Upload
lamdang
View
214
Download
0
Embed Size (px)
Citation preview
Ö
Risk Yön
Açısı ve I
sürümü
30.000’d
Bu kılavu
uyması g
yönetim
dünyası
IRM, bu
destekte
sıralanm
Katkıda b
İ
K
E
N
N
N
nsöz
etimi Enstitü
ISO 31000 Yü
IRM ve AIRM
den fazla say
uz, Yeni Türk
gereken tüm
i eğitim enst
ile çalışmakt
dökümanın
e bulunarak d
mış kişiler ve k
bulunanlar v
İsmet Cinem
Kübra Afşar–
Emre Özbek,
Nicola Crawf
Nolwenn Alla
Nazan Satı, B
üsü (IRM)’in
ükümlülükle
MIC (Sigorta v
yıda indirilmiş
k Ticaret Kan
işletmelerin
titüsü olarak
tan çok mutl
çevirisinin sp
daha geniş b
kuruluşlara k
ve sponsorlar
mre – Uluslara
– Bağımsız ar
, Başkan, ISA
ford, Genel M
ano, Risk and
Beyaz Gemi
popüler dök
ri’ nin Türkçe
ve Risk Yöne
ştir.
unu gereksin
n yararlanabi
, IRM başarıl
udur.
ponsorluğun
bir Türk izleyi
katkılarından
r :
arası program
raştırmacı
ACA Istanbul
Müdür, i‐Risk
d Governanc
kümanı ‘Kuru
eleştirilmiş y
eticileri Derne
nimlerinin uy
ileceği önem
lı bir büyüme
u üstlenen i‐
ici kitlesine u
n dolayı teşek
mlar direktö
Chapter, He
k Europe Ltd
ce Club
umsal Risk Yo
yorumuna ho
eği) tarafınd
ygulanmasın
mli bir araçtır
e ve gelişimi
‐Risk Europe
ulaşılmasını s
kkür eder.
Steve
rü, i‐Risk Gro
ad of Interna
© AI
onetimine (K
oşgeldiniz. Be
an 2009 yılın
ın getireceği
. Önde gelen
destekleme
Ltd ve bu ön
sağlayan aşağ
e Fowler, İcra
oup
al Audit Voda
IRMIC, ALARM,
KRY) Yapısal B
elgenin orijin
nda yayımlan
i değişiklikler
n uluslararas
ek amacıyla T
nemli çalışm
ğıda isimleri
a Kurulu Başk
afone Turke
, IRM: 2010
Bakış
nal
nmış ve
re
ı bir risk
Türk iş
aya
kanı, IRM
y
© AIRMIC, ALARM, IRM: 2010
1
İçerik
Yönetici Özeti
Giriş
Bilgilendirme
Bölüm 1: Risk, Risk Yönetimi ve ISO 31000
1. Riskin Doğası ve Etkileri
2. Risk Yönetimi Prensipleri
3. ISO 31000’in Gözden Geçirimi
4. KRY'den Faydalanmak
Bölüm 2: Kurumsal Risk Yönetimi
5. Planlama ve Tasarım
6. Uygulama ve Kıyaslama
7. Ölçme ve İzleme
8. Öğrenme ve Raporlama
Ekler
A. Risk Yönetimi Kontrol Listesi
B. Uygulama Özeti
Şekil Listesi
1. Risk Mimarisi, Stratejisi ve Protokolleri
2. Riskin Yönetim Çerçevesi (ISO 31000’e göre)
3. Risk Yönetimi Süreci (ISO 31000’e göre)
4. Borsaya kote büyük bir şirketin örnek risk yönetimi mimarisi
5. Risk Yönetimi Faktörleri
Tablo Listesi
1. Detaylandırılmış Risk Tanımı
2. Risk Yönetimi Politika İçeriği
3. Risk Yönetimi Sorumlulukları
4. Risk Değerlendirme Teknikleri
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
2
Yönetici Özeti
Risk yönetimi gittikçe artan önemde bir iş
fonksiyonu olup paydaşlar, riskleri hakkında her
geçen gün daha çok endişelenmektedirler. Risk
stratejik kararların arkasında, organizasyondaki
belirsizliğin bir sebebi yada bir organizasyonun
aktivitelerinin içine yerleşmiş olabilir. Risk
yönetimine karşı kurum genelinde uygulanan
bakış açısı kurumun karşılabileceği her tip riskin
her süreç, aktivite, paydaş, ürün ve servisler
üzerindeki potansiyel etkilerini dikkate almalarını
sağlar. Kapsamlı bir yaklaşım ile yapılan uygulama
bir kurumun ‘üst risk’ (riskin iyi yönü) den
faydalanmasıyla sonuçlanacaktır.
2008’deki küresel finansal kriz gerekli miktardaki
risk yönetiminin önemini ortaya koymuştur. O
zamandan bu yana, ISO 31000‐ ‘Risk Yönetimi
Kuralları ve Rehberi’ de dahil olmak üzere yeni risk
yönetimi standartları yayınlamıştır. Bu rehber
bütün bu gelişmeleri toparlayarak Kurumsal Risk
Yönetimi (KRY) uygulamasına yapısal bir bakış açısı
getirmektedir.
Risk yönetiminin hedeflenen yararları Bütün organizasyon çeşitleri için hedefleri
başarmada ve istenen seviyede sonuçlara
ulaşabilmek için alınacak risklerin anlaşılması
gereklidir. Kurumlar süreçlerinde ve
faaliyetlerinde yerleşmiş olan risk seviyesini
anlamak zorundadırlar. Önemli risklerin,
belirlenerek önceliklendirilmesi ve en zayıf kritik
kontrollerin tanımlanması kurumlar için önemlidir.
Risk yönetimi performansını geliştirmeye
başlarken, risk yönetiminin beklenen yararları için
girişim önceden başlatılmalıdır. Başarılı bir risk
yönetiminin sonuçları uyum, güvence ve gelişmiş
karar almayı kapsar. Bu sonuçlar faaliyetlerdeki
verimin artması, taktiklerdeki etkinlik (değişim
projeleri) ve kurumun startejisine olan etkisi
yollarıyla fayda sağlar.
Rehberin amacı Başarılı Kurumsal Risk Yönetimi (KRY) girişimi
riskin gerçekleşme olasılığı ve sonuçlarını etkilediği
gibi daha bilinçli stratejik kararları, başarılı bir
değişim ve artan operasyonel verimliliği temin
eder. Diğer yararlar ise sermaye maliyetinde
azalma, doğru finansal raporlama, rekabet
avantajı, daha gelişmiş kurumsal algı, piyasada
daha iyi bir varoluş ile kamu hizmetleri ve
kurumlarında daha etkili politika ve çevre desteği
olarak sıralanabilir.
Bu rehber, ISO 31000 için net bir yorum sağladığı
gibi KRY girişimi uygulamalarına da tavsiyelerde
bulunur. Rehberin amacı;
Risk yönetimi prensip ve süreçlerini tanımlamak
ISO 31000 gereklilikleri hakkında kısa bir
özette bulunmak
Uygun bir yapı dizayn etmede pratik bir
rehber sunmak
KRY uygulamasına pratik önerilerde
bulunmaktır
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
3
Giriş
Bu rehber İngiltere’deki AIRMIC (Sigorta ve Risk Yöneticileri Derneği), Alarm (Kamu Sektörü Risk Yönetimi Derneği), IRM (Risk Yönetimi Enstitüsü) gibi önemli risk yönetim organizasyonlarının takım çalışması sonucu oluşturulmuştur. Rehber her çeşit kuruma uygulanabilir olarak hazırlanmıştır. Rehber boyunca ‘kurul’ tanımı kurumun içindeki karar alma mekanizmasını ifade eder. Kamu sektöründe bu organ Konsey, Yönetim veya otorite olarak tanımlandırılabilir. Risk yönetiminin içeriği, nasıl uygulanması gerektiği ve neler kazandırabileceği hakkında pek çok görüş vardır. Uluslararası Standardizasyon Organizasyonu (ISO) 31000 standardı 2009 yılında yayınlanmıştır ve bu sorulara cevap aramaktadır. Bu rehberse ISO 31000 hakkında kısa bir özet sunarken ek olarak da risk yönetiminin başarıyla uygulanması üzerine ek bilgiler içermektedir. Bunun yanında, bu rehber riskin aşağı yönlü (olumsuz yönlü) olduğu gibi yukarı yönlü (olumlu yönlü) de olabileceğini hatırlatır.
Risk yönetiminin prensipleri Risk yönetimi aslında birçok prensip ile desteklenen bir süreçtir. Ayrıca risk yönetimi kuruma ve dış çevresine veya içeriğine uygun bir yapı tarafından desteklenmelidir. Başarılı bir risk yönetimi girişimi kurumun risk seviyesiyle (büyüklüğü, doğası ve organizasyonun karmaşıklığı yönünden) orantılı, diğer kurumsal aktivitelerle uyumlu, kapsamlı, rutin aktivitelerin içine yerleştirilmiş ve değişen koşullara cevap vermede dinamik bir yapıda olmalıdır. Bu bakış açısı, risk yönetim girişiminin ilgili
yükümlülüklerle uyumlu, paydaşlara riskin
yönetiminde güvence ve gelişmiş bir karar
alma süreci sağlamasında yardımcı olur. Bu
sonuçların etkileri ve yararlarıysa daha verimli
operasyonlar, etkili taktikler ve beklenen
sonuçları veren stratejiler içerir. Bu yararların
sürekli ve ölçülebilir olması gereklidir. Risk
yönetim gerekliliklerinin tamamen
karşılanması için yapılması gerekenlerin listesi
Ek‐A'da sunulmuştur.
COSO KRY Çerçevesi ve ISO 31000 COSO 2004’de Kurumsal Risk Yönetimi (KRY)
Standardı yayınlamıştır. COSO KRY kübü risk
yönetimi uygulayıcıları tarafından geniş ölçüde
tanınmakta ve KRY’i uygulamada bir taslak
sunmaktadır. COSO KRY’de önemli bir etki
sahibi olmuştur çünkü Amerika’da borsaya
bağlı (kote) şirketlerin Sarbanes‐Oxley
gereklilikleriyle bağlantılıdır. ISO 31000 ise
2009’da risk yönetimi kurallarının
uygulanmasına uluslararası bir standart
getirilmesi amacıyla yayınlanmıştır.
Bu rehber risk yönetimi uygulamasına kurumsal bazda yapısal bir bakıç açısı getirmek amacıyla hem COSO KRY hem de ISO 31000 ile uygun olacak şekilde hazırlanmıştır. Fakat rehber uluslararası bir standart olduğundan ötürü ISO 31000’e daha çok değinmektedir ve birçok organizasyonun uluslararası operasyonları vardır. ISO, ISO 31000’i yayınlarken aynı zamanda Rehber 73 ‘Risk Yönetimi‐ Sözlüğü‐ Standartlarda Kullanım Rehberi’ ni yayınlamıştır.
Bilgilendirme ISO 31000 ‘Risk Yönetimi‐ Uygulamaları’
kullanım izni BSI’ya aittir. İngiliz Standartları
PDF veya hardcopy halinde BSI online
alışverişten www.bsigroup.com/ sitesinden
veya hardcopy için telefon: +44 (0)20 8996 9001, e‐mail: [email protected] ‘den
temin edilebilir.
Şekil 1&4 ve Tablo 2, 3 ve 4 ‘Fundamentals of Risk Management’ (2010) ISBN 978 0 7494 5942 0 www.koganpage.com‘dan ‘Kogan Page Limited’in izniyle üretilmiştir.
BBO
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
4
Bölüm 1: Risk, risk yönetimi ve ISO 31000
Birinci bölüm ISO 31000’den referans alarak riski ve risk yönetimini gözden geçirir. Risk yönetim sürecinde kullanılan terimler tutarlı değildir ve bölüm bu zorlukları yansıtır. Uygun standartlarda bir risk yönetiminin sağlanması için gerekli olan risk yönetim gerekliliklerinin özeti Ek A’da bir kontrol listesi olarak sunulmuştur.
1. Riskin doğası ve etkileri Risklerin bir organizasyona kısa, orta ve uzun vadeli etkileri olabilir. Bu riskler sırasıyla operasyonlarla, taktik ve stratejilerle ilişkili olabilir. Strateji kurumun uzun vadeli hedeflerini ortaya koyar ve şirketin stratejik planlama süreci yaklaşık olarak 3, 5 veya daha fazla yılı kapsayabilir. Taktikler kurumdaki değişimi başarmanın nasıl hedeflendiğini açıklar. Bu yüzden taktiksel riskler genellikle projelerle, birleşme ve satın almalarla, ürün geliştirmelerle ilişkilendirilirir. Operasyonlar şirketin rutin faaliyetleridir.
Risk tanımı Riskin ve risk yönetiminin birçok tanımı vardır. ISO Rehber 73’de ortaya konulan risk tanımı ‘belirsizliklerin hedeflerin üzerindeki etkisi’dir. Bu tanımın uygulamasını desteklemek için Rehber 73 aynı zamanda bu etkinin pozitif, negatif veya beklenenden sapma olabileceğini; riskin genellikle olaylar, durumdaki değişimler veya sonuçlar tarafından betimlendiğini belirtmiştir. Bu tanım riski hedeflerle ilişkilendirmiştir. Bu yüzden riskin tanımı ancak şirketin hedefleri detaylı ve tamamen tanımlandığında kolaylıkla uygulanabilir. Hedefler tamamen tanımlandığında bile, bu hedefler ve temel varsayımların risk yönetim süreci dahilinde test edilmesi gerekmektedir.
Örneğin, bir kurumun altyapısı ve yeni bir BT sisteminin uygulanmasını düşünün. Donanım ve
yazılım seçimi stratejik kararlardır. Eger bu tercihler doğru yapilmamissa, sonuçları bir süre için
açıkca belli olmayacaktır. Bunlarla ilişkili riskler stratejik risklerdir ve bu riskler yarar sağlanması
amacıyla alınmıştır. Doğru stratejik kararların getirdigi yararlar riskin yukari yönünün başarılı
sonucudur.
Yeni donanım ve yazılımı yüklemek projesi içerisinde stratejinin uygulanacağı yöntemleri gösteren
bir değişim girişimi olacaktır. Projenin zamanında, bütçeyi aşmadan ve şartnameye uygun olarak
teslim edilebilmesi icin proje içerisindeki risklerin yönetilmeleri gerekir. Ayrıca, projenin
yürütülmesi esnasında yukarı yöne ulaşmak vasıtasıyla projenin erken ve bütçe altında teslim
edilmesi mümkündür. Aynı zamanda BT donanım ve yazılımının beklenenden daha büyük yararlar
sağlaması da mümkündür.
Yeni donanım ve yazılım yüklendiğinde, sistem bilgisayar arızalanması, veri kayıpları, virüs
saldırıları ve operatör hataları gibi operasyonel risklere karşı kolay etkilenebilir bir hale gelecektir.
Bu operasyonel riskler çok önemli olabilir ve potansiyel kesintileri en aza indirmek için doğru
tasarlanarak uygulanacak prosedürler gerekecektir.
5
Risk dkaydedRisk değardındanöncelikleilgili uygşablonunkaydedilgösterir.çalışma dsisteme sağlanmyeterli odeğerlentanımlamortaya ç Riskin ge(tehlike olabilecesebep ololarak ogöre uygsıralamasonuçlarnicel vey Kurumlasonuçlartanımlam Tablo
eğerlenddilmesi erlendirmesn değerlendiendirilmesi ilun bilginin kn olması önemesi gereke Şablonun amdosyası ya dagirilmesi gerasıdır. Genelmasına rağmndirme sürecmasının gereıkmaktadır.
erçekleşmesiriskleri) veyaeği gibi dahalabilir. Kurumluşan farklı ogun tanımlarası riskin ortarına veya etkya nitel olabi
ar ortaya çıkmrının ölçümlemaları gerekm
o 1: Detay
irmelerin
i riskin tanımrilmesi veya le devam edeaydedilmesi emlidir. Tabloen bilginin kamacı tabloyaa bilgisayar oreken bilgilerllikle riskin bmen detaylı rci için detaylıektiği duruml
inin sonuçlara pozitif (fırsa büyük bir bemlar farklı risolasılık ve etkını oluşturmaya çıkma olakilerine göre lir.
ma olasılıklarerini kendilermektedir.
ylandırılm
in
mlanmasının
er. Her risklesırasında biro 1 psamını a, risk kaydınortamında rin basit bir tanımrisk ı bir risk ar da bazen
rı negatif at riskleri) elirsizliğe desklere bağlı ki seviyelerinalılardır. Riskasılığına, olasnicel, yarı
rını ve ri
mış Risk T
e r
na,
mı
e
ne k sı
Ögevesosufa4 göönanönta
RRidotadekukutaönkuopta RigevefakamTanımı
Kuru
rnek olarak erçekleşme oe düşük seviyonuçları 3 x 3unmaktadırlaazla seçeneğix 4 veya 5 x örebilirler. Hnünde bulunnalizler için önceliklendirianınmış olur.
Risk sınıflaisk analizindeoğasını, kaynanımlamaktıreğerlendirilmullanılabilir. Rurumların beanımlamalarınemlidir. Risurumun hangperasyonlarıanımlaması a
isk sınıflandıenellikle finaerimlilik, itibakat bütün kuabul görmüşmevcut değild
umsal Risk Yöne
birçok organolasılığını ve ye olarak bel3 matriks şekar. Diğer orgain de olması 5 matrikslerer risk için ondurularak daönemli risklelerek sıralan
andırma se önemli bir nağını veya er. Risklerin bmesi için risk Risk sınıflandenzer risklerina imkan vek sınıflandırmgi stratejisininın savunmaaçısından öne
rma sistemlensal kontrol,ar ve ticari aurumlara uygbir risk sınıfl
dir.
etimine Yapısal
nizasyon, risketkisini yükslirlemekte veklinde anizasyonlargerektiğini drini gerekli olasılığı ve etkaha detaylı eerin masına imka
sistemleraşama riskin
etki türünü u şekilde sınıflandırmdırma sistemn birikimleriermesi açısınma sistemlerin, taktiklerinasız olduğunemlidir.
eri risk ayrım, operasyonektivitelere dgulanabilecelandırma sist
l Bakış Açısı
k sek, orta e
r, daha düşünüp
kileri göz ek
an
i n
ma sistemi mleri ni dan ri ayrıca nin veya u
mlarında el ayanır ek genel temi
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
6
Bu durum özellikle kamu sektöründe faaliyet gösteren ve kamuya hizmet sağlayan kurumlar için doğru olabilir.
Birçok risk sınıflandırma sistemi olduğu gibi seçilen sistem kurumun büyüklüğüne, doğasına ve karmaşıklığına bağlıdır. ISO 31000 spesifik bir risk sınıflandırma sistemi önermez ve her kurumun kendi içerdiği risklere bağlı olarak uygun bir sistem geliştirmesini savunur.
2. Risk yönetim prensipleri Risk yönetimi her organizasyonda stratejik yönetimin merkezini oluşturur. Risk yönetimi organizasyonların sistematik olarak aktiviteleri içindeki riskleri ele aldığı bir süreçtir. Başarılı bir risk yönetim girişimi organizasyonun risk seviyesiyle orantılı, diğer kurumsal aktiviteleriyle uyumlu, hedefinde açıklayıcı, rutin faaliyetlerine yerleşmiş ve değişen koşullara cevap vermede dinamik olmalıdır.
Risk yönetiminin odağı önemli risklerin değerlendirilmesi ve uygun risk tepkilerinin uygulanması olmalıdır. Hedef, kurumun bütün faaliyetlerinden alınabilecek maksimum sürdürülebilir değer olmalıdır. Risk yönetimi organizasyonu etkileyebilecek bütün aşağı ve yukarı yönlü faktörlerin anlaşılmasını geliştirir. Risk yönetimi başarı olasılığını artırırken başarısızlık olasılığını ve aynı zamanda hedeflerin gerçekleşmesindeki belirsizlik seviyesini azaltır.
Risk yönetim içeriği Risk yönetimi kurum stratejisinin gelişimini ve uygulanmasını destekleyecek sürekli bir süreç olmalıdır. Aktivitelere bağlı olan tüm riskleri sistematik bir biçimde ele almalıdır. Uygulamadaki tüm olayların potansiyel yararı için fırsatlar (yukarı yönlü), başarıya ulaşmadaki tehditler (aşağı yönlü) veya artan seviyede belirsizlik vardır.
Sağlık ve güvenlik riskleri için etkilerin sadece olumsuz olabileceğinden dolayı güvenlik risk yönetiminin zararın engellenmesi ve azaltılması üzerine odaklanması gerektiği sıklıkla tartışılmıştır. Bununla beraber, dışardan hizmet veren servis sağlayıcı şirketlerin iyi bir şekilde hazırladıkları sağlık ve güvenlik standartlarının kontrat kazanmalarına yardımcı olabilecek bir araç olması güvenlik risk yönetiminin yukarı yönlüde olduğunun bir göstergesidir.
Risk farkındalığı kültürü Risk yönetimi organizasyon kültürüne dahil edilmek zorundadır. Organizasyon kültürü yönetim, liderlik ve Yönetim Kurulu’nun desteğini içerir. Risk yönetimi risk stratejisini taktiksel ve operasyonel hedeflere dönüştürmeli ve organizasyon genelinde risk yönetim sorumluluklarını tayin etmelidir. Hesap verilebilirliği, performans ölçümünü, ödülü ve her seviyede operasyonel verimliliğin ilerlemesini desteklemelidir. Başarılı bir risk bilinç (farkındalık) kültürü uygun bir risk mimarisi, stratejileri ve protokolleri kurularak kazanılır.
Risk yönetim sürecini başarılı bir şekilde uygulamak, desteklemek ve sürdürebilmek için bir yapıya ihtiyaç vardır. ISO 31000 risk yönetimi içeriği olarak bu yapıyı sunar.
Şekil 1 risk mimarisi, stratejisi ve protokolü açısından uygun bir yapı sunar ve her parçanın ana hatlarını kısaca açıklar. Bu yapı risk yönetim aktivitelerine içerik sunmak için hazırlanmıştır ve risk yönetimi sürecini destekler.
Risk yönetim süreci Risk yönetimi süreci koordine edilmiş bir dizi aktivite halinde sunulabilir. Sürecin alternatif tanımları da mevcuttur fakat genellikle aşağıda listelenen adımları içerir. Aşağıdaki liste risk yönetiminin ‘7R’ ve ‘4T’sini belirtir (‘7R’ ve ‘4T’ ingilizce kelimelerin baş harflerinden oluşturulmuştur).
‘Recognition’ ‐ riskin tanımlanması yada tanınması
‘Ranking’ ‐ riskin sıralanması yada değerlemesi
‘Responding’ ‐ belirgin risklere cevap verme ‘Tolerate’ ‐ tolere etme ‘Treat’ ‐ müdahale etme (aksiyon) ‘Transfer’ ‐ transfer etme ‘ Terminate’ ‐ sonlandırma
‘Resourcing’ ‐ kontrollere kaynak ayırılması
‘Reaction’ ‐ reaksiyon planı yapılması
‘Reporting’ ‐ risk performansının raporlanması ve takibi
‘Reviewing’ ‐ risk yönetim çerçevesinin gözden geçirilmesi
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
7
Riskin tanımlanması ve sınıflandırılması beraber olarak risk değerlendirme faaliyetini oluşturur. ISO 31000 ‘risk yönetim aksiyonları‘ ifadesini ‘risk cevabı’ başlığı altında ‘4T’yi dahil ederek kullanır. Tehlike riskleri için kullanılan risk cevaplarının amacı riskin tolere edilmesi, müdahale edilmesi, transfer edilmesi veya riskin ya da riske sebep olan faaliyetin sonlandırılması şeklinde olabilir. Birçok risk için bu cevaplar birlikte de uygulanabilir. Fırsat riskleri için uygun alternatiflerin kapsamı risklerin kullanılmasını içerir. Reaksiyon planlaması iş süreklilik planlamasını ve afet kurtarma planlamasını içerir.
3. ISO 31000’in gözden geçirimi ISO 31000 risk yönetimi uygulaması çerçevesindeki bileşenleri tanımlar. Şekil 2, bu uygulama çerçevesinin basitleştirilmiş bir versiyonunu gösterir. Aynı zamanda uygulamadaki gerekli basamakları ve risk yönetim sürecinin devam eden desteğini içerir. ISO 31000 çerçevesinin öncelikli bileşeni Yönetim Kurulu için ‘vekalet ve bağlılık’ olup aşağıdakilerle devam eder;
Çerçevenin tasarımı
Risk yönetim uygulaması
Çerçevenin takibi ve gözden geçirilmesi
Çerçevenin geliştirilmesi
Risk yönetim çerçevesi ISO 31000 risk yönetimi sürecini destekleyecek bir çerçeve yerine risk yönetimi uygulaması için bir çerçeve tasvir eder. Risk yönetimi sürecini destekleyecek çerçevenin tararımı hakkında bilgi ISO 31000’de detaylı olarak sunulmamıştır. Kurum risk yönetimini destekleyecek çerçevesini kendi risk mimarisine, stratejisine ve protokollerine uygun olacak şekilde kendisi tanımlayacaktır. Şekil 1’de sunulan risk mimarisi, stratejisi ve protokolleri risk konularının iletişimindeki içsel düzenlemeleri gösterir. Ayrıca risk yönetimi sürecine destek veren kişilerin ve komitelerin rollerini ve sorumluluklarını ortaya koyar. Risk stratejisi kurumun risk yönetimi faaliyetlerinde elde etmek istediği hedefleri ortaya koymalıdır. Son olarak, risk protokolleri stratejilerin uygulanmasındaki ve risklerin yönetilmesindeki prosedürleri tanıtmalıdır.
4. KRY’den faydalanmak Şekil 3 Rehber 73’deki terimler kullanılarak ISO
31000’deki risk yönetimi sürecinin
sadeleştirilmiş halidir. Süreçteki kilit basamaklar
risk değerlendirilmesi ve risk yaklaşımı olarak
gösterilmiştir. Şekil 3 ayrıca risk yönetim
sürecinin kurumun risk yönetim içeriği dahilinde
yer aldığını gösterir.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
8
Risk değerlendirmesi Risk tanımlaması kurumun maruz kaldığı
risklerin ve belirsizliklerin tanımlanmasıdır. Bu,
kurum hakkında kapsamlı bilgiye sahip olmayı
gerektirir; hangi piyasada çalıştığının, bulunduğu
yasal, sosyal, politik ve kültürel ortamın
tanınmasını, stratejik ve operasyonel
hedeflerinin bilinmesini gerektirir. Ayrıca
başarıda kilit rol oynayabilecek faktörlerin,
hedeflere ulaşmadaki tehditlerin ve fırsatların da
bilinmesi gerekmektedir. Kurumda katma değer
yaratabilecek bütün aktiviteler değerlendirilerek
ve bu aktiviteler içinde oluşabilecek bütün
riskler tanımlanarak risk değerlendirilmesine
ulaşılmalıdır.
Risk analizinin sonuçları, her riskin ayrı ayrı önem derecesinin belirlendiği ve karşılık olarak alınacak önlemlerin önceliklendirildiği bir risk profili oluşturmak için kullanılabilir. Böylece tespit edilen her risk göreceli olarak derecelendirilmiş olur. Bu süreç risklerin ilgili iş alanları ile ilişkilendirir,
yürürlükteki ana kontrol mekanizmalarını
tanımlar, yatırım seviyesinin nerede azaltılması,
artırılması veya yeniden şekillendirilmesi
gerektiğini belirler.
Risk analizi yönetim tarafından dikkat edilmesi
gereken riskleri tanımlayarak operasyonun etkili
ve verimli şekilde gerçekleşmesini sağlar.Bu da
kurumda risk kontrol eylemlerinin kuruma
sağlayacağı potansiyel avantajlar noktasında
önceliklendirilmesini sağlar. Uygun risk tepki
yaklaşımlarının kapsamı tolere etme, müdahale
etme, transfer etme ve sonlandırmadır. Kurum
ayrıca kontrol ortamı geliştirme konusunda
ihtiyaç olup olmadığını belirleyebilir.
Risk yönetimi aksiyonları ISO 31000’de risk yönetimi aksiyonları riski
şekillendirmek için uygun kontrol ölçülerini
seçme ve uygulama faaliyeti olarak sunulmuştur.
Risk yönetimi aksiyonlarının en büyük bileşeni
risk kontrolü (azaltma) olmakla birlikte riskten
kaçınma, risk transferi ve risk finansmanı olarak
genişletilebilir. Bir risk yönetimi aksiyon sistemi
verimli ve etkili iç kontroller sağlamalıdır. İç
kontrolün verimliliği önerilen kontrol ölçülerine
göre riskin yok edilmesi veya azaltılma
derecesidir. İç kontrolün maliyet etkinliği
kontrolün uygulanma maliyetiyle risk
indirgendiğinde sağlanan avantajlarla ilgilidir.
Yasalara ve düzenlemelere olan uyum bir
seçenek değildir. Kurum uygun yasaları bilmek
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
9
zorundadır ve uyumu sağlayacak kontrol
sistemini uygulamalıdır. Risklerin finansal
etkilerine karşı uygulanabilecek bir metod
sigortalama dahil olmak üzere risk
finansmanıdır. Fakat unutulmamalıdır ki bazı
kayıplar veya kayıpların unsurları
sigortalanamaz. Sigortalanamayan kayıplar,
çalışanların moralindeki düşüş veya kurumun
itibarı bu kayıplara örnek olarak gösterilebilir.
Geri bildirim mekanizmaları ISO 31000 iki mekanizma yoluyla geri bildirimin
önemini vurgulamaktadır. Bunlar performansın
izlenmesi ve gözden geçirilmesi ile iletişim ve
danışmadır. İzleme ve gözden geçirme kurumun
risk performansını izler ve tecrübelerden
öğrenir. İletişim ve danışma ISO 31000 risk
yönetim sürecinin bir parçası olarak
gösterilmiştir fakat çerçeveye desteğin bir
parçası olarak da görülebilir.
Raporlama ve açıklamaya ISO 31000’de çok kısa
olarak değinilmiştir ve Şekil 3’de gösterilen
sürece dahil edilmemiştir. Ayrıca ISO 31000’de
ortaya konan izleme, gözden geçirme ve geri
bildirim faaliyetleri risk performansının
izlenmesi ve risk yönetim çerçevesinin
değerlendirilmesi görevlerinden belirgin bir
şekilde bahsedilmez.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
10
Bölüm 2: Kurumsal risk yönetimi
Bölüm 2 kurumsal risk yönetimi (KRY)
uygulamasındaki basamakların bir özetini sunar.
Bu bölümde kullanılan terminoloji risk (tehlike)
yönetiminin ‘7R’ ve ‘4T’sine dayanır. Ek B’de KRY
girişimi uygulama sürecindeki adımların kısaca
açıklaması verilmiştir.
5. Planlama ve tasarım Bir KRY girişiminin tasarım ve planlama
aşamasında göz önünde tutulması gereken bir
çok faktör bulunmaktadır. Risk mimarisi, strateji
ve protokollerinin detayları kurumun risk
yönetim politikasına kayıtlı olmalıdır. Tablo 2
klasik bir risk yönetim politikasının içeriğiyle ilgili
bilgi sunar.
Yönetim kurulu görevlendirmesi ve desteği Birçok organizasyon her sene güncellenmiş risk
yönetim politikalarını yayımlarlar. Bu prensip
kurumun genel risk yönetim bakışının güncel en
iyi uygulamayla paralel olmasını sağlar. Ayrıca
kurumun gelecek sene için hedeflenen
avantajlara odaklanmasına fırsat verir, risk
önceliklerini tanımlar, yeni ortaya çıkacak
risklere karşı gerekli dikkatin çekilmesini garanti
eder. Politika ayrıca kurumun risk mimarisini de
açıklamalıdır. Şekil 4 listede örnek olarak
borsaya kote büyük bir şirketin klasik risk
mimarisini tasvir eder.
Yönetim Kurulu’nun görevlendirme ve desteği
büyük önem taşır, sürekli ve üst seviyede
olmalıdır. Görevlendirme ve destek mevcut
olmadığı sürece risk yönetim girişimi başarısız
olacaktır. Risk yönetim politikasının güncel
tutulması risk yönetiminin Yönetim Kurulu
tarafından tamamen desteklenen aktif bir
faaliyet olduğunu gösterir.
Risk yönetim politikası aşağıdaki bölümleri içermelidir:
Risk yönetimi ve iç kontrol hedefleri (yönetişim)
Kurumun riske karşı davranış tarzının beyanı (risk stratejisi)
Risk farkındalığı kültürünün veya denetim ortamının açıklaması
Seviye ve mahiyeti kabul edilebilir risk (risk iştahı)
Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi)
Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme)
Risk analizi ve raporlama için belgeler listesi (riski protokolleri)
Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi)
Risk yönetimi rollerinin ve sorumluluklarının tahsisi
Risk yönetimi eğitim konuları ve öncelikleri
Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama)
Risk yönetimi için uygun kaynakların tahsisi
Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri
Table 2: Risk yönetimi politika içeriği
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
11
Girişimin kapsamı KRY girişiminin başarılı olması için geniş kapsamlı
olması gerekmektedir. Fakat geliştirilmiş risk
yönetim standartlarının lanse edilmesi aniden
başarılamayacak, aşamalı bir süreçtir. Bu yüzden
kurumun KRY girişiminin hedefini gelişmeler
ilerledikçe ortaya koyması gerekir.
Girişimin kapsamı kurumun elde etmek istediği
kar ve faydaların çeşitliliğine göre tanımlanacak
ve kurumun farklı paydaşlarının beklentilerinden
de etkilenecektir.
Şekil 4: Borsaya kote büyük bir şirketin örnek risk mimarisi
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
12
Risk yönetimi çerçevesi Kurumun doğasına bağlı olarak risk yönetimi
birimi yarı zamanlı risk yöneticisi, tek bir risk
şampiyonu ya da eksiksiz bir risk yönetim
departmanı olabilir. İç denetim biriminin
fonksiyonu da kurumdan kuruma değişiklik
gösterebilir. Kurumun iç denetim biriminin
rolünü en uygun şekilde belirleyebilmek için
birimin objektifliğinden ve bağımsızlığından ödün
verilmemeli ve garanti altına alınmalıdır.
Risk yönetimi politikasında verilecek risk yönetim
sorumluluklarının büyüklüğü geniş ve kapsamlı
olmalıdır. Tablo 3 büyük bir şirkette risk yönetim
birimine verilecek sorumlulukları örnek olarak
sunar. Yönetim Kurulu’nun şirketin stratejik
yönünü tayin etme ve risk yönetimi içeriğini
oluşturma sorumluluğu vardır. Sürekli
performans gelişimi sağlamak için devamlı
düzenlemelerin yer alması gerekmektedir ve bu
sorumluluk muhtemelen risk yöneticisine
verilecektir.
Tablo 3: Risk yönetimi sorumlulukları
1. CEO ve Yönetim Kurulu’nun Risk Yönetimi sorumlukları:
Riskin stratejik bakış açısını belirleme ve risk iştahı ayarlama
Risk yönetimi yapısını kurma
En belirgin riskleri anlama
Organizasyonu kriz anında yönetme
2. İş birimleri yöneticilerinin Risk Yönetimi sorumlulukları:
Birim bünyesinde risk bilinci kültürünü oluşturma
Risk yönetim performans hedeflerinde anlaşma
Risk geliştime tavsiyelerinin uygulanmasını sağlama
Değişen durumları/ riskleri belirleme ve raporlama
3. Bireysel çalışanların Risk Yönetimi sorumlulukları:
Risk yönetim süreçlerini anlama, benimseme ve uygulama
Verimsiz, gereksiz yada çalışamaz kontrolleri raporlama
Kaybedilmiş ve kaçırılmış olayları raporlama
Kaza soruşturmalarında yönetimle koordineli hareket etme
4.Risk yöneticisinin Risk Yönetimi sorumlulukları:
Risk yönetim politikasını geliştirme ve güncelleme
İçsel risk politikaları ve yapılarının dökümantasyonu
Risk yönetim (ve iç kontrol) faaliyetlerinin koordinasyonu
Risk bilgilerinin derlenmesi ve Yönetim Kurulu’na raporlanması
5. Uzman risk yönetim birimlerinin Risk Yönetimi sorumlulukları:
Uzman risk politikalarını kurmada şirkete yardımcı olma
Uzman acil durum ve kurtarma planları geliştirme
Uzmanlık alanındaki gelişmelerin güncellenmesi
Kaza ve benzer kayıp soruşturmalarını destekleme
6. İç denetim yöneticilerinin Risk yönetimi sorumlulukları:
Riske dayandırılmış iç denetim programı geliştirme
Organizasyon bünyesindeki risk süreçlerini denetleme
Riskin yönetiminde güvence alma ve temin etme
İç kontrollerin verimliliği ve etkinliği üzerine raporlama
13
6. UygRisk değer
temel parç
yönetim b
derecede v
yapmalıdır
teknikleri T
Risk değoluşturuİş fırsatları
değerlend
Riskin kara
garantilen
sunulan bü
değerlend
sunulması
projelerin
proje boyu
edilmelidir
rutin faaliy
Risk değer
gulama verlendirmesi r
çalarından b
akış açısı eld
ve gerekli ris
r. En yaygın r
Tablo 4’ de y
ğerlendirulması ından daha f
irmesi karar
ar alma sürec
mesinin bir y
ütün strateji
irme raporla
dır. Bunun g
risk değerlen
unca risk değ
r. Son olarak
yetler dahilin
rlendirmeleri
e kıyaslarisk yönetim
iridir. Kapsam
de etmek için
sk değerlend
risk değerlen
yer almaktad
me prose
fazla yararlan
alma sürecin
cinin bir parç
yolu Yönetim
dökümanlar
arlarının bera
ibi önerilen
ndirmeleri ya
ğerlendirmel
k, risk değerle
nde yapılmal
inin nasıl kay
ama sürecinin
mlı bir risk
n kurum yete
irmelerini
ndirme
dır.
edürlerinin
nmak için ris
nin parçasıdı
çası olduğun
m Kurulu’na
rıyla risk
aber
bütün
apılmalı ve
erine devam
endirmeleri
ıdır.
ydedileceği
erli
n
k
ır.
nun
m
k
k
h
t
k
ö
s
RuK
b
(b
ö
F
o
u
b
e
v
d
y
K
kararı göz ön
konulardan b
her riskin kay
utacağı bu a
karardır. Risk
önemli bir ko
ınıflandırma
Risk değeuygulanmKurum tanım
belirleyebilm
benchmark)
ölçütlerinin y
Finansal riskle
olabileceği gi
uğratabilecek
bir ölçüt olab
etkilediği hiss
veya kilit pay
destekteki de
yapılabilir
Kurumsal Risk
ünde bulund
biridir. Kurum
ydını hangi de
şamada alınm
değerlendir
nuysa kurum
sisteminin t
erlendirmeası lanan bir risk
ek için kıyasl
geliştirmelid
apısı riskin ti
er için mali e
bi kurumun f
k riskler için k
ilir. İtibar ris
se senedi fiya
daşlardan al
eğişime bakıl
Yönetimine Yap
durulması ge
mun risk tanı
etay seviyes
ması gereke
rme sürecind
mun kullandı
tanımlanmas
elerinin
kin önemini
layıcı ölçütle
dir. Bu kıyasl
ipine göre de
etki bir kıyas
faaliyetlerin
kesintilerin s
skine sebep o
atlarındaki d
ınan politik v
larak kıyaslam
pısal Bakış Açısı
ereken
mlamasında
inde
n bir
de diğer
ğı risk
sıdır.
er
ama
eğişir.
ölçütü
i kesintiye
süresi uygun
olan olayın
eğişme
ve finansal
ma
ı
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
14
Uygun risk değerlendirme prosedürlerini
tanımladıktan ve çeşitli sınıflardaki risklerin
önem seviyesinde kıyaslama ölçütleri
belirledikten sonra o riske karşı koyacak
organizasyonun kapasitesiyle birlikte risk iştahını
tanımlamak mümkündür. Son olarak da
organizasyon söz konusu riske ne oranda maruz
kaldığını belirleyebilir.
İçsel ve dışsal faktörler riskin artmasına sebep
olabilir. Şekil 5 Finansal, Altyapısal, Piyasa, İtibar
(FAPİ) Risk Sınıflandırma sistemine dayanır ve iç
ve dış risk faktörlerinden örnekler verir. Bazı
sınıflandırma sistemleri stratejik riski ayrı bir
kategoride değerlendirir. Fakat FAPİ bakış açısı
stratejik (taktiksel ve operasyonel riskler de dahil
olmak üzere) risklerin bu dört başlığın altında
tanımlanmasını öngörür.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
15
Risk iştahı ve toleransı Yönetim Kurulu’nun her çeşit risk için risk alma
kuralları koyması önemlidir ve bazı
organizasyonlar bütün riskler için geçerli olacak
bir risk iştah bildirisi hazırlamışlardır. Bir
kurumun çalışanların ya da müşterilerinin
sağlığına ya da güvenliğine bir zarar gelmesine sebep olma konusunda iştahı olmayacağını
söylemek kolaydır. Fakat pratikte, bildirinin sağlık
ve güvenlik perfomansı için belirli hedefler
koyularak geliştirilmesi gerekmektedir. Risk iştahı
beyanlarının dinamik olmaması gibi bir riski
vardır ve bu durum davranışları ve hızlı
reaksiyonu kısıtlayabilir.
Yönetim Kurulu seviyesinde risk iştahı, stratejik
risk alma kararları için bir motivasyondur.
Yönetim seviyesinde risk iştahı, risklerin taktiksel
karar sürecinde yeterli ölçüde dikkate alınmasını
sağlamak için bir dizi prosedüre dönüşür.
Operasyonel seviyede risk iştahı, rutin
aktivitelere operasyonel kısıtlamalar getirir.
Önemine ve diğer birçok risk yönetim
standartları ve menkul kıymetler piyasası kote
olma şartlarına dahil edilmesine rağmen, ISO
31000’de risk iştahı konseptine değinilmemesi
şaşırtıcıdır.
7. Ölçme ve izleme Genellikle, yapılan risk değerlendirmeleri risk
kayıt dosyasında belirtilir. Risk kayıtları için
belirlenmiş herhangi bir standart format yoktur
ve kurumların bu önemli dosya için uygun bir
format belirlemeleri gerekmektedir. Risk kaydı
kurumun karşılaştığı belirli risklerin kaydedildiği
statik bir rapor olmamalıdır. Risk kaydı güncel
kontrollerin yanında ileriki zaman için planlanmış
faaliyet detaylarının da dahil edildiği bir Risk
Aksiyon Planı gibi görülmelidir.
Bu alınacak aksiyonlar daha önceden tanımlanan
kişiler tarafından belirli bir zaman aralığında
tamamlanması gereken ve denetlenebilen
aksiyonlar olarak kaydedilmelidir. Böylelikle iç
denetim fonksiyonun halihazırda varolan
kontrolleri izlemesini ve gerekebilecek ek
kontrollerinde uygulanmasını sağlar. Risk
yönetim kurallarını uygulamak için gerekli
kaynaklar yönetimin her seviyesine ve her iş
biriminin içine açık bir biçimde yerleştirilmiş
olmalıdır. Risk yönetimi stratejik planlama ve
bütçeleme süreçlerine de yerleştirilmelidir.
Varolan kontrollerin etkinliğinin ve ek
kontrollerin uygulamasının yanısıra varolan
kontrollerin maliyet verimliliği de takip
edilmelidir. Bunlara ek olarak, izleme ve ölçme
adımları risk fakındalık (risk hakkında bilinçlenmiş
şirket) kültürü ve risk yönetim çerçevesinin
değerlemesini ve risk yönetim görevlerinin diğer
kurumsal aktivitelerle ne kadar uyumlu
olduğunun değerlendirmesini içerir.
Varolan kontrolleri değerlendirme Ölçme ve izleme kurumun kültürüne,
performansına ve hazırlıklılığına kadar uzanır.
Ölçme ve izlemenin kapsadığı aktivitelerin
hedefleri risk geliştirme tavsiyelerinin takibini,
risk yönetim aktivitelerinin kurum içine
yerleştirilmesinin değerlendirilmesini ve risk
performans göstergelerinin rutin kontrolünü
kapsar.
Kurumun köklü değişimlere karşı koyabilmesi için
hazırlanmasının izlenmesi risk yönetimin önemli
bir parçasıdır. Bu aktivite normal olarak iş
süreklilik planlarının gelişimini ve testini ve doğal
afet kurtarma planlarını da kapsar. Belirlenmiş
risk olaylarına karşı kurumun hazırlıklı olabilmesi
için bu planları güncel tutmak oldukça önemlidir.
Varolan kontrollerin değerlendirilmesi risk
iyileştirme tavsiyelerinin tanımlanmasını sağlar.
Bu tavsiyeler risk kaydına aksiyon planı şeklinde
kaydedilmelidir. Varolan kontrollerin etkinliğini
değerlendirmenin önemli bir parçası yürürlükte
olan iş süreklilik ve doğal afet kurtarma
planlarının yeterli değerlendirmesinin olup
olmadığını güvence altına almaktır.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
16
Risk farkındalığı kültürünü yerleştirmek Kurumun faaliyet gösterdiği çevredeki ve
kurumun kendisindeki değişikliklerin
tanımlanması ve gerekli güncellemelerin
protokollerde yapılması zorunludur. İzleme
faaliyetleri uygun kontrollerin yürürlükte
olduğuna ve prosedürlerin anlaşılıp takip
edildiğine dair güvence vermelidir. Kurum içi
değişiklikler ve faaliyet alanı yürürlükteki
prosedürlerin değişebilmesi için tanımlanmak
zorundadır.
Ayrıca her ölçme ve izleme süreci;
Uyarlanan ölçülerle hedeflenen sonuca ulaşılıp ulaşılmadığına
Uyarlanan prosedürlerin verimli olup olmadığına
Risk değerlendirmeleri için yeterli bilginin bulunup bulunmadığına
Gelişmiş bilginin daha iyi kararlara ulaşmada yardımcı olup olmadığına
Gelecekteki değerlendirmeler ve kontroller için ders alınıp alınmadığına
karar verebilmelidir.
Risk yönetiminin kurum kültürü içine yerleşmesi
üst yönetiminde liderliğin gösterildiği, bütün
seviyelerdeki çalışanların katılımının olduğu,
tecrübeden öğrenilen bir kültürü, eylemlerin
uygun bir şekilde hesap verilebilirliğini (otomatik
bir suçlama kültürü geliştirmeden) ve risk
konularında iyi iletişimi sunan bir ortamla
sağlanabilir.
8. Öğrenme ve raporlama Risk yönetimi sürecinin değerlendirme
döngüsünün tamamlanması tecrübelerden
öğrenmenin ve performans üzerinden
raporlamanın önemli basamaklarını kapsar.
Tecrübelerden öğrenmek için kurum, risk
performans göstergelerini değerlendirmeli ve
kurumsal risk yönetiminin kurumun başarısına
olan katkısını ölçmelidir.
Kurumun neden risk yönetim girişimini
başlattığının sebepleri açıkça belirtilmelidir. Aksi
takdirde, kurum bu katkının beklentilerle örtüşüp
örtüşmediğinin değerlendirmesini yapamaz. Risk
performans göstergelerinin izlenmesi seçilen
kontrol mekanizmalarının uygunluk
değerlendirmesi kadar risk yönetimi tarafından
yapılan katkının değerlendirmesini de içermelidir
Risk performans takibi Risk yönetiminden ders almak aynı zamanda kilit
durumdaki paydaşların fikirlerinin içsel ve dışsal
araştırmasının da yapılmasını gerektirir. Özellikle
iç denetimin görüşü ve denetim komitesinde risk
yönetim faaliyetlerinin değerlendirilmesi son
derece önemlidir. Tecrübeden öğrenme risk
performans göstergeleri değerlendirmesinden
daha fazlasını gerektirir.
Risk yönetimi çerçevesinin yıllık olarak risk
mimarisi, stratejisi ve protokollerinide
kapsayacak bir şekilde gözden geçirimi gerekli
olacaktır. Kurumun risk bazlı denetim planının
olması ve uygun risk değerlendirmeleri yapması
önemlidir.
Tecrübeden öğrenmenin diğer bir yöntemi de
Yönetim Kurulu ile denetim komitesine sağlanan
denetim raporları ve risk güvencesi kaynakları
raporlarının değerlendirilmesidir. Elde edilen
güvence seviyesinin değerlendirmesi de ayrıca
gereklidir. Genellikle, yönetim için risk
güvencesinin önemli bir kaynağı, risk yönetimi,
risk raporlama ve açıklanması, kazalardan elde
edilen bilgiler gibi konularda güvence sağlayan
Kontrol Risk Değerlendirme süreci gibi öz
değerlendirmeler olacaktır.
Risk performans raporlaması İçsel iletişim ve raporlamaya ek olarak,
kurumların dışarıya raporlama zorunluluğu da
olacaktır. Bu dışsal raporlamalar Turnbull ve
Sarbanes‐Oxley gibi risk yönetimi ve iç kontrolle
ilgili mecburi gerekliliklere cevap niteliğinde
artarak raporlanmaktadır. Dışsal risk
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
17
raporlamaları dış paydaşlara, risklerin uygun bir
şekilde yönetildiği güvencesini sağlamak üzere
tasarlanmıştır.
Dışsal raporlama paydaşlara risk yönetimi
durumu hakkında ve performansta sürekli
gelişmenin korunmasını garanti edecek
faaliyetler hakkında yararlı bilgiler sunmalıdır.
Şirketin, paydaşlarına düzenli bir şekilde
raporlama yapma, risk yönetim politikalarını ve
hedeflerine ulaşmadaki etkinliğini ortaya koyma
ihtiyacı vardır. Paydaşların da, şirketlerin sosyal
ilişkiler, insan hakları, çalışma uygulamaları,
sağlık, güvenlik, çevre gibi konularda gösterdiği
kurumsal davranışlara dikkat etme oranları artış
göstermektedir.
Risk raporlama tarihsel kayıplar ve eğilimler
hakkında bilgi sağlamaktayken riskin açıklanması
yeni oluşan risklerin tahminine dair ileriye dönük
bir faaliyettir. Risk performasının ölçümü ve
izlenmesi ile risk yönetim sürecini geliştirmek için
tecrübelerden ders almaya yönelik adımlar atma
arasında çok açık bir fark vardır. Ayrıca
raporlama sayesinde risk çerçevesi ve yan
fonksiyonlarının gelişimi için faydalı olacak
önemli dersler çıkartılabilir.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
18
Ek A: Risk yönetim kontrol listesi
Risk mimarisi
Risk sorumluluklarını ortaya koyan ve Yönetim Kuruluna bırakılan risk bazlı konuları listeleyen açıklama oluşturuldu.
Risk yönetim sorumlulukları uygun yönetim komitesine atandı.
Riskler ve kontroller üzerindeki uygun tavsiyelerin kullanılabilirliğini sağlamak için gerekli düzenlemeler devreye alındı.
Risk bilinç kültürü organizasyon bünyesinde oluşturuldu ve risk olgunluk seviyesinin yükseltilmesi için eylemler ele alındı
Yönetim Kurulu için risk güvencesi kaynakları belirlendi ve onaylandı
RİSK Stratejisi
Risk iştahını, kültürünü ve felsefesini tanımlayan risk yönetim politikaları üretildi
Başarının kilit bağımlılıkları, başarıyı engelleyebilecek durumlarla birlikte belirlendi.
İş hedefleri onaylandı ve bu hedefleri destekleyen varsayımlar test edildi
Kurumun karşı karşıya kaldığı belirli riskler gerekli kritik kontrollerle birlikte belirlendi
Anahtar risk göstergelerinin uygun bir şekilde kullanımını içeren risk yönetim aksiyon planı hazırlandı
Gerekli kaynaklar belirlendi ve risk yönetimi faaliyetlerini desteklemek üzere temin edildi
Risk protokolleri
Uygun değişikliklerle birlikte uygun risk yönetimi çerçevesi belirlendi ve uyarlandı
Uygun ve gerekli risk değerlendirmeleri tamamlandı ve sonuçları uygun bir formatta kaydedildi
Riski işin karar alma kısmına dahil etmek için prosedürler kuruldu ve uygulandı.
Gerekli risk tepkilerinin detayları, risk geliştirme tavsiyelerinin takibi için gerekli düzenlemelerle birlikte kaydedildi.
Risk eğilimlerinin belirlenebilmesi için olay raporlama prosedürleri ile birlikte risk artış prosedürleri oluşturuldu.
İş sürekliliği ve afet kurtarma/iyileştirme planları hazırlandı ve test edildi.
Belirgin risk kontrollerinin etkinliği ve verimliliğini denetlemek için düzenlemeler yapıldı.
Riskle ilgili mecburi raporlama düzenlemeleri, en azından aşağıdaki maddelerin raporlarını içerecek şekilde düzenlendi:
Risk iştahı, toleransı ve kısıtlamaları
Risk mimarisi ve risk artış prosedürleri
Mevcut risk bilinç (farkındalığı) kültürü
Risk değerlendirme düzenlemeleri ve protokolleri
Belirli riskler ve anahtar risk göstergeleri
Kritik kontroller ve kontrol zayıflıkları
Ek A: Risk yönetimi kontrol listesi
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
19
Faaliyet Kavramlar / Araçlar ve Teknikler
Planlama ve Tasarım (5. Bölüme Bakınız)
1. Kurumsal risk yönetimi girişiminin amaçlanan avantajlarını belirleme ve Yönetim Kurulunun yetkisini kazanma
KRY faydaları
Risk yönetimini yerleştirme
2. KRY girişiminin kapsamını belirleme ve risk için ortak bir dil geliştirme
Baş risk
Paydaşların beklentileri
3. Risk yönetimi stratejisi, çerçevesi, görevleri ve sorumluluklarını oluşturma
Risk yönetimi politikası
Risk mimarisi
Uygulama ve Kıyaslama (6. Bölüme bakınız)
4. Risk değerlendirme prosedürlerini ve kararlaştırılmış risk sınıflama sistemini uyarlama/benimseme
Risk tanımı
Risk sınıflandırma sistemleri
5. Önemli risk kıyaslama (ölçütlerini) oluşturma ve risk değerlendirme
Risk değerlendirme teknikleri
Önemin kıyaslama testleri
6. Risk iştahı ve risk tolerans seviyelerini belirleme ve mevcut kontrolleri değerlendirme
Risk kaydı
Risk iştahı
Ölçme ve İzleme (7. Bölüme bakınız)
7. Mevcut kontrollerin maliyet verimliliğinden emin olma ve geliştirmeler sunma
Risk geliştirme planları
İş sürekliliği planları ve afet kurtarma/iyileştirme planları
8. Risk bilinç kültürünü yerleştirme ve risk yönetiminin diğer yönetim görevleriyle uyumunu sağlama
Kontrol çevresi
Risk iletişimleri
Öğrenme ve Raporlama (8. Bölüme bakınız)
9. Risk performans göstergelerinin KRY katkısının ölçülebilmesi için izlenmesi ve gözden geçirilmesi
Denetim planları ve risk gözden geçirmeleri
Risk güvence kaynakları
10. Risk performansının yasal ve diğer gerekliliklerle raporlanması ve gelişimin izlenmesi
Risk raporlama
Yasal gereklilikler
Ek B: Uygulama Özeti
Aşağıdaki tablo Kurumsal Risk Yönetimi insiyatifi
uygulaması sırasında atılacak adımların özet
listesini sunar. KRY insiyatifinin başarılı bir
uygulaması aşağıdaki 10 adımın düzenli bir
şekilde uygulanmasını gerektiren devamlı bir
süreçtir. 10 adım aşağıdakilere ayrılmıştır;
Planlama ve tasarım
Uygulama ve kıyaslama
Ölçme ve takip
Öğrenme ve raporlama