1

Kurumsal Risk Yönetimi

Eklenme Tarihi: 28.06.2022 | Okunma: 275

Kurumsal Risk Yönetimi

İşletmelerin stratejik yönetim süreçlerinde belirledikleri amaçlarına ulaşmalarını engelleyen her türlü unsur risk olarak tanımlanmaktadır. İşletmelerin söz konusu riskleri ortadan kaldırabilecekleri, minimize veya transfer edebilecekleri veya risk almama yoluna gidecekleri kontrol mekanizmalarını geliştirmeleri gerekmektedir. Bu amaçla, işletmelerin öncelikle mevcut ve olası riskleri tanımlamaları, önemini öngörmeleri, gerçekleşme olasılığını değerlendirmeleri, nasıl yönetileceğini belirlemeleri, alınması gereken önleyici kontrolleri ve gerekli düzeltici tedbirleri tespit etmeleri gerekmektedir. Risk yönetimi çerçevesinde yapılan bu sürecin sürekli gözlenmesi, değerlendirilmesi ve gerekli durumlarda geliştirilmesi söz konusudur.[1]

Risk genel anlamıyla, istenmeyen sonuçlarla karşılaşılma ihtimalini ifade eder. İşletme riski ise, işletmenin planlanan amaçlarını yani hedeflerini gerçekleştirmesini engelleyecek her türlü olay veya engel olarak tanımlanabilmektedir. Risk bünyesinde sadece tehlikeleri değil, fırsatları da barındırmaktadır. Beklenmeyen olaylardan kaynaklanan risk tehlikeyi, değişimden kaynaklanan risk belirsizliği, riski işletme lehine kullanabilme becerisi ise fırsatları ifade etmektedir.[2]

Günümüzde her geçen gün artan rekabet koşulları ve küresel çaptaki belirsizliklerin getirdiği riskler göz önüne alındığında her şirketin kurumsal risk yönetimi ilkeleriyle faaliyetlerini sürdürme ihtiyacı önem kazanmaktadır. “Kurumsal Risk Yönetimi; şirketi etkileyebilecek potansiyel olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve şirketin hedeflerine ulaşması, finansal raporlamanın güvenilirliği, faaliyetlerin etkinliği ve verimliliği ve uygulanabilir yasa ve düzenlemelere uygunluk amaçlarına makul bir derecede güvence sağlamak amacı ile oluşturulmuş; şirketin yönetim kurulu, yöneticileri ve tüm diğer çalışanları tarafından etkilenen ve iç kontrolü de kapsayarak belirli bir strateji içinde tüm işletme çapında uygulanan sistematik bir süreçtir”.[3]

Bu süreç boyunca kuruluşlar, faaliyetlerindeki değişimleri kontrol eder ayrıca paydaşlarıyla iletişim kurar, onlara danışır ve riskin ele alınması için ilave hususların olup olmadığından emin olur, mevcut riskleri değiştiren faktörleri kontrol ederek riski izler ve gözden geçirir. TSE 31000 Risk Yönetimi Standardı, bu sistematik ve mantıksal süreci ayrıntısıyla açıklar. Bütün kuruluşlar riski bir dereceye kadar yönetirken, bu standart risk yönetimini etkin kılmak için sağlanması gereken pek çok sayıdaki prensibi tesis eder. Bu standart kuruluşların genel idaresi, stratejisi ve planlaması, yönetimi, rapor verme süreçleri, politikaları, değerleri ve kültürü doğrultusunda risk yönetimi ile ilgili süreci bütünleştirmek amaçlı bir çerçeve geliştirmesini, uygulamasını ve sürekli olarak iyileştirmesini tavsiye eder. Bu standartta açıklanan genel yaklaşım, herhangi karakterdeki riski sistematik, şeffaf ve güvenilir bir şekilde, kapsam ve içerik dahilinde yönetmek için prensipleri ve genel esasları sağlar.[4]

 

 

 

Bir işletmede risk yönetim sitemi;

  • İşletmenin amaçlarının misyonuyla uyumlu olarak belirlenmesi,
  • Hedeflerinin gerçekleştirilmesini etkileyebilecek potansiyel risklerin belirlenmesi ve değerlendirilmesi,
  • Risklerin tanımlanması, risklerin ölçümlenmesi ve öncelik sırasına konması,
  • Düşük, orta ve yüksek düzeylerindeki risk etki ve olasılıklarını içeren risk matrisinin hazırlanması,
  • Kabul etmeye istekli olunan risk iştahının belirlenmesi,
  • Potansiyel risklerin etkin yönetim ve kontrolü için süreçlerin oluşturulması,
  • Süreçlerde yer alan yönetici  ve çalışanların da bilgilendirilmesi,
  • İşletmenin risk yönetim ilkelerine uygun yönetilmesi,

Süreçlerinden oluşur ve paydaşlara makul bir güvence sağlar.[5]

İşletmeler bugün yaşadıkları riskler ile gelecekte karşı karşıya kalacakları riskleri belirlemek ve kontrol altına alabilmek için kurumsal yönetim sistemlerinden faydalanabilirler. Riskleri doğru yönetmenin işletmelerin kaderini belirleyecek faaliyetler bütünü olması kurumsal yönetim sistemlerinin önemini her geçen gün artırmaktadır.

 

Kurumsal Risk Yönetimi Standatları;

  • Gelecekte karşılaşılabilecek zor durumları öngörür,
  • Riskler ortaya çıkmadan önlem alınması sağlanır,
  • Sürpriz ve kayıplar en aza indirilir,
  • Hızlı ve etkili karar almaya yardımcı olur,
  • Zaman tasarrufu sağlar,
  • Kaynak israfını önler,
  • Risklerin makul seviyelerde tutulmasını sağlar,
  • İş sürekliliği sağlanır,
  • Hedefleri gerçekleştirme ihtimalini artırır,
  • Proaktif yönetimi teşvik eder,
  • Kuruluş genelinde riski belirleme ve ele alma ihtiyacının farkında olunması sağlar,
  • Fırsatlar ve tehditlerin analizini sağlar,
  • İlgili yasal ve mevzuat şartlarına ve uluslararası normlara uyum sağlamaya yardımcı olur,
  • Paydaş güvenini ve itimadını iyileştirmeye yardımcı olur,
  • Karar verme ve planlama için güvenilir bir temel oluşturur,
  • Riskin ele alınması için kaynakları etkin bir şekilde tahsis etme ve kullanma kolaylığı sağlar,
  • Operasyonel etkinliği sağlar ve verimliliği arttırır,
  • Kaybın önlenmesi ve vaka yönetimini iyileştirir.[6]

Globalleşen dünyada, teknoloji ve rekabetteki sürekli ve hızlı gelişim ile buna bağlı olarak müşterilerin ürün ve hizmet taleplerinde yaşanan değişimleri yönetmek işletmeler için karşı karşıya kaldıkları riskleri tanımlamaya, ölçmeye ve sonuçlarını değerlendirmeye gereksinim duymalarına sebep olmaktadır. Oluşan bu riskleri türleri itibariyle dört ana başlıkta incelemek mümkündür;

  • Piyasa riski
  • Faaliyet riski
  • Operasyonel riskler
  • Kredi riski

Riskler alt risklerin tanımlanması ve kategorize edilmesiyle netleştirilebilir ve risklere karşı stratejiler belirlenebilir.

Riskler sürekli değişkenlik gösterir, etkin bir risk yönetim sistemi oluşturduktan sonra değişen risklerin takip edilmesi, risklere karşı oluşturulan yönetim sisteminin etkinliğinin ölçülmesi ve aksiyon planlarının oluşturabilmesi için denetlenmesi gerekir. İç denetim, risklerin değerlendirilmesi ve riske dayalı denetim yaklaşımının oluşturulmasında önemli bir fonksiyona sahiptir. İç denetim faaliyeti, önemli risk maruziyetlerini tespit edip değerlendirerek risk yönetimi ve kontrol sistemlerinin iyileştirilmesine yardımcı olmalıdır.[7]

İç denetim faaliyetiyle; finansal ve operasyonel bilgilerin güvenirliliği ve bütünlüğü, faaliyetlerin etkinlik ve verimliliği, varlıkların korunması, kanun, düzenleme ve uyum konularında kurumsal yönetişim, kontrol ve bilgi sistemlerinin karşı karşıya olduğu riskleri değerlendirmesi gerekmektedir.[8] İç denetim aynı zamanda; kontrol süreçleri, yönetim hataları ve usulsüzlükler, risklerin yönetilmesi sürecinin tasarlanması, kontrolü ve kurumsal kontrol etkinliğinin arttırılması sürecinde sistemli bir yaklaşım sağlayarak hedeflerin gerçekleştirilmesinde, risk yönetimi, risk ve kontrol konularıyla ilgili raporlama süreçlerinin ve alınan önlemlerin periyodik değerlendirilmesinde işletme yönetimine ve denetim komitesine yardımcı olmaktadır.[9]

Etkin bir iç denetim sisteminin en önemli görevlerinden biri tüm risklerin tespit edilmesi ve minimize edilmesi için uygun öneriler geliştirmektir. Geleneksel anlayışta denetim faaliyeti sadece geçmiş döneme ait hataların incelenmesi ve belirli bir faaliyete veya şahsa yönelik yürütülen çalışmaları ifade etmektedir. Günümüzde denetimin risk odaklı yapılması ise, işletmelerin geçmiş faaliyetlerin değerlendirilmesinden çok, gelecekte daha iyi yönetilmesine odaklanmaktır. Risk odaklı iç denetim, işletmelerin risk profillerinin belirlenmesi, denetim sürecinin işletmenin risk profiline göre şekillendirilmesi ve denetim kaynaklarının buna göre tahsis edilmesi esasına dayanan ve denetimin etkililiğini artırmayı amaçlayan bir denetim yaklaşımıdır. Bu çerçevede Makro ve mikro düzeyde risk analizi yapılmaktadır. Makro düzeyde risk odaklı yapılacak yıllık denetim planında denetim öncelikleri belirlenerek, denetim planının en riskli faaliyetlerden başlanarak yapılması hedeflenmektedir. Mikro risk analizinde, denetlenen her bir faaliyete ilişkin risklerin tanımlanması, mevcut iç kontrollerin değerlendirilmesi, risklerin giderilmesine yönelik iç kontrol uygulamalarının geliştirilmesi söz konusudur.[10]

İşletmelerin hedeflerine ulaşmasında karşılarına çıkabilecek her engel risk oluşturur. İşletmelerinin hedeflerine ulaşabilmesi ve faaliyetlerini sürdürebilmesi için etkin bir risk yönetim sürecine sahip olması gerekir. Risk yönetimi, işletme hedeflerine ulaşılmasını etkileyebilecek her türlü riskin tanımlanması, gerçekleşme olasılığının ve etkisinin ölçülmesi, şiddetlerinin belirlenmesi, kategorize edilmesi, minimize veya transfer edilerek, uygun iç kontrol noktalarıyla minimize edilmesini içeren sistematik bir yönetim biçimidir. [11]

Kurumsal risk yönetimi, işletmelerin gelecekte karşılaşabilecekleri riskleri çeşitli yöntemlerle belirleyerek, analiz ve ölçümünü gerçekleştirerek önceliklendirilmesi ve bu risklerin işletmenin belirlemiş olduğu hedeflerine katkı sağlayacak biçimde yönetilmesine imkan veren bir sistemdir. Kurumsal risk yönetim sistemi, işletmelerde yalnızca risklerin yönetilmesi ve risk getiri dengesinin kurulmasına katkı sağlamakla kalmamakta aynı zamanda işletmelerde değer yönetimi gibi kavramların da ön plana çıkmasına yardımcı olmaktadır. Geleneksel yönetim anlayışının yerini alan kurumsal yönetim anlayışının bir getirisi durumunda bulunan kurumsal risk yönetimi, risk yönetimi, iç kontrol ve iç denetim sistemleriyle iç içe olan önemli bir yönetim fonksiyonu niteliğindedir.

Kurumsal risk yönetimi ile iç kontrol arasında güçlü bir ilişki söz konusudur. işletmelerde etkili bir iç kontrol sisteminin varlığından söz edebilmek için etkili bir risk yönetim sisteminin işletmede yerleşmiş olması gereklidir. Kurumsal risk yönetim sistemleri, işletme genelinde iç kontrollere yönelik daha fazla hesap verilebilirlik, sorumluluk ve sahiplenme sağlamaktadır. Aynı şekilde geleneksel iç denetim anlayışı da zamanla yerini risk odaklı iç denetim anlayışına bırakmakta bu durum da iç denetimin odak noktasını risk yönetimi konusuna çekerek, kurumsal risk yönetim ile iç denetim sisteminin koordineli çalışmasını bir zorunluluk haline getirmektedir.[12]

 

[1] Keskin Duygu Anıl, İşletmelerin Sürekliliğini Sağlamada Kritik Öneme Sahip Risk Yönetimi ve Risk Odaklı Denetim Yaklaşımı, https://dergipark.org.tr/tr/download/article-file/208926, Erişim: 09.06.2022

[2] Keskin Duygu Anıl, İç Kontrol Sistemi Kontrol Öz Değerlendirme, Beta yayınevi, İstanbul, 2006, s.16

[3] COSO, (2004), Entity Risk Management – Integrated Framework

[7] Uluslararası İç Denetim Standardı, Türkiye İç Denetim Enstitüsü yayınları, 2110 Risk Yönetimi,2110.A2

[8] Uluslararası İç Denetim Standardı, Türkiye İç Denetim Enstitüsü yayınları, 2110 Risk Yönetimi,2110.A2,2110.C1, 2110.C2

[9] UYAR Süleyman, İç Kontrol ve İç Denetim 5018 sayılı Kanun Açısından Değerlendirme, Gazi Kitapevi, Ankara, 2009

[10] Keskin Duygu Anıl, İşletmelerin Sürekliliğini Sağlamada Kritik Öneme Sahip Risk Yönetimi ve Risk Odaklı Denetim Yaklaşımı, https://dergipark.org.tr/tr/download/article-file/208926, Erişim: 09.06.2022

[11] Çetin Özbek, VII.Türkiye İç Denetim Kongresi, “Denetimin Değişen Dünyası”, Yeni İç Denetçi Profili, Institute of Internal Auditors, 2002

[12] Usman Özlem, İşletmelerde Kurumsal Risk Yönetim Süreci ve Bir Uygulama, Doktora Tezi, Bursa, 2008