BANKACILIK DÜZENLEME VE DENETLEME KURUMU Bankaların Risklilik Düzeyinin Değerlendirilmesine İlişkin Açıklama MART-2003
BANKALARIN RİSKLİLİK DÜZEYİNİN DEĞERLENDİRİLMESİNE İLİŞKİN AÇIKLAMA İÇİNDEKİLER I. BANKANIN RİSKLİLİK DÜZEYİNİN DEĞERLENDİRİLMESİ... 1 II. RİSK MATRİSİNİN HAZIRLANMASI... 3 1. İŞLEVSEL FAALİYETLERİN ÖNEM VE ÖNCELİĞİNİN BELİRLENMESİ... 3 A. Değerlendirme Esasları... 3 B. Önem Dereceleri... 4 2. BRÜT RİSK DÜZEYİNİN BELİRLENMESİ... 6 A. Değerlendirme Esasları... 6 B. Risk Dereceleri... 6 1) Yüksek Risk Düzeyi... 6 2) Makul Risk Düzeyi... 6 3) Düşük Risk Düzeyi... 7 C. Risklerin Gelişim Yönü... 7 3. RİSK YÖNETİM SİSTEMLERİNİN YETERLİLİĞİNİN DEĞERLENDİRİLMESİ... 8 A. Değerlendirme Esasları... 8 B. Risk Yönetimi Dereceleri... 12 1) Güçlü Risk Yönetimi... 12 2) Kabul Edilebilir Risk Yönetimi... 12 2.a- Yeterli Risk Yönetimi... 14 2.b- Makul Risk Yönetimi... 14 2.c- Marjinal (Sınırda) Risk Yönetimi... 15 3) Zayıf Risk Yönetimi... 15 C. Alternatif Yöntemin Kullanılması... 16 D. Risk Yönetim Sistemlerinin Gelişim Yönü... 17 4. NET RİSK DÜZEYİNİN BELİRLENMESİ... 18 A. Değerlendirme Esasları... 18 B. Net Risk Dereceleri... 19 1) Yüksek Net Risk Düzeyi... 19 2) Makul Net Risk Düzeyi... 19 3) Düşük Net Risk Düzeyi... 19 C. Bankanın Bütünü için Net Riskin Belirlenmesi...20 D. Net Riskin Yönü... 20 III. RİSK DEĞERLENDİRME RAPORUNUN HAZIRLANMASI... 21 EK 1: İŞLEVSEL FAALİYETLERİN İŞ BİRİMLERİ VE FAALİYET KOLLARI BAZINDA AYRIMI... 23 EK 2: RİSK MATRİSİ... 24
I. BANKANIN RİSKLİLİK DÜZEYİNİN DEĞERLENDİRİLMESİ Bankaların risklilik düzeyinin değerlendirilmesinde Risk Değerlendirme Matrisi (Risk Matrisi) ve Risk Değerlendirme Raporları kullanılır. Risk Matrisi, bankaların işlevsel faaliyetlerinin, bu faaliyetlerle bütünleşik risklerinin türünün, seviyesinin ve gelişim yönü ile bu faaliyet alanlarındaki risk yönetim sistemlerinin yeterliliğiyle birlikte her bir faaliyet bazında ve bankanın tamamı için Net Risk 1 seviyesinin ve gelişim yönünün tespiti için kullanılan bir analiz yöntemidir. Risk Matrisi, bankanın her bir faaliyet bazında risk profilini, risk yönetim sistemlerinin etkinliğini, Net Riskin seviyesini ve bankanın risk profilindeki değişimleri gösteren esnek ve dinamik bir analiz aracıdır. Risk Değerlendirme Raporu, bir bankanın halihazırdaki mali durumunu, mevcut ve gelecekteki risk profilinin değerlendirilmesini, diğer bir ifadeyle, taşınılan risklerin seviyesinin, gelişim. yönünün, iç kontrol ve risk yönetim sistemlerinin mevcut durumunun, gelişim yönünün ve gelecekte olması beklenilen durumunun analiz edilmesini, buna ilaveten, risk ortamındaki önemli değişme ve gelişmelerle banka için önem arz eden hususları ve geçmiş iç denetim bulguları konusunda özet bilgileri içeren bir raporu ifade eder. Bu açıklamada yer alan risk yönetim sistemleri ibaresi bankadaki yönetim kurulu ve üst düzey yönetimin risk yönetimi konusundaki gözetimini; risk yönetimi konusunda belirlenen politikalar, bunlara bağlı uygulama usulleri ile risk limitlerinin belirlenmesi ve uygulanması mekanizmasını; risk yönetimi ve risk izleme faaliyetleri ile yönetim bilgi sistemlerini ve iç kontrol işlevini ifade eder. Bu açıklamada yer alan değerlendirme esasları ve derecelendirme kriterleri Yönetmeliğin 43 üncü maddesi hükmüne göre bankalar tarafından yapılacak yazılı risk değerlendirmelerinde kullanılır. Yönetmeliğin 43 üncü maddesine istinaden, bankanın Net Risk Düzeyi derecelendirmesinde kullanılacak matrisin (EK:2) hazırlanmasında dikkate alınacak tüm riskler, bankanın söz konusu matriste yer alan ve aynı zamanda (EK:1) de alt detayı ile belirtilen işlevsel faaliyetlere ilişkin gruplandırma dikkate alınarak derecelendirilecektir. Bahsi geçen risk derecelendirmesi ve risklerin gelişim yönünün gösterilmesi bankanın her bir temel işlevsel faaliyeti için uygulanacaktır. Söz konusu işlevsel faaliyetlere ilişkin alt gruplandırma (EK:1) de yer alan tabloda faaliyet kolları bazında asgari düzeyde yapılmış olup, kendi özel yapıları nedeniyle bankalarca gerekli görülmesi halinde daha detay alt faaliyet kolu ayrımlarına gidilebilecek ve asgari ayrımlar değiştirilmemek kaydıyla ikincil seviyede başkaca alt faaliyet kolları ilave edilebilecektir. Söz konusu matrise göre yapılacak risk değerlendirmesi bankanın işlevsel faaliyetlerinin risk profilleri ve bu faaliyetler için oluşturulmuş kontrol sistemleri dikkate alınarak gerçekleştirilecektir. Bankanın üzerinde kontrol gücüne sahip olduğu konsolidasyona tabi iştirakleri, gerçekleştirdikleri temel işlevsel faaliyetleri ve risk grupları itibariyle risk matrisinin hazırlanma sürecine dahil edilir. Söz konusu iştiraklerin; bankalar, kredi kurumları ve benzeri finansal 1 Net Risk, bankaların işlevsel faaliyetleriyle bütünleşik risklerin (finansal ve finansal olmayan riskler) seviyelerinin risk yönetim ve kontrol sistemlerinin etkin çalışması suretiyle azaltılmasının ardından kalan risk miktarıdır. Net Risk kavramı, bütünleşik ortalama risk düzeyi kavramı ile aynı anlama gelecek şekilde kullanılmıştır. 1
kurumlar; sermaye piyasası aracı kurumları; sigorta ve reasürans kuruluşları; mali olmayan ortaklıklar şeklinde dört ana grup altında analize dahil edilmesi mümkündür. Risk derecelendirmesinde, banka olmayan iştirakler için de bu açıklamada yer alan değerlendirme esasları ve kriterleri uygulanır. Risk matrisi ve buna ilişkin risk değerlendirme raporu iç denetim sisteminin sürdürülmesinden sorumlu yönetim kurulu üyesinin başkanlığında kurulan ve yönetim kurulu tarafından onaylanan yeterli sayıda katılımcıdan oluşan bir ekip tarafından hazırlanır. Bu ekibin içinde iç denetim ve risk yönetimi birimleri yetkilileri, icracı birimlerin yetkilileri, bankanın konsolidasyona tabi ortaklıklarının yetkilileri ile banka dışından uzmanlar bulunabilir. Yönetmeliğin 43 üncü maddesi gereğince hazırlanan risk değerlendirme raporu ve bunun dayandığı risk değerlendirme matrisi Yönetmeliğin 35 inci maddesi hükmü gereğince üst düzey risk komitesi tarafından değerlendirilerek yönetim kurulunun onayına sunulur. Bankalarca Yönetmeliğin 43 üncü maddesine istinaden hazırlanan Risk Matrisleri ve Risk Değerlendirme Raporları matbu halde ve bilgisayar ortamında Kurumumuzda Risk Yönetimi ve Gözetim Teknikleri Dairesine gönderilir. Bankalarca gönderilen Risk Değerlendirme Matrisleri ile Risk Değerlendirme Raporlarının değerlendirilmesi neticesinde hata ve noksanlık tespit edilmesi halinde, söz konusu hata ve noksanlıkların giderilmesini teminen bankalardan anılan raporları tekrar hazırlayarak Kurumumuza göndermeleri istenebilir. 2
II. RİSK MATRİSİNİN HAZIRLANMASI Bankalarca Risk Matrisinin hazırlanması süreci başlıca şu aşamalardan meydana gelir: 1.Aşama:Bankanın işlevsel faaliyetlerinin önem ve önceliğinin belirlenmesi 2.Aşama:İşlevsel faaliyetlerdeki risklerin türünün, seviyesinin ve gelişim yönünün belirlenmesi. 3.Aşama:İşlevsel faaliyetlerdeki risk yönetim sistemlerinin yeterliliğinin değerlendirilmesi. 4.Aşama:İşlevsel faaliyetler ve bankanın bütünü için Net Riskin değerlendirilmesi. 1. İşlevsel Faaliyetlerin Önem ve Önceliğinin Belirlenmesi İşlevsel faaliyetlerin banka için önem ve önceliğinin belirlenmesi, söz konusu faaliyetlerin bankanın risk profili içerisindeki yerinin belirlenebilmesini ve bankanın bütünü için hesaplanacak Net Risk derecesine katkısının tespit edilebilmesini amaçlamaktadır. İşlevsel faaliyetlerin önem ve önceliğinin belirlenmesi aşamasında kullanılacak değerlendirme esasları ile önem dereceleri aşağıda yer almaktadır. A. Değerlendirme Esasları İşlevsel faaliyetlerin hangilerinin banka için önemli ve temel faaliyetlerden olduğunun belirlenmesi ve bir faaliyetin önemi ve büyüklüğü konusunda doğru bir tespitin yapılabilmesi için dikkate alınması gerekli asgari kriterler şunlardır: İşlevsel faaliyetten kaynaklanan aktiflerin toplam aktif büyüklüğüyle ilişkisi ve işlevsel faaliyetler ile elde edilen finansal kaynakların bilanço büyüklüğü ile ilişkisi İşlevsel faaliyetten kaynaklanan risk ağırlıklı aktiflerin toplam risk ağırlıklı aktiflerle ilişkisi İşlevsel faaliyetten elde edilen gelirlerin toplam gelirlerle ilişkisi İşlevsel faaliyetten elde edilen vergiden önceki getirinin/kârın toplam vergiden önceki getiri/kâr ile ilişkisi İşlevsel faaliyet için tahsis edilen ekonomik sermayenin, toplam ekonomik sermaye ile ilişkisi 3
İşlevsel faaliyet için tahsis edilen risk ağırlıklı sermayenin toplam risk ağırlıklı sermaye ile ilişkisi. Bankalar kendi işlevsel faaliyetlerinin özelliklerini ve önemini dikkate almak suretiyle ilave kriterler belirleyebilirler. Bankalar, işlevsel faaliyetlerin önem derecelerinin benimsenmesi esnasında kullandıkları kriterlere Risk Değerlendirme Raporunda yer verirler. B. Önem Dereceleri Risk matrisinde ve (EK:1) de belirtilen işlevsel faaliyetlerin risk derecelendirmesini yapabilmek için yukarıda belirtilen değerlendirme kriterlerinden yararlanılarak her temel işlevsel faaliyet ve bunlara ilişkin alt faaliyet kollarının banka içerisindeki göreli önemlerini yansıtacak şekilde bu birim ve fonksiyonlara birer ağırlık verilir. Her işlevsel faaliyet ile alt faaliyet kollarının ait bulunduğu bir üst kademedeki işlevsel faaliyet ya da iş birimi içerisindeki payları yukarıda verilen değerlendirme kriterleri esas alınarak belirlenir. Bu paylar dikkate alınarak, önem dereceleri verilir: Fonksiyonel faaliyetlerin önem dereceleri %0-10 için ÖNEMSİZ %10-25 için DÜŞÜK %25-50 için ORTA %50-100 için YÜKSEK olarak derecelendirmeye tabi tutulur. Söz konusu dereceler, faaliyet kolları ve alt faaliyet kolları için değerlendirme esasları arasında yer verilen kriterler esas alınarak belirlenir. Bir alt faaliyet kolunun bir üst düzey faaliyet kolu içerisindeki payı %0-10 arasında ise Önemsiz, %10-25 arasında ise Düşük, %25-50 arasında ise Orta ve %50-100 arasında ise Yüksek olarak nitelenir. Ancak, bir alt faaliyet kolunun payı %10 un altında olsa dahi önemli olduğu mütalaa edilirse Düşük olarak nitelendirilebilir. Tespit edilen bu derecelere risk matrisinin faaliyetlerin hacim veya nispi ağırlığının da gösterileceği sütunda yer verilir. Söz konusu dereceler, bankalarca, faaliyetlerin kendilerine has özelliklerinin dikkate alınması suretiyle uygulanabilecek değişik metotlarla sayısal bir şekilde de ifade edilerek bankanın risk profiline bağlı risk derecelendirmesinin tespitinde kullanılır. Ancak işlevsel faaliyetlerin önem düzeyinin belirlenmesinde ve bunun risk derecelendirmesine tabi tutulmasında bankalarca kullanılacak söz konusu metotların açıklamalarıyla ve kullanım amaçlarıyla birlikte Kuruma bildirilmesi zorunludur. Örneğin, Bankacılık iş birimi içerisinde yer alan Bireysel Bankacılık işlevsel faaliyeti ile bu işlevsel faaliyetin alt faaliyet kolları olan Perakende Bankacılık, Özel Bankacılık ve Kart Hizmetleri nin önem dereceleri şu şekilde belirlenebilir: Öncelikle, Bireysel Bankacılık işlevsel faaliyeti ve alt faaliyet kolları için ortak olarak kullanılabilecek kriter belirlenir (kullanılacak kriterin net gelir olacağı benimsenmiş olsun). Bireysel Bankacılık faaliyetlerinden 4
elde edilen toplam net gelir içerisinde alt faaliyet kolları olan Perakende Bankacılık, Özel Bankacılık ve Kart Hizmetleri nin payları belirlenir. Payları gösteren oranlar esas alınarak alt faaliyet kollarının Bireysel Bankacılık faaliyeti içerisindeki önem dereceleri tespit edilir. Bankacılık iş birimi içerisinde Bireysel Bankacılık, Ticari Bankacılık, Takas, Ödemeler ve İşlemleri Sonuçlandıracak Benzer Faaliyetler ile Kurumsal Temsilcilik Hizmetleri faaliyetlerinin önem dereceleri ile bankanın bütünü içerisinde Yatırım Bankacılığı, Bankacılık, Diğer Bankacılık ve Diğer Faaliyetler in önem dereceleri de benzer şekilde belirlenir. Her bir kademede kullanılacak değerlendirme kriteri farklı olabilir. Örneğin, Bireysel Bankacılık, Ticari Bankacılık, Takas, Ödemeler ve İşlemleri Sonuçlandıracak Benzer Faaliyetler ile Kurumsal Temsilcilik Hizmetleri faaliyetlerinin her birinin alt faaliyet kollarının bu faaliyet kolları içindeki önem derecelerinin belirlenmesinde faaliyet kolunun niteliğine göre yukarıda yer alan 6 kriterden herhangi biri kullanılabilir. Benzer şekilde, faaliyet kollarının iş birimleri içerisindeki öneminin belirlenmesinde de her bir iş birimi için farklı kriter kullanılabilir. 5
2. Brüt Risk Düzeyinin Belirlenmesi A. Değerlendirme Esasları Bankaların işlevsel faaliyetleri ile bütünleşik riskleri, bankaların işlevsel faaliyetlerinde yer alan finansal ve finansal olmayan riskleri ifade eder. İşlevsel faaliyetlerle bütünleşik risklerin derecelendirmeye tabi tutulabilmesi için her bir işlevsel faaliyet bazında risklerin alt unsurlarıyla birlikte tanımlanmış olması gerekmektedir. Örneğin piyasa riski için piyasa faiz oranı riski, kur riski ve hisse senedi fiyat riski olarak alt unsurlar tanımlanabilir. Risk derecelendirmesi, alt unsurlarıyla birlikte tanımlanmış riskler için yapılır. Söz konusu alt unsurlara Risk Değerlendirme Raporunda yer verilir. Bankaların işlevsel faaliyetlerindeki brüt risk düzeyinin belirlenmesi aşamasında, değerlendirmeye esas fonksiyonel faaliyet alanındaki risk yönetimi ve kontrol ortamının durumu dikkate alınmaksızın, risk unsurlarında meydana gelen değişmelerin bankanın sermayesini ve gelirlerini olumsuz yönde etkileme olasılığının belirlenmesine odaklanılır. Bankanın temel faaliyet alanlarında yer alan risklerin büyüklüğünün (seviyesi) ve gelişim yönünün tespiti sürecinde risk yönetimi ve kontrol süreçlerinin bunlara etkisi dikkate alınmaz. B. Risk Dereceleri İşlevsel faaliyetler ile bütünleşik risklerin düzeyinin tespiti amacıyla kullanılacak derecelendirme kriterleri, temsil ettikleri risk düzeylerine göre sınıflandırılarak aşağıda belirtilmiştir. 1) Yüksek Risk Düzeyi Yüksek risk düzeyi, işlevsel faaliyetlerin yoğun olduğu, risk pozisyonlarının, banka kaynaklarının durumuna göre büyük olduğu, çok sayıda işlemin bulunduğu ve/veya işlevsel faaliyetlerin yapısının karmaşık olduğu durumları ifade eder. Bu risk düzeyinde, risk unsurlarında meydana gelen değişmelerin bankanın sermayesini ve gelirlerini olumsuz yönde etkileme olasılığı yüksektir. Zarar ortaya çıkması durumunda söz konusu zararın normal bir bankacılık faaliyeti sürecinde telafi edilebilecek düzeyin üzerindedir. 2) Makul Risk Düzeyi Makul risk düzeyi, risk pozisyonlarının, banka kaynaklarının durumuna göre makul bir düzeyde olduğu, makul hacme sahip işlemlerin mevcut bulunduğunu ve/veya işlevsel faaliyetlerin niteliğinin normal ve alışıldık bankacılık faaliyetlerinden olduğu durumu ifade eder. Bu risk düzeyinde, risk unsurlarında meydana gelen değişmelerin bankanın sermayesini ve gelirlerini olumsuz yönde etkileme olasılığı makul düzeydedir. Zarar ortaya çıkması 6
durumunda söz konusu zarar normal bir bankacılık faaliyeti sürecinde bankanın mali bünyesine olumsuz etkide bulunmaksızın telafi edilebilmektedir. 3) Düşük Risk Düzeyi Düşük risk düzeyinde, faaliyetlerin riskin gerçekleşme olasılığı veya gerçekleşmesi halinde zarar tutarının düşük olduğu bankacılık faaliyetlerindendir. İşlevsel faaliyetlerin hacmi ile söz konusu faaliyetlerin niteliği gereği, riskin gerçekleşmesi halinde ortaya çıkacak zarar bankanın genel finansal durumuna olumsuz etkisi küçük ve sınırlıdır. Bu risk düzeyinde, riskin gerçekleşme ihtimalinin düşük olması ve/veya riskin gerçekleşmesi halinde ortaya çıkacak zararın küçük olması nedeniyle bankanın sermayesine ve gelirlerine olan olumsuz etki düşük veya ihmal edilebilir düzeydedir. C. Risklerin Gelişim Yönü Brüt risk düzeyinin belirlenmesi aşamasında, işlevsel faaliyetler ile bütünleşik risklerin alt risk unsurlarıyla birlikte değerlendirilmesi neticesinde risklerin düzeyinin tespitini ve Yüksek, Makul veya Düşük olarak derecelendirilmesini takiben bu risklerin gelişim yönü de belirlenir. Risklerin gelişim yönünün belirlenmesi sürecinde risklerin gelişim yönü ve riskin beklenen gelişim yönü olmak üzere iki farklı değerlendirme ve derecelendirme gerçekleştirilir. Risklerin değişim yönü, bir önceki döneme ait risk matrisinde işlevsel faaliyet kollarına verilen brüt risk dereceleri ile cari dönemde verilen brüt risk dereceleri karşılaştırılır. Derecelerin değişim yönüne göre brüt risklerin değişim yönü Artan, Değişmeyen veya Azalan şeklinde ifade edilir. Risklerin beklenen gelişim yönü, bir önceki risk matrisi hazırlama tarihi ile cari risk matrisinin hazırlanmasında esas alınan tarih arasında geçen sürede ortaya çıkan gelişmelerin, bankanın geleceğe yönelik beklentilerine ilişkin bilgi ve verilerin ve bankaya ilişkin en son bilgilerin bankanın çevre faktörlerindeki değişimlerle birlikte değerlendirilmesi suretiyle belirlenir. Belirli varsayım ve beklentilere dayalı olarak belirlenen dereceler, Artan, Değişmeyen veya Azalan şeklinde ifade edilir. 7
3. Risk Yönetim Sistemlerinin Yeterliliğinin Değerlendirilmesi Risk Matrisinin hazırlanmasına ilişkin üçüncü aşamada, risk yönetim sistemlerinin yeterliliği bankanın işlevsel faaliyetlerine ve bankanın bütününe yönelik olarak değerlendirilir. İkinci aşamada, riskin değerlendirilmesi ve derecelendirilmesinin, risk yönetim süreçlerini ve kontrolleri dikkate almadan gerçekleştirilmektedir. Risk yönetimine ilişkin söz konusu unsurlar ve bunların bankanın riskleri üzerindeki azaltıcı veya artırıcı yöndeki etkisi, bankanın risk yönetimi sistemlerinin yeterliliğinin değerlendirilmesine ilişkin aşamada dikkate alınır. Risk yönetimi sistemlerinin gücüne ilişkin olarak banka tarafından gerçekleştirilecek derecelendirmede, yönetim kurulu ve üst düzey yönetimin risk yönetimi konusundaki gözetim görevi ile ilgili olarak, yönetim kurulunun iç denetim sisteminin sürdürülmesinden sorumlu üyesi vasıtasıyla gerekli değerlendirmeyi yapması ve risk matrisinin ilgili kısmının buna göre doldurulması sağlanır. A. Değerlendirme Esasları Bankanın risk yönetimi sisteminin kalitesinin belirlenmesi sürecinde başlıca şu hususlarda bankanın etkinliği ve yeterliliği değerlendirmeye tabi tutulur: Bankanın maruz bulunduğu risklerin gereğince tanımlanması. Risklere ilişkin verilerin toplanması. Risklerin ölçülmesi ve analiz edilmesi. Her birimin ve bankanın bütününün risk profilinin tespit edilmesi. Tespit edilen risk profilindeki gelişmelerin sürekli izlenmesi. Risk profilindeki gelişmelerin raporlanması. Maruz bulunulan risklerin optimizasyonu için gerekli olan; risk azaltma, finansal korunma sağlama, sigortalama, menkul kıymetleştirme, üçüncü kişilere devretme ve benzeri tüm tedbirlerin alınması. Risklerin kontrolü ve performans ölçümlerinin gerçekleştirilmesi. Yapılacak değerlendirmelerin asgari olarak şu unsurları ihtiva etmesi esastır. Yönetim kurulu ve üst düzey yönetimin risklerin yönetimi konusundaki gözetimi. Risk yönetimi konusunda belirlenen politikalar, bunlara bağlı uygulama usulleri ile risk limitlerinin belirlenmesi ve uygulanması mekanizması. Risk yönetimi ve risk izleme faaliyetleri ile yönetim bilgi sistemleri. 8
İç kontroller. Söz konusu asgari unsurlar, Risk Matrisinin hazırlanmasında, güvenilir risk yönetimi sistemlerinin sahip olması gereken temel unsurlar olarak kabul edilir. Bu çerçevede, bankanın risk yönetim sistemlerinin güvenilirliğinin ve gücünün değerlendirilmesi esnasında özellikle dikkate alınması ve üzerinde durulması gereken temel unsurlar ve uygulama detayları şunlardır: 1) Yönetim Kurulu ve Üst Düzey Yönetimin Gözetimi: Yönetim kurulunun ve üst düzey yönetimin risk yönetimi konusundaki gözetiminin kalitesine ilişkin olarak yapılacak değerlendirme esnasında, aşağıda belirtilen hususlara uyulup uyulmadığı göz önünde bulundurulur: Yönetim kurulunun ve üst düzey yönetimin banka faaliyetleri nedeniyle üstlenilen risklerin türleri ile bunların ne şekilde ortaya çıktığı ve nasıl yönetilebileceği konusunda yeterli bilgi sahibi olup olmadıkları, finansal piyasalarda, risk yönetimi uygulanmalarında ve bankanın faaliyetlerindeki gelişmelere bağlı olarak söz konusu risklere ilişkin sürekli bilgilendirilmelerinin sağlanması hususunda gerekli tedbirleri alıp almadıkları ve gereken çabayı gösterip göstermedikleri Yönetim kurulunun, bankanın kredilendirme, yatırım, alım-satım, emanet ve diğer temel faaliyet ve ürünlerindeki risklerin sınırlandırılmasına dair politikaları onaylayarak uygulamaya konulmasını temin edip etmediği Yönetim kurulunun ve üst düzey yönetimin gerekli muhasebe ve raporlama sistemlerine yeterince aşina olup olmadıkları, bankanın belli başlı risklerinin ölçümü ve izlenmesinde bu sistemlerden yararlanıp yararlanmadıkları Yönetim kurulunun ve üst düzey yönetimin banka stratejilerindeki değişikliklere uygun olarak risk alma limitlerini düzenli olarak gözden geçirip geçirmediği, yeni ürünleri değerlendirip değerlendirmediği ve piyasa koşullarındaki değişiklikler karşısında gerekli koruyucu tedbirleri alıp almadığı Bankanın iş birimlerinin ve faaliyet kollarının, bankacılık ve yapılan işin niteliği ve kapsamı ile ilgili gerekli bilgi, tecrübe ve uzmanlaşmayı haiz personel istihdam edilmek suretiyle yönetilmesinin yönetim kurulu ve üst düzey yönetim tarafından sağlanıp sağlanmadığı Yönetim kurulunun ve üst düzey yönetimin bankanın faaliyetlerini emin ve güvenilir bir şekilde yerine getirecek insan kaynağını, çalışanların dürüst ve ahlaklı olmalarını, basiretli yönetim felsefesi ve uygulama tarzlarına uygun hareket etmelerini sağlayıp sağlamadığı Yönetim kurulunun ve üst düzey yönetimin bankanın iç denetim sistemi vasıtasıyla her seviyedeki personelin günlük faaliyetlerini yeterince kontrol altında tutup tutmadığı 9
Yönetim kurulunun ve üst düzey yönetimin bankanın içinde bulunduğu mevcut rekabet ortamında meydana gelen değişikliklerle ya da faaliyette bulunduğu piyasalardaki yeniliklerle birlikte ortaya çıkan riskleri yeterli bir biçimde değerlendirip değerlendirmediği ve gerekli tedbirleri uygulayıp uygulamadığı Yönetim kurulunun ve üst düzey yönetimin, banka tarafından yeni bir faaliyete başlanılmadan veya yeni bir ürün sunulmadan önce bu faaliyet veya üründen kaynaklanabilecek tüm riskleri değerlendirip değerlendirmediği ve söz konusu risklerin yönetimi için gerekli alt yapıyı ve iç kontrolleri sağlayıp sağlamadığı. 2) Risk Yönetimine İlişkin Politikalar, Uygulama Usulleri ve Limitler: Risk yönetimi konusunda uygun ve yeterli politikaların, uygulama usullerinin ve risk limitlerinin belirlenmesi konusunda yapılacak değerlendirmelerde aşağıdaki hususlar göz önünde bulundurulur: Bankanın kredilendirme, yatırım, alım-satım, emanet ve diğer temel işlevsel faaliyetlerindeki risklerin gereğince tanımlanması, ölçülmesi, izlenmesi ve kontrolünü sağlayacak politikaların, uygulama usullerinin ve limitlerinin bulunup bulunmadığı. Söz konusu politikaların, uygulama usullerinin ve limitlerin banka yönetiminin tecrübe düzeyi, bankanın hedef ve amaçları ile mali bünyesinin sağlamlığı ile uyumlu olup olmadığı. Tespit edilen politikaların, bankanın faaliyetlerindeki hiyerarşik yetki ve sorumluluk silsilesini, sorumluluk alanlarındaki hesap verme yükümlülüklerini ve bunlarla ilgili hususları açıkça tarif edip etmediği. Politikaların ve uygulama usullerinin yeni bir faaliyete başlanmadan evvel bankanın bu faaliyetlerdeki risklerin tanımlanması, izlenmesi ve kontrolü için gerekli altyapının mevcudiyetinin gözden geçirilmesini sağlayıp sağlamadığı. 3) Risk Yönetimi, Risk İzlemesi ve Yönetim Bilgi Sistemleri: Bankanın risk ölçümü, yönetimi ve izlemesi sistemlerinin yeterliliği ile birlikte yönetim bilgi sistemleri ve raporlamalarının değerlendirilmesi esnasında aşağıdaki hususlar göz önünde bulundurulur: Bankanın risk izleme uygulamalarının ve raporlarının tüm önemli riskleri içerip içermediği. Risk ölçümünde ve izlenmesinde kullanılan kritik önemi haiz varsayımların, veri kaynaklarının ve uygulama usullerinin uygun ve yeterli bir şekilde belgelenerek, sürekli olarak güvenilirlik testine tabi tutulup tutulmadığı. Raporların ve diğer bilgilendirme araçlarıyla iletilen bilgilerin; bankanın faaliyetleriyle uyumlu ve tutarlı olup olmadığı; risk seviyesinin izlenmesiyle ve tesis 10
edilen limitlerle, hedeflerle ya da amaçlarla uyumlu olup olmadığı; gerçek performansla beklenen performansı karşılaştırıp karşılaştıramadığı. Bankanın üst düzey yönetimine, teftiş kurulu başkanlığına, iç kontrol merkezine ve risk yönetimi grubundaki komite sorumlularına yapılan raporlamaların niteliğinin yeterli ve gelişmelere karşı duyarlı olup olmadığı; söz konusu raporlamaların karar verici merciler için bankanın maruz kaldığı risklerin düzeyinin yeterli bir biçimde değerlendirilmesini ve herhangi bir olumsuz trendin tanımlanmasını sağlayacak yeterli bilgiyi içerip içermediği, söz konusu raporlamaların zamanında ulaştırılıp ulaştırılmadığı. 4) İç Kontroller: Banka bünyesindeki iç kontrollerin yeterliliğinin belirlenmesinde özellikle aşağıda yer alan koşulların yerine getirilip getirilmediği araştırılır: İç kontrol sisteminin, bankanın faaliyetlerinin niteliği ve kapsamına bağlı olarak ortaya çıkan risklerin türü ve düzeyine uygun olup olmadığı. Bankanın organizasyonel yapısında, politikalara, uygulama usullerine ve limitlere uyumun izlenmesi hususunda açık bir yetki ve sorumluluk silsilesi tesis edilip edilmediği. Raporlama sisteminin, iç kontrol sürecinin bankadaki işlevsel faaliyet kollarından bağımsız olmasını yeterince sağlayıp sağlamadığı ve bankanın kurumsal yapısında görev ve sorumlulukların işlevler bazında yeterince ayrılıp ayrılmadığı. Banka bünyesindeki onaylanmış organizasyonel süreç ve yapıların, gerçek faaliyetsel uygulamalarla uyumlu olup olmadığı. Finansal, operasyonel ve düzenleyici otoriteye yapılan raporlamaların güvenilir, ayrıntılı, kesin ve zamanında üretilebilir olup olmadığı, oluşan aykırılıkların ve istisnaların raporlanmasının ve araştırılmasının hızlı bir biçimde yapılıp yapılmadığı. Mevzuata uygunluğun sağlanmasında kullanılan uygulama usullerinin yeterli seviyede mevcut bulunup bulunmadığı. İç denetim sistemi kapsamındaki iç kontrollerin bağımsız ve objektif gerçekleştirilip gerçekleştirilmediği. olarak İç kontrollerin ve bilgi sistemlerinin gereğince test edilerek gözden geçirilip geçirilmediği; kapsamının, uygulama usullerinin, denetim bulguları ile gözden geçirme testlerine verilen cevapların yeterli olarak belgelenip belgelenmediği; belirlenmiş önemli zayıflıklar için gerekli olan yüksek düzeydeki uyarının zamanında yapılıp yapılmadığı; yönetim tarafından önemli zayıflıkları giderecek tedbirlerin alınıp alınmadığının objektif olarak araştırılarak gözden geçirilip geçirilmediği. Bankada iç denetim sisteminin sürdürülmesinden sorumlu yönetim kurulu üyesinin ve buna bağlı olarak çalışan yetkililerin, yönetim kurulunun ve/veya tesis 11
edilmiş olması halinde denetim komitesinin, teftiş ile iç kontrol faaliyetlerinin etkinliğini düzenli bir biçimde izleyip izlemediği. Yukarıda yer alan değerlendirme unsurlarından niteliği gereği yalnızca Kurum tarafından kullanılması mümkün görülenler, Kurumdan önceden izin alınmak kaydıyla bankalarca yapılacak risk derecelendirmesinde kullanılmayacaktır. B. Risk Yönetimi Dereceleri İkinci değerlendirme basamağı olarak adlandırılan Risk yönetimi sistemlerinin durumunun, bu sistemlerin gücünün tespiti amacıyla kullanılacak derecelendirme kriterleri, temsil ettikleri güçlülük seviyelerine göre sınıflandırılarak aşağıda belirtilmiştir. 1) Güçlü Risk Yönetimi Bir bankanın risk yönetimi sistemlerine ilişkin olarak yapılan değerlendirmede aşağıda yer alan hususların birlikte veya ayrı ayrı tespit edilmesi halinde bankanın risk yönetimi sistemlerinin yeterliliği güçlü risk yönetimi olarak nitelendirilir. Derecelendirmeye esas kriterler şunlardır: Banka yönetimi ve konuyla ilgili birimler, bankanın işlevsel faaliyetlerinde mevcut bulunan başlıca risk türlerinin tamamını etkin olarak tanımlayabilmekte ve yönetebilmektedir. Yönetim kurulu ile banka üst düzey yönetimi riskin yönetilmesi sürecine iştirak etmektedir. Banka bünyesinde bu konuda uygun politikalar ve risk limitleri tesis edilmiştir. Yönetim kurulunun bunları özümsediği, incelediği ve onayladığı mütalaa edilmektedir. Bankanın, zamanında ve düzgün bir şekilde, değişen ortama en iyi uyumu sağlamasında yararlandığı bilgileri ve analizleri ihtiva eden risk izlemesine ilişkin uygulama usulleri, risk izleme raporları ve yönetim bilgi sistemleri bankanın risk yönetimine ilişkin politikalarını ve limitlerini en iyi şekilde destekleyebilmektedir. İç kontrol ve denetime ilişkin uygulama usullerinin, bankanın büyüklüğüne ve işlevsel faaliyetlerine uygun olduğu mütalaa edilmektedir. Bankada tesis edilmiş politikalara ve uygulama usullerine uyum hususunda ortaya çıkabilecek ihlallerin bankada bir zarara yol açma ihtimali düşüktür. 2) Kabul Edilebilir Risk Yönetimi Bir bankanın risk yönetimi sistemlerine ilişkin olarak yapılan değerlendirmede aşağıda yer alan hususların birlikte veya ayrı ayrı tespit edilmesi halinde bankanın risk yönetimi sistemlerinin yeterliliği kabul edilebilir risk yönetimi olarak nitelendirilir. Derecelendirmeye esas kriterler şunlardır: 12
Bankanın risk yönetimi sistemleri büyük ölçüde etkin kullanılıyor olmasına rağmen, söz konusu sistemler aynı zamanda, orta veya düşük düzeyde bazı eksikliklere ve sorunlara da sahiptir. Banka, iş planına uygun olarak işlevsel faaliyetlerini devam ettirmesi sırasında ortaya çıkan mevcut riskleri ve tahmin edilebilir riskleri kontrol edebilme ve bunların yaratabileceği olumsuzluklarla başa çıkabilme kabiliyetine sahiptir. Genel olarak bankada küçük boyutta bazı risk yönetimi zayıflıklarının ve sorunlarının bulunmasına rağmen, söz konusu zayıflıklar ve sorunlar tanımlanmakta olup kontrol sistemleri ile risk yönetimi sistemlerini kuvvetlendirici yönde çözüm tedbirleri alınmaktadır. Banka yönetim kurulunun ve üst düzey yöneticilerinin gözetimi; belirlenen politikalar ve risk limitleri; bankanın risk izleme usulleri ile hazırlanan risk raporları ve yönetim bilgi sistemleri bankanın işlevsel faaliyetlerini idame ettirmesi esnasında ortaya çıkan bazı sorunlara rağmen genel olarak etkindir. Bankanın riskleri, genel olarak, kabul edilebilir bir ölçüde kontrol edilebilmektedir. Risk yönetimi uygulamaları büyük bazı riskleri tanımlamada, izlemede ve kontrol etmede orta veya düşük düzeyde eksiklikler taşımakta ve kısmen başarısız olabilmektedir. Yönetim kurulunun, risk yönetimi grubunun ve üst düzey yönetim kademelerinin yeterli bir düzeyde olmayan yol gösterme ve gözetimi mevcut bulunmaktadır. Güvenilir risk yönetimi sistemlerinin dört temel unsurundan biri veya birkaçı düşük düzeyde veya sınırlı olarak idame ettirilebilmektedir. Yönetim kurulu, üst düzey risk komitesi ve üst düzey yönetim kademeleri tarafından acil ve ittifakla üzerinde karar verilmiş düzeltici eylemlere ihtiyaç duyulmaktadır. Bu kategoride yer alan bir banka için, risklerin, genel olarak, normal yoğunlukta bir denetim ihtiyacından çok daha fazla yoğunlukta bir denetim ihtiyacını ortaya çıkarmayacak, kabul edilebilir bir ölçüde kontrol edilebildiği mütalaa edilir. Zayıf risk yönetimi kategorisine geçmeye aday olan bankalarda ilave ve çok yoğun bir denetim ihtiyacı ortaya çıkabilmekle beraber, bankanın durumu zayıf risk yönetimi kategorisinde yer verilen kriterlerle uyumlu değil ise kabul edilebilir risk yönetimi kategorisinde izlenmeye devam olunabilir. Risklerin kontrol edilebilme düzeyinin incelenmesinin, normal yoğunlukta denetim ihtiyacından daha fazla bir çaba ve dikkati gerektirmesi hususu, tek başına zayıf risk yönetimi kategorisinde sınıflandırma zorunluluğu doğuracak özel bir kriter olarak kabul edilmez. Bunun için bu kriterle beraber, söz konusu kategorideki diğer kriterlerin mevcudiyeti de aranır. Kabul edilebilir risk yönetimi kategorisinde yapılacak sınıflandırma çerçevesinde daha kesin derecelere ulaşılabilmesi amacıyla, Yeterli Risk Yönetimi, Makul Risk Yönetimi ve Marjinal Risk Yönetimi şeklinde daha detaylı bir tasnifi öngören alternatif yöntem 13
kullanılabilir. Kabul edilebilir risk yönetimi kategorisinde belirtilen temel kriterler yerine kullanılabilecek alternatif yönteme ilişkin kriterler şunlardır: 2.a- Yeterli Risk Yönetimi Yeterli risk yönetimi alt kategorisi, bankanın risk yönetiminin büyük oranda etkin olduğunu, ancak düşük seviyede eksikliklerin bulunduğunu gösterir. Ancak, bankanın faaliyetleri sırasında mevcut ve önceden görülebilir risklere karşı önlem alabilme ve bunların getirebileceği olumsuzluklarla başarıyla baş edebilme kabiliyeti mevcuttur. Bu alt kategoride; Bankanın risk yönetimi sistemlerinde düşük seviyedeki yetersizlikler bankaca fark edilmiş ve tespit edilmiş durumdadır. Yönetim kurulunun ve üst düzey yönetimin gözetimi, politikalar ve tesis edilen limitler, risk izleme usulleri, risk raporlamaları ve yönetim bilgi sistemleri bir bütün olarak ve genelde yeterli düzeyde ve bankanın emin ve güvenilir bir şekilde çalışmasını sağlayacak etkinlikte bulunmaktadır. Genel olarak, risklerin kontrol edilmesine ilişkin faaliyetler, ilave veya normalden farklı, yoğunlaştırılmış bir iç ve dış denetim uygulamasını gerektirecek tarzda değildir. İç kontroller düşük seviyede yetersizlikler veya eksiklikler gösterebilmesine rağmen, bunlar normal faaliyet sürecinde düzeltilebilir durumdadır. Ancak, bu yetersizlik ve eksiklikler bankanın emin ve güvenilir bir şekilde çalışmasını önemli derecede etkileyebilecek seviyede değildir. 2.b- Makul Risk Yönetimi Makul risk yönetimi alt kategorisi, riskler henüz yeterince kontrol edilebilmekle beraber, risk yönetimi uygulamalarının bazı hususlarda ve alanlarda yetersiz ve eksik olduğunu ve bu nedenle sadece ilgili husus ve alanlarda normalden biraz daha fazla ölçüde bir iç ve dış denetime ihtiyaç bulunabileceğini de ifade eder. Bu alt kategoride; Güvenilir risk yönetimi sistemlerinin söz konusu dört temel unsurundan bir veya daha fazlası bankada belirli düzeyde eksiklerle vasat bir düzeyde idame ettirilmektedir. Bu durum banka faaliyetlerindeki önemli risklere tam anlamıyla ve yeterli bir düzeyde odaklanılmasına olanak vermeyebilmektedir. Yönetim kurulunun, risk yönetimi grubunun ve üst düzey yönetimin bankanın bütün risklerini yeterli derecede belirleme, izleme ve kontrol etme yeterliliğinin sağlanması bakımından, banka bünyesinde belirli risk yönetimi uygulamalarının geliştirilmesi gerekmektedir. Belirlenen mevcut zayıflıklar, politika ve uygulama usullerine uyum hususunda banka için olumsuz etkide bulunabilecek, sürekli bir biçimde oluşan, kontrollerden sapmaları veya hataları içerebilmektedir. 14
İç kontroller, önemli ve gerekli kalite unsurlarından yoksun bulunmaktadır. Bu kalite unsurlarının bulunmamasının başlıca göstergelerinden birisi, özellikle politika ve uygulama usullerine uyum konusunda aykırılıkların ve/veya devam eden kontrol uyumsuzluklarının ortaya çıkmasıdır. Banka yönetimi ve ilgili birimler tarafından düzeltici önlemler alınmadığı takdirde, iç kontrol sistemi ile ilintili riskler, bankanın emin ve güvenilir bir biçimde faaliyette bulunmasını zayıflatıcı olumsuz etkiler taşıyabilecektir. 2.c- Marjinal (Sınırda) Risk Yönetimi Marjinal risk yönetimi alt kategorisinde sınıflandırılma, büyük bazı riskleri bir çok yönden tanımlamada, izlemede ve kontrol etmede bir ölçüde eksik ve kısmen başarısız olan risk yönetimi uygulamalarını ifade eder. Genelde böyle bir durum, yönetim kurulunun, risk yönetimi grubunun ve üst düzey yönetim kademelerinin yeterli bir düzeyde olmayan yol gösterme ve gözetimini yansıtır. Bu alt kategoride, Bankada, güvenilir risk yönetimi sistemlerinin dört temel unsurundan biri veya birkaçının marjinal ya da oldukça sınırdaki bir düzeyde ve sınırlı olarak idame ettirilmektedir. Bankada yönetim kurulu, üst düzey risk komitesi ve üst düzey yönetim kademeleri tarafından acil ve ittifakla üzerinde karar verilmiş düzeltici eylemlere ihtiyaç duyulmaktadır. Bankanın maruz kaldığı birçok önemli risk banka tarafından yeterince tespit edilememektedir. Risk yönetimindeki eksiklikler, müfettişlerin/ denetim elemanlarının ve/veya iç kontrol elemanlarının ve/veya risk yönetimi elemanlarının analiz, kontrol ve inceleme sürecinde yüksek düzeyde dikkat sarf etmelerini ve daha fazla çaba göstermelerini gerektirmektedir. Bankada, iç kontrollerde ve/veya muhasebe usullerinde ve/veya denetimsel standartlara ve gereksinimlere uyum konusunda önemli iyileşmeleri gerektiren, görev ve sorumlulukların işlevler bazında yetersiz ayrımı gibi tanımlanmış zayıflıklar görülmektedir. Söz konusu zayıflıklar, gerektiği gibi tespit edilemediği ve önlem alınmadığı takdirde, güvenilirliği bulunmayan finansal kayıt ve raporların hazırlanmasını ve/veya bankanın emin ve güvenilir bir şekilde faaliyette bulunmasını ciddi şekilde etkileyebilecek zararların ortaya çıkmasına neden olabilecektir. Bu yöndeki olumsuz gelişmelerin devam edebileceği hususunda ciddi endişeler mevcut olmakla birlikte, bu konuda kesin bir kanaate de sahip bulunulmamaktadır. 3) Zayıf Risk Yönetimi Bir bankanın risk yönetimi sistemlerine ilişkin olarak yapılan değerlendirmede aşağıda yer alan hususların birlikte veya ayrı ayrı tespit edilmesi halinde bankanın risk yönetimi sistemlerinin yeterliliği zayıf risk yönetimi olarak derecelendirmeye tabi tutulur. Derecelendirmeye esas kriterler şunlardır: 15
Bankanın risk yönetimi usullerinde ve iç kontrollerinde ciddi zayıflıklar, önemli eksiklikler ve yetersizlikler bulunmaktadır. İç kontroller, bankanın yaşayabilirliğini ciddi biçimde tehdit edecek ölçüde zayıftır. İç kontrol sisteminde görülen önemli zayıflıkların ve eksikliklerin, bankanın güvenli ve sağlam bir şekilde işlevsel faaliyetlerini sürdürmesinde önemli derecede olumsuz etkilerinin bulunabileceği mütalaa edilmektedir. Bankanın tüm risklerini tanımlaması, izlemesi ve kontrol altında bulundurması gereken risk yönetimi sistemlerinde ciddi eksiklikler bulunmaktadır. Güvenilir risk yönetimi sistemlerinin dört temel unsurundan biri veya daha fazlası tamamen yetersiz durumdadır. Yönetim kurulu eksikliklerin giderilmesi hususunda gerekli önlemleri almamakta/ alamamakta, yönetme işlevini tam anlamıyla yerine getirememekte ve yönetme yeteneğine sahip bulunmamaktadır. İç kontrollere ilişkin devamlı oluşan ihlaller ve/veya politika ve uygulama usullerine uyulmaması nedeniyle, iç kontrol sistemlerinde önemli zayıflıklar ve eksiklikler bulunmaktadır. Görülen söz konusu eksikliklerin ve olumsuz etkilerin giderilmesi amacıyla düzeltici ve iyileştirici tedbirlerin hızlı bir biçimde uygulanamaması halinde, bu durumun, hem mali tabloların bankanın gerçek finansal durumunu yansıtmasını engelleyeceği, hem de önemli zararların ortaya çıkmasına yol açacağı mütalaa edilmektedir. C. Alternatif Yöntemin Kullanılması Bankanın risk yönetim sistemlerinin yeterliliğinin değerlendirilmesi aşamasında, Kabul Edilebilir Risk Yönetimi kategorisinde yapılacak sınıflandırma çerçevesinde daha kesin neticelere ulaşılabilmesi amacıyla bu kategori için daha detaylı bir tasnifi öngören alternatif yöntem kullanılabilir. Alternatif yöntemde, bankanın Kabul Edilebilir olarak nitelenen risk yönetimi derecesi Yeterli Risk Yönetimi, Makul Risk Yönetimi ve Marjinal Risk Yönetimi şeklinde, ayrıntılarına risk yönetimi dereceleri altında yer verilen 3 alt derecede sınıflandırmaya tabi tutulabilir. Bu yöntem kullanılarak yapılacak sınıflandırma ile değerlendirilen unsurların güçlü risk yönetimi veya zayıf risk yönetimi kategorilerinden kesin bir biçimde ayrılması sağlanır. Bu yöntemi, kabul edilebilir risk yönetimi kategorisini güçlü risk yönetimi veya zayıf risk yönetimi kategorilerinden kesin bir biçimde ayırmakta güçlükle karşılaşan bankalar tercihen ve/veya Kurumca kendilerinden bu yöntemin kullanılması istenen bankalar kullanırlar. Bu yöntemi kullanacak bankalar bu durumu Kuruma önceden bildirmek ve bu yönteme göre yapacakları tasnif ve değerlendirmeye risk değerlendirme matrisinde ve risk değerlendirme raporunda yer vermek zorundadırlar. Alternatif yöntemde yer alan söz konusu üç kriterden biri ile 16
kendini derecelendirmiş olan bir bankanın risk yönetimi sistemlerini Tablo-1 de belirtilen Kabul Edilebilir düzeyde beyan etmiş olduğu mütalaa edilir ve ilgili banka Net Risk düzeyinin tespitine yönelik derecelendirmeyi buna göre yapar. Kabul edilebilir risk yönetimi kategorisinde belirtilen temel kriterlerin kendi derecelendirmesi için yeterli olduğu kanaatine varmış olan bankalar ile Kurumca kendilerinden alternatif yöntemin uygulanması talep edilmemiş olan bankalar alternatif yöntemi kullanmak ve bunu Kuruma bildirmek zorunda değildir. D. Risk Yönetim Sistemlerinin Gelişim Yönü Risk Matrisinin hazırlanmasının üçüncü aşamasında risk yönetim sistemlerinin yeterliliğinin tespitini ve Güçlü, Kabul edilebilir ve Zayıf olarak derecelendirilmesini takiben bu sistemlerin yeterliliğinin gelişim yönü de belirlenir. Risk yönetim sistemlerinin sağlamlığının gelişim yönünün belirlenmesi sürecinde risk yönetim sistemlerinin gelişim yönü ve risk yönetim sistemlerinin beklenen gelişim yönü olmak üzere iki farklı değerlendirme ve derecelendirme gerçekleştirilir. Risk yönetim sistemlerinin değişim yönü, bir önceki döneme ait risk matrisinde işlevsel faaliyet kollarına ilişkin risk yönetimi dereceleri ile cari döneme ilişkin risk yönetimi dereceleri karşılaştırılır. Derecelerin değişim yönüne göre risk yönetim sistemlerinin değişim yönü Artan, Değişmeyen veya Azalan şeklinde ifade edilir. Risklerin yönetim sistemlerinin beklenen gelişim yönü, bir önceki risk matrisi hazırlama tarihi ile cari risk matrisinin hazırlanmasında esas alınan tarih arasında geçen sürede ortaya çıkan gelişmeler; bankada söz konusu sistemlerinin güçlendirilmesi amacıyla tamamlanmış, halen devam eden ve/veya yapılması planlanan çalışmalar ile bankanın bu sistemlerin geleceğine yönelik beklentilerine ilişkin bilgi ve veriler kullanılarak gerçekleştirilecek değerlendirme ile belirlenir. Belirli varsayım ve beklentilere dayalı olarak belirlenen dereceler, Artan, Değişmeyen veya Azalan şeklinde ifade edilir. 17
4. Net Risk Düzeyinin Belirlenmesi Bankanın her bir işlevsel faaliyetinin net riski, maruz bulunulan risklerin, risk yönetim sistemlerince birçok risk yönetim tekniği kullanılmak suretiyle azaltılmasının ardından kalan ve kontrol sistemlerinin etkin çalışması suretiyle azaltılan risk miktarı olarak ifade edilebilir. Bankanın net riskleri, maruz bulunulan risklerin seviyesine ve kontrol sistemlerinin etkinliğine bağlıdır. Örneğin, bankaların hazine birimlerinin piyasa ve operasyonel riskleri genellikle yüksek seviyelerdedir. Bankalar piyasa risklerinin ölçülmesi için model kullandıkça ve ölçülen risklerin yönetimi için gerekli tedbirleri aldıkça net risklerinin seviyesi azalacaktır. Diğer taraftan, hazine birimlerinde gerekli iç kontrollerin yapılmaması, karmaşık türev ürünlerin yoğun bir şekilde kullanılması, yönetimin bankanın bu alandaki faaliyetlerinin niteliği ve riskleri konusunda yeterli bilgiye sahip olmaması, kullanılan risk ölçüm modellerinde ortaya çıkabilecek model risklerinin göz ardı edilmesi vb. hususların varlığı, bankanın hazine faaliyetlerindeki piyasa risklerinin seviyesi yönetilebilir düzeyde olsa dahi operasyonel risklerinin yüksek olmasına, kontrol sistemlerinin yetersiz kalmasına, dolayısıyla net riskin yüksek çıkmasına neden olabilecektir. A. Değerlendirme Esasları Bankanın temel faaliyet alanlarındaki brüt risklerle risk kontrol sistemlerinin etkileşimi sonucu kalan risk seviyesini gösteren net risk derecesi, bankaların taşıdığı risklerin seviyesine ve kontrol sistemlerinin etkinliğine bağlı olarak farklılıklar göstermektedir. Bankanın işlevsel faaliyetlerine ilişkin Net Risklerin belirlenmesi amacıyla, işlevsel faaliyetler ile bütünleşik risklere ilişkin tespit edilen risk dereceleri ile risk yönetim sistemlerinin yeterliliğine ilişkin risk yönetimi dereceleri aşağıda yer alan Tablo 1 esas alınarak birlikte değerlendirilir. TABLO 1: NET RİSK DERECESİNİN BELİRLENMESİ RİSK YÖNETİMİ SİSTEMLERİ BRÜT RİSKLER Düşük Makul Yüksek NET RİSK DÜZEYİ DERECELENDİRMESİ Zayıf Düşük veya Makul Makul veya Yüksek Yüksek Kabul Edilebilir Düşük Makul Yüksek Güçlü Düşük Düşük veya Makul Makul veya Yüksek 18
B. Net Risk Dereceleri Net Risk düzeyinin tespiti amacıyla kullanılacak derecelendirme kriterleri, temsil ettikleri risk düzeylerine göre sınıflandırılarak aşağıda belirtilmiştir. 1) Yüksek Net Risk Düzeyi Yüksek Net Risk Düzeyi derecesine göre, Değerlendirmeye esas işlevsel faaliyetteki yüksek seviyedeki riskleri risk yönetim sistemi azaltamamaktadır. Dolayısıyla, risklerin gerçekleşmesi halinde risk yönetim sistemleri sağlam olsa dahi bankaya verebileceği zarar önemli boyutlardadır. Faaliyetteki temel riskin toplam seviyesi makul düzeyde olmasına rağmen, yönetimin riskleri algılaması yetersiz bulunmakta ve değişen koşullara uyum sağlamak için gerekli yönetim kapasitesi konusunda belirsizlikler bulunmaktadır. Dolayısıyla, önemli yetersizliklerin bulunduğu zayıf risk yönetimi sistemleri nedeniyle faaliyetteki net risk seviyesi yüksek seviyelerdedir. Faaliyetteki makul seviyedeki riskler risk yönetim sistemlerindeki zafiyetler ve yetersizlikler nedeniyle yeterince azaltılamamaktadır. Faaliyetteki makul seviyedeki riskler ve kontrol sistemlerindeki bir takım yetersizlikler nedeniyle net risk seviyesi önemli boyutlarda bulunmaktadır. Ancak risklerin gerçekleşmesi halinde ortaya çıkabilecek zararın miktarının banka kaynaklarınca karşılanabilecek düzeyde olması beklenmektedir. 2) Makul Net Risk Düzeyi Makul Net Risk düzeyi derecesine göre; Faaliyetteki makul seviyedeki riskleri risk yönetim sistemleri gereğince azaltabilmektedir. Faaliyetteki düşük risklere rağmen, risk yönetim sistemlerinde önemli derecede yetersizlikler bulunmaktadır. Faaliyetteki yüksek seviyedeki risklere rağmen, risk yönetim sistemleri etkin bir şekilde çalışmakta ve risklerin seviyesini azaltabilmektedir. Risklerin gerçekleşmesi halinde bankaya vereceği zararın banka kaynaklarınca karşılanabilecek düzeyde olması beklenmektedir. 3) Düşük Net Risk Düzeyi Düşük Net Risk düzeyi derecesine göre; Faaliyetteki temel risklerin seviyesi düşüktür. 19
Faaliyetteki temel risklerin seviyesi orta düzeyde olmasına rağmen, kontrol sistemleri etkin çalışmakta ve risklerin büyük bir bölümünü azaltabilmektedir. C. Bankanın Bütünü için Net Riskin Belirlenmesi Bankanın her bir işlevsel faaliyeti için Tablo 1 esas alınarak ve Brüt risk ile Risk Yönetim Sistemlerinin Yeterliliği birlikte değerlendirilerek Net Risk seviyesinin belirlenmesini takiben bankanın bir bütün olarak Banka Net Risk Düzeyi belirlenir. Banka Net Risk düzeyinin belirlenmesi aşamasında her bir işlevsel faaliyet için belirlenen Net Risk derecesi, söz konusu işlevsel faaliyet için belirlenen önem dereceleri esas alınarak belirlenen ağırlıklar ile çarpılmak suretiyle bankanın bütünü için Net Risk derecesine ulaşılır. D. Net Riskin Yönü Bankanın işlevsel faaliyetlerine ilişkin Net Risk düzeylerinin belirlenmesini takiben söz konusu Net Risk seviyelerinin gelişim yönü belirlenir. Risklerin gelişim yönünün belirlenmesi sürecinde risklerin gelişim yönü ve riskin beklenen gelişim yönü olmak üzere iki farklı değerlendirme ve derecelendirme gerçekleştirilir. İşlevsel faaliyetlerin Net Risklerinin değişim yönü, bir önceki döneme ait risk matrisinde işlevsel faaliyet kollarına verilen Net Risk dereceleri ile cari dönemde verilen Net Risk dereceleri karşılaştırılır. Derecelerin değişim yönüne göre brüt risklerin değişim yönü Artan, Değişmeyen veya Azalan şeklinde ifade edilir. İşlevsel faaliyetlere ilişkin Net Risklerin beklenen gelişim yönü, bir önceki risk matrisi hazırlama tarihi ile cari risk matrisinin hazırlanmasında esas alınan tarih arasında geçen sürede ortaya çıkan gelişmelerin, bankanın geleceğe yönelik olarak risklerine ve risk yönetim sistemlerine ilişkin beklentilerine ilişkin bilgi ve verilerin bankanın çevre faktörlerindeki değişimlerle birlikte değerlendirilmesi suretiyle belirlenir. Belirli varsayım ve beklentilere dayalı olarak belirlenen dereceler, Artan, Değişmeyen veya Azalan şeklinde ifade edilir. Bankanın tamamı için belirlenen nihai Net Risk düzeyinin değişim yönü ile beklenen gelişim yönü de benzer bir şekilde belirlenerek Artan, Değişmeyen veya Azalan şeklinde ifade edilir. 20
III. RİSK DEĞERLENDİRME RAPORUNUN HAZIRLANMASI Risk değerlendirme matrisinin hazırlanmasını müteakip bankanın genel risk profilinin değerlendirildiği bir Risk Değerlendirme Raporunun hazırlanması zorunludur Bankanın risk profilinin açıklanacağı Risk Değerlendirme Raporunun hazırlanmasının temel amacı, bankanın risk odaklı görünümünün kapsamlı bir biçimde ortaya konulması, bu çerçevede denetim faaliyetlerinin odaklanması gereken alanların belirlenmesinin sağlanması ve denetim planının dayanacağı bir alt yapının oluşturulmasıdır. Risk Değerlendirme Raporunun biçimi ve içeriği, bankanın özelliklerine göre esnek bir yapıda tutulur. Söz konusu rapor risklerin dinamik bir süreçte analizini içereceğinden bankanın değişen iş strateji ve politikaları ile risk ortamı ve risk profilindeki önemli değişiklikleri de içerecek şekilde güncel tutulur. Hazırlanacak Risk Değerlendirme Raporu ana hatlarıyla; Risk matrisini, bunun özet değerlendirmesini, değerlendirmeye esas alt risk unsurlarını ve açıklanmasında fayda görülen diğer hususları, Bankanın önemli fonksiyonlarının, iş birimleri ve temel faaliyet kollarının, faaliyetlerinin, stratejilerinin, ürünlerinin, banka için risk doğuran kuruluşların ve bankanın risk profilini etkileyebilecek diğer faktörlerin kısa bir açıklamasını, Bankanın risk yönetim sistemlerinin yapısının ve işleyişinin ortaya konulmasını, bankanın risk alma ve yönetme kabiliyetinin değerlendirilmesini, bankanın iç ve dış denetim bulgularının nasıl ele alındığını ve değerlendirildiğini, Bankanın sermaye yeterliliğinin ve kârlılığının özet bir değerlendirmesini, Bankanın, yabancı bir kuruluşun şube veya iştirak, bağlı ortaklık vb. şekillerde bir parçası olması durumunda, yabancı kuruluşun faaliyetleri, merkezinin bulunduğu ülkedeki denetim sistemi ve benzeri konularda kısa ve yeterli bir değerlendirmeyi, Özet olarak, gerçekleştirilen en son değerlendirmeden bu yana ortaya çıkan önemli olayları, gelişme ve değişmeleri, Stres testleri ve senaryo analizi teknikleri kullanılarak gerçekleştirilecek simülasyonlar yoluyla, banka için zarar doğurabilecek risklerin gerçekleşme olasılıkları ile gerçekleştikleri taktirde ortaya çıkacak zararın boyutları arasındaki ilişkinin vurgulanarak açıklanması hususunu, Banka bünyesinde bazı tedbirlerin uygulanıyor olması durumunda, uygulanan tedbirler konusundaki gelişmeleri, içerir. Ulaşılan temel sonuçlar ile başlıca temennileri 21