Kurumsal Risk Yönetimi

Günümüzde meydana gelen değişimler ve gelişmeler kurumlar açısından pek çok sorunların da oluşmasına neden olmaktadır. Kurumlar arasındaki rekabeti sağlamak için kurum hedeflerine risksiz ulaşılması, engellenmesi gerekli risklerin tespit edilerek düşürülmesinin ve kurumun başarıya ulaşması doğrultusunda fırsatların oluşturulması risk yönetiminin önemini vurgulamaktadır (Kızılboğa, 2012: 49). Risk Yönetimi, her türlü risklerin belirlendiği, belirlenen risklerden hangilerinin çözülmesi gerektiğinin değerlendirildiği, risklerin yönetilmesindeki strateji ve planların gerçekleştirilerek, uygulandığı sistemli bir süreçtir. (TÜSİAD, 2008: 17) Risk yönetimi, belirsizliklerin ve olumsuz etkilerinin daha kabul edilebilir bir seviyeye indirilmesini sağlayan, problemlerin en başından ortaya çıkmasına engel olan proaktif bir yaklaşımdır (Kara, 2011: 67).

3.1.1 Kurumsal risk yönetimi kavramı

Risk ve risk yönetiminin öneminin artmış olmasıyla COSO’ nun 2004 yılında yayınlamış olduğu Kurumsal Risk Yönetimi Çerçevesi - bankacılık sektörünün haricinde- benimsenerek risk yönetiminde temel anlayış haline gelmiştir. Kurumsal Risk Yönetimi, farklı büyüklükte ve farklı amaçlar doğrultusunda faaliyet gösteren tüm kurum ve firmalar için risklerin entegreli ve stratejik kararlar çerçevesinde yönetilmesi, belirlenen hedeflerle, projelerin günlük olarak gerçekleştirilmesini amaçlayan ilişkili konumların belirtilmesi, risk ile fayda-maliyet dengesinin sağlanması için geliştirilmiş geniş kapsamlı ve sistemli bir yaklaşımdır (Karalar, 2015: 69).

Kurumsal Risk Yönetimi (KRY), tüm kurumlar ve firmaların yapısında sadece fonksiyon bazında tehlikelerden korunmak amaçlı olmayıp, değer yaratmak odaklı kurum ve firmaların tamamında uygulanan tüm birimlerdeki çalışanlardan etkilenen süregelen ve devam eden bir süreçtir. (www.tusiad.org)

KRY yaklaşımında riskin yönetilmesi aşağıdaki gibi dört temel uygulama ile gerçekleşmektedir (Topçu, 2010:15):

• Temel uygulamalarda risk yönetimi, birinci seviyede olup, sadece parasal kayıpların önlenmesi sürecine odaklanmaktadır.

• Genel uygulamalarda risk yönetimi, ikinci olgunluk düzeyi olup sadece birim bazında ve birimlere özel şekilde uygulanmaktadır.

• Üçüncü olgunluk seviyesindeki uygulamalarda risk yönetimi, yönetim kurulunca benimsenip, kurum bütününde uygulanması sağlanmaya çalışılmakadır. Bu seviyedeki amaç, risk öğelerinin portföylerdeki etkisi ve risk yönetiminin verimliliğini sağlayan ortak bir görüş elde etmektir.

• En üst yetkinlik düzeyinde risk yönetimi dünya çapında az sayıda kurumda uygulanan karışık bir yönetim sistemini kapsayıp, risk eğilimlerinin ve etkilerinin tahmin edilmesine olanak veren analizlerini değerlendirmektedir.

3.1.2 Kurumsal risk yönetiminin tarihsel gelişimi

İşletmeler tarih boyunca karşılaştıkları çeşitli riskleri önlemek ve çözümler getirebilmek amacıyla çeşitli teknik araçlar geliştirmişlerdir. Bu nedenle özellikle suiistimallerin önüne geçebilmek amacıyla iç denetim ve iç kontrol sistemini kurulmuş olup, risk yönetimi sistemi ise daha yeni oluşturulmuştur (www.coskunkucukozmen.com).

2000’li yıllarda yaşanan Enron, Worldcam, Pregrine gibi çok sayıda şirketin batmasına sebep olan skandallar sonucu Sarbanes- Oxley yasasının sunulup yürürlüğe girmesi, risk yönetiminin ortaya çıkışını sağlamıştır (Özsoy, 2012: 171).

2004 yılında COSO (Committee of Sponsoring Organizations of The Treadway Commission) tarafından yayımlanan Enterprise Risk Managemet- Integrated Framework (ERM) isimli Kurumsal Risk Yönetimi Bütünleşik Çerçeve, tüm şirket ve kurumlarda önemli bir yer alarak risk yönetimi sisteminin kurulmasıyla bir rehber ve teşvik edici unsur olmuştur (Özsoy, 2012: 171). 2009 yılında Uluslarlararası Standardizasyon Oranizasyonu (International Standarts Organization- ISO), ISO 31000 ‘Risk Yönetimi Kuralları ve Rehber’

çerçevesini yayınlayarak iş dünyasında esnek bir risk yönetim standardı sunmuştur (Altınbaş, 2009: 44).

COSO ve ISO 31000 risk yönetimi çerçeveleri risk yönetiminin etkinliğine yönelik minimum unsur ve prensipleri içererek, uygulamada bir model ve rehber olarak karşımıza çıkmaktadır (Özsoy, 2012: 172).

2017 yılında ise COSO Kurumsal Risk Yönetim Çerçevesi revize edilip Kurumsal Risk Yönetim – Riskin Strateji ve Performansla Uyumlaştırılması adıyla güncellenerek yayınlanmıştır. Getirilen güncelleme ile strateji, risk ve performans arasındaki ilişki vurgulanmıştır. Yani çerçevede “Yönetişim ile Kültür”, “Strateji ve Hedef Belirleme”, “Performans”, “Gözden Geçirme ile Düzeltme” ve “Bilgi- İletişim ve Raporlama” olmak üzere beş tane bileşen ve bunların alt gruplarında olmak üzere yirmi tane prensip belirlenmiştir (www.nazifburca.com).

Şekil 3.1: Kurumsal Risk Yönetiminin Tarihsel Gelişimi

Kaynak: Karalar, 2015, S.73.

Şekil 3.1.’de de görüldüğü gibi KRY, risk yönetiminin son aşaması olmaktadır. 1970’li yıllarda kredi ve tehlikeleri baz alan risk yönetimi, sadece sigortalamayla sağlanırken; 1990’lı yıllardan beri KRY adı altında kapsamı güncellenmiş anlayışı ve işleyişi değişmiş olup, karşılaşılan riskleri yatırım veya fırsat olarak düşünülerek değer yaratma amacıyla stratejik hedeflemede kullanılan ve birimlerin bütününde uygulanmaktadır (Şenol, 2016: 61).

1970’ler 1980’ler 1990’lar

Kurumsal Risk Finansal Operasyonel Stratejik Tehlike Piyasa Para Tehlike Para Tehlike

2007 yılında ülkemizde 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu çerçevesinde yayınlanan “Kamu İç Kontrol Standartları Tebliği” ile kurumsal risk yönetimini kamuya aktarma çalışmalarına başlanmıştır.

Çizelge 3.1. Risk Yönetiminin Gelişimi

Risk Yönetimi İşletme Risk Yönetimi

Kurumsal Risk Yönetimi

Amaç Şirketin mevut

değerini korumak Şirketin değerini korumak mevut Kurumun mevcut değerini korumak ve arttırmak

Kapsam Hazine, sigorta ve öncelikli sorunlu operasyonlar İşletme yöneticilerinin sorumluluğu Tüm birim ve her seviyesinde kurumsal düzeyde uygulama

Vurgu Finans ve Faaliyetsel Yönetim Stratejik hedef oluşturma

Odaklanma Finansal ve tehlike

riskleri ile iç kontroller

İşletme riskleri ve iç kontroller, risk yaklaşımı ve risk alma düzeyi

Kurum riski ve iç kontroller, riski kurum bünyesinde yatırım veya fırsat amaçlı

değerlendirme

Uygulama Seçilmiş Riskli

Bölgeler, süreçler ve birimler Seçilmiş Riskli Bölgeler, süreçler ve birimler Değer yaratma amaçlı kurum bütünündeki tüm birimler Kaynak: Şenol,2016: 62

3.2 Kurumsal Risk Yönetimi İle İlgili Yasal Düzenlemeler