KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

Transkript

1 KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

2 SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ 4. KURUMSAL RİSK YÖNETİMİ SÜRECİ

3 RİSK VE RİSK YÖNETİMİ RİSK NEDİR? «Bir zarar-kayıp veya kazanç-fırsat durumuna yol açabilecek bir olayın meydana gelme olasılığıdır.» «Önceden planlanan amaçlara ulaşmayı etkileyen her türlü engeldir.» «Karar vericinin herhangi bir olayın sonuçlarını tahmin edemediği, belirleyemediği durumlardır.» «Kurumların kuruluş amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek durum ya da olaylardır.»

4 RİSK VE RİSK YÖNETİMİ RİSK NEDİR? (KAMU İÇ KONTROL REHBERİ) Amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileceği değerlendirilen olay veya durumlar risk (tehdit), amaç ve hedefler üzerinde olumlu etkide bulunabileceği değerlendirilen olay veya durumlar ise fırsat olarak tanımlanır. Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve hedeflerine ulaşmasını etkileyebileceği değerlendirilen olay ya da durumların tanımlanması, değerlendirilmesi ve bunlara uygun cevapların verilmesi ile bu temelde yürütülen tüm faaliyetler Risk Yönetiminin konusunu oluşturur.

5

6 RİSK YÖNETİMİ NEDİR? Risklerin tanımlanması, değerlendirilmesi ve etkisinin kabul edilebilir bir seviyede tutulabilmesi için gerekli kontrollerin uygulanması, gözden geçirilmesi ve raporlanmasını sağlayan yönetim sürecidir.

7 RİSK YÖNETİMİ NEDİR? Risk yönetimi, belirlenen amaç ve hedeflere ulaşabilmek için hangi risklerin, ne ölçüde yönetilmesi gerektiğini belirleyen ve bu sürecin planlandığı şekilde gerçekleşmesini güvence altına almayı hedefleyen bir sistemdir. «Risk yönetimi mâkul bir yönetim aracıdır.»

8 RİSK YÖNETİMİ NEDİR? Risk yönetimi; - Risklerin belirlendiği, - Hangi risklerin öncelikli olarak çözümlenmesi gerektiğinin değerlendirildiği, - Risklerin yönetilmesi için stratejiler ve planların geliştirilerek uygulandığı Sistematik bir süreçtir.

9 RİSK YÖNETİMİ NEDİR? Risk yönetimi, iyi yönetimin ve karar almanın ayrılmaz bir unsurudur.

10 KURUMLAR NEDEN RİSK YÖNETİMİNE İHTİYAÇ DUYAR? 1. Kurumun varlığının ve/veya faaliyetlerinin kesintisiz devam etmesi 2. Kayıpların maliyetlerinin azaltılması 3. Gelir istikrarı 4. İmaj, itibar ve sosyal sorumluluk 5. Yasal düzenlemelere uyum

11 RİSK TÜRLERİ

12 Finansal Riskler: Kurumun finansal pozisyonunun ve tercihlerinin sonucunda ortaya çıkan riskleri ifade eder. Finansal riskler içerisinde kredi, faiz, nakit, finansal piyasalar, emtia fiyatları gibi riskler ilk akla gelenlerdir. Faaliyet (Operasyonel) Riskleri: Faaliyet riskleri bir kurumun temel faaliyetlerini yerine getirmesini engelleyebilecek riskleri ifade eder. Tedarik, satış, hizmet sunum, bilgi yönetimi ve hukuk gibi risk başlıkları bu kategori içerisinde yer alan risklerden bazılarıdır.

13 Stratejik Riskler: Bir kurumun kısa, orta veya uzun vadelerde belirlemiş olduğu hedeflerine ulaşmasını engelleyebilecek yapısal risklerdir. Stratejik planlama, kurumsal yönetim, pazar analizi gibi riskler stratejik risklere tipik örneklerdir. Dış Çevre Riskleri: Bu kategoride yer alan riskler kurumun faaliyetlerinden bağımsız olarak ortaya çıkan, ancak kurumun tercihlerine bağlı olarak kurumu etkileyen risklerdir. Yasal düzenlemeler, ekonomik ve politik değişiklikler, doğal afetler, savaşlar, rakipler ve sektördeki değişiklikler bu kategorideki risklere örnek olarak sayılabilir.

14

15 KURUMSAL RİSK YÖNETİMİ Geleneksel risk yönetimi yöntemleri, kurumun hedeflerine ulaşmasını kolaylaştırmak ve kurumun değer yaratma sürecine katkıda bulunmaktan çok, kayıpları engellemeye yönelik olduğundan çoğu kurum risk yönetimini yeniden tanımlamak zorunda kalmıştır. Kurumsal risk yönetiminin (KRY) odaklandığı konu, risk yönetimi süreci ile var olan kurumsal yönetim sürecini kaynaştırmak, pozitif veya negatif etkisi olabilecek gelecekteki olayları tanımlamak, kurumun bu olaylardan ne kadar etkileneceğini gösteren olaylara maruz kalma oranını belirleyip yönetmek için etkili stratejiler geliştirmektir.

16 KURUMSAL RİSK YÖNETİMİ Kurumsal Risk Yönetimi; Kurumları etkileyebilecek potansiyel olayları tanımlamak, Riskleri yönetmek ve Kurumun hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; Kurumun tüm yönetim kademeleri ve çalışanları tarafından etkilenen ve Stratejilerin belirlenmesinde kullanılan, Kurumun tümünde uygulanan Sistematik bir süreçtir.

17 KRY bütün kurumda süregelen ve devam eden bir faaliyettir. Kurumun her seviyesindeki insanlar tarafından etkilenir. Strateji belirlemede kullanılır. Kurumun tamamında uygulanır. Riskleri, risk iştahı doğrultusunda yönetmek için tasarlanmıştır. Makul bir oranda güvence sağlar. Amaç değil, amaca ulaşmak için bir araçtır.

18 KRY nin Unsurları COSO Kurumsal Risk Yönetimi Çerçevesi COSO, KRY yi; Kurumu etkileyebilecek potansiyel olayları tanımlamak, riskleri kurumun kurumsal risk alma profiline uygun olarak yönetmek ve kurumun hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; kurumun üst yönetimi ve diğer tüm çalışanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir. Şeklinde tanımlamıştır.

19 COSO KÜPÜ

20

21 COSO-KURUMSAL RİSK YÖNETİMİ BİLEŞENLERİ İÇ ORTAM HEDEF BELİRLEME OLAY TANIMLAMA RİSK DEĞERLENDİRMESİ RİSKE KARŞILIK VERME KONTROL FAALİYETLERİ BİLGİ VE İLETİŞİM İZLEME

22

23 KURUMSAL RİSK YONETİMİ DÖNÜŞÜM SÜRECİ Kurumsal Risk Yönetimi dönüşüm süreci, Kurumun risklerin birbirlerinden bağımsız bloklar halinde yönetildiği klasik risk yönetim anlayışından, Bu risklerin bir bütün olarak yönetildiği entegre risk yönetimi anlayışına Geçiş sürecini ifade eder.

24 KRY DÖNÜŞÜM SÜRECİ Hedeflerin Belirlenmesi Mevcut Durum Analizi Hedef Yapının Tespiti Fark Analizi ve Planlama Dönüşüm Sürecinin Uygulanması Görev ve Sorumluluklar Temel Dokümanlar Yöntem Eğitim İyileştirme Faaliyetleri Sürekli Gelişim İçin Gözden Geçirmeler

25 HEDEFLERİN BELİRLENMESİ KRY açısından öncelikle kurumun genel mevcut konumunu, hedeflerini ve bu hedeflerine nasıl ulaşacağını tanımlayan bir kurum stratejisi ve politikası bulunmalıdır. Temel Belgeler: - Stratejik Planlar - Politika Belgeleri - Eylem Planları - Risk Yönetimi Stratejisi vb.

26 MEVCUT DURUM ANALİZİ Kurumun mevcut risk yönetim altyapısının ayrıntılı bir şekilde analiz edilmesi. Temel Bileşenleri: Risk Yönetimi Ortamı Risk Yönetimi Stratejisi Sistematik ve Bütünleşik Risk Yönetim Faaliyetleri Kontrol Bilgi ve İletişim İzleme ve Sürekli Gelişim

27 HEDEF YAPININ TESPİTİ İyileştirmeler sonrasında erişilmesi arzu edilen hedef yapının belirlenmesidir. Kurumun stratejileri ve hedefleri Kurumsal risk alma profili Faaliyetlerin coğrafi dağılımı Faaliyetlerin karmaşıklık düzeyi Kurumun büyüklüğü Kurum kültürü En iyi uygulamalar Yasal düzenlemeler Menfaat gruplarının yapısı İnsan kaynakları (nitelik ve nicelik)

28 FARK ANALİZİ VE PLANLAMA Mevcut durum ile erişilmesi arzu edilen hedef yapı arasındaki farkın tespiti ve buna uygun olarak detaylı bir eylem planının oluşturulmasıdır. Görev ve Sorumluluklar Temel Dokümanlar Yöntem Eğitim İyileştirme Faaliyetleri

29 DÖNÜŞÜM SÜRECİNİN UYGULANMASI ROLLER VE SORUMLULUKLAR Tepe Yönetimin Sorumluluğu Birim Yöneticilerinin Sorumluluğu Alt Yöneticilerin Sorumluluğu Tüm Çalışanların Sorumluluğu İç Denetim Biriminin Sorumluluğu Risk Yönetimi Biriminin Sorumluluğu İzlemek Yönetmek İzlemek Uygulamak Uygulamak Uygulamak Değerlendirme k Koordine Etmek Yönetmek

30 TEMEL DOKÜMANLAR Kurumsal Risk Yönetimi Standardı Kurumsal Risk Yönetimi Politika Belgesi Kurumsal Risk Yönetimi Risk Modeli

31 EĞİTİM

32 İYİLEŞTİRME FAALİYETLERİ Sistemler ve uygulamalar açısından mevcut durum ile erişilmesi arzu edilen seviye arasındaki farkın giderilmesine yönelik faaliyetlerdir. Mevcut iş süreçlerinin yetersiz ve yanlış olması, İş modelinin kurumun mevcut ihtiyacına cevap vermeyecek yapıda olması, Teknik alt yapının yetersiz olması, İnsan kaynağının nitelik ve/veya nicelik olarak yetersiz olması, Organizasyonel yapının ihtiyaca cevap vermemesi.

33 KRY SÜRECİNİN TEMEL UNSURLARI Risklerin Tanımlanması Risklerin Analiz Edilmesi ve Ölçülmesi Risklerin Önceliklendirilmesi Risklere Uygun Çözümlerin Belirlenmesi ve Uygulanmaları Sürecin Sürekli İzlenmesi ve Gözden Geçirilmesi İletişim ve Danışma

34 KURUMSAL RİSK YÖNETİMİ SÜRECİ

35 KURUMSAL RİSK YÖNETİMİ SÜRECİ

36 KRY süreci ile aşağıdaki beş temel soruya daha doğru ve etkin cevapların bulunmasına destek olunması amaçlanmaktadır Risklerin neler olduğu gerçekten biliniyor mu? Bu riskleri etkin bir şekilde yöneterek, risk / kazanç dengesi lehte kullanılabiliyor mu? Riskler için uygun kontroller var mı? Kontroller etkili bir biçimde çalışıyor mu? Hangi kontroller iyileştirilmek / geliştirilmek zorundadır?

37 RİSKLERİN TANIMLANMASI Etkin bir risk yönetimi sistemi için iyi kurulmuş, kapsamlı ve sistematik bir risk belirleme süreci oldukça önemlidir. Risk unsurlarının belirlenmesi sırasında: 1.Tanımlanan hedeflerin gerçekleştirilmesi üzerinde etkisi olabilecek sebeplerin ve olayların kapsamlı bir listesinin oluşturulması, 2.Olaya sebep olabilecek unsurların ve senaryoların belirlenmesi, 3.Risklerin tanımlanması için kontrol listeleri, kayıtlara ve deneyimlere bağlı çıkarımlar, akış diyagramları, tartışmalar, sistem analizleri, senaryo analizleri ve sistem mühendislik teknikleri kullanılmalıdır.

38 RİSKLERİN ANALİZ EDİLMESİ VE ÖLÇÜLMESİ - Mevcut Kontrollerin İncelenmesi - Etkiler ve Olasılık Analizleri

39 ETKİ VE OLASILIK ANALİZLERİ Bilgi Kaynakları Eski kayıtlar Uygulamalar ve ilgili tecrübeler İlgili basılmış kaynaklar Pazar araştırmaları Deneyler ve prototipler Ekonomik, teknik veya diğer modeller Uzman görüşleri Yöntemler İlgili alanda uzmanlarla yapılacak görüşmeler Değişik alanlarda uzmanların bir arada kullanılması Anketler ile kişilerin değerlemeleri Modellerin ve simülasyonların kullanılması

40 RİSKLERİN ÖNCELİKLENDİRİLMESİ Amaç: Risk analizlerinin sonuçlarına bağlı olarak hangi riskin öncelikli olarak iyileştirilmesi gerektiğine karar vermek. Risklerin önceliklendirilmesi; - Risklerin analiz edilmesi ile ortaya çıkan risk önem derecesinin, önceden belirlenmiş risk kriterlerinin ve risk alma isteği ile karşılaştırılmasını - Öncelikli olarak üzerinde durulması gereken risklerin belirlenmesi Sürecini içerir.

41 UYGUN ÇÖZÜMLERİN BULUNMASI VE UYGULANMASI

42 İZLEME VE GÖZDEN GEÇİRME Sayısal ve sayısal olmayan performans ölçüm teknikleri belirlenerek uygulamaların performansı sürekli olarak yakından izlenmeli, Risk yönetim uygulamalarının sonuçlarının, genel sonuçlara ne derece yansıdığı belirlenmelidir. Zaman içerisinde risklerin etkilerini ve ihtimallerini etkileyen faktörler ve dolayısı ile riskleri yönetmek için gerekli faaliyetlerin maliyetleri ve faydaları da değişim gösterebilecektir. Bu sebeple risk yönetimi sürecini sürekli ve sistematik olarak tekrarlamak gereklidir.

43 İLETİŞİM Etkin bir kurum içi ve dışı iletişim, risk yönetimi sürecinin uygulanmasından sorumlu olanların ve menfaat sahiplerinin hangi kararların alındığını ve bunların sebeplerini açık bir şekilde anlamaları açısından oldukça önemlidir. Karşılıklı görüş alışverişine dayalı bir takım yaklaşımı, risklerin etkin bir şekilde belirlenmesinde, risklerin analiz edilmesi sırasında farklı tecrübelerin bir araya getirilmesinde, risklerin ölçülmesi sırasında değişik görüşlere yer verilmesinde ve risk yönetim stratejilerinin uygulanmasında değişim yönetiminin uygulanmasına yardımcı olacaktır.

44 DİNLEDİĞİNİZ İÇİN TEŞEKKÜRLER SORULAR???