Sürdürülebilir Kurumsal Risk Yönetimi Yaklaşımının Oluşturulması 22 Aralık 2009

VIII. Çözüm OrtaklığıPlatformu Sürdürülebilir Kurumsal Risk Yönetimi Yaklaşımının Oluşturulması 22 Aralık 2009

İçerik Kurumsal Risk Yönetimi nedir? Kurumsal Risk Yönetimi ni gerekli kılan faktörler ve trendler Risk Yönetimi ve İç Denetim in etkileşimi Yönetim Kurulu için Kurumsal Risk Yönetimi nin önemi Türkiye ve dünyadaki düzenleme ve regülasyonlar Kredi derecelendirme şirketlerinin yeni risk yönetimi yaklaşımı

Kurumsal Risk Yönetimi nedir? CEO lar risk ile ilgili ne düşünüyor? %92 Riskler ile ilgili bilginin uzun vadeli başarıiçin önemli ya da kritik olduğu görüşünde CEO lar risk bilgisinin kurumun başarısına olan etkisinin bilincinde ancak güvenli bir şekilde etkin risk kararlarıalabilmeyi sağlayacak aksiyon alınabilir bilgiye sahip değil Kaynak: 2009 CEO Anketi %23 Ancak yalnızca %23 ü faaliyetleri ile ilgili kapsamlıbir risk bilgisine sahip olduğunu düşünüyor Sayfa 3

Kurumsal Risk Yönetimi nedir? Risk nedir? Bir organizasyonun stratejik, finansal, operasyonel ve uyumlulukla ilgili hedeflerindeki başarısınıetkileyebilecek ve gelecekte karşılaşılabilecek her türlü olay (fırsat veya tehdit). Tehlike Kayıp odaklı Belirsizlik Değişimden dolayı ortaya çıkan risk Fırsat Avantaja dönüştürülen ve değer artışına neden olan risk Sayfa 4

Kurumsal Risk Yönetimi nedir? Kurumsal Risk Yönetimi (KRY) Nedir? Kurumu etkileyebilecek potansiyel olaylarıtanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek, şirketin hedeflerine ulaşmasıile ilgili olarak makul bir seviyede güvence sağlamak amacıile oluşturulmuş; şirketin yönetim kurulu, üst yönetimi ve diğer tüm çalışanlarıtarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir. Sayfa 5

Kurumsal Risk Yönetimi nedir? COSO ERM Çerçevesi nin Bileşenleri Kurumsal Risk Yönetimi bir süreçtir. insanlardan etkilenir. strateji oluşturma sürecinde uygulanır. tüm kurum çapında uygulanır. olasıriskleri belirlemek için tasarlanmıştır. riskleri risk iştahıdahilinde yönetir. makul derecede bir güvence sağlar. hedeflerin gerçekleşmesini destekler. Sayfa 6

Kurumsal Risk Yönetimi nedir? Yaklaşımlardaki Ortak Risk Yönetimi Aşamaları Yukarıda bahsi geçen tüm risk modelleri ve standartları, risk yönetimi için birbirine oldukça benzer süreçler önermektedir. Bu süreçler temel olarak aşağıdaki aşamalardan oluşmaktadır: Bağlamın Belirlenmesi Risklerin Belirlenmesi Risk Analizi Risk Karşılığı Gözetim ve Kontrol İletişim Sayfa 7

Kurumsal Risk Yönetimi nedir? Tarihçe The King Report on Corporate Governance: King I & King II (1994 & 2002) Internal Control: Guidance for Directors on the Combined Code: Turnbull Report (1999 & 2005) The Association of Insurance and Risk Managers IRM (2002) Casualty Actuarial Society CAS (2003) The Project Management Institute PMI (2004) The HM Treasury (2004) The Australia / New Zealand Standard for Risk Management (AS/NZS 4360:2004) The Committee of Sponsoring Organizations COSO Enterprise Risk Management Integrated Framework (2004) The International Risk Governance Council IRGC (2005) ISO Risk Yönetimi Standardı(ISO 31000:2009) Risk IT (ISACA, 2009) Sayfa 8

Kurumsal Risk Yönetimi ni gerekli kılan faktörler ve trendler Kurumsal Risk Yönetimi Neden Gereklidir? İç Etkenler Uygun stratejilerin belirlenmesi Kaynakların doğru dağılımı Yönetim Kurulu beklentileri Sistem/süreç/org. değişiklikleri Performans ölçümü Hızlıve doğru karar verebilme ihtiyacı Çalışanlarla ilişkiler DışEtkenler Yatırımcıbeklentileri Finansal kuruluşların beklentileri Değişen mevzuat Müşteri beklentileri Ekonomik belirsizlik Politik istikrarsızlık Teknolojik yenilikler Artan rekabet Doğal felaketler Küreselleşme Sayfa 9

Kurumsal Risk Yönetimi ni gerekli kılan faktörler ve trendler Kurumsal Risk Yönetimi nin Faydaları 7. CEO Araştırması Etkin yönetim prosedürlerinin oluşturulması Değer yaratacak risklerin alınması CEO'ların faaliyetlere olan güveninin artması Performansın daha iyi takip edilebilmesi Yasal düzenlemelere uygun raporlamanın gerçekleştirilmesi Paydaşlara/Hissedarlara gerekli bilgilerin aktarılması İtibarın iyileştirilmesi Kurum genelinde karar mekanizmalarıve iletişim ağının netleşmesi CEO'ların girişimciliğini ve yaratıcıdüşüncesini desteklemesi Stratejik hedeflere ulaşılması Sürdürülebilir karlılığın sağlanması 31% 30% 28% 28% 47% 44% 44% 44% 41% 39% 38% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% Sayfa 10

Kurumsal Risk Yönetimi ni gerekli kılan faktörler ve trendler Kurumsal Risk Yönetimi nin Faydaları Farklıbirimlerde tespit edilen ve farklı etkileri olan ancak birbirini etkileyen risklerin, tutarlıve kurum için en optimal şekilde yönetilmesi ve kurum genelinde ortak risk algısının oluşturulması Sayfa 11

Kurumsal Risk Yönetimi ni gerekli kılan faktörler ve trendler Kurumsal Risk Yönetimi Kurumlara Ne Katar? Organizasyon birimlerinde sorumluluk yaratma Açıklık ve şeffaflık kültürünü güçlendirme Reaktif süreç yerine proaktif süreç uygulaması Organizasyon birimlerini dahil etme Farkındalığıartırma Tüm kurum risklerinin dikkate alınmasını sağlama Atılacak adımların belirlenmesi Yönetim karar verme ve gözetim sürecini geliştirme Denetim verimliliğini iyileştirme Sayfa 12

Risk Yönetimi ve İç Denetim in etkileşimi Kurumsal Risk Yönetimi (KRY) Döngüsü 1. 1 Risklerin belirlenmesi 2. 2 Risklerin ölçümlenmesi *** KRY bilgi aktarımı geri bildirim/ güncelleme İç Denetim Planı 4 İzleme ve raporlama 3. Risklerin indirgenmesi 3 ***Döngü tekrarlandıkça KRY çıktılarının kalitesi artar. Sayfa 13

Yönetim Kurulu için Kurumsal Risk Yönetimi nin önemi Sürdürülebilir Kurumsal Risk Yönetimi Çerçevesi Nasıl Oluşturulur? Mevcut Durum GeçişDönemi Risk Yönetim Çerçevesinin Bileşenleri Misyon Hedef Durum Risk Kültürü Risk Yönetim Yapısı Kaynaklar Araçlar ve Teknikler Kurum kültürü (mindset) Üst yönetim desteği Üst yönetime eskalasyon Standartlar ve prosedürler Yetki, görev Risk alma isteği & sorumluluklar & Risk toleransı Bottom-up Yapı Top-down Yapı Birim yetkinlikleri İletişim ve farkındalık Eğitim ve öğrenme İzleme fonksiyonları Risklerin etkin ve verimli belirlenmesini, ölçülmesini ve raporlanmasını destekleyen araç & teknikler (teknoloji) Sayfa 14

Yönetim Kurulu için Kurumsal Risk Yönetimi nin önemi Kurumsal Risk Yönetimi Raporlama Taslağı(Örnek) SIKLIK İÇERİK ÖRNEK Yönetim Kurulu, Risk Komitesi AYLIK ÖZET RİSK TABLO Yönetici Özeti ORTA YÖNETİM HAFTALIK Özet ve detaylar Standart format GÜNLÜK OPERASYONLAR GÜNLÜK Detaylı Olay bazında kayıplar Sayfa 15

Yönetim Kurulu için Kurumsal Risk Yönetimi nin önemi KRY Raporlama Etkinliği Değerlendirmesi Örnek İşsüreçleri, sistemleri, politikalarıve yönetim raporlaması kurumun hedeflerini destekliyor mu? Raporlama içeriği ve sıklığıetkin risk yönetimi için yeterli mi? Üst yönetim raporlarıyaklaşmakta olan risklere ait bilgi içeriyor mu? Kurum stratejilerinin belirlenmesi ve kaynakların tahsisine yönelik karar alma mekanizmasınıdestekleyecek bilgiler KRY raporlarında mevcut mu? Sayfa 16

Yönetim Kurulu için Kurumsal Risk Yönetimi nin önemi Kurumsal Risk Yönetimi ile ilgili İletişim Yönetim Kurulu / Risk Komitesi Hedef risk seviyesi tanımlanır ve kontrol eksiklikleri belirlenir Sorumluluklar atanır Riskler, Denetim Komitesi ne / Yönetim Kurulu na sunulur Stratejik Planlama yapılır Kurumsal risk profili onaylanır Üst Yönetim Riskler ve kontrollerin yeterliliği düzenli olarak gözden geçirilir Kontrol adımlarıtanımlanır Riskler, üst yönetime raporlanır Birim hedefleri, kurum hedefleri ile hizalanır Olasılık ve etki açısından riskler belirlenir ve incelenir Mevcut kontroller belirlenir Kişisel performans, birim hedefleri ile hizalanır Operasyonel riskler olasılık ve etki açısından belirlenir ve incelenir Kontrol faaliyetleri süreçlere ve programlara dahil edilir Durum değerlendirme toplantılarında riskler raporlanır İşBirimi Yöneticileri Operasyon Çalışanları Sayfa 17

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Kanunlar ABD & AB Sarbanes-Oxley (USC, 2002) Sarbanes-Oxley kapsamında, Denetim Komitesi, şirketin karşıkarşıya kaldığı riskleri ne şekilde değerlendirdiğini ve yönettiğini anlamakla yükümlüdür. Denetim Komitesi, tüm bu risklerin belirlendiğinden ve uygun risk yönetimi stratejilerinin geliştirildiğinden emin olmalıdır. Statutory Audit Directive EuroSOx (EU, 2006) 41.2 Denetim Komitesi; şirketin iç kontrol, iç denetim ve risk yönetimi sistemlerinin etkinliğini takip etmelidir. Sayfa 18

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Finans Sektöründeki Düzenlemeler AB Basel II International Convergence of Capital Measurement and Capital Standards: A Revised Framework (Basel Committee, 2004) Komite, Basel II nin Basel I e göre daha sağlam bir risk yönetimi pratiğinin hayata geçirilmesini sağlayacağına inanmaktadır. Genel risk yönetimi süreçlerinin düzenli aralıklarla gözden geçirilmesi gerekmektedir. Capital Requirements Directive (EU, 2006) The Capital Requirements Directive (CRD), finansal sektör için Basel II yi baz alan bir denetim çerçevesi ortaya koymaktadır. Solvency II (EU, 2007) 18a Yönetişim sistemi, risk yönetimi, uyumluluk, iç denetim ve aktüerya fonksiyonlarınıkapsamaktadır. Sayfa 19

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Kamusal Düzenlemeler Türkiye 5018 Kamu Mali Yönetimi ve Kontrol Kanunu (TBMM, 2003) Madde 63 - İç denetim, kamu idaresinin çalışmalarına değer katmak ve geliştirmek için kaynakların ekonomiklik, etkililik ve verimlilik esaslarına göre yönetilip yönetilmediğini değerlendirmek ve rehberlik yapmak amacıyla yapılan bağımsız, nesnel güvence sağlama ve danışmanlık faaliyetidir. Bu faaliyetler, idarelerin yönetim ve kontrol yapılarıile malî işlemlerinin risk yönetimi, yönetim ve kontrol süreçlerinin etkinliğini değerlendirmek ve geliştirmek yönünde sistematik, sürekli ve disiplinli bir yaklaşımla ve genel kabul görmüşstandartlara uygun olarak gerçekleştirilir. Sayfa 20

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Finans Sektöründeki Düzenlemeler Türkiye Bankaların İç Sistemleri Hakkında Yönetmelik (BDDK, 2006) Madde 5 - Banka yönetim kurulu, Bankanın genel olarak ve her bir risk türü itibarıyla risk yönetimine ilişkin politika ve stratejilerini, alabileceği risk seviyesini ve bunlara ilişkin uygulama usullerini yazılıolarak belirlemek, birimler ve yöneticileri ya da bu birimlerde çalışan personel itibarıyla azami risk limitleri tahsis etmek, ile yetkili ve sorumludur. Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik (Hazine, 2008) Madde 4 - Şirketler kendi örgüt yapılarıiçerisinde ayrıbir iç denetim birimine, iç kontrol sistemine ve risk yönetimi sistemine yer verirler. Sayfa 21

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Sermaye PiyasasıDüzenlemeleri Türkiye Sermaye Piyasasında Derecelendirme Faaliyeti ve Derecelendirme Kuruluşlarına İlişkin Esaslar Tebliği (SPK, 2007) Madde 15 - Müşterinin kamuya açıklamasıgereken bilgilerden zamanında açıklanmayan ve/veya yetersiz olarak açıklananlar ile müşterinin faaliyetlerini önemli ölçüde etkileyen diğer finansal ve idari riskleri derecelendirme çalışmasında dikkate almak İMKB Kurumsal Yönetim Endeksi: Yaklaşık 15 şirket dahil Düzenli derecelendirme Düzenli raporlama Sayfa 22

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Taslak Düzenlemeler Türkiye Türk Ticaret Kanunu Risk yönetimi, Yönetim Kurulu nun görevidir. Risk yönetimi, gerçekleşmişbir riskin veya risk tehlikesinin yönetimi değildir. Risk yönetimi, bir işletmenin, dahil olduğu ekonomi, sektör ve trendler dolayısıyla karşılaştığıveya karşılaşabileceği risklerle başedebilmesine yönelik önlem ve politikaların belirlenmesini ve uygulanmasınıifade eder. Her şirketin kendisine özgü riskleri ve risk yönetimi politikalarıbulunmaktadır. Sayfa 23

Türkiye'deki ve dünyadaki düzenleme ve regülasyonlar Türkiye deki ve Dünyadaki İlkeler OECD Kurumsal Yönetim İlkeleri E.7 - Kurumun muhasebe ve finansal raporlama sistemlerinin bütünlüğünden ve uygun kontrol sistemlerinin varlığından (risk yönetimi sistemleri, finansal ve operasyonel kontroller ve kanun ve diğer standartlarla uyum gibi) emin olmak SPK Kurumsal Yönetim İlkeleri 1.3.2 - Yönetim kurulu, başta pay sahipleri olmak üzere şirketin menfaat sahiplerini etkileyebilecek olan şirketin karşıkarşıya kalabileceği risklerin etkilerini en aza indirebilecek bir risk yönetim ve iç kontrol mekanizması oluşturur ve bunun sağlıklıolarak işlemesi için gerekli önlemleri alır. TÜSİAD Kurumsal Yönetim İlkeleri 15.2 - Yıllık raporda aşağıdaki açıklamalara yer verilmelidir: Kurumsal Yönetim Uygulamalarına Dair Açıklama, Sayfa 24

Kredi derecelendirme şirketlerinin KRY yaklaşımları Standard & Poor's Finansal ve Finansal Olmayan Kurumlar için Kurumsal Risk Yönetimi: Derecelendirme Kriterleri Risk yönetimi kültür analizi aşağıdaki konularıkapsamaktadır: Kullanılan risk yönetimim çerçeve ve yapıları Risk yönetimi ve raporlamasından sorumlu personelin görevleri İç ve dışrisk yönetimi iletişimi Risk yönetimi politika ve göstergeleri Risk yönetiminin bütçe ve yönetim maaşlarıüzerindeki etkileri Stratejik risk yönetimi kapsamında aşağıdaki konular sorgulanmaktadır: Yönetimin, şirketin karşılaştığıriskler, olasılıklarıve etkileri üzerindeki bakış açısı Yüksek risklerin güncellenmesi sıklığıve kapsamı Finans kararlarında ve borçlanmada risk yönetiminin etkisi Stratejik karar alımında risk yönetiminin rolü Sayfa 25

Kredi derecelendirme şirketlerinin KRY yaklaşımları Fitch Banka Derecelendirme Metodolojisi Endüstri dinamikleri, faaliyet performansıve gelirlerin yapısı, yönetim kalitesi, risk yönetimi, sermaye yeterliliği ve kontrolü ve sermayenin değiştirebilir olmasıgibi faktörler de incelenir. Risk yönetiminin bağımsızlığınıve etkinliğini, tüm risklerin aynıçatıaltında incelenip incelenmediğini, uygulanan prosedürleri ve limitleri, bu limitleri kimin belirlediğini ve bu prosedürlere ve limitlere ne kadar bağlıkalındığınıincelenir. Son olarak da, üst yönetimin risk yönetimi anlayışıve katılımıve ast-üst raporlama hatlarının durumu değerlendirilir. Sayfa 26

Kredi derecelendirme şirketlerinin KRY yaklaşımları Fitch Varlık Yöneticilerinin İncelenmesi ve Derecelendirilmesi Metodolojisi Kredi derecelendirme metodolojisi, Fitch in yatırım yönetim organizasyonlarını tanımlayan temel özellikler olarak kabul ettiği ilkelere göre belirlenmişbeş kategoriye ayrılan kredi derecelendirme faktörleri seti kullanılarak varlık yöneticilerinin nitel analizi için esas alınacak sistematik yapıyıtemsil eder. Bu beşkategori, Fitch in odaklanmışbir analiz yapmasını, kredi derecelendirme sürecinin sonuçlarınınet bir şekilde açıklamasınıve kredi derecelendirilmesi yapılan varlık yöneticilerinin profillerinin çıkarılmasınısağlar. Bu kategoriler aşağıdaki şekildedir: Şirket & personel alımı Risk yönetimi & kontroller Portföy yönetimi Yatırım yönetimi Teknoloji Sayfa 27

İletişim Bilgilerimiz Onur Vuruşkaner Kıdemli Müdür Tel: +90 212 326 6328 e-posta: onur.vuruskaner@tr.pwc.com Burcu Çinicioğlu Müdür Tel: +90 212 326 6252 e-posta: burcu.cinicioglu@tr.pwc.com Mehmet Zeki Önal Müdür Tel: +90 212 326 6773 e-posta: mehmet.onal@tr.pwc.com www.pwc.com/tr www.vergiportali.com www.vergitv.com www.gumrukportali.com www.ikportal.com www.pwc-okul.com Sayfa 28

Sorularınız? 2009. All rights reserved. refers to the network of member firms of International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of LLP (US).