İç Ortam

COSO’nun yayınladığı temel bileşenlerin tamamı belirli bir sistematiğe göre sıralanmıştır. Bunun en büyük kanıtı, ilgili bileşenleri açıklamaya iç ortam bileşeninden başlanmasıdır. İç ortam, KRY sürecinin ilk ve temel bileşenidir. Kurumda/organizasyonda gerçekleştirilmesi düşünülen tüm yönetsel süreçlerin başlangıç noktasıdır.

KRY açısından da, risk bilincinin kurumun tamamında oluşturulmaya başlandığı ilk noktadır. Bu anlamda iç ortam bileşeni, KRY hakkında temel ilkelerin belirlenip aktarıldığı, genel bir disiplin haline gelmesi adına çalışmaların yapıldığı temel noktadır. İç ortam unsuru kurumsal strateji ve hedeflerin belirlenmesi, faaliyetlerin yapılandırılması, risklerin tespit edilmesi, değerlendirilmesi ve yönetilmesi süreçlerinde etkili olmaktadır (Kızılboğa: 84).

COSO’nun 2004 yılında yayınladığı ilk raporda, iç ortam ifadesinin; risk yönetimine ilişkin kültür/felsefe, risk iştahı, yönetim/yönetim kurulu felsefesi, organizasyon yapısı ve personelin etik değerleri konuları ile birlikte düşünülmesi gerektiği ifade edilmektedir (COSO, 2004/1).

40

2.6.1.1.1. Risk Yönetimine İlişkin Kültür/Felsefe

İç ortam bileşeninin ilk alt unsuru, risk yönetimine ilişkin bir kültürü ya da felsefeyi tesis etmektir. Kurumun/organizasyonun risk yönetim felsefesi, kurumun stratejilerini belirlemesi ile başlayıp günden güne gerçekleşen faaliyetlerine kadar geçen her süreçte, riski nasıl algıladığına yönelik inanç ve tutumdur (COSO, 2004/2: 5).

İlgili konunun tüm birimler tarafından anlaşılması ve uygulanması ile birlikte, bu inanç ve tutumların kurum adına yerleşik bir kültür haline geldiği ifade edilebilir. Söz konusu kültür kavramı, birimler bazında değil, kurumun genelini kapsayacak bir olgu haline gelmektedir.

Risk yönetimine ilişkin oluşturulması arzu edilen bu kültür anlayışının çeşitli araçlar ile gerçekleştirmek mümkün olabilecektir. Yazılı kurallar, düzenlemeler, politikalar ya da sözlü iletişim kanalları bunlardan bazılarıdır. Ancak genel bir anlayış ve kabul oluşturabilmesi adına, ilgili risk yönetim sürecinin yazılı kanallar aracılığıyla politikalar haline getirilmesi gerekmektedir.

Kurum faaliyetlerinde aynı koşullarda aynı kararların alınması açısından risk kültürünün önemli bir rolü vardır ve risk kültürü ile tutumunun oluşturulması bir yönetim faaliyetidir (Pehlivanlı: 73).

2.6.1.1.2. Risk İştahı

Şirketler/kurumlar risk iştahını tanımlarken; makul büyüme, risk ve kâr oranı ya da paydaşlara değer katma ölçülerini belirleme şeklinde; kâr amacı olmayan kurumlar ise paydaşlarına değer katmak veya memnuniyeti/hizmeti artırmak adına kabul edebilecekleri risk seviyesi olarak ifade etmektedir (COSO, 2004/1: 40).

COSO’nun bu genel tanımı ile birlikte, risk iştahına ilişkin gerekli açıklamalar, risklere ilişkin temel kavramlar kısmında (2. Bölüm 1. Kısımda) detaylı şekilde ifade edilmiştir.

41

2.6.1.1.3. Yönetim Kurulu

Kurumsal risk yönetiminin denetimi ve gözetimi hususunda en temel sorumluluk ve destek yönetim kuruluna aittir (COSO, 2004/2: 95). Yönetim kurulu kurumsal risk yönetimine ilişkin süreçlerle bizzat ilgilenebileceği gibi, kurul içerisinden birisini yönlendirebilir ya da risk yönetiminin denetimi konusunda kurum dâhilinde ki birim yöneticilerinden destek alabilir (Risk yöneticisi, risk müdürü vb.).

2.6.1.1.4. Etik Değerler

Etik değerler alt unsuru, iç ortam bileşenin temel ve güncel konularından birisidir. İnsan kıymetlerinin öneminin anlaşılması ile birlikte bu yönde çalışmaların artması, beraberinde kurumsal etik değerler kavramını doğurmuştur.

Kurumsal risk yönetiminin etkinliğinin doğal sınırı, kurumda yerleşik etik değerleri ve dürüstlük seviyesini oluşturan kişilerin seviyelerinin üzerinde olamaz (COSO, 2004/2: 8). Yani, etik değerlere ilişkin oluşan seviye, kurumsal risk yönetiminin etkinliği ile doğrudan ilişkilidir.

Etik değerlere ilişkin hususların başlangıcı, kurumda yer alan her bir birey özelinde başlar ve yönetim kurulunu da kapsayacak şekilde genişler. En azından arzu edilen gelişim bu yönde olmalıdır. Bu noktada ki temel sorumluluk yönetim kurulundadır. Kurum için iletişim ve etkileşimi tesis ederek, bireysel etik değerlerin, kurumun ve bireylerin tamamına aktarılmasını gerçekleştirmelidir.

2.6.1.1.5. Organizasyon Yapısı

Bir kurumun organizasyonel yapısı kuruma; faaliyetlerini planlama, uygulama, kontrol etme ve izleme imkânını sağlayan çerçeveyi verir (Ekici: 99). Organizasyon yapısına ilişkin çeşitli öneriler ya da modeller önerilebilir. Fakat asıl olan organizasyon yapısının kurumun hedefleri ve stratejileri ile çelişmemesidir. Yani kurumun değer üretebilme ihtiyacına uygun olmalıdır. Bu nedenle özgün organizasyon yapıları, kurumsal risk yönetiminin etkinliği noktasında temel iç ortam unsurlarından birisidir.

Organizasyon yapısı ifadesiyle anlatılmak istenen; soyut ve işlerliği olmayan bir organizasyon şeması oluşturmaktan ziyade, somut ve kurumsal risk yönetimi

42

uygulamalarının uygulanabileceği bir yapının var olması hususudur. Görev alanlarının ve yetkililerinin en ince ayrıntılarına kadar tespit edilip açıklandığı bir organizasyon yapısı, kurumsal risk yönetiminin tesisi açısında büyük faydalar sağlayacaktır.

2.6.1.2. Hedef/Amaç Belirleme

KRY’ ne ilişkin temel bileşenlerden ikincisi amaç ve hedeflerin belirlenmesidir. Risk unsurunun en temel anlamda kurumun/organizasyonun amaç ve hedeflerini engellemeye yönelik olgular olduğu dikkate alındığında, bu konunun önemi daha iyi anlaşılacaktır.

Yeri geldiği için şu konumlandırmayı yapmak elzem olmuştur. Amaç ve hedef kavramları her ne kadar birbirlerinin yerine kullanılsa da, aslında bünyelerinde ufak farklılıklar barındırırlar. Amaç kavramı belirli yönleri ile hedefleri de kapsayan daha makro bir çerçeveyi ifade etmektedir.

Bu nedenle amaç; kurumların/organizasyonların ulaşmak istedikleri ana mesafeyi temsil etmektedir. Yani gelecekte bulunmak istedikleri noktaya amaç denilebilir. Ancak hedef bu tanımdan biraz daha farklı olarak, amaçların gerçekleştirilmesi sürecinde aşılması ve gerçekleştirilmesi gereken daha ön ve görece küçük adımları ifade etmektedir. Denilebilir ki hedefler amaçlara göre daha kısa dönemli politikalar ile gerçekleştirilebilir. Dolayısıyla kurumların gerçekleştireceği stratejilerin temel dayanağı ve kaynağı hedefler değil, amaçlardır.

Hedefler; stratejik, faaliyet, raporlama ve uygunluk olmak üzere dört kategoride sınıflandırılmaktadır (COSO, 2004/1: 21). Bu hedefler COSO’nun yayınladığı KRY küpünde de yer almaktadır. Hedeflerin tek bir çatı altında değil de, bu şekilde kategorize edilmesi, KRY’nin temel mantığı ile örtüşmektedir. Çünkü KRY çok yönlü ve kapsamlı risk yönetim sürecini önerdiği için, hedeflerin de ayrıntılı ve farklı açılardan değerlendirilmesi arzu edilen bir durumdur.

KRY’ ne ait tüm sıralamalarda ve sınıflandırmalarda olduğu gibi, hedeflerin belirlenmesi ve kategorize edilmesinin belirli bir mantığı vardır. Kurum amaçlarına ulaşabilmek adına gerçekleştirilmesi gereken hedeflerden ilki stratejik hedeflerin belirlenmesidir. Söz konusu hedefler belirli planlar ve programlar dâhilinde sistemli

43

hale getirilmeli ve ilgililere iletilmelidir. Stratejik hedefler, kurumun misyonu ve vizyonu ile ilgili, onları destekleyici üst düzey hedeflerdir. Yani yönetimin kurum paydaşlarına/ilgililerine değer katabilmek için yaptığı tercihleri ifade etmektedir. (COSO, 2004/1: 35).

Stratejik hedeflerin belirlenmesi ile birlikte, ilgili birimlerin operasyonel/faaliyet hedeflerinin belirlenmesi süreci başlamaktadır. Operasyonel hedeflerin temel kaygısı, kurum dâhilinde ki temel faaliyetlerin etkin ve verimli sürdürülebilmesi ve bu yolla varlıkların korunmasıdır.

Raporlama hedeflerinin temel kaygısı ise, yürütülen tim süreçlere ilişkin gerçekleştirilen raporlamanın güvenilir olmasıdır. Bu kaygının altında yatan temel konu, güvenilir ve doğru bilginin elde edilmesi ile ilgilidir. Raporlama faaliyetleri ilgililere/paydaşlara direkt olarak ulaşabilecek temel bir çıktı oluşturmaktadır. O nedenle tüm birimlere doğrudan etkisi olabilecek bu derece önemli bir çıktının doğru ve güvenilir olması beklenmektedir.

Son olarak üzerinde durulması gereken konu uygunluk/uyum hedefleridir. Özellikle kamu idareleri ya da kural tanzim edicilere yönelik bir hedef olan uygunluk denetimi en temel ifadeyle, belirlenmiş kanunlara ya da politikalara uyumu ifade etmektedir. Önceden belirlenmiş ve genel kabul görmüş temel kurallara uygunluk, kurumun temel hedefleri arasında yer almaktadır.