kurumsal yönetimi

MALİYE BAKANLIĞI
STRATEJİ GELİŞTİRME BAŞKANLIĞI
KURUMSAL
YÖNETİMİ
DANIŞMAN
AHMET UĞUR CEBECİ
HAZIRLAYAN
IŞILDA ARSLAN
MART 2008
İçindekiler
İçindekiler ................................................................................................................... 1
Şekil ve Tablolar ......................................................................................................... 3
Tablolar ................................................................................................................... 3
Şekiller .................................................................................................................... 3
Kısaltmalar .................................................................................................................. 4
Tanımlar ...................................................................................................................... 5
Özet ........................................................................................................................... 10
Abstract ..................................................................................................................... 12
GİRİŞ ........................................................................................................................ 14
1. RİSK YÖNETİMİ............................................................................................. 16
1.1
Risk ........................................................................................................... 16
1.2
Risk Yönetimi ........................................................................................... 19
1.3
Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine Geçiş ......... 20
2. Kurumsal Risk Yönetimi .................................................................................. 25
2.1
COSO ERM Gelişimi ............................................................................... 25
2.2
Kurumsal Risk Yönetimi Tanımı .............................................................. 26
2.3
Kurumsal Risk Yönetimi Unsurları .......................................................... 29
2.3.1
İç Ortam ............................................................................................ 29
2.3.2
Hedef Belirleme ................................................................................ 30
2.3.3
Olay Tanımlama................................................................................ 31
2.3.4
Risk Değerlendirmesi........................................................................ 33
2.3.5
Riske Karşılık Verme ........................................................................ 36
2.3.6
Kontrol Faaliyetleri ........................................................................... 38
2.3.7
Bilgi ve İletişim................................................................................. 39
2.3.8
İzleme ................................................................................................ 39
2.4
Kurumsal Risk Yönetimi – İç Kontrol Karşılaştırması............................. 41
2.5
Farklılıklar ve Eleştiriler ........................................................................... 45
3. Kurumsal Risk Yönetimine Geçiş .................................................................... 48
3.1
Temel oluşturulması.................................................................................. 49
3.1.1
Ortak bir dil oluşturulması ................................................................ 49
3.1.2
İdarenin desteğini ve gözetimini elde etmek .................................... 51
3.2
Kurumsal Risk Yönetimi Dönüşüm Sürecini ........................................... 52
3.2.1
Hedeflerin belirlenmesi ..................................................................... 52
3.2.2
Mevcut durum analizi ....................................................................... 53
3.2.3
Hedef yapının tespiti ......................................................................... 54
3.2.4
Fark analizi ve planlama ................................................................... 55
3.3
Kurumsal Risk Yönetiminin Uygulanması ............................................... 55
3.3.1
Risklerin tanımlanması ..................................................................... 56
3.3.2
Risklerin analiz edilmesi ve ölçülmesi ............................................. 57
3.3.3
Risklerin önceliklendirilmesi ............................................................ 62
3.3.5
İzleme ve gözden geçirme ................................................................ 67
3.4
Güçlendirme .............................................................................................. 68
4. Uygulama Örnekleri.......................................................................................... 70
1
4.1
Kurumsal risk yönetimi uygulama önerisi ................................................ 70
4.2
Virginia Eyaleti Uygulama Aracı ............................................................. 73
4.3
Bütünleşmiş risk yönetimi çerçevesi ........................................................ 78
4.4
Risk yönetimi değerleme çerçevesi .......................................................... 81
5. Kurumsal Risk Yönetiminin Maliye Bakanlığında Uygulanması .................... 84
5.1
Stratejik Planlama ..................................................................................... 84
5.2
Stratejik Planla Uyumlu Risk Yönetimi ................................................... 87
5.2.1
SWOT Analizi .................................................................................. 88
5.2.2
Hedef Belirleme ................................................................................ 89
5.2.3
Beyin Fırtınası................................................................................... 90
5.2.4
Anketler............................................................................................. 92
5.2.5
Arama Konferansı ............................................................................. 94
5.3
Stratejik Risk Planı ................................................................................... 95
6. Sonuç................................................................................................................. 97
Kaynaklar .................................................................................................................. 98
2
Şekil ve Tablolar
Tablolar
1
Risk Yönetiminden Kurumsal Risk Yönetimine ………………
23
2
COSO – ERM Süreç Akışı ……………………………………...
40
3
Bütünleşmiş Risk Yönetimi Uygulaması ………………………
80
4
Risk Matrisi ……………………………………………………….
95
Şekiller
1
COSO – ERM Küpü ……………………………………………..
29
2
Basit Risk / Tolerans Matrisi ……………………………………
34
3
Yapısal Risk – Artık Risk ………………………………………..
35
4
Risk Haritası – Kalitatif Analiz ……………………………………
58
5
Risk Haritası – Yarı Kantitatif …………………………………….
60
6
Risk Haritası – Önceliklendirme …………………………………. 63
7
Riske Karşılık Verme Seçenekleri ……………………………….
8
Basit Risk / Tolerans Matrisi ……………………………………... 95
64
3
Kısaltmalar
Bakanlık: Maliye Bakanlığı
COSO:
Comitte of Sponsoring Organisations. Amerikan temelli 5
kuruluşun iç kontrol konusunda güvence vermek üzere
oluşturduğu örgüt.
ERM :
Enterprise Risk Management . Kurumsal Risk Yönetimi
IIA:
Institute of Internal Auditors. Amerikan İç Denetim Kurumu
KİMK:
Kamu İç Mali Kontrolü
PWC:
Price Waterhouse Coopers. Kurum hesap verilebilirliği, risk
yönetimi gibi alanlarda danışmanlık veren Amerikan şirketi
SWOT:
Güçlü yönler, zayıf yönler, tehdit ve fırsatlar analizi
UK:
United Kingdom. Birleşik Krallık
4
Tanımlar
Artık Risk: Yönetimin gerçekleşme olasılığını ve etkisini azaltmak için aldığı
önlemlerden sonra arta kalan riskleri ifade eder.
Belirsizlik: Gelecekte gerçekleşmesi muhtemel olayların olasılık ölçüsünü
ve etkisini önceden bilememeyi ifade eder.
Dürüstlük: Güçlü ahlaki ilkelere sahip olmayı; açık, samimi ve içten olmayı;
doğru işleri yapma, belli değerlere göre yaşama ve mesleğini icra etme
arzusunu ifade eder.
Etki: Bir olayın meydana getirdiği sonuç veya yarattığı tesiri ifade eder. Bir
olaya ilişkin olarak farklı etkiler ortaya çıkabilir. Bir olayın etkisi, kurumun ilgili
hedefleriyle ilişkili olarak, olumlu veya olumsuz olabilir.
Faaliyetler: Hedeflerle birlikte kullanıldığında; performans ve karlılık
amaçları ile kaynakların kayba karşı korunmasını da içeren kurumun
faaliyetlerinin etkili ve verimli bir şekilde yürütülmesini ifade eder.
Fırsatlar: Kurumsal amaçları olumlu etkileyebilecek potansiyel olayları ifade
eder.
Hedef Kategorisi: Kurumun dört hedefinden (1. stratejik amaçlar 2.
faaliyetlerin etkinliği ve etkililiği 3. raporlamanın güvenilirliği 4. mevzuata
uygunluk) birini ifade eder. Hedefler birbiri ile kesişebilir. Bu nedenle belli bir
hedef birden fazla kategoriye bölünebilir.
İç Kontrol: Bir kurumun yönetim kurulu, yöneticileri ve çalışanları tarafından
yürütülen ve 1. Faaliyetlerin etkinliği ve verimliliği, 2. Mali raporlamanın
5
güvenilirliği, 3. Yasalara ve diğer düzenlemelere uyum amaçlarının
gerçekleştirilebilmesi için makul güvence sağlayan bir süreçtir.
İç Kontrol Sistemi: Kurumda uygulanmakta olan iç kontrol faaliyetlerini ve
süreçlerini ifade eder.
Kalıtsal Risk: Yönetim tarafından herhangi bir önlem alınmaması
durumunda gerçekleşme olasılığının ve etkisinin değiştirilemeyeceği riskleri
ifade eder.
Kalıtsal Sınırlamalar: Kurumsal risk yönetiminin doğasında var olan
sınırlamaları ifade eder. Bu sınırlar; 1) kişisel yargılar, 2) kaynak kısıtları ve
bir kontrole ilişkin maliyet-fayda analizi, 3) sistemin çökmesi ihtimali, 4)
yönetimin sistemi önemsememesi ve hileli davranması olarak sıralanabilir.
Kontrol: 1. İsim olarak bir unsuru veya öğeyi ifade eder. Örnek: Bir
kontrolün mevcudiyeti; iç kontrol sisteminin bir parçası olan politika ve
prosedürler. Kontroller kurumsal risk yönetiminin sekiz unsurunda da var
olabilir. 2. İsim olarak bir durumu veya koşulu ifade eder. Örnek: Kontrol
etkisi; kontrol amacıyla oluşturulmuş politika ve prosedürlerin sonuçları iç
kontrolün etkinliğini etkiler. 3. Fiil olarak kullanılır. Örnek: Kontrolleri
etkileyen politikalar oluşturmak veya yürütmek.
Kurum: Belli amaçlar için kurulmuş her tür ve büyüklükteki organizasyonları
ifade eder. Örnek: Ticari işletmeler, kar amacı taşımayan organizasyonlar,
hükümet kuruluşları ve akademik kuruluşlar. Organizasyon ve işletme
terimleri, “kurum” ile eş anlamlı olarak kullanılmıştır.
Kurumsal Risk Yönetimi Süreci: Kurumda uygulanmakta olan kurumsal
risk yönetimi faaliyetlerini ifade eder.
6
Makul Güvence: Kurumsal risk yönetimi, ne kadar iyi tasarlanmış ve
yürütülüyor olursa olsun, kurumsal amaçların gerçekleştirilmesi hakkına
mutlak güvence sağlayamaz. Bunun sebebi kurumsal risk yönetiminin
doğasında var olan (kalıtsal risk) ve önlenemeyen sınırlardır.
Olasılık: Bir olayın gerçekleşme ihtimalini ifade eder. Olasılık kelimesi
bazen “yüksek, orta, düşük” gibi nitel ifadelerle, bazen de “yüzde,
gerçekleşme sıklığı” gibi nicel değerlerle ifade edilir.
Olay:
Amaçların
gerçekleştirilebilmesini
etkileyen,
içsel
ve
dışsal
faktörlerden kaynaklanan hadise veya oluşumları ifade eder.
Ölçüt (Kriter): Kurumsal risk yönetiminin etkinliğini ölçmek için belirlenmiş
standartları ifade eder. Kurumsal risk yönetiminin doğasında var olan içsel
kısıtlılıklar bağlamında ele alınan sekiz bileşen, kurumsal risk yönetiminin
etkinliği ve dolayısıyla dört amaç kategorisi için birer ölçüttür.
Paydaş: Kurumun faaliyetlerinden etkilenen grupları (hissedarlar gibi) ve
kurumun birlikte faaliyet yürüttüğü kişi ve kurumları (çalışan, müşteri ve
tedarikçiler gibi) ifade eder.
Politika: Yönetimin, kontrolleri etkin hale getirmek için ne yapılması
gerektiğini belirten direktifleridir. Politikalar, prosedürlerin uygulama için
dayanağını oluşturur.
Prosedür: Politikaların yürütülmesini temin eden işlemleri ve usulü ifade
eder.
Raporlama: Hedef kategorilerinden birisidir. Kurumun raporlarının güvenilir
olmasını ifade eder. Hem iç hem de dışarı sunulan mali olan veya olmayan
tüm raporları kapsar.
7
Risk: Kurumsal amaçları olumsuz etkileyebilecek olayların gerçekleşme
olasılığını ifade eder.
Risk İştahı: Kurumun, sahip olduğu misyon ve vizyonu doğrultusunda kabul
edebileceği geniş kapsamlı risk miktarını ifade eder. Başka bir ifadeyle
yönetimin herhangi bir önlem almanın gerekliliğine hüküm vermeden önce
maruz kalmaya hazır olduğu risk miktarıdır. Yönetimin kabul edilebilir
olduğunu düşündüğü risk seviyesidir.
Risk kapasitesi: Bir kurumun olumsuz bir olayın etkisini atlatma kabiliyetidir.
Diğer bir deyişle kurumun ne kadar büyük bir sarsıntıya dayanabileceğidir.
Risk kapasitesi nakit miktarıyla, diğer kaynaklarla veya kredi imkanlarıyla
ölçülebilir. Bir kurumun risk kapasitesini bilmesi ne kadar riski üstlenmeye
istekli olduğuna karar vermesi açısından önemlidir.
Risk Toleransı: Belirli bir amacın başarılmasına yönelik olarak kabul
edilebilecek risk miktarını ifade eder. Başka bir ifadeyle risk toleransı
hedefler etrafındaki kabul edilebilir bir değişkenliği belirtir. Risk iştahı da, risk
toleransı da risk almayla ilgili sınırları belirtir ancak risk iştahı daha geniş
kapsamlıdır.
Stratejik Hedef: Hedef kategorilerinden birisidir. Kurumun misyon ve
vizyonunu destekleyen ve bunlarla uyumlu olan üst düzey hedefleri ifade
eder.
Tasarım: 1. Amaç. Kurumsal risk yönetiminin tanımında “amaç” anlamında
kullanılmıştır: Kurumsal risk yönetimi, hedefleri elde etmekte makul bir
güvence sağlamak için kurumu etkileyebilecek muhtemel olayları tespit
etmek ve riskleri risk alma iştahı sınırları içinde kalacak şekilde yönetmek
amacındadır. 2. Plan. Bir sürecin tasarlandığı gibi yürümesi.
8
Unsur: Kurumsal risk yönetiminin sekiz unsuru vardır; 1. İç ortam 2. Hedef
belirleme 3. Olay tanımlama 4. Risk değerlendirmesi 5. Riske karşılık verme
6. Kontrol faaliyetleri 7.Bilgi ve iletişim 8.İzleme.
Uygunluk: Amaç kategorilerinden birisidir. İş ve işlemlerin, kurumun
uygulamak zorunda olduğu mevzuata uygun olarak yürütülmesini ifade eder.
Yetersizlik (deficiency): Kurumsal risk yönetiminin, dikkat edilmesi
gereken, farkına varılmış, potansiyel ve gerçek eksikliklerini ifade eder.
Yetersizlikler kurumsal risk yönetiminin güçlendirilmesi suretiyle kurumsal
amaçlara
ulaşabilme
olasılığını
artıracak
fırsatlar
olarak
da
değerlendirilebilir.
Yönetim Süreci: Kurumsal faaliyetlerin devamlılığı için yönetim tarafından
gerçekleştirilen birtakım eylemleri ifade eder. Kurumsal risk yönetimi,
yönetim sürecinin bir parçası ve bileşenidir.
Yürütmek: ERM ile kullanıldığında: Kurmak ve sürdürmek
9
Özet
Bu tezin amacı kurumsal risk yönetimi için bir bakış açısı oluşturmak
ve konunun anlaşılmasına katkıda bulunmaktır. Bilindiği gibi 5018 Kamu
Mali Yönetim ve Kontrol Kanunu ile getirilen reformlar kapsamında kamuda
bir değişim yaşanmaktadır. Bu süreçte mevzuatımıza giren bir takım
kavramların herkes tarafından aynı şekilde anlaşılması ve doğru bir biçimde
uygulanabilmesi,
bu
kavramların
derinlemesine
incelenip
çok
iyi
anlaşılmasına bağlıdır. Bu tez bu kavramlardan biri olan risk yönetiminin AB
ve Amerika’da kullanılan en son hali olan “Kurumsal Risk Yönetimine” ışık
tutmaktadır.
Risk yönetiminin en doğru şekilde anlaşılabilmesi için öncelikle risk ve
risk yönetimi kavramları açıklanacak, geleneksel risk yönetiminden kurumsal
risk yönetimine geçişin nasıl olduğu anlatılacaktır.
Daha sonra kurumsal risk yönetimine odaklanılacak; gelişimi, tanımı
ve unsurlarından bahsedilecektir. Kurumsal risk yönetiminin iç kontrol ile
ilişkisi ele alınacaktır.
Teori kısmından sonra kurumsal risk yönetiminin uygulaması
aşamalarının
anlatımına
geçilecektir.
Kurumsal
uygulanabilmesi için altyapının oluşturulması,
risk
risklerin
yönetimi
tanımlanması,
ölçülmesi ve risklere karşılık verilmesi gibi uygulama adımları ve
uygulamanın izlenmesi gibi unsurlardan bahsedilecektir.
Kurumsal risk yönetiminin unsurlarını bilmek, uygulamak için yeterli
değildir. Kurumsal risk yönetimi çok geniş kapsamlı bir çerçeve olup bu
çerçeveyi
her
kurumun
kendine
uygun
bir
biçimde
modellemesi
gerekmektedir. Modellemenin uygun bir biçimde yapılabilmesi için iyi
10
uygulama örneklerinin incelenmesi şarttır. Bunlar göz önüne alınarak bir
sonraki bölümde uygulama örneklerine yer verilecektir.
Son olarak bu kavramın Bakanlığımızda uygulanmasının yapılmasına
dair bir öneride bulunulacaktır.
11
Abstract
The purpose of this paper is to create a new scope for the term risk
management and contribute to the understanding of the subject. Due to the
new Financial Law 5018 there has been a great change in the public
entities. This new law brings forth some new concepts that need common
understanding in order to be executed properly. This paper is about one of
these concepts, risk management as it is used by European Union and USA
in the new form “enterprise risk management”.
In the paper first the concept risk and risk management will be noted,
and then the transmission from risk management to enterprise risk
management will be explained.
Secondly, the paper will be focused on enterprise risk management.
It’s development, definition and components will be examined. The
relationship between enterprise risk management and internal control will be
specified.
Thirdly, the steps needed to be taken to implement enterprise risk
management will be represented. The execution steps such as constitution
of infrastructure, identification and measurement of risks and risk responses
that are used in the risk management and the fallow up steps such as
monitoring the practice and improving will be emphasized.
It is not enough to know the components of enterprise risk
management to practice it efficiently. Enterprise risk management is a wide
ranging framework that the entities should tailor the model for themselves. In
order to tailor the model properly, studying the best practices has a crucial
importance. In this sense, the next chapter will give the examples of the
practices across the globe.
12
And lastly, the paper will hold a proposal fort he implementation of
enterprise risk management in the Ministry of Finance.
13
GİRİŞ
1990’lı yılların ortalarında dış piyasalarda yaşanan ve dünyada
şirketlerin iflas etmesiyle sonuçlanan gelişmeler piyasaların sorgulanmaya
başlanmasına neden oldu. Şirketlerin başarısızlığı sonucu büyük kayıplar
yaşayan hissedarlar, yatırımcılar ve toplumun bu kayıplarının etkilerini
azaltmak için çareler aranmaya başlandı. Hem kayıpların etkilerinin
azaltılması hem de aynı tip kayıpların yeniden yaşanmaması için şirket
yönetimi önemli bir kavram olarak görülmeye başlandı.
Kurumların yönetimlerini güçlendirmeleri için yol göstermek amacıyla
birçok standart geliştirildi, rehberler basıldı, birçok kural oluşturuldu. Tüm bu
rehberler, standartlar, kurallar birbirlerinden farklı olmalarına ve değişik
kökenlere sahip olmalarına rağmen ortak bir yönleri vardı; hepsi iyi bir
yönetimin temelinde etkin ve fonksiyonel bir sistem olan iç kontrolün
bulunduğunu belirtmekteydi. Ve iç kontrolün en önemli unsuru ise hiç
şüphesiz ki risk değerlendirmesiydi.
Günümüzde kurumların içinde bulunduğu ortam çok daha karmaşıktır.
Kurumların karşı karşıya olduğu küreselleşme, yeni kurumsal ortaklıklar, iş
dünyasında
hareketliliğin
artması,
sürekli
değişim
gibi
durumlar;
karşılaştıkları risklerin de çoğalmasına neden oldu. Çok önceden beri var
olan ancak belli bir standardı bulunmayan ve sadece birkaç uzmanın
insafına bırakılmış olan risk yönetimi klasik mali yönetim anlayışı olarak
yetersiz kalmaya başladı. Risk yönetiminin artık, karşılaşılan tüm riskler için
kullanılabilen bir araç olabilmesi için strateji, operasyon, itibar, yasal
düzenlemeler ve bilgiyi de içeren çok geniş meseleleri kapsar hale
getirilmesi gerekliydi. Böylece kurumsal risk yönetimi anlayışı doğdu.
14
Bu konuda pek çok rehber ve standart çıkmasına rağmen belirli bir
teknik ya da uygulama bulunmamaktaydı. Bu durum kurumsal risk
yönetiminin anlaşılmasını güçleştirirken farklı uygulamalar farklı sonuçlar
doğurmakta, iyi örneklerden çıkarım yapılmasını imkansız hale getirmekte,
kısacası ortak bir dil oluşturulamamaktaydı. Bu karmaşıklık “ABD’de Ulusal
Hileli Finansal Raporlama Komisyonu”1na sponsor olarak 1985’de kurulan
COSO tarafından 2004’de yayınlanan “Kurumsal Risk Yönetimi” rehberi ile
ortadan kaldırılmış, böylece birbirinden farklı risk yönetimi teknikleri
sürekliliği olan ve kapsamlı bir imaj kazanmıştır. ERM bir kontrol döngüsü
uygulanırken
fark
edilebilir
yapısal
ve
personel
düzenlemeleri
de
gerektirmektedir.
Türkiye’de kamuda mali bir reform gerçekleştirilmiş ve 1927 yılında
yürürlüğe giren 1050 sayılı Muhasebe-i Umumiye Kanunu kaldırılarak yerine
5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu getirilmiştir. Söz konusu
kanunun reform niteliğindeki gereklerinden biri de kamuda iç kontrol
uygulamasıdır. İç kontrolden beklenen verimin alınabilmesi ve kamu
kaynaklarının etkili, ekonomik ve verimli kullanılabilmesi için kurumsal risk
yönetimi mantığının ve uygulamasının kamu kurumlarına yerleştirilmesi
gerekmektedir.
Avrupa birliği ile yapılan müzakereler çerçevesinde mali sistemimizin
AB uygulamaları ile uyumunun sağlanması söz konusudur. Avrupa
Komisyonunun yayınladığı “Kamu İç Mali Yönetimi”nde açıkça belirtildiği gibi
AB kamu kurumlarında KİMK’in geliştirilmesinde kullanılan uluslar arası
standartlar
“Kamu Sektöründe İç Kontrolün Geliştirilmesi İçin Intosai
Rehberi”dir. Intosai rehberin giriş kısmında metodolojinin COSO “İç Kontrol
Standartları Çerçevesi”nin gözden geçirilmiş hali olduğu belirtilmektedir.
1
National Commission on Fraudulent Financial Reporting
15
1.
RİSK YÖNETİMİ
Risk
Her kurumun var oluşunun bir amacı vardır. Özel sektörde var oluş
amacı
paydaş
değerini
yükseltmek
olarak
genellenebilirken
kamu
sektöründe amaç genellikle bir hizmetin yerine getirilmesi veya kamu
yararına olacak faydalı bir sonucun elde edilmesidir.2
Kurumun yönetilmesinin tanımı bu amacı gerçekleştirmek için koyulan
hedeflere ulaşmaktır. Amaç ne olursa olsun hedeflere ulaşmak demek, her
türlü riskle karşı karşıya kalmak demektir. Hal böyleyken yönetimin görevi,
amaca ulaşma olasılığını en üst düzeye çıkaracak şekilde risklere karşılık
vermektir. 3
Risk insan faaliyetlerinin olduğu her yerde kaçınılmazdır. Kişilerin
kendi faaliyetlerinde, özel sektörde ve kamu sektöründeki faaliyetlerde
kendini gösterir. Temel bir kavram olarak risk çeşitli şekillerde tanımlanabilir.
•
IIA4
riski şöyle tanımlamıştır: “Hedeflere ulaşmak üzerinde bir
etkisi olabilecek bir olayın oluşmasına dair belirsizliktir.”
•
Riski yönetmek için Avusturya ve Yani Zelanda Kamu Sektörü
Rehberi riski şöyle tanımlar “Hedefler üzerinde etkisi olacak bir şeyin
olma ihtimalidir. Sonuç ve olasılığa dayalı ölçülür.”
2
The Orange Book, Management of Risk Priciples and Concepts, October 2004, HM Treasury,
United Kingdom (UK)
3
Management of Risk, A Strategic Overview, January 2001, HM Treasuty, UK, s.2
4
Institute of Internal Auditors: www.theiia.org
16
•
Kanada İmtiyazlı Muhasebeciler Enstitüsü riski şöyle tanımlar: “Bir
veya birden fazla kişinin veya kurumun bir olay veya durumdan
kaynaklanan olumsuz sonuçları yaşama olasılığıdır.”
•
Kanada Standartları Derneği Risk Yönetimi: Karar Vericiler için
Rehber riski şöyle tanımlar: “Sağlığa, mülke, çevreye veya değeri olan
şeylere olan etkinin ve olasılık ve öneminin ölçüsü şeklinde tanımlanan
yaralanma veya kayıp ihtimalidir.”
•
Uluslar arası Standardizasyon Kurumu (ISO)’nun 1 Kasım 2000
tarihli Risk Yönetim Terminolojisi’nde risk “Bir olayın olma ihtimali ve
bunun sonuçlarının kombinasyonu; Not 1: Bazı durumlarda risk
beklenenden sapmadır” şeklinde tanımlanmıştır.5
Buna göre risk gelecekte olacak olayları ve getirileri sarmalayan
belirsizliktir. Bu belirsizliğin iki anlamı vardır. Bunlardan biri oluşması belirsiz
olan olayın etkisinin olumlu olmasıdır. Olumlu etkisi olan olaylar fırsat olarak
adlandırılır ve bunlar doğru şekilde yönetilip hedefe ulaşma faaliyetlerine
kanalize edilmelidir. Olumsuz etkisi olan olaylar basit bir biçimde risk olarak
adlandırılır ve bunların etkilerinin kurumu hedefe ulaşma yolundan
saptırmaması için gerekli önlemlerin alınması gerekir.
Riskler yukarıdaki gibi kurumun stratejik planlarındaki hedeflere ve
var oluş amaçlarına göre sınıflandırılabileceği gibi, değişimin ortaya çıkardığı
sonuçlara göre aşağıdaki gibi de sınıflandırılabilir:6
•
Ortalama Sonuç Olarak Risk: Sigorta uzmanları olayların riskini,
söz konusu olaylardan beklenen sonuç olarak ifade etmektedirler.
5
Integrated Risk Management Framework, April 2001, Treasury Board of Canada Secreteriat,
Canada s.7
6
TÜSİAD, Kurumsal Risk Yönetimi, Aralık 2006, s.10
17
Faaliyetler için genellikle söz konusu sonuç “zarar” olmaktadır.
Ortalama sonuç kavramı potansiyel sonuçların nerelere kadar
uzanabileceği konusunda oldukça sınırlı bir bilgi vermektedir. Başka bir
ifade ile bu anlamda risk sadece beklenen sonuçların gerçekleşip
gerçekleşmemesi ile ilgilidir.
•
Sonuçlar Arasındaki Farklılık Olarak Risk: Risk ile ilgili genel
tanımlama, riskin, olaylarla ilgili sonuçların istatistiksel değişimini veya
standart sapmasını ifade ettiğidir. Bu tanım çerçevesinde risk
yönetiminin amacı; beklentiler ile potansiyel sonuçlar arasındaki
farklılığı mümkün olduğu derecede aza indirgemektir.
•
Kayıp Olarak Risk: Riskin en dar kapsamlı tanımlamalarından biri
riskin kayıp olarak kabul edilmesidir. Bu tanımlamaya göre risk;
müşterilerin neden olduğu zararlar, yolsuzluk veya doğal sebeplerden
veya insan hatalarından meydana gelen problemler gibi büyük olumsuz
etkiye sahip olayların meydana gelmesidir.
•
Potansiyel Kazanç Faktörü Olarak Risk: Genellikle üzerinde
çok fazla durulmayan bir nokta, riskin kazanç sağlamak için bir araç
olarak kullanılıyor olmasıdır. İş dünyası risk alma işidir. “Risk” ve
“Kazanç” birbirlerini tamamlayan kavramlardır. İş dünyasında başarının
anlamı; doğru zamanda doğru risklerin alınması ve bu risklerin kazanca
dönüştürülmesidir. Risklerin sadece kayıp olarak görülmesi kazanç
haline dönüşebilecek risklerin zamanında ve doğru olarak tespit
edilmesini zorlaştırmaktadır.
•
İlgili Oldukları Alanlara Göre Risk: Riskleri çok genel olarak
dahi belli bir sınıflandırmaya tabii tuttuğumuzda birbirinden farklı
onlarca riski ortaya koymak mümkündür. Bunlar piyasa riskleri, kredi
riskleri, faaliyet riskleri, yasal riskler, bilgi riski, çevresel riskler, ülke
18
riski, temel iş ile ilgili riskler, fiyat riskleri, doğal riskler, finansal
raporlama riskleri, kontrol riski v.b. olarak sınıflanabilir. Hepsi
birbirinden farklı olan bu riskler farklı risk tanımlamalarına sahiptir,
çünkü beklenen sonuç her bir faaliyet için farklıdır.
•
Kurum ile İlgili Taraflar Açısından: Farklı menfaat grupları,
kurum ile ilgili riskleri tanımlama, anlama ve yorumlama açısından farklı
bakış açılarına sahip olabilmektedir. Üst yöneticiler, orta sınıf
yöneticiler, yönetim kurulları, büyük hissedarlar, küçük yatırımcılar,
kredi sağlayan kuruluşlar, yatırımcı danışmanlık ve aracılık kuruluşları
gibi kurum ile ilgili farklı hedefleri, planları ve beklentileri olan gruplar
riskleri de farklı şekilde tanımlamaktadırlar.
Tüm bunlar dikkate alındığında risklerle baş edebilmek, geleceğin
belirsiz olaylarını her açıdan analiz edip fırsatlarla riskleri birbirinden
ayırabilmek, fırsatları kurum stratejisi içine katıp innovasyon ve teknolojik
atılımlar
yapabilmek
için
bunları
kullanmak,
risklerin
ayrıntılı
değerlendirmesini yapıp bunlar karşısında takınılacak tavrı belirleyebilmek
için kurumların yapması gereken şey bu riskleri yönetebilmektir.
Risk Yönetimi
Risk;
kurumların
hedeflerine
ulaşmasını
tehlikeye
düşüren,
beklenmedik olaylar olarak tanımlanabilir. Risklerin kaynağı, kurumun
faaliyet
gösterdiği
çevredeki
belirsizlikler
ve
gelecekteki
bilinmeyen
olaylardır. Bu olayların kurum için olumlu ya da olumsuz etkileri
olabilmektedir. Bu nedenle her kurum faaliyetlerini sürdürebilmek için bu
olayları öngörmek, olumlu etkisi olan fırsatları kurumun lehine kullanmak,
olumsuz etkisi olan riskleri ise çeşitli yöntemlerle yöneterek kurumu hedefleri
19
doğrultusunda ilerledikleri yolda tutmak zorundadır. Günümüzde yönetime
en fazla güçlük çıkaran sorun, değer yaratma sürecinde kurumun ne kadar
risk üstlenmeye hazır olduğuna karar verebilmektir. Bu kararı verebilmek için
kurumun iyi bir risk yönetim sürecini yerleştirmiş olması gerekmektedir.
Risk sonucun tahmin edilemez olmasıdır ve iyi bir risk yönetimi kuruma
şunları sağlar:
•
Kurumun istediği sonucu elde etmesine artan güven
•
Tehditleri kabul edilebilir seviyede sınırlamak
•
Fırsatlardan yararlanma konusunda elde edilen gerekli bilgiye
dayanarak kararlar almak
•
Paydaşların kurumun yönetimine ve hüküm verme yeteneklerine
olan güvenlerinin artması
Risk yönetimi, iyi yönetimin ve karar almanın ayrılmaz bir unsurudur.
Tüm kurumlar fark etseler de etmeseler de risk yönetimi yaparlar. Kimi
kurumlar risk yönetimini daha ciddiye alır ve sistematik bir biçimde uygular.
Bazıları ise bir sistem olarak algılamamakla birlikte günlük kararları alırken
ve kurumu yönetirken riskleri de yönetirler.
Geleneksel Risk Yönetiminden Kurumsal Risk Yönetimine
Geçiş
Risk yönetimi gittikçe daha fazla önem kazanmaya başlayan bir konu
haline gelmiştir. Risk yönetiminin önemi arttıkça geleneksel risk yönetimi
yöntemlerinin, riski tanımlama, değerlendirme ve yönetmede yetersiz olduğu
görülmüştür. Geleneksel risk yönetimi yöntemleri, kurumun hedeflerine
ulaşmasını kolaylaştırmak ve kurumun değer yaratma sürecine katkıda
bulunmaktan çok, kayıpları engellemeye yönelik olduğundan çoğu kurum
20
risk yönetimini yeniden tanımlamak zorunda kalmıştır. Bu yeni tanımı ile risk
yönetimine kurumsal risk yönetimi denilmektedir. Kurumsal risk yönetiminin
odaklandığı konu risk yönetimi süreci ile var olan yönetim sürecini
kaynaştırmak, pozitif veya negatif etkisi olabilecek gelecekteki olayları
tanımlamak, kurumun bu olaylardan ne kadar etkileneceğini gösteren
“olaylara maruz kalma oranını” belirleyip yönetmek için etkili stratejiler
geliştirmektir. Kurumsal risk yönetiminin altındaki dayanak noktası her
kurumun paydaşlarına değer sağlamak için var olduğudur. Her kurum
belirsizlikle karşılaşır ve yönetimin yapması gereken şey; hissedar değerini
büyütmeye çabalarken ne kadar belirsizlik kabul edileceğine karar vermektir.
Belirsizlik değeri azaltma veya güçlendirme potansiyeline sahip riskleri ve
fırsatları içerir. Kurumsal risk yönetimi kurumun belirsizlikle ve bununla
birlikte risk ve fırsatlarla etkili ve verimli bir biçimde başa çıkarak değer
yaratma kapasitesini güçlendirmesini sağlar. Değer; yönetim büyüme,
hedeflerin getirileri ve alakalı riskler arasında bir denge bulmak için strateji
ve hedefler oluşturduğunda ve kurum hedeflerine ulaşmak için faaliyette
bulunurken, kaynakları etkili ve verimli olarak dağıttığında en yüksek
seviyeye ulaşır.
Risk yönetimini riski değerlendirmek ve riskin politik etkisini kontrol
etmek için alınan önlemler olarak tanımladığımızda risk yönetiminin
uygarlığın başından beri uygulandığını söyleyebiliriz. Ancak risk yönetimini
bilinçli kurumsal bir uygulama olarak aldığımızda tarihi çok yenidir. Bu
anlamda
risk
yönetimi
teriminin
ilk
başlangıcı
1950
ve
1960’lara
rastlamaktadır. Risk yönetimiyle ilgili ilk adımlar sigortacılık sektöründe
atılmıştır.
1967’de Edward Lloyd7 Londra’da bir kahve dükkânı açtı. Bu dükkân
gemicilikle ilgili bilginin değiş tokuş edildiği bir merkez haline geldi. 1696’da
Lloyd Listesinin oluşturulması ile bu bilgi aktarımı resmi bir boyut kazandı.
7 BERNSTEİN Peter L. , Tanrılara Karşı, Riskin Olağanüstü Tarihi: s.108–109
21
Böylece Lloyd’un kahve dükkânı dünyanın denizcilik sigortasının merkezi
olarak gelişti. Zamanla Lloyd daha büyük risk havuzları oluşturarak ve
risklerin kapsadığı alanları genişleterek tüm sigortacılık sektöründe lider
konumuna yerleşti.
1970’lere8 gelindiğinde risk yönetimi terimi iş âleminde daha geniş
kabul görmeye başladı. Risklerin kapsadığı alanlar krediler ve kayıptı.
Bretton Woods anlaşmasının sona ermesi ve 1970’lerin sonundaki petrol
krizleri gibi gelişmeler sonunda riski oranlama (rating) ve riski değerlendirme
danışma hizmetlerinin ilk adımları atılmaya başlandı.
1980’lerde risk kapsamında kredi riski, kayıp riski ve piyasa riskleri
bulunmaktaydı. 1990’lara gelindiğinde riskin en önem verdiği konu artık dış
hasarın en aza indirilmesi değildi. Yöneticiler artık kararlarının beklenmeyen
sonuçları için daha fazla güvence ile önemli kararları verirken karşı karşıya
oldukları riskler hakkında daha fazla bilgi talep etmeye başladılar. Risk
yönetimi, piyasadaki artan rekabetten doğan risklerin değerlendirilmesi ve
kurumların büyümesini hedefleyen “iş risk yönetimine” kaymaya başladı.
Kurumlar artık iflasa neden olabilecek riskler hakkında endişelenmeye
başladılar.
1990’ların sonundaki çalışmalar kurumların yönetmek için kapsama
aldığı risklerin çoğaldığını, zamanla da kapsamın genişlemeye devam
ettiğini göstermekteydi. Bu genişleme risk yönetiminin ortaya çıkmasına
taban oluşturmuştur. 2000’lerde kurumsal risk yönetimi artık tüm kurumların
riski yönetmek için kullandığı bir araç haline gelmişti. Riskin kapsamı en
geniş halini aldı. Artık sadece kayıp ve finansal riskler değil, stratejik ve
faaliyet riskleri de kapsama alındı. Risk artık belirli bir birimde veya
8
NON A. J. Are we Ready for Enterprise Wide Risk Management? slayt 8-11
http://www.picpa.com.ph/articles/erm.pdf
22
fonksiyonda değil, kurumun genelinde bir bütün halinde yürütülmeye
başlandı.
Kurumsal risk yönetimi, geleneksel risk yönetimi yaklaşımlarından;
objektif, ölçek, odak, vurgu ve uygulama kavramları bakımından ayrılır.
Kurumsal risk yönetimi; strateji, insanlar, süreç, teknoloji ve bilgiyi içerir.
Vurgu strateji üzerindedir ve uygulama alanı kurumun genelidir.
Tablo 1: Risk yönetiminden kurumsal risk yönetimine9
---
Risk Yönetimi
İşletme Risk Yönetimi
Odak
Finansal ve tehlike
riskleri ve iç kontrol
İşletme riski ve iç
kontroller, risk- risk
yaklaşımı
Objektif
İşletme değerini
korumak
İşletme değerini
korumak
Ölçek
Hazine, sigorta ve ilgili İşletme yöneticilerinin
faaliyetler
sorumluluğu (risk-risk)
Vurgu
Uygulama
Finans ve faaliyet
Yönetim
Seçilen riskli alanlar,
Seçilen riskli alanlar,
birimler ve süreç
birimler ve süreç
Şimdiki Durum Kapasitesi
----
Kurumsal Risk
Yönetimi
İşletme riski ve iç
kontroller, kurum
genelinde risklerin
tanımlanması
yaklaşımı
İşletme değerini
korumak ve
güçlendirmek
Her seviye ve birimi
kapsayacak şekilde
kurum genelinde
uygulama
Strateji yerleştirme
İşletme genelinde tüm
değer kaynakları
Gelecekteki Durum
Vizyonu
Peki, neden kurumsal risk yönetimi kuruma yerleştirilmelidir? Bunun en
büyük nedenlerinden biri geleneksel risk yönetimi yöntemlerinin büyük
kayıplara engel olamaması ve kendilerinden bekleneni karşılayamamasıdır.
Kurumsal risk yönetimi geleneksel risk yönetiminden farklı olarak riskleri
azaltmaktan
çok
onları
oluşturmaya
önem
verir.
yönetmeye
odaklanır.
Oluşturduğu
Yönetim
stratejiler
için
kurumun
strateji
en
üst
kademelerinden başlar ve en küçük göreve kadar iner. İşletme strateji
oluşturmadan faaliyetlerini gerçekleştirdiğinde günlük işler peşinde koşarken
9
http://www.knowledgeleader.com/iafreewebsite.nsf/content/InternalAuditEnterpriseRiskManageme
ntPracticalImplementationIdeas!OpenDocument
23
attığı her adımla ve yönetimin aldığı her kararla değer; yaratılır, saklanır
veya aşındırılır. Kurumsal risk yönetimi değerin aşındırılmasının önüne
geçerek belirsizlik yaratan gelecekteki olaylarla daha etkili başa çıkmak ve
kayıplara neden olacak olayların olma olasılığını azaltıp, kazanç sağlayacak
olayların olma olasılığını arttırmak konularında yönetime yardımcı olarak
değer yaratılmasını destekler.
Geleneksel risk yönetimi bölümler içinde uygulanarak sadece o
bölümün karşılaşacağı riskleri bertaraf etme amacıyla hareket ettiğinden bir
bölümdeki risk yönetimi çok iyi işlerken kurumun diğer bölümleri bu konuda
başarısız olabilmektedir. Kurumsal risk yönetimi tüm kurumu kapsayan bir
sistem olduğundan kurum genelinde risk standartları koyarak tüm birimlerin
risk yönetiminden etkili bir biçimde yararlanmasına imkân sağlar. Böylece
kurum hedeflerine ulaşmak için çalışırken karşılaşacağı belirsizlikleri
değerlendirmek, kabul etmek ve yönetmek için daha etkili ve öncelikli bir
süreç kurumun genel yapısının içine yerleştirilmiş olur. Kurumsal risk
yönetiminin
üç
önemli
avantajı
vardır.
İlki
kurumun
yeterliliğini
sürdürebilmesine yardımcı olmasıdır. İkincisi bu süreç kullanıldığında riski
yönetme maliyetleri optimumdur. Üçüncüsü ise sürecin yönetime iş
performansını arttırmakta yardımcı olmasıdır.
24
2.
Kurumsal Risk Yönetimi
COSO ERM Gelişimi
2000’li yıllarda Amerika Birleşik Devletlerinde büyük kayıplara neden
olan iş skandalları, ekonominin yavaşlamasının işlerde kayıplara neden
olması ve dünyadaki gelişmelerin yeni riskleri ortaya çıkarması ile herkes
risk yönetiminin öneminin farkına vardı. O döneme kadar kullanılan pek çok
risk yönetimi tekniği bulunmaktaydı. Ancak yukarıdaki bölümde de anlatıldığı
gibi bunlar yetersiz kalmaya başlamıştı. Kurumların karşı karşıya olduğu her
risk alanını kapsamıyordu. Yapılarının uyumsuzluğu nedeniyle farklı alanları
kapsayan risk yönetimi modellerinin bir arada kullanılması da pek çok
probleme neden oluyordu. Riski tartışmak, tanımlamak, değerlendirmek ve
yönetmek için ortak bir modele ihtiyaç vardı. Böyle bir modelin oluşturulması
projesine COSO tarafından 2001 yılında başlandı. COSO, PWC ile birlikte
yöneticilerin kurumlarının kurumsal risk yönetimini değerlendirebilecekleri ve
güçlendirebilecekleri hazır bir model geliştirmek amacıyla böyle bir
çalışmaya start verdi. Çalışma birçok kaynaktan edinilen bilgilerle geliştirildi,
birçok farklı tarafı temsil eden birçok kişiden anketler ve diğer yöntemlerle
görüşler alındı ve bu sayede edinilen bilgiler de modele girdi oluşturdu.
COSO’nun yetki verdiği bir danışma kurulu da sürece katkı sağladı ve
rehberlik etti. 2004’ün sonunda model basıldı.10
10
COSO Enterprise Risk Management – Integrated Framework, September 2004
25
Kurumsal Risk Yönetimi Tanımı
Kurumsal risk yönetimi şunları ihtiva eder:
•
Risk kapasitesi ve stratejisini sıralamak: Yönetim stratejik
alternatifleri değerlendirerek, ilgili hedefler koyarak ve ilişkili riskleri
yönetmek için mekanizmalar geliştirerek kurumun risk kapasitesine
karar verir.
•
Risklere verilecek karşılık kararlarını güçlendirmek: Kurumsal
risk yönetimi riske verilecek karşılık alternatiflerini; riskten kaçma, riski
azaltma, paylaşma ve kabullenme; tanımlamayı ve seçmeyi sağlar.
•
Faaliyetle ilgili sürprizleri ve kayıpları azaltmak: İşletmeler
potansiyel olayları tanımlayıp onlara verecekleri karşılıkları belirleyerek,
sürprizleri
ve
bunlarla
ilişkili
maliyet
ve
kayıpları
azaltarak,
kapasitelerini güçlendirirler.
•
Çoklu ve kesişen kurumsal riskleri tanımlamak ve yönetmek:
Her kurum, kurumun farklı bölümlerini etkileyen çok sayıda riskle
karşılaşır ve kurumsal risk yönetimi birbiri ile alakalı bu risklerin kurum
üzerindeki etkilerine göre uygun karşılık vermeyi kolaylaştırır. Birbirini
etkileyen çoklu (multiple) riskler için verilecek karşılıklar bütüne yönelik
olduğunda çok daha etkilidir.
•
Fırsatları değerlendirmek: Potansiyel olayları tüm olasılıklarıyla
değerlendirerek yönetim, fırsatları tanımlayacak ve inisiyatifi ele alarak
gerçekleştirecek pozisyonda olur.
26
•
Sermayenin gelişimini güçlendirmek: Risk ile ilgili sağlam bilgi
elde etmek kurumun genel sermaye ihtiyacını etkili bir biçimde
değerlendirmesini ve sermaye tahsisini güçlendirmesini sağlar.
Değer yaratımını veya korunmasını etkileyen risk veya fırsatlarla
uğraşan kurumsal risk yönetimi şu şekilde tanımlanır:
Kurumsal risk yönetimi kurum genelinde olan ve
oluşturulan stratejileri uygulayan; kurumun yönetim kurulu,
yönetimi ve diğer personelinden etkilenen; kurumun
hedeflerini elde etmesi için makul bir güvence sağlamak için
kurumu etkileyebilecek potansiyel olayları tanımlamak ve risk
kapasitesi içinde yönetmek amacıyla tasarlanmış bir süreçtir.
Bu tanımın kapsamı çok geniştir. Sürecin kurum genelinde etkili olması
ve kurumda yer alan her kademedeki kişilerden etkilenmesi, her birimin
kurumun risk kapasitesi dâhilinde karşılaşılan riskleri yönetmekte sorumluluk
üstlenmesi kapsamın ne kadar geniş olduğu hakkında bir fikir verebilecek
kavramlardır. Riski yönetmede kullanılabilecek kaynaklar sınırlıdır ve bu
nedenle riske en uygun karşılığı vermeyi başarma hedefi, risklerin gelişimine
uygun olarak şekillenmektedir. Risk kaçınılmazdır ve her kurum, tolere
edebileceği düzeydeki riski yönetmek için harekete geçmelidir. Kabul
edilebilir ve mazur görülebilir olarak değerlendirilen risk miktarı, risk
kapasitesidir. Riskin tolere edilebilirliği ve risk kapasitesi arasındaki fark ise
her ikisi de kurumun ne kadar risk üstlenebileceğine dair sınırlar koymasına
rağmen, risklerin tolerasyonunun daha dar kapsamlı olmasıdır. Risk
toleransı hedefler etrafında kabul edilebilir bir değişkenlik kurarken, risk
kapasitesi daha yüksek seviyeli bir kavram olup yönetimin kabul edilebilir
farz ettiği risk seviyelerini daha geniş olarak değerlendirir.
27
Kurumsal risk yönetimi kurumun hedeflerine ulaşmasına engel
olabilecek belirsizliklerin yönetilmesi olduğuna göre riskleri yönetebilmek için
kurum hedeflerinin ne olduğu önemlidir. İşletmenin vizyonu veya misyonunu
oluşturma bağlamında yönetim, stratejik hedefler oluşturur, stratejiyi seçer
ve kurumun genelini etkileyen hedefleri oluşturur.
İşletmelerin hedefleri;
•
Strateji: İşletmenin misyonuyla alakalı üst seviye amaçlar.
•
Faaliyetler: Kaynakların etkili ve verimli kullanılması
•
Raporlama: Raporların güvenilirliği
•
Uyum: Yürürlükteki yasa ve yönetmeliklerle uyum
şeklinde genellenebilir. Hedefler raporların güvenilirliğine ve yürürlükteki
yasa ve yönetmeliklerle uyuma bağlı olduğundan ve düzenlemeler kurumun
kontrolünde olduğundan, kurumsal risk yönetimi hedeflere ulaşmada sadece
makul bir güvence sağlar. Stratejik hedefler ve faaliyet hedeflerine ulaşmak
kurumun her zaman elinde olmayan dış etkenlere bağlıdır; buna göre bu
hedefler için, kurumsal risk yönetimi yönetimin ve üst düzeyde rolü olan
yönetim kurulunun, kurumun hedefine ulaşmaya doğru ilerlerken kapsam
dahilinde belli sürelerle haberdar edilmesine dair makul bir güvence sağlar.
Kurumsal risk yönetimi bu dört hedefin elde edilmesi sürecinde risklerin
yönetilmesi için kurumlara yardımcı olurken, faaliyetler kurumun her
düzeyinde yürütülmektedir:
•
İşletme seviyesi
•
Bölüm
•
Şube
•
İş birimleri
28
Kurumların yukarıda belirtilen hedeflerine her kurum düzeyinde
ulaşılabilmesi için COSO birbiriyle alakalı sekiz unsur tanımlamıştır.
Kurumsal Risk Yönetimi Unsurları
Şekil 1: COSO - ERM Küpü
İç Ortam
İç ortam bir kurumun rengidir. Risklerin kurumda çalışan kişiler
tarafından nasıl görüntülenmesi ve yönlendirilmesi gerektiğine dair bir temel
oluşturur. İç ortam kurum ile ilgili risk yönetimi felsefesi, risk kapasitesi,
dürüstlük etik değerler ve faaliyet gösterilen çevre gibi kavramları içerir.
Yetki dağılımı, yönetim biçimi, tanımlanmış rol ve sorumluluklar gibi
yönetimle ilgili unsurlar da yine iç ortam içinde yer alır. COSO strateji,
faaliyet, raporlama ve uyumla ilgili hedefleri içeren bir planlama süreci
anlatır. Kurumsal risk yönetimi programının nasıl tasarlanacağı ve ne kadar
etkili yerleştirilebileceği bu iç ortama bağlıdır.
29
Hedef Belirleme
Yönetim faaliyette bulunurken, ulaşmak istediklerini elde etmesini
etkileyecek riskleri tanımlamadan önce, etkilenecek hedefler var olmalıdır.
Kurumsal risk yönetimi kurumun vizyonu ve misyonu ile uyumlu olan ve bu
iki unsuru destekleyen strateji ve hedeflerin belirlenmesine yardımcı olmak
üzere tasarlanmış bir süreçtir. Ayrıca bu strateji yürütülürken karşılaşılacak
risklerin kurumun risk kapasitesi sınırları içinde olmasını sağlayan bir
süreçtir. Hedef belirleme sürecinin bu iki parametre (misyona ve vizyona
uyumlu olma ile hedeflerin onlara ulaşılmak için karşılaşılacak risklerin risk
kapasitesi içinde kalmasını sağlayacak seviyede koyulması) dikkate alınarak
yürütülmesi gerekir. Sonuç olarak hedef belirleme süreci, yönetimin risk
stratejisini de göz önünde bulundurarak hedefleri belirlemesidir. Risk
yönetimi için hedef belirlemenin iki önemli işlevi vardır:
1) İşletmenin risk kapasitesini biçimlendirir. Risk kapasitesi kavramı,
gerçekleşirse kabul edilebilir ve mazur görülebilir olarak düşünülen
riske maruz kalma seviyesini kapsar. Bu bakımdan kapasite, riski
sınırlamanın maliyetini (finansal veya başka türlü) riske maruz kalma
gerçekleşirse, maruz kalmanın maliyetiyle kıyaslamakla ve kabul
edilebilir bir denge bulmakla ilgilidir. Fırsatları dikkate alırken bu
kavram, kişinin fırsatın yararlarını elde etmek için fiili olarak ne kadar
risk yüklenmeye hazırlıklı olduğunun dikkate alınmasını kapsar. Her
durumda risk kapasitesi en iyi, kurumun her düzeyine, düşündükleri
ister tehdit ve kontrolün maliyeti, ister fırsat ve onu elde etmeye
çalışmanın maliyeti olsun, alabilecekleri risklerin limitleri konusunda
rehberlik yapan, yönetim tarafından uygun bir şekilde yetki verilmiş bir
dizi sınır olarak ifade edilir.
30
2) Risk toleransı risk kapasitesi ile uyumlaştırılır. Risk toleransı
kurumun risk ile ilgili olan daha dar kapsamlı sınırıdır. Hedefler
etrafındaki değişimlere göre kurumun ne kadar risk üstlenmeyi
kabullenebileceği ile ilgilidir. Toleranslılık ters bir etki sırasında
kaybedilen veya israf olan kaynaklardan, kontrolün maliyeti ve riske
maruz kalma dengesinden; kazanılacak potansiyel yarar veya
dayanılması gereken kayıp dengesinden yola çıkılarak belirlenir.
Etkilerin yeni, gözlenemeyen ve gecikmeli olduğu bilinmeyen
alanlardaki risk toleransı düşük iken, kişilerin kontrolü daha fazla
ellerinde tuttukları alanlarda risk toleransı yüksektir.
Olay Tanımlama
Kurumun hedeflerine ulaşmasını etkileyen, risk ve fırsatlar arasında
değişen iç ve dış olaylar tanımlanır. Riski etkili bir biçimde yönetebilmek için
önce varlığının fark edilmesi gerekmektedir. Bu görevde etkin olabilmek için
kurum yönetimi, hem iç hem de dış kaynaklı çeşitli faktörleri göz önünde
bulundurmak zorundadır.
Potansiyel olarak risk yaratabilecek bazı dış faktörler şunlar olabilir:
Politika: Ulusal hükümet ve diğer devlet organlarının etkileri bu kategori
içindedir.
Ekonomi: Uluslar arası ve ulusal piyasalarda olanlar, küreselleşmenin etkileri
kurum için potansiyel ekonomik dış risk alanlarıdır.
Sosyal: Büyük demografik ve sosyal eğilimler, vatandaşların meşguliyet
düzeyi kurumun faaliyetlerini etkiler.
Teknoloji: Yeni teknolojiler, eğer kurum ayak uyduramayacaksa büyük risk
yaratır.
İşletmenin risk profilini etkileyen iç faktörler ise; genel yönetimin
yapısı, yönetim ve hesap sorumluluğu yapısı, değer yargıları ve etik,
31
faaliyetin yürütüldüğü iş çevresi, kişi ve şirket risk kültürü ve tolerans düzeyi,
var olan risk yönetimi uzmanlık ve uygulamaları, insan kaynakları kapasitesi,
istenilen şeffaflık seviyesi, kurum politika, prosedür ve süreçleridir.
Organizasyon riskleri ve faaliyet riskleri genellikle iç kaynaklıdır.
Organizasyonel riskler kurumun genelini kapsayan risklerdir. Sorumlulukların
düzenlenmesinde yapılacak hatalar, sorumlulukların kullanılmasındaki insan
faktörü, iç kontrolün yetersiz olması veya iyi uygulanamaması, işlemlere
ilişkin bozukluklar, bu işlemlerin güvence altına alınmaması, işlemlere hakim
olunmaması veya
prosedürlere
uyulmaması gibi
örnekler
verilebilir.
Operasyonel riskler kurum içinde daha küçük kısımlar olan operasyon
birimlerinde görülen risklerdir. Belirli birimler ve bu birimlerde çalışan
insanların faaliyetleriyle şekillenen bu risk türüne, gerçekleştirilen bazı özel
operasyonların takibinin yapılmaması örnek verilebilir.
Bunların yanında
mali riskler ve değişim riskleri hem iç hem de dış kaynaklı olabilir. Mali riskler
kurumun mali kaynaklarının taşıdıkları risklerdir. Mali işlemlerin takibinin
yapılamaması,
kaynakların
kaybedilmesi,
çalınması
veya
zimmete
geçirilmesi gibi durumlar bu kapsamdadır. Değişim riskleri; kurumların
faaliyet gösterdiği çevrede yaşanan değişimler kurumun hedeflerine ulaşıp
ulaşamayacağı konusunda belirsizlik yarattığında söz konusudur ve bu
haliyle dış kaynaklıdır. Kurum içinde yaşanan değişimler, hedeflerin
değişmesi, yöneticilerin değişmesi, farklılaşan durumlara karşı yönetimin
takınacağı tavır, kurum içindeki kişilerin değişimlere göstereceği direnç ve
benzeri faktörlerin hedeflere ulaşmayı tehlikeye düşürmesi ise iç kaynaklı
riskleri yansıtır.
Olay
tanımlama
kurumun
karşılaşacakları
riskle
ilgili
anahtar
kavramların farkında olmasına yardımcı olur. Bu anahtar kavramlar:
Riskin tipi: Teknolojik risk, finansal risk, insan kaynakları riski (kapasite, bilgi
düzeyi), sağlık riski, güvenlik riski... gibi.
32
Riskin kaynağı: Dış (politika, ekonomi, doğal afetler... gibi), iç (itibar,
güvenlik, bilgi yönetimi, karar verme için bilgi... gibi)
Risk altında olan nedir: Etki alanının ne olduğu, riske maruz kalmanın şekli
(kişiler, itibar, program sonuçları, malzeme... gibi)
Riski kontrol etme kabiliyetinin seviyesi: Yüksek (örneğin faaliyetlerde), orta
(örneğin itibar), düşük (doğal afetler)
Olay tanımlama ayrıca belirsizliklerin risk mi fırsat mı olduğu
konusunda ayrım yapmaya imkan verir. Kurumun hedeflerine ulaşmasını
tehlikeye düşüren olaylar risk olarak tanımlanır. Kurumun hedeflerine
ulaşmak için yürüttüğü faaliyetler üzerinde olumsuz etki yaratan bu risklere;
çeşitli yöntemlerle etkilerinin azaltılması, faaliyet devam ederken riskin kabul
edilebilir bir seviyede sınırlanması (tedavi edilmesi), bertaraf edilmesi veya
transfer edilmesi gibi karşılıklar verilir. Kurumların hedeflerine ulaşmalarında
pozitif etkiye sahip olaylar fırsatlardır. Bu durumda kurumsal risk yönetiminin
amacı fırsatlardan fayda sağlayarak belirsizliği kurumun menfaatine
çevirmektir. Yönetim fırsatları strateji veya hedef oluşturma sürecine
kanalize etmelidir.
Olay tanımlama süreci, kurumun hangi risklerle karşılaşabileceğine
odaklanmak için, kurum içindeki farklı perspektife, deneyime ve göreve
sahip temsilcileri bir araya getiren işbirlikçi bir yapıya sahip olmalıdır.
Risk Değerlendirmesi
Riskler tanımlandıktan sonra bunların kurum üzerindeki olası
etkilerinin ve meydana gelme olasılıklarının değerlendirilmesi gerekir. Risk
değerlemesinin üç önemli ilkesi vardır; her risk için hem etki hem de olma
olasılığının açıkça düşünülmesi ki risklerin değerlendirilmesi bu iki
perspektiften yapılabilsin, risk değerlendirmesinin tesislerin izlenerek ve risk
33
öncelikleri tanımlanarak kaydedilmesi ve risklerin yapısal risk ve artık risk
tabanında değerlendirilmesidir.
Şekil 2: Basit risk/tolerans matrisi11
Öncelikle
tanımlanan
olayların
sonuçları
analiz
edilerek
yönlendirilecek kurum genelinde veya hayati öneme sahip lokal risklerin
hangileri olduğuna karar verilmelidir. Daha sonra etki ve olma olasılığı olarak
belirtilen riske maruz kalma oranları belirlenmelidir. Sonra da risk toleransı
dikkate alınarak riskler derecelendirilmelidir. Bazı risk çeşitleri, özellikle
finansal riskler rakamsal tanıya uygundurlar. Diğer riskler için, örneğin itibar
riski, çok daha öznel bir bakış açısı mümkündür. Risk değerlendirmesi bu
açıdan bakıldığında ayrıntılıdır. Buna rağmen riski değerlemek için bir
çerçeve geliştirmek gereklidir. Hem nitel, hem de nicel değerleme
yöntemlerinin kullanılmasını gerektirir. Değerleme mümkün olduğu kadar
tarafsız olan bağımsız kanıt kullanmalı ve riskin nesnel değerlemesini, riskin
kabul edilebilirliği yargısıyla karıştırmaktan kaçınmalıdır.
Risk
değerlemesinin
bulundurularak
11
yapılması
yapısal
gereklidir.
risk
Risk
ve
artık
olayların
risk
ve
göz
önünde
davranışların
Orange Book, age, s.19
34
sonucundaki ya olumlu fırsat ya da olumsuz tehdit şeklindeki belirsizlik
olarak tanımlanır. Risk, bir şeyin olma olasılığı ve eğer gerçekleşirse ortaya
çıkacak tepkinin birleşimine göre değerlendirilmelidir. Risk yönetimi risklerin
(yapısal risklerin) tanımlanması ve değerlendirilmesini ve sonra bu risklere
karşılık verilmesini içerir. Yapısal riskler aynı zamanda iş riski olarak da
adlandırılırlar ve her kurum faaliyetinde bulunurlar. Herhangi bir faaliyetin
yapısal
riski
fonksiyonudur.
kaynaklarının
12
ve
işlemin
yapısının
karışımının
bir
Riske kurumda gösterilen tepki “İç Kontrol” olarak
adlandırılır. İç kontrol uygulandıktan sonra kalan riskin seviyesi artık risktir.
Artık risk, riski hafifletme stratejisinde kaçınılamayan, bertaraf edilemeyen ve
transfer edilemeyen risklerdir13.
Şekil 3: Yapısal risk – artık risk14
12
http://www.mc2consulting.com/riskart3.htm
http://www.ramprisk.com/riskglossary/glossary_p2t.asp
14
Agency Risk Management and Internal Control Standards / Appendix A: Implementation Tools,
2005, Virginia
13
35
Üzerinde durulmasında fayda olan ve risklere karşılık verilmeden
önce karar verilmesi gereken bir kavram da risk alma iştahıdır. Risk alma
iştahı kurumun herhangi bir harekette bulunmanın gerekliliğine hüküm
vermeden önce maruz kalmaya hazır olduğu risk miktarıdır.15 Burada, risk
alma iştahı ile daha önce bahsedilen risk toleransının her ikisinin de
kurumun ne kadar risk almak istediğine dair sınırları koyduğuna dikkat
çekmek gerekebilir. Ancak iki kavram birbirinden farklıdır. Risk alma iştahı
daha geniş kapsamlıdır. Yönetimin kabul edilebilir olduğunu düşündüğü risk
seviyesidir. Yönetimdeki kişiler risk almayı seviyorlarsa ve bu konuda
cesurlarsa risk alma iştahının sınırları çok daha geniş olacaktır. Bunun
yanında risk toleransı hedefler etrafındaki kabul edilebilir bir değişkenliği
belirtir. Bu kavram istatistiki olarak varyans ile ifade edilir. Sınırları daha dar
ve daha kesindir. Risk toleransı sınırları içinde kalmak yönetime risk alma
iştahı sınırları içinde kalmak konusunda güvence sağlar ki bu da sonuçta
kurumun hedeflerine ulaşması konusunda güvence sağlar.16
Risk değerlemesi, kurumun potansiyel olayların hedefleri etkileme
büyüklüğünü anlamasını sağlar. Risklerin değerlendirilmesi ayrıca alakalı
hedeflerin ölçülmesinde kullanılır. Faaliyetin gerçekleşme zamanı ile hedef
ufkunu ilişkilendirir.
Riske Karşılık Verme
Riskler tanımlanıp değerlendirildikten sonra sıra, bu risk yığınının
kurumun risk kapasitesi ve risk toleransı içinde olup olmadığının
belirlenmesine gelir. Riske verilecek karşılık riskin kurumun üstlenmeye
hazır olduğu seviye sınırı içinde olup olmamasına göre değişir. Riskin
15
16
Management of Risks, age, s.9
Frequently Asked Questions COSO’s Enterprise Risk Management Framework
www.coso.org
/ COSO, s.2
36
yapısına göre verilecek karşılıklar kabul etme, kaçınma, azaltma veya
paylaşma, şeklinde sınıflandırılabilir17.
Maruz kalınan risk daha ileri bir davranışa gerek olmaksızın
katlanılabilir olabilir. Katlanılabilir olmasa bile bazı risklerle ilgili önlem alma
kabiliyeti sınırlı olabilir veya herhangi bir faaliyette bulunmanın maliyeti
kazanılacak potansiyel yarara göre orantısız olabilir. Böyle durumlarda
verilecek karşılık riskin var olan düzeyine katlanmaktır.
Azaltma, kurumda riskin doğumuna neden olan faaliyet devam
ederken riski, kabul edilebilir bir seviyede sınırlamak için kontrolde tutmaktır.
Risklerin büyük çoğunluğuna verilen karşılık şekli budur. Bu tip kontroller
faaliyetlerin özelliğine göre alt bölümlere ayrılabilir.
Bazı riskler için en iyi karşılık onları paylaşmak olabilir. Bu geleneksel
sigorta yöntemiyle riski transfer etme şeklinde yapılabilir veya üçüncü bir
ajana, başka bir şekilde riski üstlenmesi için ödeme yapmak yöntemiyle
yapılabilir. Bu seçenek özellikle finansal risklerin veya varlıkların riskinin
azaltılması için uygundur. Riskleri transfer etme nedeni, diğer ajanın o riski
yönetmekte daha yetkin olması olabileceği gibi, maruz kalınacak risk
oranının paylaşım yoluyla azaltılması da olabilir. Ancak itibari risk gibi bazı
risklerin transfer edilmesi mümkün değildir.
Bazı risklerin etkisi ve olasılığı çok yüksektir. Bunları risk yönetimi
yöntemleriyle
azaltmak
veya
üçüncü
kişilerle
paylaşmak
mümkün
olmayabilir. Ya da mümkün olsa bile artık risk yine de tolerans sınırının
üstünde kalıyor olabilir. Bunların dışında o faaliyetin riskini yönetmenin
maliyeti, faaliyet gerçekleştirildiğinde kurumun edineceği kazançtan yüksek
olabilir. Böyle durumlarda riske verilecek en uygun karşılık o faaliyete hiç
17
Orange Book, age, s.27
37
girişmemektir. Riskten kaçınma olarak bilinen bu karşılık da kurumun
elindeki risk yönetim seçeneklerinden biridir.
İşletmeler risklere ne tip karşılık vereceklerine karar verirken karşılık
faaliyetinin tahmini fayda-maliyet ilişkisini göz önünde bulundururlar. En
uygun karşılığı seçerek riskleri risk kapasitesi sınırları içinde tutmak,
yönetimin risk yönetimi uygulama sürecinde alacağı önemli kararlardan
biridir.
Kontrol Faaliyetleri
Risklere verilecek karşılıklar belirlendikten sonra, riskleri minimize
etmek için yöntemler geliştirme safhasına geçilir. Kontrol faaliyetleri, riske
verilecek karşılıkların etkili bir biçimde yerine getirilmesi, devam eden
risklerin risk kapasitesi sınırları içinde yönetilmesi ve kurumun yürürlükteki
yasa ve yönetmeliklerle uyumunun sürekli sağlanmasına yardımcı olmak için
yerleştirilen politika ve prosedürlerdir. Bunun yanında politika ve prosedürler,
diğer kurum talimatlarının da yerine getirilmesini sağlamaya yöneliktir. Tüm
kurumda, her seviyede ve tüm fonksiyonlarda geçerlidir. Onaylar, izinler,
soruşturmalar, anlaşmalar, performans gözden geçirmeleri, güvenlik ölçütleri
ve uygun belgelerin oluşturulması ve muhafazası gibi geniş bir yelpazedeki
faaliyetleri içerir. Kısacası bu faaliyetler temel kurum uygulamalarıdır.
Burada yöneticilerin dikkat etmesi gereken şey riskleri en aza indirmek için
yapılan bu kontrol faaliyetlerinin aşırıya kaçması en az aşırı risk kadar
tehlikeli olduğudur. Gereksiz kontroller bürokrasiyi arttırır ve kontrolün
etkinliğini azaltarak riskin gerçekleşme olasılığını arttırır.
38
Bilgi ve İletişim
Kişilerin sorumluluklarını yerine getirmesi için ilgili bilgi belli bir
biçimde ve belli zaman aralıkları ile tanımlanır, ele geçirilir ve iletilir.
Kurumsal risk yönetimi gibi bir güç, riskin etkili olarak değerlendirilmesi ve
yönetilmesi için zaruri olan, zengin miktarda veri kümesine ihtiyaç duyar. En
uygun durumda, bu bilgi tanımlanan riskleri yönetmek, analiz etmek ve
izlemekle sorumlu kişiler tarafından kullanılmak üzere uzmanlaşmış bir
sistem ve/veya veri tabanında depolanır. Bu veriler, yönetim kurulu ve
idarecileri de kapsayan kurumun her seviyesindeki iletişime temel oluşturur.
İzleme
Gelişimini ölçmek için kurumsal risk yönetiminin uygulaması izlenir ve
etkinliği arttırmak için gerektiğinde ayarlamalar yapılır. İzleme devam eden
yönetim faaliyetleri bazında, tek tek olaylar bazında veya her ikisinin karışımı
şeklinde yapılabilir.
İşletmenin ulaşmaya çalıştığı hedefler ile onlara ulaşmak için gerekli
olanları temsil eden unsurlar arasında doğrudan ilişki vardır. COSO küpü bu
ilişkiyi
göstermek
üzere
tasarlanmıştır.
Bir
kurumda
kurumsal
risk
yönetiminin etkin işleyip işlemediğine karar vermek, bu sekiz unsurun
bulunup
bulunmadığı,
bulunuyor
ise
etkin
işleyip
işlemediğinin
değerlendirilmesi sonucu ulaşılacak bir yargıdır. Dahası bu unsurlar etkili bir
kurumsal risk yönetiminin kriterleridir.
COSO’nun ERM süreci daha bir süreç şeması şeklinde de
gösterilebilir.
Bu
gerçekleştirilmesi
şemada
için
her
neler
kurumsal
yapılabileceği
risk
yönetimi
veya
hangi
unsurunun
alanlara
yönelinebileceği gösterilir.
39
Tablo 2: COSO – ERM Süreç Akışı
Kurumsal risk yönetiminde bazı sınırlamalar bulunmaktadır. Karar
verme sürecinde insan yargılarının hatalı olabilmesi, risklere verilecek
karşılıkların ve oluşturulacak kontrollerin fayda maliyet analizi göz önünde
bulundurularak oluşturulması, basit hatalar nedeniyle başarısızlıkların
meydana gelmesi, yönetimin kurumsal risk yönetimi kararlarını hiçe sayması
gibi durumlarda kurumsal risk yönetiminin etkinliği sınırlanır. Bu sınırlamalar
40
nedeniyle yönetim kurum hedeflerine ulaşmak konusunda mutlak değil
makul bir güvenceye sahiptir.
Kurumsal
risk
yönetimi
konusunda
tüm
çalışanların
rol
ve
sorumlulukları vardır. Faaliyeti yöneten üst yönetici süreç sonunda
sorumludur ve süreci sahiplenmelidir. Diğer yöneticiler de kurumun risk
yönetimi felsefesini desteklemeli, risk kapasitesiyle uyumlu ilerlemeli ve
kendi sorumluluklarındaki alanlardaki riskleri, risk toleransı ile tutarlı olarak
yönetmelidirler. Diğer kurum personeli, kurum strateji geliştirirken ve
hedeflerini takip ederken, uygun davranış standartları sergilemelidirler.
Yönetim ve personelin davranışları şu prensiplerle desteklenmelidir:
•
Karar verme sürecinde her çeşit riski göz önünde bulundurmak
•
Neyin birim ve kurumun bütünü için iyi olacağına karar vermek için
kurumun birim seviyesindeki ve kurum seviyesindeki risklerinin profilini
çıkarmak ve değerlendirmek
•
Kurumda, birimde veya diğer etki alanında risk ve risk yönetimi
için sahiplenme ve hesap verilebilmeyi üstlenmek (Risk yönetimi hesap
verilebilirliği başkalarına bırakmaz)
•
En iyi uygulamaya ulaşmak için çabalamak
•
Politika ve prosedürler ile kurumsal risk yönetimi uyumunu izlemek
•
Tüm risk ve risk yönetimi eksikliklerini belgelendirmek ve
raporlamak
•
Kurumsal risk yönetiminin bir seçenek değil zorunluluk olduğunu
kabul etmek
Kurumsal Risk Yönetimi – İç Kontrol Karşılaştırması
İç kontrol belirlenen hedef ve amaçlara ulaşmak, kaynakların etkin ve
verimli kullanılması, kurumların faaliyetlerinde yer alan yapısal risklerin
uygun bir biçimde kontrol edilmesi, mali ve diğer yönetim bilgilerinin
41
güvenilirliği ve doğruluğu, yasalar ve yönetmelikler, stratejiler, planlar, iç
kural ve prosedürlerle uyumun sağlanması amaçlarını güden bir süreçtir.
Buna göre iç kontrol mali olsun veya olmasın kurumun yönetim kurulundan,
idarecilerinden ve diğer personelinden etkilenen bir süreçtir.
Risk kurumun hedeflerine ulaşmasını engellemeye neden olacak
olayların gerçekleşme olasılığıdır. Risk yönetimi ise kurumun hedeflerine
ulaşmasını
güçleştiren
engellerin
belirlenmesi,
önceliklendirilmesi
ve
üstesinden gelinmesi konusundaki yeteneklerin güvenilirliğinin arttırılma
sürecidir.
Kurumsal risk yönetimi ve iç kontrol birbirleri ile doğrudan iletişim
içinde olması gereken süreçlerdir. Bunlar birbirlerini dışlamaz veya biri
diğerinin yerini almaz. Turnbull’a göre kurum hedeflerinin geliştirilmesinde
risk yönetimi, kurumun iç kontrol sürecinde anahtar bir rol oynar. Sağlam bir
iç kontrol sistemi kurumun maruz kaldığı risklerin doğası ve kapsamının
kesintisiz ve düzenli değerlendirilmesine bağlıdır. COSO’da da risk yönetimi
ve iç kontrol arasında sıkı bir ilişki vardır. COSO’da kurumsal risk yönetimi,
iç kontrolü kapsayan daha geniş kapsamlı bir süreçtir. Bunu tanımları
karşılaştırarak da görmek mümkündür.
•
İç kontrol bir kurumun yönetimi, yönetim kurulu ve diğer
personelinden etkilenen; kurumun hedeflerini elde etmesi için makul bir
güvence sağlamak için tasarlanmış bir süreçtir.
•
Kurumsal risk yönetimi kurum genelinde olan ve strateji oluşturma
sırasında yerleştirilen; kurumun yönetim kurulu, yönetimi ve diğer
personelinden etkilenen; kurumun hedeflerini elde etmesi için makul bir
güvence sağlamak için kurumu etkileyebilecek potansiyel olayları
tanımlamak ve risk kapasitesi içinde yönetmek amacıyla tasarlanmış
bir süreçtir.
42
COSO iç kontrol tanımındaki kavramları daha da geliştirerek ve
genişleterek kurumsal risk yönetimi çerçevesini oluşturmuştur. Örneğin
kurumsal risk yönetiminde hedef belirlemeyi ayrı bir unsur olarak almıştır. İç
kontrolde ise hedefler önceden belirlenmiş kabul edilmektedir. Yine
kurumsal
risk
yönetimi,
iç
kontrolün
finansal
raporlama
ve
risk
değerlendirmesi unsurlarını daha da geliştirmiştir.
Daha önce de belirtildiği gibi iç kontrol ve risk yönetimi madalyonun iki
yüzüdür. Birbirinin ayrılmaz parçasıdırlar. Bunun anlamı etkili bir iç kontrol
sisteminin oluşturulabilmesi için etkili bir risk yönetimi sürecinin kurumda
yerleşmiş olmasının zorunlu olduğudur. İşletmenin varlığının nedeni belirli
hedeflere ulaşmaksa, iç kontrol bunu başarmak için kuruma rehberlik eder
ve risk yönetimi de kurumun hedeflerine ulaşmasına engel olacak olaylara
müdahale ederek kurumun rotasından çıkmasını önler. İç kontrol; koruyucu,
etkin ve şirket genelinde uygulanan bir kurumsal risk yönetimi sistemi ile
etkilidir.
İç kontrolde de, kurumsal risk yönetiminde de sistemin işleyişi bir
bütün olarak kuruma yerleştirilir ve kurumun yönetimi, yönetim kurulu ve
çalışanlarının her birinin sistemin işleyişinde sorumlulukları vardır. Yönetim
iç kontrolden sorumludur. Sistemin iyi işlemesi için iç kontrolü yerleştirecek
uygun politikalar kurmalı ve düzenli güvence sağlamalıdır. Ayrıca yönetim
risk yönetiminde iç kontrolün etkili işlediğini de garantilemelidir. İç kontrol ile
ilgili politikalara karar verirken yönetim; kurumun karşılaştığı risklerin doğası
ve kapsamı, kurumların katlanabilir düzeyde kabul edebileceği risklerin
kapsamı ve kategorileri, risklerin gerçekleşme olasılığı, gerçekleşen risklerin
iş üzerindeki etkilerinin azaltılmasında kurumun yeteneği, ilgili riskleri
yönetirken elde edilen yararlarla ilgili özel kontrolleri yönetmenin maliyeti gibi
unsurları göz önünde bulundurmalıdır. Yönetimin rolü risk ve kontrol ile ilgili
politikaları uygulamaktır.
43
İç kontrol ve kurumsal risk yönetimi süreçlerinin etkin bir biçimde
yerleştirilmesi kuruma şu faydaları sağlar:
•
Strateji oluşturma için kurumda daha iyi bir temel oluşturur.
Hedeflere ulaşmak ve bu hedeflere ulaşma yolundaki tehditlerle başa
çıkılması için oluşturulacak stratejilerin daha sağlam, daha etkili ve
daha hedefe yönelik olmasını sağlayarak kurumda yaratılan değerin
artmasını sağlar.
•
Amaçlara ulaşma yönünde daha fazla olasılık sunarak o
amaçların elde edilme ihtimalinin artmasını sağlar.
•
Doğru işlerin yapılması konusunda kurum içinde daha fazla
odaklanma sağlar. Yönetimin, yapılan faaliyetlerin ve faaliyeti yerine
getirme prosedürlerinin birbiriyle uyumlu olması ve yönetimin doğru
bilgilere dayanarak daha geniş bir algıya dayanarak isabetli kararlar
almasıyla, kurumun yönünü doğrudan hedeflere çevirmesine yardımcı
olur.
•
Daha az ani şok ve istenmeyen sürprizlerin yaşanmasını sağlar.
Kurumsal risk yönetimi süreci doğrudan bu sürprizlerin öngörülerek
uygun biçimde karşılık verilmesine yönelik bir süreçtir. Kurum iç kontrol
sistemlerini yerleştirir ve kurumsal risk yönetimini uygun biçimde
uygularsa hedeflerine ulaşmasını tehlikeye düşürecek sürprizler
minimize edilecek, böylece kurumun kendini gerçekleştirme maliyeti
azalacaktır.
Bu süreçlerin bir başka avantajı da kurumun bütün alanlarında, tüm
hedefler için, her bir unsur hakkında güvenilir bilgi akışının sağlanmasıdır.
COSO bilgiyi özellikle kimin sağlayacağını söylemez, sadece yönetimin
bilgiyi alması ve bu bilgiye dayanarak hareket etmesinden bahseder.
44
Farklılıklar ve Eleştiriler
Son yıllarda iç kontrol ve risk yönetimi tanımlarının kapsamı oldukça
genişlerken iki kavram birbirinin yerine kullanılmaya başlandı. Kişilerin
aklında her iki kavram da aynı süreci ifade etmeye başladı. Buna rağmen
risk yönetiminden sorumlu olanlar ile iç kontrolden sorumlu olanların farklı
geçmiş ve donanımları vardır. Risk yönetimi yöneticileri büyük sigorta veya
mühendislik riskleriyle ilgilenirken iç kontrol yöneticileri küçük, iç risklerle
ilgilenirler ve genelde denetim ve muhasebe geçmişine sahiptirler.18 Ancak
bu farklılıklar giderek yok olmaktadır. Risk yönetimi değişerek kurumsal risk
yönetimi şeklini almaya başladığından beri artık sadece belli alanlardaki
riskleri değil, bir kurumda karşılaşılacak her türlü riski yönetmeye yönelik
evrim geçirirken; sadece özel kurumların değil kamu kurumlarının da
etkinliğini arttırmak için başvurabilecekleri bir yöntem haline gelmiştir.
Dahası iç kontroller geleneksel finansal belgelerin kontrolü olmaktan çıkıp
risklerin de değerlendirildiği daha dinamik bir sürece dönüşmüştür. Bu hali
ile iki sistem arasında bir kopukluk bulunmazken iki süreci de aynı donanımlı
kişiler yürütmeye başlamıştır.
İç kontrol büyük iç denetim şirketleri tarafından ortaya atılmasına
rağmen risklerin ölçümü veya kontrollerin faydalarının matematiksel veri
destekli bir şekilde ölçmeye neredeyse hiç önem vermemektedir. Çoğu
değerleme, “yüksek – orta – düşük” sınıflamasından ileri gitmemektedir. Bu
da sistemin güvenilirliğine sekte vurmakta, kurumun hedeflerine ulaşmasını
etkileyecek sürprizlerin azaltılması fonksiyonunun yeterince iyi işlememesine
neden olmaktadır.
Ancak gittikçe daha fazla kurum bu eksikliğin farkına
varmakta, bunu gidermek için düzenlemeler yapmaktadır. Giderek daha iyi
veri toplama ve ölçme yöntemleri ile sistem desteklenmektedir. Şuna da
dikkat edilmelidir ki sigorta kökenli olan ve takıntıları istatistik, matematik
olan risk yöneticileri riskleri puanlamakla fazlasıyla meşgulken, takıntıları
18
http://www.irmi.com/Expert/Articles/2006/Leitch01.aspx
45
yargılamak olan denetimciler riskleri kelimelere dökmekle meşguldürler. İyi
bir risk yönetiminin anahtarı ise bu iki yaklaşımı kaynaştırmaktır.
Hem iç kontrolün hem de risk yönetiminin en büyük handikabı bu
sistemlerin insan öğesine dayanmasıdır. Yeterince iyi donanıma sahip
olmayan, sürecin gereklerini anlayamamış ve o kültüre sahip olmayan
kişilerle bu süreçler yürütüldüğünde insan hataları, direnç veya yöntemi
doğru olarak değil, kendine uygun olarak uygulama gibi sonuçlarla
karşılaşılmaktadır ki bu da sistemlerin aslında farkında oldukları, bu nedenle
de mutlak değil makul güvenceden bahsettikleri bir durumdur. Bu nedenle
süreçler uygulanırken bu kültürün iyice yerleşmesi için örneğin bu konu ile
ilgili eğitim ve seminerlerle süreçte yer alacak kişiler bilinçlendirilmelidir.
Risk yönetimi ana risklerin örtüldüğüne dair doğrulama için kontrol
haritaları oluşturulur. Risk yönetiminden sorumlu olan idareciler risk
yönetimini tanıtmaya genellikle buradan başlarlar. Risk kayıtları riskin iyi
yönetildiğini gösterdiği sürece sorun yoktur. Sistem aksamaya başladığında
da örneğin sisteme risk değerlendirmesi enjekte etmek gibi, kontrolleri
iyileştirme girişimleri, esnek kaynak için politika geliştirme gibi destekleyici
unsurlar sisteme ilave edilmektedir. Oysa kurumsal risk yönetiminin etkili
yürütülmesi için risk kayıtlarının ötesinde bir davranış değişikliğine ihtiyaç
vardır. Risk kayıtlarının iyi olması risklerin iyi yönetildiği anlamına
gelmemektedir. Sorumlular belirsizliğin kurumun lehine sonuçlanacağını
umarak
kötü
haberleri
kendilerine
saklıyorlarsa
kurumun
krizlerle
karşılaşması kaçınılmazdır. Halbuki kağıt üzerinde her şey mükemmel
görünmektedir. Bu durum da yine kurumsal risk yönetimi kültürünün
yerleştirilmesini ve kişilerin dürüst güvenilir, sorumluluk sahibi olmalarını
gerektirmektedir.
Prensipte risk yönetimi ve iç kontrol sistemleri arasında bir fark
kalmamıştır. Her iki sistemin genel amaçları aynıdır ve kurumun temel
46
faaliyetleri
içine
yerleştirilerek
bir
bütün
olarak
kuruma
rehberlik
etmektedirler. Her iki sistemde de risklerin değerlendirilmesi, değerlendirilen
risklere verilecek karşılıkların kararlaştırılması ve yapılan faaliyetlerin düzenli
olarak izlenmesi temel faaliyetlerdir.
47
3.
Kurumsal Risk Yönetimine Geçiş
Kurumsal risk yönetimine geçiş süreci19; kurumların risklerinin
birbirlerinden bağımsız bloklar halinde yönetildiği klasik risk yönetim
anlayışından, risklerin bir bütün olarak yönetildiği entegre risk yönetimine,
başka bir ifade ile kurumsal risk yönetimi anlayışına geçiş sürecini ifade
eder. Bu süreçte gösterilecek performans başarı için en önemli etkendir. Bu
süreç basit bir proje yönetimi anlayışı ile yürütülemeyecek kadar önemli ve
karmaşıktır.
Kurumsal
risk
yönetimi
uygulaması
için
pek
çok
teknik
kullanılmaktadır. Ancak adımları farklı olsa da hepsinin temelinde şu üç
aşama vardır.
1. Temel oluşturma
2. Dönüşüm süreci
3. Risk yönetiminin uygulanması
4. Güçlendirme
Temel oluşturulabilmesi için önemli iki unsur vardır;
•
Ortak bir dil oluşturulması
•
İdarenin desteğini ve gözetimini elde etmek
İdeal bir kurumsal risk yönetimi dönüşüm sürecini aşağıdaki şekilde
özetlemek mümkündür;
19
•
Hedeflerin Belirlenmesi
•
Mevcut Durum Analizi
•
Hedef Yapının Tespiti
•
Fark Analizi ve Planlama
TÜSİAD, age, s.24
48
Dönüşüm gerçekleştikten sonra risk yönetimi uygulaması için temel
olarak şunlar uygulanır:
•
Risklerin tanımlanması
•
Risklerin analiz edilmesi ve ölçülmesi
•
Risklerin önceliklendirilmesi
•
Risklere verilecek karşılıkların belirlenmesi ve uygulanması
Güçlendirme
aşamasında
ise
çoklu
risklerin
kurum
genelinde
değerlendirilmesi ve kurumsal performansın güçlendirilmesine önem verilir.
Temel oluşturulması
Kurumsal risk yönetimine geçişin başlatılabilmesi için atılması gereken
ilk adımlar herkesin bu konuda aynı kavramlarla düşünmesini sağlamaya
yönelik olarak ortak bir dilin oluşturulmasını sağlamak ve risk yönetim rol ve
sorumluluklarını açığa kavuşturmak ve yönetime güvenilirliği arttırmak
amacıyla idareden destek almaktır. Bu iki adım kurumsal risk yönetimi
sürecine dönüşümün sağlanabilmesi için hayati öneme sahiptir. Zira
kurumsal risk yönetiminin üstüne bina edileceği bir temel olmadığı taktide
dönüşüm sonucu ortaya çıkan yapının sağlamlığı tartışılır olacaktır.
Ortak bir dil oluşturulması
Kurumsal risk yönetimine geçiş sürecinde riskleri yönetmeye yönelik
adımlar atılmadan önce bir kurumun sorması gereken soru kurumda riskler
ve risk yönetimi için ortak bir dilin bulunup bulunmadığıdır. Risk yönetiminin
başarıyla gerçekleştirilebilmesi ve kurumun hedeflerine ulaşabilmesi için
yönetilecek olan riskler konusunda herkesin aynı kavramlarla düşünmesi ve
risk yönetimine dair aynı pencereden bakabilmesidir. Riskle ilgili olarak aynı
49
kavramın farklı biçimlerde ifade ediliyor olması, farklı risklerin hangi
kategorilere sokulacağına dair belirsizliklerin bulunması, risklerin ölçümüyle
ilgili birbiri cinsinden ifade edilemeyen birimlerin kullanılması, hatta ölçüm
tekniklerinin belirli olmaması, risk yönetimine dair farklı bakış açılarının
bulunması ve bunlar arasında bir uzlaşma olmaması ortak bir dil
oluşturulmadığında her kurumun karşılaşacağı sıradan durumlardır. Ancak
bu durumlar yöneticilerin yeteneğine bağlı olarak belli bir süre idare
edilebilse de sonunda yerini muhakkak ki karmaşaya ve kaosa bırakacaktır.
Böyle bir gelişmeye mahal vermemek ve kurumsal risk yönetimini sağlam
temellere oturtmak için kurum içinde ortak bir dilin oluşturulması ve
yerleştirilmesi gerekir.
Ortak dilin oluşturulabilmesi için birçok unsur kullanılabilir. Bunların en
başında tabiî ki kurumun işleyişiyle uyumlu bir risk modeli gelir. Bir risk
modeli oluşturulduğunda bu hem üst düzey yönetim için hem de risk
yönetimini gerçekleştirecek kişiler için bir rehber niteliği taşır. Model
hedeflerin neler olduğunu, stratejileri, risk kategorilerini, bunların nasıl
değerlendirileceğini, nasıl ölçüleceğini, hangi duruma göre nasıl karşılıkların
verilebileceğini ve risk yönetiminin koşullarını, sınırlarını, adımlarını belirler.
Böylece risk yönetimi ile ilgili bu anlamda olabilecek karmaşıklıklar ortadan
kaldırılır.
Ortak dil için olmazsa olmaz bir diğer unsur risk yönetimi sözlüğüdür.
Risk yönetim sözlüğü kurumsal risk yönetimi ile doğrudan veya dolaylı
kavramları kapsamalıdır. Risk yönetimi camiasında pek çok kavram
kullanılmakta, bu kavramlar belirli noktalara kadar örtüşürken bir noktadan
sonra ayrılmakta, birkaç kavram aynı şeyi ifade ederken, aynı kavram farklı
kişiler veya farklı durumlar söz konusu olduğunda farklı anlamlara
gelebilmektedir. Kavramların karışıklığa neden olmaması ve hem üst düzey
yönetimin, hem riski yöneten yöneticilerin, hem de risk yönetimi ile ilgili
50
personelin aynı kavramdan aynı anlamı çıkarabilmesi açısından bu
kavramların tanımlarının yapıldığı bir sözlüğün bulunması çok faydalıdır.
Bu konuyla ilgili olarak başka pek çok unsur kullanılabilir. Bunlara
örnek olarak süreçlerin sınıflandığı şemaları, konuyla alakalı diğer modelleri,
gösterebiliriz. Bunların yanında risk ile riskin kaynakları, tetikleyicileri ve
risklerin köklerinde yatan nedenlerle ilgili olarak iletişimin gelişmiş olması da
ortak dilin oluşmasına katkıda bulunur. Bilginin paylaşımının sağlanması için
bilgiyi paylaşma süreci organize edilmiş olmalıdır.
Tüm bunların yapılması ile kurum daha sağlam ve güvenilir bir
kurumsal risk yönetimi süreci oluşturabilir. Tüm risklerin tespit edilme
olasılığı artar. Farklı birçok disiplindeki kişilerin konulara çok daha hızlı vakıf
olmasını sağlar.
İdarenin desteğini ve gözetimini elde etmek
Bu konuyla ilgili olarak kurumun sorması gereken soru genel anlamda
etkili bir gözetim sisteminin bulunup bulunmadığı ve konu ile ilgili faaliyetler
için üst yönetimin desteğinin ne kadar elde edilmiş olduğudur. Risk
yönetiminin kurumsal düzeyde genişletilmesi ve sadece belirli konuların
değil kurumun var olma amacının gerçekleştirilebilmesini ve hedeflerine
ulaşabilmesini tehlikeye düşüren her türlü konunun risk yönetimi kavramı
içine girmesi nedeniyle risk yönetimi artık sadece belirli riskleri yöneten belirli
kişilerin inisiyatifinden çıkmıştır. Kurumun tamamını ilgilendiren bir konu
haline gelmiştir. Bu nedenle de kurumsal risk yönetimiyle ilgili gerekli
yapılanmanın gerçekleşebilmesi idarenin desteğinin alınmasına bağlıdır.
İdarenin tam destek vermediği bir kurumsal risk yönetimi dönüşüm sürecinin
gerçekleştirilmesi düşünülemez. Ancak idarenin sadece destek vermesi
yeterli değildir. İdare yapıya yukardan gözetlemeli ve gerektiğinde yön
belirlemelidir.
51
Bu konuda yardımcı olabilecek unsurların örnekleri çeşitlidir. Genel bir
risk yönetim politikasının bulunması idarenin tavrını ortaya koyarak kurumsal
risk yönetimine olan güvenilirliği arttırır. Risk yönetiminin gittiği yönle ilgili üst
düzeyden aşağıya doğru ve tam tersi yönde iletişimin gelişmiş olması
gereklidir. Yönetim kurulunun gözden geçirdiği kurumun genel yapısına dair
bir belge de kurumsal risk yönetimine temel oluşturmak için gereklidir. Risk
yönetimini gerçekleştirecek olan kişilerin yukardan atanması, bununla ilgili
gerekirse bir risk yönetimi gözetim kurulunun oluşturularak ya da başka bir
yolla risk yönetiminin hesap verilebilirliğinin sağlanması, risk yönetimi ile ilgili
olarak yukardan atanmış bir yöneticinin bulunması gibi unsurlar da idarenin
gözetimini işaret eder. Bütünleşik risk yönetimi ve yönetişim süreçleri
çıkarılmalıdır. Ayrıca risk yönetimiyle ilgilenen personelin fonksiyonu tam
olarak tanımlanmalıdır.
Kurumsal risk yönetimi dönüşüm sürecinin ilk aşamasında bunların
yapılması risk yönetiminin kurum içindeki rolünün ne olduğunu açıkça ortaya
koyarken risk yönetimi ile nelerin elde edilmek istendiğinin herkesçe
anlaşılmasını sağlar. Kurumsal risk yönetimine olan güvenilirliği arttırır.
Ayrıca, yukardan faaliyette bulunması için yetkilendirilmiş kişiler işlerin çok
daha çabuk yapılmasını sağlarlar.
Kurumsal Risk Yönetimi Dönüşüm Sürecini
Hedeflerin belirlenmesi
Kurumsal risk yönetimi açısından hedeflerin belirlenmesi iki başlık altında
incelenmelidir; Genel kurum stratejileri ve risk profili. Risk profilinin
seviyesinin ne olacağına karar verilebilmesi için öncelikle kurumun genel
mevcut konumunu, hedeflerini ve bu hedeflerine nasıl ulaşacağını
52
tanımlayan bir kurum stratejisi ve politikası bulunmalıdır. Bu strateji
bilinmeksizin kurumun risk profilinin uygunluğunu değerlendirebilmek
mümkün değildir. Esasen kurumun stratejileri ve risk profili birbirlerinden
etkilenen kavramlardır. Bu nedenle biri diğerinin bir sonucu olarak
algılanmamalıdır. Ancak bu kavramlar birbirleri ile uyumlu olmalıdırlar.
Bunun tespit edilebilmesinin tek koşulu ise bu iki kavramın da net bir şekilde
bilinebiliyor olmasıdır. Bir kurumun hedefleri ve buna bağlı olarak belirlenmiş
olan stratejilerinin varlığı, o kurumun değer yaratma ve risk yönetimi
uygulamalarına zemin oluşturacak bir iş modelinin tanımlamasına yardımcı
olacaktır.
Mevcut durum analizi
Hedefler belirlendikten sonra kurumun mevcut risk yönetim altyapısının
ayrıntılı bir şekilde analiz edilmelidir. Altyapının incelenmesi bir yandan
kurumun durumunun ne olduğunu ortaya koyarken bir yandan da fark
analizinin yapılabilmesi ve hedef yapıya ulaşabilmek için şu anki yapı
üzerine neler inşa edilmesi gerekliliğinin tespitinde büyük rol oynar. Bu
analiz, kurumun karşı karşıya olduğu risklerden bağımsız olarak bu riskleri
yönetmek için var olan sistemleri ve yeterlilikleri kapsamalıdır.
Mevcut durum analizinde temel olarak, etkin bir kurumsal risk yönetimi
uygulamasının yapılabilmesi için dikkate alınması gereken bazı konular
vardır. Bunlardan biri risk yönetim stratejisinin belirlenmesi ve çalışma
ortamının bu stratejiye uygun olarak düzenlenmesidir. Risk yönetim stratejisi
kurumun risk yönetim anlayışını, temel prensiplerini, konuya verdiği önemi,
kabul edilebilir asgari risk seviyelerini, genel risk alma iştahı seviyesini,
temel görev ve sorumluluklar ve yetkinlikleri gibi konuları içerir. Belirlenmiş
olan bu stratejilerin uygulamaya dönüştürülmemesi halinde stratejiler kurum
tarafından benimsenemez ve günlük faaliyetlere yansıyamaz.
53
Mevcut durum analizinde dikkat edilmesi gereken bir diğer konu var olan
sistemin bütünleşik risk yönetimi faaliyetlerini ne kadar yerine getirdiğidir.
Var olan sistem, risklerin belirlenmesi, değerlendirilmesi aşamalarını ne
kadar yerine getirmektedir ve bunu için nasıl bir politika uygulanmaktadır gibi
soruların cevapları bu analizde bulunmalıdır.
Ayrıca var olan kontrollerin, politika ve prosedürlerin kurumsal risk
yönetimi stratejisi, risk alma iştahı seviyesi ve risk yönetim hedefleri ile ne
kadar uyumlu olduğunu da göz önüne almak gerekir. Kurumsal risk yönetimi
ile iç kontrol arasındaki sıkı bağlantı göz önüne alındığında dönüşüm
sürecinde kurulacak sistemde kontrollerin ayrı bir önemi vardır.
Risk yönetim faaliyetlerinin sağlıklı ve etkin bir şekilde yürütülebilmesi
için ilgili kişilerin ve grupların, gerekli bilgiye, gerektiği ölçüde ve gerektiği
zamanda ulaşabilmelerini garanti etmelidir. Bilgi eksikliği risklerin doğru bir
şekilde tanımlanmasını, yönetilmesini ve kontrol altında
tutulmasını
engelleyecektir. Bu nedenle mevcut durum analizinde bilgi paylaşımı ve
iletişimin seviyesi de belirlenmelidir.
Hedef yapının tespiti
Mevcut
yapının
analiz
edilmesini
takiben
yapılması
gereken,
iyileştirmeler sonrasında erişilmesi arzu edilen hedef yapının belirlenmesidir.
Hedef yapı belirlenirken kurumun stratejileri ve hedefleri, risk alma iştahı,
faaliyet gösterilen sektörler, faaliyetlerin coğrafi dağılımı, faaliyetlerin
karmaşıklık düzeyi, kurumun büyüklüğü, kurum kültürü, sektör uygulamaları,
en iyi uygulamalar, yasal düzenlemeler, menfaat gruplarının yapısı gibi
kriterler dikkatle analiz edilmeli ve buna göre bir hedef yapı oluşturulmalıdır.
54
Fark analizi ve planlama
Bu aşamada yapılması gereken, mevcut durum ile erişilmesi arzu edilen
hedef yapı arasındaki farkın tespiti ve buna uygun olarak detaylı bir faaliyet
planının oluşturulmasıdır. Faaliyet planlarında fayda – maliyet analizleri de
bulunmalıdır. Bu planla görev ve sorumluluklar belirlenmeli, organizasyonel
yapı hedef yapıya uygun olarak yeniden düzenlenmelidir. Başta politika
belgesi olmak üzere standartların, rehberlerin ve uygulama dokümanlarının
oluşturulması
gerekir.
önceliklendirileceği
ve
Risklerin
risk
hangi
yöntem
yönetim
ile
tanımlanacağı,
çözümlerinin
geliştirileceği
belirlenmelidir. Dönüşümün gerçekleştirilebilmesi için kişilerin yeterlilik ve
bilgi düzeyini gerekli seviyeye getirecek detaylı eğitim faaliyetleri de planda
yer almalıdır.
Sistemler ve uygulamalar açısından mevcut durum analizi yapıldıktan ve
hedef yapı tespit edildikten sonra yapılan fark analiziyle kurumun kurumsal
risk yönetimini arzu ettiği biçimde uygulayabilmesi için ne kadar yol alması
gerektiği ortaya çıkar. Bundan sonra bu farkın kapatılması için iyileştirme
faaliyetleri
yapılır.
İyileştirme
faaliyetleri
teknik,
prosedürsel
ve
organizasyonel çözümleri içermelidir.
Kurumsal Risk Yönetiminin Uygulanması
Kurumsal risk yönetimi için altyapı oluşturulup gerekli dönüşüm
faaliyetleri yerine getirildikten sonra artık sistemin işleyişine geçilir. Risklerin
kurumsal olarak yürütülmesine risklerin tanımlanması ile başlanır. Kurumun
muhtemelen karşılaşacağı riskler böylece tespit edilir. Tanımlanan riskler
analiz edilir ve ölçülür. Bu ölçüm sayesinde risklerin şiddetleri ve kurumun
bu risklere ne kadar maruz kalacağı belirlenmiş olur. Risklerin ölçüm
değerleri ve kurumun maruz kalma seviyesi göz önünde bulundurularak
riskler önceliklendirilir. Bu sayede kurum için en önemli risklerin hangileri
55
olduğu ortaya çıkar. Öncelikli riskler belirlendikten sonra bunlar karşısında
takınılacak tavrın ne olması gerektiğine karar verilerek kararlaştırılan
karşılıklar uygulamaya konur. Tüm bu süreç bir yandan izlenir, bir yandan
ortaya çıkan aksaklıklar aktif olarak ortadan kaldırılır, diğer yandan da
değişen koşullara göre sistem iyileştirilir.
Risklerin tanımlanması
Riski yönetmek için kurumun hangi risklerle karşı karşıya olduğunu
bilmesi ve onları değerlendirmesi gerekir. Kurumun risk profilini çıkarmanın
ilk adımı riskleri tanımlamaktır.
Riskler hedeflerle ilgili olmalıdır. Riskler ancak hedeflerle ilişkilendirilerek
değerlenebilir ve öncelik sırasına göre düzenlenebilir. İş hedefleri üzerinde
etkisi olacak ama bu belli iş hedefi düşünüldüğünde her zaman görünür
olmayabilen
sosyal
riski
açıklarken
dikkatli
olunmalıdır.
Bir
risk
tanımlanırken, tanımlanan risk kurumun birden fazla hedefiyle ilgili olabilir,
riskin potansiyel etkisi farklı hedeflerle ilişkili olarak değişebilir, riski
yönlendirmenin en iyi yolu farklı hedeflerle ilişkili olarak değişebilir (buna
rağmen birden fazla hedefle bağlantısı olan bir riski tek bir muamelenin
uygun biçimde yönlendirmesi de mümkündür). Riskler tespit edilirken, riskin
kendisi gibi ortaya çıkabilecek etkilerin tespitinden kaçınmaya ve hedefleri
etkilemeyen risklerin tespitinden kaçınmaya dikkat edilmelidir; basitçe
hedeflerin tersi olan, açıklaması bulunan riskleri tanımlamaktan kaçınmaya
da aynı derecede dikkat edilmelidir. Bir riskin açıklaması etkinin nedenini ve
hedefte oluşabilecek etkiyi (neden ve sonuç) içermelidir.20
İlk olarak risk unsurlarının belirlenmesi sırasında tanımlanan hedeflerin
gerçekleştirilmesi üzerinde etkisi olabilecek sebeplerin ve olayların kapsamlı
20
Orange Book, age, s.15
56
bir listesinin oluşturulması gerekmektedir. Belirlenen olaylar daha sonra
olası sonuçları açısından detaylı analize tabi tutulmalıdır.
Risklerin tanımlanması için kontrol listeleri, kayıtlara ve deneyimlere bağlı
çıkarımlar, akış diyagramları, tartışmalar, sistem analizleri, senaryo analizleri
ve sistem mühendislik teknikleri kullanılmaktadır.21
Risklerin analiz edilmesi ve ölçülmesi
Risk analizi bir önceki aşamada belirlenmiş olan risklerin daha detaylı
anlaşılması ile ilgilidir. Risk analizi, belirlenmiş risklere karşılık verilip
verilmeyeceğine ve karşılık verilecekse fayda/maliyet dengesi açısından en
uygun olan karşılığın seçilmesine yardımcı olur.
Risk analizi; analiz edilecek riske, analizin amacına, erişilebilen bilgi ve
kaynakların seviyesine bağlı olarak farklılık gösterecektir. Analiz duruma
göre kalitatif (niteleyici), yarı-kantitatif (yarı-niceleyici), kantitatif (niteleyici)
veya bunların bir birleşimi sonucunda karma bir analiz olabilir.
Kalitatif analiz
Kalitatif analiz, olayların potansiyel etkilerinin derecesini ve bunların
ortaya çıkma ihtimallerini, kelimelerden oluşan skalalar üzerinden analizi
gerçekleştirenlerin bireysel yargıları ile ortaya çıkan sonuçlar ile ifade
etmektedir.22
Risklerin tanımlanması, risklerin sıralanması, olasılık ve etki ile yapılan
risk haritaları, hedefler veya birimler bazında yapılan risk haritaları, risk
21
22
TÜSİAD, age, s.37
TÜSİAD, age
57
korelasyonlarının tanımlanması yöntemleri ile yapılan risk analizleri, kalitatif
analizlerdir. 23
Kalitatif analize verilebilecek en iyi örnek daha önce COSO’nun ERM
modelinin unsurlarından risk değerlendirilmesi anlatılırken bahsedilen basit
risk matrisidir. Kurum üzerinde olumsuz etkisi olabilecek bir olayın meydana
gelme olasılığı ve meydana gelirse kurum üzerindeki etkisinin şiddetini
dikkate alarak oluşturulan bu matrisin kalitatif yöntem kullanılarak hazırlanan
hali aşağıdaki biçimdedir:
Şekil 4: Risk haritası - Kalitatif24
Bu yaklaşımın avantajları karar verme sürecini görmenin kolay olması,
standart olarak belirlenen yasal düzenlemelere dahil edilmesinin kolay
olması, iyileştirmelere yönelik denetimlerde temel olarak kullanılabilmesi ve
değerlemeyi yapmanın kolay olmasıdır. Dezavantajları ise, bakıldığında
23
Enterprise Risk Management : An Idea Whose Time Has Come / University of Virginia
http://www.kier.kyoto-u.ac.jp/fe-tokyo/symposium/sympo2007/shenkir.pdf
24
Enterprise Risk Management. age
58
hangi standartlara ulaşılmaya çalışıldığını tam olarak göstermemesi, bu
nedenle de, özellikle risk analizinde acemi olanlar için anlamanın zor
olmasıdır.25
Yarı-kantitatif
Yarı-kantitatif
kelimelerden
analizde
oluşan
kalitatif
tanımlamaların
analizde
yerini
kullanılan
rakamlar
skalalardaki
almaktadır.
Bu
yöntemde daha geniş derecelendirme skalaların uygulanmasını sağlamak
amaçlanmıştır.
Ancak
bu
yöntemde
de
derecelendirme
analizi
gerçekleştirenlerin bireysel yargıları ile belirlenmektedir. Bu nedenle riskler
için
skala
üzerinde
gerçekleştirilen
derecelendirme
etki
ve
ihtimal
tahminlerinin ölçülmüş değerlerini içermemektedir.
Risk
etkisinin
süresinin
belirlenmesi,
risk
olasılığının
süresinin
belirlenmesi, risk korelasyonunun süresinin belirlenmesi, riski düzeltilmiş
gelirler, kazanç/kayıp eğrileri, Tornado çizelgeleri, senaryo analizleri,
kıyaslama, net cari değer, geleneksel ölçümler yarı-kantitatif analizlerdir. 26
Basit risk haritası belirli değerler verilerek yarı-kantitatif yöntem olarak da
kullanılabilir. Aşağıda bu analize yönelik bir örnek verilmiştir:
25
A Code Of Practice For Risk Assessment In The Department Of Physics – Advanced Techniques,
June 2001, s.2
http://www.phy.cam.ac.uk/cavendish/hands/cops/RAcopAdv.pdf
26
Enterprise Risk Management, age
59
Şekil 5: Risk Haritası – Yarı-Kantitatif27
Olasılık = Riskli bir olayın olma ihtimalidir.
Derece
Açıklama
Yaklaşık İhtimal
1
–
İmkansız, Nadir
–
.00 - .04
2
–
Mümkün değil
–
.05 - .24
3
–
Olası
–
.25 - .54
4
–
Mümkün
–
.55 - .89
5
–
Kesin
–
.90 – 1.00
Etki = Riskli olay meydana gelirse hedeflere göre maruz kalınan etkinin
şiddetinin derecesi
Derece:
Açıklama
1
Önemsiz
–
İhmal edilebilir etki
2
Düşük
–
Karşılaşılabilir zorluklar
3
Önemli
–
Hedeflere ulaşmakta gecikmeler
4
Yüksek
–
Yeniden yapılanma gerekliliği
5
Katastrofik
–
Hedeflere ulaşamama
Derecelendirme matrisi = Olasılık x Etki
Derece 0-5
= Düşük
Derece 6-10
= Orta
Derece 12-16 = Yüksek
Derece 20-25 = Aşırı
Olasılık
5
Düşük
Orta
Yüksek
Aşırı
Aşırı
4
Düşük
Orta
Yüksek
Yüksek
Aşırı
3
Düşük
Orta
Orta
Yüksek
Yüksek
2
Düşük
Düşük
Orta
Orta
Orta
1
Düşük
Düşük
Düşük
Düşük
Düşük
1
2
3
4
5
Etki
27
Enterprise Risk Management Guideline; Government of British Columbia, October 2006
http://www.fin.gov.bc.ca/pt/rmb/ref/RMB_ERM_Guideline.pdf
60
Bu yöntemin avantajları bazı sonuçları ve hükümleri içermesi, belirli
çözümleri tespit etmekte kullanılabilmesidir. Hükümlerde bir hata veya bir
ihmal olduğunda bunun ortaya çıkarılması daha kolaydır. Riskin büyüklüğü
hakkında bir değerlendirme sunar. Bu yöntemde karşılaşılabilecek problem
ise, derecelendirme sübjektif olarak yapıldığından hata yapmanın kolay
olmasıdır.
Kantitatif analiz
Kantitatif analiz, veri kaynaklarını kullanarak etki ve ihtimal tahminlerini
rakamsal değerler ile ifade etmeyi amaçlamaktadır. Analiz sonuçlarının
kalitesi kullanılan verinin doğruluğu ve bütünlüğü ve kullanılan modelin
geçerliliğine bağlıdır.
Potansiyel etkiler belirli bir olayın veya olaylar dizisinin sonuçlarının
modellenmesi ile bulunabileceği gibi geçmiş çalışmalardan veya olaylardan
da istatistiksel olarak çıkartılabilir. Etki; parasal, teknik, insana gelebilecek
zarar veya diğer bir zarar kriteri cinsinden ortaya çıkartılabilir. Bazı
durumlarda aynı olayın risk derecesinin belirlenmesi için birden fazla
rakamsal değer kullanılması gerekebilir.28
Genelde riskli nakit akışı, riskli kazançlar ve kazanç dağılımı gibi olasılık
içeren tekniklerde kullanılır.
Bu yöntemin avantajı ayrıntılı ve objektif sonuçlar vermesi, dezavantajı
ise etkilerin ve ihtimallerin belirsizlik ve değişkenliği analiz esnasında göz
önünde bulundurulmadığında sonuçların hatalı olabilmesidir.
28
TÜSİAD, age
61
Risklerin önceliklendirilmesi
Risklerin önceliklendirilmesinin amacı risk analizlerinin sonuçlarına bağlı
olarak hangi riske öncelikli olarak müdahale edileceğine karar vermektir.
Risklerin önceliklendirilmesi, risklerin analiz edilmesi ile ortaya çıkan risk
önem derecesinin, önceden belirlenmiş risk kriterleri ve risk alma iştahı ile
karşılaştırılmasını ve böylelikle öncelikli olarak üzerinde durulması gereken
risklerin belirlenmesi sürecini içermektedir.29
Riskler önceliklendirilirken önce riskler sıklıklarına, önemlerine ve zaman
içindeki etkilerine göre bir öncelik sırasına dizilir ve derece verilir. Daha
sonra risklerin etkilerini grafikle detaylandıran risk haritaları geliştirilir.
Öncelikli risklerin sahiplenilmesi gerçekleştirilir. Bu durum belirli bir fonksiyon
veya birim tarafından atama şeklinde yapılabilir. Son olarak da riskler
önemine göre risk sınıflarına sokulur; düşük, orta ve yüksek derecede
önemli riskler. Yüksek derecede önemli risklerin muhtemel nedenleri
araştırılır, kontrol teknikleri geliştirilir ve bunlara nasıl karşılık verilebileceğine
dair öneriler sunulur.30
Risklere verilen karşılığın ne şekilde olacağı da önceliklendirmeye
bakılarak kararlaştırılabilir. Çok yüksek öneme sahip risklere hemen karşılık
vermek gerekirken, daha az öncelikli riskler için karşılığa karar verilir ve bir
acil durum planı geliştirilir. Orta derecede önemli riskler için karşılığa karar
verilirken, düşük derecede önemli riskler periyodik olarak gözden geçirilir.
Burada önemli olan bir konu, sadece belirli bir öneme sahip risklerin değil
önemsiz risklerin de dikkat ölçeği içinde tutulmasıdır. Önemsiz riskler
29
TÜSİAD, age
AON, A Strategy for Incorporating Risk Assessment in the Compliance and Ethics Agenda, US,
February 2006 http://www.aon.com/default.jsp
30
62
özellikle değişen dış olaylar ışığında sürekli olarak gözden geçirilmeli ve
önemsiz olmaya devam ettiklerinden emin olunmalıdır.31
Şekil 6: Risk haritası - Önceliklendirme32
Risklerin bu şekilde değerlenmesi sürecinde kurumun hedefleri ve
alternatif fırsatların potansiyel sonuçları göz önüne alınmalıdır. Hedefler ile
uyumlu olan birden fazla alternatif olması durumunda, seçim yapılırken
alternatiflerin potansiyel kayıpları ve kazançları objektif bir şekilde
değerlenmelidir. Alternatiflerin arasında yapılacak seçim ise kurumun risk
alma iştahı seviyesine uygun bir şekilde yapılmalıdır.
31
Hong Kong Institude of Certified Public Accountents, Internal Control and Risk Management
Basic Framework, Hong Kong, June 2005
32
University of Virginia, age
63
Risklere verilecek karşılıkların belirlenmesi ve uygulanması
Riske karşılık vermenin amacı tehditleri sınırlayarak ve fırsatlardan fayda
sağlayarak belirsizliği kurumun menfaatine çevirmektir. Kurum tarafından,
riski yönlendirmek için yapılan her faaliyet, “iç kontrol” olarak bilinen
kavramın bir parçasını oluşturur. Riske karşılık vermenin beş temel yolu
vardır: riski kabul etmek, riski azaltmak,
kaçınmak
ve
diğerlerinin
bir
riski transfer etmek, riskten
alternatifi
olmayıp
tüm
risklerde
değerlendirilmesi gereken fırsatların gözetilmesidir.
Şekil 7: Riske Karşılık Verme Seçenekleri33
KABUL ETMEK
Maruz kalınan risk herhangi bir karşılık vermeye gerek olmaksızın
katlanılabilir olabilir. Katlanılabilir olmasa bile bazı risklerle ilgili önlem
alma kabiliyeti sınırlı olabilir veya herhangi bir faaliyette bulunmanın
maliyeti kazanılacak potansiyel yarara göre orantısız olabilir. Böyle
durumlarda riske verilecek karşılık, riskin var olan düzeyine
33
Green Book, UK Treasury, London, UK
http://www.hm-treasury.gov.uk./media/5/D/Green_Book_07.pdf
64
katlanmaktır. Tabi ki bu seçenek risk gerçekleşirse etkisiyle başa
çıkabilmek için acil durum planlarıyla tamamlanmalıdır.
Bunun dışında içinde doğası gereği belirli bir oranda tehdit
bulunduran risklere diğer riske karşılık verme seçeneklerinden biri
veya birkaçı uygulandıktan sonra geriye bir miktar risk kalacaktır.
Artık riskler; yapısal risklere karşılık verildikten sonra kalan risk
miktarıdır
ve
kurum
her
halükarda
bu
riskleri
kabul
etmek
durumundadır.
AZALTMAK
Şimdiye kadar risklerin büyük çoğunluğu bu yolla yönlendirilmiştir.
Azaltmanın amacı kurumda riskin doğumuna neden olan faaliyet
devam ederken riski kabul edilebilir bir seviyede sınırlamak için
harekete geçmektir. Riskleri azaltmanın iki yöntemi vardır. Risklerin
olasılığının
azaltılması
ve/veya
etkilerinin
azaltılması
şeklinde
özetlenebilecek olan bu yöntemlerin ilkinde uygun kontroller yardımı
ile olayların olumsuz etkilerinin ortaya çıkma ihtimalinin azaltılması
söz konusuyken ikincisinde amaç olayların olumsuz etkilerinin
büyüklüğünün azaltılmasıdır. Olumsuz etkilerin azaltılmasına yönelik
kontroller olay öncesinde önlem alma veya olay olduktan sonra
zararın azaltılması için plan yapılması şeklinde olabilir.
PAYLAŞMAK
Bazı riskler için en iyi karşılık onları transfer etmek veya riski yaymak
olabilir. Bu geleneksel sigorta yöntemiyle yapılabilir veya üçüncü bir
şahsa başka bir şekilde riski üstlenmesi için ödeme yapmak
yöntemiyle yapılabilir. Bu seçenek özellikle finansal risklerin veya
varlıkların riskinin azaltılması için uygundur. Ya maruz kalınacak risk
oranını azaltmak için ya da başka bir organizasyon (belki de başka bir
65
devlet kuruluşu) riski etkili yönetmeye daha muktedir olduğundan,
riskin transfer edilmesine karar verilebilir. Bazı risklerin tamamen
transfer edilemeyeceğine dikkat etmek önemlidir, özellikle hizmetin
yerine getirilmesi anlaşma ile başka şirkete bırakılmış olsa bile
genelde itibari riskleri transfer etmek mümkün değildir. Riskin
başarıyla transfer edilmesini garantilemek için riskin transfer edildiği
üçüncü şahısla olan ilişkiler dikkatle yönetilmelidir.
KAÇINMAK
Bazı riskler sadece faaliyete son verilerek kabul edilebilir seviyede
sınırlandırılabilir. Şuna dikkat edilmelidir ki faaliyete son verme
seçeneği özel sektörle karşılaştırıldığında kamu sektöründe ciddi
biçimde sınırlı olabilir; birkaç faaliyet kamu sektörü tarafından
yürütülür çünkü bağlı riskler o kadar yüksektir ki toplum yararı için
istenen çıktının veya gelirin elde edilmesinin başka yol yoktur. Bu
seçenek özellikle tahmini fayda – maliyet ilişkisinin tehlikeye düşeceği
açık hale gelirse proje yönetimi için önemli olabilir.
FIRSATTAN FAYDALANMAK
Bu seçenek yukarıdakilerin alternatifi değildir; daha çok riski kabul
ederken, azaltırken veya transfer ederken dikkate alınması gereken
bir seçenektir. Bunun iki cephesi vardır. İlki riskleri hafifletirken olumlu
etkisinden yararlanılacak bir fırsatın aynı zamanda mı yoksa farklı
zamanda mı ortaya çıktığıdır. Örneğin, büyük bir projede yüksek
miktarda sermaye kaynağının riske sokulması gerekiyorsa, bununla
alakalı kontroller, daha da büyük avantajlar ele geçirmek için bahsi
geçen para toplamının yükseltilmesini haklı çıkarmaya yetecek kadar
iyi midir? İkincisi olumlu fırsatlar sunarken tehdit içermeyen koşulların
66
ortaya çıkıp çıkmadığıdır. Örneğin malların maliyetlerindeki bir
azalma yeniden yerleştirilecek kaynakları serbest bırakabilir.34
İzleme ve gözden geçirme
Risklere verilen karşılıkların yerinde ve etkin olduğunu garantilemek
için kurumsal risk yönetimi her yönüyle izlenmelidir. Daha önce COSO
modelinde 2.3.8 başlığı altında da belirtildiği gibi izleme; devam eden
faaliyetler veya tek tek değerlendirmeler ya da bunların bir kombinasyonu
şeklinde yapılabilir.
İzleme bilginin toplanması ve analiz edilip raporlanması faaliyetlerini de
içerir. Analizler risklere en uygun karşılığın verildiğini, risk toleransı sınırlarını
aşan tüm risklerin değerlendirme kapsamına alındığını ve kontrollerin riskleri
azaltmak için işlediğini doğrulamak için yapılır.
İzlemenin sorumluluğu hem yönetime hem de kurumda çalışan
herkese aittir. Kurumun tüm bireyleri kurumun risk alanındaki değişiklikleri
tespit etmek için iç ve dış ortamdaki tüm gelişmeleri sürekli izlemeli ve
gerektiğinde bunu iletmelidirler. Yönetim ise riskler için hesap verilebilirliği
gerçekleştirmek,
sistemin
sahipliğini
üstlenmek
ve
güncellemelerin
yapılabilmesini sağlamak için sistemi gözlemlemeli ve periyodik olarak
gözden geçirmelidirler. Güncellemeler kurumun hedeflerindeki değişiklikleri,
kurumun kullandığı sistemdeki değişiklikleri ve süreçlerdeki değişiklikleri ve
kurumun bilgi teknolojilerindeki gelişmeleri içermelidir.
34
Orange Book, age
67
Güçlendirme
Kurumsal risk yönetimi kurulduktan ve etkin bir biçimde işlemeye
başladıktan sonra yapılması gereken sistemin güçlendirilmesidir. Sistemin
güçlendirilmesi
kurum
performansının
iyileştirilmesi,
rekabet
avantajı
oluşturulması ve çoklu risklerin kurum genelinde rakamsal analizinin
yapılması yöntemleriyle gerçekleştirilir.
Kurum performansının iyileştirilmesi izlemeler sırasında ortaya çıkan
aksaklıkların anında giderilmesi ve değişen ve gelişen koşullara zamanında
ve doğru şekilde tepki verilerek adaptasyonun gerçekleştirilmesi ile
mümkündür.
Rekabet avantajı özel sektördeki kurumlar için hayati önem taşımakta,
hedeflerine ulaşmaları için en büyük adım anlamına gelmektedir. Kamu
kurumları çoğunlukla ürettikleri hizmetler açısından bir rekabet ortamı içinde
bulunmamakla birlikte üretimlerindeki katma değeri maksimize etmek için
rekabet ortamındaki bir kurum gibi düşünerek hizmetlerini en iyi şekilde
vermeye uğraştıklarında hedeflerine daha etkin, etkili ve ekonomik bir
biçimde ulaşırlar.
Çoklu risklerin nitelenmesi çok incelikli ve profesyonellik gerektiren bir
iştir. Bütün risklerin tespitinin ardından hangi riskin hangisinden ne kadar
etkilendiğinin bulunması, hangi risklerin birbirini doğurduğunun, hangi
risklerin birlikte olma ihtimalinin bulunduğunun, hangi riskler arasında ne gibi
bir korelasyon bulunduğunun tespit edilmesi, daha sonra bunların analitik
analizlerinin yapılması gereklidir. Bu analizlerin ardından çoklu risklere
verilecek karşılıklar kararlaştırılır. Bu kararlaştırma sırasında bir riske
verilmesi kararlaştırılan karşılığın o riskle bağlantılı diğer riskleri nasıl
etkilediği dikkate alınır. Bir riskin etkisini azaltacak bir karşılığın onunla
bağlantılı başka bir riskin etkisini tolerans sınırlarının dışına taşacak biçimde
68
arttırmaması gereklidir. Ya da bir riski azaltmak başka bir risk unsurundan
edinilebilecek faydanın da kaybedilmesi anlamına gelebilir. Şu halde, fayda
maliyet analizleri çoklu risklere göre yapılmalıdır. Tüm bunların sistematik bir
biçimde yapılıp gözlenmesi ve sürekli iyileştirilmesi ile güçlendirme süreci
etkin biçimde işlemeye başlamış olur.
69
4.
Uygulama Örnekleri
Kurumsal risk yönetimi rehberlik amacıyla genel bir çerçeve
oluşturmaktadır. Kurumların bu çatıyı “rehber” olarak almaları ve kendi
kurum yapılarına göre düzenlemeleri gerekmektedir. Şüphesiz ki özel
kurumlar ile kamu kuruluşlarının temel hedefleri ve dikkate almaları gereken
ölçütler farklıdır. Her iki kesimin de etkin bir biçimde kullanabileceği bu
sürecin yerleştirilmesi kendi yapılarına, kaynaklarına, karşı karşıya oldukları
risk türlerine göre şekillenmektedir. Kurumsal risk yönetimi sürecinin nasıl
yerleştirileceğine dair genel geçer bir uygulama rehberi bulunmamakta;
kamu olsun, özel olsun her kurum kendi uygulama rehberini kendi yapısına
uygun
olarak
hazırlanmasında
hazırlamak
geçmiş
durumunda
uygulamaların
kalmaktadır.
incelenmesinin
Rehberin
kuruma
yol
göstermesi açısından büyük önemi vardır. Burada ilk olarak bağımsız risk
danışma
şirketi
Proviti’nin
kurumsal
risk
yönetiminin
yerleştirilmesi
konusundaki önerisine, daha sonra da birkaç uygulama örneğine yer
verilecektir.
Kurumsal risk yönetimi uygulama önerisi35
Daha geniş bir bakış açısı kullanmak isteyenler için kurumsal risk
yönetimi uygulaması önem kazanmaktadır. Kurumsal risk yönetiminin
kurumda kurulması bir gecede tamamlanacak bir iş değildir. Ama beş
aşamalı şu süreç başlangıç için yardımcı olacaktır.
1) Kritik riskleri değerlendirmek ve önceliklendirmek için bir
“kurumsal risk değerlemesi”
yürütmek: “Kurumsal risk
değerlemesi” kurumun risklerini tanımlar, öncelik sırasına koyar ve
35
http://www.knowledgeleader.com/iafreewebsite.nsf/content/InternalAuditEnterpriseRiskManageme
ntPracticalImplementationIdeas!OpenDocument
70
risklere verilecek etkin karşılıkları formüle etmek için, öncelikli riskleri
yönetme konusunda cari yeterlilik seviyesiyle ilgili bilgiyi de içeren
kaliteli veri sağlar. Eksiklikleri tanımlamak için kurumun öncelikli
risklerini tanımlamak kurumsal risk yönetiminin geliştirilmesi için temel
hazırlar. Sürece başlamak için kurumsal risk yönetiminin ne olduğu
konusunda sonu gelmeyen tartışmalara girmektense karşılaşılacak
riskleri anlamak için kurumsal risk değerlemesi ile ilk adım atılmalıdır.
2) Risk yönetimi vizyonunu açıkça ortaya koymak: Risk yönetimi
vizyonu;
risk
yönetiminin
organizasyon
içindeki
rolü
ve
organizasyonun ana risklerini yönetmek için ihtiyaç duyulan yeteneğin
birleşimidir. Yararlı olması için vizyon, risk yönetimi performansını
güçlendirecek ve yönetimin belirlediği hedef ve amaçlara ulaşmasını
sağlayacak belirli bir kapasite temeli üzerine kurulmalıdır. “Risk
yönetimi
kapasitesi”
verebilmesi
için
kurumun
gerekli
olan
karşılaşacakları
politikaları,
risklere
süreçleri,
karşılık
yeterliliği,
raporlamayı, yöntemleri ve teknolojiyi kapsar. Vizyona ayrıca
kurumsal risk yönetimi altyapısı diyebiliriz. Bir başka deyişle bu
altyapı, risk yönetimi kapasitesini sürekli olarak güçlendirmek ve
uygun disiplinin oluşturulması için politikaların, prosedürlerin, kurum
gözetiminin ve raporların yerleştirilmesidir. Kurumsal risk yönetimi
altyapısı unsurlarına verilebilecek örnekler; genel bir risk yönetimi
politikası, kurum genelinde risk değerleme süreci, risk yönetiminin
yöneticilerin ve üst kademedeki idarecilerin gündeminde bulunması,
yetki verilmiş risk yönetimi birimi, risk yönetimi rol ve sorumluluklarının
açıkça belirlenmesi, risk raporlamasının ve gerekli araçlarıdır.
3) Kurumun risk yönetimi kapasitesini bir veya iki öncelikli risk için
geliştirmek: Bu adım kurumun gelişmeye ihtiyacı olduğunu bildiği
alanda risk yönetimi kapasitesinin geliştirilmesine odaklanır. Her
71
girişim gibi kurumsal risk yönetimi de bir yerden başlamalıdır. Bazı
olası başlangıç noktaları:
Yürürlükteki yasa ve yönetmeliklerle uyum
Bir veya iki finansal veya faaliyet riski
Öncelikli alanların belirlenmesi için kurum genelinde risk
değerleme sonuçlarını değerlendirmek (bir başka deyişle
kurumsal risk yönetimi ilk olarak öncelikli risklerin seçilmesi ve
o
riski
değerlendirmekteki
cari
durum
kapasitesinin
değerlendirilmesi ile başlar).
Önemli olan kurumsal risk yönetiminin yönetim ve faaliyet
süreciyle bütünleşmesidir.
Amerika’da
birçok
kamu
kurumu
kurumsal
risk
yönetiminin
yerleştirilmesine uyumlaştırma ile başlamıştır çünkü bir kurumun
finansal raporlamasında saydamlık olmadan sağlam bir yönetiminin
olması mümkün değildir. Güvenilir finansal raporlamaya güçlü bir
şekilde
odaklanma
kurumsal
risk
yönetimi
kapasitesinin
inşa
edilmesinin iyi bir yoludur.
4) Var
olan
kurumsal
risk
yönetimi
altyapı
kapasitesini
değerlendirmek ve geliştirmek için strateji oluşturmak: Kritik
risklerin yönetimi çerçevesinde kapasiteyi geliştirmek bir disiplin
gerektirir. Disiplini yerleştiren politikalar, süreçler, organizasyon ve
raporlar kurumsal risk yönetimi altyapısı olarak adlandırılır. Kurumsal
risk yönetiminin amacı mevcut durum ile olması gereken durum
arasındaki boşluğun kapanmasıdır. Bunu gerçekleştirmek için ortak
bir risk dili ve diğer çerçeveler, en iyi uygulama bilgilerinin
paylaşılması, eğitim gibi unsurlar üzerinde durulmalıdır. Kurumsal risk
yönetimi altyapısı, kurumsal risk yönetimi uygulamalarına güvenilmesi
için üç önemli kolaylık sağlamaktadır. Kolaylıkların ilki, risk yönetimi
ve risk yönetimi yeteneğinin gerçeklere dayanarak anlaşılmasını
72
sağlar. İkincisi, kritik risklerin sahiplenileceğine dair güvence verir.
Üçüncüsü, boşlukların kapanmasını sağlar.
5) Risk yönetimi yeteneğini ana riskler için ilerletmek: Bu adım
kurumun öncelikli risklerinin seçimi ile başlar. İlk dört adım
tamamlandıktan
sonra
kurumsal
risk
yönetimini
değişim
için
güncellemek gerekli olacaktır. Önceki adımlarda, öncelikli riskleri
tanımlayıp onları yönetme yeteneğini mevcut durumdan arzu edilen
seviyeye çıkarmak için düzenlemeler yapılmıştı. Bu gerçekleştikten
sonra yönetim bakış açısını diğer riskleri de içerecek şekilde
genişletmelidir.
Risk yönetimi yeteneği, kurumun sınırlı olan kaynakları ile uyumlu
biçimde tasarlanmalı ve geliştirilmelidir. Her risk için risk yönetimi yeteneği
geliştirildikten sonra yönetim devamında şuna karar vermelidir: Kurum
hedeflerine ulaşabilmek için ne kadar kapasite eklememiz gerekmektedir?
Dahası risk yönetimi kapasitesini geliştirmek için beklenen maliyet ve
yararlar nelerdir? Amaç kuruma en çok baskı yapan belirsizlikleri belirlemek
ve bu belirsizlikleri yönetmek için gelişme üzerine odaklanmaktır. İşletmenin
yerleştirmeyi seçtiği kurumsal risk yönetimi altyapısı, süreci bu hedeflere
doğru ilerlemesini sağlar.
Virginia Eyaleti Uygulama Aracı36
Risk yönetimi ve iç kontrol standartları kurumu – 2005 / Amerika
“Bu araç kitapçığında risk yönetimi ve iç kontrol standartlarının
yerleştirilmesi konusunda öneriler bulunmaktadır. Risk yönetimi unsurlarını
yerleştirirken kurumlar stratejik bir plan oluşturmalı ve yürütmelidirler.
Stratejik plan için misyon, amaçlar, değerler, hedefler, ölçütler ve stratejiler
kurmak, risk yönetimi programı için temel inşa eder. Stratejik plan genel
36
http://www.doa.state.va.us/ARMICS/94.pdf
73
performansı izlemek, gerekli düzenlemeleri yapmak, hedeflerin elde
edilmesini değerlendirmek için bir idareci aracı olarak hizmet verir.
Burada gösterilen bazı teknikler siz kendi kurumunuzun kurumsal risk
yönetimini programını kurarken düşüncenizi teşvik etmek için tasarlanmış
açıklayıcı örneklerdir. Araç içinde bazı belgeler kendi kurumunuza
uygulamanız için boş bırakılmıştır.”
Bu giriş yapıldıktan sonra rehberde sekiz kurumsal risk yönetimi
unsuru sayılmış ve her biri ayrı ayrı tanımlanarak örneklerle açıklanmıştır.
İlk unsur olan iç ortamın tanımı yapıldıktan sonra, bu unsurun
öğelerinden biri olan yönetim felsefesini açıklamak üzere örnek bir belge
konmuştur. Bu belgede kurumsal risk yönetiminin risk yelpazesinin tümünün
tanımlanması, yönetilmesi ve değerlendirilmesinde kuruma üstün yetenekler
kazandırdığı belirtilmektedir. Risk değerlemesi ve risklere karşılık vermek,
kurumun üst kademe yöneticilerini desteklemek, güvenilirliği güçlendirmek
gibi konularda yönetime destek sağlayacaktır. Tüm personelin stratejinin
geliştirilmesi sırasında risk profilleri oluşturmak, karar verme sürecinde her
risk çeşidini göz önünde bulundurmak, risk profillerinin çıkarılmasında
yönetimi desteklemek, risk ve risk yönetimi konusunda hesap verilebilirliği ve
sorumluluğu üstlenmek ve benzeri şekilde sıralanan uygun davranış
standartlarına uyacağı belirtilmiştir. İkinci bir tabloda “riskle alakalı kültürel
tetkikte ölçülen nitelikler” yöneticilik ve strateji, kişiler ve iletişim, hesap
verilebilirlik ve destek ile risk yönetimi ve altyapı başlıkları altında
incelenmiştir. Daha sonra da ölçümle ilgili bir ankette, bu unsurların her
biriyle ilgili sorulara yer verilmiştir. İç çevre ile ilgili verilen bir başka
uygulama örneği ise davranış kuralları ile ilgili tanımlayıcı yapıyı kurmaya
yönelik hazırlanmış ve kurumun üst yetkilisinin, hedefler ve felsefenin, çıkar
çatışmalarının, ödül – ceza sisteminin, şeffaflığın kurum kaynaklarının,
toplumsal sorumlulukların ve ilgili diğer konuların açıklandığı bir belgedir.
74
İkinci unsur olan hedef koymanın tanımı yapıldıktan sonra, ilk örnek
kurumun misyonunun, hedeflerinin, stratejilerinin, faaliyet, raporlama ve
uyumdan oluşan ilgili hedeflerin neler olduğunun ayrıntılı olarak belirlendiği
bir belgeye yer verilmiştir. İkinci bir örnek kurumun risk kapasitesini ölçmeye
yarayan bir ankettir. Burada sorulan sorularla kurumun ne kadar risk
üstlenmeye hazır olduğu ölçülmeye çalışılmaktadır. Daha sonra bir grafik ile
risk kapasitesinin sınırları gösterilmiştir. Risk kapasitesinin belirlenebilmesi
için gerekli olan yapısal risk artık risk ve risk kapasitesi arasındaki ilişkiler
belirtilmiştir.
Üçüncü unsur; olay tanımlama tanımlanmıştır. Stratejik planlama ve
risk
yönetimi
açısından
misyon
ve
hedeflerle
bağlantılı
olaylar
tanımlanmıştır. Risk yönetiminin en önemli görevi olay tanımlamaktır. Bu
görevde olay genellikle “neyin yanlış gidebileceği”dir. Ancak aynı zamanda
“neyin beklenenden daha iyi gidebileceği” konusunda da alarmda olmak
gereklidir. Olay tanımlamanın yaratıcı aşaması; risk yönetiminin stratejik
planlarda elde edilen bilgi üzerine yayılmaya başlamasıdır. Bir kurum olay
tanımlamak için çeşitli tekniklere başvurabilir. Olay envanter kayıtları,
kolaylaştırıcı seminerler, mülakatlar, soru kitapçıkları ve yoklamalar, süreç
akım analizi, başlıca olay göstergeleri, kayıp olay veri takibi şeklinde
sıralanan bu teknik örnekleri tablolarla gösterilmiştir.
Potansiyel olayları analiz etmek, hedeflerin elde edilmesinde ne kadar
etki edeceklerine karar vermek için olasılık ve etkilerini belirlemek olarak
tanımlanan dördüncü unsur olan risk değerleme öncelikle risk yönetimi
yapılmadan önce riskin olasılığı ve etkisi olarak tanımlanan yapısal riske
uygulanır. Riske verilecek kabullenme, kaçınma, azaltma vb karşılıklar
geliştirildikten sonra, yönetim, riske karşılık verildikten sonra kalan risk olan
artık risk üzerinde düşünür. Yönetimin risk yönetimi sürecini düzenli
raporlaması önemlidir. Bunun için yapısal riskler ve olası etkileri belirlenmeli,
75
sonra çeşitli yöntemlerle değerlendirilmelidir. Örneğin: sonraki çeyreğin
olasılığa göre bilgisayar risklerinin dağılımı olay tanımı değerleme olanakları
ve olasılığa göre tablo halinde değerlemesi, yeni bilgi sistemi yerleştirmenin
risk değerleme tablosu, resmi istatistik analiz teknikleri, niteleyici risk
değerlemesi tasvirleri,
basit risk haritaları, niteleyici olmayan risk
değerlemeleri gibi.
Beşinci unsur tanımlanan ve değerlenen risklere nasıl bir tepki
verilmesi gerektiğinin araştırıldığı riske karşılık vermedir. Yönetim kurumnin
risk toleransı ve risk kapasitesi ile bağlantılı olarak risklere tepki geliştirir.
Bunun için kurum kaçınma, paylaşma, kabullenme veya azaltma gibi risk
karşılığı seçeneklerinin ayrı ayrı tablolaştırılarak hangi riskin hangi karşılığı
göreceğinin yazıldığı basit risk tepki tabloları oluşturabilir, hedefler, olaylar
risk değerlemesi ve risk karşılığının birbiriyle ilişkilendirildiği karma tablolar
kullanabilir veya çoklu risk tepkisi tablolarına başvurabilir.
Altıncı unsur, kontrol faaliyetleri, riske verilen karşılıkların etkin bir
biçimde yerine getirilmesine yardımcı olmak üzere yerleştirilen plan ve
prosedürlerdir. Bunun uygulaması için hedefin belirlendiği, ölçüm biriminin
belirtildiği, hedeflerin, tolerans seviyesinin, risklerin ve riske verilecek
karşılıkların belirtildiği bir tabloda bununla bağlantılı kontrol faaliyetlerinin
neler olduğu teker teker sıralanmıştır.
Yedinci unsur olan bilgi ve iletişimin tanımı yapılmış, bilgi iletişimde
teknolojinin rolünün ne kadar önemli olduğu belirtilmiştir. Daha sonra
kurumun risk yönetimi felsefesinin iletilmesi için neler yapılabileceğinden
bahsedilmiştir ki bunlar; çalışanlara verilen brifingler, politika, standartlar,
prosedürlerin istendiğinde verilmek üzere hazır bulundurulması, yeni olaylar
karşısında
çalışanların
uygun
biçimde
başkalarına
danışmasının
desteklenmesi kurumsal risk yönetimi programının, şirket felsefesinin
oryantasyonlarla anlatılması ve benzeridir. Bunun dışında kurum başkanının
76
hedef ve işleme sürecini anlattığı mesajlar da iletişim için önemli bir araçtır.
Yine iletişim için kurum genelinde kullanılan e-mailler, kurum gazeteleri,
tartışma grupları, kurumsal risk yönetimi tanıtımı yapan broşür ve posterler
gibi çeşitli araçlar kullanılabilir.
Sekizinci ve son unsur, izlemedir. İzleme kurumsal risk yönetiminin
varlığını ve işlerliğini değerleme sürecidir. Gerekli olduğunda düzenlemeler
yapılacaktır. İzleme; normal kurum faaliyetlerinin günlük gözden geçirilmesi
yoluyla yapılabilir. Örneğin yönetim hem faaliyet hem finansal istatistikleri
kapsayan ana iş faaliyetleri göstergelerini raporlayabilir, yönetim riske ne
kadar maruz kalınabileceğine dair konulan limitlerin performansını gözden
geçirebilir. Planlama (hedef ve gelişim ölçeğinin tanımlanması, gelişim
ekibinin tanımlanması ve gelişimi yönetmek için gerekli yetkilendirme,
gelişim planı üzerinde anlaşma...), performanstan (kurumun daire veya
süreç faaliyetlerini anlamak, kurumun risk yönetimi sürecinin nasıl çalışması
için tasarlandığını anlamak, risk yönetimi sürecine kararlaştırılan yöntemleri
uygulamak...) ve faaliyetlerin düzeltilmesi ve raporlamadan (dairenin veya
sürecin elde ettiği sonuçları gözden geçirmek, daireden veya süreçten
yorum veya uygulama planları almak...) oluşan özel değerlemeler yapılabilir.
Değerleme yöntem ve araçları çok çeşitlidir; yoklamalar, anketler, akış
şemaları, risk kontrol matrisleri, kıyaslamalar, bilgisayar destekli denetim
teknikleri, risk ve kontrol öz değerleme seminerleri gibi. Değerleme metodu
seçerken, personelin kullanımına uygun olmasına, belirlenen ölçeğe uygun
olmasına, değerlemenin doğal ve beklenen frekansına uygun olmasına
dikkat edilmelidir.
77
Bütünleşmiş risk yönetimi çerçevesi37
2000 / Kanada hazinesi sekreterliği
Bu çerçeve kanada hükümetinin kamu sektöründe risk yönetimi
uygulamalarını güçlendirmek için geliştirilmiştir. Bunu yaparak bütünleşmiş
risk yönetimi çerçevesi Kanada halkı için şu sonuçların elde edildiğinin altını
çizmektedir: vatandaş odağı, değerler, sonuçlar ve harcama sorumluluğu.
Bu
çerçevenin
tasarlanma
amacı
modern
yönetim
uygulamalarının
yerleştirilmesi ve federal kamu hizmetlerinde yeniliklerin desteklenmesidir.
Bu çerçeve bir kuruma farklı riskleri aynı seviyeye indirerek sürdürülebilirliği
sağlamak, karşılaştırma yapmak ve tartışmak tabanında stratejik risklerin
yönetilmesi için genel bir yaklaşım geliştirir.
Bütünleşmiş risk yönetimi risk yönetimine kıyasla, daha çok kurumun
tümünü
kapsayan
bir
yaklaşımdır.
Bu
yaklaşımla
kurumların
ve
çalışanlarının doğasını daha iyi anlamaları ve riskleri daha sistematik
yönetmeleri sağlanır. Bu dört aşamada gerçekleşir: kurum risk profilini
oluşturmak, bütünleşmiş risk yönetimi fonksiyonu oluşturmak, bütünleşmiş
risk
yönetimi
uygulamak
ve
risk
yönetiminin
sürekli
öğrenildiğini
garantilemek.
Bütünleşmiş risk yönetimi fonksiyonunun yerleştirilmesi:
Bütünleşmiş risk yönetimi fonksiyonunun yerleştirilmesi için risk
konularının içsel olarak anlaşılması ve iletişimin güçlendirilmesi için
tasarlanan ve üst yönetime bir yön çizmek konusunda destek olan risk
yönetimi altyapısı oluşturulmalıdır. Kurum risk profili kurum risk yönetiminin
hedef ve strateji kurması için gerekli verileri sağlar. Etkili olmak için risk
yönetimi kurumun genel hedefleri, kurumun ilgi odağı, stratejik yönü, faaliyet
uygulamaları ve iç kültürü ile uyumlu olmalıdır. Risk yönetiminin etkili
37
http://www.tbs-sct.gc.ca/pubs_pol/dcgpubs/riskmanagement/rmf-cgr-PR_e.asp?printable=True
78
olabilmesi için var olan yönetim ve karar verme yapısına ve
faaliyet ve
strateji seviyelerine yerleştirilmesi gereklidir.
Risk
yönetiminin
rasyonel,
sistematik
ve
aktif
bir
biçimde
yerleştirilmesini garantilemek için bir kurum birbiriyle ilintili üç sonuç
aramalıdır:
•
Risk yönetimi ile ilgili yönetimin yönü (vizyonu, politikaları, faaliyet
prensipleri) ilerletilmeli, anlaşılmalı ve uygulanmalıdır.
•
Bütünleşmiş risk yönetimini yaklaşımının var olan karar verme
yapısına yerleştirilmesi gerekir
•
Kapasite inşa etmek: kurumda kullanılmak üzere geliştirilen
planlar ve araçlar öğrenilmelidir.
Risk yönetiminin uygulanabilmesi için öncelikle kurumun risk yönetimi
vizyonunun, hedeflerinin ve faaliyet kriterlerinin oluşturulması ve iletilmesi
gerekir. Bu araçlar kullanılarak risk yönetiminin herkesin görevi olduğu
anlayışı güçlendirilmelidir. Süreç yerleştirilirken stratejik risk yönetiminin
yönü belirlenmeli, iç ve dış meseleler, bakış açıları ve risk toleransı göz
önünde bulundurulmalıdır.
Risk yönetiminin etkili biçimde uygulanması, var olan karar verme
sürecine dahil edilmesine bağlıdır. İyi yönetimin vazgeçilmez bir unsuru risk
yönetimidir. Uygulamanın başarıyla yerleştirilmesi için yönetim genelinde ve
ilgili
daireler
bazında
yönetimin
geri
beslemesi
için
risk
yönetimi
faaliyetlerinin değerleme ve raporlama mekanizmaları oluşturulmalıdır.
Sonuçlar sürekli olarak izlenmelidir.
Kurumsal kapasite yaratmak bir başka önemli unsurdur. Bu, kurum
risk yönetimini yerleştirdikten sonra bile yönetimi zorlayan bir görevdir.
Çevre taraması ve dikkate değer yeni alanların ve faaliyetlerin dikkate
alınması devam etmelidir. Bu risk yönetimi yeteneğini geliştirir ve
uygulamanın başarı şansını arttırır. Her kurum karşı karşıya olduğu risklere
79
karşı
kendi
kapasite
stratejilerini
belirlemelidir.
Risk
kapasitesinin
belirlenmesi risk profilinin çıkarılması ile daha kolaylaşacaktır. Risk profili
kurumun var olan güçlü ve zayıf yanlarını tanımlar.
Bütünleşmiş risk yönetimi yaklaşımını kuruma yerleştirmek yönetimin
karar vermesi ve güçlü bir bağlılıkla bunu uygulamasına ve kurumsal
hedeflerin gerçekleştirilmesine bağlıdır. İyi bir risk yönetimi uygulamasından
şu sonuçlar beklenir: risk yönetimi sürecinin kurumun her seviyesine
yerleştirilmesi, karar verme, karar vermeye yardımcı olacak araç ve
metotların yerleştirilmesi, sürekli iletişimin sağlanması.
Devamlı bir risk yönetimi süreci kuruma riskleri anlamak, yönetmek ve
iletişimde yardımcı olur. Devamlı risk yönetiminin aşamaları şöyle bir
diyagramla gösterilebilir:
Kilit risk
alanlarını
değerlendirmek
Olayları
tanımlamak,
şartları oluşturmak
Olasılık ve
etkiyi ölçmek
Devamlı öğrenme ve iletişim
İzleme
Değerlendirme
ve
Uyum
Bütünleşmiş risk
yönetimi
uygulaması
Riskleri
önceliklendirmek
Devamlı öğrenme ve iletişim
Strateji
yerleştirmek
Strateji
seçmek
Olasılıklar
geliştirmek
İstenilen
sonuçları
belirlemek
Tablo 3: Bütünleşmiş Risk Yönetim Uygulaması
Sonuç olarak bütünleşmiş risk yönetimi risk yönetimine daha
sistematik ve bütünü kapsayan bir yaklaşımdır. Kurumdaki kişilerin ve
80
yönetimin önemini vurgulayarak dairelerin ihtiyaçlarının ve kişilerin rollerinin
daha açık bir biçimde tanımlanmasını sağlar. Kurumun değerleri, öncelikleri,
alınan dersleri, en iyi uygulamaları temel alan riske yönetimi vizyonunu ve
hedeflerini açıklar.
Risk yönetimi değerleme çerçevesi38
Daireler için bir araç – 2004 / Risk Destek Ekibi, UK Hazinesi
Bu risk kontrol rehberi bir organizasyon içinde risk yönetimi
standartlarının
değerlendirilmesine
yardımcı
olmak
amacıyla
oluşturulmuştur. Amacı, etkin risk yönetimi kapasitesini geliştirmeye ve
sürdürmeye; planlanan sonuçların elde edilmesi ve etkin risk idaresinin
etkisini değerlendirmeye yardımcı olacak esnek bir araç sağlamaktır.
Öncelikle cevaplanması gereken başlıca yedi soru bulunmaktadır:
1- Üst yöneticiler ve bakanlar, risk yönetimi destekliyor mu?
2- Kişiler riski iyi yönetmek için destekleniyor ve donatılıyor mu?
3- Açık bir risk politikası ve stratejisi var mı?
4- Ortaklarla risklerin yönetimi konusunda etkili düzenlemeler var mı?
5- Kurumun süreçleri etkin risk yönetimini içeriyor mu?
Buraya kadar olan sorular kurumun kapasitesi ile ilgilidir.
6- Riskler iyi idare ediliyor mu?
7- Risk yönetimi istenilen sonuçları elde etmeye katkıda bulunuyor
mu?
Bu yedi anahtar soru kurumun türüne ve faaliyet dağılımına göre
genişletilerek yardım sağlar.
38
http://www.hm-treasury.gov.uk./media/17A/81/17A8166B-BCDC-D4B3-16668DC702198931.pdf
81
Etkili risk yönetiminin kuruma yerleştirilmesi için beş seviyeli bir süreç
gereklidir. Bu aşamaların ilki farkında olmak ve anlamaktır. İkincisi risk
yönetimi sürecinin yerleştirme planının yapılmasıdır. Süreç hazırlanır.
Üçüncü aşama planı kilit alanlara enjekte etmektir. Dördüncüsü yerleştirme
ve
geliştirme
aşamasıdır.
Sonuncusu
ise
mükemmel
kapasitenin
yerleştirilmesidir.
Daha iyi uygulama için sistematik olarak toplanan kanıtlarla
bilgilendirilen başlıca yedi soru kullanılabilir. İlk soru önderlikle ilgilidir. “Üst
yöneticiler ve bakanlar, risk yönetimi destekliyor mu?” sorusu yukarıda
belirtilen beş seviyede ayrı ayrı değerlendirilir ve; üst yöneticiler ve bakanlar
kilit riskleri yargılayıp açık bir yön çiziyor mu, dairenin ne kadar risk alacağını
belirleyen risk kapasitesi için kriterler ve düzenlemeler oluşturuyor mu,
girişimi destekliyor mu, risk yönetimi için açık güvenilirliği garanti ediyor mu,
risk yönetiminde yerleştirmenin gelişimini yönlendiriyor mu gibi başlıklar
altında daha ayrıntılı sorularla liderlik değerlendirilir.
İkinci soru risk strateji ve politikaları ile ilgilidir. Açık bir risk yönetimi
stratejisi ve politikası var mı sorusu her beş seviye için de ayrı ayrı
değerlendirilir ve; açık bir risk yönetimi stratejisi var mı sorusu, risk yönetim
stratejisinin yapısını ortaya çıkaran alt sorularla açıklığa kavuşturulur. Aynı
yöntem açık bir risk yönetimi politikası var mı sorusuna da uygulanmalıdır.
Kalan beş soru da yine her seviye için ayrı ayrı incelendikten sonra,
ana soruların altındaki alt sorularla değerlendirilir. “Kişiler riski iyi yönetmek
için destekleniyor ve donatılıyor mu?” sorusunun ana soruları; kişiler kurum
kültürü tarafından destekleniyor ve donatılıyor mu, sorumluluğun dağılımı
açısından yapılan düzenlemeler tarafından destekleniyor ve donatılıyor mu,
personelin
bilinçlenmesini
garantileyen
düzenlemeler
tarafından
destekleniyor ve donatılıyor mu ve uygun risk yönetimi bilgisi, deneyimi ve
yetenekleri edinmelerini garantileyen koşullar tarafından destekleniyor ve
82
donatılıyor mu şeklindedir. “Ortaklarla risklerin yönetimi konusunda etkili
düzenlemeler var mı?” sorusunun ana soruları; ortaklıklarda riskin
tanımlanması, değerlendirilmesi ve yönetilmesi için uygun mekanizmalar var
mı, acil durum planlarının tedarik ve test edilmesi için uygun mekanizmalar
var mı, risk transferi uygulamalarının tanımlanması ve yönlendirilmesi için
uygun mekanizmalar var mı şeklindedir. “Kurumun süreçleri etkin risk
yönetimini içeriyor mu?” sorusu; risk yönetimi kurumun işlem sürecine
tamamen yerleştirildi mi, süreç yenilikleri ve fırsatların tanımlanması ve
ölçülmesini kapsıyor mu, prosedürler risk yönetimi düzenleme-lerinin
etkinliğini garantiliyor ve iyi uygulama imkanı sunuyor mu, risk yönetimi
süreci risk tanımı ve gelişimi aşamalarını, risk değerleme kriterlerini, risk
kontrol mekanizmalarını kapsıyor mu gibi ana sorulardan oluşur. “Riskler iyi
idare ediliyor mu?” sorunsalı; risk yönetimi faaliyeti; stratejik risklerin
yönetimi için etkili öngörüye katkıda bulunuyor mu, etkili karar verme ve
politika yapımına katkıda bulunuyor mu, etkili gözden geçirme ve güvenceye
katkıda bulunuyor mu, etkili planlama ve hedef oluşturmaya katkıda
bulunuyor mu, daha fazla etkinliği destekliyor mu gibi ana soruların
irdelenmesi ile değerlendirilir. “Risk yönetimi istenilen sonuçları elde etmeye
katkıda bulunuyor mu?” sorunsalının alt sorularla değerlendirilen ana
sorularından bazıları ise şunlardır: risk yönetimi faaliyeti başarılı sonuca
ulaşmaya, planlanan finansal sonuçlarla uyuşmaya, kurumun itibarını
yükseltmeye katkıda bulunuyor mu?
83
5.
Kurumsal Risk Yönetiminin Maliye
Bakanlığında Uygulanması
Kurumsal risk yönetimi hakkındaki teorik bilgiler ile bu çerçevenin
uygulaması hakkında detaylı bilgiler ve uygulama örneklerinin anlatılmasının
ardından, bu bölümde bütünleşik bir risk yönetimi modelinin Maliye
Bakanlığında nasıl uygulanabileceğine dair bir öneri sunulacaktır.
Daha önce de belirtildiği gibi kurumsal risk yönetimi; kurumun üst
yönetimi, yönetimi ve diğer personeli tarafından yerine getirilen; kurum
genelinde olan ve strateji oluşturma sırasında dahil edilen; kurumun
hedeflerini elde etmesinde makul bir güvence sağlamak için kurumu
etkileyebilecek potansiyel olayları tanımlamak ve risk kapasitesi içinde
yönetmek amacıyla tasarlanmış bir süreçtir. Kurumsal risk yönetimi,
kurumun misyon ve vizyonu ile hedeflerinin oluşturulduğu ve birbirine
bağlandığı süreçlerin bulunmasını garanti eder ve bunların kurumun risk
iştahı ile uyumlu olmasını sağlar.
Bu tanımdan da anlaşılacağı gibi kurumsal risk yönetimini bir kuruma
yerleştirebilmek için modelin stratejinin oluşturulması aşamasında sisteme
dahil edilmesi gereklidir. Maliye Bakanlığı için en elverişli uygulama için de
böyle bir yöntem uygun olacaktır.
Stratejik Planlama
Kamu kesiminin mali ve idari sorunları dikkate alındığında kamu
idarelerinin faaliyetlerini planlı bir şekilde yerine getirmeleri giderek önem
kazanmaktadır.
Kamu
yönetimi
ve
kamu
mali
yönetimi
reformları
çerçevesinde, makro düzeyde bütçe hazırlama ve uygulama sürecinde mali
disiplini sağlamak, kaynakları stratejik önceliklere göre dağıtmak, bu
84
kaynakların etkin kullanılıp kullanılmadığını izlemek ve bunun üzerine kurulu
bir hesap verme sorumluluğu geliştirmek temel başlıklar olarak ortaya
çıkmıştır.
Stratejik planlama; bir kurumun gelecek yıl veya yıllarda nereye
yöneldiğini, ulaşmayı umduğu hedefleri, oraya ulaşmak için kullanacağı
yöntemleri ve performansının ölçütlerini belirlemek için kullandığı süreçtir.
Bu planlama sürecinin nihai ürünü; kurumun genel planını paydaşlarına,
yönetimine ve çalışanlarına ileten ve kuruma günlük faaliyetlerinde yol
gösteren stratejik plandır39. Dahası stratejik planlama uzun dönemli planlar
ve bu planlara ulaşmak için pratik yollar belirleme üzerine odaklanır. Dönem
uzadıkça riskler ve fırsatlar anlamındaki belirsizlik artar. Riskler ve fırsatlar
zamanla değiştiğinden yönetim plan ve süreçlerini buna uyarlamalıdırlar. Şu
halde Maliye Bakanlığının kurumsal risk yönetimini oluşturabilmesi ve
yerleştirebilmesi için stratejik planı yapma aşamasında risklerini tespit
etmesi gerekmektedir.
Türkiye’de kamu kurumlarında stratejik planlar yapılırken Devlet
Planlama Teşkilatının yayımladığı “Stratejik Planlama Klavuzu” temel
alınmaktadır. Aşağıdaki kısımda bu rehberin çizdiği yöntem üzerinden
stratejik planlama aşamaları anlatılmakta ve bu aşamalarda risk yönetiminin
yerinin ne olacağına dair ipuçları verilmektedir.
Stratejik planlama bir kurumun hedeflerine ulaşmak için çizdiği bir yön
olduğuna göre öncelikle kurumun o hedefe giderken nereden yola çıktığını
bilmesi gerekir. Kurum nerede bulunduğunu belirlemek için plan ve
programlarını inceler, paydaş analizleri yapar ve kendi güçlü ve zayıf
yönlerini bulmak, karşılaşacağı fırsat ve tehditleri araştırmak için SWOT
analizi yapar. (Tam bu noktada, aslında kurum risk planını oluşturmak için
temel verileri de elde etmiş olur. Bu konuya daha sonra değinilecektir.)
39
James K. Kincaid, William J. Sampias, Albert J. Marcella, CSSA Certificarion in Control
SelfAssessment, Florida, 2004. s. 111
85
Kurum nerede olduğunu tespit ettikten sonra nereye ulaşmak
istediğine karar vermelidir. Bunun için var oluş gerekçesini bir misyon ifadesi
ile ortaya koyar ve temel ilkelerini belirler. Gelecekte nerede bulunmak
istediğini bir vizyon ifadesi ile duyurur. Orta vadede ulaşılabilecek amaçlarını
ve somut, ölçülebilir hedeflerini belirler.
Bulunulan nokta ve varılmak istenen nokta tespit edildikten sonra
varılmak istenen noktaya nasıl gidileceğine dair bir yol haritasının çizilmesi
gereklidir. Risklerin, kurumun varmak istediği hedefe ulaşmasının önündeki
engeller olarak özetlenebileceği göz önüne alınırsa, bu engellerin kurumu
nasıl etkileyeceğinin tespiti ve bunların etkilerinin nasıl en aza indirileceği ile
ilgili bir sürecin kuruma yerleştirilmesinin önemi daha da açık biçimde ortaya
çıkmaktadır. Stratejilerin belirlenmesi aşaması olan bu aşamada risklerin
nasıl yönetileceğine de karar vermiş olmak gerekir. Stratejilerin yerine
getirilmesi için faaliyetler ve projeler tanımlanır. Böylelikle detaylı iş planları,
maliyetlendirme, performans programı ve bütçe kurumun hedeflerine uygun
olarak ortaya çıkarılır. Tüm bu faaliyetlerle birlikte kurum artık hedefine nasıl
ulaşacağını da belirlemiş olur.
Son aşama başarının takip edilmesi aşamasıdır. Başarının takip
edilmesi sonuçların ve diğer konuların raporlanması ile kurumun en iyi
durumda olan benzer bir kurumla karşılaştırılmasını da içeren izleme
faaliyetleriyle performans ölçme ve değerlendirmeyi kapsar. Performans
ölçme ve değerlendirme aşamasında geri bildirim, ölçme yöntemleri,
performans göstergeleri, uygulamaya yönelik ilerleme ve sonuçların
değerlendirilmesi gibi araçlarla kurumun geldiği noktanın gelmek istediği
nokta olup olmadığı araştırılır.
Maliye bakanlığında risk yönetiminin oluşturulabilmesi için tüm bu
stratejik plan aşamalarında risk odaklı olarak düşünmek ve risk yönetimi
86
mekanizmalarının stratejik plan unsurlarıyla örtüşecek şekilde kuruma
yerleştirmek gerekir.
Stratejik Planla Uyumlu Risk Yönetimi
Daha önce de belirtildiği üzere stratejik plan kurumun hedeflerinin ve
bu hedeflere ulaşmak için bir yol haritasının belirlendiği bir dokumandır. Risk
yönetimi ise kurumun hedeflerine ulaşması üzerinde etkili olabilecek
belirsizliklerin tespit edilmesi ve bu belirsizliklerin kurumun yolundan
sapmamasını garantileyecek biçimde yönetilmesi anlamına gelmektedir. Bu
iki tanım birlikte ele alındığında stratejik plan yapılırken risk planının da
oluşturulması gerektiği açıkça ortaya çıkmaktadır. Bu risk planı Maliye
Bakanlığının stratejik risklerini ele alacak ve Bakanlığın belirlediği hedeflere
ulaşmasında üst yönetime yardımcı olacaktır.
Risk iştahı geniş anlamda, bir kuruluşun hedeflerinin peşinde
koşarken üstlenmeyi arzuladığı risk seviyesidir. Yönetim, kurumun risk
iştahını önce stratejik alternatiflerini değerlendirirken, daha sonra da seçilen
strateji ile alakalı hedefleri oluştururken ve bunlarla ilgili riskleri yönetmek
için mekanizmalar geliştirirken göz önünde bulundurur. Bir başka deyişle
stratejik plan yapılırken ve hedefler belirlenirken risk iştahının seviyesi buna
eşlik eder. Bu seviye kurum stratejik planını yaparken belirleyeceği
hedeflerin neler ve nereye kadar olması gerektiğine de yön verir.
Maliye Bakanlığının misyon ve vizyon bildirileri zaten mevcuttur.
Vizyon ve Misyon tanımladıktan sonra ancak hedefler tanımlanmadan önce
hedefleri etkileyebilecek iç ve dış faktörleri belirlemelidir. Durum analizi
süreci SWOT (Güçlü Yönler, Zayıf Yönler, Fırsatlar ve Tehditler) Analizi
olarak bilinir. Risk yönetiminin yapılabilmesi için kurumun durum analizi
yapılırken risklerin de göz önüne alınması gereklidir.
87
SWOT Analizi
Genel anlamda SWOT, kuruluşun kendisinin ve kuruluşu etkileyen
koşulların sistematik olarak incelendiği bir yöntemdir. Bu kapsamda,
kuruluşun güçlü ve zayıf yönleri ile kuruluş dışında oluşabilecek fırsatlar ve
tehditler belirlenir. İki analiz yapılır; kuruluş içi analiz ve çevre analizi.
Kuruluş içi analiz, kurumun mevcut durumunu ve geleceğini
etkileyebilecek, iç ortamdan kaynaklanan ve kuruluşun kontrol edebildiği
koşulların ve eğilimlerin incelenerek güçlü ve zayıf yönlerin belirlenmesi ve
değerlendirilmesidir. Güçlü yönler kuruluşun amaçlarına ulaşması için
yararlanılabileceği olumlu hususlardır. Zayıf yönler ise kuruluşun başarılı
olmasına engel teşkil edebilecek eksiklikler, diğer bir ifadeyle, aşılması
gereken
olumsuz
hususlardır.
Belirlenecek
güçlü
yönler
kuruluşun
hedeflerine, zayıf yönler ise kuruluşun alacağı tedbirlere ışık tutacaktır.40
Kuruluş içi analizde çeşitli unsurlar değerlendirilir. Bu unsurların
değerlendirmesi
risk
bakış
açısıyla
yapılmalıdır.
Devlet
Planlama
Teşkilatının yayımladığı kılavuz bu unsurları kuruluşun yapısı, beşeri
kaynaklar, kurum kültürü, teknoloji ve mali durum olarak sıralamıştır.
Bu unsurlar aynı zamanda kurumun hedeflerine ulaşmasına da engel
olabilecek ya da bunu kolaylaştırabilecek unsurlar olduğundan kurumun
içinden kaynaklanan riskler ve fırsatların da birer göstergesidir. Risk
yönetimi için bir plan oluşturulurken bunlar başlangıç verilerini oluşturacaktır.
Çevre analizi, kuruluşun kontrolü dışındaki koşulların ve eğilimlerin
incelenerek, kuruluş için kritik olan fırsat ve tehditlerin belirlenmesidir. Daha
önce de belirtildiği üzere fırsatlar, kuruluşun kontrolü dışında gerçekleşen ve
kuruluşa avantaj sağlaması muhtemel olan etkenler ya da durumlardır.
40
Stratejik Planlama Kılavuzu. age
88
Tehditler ise, kuruluşun kontrolü dışında gerçekleşen, olumsuz etkilerinin
engellenmesi veya sınırlandırılması gereken unsurlardır.
Çevre analizinde; kuruluşu etkileyebilecek dışsal değişimler ve
eğilimler değerlendirilir. Analiz kapsamında, ekonomik, sosyal, demografik,
kültürel,
politik,
çevresel,
teknolojik
ve
rekabete
yönelik
etkenlerin
belirlenmesi gerekir.
Stratejik plan oluşturulurken engellenmesi veya sınırlandırılması
gereken unsurların sadece belirlenmiş olması, etkilerinin sınırlandırılması ya
da yapılabiliyor ise yok edilmesi adına herhangi bir adım atılmayacak ise bir
anlam ifade etmemektedir. Bu nedenle stratejik planın diğer aşamaları
devam ederken risk yönetimi için bir plan oluşturulmaya da başlanmalı ve bu
iki çalışma stratejik seviyede eşanlı olarak devam etmelidir.
Hedef Belirleme
Stratejik plan hazırlama sürecinde SWOT analizinden sonra kurumun
hedefleri
belirlenir.
Hedef
belirleme;
misyon,
vizyon
ve
değerler
tanımlandıktan ve hedef belirlemeyi etkileyebilecek iç ve dış faktörler analiz
edildikten sonra yapılmalıdır. Önceden değinildiği gibi hedefler bir kurumun
gayesini ve misyonunda, vizyonunda ve değerlerinde belirtilen ideallerini
yerine getirmek amacıyla ulaşmak zorunda olduğu amaçlardır. Bir kurumun
politikaları,
prosedürleri,
stratejileri,
öncelikleri
ve
çabası
doğrudan
hedeflerine ulaşmak doğrultusunda olmalıdır. Bu nedenle hedefleri açık,
pratik, ölçülebilir ve erişilebilir aynı zamanda paydaşları kurumu çabasında
desteklemeleri için motive ve ikna etmeye yetecek kadar etkileyici ve
geleceğe yönelik olarak belirlemek önemlidir.
Kurumun risk yönetimi ile ilgili çalışmalar devam ederken tespit edilen
hedeflerin de dikkate alınması gerekir. Her hedef için o hedefe ulaşmayı
89
engelleyebilecek durumların belirlenmesi sağlanmalı, yani her hedefe denk
gelecek risklerin tespit edilmesi garantilenmelidir.
SWOT analiziyle muhtemel risk alanları belirlendikten ve hedefler
koyulduktan sonra risklerin nasıl yönetileceğine ilişkin planın oluşturulması
aşamasına geçilir. Burada beyin fırtınası, arama konferansları ve anketler
gibi yöntemlerle hedeflerin önündeki risklerin tanımlanması söz konusudur.
Beyin Fırtınası
Beyin fırtınası belirli bir konuda çözüm arayışına yönelik grup
tartışması sırasında yaratıcılığı artırmak için kullanılan yöntemlerden biridir.
Yöntem, çözüm arayışında çözüm önerisi veya önerilerinin tartılıp
değerlendirilmesinden ziyade olabildiğince çok sayıda çözüm üretimine ve
ortaya konmasına dayanmaktadır. Temel varsayım, bir grupta, belirli bir
problem hakkında ne kadar çok fikir, ne kadar çok çözüm önerisi ortaya
atılırsa, söz konusu probleme en uygun çözümü bulma olasılığı o kadar
artacağıdır.
Yöntemin uygulanışında birkaç hususa dikkat edilir. Birincisi, grup
tartışmasına katılan üyelerin hiç çekinmeden ve değerlendirilme kaygısı
olmadan, zihinlerinden geçen önerileri ortaya koymaları ve önerileri
maksimum kılmak esastır. İkincisi grup üyelerince ortaya atılan hiç bir öneri
eleştirilemez, zira amaç değerlendirme değil, öneri sayısını artırmadır.
Üçüncüsü, üyelerce önerilen tüm öneriler kişilere değil, gruba aittir ve grup
tarafından geliştirilip kullanılabilir. Kişisel görüşlerin toplanmasından sonra,
öneriler rasyonel bir yöntemle değerlendirilir.
Daha önceki aşamada SWOT analizi sırasında tespit edilen konuların
ne tür risk ve fırsatlar oluşturduğunu tespit etmek için yaratıcı bir çalışma
tarzına ihtiyaç vardır. Beyin fırtınası kullanılarak bu unsurlar ele alınmalıdır.
90
Kurum içi analiz sırasında tespit edilen konular tek tek incelenmelidir.
Kuruluşun yapısı ile ilgili; Maliye Bakanlığının örgüt yapısının ne gibi bir risk
oluşturabileceği, ya da ne gibi fırsatlar sağlayacağına dair fikirler ileri
sürülmelidir. Bakanlıkta aynı ya da benzer görevleri yapan birimlerin
varlığının ne gibi sıkıntılara yol açabileceği ve yetki çakışmalarının hangi
alanlarda ne gibi riskler doğurabileceği tespit edilmelidir. Bakanlığın
yapısında ve görev alanlarında yapılan değişikliklerin etkilerinin ne olacağı,
5018 sayılı kanunun gerektirdiği kurumsal yapı değişikliklerinin Maliye
Bakanlığı açısından hangi riskleri ve/veya fırsatları yaratacağı, Bakanlığın
izleme ve değerlendirme sisteminin hangi riskleri ortaya çıkarmakta yeterli
olduğu, hangilerini kapsamadığı gibi konular üzerinde durulmalıdır.
Beşeri kaynaklar unsuruyla ilgili; Bakanlığın personel sayısı ve
bunların dağılımı üzerinde durulabilir. Hangi alanlarda personel fazlası var
ve bu durum ne gibi riskler doğurur, birimlerin personel sayılarının hedeflere
ulaşmak üzerindeki etkileri nelerdir, personelin eğitim düzeyi, yeterliliği ve
deneyimi yeterli midir, yetersiz ise bunun kuruma zararları nelerdir gibi
açılımlar üzerinden fikir yürütülebilir.
Kurum kültürüyle ilgili; Bakanlıktaki iletişim ve karar alma süreçlerinin
durumu ve bu süreçlerin güçlü mü zayıf mı olduğuna dair değerlendirme
SWOT analizi sırasında yapıldığına göre eğer bu süreçler Bakanlığın zayıf
yönünü oluşturuyor ise beyin fırtınasında Bakanlığın iletişimin zayıf olması
veya karar alma süreçlerinin problemli olması nedeniyle ne gibi risklere
maruz kalacağı tartışılabilir. Yine Bakanlığın gelenekleri ve değerleri de risk
bakış açısıyla değerlendirilmelidir.
Teknoloji ile ilgili konularda Bakanlığın teknolojik altyapısının ve
Bakanlıktaki insanların teknolojiyi kullanma düzeylerinin etkileri üzerinde
durulmalıdır.
91
Mali durum ile ilgili olarak bütçe, mali kaynaklar ve Bakanlığın araç,
bina envanterleri ve diğer varlıkları konuları tartışılabilir.
Kurumun en kolay yönetebileceği riskler muhtemelen kurum içinden
kaynaklanan risklerdir, çünkü bunların gelişimi üzerindeki etkinliği oldukça
fazladır. Ancak riskler sadece kurumun faaliyetlerinden ve durumundan
kaynaklanmaz. Dış çevre ve bu dış çevredeki sürekli değişim kurum için her
gün biraz daha büyüyen risklere maruz kalmak anlamına gelmektedir. Bu
risklerin neler olduğuna dair de bir beyin fırtınası düzenlenmelidir. Bu
çalışma sırasında yine SWOT’un çevre analizinde saptanan unsurlar
kullanılabilir. Beyin fırtınası sırasında ortaya çıkabilecek diğer risk unsurları
da dikkate alınmalıdır. Beyin fırtınasında kurumun faaliyet gösterdiği dış
ortamdan
kaynaklanabilecek
riskler
şu
alanlardan
kaynaklanabilir;
Bakanlığın faaliyet alanında dünyadaki durum ve gelişmeler, bakanlığın
faaliyet alanında ülkemizdeki durum ve gelişmeler, dünyada ve ülkemizdeki
temel eğilimler ve sorunlar arasında Bakanlığı yakından ilgilendiren kritik
konular ve bu konuların Bakanlığı nasıl ve ne yönde etkileyeceği, Bakanlığı
ilgilendiren mevzuattaki değişmeler ve bu değişikliklerin etkileri.
Burada tespit edilen riskler kısa-orta-uzun dönemli meseleler olarak
sınıflandırılır.
Anketler
Kurumun karşılaşabileceği risklerin tespitinde SWOT analizinin yanı
sıra anketler de düzenlenebilir. Bir kurumun sorunlarını ve muhtemel
risklerini o kurumda çalışanlar daha fazla fark ederler. Belirli teknikler
kullanılarak hazırlanan anketler bu risklerin tespit edilmesinde kullanılabilir.
92
Büyük ve karmaşık kurumlar için tercih edilen bir yöntem olan anket,
2141 birimi bulunana Maliye Bakanlığı için de uygun bir seçenek olacaktır.
Anketlerde sorular zaman boyutu dikkate alınarak hazırlanmalıdır. Risklerin
stratejik seviyede değerlendirilmesi aşamasında olunduğundan kurumun
uzun vadede karşılaşacağı belirsizliklere ilişkin bilgi toplanması esastır. Bu
nedenle de stratejik risklerin belirlenmesi aşamasında yapılacak anket
çalışmasının
birim
sorumlularına
uygulanması
gereklidir
ki
maliye
bakanlığında bunlar daire başkanları, kurum başkanları, genel müdür
yardımcıları ve genel müdürlerdir.
Sorular belli bazı kurallar dikkate alınarak hazırlanmalı, stratejik
riskleri ortaya çıkarabilecek kalitede olmalıdır. Sorular hazırlanırken dikkat
edilmesi gerekenleri şöyle sıralayabiliriz:
•
Sorular olumlu olmalıdır
•
Sorular kısa ve net olmalıdır.
•
Sorular
serbest
bir
jargonda
olmalıdır,
teknik
terimler
kullanılmamalıdır ve Bakanlığın kültürünü taşımalıdır.
•
Sorular soyut, muğlak ve klişe olmamalıdır.
•
Sorular değerlendirilen kontrol kategorileri tarafından düzenlenmelidir
(kontrol ortamı, risk değerlendirmesi gibi).
•
Sorular belirli cevaplar için katılımcıları yönlendirmemelidir.
•
Çok fazla soru olmamalıdır
41
Maliye Bakanlığının Birimleri: Maliye Teftiş Kurulu Başkanlığı, Hesap Uzmanları Kurulu
Başkanlığı, Mali Suçları Araştırma Kurulu Başkanlığı, Bakanlık Müşavirleri, Vergi Konseyi, Strateji
Geliştirme Başkanlığı, Mali Suçlarla Mücadele Koordinasyon Kurulu, İç Denetim Birimi, Özel
Kalem Müdürlüğü, Baş Hukuk Müşavirliği ve Muhakemat Genel Müdürlüğü, Bütçe ve Mali Kontrol
Genel Müdürlüğü, Muhasebat genel Müdürlüğü, Milli Emlak Genel Müdürlüğü, Avrupa Birliği ve
Dış İlişkiler Dairesi Başkanlığı, Personel Genel Müdürlüğü, Maliye Yüksek Eğitim Merkezi
Başkanlığı, İdari ve Mali İşler Dairesi Başkanlığı, Bilgi İşlem Dairesi Başkanlığı, Basın ve Halkla
İlişkiler Müşavirliği, Savunma Sekreterliği
93
Arama Konferansı
Arama konferansı ortak akıl yaratmayı amaçlayan katılımlı bir
planlama metodolojisidir. Bir grup iddia sahibi (stakeholder), metodolojinin
ön gördüğü mantık içersinde en ideal gelecekleri ortaya çıkartacak yaratıcı
stratejileri, işbirlikçi bir tutumla tasarlarlar.
Ortak görüş yaratmayı, ortak sorunlara çözüm bulmayı, daha iyiye
ulaşmak, gelişmek için neler yapılması gerektiğini belirlemeyi ve ortak
hedefler seçmeyi sağlayan bir çalışma düzenidir. Klasik olmayan konferans
düzeni içinde, ortak akıl aramak üzere 40 dolayında "iddia sahibini" 2,5-3
gün süre ile bir araya getirir. İddia sahipleri, konu ile ilgili, o konuda çalışıp
bir tecrübe kazanmış karar vericiler ve bilgi birikimi olan kişiler diye
tanımlanır. Aranan şey ortak akıldır. Burada ele alınacak konular beyin
fırtınası sırasında tespit edilmiş olan ve anketlerden derlenen risklerin
meydana gelme ihtimalleri ve eğer meydana gelirlerse Maliye Bakanlığını ne
kadar etkileyecekleridir.
Katılımcıların birbirlerini ikna ederek geliştirecekleri ortak akıl arama
konferansının her aşamasında aranır ve bulunur. Klasik konferans
düzenlerinde bir veya birkaç kişi çıkıp belirli konuları anlatır ve geri kalanlar
dinler; arama konferansında ise, tam tersine, katılanların tamamı bir düzen
içinde konuşarak bir sonuca ulaşır.
Arama konferansının amacı, normal olarak direkt ilişkide bulunmayan
kişileri bir araya getirip, onları katılımlı bir tasarım ve problem çözme süreci
içine sokmasıdır. Toplantı, büyük gruptan küçük gruplara bölünerek, organik
bir şekilde, konferans görevini bitirinceye kadar çalışır42. Sonuçta Bakanlığı
etkileyecek olan risklerin neler olduğu ve bunların önem derecesi tespit
edilmiş, risklerin bir öncelik sırasına sokulması sağlanmış olur.
42 http://www.me.metu.edu.tr/oda2k/aconfgen.htm
94
Stratejik Risk Planı
Stratejik plan çalışmalarıyla eşanlı başlayan kurumsal risk yönetiminin
oluşturulması süreci Bakanlığın misyon ve vizyonunun belirlenmesi ile
şekillenir. Misyon ve vizyonun ardından yapılan durum analizi kurumun
hangi konumda bulunduğunu belirler. Buradan hareketle stratejik plan
kurumun ulaşmayı hedeflediği noktaya gidişiyle ilgili stratejileri belirlerken
risk yönetimi çalışmaları ile de o noktaya varılmasının garantilenmesi
sağlanmalıdır. Durum analizinin ardından hedefler konur. Her hedefin
kendine ait riskleri vardır. Durum analizinden elde edilen sonuçlar da dikkate
alınarak ve anket, beyin fırtınası gibi yöntemlerle her hedefe karşılık gelecek
bu riskler tespit edilmelidir. Bu tespitler sonucu risk matrisleri oluşturulur.
Böylece her hedefin risk(ler)inin belirlenmesi garantilenmiş olur:
Risk 1
Hedef 1
Risk 2
Risk 3
Risk 4
Risk 5
Risk 6
X
X
X
Hedef 2
X
X
Hedef 3
X
X
Hedef 4
Tablo 4: Risk Matrisi
Tespit
edilen
bu
riskler
değerlendirilir.
Bunarın
gerçekleşme
olasılıkları ve gerçekleşirse Bakanlığı ne kadar etkileyecekleri saptanır. Bu
değerlendirme
sonucu
her
risk
puanlanır
ve
önceliklendirilir.
Bu
önceliklendirmede daha önce bahsedilen risk haritaları kullanılabilir:
Şekil 8: Basit
risk/tolerans matrisi
95
Bakanlığın risklere tolerans düzeyi de belirlenmiş olduğundan artık
stratejik seviyede, hangi risklerin yönetileceğine dair süreç tamamlanmış
olur. Stratejik planla eş zamanlı olarak Bakanlığın risk planı da çıkartılmış
olur. Stratejik risk planı stratejik plan formunda bir belge olmayabilir. Risk
yönetiminin kurulması aşamalarında yapılan çalışmalar, alınan sonuçlar ve
yapılan değerlendirmeler Bakanlığın risk planını oluşturacaktır. Ayrıca
stratejik plan ile risk planı arasında çok önemli bir fark vardır; stratejik plan
deklare edilir, basılır ve kamuya açıktır. Risk planı ise kuruma özeldir ve
kamuya açık değildir. Stratejik risk planının oluşturulması ile kurumsal risk
yönetiminin Bakanlıkta yapılanmasında kritik aşama tamamlanmış olur.
Son olarak şunu belirtmekte fayda görülmektedir: stratejik risk planları
statik olma eğilimindedir. Stratejiler uzun dönemlidir, Maliye Bakanlığında
beş yıllık bir perspektifle stratejik plan çıkarılmaktadır. Stratejik planla eş
zamanlı olarak hazırlanacak olan stratejik risk planları da bu dönemi
kapsayacaktır. Ancak kurumun faaliyet gösterdiği ortam ve özellikle de
yürürlüğe giren 5018 sayılı mali kanunun getirdiği reform nitelikli yenilikler ile
Bakanlığın iç ortamı sürekli değişmektedir. Sürekli değişim karşı karşıya
olunan risklerin de sürekli değiştiği, etkilerinin ve olasılıklarının ilk ölçümlere
göre farklılaştığı ve stratejik risk planı yapıldığı sırada var olmayan yeni
risklerin ortaya çıktığı anlamına gelmektedir. Bu değişimi yönetmek için
anahtar unsur aktivitelerdir. Risk planlarının stratejik seviyeden operasyonel
seviyeye taşınabilmesi gereklidir. Bu seviyedeki aktivitelerin değişen
koşullara adaptasyonu kolaydır ve risk yönetiminde günlük risklerin
değişimine uyarlanabilir ki gündelik riskler nihayetinde stratejik risklere temel
oluşturur.
96
6.
Sonuç
Görüldüğü üzere kurumsal risk yönetimi çok karmaşık ve zorlu bir
yapıdır. Böyle bir yapının uygulamaya sokulması oldukça fazla çaba ve
kararlılık gerektirmektedir. Kurumun tamamı üzerinde etkisi olacak şekilde
tasarlanmalı ve uygulanmalıdır. Şunu da belirtmek gerekir ki bu sistemle ilgili
etkili bir model bulunmaktadır ancak bu modelin her kurumda kusursuz
işlemesi beklenemez. Sonuçta model genel bir çerçeve oluşturur. Bu, genel
çerçevenin alınarak kuruma uygun biçimde düzenlenmesi, kurumun kendi
özel yapısına, hedeflerine ve ihtiyaçlarına cevap verir hale getirilmesi
gereklidir.
Tüm bu zorluklara rağmen kurumsal risk yönetimi bir kurumda etkili
bir şekilde işlemeye başladığında kurumun ulaşmayı hedeflediği amaçların
önündeki birçok engel kaldırılmış ve belirsizlikler daha açık hale gelmiş
olacaktır. Bu, başarının anahtarıdır.
Bu çalışmada kurumun başarısı açısından bu kadar büyük öneme
sahip olan kurumsal risk yönetimi üzerinde durulmuştur. Öncelikle riskin
tanımı yapılmış, kısaca risk yönetiminin tarihsel gelişiminden bahsedilmiştir.
Risk yönetiminden kurumsal risk yönetimine geçişle ilgili bilgi verilmiştir.
Ardından kurumsal risk yönetimi ile ilgili en kapsamlı ve yaygın model olan
COSO-ERM
modeli
açıklanmıştır.
Kurumsal
risk
yönetiminin
nasıl
uygulanacağına dair genel yöntem incelendikten sonra yurtdışında bu
sistemi uygulayan ülkelerden örnekler verilmiştir. Son olarak Maliye
Bakanlığında bu sistemin nasıl kurulabileceğine dair bir öneri sunulmuştur.
97
Kaynaklar
A Code of Practice for Risk Assessment in the Department of Physics –
Advanced Techniques, 2001
http://www.phy.cam.ac.uk/cavendish/hands/cops/RAcopAdv.pdf
A Risk Management Standard, Airmic, IRM, UK 2002
http://www.theirm.org/publications/documents/Risk_Management_Standard
_030820.pdf
Agency Risk Management and Internal Control Standards, Commonwealth
of Virginia Office of the Comptroller, Virginia, US 2006
Agency Risk Management and Internal Control Standards Implementation
Tools, Commonwealth of Virginia Office of the Comptroller, Draft, Virginia
US, To be issued 2005
Applying COSO’s Enterprise Risk Management — Integrated Framework,
ECIIA, 2005
http://www.iiacyprus.org.cy/conference/Presentations%20PDF/Plenary/A%2
0-%20Larry%20Rittenberg_COSO%20ERM.pdf
Applying COSO’s Enterprise Risk Management — Integrated Framework,
The IIA
www.theiia.org
Applying COSO’s Enterprise Risk Management — Integrated Framework,
The IIA, 2004
http://www.theiia.org
98
Are we ready for Enterprise Wide Risk Management?
http://www.picpa.com.ph/articles/erm.pdf
Assessing Risks and Internal Controls / A training presentation for process
owners
http://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Cont
ent/COSOAssessingRisksandInternalControls!OpenDocument
ATTEBERRY, Mick ve Ron WOERNER. Security Risk Management,
Nebraska, 2005
http://www.certconf.org/presentations/2005/files/TA2.pdf
BOHN, Christopher (Kip), Enterprise Risk Management Quantification – An
Opportunity, Chicago USA 2006
BOWLING, David M. ve Lawrence A. RIEGER. Making Sense of COSO’s
New Framework for Enterprise Risk Management, Bank Accounting and
Finance 2005
http://www.msmr.com/crowe/Publications/pdfs/Making%20Sense%20of%20
COSOs%20New%20Framework%20for%20ERP_BAF_March%202005_FIN
AL.pdf
CAREY, Mark. COSO Enterprise Risk Management Framework Comments,
2003
http://www.delcreo.com/delcreo/free/docs/COSO%20ERM%20Framework%
20DelCreo%20Comments.pdf
COHEN, Fred. Risk Management and COSO, Telebriefing of March 28-29,
2006
http://all.net/Talks/2006-03-28-COSO.pdf
99
Corporate Governance Risk Management Integrated Tool, The Conference
Board of Canada, Canada
COSO’s Enterprise Risk Management (ERM) Framework
www.fei.org
CRAWFORD, David B. ve Justina CRAWFORD. The Enterprise Risk
Management Process in Higher Education, Texas USA
http://www.txstate.edu/audit_compliance/files/extended_erm.ppt#256,1,The
EnterpriseRiskManagementProcessinHigherEducation
DeLOACH,
James
W.
Enterprise
Risk
Management:
Practical
Implementation Ideas, Protiviti Inc. 2005
http://www.protiviti.com/portal/site/pro-us/#No.17
DiNAPOLI, Thomas P. Standards for Internal Control in New York State
Government, New York, US 2007
DYKE, Randy Van. Internal Control Under Microscope, Business Officers
Meeting, 2006
Enterprise Risk Analysis, University of Minnesota
http://www1.umn.edu/audit/Word%20Docs/Enterprise%20Risk%20Analysis.
pdf
Enterprise Risk Assessment
www.seattle.gov/audit/training_files/enterprise_risk_assessment.ppt
Enterprise Risk Management – By the Numbers
http://efocusbanking.accumepartners.com/articles/ERM_Lead%20Article_507.pdf
100
Enterprise Risk Management - Integrated Framework, COSO, Jersey City,
2004
Enterprise Risk Management / Take a Close Look at COSO’s New Internal
Control Framework
http://www.nysica.com/docs/coso-erm.ppt
Enterprise Risk Management Corporate Business Risk Planning Risk
Management Model, The City of Edmonton, 2005
http://www.edmonton.ca/citygov/Auditor/Admin/ERM-CBRP%20Model%20%20Sept%2005v2.pdf
Enterprise Risk Management Framework, University of Regina, November
2006
http://www.uregina.ca/presoff/vpadmin/policymanual/general/Enterprise%20
Risk%20Management%20Framework.pdf
Enterprise Risk Management Guideline, Risk Management Branch,
Government of British Columbia, 2006
http://www.fin.gov.bc.ca/pt/rmb/ref/RMB_ERM_Guideline.pdf
Enterprise Risk Management Practical Implementation Advice, Proviti Inc.
USA, 2006
http://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/dce93ca8c
1f384d6862571420036f06c/c3e7954610c1f00e882571c00081a9ac/$FILE/T
he%20Bulletin%20Issue%206%20Volume%20II%20%20Enterprise%20Risk%20Management.pdf
Enterprise Risk Management Specialty Guide August 30, 2005
http://www.soa.org/professional-interests/files/pdf/SPG0508ERM.pdf
101
Enterprise Risk Management Specialty Guide, 2006
http://www.soa.org/library/professional-actuarial-specialty-guides/enterpriserisk-management/2005/august/spg0605erm.pdf
Enterprise Risk Management Tools and Analytics, Annual Meeting and
Exhibit, New York USA, 2004
http://www.soa.org/files/pdf/rsa04v30n360ts.pdf
Enterprise Risk Management, an Emerging Model For Building Shareholder
Value
http://www.kpmg.com.au/aci/docs/ent-risk-mgt.pdf
Enterprise Risk Management: Corporate Planning Risk Management, Office
of the City Auditor Edmonton 2005
http://www.edmonton.ca/citygov/Auditor/2005Reports/05142_Enterprise_Ris
k_Management.pdf
Enterprise-Wide Risk Management /Top 10 Things Everyone should know
about Enterprise Risk Management, Information Systems Audit and Control
Association,
http://www.isacavictoria.ca/presentations/Feb%2006%20Steele%20Enterpri
se%20risk%20management.ppt
FIKIRKOCA, Meryem. Bütünsel Risk Yönetimi, Ankara 2003
Frequently Asked Questions COSO’s Enterprise Risk Management
Framework, 2004
www.coso.org
102
Guide to Enterprise Risk Management / Frequently Asked Questions, Proviti
Inc. USA, January 2006
http://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/dce93ca8c
1f384d6862571420036f06c/68b89bbeb26f039c882571c00081a39f/$FILE/E
RMFAQGuide.pdf
Guidelines for Internal Control Standards for the Public Sector, Internal
Control Standards Committee, Brussels Belgium
http://www.intosai.org
Guidelines For Managing Risk in The Western Australıan Public Sector,
Ministry Of The Premier And Cabinet, The Government Of Western
Australia, 1999
HAGARA, Kimberly ve Toni MESSER. Enterprise Risk Management, The
University of Texas
http://caseiv.org/conference/2007/presentations/adv-svcs-risk.pps
HEVESI, Alan G. Standards for Internal Control in New York State
Government, New York, US 2005
HUBBARD, Larry. Enterprise Risk Management: Integrated Framework / A
COSO-Based Approach, 14th Annual NYS Leadership & Accountability
Conference
www.osc.state.ny.us/agencies/ictf/docs/hubbard_erm.ppt
Integrated Management of Risk Framework, Indian and Northern Affairs
Canada 2002
http://www.ainc-inac.gc.ca/mc/lnk/fram_e.pdf
103
Integrated Risk Management Framework, Treasury Board of Canada
Secretariat, Canada 2001
Integrated Risk Management Framework, Treasury Board of Canada, 2001
Internal Control And Risk Management – Basic Framework, Hong Kong
Institude of Public Accountants, Hong Kong 2005
Internal Control Management and Evaluation Tool, United States General
Accounting Office, Washington, DC, US 2001
Kamu İdareleri İçin Stratjik Planlama Kılavuzu, DPT, Ankara 2006
KINCAID, James K. ve William J. SAMPIAS, Albert J. MARCELLA. CSSA
Certificarion in Control Self Assessment, Florida, 2004
King II Report Executive Summary, UK 2002
http://www.corporatecompliance.org/international/SouthAfrica/KingCommitte
eCorporateGovernanceExecutiveSummary2002.pdf
Kurumsal Risk Yönetimi, TÜSİAD, Ankara 2006
LAKE, Lawrence. Using Risk Management Frameworks, Protiviti Inc.US
http://www.protiviti.com/portal/site/pro-us/
LAVEY, Gary. Enterprise Risk Management Overview 2006
http://www.rmgfinancial.com/NAPCO%20Presentations%20(Jan%2006)/AN
%20INDUSTRY%20OVERVIEW%20OF%20ERM%20(LAVEY).pdf
104
LEİTCH, Matthew. The Natural Method of designing internal control
systems, UK 2003
http://www.internalcontrolsdesign.co.uk/bpcd/index.html
MAKI, Tony. The Impact of the New COSO ERM Framework on Internal
Audit, 2004
www.theiia.org
Management Of Risk A Strategic Overview with Supplementary Guidance
For Smaller Bodies, Hm Treasury, UK 2001
Managing Risk Across The Public Sector: Good Practice Guide, Auditor
General Victoria 2004
http://www.audit.vic.gov.au/reports_better_practice/Risk_guide_final.pdf
Managing Risks to the Public: Appraisal Guidance, Hm Treasury, Norwich,
UK 2005
MANDL, Michael J. Enterprise Risk Management: One Institution’s
Approach to Effective ERM, Emory University USA
Mc CONNELL, Patrick. Measuring Operational Risk Management Systems
under Basel II, USA
McNAMEE, David. Risk Assessment Glossary, 1999
MIKES, Anette. Enterprise Risk Management in Action, London 2005
http://www.lse.ac.uk/collections/CARR/pdf/Disspaper35.pdf
105
MIRZAI, Bahram ve Mikhail MAKAROV. Operational Risk – COSO Reexamined, Journal of Risk Intelligence
http://www.risknet.de/typo3conf/ext/bx_elibrary/elibrarydownload.php?downl
oaddata=156
O’CONNELL, Patrıck. Internal Control Standards, County of Alameda 1999
Overview of Enterprise Risk Management / CAS Enterprise Risk
Management Committee 2003
http://www.casact.org/research/erm/
Overview of Enterprise Risk Management, Treasury Strategies Inc. 2005
http://www.afponline.org/pub/pdf/021705VESslides.pdf
PARKER, Jimmy. A Practical Approach to Enterprise Risk Management,
Ernst & Young, Detroit USA 2007
PAYNE Cal. Contemplating Enterprise Risk Management (ERM): COSO's
ERM Framework - Enhancing Management's Capabilities, Daily Issue Alert,
2006
http://www.allbusiness.com/periodicals/article/399454-1.html
RACH, Bindesh. ERM: Getting from Theory to Practice, 24th Annual TMAC
Conference, Montreal 2006
Risk Analysis Framework, Australian Government Department of Health and
Ageing, Australia, January 2005
http://www.ogtr.gov.au/pdf/public/raffinal2.2.pdf
106
Risk Assessment and Internal Control Evaluations, KMG International 2007
http://www.novaga.org/Files%2020062007/Internal%20Controls/CarnahanAGAPresentation.ppt
Risk Management And Internal Control - Guidelines and Strategies for
Improvement: Volume 1, NSW Treasury
Risk Management Approach and Risk Profile, DBS Group Holdings Ltd.
Annual Report 2006
http://www.dbs.com/dbsgroup/annual2006/PDFs/risk_management_approac
h.pdf
Risk Management Assessment
Framework - A tool for Departments,
Version 2.0, HM Treasury, UK 2004
Risk management in practice: building ERM at Centrelink
http://www.riskmanagementmagazine.com.au/articles/6E/0C04276E.asp?Ty
pe=125&Category=1239
Risk Management Matters, TAFE Governance Program 2006
http://www.vta.vic.edu.au/docs/GovW3_RiskManagementPresentation.ppt#2
56,1,Victorian
ROBERTS, Hewitt. Enterprise risk management: a long-term solution for
compliance, governance and sustained growth in shareholder value, Entropy
International, Lancaster UK 2005
SAKA, Tamer. Enterprise Risk Management / Sabancı Holding, The IRM
Risk Forum, Keele University, Staffordshire, UK 2005
http://theirm.org/riskforum/documents/creating_ERM_non_financial_corporat
ions_AON_enterprise_rm_2005.pdf
107
SCHANFIELD, Arnold ve Michael MILLER. A Sustainable Approach to ERM:
As Best Practices Begin to Emerge, One Company Uses a Phased Plan to
Create a Fully Functioning, Integrated Enterprise Risk Management System,
Gale Group 2005
http://findarticles.com/p/articles/mi_m4153/is_2_62/ai_n13821970
SHENKIR, William G. Enterprise Risk Management: An Idea Whose Time
Has Come / University of Virginia, Virginia USA 2007
http://www.kier.kyoto-u.ac.jp/fe-tokyo/symposium/sympo2007/shenkir.pdf
STEINBERG, Richard M. Levering SOX Compliance to Sustainable
Business Benefit, Sarbanes-Oxley Conference & Exposition, Baltimore 2005
http://www.sarboxconf.com/downloads/Enterprise%20Risk%20Management
.pdf
STEVENS,
Martin
W.
COSO
Enterprise
Risk
Management
m.m.
Landskonferanse 2004
TAVAN, Fred. TS 60 - ERM Tools and Analytics, 2004 SOA Annual Meeting,
Canada 2004
http://www.soa.org/professional-interests/files/pdf/erm_bib.pdf
The COSO Risk Framework : A Reference for Internal Control ? - Transition
from COSO I to COSO II, IAS Conference
http://ec.europa.eu/dgs/internal_audit/docs/ias_conferences/05/bressac.pdf
The Orange Book Management of Risk - Principles and Concepts, HM
Treasury, Norwich UK 2004
108
The Risk Intelligent Enterprise: ERM Done Right, Deloitte & Touche LLP,
2006
http://www.deloitte.com/dtt/cda/doc/content/us_risk_RIPOV.pdf
Turnbull, İnternal Control and Wider Aspects of Risk, Certified Accountants
Educational Trust, London 2000
WANG, Shaun. ERM: Myth vs. Reality
http://www.casact.org/pubs/actrev/may04/ermopinion.htm
Why Risk Management Matters - COSO’s Enterprise Risk Management –
Integrated Framework, PriceWaterhouseCoopers, USA 2004
http://www.set.or.th/th/regulations/corporate/download/ERM-SET.pdf
WIDERMAN, R.Max. Project and Program Risk Management - A Guideline
to Managing Project Risks and Opportunities, Pennsylvania USA
109