Table Of ContentYÖNETİCİ ÖZETİ
Kurum risk analizinin altında yatan mantık, kurumun paydaşlarına değer katmasının
sağlanmasıdır. Bütün kurumlar riskler ile karşılaşırlar ve yöneticiler ne kadar bir riski kabul
edebileceklerine karar vermelidirler. Belirsizlik hem risk, hem de fırsatlar içerir ve katılacak
değerleri azaltabilir, artırabilir de. Kurumsal risk yönetimi, yönetimin belirsizlikler ile ve risk
ve fırsatlarla etkili bir şekilde ilgilenmesi, paydaşlara değer katmak için kapasitenin
geliştirilmesine olanak tanır.
Yönetim, stratejileri ve hedefleri, büyüme ve hedeflere ulaşma ve ilişkili riskler arasında
dengeli bir şekilde dağıttığı ve kurumun kaynaklarını hedefler doğrultusunda etkili bir şekilde
kullandığı zaman katılan değer maksimuma ulaşır. Kurumsal risk yönetişimi aşağıdakileri
kapsar:
• Risk iştahı ve stratejiyi birleştirme: Yönetim, stratejik alternatifleri, ilişkili hedefleri
oluştururken ve ilişkili riskleri yönetirken geliştireceği mekanizmaları geliştirirken
kurumun risk iştahını göz önüne almalıdır.
• Risk yanıt kararlarının geliştirilmesi: Kurumsal risk yönetimi riskten sakınılması,
riskin azaltılması, paylaşılması ve kabulü gibi alternatif risk yanıt seçenekleri
arasından uygun olanın seçilmesi sağlar.
• Faaliyet istisna ve kayıplarının düşürülmesi: Kurumlar, sürprizleri ve maliyet ve
kayıpları azaltarak potansiyel olaylara ve bunlara verilecek yanıtlara karşı
kapasitelerini artırırlar.
• Çoklu ve çapraz kurumsal riskleri yönetmek: Her kurum çeşitli departmanlarını
ilgilendiren çok çeşitli risklerle karşılaşır ve kurumsal risk yönetimi bağlantılı
sonuçlara etkili çözümler ve çoklu risklere bütünleşmiş çözümler üretir.
• Fırsatları ölçüleme: Yönetim potansiyel olayların hepsini dikkate alarak proaktif
olarak fırsatların gerçekleştirilmesi için çaba sarf etmelidir.
• Sermayenin Geliştirilmesi: Sağlam risk bilgisinin elde edilmesi yönetime sermaye
ihtiyaçlarını etkili şekilde değerlendirme ve sermaye tahsisini geliştirmeye yardım
eder.
1
Kurumsal risk yönetiminde bulunan bu kapasiteler, kurumun performans ve karlılık
hedeflerinin gerçekleştirilmesi ve kaynak kayıplarının önlenmesine yardım eder.
Kurumsal risk yönetimi etkili bir raporlama ve kanunlara ve düzenlemelere uygunluk ve
kurumun saygınlığına zarar verilmesinin önlenmesi konularında yardımcı olur. Özet
olarak, kurumsal risk yönetimi kurumun elde etmek istedikleri ve yol boyunca sakınmak
istedikleri konusunda kuruma yardımcı olur.
Olaylar – Riskler ve Fırsatlar
Olaylar pozitif, negatif veya her iki yönde etki yapabilir. Negatif etkili olaylar değer
yaratılmasını engelleyebilen veya var olan değerlerin de aşınmasına sebebiyet verebilecek
riskleri temsil eder. Olumlu olaylar, olumsuz olayların etkisini telafi edebilir veya
fırsatları temsil edebilir. Fırsatlar olabilecek ve hedeflerin gerçekleşmesini olumlu yönde
etkileyebilecek, değer yaratılmasını destekleyecek ve koruyacak olaylardır. Yönetim
kanalları, fırsatların strateji ve hedef belirleme süreçlerinde dikkate alınmasını ve planların
fırsatları kapsayacak şekilde formüle edilmesini ağlar.
Kurumsal Risk Yönetiminin Tanımı
Kurumsal risk yönetimi, değer yaratılması ya da var olan değerlerin muhafaza edilmesini
sağlar ve aşağıdaki şekilde tanımlanmıştır:
Kurumsal risk yönetimi, yönetim kurulu, yönetim ve diğer personelden etkilenen, strateji
oluşturulması sürecinde ve kurumun tamamında başvurulan, kurumu etkileyebilecek olası
olayları tanımlayan ve risk iştahı kapsamında bu olayları yönetebilen ve kurum
hedeflerinin gerçekleştirilmesine makul güvence sağlayan bir süreçtir.
Tanım bazı temel kavramları içeriyor. Kurumsal risk yönetimi;
• Sürekli ve kurumun tamamına yayılmış bir süreç
• Kurumun her seviyesindeki çalışanlardan etkilenen
• Strateji oluşturulması sırasında başvurulan
2
• Kurumun tamamında, her seviye ve birimde ve kurum seviyesinde riskleri dikkate
alan
• Eğer olursa, potansiyel olayların kurumu nasıl etkileyeceği ve risk iştahı içerisinde
nasıl yönetileceği
• Kurum yönetimine ve yönetim kuruluna makul güvence sağlanması.
• Hedeflerin bir veya daha fazla sayıda fakat birbiriyle örtüşen kategorilere ayrılması.
Yukarıdaki tanım amaca uygun olarak geniş bir tanımdır. Bu tanım, şirketler ve diğer
örgütlerin riskleri nasıl yöneteceği bağlamında kurum, endüstri ve sektör bazında temel
kavramları içerir. Bu tanım bir kurum tarafından oluşturulmuş hedefler üzerinde
doğrudan vurgu yaptığı gibi kurumsal risk yönetiminin etkinliğinin tanımlanması için de
bir temel oluşturur.
Hedeflerin Gerçekleştirilmesi
Var olan misyon ve vizyonları doğrultusunda yönetim, kurum hedeflerini seçer, stratejilerini
oluşturur. Kurumsal risk yönetimi şeması kurumun hedeflerini dört bölümde gerçekleştirmeye
çalışır:
• Stratejik – misyonu destekleyen ve misyonla işbirliği içerisinde, yüksek hedefler
• Faaliyetler – kaynakların etkili ve verimli kullanımı
• Raporlama – raporlamanın güvenilirliği
• Uygunluk - başvurulabilir kanun ve yönetmeliklere uygunluk
Kurum hedeflerinin bu şekilde sınıflandırılması kurumsal risk yönetiminin farklı yönlerine
vurgu yapar. Bu ayrı fakat örtüşen kategoriler - bir hedef birden fazla kategoriye girebilir -
farklı ihtiyaçlara yöneliktir ve farklı yöneticilerin sorumluluğunda olabilir. Bu ayrım
ayrıca her bir hedef kategorisinden beklentiler arasında ayrıma da müsaade eder.
Kaynakların korunması adı altında ayrı bir kategori daha bazı kurumlar tarafından
kullanılmaktadır.
Kurum kontrolü içerisindeki kanun ve düzenlemelere uygunluk ve raporlamanın
güvenilirliğine dair hedefler sayesinde, kurumsal risk yönetimi hedeflerin
3
gerçekleştirilmesi bağlamında makul güvence sağlar. Stratejik hedeflerin ve faaliyet
hedeflerinin gerçekleştirilmesi, sadece kurum içerindeki kontrollere değil, aynı zamanda
dış gelişmelere de bağlıdır ve kurumsal risk yönetimi yönetime bu bağlamda da
zamanında, geniş bir bakış açısı sağlar.
Kurumsal Risk Yönetiminin Öğeleri
Kurumsal risk yönetimi 8 ilişkili öğeden oluşur. Bunlar:
• İç Çevre – İç ortam ile kastedilen, kurumda çalışanların risk algılamasının nasıl
olduğu, risk iştahı, bütünlük ve etik değerler, kurumun faaliyet gösterdiği ortamdır.
• Hedef Belirleme – Hedefler, hedeflere ulaşılmasını etkileyebilecek olası olaylardan
önce var olmalıdır. Kurumsal risk yönetimi, seçilen hedeflerin kurumun misyonu ile
uyumlu olmasını ve risk iştahı ile uyuşmasını sağlar.
• Olay Tespiti – Kurum hedeflerinin gerçekleştirilmesinde etkili olabilecek iç ve dış
olayların tespiti ve risk ve fırsatlar arsında ayrıma gidilmesi. Fırsatlar, yönetimin
strateji ve hedef belirleme süreçlerine kanalize edilmelidirler.
• Risk Değerlendirmesi: Riskler, nasıl yönetileceklerine temel oluşturmak üzere oluşma
ihtimalleri ve etkileri dikkate alınarak analiz edilmelidirler.
• Riske Yanıt – Çalışanlar; riskten kaçınılması, riskin kabul edilmesi, azaltılması ve
paylaştırılması ihtimallerini tespit eder ve değerlendirir.
• Kontrol faaliyetleri: Risklere karşı etkili çözümler üretebilmek için politika ve
prosedürler kurulmalı ve uygulanmalıdır.
• Bilgi ve İletişim: Personelin görevini yerine getirmesini sağlayacak bilgi zamanında
ve form şeklinde ilgililere iletilmelidir. İletişim, aşağıdan yukarıya, yukarıdan
aşağıya, çapraz gibi geniş bir bağlamda ele alınmalıdır.
• İzleme: Kurumsal risk yönetiminin bütünlüğü gözden geçirilmeli ve gerekli olan
düzeltmeler yapılmalıdır. İzleme, düzenli izleme faaliyetleri şeklinde olabileceği gibi,
ayrı bir değerlendirme veya ikisi bir arada olabilir.
Kurumsal risk yönetimi, katı şekilde uygulanan, bir aşaması diğer bir aşamayı etkileyen bir
dizilim şeklinde değil, çok yönlü, herhangi bir aşaması diğerlerini etkileyebilen bir süreçtir.
4
Hedefler ve Öğelerin İlişkisi
Kurumun gerçekleştirmek istediği hedefleri ile bu hedefleri geçekleştirmek için ihtiyaç
duyulan kurumsal risk yönetiminin öğeleri arasında doğrudan bir ilişki vardır. Bu ilişki, üç
yönlü, küp şeklinde bir ilişkidir.
Internal Control -
Integrated
Framework, COSO
Dört hedef kategorisi –
stratejik, faaliyetler,
raporlama, uyum – dikey
kolonlarda; sekiz öğe yatay
sütunlarda ve kurumun
birimleri 3. boyutta
gösterilmiştir. Bu çizim,
kurumun kurumsal risk
yönetimi veya hedefler, öğeler ve birimler arasındaki bütünlüğü betimler.
Etkinlik
Kurumun kurumsal risk yönetiminin etkin olup olmadığı 8 öğenin fonksiyonlarını yerine iyi
bir şekilde getirip getiremediği konusunda yapılan bir değerlendirme üzerine karar verilebilir.
Bu nedenle, öğeler kurumsal risk yönetimi için kriter teşkil eder. Söz konusu öğelerin uygun
bir şekilde işleyebilmesi için maddi zayıflıklar olmamalıdır ve riskler kurumun risk iştahı
dâhilinde bulunmalıdır.
Kurumsal risk yönetimi, 4 hedef kategorisinin her birisinde etkili olmalıdır, sırasıyla, yönetim
kurulu ve yönetime kurumun stratejik ve faaliyet hedeflerinin gerçekleştirilmesi konusunda
makul güvence sağlamalıdır, raporlama güvenilir olmalıdır, kanun ve diğer düzenlemeler ile
uyumlu olmalıdır.
5
8 unsur her kurumda tipik olarak işlemeyecektir. Örneğin 8 unsurun uygulanması küçük ve
orta ölçekli kurumlarda daha az resmi ve yapısaldır. Buna rağmen, ufak ölçekli kurumlar da
her bir öğe bulunduğu ve işlediği müddetçe etkili bir kurumsal risk yönetimine sahip
olabilirler.
Kısıtlamalar
Kurumsal risk yönetimi önemli faydalar sağlamakla birlikte kısıtlamaları da vardır. Bu
sınırlamalar insanın doğasından kaynaklanan karar verme aşamasındaki hatalar, kontrollerin
kurulmasının fayda-maliyet analizindeki yanlışlıklar, iki veya daha fazla çalışanın birlikte hile
yapması ve yönetimin kurumsal risk yönetimi bulgularını görmezden gelmesi gibi
kısıtlamalardır. Bu sınırlamalar, yönetim kuruluna ve yönetime hedeflerin gerçekleştirilmesi
bağlamında mutlak güvence sağlanmasına engel olur.
İç Kontrolün Kuşatılması
İç kontrol kurumsal risk yönetiminin bir parçasıdır. Kurumsal risk yönetimi yapısı iç kontrolü
kuşatır, yönetime daha sağlam bir kavramsallık ve araç sağlar. İç kontrol, İç Kontrol –
Bütünsel Yapı bölümünde tanımlanmıştır. Bu yapı, var olan kurallar, düzenlemeler için temel
oluşturduğu için iç kontrol için bir yapı oluşturur. İç Kontrol – Bütünsel Yapı, kurumsal risk
yönetimi yapısı içerisinde tekrar türetilir, İç Kontrol – Bütünsel Yapı’nın bütünlüğü kurumsal
risk yönetimi yapısına referans yapılarak ve işbirliği içerisinde olunarak sağlanır.
Roller ve Sorumluluklar
Kurum içerisindeki herkes kurumsal risk yönetimi bağlamında sorumluluğa sahiptir. CEO,
tamamıyla kurumsal risk yönetiminden sorumludur ve bunu sahiplenmelidir. Diğer müdürler
kurumun kurumsal risk yönetimi felsefesini desteklemeli, risk iştahı ile uyumluluğunu
sağlamalı ve sorumluluk alanlarındaki riskleri risk toleransları dâhilinde yönetmelidirler. Risk
görevlisi, mali işlerden sorumlu çalışan, iç denetçi ve diğerleri genellikle anahtar
sorumluluklara sahiptirler. Diğer kurum çalışanlar oluşturulmuş olan direktif ve protokollere
göre kurumsal risk yönetimini uygulamak zorundadırlar. Yönetim kurulu, kurumsal risk
yönetimine önemli bir gözetim sağlar.
6
Bu raporun Organizasyonu
Bu rapor iki bölümden oluşuyor. İlk bölüm, bu özetin yanında Çerçeve’yi kapsıyor. Çerçeve,
kurumsal risk yönetimini, prensip ve kavramlarını tanımlar, kurumun her aşamasındaki
yönetim için kurumsal risk yönetimini geliştirmek ve etkinliğini sağlamak için rehberlik eder.
Bu özet, yönetim kesimindeki CEO, diğer üst yöneticiler, yönetim kurulu üyeleri ve
düzenleyiciler için hazırlanan genel bir açıklama mahiyetindedir. İkinci bölüm ise, Uygulama
Teknikleridir; söz konusu çerçevenin öğelerinin uygulanması için faydalı teknikler içerir.
Bu Raporun Kullanımı
Bu raporun sonucunda yapılması gerekli olarak önerilenler ilgili kısımlara göre
değişmektedir:
• Yönetim Kurulu – Kurul, üst yöneticilerle kurumsal risk yönetiminin durumunu
görüşmeli ve gerekli olan gözetimi sağlamalıdır. Kurul, en önemli risklerden haberdar
edildiğini ve yönetimin ne tür önlemler aldığını, ve kurumsal risk yönetimini nasıl
sağladığı konusunda bilgi sahibi olmalıdır. Kurul, iç ve dış denetçiler ile diğerlerinden
gerekli desteği almalıdır.
• Üst Yönetim – Bu çalışma CEO’nun kurumun kurumsal risk yönetimi yeterliliğini
değerlendirmesini önerir. Bir yaklaşıma göre CEO, birim müdürleri ve kilit
pozisyonlardaki personel ile kurumun kurumsal risk yönetimi yeterliliği hakkında
başlangıç değerlendirmesi için bir araya gelir. Toplanma şekli nasıl olursa olsun
başlangıç değerlendirmesi, kurumsal risk yönetimine ihtiyaç olup olmadığını ve nasıl
başlatılacağını geniş kapsamlı ve derinlemesine ele almalıdır.
• Diğer Kurum Personeli - Müdürler ve diğer personel bu çerçevenin ışığında
sorumluluklarını nasıl yerine getirdiklerine dikkate almalıdırlar ve kurumsal risk
yönetimini güçlendirmek için üst yönetimin ileri sürdüğü fikirleri ele almalıdırlar. İç
denetçiler kurumsal risk yönetimi hakkındaki vurgularının kapsamını ele almalıdırlar.
7
• Düzenleyiciler – Bu çerçeve kurumsal risk yönetiminin ne yapabileceği ve
kısıtlamaları hakkında paylaşılan görüşleri artırabilir. Düzenleyiciler, beklentilerin
oluşturulması sırasına bu çerçeveyi kural ya da rehber olarak alabilirler.
• Profesyonel Örgütler – Kural koyucu ya da mali yönetim, denetim ve ilişkili konularda
rehberlik sağlayan diğer profesyonel örgütler standartlarını ve rehberliklerini bu
çerçevenin ışığında düşünmelidirler. Kavram ve terminolojideki çeşitliliğin azaltılması
her kesimin faydasına olacaktır.
• Eğitimciler – Bu çerçeve, geliştirmeler yapabilmek için akademik araştırma ve analiz
konusu olmalıdır. Bu raporun genel bir zemin oluşturduğu varsayımı altında, bu
raporun terimleri ve kavramları üniversite programlarında yer almalıdırlar.
Karşılıklı anlayışın kurulması ile bütün taraflar ortak bir dil konuşacaklar ve daha etkin bir
şekilde iletişim kuracaklardır. Kurum yöneticilerine, kurumlarının kurumsal risk
yönetimlerini standartlara göre değerlendirecek şekilde pozisyon verilmeli, süreç daha da
güçlendirilmeli ve kurumları hedeflerine doğru yönlendirilmelidirler. Gelecekteki araştırmalar
var olan temel üzerinde olmalıdır. Kanun koyucu ve düzenleyiciler kurumsal risk yönetiminin
artı ve eksileri konusunda daha fazla bilgi ve anlayışa sahip olabilirler. Ortak bir kurumsal
risk yönetimini kullanan bütün taraflar için, bu faydalar gerçekleşecektir.
8
KURUMSAL RİSK YÖNETİMİ
BÜTÜNLEŞMİŞ ÇERÇEVE
Çerçeve
Eylül 2004
9
1. TANIM
Bölüm Özeti: Bütün kurumlar belirsizliklerle karşılaşır ve yönetim paydaşlarına değer katmak
için ne kadar bir belirsizliği kabul edebileceğine karar vermelidir. Kurumsal risk yönetimi,
yönetime belirsizlik bağlamında riskleri tespit etme, değerlendirme ve yönetme imkanı sağlar
ve değer oluşturma ve var olan değerleri korumanın bir parçasıdır. Kurumsal risk yönetimi,
kurumu etkileyebilecek potansiyel olayların tanımlanması, risklerin risk iştahı kapsamında
yönetebilmesi ve kurumun hedeflerinin gerçekleştirilmesi bağlamında makul güvence
sağlaması için tasarlanmıştır. Bu, yönetimin kurumu yönettiği yolun bir parçası olan sekiz
ilişkili öğeden oluşur. Bu öğeler, kurumsal risk yönetiminin etkinliğine karar verilmesinde
kriter olarak da hizmet ederler.
Bu çerçevenin kilit amacı işletmelerin ve diğer kurumların hedeflerine ulaşırken
karşılaşabilecekleri risklerle daha iyi mücadele edebilmek için kurum yönetimlerine yardım
etmektir. Fakat kurumsal risk yönetimi farklı kişilere farklı manalar ifade etmekte bu da ortak
bir anlayışa ulaşılmasını engellemektedir. Bu bağlamda, önemli bir hedef, ortak bir tanımın
oluşturulması, öğelerin ve çeşitli kavramların tanımlanmasıdır. Bu çerçeve, birçok bakış
açısını ele alır ve kurumsal risk yönetiminin bireysel değerlendirilmeleri ve geliştirilmesi,
düzenleyici organların gelecekteki girişimleri ve eğitim için bir başlangıç noktası teşkil eder.
Belirsizlik ve Değer
Kurumsal risk yönetiminin temel amacı kâr amaçlı olsun ya da olmasın, kamu ya da özel
kuruluş bütün kurumların paydaşlarına değer katmaktır. Bütün kurumlar belirsizlikle
karşılaşır ve yönetim, paydaşlara değer katmak için bu risklerin ne kadarını kabul etmesi
gerektiğine karar vermelidir. Belirsizlik hem risk hem de fırsat demektir, hem değer kaybına
hem de değer katılmaya sebebiyet verebilir. Kurumsal risk yönetimi, yönetime belirsizliklerle
etkili bir şekilde ilgilenme, riskler ile fırsatları ilişkilendirme ve bu sayede kurumun değer
oluşturma kapasitesini geliştirmesine olanak tanır.
Kurumlar, küreselleşme, teknoloji, değişen piyasa ve rekabet koşulları ve değişen
düzenlemeler nedeniyle belirsizliklerin oluştuğu bir ortamda faaliyet gösterirler. Belirsizlikler,
olayların gerçekleşme ihtimali ve etkilerinin derecesinin doğru bir şekilde tahmin edilmesi
10
Description:sınırlanması ve ara katman yazılımlar aracılığıyla girilen verilerin otomatik güncellenmesi gibi kontrol sistemlerini kuşatması gerektiğini belirtir.
