KRY Altyapısının Tesisi Aşaması

KRY’nin temel faydalarına ilk bölümlerde değinilmişti. KRY’ye geçiş yapmadan önce şirketlerin belli alanlarda hazırlık yapmaları gerekecektir. Bu hazırlık KRY’nin temel unsurları olduğu kadar personelin eğitiminden, organizasyon değişikliklerine, veri altyapısına kadar birçok noktayı kapsamaktadır.

KRY altyapısının tesis edilmesi, risk yönetimi uygulama modelinin temel bir adımı olarak, ileriki aşamaların sağlıklı bir şekilde yürütülebilmesi açısından önem arz etmektedir. Risk yönetimi uygulanmasına karar verilen bir şirkette öncelikle organizasyonel olarak hazırlıkların tamamlanmış olması gerekmektedir. Temel düzeyde dahi olsa görev ve sorumlulukların tayin edilmesi ve hayata geçirilmesinin önemli bir başarı faktörü olduğu unutulmamalıdır.

Risk Yönetimi kültürü, ortak tutum, değerler ve uygulamalar olarak kurumun riski nasıl dikkate aldığını belirtmektedir. Birçok şirket için risk kültürü, kurumun risk felsefesinden ve risk iştahından kaynaklanır. Yönetim kültürü ve risk kültürü birbirini desteklemelidir. Risk alma konusunda, teşvik edici bir ortam oluşturulmalıdır. Alınan risklerin büyüklügü karar verme düzeyine bağlı olarak değişir. Risk yönetimi, korkuya dayalı olmayan, motive edici, teşvik edici bir çalışma ortamı gerektirir. Riskler açık bir

şekilde tartışılabilmeli ve riskleri azaltıcı yaratıcı düşünceleri harekete geçiren bir ortam yaratılmalıdır. Risk kültürü, olumlu ve proaktif bir yaklaşıma dayalı olmalıdır.88

Şirketlerde belirli iş üniteleri, fonksiyonlar ve departmanlar oldukça farklı risk kültürüne sahip olabilmektedirler. Bazı yöneticiler çok daha fazla risk almaya hazır iken, diğerleri çok daha tutucu olabilir. Özünde, risk yönetimi kültürü yaratılması, özellikle kararların nasıl alındığıyla ilgili olarak davranış değişikligi yaratılması hakkındadır.89

2.1.1. KRY Organizasyonel Yapılanması

Organizasyonel roller ve sorumluluklar göz önüne alındığında KRY’de en önemli paydaş yatırımcı ve hissedardır. Bu anlamda şirketin stratejik hedefleri doğrultusunda, hissedarların ve/veya yatırımcıların şirketlerin kritik risklerinin tespitini, yönetilmesini ve kontrol edilmesini talep edebileceği bir yapının var olması gerekmektedir.

Özellikle, yönetim kurulunun katkıları ve konuyu sahiplenmesi, KRY’nin etkin ve sistematik olarak uygulanabilmesi adına büyük önem taşımaktadır. Dolayısıyla, KRY, “yukarıdan aşağıya” bir süreç olarak uygulanmalıdır.

Bu süreçte Genel Müdür, hissedarlara ve yönetim kuruluna hesap verirken, genel müdürlerin de grup şirketleri bazında kritik ve önemli riskleri yukarıya iletmeleri gerekir. Bir başka ifadeyle, KRY süreç sahiplerinin ve operasyondaki kişilerin sorumluluğunda bilgi akışının yukarıya doğru olduğu, fakat yukarıdan sahiplenilen ve hesap sorulan bir yapıda olmalıdır. Ancak, mevcut uygulamada yaşanan en büyük sorunlardan bir tanesiyse, sürecin aşağıdan yukarıya doğru yürütülmesidir.90

88_{COSO, Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk}

Management – Integrated Framework, New York: 2004, www.erm.coso.org, s.20.

89_{John Holiwell, “Risk: Enough Rope to Hang the Business? In: Mastering Finance: The Definitive}

Guide to the Foundations and Frontiers of Finance, London: Financial Times Pitman Publisihing, 1998, ss.293-297.

90_{Richard M. Steinberg ve Catherine L. Bromilow, Corporate Governance and the Board-What Works}

Temelde, bir şirketin tek amacı, hissedarlara değer yaratmaktır.91Dolayısıyla, en büyük sorumluluk şirket sahiplerinden başlamakta ve organizasyon şemasında yukarıdan aşağıya doğru gitmektedir.

KRY ile şirketlere risklerin kontrol altında olduğu ve kayıp olasılıkları çoğaldığı zaman erken uyarının ilgili birimlere gönderildiği bir kültür yerleştirilmelidir. Bu doğrultuda şirket içerisinde rollerin ve sorumlulukların belirlenmesinin yanı sıra, genelmüdür ve/veya genelde risk yönetiminin en iyi olarak finansal alanda yönetildiği düşünülerek finans direktörünü de kapsayacak risk yönetim komitelerinin oluşturulması fayda getirecektir. Söz konusu komite hem risk yönetimi kültürünü şirket içerisinde oluşturmak hem de liderlik etmek için var olmalıdır. Ayrıca, risk yönetimi departmanının kurulması, risk yönetimi tarafından şirket içerisinde değişik projelerde kazanılan tecrübelerin farklı projelere aktarılmasını da sağlayacaktır. Bu komitenin var olmaması halinde risk yönetimi departmanı doğrudan genel müdüre ya da finans direktörüne bağlı olabilir. Bu aşamada risk yönetimi kültürünün aşılanması ve bu sürece gösterilen direncin kırılması yaşanılan en büyük zorluktur.

Riskin standardizasyonu da büyük önem arz etmektedir. Farklı sektörlerde faaliyet gösteren şirketlerin farklı riskleri bulunmaktadır. KRY ile bu risklerin yönetim kurulunun çizdiği çerçevede yönetilmesi sağlanır.

Sonuç olarak, KRY yapılanması şirketler arasında farklılık gösterebilmesine rağmen karar alıcı, uygulayıcı, yönlendirici (stratejik planlama), kontrol (iç denetim ve risk yönetimi) ve uyarı (risk yönetimi) unsurlarını içinde barındırmalıdır. Ayrıca, şirketlerin kararlarından etkilenen (müşteriler gibi paydaşlar) ve riskin transfer edildiği taraflar (iş ortakları, sigorta firmaları, danışmanlar vb.) dikkate alınmalıdır. Bahsedilen fonksiyonların birbirinden ayrıştırılması, bunlar arasındaki ilişkinin iyi analiz edilmesi gerekmektedir.

91_{David Matheson ve Jim Matheson, The Smart Organization, Boston: Harvard Business School Press,}

Sağlıklı bir ilerlemenin sağlanması için mutlaka üst yönetim tarafından desteklen ve “silo”lardan bağımsız bir yapılanmaya ihtiyaç vardır. “Silo” içinde varlığını sürdüren risklerin, üst yönetimden bağımsız bir yapılanmaya (örneğin tüm “silo”ların başındaki kişilerin bir araya geldiği komite olarak adlandırılabilecek bağımsız bir yapıya) taşınması ve buradan da Yönetim Kuruluna iletilmesi gereklidir.

Ayrıca, risk yönetimi ile denetim ayrı yönetilmelidir. KRY departmanı ile denetim aynı işi yapmamalıdır. Her bir fonksiyonun bağımsızlığı güvence altına alınmalıdır.

2.1.2. İletişim

KRY iletişiminin doğru yapılabilmesi için şirket içi organizasyonların doğru yapılandırılması gerekmektedir. Hangi risklerin hangi seviyede yer alacağı da temel bir risk politikası dokümanı ile ortaya konulmalıdır.

Şirketin karar vericisi tarafından belirlenen risk politikasıyla ilgili olarak CEO’ya bağlı bir risk komitesi mevcut olmalıdır. Risk yönetim departmanları, risk komitesinin çizdiği çerçeve doğrultusunda stratejik planlama ve iç denetim başta olmak üzere diğer bölümlerle iletişim içinde olmalı ve bu komiteye raporlamalıdır. Dolayısıyla, organizasyon ve şirket yönetiminin yapısı önem arz etmektedir.

KRY’nin stratejik planlama ile el ele çalışması önemlidir. Aksi halde şirketin KRY’den azami faydayı sağlayamaması, risklerin ayrı ayrı saptanması ve birbirleri ile iletişim içerisinde olmayan yapıların oluşması söz konusudur. Ancak, stratejik planlama ile KRY biriminin yönetim olarak farklı grup ağında olmaları gerekir, aksi takdirde çıkar çatışmaları ortaya çıkabilecektir.

KRY departmanı risklerin tanımlanması ve o risklerden kimin sorumlu olduğunun tespiti için insan kaynakları departmanı ile iletişim içerisinde olmalıdır. İnsan kaynaklarından yapı, kültür ve konumlandırmayla ilgili ulaşan bilgi veya uyarılar değerlendirilmelidir.

KRY, risk değerlendirmelerinin doğru yapıldığına ve doğru risklerin yönetildiğine dair süreç sahiplerini yönlendirmelidir. İç denetim sürecin işlerliğini ve etkinliğini denetleyecek birimdir. Denetim Komitesi ise yine denetimi gerçekleştiren, ancak iç denetim ile hissedar arasındaki köprüde Yönetim Kurulunun bir parçası olarak kurumsal ilişkiyi kurandır.

Risk yönetiminin sorumluluğu ilgili birimde, genel müdür, genel müdür yardımcısı ya da ilgili personelde olabilmektedir. Ancak şeffaflık ve hesap verilebilirlik ilkeleri gereğince hangi riskin nerede nasıl yönetildiği bütünleşik olarak raporlanmalı ve bilgi anlamında şeffaf olarak ortaya konmalıdır. Risklerin oluşması halinde de “risk cevabı” olarak şirketin neler yapacağı, üst yönetim tarafından net bir şekilde biliniyor olmalıdır. Böylece ilgili birimlerce gerekli aksiyonlar alınmadığında hesap verilebilirlik ve dolayısıyla şeffaflık ortaya çıkabilecektir.

2.1.3. Kurumsal Risk Yönetimi Yaklaşımları

KRY’de süreç bazlı ya da sonuç odaklı yaklaşım uygulanmaktadır. Süreçlerin tanımlanması ve uygulanması KRY’nin şirket içinde içselleştirilmesi adına büyük önem taşımaktadır. Süreçler dahilinde kullanılan girdilerin belirlenmesi, işlemlerin tanımlanması ve çıktıların tespiti; bu kapsam alanında karşı karşıya kalınabilecek risklerin tespitinde avantaj yaratmaktadır. Ancak, süreç bazlı bir yaklaşım detaylarda odaklanarak, büyük resmin kaybolması sonucunu da doğurabilmektedir. Bu bağlamda COSO ve benzeri standartlar risk yönetimini süreç bazlı olarak ele almaktadır.

KRY yaklaşımlarına karar verilirken yönetim kurullarının hangi risklerle ilgilendiklerinin de göz önünde bulundurulması gerekmektedir. KRY’nin uygulandığı bir organizasyonel yapıda, Yönetim Kurulu, bir başka deyişle karar alıcılar, detay risklere değil, sadece stratejik risklere ve alt risk başlıkları içerisinden kritik olan risklere odaklanma gereksinimi duyar. Bu kapsamda sonuç odaklı bir yaklaşım karar aşamasında daha fazla yarar sağlamaktadır.

KRY’nin sonuç odaklı olması, iç denetim ve risk yönetimi alanlarının da birbirinden ayrılmasını sağlaması açısından önem teşkil etmektedir. Bu şekilde, KRY’nin yaptığı çalışmalar iç denetim tarafından desteklenmekte, iç denetim tarafından yapılan çalışmalar ise KRY’nin çalışmalarına ışık tutmaktadır.