10 Soruda Risk Yönetimi

RİSK NEDİR?

Risk, bir şirketin hedeflerine ulaşmasını olumsuz etkileyebilen bir olayın veya olaylar dizisinin neden olduğu olası kayıplardır. Bu tanımı ile riskin hem şirketin mevcut varlıklarını, hem de gelecekteki büyüme fırsatlarının geliştirilmesini içerdiğini ifade edebiliriz. Kısacası risk; bir şirketi mevcut varlıklarını korumaktan ya da hisse değerini arttırmaktan alıkoyan her şeydir.

RİSKİN TEMEL UNSURLARI NELERDİR?

Riskin iki temel unsuru bulunmaktadır;

1. Belirli bir sonuca ulaşamama OLASILIĞI ya da istenmeyen bir olayın oluşma olasılığı (Possibility of Occurrence (Meydana Gelme İhtimali))
2. Riskin oluşması durumunda, bu durumların sonuca ETKİ si (Severity of Loss (Kaybın Büyüklüğü))

RİSKİN TANIMLANMASI VE AZALTILMASINDAN NE ANLAMAK GEREKİR?

1. Kurumun hedeflerine ulaşma ve stratejilerini uygulama kabiliyetini olumsuz etkileyebilecek neler olabilir? [Tehditler]
2. Bu tehditler gerçekleşirse, bunların muhtemel mali etkisi nedir? [Zarar Risk Değeri]
3. Bu olaylar ne sıklıkta olabilir? [Sıklık]
4. İlk üç sorudakilerin gerçekleşme olasılığı nedir? [Belirsizlik]
5. Riskleri önlemek, kaçınmak, azaltmak ve tespit etmek ve gerekli bildirimde bulunmak için neler yapılabilir? [Güvence ve Kontroller]
6. Bunun maliyeti nedir? [Güvence ve Kontrol Maliyeti]
7. Bu ne kadar etkin olacaktır? [Maliyet/ Fayda Analizi]

KURUMSAL RİSK YÖNETİMİ NEDİR?

Bir işletmede risk yönetim sistemi;

• İşletmenin amaçlarının misyonuyla uyumlu olarak belirlenmesi,
• Hedeflerinin gerçekleştirilmesini etkileyebilecek potansiyel risklerin belirlenmesi ve değerlendirilmesi,
• Risklerin tanımlanması, risklerin ölçümlenmesi ve öncelik sırasına konması,
• Düşük, orta ve yüksek şiddet düzeylerindeki risk etki ve olasılıklarını içeren risk matrisinin hazırlanması,
• Kabul etmeye istekli olunan risk iştahının belirlenmesi,
• Potansiyel risklerin etkin yönetim ve kontrolü için süreçlerinin oluşturulması,
• Süreçlerde yer alan yönetici ve çalışanların da bilgilendirilmesi,
• İşletmenin risk yönetim ilkelerine uygun yönetilmesi,

süreçlerinden oluşur ve paydaşlara makul bir güvence sağlar.

Kurumsal Risk Yönetimi, kurumun hedeflerine ulaşmasını etkileyen fırsatlar ve tehditlerin tespit edilmesi, tanımlanması, değerlendirilmesi, bunlara verilecek yanıtların kararlaştırılması ve bunların rapor edilmesi için tüm kurum çapında uygulanan, özel yapılandırılmış, istikrarlı, tutarlı, kesintisiz ve kurumun tümünde uygulanan sistematik bir süreçtir. Revize edilen COSO ERM Çerçevesi kapsamında eski ve yeni Kurumsal Risk Yönetimi tanımları da aşağıdaki gibidir.

Eski Tanım

• Bir kurumun yönetim kurulu, yöneticileri ve tüm çalışanlarından etkilenen,
• Stratejinin belirlenmesinde ve kurum genelinde uygulanan,
• Kurumu etkileme potansiyeli olan olayları belirleme ve risk iştahı çerçevesinde, riskin yönetilmesi amacıyla dizayn edilen,
• Kurumun hedeflerini başarması için makul güvence sağlayan bir süreçtir.
• Organizasyonun değer yaratma, koruma ve realize etmede,
• Riski yönetmek için güvenebilecekleri,
• Stratejinin belirlenmesi ve yürütülmesine entegre edilen, kültür, imkan ve uygulamalardır.

KURUMSAL RİSK YÖNETİMİNİN KAPSAMI NEDİR?

KURUMSAL RİSK YÖNETİMİN FAYDALARI NELERDİR?

1. Sürdürülebilir kârlılık ve büyümenin sağlanması,
2. Gelir dalgalanmalarının minimize edilmesi,
3. Risk kararlarının daha sağlıklı alınması,
4. Sürprizlere hazırlıklı olunması,
5. Stratejilerin ve alınan risklerin uyumlu olması,
6. Fırsatların ve tehditlerin daha iyi tespit edilmesi,
7. Rekabet gücünün artırılması,
8. Etkili kaynak kullanımı
9. Yasa ve düzenlemelere uyum,
10. İtibar ve güvenin korunması,
11. Kurumsal yönetim kalitesinin sürekliliği,
12. Şirket değerinin yükselmesidir.

KURUMSAL RİSK YÖNETİMİ BAŞARI FAKTÖRLERİ NELERDİR?

1. Görev ve sorumlulukların açık bir şekilde tanımlanması ve ayrıştırılması,
2. Hedef ve stratejilerin net olarak belirlenmesi,
3. Üst yönetimin konuya göstereceği bağlılık ve bunu tüm kurum ile paylaşması,
4. Kaynakların yeterli olması,
5. Yöneticiler tarafından anlaşılması ve desteklenmesi,
6. Yeterli düzeyde eğitim ve iletişim faaliyetlerinde bulunulması,
7. Risk yönetim tekniklerini ve iş süreçlerini anlayarak risk yönetim çabalarına liderlik edebilecek kalitede insan kaynaklarına sahip olunması,
8. Risk yönetim sürecinin etkinliğinin izlenmesi amacıyla denetim mekanizmasının kurulması.

RİSK DEĞERLENDİRMESİ KAVRAMINDAN NE ANLAMAMIZ GEREKİR?

Risk değerlendirme süreci, özü itibariyle finansal raporlamanın güvenilirliği başta olmak üzere işletmenin tüm olası ve gerçekleşmiş risklerine ilişkin tanımlama, analiz ve yönetim süreçlerinden oluşan bütünsel bir yapıdır. Risk değerlendirme süreci, devamında risklere ilişkin nasıl karşılık verileceğine dair aksiyonları da beraberinde getirmektedir.

Risk değerlendirmesi, temel olarak stratejik, finansal, operasyonel ve çevresel risk başlıkları altında tasnif edilebilir. Söz konusu ayrım daha detaylı ve farklı başlıklar eklenerek de genişletilebilir. İşletmeler öncelikle stratejik risklerinden başlayarak risk değerlendirme sürecini ele almalı ve söz konusu faaliyetin bir süreç olduğu unutulmadan, devamlı bir faaliyet olarak kurgulanmalıdır. Değişen koşulların ve zamanın riskleri de nitelik ve nicelik açısından değiştirdiği, risk tanımları ve önceliklerin değiştiği göz önünde bulundurulmalıdır.

RİSK YÖNETİMİ KİMİN SORUMLULUĞUNDADIR?

İç kontrol bir yönetim sorumluluğu ise söz konusu risklerin değerlendirilmesi, tasnifi, önceliklendirilmesi de Yönetim’in sorumluluğundadır. Genel tanımlarda geçen “Yönetim” ifadesi organizasyonlarda temel olarak “İcra Faaliyetleri Ekibi” olarak algılanmalıdır. Kurumsal Yönetim ilkeleri gereği İcra Kurulu veya Üst Yönetim kurumun faaliyetlerden dolayı Yönetim Kurulu’na karşı sorumludur.

Risk Yönetimi kanuni bir zorunluluk ya da idari bir yaptırım gerektirmemektedir. Öte yandan kurumlar açısından en öncelikli konular arasında gelmelidir. Birçok işletme mevcut ve potansiyel risklerine yönelik bir risk değerlendirme çalışması yapsa da daha çok bireysel inisiyatiflerle ve bölümler özelinde gerçekleştirilmekte, kurumsal risk yönetimi bakışını yansıtmamaktadır.

TEMEL RİSK YÖNETİMİ STANDARTLARI NELERDİR?

Risk yönetimi denildiği zaman birden fazla standart ve uygulama akla gelmekle birlikte temel olarak COSO ERM ve ISO 31000 en önemlileridir.

ISO 31000 Risk Yönetim Standardı, risk yönetimi için uluslararası bir standarttır. Bu standart kapsamlı ilke ve yönergeler sağlayarak şirketlere risk analizleri ve risk değerlendirmelerinde yardım eder.

COSO ERM ise ilk defa 2004 yılında yayımlanıp daha sonra revize edilen çerçevesi ile kurumlara risk yönetimi konusunda yol gösterici olmaktadır. İlk 7. çerçeve yayınlandığından bu tarafa tüm dünya ülkelerinde ve kurumlarda, hedeflenen amaç ve alınan risk tutumu doğrultusunda riskin tanımlanması ve değerlendirilmesi açısından başarıyla uygulanmış olup riskin strateji ve amaçlarla bütünleştirilmesi açısından gelişmeye muhtaç bir potansiyeli mevcuttu. Bu sebeple güncellenen 2017 revizesi ile yeni risklerin ortaya çıkması, risklerin daha karmaşıklaşması, paydaşların risk yönetimi farkındalığının artması, daha iyi risk raporlaması beklentileri ve kurumsal risk yönetimindeki gelişmelerin çerçeveye yansıtılması konularında gelişim sağlanmıştır. Yeni çerçeve kapsamında beş adet bileşen ve yirmi adet prensip belirlenmiştir.

COSO ERM küpü yerine de; aşağıdaki şekil ve yaklaşım benimsenmiştir.