Kurumsal Risk Yönetimi

Transkript

1

2 Kurumsal Risk Yönetimi TÜSAD Risk ve Deer Yönetimi Çalıma Grubu Aralık 2006

3 çindekiler çindekiler... 1 Yönetici Özeti... 5 Giri Risk ve Risk Yönetimi Risk Risk Yönetimi Kavramı Risk Yönetimi htiyacı Risk Türleri Kurumsal Risk Yönetimi Giri Tanım Kapsam Kurumsal Risk Yönetimi Dönüüm Süreci Giri Hedeflerin Belirlenmesi Mevcut Durum Analizi Hedef Yapının Tespiti Fark Analizi ve Planlama Görev ve Sorumluluklar Temel Dokümanlar Yöntem Eitim yiletirme Faaliyetleri Kurumsal Risk Yönetim Süreci Risklerin Tanımlanması Risklerin Analiz Edilmesi ve Ölçülmesi Mevcut Kontrollerin ncelenmesi Etkiler ve htimal Analiz Tipleri Duyarlılık Analizi Risklerin Önceliklendirilmesi Risklere Uygun Çözümlerin Belirlenmesi ve Uygulanmaları TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 1 / 61

4 4.5 Sürecin Sürekli zlenmesi ve Gözden Geçirilmesi letiim ve Danıma Kurumsal Risk Yönetimi ve Deer Yönetimi Kurumsal Risk Yönetiminin Kısıtlamaları Kurumsal Risk Yönetiminin Kuruma Faydaları Baarı için Kritik Faktörler EK - 1: Konu ile lgili Kaynaklar Referanslar TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 2 / 61

5 ÖNSÖZ TÜSAD, özel sektörü temsil eden sanayici ve iadamları tarafından 1971 yılında, Anayasamızın ve Dernekler Kanunu nun ilgili hükümlerine uygun olarak kurulmu, kamu yararına çalıan bir dernek olup gönüllü bir sivil toplum örgütüdür. TÜSAD, demokrasi ve insan hakları evrensel ilkelerine balı, giriim, inanç ve düünce özgürlüklerine saygılı, yalnızca asli görevlerine odaklanmı etkin bir devletin var olduu Türkiye de, Atatürk ün çada uygarlık hedefine ve ilkelerine sadık toplumsal yapının gelimesine ve demokratik sivil toplum ve laik hukuk devleti anlayıının yerlemesine yardımcı olur. TÜSAD, piyasa ekonomisinin hukuksal ve kurumsal altyapısının yerlemesine ve i dünyasının evrensel i ahlakı ilkelerine uygun bir biçimde faaliyette bulunmasına çalıır. TÜSAD, uluslararası entegrasyon hedefi dorultusunda Türk sanayi ve hizmet kesiminin rekabet gücünün artırılarak, uluslararası ekononomik sistemde belirgin ve kalıcı bir yer edinmesi gerektiine inanır ve bu yönde çalıır. TÜSAD, Türkiye de liberal ekonomi kurallarının yerlemesinin yanı sıra, ülkenin insan ve doal kaynaklarının teknolojik yeniliklerle desteklenerek en etkin biçimde kullanımını; verimlilik ve kalite yükseliini sürekli kılacak ortamın yaratılması yoluyla rekabet gücünün artırılmasını hedef alan politikaları destekler. TÜSAD, misyonu dorultusunda ve faaliyetleri çerçevesinde, ülke gündeminde bulunan konularla ilgili görülerini bilimsel çalımalarla destekleyerek kamuoyuna duyurur ve bu görülerden hareketle kamuoyunda tartıma platformlarının olumasını salar. Bu çalımanın amacı Kurumsal Risk Yönetimi kavramı ile ilgili olarak temel kavramları açıklamak ve konuya kamuoyunun dikkatini çekmektir. Kurumsal Risk Yönetimi artan rekabet ortamında kurumlarımızın ayakta TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 3 / 61

6 kalabilmelerine yardımcı olacak en önemli araçlardan biri olma potansiyeline sahiptir. Ancak bu potansiyeli harekete geçirebilmek için öncelikle i dünyasında konuya olan farkındalıı arttırmak gerekmektedir. Bu nedenle konunun öncelikle kavramsal olarak tartıılması ve anlaılması büyük önem taımaktadır. TUSIAD önümüzdeki dönemde bu konuda öncülük etmeyi kendisine bir misyon olarak belirlemitir. Ülke ve irketler olarak Sürdürülebilir Büyüme hedeflerimize ulaabilmemizin en önemli unsurlarından birinin risklerimizi çok daha etkin bir ekilde yönetmekten geçtii anlaılmalı ve bu yönde iyiletirici adımlar biran önce atılmalıdır. Aksi taktirde gerek ülke içerisinde gerekse uluslararası arenada çokuluslu sermaye ile rekabet edebilmemiz son derece zorlaacaktır. Çalımamız Türkiye i ortamında risk ve risk yönetimi bilincinin gelitirilmesine yönelik yürütmeyi kararlatırdıımız bir seri çalımanın ilk halkasını oluturmaktadır. Bu çalımayı takiben Türkiye deki mevcut risk yönetim uygulamalarının durum tehisi ve geliimine yönelik ayrıntılı çalımalar gerçekletirilecek ve kamuoyu ile paylaılacaktır. Bu rapor; Dr. Tamer Saka nın bakanlıını yürütmekte olduu Risk ve Deer Yönetimi Alt Çalıma Grubu bünyesinde Dr. Tamer Saka ve Alper Uural tarafından hazırlanmıtır. Raporun hazırlanmasına çalıma grubu üyelerinden Tuban Aksoy, Alp Kınay, Ferhan Güzey ve Aylin ule Songül katkıda bulunmulardır. Çalımamızın yazarları çalıma grubumuza dâhil olmamakla birlikte saladıkları destek için ebnem Erzan ve Yasemin Altunba a teekkür etmektedir. Aralık 2006 TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 4 / 61

7 Yönetici Özeti Risk; i hayatının ayrılmaz bir parçasıdır. Kurumların hissedarlarına mümkün olabilen en yüksek deeri salayabilmeleri faaliyet göstermekte oldukları tüm i kollarında karı karıya olunan risklerin doru bir ekilde yönetilmesi ile mümkün olabilecektir. Kurumların karılatıkları her fırsat beraberinde riskleri de içermektedir. Bu nedenle kurumların sürdürülebilir büyüme hedeflerine ulamalarında risklerini etkin bir ekilde belirlemek, ölçmek ve yönetmek son derece önemli bir etkendir. Günümüz i dünyası uluslararası pazarların geliimi ve küreselleme, artan verimlilik ve maliyet düürme beklentileri, sıkı yasal düzenlemeler, hızlı teknolojik geliimler ve artan rekabet koulları nedeni ile hiç olmadıı kadar bir baskı ortamı içerisinde bulunmaktadır. Yapılan hataların kurumlara olan maliyetleri her gün artarken bu hataların telafi edilebilme imkânları da azalmaktadır. Son zamanlarda yaanan birçok olumsuz örnekte olduu gibi artan rekabet koulları, risk-kazanç dengesinin iyi kurulamadıı kurumlar üzerinde yok edici etkiler dourabilmektedir. Gelir yaratmak yönünde yaanan bu zorlu ortam kurumlara gelirlerini arttırmak kadar maliyetlerini ve kayıplarını da azaltarak kazançlarını optimize etmelerinin ne derece önemli olduunu hatırlatmaktadır. Aynı ekilde, sadece finansal riskler gibi alıılmı alanlara odaklanan klasik risk yönetim anlayıının da ihtiyaçlara cevap vermekte yetersiz kaldıı operasyonel ve stratejik risklerin de en az finansal riskler kadar önem taıdıı yaanan gelimelerle net bir ekilde görülmütür. Tüm bu gelimeler bata irket yöneticileri, ortaklar, yatırımcılar ve piyasa düzenleyici kurumlar olmak üzere bütün menfaat ve ilgi gruplarının dikkatlerinin kurumların risk yönetim uygulamalarına çevrilmesine sebep olmutur. letmelerin yüz yüze oldukları riskleri daha iyi görebilecekleri, anlayabilecekleri ve yönetebilecekleri daha effaf ve entegre risk yönetim uygulamalarının oluturulması, yöneticilerin öncelikli gündem maddeleri haline gelmitir. Özellikle bünyesinde farklı sektörlerde faaliyet gösteren irketleri ve/veya farklı i birimlerini barındıran kurumlarda risklerin daha etkin bir ekilde yönetilmesi bir ihtiyaç olmaktan çıkmı, bir gereklilik halini almıtır. Bu çerçevede Kurumsal Risk Yönetimi (KRY) Enterprise Risk Management (ERM) kavramı klasik risk TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 5 / 61

8 yönetimi anlayıına göre daha entegre, sistematik ve proaktif bir yaklaım ortaya koyarak tercih edilen bir alternatif haline gelmitir KRY yaklaımı esasen kurumun tüm faaliyetlerini kapsayan bir yönetim anlayıını ifade etmektedir. Bu nedenle KRY uygulamalarını finans, pazarlama, üretim gibi irket içi dier fonksiyonlardan baımsız ayrı bir fonksiyon olarak deerlendirmemek gerekir. KRY sistemi kurumun fonksiyonları içerisinde bulunması gereken ancak merkezi olarak koordine edilmesi gereken bir platform olarak deerlendirilmelidir. Temel amacı karar alıcıların ve uygulayıcıların bir sistematik içerisinde riskleri dikkate almalarını güvence altına almaktır. Özellikle strateji belirlenmesi ve uygulanmasında etkin bir KRY sisteminin varlıı büyük önem taımaktadır. irketlerin ne kadar büyük olurlarsa olsunlar sermayeye eriimleri sınırlıdır. Hissedarlara en yüksek deeri salama amacında olan irket üst yönetimlerinin bu amaca ulaabilmeleri için ellerinde bulunan kaynakları, farklı i alternatifleri arasında en uygun ekilde daıtmaları gerekmektedir. Bunu yaparken ise temel olarak deerlendirmeleri gereken iki unsur bulunmaktadır: (a) söz konusu iin beklenen getirisi (b) bu getirinin salanmasını engelleyebilecek riskler. Bu iki unsuru bir arada deerlendirmeden yapılacak her türlü analizin salıklı ve istikrarlı bir sonuç üretebilmesi hemen hemen imkânsızdır. Bu nedenle KRY uygulamaları olası kayıpları önlemeye yönelik bir sistem olduu kadar, irketlerin gelirlerini maksimize etmeye yönelik de bir sistem olarak deerlendirilmeli ve strateji gelitirme çabalarının önemli bir parçası olarak görülmelidir. Üst yönetimler KRY uygulamalarından her zaman birebir ve kısa bir süre içerisinde bir fayda beklentisinde olmamalıdır. KRY sonuçta kurumun her hücresine nüfuz etmesi gereken bir yönetim tarzıdır. Bazı alanlarda faydası hemen bazı alanlarda ise çok daha sonra görülebilir. Bir KRY siteminin oluturulması kararı verilirken ise aaıdaki faydalar beklenmelidir; Karar almanın ve planlamanın daha özenli hazırlanması ve daha emin temellere oturtulması, Karlılıın artması, Sürprizlerin minimize edilmesi ve daha hazırlıklı olunması, Stratejilerin daha salıklı belirlenmesi, Yatırımcıların ilgisinin artması, TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 6 / 61

9 Daha etkin risk bilgisine daha çabuk ulaılması, Fırsatların ve tehditlerin daha iyi tespit edilmesi, Belirsizlikten ve deikenlikten deer yaratılması, Rekabet gücünün artması, Reaktif yönetim yerine proaktif yönetim yapılabilmesi, Kaynakların daha etkin tahsisi ve kullanımı, Sermayenin i birimleri arasında daha etkin daılımının salanması, Olayların daha iyi yönetilmesi ve zararlarının azaltılması, dolayısı ile riskin maliyetinin düürülmesi 1, Menfaat sahiplerinin güveninin ve itimadının gelitirilmesi, Kanun ve mevzuatlara uygunluun sürekliliinin salanması, Performansın risk odaklı takip edilmesi, irket kurumsal yönetiminin iyiletirilmesi. KRY nin kuruma saladıı fayda kurumun özelliklerine ve KRY uygulamalarının etkinliine son derece balıdır. Bu nedenle yukarıda listelenen her bir faydanın her kurumda görülmesini beklememek gerekir. Daha öncede ifade ettiimiz gibi eer kurum KRY ile ilgili hedeflerini salıklı bir ekilde belirlemi, sistemini bu hedeflere uygun bir ekilde gelitirmi ve faaliyetlerini bu sistemlere paralel bir ekilde gerçekletirmi ise KRY sisteminden maksimum faydayı salayacaktır. KRY uygulamaları ile baarıyı yakalamak için önemli görülen kritik bazı faktörler ise aaıdaki ekilde özetlenebilir; KRY uygulamalarının kurum içi baımsız bir sahipliinin belirlenmi olması, Görev ve sorumlulukların açık bir ekilde tanımlanması ve ayrıtırılması, Net ve anlaılır bir yaklaımın oluturulması, Teorik yaklaımlardan kaçınılması ve ilerin gereklerine uygun çözümler üretilmesi, 1 Sigorta maliyetleri de riskin maliyeti kavramının kapsamındadır TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 7 / 61

10 Risk yönetim önerilerinin hayata geçirilmesinde i birimleri yöneticilerine yardımcı olunması, KRY nin tehditler kadar fırsatlara da odaklanması, Hedef ve stratejilerin net olarak belirlenmesi, Kurumsal Risk Profilinin hiçbir soruya neden olmaksızın net bir ekilde biliniyor olması, Üst yönetimin konuya gösterecei balılık ve bunu tüm kurum ile paylaması, Uygulamaların sistematik ve sürekli olmasının salanması, Kaynakların yeterli olması, Orta düzey yöneticiler tarafından anlaılması ve desteklenmesi, Kurumların risk yönetimlerindeki performanslarının, genel performanslarının deerlenmesinde önemli bir unsur olması, Yeterli düzeyde eitim ve iletiim faaliyetlerinde bulunulması, Üst yönetimin kurumsal kültürü KRYdorultusunda deitirme istei ve gücü, Risk yönetim tekniklerini ve i süreçlerini anlayarak risk yönetim çabalarına liderlik edebilecek kalitede insan kaynaklarına sahip olunması, Risk yönetim sürecinin etkinliinin izlenmesi amacıyla denetim mekanizmasının kurulması, Baarılı uygulamaların uygun iletiim kanalları ile duyurulması ve kutlanması. Çalıanların risk deerleme sürecinin baarısına katkı yapmalarının özendirilmesi. Risk yönetim sürecinden kaynaklanan tasarrufların baarı hikâyeleri olarak duyurulması, Kısa vadede çok büyük beklentiler oluturulmamasıdır. Özetle; KRY doru anlaıldıı ve uygulandıında kurumlarımız için son derece yararlı sonuçlar dourabilecektir. Özellikle belirli bir büyüklüün üzerinde olan kurumlarda yukarıda açıklamaya çalıtıımız etkenler nedeni ile KRY bir tercih olmaktan çıkmı, gereklilik halini almıtır. O nedenle kurumlarımızın en kısa sürede bu konuda gerekli adımları atması önemli kazanımlar salayacaktır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 8 / 61

11 Giri Bu çalıma temel olarak Risk Yönetimi ve KRY kavramlarını açıklamayı hedeflemektedir. Risk Yönetimi ve KRY önümüzdeki dönemde çok daha sık karılaacaımız bir kavram olacaktır. Bu nedenle konunun öncelikle kavramsal olarak tartıılması ve anlaılması büyük önem taımaktadır. Ülke ve irketler olarak Sürdürülebilir Büyüme hedeflerimize ulaabilmemizin en önemli unsurlarından birinin risklerimizi çok daha etkin bir ekilde yönetmekten geçtii anlaılmalı ve bu yönde iyiletirici adımlar biran önce atılmalıdır. Aksi taktirde gerek ülke içerisinde gerekse uluslararası arenada çok uluslu irketler ile rekabet edebilmemiz son derece zorlaacaktır. Çalımamız Türkiye i ortamında risk ve risk yönetimi bilincinin gelitirilmesine yönelik yürütmeyi kararlatırdıımız bir seri çalımanın ilk halkasını oluturmaktadır. Bu çalımayı takiben Türkiye deki mevcut durumun tehisi ve geliimine yönelik ayrıntılı çalımalar gerçekletirilecek ve kamuoyu ile paylaılacaktır. Risk tüm disiplinlerde var olan bir olgudur. Bu nedenle kavram kargaasını önlemek amacı ile çalımamız bütününde Risk Yönetim Bilimleri açısından dikkate alınacaktır. Tanımlamalar bu kapsamda deerlendirilmelidir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 9 / 61

12 1. Risk ve Risk Yönetimi 1.1 Risk Risk Yönetimi ve KRY kavramlarından bahsetmeden önce, öncelikle Risk kavramını tanımlamak doru olacaktır. Risk nedir? Temel bir kavram olarak risk çeitli ekillerde tanımlanabilir. Deiimin ortaya çıkardıı sonuçlara göre, farklı risk tanımlamaları üretmek mümkündür; Ortalama Sonuç Olarak Risk: Sigorta uzmanları olayların riskini, söz konusu olaylardan beklenen sonuç olarak ifade etmektedirler. Faaliyetler için genellikle söz konusu sonuç; zarar olmaktadır. Ortalama sonuç kavramı potansiyel sonuçların nerelere kadar uzanabilecei konusunda oldukça sınırlı bir bilgi vermektedir. Baka bir ifade ile bu anlamda risk sadece beklenen sonuçların gerçekleip gerçeklememesi ile ilgilidir. Sonuçlar Arasındaki Farklılık Olarak Risk: Risk ile ilgili genel tanımlama, riskin, olaylarla ilgili sonuçların istatistiksel deiimini veya standart sapmasını ifade ettiidir. Bu tanım çerçevesinde risk yönetiminin amacı; beklentiler ile potansiyel sonuçlar arasındaki farklılıı mümkün olduu derecede aza indirgemektir. Bölüm yönetimleri ve risk yönetimi, genellikle planlama ve büyüme için önem taıdıından zarar farklılıkları üzerinde durmaktadır. Birçok istatistiksel kontrol ve Toplam Kalite Yönetimi (TKY) yaklaımlarında da sonuçların analiz edilmesi teknii i süreçleri, ilem kalitesi ve güvenilirlik konularında temel yöntem olarak kullanılmaktadır. Kayıp Olarak Risk: Belki de riskin en dar kapsamlı tanımlamalarından biri olarak kayıp olarak riski kabul edebiliriz. Bu tanımlamaya göre risk; müterilerin neden olduu zararlar, yolsuzluk veya doal sebeplerden veya insan hatalarından meydana gelen problemler gibi büyük olumsuz etkiye sahip olayların meydana gelmesidir. Bu anlamda risk yönetim sistemi ise; söz konusu olumsuzlukların meydana gelme olasılıklarını en az düzeye indirecek süreçlerin gelitirilmesi olarak tanımlanabilir. Sigorta, iletme devamlılık planları, iç kontroller, uygunluk kontrolleri ve iç denetim uygulamaları riskin bu tanımı çerçevesinde genel olarak potansiyel en kötü kayıp senaryoları ile ilgilenmektedir. Potansiyel Kazanç Faktörü Olarak Risk: Genellikle üzerinde çok fazla durulmayan bir nokta, riskin kazanç salamak için bir araç olarak kullanılıyor TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 10 / 61

13 olmasıdır. dünyası risk alma iidir. Risk ve Kazanç birbirlerini tamamlayan kavramlardır. dünyasında baarının anlamı; doru zamanda doru risklerin alınması ve bu risklerin kazanca dönütürülmesidir. letme yönetimleri, riskleri bir kayıp olarak gördüklerinden, enerjilerinin çok büyük bir bölümünü bunlara çare arayarak harcamaktadırlar. Bu da kazanç haline dönüebilecek risklerin zamanında ve doru olarak tespit edilmesini zorlatırmaktadır. lgili Oldukları Alanlara Göre Risk: Riskleri çok genel olarak dahi belli bir sınıflandırmaya tabii tuttuumuzda birbirinden farklı onlarca riski ortaya koymak mümkündür: Piyasa riskleri, kredi riskleri, faaliyet riskleri, yasal riskler, bilgi riski, çevresel riskler, ülke riski, temel i ile ilgili riskler, fiyat riskleri, doal riskler, finansal raporlama riskleri, kontrol riski v.b. Hepsi birbirinden farklı olan bu riskler farklı risk tanımlamalarına sahiptir, çünkü beklenen sonuç her bir faaliyet için farklıdır. Kurum ile lgili Taraflar Açısından: Farklı menfaat grupları, kurum ile ilgili riskleri tanımlama, anlama ve yorumlama açısından farklı bakı açılarına sahip olabilmektedir. Üst yöneticiler, orta sınıf yöneticiler, yönetim kurulları, büyük hissedarlar, küçük yatırımcılar, kredi salayan kurulular, yatırımcı danımanlık ve aracılık kuruluları gibi irket ile ilgili farklı hedefleri, planları ve beklentileri olan gruplar riskleri de farklı ekilde tanımlamaktadırlar. Bu nedenle kurum içerisinde irket geneli risk yönetimi sistemlerinin ve genel risk terminolojisinin oluturulması son derece önem taımaktadır. Sistemler, her risk kategorisi için tüm menfaat grupları için aynı ekilde anlaılacak açık ve kesin tanımlamalar üretmelidir. Özetle mevcut hiçbir risk tanımı mükemmel olmayıp, her biri riskin belli bir bölümünü yansıtmaktadır. Kabul görmü kurallar ve kavramlar mevcut olmasına ramen, bugün itibari ile tüm dünya üzerinde kabul görmü risk ve risk yönetimi tanımlaması bulunmamaktadır. Ancak baarılı bir risk yönetimi sistemi kurabilmek ve bu sistemi baarı ile uygulayabilmek için irketler mutlaka karı karıya kaldıkları riskleri yukarıda ifade edildii gibi farklı yönleri itibari ile analiz edecek yeterlilie sahip olmalıdır. Sadece belli bir bölümü dikkate alınarak yapılacak analizler, risk yönetim sistemini çok büyük bir olasılıkla baarısızlıa götürecektir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 11 / 61

14 1.2 Risk Yönetimi Kavramı Risk Yönetimi; risk/kazanç dengesinin irket üst yönetiminin risk alma profiline uygun olarak oluturulmasıdır. irketler iktisadi olarak kar elde etmek amacı ile kurulmaktadır. Ancak bu karı elde edebilmek için ise belirli risklerin alınması gerekmektedir. te risk yönetimi; arzu edilen kar miktarına ulaabilmek için hangi risklerin, ne ölçüde alınması gerektiini belirleyen ve bu sürecin planladıı ekilde gerçeklemesini güvence altına almayı hedefleyen bir sistemdir. Risk yönetimi bir yönetim aracıdır. Kurumun arzu ettii risk/kazanç dengesine ulaması amacında kullanılan bir araçtır. Risk yönetimi bir ürünün düünce aamasından balayarak müteriye sunulmasından sonraki müteri ilikileri yönetimi aamasına kadar tüm aamaları ve bu aamalar ile ilgili tüm fonksiyonları kapsar. Bir irket içerisinde risk yönetiminin ilgili olmadıı hiçbir alan yoktur. Risk yönetimi uygulamaları kurum içerisindeki tüm çalıanları kapsar. Her çalıan görevi ve sorumlulukları ne olursa olsun, bu sorumluluklarına uygun seviyede risk yönetimi ile ilgili olmak zorundadır. Risk yönetimi risklerin belirlendii, hangi risklerin öncelikli olarak çözümlenmesi gerektiinin deerlendirildii, risklerin yönetilmesi için stratejiler ve planların gelitirilerek uygulandıı sistematik bir süreçtir. Bu çalımanın ilerleyen bölümlerinde bu kavram detayları ile ayrıntılı olarak incelenecektir. 1.3 Risk Yönetimi htiyacı Bir kurumda risk yönetimine olan ihtiyacı aaıdaki balıklarda özetlemek mümkündür; Kurumun varlıının ve/veya operasyonlarının kesintisiz devam etmesi: Risk yönetimi, bir kurumun potansiyel kayıplarının gerçekleme olasılıını ve etkilerini, operasyonlarının devamını tehdit eden kritik seviyeden düük tutarak, kurumun operasyonlarının devamlılıını önemli ölçüde güvence altına alır. Büyük sorumluluk davaları veya kurumun üretim tesislerinin kapanmasına neden olabilecek düzeydeki bazı kayıplar bir irketi çok zor durumda bırakabilir. Bu gibi durumlarda, önceden tedbir alınmamısa kurum, operasyonlarını durdurmak zorunda dahi kalabilir. Bu anlamda, risk yönetimi i idaresinin önemli bir bileenidir. Risk yönetimi, bir kaybın ardından normal i faaliyetlerinin minimum gecikme ile devam etmesini salamak açısından da kritik öneme sahiptir. letmelerin normal i akıları hiçbir kesintiye uramamalıdır. Bu hedefin salanması, toplumda önemli faaliyetlerde bulunan kurumlar için (örnein TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 12 / 61

15 hastaneler) daha da kritiktir. Bu amaçla, beklenmeyen acil durumlar için önceden planlama yapılmalı ve gerekli kaynaklar aktarılmalıdır (örnein bir kriz yönetimi takımı kurulmalı ve eitilmelidir). Risk yönetimi gerekli hazırlıkların önceden yapılmasıyla birçok olayda yaanılan kayba ramen operasyonların devamını salar. Böylece, bir kriz anında rakiplere yönelecek olan müterilerin ve tedarikçilerin de irketle i yapmaya devam etmeleri salanmı olacaktır Sürprizlerin en aza indirgenmesi: Salıklı bir risk yönetimi sistemi ile kurumun karı karıya kalabilecei olumsuzluklar hem nitelik hem de nicelik açısından önemli ölçüde azaltılabilecektir. Böylelikle irket üst yönetimleri enerjilerini ve ilgilerini anlık problemleri çözmek yerine kurumun temel i önceliklerine kanalize edebilme imkânını yakalayabilecekler ve önlerini daha net bir ekilde görebileceklerdir. Kayıpların maliyetlerinin azaltılması: Risk yönetimi olası kayıpların etkilerini kontrol altında tutarak maliyetlerin azaltılmasına ve dolayısı ile irket karının arttırılmasına yardımcı olur. Risk yönetimi kayıpların olası büyüklüklerine göre çok daha düük maliyetli önlemler ile potansiyel kayıpların önüne geçer. Ciddi kayıplara yol açabilecek potansiyel tehditlerin sigorta gibi mekanizmalarla üçüncü ahıslara transfer edilmesi ile de doabilecek potansiyel maliyetlerin azaltılmasına yardımcı olur. Gelir istikrarı: Risk yönetimi, gelirlerde ya da nakit akıında kayıplar nedeniyle ortaya çıkabilecek azalmaların kabul edilebilir seviyelere çekilmesine yardımcı olur. Risk yönetimi yıllık kar ve gelirlerdeki istenmeyen ve beklenmeyen deiimleri azaltır. Nakit akıındaki bu deiimleri belirli seviyelerde tutmak uzun vadeli planlama açısından önemlidir. Aynı zamanda, yatırımcılar istikrarsız bir gelir grafii yerine gelir seviyesini istikrarlı bir ekilde devam ettiren irketleri seçmektedirler. stikrarlı büyüme: Etkin bir risk yönetimi irketlerin istikrarlı bir ekilde büyümesine önemli ölçüde katkı salar. Bir irket için sürdürülebilirlik sadece etkin bir risk yönetimi yaklaımı ile mümkün olabilecektir. Aksi taktirde irket hedeflerine giden yolda sürekli dalgalanmalara maruz kalabilecek ve büyük bir olasılık ile de hedeflerinden önemli ölçüde sapma gösterebilecektir. Sosyal sorumluluk: Çalıanlar, tedarikçiler, müteriler ve dier menfaat gruplarına gelebilecek zararı minimuma indirmek risk yönetiminin önemli amaçlarından biridir. Bu amaç kamuoyunda iyi bir imaj yaratılması yönünde de TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 13 / 61

16 etkili olur. Sosyal sorumluluk misyonu, dier hedefler için harcanmayacak ciddi miktarlarda kaynaın risk yönetimi aktivitelerine aktarılmasını gerektirebilir. Çevre ve çalıan salıı önlemleri ile ilgili yapılan yatırımlar veya i süreçlerinde/modellerinde çevre salıı endieleri ile yapılan radikal deiiklikler (Tesis kapama, taıma, belirli i kollarını bırakmak gibi) bu kapsam içerisinde deerlendirilebilir. Yasal düzenlemelere uyum: Risk yönetimi yasal ve idari gerekliliklere uyumu salayan önemli bir araçtır. Kurumlar faaliyet göstermekte oldukları sektöre balı olarak çok farklı sayıda yasaya ve düzenlemeye balı olarak çalımak zorundadırlar. Bu yasalara ve düzenlemelere aykırı olarak yürütülecek faaliyetler kurumun varlıını dahi tehdit edebilecek büyüklükte sonuçlar dourabilmektedir. irket üst yönetimleri etkin bir risk yönetim sistemi ile bu alandaki faaliyetleri arzu edilen düzeyde kontrol altında tutabilecek alt yapıya sahip olmaktadır. Yukarıda bazı örneklerini vermi olduumuz risk yönetimi ihtiyaçlarının sayısını arttırmak mümkündür. Kurumun özellikleri ve faaliyet göstermekte olduu sektörler gibi deikenler bu ihtiyaçlar üzerinde belirleyici olmaktadır. Bu liste ne kadar uzatılırsa uzatılsın, özetle risk yönetiminin irketlerin var olu amaçlarını yerine getirebilmeleri için olmazsa olmaz bir araç olduunu söylemek yanı olmayacaktır. 1.4 Risk Türleri Bir irketin karılaabilecei riskler çok farklı ekillerde sınıflandırılabilir. letmenin yapısal ve sektörsel özellikleri bu sınıflandırmayı önemli ölçüde etkileyecektir. Riskleri sınıflandırmanın birçok yolu olmasına ramen en kabul görmü sınıflandırma metodu ise riskleri dört ana balık altında toplamaktadır: finansal riskler, operasyonel riskler, stratejik ve dı çevre riskleri. Bu risk kategorilerini kesin çizgiler ile birbirlerinden ayırmak doru deildir. Örnein bir kredi riski, sonuçları itibari ile finansal risk, nedenleri itibari ile operasyonel bir risk olarak algılanabilir. Finansal Riskler: Finansal riskler kurumun finansal pozisyonunun ve tercihlerinin sonucunda ortaya çıkan riskleri ifade eder. Finansal riskler içerisinde kredi, faiz, nakit, finansal piyasalar, emtia fiyatları gibi riskler ilk akla gelenleridir TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 14 / 61

17 Operasyonel Riskler: Operasyonel riskler bir kurumun temel i faaliyetlerini yerine getirmesini engelleyebilecek riskleri ifade eder. Tedarik, satı, ürün gelitirme, bilgi yönetimi, hukuk ve marka yönetimi gibi risk balıkları bu kategori içerisinde yer alan risklerden bazılarıdır. Stratejik Riskler: Bir kurumun kısa, orta veya uzun vadelerde belirlemi olduu hedeflerine ulamasını engelleyebilecek yapısal riskler bu balık altında sınıflandırılabilir. Planlama, i modeli, i portföyü, kurumsak yönetim, pazar analizi gibi riskler stratejik risklere tipik örneklerdir. Dı Çevre Riskleri: Bu kategoride yer alan riskler kurumun faaliyetlerinden baımsız olarak ortaya çıkan, ancak kurumun tercihlerine balı olarak irketi etkileyen risklerdir. Katastrofik riskler, yasal düzenlemeler, müteri trendleri, ekonomik ve politik deiiklikler, rakipler ve sektördeki deiiklikler bu kategorideki risklere örnek olarak sayılabilir. ekil 1 de örnek bir risk modelini görebilirsiniz. Kaynak: Arthur Andersen TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 15 / 61

18 2. Kurumsal Risk Yönetimi 2.1 Giri Risk yönetimi kavramının tarihi, ticaretin ilk yıllarına kadar uzanır. Adına risk yönetimi denmese de insanlıın ticaret ile karılaması ile birlikte risk yönetimi olgusu bir daha bizi terk etmemek üzere hayatımıza girmitir. Risk yönetiminin ayrı bir disiplin olarak ekillenmesi, A.B.D de sigorta sektörünün gelimesi ile hız kazanmıtır lu yılların baında balamı olan ve sadece klasik sigortalanabilir risklere odaklı olan bu geliim, 1990 lı yıllarda yerini yava yava irketleri etkileyen tüm risklerin kapsandıı daha geni ve entegre bir yaklaıma bırakmıtır. Bu dönüümde en önemli belirleyici, toplumların büyük çok uluslu irketlerin yarattıkları hasarların nasıl kontrol edilebileceini sorgulamaya balamaları ve bunun sonucunda da Kurumsal Yönetim anlayıının gelimesi olmutur. Kurumsal Yönetim kısaca kurumların daha effaf ve adil bir ekilde yönetilmeleri olgusunu savunurken, risk yönetimi bu amaca ulamada en önemli araçlardan biri olarak görülmeye balanmıtır. Ancak kurumların corafi sınırları aarak tüm dünyaya yayılmaları ve çok farklı i kolları içerisinde olmaları, risklerin birbirine iyi ekilde balanmamı baımsız bloklar halinde yönetildii klasik risk yönetim anlayılarının, menfaat gruplarının ihtiyaçlarının giderilmesinde yetersiz kaldıını göstermitir. Özellikle 90 lı yılların sonunda bata A.B.D olmak üzere tüm dünyada yaanan irket skandalları bu ihtiyacı en yüksek noktaya taımıtır. te bu ihtiyaç Kurumsal Risk Yönetimi (KRY) kavramının i hayatının vazgeçilmez bir unsuru olması yolunu açmıtır. Çalımanın bu bölümünde KRY ana hatları ile açıklanacaktır. 2.2 Tanım KRY; irketi etkileyebilecek potansiyel olayları tanımlamak, riskleri irketin kurumsal risk alma profiline uygun olarak yönetmek ve irketin hedeflerine ulaması ile ilgili olarak makul bir derecede güvence salamak amacı ile oluturulmu; irketin yönetim kurulu, üst yönetimi ve tüm dier çalıanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir. KRY nin bu tanımı aaıdaki temel öeleri içerir; TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 16 / 61

19 Bütün kurumda süregelen ve devam eden bir süreçtir, Kurumun her seviyesindeki insanlar tarafından etkilenir, Kurumun i stratejilerinin belirlenmesinde kullanılır, Tüm kurumu ilgilendiren riskler dâhil olmak üzere kurumun her seviye ve bölümünü kapsar, irketi etkileyebilecek potansiyel olayları tanımlamak ve risklerin irketin kurumsal risk alma porifiline uygun olarak yönetilmesi için tasarlanmıtır irketin hedeflerine ulaması ile ilgili olarak kurumun yöneticilerine ve yönetim kuruluna makul bir derecede güvence salar, Bir veya daha fazla fakat birbiri ile kesien kategoriler içindeki hedeflerin baarılmasına yönelmitir. Kendisi bir sonuç deildir, sadece sonuca ulamak için bir araçtır. Yukarıda kısaca tanımlanan temel öeler, aaıda daha detaylı olarak açıklanmaktadır. KRY bütün kurumda süregelen ve devam eden bir ilemdir. KRY, sabit olmaktan çok, yapılan ilerdeki devamlı olan ve yinelenen etkilenmelerin sonucudur. KRY, kurumun aktivitelerine ek olarak yapılan bir ilem deildir. Fakat bu durum KRY için artan bir gayret gerekmediini göstermez. Örnein, kredi ve para birimi riski göz önüne alındıında, analiz ve hesaplamaları yapmak için oldukça fazla bir gayret gerekir. Bununla birlikte, KRY mekanizmaları kurumun operasyonel faaliyetleri ile balantılıdır ve temel i sebeplerine dayalıdır. KRY nin etkisi, yöntemleri kurumun altyapısına uygun hale getirildiinde ve kurumun önemli bir parçası haline geldiinde artar. KRY ni oluturmanın, özellikle yüksek rekabetli pazarlarda bulunan kurumlar için maliyetleri kontrol altında tutmak konusunda önemli etkileri vardır. Kurum, irkete ve irketin KRY ne katkılarına odaklanarak, risk yönetimini basit iletme aktivitelerine uygulayarak gereksiz ilem ve masraflardan kaçınabilir. KRY ni irketin temel yapısına uygun hale getirmek, yönetimin yeni fırsatları belirlemesine ve daha iyi kullanmasına olanak salar. Kurumun her seviyesindeki insanlar tarafından etkilenir. KRY kurumun yönetim kurulundan, yöneticilerden ve dier çalıanlardan etkilenir. Çalıanlar o TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 17 / 61

20 kurumun görevini, stratejisini ve hedeflerini belirler ve KRY'ni devreye sokar. Aynı ekilde KRY de çalıanların hareketlerini etkiler. Fakat KRY ile insanların her zaman olayları anlamaları, iletiim kurmaları veya hep aynı düzeyde performans göstermeleri beklenmez. Her ahıs i yerine kendine has tecrübe ve teknik becerileri ile gelir ve farklı ihtiyaç ve öncelikleri vardır. Bu faktörler KRY ni hem etkiler hem de ondan etkilenir. Her bireyin olaylara farklı bir açıdan yaklaması, o kiinin riski nasıl tanımladıını, deerlendirdiini ve tepki verdiini etkiler. KRY, çalıanların risk almasını kurumun hedeflerinden biri olarak görmesini salar. Çalıanlar kendi sorumluluk ve yetkilerinin sınırlarını daha iyi özümserler. Buna balı olarak, çalıanların ileri ve ilerini yerine getirmeleri arasındaki yakın ve belirgin iliki, kurumun strateji ve hedefleri arasında da vardır. dareciler esasen denetleme yapsa da aynı zamanda yön gösterir ve strateji ve bazı düzenlemeleri belirler. Yönetim kurulu KRY'nin önemli bir parçasıdır. Strateji belirlemede kullanılır. Kurum amaç veya vizyonunu belirler ve bu amaç veya vizyonu gerçekletirmesine yardım edecek yüksek stratejik hedefleri belirler. Sonrasında ise stratejik hedeflerini gerçekletirmek için genel stratejisini belirler. Ek olarak ise stratejisine balı olarak ortaya çıkan ulamak istedii dier hedefleri ortaya koyar. KRY, riski alternatif stratejilerine göre deerlendirdii için kurumlarca strateji belirleme aamasında kullanılır. Örnein, alternatif bir strateji, pazar payını arttırmak için baka irketleri satın almak olsun. Bir baka seçenek ise kaynak maliyetlerini keserek daha fazla kar payı yüzdesi salamak olsun. Her iki seçenek de bazı riskleri barındırmaktadır. Eer yönetim ilk stratejiyi seçerse, yeni ve çok bilinmeyen pazarlara girmek ve rakiplerine kendi pazarından pay kaybetmek zorunda kalabilir veya irketin bu seçenei etkin bir ekilde uygulamak için yeterlilii olmayabilir. kinci seçenekte ise yeni teknolojiler veya tedarikçiler ya da yeni i anlamalarının kapsadıı riskler vardır. Bu aamada KRY kurumun strateji ve buna balı hedeflerini deerlendirmesinde ve seçmesinde yardımcı olur. Kurumun tamamında uygulanır. Kurumun KRY ni uygularken yürüttüü bütün aktiviteleri deerlendirmesi gerekir. KRY stratejik planlama ve kaynakların daıtımından, pazarlama ve insan kaynaklarına kadar kurumun her seviyedeki ilemlerini ilgilendirir. Ayrıca, kurum hiyerarisinde veya organizasyon emasında kesin bir yeri olmayan bazı özel projelerde ve yeni giriimlerde uygulanabilir. Kurumun tüm risklerine tek bir portföy olarak bakmayı gerektirir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 18 / 61

21 Buna her yöneticinin belirli bir bölüm, ilem veya baka aktivite için risk deerlendirmesi yapması dâhil olabilir. lgili deerlendirme nicelik veya nitelie göre yapılabilir. Kurumun her bir seviyesinin birleik bir bakı açısı ile tüm risk profilinin, risk alma istei ile orantılı olup olmadıına bakması gerekir. Yönetim birbiriyle balantılı riskleri, kurumun risk portföy perspektifinden deerlendirir. Kurumların her bir bölümündeki risk, bölümün risk toleransı içinde olabilir. Fakat bu risklerin toplamı kurumun bütün olarak almayı arzu ettii orandan fazla olabilir. Veya tam tersi olarak, olası olaylar baka bir etkiyi ortadan kaldırmazsa kurum için kabul edilemez bir riski temsil edebilir. Birbiri ile alakalı risklerin tanımlanması ve risklerin toplamının kurumunun arzuladıı risk oranıyla aynı düzeyde olmasına dikkat edilmelidir. Riskleri risk alma istei dorultusunda yönetmek için tasarlanmıtır. Risk alma istei, geni anlamıyla bir deeri elde etmek için bir kurumun almayı kabul ettii risk oranıdır. Kurumun risk yönetim felsefesini yansıtır ve buna karılık kurumun kültürünü ve iletme stilini etkiler. Kurumlar arzulanan riski yüksek, orta, düük eklinde belirleyebilir. Risk alma istei daha fazla olan bir irket, sermayesinin büyük bir bölümünü gelimekte olan pazarlar gibi daha riskli alanlara yatırabilir. Buna karın risk alma istei daha az olan bir irket, kısa dönemde zarar etme riskini azaltmak için olgun ve stabilize pazarlara yatırım yapabilir. Risk alma istei dorudan kurumun stratejisiyle alakalıdır. Deiik stratejiler kurumu deiik risklerle karılatırdıı için, risk yönetimi strateji belirlemenin de bir parçası sayılır. KRY, yönetimin beklenen deer yaratımı ve risk alma isteine uygun stratejiyi seçmesine yardımcı olur. Makul bir oranda güvence salar. yi tasarlanan ve uygulanan KRY, yönetime ve yönetim kuruluna kurumun hedeflerine ulaması konusunda makul bir oranda güvence salar. Makul bir oranda denmesinin sebebi, kimsenin kesin olarak öngörmeyecei gelecekle ilgili olan belirsizlik ve risktir. Fakat bu KRY'nin sıklıkla baarısız olacaı anlamına gelmez. Ayrı ayrı ya da birlikte olarak birçok faktör makul oranda güvence kavramını etkiler. Farklı risk tiplerinin ve çok amaçlı iç denetimin birleen etkileri, kurumun hedeflerine ulaamama riskini azaltır. Ek olarak, kurumun her seviyedeki çalıanının günlük çalımaları ve sorumlulukları, kurumun hedeflerine ulamasını salamak içindir. Ancak, en etkin KRY bile baarısızlıklar yaayabilir. Makul bir oranda güvence, kesin güvence demek deildir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 19 / 61

22 Sonuç deil, sonuca ulamak için bir araçtır. Kurumun misyonunun belirlenmesi sırasında, yönetim stratejik amaçları belirler, hangi stratejilerin kullanılacaına karar verir ve kurum hedeflerine ve stratejiye balı olarak gelien dier hedefleri belirler. Hedefler kuruma farklılık gösterse de, bazı hedefler birçok kurum tarafından paylaılır. Örnein, sektöründe ve müteri gruplarında iyi bir itibara sahip olmak ve bunu korumak, hissedarlar için güvenilebilir raporlama salamak, kanun ve düzenlemeler çerçevesinde ileri yürütmek bütün kurumların ortak amacıdır. 2.3 Kapsam KRY temel olarak olayların hem pozitif (fırsat) hem de negatif (risk) tarafları ile ilgilidir. Olay, olması beklenen ya da gerçeklemesi belirlenen hedeflere ulamayı etkileyecek içsel ve dısal kaynaklara balı olan oluumlardır. Olaylar pozitif, negatif ya da her iki etkiye birden sahip olabilir. Negatif etki yaratabilecek olaylar tehlikeleri ifade eder. Buna göre tehlikeyi u ekilde tanımlayabiliriz: Tehlike, amaçların gerçekletirilmesine olumsuz etkide bulunabilecek olayların gerçekleme olasılııdır. Ters etkiye sahip bu olaylar deer yaratmayı engeller ya da mevcut deerin yitirilmesine neden olur. Tesis makina arızaları, yangınlar ve kredi kayıpları bu olaylara örnek olarak verilebilir. Bu tip olaylar, olumlu durumlar karısında da gerçekleebilir. Örnein üretim kapasitesini aacak miktarda alınan bir müteri talebi, müteri isteini karılamada yetersiz kalmaya neden olarak müteri balılıını zedeler ve bunun sonucunda ileride alınabilecek sipari miktarları azalabilir. Pozitif etkiye sahip olaylar ise olumsuz etkileri dengeler veya fırsatları ifade eder. Buna göre fırsatları da u ekilde tanımlayabiliriz: Fırsat, amaçların gerçekletirilmesine olumlu katkıda bulunacak olayların gerçekleme olasılııdır. Fırsatlar deer yaratmaya imkân salar veya mevcut deerlerin korunmasını destekler. Yönetimler ancak bu fırsatları deerlendirerek belirledikleri strateji ve hedefler dorultusunda yeni fırsatlar yakalayabilirler. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 20 / 61

23 KRY uygulamalarının kapsamının belirlenmesinde bir dier önemli unsur ise deer dir. Kurumun var olan deerlerinin korunması ve maksimize edilmesi ile ilgili tüm karar ve faaliyet süreçleri KRY nin kapsamı içerisindedir. Bu süreçlerden bazılarını aaıdaki ekil 2 de görmek mümkündür: Kaynak: Sabancı Holding Risk Yönetimi Direktörlüü KRY daha öncede ifade edildii gibi yukarıdaki emada belirtilen süreçlerin entegrasyonunu salamayı hedeflemektedir. Böylelikle kurum içerisinde birbirinden baımsız ekilde ileyen farklı risk yönetim sistemlerinin riskleri bir bütün olarak görmeleri ve böylelikle daha az maliyetli ve daha etkin entegre risk yönetim çözümlerinin gelitirilmesi salanabilmektedir. KRY nin uygulama kapsamı söz konusu kurumun insan ve teknik altyapısının yeterliliine, faaliyetlerinin karmaıklık düzeyine, stratejik hedeflerine, büyüklüüne, faaliyette bulunduu corafyalara ve en önemlisi kurum hissedarlarının risk alma profillerine yakından balıdır. Her kurum kendi durumunu ve hedeflerini dikkate alarak kendisi için en uygun yaklaımı ve kapsamı gelitirmek zorundadır. KRY uygulamalarında standart çözümler aramak, kurumları çok daha büyük riskler ile karı karıya bırakabilecektir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 21 / 61

24 3. Kurumsal Risk Yönetimi Dönüüm Süreci 3.1 Giri KRY dönüüm süreci; irketin risklerinin birbirlerinden baımsız bloklar halinde yönetildii klasik risk yönetim anlayıından, bir bütün olarak yönetildii entegre risk yönetimi, baka bir ifade ile KRY, anlayıına geçi sürecini ifade eder. Bu süreçte gösterilecek performans baarı için en önemli etkendir. Bu süreç basit bir proje yönetimi anlayıı ile yürütülemeyecek kadar önemli ve karmaıktır. deal bir KRY Dönüüm Sürecini aaıdaki ekilde özetlemek mümkündür; Hedeflerin Belirlenmesi Mevcut Durum Analizi Hedef Yapının Tespiti Fark Analizi ve Planlama Dönüüm Sürecinin Uygulanması: o o o o o Görev ve Sorumluluklar Temel Dokümanlar Yöntem Eitim yiletirme Faaliyetleri Sürekli geliim için gözden geçirmeler Aaıdaki bölümlerde her bir aama ana hatları ile açıklanmaya çalıılacaktır. ekil 3: Kurumsal Risk Yönetimi Dönüüm Süreci Hedeflerin Belirlenmesi Mevcut Durum Analizi Hedef Yapının Tespiti Fark Analizi ve Planlama Dönüüm Sürecinin Uygulanması Sürekli geliim için gözden geçirmeler Kaynak: Sabancı Holding Risk Yönetimi Direktörlüü TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 22 / 61

25 3.2 Hedeflerin Belirlenmesi KRY açısından hedeflerin belirlenmesi iki balık altında incelenmelidir; Genel irket stratejileri ve kurumsal risk alma profili. irket hissedarlarının kurumsal risk alma profillerinin ortak bir anlayıa sahip olabilmesi için öncelikle irketin genel mevcut konumunu, hedeflerini ve bu hedeflerine nasıl ulaacaını tanımlayan bir irket stratejisi ve politikası bulunmalıdır. Bu strateji bilinmeksizin irketin kurumsal risk alma profilinin uygunluunu deerlendirebilmek mümkün deildir. Esasen irketin stratejileri ve kurumsal risk alma profilleri birbirlerinden etkilenen kavramlardır. Bu nedenle biri dierinin bir sonucu olarak algılanmamalıdır. Ancak bu kavramlar birbirleri ile uyumlu olmalıdırlar. Bunun tespit edilebilmesinin tek koulu ise bu iki kavramın da net bir ekilde bilinebiliyor olmasıdır. Bir irketin hedefleri ve buna balı olarak belirlenmi olan stratejilerinin varlıı, o irketin deer yaratma ve risk yönetimi uygulamalarına zemin oluturacak bir i modelinin tanımlamasına yardımcı olacaktır. Stratejiler kadar önemli olan bir dier unsur ise kurumsal risk alma istei profilidir. Bu profil esas olarak kurum hissedarlarının hangi riskleri ne ölçüde almak istediine cevap arar. Riskin yönetilmesi ile direkt olarak ilgili deildir. Risk yönetim süreçleri bu anlayıın doal bir sonucudur ancak parçası deildir. Kurum içerisinde alınacak her türlü KRY aksiyonu kurumsal risk alma profili ile uyum içerisinde olmalıdır. Esasen KRY yaklaımının temel var olu sebeplerinden biri de, kurumsal risk alma profilinin kurumun tüm birimlerince doru bir ekilde anlaılmakta olduu ve i ile ilgili tüm faaliyetlerde söz konusu profile uygun i kararlarının alınmakta olduu konusunda kurum üst yönetimine ve yönetim kuruluna makul bir seviyede güvence oluturmaktır. O nedenle bu profilin KRY dönüüm süreci balangıcında net bir ekilde ortaya konup konmamı olması, bu alanda yürütülen tüm faaliyetlerin baarısını önemli ölçüde etkileyecektir. 3.3 Mevcut Durum Analizi Kurum stratejilerinin ve kurumsal risk alma profilinin net bir ekilde anlaılmasını takiben irketin mevcut risk yönetim altyapısının ayrıntılı bir ekilde analiz edilmelidir. Bu analiz daha sonraki aamalarda belirlenecek olan hedef yapı ile var olan farklılıkların tespiti için hayati önem taımaktadır. Bu analiz, kurumun karı karıya olduu risklerden baımsız olarak bu riskleri TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 23 / 61

26 yönetmek için var olan sistemleri ve yeterlilikleri kapsamalıdır. Bu sistemlerin uygulama etkinlii ise bu aamada deil, temel KRY metodu uygulamaları içerisinde deerlendirilmelidir. Mevcut durum analizinde temel olarak etkin bir KRY uygulamasının varlıından söz edebilmek için gerekli olan aaıdaki bileenler dikkate alınmalıdır; Risk Yönetim Ortamı: Kurum içerisinde etkin bir risk yönetim sisteminin kurulabilmesi için öncelikle risk yönetim stratejisinin belirlenmi ve çalıma ortamının bu stratejiye uygun olarak düzenlenmi olması gerekir. Risk yönetim stratejisi; kurumun risk yönetim anlayıını, temel prensiplerini, konuya verdii önemi, kabul edilebilir asgari risk seviyelerini, genel risk alma istei seviyesini ve profilini, temel görev ve sorumluluklar ve yetkinlikleri gibi konulara açıklık getirmelidir. Risk yönetim ortamının deerlenmesinde temel olarak aaıdaki sorulara cevap aranmalıdır; irketin risk yönetim anlayıını ve beklentilerini açıklayan yazılı bir Risk Yönetim Politika (Anayasa) belgesi mevcut mudur? irket genel bir Risk Alma stei Seviyesi (Risk Appetite) belirlemi midir? Risk Yönetim Stratejisi, Risk Alma stei Seviyesi ve dier temel Risk Yönetim Politika ve Prosedürleri, irket yönetim kurulu tarafından deerlenmi ve onaylanmı mıdır? Onaylama ile ilgili yazılı bir süreç tanımlanmı mıdır? irket Etik Deerleri belirlenmi, tüm çalıanlara duyurulmu ve eitimlerle desteklenmekte midir? Özellikle kritik pozisyonlar bata olmak üzere tüm pozisyonlar için risk yönetim beklentileri ve gereklilikleri dikkate alınarak yetkinlikler ve yetki/sorumluluklar belirlenmi midir? Risk Yönetim Stratejisi: Kurum içerisinde etkin bir risk yönetim sisteminin kurulabilmesi için bir dier önemli unsur ise belirlenmi olan stratejilerin uygulamaya dönütürülmesidir. Aksi taktirde stratejiler kurum tarafından benimsenemez ve günlük faaliyetlere yansıyamaz. Risk yönetim stratejisi ile ilgili mevcut durum analizinde aaıdaki soruların cevaplanması uygun olacaktır; TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 24 / 61

27 irketin Risk Yönetim Stratejisi ve Risk Alma stei Seviyesine uygun olarak Risk Yönetim hedefleri ve bunlara balı olarak alınması gereken temel fonksiyonlar açık bir ekilde belirlenmi ve tüm kuruma duyurulmu mudur? irket fonksiyonlar ve operasyonlar bazında Risk Toleranslarını belirlemi midir? Sistematik ve Bütünleik Risk Yönetim Faaliyetleri: Stratejilerin ve bunlara balı olarak hedeflerin net ve kesin bir ekilde belirlenmesini takiben, bunların yerine getirilebilmesi için etkin ve salıklı çalıan bir risk yönetim faaliyetleri bütünü oluturulmalıdır. Risk yönetim faaliyetleri, stratejilere uygun olarak belirlenmi olan hedeflerin yerine getirilmesini salayan araçtır. Risk yönetim sisteminin etkinlii risk yönetim faaliyetlerinde yakalanacak baarıya son derece balıdır. Bu balık ile ilgili sorular ise unlar olabilir; Var olan uygulamalar Risklerin Belirlenmesi adımlarını yerine getirmekte midir? Var olan uygulamalar Risklerin Deerlemesi adımlarını yerine getirmekte midir? Var olan uygulamalar Risk Yönetim Aksiyonlarının Belirlenmesi adımlarını yerine getirmekte midir? Kontrol: irket içinde oluturulan kontrollerin, politika ve prosedürlerin, Risk Yönetim Stratejisi, Risk Alma stei Seviyesi ve Risk Yönetim Hedefleri ile uyumlu olmasını güvence altına alınmalıdır. Tüm dier sistemlerde olduu gibi risk yönetim sisteminin de ileyii sürekli, ancak etkin yöntemlerle kontrol altında tutulmalıdır. Ancak gerek kontroller belirlenirken gerekse uygulanırken irketin hedefleri, faaliyetleri, insan kaynakları, öncelikleri ve iç dinamikleri göz ardı edilmemelidir. Kontrollerin seviyesi dikkatle belirlenmelidir. Kontroller günlük ileyii ve faaliyetleri engellemeyecek düzeyde serbest, ancak hedeflere varılmasını garanti edecek düzeyde de sert olmalıdır. Kontrol ortamı ile ilgili olarak aaıdaki temel sorulara cevap aranmalıdır; Risk Yönetim Aksiyonları ile uyum güvence altına alınmı mıdır? Kontroller politika ve prosedürler ile belgelenmi midir? Bilgi ve letiim: Risk yönetim faaliyetlerinin salıklı ve etkin bir ekilde yürütülebilmesi için ilgili kiilerin ve grupların, gerekli bilgiye, gerektii ölçüde ve gerektii zamanda ulaabilmelerini garanti etmelidir. Bilgi eksiklii risklerin doru bir ekilde tanımlanmasını, yönetilmesini ve kontrol altında tutulmasını engelleyecektir. Öncelikle bilgi var olmalı, doru ekilde korunmalı ve gerektii biçimde paylaılmalıdır. Söz konusu unsurlar kuruma zamanında, doru ve tam TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 25 / 61

28 olarak ve uygun kanallardan aktarılmadıı sürece stratejilerin ve bunlara balı olarak belirlenen hedeflerin ve hatta risklerin nasıl yönetileceinin anlaılması ve uygulama alanı bulması mümkün olmayacaktır. Bu alanda deerlemesi yapılması gereken soru udur; irket içinde risk yönetim faaliyetlerinin etkin bir ekilde yürütülmesini salayacak düzeyde bilgi paylaımı ve iletiim salanmakta mıdır? zleme ve Sürekli Geliim: Kurumların içinde bulunduu deiime zamanında ve doru tepkiler vermesi ve hızlıca uyum göstermesi gerekmektedir. Risk yönetim sistemi de sürekli deien bir organizasyonun bir parçası olarak sürekli gelimek ve kendisini yenilemek zorundadır. Aksi taktirde kurumun karı karıya olduu birçok yeni riskin algılanmasında ve bu risklere cevap verilmesinde geç kalınabilecektir. Bu balık ile ilgili sorular ise unlar olabilir; Sürekli izleme faaliyetleri belirlenmi ve uygulanmakta mıdır? Risk yönetim sistemi için baımsız deerlemeler yaptırılmakta mıdır? Risk yönetim sistemi ile ilgili tespit edilen eksiklikler etkin bir biçimde raporlamakta mıdır? 3.4 Hedef Yapının Tespiti Mevcut yapının analiz edilmesini takiben yapılması gereken, iyiletirmeler sonrasında eriilmesi arzu edilen hedef yapının belirlenmesidir. Böyle bir analiz yapmaksızın dünyadaki en iyi uygulamaları hedef yapı olarak belirlemek, KRY projelerinin baarısızlık ile sonuçlanmasının en önemli nedenlerinden biridir. En iyi uygulamalar kesinlikle bu analizin önemli unsurlarından biri olmalıdır. Ancak tek unsuru olmamalıdır. Hedef yapının belirlenmesinde analiz edilmesi gereken balıkları aaıdaki ekilde özetlemek mümkündür; Kurumun stratejileri ve hedefleri Kurumsal risk alma profili Faaliyet gösterilen sektörler Faaliyetlerin corafi daılımı Faaliyetlerin karmaıklık düzeyi Kurumun büyüklüü TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 26 / 61

29 Kurum kültürü Sektör uygulamaları En iyi uygulamalar Yasal düzenlemeler Menfaat gruplarının yapısı nsan kaynakları (nitelik ve nicelik) Kurumun içerisinde bulunduu evre (Geliim, duraklama, küçülme) Bu kriterlerin sayısını arttırmak mümkündür. Ancak temel olarak bu kriterlerin dikkatli bir ekilde analiz edilmesi ve tümünün dikkate alınması ile oluturulacak bir hedef yapı, ihtiyaçlara büyük oranda cevap verecektir. Burada unutulmaması gereken en önemli unsur, bu sürecin dinamik bir süreç olması gereidir. Yukarıdaki süreçlerin birçou zaman içerisinde deikenlik gösterebilecek nitelie sahiptir. Bu nedenle bu kriterler zaman içerisinde tekrar gözden geçirilerek hedef yapıda gerekli revizyon ihtiyaçları belirlenmelidir. Bu aamadaki bir dier önemli unsur da hedef yapının belirlenmesinde, mevcut durum analizi sonuçlarından etkileimin en az düzeyde tutulması gereidir. Aradaki fark çok fazla veya az olabilir. Bu nedenle iyiletirme maliyetleri büyük bir farklılık gösterebilir. Bu nedenle hedef yapı bu kaygılardan özgür bir ekilde belirlenmelidir. Maliyet ve uygulanabilirlik gibi sorunlar bir sonraki aamada dikkate alınmalıdır. 3.5 Fark Analizi ve Planlama Bu aamada yapılması gereken, mevcut durum ile eriilmesi arzu edilen hedef yapı arasındaki farkın tespiti ve buna uygun olarak detaylı bir aksiyon planının oluturulmasıdır. Aksiyon planları oluturulurken fayda, maliyet ve etkinlik unsurları bir arada analiz edilmeli ve böylelikle optimum çözüme odaklanılmalıdır. Aksiyon planları genellikle aaıdaki balıkları içermelidir; Görev ve Sorumluluklar: KRY ile ilgili olarak kurum içerisindeki her bir katmanın görev ve sorumlulukları tanımlanmalı, organizasyonel yapı hedef yapıya uygun olarak yeniden düzenlenmelidir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 27 / 61