KURUMSAL RİSK YÖNETİMİ UYGULAMASI
Belirsizlik, tüm işkencelerin en kötüsüdür... Alexandre Dumas
Kurumsal Risk Yönetimi; ş̧irketi etkileyebilecek potansiyel olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve şirketin hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; şirketin yönetim kurulu, üst yönetimi ve tüm diğer çalışanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir. TÜSİAD Risk Yönetimi Çalışma Grubu
Kurumsal risk yönetimi, risklerin birbirinden bağımsız değerlendirilmesi yerine, merkezi bir yapı içinde değerlendirilmesi ve belirli bir sistem dahilinde yürütülüyor olmasıdır. Kurumsal risk yönetimi: Doğru riskleri almakta mıyız? Doğru miktarda mı risk almaktayız? Riskleri yönetmek için doğru süreçlerimiz var mı? sorularına yanıt vermektedir. Tayfun Bayazıt
I. GİRİŞ
Kurumsal risk yönetimi, esas olarak üst yönetime işletmenin önündeki hedefler ile belirsizlikler arasındaki dengeyi yeterli düzeyde kavrayıp hedeflerin emniyetli ve kurallara uygun biçimde gerçekleşmesini sağlayacak bir araçtır. Burada, öncelikle mevcut iç ve dış fırsatlar ile içerdikleri riskler doğru tespit edilmelidir.
Kurumsal risk yönetimi faaliyetlerini riskleri savunmaya yönelik önlemler seti olarak değil; aksine, yönetim zincirinde yer alan tüm yetkililerin riskler konusunda çok iyi düzeyde bilgilendirilip hedeflerin gerçekleştirilmesine yönelik doğru kararları almalarını sağlayan bilinçli bir ofansif anlayış olarak düşünebiliriz.
Şirket faaliyetleri yürütülürken belirsizlik içerisinde karşılayacağımız olayların gerçekleşme olasılıklarını ve etki şiddetlerini doğru tahmin edip risk yönetim politikaları oluşturulursa, bu durum stratejik hedeflere ulaşmada mutlaka bir avantaj sağlayacaktır.
II. FIRSAT VE RİSK KAVRAMLARI
Fırsatlar, işletmenin mevcut varlığının korunması ve ayrıca vizyon, misyon ve stratejik hedefleri doğrultusunda gelişimine yönelik yakaladığı ve değerlendirdiği içsel ve dışsal faktörlerdir. Örnek: içsel fırsat işletmenin Ar-Ge faaliyetlerinde yeni bir ürün geliştirilmesi, dışsal fırsat aynı sektörde faaliyet gösteren ve bir konuda güçlü rakibin satın alınması, mevzuat değişikliği vb.
COSO riski, işletme hedeflerinin gerçekleştirilmesini engelleyebilecek düzeydeki durumların ortaya çıkabilme ihtimali; ortaya çıkacak olayların stratejik ve iş hedeflerinin gerçekleştirilmesine etki olasılığı olarak tanımlamaktadır.
ISO 31000-2009 standartında ise risk, belirsizliğin hedefler üzerindeki etkisidir; riskin olumlu, olumsuz veya hem olumlu hem de olumsuz sonuçları olabilir diye ifade edilmektedir.
Diğer yandan, Uluslararası İç Denetçiler Enstitüsü, riski amaçlara ulaşılması üzerinde etkisi olacak bir olayın meydana gelme ihtimali olarak tanımlamaktadır. Risk, söz konusu etki ve olasılık cinsinden hesaplanır diye de tanıma ek yapılmaktadır.
III. İŞLETMELERİN MARUZ KALDIĞI ÖNEMLİ RİSK TÜRLERİ
İşletmelerin karşı karşıya olduğu risk türlerinin önemli olanlarını aşağıda belirtmekteyiz:
a) Stratejik Riskler: Yapısal Risklerdir; Planlama yanlışlıkları olabilir; Sistematik kurgu yanlışları olabilir; Uygulamada yönetim, çalışan davranışları etki eder; Paydaşları doğrudan etkiler; Stratejik planlama uygulamasının tüm aşamalarına etki eder.
b) Finansal Riskler: İşletmenin finansal yapısından kaynaklanan içsel riskler (planlama, sistematik, likidite, döviz pozisyon, kredi riskleri), Dışsal Risklerden (makro ekonomik, piyasa, sektörel, rakip fiyatlama politikaları, hammadde fiyatları kaynaklanan risklerdir.
c) Operasyonel Riskler
o Dış ve iç faktörlerdeki (insan kaynakları, bilgi işlem, iş süreçleri, kontrol ortamı, kontrol süreçleri vb.) yetersizlik veya başarısızlıklardan kaynaklanan risklerdir. Dört temel faktör vardır: İnsan, iş süreçleri, sistemler ve dış faktörler
o Operasyonel riskin finansal risklerden en belirgin farklılığı, alınan herhangi bir finansal pozisyona bağlı olmaksızın tamamıyla faaliyette bulunma nedeniyle ortaya çıkmasıdır
o Operasyonel risk yönetimi; risk yönetimi enstrümanlarına karar vererek bunların kabul etme, minimize etme, kaçınma ve transfer etme amaçlarıyla uygulamaya geçirilmesi ve gözetimlerini içeren döngüsel bir süreçler zinciridir.
o Operasyonel risklerin yönetim süreci; belirleme, tanımlama, ölçme, değerlendirme, kontrol, izleme ve raporlama aşamalarından oluşmaktadır.
o Bankalarda, operasyonların etkin yapılabilmesi için gereken asgari sermaye tutarının hesaplanması ve hedeflerin gerçekleştirilmesi bakımından operasyonel risk olaylarını kabul edilebilir düzeyde tutmak önemli bir husustur.
d) Uyum Riskleri: İşletme içi düzenlemeler ile yasal mevzuatın yanlış yorumlanmasıyla, hata ve ihmalle veya kasıtlı uygulamalarla mevzuata aykırı işlemler yapılması. Paydaşlarla yapılan işlemlerin de uyum riskleri içerisinde kabul edilmesi gerekir.
e) Marka (İtibar) Riskleri: İşletmenin genel yönetimi, ürünleri, paydaşlarla ilişkiler, işletme içi suistimaller...
f) Raporlama Riskleri: Yapılan iç ve dış raporlamalardan kaynaklanan riskler
g) Suistimal Riskleri: İşletme içi üst yönetimden en alt kademeye kadar çalışanların karıştığı veya tamamen işletme dışı faillerin gerçekleştirdiği kasta dayanan eylemler
h) Dış Riskler: Global, ülke çapında, sektörel, kamu kuruluşu ve düzenleyici kuruluşlar, doğal afetler uluslararası yaptırımlar vb. riskler.
IV. KURUMSAL RİSK YÖNETİMİ UYGULAMASI
Risk yönetimi çalışmasında önce ayrıntılı bir plan (kim, ne, nasıl, nerede, ne zaman sorularının yanıtları, gözetim ve raporlama esasları, süreç içerisindeki eşikler, vb.) oluşturulmalıdır.
Sonrasında ise, bu plan doğrultusunda riski;
o belirlemeli -stratejik düzeyden faaliyet düzeyine (top-down) ya da faaliyet düzeyinden stratejik düzeye (bottom-up)-
o analiz etmeli,
o tanımlamalı,
o değerlendirilmeli (risk iştahı, risk sınıflandırma, öncelikler, kayıtlar, KRY için genel ve ayrıca herbir risk için risk sorumlularının belirlenmesi)
o Risk yönetim faaliyetlerinin fayda-maliyet hesabı ortaya konulmalı,
o Belirlenen politikalar ve hazırlanan dökümanlar ortak bir dil oluşturularak bilgi ve iletişim kanallarıyla tüm paydaşlara duyurulmalı ve ayrıca farkındalık yaratılmalı,
o belirlenen politikaları uygulamalı,
o yeni (risk ve fırsatları içeren) iç ve dış koşullar ile uygulamaları takip etmeli,
o Etkili bir raporlama sistemi oluşturulmalı,
o Gözden geçirme ve takip ile elde edilen veriler yeniden değerlendirmeli,
o Yeni koşullara yeni aksiyonlar almalı,
o KRY faaliyetleri iç denetim birimince periyodik olarak değerlendirilmeli.
V. KURUMSAL RİSK YÖNETİMİ HEDEFLERİ, ARAÇLARI VE YETERSİZLİK SONUÇLARI
a) Risk Yönetimi Hedefleri
o Operasyonel işlemlerin gerçekleştirilmesinde kurumsal risk kültürünün oluşturulması
o İşletmenin risklerinin bilindiğine ve yönetildiğine dair güvence
o Tüm kaynakların işletmenin hedeflerinin gerçekleştirilmesine odaklanması ile değer yaratılmasına yönlendirme
b) Risk Yönetimi Araçları
Beklenen tehditlerin azaltılması ve/veya ortaya çıkacak fırsatların değerlendirilmesi için kullanılırlar:
o Azaltma
o Paylaşma/Transfer
o Kaçınma
o Kabul Etme
c) KRY.'de Yetersizliğin Sonuçları
o Maliyet Etkisi (Cost Impact): Bütçeye yönelik etkiler (gelirlerin düşmesi, giderlerin artması)
o Program Gecikme Etkisi (Schedule Impact): Süre limitlerinde gecikmeler
o Performans Etkisi (Performance Impact): Hatalı imalat,yetersiz hizmet
o Paydaşlara Etkisi (Stakeholders Impact): Mutsuz ve tatminsiz paydaşlar
VI. KURUMSAL RİSK YÖNETİMİNİN ETKİN OLMASI İÇİN İLKELER VE ETKİN YÖNETİMİN YARARLARI
a) KRY'de İlkeler
o Risk yönetim faaliyetlerinin fayda-maliyet hesabı ortaya konulmalı,
o Belirlenen politikalar ve hazırlanan prosedürler ortak bir dil oluşturularak bilgi ve iletişim kanallarıyla tüm paydaşlara duyurulmalı ve ayrıca farkındalık yaratılmalı,
o Belirlenen politikaları etkili uygulamalı,
o Yeni (risk ve fırsatları içeren) iç ve dış koşullar ile uygulamaları takip etmeli,
o Etkili bir raporlama sistemi oluşturulmalı,
o Gözden geçirme ve takip ile elde edilen veriler yeniden değerlendirmeli,
o Yeni koşullara yeni aksiyonlar almalı,
o KRY faaliyetleri iç denetim birimince periyodik olarak değerlendirilmeli.
b) Etkin kurumsal risk yönetiminin bir işletmeye sağladığı yararlar
o İşletmenin karşı karşıya olduğu fırsat ve tehditlerin etkili yönetimi
o Operasyonel sistemin optimize edilmesi
o Sağlıklı raporlama sistemi kurulması
o Kaynak yönetiminin 3E prensiplerine dayanması,
o Sürdürülebilirlik
o Gelir ve giderlerde zikzakların kontrol altına alınması,
o İlgili mevzuata uyum
o Paydaşlar nezdinde itibar ve güven tesisi
o Kurumsal yönetim düzeyine olumlu etki
o Risk yönetim sürecinin üst yönetim tarafından sahiplenilmesi,
o İşletmenin vizyon, misyon ve değerleri doğrultusunda bir risk stratejisinin oluşturulması
o İşletme kültürüne uygun ortak ve tutarlı bir risk yönetim diline sahip olunması, yeterli bilgi sağlanması
o Risk yönetimi süreçlerinin sade, esnek ve uygulanabilir olması ve diğer temel süreçlerle (stratejik planlama, performans yönetimi, insan kaynakları yönetimi vb.)entegre olarak planlanması ve risk eylem planlarının etkin olarak yürütülmesi
o Risklere ilişkin değerlendirmelerin mutlaka güvenilir kanıtlarla desteklenmesi
o Risk yönetimi süreçlerinin sistematik bir şekilde izlenmesi, raporlanması ve değerlendirilmesi
o Risk yönetimi sürecinde herkesin işin sahibi olduğu bilincinin yerleştirilmesi
o Kurumsal iletişim stratejisinin belirlenmiş olması, işletme içinde ve dışında uygun iletişim kanallarının oluşturulması,
o Risk değerlendirmede önemli olanın, uygulanan tekniklerden ziyade riskleri değerlendirecek olanların tecrübe ve birikimlerinin olduğunun hesaba katılması
VII. COSO BAZLI KURUMSAL RİSK YÖNETİM BÜTÜNLEŞİK ÇERÇEVESİ
COSO bazlı Kurumsal Risk Yönetimi Çerçevesi ilk olarak 2004 yılında yayınladı ve şu yeni çerçevenin yayınlanma çalışmaları var ve son yıllarda dünya genelinde yaşanan ekosistemindeki büyük değişimlerden dolayı çok büyük değişiklikler içermektedir.
COSO, Kurumsal Risk Yönetimi Entegre Çerçevesinde Kurumsal Risk Yönetimi şöyle tarif edilmektedir:
İşletmenin yönetim kurulu, yönetimi ve diğer çalışanlarınca, risk yönetimine ilişkin stratejilerin belirlenmesi, işletme faaliyetleri yerine getirilirken karşı karşıya kalınabilecek risklerin tespiti ile kurumun risk iştahının açıklığa kavuşturularak işletme hedeflerine ulaşmayı sağlayacak çerçevede risklerin etkin yönetimi ve üst yönetime makul düzeyde güvence sağlayan uygulamaları içeren süreçlerdir.
COSO'nun taslak KRY Bütünleşik Çerçevesindeki tanımı ise: organizasyonların değeri yaratmak, korumak ve gerçekleştirmek için temel aldıkları risk yönetiminin, strateji oluşturma ve yürütme faaliyetleri ile entegre olan kurum kültürü, yapabilme kapasitesi ve uygulamalarından meydana gelmektedir.
Tanıma biraz yakından bakarsak;
o Kurumsal kültür ve yapabilme kapasitesinin var olduğunu kabul etme,
o Belirlenen politika ve standartların öngörülen düzeyde uygulanması
o Bütün bunların stratejilere ve icra çalışmalarına entegresi
o Riskin temel stratejilere ve iş hedeflerine göre yönetilmesi
o Risklerin yönetilmesi ile değer yaratılması, değerin korunması ve değerin gerçekleştirmesi arasında güçlü bir irtibat olması kastedilmektedir.
COSO'ya göre; kurumsal risk yönetimi faaliyetlerine gerçekten odaklandığımızda, işletmenin karşı karşıya kaldığı risklere yönelik etkili stratejilerin, hedeflerin ve uygulamaların ortaya konulmasıyla işletmeye değer katılır:
o riske karşı alınan aksiyonlar daha etkili hale gelir,
o operasyonel kayıp ve beklenmeyen durumlar azalır,
o birbiriyle ilişkili olan ve birlikte gerçekleştiklerinde işletmeye verecekleri zarar artan risklerin entegre ve sistematik biçimde yönetilerek etkilerinin azaltılması sağlanır,
o birçok potansiyel olayın detaylı analizi sözkonusu olduğu için daha önce görülemeyen fırsatlar farkedilebilir,
o kaynakların daha verimli kullanılmasını sağlar.
COSO yeni KRY çerçevesinde dikkat çeken noktalar ise;
o Riskler, strateji ve faaliyetlerin yürütülmesi ile aynı hizadadır, içiçedir. Kurumsal Risk Yönetimi tüm organizasyonu kapsayacak biçimde bu ilke temelinde planlanmalı ve uygulanmalıdır.
o Belirsizlikleri yönetmek üzere üst yönetimin stratejik kararlarından günlük operasyonel kararlara kadar herbiri risk içeren tüm kararlarımız 'tercihlerimize' dayanır. Bu nedenle, risk yönetimi sistemi artık hem bilimsel temellere dayanmalı hem de adeta bir sanat halini almalıdır.
o Dünya Ekonomik Forumu'nun da ifade ettiği gibi günümüzde iş dünyası daha fazla karmaşıklık, belirsizlik ve dalgalanma içerisindedir. Bu da hata yapma marjını düşürmemizi gerektiriyor ve paydaşların talepleri doğrultusunda şeffaflık ile hesap verebilme prensiplerini ön plana çıkarıyor.
o Organizasyonlar artık değişimlere daha fazla uyum becerisine sahip olmalıdır. Bu durum da, daha etkili kurumsal risk yönetimi faaliyetlerini gerektiriyor.
o Üst yönetimin sorumlulukları bakımından yeni çerçeve beş temele dayanıyor: Risk Yönetişimi ve Kültürü, Risk Stratejisine Dayanarak Hedeflerin Belirlenmesi, Risk Yönetiminin Etkili Yürütülmesi, Risklere Yönelik Bilgi, İletişim ve Raporlama Süreçleri ile Risk Yönetim Performansının Gözetimi.
o Misyonlarını gerçekleştirmek bakımından kurumlar, tüm şirket geneline yayılan ve birbirleriye ilişkili strateji ve ve hedefler belirlemelidirler. Bunlar da, operasyonlar, raporlama, uyum ve (itibarı da içeren) stratejileri içermelidir.
o Sürdürülebilirlik ve çevresel faktörler çok önemli hale gelmiştir.
o Kurumsal Risk Yönetimi Çerçevesi asgari 23 ilkeye dayanan sekiz temel unsurdan oluşmalıdır.
VIII. COSO BAZLI KRY TEMEL UNSURLARI VE İLKELERİ
2004 yılında yayınlanan ve içerikleri konusunda güncellemeler yapılan COSO KRY çerçevesi sekiz bileşenden oluşur.
Bunlar;
o İç Ortam
o Hedeflerin Belirlenmesi
o Muhtemel Risklerin Saptanması
o Risklerin Değerlendirilmesi
o Risklere Karşı Alınacak Önlemler
o Kontrol Faaliyetleri
o Bilgi ve İletişim
o Gözetim
Belirtilen bileşenler; işletmenin genel düzeyinden başlayarak bölümler, birimler ve iştirakler bazında stratejik, operasyonel, uyum ve raporlamalar bazında tanımlanmalıdır.
1. İç Ortam: YK'nun işletmenin etik değerleri ve risk iştahı ve risklerin yönetimi konularında ortaya koyacağı tondur (kararlılık düzeyidir). Dış ortam etkileri dikkate alınmadığı için kritik edilmekte...
2. Hedeflerin Belirlenmesi: YK, belirlenen risk iştah düzeyiyle tutarlı olarak işletme vizyon, misyon ve stratejik hedeflerinin ortaya konulması.
3. Muhtemel Olayların Saptanması: İşletme hedeflerinin gerçekleştirilmesi esnasında karşılaşılacak muhtemel iç ve dış riskler ve fırsatlar. Ani karşılaşılacak risklere büyük önem verilirken, işletmeyi içten içe yavaşca kemiren olaylar ve kurum kültürüne önem verilmemesi nedeniyle eleştirilmektedir.
4. Risklerin Değerlendirilmesi: Risklerin gerçekleşme olasılıkları ve muhtemel etkilerinin analizi. Nitel ve nicel metodların uygulanmasına, doğal risklere ve kalıntı risklere vurgu yapılmakta. Risklerin analizinin maddileştirilerek çok basite indirgenmesi yönünden kritik edilmekte.
5. Risklere Karşı Alınacak Önlemler: Risklerin etkilerinden korunmak ve tespiti bakımından manuel ve bilgi işlem sistemi aracılığıyla alınan önlemler...
6. Kontrol Faaliyetleri: Risk yönetim aksiyonlarının etkili olmaları bakımından gereken politika ve düzenlemelerin yapılması ve uygulanması.
7. Bilgi ve İletişim: Verilerin teşhisi, elde edilmesi ve bir format dahilinde zamanında paydaşlarla paylaşılması.
8. Gözetim: Gözetimin öneminin altını çizerken 2009 yılında eklenen düzenlemelerle gözetim görevine ek olarak, elde edilen tespitler ve geri beslemelerin analizi ve gereken aksiyonların hemen alınmasını da kapsamaktadır. İşletmenin, sistemsel yönetim raporları, iç denetim, iç kontrol, risk değerlendirme, uyum kontrolleri vb.organizasyonlarının tespitlerine dayanır.
COSO bazlı yeni KRY’de ise 2004 yılından farklı olarak beş temel bileşen ve sözkonusu bileşenlerin dayanacağı 23 temel ilke belirlenmektedir.
Buna göre, beş temel bileşen:
1. Risk Yönetişimi ve Kültürü
2. Risk, Strateji ve Hedeflerin Belirlenmes
3. Risk Yönetiminin Yürütülmesi
4. Riskin Bilgi, İletişim ve Raporlanması
5. Kurumsal Risk Yönetimi Performansının Gözetimi
COSO Bazlı Yeni KRY'de yer alan 23 Temel İlke ise;
Risk Yönetişimi ve Kültürü
1. Yönetim Kurulu, stratejiler ve hedeflerin gerçekleştirilmesi bakımından şirket yönetim zincirinin uyguladığı politika ve yürüttüğü risk yönetim sorumluklarını desteklemeli, tamamlayıcı bir unsur olarak rol almalı ve takip etmelidir.
2. Kurumlar faaliyetlerini yürütmek bakımından gereken yönetişim ve operasyonel modeli tesis etmelidir.
3. Riske karşı tutum ve kurumun temel değerlerini içeren Davranış Kuralları oluşturulmalıdır.
4. Kurum faaliyetlerinde doğruluk ve etik ilkelere bağlılık temel alınmalıdır.
5. Şirket, tüm çalışanlara kurumsal risk yönetimi ilkeleri çerçevesinde mesuliyet aşılamalı ve bu duyguyu uygulanacak standartlar ve rehberler ile pekiştirmelidir.
6. Yetenekli çalışanların istihdamı, gelişimlerini sağlama ve şirkette tutma başarılmalıdır.
Risk, Strateji ve Hedeflerin Belirlenmesi
7. Şirket yönetimi, iş yaşamındaki güncel koşullar ve risk profilini önemle dikkate almalıdır.
8. Şirket üst yönetimi, değer yaratacak, koruyacak ve gerçekleştirecek parametrelerle kurumun risk iştahını belirlemelidir.
9. Şirketin risk profiline etkisi hesaba katılarak alternatif stratejiler değerlendirilmelidir.
10. Hedefler belirlenirken her seviyedeki riskler önemle dikkate alınmalıdır.
11. Performansların gerçekleştirilmesinde kabul edilebilir farklı düzeyler tanımlanmalıdır.
Risk Yönetiminin Yürütülmesi
12. Faaliyetlerin yürütülmesi esnasında potansiyel riskler mutlaka belirlenmelidir.
13. Riskin şiddeti değerlendirilmelidir.
14. Maruz kalınacak risklere karşı önlemleri de içerecek biçimde risklerin öncelik sırasına konulması gerekir.
15. Risklere karşı alınacak önlemlerin ve belirlenmesi ve seçilmesi gerekmektedir.
16. Riskler dikkate alınarak faaliyet sonuçları değerlendirilmelidir.
17. Risklere portföy bakış açısının geliştirilmesi ve değerlendirilmesi gerekir.
Riskin Bilgi, İletişim ve Raporlanmas
18. Kurumsal risk uygulamasını destekleyici ilintili bilgiler kullanılmalıdır.
19. Şirketin bilgi sistemlerini en ideal hale getirmelidir.
20. Risk bilgilendirmeleri için kurum içi enformasyon kanalları oluşturulup kullanılmalıdır.
21. Kurum genelinde ve farklı düzeylerde risk yönetimi, kurum kültürü ve faaliyetler ilişkin raporlama yapılmalıdır.
Kurumsal Risk Yönetimi Performansının Gözetimi
22. Strateji ve hedefleri etkileyebilecek düzeydeki temel iç ve dış değişimler izlenmelidir.
23. Kurumsal Risk Yönetimi performansı takip edilmelidir.
