İSTANBUL ÜNİVERSİTESİ AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ
SAĞLIK İŞLETMELERİNDE
RİSK YÖNETİMİ
SAĞLIK YÖNETİMİ
LİSANS TAMAMLAMA PROGRAMI
Doç.Dr. Ercan SARIDOĞAN
İSTANBUL ÜNİVERSİTESİ AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ
SAĞLIK İŞLETMELERİNDE
RİSK YÖNETİMİ
SAĞLIK YÖNETİMİ
LİSANS TAMAMLAMA PROGRAMI
Doç.Dr. Ercan SARIDOĞAN
ÖNSÖZ1
Sağlık İşletmelerinde Risk Yönetimi dersi, sağlık işletmeleri yönetimi alanında eğitim alan
öğrencilere, risk analizindeki temel yaklaşımları kazandırmayı hedeflemektedir.
Günümüzde yüksek belirsizlik sebebiyle işletme içi ve işletme dışı çevreden kaynaklanan riskler
artmaktadır. Artan riskler, işletmelerde insan ve maddi kaynak açısından önemli kayıplara yol
açmaktadır.
İşletmelerin riskkleri başarılı bir şekilde çözümlemeleri ve yönetim süreçlerini geliştirebilmeleri
günümüzde tüm sektörlerde önemli olduğu gibi sağlık işletmelerinde de sürdürülebilir rekabet
gücü, iş güvenliği ve kayıpların azaltılması için son derece büyük önem arzetmektedir.
1 Bu ders notları Sağlık İşletmelerinde Risk Yönetimi öğrencilerinin ders notu ihtiyacını karşılamak için
ekte belirtilen kaynaklardan derlenmiş olup, metin içi referanslar düzenlenme aşamasındadır.
YAZAR NOTU
Sağlık İşletmelerinde Risk Yönetimi dersi, sağlık işletmeleri yönetimi alanında
eğitim alan öğrencilere, risk analizindeki temel yaklaşımları kazandırmayı hedeflemektedir.
Günümüzde yüksek belirsizlik sebebiyle işletme içi ve işletme dışı çevreden
kaynaklanan riskler artmaktadır. Artan riskler, işletmelerde insan ve maddi kaynak
açısından önemli kayıplara yol açmaktadır.
İşletmelerin riskkleri başarılı bir şekilde çözümlemeleri ve yönetim süreçlerini
geliştirebilmeleri günümüzde tüm sektörlerde önemli olduğu gibi sağlık işletmelerinde de
sürdürülebilir rekabet gücü, iş güvenliği ve kayıpların azaltılması için son derece büyük
önem arzetmektedir.
İÇİNDEKİLER
ÖNSÖZ ......................................................................................................... 3
YAZAR NOTU ............................................................................................ 4
1.RİSK ANALİZİ TEMEL TANIMLAR VE KAVRAMLAR ............ 12
1.1. Riskin Tanımı ve Temel Kavramlar ................................................ 17
1.2. Risk ve Belirsizlik................................................................................ 20
1.3. Risk, Tehdit ve Tehlike ....................................................................... 21
1.5. Risk ve Kayıp ...................................................................................... 22
1.6. Risk ve Fırsat ....................................................................................... 23
1.7. Risk ve Olasılık.................................................................................... 23
1.8. Risk ve Zaman ..................................................................................... 24
1.9. Risk ve Karmaşıklık ........................................................................... 24
2.RİSK TÜRLERİ ..................................................................................... 27
2.1.Sistematik Risk ..................................................................................... 35
2.1.1.Piyasa Riski ......................................................................................... 36
2.1.2.Politik risk ........................................................................................... 36
2.1.3.Faiz oranı riski .................................................................................... 37
2.1.4.Döviz Kuru Riski ................................................................................ 37
2.1.5.Enflasyon riski .................................................................................... 38
2.1.6.Yasal risk ............................................................................................. 38
2.2. Sistematik olmayan risk ..................................................................... 39
2.2.1.Operasyonel risk ................................................................................. 39
2.2.2.Yönetim riski ....................................................................................... 40
2.2.3.Finansal risk ........................................................................................ 40
2.2.3.1. Pazar riski .................................................................................. 40
2.2.3.2. Kredi riski .................................................................................. 41
2.2.3.3. Likidite riski .............................................................................. 42
2.2.3.4. Sermaye yapısı riski .................................................................. 43
3. RİSK YÖNETİM SÜRECİ .................................................................. 47
3.1.Risk Yönetimi ve Önemi ..................................................................... 52
3.2.Risk Yönetiminin Amacı ve Kapsamı ................................................ 55
3.3.Risk Yönetimi Süreci ........................................................................... 56
3.4.Risk Yönetiminde 4T Yaklaşımı ......................................................... 61
3.4.1.Tespit / Belirleme ................................................................................ 61
3.4.2.Tahlil / Analiz ...................................................................................... 62
3.4.3.Tedbir / Uygulama .............................................................................. 62
3.4.4.Takip / Performans Ölçümü .............................................................. 63
3.5.Risk Alma Eğilimlerine Göre Risk Yönetim Türleri ....................... 63
3.5.1. Riski Kabullenme / Göze Alma ........................................................ 64
3.5.2.Riskten Kaçınma / Faaliyetten Vazgeçme ........................................ 65
3.5.3.Riski Azaltma / Riskle Mücadele Etme ............................................ 65
3.5.4. Riskin Transferi / Paylaşma ............................................................. 65
3.6. Entegre/Bütünelşik Risk Yönetimi .................................................... 66
3.7.Stratejik Risk Yönetimi ve Planlaması .............................................. 68
4.KURUMSAL RİSK YÖNETİMİNİN GELİŞİMİ .............................. 73
4.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş 78
4.2. Kurumsal Risk Yönetiminin Tanımı ve Önemi ............................... 85
4.3. Kurumsal Risk Yönetiminde Genel Yapısı ...................................... 87
4.2. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı ..................... 90
4.3. Kurumsal Risk Yönetiminin Amaçları ............................................. 97
4.4. Kurumsal Risk Yönetiminin Faydaları ............................................ 98
4.5. Kurumsal Risk Yönetimi Olgunluk Seviyeleri .............................. 101
4.6. Kurumsal Risk Yönetiminin Etkinliği ............................................ 102
4.7. Kurumsal Risk Yönetiminin Sınırlılıkları ...................................... 103
5. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I ........................... 108
5.1.İç Çevre / Ortam ................................................................................ 115
5.2.Amaçların Belirlenmesi ..................................................................... 115
5.3. Olay Tanımlama ............................................................................... 116
5.3.1. Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi .............. 117
5.3.2. Olayların (Risklerin/Fırsatların) Kaynakları ............................... 117
5.3.3. Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler ............. 118
5.3.4. Risklerin Sınıflandırılması .............................................................. 118
5.4. Risklerin Değerlendirilmesi ............................................................. 118
5.4.1. Etki Analizi ..................................................................................... 121
5.4.2. Olasılık Analizi ................................................................................. 122
5.4.2. Risklerin Puanlanması ................................................................... 123
5.4.3. Risklerin Önceliklendirilmesi ........................................................ 125
5.4.4. İçsel ve Kalıntı Riskin Ölçülmesi .................................................. 128
6. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ II ......................... 132
6.1. Risk Tutumu / Tepkileri ................................................................... 137
6.1.1. Kaçınma ............................................................................................ 138
6.1.2. Azaltma (Kontrol Etme) ................................................................. 138
6.1.3. Transfer Etme .................................................................................. 139
6.1.4. Kabul Etme ...................................................................................... 139
6.2. Kontrol Aktiviteleri .......................................................................... 140
6.3. Bilgi ve İletisim .................................................................................. 141
6.4. Risklerin İzlenmesi ........................................................................... 144
7.ÜLKE UYGULAMALARINDA RISK YÖNETIM MODELLERI 148
7.1. Avustralya ve Yeni Zelanda Risk Yönetim Modeli ....................... 153
7.2. İngiltere Risk Yönetim Modeli ........................................................ 155
7.3. Kanada Risk Yönetim Modeli ........................................................ 157
7.4. Amerika Risk Yönetim Modeli ........................................................ 160
8.KURUMSAL RİSK YÖNETİMİ İÇİN YASAL
DÜZENLEMELER ................................................................................. 163
8.1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal
Düzenlemeler ............................................................................................ 168
8.1.1. Sarbanes-Oxley Kanunu ................................................................. 168
8.1.2. Dod-Frank Kanunu ......................................................................... 169
8.1.3. Kontrag Kanunu, Cabdury ve Turnbull Raporu ........................ 169
8.1.4. EU 8. Direktifi .................................................................................. 170
8.1.5. The Combined Code On Corporate Governance ......................... 171
8.1.6. Risk Management Standard ........................................................... 171
8.2. Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan
Düzenlemeler ............................................................................................ 175
8.2.1. Sermaye Piyasası Kurulu Düzenlemeleri ...................................... 175
8.2.2. Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik
..................................................................................................................... 176
8.2.3. Yeni Türk Ticaret Kanunu ............................................................. 176
9. RİSK KONTROLÜ İÇİN FAALİYETLER ..................................... 180
9.1.Kontrollerin Amaçları ....................................................................... 185
9.1.1.Riskin Etkisini Azaltan Kontroller ................................................. 186
9.1.2.Riskin Olasılığını Azaltan Kontroller ............................................. 187
9.1.3.Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller ............ 187
9.2. Kontrol Türleri ................................................................................. 187
9.2.1.Önleyici Kontroller ........................................................................... 188
9.2.2.Düzeltici Kontroller .......................................................................... 189
9.2.3.Yönlendirici Kontroller .................................................................... 189
9.2.4.Tespit Edici Kontroller .................................................................... 189
9.3.Kontrol Faaliyeti Aşamaları ............................................................. 191
9.4.Temel Kontrol Biçimleri ................................................................... 192
10. STRATEJİK RİSK YÖNETİMİ ..................................................... 196
10.1. Stratejik Planlama .......................................................................... 201
10.2. Stratejik Rekabet Analizi ............................................................... 139
10.3. Kuruluş Dışı Çevre Analizi ............................................................ 136
10.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi ................ 138
10.5. Performans Programı Kurumsal Risk Yönetimi ......................... 138
11. KURUMSAL RİSK YÖNETİMİ UYGULAMASINI ETKİLEYEN
FAKTÖRLER VE ARAÇLAR ............................................................. 143
11.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler ....... 147
11.1.1. İşletme Büyüklüğü ......................................................................... 147
11.1.2. Finansal Kaldıraç .......................................................................... 148
11.1.3. Karlılık ............................................................................................ 148
11.1.4. Yönetim Kurulu Üyelerinin Bağımsızlığı .................................... 149
11.1.5. Denetim Firmaları ......................................................................... 149
11.1.6. Coğrafi Çeşitlilik ............................................................................ 149
11.1.7. Bağlı Ortak Sayısı .......................................................................... 150
11.1.8. Büyüme ........................................................................................... 150
12. İÇ DENETİM SİSTEMİ, KAPSAMI ve ÖZELLİKLERİ ........... 153
12.1.İç Denetimin Tanımı ........................................................................ 158
12.2.İç Denetim Faaliyetineİhtiyaç Duyulma Nedenleri
.................................................................................................................... 159
12.3.İç Denetimin Kapsam ve Alanı ....................................................... 160
12.4.İç Denetimin Amacı ......................................................................... 162
12.5.İç Denetim SistemininÖzellikleri ve Etkililiği
.................................................................................................................... 163
12.6. İç Denetim Unsurları ...................................................................... 164
12.6.1.Nesnel Güvence Sağlama ............................................................... 164
12.6.2.Bağımsız Olma ................................................................................ 165
12.6.3.Tarafsız Olma ................................................................................. 165
12.6.4.Danışmanlık Hizmeti Verme ......................................................... 166
12.6.5.Kurum Faaliyetlerine Değer Katma ve Geliştirme ..................... 166
12.6.6.Standartlara Uygunluk .................................................................. 168
12.7.İç Denetim Türleri ........................................................................... 168
12.7.1.Uygunluk Denetimi ......................................................................... 169
12.7.2.Performans Denetimi ..................................................................... 169
12.7.3.Mali Denetim ................................................................................... 170
12.7.4.Bilgi Teknolojisi Denetimi ............................................................. 170
12.7.5.Sistem Denetimi .............................................................................. 172
12.8.İç Denetim Teknikleri ...................................................................... 172
12.8.1.Fiziki ve Kaydı İnceleme ................................................................ 172
12.8.2.Belge İnceleme................................................................................. 173
12.8.3.Hesaplama ve Karşılaştırma ......................................................... 173
12.8.4. Doğrulama ...................................................................................... 173
13. KURUMSAL RİSK YÖNETİMİ ODAKLI İÇ DENETİM SİSTEMİ
176
13.1.İç Denetim Sistemindeki Değişim ve Özellikleri ........................... 181
13.2.Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması .. 182
13.3.İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri
.................................................................................................................... 185
13.4.İç Denetçilerin Kurumsal Risk YönetimSistemindeki Görev ve
Sorumlulukları ......................................................................................... 187
13.4.1.İç Denetçi ve Güvence Hizmeti ...................................................... 189
13.4.2.İç Denetçilerin Danışmanlık Rolü ................................................. 191
13.5.İç Denetçilerin Taşıması Gereken Özellikler ................................ 192
13.6. İç Denetçilerin Durumu ................................................................. 193
13.6.1.5018 Sayılı Kanun Kapsamında Risk Yönetim Sistemi .............. 194
13.6.2.Kamu İç Denetim Standartlarında Risk Yönetim Sistemi ......... 195
14. KURUMSAL RİSK YÖNETİMİ ORGANİZASYON YAPISI.... 199
14.1. Üst Yönetim ve Yönetim Kurulu ................................................... 204
14.2. Yöneticiler ........................................................................................ 205
14.3. Risk Görevlileri ............................................................................... 206
14.4. Finans Yetkilileri............................................................................. 207
14.5. Kurum İçi Diğer Sorumlular ......................................................... 207
14.6. Bağımsız Dış Denetçiler .................................................................. 207
14.7. Yasa Koyucu ve Düzenleyiciler ..................................................... 208
14.8. Kurum ile İlişki İçerisinde Olan Kişiler ....................................... 208
KAYNAKLAR ......................................................................................... 211
Bu Bölümde Neler Öğreneceğiz?
Riskin Tanımı ve Temel Kavramlar
Risk ve Belirsizlik
Risk, Tehdit ve Tehlike
Risk ve Kayıp
Risk ve Fırsat
Risk ve Olasılık
Risk ve Zaman
Risk ve Karmaşıklık
Bölüm Hakkında İlgi Oluşturan Sorular
S-1. Gün içinde trafik kazası ile karşılaşma ihtimaliniz nedir?
S-2. Evinize hırsız girmemesi için ne gibi tedbirler alıyorsunuz?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Riskin Tanımı ve Temel
Kavramlar
Riskin Tanımı ve Temel
Kavramlar açıklayabilme
Riskin Tanımı ve Temel
Kavramlar analiz ederek
Anahtar Kavramlar
Riskin Tanımı ve Temel Kavramlar
Risk ve Belirsizlik
Risk, Tehdit ve Tehlike
Risk ve Kayıp
Risk ve Fırsat
Risk ve Olasılık
Risk ve Zaman
Risk ve Karmaşıklık
1.1. Riskin Tanımı ve Temel Kavramlar
Risk mevcut mevcut veya gelecekteki durum veya hedeflerin zarar görme
olasılığıdır.
İktisadi karar birimlerinin verecekleri kararlar sonucunda ortaya çıkacak getiriyi
olumsuz etkileyebilecek olayların gerçekleşme olasılığı, diğer bir deyişle
olayların gerçekleşme olasılığının bilindiği durum.
Zarara uğrama tehlikesi, riziko
Geleneksel risk tanımlarında riskin, potansiyel problem, tehdit, tehlike, zarar ya
da kayıp gibi olumsuz unsurlarının ön plana çıkarıldığı görülmektedir. Kurumsal
Risk Yönetimi çerçevesinde yapılan çağdaş tanımlarda ise riskin söz konusu
olumsuz unsurlarının yanında fırsat, fayda kar, kazanç gibi olumlu unsurlarını
da içerecek şekilde tanımlandığı görülmektedir.
Risk kavramına yüklenilen anlamın, zamana ve kullanım alanına göre değiştiğini
görmekteyiz. Önceleri sadece zararlı etkilerini gidermek veya alt seviyeye
çekmek amacıyla riskle mücadele edilmesi düşüncesi benimsenmekteyken
zamanla kavrama yeni yüklenilen anlamlarla birlikte her riskin beraberinde bir
fırsatı da getirdiği ilkesi genel kabul görmüştür.
Bu bağlamda risk, mevcut veya gelecekteki durum veya hedeflerin sapma
göstermesidir. Ancak iktisadi birimler ( birey, firma ve devlet) hedeflerden
sapmaların olumsuz olma ihtimali minimize etmelidir.
Şekil 1’de, KRY kapsamındaki risk tanımının tehlike ve belirsizlik anlayışından
avantaja dönüştürülen ve kurum değerinin artırılmasına neden olma olasılığını
taşıyan risk boyutuna taşınması gösterilmektedir. Bu anlamda risk sadece tehlike
ve belirsizlik içermemekte, kapsamında fırsatları da barındırmaktadır.
Şekil-1.1. Risk Tanımında Değişim ve Sonuçları
Kamu İç Denetiminde Risk Değerleme Rehberi’nde risk, “İdarelerin kuruluş
amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel olabilecek durum
ya da olaylar.” olarak tanımlanmıştır.
Uluslararası Standardizasyon Kurumu (ISO)’nun 1 Kasım 2000 tarihli Risk
Yönetim Terminolojisi’nde risk, “Bir olayın olma ihtimali ve bunun sonuçlarının
kombinasyonu; Not 1: Bazı durumlarda risk beklenenden sapmadır” şeklinde
tanımlanmıştır.
Yukarıda yapılan tanımlardan özellikle de kurumsal risk yönetimi yaklaşımı
çerçevesinde yapılan yeni tanımlardan hareketle risk kavramının temel unsurlarının
şunlar olduğu ifade edilebilir:
Risk, kurum amaçları ve hedefleri üzerinde etkili olan bir olgudur.
Riskin temel kaynağı; geleceğe, gelecekteki olay ve değişimlere, bu olay ve
değişimlerin sonuçlarına ilişkin mevcut bilgilerin yetersizliğinden doğan
belirsizliktir.
Risk, kesin olmayan yani gerçekleşmesi ihtimalli bir olgudur.
Risk, dünya da bugün ile değil yarınla yani gelecekle ilgili bir olgudur.
Risk, değişen olay ve durumlara bağlı olarak sürekli değişim gösteren karmaşık
bir olgudur.
Risk, amaçlar ve hedefler üzerinde olumlu (fırsat, kar, kazanç), olumsuz (tehdit,
tehlike, zarar, kayıp) ya da hem olumlu hem de olumsuz etkileri olabilen bir
olgudur. (Şekil 1.2.)
Şekil 1.2. Amaç, Tehdit, Fırsat ve Risk Arasındaki İlişki
Herhangi bir kurumun/birimin/sürecin içerisinde risklerin belirlenmesi veya
tanımlanması yapılırken öncelikle kurumun/birimin/sürecin amaç ve hedeflerinin ne
olduğu açık bir şekilde ortaya konulmalıdır. Kurumun/birimin/sürecin amaç ve hedefleri
net olarak belirlendikten sonra bu amaç ve hedeflerin gerçekleşmesini engelleyecek
durum, tehlike veya tehditler tespit edilmeli ve risk ona göre tanımlanmalıdır.
Belirsizlik: Gelecekte gerçekleşmesi muhtemel olayların olasılık ölçüsünü ve
etkisini önceden bilememeyi ifade eder.
Olasılık: Bir olayın gerçekleşme ihtimalini ifade eder. Olasılık kelimesi bazen
“yüksek, orta, düşük” gibi nitel ifadelerle, bazen de “yüzde, gerçekleşme sıklığı” gibi
nicel değerlerle ifade edilir.
Risk: Kurumsal amaçları olumsuz etkileyebilecek olayların gerçekleşme
olasılığını ifade eder.
Artık Risk: Yönetimin gerçekleşme olasılığını ve etkisini azaltmak için aldığı
önlemlerden sonra arta kalan riskleri ifade eder.
Risk İştahı: Kurumun, sahip olduğu misyon ve vizyonu doğrultusunda kabul
edebileceği geniş kapsamlı risk miktarını ifade eder. Başka bir ifadeyle yönetimin
herhangi bir önlem almanın gerekliliğine hüküm vermeden önce maruz kalmaya hazır
olduğu risk miktarıdır. Yönetimin kabul edilebilir olduğunu düşündüğü risk seviyesidir.
Risk kapasitesi: Bir kurumun olumsuz bir olayın etkisini atlatma kabiliyetidir.
Diğer bir deyişle kurumun ne kadar büyük bir sarsıntıya dayanabileceğidir. Risk
kapasitesi nakit miktarıyla, diğer kaynaklarla veya kredi imkanlarıyla ölçülebilir. Bir
kurumun risk kapasitesini bilmesi ne kadar riski üstlenmeye istekli olduğuna karar
vermesi açısından önemlidir.
Risk Toleransı: Belirli bir amacın başarılmasına yönelik olarak kabul
edilebilecek risk miktarını ifade eder. Başka bir ifadeyle risk toleransı hedefler etrafındaki
kabul edilebilir bir değişkenliği belirtir. Risk iştahı da, risk toleransı da risk almayla ilgili
sınırları belirtir ancak risk iştahı daha geniş kapsamlıdır.
Makul Güvence: Kurumsal risk yönetimi, ne kadar iyi tasarlanmış ve yürütülüyor
olursa olsun, kurumsal amaçların gerçekleştirilmesi hakkına mutlak güvence sağlayamaz.
Bunun sebebi kurumsal risk yönetiminin doğasında var olan (kalıtsal risk) ve
önlenemeyen sınırlardır.
Kurumsal Risk Yönetimi Süreci: Kurumda uygulanmakta olan kurumsal risk
yönetimi faaliyetlerini ifade eder.
Kalıtsal Risk: Yönetim tarafından herhangi bir önlem alınmaması durumunda
gerçekleşme olasılığının ve etkisinin değiştirilemeyeceği riskleri ifade eder.
Kalıtsal Sınırlamalar: Kurumsal risk yönetiminin doğasında var olan
sınırlamaları ifade eder. Bu sınırlar; 1) kişisel yargılar, 2) kaynak kısıtları ve bir kontrole
ilişkin maliyet-fayda analizi, 3) sistemin çökmesi ihtimali, 4) yönetimin sistemi
önemsememesi ve hileli davranması olarak sıralanabilir.
İç Kontrol: Bir kurumun yönetim kurulu, yöneticileri ve çalışanları tarafından
yürütülen ve 1. Faaliyetlerin etkinliği ve verimliliği, 2. Mali raporlamanın güvenilirliği,
3. Yasalara ve diğer düzenlemelere uyum amaçlarının gerçekleştirilebilmesi için makul
güvence sağlayan bir süreçtir.
İç Kontrol Sistemi: Kurumda uygulanmakta olan iç kontrol faaliyetlerini ve
süreçlerini ifade eder.
1.2. Risk ve Belirsizlik
Genel olarak risk, bilinebilen olasılıklar kapsamında rastlantısallık, belirsizlik ise
bilenemeyen olasılıklar kapsamında rastlantısallık olarak tanımlamıştır. Bu açıdan ele
alındığında risk, bir sonucun olasılığının belirlenebildiği ve böylelikle bu sonucun
sigortalanabildiği bir durumu ifade etmektedir. Belirsizlik ise tam tersi olarak,olasılığı
bilinemeyen bir olayı işaret ettiği için sigortalanamaz. Riskle belirsizlik arasında şöyle
bir ayrım yapılabilmektedir: Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları
çıkarabiliyorlarsa risk, uzmanlar bu konuda bir anlaşmaya varamıyorsa belirsizlik söz
konusudur. Risk, çoğu zaman istenmeyen bir olayın oluşma olasılığına ilişkin istatistiksel
verilere dayalı olarak ölçülebilen bir kavramdır. Belirsizlik, istatistiksel verilerin mevcut
olmadığı durumlarda kullanılan, ölçülemeyen bir kavramdır. Belirsizlik, bir olayın
oluşma olasılığının verilerle belirlenemediği durumları ifade eder.
Belirsizlik, olasılık dağılımı bilinmeyen, kontrol edilemeyen ve gelişigüzel olayları ifade
eder. Bir olay belirsiz ise, kontrol edilemeyen olayın olasılık dağılımı bilinmez; başka bir
ifade ile olaya ilişkin olasılık dağılımını çıkarabilecek geçmiş verilere sahip değilsek, olay
hakkında olasılık dağılımını tahmin edemeyiz. Risk, bilinen olasılık dağılımından ya da
mevcut verilerden yararlanarak belirlenebilen ve ölçülebilen gelişigüzel ve kontrolsüz
olayları ifade eder.
1.3. Risk, Tehdit ve Tehlike
Tehdit, bilinçli ya da bilinçsiz olarak potansiyel tehlikeye neden olabilecek faktörler ya
da olaylardır. Tehdit, bir kurumu potansiyel olarak riske açık hale getirecek eylem ya da
olaydır. Bir örgütte başarıyı engelleyebilecek veya zarara sebep olabilecek her şey bir
tehdit unsurudur. Tehlike, amaçların gerçekleştirilmesine olumsuz etkide bulunabilecek
olayların gerçekleşme olasılığıdır. Kurum amaçlar üzerinde ters etkiye sahip bu olaylar
değer yaratmayı engeller ya da mevcut değerin yitirilmesine neden olur. Tehlike,
örgütlerin amaçlarını zorlaştıran veya imkansız hale getiren yeni bir durum demektir.
Risk ve tehlike birbirine bağlı iki kavramdır. Tehlikelerin var oluşu riski yaratır.
Kurumsal Risk Yönetimi yaklaşımının geliştirilmesine kadar risk sadece olumsuzluk
olarak ve işletme amaçlarının başarılmasını tehdit eden bir tehlike olarak ele alınmıştır.
Risk, çeşitli tehlikelere maruz kalmaktan (açık olmaktan) kaynaklanan kayıpların veya
bozulmaların şiddeti ve olasılığıdır. Tehlikelerin dikkatle saptanması, analiz ve kontrol
edilmesi gerekir. İş Sağlığı ve Güvenliği Yönetim Sistemleri (TS 18001:2008 İSG)
kapsamında tehlike, “Mal, can ve çevre için potansiyel bir tehlike oluşturan malzeme,
durum veya aktivitenin karakteristiğidir.” şeklinde tanımlanmaktadır. Tehdit ve tehlike
kavramlarına yönelik olarak yukarıda belirtilen tanımlar ve açıklamalar incelendiğinde
genel olarak tehdit ve tehlike kavramlarının Kurumsal Risk Yönetimi yaklaşımı
çerçevesinde aynı anlamda algılandığı görülmektedir. Belirtilen tanımlarda hem tehdit
kavramının hem de tehlike kavramının kurum amaçları ve hedefleri üzerinde olumsuz
etkileri olan, amaçların ve hedeflerin gerçekleşmesini engelleyecek eylem, olay ve
durumlar olarak algılandığı ve tanımlandığı görülmektedir. Dolayısıyla Kurumsal Risk
Yönetimi yaklaşımı çerçevesinde tehdit ve tehlike kavramları; gerçekleşmesi beklenen ve
gerçekleşmesi durumunda kurumun amaçlarına ve hedeflerine ulaşmayı olumsuz
etkileyecek olan, kurum içi ve dışı faktörlerden kaynaklanabilecek eylem, olay ve
durumlar şeklinde tanımlanabilir. Bu kapsamda risk ise tehdit ve tehlikelerin amaçlar ve
hedefler üzerindeki olumsuz sonuçları veya etkileridir. Tehdit ve tehlikelerin
gerçekleşmesi sonucu kurumun karşılaştığı can, mal, müşteri ve imaj kayıpları, zararlar,
hukuka aykırı işlemler, yolsuzluklar, hatalı ürün ve hizmetler v.b. olumsuz sonuçlar
kurumun karşı karşıya kalabileceği riskleridir.
Riske neden olan tehditler/tehlikeler kurum içi faktörlerden doğabileceği gibi kurum dışı
faktörlerden de doğabilir. “Karşı karşıya kalınan risk, içsel ya da dışsal bir takım etkenlere
dayanıyor olabilir. Organizasyonun türüne, idari yapısına, faaliyet gösterdiği sahaya,
coğrafi bölgeye ve diğer pek çok faktöre göre maruz kalınabilecek iç ve dış etkenler
farklılık gösterecektir.”
1.5. Risk ve Kayıp
Risk daima bir çeşit kayıp olasılığını da içermektedir. Gerçekleşme olasılığı çok düşük
de olsa kaybın getireceği sonuçlara katlanılmak istenmediği için riskler yönetilmektedir.
Eğer kayıp olasılığı yoksa bu amacı, işi, faaliyeti ya da projeyi tehlikeye atmayacağından
risk hakkında endişe edilmez. Dikkat edilmesi gereken kayıp olasılığıdır.Her kurumun
temel amaçlarından birisi maddi ve gayri maddi her türlü varlık ve değerlerini öncelikle
korumak sonra da bunları artırmaktır. Kurumların maddi ve gayri maddi varlık ve
değerlerinin azalması ya da hedeflendiği şekilde artmaması birer kayıp ya da zarar olarak
tanımlanabilir. Bir yangın tehdidinin gerçekleşmesi sonucu yaşana can ve mal kayıpları,
kurum personelinin yapmış olduğu yolsuzluk ya da hırsızlık sonucu kurum gelirlerinin ya
da varlıklarının azalması, kilit personelin kurumdan ayrılması sonucu yaşanan müşteri ve
hasılat kayıpları, başarısız olarak yürütülen bir proje veya faaliyet sonucu oluşan zarar ve
bu zararla birlikte oluşan imaj kaybı gibi örnekler risklerin gerçekleşmesi sonucu
karşılaşılan kayıp ve zararlara örnek olarak verilebilir.
1.6. Risk ve Fırsat
Eylem, olay ve durumların negatif, pozitif ve bazen hem negatif hem pozitif etkileri
olabilir. Negatif sonuçları olan eylem, olay ve durumlar tehditler/tehlikelerdir. Fırsatlar
ise pozitif sonuçları olan olaylardır. Fırsat, amaçların gerçekleştirilmesine olumlu katkıda
bulunacak eylem, olay ve durumlardır. Fırsatlar değer yaratmaya imkan sağlayan veya
mevcut değerlerin korunmasını destekleyen eylem, olay ve durumlardır. Yönetimler
ancak bu fırsatları değerlendirerek belirledikleri strateji ve hedefler doğrultusunda yeni
fırsatlar yakalayabilirler.65 Ayrıca fırsatlar, tehditlerin amaçlar üzerindeki olumsuz
etkilerini dengeler. Gelecekteki eylem, olay ve durumların kurum için tehdit mi yoksa
fırsat mı olacağı bunlar gerçekleşmeden, önceden kesin olarak bilinemez. Zira tehdit
olarak tanımlanan ve amaçlara/hedeflere olumsuz etkisi olacağı düşünülen eylem, olay
ve durumların gerçekleşmesinden sonra sonuçlarının amaçlara/hedeflere olumlu etkisi
olabilir yani sonuçta kurum için bir fırsat olabilir. Ya da tehdidin olumsuz etkileri ile
birlikte olumlu etkileri de olabilir. Benzer şekilde amaçlara/hedeflere olumlu etkisi
olacağı düşünülen eylem, olay ve durumların gerçekleşmesinden sonra sonuçlarının
amaçlara/hedeflere olumsuz etkileri olabilir yani kurum için bir tehdit olabilir. Ya da
fırsatın olumlu etkileri ile birlikte olumsuz etkileri de olabilir. Eylem, olay ve durumların
amaçlar üzerindeki etkisinin olumlu ya da olumsuz olabileceğini Çince’deki ‘ideogram’
kelimesinin ikili anlam yapısı güzel bir şekilde izah etmektedir. “Çince’de her kelime bir
şekille anlatılırken ‘risk’ iki şekil yan yana getirilerek yazılır: Tehlike ve Fırsat.”
“Çince’de riskin karşılığı olarak kullanılan ‘ideogram’ kavramının hem fırsat hem de
tehdit anlamı taşıdığı ifade edilmektedir.”
1.7. Risk ve Olasılık
Olasılık, belirli bir olayın oluşma olasılığını ifade eden bir sayıdır.Bir başka tanımda
olasılık, bir olayın meydana gelme ihtimali ve ifadeler arasındaki mantıksal ilişki olarak
tanımlanmıştır. Olasılık, risk değerlendirme tekniklerinin çoğunda kullanılan önemli bir
niceleme ölçüsüdür. Belirli bir olayın gelecekte ortaya çıkma olasılığı geçmişte yaşanmış
tekrarlarla benzerdir. Riskin olasılığı, risk analizlerinde kullanılan iki parametreden
biridir. Risk analizinde, riskin büyüklüğünü ya da önemini riskin gerçekleşme olasılığı
ile gerçekleşmesi durumunda yapacağı etkinin şiddeti belirlemektedir. Riskin olasılığı ile
etkisinin birleşimi riskin kurum için önemini ya da büyüklüğünü göstermektedir. Bu
nedenle riskin gerçekleşme olasılığı, risk analizlerinde ve bu analizler sonucu risklerin
önem derecelerine göre önceliklendirilmesinde önemli bir unsurdur.
1.8. Risk ve Zaman
“Değişen ve küreselleşen dinamik işletme/kurum çevresinde zaman önemli unsurlardan
birisidir. Risklerin belirlenmesi sırasında zaman bileşeni de dikkate alınmaktadır. Zaman
belirsizlik ve kararsızlık açısından da önemlidir. Belirsizlik ve karmaşıklık zamanla
artmaktadır. Bu durum, riskleri de niteliksel olarak değiştirmekte, sayı ve tür olarak
artırmaktadır. Ayrıca risklerin yönetilmesinde harcanan zaman ve bu kapsamda yönetim
faaliyetlerinin etkililiği de önemlidir.” Gelecekte gerçekleşebilecek ve kurum amaçlarına
olumsuz etkileri (riskler) olabilecek eylem, olay ve durumların (tehditlerin)
belirlenmesinde ve gerçekleşme olasılıkları ile etkilerinin tahmin edilmesinde kullanılan
zaman aralığı önemli bir unsurdur. Kullanılan zaman aralığı ne kadar uzun olursa risklerin
belirlenmesi ve gerçekleşme olasılıkları ile etkilerinin tahmin edilmesinde isabet oranı o
derece düşük olacaktır.
Tahminin yapıldığı zaman aralığı, sonuçların kesinlik derecesini etkileyecektir. Tahminin
kesinlik derecesi ve güvenilirliği konusunda tahminin üretilmesi için öngörülen zamanın
önemli etkileri olacaktır. Yakın geleceği öngörmek daha kolaydır ve belirsizlik daha
düşüktür. Uzak gelecekteki olaylar hakkında karar verilirken belirsizlik ve belirsizlikten
kaynaklanan riskler ve fırsatlar daha fazladır. Uzun vadede olacaklar hakkında kestirimde
bulunulması, senaryoların geliştirilmesi, hayal gücünün kullanılması verilen kararlar
üzerinde etkili olacaktır. Uzun vadeli kararların içerdiği potansiyel riskler ve fırsatların
öngörülmesi, derin bir uzgörü, bilgi birikimi, deneyim, hayal gücü ve zeka gerektirir.
1.9. Risk ve Karmaşıklık
Bir olaydaki bileşen sayısı ve bileşenler arasındaki ilişkinin artması, olayın
karmaşıklığını arttırır. Bir olayın ya da durumun karmaşıklık derecesi, olası risk şiddetini
etkileyen bir faktördür. Sistem karmaşıklığı, sistem bileşenleri ve aralarındaki ilişkinin
sayısı ile tanımlanır.86 Yüksek teknolojik ürünler, yüksek karmaşıklığa sahiptirler.
Teknolojideki hızlı gelişmeler ürünlerin karmaşıklığını daha da artırmaktadırlar.
Kurumların ya da kurumların karşı karşıya kalabileceği eylem, olay ve durumların
karmaşıklığı arttıkça risk de artmaktadır. Kurumları etkileyen iç ve dış değişimler de
karmaşıklığı artıran bir faktördür. İster kurum içerisinden ister kurum dışından
kaynaklansın değişimlerin sayısı, niteliği ve hızı ne kadar fazla olursa kurumda yaratacağı
karmaşıklık da o derece fazla olacaktır. Artan karmaşıklık da potansiyel olarak risklerin
artmasına neden olacaktır.
Bu Bölümde Ne Öğrendik Özeti
Riskin Tanımı ve Temel Kavramlar
Risk ve Belirsizlik
Risk, Tehdit ve Tehlike
Risk ve Kayıp
Risk ve Fırsat
Risk ve Olasılık
Risk ve Zaman
Risk ve Karmaşıklık
Bölüm Soruları
S.1. Riskin Tanımı ve Temel Kavramlarını açıklayınız.
S.2. Risk ve Belirsizlik nedir?
S.3. Risk, Tehdit ve Tehlike nedir?
S.4. Risk ve Kayıp nedir?
S.5. Risk ve Fırsat nedir?
S.6. Risk ve Olasılık nedir?
S.7. Risk ve Zaman nedir?
S.8. Risk ve Karmaşıklık nedir?
S.9 Risk nedir?
a. Tehlikedir
b. Daima fırsattır
c. Kayıp olasılığıdır
d. Belirsizliktir
S.10 Olasılık nedir?
a. Bir durumun gerçekleşme ihtimalidir
b. Kesinliktir
c. Kayıptır
d. Belirsizliktir
Cevaplar: 9. c , 10.a
Bu Bölümde Neler Öğreneceğiz?
Sistematik Risk
Piyasa Riski
Politik risk
Faiz oranı riski
Döviz Kuru Riski
Enflasyon riski
Yasal risk
Sistematik olmayan risk
Operasyonel risk
Yönetim riski
Finansal risk
Pazar riski
Kredi riski
Likidite riski
Sermaye yapısı riski
Bölüm Hakkında İlgi Oluşturan Sorular
S-1. İş yerinizde iş kazalarını önlemek için ne tür tedbirler alınıyor?
S-2. Altın fiyatlarının artması kimin için olumlu kimin için olumsuz sonuç doğuru?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Sistematik Risk Sistematik Riski açıklar Sistematik Riski analiz
ederek
Sistematik olmayan risk Sistematik olmayan Riski
açıklar
Sistematik olmayan Riski
analiz ederek
Finansal risk Finansal Riski açıklar Finansal Riski analiz
ederek
KRY uygulamalarında sıklıkla tercih edilen risklerin sınıflandırılması aşağıdaki şekilde
yapılabilmektedir (Şekil 2.1.)
1) Stratejik Riskler: Orta ve uzun vadede kurum amaç/hedeflerini etkileyebilecek olan
risklerdir. Bunlar da kendi içinde politik, ekonomik, sosyal, teknolojik ve müşteri
kaynaklı olarak çeşitlendirilebilir.
2) Operasyonel Riskler: Günlük faaliyetlerin yürütülmesi esnasında yönetim ve
personelin karşılaştığı risklerdir. Bu riskler rekabete dayalı, fiziksel ve sözleşmeye dayalı
nedenlerle ortaya çıkabilirler.
3) Finansal Riskler: Finansal planlama, bütçe kontrolü, likidite sıkışıklığı veya yetersiz
izleme ve raporlama temelli risklerdir.
4) İtibar Riskleri: Kurum ünvanına/itibarına zarar verecek her türlü riski içerir.
5) Bilgi Teknolojileri Riskleri: Teknolojik eksikliklerden kaynaklanabileceği gibi fiziksel
bilişim araçları temelli de olabilir.
6) Düzenleme/Hukuki Riskler: Ulusal veya uluslararası düzenleme otoritelerinden, bu
otoritelerin çıkardığı düzenlemelerden/yasalardan kaynaklanabilecek risklerdir.
7) Birey Temelli Riskler: Profesyonel insan kaynağı yetersizliklerinden
kaynaklanabileceği gibi kilit personelin kaybından da kaynaklanabilir.
Yukarıda belirtilen risk sınıflarını kesin çizgiler ile birbirlerinden ayırmak doğru değildir.
Örneğin bir kredi riski, sonuçları itibari ile finansal risk, nedenleri itibari ile operasyonel
bir risk olarak algılanabilir. Uygulamada farklı kurumlar/sektörler ve bilim dalları içinde
pek çok risk sınıflandırması yapılmaktadır. Özel sektör işletmelerinde yaygın olarak
kullanılan bir başka risk sınıflandırmasına aşağıda Şekil 12’de yer verilmiştir:
Şekil. 2.3. Olaylar ve Riskler
2.1.Sistematik Risk
Sistematik risk, firmaların sahip oldukları varlıklar üzerindeki riski çesitlendirme yoluyla
azaltamadıgı, piyasanın genel ekonomik kosullarından kaynaklanan ve tüm firmaları
etkileyen risktir. Sistematik risk tanımından da anlasılacagı gibi tamamıyla dıs
etkenlerden kaynaklanan bir risk çesididir. Sistematik risk piyasa riski ve
çesitlendirilemeyen risk olarak da adlandırılır. Firmaların sistematik riski ortadan
kaldıramamasının ya da azaltamamasının nedeni ekonomik, sosyal ve politik kosullardaki
degismelerin, mevcut piyasadaki tüm menkul kıymetler üzerinde farklı oranlarda fakat
aynı dogrultuda etkili olmasıdır.
2.1.1.Piyasa Riski
Piyasalarda, bazen belirli bir nedenden, bazen de belirli bir nedeni olmadan kaynaklanan
ve bunun sonucunda da piyasalardaki yatırımcı firmaların finansal varlıklarının
fiyatlarının olumsuz etkilenmesi piyasa riski olarak adlandırılır. Piyasa riski potansiyel
kazanç ya da kaybın piyasa durumlarındaki faiz oranlarının, emtia fiyatlarının, hisse
senedi fiyatlarının gibi ekonomik ve finansal degiskenlerin degismesi sonucu ortaya
çıkmaktadır. Ayrıca piyasa riski yatırımcıların davranıslarıyla, beklentileriyle ve
tercihleriyle dogru orantılıdır. Çünkü piyasalardaki finansal varlıkların fiyatlarındaki
dalgalanmaların baslıca nedenleri arasında yatırımcıların beklentilerinde, davranıslarında
ve tercihlerinde yasanan degisimler yer almaktadır. Bu nedenle herhangi bir zaman aralıgı
olmadan ortaya çıkan bu riski en aza indirmek için piyasadaki firmaların denetimini, bilgi
alısverisini ve olusan bu süreci iyi koordine etmek gerekmektedir.
2.1.2.Politik risk
Politik risk, firmaların faaliyet gösterdigi ülkede veya bir baska ülkede meydana gelen
siyasi ve ekonomik krizlerin, savasların firmaların davranısları üzerinde olusturdugu etki
olarak adlandırılır. Güçlü hükümetlerin uygulamaları ve sivil toplum kuruluslarının
eylemleri tarafından tam ya da parça belirsizlikten kaynaklanan bu riske politik risk
denmektedir. Daha sık denizasırı ülkeler ile gelismekte olan ülkelerin özelligi olmasına
ragmen politik risk kavramı tanımının hem yurtiçi hemde uluslararası piyasalarda
geçerliligi kabul görmüstür. Politik risk unsurları, koruma girisimleri, kotalar, döviz
kurundaki dalgalanmalar ve yabancı sermaye yatırımlarıdır. Politik risk, hem yerel hemde
ulusal hükümetlerin eylemsizlikleri ve dogrudan eylemleri sonucu ortaya çıkmaktadır.
Eylemsizlikleri sonucu ortaya çıkan risk unsuru yasaların uygulanmasındaki
basarısızlıktır. Eylemleri sonucu ise izlemis oldugu siyasi, vergi, para, fiyat, ücret ve dıs
ticaret politikalarının piyasalardaki menkul kıymetler üzerinde olumlu ya da olumsuz etki
yaratmasıdır.
2.1.3.Faiz oranı riski
Faiz oran riski, kazanç veya sermaye faiz oranlarının degiskenliginden dogan bir risk
çesididir . Faiz oranı içindeki degiskenlik olumsuz yönde ise, yüksek faiz maliyetlerine
veya düsük yatırım getirilerine ve kayıplara veya daha az kar’a sebep olmaktadır.
Faiz oran riski, firmaların faize duyarlı varlıklarının (tahvil, bono, hisse senedi vb.) vade
açısından faiz oranlarının uyumsuzlugu sonucu da ortaya çıkabilmektedir. Firmalar vade
uyumsuzlugu risklerinden varlıklarını etkili bir izleme, takip etme sistemiyle
koruyabilmektedir. Piyasada faiz oranının yükselmesi firmaların varlıklarını deger
kaybına ugrattıgı gibi faiz oranının düsmesi ise varlıkların prim yapma ihtimalini artırır.
Bununla birlikte Sermaye Piyasası Teorisi kapsamında ele alınan risksiz faiz oranı da
piyasada faizlerin degiskenliklerine ters dogrultuda degiskenlik göstermektedir.
2.1.4.Döviz Kuru Riski
Sabit kur sisteminin terk edilmesiyle döviz kur riski ülkelere, endüstrilere ve firmalara
ciddi anlamda hem tehdit hem de fırsat sunarak önemli bir risk kaynagı haline gelmistir.
Kur riski, döviz kurundaki beklenmeyen degisimlerin firma üzerindeki etkisi olarak ifade
edilmektedir. Bir baska ifadeyle döviz kur riski, siyasi olaylar, ödemelerde çıkan sorunlar
gibi belirli nedenlerin ulusal para degerini etkilemesi sonucu ulusal para degerinin
yabancı para degeri karsısında olumlu ya da olumsuz degisim göstermesidir. Döviz kuru
harekeleri firmaların hisse senetlerinin piyasa degerini, nakit akıslarını, varlık ve
yükümlülüklerini ve net karını dogrudan veya dolaylı etkilemektedir. Firmaların döviz
kuru hareketlerinden etkilenmeleri için döviz kur riskine açık olmaları gerekmektedir.
Kur riskine açık olma, yabancı para cinsinden varlıklara ya da yükümlülüklere sahip olan
firmanın döviz fiyatlarındaki degismelerden etkilenmesi olarak ifade edilmektedir. Döviz
kur riski üç çeside ayrılır. Bunlar; islem, dönüstürme ve ekonomik olarak sıralanabilir .
İşlem riski: Firmanın nakit giris ve çıkıslarının döviz kurunda meydana gelen
dalgalanmalardan etkilenmesidir. Dogal olarak yabancı para cinsinden islem yapılması
sırasında ortaya çıkmaktadır.
Dönüstürme riski: Çok uluslu firmaların dönem sonu bilanço ve gelir tablolarının
konsolidasyonu esnasında ortaya çıkan bir risktir. İki bilanço tarihleri arasında kurlarda
meydana gelen degismelerin bilanço degerlerinde olusturdugu etkidir.
Ekonomik risk: Kurdaki degismelerin firmanın degerini ya da firmanın nakit akıslarını
etkilemesidir. Eger firma degerinde bir düsüs varsa buna baglı olarak firmanın nakit
akıslarında da bir sorun vardır. Firma dönüstürme riskine etki edemezken bu riske direkt
etki edebilmektedir bu yüzden firma degerini korumak için gerekli önlemleri almalıdır.
2.1.5.Enflasyon riski
Enflasyon fiyatların sürekli artması olarak tanımlanmaktadır. Enflasyon riski, menkul
deger yatırımı yapan firmaların ve kurulusların yatırım süresince elde ettikleri
getirilerinin enflasyondan etkilenme olasılıgıdır. Baska bir ifadeyle enflasyon riski,
yatırılan fonların gelecekteki satın alma gücünün belirsiz hale gelmesi olarak da
tanımlanabilir. Enflasyonda (fiyatlar genel düzeyinde) meydana gelen sürekli artıslar
paranın satın alma gücünü azaltmakta buna baglı olarak da firmanın yatırımını olumsuz
yönde etkilemektedir. Farklı türdeki varlıklar enflasyon riskinden farklı derecelerde
etkilenmektedirler; sabit getirili finansal varlıklar (tahvil ve bono) enflasyon riskinden
oldukça fazla etkilenirken, hisse senetlerinin enflasyon riskinden en az etkilenen finansal
varlılar oldugu varsayılmaktadır.
2.1.6.Yasal risk
Yasal risk, gerçeklesen satıs sonrası, kanuna aykırı olan bir anlasmanın
uygulamaya koyulamaması nedeniyle firmanın karsı karsıya kaldıgı risk sekli olarak
tanımlanabilir. Bu risk sekli firmalar arasındaki anlasmada belirtilen maddelerin
taraflardan biri tarafından karsılanmaması durumunda da ortaya çıkabilir. Yasal risk,
yargı ve düzenleme uygulamalarına maruz kalan risk olup finansal sözlesmelerde yaygın
olarak görülmektedir.
Yasal riskler, firmaların ve kurulusların hukuki danısmanlarının risk yönetimi ve üst
yönetimle yaptıgı görüsmeler sonucu gelistirilen politikalarla kontrol edilmeye
çalısılmaktadır. Firmalar ve kuruluslar herhangi bir anlasma yapmadan önce yapılacak
anlasmaların uygulanabilirligini analiz etmeleri gerekmektedir.
2.2. Sistematik olmayan risk
Sistematik olmayan risk, firmaya özgü nedenlerle ortaya çıkan bir risk çesididir. Bir
varlıgın getirisinin baska bir varlıgın getirisini etkilemedigi risk olarak da tanımlanır.
Bu risk, genel olarak firmanın ekonomik birimlerinin faaliyetlerine ve kararlarına baglı
olarak ve firmanın öz sermayesinde olusan deger kaybı nedeniyle ortaya çıkabilmektedi.
Ayrıca, yönetimin firmayla ilgili aldıgı kararlar, çalısanların greve gitmesi, hammadde
saglama imkanlarında ortaya çıkan sorunlar, teknoloji, üretim, pazarlama ve finansman
yapısı verimliligi, çevre düzenlenmesi ve hükümet kararları sonucu da ortaya
çıkmaktadır. Bu risk çesidini firmalar ve kuruluslar çok iyi çesitlendirilmis portföyle en
aza indirebilir hatta ortadan kaldırabilirler. Sistematik olmayan risk çesitleri; finansal risk,
operasyonel risk ve yönetim riskidir.
2.2.1.Operasyonel risk
Operasyonel risk, çalısanlardan kaynaklanan veya teknik hatalar sonucu ortaya çıkan ya
da kazalar sonucu olusan kayıplara iliskin risk olarak ifade edilebilir. Ürünün ortaya çıkıs
asamasından, ortadan kaldırılma veya dagıtımına kadar olan süreçte olusan insan
kaynaklı hatalar, bölümler arası iletisim kopuklugu, sistemden kaynaklanan sorunlar,
müsteriden kaynaklanan sorunlar, dogal afetler ve bunun gibi birçok nedenden
kaynaklanan sorunlar operasyonel riski olusturmaktadır ve firmaların bütün bölümleri bu
riskten sorumlu tutulmaktadır.
Firmalar iç kontrol sistemlerini karsılasabilecekleri risklerden korunmak ya da riskleri
fırsata çevirmek amacıyla gelistirmektedirler ama bu sürecin yetersiz veya basarısız
olması ya da yanlıs kullanılması operasyonel riskin ortaya çıkmasına neden olmaktadır.
Operasyonel risk; yalnızca operasyonel islemlerle ortaya çıkan risk çesidi degil süreçlerin
genelinde meydana gelecek herhangi bir aksaklıktır. Örnek verecek olursak; yapılan
muhasebe hataları, bilgilerin sisteme yanlıs kodlanması veya eksik girilmesi, çalısanların
firma araçlarını kendi amaçları dogrultusunda kullanmaları, çalısanların fiziksel ya da
fikri hırsızlık yapmalar gibi.
2.2.2.Yönetim riski
Firma yöneticilerinin hataları veya yanlıs kararları sonucu ortaya çıkan risk çesididir. Bu
riskte firma yönetiminin yapacagı hatalar firmayı dogrudan etkileyeceginden yatırımcının
firma hakkında bilgi edinmesinde bu risk çesidi önemli rol oynamaktadır. Firma
yönetiminin aldıgı kararlar ve uyguladıgı politikalar firmanın gelismesinde ve
büyümesinde olumlu ya da olumsuz etki yapmaktadır. Yönetim riski, basarı ya da
basarısızlıkta önemli rol oynayan yöneticilerin kalite düzeylerinden ortaya çıkmaktadır.
Bu nedenle firmaların basarılı olabilmesi için iyi bir yönetim kadrosuna sahip olmaları
gerekmektedir. Yönetim riski firmaları finansal olarak olumsuz etkileyebilmektedir.
Yöneticilerin hatalı kararları firmanın karlılıgını, piyasada ki etkinligini ve Pazar payının
azalmasına neden olmakta ve bunun sonucu olarak da firmanın hisse senedi deger
kaybetmektedir. Sistematik olmayan risk içinde finansal riskin mali tablolara
yansımasının daha çabuk olması ve bu risk çesitleri arasında en önemli yeri olusturdugu
için finansal risk bir sonraki bölümde daha ayrıntılı bir biçimde ele alınmaktadır.
2.2.3.Finansal risk
Finansal risk sistematik olmayan risklerden biri olup firmanın finansal yapısından dogan,
firma tarafından kontrolü saglanan ve portföydeki varlıkların çesitlendirilmesiyle
azaltılabilen ya da yok edilebilen risk çesididir. Finansal risk, fiyatlarda olusan
dalgalanmalar veya faiz oranlarındaki degisimler sonucunda firmaların aktiflerindeki ya
da pasiflerindeki varlıkların degerlerinin degismesi olarak ifade edilmektedir. Bu risk
çesidi, firmanın likiditesinin azalması, ekonomik ve çevresel kosullarda meydana gelen
degisimlerin firmanın finansmanını etkilemesi sonucu ortaya çıkmaktadır. Firmaların
temel fonksiyonu finansal risklerle ilgili öngörüleri tahmin etmek ve finansal riskleri aktif
sekilde yönetmektir.
Firma açısından finansal risk; pazar riski, kredi riski, likidite riski ve sermaye riski olarak
dört çeside ayrılır.
2.2.3.1. Pazar riski
Bu risk firmanın faaliyette bulundugu endüstri alanındaki arz ve talep degisiklikleri,
piyasadaki yasal sınırlandırmalar, firmanın pazar istek ve ihtiyaçlarına yeterince cevap
verememesi, uygun fiyatlandırma politikalarının izlenmemesi ve gereken pazar
arastırmalarının yapılmaması sonucu ortaya çıkmaktadır. Teknolojideki gelismelerin
gerisinde kalan firma pazar payını kaybetme riskiyle karsı karsıya kaldıgı gibi bu
gelismeleri yakından takip edip karsılasacagı riski fırsata da çevirebilmektedir.
Pazar riski firmadan kaynaklandıgı gibi firmanın dısında gelisen olaylar sonucu da ortaya
çıkabilmektedir. Firma dısında gelisen bu olaylar siyasi, spekülatif ya da psikolojik
faktörlerden kaynaklanabilir. Firmanın faaliyette bulundugu pazardaki müsterilerin
tüketim egiliminde ve tercihlerinde meydana gelen ani degismeler, ülkeler arası siyasi
krizler ve savaslar ya da faaliyette bulunulan ülkede iç savasın çıkması bu riskin firmanın
portföyünde bulunan varlıklarının üzerindeki etkilerine örnek olarak verilebilir.
Pazar riskini etkileyen bir baska faktörde enflasyon oranıdır. Enflasyon oranındaki
olası bir artıs firmanın yatırım kararlarının degismesine ve önceden yapılmıs olan
yatırımlardan gelecek getirilerin de etkilenmesine neden olacaktır. Firmanın elinde
bulundurdugu varlıkları ne ile (öz sermaye ya da borç) finanse ettigi de bu açıdan önemli
olacaktır. Firmalar bu risk çesidini farklı çesitlendirme yollarıyla azaltmaktadırlar.
Örnegin; enflasyon riskine maruz kalan firma finansmanında öz sermaye kullanımı yerine
borç kullanmayı tercih ederek bulundugu ülkenin para degerini elinde bulundurmaktan
kaçıp daha çok borçlanmayı seçmektedir. Bunun nedeni ise firma borçlanarak elde ettigi
kaynakları öz sermayesine aktararak ilerde karsılasacagı satın alma gücü riskini azaltmıs
olmaktadır. Özetleyecek olursak pazar riski firmalar açısından çift yönlü bir risktir.
Birinci yönü, bu risk firmanın bulundugu pazarın dogal yapısı geregi olusabilmekte ve
firmanın da bunun önüne geçemeyerek yalnızca daha fazla etkilenmemek için kendini bu
riske karsı koruması ve dogabilecek fırsatlardan yararlanmaya çalısmasıdır. _kinci yönü
ise, firmanın elinde bulundurdugu varlıkları nasıl finanse ettigi ve firmanın stratejik
kararlarının ne kadar dogru olup olmadıgı ya da iyi bir sekilde uygulanıp
uygulanmadıgıdır.
2.2.3.2. Kredi riski
Kredi riski, borçlu firmanın veya alacaklı firmanın yükümlülük anlasmalarını yerine
getirmemeleri üzerine ortaya çıkan risktir. Bu risk çesidi karsı tarafın kayıpla karsı karsıya
kalmasına neden olabilmektedir. Bu yasanacak kayıp meydana gelecek gerçek kayıptan
önce gerçeklesebilir. Daha genel olarak ifade etmek gerekirse kredi riski faktoring,
dogrudan kiralama ve vadeli finansman islemleri, bir menkul kıymetin ve kredi alım satım
olayına baglı olarak, firmanın piyasa degerinde karsılasması olası kayıplar olarak
tanımlanmaktadır. Kredi riski sadece vadesi gelen tutarın vadesinde ödenmemesi degil
kısmi ya da gecikmeli ödenmesini de içermektedir. Çünkü vadesi geldiginde ödenmeyen
tutar firmanın nakit akısını etkiler ve firmayı belirsizlige sürükleyebilir. Bununla beraber
firmalar kredi tahsis ettikleri kurulusların kredi derecelendirme notlarının belli bir
seviyenin altına düsmesi sonucu riskine de maruz kalabilirler. Riske maruz kalınan tutar,
kredi tutarı olsa da riskin gerçeklesmesi anında kayıp olarak nitelendirilir ve bu
nitelendirilen tutar hesaplanırken tutarın niteligi ve likiditesi göz önüne alınmalıdır.
Kredi riskinde firmaların ve kurulusların dikkat etmesi gereken bir diger hususta takas
riskidir. Bu risk döviz kurlarındaki degis tokusların yapılması sırasında sıkça karsılasılan
bir risk çesididir. Farklı zamanlarda farklı ülkelerden yapılan döviz degis tokusları bu
riski içermektedir. Örnegin; sabah Avrupa’da yapılan kredi teslimatlarının Amerika’da
ögleden sonra yapılıyor olması.
Kredi riskinin üç temel bileseni vardır. Bunlardan ilki, firmalar veya kuruluslardan birinin
basarısızlıga ugraması sonucu ortaya çıkan kayıp miktarıdır. İkincisi ise, taraflardan
birinin borcunu ödeyememesi ya da diger tarafın alacagını temin edememesi durumudur.
Bu durum taraflardan birinin sözlesme yükümlülügünü yerine getirememesi anlamına da
gelmektedir. Sonuncu bilesen ise, taraflardan birinin borcunu ödeyememesi durumunda
kaybedilecek kısmın bir kısmını kurtarma oranıdır. Bunları dikkate alarak finansal
firmalar ya da kredi veren kuruluslar kredi riski yönetimi sürecinde müsterileri hakkında
bilgi toplamalılar, onları bu bilgileri dogrultusunda finansal yeterliliklerine göre
derecelendirmeliler ve kredi portfolyosu degerlerini kapsamlı sekilde degerlendirmelidir.
Sonuç olarak kredi riskiyle karsı karsıya kalmak istemeyen firmalar ya da kuruluslar
yapmıs oldukları sözlesme yükümlülüklerini yerine getirmek ve planlanmıs geri ödeme
çizelgelerine uymak zorundadırlar.
2.2.3.3. Likidite riski
Likidite risk, firmanın su anki ve gelecekteki nakit akıslarının ve firmanın ekonomik
durumunu ya da günlük operasyonlarının etkisi olmadan ortaya çıkan ek ihtiyaçlarını hızlı
ve verimli bir sekilde karsılayamıyor olması riskidir. Bu risk bireysel stoklarda (hisse
senetlerinde) ve piyasa içinde genel olarak degisiklik göstermektedir. Örnegin, piyasa
likiditesinin olmaması ihtimalinin yatırımcı açısından büyük risk kaynagı olusturmasıdır.
likidite riski, firmanın borç yükümlülüklerini yerine getirememesi riskiyle karsı karsıya
kalmasıdır. Borçların temerrüdünün veya alacakların degersiz hale gelebileceginin
önemsenmemesi nakit ihtiyacının önemini arttırır. Bu ihtiyaç duyuldugu zaman firmanın
finansmanındaki varlıklar arasından en uygun olan alternatifi seçme ihtimalide ortadan
kalkmaktadır. Nedeni ise firma alternatif varlık (tahvil, pay senedi vb.) seçmek için belli
bir süreye ihtiyaç duymaktadır. Firmanın varlıklarını istedigi anda nakite çevirememesi
riskine varlık likiditesi, nakit akımından meydana gelen riske de fon likiditesi riski
denmektedir.
Varlık likidite riski, piyasa likiditesi olarak da ifade edilmektedir. Örnegin, güçlü dövizler
olsun hazine bonosu olsun bunlar düsük fiyatla likidite edildigi için derin piyasaya
sahiptirler. Tezgah üstü türev araçları veya hisse senetlerindeki islemler fiyatlar üzerinde
yüksek etki oranına sahiptir. Tabi bu firmanın aldıgı pozisyonun bir parçasıdır. Nakit
akım likidite riski ise, kayıt altındaki kayıpları tahakkuku saglanmıs kayıplara dönüstüren
ödeme yükümlülüklerindeki yetersizligi ifade etmektedir. Bu fonlama riski nakit akım
ihtiyaçlarına uygun belirli programların ve çesitlendirilmelerin yapılması, olusan nakit
akım aralıklarına belirli sınırların konulmasıyla ve nakit akımdaki daralmaların
giderilmesine iliskin uygun yöntemlerin kullanılmasıyla control edilebilmektedir.
Firmanın bilançosu ne kadar büyük olursa ya da karmasık hale gelirse ve sermaye
piyasalarında fon ihtiyacı ne kadar artarsa, firma için likidite riskini yönetmek de o kadar
karmasık ve zor hale gelmektedir. Bu nedenle firma yönetimleri likidite ihtiyaçlarını iyi
belirlemeli ve yüksek maliyetli fon seçiminden ya da paraya çevrilme gücü düsük
varlıklardan onları uzak tutacak gerçekçi bir planlama yapmak zorundadırlar.
2.2.3.4. Sermaye yapısı riski
Firmalar sermaye yapılarını öz sermaye ya da borç kullanarak olustururlar. Bu olusum öz
sermaye ve yabancı kaynakların firma finansmanındaki dagılımını ifade etmektedir.
Firmaların sermaye yapıları seçimleri firmanın büyüklügü, faaliyet gösterdigi pazarın
özellikleri, sahip oldugu varlık yapısı ve makroekonomik kosullar gibi etkenlere göre
degismektedir.
Firma yöneticilerinin, firma varlıklarını yönetmekte izledikleri stratejiler ve aldıkları
kararlar firmanın degerinin artmasında ve finansal yapısında önemli rol oynamaktadır.
Alınacak yanlıs bir karar ya da uygulanacak yanlıs bir strateji firmayı iflas riskiyle
dolayısıyla da sermaye riskiyle karsı karsıya bırakabilir. Firma yöneticileri burada
firmanın degerine deger katacak, kullandıgı kaynakların maliyetini düsük tutacak, istek
ve ihtiyaçlarına en yüksek seviyede cevap verecek ve karsılasacagı riskleri en aza
indirecek bir optimum sermaye yapısı olusturmalıdırlar. Kurumsal finans literatüründe de
ana konu firmaların optimum sermaye yapısı düzeylerinin belirlemeleridir. Optimum
sermaye yapısı, risk ile karlılık arasındaki dengeyi saglamaktadır. Bu sermaye yapısı
firmaların ekonomik güçlerine, büyüklüklerine ve faaliyet gösterdigi alanın yapısına göre
firmadan firmaya degismektedir. Sermaye yapısı ne kadar saglam ve güçlü olursa finansal
açıdan firmalarda o kadar rahat etmekte ve riskten o kadar uzaklasmaktadır. Sermaye
yapısı eger gereginden fazla borçla olusturulmus ise firmanın sermaye yapısı riskini dogal
olarak yükseltmekte ve firma karlılıgını olumsuz etkilemektedir. Eger düsük oranda borç
kullanılmıs ise firmanın karı yükselmekte ve firma yükümlülüklerini tam zamanında
yerine getirmektedir.
Özetle firmanın olusturmus oldugu sermaye yapısı firmanın karsılasacagı Pazar riskini,
kredi riskini, likidite riskini ve firma riskini etkilemektedir ya da bu risklerden
etkilenmektedir. Bu nedenle firmalar sermaye yapılarını olustururken bu etkenleri
degerlendirerek yapacakları yatırımlara ve bu süreçte yatırımlardan bekledikleri getirilere
iliskin uygun kararları almalı ve bu kararları iyi bir sekilde uygulamalıdırlar.
Bu Bölümde Ne Öğrendik Özeti
Sistematik Risk
Piyasa Riski
Politik risk
Faiz oranı riski
Döviz Kuru Riski
Enflasyon riski
Yasal risk
Sistematik olmayan risk
Operasyonel risk
Yönetim riski
Finansal risk
Pazar riski
Kredi riski
Likidite riski
Sermaye yapısı riski
Bölüm Soruları
S.1. Sistematik Risk nedir açıklayınız?
S.2. Piyasa Riski nedir açıklayınız?
S.3. Politik risk nedir açıklayınız?
S.4. Faiz oranı riski nedir açıklayınız?
S.5. Döviz Kuru Riski nedir açıklayınız?
S.6. Enflasyon riski nedir açıklayınız?
S.7. Yasal risk nedir açıklayınız?
S.8. Sistematik olmayan risk nedir açıklayınız?
S.9 Hangisi bir sistematik risk değildir?
a. Piyasa riski
b. Politik risk
c. Yönetim riski
d. Yasal risk
S.9 Hangisi bir sistematik olmayan risktir?
a. Piyasa riski
b. Politik risk
c. Yönetim riski
d. Yasal risk
Cevaplar: 9. c , 10.c
Bu Bölümde Neler Öğreneceğiz?
Risk Yönetimi ve Önemi
Risk Yönetiminin Amacı ve Kapsamı
Risk Yönetimi Süreci
Risk Yönetiminde T Yaklaşımı
Risk Alma Eğilimlerine Göre Risk Yönetim Türleri
Entegre/Bütünelşik Risk Yönetimi
Stratejik Risk Yönetimi ve Planlaması
Bölüm Hakkında İlgi Oluşturan Sorular
S-1. Evinize hırsız girmemesi için hangi tedbirleri alıyorsunuz?
S-2. Bilgisayarlarda antivirüs programlarına neden gerek var?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Risk Yönetimi ve Önemi Risk Yönetimi ve Önemini
açıklar
Risk Yönetimi ve Önemini
analiz ederek
Risk Yönetimi Süreci Risk Yönetimi Sürecini
gerçekleştirir
Risk Yönetimi Sürecini
uygular
Anahtar Kavramlar
Risk Yönetimi ve Önemi
Risk Yönetiminin Amacı ve Kapsamı
Risk Yönetimi Süreci
Risk Yönetiminde T Yaklaşımı
Risk Alma Eğilimlerine Göre Risk Yönetim Türleri
Entegre/Bütünelşik Risk Yönetimi
Stratejik Risk Yönetimi ve Planlaması
3.1.Risk Yönetimi ve Önemi
Risk; kurumların hedeflerine ulaşmasını tehlikeye düşüren, beklenmedik olaylar olarak
tanımlanabilir. Risklerin kaynağı, kurumun faaliyet gösterdiği çevredeki belirsizlikler ve
gelecekteki bilinmeyen olaylardır. Bu olayların kurum için olumlu ya da olumsuz etkileri
olabilmektedir. Bu nedenle her kurum faaliyetlerini sürdürebilmek için bu olayları
öngörmek, olumlu etkisi olan fırsatları kurumun lehine kullanmak, olumsuz etkisi olan
riskleri ise çeşitli yöntemlerle yöneterek kurumu hedefleri doğrultusunda ilerledikleri
yolda tutmak zorundadır. Günümüzde yönetime en fazla güçlük çıkaran sorun, değer
yaratma sürecinde kurumun ne kadar risk üstlenmeye hazır olduğuna karar verebilmektir.
Bu kararı verebilmek için kurumun iyi bir risk yönetim sürecini yerleştirmiş olması
gerekmektedir. Risk sonucun tahmin edilemez olmasıdır ve iyi bir risk yönetimi kuruma
şunları sağlar:
• Kurumun istediği sonucu elde etmesine artan güven
• Tehditleri kabul edilebilir seviyede sınırlamak
• Fırsatlardan yararlanma konusunda elde edilen gerekli bilgiye dayanarak kararlar almak
• Paydaşların kurumun yönetimine ve hüküm verme yeteneklerine olan güvenlerinin
artması
Risk yönetimi, iyi yönetimin ve karar almanın ayrılmaz bir unsurudur. Tüm kurumlar fark
etseler de etmeseler de risk yönetimi yaparlar. Kimi kurumlar risk yönetimini daha
ciddiye alır ve sistematik bir biçimde uygular. Bazıları ise bir sistem olarak
algılamamakla birlikte günlük kararları alırken ve kurumu yönetirken riskleri de
yönetirler.
Risk yönetimi ise kurumun hedeflerine ulaşmasını engelleyecek risklerin belirlenmesi,
azaltılması ve başarıya ulaşılmasını sağlayacak fırsatların ortaya çıkarılarak kullanılması
sürecidir.
Günümüz dünyasının giderek karmaşıklaşan yapısı ve artan değişim, karşılaşılan riskleri
ve bunların etkilerini durmaksızın artırmaktadır. Risk yönetimi, iyi yönetimin ve karar
almanın ayrılmaz bir unsurudur. Tüm kurumlar farketseler de etmeseler de risklerini
yönetirler. Genel bir bakış açısıyla bakılacak olursa risk yönetimi; riskin tanımlanmasına,
analizine, değerlendirilmesine, mücadele edilmesine ve izlenmesine ilişkin yönetim
politikalarının, prosedürlerinin ve uygulamalarının sistematik bütünü olarak
tanımlanabilir. Risk yönetimi ile riskli bir durumun yaratacağı olumsuz etkilerin en aza
indirilmesi ya da pozitif sonuçlarının mümkün olabildiğince fazlalaştırılması sağlanmaya
çalışılır. Gelecekteki olayların kurum için olumlu ya da olumsuz etkileri olabilmektedir.
Bu nedenle her kurum, faaliyetlerini sürdürebilmek için bu olayları öngörmek, olumlu
etkisi olan fırsatları kurumun lehine kullanmak, olumsuz etkisi olan riskleri ise çeşitli
yöntemlerle yöneterek kurumu hedefleri doğrultusunda ilerledikleri yolda tutmak
zorundadır. Bunun için kurumların iyi bir risk yönetim sürecine sahip olmaları
gerekmektedir.
Şekil 3.1. Risk Yönetim Süreci
Şekil 3.1‟e göre risk yönetim süreci aşağıdaki aşamalardan oluşmaktadır :
i. Kurumsal hedefleri anlama.
ii. Risk yönetim misyonunu tanımlama (hedef ve politika belirleme).
iii. Risk ve belirsizliklerin değerlendirilmesi (tanımlama, analiz ve ölçme).
iv. Risk kontrolü (ortadan kaldırma, kaçınma, azaltma, önleme ve yönetme).
v. Risk finansmanı (riskin finansal sonuçlarının ölçümü ve değerlendirmesi).
vi. Program yönetimi (uygulama tedbirleri geliştirme, inceleme ve izleme).
Risk yönetimin ilk defa uygulanacağı kurumlarda kurumsal yapı sistemin uygulanmasına
imkân verecek biçimde şekillendirilmektedir. Bu aşamada sorumlular ve sorumluluklar
belirlenmekte, iletişim yapısı uygun hale getirilmekte ve gerekli fiziki donanım
sağlanmaktadır.Risklerin yönetimi için kurum strateji, süreç, personel, teknoloji ve bilgi
birikiminin birlikte hareket etmesi gerekmektedir.
Risk yönetimin amacı gelecekte kuruma zarar verme olasılığı olan olayları ve olayların
meydana gelmesi durumunda ortaya çıkacak olumsuz sonuçları azaltmak, olası
sonuçlarda meydana gelebilecek sapmaları kontrol etmek, fırsatların önceden farkına
varılmasını sağlayarak kurum için avantaja dönüştürülmesine öncülük etmek, risk
yönetim sonuçlarına yönelik farkındalığı artırmak ve hedeflere ulaşılmasını sağlayıcı
süreçleri koordine etmektir. İyi bir risk yönetim sistemi kurumun; istediği sonuçlara
ulaşma güvenini artırır, tehditleri kabul edilebilir bir seviyede etkili bir şekilde tutmasını
ve fırsatları kullanarak bilinçli karar almasını sağlar.
3.2.Risk Yönetiminin Amacı ve Kapsamı
Risk yönetimi, karar vericilerin riski azaltmak veya ortadan kaldırmak üzere
yararlandıkları bir yoldur. Risk yönetim süreci, herhangi bir durum için en uygun eylem
biçiminin seçimi ve tanımlanmasında yönetici ve personele sistematik bir mekanizma
sağlamaktadır.108 Risk yönetimi, riski iyi tanımak, doğru teşhis etmek, bertaraf etmenin
yollarını aramak ve minimize ederek transfer edebilmek süreçlerinden oluşur.
Belirsizliğin yarattığı bir sis perdesi mevcuttur ve risk yönetim modelleri, risklerin sistem
boyunca iletişiminin sağlanmasını sağlayan bir mekanizma oluşturur. Bir risk yönetimi
sistemi, bir modeldir; risklerin tanımlanması, sınıflandırılması, analiz edilmesi ve
bunların sonucunda riske karşı bir tepki verilmesi için bir araç sunar. Risk yönetimi,
bireyleri ve örgütleri aydınlatmak suretiyle çok çeşitli kaynaklardan gelebilecek risklere
karşı uyarmaya ve bu alanlardaki kontrolü artırmaya yönelik önlemler dizisi olarak
anlaşılabilir.
Risk yönetimi, risk/kazanç dengesinin şirket üst yönetiminin risk alma profiline uygun
olarak oluşturulmasıdır. Şirketler iktisadi olarak “kar” elde etmek amacı ile
kurulmaktadır. Ancak bu karı elde edebilmek için belirli risklerin alınması gerekmektedir.
İşte risk yönetimi, arzu edilen kar miktarına ulaşabilmek için hangi risklerin, ne ölçüde
alınması gerektiğini belirleyen ve bu sürecin planlandığı şekilde gerçekleşmesini güvence
altına almayı hedefleyen bir sistemdir. Risk yönetimi, bir yönetim aracıdır. Kurumun arzu
ettiği risk/kazanç dengesine ulaşması amacında kullanılan bir araçtır. Risk yönetimi
tanım olarak, riskin tümüyle engellenmesi değil, sorunlara sistematik ve dikkatli bir
şekilde yaklaşılması ve almaya karar verilen risklerin dikkatli yönetimi yoluyla gereksiz
kayıpların engellenmesi anlamına gelmektedir. Başarılı bir risk yönetimi için örgütlerin
varlıklarına ve hedeflerine yönelik riskleri belirlemek, analiz etmek, kontrol altında
tutmak ve izlemek gerekmektedir.
Risk yönetim politikası aşağıdaki bölümleri içermelidir:
Risk yönetimi ve iç kontrol hedefleri (yönetişim)
Kurumun riske karşı davranış tarzının beyanı (risk stratejisi)
Risk farkındalığı kültürünün veya denetim ortamının açıklaması
Seviye ve mahiyeti kabul edilebilir risk (risk iştahı)
Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski
mimarisi)
Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme)
Risk analizi ve raporlama için belgeler listesi (riski protokolleri)
Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi)
Risk yönetimi rollerinin ve sorumluluklarının tahsisi
Risk yönetimi eğitim konuları ve öncelikleri
Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama)
Risk yönetimi için uygun kaynakların tahsisi
Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri
3.3.Risk Yönetimi Süreci
Risk yönetim fonksiyonunun rolü: risk yönetim strateji ve politikalarını belirlemek;
stratejik ve operasyonel düzeyde risk yönetimi sağlamak; risk farkındalık kültürü
oluşturmak, buna yönelik eğitimleri koordine etmek; iş birimlerine yönelik risk politika
ve yapıları oluşturmak; risk yönetimi için süreçleri tasarlamak ve yeniden gözden
geçirmek; kurum içinde risk yönetimini geliştirici faaliyetleri koordine etmek; acil durum
ve iş süreklilik programları dâhil olmak üzere risk tutumlarını geliştirmek ve yönetim
kurulu ve paydaşlar için rapor hazırlamaktır.
Risk yönetimi, belirsizlikleri ve belirsizliğin yaratacağı olumsuz etkileri daha kabul
edilebilir bir düzeye indirgemeyi sağlayan bir disiplindir. Problemlerin oluşmadan
önlenmesini sağlayan proaktif bir yaklaşımdır. Kurumların başarıları, problemleri
oluşmadan önleyebilmeleri ile doğrudan ilişkilidir. Öngörülebilen potansiyel problemler
ya da riskler mercek altına alınarak kurumun ya da programın başarısına olumsuz etkileri
en aza indirgenmelidir. Risklerin öngörülmesi ve azaltılması çalışmaları yalnızca
problemlerin oluşmadan önlenmesini sağlamakla kalmayıp önemli fırsatları da yakalama
olanağı sunacaktır. Beklenmedik bir olayla karşılaşma anında baş edilmesi gereken tek
sorun, olayın üstesinden gelmek değildir. Aynı anda, olayın üstesinden gelecek
stratejilerin ve yolların da belirlenmesi gerekir.
Risk yönetimi için kapsamlı, uygun ve iyi planlanmıŞ bir stratejiye ihtiyaç vardır. Risk
yönetimi kurum stratejisi ve stratejinin uygulanması kapsamında iŞleyen ve gelişen
sürekli bir süreç olmalı ve kurum kültürüne etkili plan ve programla üst yönetim
tarafından entegre edilmelidir. Kurumun dünkü, bugünkü ve özellikle gelecekteki
faaliyetleri kapsamında tüm riskler değerlendirilmelidir. Stratejiler uygulama hedeflerine
dönüştürülmeli ve kurum yönetici ve çalışanlarının iş alanlarındaki risk yönetim
sorumlulukları belirlenmelidir.Sorumluların hesap verme sorumluluğu ve performans
ölçümü, kurumun her seviyesinde etkinliği artırmak amacıyla, risk yönetim sistemince
desteklenmektedir. Riske yönelik bireysel ya da grup yaklaşımının biçimlenmesinde son
edinilen deneyimler ve kurumun ödül veya ceza sistemi etkili olmaktadır.
Şekil 3.2. Risk Yönetim Sürecinin Sürekliliği
Şekil 3.3. ISO 31000’e göre Risk Yönetim süreci
Tablo 3.1. Risk Analizi ve Yönetim Modeli
Şekil 3.4. 3*3 Risk Matrisi
Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle
dikkate alınır. Her kurum risk iştahına dayalı olarak riskleri azaltmak ya da kabul edilebilir
seviyeye getirmek için çeşitli yöntemler kullanır . Her kurum farklı bir yöntem kullanabilir;
ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3
(yüksek-orta-düşük) matrisini kullanmaktadır.
Bazıları da 5*5 (önem derecesi çok düşük, önemsiz, makul, önemli, feci (yıkıcı)) matrisinin
daha iyi sonuç verdiğini düşünerek bunu tercih etmektedir
Şekil 3.5. 5*5 Risk Matrisi
Risk analiz süreci tamamlandıktan sonra kurumun risk kriterleri ile risk tahminlerinin
karşılaştırılması gerekir. Risk kriterleri ilgili maliyet ve faydaları, yasal gereklilikleri,
sosyoekonomik ve çevresel faktörleri, paydaşların kaygılarını vb. unsurları içerir
Kurumsal risk yönetim sürecinde birçok kurum risk etki ve olasılık haritası oluşturmaktadır.
Haritalarda risklerin aynı zamanda aynı alana koyulduğunda nasıl göründüğü de analiz edilir.
Bu basit bir uygulama gibi görünse de sonuçları etkileyici olabilir. Risk haritalama aynı
zamanda kurumun risk tutumu belirlemesine yardımcı olmaktadır.
Haritalamanın önemi, tarafların risklere yönelik ortak aklını yansıtmasıdır. Risk haritaları
aynı zamanda risklerle ilgili önemli bilgileri içermektedir. Olasılık değerlendirmesi
yapılırken kurumsal risk yönetim personeli çeşitli ölçekler kullanabilir. Örneğin: düşük, orta,
yüksek; olanaksız, olası, büyük olasılık; kesin ve önemsiz, muhtemel, kuvvetle muhtemel vb.
şeklinde. Aynı şeyler risk etki değerlendirmesi için de geçerlidir: düşük, orta ya da yüksek
etki; az, orta, kritik ya da hayatta kalma
Sınıflandırma sonuçları tablolaştırılarak etki ve olasılık düzeyi yüksek olanlar öncelikle
dikkate alınır. Her kurum risk iştahına dayalı olarak riskleri azaltmak ya da kabul edilebilir
seviyeye getirmek için çeşitli yöntemler kullanır.Her kurum farklı bir yöntem kullanabilir;
ancak çoğu organizasyon fırsat ve riskleri yüksek, orta ve düşük şeklinde niteleyen 3*3
(yüksek-orta-düşük) matrisini kullanmaktadır
Risk yönetimi, kurum hedeflerini destekleyerek kurumu ve paydaşlarını korumakta ve
onlara değer katmaktadır. Sistem kurum hedeflerini desteklerken, kurumun gelecekteki
faaliyetlerinin tutarlı ve kontrollü bir şekilde oluşumu için bir çerçeve sunar; karar alım
süreçlerinin iyileştirilmesine, kapsamlı ve yapısal iş alanlarının planlanması ve
önceliklendirilmesine yardımcı olur; sermaye ve kaynakların daha verimli kullanımına,
kurum imaj ve varlıklarının korunması ve geliştirilmesine katkı sağlar; personel ve kurum
bilgi tabanını geliştirir ve destekler; kurumun çalışma alanındaki sert kayıp ya da
dalgalanmaları azaltır ve kurumsal etkinliği ve verimliliği artırır.
Kötü olan risk değil, riskin anlaşılmaması, yanlış değerlendirilmesi, yönetilememesi ve
göz ardı edilmesidir. İyi bir risk yönetim sistemi ileriye yönelik karar alımında ve
yönetiminde kurum yöneticilerine yardımcı olmakta ve sadece kayıpların önlenmesi ya
da azaltılması değil, aynı zamanda değer katıcı fırsatların fark edilmesini sağlamaktadır.
Bu ifadelendirmelere ilişkin değerlendirmelere Tablo 3‟de yer verilmektedir.
3.4.Risk Yönetiminde 4T Yaklaşımı
4T Yaklaşımı, risk yönetimini “Tespit, tahlil, tedbir ve takip” olarak dört aşamada
anlatmaktadır.
3.4.1.Tespit / Belirleme
Risklerin belirlenebilmesine işletmenin çevresini iyi tanımakla başlanmaktadır.
İşletmenin faaliyetini sürdürdüğü yasal, ekonomik, kültürel ortam ve içinde bulunduğu
pazar analiz edildikten sonra işletmenin stratejik ve operasyonel hedefleri doğrultusunda
temel riskler ortaya konulmaktadır. Deneyimler ve çevreden elde edilen bilgi
çerçevesinde sistematik ve sistematik olmayan riskler genel olarak belirlenmeye çalışılır.
Riskler tespit edilirken tehlikelerin yanında fırsatlar da belirlenmektedir.
Şeki 3.6. Risk ve Fırsatların Amaçlar Üzerindeki Etkisi
3.4.2.Tahlil / Analiz
İşletme içerisindeki alt birimler ve farklı birimlerden oluşmuş gruplar belirlenen risklerin
olası etkilerini inceler. Tahlil aşamasında tüm iştirakler, orta ve üst kademe yönetiminin
katılımı ile workshoplar, olasılık-etki analizleri ve anketler uygulayarak riskleri tahlil
eder ve önceliklerini belirler. Riskleri belirlemek için kullandığımız başlıca araçlar; risk
haritaları, risk göstergeleri, iç değerlendirme, geçmiş kayıp verileri, workshoplar, dış
denetim ve mevzuat gereklilikleri, en iyi uygulamalar ve yasal yükümlülükler olarak
sayılabilmektedir.
Bu aşama, riskin yerine geçebilen çeşitli araçları analiz etmeyi de içermektedir. Tahlil
aşamasının önemli özelliği, risk yönetimi aracının fayda-maliyet analizinin doğru
yapılmasıdır. Örneğin, işletmenin döviz kuru riskine karşı türev araçlardan faydalanarak
güvenlik önlemleri alacağını farz edelim. İlgili türev aracın fiyatı ile riski azaltma
yönündeki faydaları analiz edilebilmelidir.
3.4.3.Tedbir / Uygulama
Tedbir aşaması, mevcut risk yönetimi seviyesinin belirlenmesi ve gerekirse yeni risk
karşılama stratejilerinin oluşturulmasıdır.43 En uygun çözümün seçilip uygulanması bu
aşamadadır. Risk yönetiminde en çok istenen, sorunları gerçekleşmeden önce belirleyip
ortadan kaldırmaktır. Fakat bu her zaman mümkün değildir. Belirlenen risklerin meydana
gelme olasılığı ve etkisinin en aza indirgemesini sağlayan faaliyetler planlanıp
uygulanmaktadır.
3.4.4.Takip / Performans Ölçümü
Riski ölçmek, riski yönetmenin esaslı bir parçasıdır. Şeffaf ve güvenilir risk yönetim
yapısının oluşturulmasının ardından, risk politikaları ve prensipleri dahilinde, risk
karşılama etkinliğinin periyodik ve sistematik takibi yapılmaktadır. İşletmelerin kurmuş
oldukları risk yönetimi yapılarında riskleri tamamen ortadan kaldırmaları mümkün
olmamaktadır. Bu nedenle kabul edilebilir seviyedeki risk izlenmektedir. Takip
aşamasında ölçümlenen risk, ‘sayılabilen risk’ olarak adlandırılmaktadır.
Takip aşamasında cevaplarını aradığımız sorular aşağıdaki gibidir:
Teşhis edilip ortaya çıkarılan ölçümler doğru mu?
Risk yönetimi araçları kullanışlı mı?
Fayda-maliyet analizleri uygun şekilde değerlendirilmiş mi?
Beklenmedik sonuçlarla karşılaşıldı mı?
İlgili deneyimlerden neler öğrenilebilir?
Risk yönetimi kalitesi nasıl geliştirilebilir?
S.1.
3.5.Risk Alma Eğilimlerine Göre Risk Yönetim Türleri
Riske karşılık vermenin amacı tehditleri sınırlayarak ve fırsatlardan fayda sağlayarak
belirsizliği kurumun menfaatine çevirmektir. Kurum tarafından, riski yönlendirmek için
yapılan her faaliyet, “iç kontrol” olarak bilinen kavramın bir parçasını oluşturur. Riske
karşılık vermenin beş temel yolu vardır: riski kabul etmek, riski azaltmak, riski transfer
etmek, riskten kaçınmak ve diğerlerinin bir alternatifi olmayıp tüm risklerde
değerlendirilmesi gereken fırsatların gözetilmesidir.
Şekil 3.7. Riske Karşılık Verme Seçenekleri
3.5.1. Riski Kabullenme / Göze Alma
Maruz kalınan risk herhangi bir karşılık vermeye gerek olmaksızın katlanılabilir olabilir.
Katlanılabilir olmasa bile bazı risklerle ilgili önlem alma kabiliyeti sınırlı olabilir veya
herhangi bir faaliyette bulunmanın maliyeti kazanılacak potansiyel yarara göre orantısız
olabilir. Böyle durumlarda riske verilecek karşılık, riskin var olan düzeyine katlanmaktır.
Tabi ki bu seçenek risk gerçekleşirse etkisiyle başa çıkabilmek için acil durum planlarıyla
tamamlanmalıdır. Bunun dışında içinde doğası gereği belirli bir oranda tehdit bulunduran
risklere diğer riske karşılık verme seçeneklerinden biri veya birkaçı uygulandıktan sonra
geriye bir miktar risk kalacaktır. Artık riskler; yapısal risklere karşılık verildikten sonra
kalan risk miktarıdır ve kurum her halükarda bu riskleri kabul etmek durumundadır.
3.5.2.Riskten Kaçınma / Faaliyetten Vazgeçme
Bazı riskler sadece faaliyete son verilerek kabul edilebilir seviyede sınırlandırılabilir.
Şuna dikkat edilmelidir ki faaliyete son verme seçeneği özel sektörle karşılaştırıldığında
kamu sektöründe ciddi biçimde sınırlı olabilir; birkaç faaliyet kamu sektörü tarafından
yürütülür çünkü bağlı riskler o kadar yüksektir ki toplum yararı için istenen çıktının veya
gelirin elde edilmesinin başka yol yoktur. Bu seçenek özellikle tahmini fayda – maliyet
ilişkisinin tehlikeye düşeceği açık hale gelirse proje yönetimi için önemli olabilir.
3.5.3.Riski Azaltma / Riskle Mücadele Etme
Şimdiye kadar risklerin büyük çoğunluğu bu yolla yönlendirilmiştir. Azaltmanın amacı
kurumda riskin doğumuna neden olan faaliyet devam ederken riski kabul edilebilir bir
seviyede sınırlamak için harekete geçmektir. Riskleri azaltmanın iki yöntemi vardır.
Risklerin olasılığının azaltılması ve/veya etkilerinin azaltılması şeklinde özetlenebilecek
olan bu yöntemlerin ilkinde uygun kontroller yardımı ile olayların olumsuz etkilerinin
ortaya çıkma ihtimalinin azaltılması söz konusuyken ikincisinde amaç olayların olumsuz
etkilerinin büyüklüğünün azaltılmasıdır. Olumsuz etkilerin azaltılmasına yönelik
kontroller olay öncesinde önlem alma veya olay olduktan sonra zararın azaltılması için
plan yapılması şeklinde olabilir.
3.5.4. Riskin Transferi / Paylaşma
Bazı riskler için en iyi karşılık onları transfer etmek veya riski yaymak olabilir. Bu
geleneksel sigorta yöntemiyle yapılabilir veya üçüncü bir şahsa başka bir şekilde riski
üstlenmesi için ödeme yapmak yöntemiyle yapılabilir. Bu seçenek özellikle finansal
risklerin veya varlıkların riskinin azaltılması için uygundur. Ya maruz kalınacak risk
oranını azaltmak için ya da başka bir organizasyon (belki de başka bir devlet kuruluşu)
riski etkili yönetmeye daha muktedir olduğundan, riskin transfer edilmesine karar
verilebilir. Bazı risklerin tamamen transfer edilemeyeceğine dikkat etmek önemlidir,
özellikle hizmetin yerine getirilmesi anlaşma ile başka şirkete bırakılmış olsa bile genelde
itibari riskleri transfer etmek mümkün değildir. Riskin başarıyla transfer edilmesini
garantilemek için riskin transfer edildiği üçüncü şahısla olan ilişkiler dikkatle
yönetilmelidir.
3.6. Entegre/Bütünelşik Risk Yönetimi
Bu çerçeve kanada hükümetinin kamu sektöründe risk yönetimi uygulamalarını
güçlendirmek için geliştirilmiştir. Bunu yaparak bütünleşmiş risk yönetimi çerçevesi
Kanada halkı için şu sonuçların elde edildiğinin altını çizmektedir: vatandaş odağı,
değerler, sonuçlar ve harcama sorumluluğu. Bu çerçevenin tasarlanma amacı modern
yönetim uygulamalarının yerleştirilmesi ve federal kamu hizmetlerinde yeniliklerin
desteklenmesidir. Bu çerçeve bir kuruma farklı riskleri aynı seviyeye indirerek
sürdürülebilirliği sağlamak, karşılaştırma yapmak ve tartışmak tabanında stratejik
risklerin yönetilmesi için genel bir yaklaşım geliştirir.
Bütünleşmiş risk yönetimi risk yönetimine kıyasla, daha çok kurumun tümünü kapsayan
bir yaklaşımdır. Bu yaklaşımla kurumların ve çalışanlarının doğasını daha iyi anlamaları
ve riskleri daha sistematik yönetmeleri sağlanır. Bu dört aşamada gerçekleşir: kurum risk
profilini oluşturmak, bütünleşmiş risk yönetimi fonksiyonu oluşturmak, bütünleşmiş risk
yönetimi uygulamak ve risk yönetiminin sürekli öğrenildiğini garantilemek. Bütünleşmiş
risk yönetimi fonksiyonunun yerleştirilmesi: Bütünleşmiş risk yönetimi fonksiyonunun
yerleştirilmesi için risk konularının içsel olarak anlaşılması ve iletişimin güçlendirilmesi
için tasarlanan ve üst yönetime bir yön çizmek konusunda destek olan risk yönetimi
altyapısı oluşturulmalıdır. Kurum risk profili kurum risk yönetiminin hedef ve strateji
kurması için gerekli verileri sağlar. Etkili olmak için risk yönetimi kurumun genel
hedefleri, kurumun ilgi odağı, stratejik yönü, faaliyet uygulamaları ve iç kültürü ile
uyumlu olmalıdır. Risk yönetiminin etkili olabilmesi için var olan yönetim ve karar verme
yapısına ve faaliyet ve strateji seviyelerine yerleştirilmesi gereklidir. Risk yönetiminin
rasyonel, sistematik ve aktif bir biçimde yerleştirilmesini garantilemek için bir kurum
birbiriyle ilintili üç sonuç aramalıdır:
• Risk yönetimi ile ilgili yönetimin yönü (vizyonu, politikaları, faaliyet prensipleri)
ilerletilmeli, anlaşılmalı ve uygulanmalıdır.
• Bütünleşmiş risk yönetimini yaklaşımının var olan karar verme yapısına yerleştirilmesi
gerekir
• Kapasite inşa etmek: kurumda kullanılmak üzere geliştirilen planlar ve araçlar
öğrenilmelidir.
Risk yönetiminin uygulanabilmesi için öncelikle kurumun risk yönetimi vizyonunun,
hedeflerinin ve faaliyet kriterlerinin oluşturulması ve iletilmesi gerekir. Bu araçlar
kullanılarak risk yönetiminin herkesin görevi olduğu anlayışı güçlendirilmelidir. Süreç
yerleştirilirken stratejik risk yönetiminin yönü belirlenmeli, iç ve dış meseleler, bakış
açıları ve risk toleransı göz önünde bulundurulmalıdır.
Risk yönetiminin etkili biçimde uygulanması, var olan karar verme sürecine dahil
edilmesine bağlıdır. İyi yönetimin vazgeçilmez bir unsuru risk yönetimidir. Uygulamanın
başarıyla yerleştirilmesi için yönetim genelinde ve ilgili daireler bazında yönetimin geri
beslemesi için risk yönetimi faaliyetlerinin değerleme ve raporlama mekanizmaları
oluşturulmalıdır.
Sonuçlar sürekli olarak izlenmelidir. Kurumsal kapasite yaratmak bir başka önemli
unsurdur. Bu, kurum risk yönetimini yerleştirdikten sonra bile yönetimi zorlayan bir
görevdir. Çevre taraması ve dikkate değer yeni alanların ve faaliyetlerin dikkate alınması
devam etmelidir. Bu risk yönetimi yeteneğini geliştirir ve uygulamanın başarı şansını
arttırır. Her kurum karşı karşıya olduğu risklere karşı kendi kapasite stratejilerini
belirlemelidir. Risk kapasitesinin belirlenmesi risk profilinin çıkarılması ile daha
kolaylaşacaktır. Risk profili kurumun var olan güçlü ve zayıf yanlarını tanımlar.
Bütünleşmiş risk yönetimi yaklaşımını kuruma yerleştirmek yönetimin karar vermesi ve
güçlü bir bağlılıkla bunu uygulamasına ve kurumsal hedeflerin gerçekleştirilmesine
bağlıdır. İyi bir risk yönetimi uygulamasından şu sonuçlar beklenir: risk yönetimi
sürecinin kurumun her seviyesine yerleştirilmesi, karar verme, karar vermeye yardımcı
olacak araç ve metotların yerleştirilmesi, sürekli iletişimin sağlanması. Devamlı bir risk
yönetimi süreci kuruma riskleri anlamak, yönetmek ve iletişimde yardımcı olur. Devamlı
risk yönetiminin aşamaları şöyle bir diyagramla gösterilebilir:
Tablo 3.1. Bütünleşmiş Risk Yönetim Uygulaması
Sonuç olarak bütünleşmiş risk yönetimi risk yönetimine daha sistematik ve bütünü
kapsayan bir yaklaşımdır. Kurumdaki kişilerin ve yönetimin önemini vurgulayarak
dairelerin ihtiyaçlarının ve kişilerin rollerinin daha açık bir biçimde tanımlanmasını
sağlar. Kurumun değerleri, öncelikleri, alınan dersleri, en iyi uygulamaları temel alan
riske yönetimi vizyonunu ve hedeflerini açıklar.
3.7.Stratejik Risk Yönetimi ve Planlaması
Stratejik plan çalışmalarıyla eşanlı başlayan kurumsal risk yönetiminin oluşturulması
süreci kurumun misyon ve vizyonunun belirlenmesi ile şekillenir. Misyon ve vizyonun
ardından yapılan durum analizi kurumun hangi konumda bulunduğunu belirler. Buradan
hareketle stratejik plan kurumun ulaşmayı hedeflediği noktaya gidişiyle ilgili stratejileri
belirlerken risk yönetimi çalışmaları ile de o noktaya varılmasının garantilenmesi
sağlanmalıdır. Durum analizinin ardından hedefler konur. Her hedefin kendine ait riskleri
vardır. Durum analizinden elde edilen sonuçlar da dikkate alınarak ve anket, beyin
fırtınası gibi yöntemlerle her hedefe karşılık gelecek bu riskler tespit edilmelidir. Bu
tespitler sonucu risk matrisleri oluşturulur. Böylece her hedefin risk(ler)inin belirlenmesi
garantilenmiş olur:
Şekil 3.9. Strateji, Hedef, Risk İştahı ve Risk Tolerans ilişkisi
Tespit edilen bu riskler değerlendirilir. Bunarın gerçekleşme olasılıkları ve gerçekleşirse
kurumu ne kadar etkileyecekleri saptanır. Bu değerlendirme sonucu her risk puanlanır ve
önceliklendirilir. Bu önceliklendirmede risk haritaları kullanılabilir.
Bu Bölümde Ne Öğrendik Özeti
Risk Yönetimi ve Önemi
Risk Yönetiminin Amacı ve Kapsamı
Risk Yönetimi Süreci
Risk Yönetiminde T Yaklaşımı
Risk Alma Eğilimlerine Göre Risk Yönetim Türleri
Entegre/Bütünelşik Risk Yönetimi
Stratejik Risk Yönetimi ve Planlaması
Bölüm Soruları
S.1. Risk Yönetimi ve Önemi nedir açıklayınız ?
S.2. Risk Yönetiminin Amacı ve Kapsamı nedir açıklayınız ?
S.3. Risk Yönetimi Süreci nedir açıklayınız ?
S.4. Risk Yönetiminde T Yaklaşımı nedir açıklayınız ?
S.5. Risk Alma Eğilimlerine Göre Risk Yönetim Türleri nelerdir açıklayınız?
S.6. Entegre/Bütünelşik Risk Yönetimi nedir açıklayınız ?
S.7. Stratejik Risk Yönetimi ve Planlaması nedir açıklayınız ?
S.9 Hangisi bir risk yaklaşımında 4T’nin bir aşamasıdır?
a. Piyasaya sunma
b. Politika yapma
c. Yönetime katılma
d. İzleme
S.9 Hangisi bir bir risk yönetim türüdür?
a. Piyasadan çıkma
b. Politika geliştirme
c. Kabullenme
d. Toplam kalite
Cevaplar: 9. d , 10.c
Bu Bölümde Neler Öğreneceğiz?
Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş
Kurumsal Risk Yönetiminin Tanımı ve Önemi
Kurumsal Risk Yönetiminde Genel Yapısı
Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı
Kurumsal Risk Yönetiminin Amaçları
Kurumsal Risk Yönetiminin Faydaları
Kurumsal Risk Yönetimi Olgunluk Seviyeleri
Kurumsal Risk Yönetiminin Etkinliği
Kurumsal Risk Yönetiminin Sınırlılıkları
Bölüm Hakkında İlgi Oluşturan Sorular
S-1. Hırsızlık için alınabilecek kaç türlü tedbir sayabilirsiniz?
S-2. Trafik kazalarını önlemek için hangi tedbirleri alınabilir.
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Kurumsal Risk
Yönetiminde Genel Yapısı
Kurumsal Risk
Yönetiminde Genel
Yapısını açıklar
Kurumsal Risk
Yönetiminde Genel
Yapısını analiz edere
Kurumsal Risk
Yönetiminin Özellikleri
Ve Kapsamı
Kurumsal Risk
Yönetiminin Özellikleri
Ve Kapsamını açıklar.
Kurumsal Risk
Yönetiminin Özellikleri
Ve Kapsamını analiz
ederek
Anahtar Kavramlar
Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş
Kurumsal Risk Yönetiminin Tanımı ve Önemi
Kurumsal Risk Yönetiminde Genel Yapısı
Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı
Kurumsal Risk Yönetiminin Amaçları
Kurumsal Risk Yönetiminin Faydaları
Kurumsal Risk Yönetimi Olgunluk Seviyeleri
Kurumsal Risk Yönetiminin Etkinliği
Kurumsal Risk Yönetiminin Sınırlılıkları
4.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş
Risk yönetimi uygulamaları, 1990’lı yıllarda şirketleri etkileyen tüm risklerin
kapsama alındığı daha geniş ve entegre bir yaklaşıma bırakmıştır. Bu dönüşümde en
önemli belirleyici, toplumların büyük çok uluslu şirketlerin yarattıkları hasarların nasıl
kontrol edilebileceğini sorgulamaya başlamaları ve bunun sonucunda da “kurumsal
yönetim” anlayışının gelişmesi olmuştur. Kurumsal yönetim kısaca kurumların daha
şeffaf ve adil bir şekilde yönetilmeleri olgusunu savunurken, risk yönetimi bu amaca
ulaşmada en önemli araçlardan biri olarak görülmeye başlanmıştır. Günümüzde gelinen
aşamada kurumun karşı karşıya olduğu tüm riskler stratejik, operasyonel, finansal ve
tehlike (harici/sigortalanabilir) risk yönetimi kapsamına alınmıştır. Aşağıda Şekil 3’te
risk yönetiminin kapsamına dair tarihi gelişim gösterilmektedir
Şekil 4.1. Risk Yönetiminin Tarihsel Gelişimi
Risk yönetimi paradigması birçok işletmede kademeli olarak değişmektedir.
Bazıları paradigma değişimini ve risk yönetimi üzerine yeni perspektifin avantajlarını
fark etmemiş olabilirler. Geleneksel olarak işletmelerin çoğu risk yönetimini
özelleştirilmiş ve izole edilmiş bir faaliyet olarak (silo mantalitesi) görmektedir: Sigorta
veya döviz kuru riski yönetimi örneklerinde olduğu gibi. Yeni yaklaşım tüm seviyelerde
çalışanları ve yöneticileri duyarlılık temelinde ve riskle ilgili kılmaktadır. Tablo 1 risk
yönetimindeki paradigma değişimini 3 temel açıdan göstermektedir. Tabloda gösterildiği
üzere bazı işletmelerde risk yönetimi paradigması parçalara ayrılmış, planlanmamış ve
belirli bir amaç için kullanılan dar kapsamlı yaklaşımdan bütünsel, sürekli ve geniş
kapsamlı yaklaşıma dönüşmektedir. Burada sorun üst yönetimin bu dönüşümü ve
değişimi sürekli tarzda ele alabilmesindedir.
Tablo 4.1. Geleneksel ve Yeni Risk Yönetimi Paradigmasının Temel Nitelikleri
Tablo 4.2. Geleneksel ve Kurumsal Risk Yönetim Sistemleri Arasındaki Temel
Farklılıklar
Risk yönetiminde sistematik ve bütünsel bir yaklaşım sunan kurumsal risk yönetim
sistemi, kurumsal yönetişim ve hesap verme sorumluluğunun en temel unsurudur. Sistem
kurumun durumsal farkındalığını artırarak risk tutumlarının daha aktif yönetimini
sağlamaktadır. Kurumsal yönetişim ve risk yönetimin birleştirilmesi kurumun; rekabet
avantajı kazanmasını ve paydaşlara değer katmasını, bu değeri korumasını ve
geliştirmesini sağlamaktadır.
Şekil 4.2. Risk Yönetiminin Değeri
Tablo 4.3. Risk Yönetimi’nden Kurumsal Risk Yönetimi’ne Geçiş
Geleneksel risk yönetim sistemi genel olarak riskin mali yapı üzerindeki olumsuz
etkilerinden kurumu korumaya odaklanmakta iken kurumsal risk yönetim sistemi, risk
yönetimini kurum stratejisinin bir parçası haline getirmekte ve kuruma değer katmak
amacıyla risklere ilişkin en iyi tutumların belirlenmesini ve risklerin etkili yönetilmesini
sağlamaktadır. Geleneksel risk yönetim ile kurumsal risk yönetim sistemi arasındaki
temel farklılıklar Tablo 2‟de ele alınmaktadır.
Şekil 4.3. Risk Yönetimin Gelişim Süreci
Risk yönetimindeki bu yeni paradigma farklı isimlerle anılmaktadır: Entegre Risk
Yönetimi, Stratejik Risk Yönetimi, İş Riski Yönetimi veya Kurum Çapında Risk
Yönetimi. Bu çalışmada konu Kurumsal Risk Yönetimi olarak belirlenmiştir. KRY
yapılandırılmış ve disipline edilmiş bir yaklaşımdır. KRY, kurumun karşı karşıya kaldığı
değer yaratacak ya da azaltacak belirsizliklerin değerlendirilmesi ve yönetilmesi amacıyla
strateji, süreçler, insan, teknoloji ve bilgi belirlemeleridir. Bu nedenle KRY girişiminin
amacı işletmenin/kurumun amaçlarına ulaşmasını hem olumlu hem de olumsuz
etkileyebilecek belirsizliklerin yönetilmesi yoluyla ortak değerini yaratmak, korumak ve
artırmaktır.
Geleneksel risk yönetimi paradigması, silo mantalitesi olarak da adlandırılmaktadır. Silo
mantalitesine dayanan yaklaşım, tek bir iş birimi veya tek bir seviye hedefi ile ilgili
risklerin verilerinin toplanıp analiz edilmesidir. Ancak KRY “portföy” tabanlı ve bütünsel
risk bakış açısı üzerinde durmaktadır. Çünkü tek bir risk bütün hedefleri etkileyebilmekte
ve aynı şekilde birçok risk tek bir hedeften etkilenebilmektedir. Ayrıca riskler birbirlerini
de etkilemektedirler. Riskler arasında çift yönlü bir etkileşim bulunmaktadır. KRY
kapsamında yer alan risk belirleme ve değerlendirme teknikleri, yönetime, “portföy”
tabanlı risk anlayışı yaratmak, bütünsel bir yaklaşım sağlamak ve riske karşı verilen
tepkilerin daha etkili bütünleştirilmesi için yardımcı olabilmektedir. Geleneksel silo
mantalitesi yaklaşımında riskler yönetilmeye çalışıldığında işletme yönetiminin elinde
birleştirmesi gerekli parçalar olacaktır. Bu parçalar farklı ölçümler, yaklaşımlar sonucu
oluşturularak farklı formatta hazırlanacağı için birleştirilmesinde zorluklar ortaya
çıkacaktır. KRY’nin amacı bütünsel resmi oluşturmaktır. Bu noktalardan hareketle
geleneksel risk yönetimi (GRY) ile KRY arasındaki temel farklar aşağıda özet olarak
açıklanmıştır:
GRY’de amaç kurum değerini korumak iken; KRY’de amaç kurum değerini korumak ve
artırmak olarak belirlenmiştir
- GRY’de uygulamalar seçilmiş risk alanları, üniteler (birimler) ve süreçler üzerineyken,
KRY bütün değer kaynakları için kurum çapında strateji geliştirilerek her seviye ve birim
için kurum çapında uygulanmaktadır.
- GRY finansal ve operasyonel yönetim vurgusuna sahip iken, KRY strateji geliştirme
vurgusuna sahiptir
- KRY, GRY’yi proaktif, sürekli, değer-temelli, geniş odaklı ve süreç belirli aktivitelere
dönüştürmüştür
- KRY, GRY’den odak, amaç, kapsam, önem vurguları ve uygulama konularında
farklılıklar göstermektedir
- KRY strateji, insan, süreç, teknoloji ve bilgi sıralı olup, KRY’de strateji üzerinde vurgu
vardır ve uygulama kurum çapında gerçekleşmektedir
- KRY fırsatları artırmaya ve riskleri en aza indirmeye çalışırken; stratejik amaçlarla
ilişkili tüm riskleri dikkate alma yollarını araştıran bir yaklaşımdır.
Risk yönetiminin yükselen profili ve evrimi incelendiğinde, üç aşamanın önemli olduğu
görülmektedir. Bunlardan ilki, risk yönetiminin işletmeler veya kurumlar için önemli bir
yönetim konusu olduğunun farkına varılmıştır.
İkincisi, işletmenin stratejik amaçları üzerine odaklanılmasıyla risklerin en aza
indirilmesi yaklaşımı risk optimizasyonuna (en iyilemeye) taşınmıştır. Üçüncüsü, fark
edilmiştir ki riskler silo mantalitesi ile etkin şekilde yönetilememektedir.
Tablo 4.4. Risk yönetiminden kurumsal risk yönetimine9
4.2. Kurumsal Risk Yönetiminin Tanımı ve Önemi
Kurumsal risk yönetiminin birçok tanımı bulunmaktadır.
Kurumsal risk yönetiminin en kapsamlı tanımı COSO (Committee of Sponsoring
Organizations) tarafından yapılmıştır. COSO’nun “Kurumsal Risk Yönetimi: Bütünleşik
Çerçeve” modeline göre kurumsal risk yönetimi, değer yaratmayı ve değer korumayı
etkileyen riskleri ve fırsatları ele alıp işlemekte ve şu şekilde tanımlanmaktadır: Kurumsal
risk yönetimi, bir kurumun hedeflerine ulaşmasını etkileyebilecek potansiyel olayları
tanımlayan, risk alma istekliliği (risk iştahı) sınırları içinde yöneten ve kurum hedeflerinin
başarılması konusunda makul derecede güvence sağlayan, kurum genelinde
yapılandırılmış ve kurum yönetim kurulundan, yönetimden ve diğer personelden
etkilenen bir süreçtir.
Kurumsal risk yönetim sistemi risklerin entegre edilmesinden daha fazlasını ifade etmektedir.
Sistem riski “kurumun hedeflerine ulaşmasını ya da stratejilerini başarıyla uygulamasını
olumsuz etkileyen herhangi bir eylem ya da faaliyet olarak” tanımlamaktadır
Kurumsal risk yönetim sistemi, stratejilerin oluşturulması ve kurum çapında uygulanması,
kurumu etkileme olasılığı olan olayların belirlenmesi, risklerin risk iştahı kapsamında
yönetilmesi ve kurum hedeflerine ulaşılmasına yönelik makul güvence sağlayan kurum
yönetim kurulu, yönetimi ve diğer personeli tarafından etki edilen bir süreçtir.
COSO’nun tanımında yer verilen “değer yaratma” ve “değer koruma” terimleri kamu
sektöründe özel sektördeki gibi doğrudan doğruya ilgili olma özelliğine sahip değildir.
Ancak bu tanım, olabildiği kadar çok sektörü ve organizasyon türünü kapsamak amacıyla
bilerek geniş tutulmuştur. Aslında tanımın kamu sektörü kurumlarına bütünüyle
uygulanabilmesi için, “değer yaratma” ve “değer koruma” terimlerini “hizmet yaratma”
“hizmet sürdürme” terimleri ile değiştirmek mümkündür.144 COSO’nun kurumsal risk
yönetimi tanımından da anlaşılacağı üzere kurumsal risk yönetimi kurumsal hedefler
odaklıdır ve riskleri sadece kurumun başarısına zıt şeyler olarak görmeyip, gerekli
zamanlarda ve durumlarda doğru riskleri alarak kurumu hedeflerine ulaştırmayı
amaçlamıştır.
COSO’nun KRY tanımı, kurumlarda/işletmelerde risk yönetiminin etkili bir şekilde
uygulanabilmesi için bir temel oluşturmaktadır.
CAS (Causalty Actuarial Society) tarafından KRY şu şekilde tanımlanmıştır: “Bütün
endüstrilerdeki işletmelerde, işletmenin ve ortakların uzun ve kısa dönem değerini
artırmak amacıyla, tüm kaynakların risklerini değerlendirmek, kontrol etmek, finanse
etmek ve izlemek aşamalarından oluşan süreçtir.” CAS tanımı işletme ve finansal riskin
yarattığı hem tehditlere hem de fırsatlara bilimsel önem verme girişimini temsil eder.
“İşletmenin stratejik amaçlarını başarmasını tehdit eden tüm kaynaklardaki risklerin
belirlenmesi, değerlendirilmesi ve analizi için özenli bir yaklaşımdır. Ek olarak, KRY,
rekabetçi avantaj yaratan fırsatları temsil eden riskleri belirler” şeklinde yapılmıştır. Bir
diğer tanımla KRY; amacı işletmenin amaçlarına ulaşmasını etkileyebilecek
belirsizliklerin yönetilmesi yoluyla ortak değeri yaratmak, korumak ve artırmak olan bir
girişimdir
4.3. Kurumsal Risk Yönetiminde Genel Yapısı
COSO‟nun tanımı kurumsal risk yönetim sistemi ile ilgili aşağıdaki temel noktaları ortaya
koymaktadır:
i. Kurum çapında sürmekte olan ve her kademedeki çalışanın katkıda bulunduğu akıcı bir
süreçtir.
ii. Kurum stratejisi oluşturulurken uygulanmaktadır.
iii. Kurumun risk portföy varlık seviyesini oluşturmaya odaklanılmaktadır.
iv. Meydana gelmesi durumunda kurumu etkileyebilecek olası olaylar belirlenmektedir.
v. Risklerin kurum risk iştahı kapsamında yönetilmesini sağlayıcı tedbirler alınmaktadır.
vi. Hedeflere ulaşılabilmesi için bir ya da daha fazla birbirinden ayrı; fakat örtüşen
kategorilere yönelinmektedir.
vii. Kurum üst yönetimine ve yönetime makul bir güvence sunmaktadır.
Kurumsal risk yönetim yaklaşımı kuruma değer katmak amacıyla strateji, süreç, insan,
teknoloji ve bilgi kaynaklarının kurumun karşı karşıya kaldığı belirsizliklerin
değerlendirilmesi ve yönetilmesi amacıyla kullanıldığı disiplinli, durağan olmayan,
devamlılık ve değişkenlik gösteren kuruma nüfuz etmiş bir sistemdir. Sistemin temel
sürücüleri vardır. Kurumsal risk yönetim sürücüleri şekil 8‟de gösterilmektedir.
Şekil 4.6. Kurumsal Risk Yönetiminde Amaç ve Bileşenlerin İlişkisi
Kurumsal risk yönetiminin tasarlanmasında ve uygulanmasında COSO’nun Kurumsal
Risk Yönetimi Modeli esas alınmıştır. Bu nedenle bu bölümde, COSO Kurumsal Risk
Yönetimi Modeli bileşenlerine ve bu bileşenlerle ilgili bazı kavramların açıklamalarına
yer verilmiştir. KRY bileşenleri, amaçları gerçekleştirmek için ihtiyaç duyulan unsurları
göstermektedir. Bu ilişki Şekil 5’te gösterilmektedir.
KRY küpünün yatay ekseninde 4 amaç kategorisi gösterilmektedir ki bunlar; stratejik,
operasyonlar, raporlama ve uyum’dur. Dikey eksende KRY sürecini oluşturan 8 bileşen
yer almaktadır. Kurum seviyeleri ise matrisin üçüncü boyutunda gösterilmektedir. Dikey
eksende bulunan her bir bileşendeki faaliyetler, amaçlar kategorisi dikkate alınarak ve
bununla uyumlu şekilde gerçekleştirilmektedir. Her bir bileşen, dört amaç kategorisi için
sırası ile uygulanmaktadır. Örneğin, finansal ve finansal olmayan veri, iç ve dış
kaynaklardan elde edilebilmektedir. Bu kaynaklar KRY’nin bilgi ve iletişim bileşeninin
bir parçasıdır: Strateji geliştirmede, işletme operasyonlarını etkili yönetmede ve verimli
raporlamada gereklidir. Tüm bunlar da kurumun ilgili olduğu yasa ve düzenlemeler ile
uyumlu şekilde gerçekleştirilmektedir. KRY, dinamik bir süreçtir. Örneğin, risklerin
değerlendirilmesi risk tepkilerini/yanıtlarını doğurur ve kontrol faaliyetlerini etkileyerek
kurumun inceleme faaliyetlerini ya da iletişim ihtiyaçlarını vurgular. Bu yüzden, KRY
bir bileşenin bir diğerini izlediği, belirli bir sırayı izleyen bir süreç değildir. Her bileşenin
neredeyse bütün bileşenleri etkileyebildiği ve diğer bileşenlerden etkilendiği çok yönlü
ve yinelenen bir süreçtir.250 Bileşen kategorisine bakıldığında 8 bileşenin her birinin
birbiriyle ilişkili olduğu görülmektedir. Bir bileşen ele alındığında, bu bileşendeki
faaliyetlerin etkin olarak gerçekleştirilmesi diğer bileşenlerin uygulama başarısı için
önemlidir. KRY kurumun tamamı ile ilgili olduğu kadar belirli iş ünitesi ile de ilgili
olabilir. Bu ilişki matrisin üçüncü boyutunda gösterilmiştir ki burada tedarikçiler, iş
üniteleri, bölümler ve kurum seviyesi bulunmaktadır. Amaçların (stratejik, operasyon,
raporlama ve uyum) kurumun amaçlarını gösterdiği, bunların kurumun belirli bir
ünitesinin veya bölümünün amaçları olmadığının fark edilmesi gerekmektedir. KRY hem
kurumun bütünü hem de ayrı ayrı her bir bölümüyle alâkalıdır. Bu ilişki yan kuruluşları,
alt bölümleri ve diğer bağlı kuruluşları üçüncü bir boyutla da tanımlayabilir.
4.2. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı
Kurumsal risk yönetim sistemi kapsamındaki temel faaliyetler şunlardır:
i. Temel misyon ve program hedeflerini düzgün bir şekilde belirlemek ve kuruma bildirmek.
ii. Kurum risk iştahını belirlemek.
iii. Risk yönetim çerçevesi dâhil olmak üzere uygun bir iç ortam oluşturmak.
iv. Kurum hedeflerine ulaşılmasını engelleyici olası tehditleri tanımlamak ve risk
evreni oluşturmak.
v. Etki ve olasılık kapsamında riskleri değerlendirmek.
vi. Risk tutumlarına karar vermek ve uygulamak.
vii. Kontrol ve diğer tepki faaliyetlerini yürütmek.
viii. Kurumun her seviyesinde risklerle ilgili süreklilik temelinde bilgi alışverişi
sağlamak.
ix. Risk yönetim süreç ve çıktılarının merkezi izleme ve koordinasyonunu
sağlamak.
x. Risklerin etkili yönetildiğine dair güvence sunmak.
xi. Bağımsız nesnel güvence ve danışmanlık sağlamak.
xii. Mevcut sistemlerle (iç kontrol, dış denetim, iç denetim) kurumsal risk yönetim
sistemini entegre etmek.
Kurumsal risk yönetimin başlangıç noktası kurum misyon ve vizyonunun
belirlenmesidir. Yönetim misyon kapsamında stratejik hedefleri belirler ve hedeflere
ulaşılmasını sağlayıcı stratejileri seçer. Devamında hedeflere ulaşmayı engelleyici riskler
ve riskleri azaltıcı kontrol sistemleri ve sorumlular belirlenir. Hedeflere ulaşılmasını
etkileyecek olaylar düzenli olarak belirli aralıklarla gözden geçirilir, riskler yeniden
değerlendirilir ve gerekli durumlarda yeni risk tutumları saptanır. Performans ve
sonuçların zamanında raporlanmasına dikkat edilir. Bu disiplinli ve sistematik yaklaşım
kurumun stratejik, faaliyet, uygunluk, mali vb. risklerini azaltmak amacıyla faaliyetleri
planlar, yürütür ve kontrol eder.
KRY Dinamik Bir Süreçtir: KRY sürekli ve akışkan bir süreçtir. KRY bir olay
veya durumdan oluşan bir etkinlik değil kurum faaliyetlerinin içinde yer alan bir eylemler
serisidir. KRY bütün kurumda süregelen ve devam eden bir süreçtir. Sabit olmayıp
yapılan işlerdeki devamlılığın ve yinelenen etkilenmelerin sonucudur. KRY, kurumun
aktivitelerine ek olarak yapılan bir işlem değildir. Ancak burada ifade edilmek istenen,
etkin bir KRY için ayrıca ve artan bir çaba gerekmediği değildir. Örnek olarak, risk
değerlendirme ve analizi, ihtiyaç duyulan modelleri geliştirmek için ek bir çaba
gerektirebilir ve gerekli analizler ile hesaplamaların yapılması için de ayrıca çaba
harcanmasını gerektirebilir. Bununla birlikte, KRY uygulamalarına ait sistemler, kurum
faaliyetleri ile birbirine geçmiştir ve temel kurum amaçları için mevcuttur.
KRY Kurum Personelinden Etkilenir: KRY, kurumun her seviyesindeki
personelinden etkilenir. KRY, kurumun yönetim kurulundan, yöneticilerinden ve diğer
personelden etkilenir. Yönetim kurulu KRY’nin en önemli öğelerinden birisidir. Bunun
yanısıra stratejileri, işlemleri ve politikaları onaylayan yöneticilerin de KRY üzerinde
etkileri fazladır. Her birey iş yerine kendine has tecrübe ve teknik becerileri ile gelir ve
farklı ihtiyaç ve öncelikleri vardır. Bu faktörler KRY’yi hem etkiler hem de ondan
etkilenir. Her bireyin olaylara farklı bir açıdan yaklaşması, o bireyin riski nasıl
tanımladığını, değerlendirdiğini ve tepki verdiğini etkiler.
KRY Kurumun Her Seviyesinde Uygulanır: KRY kurum genelindeki faaliyetlerle
ilgilidir ve kurumun tamamında uygulanır. KRY’yi uygularken kurumda yürütülen bütün
faaliyetlerin değerlendirilmesi gerekir. KRY stratejik planlama ve kaynakların
dağıtımından, mal/hizmet sunumuna ve insan kaynaklarına kadar kurumun her seviyedeki
işlemlerini ilgilendirir. Ayrıca, kurum hiyerarşisinde veya organizasyon şemasında kesin
bir yeri olmayan bazı özel projelerde ve yeni girişimlerde de uygulanabilir. KRY,
kurumun tüm risklerine tek bir portföy olarak bakmayı gerektirir. Buna her yöneticinin
belirli bir bölüm, işlem veya başka faaliyet için risk değerlendirmesi yapması dahil
olabilir. İlgili değerlendirme nicelik veya niteliğe göre olabilir. Kurumun her bir müteakip
seviyesinin birleşik bir bakış açısı ile üst yönetim, kurumun tüm risk profilinin, kurumun
risk iştahı ile orantılı olduğunu sağlamalıdır. Yönetim birbiriyle bağlantılı riskleri,
kurumun risk portföy perspektifinden değerlendirir. Kurumların her bir bölümündeki
risk, bölümün risk toleransı içinde olabilir. Fakat bu risklerin toplamı kurumun bütün
olarak almayı arzu ettiği orandan fazla olabilir. Veya tam tersi olarak, olası olaylar başka
bir etkiyi ortadan kaldırmazsa kurum için kabul edilemez bir riski temsil edebilir.
Birbirleriyle ilgili riskler tanımlanması ve risklerin toplamının kurumun arzuladığı risk
oranıyla aynı düzeyde olması için buna göre değerlendirilmesi gerekir.
Kurumun var olan değerlerinin korunması ve maksimize edilmesi ile ilgili tüm
karar ve faaliyet süreçleri KRY’nin kapsamı içerisindedir. Bu süreçlerden bazılarını
aşağıdaki Şekil 6’da görmek mümkündür. KRY daha önce de ifade edildiği gibi aşağıdaki
şemada belirtilen süreçlerin entegrasyonunu sağlamayı hedeflemektedir. Böylelikle
kurum içerisinde birbirinden bağımsız şekilde işleyen farklı risk yönetim sistemlerinin
riskleri bir bütün olarak görmeleri ve böylelikle daha az maliyetli ve daha etkin entegre
risk yönetim çözümlerinin geliştirilmesi sağlanabilmektedir.
KRY Strateji Belirlemede Kullanılır: Kurum öncelikle misyon ve
vizyonunu belirler. Daha sonra misyon ve vizyonun gerçekleştirilmesini
sağlayacak stratejik amaç ve hedefler belirlenir. Sonrasında ise stratejik amaç ve
hedeflerin gerçekleştirilmesi için kullanılacak genel strateji ve alt stratejiler belirlenir.
KRY, amaçların/hedeflerin gerçekleştirilmesinde kullanılabilecek alternatif stratejilerin
risklerini ve fırsatlarını değerlendirir. Böylece kurum tarafından alternatif stratejilerden
en uygun olanının belirlenmesini ve seçilmesini sağlar. Örneğin, alternatif bir strateji
Pazar payını arttırmak için başka işletmeleri satın almak olarak belirlenebilir. Bir başka
seçenek ise kaynak maliyetlerini keserek daha fazla kar payı yüzdesi sağlamak olarak
belirlenmiş olabilir. Her iki seçenek de bazı riskleri barındırmaktadır. Eğer yönetim ilk
stratejiyi seçerse, yeni ve çok bilinmeyen pazarlara girmek ve rakiplerine kendi
pazarından pay kaybetmek zorunda kalabilir veya işletmenin bu seçeneği etkin bir şekilde
uygulamak için yeterliliği olmayabilir. İkinci seçenekte ise yeni teknolojiler veya
tedarikçiler ya da yeni iş anlaşmalarının kapsadığı riskler vardır. Bu aşamada KRY
kurumun strateji ve buna bağlı hedeflerini değerlendirmesinde ve seçmesinde yardımcı
olmaktadır.
Şekil 4.7. Kurumsal Risk Yönetiminin Kapsamı
KRY Kurumun Risk İştahını Esas Alır: KRY riskleri risk iştahı (risk alma
isteği/arzusu, risk istekliliği) doğrultusunda yönetmek için tasarlanmıştır. Risk iştahı,
geniş anlamıyla bir değeri elde etmek için bir kurumun almayı kabul ettiği risk oranı ya
da seviyesidir. Kurumun risk yönetim felsefesini yansıtır ve buna karşılık kurumun
kültürünü ve yönetim tarzını etkiler. Kurumlar arzulanan riski yüksek, orta, düşük gibi
nitelik bakımından veya büyüme hedeflerini ve risk getirisini yansıtıp dengeleyerek
nicelik bakımından sınıflandırabilir. Risk iştahı daha fazla olan bir işletme, sermayesinin
büyük bir bölümünü gelişmekte olan pazarlar gibi daha riskli alanlara yatırabilir. Buna
karşın risk iştahı daha az olan bir işletme, kısa dönemde zarar etme riskini azaltmak için
olgun ve değişkenliği az olan pazarlara yatırım yapabilir. Risk iştahı direkt olarak
kurumun stratejisiyle ilgilidir. Değişik stratejiler kurumu değişik risklerle karşılaştırdığı
için, risk yönetimi strateji belirlemenin de bir parçası sayılır. KRY, yönetimin risk
iştahına ve beklenen değer oluşumuna uygun stratejiyi seçmesine yardımcı olur.
KRY Makul Güvence Sağlar: KRY, kurum hedeflerinin başarılacağına ilişkin
makul düzeyde güvence sağlar. Makul düzeyde güvence, geleceğin belirsizliği ve
risklerin gelecekle ilgili olmasından dolayı önceden kesin bir tahmin yapılamayacağı
gerçeğine dayanır. Ayrıca insan doğasından kaynaklanabilecek; hatalı risk değerlendirme
ve risk tepkisi kararı alma gibi nedenlerle KRY sistemi ne kadar iyi kurulursa kurulsun
belli bir takım sınırlılıkları vardır. Başka bir deyişle en etkin KRY bile başarısızlıklar
yaşayabilmektedir. Makul bir oranda güvence, kesin güvence anlamına gelmemektedir.
Fakat bu KRY’nin sıklıkla başarısız olacağı anlamına gelmemektedir. Ayrı ayrı ya da
birlikte olarak birçok faktör makul oranda güvence kavramını etkilemektedir. Farklı risk
tepkilerinin ve çok amaçlı iç denetimin birleşen etkileri, kurumun hedeflerine ulaşamama
riskini azaltmaktadır. Ayrıca kurumun her seviyedeki çalışanının günlük çalışmaları ve
sorumlulukları, kurumun hedeflerine ulaşmasını sağlamak içindir.
KRY Amaçlara Ulaşmak İçin Bir Araçtır: KRY amaç değil amaca ulaşmak için
bir araçtır. KRY, kurum misyonunun, vizyonunun ve stratejik amaç/hedeflerin belirlenen
stratejilere ve risk iştahına uygun olarak gerçekleştirilmesine katkı sağlayan ve bunları
destekleyen bir yönetim aracıdır. Bu nedenle KRY’nin kendisi asla bir sonuç ya da amaç
değildir. Kurumların amaçları/hedefleri genel olarak;
1.)Stratejik,
2.)Operasyonel,
3.) Raporlama,
4.)Uygunluk,
olmak üzere dört sınıfa ayrılmaktadır.
KRY’nin kurumların güvenilir raporlama, mevzuata uygunluk konularında
hedeflerine ulaşmasında güvence sağlaması beklenebilir. Bu konulardaki hedeflere
ulaşılması kurumun kontrolündedir ve kurumun bu konularla ilgili diğer faaliyetlerini
nasıl uyguladığına bağlıdır. Fakat belli bir pazar payının kazanılması gibi stratejik
hedeflerin ve yeni bir ürünün başarılı bir şekilde pazara sunulması gibi operasyonel
hedeflerin başarısı, her zaman kurumun kontrolü altında gelişmeyebilir. KRY kötü yargı
ve kararları veya operasyonel hedeflerin başarısızlığa uğramasına neden olabilecek dış
etkenleri önleyemez. Fakat yönetimin daha iyi karar verme şansını arttırmaktadır. Bu
amaçlar için KRY yöneticilere ve yönetim kuruluna, kurumun hedeflerine zamanında
ulaşması yolunda nerede olduklarını belirtmek konusunda makul bir oranda güvence
vermektedir.
KRY esasında, işletme riskleri için kapsamlı risk yönetimi yaklaşımının en son
adıdır. Bu kavram, öncesindeki geleneksel risk yönetimi, işletme risk yönetimi, bütünsel
risk yönetimi ve stratejik risk yönetimi gibi uygulamaları da kapsamaktadır. Bu
kavramların her biri biraz farklı odaklara sahip olmasına rağmen, her kavramın
yükselişinde işletmelere ilişkin dikkate alınan konulardaki risk unsurları ve genel içerik
oldukça benzerdir. KRY, risk yönetiminin evrimsel gelişiminde bugün gelinmiş olunan
noktadır.
Kurumların karşı karşıya olduğu mevcut ve olası riskler doğaları gereği dinamik,
hareketli ve yüksek derecede birbirine bağlıdır. Farklı bileşenlere ayrılamaz ve
birbirinden bağımsız şekilde yönetilemezler. Günümüzde kurumlar değişken bir çevrede
faaliyet göstermektedirler ve bu çevrede risk portföylerini oluşturmak ve yönetmek için
çok daha bütünsel bir yaklaşım gerekmektedir. Bu gerekliliğin farkında olmayarak ve
geleneksel tarzda yönetilen işletmeler silo-bazlı kapsamda riskleri yönetmektedirler:
Piyasa, kredi ve operasyonel riskler ayrı ayrı ele alınır ve sıklıkla kurum içinde farklı
bölümlerce yönetilir. Örneğin, kredi uzmanları hata riskini değerlendirir, ipotek
uzmanları ön ödeme riskini analiz eder, aktüerler (sigorta istatistikleri uzmanları) borç,
ölüm ve diğer sigorta risklerini yönetir, finans ve denetim gibi kurumsal fonksiyonlar
diğer operasyonel riskler olarak ele alınır ve iş risklerini üst yöneticiler belirler.
KRY, işletmenin amaçlarına ulaşmasını etkileyen risklerin belirlenmesinde,
analizinde, önem sırasına göre sıralandırılmasında ve belirlenen risklere karşı önemli
hedefleri, ilgili projeleri ve günlük faaliyetleri göz önünde bulundurarak gerekli tepkinin
verilmesinde, işletme büyüklüğüne ve misyonuna bakmaksızın, tüm işletmelere kapsamlı
ve sistematik bir şekilde yardımcı olan bir yaklaşımdır. KRY, işletmelerde ortaya çıkan
belirsizlikleri en etkili biçimde yönetme becerilerini geliştirmektedir. KRY
belirsizliklerle bunlara bağlı olan risklerin, fırsatların ve işletmenin değerini arttırma
kapasitesinin daha etkin bir şekilde kullanmasına olanak tanımaktadır. İşletmeler için
küreselleşme, teknoloji, yeni yapılanmalar, değişen pazarlar, rekabet ve yasalar,
belirsizlik yaratan ana sebepler arasında sıralanabilir. Belirsizlik, olayların olma
olasılıklarını ve buna bağlı etkilerini iyi belirleyememenin sonucu olarak ortaya çıkar.
Aynı şekilde işletmenin stratejik kararları da belirsizlikler doğurabilmektedir. Örneğin,
büyüme stratejisi başka ülkelere açılmak olan bir işletme için seçilen bu strateji, yeni
ülkenin politik durumuna, kaynaklarına, pazarlarına, dağıtım kanallarına, iş gücü
kapasitesine ve maliyetlerine bağlı olarak işletme için bazı risk ve fırsatlar sunar. KRY
risk ve fırsatları kullanarak değer yaratmayı ve yaratılan değerleri korumayı
hedeflemektedir.
4.3. Kurumsal Risk Yönetiminin Amaçları
KRY kurum amaç/hedeflerinin başarılmasına odaklanmıştır ve bu amaç/hedefler;
1.) Stratejik,
2.) Operasyonel/faaliyetler,
3.)Raporlama,
4.)Uygunluk/uyum olarak sıralanır.
Stratejik amaçlar, yüksek düzey hedeflerle ilgilidir ve kurum misyonunu
desteklemelerine göre sıralanırlar. Operasyonel/faaliyetlere ilişkin amaçlar ise kurum
kaynaklarının etkin ve verimli kullanımı ile ilgilidir. Diğer yandan KRY’den
raporlamanın güvenirliğine ve yürürlükteki kanun ve düzenlemelere uyuma ilişkin makul
derecede güvence sağlaması beklenir. Bu kategorideki amaçlara ulaşılması kontrollere ve
bunlarla ilgili faaliyetlerin nasıl yürütüldüğüne bağlıdır. Sonuç olarak, stratejik amaçlar
ve operasyonel/faaliyetlere ilişkin amaçlar genellikle kurum kontrolleri dışındadır.
KRY, dış çevre kaynaklı olaylar veya durumlarla ilgili kötü sonuçları engelleyemez.
Fakat yönetimin daha iyi kararlar alma olasılığını artırabilir. Raporlama ve uygunluk
kurumun yapısıyla ilgilidir ve dış çevre kaynaklı olaylara göre kontrolü ve yönetimi daha
çok mümkündür.
KRY’nin amaçları genel olarak aşağıdaki başlıklar altında sıralanabilmektedir:223
- Stratejik planlama ve stratejik karar alma süreçleri ile risk yönetiminin bütünleştirilmesi,
- Operasyonlarda en iyi maliyet kontrolü,
- Raporlama ve uyum,
- Fırsatların artırılması ve kayıpların en aza indirilmesi yoluyla işletme/kurum değerinin
korunması ve artırılması,
4.4. Kurumsal Risk Yönetiminin Faydaları
Sistemin kuruma sağlayacağı temel faydalar şunlardır:
Hedeflere ulaşılma olasılığını artırır.
ii. Yönetimin riskleri anlama, tanımlama ve önlem alarak yönetme yeteneğini geliştirir.
iii. Birbirinden farklı risk raporlarının yönetim kurulu düzeyinde birleştirilmesini sağlar.
iv. Önemli riskleri ve onların etki alanlarının anlaşılma düzeyini geliştirir.
v. Kurum içi çapraz risklerin belirlenmesi ve paylaşılmasını sağlar.
vi. Ortak ve kesişen riskleri tanımlar ve birimlerarası iletişimi güçlendirir.
vii. Gerçekten önemli konular üzerine odaklanan kaliteli bir yönetim sağlar.
viii. Kriz gibi ya da başarıyı olumsuz etkileyecek olumsuz durumlarla karşılaşılma
olasılığını azaltır.
ix. işlerin doğru şekilde yapılışına odaklanılmasını sağlar.
x. Başarıya ulaşabilmek için değişiklik yapmaya yönelik insiyatif alma sorumluluğunu
artırır.
xi. Daha büyük başarılar için daha büyük riskler alma yeteneğini geliştirir.
xii. Risk almaya yönelik karar vermede daha bilinçli olunmasını sağlar.
xiii. Kurumsal verimliliği en uygun hale getirir, korur ve kurumsal imajı güçlendirir.
xiv. Hesap verebilirliği sağlar ve bütünleşik iç kontrol sistemini güçlendirir.
Sistem, risk yönetimine verilen önemi artırmakta, yüksek düzeyde sorumluluk alınmasını
ve sorumlulukların açıkça belirlenmesini sağlamaktadır. Ayrıca standartlar
oluşturulmasını ve risklerin daha etkili şekilde yönetilmesi ve azaltılması için fırsat
sunmakla birlikte etkinlik ve büyüme için yeni fırsatlar yaratılmasını sağlamaktadır.
Kurumsal risk yönetim sistemi etkili raporlama, yasa ve düzenlemelere uygunluk ve
kayıpların önlenmesi (gelir ya da itibar) konularında da kuruma yardımcı olmaktadır.
iyi tasarlanmış ve etkin işleyen kurumsal risk yönetim sistemi, yönetim ve yönetim
kuruluna kurum hedeflerinin başarılması ile ilgili makul güvence sağlayabilir. Makul
güvence, kimsenin kesin tahminlerde bulunamayacağı gelecekteki belirsizlik ve riskleri
yansıtmaktadır. Çoğu faktör, bireysel ya da toplu olarak, makul güvence kavramını
desteklemektedir. Faaliyetler yürütülürken ve sorumluluklar yerine getirilirken
hedeflerde başarıya ulaşılması amaçlanır. iyi bir iç kontrol sistemine sahip olan kurumlar,
stratejik ve faaliyet hedeflerine yönelik eylemlerden düzenli olarak bilgi sahibi olacaktır.
Bununla beraber kontrol edilemeyen bir olay, hata ya da yanlış raporlama meydana
gelebilir. Bir başka deyişle, etkin bir kurumsal risk yönetim sistemine rağmen hata ile
karşılaşılabilir. Bu nedenle sistemin işleyişinin etkinliği ile ilgili üst yönetime ancak
makul bir güvence sunulur ve bu kesin güvence anlamına gelmemektedir.
Güçlü bir kurumsal risk yönetim sisteminin önemi dünya genelinde giderek daha fazla
kabul edilmektedir. Kurumlar; sosyal, etik, çevre, finans ve faaliyet alanlarında
karşılaştıkları riskleri tanımlamaya ve risklerin kabul edilen seviyede (risk iştahı)
yönetimi ile ilgili açıklama yapmaya zorlanmaktadır. Risklerin başarılı bir şekilde
yönetilmesi için önemli ve stratejik bir çaba gösterilerek kurumsal risk yönetim
sorumluluğu kurum çapında üstlenilmelidir. Ayrıca etkili kurumsal risk yönetimin etik
risk yönetimine dayandığı unutulmamalıdır
Hiçbir kurum risklerden arındırılmış bir ortamda operasyonlarını/faaliyetlerini
yürütmediği gibi KRY de hiçbir kuruma böyle bir ortamı sağlayamaz. Kuruma temel
katkısı, risklerle dolu bir çalışma ortamında faaliyetlerin daha etkin yürütülmesi olan
KRY’nin başlıca faydaları şu şekilde sıralanabilir.
KRY’nin ilk faydası, risk yönetimi için kurumsal çapta bir yaklaşım tesis etmesidir.
Geçmişte, işletmeler genellikle geleneksel bir silo yaklaşımla riskleri ele almaktaydılar.
Silo yaklaşımında, işletmeler riskleri departman bazında bir perspektiften ve dar bir
kapsamda incelemekteydiler. Örneğin, risklerin yönetimi departman içi stratejiler yoluyla
yapılıyordu ki buralarda her bir ayrı departman kendi risklerini yönetmekteydi. Bu
yaklaşım risk yönetimi için tamamen yetersizdir. Çünkü risklerin birbiriyle ilişkisi ve
etkileşimi vardır ve bu etkileşim sonucunda potansiyel bir domino etkisi
oluşabilmektedir. Silo yaklaşımında bu etkileşim ve ilişki dikkate alınmamaktadır. KRY,
riskler karşısında bütün kurum düzeyinde ortak çalışılması gerektiğinin ve risklerin
potansiyel domino etkilerinin anlaşılmasını sağlar.
KRY’nin bir diğer faydası, işletmelerin risklerini yönetmede çok daha proaktif bir tutum
takınmalarını sağlamasıdır. Günümüzün hızlı ve değişken pazarları dikkate alındığında,
günlük bazda potansiyel risklere maruz kalınmaktadır. Bu maruz kalma ile başa
çıkabilmek KRY’deki gibi çok daha etkili bir strateji gerektirmektedir. Proaktif tutum
yoluyla riskler meydana gelmeden önce belirlenir ve bu risklerin olumsuz etkilerini
azaltmak için önceden düzeltici faaliyetlerde bulunulur. KRY’nin kullanılmasıyla,
işletmeler bir risk sinir sistemi tesis edebilirler ki bu da çeşitli kararlarla birleşmiş risklerin
sistematik olarak belirlenmesini mümkün kılar, olası maruz kalmalar için uyarıcı olur,
önleyici faaliyetlerin yapılmasını ve bu aksiyonlardan öğrenilmesini olanaklı kılar. KRY,
kurumlarda reaktif yönetim tarzından proaktif yönetim tarzına geçilmesine katkıda
bulunur.
KRY, kurumun varlığının ve/veya operasyonlarının/hizmetlerinin kesintisiz devam
etmesini sağlar. KRY, bir kurumun operasyonlarının/hizmetlerinin kesilmesi ya da
durması olasılığını ve etkilerini kritik seviyeden düşük tutarak kurumun
operasyonlarının/hizmetlerinin devamlılığını önemli ölçüde güvence altına alır.
KRY, risk ve getiri/değer oluşturma arasındaki ilişkiyi kuvvetlendirir. Kurumlar değer
oluşturmak/hizmet sunmak veya mevcut değerleri korumak/hizmetleri sürdürmek adına
riskleri kabul ederler ve bir getiri/değer oluşturma beklerler. KRY yürüttüğü faaliyetlerle
risk ve getiri/değer oluşturma arasındaki ilişkiyi sağlamlaştırır.
KRY, olası kayıpların etkilerini kontrol altında tutarak maliyetlerin azaltılmasına ve
dolayısı ile kurumun varlıklarının ve maddi değerlerinin korunmasına yardımcı olur.
KRY, kayıpların olası büyüklüklerine göre çok daha düşük maliyetli önlemler ile daha
büyük kayıpların önüne geçer. Ciddi kayıplara yol açabilecek potansiyel tehditlerin
sigorta gibi mekanizmalarla üçüncü şahıslara transfer edilmesi gibi stratejiler ile
doğabilecek potansiyel maliyetlerin azaltılmasına yardımcı olur.
KRY, kurum yönetiminin, risk tepkilerine ilişkin kararlar alabilmesi için uygun
yöntemler ve teknikler sağlar. Bu sayede kurum üst yönetimi daha az belirsizlik daha çok
belirlilik koşulları altında karar alır. Ayrıca alınan kararların uygun verilerle
desteklenmesi üst yönetime performans değerlendirmeleri için fırsat verir.
KRY, kurumun daha az sürprizlerle karşılaşıp amaçlarına/hedeflerine ulaşma olasılığını
artırır. KRY ile kurumun karşı karşıya kalabileceği olumsuzluklar hem nitelik hem de
nicelik açısından önemli ölçüde azaltılabilir. Böylelikle kurum üst yöneticileri enerjilerini
ve ilgilerini anlık problemleri çözmek yerine kurumun stratejik önceliklerine
yönlendirme imkânını yakalayabilirler ve önlerini daha net bir şekilde görebilirler.
KRY, yasal ve idari zorunluluklara uyumu sağlayan önemli bir araçtır. Kurumlar faaliyet
göstermekte oldukları alanlara bağlı olarak çok farklı sayıda yasaya ve düzenlemeye bağlı
olarak çalışmak zorundadırlar. Bu yasalara ve düzenlemelere aykırı olarak yürütülecek
faaliyetler kurumun varlığını dahi tehdit edebilecek büyüklükte sonuçlar
doğurabilmektedir. Kurum üst yönetimleri etkin bir KRY ile bu alandaki faaliyetleri arzu
edilen düzeyde kontrol altında tutabilecek alt yapıya sahip olurlar.
KRY’nin diğer bir faydası iç denetim fonksiyonunun beklenen gelişimidir. KRY, çeşitli
yollarla denetim fonksiyonunu çok daha iyi ve etkili kılmaktadır. Bunun nedeni, KRY
uygulamaları ile iç denetçilerin işletmelerin risk profiline dair önemli miktarda bilgi elde
etmeleri ve böylece kapsamı ölçülebilen risklerin daha etkin yönetilebilir hale gelmesidir.
KRY olmaksızın, iç denetçilerin kendileri için yüksek kaliteli bilgi elde etmeleri oldukça
güç olacaktır. Bu yüzden KRY iç denetçilere kendi işletmelerinin risklerini en iyi şekilde
anlamalarına, bu riskleri uygun şekilde önceliklerine göre sıralamalarına ve bu riskleri
hafifletmek için uygun planlar geliştirmelerine olanak tanıyacak önemli miktarda bilgi
elde etmelerini sağlayacaktır. KRY’nin bir diğer önemli faydası da iç denetçinin risk
algılamasını etkileyerek iç denetçinin kurumun amaçlarına ulaşmasını engelleyecek
risklere odaklanmasını sağlamaktır. Böylelikle iç denetçinin kuruma değer katma
fonksiyonu ön plana çıkmaktadır.
4.5. Kurumsal Risk Yönetimi Olgunluk Seviyeleri
Günümüzde KRY işletmelerde/kurumlarda temel uygulama, genele uygulama, bugünün
en iyi uygulamaları ve yarının en iyi uygulamaları olmak üzere toplam 4 olgunluk
seviyesinde uygulanmaktadır. Olgunluk seviyesi, işletmenin kendi KRY içyapısını
tanıması açısından önemlidir.
Şekil 4.8. Kurumsal Risk Yönetimi Olgunluk Seviyeleri
Şekil 4’te belirtilen “olgunluk seviyeleri”, kayıpları önlemeye yönelik risk yönetimi
faaliyetlerinden değer yaratmaya doğru bir gelişme çizgisini ifade etmektedir. Daha üst
olgunluk seviyelerine ulaşmak için alt seviyelerin sırasıyla tamamlanması gerekmektedir.
Her bir seviye eklenerek bir üsttekini desteklemektedir. KRY çerçevesi, adım adım
planlanarak oluşturulmalıdır. Bu seviyeler, işletmeleri KRY açısından herhangi bir “iyi–
kötü” ölçeğinde değerlendirmek amacıyla kullanılmamaktadır ve kullanılmamalıdır.
İşletmelerin olmaları gereken seviyelere ulaşmamaları ve/veya o noktanın gerisinde
kalmaları, olgunluk seviyesi açısından önem taşımaktadır.
4.6. Kurumsal Risk Yönetiminin Etkinliği
KRY bir süreç iken, “etkinlik” bu sürecin belli bir noktasındaki durum ya da
haldir. Kurum amaçlarına en etkili şekilde ulaşabilmesi KRY’de yer alan bileşenlerin
birbirleri ile olan ilişkisinin etkin kurulumu ile mümkün olabilir. KRY’nin “etkin” olup
olmadığına karar vermek için sözü geçen sekiz bileşenin mevcut olduğunu ve etkin bir
şekilde işleyip işlemediğini değerlendirmek gerekir. Nitekim bu bileşenler KRY’nin
etkinlik kriterleridir. Bileşenlerin mevcut ve etkin olmaları için hiç maddi zayıflık
olmamalı ve alınan risk istenen seviyede olmalıdır. KRY tüm dört amaç kategorisinde
etkin ise, yönetim makul bir güvenceyle aşağıdakileri varsayabilir:
• Kurumun stratejik hedefleri gerçekleştiriliyor,
• Kurumun operasyonel hedefleri gerçekleştiriliyor,
• Kurum güvenilir raporlama yapıyor,
• İlgili kanun ve düzenlemelere uyuluyor.336
COSO’nun KRY modeli, çapı ve büyüklüğü fark etmeksizin bütün
kurumlarda/işletmelerde uygulanabilir niteliktedir. Küçük ve orta ölçekli kurumların
uygulama aşamalarındaki faktörler büyük işletmelerden farklı olabilir. Ancak bu,
verimliliği ve etkililiği olumsuz yönde etkilemez. KRY modeli, küçük işletmelerde büyük
işletmelerdekilere göre daha az biçimsel, resmi ve yapılandırılmış olabilmektedir. Ancak
temel içerik büyüklük fark etmeksizin her kurum için hazır olmalıdır.
KRY, bir kurumun tamamını bağlayıcı olarak tasarlanır. Bunu yapabilmek için de
uygulamalar genel işletme üniteleri içinde incelenir. Etkin KRY’de, bazen belli bir birim
diğerlerinden farklı bir şekilde de incelenebilir. Böyle bir durumda, risk yönetiminin etkin
olabilmesi için bu birimde sekiz unsurun mevcut olup etkin bir şekilde işlemesi gerekir.
Dolayısıyla, belli özelliklere sahip bir yönetim kurulu kurumun iç ortamının bir parçası
olduğundan, belli bir birim için KRY’nin etkin olarak incelenebilmesi için buna uygun,
etkin çalışan bir yönetim kuruluna ya da benzeri bir yapıya sahip olunmalıdır. Aynı
şekilde, risk tepkisi unsuru, eldeki riski portföy bakış açısından incelenip açıklandığı için,
KRY’nin etkin olarak incelenebilmesi için o birim de riski aynı şekilde görmelidir.
4.7. Kurumsal Risk Yönetiminin Sınırlılıkları
KRY uygulamasının çok sayıda faydaları olmasına rağmen, burada dile getirilmesi
gereken bazı sınırlılıkları da bulunmaktadır. Maalesef bir kurumda KRY’nin etkin olarak
tasarlanması ve uygulanması kurumun amaçlarının başarılmasını garanti etmemektedir.
KRY’nin, bir kurumun olası başarısızlığını tamamen engellediği yaklaşımı tamamen
yanıltıcıdır. Bu bağlamda KRY, kurumun amaçlarının başarılması hususunda kesin bir
güvence vermez ancak makul düzeyde bir güvence verir. Ancak makul güvence kavramı,
KRY’nin sürekli başarısızlığa uğrayacağı anlamını taşımaz. Birçok unsur, yalnız başına
veya bir arada, makul güvence kavramını kuvvetlendirmektedir. Riske yönelik bütünsel
yaklaşımlar birçok hedefe ulaşılmasını sağlayabilir ve iç denetimin çok amaçlı doğası
kurumun hedeflerine ulaşamama riskini azaltır. Ayrıca, kurumun günlük operasyonel
faaliyet ve görevlerinde bulunan farklı mevkilerdeki personeller, kurumu hedeflerine
ulaşma doğrultusunda yönlendirebilirler. Aslında, iyi yönetilen kurumlarda genellikle
birimler kurumun stratejik ve operasyonel hedeflerine yönelik çalışmalar ile ilgili düzenli
olarak bilgilendirilir, yönetmeliklere bağlı kalınır ve belli aralıklarla güvenilir raporlar
üretilir. Ancak, kontrol dışında gelişen bir durum, bir hata ya da uygunsuz raporlamalar
gerçekleşebilir. Diğer bir deyişle, etkin bir KRY uygulamasında bile hatalar olabilir. Bu
bağlamda makul güvence, kesin güvence demek değildir. KRY’nin belli başlı
sınırlılıklarına aşağıda yer verilmiştir.
Geleceğin Belirsizliği: Kurumların risk ve fırsatlarla karşılaşmasına neden olan
belirsizlik, gelecekte olabilecek potansiyel olayların olasılıklarının ve bu olayların
sonuçlarının kesin olarak belirlenememesi durumudur.
Üst Yönetimin Desteği: Bir kurumda KRY’nin oluşturulabilmesi ve etkin çalışabilmesi
üst yönetimin KRY’ye önem vermesine ve KRY uygulamalarını desteklemesine bağlıdır.
Eğer üst yönetim KRY'yi desteklemiyorsa veya kısıtlı/yetersiz bir destek veriyorsa
sistemin işletilmesi için gerekli verilere ulaşılamayacak, KRY uygulamalarına ilişkin
faaliyetler gerçekleştirilemeyecek ve sonuç olarak KRY’den beklenen faydalar
sağlanamayacaktır.
Hatalı Kararlar/Uygulamalar: KRY’nin önündeki sınırlılıkların bir diğeri de kurum
kararlarının alınması ve uygulanması sürecinde insan doğasından kaynaklanabilecek
hatalardır. KRY’nin etkinliği hatalı kararlar alabilen insanlarla sınırlıdır. Kararlar insan
yargılarıyla, eldeki veriler ışığında ve iş hayatının baskı dolu sürecinde alınmaktadır. Bu
durum da kararların güvenilirliğini zayıflatabilir.
Kötü Niyet: İki ya da daha fazla personelin kötü niyetli anlaşması KRY’nin başarısız
olmasına sebep olabilir. Usulsüz faaliyetlerinin tespit edilememesi için aralarında
organize olan personeller, genellikle finansal ve yönetsel verileri de KRY süreçlerinin
belirleyemeyeceği şekilde manipüle edebilmektedirler.
Maliyet ve Kazanç/Değer Yaratma: Kaynaklar sınırlı olduğundan kurumlar/işletmeler
kaynaklarının maliyet ve kazanç hesaplarını yapmak zorundadırlar. Kaynaklara ilişkin
kararlar, risk yönetim ve kontrol faaliyetlerini de içermelidir. Bir kararın alınması ya da
kontrolün oluşturulmasını belirlemek için olası başarısızlık riski ve bunun kurumdaki
etkileri, maliyetleriyle birlikte öngörülmelidir.
Yönetim Engeli: KRY, ancak onun işleyişinden sorumlu insanlar kadar etkin olabilir.
Risk ve kontrol bilincinin ve etik davranışların ön planda olduğu, alternatif iletişim
kanalları ile gerekli yönetim kurallarının bilincinde olan bir kurulun bulunduğu
kurumlarda/işletmelerde bile bir yönetici KRY’ye gerekli önemi vermeyebilir. Hiçbir
yönetim hatasız değildir ve suç işleme eğilimi olanlar sistemi yanıltmaya çalışabilirler.
Bu Bölümde Ne Öğrendik Özeti
Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş
Kurumsal Risk Yönetiminin Tanımı ve Önemi
Kurumsal Risk Yönetiminde Genel Yapısı
Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamı
Kurumsal Risk Yönetiminin Amaçları
Kurumsal Risk Yönetiminin Faydaları
Kurumsal Risk Yönetimi Olgunluk Seviyeleri
Kurumsal Risk Yönetiminin Etkinliği
Kurumsal Risk Yönetiminin Sınırlılıkları
Bölüm Soruları
S.1. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçişi açıklayınz.
S.2. Kurumsal Risk Yönetiminin Tanımı ve Önemini açıklayınz.
S.3. Kurumsal Risk Yönetiminde Genel Yapısını açıklayınz.
S.4. Kurumsal Risk Yönetiminin Özellikleri Ve Kapsamını açıklayınz.
S.5. Kurumsal Risk Yönetiminin Amaçlarını açıklayınz.
S.6. Kurumsal Risk Yönetiminin Faydalarını açıklayınz.
S.7. Kurumsal Risk Yönetimi Olgunluk Seviyelerini açıklayınz.
S.8. Kurumsal Risk Yönetiminin Etkinliğini açıklayınz.
S.9. Kurumsal Risk Yönetiminin Sınırlılıklarını açıklayınz.
Bu Bölümde Neler Öğreneceğiz?
Kurumsal Risk Yönetiminde İç Çevre / Ortam
Kurumsal Risk Yönetiminde Amaçların Belirlenmesi
Kurumsal Risk Yönetiminde Olay Tanımlama
Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. İş yerlerinde neden güvenlik personeli çalıştırılır
S.2. İş yerlerindeki standartlar niçin vardır?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Kurumsal Risk
Yönetiminde İç Çevre /
Ortam
Kurumsal Risk
Yönetiminde İç Çevre /
Ortamı açıklar
Kurumsal Risk
Yönetiminde İç Çevre /
Ortamı inceleyerek
Kurumsal Risk
Yönetiminde Amaçların
Belirlenmesi
Kurumsal Risk
Yönetiminde Amaçların
Belirlenmesini yapar
Kurumsal Risk
Yönetiminde Amaçların
Belirlenmesini yaparak
Kurumsal Risk
Yönetiminde Olay
Tanımlama
Kurumsal Risk
Yönetiminde Olay
Tanımlamasını yapar
Kurumsal Risk
Yönetiminde Olay
Tanımlamasını
uygulaması yaparak
Kurumsal Risk
Yönetiminde Risklerin
Değerlendirilmesi
Kurumsal Risk
Yönetiminde Risklerin
Değerlendirilmesini yapar
Kurumsal Risk
Yönetiminde Risklerin
Değerlendirilmesini
yaparak
Anahtar Kavramlar
Kurumsal Risk Yönetiminde İç Çevre / Ortam
Kurumsal Risk Yönetiminde Amaçların Belirlenmesi
Kurumsal Risk Yönetiminde Olay Tanımlama
Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi
Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı
etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır:
İç Ortam
Amaç/Hedef Belirleme
Olay Tanımlama
Risk Değerlendirme
Risk Tepkileri
Kontrol Faaliyetleri
Bilgi ve İletişim
İzleme
Nihai olarak her kurumun KRY algılaması ve uygulaması farklılık
gösterebilmektedir. Bu farklılığın nedeni faaliyette bulunulan sektörler olabileceği gibi
kurum büyüklüğü, kültürü ve yönetim felsefesi de olabilir. Bu nedenle kurumlarda
uygulanan KRY çerçeveleri ve kontrol yapıları farklı olabilir. Bu da genel olarak KRY
bileşenlerinin uygulamadaki ağırlıklarını ve dikkate alınma düzeylerini etkilemektedir.
5.1.İç Çevre / Ortam
İç ortam/çevre, kurumdaki bütün personelin risk bilincini etkilediği için kurum kültürünü
yansıtır, bir disiplin ve yapı oluşturmak suretiyle KRY’nin diğer bütün bileşenleri için bir
temel oluşturur. İç ortamın anlaşılması kurumun faaliyetlerini gerçekleştirirken
karşılaşabileceği risklerin anlaşılabilmesi için temel şarttır. Bu nedenle iç ortam hakkında
yeterli bilgiye sahip olmak KRY sisteminin kurulması ve KRY bileşenlerinin etkinlikleri
açısından önemlidir. Kurumun risk yönetim felsefesi, risk iştahı, yönetimin
felsefesi/çalışma tarzı, dürüstlük ve etik değerler, personelin uzmanlığı ile organizasyonel
yapı iç ortam faktörleri arasındadır.
5.2.Amaçların Belirlenmesi
Amaç/hedef belirleme olay tanımlama, risk değerlendirme ve risk tepkilerinin ön şartıdır.
Olay tanımlamanın, risk değerlendirmenin ve risk tepkisinin etkin gerçekleştirilebilmesi
farklı seviyelerdeki kurum amaçlarının/hedeflerinin tam ve doğru olarak belirlenmesine
bağlıdır. Yönetimin gerekli önlemleri almak ve başarılı olmak için riskleri tanımlayıp
değerlendirmeden önce belirlenmiş amaçlarının/hedeflerinin olması gerekir. Dolayısıyla
amaçların/hedeflerin belirlenmesi, risk yönetiminin ön koşuludur. Bir kurumun
amaç/hedeflerinin ve buna bağlı olarak belirlenmiş stratejilerinin bulunması, o kurumun
değer yaratma ve risk yönetimi uygulamaları için sağlam bir zemin oluşturduğunu
gösterir. COSO’nun Kurumsal Risk Yönetimi Modeli doğrultusunda amaçlar aşağıdaki
şekilde sınıflandırılmaktadır:
Stratejik Amaçlar; Kurumun misyonunu ve vizyonunu destekleyen
üst düzey amaçlardır.
Operasyonel Amaçlar; Kurumun temel görevlerinin
gerçekleştirilmesine yönelik, faaliyetlerin etkinliği ve verimliliği ile
performans standartları ve varlıkların kayıplara karşı korunmasını
da içeren amaçlardır.
Raporlama Amaçları; Hesap verme sorumluluğu da dâhil olmak
üzere raporlamanın güvenilirliğine ilişkin amaçlardır. Güvenilir
raporlamanın temel amacı, sağlıklı karar verebilmesi için yönetime,
uygun, doğru ve tam bilgi sağlamaktır.
Uygunluk/Uyum Amaçları; Yürürlükteki yasa ve düzenlemeler ile
politikalara uygunluğa ilişkin amaçlardır.
Kurumun amaçlarının bu şekilde kategorize edilmesi, kurumsal risk yönetiminin farklı
açılardan ele alınabilmesine imkân sağlar. Bir amaç birden fazla kategoriye dâhil olabilir.
Öncelikle stratejik amaçlar/hedefler belirlenmeli ve kurumun stratejik planında yer
almalıdır. Daha sonra stratejik amaçları/hedefleri destekleyen alt/bağlı hedefler
(operasyonel, raporlama, uygunluk) belirlenmelidir. Stratejik amaçlar/hedefler ve
operasyonel amaçlar/hedefler tamamıyla kurum kontrolünde değildir.
Amaçların/hedeflerin belirlenmesi sürecinde kurum stratejileri, risk iştahı ve bunların
kurum misyonu ve vizyonu ile olan ilişkileri dikkate alınmalıdır. Aksi halde belirlenen
amaçlar/hedefler birbirleriyle çelişebilecek veya ulaşılması imkânsız olabilecektir.
Kurumun ana hizmet birimleri, alt bölümleri ve daha alt bölümleri için belirlenen
hedefler, kurumun stratejik amaç/hedefleriyle bütünleşecek şekilde belirlenmelidir.
Birim/bölüm misyonu, vizyonu ve amaçlarının/hedeflerinin de kurumun stratejik
amaçlarını/hedeflerini destekleyecek şekilde belirlenmesi ve dokümante edilmesi
gerekmektedir. Birimin amaçlarının/hedeflerinin bu şekilde açıkça belirlenmesi, birim
performansının ölçülmesi ve izlenmesini de kolaylaştıracaktır.
5.3. Olay Tanımlama
KRY bileşenlerinden üçüncüsü olan olay tanımlama, gelecekte karşılaşılabilecek olan ve
kurum amaçlarının/hedeflerinin gerçekleşmesini engelleyebilecek olay veya durumların
tanımlanmasıdır. Bu olay veya durumlar, negatif bir etki yaratabilecek olmaları halinde
“risk” pozitif bir etki yarabilecek olmaları halinde ise “fırsat” olarak tanımlanır. Bu
aşamada, kurum iç ortamı ve belirlenen amaçlar/hedefler çerçevesinde kurumun
amaçlarına/hedeflerine ulaşmasının önündeki engeller olan riskler ile amaçları/hedefleri
destekleyen fırsatlar tanımlanır. Olaylar tanımlanırken iki önemli konuya dikkat
edilmelidir. Bunlardan biri “gelecekte olma olasılığı” diğeri ise “fırsat veya tehdit”
içermesidir. Belli bir durumda, tanımlanmış veya tanımlanmamış çok sayıda sorun
olabilir. Ancak bu sorunlar mevcut bir durumun (statement) ifadesidir ve risk kapsamında
değerlendirilmemelidir. Çünkü risk şu anda var olanlara değil gelecekte ortaya çıkması
muhtemel durumlara işaret eder. Mevcut sorunlar için çözüm geliştirilmesi ile risklere
karşı yanıt üretilmesi birbirinden farklı yaklaşım ve yöntemler gerektirdiğinden bu önemli
bir ayrımdır. İkinci önemli konu riskler kadar fırsatların da tanımlanması gerekliliğidir.
Çünkü gelecekte olması muhtemel bazı durumlar, amaçlarımıza ulaşmamızı sekteye
uğratabileceği gibi yeni fırsatlar sunarak amaçlarımıza ulaşmamızı kolaylaştırabilir.
Yönetimin amacı, kurumun risk ve fırsatlara hazırlıklı olmasını sağlamaktır. Bu hazırlık,
olumsuzluklar karşısında çaresizliğe düşülmesini engelleyecek veya fırsatlardan azami
ölçüde istifade edilmesini sağlayacaktır.
5.3.1. Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi
Olay (risk/fırsat) tanımlamalarında kullanılacak veriler kurum içinden ve önceden
belirlenen kurum hedeflerinden elde edilir. Olay (risk) tanımlama süreci sonucunda ise
risk kaynaklarına, riske neden olabilecek potansiyel olaylara, risk belirtilerine ve
KRY’nin bundan sonraki aşamaları için gerekli olan temel verilere ulaşılır.
Olay (risk/fırsat) tanımlama sürecine yön veren temel belgeler; kurum stratejik
planı ve hedefleri, performans planı/programı, kontrol listeleri, kayıtlara ve deneyimlere
bağlı çıkarımlar, akış diyagramları, tartışmalar, sistem analizleri, senaryo analizleri ve
sistem mühendislik teknikleridir. Kullanılan yaklaşım, gözden geçirilen aktivitelerin
doğasına, risk tiplerine, kurumun iç unsurlarına ve risk yönetim çalışmasının amacına
bağlı olarak değişecektir.
5.3.2. Olayların (Risklerin/Fırsatların) Kaynakları
Amaçlar/hedefler üzerinde etki yaratabilecek olaylar, iç veya dış ortamdan
kaynaklanabilir. Bu nedenle olayların tanımlanması sırasında, iç ve dış ortama ilişkin
bilgilerin elde edilmesi ve analizi gerekir. İç ve dış ortam, kurumun faaliyetlerini
sürdürdüğü veya bu faaliyetler esnasında etkileşim içerisinde olduğu, fiziki olan veya
olmayan bütün unsurlardır. Bu unsurlar, risklerin kaynağını oluşturur, riskleri tetikler
veya risklerin etki düzeylerini belirler. Riskin gerçekleşme ihtimali ve eğer gerçekleşirse
nasıl bir etki göstereceğinin tahmininde iç ve dış ortamın bilinmesi gereklidir.
İç ortam analizi, kurumun iç ortamından kaynaklanan ve kurum tarafından kontrol
edilebilecek olayların (risk/fırsatların); dış ortam analizi ise kurumun kontrolü dışındaki
koşullardan kaynaklanabilecek olayların (risk/fırsatların)belirlenmesini sağlar. Risklerin
kaynağının belirlenmesi, risklerin yönetilmesini kolaylaştırır. Kurum içi nedenlerden
kaynaklanabilecek risklerin yönetimi dış kaynaklardan doğabilecek risklere göre daha
kolaydır. Dış faktörlere/kaynaklara örnek olarak, ülkedeki ekonomik veya siyasi durum,
doğal afetler, nüfus yapısı, teknolojik değişiklikler; iç faktörlere ise, kurumun
organizasyon yapısı, insan kaynakları, kurum kültürü, teknoloji alt yapısı, bütçe
büyüklüğü v.b. verilebilir.
5.3.3. Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler
Olay (risk/fırsat) tanımlamasında çok çeşitli yöntem ve tekniklerden yararlanılabilir.
Bunlar çalıştaylar, mülakatlar ve atölye çalışmaları, senaryo analizleri, anketler, süreç
analizleri, beyin fırtınası, sektör karşılaştırmaları, geçmiş hataların analizi, tarihsel veriler
temelli tanımlama ve performans gözden geçirmeleri olarak sıralanabilir.
Risklerin tanımlanması aşamasında kullanılabilecek bir diğer yöntem de kurum
geçmişine ait verilerin incelenmesidir. İncelenecek veriler muhasebe kökenli olabileceği
gibi geçmiş dönem denetim çalışma kâğıtları, vatandaş/müşteri şikâyetleri, iş akış
şemaları ve faaliyetlerin yürütülmesi sırasında uyulması geren yönetmelikler de dahil
olmak üzere geniş kapsamlı olarak düşünülebilir. Olay envanteri yönteminde, benzer
kurumlarda gözlemlenen olayların ayrıntılı listeleri oluşturulur. Dahili analiz yönteminde
ise personel toplantıları aracılığı ile müzakereler yapılmaktadır. İşlem akışı analizinde ise
girdiler, görevler, sorumluluklar ve çıktılar bir süreç olarak ele alınıp incelenmektedir.
5.3.4. Risklerin Sınıflandırılması
Olay (risk/fırsat) tanımlama süreci, tanımlanan risklerin sınıflandırılması ile son bulur.
Bir kurumun/işletmenin karşılaşabileceği riskler çok farklı şekillerde sınıflandırılabilir.
İşletmenin yapısal ve sektörel özellikleri bu sınıflandırmayı önemli ölçüde etkileyecektir.
5.4. Risklerin Değerlendirilmesi
Risk değerlendirme, tanımlanan ve sınıflandırılan risklerin ortaya çıkma olasılığı ve
muhtemel etkilerinin ölçülmesi, sıralanması ve önceliklendirilmesi süreçlerini içerir. Risk
değerlendirme bir önceki aşamada belirlenmiş olan risklerin daha detaylı anlaşılması ile
ilgilidir. Risk değerlendirme ile risklerin önceliklendirilmesi sağlanır. Riskler
önceliklendirilmelidir çünkü kurumun amaçları/hedefleri üzerinde her risk eşit düzeyde
önemli değildir. Bu nedenle yöneticiler hangi alana daha çok yoğunlaşmaları gerektiğini
risklerini ölçerek ve değerlendirerek belirlerler. Ayrıca risk değerlendirmesi, belirlenmiş
risklere nasıl tepki verileceğine ve fayda/maliyet dengesi açısından en uygun olan
karşılıkların seçilmesine de yardımcı olacaktır.
Risk değerlendirmenin KRY bileşenleri içinde anahtar bir rolü bulunmaktadır. KRY
bileşenlerinden iç ortam, amaç/hedef belirleme ve olay tanımlama aşamaları diğer
aşamalar için bir bilgi toplama ve çerçevenin çizilmesi olarak kabul edilebilir. Bundan
sonraki aşamalar (risk değerlendirme, risk tepkileri, bilgi-iletişim ve izleme) risklere karşı
faaliyet alanıdır ve bu faaliyetlere risk değerlendirme sürecinin çıktıları yön verir. Risk
değerlendirme metodolojisi nitel veya nicel olabilir, objektif ya da subjektif metotlara
dayanabilir. Etki ve olasılık analizi, iş etki analizi, SWOT analizi, olay ağacı yöntemi,
PEST analizi bu yöntemlerden bazılarıdır. Kurumlar, ihtiyaçları ve kapasiteleri
doğrultusunda bu yöntemlerden birini veya birkaçını tercih edebilirler. Kurumlar,
genellikle risklerin niceliksel olarak ölçülmesinin mümkün olmadığı veya niceliksel
değerlendirme için gerekli olan yeterli güvenilir verinin bulunmadığı ya da bu tip verinin
elde edilmesi ve incelenmesinin aşırı maliyetli olduğu durumlarda niteliksel
değerlendirme tekniklerini kullanırlar. Niceliksel teknikler, analizlere daha çok doğruluk
ve kesinlik kazandırmakta ve karmaşık faaliyetlerde niteliksel teknikleri tamamlayıcı
olarak kullanılmaktadır. Niceliksel değerlendirme, bazı zamanlar matematiksel
modellerin kullanılması gibi daha yüksek çaba gerektiren teknikler içermektedir.
Niteliksel teknikler, yardımcı verilerin ve varsayımların kalitesine bağlı olmakla birlikte,
belirli tarih ve değişkenlik sıklığına sahip olan ve güvenilir tahmin imkânı veren riske
açık olma durumlarıyla oldukça ilişkilidir.
5.4.1. Etki Analizi
Riskler genellikle ortaya çıkma olasılıklarına ve ortaya çıktıklarında kuruma
etkilerine göre analiz edilirler. Bu nedenle risklerin önem seviyesi, etkiler ve olasılıkların
bir araya gelmesi ile oluşturulmalıdır. Tek başına etki veya olasılık, riskin öneminin ve
önceliğinin belirlenmesinde kullanılmamalıdır. Bu durum; Risk = f (Etki, Olasılık) olarak
formüle edilebilir.
Etki ve olasılık analizinde, riskin muhtemel etkisi ve gerçekleşme olasılığı,
belirlenen risk kriterleri doğrultusunda değerlendirilir. Risk kriterlerinin sayısı sınırlı
tutulmalı, bununla birlikte bu sayı risk değerlendirmenin kapsamlı olduğuna güven
duyulmasını sağlamaya da yetmelidir. Risk değerlendirmede kullanılacak kriterler risk
değerlendirmenin yapılış amacına, zamanın elverişliliğine, uzman personelin varlığına,
katılımcıların bilgi seviyesine ve beklentilerine ve son olarak ulaşılmak istenen sonuçlara
bağlıdır. Kullanılan risk kriterleri mutlaka açık bir şekilde tanımlanmalıdır. Etki ve
olasılığın tahmin edilmesinde istatistiksel analiz ve hesaplamalar da kullanılabilir. Eğer
elde bulunan bilgiler yetersiz, konu ile doğrudan ilgili ve güvenilir değil ise belirli bir
olayın ya da sonucun oluşacağına dair bireylerin veya grupların tahminlerine dayandırılan
analiz yapılabilir. Bu tip analizlerde bireylerin tahminleri ve grupların tahminleri arasında
bir denge sağlanmalı ve analiz sonucunda ortaya çıkabilecek farklı tahminler arasında bir
görüş birliğine ulaşılması sağlanmalıdır. Analizler her ne kadar sübjektif olsa da mutlaka
bazı kritik risk göstergeleri ile ilişkilendirilmelidir. Riskin etkisi, kurum hedeflerinin
aşarılamaması ve kurum stratejilerinin başarılı bir şekilde yürütülememesi durumunda
kurumun karşı karşıya kalacağı olumsuz durumlardır. Kurumun zarara uğraması, kurum
imajının zarar görmesi, kurumun verdiği hizmetlerin durması ya da hizmetlerin kalitesiz
bir şekilde verilmesi, personelin ya da halktan birilerinin ölmesi/yaralanması v.b.
durumlar riskin muhtemel etkilerine somut örnekler olarak verilebilir. Riskin muhtemel
etkisinin değerlendirilmesinde kullanılabilecek risk kriterlerine ilişkin bazı örnekler
aşağıda yer almaktadır:
Kurum hedefleri
Kurum imajı/itibarı
Varlıkların korunması
Finansal etki
Stratejik etki
Sağlık/güvenlik
Hizmet sunumu/kalitesi
Sosyal etki
Operasyonların etkinliği ve verimliliği
Yukarıda belirtilen kriterlerden finansal etki kriteri, riskin gerçekleşmesi
durumunda kurumun finansal varlıkları üzerinde ne derecede bir etki yapacağını
belirlemek için kullanılan kriterdir. Kurum imajı/itibarı kriteri ise riskin gerçekleşmesi
durumunda kurumun imajı/itibarı üzerinde ne derecede bir etki yapacağını belirlemek için
kullanılan kriterdir. Etki kriterlerinin belirlenmesinde ve ağırlıklandırılmasında bu
kriterlerin kurum için taşıdığı önem dikkate alınmalıdır.
5.4.2. Olasılık Analizi
Gelecekte meydana gelebilecek bir olayın ortaya çıkma olasılığının tahmini, gelecek
zaman dilimindeki olaylarla ilgili mevcut belirsizlik ve insan faktörünün yapılacak
tahminlere olan güvensizliği nedenlerinden dolayı oldukça zordur.291 “Riskin oluşma
olasılığı, geçmiş deneyimler ışığında ya da mevcutsa geçmiş verilerin istatistiksel olarak
değerlendirilmesiyle tahmin edilir. Olasılık teorisi, riskin oluşma olasılığının değerini
belirlemekte önemli rol oynar.”Riskin olasılığı en basit şekliyle düşük, orta ve yüksek
olarak ölçeklendirilebilir. Ölçeklendirme risklerin ne kadar hassas değerlendirildiğiyle
ilgilidir ve daha ayrıntılı ölçeklendirmeler de kullanılabilir. Genel olarak gerek olasılığın
gerekse etkinin ölçülmesinde beşli ölçekler tercih edilmektedir. Aşağıda Tablo 4’de 5’li
bir olasılık ölçeği örnek olarak verilmiştir.
Risklerin gerçekleşme olasılıklarının belirlenmesinde çeşitli olasılık kriterleri
kullanılabilir. Riskin gerçekleşme olasılığının değerlendirilmesinde kullanılabilecek
kriterlere ilişkin bazı örneklere aşağıda yer verilmiştir.
Yasa ve düzenlemelerin yeterliliği
Personelin uzmanlığı, yeterliliği ve güvenilirliği
Faaliyetlerin karmaşıklığı ve değişkenliği
Otomasyon düzeyi
Faaliyetlerin coğrafi dağılımı
İç kontrol sisteminin yeterliliği ve etkinliği
S.2.
5.4.2. Risklerin Puanlanması
Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde, olasılık ve
etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu aşamada, her bir
risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu puanlar, seçilen
risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle her bir riske ilişkin
etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları birbiri ile
toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık ve etki
sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının toplanması
ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit ortalama veya
ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki puanlarının
toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık kriterlerine farklı
ağırlıklar verilir. Örneğin etki kriterinin daha önemli olduğunun düşünülmesi durumunda
etki kriterinin ağırlığı daha yüksek belirlenebilir. Çarpma işleminde ise her bir riskin etki
ve olasılık puanları çarpılmak suretiyle nihai risk puanı belirlenir. Çapma işlemi ile risk
puanlarının belirlenmesinde kurum açısından önemli olduğu düşünülen etki veya olasılık
kriterlerine yüksek ağırlıklar verilebilir. Örneğin risklerin stratejik etkilerinin finansal
etkilerinden Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde,
olasılık ve etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu
aşamada, her bir risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu
puanlar, seçilen risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle
her bir riske ilişkin etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları
birbiri ile toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık
ve etki sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının
toplanması ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit
ortalama veya ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki
puanlarının toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık
kriterlerine farklı ağırlıklar verilir. Örneğin etki kriterinin daha önemli olduğunun
düşünülmesi durumunda etki kriterinin ağırlığı daha yüksek belirlenebilir. Çarpma
işleminde ise her bir riskin etki ve olasılık puanları çarpılmak suretiyle nihai risk puanı
belirlenir. Çapma işlemi ile risk puanlarının belirlenmesinde kurum açısından önemli
olduğu düşünülen etki veya olasılık kriterlerine yüksek ağırlıklar verilebilir. Örneğin
risklerin stratejik etkilerinin finansal etkilerinden daha önemli olduğu düşünülüyorsa
stratejik etkinin ağırlığı finansal etkinin ağırlığından daha yüksek belirlenebilir. Risklerin
puanlanması çalışmaları sırasında aşağıda belirtilen hususlar dikkate alınmalıdır:
Değerlendirmelerin mümkün olduğunca objektif olmasını sağlayabilmek
için kilit personelin bir araya gelmesine ve etki/olasılık puanlamalarının
tartışma ortamı içerisinde yapılmasına özen gösterilmelidir.
Puanlamalar sırasında, kriter tanımları sürekli gözden geçirilerek, risk
kriterinin neyi ölçmekte olduğu hatırlanmalıdır.
Her bir risk, etki ve olasılık kriterleri açısından 1-5 arası puanlar verilerek
yani 5’li bir ölçek kullanılarak değerlendirilmelidir. Bu değerlendirmede
(1) en düşük ya da ilgili olmayan etkiyi/olasılığı, 5 ise en yüksek
etkiyi/olasılığı ifade etmektedir.
Puanlar verilirken, en düşük(1) ve en yüksek (5) puanlar için birer örnek
düşünülmeye çalışılmalıdır.
Her bir risk ayrı ayrı ele alınmalı ve ölçüm yatay bir şekilde
uygulanmalıdır.
S.3.
S.4. Şekil 5.3. Nitel ve Nicel Ölçüm Tekniklerinin Birleşimi
S.5.
5.4.3. Risklerin Önceliklendirilmesi
KRY’nin öncelikli amacı, kurumun amaç ve hedefleri üzerinde etkili olabilecek kritik
risklerin belirlenmesi ve sınırlı kaynakların bu alanlarda yoğunlaştırılmasıdır. Bu
nedenle, bütün risklerin en yüksek risk puanından başlayarak kendi içerisinde sıralanması
gerekir. Risklerin olasılık ve etki sonuçları risk matrisi (haritası) ile gösterilebilir. Risk
kriterleri kullanılarak önce etki ve olasılık puanları daha sonra nihai risk puanları
belirlenen ve bu puanlara göre sıralanan riskler, risk matrisi (haritası) aracılığıyla toplu
bir şekilde gösterilirler. Risk matrisi, yatay ekseni risklerin olasılık boyutunu dikey ekseni
ise etki boyutunu gösteren bir grafik şeklindedir.
Şekil 5.4. Risk haritası - Önceliklendirme
Tablo 5.2. Risk Matrisi (Haritası)
I. Nolu Alan: Etkisi ve olasılığı düşük olan riskler bu alanda yer alır. Bu riskler, kurumun
risk iştahı sınırları içinde kalması nedeniyle kabul edilebilir olan risklerdir. Bu riskler,
herhangi bir önlem alınmadan olduğu gibi bırakılabilir.
II. Nolu Alan: Bu alanda etkisi yüksek ve olasılığı düşük olan riskler yer almaktadır.
Olasılığın düşük olması, kontrollerin (insan kaynakları, mevzuat ve düzenlemeler,
otomasyon düzeyi v.b) görece yeterli olduğunu göstermektedir. Dolayısıyla bu alanda yer
alan risklere ilişkin kontroller, birim yöneticisi tarafından değerlendirilmeli ve etkinliğine
ilişkin olarak güvence verilmelidir.
III. Nolu Alan: Bu alan etkisi düşük ancak gerçekleşme olasılığı yüksek olan risklerin yer
aldığı alandır. Kurum kaynaklarının yeterli olması halinde, bu risklere ilişkin kontrol
faaliyetleri geliştirilebilecektir.
IV. Nolu Alan: Bu alanda etkisi ve olasılığı yüksek olan riskler yer almaktadır. Olasılığın
yüksek olması, kontrollerin bulunmadığı veya yetersiz olduğuna işaret etmektedir. Üst
yönetim tarafından, bu risklere yönelik risk tepkilerinin (kaçınmak, kontrol etmek,
transfer etmek) belirlenmesi gerekir. Birim, risk raporlamalarında bu riskler ile risklere
ilişkin önerilerini, üst yönetimin onayına sunmalıdır. Puanlanan risklerin Risk
Matrisi’nde toplu olarak gösterilmesine ilişkin örnek bir tablo aşağıda yer almaktadır:
Tablo 5.3. Puanlanan Risklerin Matriste (Risk Haritası) Gösterilmesi
5.4.4. İçsel ve Kalıntı Riskin Ölçülmesi
Risklerin değerlendirilmesi sürecinde dikkate alınması gereken bir diğer önemli
konu da risklerin içsel ve kalıntı risk seviyelerinin ayrı ayrı değerlendirilerek
ölçülmesidir. “Doğal risk” ya da “yapısal risk” olarak da ifade edilen içsel risk, herhangi
bir kontrol mekanizmasının bulunmadığı durumlarda işlem süreçlerinin doğasında
varolan risktir. İçsel risk, yönetimin etki veya olasılığını değiştirmek için hiçbir şey
yapmadığı ve hiçbir önlem almadığında kurumun karşı karşıya olduğu risktir. “Bakiye
risk” ya da “artık risk” olarak da ifade edilebilen “kalıntı riskler” ise alınan kontrol
önlemlerine rağmen mevcut olan risklerdir. Kalıntı risk, yönetimin riskin etki ve
olasılığını azaltmak için aldığı kontrol aktivitelerini de içeren önlemlerden sonra kalan
risktir. Risk değerlendirme faaliyeti kapsamında öncelikle her bir riskin içsel risk düzeyi
ölçülür daha sonra da kalıntı risk düzeyi ölçülür. İlk önce, alınan iç kontrol önlemlerinden
önce var olan riskin etki ve olasılıkları değerlendirilerek içsel risk ölçülür. Daha sonra
alınan iç kontrol önlemlerinden sonra hala var olan (kalıntı) riskin etki ve olasılığı
değerlendirilerek kalıntı risk düzeyi ölçülür. İçsel ve kalıntı riskin ölçümüne ilişkin
aşağıda bir örnek verilmiştir: İçsel riskte, olasılık % 50 ve bunun sonucunda ortaya
çıkacak finansal kayıp (etki) 100 YTL iken, uygun önlemler alındığında ve bunlar etkin
olarak uygulandığında olasılık %10’a düşürülebilir. Bu durumda içsel ve kalıntı riski
hesaplarsak;
İçsel Risk: 0.50 x 100 YTL = 50 YTL
Kalıntı Risk: 0.10 x 100 YTL = 10 YTL olacaktır.
Kurumun risk seviyesinde 10 YTL düşük risk olarak belirlenmiş, 50 YTL ise orta
seviye risk olarak belirlenmiş olabilir. İçsel ve kalıntı risk düzeyi aşağıda grafikle
gösterilmiştir.
Şekil 5.5. İçsel ve Kalıntı Riskin Grafikle Gösterimi
Bu Bölümde Ne Öğrendik Özeti
Kurumsal Risk Yönetiminde İç Çevre / Ortam
Kurumsal Risk Yönetiminde Amaçların Belirlenmesi
Kurumsal Risk Yönetiminde Olay Tanımlama
Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi
Bölüm Soruları
S.1. Kurumsal Risk Yönetiminde İç Çevre / Ortam nedir açıklayınız?
S.2. Kurumsal Risk Yönetiminde Amaçların Belirlenmesi nedir açıklayınız?
S.3. Kurumsal Risk Yönetiminde Olay Tanımlama nedir açıklayınız?
S.4. Kurumsal Risk Yönetiminde Risklerin Değerlendirilmesi nedir açıklayınız?
Bu Bölümde Neler Öğreneceğiz?
Risk Tutumu / Tepkileri
Kontrol Aktiviteleri
Bilgi ve İletisim
Risklerin İzlenmesi
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. Güvenlik kameraları neden kullanılır?
S.2. Arkadaşınıza borç verirken nelere dikkat edersiniz?
S.3. Aracınıza kasko yaptırmanızın fayda/maliyeti nedir?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl
elde edileceği veya
geliştirileceği
Risk Tutumu / Tepkileri Risk Tutumu / Tepkileri
açıklar
Risk Tutumu / Tepkileri
inceleyerek
Kontrol Aktiviteleri Kontrol Aktivitelerini
yapar
Kontrol Aktivitelerini
yaparak
Bilgi ve İletisim Bilgi ve İletisim yönetir Bilgi ve İletisim yöneterek
Risklerin İzlenmesi Risklerin İzlenmesini yapar Risklerin İzlenmesini
yaparak
Anahtar Kavramlar
Risk Tutumu / Tepkileri
Kontrol Aktiviteleri
Bilgi ve İletisim
Risklerin İzlenmesi
Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı
etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır:
İç Ortam
Amaç/Hedef Belirleme
Olay Tanımlama
Risk Değerlendirme
Risk Tepkileri
Kontrol Faaliyetleri
Bilgi ve İletişim
İzleme
Nihai olarak her kurumun KRY algılaması ve uygulaması farklılık
gösterebilmektedir. Bu farklılığın nedeni faaliyette bulunulan sektörler olabileceği gibi
kurum büyüklüğü, kültürü ve yönetim felsefesi de olabilir. Bu nedenle kurumlarda
uygulanan KRY çerçeveleri ve kontrol yapıları farklı olabilir. Bu da genel olarak KRY
bileşenlerinin uygulamadaki ağırlıklarını ve dikkate alınma düzeylerini etkilemektedir.
6.1. Risk Tutumu / Tepkileri
Risk değerlendirme sürecini izleyen aşama riske yönelik tepkilerin belirlenmesidir.
KRY’nin beşinci bileşeni olan “risk tepkileri” bazı kaynaklarda “risk tutumu”, “risk
yanıtı” ve “riske karşılık verme” olarak da isimlendirilmiştir. Risk tepkisi, kurum
yönetimi tarafından, riske karşılık alınacak tutumun/tavrın belirlenmesidir. Risk
değerlendirme sonuçlarına göre belirlenecek olan risk tepkileri, risk yönetiminin riskler
karşısındaki eylem alanıdır. Riske yönelik tepkilerin belirlenmesini etkileyen ana faktör
kurum yönetimi tarafından belirlenen risk iştahı seviyesi/sınırıdır. Risk iştahı temelde,
kurum üst yönetiminin çalışma tarzı tarafından belirlenir. Eğer üst yönetim risk almaktan
hoşlanan bir yönetim tarzına sahipse kurumun risk iştahı seviyesi yüksek olarak
belirlenecektir. Aksi durumda ise risk iştahı seviyesi düşük belirlenecektir. Risk
değerlendirmeleri ve ölçümleri/puanlamaları sonucu elde edilen veriler risk iştahı
seviyesi ile karşılaştırılır. Kurumun risk iştahı seviyesinin üzerinde olan bu yüzden
deöncelikli olarak önlem alınması gereken riskler belirlenir. Daha sonra da her bir riske
yönelik olarak (alternatif tepkiler de dikkate alınarak) en uygun risk tepkileri
belirlenmeye çalışılır. Etkin bir KRY, yönetimin belirleyeceği risk tepkileri aracılığıyla
risklerin olasılık ve etki derecelerinin risk iştahı seviyesi altında tutulmasını sağlar.
Risk tepkisinin belirlenmesi sürecinde öncelikle alternatif risk tepkileri belirlenir daha
sonra kurum risk kültürüne, risk iştahı seviyesine, maliyetfayda değerlendirme
sonuçlarına ve risklerle ilgili fırsat değerlendirmelerine uygun olan tepki veya tepkiler
uygulamaya konur. Yönetimin riske yönelik tepkileri, riskleri kabul etmek/üstlenmek,
risklerden kaçınmak, riskleri kontrol etmek veya riskleri transfer etmek şeklinde olabilir.
6.1.1. Kaçınma
Riske neden olan faaliyetin sonlandırılması veya stratejinin terk edilmesidir. Bu grupta,
risk iştahı seviyesinin üzerinde yer alan riskler veya kontrol maliyetlerinin risk getirisini
aştığı durumdaki riskler yer alır. Kamu kurumları açısından bir faaliyetin sonlandırılması
seyrek bir durumdur. Bu yöntem daha çok stratejilerin belirlenmesi aşamasında yararlı
bir yöntem olabilir.
6.1.2. Azaltma (Kontrol Etme)
Riskin, yönetim tarafından kabul edilebilir bir seviyeye yani risk iştahı seviyesine kadar
indirilebilmesi için, ortaya çıkma olasılığını veya olası etkilerini azaltmaya yönelik uygun
kontroller tasarlanmasıdır. En yaygın kullanılan risk tepkisi şeklidir. Riskin kurum risk
iştahı seviyesini aştığı ancak yönetimin riske ait etki ve olasılığın kabul edilebilir bir
seviyeye indirilebileceğine dair bir inancının bulunduğu durumlarda riskler kontrol
altında tutulmaya, diğer bir deyişle risklerin etki ve olasılıkları azaltılmaya çalışılır. Risk
olasılığının azaltılması, uygun kontroller yardımıyla riskin ortaya çıkma olasılığının
azaltılması anlamını taşır. Riskin etkisinin azaltılması ise uygun kontroller tasarlanarak
ve uygulanarak riskin olası etkisinin şiddetinin azaltılmasıdır.
6.1.3. Transfer Etme
Kurum risk iştahı seviyesini aşan risklerin kurum tarafından yönetilemeyeceğinin
anlaşılması ancak kurum temel stratejileri ve hedeflerine göre bu riskli faaliyetin
bırakılmasının da mümkün olmadığı durumlarda riskli faaliyetin kurum dışı üçüncü
taraflara transfer edilmesidir. Risklerin transferi genellikle sigortalama sureti ile
gerçekleştirilir. Bazı faaliyetlerin dış kaynaktan temini de (hizmet alımı) bir transfer
yöntemidir. Bununla birlikte, risk transferinde risklerin ortadan kaldırılmadığı veya
etkisinin azaltılmadığı, sadece riskin taraflar arasında el değiştirdiği unutulmamalıdır.
Bazı risklerin transferi özellikleri gereği mümkün değildir. Kurum itibarının zarara
uğraması riski transfere uygun değildir. Örneğin perakende sektöründe, zamanında ve
istenilen şartlarda teslim edilmeyen mallar için tedarikçi firmadan zarar tazmin edilebilir
fakat bu durum perakendeci firmanın satışlarının düşmesini ve belki de daha önemlisi
müşterinin gözünde kaybolan imajını engelleyemez.
6.1.4. Kabul Etme
Kurumun risk iştahı seviyesi içerisinde bulunan riskler, herhangi bir önlem alınmadan
olduğu gibi bırakılabilir. Riskler, eğer risk iştahı seviyesi altındaysa riskin olasılık ve etki
boyutunu ilgilendiren herhangi bir önlem alınmadan riskler üstlenilebilir diğer bir
ifadeyle kabul edilebilir. Riskin kabulü, aynı zamanda risklerin azaltılmasından veya
paylaşılmasından sonra geriye kalan risklerin kabulünü de içermektedir. Günümüz kurum
içi ve dışı ortam koşulları altında, çok az risk bu kategoriye girmektedir
Şekil 6.1. Risk Haritası
6.2. Kontrol Aktiviteleri
Kontrol faaliyetleri, mevcut riskleri yönetmek veya olasılık ve etkilerini azaltmak için
tasarlanan ve uygulanan risk tepkileridir. Yönetim tarafından belirlenen kontrol
faaliyetleri, riskleri belirlenen risk iştahı seviyesi/sınırları içinde tutabilmek ve risk
tepkilerinin etkili yürütülüp yürütülmediğinden emin olmak için tasarlanır ve
uygulanırlar. Kurumun ortaya koyduğu politika, prosedür ve diğer dokümantasyonlar, iş
tanımları, organizasyon şemaları, otomasyon sistemi, standartlar gibi temel yönetim
faaliyetleri aynı zamanda birer kontrol faaliyetidir. Kontrol faaliyetleri çerçevesinde
risklere yönelik tasarlanan mevcut kontroller dokümante edilir ve kontrollerin etkinliği
sürekli değerlendirilir. Gerekli olması halinde ilave kontroller geliştirilir. Bununla
birlikte, kontroller tasarlanır, değerlendirilir ve geliştirilirken aşırı kontrol
uygulanmasından da kaçınılmalıdır. Aşırı kontroller, artan bürokrasi ve düşen verimlilik
nedeniyle en az riskler kadar tehlikeli olabilirler. Kontrollerin tasarlanması ve
değerlendirilmesi sürecinde optimum kontrol seviyesinin oluşturulması gerekir.
Kontroller günlük işleyişi ve faaliyetleri engellemeyecek düzeyde esnek, ancak hedeflere
ulaşılma olasılığını artıracak düzeyde de katı olmalıdır. Bir riski yönetmek üzere, yeni bir
kontrol yürürlüğe konulmadan önce, gerekliliğinden emin olunmalıdır. Zira genellikle
mevcut kontrolün etkin uygulanması riskin yönetilmesi için yeterli olabilmektedir.
Kontrol faaliyetleri niteliklerine göre;
1.) Yönlendirici Kontrol,
2.) Belirleyici/Tespit Edici Kontrol,
3.) Önleyici Kontrol,
4.) Düzeltici Kontrol,
Yönlendirici kontroller amaçları/hedefleri gerçekleştirmek için yürütülecek faaliyetlerin
kim tarafından, nerede, ne zaman, nasıl yapılacağı gibi hususları düzenleyen yani
kurumun her türlü faaliyetlerini yönlendiren kontrollerdir. Yasalar, yönetmelikler,
politikalar, prosedürler, rehberler bu nitelikteki kontrollere örnek olarak verilebilir.
Belirleyici/tespit edici kontroller ise kurumdaki hataları, uygunsuzlukları, standart dışı
uygulamaları v.b. ortaya çıkarmak için tasarlanan kontrollerdir. Genel olarak belirleyici
kontroller, hata veya uygunsuzluğu önlemez ancak olduktan sonra teşhis edilmesini
sağlarlar. Bununla birlikte, belirleyici kontrollerin varlığı bazen önleyici bir etki de
yaratabilir. Belirleyici kontrollere örnek olarak; mutabakatlar, sayımlar, karşılaştırmalar
ve istisna raporları verilebilir.
Önleyici kontroller, sorunların ortaya çıkmasını engellemek/önlemek amacıyla tasarlanan
kontrollerdir. Yetkilendirme, görevler ayrılığı ilkesi, onaylama, kapı kilitleri, trafik
ışıkları, şifre kontrolleri önleyici kontrollere örnek olarak verilebilir. Düzeltici kontroller
oluşan hataları ve uygunsuzlukları düzeltmek amacıyla tasarlanan kontrollerdir. Hatalı
uygulamalara yönelik olarak personele eğitim verilmesi, gözden geçirmeler ve izlemeler,
mutabakat işlemi sonucu tespit edilen farklılıkların giderilmesi, iletişim toplantıları bu tür
kontrollere örnek olarak verilebilir.
6.3. Bilgi ve İletisim
Risklerin belirlenmesi, değerlendirilmesi ve uygun risk tepkilerinin geliştirilmesi için
kurumda etkin bir bilgi ve iletişim sistemi oluşturulmalıdır.
Bilgi ve Bilgi Sistemleri: KRY’nin etkin olarak uygulanabilmesi ve kurumun hedeflerine
ulaşmasını sağlamak için kurumun her seviyesinde bilgiye ihtiyaç vardır. Etkin bir KRY
için doğru bilgiyi, doğru yer ve zamanda elde etmek önemlidir. Kurum amaçlarına hizmet
edecek, personelin ve yöneticilerin sorumluluklarını yerine getirmelerine yardımcı olacak
bilgiler; tanımlanmış, iletişime hazır formda ve istenilen zamanda hazır olmalıdır. Bilgi
eksikliği risklerin tanımlanması, değerlendirilmesi ve kontrolü süreçlerinin etkinliğini
zayıflatacaktır.
Bilgi sistemleri formel ya da informel olabilir. Bilgi sistemlerinin, genellikle kurum içi
bilgileri işlemek için kullanıldığı düşünülür ancak bilgi sistemlerinin çok daha geniş bir
uygulama alanı vardır. Riskleri ve fırsatları belirlemek için gereken bilgiler hizmet
alıcıları/müşterilerden, tedarikçilerden ve kurum personeliyle yapılan görüşmelerden elde
edilebilir. Veri toplama, işleme ve depolamadaki gelişmeler, veri hacminde gittikçe artan
bir büyümeye neden olmuştur. Asıl sorun doğru bilgiyi, doğru şekilde, doğru kişiye,
doğru zamanda ulaştırıp fazla bilgi yüklemesinden kaçınabilmektir. Bilgi altyapısını
geliştirirken her kullanıcı ve bölümün farklı bilgi gereksinimlerine ve yönetimin ihtiyaç
duyduğu özet bilgilere önem verilmelidir.
Bilgi Kalitesi: Gelişmiş bilgi sistemlerine ve veri tabanlı otomatik karar
sistem ve süreçlerine olan bağımlılığın artması, veri güvenilirliğini önemli hale
getiriyor. Doğru olmayan veriler, risklerin belirlenememesi ya da yeterince
değerlendirilememesi, kötü yönetim kararlarına sebep olur. Bilginin kalitesi
için aşağıdakilerin belirlenmesi gerekir:318
• İçeriğinin uygunluğu – Yeterli derecede detaylı mı?
• Bilginin zamanlaması – Gerektiğinde ve zamanında bulunabiliyor mu?
• Bilginin güncel olması – En günceli mi?
• Bilginin kesin doğru olması – Veriler doğru mu?
• Bilginin ulaşılabilir olması – İsteyenlerin bilgiye ulaşması kolay mı?
İletişim: İletişim, bilgi sistemlerinden ayrı düşünülemez. İletişim, ilgili personele
görevlerini yerine getirme imkânı veren bilgileri sağlamanın yanı sıra, kurum kültürünü
yansıtan, beklentilere cevap veren, bireylerin ve grupların sorumluluklarını ve diğer
önemli meseleleri kapsayan daha geniş bir anlamda düşünülmelidir.
Kurum İçi İletişim: Yönetim, personelin davranışları konusundaki beklentilerini ve
personelin sorumluluklarını anlatırken kesin ve doğrudan bir iletişim kurar. Kurumun risk
yönetimi felsefesinin ve sorumluluk dağılımının açıkça tanımlanması da buna dahildir.
İşlemler ve prosedürler konusunda iletilenler, oluşturulmak istenen kurum kültürüyle
uyumlu olmalı ve bu kültürü desteklemelidir. İletişim etkin bir şekilde şunları ifade
etmelidir:
• Etkin KRY’nin önemi,
• Kurumun hedefleri,
• Kurumun almayı istediği risk iştahı ve kabul edebileceği risk sınırları
• Ortak bir risk dili,
• KRY bileşenlerini etkileyen ve destekleyen personelin rolleri ve
sorumlulukları.
Kurum Dışı İletişim: Sadece kurum içinde değil, kurum dışında da etkin bir iletişime
ihtiyaç vardır. Açık dış iletişim kanallarıyla kurumun dış paydaşlarından önemli bilgiler
sağlanabilir. Dış paydaşlarla iletişim, değişen dış koşulları ve bu koşulların yaratacağı
riskleri anlamak için gereken bilgileri sağlar. Yönetimin dış paydaşlarla iletişim kurmaya
bağlılığı (iletişim ve iletilen konuların takibindeki ciddiyet) bütün kuruma mesajlar
gönderir.
İletişim Araçları: İletişim, kurum iletişim politikasına ilişkin dokümanlar, kurum web
sayfaları, memolar, e-mailler, ilan panosu mesajları, webcastlar, video mesajları gibi
birçok değişik şekilde olabilir. Mesajların sözle iletildiği yerlerde (grup içinde, küçük
toplantılarda veya bire bir görüşmelerde) ses tonu ve vücut dili de önemli iletişim
araçlarıdır. Yönetimin personelle ilgili bir sorunu çözme şekli çok güçlü mesajlar
içerebilir. Yöneticiler yapılan hareketlerin söylenen sözlerden daha etkili olduğunu
unutmamalıdırlar. Buna karşılık yönetimin hareketleri de kurumun tarihi, kültürü ve
onlardan önceki yöneticilerin benzer durumlarda nasıl davrandıklarından etkilenir.
6.4. Risklerin İzlenmesi
İzleme faaliyetinin amacı KRY çerçevesinde risklere yönelik tasarlanan önlemlerin ve
süreçlerin uygulamada gerçekleştirilip gerçekleştirilmediğinin doğrulanmasıdır. Söz
konusu önlemlerin ve risk tepkilerinin riskleri, risk iştahı seviyesi içinde tutup
tutamadığının doğrulanması ve izlemeler sonucunda tespit edilen sorunlara ilişkin gerekli
önlemlerin alınması gerekir. İzleme faaliyeti, uygun kontrollerin varolduğuna ve KRY
aşamalarının doğru konumlandırılıp takip edildiğine ve yürütülen faaliyetlerin risk tepki
stratejileriyle uyumuna ilişkin güvence sağlar. İzlemeler sonucunda risk
sınıflandırmalarında yanlışlıklar yapılmışsa, risklerin doğru ve tam olarak ölçümünde
yaşanan sıkıntılar mevcutsa ve raporlar asıl ilgililer/sorumluların eline ulaşmıyor veya
raporlama kapsamında sorunlar varsa bunlar ortaya çıkarılır ve böylelikle gerekli
önlemler alınabilir.329 Gerçekleştirilen izleme sonucunda KRY sisteminde tespit edilen
yetersizlikler (kurumun süreçlerini iyileştirmek amacıyla) üst yönetime raporlanır.
İzleme, sürekli (rutin) izleme faaliyetleri, ayrık değerlendirmeler (evaluations) ya da
ikisinin kombinasyonu aracılığıyla gerçekleştirilebilir. KRY mekanizmaları, belirli
seviyelere kadar kendilerini sürekli (rutin) olarak izlemek üzere yapılandırılmıştır. Kurum
günlük faaliyetleri içine yerleştirilen sürekli izlemeler gerçek zamanlıdır ve değişikliklere
dinamik tepki verirler. Bu nedenle ayrık değerlendirmelerden daha etkindir. Sürekli
izlemelerin etkinlikleri arttıkça ayrık değerlendirmelere daha az ihtiyaç duyulur. Ayrık
değerlendirmeler kurum ihtiyaç hissettiğinde ya da bir olaydan sonra gerçekleştiği için
sürekli izlemeyle problemler çoğu zaman daha erken belirlenir. Ciddi sürekli izleme
aktiviteleri bulunan pek çok kurum, KRY’nin ayrık değerlendirmelerini de
gerçekleştirmektedir. Ayrık değerlendirmelerin sıklığı yönetimin kararına bağlıdır. Bu
karar, kurumda meydana gelen değişikliklerin derecesi, değişikliklere bağlı olarak ortaya
çıkan yeni riskler, risk tepkilerini ve ilgili kontrolleri uygulayan personellerin
yetkinlikleri ve son olarak da sürekli izlemenin sonuçları gibi hususlar dikkate alınarak
verilir. Daha sık ayrık değerlendirmelerin ihtiyacını hisseden bir kurum, sürekli izleme
aktivitelerini iyileştirmeye odaklanmalıdır. İzlemelerle ilgili diğer bir önemli konu da
izleme faaliyetlerinin kapsam ve sıklıklarının belirlenmesidir. İzleme faaliyetlerinin
kapsamları ve sıklıkları, risklerin ve risk tepkilerinin önem derecesiyle ilişkilidir. Doğal
olarak yüksek riskli alanlar ve bu alandaki risk tepkileri daha sık değerlendirilirken bütün
olarak KRY sistemini değerlendirme faaliyeti daha az rastlanılan bir durumdur. İzleme
faaliyetinde temel başarı faktörü, izlemeleri gerçekleştiren ekibin bağımsız hareket etme
kabiliyetidir. Bu çerçevede izleme faaliyetine konu olan ana faaliyetin yürütülmesinde
görevli olanlar, izleme faaliyetini yürütecek ekip içerisinde yer almamalıdır. Benzer
şekilde, iç denetim birimi risk yönetiminde danışman olarak görev almışsa danışman
olarak görev almayan iç denetçilerden oluşan bir izleme ekibi oluşturulmalıdır.İzleme
sürecine rehberlik eden ve izleme faaliyetleri çerçevesinde düzenlenen ve kullanılan bazı
belgeler ve raporlar şunlardır: Yönetim performans/faaliyet sonuçları ve raporları,
yönetim kurulu ve risk komitesi raporları, denetim komitesi toplantı tutanakları ve
raporları, iç denetim raporları, kurum risk kütüğü ve kontrol raporları.
Bu Bölümde Ne Öğrendik Özeti
Risk Tutumu / Tepkileri
Kontrol Aktiviteleri
Bilgi ve İletisim
Risklerin İzlenmesi
Bölüm Soruları
S.1. Risk Tutumu / Tepkileri nelerdir açıklayınız?
S.2. Kontrol Aktiviteleri nelerdir açıklayınız?
S.3. Bilgi ve İletisim sürecini açıklayınız.
S.4. Risklerin İzlenmesi nasıl yapılır açıklayınız?
Bu Bölümde Neler Öğreneceğiz?
Avustralya ve Yeni Zelanda Risk Yönetim Modeli
İngiltere Risk Yönetim Modeli
Kanada Risk Yönetim Modeli
Amerika Risk Yönetim Modeli
Bölüm Hakkında İlgi Oluşturan Sorular
S-1. Trafik kuralları ülkelere farklı mıdır?
S-2. Yabancı firmalar ve yerli firmaların kalite stndartları değişiyor mu?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Avustralya ve Yeni
Zelanda Risk Yönetim
Modeli
Avustralya ve Yeni
Zelanda Risk Yönetim
Modeli ni açıklar
Avustralya ve Yeni
Zelanda Risk Yönetim
Modeli ni inceleyerek
İngiltere Risk Yönetim
Modeli
İngiltere Risk Yönetim
Modeli ni açıklar
İngiltere Risk Yönetim
Modeli ni inceleyerek
Kanada Risk Yönetim
Modeli
Kanada Risk Yönetim
Modeli ni açıklar
Kanada Risk Yönetim
Modeli ni inceleyerek
Amerika Risk Yönetim
Modeli
Amerika Risk Yönetim
Modeli ni açıklar
Amerika Risk Yönetim
Modeli ni inceleyerek
Anahtar Kavramlar
Avustralya ve Yeni Zelanda Risk Yönetim Modeli
İngiltere Risk Yönetim Modeli
Kanada Risk Yönetim Modeli
Amerika Risk Yönetim Modeli
Birçok ülkede uygulanmakta olan farklı risk yönetim modelleri bulunmaktadır.
Bunlardan en çok tercih edilenleri; Avustralya ve Yeni Zelanda, Amerika, ingiltere ve
Kanada risk yönetim modelleridir.
7.1. Avustralya ve Yeni Zelanda Risk Yönetim Modeli
1995‟de ortaya çıkan Avustralya ve Yeni Zelanda risk yönetim sistemi, risklerin
yönetilmesi ve belgelendirilmesinde dünyanın ilk resmi ve çok güçlü standartlarına sahip
bir uygulama modelidir . 2004 yılında yeniden yapılandırılan Avustralya ve Yeni Zelanda
risk yönetim standartları “Risk Yönetim Esasları AS/NZS 4360:2004” olarak
bilinmektedir. AS/NZS 4360 standartları, Avustralya ve Yeni Zelanda‟daki kâr amaçlı
ve kâr amacı olmayan grup temsilcilerinden oluşan bir ortak teknik komite tarafından
geliştirilmiş ve her çeşit kurumda kullanılabilir şekilde tasarlanmıştır. Yirmi sekiz sayfa
uzunluğunda, anlaşılması ve uygulanması kolay ve esnek olan standartlar, kurumsal risk
yönetim sisteminin uygulanması için dokuz adımlı bir program sunmaktadır . Standartlar,
risklerin işlevsel risk yönetim grubu tarafından yönetileceğini ve bu grubun gerekli beceri
ve tecrübeye sahip olduğunu ifade etmektedir
Standartlar hem Sarbanes-Oxley uyumu gerektiren organizasyonlar için risk yönetim
metodolojisi olarak hem de riskleri yönetmek için olasılık ve sonuç gibi geleneksel bir
yöntem kullanmayı tercih eden organizasyonlar için iyi çalıştığından kullanımı teşvik
edilmektedir. AS/NZS 4360 standartları şirket veya sistemik riskler için teknik risklerden
daha iyi çalışır; ancak tehdit risk modeli yapılı uygulamaları sağlayan metotları ele almaz.
Ayrıca güvenlik incelemeleri için riskleri sınıflandırsa da web uygulamalarındaki tehditleri
belirten yapısal metottaki eksikliği onu diğer metotlardan daha az çekici kılmaktadır.
AS/NZS 4360 risk yönetim standartları, risk yönetim sisteminin uygulanması ve gelişimi için
yapılması gerekenlere açıklık getiren bir rehber niteliği göstermektedir. Standartlara göre ilk
olarak kurumun stratejik, kurumsal ve risk yönetim kapsamı oluşturulmalıdır. Kurumsal
politika; risk yönetim hedeflerini kapsayıcı bir şekilde geliştirilmeli, kurumsal ve bireysel
sorumluluklara, uygulama ve değerlendirme prosedürlerinin kapsamına açıklık getirmelidir.
Risk yönetimi kurum kültürünün bir parçası olmalı ve bu kapsamda risk farkındalığı ve
iletişim düzeyi artırılmalıdır. Bu amaçla eğitim programlarının organize edilmesi tavsiye
edilmektedir. Üst yönetimin sistemi desteklemesi sistemin işlerliği ve gelişimi için gerekli bir
diğer ön adım olarak belirtilmektedir. Standartlara göre risk yönetimi, kurumun planlama ve
yönetim süreçlerinin birer parçası haline getirilmelidir. Risk yönetimi ile ilgili kapsam
oluşturulduktan sonra riskler tanımlanmalıdır. Daha sonra riskler meydana gelme olasılıkları,
etkileri ve sonuçları dikkate alınarak değerlendirilmeli ve öncelik sırasına konulmalıdır.
Risklere yönelik uygulanacak politikalar tespit edilmelidir. Risk yönetim süreci izlenmeli ve
değerlendirilmelidir. Hem kurum içi hem de kurum dışı paydaşlarla sonuçlar paylaşılmalı ve
bütün süreçlerin yazılı doküman halinde saklanmasına özen gösterilmelidir. Risk yönetim
sisteminde süreklilik sağlanarak sistemin uygulanması garanti altına alınmalıdır.
AS/NZS 4360 risk yönetim süreci; kapsam oluşturma, risk belirleme, risk analizi, risk
değerlendirme, risk yönetimi, iletişim, danışma, izleme ve değerlendirme aşamalarından
oluşmaktadır. Avustralya ve Yeni Zelanda Risk Yönetim Standartları‟ndaki risk yönetim
süreçleri şekil 4‟te gösterilmektedir.
Şekil 7.1. Avustralya ve Yeni Zelanda Risk Yönetim Süreci
AS/NZS ISO 31000 standartlarının kuruma sağladığı temel faydalar şunlardır:
i. Risk yönetimin etkinleştirilmesini sağlayarak hedeflere ulaşılma olasılığını artırır.
ii. Kurum çapında risklerin ve tutumların belirlenmesine yönelik farkındalık yaratır.
iii. Fırsat ve tehditlerin belirlenmesinde gelişim sağlar.
iv. ilgili yasal ve uluslararası normlara uygunluk kazandırır.
v. Finansal raporlamayı, kurumsal yönetişimi ve paydaş güvenini geliştirir.
vi. Karar verme ve planlama için güvenilir bir temel oluşturur.
vii. Kontrol sistemini geliştirir.
viii. Etkin risk tutumu belirlemede kaynak tahsisi ve kullanımı sağlar.
ix. Faaliyetlerdeki etkinliği ve verimliliği artırır.
x. Kayıpları önlemeyi ve olay yönetimini geliştirir ve kayıpları en aza indirir.
xi. Kurumsal öğrenmeyi, esnekliği ve direnci artırır.
xii. Hazırlanan risk yönetim raporları ile hem üst yönetime hem de yönetim kurulu ve
denetim komitesine önemli risklerin standartlara uygun olarak yönetildiğine dair bilgi sağlar
7.2. İngiltere Risk Yönetim Modeli
şubat 2008‟de ingiltere‟de BS 31100 adıyla “Risk Yönetimi: Uygulama Kuralları” taslağı
yayımlanmış ve Haziran 2011‟de “BS 31100: 2011 Risk Yönetimi- ISO 31000 için
Uygulama ilke ve Esasları” (BS 31100: 2011 Risk Management. Code of Practice and
Guidance for The Implementation of ISO 31000) adıyla British Standards Institution
tarafından basılmıştır. BS 31100, ISO 31000‟ni destekleyici uygulama kodudur. BS
31100 risk yönetim hedeflerine ulaşılması ve risklerin kurum çapında yönetilmesi için
risk yönetim esas, model, çerçeve ve süreçlerine rehberlik sağlayacak şekilde tasarlanmış
sistematik ve etkili bir standartlar dizisidir. Standartlar risk yönetim sisteminin, kurumun
stratejisi kapsamında ve stratejinin uygulanmasında sürekli ve gelişen bir süreç olması
gerektiğine dikkat çekmektedir. BS 31100, uluslararası standartlarda olmayan risk
yönetimi ile ilgili ek ilkelere de yer vermektedir (http://www.continuitycompliance.org).
BS 31100 risk yönetim standartları ile ilgili ilkeler şunlardır:
i. Risk yönetimi kuruma uygun yapılandırılmalıdır. ii. Risk yönetimi kurum kültüründe
ve personel algısında yer edinmelidir. iii. Risk yönetimi sistematik ve yapısal olmalıdır.
iv. Risk yönetimi için kurumda genel bir risk dili oluşturulmalıdır. v. Risk yönetimi en
doğru bilgilere dayanmalıdır. vi. Risk yönetimi belirsizlikleri açık bir şekilde
değerlendirmelidir. vii. Risk yönetimi karar alım sürecinin bir parçası olmalıdır. viii. Risk
yönetimi şeffaf bir yapıda ve kapsamlı olmalıdır. ix. Risk yönetimi dinamik ve
değişimlere uyumlu olmalıdır. x. Risk yönetimi süreklilik özelliği taşımalıdır. xi. Risk
yönetim ilkeleri dönemsel olarak tekrar değerlendirilmelidir. Risk yönetim sisteminin
yapısı kapsamında; görev ve bağlılık, risklerin yönetimi için bir içerik oluşturulması (risk
yönetim stratejisinin, politikasının, kültürünün, risk iştahının, risk profilinin ve risk
kriterlerinin belirlenmesi; rol, sorumluluk ve yetkilerin yazılı hale getirilmesi; risk
yönetim teknik ve araçlarının tespit edilmesi), risk yönetiminin uygulanması, izleme ve
değerlendirme süreci ve sistemdeki hata ya da eksikliklerin giderilmesi ve geliştirilmesi
yer almaktadır. BS 31100 standartları riskleri inceleme, tanımlama, değerlendirme, uygun
tutum belirleme ve raporlama süreçlerinden oluşmaktadır. BS 31100 standartlarına ilişkin
risk yönetim süreci şekil 6‟da gösterilmektedir.
Standartlar risk yönetimin ilke ve terminolojisini oluşturmakta ve kurum hedeflerine
ulaşma olasılığını artırmak için kurum çapında etkili risk yönetim sisteminin anlaşılması,
geliştirilmesi ve uygulanması için bir temel sağlamaktadır. Standartlarda, iyi uygulama
örnekleri ve tecrübelere dayalı olarak risk yönetim yapı, süreç ve uygulamasına yönelik
önerilere yer verilmektedir. Temel risk yönetim ilkeleri her kurum için uygulanabilir
niteliktedir; ancak uygulama tekniği kurumun kapsamı, niteliği, karmaşıklığı ve büyüklüğüne
göre değişmektedir. Diğer standartlar kayıpları azaltmaya odaklanırken BS 31100 risklerin
üstlenilerek kurum için nasıl değere dönüştürülebileceği üzerine yoğunlaşmaktadır. BS
31100 standartlarının kullanılması risk yönetim stratejilerine ve kurum hedeflerine
ulaşıldığına ve spesifik alan ya da faaliyetlerle ilgili risklerin gerekli tedbirler alınarak
yönetildiğine dair güvence verir. Standartlar risk yönetim sisteminin kontrolünü ve
paydaşlara rapor sunulmasını sağlar
Şekil 7.2. BS ISO 31100 Risk Yönetim Süreci
7.3. Kanada Risk Yönetim Modeli
Kanada‟da uygulanmakta olan “Bütünleşik Risk Yönetim Sistemi” standartları Treasury
Board Secretariat tarafından yayımlanmıştır.
Bütünleşik risk yönetim sistemi, kurum çapında risklerin anlaşılmasını, yönetilmesini ve
risklerle ilgili gerekli bilgi ve iletişimin sağlanmasını amaçlayan sistematik ve süreklilik
özelliği taşıyan proaktif bir süreçtir (Robillard, 2001: 7). Sistem kurumun kurumsal
stratejisine entegre edilmekte ve kurum risk yönetim kültürünü biçimlendirmektedir.
Sistem, kurumun her seviyesindeki olası risklerin sürekli değerlendirilmesini ve daha
sonra değerlendirme sonuçlarının bir araya getirilerek öncelikli düzenlemelerin ve
geliştirici kararların alınmasını gerekli kılmaktadır. Sistemde sadece risklerin
azaltılmasına odaklanılmamakta aynı zamanda yenilik getirici faaliyetler desteklenerek
kabul edilebilir en iyi sonuç, maliyet ve risk oranlarına ulaşılması hedeflenmektedir.
Sistem risklerin yönetilmesinde daha bütünsel bir yaklaşımın adapte edilmesine ilişkin
esasları belirlemekte ve kurumsal düzeyde dengenin sağlanması için mücadele edilmesini
teşvik etmektedir. Böylece hem çalışanlar hem de yöneticiler tarafından risklerin yapısı
daha iyi anlaşılmakta ve daha sistematik bir risk yönetim modeli uygulanmaktadır. Sistem
birbiri ile ilişkili dört unsurdan oluşmaktadır. Bunlar aşağıda yer almaktadır (The
President of The Treasury Board, 2010):
i. Kurumsal risk profili geliştirilmesi:
• Riskler kurum içi ve kurum dışı çevresel tarama ile tespit edilir.
• Kurumun mevcut risk yönetim yapısı değerlendirilir.
• Kurum risk profili tanımlanır.
ii. Bütünleşik risk yönetim fonksiyonu oluşturulması:
• Risk yönetimine yönelik yönetim tebliğinin iletilmesi, anlaşılması ve uygulanması.
• Risk yönetim sistemi, karar alım ve raporlama sürecine entegre edilir.
• Öğrenme planları ve araçlar geliştirilerek risk yönetim kapasitesi oluşturulur.
iii. Bütünleşik risk yönetim sisteminin uygulanması:
• Kurumun her düzeyinde ortak bir risk yönetim süreci sürekli uygulanır.
• Risk yönetim sonuçları karar alımında ve öncelikli düzenlemelerin yapımında
belirleyicidir.
• Araç ve yöntemler uygulanır.
• Paydaşlarla iletişim ve müzakereler sürdürülür.
iv. Risk yönetim uygulamasında sürekliliğin öğrenilmesini sağlama:
• Tecrübeye dayalı öğrenmeyi, bilgi ve deneyimlerin paylaşımına dayalı destekleyici bir
çalışma ortamı kurulur.
• Hizmetiçi eğitim planları oluşturulur.
• Risk yönetim sonuçları yeniliği, öğrenmeyi ve sürekli gelişimi destekleyici şekilde
değerlendirilir.
• En iyi uygulama örnekleri ve tecrübeler paylaşılır.
Kanada Bütünleşik Risk Yönetim Sisteminin süreçleri arasındaki ilişki şekil 7‟de
gösterilmektedir.
şekil 7‟de görüldüğü üzere bütünleşik risk yönetim süreciyle ilgili faaliyetler dokuz adımdan
oluşmaktadır. Öncelikle sorunların ve fırsatların belirlenmesi ve risk yönetimi ile ilgili
kapsamın oluşturulması gerekmektedir. Risk yönetim sisteminde kullanılacak yöntem,
uzman personel, araç ve gereçler de ilk adımda tespit edilmelidir. Daha sonraki adımlarda
hedeflerle ilişkili faaliyetlere yönelik riskler belirlenir. Risk yönetim sürecine ilişkin
beklentiler ya da hedefler tespit edilir ve planlamalar yapılır. Süreçler takip edilerek gerekli
durumlarda strateji değişikliğine gidilir ve sistemden maksimum fayda sağlanması amacıyla
süreçler izlenir ve değerlendirilir (Robillard, 2001: 16-17).
Bütünleşik risk yönetim sisteminde Treasury Board Secretariat, üst yönetici, yöneticiler,
danışmanlar, uzmanlar, iç denetçiler ve diğer tüm kurum çalışanlarının görev ve
sorumlulukları olduğu belirtilmekte ve bunlara ilişkin ayrıntılı açıklamalara yer verilmektedir
Şekil 7.3. Kanada Bütünleşik Risk Yönetim Süreçleri
7.4. Amerika Risk Yönetim Modeli
COSO, Amerika‟daki beş büyük profesyonel finans kuruluşu (The American
Associtacion, The American Institute of Certified Public Accountants, The Financial
Executives Institute, The Institute of Internal Auditors ve The Institute of Management
Accountants) tarafından desteklenen gönüllü bir özel sektör kuruluşudur. COSO etkili dış
denetim, kurumsal yönetişim ve iş ahlâkı ile finansal raporların kalitesini artırmaya
odaklanmıştır.
COSO, daha önceden iç Kontrol –Bütünleşik Çerçevesine (Internal Controls-Integrated
Framework) duyulan ihtiyacın aynısının risk yönetimi için de duyulduğunu farkına
vardıktan sonra bir çalışma içerisine girmiştir. COSO, orijinal kurumsal risk yönetim
çerçevesini 1992 yılında oluşturmuş ve 2002 yılında güncelleyerek son halini vermiştir.
Kurumsal risk yönetim çerçevesi, COSO iç Kontrol-Bütünleşik Çerçevesi ile uyumlu
olacak şekilde hazırlanmıştır. Böylece kurumların iç kontrole yönelik yatırım yaparken
risk yönetim sisteminin gelişimi için de uygun ortam hazırlaması hedeflenmiştir.
COSO tarafından 2004 yılında yayımlanan “Kurumsal Risk Yönetim Bütünleşik Çerçeve
ve Uygulama Rehberi ve “Kurumsal Risk Yönetim Bütünleşik Çerçeve ve Uygulama
Özeti adlı kitaplar kurumsal risk yönetim sistemi ve unsurlarının anlaşılması adına önem
taşıyan birincil derece kaynaklardır. iyi yönetim uygulamalarının yanı sıra iyi risk
yönetim uygulamalarını da içeren “iç Denetimin Kurumsal Risk Yönetiminde Oynadığı
Rol” isimli detaylı bir belge de IIA tarafından 2004 yılında hazırlanmış ve 2009 Ocak
ayında revize edilerek tekrar yayımlanmıştır.
Yukarıda adı geçen kaynaklar, yeni bir yaklaşım olan kurumsal risk yönetim sisteminin
kurulum ve uygulanma sürecini ayrıntısıyla açıklamakta ve bu kapsamda ortak bir dil
oluşturulması sürecine hizmet etmektedir. Bu kaynaklar ayrıca şu anda kabul edilen
kurumsal risk yönetim çözüm yollarını kurum için kıyaslama aracı olarak
değerlendirmede ve kurumsal risk yönetim uygulaması için doğru bir yol haritası çizmede
temel kaynak olma niteliği taşımaktadır (Tonello, 2007: 5).
COSO‟nun kurumsal risk yönetim çerçevesini tasarlamadaki amacı, kurumların
uyguladıkları risk yönetim süreçleriyle bu yeni sistemi karşılaştırabilmelerini sağlamaktır
Kurumsal risk yönetim sistemi ileriki bölümde ayrıntısı ile ele alınacağından burada
kısaca yer verilmektedir. COSO modelinin tercih edilmesinin sebebi, Türk Kamu Mali
Yönetimi ve Kontrol alanında ön mali kontrol, iç kontrol, iç denetim ve dış denetim
konularında COSO standartlarının tercih edilmiş ve uygulanılıyor olmasıdır. Ayrıca iç
denetçilerin kurumsal risk yönetim süreci kapsamındaki sorumlulukları IIA tarafından
ayrıntısıyla düzenlenmiştir.
Bu Bölümde Ne Öğrendik Özeti
Avustralya ve Yeni Zelanda Risk Yönetim Modeli
İngiltere Risk Yönetim Modeli
Kanada Risk Yönetim Modeli
Amerika Risk Yönetim Modeli
Bölüm Soruları
S.1. Avustralya ve Yeni Zelanda Risk Yönetim Modelini açıklayınız.
S.2. İngiltere Risk Yönetim Modelini açıklayınız.
S.3. Kanada Risk Yönetim Modelini açıklayınız.
S.4. Amerika Risk Yönetim Modelini açıklayınız.
Bu Bölümde Neler Öğreneceğiz?
Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal
Düzenlemeler Sarbanes-Oxley Kanunu
Dod-Frank Kanunu
Kontrag Kanunu, Cabdury ve Turnbull Raporu
EU Direktifi
The Combined Code On Corporate Governance
Risk Management Standard
Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler
Sermaye Piyasası Kurulu Düzenlemeleri
Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik
Yeni Türk Ticaret Kanunu
Bölüm Hakkında İlgi Oluşturan Sorular
S-1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler
nelerdir?
S-1. Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Yasal Düzenlemeler
nelerdir?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Dünyada Kurumsal Risk
Yönetimi Konusunda
Yapılan Yasal
Düzenlemeler
Dünyada Kurumsal Risk
Yönetimi Konusunda
Yapılan Yasal
Düzenlemeleri açıklar
Dünyada Kurumsal Risk
Yönetimi Konusunda
Yapılan Yasal
Düzenlemeler inceler
Türkiy’de Kurumsal Risk
Yönetimi Konusunda
Yapılan Yasal
Düzenlemeler
Türkiy’de Kurumsal Risk
Yönetimi Konusunda
Yapılan Yasal
Düzenlemeler açıklar
Türkiy’de Kurumsal Risk
Yönetimi Konusunda
Yapılan Yasal
Düzenlemeler inceler
Anahtar Kavramlar
Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal
Düzenlemeler
Sarbanes-Oxley Kanunu
Dod-Frank Kanunu
Kontrag Kanunu, Cabdury ve Turnbull Raporu
EU Direktifi
The Combined Code On Corporate Governance
Risk Management Standard
Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan
Düzenlemeler
Sermaye Piyasası Kurulu Düzenlemeleri
Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik
Yeni Türk Ticaret Kanunu
8.1. Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal
Düzenlemeler
8.1.1. Sarbanes-Oxley Kanunu
30 Temmuz 2002’de ABD’de Sarbanes Oxley Yasası (SOX), denetim ve fınansal
raporlama kalitesini korumak ve arttırmak; aynı zamanda yatırımcıları sermaye
piyasalarına yeniden kazandırmaya yönelik bir düzenleme niteliği taşımaktadır.
Sarbanes-Oxley Yasası’nın amacı, fınansal raporlamada, bağımsız denetimde ve
muhasebe hizmetlerinde kalite ve şeffaflığı arttırmak, muhasebe uygulamalarında
standart bir çerçeve belirlenmesi sürecini yaygınlaştırmak ve bağımsız denetim
işletmelerinin bağımsızlığını güçlendirmektir.
Sarbanes-Oxley Yasası, 1929 yılında yaşanan Büyük Ekonomik Buhran ardından
muhasebe ve denetim alanında yapılan ilk düzenleme olarak değerlendirilebilir. Bu
bağlamda, yatırımcılar ve diğer menfaat gruplarının muhasebe bilgilerine yeniden güven
duymalarını sağlamak adına çıkarılmış olan Sarbanes Oxley Yasası reel sektör
işletmelerine birtakım avantajlar sunmaktadır. Bu avantajlar, şu şekilde özetlenebilir :
• Yatırımcıya doğru zamanda, anlaşılır ve kapsamlı fınansal bilgi sunulması,
• Daha iyi bir kurumsal yönetimin sağlanması,
• İç kontrollerin daha etkin yapılması,
• Bağımsız denetim işletmeleri ile iç denetimden sorumlu kurulların
bağımsızlığının sağlanması,
• Bağımsız denetim işletmelerinden alınabilecek danışmanlık gibi
hizmetlerin sınırlandırılmasıdır.
Sarbanes-Oxley Yasası’na göre, halka açık işletmelerin iç kontrol sistemi ve bunun
denetimi yönetim kurullarının sorumluluğuna bırakılmaktadır. Yönetim kurulları,
işletmelerde etkin bir iç kontrol sistemi kurabilmek için komiteler kumak zorunda
bırakılmıştır. Yasanın 404. maddesinde; yönetimin iç kontrol sistemi kurduğunu ve etkili
bir şekilde uyguladığının yıllık faaliyet raporlarında belirtilmesi gerektiği ifade
edilmektedir. Aynı zamanda, iç kontrol raporunun da bağımsız denetçi tarafından verilen
rapor ile desteklenmesi gerekmektedir. Bu maddede, fınansal raporlama ve risklerle ilgili
işletme kontrol ortamı düzenlemelerine yer verilmiştir. Burada yer alan düzenlemeler,
COSO İç Kontrol ve Kurumsal Risk Yönetimi (KRY) uygulamaları ile paraleldir.
8.1.2. Dod-Frank Kanunu
Küresel fınans krizinin ardından 21 Temmuz 2010 tarihinde ABD’de “Dodd-Frank Wall
Street Reform ve Consumer Protection Act” Yasası, fınansal sistemde hesap verebilirlik
ve şeffaflığın geliştirilmesine yönelik bir düzenleme olarak kabul edilmektedir .
Dodd-Frank Yasası ile birlikte, özellikle 10 milyar dolar ve daha fazla varlığı olan
bankalar ve bankalar dışındaki fınansal kuruluşlar için denetim komitesinden ayrı olarak
örgütlenmiş bir risk yönetimi komitesi kurma zorunluluğu getirilmiştir. Bununla birlikte,
ABD’deki birçok reel sektör işletmesi de risk yönetimi komitesi kurma yönünde
girişimlere başlamıştır.
Risk yönetimi komitesi ile fınansal ve fınansal olmayan işletmelerin bütünleşik ve kurum
çapında bir risk yönetimi faaliyeti gerçekleştireceği ve bunun da risk raporlama ve
gözetiminin kalitesini arttıracağı belirtilebilir.
8.1.3. Kontrag Kanunu, Cabdury ve Turnbull Raporu
Risk yönetiminin artan önemi, halka açık olan ya da olmayan işletmelerde uygun risk
yönetim sistemlerinin kurulması zorunluluğunu beraberinde getirmektedir.
Almanya’da 1 Mayıs 1998’de kabul edilen “Alman Kurumsal Denetim ve Şeffaflık
Yasası (Kontrag), halka açık işletmelerin kurumsal yönetim uygulamalarını geliştirmeyi
amaçlamaktadır. Bu yasa ile iç denetim kapsamında halka açık işletmelerin riskin erken
teşhisi ve yönetimi sistemine sahip olmaları; bununla birlikte bu sistemin kurulup
kurulmadığının yıllık denetim raporunda belirtilmesi gerekmektedir.
Ingiltere’de risk yönetimine ilişkin düzenlemeler, Cabdury Raporu ile birlikte gündeme
gelmektedir. Cadbury Raporu, temelde işletmelerin uymak zorunda olduğu kurumsal
yönetim ilkeleriyle ilgili düzenlemeleri içermektedir. Başkanlığını Sir Adrian
Cadbury’nin yaptığı ve “Cadbury Raporu” olarak bilinen kurumsal yönetim ilkelerine
göre, Londra Borsası’na kayıtlı tüm işletmeler için “uygula ya da açıkla” ilkesi
belirlenmiştir. Uygula ya da açıkla ilkesine göre işletmelerin yıllık faaliyet raporlarında
kurumsal yönetim ilkelerine uyduklarını açıklaması; uymuyorlarsa da neden
uymadıklarını açıklamaları gerekmektedir. Bu raporda, işletmelerin risk yönetiminden
sorumlu bir komiteye sahip olması önerilmektedir.
Cadbury Raporu sonrasında, 1999 yılında Birleşik Krallık Sertifikalı
Muhasebeciler Kurulu (Institute of Charted Accountants of England and Wales)
tarafından yayınlanan Turnbull Raporu, kurumsal yönetimin bir gereği olarak halka açık
işletmeler için işletme çapında uygulanan iç kontrol ve risk yönetim sisteminin var olması
gerektiğini ifade etmektedir.
COSO modeli ve Kontrag Yasası’nda olduğu gibi Turnbull Raporu’nda da işletme
çapında uygulanabilecek bir risk yönetimi sistemine vurgu yapılarak, risk yönetimi
sisteminin kurulmasıyla birlikte işletmelerin uzun vadeli çıkarlarının korunmasına
yönelik önlemler alınacağı kabul edilmektedir.
8.1.4. EU 8. Direktifi
10 Nisan 1984 tarihinde kabul edilen 84/253/ECC sayılı 8. yönerge, muhasebe raporları
üzerinde yasal açıdan denetim yapan denetçilerin sorumlulukları ve mesleki
standartlarıyla ilgilidir. Bu yönergenin amacı, yasal denetçi olarak çalışan kişilerin
gereksinimlerinin karşılanması ve Avrupa Birliğine üye ülkelerde denetime ilişkin
düzenlemelerin sağlanmasıdır. AB’ne üye ülkelere 1988 yılına kadar bu yönerge
doğrultusunda gerekli düzenlemeleri yapma süresi tanınmış ve yönerge 1 Ocak 1990
tarihinde yürürlüğü girmiştir.
Yönerge ile Avrupa Birliğine üye ülkelerde, işletmelerin finansal raporlarının yasal
denetimlerini yürütme ve denetimler ile AB hukukunun gerektirdiği doğrulama
derecesinde yıllık faaliyet raporlarının yıllık hesaplara uygunluğunu doğrulama
amaçlanmıştır. Holdinglerin konsolide finansal raporlarının yasal denetimlerini yürütme
ve bu denetimler ile AB hukukunun gerektirdiği doğrulama ölçüsünde konsolide yıllık
hesapların, konsolide faaliyet raporlarına uygunluğunu doğrulama, bağımsız dış denetim
kapsamı olarak belirlenmiştir.
Söz konusu denetim işini yapan kişiler, gerçek kişiler olabileceği gibi tüzel kişiliğe sahip
denetim firmaları da olabilir.
Yönerge; kapsam, yetkiye ilişkin kurallar, mesleki kurallar, mesleki dürüstlük ve
bağımsızlık, açıklık ve son hükümler olmak üzere beş kısımdan oluşmaktadır.
8.1.5. The Combined Code On Corporate Governance
Combined Code, 1998 yılında, İngiltere’de daha önce yayımlanmış üç raporu
esas alan yeni bir rapordur. Turnbull Raporu olarak da adlandırılan ve iç kontroller ve
risk yönetimi hakkında özel sektör direktörleri için hazırlanmış rehber niteliğindeki rapor,
2003’te revize edilmiştir. İngiltere, Londra borsası şirketlerine yönelik “uygula-
uygulamıyorsan açıkla” esasına dayalı Combined Code raporunda Yönetim Kurulu
Başkanı’nın ücretlendirme komitesinde yer alması konusunda sınırlama kalkmış
ve yer alan önerilere uyum sağlanması, Londra Menkul Kıymetler Borsasına kote
şirketler için zorunlu hale getirilmiştir.
Combined Code, İngiltere’de kurumsal yönetişim konusundaki yaklaşımı
yansıtmaktadır. İngiltere’de hisse senetleri Londra Borsası’nda işlem gören şirketlerin
‘iyi yönetişim’ ilkesine ve bu konudaki mevzuata bağlılığını sağlamak amacıyla “The
Institute of Chartered Accountants in England-Wales” (1999) isimli örgüt tarafından “İç
Kontrol, Birleştirilmiş Kurallar Üzerine Yönetim Kurulu Üyeleri İçin Rehber” (Internal
Control, Guidance for Directors on the Combined Code) başlığıyla yayınlanan bir
versiyonu da vardır. Sarbanes-Oxley gibi, bu kılavuz da, tüm iç kontrol çerçevesi üzerine
odaklanmıştır. Muhasebe dönemlerinin başlangıcında uygulanan 2006 ve 2008 olarak iki
versiyonu mevcuttur. Combined Code Mevzuatı Londra Borsası kotasyon şartı, yönetim
kurulu üyelerinin yarısının bağımsızlığı, yönetim kurulunun kendi öz değerlendirmesi,
ayrıntılı ücret politikası oluşturma ve geliştirme, Hesap verebilirlik ve denetim, ve
paydaşlarla ilişkiler konularını içerir.
8.1.6. Risk Management Standard
Hazırlanan Risk Yönetim Standardı İngiltere’nin önde gelen risk yönetim
organizasyonlarından Risk Yönetim Enstitüsü (The Institute of Risk Management IRM),
Sigorta ve Risk Yöneticileri Derneği (AIRMIC) ve Kamu Sektörü Risk Yönetimi Ulusal
Forumu (ALARM) kuramlarının temsilcilerinden oluşan ekibin çalışmalarının bir
sonucudur. Çalışmalar esnasında risk yönetimi ile ilgili diğer profesyonel
organizasyonların da görüş ve fikirleri alınmıştır.
Kullanılan terminoloji, risk yönetimi süreci, risk yönetimi için organizasyonel yapı, ve
risk yönetiminin amacı gibi konularda fikir birliğinin sağlanması amacı ile bir standarda
ihtiyaç duyulmaktadır. Risk yönetimi amaçlarının gerçekleştirilmesi için birçok farklı yol
vardır ve bunların hepsini tek bir belgeye sığdırmak mümkün değildir. Bu nedenle, bu
standart çerçevesinde detaylı ve sıkı kurallar koyan bir standart geliştirmek yada
sertifikalanabilecek süreçler oluşturmak amaçlanmamıştır. Farklı yollarla da olsa bu
standartın farklı parçalarının hayata geçirilmesi ile, şirketler standarda uygun
çalıştıklarını raporlayabilecek düzeye geleceklerdir. Standart, şirketlerin kendi
uygulamalarını karşılaştırabilecekleri en iyi uygulamayı sunmaktadır.
Risk yönetimi sadece şirketler ve kamu kurumları için olmaktan öte, kısa veya uzun
vadeli herhangi bir faaliyet için kullanılabilir.
8.2. Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler
Dünyada risk yönetimi sistemlerinin işletme bünyesinde yer almasına yönelik yapılan
yasal düzenlemelerin etkisiyle, Türkiye’de de bu alanda benzer mevzuatlar
oluşturulmuştur. Yapılan düzenlemeler ile birlikte Türkiye’de özellikle halka açık
işletmelerin yönetim kurullarına etkin bir risk yönetimi sistemi kurmaları konusunda
birtakım zorunluluklar getirilmektedir.
8.2.1. Sermaye Piyasası Kurulu Düzenlemeleri
Sermaye Piyasası Kurulu (SPK) tarafından 30.12.2011 tarihinde yayınlanan “Kurumsal
Yönetim İlklerinin Belirlenmesine ve Uygulanmasına İlişkin Tebliğ”, Türkiye’de borsa
işletmelerinin esas alacakları kurumsal yönetim ilkelerini düzenlemektedir.
Sermaye Piyasası Kurulu tarafından yayınlanan kurumsal yönetim ilkeleri; pay sahipleri,
kamuoyu aydınlatma ve şeffaflık, menfaat sahipleri ile yönetim kurulu olmak üzere dört
unsur altında ele alınmaktadır. Buna göre, her bir unsurun ele aldığı konular pay sahipleri,
kamuoyu ve şeffaflık, menfaat sahipleri ve yönetim kurulu olmak üzere dört farklı alanda
gruplandırılabilmektedir.
Sermaye Piyasası Kurulu (SPK) tarafından yayınlanan yönetim kuruluna ilişkin kurumsal
yönetim ilkeleri kapsamında, yönetim kurulu bünyesinde birtakım komiteler
oluşturulması gerektiği belirtilmektedir. Bu bağlamda, işletmenin varlığını, gelişmesini
ve devamını tehlikeye düşürebilecek risklerin erken teşhisi, tespit edilen risklerle ilgili
gerekli önlemlerin alınması ve riskin yönetilmesi amacıyla çalışmalar yapmakla sorumlu
olan “riskin erken saptanması komitesi”nin kurulması, halka açık işletmeler (bankalar
hariç) için zorunlu tutulmaktadır.
Halka açık işletmelere riskin erken saptanması komitelerinin kurulması zorunluluğunun
getirilmesi, işletmelerin uzun vadeli çıkarlarının korunmasına yönelik önemli bir
düzenleme olarak değerlendirilebilir. Bu bağlamda, riskin erken saptanması komitelerinin
kurulması ile birlikte, tasarruflarını sermaye piyasalarında değerlendirmek isteyen pay
sahiplerinin haklarının güvence altına alınmaya çalışıldığı kabul edilebilir.
8.2.2. Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik
1 Kasım 2005’te yürürlüğe giren Bankacılık Kanunu’nun üçüncü kısmında yer
alan ilkeler, kurumsal yönetim ilkeleri olarak adlandırılmaktadır.
Bu kısımda iç kontrol ve iç denetim sistemleri ayrıntılı olarak ele alınmış fakat iç denetim
ve risk yönetiminin ortak çalışma alanlarına ve her iki sistem arasında gerçekleşebilecek
olası veri transferlerine değinilmemiştir.
Kanunda yer almayan ve yukarıda sözü edilen düzenlemelere 1 Kasım 2006 tarihinde
yayınlanan “Bankaların İç Sistemleri Hakkında Yönetmelik” üçüncü kısım “İç Denetim
Sistemi” başlığı altında yer verilmiştir. Söz konusu yönetmelikte iç denetim sisteminin
amacı “iç kontrol ve risk yönetimi sistemlerinin etkinliği ve yeterliliği hakkında güvence
sağlamak şeklinde ifade edilmiştir. Dönemsel değerlendirmelerin riske dayalı olması
gerektiği belirtilmekle beraber, banka tarafından kullanılan risk yönetimi tekniklerinin
denetlenmesi gerektiği yönetmelikte vurgulanmaktadır.
Risklerin belirlenmesi ve ölçülmesi kapsamda geçekleştirilen modelleme çalışmaları
BDDK ve uluslararası düzenlemelere koşut olarak yürütülmektedir. “Bank for
International Settlements (BIS) nezdindeki Basel Komitesi tarafından yayımlanan yeni
sermaye düzenlemeleri, Türkiye’deki bankacılık sektörünü bağlayıcı özellik
göstermektedir. Basel Komitesi tarafından yayınlanan ilkeler ile birlikte fınans kesiminde
yer alan işletmelerin risk yönetimi konusunda daha bilinçli hareket ettiği söylenebilir. Bu
noktada, özellikle 2008 yılından itibaren yaşanan küresel fınans krizinin Türk bankacılık
kesiminde yer alan firmalara etkisinin çok az olduğu belirtilebilir.
8.2.3. Yeni Türk Ticaret Kanunu
Yeni Türk Ticaret Kanunu, küreselleşen dünya ekonomisi, teknoloji ve bilgi toplumu
hizmetlerindeki gelişmelerin yanı sıra 2000’li yılların başından bu yana önem kazanan
kurumsal yönetim ilkeleri ve şeffaflık yaklaşımının şekillendirdiği çağdaş bir yaklaşım
olarak değerlendirilebilmektedir. Dolayısıyla, Türk ticari hayatına yönelik çağdaş
düzenlemeler içeren Yeni Türk Ticaret Kanunu’nun kurumsal yönetim ilkelerinin
uygulanabilirliğini arttırmayı hedeflediği ifade edilebilir.
Ticaret hayatında önemli değişim ve dönüşümleri sağlayacak hükümler içeren yeni Türk
Ticaret Kanunu (YTTK), işletmelerin kurumsal yönetimini pekiştirecek ve işletme
faaliyetlerinin doğal akışı içinde karşı karşıya kalınan risklerin erken tespit edilerek
gerekli önlemlerin alınmasına olanak tanıyamakta; bu yolla da işletme varlıklarının ve
gelişimlerinin devamlılığını güçlendirecek risk yönetim sistemlerine ve komitelerine
ilişkin düzenlemeler öngörmektedir. Söz konusu düzenlemelerin kapsamında pay
senetleri borsada işlem gören işletmeler ile denetçilerin gerekli gördüğü işletmeler
bulunmaktadır. Başka bir anlatımla, yeni Türk Ticaret Kanunu ile birlikte hem halka açık
hem de halka açık olmayan tüm işletmelerin kurumsal yönetim anlayışına
kavuşturulmasının hedeflendiği kabul edilebilir. Özellike risklerin erken saptanmasına
ilişkin komitenin kurulması ile birlikte, belirsizliklerin daha da arttığı ve işletmelerin
faaliyetlerini sürdürmesinin giderek zorlaştığı işletme ortamında, önemli bir yenilik
getirildiği görülmektedir. Ayrıca, risk yönetimi sistemlerinin ve bilincinin pay senetleri
borsada işlem görmeyen işletmelerde de yaygınlaşmasıyla birlikte, işletmelerin
sürekliliğine katkıda bulunarak genel olarak ülke ekonomilerine de fayda sağlayacağı
belirtilebilir.
Yeni Türk Ticaret Kanunu ile yürürlüğe girmiş olan riskin erken saptanması ve yönetimi
komitesi, Türkiye’deki halka açık işletmelere yönelik risk yönetimi faaliyetlere yönelik
yasal bir zorunluluk taşıması bakımından oldukça önem taşımaktadır. Bu bağlamda, risk
yönetimi kavramının 6102 Sayılı Türk Ticaret Kanunu’nda yer alan düzenlemelerle
birlikte ilk kez Türk ticaret hayatına girdiği söylenebilir.
Bu Bölümde Ne Öğrendik Özeti
Dünyada Kurumsal Risk Yönetimi Konusunda Yapılan Yasal
Düzenlemeler Sarbanes-Oxley Kanunu
Dod-Frank Kanunu
Kontrag Kanunu, Cabdury ve Turnbull Raporu
EU Direktifi
The Combined Code On Corporate Governance
Risk Management Standard
Türkiye’de Kurumsal Risk Yönetimi Konusunda Yapılan Düzenlemeler
Sermaye Piyasası Kurulu Düzenlemeleri
Bankalarda Risk Yönetim Sistemi Kurulmasına İlişkin Yönetmelik
Yeni Türk Ticaret Kanunu
Bölüm Soruları
S.1. Dünyada kurumsal risk yönetimi konusunda yapılan yasal düzenlemeleri
açıklayınız.
S.2. Sarbanes-oxley kanunu açıklayınız.
S.3. Dod-frank kanunu açıklayınız.
S.4. Kontrag kanunu, cabdury ve turnbull raporu açıklayınız.
S.5. Eu direktifini açıklayınız.
S.6. The combined code on corporate governance’i açıklayınız.
S.7. Risk management standardı açıklayınız.
S.8. Türkiye’de kurumsal risk yönetimi konusunda yapılan düzenlemeleri açıklayınız.
S.9. Sermaye piyasası kurulu düzenlemeleri açıklayınız.
S.10. Bankalarda risk yönetim sistemi kurulmasına ilişkin yönetmeliği açıklayınız.
S.11. Yeni türk ticaret kanununu açıklayınız.
Bu Bölümde Neler Öğreneceğiz?
Kontrollerin Amaçları
Riskin Etkisini Azaltan Kontroller
Riskin Olasılığını Azaltan Kontroller
Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller
Kontrol Türleri
Önleyici Kontroller
Düzeltici Kontroller
Yönlendirici Kontroller
Tespit Edici Kontroller
Kontrol Faaliyeti Aşamaları
Temel Kontrol Biçimleri
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. Kontrollerin Amaçları nelerdir?
S.2. Riskin Etkisini Azaltan Kontroller nelerdir?
S.3. Riskin Olasılığını Azaltan Kontroller nelerdir?
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Kontrollerin Amaçları Kontrollerin Amaçlarını
açıklayabilmek
Kontrollerin Amaçları
incelemek
Riskin Etkisini Azaltan
Kontroller
Riskin Etkisini Azaltan
Kontrolleri açıklayabilmek
Riskin Etkisini Azaltan
Kontrolleri incelemek
Riskin Olasılığını Azaltan
Kontroller
Riskin Olasılığını Azaltan
Kontrolleri açıklayabilmek
Riskin Olasılığını Azaltan
Kontrolleri incelemek
Anahtar Kavramlar
Kontrollerin Amaçları
Riskin Etkisini Azaltan Kontroller
Riskin Olasılığını Azaltan Kontroller
Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller
Kontrol Türleri
Önleyici Kontroller
Düzeltici Kontroller
Yönlendirici Kontroller
Tespit Edici Kontroller
Kontrol Faaliyeti Aşamaları
Temel Kontrol Biçimleri
9.1.Kontrollerin Amaçları
Kontrol faaliyetleri; riske verilecek karşılıkların etkili bir biçimde yerine
getirilmesi, devam eden risklerin risk kapasitesi sınırları içinde yönetilmesi ve kurumun
yürürlükteki yasa ve yönetmeliklerle uyumunun sürekli sağlanmasına yardımcı olmak
için yerleştirilen politika ve prosedürlerdir.
Kontrol faaliyetleri kamu idarelerinin bilinçli veya bilinçsiz olarak uyguladıkları
tedbirlerdir. Kontrol faaliyetleri riskleri etkisiz bırakmaya veya etkilerini azaltmaya
yönelik atılmış adımlardır. Riskler, her iş ve işlemde doğası gereği mevcuttur ve bu riskler
kontrol altına alınmalıdır. Kontrol faaliyetleri ile sistemli olarak riskleri yönetmek başlıca
amacımızdır.
Kontollerimizin gücünü doğal riskimiz ile artık riskimiz arasındaki ilişkiye göre
tespit ederiz. Bu ilişki artık riskimizin formülü ile ortaya çıkar:
Kontroller sadece riskleri bertaraf etme amacı gütmezler. Risklerin ortaya çıkaracağı
etkiyi azaltmaya yönelik olabileceği gibi ortaya çıkma ihtimalini azaltmaya yönelik
özellikler gösterebilir. Hem etkisini azaltmak hem de ortaya çıkma olasılığını minimize
etmeye yönelikte olabilir. Özetlemek gerekirse kontrollerin üç amacı vardır:
Kontrol faaliyetleri riskin ortaya çıkmasıyla oluşturacağı etkileri azaltmaya yönelik
geliştirilmiş olabilir. Örneğin bir kamu idaresinin elektrik kesintisi yüzünden
hizmetlerinin aksaması riskine karşılık jeneratör veya kesintisiz güç kaynağı alımı
gerçekleştirmesi riskin etkisini önlemeye yönelik bir kontrol faaliyetidir. Aynı şekilde,
bir otomobil firmasının ürettiği otomobillere hava yastığı seçeneğinin sunulması ortaya
çıkabilecek bir trafik kazasında etkileri azaltmaya yönelik bir kontrol faaliyetidir. Bir
örnek daha vermek gerekirse, bir bankanın soyulma
9.1.1.Riskin Etkisini Azaltan Kontroller
Kontrol faaliyetleri riskin ortaya çıkmasıyla oluşturacağı etkileri azaltmaya
yönelik geliştirilmiş olabilir. Örneğin bir kamu idaresinin elektrik kesintisi yüzünden
hizmetlerinin aksaması riskine karşılık jeneratör veya kesintisiz güç kaynağı alımı
gerçekleştirmesi riskin etkisini önlemeye yönelik bir kontrol faaliyetidir. Aynı şekilde,
bir otomobil firmasının ürettiği otomobillere hava yastığı seçeneğinin sunulması ortaya
çıkabilecek bir trafik kazasında etkileri azaltmaya yönelik bir kontrol faaliyetidir. Bir
örnek daha vermek gerekirse, bir bankanın soyulma ihtimaline karşı bankanın paralarını
birden fazla kasanın farklı depolarında saklaması bankanın olası bir soygunda daha az
mali kayba uğramasını sağlayacaktır.
9.1.2.Riskin Olasılığını Azaltan Kontroller
Kontrol faaliyetleri bazen riskin ortaya çıkmasını önlemeye yönelik olarak
düzenlenebilir. Kamu idaresinin elektrik kesintisi yüzünden hizmetlerinin aksaması
riskinin ortaya çıkmasını engellemek için eskiyen elektrik kablo tesisatının yeni
teknolojilere uygun, ihtiyaçları karşılayabilecek şekilde yenilenmesi riskin olasılığını
azaltmaya yönelik bir kontrol tasarımıdır. Aynı şekilde, bir bankanın internet şubelerine
giriş yapılırken hacker saldırıları ihtimaline karşılık cep telefonlarına SMS yoluyla şifre
göndererek sisteme giriş yaptırması doğrudan riskin olasılığını azaltmaya yöneliktir.
Çoğu kontroller riskin ortaya çıkma ihtimalini azaltmaya yöneliktir.
9.1.3.Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller
Kontrol faaliyetleri riskin hem etkisini hem de ortaya çıkma olasılığını azaltmaya
yönelik geliştirilmiş olabilir. Örneğin, bir otomobil firmasının ürettiği otomobillere fren
sistemi koyması veya ABS, EBD gibi etkili fren sistemi koyması hem kaza yapma
ihtimalini azaltacak hem de kaza ortaya çıksa bile daha az hasarlı trafik kazalarına yol
açacak bir kontrol faaliyetidir. Bir bankanın soyulma riskine karşılık alarm sistemi
taktırması soygunları caydırabileceği gibi bir soygun sırasında alarm sisteminin devreye
girmesiyle soyguncuların daha az bir nakitle bankadan çıkmasını sağlayacaktır.
Kontrol faaliyetlerinin çoğu riskin olasılığını azaltmaya yöneliktir. Ancak,
kontrollerin asıl amacı riskin etkilerini azaltmaya çalışmaktır. Risk sorumluları etkiyi
azaltmaya yönelik kontrol arayışı içerisindedir. Kontrol faaliyetleri KRY halkasının ana
unsurudur. Riskler zaten mevcuttur, kontroller ise mevcut olabileceği gibi eksik veya hiç
olmayabilir. Amacımız risklerin etki ve olasılığını azaltacak yeni kontroller geliştirmek
veya var olan kontrollerimizi gözden geçirmektir.
9.2. Kontrol Türleri
4 çeşit kontrol türümüz vardır. Bu kontrol türlerinin yanı sıra kontrol türü olmasa
bile riski kontrol edemeyeceğimiz durumlarda hazırlamamız gereken acil eylem
planlarını kontrol türü olarak düşünebiliriz. Kontrol türlerini tespit ederken sormamız
gereken 4 ana soru vardır. Bunlar;
Bu dört soruya verdiğimiz cevapla kontrollerimizi tespit edebiliriz. Bu sorular aynı
zamanda kontrol türlerini bulmamızı sağlar.
9.2.1.Önleyici Kontroller
Önleyici kontroller istenmeyen fiilleri vuku bulmadan önlemeyi veya caydırmayı
amaçlar. Kayıpların önlenmesi konusunda inisiyatifi ele alır. Önleyici kontrollere örnek
olarak görevlerin ayrımını, yeterli dokümanı ve varlıklar üzerinde fiziksel kontrolü
gösterebiliriz.
9.2.2.Düzeltici Kontroller
Bu kontroller, meydana gelmiş olan istenmeyen sonuçların düzeltilmesi için
tasarlanmıştır. Kaybın veya hasarın bir parça düzeltilmesini sağlamak adına bir geri dönüş
rotası çizerler. Buna örnek olarak, sözleşme şartlarının, fazla ödeme yapılması halinde
geri ödeme yapılacak şekilde dizayn edilmesi verilebilir. Bir riskin gerçekleşmesi riskine
karşı mali iyileşme sağladığından dolayı sigorta da bir düzeltici önemle olarak kabul
edilebilir. Kurumların, kontrol edemedikleri olaylardan sonra faaliyetin devam etmesi /
iyileşmesini sağlayacak araçlar olan acil durum planları da düzeltici kontrolün önemli
birer unsurudur.
9.2.3.Yönlendirici Kontroller
Bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri
kontrol etme yöntemidir. Kanun, yönetmelik, tebliğ gibi mevzuatlar, broşürler, iş akış
şemaları, zaman çizelgeleri örnek olarak gösterilebilir.
9.2.4.Tespit Edici Kontroller
Tespit edici kontroller ise istenmeyen fiillerin vuku bulduktan sonra ortaya çıkarılmasını
sağlar. Örneğin, hesap mutabakatlarını, denetimleri, incelemeleri, analizleri
gösterebiliriz.
9.3.Kontrol Faaliyeti Aşamaları
Kontrollerimizi oluşturmamızı sağlayan süreç aşağıdaki tabloda özetlenmiştir.
Kontrol faaliyetleri düzenlerken şu hususlara dikkat etmemiz gerekir.
• Kontrol faaliyetleri tespit edilirken ve bu faaliyetlere kaynak tahsisi
yapılırken, risk puanına göre yapılan önceliklendirme dikkate alınır.
Bununla birlikte, Risk Haritasına göre olasılığı yüksek ve etkisi düşük
risklere de öncelik verilmesi gerekebilir.
• Olasılığı ve etkisi çok yüksek olan riskler için kontrol faaliyetlerine ilave
olarak acil durum eylem planlarının da hazırlanması büyük önem
taşımaktadır.
• İç risklerin hem gerçekleşme olasılığının hem de etkisinin azaltılması
kontrol faaliyetleri ile mümkün olabilmektedir.
• Dış risklerin gerçekleşme olasılığını azaltmak ise idarenin elinde
olmayabilir. Ancak, risklerin etkilerini zayıflatmak uygun bir risk
yönetimi ile mümkün olacaktır.
• Risklere cevap verirken aşırı kontrol faaliyetlerinden kaçınmak gerekir.
Kontrol eksikliği kadar kontrollerin gereğinden fazla olması da risk
yönetiminin etkinliğine zarar verir.
• Riskin içeriğine göre gerekiyorsa kontrol yöntemlerinden birkaçı bir arada
kullanılabilir.
• Kontrol faaliyetlerini uygulamanın maliyet ve fayda analizleri
yapılmalıdır.
• İstenilen etkiyi yaratıp yaratmadıklarını görmek için gereken durumlarda
kontrol faaliyetlerinin pilot uygulaması yapılabilir.
• Kontrol faaliyetlerinin etkinliği ve işleyişinin planlandığı şekilde
gerçekleşmesi izlenmelidir. Kontrollerin işlediğine ilişkin gerekli
kanıtlar periyodik olarak toplanmalı ve analiz edilmelidir.
• Makul bir zaman sonra yeni kontrol faaliyetlerinin ve devam etmekte olan
mevcut kontrollerin beklendiği gibi işleyip işlemediği
değerlendirilerek yönetici/risk koordinatörüne raporlanmalıdır.
S.6.
9.4.Temel Kontrol Biçimleri
“Temel Kontrol Çeşitleri” tablosunda yer alan bazı kontrollerden kısaca bahsetmek
gerekir. "Gündelik işlerin" aksaması durumunda, hizmetin devamlılığını sağlamak üzere
gerekli tedbirlerin mevcut olması gerekir. Ayrıca idarenin amaç ve hedeflerini
etkileyebilecek hayati faaliyetlerinin aksaması olasılığına karşı kontrollerimizden biri
olan İş Sürekliliği Planlarının bulunması gerekir. Bir kamu idaresi için önemli
kontrollerden birisi iş akış şemaları ve zaman çizelgeleriyle tüm birimlerinin hareket
etmesini sağlamaktır. Bu kontroller önleyici ve yönlendirici etkileriyle risklerimizi
kontrol altına almamıza yardımcı olacaktır.
Diğer bir kontrolümüz olan Veri Mutabakatı; tutarlılığın sağlanması açısından farklı
belge ve kaynaklardaki verilerin eşleştirilmesidir. Örneğin, banka hesaplarıyla ilgili hesap
girdilerinin muhabir banka ekstreleri ile mutabakatı; fatura bilgilerinin taşınır işlem
fişindeki bilgilerle eşleştirilmesi sayılabilir.
Bir diğer kontrolümüz olan yöneticinin sorumluluğuna ilişkin Gözetim
Prosedürleri ise; görevin verilmesi ve yerine getirilmesine ilişkin gözetim
prosedürlerinin yöneticiler tarafından belirli periyotlarla uygulanmasıdır. Yöneticilerin
başkalarına görev vermesi, görevin yerine getirilmesinde kendi sorumluluklarını ortadan
kaldırmaz. Yöneticiler, görevlerin yerine getirilirken doğru anlaşılmasını sağlamak ve
usulsüzlük ve hataların önüne geçmek için personele gerekli talimatları verip, gerekli
yönlendirme ve kontrolleri yapmalıdır. Yöneticiler bu prosedürleri verilen görevin doğru
bir şekilde yerine getirildiğinden emin olmak için de uygulamalıdır.
Bir diğer kontrolümüz olan yöneticinin sorumluluğuna ilişkin Gözetim
Prosedürleri ise; görevin verilmesi ve yerine getirilmesine ilişkin gözetim prosedürlerinin
yöneticiler tarafından belirli periyotlarla uygulanmasıdır. Yöneticilerin başkalarına görev
vermesi, görevin yerine getirilmesinde kendi sorumluluklarını ortadan kaldırmaz.
Yöneticiler, görevlerin yerine getirilirken doğru anlaşılmasını sağlamak ve usulsüzlük ve
hataların önüne geçmek için personele gerekli talimatları verip, gerekli yönlendirme ve
kontrolleri yapmalıdır. Yöneticiler bu prosedürleri verilen görevin doğru bir şekilde
yerine getirildiğinden emin olmak için de uygulamalıdır.
Bu Bölümde Ne Öğrendik Özeti
Kontrollerin Amaçları
Riskin Etkisini Azaltan Kontroller
Riskin Olasılığını Azaltan Kontroller
Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller
Kontrol Türleri
Önleyici Kontroller
Düzeltici Kontroller
Yönlendirici Kontroller
Tespit Edici Kontroller
Kontrol Faaliyeti Aşamaları
Temel Kontrol Biçimleri
Bölüm Soruları
S.1. Kontrollerin Amaçları
S.2. Riskin Etkisini Azaltan Kontroller
S.3. Riskin Olasılığını Azaltan Kontroller
S.4. Riskin Etkisini ve Olasılığını Birlikte Azaltan Kontroller
S.5. Kontrol Türleri
S.6. Önleyici Kontroller
S.7. Düzeltici Kontroller
S.8. Yönlendirici Kontroller
S.9. Tespit Edici Kontroller
S.10. Kontrol Faaliyeti Aşamaları
S.11. Temel Kontrol Biçimleri
Bu Bölümde Neler Öğreneceğiz?
Stratejik Planlama
Stratejik Rekabet Analizi
Kuruluş Dışı Çevre Analizi
Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi
Performans Programı Kurumsal Risk Yönetimi
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. Stratejik Planlama
S.2. Stratejik Rekabet Analizi
S.3. Kuruluş Dışı Çevre Analizi
S.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi
S.5. Performans Programı Kurumsal Risk Yönetimi
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Stratejik Planlama Stratejik Planlamayı
açıklar
Stratejik Planlamayı
inceleyerek
Stratejik Rekabet Analizi Stratejik Rekabet Analizi
açıklar
Stratejik Rekabet Analizi
inceleyerek
Kuruluş Dışı Çevre
Analizi
Kuruluş Dışı Çevre Analizi
açıklar
Kuruluş Dışı Çevre Analizi
inceleyerek
Anahtar Kavramlar
Stratejik Planlama
Stratejik Rekabet Analizi
Kuruluş Dışı Çevre Analizi
Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi
Performans Programı Kurumsal Risk Yönetimi
10.1. Stratejik Planlama
Ülkeler, vatandaşlarının refahını artırmak, firmalar karlarını artırmak ve bireylerde
faydalarını artırmak için her geçen gün şiddetlenen küresel rekabet ortamında yüksek
seviyede bir mücadele sergilemektedirler. İktisadi birimlerin, bu mücadelede başarılı
olabilmelerinin en temel yollarından birisi, küresel rekabet dinamiklerini, çözümleyerek,
kendisi için en uygun rekabetçi stratejiyi formüle ederek, başarılı bir şekilde
uygulayabilmeleridir. Küresel rekabet dinamiklerine ayak uyduramayan, ülkeler, firmalar
ve bireyler, refahlarında ciddi oranda kazanç ve refah kayıplarıyla
karşılaşabilmektedirler. Diğer yandan, küresel rekabet dinamikleri hem mikroekonomi
(firma-sektör) hem de makroekonomi (ülke) düzeyinde sürekli ve yüksek hızla değişim
göstermektedir. Hem mikroekonomi hem de makroekonomi düzeyinde geleneksel
rekabet parametreleri yerlerini, modern rekabet parametrelerine bırakmaktadır. Kişisel
insiyatiflere ve doğal kaynaklara dayalı rekabet yönetim stratejileri, etkinliğini
kaybederken, bilim-teknoloji-inovasyon temelli, çok boyutlu esnek-kurumsal yönetim
stratejileri rekabette ön plana çıkmaya başlamıştır. Hem mikroekonomi hem de
makroekonomi alanında küresel rekabetin değişen bu dinamiklerini çözümleyerek,
gerekli kurumsal ve stratejik dönüşümleri yapan firmalar ve ülkeler küresel rekabette
yükselirken, bu değişimi çözümleyemeyen, gerekli dönüşümleri yapamayan firmalar ve
ülkeler de küresel rekabette geri kalmaktadır.İşletmeler, kurucularının belirlediği amaçlar
doğrultusunda, dinamik bir çevrede yaşamlarını sürdürürler. Temel amaçlarından birisi
işletmeninin, yeterli ve sürekli kâr etmektir. Bu temel amacı ne kadar başarılı
gerçekleştirebilirse, kurucularının ve yöneticilerinin belirlediği, misyon, vizyon ve diğer
amaçlara o kadar iyi ulaşabiliri.
İşletmenin amaçlarına ulaşabilmesi için, içinde bulunduğu rekabetçi ortama göre
kendisini uyarlaması gerekecektir. Bunun anlamı, işletmenin stratejik bir yönetim
süreciyle, firma içi, güçlü ve zayıf yönleri analiz etmesi, firma dışı çevreden gelecek,
fırsat ve tehditleri zamanında öngörebilmesi, ve bu dinamik süreçlerde kendi amaçlarına
ulaşmasını sağlayacak ve rakiplerine göre fark yaratacak bir yol seçmesi, bu yolda başarılı
bir şekilde gidebilmek için gerekli, tedbirleri alması, planlamaları yapması ve başarılı bir
şekilde bunu uygulayarak, sürekli etkinliği sağlaması gerekmektedir.
İşletmelerin, sürdürülebilir bir rekabetçi üstünlüğü sağlaması, amaçlarına etkin bir şekilde
ulaşabilmesi için firma içi ve firma dışı dinamikleri etkin bir şekilde yönetmesi süreci,
firmalar için stratejik yönetim sürecini gerektirmektedir. Bu bağlamda, stratejik yönetim
sürecinde, stratejik rekabet gücü ve başarılı stratejik yönetim çok büyük önem arz
etmektedir.Stratejik rekabet üstünlüğü, diğer bir ifadeyle stratejik rekabet gücü, firmanın
değer yaratan stratejisinin başarılı bir şekilde formule edip uygulandığında elde
edilmektedir. Diğer yandan, strateji, firmanın rekabet gücü kazanmak ve temel
yeteneklerinden yararlanmak için tasarlanan, eylemler ve yükümlülüklerin bütünleşik ve
koordineli bir setidir. Bu bağlamda, firma için bir strateji seçmek, firmanın neyi yapmak
istediği ve neyi yapmak istemediğini gösterir.ii
Şekil-1.1.’de iyi stratejik seçimler yapmada stratejik düşünme ve analiz süreci verilmiştir. Buna göre, firmanın içi ve firma dışı çevre analizinden
harektele, sahip oluna stratejilerin yeterliliği analiz edilir. Buradan hareketle de firmaya en uygun strateji firmanın sahip olduğu yapıya ve çevre
koşullarına göre şekillendirilir.
Kaynak : Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts and Cases, 8.edt. Irwin Pub. s.60
ENDÜSTRİ VE REKABETÇİ KOŞULLAR HAKKINDA
STRATEJİK ANALİZ Anahtar Sorular:
1. Endüstrinin hakim ekonomik özellikleri nelerdir?
2. Rekabet yapısı nedir, ve her bir rakip ne kadar güçlü?
3. Endüstrinin yapısının değişimesinin sebebi?
4. Hangi firmalar rekabette en zayıf ve en güçlü?
5. Kimin hangi stratejik hareketleri yapması olası?
6. Endüstride hangi anahtar faktörleri rekabetçi başarıyı
etkilemektedir?
7. Bu endüstri cazip mi? Ortalama üstü kar olasılığı nedir?
FİRMANIN KENDİ MEVCUT DURUMU HAKKINDA
STRATEJİK ANALİZ
Anahtar Sorular:
1. Firmanın Mevcut Rekabet Stratejisi Ne Kadar
İyi?
2. Firmanın Güçlü Ve Zayıf Yönleri Karşılatığı
Fırsat ve Tehditler Nelerdir?
3. Firmanın maliyetleri Rakiplerine Göre
HANGİ STRATEJİK
SEÇENEKLERE FİRMA
GERÇEKTEN SAHİP?
Mevcut Stratejinin
Daha İyileştirmesi
Mümkün Mü?
Yoksa Ana
Stratejinin
EN İYİ STRATEJİ HANGİSİ?
Anahtar Kriter:
Firmanın Mevcut Yapısına
Uygun Mu?
Rekabetçi Konum
Yakalamaya Yardımcı Mı ?
Firmanın Performansını
Şekil-1.1. İyi Stratejik Seçimler Yapmada Stratejik Düşünme Ve Analiz Süreci
DIŞ ÇEVRE
ANALİZİ
İÇ ÇEVRE
ANALİZİ
Vizyon
Misyon
Rekabetçi
Mücadele ve
Dinamikler
İş Seviyesinde
Strateji
STRATEJİ FORMULASYONU
ST
RA
TE
JİK
GİR
DİL
ER
ST
RA
TE
JİK
EY
LE
ML
ER
ST
RA
TE
JİK
SO
NU
ÇL
AR
Kurumsal Seviyede
Strateji
Ele Geçirme ve
Yeniden
Yapılandırma
Stratejileri
Uluslararası
Strateji
İşbirlikçi
Strateji
STRATEJİ UYGULANMASI
Stratejik
Liderlik
Kurumsal
Yönetim
Stratejik
Girişimcilik
Organizasyonel
Yapı ve Kontrol
Stratejik Rekabet Gücü
Ortalamanın Üzerindeki Getiri
Kaynak: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management of Strategy, Concepts., 8th edition.Ohio: South-Western College Pubishing
Şekil-1.2. Stratejik Yönetim Süreci
Şekil-1.2’de stratejik yönetim süreci verilmiştir. Buna göre, işletmenin stratejik yönetim sürecinde, temel aşamalar, iç ve dış çevre analizine bağlı
olarak, vizyon ve misyonun belirlenmesi, strateji girdileri oluşturmaktadır. Bu stratejik girdilere bağlı olarak, stratejik eylemler olarak, stratejinin
formulasyonu ve uygulanması ve bunlara bağlı olarak da, hedeflenen stratejik sonuçlar ortaya çıkmaktadır.
GERİ BESLEME
Şekil-1.3. Stratejik Karar Alma Süreci
Kaynak: Wheelen, T.L. and Hunger, J.D. (1994) “Strategic Decision Making Process” aktaran Wheelen, T.L. and Hunger, J.D. (1995) Strategic Management and Business Policy, Addision-
Wesley Inc.
STRATEJİ FORMÜLASYONU
Mevcut
Performans
Sonuçlarını
Değerlendir
Stratejik
Faktörleri
Belirle,
Fırsatlar
Tehditler
Mevcut Durum
Işığında
Stratejik
Faktörleri
(SWOT)
Analiz Et
İçsel Çevreyi
Analiz Et
Yapı,
Kültür,
Kaynaklar
Stratejik
Faktörleri
Belirle,
Güçlü
Zayıf Yönler
Misyon
Amaçları
Gerekli İse
Gözden Geçir
Ve Yenile
Stratejik
Alternatifleri
(Araçları)
Oluştur Ve
Değerlendir
En iyi
alternatifi
seç ve öner
Stratejileri
Uygula
Programlar
Bütçeler
Prosedürler
Dışsal Çevreyi
Analiz Et
Toplumsal
İş Çevr.
Mevcut
Misyon
Amaçlar
Stratejiler
Politikaları
İncele Ve
Değerlendir
Stratejik
Yöneticileri
Gözden Geçir:
Yönetim Kurulu
Tepe Yöneticileri
Değerlendir
Ve
Kontrol Et
7 6B 6A
5A
5B
4B 4A
3B 3A
2 1B 1A 8
Strateji Uygulanması
Aşaması
Değerlendirme
ve Kontrol
Aşaması
Şekil-1.3’te stratejik karar alma süreci verilmiştir. Buna göre, stratejik karar alma sürecine, öncelikle mevcut performans sonuçları değerlendirilerek başlanır, mevcut, misyon,
amaçlar, stratejiler, politikaları, incelenir ve değerlendirilir. Buna bağlı olarak stratejik yöneticiler gözden geçirilir, diğer yandan, firma içi yapılar ve firma dışı stratejik faktörler belirlenir.
Mevcut durum ışığında stratejik faktörleri (swot) analiz edip, buna bağlı olarak firmanın stratejik rekabet üstünlüğünü sağlayacak stratejilerin geliştirilmesi ve uygulanmasına geçilir.
Şekil-1.4’te stratejik planlama sürecinin genel yapısı verilmiştir. Buna göre, firmanın girdileri ve belirlenen amaçlarına göre bir kurum profili ortaya
çıkmaktadır. Bu profile bağlı olarak, işletmenin dış çevresi, çevrenin gelecekteki değişiminin tahmini, ortaya çıkacak fırsat ve tehditler, firma içi güçlü ve
zayıf yönlere bağlı olarak amaçlara ulaşma için alternatif stratejiler geliştirilir. Bu stratejilerde uygun olanlar seçili, iş kısa, ve orta vadeli planlara bağlı
olarak uygulamaya geçilir. Bu süreç içerisinde, sürekli tutarlılık testi ve acil durum planması da yapılır. Bu işletmenin amaçlarına ulşmak için geliştirdiği
stratejik planlama sürecidir.
Şekil-1.4. Stratejik Planlama Süreci
Kaynak: Weihrich, Heinz. (1982) “The TOWS Matrix -A Tool for Situational Analysis” Long Range Planning, Volume 15, Issue 2, April 1982, Pages 54-66
GİRDİ
İnsan
Sermaye
Yönetsel
Yetenekler
Teknik
Yetenekler
AMAÇLAR
KURUM
PROFİLİ
Acil Durum
Planlaması
Tutarlılık
Testi
Stratejik Seçimi
Değerlendirme
Uygulama
Kısa Vadeli
Planlama
Orta Vadeli
Planlama
Kaynak-
ların
Denetimi
Mevcut
Dış
Çevre
Çevrenin
Gelecek
Durum
Tahmini
Dış Çevre
Fırsat Ve
Tehditler
Alternatif
Stratejiler
Firma İçi
Zayıf ve Güçlü
Yönler
139
10.2. Stratejik Rekabet Analizi
Porter (2008)’iii e göre endüstride rekabeti şekillendiren faktörler, Şekil-3.6’da
verilmiştir. Bunlar, mevcut rakipler arasındaki rekabet, tedarikçiler, alıcılarla olan
rekabet, sektördeki mal-hizmetlerin ikame tehditleri ve yeni rakiplerden gelen tehditler
olarak karşımıza çıkmaktadır. Porter bu değişkenlere ilave olarak hükümet müdahaleleri
ve şansın da rekabet gücünün şekillenmesinde etkili olduğunu vurgulamıştır. Firmalar
rekabeti şekillendiren bu güçlere göre kendi rekabet üstünlüklerini ve kârlılıklarını
sürdürebilecek en uygun konumlandırma ve stratejiyi geliştirmeleri, uygulamaları
gerekmektedir.
Porter’ın endüstride rekabeti şekillendiren faktörlerine göre oyuncuların göreceli rekabet
güçleri ve aralarındaki ilişkiler rekabet yapısını etkilemektedir. Firmanın rekabet
üstünlüğü ve karlılığını koruyup geliştirebilmesi için, endüstri düzeyinde rekabet yapısını
etkileyen bu parametrelerini firmalar tarafından etkinlikle çözümlenerek, her bir rekabet
alanıyla ilgili olara firmaya rekabet avantajı sağlayacak optimal stratejiler geliştirilmesi
firma kârlılığı açısından son derece önemlidir.
Kaynak: Porter, Michael E. (1985), Competitive Advantage, Creating and Sustaining Superior Performance, Free Press.S.6
Not: Endüstride faaliyet gösteren iktisadi birimlerin iktisadi, sosyal, kültürel ve politik tercihleri de rekabet üzerinde etkili olabilmektedir.
Şekil-3.1. Porter’a Göre Endüstri Yapısınınn Bileşenleri
POTANSİYEL
RAKİPLER
İKAME
ÜRÜNLER
ALICILAR TEDARİKÇİLER
Endüstri
Rakipler
Yeni Rakiplerden
Gelen Tehditler
Mal ve Hizmetlerin
İkamelerinin Tehditi
Alıcıların
Pazarlık
Gücü
Tedarikçilerin
Pazarlık Gücü
Mevcut Rakipler
Arasındaki Rekabet
REKABETİN BELİRLEYİCİLERİ
Endüstrinin Büyümesi ;
Sabit (veya Stok) Maliyeti/Katma Değer
Aşırı Kapasite Dalgalanmaları
Ürün Farkları ; Marka Kimliği, Değişim Maliyeti
Yoğunlaşma ve Denge ; Bilgisel Karmaşıklık
Kurumsal Yükümlülükler, Çıkış Engeller
PAZARLIK KALDIRACI:
Firma Yoğunlaşmasında karşılık
alıcıların yoğunlaşması,
Alıcı hacmi,
Alıcı değiştirme maliyetinin firm
adeğiştirme maliyetine göre
durumu,
Alıcı Bilgi Yapısı,
Geriye Entegrasyon Yeteneği
İkame Ürünler, Dayanma Gücü
FİYAT DUYARLILIĞI
Fiyat / Toplam Satınalmalar
Ürün Farklılıkları
Marka Kimliği
Kalite ve performans etkisi
Alıcıların Karı
Karar Vericilerin Teşvikleri
ALICILARIN GÜCÜNÜN BELİRLEYİCİLERİ
İKAME ÜRÜN
TEHDİTİNİN
BELİRLEYİCİLERİ
İkamelerin göreceli fiyat
performans
Değiştirme Maliyeti,
İkame İçin Alıcıların
Eğilimi
TEDARİKÇİLERİN GÜCÜNÜN BELİRLEYİCİLERİ
Girdi Farklılaştırması,
Endüstride Tedarikçileri Ve Firmaları Değiştirme Maliyeti
Tedarikçi Yoğunlaşması
Tedarikçiler İçin Hacmin Önemi
Endüstride Toplam Satın Almaya Karşı Maliyet Yapsı
Girdilerin, Maliyet Ve Farklılaştırma Üzerinne Etkisi
Endüstride Firmalarla Geriye Doğru Entegrasyonunun
Tehdidine Karşı İleri Entegrasyon Tehdiri
PİYASAYA GİRİŞ ENGELLERİ
Ölçek Ekonomileri,
Ürün Farklılıklarının Tescili,
Marka Kimliği ; Değiştirme Maliyeti
Sermaye Gereksinimi ; Dağılıma Erişim,
Mutlak Maliyet Avantajı
Öğrenme Eğrisinin Tescili
Gerekli Girdilere Erişim
Düşük-Maliyetli Tasarım
Hükümet politikası, Beklenen Saldırı
142
Bu stratejilerin başında da tüm süreçlerde yaratılacak inovasyonlarla, maliyetler,
verimlilik, ürün çeşitliliği açısında fark yaratmak gelmektedir. Porter bu stratejileri
temelde, maliyet liderliği, farklılaştırma ve odaklanma olarak ortaya koymuştur. Bu
stratejilerin başarılı bir şekilde formülasyonu ve uygulanması işletmelerin rekabet
üstünlüğü ve firmanın karlılığına önemli ölçüde katkı yapabilmektedir. Firmaların
endüstriden ve rakiplerden kaynaklanan potansiyel tehditlerle baş edebilmeleri için etkin
stratejiler geliştirmeleri ve uygulamaları gerekmektedir.
Şekil-3.7’de firmanın rekabet stratejisi konsepti ve bileşenleri verilmiştir. Firmalar için
rekabet stratejisi tesis ederken, görüldüğü gibi firma içi ve firma dışı faktörler, şirketin
güçlü ve zayıf yanları, firma dışı çevreden gelecek fırsat ve tehditle, kilit konumdaki
uygulayıcıların kişisel değerleri ve toplumsal beklentiler, rekabet stratejisinin
şekillenmesinde büyük önem arz etmektedir. Bu faktörlerin göreceli önemi, yaratacağı
fırsat ve tehditlerin boyutları zamana ve koşullara göre farklılık gösterebilir. Ancak sektör
ve rakiplerden gelecek potansiyel rekabet tehditleri her zaman daha fazla önemini
koruyacaktır. Endüstrinin rekabet yapısı, şirketlerin stratejisi ve kârlılığını önemli ölçüde
etkilemektedir.
Kurumun iç paydaşları olan, ana ortaklar, çalışanlar ve departmanlar bazında değer
zincirinin analiz edilmesi önem arzetmektedir. Bu değer zincirinde iç paydaşların
sorunları ve çözülmesi gerekmektedir. Bu sebeple iç paydaşlara yönelik durum analizi
için paydaş anketleri ve geri dönüş sistemi kurulması gerekmektedir. Değer zincirine
katkı durumuna göre de iç paydaşlar önceliklendirmesi yapılabilir. Tablo-3.12. İç
Paydaşlar ve Değer Zinciri Analizi ve Şekil-3.1. Işletmede Değer Zinciri değerlendirme
çerçevesini sunmaktadır.
143
Firmanın
Güçlü Ve Zayıf
Yönleri
Sektördeki
Fırsatler Ve
Tehditler (Ekonomik Ve
Teknik)
Kilit
Konumdaki
Uygulayıcların
Kişisel Değerleri
Daha Genel
Toplumsal
Beklentiler
Firma Dışı
Faktörler Firma İçi
Faktörler
REKABETÇİ
STRATEJİ
Şekil-3.2. Porter’a Göre Rekabet Stratejisi Konsepti
Kaynak: Porter, Michael E. (1998), Competitive Strategy, Techniques for Analyzing Industries and Competititors, Free Press.
s.xxvi.
Not: Endüstride faaliyet gösteren iktisadi birimlerin iktisadi, sosyal, kültürel ve politik tercihleri de rekabet üzerinde etkili
olabilmektedir.
Tablo-3.1. İç Paydaşlar ve Değer Zinciri Analizi
İÇ PAYDAŞLAR Yetki Görev Sorumluluk
Değer Zincirine
Katkı Oranı
İç Paydaşların
Öncelikli Sorunları Sorunları Kaynakları Çözüm Önerileri
ORTAKLAR
ÇALIŞANLAR
Yöneticiler
Uzmanlar
İşçiler
DEPARTMANLAR
Üretim
Ar-Ge
Finansman
Muhasebe
İnsan Kaynakları
Pazarlama
Lojistik
Müşteri Hizmetleri
İŞVEREN
SENDİKALARI
Kaynak: Porter, 1995, Porter, Michael E. Ve Diğ, age World Economic Forum, Business Competitivennes İndex, 2007s.54
Şekil-3.3. Işletmede Değer Zinciri
FİRMA ALTYAPISI
(Finans, Planlama, Yatırımcı İlişkileri vb.)
İNSAN KAYNAKLARI YÖNETİMİ
(işe alma, iş doyumu, eğitim, ödeme sistemi vb.)
TEKNOLOJİ GELİŞTİRME
(Ürün Tasarımı, Süreç Tasarımı, Materyal, Pazar Araştırması vb.)
TEDARİK
(Parçalar, Makineler, Reklam, Servis vb.)
TEDARİK LOJİSTİK
(Materyal Depolama
Gelişi, Veri Toplama,
Servis, Müşteri
Erişimi)
OPERASYONLAR
(Montaj, paraçların
fabrikasyonu, şube
operasyonları)
SATIŞ SONRASI
SERVİS
(Kurulum,
müşteri desteği,
şikayet çözümü,
onarma)
DESTEK
LOJİSTİK
(Sipariş İşleme,
depolama, rapor
hazırlama)
DE
ST
EK
FA
AL
İYE
TL
ER
İ
DEĞER
(fiyat)
(Alıcının
Ödemek
İstediği
TE
ME
L
FA
AL
İYE
TL
ER
PAZARLAMA VE
SATIŞ
(Satış Gücü,
Promosyon,reklam,
teklif verme,
websitesi)
KAR
Marjı
Şekil-3.8’de Porter tarafından geliştirilen işletmede değer yaratım zincirinin bileşenleri verilmiştir. Buna göre, temel ve destek faaliyetlere
bağlı olrak, müşterinin bedelini ödemek istediği bir değer ortaya çıkar. Bu değer ne kadar yüksek niteliğe sahip olursa, alıcı gözündeki değeri
ve dolayısıyla işletmenin elde edeceği kar marjı da o kadar yüksek olacaktır. Bu bağlamda, işletmenin değer yaratım sistemin etkin bir şekilde
tasarlanıp, işletilmesi ve bileşenleri arasında yaratılacak sinerjinin maksimize edilerek, sorunların minimize edilmesi ortaya çıkacak değer,
fayda ve dolayısıyla kar marjının yüksekliğini belirleyecektir.
136
10.3. Kuruluş Dışı Çevre Analizi
Firmaların stratejilerini formüle etme süreçlerinde çok önemli dış çevre
analizlerinden birisi de ulusal ve uluslararası makroekonomik çevrenin analiz
edilmesidir. Bu bağlamda, ulusal ve küresel makro çevre içine giren, ekonomik çevre,
sosyokültürel, küresel, teknolojik, siyasi-hukuki, demografik çevrenin değişen
dinamikleri, aralarındaki karşılıklı etkileşim, makro çevresel değişkenlerin mikro
düzeyde sektörel etkileri ve buna bağlı olarak sektördeki rekabet dinamiklerindeki
değişim ve firmanın rekabet üstünlüğünün nasıl etkileneceği detaylı bir şekilde
incelenerek, optimal politika ve strateji tasarımı firma tarafından gerçekleştirilir.
Kaynak: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management of Strategy, Concepts., 8th
edition.Ohio: South-Western College Pubishing
Şekil-3.4. Dış Çevre Analizi
Ekonomik
Çevre
Küresel
Çevre
Demografik
Çevre
Sosyokültürel
Çevre
Siyasi/Hukuki
Çevre
TEKNOLOJİK
Çevre
Endüstriyel Çevre
Tedarikçilerin Pazarlık Gücü
Müşterilerin Pazarlık Gücü
İkame Ürünlerin Rekabeti
Yeni Firma Girişlerinin Yarattığı Tehdit
Rekabetin Yoğunluğu
Rakiplerden
Oluşan Çevre
137
Şekil-3.3., Şekil-3.4., ve Şekil-3.5’te dış makro çevre dinamiklerinin, firmayla
ilişkisi olan çıkar çevrelerinin, sektör ve firma üzerindeki olası etki çerçevesi verilmiştir,
firma bu dinamiklere bağlı olarak, kendi amaçlarını gerçekleştirmek için optimal politika
ve strateji tasarımını yaparak başarılı bir şekilde uygulamalıdır.
Şekil-3.5. Çevresel Değişkenler
Kaynak: Wheelen, L.T. and Hunger, J.D. (1995). Strategic Management and Business Policy, Addison-Wesley Pub S.11
İÇSEL ÇEVRE
Yapı, Kültür
Kaynaklar
İş Çevresi
Endüstri
Analizi Hissedarlar
Devlet
Hükümetler
Özel Çıkar Grupları
Müşteriler
Kreditörler Sivil Toplum
Ticari Birlikler
Rakipler
İşçiler Sendikalar
Tedarikçiler
Toplumsal
Çevre
Siyasi-Hukuki
Güçler
Sosyo-
Kültürel
Güçler Ekonomik
Güçler
Teknolojik
Güçler
Şekil-3.6. Toplumsal Çevre Analizi
Kaynak: Wheelen, L.T. and Hunger, J.D. (1995). Strategic Management and Business Policy, Addison-Wesley Pub, s.90
TOPLUMSAL ÇEVRE ANALİZİ
Ekonomi, Sosyokültürel, Teknolojik, Siyasi-Hukuki Faktörleri
Piyasa
Analizi
Rakipler
Analizi
Tedarikçilerin
Analizi
Devlet/Hükümet
Analizi
Çıkar Grupları
Analizi
Toplumsal
Analizi
Stratejik
Faktörlerin Analizi
Fırsatlar/Tehditler
138
10.4. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi
10.5. Performans Programı Kurumsal Risk Yönetimi
Kurum İçi Stratejik Risk Analizi kurumun karşılaşacağı maddi ve insan kaybı düzeyinin
öngörülerek minimize edilmesini hedeflemektedir. Bu amaçla kurum ve departman
düzeylerinde geçmiş yıllardaki maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri
tehlike ve risk analizi hesaplarının yapılarak mevcut ve gelecekteki zarar-kayıp
olasılıklarının bulunmasını amaçlar. Bu hesaplamalara göre de gerekli tedbirler alınarak
riskler ve tehlikeler minimize edilerek kayıplar en aza indirilebilir.
139
Geçmiş Dönemler Risk Analizi
Geçmiş Dönemler Risk Analizi kurum ve departman düzeylerinde geçmiş yıllardaki
maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi
hesaplarının yapılmasını amaçlar. Tablo-3.14. Geçmiş Dönemler Risk Analizi verilmiştir.
Tablo-3.2. Geçmiş Dönemler Risk Analizi (Son 5 Yılda Gerçekleşen)
Riskin Kaynağı Tehlike Risk Gerçekleşen
Kayıp
Değer Zincirine
Göre
Departmanlar
Kurum İçi Sebepler:
İnsan, Kurumsal Yapı,
Teknik Sistem, Kaza
Kurum Dışı Sebepler:
Doğal Afetler, Sabotaj,
Terör
Olası Kayıp Büyüklüğü (TL)
Kayıp Olasılığı
0≤P≤1
Tehlike*Risk
Tedarik 1.000.000 0,3 300.000
Depo
Üretim
Ar-Ge
Güvenlik
Hizmetleri
Bilişim
Hizmetleri
Finansaman
Pazarlama
Satış
Müşteri
Hizmetleri
……..
Cari Dönem Risk Analizi
Cari Dönem Risk Analizi kurum ve departman düzeylerinde içinde buluna yıl için maddi
ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi hesaplarının
yapılmasını amaçlar. Tablo-3.15. Cari Dönem Risk Analizi verilmiştir.
140
Tablo-3.3. Geçmiş Dönemler Risk Analizi (Cari Dönem)
Riskin Kaynağı Tehlike Risk Beklenen
Kayıp
Değer Zincirine
Göre
Departmanlar
Kurum İçi Sebepler:
İnsan, Kurumsal Yapı,
Teknik Sistem, Kaza
Kurum Dışı Sebepler:
Doğal Afetler, Sabotaj,
Terör
Olası Kayıp Büyüklüğü (TL)
Kayıp
Olasılığı
0≤P≤1
Tehlike*Risk
Tedarik 1.000.000 0,3 300.000
Depo
Üretim
Ar-Ge
Güvenlik
Hizmetleri
Bilişim
Hizmetleri
Finansaman
Pazarlama
Satış
Müşteri
Hizmetleri
Gelecek Dönem Risk Analizi
Gelecek Dönem Risk Analizi kurum ve departman düzeylerinde içinde gelecek yıllar için
maddi ve insani kayıp düzeyleri, bu kayıpların sebepleri tehlike ve risk analizi
hesaplarının yapılmasını amaçlar. Tablo-3.16. Gelecek Dönem Risk Analizi verilmiştir.
Tablo-3.4. Geçmiş Dönemler Risk Analizi (Son 5 Yılda Gerçekleşen)
Riskin Kaynağı Tehlike Risk Beklenen
Kayıp
Değer Zincirine
Göre
Departmanlar
Kurum İçi Sebepler:
İnsan, Kurumsal Yapı,
Teknik Sistem, Kaza
Kurum Dışı Sebepler:
Doğal Afetler, Sabotaj,
Terör
Olası Kayıp Büyüklüğü (TL)
Kayıp Olasılığı
0≤P≤1
Tehlike*Risk
Tedarik 1.000.000 0,3 300.000
Depo
Üretim
Ar-Ge
Güvenlik
Hizmetleri
Bilişim
Hizmetleri
Finansaman
Pazarlama
Satış
Müşteri
Hizmetleri
……..
141
Bu Bölümde Ne Öğrendik Özeti
Stratejik Planlama
Stratejik Rekabet Analizi
Kuruluş Dışı Çevre Analizi
Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi
Performans Programı Kurumsal Risk Yönetimi
142
Bölüm Soruları
S.5. Stratejik Planlama
S.6. Stratejik Rekabet Analizi
S.7. Kuruluş Dışı Çevre Analizi
S.8. Stratejik Plan ile Kurumsal Risk Yönetiminin Ilişkisi
S.9. Performans Programı Kurumsal Risk Yönetimi
.
143
11. KURUMSAL RİSK YÖNETİMİ UYGULAMASINI ETKİLEYEN
FAKTÖRLER VE ARAÇLAR
Bu Bölümde Neler Öğreneceğiz?
Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler
İşletme Büyüklüğü
Finansal Kaldıraç
Karlılık
Yönetim Kurulu Üyelerinin Bağımsızlığı
Denetim Firmaları
Coğrafi Çeşitlilik
Bağlı Ortak Sayısı
Büyüme
144
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklayınız.
S.2. İşletme Büyüklüğünü açıklayınız.
S.3. Finansal Kaldıracı açıklayınız.
S.4. Karlılığı açıklayınız.
S.5. Yönetim Kurulu Üyelerinin Bağımsızlığını açıklayınız.
S.6. Denetim Firmalarını açıklayınız.
S.7. Coğrafi Çeşitliliği açıklayınız.
S.8. Bağlı Ortak Sayısını açıklayınız.
S.9. Büyümeyi açıklayınız.
145
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
Kurumsal Risk
Yönetiminin Varlığını
Etkileyen Faktörler
Kurumsal Risk
Yönetiminin Varlığını
Etkileyen Faktörleri
açıklar
Kurumsal Risk
Yönetiminin Varlığını
Etkileyen Faktörleri
inceleyerek
İşletme Büyüklüğü İşletme Büyüklüğünü
açıklar
İşletme Büyüklüğünü
inceleyerek
Finansal Kaldıraç Finansal Kaldıracı
açıklar
Finansal Kaldıracı
inceleyerek
146
Anahtar Kavramlar
Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler
İşletme Büyüklüğü
Finansal Kaldıraç
Karlılık
Yönetim Kurulu Üyelerinin Bağımsızlığı
Denetim Firmaları
Coğrafi Çeşitlilik
Bağlı Ortak Sayısı
Büyüme
147
11.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler
Hızla artan rekabet ortamında, karşı karşıya kalınabilecek riskleri etkin ve sürdürülebilir
biçimde yönetebilmek için fırsat olan kurumsal risk yönetimi, ulusal ve uluslar arası
alanda faaliyet gösteren birçok işletme tarafından tercih edilen bir araç haline
gelmektedir. Kurumsal risk yönetimine sahip olan işletmeler, risklerini bölümler arasında
eşgüdümlü olarak yönetmeye çalışmakta; böylelikle işletmelere önemli rekabet üstünlüğü
kazandırmaktadır.
Kurumsal risk yönetimine sahip işletmeler, kendi faaliyet alanları ve organizasyon
yapıları doğrultusunda risk yönetimini uygulayabilmektedir. Başka bir anlatımla,
kurumsal risk yönetimi varlığını etkileyen karakteristik özellikler işletmeden işletmeye
farklılıklar gösterebilmektedir. Bu karakteristik özellikler işletmelerin büyüklüğü, aktif
karlılığı, bağımsız yönetim kurulu üyelerinin yönetim kurulu içindeki oranı, fınansal
kaldıraç derecesi ve dört büyük denetim firması ve coğrafi değişkenlik olmak üzere
sıralanabilmektedir. Aşağıdaki kesimde, bu etkenlerle ilgili açıklamalara yer
verilmektedir.
11.1.1. İşletme Büyüklüğü
İşletme büyüklüğünün artması, işletmelerde kurumsallaşma sorununu gündeme
getirmektedir. İşletme büyüklüğünün artmasıyla birlikte işletmelerin ekonomik
ömürlerini devam ettirebilmeleri açısından kurumsal yönetim anlayışı oldukça gereklidir.
Bu kapsamda, büyük işletmelerdeki kurumsal yönetim gereksinimi aynı zamanda
risklerin de kurumsal bakış açısıyla ele alınmasını gündeme getirebilmektedir.
Kurumsal yönetim, işletmelerdeki tüm faaliyetlerinin etik bakış açısıyla ele alınmasını
gerekli kılmaktadır. Büyük işletmeler, sermaye elde edebilmek açısından daha çok
yatırımcıya ihtiyaç duymakta; bu durum da basının ilgisini büyük işletmelerin üzerine
çekmektedir. Dolayısıyla büyük işletmeler, küçük işletmelere göre etik uygulamalar
konusunda daha duyarlı hale gelmektedir. Büyük işletmeler, daha çok sermaye elde
edebilmek amacıyla hissedarlar ve yönetim arasında meydana gelebilecek çıkar
çatışmalarını en aza indirmek zorundadır. Bu durum, büyük işletmelerde etik baskıları
gidermek ve çıkar çatışmaları en aza indirebilmek amacıyla risk yönetimi sistemi
kurulmasını da olumlu yönde etkilemektedir.
148
İşletmelerde kurumsal risk yönetimi varlığının belirleyicileri konusunda yapılan
çalışmalarda, işletme büyüklüğünün kurumsal risk yönetiminin önemli bir belirleyicisi
olduğu düşünülmektedir. Bu kapsamda, işletme büyüklüğü ile kurumsal risk yönetimi
sisteminin varlığı arasında pozitif bir ilişki beklenmektedir. İşletmelerin giderek
büyümesi ile birlikte işletmeler daha fazla riske maruz kalmakta; böylelikle büyük
işletmelerde risklerin kurumsal bakış açısıyla ele alınması faaliyetleri küçük işletmelere
göre daha çok tercih edilmektedir.
11.1.2. Finansal Kaldıraç
Bir işletmede finansal kaldıraç derecesinin yüksek olması, o işletmedeki borç oranının
yüksekliğini ifade etmektedir. Yüksek kaldıraç derecesine sahip işletmelerin, fınansal
sorunlar yaşaması; fınansal kaldıraç derecesi düşük olan işletmelere göre daha yüksektir
Yapılan çalışmalar sonucunda, hem fınansal hem de fınansal olmayan işletmeler üzerinde
yapılan değerlendirmelerde, fınansal kaldıraç oranı ile kurumsal risk yönetiminin varlığı
arasında pozitif bir ilişki ortaya konduğu belirtilebilir. Buna göre, işletmelerde borç
kullanma oranının artmasının işletmeleri daha kaliteli ve güvenilir risk yönetimi
faaliyetleri konusunda güdülediği kabul edilebilir.
11.1.3. Karlılık
Karlılık, işletmelerin kazanç elde etme yeteneği olarak tanımlanabilir. Karlılık ile işletme
faaliyetlerinin verimli olup olmadığı hakkında görüş elde edilebilir. Finansal oranlar
kapsamında, karlılık üç şekilde ele alınabilir. Bunlar, net karın toplam satışlara oranı; net
karın toplam özkaynaklara oranı ve üçüncüsü net karın toplam varlıklara oranıdır.
Karlılık ve kurumsal risk yönetimi ilişkisi kapsamında, literatürde farklı bulgulara
ulaşılan çalışmalar olduğu belirtilebilir. Ancak, kurumsal risk yönetiminin işletme
kaynaklarının daha verimli kullanılmasına yönelik bir sistem olduğu kabul edildiğinde,
karlılık oranı yüksek işletmelerde kurumsal risk yönetimi varlığının görülme olasılığının
daha yüksek olması beklenmektedir.
149
11.1.4. Yönetim Kurulu Üyelerinin Bağımsızlığı
Yönetim kurullarında bağımsız yöneticilerin olmasının fınansal
raporların güvenilirliği konusunda önemli bir belirleyici olduğu kabul edilebilir.
Bağımsız yönetim kurulu üyelerinin işletme faaliyetleriyle ilgisinin olmaması,
hissedarlar ile yönetim arasında önemli bir görev üstlenmesine neden
olmaktadır. Bu doğrultuda, bağımsız yönetim kurulu üyelerinin işletmelerdeki
temsil maliyetini azaltıcı bir rol üstlendiği belirtilebilir.
İşletmelerde bağımsız yönetim kurulu üyelerinin yer alması, özellikle
kurumsal yönetim varlığı hakkında önemli bir gösterge olarak kabul edilebilir.
Bu kapsamda, kurumsal yönetimi başarılı bir şekilde uygulayan işletmelerin
kurumsal risk yönetim sistemine daha kolay uyum sağlayacağı belirtilebilir.
Dolayısıyla, bağımsız yönetim kurulu üyeleri ile kurumsal risk yönetimi
arasında pozitif yönlü bir ilişkinin varlığından bahsedilebilmektedir.
11.1.5. Denetim Firmaları
Bağımsız denetim yapan firmalar, halka açık işletmelerin fınansal tablolarının gerçeğe
uygun bir şekilde hazırlanıp hazırlanmadığı konusunda görüş bildiren kuruluşlardır.
Yaşanan işletme skandalları sonrasında, bağımsız denetim firmaları seçimine verilen
önem giderek artmaktadır. Denetim firmalarının ünü ile kurumsal risk yönetimi varlığı
arasında pozitif yönlü bir ilişki tespit edilmiştir.
11.1.6. Coğrafi Çeşitlilik
Coğrafi çeşitlilik, işletmelerin toplam satış tutarı içerisindeki bir ya da birden fazla ülkeye
yaptığı satışlar olarak belirtilebilir. İşletmelerin bir ya da birden fazla ülkeye
gerçekleştirdiği satışlar (ihracat), o işletmenin diğer ülkelerle olan ticari ilişkilerini
göstermesi bakımından önemlidir. Kurumsal risk yönetiminin işletmelerin farklı
coğrafyalarda karşılaşabileceği risklerini yönetebilmeleri konusunda önemli bir
mekanizma olabileceğini ve coğrafi çeşitliliğin kurumsal risk yönetimi varlığını pozitif
yönde etkilediği sonucuna ulşamıştır.
150
11.1.7. Bağlı Ortak Sayısı
Bağlı ortaklık, işletmenin, adi ortaklık gibi tüzel kişiliği olmayan işletmeler de dahil
olmak üzere, (ana ortaklık olarak bilinen) başka bir işletme tarafından kontrol edilen
işletmeler olarak tanımlanmaktadır. Bağlı ortaklıklar, işletmenin kurumsal şeffaflık
düzeyini sınırlandıran unsurlar arasında gösterilmektedir. Dolayısıyla, bağlı ortaklık
sayısı fazla; başka bir deyişle farklı coğrafyalarda faaliyet gösteren işletmelerde kurumsal
yönetim ilkelerinin uygulanabilmesi güçleşebilmektedir. Bu kapsamda, bağlı ortaklığın
kurumsal risk yönetimi varlığını etkileyen belirleyicilerden biri olduğu kabul edilebilir.
11.1.8. Büyüme
Büyüme potansiyeline sahip olan işletmeler daha fazla belirsizlikle karşı karşıya
kalabilmekte ve böylece daha iyi bir risk yönetimi modeline ihtiyaç duyabilmektedir. Bu
gibi işletmelerin kurumsal risk yönetimine yönelik daha fazla yatırımı ve kurumsal risk
yönetim müdürüne sahip olmaları olasıdır. Kurumsal risk yönetimi sadece risklerin
azaltılmasına değil; aynı zamanda yeni büyüme fırsatlarının elde edilmesine de katkı
sağlamaktadır.
151
Bu Bölümde Ne Öğrendik Özeti
Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörler
İşletme Büyüklüğü
Finansal Kaldıraç
Karlılık
Yönetim Kurulu Üyelerinin Bağımsızlığı
Denetim Firmaları
Coğrafi Çeşitlilik
Bağlı Ortak Sayısı
Büyüme
152
Bölüm Soruları
S.1. Kurumsal Risk Yönetiminin Varlığını Etkileyen Faktörleri açıklayınız.
S.2. İşletme Büyüklüğünü açıklayınız.
S.3. Finansal Kaldıracı açıklayınız.
S.4. Karlılığı açıklayınız.
S.5. Yönetim Kurulu Üyelerinin Bağımsızlığını açıklayınız.
S.6. Denetim Firmalarını açıklayınız.
S.7. Coğrafi Çeşitliliği açıklayınız.
S.8. Bağlı Ortak Sayısını açıklayınız.
154
Bu Bölümde Neler Öğreneceğiz?
İç Denetimin Tanımı
İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri
İç Denetimin Kapsam ve Alanı
İç Denetimin Amacı
İç Denetim Sisteminin Özellikleri ve Etkililiği
İç Denetim Unsurları
Nesnel Güvence Sağlama
Bağımsız Olma
Tarafsız Olma
Danışmanlık Hizmeti Verme
Kurum Faaliyetlerine Değer Katma ve Geliştirme
Standartlara Uygunluk
İç Denetim Türleri
Uygunluk Denetimi
Performans Denetimi
Mali Denetim
Bilgi Teknolojisi Denetimi
Sistem Denetimi
İç Denetim Teknikleri
155
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. İç Denetimin Tanımlayınız?
S.2. İç Denetim Faaliyetine İhtiyaç Duyulma Nedenlerini açıklayınız.
S.3. İç Denetimin Kapsam ve Alanını açıklayınız.
S.4. İç Denetimin Amacı nedir.
S.5. İç Denetim Sisteminin Özellikleri ve Etkililiğini açıklayınız.
156
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım Kazanımın nasıl elde
edileceği veya geliştirileceği
İç Denetimin Tanımı İç Denetimin Tanımı açıklar İç Denetimin Tanımı
inceleyerek
İç Denetim Unsurları İç Denetim Unsurları açıklar İç Denetim Unsurları
inceleyerek
İç Denetim Türleri İç Denetim Türleri açıklar İç Denetim Türleri
inceleyerek
157
Anahtar Kavramlar
İç Denetimin Tanımı
İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri
İç Denetimin Kapsam ve Alanı
İç Denetimin Amacı
İç Denetim Sisteminin Özellikleri ve Etkililiği
İç Denetim Unsurları
Nesnel Güvence Sağlama
Bağımsız Olma
Tarafsız Olma
Danışmanlık Hizmeti Verme
Kurum Faaliyetlerine Değer Katma ve Geliştirme
Standartlara Uygunluk
İç Denetim Türleri
İç Denetim Teknikleri
158
12.1.İç Denetimin Tanımı
İç Denetçiler Enstitüsü tarafından 1947 yılında yapılan tanımlamaya göre iç denetim “bir
kuruluş hizmeti olarak kurumun faaliyetlerini incelemek ve değerlendirmek için
kuruluştaki yerleşik bağımsız bir değerleme işlevi” dir.
Bu dönemde iç denetimin temel amacı mali bilgilerin doğruluğunu ve güvenilirliğini
tespit etmek olarak kabul edilmektedir. Günümüzde bahsedilen amaçlar önem ve
geçerliliğini korumakla birlikte iç denetimin kuruma “danışmanlık hizmeti” vermesi ve
“değer katması” da istenmektedir. Söz konusu beklenti iç denetimin amacına yönelik
yapılan yeni tanımlamalarda da kendini göstermektedir.
Kurum içerisinde iç denetim faaliyetinin gerekliliği 1987 yılında Treadway Komisyonu
tarafından yayımlanan raporda “Kamu kurumları kapsam ve büyüklüklerine uygun yeterli
sayıda kaliteli personelle birlikte etkili bir iç denetim fonksiyonuna sahip olmalıdır.”
sözleriyle vurgulanmıştır.
İlkinin tanımdan daha çok giriş ya da tanıtım özelliği taşıdığı düşünüldüğünden 1999
yılında IIA tarafından tekrar bir tanımlama yapılmıştır. Buna göre; iç denetim bir
kurumun çalışmalarına değer katmak ve onu geliştirmek amacı güden bağımsız ve
objektif bir güvence ve danışmanlık faaliyetidir.
Yeni tanımda iç denetim, önemli mesleki ve teknik yetenekler gerektirmekle beraber bir
güvence mekanizması olarak, kayıtların doğruluğundan çok kurum faaliyetlerini dikkate
alarak, bunların etkinliği ve verimliliği üzerine artı değer yaratmayı hedefleyen bir sistem
olarak ifade edilmektedir. Güvence hizmeti; risk yönetimi, kontrol ve kurumsal yönetişim
süreçlerinin tarafsız değerlendirildiğine dair objektif bir delil niteliği taşımaktadır. Yeni
tanımda mesleğin ana hedefleri özetlenerek bu hedeflere ulaşmayı sağlayacak metotlara
yer verilmektedir. Ayrıca “iç denetim departmanı” yerine “iç denetim faaliyeti” kavramı
kullanılmıştır. Böylece söz konusu hizmetin kurum içi ya da kurum dışından iç
denetçilerce yerine getirilebileceği vurgulanmaktadır. İç denetimin yeni tanımındaki
temel unsurlar şunlardır:
i. Kurumun hedeflerine ulaşmasına yardımcı olmak: Hedefler, kurumun ulaşmak
istediği noktayı göstermekte ve bu noktaya ulaşabilmesi için hedeflerin başarılması
gerekmektedir. En üst seviyede hedefler, kurum misyon ve vizyonu ile
ilişkilendirilmektedir. Misyon kurumun bugün bulunduğu noktayı, vizyon ise gelecekte
159
ulaşmak istediği noktayı ifade etmektedir. Hedefler, misyon ve vizyona uygun
belirlenmiş ve başarıyla uygulanıyor olmalıdır. Kurum hedefleri stratejik, faaliyet,
raporlama ve uygunluk ana başlıkları altında sınıflandırılmaktadır.
ii. Kurumun risk yönetimi, kontrol ve kurumsal yönetişim süreçlerinin etkinliğini
değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşımla
hedeflere ulaşılmasına yardımcı olur. Kurumsal yönetişim, kurumun hedeflerine
ulaşabilmesi için yönetim kurulu tarafından yapılan yetkilendirme ve yönetim sürecidir.
Kurumsal yönetişim ile yakın bağlantılı olan risk yönetimi, hedeflere ulaşılmasını
engelleyecek belirsizliklerin ya da risklerin yönetim tarafından belirlenmesi ve
yönetilmesi sürecidir. Risk yönetimi içerisine yerleştirilmiş olan kontrol, risklerin
yönetim tarafından kabul edilebilir bir seviyeye indirilmesi sürecidir. Yönetim kurulu ve
yönetimin kurumsal yönetişim, risk yönetimi ve kontrol süreçlerini birlikte etkin bir
şekilde yönetmesi gerekmektedir. Bu noktada iç denetçilerin, bu süreçlerin
değerlendirilmesi ve geliştirilmesi hususlarında önemli rolü bulunmakta; ancak bu rol
rehberlik ya da danışmanlık hizmetinin ötesine geçememektedir.
iii. Kurumu geliştirmek ve kuruma değer katmak amacı taşıyan danışmanlık ve
güvence faaliyetleri kurumun eksiklerini görmesini sağlamaktadır. Güvence hizmeti hem
kurumun hem de paydaşların, değerlendirmeleri dikkate alarak hareket etmesini
sağlamaktadır.
iv. Bağımsız ve tarafsızdır. Bağımsızlık, iç denetim faaliyetinin örgütsel durumunu;
tarafsızlık ise iç denetçilerin önyargısız değerlendirmelerde bulunmasını ifade
etmektedir.
Kısaca iç denetim, kuruma fayda sağlamak amacıyla kurum faaliyet ve işlemlerini
incelemek ve değerlendirmek üzere kurum içinde örgütlenmiş; ancak kurumdan bağımsız
işlev gören bir değerleme fonksiyonudur
12.2.İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri
Sorumluluk ve Hesap Verebilme: Her kurumda ya da işletmede yöneticiler
yetki ve sorumluluklarının bir kısmını kendilerine bağlı olarak çalışan kişilere
devretmektedir. Yöneticiler, devrettikleri yetkilerin etkin ve verimli kullanılıp
kullanılmadığını değerlendirmede iç denetçilerden faydalanmaktadır. İç denetçiler bilgi
160
15
toplama, şartları analiz etme ve problemleri tanımlama alanındaki yetkinlikleri sayesinde
doğrudan yöneticilere ve dolaylı olarak da kuruma fayda sağlamaktadır.
Vekâlet Teorisi. İşletme sahipleri ya da kurum yöneticileri emanet ettikleri kaynakların
etkin ve verimli işletilip işletilmediğinden emin olmak ister. Yönetici şüphelerinin
ortadan kalkmasında rol oynayan en önemli yetkililer de iç denetçilerdir. İç denetçiler
gerek finansal gerekse finansal olmayan alanlarda yaptıkları denetimlerle kuruma artı
değer katmakta ve yöneticiye makul bir güvence sunmaktadır.
Yönetime Danışmanlık ve Yardım. Planlama, organizasyon, yönetim ve kontrol alanında
bilgi sahibi olan iç denetçiler, hileli işlemleri ortaya çıkarmanın yanı sıra ileride benzer
sorunlarla karşılaşılmasını engellemek amacıyla yöneticilere danışmanlık ve eğitim
hizmeti sunmaktadır.
Tasarruf İhtiyacı. İç denetçilerin risk denetimi ve yönetim uygulamaları sayesinde kurum
ya da işletmeler hata, hile ve usulsüzlük gibi durumlar ortaya çıkmadan gerekli tedbirleri
alma fırsatı yakalamaktadır. Bu sayede maddi açıdan büyük tasarruf sağlanmakta ve hatta
çoğu zaman tasarruf miktarı iç denetim biriminin işletmeye olan maliyetini karşılamakta
ya da maliyeti aşmaktadır.
Hileli İşlemlere Karşı Korunma İhtiyacı. Hileli işlemlerin kuruma vereceği zararların
önüne geçilmesinde iç denetim sistemi çok önemli bir geri besleme mekanizması rolü
üstlenmektedir.
12.3.İç Denetimin Kapsam ve Alanı
İç denetçiler kurum ihtiyaçlarını karşılamak amacıyla “iç kontrol, uygunluk, yolsuzluk,
faaliyet ve yönetim denetimleri, danışmanlık faaliyetleri ve kurumsal risk yönetimi”
alanlarında faaliyet göstermektedir.
Her bir kategori farklı hedef ve odak noktalarına sahiptir. Kategoriler farklı şekillerde
yeniden yapılandırılabilir. Örneğin; bazı denetçiler faaliyetlerini finansal, bilgi sistemleri
ve danışmanlık olarak tanımlamaktadır. Bireysel denetimin tanımı ve
kapsamı büyük ölçüde amaca göre belirlenmektedir. İç denetim faaliyetleri kısaca
aşağıdaki şekilde tanımlanabilir.
161
İç Kontrol Denetimleri: Kurumların amaçlarına ulaşmasını sağlayacak uygun bir iç
kontrol sisteminin oluşturulması ve sürdürülmesi için değerlendirmeler yapılması ve
önerilerde bulunulması sürecini kapsamaktadır.
İç kontrol denetiminin amacı belirli bir iç kontrol sisteminin kurum hedeflerine
ulaşılmasını sağlamada ne derece yeterli olduğuna dair yönetime bilgi sağlamaktır. Bu
denetimler iç kontrol hedeflerine odaklanmaktadır. Temel amacı etkili bir iç kontrol
sisteminin tanımlanmış hedeflere ulaşılmasını garantiye almada ne derece etkili olduğunu
ölçmektir. İç denetçiler, iç kontrol sistemindeki hatalı, hileli ve riskli durumları ortaya
koymak suretiyle üst yöneticilere bir nevi rehberlik hizmeti sunmaktadır.
Uygunluk Denetimleri: Plan, politika, prosedür, yasa, düzenleme ve anlaşma
hükümlerine uygunluk düzeyi hakkında yönetime bildirim sağlamayı hedefleyen
denetimdir. Politika, prosedür ve kanunların belirsiz ya da uygunluk derecesinin
sorgulanabilir olduğu durumlarda uygunluk denetimleri genelde göründükleri kadar açık
olmayabilir. Bu gibi durumlarda denetçiler sıklıkla makul uygunluk değerlerine
odaklanmaktadır.
Yolsuzluk Denetimleri: Yolsuzluk faaliyetlerinin olması durumunda ya da
şüphelenilmesinde yolsuzluk mevcudiyetini ve kapsamını tespit veya teyit eden yönetime
bilgi sağlayıcı belli denetim faaliyetleri gerçekleştirilmektedir. İç denetçilerin yolsuzluk
göstergelerini tespit edici yeteneğe sahip olması beklenmekle birlikte yolsuzluk alanında
uzman olan kişilerin sorumluluğundaki tespit ve teftiş faaliyetlerinde bulunmaları
beklenmemektedir.
Faaliyet ve Yönetim Denetimleri: Faaliyet denetimi her birimin faaliyet alanındaki
hedeflerine ulaşma ve kaynak kullanımındaki etkinlik , verimlilik ve ekonomikliğin
denetimidir. Örneğin; yatırım stratejileri, maliyet-fayda analizi, risk yönetimi ve
sözleşme yönetimi gibi belli faaliyet ya da fonksiyonel alanlar değerlendirilmektedir.
Yönetim süreci kurumdaki rolleri ve davranışları belirleyen, sorumlulukları tanımlayan,
hedef ve stratejiler geliştiren, kurumsal performansı ölçen kuruma özgü ve sürekli
değişen bir kültürel yapıdır. süreçlerinin denetiminde, hesap verme sorumluluğunu
geliştirmek amacıyla kurumsal yapı ve yönetim süreçlerinin etkililiği değerlendirilmekte
ve önerilerde bulunulmaktır. Etik ve kurumsal değerlerin geliştirilmesi, kurumsal
performans yönetimi ve hesap verebilirliğin sağlanması, risk yönetim ve kontrol
162
süreçlerinin etkinliği, iç ve dış denetçiler arasındaki eşgüdümün sağlanması şeklinde
örneklendirilebilen yönetim süreçlerinin iyileştirilmesi amacıyla iç denetim sistemi;
riskler, zayıflıklar ve bunlardan korunma ve iyileştirme hususlarında kuruma tavsiyelerde
bulunucu rol üstlenmektedir.
Buraya kadar açıklanan iç kontrol, uygunluk, yolsuzluk ve faaliyet denetimlerinin her biri
aynı genel özellikleri paylaşmaktadır. Bunlar:
i. Denetim hedeflerine sahiptirler.
ii. Kanıt elde etmek için çeşitli analitik ve test yöntemleri kullanırlar.
iii. Denetim sonuçları raporlanmakta ve raporlar tavsiye verici nitelik taşımaktadır.
Danışmanlık Faaliyetleri: İç denetime yönelik talep artışında yönetime sundukları
danışmanlık hizmetinin büyük rolü bulunmaktadır. Danışmanlık hizmeti, kurumun
hedeflerini gerçekleştirmeye yönelik faaliyet ve işlem süreçlerinin sistemli ve düzenli bir
şekilde değerlendirilmesi ve geliştirilmesine yönelik önerilerde bulunulmasıdır (Soydan,
2008: 38). İç denetim özellikle risk yönetimi, kontrol ve yönetim süreçlerini geliştirmede
idarelere yardımcı olmak üzere bağımsız ve tarafsız bir danışmanlık hizmeti sunmaktadır.
İç denetçiler hem bulundukları pozisyon gereği hem de sahip oldukları yetenek, tecrübe
ve araçlardan dolayı yönetime danışmanlık hizmeti sunma konusunda avantajlı
konumdadır.
Kurumsal Risk Yönetimi: İç denetçilerin kuruma değer katma amacı ile hizmet verdikleri
yeni; fakat önemi giderek artan bir alandır.
12.4.İç Denetimin Amacı
İç denetimin temel amacı kurumsal yönetişimi desteklemek ve güçlendirmek, risk
yönetimi ve kontrol sistemlerinin etkililik ve yeterliliğini değerlendirerek geliştirmektir.
Yeterlilik ve etkililik kavramlarının iç denetçi için ne ifade ettiği oldukça önemlidir. İç
kontrol sisteminin yeterliliği; iç kontrol sisteminin risklere karşı geliştirdiği kontrol
önlem mekanizmalarının niceliksel ve niteliksel varlığıdır. Burada iç denetçi verimliliği
ölçmek amacıyla yönetim tarafından faaliyet standartlarının belirlenip belirlenmediğini,
belirlenen standartların anlaşılıp anlaşılmadığını, standartlardan sapmaların tespit edilip,
163
düzeltici önlemleri almakla sorumlu kişilere iletilip iletilmediğini ve düzeltici
önlemelerin alınıp alınmadığını belirlemekle sorumludur. İç kontrol sisteminin
yeterliliğinin incelenmesinin amacı kurumun amaç ve hedeflerini gerçekleştirmede
makul bir güvence sağlayıp sağlamadığını araştırmaktır. İç kontrol sisteminin
etkililiğinden ise kurum faaliyetlerinin; yönetim politika, plan, program ve mevzuata
uygunluğunun değerlendirilmesi kast edilmektedir. Performans kalitesinin
incelenmesinin amacı kurum amaç ve hedeflerine ulaşma düzeyini belirlemektir.
İç denetim sistemi, kamu idaresinin varlıklarının güvence altına alınması, iç kontrol
sisteminin etkililiği ve risklerin asgarîye indirilmesi için kurum faaliyetlerini olumsuz
etkileyebilecek risklerin tanımlanması, gerekli önlemlerin alınması, sürekli gözden
geçirilmesi ve mümkünse sayısallaştırılması konularında yönetime önerilerde
bulunmakta ve makul güvence sunmaktadır.
Makul ya da nesnel güvence sağlama, kurum içerisinde etkin bir iç denetim sisteminin
var olduğuna; kurum risk yönetimi ve iç kontrol sisteminin ve işlem süreçlerinin etkin bir
şekilde işlediğine; üretilen bilgilerin doğruluğuna ve tamlığına; varlıklarının
korunduğuna; faaliyetlerin etkili, ekonomik, verimli ve mevzuata uygun bir şekilde
gerçekleştirildiğine dair kurum içine ve dışına yeterli güvencenin verilmesidir.
12.5.İç Denetim Sisteminin Özellikleri ve Etkililiği
Geçmişteki işlem ve hata odaklı iç denetim yaklaşımı günümüzde süreç odaklı işlemekte,
işin etkinliğinin artırılmasına yönelik stratejik akıl ortaklığına doğru değişim ve gelişim
göstermektedir. Kurumsal yönetişim kapsamında iç denetimin rolü değerlendirildiğinde;
süreçlerin iyileştirilmesi, insan kaynağının geliştirilmesi, kurumsal performans ve
verimlilik yönetimi, kurum içi iletişim, iyi uygulamaların paylaşımı, katma değer
yaratılması ve kalitenin geliştirilmesi hususlarında etkin rol oynadığı görülmektedir.
İç denetim, kurumsal yönetişim yapısının önemli bir parçasıdır ve bu önem IIA tarafından
uygulama standartları 2130-1’de şu şekilde vurgulanmıştır: “Bir kurumun etik kültüründe
iç denetçinin rolü etik kültürü desteklemek ve bu sayede varlıkların kötüye kullanılmasını
önlemede yardımcı olmaktır.”
164
Kurumdaki iç denetim faaliyeti; kurum içindeki avantajlı konumu, geniş faaliyet alanında
farklı türde denetimleri incelemesi, iç denetim ekibinde farklı türde multidisipliner
geçmişe sahip bireyler bulunması sayesinde diğer hizmetler arasında avantajlı ve önemli
bir konumdadır.
İç denetim sisteminin etkililiğini iç denetim faaliyetinin yürütülmesi aşamasında
uyulması zorunlu olan iç denetim standartları belirlemektedir. İç denetim faaliyetinin
kurum içindeki konumu, faaliyet ve görev alanları, kurumsal düzeyde her türlü bilgi,
belge, kayıt, varlık ve alanlara erişim yetkisi, bağımsızlık ve tarafsızlığı, iç denetim
sorumlularının yetkinlikleri, yönetimi, gözetimi, raporlama ve kalite güvencesinin
standartlarda belirlenen tanımlama ve yaklaşımlara uygun olması iç denetimin kurumdaki
etkililiğini belirleyen temel faktörler kapsamına girmektedir. İç denetim faaliyetinin etkili
yürütülebilmesi, iç denetim yöneticisinin sorumluluklarını yerine getirmesine engel
olmayacak bir yönetim seviyesine bağlı olmasını gerekli kılmaktadır. Ayrıca faaliyetlerin
mesleki özen ve dikkat unsuru dikkate alınarak yürütülmesi etkililiğin artırılmasında
belirleyici rol oynamaktadır.
Mesleki özen ve dikkat; hizmette amaca ulaşmayı sağlayıcı görev kapsamını, görev
kapsamı içerisinde yer alan konuların karmaşıklığını, risk yönetimi, kontrol ve kurumsal
yönetişim süreçlerinin etkinliği ve yeterliliğini, önemli hata, düzensizlik ya da aykırılık
olasılığını ve göreve ilişkin potansiyel faydaların maliyetini dikkate almayı
gerektirmektedir. İç denetim sisteminin katma değer sağlayıcı işlevinin ön plana
çıkarılabilmesi için iç denetim faaliyetinin risk odaklı planlanması, kurum üst
yönetimiyle iletişim, raporlama ve takip sisteminin etkin işler hale getirilmesi
gerekmektedir.
12.6. İç Denetim Unsurları
İç denetim sistemi; nesnel güvence sağlama, bağımsız ve tarafsız olma, danışmanlık
hizmeti verme, kurum faaliyetlerine değer katma ve geliştirme ve standartlara uygunluk
unsurlarından oluşmaktadır.
12.6.1.Nesnel Güvence Sağlama
İç denetçinin süreç, sistem veya başka bir konu hakkında bağımsız görüş veya kanıt
sunabilmesi için gerekli bulguların tarafsızca değerlendirilmesini sağlayan güvence
hizmetinde üç taraf bulunmaktadır. Bunlar:
165
i. Süreç Sahibi: Süreç, sistem ya da ele alınan bir diğer konunun doğrudan içinde
olan kişi veya grup.
ii. İç Denetçi: Değerlendirmeyi yapan kişi ya da grup.
iii. Kullanıcı: Değerlendirme sonuçlarını kullanan kişi ya da grup.
Tarafların değerlendirmeleri neticesinde iç denetim sisteminin nesnel güvence sağlama
boyutu işlevselleşmektedir.
İç denetim sistemi kurum içerisinde etkin bir iç kontrol sisteminin var olup olmadığına;
idarenin risk yönetim işlem süreçlerinin etkin işleyip işlemediğine; üretilen bilgilerin
doğru ve tam olup olmadığına; varlıklarının korunup korunmadığına; faaliyetlerin etkili,
ekonomik, verimli ve mevzuata uygun gerçekleştirilip gerçekleştirilmediğine dair kurum
içine ve dışına makul bir güvencenin verilmesini sağlamaktadır.
12.6.2.Bağımsız Olma
Denetimde “bağımsızlık” kavramının kullanılmaya başlanması mali tabloların denetim
sürecine dayanmaktadır. Mali tabloların şirket dışındaki kişiler tarafından
denetlenmesiyle ortaya çıkan ve zamanla dış denetimin önemli bir parçası haline gelen
bağımsızlık kavramının iç denetim açısından önem kazanması klasik iç denetim
anlayışından modern iç denetim yaklaşımına geçiş ile birlikte gerçekleşmiştir.
Bağımsızlık, iç denetçilerin denetime ilişkin karar ve yargılarının kendilerine özgü
olmasını yani başkalarının düşünce ve değer yargılarına bağlı olmamasını ifade
etmektedir. Denetimin herhangi bir önyargı ve sübjektiflik içermeden
gerçekleştirilmesini gerektirir. Denetçiler açısından bağımsızlık bazen zihinsel bir tutum
veya denetçinin karakteri ile ilgili bir husus bazen de doğruluk, dürüstlük ve objektiflik
gibi çeşitli anlamlar ifade etmektedir.
12.6.3.Tarafsız Olma
Kişiye bağlı bir tutum olan tarafsızlık incelenen olay veya süreç hakkında kişisel çıkar
veya başkalarının görüşleri nedeniyle etki altında kalınmamasıdır. IIA tarafsızlığı iç
denetçilerin sahip olması gereken bir davranış niteliği olarak belirlemiştir. IIA standartlar
sözlüğünde iç denetçilerin tarafsızlığı şu şekilde tanımlanmaktadır:
166
“Tarafsızlık, denetimin kalitesini ve güvenilirliğini artırmak için iç denetçinin
yargılarından arınmış olarak görev ve sorumluluklarını yerine getirmesidir.”
IIA’nın 1120 no’lu Nitelik Standardına göre “iç denetçiler, tarafsız ve önyargısız olmalı
ve çıkar çatışmalarından kaçınmalıdır.” 2001 yılında IIA’nın araştırma kuruluşu
tarafından “Bağımsızlık ve Tarafsızlık: İç Denetçiler için bir Çerçeve” başlıklı bir çalışma
yayımlanmıştır. Çalışmada iç denetçilerin tarafsızlığına yönelik tehdit oluşturabilecek
yedi alan belirlenmiştir. Bunlar: öz değerlendirme, sosyal baskı, ekonomik çıkar, kişisel
ilişki-samimiyet ve kültürel, ırksal, cinsiyet ve zihinsel temelli önyargılardır. Önceki
ampirik çalışmalar incelendiğinde yönetim baskısının, mesleki atamalarının, yönetime
danışmanlıklarının, dış kaynak kullanımının, yönetim ve denetim komitesine
yakınlıklarının iç denetçilerin tarafsızlıkları üzerinde büyük öneme sahip olduğu
görülmüştür.
12.6.4.Danışmanlık Hizmeti Verme
Danışmanlık hizmeti, kurum hedeflerini gerçekleştirmeye yönelik faaliyet ve işlemlerin
düzenli ve sistematik bir şekilde değerlendirilmesi ve geliştirilmesine yönelik
tavsiyelerde bulunulması sürecidir.
Danışmanlık hizmetinin genel olarak iki tarafı bulunmaktadır. Bunlar aşağıdaki şekilde
sıralanabilir:
i.İç Denetçi: Tavsiye sunan kişi ya da grup.
ii.Birim ya da Müşteri: Tavsiye talep eden kişi ya da grup.
Genellikle birim ya da müşterinin özel talebi üzerine gerçekleştirilen danışmanlık
hizmetinin nitelik ve kapsamı, birim ya da müşteri ile iç denetçi arasındaki sözleşme
kapsamında belirlenmektedir.
12.6.5.Kurum Faaliyetlerine Değer Katma ve Geliştirme
İç denetçilerin kuruma değer katmasını sağlayan çeşitli yollar vardır. Bunlardan
ilki, kaynak ve zaman kullanımını azaltıcı ve denetim sonuçlarının değerini artıracak yeni
bir denetim yaklaşımı ve yöntemi geliştirmektir. İkincisi, kurumun hedeflerine ulaşmasını
engelleyici önemli risklere ya da sorunlara yoğunlaşmak, böylece hedeflere ulaşma
167
olasılığını artırmak; üçüncüsü de yönetimle yakın çalışarak iç denetimin kendilerine
sağlayacağı en değerli bilginin ne olacağını ve bilgiyi nasıl kullanacaklarını belirlemektir.
Değer yaratma işlevi iç denetimin hedef kitlesinin farklı beklentileri sonucu ortaya
çıkmaktadır. Hem özel sektör hem de kamuda uygulanmakta olan iç denetim sisteminin
üst yönetim, denetim komitesi, müşteri ve tedarikçi gibi çeşitli hedef kitlesi
bulunmaktadır. Örneğin üst yönetim, iç denetim faaliyetinin kurumsal etkinliği artırıp
artırmadığıyla, dış denetçiler ise iç denetimin kurumun mali yapısıyla ilgili görev
yüklerini azaltan bir iç kontrol aracı görevi üstlenip üstlenmediği ile ilgilenmektedir.
Kurum hizmetlerinden faydalananlar ve diğer dış paydaşlar ise iç denetimin kurum
bilgilerinin doğruluğu ve güvenilirliği ile ilgili güvence sağlamasını, meslektaşları da iç
denetimin kuruma yeni ve iyi uygulamalar katmasını hedeflemektedir.
İç denetim dinamik bir fonksiyondur ve kurumlar için giderek daha değerli hizmetler
sunmaktadır. İç denetçiler aşağıdakileri uygulamak suretiyle kuruma değer katmaktadır:
i. Değişimi teşvik ve takip edici olmak.
ii. Denetimi daha işbirlikçi hale getirmek.
iii. Öz değerlendirme sisteminin kullanımım teşvik etmek.
iv. Kurum çalışanlarını denetime dâhil etmek.
v. Risklere odaklanmak.
vi. Kâr (özelde) ve faydayı (kamuda) artırmayı amaçlamak.
vii. Sorunlu alanlara öncelik vermek.
viii. Teknolojiyi tüm birimlerle paylaşmak.
ix. Müşteri ile işbirliği halinde olmak.
x. Kurum çapında denetim tavsiyeleri vermek.
xi. Önleyici denetimler yürütmek.
xii. Dış denetim maliyetlerini azaltmak.
xiii. Denetçilere özel görevlendirmeler yapmak.
xiv. Denetim raporlarını hızlıca yayımlamak.
168
xv. Temel prensiplere geri dönmek.
İç denetim olayları geriden takip eden bir sistem değil, aksine öne geçip öngörüleriyle
risklerin yanı sıra fırsatları da ortaya koyan bir sistemdir. Bu süreç iç denetim ve iç
denetçilerin kurumlararası köprü vazifesi görmesini ve kurum içinde yol gösterici
olmasını sağlayarak denetim sistemini kuruma değer katıcı bir işleve dönüştürmektedir.
Ayrıca geçmiş uygulamaların denetimi yönüyle reaktif bir süreç olan denetim,
danışmanlık ve değer katma gibi süreç odaklı yeni işlevlerle birlikte proaktif bir yapıya
dönüşmektedir.
12.6.6.Standartlara Uygunluk
Standart, iç denetim faaliyet alanının gerçekleştirilmesiyle ve iç denetim performansının
değerlendirilmesiyle ilgili gerekleri tanımlayan ve IIA İç Denetim Standartları Kurulu
tarafından yayımlanan mesleki bir beyandır.
Standartların amacı, iç denetim uygulamalarını olması gerektiği gibi temsil eden temel
ilkeleri belirlemek; kuruma değer katan iç denetim faaliyetlerini teşvik etmek ve
uygulamaya geçirmeye yönelik bir çerçeve oluşturmak; iç denetim performansının
değerlendirilmesi için uygun bir yapı kurmak ve gelişmiş kurumsal süreç ve faaliyetleri
harekete geçirmektir.
Uluslararası İç Denetim Standartları Mesleki Uygulama Çerçevesinde (International
Internal Audit Professional Practices Framework) rehberlik iki kategoride
sınıflandırılmıştır: zorunlu ve tavsiye rehberliği. Zorunlu rehberlik iç denetimin tanımı,
etik kodları ve standartları; tavsiye rehberliği ise görüş belgeleri, uygulamada
danışmanlık ve uygulamada rehberlik hususlarını içermektedir.
12.7.İç Denetim Türleri
İç denetim türleri: uygunluk denetimi, performans denetimi, mali denetim, bilgi
teknolojisi denetimi ve sistem denetimidir. İç denetim, bu denetim uygulamalarından bir
veya birkaçını kapsayacak şekilde risk odaklı yapılmaktadır. Ayrıca, bir faaliyet veya
konu tüm türlerde denetim kapsamına alınabilmektedir.
169
12.7.1.Uygunluk Denetimi
Uygunluk denetimi Anayasa, ilgili kanun, kanun hükmünde kararname, tüzük,
yönetmelik ve tebliğler; kalkınma planı, yıllık programlar, stratejik plan ve performans
programı; yönetim tarafından belirlenen yönerge veya kabul edilen iş ve işlem
prosedürleri, alınan kararlar; idarenin giriştiği sözleşme ve taahhütlere ilişkin hükümler
dikkate alınarak gerçekleştirilmektedir.
Kamu İç Denetim Rehberine göre idarenin tüm bileşenlerini kapsayan uygunluk denetimi
iki unsurdan oluşmaktadır (21):
i.İdarenin harcamalarının ve mali işlemlere ilişkin karar ve tasarruflarının amaç ve
politikalara, kalkınma planına, yıllık programa, stratejik plan ve performans programına
uygunluğunun denetlenmesi ve değerlendirilmesi.
ii.İdarenin harcamalarının ilgili kanun, tüzük, yönetmelik ve diğer mevzuata
uygunluğunun harcama sonrasında denetlenmesi.
İç denetçi, uygunsuzluk saptadığında bunun sebep ve sonuçlarını açıklayıcı bir rapor
hazırlamalıdır. Kamu zararına yol açan uygunsuzluk miktarı iç denetçi tarafından
hesaplanır, hesaplanamadığı zaman raporda açıklayıcı bilgilere yer verilir.
Kurum faaliyet ve işlemlerinin ilgili kanun, tüzük, yönetmelik ve diğer düzenlemelere
uygunluğunun incelenmesini sağlayan uygunluk denetimi, birim veya sürece ilişkin iç
kontrol sisteminin etkinlik ve yeterliliğinin tespit edilmesine de imkân sağlar.
12.7.2.Performans Denetimi
Uluslararası Sayıştaylar Birliği (INTOSAI) Denetim Standartlarında performans
denetimi, “denetlenen kurumların görevlerini yerine getirirken kaynaklarını tutumlu,
verimli ve etkin kullanıp kullanmadıklarının denetimi” olarak tanımlanmış ve kapsamı
aşağıdaki şekilde ifade edilmiştir :
“Kurumların faaliyetlerindeki tutumluluğun iyi yönetim ilke ve uygulamaları ile kamu
politikalarına göre denetlenmesi; insani, mali ve diğer kaynakların kullanımındaki
verimliliğin bilişim sistemleri, performans ölçütleri, gözetim ve iç kontrol sistemlerinin
de incelenmesi suretiyle denetlenmesi; denetlenen kuruluşların hedeflerine ulaşma
yönündeki performanslarının etkinliğinin kurum faaliyetlerinin yarattığı gerçek etkinin
hedeflenen etkiyle kıyaslanarak denetlenmesidir
170
Performans denetiminin amacı tahsis edilen beşeri, mali ve teknolojik nitelikteki kamu
kaynaklarının etkili, ekonomik ve verimli bir şekilde, maddi değerlerine uygun kullanılıp
kullanılmadığının objektif olarak incelenmesidir. Performans denetimi kurumsal
amaçlara maliyet-etkin yöntemlerle ulaşılması, hizmetlerin daha iyi kalitede sunulması,
yönetim ve organizasyon süreçlerinin geliştirilmesi ve kaynak kullanımında tasarruf
sağlanması amacıyla yapılması gereken iyileştirmeler hususunda yol göstermektedir.
12.7.3.Mali Denetim
Kamu idarelerinin bütçe uygulamasına ilişkin gelir, gider ve borç ilişkileri ile her türlü
mal ve kıymete dair mali karar ve işlemlerinin denetlenmesidir (Yiğit, 2008: 113). Mali
denetimde öncelikle muhasebe standartlarına ve genel kabul görmüş muhasebe ilkelerine
uygun sistematik bir kayıt sisteminin, ehliyet sahibi muhasebecinin ve kontrol
kadrosunun varlığının ve sistemin etkin ve uyumlu bir şekilde işleyip işlemediğinin tespiti
yapılmaktadır. Daha sonra tüm mali işlemlerin kayıt altına alınıp alınmadığı, muhasebe
kaydının belgeye dayandırılıp dayandırılmadığı ve bu işlemlerin mevzuata uygun olup
olmadığı incelenmektedir. Son olarak kurumun düzenlediği mali tablo, rapor ve
istatistiklerin mevcut muhasebe sisteminin içerdiği belge, bilgi ve diğer verilere
dayanılarak ve bunlarla uyumlu hazırlanıp hazırlanmadığı ve bunların güvenilirlik,
saydamlık ve samimilik derecesi belirlenmektedir.
Dolayısıyla mali denetim; düzenlilik ve uygunluk denetimleri ile bağlantılı olarak kamu
kaynaklarının elde edilmesi, korunması ve kullanılmasının mevzuata, belirlenmiş
öncelikler ile diğer ilke ve esaslara uygunluğunun denetlenmesidir.
12.7.4.Bilgi Teknolojisi Denetimi
Günümüz iletişim ve bilişim alanında yaşanan hızlı gelişim gerek kamu gerekse
özel sektör tarafından ilgiyle takip edilmektedir. Faaliyet ve işlemlerin büyük bir kısmı
bilgisayar aracılığıyla yerine getirilmektedir. Bu gelişim işlemlerin daha hızlı ve etkin
yapılmasına olanak sunmaktadır. Ancak faydalarının yanı sıra, sanal ortama taşınan
bilgilerin izlenmesi, kontrol altına alınması ve denetlenmesinin ortaya çıkardığı bazı
olumsuz durumlarla da karşılaşılmaktadır. Dolayısıyla, işlemlerini sanal ortamda
171
gerçekleştirmeye başlayan kurumların denetiminde elde edilen verilerin daha anlamlı
olabilmesi için bu verileri oluşturan bilgisayar sistemlerinin ve bu sistemler üzerindeki
işlem ve uygulamaların düzgün ve güvenilir bir şekilde çalışması gerekmektedir. Bu
süreç beraberinde bu alandaki denetimi gerekli kılmaktadır .
Denetimde teknolojik desteğin yoğun kullanıldığı en son metot Sürekli Denetim
Sistemi (SDS)’dir. Sistem, teknolojik imkânlardan yararlanarak bilgi teknolojisi
sisteminin ve mali verilerin oluşumunu sağlayan işlem ve süreçlerin otomatik metotlar
kullanılarak belli aralıklarla düzenli ve sürekli olarak izlenmesi, kontrol ve risk
değerlendirmelerinin yapılması olarak ifade edilmektedir. AT&T, Siemens ve New York
Federal Reserve gibi uygulama örnekleri bulunan sistemin hem özel sektör kuruluşlarında
hem de kamu kurumlarında yaygınlaştırılmasına yönelik araştırmalar devam etmektedir.
Sistem örneklem yerine gerçek verilerle çalışmakta ve “kurumların gerçek dünyasına”
ulaşılmasını sağlamaktadır. Süreçlerde tespit edilen hatalar süreç değişmedikçe
üretilmeye devam etmektedir. Böylece süreçlerdeki risk ve kontrol zafiyetinin gelecekte
yol açabileceği sorunlar ve bunların matematiksel büyüklükleri önceden
görülebilmektedir. Sistem; gelir, mali raporlama ve şüpheli alacak başta olmak üzere risk
tabanlı süreç denetimleri, log analizleri, fraud denetimleri, mantıksal erişim, uygulama ve
veri tabanı yönetim kontrolleri başta olmak üzere bilişim sistemleri denetimi ve veri
kalitesi iyileştirme projeleri alanında kullanılmaktadır (Sevimli, 2009: 30-31).
Sistem; riskli alanların belirlenmesi, denetimin geniş kapsamlı yapılabilmesi,
off-line çalışan sistemlerin birbirleri ile iletişim kuran sistemler haline getirilmesi,
süreçteki kontrol mekanizmalarında meydana gelen iyileştirme ve bozulmaların
izlenebilmesi, risklerin realize olması durumunda ortaya çıkan matematiksel büyüklüğün
belirlenmesi, finansal verilerin güvenilirliğinin artırılması, yolsuzluk ve finansal hataların
önüne geçilmesi, yasal uyumun sağlanmasına yardımcı olması, denetçilerin beceri ve
tecrübelerini artırması, erken uyarı sistemi görevi görmesi, sadece yılsonu değil ara
dönemlerde de denetim uygulamasına geçilmesi, örneklem riskinin kaldırılarak gerçek
veriler ile çalışılması, denetim ve kontrollerin otomatikleştirilmesi ve hızlı, doğru ve
anlamlı sonuçlar üreterek zaman, maliyet ve personel tasarrufunun sağlanması
hususlarında fayda sağlamaktadır.
Türkiye’de bilgi teknolojisi denetimi iç denetçilerce, Kurul tarafından Kamu İç
172
Denetim Rehberine ek olarak yayımlanacak Bilgi Teknolojileri Rehberine göre
gerçekleştirilecektir. Rehber yayımlanana kadar IIA, Asya Sayıştaylar Birliği (ASOSAI)
ve Bilgi Sistemlerinin Denetim ve Kontrolü Birliği (ISACA) gibi uluslararası mesleki
kuruluşların yayınladığı rehberler kullanılarak denetim gerçekleştirilecektir.
12.7.5.Sistem Denetimi
Sistem denetimi, denetlenen birimin faaliyet ve iç kontrol sisteminin; organizasyon
yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi,
kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin
yeterliliğinin ölçülmesi suretiyle değerlendirilmesidir.
Kamu İç Denetim Rehberine göre sistem denetimi; kamu gelir, gider, varlık ve
yükümlülüklerinin etkili, ekonomik ve verimli bir şekilde yönetilmesini, kamu
idarelerinin kanunlara, temel politika belgelerine ve diğer düzenlemelere uygun olarak
faaliyet göstermesini, karar oluşturmak ve izlemek için düzenli, zamanında ve güvenilir
rapor ve bilgi üretilmesini, her türlü karar ve işlemde usulsüzlük ve yolsuzluğun
önlenmesini, varlıkların kötüye kullanımı ve israfının önlenmesi ile kayıplara karşı
korunması amacıyla oluşturulan iç kontrol sistemini bir bütün olarak değerlendiren ve iç
kontrol bileşenlerinin var olup olmadığını inceleyen bir denetim türüdür.
Sistem denetiminde mali raporların doğruluk ve güvenilirliği, faaliyetlerin mevzuata
uygunluğu ve faaliyetler yürütülürken etkinlik, verimlilik ve ekonomiklik unsurlarının
dikkate alınıp alınmadığı kontrol edilmektedir.
12.8.İç Denetim Teknikleri
Denetim teknikleri, denetimin amacına ve kapsamına göre değişebilmektedir. Başlıca
denetim teknikleri; fiziki ve kaydı inceleme, belge inceleme, hesaplama ve karşılaştırma,
analitik inceleme, doğrulama ve denetim sürecinde elde edilen çalışma kâğıtlaradır.
12.8.1.Fiziki ve Kaydı İnceleme
Fiziki inceleme; kurumdaki varlıkların, belgelerin ve kayıtlarda gösterilen fiziki
kıymetlerin gerçekliğinin araştırılıp bunların finansal tablolarda yer alıp almadığının
tespitinin yapılmasıdır. Sayım ve envanter incelemesi olarak da adlandırılan fiziki
inceleme yöntemi en çok kullanılan tekniklerden biridir. Genel olarak fiziki inceleme
kapsamına kasa, alacak senetleri, stoklar, demirbaşlar, makine ve tesisat gibi maddi
173
niteliği olan varlıklar girmektedir. Kaydı inceleme kurumun tuttuğu kayıtlar üzerinden
yapılmaktadır. Bu incelemenin fiziki inceleme ile de doğrulanması gerekmektedir.
12.8.2.Belge İnceleme
Kurum defter kayıtlarındaki verilerin incelenmesi yoluyla bu kayıtlara dayanak oluşturan
tüm belgelerin gerek içerik gerekse gerçeklik yönünden incelenmesidir. Bordro, fatura,
çek ve senet gibi belgeler tarihleri, aritmetik doğrulukları, imza ve onayların geçerliliği,
belge sıra numaraları, iç kontrol birimince onaylanıp onaylanmadıkları ve belge üzerinde
gerekli açıklamaların bulunup bulunmadığı gibi hususlar yönünden incelemeye tabi
tutulmaktadır.
12.8.3.Hesaplama ve Karşılaştırma
Denetçilerin finansal hesaplamaları tekrar yaparak doğruluğunu test etmesidir. Finansal
değerler denildiğinde faiz hesapları, kıdem tazminatları, yeniden değerleme oranları,
vergi, resim, harç, amortisman ve kasa hesabı gibi bir çok kalem işin içine girmektedir.
Hesaplamalar dışında aralarında uygunluk bulunması gereken tutarlar arasında da
karşılaştırma yapılması gerekmektedir. Karşılaştırma tekniği ile bağlantılı olan ileriye ve
geriye doğru denetim modelleri de önemli denetim tekniklerdir. İleriye doğru denetimde,
incelenen belgelerin yevmiye defterinden finansal tablolara doğru sıralamasının doğru
yapılıp yapılmadığı araştırılmaktadır. Geriye doğru denetimde ise finansal tablolardan
muhasebe kaydına kadar olan sürecin sırası değerlendirilmektedir.
12.8.4. Doğrulama
Bilgi ve veri doğruluğunun kurum dışındaki kişilerden yazılı cevap alınması yoluyla test
edilmesi yöntemidir. Kurum dışındakilere uygulanması sebebi ile diğer tekniklerden
ayrılmaktadır. Kurumun faaliyette bulunduğu bankadan bilgi istenmesi örneği bu
kapsamda değerlendirilebilir
174
Bu Bölümde Ne Öğrendik Özeti
İç Denetimin Tanımı
İç Denetim Faaliyetine İhtiyaç Duyulma Nedenleri
İç Denetimin Kapsam ve Alanı
İç Denetimin Amacı
İç Denetim Sisteminin Özellikleri ve Etkililiği
İç Denetim Unsurları
Nesnel Güvence Sağlama
Bağımsız Olma
Tarafsız Olma
Danışmanlık Hizmeti Verme
Kurum Faaliyetlerine Değer Katma ve Geliştirme
Standartlara Uygunluk
İç Denetim Türleri
İç Denetim Teknikleri
175
Bölüm Soruları
S.1. İç Denetimi Tanımlayınız.
S.2. İç Denetim Faaliyetine İhtiyaç Duyulma Nedenlerini açıklayınız.
S.3. İç Denetimin Kapsam ve Alanını açıklayınız.
S.4. İç Denetimin Amacını açıklayınız.
S.5. İç Denetim Sisteminin Özellikleri ve Etkililiğini açıklayınız.
S.6. İç Denetim Unsurlarını açıklayınız.
S.7. Nesnel Güvence Sağlamayı açıklayınız.
S.8. Bağımsız Olmayı açıklayınız.
S.9. Tarafsız Olmayı açıklayınız.
S.10. Danışmanlık Hizmeti Vermeyi açıklayınız.
S.11. Kurum Faaliyetlerine Değer Katma ve Geliştirmeyi açıklayınız.
S.12. Standartlara Uygunluğu açıklayınız.
S.13. İç Denetim Türlerini açıklayınız.
S.14. İç Denetim Tekniklerini açıklayınız.
177
Bu Bölümde Neler Öğreneceğiz?
İç Denetim Sistemindeki Değişim ve Özellikleri
Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması
İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri
İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları
İç Denetçi ve Güvence Hizmeti
İç Denetçilerin Danışmanlık Rolü
İç Denetçilerin Taşıması Gereken Özellikler
İç Denetçilerin Durumu
Sayılı Kanun Kapsamında Risk Yönetim Sistemi
Kamu İç Denetim Standartlarında Risk Yönetim Sistemi
178
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. İç Denetim Sistemindeki Değişim ve Özellikleri açıklayınız.
S.2. Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırınız.
S.3. İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri açıklayınız.
S.4. İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumluluklarını
açıklayınız.
S.5. İç Denetçi ve Güvence Hizmetini açıklayınız.
S.6. İç Denetçilerin Danışmanlık Rolünü açıklayınız.
S.7. İç Denetçilerin Taşıması Gereken Özellikleri açıklayınız.
S.8. İç Denetçilerin Durumunu açıklayınız.
S.9. Sayılı Kanun Kapsamında Risk Yönetim Sistemini açıklayınız.
S.10. Kamu İç Denetim Standartlarında Risk Yönetim Sistemini açıklayınız.
179
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım
Kazanımın nasıl elde
edileceği veya
geliştirileceği
İç Denetim Sistemindeki
Değişim ve Özellikleri
İç Denetim Sistemindeki
Değişim ve Özelliklerini
açıklar
İç Denetim Sistemindeki
Değişim ve Özellikleri
inceleyerek
Geleneksel ve Risk Odaklı
İç Denetim Sistemi
Karşılaştırması
Geleneksel ve Risk Odaklı
İç Denetim Sistemi
Karşılaştırmasını açıklar
Geleneksel ve Risk Odaklı
İç Denetim Sistemi
Karşılaştırmasını
inceleyerek
İç Denetimin Kurumsal
Risk Yönetim
Sistemindeki Temel
Rolleri
İç Denetimin Kurumsal
Risk Yönetim
Sistemindeki Temel
Rolleri açıklar
İç Denetimin Kurumsal
Risk Yönetim
Sistemindeki Temel
Rolleri inceleyerek
180
Anahtar Kavramlar
İç Denetim Sistemindeki Değişim ve Özellikleri
Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması
İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri
İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları
İç Denetçi ve Güvence Hizmeti
İç Denetçilerin Danışmanlık Rolü
İç Denetçilerin Taşıması Gereken Özellikler
İç Denetçilerin Durumu
Sayılı Kanun Kapsamında Risk Yönetim Sistemi
Kamu İç Denetim Standartlarında Risk Yönetim Sistemi
181
13.1.İç Denetim Sistemindeki Değişim ve Özellikleri
Küreselleşme, iç denetçilerin değişen rolleri, risk yönetimindeki değişiklikler,
kurumsal sorunlar ve teknolojik ilerleme gibi nedenler de risk odaklı iç denetim
anlayışının ortaya çıkmasında etkili olmuştur. İç denetim fonksiyonunun değişim
nedenlerinden bir diğeri risk yönetim sürecinin sadece risk yöneticisine bırakılmayacak
kadar önem taşıması gerektiği gerçeğine dayandırılmaktadır.
Kurumsal yönetişim, risk yönetimi ve aynı zamanda kuruma değer katma
anlayışının önem kazanması ile birlikte iç denetim mesleki çalışmaları Haziran 1999’dan
itibaren kontrol odaklılıktan risk odaklı yaklaşıma kaymıştır (Manab, Hussin ve Kassim,
2007: 4). Bu kapsamda İç Denetim Enstitüsü Yönetim Kurulu tarafından şu tanım kabul
edilmiştir:
“İç denetim bir kurumun faaliyetlerini geliştirmek ve değer katmak amacı güden
bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim kurumun risk
yönetimi, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek
amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına
ulaşmasına yardımcı olur
Tanımda vurgulandığı üzere risk yönetim süreci iç denetim faaliyeti
kapsamındadır. Risk yönetim sürecinde sistemin etkinliğini değerlendirme ve geliştirme
amacına yönelik sistemli ve disiplinli bir yaklaşım oluşturularak kurum hedeflerine
ulaşılması amaçlanmaktadır. Böylece daha çok hile ve eksiklik bulmaya odaklanan iç
denetim anlayışı, süreç ve verimlilik odaklı bir danışmanlık hizmetine dönüşerek risk
yönetim sistemi içerisinde önemli bir yer edinmiştir.
IIA’nın yönettiği “Risk Yönetimi: İç Denetçilerin Değişen Paradigması” adlı
çalışmada da iç denetim sürecinin „pasif ve reaktif kontrol odaklı denetim’ yaklaşımından
aktif ve risk odaklı denetim’ yaklaşımına kaydığından bahsedilmektedir. İç denetim
anlayışındaki değişim Şekil 13.1’de gösterilmektedir.
İç denetim ve risk yönetim faaliyetlerinin rolü, özellikle kurumsal yönetişimi geliştirmek
amacıyla, 1992 yılında COSO tarafından iç kontrol sistemi aracılığıyla
değerlendirilmiştir. İlk olarak 1995 yılında ABD’de uygulanmaya başlayan sistem,
denetim kaynaklarının sınırsız olmadığı, denetlenecek birim faaliyetlerinin hem farklı
182
risklerle karşı karşıya olduğu hem de göreceli olarak farklı önem derecelerine sahip
olduğu anlayışına dayanmaktadır.
Şekil 13.1. İç Denetim Anlayışındaki Değişim
Şekil 13.1’e göre yirminci yüzyılın iç denetim modeli kontrol-güvence temelli dönemsel
ve rutin denetim planlarına dayalı; bugünün iç denetim modeli risk odaklı denetim
planlarına dayalı kontrol- güvence sistemi odaklı ve yarının risk merkezli iç denetim
modeli ise kontrol- güvenceye ek olarak risk yönetim etkinliğinin güvencesi odaklıdır.
Risk odaklı iç denetim kapsamında; iç kontrol sisteminin yeterliliğinin ve etkinliğinin
incelenmesi ve değerlendirilmesi, risk yönetim teknikleri ve bunların uygulanması ve
etkinliğinin incelenmesi, elektronik bilgi sistemleri dâhil olmak üzere yönetim ve mali
bilgi sistemlerinin gözden geçirilmesi, muhasebe kayıtları ve mali tabloların
doğruluğunun ve güvenilirliğinin analiz edilmesi, kurumun risk tahmini ile bağlantılı
olarak kendi sermayesini ve yapısını değerlendirme sisteminin incelenmesi ve yasal ve
düzenleyici otoritelerin koşullarına, etik kurallara, politika ve prosedürlerin
uygulanmasına uyumun denetlenmesi yer almaktadır.
Risk odaklı iç denetim yaklaşımı, risk yönetim süreçlerinin çıktılarını kullanarak
denetimde önem derecesi yüksek riskli alanlara yönelinmesini sağlamaktadır. Böylece
denetimde etkinliğin artırılması, maliyet ve zaman tasarrufu sağlanması
amaçlanmaktadır. Ayrıca risk odaklı iç denetim yaklaşımı, yönetim ve denetim arasındaki
iletişim bağlantılarını artırmış ve denetim süreci boyunca daha az sorunla karşılaşılmasını
sağlamıştır.
13.2.Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması
20. yüzyılın ikinci yarısından itibaren iç kontrol odaklı yapılmaya başlayan
geleneksel iç denetim sisteminde rutin denetimlere önem ve öncelik verilmekte ve
183
önceden belirlenen denetim programları kullanılmaktaydı. Raporlarda öneri
geliştirmekten ziyade mevcut durumdaki hata ve sorunlar ortaya konulmaktaydı. Risk
yönetimi ve iç kontrol, kurumsal yönetimin önemli birer parçalarıdır. Risk yönetimi ve iç
kontrole odaklanması ile iç denetim, kurumsal risk yönetim sistemi içerisinde önemli bir
yer edinmiş ve kurumun, iç denetim sisteminin farkına varmasını sağlamıştır İç denetim
algısındaki değişimle birlikte yeni iç denetim tanımı yapılmış ve tanımda iç denetimin
risk odaklı yapılması gerektiğine vurgu yapılmıştır. Risk odaklı iç denetimle birlikte
denetim programları revize edilmiştir. Risk odaklı iç denetim uygulamasında denetim
alanları risk öncelik sıralaması dikkate alınarak belirlenmekte ve raporlarda başarılı
uygulamalara ve değer katan hizmetlere yer verilmektedir. Geleneksel ve risk odaklı iç
denetim karşılaştırması Tablo 13.1’de gösterilmektedir.
Tablo 13.1 İç Denetim Paradigmasındaki Değişim
Tablo 13.1’deki veriler yorumlandığında geleneksel iç denetim sisteminin
mevzuata aykırı işlemleri, hata, suistimal ve kayıpları takip ettiğini ve olumsuz sonuçları
ortadan kaldırmaya yöneldiğini; risk odaklı iç denetim sisteminin ise hatalı sonuçlara
değil, hataları üreten sistemin zaaflarını belirlemeye ve yok etmeye odaklanarak sistemin
hatalı çıktı üretmesini engellemeye çalıştığı söylenebilir. Geleneksel iç denetim sistemi
184
tedavi edici, risk odaklı iç denetim sistemi ise koruyucu hekimlik uygulaması olarak
nitelendirilebilir.
İç denetim ve risk yönetim sorumlulukları birbirini tamamlamakta ve aslında her
ikisi de farklı amaçlara hizmet etmektedir. Risk yönetimi, geniş ve kapsamlı bilimsel bir
disiplinken; iç denetim episodik ve derinlemesine bir yaklaşımdır. Risk yönetimi, küresel
ve gerçek zamanlıdır, uzun vadeli riskleri öngörerek onları yönetebilmek için acil durum
planları ve stratejiler geliştirir. Diğer taraftan iç denetim, yıllık döngüsünde çalışır ve iç
denetim paradigmasındaki değişimle birlikte geçmiş odaklılıktan şimdi ve gelecek odaklı
değerlendirmeye önem verilmeye başlanmıştır. Denetçiler politika, prosedür ve uygunluk
açısından derinlemesine inceleme yapar.
Denetimin rolü aslında izleme iken; risk yönetimi ise risklerin yönetilmesinin yanı
sıra kurum değerini artırmakla sorumludur. İç denetim ve denetim komitesi geçmişe
bakarak yönetime rehberlik sunmaktayken, risk yönetimi geleceğe odaklanmakta ve karar
verme süreçlerinde etkili olmaktadır. İç denetim anlayışındaki değişim iç denetçilerin
rollerinde de değişiklikler getirmiştir
Tablo 13.2. İç Denetçi Rolündeki Değişim ve Gelişim
Geleneksel yaklaşımda denetim ve kontrol odaklı hizmet veren iç denetçiler gelişimsel
ya da risk odaklı yaklaşımla birlikte süreçlere ve risklere odaklanır hale gelmiştir. İç
denetçilerin kurum içerisinde değişiklikleri destekleyen ve değişiklik süreçlerinin
kolaylaştırılması için danışmanlık yapan ve hem kurum hem de paydaşların
185
memnuniyetini artırıcı hizmetler vermesine önem ve öncelik verilmeye başlanmıştır.
Uygunluk yerine süreçlerin gelişimini hedefleyen denetim yaklaşımıyla performans
iyileştirmeye dayalı çalışmalar yapılması hedeflenmekte ve iç denetçilerin diğer alanlarda
da uzmanlaşmasına önem verilmektedir.
13.3.İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri
İç denetim kapsam ve fonksiyonları günümüz çevresel değişikliklerine yanıt
verebilmek amacıyla zaman içinde artmış ve artmaya devam etmektedir. Finansal durum
değerlendirmeleri ve diğer muhasebe fonksiyonlarından başlanmış ve uygunluk denetimi,
iç kontrol ve süreç değerlendirmeleri ile süren sorumluluklarına şimdilerde risk
yönetimiyle ilgili rolleri eklenmiştir.
IIA tarafından hazırlanan “Kurumsal Risk Yönetiminde İç Denetimin Rolü” adlı
çalışmada iç denetçilerin kurumsal risk yönetim sistemi içerisindeki rolleri belirlenmiştir.
İç denetçilerin kurumsal risk yönetimi kapsamında rollerinin belirginleştirilmesi özellikle
bağımsızlık ve tarafsızlıklarının zarar görebileceği endişesinden kaynaklanmaktadır. İç
denetçilerin rolleri Şekil 13.1’de gösterilmektedir.
Şekil 16, kurumsal risk yönetim sistemi kapsamında hangi etkili profesyonel iç
denetim faaliyetlerinin yapılabileceğini ve yapılamayacağını göstermektedir.
İç Denetimin Kurumsal Risk Yönetimindeki Temel Rolleri
Güvence vermeye yönelik hususlara ilişkin iç denetçilerin temel rolleri şunlardır
(IIA, 2004: 4):
i. Risk yönetim süreçleri ile ilgili güvence vermek.
ii. Risklerin doğru değerlendirildiğine dair güvence vermek.
iii. Risk yönetim süreçlerini değerlendirmek.
iv. Önemli risklerle ilgili raporlamaları değerlendirmek.
v. Önemli risklerin yönetimini gözden geçirmek.
186
İç Denetim Danışmanlık Rolleri (Şartlı Olarak Üstlenilebilecek Görevler)
Bu görev ya da rolü kurumun yönetişim, risk yönetim ve kontrol süreçlerinin
gelişimini sağlayıcı danışmanlık hizmetleri temsil etmektedir. Bu hizmetlerin kullanımı
diğer kaynakların kullanımının uygunluğuna ve kurum risk olgunluğuna dayanmaktadır.
Bu roller şu şekilde sıralanabilir (Reding, vd., 2009: 4-17):
i. Risklerin tanımlanma ve değerlendirilmesini kolaylaştırma.
ii. Risk tutumlarının belirlenmesine rehberlik etme (yönetici koçluğu yapma).
iii. Kurumsal risk yönetim faaliyetlerini koordine etme.
iv. Risklerle ilgili raporları birleştirme.
v. Kurumsal risk yönetim sisteminin temel yapısının korunmasını ve gelişimini
sağlama.
vi. Kurumsal risk yönetim sisteminin kurulmasını savunma ve öncülük etme.
vii. Kurul onayına sunulacak kurumsal risk yönetim stratejisini geliştirme.
İç Denetimin Üstlenmemesi Gereken Roller
Yönetim sorumluluğunda olan bu görevlerin iç denetçilerin bağımsızlık ve
tarafsızlığını olumsuz etkileme olasılığından dolayı iç denetçiler tarafından yerine
getirilmemesi gerekmektedir. Bunlar şu şekilde sıralanabilir:
i. Risk iştahını belirleme.
ii. Risk yönetim süreçlerini uygulama.
iii. Risklerle ilgili yönetim adına güvence verme.
iv. Risk tutumlarına ilişkin karar alma.
v. Risk tutumlarını yönetim adına uygulama.
vi. Risk yönetim sorumluluğu üstlenme.
İç denetçilerin rolleri belirlenirken dikkat edilmesi gereken en önemli husus,
faaliyetlerin iç denetim fonksiyonunun bağımsızlık ve tarafsızlığını tehdit edip etmediği
ve kurum risk yönetim, kontrol ve yönetişim süreçlerini geliştirip geliştirmediğidir.
187
Risk yönetiminde asıl sorumluluk yönetimindir. İç denetçiler bu aşamada sadece
tavsiye verebilir ve risklerle ilgili alınacak kararlarda yönetimi destekleyebilir. İç denetim
birim yöneticisi ve iç denetçiler eğitici, kolaylaştırıcı, koordinatör, değerlendirici veya
bütünleştirici rol oynayabilir.
Şekil 13.1 İç Denetimin Kurumsal Risk Yönetim Sistemindeki Rolü
13.4.İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve
Sorumlulukları
İç denetçiler kurum içerisindeki çalışmalarda her gün risk ve kontrol süreçleriyle
ilgilenen, kurum hedef ve iş süreçlerine hâkim olan tek personeldir. İlk iç denetim
literatüründe Sawyer iç denetçileri “yönetimin gözü-kulağı” olarak tasvir etmiştir. İç
denetçilerin kurumsal bilgisi, denetim, araştırma ve analiz alanındaki yetenekleri
kurumsal risk yönetim sisteminde önemli görevler almalarını ve sorumluluk
üstlenmelerini sağlamaktadır. Kurum içerisinde hangi alanın denetlenmesi gerektiğine
ilişkin kullandıkları risk modellemesi sayesinde de risk analiz tecrübesine sahiptirler.
İç denetim fonksiyonu güçlü yönetimin temel bir unsurudur. Özellikle çoğu kamu sektörü
iç denetçisi kurumun halka karşı hesap verme sorumluluğunda önemli rol oynamaktadır.
IIA uluslararası mesleki uygulama çerçevesinde “iç denetimin kurumsal risk yönetim
sistemi içerisindeki rolü” başlıklı bölümde iç denetçilerin rolü şu şekilde belirtilmektedir:
“Kurumsal risk yönetim sisteminin riskleri uygun şekilde yönettiğine ve iç kontrol
sisteminin etkin bir şekilde işlediğine dair yönetime makul bir güvence sağlamak.”
188
İç denetçiler “iyi bir risk yönetiminde yönetim önemli rol oynar” sözünün önem ve
gerçekliğinin farkında olmalı (COSO, 2005: 3) ve yönetim tarafından tasarlanan ve
uygulanan kurumsal risk yönetim sisteminin etkinliğini izlemekle sorumlu olmalıdır
(Beasley, Branson ve Hancock, 2008: 50).
Kurumsal risk yönetim esaslı iç denetim sisteminde iç denetçiler kurumun hedef ve
stratejileri kapsamında denetim plan ve prosedürlerini ve sisteme yönelik anket
uygulamalarını gerçekleştirir. Denetim planlama sürecinin amacı kurum hedeflerinin
etkili bir şekilde oluşturulduğu ve kurum içerisine aktarıldığını garantiye almaktır. İç
denetim birimi kurumun bölüm, birim ve personel hedeflerinin kurumun genel
hedefleriyle uyumunu değerlendirmektedir. İç denetçilerin kurumsal risk yönetim
sürecine dayalı olarak oluşturdukları denetim evreninde aşağıdaki hususlara yer
verilmektedir (Pehlivanlı, 2007: 1).
i. Kurumsal risk yönetim sistemine uygun olarak yönetim tarafından tanımlanmış ve
analiz edilmiş riskler.
ii. Kurumun risk altındaki hedef ve süreçleri.
iii. Risk sorumluları ve sorumluluklarının kapsamı.
iv. Geçmiş ve gelecek denetime ait detaylar.
v. Kurumsal risk yönetim sisteminin kontrolüne ilişkin detaylar.
Ayrıca iç denetim faaliyet kapsamı iç denetim tüzüğünde belgelendirilmeli ve denetim
komitesince onaylanmalıdır. İç denetçilerin yönetim adına riskleri yönetemeyeceği
sadece risk yönetimiyle ilgili karar verme sürecinde yönetime tavsiyede bulunabileceği,
güvence hizmeti dışındaki her iç denetim faaliyetinin danışmanlık faaliyeti olarak kabul
edileceği ve uygulama standartlarının bu kapsamda takip edileceğine ilişkin hususlar iç
denetim birim yöneticisince güvence altına alınmalıdır.
İç denetim faaliyeti daha çok risk ve danışmanlık yönelimli olduğunda iç denetçiler
sisteme değerli bilgi aktarımında bulunabilir ve kurumsal risk yönetim süreci daha
sorunsuz ve etkin bir şekilde devam edebilir.
İç denetimin kurumsal risk yönetim sisteminde etkili olabilmesi için esnek ve
uyarlanabilir olması gerekmektedir. İç denetçiler yeteneklerini geliştirmeli ve hatta yeni
beceriler kazanmalıdır. Özellikle daha az bilgiye sahip oldukları alanlarla ilgili meydana
189
gelebilecek risklere yönelik ve risk matrisi oluşturma konusunda kendilerini
geliştirmelidirler. İç denetçiler aşağıdaki konulardan emin olmalı ve olunmasını
sağlamalıdır:
i. Risk yönetiminden kurum yönetimi sorumludur.
ii. İç denetçilerin sorumlulukları denetim tüzüklerinde (sözleşmelerinde) yazılmalı
ve denetim komitesince onaylanmalıdır.
iii. Herhangi bir riskin yönetimi yönetim adına iç denetçi tarafından kesinlikle
üstlenilmemelidir.
iv. İç denetçi risk yönetim kararlarını kendi almamalı, bunun yerine yönetime bu
kararların alımında destek olmalı ve tavsiyelerde bulunmalıdır.
v. İç denetçi kurumsal risk yönetiminde sorumlu olduğu herhangi bir bölüm için
makul güvence veremez, bu güvenceler diğer nitelikli bölümler tarafından verilmelidir.
vi. Güvence faaliyetlerinin ötesindeki herhangi bir çalışma danışmanlık hizmeti
olarak kabul edilmeli ve uygulama standartları takip edilmelidir.
Özetle iç denetçiler, yönetimin tanımladığı önemli risklere odaklanmalı ve kurum çapında
risk yönetim sürecini denetlemelidir. Risklerin etkili yönetildiğine dair makul bir güvence
vermeli, aktif destek ve katılım sağlamalıdır. Risk tanımlama ve değerlendirmede
kolaylaştırıcı rol üstlenmeli, personelin risk yönetim ve iç kontrol sistemine yönelik
eğitiminin organize edilmesine yardımcı olmalıdır. Yönetim kuruluna ve üst yönetime
rapor sunulmasını koordine etmelidir (AIRMIC, ALARM, IRM, 2002: 13). Ayrıca iç
denetim yöneticisi iç denetçinin rolünü tanımlarken sorumluluklar, iç denetçinin
bağımsızlığını ve tarafsızlığını artırıyor mu yoksa tehdit mi oluşturuyor ve bu roller
kontrol, risk yönetimi ve yönetim süreçlerinin gelişimini sağlıyor mu sağlamıyor mu
bunları hesaba katmalıdır.
13.4.1.İç Denetçi ve Güvence Hizmeti
Giderek genişleyen kurumsal risk yönetim çerçevesi kapsamında iç denetçiler hem
güvence hem de danışmanlık rolleriyle risklerin yönetimine çeşitli şekillerde katkıda
bulunmaktadır (IIA Position Paper: The Role of Internal Auditing in ERM, 2009: 2).
190
Güvence hizmetinde üç taraf bulunmaktadır. Bunlar (Messier, Glover ve Prawitt, 2012:
750):
i. Süreç Sahibi: Süreç, sistem ya da ele alınan bir diğer konunun doğrudan içinde
olan kişi veya grup.
ii. İç Denetçi: Değerlendirmeyi yapan kişi ya da grup.
iii. Kullanıcı: Değerlendirme sonuçlarını kullanan kişi ya da grup.
İç denetçiler risklerin yönetimi için geliştirilen politika, prosedür ve süreçlerin tüm
organizasyon çapında tutarlı ve anlamlı bir şekilde kullanıldığına dair yönetime güvence
sağlamaktadır. İç denetçilerin güvence verebilmesi için risk raporlarının yeterli, düzenli
ve nitelikli olduğundan ve kurumu etkileme olasılığı olan önemli riskleri ele aldığından
emin olması gerekir. Dahası risklerin etkili bir şekilde yönetilmesi için yönetimin uygun
faaliyetlerde bulunduğundan emin olmalıdır (COSO, 2005: 5).
İç denetçiler genel olarak üç alanda güvence vermektedir. Bunlar aşağıdaki şekilde
sıralanabilir (IIA, 2004: 4):
i. Tasarlanması ve nasıl çalıştığı dâhil risk yönetim sürecine,
ii. Önem derecesine göre sınıflandırılan risklerin etkili yönetildiğine, kontrol ve
diğer tepki süreçlerinin riskler üzerindeki etkinliğine,
iii. Güvenilir ve uygun bir risk değerlendirmesi yapıldığına, risk ve kontrol raporlama
süreçlerine
dair iç denetçiler tarafından güvence verilmektedir.
Araştırmalar göstermektedir ki, iç denetçiler ve yönetim kurulu önemli risklerin uygun
bir şekilde yönetildiğine ve risk yönetim ve kontrol süreçlerinin etkili bir şekilde
işletildiğine dair verilen güvencenin kuruma değer kattığı konusunda hemfikirdir (IIA
Position Paper: The Role of IA in ERM, 2009: 3; Matyjevicz ve D’arcengelo, 2). İç
denetçilerin kuruma değer katabilmesi ve kurumu geliştirebilmesi için ilk olarak kurum
faaliyet alanı ile ilgili yeterli bilgiye sahip olması gerekir. Kurum misyon, vizyon, strateji,
değer ve hedeflerinin ve bu hedeflere ulaşabilmek için iş süreçlerinin nasıl
yapılandırıldığı iç denetçiler tarafından anlaşılmalıdır. Kurum misyon, vizyon, değer ve
hedefleri yıldan yıla değişmeden sabit kalsa dahi iç denetim faaliyeti, kurumun
191
stratejilerine yönelik anlayışı belirli aralıklarla güncellemelidir. Güncellemede genellikle
üst yönetim için kurum yıllık hedeflerinin gözden geçirilme dönemi tercih edilmelidir. İç
denetçilerin risk tanımlamanın kurumun genel strateji ve hedefleri ile bağlantılı olması
gerektiğini unutmaması gerekir.
13.4.2.İç Denetçilerin Danışmanlık Rolü
IIA tarafından 2007 yılında yapılan tanıma göre danışmanlık ve ilgili müşteri hizmeti
faaliyetleri, iç denetçilerin yönetimin sorumluluklarını üstlenmeksizin kurumun
yönetimi, risk yönetimi ve kontrol süreçlerini geliştirmek ve değer katmak amacıyla
yaptığı hizmetlerdir.
Danışmanlık hizmetininin iki tarafı bulunmaktadır:
i. İç Denetçi: Tavsiye sunan kişi ya da grup.
ii. Birim ya da Müşteri: Tavsiye talep eden kişi ya da grup.
İç denetçilerin kurumsal risk yönetim sistemindeki danışmanlık hizmetinin kapsamı,
kurum risk olgunluğuna uygun iç ve dış kaynaklara dayanmakta ve zaman içinde
değişebilmektedir. İç denetçilerin yürüttüğü bazı danışmanlık faaliyetleri şunlardır :
i. İç denetçiler tarafından kullanılan yönetim teknik ve araçlarını risk ve kontrollerin
analizine uygun hale getirmek.
ii. Risk yönetim ve kontrol sürecindeki uzmanlık ve kurumla ilgili bilgilerinden
faydalanarak kurumsal risk yönetim sistemini kurum içinde tanıtmak.
iii. Risk ve kontrolle ilgili tavsiye vermek, kolaylaştırıcı çalıştay ve rehberlik yapmak;
genel bir risk yönetim dilinin oluşmasını ve anlaşılmasını sağlamak.
iv. Risklerin koordine edilmesi, izlenmesi ve raporlanmasında merkez noktası olarak
hareket etmek.
v. Yönetimin risklerin azaltılması ile ilgili çalışmalarına destek vermek.
İç denetçiler aslında yönetimin sorumluluğu olan risk yönetiminde görev almadıkları ve
üst yönetimin kurumsal risk yönetim sistemini onayladığı ve desteklediği sürece
danışmanlık hizmeti verebilir.
192
Güvence rolünün danışmanlık hizmeti ile uyumlu olup olmadığına karar vermede iç
denetçilerin herhangi bir yönetim sorumluluğu üstlenip üstlenmediğini saptamak önemli
bir belirleyici unsurdur.
13.5.İç Denetçilerin Taşıması Gereken Özellikler
İç denetçi görevinin gerektirdiği bilgi ve beceriye, denetim alanı ile ilgili sağlıklı veri ve kanıt
toplama kabiliyetine, verileri analitik biçimde inceleme, değerlendirme ve raporlama yeteneğine sahip kişi
olarak ifade edilmektedir. İç denetçilerin bağımsız ve objektif olması, denetimlerin yürütülmesi ve
sonuçların raporlanması hususunda her türlü müdahaleden korunmuş olması, tarafsız ve önyargısız
davranması, çıkar çatışmalarına mesafeli durması, mesleki donanımını artırması ve kalite güvence ve
geliştirme programlarını takip etmesi gerekmektedir. 21. yüzyıl iç denetçileri hemen hemen her şeye
hazırlıklı olmalı ve aşağıdaki alanlarda uzmanlaşmalıdır (Ramamoorti, 2003: 10):
i. Analitik ve eleştirel düşünme becerileri.
ii. Her türlü denetimle ilgili yeterli bilgiyi sağlayabileceği metot geliştirme ve kullanma.
iii. İç kontrolün yeni kavramları, esasları ve teknikleri.
iv. Denetim ve denetçilerle ilgili risk ve fırsatlarla ilgili farkındalık ve anlayış.
v. Her denetim projesi için genel ve özel denetim hedefleri geliştirme.
vi. Denetim kanıtlarının belirlenmesi, toplanması, değerlendirilmesi ve belgelendirilmesi.
vii. Denetim raporlarını çeşitli formatlarda farklı kişiler için hazırlama.
viii. Denetimin takibi.
ix. Mesleki etik kurallar.
x. Denetim teknolojisini denetim raporlarına uyumlaştırma.
193
13.6. İç Denetçilerin Durumu
İç denetçilerin geleneksel rolü aktif varlıkların korunması ve kontrol sisteminin
izlenmesinde yönetime yardımcı olmaktır; ancak iç denetçilerin faaliyet alanı kurum
ihtiyaçlarına ve iç denetim mesleği yüksek standartlarına dayalı olarak değişmektedir.
Bugünün iç denetçileri öncekilerden farklı olarak birer antrenör ve eğitmen olarak
görülmektedir. Ekonomiklik, etkililik ve verimlilik izlemesi yaparak gerekli
gördüklerinde iyileştirici önerilerde bulunurlar. Riskleri değerlendirerek iç kontrol
sisteminin gücünü test ederler. Süreçleri değerlendirerek neyin çalışıp çalışmadığını
belirler ve üst yönetime ve yönetime hedef ve amaçlara ulaşılması konusunda yardımcı
olurlar. Kurumun kültür, politika ve prosedürlerine derinlemesine bir anlayış getirirler.
İç denetçiler kurumu etkileyen değişikliklerle mücadele etmektedir. Son
dönemlerde ortaya çıkan kalite iyileştirme çalışmaları da iç denetçileri önemli oranda
etkilemiştir. Öncelikle iç denetçilerin kendi perspektiflerini, odak noktalarını, metot ve
stillerini daha maliyet etkin ve kuruma değer katıcı olacak şekilde değiştirmelerini ve
kurumdaki hızlı değişimlerin hem kendileri hem de diğer çalışanlar için ek riskler ve
fırsatlar yarattığının farkına varmalarını sağlamıştır.
Denetim anlayışındaki değişimle birlikte iç denetçiler, klasik denetim
yaklaşımından daha çok yönetimle müzakereye dayalı değer katma yaklaşımına
yönelmiştir. Bu değişim kurum yöneticilerinin kurumla ilgili karar alırken ve hedef
belirlerken daha etkin olmasını sağlamaktadır. Denetimi, kuruma değer katma anlayışı
kapsamında gerçekleştiren iç denetçiler proaktif yaklaşımla yönetime karşı yardımcı rol
üstlenmektedir.
İç denetim anlayışındaki değişime uygun olarak kurumsal risk yönetim sistemi
kapsamında iç denetçilerin sorumlulukları 5018 sayılı Kanun ve Kamu İç Denetim
Standartları dikkate alınarak aşağıda incelenmektedir.
194
13.6.1.5018 Sayılı Kanun Kapsamında Risk Yönetim Sistemi
Türk kamu yönetimi sistemine ilişkin temel bir düzenleme olan 5018 sayılı Kanun’un 55.
maddesine göre iç kontrol sistemi şu şekilde tanımlanmıştır:
“İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin
etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını,
muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin
zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan
organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünüdür
Tanımda vurgulandığı üzere faaliyetlerin etkili, ekonomik ve verimli bir şekilde
yürütülmesine ve varlık ve kaynaklardaki kayıpların önlemesine verilen önem artmıştır.
Kurumsal risk yönetim sistemi yukarıda belirtilen hedeflere doğrudan hizmet etmektedir.
Bu nedenle kurumların iç kontrol sisteminden beklenen faydayı elde edebilmesi için
kurumsal risk yönetim sistemini kuruma entegre etmesi gerekmektedir.
5018 sayılı Kanun’un “iç kontrol sistemi” başlığı altında risk yönetimiyle ilgili
düzenlemelere yer verilmektedir. İlgili maddelere göre iç denetim faaliyetleri idarelerin
yönetim ve kontrol yapıları ile mali işlemlerinin risk yönetimi, yönetim ve kontrol
süreçlerinin etkinliğini değerlendirmek ve geliştirmek yönünde sistematik, sürekli ve
disiplinli bir yaklaşımla ve genel kabul görmüş standartlara uygun olarak
gerçekleştirilmektedir. İç denetçiler nesnel risk analizlerine dayanarak kamu idarelerinin
yönetim ve kontrol yapılarını değerlendirmekle sorumludur. İç Denetim Koordinasyon
Kurulu da bağımsız ve tarafsız bir organ sıfatıyla hizmet verebilmek amacıyla kamu
idarelerinin iç denetim sistemlerini izleyerek uluslararası uygulamalar ve denetim
standartlarıyla uyumlu risk değerlendirme yöntemlerini geliştirmek ve risk içeren
alanlarda iç denetçilere program dışı özel denetim yaptırılması için kamu idarelerine
önerilerde bulunmakla sorumlu tutulmaktadır (md. 63,64 ve 67).
İç denetçiler görevlerini İç Denetim Koordinasyon Kurulu tarafından belirlenen ve
uluslararası kabul görmüş kontrol ve denetim standartlarına uygun şekilde yerine
getirmekle yükümlüdür. İç denetçilerin kanunda sayılan görev kalemleri mevzuata
195
uygunluk, performans, mali, bilgi teknolojisi ve sistem denetimi alanlarını
kapsamaktadır. Görevinde bağımsız olan iç denetçiye asli görevleri dışında hiçbir görev
verilmemesi ve yapmaya zorlanmaması gerekmektedir.
13.6.2.Kamu İç Denetim Standartlarında Risk Yönetim Sistemi
Kamu İç Denetim Standartları, Uluslararası İç Denetçiler Enstitüsünün “Uluslararası İç
Denetim Mesleki Uygulama Standartları” esas alınarak Maliye Bakanlığı İç Denetim
Koordinasyon Kurulu tarafından hazırlanmış ve 16.08.2001 tarihli ve 28027 sayılı Resmi
Gazete’de yayımlanarak yürürlüğe girmiştir. Standartlar iç denetçilerin niteliklerini
(Nitelik Standartları) ve iç denetim faaliyetlerinde uygulanması gereken süreçleri
(Çalışma (Performans) Standartları) belirlemektedir. Güvence/denetim (G) ve
danışmanlık (D) faaliyetlerine uygulanabilecek gereklilikleri gösteren Nitelik ve
Performans Standartları, bir idaredeki iç denetim faaliyetlerinin bütününe tatbik edilmek
üzere hazırlanmıştır (Kamu İç Denetim Standartları, 1).
5018 sayılı Kanun’un 64. maddesinde, “iç denetçi görevlerini İç Denetim Koordinasyon
Kurulu tarafından belirlenen ve uluslararası kabul görmüş kontrol ve denetim
standartlarına uygun bir şekilde yerine getirir” hükmüne yer verilmektedir. Standartlar iç
denetçilerin risk yönetimiyle ilgili rol ve sorumluluklarını da düzenlemektedir
Kamu İç Denetim Nitelik Standartlarına göre iç denetçiler, suiistimal ve kilit bilgi
teknolojisi riskleri ve bu risklerin yönetilmesi ve kontrolünü değerlendirebilecek yeterli
bilgiye ve teknoloji tabanlı denetim tekniklerine sahip olmak zorundadır. Ancak iç
denetçilerden esas görev ve sorumluluğu bilgi teknolojileri denetimi ve suiistimalleri
tespit etmek ve soruşturmak olan bir kişinin uzmanlığına sahip olmasının beklenmemesi
gerektiği önemle vurgulanmaktadır.
İç denetçilerin yönetişim, risk yönetimi ve kontrol süreçlerinin etkililiği ve yeterliliği
kapsamında azami mesleki özen ve dikkati göstermesi gerekmektedir. İç denetçiler
amaçları, faaliyetleri ve kaynakları etkileyebilecek önemli risklere karşı dikkatli olmak
zorundadır. Ancak güvence faaliyetinin, azami mesleki özen ve dikkatle uygulansa bile
196
tek başına bütün önemli risklerin teşhis edilebilmesini garanti etmediği hususuna
standartlarda açıklık getirilmektedir.
Kamu İç Denetim Çalışma Standartları kapsamında iç denetim yöneticisinin; idarenin
hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini belirleyen risk esaslı
planlar yapması gerektiği belirtilmektedir. İç denetim planının, üst yönetici ve üst düzey
yöneticilerin de sürece dâhil edilerek görüşlerinin alındığı, en az yılda bir kez yapılan
yazılı bir risk değerlendirmesine dayandırılması gerekmektedir. İç denetim yöneticisinin
danışmanlık görevlerini kabul ederken risk yönetimini geliştirme, kuruma değer katma
ve faaliyetleri geliştirme potansiyelini değerlendirerek karar vermesi gerektiği üzerinde
durulmaktadır. İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla ilişkili
risklerini değerlendirmek ve diğer önemli risklere karşı dikkatli olmak ve danışmanlık
görevlerinden elde ettikleri risk bilgilerini, idarenin risk yönetim süreçlerini
değerlendirmede kullanmakla yükümlü tutulmaktadır. İç denetçilerin risk yönetim
süreçlerinin kurulmasında veya geliştirilmesinde yönetime danışmanlık hizmeti verirken,
“riskleri fiilen yönetmek suretiyle yönetim sorumluluğu almaktan” kaçınmak zorunda
olduğu belirtilmektedir.
İç denetçiler kurumsal risk yönetim sistemini inceleme, değerlendirme, raporlama,
sistemin etkinlik ve yetkinliğini artırıcı önerilerde bulunma yoluyla üst yönetime ve
yönetim kuruluna yardımcı olmaktadır. İç denetçilerin esas görevi sistemin etkinliği ile
ilgili, risk yönetim süreçlerine, risklerin doğru yönetildiğine, önemli risklere ilişkin
raporlamaların ve önemli risklerin yönetiminin değerlendirilmesine dair yönetime ve
yönetim kuruluna makul bir güvence sunmaktır.
Güvencenin verilemediği durumlardaki temel görevi ise yönetime önerilerde bulunarak
doğru çözümlerin üretilmesine yardımcı olmaktır; ancak bu durumda dâhi iç denetçinin
sorumluluğu danışmanlık rolünün ötesine geçmemelidir.
197
Bu Bölümde Ne Öğrendik Özeti
İç Denetim Sistemindeki Değişim ve Özellikleri
Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırması
İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri
İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumlulukları
İç Denetçi ve Güvence Hizmeti
İç Denetçilerin Danışmanlık Rolü
İç Denetçilerin Taşıması Gereken Özellikler
İç Denetçilerin Durumu
Sayılı Kanun Kapsamında Risk Yönetim Sistemi
Kamu İç Denetim Standartlarında Risk Yönetim Sistemi
198
Bölüm Soruları
S.11. İç Denetim Sistemindeki Değişim ve Özellikleri açıklayınız.
S.12. Geleneksel ve Risk Odaklı İç Denetim Sistemi Karşılaştırınız.
S.13. İç Denetimin Kurumsal Risk Yönetim Sistemindeki Temel Rolleri açıklayınız.
S.14. İç Denetçilerin Kurumsal Risk Yönetim Sistemindeki Görev ve Sorumluluklarını
açıklayınız.
S.15. İç Denetçi ve Güvence Hizmetini açıklayınız.
S.16. İç Denetçilerin Danışmanlık Rolünü açıklayınız.
S.17. İç Denetçilerin Taşıması Gereken Özellikleri açıklayınız.
S.18. İç Denetçilerin Durumunu açıklayınız.
S.19. Sayılı Kanun Kapsamında Risk Yönetim Sistemini açıklayınız.
S.20. Kamu İç Denetim Standartlarında Risk Yönetim Sistemini açıklayınız.
200
Bu Bölümde Neler Öğreneceğiz?
Üst Yönetim ve Yönetim Kurulu
Yöneticiler
Risk Görevlileri
Finans Yetkilileri
Kurum İçi Diğer Sorumlular
Bağımsız Dış Denetçiler
Yasa Koyucu ve Düzenleyiciler
Kurum ile İlişki İçerisinde Olan Kişiler
201
Bölüm Hakkında İlgi Oluşturan Sorular
S.1. Üst Yönetim ve Yönetim Kurulunu açıklayınız.
S.2. Yöneticileri açıklayınız.
S.3. Risk Görevlilerini açıklayınız.
S.4. Finans Yetkililerini açıklayınız.
S.5. Kurum İçi Diğer Sorumluları açıklayınız.
S.6. Bağımsız Dış Denetçileri açıklayınız.
S.7. Yasa Koyucu ve Düzenleyicileri açıklayınız.
S.8. Kurum ile İlişki İçerisinde Olan Kişileri açıklayınız.
202
Bölümde Hedeflenen Kazanımlar ve Kazanım Yöntemleri
Konu Kazanım Kazanımın nasıl elde
edileceği veya geliştirileceği
Üst Yönetim ve Yönetim
Kurulu
Üst Yönetim ve Yönetim
Kurulu açıklar
Üst Yönetim ve Yönetim
Kurulu inceleyerek
Yöneticiler Yöneticiler tanımlar Yöneticiler inceleyerek
Risk Görevlileri Risk Görevlileri tanımlar Risk Görevlileri inceleyerek
Finans Yetkilileri Finans Yetkilileri tanımlar Finans Yetkilileri inceleyerek
203
Anahtar Kavramlar
Üst Yönetim ve Yönetim Kurulu
Yöneticiler
Risk Görevlileri
Finans Yetkilileri
Kurum İçi Diğer Sorumlular
Bağımsız Dış Denetçiler
Yasa Koyucu ve Düzenleyiciler
Kurum ile İlişki İçerisinde Olan Kişiler
204
14.1. Üst Yönetim ve Yönetim Kurulu
Yönetim kurulu, üst yönetim, diğer yönetim kademeleri, risk görevlileri, finans
yetkilileri, iç denetçiler ve aslında kurum içinde her birey kurumsal risk yönetim
sisteminin etkinliğine katkı sağladığı gibi sistemde bireylere katkı sağlamaktadır.
Üst yönetim ve varsa yönetim kurulu, kurumun karşılaşabileceği tüm risklerin
tanımlanması, değerlendirilmesi, ölçülmesi ve kontrol süreçlerinin organize edilmesinden
sorumludur.
Etkili bir üst yönetici ya da yönetim kurulu üyelerinin tarafsız, yetenekli, meraklı ve
dikkatli olması gerekir. Bu kişiler kurum faaliyetleri ve çevre ile ilgili gerekli bilgiye
sahip olmalıdır. Resmi ve belgelenmiş kurumsal risk yönetim sisteminin işlerlik
kazanabilmesi için özellikle üst yönetimin sürece sahip çıkması ve gerekli
yetkilendirmeleri yapması gerekmektedir. Amerika’da 2008 ekonomik krizinden sonra
yönetim kurulunun risk yönetim sisteminin denetimi ile ilgili sorumluluklarına yönelik
giderek artan bir vurgu söz konusu olmuştur.
Risk yönetiminden doğrudan sorumlu olmayan yönetim kurulu, kurum yöneticilerine yol
gösterir, destek ve gözetim sağlar ve sistemin kurum çapında denetlenmesinde önemli rol
oynar. Yönetim kurulu ve üst yönetimden gelen destek kurumsal risk yönetim sürecine
odaklanılması, dikkat edilmesi ve kaynak aktarılması için önemlidir. Yönetim kurulunun
desteği, sistemin önemli bir unsuru olan iç ortamın oluşturulması için de gereklidir.
Yönetim kuruluna bağlı komiteler de sistemin önemli bir parçasıdır. Yönetim kurulu bazı
yönetim komitelerini sorumluluklarını yerine getirebilmek için kullanmaktadır.
COSO üst yönetim ve yönetim kurulunun sorumlulukları ile ilgili şu unsurlara
değinmektedir:
i. Yönetimin kurum içinde ne ölçüde etkili kurumsal risk yönetim sistemi kurduğunu
tespit etmek.
ii. Kurum risk iştahının farkında olmak ve bu konuda mutabakat sağlamak.
205
iii. Kurum risk portföyünü incelemek ve risk portföyünü risk iştahını da dikkate alarak
değerlendirmek.
iv. Önemli risklerle ilgili gerekli bilgiye sahip olmak ve yönetimin uygun bir tutumu
belirleyip belirlemediğini anlamak.
v. Kurumsal risk yönetim sisteminin zayıf ve güçlü yanları hakkında bilgi sahibi olmak.
vi. Yönetim riski uygun şekilde yönetemediğinde gerekli uyarıları yapmak.
Kısaca üst yönetici ve yönetim kurulu; kurumun karşılaşabileceği en önemli riskleri,
kurumun krizi nasıl yöneteceğini, kurumdaki paydaş güveninin önemini ve performans
sapmalarının hissedar değeri üzerindeki etkisini bilmeli, kurum düzeyinde farkındalık
yaratmalı, risk yönetim sürecinin etkin çalıştığından emin olmalı ve risk yönetim felsefesi
ve sorumlulukları kapsayan açık bir risk yönetim politikası oluşturulmasını sağlamalıdır.
14.2. Yöneticiler
Yönetici, kurumsal risk yönetimi dâhil kurumun farklı alanlarında sorumluluklara sahip
kişilerini ifade etmektedir. Bununla beraber bu sorumluluklar kurum düzeyinde ve
kurumun niteliğine göre değişmektedir. Örneğin genel müdür, kurumsal risk yönetim
sisteminin başarısından ve etkinliğinden sorumluyken şef yöneticiler kurumsal risk
yönetim sorumluluğunun üstlenilmesinde en üst düzey sorumluluğa sahiptir. Bu
sorumluluğun en önemli unsurlarından biri de olumlu bir iç ortam özelliğini güvence
altına almaktır. Yöneticilerin sistemin etkinliği için gerekli önemli destekleyici unsurların
ve etik değerlerin olup olmadığına da dikkat etmesi gerekir.
Yöneticiler hedeflerine ulaşmalarını engelleyecek beklenmedik hadiselerle
karşılaşmaktan hoşlanmaz. Beklenmedik hadiselerin veya durumların ortaya çıkışını
engellemek amacıyla riskler belirlenmektedir. İç ve dış risklerin yönetim tarafından
bilinmesinin kuruma potansiyel etkileri olmakla birlikte bu durum yönetimin, risklerin
optimal düzeyde yönetildiğine dair hem yönetim kurulu hem de denetim komitesine
güvence vermesini sağlamaktadır (Florea ve Florea, 2009: 39). Riskler belirlendikten
206
sonra yönetim kaçıracağı ya da yakalayabileceği fırsatları görme imkânına kavuşacaktır.
Risklerin belirlenmemesi durumunda kurum,
i. Kabullenebileceği risklerin farkında olamaz.
ii. Kabullenebileceği ya da yönetebileceği risklerin farkında olmazsa risk alamaz.
iii. Risk alamazsa nasıl büyüyebileceğini bilemez.
iv. Nasıl büyüyebileceğini bilmemesi kurumun hiçbir gelişme gösteremeden yitip
gitmesine sebep olacaktır.
14.3. Risk Görevlileri
Bazı kurumlar sistemi kolaylaştırmak için merkezi bir koordinasyon noktası
rolü görecek bir risk yönetim birimi oluşturmaktadır. Risk görevlilerinden oluşan bu
birimde personel, kendi sorumluluk alanları dâhilinde sistemin etkinliği için diğer
yöneticilerle birlikte çalışmaktadır.
Sistemin öneminin anlatılabilmesi için gerekli iletişim yeteneğine sahip olması gereken
risk görevlilerinin başlıca görevleri şunlardır.
i. Kurumsal risk yönetim planını oluşturmak ve belirlenen hedeflerin uygulanması için
her birimin sistemdeki yetki ve sorumluluk kapsamını belirlemek.
ii. Kurum çapında kurumsal risk yönetim yetkinliğini artırmak, kolaylaştırıcı teknik
uzmanlık geliştirmek, kurumun risk toleransı ve kontrol sistemleri geliştirmesini
sağlayarak risk tutumu ile ilgili yöneticilere yardımcı olmak.
iii. Kurumsal risk yönetimin diğer iş planları ve yönetim faaliyetleri ile entegrasyonunda
kılavuzluk yapmak.
iv. Kurumda herkesin anlayacağı ve kullanacağı olasılık ve etki ölçülerini ve ortak risk
kategorilerini kapsayacak bir ortak risk yönetim dili (terim dizini) oluşturmak.
v. Raporlama protokolü oluşturulmasında, nitelik ve nicelik sınırlarının belirlenmesinde
ve raporlama sürecinin takibinde yönetimin işini kolaylaştırıcı rehberlik yapmak.
207
vi. İdari süreçteki temel durumu ve aykırılıkları bildirmek ve gerekli durumlarda
tavsiyelerde bulunmak.
14.4. Finans Yetkilileri
Kurum bütçe plan ve programlarını hazırlayan ve uygulayan finans yetkilileri uygunluk,
faaliyet ve raporlama performansını izler ve analiz eder. Mali kayıpları engellemek
amacıyla hileli raporlamaların tespit edilmesi ve önlenmesinde önemli görev üstlenirler.
Finans üst yöneticisi etik davranış niteliğinin oluşturulmasına yardımcı olur. Kurumsal
risk yönetim unsurlarına bakıldığında finans yönetici ve personelinin önemli roller
üstlendiği açıkça görülmektedir. Hedeflerin oluşturulmasında, stratejilerin
kararlaştırılmasında, risklerin analiz edilmesinde ve değişikliklerin kurum yönetimini
nasıl etkilediğinin belirlenmesi konusunda çok önemli rollere sahiptirler. Değerli girdi ve
yönlendirmeler sağlayarak faaliyetlerin gerçekleştirilmesi sürecinin takibine
odaklanmaktadırlar.
14.5. Kurum İçi Diğer Sorumlular
Aslında kurumsal risk yönetim sistemi kurum içindeki herkesin paylaşması gereken bir
sorumluluktur. Her personel sistemin içsel ve ayrılmaz bir parçası olan bilgi ve iletişim
sürecini desteklemekle sorumlu olduğu için herkes bir şekilde sistem içerisinde yer
almaktadır. Ayrıca birey kendini risk sahiplenici olarak düşünmese de faaliyet alanı ile
ilgili risklerin yönetim sürecine katılması ile birlikte kurumsal risk yönetim sürecinin
etkinliğini artırmakta ve sisteme doğrudan dahil olmaktadır.
14.6. Bağımsız Dış Denetçiler
Kurumun bağımsız dış denetçileri hem üst yönetime hem de yönetim kuruluna hedeflere
ulaşılmasına katkı sağlayacak bağımsız ve tarafsız bir risk yönetim perspektifi
sunmaktadır. Denetim bulgularını yönetimle paylaşarak risk yönetim sisteminin
eksikliklerinin giderilmesi hususunda tavsiyelerde bulunabilir ve risk yönetim
programının geliştirilmesini sağlayabilirler. Ayrıca yönetimin risk yönetimi ile ilgili
208
sorumluluklarında yardımcı olacak faydalı bilgiler sunabilirler. Bilgilerin aşağıdakileri
kapsaması gerekmektedir.
14.7. Yasa Koyucu ve Düzenleyiciler
Yasa koyucu ve düzenleyiciler çoğu kurumda kurumsal risk yönetim sistemini ya risk
yönetim ya da iç kontrol sistem gereksinimi oluşturulması yoluyla etkilemektedir. İlgili
pek çok yasa ve düzenleme finansal raporlamanın risk ve kontrol süreçleri ile ilgilidir.
Bazıları özellikle kamu kurumlarında faaliyet ve uygunluk hedefleri ile ilgilidir.
Amerika’da 2002 yılında yürürlüğe konulan Sarbanes Oxley Yasası buna bir örnektir.
Yasa koyucu ve düzenleyiciler kurumsal risk yönetim sistemini iki yolla etkilemektedir.
İlkinde, yönetimin risk yönetim ve kontrol sisteminin minimum yasal ve düzenleyici
gereksinimleri karşıladığından emin olmasını sağlayıcı kurallar koyar. İkincisinde,
kuruma kurumsal risk yönetim sistemini uygulamasını sağlayıcı bilgi ve tavsiyelerde
bulunur ve bazen yönetimi gerekli iyileştirmelerle ilgili yönlendirir.
14.8. Kurum ile İlişki İçerisinde Olan Kişiler
faaliyetlerinde kullanılacak önemli bilgi kaynaklarıdır. Risk yönetim politika ve
hedeflere ulaşma düzeyine ilişkin raporun bu kesime yönelik de hazırlanması gerekir .
209
Bu Bölümde Ne Öğrendik Özeti
Üst Yönetim ve Yönetim Kurulu
Yöneticiler
Risk Görevlileri
Finans Yetkilileri
Kurum İçi Diğer Sorumlular
Bağımsız Dış Denetçiler
Yasa Koyucu ve Düzenleyiciler
Kurum ile İlişki İçerisinde Olan Kişiler
210
Bölüm Soruları
S.9. Üst Yönetim ve Yönetim Kurulunu açıklayınız.
S.10. Yöneticileri açıklayınız.
S.11. Risk Görevlilerini açıklayınız.
S.12. Finans Yetkililerini açıklayınız.
S.13. Kurum İçi Diğer Sorumluları açıklayınız.
S.14. Bağımsız Dış Denetçileri açıklayınız.
S.15. Yasa Koyucu ve Düzenleyicileri açıklayınız.
S.16. Kurum ile İlişki İçerisinde Olan Kişileri açıklayınız.
211
KAYNAKLAR
Anıl Gacar, Işletmelerde Kurumsal Risk Yönetimi Varliğinin Belirleyicileri, Celal
Bayar Üniversitesi, Sosyal Bilimler Enstitüsü, Doktora Tezi, 2006
Davut Pehlivanli, Kurumsal Risk Yönetimi Temelli Iç Denetim Ve Türkiye
Uygulamalari, Kocaeli Üniversitesi, Sosyal Bilimler Enstitüsü, Doktora Tezi, 2008
Erdal Duran, Kamu Idarelerinde Kurumsal Risk Yönetimi Uygulamalari, Çevre Ve
Şehircilik Bakanliği Strateji Geliştirme Başkanliği, Mali Hizmetler Uzmanliği
Araştirma Raporu, Ankara, 2013
Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management Of Strategy,
Concepts., 8th Edition.Ohio: South-Western College Pubishing
Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management Of Strategy,
Concepts., 8th Edition.Ohio: South-Western College Pubishing,
Porter, Michael E. “The Five Competitive Forces That Shape Strategy,” Harvard
Business Review, January 2008.
Ruveyda Kizilboğa, Kurumsal Risk Yönetimi Odakli Iç Denetim Ve Istanbul
Büyükşehir Belediyesi Için Bir Model Önerisi, Marmara Üniversitesi, Sosyal Bilimler
Enstitüsü, Doktora Tezi, 2012
Şule Güneş, Kurumsal Risk Yönetimi Ve Türkiye’de Farkindaliğina Ilişkin Bir
Uygulama, Istanbul Teknik Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi,
2009
Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts And
Cases, 8.Edt. Irwin Pub.
Ülgen, Hayri Ve Kadri Mirze (2007), İsletmelerde Stratejik Yönetim, Arıkan Bsm.
4.Bsm
Wheelen, L.T. And Hunger, J.D. (1995). Strategic Management And Business Policy,
Addison-Wesley Pub
212
i İşletmelerde stratejik yönetim süreci fakkında detaylı bilgi için bkz:
Wheelen, L.T. And Hunger, J.D. (1995). Strategic Management And Business Policy, Addison-Wesley Pub
Thompson, A.A. J. And Strickland, A.J. (1995) Strategic Management Concepts And Cases, 8.Edt. Irwin Pub. **Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009).
The Management Of Strategy, Concepts., 8th Edition.Ohio: South-Western College Pubishing, **Ülgen, Hayri Ve Kadri Mirze (2007), İsletmelerde Stratejik
Yönetim, Arıkan Bsm. 4.Bsm
ii Detaylı bilgi için bkz.: Ireland R.D., Hoskisson R.E.,Hitt, M.A., (2009). The Management Of Strategy, Concepts., 8th Edition.Ohio: South-Western College
Pubishing
iii Detaylı Bilgi İçin Bkz: Porter, Michael E. “The Five Competitive Forces That Shape Strategy,” Harvard Business Review, January 2008.