunda, hizmetin devamlılığını sağlamak üzere gerekli tedbirlerin mevcut olması gerekir. Ayrıca idarenin amaç ve hedeflerini etkileyebilecek hayati faaliyetlerinin aksaması olasılığına karşı kontrollerimizden biri olan İş Sürekliliği Planlarının bulunması gerekir. Bir kamu idaresi için önemli kontrollerden birisi iş akış şemaları ve zaman çizelgeleriyle tüm birimlerinin hareket

193 etmesini sağlamaktır. Bu kontroller önleyici ve yönlendirici etkileriyle risklerimizi kontrol altına almamıza yardımcı olacaktır. Diğer bir kontrolümüz olan Veri Mutabakatı; tutarlılığın sağlanması açısından farklı belge ve kaynaklardaki verilerin eşleştirilmesidir. Örneğin, banka hesaplarıyla ilgili hesap girdilerinin muhabir banka ekstreleri ile mutabakatı; fatura bilgilerinin taşınır işlem fişindeki bilgilerle eşleştirilmesi sayılabilir. Bir diğer kontrolümüz olan yöneticinin sorumluluğuna ilişkin Gözetim Prosedürleri ise; görevin verilmesi ve yerine getirilmesine ilişkin gözetim prosedürlerinin yöneticiler tarafından belirli periyotlarla uygulanmasıdır. Yöneticilerin başkalarına görev vermesi, görevin yerine getirilmesinde kendi sorumluluklarını ortadan kaldırmaz. Yöneticiler, görevlerin yerine getirilirken doğru anlaşılmasını sağlamak ve usulsüzlük ve hataların önüne geçmek için personele gerekli talimatları verip, gerekli yönlendirme ve kontrolleri yapmalıdır. Yöneticiler bu prosedürleri verilen görevin doğru bir şekilde yerine getirildiğinden emin olmak için de uygulamalıdır. Bir diğer kontrolümüz olan yöneticinin sorumluluğuna ilişkin Gözetim Prosedürleri ise; görevin verilmesi ve yerine getirilmesine ilişkin gözetim prosedürlerinin yöneticiler tarafından belirli periyotlarla uygulanmasıdır. Yöneticilerin başkalarına görev vermesi, görevin yerine getirilmesinde kendi sorumluluklarını ortadan kaldırmaz. Yöneticiler, görevlerin yerine getirilirken doğru anlaşılmasını sağlamak ve usulsüzlük ve hataların önüne geçmek için personele gerekli talimatları verip, gerekli yönlendirme ve kontrolleri yapmalıdır. Yöneticiler bu prosedürleri verilen görevin doğru bir şekilde yerine getirildiğinden emin olmak için de uygulamalıdır.

194 Bu Bölümde Ne Öğrendik Özeti Kontrollerin Amaçları Riskin Etkisini Azaltan Kontroller Riskin Olasılığını Azaltan Kontroller Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller Kontrol Türleri Önleyici Kontroller Düzeltici Kontroller Yönlendirici Kontroller Tespit Edici Kontroller Kontrol Faaliyeti Aşamaları Temel Kontrol Biçimleri

195 Bölüm Soruları S.1. S.2. S.3. S.4. S.5. S.6. S.7. S.8. S.9. S.10. Kontrollerin Amaçları Riskin Etkisini Azaltan Kontroller Riskin Olasılığını Azaltan Kontroller Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller Kontrol Türleri Önleyici Kontroller Düzeltici Kontroller Yönlendirici Kontroller Tespit Edici Kontroller Kontrol Faaliyeti Aşamaları S.11. Temel Kontrol Biçimleri

196 10. STRATEJİK RİSK YÖNETİMİ

197 Bu Bölümde Neler Öğreneceğiz? Stratejik Planlama Stratejik Rekabet Analizi Kuruluş Dışı Çevre Analizi Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi Performans Programı Kurumsal Risk Yönetimi

198 Bölüm Hakkında İlgi Oluşturan Sorular S.1. Stratejik Planlama S.2. Stratejik Rekabet Analizi S.3. Kuruluş Dışı Çevre Analizi S.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi S.5. Performans Programı Kurumsal Risk Yönetimi

199 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kazanım Kazanımın nasıl elde edileceği veya geliştirileceği Stratejik Planlama Stratejik Planlamayı açıklar Stratejik inceleyerek Planlamayı Stratejik Rekabet Analizi Stratejik Rekabet Analizi açıklar Stratejik Rekabet Analizi inceleyerek Kuruluş Dışı Çevre Analizi Kuruluş Dışı Çevre Analizi açıklar Kuruluş Dışı Çevre Analizi inceleyerek

200 Anahtar Kavramlar Stratejik Planlama Stratejik Rekabet Analizi Kuruluş Dışı Çevre Analizi Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi Performans Programı Kurumsal Risk Yönetimi

201 10.1. Stratejik Planlama Ülkeler, vatandaşlarının refahını artırmak, firmalar karlarını artırmak ve bireylerde faydalarını artırmak için her geçen gün şiddetlenen küresel rekabet ortamında yüksek seviyede bir mücadele sergilemektedirler. İktisadi birimlerin, bu mücadelede başarılı olabilmelerinin en temel yollarından birisi, küresel rekabet dinamiklerini, çözümleyerek, kendisi için en uygun rekabetçi stratejiyi formüle ederek, başarılı bir şekilde uygulayabilmeleridir. Küresel rekabet dinamiklerine ayak uyduramayan, ülkeler, firmalar ve bireyler, refahlarında ciddi oranda kazanç ve refah kayıplarıyla karşılaşabilmektedirler. Diğer yandan, küresel rekabet dinamikleri hem mikroekonomi (firma-sektör) hem de makroekonomi (ülke) düzeyinde sürekli ve yüksek hızla değişim göstermektedir. Hem mikroekonomi hem de makroekonomi düzeyinde geleneksel rekabet parametreleri yerlerini, modern rekabet parametrelerine bırakmaktadır. Kişisel insiyatiflere ve doğal kaynaklara dayalı rekabet yönetim stratejileri, etkinliğini kaybederken, bilim-teknoloji-inovasyon temelli, çok boyutlu esnek-kurumsal yönetim stratejileri rekabette ön plana çıkmaya başlamıştır. Hem mikroekonomi hem de makroekonomi alanında küresel rekabetin değişen bu dinamiklerini çözümleyerek, gerekli kurumsal ve stratejik dönüşümleri yapan firmalar ve ülkeler küresel rekabette yükselirken, bu değişimi çözümleyemeyen, gerekli dönüşümleri yapamayan firmalar ve ülkeler de küresel rekabette geri kalmaktadır.işletmeler, kurucularının belirlediği amaçlar doğrultusunda, dinamik bir çevrede yaşamlarını sürdürürler. Temel amaçlarından birisi işletmeninin, yeterli ve sürekli kâr etmektir. Bu temel amacı ne kadar başarılı gerçekleştirebilirse, kurucularının ve yöneticilerinin belirlediği, misyon, vizyon ve diğer amaçlara o kadar iyi ulaşabilir i. İşletmenin amaçlarına ulaşabilmesi için, içinde bulunduğu rekabetçi ortama göre kendisini uyarlaması gerekecektir. Bunun anlamı, işletmenin stratejik bir yönetim süreciyle, firma içi, güçlü ve zayıf yönleri analiz etmesi, firma dışı çevreden gelecek, fırsat ve tehditleri zamanında öngörebilmesi, ve bu dinamik süreçlerde kendi amaçlarına ulaşmasını sağlayacak ve rakiplerine göre fark yaratacak bir yol seçmesi, bu yolda başarılı bir şekilde gidebilmek için gerekli, tedbirleri alması, planlamaları yapması ve başarılı bir şekilde bunu uygulayarak, sürekli etkinliği sağlaması gerekmektedir. İşletmelerin, sürdürülebilir bir rekabetçi üstünlüğü sağlaması, amaçlarına etkin bir şekilde ulaşabilmesi için firma içi ve firma dışı dinamikleri etkin bir şekilde yönetmesi süreci, firmalar için stratejik yönetim sürecini gerektirmektedir. Bu bağlamda, stratejik yönetim sürecinde, stratejik rekabet gücü ve başarılı stratejik yönetim çok büyük önem arz etmektedir.stratejik rekabet üstünlüğü, diğer bir ifadeyle stratejik rekabet gücü, firmanın değer yaratan stratejisinin başarılı bir şekilde formule edip uygulandığında elde edilmektedir. Diğer yandan, strateji, firmanın rekabet gücü kazanmak ve temel yeteneklerinden yararlanmak için tasarlanan, eylemler ve yükümlülüklerin bütünleşik ve koordineli bir setidir. Bu bağlamda, firma için bir strateji seçmek, firmanın neyi yapmak istediği ve neyi yapmak istemediğini gösterir. ii

202 Şekil-1.1. İyi Stratejik Seçimler Yapmada Stratejik Düşünme Ve Analiz Süreci ENDÜSTRİ VE REKABETÇİ KOŞULLAR HAKKINDA STRATEJİK ANALİZ Anahtar Sorular: 1. Endüstrinin hakim ekonomik özellikleri nelerdir? 2. Rekabet yapısı nedir, ve her bir rakip ne kadar güçlü? 3. Endüstrinin yapısının değişimesinin sebebi? 4. Hangi firmalar rekabette en zayıf ve en güçlü? 5. Kimin hangi stratejik hareketleri yapması olası? 6. Endüstride hangi anahtar faktörleri rekabetçi başarıyı etkilemektedir? 7. Bu endüstri cazip mi? Ortalama üstü kar olasılığı nedir? FİRMANIN KENDİ MEVCUT DURUMU HAKKINDA STRATEJİK ANALİZ Anahtar Sorular: 1. Firmanın Mevcut Rekabet Stratejisi Ne Kadar İyi? 2. Firmanın Güçlü Ve Zayıf Yönleri Karşılatığı Fırsat ve Tehditler Nelerdir? 3. Firmanın maliyetleri Rakiplerine Göre HANGİ STRATEJİK SEÇENEKLERE FİRMA GERÇEKTEN SAHİP? Mevcut Stratejinin Daha Mümkün Mü? İyileştirmesi Yoksa Ana Stratejinin EN İYİ STRATEJİ HANGİSİ? Anahtar Kriter: Firmanın Mevcut Yapısına Uygun Mu? Rekabetçi Konum Yakalamaya Yardımcı Mı? Kaynak : Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts and Cases, 8.edt. Irwin Pub. s.60 Şekil-1.1. de iyi stratejik seçimler yapmada stratejik düşünme ve analiz süreci verilmiştir. Buna göre, firmanın içi ve firma dışı çevre analizinden harektele, sahip oluna stratejilerin yeterliliği analiz edilir. Buradan hareketle de firmaya en uygun strateji firmanın sahip olduğu yapıya ve çevre koşullarına göre şekillendirilir.

203

204 STRATEJİK SONUÇLAR STRATEJİK EYLEMLER STRATEJİK GİRDİLER Şekil-1.2. Stratejik Yönetim Süreci DIŞ ÇEVRE ANALİZİ İÇ ÇEVRE ANALİZİ Vizyon Misyon STRATEJİ FORMULASYONU STRATEJİ UYGULANMASI İş Seviyesinde Strateji Rekabetçi Mücadele ve Dinamikler Kurumsal Seviyede Strateji Kurumsal Yönetim Organizasyonel Yapı ve Kontrol Ele Geçirme ve Yeniden Yapılandırma Stratejileri Uluslararası Strateji İşbirlikçi Strateji Stratejik Liderlik Stratejik Girişimcilik GERİ BESLEME Stratejik Rekabet Gücü Ortalamanın Üzerindeki Getiri Kaynak: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management of Strategy, Concepts., 8th edition.ohio: South-Western College Pubishing Şekil-1.2 de stratejik yönetim süreci verilmiştir. Buna göre, işletmenin stratejik yönetim sürecinde, temel aşamalar, iç ve dış çevre analizine bağlı olarak, vizyon ve misyonun belirlenmesi, strateji girdileri oluşturmaktadır. Bu stratejik girdilere bağlı olarak, stratejik eylemler olarak, stratejinin formulasyonu ve uygulanması ve bunlara bağlı olarak da, hedeflenen stratejik sonuçlar ortaya çıkmaktadır.

205 Şekil-1.3. Stratejik Karar Alma Süreci 3A Dışsal Çevreyi Analiz Et Toplumsal İş Çevr. 3B Stratejik Faktörleri Belirle, Fırsatlar Tehditler 5B 1A 1B 2 6A 6B 7 8 Mevcut Performans Sonuçlarını Değerlendir Mevcut Misyon Amaçlar Stratejiler Politikaları İncele Ve Değerlendir Stratejik Yöneticileri Gözden Geçir: Yönetim Kurulu Tepe Yöneticileri 5A Mevcut Durum Işığında Stratejik Faktörleri (SWOT) Analiz Et Misyon Amaçları Gerekli İse Gözden Geçir Ve Yenile Stratejik Alternatifleri (Araçları) Oluştur Ve Değerlendir En iyi alternatifi seç ve öner Stratejileri Uygula Programlar Bütçeler Prosedürler Değerlendir Ve Kontrol Et 4A İçsel Çevreyi Analiz Et Yapı, Kültür, Kaynaklar 4B Stratejik Faktörleri Belirle, Güçlü Zayıf Yönler Strateji Uygulanması Aşaması STRATEJİ FORMÜLASYONU Değerlendirme ve Kontrol Aşaması Kaynak: Wheelen, T.L. and Hunger, J.D. (1994) Strategic Decision Making Process aktaran Wheelen, T.L. and Hunger, J.D. (1995) Strategic Management and Business Policy, Addision- Wesley Inc. Şekil-1.3 te stratejik karar alma süreci verilmiştir. Buna göre, stratejik karar alma sürecine, öncelikle mevcut performans sonuçları değerlendirilerek başlanır, mevcut, misyon, amaçlar, stratejiler, politikaları, incelenir ve değerlendirilir. Buna bağlı olarak stratejik yöneticiler gözden geçirilir, diğer yandan, firma içi yapılar ve firma dışı stratejik faktörler belirlenir. Mevcut durum ışığında stratejik faktörleri (swot) analiz edip, buna bağlı olarak firmanın stratejik rekabet üstünlüğünü sağlayacak stratejilerin geliştirilmesi ve uygulanmasına geçilir.

206 Şekil-1.4. Stratejik Planlama Süreci GİRDİ İnsan Sermaye Yönetsel Yetenekler Teknik Yetenekler Mevcut Dış Çevre Dış Çevre Fırsat Ve Tehditler Stratejik Seçimi Değerlendirme Orta Vadeli Planlama AMAÇLAR KURUM PROFİLİ Çevrenin Gelecek Durum Tahmini Alternatif Stratejiler Kısa Vadeli Planlama Uygulama Kaynakların Denetimi Firma İçi Zayıf ve Güçlü Yönler Tutarlılık Testi Acil Durum Planlaması Kaynak: Weihrich, Heinz. (1982) The TOWS Matrix -A Tool for Situational Analysis Long Range Planning, Volume 15, Issue 2, April 1982, Pages Şekil-1.4 te stratejik planlama sürecinin genel yapısı verilmiştir. Buna göre, firmanın girdileri ve belirlenen amaçlarına göre bir kurum profili ortaya çıkmaktadır. Bu profile bağlı olarak, işletmenin dış çevresi, çevrenin gelecekteki değişiminin tahmini, ortaya çıkacak fırsat ve tehditler, firma içi güçlü ve zayıf yönlere bağlı olarak amaçlara ulaşma için alternatif stratejiler geliştirilir. Bu stratejilerde uygun olanlar seçili, iş kısa, ve orta vadeli planlara bağlı olarak uygulamaya geçilir. Bu süreç içerisinde, sürekli tutarlılık testi ve acil durum planması da yapılır. Bu işletmenin amaçlarına ulşmak için geliştirdiği stratejik planlama sürecidir.

207 10.2. Stratejik Rekabet Analizi Porter (2008) iii e göre endüstride rekabeti şekillendiren faktörler, Şekil-3.6 da verilmiştir. Bunlar, mevcut rakipler arasındaki rekabet, tedarikçiler, alıcılarla olan rekabet, sektördeki mal-hizmetlerin ikame tehditleri ve yeni rakiplerden gelen tehditler olarak karşımıza çıkmaktadır. Porter bu değişkenlere ilave olarak hükümet müdahaleleri ve şansın da rekabet gücünün şekillenmesinde etkili olduğunu vurgulamıştır. Firmalar rekabeti şekillendiren bu güçlere göre kendi rekabet üstünlüklerini ve kârlılıklarını sürdürebilecek en uygun konumlandırma ve stratejiyi geliştirmeleri, uygulamaları gerekmektedir. Porter ın endüstride rekabeti şekillendiren faktörlerine göre oyuncuların göreceli rekabet güçleri ve aralarındaki ilişkiler rekabet yapısını etkilemektedir. Firmanın rekabet üstünlüğü ve karlılığını koruyup geliştirebilmesi için, endüstri düzeyinde rekabet yapısını etkileyen bu parametrelerini firmalar tarafından etkinlikle çözümlenerek, her bir rekabet alanıyla ilgili olara firmaya rekabet avantajı sağlayacak optimal stratejiler geliştirilmesi firma kârlılığı açısından son derece önemlidir. 139

208 140

209 Şekil-3.1. Porter a Göre Endüstri Yapısınınn Bileşenleri PİYASAYA GİRİŞ ENGELLERİ Ölçek Ekonomileri, Ürün Farklılıklarının Tescili, Marka Kimliği ; Değiştirme Maliyeti Sermaye Gereksinimi ; Dağılıma Erişim, Mutlak Maliyet Avantajı Öğrenme Eğrisinin Tescili Gerekli Girdilere Erişim Düşük-Maliyetli Tasarım Hükümet politikası, Beklenen Saldırı TEDARİKÇİLER Tedarikçilerin Pazarlık Gücü Yeni Rakiplerden Gelen Tehditler POTANSİYEL RAKİPLER Endüstri Rakipler Mevcut Rakipler Arasındaki Rekabet Alıcıların Pazarlık Gücü REKABETİN BELİRLEYİCİLERİ Endüstrinin Büyümesi ; Sabit (veya Stok) Maliyeti/Katma Değer Aşırı Kapasite Dalgalanmaları Ürün Farkları ; Marka Kimliği, Değişim Maliyeti Yoğunlaşma ve Denge ; Bilgisel Karmaşıklık Kurumsal Yükümlülükler, Çıkış Engeller ALICILAR TEDARİKÇİLERİN GÜCÜNÜN BELİRLEYİCİLERİ Girdi Farklılaştırması, Endüstride Tedarikçileri Ve Firmaları Değiştirme Maliyeti Tedarikçi Yoğunlaşması Tedarikçiler İçin Hacmin Önemi Endüstride Toplam Satın Almaya Karşı Maliyet Yapsı Girdilerin, Maliyet Ve Farklılaştırma Üzerinne Etkisi Endüstride Firmalarla Geriye Doğru Entegrasyonunun Tehdidine Karşı İleri Entegrasyon Tehdiri İKAME ÜRÜNLER İKAME ÜRÜN TEHDİTİNİN BELİRLEYİCİLERİ İkamelerin göreceli fiyat performans Değiştirme Maliyeti, İkame İçin Alıcıların Eğilimi Mal ve Hizmetlerin ALICILARIN GÜCÜNÜN BELİRLEYİCİLERİ İkamelerinin Tehditi PAZARLIK KALDIRACI: FİYAT DUYARLILIĞI Firma Yoğunlaşmasında karşılık alıcıların yoğunlaşması, Alıcı hacmi, Alıcı değiştirme maliyetinin firm adeğiştirme maliyetine göre durumu, Alıcı Bilgi Yapısı, Geriye Entegrasyon Yeteneği İkame Ürünler, Dayanma Gücü Fiyat / Toplam Satınalmalar Ürün Farklılıkları Marka Kimliği Kalite ve performans etkisi Alıcıların Karı Karar Vericilerin Teşvikleri Kaynak: Porter, Michael E. (1985), Competitive Advantage, Creating and Sustaining Superior Performance, Free Press.S.6 Not: Endüstride faaliyet gösteren iktisadi birimlerin iktisadi, sosyal, kültürel ve politik tercihleri de rekabet üzerinde etkili olabilmektedir.

210 Bu stratejilerin başında da tüm süreçlerde yaratılacak inovasyonlarla, maliyetler, verimlilik, ürün çeşitliliği açısında fark yaratmak gelmektedir. Porter bu stratejileri temelde, maliyet liderliği, farklılaştırma ve odaklanma olarak ortaya koymuştur. Bu stratejilerin başarılı bir şekilde formülasyonu ve uygulanması işletmelerin rekabet üstünlüğü ve firmanın karlılığına önemli ölçüde katkı yapabilmektedir. Firmaların endüstriden ve rakiplerden kaynaklanan potansiyel tehditlerle baş edebilmeleri için etkin stratejiler geliştirmeleri ve uygulamaları gerekmektedir. Şekil-3.7 de firmanın rekabet stratejisi konsepti ve bileşenleri verilmiştir. Firmalar için rekabet stratejisi tesis ederken, görüldüğü gibi firma içi ve firma dışı faktörler, şirketin güçlü ve zayıf yanları, firma dışı çevreden gelecek fırsat ve tehditle, kilit konumdaki uygulayıcıların kişisel değerleri ve toplumsal beklentiler, rekabet stratejisinin şekillenmesinde büyük önem arz etmektedir. Bu faktörlerin göreceli önemi, yaratacağı fırsat ve tehditlerin boyutları zamana ve koşullara göre farklılık gösterebilir. Ancak sektör ve rakiplerden gelecek potansiyel rekabet tehditleri her zaman daha fazla önemini koruyacaktır. Endüstrinin rekabet yapısı, şirketlerin stratejisi ve kârlılığını önemli ölçüde etkilemektedir. Kurumun iç paydaşları olan, ana ortaklar, çalışanlar ve departmanlar bazında değer zincirinin analiz edilmesi önem arzetmektedir. Bu değer zincirinde iç paydaşların sorunları ve çözülmesi gerekmektedir. Bu sebeple iç paydaşlara yönelik durum analizi için paydaş anketleri ve geri dönüş sistemi kurulması gerekmektedir. Değer zincirine katkı durumuna göre de iç paydaşlar önceliklendirmesi yapılabilir. Tablo İç Paydaşlar ve Değer Zinciri Analizi ve Şekil-3.1. Işletmede Değer Zinciri değerlendirme çerçevesini sunmaktadır. 142

211 Şekil-3.2. Porter a Göre Rekabet Stratejisi Konsepti Firmanın Güçlü Ve Zayıf Yönleri Sektördeki Fırsatler Ve Tehditler (Ekonomik Ve Teknik) Firma İçi Faktörler REKABETÇİ STRATEJİ Firma Dışı Faktörler Kilit Konumdaki Uygulayıcların Kişisel Değerleri Daha Genel Toplumsal Beklentiler Kaynak: Porter, Michael E. (1998), Competitive Strategy, Techniques for Analyzing Industries and Competititors, Free Press. s.xxvi. Not: Endüstride faaliyet gösteren iktisadi birimlerin iktisadi, sosyal, kültürel ve politik tercihleri de rekabet üzerinde etkili olabilmektedir. 143

212 Tablo-3.1. İç Paydaşlar ve Değer Zinciri Analizi İÇ PAYDAŞLAR Yetki Görev Sorumluluk Değer Zincirine Katkı Oranı İç Paydaşların Öncelikli Sorunları Sorunları Kaynakları Çözüm Önerileri ORTAKLAR ÇALIŞANLAR Yöneticiler Uzmanlar İşçiler DEPARTMANLAR Üretim Ar-Ge Finansman Muhasebe İnsan Kaynakları Pazarlama Lojistik Müşteri Hizmetleri İŞVEREN SENDİKALARI

213

214 TEMEL FAALİYETLER DESTEK FAALİYETLERİ Şekil-3.3. Işletmede Değer Zinciri FİRMA ALTYAPISI (Finans, Planlama, Yatırımcı İlişkileri vb.) İNSAN KAYNAKLARI YÖNETİMİ (işe alma, iş doyumu, eğitim, ödeme sistemi vb.) TEKNOLOJİ GELİŞTİRME (Ürün Tasarımı, Süreç Tasarımı, Materyal, Pazar Araştırması vb.) TEDARİK (Parçalar, Makineler, Reklam, Servis vb.) KAR Marjı DEĞER (fiyat) (Alıcının Ödemek İstediği TEDARİK LOJİSTİK (Materyal Depolama Gelişi, Veri Toplama, Servis, Müşteri Erişimi) OPERASYONLAR (Montaj, paraçların fabrikasyonu, şube operasyonları) DESTEK LOJİSTİK (Sipariş İşleme, depolama, rapor hazırlama) PAZARLAMA VE SATIŞ (Satış Gücü, Promosyon,reklam, teklif verme, websitesi) SATIŞ SONRASI SERVİS (Kurulum, müşteri desteği, şikayet çözümü, onarma) Kaynak: Porter, 1995, Porter, Michael E. Ve Diğ, age World Economic Forum, Business Competitivennes İndex, 2007s.54 Şekil-3.8 de Porter tarafından geliştirilen işletmede değer yaratım zincirinin bileşenleri verilmiştir. Buna göre, temel ve destek faaliyetlere bağlı olrak, müşterinin bedelini ödemek istediği bir değer ortaya çıkar. Bu değer ne kadar yüksek niteliğe sahip olursa, alıcı gözündeki değeri ve dolayısıyla işletmenin elde edeceği kar marjı da o kadar yüksek olacaktır. Bu bağlamda, işletmenin değer yaratım sistemin etkin bir şekilde tasarlanıp, işletilmesi ve bileşenleri arasında yaratılacak sinerjinin maksimize edilerek, sorunların minimize edilmesi ortaya çıkacak değer, fayda ve dolayısıyla kar marjının yüksekliğini belirleyecektir.

215

216 10.3. Kuruluş Dışı Çevre Analizi Firmaların stratejilerini formüle etme süreçlerinde çok önemli dış çevre analizlerinden birisi de ulusal ve uluslararası makroekonomik çevrenin analiz edilmesidir. Bu bağlamda, ulusal ve küresel makro çevre içine giren, ekonomik çevre, sosyokültürel, küresel, teknolojik, siyasi-hukuki, demografik çevrenin değişen dinamikleri, aralarındaki karşılıklı etkileşim, makro çevresel değişkenlerin mikro düzeyde sektörel etkileri ve buna bağlı olarak sektördeki rekabet dinamiklerindeki değişim ve firmanın rekabet üstünlüğünün nasıl etkileneceği detaylı bir şekilde incelenerek, optimal politika ve strateji tasarımı firma tarafından gerçekleştirilir. Şekil-3.4. Dış Çevre Analizi Ekonomik Çevre Demografik Çevre Siyasi/Hukuki Çevre Endüstriyel Çevre Tedarikçilerin Pazarlık Gücü Müşterilerin Pazarlık Gücü İkame Ürünlerin Rekabeti Yeni Firma Girişlerinin Yarattığı Tehdit Rekabetin Yoğunluğu Rakiplerden Oluşan Çevre Sosyokültürel Çevre Küresel Çevre TEKNOLOJİK Çevre Kaynak: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management of Strategy, Concepts., 8th edition.ohio: South-Western College Pubishing 136

217 Şekil-3.5. Çevresel Değişkenler Toplumsal Çevre Sosyo- Kültürel Güçler Hissedarlar İş Çevresi Endüstri Analizi Tedarikçiler Ekonomik Güçler Devlet Hükümetler Özel Çıkar Grupları İÇSEL ÇEVRE Yapı, Kültür Kaynaklar İşçiler Sendikalar Rakipler Müşteriler Siyasi-Hukuki Güçler Kreditörler Sivil Toplum Ticari Birlikler Teknolojik Güçler Kaynak: Wheelen, L.T. and Hunger, J.D. (1995). Strategic Management and Business Policy, Addison-Wesley Pub S.11 Şekil-3.6. Toplumsal Çevre Analizi TOPLUMSAL ÇEVRE ANALİZİ Ekonomi, Sosyokültürel, Teknolojik, Siyasi-Hukuki Faktörleri Piyasa Analizi Toplumsal Analizi Rakipler Analizi Çıkar Grupları Analizi ilişkisi olan çıkar çevrelerinin, sektör ve firma üzerindeki olası etki çerçevesi verilmiştir, Kaynak: Wheelen, L.T. and Hunger, J.D. (1995). Strategic Management and Business Policy, Addison-Wesley Pub, s.90 firma bu dinamiklere bağlı olarak, kendi amaçlarını gerçekleştirmek için optimal politika ve strateji tasarımını yaparak başarılı bir şekilde uygulamalıdır. 137 Tedarikçilerin Analizi Stratejik Devlet/Hükümet Faktörlerin Analizi Analizi Fırsatlar/Tehditler Şekil-3.3., Şekil-3.4., ve Şekil-3.5 te dış makro çevre dinamiklerinin, firmayla

218 10.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi Performans Programı Kurumsal Risk Yönetimi Kurum İçi Stratejik Risk Analizi kurumun karşılaşacağı maddi ve insan kaybı düzeyinin öngörülerek minimize edilmesini hedeflemektedir. Bu amaçla kurum ve departman düzeylerinde geçmiş yıllardaki maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi hesaplarının yapılarak mevcut ve gelecekteki zarar-kayıp olasılıklarının bulunmasını amaçlar. Bu hesaplamalara göre de gerekli tedbirler alınarak riskler ve tehlikeler minimize edilerek kayıplar en aza indirilebilir. 138

219 Geçmiş Dönemler Risk Analizi Geçmiş Dönemler Risk Analizi kurum ve departman düzeylerinde geçmiş yıllardaki maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi hesaplarının yapılmasını amaçlar. Tablo Geçmiş Dönemler Risk Analizi verilmiştir. Değer Zincirine Göre Departmanlar Tablo-3.2. Geçmiş Dönemler Risk Analizi (Son 5 Yılda Gerçekleşen) Kurum İçi Sebepler: İnsan, Kurumsal Yapı, Teknik Sistem, Kaza Riskin Kaynağı Tehlike Risk Kurum Dışı Sebepler: Doğal Afetler, Sabotaj, Terör Olası Kayıp Büyüklüğü (TL) Kayıp Olasılığı 0 P 1 Gerçekleşen Kayıp Tehlike*Risk Tedarik , Depo Üretim Ar-Ge Güvenlik Hizmetleri Bilişim Hizmetleri Finansaman Pazarlama Satış Müşteri Hizmetleri.. Cari Dönem Risk Analizi Cari Dönem Risk Analizi kurum ve departman düzeylerinde içinde buluna yıl için maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi hesaplarının yapılmasını amaçlar. Tablo Cari Dönem Risk Analizi verilmiştir. 139

220 Değer Zincirine Göre Departmanlar Tablo-3.3. Geçmiş Dönemler Risk Analizi (Cari Dönem) Kurum İçi Sebepler: İnsan, Kurumsal Yapı, Teknik Sistem, Kaza Riskin Kaynağı Tehlike Risk Kurum Dışı Sebepler: Doğal Afetler, Sabotaj, Terör Olası Kayıp Büyüklüğü (TL) Kayıp Olasılığı 0 P 1 Beklenen Kayıp Tehlike*Risk Tedarik , Depo Üretim Ar-Ge Güvenlik Hizmetleri Bilişim Hizmetleri Finansaman Pazarlama Satış Müşteri Hizmetleri Gelecek Dönem Risk Analizi Gelecek Dönem Risk Analizi kurum ve departman düzeylerinde içinde gelecek yıllar için maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi hesaplarının yapılmasını amaçlar. Tablo Gelecek Dönem Risk Analizi verilmiştir. Değer Zincirine Göre Departmanlar Tablo-3.4. Geçmiş Dönemler Risk Analizi (Son 5 Yılda Gerçekleşen) Beklenen Riskin Kaynağı Tehlike Risk Kayıp Kurum İçi Sebepler: İnsan, Kurumsal Yapı, Teknik Sistem, Kaza Kurum Dışı Sebepler: Doğal Afetler, Sabotaj, Terör Olası Kayıp Büyüklüğü (TL) Kayıp Olasılığı 0 P 1 Tehlike*Risk Tedarik , Depo Üretim Ar-Ge Güvenlik Hizmetleri Bilişim Hizmetleri Finansaman Pazarlama Satış Müşteri Hizmetleri.. 140

221 Bu Bölümde Ne Öğrendik Özeti Stratejik Planlama Stratejik Rekabet Analizi Kuruluş Dışı Çevre Analizi Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi Performans Programı Kurumsal Risk Yönetimi 141

222 Bölüm Soruları S.5. S.6. S.7. S.8. S.9. Stratejik Planlama Stratejik Rekabet Analizi Kuruluş Dışı Çevre Analizi Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi Performans Programı Kurumsal Risk Yönetimi. 142

223 11. KURUMSAL RİSK YÖNETİMİ UYGULAMASINI ETKİLEYEN FAKTÖRLER VE ARAÇLAR Bu Bölümde Neler Öğreneceğiz? Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler İşletme Büyüklüğü Finansal Kaldıraç Karlılık Yönetim Kurulu Üyelerinin Bağımsızlığı Denetim Firmaları Coğrafi Çeşitlilik Bağlı Ortak Sayısı Büyüme 143

224 Bölüm Hakkında İlgi Oluşturan Sorular S.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklayınız. S.2. İşletme Büyüklüğünü açıklayınız. S.3. Finansal Kaldıracı açıklayınız. S.4. Karlılığı açıklayınız. S.5. Yönetim Kurulu Üyelerinin Bağımsızlığını açıklayınız. S.6. Denetim Firmalarını açıklayınız. S.7. Coğrafi Çeşitliliği açıklayınız. S.8. Bağlı Ortak Sayısını açıklayınız. S.9. Büyümeyi açıklayınız. 144

225 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler Kazanım Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklar Kazanımın nasıl elde edileceği veya geliştirileceği Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri inceleyerek İşletme Büyüklüğü İşletme Büyüklüğünü açıklar İşletme Büyüklüğünü inceleyerek Finansal Kaldıraç Finansal Kaldıracı açıklar Finansal Kaldıracı inceleyerek 145

226 Anahtar Kavramlar Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler İşletme Büyüklüğü Finansal Kaldıraç Karlılık Yönetim Kurulu Üyelerinin Bağımsızlığı Denetim Firmaları Coğrafi Çeşitlilik Bağlı Ortak Sayısı Büyüme 146

227 11.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler Hızla artan rekabet ortamında, karşı karşıya kalınabilecek riskleri etkin ve sürdürülebilir biçimde yönetebilmek için fırsat olan kurumsal risk yönetimi, ulusal ve uluslar arası alanda faaliyet gösteren birçok işletme tarafından tercih edilen bir araç haline gelmektedir. Kurumsal risk yönetimine sahip olan işletmeler, risklerini bölümler arasında eşgüdümlü olarak yönetmeye çalışmakta; böylelikle işletmelere önemli rekabet üstünlüğü kazandırmaktadır. Kurumsal risk yönetimine sahip işletmeler, kendi faaliyet alanları ve organizasyon yapıları doğrultusunda risk yönetimini uygulayabilmektedir. Başka bir anlatımla, kurumsal risk yönetimi varlığını etkileyen karakteristik özellikler işletmeden işletmeye farklılıklar gösterebilmektedir. Bu karakteristik özellikler işletmelerin büyüklüğü, aktif karlılığı, bağımsız yönetim kurulu üyelerinin yönetim kurulu içindeki oranı, fınansal kaldıraç derecesi ve dört büyük denetim firması ve coğrafi değişkenlik olmak üzere sıralanabilmektedir. Aşağıdaki kesimde, bu etkenlerle ilgili açıklamalara yer verilmektedir İşletme Büyüklüğü İşletme büyüklüğünün artması, işletmelerde kurumsallaşma sorununu gündeme getirmektedir. İşletme büyüklüğünün artmasıyla birlikte işletmelerin ekonomik ömürlerini devam ettirebilmeleri açısından kurumsal yönetim anlayışı oldukça gereklidir. Bu kapsamda, büyük işletmelerdeki kurumsal yönetim gereksinimi aynı zamanda risklerin de kurumsal bakış açısıyla ele alınmasını gündeme getirebilmektedir. Kurumsal yönetim, işletmelerdeki tüm faaliyetlerinin etik bakış açısıyla ele alınmasını gerekli kılmaktadır. Büyük işletmeler, sermaye elde edebilmek açısından daha çok yatırımcıya ihtiyaç duymakta; bu durum da basının ilgisini büyük işletmelerin üzerine çekmektedir. Dolayısıyla büyük işletmeler, küçük işletmelere göre etik uygulamalar konusunda daha duyarlı hale gelmektedir. Büyük işletmeler, daha çok sermaye elde edebilmek amacıyla hissedarlar ve yönetim arasında meydana gelebilecek çıkar çatışmalarını en aza indirmek zorundadır. Bu durum, büyük işletmelerde etik baskıları gidermek ve çıkar çatışmaları en aza indirebilmek amacıyla risk yönetimi sistemi kurulmasını da olumlu yönde etkilemektedir. 147

228 İşletmelerde kurumsal risk yönetimi varlığının belirleyicileri konusunda yapılan çalışmalarda, işletme büyüklüğünün kurumsal risk yönetiminin önemli bir belirleyicisi olduğu düşünülmektedir. Bu kapsamda, işletme büyüklüğü ile kurumsal risk yönetimi sisteminin varlığı arasında pozitif bir ilişki beklenmektedir. İşletmelerin giderek büyümesi ile birlikte işletmeler daha fazla riske maruz kalmakta; böylelikle büyük işletmelerde risklerin kurumsal bakış açısıyla ele alınması faaliyetleri küçük işletmelere göre daha çok tercih edilmektedir Finansal Kaldıraç Bir işletmede finansal kaldıraç derecesinin yüksek olması, o işletmedeki borç oranının yüksekliğini ifade etmektedir. Yüksek kaldıraç derecesine sahip işletmelerin, fınansal sorunlar yaşaması; fınansal kaldıraç derecesi düşük olan işletmelere göre daha yüksektir Yapılan çalışmalar sonucunda, hem fınansal hem de fınansal olmayan işletmeler üzerinde yapılan değerlendirmelerde, fınansal kaldıraç oranı ile kurumsal risk yönetiminin varlığı arasında pozitif bir ilişki ortaya konduğu belirtilebilir. Buna göre, işletmelerde borç kullanma oranının artmasının işletmeleri daha kaliteli ve güvenilir risk yönetimi faaliyetleri konusunda güdülediği kabul edilebilir Karlılık Karlılık, işletmelerin kazanç elde etme yeteneği olarak tanımlanabilir. Karlılık ile işletme faaliyetlerinin verimli olup olmadığı hakkında görüş elde edilebilir. Finansal oranlar kapsamında, karlılık üç şekilde ele alınabilir. Bunlar, net karın toplam satışlara oranı; net karın toplam özkaynaklara oranı ve üçüncüsü net karın toplam varlıklara oranıdır. Karlılık ve kurumsal risk yönetimi ilişkisi kapsamında, literatürde farklı bulgulara ulaşılan çalışmalar olduğu belirtilebilir. Ancak, kurumsal risk yönetiminin işletme kaynaklarının daha verimli kullanılmasına yönelik bir sistem olduğu kabul edildiğinde, karlılık oranı yüksek işletmelerde kurumsal risk yönetimi varlığının görülme olasılığının daha yüksek olması beklenmektedir. 148

229 Yönetim Kurulu Üyelerinin Bağımsızlığı Yönetim kurullarında bağımsız yöneticilerin olmasının fınansal raporların güvenilirliği konusunda önemli bir belirleyici olduğu kabul edilebilir. Bağımsız yönetim kurulu üyelerinin işletme faaliyetleriyle ilgisinin olmaması, hissedarlar ile yönetim arasında önemli bir görev üstlenmesine neden olmaktadır. Bu doğrultuda, bağımsız yönetim kurulu üyelerinin işletmelerdeki temsil maliyetini azaltıcı bir rol üstlendiği belirtilebilir. İşletmelerde bağımsız yönetim kurulu üyelerinin yer alması, özellikle kurumsal yönetim varlığı hakkında önemli bir gösterge olarak kabul edilebilir. Bu kapsamda, kurumsal yönetimi başarılı bir şekilde uygulayan işletmelerin kurumsal risk yönetim sistemine daha kolay uyum sağlayacağı belirtilebilir. Dolayısıyla, bağımsız yönetim kurulu üyeleri ile kurumsal risk yönetimi arasında pozitif yönlü bir ilişkinin varlığından bahsedilebilmektedir Denetim Firmaları Bağımsız denetim yapan firmalar, halka açık işletmelerin fınansal tablolarının gerçeğe uygun bir şekilde hazırlanıp hazırlanmadığı konusunda görüş bildiren kuruluşlardır. Yaşanan işletme skandalları sonrasında, bağımsız denetim firmaları seçimine verilen önem giderek artmaktadır. Denetim firmalarının ünü ile kurumsal risk yönetimi varlığı arasında pozitif yönlü bir ilişki tespit edilmiştir Coğrafi Çeşitlilik Coğrafi çeşitlilik, işletmelerin toplam satış tutarı içerisindeki bir ya da birden fazla ülkeye yaptığı satışlar olarak belirtilebilir. İşletmelerin bir ya da birden fazla ülkeye gerçekleştirdiği satışlar (ihracat), o işletmenin diğer ülkelerle olan ticari ilişkilerini göstermesi bakımından önemlidir. Kurumsal risk yönetiminin işletmelerin farklı coğrafyalarda karşılaşabileceği risklerini yönetebilmeleri konusunda önemli bir mekanizma olabileceğini ve coğrafi çeşitliliğin kurumsal risk yönetimi varlığını pozitif yönde etkilediği sonucuna ulşamıştır. 149

230 Bağlı Ortak Sayısı Bağlı ortaklık, işletmenin, adi ortaklık gibi tüzel kişiliği olmayan işletmeler de dahil olmak üzere, (ana ortaklık olarak bilinen) başka bir işletme tarafından kontrol edilen işletmeler olarak tanımlanmaktadır. Bağlı ortaklıklar, işletmenin kurumsal şeffaflık düzeyini sınırlandıran unsurlar arasında gösterilmektedir. Dolayısıyla, bağlı ortaklık sayısı fazla; başka bir deyişle farklı coğrafyalarda faaliyet gösteren işletmelerde kurumsal yönetim ilkelerinin uygulanabilmesi güçleşebilmektedir. Bu kapsamda, bağlı ortaklığın kurumsal risk yönetimi varlığını etkileyen belirleyicilerden biri olduğu kabul edilebilir Büyüme Büyüme potansiyeline sahip olan işletmeler daha fazla belirsizlikle karşı karşıya kalabilmekte ve böylece daha iyi bir risk yönetimi modeline ihtiyaç duyabilmektedir. Bu gibi işletmelerin kurumsal risk yönetimine yönelik daha fazla yatırımı ve kurumsal risk yönetim müdürüne sahip olmaları olasıdır. Kurumsal risk yönetimi sadece risklerin azaltılmasına değil; aynı zamanda yeni büyüme fırsatlarının elde edilmesine de katkı sağlamaktadır. 150

231 Bu Bölümde Ne Öğrendik Özeti Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler İşletme Büyüklüğü Finansal Kaldıraç Karlılık Yönetim Kurulu Üyelerinin Bağımsızlığı Denetim Firmaları Coğrafi Çeşitlilik Bağlı Ortak Sayısı Büyüme 151

232 Bölüm Soruları S.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklayınız. S.2. İşletme Büyüklüğünü açıklayınız. S.3. Finansal Kaldıracı açıklayınız. S.4. Karlılığı açıklayınız. S.5. Yönetim Kurulu Üyelerinin Bağımsızlığını açıklayınız. S.6. Denetim Firmalarını açıklayınız. S.7. Coğrafi Çeşitliliği açıklayınız. S.8. Bağlı Ortak Sayısını açıklayınız. 152

233 12. İÇ DENETİM SİSTEMİ, KAPSAMI ve ÖZELLİKLERİ 153

234 Bu Bölümde Neler Öğreneceğiz? İç Denetimin Tanımı İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri İç Denetimin Kapsam ve Alanı İç Denetimin Amacı İç Denetim Sisteminin Özellikleri ve Etkililiği İç Denetim Unsurları Nesnel Güvence Sağlama Bağımsız Olma Tarafsız Olma Danışmanlık Hizmeti Verme Kurum Faaliyetlerine Değer Katma ve Geliştirme Standartlara Uygunluk İç Denetim Türleri Uygunluk Denetimi Performans Denetimi Mali Denetim Bilgi Teknolojisi Denetimi Sistem Denetimi İç Denetim Teknikleri 154

235 Bölüm Hakkında İlgi Oluşturan Sorular S.1. S.2. S.3. S.4. S.5. İç Denetimin Tanımlayınız? İç Denetim Faaliyetine İhtiyaç Duyulma Nedenlerini açıklayınız. İç Denetimin Kapsam ve Alanını açıklayınız. İç Denetimin Amacı nedir. İç Denetim Sisteminin Özellikleri ve Etkililiğini açıklayınız. 155

236 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu İç Denetimin Tanımı Kazanım İç Denetimin Tanımı açıklar Kazanımın nasıl elde edileceği veya geliştirileceği İç Denetimin Tanımı inceleyerek İç Denetim Unsurları İç Denetim Unsurları açıklar İç Denetim Unsurları inceleyerek İç Denetim Türleri İç Denetim Türleri açıklar İç Denetim Türleri inceleyerek 156

237 Anahtar Kavramlar İç Denetimin Tanımı İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri İç Denetimin Kapsam ve Alanı İç Denetimin Amacı İç Denetim Sisteminin Özellikleri ve Etkililiği İç Denetim Unsurları Nesnel Güvence Sağlama Bağımsız Olma Tarafsız Olma Danışmanlık Hizmeti Verme Kurum Faaliyetlerine Değer Katma ve Geliştirme Standartlara Uygunluk İç Denetim Türleri İç Denetim Teknikleri 157

238 12.1.İç Denetimin Tanımı İç Denetçiler Enstitüsü tarafından 1947 yılında yapılan tanımlamaya göre iç denetim bir kuruluş hizmeti olarak kurumun faaliyetlerini incelemek ve değerlendirmek için kuruluştaki yerleşik bağımsız bir değerleme işlevi dir. Bu dönemde iç denetimin temel amacı mali bilgilerin doğruluğunu ve güvenilirliğini tespit etmek olarak kabul edilmektedir. Günümüzde bahsedilen amaçlar önem ve geçerliliğini korumakla birlikte iç denetimin kuruma danışmanlık hizmeti vermesi ve değer katması da istenmektedir. Söz konusu beklenti iç denetimin amacına yönelik yapılan yeni tanımlamalarda da kendini göstermektedir. Kurum içerisinde iç denetim faaliyetinin gerekliliği 1987 yılında Treadway Komisyonu tarafından yayımlanan raporda Kamu kurumları kapsam ve büyüklüklerine uygun yeterli sayıda kaliteli personelle birlikte etkili bir iç denetim fonksiyonuna sahip olmalıdır. sözleriyle vurgulanmıştır. İlkinin tanımdan daha çok giriş ya da tanıtım özelliği taşıdığı düşünüldüğünden 1999 yılında IIA tarafından tekrar bir tanımlama yapılmıştır. Buna göre; iç denetim bir kurumun çalışmalarına değer katmak ve onu geliştirmek amacı güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. Yeni tanımda iç denetim, önemli mesleki ve teknik yetenekler gerektirmekle beraber bir güvence mekanizması olarak, kayıtların doğruluğundan çok kurum faaliyetlerini dikkate alarak, bunların etkinliği ve verimliliği üzerine artı değer yaratmayı hedefleyen bir sistem olarak ifade edilmektedir. Güvence hizmeti; risk yönetimi, kontrol ve kurumsal yönetişim süreçlerinin tarafsız değerlendirildiğine dair objektif bir delil niteliği taşımaktadır. Yeni tanımda mesleğin ana hedefleri özetlenerek bu hedeflere ulaşmayı sağlayacak metotlara yer verilmektedir. Ayrıca iç denetim departmanı yerine iç denetim faaliyeti kavramı kullanılmıştır. Böylece söz konusu hizmetin kurum içi ya da kurum dışından iç denetçilerce yerine getirilebileceği vurgulanmaktadır. İç denetimin yeni tanımındaki temel unsurlar şunlardır: i. Kurumun hedeflerine ulaşmasına yardımcı olmak: Hedefler, kurumun ulaşmak istediği noktayı göstermekte ve bu noktaya ulaşabilmesi için hedeflerin başarılması gerekmektedir. En üst seviyede hedefler, kurum misyon ve vizyonu ile ilişkilendirilmektedir. Misyon kurumun bugün bulunduğu 158 noktayı, vizyon ise gelecekte

239 ulaşmak istediği noktayı ifade etmektedir. Hedefler, misyon ve vizyona uygun belirlenmiş ve başarıyla uygulanıyor olmalıdır. Kurum hedefleri stratejik, faaliyet, raporlama ve uygunluk ana başlıkları altında sınıflandırılmaktadır. ii. Kurumun risk yönetimi, kontrol ve kurumsal yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşımla hedeflere ulaşılmasına yardımcı olur. Kurumsal yönetişim, kurumun hedeflerine ulaşabilmesi için yönetim kurulu tarafından yapılan yetkilendirme ve yönetim sürecidir. Kurumsal yönetişim ile yakın bağlantılı olan risk yönetimi, hedeflere ulaşılmasını engelleyecek belirsizliklerin ya da risklerin yönetim tarafından belirlenmesi ve yönetilmesi sürecidir. Risk yönetimi içerisine yerleştirilmiş olan kontrol, risklerin yönetim tarafından kabul edilebilir bir seviyeye indirilmesi sürecidir. Yönetim kurulu ve yönetimin kurumsal yönetişim, risk yönetimi ve kontrol süreçlerini birlikte etkin bir şekilde yönetmesi gerekmektedir. Bu noktada iç denetçilerin, bu süreçlerin değerlendirilmesi ve geliştirilmesi hususlarında önemli rolü bulunmakta; ancak bu rol rehberlik ya da danışmanlık hizmetinin ötesine geçememektedir. iii. Kurumu geliştirmek ve kuruma değer katmak amacı taşıyan danışmanlık ve güvence faaliyetleri kurumun eksiklerini görmesini sağlamaktadır. Güvence hizmeti hem kurumun hem de paydaşların, değerlendirmeleri dikkate alarak hareket etmesini sağlamaktadır. iv. Bağımsız ve tarafsızdır. Bağımsızlık, iç denetim faaliyetinin örgütsel durumunu; tarafsızlık ise iç denetçilerin önyargısız değerlendirmelerde bulunmasını ifade etmektedir. Kısaca iç denetim, kuruma fayda sağlamak amacıyla kurum faaliyet ve işlemlerini incelemek ve değerlendirmek üzere kurum içinde örgütlenmiş; ancak kurumdan bağımsız işlev gören bir değerleme fonksiyonudur 12.2.İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri Sorumluluk ve Hesap Verebilme: Her kurumda ya da işletmede yöneticiler yetki ve sorumluluklarının bir kısmını kendilerine bağlı olarak çalışan kişilere devretmektedir. Yöneticiler, devrettikleri yetkilerin etkin ve verimli kullanılıp kullanılmadığını değerlendirmede iç denetçilerden 159 faydalanmaktadır. İç denetçiler bilgi

240 15 toplama, şartları analiz etme ve problemleri tanımlama alanındaki yetkinlikleri sayesinde doğrudan yöneticilere ve dolaylı olarak da kuruma fayda sağlamaktadır. Vekâlet Teorisi. İşletme sahipleri ya da kurum yöneticileri emanet ettikleri kaynakların etkin ve verimli işletilip işletilmediğinden emin olmak ister. Yönetici şüphelerinin ortadan kalkmasında rol oynayan en önemli yetkililer de iç denetçilerdir. İç denetçiler gerek finansal gerekse finansal olmayan alanlarda yaptıkları denetimlerle kuruma artı değer katmakta ve yöneticiye makul bir güvence sunmaktadır. Yönetime Danışmanlık ve Yardım. Planlama, organizasyon, yönetim ve kontrol alanında bilgi sahibi olan iç denetçiler, hileli işlemleri ortaya çıkarmanın yanı sıra ileride benzer sorunlarla karşılaşılmasını engellemek amacıyla yöneticilere danışmanlık ve eğitim hizmeti sunmaktadır. Tasarruf İhtiyacı. İç denetçilerin risk denetimi ve yönetim uygulamaları sayesinde kurum ya da işletmeler hata, hile ve usulsüzlük gibi durumlar ortaya çıkmadan gerekli tedbirleri alma fırsatı yakalamaktadır. Bu sayede maddi açıdan büyük tasarruf sağlanmakta ve hatta çoğu zaman tasarruf miktarı iç denetim biriminin işletmeye olan maliyetini karşılamakta ya da maliyeti aşmaktadır. Hileli İşlemlere Karşı Korunma İhtiyacı. Hileli işlemlerin kuruma vereceği zararların önüne geçilmesinde iç denetim sistemi çok önemli bir geri besleme mekanizması rolü üstlenmektedir İç Denetimin Kapsam ve Alanı İç denetçiler kurum ihtiyaçlarını karşılamak amacıyla iç kontrol, uygunluk, yolsuzluk, faaliyet ve yönetim denetimleri, danışmanlık faaliyetleri ve kurumsal risk yönetimi alanlarında faaliyet göstermektedir. Her bir kategori farklı hedef ve odak noktalarına sahiptir. Kategoriler farklı şekillerde yeniden yapılandırılabilir. Örneğin; bazı denetçiler faaliyetlerini finansal, bilgi sistemleri ve danışmanlık olarak tanımlamaktadır. Bireysel denetimin tanımı ve kapsamı büyük ölçüde amaca göre belirlenmektedir. İç denetim faaliyetleri kısaca aşağıdaki şekilde tanımlanabilir. 160

241 İç Kontrol Denetimleri: Kurumların amaçlarına ulaşmasını sağlayacak uygun bir iç kontrol sisteminin oluşturulması ve sürdürülmesi için değerlendirmeler yapılması ve önerilerde bulunulması sürecini kapsamaktadır. İç kontrol denetiminin amacı belirli bir iç kontrol sisteminin kurum hedeflerine ulaşılmasını sağlamada ne derece yeterli olduğuna dair yönetime bilgi sağlamaktır. Bu denetimler iç kontrol hedeflerine odaklanmaktadır. Temel amacı etkili bir iç kontrol sisteminin tanımlanmış hedeflere ulaşılmasını garantiye almada ne derece etkili olduğunu ölçmektir. İç denetçiler, iç kontrol sistemindeki hatalı, hileli ve riskli durumları ortaya koymak suretiyle üst yöneticilere bir nevi rehberlik hizmeti sunmaktadır. Uygunluk Denetimleri: Plan, politika, prosedür, yasa, düzenleme ve anlaşma hükümlerine uygunluk düzeyi hakkında yönetime bildirim sağlamayı hedefleyen denetimdir. Politika, prosedür ve kanunların belirsiz ya da uygunluk derecesinin sorgulanabilir olduğu durumlarda uygunluk denetimleri genelde göründükleri kadar açık olmayabilir. Bu gibi durumlarda denetçiler sıklıkla makul uygunluk değerlerine odaklanmaktadır. Yolsuzluk Denetimleri: Yolsuzluk faaliyetlerinin olması durumunda ya da şüphelenilmesinde yolsuzluk mevcudiyetini ve kapsamını tespit veya teyit eden yönetime bilgi sağlayıcı belli denetim faaliyetleri gerçekleştirilmektedir. İç denetçilerin yolsuzluk göstergelerini tespit edici yeteneğe sahip olması beklenmekle birlikte yolsuzluk alanında uzman olan kişilerin sorumluluğundaki tespit ve teftiş faaliyetlerinde bulunmaları beklenmemektedir. Faaliyet ve Yönetim Denetimleri: Faaliyet denetimi her birimin faaliyet alanındaki hedeflerine ulaşma ve kaynak kullanımındaki etkinlik, verimlilik ve ekonomikliğin denetimidir. Örneğin; yatırım stratejileri, maliyet-fayda analizi, risk yönetimi ve sözleşme yönetimi gibi belli faaliyet ya da fonksiyonel alanlar değerlendirilmektedir. Yönetim süreci kurumdaki rolleri ve davranışları belirleyen, sorumlulukları tanımlayan, hedef ve stratejiler geliştiren, kurumsal performansı ölçen kuruma özgü ve sürekli değişen bir kültürel yapıdır. süreçlerinin denetiminde, hesap verme sorumluluğunu geliştirmek amacıyla kurumsal yapı ve yönetim süreçlerinin etkililiği değerlendirilmekte ve önerilerde bulunulmaktır. Etik ve kurumsal değerlerin geliştirilmesi, kurumsal performans yönetimi ve hesap verebilirliğin sağlanması, risk yönetim ve kontrol 161

242 süreçlerinin etkinliği, iç ve dış denetçiler arasındaki eşgüdümün sağlanması şeklinde örneklendirilebilen yönetim süreçlerinin iyileştirilmesi amacıyla iç denetim sistemi; riskler, zayıflıklar ve bunlardan korunma ve iyileştirme hususlarında kuruma tavsiyelerde bulunucu rol üstlenmektedir. Buraya kadar açıklanan iç kontrol, uygunluk, yolsuzluk ve faaliyet denetimlerinin her biri aynı genel özellikleri paylaşmaktadır. Bunlar: i. Denetim hedeflerine sahiptirler. ii. iii. Kanıt elde etmek için çeşitli analitik ve test yöntemleri kullanırlar. Denetim sonuçları raporlanmakta ve raporlar tavsiye verici nitelik taşımaktadır. Danışmanlık Faaliyetleri: İç denetime yönelik talep artışında yönetime sundukları danışmanlık hizmetinin büyük rolü bulunmaktadır. Danışmanlık hizmeti, kurumun hedeflerini gerçekleştirmeye yönelik faaliyet ve işlem süreçlerinin sistemli ve düzenli bir şekilde değerlendirilmesi ve geliştirilmesine yönelik önerilerde bulunulmasıdır (Soydan, 2008: 38). İç denetim özellikle risk yönetimi, kontrol ve yönetim süreçlerini geliştirmede idarelere yardımcı olmak üzere bağımsız ve tarafsız bir danışmanlık hizmeti sunmaktadır. İç denetçiler hem bulundukları pozisyon gereği hem de sahip oldukları yetenek, tecrübe ve araçlardan dolayı yönetime danışmanlık hizmeti sunma konusunda avantajlı konumdadır. Kurumsal Risk Yönetimi: İç denetçilerin kuruma değer katma amacı ile hizmet verdikleri yeni; fakat önemi giderek artan bir alandır İç Denetimin Amacı İç denetimin temel amacı kurumsal yönetişimi desteklemek ve güçlendirmek, risk yönetimi ve kontrol sistemlerinin etkililik ve yeterliliğini değerlendirerek geliştirmektir. Yeterlilik ve etkililik kavramlarının iç denetçi için ne ifade ettiği oldukça önemlidir. İç kontrol sisteminin yeterliliği; iç kontrol sisteminin risklere karşı geliştirdiği kontrol önlem mekanizmalarının niceliksel ve niteliksel varlığıdır. Burada iç denetçi verimliliği ölçmek amacıyla yönetim tarafından faaliyet standartlarının belirlenip belirlenmediğini, belirlenen standartların anlaşılıp anlaşılmadığını, standartlardan sapmaların tespit edilip, 162

243 düzeltici önlemleri almakla sorumlu kişilere iletilip iletilmediğini ve düzeltici önlemelerin alınıp alınmadığını belirlemekle sorumludur. İç kontrol sisteminin yeterliliğinin incelenmesinin amacı kurumun amaç ve hedeflerini gerçekleştirmede makul bir güvence sağlayıp sağlamadığını araştırmaktır. İç kontrol sisteminin etkililiğinden ise kurum faaliyetlerinin; yönetim politika, plan, program ve mevzuata uygunluğunun değerlendirilmesi kast edilmektedir. Performans kalitesinin incelenmesinin amacı kurum amaç ve hedeflerine ulaşma düzeyini belirlemektir. İç denetim sistemi, kamu idaresinin varlıklarının güvence altına alınması, iç kontrol sisteminin etkililiği ve risklerin asgarîye indirilmesi için kurum faaliyetlerini olumsuz etkileyebilecek risklerin tanımlanması, gerekli önlemlerin alınması, sürekli gözden geçirilmesi ve mümkünse sayısallaştırılması konularında yönetime önerilerde bulunmakta ve makul güvence sunmaktadır. Makul ya da nesnel güvence sağlama, kurum içerisinde etkin bir iç denetim sisteminin var olduğuna; kurum risk yönetimi ve iç kontrol sisteminin ve işlem süreçlerinin etkin bir şekilde işlediğine; üretilen bilgilerin doğruluğuna ve tamlığına; varlıklarının korunduğuna; faaliyetlerin etkili, ekonomik, verimli ve mevzuata uygun bir şekilde gerçekleştirildiğine dair kurum içine ve dışına yeterli güvencenin verilmesidir İç Denetim Sisteminin Özellikleri ve Etkililiği Geçmişteki işlem ve hata odaklı iç denetim yaklaşımı günümüzde süreç odaklı işlemekte, işin etkinliğinin artırılmasına yönelik stratejik akıl ortaklığına doğru değişim ve gelişim göstermektedir. Kurumsal yönetişim kapsamında iç denetimin rolü değerlendirildiğinde; süreçlerin iyileştirilmesi, insan kaynağının geliştirilmesi, kurumsal performans ve verimlilik yönetimi, kurum içi iletişim, iyi uygulamaların paylaşımı, katma değer yaratılması ve kalitenin geliştirilmesi hususlarında etkin rol oynadığı görülmektedir. İç denetim, kurumsal yönetişim yapısının önemli bir parçasıdır ve bu önem IIA tarafından uygulama standartları de şu şekilde vurgulanmıştır: Bir kurumun etik kültüründe iç denetçinin rolü etik kültürü desteklemek ve bu sayede varlıkların kötüye kullanılmasını önlemede yardımcı olmaktır. 163

244 Kurumdaki iç denetim faaliyeti; kurum içindeki avantajlı konumu, geniş faaliyet alanında farklı türde denetimleri incelemesi, iç denetim ekibinde farklı türde multidisipliner geçmişe sahip bireyler bulunması sayesinde diğer hizmetler arasında avantajlı ve önemli bir konumdadır. İç denetim sisteminin etkililiğini iç denetim faaliyetinin yürütülmesi aşamasında uyulması zorunlu olan iç denetim standartları belirlemektedir. İç denetim faaliyetinin kurum içindeki konumu, faaliyet ve görev alanları, kurumsal düzeyde her türlü bilgi, belge, kayıt, varlık ve alanlara erişim yetkisi, bağımsızlık ve tarafsızlığı, iç denetim sorumlularının yetkinlikleri, yönetimi, gözetimi, raporlama ve kalite güvencesinin standartlarda belirlenen tanımlama ve yaklaşımlara uygun olması iç denetimin kurumdaki etkililiğini belirleyen temel faktörler kapsamına girmektedir. İç denetim faaliyetinin etkili yürütülebilmesi, iç denetim yöneticisinin sorumluluklarını yerine getirmesine engel olmayacak bir yönetim seviyesine bağlı olmasını gerekli kılmaktadır. Ayrıca faaliyetlerin mesleki özen ve dikkat unsuru dikkate alınarak yürütülmesi etkililiğin artırılmasında belirleyici rol oynamaktadır. Mesleki özen ve dikkat; hizmette amaca ulaşmayı sağlayıcı görev kapsamını, görev kapsamı içerisinde yer alan konuların karmaşıklığını, risk yönetimi, kontrol ve kurumsal yönetişim süreçlerinin etkinliği ve yeterliliğini, önemli hata, düzensizlik ya da aykırılık olasılığını ve göreve ilişkin potansiyel faydaların maliyetini dikkate almayı gerektirmektedir. İç denetim sisteminin katma değer sağlayıcı işlevinin ön plana çıkarılabilmesi için iç denetim faaliyetinin risk odaklı planlanması, kurum üst yönetimiyle iletişim, raporlama ve takip sisteminin etkin işler hale getirilmesi gerekmektedir İç Denetim Unsurları İç denetim sistemi; nesnel güvence sağlama, bağımsız ve tarafsız olma, danışmanlık hizmeti verme, kurum faaliyetlerine değer katma ve geliştirme ve standartlara uygunluk unsurlarından oluşmaktadır Nesnel Güvence Sağlama İç denetçinin süreç, sistem veya başka bir konu hakkında bağımsız görüş veya kanıt sunabilmesi için gerekli bulguların tarafsızca değerlendirilmesini sağlayan güvence hizmetinde üç taraf bulunmaktadır. Bunlar: 164

245 i. Süreç Sahibi: Süreç, sistem ya da ele alınan bir diğer konunun doğrudan içinde olan kişi veya grup. ii. iii. İç Denetçi: Değerlendirmeyi yapan kişi ya da grup. Kullanıcı: Değerlendirme sonuçlarını kullanan kişi ya da grup. Tarafların değerlendirmeleri neticesinde iç denetim sisteminin nesnel güvence sağlama boyutu işlevselleşmektedir. İç denetim sistemi kurum içerisinde etkin bir iç kontrol sisteminin var olup olmadığına; idarenin risk yönetim işlem süreçlerinin etkin işleyip işlemediğine; üretilen bilgilerin doğru ve tam olup olmadığına; varlıklarının korunup korunmadığına; faaliyetlerin etkili, ekonomik, verimli ve mevzuata uygun gerçekleştirilip gerçekleştirilmediğine dair kurum içine ve dışına makul bir güvencenin verilmesini sağlamaktadır Bağımsız Olma Denetimde bağımsızlık kavramının kullanılmaya başlanması mali tabloların denetim sürecine dayanmaktadır. Mali tabloların şirket dışındaki kişiler tarafından denetlenmesiyle ortaya çıkan ve zamanla dış denetimin önemli bir parçası haline gelen bağımsızlık kavramının iç denetim açısından önem kazanması klasik iç denetim anlayışından modern iç denetim yaklaşımına geçiş ile birlikte gerçekleşmiştir. Bağımsızlık, iç denetçilerin denetime ilişkin karar ve yargılarının kendilerine özgü olmasını yani başkalarının düşünce ve değer yargılarına bağlı olmamasını ifade etmektedir. Denetimin herhangi bir önyargı ve sübjektiflik içermeden gerçekleştirilmesini gerektirir. Denetçiler açısından bağımsızlık bazen zihinsel bir tutum veya denetçinin karakteri ile ilgili bir husus bazen de doğruluk, dürüstlük ve objektiflik gibi çeşitli anlamlar ifade etmektedir Tarafsız Olma Kişiye bağlı bir tutum olan tarafsızlık incelenen olay veya süreç hakkında kişisel çıkar veya başkalarının görüşleri nedeniyle etki altında kalınmamasıdır. IIA tarafsızlığı iç denetçilerin sahip olması gereken bir davranış niteliği olarak belirlemiştir. IIA standartlar sözlüğünde iç denetçilerin tarafsızlığı şu şekilde tanımlanmaktadır: 165

246 Tarafsızlık, denetimin kalitesini ve güvenilirliğini artırmak için iç denetçinin yargılarından arınmış olarak görev ve sorumluluklarını yerine getirmesidir. IIA nın 1120 no lu Nitelik Standardına göre iç denetçiler, tarafsız ve önyargısız olmalı ve çıkar çatışmalarından kaçınmalıdır yılında IIA nın araştırma kuruluşu tarafından Bağımsızlık ve Tarafsızlık: İç Denetçiler için bir Çerçeve başlıklı bir çalışma yayımlanmıştır. Çalışmada iç denetçilerin tarafsızlığına yönelik tehdit oluşturabilecek yedi alan belirlenmiştir. Bunlar: öz değerlendirme, sosyal baskı, ekonomik çıkar, kişisel ilişki-samimiyet ve kültürel, ırksal, cinsiyet ve zihinsel temelli önyargılardır. Önceki ampirik çalışmalar incelendiğinde yönetim baskısının, mesleki atamalarının, yönetime danışmanlıklarının, dış kaynak kullanımının, yönetim ve denetim komitesine yakınlıklarının iç denetçilerin tarafsızlıkları üzerinde büyük öneme sahip olduğu görülmüştür Danışmanlık Hizmeti Verme Danışmanlık hizmeti, kurum hedeflerini gerçekleştirmeye yönelik faaliyet ve işlemlerin düzenli ve sistematik bir şekilde değerlendirilmesi ve geliştirilmesine yönelik tavsiyelerde bulunulması sürecidir. Danışmanlık hizmetinin genel olarak iki tarafı bulunmaktadır. Bunlar aşağıdaki şekilde sıralanabilir: i.iç Denetçi: Tavsiye sunan kişi ya da grup. ii.birim ya da Müşteri: Tavsiye talep eden kişi ya da grup. Genellikle birim ya da müşterinin özel talebi üzerine gerçekleştirilen danışmanlık hizmetinin nitelik ve kapsamı, birim ya da müşteri ile iç denetçi arasındaki sözleşme kapsamında belirlenmektedir Kurum Faaliyetlerine Değer Katma ve Geliştirme İç denetçilerin kuruma değer katmasını sağlayan çeşitli yollar vardır. Bunlardan ilki, kaynak ve zaman kullanımını azaltıcı ve denetim sonuçlarının değerini artıracak yeni bir denetim yaklaşımı ve yöntemi geliştirmektir. İkincisi, kurumun hedeflerine ulaşmasını engelleyici önemli risklere ya da sorunlara yoğunlaşmak, böylece hedeflere ulaşma 166

247 olasılığını artırmak; üçüncüsü de yönetimle yakın çalışarak iç denetimin kendilerine sağlayacağı en değerli bilginin ne olacağını ve bilgiyi nasıl kullanacaklarını belirlemektir. Değer yaratma işlevi iç denetimin hedef kitlesinin farklı beklentileri sonucu ortaya çıkmaktadır. Hem özel sektör hem de kamuda uygulanmakta olan iç denetim sisteminin üst yönetim, denetim komitesi, müşteri ve tedarikçi gibi çeşitli hedef kitlesi bulunmaktadır. Örneğin üst yönetim, iç denetim faaliyetinin kurumsal etkinliği artırıp artırmadığıyla, dış denetçiler ise iç denetimin kurumun mali yapısıyla ilgili görev yüklerini azaltan bir iç kontrol aracı görevi üstlenip üstlenmediği ile ilgilenmektedir. Kurum hizmetlerinden faydalananlar ve diğer dış paydaşlar ise iç denetimin kurum bilgilerinin doğruluğu ve güvenilirliği ile ilgili güvence sağlamasını, meslektaşları da iç denetimin kuruma yeni ve iyi uygulamalar katmasını hedeflemektedir. İç denetim dinamik bir fonksiyondur ve kurumlar için giderek daha değerli hizmetler sunmaktadır. İç denetçiler aşağıdakileri uygulamak suretiyle kuruma değer katmaktadır: i. Değişimi teşvik ve takip edici olmak. ii. iii. iv. Denetimi daha işbirlikçi hale getirmek. Öz değerlendirme sisteminin kullanımım teşvik etmek. Kurum çalışanlarını denetime dâhil etmek. v. Risklere odaklanmak. vi. vii. viii. ix. Kâr (özelde) ve faydayı (kamuda) artırmayı amaçlamak. Sorunlu alanlara öncelik vermek. Teknolojiyi tüm birimlerle paylaşmak. Müşteri ile işbirliği halinde olmak. x. Kurum çapında denetim tavsiyeleri vermek. xi. xii. xiii. xiv. Önleyici denetimler yürütmek. Dış denetim maliyetlerini azaltmak. Denetçilere özel görevlendirmeler yapmak. Denetim raporlarını hızlıca yayımlamak. 167

248 xv. Temel prensiplere geri dönmek. İç denetim olayları geriden takip eden bir sistem değil, aksine öne geçip öngörüleriyle risklerin yanı sıra fırsatları da ortaya koyan bir sistemdir. Bu süreç iç denetim ve iç denetçilerin kurumlararası köprü vazifesi görmesini ve kurum içinde yol gösterici olmasını sağlayarak denetim sistemini kuruma değer katıcı bir işleve dönüştürmektedir. Ayrıca geçmiş uygulamaların denetimi yönüyle reaktif bir süreç olan denetim, danışmanlık ve değer katma gibi süreç odaklı yeni işlevlerle birlikte proaktif bir yapıya dönüşmektedir Standartlara Uygunluk Standart, iç denetim faaliyet alanının gerçekleştirilmesiyle ve iç denetim performansının değerlendirilmesiyle ilgili gerekleri tanımlayan ve IIA İç Denetim Standartları Kurulu tarafından yayımlanan mesleki bir beyandır. Standartların amacı, iç denetim uygulamalarını olması gerektiği gibi temsil eden temel ilkeleri belirlemek; kuruma değer katan iç denetim faaliyetlerini teşvik etmek ve uygulamaya geçirmeye yönelik bir çerçeve oluşturmak; iç denetim performansının değerlendirilmesi için uygun bir yapı kurmak ve gelişmiş kurumsal süreç ve faaliyetleri harekete geçirmektir. Uluslararası İç Denetim Standartları Mesleki Uygulama Çerçevesinde (International Internal Audit Professional Practices Framework) rehberlik iki kategoride sınıflandırılmıştır: zorunlu ve tavsiye rehberliği. Zorunlu rehberlik iç denetimin tanımı, etik kodları ve standartları; tavsiye rehberliği ise görüş belgeleri, uygulamada danışmanlık ve uygulamada rehberlik hususlarını içermektedir İç Denetim Türleri İç denetim türleri: uygunluk denetimi, performans denetimi, mali denetim, bilgi teknolojisi denetimi ve sistem denetimidir. İç denetim, bu denetim uygulamalarından bir veya birkaçını kapsayacak şekilde risk odaklı yapılmaktadır. Ayrıca, bir faaliyet veya konu tüm türlerde denetim kapsamına alınabilmektedir. 168

249 Uygunluk Denetimi Uygunluk denetimi Anayasa, ilgili kanun, kanun hükmünde kararname, tüzük, yönetmelik ve tebliğler; kalkınma planı, yıllık programlar, stratejik plan ve performans programı; yönetim tarafından belirlenen yönerge veya kabul edilen iş ve işlem prosedürleri, alınan kararlar; idarenin giriştiği sözleşme ve taahhütlere ilişkin hükümler dikkate alınarak gerçekleştirilmektedir. Kamu İç Denetim Rehberine göre idarenin tüm bileşenlerini kapsayan uygunluk denetimi iki unsurdan oluşmaktadır (21): i.idarenin harcamalarının ve mali işlemlere ilişkin karar ve tasarruflarının amaç ve politikalara, kalkınma planına, yıllık programa, stratejik plan ve performans programına uygunluğunun denetlenmesi ve değerlendirilmesi. ii.idarenin harcamalarının ilgili kanun, tüzük, yönetmelik ve diğer mevzuata uygunluğunun harcama sonrasında denetlenmesi. İç denetçi, uygunsuzluk saptadığında bunun sebep ve sonuçlarını açıklayıcı bir rapor hazırlamalıdır. Kamu zararına yol açan uygunsuzluk miktarı iç denetçi tarafından hesaplanır, hesaplanamadığı zaman raporda açıklayıcı bilgilere yer verilir. Kurum faaliyet ve işlemlerinin ilgili kanun, tüzük, yönetmelik ve diğer düzenlemelere uygunluğunun incelenmesini sağlayan uygunluk denetimi, birim veya sürece ilişkin iç kontrol sisteminin etkinlik ve yeterliliğinin tespit edilmesine de imkân sağlar Performans Denetimi Uluslararası Sayıştaylar Birliği (INTOSAI) Denetim Standartlarında performans denetimi, denetlenen kurumların görevlerini yerine getirirken kaynaklarını tutumlu, verimli ve etkin kullanıp kullanmadıklarının denetimi olarak tanımlanmış ve kapsamı aşağıdaki şekilde ifade edilmiştir : Kurumların faaliyetlerindeki tutumluluğun iyi yönetim ilke ve uygulamaları ile kamu politikalarına göre denetlenmesi; insani, mali ve diğer kaynakların kullanımındaki verimliliğin bilişim sistemleri, performans ölçütleri, gözetim ve iç kontrol sistemlerinin de incelenmesi suretiyle denetlenmesi; denetlenen kuruluşların hedeflerine ulaşma yönündeki performanslarının etkinliğinin kurum faaliyetlerinin yarattığı gerçek etkinin hedeflenen etkiyle kıyaslanarak denetlenmesidir 169

250 Performans denetiminin amacı tahsis edilen beşeri, mali ve teknolojik nitelikteki kamu kaynaklarının etkili, ekonomik ve verimli bir şekilde, maddi değerlerine uygun kullanılıp kullanılmadığının objektif olarak incelenmesidir. Performans denetimi kurumsal amaçlara maliyet-etkin yöntemlerle ulaşılması, hizmetlerin daha iyi kalitede sunulması, yönetim ve organizasyon süreçlerinin geliştirilmesi ve kaynak kullanımında tasarruf sağlanması amacıyla yapılması gereken iyileştirmeler hususunda yol göstermektedir Mali Denetim Kamu idarelerinin bütçe uygulamasına ilişkin gelir, gider ve borç ilişkileri ile her türlü mal ve kıymete dair mali karar ve işlemlerinin denetlenmesidir (Yiğit, 2008: 113). Mali denetimde öncelikle muhasebe standartlarına ve genel kabul görmüş muhasebe ilkelerine uygun sistematik bir kayıt sisteminin, ehliyet sahibi muhasebecinin ve kontrol kadrosunun varlığının ve sistemin etkin ve uyumlu bir şekilde işleyip işlemediğinin tespiti yapılmaktadır. Daha sonra tüm mali işlemlerin kayıt altına alınıp alınmadığı, muhasebe kaydının belgeye dayandırılıp dayandırılmadığı ve bu işlemlerin mevzuata uygun olup olmadığı incelenmektedir. Son olarak kurumun düzenlediği mali tablo, rapor ve istatistiklerin mevcut muhasebe sisteminin içerdiği belge, bilgi ve diğer verilere dayanılarak ve bunlarla uyumlu hazırlanıp hazırlanmadığı ve bunların güvenilirlik, saydamlık ve samimilik derecesi belirlenmektedir. Dolayısıyla mali denetim; düzenlilik ve uygunluk denetimleri ile bağlantılı olarak kamu kaynaklarının elde edilmesi, korunması ve kullanılmasının mevzuata, belirlenmiş öncelikler ile diğer ilke ve esaslara uygunluğunun denetlenmesidir Bilgi Teknolojisi Denetimi Günümüz iletişim ve bilişim alanında yaşanan hızlı gelişim gerek kamu gerekse özel sektör tarafından ilgiyle takip edilmektedir. Faaliyet ve işlemlerin büyük bir kısmı bilgisayar aracılığıyla yerine getirilmektedir. Bu gelişim işlemlerin daha hızlı ve etkin yapılmasına olanak sunmaktadır. Ancak faydalarının yanı sıra, sanal ortama taşınan bilgilerin izlenmesi, kontrol altına alınması ve denetlenmesinin ortaya çıkardığı bazı olumsuz durumlarla da karşılaşılmaktadır. Dolayısıyla, işlemlerini sanal ortamda 170

251 gerçekleştirmeye başlayan kurumların denetiminde elde edilen verilerin daha anlamlı olabilmesi için bu verileri oluşturan bilgisayar sistemlerinin ve bu sistemler üzerindeki işlem ve uygulamaların düzgün ve güvenilir bir şekilde çalışması gerekmektedir. Bu süreç beraberinde bu alandaki denetimi gerekli kılmaktadır. Denetimde teknolojik desteğin yoğun kullanıldığı en son metot Sürekli Denetim Sistemi (SDS) dir. Sistem, teknolojik imkânlardan yararlanarak bilgi teknolojisi sisteminin ve mali verilerin oluşumunu sağlayan işlem ve süreçlerin otomatik metotlar kullanılarak belli aralıklarla düzenli ve sürekli olarak izlenmesi, kontrol ve risk değerlendirmelerinin yapılması olarak ifade edilmektedir. AT&T, Siemens ve New York Federal Reserve gibi uygulama örnekleri bulunan sistemin hem özel sektör kuruluşlarında hem de kamu kurumlarında yaygınlaştırılmasına yönelik araştırmalar devam etmektedir. Sistem örneklem yerine gerçek verilerle çalışmakta ve kurumların gerçek dünyasına ulaşılmasını sağlamaktadır. Süreçlerde tespit edilen hatalar süreç değişmedikçe üretilmeye devam etmektedir. Böylece süreçlerdeki risk ve kontrol zafiyetinin gelecekte yol açabileceği sorunlar ve bunların matematiksel büyüklükleri önceden görülebilmektedir. Sistem; gelir, mali raporlama ve şüpheli alacak başta olmak üzere risk tabanlı süreç denetimleri, log analizleri, fraud denetimleri, mantıksal erişim, uygulama ve veri tabanı yönetim kontrolleri başta olmak üzere bilişim sistemleri denetimi ve veri kalitesi iyileştirme projeleri alanında kullanılmaktadır (Sevimli, 2009: 30-31). Sistem; riskli alanların belirlenmesi, denetimin geniş kapsamlı yapılabilmesi, off-line çalışan sistemlerin birbirleri ile iletişim kuran sistemler haline getirilmesi, süreçteki kontrol mekanizmalarında meydana gelen iyileştirme ve bozulmaların izlenebilmesi, risklerin realize olması durumunda ortaya çıkan matematiksel büyüklüğün belirlenmesi, finansal verilerin güvenilirliğinin artırılması, yolsuzluk ve finansal hataların önüne geçilmesi, yasal uyumun sağlanmasına yardımcı olması, denetçilerin beceri ve tecrübelerini artırması, erken uyarı sistemi görevi görmesi, sadece yılsonu değil ara dönemlerde de denetim uygulamasına geçilmesi, örneklem riskinin kaldırılarak gerçek veriler ile çalışılması, denetim ve kontrollerin otomatikleştirilmesi ve hızlı, doğru ve anlamlı sonuçlar üreterek zaman, maliyet ve personel tasarrufunun sağlanması hususlarında fayda sağlamaktadır. Türkiye de bilgi teknolojisi denetimi iç denetçilerce, Kurul tarafından Kamu İç 171

252 Denetim Rehberine ek olarak yayımlanacak Bilgi Teknolojileri Rehberine göre gerçekleştirilecektir. Rehber yayımlanana kadar IIA, Asya Sayıştaylar Birliği (ASOSAI) ve Bilgi Sistemlerinin Denetim ve Kontrolü Birliği (ISACA) gibi uluslararası mesleki kuruluşların yayınladığı rehberler kullanılarak denetim gerçekleştirilecektir Sistem Denetimi Sistem denetimi, denetlenen birimin faaliyet ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi, kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin yeterliliğinin ölçülmesi suretiyle değerlendirilmesidir. Kamu İç Denetim Rehberine göre sistem denetimi; kamu gelir, gider, varlık ve yükümlülüklerinin etkili, ekonomik ve verimli bir şekilde yönetilmesini, kamu idarelerinin kanunlara, temel politika belgelerine ve diğer düzenlemelere uygun olarak faaliyet göstermesini, karar oluşturmak ve izlemek için düzenli, zamanında ve güvenilir rapor ve bilgi üretilmesini, her türlü karar ve işlemde usulsüzlük ve yolsuzluğun önlenmesini, varlıkların kötüye kullanımı ve israfının önlenmesi ile kayıplara karşı korunması amacıyla oluşturulan iç kontrol sistemini bir bütün olarak değerlendiren ve iç kontrol bileşenlerinin var olup olmadığını inceleyen bir denetim türüdür. Sistem denetiminde mali raporların doğruluk ve güvenilirliği, faaliyetlerin mevzuata uygunluğu ve faaliyetler yürütülürken etkinlik, verimlilik ve ekonomiklik unsurlarının dikkate alınıp alınmadığı kontrol edilmektedir İç Denetim Teknikleri Denetim teknikleri, denetimin amacına ve kapsamına göre değişebilmektedir. Başlıca denetim teknikleri; fiziki ve kaydı inceleme, belge inceleme, hesaplama ve karşılaştırma, analitik inceleme, doğrulama ve denetim sürecinde elde edilen çalışma kâğıtlaradır Fiziki ve Kaydı İnceleme Fiziki inceleme; kurumdaki varlıkların, belgelerin ve kayıtlarda gösterilen fiziki kıymetlerin gerçekliğinin araştırılıp bunların finansal tablolarda yer alıp almadığının tespitinin yapılmasıdır. Sayım ve envanter incelemesi olarak da adlandırılan fiziki inceleme yöntemi en çok kullanılan tekniklerden biridir. Genel olarak fiziki inceleme kapsamına kasa, alacak senetleri, stoklar, demirbaşlar, 172 makine ve tesisat gibi maddi

253 niteliği olan varlıklar girmektedir. Kaydı inceleme kurumun tuttuğu kayıtlar üzerinden yapılmaktadır. Bu incelemenin fiziki inceleme ile de doğrulanması gerekmektedir Belge İnceleme Kurum defter kayıtlarındaki verilerin incelenmesi yoluyla bu kayıtlara dayanak oluşturan tüm belgelerin gerek içerik gerekse gerçeklik yönünden incelenmesidir. Bordro, fatura, çek ve senet gibi belgeler tarihleri, aritmetik doğrulukları, imza ve onayların geçerliliği, belge sıra numaraları, iç kontrol birimince onaylanıp onaylanmadıkları ve belge üzerinde gerekli açıklamaların bulunup bulunmadığı gibi hususlar yönünden incelemeye tabi tutulmaktadır Hesaplama ve Karşılaştırma Denetçilerin finansal hesaplamaları tekrar yaparak doğruluğunu test etmesidir. Finansal değerler denildiğinde faiz hesapları, kıdem tazminatları, yeniden değerleme oranları, vergi, resim, harç, amortisman ve kasa hesabı gibi bir çok kalem işin içine girmektedir. Hesaplamalar dışında aralarında uygunluk bulunması gereken tutarlar arasında da karşılaştırma yapılması gerekmektedir. Karşılaştırma tekniği ile bağlantılı olan ileriye ve geriye doğru denetim modelleri de önemli denetim tekniklerdir. İleriye doğru denetimde, incelenen belgelerin yevmiye defterinden finansal tablolara doğru sıralamasının doğru yapılıp yapılmadığı araştırılmaktadır. Geriye doğru denetimde ise finansal tablolardan muhasebe kaydına kadar olan sürecin sırası değerlendirilmektedir Doğrulama Bilgi ve veri doğruluğunun kurum dışındaki kişilerden yazılı cevap alınması yoluyla test edilmesi yöntemidir. Kurum dışındakilere uygulanması sebebi ile diğer tekniklerden ayrılmaktadır. Kurumun faaliyette bulunduğu bankadan bilgi istenmesi örneği bu kapsamda değerlendirilebilir 173

254 Bu Bölümde Ne Öğrendik Özeti İç Denetimin Tanımı İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri İç Denetimin Kapsam ve Alanı İç Denetimin Amacı İç Denetim Sisteminin Özellikleri ve Etkililiği İç Denetim Unsurları Nesnel Güvence Sağlama Bağımsız Olma Tarafsız Olma Danışmanlık Hizmeti Verme Kurum Faaliyetlerine Değer Katma ve Geliştirme Standartlara Uygunluk İç Denetim Türleri İç Denetim Teknikleri 174

255 Bölüm Soruları S.1. S.2. S.3. S.4. S.5. S.6. S.7. S.8. S.9. İç Denetimi Tanımlayınız. İç Denetim Faaliyetine İhtiyaç Duyulma Nedenlerini açıklayınız. İç Denetimin Kapsam ve Alanını açıklayınız. İç Denetimin Amacını açıklayınız. İç Denetim Sisteminin Özellikleri ve Etkililiğini açıklayınız. İç Denetim Unsurlarını açıklayınız. Nesnel Güvence Sağlamayı açıklayınız. Bağımsız Olmayı açıklayınız. Tarafsız Olmayı açıklayınız. S.10. Danışmanlık Hizmeti Vermeyi açıklayınız. S.11. Kurum Faaliyetlerine Değer Katma ve Geliştirmeyi açıklayınız. S.12. Standartlara Uygunluğu açıklayınız. S.13. İç Denetim Türlerini açıklayınız. S.14. İç Denetim Tekniklerini açıklayınız. 175

256 13. KURUMSAL RİSK YÖNETİMİ ODAKLI İÇ DENETİM SİSTEMİ 176

257 Bu Bölümde Neler Öğreneceğiz? İç Denetim Sistemindeki Değişim ve Özellikleri Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları İç Denetçi ve Güvence Hizmeti İç Denetçilerin Danışmanlık Rolü İç Denetçilerin Taşıması Gereken Özellikler İç Denetçilerin Durumu Sayılı Kanun Kapsamında Risk Yönetim Sistemi Kamu İç Denetim Standartlarında Risk Yönetim Sistemi 177

258 Bölüm Hakkında İlgi Oluşturan Sorular S.1. İç Denetim Sistemindeki Değişim ve Özellikleri açıklayınız. S.2. Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırınız. S.3. İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri açıklayınız. S.4. İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumluluklarını açıklayınız. S.5. İç Denetçi ve Güvence Hizmetini açıklayınız. S.6. İç Denetçilerin Danışmanlık Rolünü açıklayınız. S.7. İç Denetçilerin Taşıması Gereken Özellikleri açıklayınız. S.8. İç Denetçilerin Durumunu açıklayınız. S.9. Sayılı Kanun Kapsamında Risk Yönetim Sistemini açıklayınız. S.10. Kamu İç Denetim Standartlarında Risk Yönetim Sistemini açıklayınız. 178

259 Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri Konu İç Denetim Sistemindeki Değişim ve Özellikleri Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri Kazanım İç Denetim Sistemindeki Değişim ve Özelliklerini açıklar Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırmasını açıklar İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri açıklar Kazanımın nasıl elde edileceği veya geliştirileceği İç Denetim Sistemindeki Değişim ve Özellikleri inceleyerek Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırmasını inceleyerek İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri inceleyerek 179

260 Anahtar Kavramlar İç Denetim Sistemindeki Değişim ve Özellikleri Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları İç Denetçi ve Güvence Hizmeti İç Denetçilerin Danışmanlık Rolü İç Denetçilerin Taşıması Gereken Özellikler İç Denetçilerin Durumu Sayılı Kanun Kapsamında Risk Yönetim Sistemi Kamu İç Denetim Standartlarında Risk Yönetim Sistemi 180

261 13.1.İç Denetim Sistemindeki Değişim ve Özellikleri Küreselleşme, iç denetçilerin değişen rolleri, risk yönetimindeki değişiklikler, kurumsal sorunlar ve teknolojik ilerleme gibi nedenler de risk odaklı iç denetim anlayışının ortaya çıkmasında etkili olmuştur. İç denetim fonksiyonunun değişim nedenlerinden bir diğeri risk yönetim sürecinin sadece risk yöneticisine bırakılmayacak kadar önem taşıması gerektiği gerçeğine dayandırılmaktadır. Kurumsal yönetişim, risk yönetimi ve aynı zamanda kuruma değer katma anlayışının önem kazanması ile birlikte iç denetim mesleki çalışmaları Haziran 1999 dan itibaren kontrol odaklılıktan risk odaklı yaklaşıma kaymıştır (Manab, Hussin ve Kassim, 2007: 4). Bu kapsamda İç Denetim Enstitüsü Yönetim Kurulu tarafından şu tanım kabul edilmiştir: İç denetim bir kurumun faaliyetlerini geliştirmek ve değer katmak amacı güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur Tanımda vurgulandığı üzere risk yönetim süreci iç denetim faaliyeti kapsamındadır. Risk yönetim sürecinde sistemin etkinliğini değerlendirme ve geliştirme amacına yönelik sistemli ve disiplinli bir yaklaşım oluşturularak kurum hedeflerine ulaşılması amaçlanmaktadır. Böylece daha çok hile ve eksiklik bulmaya odaklanan iç denetim anlayışı, süreç ve verimlilik odaklı bir danışmanlık hizmetine dönüşerek risk yönetim sistemi içerisinde önemli bir yer edinmiştir. IIA nın yönettiği Risk Yönetimi: İç Denetçilerin Değişen Paradigması adlı çalışmada da iç denetim sürecinin pasif ve reaktif kontrol odaklı denetim yaklaşımından aktif ve risk odaklı denetim yaklaşımına kaydığından bahsedilmektedir. İç denetim anlayışındaki değişim Şekil 13.1 de gösterilmektedir. İç denetim ve risk yönetim faaliyetlerinin rolü, özellikle kurumsal yönetişimi geliştirmek amacıyla, 1992 yılında COSO tarafından iç kontrol sistemi aracılığıyla değerlendirilmiştir. İlk olarak 1995 yılında ABD de uygulanmaya başlayan sistem, denetim kaynaklarının sınırsız olmadığı, denetlenecek birim faaliyetlerinin hem farklı 181

262 risklerle karşı karşıya olduğu hem de göreceli olarak farklı önem derecelerine sahip olduğu anlayışına dayanmaktadır. Şekil İç Denetim Anlayışındaki Değişim Şekil 13.1 e göre yirminci yüzyılın iç denetim modeli kontrol-güvence temelli dönemsel ve rutin denetim planlarına dayalı; bugünün iç denetim modeli risk odaklı denetim planlarına dayalı kontrol- güvence sistemi odaklı ve yarının risk merkezli iç denetim modeli ise kontrol- güvenceye ek olarak risk yönetim etkinliğinin güvencesi odaklıdır. Risk odaklı iç denetim kapsamında; iç kontrol sisteminin yeterliliğinin ve etkinliğinin incelenmesi ve değerlendirilmesi, risk yönetim teknikleri ve bunların uygulanması ve etkinliğinin incelenmesi, elektronik bilgi sistemleri dâhil olmak üzere yönetim ve mali bilgi sistemlerinin gözden geçirilmesi, muhasebe kayıtları ve mali tabloların doğruluğunun ve güvenilirliğinin analiz edilmesi, kurumun risk tahmini ile bağlantılı olarak kendi sermayesini ve yapısını değerlendirme sisteminin incelenmesi ve yasal ve düzenleyici otoritelerin koşullarına, etik kurallara, politika ve prosedürlerin uygulanmasına uyumun denetlenmesi yer almaktadır. Risk odaklı iç denetim yaklaşımı, risk yönetim süreçlerinin çıktılarını kullanarak denetimde önem derecesi yüksek riskli alanlara yönelinmesini sağlamaktadır. Böylece denetimde etkinliğin artırılması, maliyet ve zaman tasarrufu sağlanması amaçlanmaktadır. Ayrıca risk odaklı iç denetim yaklaşımı, yönetim ve denetim arasındaki iletişim bağlantılarını artırmış ve denetim süreci boyunca daha az sorunla karşılaşılmasını sağlamıştır Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması 20. yüzyılın ikinci yarısından itibaren iç kontrol odaklı yapılmaya başlayan geleneksel iç denetim sisteminde rutin denetimlere 182 önem ve öncelik verilmekte ve

263 önceden belirlenen denetim programları kullanılmaktaydı. Raporlarda öneri geliştirmekten ziyade mevcut durumdaki hata ve sorunlar ortaya konulmaktaydı. Risk yönetimi ve iç kontrol, kurumsal yönetimin önemli birer parçalarıdır. Risk yönetimi ve iç kontrole odaklanması ile iç denetim, kurumsal risk yönetim sistemi içerisinde önemli bir yer edinmiş ve kurumun, iç denetim sisteminin farkına varmasını sağlamıştır İç denetim algısındaki değişimle birlikte yeni iç denetim tanımı yapılmış ve tanımda iç denetimin risk odaklı yapılması gerektiğine vurgu yapılmıştır. Risk odaklı iç denetimle birlikte denetim programları revize edilmiştir. Risk odaklı iç denetim uygulamasında denetim alanları risk öncelik sıralaması dikkate alınarak belirlenmekte ve raporlarda başarılı uygulamalara ve değer katan hizmetlere yer verilmektedir. Geleneksel ve risk odaklı iç denetim karşılaştırması Tablo 13.1 de gösterilmektedir. Tablo 13.1 İç Denetim Paradigmasındaki Değişim Tablo 13.1 deki veriler yorumlandığında geleneksel iç denetim sisteminin mevzuata aykırı işlemleri, hata, suistimal ve kayıpları takip ettiğini ve olumsuz sonuçları ortadan kaldırmaya yöneldiğini; risk odaklı iç denetim sisteminin ise hatalı sonuçlara değil, hataları üreten sistemin zaaflarını belirlemeye ve yok etmeye odaklanarak sistemin hatalı çıktı üretmesini engellemeye çalıştığı söylenebilir. Geleneksel iç denetim sistemi 183

264 tedavi edici, risk odaklı iç denetim sistemi ise koruyucu hekimlik uygulaması olarak nitelendirilebilir. İç denetim ve risk yönetim sorumlulukları birbirini tamamlamakta ve aslında her ikisi de farklı amaçlara hizmet etmektedir. Risk yönetimi, geniş ve kapsamlı bilimsel bir disiplinken; iç denetim episodik ve derinlemesine bir yaklaşımdır. Risk yönetimi, küresel ve gerçek zamanlıdır, uzun vadeli riskleri öngörerek onları yönetebilmek için acil durum planları ve stratejiler geliştirir. Diğer taraftan iç denetim, yıllık döngüsünde çalışır ve iç denetim paradigmasındaki değişimle birlikte geçmiş odaklılıktan şimdi ve gelecek odaklı değerlendirmeye önem verilmeye başlanmıştır. Denetçiler politika, prosedür ve uygunluk açısından derinlemesine inceleme yapar. Denetimin rolü aslında izleme iken; risk yönetimi ise risklerin yönetilmesinin yanı sıra kurum değerini artırmakla sorumludur. İç denetim ve denetim komitesi geçmişe bakarak yönetime rehberlik sunmaktayken, risk yönetimi geleceğe odaklanmakta ve karar verme süreçlerinde etkili olmaktadır. İç denetim anlayışındaki değişim iç denetçilerin rollerinde de değişiklikler getirmiştir Tablo İç Denetçi Rolündeki Değişim ve Gelişim Geleneksel yaklaşımda denetim ve kontrol odaklı hizmet veren iç denetçiler gelişimsel ya da risk odaklı yaklaşımla birlikte süreçlere ve risklere odaklanır hale gelmiştir. İç denetçilerin kurum içerisinde değişiklikleri destekleyen ve değişiklik süreçlerinin kolaylaştırılması için danışmanlık yapan ve hem kurum hem de paydaşların 184

265 memnuniyetini artırıcı hizmetler vermesine önem ve öncelik verilmeye başlanmıştır. Uygunluk yerine süreçlerin gelişimini hedefleyen denetim yaklaşımıyla performans iyileştirmeye dayalı çalışmalar yapılması hedeflenmekte ve iç denetçilerin diğer alanlarda da uzmanlaşmasına önem verilmektedir İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri İç denetim kapsam ve fonksiyonları günümüz çevresel değişikliklerine yanıt verebilmek amacıyla zaman içinde artmış ve artmaya devam etmektedir. Finansal durum değerlendirmeleri ve diğer muhasebe fonksiyonlarından başlanmış ve uygunluk denetimi, iç kontrol ve süreç değerlendirmeleri ile süren sorumluluklarına şimdilerde risk yönetimiyle ilgili rolleri eklenmiştir. IIA tarafından hazırlanan Kurumsal Risk Yönetiminde İç Denetimin Rolü adlı çalışmada iç denetçilerin kurumsal risk yönetim sistemi içerisindeki rolleri belirlenmiştir. İç denetçilerin kurumsal risk yönetimi kapsamında rollerinin belirginleştirilmesi özellikle bağımsızlık ve tarafsızlıklarının zarar görebileceği endişesinden kaynaklanmaktadır. İç denetçilerin rolleri Şekil 13.1 de gösterilmektedir. Şekil 16, kurumsal risk yönetim sistemi kapsamında hangi etkili profesyonel iç denetim faaliyetlerinin yapılabileceğini ve yapılamayacağını göstermektedir. İç Denetimin Kurumsal Risk Yönetimindeki Temel Rolleri Güvence vermeye yönelik hususlara ilişkin iç denetçilerin temel rolleri şunlardır (IIA, 2004: 4): i. Risk yönetim süreçleri ile ilgili güvence vermek. ii. Risklerin doğru değerlendirildiğine dair güvence vermek. iii. Risk yönetim süreçlerini değerlendirmek. iv. Önemli risklerle ilgili raporlamaları değerlendirmek. v. Önemli risklerin yönetimini gözden geçirmek. 185

266 İç Denetim Danışmanlık Rolleri (Şartlı Olarak Üstlenilebilecek Görevler) Bu görev ya da rolü kurumun yönetişim, risk yönetim ve kontrol süreçlerinin gelişimini sağlayıcı danışmanlık hizmetleri temsil etmektedir. Bu hizmetlerin kullanımı diğer kaynakların kullanımının uygunluğuna ve kurum risk olgunluğuna dayanmaktadır. Bu roller şu şekilde sıralanabilir (Reding, vd., 2009: 4-17): i. Risklerin tanımlanma ve değerlendirilmesini kolaylaştırma. ii. Risk tutumlarının belirlenmesine rehberlik etme (yönetici koçluğu yapma). iii. Kurumsal risk yönetim faaliyetlerini koordine etme. iv. Risklerle ilgili raporları birleştirme. v. Kurumsal risk yönetim sisteminin temel yapısının korunmasını ve gelişimini sağlama. vi. Kurumsal risk yönetim sisteminin kurulmasını savunma ve öncülük etme. vii. Kurul onayına sunulacak kurumsal risk yönetim stratejisini geliştirme. İç Denetimin Üstlenmemesi Gereken Roller Yönetim sorumluluğunda olan bu görevlerin iç denetçilerin bağımsızlık ve tarafsızlığını olumsuz etkileme olasılığından dolayı iç denetçiler tarafından yerine getirilmemesi gerekmektedir. Bunlar şu şekilde sıralanabilir: i. Risk iştahını belirleme. ii. Risk yönetim süreçlerini uygulama. iii. Risklerle ilgili yönetim adına güvence verme. iv. Risk tutumlarına ilişkin karar alma. v. Risk tutumlarını yönetim adına uygulama. vi. Risk yönetim sorumluluğu üstlenme. İç denetçilerin rolleri belirlenirken dikkat edilmesi gereken en önemli husus, faaliyetlerin iç denetim fonksiyonunun bağımsızlık ve tarafsızlığını tehdit edip etmediği ve kurum risk yönetim, kontrol ve yönetişim süreçlerini geliştirip geliştirmediğidir. 186

267 Risk yönetiminde asıl sorumluluk yönetimindir. İç denetçiler bu aşamada sadece tavsiye verebilir ve risklerle ilgili alınacak kararlarda yönetimi destekleyebilir. İç denetim birim yöneticisi ve iç denetçiler eğitici, kolaylaştırıcı, koordinatör, değerlendirici veya bütünleştirici rol oynayabilir. Şekil 13.1 İç Denetimin Kurumsal Risk Yönetim Sistemindeki Rolü 13.4.İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları İç denetçiler kurum içerisindeki çalışmalarda her gün risk ve kontrol süreçleriyle ilgilenen, kurum hedef ve iş süreçlerine hâkim olan tek personeldir. İlk iç denetim literatüründe Sawyer iç denetçileri yönetimin gözü-kulağı olarak tasvir etmiştir. İç denetçilerin kurumsal bilgisi, denetim, araştırma ve analiz alanındaki yetenekleri kurumsal risk yönetim sisteminde önemli görevler almalarını ve sorumluluk üstlenmelerini sağlamaktadır. Kurum içerisinde hangi alanın denetlenmesi gerektiğine ilişkin kullandıkları risk modellemesi sayesinde de risk analiz tecrübesine sahiptirler. İç denetim fonksiyonu güçlü yönetimin temel bir unsurudur. Özellikle çoğu kamu sektörü iç denetçisi kurumun halka karşı hesap verme sorumluluğunda önemli rol oynamaktadır. IIA uluslararası mesleki uygulama çerçevesinde iç denetimin kurumsal risk yönetim sistemi içerisindeki rolü başlıklı bölümde iç denetçilerin rolü şu şekilde belirtilmektedir: Kurumsal risk yönetim sisteminin riskleri uygun şekilde yönettiğine ve iç kontrol sisteminin etkin bir şekilde işlediğine dair yönetime 187 makul bir güvence sağlamak.