SAĞLIK İŞLETMELERİNDE RİSK YÖNETİMİ · PDF fileÖNSÖZ 1 Sağlık...

İSTANBUL ÜNİVERSİTESİ AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ

SAĞLIK İŞLETMELERİNDE

RİSK YÖNETİMİ

SAĞLIK YÖNETİMİ

LİSANS TAMAMLAMA PROGRAMI

Doç.Dr. Ercan SARIDOĞAN

ÖNSÖZ1

Sağlık İşletmelerinde Risk Yönetimi dersi, sağlık işletmeleri yönetimi alanında eğitim alan

öğrencilere, risk analizindeki temel yaklaşımları kazandırmayı hedeflemektedir.

Günümüzde yüksek belirsizlik sebebiyle işletme içi ve işletme dışı çevreden kaynaklanan riskler

artmaktadır. Artan riskler, işletmelerde insan ve maddi kaynak açısından önemli kayıplara yol

açmaktadır.

İşletmelerin riskkleri başarılı bir şekilde çözümlemeleri ve yönetim süreçlerini geliştirebilmeleri

günümüzde tüm sektörlerde önemli olduğu gibi sağlık işletmelerinde de sürdürülebilir rekabet

gücü, iş güvenliği ve kayıpların azaltılması için son derece büyük önem arzetmektedir.

1 Bu ders notları Sağlık İşletmelerinde Risk Yönetimi öğrencilerinin ders notu ihtiyacını karşılamak için

ekte belirtilen kaynaklardan derlenmiş olup, metin içi referanslar düzenlenme aşamasındadır.

YAZAR NOTU

Sağlık İşletmelerinde Risk Yönetimi dersi, sağlık işletmeleri yönetimi alanında

eğitim alan öğrencilere, risk analizindeki temel yaklaşımları kazandırmayı hedeflemektedir.

Günümüzde yüksek belirsizlik sebebiyle işletme içi ve işletme dışı çevreden

kaynaklanan riskler artmaktadır. Artan riskler, işletmelerde insan ve maddi kaynak

açısından önemli kayıplara yol açmaktadır.

İşletmelerin riskkleri başarılı bir şekilde çözümlemeleri ve yönetim süreçlerini

geliştirebilmeleri günümüzde tüm sektörlerde önemli olduğu gibi sağlık işletmelerinde de

sürdürülebilir rekabet gücü, iş güvenliği ve kayıpların azaltılması için son derece büyük

önem arzetmektedir.

İÇİNDEKİLER

ÖNSÖZ ......................................................................................................... 3

YAZAR NOTU ............................................................................................ 4

1.RİSK ANALİZİ TEMEL TANIMLAR VE KAVRAMLAR ............ 12

1.1. Riskin Tanımı ve Temel Kavramlar ................................................ 17

1.2. Risk ve Belirsizlik................................................................................ 20

1.3. Risk, Tehdit ve Tehlike ....................................................................... 21

1.5. Risk ve Kayıp ...................................................................................... 22

1.6. Risk ve Fırsat ....................................................................................... 23

1.7. Risk ve Olasılık.................................................................................... 23

1.8. Risk ve Zaman ..................................................................................... 24

1.9. Risk ve Karmaşıklık ........................................................................... 24

2.RİSK TÜRLERİ ..................................................................................... 27

2.1.Sistematik Risk ..................................................................................... 35

2.1.1.Piyasa Riski ......................................................................................... 36

2.1.2.Politik risk ........................................................................................... 36

2.1.3.Faiz oranı riski .................................................................................... 37

2.1.4.Döviz Kuru Riski ................................................................................ 37

2.1.5.Enflasyon riski .................................................................................... 38

2.1.6.Yasal risk ............................................................................................. 38

2.2. Sistematik olmayan risk ..................................................................... 39

2.2.1.Operasyonel risk ................................................................................. 39

2.2.2.Yönetim riski ....................................................................................... 40

2.2.3.Finansal risk ........................................................................................ 40

2.2.3.1. Pazar riski .................................................................................. 40

2.2.3.2. Kredi riski .................................................................................. 41

2.2.3.3. Likidite riski .............................................................................. 42

2.2.3.4. Sermaye yapısı riski .................................................................. 43

3. RİSK YÖNETİM SÜRECİ .................................................................. 47

3.1.Risk Yönetimi ve Önemi ..................................................................... 52

3.2.Risk Yönetiminin Amacı ve Kapsamı ................................................ 55

3.3.Risk Yönetimi Süreci ........................................................................... 56

3.4.Risk Yönetiminde 4T Yaklaşımı ......................................................... 61

3.4.1.Tespit / Belirleme ................................................................................ 61

3.4.2.Tahlil / Analiz ...................................................................................... 62

3.4.3.Tedbir / Uygulama .............................................................................. 62

3.4.4.Takip / Performans Ölçümü .............................................................. 63

3.5.Risk Alma Eğilimlerine Göre Risk Yönetim Türleri ....................... 63

3.5.1. Riski Kabullenme / Göze Alma ........................................................ 64

3.5.2.Riskten Kaçınma / Faaliyetten Vazgeçme ........................................ 65

3.5.3.Riski Azaltma / Riskle Mücadele Etme ............................................ 65

3.5.4. Riskin Transferi / Paylaşma ............................................................. 65

3.6. Entegre/Bütünelşik Risk Yönetimi .................................................... 66

3.7.Stratejik Risk Yönetimi ve Planlaması .............................................. 68

4.KURUMSAL RİSK YÖNETİMİNİN GELİŞİMİ .............................. 73

4.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş 78

4.2. Kurumsal Risk Yönetiminin Tanımı ve Önemi ............................... 85

4.3. Kurumsal Risk Yönetiminde Genel Yapısı ...................................... 87

4.2. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı ..................... 90

4.3. Kurumsal Risk Yönetiminin Amaçları ............................................. 97

4.4. Kurumsal Risk Yönetiminin Faydaları ............................................ 98

4.5. Kurumsal Risk Yönetimi Olgunluk Seviyeleri .............................. 101

4.6. Kurumsal Risk Yönetiminin Etkinliği ............................................ 102

4.7. Kurumsal Risk Yönetiminin Sınırlılıkları ...................................... 103

5. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I ........................... 108

5.1.İç Çevre / Ortam ................................................................................ 115

5.2.Amaçların Belirlenmesi ..................................................................... 115

5.3. Olay Tanımlama ............................................................................... 116

5.3.1. Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi .............. 117

5.3.2. Olayların (Risklerin/Fırsatların) Kaynakları ............................... 117

5.3.3. Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler ............. 118

5.3.4. Risklerin Sınıflandırılması .............................................................. 118

5.4. Risklerin Değerlendirilmesi ............................................................. 118

5.4.1. Etki Analizi ..................................................................................... 121

5.4.2. Olasılık Analizi ................................................................................. 122

5.4.2. Risklerin Puanlanması ................................................................... 123

5.4.3. Risklerin Önceliklendirilmesi ........................................................ 125

5.4.4. İçsel ve Kalıntı Riskin Ölçülmesi .................................................. 128

6. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ II ......................... 132

6.1. Risk Tutumu / Tepkileri ................................................................... 137

6.1.1. Kaçınma ............................................................................................ 138

6.1.2. Azaltma (Kontrol Etme) ................................................................. 138

6.1.3. Transfer Etme .................................................................................. 139

6.1.4. Kabul Etme ...................................................................................... 139

6.2. Kontrol Aktiviteleri .......................................................................... 140

6.3. Bilgi ve İletisim .................................................................................. 141

6.4. Risklerin İzlenmesi ........................................................................... 144

7.ÜLKE UYGULAMALARINDA RISK YÖNETIM MODELLERI 148

7.1. Avustralya ve Yeni Zelanda Risk Yönetim Modeli ....................... 153

7.2. İngiltere Risk Yönetim Modeli ........................................................ 155

7.3. Kanada Risk Yönetim Modeli ........................................................ 157

7.4. Amerika Risk Yönetim Modeli ........................................................ 160

8.KURUMSAL RİSK YÖNETİMİ İÇİN YASAL

DÜZENLEMELER ................................................................................. 163

8.1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal

Düzenlemeler ............................................................................................ 168

8.1.1. Sarbanes-Oxley Kanunu ................................................................. 168

8.1.2. Dod-Frank Kanunu ......................................................................... 169

8.1.3. Kontrag Kanunu, Cabdury ve Turnbull Raporu ........................ 169

8.1.4. EU 8. Direktifi .................................................................................. 170

8.1.5. The Combined Code On Corporate Governance ......................... 171

8.1.6. Risk Management Standard ........................................................... 171

8.2. Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan

Düzenlemeler ............................................................................................ 175

8.2.1. Sermaye Piyasası Kurulu Düzenlemeleri ...................................... 175

8.2.2. Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik

..................................................................................................................... 176

8.2.3. Yeni Türk Ticaret Kanunu ............................................................. 176

9. RİSK KONTROLÜ İÇİN FAALİYETLER ..................................... 180

9.1.Kontrollerin Amaçları ....................................................................... 185

9.1.1.Riskin Etkisini Azaltan Kontroller ................................................. 186

9.1.2.Riskin Olasılığını Azaltan Kontroller ............................................. 187

9.1.3.Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller ............ 187

9.2. Kontrol Türleri ................................................................................. 187

9.2.1.Önleyici Kontroller ........................................................................... 188

9.2.2.Düzeltici Kontroller .......................................................................... 189

9.2.3.Yönlendirici Kontroller .................................................................... 189

9.2.4.Tespit Edici Kontroller .................................................................... 189

9.3.Kontrol Faaliyeti Aşamaları ............................................................. 191

9.4.Temel Kontrol Biçimleri ................................................................... 192

10. STRATEJİK RİSK YÖNETİMİ ..................................................... 196

10.1. Stratejik Planlama .......................................................................... 201

10.2. Stratejik Rekabet Analizi ............................................................... 139

10.3. Kuruluş Dışı Çevre Analizi ............................................................ 136

10.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi ................ 138

10.5. Performans Programı Kurumsal Risk Yönetimi ......................... 138

11. KURUMSAL RİSK YÖNETİMİ UYGULAMASINI ETKİLEYEN

FAKTÖRLER VE ARAÇLAR ............................................................. 143

11.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler ....... 147

11.1.1. İşletme Büyüklüğü ......................................................................... 147

11.1.2. Finansal Kaldıraç .......................................................................... 148

11.1.3. Karlılık ............................................................................................ 148

11.1.4. Yönetim Kurulu Üyelerinin Bağımsızlığı .................................... 149

11.1.5. Denetim Firmaları ......................................................................... 149

11.1.6. Coğrafi Çeşitlilik ............................................................................ 149

11.1.7. Bağlı Ortak Sayısı .......................................................................... 150

11.1.8. Büyüme ........................................................................................... 150

12. İÇ DENETİM SİSTEMİ, KAPSAMI ve ÖZELLİKLERİ ........... 153

12.1.İç Denetimin Tanımı ........................................................................ 158

12.2.İç Denetim Faaliyetineİhtiyaç Duyulma Nedenleri

.................................................................................................................... 159

12.3.İç Denetimin Kapsam ve Alanı ....................................................... 160

12.4.İç Denetimin Amacı ......................................................................... 162

12.5.İç Denetim SistemininÖzellikleri ve Etkililiği

.................................................................................................................... 163

12.6. İç Denetim Unsurları ...................................................................... 164

12.6.1.Nesnel Güvence Sağlama ............................................................... 164

12.6.2.Bağımsız Olma ................................................................................ 165

12.6.3.Tarafsız Olma ................................................................................. 165

12.6.4.Danışmanlık Hizmeti Verme ......................................................... 166

12.6.5.Kurum Faaliyetlerine Değer Katma ve Geliştirme ..................... 166

12.6.6.Standartlara Uygunluk .................................................................. 168

12.7.İç Denetim Türleri ........................................................................... 168

12.7.1.Uygunluk Denetimi ......................................................................... 169

12.7.2.Performans Denetimi ..................................................................... 169

12.7.3.Mali Denetim ................................................................................... 170

12.7.4.Bilgi Teknolojisi Denetimi ............................................................. 170

12.7.5.Sistem Denetimi .............................................................................. 172

12.8.İç Denetim Teknikleri ...................................................................... 172

12.8.1.Fiziki ve Kaydı İnceleme ................................................................ 172

12.8.2.Belge İnceleme................................................................................. 173

12.8.3.Hesaplama ve Karşılaştırma ......................................................... 173

12.8.4. Doğrulama ...................................................................................... 173

13. KURUMSAL RİSK YÖNETİMİ ODAKLI İÇ DENETİM SİSTEMİ

176

13.1.İç Denetim Sistemindeki Değişim ve Özellikleri ........................... 181

13.2.Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması .. 182

13.3.İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri

.................................................................................................................... 185

13.4.İç Denetçilerin Kurumsal Risk YönetimSistemindeki Görev ve

Sorumlulukları ......................................................................................... 187

13.4.1.İç Denetçi ve Güvence Hizmeti ...................................................... 189

13.4.2.İç Denetçilerin Danışmanlık Rolü ................................................. 191

13.5.İç Denetçilerin Taşıması Gereken Özellikler ................................ 192

13.6. İç Denetçilerin Durumu ................................................................. 193

13.6.1.5018 Sayılı Kanun Kapsamında Risk Yönetim Sistemi .............. 194

13.6.2.Kamu İç Denetim Standartlarında Risk Yönetim Sistemi ......... 195

14. KURUMSAL RİSK YÖNETİMİ ORGANİZASYON YAPISI.... 199

14.1. Üst Yönetim ve Yönetim Kurulu ................................................... 204

14.2. Yöneticiler ........................................................................................ 205

14.3. Risk Görevlileri ............................................................................... 206

14.4. Finans Yetkilileri............................................................................. 207

14.5. Kurum İçi Diğer Sorumlular ......................................................... 207

14.6. Bağımsız Dış Denetçiler .................................................................. 207

14.7. Yasa Koyucu ve Düzenleyiciler ..................................................... 208

14.8. Kurum ile İlişki İçerisinde Olan Kişiler ....................................... 208

KAYNAKLAR ......................................................................................... 211

1.RİSK ANALİZİ TEMEL TANIMLAR VE KAVRAMLAR

Bu Bölümde Neler Öğreneceğiz?

Riskin Tanımı ve Temel Kavramlar

Risk ve Belirsizlik

Risk, Tehdit ve Tehlike

Risk ve Kayıp

Risk ve Fırsat

Risk ve Olasılık

Risk ve Zaman

Risk ve Karmaşıklık

Bölüm Hakkında İlgi Oluşturan Sorular

S-1. Gün içinde trafik kazası ile karşılaşma ihtimaliniz nedir?

S-2. Evinize hırsız girmemesi için ne gibi tedbirler alıyorsunuz?

Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri

Konu Kazanım

Kazanımın nasıl elde

edileceği veya

geliştirileceği

Riskin Tanımı ve Temel

Kavramlar


Kavramlar açıklayabilme


Kavramlar analiz ederek

Anahtar Kavramlar


Risk ve Belirsizlik


Risk ve Kayıp

Risk ve Fırsat

Risk ve Olasılık

Risk ve Zaman


1.1. Riskin Tanımı ve Temel Kavramlar

Risk mevcut mevcut veya gelecekteki durum veya hedeflerin zarar görme

olasılığıdır.

İktisadi karar birimlerinin verecekleri kararlar sonucunda ortaya çıkacak getiriyi

olumsuz etkileyebilecek olayların gerçekleşme olasılığı, diğer bir deyişle

olayların gerçekleşme olasılığının bilindiği durum.

Zarara uğrama tehlikesi, riziko

Geleneksel risk tanımlarında riskin, potansiyel problem, tehdit, tehlike, zarar ya

da kayıp gibi olumsuz unsurlarının ön plana çıkarıldığı görülmektedir. Kurumsal

Risk Yönetimi çerçevesinde yapılan çağdaş tanımlarda ise riskin söz konusu

olumsuz unsurlarının yanında fırsat, fayda kar, kazanç gibi olumlu unsurlarını

da içerecek şekilde tanımlandığı görülmektedir.

Risk kavramına yüklenilen anlamın, zamana ve kullanım alanına göre değiştiğini

görmekteyiz. Önceleri sadece zararlı etkilerini gidermek veya alt seviyeye

çekmek amacıyla riskle mücadele edilmesi düşüncesi benimsenmekteyken

zamanla kavrama yeni yüklenilen anlamlarla birlikte her riskin beraberinde bir

fırsatı da getirdiği ilkesi genel kabul görmüştür.

Bu bağlamda risk, mevcut veya gelecekteki durum veya hedeflerin sapma

göstermesidir. Ancak iktisadi birimler ( birey, firma ve devlet) hedeflerden

sapmaların olumsuz olma ihtimali minimize etmelidir.

Şekil 1’de, KRY kapsamındaki risk tanımının tehlike ve belirsizlik anlayışından

avantaja dönüştürülen ve kurum değerinin artırılmasına neden olma olasılığını

taşıyan risk boyutuna taşınması gösterilmektedir. Bu anlamda risk sadece tehlike

ve belirsizlik içermemekte, kapsamında fırsatları da barındırmaktadır.

Şekil-1.1. Risk Tanımında Değişim ve Sonuçları

Kamu İç Denetiminde Risk Değerleme Rehberi’nde risk, “İdarelerin kuruluş

amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel olabilecek durum

ya da olaylar.” olarak tanımlanmıştır.

Uluslararası Standardizasyon Kurumu (ISO)’nun 1 Kasım 2000 tarihli Risk

Yönetim Terminolojisi’nde risk, “Bir olayın olma ihtimali ve bunun sonuçlarının

kombinasyonu; Not 1: Bazı durumlarda risk beklenenden sapmadır” şeklinde

tanımlanmıştır.

Yukarıda yapılan tanımlardan özellikle de kurumsal risk yönetimi yaklaşımı

çerçevesinde yapılan yeni tanımlardan hareketle risk kavramının temel unsurlarının

şunlar olduğu ifade edilebilir:

Risk, kurum amaçları ve hedefleri üzerinde etkili olan bir olgudur.

Riskin temel kaynağı; geleceğe, gelecekteki olay ve değişimlere, bu olay ve

değişimlerin sonuçlarına ilişkin mevcut bilgilerin yetersizliğinden doğan

belirsizliktir.

Risk, kesin olmayan yani gerçekleşmesi ihtimalli bir olgudur.

Risk, dünya da bugün ile değil yarınla yani gelecekle ilgili bir olgudur.

Risk, değişen olay ve durumlara bağlı olarak sürekli değişim gösteren karmaşık

bir olgudur.

Risk, amaçlar ve hedefler üzerinde olumlu (fırsat, kar, kazanç), olumsuz (tehdit,

tehlike, zarar, kayıp) ya da hem olumlu hem de olumsuz etkileri olabilen bir

olgudur. (Şekil 1.2.)

Şekil 1.2. Amaç, Tehdit, Fırsat ve Risk Arasındaki İlişki

Herhangi bir kurumun/birimin/sürecin içerisinde risklerin belirlenmesi veya

tanımlanması yapılırken öncelikle kurumun/birimin/sürecin amaç ve hedeflerinin ne

olduğu açık bir şekilde ortaya konulmalıdır. Kurumun/birimin/sürecin amaç ve hedefleri

net olarak belirlendikten sonra bu amaç ve hedeflerin gerçekleşmesini engelleyecek

durum, tehlike veya tehditler tespit edilmeli ve risk ona göre tanımlanmalıdır.

Belirsizlik: Gelecekte gerçekleşmesi muhtemel olayların olasılık ölçüsünü ve

etkisini önceden bilememeyi ifade eder.

Olasılık: Bir olayın gerçekleşme ihtimalini ifade eder. Olasılık kelimesi bazen

“yüksek, orta, düşük” gibi nitel ifadelerle, bazen de “yüzde, gerçekleşme sıklığı” gibi

nicel değerlerle ifade edilir.

Risk: Kurumsal amaçları olumsuz etkileyebilecek olayların gerçekleşme

olasılığını ifade eder.

Artık Risk: Yönetimin gerçekleşme olasılığını ve etkisini azaltmak için aldığı

önlemlerden sonra arta kalan riskleri ifade eder.

Risk İştahı: Kurumun, sahip olduğu misyon ve vizyonu doğrultusunda kabul

edebileceği geniş kapsamlı risk miktarını ifade eder. Başka bir ifadeyle yönetimin

herhangi bir önlem almanın gerekliliğine hüküm vermeden önce maruz kalmaya hazır

olduğu risk miktarıdır. Yönetimin kabul edilebilir olduğunu düşündüğü risk seviyesidir.

Risk kapasitesi: Bir kurumun olumsuz bir olayın etkisini atlatma kabiliyetidir.

Diğer bir deyişle kurumun ne kadar büyük bir sarsıntıya dayanabileceğidir. Risk

kapasitesi nakit miktarıyla, diğer kaynaklarla veya kredi imkanlarıyla ölçülebilir. Bir

kurumun risk kapasitesini bilmesi ne kadar riski üstlenmeye istekli olduğuna karar

vermesi açısından önemlidir.

Risk Toleransı: Belirli bir amacın başarılmasına yönelik olarak kabul

edilebilecek risk miktarını ifade eder. Başka bir ifadeyle risk toleransı hedefler etrafındaki

kabul edilebilir bir değişkenliği belirtir. Risk iştahı da, risk toleransı da risk almayla ilgili

sınırları belirtir ancak risk iştahı daha geniş kapsamlıdır.

Makul Güvence: Kurumsal risk yönetimi, ne kadar iyi tasarlanmış ve yürütülüyor

olursa olsun, kurumsal amaçların gerçekleştirilmesi hakkına mutlak güvence sağlayamaz.

Bunun sebebi kurumsal risk yönetiminin doğasında var olan (kalıtsal risk) ve

önlenemeyen sınırlardır.

Kurumsal Risk Yönetimi Süreci: Kurumda uygulanmakta olan kurumsal risk

yönetimi faaliyetlerini ifade eder.

Kalıtsal Risk: Yönetim tarafından herhangi bir önlem alınmaması durumunda

gerçekleşme olasılığının ve etkisinin değiştirilemeyeceği riskleri ifade eder.

Kalıtsal Sınırlamalar: Kurumsal risk yönetiminin doğasında var olan

sınırlamaları ifade eder. Bu sınırlar; 1) kişisel yargılar, 2) kaynak kısıtları ve bir kontrole

ilişkin maliyet-fayda analizi, 3) sistemin çökmesi ihtimali, 4) yönetimin sistemi

önemsememesi ve hileli davranması olarak sıralanabilir.

İç Kontrol: Bir kurumun yönetim kurulu, yöneticileri ve çalışanları tarafından

yürütülen ve 1. Faaliyetlerin etkinliği ve verimliliği, 2. Mali raporlamanın güvenilirliği,

3. Yasalara ve diğer düzenlemelere uyum amaçlarının gerçekleştirilebilmesi için makul

güvence sağlayan bir süreçtir.

İç Kontrol Sistemi: Kurumda uygulanmakta olan iç kontrol faaliyetlerini ve

süreçlerini ifade eder.

1.2. Risk ve Belirsizlik

Genel olarak risk, bilinebilen olasılıklar kapsamında rastlantısallık, belirsizlik ise

bilenemeyen olasılıklar kapsamında rastlantısallık olarak tanımlamıştır. Bu açıdan ele

alındığında risk, bir sonucun olasılığının belirlenebildiği ve böylelikle bu sonucun

sigortalanabildiği bir durumu ifade etmektedir. Belirsizlik ise tam tersi olarak,olasılığı

bilinemeyen bir olayı işaret ettiği için sigortalanamaz. Riskle belirsizlik arasında şöyle

bir ayrım yapılabilmektedir: Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları

çıkarabiliyorlarsa risk, uzmanlar bu konuda bir anlaşmaya varamıyorsa belirsizlik söz

konusudur. Risk, çoğu zaman istenmeyen bir olayın oluşma olasılığına ilişkin istatistiksel

verilere dayalı olarak ölçülebilen bir kavramdır. Belirsizlik, istatistiksel verilerin mevcut

olmadığı durumlarda kullanılan, ölçülemeyen bir kavramdır. Belirsizlik, bir olayın

oluşma olasılığının verilerle belirlenemediği durumları ifade eder.

Belirsizlik, olasılık dağılımı bilinmeyen, kontrol edilemeyen ve gelişigüzel olayları ifade

eder. Bir olay belirsiz ise, kontrol edilemeyen olayın olasılık dağılımı bilinmez; başka bir

ifade ile olaya ilişkin olasılık dağılımını çıkarabilecek geçmiş verilere sahip değilsek, olay

hakkında olasılık dağılımını tahmin edemeyiz. Risk, bilinen olasılık dağılımından ya da

mevcut verilerden yararlanarak belirlenebilen ve ölçülebilen gelişigüzel ve kontrolsüz

olayları ifade eder.

1.3. Risk, Tehdit ve Tehlike

Tehdit, bilinçli ya da bilinçsiz olarak potansiyel tehlikeye neden olabilecek faktörler ya

da olaylardır. Tehdit, bir kurumu potansiyel olarak riske açık hale getirecek eylem ya da

olaydır. Bir örgütte başarıyı engelleyebilecek veya zarara sebep olabilecek her şey bir

tehdit unsurudur. Tehlike, amaçların gerçekleştirilmesine olumsuz etkide bulunabilecek

olayların gerçekleşme olasılığıdır. Kurum amaçlar üzerinde ters etkiye sahip bu olaylar

değer yaratmayı engeller ya da mevcut değerin yitirilmesine neden olur. Tehlike,

örgütlerin amaçlarını zorlaştıran veya imkansız hale getiren yeni bir durum demektir.

Risk ve tehlike birbirine bağlı iki kavramdır. Tehlikelerin var oluşu riski yaratır.

Kurumsal Risk Yönetimi yaklaşımının geliştirilmesine kadar risk sadece olumsuzluk

olarak ve işletme amaçlarının başarılmasını tehdit eden bir tehlike olarak ele alınmıştır.

Risk, çeşitli tehlikelere maruz kalmaktan (açık olmaktan) kaynaklanan kayıpların veya

bozulmaların şiddeti ve olasılığıdır. Tehlikelerin dikkatle saptanması, analiz ve kontrol

edilmesi gerekir. İş Sağlığı ve Güvenliği Yönetim Sistemleri (TS 18001:2008 İSG)

kapsamında tehlike, “Mal, can ve çevre için potansiyel bir tehlike oluşturan malzeme,

durum veya aktivitenin karakteristiğidir.” şeklinde tanımlanmaktadır. Tehdit ve tehlike

kavramlarına yönelik olarak yukarıda belirtilen tanımlar ve açıklamalar incelendiğinde

genel olarak tehdit ve tehlike kavramlarının Kurumsal Risk Yönetimi yaklaşımı

çerçevesinde aynı anlamda algılandığı görülmektedir. Belirtilen tanımlarda hem tehdit

kavramının hem de tehlike kavramının kurum amaçları ve hedefleri üzerinde olumsuz

etkileri olan, amaçların ve hedeflerin gerçekleşmesini engelleyecek eylem, olay ve

durumlar olarak algılandığı ve tanımlandığı görülmektedir. Dolayısıyla Kurumsal Risk

Yönetimi yaklaşımı çerçevesinde tehdit ve tehlike kavramları; gerçekleşmesi beklenen ve

gerçekleşmesi durumunda kurumun amaçlarına ve hedeflerine ulaşmayı olumsuz

etkileyecek olan, kurum içi ve dışı faktörlerden kaynaklanabilecek eylem, olay ve

durumlar şeklinde tanımlanabilir. Bu kapsamda risk ise tehdit ve tehlikelerin amaçlar ve

hedefler üzerindeki olumsuz sonuçları veya etkileridir. Tehdit ve tehlikelerin

gerçekleşmesi sonucu kurumun karşılaştığı can, mal, müşteri ve imaj kayıpları, zararlar,

hukuka aykırı işlemler, yolsuzluklar, hatalı ürün ve hizmetler v.b. olumsuz sonuçlar

kurumun karşı karşıya kalabileceği riskleridir.

Riske neden olan tehditler/tehlikeler kurum içi faktörlerden doğabileceği gibi kurum dışı

faktörlerden de doğabilir. “Karşı karşıya kalınan risk, içsel ya da dışsal bir takım etkenlere

dayanıyor olabilir. Organizasyonun türüne, idari yapısına, faaliyet gösterdiği sahaya,

coğrafi bölgeye ve diğer pek çok faktöre göre maruz kalınabilecek iç ve dış etkenler

farklılık gösterecektir.”

1.5. Risk ve Kayıp

Risk daima bir çeşit kayıp olasılığını da içermektedir. Gerçekleşme olasılığı çok düşük

de olsa kaybın getireceği sonuçlara katlanılmak istenmediği için riskler yönetilmektedir.

Eğer kayıp olasılığı yoksa bu amacı, işi, faaliyeti ya da projeyi tehlikeye atmayacağından

risk hakkında endişe edilmez. Dikkat edilmesi gereken kayıp olasılığıdır.Her kurumun

temel amaçlarından birisi maddi ve gayri maddi her türlü varlık ve değerlerini öncelikle

korumak sonra da bunları artırmaktır. Kurumların maddi ve gayri maddi varlık ve

değerlerinin azalması ya da hedeflendiği şekilde artmaması birer kayıp ya da zarar olarak

tanımlanabilir. Bir yangın tehdidinin gerçekleşmesi sonucu yaşana can ve mal kayıpları,

kurum personelinin yapmış olduğu yolsuzluk ya da hırsızlık sonucu kurum gelirlerinin ya

da varlıklarının azalması, kilit personelin kurumdan ayrılması sonucu yaşanan müşteri ve

hasılat kayıpları, başarısız olarak yürütülen bir proje veya faaliyet sonucu oluşan zarar ve

bu zararla birlikte oluşan imaj kaybı gibi örnekler risklerin gerçekleşmesi sonucu

karşılaşılan kayıp ve zararlara örnek olarak verilebilir.

1.6. Risk ve Fırsat

Eylem, olay ve durumların negatif, pozitif ve bazen hem negatif hem pozitif etkileri

olabilir. Negatif sonuçları olan eylem, olay ve durumlar tehditler/tehlikelerdir. Fırsatlar

ise pozitif sonuçları olan olaylardır. Fırsat, amaçların gerçekleştirilmesine olumlu katkıda

bulunacak eylem, olay ve durumlardır. Fırsatlar değer yaratmaya imkan sağlayan veya

mevcut değerlerin korunmasını destekleyen eylem, olay ve durumlardır. Yönetimler

ancak bu fırsatları değerlendirerek belirledikleri strateji ve hedefler doğrultusunda yeni

fırsatlar yakalayabilirler.65 Ayrıca fırsatlar, tehditlerin amaçlar üzerindeki olumsuz

etkilerini dengeler. Gelecekteki eylem, olay ve durumların kurum için tehdit mi yoksa

fırsat mı olacağı bunlar gerçekleşmeden, önceden kesin olarak bilinemez. Zira tehdit

olarak tanımlanan ve amaçlara/hedeflere olumsuz etkisi olacağı düşünülen eylem, olay

ve durumların gerçekleşmesinden sonra sonuçlarının amaçlara/hedeflere olumlu etkisi

olabilir yani sonuçta kurum için bir fırsat olabilir. Ya da tehdidin olumsuz etkileri ile

birlikte olumlu etkileri de olabilir. Benzer şekilde amaçlara/hedeflere olumlu etkisi

olacağı düşünülen eylem, olay ve durumların gerçekleşmesinden sonra sonuçlarının

amaçlara/hedeflere olumsuz etkileri olabilir yani kurum için bir tehdit olabilir. Ya da

fırsatın olumlu etkileri ile birlikte olumsuz etkileri de olabilir. Eylem, olay ve durumların

amaçlar üzerindeki etkisinin olumlu ya da olumsuz olabileceğini Çince’deki ‘ideogram’

kelimesinin ikili anlam yapısı güzel bir şekilde izah etmektedir. “Çince’de her kelime bir

şekille anlatılırken ‘risk’ iki şekil yan yana getirilerek yazılır: Tehlike ve Fırsat.”

“Çince’de riskin karşılığı olarak kullanılan ‘ideogram’ kavramının hem fırsat hem de

tehdit anlamı taşıdığı ifade edilmektedir.”

1.7. Risk ve Olasılık

Olasılık, belirli bir olayın oluşma olasılığını ifade eden bir sayıdır.Bir başka tanımda

olasılık, bir olayın meydana gelme ihtimali ve ifadeler arasındaki mantıksal ilişki olarak

tanımlanmıştır. Olasılık, risk değerlendirme tekniklerinin çoğunda kullanılan önemli bir

niceleme ölçüsüdür. Belirli bir olayın gelecekte ortaya çıkma olasılığı geçmişte yaşanmış

tekrarlarla benzerdir. Riskin olasılığı, risk analizlerinde kullanılan iki parametreden

biridir. Risk analizinde, riskin büyüklüğünü ya da önemini riskin gerçekleşme olasılığı

ile gerçekleşmesi durumunda yapacağı etkinin şiddeti belirlemektedir. Riskin olasılığı ile

etkisinin birleşimi riskin kurum için önemini ya da büyüklüğünü göstermektedir. Bu

nedenle riskin gerçekleşme olasılığı, risk analizlerinde ve bu analizler sonucu risklerin

önem derecelerine göre önceliklendirilmesinde önemli bir unsurdur.

1.8. Risk ve Zaman

“Değişen ve küreselleşen dinamik işletme/kurum çevresinde zaman önemli unsurlardan

birisidir. Risklerin belirlenmesi sırasında zaman bileşeni de dikkate alınmaktadır. Zaman

belirsizlik ve kararsızlık açısından da önemlidir. Belirsizlik ve karmaşıklık zamanla

artmaktadır. Bu durum, riskleri de niteliksel olarak değiştirmekte, sayı ve tür olarak

artırmaktadır. Ayrıca risklerin yönetilmesinde harcanan zaman ve bu kapsamda yönetim

faaliyetlerinin etkililiği de önemlidir.” Gelecekte gerçekleşebilecek ve kurum amaçlarına

olumsuz etkileri (riskler) olabilecek eylem, olay ve durumların (tehditlerin)

belirlenmesinde ve gerçekleşme olasılıkları ile etkilerinin tahmin edilmesinde kullanılan

zaman aralığı önemli bir unsurdur. Kullanılan zaman aralığı ne kadar uzun olursa risklerin

belirlenmesi ve gerçekleşme olasılıkları ile etkilerinin tahmin edilmesinde isabet oranı o

derece düşük olacaktır.

Tahminin yapıldığı zaman aralığı, sonuçların kesinlik derecesini etkileyecektir. Tahminin

kesinlik derecesi ve güvenilirliği konusunda tahminin üretilmesi için öngörülen zamanın

önemli etkileri olacaktır. Yakın geleceği öngörmek daha kolaydır ve belirsizlik daha

düşüktür. Uzak gelecekteki olaylar hakkında karar verilirken belirsizlik ve belirsizlikten

kaynaklanan riskler ve fırsatlar daha fazladır. Uzun vadede olacaklar hakkında kestirimde

bulunulması, senaryoların geliştirilmesi, hayal gücünün kullanılması verilen kararlar

üzerinde etkili olacaktır. Uzun vadeli kararların içerdiği potansiyel riskler ve fırsatların

öngörülmesi, derin bir uzgörü, bilgi birikimi, deneyim, hayal gücü ve zeka gerektirir.

1.9. Risk ve Karmaşıklık

Bir olaydaki bileşen sayısı ve bileşenler arasındaki ilişkinin artması, olayın

karmaşıklığını arttırır. Bir olayın ya da durumun karmaşıklık derecesi, olası risk şiddetini

etkileyen bir faktördür. Sistem karmaşıklığı, sistem bileşenleri ve aralarındaki ilişkinin

sayısı ile tanımlanır.86 Yüksek teknolojik ürünler, yüksek karmaşıklığa sahiptirler.

Teknolojideki hızlı gelişmeler ürünlerin karmaşıklığını daha da artırmaktadırlar.

Kurumların ya da kurumların karşı karşıya kalabileceği eylem, olay ve durumların

karmaşıklığı arttıkça risk de artmaktadır. Kurumları etkileyen iç ve dış değişimler de

karmaşıklığı artıran bir faktördür. İster kurum içerisinden ister kurum dışından

kaynaklansın değişimlerin sayısı, niteliği ve hızı ne kadar fazla olursa kurumda yaratacağı

karmaşıklık da o derece fazla olacaktır. Artan karmaşıklık da potansiyel olarak risklerin

artmasına neden olacaktır.

Bu Bölümde Ne Öğrendik Özeti


Risk ve Belirsizlik


Risk ve Kayıp

Risk ve Fırsat

Risk ve Olasılık

Risk ve Zaman


Bölüm Soruları

S.1. Riskin Tanımı ve Temel Kavramlarını açıklayınız.

S.2. Risk ve Belirsizlik nedir?

S.3. Risk, Tehdit ve Tehlike nedir?

S.4. Risk ve Kayıp nedir?

S.5. Risk ve Fırsat nedir?

S.6. Risk ve Olasılık nedir?

S.7. Risk ve Zaman nedir?

S.8. Risk ve Karmaşıklık nedir?

S.9 Risk nedir?

a. Tehlikedir

b. Daima fırsattır

c. Kayıp olasılığıdır

d. Belirsizliktir

S.10 Olasılık nedir?

a. Bir durumun gerçekleşme ihtimalidir

b. Kesinliktir

c. Kayıptır

d. Belirsizliktir

Cevaplar: 9. c , 10.a

2.RİSK TÜRLERİ


Sistematik Risk

Piyasa Riski

Politik risk

Faiz oranı riski

Döviz Kuru Riski

Enflasyon riski

Yasal risk

Sistematik olmayan risk

Operasyonel risk

Yönetim riski

Finansal risk

Pazar riski

Kredi riski

Likidite riski

Sermaye yapısı riski


S-1. İş yerinizde iş kazalarını önlemek için ne tür tedbirler alınıyor?

S-2. Altın fiyatlarının artması kimin için olumlu kimin için olumsuz sonuç doğuru?


Konu Kazanım


edileceği veya

geliştirileceği

Sistematik Risk Sistematik Riski açıklar Sistematik Riski analiz

ederek

Sistematik olmayan risk Sistematik olmayan Riski

açıklar

Sistematik olmayan Riski

analiz ederek

Finansal risk Finansal Riski açıklar Finansal Riski analiz

ederek

Anahtar Kavramlar

Sistematik Risk


Finansal risk

KRY uygulamalarında sıklıkla tercih edilen risklerin sınıflandırılması aşağıdaki şekilde

yapılabilmektedir (Şekil 2.1.)

1) Stratejik Riskler: Orta ve uzun vadede kurum amaç/hedeflerini etkileyebilecek olan

risklerdir. Bunlar da kendi içinde politik, ekonomik, sosyal, teknolojik ve müşteri

kaynaklı olarak çeşitlendirilebilir.

2) Operasyonel Riskler: Günlük faaliyetlerin yürütülmesi esnasında yönetim ve

personelin karşılaştığı risklerdir. Bu riskler rekabete dayalı, fiziksel ve sözleşmeye dayalı

nedenlerle ortaya çıkabilirler.

3) Finansal Riskler: Finansal planlama, bütçe kontrolü, likidite sıkışıklığı veya yetersiz

izleme ve raporlama temelli risklerdir.

4) İtibar Riskleri: Kurum ünvanına/itibarına zarar verecek her türlü riski içerir.

5) Bilgi Teknolojileri Riskleri: Teknolojik eksikliklerden kaynaklanabileceği gibi fiziksel

bilişim araçları temelli de olabilir.

6) Düzenleme/Hukuki Riskler: Ulusal veya uluslararası düzenleme otoritelerinden, bu

otoritelerin çıkardığı düzenlemelerden/yasalardan kaynaklanabilecek risklerdir.

7) Birey Temelli Riskler: Profesyonel insan kaynağı yetersizliklerinden

kaynaklanabileceği gibi kilit personelin kaybından da kaynaklanabilir.

Yukarıda belirtilen risk sınıflarını kesin çizgiler ile birbirlerinden ayırmak doğru değildir.

Örneğin bir kredi riski, sonuçları itibari ile finansal risk, nedenleri itibari ile operasyonel

bir risk olarak algılanabilir. Uygulamada farklı kurumlar/sektörler ve bilim dalları içinde

pek çok risk sınıflandırması yapılmaktadır. Özel sektör işletmelerinde yaygın olarak

kullanılan bir başka risk sınıflandırmasına aşağıda Şekil 12’de yer verilmiştir:

Şekil 2.1. Risk Sınıflandırması Örneği

Şekil 2.2. İç ve Dış Kaynaklı Önemli Risk Faktörleri

Şekil. 2.3. Olaylar ve Riskler

2.1.Sistematik Risk

Sistematik risk, firmaların sahip oldukları varlıklar üzerindeki riski çesitlendirme yoluyla

azaltamadıgı, piyasanın genel ekonomik kosullarından kaynaklanan ve tüm firmaları

etkileyen risktir. Sistematik risk tanımından da anlasılacagı gibi tamamıyla dıs

etkenlerden kaynaklanan bir risk çesididir. Sistematik risk piyasa riski ve

çesitlendirilemeyen risk olarak da adlandırılır. Firmaların sistematik riski ortadan

kaldıramamasının ya da azaltamamasının nedeni ekonomik, sosyal ve politik kosullardaki

degismelerin, mevcut piyasadaki tüm menkul kıymetler üzerinde farklı oranlarda fakat

aynı dogrultuda etkili olmasıdır.

2.1.1.Piyasa Riski

Piyasalarda, bazen belirli bir nedenden, bazen de belirli bir nedeni olmadan kaynaklanan

ve bunun sonucunda da piyasalardaki yatırımcı firmaların finansal varlıklarının

fiyatlarının olumsuz etkilenmesi piyasa riski olarak adlandırılır. Piyasa riski potansiyel

kazanç ya da kaybın piyasa durumlarındaki faiz oranlarının, emtia fiyatlarının, hisse

senedi fiyatlarının gibi ekonomik ve finansal degiskenlerin degismesi sonucu ortaya

çıkmaktadır. Ayrıca piyasa riski yatırımcıların davranıslarıyla, beklentileriyle ve

tercihleriyle dogru orantılıdır. Çünkü piyasalardaki finansal varlıkların fiyatlarındaki

dalgalanmaların baslıca nedenleri arasında yatırımcıların beklentilerinde, davranıslarında

ve tercihlerinde yasanan degisimler yer almaktadır. Bu nedenle herhangi bir zaman aralıgı

olmadan ortaya çıkan bu riski en aza indirmek için piyasadaki firmaların denetimini, bilgi

alısverisini ve olusan bu süreci iyi koordine etmek gerekmektedir.

2.1.2.Politik risk

Politik risk, firmaların faaliyet gösterdigi ülkede veya bir baska ülkede meydana gelen

siyasi ve ekonomik krizlerin, savasların firmaların davranısları üzerinde olusturdugu etki

olarak adlandırılır. Güçlü hükümetlerin uygulamaları ve sivil toplum kuruluslarının

eylemleri tarafından tam ya da parça belirsizlikten kaynaklanan bu riske politik risk

denmektedir. Daha sık denizasırı ülkeler ile gelismekte olan ülkelerin özelligi olmasına

ragmen politik risk kavramı tanımının hem yurtiçi hemde uluslararası piyasalarda

geçerliligi kabul görmüstür. Politik risk unsurları, koruma girisimleri, kotalar, döviz

kurundaki dalgalanmalar ve yabancı sermaye yatırımlarıdır. Politik risk, hem yerel hemde

ulusal hükümetlerin eylemsizlikleri ve dogrudan eylemleri sonucu ortaya çıkmaktadır.

Eylemsizlikleri sonucu ortaya çıkan risk unsuru yasaların uygulanmasındaki

basarısızlıktır. Eylemleri sonucu ise izlemis oldugu siyasi, vergi, para, fiyat, ücret ve dıs

ticaret politikalarının piyasalardaki menkul kıymetler üzerinde olumlu ya da olumsuz etki

yaratmasıdır.

2.1.3.Faiz oranı riski

Faiz oran riski, kazanç veya sermaye faiz oranlarının degiskenliginden dogan bir risk

çesididir . Faiz oranı içindeki degiskenlik olumsuz yönde ise, yüksek faiz maliyetlerine

veya düsük yatırım getirilerine ve kayıplara veya daha az kar’a sebep olmaktadır.

Faiz oran riski, firmaların faize duyarlı varlıklarının (tahvil, bono, hisse senedi vb.) vade

açısından faiz oranlarının uyumsuzlugu sonucu da ortaya çıkabilmektedir. Firmalar vade

uyumsuzlugu risklerinden varlıklarını etkili bir izleme, takip etme sistemiyle

koruyabilmektedir. Piyasada faiz oranının yükselmesi firmaların varlıklarını deger

kaybına ugrattıgı gibi faiz oranının düsmesi ise varlıkların prim yapma ihtimalini artırır.

Bununla birlikte Sermaye Piyasası Teorisi kapsamında ele alınan risksiz faiz oranı da

piyasada faizlerin degiskenliklerine ters dogrultuda degiskenlik göstermektedir.

2.1.4.Döviz Kuru Riski

Sabit kur sisteminin terk edilmesiyle döviz kur riski ülkelere, endüstrilere ve firmalara

ciddi anlamda hem tehdit hem de fırsat sunarak önemli bir risk kaynagı haline gelmistir.

Kur riski, döviz kurundaki beklenmeyen degisimlerin firma üzerindeki etkisi olarak ifade

edilmektedir. Bir baska ifadeyle döviz kur riski, siyasi olaylar, ödemelerde çıkan sorunlar

gibi belirli nedenlerin ulusal para degerini etkilemesi sonucu ulusal para degerinin

yabancı para degeri karsısında olumlu ya da olumsuz degisim göstermesidir. Döviz kuru

harekeleri firmaların hisse senetlerinin piyasa degerini, nakit akıslarını, varlık ve

yükümlülüklerini ve net karını dogrudan veya dolaylı etkilemektedir. Firmaların döviz

kuru hareketlerinden etkilenmeleri için döviz kur riskine açık olmaları gerekmektedir.

Kur riskine açık olma, yabancı para cinsinden varlıklara ya da yükümlülüklere sahip olan

firmanın döviz fiyatlarındaki degismelerden etkilenmesi olarak ifade edilmektedir. Döviz

kur riski üç çeside ayrılır. Bunlar; islem, dönüstürme ve ekonomik olarak sıralanabilir .

İşlem riski: Firmanın nakit giris ve çıkıslarının döviz kurunda meydana gelen

dalgalanmalardan etkilenmesidir. Dogal olarak yabancı para cinsinden islem yapılması

sırasında ortaya çıkmaktadır.

Dönüstürme riski: Çok uluslu firmaların dönem sonu bilanço ve gelir tablolarının

konsolidasyonu esnasında ortaya çıkan bir risktir. İki bilanço tarihleri arasında kurlarda

meydana gelen degismelerin bilanço degerlerinde olusturdugu etkidir.

Ekonomik risk: Kurdaki degismelerin firmanın degerini ya da firmanın nakit akıslarını

etkilemesidir. Eger firma degerinde bir düsüs varsa buna baglı olarak firmanın nakit

akıslarında da bir sorun vardır. Firma dönüstürme riskine etki edemezken bu riske direkt

etki edebilmektedir bu yüzden firma degerini korumak için gerekli önlemleri almalıdır.

2.1.5.Enflasyon riski

Enflasyon fiyatların sürekli artması olarak tanımlanmaktadır. Enflasyon riski, menkul

deger yatırımı yapan firmaların ve kurulusların yatırım süresince elde ettikleri

getirilerinin enflasyondan etkilenme olasılıgıdır. Baska bir ifadeyle enflasyon riski,

yatırılan fonların gelecekteki satın alma gücünün belirsiz hale gelmesi olarak da

tanımlanabilir. Enflasyonda (fiyatlar genel düzeyinde) meydana gelen sürekli artıslar

paranın satın alma gücünü azaltmakta buna baglı olarak da firmanın yatırımını olumsuz

yönde etkilemektedir. Farklı türdeki varlıklar enflasyon riskinden farklı derecelerde

etkilenmektedirler; sabit getirili finansal varlıklar (tahvil ve bono) enflasyon riskinden

oldukça fazla etkilenirken, hisse senetlerinin enflasyon riskinden en az etkilenen finansal

varlılar oldugu varsayılmaktadır.

2.1.6.Yasal risk

Yasal risk, gerçeklesen satıs sonrası, kanuna aykırı olan bir anlasmanın

uygulamaya koyulamaması nedeniyle firmanın karsı karsıya kaldıgı risk sekli olarak

tanımlanabilir. Bu risk sekli firmalar arasındaki anlasmada belirtilen maddelerin

taraflardan biri tarafından karsılanmaması durumunda da ortaya çıkabilir. Yasal risk,

yargı ve düzenleme uygulamalarına maruz kalan risk olup finansal sözlesmelerde yaygın

olarak görülmektedir.

Yasal riskler, firmaların ve kurulusların hukuki danısmanlarının risk yönetimi ve üst

yönetimle yaptıgı görüsmeler sonucu gelistirilen politikalarla kontrol edilmeye

çalısılmaktadır. Firmalar ve kuruluslar herhangi bir anlasma yapmadan önce yapılacak

anlasmaların uygulanabilirligini analiz etmeleri gerekmektedir.

2.2. Sistematik olmayan risk

Sistematik olmayan risk, firmaya özgü nedenlerle ortaya çıkan bir risk çesididir. Bir

varlıgın getirisinin baska bir varlıgın getirisini etkilemedigi risk olarak da tanımlanır.

Bu risk, genel olarak firmanın ekonomik birimlerinin faaliyetlerine ve kararlarına baglı

olarak ve firmanın öz sermayesinde olusan deger kaybı nedeniyle ortaya çıkabilmektedi.

Ayrıca, yönetimin firmayla ilgili aldıgı kararlar, çalısanların greve gitmesi, hammadde

saglama imkanlarında ortaya çıkan sorunlar, teknoloji, üretim, pazarlama ve finansman

yapısı verimliligi, çevre düzenlenmesi ve hükümet kararları sonucu da ortaya

çıkmaktadır. Bu risk çesidini firmalar ve kuruluslar çok iyi çesitlendirilmis portföyle en

aza indirebilir hatta ortadan kaldırabilirler. Sistematik olmayan risk çesitleri; finansal risk,

operasyonel risk ve yönetim riskidir.

2.2.1.Operasyonel risk

Operasyonel risk, çalısanlardan kaynaklanan veya teknik hatalar sonucu ortaya çıkan ya

da kazalar sonucu olusan kayıplara iliskin risk olarak ifade edilebilir. Ürünün ortaya çıkıs

asamasından, ortadan kaldırılma veya dagıtımına kadar olan süreçte olusan insan

kaynaklı hatalar, bölümler arası iletisim kopuklugu, sistemden kaynaklanan sorunlar,

müsteriden kaynaklanan sorunlar, dogal afetler ve bunun gibi birçok nedenden

kaynaklanan sorunlar operasyonel riski olusturmaktadır ve firmaların bütün bölümleri bu

riskten sorumlu tutulmaktadır.

Firmalar iç kontrol sistemlerini karsılasabilecekleri risklerden korunmak ya da riskleri

fırsata çevirmek amacıyla gelistirmektedirler ama bu sürecin yetersiz veya basarısız

olması ya da yanlıs kullanılması operasyonel riskin ortaya çıkmasına neden olmaktadır.

Operasyonel risk; yalnızca operasyonel islemlerle ortaya çıkan risk çesidi degil süreçlerin

genelinde meydana gelecek herhangi bir aksaklıktır. Örnek verecek olursak; yapılan

muhasebe hataları, bilgilerin sisteme yanlıs kodlanması veya eksik girilmesi, çalısanların

firma araçlarını kendi amaçları dogrultusunda kullanmaları, çalısanların fiziksel ya da

fikri hırsızlık yapmalar gibi.

2.2.2.Yönetim riski

Firma yöneticilerinin hataları veya yanlıs kararları sonucu ortaya çıkan risk çesididir. Bu

riskte firma yönetiminin yapacagı hatalar firmayı dogrudan etkileyeceginden yatırımcının

firma hakkında bilgi edinmesinde bu risk çesidi önemli rol oynamaktadır. Firma

yönetiminin aldıgı kararlar ve uyguladıgı politikalar firmanın gelismesinde ve

büyümesinde olumlu ya da olumsuz etki yapmaktadır. Yönetim riski, basarı ya da

basarısızlıkta önemli rol oynayan yöneticilerin kalite düzeylerinden ortaya çıkmaktadır.

Bu nedenle firmaların basarılı olabilmesi için iyi bir yönetim kadrosuna sahip olmaları

gerekmektedir. Yönetim riski firmaları finansal olarak olumsuz etkileyebilmektedir.

Yöneticilerin hatalı kararları firmanın karlılıgını, piyasada ki etkinligini ve Pazar payının

azalmasına neden olmakta ve bunun sonucu olarak da firmanın hisse senedi deger

kaybetmektedir. Sistematik olmayan risk içinde finansal riskin mali tablolara

yansımasının daha çabuk olması ve bu risk çesitleri arasında en önemli yeri olusturdugu

için finansal risk bir sonraki bölümde daha ayrıntılı bir biçimde ele alınmaktadır.

2.2.3.Finansal risk

Finansal risk sistematik olmayan risklerden biri olup firmanın finansal yapısından dogan,

firma tarafından kontrolü saglanan ve portföydeki varlıkların çesitlendirilmesiyle

azaltılabilen ya da yok edilebilen risk çesididir. Finansal risk, fiyatlarda olusan

dalgalanmalar veya faiz oranlarındaki degisimler sonucunda firmaların aktiflerindeki ya

da pasiflerindeki varlıkların degerlerinin degismesi olarak ifade edilmektedir. Bu risk

çesidi, firmanın likiditesinin azalması, ekonomik ve çevresel kosullarda meydana gelen

degisimlerin firmanın finansmanını etkilemesi sonucu ortaya çıkmaktadır. Firmaların

temel fonksiyonu finansal risklerle ilgili öngörüleri tahmin etmek ve finansal riskleri aktif

sekilde yönetmektir.

Firma açısından finansal risk; pazar riski, kredi riski, likidite riski ve sermaye riski olarak

dört çeside ayrılır.

2.2.3.1. Pazar riski

Bu risk firmanın faaliyette bulundugu endüstri alanındaki arz ve talep degisiklikleri,

piyasadaki yasal sınırlandırmalar, firmanın pazar istek ve ihtiyaçlarına yeterince cevap

verememesi, uygun fiyatlandırma politikalarının izlenmemesi ve gereken pazar

arastırmalarının yapılmaması sonucu ortaya çıkmaktadır. Teknolojideki gelismelerin

gerisinde kalan firma pazar payını kaybetme riskiyle karsı karsıya kaldıgı gibi bu

gelismeleri yakından takip edip karsılasacagı riski fırsata da çevirebilmektedir.

Pazar riski firmadan kaynaklandıgı gibi firmanın dısında gelisen olaylar sonucu da ortaya

çıkabilmektedir. Firma dısında gelisen bu olaylar siyasi, spekülatif ya da psikolojik

faktörlerden kaynaklanabilir. Firmanın faaliyette bulundugu pazardaki müsterilerin

tüketim egiliminde ve tercihlerinde meydana gelen ani degismeler, ülkeler arası siyasi

krizler ve savaslar ya da faaliyette bulunulan ülkede iç savasın çıkması bu riskin firmanın

portföyünde bulunan varlıklarının üzerindeki etkilerine örnek olarak verilebilir.

Pazar riskini etkileyen bir baska faktörde enflasyon oranıdır. Enflasyon oranındaki

olası bir artıs firmanın yatırım kararlarının degismesine ve önceden yapılmıs olan

yatırımlardan gelecek getirilerin de etkilenmesine neden olacaktır. Firmanın elinde

bulundurdugu varlıkları ne ile (öz sermaye ya da borç) finanse ettigi de bu açıdan önemli

olacaktır. Firmalar bu risk çesidini farklı çesitlendirme yollarıyla azaltmaktadırlar.

Örnegin; enflasyon riskine maruz kalan firma finansmanında öz sermaye kullanımı yerine

borç kullanmayı tercih ederek bulundugu ülkenin para degerini elinde bulundurmaktan

kaçıp daha çok borçlanmayı seçmektedir. Bunun nedeni ise firma borçlanarak elde ettigi

kaynakları öz sermayesine aktararak ilerde karsılasacagı satın alma gücü riskini azaltmıs

olmaktadır. Özetleyecek olursak pazar riski firmalar açısından çift yönlü bir risktir.

Birinci yönü, bu risk firmanın bulundugu pazarın dogal yapısı geregi olusabilmekte ve

firmanın da bunun önüne geçemeyerek yalnızca daha fazla etkilenmemek için kendini bu

riske karsı koruması ve dogabilecek fırsatlardan yararlanmaya çalısmasıdır. _kinci yönü

ise, firmanın elinde bulundurdugu varlıkları nasıl finanse ettigi ve firmanın stratejik

kararlarının ne kadar dogru olup olmadıgı ya da iyi bir sekilde uygulanıp

uygulanmadıgıdır.

2.2.3.2. Kredi riski

Kredi riski, borçlu firmanın veya alacaklı firmanın yükümlülük anlasmalarını yerine

getirmemeleri üzerine ortaya çıkan risktir. Bu risk çesidi karsı tarafın kayıpla karsı karsıya

kalmasına neden olabilmektedir. Bu yasanacak kayıp meydana gelecek gerçek kayıptan

önce gerçeklesebilir. Daha genel olarak ifade etmek gerekirse kredi riski faktoring,

dogrudan kiralama ve vadeli finansman islemleri, bir menkul kıymetin ve kredi alım satım

olayına baglı olarak, firmanın piyasa degerinde karsılasması olası kayıplar olarak

tanımlanmaktadır. Kredi riski sadece vadesi gelen tutarın vadesinde ödenmemesi degil

kısmi ya da gecikmeli ödenmesini de içermektedir. Çünkü vadesi geldiginde ödenmeyen

tutar firmanın nakit akısını etkiler ve firmayı belirsizlige sürükleyebilir. Bununla beraber

firmalar kredi tahsis ettikleri kurulusların kredi derecelendirme notlarının belli bir

seviyenin altına düsmesi sonucu riskine de maruz kalabilirler. Riske maruz kalınan tutar,

kredi tutarı olsa da riskin gerçeklesmesi anında kayıp olarak nitelendirilir ve bu

nitelendirilen tutar hesaplanırken tutarın niteligi ve likiditesi göz önüne alınmalıdır.

Kredi riskinde firmaların ve kurulusların dikkat etmesi gereken bir diger hususta takas

riskidir. Bu risk döviz kurlarındaki degis tokusların yapılması sırasında sıkça karsılasılan

bir risk çesididir. Farklı zamanlarda farklı ülkelerden yapılan döviz degis tokusları bu

riski içermektedir. Örnegin; sabah Avrupa’da yapılan kredi teslimatlarının Amerika’da

ögleden sonra yapılıyor olması.

Kredi riskinin üç temel bileseni vardır. Bunlardan ilki, firmalar veya kuruluslardan birinin

basarısızlıga ugraması sonucu ortaya çıkan kayıp miktarıdır. İkincisi ise, taraflardan

birinin borcunu ödeyememesi ya da diger tarafın alacagını temin edememesi durumudur.

Bu durum taraflardan birinin sözlesme yükümlülügünü yerine getirememesi anlamına da

gelmektedir. Sonuncu bilesen ise, taraflardan birinin borcunu ödeyememesi durumunda

kaybedilecek kısmın bir kısmını kurtarma oranıdır. Bunları dikkate alarak finansal

firmalar ya da kredi veren kuruluslar kredi riski yönetimi sürecinde müsterileri hakkında

bilgi toplamalılar, onları bu bilgileri dogrultusunda finansal yeterliliklerine göre

derecelendirmeliler ve kredi portfolyosu degerlerini kapsamlı sekilde degerlendirmelidir.

Sonuç olarak kredi riskiyle karsı karsıya kalmak istemeyen firmalar ya da kuruluslar

yapmıs oldukları sözlesme yükümlülüklerini yerine getirmek ve planlanmıs geri ödeme

çizelgelerine uymak zorundadırlar.

2.2.3.3. Likidite riski

Likidite risk, firmanın su anki ve gelecekteki nakit akıslarının ve firmanın ekonomik

durumunu ya da günlük operasyonlarının etkisi olmadan ortaya çıkan ek ihtiyaçlarını hızlı

ve verimli bir sekilde karsılayamıyor olması riskidir. Bu risk bireysel stoklarda (hisse

senetlerinde) ve piyasa içinde genel olarak degisiklik göstermektedir. Örnegin, piyasa

likiditesinin olmaması ihtimalinin yatırımcı açısından büyük risk kaynagı olusturmasıdır.

likidite riski, firmanın borç yükümlülüklerini yerine getirememesi riskiyle karsı karsıya

kalmasıdır. Borçların temerrüdünün veya alacakların degersiz hale gelebileceginin

önemsenmemesi nakit ihtiyacının önemini arttırır. Bu ihtiyaç duyuldugu zaman firmanın

finansmanındaki varlıklar arasından en uygun olan alternatifi seçme ihtimalide ortadan

kalkmaktadır. Nedeni ise firma alternatif varlık (tahvil, pay senedi vb.) seçmek için belli

bir süreye ihtiyaç duymaktadır. Firmanın varlıklarını istedigi anda nakite çevirememesi

riskine varlık likiditesi, nakit akımından meydana gelen riske de fon likiditesi riski

denmektedir.

Varlık likidite riski, piyasa likiditesi olarak da ifade edilmektedir. Örnegin, güçlü dövizler

olsun hazine bonosu olsun bunlar düsük fiyatla likidite edildigi için derin piyasaya

sahiptirler. Tezgah üstü türev araçları veya hisse senetlerindeki islemler fiyatlar üzerinde

yüksek etki oranına sahiptir. Tabi bu firmanın aldıgı pozisyonun bir parçasıdır. Nakit

akım likidite riski ise, kayıt altındaki kayıpları tahakkuku saglanmıs kayıplara dönüstüren

ödeme yükümlülüklerindeki yetersizligi ifade etmektedir. Bu fonlama riski nakit akım

ihtiyaçlarına uygun belirli programların ve çesitlendirilmelerin yapılması, olusan nakit

akım aralıklarına belirli sınırların konulmasıyla ve nakit akımdaki daralmaların

giderilmesine iliskin uygun yöntemlerin kullanılmasıyla control edilebilmektedir.

Firmanın bilançosu ne kadar büyük olursa ya da karmasık hale gelirse ve sermaye

piyasalarında fon ihtiyacı ne kadar artarsa, firma için likidite riskini yönetmek de o kadar

karmasık ve zor hale gelmektedir. Bu nedenle firma yönetimleri likidite ihtiyaçlarını iyi

belirlemeli ve yüksek maliyetli fon seçiminden ya da paraya çevrilme gücü düsük

varlıklardan onları uzak tutacak gerçekçi bir planlama yapmak zorundadırlar.

2.2.3.4. Sermaye yapısı riski

Firmalar sermaye yapılarını öz sermaye ya da borç kullanarak olustururlar. Bu olusum öz

sermaye ve yabancı kaynakların firma finansmanındaki dagılımını ifade etmektedir.

Firmaların sermaye yapıları seçimleri firmanın büyüklügü, faaliyet gösterdigi pazarın

özellikleri, sahip oldugu varlık yapısı ve makroekonomik kosullar gibi etkenlere göre

degismektedir.

Firma yöneticilerinin, firma varlıklarını yönetmekte izledikleri stratejiler ve aldıkları

kararlar firmanın degerinin artmasında ve finansal yapısında önemli rol oynamaktadır.

Alınacak yanlıs bir karar ya da uygulanacak yanlıs bir strateji firmayı iflas riskiyle

dolayısıyla da sermaye riskiyle karsı karsıya bırakabilir. Firma yöneticileri burada

firmanın degerine deger katacak, kullandıgı kaynakların maliyetini düsük tutacak, istek

ve ihtiyaçlarına en yüksek seviyede cevap verecek ve karsılasacagı riskleri en aza

indirecek bir optimum sermaye yapısı olusturmalıdırlar. Kurumsal finans literatüründe de

ana konu firmaların optimum sermaye yapısı düzeylerinin belirlemeleridir. Optimum

sermaye yapısı, risk ile karlılık arasındaki dengeyi saglamaktadır. Bu sermaye yapısı

firmaların ekonomik güçlerine, büyüklüklerine ve faaliyet gösterdigi alanın yapısına göre

firmadan firmaya degismektedir. Sermaye yapısı ne kadar saglam ve güçlü olursa finansal

açıdan firmalarda o kadar rahat etmekte ve riskten o kadar uzaklasmaktadır. Sermaye

yapısı eger gereginden fazla borçla olusturulmus ise firmanın sermaye yapısı riskini dogal

olarak yükseltmekte ve firma karlılıgını olumsuz etkilemektedir. Eger düsük oranda borç

kullanılmıs ise firmanın karı yükselmekte ve firma yükümlülüklerini tam zamanında

yerine getirmektedir.

Özetle firmanın olusturmus oldugu sermaye yapısı firmanın karsılasacagı Pazar riskini,

kredi riskini, likidite riskini ve firma riskini etkilemektedir ya da bu risklerden

etkilenmektedir. Bu nedenle firmalar sermaye yapılarını olustururken bu etkenleri

degerlendirerek yapacakları yatırımlara ve bu süreçte yatırımlardan bekledikleri getirilere

iliskin uygun kararları almalı ve bu kararları iyi bir sekilde uygulamalıdırlar.


Sistematik Risk

Piyasa Riski

Politik risk

Faiz oranı riski

Döviz Kuru Riski

Enflasyon riski

Yasal risk


Operasyonel risk

Yönetim riski

Finansal risk

Pazar riski

Kredi riski

Likidite riski

Sermaye yapısı riski

Bölüm Soruları

S.1. Sistematik Risk nedir açıklayınız?

S.2. Piyasa Riski nedir açıklayınız?

S.3. Politik risk nedir açıklayınız?

S.4. Faiz oranı riski nedir açıklayınız?

S.5. Döviz Kuru Riski nedir açıklayınız?

S.6. Enflasyon riski nedir açıklayınız?

S.7. Yasal risk nedir açıklayınız?

S.8. Sistematik olmayan risk nedir açıklayınız?

S.9 Hangisi bir sistematik risk değildir?

a. Piyasa riski

b. Politik risk

c. Yönetim riski

d. Yasal risk

S.9 Hangisi bir sistematik olmayan risktir?

a. Piyasa riski

b. Politik risk

c. Yönetim riski

d. Yasal risk

Cevaplar: 9. c , 10.c

3. RİSK YÖNETİM SÜRECİ


Risk Yönetimi ve Önemi

Risk Yönetiminin Amacı ve Kapsamı

Risk Yönetimi Süreci

Risk Yönetiminde T Yaklaşımı

Risk Alma Eğilimlerine Göre Risk Yönetim Türleri

Entegre/Bütünelşik Risk Yönetimi

Stratejik Risk Yönetimi ve Planlaması


S-1. Evinize hırsız girmemesi için hangi tedbirleri alıyorsunuz?

S-2. Bilgisayarlarda antivirüs programlarına neden gerek var?


Konu Kazanım


edileceği veya

geliştirileceği

Risk Yönetimi ve Önemi Risk Yönetimi ve Önemini

açıklar

Risk Yönetimi ve Önemini

analiz ederek

Risk Yönetimi Süreci Risk Yönetimi Sürecini

gerçekleştirir

Risk Yönetimi Sürecini

uygular

Anahtar Kavramlar








3.1.Risk Yönetimi ve Önemi

Risk; kurumların hedeflerine ulaşmasını tehlikeye düşüren, beklenmedik olaylar olarak

tanımlanabilir. Risklerin kaynağı, kurumun faaliyet gösterdiği çevredeki belirsizlikler ve

gelecekteki bilinmeyen olaylardır. Bu olayların kurum için olumlu ya da olumsuz etkileri

olabilmektedir. Bu nedenle her kurum faaliyetlerini sürdürebilmek için bu olayları

öngörmek, olumlu etkisi olan fırsatları kurumun lehine kullanmak, olumsuz etkisi olan

riskleri ise çeşitli yöntemlerle yöneterek kurumu hedefleri doğrultusunda ilerledikleri

yolda tutmak zorundadır. Günümüzde yönetime en fazla güçlük çıkaran sorun, değer

yaratma sürecinde kurumun ne kadar risk üstlenmeye hazır olduğuna karar verebilmektir.

Bu kararı verebilmek için kurumun iyi bir risk yönetim sürecini yerleştirmiş olması

gerekmektedir. Risk sonucun tahmin edilemez olmasıdır ve iyi bir risk yönetimi kuruma

şunları sağlar:

• Kurumun istediği sonucu elde etmesine artan güven

• Tehditleri kabul edilebilir seviyede sınırlamak

• Fırsatlardan yararlanma konusunda elde edilen gerekli bilgiye dayanarak kararlar almak

• Paydaşların kurumun yönetimine ve hüküm verme yeteneklerine olan güvenlerinin

artması

Risk yönetimi, iyi yönetimin ve karar almanın ayrılmaz bir unsurudur. Tüm kurumlar fark

etseler de etmeseler de risk yönetimi yaparlar. Kimi kurumlar risk yönetimini daha

ciddiye alır ve sistematik bir biçimde uygular. Bazıları ise bir sistem olarak

algılamamakla birlikte günlük kararları alırken ve kurumu yönetirken riskleri de

yönetirler.

Risk yönetimi ise kurumun hedeflerine ulaşmasını engelleyecek risklerin belirlenmesi,

azaltılması ve başarıya ulaşılmasını sağlayacak fırsatların ortaya çıkarılarak kullanılması

sürecidir.

Günümüz dünyasının giderek karmaşıklaşan yapısı ve artan değişim, karşılaşılan riskleri

ve bunların etkilerini durmaksızın artırmaktadır. Risk yönetimi, iyi yönetimin ve karar

almanın ayrılmaz bir unsurudur. Tüm kurumlar farketseler de etmeseler de risklerini

yönetirler. Genel bir bakış açısıyla bakılacak olursa risk yönetimi; riskin tanımlanmasına,

analizine, değerlendirilmesine, mücadele edilmesine ve izlenmesine ilişkin yönetim

politikalarının, prosedürlerinin ve uygulamalarının sistematik bütünü olarak

tanımlanabilir. Risk yönetimi ile riskli bir durumun yaratacağı olumsuz etkilerin en aza

indirilmesi ya da pozitif sonuçlarının mümkün olabildiğince fazlalaştırılması sağlanmaya

çalışılır. Gelecekteki olayların kurum için olumlu ya da olumsuz etkileri olabilmektedir.

Bu nedenle her kurum, faaliyetlerini sürdürebilmek için bu olayları öngörmek, olumlu

etkisi olan fırsatları kurumun lehine kullanmak, olumsuz etkisi olan riskleri ise çeşitli

yöntemlerle yöneterek kurumu hedefleri doğrultusunda ilerledikleri yolda tutmak

zorundadır. Bunun için kurumların iyi bir risk yönetim sürecine sahip olmaları

gerekmektedir.

Şekil 3.1. Risk Yönetim Süreci

Şekil 3.1‟e göre risk yönetim süreci aşağıdaki aşamalardan oluşmaktadır :

i. Kurumsal hedefleri anlama.

ii. Risk yönetim misyonunu tanımlama (hedef ve politika belirleme).

iii. Risk ve belirsizliklerin değerlendirilmesi (tanımlama, analiz ve ölçme).

iv. Risk kontrolü (ortadan kaldırma, kaçınma, azaltma, önleme ve yönetme).

v. Risk finansmanı (riskin finansal sonuçlarının ölçümü ve değerlendirmesi).

vi. Program yönetimi (uygulama tedbirleri geliştirme, inceleme ve izleme).

Risk yönetimin ilk defa uygulanacağı kurumlarda kurumsal yapı sistemin uygulanmasına

imkân verecek biçimde şekillendirilmektedir. Bu aşamada sorumlular ve sorumluluklar

belirlenmekte, iletişim yapısı uygun hale getirilmekte ve gerekli fiziki donanım

sağlanmaktadır.Risklerin yönetimi için kurum strateji, süreç, personel, teknoloji ve bilgi

birikiminin birlikte hareket etmesi gerekmektedir.

Risk yönetimin amacı gelecekte kuruma zarar verme olasılığı olan olayları ve olayların

meydana gelmesi durumunda ortaya çıkacak olumsuz sonuçları azaltmak, olası

sonuçlarda meydana gelebilecek sapmaları kontrol etmek, fırsatların önceden farkına

varılmasını sağlayarak kurum için avantaja dönüştürülmesine öncülük etmek, risk

yönetim sonuçlarına yönelik farkındalığı artırmak ve hedeflere ulaşılmasını sağlayıcı

süreçleri koordine etmektir. İyi bir risk yönetim sistemi kurumun; istediği sonuçlara

ulaşma güvenini artırır, tehditleri kabul edilebilir bir seviyede etkili bir şekilde tutmasını

ve fırsatları kullanarak bilinçli karar almasını sağlar.

3.2.Risk Yönetiminin Amacı ve Kapsamı

Risk yönetimi, karar vericilerin riski azaltmak veya ortadan kaldırmak üzere

yararlandıkları bir yoldur. Risk yönetim süreci, herhangi bir durum için en uygun eylem

biçiminin seçimi ve tanımlanmasında yönetici ve personele sistematik bir mekanizma

sağlamaktadır.108 Risk yönetimi, riski iyi tanımak, doğru teşhis etmek, bertaraf etmenin

yollarını aramak ve minimize ederek transfer edebilmek süreçlerinden oluşur.

Belirsizliğin yarattığı bir sis perdesi mevcuttur ve risk yönetim modelleri, risklerin sistem

boyunca iletişiminin sağlanmasını sağlayan bir mekanizma oluşturur. Bir risk yönetimi

sistemi, bir modeldir; risklerin tanımlanması, sınıflandırılması, analiz edilmesi ve

bunların sonucunda riske karşı bir tepki verilmesi için bir araç sunar. Risk yönetimi,

bireyleri ve örgütleri aydınlatmak suretiyle çok çeşitli kaynaklardan gelebilecek risklere

karşı uyarmaya ve bu alanlardaki kontrolü artırmaya yönelik önlemler dizisi olarak

anlaşılabilir.

Risk yönetimi, risk/kazanç dengesinin şirket üst yönetiminin risk alma profiline uygun

olarak oluşturulmasıdır. Şirketler iktisadi olarak “kar” elde etmek amacı ile

kurulmaktadır. Ancak bu karı elde edebilmek için belirli risklerin alınması gerekmektedir.

İşte risk yönetimi, arzu edilen kar miktarına ulaşabilmek için hangi risklerin, ne ölçüde

alınması gerektiğini belirleyen ve bu sürecin planlandığı şekilde gerçekleşmesini güvence

altına almayı hedefleyen bir sistemdir. Risk yönetimi, bir yönetim aracıdır. Kurumun arzu

ettiği risk/kazanç dengesine ulaşması amacında kullanılan bir araçtır. Risk yönetimi

tanım olarak, riskin tümüyle engellenmesi değil, sorunlara sistematik ve dikkatli bir

şekilde yaklaşılması ve almaya karar verilen risklerin dikkatli yönetimi yoluyla gereksiz

kayıpların engellenmesi anlamına gelmektedir. Başarılı bir risk yönetimi için örgütlerin

varlıklarına ve hedeflerine yönelik riskleri belirlemek, analiz etmek, kontrol altında

tutmak ve izlemek gerekmektedir.

Risk yönetim politikası aşağıdaki bölümleri içermelidir:

Risk yönetimi ve iç kontrol hedefleri (yönetişim)

Kurumun riske karşı davranış tarzının beyanı (risk stratejisi)

Risk farkındalığı kültürünün veya denetim ortamının açıklaması

Seviye ve mahiyeti kabul edilebilir risk (risk iştahı)

Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski

mimarisi)

Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme)

Risk analizi ve raporlama için belgeler listesi (riski protokolleri)

Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi)

Risk yönetimi rollerinin ve sorumluluklarının tahsisi

Risk yönetimi eğitim konuları ve öncelikleri

Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama)

Risk yönetimi için uygun kaynakların tahsisi

Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri

3.3.Risk Yönetimi Süreci

Risk yönetim fonksiyonunun rolü: risk yönetim strateji ve politikalarını belirlemek;

stratejik ve operasyonel düzeyde risk yönetimi sağlamak; risk farkındalık kültürü

oluşturmak, buna yönelik eğitimleri koordine etmek; iş birimlerine yönelik risk politika

ve yapıları oluşturmak; risk yönetimi için süreçleri tasarlamak ve yeniden gözden

geçirmek; kurum içinde risk yönetimini geliştirici faaliyetleri koordine etmek; acil durum

ve iş süreklilik programları dâhil olmak üzere risk tutumlarını geliştirmek ve yönetim

kurulu ve paydaşlar için rapor hazırlamaktır.

Risk yönetimi, belirsizlikleri ve belirsizliğin yaratacağı olumsuz etkileri daha kabul

edilebilir bir düzeye indirgemeyi sağlayan bir disiplindir. Problemlerin oluşmadan

önlenmesini sağlayan proaktif bir yaklaşımdır. Kurumların başarıları, problemleri

oluşmadan önleyebilmeleri ile doğrudan ilişkilidir. Öngörülebilen potansiyel problemler

ya da riskler mercek altına alınarak kurumun ya da programın başarısına olumsuz etkileri

en aza indirgenmelidir. Risklerin öngörülmesi ve azaltılması çalışmaları yalnızca

problemlerin oluşmadan önlenmesini sağlamakla kalmayıp önemli fırsatları da yakalama

olanağı sunacaktır. Beklenmedik bir olayla karşılaşma anında baş edilmesi gereken tek

sorun, olayın üstesinden gelmek değildir. Aynı anda, olayın üstesinden gelecek

stratejilerin ve yolların da belirlenmesi gerekir.

Risk yönetimi için kapsamlı, uygun ve iyi planlanmıŞ bir stratejiye ihtiyaç vardır. Risk

yönetimi kurum stratejisi ve stratejinin uygulanması kapsamında iŞleyen ve gelişen

sürekli bir süreç olmalı ve kurum kültürüne etkili plan ve programla üst yönetim

tarafından entegre edilmelidir. Kurumun dünkü, bugünkü ve özellikle gelecekteki

faaliyetleri kapsamında tüm riskler değerlendirilmelidir. Stratejiler uygulama hedeflerine

dönüştürülmeli ve kurum yönetici ve çalışanlarının iş alanlarındaki risk yönetim

sorumlulukları belirlenmelidir.Sorumluların hesap verme sorumluluğu ve performans

ölçümü, kurumun her seviyesinde etkinliği artırmak amacıyla, risk yönetim sistemince

desteklenmektedir. Riske yönelik bireysel ya da grup yaklaşımının biçimlenmesinde son

edinilen deneyimler ve kurumun ödül veya ceza sistemi etkili olmaktadır.

Şekil 3.2. Risk Yönetim Sürecinin Sürekliliği

Şekil 3.3. ISO 31000’e göre Risk Yönetim süreci

Tablo 3.1. Risk Analizi ve Yönetim Modeli

Şekil 3.4. 3*3 Risk Matrisi

Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle

dikkate alınır. Her kurum risk iştahına dayalı olarak riskleri azaltmak ya da kabul edilebilir

seviyeye getirmek için çeşitli yöntemler kullanır . Her kurum farklı bir yöntem kullanabilir;

ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3

(yüksek-orta-düşük) matrisini kullanmaktadır.

Bazıları da 5*5 (önem derecesi çok düşük, önemsiz, makul, önemli, feci (yıkıcı)) matrisinin

daha iyi sonuç verdiğini düşünerek bunu tercih etmektedir

Şekil 3.5. 5*5 Risk Matrisi

Risk analiz süreci tamamlandıktan sonra kurumun risk kriterleri ile risk tahminlerinin

karşılaştırılması gerekir. Risk kriterleri ilgili maliyet ve faydaları, yasal gereklilikleri,

sosyoekonomik ve çevresel faktörleri, paydaşların kaygılarını vb. unsurları içerir

Kurumsal risk yönetim sürecinde birçok kurum risk etki ve olasılık haritası oluşturmaktadır.

Haritalarda risklerin aynı zamanda aynı alana koyulduğunda nasıl göründüğü de analiz edilir.

Bu basit bir uygulama gibi görünse de sonuçları etkileyici olabilir. Risk haritalama aynı

zamanda kurumun risk tutumu belirlemesine yardımcı olmaktadır.

Haritalamanın önemi, tarafların risklere yönelik ortak aklını yansıtmasıdır. Risk haritaları

aynı zamanda risklerle ilgili önemli bilgileri içermektedir. Olasılık değerlendirmesi

yapılırken kurumsal risk yönetim personeli çeşitli ölçekler kullanabilir. Örneğin: düşük, orta,

yüksek; olanaksız, olası, büyük olasılık; kesin ve önemsiz, muhtemel, kuvvetle muhtemel vb.

şeklinde. Aynı şeyler risk etki değerlendirmesi için de geçerlidir: düşük, orta ya da yüksek

etki; az, orta, kritik ya da hayatta kalma

Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle

dikkate alınır. Her kurum risk iştahına dayalı olarak riskleri azaltmak ya da kabul edilebilir

seviyeye getirmek için çeşitli yöntemler kullanır.Her kurum farklı bir yöntem kullanabilir;

ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3

(yüksek-orta-düşük) matrisini kullanmaktadır

Risk yönetimi, kurum hedeflerini destekleyerek kurumu ve paydaşlarını korumakta ve

onlara değer katmaktadır. Sistem kurum hedeflerini desteklerken, kurumun gelecekteki

faaliyetlerinin tutarlı ve kontrollü bir şekilde oluşumu için bir çerçeve sunar; karar alım

süreçlerinin iyileştirilmesine, kapsamlı ve yapısal iş alanlarının planlanması ve

önceliklendirilmesine yardımcı olur; sermaye ve kaynakların daha verimli kullanımına,

kurum imaj ve varlıklarının korunması ve geliştirilmesine katkı sağlar; personel ve kurum

bilgi tabanını geliştirir ve destekler; kurumun çalışma alanındaki sert kayıp ya da

dalgalanmaları azaltır ve kurumsal etkinliği ve verimliliği artırır.

Kötü olan risk değil, riskin anlaşılmaması, yanlış değerlendirilmesi, yönetilememesi ve

göz ardı edilmesidir. İyi bir risk yönetim sistemi ileriye yönelik karar alımında ve

yönetiminde kurum yöneticilerine yardımcı olmakta ve sadece kayıpların önlenmesi ya

da azaltılması değil, aynı zamanda değer katıcı fırsatların fark edilmesini sağlamaktadır.

Bu ifadelendirmelere ilişkin değerlendirmelere Tablo 3‟de yer verilmektedir.

3.4.Risk Yönetiminde 4T Yaklaşımı

4T Yaklaşımı, risk yönetimini “Tespit, tahlil, tedbir ve takip” olarak dört aşamada

anlatmaktadır.

3.4.1.Tespit / Belirleme

Risklerin belirlenebilmesine işletmenin çevresini iyi tanımakla başlanmaktadır.

İşletmenin faaliyetini sürdürdüğü yasal, ekonomik, kültürel ortam ve içinde bulunduğu

pazar analiz edildikten sonra işletmenin stratejik ve operasyonel hedefleri doğrultusunda

temel riskler ortaya konulmaktadır. Deneyimler ve çevreden elde edilen bilgi

çerçevesinde sistematik ve sistematik olmayan riskler genel olarak belirlenmeye çalışılır.

Riskler tespit edilirken tehlikelerin yanında fırsatlar da belirlenmektedir.

Şeki 3.6. Risk ve Fırsatların Amaçlar Üzerindeki Etkisi

3.4.2.Tahlil / Analiz

İşletme içerisindeki alt birimler ve farklı birimlerden oluşmuş gruplar belirlenen risklerin

olası etkilerini inceler. Tahlil aşamasında tüm iştirakler, orta ve üst kademe yönetiminin

katılımı ile workshoplar, olasılık-etki analizleri ve anketler uygulayarak riskleri tahlil

eder ve önceliklerini belirler. Riskleri belirlemek için kullandığımız başlıca araçlar; risk

haritaları, risk göstergeleri, iç değerlendirme, geçmiş kayıp verileri, workshoplar, dış

denetim ve mevzuat gereklilikleri, en iyi uygulamalar ve yasal yükümlülükler olarak

sayılabilmektedir.

Bu aşama, riskin yerine geçebilen çeşitli araçları analiz etmeyi de içermektedir. Tahlil

aşamasının önemli özelliği, risk yönetimi aracının fayda-maliyet analizinin doğru

yapılmasıdır. Örneğin, işletmenin döviz kuru riskine karşı türev araçlardan faydalanarak

güvenlik önlemleri alacağını farz edelim. İlgili türev aracın fiyatı ile riski azaltma

yönündeki faydaları analiz edilebilmelidir.

3.4.3.Tedbir / Uygulama

Tedbir aşaması, mevcut risk yönetimi seviyesinin belirlenmesi ve gerekirse yeni risk

karşılama stratejilerinin oluşturulmasıdır.43 En uygun çözümün seçilip uygulanması bu

aşamadadır. Risk yönetiminde en çok istenen, sorunları gerçekleşmeden önce belirleyip

ortadan kaldırmaktır. Fakat bu her zaman mümkün değildir. Belirlenen risklerin meydana

gelme olasılığı ve etkisinin en aza indirgemesini sağlayan faaliyetler planlanıp

uygulanmaktadır.

3.4.4.Takip / Performans Ölçümü

Riski ölçmek, riski yönetmenin esaslı bir parçasıdır. Şeffaf ve güvenilir risk yönetim

yapısının oluşturulmasının ardından, risk politikaları ve prensipleri dahilinde, risk

karşılama etkinliğinin periyodik ve sistematik takibi yapılmaktadır. İşletmelerin kurmuş

oldukları risk yönetimi yapılarında riskleri tamamen ortadan kaldırmaları mümkün

olmamaktadır. Bu nedenle kabul edilebilir seviyedeki risk izlenmektedir. Takip

aşamasında ölçümlenen risk, ‘sayılabilen risk’ olarak adlandırılmaktadır.

Takip aşamasında cevaplarını aradığımız sorular aşağıdaki gibidir:

Teşhis edilip ortaya çıkarılan ölçümler doğru mu?

Risk yönetimi araçları kullanışlı mı?

Fayda-maliyet analizleri uygun şekilde değerlendirilmiş mi?

Beklenmedik sonuçlarla karşılaşıldı mı?

İlgili deneyimlerden neler öğrenilebilir?

Risk yönetimi kalitesi nasıl geliştirilebilir?

S.1.

3.5.Risk Alma Eğilimlerine Göre Risk Yönetim Türleri

Riske karşılık vermenin amacı tehditleri sınırlayarak ve fırsatlardan fayda sağlayarak

belirsizliği kurumun menfaatine çevirmektir. Kurum tarafından, riski yönlendirmek için

yapılan her faaliyet, “iç kontrol” olarak bilinen kavramın bir parçasını oluşturur. Riske

karşılık vermenin beş temel yolu vardır: riski kabul etmek, riski azaltmak, riski transfer

etmek, riskten kaçınmak ve diğerlerinin bir alternatifi olmayıp tüm risklerde

değerlendirilmesi gereken fırsatların gözetilmesidir.

Şekil 3.7. Riske Karşılık Verme Seçenekleri

3.5.1. Riski Kabullenme / Göze Alma

Maruz kalınan risk herhangi bir karşılık vermeye gerek olmaksızın katlanılabilir olabilir.

Katlanılabilir olmasa bile bazı risklerle ilgili önlem alma kabiliyeti sınırlı olabilir veya

herhangi bir faaliyette bulunmanın maliyeti kazanılacak potansiyel yarara göre orantısız

olabilir. Böyle durumlarda riske verilecek karşılık, riskin var olan düzeyine katlanmaktır.

Tabi ki bu seçenek risk gerçekleşirse etkisiyle başa çıkabilmek için acil durum planlarıyla

tamamlanmalıdır. Bunun dışında içinde doğası gereği belirli bir oranda tehdit bulunduran

risklere diğer riske karşılık verme seçeneklerinden biri veya birkaçı uygulandıktan sonra

geriye bir miktar risk kalacaktır. Artık riskler; yapısal risklere karşılık verildikten sonra

kalan risk miktarıdır ve kurum her halükarda bu riskleri kabul etmek durumundadır.

3.5.2.Riskten Kaçınma / Faaliyetten Vazgeçme

Bazı riskler sadece faaliyete son verilerek kabul edilebilir seviyede sınırlandırılabilir.

Şuna dikkat edilmelidir ki faaliyete son verme seçeneği özel sektörle karşılaştırıldığında

kamu sektöründe ciddi biçimde sınırlı olabilir; birkaç faaliyet kamu sektörü tarafından

yürütülür çünkü bağlı riskler o kadar yüksektir ki toplum yararı için istenen çıktının veya

gelirin elde edilmesinin başka yol yoktur. Bu seçenek özellikle tahmini fayda – maliyet

ilişkisinin tehlikeye düşeceği açık hale gelirse proje yönetimi için önemli olabilir.

3.5.3.Riski Azaltma / Riskle Mücadele Etme

Şimdiye kadar risklerin büyük çoğunluğu bu yolla yönlendirilmiştir. Azaltmanın amacı

kurumda riskin doğumuna neden olan faaliyet devam ederken riski kabul edilebilir bir

seviyede sınırlamak için harekete geçmektir. Riskleri azaltmanın iki yöntemi vardır.

Risklerin olasılığının azaltılması ve/veya etkilerinin azaltılması şeklinde özetlenebilecek

olan bu yöntemlerin ilkinde uygun kontroller yardımı ile olayların olumsuz etkilerinin

ortaya çıkma ihtimalinin azaltılması söz konusuyken ikincisinde amaç olayların olumsuz

etkilerinin büyüklüğünün azaltılmasıdır. Olumsuz etkilerin azaltılmasına yönelik

kontroller olay öncesinde önlem alma veya olay olduktan sonra zararın azaltılması için

plan yapılması şeklinde olabilir.

3.5.4. Riskin Transferi / Paylaşma

Bazı riskler için en iyi karşılık onları transfer etmek veya riski yaymak olabilir. Bu

geleneksel sigorta yöntemiyle yapılabilir veya üçüncü bir şahsa başka bir şekilde riski

üstlenmesi için ödeme yapmak yöntemiyle yapılabilir. Bu seçenek özellikle finansal

risklerin veya varlıkların riskinin azaltılması için uygundur. Ya maruz kalınacak risk

oranını azaltmak için ya da başka bir organizasyon (belki de başka bir devlet kuruluşu)

riski etkili yönetmeye daha muktedir olduğundan, riskin transfer edilmesine karar

verilebilir. Bazı risklerin tamamen transfer edilemeyeceğine dikkat etmek önemlidir,

özellikle hizmetin yerine getirilmesi anlaşma ile başka şirkete bırakılmış olsa bile genelde

itibari riskleri transfer etmek mümkün değildir. Riskin başarıyla transfer edilmesini

garantilemek için riskin transfer edildiği üçüncü şahısla olan ilişkiler dikkatle

yönetilmelidir.

3.6. Entegre/Bütünelşik Risk Yönetimi

Bu çerçeve kanada hükümetinin kamu sektöründe risk yönetimi uygulamalarını

güçlendirmek için geliştirilmiştir. Bunu yaparak bütünleşmiş risk yönetimi çerçevesi

Kanada halkı için şu sonuçların elde edildiğinin altını çizmektedir: vatandaş odağı,

değerler, sonuçlar ve harcama sorumluluğu. Bu çerçevenin tasarlanma amacı modern

yönetim uygulamalarının yerleştirilmesi ve federal kamu hizmetlerinde yeniliklerin

desteklenmesidir. Bu çerçeve bir kuruma farklı riskleri aynı seviyeye indirerek

sürdürülebilirliği sağlamak, karşılaştırma yapmak ve tartışmak tabanında stratejik

risklerin yönetilmesi için genel bir yaklaşım geliştirir.

Bütünleşmiş risk yönetimi risk yönetimine kıyasla, daha çok kurumun tümünü kapsayan

bir yaklaşımdır. Bu yaklaşımla kurumların ve çalışanlarının doğasını daha iyi anlamaları

ve riskleri daha sistematik yönetmeleri sağlanır. Bu dört aşamada gerçekleşir: kurum risk

profilini oluşturmak, bütünleşmiş risk yönetimi fonksiyonu oluşturmak, bütünleşmiş risk

yönetimi uygulamak ve risk yönetiminin sürekli öğrenildiğini garantilemek. Bütünleşmiş

risk yönetimi fonksiyonunun yerleştirilmesi: Bütünleşmiş risk yönetimi fonksiyonunun

yerleştirilmesi için risk konularının içsel olarak anlaşılması ve iletişimin güçlendirilmesi

için tasarlanan ve üst yönetime bir yön çizmek konusunda destek olan risk yönetimi

altyapısı oluşturulmalıdır. Kurum risk profili kurum risk yönetiminin hedef ve strateji

kurması için gerekli verileri sağlar. Etkili olmak için risk yönetimi kurumun genel

hedefleri, kurumun ilgi odağı, stratejik yönü, faaliyet uygulamaları ve iç kültürü ile

uyumlu olmalıdır. Risk yönetiminin etkili olabilmesi için var olan yönetim ve karar verme

yapısına ve faaliyet ve strateji seviyelerine yerleştirilmesi gereklidir. Risk yönetiminin

rasyonel, sistematik ve aktif bir biçimde yerleştirilmesini garantilemek için bir kurum

birbiriyle ilintili üç sonuç aramalıdır:

• Risk yönetimi ile ilgili yönetimin yönü (vizyonu, politikaları, faaliyet prensipleri)

ilerletilmeli, anlaşılmalı ve uygulanmalıdır.

• Bütünleşmiş risk yönetimini yaklaşımının var olan karar verme yapısına yerleştirilmesi

gerekir

• Kapasite inşa etmek: kurumda kullanılmak üzere geliştirilen planlar ve araçlar

öğrenilmelidir.

Risk yönetiminin uygulanabilmesi için öncelikle kurumun risk yönetimi vizyonunun,

hedeflerinin ve faaliyet kriterlerinin oluşturulması ve iletilmesi gerekir. Bu araçlar

kullanılarak risk yönetiminin herkesin görevi olduğu anlayışı güçlendirilmelidir. Süreç

yerleştirilirken stratejik risk yönetiminin yönü belirlenmeli, iç ve dış meseleler, bakış

açıları ve risk toleransı göz önünde bulundurulmalıdır.

Risk yönetiminin etkili biçimde uygulanması, var olan karar verme sürecine dahil

edilmesine bağlıdır. İyi yönetimin vazgeçilmez bir unsuru risk yönetimidir. Uygulamanın

başarıyla yerleştirilmesi için yönetim genelinde ve ilgili daireler bazında yönetimin geri

beslemesi için risk yönetimi faaliyetlerinin değerleme ve raporlama mekanizmaları

oluşturulmalıdır.

Sonuçlar sürekli olarak izlenmelidir. Kurumsal kapasite yaratmak bir başka önemli

unsurdur. Bu, kurum risk yönetimini yerleştirdikten sonra bile yönetimi zorlayan bir

görevdir. Çevre taraması ve dikkate değer yeni alanların ve faaliyetlerin dikkate alınması

devam etmelidir. Bu risk yönetimi yeteneğini geliştirir ve uygulamanın başarı şansını

arttırır. Her kurum karşı karşıya olduğu risklere karşı kendi kapasite stratejilerini

belirlemelidir. Risk kapasitesinin belirlenmesi risk profilinin çıkarılması ile daha

kolaylaşacaktır. Risk profili kurumun var olan güçlü ve zayıf yanlarını tanımlar.

Bütünleşmiş risk yönetimi yaklaşımını kuruma yerleştirmek yönetimin karar vermesi ve

güçlü bir bağlılıkla bunu uygulamasına ve kurumsal hedeflerin gerçekleştirilmesine

bağlıdır. İyi bir risk yönetimi uygulamasından şu sonuçlar beklenir: risk yönetimi

sürecinin kurumun her seviyesine yerleştirilmesi, karar verme, karar vermeye yardımcı

olacak araç ve metotların yerleştirilmesi, sürekli iletişimin sağlanması. Devamlı bir risk

yönetimi süreci kuruma riskleri anlamak, yönetmek ve iletişimde yardımcı olur. Devamlı

risk yönetiminin aşamaları şöyle bir diyagramla gösterilebilir:

Tablo 3.1. Bütünleşmiş Risk Yönetim Uygulaması

Sonuç olarak bütünleşmiş risk yönetimi risk yönetimine daha sistematik ve bütünü

kapsayan bir yaklaşımdır. Kurumdaki kişilerin ve yönetimin önemini vurgulayarak

dairelerin ihtiyaçlarının ve kişilerin rollerinin daha açık bir biçimde tanımlanmasını

sağlar. Kurumun değerleri, öncelikleri, alınan dersleri, en iyi uygulamaları temel alan

riske yönetimi vizyonunu ve hedeflerini açıklar.

3.7.Stratejik Risk Yönetimi ve Planlaması

Stratejik plan çalışmalarıyla eşanlı başlayan kurumsal risk yönetiminin oluşturulması

süreci kurumun misyon ve vizyonunun belirlenmesi ile şekillenir. Misyon ve vizyonun

ardından yapılan durum analizi kurumun hangi konumda bulunduğunu belirler. Buradan

hareketle stratejik plan kurumun ulaşmayı hedeflediği noktaya gidişiyle ilgili stratejileri

belirlerken risk yönetimi çalışmaları ile de o noktaya varılmasının garantilenmesi

sağlanmalıdır. Durum analizinin ardından hedefler konur. Her hedefin kendine ait riskleri

vardır. Durum analizinden elde edilen sonuçlar da dikkate alınarak ve anket, beyin

fırtınası gibi yöntemlerle her hedefe karşılık gelecek bu riskler tespit edilmelidir. Bu

tespitler sonucu risk matrisleri oluşturulur. Böylece her hedefin risk(ler)inin belirlenmesi

garantilenmiş olur:

Tablo 3.4. Risk Matrisi

Şekil 3.8 Basit risk/tolerans matrisi

Şekil 3.9. Strateji, Hedef, Risk İştahı ve Risk Tolerans ilişkisi

Tespit edilen bu riskler değerlendirilir. Bunarın gerçekleşme olasılıkları ve gerçekleşirse

kurumu ne kadar etkileyecekleri saptanır. Bu değerlendirme sonucu her risk puanlanır ve

önceliklendirilir. Bu önceliklendirmede risk haritaları kullanılabilir.

Bölüm Soruları

S.1. Risk Yönetimi ve Önemi nedir açıklayınız ?

S.2. Risk Yönetiminin Amacı ve Kapsamı nedir açıklayınız ?

S.3. Risk Yönetimi Süreci nedir açıklayınız ?

S.4. Risk Yönetiminde T Yaklaşımı nedir açıklayınız ?

S.5. Risk Alma Eğilimlerine Göre Risk Yönetim Türleri nelerdir açıklayınız?

S.6. Entegre/Bütünelşik Risk Yönetimi nedir açıklayınız ?

S.7. Stratejik Risk Yönetimi ve Planlaması nedir açıklayınız ?

S.9 Hangisi bir risk yaklaşımında 4T’nin bir aşamasıdır?

a. Piyasaya sunma

b. Politika yapma

c. Yönetime katılma

d. İzleme

S.9 Hangisi bir bir risk yönetim türüdür?

a. Piyasadan çıkma

b. Politika geliştirme

c. Kabullenme

d. Toplam kalite

Cevaplar: 9. d , 10.c

4.KURUMSAL RİSK YÖNETİMİNİN GELİŞİMİ


Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş

Kurumsal Risk Yönetiminin Tanımı ve Önemi

Kurumsal Risk Yönetiminde Genel Yapısı

Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı

Kurumsal Risk Yönetiminin Amaçları

Kurumsal Risk Yönetiminin Faydaları

Kurumsal Risk Yönetimi Olgunluk Seviyeleri

Kurumsal Risk Yönetiminin Etkinliği

Kurumsal Risk Yönetiminin Sınırlılıkları


S-1. Hırsızlık için alınabilecek kaç türlü tedbir sayabilirsiniz?

S-2. Trafik kazalarını önlemek için hangi tedbirleri alınabilir.


Konu Kazanım


edileceği veya

geliştirileceği

Kurumsal Risk

Yönetiminde Genel Yapısı

Kurumsal Risk

Yönetiminde Genel

Yapısını açıklar

Kurumsal Risk

Yönetiminde Genel

Yapısını analiz edere

Kurumsal Risk

Yönetiminin Özellikleri

Ve Kapsamı

Kurumsal Risk


Ve Kapsamını açıklar.

Kurumsal Risk


Ve Kapsamını analiz

ederek

Anahtar Kavramlar










4.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş

Risk yönetimi uygulamaları, 1990’lı yıllarda şirketleri etkileyen tüm risklerin

kapsama alındığı daha geniş ve entegre bir yaklaşıma bırakmıştır. Bu dönüşümde en

önemli belirleyici, toplumların büyük çok uluslu şirketlerin yarattıkları hasarların nasıl

kontrol edilebileceğini sorgulamaya başlamaları ve bunun sonucunda da “kurumsal

yönetim” anlayışının gelişmesi olmuştur. Kurumsal yönetim kısaca kurumların daha

şeffaf ve adil bir şekilde yönetilmeleri olgusunu savunurken, risk yönetimi bu amaca

ulaşmada en önemli araçlardan biri olarak görülmeye başlanmıştır. Günümüzde gelinen

aşamada kurumun karşı karşıya olduğu tüm riskler stratejik, operasyonel, finansal ve

tehlike (harici/sigortalanabilir) risk yönetimi kapsamına alınmıştır. Aşağıda Şekil 3’te

risk yönetiminin kapsamına dair tarihi gelişim gösterilmektedir

Şekil 4.1. Risk Yönetiminin Tarihsel Gelişimi

Risk yönetimi paradigması birçok işletmede kademeli olarak değişmektedir.

Bazıları paradigma değişimini ve risk yönetimi üzerine yeni perspektifin avantajlarını

fark etmemiş olabilirler. Geleneksel olarak işletmelerin çoğu risk yönetimini

özelleştirilmiş ve izole edilmiş bir faaliyet olarak (silo mantalitesi) görmektedir: Sigorta

veya döviz kuru riski yönetimi örneklerinde olduğu gibi. Yeni yaklaşım tüm seviyelerde

çalışanları ve yöneticileri duyarlılık temelinde ve riskle ilgili kılmaktadır. Tablo 1 risk

yönetimindeki paradigma değişimini 3 temel açıdan göstermektedir. Tabloda gösterildiği

üzere bazı işletmelerde risk yönetimi paradigması parçalara ayrılmış, planlanmamış ve

belirli bir amaç için kullanılan dar kapsamlı yaklaşımdan bütünsel, sürekli ve geniş

kapsamlı yaklaşıma dönüşmektedir. Burada sorun üst yönetimin bu dönüşümü ve

değişimi sürekli tarzda ele alabilmesindedir.

Tablo 4.1. Geleneksel ve Yeni Risk Yönetimi Paradigmasının Temel Nitelikleri

Tablo 4.2. Geleneksel ve Kurumsal Risk Yönetim Sistemleri Arasındaki Temel

Farklılıklar

Risk yönetiminde sistematik ve bütünsel bir yaklaşım sunan kurumsal risk yönetim

sistemi, kurumsal yönetişim ve hesap verme sorumluluğunun en temel unsurudur. Sistem

kurumun durumsal farkındalığını artırarak risk tutumlarının daha aktif yönetimini

sağlamaktadır. Kurumsal yönetişim ve risk yönetimin birleştirilmesi kurumun; rekabet

avantajı kazanmasını ve paydaşlara değer katmasını, bu değeri korumasını ve

geliştirmesini sağlamaktadır.

Şekil 4.2. Risk Yönetiminin Değeri

Tablo 4.3. Risk Yönetimi’nden Kurumsal Risk Yönetimi’ne Geçiş

Geleneksel risk yönetim sistemi genel olarak riskin mali yapı üzerindeki olumsuz

etkilerinden kurumu korumaya odaklanmakta iken kurumsal risk yönetim sistemi, risk

yönetimini kurum stratejisinin bir parçası haline getirmekte ve kuruma değer katmak

amacıyla risklere ilişkin en iyi tutumların belirlenmesini ve risklerin etkili yönetilmesini

sağlamaktadır. Geleneksel risk yönetim ile kurumsal risk yönetim sistemi arasındaki

temel farklılıklar Tablo 2‟de ele alınmaktadır.

Şekil 4.3. Risk Yönetimin Gelişim Süreci

Risk yönetimindeki bu yeni paradigma farklı isimlerle anılmaktadır: Entegre Risk

Yönetimi, Stratejik Risk Yönetimi, İş Riski Yönetimi veya Kurum Çapında Risk

Yönetimi. Bu çalışmada konu Kurumsal Risk Yönetimi olarak belirlenmiştir. KRY

yapılandırılmış ve disipline edilmiş bir yaklaşımdır. KRY, kurumun karşı karşıya kaldığı

değer yaratacak ya da azaltacak belirsizliklerin değerlendirilmesi ve yönetilmesi amacıyla

strateji, süreçler, insan, teknoloji ve bilgi belirlemeleridir. Bu nedenle KRY girişiminin

amacı işletmenin/kurumun amaçlarına ulaşmasını hem olumlu hem de olumsuz

etkileyebilecek belirsizliklerin yönetilmesi yoluyla ortak değerini yaratmak, korumak ve

artırmaktır.

Geleneksel risk yönetimi paradigması, silo mantalitesi olarak da adlandırılmaktadır. Silo

mantalitesine dayanan yaklaşım, tek bir iş birimi veya tek bir seviye hedefi ile ilgili

risklerin verilerinin toplanıp analiz edilmesidir. Ancak KRY “portföy” tabanlı ve bütünsel

risk bakış açısı üzerinde durmaktadır. Çünkü tek bir risk bütün hedefleri etkileyebilmekte

ve aynı şekilde birçok risk tek bir hedeften etkilenebilmektedir. Ayrıca riskler birbirlerini

de etkilemektedirler. Riskler arasında çift yönlü bir etkileşim bulunmaktadır. KRY

kapsamında yer alan risk belirleme ve değerlendirme teknikleri, yönetime, “portföy”

tabanlı risk anlayışı yaratmak, bütünsel bir yaklaşım sağlamak ve riske karşı verilen

tepkilerin daha etkili bütünleştirilmesi için yardımcı olabilmektedir. Geleneksel silo

mantalitesi yaklaşımında riskler yönetilmeye çalışıldığında işletme yönetiminin elinde

birleştirmesi gerekli parçalar olacaktır. Bu parçalar farklı ölçümler, yaklaşımlar sonucu

oluşturularak farklı formatta hazırlanacağı için birleştirilmesinde zorluklar ortaya

çıkacaktır. KRY’nin amacı bütünsel resmi oluşturmaktır. Bu noktalardan hareketle

geleneksel risk yönetimi (GRY) ile KRY arasındaki temel farklar aşağıda özet olarak

açıklanmıştır:

GRY’de amaç kurum değerini korumak iken; KRY’de amaç kurum değerini korumak ve

artırmak olarak belirlenmiştir

- GRY’de uygulamalar seçilmiş risk alanları, üniteler (birimler) ve süreçler üzerineyken,

KRY bütün değer kaynakları için kurum çapında strateji geliştirilerek her seviye ve birim

için kurum çapında uygulanmaktadır.

- GRY finansal ve operasyonel yönetim vurgusuna sahip iken, KRY strateji geliştirme

vurgusuna sahiptir

- KRY, GRY’yi proaktif, sürekli, değer-temelli, geniş odaklı ve süreç belirli aktivitelere

dönüştürmüştür

- KRY, GRY’den odak, amaç, kapsam, önem vurguları ve uygulama konularında

farklılıklar göstermektedir

- KRY strateji, insan, süreç, teknoloji ve bilgi sıralı olup, KRY’de strateji üzerinde vurgu

vardır ve uygulama kurum çapında gerçekleşmektedir

- KRY fırsatları artırmaya ve riskleri en aza indirmeye çalışırken; stratejik amaçlarla

ilişkili tüm riskleri dikkate alma yollarını araştıran bir yaklaşımdır.

Risk yönetiminin yükselen profili ve evrimi incelendiğinde, üç aşamanın önemli olduğu

görülmektedir. Bunlardan ilki, risk yönetiminin işletmeler veya kurumlar için önemli bir

yönetim konusu olduğunun farkına varılmıştır.

İkincisi, işletmenin stratejik amaçları üzerine odaklanılmasıyla risklerin en aza

indirilmesi yaklaşımı risk optimizasyonuna (en iyilemeye) taşınmıştır. Üçüncüsü, fark

edilmiştir ki riskler silo mantalitesi ile etkin şekilde yönetilememektedir.

Tablo 4.4. Risk yönetiminden kurumsal risk yönetimine9

4.2. Kurumsal Risk Yönetiminin Tanımı ve Önemi

Kurumsal risk yönetiminin birçok tanımı bulunmaktadır.

Kurumsal risk yönetiminin en kapsamlı tanımı COSO (Committee of Sponsoring

Organizations) tarafından yapılmıştır. COSO’nun “Kurumsal Risk Yönetimi: Bütünleşik

Çerçeve” modeline göre kurumsal risk yönetimi, değer yaratmayı ve değer korumayı

etkileyen riskleri ve fırsatları ele alıp işlemekte ve şu şekilde tanımlanmaktadır: Kurumsal

risk yönetimi, bir kurumun hedeflerine ulaşmasını etkileyebilecek potansiyel olayları

tanımlayan, risk alma istekliliği (risk iştahı) sınırları içinde yöneten ve kurum hedeflerinin

başarılması konusunda makul derecede güvence sağlayan, kurum genelinde

yapılandırılmış ve kurum yönetim kurulundan, yönetimden ve diğer personelden

etkilenen bir süreçtir.

Kurumsal risk yönetim sistemi risklerin entegre edilmesinden daha fazlasını ifade etmektedir.

Sistem riski “kurumun hedeflerine ulaşmasını ya da stratejilerini başarıyla uygulamasını

olumsuz etkileyen herhangi bir eylem ya da faaliyet olarak” tanımlamaktadır

Kurumsal risk yönetim sistemi, stratejilerin oluşturulması ve kurum çapında uygulanması,

kurumu etkileme olasılığı olan olayların belirlenmesi, risklerin risk iştahı kapsamında

yönetilmesi ve kurum hedeflerine ulaşılmasına yönelik makul güvence sağlayan kurum

yönetim kurulu, yönetimi ve diğer personeli tarafından etki edilen bir süreçtir.

COSO’nun tanımında yer verilen “değer yaratma” ve “değer koruma” terimleri kamu

sektöründe özel sektördeki gibi doğrudan doğruya ilgili olma özelliğine sahip değildir.

Ancak bu tanım, olabildiği kadar çok sektörü ve organizasyon türünü kapsamak amacıyla

bilerek geniş tutulmuştur. Aslında tanımın kamu sektörü kurumlarına bütünüyle

uygulanabilmesi için, “değer yaratma” ve “değer koruma” terimlerini “hizmet yaratma”

“hizmet sürdürme” terimleri ile değiştirmek mümkündür.144 COSO’nun kurumsal risk

yönetimi tanımından da anlaşılacağı üzere kurumsal risk yönetimi kurumsal hedefler

odaklıdır ve riskleri sadece kurumun başarısına zıt şeyler olarak görmeyip, gerekli

zamanlarda ve durumlarda doğru riskleri alarak kurumu hedeflerine ulaştırmayı

amaçlamıştır.

COSO’nun KRY tanımı, kurumlarda/işletmelerde risk yönetiminin etkili bir şekilde

uygulanabilmesi için bir temel oluşturmaktadır.

CAS (Causalty Actuarial Society) tarafından KRY şu şekilde tanımlanmıştır: “Bütün

endüstrilerdeki işletmelerde, işletmenin ve ortakların uzun ve kısa dönem değerini

artırmak amacıyla, tüm kaynakların risklerini değerlendirmek, kontrol etmek, finanse

etmek ve izlemek aşamalarından oluşan süreçtir.” CAS tanımı işletme ve finansal riskin

yarattığı hem tehditlere hem de fırsatlara bilimsel önem verme girişimini temsil eder.

“İşletmenin stratejik amaçlarını başarmasını tehdit eden tüm kaynaklardaki risklerin

belirlenmesi, değerlendirilmesi ve analizi için özenli bir yaklaşımdır. Ek olarak, KRY,

rekabetçi avantaj yaratan fırsatları temsil eden riskleri belirler” şeklinde yapılmıştır. Bir

diğer tanımla KRY; amacı işletmenin amaçlarına ulaşmasını etkileyebilecek

belirsizliklerin yönetilmesi yoluyla ortak değeri yaratmak, korumak ve artırmak olan bir

girişimdir

4.3. Kurumsal Risk Yönetiminde Genel Yapısı

COSO‟nun tanımı kurumsal risk yönetim sistemi ile ilgili aşağıdaki temel noktaları ortaya

koymaktadır:

i. Kurum çapında sürmekte olan ve her kademedeki çalışanın katkıda bulunduğu akıcı bir

süreçtir.

ii. Kurum stratejisi oluşturulurken uygulanmaktadır.

iii. Kurumun risk portföy varlık seviyesini oluşturmaya odaklanılmaktadır.

iv. Meydana gelmesi durumunda kurumu etkileyebilecek olası olaylar belirlenmektedir.

v. Risklerin kurum risk iştahı kapsamında yönetilmesini sağlayıcı tedbirler alınmaktadır.

vi. Hedeflere ulaşılabilmesi için bir ya da daha fazla birbirinden ayrı; fakat örtüşen

kategorilere yönelinmektedir.

vii. Kurum üst yönetimine ve yönetime makul bir güvence sunmaktadır.

Kurumsal risk yönetim yaklaşımı kuruma değer katmak amacıyla strateji, süreç, insan,

teknoloji ve bilgi kaynaklarının kurumun karşı karşıya kaldığı belirsizliklerin

değerlendirilmesi ve yönetilmesi amacıyla kullanıldığı disiplinli, durağan olmayan,

devamlılık ve değişkenlik gösteren kuruma nüfuz etmiş bir sistemdir. Sistemin temel

sürücüleri vardır. Kurumsal risk yönetim sürücüleri şekil 8‟de gösterilmektedir.

Şekil 4.4. Kurumsal Risk Yönetimi Süreci

Şekil 4.5. Kurumsal Risk Yönetim Sürücüleri

Şekil 4.6. Kurumsal Risk Yönetiminde Amaç ve Bileşenlerin İlişkisi

Kurumsal risk yönetiminin tasarlanmasında ve uygulanmasında COSO’nun Kurumsal

Risk Yönetimi Modeli esas alınmıştır. Bu nedenle bu bölümde, COSO Kurumsal Risk

Yönetimi Modeli bileşenlerine ve bu bileşenlerle ilgili bazı kavramların açıklamalarına

yer verilmiştir. KRY bileşenleri, amaçları gerçekleştirmek için ihtiyaç duyulan unsurları

göstermektedir. Bu ilişki Şekil 5’te gösterilmektedir.

KRY küpünün yatay ekseninde 4 amaç kategorisi gösterilmektedir ki bunlar; stratejik,

operasyonlar, raporlama ve uyum’dur. Dikey eksende KRY sürecini oluşturan 8 bileşen

yer almaktadır. Kurum seviyeleri ise matrisin üçüncü boyutunda gösterilmektedir. Dikey

eksende bulunan her bir bileşendeki faaliyetler, amaçlar kategorisi dikkate alınarak ve

bununla uyumlu şekilde gerçekleştirilmektedir. Her bir bileşen, dört amaç kategorisi için

sırası ile uygulanmaktadır. Örneğin, finansal ve finansal olmayan veri, iç ve dış

kaynaklardan elde edilebilmektedir. Bu kaynaklar KRY’nin bilgi ve iletişim bileşeninin

bir parçasıdır: Strateji geliştirmede, işletme operasyonlarını etkili yönetmede ve verimli

raporlamada gereklidir. Tüm bunlar da kurumun ilgili olduğu yasa ve düzenlemeler ile

uyumlu şekilde gerçekleştirilmektedir. KRY, dinamik bir süreçtir. Örneğin, risklerin

değerlendirilmesi risk tepkilerini/yanıtlarını doğurur ve kontrol faaliyetlerini etkileyerek

kurumun inceleme faaliyetlerini ya da iletişim ihtiyaçlarını vurgular. Bu yüzden, KRY

bir bileşenin bir diğerini izlediği, belirli bir sırayı izleyen bir süreç değildir. Her bileşenin

neredeyse bütün bileşenleri etkileyebildiği ve diğer bileşenlerden etkilendiği çok yönlü

ve yinelenen bir süreçtir.250 Bileşen kategorisine bakıldığında 8 bileşenin her birinin

birbiriyle ilişkili olduğu görülmektedir. Bir bileşen ele alındığında, bu bileşendeki

faaliyetlerin etkin olarak gerçekleştirilmesi diğer bileşenlerin uygulama başarısı için

önemlidir. KRY kurumun tamamı ile ilgili olduğu kadar belirli iş ünitesi ile de ilgili

olabilir. Bu ilişki matrisin üçüncü boyutunda gösterilmiştir ki burada tedarikçiler, iş

üniteleri, bölümler ve kurum seviyesi bulunmaktadır. Amaçların (stratejik, operasyon,

raporlama ve uyum) kurumun amaçlarını gösterdiği, bunların kurumun belirli bir

ünitesinin veya bölümünün amaçları olmadığının fark edilmesi gerekmektedir. KRY hem

kurumun bütünü hem de ayrı ayrı her bir bölümüyle alâkalıdır. Bu ilişki yan kuruluşları,

alt bölümleri ve diğer bağlı kuruluşları üçüncü bir boyutla da tanımlayabilir.

4.2. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı

Kurumsal risk yönetim sistemi kapsamındaki temel faaliyetler şunlardır:

i. Temel misyon ve program hedeflerini düzgün bir şekilde belirlemek ve kuruma bildirmek.

ii. Kurum risk iştahını belirlemek.

iii. Risk yönetim çerçevesi dâhil olmak üzere uygun bir iç ortam oluşturmak.

iv. Kurum hedeflerine ulaşılmasını engelleyici olası tehditleri tanımlamak ve risk

evreni oluşturmak.

v. Etki ve olasılık kapsamında riskleri değerlendirmek.

vi. Risk tutumlarına karar vermek ve uygulamak.

vii. Kontrol ve diğer tepki faaliyetlerini yürütmek.

viii. Kurumun her seviyesinde risklerle ilgili süreklilik temelinde bilgi alışverişi

sağlamak.

ix. Risk yönetim süreç ve çıktılarının merkezi izleme ve koordinasyonunu

sağlamak.

x. Risklerin etkili yönetildiğine dair güvence sunmak.

xi. Bağımsız nesnel güvence ve danışmanlık sağlamak.

xii. Mevcut sistemlerle (iç kontrol, dış denetim, iç denetim) kurumsal risk yönetim

sistemini entegre etmek.

Kurumsal risk yönetimin başlangıç noktası kurum misyon ve vizyonunun

belirlenmesidir. Yönetim misyon kapsamında stratejik hedefleri belirler ve hedeflere

ulaşılmasını sağlayıcı stratejileri seçer. Devamında hedeflere ulaşmayı engelleyici riskler

ve riskleri azaltıcı kontrol sistemleri ve sorumlular belirlenir. Hedeflere ulaşılmasını

etkileyecek olaylar düzenli olarak belirli aralıklarla gözden geçirilir, riskler yeniden

değerlendirilir ve gerekli durumlarda yeni risk tutumları saptanır. Performans ve

sonuçların zamanında raporlanmasına dikkat edilir. Bu disiplinli ve sistematik yaklaşım

kurumun stratejik, faaliyet, uygunluk, mali vb. risklerini azaltmak amacıyla faaliyetleri

planlar, yürütür ve kontrol eder.

KRY Dinamik Bir Süreçtir: KRY sürekli ve akışkan bir süreçtir. KRY bir olay

veya durumdan oluşan bir etkinlik değil kurum faaliyetlerinin içinde yer alan bir eylemler

serisidir. KRY bütün kurumda süregelen ve devam eden bir süreçtir. Sabit olmayıp

yapılan işlerdeki devamlılığın ve yinelenen etkilenmelerin sonucudur. KRY, kurumun

aktivitelerine ek olarak yapılan bir işlem değildir. Ancak burada ifade edilmek istenen,

etkin bir KRY için ayrıca ve artan bir çaba gerekmediği değildir. Örnek olarak, risk

değerlendirme ve analizi, ihtiyaç duyulan modelleri geliştirmek için ek bir çaba

gerektirebilir ve gerekli analizler ile hesaplamaların yapılması için de ayrıca çaba

harcanmasını gerektirebilir. Bununla birlikte, KRY uygulamalarına ait sistemler, kurum

faaliyetleri ile birbirine geçmiştir ve temel kurum amaçları için mevcuttur.

KRY Kurum Personelinden Etkilenir: KRY, kurumun her seviyesindeki

personelinden etkilenir. KRY, kurumun yönetim kurulundan, yöneticilerinden ve diğer

personelden etkilenir. Yönetim kurulu KRY’nin en önemli öğelerinden birisidir. Bunun

yanısıra stratejileri, işlemleri ve politikaları onaylayan yöneticilerin de KRY üzerinde

etkileri fazladır. Her birey iş yerine kendine has tecrübe ve teknik becerileri ile gelir ve

farklı ihtiyaç ve öncelikleri vardır. Bu faktörler KRY’yi hem etkiler hem de ondan

etkilenir. Her bireyin olaylara farklı bir açıdan yaklaşması, o bireyin riski nasıl

tanımladığını, değerlendirdiğini ve tepki verdiğini etkiler.

KRY Kurumun Her Seviyesinde Uygulanır: KRY kurum genelindeki faaliyetlerle

ilgilidir ve kurumun tamamında uygulanır. KRY’yi uygularken kurumda yürütülen bütün

faaliyetlerin değerlendirilmesi gerekir. KRY stratejik planlama ve kaynakların

dağıtımından, mal/hizmet sunumuna ve insan kaynaklarına kadar kurumun her seviyedeki

işlemlerini ilgilendirir. Ayrıca, kurum hiyerarşisinde veya organizasyon şemasında kesin

bir yeri olmayan bazı özel projelerde ve yeni girişimlerde de uygulanabilir. KRY,

kurumun tüm risklerine tek bir portföy olarak bakmayı gerektirir. Buna her yöneticinin

belirli bir bölüm, işlem veya başka faaliyet için risk değerlendirmesi yapması dahil

olabilir. İlgili değerlendirme nicelik veya niteliğe göre olabilir. Kurumun her bir müteakip

seviyesinin birleşik bir bakış açısı ile üst yönetim, kurumun tüm risk profilinin, kurumun

risk iştahı ile orantılı olduğunu sağlamalıdır. Yönetim birbiriyle bağlantılı riskleri,

kurumun risk portföy perspektifinden değerlendirir. Kurumların her bir bölümündeki

risk, bölümün risk toleransı içinde olabilir. Fakat bu risklerin toplamı kurumun bütün

olarak almayı arzu ettiği orandan fazla olabilir. Veya tam tersi olarak, olası olaylar başka

bir etkiyi ortadan kaldırmazsa kurum için kabul edilemez bir riski temsil edebilir.

Birbirleriyle ilgili riskler tanımlanması ve risklerin toplamının kurumun arzuladığı risk

oranıyla aynı düzeyde olması için buna göre değerlendirilmesi gerekir.

Kurumun var olan değerlerinin korunması ve maksimize edilmesi ile ilgili tüm

karar ve faaliyet süreçleri KRY’nin kapsamı içerisindedir. Bu süreçlerden bazılarını

aşağıdaki Şekil 6’da görmek mümkündür. KRY daha önce de ifade edildiği gibi aşağıdaki

şemada belirtilen süreçlerin entegrasyonunu sağlamayı hedeflemektedir. Böylelikle

kurum içerisinde birbirinden bağımsız şekilde işleyen farklı risk yönetim sistemlerinin

riskleri bir bütün olarak görmeleri ve böylelikle daha az maliyetli ve daha etkin entegre

risk yönetim çözümlerinin geliştirilmesi sağlanabilmektedir.

KRY Strateji Belirlemede Kullanılır: Kurum öncelikle misyon ve

vizyonunu belirler. Daha sonra misyon ve vizyonun gerçekleştirilmesini

sağlayacak stratejik amaç ve hedefler belirlenir. Sonrasında ise stratejik amaç ve

hedeflerin gerçekleştirilmesi için kullanılacak genel strateji ve alt stratejiler belirlenir.

KRY, amaçların/hedeflerin gerçekleştirilmesinde kullanılabilecek alternatif stratejilerin

risklerini ve fırsatlarını değerlendirir. Böylece kurum tarafından alternatif stratejilerden

en uygun olanının belirlenmesini ve seçilmesini sağlar. Örneğin, alternatif bir strateji

Pazar payını arttırmak için başka işletmeleri satın almak olarak belirlenebilir. Bir başka

seçenek ise kaynak maliyetlerini keserek daha fazla kar payı yüzdesi sağlamak olarak

belirlenmiş olabilir. Her iki seçenek de bazı riskleri barındırmaktadır. Eğer yönetim ilk

stratejiyi seçerse, yeni ve çok bilinmeyen pazarlara girmek ve rakiplerine kendi

pazarından pay kaybetmek zorunda kalabilir veya işletmenin bu seçeneği etkin bir şekilde

uygulamak için yeterliliği olmayabilir. İkinci seçenekte ise yeni teknolojiler veya

tedarikçiler ya da yeni iş anlaşmalarının kapsadığı riskler vardır. Bu aşamada KRY

kurumun strateji ve buna bağlı hedeflerini değerlendirmesinde ve seçmesinde yardımcı

olmaktadır.

Şekil 4.7. Kurumsal Risk Yönetiminin Kapsamı

KRY Kurumun Risk İştahını Esas Alır: KRY riskleri risk iştahı (risk alma

isteği/arzusu, risk istekliliği) doğrultusunda yönetmek için tasarlanmıştır. Risk iştahı,

geniş anlamıyla bir değeri elde etmek için bir kurumun almayı kabul ettiği risk oranı ya

da seviyesidir. Kurumun risk yönetim felsefesini yansıtır ve buna karşılık kurumun

kültürünü ve yönetim tarzını etkiler. Kurumlar arzulanan riski yüksek, orta, düşük gibi

nitelik bakımından veya büyüme hedeflerini ve risk getirisini yansıtıp dengeleyerek

nicelik bakımından sınıflandırabilir. Risk iştahı daha fazla olan bir işletme, sermayesinin

büyük bir bölümünü gelişmekte olan pazarlar gibi daha riskli alanlara yatırabilir. Buna

karşın risk iştahı daha az olan bir işletme, kısa dönemde zarar etme riskini azaltmak için

olgun ve değişkenliği az olan pazarlara yatırım yapabilir. Risk iştahı direkt olarak

kurumun stratejisiyle ilgilidir. Değişik stratejiler kurumu değişik risklerle karşılaştırdığı

için, risk yönetimi strateji belirlemenin de bir parçası sayılır. KRY, yönetimin risk

iştahına ve beklenen değer oluşumuna uygun stratejiyi seçmesine yardımcı olur.

KRY Makul Güvence Sağlar: KRY, kurum hedeflerinin başarılacağına ilişkin

makul düzeyde güvence sağlar. Makul düzeyde güvence, geleceğin belirsizliği ve

risklerin gelecekle ilgili olmasından dolayı önceden kesin bir tahmin yapılamayacağı

gerçeğine dayanır. Ayrıca insan doğasından kaynaklanabilecek; hatalı risk değerlendirme

ve risk tepkisi kararı alma gibi nedenlerle KRY sistemi ne kadar iyi kurulursa kurulsun

belli bir takım sınırlılıkları vardır. Başka bir deyişle en etkin KRY bile başarısızlıklar

yaşayabilmektedir. Makul bir oranda güvence, kesin güvence anlamına gelmemektedir.

Fakat bu KRY’nin sıklıkla başarısız olacağı anlamına gelmemektedir. Ayrı ayrı ya da

birlikte olarak birçok faktör makul oranda güvence kavramını etkilemektedir. Farklı risk

tepkilerinin ve çok amaçlı iç denetimin birleşen etkileri, kurumun hedeflerine ulaşamama

riskini azaltmaktadır. Ayrıca kurumun her seviyedeki çalışanının günlük çalışmaları ve

sorumlulukları, kurumun hedeflerine ulaşmasını sağlamak içindir.

KRY Amaçlara Ulaşmak İçin Bir Araçtır: KRY amaç değil amaca ulaşmak için

bir araçtır. KRY, kurum misyonunun, vizyonunun ve stratejik amaç/hedeflerin belirlenen

stratejilere ve risk iştahına uygun olarak gerçekleştirilmesine katkı sağlayan ve bunları

destekleyen bir yönetim aracıdır. Bu nedenle KRY’nin kendisi asla bir sonuç ya da amaç

değildir. Kurumların amaçları/hedefleri genel olarak;

1.)Stratejik,

2.)Operasyonel,

3.) Raporlama,

4.)Uygunluk,

olmak üzere dört sınıfa ayrılmaktadır.

KRY’nin kurumların güvenilir raporlama, mevzuata uygunluk konularında

hedeflerine ulaşmasında güvence sağlaması beklenebilir. Bu konulardaki hedeflere

ulaşılması kurumun kontrolündedir ve kurumun bu konularla ilgili diğer faaliyetlerini

nasıl uyguladığına bağlıdır. Fakat belli bir pazar payının kazanılması gibi stratejik

hedeflerin ve yeni bir ürünün başarılı bir şekilde pazara sunulması gibi operasyonel

hedeflerin başarısı, her zaman kurumun kontrolü altında gelişmeyebilir. KRY kötü yargı

ve kararları veya operasyonel hedeflerin başarısızlığa uğramasına neden olabilecek dış

etkenleri önleyemez. Fakat yönetimin daha iyi karar verme şansını arttırmaktadır. Bu

amaçlar için KRY yöneticilere ve yönetim kuruluna, kurumun hedeflerine zamanında

ulaşması yolunda nerede olduklarını belirtmek konusunda makul bir oranda güvence

vermektedir.

KRY esasında, işletme riskleri için kapsamlı risk yönetimi yaklaşımının en son

adıdır. Bu kavram, öncesindeki geleneksel risk yönetimi, işletme risk yönetimi, bütünsel

risk yönetimi ve stratejik risk yönetimi gibi uygulamaları da kapsamaktadır. Bu

kavramların her biri biraz farklı odaklara sahip olmasına rağmen, her kavramın

yükselişinde işletmelere ilişkin dikkate alınan konulardaki risk unsurları ve genel içerik

oldukça benzerdir. KRY, risk yönetiminin evrimsel gelişiminde bugün gelinmiş olunan

noktadır.

Kurumların karşı karşıya olduğu mevcut ve olası riskler doğaları gereği dinamik,

hareketli ve yüksek derecede birbirine bağlıdır. Farklı bileşenlere ayrılamaz ve

birbirinden bağımsız şekilde yönetilemezler. Günümüzde kurumlar değişken bir çevrede

faaliyet göstermektedirler ve bu çevrede risk portföylerini oluşturmak ve yönetmek için

çok daha bütünsel bir yaklaşım gerekmektedir. Bu gerekliliğin farkında olmayarak ve

geleneksel tarzda yönetilen işletmeler silo-bazlı kapsamda riskleri yönetmektedirler:

Piyasa, kredi ve operasyonel riskler ayrı ayrı ele alınır ve sıklıkla kurum içinde farklı

bölümlerce yönetilir. Örneğin, kredi uzmanları hata riskini değerlendirir, ipotek

uzmanları ön ödeme riskini analiz eder, aktüerler (sigorta istatistikleri uzmanları) borç,

ölüm ve diğer sigorta risklerini yönetir, finans ve denetim gibi kurumsal fonksiyonlar

diğer operasyonel riskler olarak ele alınır ve iş risklerini üst yöneticiler belirler.

KRY, işletmenin amaçlarına ulaşmasını etkileyen risklerin belirlenmesinde,

analizinde, önem sırasına göre sıralandırılmasında ve belirlenen risklere karşı önemli

hedefleri, ilgili projeleri ve günlük faaliyetleri göz önünde bulundurarak gerekli tepkinin

verilmesinde, işletme büyüklüğüne ve misyonuna bakmaksızın, tüm işletmelere kapsamlı

ve sistematik bir şekilde yardımcı olan bir yaklaşımdır. KRY, işletmelerde ortaya çıkan

belirsizlikleri en etkili biçimde yönetme becerilerini geliştirmektedir. KRY

belirsizliklerle bunlara bağlı olan risklerin, fırsatların ve işletmenin değerini arttırma

kapasitesinin daha etkin bir şekilde kullanmasına olanak tanımaktadır. İşletmeler için

küreselleşme, teknoloji, yeni yapılanmalar, değişen pazarlar, rekabet ve yasalar,

belirsizlik yaratan ana sebepler arasında sıralanabilir. Belirsizlik, olayların olma

olasılıklarını ve buna bağlı etkilerini iyi belirleyememenin sonucu olarak ortaya çıkar.

Aynı şekilde işletmenin stratejik kararları da belirsizlikler doğurabilmektedir. Örneğin,

büyüme stratejisi başka ülkelere açılmak olan bir işletme için seçilen bu strateji, yeni

ülkenin politik durumuna, kaynaklarına, pazarlarına, dağıtım kanallarına, iş gücü

kapasitesine ve maliyetlerine bağlı olarak işletme için bazı risk ve fırsatlar sunar. KRY

risk ve fırsatları kullanarak değer yaratmayı ve yaratılan değerleri korumayı

hedeflemektedir.

4.3. Kurumsal Risk Yönetiminin Amaçları

KRY kurum amaç/hedeflerinin başarılmasına odaklanmıştır ve bu amaç/hedefler;

1.) Stratejik,

2.) Operasyonel/faaliyetler,

3.)Raporlama,

4.)Uygunluk/uyum olarak sıralanır.

Stratejik amaçlar, yüksek düzey hedeflerle ilgilidir ve kurum misyonunu

desteklemelerine göre sıralanırlar. Operasyonel/faaliyetlere ilişkin amaçlar ise kurum

kaynaklarının etkin ve verimli kullanımı ile ilgilidir. Diğer yandan KRY’den

raporlamanın güvenirliğine ve yürürlükteki kanun ve düzenlemelere uyuma ilişkin makul

derecede güvence sağlaması beklenir. Bu kategorideki amaçlara ulaşılması kontrollere ve

bunlarla ilgili faaliyetlerin nasıl yürütüldüğüne bağlıdır. Sonuç olarak, stratejik amaçlar

ve operasyonel/faaliyetlere ilişkin amaçlar genellikle kurum kontrolleri dışındadır.

KRY, dış çevre kaynaklı olaylar veya durumlarla ilgili kötü sonuçları engelleyemez.

Fakat yönetimin daha iyi kararlar alma olasılığını artırabilir. Raporlama ve uygunluk

kurumun yapısıyla ilgilidir ve dış çevre kaynaklı olaylara göre kontrolü ve yönetimi daha

çok mümkündür.

KRY’nin amaçları genel olarak aşağıdaki başlıklar altında sıralanabilmektedir:223

- Stratejik planlama ve stratejik karar alma süreçleri ile risk yönetiminin bütünleştirilmesi,

- Operasyonlarda en iyi maliyet kontrolü,

- Raporlama ve uyum,

- Fırsatların artırılması ve kayıpların en aza indirilmesi yoluyla işletme/kurum değerinin

korunması ve artırılması,

4.4. Kurumsal Risk Yönetiminin Faydaları

Sistemin kuruma sağlayacağı temel faydalar şunlardır:

Hedeflere ulaşılma olasılığını artırır.

ii. Yönetimin riskleri anlama, tanımlama ve önlem alarak yönetme yeteneğini geliştirir.

iii. Birbirinden farklı risk raporlarının yönetim kurulu düzeyinde birleştirilmesini sağlar.

iv. Önemli riskleri ve onların etki alanlarının anlaşılma düzeyini geliştirir.

v. Kurum içi çapraz risklerin belirlenmesi ve paylaşılmasını sağlar.

vi. Ortak ve kesişen riskleri tanımlar ve birimlerarası iletişimi güçlendirir.

vii. Gerçekten önemli konular üzerine odaklanan kaliteli bir yönetim sağlar.

viii. Kriz gibi ya da başarıyı olumsuz etkileyecek olumsuz durumlarla karşılaşılma

olasılığını azaltır.

ix. işlerin doğru şekilde yapılışına odaklanılmasını sağlar.

x. Başarıya ulaşabilmek için değişiklik yapmaya yönelik insiyatif alma sorumluluğunu

artırır.

xi. Daha büyük başarılar için daha büyük riskler alma yeteneğini geliştirir.

xii. Risk almaya yönelik karar vermede daha bilinçli olunmasını sağlar.

xiii. Kurumsal verimliliği en uygun hale getirir, korur ve kurumsal imajı güçlendirir.

xiv. Hesap verebilirliği sağlar ve bütünleşik iç kontrol sistemini güçlendirir.

Sistem, risk yönetimine verilen önemi artırmakta, yüksek düzeyde sorumluluk alınmasını

ve sorumlulukların açıkça belirlenmesini sağlamaktadır. Ayrıca standartlar

oluşturulmasını ve risklerin daha etkili şekilde yönetilmesi ve azaltılması için fırsat

sunmakla birlikte etkinlik ve büyüme için yeni fırsatlar yaratılmasını sağlamaktadır.

Kurumsal risk yönetim sistemi etkili raporlama, yasa ve düzenlemelere uygunluk ve

kayıpların önlenmesi (gelir ya da itibar) konularında da kuruma yardımcı olmaktadır.

iyi tasarlanmış ve etkin işleyen kurumsal risk yönetim sistemi, yönetim ve yönetim

kuruluna kurum hedeflerinin başarılması ile ilgili makul güvence sağlayabilir. Makul

güvence, kimsenin kesin tahminlerde bulunamayacağı gelecekteki belirsizlik ve riskleri

yansıtmaktadır. Çoğu faktör, bireysel ya da toplu olarak, makul güvence kavramını

desteklemektedir. Faaliyetler yürütülürken ve sorumluluklar yerine getirilirken

hedeflerde başarıya ulaşılması amaçlanır. iyi bir iç kontrol sistemine sahip olan kurumlar,

stratejik ve faaliyet hedeflerine yönelik eylemlerden düzenli olarak bilgi sahibi olacaktır.

Bununla beraber kontrol edilemeyen bir olay, hata ya da yanlış raporlama meydana

gelebilir. Bir başka deyişle, etkin bir kurumsal risk yönetim sistemine rağmen hata ile

karşılaşılabilir. Bu nedenle sistemin işleyişinin etkinliği ile ilgili üst yönetime ancak

makul bir güvence sunulur ve bu kesin güvence anlamına gelmemektedir.

Güçlü bir kurumsal risk yönetim sisteminin önemi dünya genelinde giderek daha fazla

kabul edilmektedir. Kurumlar; sosyal, etik, çevre, finans ve faaliyet alanlarında

karşılaştıkları riskleri tanımlamaya ve risklerin kabul edilen seviyede (risk iştahı)

yönetimi ile ilgili açıklama yapmaya zorlanmaktadır. Risklerin başarılı bir şekilde

yönetilmesi için önemli ve stratejik bir çaba gösterilerek kurumsal risk yönetim

sorumluluğu kurum çapında üstlenilmelidir. Ayrıca etkili kurumsal risk yönetimin etik

risk yönetimine dayandığı unutulmamalıdır

Hiçbir kurum risklerden arındırılmış bir ortamda operasyonlarını/faaliyetlerini

yürütmediği gibi KRY de hiçbir kuruma böyle bir ortamı sağlayamaz. Kuruma temel

katkısı, risklerle dolu bir çalışma ortamında faaliyetlerin daha etkin yürütülmesi olan

KRY’nin başlıca faydaları şu şekilde sıralanabilir.

KRY’nin ilk faydası, risk yönetimi için kurumsal çapta bir yaklaşım tesis etmesidir.

Geçmişte, işletmeler genellikle geleneksel bir silo yaklaşımla riskleri ele almaktaydılar.

Silo yaklaşımında, işletmeler riskleri departman bazında bir perspektiften ve dar bir

kapsamda incelemekteydiler. Örneğin, risklerin yönetimi departman içi stratejiler yoluyla

yapılıyordu ki buralarda her bir ayrı departman kendi risklerini yönetmekteydi. Bu

yaklaşım risk yönetimi için tamamen yetersizdir. Çünkü risklerin birbiriyle ilişkisi ve

etkileşimi vardır ve bu etkileşim sonucunda potansiyel bir domino etkisi

oluşabilmektedir. Silo yaklaşımında bu etkileşim ve ilişki dikkate alınmamaktadır. KRY,

riskler karşısında bütün kurum düzeyinde ortak çalışılması gerektiğinin ve risklerin

potansiyel domino etkilerinin anlaşılmasını sağlar.

KRY’nin bir diğer faydası, işletmelerin risklerini yönetmede çok daha proaktif bir tutum

takınmalarını sağlamasıdır. Günümüzün hızlı ve değişken pazarları dikkate alındığında,

günlük bazda potansiyel risklere maruz kalınmaktadır. Bu maruz kalma ile başa

çıkabilmek KRY’deki gibi çok daha etkili bir strateji gerektirmektedir. Proaktif tutum

yoluyla riskler meydana gelmeden önce belirlenir ve bu risklerin olumsuz etkilerini

azaltmak için önceden düzeltici faaliyetlerde bulunulur. KRY’nin kullanılmasıyla,

işletmeler bir risk sinir sistemi tesis edebilirler ki bu da çeşitli kararlarla birleşmiş risklerin

sistematik olarak belirlenmesini mümkün kılar, olası maruz kalmalar için uyarıcı olur,

önleyici faaliyetlerin yapılmasını ve bu aksiyonlardan öğrenilmesini olanaklı kılar. KRY,

kurumlarda reaktif yönetim tarzından proaktif yönetim tarzına geçilmesine katkıda

bulunur.

KRY, kurumun varlığının ve/veya operasyonlarının/hizmetlerinin kesintisiz devam

etmesini sağlar. KRY, bir kurumun operasyonlarının/hizmetlerinin kesilmesi ya da

durması olasılığını ve etkilerini kritik seviyeden düşük tutarak kurumun

operasyonlarının/hizmetlerinin devamlılığını önemli ölçüde güvence altına alır.

KRY, risk ve getiri/değer oluşturma arasındaki ilişkiyi kuvvetlendirir. Kurumlar değer

oluşturmak/hizmet sunmak veya mevcut değerleri korumak/hizmetleri sürdürmek adına

riskleri kabul ederler ve bir getiri/değer oluşturma beklerler. KRY yürüttüğü faaliyetlerle

risk ve getiri/değer oluşturma arasındaki ilişkiyi sağlamlaştırır.

KRY, olası kayıpların etkilerini kontrol altında tutarak maliyetlerin azaltılmasına ve

dolayısı ile kurumun varlıklarının ve maddi değerlerinin korunmasına yardımcı olur.

KRY, kayıpların olası büyüklüklerine göre çok daha düşük maliyetli önlemler ile daha

büyük kayıpların önüne geçer. Ciddi kayıplara yol açabilecek potansiyel tehditlerin

sigorta gibi mekanizmalarla üçüncü şahıslara transfer edilmesi gibi stratejiler ile

doğabilecek potansiyel maliyetlerin azaltılmasına yardımcı olur.

KRY, kurum yönetiminin, risk tepkilerine ilişkin kararlar alabilmesi için uygun

yöntemler ve teknikler sağlar. Bu sayede kurum üst yönetimi daha az belirsizlik daha çok

belirlilik koşulları altında karar alır. Ayrıca alınan kararların uygun verilerle

desteklenmesi üst yönetime performans değerlendirmeleri için fırsat verir.

KRY, kurumun daha az sürprizlerle karşılaşıp amaçlarına/hedeflerine ulaşma olasılığını

artırır. KRY ile kurumun karşı karşıya kalabileceği olumsuzluklar hem nitelik hem de

nicelik açısından önemli ölçüde azaltılabilir. Böylelikle kurum üst yöneticileri enerjilerini

ve ilgilerini anlık problemleri çözmek yerine kurumun stratejik önceliklerine

yönlendirme imkânını yakalayabilirler ve önlerini daha net bir şekilde görebilirler.

KRY, yasal ve idari zorunluluklara uyumu sağlayan önemli bir araçtır. Kurumlar faaliyet

göstermekte oldukları alanlara bağlı olarak çok farklı sayıda yasaya ve düzenlemeye bağlı

olarak çalışmak zorundadırlar. Bu yasalara ve düzenlemelere aykırı olarak yürütülecek

faaliyetler kurumun varlığını dahi tehdit edebilecek büyüklükte sonuçlar

doğurabilmektedir. Kurum üst yönetimleri etkin bir KRY ile bu alandaki faaliyetleri arzu

edilen düzeyde kontrol altında tutabilecek alt yapıya sahip olurlar.

KRY’nin diğer bir faydası iç denetim fonksiyonunun beklenen gelişimidir. KRY, çeşitli

yollarla denetim fonksiyonunu çok daha iyi ve etkili kılmaktadır. Bunun nedeni, KRY

uygulamaları ile iç denetçilerin işletmelerin risk profiline dair önemli miktarda bilgi elde

etmeleri ve böylece kapsamı ölçülebilen risklerin daha etkin yönetilebilir hale gelmesidir.

KRY olmaksızın, iç denetçilerin kendileri için yüksek kaliteli bilgi elde etmeleri oldukça

güç olacaktır. Bu yüzden KRY iç denetçilere kendi işletmelerinin risklerini en iyi şekilde

anlamalarına, bu riskleri uygun şekilde önceliklerine göre sıralamalarına ve bu riskleri

hafifletmek için uygun planlar geliştirmelerine olanak tanıyacak önemli miktarda bilgi

elde etmelerini sağlayacaktır. KRY’nin bir diğer önemli faydası da iç denetçinin risk

algılamasını etkileyerek iç denetçinin kurumun amaçlarına ulaşmasını engelleyecek

risklere odaklanmasını sağlamaktır. Böylelikle iç denetçinin kuruma değer katma

fonksiyonu ön plana çıkmaktadır.

4.5. Kurumsal Risk Yönetimi Olgunluk Seviyeleri

Günümüzde KRY işletmelerde/kurumlarda temel uygulama, genele uygulama, bugünün

en iyi uygulamaları ve yarının en iyi uygulamaları olmak üzere toplam 4 olgunluk

seviyesinde uygulanmaktadır. Olgunluk seviyesi, işletmenin kendi KRY içyapısını

tanıması açısından önemlidir.

Şekil 4.8. Kurumsal Risk Yönetimi Olgunluk Seviyeleri

Şekil 4’te belirtilen “olgunluk seviyeleri”, kayıpları önlemeye yönelik risk yönetimi

faaliyetlerinden değer yaratmaya doğru bir gelişme çizgisini ifade etmektedir. Daha üst

olgunluk seviyelerine ulaşmak için alt seviyelerin sırasıyla tamamlanması gerekmektedir.

Her bir seviye eklenerek bir üsttekini desteklemektedir. KRY çerçevesi, adım adım

planlanarak oluşturulmalıdır. Bu seviyeler, işletmeleri KRY açısından herhangi bir “iyi–

kötü” ölçeğinde değerlendirmek amacıyla kullanılmamaktadır ve kullanılmamalıdır.

İşletmelerin olmaları gereken seviyelere ulaşmamaları ve/veya o noktanın gerisinde

kalmaları, olgunluk seviyesi açısından önem taşımaktadır.

4.6. Kurumsal Risk Yönetiminin Etkinliği

KRY bir süreç iken, “etkinlik” bu sürecin belli bir noktasındaki durum ya da

haldir. Kurum amaçlarına en etkili şekilde ulaşabilmesi KRY’de yer alan bileşenlerin

birbirleri ile olan ilişkisinin etkin kurulumu ile mümkün olabilir. KRY’nin “etkin” olup

olmadığına karar vermek için sözü geçen sekiz bileşenin mevcut olduğunu ve etkin bir

şekilde işleyip işlemediğini değerlendirmek gerekir. Nitekim bu bileşenler KRY’nin

etkinlik kriterleridir. Bileşenlerin mevcut ve etkin olmaları için hiç maddi zayıflık

olmamalı ve alınan risk istenen seviyede olmalıdır. KRY tüm dört amaç kategorisinde

etkin ise, yönetim makul bir güvenceyle aşağıdakileri varsayabilir:

• Kurumun stratejik hedefleri gerçekleştiriliyor,

• Kurumun operasyonel hedefleri gerçekleştiriliyor,

• Kurum güvenilir raporlama yapıyor,

• İlgili kanun ve düzenlemelere uyuluyor.336

COSO’nun KRY modeli, çapı ve büyüklüğü fark etmeksizin bütün

kurumlarda/işletmelerde uygulanabilir niteliktedir. Küçük ve orta ölçekli kurumların

uygulama aşamalarındaki faktörler büyük işletmelerden farklı olabilir. Ancak bu,

verimliliği ve etkililiği olumsuz yönde etkilemez. KRY modeli, küçük işletmelerde büyük

işletmelerdekilere göre daha az biçimsel, resmi ve yapılandırılmış olabilmektedir. Ancak

temel içerik büyüklük fark etmeksizin her kurum için hazır olmalıdır.

KRY, bir kurumun tamamını bağlayıcı olarak tasarlanır. Bunu yapabilmek için de

uygulamalar genel işletme üniteleri içinde incelenir. Etkin KRY’de, bazen belli bir birim

diğerlerinden farklı bir şekilde de incelenebilir. Böyle bir durumda, risk yönetiminin etkin

olabilmesi için bu birimde sekiz unsurun mevcut olup etkin bir şekilde işlemesi gerekir.

Dolayısıyla, belli özelliklere sahip bir yönetim kurulu kurumun iç ortamının bir parçası

olduğundan, belli bir birim için KRY’nin etkin olarak incelenebilmesi için buna uygun,

etkin çalışan bir yönetim kuruluna ya da benzeri bir yapıya sahip olunmalıdır. Aynı

şekilde, risk tepkisi unsuru, eldeki riski portföy bakış açısından incelenip açıklandığı için,

KRY’nin etkin olarak incelenebilmesi için o birim de riski aynı şekilde görmelidir.

4.7. Kurumsal Risk Yönetiminin Sınırlılıkları

KRY uygulamasının çok sayıda faydaları olmasına rağmen, burada dile getirilmesi

gereken bazı sınırlılıkları da bulunmaktadır. Maalesef bir kurumda KRY’nin etkin olarak

tasarlanması ve uygulanması kurumun amaçlarının başarılmasını garanti etmemektedir.

KRY’nin, bir kurumun olası başarısızlığını tamamen engellediği yaklaşımı tamamen

yanıltıcıdır. Bu bağlamda KRY, kurumun amaçlarının başarılması hususunda kesin bir

güvence vermez ancak makul düzeyde bir güvence verir. Ancak makul güvence kavramı,

KRY’nin sürekli başarısızlığa uğrayacağı anlamını taşımaz. Birçok unsur, yalnız başına

veya bir arada, makul güvence kavramını kuvvetlendirmektedir. Riske yönelik bütünsel

yaklaşımlar birçok hedefe ulaşılmasını sağlayabilir ve iç denetimin çok amaçlı doğası

kurumun hedeflerine ulaşamama riskini azaltır. Ayrıca, kurumun günlük operasyonel

faaliyet ve görevlerinde bulunan farklı mevkilerdeki personeller, kurumu hedeflerine

ulaşma doğrultusunda yönlendirebilirler. Aslında, iyi yönetilen kurumlarda genellikle

birimler kurumun stratejik ve operasyonel hedeflerine yönelik çalışmalar ile ilgili düzenli

olarak bilgilendirilir, yönetmeliklere bağlı kalınır ve belli aralıklarla güvenilir raporlar

üretilir. Ancak, kontrol dışında gelişen bir durum, bir hata ya da uygunsuz raporlamalar

gerçekleşebilir. Diğer bir deyişle, etkin bir KRY uygulamasında bile hatalar olabilir. Bu

bağlamda makul güvence, kesin güvence demek değildir. KRY’nin belli başlı

sınırlılıklarına aşağıda yer verilmiştir.

Geleceğin Belirsizliği: Kurumların risk ve fırsatlarla karşılaşmasına neden olan

belirsizlik, gelecekte olabilecek potansiyel olayların olasılıklarının ve bu olayların

sonuçlarının kesin olarak belirlenememesi durumudur.

Üst Yönetimin Desteği: Bir kurumda KRY’nin oluşturulabilmesi ve etkin çalışabilmesi

üst yönetimin KRY’ye önem vermesine ve KRY uygulamalarını desteklemesine bağlıdır.

Eğer üst yönetim KRY'yi desteklemiyorsa veya kısıtlı/yetersiz bir destek veriyorsa

sistemin işletilmesi için gerekli verilere ulaşılamayacak, KRY uygulamalarına ilişkin

faaliyetler gerçekleştirilemeyecek ve sonuç olarak KRY’den beklenen faydalar

sağlanamayacaktır.

Hatalı Kararlar/Uygulamalar: KRY’nin önündeki sınırlılıkların bir diğeri de kurum

kararlarının alınması ve uygulanması sürecinde insan doğasından kaynaklanabilecek

hatalardır. KRY’nin etkinliği hatalı kararlar alabilen insanlarla sınırlıdır. Kararlar insan

yargılarıyla, eldeki veriler ışığında ve iş hayatının baskı dolu sürecinde alınmaktadır. Bu

durum da kararların güvenilirliğini zayıflatabilir.

Kötü Niyet: İki ya da daha fazla personelin kötü niyetli anlaşması KRY’nin başarısız

olmasına sebep olabilir. Usulsüz faaliyetlerinin tespit edilememesi için aralarında

organize olan personeller, genellikle finansal ve yönetsel verileri de KRY süreçlerinin

belirleyemeyeceği şekilde manipüle edebilmektedirler.

Maliyet ve Kazanç/Değer Yaratma: Kaynaklar sınırlı olduğundan kurumlar/işletmeler

kaynaklarının maliyet ve kazanç hesaplarını yapmak zorundadırlar. Kaynaklara ilişkin

kararlar, risk yönetim ve kontrol faaliyetlerini de içermelidir. Bir kararın alınması ya da

kontrolün oluşturulmasını belirlemek için olası başarısızlık riski ve bunun kurumdaki

etkileri, maliyetleriyle birlikte öngörülmelidir.

Yönetim Engeli: KRY, ancak onun işleyişinden sorumlu insanlar kadar etkin olabilir.

Risk ve kontrol bilincinin ve etik davranışların ön planda olduğu, alternatif iletişim

kanalları ile gerekli yönetim kurallarının bilincinde olan bir kurulun bulunduğu

kurumlarda/işletmelerde bile bir yönetici KRY’ye gerekli önemi vermeyebilir. Hiçbir

yönetim hatasız değildir ve suç işleme eğilimi olanlar sistemi yanıltmaya çalışabilirler.

Bölüm Soruları

S.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçişi açıklayınz.

S.2. Kurumsal Risk Yönetiminin Tanımı ve Önemini açıklayınz.

S.3. Kurumsal Risk Yönetiminde Genel Yapısını açıklayınz.

S.4. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamını açıklayınz.

S.5. Kurumsal Risk Yönetiminin Amaçlarını açıklayınz.

S.6. Kurumsal Risk Yönetiminin Faydalarını açıklayınz.

S.7. Kurumsal Risk Yönetimi Olgunluk Seviyelerini açıklayınz.

S.8. Kurumsal Risk Yönetiminin Etkinliğini açıklayınz.

S.9. Kurumsal Risk Yönetiminin Sınırlılıklarını açıklayınz.

5. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I


Kurumsal Risk Yönetiminde İç Çevre / Ortam

Kurumsal Risk Yönetiminde Amaçların Belirlenmesi

Kurumsal Risk Yönetiminde Olay Tanımlama

Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi


S.1. İş yerlerinde neden güvenlik personeli çalıştırılır

S.2. İş yerlerindeki standartlar niçin vardır?


Konu Kazanım


edileceği veya

geliştirileceği

Kurumsal Risk

Yönetiminde İç Çevre /

Ortam

Kurumsal Risk


Ortamı açıklar

Kurumsal Risk


Ortamı inceleyerek

Kurumsal Risk

Yönetiminde Amaçların

Belirlenmesi

Kurumsal Risk


Belirlenmesini yapar

Kurumsal Risk


Belirlenmesini yaparak

Kurumsal Risk

Yönetiminde Olay

Tanımlama

Kurumsal Risk

Yönetiminde Olay

Tanımlamasını yapar

Kurumsal Risk

Yönetiminde Olay

Tanımlamasını

uygulaması yaparak

Kurumsal Risk

Yönetiminde Risklerin

Değerlendirilmesi

Kurumsal Risk


Değerlendirilmesini yapar

Kurumsal Risk


Değerlendirilmesini

yaparak

Anahtar Kavramlar





Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı

etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır:

İç Ortam

Amaç/Hedef Belirleme

Olay Tanımlama

Risk Değerlendirme

Risk Tepkileri

Kontrol Faaliyetleri

Bilgi ve İletişim

İzleme

Nihai olarak her kurumun KRY algılaması ve uygulaması farklılık

gösterebilmektedir. Bu farklılığın nedeni faaliyette bulunulan sektörler olabileceği gibi

kurum büyüklüğü, kültürü ve yönetim felsefesi de olabilir. Bu nedenle kurumlarda

uygulanan KRY çerçeveleri ve kontrol yapıları farklı olabilir. Bu da genel olarak KRY

bileşenlerinin uygulamadaki ağırlıklarını ve dikkate alınma düzeylerini etkilemektedir.

Tablo 5.1. COSO – ERM Süreç Akışı

5.1.İç Çevre / Ortam

İç ortam/çevre, kurumdaki bütün personelin risk bilincini etkilediği için kurum kültürünü

yansıtır, bir disiplin ve yapı oluşturmak suretiyle KRY’nin diğer bütün bileşenleri için bir

temel oluşturur. İç ortamın anlaşılması kurumun faaliyetlerini gerçekleştirirken

karşılaşabileceği risklerin anlaşılabilmesi için temel şarttır. Bu nedenle iç ortam hakkında

yeterli bilgiye sahip olmak KRY sisteminin kurulması ve KRY bileşenlerinin etkinlikleri

açısından önemlidir. Kurumun risk yönetim felsefesi, risk iştahı, yönetimin

felsefesi/çalışma tarzı, dürüstlük ve etik değerler, personelin uzmanlığı ile organizasyonel

yapı iç ortam faktörleri arasındadır.

5.2.Amaçların Belirlenmesi

Amaç/hedef belirleme olay tanımlama, risk değerlendirme ve risk tepkilerinin ön şartıdır.

Olay tanımlamanın, risk değerlendirmenin ve risk tepkisinin etkin gerçekleştirilebilmesi

farklı seviyelerdeki kurum amaçlarının/hedeflerinin tam ve doğru olarak belirlenmesine

bağlıdır. Yönetimin gerekli önlemleri almak ve başarılı olmak için riskleri tanımlayıp

değerlendirmeden önce belirlenmiş amaçlarının/hedeflerinin olması gerekir. Dolayısıyla

amaçların/hedeflerin belirlenmesi, risk yönetiminin ön koşuludur. Bir kurumun

amaç/hedeflerinin ve buna bağlı olarak belirlenmiş stratejilerinin bulunması, o kurumun

değer yaratma ve risk yönetimi uygulamaları için sağlam bir zemin oluşturduğunu

gösterir. COSO’nun Kurumsal Risk Yönetimi Modeli doğrultusunda amaçlar aşağıdaki

şekilde sınıflandırılmaktadır:

Stratejik Amaçlar; Kurumun misyonunu ve vizyonunu destekleyen

üst düzey amaçlardır.

Operasyonel Amaçlar; Kurumun temel görevlerinin

gerçekleştirilmesine yönelik, faaliyetlerin etkinliği ve verimliliği ile

performans standartları ve varlıkların kayıplara karşı korunmasını

da içeren amaçlardır.

Raporlama Amaçları; Hesap verme sorumluluğu da dâhil olmak

üzere raporlamanın güvenilirliğine ilişkin amaçlardır. Güvenilir

raporlamanın temel amacı, sağlıklı karar verebilmesi için yönetime,

uygun, doğru ve tam bilgi sağlamaktır.

Uygunluk/Uyum Amaçları; Yürürlükteki yasa ve düzenlemeler ile

politikalara uygunluğa ilişkin amaçlardır.

Kurumun amaçlarının bu şekilde kategorize edilmesi, kurumsal risk yönetiminin farklı

açılardan ele alınabilmesine imkân sağlar. Bir amaç birden fazla kategoriye dâhil olabilir.

Öncelikle stratejik amaçlar/hedefler belirlenmeli ve kurumun stratejik planında yer

almalıdır. Daha sonra stratejik amaçları/hedefleri destekleyen alt/bağlı hedefler

(operasyonel, raporlama, uygunluk) belirlenmelidir. Stratejik amaçlar/hedefler ve

operasyonel amaçlar/hedefler tamamıyla kurum kontrolünde değildir.

Amaçların/hedeflerin belirlenmesi sürecinde kurum stratejileri, risk iştahı ve bunların

kurum misyonu ve vizyonu ile olan ilişkileri dikkate alınmalıdır. Aksi halde belirlenen

amaçlar/hedefler birbirleriyle çelişebilecek veya ulaşılması imkânsız olabilecektir.

Kurumun ana hizmet birimleri, alt bölümleri ve daha alt bölümleri için belirlenen

hedefler, kurumun stratejik amaç/hedefleriyle bütünleşecek şekilde belirlenmelidir.

Birim/bölüm misyonu, vizyonu ve amaçlarının/hedeflerinin de kurumun stratejik

amaçlarını/hedeflerini destekleyecek şekilde belirlenmesi ve dokümante edilmesi

gerekmektedir. Birimin amaçlarının/hedeflerinin bu şekilde açıkça belirlenmesi, birim

performansının ölçülmesi ve izlenmesini de kolaylaştıracaktır.

5.3. Olay Tanımlama

KRY bileşenlerinden üçüncüsü olan olay tanımlama, gelecekte karşılaşılabilecek olan ve

kurum amaçlarının/hedeflerinin gerçekleşmesini engelleyebilecek olay veya durumların

tanımlanmasıdır. Bu olay veya durumlar, negatif bir etki yaratabilecek olmaları halinde

“risk” pozitif bir etki yarabilecek olmaları halinde ise “fırsat” olarak tanımlanır. Bu

aşamada, kurum iç ortamı ve belirlenen amaçlar/hedefler çerçevesinde kurumun

amaçlarına/hedeflerine ulaşmasının önündeki engeller olan riskler ile amaçları/hedefleri

destekleyen fırsatlar tanımlanır. Olaylar tanımlanırken iki önemli konuya dikkat

edilmelidir. Bunlardan biri “gelecekte olma olasılığı” diğeri ise “fırsat veya tehdit”

içermesidir. Belli bir durumda, tanımlanmış veya tanımlanmamış çok sayıda sorun

olabilir. Ancak bu sorunlar mevcut bir durumun (statement) ifadesidir ve risk kapsamında

değerlendirilmemelidir. Çünkü risk şu anda var olanlara değil gelecekte ortaya çıkması

muhtemel durumlara işaret eder. Mevcut sorunlar için çözüm geliştirilmesi ile risklere

karşı yanıt üretilmesi birbirinden farklı yaklaşım ve yöntemler gerektirdiğinden bu önemli

bir ayrımdır. İkinci önemli konu riskler kadar fırsatların da tanımlanması gerekliliğidir.

Çünkü gelecekte olması muhtemel bazı durumlar, amaçlarımıza ulaşmamızı sekteye

uğratabileceği gibi yeni fırsatlar sunarak amaçlarımıza ulaşmamızı kolaylaştırabilir.

Yönetimin amacı, kurumun risk ve fırsatlara hazırlıklı olmasını sağlamaktır. Bu hazırlık,

olumsuzluklar karşısında çaresizliğe düşülmesini engelleyecek veya fırsatlardan azami

ölçüde istifade edilmesini sağlayacaktır.

5.3.1. Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi

Olay (risk/fırsat) tanımlamalarında kullanılacak veriler kurum içinden ve önceden

belirlenen kurum hedeflerinden elde edilir. Olay (risk) tanımlama süreci sonucunda ise

risk kaynaklarına, riske neden olabilecek potansiyel olaylara, risk belirtilerine ve

KRY’nin bundan sonraki aşamaları için gerekli olan temel verilere ulaşılır.

Olay (risk/fırsat) tanımlama sürecine yön veren temel belgeler; kurum stratejik

planı ve hedefleri, performans planı/programı, kontrol listeleri, kayıtlara ve deneyimlere

bağlı çıkarımlar, akış diyagramları, tartışmalar, sistem analizleri, senaryo analizleri ve

sistem mühendislik teknikleridir. Kullanılan yaklaşım, gözden geçirilen aktivitelerin

doğasına, risk tiplerine, kurumun iç unsurlarına ve risk yönetim çalışmasının amacına

bağlı olarak değişecektir.

5.3.2. Olayların (Risklerin/Fırsatların) Kaynakları

Amaçlar/hedefler üzerinde etki yaratabilecek olaylar, iç veya dış ortamdan

kaynaklanabilir. Bu nedenle olayların tanımlanması sırasında, iç ve dış ortama ilişkin

bilgilerin elde edilmesi ve analizi gerekir. İç ve dış ortam, kurumun faaliyetlerini

sürdürdüğü veya bu faaliyetler esnasında etkileşim içerisinde olduğu, fiziki olan veya

olmayan bütün unsurlardır. Bu unsurlar, risklerin kaynağını oluşturur, riskleri tetikler

veya risklerin etki düzeylerini belirler. Riskin gerçekleşme ihtimali ve eğer gerçekleşirse

nasıl bir etki göstereceğinin tahmininde iç ve dış ortamın bilinmesi gereklidir.

İç ortam analizi, kurumun iç ortamından kaynaklanan ve kurum tarafından kontrol

edilebilecek olayların (risk/fırsatların); dış ortam analizi ise kurumun kontrolü dışındaki

koşullardan kaynaklanabilecek olayların (risk/fırsatların)belirlenmesini sağlar. Risklerin

kaynağının belirlenmesi, risklerin yönetilmesini kolaylaştırır. Kurum içi nedenlerden

kaynaklanabilecek risklerin yönetimi dış kaynaklardan doğabilecek risklere göre daha

kolaydır. Dış faktörlere/kaynaklara örnek olarak, ülkedeki ekonomik veya siyasi durum,

doğal afetler, nüfus yapısı, teknolojik değişiklikler; iç faktörlere ise, kurumun

organizasyon yapısı, insan kaynakları, kurum kültürü, teknoloji alt yapısı, bütçe

büyüklüğü v.b. verilebilir.

5.3.3. Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler

Olay (risk/fırsat) tanımlamasında çok çeşitli yöntem ve tekniklerden yararlanılabilir.

Bunlar çalıştaylar, mülakatlar ve atölye çalışmaları, senaryo analizleri, anketler, süreç

analizleri, beyin fırtınası, sektör karşılaştırmaları, geçmiş hataların analizi, tarihsel veriler

temelli tanımlama ve performans gözden geçirmeleri olarak sıralanabilir.

Risklerin tanımlanması aşamasında kullanılabilecek bir diğer yöntem de kurum

geçmişine ait verilerin incelenmesidir. İncelenecek veriler muhasebe kökenli olabileceği

gibi geçmiş dönem denetim çalışma kâğıtları, vatandaş/müşteri şikâyetleri, iş akış

şemaları ve faaliyetlerin yürütülmesi sırasında uyulması geren yönetmelikler de dahil

olmak üzere geniş kapsamlı olarak düşünülebilir. Olay envanteri yönteminde, benzer

kurumlarda gözlemlenen olayların ayrıntılı listeleri oluşturulur. Dahili analiz yönteminde

ise personel toplantıları aracılığı ile müzakereler yapılmaktadır. İşlem akışı analizinde ise

girdiler, görevler, sorumluluklar ve çıktılar bir süreç olarak ele alınıp incelenmektedir.

5.3.4. Risklerin Sınıflandırılması

Olay (risk/fırsat) tanımlama süreci, tanımlanan risklerin sınıflandırılması ile son bulur.

Bir kurumun/işletmenin karşılaşabileceği riskler çok farklı şekillerde sınıflandırılabilir.

İşletmenin yapısal ve sektörel özellikleri bu sınıflandırmayı önemli ölçüde etkileyecektir.

5.4. Risklerin Değerlendirilmesi

Risk değerlendirme, tanımlanan ve sınıflandırılan risklerin ortaya çıkma olasılığı ve

muhtemel etkilerinin ölçülmesi, sıralanması ve önceliklendirilmesi süreçlerini içerir. Risk

değerlendirme bir önceki aşamada belirlenmiş olan risklerin daha detaylı anlaşılması ile

ilgilidir. Risk değerlendirme ile risklerin önceliklendirilmesi sağlanır. Riskler

önceliklendirilmelidir çünkü kurumun amaçları/hedefleri üzerinde her risk eşit düzeyde

önemli değildir. Bu nedenle yöneticiler hangi alana daha çok yoğunlaşmaları gerektiğini

risklerini ölçerek ve değerlendirerek belirlerler. Ayrıca risk değerlendirmesi, belirlenmiş

risklere nasıl tepki verileceğine ve fayda/maliyet dengesi açısından en uygun olan

karşılıkların seçilmesine de yardımcı olacaktır.

Risk değerlendirmenin KRY bileşenleri içinde anahtar bir rolü bulunmaktadır. KRY

bileşenlerinden iç ortam, amaç/hedef belirleme ve olay tanımlama aşamaları diğer

aşamalar için bir bilgi toplama ve çerçevenin çizilmesi olarak kabul edilebilir. Bundan

sonraki aşamalar (risk değerlendirme, risk tepkileri, bilgi-iletişim ve izleme) risklere karşı

faaliyet alanıdır ve bu faaliyetlere risk değerlendirme sürecinin çıktıları yön verir. Risk

değerlendirme metodolojisi nitel veya nicel olabilir, objektif ya da subjektif metotlara

dayanabilir. Etki ve olasılık analizi, iş etki analizi, SWOT analizi, olay ağacı yöntemi,

PEST analizi bu yöntemlerden bazılarıdır. Kurumlar, ihtiyaçları ve kapasiteleri

doğrultusunda bu yöntemlerden birini veya birkaçını tercih edebilirler. Kurumlar,

genellikle risklerin niceliksel olarak ölçülmesinin mümkün olmadığı veya niceliksel

değerlendirme için gerekli olan yeterli güvenilir verinin bulunmadığı ya da bu tip verinin

elde edilmesi ve incelenmesinin aşırı maliyetli olduğu durumlarda niteliksel

değerlendirme tekniklerini kullanırlar. Niceliksel teknikler, analizlere daha çok doğruluk

ve kesinlik kazandırmakta ve karmaşık faaliyetlerde niteliksel teknikleri tamamlayıcı

olarak kullanılmaktadır. Niceliksel değerlendirme, bazı zamanlar matematiksel

modellerin kullanılması gibi daha yüksek çaba gerektiren teknikler içermektedir.

Niteliksel teknikler, yardımcı verilerin ve varsayımların kalitesine bağlı olmakla birlikte,

belirli tarih ve değişkenlik sıklığına sahip olan ve güvenilir tahmin imkânı veren riske

açık olma durumlarıyla oldukça ilişkilidir.

Şekil 5.1. Basit risk/tolerans matrisi

Şekil 5.2. Yapısal risk – artık risk1

5.4.1. Etki Analizi

Riskler genellikle ortaya çıkma olasılıklarına ve ortaya çıktıklarında kuruma

etkilerine göre analiz edilirler. Bu nedenle risklerin önem seviyesi, etkiler ve olasılıkların

bir araya gelmesi ile oluşturulmalıdır. Tek başına etki veya olasılık, riskin öneminin ve

önceliğinin belirlenmesinde kullanılmamalıdır. Bu durum; Risk = f (Etki, Olasılık) olarak

formüle edilebilir.

Etki ve olasılık analizinde, riskin muhtemel etkisi ve gerçekleşme olasılığı,

belirlenen risk kriterleri doğrultusunda değerlendirilir. Risk kriterlerinin sayısı sınırlı

tutulmalı, bununla birlikte bu sayı risk değerlendirmenin kapsamlı olduğuna güven

duyulmasını sağlamaya da yetmelidir. Risk değerlendirmede kullanılacak kriterler risk

değerlendirmenin yapılış amacına, zamanın elverişliliğine, uzman personelin varlığına,

katılımcıların bilgi seviyesine ve beklentilerine ve son olarak ulaşılmak istenen sonuçlara

bağlıdır. Kullanılan risk kriterleri mutlaka açık bir şekilde tanımlanmalıdır. Etki ve

olasılığın tahmin edilmesinde istatistiksel analiz ve hesaplamalar da kullanılabilir. Eğer

elde bulunan bilgiler yetersiz, konu ile doğrudan ilgili ve güvenilir değil ise belirli bir

olayın ya da sonucun oluşacağına dair bireylerin veya grupların tahminlerine dayandırılan

analiz yapılabilir. Bu tip analizlerde bireylerin tahminleri ve grupların tahminleri arasında

bir denge sağlanmalı ve analiz sonucunda ortaya çıkabilecek farklı tahminler arasında bir

görüş birliğine ulaşılması sağlanmalıdır. Analizler her ne kadar sübjektif olsa da mutlaka

bazı kritik risk göstergeleri ile ilişkilendirilmelidir. Riskin etkisi, kurum hedeflerinin

aşarılamaması ve kurum stratejilerinin başarılı bir şekilde yürütülememesi durumunda

kurumun karşı karşıya kalacağı olumsuz durumlardır. Kurumun zarara uğraması, kurum

imajının zarar görmesi, kurumun verdiği hizmetlerin durması ya da hizmetlerin kalitesiz

bir şekilde verilmesi, personelin ya da halktan birilerinin ölmesi/yaralanması v.b.

durumlar riskin muhtemel etkilerine somut örnekler olarak verilebilir. Riskin muhtemel

etkisinin değerlendirilmesinde kullanılabilecek risk kriterlerine ilişkin bazı örnekler

aşağıda yer almaktadır:

Kurum hedefleri

Kurum imajı/itibarı

Varlıkların korunması

Finansal etki

Stratejik etki

Sağlık/güvenlik

Hizmet sunumu/kalitesi

Sosyal etki

Operasyonların etkinliği ve verimliliği

Yukarıda belirtilen kriterlerden finansal etki kriteri, riskin gerçekleşmesi

durumunda kurumun finansal varlıkları üzerinde ne derecede bir etki yapacağını

belirlemek için kullanılan kriterdir. Kurum imajı/itibarı kriteri ise riskin gerçekleşmesi

durumunda kurumun imajı/itibarı üzerinde ne derecede bir etki yapacağını belirlemek için

kullanılan kriterdir. Etki kriterlerinin belirlenmesinde ve ağırlıklandırılmasında bu

kriterlerin kurum için taşıdığı önem dikkate alınmalıdır.

5.4.2. Olasılık Analizi

Gelecekte meydana gelebilecek bir olayın ortaya çıkma olasılığının tahmini, gelecek

zaman dilimindeki olaylarla ilgili mevcut belirsizlik ve insan faktörünün yapılacak

tahminlere olan güvensizliği nedenlerinden dolayı oldukça zordur.291 “Riskin oluşma

olasılığı, geçmiş deneyimler ışığında ya da mevcutsa geçmiş verilerin istatistiksel olarak

değerlendirilmesiyle tahmin edilir. Olasılık teorisi, riskin oluşma olasılığının değerini

belirlemekte önemli rol oynar.”Riskin olasılığı en basit şekliyle düşük, orta ve yüksek

olarak ölçeklendirilebilir. Ölçeklendirme risklerin ne kadar hassas değerlendirildiğiyle

ilgilidir ve daha ayrıntılı ölçeklendirmeler de kullanılabilir. Genel olarak gerek olasılığın

gerekse etkinin ölçülmesinde beşli ölçekler tercih edilmektedir. Aşağıda Tablo 4’de 5’li

bir olasılık ölçeği örnek olarak verilmiştir.

Risklerin gerçekleşme olasılıklarının belirlenmesinde çeşitli olasılık kriterleri

kullanılabilir. Riskin gerçekleşme olasılığının değerlendirilmesinde kullanılabilecek

kriterlere ilişkin bazı örneklere aşağıda yer verilmiştir.

Yasa ve düzenlemelerin yeterliliği

Personelin uzmanlığı, yeterliliği ve güvenilirliği

Faaliyetlerin karmaşıklığı ve değişkenliği

Otomasyon düzeyi

Faaliyetlerin coğrafi dağılımı

İç kontrol sisteminin yeterliliği ve etkinliği

S.2.

5.4.2. Risklerin Puanlanması

Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde, olasılık ve

etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu aşamada, her bir

risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu puanlar, seçilen

risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle her bir riske ilişkin

etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları birbiri ile

toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık ve etki

sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının toplanması

ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit ortalama veya

ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki puanlarının

toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık kriterlerine farklı

ağırlıklar verilir. Örneğin etki kriterinin daha önemli olduğunun düşünülmesi durumunda

etki kriterinin ağırlığı daha yüksek belirlenebilir. Çarpma işleminde ise her bir riskin etki

ve olasılık puanları çarpılmak suretiyle nihai risk puanı belirlenir. Çapma işlemi ile risk

puanlarının belirlenmesinde kurum açısından önemli olduğu düşünülen etki veya olasılık

kriterlerine yüksek ağırlıklar verilebilir. Örneğin risklerin stratejik etkilerinin finansal

etkilerinden Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde,

olasılık ve etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu

aşamada, her bir risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu

puanlar, seçilen risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle

her bir riske ilişkin etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları

birbiri ile toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık

ve etki sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının

toplanması ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit

ortalama veya ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki

puanlarının toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık

kriterlerine farklı ağırlıklar verilir. Örneğin etki kriterinin daha önemli olduğunun

düşünülmesi durumunda etki kriterinin ağırlığı daha yüksek belirlenebilir. Çarpma

işleminde ise her bir riskin etki ve olasılık puanları çarpılmak suretiyle nihai risk puanı

belirlenir. Çapma işlemi ile risk puanlarının belirlenmesinde kurum açısından önemli

olduğu düşünülen etki veya olasılık kriterlerine yüksek ağırlıklar verilebilir. Örneğin

risklerin stratejik etkilerinin finansal etkilerinden daha önemli olduğu düşünülüyorsa

stratejik etkinin ağırlığı finansal etkinin ağırlığından daha yüksek belirlenebilir. Risklerin

puanlanması çalışmaları sırasında aşağıda belirtilen hususlar dikkate alınmalıdır:

Değerlendirmelerin mümkün olduğunca objektif olmasını sağlayabilmek

için kilit personelin bir araya gelmesine ve etki/olasılık puanlamalarının

tartışma ortamı içerisinde yapılmasına özen gösterilmelidir.

Puanlamalar sırasında, kriter tanımları sürekli gözden geçirilerek, risk

kriterinin neyi ölçmekte olduğu hatırlanmalıdır.

Her bir risk, etki ve olasılık kriterleri açısından 1-5 arası puanlar verilerek

yani 5’li bir ölçek kullanılarak değerlendirilmelidir. Bu değerlendirmede

(1) en düşük ya da ilgili olmayan etkiyi/olasılığı, 5 ise en yüksek

etkiyi/olasılığı ifade etmektedir.

Puanlar verilirken, en düşük(1) ve en yüksek (5) puanlar için birer örnek

düşünülmeye çalışılmalıdır.

Her bir risk ayrı ayrı ele alınmalı ve ölçüm yatay bir şekilde

uygulanmalıdır.

S.3.

S.4. Şekil 5.3. Nitel ve Nicel Ölçüm Tekniklerinin Birleşimi

S.5.

5.4.3. Risklerin Önceliklendirilmesi

KRY’nin öncelikli amacı, kurumun amaç ve hedefleri üzerinde etkili olabilecek kritik

risklerin belirlenmesi ve sınırlı kaynakların bu alanlarda yoğunlaştırılmasıdır. Bu

nedenle, bütün risklerin en yüksek risk puanından başlayarak kendi içerisinde sıralanması

gerekir. Risklerin olasılık ve etki sonuçları risk matrisi (haritası) ile gösterilebilir. Risk

kriterleri kullanılarak önce etki ve olasılık puanları daha sonra nihai risk puanları

belirlenen ve bu puanlara göre sıralanan riskler, risk matrisi (haritası) aracılığıyla toplu

bir şekilde gösterilirler. Risk matrisi, yatay ekseni risklerin olasılık boyutunu dikey ekseni

ise etki boyutunu gösteren bir grafik şeklindedir.

Şekil 5.4. Risk haritası - Önceliklendirme

Tablo 5.2. Risk Matrisi (Haritası)

I. Nolu Alan: Etkisi ve olasılığı düşük olan riskler bu alanda yer alır. Bu riskler, kurumun

risk iştahı sınırları içinde kalması nedeniyle kabul edilebilir olan risklerdir. Bu riskler,

herhangi bir önlem alınmadan olduğu gibi bırakılabilir.

II. Nolu Alan: Bu alanda etkisi yüksek ve olasılığı düşük olan riskler yer almaktadır.

Olasılığın düşük olması, kontrollerin (insan kaynakları, mevzuat ve düzenlemeler,

otomasyon düzeyi v.b) görece yeterli olduğunu göstermektedir. Dolayısıyla bu alanda yer

alan risklere ilişkin kontroller, birim yöneticisi tarafından değerlendirilmeli ve etkinliğine

ilişkin olarak güvence verilmelidir.

III. Nolu Alan: Bu alan etkisi düşük ancak gerçekleşme olasılığı yüksek olan risklerin yer

aldığı alandır. Kurum kaynaklarının yeterli olması halinde, bu risklere ilişkin kontrol

faaliyetleri geliştirilebilecektir.

IV. Nolu Alan: Bu alanda etkisi ve olasılığı yüksek olan riskler yer almaktadır. Olasılığın

yüksek olması, kontrollerin bulunmadığı veya yetersiz olduğuna işaret etmektedir. Üst

yönetim tarafından, bu risklere yönelik risk tepkilerinin (kaçınmak, kontrol etmek,

transfer etmek) belirlenmesi gerekir. Birim, risk raporlamalarında bu riskler ile risklere

ilişkin önerilerini, üst yönetimin onayına sunmalıdır. Puanlanan risklerin Risk

Matrisi’nde toplu olarak gösterilmesine ilişkin örnek bir tablo aşağıda yer almaktadır:

Tablo 5.3. Puanlanan Risklerin Matriste (Risk Haritası) Gösterilmesi

5.4.4. İçsel ve Kalıntı Riskin Ölçülmesi

Risklerin değerlendirilmesi sürecinde dikkate alınması gereken bir diğer önemli

konu da risklerin içsel ve kalıntı risk seviyelerinin ayrı ayrı değerlendirilerek

ölçülmesidir. “Doğal risk” ya da “yapısal risk” olarak da ifade edilen içsel risk, herhangi

bir kontrol mekanizmasının bulunmadığı durumlarda işlem süreçlerinin doğasında

varolan risktir. İçsel risk, yönetimin etki veya olasılığını değiştirmek için hiçbir şey

yapmadığı ve hiçbir önlem almadığında kurumun karşı karşıya olduğu risktir. “Bakiye

risk” ya da “artık risk” olarak da ifade edilebilen “kalıntı riskler” ise alınan kontrol

önlemlerine rağmen mevcut olan risklerdir. Kalıntı risk, yönetimin riskin etki ve

olasılığını azaltmak için aldığı kontrol aktivitelerini de içeren önlemlerden sonra kalan

risktir. Risk değerlendirme faaliyeti kapsamında öncelikle her bir riskin içsel risk düzeyi

ölçülür daha sonra da kalıntı risk düzeyi ölçülür. İlk önce, alınan iç kontrol önlemlerinden

önce var olan riskin etki ve olasılıkları değerlendirilerek içsel risk ölçülür. Daha sonra

alınan iç kontrol önlemlerinden sonra hala var olan (kalıntı) riskin etki ve olasılığı

değerlendirilerek kalıntı risk düzeyi ölçülür. İçsel ve kalıntı riskin ölçümüne ilişkin

aşağıda bir örnek verilmiştir: İçsel riskte, olasılık % 50 ve bunun sonucunda ortaya

çıkacak finansal kayıp (etki) 100 YTL iken, uygun önlemler alındığında ve bunlar etkin

olarak uygulandığında olasılık %10’a düşürülebilir. Bu durumda içsel ve kalıntı riski

hesaplarsak;

İçsel Risk: 0.50 x 100 YTL = 50 YTL

Kalıntı Risk: 0.10 x 100 YTL = 10 YTL olacaktır.

Kurumun risk seviyesinde 10 YTL düşük risk olarak belirlenmiş, 50 YTL ise orta

seviye risk olarak belirlenmiş olabilir. İçsel ve kalıntı risk düzeyi aşağıda grafikle

gösterilmiştir.

Şekil 5.5. İçsel ve Kalıntı Riskin Grafikle Gösterimi

Bölüm Soruları

S.1. Kurumsal Risk Yönetiminde İç Çevre / Ortam nedir açıklayınız?

S.2. Kurumsal Risk Yönetiminde Amaçların Belirlenmesi nedir açıklayınız?

S.3. Kurumsal Risk Yönetiminde Olay Tanımlama nedir açıklayınız?

S.4. Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi nedir açıklayınız?

6. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ II


Risk Tutumu / Tepkileri

Kontrol Aktiviteleri

Bilgi ve İletisim

Risklerin İzlenmesi


S.1. Güvenlik kameraları neden kullanılır?

S.2. Arkadaşınıza borç verirken nelere dikkat edersiniz?

S.3. Aracınıza kasko yaptırmanızın fayda/maliyeti nedir?


Konu Kazanım

Kazanımın nasıl

elde edileceği veya

geliştirileceği

Risk Tutumu / Tepkileri Risk Tutumu / Tepkileri

açıklar


inceleyerek

Kontrol Aktiviteleri Kontrol Aktivitelerini

yapar

Kontrol Aktivitelerini

yaparak

Bilgi ve İletisim Bilgi ve İletisim yönetir Bilgi ve İletisim yöneterek

Risklerin İzlenmesi Risklerin İzlenmesini yapar Risklerin İzlenmesini

yaparak

Anahtar Kavramlar



Bilgi ve İletisim


Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı

etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır:

İç Ortam

Amaç/Hedef Belirleme

Olay Tanımlama

Risk Değerlendirme

Risk Tepkileri

Kontrol Faaliyetleri

Bilgi ve İletişim

İzleme

Nihai olarak her kurumun KRY algılaması ve uygulaması farklılık

gösterebilmektedir. Bu farklılığın nedeni faaliyette bulunulan sektörler olabileceği gibi

kurum büyüklüğü, kültürü ve yönetim felsefesi de olabilir. Bu nedenle kurumlarda

uygulanan KRY çerçeveleri ve kontrol yapıları farklı olabilir. Bu da genel olarak KRY

bileşenlerinin uygulamadaki ağırlıklarını ve dikkate alınma düzeylerini etkilemektedir.

6.1. Risk Tutumu / Tepkileri

Risk değerlendirme sürecini izleyen aşama riske yönelik tepkilerin belirlenmesidir.

KRY’nin beşinci bileşeni olan “risk tepkileri” bazı kaynaklarda “risk tutumu”, “risk

yanıtı” ve “riske karşılık verme” olarak da isimlendirilmiştir. Risk tepkisi, kurum

yönetimi tarafından, riske karşılık alınacak tutumun/tavrın belirlenmesidir. Risk

değerlendirme sonuçlarına göre belirlenecek olan risk tepkileri, risk yönetiminin riskler

karşısındaki eylem alanıdır. Riske yönelik tepkilerin belirlenmesini etkileyen ana faktör

kurum yönetimi tarafından belirlenen risk iştahı seviyesi/sınırıdır. Risk iştahı temelde,

kurum üst yönetiminin çalışma tarzı tarafından belirlenir. Eğer üst yönetim risk almaktan

hoşlanan bir yönetim tarzına sahipse kurumun risk iştahı seviyesi yüksek olarak

belirlenecektir. Aksi durumda ise risk iştahı seviyesi düşük belirlenecektir. Risk

değerlendirmeleri ve ölçümleri/puanlamaları sonucu elde edilen veriler risk iştahı

seviyesi ile karşılaştırılır. Kurumun risk iştahı seviyesinin üzerinde olan bu yüzden

deöncelikli olarak önlem alınması gereken riskler belirlenir. Daha sonra da her bir riske

yönelik olarak (alternatif tepkiler de dikkate alınarak) en uygun risk tepkileri

belirlenmeye çalışılır. Etkin bir KRY, yönetimin belirleyeceği risk tepkileri aracılığıyla

risklerin olasılık ve etki derecelerinin risk iştahı seviyesi altında tutulmasını sağlar.

Risk tepkisinin belirlenmesi sürecinde öncelikle alternatif risk tepkileri belirlenir daha

sonra kurum risk kültürüne, risk iştahı seviyesine, maliyetfayda değerlendirme

sonuçlarına ve risklerle ilgili fırsat değerlendirmelerine uygun olan tepki veya tepkiler

uygulamaya konur. Yönetimin riske yönelik tepkileri, riskleri kabul etmek/üstlenmek,

risklerden kaçınmak, riskleri kontrol etmek veya riskleri transfer etmek şeklinde olabilir.

6.1.1. Kaçınma

Riske neden olan faaliyetin sonlandırılması veya stratejinin terk edilmesidir. Bu grupta,

risk iştahı seviyesinin üzerinde yer alan riskler veya kontrol maliyetlerinin risk getirisini

aştığı durumdaki riskler yer alır. Kamu kurumları açısından bir faaliyetin sonlandırılması

seyrek bir durumdur. Bu yöntem daha çok stratejilerin belirlenmesi aşamasında yararlı

bir yöntem olabilir.

6.1.2. Azaltma (Kontrol Etme)

Riskin, yönetim tarafından kabul edilebilir bir seviyeye yani risk iştahı seviyesine kadar

indirilebilmesi için, ortaya çıkma olasılığını veya olası etkilerini azaltmaya yönelik uygun

kontroller tasarlanmasıdır. En yaygın kullanılan risk tepkisi şeklidir. Riskin kurum risk

iştahı seviyesini aştığı ancak yönetimin riske ait etki ve olasılığın kabul edilebilir bir

seviyeye indirilebileceğine dair bir inancının bulunduğu durumlarda riskler kontrol

altında tutulmaya, diğer bir deyişle risklerin etki ve olasılıkları azaltılmaya çalışılır. Risk

olasılığının azaltılması, uygun kontroller yardımıyla riskin ortaya çıkma olasılığının

azaltılması anlamını taşır. Riskin etkisinin azaltılması ise uygun kontroller tasarlanarak

ve uygulanarak riskin olası etkisinin şiddetinin azaltılmasıdır.

6.1.3. Transfer Etme

Kurum risk iştahı seviyesini aşan risklerin kurum tarafından yönetilemeyeceğinin

anlaşılması ancak kurum temel stratejileri ve hedeflerine göre bu riskli faaliyetin

bırakılmasının da mümkün olmadığı durumlarda riskli faaliyetin kurum dışı üçüncü

taraflara transfer edilmesidir. Risklerin transferi genellikle sigortalama sureti ile

gerçekleştirilir. Bazı faaliyetlerin dış kaynaktan temini de (hizmet alımı) bir transfer

yöntemidir. Bununla birlikte, risk transferinde risklerin ortadan kaldırılmadığı veya

etkisinin azaltılmadığı, sadece riskin taraflar arasında el değiştirdiği unutulmamalıdır.

Bazı risklerin transferi özellikleri gereği mümkün değildir. Kurum itibarının zarara

uğraması riski transfere uygun değildir. Örneğin perakende sektöründe, zamanında ve

istenilen şartlarda teslim edilmeyen mallar için tedarikçi firmadan zarar tazmin edilebilir

fakat bu durum perakendeci firmanın satışlarının düşmesini ve belki de daha önemlisi

müşterinin gözünde kaybolan imajını engelleyemez.

6.1.4. Kabul Etme

Kurumun risk iştahı seviyesi içerisinde bulunan riskler, herhangi bir önlem alınmadan

olduğu gibi bırakılabilir. Riskler, eğer risk iştahı seviyesi altındaysa riskin olasılık ve etki

boyutunu ilgilendiren herhangi bir önlem alınmadan riskler üstlenilebilir diğer bir

ifadeyle kabul edilebilir. Riskin kabulü, aynı zamanda risklerin azaltılmasından veya

paylaşılmasından sonra geriye kalan risklerin kabulünü de içermektedir. Günümüz kurum

içi ve dışı ortam koşulları altında, çok az risk bu kategoriye girmektedir

Şekil 6.1. Risk Haritası

6.2. Kontrol Aktiviteleri

Kontrol faaliyetleri, mevcut riskleri yönetmek veya olasılık ve etkilerini azaltmak için

tasarlanan ve uygulanan risk tepkileridir. Yönetim tarafından belirlenen kontrol

faaliyetleri, riskleri belirlenen risk iştahı seviyesi/sınırları içinde tutabilmek ve risk

tepkilerinin etkili yürütülüp yürütülmediğinden emin olmak için tasarlanır ve

uygulanırlar. Kurumun ortaya koyduğu politika, prosedür ve diğer dokümantasyonlar, iş

tanımları, organizasyon şemaları, otomasyon sistemi, standartlar gibi temel yönetim

faaliyetleri aynı zamanda birer kontrol faaliyetidir. Kontrol faaliyetleri çerçevesinde

risklere yönelik tasarlanan mevcut kontroller dokümante edilir ve kontrollerin etkinliği

sürekli değerlendirilir. Gerekli olması halinde ilave kontroller geliştirilir. Bununla

birlikte, kontroller tasarlanır, değerlendirilir ve geliştirilirken aşırı kontrol

uygulanmasından da kaçınılmalıdır. Aşırı kontroller, artan bürokrasi ve düşen verimlilik

nedeniyle en az riskler kadar tehlikeli olabilirler. Kontrollerin tasarlanması ve

değerlendirilmesi sürecinde optimum kontrol seviyesinin oluşturulması gerekir.

Kontroller günlük işleyişi ve faaliyetleri engellemeyecek düzeyde esnek, ancak hedeflere

ulaşılma olasılığını artıracak düzeyde de katı olmalıdır. Bir riski yönetmek üzere, yeni bir

kontrol yürürlüğe konulmadan önce, gerekliliğinden emin olunmalıdır. Zira genellikle

mevcut kontrolün etkin uygulanması riskin yönetilmesi için yeterli olabilmektedir.

Kontrol faaliyetleri niteliklerine göre;

1.) Yönlendirici Kontrol,

2.) Belirleyici/Tespit Edici Kontrol,

3.) Önleyici Kontrol,

4.) Düzeltici Kontrol,

Yönlendirici kontroller amaçları/hedefleri gerçekleştirmek için yürütülecek faaliyetlerin

kim tarafından, nerede, ne zaman, nasıl yapılacağı gibi hususları düzenleyen yani

kurumun her türlü faaliyetlerini yönlendiren kontrollerdir. Yasalar, yönetmelikler,

politikalar, prosedürler, rehberler bu nitelikteki kontrollere örnek olarak verilebilir.

Belirleyici/tespit edici kontroller ise kurumdaki hataları, uygunsuzlukları, standart dışı

uygulamaları v.b. ortaya çıkarmak için tasarlanan kontrollerdir. Genel olarak belirleyici

kontroller, hata veya uygunsuzluğu önlemez ancak olduktan sonra teşhis edilmesini

sağlarlar. Bununla birlikte, belirleyici kontrollerin varlığı bazen önleyici bir etki de

yaratabilir. Belirleyici kontrollere örnek olarak; mutabakatlar, sayımlar, karşılaştırmalar

ve istisna raporları verilebilir.

Önleyici kontroller, sorunların ortaya çıkmasını engellemek/önlemek amacıyla tasarlanan

kontrollerdir. Yetkilendirme, görevler ayrılığı ilkesi, onaylama, kapı kilitleri, trafik

ışıkları, şifre kontrolleri önleyici kontrollere örnek olarak verilebilir. Düzeltici kontroller

oluşan hataları ve uygunsuzlukları düzeltmek amacıyla tasarlanan kontrollerdir. Hatalı

uygulamalara yönelik olarak personele eğitim verilmesi, gözden geçirmeler ve izlemeler,

mutabakat işlemi sonucu tespit edilen farklılıkların giderilmesi, iletişim toplantıları bu tür

kontrollere örnek olarak verilebilir.

6.3. Bilgi ve İletisim

Risklerin belirlenmesi, değerlendirilmesi ve uygun risk tepkilerinin geliştirilmesi için

kurumda etkin bir bilgi ve iletişim sistemi oluşturulmalıdır.

Bilgi ve Bilgi Sistemleri: KRY’nin etkin olarak uygulanabilmesi ve kurumun hedeflerine

ulaşmasını sağlamak için kurumun her seviyesinde bilgiye ihtiyaç vardır. Etkin bir KRY

için doğru bilgiyi, doğru yer ve zamanda elde etmek önemlidir. Kurum amaçlarına hizmet

edecek, personelin ve yöneticilerin sorumluluklarını yerine getirmelerine yardımcı olacak

bilgiler; tanımlanmış, iletişime hazır formda ve istenilen zamanda hazır olmalıdır. Bilgi

eksikliği risklerin tanımlanması, değerlendirilmesi ve kontrolü süreçlerinin etkinliğini

zayıflatacaktır.

Bilgi sistemleri formel ya da informel olabilir. Bilgi sistemlerinin, genellikle kurum içi

bilgileri işlemek için kullanıldığı düşünülür ancak bilgi sistemlerinin çok daha geniş bir

uygulama alanı vardır. Riskleri ve fırsatları belirlemek için gereken bilgiler hizmet

alıcıları/müşterilerden, tedarikçilerden ve kurum personeliyle yapılan görüşmelerden elde

edilebilir. Veri toplama, işleme ve depolamadaki gelişmeler, veri hacminde gittikçe artan

bir büyümeye neden olmuştur. Asıl sorun doğru bilgiyi, doğru şekilde, doğru kişiye,

doğru zamanda ulaştırıp fazla bilgi yüklemesinden kaçınabilmektir. Bilgi altyapısını

geliştirirken her kullanıcı ve bölümün farklı bilgi gereksinimlerine ve yönetimin ihtiyaç

duyduğu özet bilgilere önem verilmelidir.

Bilgi Kalitesi: Gelişmiş bilgi sistemlerine ve veri tabanlı otomatik karar

sistem ve süreçlerine olan bağımlılığın artması, veri güvenilirliğini önemli hale

getiriyor. Doğru olmayan veriler, risklerin belirlenememesi ya da yeterince

değerlendirilememesi, kötü yönetim kararlarına sebep olur. Bilginin kalitesi

için aşağıdakilerin belirlenmesi gerekir:318

• İçeriğinin uygunluğu – Yeterli derecede detaylı mı?

• Bilginin zamanlaması – Gerektiğinde ve zamanında bulunabiliyor mu?

• Bilginin güncel olması – En günceli mi?

• Bilginin kesin doğru olması – Veriler doğru mu?

• Bilginin ulaşılabilir olması – İsteyenlerin bilgiye ulaşması kolay mı?

İletişim: İletişim, bilgi sistemlerinden ayrı düşünülemez. İletişim, ilgili personele

görevlerini yerine getirme imkânı veren bilgileri sağlamanın yanı sıra, kurum kültürünü

yansıtan, beklentilere cevap veren, bireylerin ve grupların sorumluluklarını ve diğer

önemli meseleleri kapsayan daha geniş bir anlamda düşünülmelidir.

Kurum İçi İletişim: Yönetim, personelin davranışları konusundaki beklentilerini ve

personelin sorumluluklarını anlatırken kesin ve doğrudan bir iletişim kurar. Kurumun risk

yönetimi felsefesinin ve sorumluluk dağılımının açıkça tanımlanması da buna dahildir.

İşlemler ve prosedürler konusunda iletilenler, oluşturulmak istenen kurum kültürüyle

uyumlu olmalı ve bu kültürü desteklemelidir. İletişim etkin bir şekilde şunları ifade

etmelidir:

• Etkin KRY’nin önemi,

• Kurumun hedefleri,

• Kurumun almayı istediği risk iştahı ve kabul edebileceği risk sınırları

• Ortak bir risk dili,

• KRY bileşenlerini etkileyen ve destekleyen personelin rolleri ve

sorumlulukları.

Kurum Dışı İletişim: Sadece kurum içinde değil, kurum dışında da etkin bir iletişime

ihtiyaç vardır. Açık dış iletişim kanallarıyla kurumun dış paydaşlarından önemli bilgiler

sağlanabilir. Dış paydaşlarla iletişim, değişen dış koşulları ve bu koşulların yaratacağı

riskleri anlamak için gereken bilgileri sağlar. Yönetimin dış paydaşlarla iletişim kurmaya

bağlılığı (iletişim ve iletilen konuların takibindeki ciddiyet) bütün kuruma mesajlar

gönderir.

İletişim Araçları: İletişim, kurum iletişim politikasına ilişkin dokümanlar, kurum web

sayfaları, memolar, e-mailler, ilan panosu mesajları, webcastlar, video mesajları gibi

birçok değişik şekilde olabilir. Mesajların sözle iletildiği yerlerde (grup içinde, küçük

toplantılarda veya bire bir görüşmelerde) ses tonu ve vücut dili de önemli iletişim

araçlarıdır. Yönetimin personelle ilgili bir sorunu çözme şekli çok güçlü mesajlar

içerebilir. Yöneticiler yapılan hareketlerin söylenen sözlerden daha etkili olduğunu

unutmamalıdırlar. Buna karşılık yönetimin hareketleri de kurumun tarihi, kültürü ve

onlardan önceki yöneticilerin benzer durumlarda nasıl davrandıklarından etkilenir.

6.4. Risklerin İzlenmesi

İzleme faaliyetinin amacı KRY çerçevesinde risklere yönelik tasarlanan önlemlerin ve

süreçlerin uygulamada gerçekleştirilip gerçekleştirilmediğinin doğrulanmasıdır. Söz

konusu önlemlerin ve risk tepkilerinin riskleri, risk iştahı seviyesi içinde tutup

tutamadığının doğrulanması ve izlemeler sonucunda tespit edilen sorunlara ilişkin gerekli

önlemlerin alınması gerekir. İzleme faaliyeti, uygun kontrollerin varolduğuna ve KRY

aşamalarının doğru konumlandırılıp takip edildiğine ve yürütülen faaliyetlerin risk tepki

stratejileriyle uyumuna ilişkin güvence sağlar. İzlemeler sonucunda risk

sınıflandırmalarında yanlışlıklar yapılmışsa, risklerin doğru ve tam olarak ölçümünde

yaşanan sıkıntılar mevcutsa ve raporlar asıl ilgililer/sorumluların eline ulaşmıyor veya

raporlama kapsamında sorunlar varsa bunlar ortaya çıkarılır ve böylelikle gerekli

önlemler alınabilir.329 Gerçekleştirilen izleme sonucunda KRY sisteminde tespit edilen

yetersizlikler (kurumun süreçlerini iyileştirmek amacıyla) üst yönetime raporlanır.

İzleme, sürekli (rutin) izleme faaliyetleri, ayrık değerlendirmeler (evaluations) ya da

ikisinin kombinasyonu aracılığıyla gerçekleştirilebilir. KRY mekanizmaları, belirli

seviyelere kadar kendilerini sürekli (rutin) olarak izlemek üzere yapılandırılmıştır. Kurum

günlük faaliyetleri içine yerleştirilen sürekli izlemeler gerçek zamanlıdır ve değişikliklere

dinamik tepki verirler. Bu nedenle ayrık değerlendirmelerden daha etkindir. Sürekli

izlemelerin etkinlikleri arttıkça ayrık değerlendirmelere daha az ihtiyaç duyulur. Ayrık

değerlendirmeler kurum ihtiyaç hissettiğinde ya da bir olaydan sonra gerçekleştiği için

sürekli izlemeyle problemler çoğu zaman daha erken belirlenir. Ciddi sürekli izleme

aktiviteleri bulunan pek çok kurum, KRY’nin ayrık değerlendirmelerini de

gerçekleştirmektedir. Ayrık değerlendirmelerin sıklığı yönetimin kararına bağlıdır. Bu

karar, kurumda meydana gelen değişikliklerin derecesi, değişikliklere bağlı olarak ortaya

çıkan yeni riskler, risk tepkilerini ve ilgili kontrolleri uygulayan personellerin

yetkinlikleri ve son olarak da sürekli izlemenin sonuçları gibi hususlar dikkate alınarak

verilir. Daha sık ayrık değerlendirmelerin ihtiyacını hisseden bir kurum, sürekli izleme

aktivitelerini iyileştirmeye odaklanmalıdır. İzlemelerle ilgili diğer bir önemli konu da

izleme faaliyetlerinin kapsam ve sıklıklarının belirlenmesidir. İzleme faaliyetlerinin

kapsamları ve sıklıkları, risklerin ve risk tepkilerinin önem derecesiyle ilişkilidir. Doğal

olarak yüksek riskli alanlar ve bu alandaki risk tepkileri daha sık değerlendirilirken bütün

olarak KRY sistemini değerlendirme faaliyeti daha az rastlanılan bir durumdur. İzleme

faaliyetinde temel başarı faktörü, izlemeleri gerçekleştiren ekibin bağımsız hareket etme

kabiliyetidir. Bu çerçevede izleme faaliyetine konu olan ana faaliyetin yürütülmesinde

görevli olanlar, izleme faaliyetini yürütecek ekip içerisinde yer almamalıdır. Benzer

şekilde, iç denetim birimi risk yönetiminde danışman olarak görev almışsa danışman

olarak görev almayan iç denetçilerden oluşan bir izleme ekibi oluşturulmalıdır.İzleme

sürecine rehberlik eden ve izleme faaliyetleri çerçevesinde düzenlenen ve kullanılan bazı

belgeler ve raporlar şunlardır: Yönetim performans/faaliyet sonuçları ve raporları,

yönetim kurulu ve risk komitesi raporları, denetim komitesi toplantı tutanakları ve

raporları, iç denetim raporları, kurum risk kütüğü ve kontrol raporları.




Bilgi ve İletisim


Bölüm Soruları

S.1. Risk Tutumu / Tepkileri nelerdir açıklayınız?

S.2. Kontrol Aktiviteleri nelerdir açıklayınız?

S.3. Bilgi ve İletisim sürecini açıklayınız.

S.4. Risklerin İzlenmesi nasıl yapılır açıklayınız?

7. ÜLKE UYGULAMALARINDA RISK YÖNETIM MODELLERI


Avustralya ve Yeni Zelanda Risk Yönetim Modeli

İngiltere Risk Yönetim Modeli

Kanada Risk Yönetim Modeli

Amerika Risk Yönetim Modeli


S-1. Trafik kuralları ülkelere farklı mıdır?

S-2. Yabancı firmalar ve yerli firmaların kalite stndartları değişiyor mu?


Konu Kazanım


edileceği veya

geliştirileceği

Avustralya ve Yeni

Zelanda Risk Yönetim

Modeli

Avustralya ve Yeni


Modeli ni açıklar

Avustralya ve Yeni


Modeli ni inceleyerek

İngiltere Risk Yönetim

Modeli


Modeli ni açıklar



Kanada Risk Yönetim

Modeli


Modeli ni açıklar



Amerika Risk Yönetim

Modeli


Modeli ni açıklar



Anahtar Kavramlar





Birçok ülkede uygulanmakta olan farklı risk yönetim modelleri bulunmaktadır.

Bunlardan en çok tercih edilenleri; Avustralya ve Yeni Zelanda, Amerika, ingiltere ve

Kanada risk yönetim modelleridir.

7.1. Avustralya ve Yeni Zelanda Risk Yönetim Modeli

1995‟de ortaya çıkan Avustralya ve Yeni Zelanda risk yönetim sistemi, risklerin

yönetilmesi ve belgelendirilmesinde dünyanın ilk resmi ve çok güçlü standartlarına sahip

bir uygulama modelidir . 2004 yılında yeniden yapılandırılan Avustralya ve Yeni Zelanda

risk yönetim standartları “Risk Yönetim Esasları AS/NZS 4360:2004” olarak

bilinmektedir. AS/NZS 4360 standartları, Avustralya ve Yeni Zelanda‟daki kâr amaçlı

ve kâr amacı olmayan grup temsilcilerinden oluşan bir ortak teknik komite tarafından

geliştirilmiş ve her çeşit kurumda kullanılabilir şekilde tasarlanmıştır. Yirmi sekiz sayfa

uzunluğunda, anlaşılması ve uygulanması kolay ve esnek olan standartlar, kurumsal risk

yönetim sisteminin uygulanması için dokuz adımlı bir program sunmaktadır . Standartlar,

risklerin işlevsel risk yönetim grubu tarafından yönetileceğini ve bu grubun gerekli beceri

ve tecrübeye sahip olduğunu ifade etmektedir

Standartlar hem Sarbanes-Oxley uyumu gerektiren organizasyonlar için risk yönetim

metodolojisi olarak hem de riskleri yönetmek için olasılık ve sonuç gibi geleneksel bir

yöntem kullanmayı tercih eden organizasyonlar için iyi çalıştığından kullanımı teşvik

edilmektedir. AS/NZS 4360 standartları şirket veya sistemik riskler için teknik risklerden

daha iyi çalışır; ancak tehdit risk modeli yapılı uygulamaları sağlayan metotları ele almaz.

Ayrıca güvenlik incelemeleri için riskleri sınıflandırsa da web uygulamalarındaki tehditleri

belirten yapısal metottaki eksikliği onu diğer metotlardan daha az çekici kılmaktadır.

AS/NZS 4360 risk yönetim standartları, risk yönetim sisteminin uygulanması ve gelişimi için

yapılması gerekenlere açıklık getiren bir rehber niteliği göstermektedir. Standartlara göre ilk

olarak kurumun stratejik, kurumsal ve risk yönetim kapsamı oluşturulmalıdır. Kurumsal

politika; risk yönetim hedeflerini kapsayıcı bir şekilde geliştirilmeli, kurumsal ve bireysel

sorumluluklara, uygulama ve değerlendirme prosedürlerinin kapsamına açıklık getirmelidir.

Risk yönetimi kurum kültürünün bir parçası olmalı ve bu kapsamda risk farkındalığı ve

iletişim düzeyi artırılmalıdır. Bu amaçla eğitim programlarının organize edilmesi tavsiye

edilmektedir. Üst yönetimin sistemi desteklemesi sistemin işlerliği ve gelişimi için gerekli bir

diğer ön adım olarak belirtilmektedir. Standartlara göre risk yönetimi, kurumun planlama ve

yönetim süreçlerinin birer parçası haline getirilmelidir. Risk yönetimi ile ilgili kapsam

oluşturulduktan sonra riskler tanımlanmalıdır. Daha sonra riskler meydana gelme olasılıkları,

etkileri ve sonuçları dikkate alınarak değerlendirilmeli ve öncelik sırasına konulmalıdır.

Risklere yönelik uygulanacak politikalar tespit edilmelidir. Risk yönetim süreci izlenmeli ve

değerlendirilmelidir. Hem kurum içi hem de kurum dışı paydaşlarla sonuçlar paylaşılmalı ve

bütün süreçlerin yazılı doküman halinde saklanmasına özen gösterilmelidir. Risk yönetim

sisteminde süreklilik sağlanarak sistemin uygulanması garanti altına alınmalıdır.

AS/NZS 4360 risk yönetim süreci; kapsam oluşturma, risk belirleme, risk analizi, risk

değerlendirme, risk yönetimi, iletişim, danışma, izleme ve değerlendirme aşamalarından

oluşmaktadır. Avustralya ve Yeni Zelanda Risk Yönetim Standartları‟ndaki risk yönetim

süreçleri şekil 4‟te gösterilmektedir.

Şekil 7.1. Avustralya ve Yeni Zelanda Risk Yönetim Süreci

AS/NZS ISO 31000 standartlarının kuruma sağladığı temel faydalar şunlardır:

i. Risk yönetimin etkinleştirilmesini sağlayarak hedeflere ulaşılma olasılığını artırır.

ii. Kurum çapında risklerin ve tutumların belirlenmesine yönelik farkındalık yaratır.

iii. Fırsat ve tehditlerin belirlenmesinde gelişim sağlar.

iv. ilgili yasal ve uluslararası normlara uygunluk kazandırır.

v. Finansal raporlamayı, kurumsal yönetişimi ve paydaş güvenini geliştirir.

vi. Karar verme ve planlama için güvenilir bir temel oluşturur.

vii. Kontrol sistemini geliştirir.

viii. Etkin risk tutumu belirlemede kaynak tahsisi ve kullanımı sağlar.

ix. Faaliyetlerdeki etkinliği ve verimliliği artırır.

x. Kayıpları önlemeyi ve olay yönetimini geliştirir ve kayıpları en aza indirir.

xi. Kurumsal öğrenmeyi, esnekliği ve direnci artırır.

xii. Hazırlanan risk yönetim raporları ile hem üst yönetime hem de yönetim kurulu ve

denetim komitesine önemli risklerin standartlara uygun olarak yönetildiğine dair bilgi sağlar

7.2. İngiltere Risk Yönetim Modeli

şubat 2008‟de ingiltere‟de BS 31100 adıyla “Risk Yönetimi: Uygulama Kuralları” taslağı

yayımlanmış ve Haziran 2011‟de “BS 31100: 2011 Risk Yönetimi- ISO 31000 için

Uygulama ilke ve Esasları” (BS 31100: 2011 Risk Management. Code of Practice and

Guidance for The Implementation of ISO 31000) adıyla British Standards Institution

tarafından basılmıştır. BS 31100, ISO 31000‟ni destekleyici uygulama kodudur. BS

31100 risk yönetim hedeflerine ulaşılması ve risklerin kurum çapında yönetilmesi için

risk yönetim esas, model, çerçeve ve süreçlerine rehberlik sağlayacak şekilde tasarlanmış

sistematik ve etkili bir standartlar dizisidir. Standartlar risk yönetim sisteminin, kurumun

stratejisi kapsamında ve stratejinin uygulanmasında sürekli ve gelişen bir süreç olması

gerektiğine dikkat çekmektedir. BS 31100, uluslararası standartlarda olmayan risk

yönetimi ile ilgili ek ilkelere de yer vermektedir (http://www.continuitycompliance.org).

BS 31100 risk yönetim standartları ile ilgili ilkeler şunlardır:

i. Risk yönetimi kuruma uygun yapılandırılmalıdır. ii. Risk yönetimi kurum kültüründe

ve personel algısında yer edinmelidir. iii. Risk yönetimi sistematik ve yapısal olmalıdır.

iv. Risk yönetimi için kurumda genel bir risk dili oluşturulmalıdır. v. Risk yönetimi en

doğru bilgilere dayanmalıdır. vi. Risk yönetimi belirsizlikleri açık bir şekilde

değerlendirmelidir. vii. Risk yönetimi karar alım sürecinin bir parçası olmalıdır. viii. Risk

yönetimi şeffaf bir yapıda ve kapsamlı olmalıdır. ix. Risk yönetimi dinamik ve

değişimlere uyumlu olmalıdır. x. Risk yönetimi süreklilik özelliği taşımalıdır. xi. Risk

yönetim ilkeleri dönemsel olarak tekrar değerlendirilmelidir. Risk yönetim sisteminin

yapısı kapsamında; görev ve bağlılık, risklerin yönetimi için bir içerik oluşturulması (risk

yönetim stratejisinin, politikasının, kültürünün, risk iştahının, risk profilinin ve risk

kriterlerinin belirlenmesi; rol, sorumluluk ve yetkilerin yazılı hale getirilmesi; risk

yönetim teknik ve araçlarının tespit edilmesi), risk yönetiminin uygulanması, izleme ve

değerlendirme süreci ve sistemdeki hata ya da eksikliklerin giderilmesi ve geliştirilmesi

yer almaktadır. BS 31100 standartları riskleri inceleme, tanımlama, değerlendirme, uygun

tutum belirleme ve raporlama süreçlerinden oluşmaktadır. BS 31100 standartlarına ilişkin

risk yönetim süreci şekil 6‟da gösterilmektedir.

Standartlar risk yönetimin ilke ve terminolojisini oluşturmakta ve kurum hedeflerine

ulaşma olasılığını artırmak için kurum çapında etkili risk yönetim sisteminin anlaşılması,

geliştirilmesi ve uygulanması için bir temel sağlamaktadır. Standartlarda, iyi uygulama

örnekleri ve tecrübelere dayalı olarak risk yönetim yapı, süreç ve uygulamasına yönelik

önerilere yer verilmektedir. Temel risk yönetim ilkeleri her kurum için uygulanabilir

niteliktedir; ancak uygulama tekniği kurumun kapsamı, niteliği, karmaşıklığı ve büyüklüğüne

göre değişmektedir. Diğer standartlar kayıpları azaltmaya odaklanırken BS 31100 risklerin

üstlenilerek kurum için nasıl değere dönüştürülebileceği üzerine yoğunlaşmaktadır. BS

31100 standartlarının kullanılması risk yönetim stratejilerine ve kurum hedeflerine

ulaşıldığına ve spesifik alan ya da faaliyetlerle ilgili risklerin gerekli tedbirler alınarak

yönetildiğine dair güvence verir. Standartlar risk yönetim sisteminin kontrolünü ve

paydaşlara rapor sunulmasını sağlar

Şekil 7.2. BS ISO 31100 Risk Yönetim Süreci

7.3. Kanada Risk Yönetim Modeli

Kanada‟da uygulanmakta olan “Bütünleşik Risk Yönetim Sistemi” standartları Treasury

Board Secretariat tarafından yayımlanmıştır.

Bütünleşik risk yönetim sistemi, kurum çapında risklerin anlaşılmasını, yönetilmesini ve

risklerle ilgili gerekli bilgi ve iletişimin sağlanmasını amaçlayan sistematik ve süreklilik

özelliği taşıyan proaktif bir süreçtir (Robillard, 2001: 7). Sistem kurumun kurumsal

stratejisine entegre edilmekte ve kurum risk yönetim kültürünü biçimlendirmektedir.

Sistem, kurumun her seviyesindeki olası risklerin sürekli değerlendirilmesini ve daha

sonra değerlendirme sonuçlarının bir araya getirilerek öncelikli düzenlemelerin ve

geliştirici kararların alınmasını gerekli kılmaktadır. Sistemde sadece risklerin

azaltılmasına odaklanılmamakta aynı zamanda yenilik getirici faaliyetler desteklenerek

kabul edilebilir en iyi sonuç, maliyet ve risk oranlarına ulaşılması hedeflenmektedir.

Sistem risklerin yönetilmesinde daha bütünsel bir yaklaşımın adapte edilmesine ilişkin

esasları belirlemekte ve kurumsal düzeyde dengenin sağlanması için mücadele edilmesini

teşvik etmektedir. Böylece hem çalışanlar hem de yöneticiler tarafından risklerin yapısı

daha iyi anlaşılmakta ve daha sistematik bir risk yönetim modeli uygulanmaktadır. Sistem

birbiri ile ilişkili dört unsurdan oluşmaktadır. Bunlar aşağıda yer almaktadır (The

President of The Treasury Board, 2010):

i. Kurumsal risk profili geliştirilmesi:

• Riskler kurum içi ve kurum dışı çevresel tarama ile tespit edilir.

• Kurumun mevcut risk yönetim yapısı değerlendirilir.

• Kurum risk profili tanımlanır.

ii. Bütünleşik risk yönetim fonksiyonu oluşturulması:

• Risk yönetimine yönelik yönetim tebliğinin iletilmesi, anlaşılması ve uygulanması.

• Risk yönetim sistemi, karar alım ve raporlama sürecine entegre edilir.

• Öğrenme planları ve araçlar geliştirilerek risk yönetim kapasitesi oluşturulur.

iii. Bütünleşik risk yönetim sisteminin uygulanması:

• Kurumun her düzeyinde ortak bir risk yönetim süreci sürekli uygulanır.

• Risk yönetim sonuçları karar alımında ve öncelikli düzenlemelerin yapımında

belirleyicidir.

• Araç ve yöntemler uygulanır.

• Paydaşlarla iletişim ve müzakereler sürdürülür.

iv. Risk yönetim uygulamasında sürekliliğin öğrenilmesini sağlama:

• Tecrübeye dayalı öğrenmeyi, bilgi ve deneyimlerin paylaşımına dayalı destekleyici bir

çalışma ortamı kurulur.

• Hizmetiçi eğitim planları oluşturulur.

• Risk yönetim sonuçları yeniliği, öğrenmeyi ve sürekli gelişimi destekleyici şekilde

değerlendirilir.

• En iyi uygulama örnekleri ve tecrübeler paylaşılır.

Kanada Bütünleşik Risk Yönetim Sisteminin süreçleri arasındaki ilişki şekil 7‟de

gösterilmektedir.

şekil 7‟de görüldüğü üzere bütünleşik risk yönetim süreciyle ilgili faaliyetler dokuz adımdan

oluşmaktadır. Öncelikle sorunların ve fırsatların belirlenmesi ve risk yönetimi ile ilgili

kapsamın oluşturulması gerekmektedir. Risk yönetim sisteminde kullanılacak yöntem,

uzman personel, araç ve gereçler de ilk adımda tespit edilmelidir. Daha sonraki adımlarda

hedeflerle ilişkili faaliyetlere yönelik riskler belirlenir. Risk yönetim sürecine ilişkin

beklentiler ya da hedefler tespit edilir ve planlamalar yapılır. Süreçler takip edilerek gerekli

durumlarda strateji değişikliğine gidilir ve sistemden maksimum fayda sağlanması amacıyla

süreçler izlenir ve değerlendirilir (Robillard, 2001: 16-17).

Bütünleşik risk yönetim sisteminde Treasury Board Secretariat, üst yönetici, yöneticiler,

danışmanlar, uzmanlar, iç denetçiler ve diğer tüm kurum çalışanlarının görev ve

sorumlulukları olduğu belirtilmekte ve bunlara ilişkin ayrıntılı açıklamalara yer verilmektedir

Şekil 7.3. Kanada Bütünleşik Risk Yönetim Süreçleri

7.4. Amerika Risk Yönetim Modeli

COSO, Amerika‟daki beş büyük profesyonel finans kuruluşu (The American

Associtacion, The American Institute of Certified Public Accountants, The Financial

Executives Institute, The Institute of Internal Auditors ve The Institute of Management

Accountants) tarafından desteklenen gönüllü bir özel sektör kuruluşudur. COSO etkili dış

denetim, kurumsal yönetişim ve iş ahlâkı ile finansal raporların kalitesini artırmaya

odaklanmıştır.

COSO, daha önceden iç Kontrol –Bütünleşik Çerçevesine (Internal Controls-Integrated

Framework) duyulan ihtiyacın aynısının risk yönetimi için de duyulduğunu farkına

vardıktan sonra bir çalışma içerisine girmiştir. COSO, orijinal kurumsal risk yönetim

çerçevesini 1992 yılında oluşturmuş ve 2002 yılında güncelleyerek son halini vermiştir.

Kurumsal risk yönetim çerçevesi, COSO iç Kontrol-Bütünleşik Çerçevesi ile uyumlu

olacak şekilde hazırlanmıştır. Böylece kurumların iç kontrole yönelik yatırım yaparken

risk yönetim sisteminin gelişimi için de uygun ortam hazırlaması hedeflenmiştir.

COSO tarafından 2004 yılında yayımlanan “Kurumsal Risk Yönetim Bütünleşik Çerçeve

ve Uygulama Rehberi ve “Kurumsal Risk Yönetim Bütünleşik Çerçeve ve Uygulama

Özeti adlı kitaplar kurumsal risk yönetim sistemi ve unsurlarının anlaşılması adına önem

taşıyan birincil derece kaynaklardır. iyi yönetim uygulamalarının yanı sıra iyi risk

yönetim uygulamalarını da içeren “iç Denetimin Kurumsal Risk Yönetiminde Oynadığı

Rol” isimli detaylı bir belge de IIA tarafından 2004 yılında hazırlanmış ve 2009 Ocak

ayında revize edilerek tekrar yayımlanmıştır.

Yukarıda adı geçen kaynaklar, yeni bir yaklaşım olan kurumsal risk yönetim sisteminin

kurulum ve uygulanma sürecini ayrıntısıyla açıklamakta ve bu kapsamda ortak bir dil

oluşturulması sürecine hizmet etmektedir. Bu kaynaklar ayrıca şu anda kabul edilen

kurumsal risk yönetim çözüm yollarını kurum için kıyaslama aracı olarak

değerlendirmede ve kurumsal risk yönetim uygulaması için doğru bir yol haritası çizmede

temel kaynak olma niteliği taşımaktadır (Tonello, 2007: 5).

COSO‟nun kurumsal risk yönetim çerçevesini tasarlamadaki amacı, kurumların

uyguladıkları risk yönetim süreçleriyle bu yeni sistemi karşılaştırabilmelerini sağlamaktır

Kurumsal risk yönetim sistemi ileriki bölümde ayrıntısı ile ele alınacağından burada

kısaca yer verilmektedir. COSO modelinin tercih edilmesinin sebebi, Türk Kamu Mali

Yönetimi ve Kontrol alanında ön mali kontrol, iç kontrol, iç denetim ve dış denetim

konularında COSO standartlarının tercih edilmiş ve uygulanılıyor olmasıdır. Ayrıca iç

denetçilerin kurumsal risk yönetim süreci kapsamındaki sorumlulukları IIA tarafından

ayrıntısıyla düzenlenmiştir.






Bölüm Soruları

S.1. Avustralya ve Yeni Zelanda Risk Yönetim Modelini açıklayınız.

S.2. İngiltere Risk Yönetim Modelini açıklayınız.

S.3. Kanada Risk Yönetim Modelini açıklayınız.

S.4. Amerika Risk Yönetim Modelini açıklayınız.

8. KURUMSAL RİSK YÖNETİMİ İÇİN YASAL DÜZENLEMELER


Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal

Düzenlemeler Sarbanes-Oxley Kanunu

Dod-Frank Kanunu

Kontrag Kanunu, Cabdury ve Turnbull Raporu

EU Direktifi

The Combined Code On Corporate Governance

Risk Management Standard

Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler

Sermaye Piyasası Kurulu Düzenlemeleri

Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik

Yeni Türk Ticaret Kanunu


S-1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler

nelerdir?

S-1. Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler

nelerdir?


Konu Kazanım


edileceği veya

geliştirileceği

Dünyada Kurumsal Risk

Yönetimi Konusunda

Yapılan Yasal

Düzenlemeler


Yönetimi Konusunda

Yapılan Yasal

Düzenlemeleri açıklar


Yönetimi Konusunda

Yapılan Yasal

Düzenlemeler inceler

Türkiy’de Kurumsal Risk

Yönetimi Konusunda

Yapılan Yasal

Düzenlemeler


Yönetimi Konusunda

Yapılan Yasal

Düzenlemeler açıklar


Yönetimi Konusunda

Yapılan Yasal

Düzenlemeler inceler

Anahtar Kavramlar


Düzenlemeler

Sarbanes-Oxley Kanunu

Dod-Frank Kanunu


EU Direktifi



Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan

Düzenlemeler




8.1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal

Düzenlemeler

8.1.1. Sarbanes-Oxley Kanunu

30 Temmuz 2002’de ABD’de Sarbanes Oxley Yasası (SOX), denetim ve fınansal

raporlama kalitesini korumak ve arttırmak; aynı zamanda yatırımcıları sermaye

piyasalarına yeniden kazandırmaya yönelik bir düzenleme niteliği taşımaktadır.

Sarbanes-Oxley Yasası’nın amacı, fınansal raporlamada, bağımsız denetimde ve

muhasebe hizmetlerinde kalite ve şeffaflığı arttırmak, muhasebe uygulamalarında

standart bir çerçeve belirlenmesi sürecini yaygınlaştırmak ve bağımsız denetim

işletmelerinin bağımsızlığını güçlendirmektir.

Sarbanes-Oxley Yasası, 1929 yılında yaşanan Büyük Ekonomik Buhran ardından

muhasebe ve denetim alanında yapılan ilk düzenleme olarak değerlendirilebilir. Bu

bağlamda, yatırımcılar ve diğer menfaat gruplarının muhasebe bilgilerine yeniden güven

duymalarını sağlamak adına çıkarılmış olan Sarbanes Oxley Yasası reel sektör

işletmelerine birtakım avantajlar sunmaktadır. Bu avantajlar, şu şekilde özetlenebilir :

• Yatırımcıya doğru zamanda, anlaşılır ve kapsamlı fınansal bilgi sunulması,

• Daha iyi bir kurumsal yönetimin sağlanması,

• İç kontrollerin daha etkin yapılması,

• Bağımsız denetim işletmeleri ile iç denetimden sorumlu kurulların

bağımsızlığının sağlanması,

• Bağımsız denetim işletmelerinden alınabilecek danışmanlık gibi

hizmetlerin sınırlandırılmasıdır.

Sarbanes-Oxley Yasası’na göre, halka açık işletmelerin iç kontrol sistemi ve bunun

denetimi yönetim kurullarının sorumluluğuna bırakılmaktadır. Yönetim kurulları,

işletmelerde etkin bir iç kontrol sistemi kurabilmek için komiteler kumak zorunda

bırakılmıştır. Yasanın 404. maddesinde; yönetimin iç kontrol sistemi kurduğunu ve etkili

bir şekilde uyguladığının yıllık faaliyet raporlarında belirtilmesi gerektiği ifade

edilmektedir. Aynı zamanda, iç kontrol raporunun da bağımsız denetçi tarafından verilen

rapor ile desteklenmesi gerekmektedir. Bu maddede, fınansal raporlama ve risklerle ilgili

işletme kontrol ortamı düzenlemelerine yer verilmiştir. Burada yer alan düzenlemeler,

COSO İç Kontrol ve Kurumsal Risk Yönetimi (KRY) uygulamaları ile paraleldir.

8.1.2. Dod-Frank Kanunu

Küresel fınans krizinin ardından 21 Temmuz 2010 tarihinde ABD’de “Dodd-Frank Wall

Street Reform ve Consumer Protection Act” Yasası, fınansal sistemde hesap verebilirlik

ve şeffaflığın geliştirilmesine yönelik bir düzenleme olarak kabul edilmektedir .

Dodd-Frank Yasası ile birlikte, özellikle 10 milyar dolar ve daha fazla varlığı olan

bankalar ve bankalar dışındaki fınansal kuruluşlar için denetim komitesinden ayrı olarak

örgütlenmiş bir risk yönetimi komitesi kurma zorunluluğu getirilmiştir. Bununla birlikte,

ABD’deki birçok reel sektör işletmesi de risk yönetimi komitesi kurma yönünde

girişimlere başlamıştır.

Risk yönetimi komitesi ile fınansal ve fınansal olmayan işletmelerin bütünleşik ve kurum

çapında bir risk yönetimi faaliyeti gerçekleştireceği ve bunun da risk raporlama ve

gözetiminin kalitesini arttıracağı belirtilebilir.

8.1.3. Kontrag Kanunu, Cabdury ve Turnbull Raporu

Risk yönetiminin artan önemi, halka açık olan ya da olmayan işletmelerde uygun risk

yönetim sistemlerinin kurulması zorunluluğunu beraberinde getirmektedir.

Almanya’da 1 Mayıs 1998’de kabul edilen “Alman Kurumsal Denetim ve Şeffaflık

Yasası (Kontrag), halka açık işletmelerin kurumsal yönetim uygulamalarını geliştirmeyi

amaçlamaktadır. Bu yasa ile iç denetim kapsamında halka açık işletmelerin riskin erken

teşhisi ve yönetimi sistemine sahip olmaları; bununla birlikte bu sistemin kurulup

kurulmadığının yıllık denetim raporunda belirtilmesi gerekmektedir.

Ingiltere’de risk yönetimine ilişkin düzenlemeler, Cabdury Raporu ile birlikte gündeme

gelmektedir. Cadbury Raporu, temelde işletmelerin uymak zorunda olduğu kurumsal

yönetim ilkeleriyle ilgili düzenlemeleri içermektedir. Başkanlığını Sir Adrian

Cadbury’nin yaptığı ve “Cadbury Raporu” olarak bilinen kurumsal yönetim ilkelerine

göre, Londra Borsası’na kayıtlı tüm işletmeler için “uygula ya da açıkla” ilkesi

belirlenmiştir. Uygula ya da açıkla ilkesine göre işletmelerin yıllık faaliyet raporlarında

kurumsal yönetim ilkelerine uyduklarını açıklaması; uymuyorlarsa da neden

uymadıklarını açıklamaları gerekmektedir. Bu raporda, işletmelerin risk yönetiminden

sorumlu bir komiteye sahip olması önerilmektedir.

Cadbury Raporu sonrasında, 1999 yılında Birleşik Krallık Sertifikalı

Muhasebeciler Kurulu (Institute of Charted Accountants of England and Wales)

tarafından yayınlanan Turnbull Raporu, kurumsal yönetimin bir gereği olarak halka açık

işletmeler için işletme çapında uygulanan iç kontrol ve risk yönetim sisteminin var olması

gerektiğini ifade etmektedir.

COSO modeli ve Kontrag Yasası’nda olduğu gibi Turnbull Raporu’nda da işletme

çapında uygulanabilecek bir risk yönetimi sistemine vurgu yapılarak, risk yönetimi

sisteminin kurulmasıyla birlikte işletmelerin uzun vadeli çıkarlarının korunmasına

yönelik önlemler alınacağı kabul edilmektedir.

8.1.4. EU 8. Direktifi

10 Nisan 1984 tarihinde kabul edilen 84/253/ECC sayılı 8. yönerge, muhasebe raporları

üzerinde yasal açıdan denetim yapan denetçilerin sorumlulukları ve mesleki

standartlarıyla ilgilidir. Bu yönergenin amacı, yasal denetçi olarak çalışan kişilerin

gereksinimlerinin karşılanması ve Avrupa Birliğine üye ülkelerde denetime ilişkin

düzenlemelerin sağlanmasıdır. AB’ne üye ülkelere 1988 yılına kadar bu yönerge

doğrultusunda gerekli düzenlemeleri yapma süresi tanınmış ve yönerge 1 Ocak 1990

tarihinde yürürlüğü girmiştir.

Yönerge ile Avrupa Birliğine üye ülkelerde, işletmelerin finansal raporlarının yasal

denetimlerini yürütme ve denetimler ile AB hukukunun gerektirdiği doğrulama

derecesinde yıllık faaliyet raporlarının yıllık hesaplara uygunluğunu doğrulama

amaçlanmıştır. Holdinglerin konsolide finansal raporlarının yasal denetimlerini yürütme

ve bu denetimler ile AB hukukunun gerektirdiği doğrulama ölçüsünde konsolide yıllık

hesapların, konsolide faaliyet raporlarına uygunluğunu doğrulama, bağımsız dış denetim

kapsamı olarak belirlenmiştir.

Söz konusu denetim işini yapan kişiler, gerçek kişiler olabileceği gibi tüzel kişiliğe sahip

denetim firmaları da olabilir.

Yönerge; kapsam, yetkiye ilişkin kurallar, mesleki kurallar, mesleki dürüstlük ve

bağımsızlık, açıklık ve son hükümler olmak üzere beş kısımdan oluşmaktadır.

8.1.5. The Combined Code On Corporate Governance

Combined Code, 1998 yılında, İngiltere’de daha önce yayımlanmış üç raporu

esas alan yeni bir rapordur. Turnbull Raporu olarak da adlandırılan ve iç kontroller ve

risk yönetimi hakkında özel sektör direktörleri için hazırlanmış rehber niteliğindeki rapor,

2003’te revize edilmiştir. İngiltere, Londra borsası şirketlerine yönelik “uygula-

uygulamıyorsan açıkla” esasına dayalı Combined Code raporunda Yönetim Kurulu

Başkanı’nın ücretlendirme komitesinde yer alması konusunda sınırlama kalkmış

ve yer alan önerilere uyum sağlanması, Londra Menkul Kıymetler Borsasına kote

şirketler için zorunlu hale getirilmiştir.

Combined Code, İngiltere’de kurumsal yönetişim konusundaki yaklaşımı

yansıtmaktadır. İngiltere’de hisse senetleri Londra Borsası’nda işlem gören şirketlerin

‘iyi yönetişim’ ilkesine ve bu konudaki mevzuata bağlılığını sağlamak amacıyla “The

Institute of Chartered Accountants in England-Wales” (1999) isimli örgüt tarafından “İç

Kontrol, Birleştirilmiş Kurallar Üzerine Yönetim Kurulu Üyeleri İçin Rehber” (Internal

Control, Guidance for Directors on the Combined Code) başlığıyla yayınlanan bir

versiyonu da vardır. Sarbanes-Oxley gibi, bu kılavuz da, tüm iç kontrol çerçevesi üzerine

odaklanmıştır. Muhasebe dönemlerinin başlangıcında uygulanan 2006 ve 2008 olarak iki

versiyonu mevcuttur. Combined Code Mevzuatı Londra Borsası kotasyon şartı, yönetim

kurulu üyelerinin yarısının bağımsızlığı, yönetim kurulunun kendi öz değerlendirmesi,

ayrıntılı ücret politikası oluşturma ve geliştirme, Hesap verebilirlik ve denetim, ve

paydaşlarla ilişkiler konularını içerir.

8.1.6. Risk Management Standard

Hazırlanan Risk Yönetim Standardı İngiltere’nin önde gelen risk yönetim

organizasyonlarından Risk Yönetim Enstitüsü (The Institute of Risk Management IRM),

Sigorta ve Risk Yöneticileri Derneği (AIRMIC) ve Kamu Sektörü Risk Yönetimi Ulusal

Forumu (ALARM) kuramlarının temsilcilerinden oluşan ekibin çalışmalarının bir

sonucudur. Çalışmalar esnasında risk yönetimi ile ilgili diğer profesyonel

organizasyonların da görüş ve fikirleri alınmıştır.

Kullanılan terminoloji, risk yönetimi süreci, risk yönetimi için organizasyonel yapı, ve

risk yönetiminin amacı gibi konularda fikir birliğinin sağlanması amacı ile bir standarda

ihtiyaç duyulmaktadır. Risk yönetimi amaçlarının gerçekleştirilmesi için birçok farklı yol

vardır ve bunların hepsini tek bir belgeye sığdırmak mümkün değildir. Bu nedenle, bu

standart çerçevesinde detaylı ve sıkı kurallar koyan bir standart geliştirmek yada

sertifikalanabilecek süreçler oluşturmak amaçlanmamıştır. Farklı yollarla da olsa bu

standartın farklı parçalarının hayata geçirilmesi ile, şirketler standarda uygun

çalıştıklarını raporlayabilecek düzeye geleceklerdir. Standart, şirketlerin kendi

uygulamalarını karşılaştırabilecekleri en iyi uygulamayı sunmaktadır.

Risk yönetimi sadece şirketler ve kamu kurumları için olmaktan öte, kısa veya uzun

vadeli herhangi bir faaliyet için kullanılabilir.

8.2. Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler

Dünyada risk yönetimi sistemlerinin işletme bünyesinde yer almasına yönelik yapılan

yasal düzenlemelerin etkisiyle, Türkiye’de de bu alanda benzer mevzuatlar

oluşturulmuştur. Yapılan düzenlemeler ile birlikte Türkiye’de özellikle halka açık

işletmelerin yönetim kurullarına etkin bir risk yönetimi sistemi kurmaları konusunda

birtakım zorunluluklar getirilmektedir.

8.2.1. Sermaye Piyasası Kurulu Düzenlemeleri

Sermaye Piyasası Kurulu (SPK) tarafından 30.12.2011 tarihinde yayınlanan “Kurumsal

Yönetim İlklerinin Belirlenmesine ve Uygulanmasına İlişkin Tebliğ”, Türkiye’de borsa

işletmelerinin esas alacakları kurumsal yönetim ilkelerini düzenlemektedir.

Sermaye Piyasası Kurulu tarafından yayınlanan kurumsal yönetim ilkeleri; pay sahipleri,

kamuoyu aydınlatma ve şeffaflık, menfaat sahipleri ile yönetim kurulu olmak üzere dört

unsur altında ele alınmaktadır. Buna göre, her bir unsurun ele aldığı konular pay sahipleri,

kamuoyu ve şeffaflık, menfaat sahipleri ve yönetim kurulu olmak üzere dört farklı alanda

gruplandırılabilmektedir.

Sermaye Piyasası Kurulu (SPK) tarafından yayınlanan yönetim kuruluna ilişkin kurumsal

yönetim ilkeleri kapsamında, yönetim kurulu bünyesinde birtakım komiteler

oluşturulması gerektiği belirtilmektedir. Bu bağlamda, işletmenin varlığını, gelişmesini

ve devamını tehlikeye düşürebilecek risklerin erken teşhisi, tespit edilen risklerle ilgili

gerekli önlemlerin alınması ve riskin yönetilmesi amacıyla çalışmalar yapmakla sorumlu

olan “riskin erken saptanması komitesi”nin kurulması, halka açık işletmeler (bankalar

hariç) için zorunlu tutulmaktadır.

Halka açık işletmelere riskin erken saptanması komitelerinin kurulması zorunluluğunun

getirilmesi, işletmelerin uzun vadeli çıkarlarının korunmasına yönelik önemli bir

düzenleme olarak değerlendirilebilir. Bu bağlamda, riskin erken saptanması komitelerinin

kurulması ile birlikte, tasarruflarını sermaye piyasalarında değerlendirmek isteyen pay

sahiplerinin haklarının güvence altına alınmaya çalışıldığı kabul edilebilir.

8.2.2. Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik

1 Kasım 2005’te yürürlüğe giren Bankacılık Kanunu’nun üçüncü kısmında yer

alan ilkeler, kurumsal yönetim ilkeleri olarak adlandırılmaktadır.

Bu kısımda iç kontrol ve iç denetim sistemleri ayrıntılı olarak ele alınmış fakat iç denetim

ve risk yönetiminin ortak çalışma alanlarına ve her iki sistem arasında gerçekleşebilecek

olası veri transferlerine değinilmemiştir.

Kanunda yer almayan ve yukarıda sözü edilen düzenlemelere 1 Kasım 2006 tarihinde

yayınlanan “Bankaların İç Sistemleri Hakkında Yönetmelik” üçüncü kısım “İç Denetim

Sistemi” başlığı altında yer verilmiştir. Söz konusu yönetmelikte iç denetim sisteminin

amacı “iç kontrol ve risk yönetimi sistemlerinin etkinliği ve yeterliliği hakkında güvence

sağlamak şeklinde ifade edilmiştir. Dönemsel değerlendirmelerin riske dayalı olması

gerektiği belirtilmekle beraber, banka tarafından kullanılan risk yönetimi tekniklerinin

denetlenmesi gerektiği yönetmelikte vurgulanmaktadır.

Risklerin belirlenmesi ve ölçülmesi kapsamda geçekleştirilen modelleme çalışmaları

BDDK ve uluslararası düzenlemelere koşut olarak yürütülmektedir. “Bank for

International Settlements (BIS) nezdindeki Basel Komitesi tarafından yayımlanan yeni

sermaye düzenlemeleri, Türkiye’deki bankacılık sektörünü bağlayıcı özellik

göstermektedir. Basel Komitesi tarafından yayınlanan ilkeler ile birlikte fınans kesiminde

yer alan işletmelerin risk yönetimi konusunda daha bilinçli hareket ettiği söylenebilir. Bu

noktada, özellikle 2008 yılından itibaren yaşanan küresel fınans krizinin Türk bankacılık

kesiminde yer alan firmalara etkisinin çok az olduğu belirtilebilir.

8.2.3. Yeni Türk Ticaret Kanunu

Yeni Türk Ticaret Kanunu, küreselleşen dünya ekonomisi, teknoloji ve bilgi toplumu

hizmetlerindeki gelişmelerin yanı sıra 2000’li yılların başından bu yana önem kazanan

kurumsal yönetim ilkeleri ve şeffaflık yaklaşımının şekillendirdiği çağdaş bir yaklaşım

olarak değerlendirilebilmektedir. Dolayısıyla, Türk ticari hayatına yönelik çağdaş

düzenlemeler içeren Yeni Türk Ticaret Kanunu’nun kurumsal yönetim ilkelerinin

uygulanabilirliğini arttırmayı hedeflediği ifade edilebilir.

Ticaret hayatında önemli değişim ve dönüşümleri sağlayacak hükümler içeren yeni Türk

Ticaret Kanunu (YTTK), işletmelerin kurumsal yönetimini pekiştirecek ve işletme

faaliyetlerinin doğal akışı içinde karşı karşıya kalınan risklerin erken tespit edilerek

gerekli önlemlerin alınmasına olanak tanıyamakta; bu yolla da işletme varlıklarının ve

gelişimlerinin devamlılığını güçlendirecek risk yönetim sistemlerine ve komitelerine

ilişkin düzenlemeler öngörmektedir. Söz konusu düzenlemelerin kapsamında pay

senetleri borsada işlem gören işletmeler ile denetçilerin gerekli gördüğü işletmeler

bulunmaktadır. Başka bir anlatımla, yeni Türk Ticaret Kanunu ile birlikte hem halka açık

hem de halka açık olmayan tüm işletmelerin kurumsal yönetim anlayışına

kavuşturulmasının hedeflendiği kabul edilebilir. Özellike risklerin erken saptanmasına

ilişkin komitenin kurulması ile birlikte, belirsizliklerin daha da arttığı ve işletmelerin

faaliyetlerini sürdürmesinin giderek zorlaştığı işletme ortamında, önemli bir yenilik

getirildiği görülmektedir. Ayrıca, risk yönetimi sistemlerinin ve bilincinin pay senetleri

borsada işlem görmeyen işletmelerde de yaygınlaşmasıyla birlikte, işletmelerin

sürekliliğine katkıda bulunarak genel olarak ülke ekonomilerine de fayda sağlayacağı

belirtilebilir.

Yeni Türk Ticaret Kanunu ile yürürlüğe girmiş olan riskin erken saptanması ve yönetimi

komitesi, Türkiye’deki halka açık işletmelere yönelik risk yönetimi faaliyetlere yönelik

yasal bir zorunluluk taşıması bakımından oldukça önem taşımaktadır. Bu bağlamda, risk

yönetimi kavramının 6102 Sayılı Türk Ticaret Kanunu’nda yer alan düzenlemelerle

birlikte ilk kez Türk ticaret hayatına girdiği söylenebilir.



Düzenlemeler Sarbanes-Oxley Kanunu

Dod-Frank Kanunu


EU Direktifi



Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler




Bölüm Soruları

S.1. Dünyada kurumsal risk yönetimi konusunda yapılan yasal düzenlemeleri

açıklayınız.

S.2. Sarbanes-oxley kanunu açıklayınız.

S.3. Dod-frank kanunu açıklayınız.

S.4. Kontrag kanunu, cabdury ve turnbull raporu açıklayınız.

S.5. Eu direktifini açıklayınız.

S.6. The combined code on corporate governance’i açıklayınız.

S.7. Risk management standardı açıklayınız.

S.8. Türkiye’de kurumsal risk yönetimi konusunda yapılan düzenlemeleri açıklayınız.

S.9. Sermaye piyasası kurulu düzenlemeleri açıklayınız.

S.10. Bankalarda risk yönetim sistemi kurulmasına ilişkin yönetmeliği açıklayınız.

S.11. Yeni türk ticaret kanununu açıklayınız.

9. RİSK KONTROLÜ İÇİN FAALİYETLER


Kontrollerin Amaçları

Riskin Etkisini Azaltan Kontroller

Riskin Olasılığını Azaltan Kontroller

Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller

Kontrol Türleri

Önleyici Kontroller

Düzeltici Kontroller

Yönlendirici Kontroller

Tespit Edici Kontroller

Kontrol Faaliyeti Aşamaları

Temel Kontrol Biçimleri


S.1. Kontrollerin Amaçları nelerdir?

S.2. Riskin Etkisini Azaltan Kontroller nelerdir?

S.3. Riskin Olasılığını Azaltan Kontroller nelerdir?


Konu Kazanım


edileceği veya

geliştirileceği

Kontrollerin Amaçları Kontrollerin Amaçlarını

açıklayabilmek


incelemek

Riskin Etkisini Azaltan

Kontroller


Kontrolleri açıklayabilmek


Kontrolleri incelemek

Riskin Olasılığını Azaltan

Kontroller


Kontrolleri açıklayabilmek


Kontrolleri incelemek

Anahtar Kavramlar





Kontrol Türleri







9.1.Kontrollerin Amaçları

Kontrol faaliyetleri; riske verilecek karşılıkların etkili bir biçimde yerine

getirilmesi, devam eden risklerin risk kapasitesi sınırları içinde yönetilmesi ve kurumun

yürürlükteki yasa ve yönetmeliklerle uyumunun sürekli sağlanmasına yardımcı olmak

için yerleştirilen politika ve prosedürlerdir.

Kontrol faaliyetleri kamu idarelerinin bilinçli veya bilinçsiz olarak uyguladıkları

tedbirlerdir. Kontrol faaliyetleri riskleri etkisiz bırakmaya veya etkilerini azaltmaya

yönelik atılmış adımlardır. Riskler, her iş ve işlemde doğası gereği mevcuttur ve bu riskler

kontrol altına alınmalıdır. Kontrol faaliyetleri ile sistemli olarak riskleri yönetmek başlıca

amacımızdır.

Kontollerimizin gücünü doğal riskimiz ile artık riskimiz arasındaki ilişkiye göre

tespit ederiz. Bu ilişki artık riskimizin formülü ile ortaya çıkar:

Kontroller sadece riskleri bertaraf etme amacı gütmezler. Risklerin ortaya çıkaracağı

etkiyi azaltmaya yönelik olabileceği gibi ortaya çıkma ihtimalini azaltmaya yönelik

özellikler gösterebilir. Hem etkisini azaltmak hem de ortaya çıkma olasılığını minimize

etmeye yönelikte olabilir. Özetlemek gerekirse kontrollerin üç amacı vardır:

Kontrol faaliyetleri riskin ortaya çıkmasıyla oluşturacağı etkileri azaltmaya yönelik

geliştirilmiş olabilir. Örneğin bir kamu idaresinin elektrik kesintisi yüzünden

hizmetlerinin aksaması riskine karşılık jeneratör veya kesintisiz güç kaynağı alımı

gerçekleştirmesi riskin etkisini önlemeye yönelik bir kontrol faaliyetidir. Aynı şekilde,

bir otomobil firmasının ürettiği otomobillere hava yastığı seçeneğinin sunulması ortaya

çıkabilecek bir trafik kazasında etkileri azaltmaya yönelik bir kontrol faaliyetidir. Bir

örnek daha vermek gerekirse, bir bankanın soyulma

9.1.1.Riskin Etkisini Azaltan Kontroller

Kontrol faaliyetleri riskin ortaya çıkmasıyla oluşturacağı etkileri azaltmaya

yönelik geliştirilmiş olabilir. Örneğin bir kamu idaresinin elektrik kesintisi yüzünden

hizmetlerinin aksaması riskine karşılık jeneratör veya kesintisiz güç kaynağı alımı

gerçekleştirmesi riskin etkisini önlemeye yönelik bir kontrol faaliyetidir. Aynı şekilde,

bir otomobil firmasının ürettiği otomobillere hava yastığı seçeneğinin sunulması ortaya

çıkabilecek bir trafik kazasında etkileri azaltmaya yönelik bir kontrol faaliyetidir. Bir

örnek daha vermek gerekirse, bir bankanın soyulma ihtimaline karşı bankanın paralarını

birden fazla kasanın farklı depolarında saklaması bankanın olası bir soygunda daha az

mali kayba uğramasını sağlayacaktır.

9.1.2.Riskin Olasılığını Azaltan Kontroller

Kontrol faaliyetleri bazen riskin ortaya çıkmasını önlemeye yönelik olarak

düzenlenebilir. Kamu idaresinin elektrik kesintisi yüzünden hizmetlerinin aksaması

riskinin ortaya çıkmasını engellemek için eskiyen elektrik kablo tesisatının yeni

teknolojilere uygun, ihtiyaçları karşılayabilecek şekilde yenilenmesi riskin olasılığını

azaltmaya yönelik bir kontrol tasarımıdır. Aynı şekilde, bir bankanın internet şubelerine

giriş yapılırken hacker saldırıları ihtimaline karşılık cep telefonlarına SMS yoluyla şifre

göndererek sisteme giriş yaptırması doğrudan riskin olasılığını azaltmaya yöneliktir.

Çoğu kontroller riskin ortaya çıkma ihtimalini azaltmaya yöneliktir.

9.1.3.Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller

Kontrol faaliyetleri riskin hem etkisini hem de ortaya çıkma olasılığını azaltmaya

yönelik geliştirilmiş olabilir. Örneğin, bir otomobil firmasının ürettiği otomobillere fren

sistemi koyması veya ABS, EBD gibi etkili fren sistemi koyması hem kaza yapma

ihtimalini azaltacak hem de kaza ortaya çıksa bile daha az hasarlı trafik kazalarına yol

açacak bir kontrol faaliyetidir. Bir bankanın soyulma riskine karşılık alarm sistemi

taktırması soygunları caydırabileceği gibi bir soygun sırasında alarm sisteminin devreye

girmesiyle soyguncuların daha az bir nakitle bankadan çıkmasını sağlayacaktır.

Kontrol faaliyetlerinin çoğu riskin olasılığını azaltmaya yöneliktir. Ancak,

kontrollerin asıl amacı riskin etkilerini azaltmaya çalışmaktır. Risk sorumluları etkiyi

azaltmaya yönelik kontrol arayışı içerisindedir. Kontrol faaliyetleri KRY halkasının ana

unsurudur. Riskler zaten mevcuttur, kontroller ise mevcut olabileceği gibi eksik veya hiç

olmayabilir. Amacımız risklerin etki ve olasılığını azaltacak yeni kontroller geliştirmek

veya var olan kontrollerimizi gözden geçirmektir.

9.2. Kontrol Türleri

4 çeşit kontrol türümüz vardır. Bu kontrol türlerinin yanı sıra kontrol türü olmasa

bile riski kontrol edemeyeceğimiz durumlarda hazırlamamız gereken acil eylem

planlarını kontrol türü olarak düşünebiliriz. Kontrol türlerini tespit ederken sormamız

gereken 4 ana soru vardır. Bunlar;

Bu dört soruya verdiğimiz cevapla kontrollerimizi tespit edebiliriz. Bu sorular aynı

zamanda kontrol türlerini bulmamızı sağlar.

9.2.1.Önleyici Kontroller

Önleyici kontroller istenmeyen fiilleri vuku bulmadan önlemeyi veya caydırmayı

amaçlar. Kayıpların önlenmesi konusunda inisiyatifi ele alır. Önleyici kontrollere örnek

olarak görevlerin ayrımını, yeterli dokümanı ve varlıklar üzerinde fiziksel kontrolü

gösterebiliriz.

9.2.2.Düzeltici Kontroller

Bu kontroller, meydana gelmiş olan istenmeyen sonuçların düzeltilmesi için

tasarlanmıştır. Kaybın veya hasarın bir parça düzeltilmesini sağlamak adına bir geri dönüş

rotası çizerler. Buna örnek olarak, sözleşme şartlarının, fazla ödeme yapılması halinde

geri ödeme yapılacak şekilde dizayn edilmesi verilebilir. Bir riskin gerçekleşmesi riskine

karşı mali iyileşme sağladığından dolayı sigorta da bir düzeltici önemle olarak kabul

edilebilir. Kurumların, kontrol edemedikleri olaylardan sonra faaliyetin devam etmesi /

iyileşmesini sağlayacak araçlar olan acil durum planları da düzeltici kontrolün önemli

birer unsurudur.

9.2.3.Yönlendirici Kontroller

Bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri

kontrol etme yöntemidir. Kanun, yönetmelik, tebliğ gibi mevzuatlar, broşürler, iş akış

şemaları, zaman çizelgeleri örnek olarak gösterilebilir.

9.2.4.Tespit Edici Kontroller

Tespit edici kontroller ise istenmeyen fiillerin vuku bulduktan sonra ortaya çıkarılmasını

sağlar. Örneğin, hesap mutabakatlarını, denetimleri, incelemeleri, analizleri

gösterebiliriz.

9.3.Kontrol Faaliyeti Aşamaları

Kontrollerimizi oluşturmamızı sağlayan süreç aşağıdaki tabloda özetlenmiştir.

Kontrol faaliyetleri düzenlerken şu hususlara dikkat etmemiz gerekir.

• Kontrol faaliyetleri tespit edilirken ve bu faaliyetlere kaynak tahsisi

yapılırken, risk puanına göre yapılan önceliklendirme dikkate alınır.

Bununla birlikte, Risk Haritasına göre olasılığı yüksek ve etkisi düşük

risklere de öncelik verilmesi gerekebilir.

• Olasılığı ve etkisi çok yüksek olan riskler için kontrol faaliyetlerine ilave

olarak acil durum eylem planlarının da hazırlanması büyük önem

taşımaktadır.

• İç risklerin hem gerçekleşme olasılığının hem de etkisinin azaltılması

kontrol faaliyetleri ile mümkün olabilmektedir.

• Dış risklerin gerçekleşme olasılığını azaltmak ise idarenin elinde

olmayabilir. Ancak, risklerin etkilerini zayıflatmak uygun bir risk

yönetimi ile mümkün olacaktır.

• Risklere cevap verirken aşırı kontrol faaliyetlerinden kaçınmak gerekir.

Kontrol eksikliği kadar kontrollerin gereğinden fazla olması da risk

yönetiminin etkinliğine zarar verir.

• Riskin içeriğine göre gerekiyorsa kontrol yöntemlerinden birkaçı bir arada

kullanılabilir.

• Kontrol faaliyetlerini uygulamanın maliyet ve fayda analizleri

yapılmalıdır.

• İstenilen etkiyi yaratıp yaratmadıklarını görmek için gereken durumlarda

kontrol faaliyetlerinin pilot uygulaması yapılabilir.

• Kontrol faaliyetlerinin etkinliği ve işleyişinin planlandığı şekilde

gerçekleşmesi izlenmelidir. Kontrollerin işlediğine ilişkin gerekli

kanıtlar periyodik olarak toplanmalı ve analiz edilmelidir.

• Makul bir zaman sonra yeni kontrol faaliyetlerinin ve devam etmekte olan

mevcut kontrollerin beklendiği gibi işleyip işlemediği

değerlendirilerek yönetici/risk koordinatörüne raporlanmalıdır.

S.6.

9.4.Temel Kontrol Biçimleri

“Temel Kontrol Çeşitleri” tablosunda yer alan bazı kontrollerden kısaca bahsetmek

gerekir. "Gündelik işlerin" aksaması durumunda, hizmetin devamlılığını sağlamak üzere

gerekli tedbirlerin mevcut olması gerekir. Ayrıca idarenin amaç ve hedeflerini

etkileyebilecek hayati faaliyetlerinin aksaması olasılığına karşı kontrollerimizden biri

olan İş Sürekliliği Planlarının bulunması gerekir. Bir kamu idaresi için önemli

kontrollerden birisi iş akış şemaları ve zaman çizelgeleriyle tüm birimlerinin hareket

etmesini sağlamaktır. Bu kontroller önleyici ve yönlendirici etkileriyle risklerimizi

kontrol altına almamıza yardımcı olacaktır.

Diğer bir kontrolümüz olan Veri Mutabakatı; tutarlılığın sağlanması açısından farklı

belge ve kaynaklardaki verilerin eşleştirilmesidir. Örneğin, banka hesaplarıyla ilgili hesap

girdilerinin muhabir banka ekstreleri ile mutabakatı; fatura bilgilerinin taşınır işlem

fişindeki bilgilerle eşleştirilmesi sayılabilir.

Bir diğer kontrolümüz olan yöneticinin sorumluluğuna ilişkin Gözetim

Prosedürleri ise; görevin verilmesi ve yerine getirilmesine ilişkin gözetim

prosedürlerinin yöneticiler tarafından belirli periyotlarla uygulanmasıdır. Yöneticilerin

başkalarına görev vermesi, görevin yerine getirilmesinde kendi sorumluluklarını ortadan

kaldırmaz. Yöneticiler, görevlerin yerine getirilirken doğru anlaşılmasını sağlamak ve

usulsüzlük ve hataların önüne geçmek için personele gerekli talimatları verip, gerekli

yönlendirme ve kontrolleri yapmalıdır. Yöneticiler bu prosedürleri verilen görevin doğru

bir şekilde yerine getirildiğinden emin olmak için de uygulamalıdır.

Bir diğer kontrolümüz olan yöneticinin sorumluluğuna ilişkin Gözetim

Prosedürleri ise; görevin verilmesi ve yerine getirilmesine ilişkin gözetim prosedürlerinin

yöneticiler tarafından belirli periyotlarla uygulanmasıdır. Yöneticilerin başkalarına görev

vermesi, görevin yerine getirilmesinde kendi sorumluluklarını ortadan kaldırmaz.

Yöneticiler, görevlerin yerine getirilirken doğru anlaşılmasını sağlamak ve usulsüzlük ve

hataların önüne geçmek için personele gerekli talimatları verip, gerekli yönlendirme ve

kontrolleri yapmalıdır. Yöneticiler bu prosedürleri verilen görevin doğru bir şekilde

yerine getirildiğinden emin olmak için de uygulamalıdır.






Kontrol Türleri







Bölüm Soruları

S.1. Kontrollerin Amaçları

S.2. Riskin Etkisini Azaltan Kontroller

S.3. Riskin Olasılığını Azaltan Kontroller

S.4. Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller

S.5. Kontrol Türleri

S.6. Önleyici Kontroller

S.7. Düzeltici Kontroller

S.8. Yönlendirici Kontroller

S.9. Tespit Edici Kontroller

S.10. Kontrol Faaliyeti Aşamaları

S.11. Temel Kontrol Biçimleri

10. STRATEJİK RİSK YÖNETİMİ


Stratejik Planlama

Stratejik Rekabet Analizi

Kuruluş Dışı Çevre Analizi

Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi

Performans Programı Kurumsal Risk Yönetimi


S.1. Stratejik Planlama

S.2. Stratejik Rekabet Analizi

S.3. Kuruluş Dışı Çevre Analizi

S.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi

S.5. Performans Programı Kurumsal Risk Yönetimi


Konu Kazanım


edileceği veya

geliştirileceği

Stratejik Planlama Stratejik Planlamayı

açıklar

Stratejik Planlamayı

inceleyerek

Stratejik Rekabet Analizi Stratejik Rekabet Analizi

açıklar


inceleyerek

Kuruluş Dışı Çevre

Analizi


açıklar


inceleyerek

Anahtar Kavramlar

Stratejik Planlama





10.1. Stratejik Planlama

Ülkeler, vatandaşlarının refahını artırmak, firmalar karlarını artırmak ve bireylerde

faydalarını artırmak için her geçen gün şiddetlenen küresel rekabet ortamında yüksek

seviyede bir mücadele sergilemektedirler. İktisadi birimlerin, bu mücadelede başarılı

olabilmelerinin en temel yollarından birisi, küresel rekabet dinamiklerini, çözümleyerek,

kendisi için en uygun rekabetçi stratejiyi formüle ederek, başarılı bir şekilde

uygulayabilmeleridir. Küresel rekabet dinamiklerine ayak uyduramayan, ülkeler, firmalar

ve bireyler, refahlarında ciddi oranda kazanç ve refah kayıplarıyla

karşılaşabilmektedirler. Diğer yandan, küresel rekabet dinamikleri hem mikroekonomi

(firma-sektör) hem de makroekonomi (ülke) düzeyinde sürekli ve yüksek hızla değişim

göstermektedir. Hem mikroekonomi hem de makroekonomi düzeyinde geleneksel

rekabet parametreleri yerlerini, modern rekabet parametrelerine bırakmaktadır. Kişisel

insiyatiflere ve doğal kaynaklara dayalı rekabet yönetim stratejileri, etkinliğini

kaybederken, bilim-teknoloji-inovasyon temelli, çok boyutlu esnek-kurumsal yönetim

stratejileri rekabette ön plana çıkmaya başlamıştır. Hem mikroekonomi hem de

makroekonomi alanında küresel rekabetin değişen bu dinamiklerini çözümleyerek,

gerekli kurumsal ve stratejik dönüşümleri yapan firmalar ve ülkeler küresel rekabette

yükselirken, bu değişimi çözümleyemeyen, gerekli dönüşümleri yapamayan firmalar ve

ülkeler de küresel rekabette geri kalmaktadır.İşletmeler, kurucularının belirlediği amaçlar

doğrultusunda, dinamik bir çevrede yaşamlarını sürdürürler. Temel amaçlarından birisi

işletmeninin, yeterli ve sürekli kâr etmektir. Bu temel amacı ne kadar başarılı

gerçekleştirebilirse, kurucularının ve yöneticilerinin belirlediği, misyon, vizyon ve diğer

amaçlara o kadar iyi ulaşabiliri.

İşletmenin amaçlarına ulaşabilmesi için, içinde bulunduğu rekabetçi ortama göre

kendisini uyarlaması gerekecektir. Bunun anlamı, işletmenin stratejik bir yönetim

süreciyle, firma içi, güçlü ve zayıf yönleri analiz etmesi, firma dışı çevreden gelecek,

fırsat ve tehditleri zamanında öngörebilmesi, ve bu dinamik süreçlerde kendi amaçlarına

ulaşmasını sağlayacak ve rakiplerine göre fark yaratacak bir yol seçmesi, bu yolda başarılı

bir şekilde gidebilmek için gerekli, tedbirleri alması, planlamaları yapması ve başarılı bir

şekilde bunu uygulayarak, sürekli etkinliği sağlaması gerekmektedir.

İşletmelerin, sürdürülebilir bir rekabetçi üstünlüğü sağlaması, amaçlarına etkin bir şekilde

ulaşabilmesi için firma içi ve firma dışı dinamikleri etkin bir şekilde yönetmesi süreci,

firmalar için stratejik yönetim sürecini gerektirmektedir. Bu bağlamda, stratejik yönetim

sürecinde, stratejik rekabet gücü ve başarılı stratejik yönetim çok büyük önem arz

etmektedir.Stratejik rekabet üstünlüğü, diğer bir ifadeyle stratejik rekabet gücü, firmanın

değer yaratan stratejisinin başarılı bir şekilde formule edip uygulandığında elde

edilmektedir. Diğer yandan, strateji, firmanın rekabet gücü kazanmak ve temel

yeteneklerinden yararlanmak için tasarlanan, eylemler ve yükümlülüklerin bütünleşik ve

koordineli bir setidir. Bu bağlamda, firma için bir strateji seçmek, firmanın neyi yapmak

istediği ve neyi yapmak istemediğini gösterir.ii

Şekil-1.1.’de iyi stratejik seçimler yapmada stratejik düşünme ve analiz süreci verilmiştir. Buna göre, firmanın içi ve firma dışı çevre analizinden

harektele, sahip oluna stratejilerin yeterliliği analiz edilir. Buradan hareketle de firmaya en uygun strateji firmanın sahip olduğu yapıya ve çevre

koşullarına göre şekillendirilir.

Kaynak : Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts and Cases, 8.edt. Irwin Pub. s.60

ENDÜSTRİ VE REKABETÇİ KOŞULLAR HAKKINDA

STRATEJİK ANALİZ Anahtar Sorular:

1. Endüstrinin hakim ekonomik özellikleri nelerdir?

2. Rekabet yapısı nedir, ve her bir rakip ne kadar güçlü?

3. Endüstrinin yapısının değişimesinin sebebi?

4. Hangi firmalar rekabette en zayıf ve en güçlü?

5. Kimin hangi stratejik hareketleri yapması olası?

6. Endüstride hangi anahtar faktörleri rekabetçi başarıyı

etkilemektedir?

7. Bu endüstri cazip mi? Ortalama üstü kar olasılığı nedir?

FİRMANIN KENDİ MEVCUT DURUMU HAKKINDA

STRATEJİK ANALİZ

Anahtar Sorular:

1. Firmanın Mevcut Rekabet Stratejisi Ne Kadar

İyi?

2. Firmanın Güçlü Ve Zayıf Yönleri Karşılatığı

Fırsat ve Tehditler Nelerdir?

3. Firmanın maliyetleri Rakiplerine Göre

HANGİ STRATEJİK

SEÇENEKLERE FİRMA

GERÇEKTEN SAHİP?

Mevcut Stratejinin

Daha İyileştirmesi

Mümkün Mü?

Yoksa Ana

Stratejinin

EN İYİ STRATEJİ HANGİSİ?

Anahtar Kriter:

Firmanın Mevcut Yapısına

Uygun Mu?

Rekabetçi Konum

Yakalamaya Yardımcı Mı ?

Firmanın Performansını

Şekil-1.1. İyi Stratejik Seçimler Yapmada Stratejik Düşünme Ve Analiz Süreci

DIŞ ÇEVRE

ANALİZİ

İÇ ÇEVRE

ANALİZİ

Vizyon

Misyon

Rekabetçi

Mücadele ve

Dinamikler

İş Seviyesinde

Strateji

STRATEJİ FORMULASYONU

ST

RA

TE

JİK

GİR

DİL

ER

ST

RA

TE

JİK

EY

LE

ML

ER

ST

RA

TE

JİK

SO

NU

ÇL

AR

Kurumsal Seviyede

Strateji

Ele Geçirme ve

Yeniden

Yapılandırma

Stratejileri

Uluslararası

Strateji

İşbirlikçi

Strateji

STRATEJİ UYGULANMASI

Stratejik

Liderlik

Kurumsal

Yönetim

Stratejik

Girişimcilik

Organizasyonel

Yapı ve Kontrol

Stratejik Rekabet Gücü

Ortalamanın Üzerindeki Getiri

Kaynak: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management of Strategy, Concepts., 8th edition.Ohio: South-Western College Pubishing

Şekil-1.2. Stratejik Yönetim Süreci

Şekil-1.2’de stratejik yönetim süreci verilmiştir. Buna göre, işletmenin stratejik yönetim sürecinde, temel aşamalar, iç ve dış çevre analizine bağlı

olarak, vizyon ve misyonun belirlenmesi, strateji girdileri oluşturmaktadır. Bu stratejik girdilere bağlı olarak, stratejik eylemler olarak, stratejinin

formulasyonu ve uygulanması ve bunlara bağlı olarak da, hedeflenen stratejik sonuçlar ortaya çıkmaktadır.

GERİ BESLEME

Şekil-1.3. Stratejik Karar Alma Süreci

Kaynak: Wheelen, T.L. and Hunger, J.D. (1994) “Strategic Decision Making Process” aktaran Wheelen, T.L. and Hunger, J.D. (1995) Strategic Management and Business Policy, Addision-

Wesley Inc.

STRATEJİ FORMÜLASYONU

Mevcut

Performans

Sonuçlarını

Değerlendir

Stratejik

Faktörleri

Belirle,

Fırsatlar

Tehditler

Mevcut Durum

Işığında

Stratejik

Faktörleri

(SWOT)

Analiz Et

İçsel Çevreyi

Analiz Et

Yapı,

Kültür,

Kaynaklar

Stratejik

Faktörleri

Belirle,

Güçlü

Zayıf Yönler

Misyon

Amaçları

Gerekli İse

Gözden Geçir

Ve Yenile

Stratejik

Alternatifleri

(Araçları)

Oluştur Ve

Değerlendir

En iyi

alternatifi

seç ve öner

Stratejileri

Uygula

Programlar

Bütçeler

Prosedürler

Dışsal Çevreyi

Analiz Et

Toplumsal

İş Çevr.

Mevcut

Misyon

Amaçlar

Stratejiler

Politikaları

İncele Ve

Değerlendir

Stratejik

Yöneticileri

Gözden Geçir:

Yönetim Kurulu

Tepe Yöneticileri

Değerlendir

Ve

Kontrol Et

7 6B 6A

5A

5B

4B 4A

3B 3A

2 1B 1A 8

Strateji Uygulanması

Aşaması

Değerlendirme

ve Kontrol

Aşaması

Şekil-1.3’te stratejik karar alma süreci verilmiştir. Buna göre, stratejik karar alma sürecine, öncelikle mevcut performans sonuçları değerlendirilerek başlanır, mevcut, misyon,

amaçlar, stratejiler, politikaları, incelenir ve değerlendirilir. Buna bağlı olarak stratejik yöneticiler gözden geçirilir, diğer yandan, firma içi yapılar ve firma dışı stratejik faktörler belirlenir.

Mevcut durum ışığında stratejik faktörleri (swot) analiz edip, buna bağlı olarak firmanın stratejik rekabet üstünlüğünü sağlayacak stratejilerin geliştirilmesi ve uygulanmasına geçilir.

Şekil-1.4’te stratejik planlama sürecinin genel yapısı verilmiştir. Buna göre, firmanın girdileri ve belirlenen amaçlarına göre bir kurum profili ortaya

çıkmaktadır. Bu profile bağlı olarak, işletmenin dış çevresi, çevrenin gelecekteki değişiminin tahmini, ortaya çıkacak fırsat ve tehditler, firma içi güçlü ve

zayıf yönlere bağlı olarak amaçlara ulaşma için alternatif stratejiler geliştirilir. Bu stratejilerde uygun olanlar seçili, iş kısa, ve orta vadeli planlara bağlı

olarak uygulamaya geçilir. Bu süreç içerisinde, sürekli tutarlılık testi ve acil durum planması da yapılır. Bu işletmenin amaçlarına ulşmak için geliştirdiği

stratejik planlama sürecidir.

Şekil-1.4. Stratejik Planlama Süreci

Kaynak: Weihrich, Heinz. (1982) “The TOWS Matrix -A Tool for Situational Analysis” Long Range Planning, Volume 15, Issue 2, April 1982, Pages 54-66

GİRDİ

İnsan

Sermaye

Yönetsel

Yetenekler

Teknik

Yetenekler

AMAÇLAR

KURUM

PROFİLİ

Acil Durum

Planlaması

Tutarlılık

Testi

Stratejik Seçimi

Değerlendirme

Uygulama

Kısa Vadeli

Planlama

Orta Vadeli

Planlama

Kaynak-

ların

Denetimi

Mevcut

Dış

Çevre

Çevrenin

Gelecek

Durum

Tahmini

Dış Çevre

Fırsat Ve

Tehditler

Alternatif

Stratejiler

Firma İçi

Zayıf ve Güçlü

Yönler

139

10.2. Stratejik Rekabet Analizi

Porter (2008)’iii e göre endüstride rekabeti şekillendiren faktörler, Şekil-3.6’da

verilmiştir. Bunlar, mevcut rakipler arasındaki rekabet, tedarikçiler, alıcılarla olan

rekabet, sektördeki mal-hizmetlerin ikame tehditleri ve yeni rakiplerden gelen tehditler

olarak karşımıza çıkmaktadır. Porter bu değişkenlere ilave olarak hükümet müdahaleleri

ve şansın da rekabet gücünün şekillenmesinde etkili olduğunu vurgulamıştır. Firmalar

rekabeti şekillendiren bu güçlere göre kendi rekabet üstünlüklerini ve kârlılıklarını

sürdürebilecek en uygun konumlandırma ve stratejiyi geliştirmeleri, uygulamaları

gerekmektedir.

Porter’ın endüstride rekabeti şekillendiren faktörlerine göre oyuncuların göreceli rekabet

güçleri ve aralarındaki ilişkiler rekabet yapısını etkilemektedir. Firmanın rekabet

üstünlüğü ve karlılığını koruyup geliştirebilmesi için, endüstri düzeyinde rekabet yapısını

etkileyen bu parametrelerini firmalar tarafından etkinlikle çözümlenerek, her bir rekabet

alanıyla ilgili olara firmaya rekabet avantajı sağlayacak optimal stratejiler geliştirilmesi

firma kârlılığı açısından son derece önemlidir.

Kaynak: Porter, Michael E. (1985), Competitive Advantage, Creating and Sustaining Superior Performance, Free Press.S.6

Not: Endüstride faaliyet gösteren iktisadi birimlerin iktisadi, sosyal, kültürel ve politik tercihleri de rekabet üzerinde etkili olabilmektedir.

Şekil-3.1. Porter’a Göre Endüstri Yapısınınn Bileşenleri

POTANSİYEL

RAKİPLER

İKAME

ÜRÜNLER

ALICILAR TEDARİKÇİLER

Endüstri

Rakipler

Yeni Rakiplerden

Gelen Tehditler

Mal ve Hizmetlerin

İkamelerinin Tehditi

Alıcıların

Pazarlık

Gücü

Tedarikçilerin

Pazarlık Gücü

Mevcut Rakipler

Arasındaki Rekabet

REKABETİN BELİRLEYİCİLERİ

Endüstrinin Büyümesi ;

Sabit (veya Stok) Maliyeti/Katma Değer

Aşırı Kapasite Dalgalanmaları

Ürün Farkları ; Marka Kimliği, Değişim Maliyeti

Yoğunlaşma ve Denge ; Bilgisel Karmaşıklık

Kurumsal Yükümlülükler, Çıkış Engeller

PAZARLIK KALDIRACI:

Firma Yoğunlaşmasında karşılık

alıcıların yoğunlaşması,

Alıcı hacmi,

Alıcı değiştirme maliyetinin firm

adeğiştirme maliyetine göre

durumu,

Alıcı Bilgi Yapısı,

Geriye Entegrasyon Yeteneği

İkame Ürünler, Dayanma Gücü

FİYAT DUYARLILIĞI

Fiyat / Toplam Satınalmalar

Ürün Farklılıkları

Marka Kimliği

Kalite ve performans etkisi

Alıcıların Karı

Karar Vericilerin Teşvikleri

ALICILARIN GÜCÜNÜN BELİRLEYİCİLERİ

İKAME ÜRÜN

TEHDİTİNİN

BELİRLEYİCİLERİ

İkamelerin göreceli fiyat

performans

Değiştirme Maliyeti,

İkame İçin Alıcıların

Eğilimi

TEDARİKÇİLERİN GÜCÜNÜN BELİRLEYİCİLERİ

Girdi Farklılaştırması,

Endüstride Tedarikçileri Ve Firmaları Değiştirme Maliyeti

Tedarikçi Yoğunlaşması

Tedarikçiler İçin Hacmin Önemi

Endüstride Toplam Satın Almaya Karşı Maliyet Yapsı

Girdilerin, Maliyet Ve Farklılaştırma Üzerinne Etkisi

Endüstride Firmalarla Geriye Doğru Entegrasyonunun

Tehdidine Karşı İleri Entegrasyon Tehdiri

PİYASAYA GİRİŞ ENGELLERİ

Ölçek Ekonomileri,

Ürün Farklılıklarının Tescili,

Marka Kimliği ; Değiştirme Maliyeti

Sermaye Gereksinimi ; Dağılıma Erişim,

Mutlak Maliyet Avantajı

Öğrenme Eğrisinin Tescili

Gerekli Girdilere Erişim

Düşük-Maliyetli Tasarım

Hükümet politikası, Beklenen Saldırı

142

Bu stratejilerin başında da tüm süreçlerde yaratılacak inovasyonlarla, maliyetler,

verimlilik, ürün çeşitliliği açısında fark yaratmak gelmektedir. Porter bu stratejileri

temelde, maliyet liderliği, farklılaştırma ve odaklanma olarak ortaya koymuştur. Bu

stratejilerin başarılı bir şekilde formülasyonu ve uygulanması işletmelerin rekabet

üstünlüğü ve firmanın karlılığına önemli ölçüde katkı yapabilmektedir. Firmaların

endüstriden ve rakiplerden kaynaklanan potansiyel tehditlerle baş edebilmeleri için etkin

stratejiler geliştirmeleri ve uygulamaları gerekmektedir.

Şekil-3.7’de firmanın rekabet stratejisi konsepti ve bileşenleri verilmiştir. Firmalar için

rekabet stratejisi tesis ederken, görüldüğü gibi firma içi ve firma dışı faktörler, şirketin

güçlü ve zayıf yanları, firma dışı çevreden gelecek fırsat ve tehditle, kilit konumdaki

uygulayıcıların kişisel değerleri ve toplumsal beklentiler, rekabet stratejisinin

şekillenmesinde büyük önem arz etmektedir. Bu faktörlerin göreceli önemi, yaratacağı

fırsat ve tehditlerin boyutları zamana ve koşullara göre farklılık gösterebilir. Ancak sektör

ve rakiplerden gelecek potansiyel rekabet tehditleri her zaman daha fazla önemini

koruyacaktır. Endüstrinin rekabet yapısı, şirketlerin stratejisi ve kârlılığını önemli ölçüde

etkilemektedir.

Kurumun iç paydaşları olan, ana ortaklar, çalışanlar ve departmanlar bazında değer

zincirinin analiz edilmesi önem arzetmektedir. Bu değer zincirinde iç paydaşların

sorunları ve çözülmesi gerekmektedir. Bu sebeple iç paydaşlara yönelik durum analizi

için paydaş anketleri ve geri dönüş sistemi kurulması gerekmektedir. Değer zincirine

katkı durumuna göre de iç paydaşlar önceliklendirmesi yapılabilir. Tablo-3.12. İç

Paydaşlar ve Değer Zinciri Analizi ve Şekil-3.1. Işletmede Değer Zinciri değerlendirme

çerçevesini sunmaktadır.

143

Firmanın

Güçlü Ve Zayıf

Yönleri

Sektördeki

Fırsatler Ve

Tehditler (Ekonomik Ve

Teknik)

Kilit

Konumdaki

Uygulayıcların

Kişisel Değerleri

Daha Genel

Toplumsal

Beklentiler

Firma Dışı

Faktörler Firma İçi

Faktörler

REKABETÇİ

STRATEJİ

Şekil-3.2. Porter’a Göre Rekabet Stratejisi Konsepti

Kaynak: Porter, Michael E. (1998), Competitive Strategy, Techniques for Analyzing Industries and Competititors, Free Press.

s.xxvi.

Not: Endüstride faaliyet gösteren iktisadi birimlerin iktisadi, sosyal, kültürel ve politik tercihleri de rekabet üzerinde etkili

olabilmektedir.

Tablo-3.1. İç Paydaşlar ve Değer Zinciri Analizi

İÇ PAYDAŞLAR Yetki Görev Sorumluluk

Değer Zincirine

Katkı Oranı

İç Paydaşların

Öncelikli Sorunları Sorunları Kaynakları Çözüm Önerileri

ORTAKLAR

ÇALIŞANLAR

Yöneticiler

Uzmanlar

İşçiler

DEPARTMANLAR

Üretim

Ar-Ge

Finansman

Muhasebe

İnsan Kaynakları

Pazarlama

Lojistik

Müşteri Hizmetleri

İŞVEREN

SENDİKALARI

Kaynak: Porter, 1995, Porter, Michael E. Ve Diğ, age World Economic Forum, Business Competitivennes İndex, 2007s.54

Şekil-3.3. Işletmede Değer Zinciri

FİRMA ALTYAPISI

(Finans, Planlama, Yatırımcı İlişkileri vb.)

İNSAN KAYNAKLARI YÖNETİMİ

(işe alma, iş doyumu, eğitim, ödeme sistemi vb.)

TEKNOLOJİ GELİŞTİRME

(Ürün Tasarımı, Süreç Tasarımı, Materyal, Pazar Araştırması vb.)

TEDARİK

(Parçalar, Makineler, Reklam, Servis vb.)

TEDARİK LOJİSTİK

(Materyal Depolama

Gelişi, Veri Toplama,

Servis, Müşteri

Erişimi)

OPERASYONLAR

(Montaj, paraçların

fabrikasyonu, şube

operasyonları)

SATIŞ SONRASI

SERVİS

(Kurulum,

müşteri desteği,

şikayet çözümü,

onarma)

DESTEK

LOJİSTİK

(Sipariş İşleme,

depolama, rapor

hazırlama)

DE

ST

EK

FA

AL

İYE

TL

ER

İ

DEĞER

(fiyat)

(Alıcının

Ödemek

İstediği

TE

ME

L

FA

AL

İYE

TL

ER

PAZARLAMA VE

SATIŞ

(Satış Gücü,

Promosyon,reklam,

teklif verme,

websitesi)

KAR

Marjı

Şekil-3.8’de Porter tarafından geliştirilen işletmede değer yaratım zincirinin bileşenleri verilmiştir. Buna göre, temel ve destek faaliyetlere

bağlı olrak, müşterinin bedelini ödemek istediği bir değer ortaya çıkar. Bu değer ne kadar yüksek niteliğe sahip olursa, alıcı gözündeki değeri

ve dolayısıyla işletmenin elde edeceği kar marjı da o kadar yüksek olacaktır. Bu bağlamda, işletmenin değer yaratım sistemin etkin bir şekilde

tasarlanıp, işletilmesi ve bileşenleri arasında yaratılacak sinerjinin maksimize edilerek, sorunların minimize edilmesi ortaya çıkacak değer,

fayda ve dolayısıyla kar marjının yüksekliğini belirleyecektir.

136

10.3. Kuruluş Dışı Çevre Analizi

Firmaların stratejilerini formüle etme süreçlerinde çok önemli dış çevre

analizlerinden birisi de ulusal ve uluslararası makroekonomik çevrenin analiz

edilmesidir. Bu bağlamda, ulusal ve küresel makro çevre içine giren, ekonomik çevre,

sosyokültürel, küresel, teknolojik, siyasi-hukuki, demografik çevrenin değişen

dinamikleri, aralarındaki karşılıklı etkileşim, makro çevresel değişkenlerin mikro

düzeyde sektörel etkileri ve buna bağlı olarak sektördeki rekabet dinamiklerindeki

değişim ve firmanın rekabet üstünlüğünün nasıl etkileneceği detaylı bir şekilde

incelenerek, optimal politika ve strateji tasarımı firma tarafından gerçekleştirilir.

Kaynak: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management of Strategy, Concepts., 8th

edition.Ohio: South-Western College Pubishing

Şekil-3.4. Dış Çevre Analizi

Ekonomik

Çevre

Küresel

Çevre

Demografik

Çevre

Sosyokültürel

Çevre

Siyasi/Hukuki

Çevre

TEKNOLOJİK

Çevre

Endüstriyel Çevre

Tedarikçilerin Pazarlık Gücü

Müşterilerin Pazarlık Gücü

İkame Ürünlerin Rekabeti

Yeni Firma Girişlerinin Yarattığı Tehdit

Rekabetin Yoğunluğu

Rakiplerden

Oluşan Çevre

137

Şekil-3.3., Şekil-3.4., ve Şekil-3.5’te dış makro çevre dinamiklerinin, firmayla

ilişkisi olan çıkar çevrelerinin, sektör ve firma üzerindeki olası etki çerçevesi verilmiştir,

firma bu dinamiklere bağlı olarak, kendi amaçlarını gerçekleştirmek için optimal politika

ve strateji tasarımını yaparak başarılı bir şekilde uygulamalıdır.

Şekil-3.5. Çevresel Değişkenler

Kaynak: Wheelen, L.T. and Hunger, J.D. (1995). Strategic Management and Business Policy, Addison-Wesley Pub S.11

İÇSEL ÇEVRE

Yapı, Kültür

Kaynaklar

İş Çevresi

Endüstri

Analizi Hissedarlar

Devlet

Hükümetler

Özel Çıkar Grupları

Müşteriler

Kreditörler Sivil Toplum

Ticari Birlikler

Rakipler

İşçiler Sendikalar

Tedarikçiler

Toplumsal

Çevre

Siyasi-Hukuki

Güçler

Sosyo-

Kültürel

Güçler Ekonomik

Güçler

Teknolojik

Güçler

Şekil-3.6. Toplumsal Çevre Analizi

Kaynak: Wheelen, L.T. and Hunger, J.D. (1995). Strategic Management and Business Policy, Addison-Wesley Pub, s.90

TOPLUMSAL ÇEVRE ANALİZİ

Ekonomi, Sosyokültürel, Teknolojik, Siyasi-Hukuki Faktörleri

Piyasa

Analizi

Rakipler

Analizi

Tedarikçilerin

Analizi

Devlet/Hükümet

Analizi

Çıkar Grupları

Analizi

Toplumsal

Analizi

Stratejik

Faktörlerin Analizi

Fırsatlar/Tehditler

138

10.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi

10.5. Performans Programı Kurumsal Risk Yönetimi

Kurum İçi Stratejik Risk Analizi kurumun karşılaşacağı maddi ve insan kaybı düzeyinin

öngörülerek minimize edilmesini hedeflemektedir. Bu amaçla kurum ve departman

düzeylerinde geçmiş yıllardaki maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri

tehlike ve risk analizi hesaplarının yapılarak mevcut ve gelecekteki zarar-kayıp

olasılıklarının bulunmasını amaçlar. Bu hesaplamalara göre de gerekli tedbirler alınarak

riskler ve tehlikeler minimize edilerek kayıplar en aza indirilebilir.

139

Geçmiş Dönemler Risk Analizi

Geçmiş Dönemler Risk Analizi kurum ve departman düzeylerinde geçmiş yıllardaki

maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi

hesaplarının yapılmasını amaçlar. Tablo-3.14. Geçmiş Dönemler Risk Analizi verilmiştir.

Tablo-3.2. Geçmiş Dönemler Risk Analizi (Son 5 Yılda Gerçekleşen)

Riskin Kaynağı Tehlike Risk Gerçekleşen

Kayıp

Değer Zincirine

Göre

Departmanlar

Kurum İçi Sebepler:

İnsan, Kurumsal Yapı,

Teknik Sistem, Kaza

Kurum Dışı Sebepler:

Doğal Afetler, Sabotaj,

Terör

Olası Kayıp Büyüklüğü (TL)

Kayıp Olasılığı

0≤P≤1

Tehlike*Risk

Tedarik 1.000.000 0,3 300.000

Depo

Üretim

Ar-Ge

Güvenlik

Hizmetleri

Bilişim

Hizmetleri

Finansaman

Pazarlama

Satış

Müşteri

Hizmetleri

……..

Cari Dönem Risk Analizi

Cari Dönem Risk Analizi kurum ve departman düzeylerinde içinde buluna yıl için maddi

ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi hesaplarının

yapılmasını amaçlar. Tablo-3.15. Cari Dönem Risk Analizi verilmiştir.

140

Tablo-3.3. Geçmiş Dönemler Risk Analizi (Cari Dönem)

Riskin Kaynağı Tehlike Risk Beklenen

Kayıp

Değer Zincirine

Göre

Departmanlar



Teknik Sistem, Kaza



Terör


Kayıp

Olasılığı

0≤P≤1

Tehlike*Risk

Tedarik 1.000.000 0,3 300.000

Depo

Üretim

Ar-Ge

Güvenlik

Hizmetleri

Bilişim

Hizmetleri

Finansaman

Pazarlama

Satış

Müşteri

Hizmetleri

Gelecek Dönem Risk Analizi

Gelecek Dönem Risk Analizi kurum ve departman düzeylerinde içinde gelecek yıllar için

maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi

hesaplarının yapılmasını amaçlar. Tablo-3.16. Gelecek Dönem Risk Analizi verilmiştir.

Tablo-3.4. Geçmiş Dönemler Risk Analizi (Son 5 Yılda Gerçekleşen)

Riskin Kaynağı Tehlike Risk Beklenen

Kayıp

Değer Zincirine

Göre

Departmanlar



Teknik Sistem, Kaza



Terör


Kayıp Olasılığı

0≤P≤1

Tehlike*Risk

Tedarik 1.000.000 0,3 300.000

Depo

Üretim

Ar-Ge

Güvenlik

Hizmetleri

Bilişim

Hizmetleri

Finansaman

Pazarlama

Satış

Müşteri

Hizmetleri

……..

141


Stratejik Planlama





142

Bölüm Soruları

S.5. Stratejik Planlama

S.6. Stratejik Rekabet Analizi

S.7. Kuruluş Dışı Çevre Analizi

S.8. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi

S.9. Performans Programı Kurumsal Risk Yönetimi

.

143

11. KURUMSAL RİSK YÖNETİMİ UYGULAMASINI ETKİLEYEN

FAKTÖRLER VE ARAÇLAR


Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler

İşletme Büyüklüğü

Finansal Kaldıraç

Karlılık

Yönetim Kurulu Üyelerinin Bağımsızlığı

Denetim Firmaları

Coğrafi Çeşitlilik

Bağlı Ortak Sayısı

Büyüme

144


S.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklayınız.

S.2. İşletme Büyüklüğünü açıklayınız.

S.3. Finansal Kaldıracı açıklayınız.

S.4. Karlılığı açıklayınız.

S.5. Yönetim Kurulu Üyelerinin Bağımsızlığını açıklayınız.

S.6. Denetim Firmalarını açıklayınız.

S.7. Coğrafi Çeşitliliği açıklayınız.

S.8. Bağlı Ortak Sayısını açıklayınız.

S.9. Büyümeyi açıklayınız.

145


Konu Kazanım


edileceği veya

geliştirileceği

Kurumsal Risk

Yönetiminin Varlığını

Etkileyen Faktörler

Kurumsal Risk


Etkileyen Faktörleri

açıklar

Kurumsal Risk


Etkileyen Faktörleri

inceleyerek

İşletme Büyüklüğü İşletme Büyüklüğünü

açıklar

İşletme Büyüklüğünü

inceleyerek

Finansal Kaldıraç Finansal Kaldıracı

açıklar

Finansal Kaldıracı

inceleyerek

146

Anahtar Kavramlar



Finansal Kaldıraç

Karlılık


Denetim Firmaları



Büyüme

147

11.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler

Hızla artan rekabet ortamında, karşı karşıya kalınabilecek riskleri etkin ve sürdürülebilir

biçimde yönetebilmek için fırsat olan kurumsal risk yönetimi, ulusal ve uluslar arası

alanda faaliyet gösteren birçok işletme tarafından tercih edilen bir araç haline

gelmektedir. Kurumsal risk yönetimine sahip olan işletmeler, risklerini bölümler arasında

eşgüdümlü olarak yönetmeye çalışmakta; böylelikle işletmelere önemli rekabet üstünlüğü

kazandırmaktadır.

Kurumsal risk yönetimine sahip işletmeler, kendi faaliyet alanları ve organizasyon

yapıları doğrultusunda risk yönetimini uygulayabilmektedir. Başka bir anlatımla,

kurumsal risk yönetimi varlığını etkileyen karakteristik özellikler işletmeden işletmeye

farklılıklar gösterebilmektedir. Bu karakteristik özellikler işletmelerin büyüklüğü, aktif

karlılığı, bağımsız yönetim kurulu üyelerinin yönetim kurulu içindeki oranı, fınansal

kaldıraç derecesi ve dört büyük denetim firması ve coğrafi değişkenlik olmak üzere

sıralanabilmektedir. Aşağıdaki kesimde, bu etkenlerle ilgili açıklamalara yer

verilmektedir.

11.1.1. İşletme Büyüklüğü

İşletme büyüklüğünün artması, işletmelerde kurumsallaşma sorununu gündeme

getirmektedir. İşletme büyüklüğünün artmasıyla birlikte işletmelerin ekonomik

ömürlerini devam ettirebilmeleri açısından kurumsal yönetim anlayışı oldukça gereklidir.

Bu kapsamda, büyük işletmelerdeki kurumsal yönetim gereksinimi aynı zamanda

risklerin de kurumsal bakış açısıyla ele alınmasını gündeme getirebilmektedir.

Kurumsal yönetim, işletmelerdeki tüm faaliyetlerinin etik bakış açısıyla ele alınmasını

gerekli kılmaktadır. Büyük işletmeler, sermaye elde edebilmek açısından daha çok

yatırımcıya ihtiyaç duymakta; bu durum da basının ilgisini büyük işletmelerin üzerine

çekmektedir. Dolayısıyla büyük işletmeler, küçük işletmelere göre etik uygulamalar

konusunda daha duyarlı hale gelmektedir. Büyük işletmeler, daha çok sermaye elde

edebilmek amacıyla hissedarlar ve yönetim arasında meydana gelebilecek çıkar

çatışmalarını en aza indirmek zorundadır. Bu durum, büyük işletmelerde etik baskıları

gidermek ve çıkar çatışmaları en aza indirebilmek amacıyla risk yönetimi sistemi

kurulmasını da olumlu yönde etkilemektedir.

148

İşletmelerde kurumsal risk yönetimi varlığının belirleyicileri konusunda yapılan

çalışmalarda, işletme büyüklüğünün kurumsal risk yönetiminin önemli bir belirleyicisi

olduğu düşünülmektedir. Bu kapsamda, işletme büyüklüğü ile kurumsal risk yönetimi

sisteminin varlığı arasında pozitif bir ilişki beklenmektedir. İşletmelerin giderek

büyümesi ile birlikte işletmeler daha fazla riske maruz kalmakta; böylelikle büyük

işletmelerde risklerin kurumsal bakış açısıyla ele alınması faaliyetleri küçük işletmelere

göre daha çok tercih edilmektedir.

11.1.2. Finansal Kaldıraç

Bir işletmede finansal kaldıraç derecesinin yüksek olması, o işletmedeki borç oranının

yüksekliğini ifade etmektedir. Yüksek kaldıraç derecesine sahip işletmelerin, fınansal

sorunlar yaşaması; fınansal kaldıraç derecesi düşük olan işletmelere göre daha yüksektir

Yapılan çalışmalar sonucunda, hem fınansal hem de fınansal olmayan işletmeler üzerinde

yapılan değerlendirmelerde, fınansal kaldıraç oranı ile kurumsal risk yönetiminin varlığı

arasında pozitif bir ilişki ortaya konduğu belirtilebilir. Buna göre, işletmelerde borç

kullanma oranının artmasının işletmeleri daha kaliteli ve güvenilir risk yönetimi

faaliyetleri konusunda güdülediği kabul edilebilir.

11.1.3. Karlılık

Karlılık, işletmelerin kazanç elde etme yeteneği olarak tanımlanabilir. Karlılık ile işletme

faaliyetlerinin verimli olup olmadığı hakkında görüş elde edilebilir. Finansal oranlar

kapsamında, karlılık üç şekilde ele alınabilir. Bunlar, net karın toplam satışlara oranı; net

karın toplam özkaynaklara oranı ve üçüncüsü net karın toplam varlıklara oranıdır.

Karlılık ve kurumsal risk yönetimi ilişkisi kapsamında, literatürde farklı bulgulara

ulaşılan çalışmalar olduğu belirtilebilir. Ancak, kurumsal risk yönetiminin işletme

kaynaklarının daha verimli kullanılmasına yönelik bir sistem olduğu kabul edildiğinde,

karlılık oranı yüksek işletmelerde kurumsal risk yönetimi varlığının görülme olasılığının

daha yüksek olması beklenmektedir.

149

11.1.4. Yönetim Kurulu Üyelerinin Bağımsızlığı

Yönetim kurullarında bağımsız yöneticilerin olmasının fınansal

raporların güvenilirliği konusunda önemli bir belirleyici olduğu kabul edilebilir.

Bağımsız yönetim kurulu üyelerinin işletme faaliyetleriyle ilgisinin olmaması,

hissedarlar ile yönetim arasında önemli bir görev üstlenmesine neden

olmaktadır. Bu doğrultuda, bağımsız yönetim kurulu üyelerinin işletmelerdeki

temsil maliyetini azaltıcı bir rol üstlendiği belirtilebilir.

İşletmelerde bağımsız yönetim kurulu üyelerinin yer alması, özellikle

kurumsal yönetim varlığı hakkında önemli bir gösterge olarak kabul edilebilir.

Bu kapsamda, kurumsal yönetimi başarılı bir şekilde uygulayan işletmelerin

kurumsal risk yönetim sistemine daha kolay uyum sağlayacağı belirtilebilir.

Dolayısıyla, bağımsız yönetim kurulu üyeleri ile kurumsal risk yönetimi

arasında pozitif yönlü bir ilişkinin varlığından bahsedilebilmektedir.

11.1.5. Denetim Firmaları

Bağımsız denetim yapan firmalar, halka açık işletmelerin fınansal tablolarının gerçeğe

uygun bir şekilde hazırlanıp hazırlanmadığı konusunda görüş bildiren kuruluşlardır.

Yaşanan işletme skandalları sonrasında, bağımsız denetim firmaları seçimine verilen

önem giderek artmaktadır. Denetim firmalarının ünü ile kurumsal risk yönetimi varlığı

arasında pozitif yönlü bir ilişki tespit edilmiştir.

11.1.6. Coğrafi Çeşitlilik

Coğrafi çeşitlilik, işletmelerin toplam satış tutarı içerisindeki bir ya da birden fazla ülkeye

yaptığı satışlar olarak belirtilebilir. İşletmelerin bir ya da birden fazla ülkeye

gerçekleştirdiği satışlar (ihracat), o işletmenin diğer ülkelerle olan ticari ilişkilerini

göstermesi bakımından önemlidir. Kurumsal risk yönetiminin işletmelerin farklı

coğrafyalarda karşılaşabileceği risklerini yönetebilmeleri konusunda önemli bir

mekanizma olabileceğini ve coğrafi çeşitliliğin kurumsal risk yönetimi varlığını pozitif

yönde etkilediği sonucuna ulşamıştır.

150

11.1.7. Bağlı Ortak Sayısı

Bağlı ortaklık, işletmenin, adi ortaklık gibi tüzel kişiliği olmayan işletmeler de dahil

olmak üzere, (ana ortaklık olarak bilinen) başka bir işletme tarafından kontrol edilen

işletmeler olarak tanımlanmaktadır. Bağlı ortaklıklar, işletmenin kurumsal şeffaflık

düzeyini sınırlandıran unsurlar arasında gösterilmektedir. Dolayısıyla, bağlı ortaklık

sayısı fazla; başka bir deyişle farklı coğrafyalarda faaliyet gösteren işletmelerde kurumsal

yönetim ilkelerinin uygulanabilmesi güçleşebilmektedir. Bu kapsamda, bağlı ortaklığın

kurumsal risk yönetimi varlığını etkileyen belirleyicilerden biri olduğu kabul edilebilir.

11.1.8. Büyüme

Büyüme potansiyeline sahip olan işletmeler daha fazla belirsizlikle karşı karşıya

kalabilmekte ve böylece daha iyi bir risk yönetimi modeline ihtiyaç duyabilmektedir. Bu

gibi işletmelerin kurumsal risk yönetimine yönelik daha fazla yatırımı ve kurumsal risk

yönetim müdürüne sahip olmaları olasıdır. Kurumsal risk yönetimi sadece risklerin

azaltılmasına değil; aynı zamanda yeni büyüme fırsatlarının elde edilmesine de katkı

sağlamaktadır.

151




Finansal Kaldıraç

Karlılık


Denetim Firmaları



Büyüme

152

Bölüm Soruları

S.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklayınız.

S.2. İşletme Büyüklüğünü açıklayınız.

S.3. Finansal Kaldıracı açıklayınız.

S.4. Karlılığı açıklayınız.

S.5. Yönetim Kurulu Üyelerinin Bağımsızlığını açıklayınız.

S.6. Denetim Firmalarını açıklayınız.

S.7. Coğrafi Çeşitliliği açıklayınız.

S.8. Bağlı Ortak Sayısını açıklayınız.

153

12. İÇ DENETİM SİSTEMİ, KAPSAMI ve ÖZELLİKLERİ

154


İç Denetimin Tanımı

İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri

İç Denetimin Kapsam ve Alanı

İç Denetimin Amacı

İç Denetim Sisteminin Özellikleri ve Etkililiği

İç Denetim Unsurları

Nesnel Güvence Sağlama

Bağımsız Olma

Tarafsız Olma

Danışmanlık Hizmeti Verme

Kurum Faaliyetlerine Değer Katma ve Geliştirme

Standartlara Uygunluk

İç Denetim Türleri

Uygunluk Denetimi

Performans Denetimi

Mali Denetim

Bilgi Teknolojisi Denetimi

Sistem Denetimi

İç Denetim Teknikleri

155


S.1. İç Denetimin Tanımlayınız?

S.2. İç Denetim Faaliyetine İhtiyaç Duyulma Nedenlerini açıklayınız.

S.3. İç Denetimin Kapsam ve Alanını açıklayınız.

S.4. İç Denetimin Amacı nedir.

S.5. İç Denetim Sisteminin Özellikleri ve Etkililiğini açıklayınız.

156


Konu Kazanım Kazanımın nasıl elde

edileceği veya geliştirileceği

İç Denetimin Tanımı İç Denetimin Tanımı açıklar İç Denetimin Tanımı

inceleyerek

İç Denetim Unsurları İç Denetim Unsurları açıklar İç Denetim Unsurları

inceleyerek

İç Denetim Türleri İç Denetim Türleri açıklar İç Denetim Türleri

inceleyerek

157

Anahtar Kavramlar








Bağımsız Olma

Tarafsız Olma






158

12.1.İç Denetimin Tanımı

İç Denetçiler Enstitüsü tarafından 1947 yılında yapılan tanımlamaya göre iç denetim “bir

kuruluş hizmeti olarak kurumun faaliyetlerini incelemek ve değerlendirmek için

kuruluştaki yerleşik bağımsız bir değerleme işlevi” dir.

Bu dönemde iç denetimin temel amacı mali bilgilerin doğruluğunu ve güvenilirliğini

tespit etmek olarak kabul edilmektedir. Günümüzde bahsedilen amaçlar önem ve

geçerliliğini korumakla birlikte iç denetimin kuruma “danışmanlık hizmeti” vermesi ve

“değer katması” da istenmektedir. Söz konusu beklenti iç denetimin amacına yönelik

yapılan yeni tanımlamalarda da kendini göstermektedir.

Kurum içerisinde iç denetim faaliyetinin gerekliliği 1987 yılında Treadway Komisyonu

tarafından yayımlanan raporda “Kamu kurumları kapsam ve büyüklüklerine uygun yeterli

sayıda kaliteli personelle birlikte etkili bir iç denetim fonksiyonuna sahip olmalıdır.”

sözleriyle vurgulanmıştır.

İlkinin tanımdan daha çok giriş ya da tanıtım özelliği taşıdığı düşünüldüğünden 1999

yılında IIA tarafından tekrar bir tanımlama yapılmıştır. Buna göre; iç denetim bir

kurumun çalışmalarına değer katmak ve onu geliştirmek amacı güden bağımsız ve

objektif bir güvence ve danışmanlık faaliyetidir.

Yeni tanımda iç denetim, önemli mesleki ve teknik yetenekler gerektirmekle beraber bir

güvence mekanizması olarak, kayıtların doğruluğundan çok kurum faaliyetlerini dikkate

alarak, bunların etkinliği ve verimliliği üzerine artı değer yaratmayı hedefleyen bir sistem

olarak ifade edilmektedir. Güvence hizmeti; risk yönetimi, kontrol ve kurumsal yönetişim

süreçlerinin tarafsız değerlendirildiğine dair objektif bir delil niteliği taşımaktadır. Yeni

tanımda mesleğin ana hedefleri özetlenerek bu hedeflere ulaşmayı sağlayacak metotlara

yer verilmektedir. Ayrıca “iç denetim departmanı” yerine “iç denetim faaliyeti” kavramı

kullanılmıştır. Böylece söz konusu hizmetin kurum içi ya da kurum dışından iç

denetçilerce yerine getirilebileceği vurgulanmaktadır. İç denetimin yeni tanımındaki

temel unsurlar şunlardır:

i. Kurumun hedeflerine ulaşmasına yardımcı olmak: Hedefler, kurumun ulaşmak

istediği noktayı göstermekte ve bu noktaya ulaşabilmesi için hedeflerin başarılması

gerekmektedir. En üst seviyede hedefler, kurum misyon ve vizyonu ile

ilişkilendirilmektedir. Misyon kurumun bugün bulunduğu noktayı, vizyon ise gelecekte

159

ulaşmak istediği noktayı ifade etmektedir. Hedefler, misyon ve vizyona uygun

belirlenmiş ve başarıyla uygulanıyor olmalıdır. Kurum hedefleri stratejik, faaliyet,

raporlama ve uygunluk ana başlıkları altında sınıflandırılmaktadır.

ii. Kurumun risk yönetimi, kontrol ve kurumsal yönetişim süreçlerinin etkinliğini

değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşımla

hedeflere ulaşılmasına yardımcı olur. Kurumsal yönetişim, kurumun hedeflerine

ulaşabilmesi için yönetim kurulu tarafından yapılan yetkilendirme ve yönetim sürecidir.

Kurumsal yönetişim ile yakın bağlantılı olan risk yönetimi, hedeflere ulaşılmasını

engelleyecek belirsizliklerin ya da risklerin yönetim tarafından belirlenmesi ve

yönetilmesi sürecidir. Risk yönetimi içerisine yerleştirilmiş olan kontrol, risklerin

yönetim tarafından kabul edilebilir bir seviyeye indirilmesi sürecidir. Yönetim kurulu ve

yönetimin kurumsal yönetişim, risk yönetimi ve kontrol süreçlerini birlikte etkin bir

şekilde yönetmesi gerekmektedir. Bu noktada iç denetçilerin, bu süreçlerin

değerlendirilmesi ve geliştirilmesi hususlarında önemli rolü bulunmakta; ancak bu rol

rehberlik ya da danışmanlık hizmetinin ötesine geçememektedir.

iii. Kurumu geliştirmek ve kuruma değer katmak amacı taşıyan danışmanlık ve

güvence faaliyetleri kurumun eksiklerini görmesini sağlamaktadır. Güvence hizmeti hem

kurumun hem de paydaşların, değerlendirmeleri dikkate alarak hareket etmesini

sağlamaktadır.

iv. Bağımsız ve tarafsızdır. Bağımsızlık, iç denetim faaliyetinin örgütsel durumunu;

tarafsızlık ise iç denetçilerin önyargısız değerlendirmelerde bulunmasını ifade

etmektedir.

Kısaca iç denetim, kuruma fayda sağlamak amacıyla kurum faaliyet ve işlemlerini

incelemek ve değerlendirmek üzere kurum içinde örgütlenmiş; ancak kurumdan bağımsız

işlev gören bir değerleme fonksiyonudur

12.2.İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri

Sorumluluk ve Hesap Verebilme: Her kurumda ya da işletmede yöneticiler

yetki ve sorumluluklarının bir kısmını kendilerine bağlı olarak çalışan kişilere

devretmektedir. Yöneticiler, devrettikleri yetkilerin etkin ve verimli kullanılıp

kullanılmadığını değerlendirmede iç denetçilerden faydalanmaktadır. İç denetçiler bilgi

160

15

toplama, şartları analiz etme ve problemleri tanımlama alanındaki yetkinlikleri sayesinde

doğrudan yöneticilere ve dolaylı olarak da kuruma fayda sağlamaktadır.

Vekâlet Teorisi. İşletme sahipleri ya da kurum yöneticileri emanet ettikleri kaynakların

etkin ve verimli işletilip işletilmediğinden emin olmak ister. Yönetici şüphelerinin

ortadan kalkmasında rol oynayan en önemli yetkililer de iç denetçilerdir. İç denetçiler

gerek finansal gerekse finansal olmayan alanlarda yaptıkları denetimlerle kuruma artı

değer katmakta ve yöneticiye makul bir güvence sunmaktadır.

Yönetime Danışmanlık ve Yardım. Planlama, organizasyon, yönetim ve kontrol alanında

bilgi sahibi olan iç denetçiler, hileli işlemleri ortaya çıkarmanın yanı sıra ileride benzer

sorunlarla karşılaşılmasını engellemek amacıyla yöneticilere danışmanlık ve eğitim

hizmeti sunmaktadır.

Tasarruf İhtiyacı. İç denetçilerin risk denetimi ve yönetim uygulamaları sayesinde kurum

ya da işletmeler hata, hile ve usulsüzlük gibi durumlar ortaya çıkmadan gerekli tedbirleri

alma fırsatı yakalamaktadır. Bu sayede maddi açıdan büyük tasarruf sağlanmakta ve hatta

çoğu zaman tasarruf miktarı iç denetim biriminin işletmeye olan maliyetini karşılamakta

ya da maliyeti aşmaktadır.

Hileli İşlemlere Karşı Korunma İhtiyacı. Hileli işlemlerin kuruma vereceği zararların

önüne geçilmesinde iç denetim sistemi çok önemli bir geri besleme mekanizması rolü

üstlenmektedir.

12.3.İç Denetimin Kapsam ve Alanı

İç denetçiler kurum ihtiyaçlarını karşılamak amacıyla “iç kontrol, uygunluk, yolsuzluk,

faaliyet ve yönetim denetimleri, danışmanlık faaliyetleri ve kurumsal risk yönetimi”

alanlarında faaliyet göstermektedir.

Her bir kategori farklı hedef ve odak noktalarına sahiptir. Kategoriler farklı şekillerde

yeniden yapılandırılabilir. Örneğin; bazı denetçiler faaliyetlerini finansal, bilgi sistemleri

ve danışmanlık olarak tanımlamaktadır. Bireysel denetimin tanımı ve

kapsamı büyük ölçüde amaca göre belirlenmektedir. İç denetim faaliyetleri kısaca

aşağıdaki şekilde tanımlanabilir.

161

İç Kontrol Denetimleri: Kurumların amaçlarına ulaşmasını sağlayacak uygun bir iç

kontrol sisteminin oluşturulması ve sürdürülmesi için değerlendirmeler yapılması ve

önerilerde bulunulması sürecini kapsamaktadır.

İç kontrol denetiminin amacı belirli bir iç kontrol sisteminin kurum hedeflerine

ulaşılmasını sağlamada ne derece yeterli olduğuna dair yönetime bilgi sağlamaktır. Bu

denetimler iç kontrol hedeflerine odaklanmaktadır. Temel amacı etkili bir iç kontrol

sisteminin tanımlanmış hedeflere ulaşılmasını garantiye almada ne derece etkili olduğunu

ölçmektir. İç denetçiler, iç kontrol sistemindeki hatalı, hileli ve riskli durumları ortaya

koymak suretiyle üst yöneticilere bir nevi rehberlik hizmeti sunmaktadır.

Uygunluk Denetimleri: Plan, politika, prosedür, yasa, düzenleme ve anlaşma

hükümlerine uygunluk düzeyi hakkında yönetime bildirim sağlamayı hedefleyen

denetimdir. Politika, prosedür ve kanunların belirsiz ya da uygunluk derecesinin

sorgulanabilir olduğu durumlarda uygunluk denetimleri genelde göründükleri kadar açık

olmayabilir. Bu gibi durumlarda denetçiler sıklıkla makul uygunluk değerlerine

odaklanmaktadır.

Yolsuzluk Denetimleri: Yolsuzluk faaliyetlerinin olması durumunda ya da

şüphelenilmesinde yolsuzluk mevcudiyetini ve kapsamını tespit veya teyit eden yönetime

bilgi sağlayıcı belli denetim faaliyetleri gerçekleştirilmektedir. İç denetçilerin yolsuzluk

göstergelerini tespit edici yeteneğe sahip olması beklenmekle birlikte yolsuzluk alanında

uzman olan kişilerin sorumluluğundaki tespit ve teftiş faaliyetlerinde bulunmaları

beklenmemektedir.

Faaliyet ve Yönetim Denetimleri: Faaliyet denetimi her birimin faaliyet alanındaki

hedeflerine ulaşma ve kaynak kullanımındaki etkinlik , verimlilik ve ekonomikliğin

denetimidir. Örneğin; yatırım stratejileri, maliyet-fayda analizi, risk yönetimi ve

sözleşme yönetimi gibi belli faaliyet ya da fonksiyonel alanlar değerlendirilmektedir.

Yönetim süreci kurumdaki rolleri ve davranışları belirleyen, sorumlulukları tanımlayan,

hedef ve stratejiler geliştiren, kurumsal performansı ölçen kuruma özgü ve sürekli

değişen bir kültürel yapıdır. süreçlerinin denetiminde, hesap verme sorumluluğunu

geliştirmek amacıyla kurumsal yapı ve yönetim süreçlerinin etkililiği değerlendirilmekte

ve önerilerde bulunulmaktır. Etik ve kurumsal değerlerin geliştirilmesi, kurumsal

performans yönetimi ve hesap verebilirliğin sağlanması, risk yönetim ve kontrol

162

süreçlerinin etkinliği, iç ve dış denetçiler arasındaki eşgüdümün sağlanması şeklinde

örneklendirilebilen yönetim süreçlerinin iyileştirilmesi amacıyla iç denetim sistemi;

riskler, zayıflıklar ve bunlardan korunma ve iyileştirme hususlarında kuruma tavsiyelerde

bulunucu rol üstlenmektedir.

Buraya kadar açıklanan iç kontrol, uygunluk, yolsuzluk ve faaliyet denetimlerinin her biri

aynı genel özellikleri paylaşmaktadır. Bunlar:

i. Denetim hedeflerine sahiptirler.

ii. Kanıt elde etmek için çeşitli analitik ve test yöntemleri kullanırlar.

iii. Denetim sonuçları raporlanmakta ve raporlar tavsiye verici nitelik taşımaktadır.

Danışmanlık Faaliyetleri: İç denetime yönelik talep artışında yönetime sundukları

danışmanlık hizmetinin büyük rolü bulunmaktadır. Danışmanlık hizmeti, kurumun

hedeflerini gerçekleştirmeye yönelik faaliyet ve işlem süreçlerinin sistemli ve düzenli bir

şekilde değerlendirilmesi ve geliştirilmesine yönelik önerilerde bulunulmasıdır (Soydan,

2008: 38). İç denetim özellikle risk yönetimi, kontrol ve yönetim süreçlerini geliştirmede

idarelere yardımcı olmak üzere bağımsız ve tarafsız bir danışmanlık hizmeti sunmaktadır.

İç denetçiler hem bulundukları pozisyon gereği hem de sahip oldukları yetenek, tecrübe

ve araçlardan dolayı yönetime danışmanlık hizmeti sunma konusunda avantajlı

konumdadır.

Kurumsal Risk Yönetimi: İç denetçilerin kuruma değer katma amacı ile hizmet verdikleri

yeni; fakat önemi giderek artan bir alandır.

12.4.İç Denetimin Amacı

İç denetimin temel amacı kurumsal yönetişimi desteklemek ve güçlendirmek, risk

yönetimi ve kontrol sistemlerinin etkililik ve yeterliliğini değerlendirerek geliştirmektir.

Yeterlilik ve etkililik kavramlarının iç denetçi için ne ifade ettiği oldukça önemlidir. İç

kontrol sisteminin yeterliliği; iç kontrol sisteminin risklere karşı geliştirdiği kontrol

önlem mekanizmalarının niceliksel ve niteliksel varlığıdır. Burada iç denetçi verimliliği

ölçmek amacıyla yönetim tarafından faaliyet standartlarının belirlenip belirlenmediğini,

belirlenen standartların anlaşılıp anlaşılmadığını, standartlardan sapmaların tespit edilip,

163

düzeltici önlemleri almakla sorumlu kişilere iletilip iletilmediğini ve düzeltici

önlemelerin alınıp alınmadığını belirlemekle sorumludur. İç kontrol sisteminin

yeterliliğinin incelenmesinin amacı kurumun amaç ve hedeflerini gerçekleştirmede

makul bir güvence sağlayıp sağlamadığını araştırmaktır. İç kontrol sisteminin

etkililiğinden ise kurum faaliyetlerinin; yönetim politika, plan, program ve mevzuata

uygunluğunun değerlendirilmesi kast edilmektedir. Performans kalitesinin

incelenmesinin amacı kurum amaç ve hedeflerine ulaşma düzeyini belirlemektir.

İç denetim sistemi, kamu idaresinin varlıklarının güvence altına alınması, iç kontrol

sisteminin etkililiği ve risklerin asgarîye indirilmesi için kurum faaliyetlerini olumsuz

etkileyebilecek risklerin tanımlanması, gerekli önlemlerin alınması, sürekli gözden

geçirilmesi ve mümkünse sayısallaştırılması konularında yönetime önerilerde

bulunmakta ve makul güvence sunmaktadır.

Makul ya da nesnel güvence sağlama, kurum içerisinde etkin bir iç denetim sisteminin

var olduğuna; kurum risk yönetimi ve iç kontrol sisteminin ve işlem süreçlerinin etkin bir

şekilde işlediğine; üretilen bilgilerin doğruluğuna ve tamlığına; varlıklarının

korunduğuna; faaliyetlerin etkili, ekonomik, verimli ve mevzuata uygun bir şekilde

gerçekleştirildiğine dair kurum içine ve dışına yeterli güvencenin verilmesidir.

12.5.İç Denetim Sisteminin Özellikleri ve Etkililiği

Geçmişteki işlem ve hata odaklı iç denetim yaklaşımı günümüzde süreç odaklı işlemekte,

işin etkinliğinin artırılmasına yönelik stratejik akıl ortaklığına doğru değişim ve gelişim

göstermektedir. Kurumsal yönetişim kapsamında iç denetimin rolü değerlendirildiğinde;

süreçlerin iyileştirilmesi, insan kaynağının geliştirilmesi, kurumsal performans ve

verimlilik yönetimi, kurum içi iletişim, iyi uygulamaların paylaşımı, katma değer

yaratılması ve kalitenin geliştirilmesi hususlarında etkin rol oynadığı görülmektedir.

İç denetim, kurumsal yönetişim yapısının önemli bir parçasıdır ve bu önem IIA tarafından

uygulama standartları 2130-1’de şu şekilde vurgulanmıştır: “Bir kurumun etik kültüründe

iç denetçinin rolü etik kültürü desteklemek ve bu sayede varlıkların kötüye kullanılmasını

önlemede yardımcı olmaktır.”

164

Kurumdaki iç denetim faaliyeti; kurum içindeki avantajlı konumu, geniş faaliyet alanında

farklı türde denetimleri incelemesi, iç denetim ekibinde farklı türde multidisipliner

geçmişe sahip bireyler bulunması sayesinde diğer hizmetler arasında avantajlı ve önemli

bir konumdadır.

İç denetim sisteminin etkililiğini iç denetim faaliyetinin yürütülmesi aşamasında

uyulması zorunlu olan iç denetim standartları belirlemektedir. İç denetim faaliyetinin

kurum içindeki konumu, faaliyet ve görev alanları, kurumsal düzeyde her türlü bilgi,

belge, kayıt, varlık ve alanlara erişim yetkisi, bağımsızlık ve tarafsızlığı, iç denetim

sorumlularının yetkinlikleri, yönetimi, gözetimi, raporlama ve kalite güvencesinin

standartlarda belirlenen tanımlama ve yaklaşımlara uygun olması iç denetimin kurumdaki

etkililiğini belirleyen temel faktörler kapsamına girmektedir. İç denetim faaliyetinin etkili

yürütülebilmesi, iç denetim yöneticisinin sorumluluklarını yerine getirmesine engel

olmayacak bir yönetim seviyesine bağlı olmasını gerekli kılmaktadır. Ayrıca faaliyetlerin

mesleki özen ve dikkat unsuru dikkate alınarak yürütülmesi etkililiğin artırılmasında

belirleyici rol oynamaktadır.

Mesleki özen ve dikkat; hizmette amaca ulaşmayı sağlayıcı görev kapsamını, görev

kapsamı içerisinde yer alan konuların karmaşıklığını, risk yönetimi, kontrol ve kurumsal

yönetişim süreçlerinin etkinliği ve yeterliliğini, önemli hata, düzensizlik ya da aykırılık

olasılığını ve göreve ilişkin potansiyel faydaların maliyetini dikkate almayı

gerektirmektedir. İç denetim sisteminin katma değer sağlayıcı işlevinin ön plana

çıkarılabilmesi için iç denetim faaliyetinin risk odaklı planlanması, kurum üst

yönetimiyle iletişim, raporlama ve takip sisteminin etkin işler hale getirilmesi

gerekmektedir.

12.6. İç Denetim Unsurları

İç denetim sistemi; nesnel güvence sağlama, bağımsız ve tarafsız olma, danışmanlık

hizmeti verme, kurum faaliyetlerine değer katma ve geliştirme ve standartlara uygunluk

unsurlarından oluşmaktadır.

12.6.1.Nesnel Güvence Sağlama

İç denetçinin süreç, sistem veya başka bir konu hakkında bağımsız görüş veya kanıt

sunabilmesi için gerekli bulguların tarafsızca değerlendirilmesini sağlayan güvence

hizmetinde üç taraf bulunmaktadır. Bunlar:

165

i. Süreç Sahibi: Süreç, sistem ya da ele alınan bir diğer konunun doğrudan içinde

olan kişi veya grup.

ii. İç Denetçi: Değerlendirmeyi yapan kişi ya da grup.

iii. Kullanıcı: Değerlendirme sonuçlarını kullanan kişi ya da grup.

Tarafların değerlendirmeleri neticesinde iç denetim sisteminin nesnel güvence sağlama

boyutu işlevselleşmektedir.

İç denetim sistemi kurum içerisinde etkin bir iç kontrol sisteminin var olup olmadığına;

idarenin risk yönetim işlem süreçlerinin etkin işleyip işlemediğine; üretilen bilgilerin

doğru ve tam olup olmadığına; varlıklarının korunup korunmadığına; faaliyetlerin etkili,

ekonomik, verimli ve mevzuata uygun gerçekleştirilip gerçekleştirilmediğine dair kurum

içine ve dışına makul bir güvencenin verilmesini sağlamaktadır.

12.6.2.Bağımsız Olma

Denetimde “bağımsızlık” kavramının kullanılmaya başlanması mali tabloların denetim

sürecine dayanmaktadır. Mali tabloların şirket dışındaki kişiler tarafından

denetlenmesiyle ortaya çıkan ve zamanla dış denetimin önemli bir parçası haline gelen

bağımsızlık kavramının iç denetim açısından önem kazanması klasik iç denetim

anlayışından modern iç denetim yaklaşımına geçiş ile birlikte gerçekleşmiştir.

Bağımsızlık, iç denetçilerin denetime ilişkin karar ve yargılarının kendilerine özgü

olmasını yani başkalarının düşünce ve değer yargılarına bağlı olmamasını ifade

etmektedir. Denetimin herhangi bir önyargı ve sübjektiflik içermeden

gerçekleştirilmesini gerektirir. Denetçiler açısından bağımsızlık bazen zihinsel bir tutum

veya denetçinin karakteri ile ilgili bir husus bazen de doğruluk, dürüstlük ve objektiflik

gibi çeşitli anlamlar ifade etmektedir.

12.6.3.Tarafsız Olma

Kişiye bağlı bir tutum olan tarafsızlık incelenen olay veya süreç hakkında kişisel çıkar

veya başkalarının görüşleri nedeniyle etki altında kalınmamasıdır. IIA tarafsızlığı iç

denetçilerin sahip olması gereken bir davranış niteliği olarak belirlemiştir. IIA standartlar

sözlüğünde iç denetçilerin tarafsızlığı şu şekilde tanımlanmaktadır:

166

“Tarafsızlık, denetimin kalitesini ve güvenilirliğini artırmak için iç denetçinin

yargılarından arınmış olarak görev ve sorumluluklarını yerine getirmesidir.”

IIA’nın 1120 no’lu Nitelik Standardına göre “iç denetçiler, tarafsız ve önyargısız olmalı

ve çıkar çatışmalarından kaçınmalıdır.” 2001 yılında IIA’nın araştırma kuruluşu

tarafından “Bağımsızlık ve Tarafsızlık: İç Denetçiler için bir Çerçeve” başlıklı bir çalışma

yayımlanmıştır. Çalışmada iç denetçilerin tarafsızlığına yönelik tehdit oluşturabilecek

yedi alan belirlenmiştir. Bunlar: öz değerlendirme, sosyal baskı, ekonomik çıkar, kişisel

ilişki-samimiyet ve kültürel, ırksal, cinsiyet ve zihinsel temelli önyargılardır. Önceki

ampirik çalışmalar incelendiğinde yönetim baskısının, mesleki atamalarının, yönetime

danışmanlıklarının, dış kaynak kullanımının, yönetim ve denetim komitesine

yakınlıklarının iç denetçilerin tarafsızlıkları üzerinde büyük öneme sahip olduğu

görülmüştür.

12.6.4.Danışmanlık Hizmeti Verme

Danışmanlık hizmeti, kurum hedeflerini gerçekleştirmeye yönelik faaliyet ve işlemlerin

düzenli ve sistematik bir şekilde değerlendirilmesi ve geliştirilmesine yönelik

tavsiyelerde bulunulması sürecidir.

Danışmanlık hizmetinin genel olarak iki tarafı bulunmaktadır. Bunlar aşağıdaki şekilde

sıralanabilir:

i.İç Denetçi: Tavsiye sunan kişi ya da grup.

ii.Birim ya da Müşteri: Tavsiye talep eden kişi ya da grup.

Genellikle birim ya da müşterinin özel talebi üzerine gerçekleştirilen danışmanlık

hizmetinin nitelik ve kapsamı, birim ya da müşteri ile iç denetçi arasındaki sözleşme

kapsamında belirlenmektedir.

12.6.5.Kurum Faaliyetlerine Değer Katma ve Geliştirme

İç denetçilerin kuruma değer katmasını sağlayan çeşitli yollar vardır. Bunlardan

ilki, kaynak ve zaman kullanımını azaltıcı ve denetim sonuçlarının değerini artıracak yeni

bir denetim yaklaşımı ve yöntemi geliştirmektir. İkincisi, kurumun hedeflerine ulaşmasını

engelleyici önemli risklere ya da sorunlara yoğunlaşmak, böylece hedeflere ulaşma

167

olasılığını artırmak; üçüncüsü de yönetimle yakın çalışarak iç denetimin kendilerine

sağlayacağı en değerli bilginin ne olacağını ve bilgiyi nasıl kullanacaklarını belirlemektir.

Değer yaratma işlevi iç denetimin hedef kitlesinin farklı beklentileri sonucu ortaya

çıkmaktadır. Hem özel sektör hem de kamuda uygulanmakta olan iç denetim sisteminin

üst yönetim, denetim komitesi, müşteri ve tedarikçi gibi çeşitli hedef kitlesi

bulunmaktadır. Örneğin üst yönetim, iç denetim faaliyetinin kurumsal etkinliği artırıp

artırmadığıyla, dış denetçiler ise iç denetimin kurumun mali yapısıyla ilgili görev

yüklerini azaltan bir iç kontrol aracı görevi üstlenip üstlenmediği ile ilgilenmektedir.

Kurum hizmetlerinden faydalananlar ve diğer dış paydaşlar ise iç denetimin kurum

bilgilerinin doğruluğu ve güvenilirliği ile ilgili güvence sağlamasını, meslektaşları da iç

denetimin kuruma yeni ve iyi uygulamalar katmasını hedeflemektedir.

İç denetim dinamik bir fonksiyondur ve kurumlar için giderek daha değerli hizmetler

sunmaktadır. İç denetçiler aşağıdakileri uygulamak suretiyle kuruma değer katmaktadır:

i. Değişimi teşvik ve takip edici olmak.

ii. Denetimi daha işbirlikçi hale getirmek.

iii. Öz değerlendirme sisteminin kullanımım teşvik etmek.

iv. Kurum çalışanlarını denetime dâhil etmek.

v. Risklere odaklanmak.

vi. Kâr (özelde) ve faydayı (kamuda) artırmayı amaçlamak.

vii. Sorunlu alanlara öncelik vermek.

viii. Teknolojiyi tüm birimlerle paylaşmak.

ix. Müşteri ile işbirliği halinde olmak.

x. Kurum çapında denetim tavsiyeleri vermek.

xi. Önleyici denetimler yürütmek.

xii. Dış denetim maliyetlerini azaltmak.

xiii. Denetçilere özel görevlendirmeler yapmak.

xiv. Denetim raporlarını hızlıca yayımlamak.

168

xv. Temel prensiplere geri dönmek.

İç denetim olayları geriden takip eden bir sistem değil, aksine öne geçip öngörüleriyle

risklerin yanı sıra fırsatları da ortaya koyan bir sistemdir. Bu süreç iç denetim ve iç

denetçilerin kurumlararası köprü vazifesi görmesini ve kurum içinde yol gösterici

olmasını sağlayarak denetim sistemini kuruma değer katıcı bir işleve dönüştürmektedir.

Ayrıca geçmiş uygulamaların denetimi yönüyle reaktif bir süreç olan denetim,

danışmanlık ve değer katma gibi süreç odaklı yeni işlevlerle birlikte proaktif bir yapıya

dönüşmektedir.

12.6.6.Standartlara Uygunluk

Standart, iç denetim faaliyet alanının gerçekleştirilmesiyle ve iç denetim performansının

değerlendirilmesiyle ilgili gerekleri tanımlayan ve IIA İç Denetim Standartları Kurulu

tarafından yayımlanan mesleki bir beyandır.

Standartların amacı, iç denetim uygulamalarını olması gerektiği gibi temsil eden temel

ilkeleri belirlemek; kuruma değer katan iç denetim faaliyetlerini teşvik etmek ve

uygulamaya geçirmeye yönelik bir çerçeve oluşturmak; iç denetim performansının

değerlendirilmesi için uygun bir yapı kurmak ve gelişmiş kurumsal süreç ve faaliyetleri

harekete geçirmektir.

Uluslararası İç Denetim Standartları Mesleki Uygulama Çerçevesinde (International

Internal Audit Professional Practices Framework) rehberlik iki kategoride

sınıflandırılmıştır: zorunlu ve tavsiye rehberliği. Zorunlu rehberlik iç denetimin tanımı,

etik kodları ve standartları; tavsiye rehberliği ise görüş belgeleri, uygulamada

danışmanlık ve uygulamada rehberlik hususlarını içermektedir.

12.7.İç Denetim Türleri

İç denetim türleri: uygunluk denetimi, performans denetimi, mali denetim, bilgi

teknolojisi denetimi ve sistem denetimidir. İç denetim, bu denetim uygulamalarından bir

veya birkaçını kapsayacak şekilde risk odaklı yapılmaktadır. Ayrıca, bir faaliyet veya

konu tüm türlerde denetim kapsamına alınabilmektedir.

169

12.7.1.Uygunluk Denetimi

Uygunluk denetimi Anayasa, ilgili kanun, kanun hükmünde kararname, tüzük,

yönetmelik ve tebliğler; kalkınma planı, yıllık programlar, stratejik plan ve performans

programı; yönetim tarafından belirlenen yönerge veya kabul edilen iş ve işlem

prosedürleri, alınan kararlar; idarenin giriştiği sözleşme ve taahhütlere ilişkin hükümler

dikkate alınarak gerçekleştirilmektedir.

Kamu İç Denetim Rehberine göre idarenin tüm bileşenlerini kapsayan uygunluk denetimi

iki unsurdan oluşmaktadır (21):

i.İdarenin harcamalarının ve mali işlemlere ilişkin karar ve tasarruflarının amaç ve

politikalara, kalkınma planına, yıllık programa, stratejik plan ve performans programına

uygunluğunun denetlenmesi ve değerlendirilmesi.

ii.İdarenin harcamalarının ilgili kanun, tüzük, yönetmelik ve diğer mevzuata

uygunluğunun harcama sonrasında denetlenmesi.

İç denetçi, uygunsuzluk saptadığında bunun sebep ve sonuçlarını açıklayıcı bir rapor

hazırlamalıdır. Kamu zararına yol açan uygunsuzluk miktarı iç denetçi tarafından

hesaplanır, hesaplanamadığı zaman raporda açıklayıcı bilgilere yer verilir.

Kurum faaliyet ve işlemlerinin ilgili kanun, tüzük, yönetmelik ve diğer düzenlemelere

uygunluğunun incelenmesini sağlayan uygunluk denetimi, birim veya sürece ilişkin iç

kontrol sisteminin etkinlik ve yeterliliğinin tespit edilmesine de imkân sağlar.

12.7.2.Performans Denetimi

Uluslararası Sayıştaylar Birliği (INTOSAI) Denetim Standartlarında performans

denetimi, “denetlenen kurumların görevlerini yerine getirirken kaynaklarını tutumlu,

verimli ve etkin kullanıp kullanmadıklarının denetimi” olarak tanımlanmış ve kapsamı

aşağıdaki şekilde ifade edilmiştir :

“Kurumların faaliyetlerindeki tutumluluğun iyi yönetim ilke ve uygulamaları ile kamu

politikalarına göre denetlenmesi; insani, mali ve diğer kaynakların kullanımındaki

verimliliğin bilişim sistemleri, performans ölçütleri, gözetim ve iç kontrol sistemlerinin

de incelenmesi suretiyle denetlenmesi; denetlenen kuruluşların hedeflerine ulaşma

yönündeki performanslarının etkinliğinin kurum faaliyetlerinin yarattığı gerçek etkinin

hedeflenen etkiyle kıyaslanarak denetlenmesidir

170

Performans denetiminin amacı tahsis edilen beşeri, mali ve teknolojik nitelikteki kamu

kaynaklarının etkili, ekonomik ve verimli bir şekilde, maddi değerlerine uygun kullanılıp

kullanılmadığının objektif olarak incelenmesidir. Performans denetimi kurumsal

amaçlara maliyet-etkin yöntemlerle ulaşılması, hizmetlerin daha iyi kalitede sunulması,

yönetim ve organizasyon süreçlerinin geliştirilmesi ve kaynak kullanımında tasarruf

sağlanması amacıyla yapılması gereken iyileştirmeler hususunda yol göstermektedir.

12.7.3.Mali Denetim

Kamu idarelerinin bütçe uygulamasına ilişkin gelir, gider ve borç ilişkileri ile her türlü

mal ve kıymete dair mali karar ve işlemlerinin denetlenmesidir (Yiğit, 2008: 113). Mali

denetimde öncelikle muhasebe standartlarına ve genel kabul görmüş muhasebe ilkelerine

uygun sistematik bir kayıt sisteminin, ehliyet sahibi muhasebecinin ve kontrol

kadrosunun varlığının ve sistemin etkin ve uyumlu bir şekilde işleyip işlemediğinin tespiti

yapılmaktadır. Daha sonra tüm mali işlemlerin kayıt altına alınıp alınmadığı, muhasebe

kaydının belgeye dayandırılıp dayandırılmadığı ve bu işlemlerin mevzuata uygun olup

olmadığı incelenmektedir. Son olarak kurumun düzenlediği mali tablo, rapor ve

istatistiklerin mevcut muhasebe sisteminin içerdiği belge, bilgi ve diğer verilere

dayanılarak ve bunlarla uyumlu hazırlanıp hazırlanmadığı ve bunların güvenilirlik,

saydamlık ve samimilik derecesi belirlenmektedir.

Dolayısıyla mali denetim; düzenlilik ve uygunluk denetimleri ile bağlantılı olarak kamu

kaynaklarının elde edilmesi, korunması ve kullanılmasının mevzuata, belirlenmiş

öncelikler ile diğer ilke ve esaslara uygunluğunun denetlenmesidir.

12.7.4.Bilgi Teknolojisi Denetimi

Günümüz iletişim ve bilişim alanında yaşanan hızlı gelişim gerek kamu gerekse

özel sektör tarafından ilgiyle takip edilmektedir. Faaliyet ve işlemlerin büyük bir kısmı

bilgisayar aracılığıyla yerine getirilmektedir. Bu gelişim işlemlerin daha hızlı ve etkin

yapılmasına olanak sunmaktadır. Ancak faydalarının yanı sıra, sanal ortama taşınan

bilgilerin izlenmesi, kontrol altına alınması ve denetlenmesinin ortaya çıkardığı bazı

olumsuz durumlarla da karşılaşılmaktadır. Dolayısıyla, işlemlerini sanal ortamda

171

gerçekleştirmeye başlayan kurumların denetiminde elde edilen verilerin daha anlamlı

olabilmesi için bu verileri oluşturan bilgisayar sistemlerinin ve bu sistemler üzerindeki

işlem ve uygulamaların düzgün ve güvenilir bir şekilde çalışması gerekmektedir. Bu

süreç beraberinde bu alandaki denetimi gerekli kılmaktadır .

Denetimde teknolojik desteğin yoğun kullanıldığı en son metot Sürekli Denetim

Sistemi (SDS)’dir. Sistem, teknolojik imkânlardan yararlanarak bilgi teknolojisi

sisteminin ve mali verilerin oluşumunu sağlayan işlem ve süreçlerin otomatik metotlar

kullanılarak belli aralıklarla düzenli ve sürekli olarak izlenmesi, kontrol ve risk

değerlendirmelerinin yapılması olarak ifade edilmektedir. AT&T, Siemens ve New York

Federal Reserve gibi uygulama örnekleri bulunan sistemin hem özel sektör kuruluşlarında

hem de kamu kurumlarında yaygınlaştırılmasına yönelik araştırmalar devam etmektedir.

Sistem örneklem yerine gerçek verilerle çalışmakta ve “kurumların gerçek dünyasına”

ulaşılmasını sağlamaktadır. Süreçlerde tespit edilen hatalar süreç değişmedikçe

üretilmeye devam etmektedir. Böylece süreçlerdeki risk ve kontrol zafiyetinin gelecekte

yol açabileceği sorunlar ve bunların matematiksel büyüklükleri önceden

görülebilmektedir. Sistem; gelir, mali raporlama ve şüpheli alacak başta olmak üzere risk

tabanlı süreç denetimleri, log analizleri, fraud denetimleri, mantıksal erişim, uygulama ve

veri tabanı yönetim kontrolleri başta olmak üzere bilişim sistemleri denetimi ve veri

kalitesi iyileştirme projeleri alanında kullanılmaktadır (Sevimli, 2009: 30-31).

Sistem; riskli alanların belirlenmesi, denetimin geniş kapsamlı yapılabilmesi,

off-line çalışan sistemlerin birbirleri ile iletişim kuran sistemler haline getirilmesi,

süreçteki kontrol mekanizmalarında meydana gelen iyileştirme ve bozulmaların

izlenebilmesi, risklerin realize olması durumunda ortaya çıkan matematiksel büyüklüğün

belirlenmesi, finansal verilerin güvenilirliğinin artırılması, yolsuzluk ve finansal hataların

önüne geçilmesi, yasal uyumun sağlanmasına yardımcı olması, denetçilerin beceri ve

tecrübelerini artırması, erken uyarı sistemi görevi görmesi, sadece yılsonu değil ara

dönemlerde de denetim uygulamasına geçilmesi, örneklem riskinin kaldırılarak gerçek

veriler ile çalışılması, denetim ve kontrollerin otomatikleştirilmesi ve hızlı, doğru ve

anlamlı sonuçlar üreterek zaman, maliyet ve personel tasarrufunun sağlanması

hususlarında fayda sağlamaktadır.

Türkiye’de bilgi teknolojisi denetimi iç denetçilerce, Kurul tarafından Kamu İç

172

Denetim Rehberine ek olarak yayımlanacak Bilgi Teknolojileri Rehberine göre

gerçekleştirilecektir. Rehber yayımlanana kadar IIA, Asya Sayıştaylar Birliği (ASOSAI)

ve Bilgi Sistemlerinin Denetim ve Kontrolü Birliği (ISACA) gibi uluslararası mesleki

kuruluşların yayınladığı rehberler kullanılarak denetim gerçekleştirilecektir.

12.7.5.Sistem Denetimi

Sistem denetimi, denetlenen birimin faaliyet ve iç kontrol sisteminin; organizasyon

yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi,

kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin

yeterliliğinin ölçülmesi suretiyle değerlendirilmesidir.

Kamu İç Denetim Rehberine göre sistem denetimi; kamu gelir, gider, varlık ve

yükümlülüklerinin etkili, ekonomik ve verimli bir şekilde yönetilmesini, kamu

idarelerinin kanunlara, temel politika belgelerine ve diğer düzenlemelere uygun olarak

faaliyet göstermesini, karar oluşturmak ve izlemek için düzenli, zamanında ve güvenilir

rapor ve bilgi üretilmesini, her türlü karar ve işlemde usulsüzlük ve yolsuzluğun

önlenmesini, varlıkların kötüye kullanımı ve israfının önlenmesi ile kayıplara karşı

korunması amacıyla oluşturulan iç kontrol sistemini bir bütün olarak değerlendiren ve iç

kontrol bileşenlerinin var olup olmadığını inceleyen bir denetim türüdür.

Sistem denetiminde mali raporların doğruluk ve güvenilirliği, faaliyetlerin mevzuata

uygunluğu ve faaliyetler yürütülürken etkinlik, verimlilik ve ekonomiklik unsurlarının

dikkate alınıp alınmadığı kontrol edilmektedir.

12.8.İç Denetim Teknikleri

Denetim teknikleri, denetimin amacına ve kapsamına göre değişebilmektedir. Başlıca

denetim teknikleri; fiziki ve kaydı inceleme, belge inceleme, hesaplama ve karşılaştırma,

analitik inceleme, doğrulama ve denetim sürecinde elde edilen çalışma kâğıtlaradır.

12.8.1.Fiziki ve Kaydı İnceleme

Fiziki inceleme; kurumdaki varlıkların, belgelerin ve kayıtlarda gösterilen fiziki

kıymetlerin gerçekliğinin araştırılıp bunların finansal tablolarda yer alıp almadığının

tespitinin yapılmasıdır. Sayım ve envanter incelemesi olarak da adlandırılan fiziki

inceleme yöntemi en çok kullanılan tekniklerden biridir. Genel olarak fiziki inceleme

kapsamına kasa, alacak senetleri, stoklar, demirbaşlar, makine ve tesisat gibi maddi

173

niteliği olan varlıklar girmektedir. Kaydı inceleme kurumun tuttuğu kayıtlar üzerinden

yapılmaktadır. Bu incelemenin fiziki inceleme ile de doğrulanması gerekmektedir.

12.8.2.Belge İnceleme

Kurum defter kayıtlarındaki verilerin incelenmesi yoluyla bu kayıtlara dayanak oluşturan

tüm belgelerin gerek içerik gerekse gerçeklik yönünden incelenmesidir. Bordro, fatura,

çek ve senet gibi belgeler tarihleri, aritmetik doğrulukları, imza ve onayların geçerliliği,

belge sıra numaraları, iç kontrol birimince onaylanıp onaylanmadıkları ve belge üzerinde

gerekli açıklamaların bulunup bulunmadığı gibi hususlar yönünden incelemeye tabi

tutulmaktadır.

12.8.3.Hesaplama ve Karşılaştırma

Denetçilerin finansal hesaplamaları tekrar yaparak doğruluğunu test etmesidir. Finansal

değerler denildiğinde faiz hesapları, kıdem tazminatları, yeniden değerleme oranları,

vergi, resim, harç, amortisman ve kasa hesabı gibi bir çok kalem işin içine girmektedir.

Hesaplamalar dışında aralarında uygunluk bulunması gereken tutarlar arasında da

karşılaştırma yapılması gerekmektedir. Karşılaştırma tekniği ile bağlantılı olan ileriye ve

geriye doğru denetim modelleri de önemli denetim tekniklerdir. İleriye doğru denetimde,

incelenen belgelerin yevmiye defterinden finansal tablolara doğru sıralamasının doğru

yapılıp yapılmadığı araştırılmaktadır. Geriye doğru denetimde ise finansal tablolardan

muhasebe kaydına kadar olan sürecin sırası değerlendirilmektedir.

12.8.4. Doğrulama

Bilgi ve veri doğruluğunun kurum dışındaki kişilerden yazılı cevap alınması yoluyla test

edilmesi yöntemidir. Kurum dışındakilere uygulanması sebebi ile diğer tekniklerden

ayrılmaktadır. Kurumun faaliyette bulunduğu bankadan bilgi istenmesi örneği bu

kapsamda değerlendirilebilir

174









Bağımsız Olma

Tarafsız Olma






175

Bölüm Soruları

S.1. İç Denetimi Tanımlayınız.

S.2. İç Denetim Faaliyetine İhtiyaç Duyulma Nedenlerini açıklayınız.

S.3. İç Denetimin Kapsam ve Alanını açıklayınız.

S.4. İç Denetimin Amacını açıklayınız.

S.5. İç Denetim Sisteminin Özellikleri ve Etkililiğini açıklayınız.

S.6. İç Denetim Unsurlarını açıklayınız.

S.7. Nesnel Güvence Sağlamayı açıklayınız.

S.8. Bağımsız Olmayı açıklayınız.

S.9. Tarafsız Olmayı açıklayınız.

S.10. Danışmanlık Hizmeti Vermeyi açıklayınız.

S.11. Kurum Faaliyetlerine Değer Katma ve Geliştirmeyi açıklayınız.

S.12. Standartlara Uygunluğu açıklayınız.

S.13. İç Denetim Türlerini açıklayınız.

S.14. İç Denetim Tekniklerini açıklayınız.

176

13. KURUMSAL RİSK YÖNETİMİ ODAKLI İÇ DENETİM SİSTEMİ

177


İç Denetim Sistemindeki Değişim ve Özellikleri

Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması

İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri

İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları

İç Denetçi ve Güvence Hizmeti

İç Denetçilerin Danışmanlık Rolü

İç Denetçilerin Taşıması Gereken Özellikler

İç Denetçilerin Durumu

Sayılı Kanun Kapsamında Risk Yönetim Sistemi

Kamu İç Denetim Standartlarında Risk Yönetim Sistemi

178


S.1. İç Denetim Sistemindeki Değişim ve Özellikleri açıklayınız.

S.2. Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırınız.

S.3. İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri açıklayınız.

S.4. İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumluluklarını

açıklayınız.

S.5. İç Denetçi ve Güvence Hizmetini açıklayınız.

S.6. İç Denetçilerin Danışmanlık Rolünü açıklayınız.

S.7. İç Denetçilerin Taşıması Gereken Özellikleri açıklayınız.

S.8. İç Denetçilerin Durumunu açıklayınız.

S.9. Sayılı Kanun Kapsamında Risk Yönetim Sistemini açıklayınız.

S.10. Kamu İç Denetim Standartlarında Risk Yönetim Sistemini açıklayınız.

179


Konu Kazanım


edileceği veya

geliştirileceği

İç Denetim Sistemindeki

Değişim ve Özellikleri


Değişim ve Özelliklerini

açıklar


Değişim ve Özellikleri

inceleyerek

Geleneksel ve Risk Odaklı

İç Denetim Sistemi

Karşılaştırması



Karşılaştırmasını açıklar



Karşılaştırmasını

inceleyerek

İç Denetimin Kurumsal

Risk Yönetim

Sistemindeki Temel

Rolleri


Risk Yönetim

Sistemindeki Temel

Rolleri açıklar


Risk Yönetim

Sistemindeki Temel

Rolleri inceleyerek

180

Anahtar Kavramlar











181

13.1.İç Denetim Sistemindeki Değişim ve Özellikleri

Küreselleşme, iç denetçilerin değişen rolleri, risk yönetimindeki değişiklikler,

kurumsal sorunlar ve teknolojik ilerleme gibi nedenler de risk odaklı iç denetim

anlayışının ortaya çıkmasında etkili olmuştur. İç denetim fonksiyonunun değişim

nedenlerinden bir diğeri risk yönetim sürecinin sadece risk yöneticisine bırakılmayacak

kadar önem taşıması gerektiği gerçeğine dayandırılmaktadır.

Kurumsal yönetişim, risk yönetimi ve aynı zamanda kuruma değer katma

anlayışının önem kazanması ile birlikte iç denetim mesleki çalışmaları Haziran 1999’dan

itibaren kontrol odaklılıktan risk odaklı yaklaşıma kaymıştır (Manab, Hussin ve Kassim,

2007: 4). Bu kapsamda İç Denetim Enstitüsü Yönetim Kurulu tarafından şu tanım kabul

edilmiştir:

“İç denetim bir kurumun faaliyetlerini geliştirmek ve değer katmak amacı güden

bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim kurumun risk

yönetimi, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek

amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına

ulaşmasına yardımcı olur

Tanımda vurgulandığı üzere risk yönetim süreci iç denetim faaliyeti

kapsamındadır. Risk yönetim sürecinde sistemin etkinliğini değerlendirme ve geliştirme

amacına yönelik sistemli ve disiplinli bir yaklaşım oluşturularak kurum hedeflerine

ulaşılması amaçlanmaktadır. Böylece daha çok hile ve eksiklik bulmaya odaklanan iç

denetim anlayışı, süreç ve verimlilik odaklı bir danışmanlık hizmetine dönüşerek risk

yönetim sistemi içerisinde önemli bir yer edinmiştir.

IIA’nın yönettiği “Risk Yönetimi: İç Denetçilerin Değişen Paradigması” adlı

çalışmada da iç denetim sürecinin „pasif ve reaktif kontrol odaklı denetim’ yaklaşımından

aktif ve risk odaklı denetim’ yaklaşımına kaydığından bahsedilmektedir. İç denetim

anlayışındaki değişim Şekil 13.1’de gösterilmektedir.

İç denetim ve risk yönetim faaliyetlerinin rolü, özellikle kurumsal yönetişimi geliştirmek

amacıyla, 1992 yılında COSO tarafından iç kontrol sistemi aracılığıyla

değerlendirilmiştir. İlk olarak 1995 yılında ABD’de uygulanmaya başlayan sistem,

denetim kaynaklarının sınırsız olmadığı, denetlenecek birim faaliyetlerinin hem farklı

182

risklerle karşı karşıya olduğu hem de göreceli olarak farklı önem derecelerine sahip

olduğu anlayışına dayanmaktadır.

Şekil 13.1. İç Denetim Anlayışındaki Değişim

Şekil 13.1’e göre yirminci yüzyılın iç denetim modeli kontrol-güvence temelli dönemsel

ve rutin denetim planlarına dayalı; bugünün iç denetim modeli risk odaklı denetim

planlarına dayalı kontrol- güvence sistemi odaklı ve yarının risk merkezli iç denetim

modeli ise kontrol- güvenceye ek olarak risk yönetim etkinliğinin güvencesi odaklıdır.

Risk odaklı iç denetim kapsamında; iç kontrol sisteminin yeterliliğinin ve etkinliğinin

incelenmesi ve değerlendirilmesi, risk yönetim teknikleri ve bunların uygulanması ve

etkinliğinin incelenmesi, elektronik bilgi sistemleri dâhil olmak üzere yönetim ve mali

bilgi sistemlerinin gözden geçirilmesi, muhasebe kayıtları ve mali tabloların

doğruluğunun ve güvenilirliğinin analiz edilmesi, kurumun risk tahmini ile bağlantılı

olarak kendi sermayesini ve yapısını değerlendirme sisteminin incelenmesi ve yasal ve

düzenleyici otoritelerin koşullarına, etik kurallara, politika ve prosedürlerin

uygulanmasına uyumun denetlenmesi yer almaktadır.

Risk odaklı iç denetim yaklaşımı, risk yönetim süreçlerinin çıktılarını kullanarak

denetimde önem derecesi yüksek riskli alanlara yönelinmesini sağlamaktadır. Böylece

denetimde etkinliğin artırılması, maliyet ve zaman tasarrufu sağlanması

amaçlanmaktadır. Ayrıca risk odaklı iç denetim yaklaşımı, yönetim ve denetim arasındaki

iletişim bağlantılarını artırmış ve denetim süreci boyunca daha az sorunla karşılaşılmasını

sağlamıştır.

13.2.Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması

20. yüzyılın ikinci yarısından itibaren iç kontrol odaklı yapılmaya başlayan

geleneksel iç denetim sisteminde rutin denetimlere önem ve öncelik verilmekte ve

183

önceden belirlenen denetim programları kullanılmaktaydı. Raporlarda öneri

geliştirmekten ziyade mevcut durumdaki hata ve sorunlar ortaya konulmaktaydı. Risk

yönetimi ve iç kontrol, kurumsal yönetimin önemli birer parçalarıdır. Risk yönetimi ve iç

kontrole odaklanması ile iç denetim, kurumsal risk yönetim sistemi içerisinde önemli bir

yer edinmiş ve kurumun, iç denetim sisteminin farkına varmasını sağlamıştır İç denetim

algısındaki değişimle birlikte yeni iç denetim tanımı yapılmış ve tanımda iç denetimin

risk odaklı yapılması gerektiğine vurgu yapılmıştır. Risk odaklı iç denetimle birlikte

denetim programları revize edilmiştir. Risk odaklı iç denetim uygulamasında denetim

alanları risk öncelik sıralaması dikkate alınarak belirlenmekte ve raporlarda başarılı

uygulamalara ve değer katan hizmetlere yer verilmektedir. Geleneksel ve risk odaklı iç

denetim karşılaştırması Tablo 13.1’de gösterilmektedir.

Tablo 13.1 İç Denetim Paradigmasındaki Değişim

Tablo 13.1’deki veriler yorumlandığında geleneksel iç denetim sisteminin

mevzuata aykırı işlemleri, hata, suistimal ve kayıpları takip ettiğini ve olumsuz sonuçları

ortadan kaldırmaya yöneldiğini; risk odaklı iç denetim sisteminin ise hatalı sonuçlara

değil, hataları üreten sistemin zaaflarını belirlemeye ve yok etmeye odaklanarak sistemin

hatalı çıktı üretmesini engellemeye çalıştığı söylenebilir. Geleneksel iç denetim sistemi

184

tedavi edici, risk odaklı iç denetim sistemi ise koruyucu hekimlik uygulaması olarak

nitelendirilebilir.

İç denetim ve risk yönetim sorumlulukları birbirini tamamlamakta ve aslında her

ikisi de farklı amaçlara hizmet etmektedir. Risk yönetimi, geniş ve kapsamlı bilimsel bir

disiplinken; iç denetim episodik ve derinlemesine bir yaklaşımdır. Risk yönetimi, küresel

ve gerçek zamanlıdır, uzun vadeli riskleri öngörerek onları yönetebilmek için acil durum

planları ve stratejiler geliştirir. Diğer taraftan iç denetim, yıllık döngüsünde çalışır ve iç

denetim paradigmasındaki değişimle birlikte geçmiş odaklılıktan şimdi ve gelecek odaklı

değerlendirmeye önem verilmeye başlanmıştır. Denetçiler politika, prosedür ve uygunluk

açısından derinlemesine inceleme yapar.

Denetimin rolü aslında izleme iken; risk yönetimi ise risklerin yönetilmesinin yanı

sıra kurum değerini artırmakla sorumludur. İç denetim ve denetim komitesi geçmişe

bakarak yönetime rehberlik sunmaktayken, risk yönetimi geleceğe odaklanmakta ve karar

verme süreçlerinde etkili olmaktadır. İç denetim anlayışındaki değişim iç denetçilerin

rollerinde de değişiklikler getirmiştir

Tablo 13.2. İç Denetçi Rolündeki Değişim ve Gelişim

Geleneksel yaklaşımda denetim ve kontrol odaklı hizmet veren iç denetçiler gelişimsel

ya da risk odaklı yaklaşımla birlikte süreçlere ve risklere odaklanır hale gelmiştir. İç

denetçilerin kurum içerisinde değişiklikleri destekleyen ve değişiklik süreçlerinin

kolaylaştırılması için danışmanlık yapan ve hem kurum hem de paydaşların

185

memnuniyetini artırıcı hizmetler vermesine önem ve öncelik verilmeye başlanmıştır.

Uygunluk yerine süreçlerin gelişimini hedefleyen denetim yaklaşımıyla performans

iyileştirmeye dayalı çalışmalar yapılması hedeflenmekte ve iç denetçilerin diğer alanlarda

da uzmanlaşmasına önem verilmektedir.

13.3.İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri

İç denetim kapsam ve fonksiyonları günümüz çevresel değişikliklerine yanıt

verebilmek amacıyla zaman içinde artmış ve artmaya devam etmektedir. Finansal durum

değerlendirmeleri ve diğer muhasebe fonksiyonlarından başlanmış ve uygunluk denetimi,

iç kontrol ve süreç değerlendirmeleri ile süren sorumluluklarına şimdilerde risk

yönetimiyle ilgili rolleri eklenmiştir.

IIA tarafından hazırlanan “Kurumsal Risk Yönetiminde İç Denetimin Rolü” adlı

çalışmada iç denetçilerin kurumsal risk yönetim sistemi içerisindeki rolleri belirlenmiştir.

İç denetçilerin kurumsal risk yönetimi kapsamında rollerinin belirginleştirilmesi özellikle

bağımsızlık ve tarafsızlıklarının zarar görebileceği endişesinden kaynaklanmaktadır. İç

denetçilerin rolleri Şekil 13.1’de gösterilmektedir.

Şekil 16, kurumsal risk yönetim sistemi kapsamında hangi etkili profesyonel iç

denetim faaliyetlerinin yapılabileceğini ve yapılamayacağını göstermektedir.

İç Denetimin Kurumsal Risk Yönetimindeki Temel Rolleri

Güvence vermeye yönelik hususlara ilişkin iç denetçilerin temel rolleri şunlardır

(IIA, 2004: 4):

i. Risk yönetim süreçleri ile ilgili güvence vermek.

ii. Risklerin doğru değerlendirildiğine dair güvence vermek.

iii. Risk yönetim süreçlerini değerlendirmek.

iv. Önemli risklerle ilgili raporlamaları değerlendirmek.

v. Önemli risklerin yönetimini gözden geçirmek.

186

İç Denetim Danışmanlık Rolleri (Şartlı Olarak Üstlenilebilecek Görevler)

Bu görev ya da rolü kurumun yönetişim, risk yönetim ve kontrol süreçlerinin

gelişimini sağlayıcı danışmanlık hizmetleri temsil etmektedir. Bu hizmetlerin kullanımı

diğer kaynakların kullanımının uygunluğuna ve kurum risk olgunluğuna dayanmaktadır.

Bu roller şu şekilde sıralanabilir (Reding, vd., 2009: 4-17):

i. Risklerin tanımlanma ve değerlendirilmesini kolaylaştırma.

ii. Risk tutumlarının belirlenmesine rehberlik etme (yönetici koçluğu yapma).

iii. Kurumsal risk yönetim faaliyetlerini koordine etme.

iv. Risklerle ilgili raporları birleştirme.

v. Kurumsal risk yönetim sisteminin temel yapısının korunmasını ve gelişimini

sağlama.

vi. Kurumsal risk yönetim sisteminin kurulmasını savunma ve öncülük etme.

vii. Kurul onayına sunulacak kurumsal risk yönetim stratejisini geliştirme.

İç Denetimin Üstlenmemesi Gereken Roller

Yönetim sorumluluğunda olan bu görevlerin iç denetçilerin bağımsızlık ve

tarafsızlığını olumsuz etkileme olasılığından dolayı iç denetçiler tarafından yerine

getirilmemesi gerekmektedir. Bunlar şu şekilde sıralanabilir:

i. Risk iştahını belirleme.

ii. Risk yönetim süreçlerini uygulama.

iii. Risklerle ilgili yönetim adına güvence verme.

iv. Risk tutumlarına ilişkin karar alma.

v. Risk tutumlarını yönetim adına uygulama.

vi. Risk yönetim sorumluluğu üstlenme.

İç denetçilerin rolleri belirlenirken dikkat edilmesi gereken en önemli husus,

faaliyetlerin iç denetim fonksiyonunun bağımsızlık ve tarafsızlığını tehdit edip etmediği

ve kurum risk yönetim, kontrol ve yönetişim süreçlerini geliştirip geliştirmediğidir.

187

Risk yönetiminde asıl sorumluluk yönetimindir. İç denetçiler bu aşamada sadece

tavsiye verebilir ve risklerle ilgili alınacak kararlarda yönetimi destekleyebilir. İç denetim

birim yöneticisi ve iç denetçiler eğitici, kolaylaştırıcı, koordinatör, değerlendirici veya

bütünleştirici rol oynayabilir.

Şekil 13.1 İç Denetimin Kurumsal Risk Yönetim Sistemindeki Rolü

13.4.İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve

Sorumlulukları

İç denetçiler kurum içerisindeki çalışmalarda her gün risk ve kontrol süreçleriyle

ilgilenen, kurum hedef ve iş süreçlerine hâkim olan tek personeldir. İlk iç denetim

literatüründe Sawyer iç denetçileri “yönetimin gözü-kulağı” olarak tasvir etmiştir. İç

denetçilerin kurumsal bilgisi, denetim, araştırma ve analiz alanındaki yetenekleri

kurumsal risk yönetim sisteminde önemli görevler almalarını ve sorumluluk

üstlenmelerini sağlamaktadır. Kurum içerisinde hangi alanın denetlenmesi gerektiğine

ilişkin kullandıkları risk modellemesi sayesinde de risk analiz tecrübesine sahiptirler.

İç denetim fonksiyonu güçlü yönetimin temel bir unsurudur. Özellikle çoğu kamu sektörü

iç denetçisi kurumun halka karşı hesap verme sorumluluğunda önemli rol oynamaktadır.

IIA uluslararası mesleki uygulama çerçevesinde “iç denetimin kurumsal risk yönetim

sistemi içerisindeki rolü” başlıklı bölümde iç denetçilerin rolü şu şekilde belirtilmektedir:

“Kurumsal risk yönetim sisteminin riskleri uygun şekilde yönettiğine ve iç kontrol

sisteminin etkin bir şekilde işlediğine dair yönetime makul bir güvence sağlamak.”

188

İç denetçiler “iyi bir risk yönetiminde yönetim önemli rol oynar” sözünün önem ve

gerçekliğinin farkında olmalı (COSO, 2005: 3) ve yönetim tarafından tasarlanan ve

uygulanan kurumsal risk yönetim sisteminin etkinliğini izlemekle sorumlu olmalıdır

(Beasley, Branson ve Hancock, 2008: 50).

Kurumsal risk yönetim esaslı iç denetim sisteminde iç denetçiler kurumun hedef ve

stratejileri kapsamında denetim plan ve prosedürlerini ve sisteme yönelik anket

uygulamalarını gerçekleştirir. Denetim planlama sürecinin amacı kurum hedeflerinin

etkili bir şekilde oluşturulduğu ve kurum içerisine aktarıldığını garantiye almaktır. İç

denetim birimi kurumun bölüm, birim ve personel hedeflerinin kurumun genel

hedefleriyle uyumunu değerlendirmektedir. İç denetçilerin kurumsal risk yönetim

sürecine dayalı olarak oluşturdukları denetim evreninde aşağıdaki hususlara yer

verilmektedir (Pehlivanlı, 2007: 1).

i. Kurumsal risk yönetim sistemine uygun olarak yönetim tarafından tanımlanmış ve

analiz edilmiş riskler.

ii. Kurumun risk altındaki hedef ve süreçleri.

iii. Risk sorumluları ve sorumluluklarının kapsamı.

iv. Geçmiş ve gelecek denetime ait detaylar.

v. Kurumsal risk yönetim sisteminin kontrolüne ilişkin detaylar.

Ayrıca iç denetim faaliyet kapsamı iç denetim tüzüğünde belgelendirilmeli ve denetim

komitesince onaylanmalıdır. İç denetçilerin yönetim adına riskleri yönetemeyeceği

sadece risk yönetimiyle ilgili karar verme sürecinde yönetime tavsiyede bulunabileceği,

güvence hizmeti dışındaki her iç denetim faaliyetinin danışmanlık faaliyeti olarak kabul

edileceği ve uygulama standartlarının bu kapsamda takip edileceğine ilişkin hususlar iç

denetim birim yöneticisince güvence altına alınmalıdır.

İç denetim faaliyeti daha çok risk ve danışmanlık yönelimli olduğunda iç denetçiler

sisteme değerli bilgi aktarımında bulunabilir ve kurumsal risk yönetim süreci daha

sorunsuz ve etkin bir şekilde devam edebilir.

İç denetimin kurumsal risk yönetim sisteminde etkili olabilmesi için esnek ve

uyarlanabilir olması gerekmektedir. İç denetçiler yeteneklerini geliştirmeli ve hatta yeni

beceriler kazanmalıdır. Özellikle daha az bilgiye sahip oldukları alanlarla ilgili meydana

189

gelebilecek risklere yönelik ve risk matrisi oluşturma konusunda kendilerini

geliştirmelidirler. İç denetçiler aşağıdaki konulardan emin olmalı ve olunmasını

sağlamalıdır:

i. Risk yönetiminden kurum yönetimi sorumludur.

ii. İç denetçilerin sorumlulukları denetim tüzüklerinde (sözleşmelerinde) yazılmalı

ve denetim komitesince onaylanmalıdır.

iii. Herhangi bir riskin yönetimi yönetim adına iç denetçi tarafından kesinlikle

üstlenilmemelidir.

iv. İç denetçi risk yönetim kararlarını kendi almamalı, bunun yerine yönetime bu

kararların alımında destek olmalı ve tavsiyelerde bulunmalıdır.

v. İç denetçi kurumsal risk yönetiminde sorumlu olduğu herhangi bir bölüm için

makul güvence veremez, bu güvenceler diğer nitelikli bölümler tarafından verilmelidir.

vi. Güvence faaliyetlerinin ötesindeki herhangi bir çalışma danışmanlık hizmeti

olarak kabul edilmeli ve uygulama standartları takip edilmelidir.

Özetle iç denetçiler, yönetimin tanımladığı önemli risklere odaklanmalı ve kurum çapında

risk yönetim sürecini denetlemelidir. Risklerin etkili yönetildiğine dair makul bir güvence

vermeli, aktif destek ve katılım sağlamalıdır. Risk tanımlama ve değerlendirmede

kolaylaştırıcı rol üstlenmeli, personelin risk yönetim ve iç kontrol sistemine yönelik

eğitiminin organize edilmesine yardımcı olmalıdır. Yönetim kuruluna ve üst yönetime

rapor sunulmasını koordine etmelidir (AIRMIC, ALARM, IRM, 2002: 13). Ayrıca iç

denetim yöneticisi iç denetçinin rolünü tanımlarken sorumluluklar, iç denetçinin

bağımsızlığını ve tarafsızlığını artırıyor mu yoksa tehdit mi oluşturuyor ve bu roller

kontrol, risk yönetimi ve yönetim süreçlerinin gelişimini sağlıyor mu sağlamıyor mu

bunları hesaba katmalıdır.

13.4.1.İç Denetçi ve Güvence Hizmeti

Giderek genişleyen kurumsal risk yönetim çerçevesi kapsamında iç denetçiler hem

güvence hem de danışmanlık rolleriyle risklerin yönetimine çeşitli şekillerde katkıda

bulunmaktadır (IIA Position Paper: The Role of Internal Auditing in ERM, 2009: 2).

190

Güvence hizmetinde üç taraf bulunmaktadır. Bunlar (Messier, Glover ve Prawitt, 2012:

750):

i. Süreç Sahibi: Süreç, sistem ya da ele alınan bir diğer konunun doğrudan içinde

olan kişi veya grup.

ii. İç Denetçi: Değerlendirmeyi yapan kişi ya da grup.

iii. Kullanıcı: Değerlendirme sonuçlarını kullanan kişi ya da grup.

İç denetçiler risklerin yönetimi için geliştirilen politika, prosedür ve süreçlerin tüm

organizasyon çapında tutarlı ve anlamlı bir şekilde kullanıldığına dair yönetime güvence

sağlamaktadır. İç denetçilerin güvence verebilmesi için risk raporlarının yeterli, düzenli

ve nitelikli olduğundan ve kurumu etkileme olasılığı olan önemli riskleri ele aldığından

emin olması gerekir. Dahası risklerin etkili bir şekilde yönetilmesi için yönetimin uygun

faaliyetlerde bulunduğundan emin olmalıdır (COSO, 2005: 5).

İç denetçiler genel olarak üç alanda güvence vermektedir. Bunlar aşağıdaki şekilde

sıralanabilir (IIA, 2004: 4):

i. Tasarlanması ve nasıl çalıştığı dâhil risk yönetim sürecine,

ii. Önem derecesine göre sınıflandırılan risklerin etkili yönetildiğine, kontrol ve

diğer tepki süreçlerinin riskler üzerindeki etkinliğine,

iii. Güvenilir ve uygun bir risk değerlendirmesi yapıldığına, risk ve kontrol raporlama

süreçlerine

dair iç denetçiler tarafından güvence verilmektedir.

Araştırmalar göstermektedir ki, iç denetçiler ve yönetim kurulu önemli risklerin uygun

bir şekilde yönetildiğine ve risk yönetim ve kontrol süreçlerinin etkili bir şekilde

işletildiğine dair verilen güvencenin kuruma değer kattığı konusunda hemfikirdir (IIA

Position Paper: The Role of IA in ERM, 2009: 3; Matyjevicz ve D’arcengelo, 2). İç

denetçilerin kuruma değer katabilmesi ve kurumu geliştirebilmesi için ilk olarak kurum

faaliyet alanı ile ilgili yeterli bilgiye sahip olması gerekir. Kurum misyon, vizyon, strateji,

değer ve hedeflerinin ve bu hedeflere ulaşabilmek için iş süreçlerinin nasıl

yapılandırıldığı iç denetçiler tarafından anlaşılmalıdır. Kurum misyon, vizyon, değer ve

hedefleri yıldan yıla değişmeden sabit kalsa dahi iç denetim faaliyeti, kurumun

191

stratejilerine yönelik anlayışı belirli aralıklarla güncellemelidir. Güncellemede genellikle

üst yönetim için kurum yıllık hedeflerinin gözden geçirilme dönemi tercih edilmelidir. İç

denetçilerin risk tanımlamanın kurumun genel strateji ve hedefleri ile bağlantılı olması

gerektiğini unutmaması gerekir.

13.4.2.İç Denetçilerin Danışmanlık Rolü

IIA tarafından 2007 yılında yapılan tanıma göre danışmanlık ve ilgili müşteri hizmeti

faaliyetleri, iç denetçilerin yönetimin sorumluluklarını üstlenmeksizin kurumun

yönetimi, risk yönetimi ve kontrol süreçlerini geliştirmek ve değer katmak amacıyla

yaptığı hizmetlerdir.

Danışmanlık hizmetininin iki tarafı bulunmaktadır:

i. İç Denetçi: Tavsiye sunan kişi ya da grup.

ii. Birim ya da Müşteri: Tavsiye talep eden kişi ya da grup.

İç denetçilerin kurumsal risk yönetim sistemindeki danışmanlık hizmetinin kapsamı,

kurum risk olgunluğuna uygun iç ve dış kaynaklara dayanmakta ve zaman içinde

değişebilmektedir. İç denetçilerin yürüttüğü bazı danışmanlık faaliyetleri şunlardır :

i. İç denetçiler tarafından kullanılan yönetim teknik ve araçlarını risk ve kontrollerin

analizine uygun hale getirmek.

ii. Risk yönetim ve kontrol sürecindeki uzmanlık ve kurumla ilgili bilgilerinden

faydalanarak kurumsal risk yönetim sistemini kurum içinde tanıtmak.

iii. Risk ve kontrolle ilgili tavsiye vermek, kolaylaştırıcı çalıştay ve rehberlik yapmak;

genel bir risk yönetim dilinin oluşmasını ve anlaşılmasını sağlamak.

iv. Risklerin koordine edilmesi, izlenmesi ve raporlanmasında merkez noktası olarak

hareket etmek.

v. Yönetimin risklerin azaltılması ile ilgili çalışmalarına destek vermek.

İç denetçiler aslında yönetimin sorumluluğu olan risk yönetiminde görev almadıkları ve

üst yönetimin kurumsal risk yönetim sistemini onayladığı ve desteklediği sürece

danışmanlık hizmeti verebilir.

192

Güvence rolünün danışmanlık hizmeti ile uyumlu olup olmadığına karar vermede iç

denetçilerin herhangi bir yönetim sorumluluğu üstlenip üstlenmediğini saptamak önemli

bir belirleyici unsurdur.

13.5.İç Denetçilerin Taşıması Gereken Özellikler

İç denetçi görevinin gerektirdiği bilgi ve beceriye, denetim alanı ile ilgili sağlıklı veri ve kanıt

toplama kabiliyetine, verileri analitik biçimde inceleme, değerlendirme ve raporlama yeteneğine sahip kişi

olarak ifade edilmektedir. İç denetçilerin bağımsız ve objektif olması, denetimlerin yürütülmesi ve

sonuçların raporlanması hususunda her türlü müdahaleden korunmuş olması, tarafsız ve önyargısız

davranması, çıkar çatışmalarına mesafeli durması, mesleki donanımını artırması ve kalite güvence ve

geliştirme programlarını takip etmesi gerekmektedir. 21. yüzyıl iç denetçileri hemen hemen her şeye

hazırlıklı olmalı ve aşağıdaki alanlarda uzmanlaşmalıdır (Ramamoorti, 2003: 10):

i. Analitik ve eleştirel düşünme becerileri.

ii. Her türlü denetimle ilgili yeterli bilgiyi sağlayabileceği metot geliştirme ve kullanma.

iii. İç kontrolün yeni kavramları, esasları ve teknikleri.

iv. Denetim ve denetçilerle ilgili risk ve fırsatlarla ilgili farkındalık ve anlayış.

v. Her denetim projesi için genel ve özel denetim hedefleri geliştirme.

vi. Denetim kanıtlarının belirlenmesi, toplanması, değerlendirilmesi ve belgelendirilmesi.

vii. Denetim raporlarını çeşitli formatlarda farklı kişiler için hazırlama.

viii. Denetimin takibi.

ix. Mesleki etik kurallar.

x. Denetim teknolojisini denetim raporlarına uyumlaştırma.

193

13.6. İç Denetçilerin Durumu

İç denetçilerin geleneksel rolü aktif varlıkların korunması ve kontrol sisteminin

izlenmesinde yönetime yardımcı olmaktır; ancak iç denetçilerin faaliyet alanı kurum

ihtiyaçlarına ve iç denetim mesleği yüksek standartlarına dayalı olarak değişmektedir.

Bugünün iç denetçileri öncekilerden farklı olarak birer antrenör ve eğitmen olarak

görülmektedir. Ekonomiklik, etkililik ve verimlilik izlemesi yaparak gerekli

gördüklerinde iyileştirici önerilerde bulunurlar. Riskleri değerlendirerek iç kontrol

sisteminin gücünü test ederler. Süreçleri değerlendirerek neyin çalışıp çalışmadığını

belirler ve üst yönetime ve yönetime hedef ve amaçlara ulaşılması konusunda yardımcı

olurlar. Kurumun kültür, politika ve prosedürlerine derinlemesine bir anlayış getirirler.

İç denetçiler kurumu etkileyen değişikliklerle mücadele etmektedir. Son

dönemlerde ortaya çıkan kalite iyileştirme çalışmaları da iç denetçileri önemli oranda

etkilemiştir. Öncelikle iç denetçilerin kendi perspektiflerini, odak noktalarını, metot ve

stillerini daha maliyet etkin ve kuruma değer katıcı olacak şekilde değiştirmelerini ve

kurumdaki hızlı değişimlerin hem kendileri hem de diğer çalışanlar için ek riskler ve

fırsatlar yarattığının farkına varmalarını sağlamıştır.

Denetim anlayışındaki değişimle birlikte iç denetçiler, klasik denetim

yaklaşımından daha çok yönetimle müzakereye dayalı değer katma yaklaşımına

yönelmiştir. Bu değişim kurum yöneticilerinin kurumla ilgili karar alırken ve hedef

belirlerken daha etkin olmasını sağlamaktadır. Denetimi, kuruma değer katma anlayışı

kapsamında gerçekleştiren iç denetçiler proaktif yaklaşımla yönetime karşı yardımcı rol

üstlenmektedir.

İç denetim anlayışındaki değişime uygun olarak kurumsal risk yönetim sistemi

kapsamında iç denetçilerin sorumlulukları 5018 sayılı Kanun ve Kamu İç Denetim

Standartları dikkate alınarak aşağıda incelenmektedir.

194

13.6.1.5018 Sayılı Kanun Kapsamında Risk Yönetim Sistemi

Türk kamu yönetimi sistemine ilişkin temel bir düzenleme olan 5018 sayılı Kanun’un 55.

maddesine göre iç kontrol sistemi şu şekilde tanımlanmıştır:

“İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin

etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını,

muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin

zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan

organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür

Tanımda vurgulandığı üzere faaliyetlerin etkili, ekonomik ve verimli bir şekilde

yürütülmesine ve varlık ve kaynaklardaki kayıpların önlemesine verilen önem artmıştır.

Kurumsal risk yönetim sistemi yukarıda belirtilen hedeflere doğrudan hizmet etmektedir.

Bu nedenle kurumların iç kontrol sisteminden beklenen faydayı elde edebilmesi için

kurumsal risk yönetim sistemini kuruma entegre etmesi gerekmektedir.

5018 sayılı Kanun’un “iç kontrol sistemi” başlığı altında risk yönetimiyle ilgili

düzenlemelere yer verilmektedir. İlgili maddelere göre iç denetim faaliyetleri idarelerin

yönetim ve kontrol yapıları ile mali işlemlerinin risk yönetimi, yönetim ve kontrol

süreçlerinin etkinliğini değerlendirmek ve geliştirmek yönünde sistematik, sürekli ve

disiplinli bir yaklaşımla ve genel kabul görmüş standartlara uygun olarak

gerçekleştirilmektedir. İç denetçiler nesnel risk analizlerine dayanarak kamu idarelerinin

yönetim ve kontrol yapılarını değerlendirmekle sorumludur. İç Denetim Koordinasyon

Kurulu da bağımsız ve tarafsız bir organ sıfatıyla hizmet verebilmek amacıyla kamu

idarelerinin iç denetim sistemlerini izleyerek uluslararası uygulamalar ve denetim

standartlarıyla uyumlu risk değerlendirme yöntemlerini geliştirmek ve risk içeren

alanlarda iç denetçilere program dışı özel denetim yaptırılması için kamu idarelerine

önerilerde bulunmakla sorumlu tutulmaktadır (md. 63,64 ve 67).

İç denetçiler görevlerini İç Denetim Koordinasyon Kurulu tarafından belirlenen ve

uluslararası kabul görmüş kontrol ve denetim standartlarına uygun şekilde yerine

getirmekle yükümlüdür. İç denetçilerin kanunda sayılan görev kalemleri mevzuata

195

uygunluk, performans, mali, bilgi teknolojisi ve sistem denetimi alanlarını

kapsamaktadır. Görevinde bağımsız olan iç denetçiye asli görevleri dışında hiçbir görev

verilmemesi ve yapmaya zorlanmaması gerekmektedir.

13.6.2.Kamu İç Denetim Standartlarında Risk Yönetim Sistemi

Kamu İç Denetim Standartları, Uluslararası İç Denetçiler Enstitüsünün “Uluslararası İç

Denetim Mesleki Uygulama Standartları” esas alınarak Maliye Bakanlığı İç Denetim

Koordinasyon Kurulu tarafından hazırlanmış ve 16.08.2001 tarihli ve 28027 sayılı Resmi

Gazete’de yayımlanarak yürürlüğe girmiştir. Standartlar iç denetçilerin niteliklerini

(Nitelik Standartları) ve iç denetim faaliyetlerinde uygulanması gereken süreçleri

(Çalışma (Performans) Standartları) belirlemektedir. Güvence/denetim (G) ve

danışmanlık (D) faaliyetlerine uygulanabilecek gereklilikleri gösteren Nitelik ve

Performans Standartları, bir idaredeki iç denetim faaliyetlerinin bütününe tatbik edilmek

üzere hazırlanmıştır (Kamu İç Denetim Standartları, 1).

5018 sayılı Kanun’un 64. maddesinde, “iç denetçi görevlerini İç Denetim Koordinasyon

Kurulu tarafından belirlenen ve uluslararası kabul görmüş kontrol ve denetim

standartlarına uygun bir şekilde yerine getirir” hükmüne yer verilmektedir. Standartlar iç

denetçilerin risk yönetimiyle ilgili rol ve sorumluluklarını da düzenlemektedir

Kamu İç Denetim Nitelik Standartlarına göre iç denetçiler, suiistimal ve kilit bilgi

teknolojisi riskleri ve bu risklerin yönetilmesi ve kontrolünü değerlendirebilecek yeterli

bilgiye ve teknoloji tabanlı denetim tekniklerine sahip olmak zorundadır. Ancak iç

denetçilerden esas görev ve sorumluluğu bilgi teknolojileri denetimi ve suiistimalleri

tespit etmek ve soruşturmak olan bir kişinin uzmanlığına sahip olmasının beklenmemesi

gerektiği önemle vurgulanmaktadır.

İç denetçilerin yönetişim, risk yönetimi ve kontrol süreçlerinin etkililiği ve yeterliliği

kapsamında azami mesleki özen ve dikkati göstermesi gerekmektedir. İç denetçiler

amaçları, faaliyetleri ve kaynakları etkileyebilecek önemli risklere karşı dikkatli olmak

zorundadır. Ancak güvence faaliyetinin, azami mesleki özen ve dikkatle uygulansa bile

196

tek başına bütün önemli risklerin teşhis edilebilmesini garanti etmediği hususuna

standartlarda açıklık getirilmektedir.

Kamu İç Denetim Çalışma Standartları kapsamında iç denetim yöneticisinin; idarenin

hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini belirleyen risk esaslı

planlar yapması gerektiği belirtilmektedir. İç denetim planının, üst yönetici ve üst düzey

yöneticilerin de sürece dâhil edilerek görüşlerinin alındığı, en az yılda bir kez yapılan

yazılı bir risk değerlendirmesine dayandırılması gerekmektedir. İç denetim yöneticisinin

danışmanlık görevlerini kabul ederken risk yönetimini geliştirme, kuruma değer katma

ve faaliyetleri geliştirme potansiyelini değerlendirerek karar vermesi gerektiği üzerinde

durulmaktadır. İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla ilişkili

risklerini değerlendirmek ve diğer önemli risklere karşı dikkatli olmak ve danışmanlık

görevlerinden elde ettikleri risk bilgilerini, idarenin risk yönetim süreçlerini

değerlendirmede kullanmakla yükümlü tutulmaktadır. İç denetçilerin risk yönetim

süreçlerinin kurulmasında veya geliştirilmesinde yönetime danışmanlık hizmeti verirken,

“riskleri fiilen yönetmek suretiyle yönetim sorumluluğu almaktan” kaçınmak zorunda

olduğu belirtilmektedir.

İç denetçiler kurumsal risk yönetim sistemini inceleme, değerlendirme, raporlama,

sistemin etkinlik ve yetkinliğini artırıcı önerilerde bulunma yoluyla üst yönetime ve

yönetim kuruluna yardımcı olmaktadır. İç denetçilerin esas görevi sistemin etkinliği ile

ilgili, risk yönetim süreçlerine, risklerin doğru yönetildiğine, önemli risklere ilişkin

raporlamaların ve önemli risklerin yönetiminin değerlendirilmesine dair yönetime ve

yönetim kuruluna makul bir güvence sunmaktır.

Güvencenin verilemediği durumlardaki temel görevi ise yönetime önerilerde bulunarak

doğru çözümlerin üretilmesine yardımcı olmaktır; ancak bu durumda dâhi iç denetçinin

sorumluluğu danışmanlık rolünün ötesine geçmemelidir.

197












198

Bölüm Soruları

S.11. İç Denetim Sistemindeki Değişim ve Özellikleri açıklayınız.

S.12. Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırınız.

S.13. İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri açıklayınız.

S.14. İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumluluklarını

açıklayınız.

S.15. İç Denetçi ve Güvence Hizmetini açıklayınız.

S.16. İç Denetçilerin Danışmanlık Rolünü açıklayınız.

S.17. İç Denetçilerin Taşıması Gereken Özellikleri açıklayınız.

S.18. İç Denetçilerin Durumunu açıklayınız.

S.19. Sayılı Kanun Kapsamında Risk Yönetim Sistemini açıklayınız.

S.20. Kamu İç Denetim Standartlarında Risk Yönetim Sistemini açıklayınız.

199

14. KURUMSAL RİSK YÖNETİMİ ORGANİZASYON YAPISI

200


Üst Yönetim ve Yönetim Kurulu

Yöneticiler

Risk Görevlileri

Finans Yetkilileri

Kurum İçi Diğer Sorumlular

Bağımsız Dış Denetçiler

Yasa Koyucu ve Düzenleyiciler

Kurum ile İlişki İçerisinde Olan Kişiler

201


S.1. Üst Yönetim ve Yönetim Kurulunu açıklayınız.

S.2. Yöneticileri açıklayınız.

S.3. Risk Görevlilerini açıklayınız.

S.4. Finans Yetkililerini açıklayınız.

S.5. Kurum İçi Diğer Sorumluları açıklayınız.

S.6. Bağımsız Dış Denetçileri açıklayınız.

S.7. Yasa Koyucu ve Düzenleyicileri açıklayınız.

S.8. Kurum ile İlişki İçerisinde Olan Kişileri açıklayınız.

202


Konu Kazanım Kazanımın nasıl elde

edileceği veya geliştirileceği

Üst Yönetim ve Yönetim

Kurulu


Kurulu açıklar


Kurulu inceleyerek

Yöneticiler Yöneticiler tanımlar Yöneticiler inceleyerek

Risk Görevlileri Risk Görevlileri tanımlar Risk Görevlileri inceleyerek

Finans Yetkilileri Finans Yetkilileri tanımlar Finans Yetkilileri inceleyerek

203

Anahtar Kavramlar


Yöneticiler

Risk Görevlileri

Finans Yetkilileri





204

14.1. Üst Yönetim ve Yönetim Kurulu

Yönetim kurulu, üst yönetim, diğer yönetim kademeleri, risk görevlileri, finans

yetkilileri, iç denetçiler ve aslında kurum içinde her birey kurumsal risk yönetim

sisteminin etkinliğine katkı sağladığı gibi sistemde bireylere katkı sağlamaktadır.

Üst yönetim ve varsa yönetim kurulu, kurumun karşılaşabileceği tüm risklerin

tanımlanması, değerlendirilmesi, ölçülmesi ve kontrol süreçlerinin organize edilmesinden

sorumludur.

Etkili bir üst yönetici ya da yönetim kurulu üyelerinin tarafsız, yetenekli, meraklı ve

dikkatli olması gerekir. Bu kişiler kurum faaliyetleri ve çevre ile ilgili gerekli bilgiye

sahip olmalıdır. Resmi ve belgelenmiş kurumsal risk yönetim sisteminin işlerlik

kazanabilmesi için özellikle üst yönetimin sürece sahip çıkması ve gerekli

yetkilendirmeleri yapması gerekmektedir. Amerika’da 2008 ekonomik krizinden sonra

yönetim kurulunun risk yönetim sisteminin denetimi ile ilgili sorumluluklarına yönelik

giderek artan bir vurgu söz konusu olmuştur.

Risk yönetiminden doğrudan sorumlu olmayan yönetim kurulu, kurum yöneticilerine yol

gösterir, destek ve gözetim sağlar ve sistemin kurum çapında denetlenmesinde önemli rol

oynar. Yönetim kurulu ve üst yönetimden gelen destek kurumsal risk yönetim sürecine

odaklanılması, dikkat edilmesi ve kaynak aktarılması için önemlidir. Yönetim kurulunun

desteği, sistemin önemli bir unsuru olan iç ortamın oluşturulması için de gereklidir.

Yönetim kuruluna bağlı komiteler de sistemin önemli bir parçasıdır. Yönetim kurulu bazı

yönetim komitelerini sorumluluklarını yerine getirebilmek için kullanmaktadır.

COSO üst yönetim ve yönetim kurulunun sorumlulukları ile ilgili şu unsurlara

değinmektedir:

i. Yönetimin kurum içinde ne ölçüde etkili kurumsal risk yönetim sistemi kurduğunu

tespit etmek.

ii. Kurum risk iştahının farkında olmak ve bu konuda mutabakat sağlamak.

205

iii. Kurum risk portföyünü incelemek ve risk portföyünü risk iştahını da dikkate alarak

değerlendirmek.

iv. Önemli risklerle ilgili gerekli bilgiye sahip olmak ve yönetimin uygun bir tutumu

belirleyip belirlemediğini anlamak.

v. Kurumsal risk yönetim sisteminin zayıf ve güçlü yanları hakkında bilgi sahibi olmak.

vi. Yönetim riski uygun şekilde yönetemediğinde gerekli uyarıları yapmak.

Kısaca üst yönetici ve yönetim kurulu; kurumun karşılaşabileceği en önemli riskleri,

kurumun krizi nasıl yöneteceğini, kurumdaki paydaş güveninin önemini ve performans

sapmalarının hissedar değeri üzerindeki etkisini bilmeli, kurum düzeyinde farkındalık

yaratmalı, risk yönetim sürecinin etkin çalıştığından emin olmalı ve risk yönetim felsefesi

ve sorumlulukları kapsayan açık bir risk yönetim politikası oluşturulmasını sağlamalıdır.

14.2. Yöneticiler

Yönetici, kurumsal risk yönetimi dâhil kurumun farklı alanlarında sorumluluklara sahip

kişilerini ifade etmektedir. Bununla beraber bu sorumluluklar kurum düzeyinde ve

kurumun niteliğine göre değişmektedir. Örneğin genel müdür, kurumsal risk yönetim

sisteminin başarısından ve etkinliğinden sorumluyken şef yöneticiler kurumsal risk

yönetim sorumluluğunun üstlenilmesinde en üst düzey sorumluluğa sahiptir. Bu

sorumluluğun en önemli unsurlarından biri de olumlu bir iç ortam özelliğini güvence

altına almaktır. Yöneticilerin sistemin etkinliği için gerekli önemli destekleyici unsurların

ve etik değerlerin olup olmadığına da dikkat etmesi gerekir.

Yöneticiler hedeflerine ulaşmalarını engelleyecek beklenmedik hadiselerle

karşılaşmaktan hoşlanmaz. Beklenmedik hadiselerin veya durumların ortaya çıkışını

engellemek amacıyla riskler belirlenmektedir. İç ve dış risklerin yönetim tarafından

bilinmesinin kuruma potansiyel etkileri olmakla birlikte bu durum yönetimin, risklerin

optimal düzeyde yönetildiğine dair hem yönetim kurulu hem de denetim komitesine

güvence vermesini sağlamaktadır (Florea ve Florea, 2009: 39). Riskler belirlendikten

206

sonra yönetim kaçıracağı ya da yakalayabileceği fırsatları görme imkânına kavuşacaktır.

Risklerin belirlenmemesi durumunda kurum,

i. Kabullenebileceği risklerin farkında olamaz.

ii. Kabullenebileceği ya da yönetebileceği risklerin farkında olmazsa risk alamaz.

iii. Risk alamazsa nasıl büyüyebileceğini bilemez.

iv. Nasıl büyüyebileceğini bilmemesi kurumun hiçbir gelişme gösteremeden yitip

gitmesine sebep olacaktır.

14.3. Risk Görevlileri

Bazı kurumlar sistemi kolaylaştırmak için merkezi bir koordinasyon noktası

rolü görecek bir risk yönetim birimi oluşturmaktadır. Risk görevlilerinden oluşan bu

birimde personel, kendi sorumluluk alanları dâhilinde sistemin etkinliği için diğer

yöneticilerle birlikte çalışmaktadır.

Sistemin öneminin anlatılabilmesi için gerekli iletişim yeteneğine sahip olması gereken

risk görevlilerinin başlıca görevleri şunlardır.

i. Kurumsal risk yönetim planını oluşturmak ve belirlenen hedeflerin uygulanması için

her birimin sistemdeki yetki ve sorumluluk kapsamını belirlemek.

ii. Kurum çapında kurumsal risk yönetim yetkinliğini artırmak, kolaylaştırıcı teknik

uzmanlık geliştirmek, kurumun risk toleransı ve kontrol sistemleri geliştirmesini

sağlayarak risk tutumu ile ilgili yöneticilere yardımcı olmak.

iii. Kurumsal risk yönetimin diğer iş planları ve yönetim faaliyetleri ile entegrasyonunda

kılavuzluk yapmak.

iv. Kurumda herkesin anlayacağı ve kullanacağı olasılık ve etki ölçülerini ve ortak risk

kategorilerini kapsayacak bir ortak risk yönetim dili (terim dizini) oluşturmak.

v. Raporlama protokolü oluşturulmasında, nitelik ve nicelik sınırlarının belirlenmesinde

ve raporlama sürecinin takibinde yönetimin işini kolaylaştırıcı rehberlik yapmak.

207

vi. İdari süreçteki temel durumu ve aykırılıkları bildirmek ve gerekli durumlarda

tavsiyelerde bulunmak.

14.4. Finans Yetkilileri

Kurum bütçe plan ve programlarını hazırlayan ve uygulayan finans yetkilileri uygunluk,

faaliyet ve raporlama performansını izler ve analiz eder. Mali kayıpları engellemek

amacıyla hileli raporlamaların tespit edilmesi ve önlenmesinde önemli görev üstlenirler.

Finans üst yöneticisi etik davranış niteliğinin oluşturulmasına yardımcı olur. Kurumsal

risk yönetim unsurlarına bakıldığında finans yönetici ve personelinin önemli roller

üstlendiği açıkça görülmektedir. Hedeflerin oluşturulmasında, stratejilerin

kararlaştırılmasında, risklerin analiz edilmesinde ve değişikliklerin kurum yönetimini

nasıl etkilediğinin belirlenmesi konusunda çok önemli rollere sahiptirler. Değerli girdi ve

yönlendirmeler sağlayarak faaliyetlerin gerçekleştirilmesi sürecinin takibine

odaklanmaktadırlar.

14.5. Kurum İçi Diğer Sorumlular

Aslında kurumsal risk yönetim sistemi kurum içindeki herkesin paylaşması gereken bir

sorumluluktur. Her personel sistemin içsel ve ayrılmaz bir parçası olan bilgi ve iletişim

sürecini desteklemekle sorumlu olduğu için herkes bir şekilde sistem içerisinde yer

almaktadır. Ayrıca birey kendini risk sahiplenici olarak düşünmese de faaliyet alanı ile

ilgili risklerin yönetim sürecine katılması ile birlikte kurumsal risk yönetim sürecinin

etkinliğini artırmakta ve sisteme doğrudan dahil olmaktadır.

14.6. Bağımsız Dış Denetçiler

Kurumun bağımsız dış denetçileri hem üst yönetime hem de yönetim kuruluna hedeflere

ulaşılmasına katkı sağlayacak bağımsız ve tarafsız bir risk yönetim perspektifi

sunmaktadır. Denetim bulgularını yönetimle paylaşarak risk yönetim sisteminin

eksikliklerinin giderilmesi hususunda tavsiyelerde bulunabilir ve risk yönetim

programının geliştirilmesini sağlayabilirler. Ayrıca yönetimin risk yönetimi ile ilgili

208

sorumluluklarında yardımcı olacak faydalı bilgiler sunabilirler. Bilgilerin aşağıdakileri

kapsaması gerekmektedir.

14.7. Yasa Koyucu ve Düzenleyiciler

Yasa koyucu ve düzenleyiciler çoğu kurumda kurumsal risk yönetim sistemini ya risk

yönetim ya da iç kontrol sistem gereksinimi oluşturulması yoluyla etkilemektedir. İlgili

pek çok yasa ve düzenleme finansal raporlamanın risk ve kontrol süreçleri ile ilgilidir.

Bazıları özellikle kamu kurumlarında faaliyet ve uygunluk hedefleri ile ilgilidir.

Amerika’da 2002 yılında yürürlüğe konulan Sarbanes Oxley Yasası buna bir örnektir.

Yasa koyucu ve düzenleyiciler kurumsal risk yönetim sistemini iki yolla etkilemektedir.

İlkinde, yönetimin risk yönetim ve kontrol sisteminin minimum yasal ve düzenleyici

gereksinimleri karşıladığından emin olmasını sağlayıcı kurallar koyar. İkincisinde,

kuruma kurumsal risk yönetim sistemini uygulamasını sağlayıcı bilgi ve tavsiyelerde

bulunur ve bazen yönetimi gerekli iyileştirmelerle ilgili yönlendirir.

14.8. Kurum ile İlişki İçerisinde Olan Kişiler

faaliyetlerinde kullanılacak önemli bilgi kaynaklarıdır. Risk yönetim politika ve

hedeflere ulaşma düzeyine ilişkin raporun bu kesime yönelik de hazırlanması gerekir .

209



Yöneticiler

Risk Görevlileri

Finans Yetkilileri





210

Bölüm Soruları

S.9. Üst Yönetim ve Yönetim Kurulunu açıklayınız.

S.10. Yöneticileri açıklayınız.

S.11. Risk Görevlilerini açıklayınız.

S.12. Finans Yetkililerini açıklayınız.

S.13. Kurum İçi Diğer Sorumluları açıklayınız.

S.14. Bağımsız Dış Denetçileri açıklayınız.

S.15. Yasa Koyucu ve Düzenleyicileri açıklayınız.

S.16. Kurum ile İlişki İçerisinde Olan Kişileri açıklayınız.

211

KAYNAKLAR

Anıl Gacar, Işletmelerde Kurumsal Risk Yönetimi Varliğinin Belirleyicileri, Celal

Bayar Üniversitesi, Sosyal Bilimler Enstitüsü, Doktora Tezi, 2006

Davut Pehlivanli, Kurumsal Risk Yönetimi Temelli Iç Denetim Ve Türkiye

Uygulamalari, Kocaeli Üniversitesi, Sosyal Bilimler Enstitüsü, Doktora Tezi, 2008

Erdal Duran, Kamu Idarelerinde Kurumsal Risk Yönetimi Uygulamalari, Çevre Ve

Şehircilik Bakanliği Strateji Geliştirme Başkanliği, Mali Hizmetler Uzmanliği

Araştirma Raporu, Ankara, 2013

Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management Of Strategy,

Concepts., 8th Edition.Ohio: South-Western College Pubishing

Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management Of Strategy,

Concepts., 8th Edition.Ohio: South-Western College Pubishing,

Porter, Michael E. “The Five Competitive Forces That Shape Strategy,” Harvard

Business Review, January 2008.

Ruveyda Kizilboğa, Kurumsal Risk Yönetimi Odakli Iç Denetim Ve Istanbul

Büyükşehir Belediyesi Için Bir Model Önerisi, Marmara Üniversitesi, Sosyal Bilimler

Enstitüsü, Doktora Tezi, 2012

Şule Güneş, Kurumsal Risk Yönetimi Ve Türkiye’de Farkindaliğina Ilişkin Bir

Uygulama, Istanbul Teknik Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi,

2009

Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts And

Cases, 8.Edt. Irwin Pub.

Ülgen, Hayri Ve Kadri Mirze (2007), İsletmelerde Stratejik Yönetim, Arıkan Bsm.

4.Bsm

Wheelen, L.T. And Hunger, J.D. (1995). Strategic Management And Business Policy,

Addison-Wesley Pub

212

i İşletmelerde stratejik yönetim süreci fakkında detaylı bilgi için bkz:

Wheelen, L.T. And Hunger, J.D. (1995). Strategic Management And Business Policy, Addison-Wesley Pub

Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts And Cases, 8.Edt. Irwin Pub. **Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009).

The Management Of Strategy, Concepts., 8th Edition.Ohio: South-Western College Pubishing, **Ülgen, Hayri Ve Kadri Mirze (2007), İsletmelerde Stratejik

Yönetim, Arıkan Bsm. 4.Bsm

ii Detaylı bilgi için bkz.: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management Of Strategy, Concepts., 8th Edition.Ohio: South-Western College

Pubishing

iii Detaylı Bilgi İçin Bkz: Porter, Michael E. “The Five Competitive Forces That Shape Strategy,” Harvard Business Review, January 2008.

SAĞLIK İŞLETMELERİNDE RİSK YÖNETİMİ · PDF fileÖNSÖZ 1 Sağlık...

Documents

Transcript of SAĞLIK İŞLETMELERİNDE RİSK YÖNETİMİ · PDF fileÖNSÖZ 1 Sağlık...