YÖNETİCİ ÖZETİ Kurum risk analizinin altında yatan mantık, kurumun paydaşlarına değer katmasının sağlanmasıdır. Bütün kurumlar riskler ile karşılaşırlar ve yöneticiler ne kadar bir riski kabul edebileceklerine karar vermelidirler. Belirsizlik hem risk, hem de fırsatlar içerir ve katılacak değerleri azaltabilir, artırabilir de. Kurumsal risk yönetimi, yönetimin belirsizlikler ile ve risk ve fırsatlarla etkili bir şekilde ilgilenmesi, paydaşlara değer katmak için kapasitenin geliştirilmesine olanak tanır. Yönetim, stratejileri ve hedefleri, büyüme ve hedeflere ulaşma ve ilişkili riskler arasında dengeli bir şekilde dağıttığı ve kurumun kaynaklarını hedefler doğrultusunda etkili bir şekilde kullandığı zaman katılan değer maksimuma ulaşır. Kurumsal risk yönetişimi aşağıdakileri kapsar: Risk iştahı ve stratejiyi birleştirme: Yönetim, stratejik alternatifleri, ilişkili hedefleri oluştururken ve ilişkili riskleri yönetirken geliştireceği mekanizmaları geliştirirken kurumun risk iştahını göz önüne almalıdır. Risk yanıt kararlarının geliştirilmesi: Kurumsal risk yönetimi riskten sakınılması, riskin azaltılması, paylaşılması ve kabulü gibi alternatif risk yanıt seçenekleri arasından uygun olanın seçilmesi sağlar. Faaliyet istisna ve kayıplarının düşürülmesi: Kurumlar, sürprizleri ve maliyet ve kayıpları azaltarak potansiyel olaylara ve bunlara verilecek yanıtlara karşı kapasitelerini artırırlar. Çoklu ve çapraz kurumsal riskleri yönetmek: Her kurum çeşitli departmanlarını ilgilendiren çok çeşitli risklerle karşılaşır ve kurumsal risk yönetimi bağlantılı sonuçlara etkili çözümler ve çoklu risklere bütünleşmiş çözümler üretir. Fırsatları ölçüleme: Yönetim potansiyel olayların hepsini dikkate alarak proaktif olarak fırsatların gerçekleştirilmesi için çaba sarf etmelidir. Sermayenin Geliştirilmesi: Sağlam risk bilgisinin elde edilmesi yönetime sermaye ihtiyaçlarını etkili şekilde değerlendirme ve sermaye tahsisini geliştirmeye yardım eder. 1
Kurumsal risk yönetiminde bulunan bu kapasiteler, kurumun performans ve karlılık hedeflerinin gerçekleştirilmesi ve kaynak kayıplarının önlenmesine yardım eder. Kurumsal risk yönetimi etkili bir raporlama ve kanunlara ve düzenlemelere uygunluk ve kurumun saygınlığına zarar verilmesinin önlenmesi konularında yardımcı olur. Özet olarak, kurumsal risk yönetimi kurumun elde etmek istedikleri ve yol boyunca sakınmak istedikleri konusunda kuruma yardımcı olur. Olaylar Riskler ve Fırsatlar Olaylar pozitif, negatif veya her iki yönde etki yapabilir. Negatif etkili olaylar değer yaratılmasını engelleyebilen veya var olan değerlerin de aşınmasına sebebiyet verebilecek riskleri temsil eder. Olumlu olaylar, olumsuz olayların etkisini telafi edebilir veya fırsatları temsil edebilir. Fırsatlar olabilecek ve hedeflerin gerçekleşmesini olumlu yönde etkileyebilecek, değer yaratılmasını destekleyecek ve koruyacak olaylardır. Yönetim kanalları, fırsatların strateji ve hedef belirleme süreçlerinde dikkate alınmasını ve planların fırsatları kapsayacak şekilde formüle edilmesini ağlar. Kurumsal Risk Yönetiminin Tanımı Kurumsal risk yönetimi, değer yaratılması ya da var olan değerlerin muhafaza edilmesini sağlar ve aşağıdaki şekilde tanımlanmıştır: Kurumsal risk yönetimi, yönetim kurulu, yönetim ve diğer personelden etkilenen, strateji oluşturulması sürecinde ve kurumun tamamında başvurulan, kurumu etkileyebilecek olası olayları tanımlayan ve risk iştahı kapsamında bu olayları yönetebilen ve kurum hedeflerinin gerçekleştirilmesine makul güvence sağlayan bir süreçtir. Tanım bazı temel kavramları içeriyor. Kurumsal risk yönetimi; Sürekli ve kurumun tamamına yayılmış bir süreç Kurumun her seviyesindeki çalışanlardan etkilenen Strateji oluşturulması sırasında başvurulan 2
Kurumun tamamında, her seviye ve birimde ve kurum seviyesinde riskleri dikkate alan Eğer olursa, potansiyel olayların kurumu nasıl etkileyeceği ve risk iştahı içerisinde nasıl yönetileceği Kurum yönetimine ve yönetim kuruluna makul güvence sağlanması. Hedeflerin bir veya daha fazla sayıda fakat birbiriyle örtüşen kategorilere ayrılması. Yukarıdaki tanım amaca uygun olarak geniş bir tanımdır. Bu tanım, şirketler ve diğer örgütlerin riskleri nasıl yöneteceği bağlamında kurum, endüstri ve sektör bazında temel kavramları içerir. Bu tanım bir kurum tarafından oluşturulmuş hedefler üzerinde doğrudan vurgu yaptığı gibi kurumsal risk yönetiminin etkinliğinin tanımlanması için de bir temel oluşturur. Hedeflerin Gerçekleştirilmesi Var olan misyon ve vizyonları doğrultusunda yönetim, kurum hedeflerini seçer, stratejilerini oluşturur. Kurumsal risk yönetimi şeması kurumun hedeflerini dört bölümde gerçekleştirmeye çalışır: Stratejik misyonu destekleyen ve misyonla işbirliği içerisinde, yüksek hedefler Faaliyetler kaynakların etkili ve verimli kullanımı Raporlama raporlamanın güvenilirliği Uygunluk - başvurulabilir kanun ve yönetmeliklere uygunluk Kurum hedeflerinin bu şekilde sınıflandırılması kurumsal risk yönetiminin farklı yönlerine vurgu yapar. Bu ayrı fakat örtüşen kategoriler - bir hedef birden fazla kategoriye girebilir - farklı ihtiyaçlara yöneliktir ve farklı yöneticilerin sorumluluğunda olabilir. Bu ayrım ayrıca her bir hedef kategorisinden beklentiler arasında ayrıma da müsaade eder. Kaynakların korunması adı altında ayrı bir kategori daha bazı kurumlar tarafından kullanılmaktadır. Kurum kontrolü içerisindeki kanun ve düzenlemelere uygunluk ve raporlamanın güvenilirliğine dair hedefler sayesinde, kurumsal risk yönetimi hedeflerin 3
gerçekleştirilmesi bağlamında makul güvence sağlar. Stratejik hedeflerin ve faaliyet hedeflerinin gerçekleştirilmesi, sadece kurum içerindeki kontrollere değil, aynı zamanda dış gelişmelere de bağlıdır ve kurumsal risk yönetimi yönetime bu bağlamda da zamanında, geniş bir bakış açısı sağlar. Kurumsal Risk Yönetiminin Öğeleri Kurumsal risk yönetimi 8 ilişkili öğeden oluşur. Bunlar: İç Çevre İç ortam ile kastedilen, kurumda çalışanların risk algılamasının nasıl olduğu, risk iştahı, bütünlük ve etik değerler, kurumun faaliyet gösterdiği ortamdır. Hedef Belirleme Hedefler, hedeflere ulaşılmasını etkileyebilecek olası olaylardan önce var olmalıdır. Kurumsal risk yönetimi, seçilen hedeflerin kurumun misyonu ile uyumlu olmasını ve risk iştahı ile uyuşmasını sağlar. Olay Tespiti Kurum hedeflerinin gerçekleştirilmesinde etkili olabilecek iç ve dış olayların tespiti ve risk ve fırsatlar arsında ayrıma gidilmesi. Fırsatlar, yönetimin strateji ve hedef belirleme süreçlerine kanalize edilmelidirler. Risk Değerlendirmesi: Riskler, nasıl yönetileceklerine temel oluşturmak üzere oluşma ihtimalleri ve etkileri dikkate alınarak analiz edilmelidirler. Riske Yanıt Çalışanlar; riskten kaçınılması, riskin kabul edilmesi, azaltılması ve paylaştırılması ihtimallerini tespit eder ve değerlendirir. Kontrol faaliyetleri: Risklere karşı etkili çözümler üretebilmek için politika ve prosedürler kurulmalı ve uygulanmalıdır. Bilgi ve İletişim: Personelin görevini yerine getirmesini sağlayacak bilgi zamanında ve form şeklinde ilgililere iletilmelidir. İletişim, aşağıdan yukarıya, yukarıdan aşağıya, çapraz gibi geniş bir bağlamda ele alınmalıdır. İzleme: Kurumsal risk yönetiminin bütünlüğü gözden geçirilmeli ve gerekli olan düzeltmeler yapılmalıdır. İzleme, düzenli izleme faaliyetleri şeklinde olabileceği gibi, ayrı bir değerlendirme veya ikisi bir arada olabilir. Kurumsal risk yönetimi, katı şekilde uygulanan, bir aşaması diğer bir aşamayı etkileyen bir dizilim şeklinde değil, çok yönlü, herhangi bir aşaması diğerlerini etkileyebilen bir süreçtir. 4
Hedefler ve Öğelerin İlişkisi Kurumun gerçekleştirmek istediği hedefleri ile bu hedefleri geçekleştirmek için ihtiyaç duyulan kurumsal risk yönetiminin öğeleri arasında doğrudan bir ilişki vardır. Bu ilişki, üç yönlü, küp şeklinde bir ilişkidir. Internal Control - Integrated Framework, COSO Dört hedef kategorisi stratejik, faaliyetler, raporlama, uyum dikey kolonlarda; sekiz öğe yatay sütunlarda ve kurumun birimleri 3. boyutta gösterilmiştir. Bu çizim, kurumun kurumsal risk yönetimi veya hedefler, öğeler ve birimler arasındaki bütünlüğü betimler. Etkinlik Kurumun kurumsal risk yönetiminin etkin olup olmadığı 8 öğenin fonksiyonlarını yerine iyi bir şekilde getirip getiremediği konusunda yapılan bir değerlendirme üzerine karar verilebilir. Bu nedenle, öğeler kurumsal risk yönetimi için kriter teşkil eder. Söz konusu öğelerin uygun bir şekilde işleyebilmesi için maddi zayıflıklar olmamalıdır ve riskler kurumun risk iştahı dâhilinde bulunmalıdır. Kurumsal risk yönetimi, 4 hedef kategorisinin her birisinde etkili olmalıdır, sırasıyla, yönetim kurulu ve yönetime kurumun stratejik ve faaliyet hedeflerinin gerçekleştirilmesi konusunda makul güvence sağlamalıdır, raporlama güvenilir olmalıdır, kanun ve diğer düzenlemeler ile uyumlu olmalıdır. 5
8 unsur her kurumda tipik olarak işlemeyecektir. Örneğin 8 unsurun uygulanması küçük ve orta ölçekli kurumlarda daha az resmi ve yapısaldır. Buna rağmen, ufak ölçekli kurumlar da her bir öğe bulunduğu ve işlediği müddetçe etkili bir kurumsal risk yönetimine sahip olabilirler. Kısıtlamalar Kurumsal risk yönetimi önemli faydalar sağlamakla birlikte kısıtlamaları da vardır. Bu sınırlamalar insanın doğasından kaynaklanan karar verme aşamasındaki hatalar, kontrollerin kurulmasının fayda-maliyet analizindeki yanlışlıklar, iki veya daha fazla çalışanın birlikte hile yapması ve yönetimin kurumsal risk yönetimi bulgularını görmezden gelmesi gibi kısıtlamalardır. Bu sınırlamalar, yönetim kuruluna ve yönetime hedeflerin gerçekleştirilmesi bağlamında mutlak güvence sağlanmasına engel olur. İç Kontrolün Kuşatılması İç kontrol kurumsal risk yönetiminin bir parçasıdır. Kurumsal risk yönetimi yapısı iç kontrolü kuşatır, yönetime daha sağlam bir kavramsallık ve araç sağlar. İç kontrol, İç Kontrol Bütünsel Yapı bölümünde tanımlanmıştır. Bu yapı, var olan kurallar, düzenlemeler için temel oluşturduğu için iç kontrol için bir yapı oluşturur. İç Kontrol Bütünsel Yapı, kurumsal risk yönetimi yapısı içerisinde tekrar türetilir, İç Kontrol Bütünsel Yapı nın bütünlüğü kurumsal risk yönetimi yapısına referans yapılarak ve işbirliği içerisinde olunarak sağlanır. Roller ve Sorumluluklar Kurum içerisindeki herkes kurumsal risk yönetimi bağlamında sorumluluğa sahiptir. CEO, tamamıyla kurumsal risk yönetiminden sorumludur ve bunu sahiplenmelidir. Diğer müdürler kurumun kurumsal risk yönetimi felsefesini desteklemeli, risk iştahı ile uyumluluğunu sağlamalı ve sorumluluk alanlarındaki riskleri risk toleransları dâhilinde yönetmelidirler. Risk görevlisi, mali işlerden sorumlu çalışan, iç denetçi ve diğerleri genellikle anahtar sorumluluklara sahiptirler. Diğer kurum çalışanlar oluşturulmuş olan direktif ve protokollere göre kurumsal risk yönetimini uygulamak zorundadırlar. Yönetim kurulu, kurumsal risk yönetimine önemli bir gözetim sağlar. 6
Bu raporun Organizasyonu Bu rapor iki bölümden oluşuyor. İlk bölüm, bu özetin yanında Çerçeve yi kapsıyor. Çerçeve, kurumsal risk yönetimini, prensip ve kavramlarını tanımlar, kurumun her aşamasındaki yönetim için kurumsal risk yönetimini geliştirmek ve etkinliğini sağlamak için rehberlik eder. Bu özet, yönetim kesimindeki CEO, diğer üst yöneticiler, yönetim kurulu üyeleri ve düzenleyiciler için hazırlanan genel bir açıklama mahiyetindedir. İkinci bölüm ise, Uygulama Teknikleridir; söz konusu çerçevenin öğelerinin uygulanması için faydalı teknikler içerir. Bu Raporun Kullanımı Bu raporun sonucunda yapılması gerekli olarak önerilenler ilgili kısımlara göre değişmektedir: Yönetim Kurulu Kurul, üst yöneticilerle kurumsal risk yönetiminin durumunu görüşmeli ve gerekli olan gözetimi sağlamalıdır. Kurul, en önemli risklerden haberdar edildiğini ve yönetimin ne tür önlemler aldığını, ve kurumsal risk yönetimini nasıl sağladığı konusunda bilgi sahibi olmalıdır. Kurul, iç ve dış denetçiler ile diğerlerinden gerekli desteği almalıdır. Üst Yönetim Bu çalışma CEO nun kurumun kurumsal risk yönetimi yeterliliğini değerlendirmesini önerir. Bir yaklaşıma göre CEO, birim müdürleri ve kilit pozisyonlardaki personel ile kurumun kurumsal risk yönetimi yeterliliği hakkında başlangıç değerlendirmesi için bir araya gelir. Toplanma şekli nasıl olursa olsun başlangıç değerlendirmesi, kurumsal risk yönetimine ihtiyaç olup olmadığını ve nasıl başlatılacağını geniş kapsamlı ve derinlemesine ele almalıdır. Diğer Kurum Personeli - Müdürler ve diğer personel bu çerçevenin ışığında sorumluluklarını nasıl yerine getirdiklerine dikkate almalıdırlar ve kurumsal risk yönetimini güçlendirmek için üst yönetimin ileri sürdüğü fikirleri ele almalıdırlar. İç denetçiler kurumsal risk yönetimi hakkındaki vurgularının kapsamını ele almalıdırlar. 7
Düzenleyiciler Bu çerçeve kurumsal risk yönetiminin ne yapabileceği ve kısıtlamaları hakkında paylaşılan görüşleri artırabilir. Düzenleyiciler, beklentilerin oluşturulması sırasına bu çerçeveyi kural ya da rehber olarak alabilirler. Profesyonel Örgütler Kural koyucu ya da mali yönetim, denetim ve ilişkili konularda rehberlik sağlayan diğer profesyonel örgütler standartlarını ve rehberliklerini bu çerçevenin ışığında düşünmelidirler. Kavram ve terminolojideki çeşitliliğin azaltılması her kesimin faydasına olacaktır. Eğitimciler Bu çerçeve, geliştirmeler yapabilmek için akademik araştırma ve analiz konusu olmalıdır. Bu raporun genel bir zemin oluşturduğu varsayımı altında, bu raporun terimleri ve kavramları üniversite programlarında yer almalıdırlar. Karşılıklı anlayışın kurulması ile bütün taraflar ortak bir dil konuşacaklar ve daha etkin bir şekilde iletişim kuracaklardır. Kurum yöneticilerine, kurumlarının kurumsal risk yönetimlerini standartlara göre değerlendirecek şekilde pozisyon verilmeli, süreç daha da güçlendirilmeli ve kurumları hedeflerine doğru yönlendirilmelidirler. Gelecekteki araştırmalar var olan temel üzerinde olmalıdır. Kanun koyucu ve düzenleyiciler kurumsal risk yönetiminin artı ve eksileri konusunda daha fazla bilgi ve anlayışa sahip olabilirler. Ortak bir kurumsal risk yönetimini kullanan bütün taraflar için, bu faydalar gerçekleşecektir. 8
KURUMSAL RİSK YÖNETİMİ BÜTÜNLEŞMİŞ ÇERÇEVE Çerçeve Eylül 2004 9
1. TANIM Bölüm Özeti: Bütün kurumlar belirsizliklerle karşılaşır ve yönetim paydaşlarına değer katmak için ne kadar bir belirsizliği kabul edebileceğine karar vermelidir. Kurumsal risk yönetimi, yönetime belirsizlik bağlamında riskleri tespit etme, değerlendirme ve yönetme imkanı sağlar ve değer oluşturma ve var olan değerleri korumanın bir parçasıdır. Kurumsal risk yönetimi, kurumu etkileyebilecek potansiyel olayların tanımlanması, risklerin risk iştahı kapsamında yönetebilmesi ve kurumun hedeflerinin gerçekleştirilmesi bağlamında makul güvence sağlaması için tasarlanmıştır. Bu, yönetimin kurumu yönettiği yolun bir parçası olan sekiz ilişkili öğeden oluşur. Bu öğeler, kurumsal risk yönetiminin etkinliğine karar verilmesinde kriter olarak da hizmet ederler. Bu çerçevenin kilit amacı işletmelerin ve diğer kurumların hedeflerine ulaşırken karşılaşabilecekleri risklerle daha iyi mücadele edebilmek için kurum yönetimlerine yardım etmektir. Fakat kurumsal risk yönetimi farklı kişilere farklı manalar ifade etmekte bu da ortak bir anlayışa ulaşılmasını engellemektedir. Bu bağlamda, önemli bir hedef, ortak bir tanımın oluşturulması, öğelerin ve çeşitli kavramların tanımlanmasıdır. Bu çerçeve, birçok bakış açısını ele alır ve kurumsal risk yönetiminin bireysel değerlendirilmeleri ve geliştirilmesi, düzenleyici organların gelecekteki girişimleri ve eğitim için bir başlangıç noktası teşkil eder. Belirsizlik ve Değer Kurumsal risk yönetiminin temel amacı kâr amaçlı olsun ya da olmasın, kamu ya da özel kuruluş bütün kurumların paydaşlarına değer katmaktır. Bütün kurumlar belirsizlikle karşılaşır ve yönetim, paydaşlara değer katmak için bu risklerin ne kadarını kabul etmesi gerektiğine karar vermelidir. Belirsizlik hem risk hem de fırsat demektir, hem değer kaybına hem de değer katılmaya sebebiyet verebilir. Kurumsal risk yönetimi, yönetime belirsizliklerle etkili bir şekilde ilgilenme, riskler ile fırsatları ilişkilendirme ve bu sayede kurumun değer oluşturma kapasitesini geliştirmesine olanak tanır. Kurumlar, küreselleşme, teknoloji, değişen piyasa ve rekabet koşulları ve değişen düzenlemeler nedeniyle belirsizliklerin oluştuğu bir ortamda faaliyet gösterirler. Belirsizlikler, olayların gerçekleşme ihtimali ve etkilerinin derecesinin doğru bir şekilde tahmin edilmesi 10
noktasındaki yetersizliklerden kaynaklanır. Belirsizlikler ayrıca kurumun stratejik tercihlerinden de kaynaklanır. Örneğin, bir kurum yeni bir ülkeye açılmaya dayalı bir büyüme stratejisi belirlemiştir. Bu strateji, yeni ülkenin politik istikrarı, kaynakları, dağıtım kanalları, iş gücünün durumu ve maliyetlere göre riskleri ve fırsatları beraberinde getirmektedir. Yönetimin strateji belirlemeden, kurumun günlük faaliyetlerini yerine getirmeye kadar ilgili bütün kararları değer oluşuma ya katkı yapar ya korunmasını sağlar, ya da erozyona uğratır. Değer oluşturulması, kaynakların; insanlar, teknoloji ve sermayenin planlı bir şekilde yerleştirilmesi süreci ile olur. Değerin muhafaza edilmesi üst kalite ürün, ürün kapasitesi ve müşteri memnuniyeti gibi birçok faktörün devam etmesi ile sağlanır. Değer kaybı ise, bu sayılan faktörlerin yetersiz bir strateji ya da uygulama nedeniyle gerçekleştirilememesi nedeniyle oluşur. Karar verme durumlarında risk ve fırsatları fark edebilmek için yönetim iç ve dış ortamları, kaynakların yerleştirilmesini ve değişen şartlara uyum sağlama çabalarını göz önünde bulundurmalıdır. Yönetim, büyüme ve hedefler ile ilişkili riskler arasında en uygun dengeyi kuracak şekilde strateji ve hedefleri belirlemeli ve bu hedefler doğrultusunda kaynaklarını dağıtmalıdır. Kurumsal risk yönetimi aşağıdakileri kapsar: Risk İştahı ve Stratejinin Uyumlaştırılması Yönetim, stratejik alternatifleri değerlendirirken ilk önce risk iştahını dikkate alır, sonra bu stratejilere göre de hedeflerini belirler ve ilişkili riskleri yönetebilmek için mekanizmalar geliştirir. Örneğin, bir ilaç şirketi marka değerine göre düşük risk iştahına sahip ise, marka değerini korumak için daha geniş protokoller uygulamaya koyar ve düzenli olarak Ar- Ge çalışmaları için yatırımlar yapar ve değer yaratılmasını destekler. Risk Yanıt Kararlarının Geliştirilmesi - Kurumsal risk yönetimi, alternatif risk yanıtlarının riskten kaçınma, azaltma, paylaşma ve riski kabul etme tespit edilmesini ve uygun olanının seçilmesini sağlar. Örneğin, bir şirket yönetimi, ürünlerinin dağıtımında şirkete ait ve şirket tarafından kullanılan araçların bulunması durumunda araçların arıza yapması, yaralanmalar gibi risklerle karşılaşabilir. Mümkün olan alternatifler; şoförlerin etkili bir şekilde istihdam edilmesi ve eğitimi, dağıtımın başka bir firmaya verilerek riskten kaçınılması, sigorta yapılarak risklerin paylaşılması veya risklerin olduğu gibi kabul edilmesi şeklinde olabilir. Kurumsal risk yönetimi, bu 11
tercihleri ve bu tercihler arasında karar verilmesini sağlayacak yöntem ve teknikleri sağlar. Faaliyet İstisna ve Kayıplarının Azaltılması: Potansiyel olayların tespit edilmesi, risklerin değerlendirilmesi ve bunlara çözüm üretme kapasitesinin geliştirilmesi istisnaların oluşmasını ve ilişkili maliyet ve kayıpların azalmasını sağlar. Örneğin, bir üretim şirketi, üretim aşamalarını takip eder ve ortalamalar etrafındaki oynamaları izler. Şirket, sapmaların giderilmesi için gerekli zamanı, müşteri memnuniyetsizliği, çalışan güvenliği ve zamanında sorunun ortadan kaldırılmasının, kaldırılmamasına göre maliyetleri gibi birçok kriteri kullanarak sapmaların etkisini değerlendirir. Kurum Çapındaki Risklerin Tespiti ve Yönetilmesi Her kurum, kurumun farklı bölümlerini etkileyen birçok riskle karşılaşır. Yönetim, sadece bireysel riskleri yönetmeye değil, ayrıca bu risklerin ilişkili etkilerini anlamaya da çalışır. Örneğin bir banka, pazarlama faaliyetleri kapsamında birçok riskler ile karşılaşır ve banka yönetimi, iç sistemlerden elde edilen piyasa verileri ve işlemlerle ilgili bilgileri ve dışarıdan elde edilen ilişkili bilgileri bir araya getirerek bütün pazarlama faaliyetleri ile ilgili risklere bütüncül bir bakış sağlayabilecek bir bilgi sistemi geliştirir. Bu sistem, oluşturulmuş kategorilerdeki risk toleranslarına karşılık gelen riskleri de belirler. Bu sistem, belirli bir amaç doğrultusunda olduğu kadar toplu bir değerlendirme yapmak amacıyla da, risklere daha etkin bir karşılık verilebilmesi için daha önce birbirinde tamamen ayrı olan verileri de bir araya getirir. Çoklu Risklere Karşı Bütüncül Çözümler Sağlar İşletme süreçleri birçok olağan riskler içerir ve kurumsal risk yönetimi bu riskleri yönetmek için bütüncül çözümlere olanak tanır. Örneğin toptan ürün satan bir distribütör, stok fazlalığı ya da eksikliği, arz kaynaklarının kırılgan olması ve gereksiz yere yüksek olan satın alma fiyatları ile karşılaşabilir. Bu bağlamda yönetim, şirketin stratejisi, hedefleri ve alternatif çözümler doğrultusunda riskleri tespit eder ve değerlendirir ve uzun vadeli bir envanter sistemi geliştirir. Bu sistem, tedarikçiler ile gerçekleştirilen satışları ve envanter kayıtlarını entegre eder ve stratejik ortaklıklara imkan verir ve uzun vadeli tedarik sözleşmeleri ile stokların yetmemesi veya stokların fazla gelmesi sonucu gereksiz maliyetler katlanılması gibi durumları engeller ve fiyat avantajları sağlar. Tedarikçiler, bu uzun 12
vadeli sözleşmeler sayesinde stokların yenilenmesi ve daha fazla ıskonto yapılması yönünde sorumluluk alırlar. Fırsatları Yakalama Potansiyel bütün olaylar, sadece riskler değil aynı zamanda fırsatlar da yönetimce tespit edilir. Örneğin, bir gıda şirketi sürdürülebilir gelir artışı hedefini etkileyebilecek potansiyel olayları tahmin eder. Olayları tahmin ederken, yönetim müşterilerinin sağlık konusunda daha hassas olmaya başladıklarını ve tercihlerinin değiştiğini ve gelecekte kurumun ürünlerine olan talepte düşüş yaşanacağını fark etti. Bu duruma çözüm bulmak için yönetim sadece mevcut müşterilerini koruyacak değil aynı zamanda müşteri tabanın daha da geliştirecektir. Sermeyenin Geliştirilmesi - Riskler hakkında sağlam bir bilgi elde edilmesi yönetime sermaye ihtiyacı ve sermaye dağıtımının geliştirilmesi konusunda etkili bir değerlendirme olanağı şansı verir. Örneğin, bir finans kurumunun, yönetimin kredi ve işlem risklerini ve bunlarla ilişkili sermaye ihtiyaçlarını daha hassas bir şekilde hesaplamaması durumunda karşılaşacağı yeni düzenlemelerle karşı karşıya kaldığını kabul edelim. İlgili şirket, sistem geliştirme maliyeti ve ek sermaye maliyeti bağlamında riski değerlendirdi. Mevcut olan, geliştirilebilir yazılım sayesinde, kurum ek sermaye maliyetinden kaçınarak daha kesin hesaplamalar geliştirdi. Kurumun performans ve kârlılık hedeflerinin gerçekleştirilmesine ve kaynak kayıplarının azaltılmasına yardım eden tüm bu yeterlilikler kurumsal risk yönetiminde mevcuttur. Kurumsal risk yönetimi, etkili raporlamaya da yardım eder. Ayrıca, kurum işlemlerinin kanun ve düzenlemelerle uyumlu olmasını sağlar ve kurumun saygınlığının zarar görmesini engeller. Özet olarak, kurumsal risk yönetimi kurum nereye gitmek istiyorsa oraya gitmesini ve yol boyunca sürprizlerden kaçınmasını sağlar. Olaylar Riskler ve Fırsatlar Bu olaylar, kurum içerisinden ya da dışarısından kaynaklanan ve kurum hedeflerine ulaşılmasını etkileyen unsurlardır. Bu olaylar olumlu, olumsuz ya da her iki yönde etkide bulunabilirler. Olumsuz etkileri olan olaylar riskleri temsil eder. Buna göre risk şöyle tanımlanmıştır: 13
Risk, gerçekleşme ihtimali olan ve gerçekleştiğinde kurum hedeflerine ulaşılmasını olumsuz yönde etkileyen olaylardır. Negatif etkisi olan olaylar paydaşlara değer katılmasını engeller veya var olan değeri olumsuz yönde etkilerler. Örneğin fabrika üretimindeki aksaklıklar, yangın veya kredi kaybı gibi. Bu tür negatif olaylar olumlu gibi görünen olaylardan, örneğin müşteri taleplerinin üretim kapasitesini aşması ve talebin karşılanamaması ve bunun müşteri bağlılığına zarar vermesi ve gelecekte siparişlerin düşmesi gibi olaylardan da kaynaklanır. Pozitif etkisi olan olaylar negatif etkileri telafi edebilir veya fırsatları temsil edebilir. Fırsat, gerçekleşme ihtimali olan ve gerçekleştiğinde kurum hedeflerine ulaşılmasını olumlu yönde etkileyen olaylardır. Fırsatlar, değer oluşturulmasını ya da var olan değerlerin muhafazasını sağlar. Yönetim, fırsatları strateji ve hedef belirleme süreçlerine kanalize eder ve bu sayede işletme faaliyetlerinin fırsatların yakalanması yönünde yeniden düzenlenmesini sağlar. Kurumsal Risk Yönetiminin Tanımı Kurumsal risk yönetimi değer oluşturulması ya da var olan değerlerin korunması için fırsatlar ve risklerle ilgilenir ve aşağıdaki şekilde tanımlanmıştır: Kurumsal risk yönetimi, yönetim kurulu, yönetim ve diğer personelden etkilenen, strateji oluşturulması ve bu stratejinin tüm kuruma yayılmasında başvurulan, kurumu etkileyebilecek potansiyel olayların tespit için tasarlanan, risk iştahı dâhilinde riskleri yöneten ve kurum hedeflerinin gerçekleştirilmesi için makul güvence sağlayan bir süreçtir. Bu tanım bazı temel kavramları kapsar. Kurumsal risk yönetimi: Sürekli ve kurum boyunca devam eden bir süreç Kurumun her seviyesindeki çalışan tarafından etkilenen Strateji oluşturulması aşamasında başvurulan 14
Bütün kurum çapında, her birim ve düzeyde uygulanan ve kurum seviyesinde risk görüşü portföyü oluşturulmasını kapsar. Kurumu etkileyebilecek potansiyel olayların tespiti ve risklerin risk iştahı dâhilinde yönetimi için tasarlanmış Kurum yönetimine ve yönetim kuruluna makul güvence sağlayabilen Bir ya da birden fazla fakat birbiriyle örtüşen kategoriye ayrılmış ve kurum hedeflerinin gerçekleştirilmesine yönelik; hedefe yönelik bir araç, kendisi hedef değil. Bu tanım, çeşitli nedenlerle bilinçli olarak geniş tutulmuştur. Bu tanım şirketlerin ve diğer örgütlerin riskleri nasıl yöneteceği ve çeşitli örgüt, endüstri ve sektörlerde uygulama ile ilgili bir temel sağlayacak kilit kavramları içerir. Kurumca belirlenmiş olan hedeflerin gerçekleştirilmesi üzerinde doğrudan vurgu yapar. Daha sonraki bölümde tartışılmış olan kurumsal risk yönetiminin etkinliğinin tanımı için de bir temel sağlar. Aşağıdaki bölümde, yukarıda bahsedilen temel kavramlar tartışılmaktadır. Süreç Kurumsal risk yönetimi statik değil aksine, kuruma nüfuz etmiş faaliyetlerin, sürekli veya tekrarlayan karşılıklı bir etkileşimidir. Bu faaliyetler, yönetim tarafından kurumun idare edilmesi sırasında ortaya çıkan içsel ve yayılıcı işlemlerdir. Kurumsal risk yönetimi, kurumsal risk yönetimini kurum faaliyetlerine eklenmiş bir şey olarak gören gözlemcilerin kabul ettiğinden farklıdır. Bu etkili bir kurumsal risk yönetiminin ayrı bir çaba gerektirmediği manasına gelmez. Örneğin, güncel ve potansiyel risklerin dikkate alınması bağlamında gerekli modellerin geliştirilmesi ve analizlerin ve hesapların yapılması için ayrı bir çabaya ihtiyaç duyulabilir. Fakat bu kurumsal risk yönetimi mekanizmaları kurumun faaliyetleri ile ilişkilidir ve temel işletme nedenleriyle bulunur. Bir kurum, kurumsal risk yönetimini oluşturarak stratejisini uygulama ve misyonunu gerçekleştirme kapasitesini etkileyebilir. Özellikle birçok şirketin oldukça aşırı rekabet koşullarında karşılaştığı gibi, kurumsal risk yönetiminin oluşturulması maliyetlerin kısılmasına yönelik önemli sonuçlara sahiptir. Yeni prosedürler eklemek yeni maliyetler ekler. Mevcut operasyonlar ve onların etkili kurumsal 15
risk yönetimine katkısına vurgu yapılmasıyla ve kurumsal risk yönetiminin temel operasyonlara entegre edilmesiyle bir kurum gereksiz prosedür ve masraflardan kaçınabilir. Ayrıca kurumsal risk yönetiminin var olan operasyonlara entegre edilmesi kurumun büyüme fırsatlarını yakalayabilmesi için fırsatları tespit etmesine yardımcı olur. İnsanlar Tarafından Etkilenme Kurumsal risk yönetimi; yönetim kurulu, yönetim ve diğer personelden etkilenir. Kurumsal risk yönetiminin başarıyla yönetilmesi, kurum personelinin ne yaptığı ve söylediği ile yakından ilgilidir. Çalışanlar kurumun stratejisini, misyonunu ve hedeflerini belirlerler ve kurumsal risk yönetimini uygulamaya sokarlar. Benzer şekilde, kurumsal risk yönetimi çalışanların işlemlerini etkiler. Kurumsal risk yönetimi, çalışanların her zaman için olayları anlamadıklarını, sağlıklı iletişim kurumadıklarını ve uygun bir şekilde işlemleri yürütemedikleri durumların olduğunu ortaya çıkarır. Her bir birey iş ortamına kendine has bir altyapı ve teknik yetenek getirir ve farklı önceliklere ve ihtiyaçlara sahiptir. Bu gerçekler kurumsal risk yönetimini etkiler ve ondan etkilenir. Her bir çalışan kendine has bir bakış açısına sahiptir ve bu kişinin riskleri nasıl tanımladığı, değerlendirdiği ve risklere nasıl çözüm bulduğunu etkiler. Kurumsal risk yönetimi çalışanlara hedeflere ulaşılmasında karşılaşılabilecek riskleri anlamalarını sağlayacak mekanizmaları sağlar. Çalışanlar sorumluluklarını ve yetki sınırlarını bilmelidirler. Buna bağlı olarak, çalışanların sorumlulukları ile bu sorumlulukları gerçekleştiği yöntemleri arasında ve kurumun stratejisi ve hedefleri arasında açık ve sıkı bir bağlantı olmalıdır. Bir kurumun çalışanları yönetim kurulu üyeleri, yönetim ve diğer personelden oluşur. Yönetim kurulu üyeleri temelde gözlem görevi yapmakla birlikte stratejilerin, belli işlemlerin ve politikaların yönlendirilmesi ve onaylanmasında da sorumluluk alırlar. Bu bağlamada, yönetim kurulu kurumsal risk yönetiminin önemli bir öğesidirler. 16
Strateji Oluşturulması Sırasında Başvurulması Bir kurum misyon ve vizyonunu belirler ve bunlarla uyumlu stratejik hedeflerini ve bu hedeflerini gerçekleştirmek için stratejisini oluşturur. Ayrıca, kurum stratejisinden kaynağını alan hedefleri ile ilişkili ve her bir birime, sürece dağıtılmış hedeflerini belirler. Kurumsal risk yönetimine, yönetimin alternatif stratejilere göre riskleri dikkate aldığı strateji oluşturulması sürecinde başvurulur. Örneğin, piyasa payının artırılması için bir alternatif diğer bir şirketin satın alınmasıdır. Diğer bir ihtimal kâr marjlarını artırmak için maliyetlerin kısılmasıdır. Bu alternatiflerin her ikisi de birçok riski beraberinde getirir. Eğer ilgili kurum ilk alternatifi seçerse, yeni ve tanışık olmadığı bir piyasaya doğru genişleyebilir ve rakipleri kurumun ilk olarak bulunduğu piyasadaki payının bir kısmını elinden alabilir veya kurum stratejisini etkili bir şekilde uygulayamayabilir. İkinci alternatifte, yeni teknoloji ve tedarikçiler kullanmayı veya yeni ortaklıklar kurma riskleri olabilir. Kurumsal risk yönetimi teknikleri bu aşamada yönetime kurum strateji ve hedeflerini seçmede yardımcı olur. Kurumun Tamamında Geçerli Kurumsal risk yönetimine başvururken kurumun bütün faaliyetleri göz önüne alınmalıdır. Kurumsal risk yönetimi, kurum seviyesindeki stratejik planlama ve kaynak yerleştirilmesi gibi faaliyetler, pazarlama ve insan kaynakları gibi birim faaliyetleri ve üretim ve yeni müşteri bulunması gibi işletme faaliyetleri gibi kurumun bütün seviyelerindeki işlemlerini dikkate alır. Kurumsal risk yönetimi, ayrıca özel projelere ve kurum hiyerarşisi veya organizasyonunda yeri olmayan yeni girişimlere de uygulanabilir. Kurumsal risk yönetimi, kurumun risklerle ilgili bir portföye sahip olmasını gerektirir. Bu her bir yöneticinin bir birim, süreç veya faaliyetle ilgili risk değerlendirmesi geliştirmesinde yer almasını gerektirir. Bu değerlendirme nicel ve nitel olabilir. Farklı seviyelerdeki kişilerin görüşlerinin bir araya getirilmesiyle üst yönetim, kurumun risk portföyünün kurumun risk iştahı ile uyumlu olup olmadığına karar verir. Yönetim, kurum seviyesindeki risk portföyü perspektifinden birbirleriyle ilişkili riskleri dikkate alır. Tek tek ele alındığında birimler için risk toleransı dâhilinde olan bir risk bir bütün olarak ele alındığında kurumun risk iştahını aşabilirler veya tam tersi olarak, bir birim 17
için kabul edilemez olay bir risk içeren bir olay, tüm birimler için düşünüldüğünde dengelenebilir. Birbirleriyle ilişkili olan riskler tespit edilmeli ve bu sayede riskin bütünlüğü sağlanarak kurumun risk iştahı ile uyumlu olması sağlanmalıdır. Risk İştahı Risk iştahı, geniş kapsamlı ele alınacak olursa, kurumun bir katma değeri elde etmek için göze aldığı risk miktarıdır. Risk iştahı, kurumun risk yönetim felsefesini ve bu bağlamda kurumun kültürünü ve faaliyet yöntemini yansıtır. Birçok kurum risk iştahını nicel olarak; yüksek, orta ve düşük kategorileri şeklinde ele alırken bir kısmı da büyüme ve risk gibi nitel unsurları yansıtan ve birbirlerini dengeleyen bir nitel yaklaşımla ele alır. Yüksek risk iştahına sahip bir şirket, yeni gelişmekte olan piyasalara sermayesinin daha büyük bir kısmını ayırabilir. Tam tersine, düşük risk iştahına sahip bir şirket, sadece istikrarlı piyasalara yatırım yaparak kısa vadeli sermeye kaybı risklerini sınırlandırabilir. Risk iştahı, doğrudan doğruya kurumun stratejisi ile ilgilidir. Risk iştahı, farklı stratejiler kurumun farklı risklerine hükmettiği için strateji oluşturulması sırasında dikkate alınırlar. Kurumsal risk yönetimi, beklenen katma değer ile kurumun risk iştahının uyumlaştırılmasını sağlayan bir stratejinin belirlenmesi sağlar. Kurumsal risk yönetimi, kaynak yerleştirilmesine de rehberlik eder. Yönetim, kaynakları işletme birimleri ve girişimler arasında kurumun risk iştahı ve birimlerin tahsis edilen kaynaklardan arzu edilen çıktı miktarını elde etmek için yaptıkları planı dikkate alarak dağıtır. Yönetim, risk iştahını örgüt, çalışan ve süreçlerle işbirliği içerisinde düşünür ve altyapısını riskleri etkili bir şekilde izleyebilecek ve tepki verebilecek şekilde tasarlar. Risk toleransı, kurumun hedefleri ile ilişkilidir ve belli bir hedefin gerçekleştirilmesine ilişkin kabul edilebilir bir sapma derecesidir. Risk toleransı oluşturulurken, yönetim ilişkili hedefin göreceli önemini dikkate alır ve risk toleranslarını risk iştahları ile kesiştirir. Risk toleransları dâhilinde faaliyet gösterilmesi, kurumun risk iştahı içerisinde kalmasını ve bunun sonucunda hedeflerini gerçekleştirmesine yardım eder. 18
Makul Güvence Sağlar İyi tasarlanmış bir kurumsal risk yönetimi, yönetim kuruluna ve yönetime kurum hedeflerinin gerçekleştirilmesi bağlamında makul güvence sağlayabilir. Makul güvence, hiç kimsenin kesin olarak bilemeyeceği geleceğe ilişkin belirsizlik ve risklerin tasavvurlarını yansıtır. Makul güvence, kurumun sık sık başarısız olacağı manasına da gelmez. Bireysel ya da kollektif olarak birçok faktör makul güvence kavramını destekler. Birçok hedefi ve iç kontrol unsurlarını destekleyen riske verilen tepkilerin kümülatif etkisi, kurumun hedeflerini gerçekleştirememe risklerini azaltır. Buna ek olarak, kurumun çeşitli seviyelerinde görev alan personelin günlük olarak yaptığı işleri ve sorumlulukları hedeflerin gerçekleştirilmesine yönlendirilir. Gerçekten de iyi kontrol edilmiş kurumlardaki çok yönlü kurumsal risk yönetimi, sıklıkla kurum stratejilerinin ve hedeflerinin gerçekleştirilmesine yönelik olarak uygulamaya konulur ve zamanla, hedefler ile uyumluluğu sağlayacak ve daha güvenilir raporlar üretecektir. Fakat kontrol edilemeyen bir olay ya da yanlış veya uygun olmayan bir raporlama gerçekleşebilir. Yani, etkili bir kurumsal risk yönetimi bile yeri geldiğinde aksayabilir. Makul güvence, mutlak güvence demek değildir. Hedeflerin Gerçekleştirilmesi Oluşturulan misyon doğrultusunda, yönetim stratejik hedefleri kurar, stratejiyi seçer ve kurum boyunca ve strateji ile uyumlu ve bağlantılı olarak diğer hedefleri oluşturur. Birçok hedef, çoğu kurum için kendine has olmakla birlikte, birçoğu da ortaktır. Örneğin, birçok kurum için olumlu bir imaj oluşturmak ve devam ettirmek, iyi müşteri ilişkilerine sahip olmak, paydaşlarına güvenilir raporlar sunmak ve kanunlar ve düzenlemelerle uyumlu çalışmak bu hedefler arasındadır. Bu çerçeve, kurum hedeflerini dört kategoriye ayırır: Stratejik yüksek hedeflerle ilişkili, kurumun misyonu destekleyen Faaliyetler kurum kaynaklarının etkili ve verimli kullanılmasına ilişkin Raporlama kurum raporlarının güvenilirliğine ilişkin Uyumluluk kurumun uyması gereken düzenlemelere ilişkin. 19
Kurum hedeflerinin bu çeşit sınıflandırılması kurumsal risk yönetiminin farklı yönlerine vurgu yapılmasına olanak tanır. Bu ayrı fakat birbirleriyle örtüşen bir hedef birden fazla kategoriye girebilir kategoriler farklı kurum ihtiyaçlarına yönelir ve farklı yöneticilerin sorumluluk alanına girebilir. Bu sınıflandırma, her bir hedef kategorisinden beklentilerin ayrıma tutulmasına olanak tanır. Bazı kurumlar, kaynakların korunması, kimi zaman varlıkların korunması adı altında diğer bir hedef kategorisini daha kullanır. Geniş olarak ele alındığında, varlıkların veya kaynakların korunması hırsızlık, israf, verimsizlik veya ürünlerin düşük fiyata satılması gibi yanlış işletme kararlarının önlenmesini de kapsayan geniş bir durum söz konusudur. Bu hedefler genellikle faaliyet hedeflerine girmekle birlikte diğer kategorilere de girebilirler. Örneğin yasal ve düzenleyici yükümlülükler uygulandığında bu hedefler uyumluluk kategorisine girerler. Kamu raporlaması ile uyumu düşünüldüğünde, varlıkların korunmasının daha dar bir tanımı da şudur: Mali tablolar üzerinde etkili olabilecek kaynakların kötüye kullanılmasının veya yetkisiz kullanılmasının engellenmesi veya zamanında tespit edilmesidir. Kurumsal risk yönetiminin raporlamanın güvenilirliği ve kanun ve düzenlemelerle uyumluluğu bağlamında hedeflerin gerçekleştirilmesi için makul güvence sağlayabilir. Bu hedef kategorilerinin gerçekleştirilmesi, kurum kontrolüne ve kurumun faaliyetlerinin nasıl çalıştığına bağlıdır. Fakat belli bir pazar piyasasının elde edilmesi gibi stratejik hedeflerin başarılması ve yeni bir ürünün başarılı bir şekilde üretim bandına indirilmesi gibi faaliyet hedefleri her zaman kurumun kontrolünde olmayabilir. Kurumsal risk yönetimi, yanlış kararların alınmasına veya kurumun operasyonlarında başarısız olmasına neden olacak dış olaylara engel olamaz. Fakat yönetimin daha iyi kararlar alması ihtimalini güçlendirir. Kurumsal risk yönetimi, bu hedefler için yönetime makul bir güvence sağlayabilir ve yönetim kuruluna gözlem bağlamında zamanında olarak, hedeflerin gerçekleştirilmesine yönelik kurumun ne durumda olduğu hakkında fikir verir. 20