Risk Yönetimi ve İç Denetim

Geleneksel denetim sisteminde mali tablolar ve işlemler geçmişe dönük olarak, işlemler olup bittikten sonra denetlenmektedir. Bu yöntemde denetim, temelde mali tablolara ve verilere dayandırılmaktadır. Ancak geleneksel denetim yöntemlerinin işletmelere yeterli güvenceyi vermediği düşünülmektedir. İç denetim yalnızca geleneksel kontrol faaliyetlerinden ibaret olmayıp aynı zamanda kurumun risk durumunu gözetleyerek risk yönetim sürecinin yürütülmesinde temel bir rol üstlenmektedir.⁹⁵

Küreselleşme başta olmak üzere, yönetsel anlayışta meydana gelen değişim, artan rekabet süreci, işlem ve veri hızı ve bu hızı kontrol etmede ortaya çıkan zorluklar ve teknolojik gelişmeler gibi nedenler gittikçe artan bir yoğunlukta sadece geçmişe yönelik değerlendirme yapmanın yeterli olmadığını, gelecek yönelimli bir yaklaşımla işletmenin gelecekte karşılaşabileceği risklerin tahmin edilmesi ve bu risklerin yönetilebilir halde tutulmasını da gerekli kılmaktadır.

Risk esaslı denetim; işletmenin risk değerlendirmesinin yapılarak bunların yönetilebilir ve kontrol edilebilir halde tutulmasında, yönetimi uyarıcı işlev gören çağdaş bir denetim yöntemidir. Kurumsal yönetim yaklaşımına dayanan risk esaslı denetim, önleyici bir denetim modelidir. Bu yöntemde şirketin karşı karşıya kalabileceği riskler sahip oldukları özelliklere, ortaya çıkma olasılıklarına ve işletme içindeki ağırlığa ve etkisine göre derecelendirilip sınıflandırılmakta, böylece ortaya en

95 Paul E. Lindow ve Jill D. Race, “Beyond Traditional Audit Techniques”, Journal of Accountancy, July 2002, s.

28.

öncelikli riskli alanlardan daha hafif riskli alanlara doğru bir denetim süreci izlenmektedir.

Risk esaslı denetim özellikle sermaye ve finans piyasaları için gittikçe artan bir önem kazanmıştır. Sermaye ve finans piyasalarında yatırımcıların ve tasarruf sahiplerinin korunmasını sağlayacak bir kurumsal yapının oluşturulması süregelen finansal krizlerin de etkisiyle, kamu otoriteleri tarafından etkili prosedürlere bağlanmaya başlanmıştır.

Risk, kurumun hedeflerine ulaşmasını ve stratejilerini başarıyla yönetmesini olumsuz etkileyen tehditlerdir. Risk yönetimi risklerin tanımlandığı, değerlendirildiği ve kontrol edildiği bir süreçtir. Risk yönetiminin amacı, risk üstlenme faaliyetlerinin sonuçlarının farkındalığını geliştirmek, zarar verici olayların meydana gelme sıklığını azaltmak ve meydana gelmesi durumunda ortaya çıkabilecek çeşitli olumsuz sonuçları azaltmaktır. Risk yönetiminin geliştirilmesi fırsatlara odaklanılmasını sağlayacak ve olumlu sonuçların elde edilmesine katkıda bulunacaktır. Bu nedenle risk yönetimi planlama sürecinde ele alınmalıdır.⁹⁶

Risk yönetiminin kurum kültürüne entegre edilmesinin; yönetimin gereksiz olaylar üzerinde zaman harcamasını önleyici, gerçekten önemli konular üzerinde odaklanılması ve belirsizliklerle daha az karşılaşılmasını sağlayıcı, kurumsal itibarı koruyucu, doğru işlerin doğru şekilde yapılmasını sağlayıcı, kurum hedeflerine ulaşılması olasılığını arttırıcı, yenilikleri destekleyici, daha bilinçli risk üstlenmeyi ve karar almayı sağlayıcı ve sigorta maliyetlerini düşürücü faydaları bulunmaktadır.⁹⁷

Risk yönetimi dört aşamadan oluşmaktadır:⁹⁸

1. Risklerin tanımlanması: Risklerin “stratejik riskler, faaliyet riskleri, finansal riskler, itibar (saygınlık) riski, bilgi teknolojileri riski, hukuksal riskler, insani riskler” şeklinde tanımlanmasını ifade eder.

96 Phil Griffiths, Risk-Based Auditing, Gower Publishing Limited, 2005, s.17.

97 Griffiths, s.21.

98 Griffiths, s.22-27, 61; Kurnaz ve Çetinoğlu, s.88-89.

2. Risklerin değerlendirilmesi/ölçülmesi: Riskler etki ve olasılık değerlerine göre değerlendirilir. Olayın meydana gelmesi durumundaki etki ya da sonuçları mali olabileceği gibi kurumun saygınlığına yönelik olumsuz bir etki de olabilir. Olayın meydana gelme olasılığı ise genellikle zamanla ilgili olup olayın hangi sıklıkta meydana gelebileceğine ilişkin sorunun cevaplandırılması açısından önemlidir. Risk değerlendirme sürecine tüm yöneticiler dahil olmalı ve kontrol önlemlerinin etkinliği en azından yıllık tekrarlanmalıdır.

3. Risklerin kontrol edilmesi: Risklerin olumsuz etkilerinden zarar görmemek için; risklerin kontrol edilmesi, risklerden kaçınma, riskleri azaltma, riskleri dengeleme gibi araçlara başvurma ihtiyacı duyulabilir.

4. Risklerin izlenmesi: Risklerin etkin bir şekilde tanımlandığından, değerlendirildiğinden ve kontrol yaklaşımlarının yerinde olduğundan emin olmak için raporlama ve yeniden gözden geçirme faaliyetlerine ihtiyaç duyulur. İzleme süreci kontrollerin uygunluğu ve yeniden gözden geçirmeyi ifade eder.

Risk yönetimi ve strateji kavramlarının ilişkilendirilmesi 1980’lerinin sonuna rastlamaktadır. ABD’de 2002’de kabul edilen Sarbanes - Oxley Yasası’nın uygulanmasından birkaç yıl sonra kurumlar artık iç kontrol süreçlerini daha kapsamlı kurumsal risk yönetim altyapısı oluşturarak güçlendirmek zorunda kalmıştır. Kurumsal risk yönetiminin tasarlanması ve uygulanması için gerekli rehberlik ihtiyacına yanıt verebilmek için çeşitli çalışmalar yapılmıştır. Bunların içinde en kabul göreni COSO tarafından 2004 yılında hazırlanan “Kurumsal Risk Yönetimi – Bütünleşik Çerçeve”

adlı çalışmadır.⁹⁹

Kurumsal risk yönetimi, risklerin üstlenilmesi, azaltılması ve kayıpların önlenmesi konusunda girişimci yaklaşımcıların oluşmasına yardımcı olur. Kurumsal risk yönetimi, kurum tarafından maddi olmayan duran varlıklar ile ilgili değerleri ortaya

99 Enterprise Risk Management - Integrated Framework

çıkarmak ve onların kurum stratejisindeki etkili gelişimini tartışmak için de kullanılabilir.¹⁰⁰

Etkili bir kurumsal risk yönetimi için gerekli adımlar şunlardır:¹⁰¹

1. Kurumsal risk yönetiminin stratejik değeri herkes ve özellikle üst yönetim tarafından kabul edilmelidir.

2. Mevcut risk yönetim yaklaşımlarındaki eksik ve zayıf yönler değerlendirilmelidir.

3. Temel misyon ve program hedefleri belirlenmelidir.

4. Kurumsal risk yönetim altyapısı oluşturulmalıdır.

5. Risk envanteri oluşturulmalıdır.

6. Değerlendirme teknikleri seçilmeli ve risk iştahı ve toleransı tanımlanmalıdır.

7. Etkili iletişim ve raporlama sistemi geliştirilmelidir.

8. Kurumsal risk yönetim sisteminin uygulaması takip edilmelidir.

9. Kurumsal risklerin azaltılması için teşvik edici tazminat politikaları ve performans ölçümleri geliştirilmeli ve takip edilmelidir.

10. İç kontrol, bütçeleme, planlama gibi sistemlerle risk yönetim sistemi entegre edilmelidir.

100 Matteo Tonello, Emerging Governance Practices in Enterprise Risk Management, The Conference Board, Inc. Research Report R-1398-07-WG, USA, 2007, s. 7-10; Ercan Alptürk, Finans, Muhasebe ve Vergi Boyutlarında İç Denetim Rehberi, Ankara: Maliye ve Hukuk Yayınları, 2008, s.238.

101 Tonello, s.10.

2.2. Çağdaş İç Denetim Uygulamalarını Yönlendiren Kurumsal Temeller