Kurumsal Risk Yönetimi
İşletmelerin stratejik yönetim süreçlerinde belirledikleri amaçlarına ulaşmalarını engelleyen her türlü unsur risk olarak tanımlanmaktadır. İşletmelerin söz konusu riskleri ortadan kaldırabilecekleri, minimize veya transfer edebilecekleri veya risk almama yoluna gidecekleri kontrol mekanizmalarını geliştirmeleri gerekmektedir. Bu amaçla, işletmelerin öncelikle mevcut ve olası riskleri tanımlamaları, önemini öngörmeleri, gerçekleşme olasılığını değerlendirmeleri, nasıl yönetileceğini belirlemeleri, alınması gereken önleyici kontrolleri ve gerekli düzeltici tedbirleri tespit etmeleri gerekmektedir. Risk yönetimi çerçevesinde yapılan bu sürecin sürekli gözlenmesi, değerlendirilmesi ve gerekli durumlarda geliştirilmesi söz konusudur.[1]
Risk genel anlamıyla, istenmeyen sonuçlarla karşılaşılma ihtimalini ifade eder. İşletme riski ise, işletmenin planlanan amaçlarını yani hedeflerini gerçekleştirmesini engelleyecek her türlü olay veya engel olarak tanımlanabilmektedir. Risk bünyesinde sadece tehlikeleri değil, fırsatları da barındırmaktadır. Beklenmeyen olaylardan kaynaklanan risk tehlikeyi, değişimden kaynaklanan risk belirsizliği, riski işletme lehine kullanabilme becerisi ise fırsatları ifade etmektedir.[2]
Günümüzde her geçen gün artan rekabet koşulları ve küresel çaptaki belirsizliklerin getirdiği riskler göz önüne alındığında her şirketin kurumsal risk yönetimi ilkeleriyle faaliyetlerini sürdürme ihtiyacı önem kazanmaktadır. “Kurumsal Risk Yönetimi; şirketi etkileyebilecek potansiyel olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve şirketin hedeflerine ulaşması, finansal raporlamanın güvenilirliği, faaliyetlerin etkinliği ve verimliliği ve uygulanabilir yasa ve düzenlemelere uygunluk amaçlarına makul bir derecede güvence sağlamak amacı ile oluşturulmuş; şirketin yönetim kurulu, yöneticileri ve tüm diğer çalışanları tarafından etkilenen ve iç kontrolü de kapsayarak belirli bir strateji içinde tüm işletme çapında uygulanan sistematik bir süreçtir”.[3]
Bu süreç boyunca kuruluşlar, faaliyetlerindeki değişimleri kontrol eder ayrıca paydaşlarıyla iletişim kurar, onlara danışır ve riskin ele alınması için ilave hususların olup olmadığından emin olur, mevcut riskleri değiştiren faktörleri kontrol ederek riski izler ve gözden geçirir. TSE 31000 Risk Yönetimi Standardı, bu sistematik ve mantıksal süreci ayrıntısıyla açıklar. Bütün kuruluşlar riski bir dereceye kadar yönetirken, bu standart risk yönetimini etkin kılmak için sağlanması gereken pek çok sayıdaki prensibi tesis eder. Bu standart kuruluşların genel idaresi, stratejisi ve planlaması, yönetimi, rapor verme süreçleri, politikaları, değerleri ve kültürü doğrultusunda risk yönetimi ile ilgili süreci bütünleştirmek amaçlı bir çerçeve geliştirmesini, uygulamasını ve sürekli olarak iyileştirmesini tavsiye eder. Bu standartta açıklanan genel yaklaşım, herhangi karakterdeki riski sistematik, şeffaf ve güvenilir bir şekilde, kapsam ve içerik dahilinde yönetmek için prensipleri ve genel esasları sağlar.[4]
Bir işletmede risk yönetim sitemi;
Süreçlerinden oluşur ve paydaşlara makul bir güvence sağlar.[5]
İşletmeler bugün yaşadıkları riskler ile gelecekte karşı karşıya kalacakları riskleri belirlemek ve kontrol altına alabilmek için kurumsal yönetim sistemlerinden faydalanabilirler. Riskleri doğru yönetmenin işletmelerin kaderini belirleyecek faaliyetler bütünü olması kurumsal yönetim sistemlerinin önemini her geçen gün artırmaktadır.
Kurumsal Risk Yönetimi Standatları;
Globalleşen dünyada, teknoloji ve rekabetteki sürekli ve hızlı gelişim ile buna bağlı olarak müşterilerin ürün ve hizmet taleplerinde yaşanan değişimleri yönetmek işletmeler için karşı karşıya kaldıkları riskleri tanımlamaya, ölçmeye ve sonuçlarını değerlendirmeye gereksinim duymalarına sebep olmaktadır. Oluşan bu riskleri türleri itibariyle dört ana başlıkta incelemek mümkündür;
Riskler alt risklerin tanımlanması ve kategorize edilmesiyle netleştirilebilir ve risklere karşı stratejiler belirlenebilir.
Riskler sürekli değişkenlik gösterir, etkin bir risk yönetim sistemi oluşturduktan sonra değişen risklerin takip edilmesi, risklere karşı oluşturulan yönetim sisteminin etkinliğinin ölçülmesi ve aksiyon planlarının oluşturabilmesi için denetlenmesi gerekir. İç denetim, risklerin değerlendirilmesi ve riske dayalı denetim yaklaşımının oluşturulmasında önemli bir fonksiyona sahiptir. İç denetim faaliyeti, önemli risk maruziyetlerini tespit edip değerlendirerek risk yönetimi ve kontrol sistemlerinin iyileştirilmesine yardımcı olmalıdır.[7]
İç denetim faaliyetiyle; finansal ve operasyonel bilgilerin güvenirliliği ve bütünlüğü, faaliyetlerin etkinlik ve verimliliği, varlıkların korunması, kanun, düzenleme ve uyum konularında kurumsal yönetişim, kontrol ve bilgi sistemlerinin karşı karşıya olduğu riskleri değerlendirmesi gerekmektedir.[8] İç denetim aynı zamanda; kontrol süreçleri, yönetim hataları ve usulsüzlükler, risklerin yönetilmesi sürecinin tasarlanması, kontrolü ve kurumsal kontrol etkinliğinin arttırılması sürecinde sistemli bir yaklaşım sağlayarak hedeflerin gerçekleştirilmesinde, risk yönetimi, risk ve kontrol konularıyla ilgili raporlama süreçlerinin ve alınan önlemlerin periyodik değerlendirilmesinde işletme yönetimine ve denetim komitesine yardımcı olmaktadır.[9]
Etkin bir iç denetim sisteminin en önemli görevlerinden biri tüm risklerin tespit edilmesi ve minimize edilmesi için uygun öneriler geliştirmektir. Geleneksel anlayışta denetim faaliyeti sadece geçmiş döneme ait hataların incelenmesi ve belirli bir faaliyete veya şahsa yönelik yürütülen çalışmaları ifade etmektedir. Günümüzde denetimin risk odaklı yapılması ise, işletmelerin geçmiş faaliyetlerin değerlendirilmesinden çok, gelecekte daha iyi yönetilmesine odaklanmaktır. Risk odaklı iç denetim, işletmelerin risk profillerinin belirlenmesi, denetim sürecinin işletmenin risk profiline göre şekillendirilmesi ve denetim kaynaklarının buna göre tahsis edilmesi esasına dayanan ve denetimin etkililiğini artırmayı amaçlayan bir denetim yaklaşımıdır. Bu çerçevede Makro ve mikro düzeyde risk analizi yapılmaktadır. Makro düzeyde risk odaklı yapılacak yıllık denetim planında denetim öncelikleri belirlenerek, denetim planının en riskli faaliyetlerden başlanarak yapılması hedeflenmektedir. Mikro risk analizinde, denetlenen her bir faaliyete ilişkin risklerin tanımlanması, mevcut iç kontrollerin değerlendirilmesi, risklerin giderilmesine yönelik iç kontrol uygulamalarının geliştirilmesi söz konusudur.[10]
İşletmelerin hedeflerine ulaşmasında karşılarına çıkabilecek her engel risk oluşturur. İşletmelerinin hedeflerine ulaşabilmesi ve faaliyetlerini sürdürebilmesi için etkin bir risk yönetim sürecine sahip olması gerekir. Risk yönetimi, işletme hedeflerine ulaşılmasını etkileyebilecek her türlü riskin tanımlanması, gerçekleşme olasılığının ve etkisinin ölçülmesi, şiddetlerinin belirlenmesi, kategorize edilmesi, minimize veya transfer edilerek, uygun iç kontrol noktalarıyla minimize edilmesini içeren sistematik bir yönetim biçimidir. [11]
Kurumsal risk yönetimi, işletmelerin gelecekte karşılaşabilecekleri riskleri çeşitli yöntemlerle belirleyerek, analiz ve ölçümünü gerçekleştirerek önceliklendirilmesi ve bu risklerin işletmenin belirlemiş olduğu hedeflerine katkı sağlayacak biçimde yönetilmesine imkan veren bir sistemdir. Kurumsal risk yönetim sistemi, işletmelerde yalnızca risklerin yönetilmesi ve risk getiri dengesinin kurulmasına katkı sağlamakla kalmamakta aynı zamanda işletmelerde değer yönetimi gibi kavramların da ön plana çıkmasına yardımcı olmaktadır. Geleneksel yönetim anlayışının yerini alan kurumsal yönetim anlayışının bir getirisi durumunda bulunan kurumsal risk yönetimi, risk yönetimi, iç kontrol ve iç denetim sistemleriyle iç içe olan önemli bir yönetim fonksiyonu niteliğindedir.
Kurumsal risk yönetimi ile iç kontrol arasında güçlü bir ilişki söz konusudur. işletmelerde etkili bir iç kontrol sisteminin varlığından söz edebilmek için etkili bir risk yönetim sisteminin işletmede yerleşmiş olması gereklidir. Kurumsal risk yönetim sistemleri, işletme genelinde iç kontrollere yönelik daha fazla hesap verilebilirlik, sorumluluk ve sahiplenme sağlamaktadır. Aynı şekilde geleneksel iç denetim anlayışı da zamanla yerini risk odaklı iç denetim anlayışına bırakmakta bu durum da iç denetimin odak noktasını risk yönetimi konusuna çekerek, kurumsal risk yönetim ile iç denetim sisteminin koordineli çalışmasını bir zorunluluk haline getirmektedir.[12]
[1] Keskin Duygu Anıl, İşletmelerin Sürekliliğini Sağlamada Kritik Öneme Sahip Risk Yönetimi ve Risk Odaklı Denetim Yaklaşımı, https://dergipark.org.tr/tr/download/article-file/208926, Erişim: 09.06.2022
[2] Keskin Duygu Anıl, İç Kontrol Sistemi Kontrol Öz Değerlendirme, Beta yayınevi, İstanbul, 2006, s.16
[3] COSO, (2004), Entity Risk Management – Integrated Framework
[4] ISO, https://www.tse.org.tr/IcerikDetay?ID=2041&ParentID=1060 Erişim:09.06.2022
[5] Güçlü Fırat, https://vergiport.com/blog/uploads/files/10-soruda-risk-yonetimi.pdf Erişim:09.06.2022
[6] ISO, https://www.tse.org.tr/IcerikDetay?ID=2041&ParentID=1060 Erişim:09.06.2022
[7] Uluslararası İç Denetim Standardı, Türkiye İç Denetim Enstitüsü yayınları, 2110 Risk Yönetimi,2110.A2
[8] Uluslararası İç Denetim Standardı, Türkiye İç Denetim Enstitüsü yayınları, 2110 Risk Yönetimi,2110.A2,2110.C1, 2110.C2
[9] UYAR Süleyman, İç Kontrol ve İç Denetim 5018 sayılı Kanun Açısından Değerlendirme, Gazi Kitapevi, Ankara, 2009
[10] Keskin Duygu Anıl, İşletmelerin Sürekliliğini Sağlamada Kritik Öneme Sahip Risk Yönetimi ve Risk Odaklı Denetim Yaklaşımı, https://dergipark.org.tr/tr/download/article-file/208926, Erişim: 09.06.2022
[11] Çetin Özbek, VII.Türkiye İç Denetim Kongresi, “Denetimin Değişen Dünyası”, Yeni İç Denetçi Profili, Institute of Internal Auditors, 2002
[12] Usman Özlem, İşletmelerde Kurumsal Risk Yönetim Süreci ve Bir Uygulama, Doktora Tezi, Bursa, 2008
Copyright 2024. Tasarım: Web Center. Dünkü Ziyaretçi: 32 | Bugünkü Ziyaretçi: 8