Kurumsal risk yönetimi - The Institute of Risk Management

advertisement
 Önsöz Risk Yönetimi Enstitü
üsü (IRM)’in popüler dökkümanı ‘Kuru
umsal Risk Yo
onetimine (KKRY) Yapısal B
Bakış Açısı ve IISO 31000 Yü
ükümlülükleri’ nin Türkçeeleştirilmiş yyorumuna ho
oşgeldiniz. Beelgenin orijin
nal sürümü IRM ve AIRM
MIC (Sigorta vve Risk Yöneeticileri Derne
eği) tarafından 2009 yılınnda yayımlan
nmış ve den fazla sayyıda indirilmişştir. 30.000’d
Bu kılavu
uz, Yeni Türkk Ticaret Kanunu gereksinnimlerinin uyygulanmasının getireceğii değişikliklerre uyması ggereken tüm işletmelerin
n yararlanabiileceği önem
mli bir araçtır. Önde gelenn uluslararası bir risk yönetimi eğitim ensttitüsü olarak, IRM başarıllı bir büyüme
e ve gelişimi desteklemeek amacıyla T
Türk iş dünyası ile çalışmakttan çok mutludur. IRM, bu dökümanın çevirisinin sp
ponsorluğun u üstlenen i‐‐Risk Europe Ltd ve bu önnemli çalışmaya daha geniş b
bir Türk izleyiici kitlesine u
ulaşılmasını ssağlayan aşağğıda isimleri destektee bulunarak d
sıralanm
mış kişiler ve kkuruluşlara kkatkılarındann dolayı teşekkkür eder. Steve
e Fowler, İcraa Kurulu Başkkanı, IRM Katkıda b
bulunanlar vve sponsorlarr : İİsmet Cinem
mre – Uluslara
arası program
mlar direktörü, i‐Risk Gro
oup K
Kübra Afşar–– Bağımsız arraştırmacı EEmre Özbek,, Başkan, ISA
ACA Istanbul Chapter, Head of Interna
al Audit Vodaafone Turkey
N
Nicola Crawfford, Genel M
Müdür, i‐Riskk Europe Ltd N
Nolwenn Allaano, Risk and
d Governancce Club N
Nazan Satı, B
Beyaz Gemi © AIIRMIC, ALARM,, IRM: 2010 İçerik Yönetici Özeti Giriş Bilgilendirme Bölüm 1: Risk, Risk Yönetimi ve ISO 31000 1.
2.
3.
4.
Riskin Doğası ve Etkileri Risk Yönetimi Prensipleri ISO 31000’in Gözden Geçirimi KRY'den Faydalanmak Bölüm 2: Kurumsal Risk Yönetimi 5.
6.
7.
8.
Planlama ve Tasarım Uygulama ve Kıyaslama Ölçme ve İzleme Öğrenme ve Raporlama Ekler A. Risk Yönetimi Kontrol Listesi B. Uygulama Özeti Şekil Listesi 1.
2.
3.
4.
5.
Risk Mimarisi, Stratejisi ve Protokolleri Riskin Yönetim Çerçevesi (ISO 31000’e göre) Risk Yönetimi Süreci (ISO 31000’e göre) Borsaya kote büyük bir şirketin örnek risk yönetimi mimarisi Risk Yönetimi Faktörleri Tablo Listesi 1.
2.
3.
4.
Detaylandırılmış Risk Tanımı Risk Yönetimi Politika İçeriği Risk Yönetimi Sorumlulukları Risk Değerlendirme Teknikleri © AIRMIC, ALARM, IRM: 2010 1 Yönetici Özeti Risk yönetimi gittikçe artan önemde bir iş fonksiyonu olup paydaşlar, riskleri hakkında her geçen gün daha çok endişelenmektedirler. Risk stratejik kararların arkasında, organizasyondaki belirsizliğin bir sebebi yada bir organizasyonun aktivitelerinin içine yerleşmiş olabilir. Risk yönetimine karşı kurum genelinde uygulanan bakış açısı kurumun karşılabileceği her tip riskin her süreç, aktivite, paydaş, ürün ve servisler üzerindeki potansiyel etkilerini dikkate almalarını sağlar. Kapsamlı bir yaklaşım ile yapılan uygulama bir kurumun ‘üst risk’ (riskin iyi yönü) den faydalanmasıyla sonuçlanacaktır. 2008’deki küresel finansal kriz gerekli miktardaki risk yönetiminin önemini ortaya koymuştur. O zamandan bu yana, ISO 31000‐ ‘Risk Yönetimi Kuralları ve Rehberi’ de dahil olmak üzere yeni risk yönetimi standartları yayınlamıştır. Bu rehber bütün bu gelişmeleri toparlayarak Kurumsal Risk Yönetimi (KRY) uygulamasına yapısal bir bakış açısı getirmektedir. Risk yönetiminin hedeflenen yararları
Bütün organizasyon çeşitleri için hedefleri başarmada ve istenen seviyede sonuçlara ulaşabilmek için alınacak risklerin anlaşılması gereklidir. Kurumlar süreçlerinde ve faaliyetlerinde yerleşmiş olan risk seviyesini anlamak zorundadırlar. Önemli risklerin, belirlenerek önceliklendirilmesi ve en zayıf kritik kontrollerin tanımlanması kurumlar için önemlidir. Rehberin amacı
Başarılı Kurumsal Risk Yönetimi (KRY) girişimi riskin gerçekleşme olasılığı ve sonuçlarını etkilediği gibi daha bilinçli stratejik kararları, başarılı bir değişim ve artan operasyonel verimliliği temin eder. Diğer yararlar ise sermaye maliyetinde azalma, doğru finansal raporlama, rekabet avantajı, daha gelişmiş kurumsal algı, piyasada daha iyi bir varoluş ile kamu hizmetleri ve kurumlarında daha etkili politika ve çevre desteği olarak sıralanabilir. Bu rehber, ISO 31000 için net bir yorum sağladığı gibi KRY girişimi uygulamalarına da tavsiyelerde bulunur. Rehberin amacı; 



Risk yönetimi prensip ve süreçlerini
tanımlamak ISO 31000 gereklilikleri hakkında kısa bir özette bulunmak Uygun bir yapı dizayn etmede pratik bir rehber sunmak KRY uygulamasına pratik önerilerde bulunmaktır
Risk yönetimi performansını geliştirmeye başlarken, risk yönetiminin beklenen yararları için girişim önceden başlatılmalıdır. Başarılı bir risk yönetiminin sonuçları uyum, güvence ve gelişmiş karar almayı kapsar. Bu sonuçlar faaliyetlerdeki verimin artması, taktiklerdeki etkinlik (değişim projeleri) ve kurumun startejisine olan etkisi yollarıyla fayda sağlar. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 2 Giriş Bu rehber İngiltere’deki AIRMIC (Sigorta ve Risk Yöneticileri Derneği), Alarm (Kamu Sektörü Risk Yönetimi Derneği), IRM (Risk Yönetimi Enstitüsü) gibi önemli risk yönetim organizasyonlarının takım çalışması sonucu oluşturulmuştur. Rehber her çeşit kuruma uygulanabilir olarak hazırlanmıştır. Rehber boyunca ‘kurul’ tanımı kurumun içindeki karar alma mekanizmasını ifade eder. Kamu sektöründe bu organ Konsey, Yönetim veya otorite olarak tanımlandırılabilir. Risk yönetiminin içeriği, nasıl uygulanması gerektiği ve neler kazandırabileceği hakkında pek çok görüş vardır. Uluslararası Standardizasyon Organizasyonu (ISO) 31000 standardı 2009 yılında yayınlanmıştır ve bu sorulara cevap aramaktadır. Bu rehberse ISO 31000 hakkında kısa bir özet sunarken ek olarak da risk yönetiminin başarıyla uygulanması üzerine ek bilgiler içermektedir. Bunun yanında, bu rehber riskin aşağı yönlü (olumsuz yönlü) olduğu gibi yukarı yönlü (olumlu yönlü) de olabileceğini hatırlatır. Risk yönetiminin prensipleri
Risk yönetimi aslında birçok prensip ile desteklenen bir süreçtir. Ayrıca risk yönetimi kuruma ve dış çevresine veya içeriğine uygun bir yapı tarafından desteklenmelidir. Başarılı bir risk yönetimi girişimi kurumun risk seviyesiyle (büyüklüğü, doğası ve organizasyonun karmaşıklığı yönünden) orantılı, diğer kurumsal aktivitelerle uyumlu, kapsamlı, rutin aktivitelerin içine yerleştirilmiş ve değişen koşullara cevap vermede dinamik bir yapıda olmalıdır. Bu bakış açısı, risk yönetim girişiminin ilgili yükümlülüklerle uyumlu, paydaşlara riskin yönetiminde güvence ve gelişmiş bir karar alma süreci sağlamasında yardımcı olur. Bu sonuçların etkileri ve yararlarıysa daha verimli operasyonlar, etkili taktikler ve beklenen sonuçları veren stratejiler içerir. Bu yararların sürekli ve ölçülebilir olması gereklidir. Risk yönetim gerekliliklerinin tamamen karşılanması için yapılması gerekenlerin listesi Ek‐A'da sunulmuştur. COSO KRY Çerçevesi ve ISO
31000
COSO 2004’de Kurumsal Risk Yönetimi (KRY) Standardı yayınlamıştır. COSO KRY kübü risk yönetimi uygulayıcıları tarafından geniş ölçüde tanınmakta ve KRY’i uygulamada bir taslak sunmaktadır. COSO KRY’de önemli bir etki sahibi olmuştur çünkü Amerika’da borsaya bağlı (kote) şirketlerin Sarbanes‐Oxley gereklilikleriyle bağlantılıdır. ISO 31000 ise 2009’da risk yönetimi kurallarının uygulanmasına uluslararası bir standart getirilmesi amacıyla yayınlanmıştır. Bu rehber risk yönetimi uygulamasına kurumsal bazda yapısal bir bakıç açısı getirmek amacıyla hem COSO KRY hem de ISO 31000 ile uygun olacak şekilde hazırlanmıştır. Fakat rehber uluslararası bir standart olduğundan ötürü ISO 31000’e daha çok değinmektedir ve birçok organizasyonun uluslararası operasyonları vardır. ISO, ISO 31000’i yayınlarken aynı zamanda Rehber 73 ‘Risk Yönetimi‐ Sözlüğü‐ Standartlarda Kullanım Rehberi’ ni yayınlamıştır. Bilgilendirme
ISO 31000 ‘Risk Yönetimi‐ Uygulamaları’ kullanım izni BSI’ya aittir. İngiliz Standartları PDF veya hardcopy halinde BSI online alışverişten www.bsigroup.com/ sitesinden veya hardcopy için telefon: +44 (0)20 8996 9001, e‐mail: cservices@bsigroup.com ‘den temin edilebilir. Şekil 1&4 ve Tablo 2, 3 ve 4 ‘Fundamentals of Risk Management’ (2010) ISBN 978 0 7494 5942 0 www.koganpage.com‘dan ‘Kogan Page Limited’in izniyle üretilmiştir. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 3 BBO Bölüm 1: Risk, risk yönetimi ve ISO 31000 Birinci bölüm ISO 31000’den referans alarak riski ve risk yönetimini gözden geçirir. Risk yönetim sürecinde kullanılan terimler tutarlı değildir ve bölüm bu zorlukları yansıtır. Uygun standartlarda bir risk yönetiminin sağlanması için gerekli olan risk yönetim gerekliliklerinin özeti Ek A’da bir kontrol listesi olarak sunulmuştur. Risk tanımı Riskin ve risk yönetiminin birçok tanımı vardır. ISO Rehber 73’de ortaya konulan risk tanımı ‘belirsizliklerin hedeflerin üzerindeki etkisi’dir. Bu tanımın uygulamasını desteklemek için Rehber 73 aynı zamanda bu etkinin pozitif, negatif veya beklenenden sapma olabileceğini; riskin genellikle olaylar, durumdaki değişimler veya sonuçlar tarafından betimlendiğini belirtmiştir. Bu tanım riski hedeflerle ilişkilendirmiştir. Bu yüzden riskin tanımı ancak şirketin hedefleri detaylı ve tamamen tanımlandığında kolaylıkla uygulanabilir. Hedefler tamamen tanımlandığında bile, bu hedefler ve temel varsayımların risk yönetim süreci dahilinde test edilmesi gerekmektedir. 1. Riskin doğası ve etkileri
Risklerin bir organizasyona kısa, orta ve uzun vadeli etkileri olabilir. Bu riskler sırasıyla operasyonlarla, taktik ve stratejilerle ilişkili olabilir. Strateji kurumun uzun vadeli hedeflerini ortaya koyar ve şirketin stratejik planlama süreci yaklaşık olarak 3, 5 veya daha fazla yılı kapsayabilir. Taktikler kurumdaki değişimi başarmanın nasıl hedeflendiğini açıklar. Bu yüzden taktiksel riskler genellikle projelerle, birleşme ve satın almalarla, ürün geliştirmelerle ilişkilendirilirir. Operasyonlar şirketin rutin faaliyetleridir.
Örneğin, bir kurumun altyapısı ve yeni bir BT sisteminin uygulanmasını düşünün. Donanım ve yazılım seçimi stratejik kararlardır. Eger bu tercihler doğru yapilmamissa, sonuçları bir süre için açıkca belli olmayacaktır. Bunlarla ilişkili riskler stratejik risklerdir ve bu riskler yarar sağlanması amacıyla alınmıştır. Doğru stratejik kararların getirdigi yararlar riskin yukari yönünün başarılı sonucudur. Yeni donanım ve yazılımı yüklemek projesi içerisinde stratejinin uygulanacağı yöntemleri gösteren bir değişim girişimi olacaktır. Projenin zamanında, bütçeyi aşmadan ve şartnameye uygun olarak teslim edilebilmesi icin proje içerisindeki risklerin yönetilmeleri gerekir. Ayrıca, projenin yürütülmesi esnasında yukarı yöne ulaşmak vasıtasıyla projenin erken ve bütçe altında teslim edilmesi mümkündür. Aynı zamanda BT donanım ve yazılımının beklenenden daha büyük yararlar sağlaması da mümkündür. Yeni donanım ve yazılım yüklendiğinde, sistem bilgisayar arızalanması, veri kayıpları, virüs saldırıları ve operatör hataları gibi operasyonel risklere karşı kolay etkilenebilir bir hale gelecektir. Bu operasyonel riskler çok önemli olabilir ve potansiyel kesintileri en aza indirmek için doğru tasarlanarak uygulanacak prosedürler gerekecektir. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 4 Risk değerlendirmelerinin
kayded
dilmesi
Risk değerlendirmesi riskin tanım
mlanmasının ardından
n değerlendirilmesi veya öncelikleendirilmesi ille devam ede
er. Her risklee ilgili uygun bilginin kaydedilmesi sırasında birr şablonun
n olması öneemlidir. Tablo
o 1 kaydedilmesi gerekeen bilginin kapsamını gösterir. Şablonun am
macı tabloya
a, risk kaydınna, çalışma d
dosyası ya daa bilgisayar o
ortamında sisteme girilmesi gerreken bilgilerrin sağlanmasıdır. Genellikle riskin b
basit bir tanım
mı yeterli olmasına rağm
men detaylı rrisk değerlen
ndirme sürecci için detaylıı bir risk tanımlam
masının gereektiği durumlar da bazen ortaya çıkmaktadır. Riskin geerçekleşmesiinin sonuçlarrı negatif (tehlike riskleri) veyaa pozitif (fırsa
at riskleri) elirsizliğe dee olabileceeği gibi daha büyük bir be
sebep ollabilir. Kurum
mlar farklı rissklere bağlı olarak oluşan farklı o
olasılık ve etkki seviyelerinne göre uyggun tanımlarını oluşturmalılardır. Riskk sıralamaası riskin ortaaya çıkma ola
asılığına, olassı sonuçlarrına veya etkkilerine göre nicel, yarı nicel veyya nitel olabilir. Kurumlaar ortaya çıkm
ma olasılıklarrını ve sonuçlarrının ölçümleerini kendilerri tanımlam
maları gerekm
mektedir. o 1: Detay
ylandırılm
mış Risk T
Tanımı
Tablo
Örnek olarak birçok organnizasyon, riskk ge
erçekleşme o
olasılığını ve etkisini yükssek, orta ve
e düşük seviyye olarak bellirlemekte ve
e so
onuçları 3 x 3
3 matriks şekklinde su
unmaktadırla
ar. Diğer orgaanizasyonlarr, daha faazla seçeneğiin de olması gerektiğini d
düşünüp 4 x 4 veya 5 x 5 matrikslerrini gerekli örebilirler. Her risk için oolasılığı ve etkkileri göz gö
ön
nünde bulun
ndurularak daaha detaylı e
ek an
nalizler için ö
önemli riskleerin ön
nceliklendirilerek sıralan masına imka
an taanınmış olur. Risk
R
sınıfla
andırma s
sistemleri
Riisk analizinde
e önemli bir aşama riskin
n do
oğasını, kayn
nağını veya eetki türünü taanımlamaktırr. Risklerin b u şekilde de
eğerlendirilm
mesi için risk sınıflandırm
ma sistemi ku
ullanılabilir. R
Risk sınıflanddırma sistem
mleri ku
urumların be
enzer riskleri n birikimlerini taanımlamalarına imkan veermesi açısından ön
nemlidir. Risk sınıflandırm
ma sistemlerri ayrıca ku
urumun hang
gi stratejisiniin, taktiklerin
nin veya op
perasyonlarının savunmaasız olduğunu taanımlaması a
açısından öneemlidir. Riisk sınıflandırma sistemleeri risk ayrım
mlarında ge
enellikle finansal kontrol,, operasyone
el ve
erimlilik, itibar ve ticari a ktivitelere dayanır faakat bütün ku
urumlara uyggulanabilece
ek genel kaabul görmüş bir risk sınıfllandırma sisttemi mevcut değild
m
dir. Kuru
umsal Risk Yöneetimine Yapısall Bakış Açısı 5 Bu durum özellikle kamu sektöründe faaliyet gösteren ve kamuya hizmet sağlayan kurumlar için doğru olabilir. Birçok risk sınıflandırma sistemi olduğu gibi seçilen sistem kurumun büyüklüğüne, doğasına ve karmaşıklığına bağlıdır. ISO 31000 spesifik bir risk sınıflandırma sistemi önermez ve her kurumun kendi içerdiği risklere bağlı olarak uygun bir sistem geliştirmesini savunur. 2. Risk yönetim prensipleri
Risk yönetimi her organizasyonda stratejik yönetimin merkezini oluşturur. Risk yönetimi organizasyonların sistematik olarak aktiviteleri içindeki riskleri ele aldığı bir süreçtir. Başarılı bir risk yönetim girişimi organizasyonun risk seviyesiyle orantılı, diğer kurumsal aktiviteleriyle uyumlu, hedefinde açıklayıcı, rutin faaliyetlerine yerleşmiş ve değişen koşullara cevap vermede dinamik olmalıdır. Risk yönetiminin odağı önemli risklerin değerlendirilmesi ve uygun risk tepkilerinin uygulanması olmalıdır. Hedef, kurumun bütün faaliyetlerinden alınabilecek maksimum sürdürülebilir değer olmalıdır. Risk yönetimi organizasyonu etkileyebilecek bütün aşağı ve yukarı yönlü faktörlerin anlaşılmasını geliştirir. Risk yönetimi başarı olasılığını artırırken başarısızlık olasılığını ve aynı zamanda hedeflerin gerçekleşmesindeki belirsizlik seviyesini azaltır. Risk yönetim içeriği Risk yönetimi kurum stratejisinin gelişimini ve uygulanmasını destekleyecek sürekli bir süreç olmalıdır. Aktivitelere bağlı olan tüm riskleri sistematik bir biçimde ele almalıdır. Uygulamadaki tüm olayların potansiyel yararı için fırsatlar (yukarı yönlü), başarıya ulaşmadaki tehditler (aşağı yönlü) veya artan seviyede belirsizlik vardır. Sağlık ve güvenlik riskleri için etkilerin sadece olumsuz olabileceğinden dolayı güvenlik risk yönetiminin zararın engellenmesi ve azaltılması üzerine odaklanması gerektiği sıklıkla tartışılmıştır. Bununla beraber, dışardan hizmet veren servis sağlayıcı şirketlerin iyi bir şekilde hazırladıkları sağlık ve güvenlik standartlarının kontrat kazanmalarına yardımcı olabilecek bir araç olması güvenlik risk yönetiminin yukarı yönlüde olduğunun bir göstergesidir. Risk farkındalığı kültürü Risk yönetimi organizasyon kültürüne dahil edilmek zorundadır. Organizasyon kültürü yönetim, liderlik ve Yönetim Kurulu’nun desteğini içerir. Risk yönetimi risk stratejisini taktiksel ve operasyonel hedeflere dönüştürmeli ve organizasyon genelinde risk yönetim sorumluluklarını tayin etmelidir. Hesap verilebilirliği, performans ölçümünü, ödülü ve her seviyede operasyonel verimliliğin ilerlemesini desteklemelidir. Başarılı bir risk bilinç (farkındalık) kültürü uygun bir risk mimarisi, stratejileri ve protokolleri kurularak kazanılır. Risk yönetim sürecini başarılı bir şekilde uygulamak, desteklemek ve sürdürebilmek için bir yapıya ihtiyaç vardır. ISO 31000 risk yönetimi içeriği olarak bu yapıyı sunar. Şekil 1 risk mimarisi, stratejisi ve protokolü açısından uygun bir yapı sunar ve her parçanın ana hatlarını kısaca açıklar. Bu yapı risk yönetim aktivitelerine içerik sunmak için hazırlanmıştır ve risk yönetimi sürecini destekler. Risk yönetim süreci
Risk yönetimi süreci koordine edilmiş bir dizi aktivite halinde sunulabilir. Sürecin alternatif tanımları da mevcuttur fakat genellikle aşağıda listelenen adımları içerir. Aşağıdaki liste risk yönetiminin ‘7R’ ve ‘4T’sini belirtir (‘7R’ ve ‘4T’ ingilizce kelimelerin baş harflerinden oluşturulmuştur).  ‘Recognition’ ‐ riskin tanımlanması yada tanınması  ‘Ranking’ ‐ riskin sıralanması yada değerlemesi  ‘Responding’ ‐ belirgin risklere cevap verme  ‘Tolerate’ ‐ tolere etme  ‘Treat’ ‐ müdahale etme (aksiyon)  ‘Transfer’ ‐ transfer etme  ‘ Terminate’ ‐ sonlandırma  ‘Resourcing’ ‐ kontrollere kaynak ayırılması  ‘Reaction’ ‐ reaksiyon planı yapılması  ‘Reporting’ ‐ risk performansının raporlanması ve takibi  ‘Reviewing’ ‐ risk yönetim çerçevesinin gözden geçirilmesi Kurumsal Risk Yönetimine Yapısal Bakış Açısı 6 Riskin tanımlanması ve sınıflandırılması beraber olarak risk değerlendirme faaliyetini oluşturur. ISO 31000 ‘risk yönetim aksiyonları‘ ifadesini ‘risk cevabı’ başlığı altında ‘4T’yi dahil ederek kullanır. Tehlike riskleri için kullanılan risk cevaplarının amacı riskin tolere edilmesi, müdahale edilmesi, transfer edilmesi veya riskin ya da riske sebep olan faaliyetin sonlandırılması şeklinde olabilir. Birçok risk için bu cevaplar birlikte de uygulanabilir. Fırsat riskleri için uygun alternatiflerin kapsamı risklerin kullanılmasını içerir. Reaksiyon planlaması iş süreklilik planlamasını ve afet kurtarma planlamasını içerir. 3. ISO 31000’in gözden geçirimi
ISO 31000 risk yönetimi uygulaması çerçevesindeki bileşenleri tanımlar. Şekil 2, bu uygulama çerçevesinin basitleştirilmiş bir versiyonunu gösterir. Aynı zamanda uygulamadaki gerekli basamakları ve risk yönetim sürecinin devam eden desteğini içerir. ISO 31000 çerçevesinin öncelikli bileşeni Yönetim Kurulu için ‘vekalet ve bağlılık’ olup aşağıdakilerle devam eder;  Çerçevenin tasarımı  Risk yönetim uygulaması  Çerçevenin takibi ve gözden geçirilmesi  Çerçevenin geliştirilmesi Risk yönetim çerçevesi
ISO 31000 risk yönetimi sürecini destekleyecek bir çerçeve yerine risk yönetimi uygulaması için bir çerçeve tasvir eder. Risk yönetimi sürecini destekleyecek çerçevenin tararımı hakkında bilgi ISO 31000’de detaylı olarak sunulmamıştır. Kurum risk yönetimini destekleyecek çerçevesini kendi risk mimarisine, stratejisine ve protokollerine uygun olacak şekilde kendisi tanımlayacaktır. Şekil 1’de sunulan risk mimarisi, stratejisi ve protokolleri risk konularının iletişimindeki içsel düzenlemeleri gösterir. Ayrıca risk yönetimi sürecine destek veren kişilerin ve komitelerin rollerini ve sorumluluklarını ortaya koyar. Risk stratejisi kurumun risk yönetimi faaliyetlerinde elde etmek istediği hedefleri ortaya koymalıdır. Son olarak, risk protokolleri stratejilerin uygulanmasındaki ve risklerin yönetilmesindeki prosedürleri tanıtmalıdır. 4. KRY’den faydalanmak
Şekil 3 Rehber 73’deki terimler kullanılarak ISO 31000’deki risk yönetimi sürecinin sadeleştirilmiş halidir. Süreçteki kilit basamaklar risk değerlendirilmesi ve risk yaklaşımı olarak gösterilmiştir. Şekil 3 ayrıca risk yönetim sürecinin kurumun risk yönetim içeriği dahilinde yer aldığını gösterir.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı 7 Risk değerlendirmesi
Risk tanımlaması kurumun maruz kaldığı risklerin ve belirsizliklerin tanımlanmasıdır. Bu, kurum hakkında kapsamlı bilgiye sahip olmayı gerektirir; hangi piyasada çalıştığının, bulunduğu yasal, sosyal, politik ve kültürel ortamın tanınmasını, stratejik ve operasyonel hedeflerinin bilinmesini gerektirir. Ayrıca başarıda kilit rol oynayabilecek faktörlerin, hedeflere ulaşmadaki tehditlerin ve fırsatların da bilinmesi gerekmektedir. Kurumda katma değer yaratabilecek bütün aktiviteler değerlendirilerek ve bu aktiviteler içinde oluşabilecek bütün riskler tanımlanarak risk değerlendirilmesine ulaşılmalıdır. Risk analizinin sonuçları, her riskin ayrı ayrı önem derecesinin belirlendiği ve karşılık olarak alınacak önlemlerin önceliklendirildiği bir risk profili oluşturmak için kullanılabilir. Böylece tespit edilen her risk göreceli olarak derecelendirilmiş olur. Bu süreç risklerin ilgili iş alanları ile ilişkilendirir, yürürlükteki ana kontrol mekanizmalarını tanımlar, yatırım seviyesinin nerede azaltılması, artırılması veya yeniden şekillendirilmesi gerektiğini belirler. Risk analizi yönetim tarafından dikkat edilmesi gereken riskleri tanımlayarak operasyonun etkili ve verimli şekilde gerçekleşmesini sağlar.Bu da kurumda risk kontrol eylemlerinin kuruma sağlayacağı potansiyel avantajlar noktasında önceliklendirilmesini sağlar. Uygun risk tepki yaklaşımlarının kapsamı tolere etme, müdahale etme, transfer etme ve sonlandırmadır. Kurum ayrıca kontrol ortamı geliştirme konusunda ihtiyaç olup olmadığını belirleyebilir. Risk yönetimi aksiyonları
ISO 31000’de risk yönetimi aksiyonları riski şekillendirmek için uygun kontrol ölçülerini seçme ve uygulama faaliyeti olarak sunulmuştur. Risk yönetimi aksiyonlarının en büyük bileşeni risk kontrolü (azaltma) olmakla birlikte riskten kaçınma, risk transferi ve risk finansmanı olarak genişletilebilir. Bir risk yönetimi aksiyon sistemi verimli ve etkili iç kontroller sağlamalıdır. İç kontrolün verimliliği önerilen kontrol ölçülerine göre riskin yok edilmesi veya azaltılma derecesidir. İç kontrolün maliyet etkinliği kontrolün uygulanma maliyetiyle risk indirgendiğinde sağlanan avantajlarla ilgilidir. Yasalara ve düzenlemelere olan uyum bir seçenek değildir. Kurum uygun yasaları bilmek Kurumsal Risk Yönetimine Yapısal Bakış Açısı 8 zorundadır ve uyumu sağlayacak kontrol sistemini uygulamalıdır. Risklerin finansal etkilerine karşı uygulanabilecek bir metod sigortalama dahil olmak üzere risk finansmanıdır. Fakat unutulmamalıdır ki bazı kayıplar veya kayıpların unsurları sigortalanamaz. Sigortalanamayan kayıplar, çalışanların moralindeki düşüş veya kurumun itibarı bu kayıplara örnek olarak gösterilebilir. Geri bildirim mekanizmaları
ISO 31000 iki mekanizma yoluyla geri bildirimin önemini vurgulamaktadır. Bunlar performansın izlenmesi ve gözden geçirilmesi ile iletişim ve danışmadır. İzleme ve gözden geçirme kurumun risk performansını izler ve tecrübelerden öğrenir. İletişim ve danışma ISO 31000 risk yönetim sürecinin bir parçası olarak gösterilmiştir fakat çerçeveye desteğin bir parçası olarak da görülebilir. Raporlama ve açıklamaya ISO 31000’de çok kısa olarak değinilmiştir ve Şekil 3’de gösterilen sürece dahil edilmemiştir. Ayrıca ISO 31000’de ortaya konan izleme, gözden geçirme ve geri bildirim faaliyetleri risk performansının izlenmesi ve risk yönetim çerçevesinin değerlendirilmesi görevlerinden belirgin bir şekilde bahsedilmez. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 9 Bölüm 2: Kurumsal risk yönetimi Bölüm 2 kurumsal risk yönetimi (KRY) uygulamasındaki basamakların bir özetini sunar. Bu bölümde kullanılan terminoloji risk (tehlike) yönetiminin ‘7R’ ve ‘4T’sine dayanır. Ek B’de KRY girişimi uygulama sürecindeki adımların kısaca açıklaması verilmiştir. Yönetim kurulu görevlendirmesi ve
desteği
Birçok organizasyon her sene güncellenmiş risk yönetim politikalarını yayımlarlar. Bu prensip kurumun genel risk yönetim bakışının güncel en iyi uygulamayla paralel olmasını sağlar. Ayrıca kurumun gelecek sene için hedeflenen 5. Planlama ve tasarım
avantajlara odaklanmasına fırsat verir, risk Bir KRY girişiminin tasarım ve planlama önceliklerini tanımlar, yeni ortaya çıkacak aşamasında göz önünde tutulması gereken bir risklere karşı gerekli dikkatin çekilmesini garanti çok faktör bulunmaktadır. Risk mimarisi, strateji eder. Politika ayrıca kurumun risk mimarisini de ve protokollerinin detayları kurumun risk açıklamalıdır. Şekil 4 listede örnek olarak yönetim politikasına kayıtlı olmalıdır. Tablo 2 borsaya kote büyük bir şirketin klasik risk klasik bir risk yönetim politikasının içeriğiyle ilgili mimarisini tasvir eder. bilgi sunar. Yönetim Kurulu’nun görevlendirme ve desteği büyük önem taşır, sürekli ve üst seviyede olmalıdır. Görevlendirme ve destek mevcut olmadığı sürece risk yönetim girişimi başarısız olacaktır. Risk yönetim politikasının güncel tutulması risk yönetiminin Yönetim Kurulu tarafından tamamen desteklenen aktif bir faaliyet olduğunu gösterir. Table 2: Risk yönetimi politika içeriği
Risk yönetim politikası aşağıdaki bölümleri içermelidir:  Risk yönetimi ve iç kontrol hedefleri (yönetişim)  Kurumun riske karşı davranış tarzının beyanı (risk stratejisi)  Risk farkındalığı kültürünün veya denetim ortamının açıklaması  Seviye ve mahiyeti kabul edilebilir risk (risk iştahı)  Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi)  Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme)  Risk analizi ve raporlama için belgeler listesi (riski protokolleri)  Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi)  Risk yönetimi rollerinin ve sorumluluklarının tahsisi  Risk yönetimi eğitim konuları ve öncelikleri  Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama)  Risk yönetimi için uygun kaynakların tahsisi  Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri Kurumsal Risk Yönetimine Yapısal Bakış Açısı 10 Girişimin kapsamı
Girişimin kapsamı kurumun elde etmek istediği KRY girişiminin başarılı olması için geniş kapsamlı kar ve faydaların çeşitliliğine göre tanımlanacak olması gerekmektedir. Fakat geliştirilmiş risk ve kurumun farklı paydaşlarının beklentilerinden yönetim standartlarının lanse edilmesi aniden de etkilenecektir. başarılamayacak, aşamalı bir süreçtir. Bu yüzden kurumun KRY girişiminin hedefini gelişmeler ilerledikçe ortaya koyması gerekir. Şekil 4: Borsaya kote büyük bir şirketin örnek risk mimarisi
Kurumsal Risk Yönetimine Yapısal Bakış Açısı 11 Risk yönetimi çerçevesi
Kurumun doğasına bağlı olarak risk yönetimi birimi yarı zamanlı risk yöneticisi, tek bir risk şampiyonu ya da eksiksiz bir risk yönetim departmanı olabilir. İç denetim biriminin fonksiyonu da kurumdan kuruma değişiklik gösterebilir. Kurumun iç denetim biriminin rolünü en uygun şekilde belirleyebilmek için birimin objektifliğinden ve bağımsızlığından ödün verilmemeli ve garanti altına alınmalıdır. Risk yönetimi politikasında verilecek risk yönetim sorumluluklarının büyüklüğü geniş ve kapsamlı olmalıdır. Tablo 3 büyük bir şirkette risk yönetim birimine verilecek sorumlulukları örnek olarak sunar. Yönetim Kurulu’nun şirketin stratejik yönünü tayin etme ve risk yönetimi içeriğini oluşturma sorumluluğu vardır. Sürekli performans gelişimi sağlamak için devamlı düzenlemelerin yer alması gerekmektedir ve bu sorumluluk muhtemelen risk yöneticisine verilecektir. Tablo 3: Risk yönetimi sorumlulukları
1. CEO ve Yönetim Kurulu’nun Risk Yönetimi sorumlukları:

Riskin stratejik bakış açısını belirleme ve risk iştahı ayarlama

Risk yönetimi yapısını kurma

En belirgin riskleri anlama

Organizasyonu kriz anında yönetme
2. İş birimleri yöneticilerinin Risk Yönetimi sorumlulukları:

Birim bünyesinde risk bilinci kültürünü oluşturma

Risk yönetim performans hedeflerinde anlaşma

Risk geliştime tavsiyelerinin uygulanmasını sağlama

Değişen durumları/ riskleri belirleme ve raporlama
3. Bireysel çalışanların Risk Yönetimi sorumlulukları:

Risk yönetim süreçlerini anlama, benimseme ve uygulama

Verimsiz, gereksiz yada çalışamaz kontrolleri raporlama

Kaybedilmiş ve kaçırılmış olayları raporlama

Kaza soruşturmalarında yönetimle koordineli hareket etme
4.Risk yöneticisinin Risk Yönetimi sorumlulukları:

Risk yönetim politikasını geliştirme ve güncelleme

İçsel risk politikaları ve yapılarının dökümantasyonu

Risk yönetim (ve iç kontrol) faaliyetlerinin koordinasyonu

Risk bilgilerinin derlenmesi ve Yönetim Kurulu’na raporlanması
5. Uzman risk yönetim birimlerinin Risk Yönetimi sorumlulukları:

Uzman risk politikalarını kurmada şirkete yardımcı olma

Uzman acil durum ve kurtarma planları geliştirme

Uzmanlık alanındaki gelişmelerin güncellenmesi

Kaza ve benzer kayıp soruşturmalarını destekleme
6. İç denetim yöneticilerinin Risk yönetimi sorumlulukları:

Riske dayandırılmış iç denetim programı geliştirme

Organizasyon bünyesindeki risk süreçlerini denetleme

Riskin yönetiminde güvence alma ve temin etme

İç kontrollerin verimliliği ve etkinliği üzerine raporlama
Kurumsal Risk Yönetimine Yapısal Bakış Açısı 12 6. Uyg
gulama ve
e kıyasla
ama
Risk değerrlendirmesi rrisk yönetim sürecinin temel parççalarından biridir. Kapsam
mlı bir risk yönetim bakış açısı eld
de etmek için
n kurum yeteerli derecede vve gerekli rissk değerlendirmelerini yapmalıdırr. En yaygın rrisk değerlen
ndirme teknikleri TTablo 4’ de yyer almaktad
dır. Risk değ
ğerlendirme prose
edürlerinin
n
oluşturu
ulması
İş fırsatlarıından daha ffazla yararlan
nmak için ris k değerlendirmesi karar alma sürecin
nin parçasıdıır. Riskin karaar alma süreccinin bir parççası olduğunnun garantilenmesinin bir yyolu Yönetim
m Kurulu’na ütün strateji dökümanlarrıyla risk sunulan bü
değerlendirme raporlaarlarının bera
aber sunulmasıdır. Bunun gibi önerilen bütün projelerin risk değerlen
ndirmeleri ya
apılmalı ve unca risk değğerlendirmelerine devam
m proje boyu
edilmelidirr. Son olarakk, risk değerle
endirmeleri rutin faaliyyetler dahilin
nde yapılmalıdır. Risk değerrlendirmeleriinin nasıl kayydedileceği kararı göz ön
k
ünde bulunddurulması ge
ereken konulardan b
k
biridir. Kurum
mun risk tanımlamasında her riskin kay
h
ydını hangi deetay seviyesinde ması gereken bir tutacağı bu aşamada alınm
karardır. Risk
k
değerlendirrme sürecind
de diğer önemli bir ko
ö
nuysa kurum
mun kullandığı risk sınıflandırma sisteminin ttanımlanmassıdır. Risk
R
değe
erlendirme
elerinin
uygulanm
u
ası
Kurum tanım
K
lanan bir riskkin önemini belirleyebilm
b
ek için kıyasllayıcı ölçütle
er (b
benchmark) geliştirmeliddir. Bu kıyaslama ölçütlerinin y
ö
apısı riskin tiipine göre de
eğişir. Finansal riskle
F
er için mali eetki bir kıyas ölçütü olabileceği gi
o
bi kurumun ffaaliyetlerini kesintiye uğratabilecek
u
k riskler için kkesintilerin ssüresi uygun bir ölçüt olab
b
ilir. İtibar risskine sebep o
olan olayın etkilediği hiss
e
se senedi fiyaatlarındaki değişme veya kilit pay
v
daşlardan al ınan politik vve finansal destekteki de
d
eğişime bakıllarak kıyaslam
ma yapılabilir
y
Kurumsal Risk K
Yönetimine Yap
pısal Bakış Açısıı 13 Uygun risk değerlendirme prosedürlerini tanımladıktan ve çeşitli sınıflardaki risklerin önem seviyesinde kıyaslama ölçütleri belirledikten sonra o riske karşı koyacak organizasyonun kapasitesiyle birlikte risk iştahını tanımlamak mümkündür. Son olarak da organizasyon söz konusu riske ne oranda maruz kaldığını belirleyebilir. İçsel ve dışsal faktörler riskin artmasına sebep olabilir. Şekil 5 Finansal, Altyapısal, Piyasa, İtibar (FAPİ) Risk Sınıflandırma sistemine dayanır ve iç ve dış risk faktörlerinden örnekler verir. Bazı sınıflandırma sistemleri stratejik riski ayrı bir kategoride değerlendirir. Fakat FAPİ bakış açısı stratejik (taktiksel ve operasyonel riskler de dahil olmak üzere) risklerin bu dört başlığın altında tanımlanmasını öngörür. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 14 Risk iştahı ve toleransı
Yönetim Kurulu’nun her çeşit risk için risk alma kuralları koyması önemlidir ve bazı organizasyonlar bütün riskler için geçerli olacak bir risk iştah bildirisi hazırlamışlardır. Bir kurumun çalışanların ya da müşterilerinin sağlığına ya da güvenliğine bir zarar gelmesine
sebep olma konusunda iştahı olmayacağını söylemek kolaydır. Fakat pratikte, bildirinin sağlık ve güvenlik perfomansı için belirli hedefler koyularak geliştirilmesi gerekmektedir. Risk iştahı beyanlarının dinamik olmaması gibi bir riski vardır ve bu durum davranışları ve hızlı reaksiyonu kısıtlayabilir. Yönetim Kurulu seviyesinde risk iştahı, stratejik risk alma kararları için bir motivasyondur. Yönetim seviyesinde risk iştahı, risklerin taktiksel karar sürecinde yeterli ölçüde dikkate alınmasını sağlamak için bir dizi prosedüre dönüşür. Operasyonel seviyede risk iştahı, rutin aktivitelere operasyonel kısıtlamalar getirir. Önemine ve diğer birçok risk yönetim standartları ve menkul kıymetler piyasası kote olma şartlarına dahil edilmesine rağmen, ISO 31000’de risk iştahı konseptine değinilmemesi şaşırtıcıdır. 7.
Ölçme ve izleme
Genellikle, yapılan risk değerlendirmeleri risk kayıt dosyasında belirtilir. Risk kayıtları için belirlenmiş herhangi bir standart format yoktur ve kurumların bu önemli dosya için uygun bir format belirlemeleri gerekmektedir. Risk kaydı kurumun karşılaştığı belirli risklerin kaydedildiği statik bir rapor olmamalıdır. Risk kaydı güncel kontrollerin yanında ileriki zaman için planlanmış faaliyet detaylarının da dahil edildiği bir Risk Aksiyon Planı gibi görülmelidir. Bu alınacak aksiyonlar daha önceden tanımlanan kişiler tarafından belirli bir zaman aralığında tamamlanması gereken ve denetlenebilen aksiyonlar olarak kaydedilmelidir. Böylelikle iç denetim fonksiyonun halihazırda varolan kontrolleri izlemesini ve gerekebilecek ek kontrollerinde uygulanmasını sağlar. Risk yönetim kurallarını uygulamak için gerekli kaynaklar yönetimin her seviyesine ve her iş biriminin içine açık bir biçimde yerleştirilmiş olmalıdır. Risk yönetimi stratejik planlama ve bütçeleme süreçlerine de yerleştirilmelidir. Varolan kontrollerin etkinliğinin ve ek kontrollerin uygulamasının yanısıra varolan kontrollerin maliyet verimliliği de takip edilmelidir. Bunlara ek olarak, izleme ve ölçme adımları risk fakındalık (risk hakkında bilinçlenmiş şirket) kültürü ve risk yönetim çerçevesinin değerlemesini ve risk yönetim görevlerinin diğer kurumsal aktivitelerle ne kadar uyumlu olduğunun değerlendirmesini içerir. Varolan kontrolleri değerlendirme
Ölçme ve izleme kurumun kültürüne, performansına ve hazırlıklılığına kadar uzanır. Ölçme ve izlemenin kapsadığı aktivitelerin hedefleri risk geliştirme tavsiyelerinin takibini, risk yönetim aktivitelerinin kurum içine yerleştirilmesinin değerlendirilmesini ve risk performans göstergelerinin rutin kontrolünü kapsar. Kurumun köklü değişimlere karşı koyabilmesi için hazırlanmasının izlenmesi risk yönetimin önemli bir parçasıdır. Bu aktivite normal olarak iş süreklilik planlarının gelişimini ve testini ve doğal afet kurtarma planlarını da kapsar. Belirlenmiş risk olaylarına karşı kurumun hazırlıklı olabilmesi için bu planları güncel tutmak oldukça önemlidir. Varolan kontrollerin değerlendirilmesi risk iyileştirme tavsiyelerinin tanımlanmasını sağlar. Bu tavsiyeler risk kaydına aksiyon planı şeklinde kaydedilmelidir. Varolan kontrollerin etkinliğini değerlendirmenin önemli bir parçası yürürlükte olan iş süreklilik ve doğal afet kurtarma planlarının yeterli değerlendirmesinin olup olmadığını güvence altına almaktır. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 15 Risk farkındalığı kültürünü
yerleştirmek
Kurumun faaliyet gösterdiği çevredeki ve kurumun kendisindeki değişikliklerin tanımlanması ve gerekli güncellemelerin protokollerde yapılması zorunludur. İzleme faaliyetleri uygun kontrollerin yürürlükte olduğuna ve prosedürlerin anlaşılıp takip edildiğine dair güvence vermelidir. Kurum içi değişiklikler ve faaliyet alanı yürürlükteki prosedürlerin değişebilmesi için tanımlanmak zorundadır. Ayrıca her ölçme ve izleme süreci; 
Uyarlanan ölçülerle hedeflenen sonuca ulaşılıp ulaşılmadığına  Uyarlanan prosedürlerin verimli olup olmadığına  Risk değerlendirmeleri için yeterli bilginin bulunup bulunmadığına  Gelişmiş bilginin daha iyi kararlara ulaşmada yardımcı olup olmadığına  Gelecekteki değerlendirmeler ve kontroller için ders alınıp alınmadığına karar verebilmelidir. Risk yönetiminin kurum kültürü içine yerleşmesi üst yönetiminde liderliğin gösterildiği, bütün seviyelerdeki çalışanların katılımının olduğu, tecrübeden öğrenilen bir kültürü, eylemlerin uygun bir şekilde hesap verilebilirliğini (otomatik bir suçlama kültürü geliştirmeden) ve risk konularında iyi iletişimi sunan bir ortamla sağlanabilir. 8. Öğrenme ve raporlama
Risk yönetimi sürecinin değerlendirme döngüsünün tamamlanması tecrübelerden öğrenmenin ve performans üzerinden raporlamanın önemli basamaklarını kapsar. Tecrübelerden öğrenmek için kurum, risk performans göstergelerini değerlendirmeli ve kurumsal risk yönetiminin kurumun başarısına olan katkısını ölçmelidir. Kurumun neden risk yönetim girişimini başlattığının sebepleri açıkça belirtilmelidir. Aksi takdirde, kurum bu katkının beklentilerle örtüşüp örtüşmediğinin değerlendirmesini yapamaz. Risk performans göstergelerinin izlenmesi seçilen kontrol mekanizmalarının uygunluk değerlendirmesi kadar risk yönetimi tarafından yapılan katkının değerlendirmesini de içermelidir Risk performans takibi
Risk yönetiminden ders almak aynı zamanda kilit durumdaki paydaşların fikirlerinin içsel ve dışsal araştırmasının da yapılmasını gerektirir. Özellikle iç denetimin görüşü ve denetim komitesinde risk yönetim faaliyetlerinin değerlendirilmesi son derece önemlidir. Tecrübeden öğrenme risk performans göstergeleri değerlendirmesinden daha fazlasını gerektirir. Risk yönetimi çerçevesinin yıllık olarak risk mimarisi, stratejisi ve protokollerinide kapsayacak bir şekilde gözden geçirimi gerekli olacaktır. Kurumun risk bazlı denetim planının olması ve uygun risk değerlendirmeleri yapması önemlidir. Tecrübeden öğrenmenin diğer bir yöntemi de Yönetim Kurulu ile denetim komitesine sağlanan denetim raporları ve risk güvencesi kaynakları raporlarının değerlendirilmesidir. Elde edilen güvence seviyesinin değerlendirmesi de ayrıca gereklidir. Genellikle, yönetim için risk güvencesinin önemli bir kaynağı, risk yönetimi, risk raporlama ve açıklanması, kazalardan elde edilen bilgiler gibi konularda güvence sağlayan Kontrol Risk Değerlendirme süreci gibi öz değerlendirmeler olacaktır. Risk performans raporlaması
İçsel iletişim ve raporlamaya ek olarak, kurumların dışarıya raporlama zorunluluğu da olacaktır. Bu dışsal raporlamalar Turnbull ve Sarbanes‐Oxley gibi risk yönetimi ve iç kontrolle ilgili mecburi gerekliliklere cevap niteliğinde artarak raporlanmaktadır. Dışsal risk Kurumsal Risk Yönetimine Yapısal Bakış Açısı 16 raporlamaları dış paydaşlara, risklerin uygun bir şekilde yönetildiği güvencesini sağlamak üzere tasarlanmıştır. Dışsal raporlama paydaşlara risk yönetimi durumu hakkında ve performansta sürekli gelişmenin korunmasını garanti edecek faaliyetler hakkında yararlı bilgiler sunmalıdır. Şirketin, paydaşlarına düzenli bir şekilde raporlama yapma, risk yönetim politikalarını ve hedeflerine ulaşmadaki etkinliğini ortaya koyma ihtiyacı vardır. Paydaşların da, şirketlerin sosyal ilişkiler, insan hakları, çalışma uygulamaları, sağlık, güvenlik, çevre gibi konularda gösterdiği kurumsal davranışlara dikkat etme oranları artış göstermektedir. Risk raporlama tarihsel kayıplar ve eğilimler hakkında bilgi sağlamaktayken riskin açıklanması yeni oluşan risklerin tahminine dair ileriye dönük bir faaliyettir. Risk performasının ölçümü ve izlenmesi ile risk yönetim sürecini geliştirmek için tecrübelerden ders almaya yönelik adımlar atma arasında çok açık bir fark vardır. Ayrıca raporlama sayesinde risk çerçevesi ve yan fonksiyonlarının gelişimi için faydalı olacak önemli dersler çıkartılabilir. Kurumsal Risk Yönetimine Yapısal Bakış Açısı 17 Ek A: Risk yönetim kontrol listesi
Ek A: Risk yönetimi kontrol listesi
Risk mimarisi  Risk sorumluluklarını ortaya koyan ve Yönetim Kuruluna bırakılan risk bazlı konuları listeleyen açıklama oluşturuldu.  Risk yönetim sorumlulukları uygun yönetim komitesine atandı.  Riskler ve kontroller üzerindeki uygun tavsiyelerin kullanılabilirliğini sağlamak için gerekli düzenlemeler devreye alındı.  Risk bilinç kültürü organizasyon bünyesinde oluşturuldu ve risk olgunluk seviyesinin yükseltilmesi için eylemler ele alındı  Yönetim Kurulu için risk güvencesi kaynakları belirlendi ve onaylandı RİSK Stratejisi  Risk iştahını, kültürünü ve felsefesini tanımlayan risk yönetim politikaları üretildi  Başarının kilit bağımlılıkları, başarıyı engelleyebilecek durumlarla birlikte belirlendi.  İş hedefleri onaylandı ve bu hedefleri destekleyen varsayımlar test edildi  Kurumun karşı karşıya kaldığı belirli riskler gerekli kritik kontrollerle birlikte belirlendi  Anahtar risk göstergelerinin uygun bir şekilde kullanımını içeren risk yönetim aksiyon planı hazırlandı  Gerekli kaynaklar belirlendi ve risk yönetimi faaliyetlerini desteklemek üzere temin edildi Risk protokolleri
 Uygun değişikliklerle birlikte uygun risk yönetimi çerçevesi belirlendi ve uyarlandı  Uygun ve gerekli risk değerlendirmeleri tamamlandı ve sonuçları uygun bir formatta kaydedildi  Riski işin karar alma kısmına dahil etmek için prosedürler kuruldu ve uygulandı.  Gerekli risk tepkilerinin detayları, risk geliştirme tavsiyelerinin takibi için gerekli düzenlemelerle birlikte kaydedildi.  Risk eğilimlerinin belirlenebilmesi için olay raporlama prosedürleri ile birlikte risk artış prosedürleri oluşturuldu.  İş sürekliliği ve afet kurtarma/iyileştirme planları hazırlandı ve test edildi.  Belirgin risk kontrollerinin etkinliği ve verimliliğini denetlemek için düzenlemeler yapıldı.  Riskle ilgili mecburi raporlama düzenlemeleri, en azından aşağıdaki maddelerin raporlarını içerecek şekilde düzenlendi: 





Risk iştahı, toleransı ve kısıtlamaları Risk mimarisi ve risk artış prosedürleri Mevcut risk bilinç (farkındalığı) kültürü Risk değerlendirme düzenlemeleri ve protokolleri Belirli riskler ve anahtar risk göstergeleri Kritik kontroller ve kontrol zayıflıkları Kurumsal Risk Yönetimine Yapısal Bakış Açısı 18 Ek B: Uygulama Özeti




Aşağıdaki tablo Kurumsal Risk Yönetimi insiyatifi uygulaması sırasında atılacak adımların özet listesini sunar. KRY insiyatifinin başarılı bir uygulaması aşağıdaki 10 adımın düzenli bir şekilde uygulanmasını gerektiren devamlı bir süreçtir. 10 adım aşağıdakilere ayrılmıştır; Faaliyet Planlama ve Tasarım (5. Bölüme Bakınız) 1. Kurumsal risk yönetimi girişiminin amaçlanan avantajlarını belirleme ve Yönetim Kurulunun yetkisini kazanma Planlama ve tasarım Uygulama ve kıyaslama Ölçme ve takip Öğrenme ve raporlama Kavramlar / Araçlar ve Teknikler 

KRY girişiminin kapsamını belirleme ve risk için ortak bir dil geliştirme 3. Risk yönetimi stratejisi, çerçevesi, görevleri ve sorumluluklarını oluşturma Uygulama ve Kıyaslama (6. Bölüme bakınız)
4. Risk değerlendirme prosedürlerini ve kararlaştırılmış risk sınıflama sistemini uyarlama/benimseme 



5. 
2. Önemli risk kıyaslama (ölçütlerini) oluşturma ve risk değerlendirme 


Risk iştahı ve risk tolerans seviyelerini belirleme ve mevcut kontrolleri değerlendirme Ölçme ve İzleme (7. Bölüme bakınız) 7. Mevcut kontrollerin maliyet verimliliğinden emin olma ve geliştirmeler sunma 

8. 

6. Risk bilinç kültürünü yerleştirme ve risk yönetiminin diğer yönetim görevleriyle uyumunu sağlama Öğrenme ve Raporlama (8. Bölüme bakınız)
9. Risk performans göstergelerinin KRY katkısının ölçülebilmesi için izlenmesi ve gözden geçirilmesi 10. Risk performansının yasal ve diğer gerekliliklerle raporlanması ve gelişimin izlenmesi 



KRY faydaları Risk yönetimini yerleştirme Baş risk Paydaşların beklentileri Risk yönetimi politikası Risk mimarisi Risk tanımı Risk sınıflandırma sistemleri Risk değerlendirme teknikleri Önemin kıyaslama testleri Risk kaydı Risk iştahı Risk geliştirme planları İş sürekliliği planları ve afet kurtarma/iyileştirme planları Kontrol çevresi Risk iletişimleri Denetim planları ve risk gözden geçirmeleri Risk güvence kaynakları Risk raporlama Yasal gereklilikler 

Kurumsal Risk Yönetimine Yapısal Bakış Açısı 19 
Download