Risk Yönetim Süreçlerinin Denetimi

Risk, bir organizasyonda mali, operasyonel ve stratejik, hedeflerin gerçekleşmesini engelleyecek, her türlü olayın meydana gelme olasılığıdır. Riskler gerçekleşme olasılığı ve risklerin gerçekleşmesi durumunda ortaya çıkacak sonuçların etkileri göz önünde bulundurularak ölçülür. Bir başka deyişle risk, kuruluşun amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin terine getirilmesine engel olabilecek veya beklenmeyen zararlara yol açabilecek durum ya da olaylardır. Riskte öncelikli olarak amaçların belirlenmiş olması gerekmektedir. Amaçlar belirlendikten sonra amaçların gerçekleşmesine engel olabilecek riskler tanımlanır, değerlendirilir ve alınacak tedbirler kararlaştırılır.

Riskte iki temel unsur vardır; belirli bir sonuca ulaşamama olasılığı ya da istenmeyen bir olayın oluşma olasılığı ve riskin gerçekleşmesi halinde, bu durumun sonuca etkisidir.

Risk yönetimi, kurumun hedeflerini gerçekleştirebilmesi için makul bir güvence sağlamak üzere, olası olay veya durumların önceden belirlenmesi, değerlendirilmesi ve kontrol edilmesinden oluşan bir süreçtir. Aynı zamanda, risklerin tespiti ve çeşitli yöntemler ile yönetilmesidir. İç kontrol sistemi ve kontrol faaliyetleri ise risk yönetimi sürecinde riskin azaltılmasına (kontrol edilmesi) yarayan araçlardır.

İç kontrolde temel amaç finansal raporlamaların doğruluğu, operasyonların etkinliği ve verimliliği, varlıkların korunması ve mevzuat/düzenlemelere uyumun sağlanması hedeflerine ulaşıldığına ilişkin güvence sağlamak olsa da, bu amaç yerine getirilirken, kurumun karşı karşıya olduğu risklerin yönetilmesi aşamasında önemli bir risk yönetim aracı söz konusudur. Öte yandan risk yönetimi de iç kontrolün önemli

unsurlarından olan risk değerlendirmesi aşamasında iç kontrol sistemine destek vererek, iç kontrol sisteminin önemli bir parçası olmaktadır.

Risk yönetim süreçlerinin denetiminde iç denetçiler aşağıdaki konularda inceleme yapmalıdır:

• İşletmenin karşı karşıya olduğu tüm risklerin tanımlanması, önem sırasına konulması ve kabul edilebilir bir risk seviyesinin belirlenmesi, • Saptanan risklerin azaltılması için gereken önlemlerin belirlenmesi ve

uygulanması,

• Risk yönetim süreçlerinin denetim sonuçları hakkında üst yönetime düzenli rapor sunulması,

• Risk yönetim süreçlerinin işletmenin yapısına, kültürüne, büyüklüğüne, yönetim şekline ve hedeflerine uygun olması,

• Risk yönetiminde kullanılan metotların faaliyet konusuna uygun olması, • Risk izleme faaliyetlerinin ve raporlamasının yeterliliği ve

zamanlamasının uygun olması,

• İşletmenin risk yönetim süreçlerinin etkinliğinin değerlendirilmesi. (Özbek, 2003:7).

Risk yönetimi süreçlerinin yeterliliği için beş temel hedef bulunmakta olup şu şekildedir;

• İş stratejileri ve faaliyetlerden kaynaklanan risklerin belirlenmesi, tanımlanması ve öncelik sırasının tespit edilmesi,

• Yönetimin, denetim komitesinin ve yönetim kurulunun organizasyonun stratejik planlarını gerçekleştirilmesi amacına yönelik risk kabulü de dahil organizasyonun kabul edebileceği risklerin düzeyini tespit etmesi, • Risklerin yönetimin ve yönetim kurulunun kabul edilebilir bulduğu

seviyelere düşürmek veya başka yollarla yönetmek amacına yönelik risk azaltma faaliyetleri ve çalışmalarının düzenlenmesi, yapılması ve uygulanması,

• Riskleri ve risk yönetimi amacına yönelik kontrollerin etkinliğini dönemsel olarak yeniden değerlendirmek için, devamlı izleme faaliyetlerinin yürütülmesi,

• Risk yönetimi süreçlerinin sonuçları hakkında yönetime ve yönetim kuruluna dönemsel rapor verilmesi, kurumun kurumsal yönetim süreçleri kapsamında riskler, risk stratejileri ve kontroller hakkında hissedarlara ve diğer hak sahiplerine dönemsel bilgi verilmesi (TİDE, 2006:204).

Risk odaklı iç denetimin kapsamı şöyle sıralanabilir (TBB, 2000:3):

• İç kontrol sisteminin yeterliğinin ve etkinliğinin incelenmesi ve değerlendirilmesi,

• Risk yönetimi yöntemlerinin ve risk değerlendirme metodolojilerinin uygulanmasının ve etkinliğinin incelenmesi,

• Elektronik bilgi sistemi ile elektronik hizmetler de dâhil olmak üzere yönetim ve mali bilgi sistemlerinin gözden geçirilmesi,

• Muhasebe kayıtları ile mali tabloların doğruluğunun ve güvenilirliğinin incelenmesi,

• İşletmenin risk tahmini ile bağlantılı olarak kendi sermayesinin değerlendirme sisteminin incelenmesi,

• Hem işlemlerin hem de belirli iç kontrol sistemi işleyişinin denetlenmesi,

• Yasal ve düzenleyici otoritelerin koşullarına, etik kurallara, politika ve yöntemlerin uygulanmasına riayetin incelenmesi,

• Düzenleyici raporlamanın doğruluk, güvenilirlik ve zamanındalığının kontrolü.

Başlıca Risk türleri şu şekildedir;

Operasyonel risk, operasyonun gerçekleştirilmesindeki hataya, aksaklıklara veya suiistimallere dayalı risklerin yanı sıra organizasyon, iş akışı teknoloji, insan gücü çerçevesinde oluşabilecek, kurumu maddi veya itibari kayba uğratacak, kredi veya piyasa riski dışında kalan ve geçmiş verilerden yola çıkılarak istatistiksel ölçümleme yapılabilecek her türlü risktir (Sezgin ve Tüzün, 2001:3).

Teknolojik risk, teknolojinin gizliliği, bütünlüğü, erişilebilirliliği karşısında dikkate alınması gerekli olan risktir.

Piyasa riski, piyasa fiyat ve oranlarının değişiminden kaynaklanan risklerdir. Bunlar, faiz riski, kur riski, hisse senedi piyasası riski gibi olabilir.

Kredi riski, bir işlemde, taraflardan birinin, işlemin diğer tarafına olan yükümlülüklerini yerine getirememe olasılığıdır.

Yasal risk, kanun, yönetmelik ve diğer düzenlemelere aykırı hareket edilmesi ya da ilgililerin hak ve yükümlülüklerinin tam olarak bilinmediği durumlarda ortaya çıkabilecek risk türüdür.

Yapısal risk, iç kontrol sisteminin kurulmadığı durumlarda belli yapısal ve çevresel özellikler nedeniyle hesaplarda meydana gelebilecek risklerdir.

Denetim riski, mali tablolarda önemli yanlışlıklar olduğu halde, denetçinin mali tabloların doğru olarak sunulduğu sonucuna varması ve mali tablolar hakkında olumlu görüş bildirmesi olasılığıdır.

Risk yönetim sürecinin yeterliliğinin değerlendirilmesi ile ilgili olarak IIA tarafından göz önünde bulundurulması gerekli olan hususlar şu şekilde belirlenmiştir;

1. Risk yönetimi, kurum yönetiminin temel sorumluluklarından biridir. İş hedeflerine ulaşabilmek için, yönetimin, kurum içinde sağlam risk yönetimi süreçlerinin bulunmasını ve kullanılmasını sağlaması gerekir. Denetim komitesi ve yönetim kurulu, uygun risk yönetimi süreçlerinin bulunup bulunmadığını ve bu süreçlerin yeterli ve etkin olup olmadığını tespit etmek konusunda denetleyici bir rol oynar. İç denetçiler, yönetimin uyguladığı risk süreçlerinin yeterliği ve etkinliğini inceleyerek, değerlendirerek, rapor ederek ve bu konuda iyileştirici önlemler önererek hem yönetime hem de denetim komitesine yardımcı olmalıdır. Kurumun risk yönetimi ve kontrol süreçlerinden yönetim, denetim komitesi ve yönetim kurulu sorumludur. Ancak, danışmanlık rolünü üstlenen iç denetçiler de, bu risklerin tanımlanması,

değerlendirilmesi ve risk yönetimi yöntemlerinin uygulanması ve bu risklerle ilgili kontrol önlemlerinin alınması ve uygulanması konularında yardımcı olabilir.

2. Kurumun risk yönetimi süreçleri hakkında değerlendirme ve incelemeler yapmak ve raporlar yazmak, normal olarak, yüksek denetim önceliğine sahip bir görevdir. Yönetimin uyguladığı risk süreçlerini değerlendirme görevi, denetçilerin denetim çalışmalarını planlamak için risk analizlerini kullanması gereğinden farklıdır. Bununla birlikte, yönetimin, denetim komitesinin ve yönetim kurulunun endişe duyduğu konuların tespiti de dâhil, kapsamlı bir risk yönetim sürecinden elde edilen bilgiler, iç denetçilerin denetim faaliyetlerini planlamasına yardımcı olabilir.

3. Her kurum, risk yönetimi sürecini uygulamak için kendisine özgü bir yöntem seçebilir. İç denetçi, bu yöntemin denetim komitesi ve yönetim kurulu da dâhil, kurum yönetimine katılan bütün önemli grup veya kişiler tarafından anlaşılıp anlaşılmadığını tespit etmelidir. İç denetçiler, kurumun risk yönetimi süreçlerinin genel yeterliliği hakkında bir görüş belirtebilmek için, kurumun risk yönetimi süreçlerinin temel hedeflerine uygun olduğundan emin olmalıdır.

4. İç denetçiler, muhtelif kurumların kendi risk yönetimi uygulamalarında kullandığı teknikler arasında önemli farkların olabileceğini bilmelidir. Risk yönetimi süreçleri, bir kurumun faaliyetlerinin niteliğine uygun tasarlanmalı ve uygulanmalıdır. Kurumun işle ilgili faaliyetlerinin büyüklüğüne ve karmaşıklık düzeyine bağlı olarak, risk yönetimi süreçleri:

• resmî veya gayriresmî olabilir, • kantitatif veya sübjektif olabilir,

• ilgili ifl birimlerine tahsis edilebilir veya kurumsal düzeyde merkezîleştirilebilir.

Bir kurumun kullandığı sürecin, o kurumun kültürüne, yönetim tarzına ve iş hedeflerine uygun olması gerekir. Örneğin, kurumun türev araçlar kullanması veya sermaye piyasalarının başka gelişmiş ürünlerini kullanması hâlinde, kantitatif (nicel kıstaslara bağlı) risk yönetimi araçlarının kullanılması gerekir. Daha küçük ve daha az karmaşık olan kurumlar, kurumun risk profilini tartışmak ve dönemsel eylemlere

girişmek için bir gayriresmî risk kurulundan yararlanabilir. Denetçi, seçilen yöntemin kurumun faaliyetlerinin niteliğine uygunluğunu ve kapsayıcılığını belirlemelidir.

5. İç denetçiler, risk yönetimi süreçlerinin yeterliliği yönünde bir görüş belirtebilmek için, risk yönetimi süreçlerinin temel hedeflerine uygun olduğundan emin olmalı ve bu konuda yeterli kanıt toplamalıdır. Bu kanıtların toplanmasında, iç denetçi, aşağıda sayılan tiplerde denetim prosedürlerini dikkate almalıdır:

• Kurumun kullandığı sürecin uygunluğunu ve endüstrinin en iyi uygulamalarını temsil edip etmediğini tespit etmek ve değerlendirmek için, risk yönetimi yöntemlerine ilişkin referans malzemeleri ve temel bilgileri araştırmak ve gözden geçirmek,

• Bu riskleri önlemek, izlemek ve tekrar değerlendirmek için kullanılan kontrol prosedürlerini incelemek ve kurumu etkileyebilecek riskleri ve risk maruziyetlerini tespit etmek amacıyla, kurumun yaptığı işle ilgili mevcut sektör gelişmeleri, eğilimleri, bilgileri ve başka uygun bilgi kaynaklarını araştırmak ve gözden geçirmek,

• Kurumun iş stratejilerini, risk yönetimi felsefesini ve yöntemini, risk alma istekliliğini ve riskleri kabulünü tespit etmek amacıyla, kurumsal politikaları, denetim komitesinin ve yönetim kurulunun tutanaklarını gözden geçirmek,

• Yönetimin, iç denetçilerin ve dış denetçilerin ve bu raporları çıkartabilecek başka kaynakların daha önce düzenlediği risk değerlendirme raporlarını gözden geçirmek,

• İş birimlerinin hedeflerini, ilgili riskleri ve kurum yönetiminin riskleri azaltma ve kontrol izleme çalışmaları ve faaliyetlerini tespit etmek amacıyla, üst yönetimle ve birim yönetimleriyle görüşmeler yapmak,

• Risklerin azaltılmasının, gözlenmesinin, raporlanmasının ve ilgili kontrol faaliyetlerinin etkinliğini bağımsız bir gözle değerlendirmek amacıyla bilgileri özümsemek,

• Hiyerarşik örgütlenmenin risk gözleme faaliyetleri için uygunluğunu değerlendirmek,

• Risk yönetimi sonuçlarıyla ilgili raporlamanın yeterliliğini ve zamanında yapılıp yapılmadığını gözden geçirmek,

• Yönetimin risk analizlerinin tam olup olmadığını ve risk yönetimi süreçleriyle anlaşılan sorunları gidermek için alınan tedbirlerin uygunluğunu gözden geçirmek ve iyileştirici eylemler önermek,

• Yönetimin uyguladığı iç değerlendirme süreçlerinin etkinliğini, gözlemlerle, doğrudan kontrol testleriyle ve gözlem prosedürleriyle, gözlem faaliyetlerinde kullanılan bilgilerin doğruluğuna ilişkin testlerle ve başka uygun tekniklerle tespit etmek,

• Risk yönetimi uygulamalarındaki zayıflıkları gösteren riskle ilgili sorunları incelemek ve gerekirse, bu konuyu yönetimle, denetim komitesi ve yönetim kuruluyla tartışmak.