Kurumsal Risk Yönetimi Yapısında Amaçların ve Bileşenlerin İlişkisi

KRY yapısında yer alan amaçlar kurumun başarmaya çalıştıkları olup, KRY aşamaları ile arasında direkt bir ilişki vardır. KRY aşamaları, amaçları başarmak için ihtiyaç duyulan unsurları göstermektedir. Bu ilişki üç boyutlu bir matris ile Şekil 4.1’de gösterilmektedir (COSO, 2006).

KRY yapısının etkin ve etkili şekilde uygulanabilmesi, potansiyel faydalarının gerçekleştirilmesi için önemlidir. Kurumda KRY uygulanması için örnek yapılar rehber olarak kabul edildiğinde öncelikli olarak yapılması gereken örnek KRY yapılarının kurumun geliştirdiği yapı ile bütünleştirilmesinin sağlanmasıdır. Bu amaçla kurum ilk olarak kendi KRY yapısının altyapısı ve süreçlerini oluşturur. Ardından örnek KRY yapıları ile kendi KRY yapısını kıyaslar ve sonra bütünleştirir (Küçük, 2007).

Trendin en son ürünü olan “COSO-ERM” çok kabul görmüş bir çerçevedir, çoğu şirket bu çerçeveyi kabul edip içlerini kendileri kurumlarına özgü doldurmaktadır.

COSO-ERM risk yönetimi, iç denetimin etkinliği ve tarafsızlığı gibi konularda kurumlara kaynak teşkil etmekte olup iç denetim organları tarafından yol haritası olarak kabul görmektedir. COSO iç kontrolü birbiriyle ilişkili sekiz unsurla tanımlayan entegre bir çerçeve sunar. Yatay eksende dört amaç kategorisi gösterilmektedir ki bunlar; strateji, operasyonlar, raporlama ve uyum’dur. Dikey eksende süreci oluşturan sekiz aşama bileşeni, kurum seviyeleri ise matrisin üçüncü boyutunda gösterilmektedir. i) Kurumsal Çevre: Diğer tüm bileşenlerin temelini teşkil eder ve kurumun strateji ve hedeflerini nasıl belirlendiğini, faaliyetlerin nasıl yapılandırıldığını, risklerin tanımlanmasını, değerlendirilmesini ve risklerle ilgili alınan tedbirlerin uygulanmasını etkiler. Kurumun risk kültürünü kurar. Kurumun etik değerleri, çalışanların yetkinliğine verilen önem, yönetimin çalışma biçimi, görevlerin ve sorumlulukların dağılımı vb bir çok faktörü bünyesinde barındırır.

ii) Hedef Belirleme: Kurumsal risk yönetiminin söz konusu olabilmesi için öncelikle yönetim tarafından operasyonel, raporlama ve uygunluk amaçlarını da kapsayacak şekilde hedeflerin belirlenmesi gerekir. Hedefler ayarlanırken, yönetim risk stratejisini dikkate aldığı zaman başvurulur. Kurumun, yönetimin ne ölçüde riskleri kabul edebileceğini simgeleyen risk iştahını şekillendirir. Hedeflerin kabul edilebilir bir varyansı olan risk toleransı , risk iştahı ile sıralanır.

iii) Gerçekleşmesi Muhtemel Olayları Belirleme ve Tanımlanması: Yönetim, kurumsal stratejilerin uygulanmasını, amaçlara ve performans hedeflerine ulaşılmasını etkileyebilecek muhtemel olayların neler olduğunu belirlemelidir. Risk ve fırsatları

fırsatı tasvir eder. Başarı ve strateji hedeflerine etki edebilecek olayları içsel kaynaklı mı dışsal kaynaklı mı olduğunu belirler.

iv) Risk değerlendirme: Kuruma hedefleri etkileyebilecek olayların hangileri olduğunu anlama imkanı sağlar. Risk değerlendirme riskleri değerlendirmede ve ilgili hedefleri ölçmekte kullanılır. Kalitatif ve kantitatif risk değerlendirme metodolojilerinin bir kombinasyonudur. Riskler “etki ve olasılık” olarak iki şeye göre değerlendirilir.

v) Risk Tepkisi: Risklere verilebilecek cevapları belirler ve değerlendirir. Bu cevaplama kurumun risk iştahına ve risk karşılamadan olabilecek yarar ve maliyetine göre,olasılık ve/veya etkiyi azaltabilecek seviyeye göre seçenekleri değerlendirir.Risk portföylerini ve risk karşılamanın üzerine değerlendirilmiş cevapları seçer ve yönetir. Bu bağlamda, risklere verilebilecek tepki dört şekilde olabilir: Bunlar;

Riskten Kaçınma : Riske neden faaliyetlerden vazgeçmektir. Bir ürünün üretiminden vazgeçmek, bir bölgedeki genişlemeyi durdurmak veya bir bölümü satmak gibi olabilir. Riski Azaltma : Riskin gerçekleşme olasılığını veya riskin gerçekleşmesi durumunda etkilerini azaltmak için ortaya konan faaliyetleri kapsamaktadır.

Riski Paylaşma : Riskin gerçekleşme olasılığını veya riskin gerçekleşmesi durumunda etkilerini azaltmak için riski transfer etmek veya riskin bir kısmını bir başka tarafla paylaşmaktır. Riski paylaşma yöntemleri olarak en çok görülenler: sigorta yapılması, risk havuzları oluşturulması, kurumun içinde gerçekleştirilen kimi hizmetlerin veya üretilen ürünlerin dışardan alınmasıdır.

Riski Kabul Etme : Karşılaşılan riskle ilgili olarak gerek riskin gerçekleşme olasılığı ve gerekse de riskin gerçekleşmesi durumunda etkilerine bir şey yapılmamasıdır.

vi) Kontrol Faaliyetleri: Risklere verilen cevapların hayata geçirilmesine ve kurum direktiflerine yardım sağlayacak risk politika ve prosedür faaliyetleridir. Bütün fonksiyonlarda örgütün bütün seviyelerinde baştan başa tüm örgütte vuku bulur. Teknololjik kontrolün genel bilgisi ve uygulamasını içerir.

vii) Bilgi & İletişim: Yönetim çalışan sorumluluklarını ve görevlerini ne zaman yerine getirmeleri bilgilerini belirler, ele geçirir ve iletir. Etkin bir iletişim sistemi, kurum içinde yatay ve dikey bilgi ve RY için önemli bir unsur olan raporlamayı da içerir.

viii) Takip: KRY’nin etkin bir şekilde işleyip işlemediğinin belirlenmesi için risk yönetiminin süreçlerinin performans kalitesinin değerlendirilmesi gerekir. İzleme, sürekli izleme faaliyetleri, bağımsız izleme faaliyetleri veya her ikisinin bir kombinasyonu şeklinde yerine getirilir. Sürekli izleme faaliyetleri kurum faaliyetlerinin normal seyrinde meydana gelir. Faaliyetlerin bünyesinde eklemlenmiş olup süreklilik arz eder ve faaliyetle eş zamanlı olarak gerçekleşir. Bağımsız izleme, faaliyet sona erdikten sonra yapıldığından, problemlerin sürekli izleme faaliyetleri aracılığıyla tespit edilmesi daha kolay ve etkindir (COSO,2004; Kayım, 2006).

KRY’nin “etkin” olup olmadığına karar vermek için sözü geçen sekiz unsurun mevcut olduğunu ve etkin bir şekilde işleyip işlemediğini değerlendirmek gerekir. Nitekim bu unsurlar KRY’nin etkinlik kriterleridir.