Kaçınma

Riski yönetebilme imkânsızlığına bağlı olarak, söz konusu faaliyet ya da faaliyetlerden çekilme stratejileri bu kapsamda değerlendirilebilir. Bir coğrafi alandaki faaliyetin sonlandırılması, bir iş kolundan çekilme, bir üretim hattının kapatılması bu stratejiye verilebilecek örneklerdir (Türedi, Koban: 173).

Risklere ilişkin, bütünüyle çekilme stratejisi üzerine kurgulanması nedeniyle çok sık karşılaşılan ya da tercih edilen bir tutum değildir. Çünkü söz konusu çekilme, uygulanması ve sonuçları itibariyle maliyetli olabilmektedir. Bu tutum, kurumların temel hedeflerini korumak maksadı ile belirlenen risk iştahı seviyesi ile ters orantılıdır. Yani bir kurumun risk iştahı seviyesi ne kadar yüksek olursa, risklere ilişkin verilecek kaçınma tutumları da o nispette düşük olacaktır.

Karşılanamayacak risk seviyelerinin tespiti, süreçlerin sonunda değil; henüz işlemlerin başında tespit edilmelidir. Yani olası kaçınma stratejileri proaktif bir yaklaşımla süreçlerin hemen başında uygulanmalıdır.

2.6.1.5.2. Azaltma

KRY kapsamında geliştirilebilecek diğer bir tutum (karşılık verme), riskleri azaltma stratejileridir. Çok temel ifadeyle azaltma tutumu; işletmelerde/kurumlarda risklerin olasılıklarını ve etkilerini azaltarak, kabul edilebilir sınırlar içerisinde kontrol edebilmektir (Hillson: 239).

Bu stratejinin temel dayanağı gereği, kurumlar riskleri azaltma stratejilerine ilişkin kararlar alırken, başka bir kuruluştan/kuruluşlardan destek almazlar. Yönetim kurullarının bu konuda ki tasarrufları belirleyici ve yeterli olmaktadır. Örneğin üretim hattının çeşitlendirilmesi, bir tek ürüne bağımlı olma sorununu ortadan

49

kaldırabilir, bilgi sistemleri sunucularının farklı coğrafi bölgelere yerleştirilmesi, doğal afet durumunda oluşabilecek zararları azaltır (Türedi, Koban: 173).

2.6.1.5.3. Paylaşma

Paylaşma stratejisi, süreçlerin işletilmesi konusunda azaltma stratejileri ile farklılık göstermektedir. Bu yönüyle azaltma stratejileri kurum dışından bir desteğe ihtiyaç duymazken, paylaşma stratejilerinin temel kabulü dış destek yöntemlerinin uygulanması şeklindedir. Dış destek yöntemleri kurumların/işletmelerin faaliyet alanları, sektörleri, kapasiteleri vb. çeşitli etkenlere bağlı olarak değişebilmektedir. Ancak ana tema, paylaşma stratejileri kapsamında bazı süreçlerde dış desteklere başvurulmasıdır. Transfer yöntemi, riskin düşük olasılık-yüksek etki özelliklerine sahip olduğu durumlarda kullanılır (Vose, 2008: 18, Aktaran: Kızılboğa: 108).

2.6.1.5.4. Kabul

Kabul etme tutumu, risklere karşı herhangi bir önlem almama olarak ifade edilmektedir. Söz konusu risk, kurumların risk iştahı seviyeleri dâhilinde olduğu zaman bu yöntem kullanılabilmektedir. Örneğin, risklere ilişkin kavramsal çerçeve de ifade edilen kalıtsal riskler (residual risks) için geliştirilecek tek tutum, kabul etme tutumudur. Çünkü bu tür riskler hangi tedbir alınırsa alınsın, engellenemeyecek ve ortadan kaldırılamayacak risklerdir.

2.6.1.6. Kontrol Faaliyetleri

Kontrol faaliyetleri, kurumların/işletmelerin risk tutumlarının yürütülmesine yardımcı olan/katkı sağlayan politikalar ve prosedürler bütünüdür ( COSO, 2004/2: 63). COSO’nun tanımından da anlaşılacağı üzere, kontrol faaliyetleri risk tutumları ile ilgili ve ilişkili olmalıdır. Bununla birlikte kurumların/işletmelerin her bir süreci ile ilgili çeşitli kontrol faaliyetleri politikaları oluşturulmalıdır.

Elbette tek bir kontrol faaliyeti ile çeşitli ve otonom yapıdaki risk faaliyetleri analiz edilebilmektedir. Fakat bazen yönetimin şekillendirdiği tek bir risk tutumunu analiz etmek için de birden fazla kontrol faaliyetinin yapılandırılması gerekmektedir (Tüm ve Memiş, 2012: 144).

50

Risk tutumları belirlendikten sonra yönetim belirlediği kontrol faaliyetleri vasıtasıyla risk tutumlarının zamanında ve düzenli olarak uygulanıp uygulanmadığını izlemekte ve değerlendirmektedir (Kızılboğa: 110).

Kurumun ortaya koyduğu politika, prosedür ve diğer dokümantasyonlar, iş tanımları, organizasyon şemaları, otomasyon sistemi, standartlar gibi temel yönetim faaliyetleri aynı zamanda birer kontrol faaliyetidir (Pehlivanlı:122).

Kontrollerin belirlenmesi sürecinde dikkat edilmesi gereken bir diğer önemli nokta da en optimum kontrol seviyesinin oluşturulmasıdır. Kontroller günlük işleyişi ve faaliyetleri engellemeyecek düzeyde esnek, ancak hedeflere ulaşılma olasılığını artıracak düzeyde de sert olmalıdır (TÜSİAD, 2006: 25)

Risklerin kontrol faaliyetleriyle ilgili olarak geliştirilen kontrol faaliyetleri, dört grupta toplanabilir. Bunlar; önleyici, yönlendirici, düzeltici ve denetleyici kontrol faaliyetleridir (Orange Book, 2004: 28-29).

2.6.1.7. Bilgi ve İletişim

Gerek finansal gerek finansal olmayan süreçlerin tamamı için azami derecede önemli olan konuların başında bilginin elde edilmesi ve gerekli birimlere gerektiği zaman iletilmesi konusu gelmektedir. Çalışma özelinde incelemeye çalıştığımız KRY de bu kaygıyı taşımaktadır.

Günümüz rekabet şartlarında, en büyük rekabet sağlayıcı unsurun bilgi olduğu yadsınamaz bir gerçek haline gelmiştir. Bu haliyle bilginin elde edilme süreçlerine ilişkin akademik ve pratik çalışmalar günden güne artmaktadır.

Söz konusu bilgi ve iletişim bileşeni, kontrol yapısına, işletme hedeflerine uygun olmalıdır. Bilgi ve iletişim sistemleri; hedeflerin, hedeflere yönelik risklerin ve kontrol faaliyetlerinin kontrol ortamı dâhilinde yer alan tüm görevlilere zamanında, uygun bir şekilde aktarılmasına imkân verir. Yönetim kurulunun veya üst yönetimin ihtiyaç duyduğu kontrol raporları da yine bilgi iletişim bileşeni ile elde edilebilir (Türedi ve Karakaya, 2015: 69).

51

Gerekli ve kaliteli bilgi elde etmenin ilk aşaması, güvenli veriler ile çalışmaktır. Ham unsurlar olarak ifade edilen verinin anlamlı sonuca dönüşebilmesi için bir dönüşüm (veri işleme) sürecinden geçirilmesi gerekmektedir (Pamukçu, 2004: 3). Verilerin bilgiye ulaşması için çeşitli evrelere maruz kalması, söz konusu sürecin çok kolay ve hızlı işlemediğini göstermektedir. Genel kabul görmüş bilgiye dönüşme evrelerinden bahsetmenin mümkün olmamasıyla birlikte, verilerin bilgiye erişme safhalarını genel olarak şu şekilde sıralayabiliriz (Pazarçeviren, Karakaya ve İldem, 2016: 11);

1- Verilerin çeşitli kaynaklardan elde edilmesi yani toplanması,

2- Verilerin tasnifi ya da sınıflandırılması, (en genel ifadeyle gereksiz verilerin elenmesi)

3- Verilerin sunulacağı makamın ihtiyacına göre özetlenmesi ya da kısıtlanması, 4- Verilerin ileriki dönemlerde olası ihtiyaç durumlarında tekrar kullanılması için saklanması,

5- Verilerin doğru kişilere, doğru zamanda, doğru seviyede sunulması, kısaca iletilmesi.

Bu süreç sonunda elde edilecek bilgi ya da bilgilerin de kendine özgü nitelikleri olması kaçınılmazdır. Diğer bir hususta söz konusu bilgilerin faydalı olabilmesi için gerekli bazı özellikleri taşıması gerçeğidir. Tam bu noktada bilginin nitelikleri kavramı karşımıza çıkmaktadır (Pazarçeviren vd:13);

 Bilgiye ulaşabilme,  Kapsamlılık,  Doğruluk/ Doğrulanabilirlik,  Uygunluk/ İlgililik,  Güncellik,  Anlaşılabilirlik,  Ekonomiklik

52

Bu ifadeleri destekler nitelikte COSO’nun yayınladığı bilgi kalitesini belirleyecek temel nitelikler şu şekilde ifade edilmektedir (COSO, 2004/1:70);

- İçerik uygun mu-doğru detaylandırılmış mı?

- Bilgiler güncel mi-gerektiğinde bilgi sağlanabiliyor mu? - Bilgi geçerli mi-en son geçerlilikte mi?

- Bilgi doğru mu-veriler doğru mu?

- Bilgi ulaşılabilir mi-gerekli olduğunda elde edilebilir mi?

COSO İç Kontrol yapısına uygun bilgi ve iletişim ilkelerini şu şekilde sıralayabiliriz (COSO, 2013):

• Bilginin elde edilmesi/oluşturulması ve değerlendirilmesi:

İşletmenin iç kontrol işleyişini desteklemek için gerekli ve kaliteli bilginin elde edilmesini ya da oluşturulmasını ifade etmektedir.

• İşletme içi bilgi iletişim süreçleri:

İşletmenin iç kontrol işleyişini desteklemek için amaçlar ve sorumluluklar da dâhil olmak üzere gerekli bilgilerin kontrol ortamında yer alan insan kıymetlerine aktarılmasını ifade etmektedir.

• İşletme dışı bilgi iletişim süreçleri:

İşletmenin iç kontrol işleyişini etkileyebilecek konularda işletme dışında ki ilgili kuruluşlarla da bilgi ve iletişim süreçlerinin oluşturulabileceği ifade edilmektedir. Tüm bu açıklamalarla ifade edilmeye çalışılan; yanlış ya da eksik veri ve buna bağlı olarak oluşacak kalitesiz bilgiler, risklerin belirlenip önlememesine neden olabileceği hususudur. Bu da kurumların/işletmelerin hedeflerine ulaşabilmeleri sürecinde olumsuz neticeler doğuracaktır. İletişim; bilginin işletme içinde gerek yatay ve dikey olarak, gerekse işletme dışında uygun mekanizmalarla ilgili kişi, idare ve mercilere iletilmesini ve dönüşümünü ifade eder (Maliye Bakanlığı, 2014). COSO modelinde bilgi paylaşımı ve iletişimle ilgili ana prensipler şunlardır (Türedi vd:102);

53

 Kaliteli verinin toplanması, işlenmesi, paylaşımı ve kullanılmasının sağlanması,

 İç kontrolle ilgili bilgilerin kurum içine paylaşılması,

 Kurum içinde paylaşılan bilginin dış paydaşlarla iletişiminin sağlanması.

Kurumların/işletmelerin iletişim akışlarına ek olarak, KRY bileşenleri arasında iletişim akışı faaliyetleri de vardır. COSO’nun KRY bileşenleri arasında ki iletişim akışı şu şekildedir (COSO, 2004/2: 69);

Şekil 3 - KRY’ de Bilgi Akış Şeması

Kaynak: COSO Enterprise Risk Management - Aligning Risk with Strategy and Performance, 2017: 6)

54

2.6.1.8. İzleme

KRY’nin izleme fonksiyonu, ilgili tüm bileşenlerin yapı ve işleyişlerinin değerlendirilmesi için yapılmaktadır (COSO, 2004/2: 75). COSO’nun yaptığı bu tanım, dinamik olan işletme yapılarına yönelik, güncel risk davranışlarının geliştirilmesi hususuna atıf yapmaktadır. İzleme bileşeni sayesinde, KRY süreçlerinin tamamı her an değerlendirilmekte ve düzenlemeler yapılmaktadır. Bu faaliyet süreç içinde olası değişikliklere intibak etme, varsa güncellemeler yapma imkânı sunmaktadır (Türedi, Karakaya: 69). İzleme bileşeninin temel görevi; mevcut riskleri değerlendirmek ve bir bütün olarak risk yönetim sürecine ilişkin değerlendirmeleri yapmaktır. Bu konuda gerek literatür araştırmaları gerek yayınlanan çeşitli raporlar da bu noktaya değinmektedir.