1
Kurumsal Risk Yönetimi Seda Tığdemir Müdür, KPMG Risk Yönetimi Danışmanlığı İstanbul,8n Mayıs 2012 2
Risk Nedir? Risk, planlanan amaçlardan sapmayı ortaya çıkaran her türlü durumu ifade etmektedir. Bunabağlı olarak risk, gelecekte oluşabilecek potansiyel problemlere, tehdit ve tehlikeleri de işaret eder. Riskin tanımı ile birlikte doğal olarak tehlike ve belirsizlik kavramları ortaya çıkmaktadır. Ancak vurgulanması gereken nokta tehlike ve belirsizlikler, kurumlar için arayışları da ortaya çıkarmakta; dolayısıyla risk, fırsatları da beraberinde getiren önemli bir faktör olarak değerlendirilmektedir. Fırsat Özet olarak Belirsizlik Değer artışı sağlayan risk Beklenmeyen olaylardan kaynaklanan risk tehlikeyi, Değişimlerden kaynaklanan risk belirsizliği, Tehlike Değişim sonucu ortaya çıkan risk Çeşitli tehlikelerden kaynaklı risklerin lehe kullanılabilmesi ise fırsatları Zarara neden olan risk ifade etmektedir. 3
Risk Kavramına Bakış Açısı Risk Ne Değildir? (Geleneksel Bakış) Risk, kontrol altına alınması gereken olumsuz bir etkendir. Risk organizasyon içerisinde birimler tarafından yönetilir. Risk bir fırsattır. Risk Nedir? (Yeni Bakış) Risk bir bütün olarak kurum çapında yönetilir. Risk yönetiminin sorumluluğu birim yönetimlerindedir. Risk yönetimi üst yönetim ve birim yönetimi tarafından müşterek olarak yapılır. Risk ölçümü sübjektiftir. Risk yönetimi için dağınık ve etkin olmayan fonksiyonlar bulunur. Risk ölçümü objektiftir. Risk yönetimi bütün kurum sistemlerinde kurgulanmıştır. Yönetim Kurulu nun iç kontrolünü sağlayan ğ bir iç denetim birimi bulunur. Yönetim Kurulu nun, etkili risk yönetimi için bir Risk Komitesi mevcttur. 4
Kurumsal Risk Yönetimi Nedir? Kurumsal Risk Yönetimi (KRY) Bir kurumun Yönetim Kurulu, yöneticileri ve tüm çalışanlarından etkilenen, Gerçekleşme olasılığı dahilindeki olaylara ve kurumun risk iştahına göre belirlenen, Kurumsal strateji doğrultusunda ğ risklerin yönetilmesine yardımcı olan, Kurumun hedeflerini başarması için makul güvence sağlayan Kurumsal organizasyonun genelinde uygulanan sistematik bir süreçtir. 5
Kurumsal Risk Yönetimi Projesi Şirketlere Neler Katabilir? Risklerin etkin takip ve yönetimi Kurumsal yönetim anlayışının gelişmesi i Kanun ve mevzuat uyumu Menfaat sahiplerinin kuruma olan güveninde artış Şirket performansında ve değerinde artış Finansman imkanlarında artış, maliyetlerinde azalış Kaynakların daha etkin tahsisi i ve kullanımı, reaktif değil proaktif yönetim anlayışının sağlanması Rekabet gücünün artması Büyük resmin ortaya çıkması Sürdürülebilirliğe ve stratejik hedeflere ulaşılmasına katkı sağlanması 6
Etkili bir risk yönetimi modeli nasıl olmalıdır? Risk yönetiminde yukarıdan aşağıya ve aşağıdan yukarıya yaklaşımı birlikte uygulanmalıdır Organizasyonun vizyon ve misyonu Şirketin vizyon ve misyonu nedir? ÜST YÖNETİM DESTEĞİ Stratejik hedefler Şirketin vizyon ve misyonunu yerine getirmek için nasıl bir stratejisi vardır? Organizasyon yapısı Şirket stratejisi ile uyumlu bir organizasyon yapısı mevcut mudur? İnsanlar, süreçler, teknoloji, altyapı Hedeflerin iş ş süreçlerine doğru ğ bir şekilde entegre edilmesi için gerekli insan kaynağı, süreçler, teknoloji ve altyapı sağlanmış mıdır? Misyon/vizyon ve stratejik hedeflerin yerine getirilmesine engel teşkil eden faktörler nelerdir? Riskler 7
Etkili bir risk yönetimi modeli nasıl olmalıdır? Etkili bir risk yönetimi modelinin ana öğeleri: 1 Kurumsal risk yönetiminin başarılı olabilmesi için, öncelikle ortak bir risk kültürü oluşturulmalıdır. 2 Risk yönetim stratejisini oluşturularak ş buna paralel risk yönetim süreci uygulanmalıdır. Risk profilinin değişmesi durumunda, doğru riskleri teşhis etmek ve 3 performansı takip etmek için şirketin stratejik iş ş planından yararlanılmalıdır. 4 Risk yönetimini stratejik bir yaklaşımla uygulamak için Anahtar Risk Göstergeleri belirlenmeli ve kullanılmalıdır. 5 Doğru kararlarının alınabilmesi için şirket yönetimiyle birlikte çalışan proaktif bir Kurumsal Risk Yöneticisi (CRO Chief Risk Officer) verisk yönetimi organizasyon modeli oluşturulmalıdır. 8
Kavramsal Çerçeve Seçenekleri Kavramsal çerçeve konusunda dünyada farklı yaklaşımlar bulunmaktadır: Committee of Sponsoring Organizations ( COSO )ERM Turnbull/Flint İngiltere Her Majesty s s ( HM ) İngiltere-Hazine Avustralya/Yeni Zelanda ( AS/NZ ) Risk Yönetimi Standardı 4360 ISO 31100 9
KPMG nin Risk Yönetim Kavramsal Çerçevesine Yaklaşımı KPMG nin KRY Çerçevesi genel kabul görmüş tüm KRY Standartlarını (örn; COSO çerçevesi) bir bütün haline getirir i ve uygulanabilir bir yapı haline dönüştürür ü COSO Çerçevesi KPMG KRY Çerçevesi STRATEJİ RISK TANIMLAMA & SİSTEMATİK HALE GETİRME DEĞERLENDİRME & ÖLÇME RAPORLAMA RİSK TEPKİSİ ORGANİZASYON İÇ KONTROLLER BİLGİ TEKNOLOJİLERİ SİSTEMİ 10
KPMG nin Risk Yönetim Kavramsal Çerçevesine Yaklaşımı Risk kategorilerinin Kurum un stratejik başarı faktörleri ile geliştirilmesi ve uyumlu hale getirilmesi Risk kategorilerinin öncelikli hale getirilmesi Risk ve Uygunluk Yönetimi Çerçevesi Yöntem, içerik, biçim raporlama Planlama ve kontrolde bütünlük sağlamağ Grup içinde ortak bir dil ve tanımların oluşturulması Risklerin tanımlanması ve sınıflandırılması Meydana gelme olasılığının ve muhtemel etkisinin belirlenmesi Anahtar risk göstergelerinin kullanılarak risklerin izlenmesine devam edilmesi Görevlerin, yeterliliklerin ve sorumlulukların belirlenmesi Yapısal kavramın belirlenmesi Savunmanın Üç Hattı Risk-Üstlenici/Azaltma KRY süreci ve çerçevesinde iç denetimin oluşturulması DEĞERLENDİRME & ÖLÇME ORGANİZASYON STRATEJİ RİSK TANIMLAMA & SİSTEMATİK HALE GETİRME RAPORLAMA İÇ KONTROLLER RiSK TEPKİSİ BİLGİ TEKNOLOJİLERİ SİSTEMİ Münferit azaltma ölçümleri Risklerin kabulünün/kapsamının küçültülmesiültül Risk/geri dönüş oranlarının stratejik kararları desteklemesi KRY Bilgi Teknolojileri sisteminin gereksinimlerinin belirlemesi KRY Bilgi Teknolojileri Sistemi seçimi ve yürütülmesi İç yönergeleri ve kontrolleri belirleme Süreç kontrollerini azaltma stratejisi ile birleştirme 11
KRY Olgunluk Modeli Her Kurum Aynı Olgunluk Düzeyinde Olmayabilir Kavramsal Çerçeve Faktörleri Temel Mevzuata Uyumludur Gelişmiş Yönetim Sürecidir İleri Düzey Stratejik Araçtır Kurum, iç ve dış paydaşların beklentilerine uygun hareket etmek için minimum seviyede çaba gösterir Ek bir takım aktiviteler ve teknik imkanlar da sürece dahil edilerek, yönetim kurulunun ve yöneticilerin, operasyonların içerisindeki risklerin etkin bir şekilde yönetildiğine dair güveni arttırılır. Risk yönetimi stratejik bir araç olarak üst yönetimin karar almasına yardımcı olmaktadır ve kurumun önemli değerlerinden biri haline gelmiştir. Yönetim Yönetişimş Analiz Genel ihtiyaçları karşılamak üzere tasarlanmış merkezi bir risk yönetim politikası mevcuttur. Basit bir seviyede yapılan yıllık risk analizleri mevcuttur. Risk yönetim hedeflerini destekleyen, açık rol ve sorumlulukların tanımlandığı bir risk yönetim yapısı mevcuttur. Yönetim raporlamasına dahil edilen ve periyodik olarak yapılan risk analizleri mevcuttur. Risk yönetiminde hesap verebilirlik performans yönetimi ile entegre hale gelmiştir. Kurumun temel değerlerinden birisi olmuştur. Risk ve kontrol faaliyetleri ile iş süreçleri ve karar alma mekanizmaları birbiriyle entegre çalışmaktadır. Analiz Ölçme ve Gruplandırma Ölçme ve Gruplandırma İzleme ve Raporlama İzleme ve Raporlama Risk ve Kontrollerin Optimizasyonu Risklerin meydana gelme olasılığı ve muhtemel etkilerinin tespit edilmesine yönelik basit tanımlamaların yapılmaktadır. Sadece dış ihtiyaçlara yönelik raporlamalar (dış raporlamalar) yapılmaktadır. Risk düzeyinin tespitinde gelişmiş araç ve tekniklerden faydalanılır. Yönetim kuruluna ve denetim komitesine sunulmak üzere mevcut risk seviyelerini ve gelecekteki risk öngörülerini içeren kapsamlı raporlamalar yapılır. Kurum genelinde bütün risk alanlarının sınıflandırılması yapılmaktadır. Anahtar Risk Göstergeleri (ARG) kullanılmaktadır ve erken uyarılar ile riskin anlık izlemesine dayanan Riskin Konsolide Görünümü elde edilmektedir. Ana risklerle ilgili olarak az sayıda da olsa Paydaşlar tarafında daha yüksek güven Riske duyarlı strateji, performans sürprizlerin ortaya çıkması sağlanır ve gelişmiş risk azaltma değerlendirmesi ve sermaye tahsisi stratejileri uygulanır. uygulanır. 12
Kurumsal Risk Yönetimi Açısından Düzenlemeler Solvency II Avrupa Birliği, 2007 18a Kurumsal yönetim sistemi: Risk yönetimi, Uyumluluk, İç ç denetim Aktüerya fonksiyonlarını kapsamalıdır. Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik Hazine Müsteşarlığı, 2008 Madde 4 Şirketler kendi örgüt yapıları içerisinde ayrı bir iç denetim birimine, iç kontrol sistemine ve risk yönetimi sistemine yer verirler. 13
Yeni Türk Ticaret Kanunu ve Kurumsal Risk Yönetimi Yeni Türk Ticaret Kanunu, Yönetim Kurulunun devredilemez ve vazgeçilemez görev ve yetkilerinden bahsetmektedir. Yönetim Kurulunun işlerin gidişini izlemek, kendisine sunulacak konularda raporlar hazırlatmak, kararlarını uygulatmak veya iç denetim amacıyla içerisinde Yönetim Kurulu üyelerinin de bulunabileceği komiteler ve komisyonlar kurulabileceğinden bahsetmektedir. Dolayısıyla yeni kanun, şirketlerde etkin bir kurumsal risk yönetiminin, iç kontrol sisteminin ve iç denetimin gerekliliğine işaret etmektedir. Ayrıca hisse senetleri borsada işlem gören şirketler; risklerin erken teşhisi, ş bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacıyla, uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür. 14
Sigorta Sektörüne Özgü Riskler HARİCİ RİSKLER Sermaye Uygunluğu Ekonomi Hukuk Düzenleme Terörizm Halkla İlişkiler Rakip Finansal Piyasalar Doğal ğ Tehlikeler/Afet Hükümet/Politik Müşteri ş ihtiyaçları Teknolojik Yenilik Terörizm Sektör DAHİLİ RİSKLER Stratejik Operasyonel Finansal İş Modeli İş Portföyü Dağıtım Kanalları Fikri i Hkl Haklar Pazarlama/Reklamcılık Pazar Organizasyon Yapısı Planlama Ürün Yaşam Döngüsü Kaynak Dağılımı Sosyal Sorumluluk Sürdürülebilirlik Süreç Hizalama İş kesintileri Kapasite Değişim Tepkisi Uyum Sözleşmeye Bağlılık Müşteri Memnuniyeti Verimlilik Çevre Sağlık&Güvenlik Bilgi Yönetim Ölçüm Ortaklık Fiziksel Güvenlik Ürün/Hizmet Gelişimi Ürün/Hizmet Yükümlülüğü Kaynak Temini Strateji Uygulaması Tedarik Zinciri Ürün/Hizmet Başarısızlığı İşlem Yürütme Ürün/Hizmet İlişki Yönetimi Fiyatlandırması Döngü Süresi Yönetim Bilgisi İnsan Kaynakları Bütünlük Teknoloji Sorumluluk Muhasebe Bilgisi Çıkar Çatışması Erişim Değişime ğ ş Hazırlık Bütçeleme&Tahmin Personel Suistimali Uygunluk Eksiksizlik&Doğruluk İletişim Etik Karar Verme Veri Yatırım Değerlendirmesi Kabiliyetler/Yetenekler Yasadışı faaliyetler Bütünlüğü Yatırımcı İlişkileri Yetkilendirme Yönetim Suistimali E Ticaret Emeklilik Fonu İşe Alma/Elde Tutma Üçüncü Kişi Suistimali Altyapı Mevzuat Raporlaması Liderlik Yetki Dışı Faaliyetler Güvenilirlik Önem Vergilendirme Dış Kaynak Kullanımı Performans Teşvikleri Başarı Planlaması Eğitim/Geliştirme Teknolojik Kapasite Teminat Mallar Konsantrasyon Karşı Taraf Kredi Ödeme Yapmama Öz Kaynak Finansal Araçlar Döviz Faiz Oranı Likidite Modelleme Fırsat Maliyeti 15
Sigorta Sektörüne Özgü Riskler Artan Rekabet Dolayısıyla Hatalı Aktüeryal Varsayımlar Kümül Risk / Risk Birikimi Teknik Ve Mali Karlardaki Düşüşler Bilgi Teknolojileri Riski İklim Değişiklikleri Ve Doğal Afet Sonucu Yüksek Hasar Frekansı Teknik Karşılıkların Yetersiz Kalması Sermaye Yeterliliğinin Sağlanamaması Yatırım Riski Değişen Yasal Düzenlemelere Uyum Sigortacılıkta Riskler Poliçe İptal Riski Piyasa Riski Teknolojik Değişimler Ekonomik Dalgalanmalar / Krizler Reasürans Şirketinin Finansal Yapısının Yetersizliği Likitide Riski Kredi Riski Kur Enflasyon Ve Faiz Oranlarındaki Beklenmeyen Değişiklikler Toplumsal Değişimler Usulsüzlük, Yetersiz Teknik Donanım Ve İç Kontrol Sistemleri Yeni Ürün Lansmanı Varlık Yükümlülük Yönetimine (Alm) İlişkin Riskler / Varlık İle Yükümlülüklerin Eşleştirilememesi 16
Solvency II nin Kurumsal Risk Yönetimi Üzerine Etkileri Solvency II SÜTUN I SÜTUN II SÜTUN III Nicel Gereklilikler Gözetim ve Denetim Piyasa Disiplini Varlıklar ve Yükümlülükler Piyasa ile tutarlı değerleme Yatırımlar Hedef Sermaye Koşulu (SCR): -Standart Formül -İçsel Model Asgari Sermaye koşulu Öz Fonlar Kurumsal Yönetim Sistemi ( İç denetim, İç Kontrol, Risk Yönetimi ve Aktüerya Fonksiyonu) ORSA( Own Risk and Solvency Assessment) Denetim ve gözden geçirme süreci Sermaye ilavesi dahil yasal otoritenin müdahalesi Kamuya Açıklama Yıllık sermaye yeterliliği ve finansal durum raporu Denetim amaçları için Bilgi sağlanması GRUP DENETİM Tüm sütunlar bireysel şirketlere ve gruplara uygulanabilir. 17
Solvency II ve Kurumsal Risk Yönetimi Sistemi Alt Yapı Çevre Süreç Onaylama / Yeniden Strateji Değerlendirme İşletme Hedefleri ve Stratejiler Risk Stratejisi Değer Teoremi Risk İştahı Risk Farkındalığı/ Teşhis Risk Değerlendirme / Tepki Operasyonlar Ölçme ve Kontrol Ölçme ve Kontrol Organizasyon ve Çalışanlar Limitler ve Kontroller Metodolojiler Sistemler Veri Politikalar Raporlama Kurum Kültürü Eğitim İletişim Performans Ölçme Ödül 18
Solvency II ve Kurumsal Risk Yönetimi Sistemi Bu çerçeveye göre kalitatif gereksinimler üç temel stratejik konu üzerinden karşılanacaktır; 1 Risk Yönetimi için bütünsel liderlik sorumluluğu 2 İşletme stratejisine bağlı açık olarak tanımlanmış bir risk stratejisi 3 Firmanın risk alma kapasitesi üzerinde sürekli yönetim ve kontrol 19
KPMG İletişim Bilgileri İdil Gürdil Ortak Risk Yönetimi Danışmanlığı Bölüm Başkanı Akis Bağımsız Denetim ve SMMM A.Ş. Kavacık, Rüzgarlı Bahçe Mah. Kavak Sk. No 29 Beykoz 34805 İstanbul Tel. +90 (216) 681 9000 Fax +90 (216) 681 9090 Mobile +90 (533) 599 5668 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş. bir Türk şirketidir. Seda Tığdemir Müdür Risk Yönetimi Danışmanlığı, İç Denetim, Risk ve Uyum Hizmetleri Akis Bağımsız Denetim ve SMMM A.Ş. Kavacık, Rüzgarlı Bahçe Mah. Kavak Sk. No 29 Beykoz 34805 İstanbul Tel. +90 (216) 681 9040 Fax +90 (216) 681 9090 Mobile +90 (533) 296 5674 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş. bir Türk şirketidir. 20
Teşekkür ederiz International Cooperative in tescilli ticari markalarıdır. Türkiye de basılmıştır. Bu dökümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın, bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative bir İsviçre kuruluşudur. KPMG bağımsız şirketler ağının üye firmaları KPMG International Cooperative e bağlıdır. KPMG International Cooperative müşterilerine herhangi bir hizmet sunmamaktadır. Hiç bir üye firmanın KPMG International Cooperative e veya bir başka üye firmayı üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı yada bağlayıcı hiçbir yetkisi yoktur. 21