SARM ERM Publish Final 14 Feb 2012 - theirm.org · Kurumsal Risk Yönetimine Yapısal Bakış...

Ö

Risk Yön

Açısı ve I

sürümü

30.000’d

Bu kılavu

uyması g

yönetim

dünyası

IRM, bu

destekte

sıralanm

Katkıda b

İ

K

E

N

N

N

nsöz

etimi Enstitü

ISO 31000 Yü

IRM ve AIRM

den fazla say

uz, Yeni Türk

gereken tüm

i eğitim enst

ile çalışmakt

dökümanın

e bulunarak d

mış kişiler ve k

bulunanlar v

İsmet Cinem

Kübra Afşar–

Emre Özbek,

Nicola Crawf

Nolwenn Alla

Nazan Satı, B

üsü (IRM)’in

ükümlülükle

MIC (Sigorta v

yıda indirilmiş

k Ticaret Kan

işletmelerin

titüsü olarak

tan çok mutl

çevirisinin sp

daha geniş b

kuruluşlara k

ve sponsorlar

mre – Uluslara

– Bağımsız ar

, Başkan, ISA

ford, Genel M

ano, Risk and

Beyaz Gemi

popüler dök

ri’ nin Türkçe

ve Risk Yöne

ştir.

unu gereksin

n yararlanabi

, IRM başarıl

udur.

ponsorluğun

bir Türk izleyi

katkılarından

r :

arası program

raştırmacı

ACA Istanbul

Müdür, i‐Risk

d Governanc

kümanı ‘Kuru

eleştirilmiş y

eticileri Derne

nimlerinin uy

ileceği önem

lı bir büyüme

u üstlenen i‐

ici kitlesine u

n dolayı teşek

mlar direktö

Chapter, He

k Europe Ltd

ce Club

umsal Risk Yo

yorumuna ho

eği) tarafınd

ygulanmasın

mli bir araçtır

e ve gelişimi

‐Risk Europe

ulaşılmasını s

kkür eder.

Steve

rü, i‐Risk Gro

ad of Interna

© AI

onetimine (K

oşgeldiniz. Be

an 2009 yılın

ın getireceği

. Önde gelen

destekleme

Ltd ve bu ön

sağlayan aşağ

e Fowler, İcra

oup

al Audit Voda

IRMIC, ALARM,

KRY) Yapısal B

elgenin orijin

nda yayımlan

i değişiklikler

n uluslararas

ek amacıyla T

nemli çalışm

ğıda isimleri

a Kurulu Başk

afone Turke

, IRM: 2010

Bakış

nal

nmış ve

re

ı bir risk

Türk iş

aya

kanı, IRM

y

© AIRMIC, ALARM, IRM: 2010

1

İçerik

Yönetici Özeti

Giriş

Bilgilendirme

Bölüm 1: Risk, Risk Yönetimi ve ISO 31000

1. Riskin Doğası ve Etkileri

2. Risk Yönetimi Prensipleri

3. ISO 31000’in Gözden Geçirimi

4. KRY'den Faydalanmak

Bölüm 2: Kurumsal Risk Yönetimi

5. Planlama ve Tasarım

6. Uygulama ve Kıyaslama

7. Ölçme ve İzleme

8. Öğrenme ve Raporlama

Ekler

A. Risk Yönetimi Kontrol Listesi

B. Uygulama Özeti

Şekil Listesi

1. Risk Mimarisi, Stratejisi ve Protokolleri

2. Riskin Yönetim Çerçevesi (ISO 31000’e göre)

3. Risk Yönetimi Süreci (ISO 31000’e göre)

4. Borsaya kote büyük bir şirketin örnek risk yönetimi mimarisi

5. Risk Yönetimi Faktörleri

Tablo Listesi

1. Detaylandırılmış Risk Tanımı

2. Risk Yönetimi Politika İçeriği

3. Risk Yönetimi Sorumlulukları

4. Risk Değerlendirme Teknikleri

Kurumsal Risk Yönetimine Yapısal Bakış Açısı

2

Yönetici Özeti

Risk yönetimi gittikçe artan önemde bir iş

fonksiyonu olup paydaşlar, riskleri hakkında her

geçen gün daha çok endişelenmektedirler. Risk

stratejik kararların arkasında, organizasyondaki

belirsizliğin bir sebebi yada bir organizasyonun

aktivitelerinin içine yerleşmiş olabilir. Risk

yönetimine karşı kurum genelinde uygulanan

bakış açısı kurumun karşılabileceği her tip riskin

her süreç, aktivite, paydaş, ürün ve servisler

üzerindeki potansiyel etkilerini dikkate almalarını

sağlar. Kapsamlı bir yaklaşım ile yapılan uygulama

bir kurumun ‘üst risk’ (riskin iyi yönü) den

faydalanmasıyla sonuçlanacaktır.

2008’deki küresel finansal kriz gerekli miktardaki

risk yönetiminin önemini ortaya koymuştur. O

zamandan bu yana, ISO 31000‐ ‘Risk Yönetimi

Kuralları ve Rehberi’ de dahil olmak üzere yeni risk

yönetimi standartları yayınlamıştır. Bu rehber

bütün bu gelişmeleri toparlayarak Kurumsal Risk

Yönetimi (KRY) uygulamasına yapısal bir bakış açısı

getirmektedir.

Risk yönetiminin hedeflenen yararları Bütün organizasyon çeşitleri için hedefleri

başarmada ve istenen seviyede sonuçlara

ulaşabilmek için alınacak risklerin anlaşılması

gereklidir. Kurumlar süreçlerinde ve

faaliyetlerinde yerleşmiş olan risk seviyesini

anlamak zorundadırlar. Önemli risklerin,

belirlenerek önceliklendirilmesi ve en zayıf kritik

kontrollerin tanımlanması kurumlar için önemlidir.

Risk yönetimi performansını geliştirmeye

başlarken, risk yönetiminin beklenen yararları için

girişim önceden başlatılmalıdır. Başarılı bir risk

yönetiminin sonuçları uyum, güvence ve gelişmiş

karar almayı kapsar. Bu sonuçlar faaliyetlerdeki

verimin artması, taktiklerdeki etkinlik (değişim

projeleri) ve kurumun startejisine olan etkisi

yollarıyla fayda sağlar.

Rehberin amacı Başarılı Kurumsal Risk Yönetimi (KRY) girişimi

riskin gerçekleşme olasılığı ve sonuçlarını etkilediği

gibi daha bilinçli stratejik kararları, başarılı bir

değişim ve artan operasyonel verimliliği temin

eder. Diğer yararlar ise sermaye maliyetinde

azalma, doğru finansal raporlama, rekabet

avantajı, daha gelişmiş kurumsal algı, piyasada

daha iyi bir varoluş ile kamu hizmetleri ve

kurumlarında daha etkili politika ve çevre desteği

olarak sıralanabilir.

Bu rehber, ISO 31000 için net bir yorum sağladığı

gibi KRY girişimi uygulamalarına da tavsiyelerde

bulunur. Rehberin amacı;

Risk yönetimi prensip ve süreçlerini tanımlamak

ISO 31000 gereklilikleri hakkında kısa bir

özette bulunmak

Uygun bir yapı dizayn etmede pratik bir

rehber sunmak

KRY uygulamasına pratik önerilerde

bulunmaktır


3

Giriş

Bu rehber İngiltere’deki AIRMIC (Sigorta ve Risk Yöneticileri Derneği), Alarm (Kamu Sektörü Risk Yönetimi Derneği), IRM (Risk Yönetimi Enstitüsü) gibi önemli risk yönetim organizasyonlarının takım çalışması sonucu oluşturulmuştur. Rehber her çeşit kuruma uygulanabilir olarak hazırlanmıştır. Rehber boyunca ‘kurul’ tanımı kurumun içindeki karar alma mekanizmasını ifade eder. Kamu sektöründe bu organ Konsey, Yönetim veya otorite olarak tanımlandırılabilir. Risk yönetiminin içeriği, nasıl uygulanması gerektiği ve neler kazandırabileceği hakkında pek çok görüş vardır. Uluslararası Standardizasyon Organizasyonu (ISO) 31000 standardı 2009 yılında yayınlanmıştır ve bu sorulara cevap aramaktadır. Bu rehberse ISO 31000 hakkında kısa bir özet sunarken ek olarak da risk yönetiminin başarıyla uygulanması üzerine ek bilgiler içermektedir. Bunun yanında, bu rehber riskin aşağı yönlü (olumsuz yönlü) olduğu gibi yukarı yönlü (olumlu yönlü) de olabileceğini hatırlatır.

Risk yönetiminin prensipleri Risk yönetimi aslında birçok prensip ile desteklenen bir süreçtir. Ayrıca risk yönetimi kuruma ve dış çevresine veya içeriğine uygun bir yapı tarafından desteklenmelidir. Başarılı bir risk yönetimi girişimi kurumun risk seviyesiyle (büyüklüğü, doğası ve organizasyonun karmaşıklığı yönünden) orantılı, diğer kurumsal aktivitelerle uyumlu, kapsamlı, rutin aktivitelerin içine yerleştirilmiş ve değişen koşullara cevap vermede dinamik bir yapıda olmalıdır. Bu bakış açısı, risk yönetim girişiminin ilgili

yükümlülüklerle uyumlu, paydaşlara riskin

yönetiminde güvence ve gelişmiş bir karar

alma süreci sağlamasında yardımcı olur. Bu

sonuçların etkileri ve yararlarıysa daha verimli

operasyonlar, etkili taktikler ve beklenen

sonuçları veren stratejiler içerir. Bu yararların

sürekli ve ölçülebilir olması gereklidir. Risk

yönetim gerekliliklerinin tamamen

karşılanması için yapılması gerekenlerin listesi

Ek‐A'da sunulmuştur.

COSO KRY Çerçevesi ve ISO 31000 COSO 2004’de Kurumsal Risk Yönetimi (KRY)

Standardı yayınlamıştır. COSO KRY kübü risk

yönetimi uygulayıcıları tarafından geniş ölçüde

tanınmakta ve KRY’i uygulamada bir taslak

sunmaktadır. COSO KRY’de önemli bir etki

sahibi olmuştur çünkü Amerika’da borsaya

bağlı (kote) şirketlerin Sarbanes‐Oxley

gereklilikleriyle bağlantılıdır. ISO 31000 ise

2009’da risk yönetimi kurallarının

uygulanmasına uluslararası bir standart

getirilmesi amacıyla yayınlanmıştır.

Bu rehber risk yönetimi uygulamasına kurumsal bazda yapısal bir bakıç açısı getirmek amacıyla hem COSO KRY hem de ISO 31000 ile uygun olacak şekilde hazırlanmıştır. Fakat rehber uluslararası bir standart olduğundan ötürü ISO 31000’e daha çok değinmektedir ve birçok organizasyonun uluslararası operasyonları vardır. ISO, ISO 31000’i yayınlarken aynı zamanda Rehber 73 ‘Risk Yönetimi‐ Sözlüğü‐ Standartlarda Kullanım Rehberi’ ni yayınlamıştır.

Bilgilendirme ISO 31000 ‘Risk Yönetimi‐ Uygulamaları’

kullanım izni BSI’ya aittir. İngiliz Standartları

PDF veya hardcopy halinde BSI online

alışverişten www.bsigroup.com/ sitesinden

veya hardcopy için telefon: +44 (0)20 8996 9001, e‐mail: [email protected] ‘den

temin edilebilir.

Şekil 1&4 ve Tablo 2, 3 ve 4 ‘Fundamentals of Risk Management’ (2010) ISBN 978 0 7494 5942 0 www.koganpage.com‘dan ‘Kogan Page Limited’in izniyle üretilmiştir.

BBO


4

Bölüm 1: Risk, risk yönetimi ve ISO 31000

Birinci bölüm ISO 31000’den referans alarak riski ve risk yönetimini gözden geçirir. Risk yönetim sürecinde kullanılan terimler tutarlı değildir ve bölüm bu zorlukları yansıtır. Uygun standartlarda bir risk yönetiminin sağlanması için gerekli olan risk yönetim gerekliliklerinin özeti Ek A’da bir kontrol listesi olarak sunulmuştur.

1. Riskin doğası ve etkileri Risklerin bir organizasyona kısa, orta ve uzun vadeli etkileri olabilir. Bu riskler sırasıyla operasyonlarla, taktik ve stratejilerle ilişkili olabilir. Strateji kurumun uzun vadeli hedeflerini ortaya koyar ve şirketin stratejik planlama süreci yaklaşık olarak 3, 5 veya daha fazla yılı kapsayabilir. Taktikler kurumdaki değişimi başarmanın nasıl hedeflendiğini açıklar. Bu yüzden taktiksel riskler genellikle projelerle, birleşme ve satın almalarla, ürün geliştirmelerle ilişkilendirilirir. Operasyonlar şirketin rutin faaliyetleridir.

Risk tanımı Riskin ve risk yönetiminin birçok tanımı vardır. ISO Rehber 73’de ortaya konulan risk tanımı ‘belirsizliklerin hedeflerin üzerindeki etkisi’dir. Bu tanımın uygulamasını desteklemek için Rehber 73 aynı zamanda bu etkinin pozitif, negatif veya beklenenden sapma olabileceğini; riskin genellikle olaylar, durumdaki değişimler veya sonuçlar tarafından betimlendiğini belirtmiştir. Bu tanım riski hedeflerle ilişkilendirmiştir. Bu yüzden riskin tanımı ancak şirketin hedefleri detaylı ve tamamen tanımlandığında kolaylıkla uygulanabilir. Hedefler tamamen tanımlandığında bile, bu hedefler ve temel varsayımların risk yönetim süreci dahilinde test edilmesi gerekmektedir.

Örneğin, bir kurumun altyapısı ve yeni bir BT sisteminin uygulanmasını düşünün. Donanım ve

yazılım seçimi stratejik kararlardır. Eger bu tercihler doğru yapilmamissa, sonuçları bir süre için

açıkca belli olmayacaktır. Bunlarla ilişkili riskler stratejik risklerdir ve bu riskler yarar sağlanması

amacıyla alınmıştır. Doğru stratejik kararların getirdigi yararlar riskin yukari yönünün başarılı

sonucudur.

Yeni donanım ve yazılımı yüklemek projesi içerisinde stratejinin uygulanacağı yöntemleri gösteren

bir değişim girişimi olacaktır. Projenin zamanında, bütçeyi aşmadan ve şartnameye uygun olarak

teslim edilebilmesi icin proje içerisindeki risklerin yönetilmeleri gerekir. Ayrıca, projenin

yürütülmesi esnasında yukarı yöne ulaşmak vasıtasıyla projenin erken ve bütçe altında teslim

edilmesi mümkündür. Aynı zamanda BT donanım ve yazılımının beklenenden daha büyük yararlar

sağlaması da mümkündür.

Yeni donanım ve yazılım yüklendiğinde, sistem bilgisayar arızalanması, veri kayıpları, virüs

saldırıları ve operatör hataları gibi operasyonel risklere karşı kolay etkilenebilir bir hale gelecektir.

Bu operasyonel riskler çok önemli olabilir ve potansiyel kesintileri en aza indirmek için doğru

tasarlanarak uygulanacak prosedürler gerekecektir.

5

Risk dkaydedRisk değardındanöncelikleilgili uygşablonunkaydedilgösterir.çalışma dsisteme sağlanmyeterli odeğerlentanımlamortaya ç Riskin ge(tehlike olabilecesebep ololarak ogöre uygsıralamasonuçlarnicel vey Kurumlasonuçlartanımlam Tablo

eğerlenddilmesi erlendirmesn değerlendiendirilmesi ilun bilginin kn olması önemesi gereke Şablonun amdosyası ya dagirilmesi gerasıdır. Genelmasına rağmndirme sürecmasının gereıkmaktadır.

erçekleşmesiriskleri) veyaeği gibi dahalabilir. Kurumluşan farklı ogun tanımlarası riskin ortarına veya etkya nitel olabi

ar ortaya çıkmrının ölçümlemaları gerekm

o 1: Detay

irmelerin

i riskin tanımrilmesi veya le devam edeaydedilmesi emlidir. Tabloen bilginin kamacı tabloyaa bilgisayar oreken bilgilerllikle riskin bmen detaylı rci için detaylıektiği duruml

inin sonuçlara pozitif (fırsa büyük bir bemlar farklı risolasılık ve etkını oluşturmaya çıkma olakilerine göre lir.

ma olasılıklarerini kendilermektedir.

ylandırılm

in

mlanmasının

er. Her risklesırasında biro 1 psamını a, risk kaydınortamında rin basit bir tanımrisk ı bir risk ar da bazen

rı negatif at riskleri) elirsizliğe desklere bağlı ki seviyelerinalılardır. Riskasılığına, olasnicel, yarı

rını ve ri

mış Risk T

e r

na,

mı

e

ne k sı

Ögevesosufa4 göönanönta

RRidotadekukutaönkuopta RigevefakamTanımı

Kuru

rnek olarak erçekleşme oe düşük seviyonuçları 3 x 3unmaktadırlaazla seçeneğix 4 veya 5 x örebilirler. Hnünde bulunnalizler için önceliklendirianınmış olur.

Risk sınıflaisk analizindeoğasını, kaynanımlamaktıreğerlendirilmullanılabilir. Rurumların beanımlamalarınemlidir. Risurumun hangperasyonlarıanımlaması a

isk sınıflandıenellikle finaerimlilik, itibakat bütün kuabul görmüşmevcut değild

umsal Risk Yöne

birçok organolasılığını ve ye olarak bel3 matriks şekar. Diğer orgain de olması 5 matrikslerer risk için ondurularak daönemli risklelerek sıralan

andırma se önemli bir nağını veya er. Risklerin bmesi için risk Risk sınıflandenzer risklerina imkan vek sınıflandırmgi stratejisininın savunmaaçısından öne

rma sistemlensal kontrol,ar ve ticari aurumlara uygbir risk sınıfl

dir.

etimine Yapısal

nizasyon, risketkisini yükslirlemekte veklinde anizasyonlargerektiğini drini gerekli olasılığı ve etkaha detaylı eerin masına imka

sistemleraşama riskin

etki türünü u şekilde sınıflandırmdırma sistemn birikimleriermesi açısınma sistemlerin, taktiklerinasız olduğunemlidir.

eri risk ayrım, operasyonektivitelere dgulanabilecelandırma sist

l Bakış Açısı

k sek, orta e

r, daha düşünüp

kileri göz ek

an

i n

ma sistemi mleri ni dan ri ayrıca nin veya u

mlarında el ayanır ek genel temi


6

Bu durum özellikle kamu sektöründe faaliyet gösteren ve kamuya hizmet sağlayan kurumlar için doğru olabilir.

Birçok risk sınıflandırma sistemi olduğu gibi seçilen sistem kurumun büyüklüğüne, doğasına ve karmaşıklığına bağlıdır. ISO 31000 spesifik bir risk sınıflandırma sistemi önermez ve her kurumun kendi içerdiği risklere bağlı olarak uygun bir sistem geliştirmesini savunur.

2. Risk yönetim prensipleri Risk yönetimi her organizasyonda stratejik yönetimin merkezini oluşturur. Risk yönetimi organizasyonların sistematik olarak aktiviteleri içindeki riskleri ele aldığı bir süreçtir. Başarılı bir risk yönetim girişimi organizasyonun risk seviyesiyle orantılı, diğer kurumsal aktiviteleriyle uyumlu, hedefinde açıklayıcı, rutin faaliyetlerine yerleşmiş ve değişen koşullara cevap vermede dinamik olmalıdır.

Risk yönetiminin odağı önemli risklerin değerlendirilmesi ve uygun risk tepkilerinin uygulanması olmalıdır. Hedef, kurumun bütün faaliyetlerinden alınabilecek maksimum sürdürülebilir değer olmalıdır. Risk yönetimi organizasyonu etkileyebilecek bütün aşağı ve yukarı yönlü faktörlerin anlaşılmasını geliştirir. Risk yönetimi başarı olasılığını artırırken başarısızlık olasılığını ve aynı zamanda hedeflerin gerçekleşmesindeki belirsizlik seviyesini azaltır.

Risk yönetim içeriği Risk yönetimi kurum stratejisinin gelişimini ve uygulanmasını destekleyecek sürekli bir süreç olmalıdır. Aktivitelere bağlı olan tüm riskleri sistematik bir biçimde ele almalıdır. Uygulamadaki tüm olayların potansiyel yararı için fırsatlar (yukarı yönlü), başarıya ulaşmadaki tehditler (aşağı yönlü) veya artan seviyede belirsizlik vardır.

Sağlık ve güvenlik riskleri için etkilerin sadece olumsuz olabileceğinden dolayı güvenlik risk yönetiminin zararın engellenmesi ve azaltılması üzerine odaklanması gerektiği sıklıkla tartışılmıştır. Bununla beraber, dışardan hizmet veren servis sağlayıcı şirketlerin iyi bir şekilde hazırladıkları sağlık ve güvenlik standartlarının kontrat kazanmalarına yardımcı olabilecek bir araç olması güvenlik risk yönetiminin yukarı yönlüde olduğunun bir göstergesidir.

Risk farkındalığı kültürü Risk yönetimi organizasyon kültürüne dahil edilmek zorundadır. Organizasyon kültürü yönetim, liderlik ve Yönetim Kurulu’nun desteğini içerir. Risk yönetimi risk stratejisini taktiksel ve operasyonel hedeflere dönüştürmeli ve organizasyon genelinde risk yönetim sorumluluklarını tayin etmelidir. Hesap verilebilirliği, performans ölçümünü, ödülü ve her seviyede operasyonel verimliliğin ilerlemesini desteklemelidir. Başarılı bir risk bilinç (farkındalık) kültürü uygun bir risk mimarisi, stratejileri ve protokolleri kurularak kazanılır.

Risk yönetim sürecini başarılı bir şekilde uygulamak, desteklemek ve sürdürebilmek için bir yapıya ihtiyaç vardır. ISO 31000 risk yönetimi içeriği olarak bu yapıyı sunar.

Şekil 1 risk mimarisi, stratejisi ve protokolü açısından uygun bir yapı sunar ve her parçanın ana hatlarını kısaca açıklar. Bu yapı risk yönetim aktivitelerine içerik sunmak için hazırlanmıştır ve risk yönetimi sürecini destekler.

Risk yönetim süreci Risk yönetimi süreci koordine edilmiş bir dizi aktivite halinde sunulabilir. Sürecin alternatif tanımları da mevcuttur fakat genellikle aşağıda listelenen adımları içerir. Aşağıdaki liste risk yönetiminin ‘7R’ ve ‘4T’sini belirtir (‘7R’ ve ‘4T’ ingilizce kelimelerin baş harflerinden oluşturulmuştur).

‘Recognition’ ‐ riskin tanımlanması yada tanınması

‘Ranking’ ‐ riskin sıralanması yada değerlemesi

‘Responding’ ‐ belirgin risklere cevap verme ‘Tolerate’ ‐ tolere etme ‘Treat’ ‐ müdahale etme (aksiyon) ‘Transfer’ ‐ transfer etme ‘ Terminate’ ‐ sonlandırma

‘Resourcing’ ‐ kontrollere kaynak ayırılması

‘Reaction’ ‐ reaksiyon planı yapılması

‘Reporting’ ‐ risk performansının raporlanması ve takibi

‘Reviewing’ ‐ risk yönetim çerçevesinin gözden geçirilmesi


7

Riskin tanımlanması ve sınıflandırılması beraber olarak risk değerlendirme faaliyetini oluşturur. ISO 31000 ‘risk yönetim aksiyonları‘ ifadesini ‘risk cevabı’ başlığı altında ‘4T’yi dahil ederek kullanır. Tehlike riskleri için kullanılan risk cevaplarının amacı riskin tolere edilmesi, müdahale edilmesi, transfer edilmesi veya riskin ya da riske sebep olan faaliyetin sonlandırılması şeklinde olabilir. Birçok risk için bu cevaplar birlikte de uygulanabilir. Fırsat riskleri için uygun alternatiflerin kapsamı risklerin kullanılmasını içerir. Reaksiyon planlaması iş süreklilik planlamasını ve afet kurtarma planlamasını içerir.

3. ISO 31000’in gözden geçirimi ISO 31000 risk yönetimi uygulaması çerçevesindeki bileşenleri tanımlar. Şekil 2, bu uygulama çerçevesinin basitleştirilmiş bir versiyonunu gösterir. Aynı zamanda uygulamadaki gerekli basamakları ve risk yönetim sürecinin devam eden desteğini içerir. ISO 31000 çerçevesinin öncelikli bileşeni Yönetim Kurulu için ‘vekalet ve bağlılık’ olup aşağıdakilerle devam eder;

Çerçevenin tasarımı

Risk yönetim uygulaması

Çerçevenin takibi ve gözden geçirilmesi

Çerçevenin geliştirilmesi

Risk yönetim çerçevesi ISO 31000 risk yönetimi sürecini destekleyecek bir çerçeve yerine risk yönetimi uygulaması için bir çerçeve tasvir eder. Risk yönetimi sürecini destekleyecek çerçevenin tararımı hakkında bilgi ISO 31000’de detaylı olarak sunulmamıştır. Kurum risk yönetimini destekleyecek çerçevesini kendi risk mimarisine, stratejisine ve protokollerine uygun olacak şekilde kendisi tanımlayacaktır. Şekil 1’de sunulan risk mimarisi, stratejisi ve protokolleri risk konularının iletişimindeki içsel düzenlemeleri gösterir. Ayrıca risk yönetimi sürecine destek veren kişilerin ve komitelerin rollerini ve sorumluluklarını ortaya koyar. Risk stratejisi kurumun risk yönetimi faaliyetlerinde elde etmek istediği hedefleri ortaya koymalıdır. Son olarak, risk protokolleri stratejilerin uygulanmasındaki ve risklerin yönetilmesindeki prosedürleri tanıtmalıdır.

4. KRY’den faydalanmak Şekil 3 Rehber 73’deki terimler kullanılarak ISO

31000’deki risk yönetimi sürecinin

sadeleştirilmiş halidir. Süreçteki kilit basamaklar

risk değerlendirilmesi ve risk yaklaşımı olarak

gösterilmiştir. Şekil 3 ayrıca risk yönetim

sürecinin kurumun risk yönetim içeriği dahilinde

yer aldığını gösterir.


8

Risk değerlendirmesi Risk tanımlaması kurumun maruz kaldığı

risklerin ve belirsizliklerin tanımlanmasıdır. Bu,

kurum hakkında kapsamlı bilgiye sahip olmayı

gerektirir; hangi piyasada çalıştığının, bulunduğu

yasal, sosyal, politik ve kültürel ortamın

tanınmasını, stratejik ve operasyonel

hedeflerinin bilinmesini gerektirir. Ayrıca

başarıda kilit rol oynayabilecek faktörlerin,

hedeflere ulaşmadaki tehditlerin ve fırsatların da

bilinmesi gerekmektedir. Kurumda katma değer

yaratabilecek bütün aktiviteler değerlendirilerek

ve bu aktiviteler içinde oluşabilecek bütün

riskler tanımlanarak risk değerlendirilmesine

ulaşılmalıdır.

Risk analizinin sonuçları, her riskin ayrı ayrı önem derecesinin belirlendiği ve karşılık olarak alınacak önlemlerin önceliklendirildiği bir risk profili oluşturmak için kullanılabilir. Böylece tespit edilen her risk göreceli olarak derecelendirilmiş olur. Bu süreç risklerin ilgili iş alanları ile ilişkilendirir,

yürürlükteki ana kontrol mekanizmalarını

tanımlar, yatırım seviyesinin nerede azaltılması,

artırılması veya yeniden şekillendirilmesi

gerektiğini belirler.

Risk analizi yönetim tarafından dikkat edilmesi

gereken riskleri tanımlayarak operasyonun etkili

ve verimli şekilde gerçekleşmesini sağlar.Bu da

kurumda risk kontrol eylemlerinin kuruma

sağlayacağı potansiyel avantajlar noktasında

önceliklendirilmesini sağlar. Uygun risk tepki

yaklaşımlarının kapsamı tolere etme, müdahale

etme, transfer etme ve sonlandırmadır. Kurum

ayrıca kontrol ortamı geliştirme konusunda

ihtiyaç olup olmadığını belirleyebilir.

Risk yönetimi aksiyonları ISO 31000’de risk yönetimi aksiyonları riski

şekillendirmek için uygun kontrol ölçülerini

seçme ve uygulama faaliyeti olarak sunulmuştur.

Risk yönetimi aksiyonlarının en büyük bileşeni

risk kontrolü (azaltma) olmakla birlikte riskten

kaçınma, risk transferi ve risk finansmanı olarak

genişletilebilir. Bir risk yönetimi aksiyon sistemi

verimli ve etkili iç kontroller sağlamalıdır. İç

kontrolün verimliliği önerilen kontrol ölçülerine

göre riskin yok edilmesi veya azaltılma

derecesidir. İç kontrolün maliyet etkinliği

kontrolün uygulanma maliyetiyle risk

indirgendiğinde sağlanan avantajlarla ilgilidir.

Yasalara ve düzenlemelere olan uyum bir

seçenek değildir. Kurum uygun yasaları bilmek


9

zorundadır ve uyumu sağlayacak kontrol

sistemini uygulamalıdır. Risklerin finansal

etkilerine karşı uygulanabilecek bir metod

sigortalama dahil olmak üzere risk

finansmanıdır. Fakat unutulmamalıdır ki bazı

kayıplar veya kayıpların unsurları

sigortalanamaz. Sigortalanamayan kayıplar,

çalışanların moralindeki düşüş veya kurumun

itibarı bu kayıplara örnek olarak gösterilebilir.

Geri bildirim mekanizmaları ISO 31000 iki mekanizma yoluyla geri bildirimin

önemini vurgulamaktadır. Bunlar performansın

izlenmesi ve gözden geçirilmesi ile iletişim ve

danışmadır. İzleme ve gözden geçirme kurumun

risk performansını izler ve tecrübelerden

öğrenir. İletişim ve danışma ISO 31000 risk

yönetim sürecinin bir parçası olarak

gösterilmiştir fakat çerçeveye desteğin bir

parçası olarak da görülebilir.

Raporlama ve açıklamaya ISO 31000’de çok kısa

olarak değinilmiştir ve Şekil 3’de gösterilen

sürece dahil edilmemiştir. Ayrıca ISO 31000’de

ortaya konan izleme, gözden geçirme ve geri

bildirim faaliyetleri risk performansının

izlenmesi ve risk yönetim çerçevesinin

değerlendirilmesi görevlerinden belirgin bir

şekilde bahsedilmez.


10

Bölüm 2: Kurumsal risk yönetimi

Bölüm 2 kurumsal risk yönetimi (KRY)

uygulamasındaki basamakların bir özetini sunar.

Bu bölümde kullanılan terminoloji risk (tehlike)

yönetiminin ‘7R’ ve ‘4T’sine dayanır. Ek B’de KRY

girişimi uygulama sürecindeki adımların kısaca

açıklaması verilmiştir.

5. Planlama ve tasarım Bir KRY girişiminin tasarım ve planlama

aşamasında göz önünde tutulması gereken bir

çok faktör bulunmaktadır. Risk mimarisi, strateji

ve protokollerinin detayları kurumun risk

yönetim politikasına kayıtlı olmalıdır. Tablo 2

klasik bir risk yönetim politikasının içeriğiyle ilgili

bilgi sunar.

Yönetim kurulu görevlendirmesi ve desteği Birçok organizasyon her sene güncellenmiş risk

yönetim politikalarını yayımlarlar. Bu prensip

kurumun genel risk yönetim bakışının güncel en

iyi uygulamayla paralel olmasını sağlar. Ayrıca

kurumun gelecek sene için hedeflenen

avantajlara odaklanmasına fırsat verir, risk

önceliklerini tanımlar, yeni ortaya çıkacak

risklere karşı gerekli dikkatin çekilmesini garanti

eder. Politika ayrıca kurumun risk mimarisini de

açıklamalıdır. Şekil 4 listede örnek olarak

borsaya kote büyük bir şirketin klasik risk

mimarisini tasvir eder.

Yönetim Kurulu’nun görevlendirme ve desteği

büyük önem taşır, sürekli ve üst seviyede

olmalıdır. Görevlendirme ve destek mevcut

olmadığı sürece risk yönetim girişimi başarısız

olacaktır. Risk yönetim politikasının güncel

tutulması risk yönetiminin Yönetim Kurulu

tarafından tamamen desteklenen aktif bir

faaliyet olduğunu gösterir.

Risk yönetim politikası aşağıdaki bölümleri içermelidir:

Risk yönetimi ve iç kontrol hedefleri (yönetişim)

Kurumun riske karşı davranış tarzının beyanı (risk stratejisi)

Risk farkındalığı kültürünün veya denetim ortamının açıklaması

Seviye ve mahiyeti kabul edilebilir risk (risk iştahı)

Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi)

Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme)

Risk analizi ve raporlama için belgeler listesi (riski protokolleri)

Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi)

Risk yönetimi rollerinin ve sorumluluklarının tahsisi

Risk yönetimi eğitim konuları ve öncelikleri

Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama)

Risk yönetimi için uygun kaynakların tahsisi

Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri

Table 2: Risk yönetimi politika içeriği


11

Girişimin kapsamı KRY girişiminin başarılı olması için geniş kapsamlı

olması gerekmektedir. Fakat geliştirilmiş risk

yönetim standartlarının lanse edilmesi aniden

başarılamayacak, aşamalı bir süreçtir. Bu yüzden

kurumun KRY girişiminin hedefini gelişmeler

ilerledikçe ortaya koyması gerekir.

Girişimin kapsamı kurumun elde etmek istediği

kar ve faydaların çeşitliliğine göre tanımlanacak

ve kurumun farklı paydaşlarının beklentilerinden

de etkilenecektir.

Şekil 4: Borsaya kote büyük bir şirketin örnek risk mimarisi


12

Risk yönetimi çerçevesi Kurumun doğasına bağlı olarak risk yönetimi

birimi yarı zamanlı risk yöneticisi, tek bir risk

şampiyonu ya da eksiksiz bir risk yönetim

departmanı olabilir. İç denetim biriminin

fonksiyonu da kurumdan kuruma değişiklik

gösterebilir. Kurumun iç denetim biriminin

rolünü en uygun şekilde belirleyebilmek için

birimin objektifliğinden ve bağımsızlığından ödün

verilmemeli ve garanti altına alınmalıdır.

Risk yönetimi politikasında verilecek risk yönetim

sorumluluklarının büyüklüğü geniş ve kapsamlı

olmalıdır. Tablo 3 büyük bir şirkette risk yönetim

birimine verilecek sorumlulukları örnek olarak

sunar. Yönetim Kurulu’nun şirketin stratejik

yönünü tayin etme ve risk yönetimi içeriğini

oluşturma sorumluluğu vardır. Sürekli

performans gelişimi sağlamak için devamlı

düzenlemelerin yer alması gerekmektedir ve bu

sorumluluk muhtemelen risk yöneticisine

verilecektir.

Tablo 3: Risk yönetimi sorumlulukları

1. CEO ve Yönetim Kurulu’nun Risk Yönetimi sorumlukları:

Riskin stratejik bakış açısını belirleme ve risk iştahı ayarlama

Risk yönetimi yapısını kurma

En belirgin riskleri anlama

Organizasyonu kriz anında yönetme

2. İş birimleri yöneticilerinin Risk Yönetimi sorumlulukları:

Birim bünyesinde risk bilinci kültürünü oluşturma

Risk yönetim performans hedeflerinde anlaşma

Risk geliştime tavsiyelerinin uygulanmasını sağlama

Değişen durumları/ riskleri belirleme ve raporlama

3. Bireysel çalışanların Risk Yönetimi sorumlulukları:

Risk yönetim süreçlerini anlama, benimseme ve uygulama

Verimsiz, gereksiz yada çalışamaz kontrolleri raporlama

Kaybedilmiş ve kaçırılmış olayları raporlama

Kaza soruşturmalarında yönetimle koordineli hareket etme

4.Risk yöneticisinin Risk Yönetimi sorumlulukları:

Risk yönetim politikasını geliştirme ve güncelleme

İçsel risk politikaları ve yapılarının dökümantasyonu

Risk yönetim (ve iç kontrol) faaliyetlerinin koordinasyonu

Risk bilgilerinin derlenmesi ve Yönetim Kurulu’na raporlanması

5. Uzman risk yönetim birimlerinin Risk Yönetimi sorumlulukları:

Uzman risk politikalarını kurmada şirkete yardımcı olma

Uzman acil durum ve kurtarma planları geliştirme

Uzmanlık alanındaki gelişmelerin güncellenmesi

Kaza ve benzer kayıp soruşturmalarını destekleme

6. İç denetim yöneticilerinin Risk yönetimi sorumlulukları:

Riske dayandırılmış iç denetim programı geliştirme

Organizasyon bünyesindeki risk süreçlerini denetleme

Riskin yönetiminde güvence alma ve temin etme

İç kontrollerin verimliliği ve etkinliği üzerine raporlama

13

6. UygRisk değer

temel parç

yönetim b

derecede v

yapmalıdır

teknikleri T

Risk değoluşturuİş fırsatları

değerlend

Riskin kara

garantilen

sunulan bü

değerlend

sunulması

projelerin

proje boyu

edilmelidir

rutin faaliy

Risk değer

gulama verlendirmesi r

çalarından b

akış açısı eld

ve gerekli ris

r. En yaygın r

Tablo 4’ de y

ğerlendirulması ından daha f

irmesi karar

ar alma sürec

mesinin bir y

ütün strateji

irme raporla

dır. Bunun g

risk değerlen

unca risk değ

r. Son olarak

yetler dahilin

rlendirmeleri

e kıyaslarisk yönetim

iridir. Kapsam

de etmek için

sk değerlend

risk değerlen

yer almaktad

me prose

fazla yararlan

alma sürecin

cinin bir parç

yolu Yönetim

dökümanlar

arlarının bera

ibi önerilen

ndirmeleri ya

ğerlendirmel

k, risk değerle

nde yapılmal

inin nasıl kay

ama sürecinin

mlı bir risk

n kurum yete

irmelerini

ndirme

dır.

edürlerinin

nmak için ris

nin parçasıdı

çası olduğun

m Kurulu’na

rıyla risk

aber

bütün

apılmalı ve

erine devam

endirmeleri

ıdır.

ydedileceği

erli

n

k

ır.

nun

m

k

k

h

t

k

ö

s

RuK

b

(b

ö

F

o

u

b

e

v

d

y

K

kararı göz ön

konulardan b

her riskin kay

utacağı bu a

karardır. Risk

önemli bir ko

ınıflandırma

Risk değeuygulanmKurum tanım

belirleyebilm

benchmark)

ölçütlerinin y

Finansal riskle

olabileceği gi

uğratabilecek

bir ölçüt olab

etkilediği hiss

veya kilit pay

destekteki de

yapılabilir

Kurumsal Risk

ünde bulund

biridir. Kurum

ydını hangi de

şamada alınm

değerlendir

nuysa kurum

sisteminin t

erlendirmeası lanan bir risk

ek için kıyasl

geliştirmelid

apısı riskin ti

er için mali e

bi kurumun f

k riskler için k

ilir. İtibar ris

se senedi fiya

daşlardan al

eğişime bakıl

Yönetimine Yap

durulması ge

mun risk tanı

etay seviyes

ması gereke

rme sürecind

mun kullandı

tanımlanmas

elerinin

kin önemini

layıcı ölçütle

dir. Bu kıyasl

ipine göre de

etki bir kıyas

faaliyetlerin

kesintilerin s

skine sebep o

atlarındaki d

ınan politik v

larak kıyaslam

pısal Bakış Açısı

ereken

mlamasında

inde

n bir

de diğer

ğı risk

sıdır.

er

ama

eğişir.

ölçütü

i kesintiye

süresi uygun

olan olayın

eğişme

ve finansal

ma

ı


14

Uygun risk değerlendirme prosedürlerini

tanımladıktan ve çeşitli sınıflardaki risklerin

önem seviyesinde kıyaslama ölçütleri

belirledikten sonra o riske karşı koyacak

organizasyonun kapasitesiyle birlikte risk iştahını

tanımlamak mümkündür. Son olarak da

organizasyon söz konusu riske ne oranda maruz

kaldığını belirleyebilir.

İçsel ve dışsal faktörler riskin artmasına sebep

olabilir. Şekil 5 Finansal, Altyapısal, Piyasa, İtibar

(FAPİ) Risk Sınıflandırma sistemine dayanır ve iç

ve dış risk faktörlerinden örnekler verir. Bazı

sınıflandırma sistemleri stratejik riski ayrı bir

kategoride değerlendirir. Fakat FAPİ bakış açısı

stratejik (taktiksel ve operasyonel riskler de dahil

olmak üzere) risklerin bu dört başlığın altında

tanımlanmasını öngörür.


15

Risk iştahı ve toleransı Yönetim Kurulu’nun her çeşit risk için risk alma

kuralları koyması önemlidir ve bazı

organizasyonlar bütün riskler için geçerli olacak

bir risk iştah bildirisi hazırlamışlardır. Bir

kurumun çalışanların ya da müşterilerinin

sağlığına ya da güvenliğine bir zarar gelmesine sebep olma konusunda iştahı olmayacağını

söylemek kolaydır. Fakat pratikte, bildirinin sağlık

ve güvenlik perfomansı için belirli hedefler

koyularak geliştirilmesi gerekmektedir. Risk iştahı

beyanlarının dinamik olmaması gibi bir riski

vardır ve bu durum davranışları ve hızlı

reaksiyonu kısıtlayabilir.

Yönetim Kurulu seviyesinde risk iştahı, stratejik

risk alma kararları için bir motivasyondur.

Yönetim seviyesinde risk iştahı, risklerin taktiksel

karar sürecinde yeterli ölçüde dikkate alınmasını

sağlamak için bir dizi prosedüre dönüşür.

Operasyonel seviyede risk iştahı, rutin

aktivitelere operasyonel kısıtlamalar getirir.

Önemine ve diğer birçok risk yönetim

standartları ve menkul kıymetler piyasası kote

olma şartlarına dahil edilmesine rağmen, ISO

31000’de risk iştahı konseptine değinilmemesi

şaşırtıcıdır.

7. Ölçme ve izleme Genellikle, yapılan risk değerlendirmeleri risk

kayıt dosyasında belirtilir. Risk kayıtları için

belirlenmiş herhangi bir standart format yoktur

ve kurumların bu önemli dosya için uygun bir

format belirlemeleri gerekmektedir. Risk kaydı

kurumun karşılaştığı belirli risklerin kaydedildiği

statik bir rapor olmamalıdır. Risk kaydı güncel

kontrollerin yanında ileriki zaman için planlanmış

faaliyet detaylarının da dahil edildiği bir Risk

Aksiyon Planı gibi görülmelidir.

Bu alınacak aksiyonlar daha önceden tanımlanan

kişiler tarafından belirli bir zaman aralığında

tamamlanması gereken ve denetlenebilen

aksiyonlar olarak kaydedilmelidir. Böylelikle iç

denetim fonksiyonun halihazırda varolan

kontrolleri izlemesini ve gerekebilecek ek

kontrollerinde uygulanmasını sağlar. Risk

yönetim kurallarını uygulamak için gerekli

kaynaklar yönetimin her seviyesine ve her iş

biriminin içine açık bir biçimde yerleştirilmiş

olmalıdır. Risk yönetimi stratejik planlama ve

bütçeleme süreçlerine de yerleştirilmelidir.

Varolan kontrollerin etkinliğinin ve ek

kontrollerin uygulamasının yanısıra varolan

kontrollerin maliyet verimliliği de takip

edilmelidir. Bunlara ek olarak, izleme ve ölçme

adımları risk fakındalık (risk hakkında bilinçlenmiş

şirket) kültürü ve risk yönetim çerçevesinin

değerlemesini ve risk yönetim görevlerinin diğer

kurumsal aktivitelerle ne kadar uyumlu

olduğunun değerlendirmesini içerir.

Varolan kontrolleri değerlendirme Ölçme ve izleme kurumun kültürüne,

performansına ve hazırlıklılığına kadar uzanır.

Ölçme ve izlemenin kapsadığı aktivitelerin

hedefleri risk geliştirme tavsiyelerinin takibini,

risk yönetim aktivitelerinin kurum içine

yerleştirilmesinin değerlendirilmesini ve risk

performans göstergelerinin rutin kontrolünü

kapsar.

Kurumun köklü değişimlere karşı koyabilmesi için

hazırlanmasının izlenmesi risk yönetimin önemli

bir parçasıdır. Bu aktivite normal olarak iş

süreklilik planlarının gelişimini ve testini ve doğal

afet kurtarma planlarını da kapsar. Belirlenmiş

risk olaylarına karşı kurumun hazırlıklı olabilmesi

için bu planları güncel tutmak oldukça önemlidir.

Varolan kontrollerin değerlendirilmesi risk

iyileştirme tavsiyelerinin tanımlanmasını sağlar.

Bu tavsiyeler risk kaydına aksiyon planı şeklinde

kaydedilmelidir. Varolan kontrollerin etkinliğini

değerlendirmenin önemli bir parçası yürürlükte

olan iş süreklilik ve doğal afet kurtarma

planlarının yeterli değerlendirmesinin olup

olmadığını güvence altına almaktır.


16

Risk farkındalığı kültürünü yerleştirmek Kurumun faaliyet gösterdiği çevredeki ve

kurumun kendisindeki değişikliklerin

tanımlanması ve gerekli güncellemelerin

protokollerde yapılması zorunludur. İzleme

faaliyetleri uygun kontrollerin yürürlükte

olduğuna ve prosedürlerin anlaşılıp takip

edildiğine dair güvence vermelidir. Kurum içi

değişiklikler ve faaliyet alanı yürürlükteki

prosedürlerin değişebilmesi için tanımlanmak

zorundadır.

Ayrıca her ölçme ve izleme süreci;

Uyarlanan ölçülerle hedeflenen sonuca ulaşılıp ulaşılmadığına

Uyarlanan prosedürlerin verimli olup olmadığına

Risk değerlendirmeleri için yeterli bilginin bulunup bulunmadığına

Gelişmiş bilginin daha iyi kararlara ulaşmada yardımcı olup olmadığına

Gelecekteki değerlendirmeler ve kontroller için ders alınıp alınmadığına

karar verebilmelidir.

Risk yönetiminin kurum kültürü içine yerleşmesi

üst yönetiminde liderliğin gösterildiği, bütün

seviyelerdeki çalışanların katılımının olduğu,

tecrübeden öğrenilen bir kültürü, eylemlerin

uygun bir şekilde hesap verilebilirliğini (otomatik

bir suçlama kültürü geliştirmeden) ve risk

konularında iyi iletişimi sunan bir ortamla

sağlanabilir.

8. Öğrenme ve raporlama Risk yönetimi sürecinin değerlendirme

döngüsünün tamamlanması tecrübelerden

öğrenmenin ve performans üzerinden

raporlamanın önemli basamaklarını kapsar.

Tecrübelerden öğrenmek için kurum, risk

performans göstergelerini değerlendirmeli ve

kurumsal risk yönetiminin kurumun başarısına

olan katkısını ölçmelidir.

Kurumun neden risk yönetim girişimini

başlattığının sebepleri açıkça belirtilmelidir. Aksi

takdirde, kurum bu katkının beklentilerle örtüşüp

örtüşmediğinin değerlendirmesini yapamaz. Risk

performans göstergelerinin izlenmesi seçilen

kontrol mekanizmalarının uygunluk

değerlendirmesi kadar risk yönetimi tarafından

yapılan katkının değerlendirmesini de içermelidir

Risk performans takibi Risk yönetiminden ders almak aynı zamanda kilit

durumdaki paydaşların fikirlerinin içsel ve dışsal

araştırmasının da yapılmasını gerektirir. Özellikle

iç denetimin görüşü ve denetim komitesinde risk

yönetim faaliyetlerinin değerlendirilmesi son

derece önemlidir. Tecrübeden öğrenme risk

performans göstergeleri değerlendirmesinden

daha fazlasını gerektirir.

Risk yönetimi çerçevesinin yıllık olarak risk

mimarisi, stratejisi ve protokollerinide

kapsayacak bir şekilde gözden geçirimi gerekli

olacaktır. Kurumun risk bazlı denetim planının

olması ve uygun risk değerlendirmeleri yapması

önemlidir.

Tecrübeden öğrenmenin diğer bir yöntemi de

Yönetim Kurulu ile denetim komitesine sağlanan

denetim raporları ve risk güvencesi kaynakları

raporlarının değerlendirilmesidir. Elde edilen

güvence seviyesinin değerlendirmesi de ayrıca

gereklidir. Genellikle, yönetim için risk

güvencesinin önemli bir kaynağı, risk yönetimi,

risk raporlama ve açıklanması, kazalardan elde

edilen bilgiler gibi konularda güvence sağlayan

Kontrol Risk Değerlendirme süreci gibi öz

değerlendirmeler olacaktır.

Risk performans raporlaması İçsel iletişim ve raporlamaya ek olarak,

kurumların dışarıya raporlama zorunluluğu da

olacaktır. Bu dışsal raporlamalar Turnbull ve

Sarbanes‐Oxley gibi risk yönetimi ve iç kontrolle

ilgili mecburi gerekliliklere cevap niteliğinde

artarak raporlanmaktadır. Dışsal risk


17

raporlamaları dış paydaşlara, risklerin uygun bir

şekilde yönetildiği güvencesini sağlamak üzere

tasarlanmıştır.

Dışsal raporlama paydaşlara risk yönetimi

durumu hakkında ve performansta sürekli

gelişmenin korunmasını garanti edecek

faaliyetler hakkında yararlı bilgiler sunmalıdır.

Şirketin, paydaşlarına düzenli bir şekilde

raporlama yapma, risk yönetim politikalarını ve

hedeflerine ulaşmadaki etkinliğini ortaya koyma

ihtiyacı vardır. Paydaşların da, şirketlerin sosyal

ilişkiler, insan hakları, çalışma uygulamaları,

sağlık, güvenlik, çevre gibi konularda gösterdiği

kurumsal davranışlara dikkat etme oranları artış

göstermektedir.

Risk raporlama tarihsel kayıplar ve eğilimler

hakkında bilgi sağlamaktayken riskin açıklanması

yeni oluşan risklerin tahminine dair ileriye dönük

bir faaliyettir. Risk performasının ölçümü ve

izlenmesi ile risk yönetim sürecini geliştirmek için

tecrübelerden ders almaya yönelik adımlar atma

arasında çok açık bir fark vardır. Ayrıca

raporlama sayesinde risk çerçevesi ve yan

fonksiyonlarının gelişimi için faydalı olacak

önemli dersler çıkartılabilir.


18

Ek A: Risk yönetim kontrol listesi

Risk mimarisi

Risk sorumluluklarını ortaya koyan ve Yönetim Kuruluna bırakılan risk bazlı konuları listeleyen açıklama oluşturuldu.

Risk yönetim sorumlulukları uygun yönetim komitesine atandı.

Riskler ve kontroller üzerindeki uygun tavsiyelerin kullanılabilirliğini sağlamak için gerekli düzenlemeler devreye alındı.

Risk bilinç kültürü organizasyon bünyesinde oluşturuldu ve risk olgunluk seviyesinin yükseltilmesi için eylemler ele alındı

Yönetim Kurulu için risk güvencesi kaynakları belirlendi ve onaylandı

RİSK Stratejisi

Risk iştahını, kültürünü ve felsefesini tanımlayan risk yönetim politikaları üretildi

Başarının kilit bağımlılıkları, başarıyı engelleyebilecek durumlarla birlikte belirlendi.

İş hedefleri onaylandı ve bu hedefleri destekleyen varsayımlar test edildi

Kurumun karşı karşıya kaldığı belirli riskler gerekli kritik kontrollerle birlikte belirlendi

Anahtar risk göstergelerinin uygun bir şekilde kullanımını içeren risk yönetim aksiyon planı hazırlandı

Gerekli kaynaklar belirlendi ve risk yönetimi faaliyetlerini desteklemek üzere temin edildi

Risk protokolleri

Uygun değişikliklerle birlikte uygun risk yönetimi çerçevesi belirlendi ve uyarlandı

Uygun ve gerekli risk değerlendirmeleri tamamlandı ve sonuçları uygun bir formatta kaydedildi

Riski işin karar alma kısmına dahil etmek için prosedürler kuruldu ve uygulandı.

Gerekli risk tepkilerinin detayları, risk geliştirme tavsiyelerinin takibi için gerekli düzenlemelerle birlikte kaydedildi.

Risk eğilimlerinin belirlenebilmesi için olay raporlama prosedürleri ile birlikte risk artış prosedürleri oluşturuldu.

İş sürekliliği ve afet kurtarma/iyileştirme planları hazırlandı ve test edildi.

Belirgin risk kontrollerinin etkinliği ve verimliliğini denetlemek için düzenlemeler yapıldı.

Riskle ilgili mecburi raporlama düzenlemeleri, en azından aşağıdaki maddelerin raporlarını içerecek şekilde düzenlendi:

Risk iştahı, toleransı ve kısıtlamaları

Risk mimarisi ve risk artış prosedürleri

Mevcut risk bilinç (farkındalığı) kültürü

Risk değerlendirme düzenlemeleri ve protokolleri

Belirli riskler ve anahtar risk göstergeleri

Kritik kontroller ve kontrol zayıflıkları

Ek A: Risk yönetimi kontrol listesi


19

Faaliyet Kavramlar / Araçlar ve Teknikler

Planlama ve Tasarım (5. Bölüme Bakınız)

1. Kurumsal risk yönetimi girişiminin amaçlanan avantajlarını belirleme ve Yönetim Kurulunun yetkisini kazanma

KRY faydaları

Risk yönetimini yerleştirme

2. KRY girişiminin kapsamını belirleme ve risk için ortak bir dil geliştirme

Baş risk

Paydaşların beklentileri

3. Risk yönetimi stratejisi, çerçevesi, görevleri ve sorumluluklarını oluşturma

Risk yönetimi politikası

Risk mimarisi

Uygulama ve Kıyaslama (6. Bölüme bakınız)

4. Risk değerlendirme prosedürlerini ve kararlaştırılmış risk sınıflama sistemini uyarlama/benimseme

Risk tanımı

Risk sınıflandırma sistemleri

5. Önemli risk kıyaslama (ölçütlerini) oluşturma ve risk değerlendirme

Risk değerlendirme teknikleri

Önemin kıyaslama testleri

6. Risk iştahı ve risk tolerans seviyelerini belirleme ve mevcut kontrolleri değerlendirme

Risk kaydı

Risk iştahı

Ölçme ve İzleme (7. Bölüme bakınız)

7. Mevcut kontrollerin maliyet verimliliğinden emin olma ve geliştirmeler sunma

Risk geliştirme planları

İş sürekliliği planları ve afet kurtarma/iyileştirme planları

8. Risk bilinç kültürünü yerleştirme ve risk yönetiminin diğer yönetim görevleriyle uyumunu sağlama

Kontrol çevresi

Risk iletişimleri

Öğrenme ve Raporlama (8. Bölüme bakınız)

9. Risk performans göstergelerinin KRY katkısının ölçülebilmesi için izlenmesi ve gözden geçirilmesi

Denetim planları ve risk gözden geçirmeleri

Risk güvence kaynakları

10. Risk performansının yasal ve diğer gerekliliklerle raporlanması ve gelişimin izlenmesi

Risk raporlama

Yasal gereklilikler

Ek B: Uygulama Özeti

Aşağıdaki tablo Kurumsal Risk Yönetimi insiyatifi

uygulaması sırasında atılacak adımların özet

listesini sunar. KRY insiyatifinin başarılı bir

uygulaması aşağıdaki 10 adımın düzenli bir

şekilde uygulanmasını gerektiren devamlı bir

süreçtir. 10 adım aşağıdakilere ayrılmıştır;

Planlama ve tasarım

Uygulama ve kıyaslama

Ölçme ve takip

Öğrenme ve raporlama

SARM ERM Publish Final 14 Feb 2012 - theirm.org · Kurumsal Risk Yönetimine Yapısal Bakış...

Documents

Transcript of SARM ERM Publish Final 14 Feb 2012 - theirm.org · Kurumsal Risk Yönetimine Yapısal Bakış...