Kurumsal Risk Yönetimi

Kurumsal Risk Yönetimi TÜSAD Risk ve Deer Yönetimi Çalıma Grubu Aralık 2006

çindekiler çindekiler... 1 Yönetici Özeti... 5 Giri... 9 1. Risk ve Risk Yönetimi... 10 1.1 Risk... 10 1.2 Risk Yönetimi Kavramı... 12 1.3 Risk Yönetimi htiyacı... 12 1.4 Risk Türleri... 14 2. Kurumsal Risk Yönetimi... 16 2.1 Giri... 16 2.2 Tanım... 16 2.3 Kapsam... 20 3. Kurumsal Risk Yönetimi Dönüüm Süreci... 22 3.1 Giri... 22 3.2 Hedeflerin Belirlenmesi... 23 3.3 Mevcut Durum Analizi... 23 3.4 Hedef Yapının Tespiti... 26 3.5 Fark Analizi ve Planlama... 27 3.5.1 Görev ve Sorumluluklar... 28 3.5.2 Temel Dokümanlar... 31 3.5.3 Yöntem... 32 3.5.4 Eitim... 33 3.5.5 yiletirme Faaliyetleri... 34 4. Kurumsal Risk Yönetim Süreci... 36 4.1 Risklerin Tanımlanması... 37 4.2 Risklerin Analiz Edilmesi ve Ölçülmesi... 38 4.2.1 Mevcut Kontrollerin ncelenmesi... 38 4.2.2 Etkiler ve htimal... 38 4.2.3 Analiz Tipleri... 39 4.2.4 Duyarlılık Analizi... 41 4.3 Risklerin Önceliklendirilmesi...41 4.4 Risklere Uygun Çözümlerin Belirlenmesi ve Uygulanmaları... 44 TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 1 / 61

4.5 Sürecin Sürekli zlenmesi ve Gözden Geçirilmesi... 46 4.6 letiim ve Danıma... 48 6. Kurumsal Risk Yönetimi ve Deer Yönetimi... 49 7. Kurumsal Risk Yönetiminin Kısıtlamaları... 51 8. Kurumsal Risk Yönetiminin Kuruma Faydaları... 53 9. Baarı için Kritik Faktörler... 55 EK - 1: Konu ile lgili Kaynaklar... 57 Referanslar... 60 TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 2 / 61

ÖNSÖZ TÜSAD, özel sektörü temsil eden sanayici ve iadamları tarafından 1971 yılında, Anayasamızın ve Dernekler Kanunu nun ilgili hükümlerine uygun olarak kurulmu, kamu yararına çalıan bir dernek olup gönüllü bir sivil toplum örgütüdür. TÜSAD, demokrasi ve insan hakları evrensel ilkelerine balı, giriim, inanç ve düünce özgürlüklerine saygılı, yalnızca asli görevlerine odaklanmı etkin bir devletin var olduu Türkiye de, Atatürk ün çada uygarlık hedefine ve ilkelerine sadık toplumsal yapının gelimesine ve demokratik sivil toplum ve laik hukuk devleti anlayıının yerlemesine yardımcı olur. TÜSAD, piyasa ekonomisinin hukuksal ve kurumsal altyapısının yerlemesine ve i dünyasının evrensel i ahlakı ilkelerine uygun bir biçimde faaliyette bulunmasına çalıır. TÜSAD, uluslararası entegrasyon hedefi dorultusunda Türk sanayi ve hizmet kesiminin rekabet gücünün artırılarak, uluslararası ekononomik sistemde belirgin ve kalıcı bir yer edinmesi gerektiine inanır ve bu yönde çalıır. TÜSAD, Türkiye de liberal ekonomi kurallarının yerlemesinin yanı sıra, ülkenin insan ve doal kaynaklarının teknolojik yeniliklerle desteklenerek en etkin biçimde kullanımını; verimlilik ve kalite yükseliini sürekli kılacak ortamın yaratılması yoluyla rekabet gücünün artırılmasını hedef alan politikaları destekler. TÜSAD, misyonu dorultusunda ve faaliyetleri çerçevesinde, ülke gündeminde bulunan konularla ilgili görülerini bilimsel çalımalarla destekleyerek kamuoyuna duyurur ve bu görülerden hareketle kamuoyunda tartıma platformlarının olumasını salar. Bu çalımanın amacı Kurumsal Risk Yönetimi kavramı ile ilgili olarak temel kavramları açıklamak ve konuya kamuoyunun dikkatini çekmektir. Kurumsal Risk Yönetimi artan rekabet ortamında kurumlarımızın ayakta TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 3 / 61

kalabilmelerine yardımcı olacak en önemli araçlardan biri olma potansiyeline sahiptir. Ancak bu potansiyeli harekete geçirebilmek için öncelikle i dünyasında konuya olan farkındalıı arttırmak gerekmektedir. Bu nedenle konunun öncelikle kavramsal olarak tartıılması ve anlaılması büyük önem taımaktadır. TUSIAD önümüzdeki dönemde bu konuda öncülük etmeyi kendisine bir misyon olarak belirlemitir. Ülke ve irketler olarak Sürdürülebilir Büyüme hedeflerimize ulaabilmemizin en önemli unsurlarından birinin risklerimizi çok daha etkin bir ekilde yönetmekten geçtii anlaılmalı ve bu yönde iyiletirici adımlar biran önce atılmalıdır. Aksi taktirde gerek ülke içerisinde gerekse uluslararası arenada çokuluslu sermaye ile rekabet edebilmemiz son derece zorlaacaktır. Çalımamız Türkiye i ortamında risk ve risk yönetimi bilincinin gelitirilmesine yönelik yürütmeyi kararlatırdıımız bir seri çalımanın ilk halkasını oluturmaktadır. Bu çalımayı takiben Türkiye deki mevcut risk yönetim uygulamalarının durum tehisi ve geliimine yönelik ayrıntılı çalımalar gerçekletirilecek ve kamuoyu ile paylaılacaktır. Bu rapor; Dr. Tamer Saka nın bakanlıını yürütmekte olduu Risk ve Deer Yönetimi Alt Çalıma Grubu bünyesinde Dr. Tamer Saka ve Alper Uural tarafından hazırlanmıtır. Raporun hazırlanmasına çalıma grubu üyelerinden Tuban Aksoy, Alp Kınay, Ferhan Güzey ve Aylin ule Songül katkıda bulunmulardır. Çalımamızın yazarları çalıma grubumuza dâhil olmamakla birlikte saladıkları destek için ebnem Erzan ve Yasemin Altunba a teekkür etmektedir. Aralık 2006 TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 4 / 61

Yönetici Özeti Risk; i hayatının ayrılmaz bir parçasıdır. Kurumların hissedarlarına mümkün olabilen en yüksek deeri salayabilmeleri faaliyet göstermekte oldukları tüm i kollarında karı karıya olunan risklerin doru bir ekilde yönetilmesi ile mümkün olabilecektir. Kurumların karılatıkları her fırsat beraberinde riskleri de içermektedir. Bu nedenle kurumların sürdürülebilir büyüme hedeflerine ulamalarında risklerini etkin bir ekilde belirlemek, ölçmek ve yönetmek son derece önemli bir etkendir. Günümüz i dünyası uluslararası pazarların geliimi ve küreselleme, artan verimlilik ve maliyet düürme beklentileri, sıkı yasal düzenlemeler, hızlı teknolojik geliimler ve artan rekabet koulları nedeni ile hiç olmadıı kadar bir baskı ortamı içerisinde bulunmaktadır. Yapılan hataların kurumlara olan maliyetleri her gün artarken bu hataların telafi edilebilme imkânları da azalmaktadır. Son zamanlarda yaanan birçok olumsuz örnekte olduu gibi artan rekabet koulları, risk-kazanç dengesinin iyi kurulamadıı kurumlar üzerinde yok edici etkiler dourabilmektedir. Gelir yaratmak yönünde yaanan bu zorlu ortam kurumlara gelirlerini arttırmak kadar maliyetlerini ve kayıplarını da azaltarak kazançlarını optimize etmelerinin ne derece önemli olduunu hatırlatmaktadır. Aynı ekilde, sadece finansal riskler gibi alıılmı alanlara odaklanan klasik risk yönetim anlayıının da ihtiyaçlara cevap vermekte yetersiz kaldıı operasyonel ve stratejik risklerin de en az finansal riskler kadar önem taıdıı yaanan gelimelerle net bir ekilde görülmütür. Tüm bu gelimeler bata irket yöneticileri, ortaklar, yatırımcılar ve piyasa düzenleyici kurumlar olmak üzere bütün menfaat ve ilgi gruplarının dikkatlerinin kurumların risk yönetim uygulamalarına çevrilmesine sebep olmutur. letmelerin yüz yüze oldukları riskleri daha iyi görebilecekleri, anlayabilecekleri ve yönetebilecekleri daha effaf ve entegre risk yönetim uygulamalarının oluturulması, yöneticilerin öncelikli gündem maddeleri haline gelmitir. Özellikle bünyesinde farklı sektörlerde faaliyet gösteren irketleri ve/veya farklı i birimlerini barındıran kurumlarda risklerin daha etkin bir ekilde yönetilmesi bir ihtiyaç olmaktan çıkmı, bir gereklilik halini almıtır. Bu çerçevede Kurumsal Risk Yönetimi (KRY) Enterprise Risk Management (ERM) kavramı klasik risk TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 5 / 61

yönetimi anlayıına göre daha entegre, sistematik ve proaktif bir yaklaım ortaya koyarak tercih edilen bir alternatif haline gelmitir KRY yaklaımı esasen kurumun tüm faaliyetlerini kapsayan bir yönetim anlayıını ifade etmektedir. Bu nedenle KRY uygulamalarını finans, pazarlama, üretim gibi irket içi dier fonksiyonlardan baımsız ayrı bir fonksiyon olarak deerlendirmemek gerekir. KRY sistemi kurumun fonksiyonları içerisinde bulunması gereken ancak merkezi olarak koordine edilmesi gereken bir platform olarak deerlendirilmelidir. Temel amacı karar alıcıların ve uygulayıcıların bir sistematik içerisinde riskleri dikkate almalarını güvence altına almaktır. Özellikle strateji belirlenmesi ve uygulanmasında etkin bir KRY sisteminin varlıı büyük önem taımaktadır. irketlerin ne kadar büyük olurlarsa olsunlar sermayeye eriimleri sınırlıdır. Hissedarlara en yüksek deeri salama amacında olan irket üst yönetimlerinin bu amaca ulaabilmeleri için ellerinde bulunan kaynakları, farklı i alternatifleri arasında en uygun ekilde daıtmaları gerekmektedir. Bunu yaparken ise temel olarak deerlendirmeleri gereken iki unsur bulunmaktadır: (a) söz konusu iin beklenen getirisi (b) bu getirinin salanmasını engelleyebilecek riskler. Bu iki unsuru bir arada deerlendirmeden yapılacak her türlü analizin salıklı ve istikrarlı bir sonuç üretebilmesi hemen hemen imkânsızdır. Bu nedenle KRY uygulamaları olası kayıpları önlemeye yönelik bir sistem olduu kadar, irketlerin gelirlerini maksimize etmeye yönelik de bir sistem olarak deerlendirilmeli ve strateji gelitirme çabalarının önemli bir parçası olarak görülmelidir. Üst yönetimler KRY uygulamalarından her zaman birebir ve kısa bir süre içerisinde bir fayda beklentisinde olmamalıdır. KRY sonuçta kurumun her hücresine nüfuz etmesi gereken bir yönetim tarzıdır. Bazı alanlarda faydası hemen bazı alanlarda ise çok daha sonra görülebilir. Bir KRY siteminin oluturulması kararı verilirken ise aaıdaki faydalar beklenmelidir; Karar almanın ve planlamanın daha özenli hazırlanması ve daha emin temellere oturtulması, Karlılıın artması, Sürprizlerin minimize edilmesi ve daha hazırlıklı olunması, Stratejilerin daha salıklı belirlenmesi, Yatırımcıların ilgisinin artması, TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 6 / 61

Daha etkin risk bilgisine daha çabuk ulaılması, Fırsatların ve tehditlerin daha iyi tespit edilmesi, Belirsizlikten ve deikenlikten deer yaratılması, Rekabet gücünün artması, Reaktif yönetim yerine proaktif yönetim yapılabilmesi, Kaynakların daha etkin tahsisi ve kullanımı, Sermayenin i birimleri arasında daha etkin daılımının salanması, Olayların daha iyi yönetilmesi ve zararlarının azaltılması, dolayısı ile riskin maliyetinin düürülmesi 1, Menfaat sahiplerinin güveninin ve itimadının gelitirilmesi, Kanun ve mevzuatlara uygunluun sürekliliinin salanması, Performansın risk odaklı takip edilmesi, irket kurumsal yönetiminin iyiletirilmesi. KRY nin kuruma saladıı fayda kurumun özelliklerine ve KRY uygulamalarının etkinliine son derece balıdır. Bu nedenle yukarıda listelenen her bir faydanın her kurumda görülmesini beklememek gerekir. Daha öncede ifade ettiimiz gibi eer kurum KRY ile ilgili hedeflerini salıklı bir ekilde belirlemi, sistemini bu hedeflere uygun bir ekilde gelitirmi ve faaliyetlerini bu sistemlere paralel bir ekilde gerçekletirmi ise KRY sisteminden maksimum faydayı salayacaktır. KRY uygulamaları ile baarıyı yakalamak için önemli görülen kritik bazı faktörler ise aaıdaki ekilde özetlenebilir; KRY uygulamalarının kurum içi baımsız bir sahipliinin belirlenmi olması, Görev ve sorumlulukların açık bir ekilde tanımlanması ve ayrıtırılması, Net ve anlaılır bir yaklaımın oluturulması, Teorik yaklaımlardan kaçınılması ve ilerin gereklerine uygun çözümler üretilmesi, 1 Sigorta maliyetleri de riskin maliyeti kavramının kapsamındadır TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 7 / 61

Risk yönetim önerilerinin hayata geçirilmesinde i birimleri yöneticilerine yardımcı olunması, KRY nin tehditler kadar fırsatlara da odaklanması, Hedef ve stratejilerin net olarak belirlenmesi, Kurumsal Risk Profilinin hiçbir soruya neden olmaksızın net bir ekilde biliniyor olması, Üst yönetimin konuya gösterecei balılık ve bunu tüm kurum ile paylaması, Uygulamaların sistematik ve sürekli olmasının salanması, Kaynakların yeterli olması, Orta düzey yöneticiler tarafından anlaılması ve desteklenmesi, Kurumların risk yönetimlerindeki performanslarının, genel performanslarının deerlenmesinde önemli bir unsur olması, Yeterli düzeyde eitim ve iletiim faaliyetlerinde bulunulması, Üst yönetimin kurumsal kültürü KRYdorultusunda deitirme istei ve gücü, Risk yönetim tekniklerini ve i süreçlerini anlayarak risk yönetim çabalarına liderlik edebilecek kalitede insan kaynaklarına sahip olunması, Risk yönetim sürecinin etkinliinin izlenmesi amacıyla denetim mekanizmasının kurulması, Baarılı uygulamaların uygun iletiim kanalları ile duyurulması ve kutlanması. Çalıanların risk deerleme sürecinin baarısına katkı yapmalarının özendirilmesi. Risk yönetim sürecinden kaynaklanan tasarrufların baarı hikâyeleri olarak duyurulması, Kısa vadede çok büyük beklentiler oluturulmamasıdır. Özetle; KRY doru anlaıldıı ve uygulandıında kurumlarımız için son derece yararlı sonuçlar dourabilecektir. Özellikle belirli bir büyüklüün üzerinde olan kurumlarda yukarıda açıklamaya çalıtıımız etkenler nedeni ile KRY bir tercih olmaktan çıkmı, gereklilik halini almıtır. O nedenle kurumlarımızın en kısa sürede bu konuda gerekli adımları atması önemli kazanımlar salayacaktır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 8 / 61

Giri Bu çalıma temel olarak Risk Yönetimi ve KRY kavramlarını açıklamayı hedeflemektedir. Risk Yönetimi ve KRY önümüzdeki dönemde çok daha sık karılaacaımız bir kavram olacaktır. Bu nedenle konunun öncelikle kavramsal olarak tartıılması ve anlaılması büyük önem taımaktadır. Ülke ve irketler olarak Sürdürülebilir Büyüme hedeflerimize ulaabilmemizin en önemli unsurlarından birinin risklerimizi çok daha etkin bir ekilde yönetmekten geçtii anlaılmalı ve bu yönde iyiletirici adımlar biran önce atılmalıdır. Aksi taktirde gerek ülke içerisinde gerekse uluslararası arenada çok uluslu irketler ile rekabet edebilmemiz son derece zorlaacaktır. Çalımamız Türkiye i ortamında risk ve risk yönetimi bilincinin gelitirilmesine yönelik yürütmeyi kararlatırdıımız bir seri çalımanın ilk halkasını oluturmaktadır. Bu çalımayı takiben Türkiye deki mevcut durumun tehisi ve geliimine yönelik ayrıntılı çalımalar gerçekletirilecek ve kamuoyu ile paylaılacaktır. Risk tüm disiplinlerde var olan bir olgudur. Bu nedenle kavram kargaasını önlemek amacı ile çalımamız bütününde Risk Yönetim Bilimleri açısından dikkate alınacaktır. Tanımlamalar bu kapsamda deerlendirilmelidir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 9 / 61

1. Risk ve Risk Yönetimi 1.1 Risk Risk Yönetimi ve KRY kavramlarından bahsetmeden önce, öncelikle Risk kavramını tanımlamak doru olacaktır. Risk nedir? Temel bir kavram olarak risk çeitli ekillerde tanımlanabilir. Deiimin ortaya çıkardıı sonuçlara göre, farklı risk tanımlamaları üretmek mümkündür; Ortalama Sonuç Olarak Risk: Sigorta uzmanları olayların riskini, söz konusu olaylardan beklenen sonuç olarak ifade etmektedirler. Faaliyetler için genellikle söz konusu sonuç; zarar olmaktadır. Ortalama sonuç kavramı potansiyel sonuçların nerelere kadar uzanabilecei konusunda oldukça sınırlı bir bilgi vermektedir. Baka bir ifade ile bu anlamda risk sadece beklenen sonuçların gerçekleip gerçeklememesi ile ilgilidir. Sonuçlar Arasındaki Farklılık Olarak Risk: Risk ile ilgili genel tanımlama, riskin, olaylarla ilgili sonuçların istatistiksel deiimini veya standart sapmasını ifade ettiidir. Bu tanım çerçevesinde risk yönetiminin amacı; beklentiler ile potansiyel sonuçlar arasındaki farklılıı mümkün olduu derecede aza indirgemektir. Bölüm yönetimleri ve risk yönetimi, genellikle planlama ve büyüme için önem taıdıından zarar farklılıkları üzerinde durmaktadır. Birçok istatistiksel kontrol ve Toplam Kalite Yönetimi (TKY) yaklaımlarında da sonuçların analiz edilmesi teknii i süreçleri, ilem kalitesi ve güvenilirlik konularında temel yöntem olarak kullanılmaktadır. Kayıp Olarak Risk: Belki de riskin en dar kapsamlı tanımlamalarından biri olarak kayıp olarak riski kabul edebiliriz. Bu tanımlamaya göre risk; müterilerin neden olduu zararlar, yolsuzluk veya doal sebeplerden veya insan hatalarından meydana gelen problemler gibi büyük olumsuz etkiye sahip olayların meydana gelmesidir. Bu anlamda risk yönetim sistemi ise; söz konusu olumsuzlukların meydana gelme olasılıklarını en az düzeye indirecek süreçlerin gelitirilmesi olarak tanımlanabilir. Sigorta, iletme devamlılık planları, iç kontroller, uygunluk kontrolleri ve iç denetim uygulamaları riskin bu tanımı çerçevesinde genel olarak potansiyel en kötü kayıp senaryoları ile ilgilenmektedir. Potansiyel Kazanç Faktörü Olarak Risk: Genellikle üzerinde çok fazla durulmayan bir nokta, riskin kazanç salamak için bir araç olarak kullanılıyor TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 10 / 61

olmasıdır. dünyası risk alma iidir. Risk ve Kazanç birbirlerini tamamlayan kavramlardır. dünyasında baarının anlamı; doru zamanda doru risklerin alınması ve bu risklerin kazanca dönütürülmesidir. letme yönetimleri, riskleri bir kayıp olarak gördüklerinden, enerjilerinin çok büyük bir bölümünü bunlara çare arayarak harcamaktadırlar. Bu da kazanç haline dönüebilecek risklerin zamanında ve doru olarak tespit edilmesini zorlatırmaktadır. lgili Oldukları Alanlara Göre Risk: Riskleri çok genel olarak dahi belli bir sınıflandırmaya tabii tuttuumuzda birbirinden farklı onlarca riski ortaya koymak mümkündür: Piyasa riskleri, kredi riskleri, faaliyet riskleri, yasal riskler, bilgi riski, çevresel riskler, ülke riski, temel i ile ilgili riskler, fiyat riskleri, doal riskler, finansal raporlama riskleri, kontrol riski v.b. Hepsi birbirinden farklı olan bu riskler farklı risk tanımlamalarına sahiptir, çünkü beklenen sonuç her bir faaliyet için farklıdır. Kurum ile lgili Taraflar Açısından: Farklı menfaat grupları, kurum ile ilgili riskleri tanımlama, anlama ve yorumlama açısından farklı bakı açılarına sahip olabilmektedir. Üst yöneticiler, orta sınıf yöneticiler, yönetim kurulları, büyük hissedarlar, küçük yatırımcılar, kredi salayan kurulular, yatırımcı danımanlık ve aracılık kuruluları gibi irket ile ilgili farklı hedefleri, planları ve beklentileri olan gruplar riskleri de farklı ekilde tanımlamaktadırlar. Bu nedenle kurum içerisinde irket geneli risk yönetimi sistemlerinin ve genel risk terminolojisinin oluturulması son derece önem taımaktadır. Sistemler, her risk kategorisi için tüm menfaat grupları için aynı ekilde anlaılacak açık ve kesin tanımlamalar üretmelidir. Özetle mevcut hiçbir risk tanımı mükemmel olmayıp, her biri riskin belli bir bölümünü yansıtmaktadır. Kabul görmü kurallar ve kavramlar mevcut olmasına ramen, bugün itibari ile tüm dünya üzerinde kabul görmü risk ve risk yönetimi tanımlaması bulunmamaktadır. Ancak baarılı bir risk yönetimi sistemi kurabilmek ve bu sistemi baarı ile uygulayabilmek için irketler mutlaka karı karıya kaldıkları riskleri yukarıda ifade edildii gibi farklı yönleri itibari ile analiz edecek yeterlilie sahip olmalıdır. Sadece belli bir bölümü dikkate alınarak yapılacak analizler, risk yönetim sistemini çok büyük bir olasılıkla baarısızlıa götürecektir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 11 / 61

1.2 Risk Yönetimi Kavramı Risk Yönetimi; risk/kazanç dengesinin irket üst yönetiminin risk alma profiline uygun olarak oluturulmasıdır. irketler iktisadi olarak kar elde etmek amacı ile kurulmaktadır. Ancak bu karı elde edebilmek için ise belirli risklerin alınması gerekmektedir. te risk yönetimi; arzu edilen kar miktarına ulaabilmek için hangi risklerin, ne ölçüde alınması gerektiini belirleyen ve bu sürecin planladıı ekilde gerçeklemesini güvence altına almayı hedefleyen bir sistemdir. Risk yönetimi bir yönetim aracıdır. Kurumun arzu ettii risk/kazanç dengesine ulaması amacında kullanılan bir araçtır. Risk yönetimi bir ürünün düünce aamasından balayarak müteriye sunulmasından sonraki müteri ilikileri yönetimi aamasına kadar tüm aamaları ve bu aamalar ile ilgili tüm fonksiyonları kapsar. Bir irket içerisinde risk yönetiminin ilgili olmadıı hiçbir alan yoktur. Risk yönetimi uygulamaları kurum içerisindeki tüm çalıanları kapsar. Her çalıan görevi ve sorumlulukları ne olursa olsun, bu sorumluluklarına uygun seviyede risk yönetimi ile ilgili olmak zorundadır. Risk yönetimi risklerin belirlendii, hangi risklerin öncelikli olarak çözümlenmesi gerektiinin deerlendirildii, risklerin yönetilmesi için stratejiler ve planların gelitirilerek uygulandıı sistematik bir süreçtir. Bu çalımanın ilerleyen bölümlerinde bu kavram detayları ile ayrıntılı olarak incelenecektir. 1.3 Risk Yönetimi htiyacı Bir kurumda risk yönetimine olan ihtiyacı aaıdaki balıklarda özetlemek mümkündür; Kurumun varlıının ve/veya operasyonlarının kesintisiz devam etmesi: Risk yönetimi, bir kurumun potansiyel kayıplarının gerçekleme olasılıını ve etkilerini, operasyonlarının devamını tehdit eden kritik seviyeden düük tutarak, kurumun operasyonlarının devamlılıını önemli ölçüde güvence altına alır. Büyük sorumluluk davaları veya kurumun üretim tesislerinin kapanmasına neden olabilecek düzeydeki bazı kayıplar bir irketi çok zor durumda bırakabilir. Bu gibi durumlarda, önceden tedbir alınmamısa kurum, operasyonlarını durdurmak zorunda dahi kalabilir. Bu anlamda, risk yönetimi i idaresinin önemli bir bileenidir. Risk yönetimi, bir kaybın ardından normal i faaliyetlerinin minimum gecikme ile devam etmesini salamak açısından da kritik öneme sahiptir. letmelerin normal i akıları hiçbir kesintiye uramamalıdır. Bu hedefin salanması, toplumda önemli faaliyetlerde bulunan kurumlar için (örnein TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 12 / 61

hastaneler) daha da kritiktir. Bu amaçla, beklenmeyen acil durumlar için önceden planlama yapılmalı ve gerekli kaynaklar aktarılmalıdır (örnein bir kriz yönetimi takımı kurulmalı ve eitilmelidir). Risk yönetimi gerekli hazırlıkların önceden yapılmasıyla birçok olayda yaanılan kayba ramen operasyonların devamını salar. Böylece, bir kriz anında rakiplere yönelecek olan müterilerin ve tedarikçilerin de irketle i yapmaya devam etmeleri salanmı olacaktır Sürprizlerin en aza indirgenmesi: Salıklı bir risk yönetimi sistemi ile kurumun karı karıya kalabilecei olumsuzluklar hem nitelik hem de nicelik açısından önemli ölçüde azaltılabilecektir. Böylelikle irket üst yönetimleri enerjilerini ve ilgilerini anlık problemleri çözmek yerine kurumun temel i önceliklerine kanalize edebilme imkânını yakalayabilecekler ve önlerini daha net bir ekilde görebileceklerdir. Kayıpların maliyetlerinin azaltılması: Risk yönetimi olası kayıpların etkilerini kontrol altında tutarak maliyetlerin azaltılmasına ve dolayısı ile irket karının arttırılmasına yardımcı olur. Risk yönetimi kayıpların olası büyüklüklerine göre çok daha düük maliyetli önlemler ile potansiyel kayıpların önüne geçer. Ciddi kayıplara yol açabilecek potansiyel tehditlerin sigorta gibi mekanizmalarla üçüncü ahıslara transfer edilmesi ile de doabilecek potansiyel maliyetlerin azaltılmasına yardımcı olur. Gelir istikrarı: Risk yönetimi, gelirlerde ya da nakit akıında kayıplar nedeniyle ortaya çıkabilecek azalmaların kabul edilebilir seviyelere çekilmesine yardımcı olur. Risk yönetimi yıllık kar ve gelirlerdeki istenmeyen ve beklenmeyen deiimleri azaltır. Nakit akıındaki bu deiimleri belirli seviyelerde tutmak uzun vadeli planlama açısından önemlidir. Aynı zamanda, yatırımcılar istikrarsız bir gelir grafii yerine gelir seviyesini istikrarlı bir ekilde devam ettiren irketleri seçmektedirler. stikrarlı büyüme: Etkin bir risk yönetimi irketlerin istikrarlı bir ekilde büyümesine önemli ölçüde katkı salar. Bir irket için sürdürülebilirlik sadece etkin bir risk yönetimi yaklaımı ile mümkün olabilecektir. Aksi taktirde irket hedeflerine giden yolda sürekli dalgalanmalara maruz kalabilecek ve büyük bir olasılık ile de hedeflerinden önemli ölçüde sapma gösterebilecektir. Sosyal sorumluluk: Çalıanlar, tedarikçiler, müteriler ve dier menfaat gruplarına gelebilecek zararı minimuma indirmek risk yönetiminin önemli amaçlarından biridir. Bu amaç kamuoyunda iyi bir imaj yaratılması yönünde de TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 13 / 61

etkili olur. Sosyal sorumluluk misyonu, dier hedefler için harcanmayacak ciddi miktarlarda kaynaın risk yönetimi aktivitelerine aktarılmasını gerektirebilir. Çevre ve çalıan salıı önlemleri ile ilgili yapılan yatırımlar veya i süreçlerinde/modellerinde çevre salıı endieleri ile yapılan radikal deiiklikler (Tesis kapama, taıma, belirli i kollarını bırakmak gibi) bu kapsam içerisinde deerlendirilebilir. Yasal düzenlemelere uyum: Risk yönetimi yasal ve idari gerekliliklere uyumu salayan önemli bir araçtır. Kurumlar faaliyet göstermekte oldukları sektöre balı olarak çok farklı sayıda yasaya ve düzenlemeye balı olarak çalımak zorundadırlar. Bu yasalara ve düzenlemelere aykırı olarak yürütülecek faaliyetler kurumun varlıını dahi tehdit edebilecek büyüklükte sonuçlar dourabilmektedir. irket üst yönetimleri etkin bir risk yönetim sistemi ile bu alandaki faaliyetleri arzu edilen düzeyde kontrol altında tutabilecek alt yapıya sahip olmaktadır. Yukarıda bazı örneklerini vermi olduumuz risk yönetimi ihtiyaçlarının sayısını arttırmak mümkündür. Kurumun özellikleri ve faaliyet göstermekte olduu sektörler gibi deikenler bu ihtiyaçlar üzerinde belirleyici olmaktadır. Bu liste ne kadar uzatılırsa uzatılsın, özetle risk yönetiminin irketlerin var olu amaçlarını yerine getirebilmeleri için olmazsa olmaz bir araç olduunu söylemek yanı olmayacaktır. 1.4 Risk Türleri Bir irketin karılaabilecei riskler çok farklı ekillerde sınıflandırılabilir. letmenin yapısal ve sektörsel özellikleri bu sınıflandırmayı önemli ölçüde etkileyecektir. Riskleri sınıflandırmanın birçok yolu olmasına ramen en kabul görmü sınıflandırma metodu ise riskleri dört ana balık altında toplamaktadır: finansal riskler, operasyonel riskler, stratejik ve dı çevre riskleri. Bu risk kategorilerini kesin çizgiler ile birbirlerinden ayırmak doru deildir. Örnein bir kredi riski, sonuçları itibari ile finansal risk, nedenleri itibari ile operasyonel bir risk olarak algılanabilir. Finansal Riskler: Finansal riskler kurumun finansal pozisyonunun ve tercihlerinin sonucunda ortaya çıkan riskleri ifade eder. Finansal riskler içerisinde kredi, faiz, nakit, finansal piyasalar, emtia fiyatları gibi riskler ilk akla gelenleridir TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 14 / 61

Operasyonel Riskler: Operasyonel riskler bir kurumun temel i faaliyetlerini yerine getirmesini engelleyebilecek riskleri ifade eder. Tedarik, satı, ürün gelitirme, bilgi yönetimi, hukuk ve marka yönetimi gibi risk balıkları bu kategori içerisinde yer alan risklerden bazılarıdır. Stratejik Riskler: Bir kurumun kısa, orta veya uzun vadelerde belirlemi olduu hedeflerine ulamasını engelleyebilecek yapısal riskler bu balık altında sınıflandırılabilir. Planlama, i modeli, i portföyü, kurumsak yönetim, pazar analizi gibi riskler stratejik risklere tipik örneklerdir. Dı Çevre Riskleri: Bu kategoride yer alan riskler kurumun faaliyetlerinden baımsız olarak ortaya çıkan, ancak kurumun tercihlerine balı olarak irketi etkileyen risklerdir. Katastrofik riskler, yasal düzenlemeler, müteri trendleri, ekonomik ve politik deiiklikler, rakipler ve sektördeki deiiklikler bu kategorideki risklere örnek olarak sayılabilir. ekil 1 de örnek bir risk modelini görebilirsiniz. Kaynak: Arthur Andersen TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 15 / 61

2. Kurumsal Risk Yönetimi 2.1 Giri Risk yönetimi kavramının tarihi, ticaretin ilk yıllarına kadar uzanır. Adına risk yönetimi denmese de insanlıın ticaret ile karılaması ile birlikte risk yönetimi olgusu bir daha bizi terk etmemek üzere hayatımıza girmitir. Risk yönetiminin ayrı bir disiplin olarak ekillenmesi, A.B.D de sigorta sektörünün gelimesi ile hız kazanmıtır. 1900 lu yılların baında balamı olan ve sadece klasik sigortalanabilir risklere odaklı olan bu geliim, 1990 lı yıllarda yerini yava yava irketleri etkileyen tüm risklerin kapsandıı daha geni ve entegre bir yaklaıma bırakmıtır. Bu dönüümde en önemli belirleyici, toplumların büyük çok uluslu irketlerin yarattıkları hasarların nasıl kontrol edilebileceini sorgulamaya balamaları ve bunun sonucunda da Kurumsal Yönetim anlayıının gelimesi olmutur. Kurumsal Yönetim kısaca kurumların daha effaf ve adil bir ekilde yönetilmeleri olgusunu savunurken, risk yönetimi bu amaca ulamada en önemli araçlardan biri olarak görülmeye balanmıtır. Ancak kurumların corafi sınırları aarak tüm dünyaya yayılmaları ve çok farklı i kolları içerisinde olmaları, risklerin birbirine iyi ekilde balanmamı baımsız bloklar halinde yönetildii klasik risk yönetim anlayılarının, menfaat gruplarının ihtiyaçlarının giderilmesinde yetersiz kaldıını göstermitir. Özellikle 90 lı yılların sonunda bata A.B.D olmak üzere tüm dünyada yaanan irket skandalları bu ihtiyacı en yüksek noktaya taımıtır. te bu ihtiyaç Kurumsal Risk Yönetimi (KRY) kavramının i hayatının vazgeçilmez bir unsuru olması yolunu açmıtır. Çalımanın bu bölümünde KRY ana hatları ile açıklanacaktır. 2.2 Tanım KRY; irketi etkileyebilecek potansiyel olayları tanımlamak, riskleri irketin kurumsal risk alma profiline uygun olarak yönetmek ve irketin hedeflerine ulaması ile ilgili olarak makul bir derecede güvence salamak amacı ile oluturulmu; irketin yönetim kurulu, üst yönetimi ve tüm dier çalıanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir. KRY nin bu tanımı aaıdaki temel öeleri içerir; TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 16 / 61

Bütün kurumda süregelen ve devam eden bir süreçtir, Kurumun her seviyesindeki insanlar tarafından etkilenir, Kurumun i stratejilerinin belirlenmesinde kullanılır, Tüm kurumu ilgilendiren riskler dâhil olmak üzere kurumun her seviye ve bölümünü kapsar, irketi etkileyebilecek potansiyel olayları tanımlamak ve risklerin irketin kurumsal risk alma porifiline uygun olarak yönetilmesi için tasarlanmıtır irketin hedeflerine ulaması ile ilgili olarak kurumun yöneticilerine ve yönetim kuruluna makul bir derecede güvence salar, Bir veya daha fazla fakat birbiri ile kesien kategoriler içindeki hedeflerin baarılmasına yönelmitir. Kendisi bir sonuç deildir, sadece sonuca ulamak için bir araçtır. Yukarıda kısaca tanımlanan temel öeler, aaıda daha detaylı olarak açıklanmaktadır. KRY bütün kurumda süregelen ve devam eden bir ilemdir. KRY, sabit olmaktan çok, yapılan ilerdeki devamlı olan ve yinelenen etkilenmelerin sonucudur. KRY, kurumun aktivitelerine ek olarak yapılan bir ilem deildir. Fakat bu durum KRY için artan bir gayret gerekmediini göstermez. Örnein, kredi ve para birimi riski göz önüne alındıında, analiz ve hesaplamaları yapmak için oldukça fazla bir gayret gerekir. Bununla birlikte, KRY mekanizmaları kurumun operasyonel faaliyetleri ile balantılıdır ve temel i sebeplerine dayalıdır. KRY nin etkisi, yöntemleri kurumun altyapısına uygun hale getirildiinde ve kurumun önemli bir parçası haline geldiinde artar. KRY ni oluturmanın, özellikle yüksek rekabetli pazarlarda bulunan kurumlar için maliyetleri kontrol altında tutmak konusunda önemli etkileri vardır. Kurum, irkete ve irketin KRY ne katkılarına odaklanarak, risk yönetimini basit iletme aktivitelerine uygulayarak gereksiz ilem ve masraflardan kaçınabilir. KRY ni irketin temel yapısına uygun hale getirmek, yönetimin yeni fırsatları belirlemesine ve daha iyi kullanmasına olanak salar. Kurumun her seviyesindeki insanlar tarafından etkilenir. KRY kurumun yönetim kurulundan, yöneticilerden ve dier çalıanlardan etkilenir. Çalıanlar o TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 17 / 61

kurumun görevini, stratejisini ve hedeflerini belirler ve KRY'ni devreye sokar. Aynı ekilde KRY de çalıanların hareketlerini etkiler. Fakat KRY ile insanların her zaman olayları anlamaları, iletiim kurmaları veya hep aynı düzeyde performans göstermeleri beklenmez. Her ahıs i yerine kendine has tecrübe ve teknik becerileri ile gelir ve farklı ihtiyaç ve öncelikleri vardır. Bu faktörler KRY ni hem etkiler hem de ondan etkilenir. Her bireyin olaylara farklı bir açıdan yaklaması, o kiinin riski nasıl tanımladıını, deerlendirdiini ve tepki verdiini etkiler. KRY, çalıanların risk almasını kurumun hedeflerinden biri olarak görmesini salar. Çalıanlar kendi sorumluluk ve yetkilerinin sınırlarını daha iyi özümserler. Buna balı olarak, çalıanların ileri ve ilerini yerine getirmeleri arasındaki yakın ve belirgin iliki, kurumun strateji ve hedefleri arasında da vardır. dareciler esasen denetleme yapsa da aynı zamanda yön gösterir ve strateji ve bazı düzenlemeleri belirler. Yönetim kurulu KRY'nin önemli bir parçasıdır. Strateji belirlemede kullanılır. Kurum amaç veya vizyonunu belirler ve bu amaç veya vizyonu gerçekletirmesine yardım edecek yüksek stratejik hedefleri belirler. Sonrasında ise stratejik hedeflerini gerçekletirmek için genel stratejisini belirler. Ek olarak ise stratejisine balı olarak ortaya çıkan ulamak istedii dier hedefleri ortaya koyar. KRY, riski alternatif stratejilerine göre deerlendirdii için kurumlarca strateji belirleme aamasında kullanılır. Örnein, alternatif bir strateji, pazar payını arttırmak için baka irketleri satın almak olsun. Bir baka seçenek ise kaynak maliyetlerini keserek daha fazla kar payı yüzdesi salamak olsun. Her iki seçenek de bazı riskleri barındırmaktadır. Eer yönetim ilk stratejiyi seçerse, yeni ve çok bilinmeyen pazarlara girmek ve rakiplerine kendi pazarından pay kaybetmek zorunda kalabilir veya irketin bu seçenei etkin bir ekilde uygulamak için yeterlilii olmayabilir. kinci seçenekte ise yeni teknolojiler veya tedarikçiler ya da yeni i anlamalarının kapsadıı riskler vardır. Bu aamada KRY kurumun strateji ve buna balı hedeflerini deerlendirmesinde ve seçmesinde yardımcı olur. Kurumun tamamında uygulanır. Kurumun KRY ni uygularken yürüttüü bütün aktiviteleri deerlendirmesi gerekir. KRY stratejik planlama ve kaynakların daıtımından, pazarlama ve insan kaynaklarına kadar kurumun her seviyedeki ilemlerini ilgilendirir. Ayrıca, kurum hiyerarisinde veya organizasyon emasında kesin bir yeri olmayan bazı özel projelerde ve yeni giriimlerde uygulanabilir. Kurumun tüm risklerine tek bir portföy olarak bakmayı gerektirir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 18 / 61

Buna her yöneticinin belirli bir bölüm, ilem veya baka aktivite için risk deerlendirmesi yapması dâhil olabilir. lgili deerlendirme nicelik veya nitelie göre yapılabilir. Kurumun her bir seviyesinin birleik bir bakı açısı ile tüm risk profilinin, risk alma istei ile orantılı olup olmadıına bakması gerekir. Yönetim birbiriyle balantılı riskleri, kurumun risk portföy perspektifinden deerlendirir. Kurumların her bir bölümündeki risk, bölümün risk toleransı içinde olabilir. Fakat bu risklerin toplamı kurumun bütün olarak almayı arzu ettii orandan fazla olabilir. Veya tam tersi olarak, olası olaylar baka bir etkiyi ortadan kaldırmazsa kurum için kabul edilemez bir riski temsil edebilir. Birbiri ile alakalı risklerin tanımlanması ve risklerin toplamının kurumunun arzuladıı risk oranıyla aynı düzeyde olmasına dikkat edilmelidir. Riskleri risk alma istei dorultusunda yönetmek için tasarlanmıtır. Risk alma istei, geni anlamıyla bir deeri elde etmek için bir kurumun almayı kabul ettii risk oranıdır. Kurumun risk yönetim felsefesini yansıtır ve buna karılık kurumun kültürünü ve iletme stilini etkiler. Kurumlar arzulanan riski yüksek, orta, düük eklinde belirleyebilir. Risk alma istei daha fazla olan bir irket, sermayesinin büyük bir bölümünü gelimekte olan pazarlar gibi daha riskli alanlara yatırabilir. Buna karın risk alma istei daha az olan bir irket, kısa dönemde zarar etme riskini azaltmak için olgun ve stabilize pazarlara yatırım yapabilir. Risk alma istei dorudan kurumun stratejisiyle alakalıdır. Deiik stratejiler kurumu deiik risklerle karılatırdıı için, risk yönetimi strateji belirlemenin de bir parçası sayılır. KRY, yönetimin beklenen deer yaratımı ve risk alma isteine uygun stratejiyi seçmesine yardımcı olur. Makul bir oranda güvence salar. yi tasarlanan ve uygulanan KRY, yönetime ve yönetim kuruluna kurumun hedeflerine ulaması konusunda makul bir oranda güvence salar. Makul bir oranda denmesinin sebebi, kimsenin kesin olarak öngörmeyecei gelecekle ilgili olan belirsizlik ve risktir. Fakat bu KRY'nin sıklıkla baarısız olacaı anlamına gelmez. Ayrı ayrı ya da birlikte olarak birçok faktör makul oranda güvence kavramını etkiler. Farklı risk tiplerinin ve çok amaçlı iç denetimin birleen etkileri, kurumun hedeflerine ulaamama riskini azaltır. Ek olarak, kurumun her seviyedeki çalıanının günlük çalımaları ve sorumlulukları, kurumun hedeflerine ulamasını salamak içindir. Ancak, en etkin KRY bile baarısızlıklar yaayabilir. Makul bir oranda güvence, kesin güvence demek deildir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 19 / 61

Sonuç deil, sonuca ulamak için bir araçtır. Kurumun misyonunun belirlenmesi sırasında, yönetim stratejik amaçları belirler, hangi stratejilerin kullanılacaına karar verir ve kurum hedeflerine ve stratejiye balı olarak gelien dier hedefleri belirler. Hedefler kuruma farklılık gösterse de, bazı hedefler birçok kurum tarafından paylaılır. Örnein, sektöründe ve müteri gruplarında iyi bir itibara sahip olmak ve bunu korumak, hissedarlar için güvenilebilir raporlama salamak, kanun ve düzenlemeler çerçevesinde ileri yürütmek bütün kurumların ortak amacıdır. 2.3 Kapsam KRY temel olarak olayların hem pozitif (fırsat) hem de negatif (risk) tarafları ile ilgilidir. Olay, olması beklenen ya da gerçeklemesi belirlenen hedeflere ulamayı etkileyecek içsel ve dısal kaynaklara balı olan oluumlardır. Olaylar pozitif, negatif ya da her iki etkiye birden sahip olabilir. Negatif etki yaratabilecek olaylar tehlikeleri ifade eder. Buna göre tehlikeyi u ekilde tanımlayabiliriz: Tehlike, amaçların gerçekletirilmesine olumsuz etkide bulunabilecek olayların gerçekleme olasılııdır. Ters etkiye sahip bu olaylar deer yaratmayı engeller ya da mevcut deerin yitirilmesine neden olur. Tesis makina arızaları, yangınlar ve kredi kayıpları bu olaylara örnek olarak verilebilir. Bu tip olaylar, olumlu durumlar karısında da gerçekleebilir. Örnein üretim kapasitesini aacak miktarda alınan bir müteri talebi, müteri isteini karılamada yetersiz kalmaya neden olarak müteri balılıını zedeler ve bunun sonucunda ileride alınabilecek sipari miktarları azalabilir. Pozitif etkiye sahip olaylar ise olumsuz etkileri dengeler veya fırsatları ifade eder. Buna göre fırsatları da u ekilde tanımlayabiliriz: Fırsat, amaçların gerçekletirilmesine olumlu katkıda bulunacak olayların gerçekleme olasılııdır. Fırsatlar deer yaratmaya imkân salar veya mevcut deerlerin korunmasını destekler. Yönetimler ancak bu fırsatları deerlendirerek belirledikleri strateji ve hedefler dorultusunda yeni fırsatlar yakalayabilirler. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 20 / 61

KRY uygulamalarının kapsamının belirlenmesinde bir dier önemli unsur ise deer dir. Kurumun var olan deerlerinin korunması ve maksimize edilmesi ile ilgili tüm karar ve faaliyet süreçleri KRY nin kapsamı içerisindedir. Bu süreçlerden bazılarını aaıdaki ekil 2 de görmek mümkündür: Kaynak: Sabancı Holding Risk Yönetimi Direktörlüü KRY daha öncede ifade edildii gibi yukarıdaki emada belirtilen süreçlerin entegrasyonunu salamayı hedeflemektedir. Böylelikle kurum içerisinde birbirinden baımsız ekilde ileyen farklı risk yönetim sistemlerinin riskleri bir bütün olarak görmeleri ve böylelikle daha az maliyetli ve daha etkin entegre risk yönetim çözümlerinin gelitirilmesi salanabilmektedir. KRY nin uygulama kapsamı söz konusu kurumun insan ve teknik altyapısının yeterliliine, faaliyetlerinin karmaıklık düzeyine, stratejik hedeflerine, büyüklüüne, faaliyette bulunduu corafyalara ve en önemlisi kurum hissedarlarının risk alma profillerine yakından balıdır. Her kurum kendi durumunu ve hedeflerini dikkate alarak kendisi için en uygun yaklaımı ve kapsamı gelitirmek zorundadır. KRY uygulamalarında standart çözümler aramak, kurumları çok daha büyük riskler ile karı karıya bırakabilecektir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 21 / 61

3. Kurumsal Risk Yönetimi Dönüüm Süreci 3.1 Giri KRY dönüüm süreci; irketin risklerinin birbirlerinden baımsız bloklar halinde yönetildii klasik risk yönetim anlayıından, bir bütün olarak yönetildii entegre risk yönetimi, baka bir ifade ile KRY, anlayıına geçi sürecini ifade eder. Bu süreçte gösterilecek performans baarı için en önemli etkendir. Bu süreç basit bir proje yönetimi anlayıı ile yürütülemeyecek kadar önemli ve karmaıktır. deal bir KRY Dönüüm Sürecini aaıdaki ekilde özetlemek mümkündür; Hedeflerin Belirlenmesi Mevcut Durum Analizi Hedef Yapının Tespiti Fark Analizi ve Planlama Dönüüm Sürecinin Uygulanması: o o o o o Görev ve Sorumluluklar Temel Dokümanlar Yöntem Eitim yiletirme Faaliyetleri Sürekli geliim için gözden geçirmeler Aaıdaki bölümlerde her bir aama ana hatları ile açıklanmaya çalıılacaktır. ekil 3: Kurumsal Risk Yönetimi Dönüüm Süreci Hedeflerin Belirlenmesi Mevcut Durum Analizi Hedef Yapının Tespiti Fark Analizi ve Planlama Dönüüm Sürecinin Uygulanması Sürekli geliim için gözden geçirmeler Kaynak: Sabancı Holding Risk Yönetimi Direktörlüü TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 22 / 61

3.2 Hedeflerin Belirlenmesi KRY açısından hedeflerin belirlenmesi iki balık altında incelenmelidir; Genel irket stratejileri ve kurumsal risk alma profili. irket hissedarlarının kurumsal risk alma profillerinin ortak bir anlayıa sahip olabilmesi için öncelikle irketin genel mevcut konumunu, hedeflerini ve bu hedeflerine nasıl ulaacaını tanımlayan bir irket stratejisi ve politikası bulunmalıdır. Bu strateji bilinmeksizin irketin kurumsal risk alma profilinin uygunluunu deerlendirebilmek mümkün deildir. Esasen irketin stratejileri ve kurumsal risk alma profilleri birbirlerinden etkilenen kavramlardır. Bu nedenle biri dierinin bir sonucu olarak algılanmamalıdır. Ancak bu kavramlar birbirleri ile uyumlu olmalıdırlar. Bunun tespit edilebilmesinin tek koulu ise bu iki kavramın da net bir ekilde bilinebiliyor olmasıdır. Bir irketin hedefleri ve buna balı olarak belirlenmi olan stratejilerinin varlıı, o irketin deer yaratma ve risk yönetimi uygulamalarına zemin oluturacak bir i modelinin tanımlamasına yardımcı olacaktır. Stratejiler kadar önemli olan bir dier unsur ise kurumsal risk alma istei profilidir. Bu profil esas olarak kurum hissedarlarının hangi riskleri ne ölçüde almak istediine cevap arar. Riskin yönetilmesi ile direkt olarak ilgili deildir. Risk yönetim süreçleri bu anlayıın doal bir sonucudur ancak parçası deildir. Kurum içerisinde alınacak her türlü KRY aksiyonu kurumsal risk alma profili ile uyum içerisinde olmalıdır. Esasen KRY yaklaımının temel var olu sebeplerinden biri de, kurumsal risk alma profilinin kurumun tüm birimlerince doru bir ekilde anlaılmakta olduu ve i ile ilgili tüm faaliyetlerde söz konusu profile uygun i kararlarının alınmakta olduu konusunda kurum üst yönetimine ve yönetim kuruluna makul bir seviyede güvence oluturmaktır. O nedenle bu profilin KRY dönüüm süreci balangıcında net bir ekilde ortaya konup konmamı olması, bu alanda yürütülen tüm faaliyetlerin baarısını önemli ölçüde etkileyecektir. 3.3 Mevcut Durum Analizi Kurum stratejilerinin ve kurumsal risk alma profilinin net bir ekilde anlaılmasını takiben irketin mevcut risk yönetim altyapısının ayrıntılı bir ekilde analiz edilmelidir. Bu analiz daha sonraki aamalarda belirlenecek olan hedef yapı ile var olan farklılıkların tespiti için hayati önem taımaktadır. Bu analiz, kurumun karı karıya olduu risklerden baımsız olarak bu riskleri TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 23 / 61

yönetmek için var olan sistemleri ve yeterlilikleri kapsamalıdır. Bu sistemlerin uygulama etkinlii ise bu aamada deil, temel KRY metodu uygulamaları içerisinde deerlendirilmelidir. Mevcut durum analizinde temel olarak etkin bir KRY uygulamasının varlıından söz edebilmek için gerekli olan aaıdaki bileenler dikkate alınmalıdır; Risk Yönetim Ortamı: Kurum içerisinde etkin bir risk yönetim sisteminin kurulabilmesi için öncelikle risk yönetim stratejisinin belirlenmi ve çalıma ortamının bu stratejiye uygun olarak düzenlenmi olması gerekir. Risk yönetim stratejisi; kurumun risk yönetim anlayıını, temel prensiplerini, konuya verdii önemi, kabul edilebilir asgari risk seviyelerini, genel risk alma istei seviyesini ve profilini, temel görev ve sorumluluklar ve yetkinlikleri gibi konulara açıklık getirmelidir. Risk yönetim ortamının deerlenmesinde temel olarak aaıdaki sorulara cevap aranmalıdır; irketin risk yönetim anlayıını ve beklentilerini açıklayan yazılı bir Risk Yönetim Politika (Anayasa) belgesi mevcut mudur? irket genel bir Risk Alma stei Seviyesi (Risk Appetite) belirlemi midir? Risk Yönetim Stratejisi, Risk Alma stei Seviyesi ve dier temel Risk Yönetim Politika ve Prosedürleri, irket yönetim kurulu tarafından deerlenmi ve onaylanmı mıdır? Onaylama ile ilgili yazılı bir süreç tanımlanmı mıdır? irket Etik Deerleri belirlenmi, tüm çalıanlara duyurulmu ve eitimlerle desteklenmekte midir? Özellikle kritik pozisyonlar bata olmak üzere tüm pozisyonlar için risk yönetim beklentileri ve gereklilikleri dikkate alınarak yetkinlikler ve yetki/sorumluluklar belirlenmi midir? Risk Yönetim Stratejisi: Kurum içerisinde etkin bir risk yönetim sisteminin kurulabilmesi için bir dier önemli unsur ise belirlenmi olan stratejilerin uygulamaya dönütürülmesidir. Aksi taktirde stratejiler kurum tarafından benimsenemez ve günlük faaliyetlere yansıyamaz. Risk yönetim stratejisi ile ilgili mevcut durum analizinde aaıdaki soruların cevaplanması uygun olacaktır; TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 24 / 61

irketin Risk Yönetim Stratejisi ve Risk Alma stei Seviyesine uygun olarak Risk Yönetim hedefleri ve bunlara balı olarak alınması gereken temel fonksiyonlar açık bir ekilde belirlenmi ve tüm kuruma duyurulmu mudur? irket fonksiyonlar ve operasyonlar bazında Risk Toleranslarını belirlemi midir? Sistematik ve Bütünleik Risk Yönetim Faaliyetleri: Stratejilerin ve bunlara balı olarak hedeflerin net ve kesin bir ekilde belirlenmesini takiben, bunların yerine getirilebilmesi için etkin ve salıklı çalıan bir risk yönetim faaliyetleri bütünü oluturulmalıdır. Risk yönetim faaliyetleri, stratejilere uygun olarak belirlenmi olan hedeflerin yerine getirilmesini salayan araçtır. Risk yönetim sisteminin etkinlii risk yönetim faaliyetlerinde yakalanacak baarıya son derece balıdır. Bu balık ile ilgili sorular ise unlar olabilir; Var olan uygulamalar Risklerin Belirlenmesi adımlarını yerine getirmekte midir? Var olan uygulamalar Risklerin Deerlemesi adımlarını yerine getirmekte midir? Var olan uygulamalar Risk Yönetim Aksiyonlarının Belirlenmesi adımlarını yerine getirmekte midir? Kontrol: irket içinde oluturulan kontrollerin, politika ve prosedürlerin, Risk Yönetim Stratejisi, Risk Alma stei Seviyesi ve Risk Yönetim Hedefleri ile uyumlu olmasını güvence altına alınmalıdır. Tüm dier sistemlerde olduu gibi risk yönetim sisteminin de ileyii sürekli, ancak etkin yöntemlerle kontrol altında tutulmalıdır. Ancak gerek kontroller belirlenirken gerekse uygulanırken irketin hedefleri, faaliyetleri, insan kaynakları, öncelikleri ve iç dinamikleri göz ardı edilmemelidir. Kontrollerin seviyesi dikkatle belirlenmelidir. Kontroller günlük ileyii ve faaliyetleri engellemeyecek düzeyde serbest, ancak hedeflere varılmasını garanti edecek düzeyde de sert olmalıdır. Kontrol ortamı ile ilgili olarak aaıdaki temel sorulara cevap aranmalıdır; Risk Yönetim Aksiyonları ile uyum güvence altına alınmı mıdır? Kontroller politika ve prosedürler ile belgelenmi midir? Bilgi ve letiim: Risk yönetim faaliyetlerinin salıklı ve etkin bir ekilde yürütülebilmesi için ilgili kiilerin ve grupların, gerekli bilgiye, gerektii ölçüde ve gerektii zamanda ulaabilmelerini garanti etmelidir. Bilgi eksiklii risklerin doru bir ekilde tanımlanmasını, yönetilmesini ve kontrol altında tutulmasını engelleyecektir. Öncelikle bilgi var olmalı, doru ekilde korunmalı ve gerektii biçimde paylaılmalıdır. Söz konusu unsurlar kuruma zamanında, doru ve tam TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 25 / 61

olarak ve uygun kanallardan aktarılmadıı sürece stratejilerin ve bunlara balı olarak belirlenen hedeflerin ve hatta risklerin nasıl yönetileceinin anlaılması ve uygulama alanı bulması mümkün olmayacaktır. Bu alanda deerlemesi yapılması gereken soru udur; irket içinde risk yönetim faaliyetlerinin etkin bir ekilde yürütülmesini salayacak düzeyde bilgi paylaımı ve iletiim salanmakta mıdır? zleme ve Sürekli Geliim: Kurumların içinde bulunduu deiime zamanında ve doru tepkiler vermesi ve hızlıca uyum göstermesi gerekmektedir. Risk yönetim sistemi de sürekli deien bir organizasyonun bir parçası olarak sürekli gelimek ve kendisini yenilemek zorundadır. Aksi taktirde kurumun karı karıya olduu birçok yeni riskin algılanmasında ve bu risklere cevap verilmesinde geç kalınabilecektir. Bu balık ile ilgili sorular ise unlar olabilir; Sürekli izleme faaliyetleri belirlenmi ve uygulanmakta mıdır? Risk yönetim sistemi için baımsız deerlemeler yaptırılmakta mıdır? Risk yönetim sistemi ile ilgili tespit edilen eksiklikler etkin bir biçimde raporlamakta mıdır? 3.4 Hedef Yapının Tespiti Mevcut yapının analiz edilmesini takiben yapılması gereken, iyiletirmeler sonrasında eriilmesi arzu edilen hedef yapının belirlenmesidir. Böyle bir analiz yapmaksızın dünyadaki en iyi uygulamaları hedef yapı olarak belirlemek, KRY projelerinin baarısızlık ile sonuçlanmasının en önemli nedenlerinden biridir. En iyi uygulamalar kesinlikle bu analizin önemli unsurlarından biri olmalıdır. Ancak tek unsuru olmamalıdır. Hedef yapının belirlenmesinde analiz edilmesi gereken balıkları aaıdaki ekilde özetlemek mümkündür; Kurumun stratejileri ve hedefleri Kurumsal risk alma profili Faaliyet gösterilen sektörler Faaliyetlerin corafi daılımı Faaliyetlerin karmaıklık düzeyi Kurumun büyüklüü TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 26 / 61

Kurum kültürü Sektör uygulamaları En iyi uygulamalar Yasal düzenlemeler Menfaat gruplarının yapısı nsan kaynakları (nitelik ve nicelik) Kurumun içerisinde bulunduu evre (Geliim, duraklama, küçülme) Bu kriterlerin sayısını arttırmak mümkündür. Ancak temel olarak bu kriterlerin dikkatli bir ekilde analiz edilmesi ve tümünün dikkate alınması ile oluturulacak bir hedef yapı, ihtiyaçlara büyük oranda cevap verecektir. Burada unutulmaması gereken en önemli unsur, bu sürecin dinamik bir süreç olması gereidir. Yukarıdaki süreçlerin birçou zaman içerisinde deikenlik gösterebilecek nitelie sahiptir. Bu nedenle bu kriterler zaman içerisinde tekrar gözden geçirilerek hedef yapıda gerekli revizyon ihtiyaçları belirlenmelidir. Bu aamadaki bir dier önemli unsur da hedef yapının belirlenmesinde, mevcut durum analizi sonuçlarından etkileimin en az düzeyde tutulması gereidir. Aradaki fark çok fazla veya az olabilir. Bu nedenle iyiletirme maliyetleri büyük bir farklılık gösterebilir. Bu nedenle hedef yapı bu kaygılardan özgür bir ekilde belirlenmelidir. Maliyet ve uygulanabilirlik gibi sorunlar bir sonraki aamada dikkate alınmalıdır. 3.5 Fark Analizi ve Planlama Bu aamada yapılması gereken, mevcut durum ile eriilmesi arzu edilen hedef yapı arasındaki farkın tespiti ve buna uygun olarak detaylı bir aksiyon planının oluturulmasıdır. Aksiyon planları oluturulurken fayda, maliyet ve etkinlik unsurları bir arada analiz edilmeli ve böylelikle optimum çözüme odaklanılmalıdır. Aksiyon planları genellikle aaıdaki balıkları içermelidir; Görev ve Sorumluluklar: KRY ile ilgili olarak kurum içerisindeki her bir katmanın görev ve sorumlulukları tanımlanmalı, organizasyonel yapı hedef yapıya uygun olarak yeniden düzenlenmelidir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 27 / 61

Temel Dokümanlar: Bata politika belgesi olmak üzere standartların, rehberlerin ve uygulama dokümanlarının oluturulmasını kapsar. Bu dokümanlar farklı i kollarının tümünde uygulanabilecek nitelikte ve esneklikte oluturulmalıdır. Yöntem: KRY dönüüm sürecinin en önemli aamalarından birisi de KRY metodunun gelitirilmesidir. Baka bir ifade ile risklerin hangi yöntem ile tanımlanacaı, önceliklendirilecei ve risk yönetim çözümlerinin gelitirileceinin belirlenmesidir. Eitim: Yukarıda yer alan iki madde ile ilgili olarak detaylı eitim faaliyetlerinin gelitirilmesi ve yürütülmesini kapsamalıdır. KRY daha öncede belirtildii gibi kurum için çok önemli ve radikal bir deiimdir. Bu nedenle irketin tüm çalıanlarının görev ve sorumluluklarına paralel olarak KRY ile ilgili olarak bilgilendirilmesi ve eitilmesi baarı için kritik öneme sahiptir. yiletirme Faaliyetleri: Sistemler ve uygulamalar açısından mevcut durum ile eriilmesi arzu edilen seviye arasındaki farkın giderilmesine yönelik iyiletirici faaliyetlerin belirlenecek önceliklere uygun olarak gerçekletirilmesi çalımalarını kapsar. yiletirme faaliyetleri teknik, prosedürsel ve organizasyonel çözümleri içermelidir. Aaıdaki bölümlerde bu balıkları ayrıntılı bir ekilde incelenecektir. 3.5.1 Görev ve Sorumluluklar KRY sisteminin etkin bir ekilde uygulanabilmesi için görev ve sorumlulukların açık bir ekilde belirlenmi olması gerekmektedir. letme içerisindeki her çalıan konusu ile ilgili riskleri anlamak ve yönetmek ile sorumludur. Ancak belirli seviyelerde sorumluluklar farklılıklar gösterecektir. Bu bölümde temel yönetim katmanları esas alınarak sorumluluklar açıklanmaya çalıılacaktır. Yönetim Kurulunun Sorumluluu Yönetim Kurulu ve onun ilgili alt komiteleri, irketin karı karıya olduu kritik risklerin etkili bir ekilde yönetilip yönetilmediini takip etmek ile sorumludur. Yönetim Kurulu, irket genelinde risk yönetim faaliyetlerinin etkinliini ve sonuçlarını takip eder. Stratejik ve kritik riskler Yönetim Kurulu seviyesinde izlenir. Yönetim Kurulunun risk yönetimi faaliyetleri ile ilgili olarak temel görevleri unlardır: TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 28 / 61

irket genelinde risk yönetim politikalarını, anlayıını ve standartlarını belirlemek, gözden geçirmek ve onaylamak, Kritik riskleri ve bu riskler ile ilgili gelimeleri düzenli olarak takip etmek, irket genelinde risk yönetim faaliyetlerinin etkinliini ve sonuçlarını izlemek ve deerlendirmek. CEO/Genel Müdür ün Sorumluluu CEO/Genel Müdür, Yönetim Kurulu ndan aldıı yetki ile, risk yönetim süreçlerinin uygulanmasından ve risklerin yönetiminden en yüksek seviyede sorumludur. Bu nedenle kurum içerisinde Kurumsal Risk Yönetim Sürecinin temel sahibi CEO/Genel Müdür dür. CEO/Genel Müdür ün risk yönetim faaliyetleri ile ilgili olarak temel sorumlulukları unlardır; Risk yönetim faaliyetlerini yakından izleyerek sistemin etkin bir ekilde çalıtıını güvence altına almak, Kurumun risklerini risk yönetiminden sorumlu birimce ve dier ilgili birimlerce günlük, haftalık, aylık ve gerekli görülen dier dönemlerde hazırlanan risk raporları ve dier kanallardan elde edecei bilgiler vasıtasıyla takip etmek, Söz konusu riskler ile ilgili gerek gördüü her türlü aksiyon kararını almak ve uygulamak, Gerekli gördüü durumlarda risk yönetim konularını Yürütme Kuruluna ve/veya Yönetim Kuruluna aktarmak, Kurum Yönetimlerinin Sorumluluu Risk yönetiminin fiili olarak gerçekletirilmesinin temel sorumluluu ilgili yöneticilere aittir. Buna göre üst yönetimden beklenen görevler unlardır; Risk yönetimi ile ilgili konuları ve sorunları belirlenecek raporlama sistematii içerisinde zamanında ve uygun ekilde risk yönetiminden sorumlu birime iletmek, Topluluun genel risk çerçevesini ve bu çerçeve ile hedeflenen Risk Kültürü anlayıını tüm çalıanlarına aktarmak ve anlaılmasını salamak, Topluluun belirlenmi olan genel risk yönetim çerçevesini kendi faaliyetlerine adapte ederek detaylı risk yönetim ve kontrol prosedürlerini oluturmak ve uygulamak, TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 29 / 61

Sorumluluk alanlarındaki kritik riskleri anlamak, takip etmek ve bu risklerle ilgili olarak etkili risk yönetim kararları almak. Bu amaçla detaylı risk yönetim aksiyon planlarını hazırlamak, Risk yönetimi raporlarının zamanında ve tam içerikte hazırlanması ve ilgili birimlere aktarılması için gerekli sistemi oluturmak, Sorumluluu altındaki çalıanların risk yönetim ve kontrol açısından sürekli gelimesini salamak, Gerçekletirilen her türlü faaliyette alınan risk ve bunun karılıında elde edilen kazanç dengesini dikkate almak, Risk yönetiminden sorumlu birim ile de koordine ederek, risk yönetim sisteminin sürekli iyiletirilmesini ve geliimini salamak. Tüm Çalıanların Sorumluluu Kurum bünyesindeki tüm çalıanlar aaıdaki hususları yerine getirmek ile sorumludur; Belirlenmi olan risk yönetim politikalarına, standartlarına ve süreçlerine harfiyen uymak, Ortaya çıkmı ve / veya çıkabilecek her türlü risk kaynaını zamanında ve eksiksiz olarak üstlerine raporlamak. ç Denetim Bölümlerinin Sorumluluu irket içerisinde eer bir ç Denetim bölümü veya faaliyeti var ise bu bölüm risk yönetim faaliyetlerinin irket içerisinde etkin ve baarılı bir ekilde yürütülmesini güvence altına almak amacı ile ilgili birimlerin risk yönetimi politika ve uygulamalarını, belirlenmi risklerle ilgili oluturulan iç kontrol sistemlerinin etkinlik ve ileyiini düzenli ve sistematik olarak denetlemek ve iyiletirme/gelitirme önerilerini raporlamak ile sorumlu olmalıdır. Risk Yönetim Bölümünün Sorumluluu irket içerisinde baımsız bir Risk Yönetim fonksiyonu oluturulmu ise söz konusu bölüm irketin bünyesinde var olan mevcut risk yönetim uygulamalarını gelitirmek yönünde gerekli olan çalımaları gerçekletirmekle sorumludur. Etkin bir KRY sisteminden bahsedebilmek için baımsız bir Risk Yönetim Bölümünün TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 30 / 61

ve yöneticisinin var olması zorunludur. Baımsız ve merkezi bir bakı açısı olmadan kurum içerisinde KRY yaklaımının uzun soluklu olabilmesi mümkün olmayacaktır. Bir risk yönetim bölümünün temel sorumluluklarını aaıdaki ekilde özetlemek mümkündür; Sistematik Risk Yönetim Kültürü kavramını gelitirmek ve kurum geneline yaygınlatırmak, Kritik risklerin karar alıcılarca etkin bir ekilde tanımlanması ve yönetimini salamak, Risklerin tüm uygulayıcılar ve karar alıcılar tarafından aynı düzeyde ve içerikte anlaılmasını salamak, Risklerin irket bünyesinde yetkili kurullarca belirlenecek risk tolerans seviyeleri dâhilinde yönetilmesine imkân verecek altyapıyı salamak, Yatırım kararlarını, Holdingin ve balı kuruluların stratejik i amaçlarına uygun olarak ve merkezi risk yönetim fonksiyonu ile koordinasyon içerisine almak, Her seviyedeki yöneticilerin beklenen getiri oranı-alınan risk ilikisini dikkate alarak karar almalarının salanması ve bu kararlarla ilgili performans ölçümünün irket tarafından etkin bir ekilde izlenmesini salamak, Risk yönetimi ile ilgili etkin bir raporlama ve bilgi akıı sistemini kurmak ve uygulamak, Kurumsal Risk Yönetim sisteminin, proaktif bir süreç olarak kurum kültürü ile bütünlemesini salayarak stratejik planlama, i planlaması ve operasyonel yönetim süreçlerinin önemli bir parçası haline gelmesini salamak. 3.5.2 Temel Dokümanlar Temel dokümanlar bata politika belgesi olmak üzere standartları, rehberleri ve uygulama dokümanlarını kapsar. Bu dokümanların içerii kurumdan kuruma farklılık gösterecektir. Eer irket farklı sektörlerde faaliyet göstermekte ise, bu dokümanlar tüm kurumu kapsayabilecek derinlikte olmalıdır. Aksi taktirde uygulama bütünlüünü salayabilmek mümkün olmayacaktır. Bu aamada oluturulması uygun olabilecek bazı dokümanlar unlardır; TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 31 / 61

KRY Politika Belgesi: Özetle kurum için KRY in ne anlama geldii ve bu konuya verilen önem vurgulanır. Özelikle bu dökümanda kurum çalıanlarının ve/veya farklı i kollarının performanslarının deerlenmesinde, KRY uygulamalarında gösterecekleri baarı veya baarısızlıın önemli bir etken olacaı açık bir ekilde vurgulanmalıdır. Politika belgesi son derece kısa ve öz olmalıdır. Bu belge kurum Yönetim Kurulu tarafından onaylanmalı ve tüm irkete duyurulmalıdır. KRY ile ilgili tüm uygulamalar gücünü ve dayanaını bu belgeden alacaktır. KRY Risk Modeli: Bu doküman bir nevi irketin risk sözlüüdür. Her kurum kendi durumunu dikkate alarak kendisi için önemli olabilecek risklerden bir risk modeli oluturmalıdır. Bu modelde her bir risk tanımlanmalıdır. Böylelikle kurum içerisinde öncelikle bir dil ve kavram bütünlüü salanabilecektir. KRY Standardı: KRY nin önemi vurgulanmalı ve kurumun KRY uygulamasına geçmesinin gereklilii vurgulanmalıdır. Sonrasında KRY de kullanılan temel kavramların tanımları verilerek, KRY sürecinde izlenecek yöntemler (risklerin belirlenmesi, analizi, önceliklendirmesi v.b.), ve bu süreçte yer alacak kii ve bölümlerin sorumlulukları anlatılmalıdır. Risk Deerleme Rehberi: Kurumun risk profilinin ortaya çıkartılması için gerekli risk deerlendirme çalımasının bizzat irket yöneticileri ve seçilmi personel tarafından yapılmasına yol göstermek amacı ile hazırlanan belgelerdir. Belge içerisinde her bir risk için etki, olasılık ve önem kriterleri ile birlikte temel sebep belirlemeye yönelik sorular da bulunmalıdır. Ayrıca öz deerleme yöntemi ayrıntılı bir ekilde açıklanmalıdır. Risk deerleme çalımaları sırasında kullanılacak tek tip doküman örnekleri de bu rehber içerisinde yer almalıdır. Ayrıca, sektörel risk deerlendirme soruları ve formlarına da bu rehber içerisinde yer verilebilir. 3.5.3 Yöntem KRY dönüüm sürecinin en önemli aamalarından birisi de KRY yönteminin gelitirilmesidir. Baka bir ifade ile risklerin hangi yöntem ile tanımlanacaı, önceliklendirilecei ve risk yönetim çözümlerinin gelitirileceinin belirlenmesidir. Aaıdaki ekilde ideal bir KRY yönteminin aamaları görülmektedir; TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 32 / 61

ekil 4: Kurumsal Risk Yönetim Süreci Özet Kaynak: Standards Australia, Homebush NSW 2140, Australia Önerilen bu yöntemin detayları sonraki bölümlerde incelenecei için burada ayrıca açıklanmayacaktır. 3.5.4 Eitim yiletirme faaliyetlerine balamadan önce yapılması gereken hazırlık çalımalarının sonuncusu yukarıda ana hatları ile anlatılan anlayıın tüm kurum geneline tanıtılmasıdır. Her sistem gibi KRY nin baarısı da, uygulayıcıların bu sistemi ne derece etkin bir ekilde anladıkları ve uygulayabildikleri ile yakından ilgilidir. KRY kavramı tüm dünyada göreceli olarak yeni bir kavramdır. Bu nedenle yeterli eitim ve tanıtım faaliyetleri olmaksızın çalıanların bu sistemi anlamalarını ve TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 33 / 61

derhal uygulamaya geçirmelerini beklemek gerçekçi olmayacaktır. O nedenle öncelikle kurum içerisinde KRY çalımalarına liderlik edebilecek profilin belirlenmesi önemlidir. Ancak aynı derece önemli olan bir dier husus da kuruma uygun bir eitim programı oluturabilmektir. Bu alanda dı destek alınması son derece uygun olacaktır. Eitim programı hem kavramsal hem de uygulamaya yönelik olmalıdır. KRY daha öncede belirtildii gibi kurum için çok önemli ve radikal bir deiimdir. Bu nedenle irketin tüm çalıanlarının görev ve sorumluluklarına paralel olarak KRY ile ilgili olarak bilgilendirilmesi ve eitilmesi baarı için kritik öneme sahiptir. Bu eitimlerde yer verilebilecek bazı konu balıkları unlar olabilir; Risk Nedir? Risk Yönetimi Nedir? Kurumsal Risk Yönetimi Nedir? KRY ne olan ihtiyacımız? Stratejilerimiz ve KRY ilikisi Performans Yönetimi ve KRY Risk Kategorileri Öz Risk Deerleme Yöntemi KRY Yöntemi Görev ve Sorumluluklar Risk/Kazanç Dengesi Üst Yönetim Beklentileri 3.5.5 yiletirme Faaliyetleri Sistemler ve uygulamalar açısından mevcut durum ile eriilmesi arzu edilen seviye arasındaki farkın giderilmesine yönelik iyiletirici faaliyetlerin, belirlenecek önceliklere uygun olarak gerçekletirilmesi çalımalarını kapsar. Gerçekletirilen analizlerde çok farklı problemlerle karılaılabilir. Ancak bunları belirli kategorilerde sınıflandırmak yanlı olmayacaktır; Mevcut i süreçlerinin yetersiz ve yanlı olması, modelinin kurumun mevcut ihtiyacına cevap vermeyecek yapıda olması, TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 34 / 61

Teknik alt yapının yetersiz olması, nsan kaynaının nitelik ve/veya nicelik olarak yetersiz olması, Organizasyonel yapının ihtiyaca cevap vermemesi. Bu sınıflandırmaya paralel olarak mevcut i süreçlerinin gelitirilmesi, kontrol ortamının iyiletirilmesi, görev ve sorumluluklarda güncelleme, farklı bilgi teknolojileri arasında entegrasyonunun salanması, çalıanların eitilmesi, stratejilerin gözden geçirilmesi ve i modeli ile ilgili kriterlerin güncellenmesi gibi iyiletirme faaliyetleri yürütülebilir. yiletirme faaliyetleri birbirleri ile koordine içinde gerçekletirilmeli ve mutlaka bu koordinasyon için merkezi bir izleme ve yönetim komitesi oluturulmalıdır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 35 / 61

4. Kurumsal Risk Yönetim Süreci Çalımanın bu bölümünde önceki bölümlerde kısa bir ekilde deinilmi olan KRY yöntemi veya süreci ayrıntılı bir ekilde incelenecektir. KRY sürecinin temel unsurlarını hatırlamak gerekirse; Risklerin Tanımlanması Risklerin Analiz Edilmesi ve Ölçülmesi Risklerin Önceliklendirilmesi Risklere Uygun Çözümlerin Belirlenmesi ve Gözden Geçirilmesi letiim ve Danıma ekil 5: Kurumsal Risk Yönetim Süreci Kaynak: Standards Australia, Homebush NSW 2140, Australia TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 36 / 61

Baka bir ifade ile KRY süreci ile aaıdaki be temel soruya daha doru ve etkin cevapların bulunmasına destek olunması amaçlanmaktadır; Risklerin neler olduu gerçekten biliniyor mu? Bu riskleri etkin bir ekilde yöneterek, risk / kazanç dengesi lehe kullanılabiliyor mu? Riskler için uygun kontroller var mı? Kontroller etkili bir biçimde çalııyor mu? Hangi kontroller iyiletirilmek / gelitirilmek zorundadır? Bu süreç kurumlar için KRY yönteminin genel çerçevesini oluturan unsurları içermektedir. Bu yapısı ile kurumlarda kurulacak her bir KRY sistemleri için temel kurallar ve anlayı açısından bir rehber nitelii taımaktadır. Bu yaklaım, genel kullanıma uygun olup her hangi bir sektöre hitap etmemektedir. KRY sisteminin tasarımı ve uygulanma ekli kurumların ihtiyaçlarına, hedeflerine, ürün ve servis çeitliliine, i süreçlerine ve yöntemlerine göre farklılık gösterecektir. 4.1 Risklerin Tanımlanması Etkin bir risk yönetimi sistemi için iyi kurulmu, kapsamlı ve sistematik bir risk belirleme süreci oldukça önemlidir. lk olarak risk unsurlarının belirlenmesi sırasında tanımlanan hedeflerin gerçekletirilmesi üzerinde etkisi olabilecek sebeplerin ve olayların kapsamlı bir listesinin oluturulması gerekmektedir. Bu olaylar hedeflerin gerçekletirilmelerini engelleyebilecek, sonuçları azaltabilecek veya geciktirebilecek etkilere sebep olabilir. Belirlenen olaylar daha sonra olası sonuçları açısından detaylı analize tabi tutulmalıdır. Ne gibi olayların ortaya çıkabileceinin belirlenmesi sonrasında olaya sebep olabilecek unsurların ve senaryoların belirlenmesi oldukça önemlidir. Olaylar birçok sebeplerden ortaya çıkabilir. Önemli olan kritik ve temel sebeplerin ortaya çıkartılmasıdır. Risklerin tanımlanması için kontrol listeleri, kayıtlara ve deneyimlere balı çıkarımlar, akı diyagramları, tartımalar, sistem analizleri, senaryo analizleri ve sistem mühendislik teknikleri kullanılmaktadır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 37 / 61

Kullanılan yaklaım, gözden geçirilen aktivitelerin doasına, risk tiplerine, kurumun iç unsurlarına ve risk yönetim çalımasının amacına balı olarak deiecektir. Kurumdaki tüm olası risklerin belirlenememesi risk yöneticilerinin bu riskler ile baa çıkmasını engelleyecek ve bu risklerin potansiyel zararlarını ortadan kaldırma ihtimali de azalacaktır. 4.2 Risklerin Analiz Edilmesi ve Ölçülmesi Risk analizi bir önceki aamada belirlenmi olan risklerin daha detaylı anlaılması ile ilgilidir. Risk analizi, belirlenmi riskler hakkında aksiyon alınıp alınmayacaına ve alınacak ise fayda/maliyet dengesi açısından en uygun olan aksiyonların seçilmesine yardımcı olacaktır. Risk analizi risklerin sebeplerinin, olumlu/olumsuz etkilerinin ve bu etkilerin ortaya çıkma ihtimallerinin belirlenmesinden oluur. Risk analizi sırasında bir ön analiz yapılmasında fayda bulunmaktadır. Böylelikle daha detaylı analize geçmeden önce aynı tip riskler bir araya toplanabilir veya düük önemdeki riskler kapsam dıında deerlendirilebilir. Kapsam dıında olması öngörülen riskler de kayıt altına alınmalı ve geliimleri izlenmelidir. 4.2.1 Mevcut Kontrollerin ncelenmesi Risklerin azaltılması için var olan süreçler, araçlar veya uygulamalar ve bunların zayıf/kuvvetli yönleri incelenmelidir. Mevcut kontroller daha önce yapılmı risk analizleri sonucunda tasarlanmı ve günlük ihtiyaçları yeterli düzeyde karılamı olabilir. Ancak bu kontrol tasarımlarının irketin mevcut durumdaki ihtiyaçlarını karılamada ne derece yeterli olduu belirlenmelidir. 4.2.2 Etkiler ve htimal Olayların ortaya çıkmaları halinde douracaı etkilerin büyüklüü, olayların ve sonuçlarının ortaya çıkma ihtimallerinin belirlenmesi dikkate alınmalıdır. Bir olayın birden fazla sonucu olabilir ve deiik i hedeflerinin gerçekletirilmelerini etkileyebilir. Tek baına etki veya ihtimal, riskin öneminin belirlenmesinde kullanılmamalıdır. Risklerin önem seviyesi, etkiler ve ihtimallerin bir araya gelmesi ile oluturulmalıdır. Etki ve ihtimalin tahmin edilmesinde istatistiksel analiz ve hesaplamalar kullanılabilir. Eer elde bulunan bilgiler yetersiz, konu ile dorudan ilgili ve güvenilir deil ise belirli bir olayın TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 38 / 61

ya da sonucun oluacaına dair bireylerin veya grupların tahminlerine dayandırılan analiz yapılabilir. Bu tip analizlerde bireylerin tahminleri ve grupların tahminleri arasında bir denge salanmalı ve analiz sonucunda ortaya çıkabilecek farklı tahminler arasında bir görü birliine ulaılması salanmalıdır. Analizler her ne kadar sübjektif olsa da mutlaka bazı kritik risk göstergeleri ile ilikilendirilmelidir. Etkileri ve ihtimalleri analiz edilirken amaca en uygun bilgi kaynakları ve teknikleri kullanılmalıdır. Bilgi kaynakları unlar olabilir; Eski kayıtlar Uygulamalar ve ilgili tecrübeler lgili basılmı kaynaklar Pazar aratırmaları Oylama sonuçları Deneyler ve prototipler Ekonomik, teknik veya dier modeller Uzman görüleri Kullanılabilecek bazı teknikler ise unlar olabilir; lgili alanda uzmanlarla yapılacak görümeler Deiik alanlarda uzmanların bir arada kullanılması Anketler ile kiilerin deerlemeleri Modellerin ve simülasyonların kullanılması Analizler sırasında kullanılan varsayımlar mutlaka belgelenerek kayıt altına alınmalıdır. 4.2.3 Analiz Tipleri Risk analizi; analiz edilecek riske, analizin amacına, eriilebilen bilgi ve kaynakların seviyesine balı olarak farklılık gösterecektir. Analiz duruma göre kalitatif (niteleyici), yarı-kantitatif (yarı-niceleyici), kantitatif (niteleyici) veya bunların bir birleimi sonucunda karma bir analiz olabilir. Bu analiz tiplerini karmaıklık ve maliyet özelliklerine göre en yüksekten düüe u ekilde TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 39 / 61

sırlamak mümkündür; kantitatif, yarı-kantitatif ve kalitatif. Uygulamada kalitatif analiz genelde riskin seviyesi hakkında bir öngörü edinilmesinde ve önemli risk alanlarının tespitinde kullanılır. Daha sonraki adımlarda ise önemli risk alanlarında daha spesifik veya kantitatif analizler kullanılmaktadır. Ancak bu durum risklerin özelliklerine göre farklılıklar gösterebilir. Bazı riskler, tamamen kantitatif tekniklerle analiz edilebilecei gibi bazı riskler özellikler itibari ile sadece kalitatif tekniklerle analiz edilebilir. Analiz öncesinde risklerin bu özelliklerine göre sınıflandırılması analizin etkinliini arttıracaktır. Risk analizinin tipi risk modeli çerçevesi kapsamında belirlenen risk deerleme kriterleri ile tutarlı olmalıdır. Analiz tipleri detaylı olarak aaıda açıklanmıtır: (a) Kalitatif (Niteleyici) Analiz Kalitatif analiz, olayların potansiyel etkilerinin derecesini ve bunların ortaya çıkma ihtimallerini, kelimelerden oluan skalalar üzerinden analizi gerçekletirenlerin bireysel yargıları ile ortaya çıkan sonuçlar ile ifade etmektedir. Bu skalalar ihtiyaca göre düzenlenebilir ve deiik riskler için deiik tanımlamalar kullanılabilir. Kalitatif analiz aaıdaki durumlarda kullanılabilir; Daha detaylı analiz gerektiren risklerin belirlenmesi için yapılacak hazırlık çalımalarında, Kararlar için bu tip analizlerin uygun ve yeterli olduu durumlarda, Kantitatif analiz için gerekli veri veya kaynaklar yetersiz olduunda, Söz konusu riskin yapısal özellikleri gerekli kıldıında. Kalitatif analiz mümkün olduunca geçmite yaanan olaylara dayandırılmalı ve bu olaylar ile ilgili veriler ile beslenmelidir. (b) Yarı-Kantitatif (Yarı-Niceleyen) Analizi Yarı-kantitatif analizde kalitatif analizde kullanılan skalalardaki kelimelerden oluan tanımlamaların yerini rakamlar almaktadır. Bu yöntemde daha geni derecelendirme skalaların uygulanmasını salamak amaçlanmıtır. Ancak bu yöntemde de derecelendirme analizi gerçekletirenlerin bireysel yargıları ile belirlenmektedir. Bu nedenle riskler için skala üzerinde gerçekletirilen TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 40 / 61

derecelendirme etki ve ihtimal tahminlerinin ölçülmü deerlerini içermemektedir. Yarı-kantitatif analiz kullanılması sırasında skala üzerinde seçilecek derecenin gerçek durumu yansıtmama olasılıı hatırdan çıkartılmamalıdır. Aynı ekilde derecelendirmenin istikrarlı bir ekilde aynı varsayımlar altında yapılmama durumu ile karılaılabilir. Bu durumda risklerin birbirleri arasındaki önemlilik ilikisinin ve kendi içlerinde yıllar itibari ile gösterdikleri eilimlerin salıklı analiz edilebilmesi mümkün olmayacaktır. Yarı-kantitatif analiz etkileri ve olasılıkları çok yüksek olan risklerin aralarındaki farkların ortaya konmasında da eksik kalabilecektir. (c) Kantitatif (Niceleyen) Analiz Kantitatif analiz, veri kaynaklarını kullanarak etki ve ihtimal tahminlerini rakamsal deerler ile ifade etmeyi amaçlamaktadır. Analiz sonuçlarının kalitesi kullanılan verinin doruluu ve bütünlüü ve kullanılan modelin geçerliliine balıdır. Potansiyel etkiler belirli bir olayın veya olaylar dizisinin sonuçlarının modellenmesi ile bulunabilecei gibi geçmi çalımalardan veya olaylardan da istatistiksel olarak çıkartılabilir. Etki; parasal, teknik, insana gelebilecek zarar veya dier bir zarar kriteri cinsinden ortaya çıkartılabilir. Bazı durumlarda aynı olayın risk derecesinin belirlenmesi için birden fazla rakamsal deer kullanılması gerekebilir. Etkilerin ve ihtimallerin belirsizlik ve deikenlii analiz esnasında göz önünde bulundurulmalı ve etkin bir ekilde raporlanmalıdır. 4.2.4 Duyarlılık Analizi Risk analizi kapsamında yapılan varsayımlar kesin ve kusursuz olamayacaından belirsizliin varsayımlar ve kullanılan veri üzerindeki etkilerinin belirlenmesi için duyarlılık analizi yapılması gereklidir. Duyarlılık analizi aynı zamanda potansiyel kontrolleri ve KRY aksiyonlarının uygunluunun ve etkinliinin test edilmesi için de kullanılabilecek bir analiz tipidir. Temel olarak belirli senaryolar altında modelin esnekliinin belirlenmesi için kullanılır. 4.3 Risklerin Önceliklendirilmesi TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 41 / 61

Risklerin önceliklendirilmesinin amacı risk analizlerinin sonuçlarına balı olarak hangi riskin öncelikli olarak iyiletirilmesi gerektiine karar vermektir. Risklerin önceliklendirilmesi, risklerin analiz edilmesi ile ortaya çıkan risk önem derecesinin, önceden belirlenmi risk kriterleri ve risk alma istei ile karılatırılmasını ve böylelikle öncelikli olarak üzerinde durulması gereken risklerin belirlenmesi sürecini içermektedir. Risklerin bu ekilde deerlenmesi sürecinde Kurumun hedefleri ve alternatif fırsatların potansiyel sonuçları göz önüne alınmalıdır. Hedefler ile uyumlu olan birden fazla alternatif olması durumunda, seçim yapılırken alternatiflerin potansiyel kayıpları ve kazançları objektif bir ekilde deerlenmelidir. Alternatiflerin arasında yapılacak seçim ise irketin risk alma istei seviyesine uygun bir ekilde yapılmalıdır. Kararların verilmesi esnasında risk daha geni bir perspektifte ele alınarak sadece irket ve ortakları için deil aynı zamanda dier menfaat grupları içinde ele alınmalıdır. Bazı durumlarda risklerin önceliklendirilmesi sonucunda daha detaylı risk analizi yapılması gerei ortaya çıkabilir. ekil 2 de risklerin önceliklendirmesinde oluma sıklıkları ve yapacakları etkinin büyüklüü açısından deerlendirme metodu anlatılmaktadır. ekil 6: Önceliklendirme Haritası TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 42 / 61

Kaynak: Marsh Inc. Yukarıda anlatılan genel deerlendirme, bir sonraki aamada daha somut hale getirilerek rakamsal sonuçların gösterildii bir risk matrisi oluturulabilir. ekil 7 te böyle bir risk matrisi örnei gösterilmektedir. ekil 7: Örnek Risk Matrisi ÖRNEK RSK MATRS iddet 500.000 + 7 A A A A A A A 100.000 6 A A A A A A A 50.000 5 B B B B B A A 10.000 4 C C C C B A A 5.000 3 C C C C B A A 1.000 2 D D C C B A A 0 1 D D C C B A A 0 1 2 3 4 5 6 7 Frekans/Olasılık 0-100-250 250-500 500-1000 10-1000- 5000+ Kaynak: Anadolu Grubu Hazine Departmanı TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 43 / 61

4.4 Risklere Uygun Çözümlerin Belirlenmesi ve Uygulanmaları Riskler belirlendikten ve ölçüldükten sonra risk yöneticisi en uygun araçların kombinasyonu ile problemin çözümü için karar almalıdır. Bu adım, risk yönetim aksiyonları için alternatiflerin belirlenmesi, alternatiflerden en uygun olanına karar verilmesi, uygulama planlarının hazırlanması ve uygulanmasını, özetle risk yönetim stratejilerinin belirlenmesini içermektedir. ekil 8: Risk Yönetim Çözümleri Kaynak: Marsh Inc. Riskten Kaçınma: Riskin ortaya çıkmasına veya artmasına sebep olan faaliyetlere balanılmaması veya son verilmesi eklinde riskten kaçınmak mümkündür. Riskten kaçınma kararı, eer bir yönetici veya irketin risk alma istek seviyesi yüksek ise uygun olmayabilir. Bu durumda riskten kaçınma dier risklerin öneminin artmasına ve/veya fırsatların kaybedilmesine neden olabilecektir. Riskin htimalinin Azaltılması: Uygun kontroller yardımı ile olayların olumsuz etkilerinin ortaya çıkma ihtimalinin azaltılmasıdır. Riskin Etkilerinin Azaltılması: Olayların olumsuz etkilerinin büyüklüünün azaltılarak potansiyel kayıpların azaltılması için gerekli kontrollerin belirlenmesi TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 44 / 61

ve uygulanmasını gerektirir. Riskin etkilerinin azaltılmasına yönelik kontroller ve faaliyetler olay öncesi (örnein; yangından zarar görmesin diye stokların azaltılması) ve olay sonrası (örnein; yangın acil durum planları) olarak sınıflandırılabilir. Riskin Transfer Edilmesi ve Paylaılması: Riskin bir parçası veya tümünün dier bir taraf veya taraflarca üstlenilmesidir. Bu paylaım mekanizmaları arasında anlamaların kullanılması, sigorta uygulamaları ve ortaklık gibi organizasyonel yapılandırmalar sayılabilir. Genellikle riskin paylaılması sırasında ortaya bir maliyet çıkacaktır, örnein sigorta için prim ödenmesi gibi. Bu nedenle risk transfer kararlarında fayda maliyet analizi dikkatli bir ekilde gerçekletirilmelidir. Riskin paylaılması / transfer edilmesi ile baka bir risk alınmı olur. Bu da riski üstlenen tarafın riski uygun ve etkin bir ekilde yönetememesi riskidir. Riskin Kabul Edilmesi: Risklerin azaltılmasından veya paylaılmasından sonra geriye bir miktar risk kalacaktır. Bu geriye kalan risk eer belirlenmez ve uygun ekilde yönetilmez ise irkete zarar olarak yansıması söz konusu olabilir. Geriye kalan risk irketin risk kriterleri ile karılatırılarak hakkında bir aksiyon alınıp alınmamasına karar verilmelidir. En uygun risk yönetim stratejisinin seçilmesi, risk yönetim stratejisini hayata geçirebilmek için gerekli maliyetlerin ve hayata geçirilmesi sonrasında elde edilecek faydaların karılatırılması suretiyle yapılmalıdır. Doal olarak verilecek karar ile ortaya çıkacak maliyetin faydadan düük olması gerekmektedir. Analiz tüm dorudan ve dolaylı maliyetler ile maddi ve maddi olmayan faydaları, finansal veya finansal olmayan birimler cinsinden dikkate almalıdır. Ancak her bir risk veya risk stratejisi için fayda/maliyet analizinin tam bir sonuç verebilecei düünülmemelidir. Kritik bazı riskler için gelitirilecek stratejilerin faydalarının sübjektif olarak belirlenmesi gerekebilecektir. Alternatiflerin bazıları tek bir strateji bazıları ise birden fazla stratejinin bir arada kullanılması ile oluturulabilir. Belirlenmi alternatiflerin etkinliinin test edilmesi için duyarlılık analizi kullanılabilir. irket birçok durumda birden fazla stratejinin optimum bir ekilde kullanılması ile daha fazla yarar elde edebilir. Bu duruma örnek olarak, belirli bir riskin yönetilmesi için anlama kullanılması ve sigorta ile desteklenmesi verilebilir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 45 / 61

Gerçekleme olasılıı düük ancak potansiyel etkileri çok yüksek olan bazı kritik riskler için uygulanması gerekli olan risk yönetim stratejilerinin maliyetlerine karılık elde edilecek faydanın finansal etkisi rakamsallatırılamayabilir. Örnein yasal ve sosyal sorumluluklar için alınması gereken aksiyonların maliyetleri karısında bu aksiyonların finansal faydaları temel fayda/maliyet analizi ile belirlenemeyebilir. Risk yönetim strateji seçenekleri deerlenirken menfaat sahiplerinin bakı açıları, deerleri ve onlarla iletiim kurmanın en uygun yolları dikkate alınmalıdır. Risk yönetim faaliyetleri için ayrılan bütçelerin kısıtlı olması durumunda risk yönetim planı hangi risk yönetim stratejilerinin ve faaliyetlerinin öncelikli olarak uygulanacaını açık bir ekilde tanımlamalıdır. Uygulanacak risk yönetim stratejileri tanımlanması, analiz edilmesi, incelenmesi ve aksiyon alınması gereken yeni riskler yaratabilir. Risk yönetim stratejilerinin karar verilip uygulanması sonrasında geriye kalan bir risk miktarı var ise söz konusu riskin bu seviyede kabul edilip edilmeyecei veya kalan riskin seviyesini daha da aaıya çekmek için yeni risk yönetim stratejilerinin uygulanıp uygulanmayacaına karar verilmelidir. En son aamada ise risk yönetim uygulama planlarının amacı, seçilen risk yönetim stratejisinin nasıl uygulanacaını tanımlamak ve belgelemektir. Bu planlar en az u bilgileri kapsamalıdır: Önerilen aksiyonlar Kaynak gereksinimleri Sorumluluklar Zamanlama Performans ölçümleri Raporlama ve izleme gereksinimleri Risk yönetim uygulama planları kurumun yönetim ve bütçe süreçleri ile entegre edilmelidir. 4.5 Sürecin Sürekli zlenmesi ve Gözden Geçirilmesi Risk yönetim sisteminin ihtiyaçlara ne derece etkin bir ekilde cevap verebildii ve/veya ne derece etkin olarak kullanılabildiinin takip edilmesi sürekli baarı TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 46 / 61

için son derece önemlidir. Bu amaçla sayısal ve sayısal olmayan performans ölçüm teknikleri belirlenerek uygulamaların performansı sürekli olarak yakından izlenmelidir. Bu kapsamda sonuçlar da Riske Göre Ayarlanmı (Risk Adjusted) yöntemlerle deerlenmeli ve böylelikle risk yönetim uygulamalarının sonuçlarının, genel iletme sonuçlarına ne derece yansıdıı belirlenmelidir. Kurumlar çeitli nedenlerle sürekli bir deiim içerisindedirler. Kiiler, iler, rakipler, uygulamalar sürekli bir deiime tabidir. Kimi sektörlerde ve ilerde bu deiim daha az hissedilirken kimilerinde çok youn bir ekilde hissedilmektedir. Baarılı kurumları dierlerinden ayıran en önemli özellik bu deiime zamanında ve doru tepkiler vermeleri ve deiime hızlı uyum salamalarıdır. Risk yönetim sistemi de sürekli deien bir Kurumun bir parçası olarak sürekli gelimek ve kendisini yenilemek zorundadır. Aksi taktirde kurumun karı karıya olduu birçok yeni riskin algılanmasında ve bu risklere cevap verilmede geç kalınabilir. Sürekli izleme ve gözden geçirme faaliyeti, risk yönetim uygulamalarının güncel ve amaca yönelik bir içerikte kalması için gereklidir. Zaman içerisinde risklerin etkilerini ve ihtimallerini etkileyen faktörler ve dolayısı ile riskleri yönetmek için gerekli faaliyetlerin maliyetleri ve faydaları da deiim gösterebilecektir. Bu sebeple risk yönetimi sürecini sürekli ve sistematik olarak tekrarlamak gereklidir. zleme ve gözden geçirme aynı zamanda risk yönetimi sürecinden, olaylardan, risk yönetimi planlarından ve planların uygulama sonuçlarından dersler çıkartmayı gerektirir. Risk yönetimi sürecinin etkin bir ekilde izlenebilmesi ve gelitirme önerilerinin oluturulabilmesi için her adımın uygun bir ekilde belgelenerek kayıt altına alınması gerekmektedir. Varsayımlar, yöntemler, veri kaynakları, analizler, sonuçlar ve alınan kararların sebepleri belgelenmesi gereken temel konular arasındadır. Sürecin kayıt altına alınmasında aaıda belirtilen temel ilkeler unutulmamalıdır; Yasal ve ticari kayıtlama gereksinimleri Kayıtların yaratılması ve saklanması maliyetleri Bilginin tekrar kullanımı TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 47 / 61

4.6 letiim ve Danıma letiim ve danıma risk yönetim sürecinin her adımında oldukça önemli bir yere sahiptir. Karar alıcılardan menfaat sahiplerine yapılacak tek yönlü bilgilendirme yerine karılıklı bir diyalog kurulmalıdır. Risk yönetimi sürecinin balarında kurum içi ve dıı menfaat grupları ile gerçekletirilecek iletiimin koullarını düzenleyen bir iletiim planı oluturulmalıdır. Bu plan, hem riskler hem de risk yönetimi süreci ile ilgili kritik konulara açıklık getirmelidir. Etkin bir kurum içi ve dıı iletiim, risk yönetimi sürecinin uygulanmasından sorumlu olanların ve menfaat sahiplerinin hangi kararların alındıını ve bunların sebeplerini açık bir ekilde anlamaları açısından oldukça önemlidir. Menfaat sahiplerinin yargıları, alınan kararlar üzerinde önemli bir etki oluturacaından, risk ile ilgili görülerin tanımlanması, kayıt altına alınması ve karar alma sürecine entegre edilmi olmaları oldukça önemlidir. Karılıklı görü alıveriine dayalı bir takım yaklaımı, risklerin etkin bir ekilde belirlenmesinde, risklerin analiz edilmesi sırasında farklı tecrübelerin bir araya getirilmesinde, risklerin ölçülmesi sırasında deiik görülere yer verilmesinde ve risk yönetim stratejilerinin uygulanmasında deiim yönetiminin uygulanmasına yardımcı olacaktır. Bu yaklaım yöneticilerin riskleri ve risk yönetim süreçlerini daha iyi anlamalarını, sahiplenmelerini ve desteklemelerini salayacaktır. letiim ve danıma faaliyetlerinin kayıt altına alınması faaliyetlerin hassasiyeti ve büyüklüü gibi faktörlere balıdır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 48 / 61

5. Kurumsal Risk Yönetimi ve Deer Yönetimi ster kar amaçlı ister hayır kuruluu olsun, her kurum menfaat sahiplerine deer yaratmak için vardır. Bu önerme, risk yönetiminin önemli dayanak noktalarından biridir. Bütün kurumlar belirsizlikle karı karıya kalır. irket deerini artırmaya çalıırken kurumların belirsizliin ne kadarını kabul etmeye hazır olduklarına karar vermek yönetimin görevidir. Belirsizlik, irketin deerini artırmaya olanak sunabilir ya da irket deerini düürmeye neden olabilir. Bu anlamda, belirsizlik hem bir risk hem de fırsattır. Risk yönetimi, belirsizliin ve beraberinde gelen risk ve fırsatın etkin bir ekilde yönetilmesine olanak salayarak kurumun deer yaratmasına yardımcı olur. irketler, belirsizliin hüküm sürdüü ortamlarda faaliyet gösterirler. Olayların olma olasılıı ve yaratacakları etkinin belirlenmesinin mümkün olmadıı durumlarda belirsizlik ortaya çıkar. Belirsizlik, aynı zamanda, kurumların stratejik seçimlerinin bir sonucu olarak da ortaya çıkar. Örnein, baka bir ülkede büyüme stratejisi üzerine operasyonlarını geniletmekte olan bir irketi düünelim. irketin bu stratejisi, hedeflenen ülkedeki politik ortam, kaynaklar, pazar durumu, daıtım kanalları ve i gücü gibi bileenlerin istikrarı ile de ilgili belirsizlikleri ortaya çıkartmaktadır. Deer, strateji oluturmaktan günlük operasyonları gerçekletirmeye kadar olan süreçte, yönetim tarafından alınan her türlü karar aracılııyla yaratılır, korunur ya da yıpranır. Deer, kullanılan kaynaktan daha çok yarar salandıı durumlarda yaratılır. Üstün ürün kalitesi, üretim kapasitesi ve müteri memnuniyeti yaratılan deerin korunması için gerekli koullardır. Bu amaçlar yanlı strateji veya yetersiz yönetim nedeniyle gerçekletirilemediklerinde irket deeri yıpranır ve azalır. Büyüme ve kazanç hedefleri ile ilgili riskler arasında optimal bir denge kurulduu ve kaynaklar kurumun hedefleri için aktarıldıı zaman deer maksimize edilmi olur. Bu anlamda, risk yönetimi, risk ve getiri arasında, irket yönetimine uygun bir geçi veya deiim yapılabilmesini salayan bir süreç ve temel bir kurumsal ilevdir. Genel olarak, risk yönetimi, risk deerlemesi ve ölçümünü kapsayan ve devamında riskin yönetilmesi için strateji geliimine aırlık veren bir süreçtir. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 49 / 61

Bu balamda KRY nin içerdii ana maddeler aaıdaki ekilde sıralanabilir: Strateji ve Risk Alma isteinin uyumlu hale getirilmesi Yönetim, stratejik alternatifleri deerlendirirken ilk olarak kurumun risk alma isteini deerlendirir. Bu aamadan sonra, strateji dorultusunda hedeflerin belirlenmesi ve ilgili risklerin yönetilmesi süreçlerinde de risk alma istei göz önünde bulundurulur. Örnein, marka deeri ile karılatırıldıında risk alma istei düük olan bir ilaç fabrikasını ele alalım. Bu irket risk alma istei seviyesi ile paralel olarak ürün güvenlii protokollerini oldukça katı uygulayacak ve marka deeri yaratma sürecine katkıda bulunmak için aratırma ve gelitirme çalımalarına önemli miktarlarda kaynak ayıracaktır. Risk karısında daha iyi karar alma KRY riskli durumlarda alternatifler arasından en uygun olanını seçmeyi kolaylatırır (riskten kaçınma, riski azaltma, riski paylama ya da riski üstlenme). Örnek olarak, irket araçları ile daıtım yapılan bir firmada araçların arızalanması ya da bu araçları kullanan çalıanların bir kaza sonucunda sakatlanması gibi riskler mevcuttur. Tecrübeli oförlerin ie alınması ve bu kiilerin eitilmesi riskin olma ihtimalini azaltacaktır. Dier yandan teslimatta baka bir irketin kullanılması yoluyla riskten kaçınılabilir. Sigortalama yoluyla mevcut risk baka bir kurumla paylaılabilir ya da risk olduu gibi kabul edilebilir. KRY bu kararların alınmasına yardımcı teknik ve yöntemleri sunar. Operasyonel sürprizlerin ve kayıpların azaltılması Kurumların potansiyel olayları belirleme, riskleri deerleme ve gerekli aksiyonları alma konularındaki yeterlilikleri geliir. Bu da sürprizlerin ve sürprizlere balı masraf ve kayıpların azaltılmasını salar. Örnein, KRY nin uygulanması ile üretici bir firma üretim parçaları ve ekipmandaki arızaları takip eder ve ortalama deerlerden sapmaları izlemeye alır. Arızaların etkilerini tamir edene kadar geçen süre, müteri isteklerinin karılanamaması, çalıan güvenlii ve planlanmamı maliyetler gibi birçok kıstasa göre deerlendirilir. irket genelinde risklerin belirlenmesi ve yönetilmesi Her kurum organizasyonun farklı bölümlerini etkileyen birçok riskle karılaır. Bu risklerin ayrı ayrı yönetilmesinin yanında birbirleriyle olan ilikilerinden ortaya çıkan etkilerin de etkin bir ekilde yönetilmesi gereklidir. Fırsatları deerlendirmek Risklerin yanında birçok potansiyel olayın da gözden geçirilmesi ile yönetim, cazip fırsatları da belirler. Sermaye daıtımının iyiletirilmesi Risk konusunda güvenilir bilgiler elde etmek yönetimin sermaye ihtiyacını deerlendirmesini kolaylatırır ve sermaye daıtımını iyiletirmesini salar. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 50 / 61

6. Kurumsal Risk Yönetiminin Kısıtlamaları Bir kurumda KRY nin uygulanması ve KRY nin etkinliinin iç denetim mekanizması ile bütünlemi olması, kurumun hedeflerine kesin olarak eriecei ve hiçbir zaman baarısız olmayacaı yönünde yorumlanmamalıdır. Bir baka deyile etkin olan bir KRY dâhilinde de hatalar yaanabilecektir. Risk gelecekle balantılıdır ve gelecek de belirsizdir. En etkin KRY bile aaıdaki durumlarda risklerin tespit edilmesi ve hedeflerin gerçekletirilebilirlii hakkında kesinlik salayamaz Karar Kurumsal risk yönetimi nin etkinlii insanların karar verme konusundaki zayıflıı ile kısıtlıdır. Kararlar eldeki bilgiler ile belirli bir zaman aralıında ve i baskıları altında verilmektedir. Karar sonrası analizlerde bazı kararların en istenen durumu ortaya çıkartmadıı görülecektir ve kararın deitirilmesi söz konusu olacaktır. Uygulamadaki Aksaklıklar Çok iyi tasarlanmı KRY sistemi uygulamalarında aksaklıklar yaanabilir. Çalıanlar talimatları yanlı anlayabilirler. Hatalı kararlar alınabilir. Dikkatsizlik, acele ile veya yorgunluktan dolayı hatalar yapılabilir. Örnein; istisnaları incelemesi gereken bir muhasebe bölümü yöneticisi, gerekli düzeltmeyi yapmayı unutabilir; ie zamanında gelinmesini kontrol eden geçici çalıanlar bu kontrolleri yapacak kadar iyi performans göstermeyebilirler veya sistem deiiklikleri uygun eitimler verilmeden önce yapıldıı için çalıanlar yeni sistemi kullanmakta zorlanabilir ve hata yapabilir. Kötü Niyet ki veya daha çok çalıanın ibirlii yaparak kötü niyetli hareket etmeleri, kurumsal risk yönetim uygulamalarının baarısız olmasına sebep verebilir. Düzen dıı faaliyetlerinin tespit edilememesi için organize olan çalıanların, genellikle finansal ve yönetsel süreçleri de KRY nin tespit edemeyecei ekilde manipüle edebilmektedirler. Örnein; önemli bir kontrol yapan bir çalıan; bir müteri, bir TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 51 / 61

tedarikçi veya bir baka çalıan ile anlaarak kontrol mekanizmalarını atlatıp irkete zarar verebilirler. Maliyet ve Kazanç Karılatırması Kaynaklar her zaman kısıtlı olduundan kurumlar risk yönetim aksiyonları ve kontrol aktiviteleri dahil olmak üzere bütün aksiyonların maliyet ve kazançlarını analiz etmek durumundadırlar. Herhangi bir kararın alınması veya kontrol mekanizmasının kurulması öncesinde baarısızlık ile karılama riski ve bunun kurum üzerindeki potansiyel etkileri, maliyetleri ile birlikte öngörülmelidir. Örnein; üretim sürecinde kullanılan hammadde maliyeti oldukça düük, durduu yerde bozulmayan bir hammadde ise, bu irketin maliyeti yüksek ve karmaık stok kontrol sistemleri kurmasına gerek olmayacaktır. Kritik risklere gereinden az kaynak aktarılması gibi kritik olmayan risklere de fazla kontrol uygulanması maliyeti arttırıcı ve üretkenlii azaltıcı bir durum yaratacaktır. Yönetim Engeli Kurumsal risk yönetiminin etkinlii, KRY nin ilemesinden sorumlu yöneticilerin etkinlii ile dorudan ilikilidir. Etkin bir ekilde yönetilen ve kontrol edilen kurumlarda ki bunlar yüksek risk ve kontrol farkındalıına sahip olsalar bile, bir yönetici KRY kandıracak ekilde hareket edebilir. Hiç bir yönetim veya kontrol sistemi kandırılamaz deildir. Suç ilemeye eilimli kiiler sistemleri kırmaya veya atlatmaya çalıacaklardır. Ancak etkin KRY bu tür kontrollerin atlatılmalarını fark edecek ve engellenmesi için kendisini iyiletirecektir. Buradaki kontrollerin yönetim tarafından atlatılması, yönetimin sisteme müdahalesi ile karıtırılmamalıdır. Yönetim, sistemin doru ilemediini tespit etmesi durumunda zararın olumasını engellemek için, sistemde tanımlanmamı bir ekilde sisteme müdahale edebilir. Bu tip müdahaleler sistemin iyiletirilmesi ile sistem içerisinde kontrol altına alınacak ve bir daha sisteme müdahaleye gerek kalmayacaktır TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 52 / 61

7. Kurumsal Risk Yönetiminin Kuruma Faydaları KRY nin kuruma saladıı gerçek faydayı kesin olarak belirlemek hemen hemen imkânsızdır. Karın artması veya maliyetlerin dümesi gibi para birimi ile ölçülebilen faydalarda bir problem yoktur. Ancak ortaya çıkması engellenmi olayların gerçek faydasını bilebilmek son derece zordur. Örnein bir fabrikaya otomatik yangın sisteminin kurulması kararının faydası eer bir yangın çıkar ve çok büyümeden bu sistem yardımı ile önlenirse net bir ekilde görülebilirken, söz konusu fabrikada eer hiçbir zaman yangın çıkmaz ise görülemeyecektir. O nedenle üst yönetimler KRY uygulamalarından her zaman birebir ve kısa bir süre içerisinde bir fayda beklentisinde olmamalıdır. KRY sonuçta kurumun her hücresine nüfuz etmesi gereken bir yönetim tarzıdır. Bazı alanlarda faydası hemen bazı alanlarda ise çok daha sonra görülebilir. Bir KRY siteminin oluturulması kararı verilirken ise aaıdaki dorudan ve dolaylı faydalar beklenmelidir; Karar almanın ve planlamanın daha özenli hazırlanması ve daha emin temellere oturtulması, Karlılıın artması, Sürprizlerin minimize edilmesi ve daha hazırlıklı olunması, Stratejilerin daha salıklı belirlenmesi, Yatırımcıların ilgisinin artması, Daha etkin risk bilgisine daha çabuk ulaılması, Fırsatların ve tehditlerin daha iyi tespit edilmesi, Belirsizlikten ve deikenlikten deer yaratılması, Rekabet gücünün artması, Reaktif yönetim yerine proaktif yönetim yapılabilmesi, Kaynakların daha etkin tahsisi ve kullanımı, Sermayenin i birimleri arasında daha etkin daılımının salanması, TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 53 / 61

Olayların daha iyi yönetilmesi ve zararlarının azaltılması, dolayısı ile riskin maliyetinin düürülmesi (sigorta maliyetleri de riskin maliyeti kavramının kapsamındadır) Menfaat sahiplerinin güveninin ve itimadının gelitirilmesi, Kanun ve mevzuatlara uygunluun sürekliliinin salanması, Performansın risk odaklı takip edilmesi, irket kurumsal yönetiminin iyiletirilmesi. KRY nin kuruma saladıı fayda kurumun özelliklerine ve KRY uygulamalarının etkinliine son derece balıdır. Bu nedenle yukarıda listelenen her bir faydanın her kurumda görülmesini beklememek gerekir. Daha öncede ifade ettiimiz gibi eer kurum KRY ile ilgili hedeflerini salıklı bir ekilde belirlemi, sistemini bu hedeflere uygun bir ekilde gelitirmi ve faaliyetlerini bu sistemlere paralel bir ekilde gerçekletirmi ise KRY sisteminden maksimum faydayı salayacaktır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 54 / 61

8. Baarı için Kritik Faktörler KRY uygulamaları ile baarıyı yakalamak için önemli gördüümüz kritik bazı faktörler aaıda özetlenmitir; KRY uygulamalarının kurum içi baımsız bir sahipliinin belirlenmi olması, Görev ve sorumlulukların açık bir ekilde tanımlanması ve ayrıtırılması, Net ve anlaılır bir yaklaımın oluturulması, Teorik yaklaımlardan kaçınılması ve ilerin gereklerine uygun çözümler üretilmesi, Risk yönetim önerilerinin hayata geçirilmesinde i birimleri yöneticilerine yardımcı olunması, KRY nin tehditler kadar fırsatlara da odaklanması, Hedef ve stratejilerin net olarak belirlenmesi, Kurumsal Risk Profilinin hiçbir soruya neden olmaksızın net bir ekilde biliniyor olması, Üst yönetimin konuya gösterecei balılık ve bunu tüm kurum ile paylaması, Uygulamaların sistematik ve sürekli olmasının salanması, Kaynakların yeterli olması, Orta düzey yöneticiler tarafından anlaılması ve desteklenmesi, Kurumların risk yönetimlerindeki performanslarının, genel performanslarının deerlenmesinde önemli bir unsur olması, Yeterli düzeyde eitim ve iletiim faaliyetlerinde bulunulması, Üst yönetimin kurumsal kültürü KRY dorultusunda deitirme istei ve gücü, Risk yönetim tekniklerini ve i süreçlerini anlayarak risk yönetim çabalarına liderlik edebilecek kalitede insan kaynaklarına sahip olunması, Risk yönetim sürecinin etkinliinin izlenmesi amacıyla denetim mekanizmasının kurulması, TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 55 / 61

Baarılı uygulamaların uygun iletiim kanalları ile duyurulması ve kutlanması. Çalıanların risk deerleme sürecinin baarısına katkı yapmalarının özendirilmesi. Risk yönetim sürecinden kaynaklanan tasarrufların baarı hikâyeleri olarak duyurulması, Kısa vadede çok büyük beklentiler oluturulmamasıdır. Baarı için tüm bu faktörler dikkate alınmalıdır. Ancak burada yer alan bir faktörden sonuç alınmasının belirli bir zaman alacaı unutulmamalıdır. TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 56 / 61

EK - 1: Konu ile lgili Kaynaklar Meslek Birlikleri Bu kısımdaki birlikler risk yönetiminin çeitli alanlarında uzmanlamı risk yöneticileri gruplarından olumaktadır. Çou üyelik gerektiren organizasyonlardır. AIRMIC - Association of Insurance & Risk Managers http://www.airmic.com EIRM European Institute of Risk Management http://.eirm.com FERMA - Federation of European Risk Management Associations http://www.ferma-asso.org GARP - Global Association of Risk Professionals http://www.garp.com GARP Turkey Chapter IIA - Institute of Internal Auditors http://www.theiia.org IRM - Institute of Risk Management http://www.theirm.org PRIMA - Public Risk Management Association http://www.primacentral.org PRMIA - Professional Risk Managers International Association http://www.prmia.org RMA - Risk Management Association http://www.rmahq.org RIMS - Risk & Insurance Management Society http://www.rims.org SRA - Society for Risk Analysis http://www.sra.org TIDE Türkiye ç Denetim Enstitüsü: http://www.tide.org.tr TKYD Türkiye Kurumsal Yönetim Dernei: http://www.tkyd.org Akademik Merkezler Dünya çapında birçok üniversitede risk yönetimi konusunda geni aratırmalar yürütülmektedir. Aaıda akademisyenler tarafından oluturulmu risk aratırmalarının yürütüldüü merkezler listelenmektedir. Center for Risk Management http://www.rff.org TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 57 / 61

Georgia State University Center for Enterprise Risk Management and Assurance Services http://www.cermas.gsu.edu Harvard University Center for Risk Analysis http://www.hcra.harvard.edu London School of Economics Centre on Risk & Regulation http://www.lse.ac.uk Monash University Australasian Risk Management Unit flexlearn@buseco.monash.edu.au University of Pennsylvania Risk Management & Decision Processes Center http://www.grace.wharton.upenn.edu/risk/ Waterloo University Institute for Risk Research http://irr.uwaterloo.ca Süreli Yayınlar CFO - http://www.cfo.com Economics and Portfolio Strategy (Peter Bernstein) - http://www.peterlbernsteininc.com Enterprise Risk - http://www.informa.com Geneva Papers on Risk & Insurance - http://www.genevaassociation.org Global Reinsurance - http://www.globalreinsurance.com Harvard Business Review - http://www.hbr.org Journal of Risk Research http://www.tandf.co.uk Risk Analysis - http://www.sra.org Risk & Regulation - http://www.lse.ac.uk Risk Management - http://www.rims.org Risk Management: An International Journal - http://www.perpetuitypress.com Risk Management Reports - http://www.riskreports.com Sigma - http://swissre.com Wilson Quarterly - http://www.wilsonquarterly.com Standartlar COSO: http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 58 / 61

Australian Standard 4360 Risk Management Standard: http://airmic.com/downloads/pubs/airmic_risk- Management-Standard.pdf The Combined Code on Corporate Governance: http://www.frc.org.uk/corporate/internalcontrol.cfm Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework http://www.bis.org/publ/bcbs118.htm Sarbanes-Oxley: http://www.sec.gov/rules/proposed/33-8138.htm TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 59 / 61

Referanslar Barton, Thomas L., Shenkir William G., Walker Paul L. (2002) Making Entreprise Risk Management Pay Off, (New Jersey: Prentice Hall). Lam, James (2003) Enterprise Risk Management, (New Jersey: John Wiley & Sons). Williams, C. Arthur, Heins, Richard (1989) Risk Management and Insurance, (Singapore: McGraw Hill) Shaw, John C. (2003) Corporate Governance and Risk, (New Jersey: John Wiley & Sons). Dallas, Michael F. (2006) Value and Risk Management, (Oxford: Blackwell Publishing). Australian/New Zealand Standard, AS/NZS 4360:2003, (2004) Risk Management. Enterprise Risk Management Integrated Framework (2004), COSO (Committee of the Sponsoring Organizations of the Treadway Commission). Deloach, James W. (2000) Enterprise-wide Risk Management, (London: Prentice Hall). TÜSAD Risk ve Deer Yönetimi Çalıma Grubu 60 / 61