Riskl erin Tanımlanması

Risk değerlendirme sürecinin ilk adımı, her düzeyde risklerin tanımlanmasıdır.

Bu kavram, işletmenin karşı karşıya kaldığı tüm risklerin tanımlanması, önem sırasına konulması ve kabul edilebilir bir risk seviyesinin belirlenmesini ifade etmektedir.

Herhangi bir süreç içerisinde riskler tanımlanırken öncelikle amacın ne olduğu açık bir biçimde ortaya konulmalıdır. Amaç ortaya konulduktan sonra, bu amacın gerçekleşmesini engelleyecek durum ve tehditler tespit edilmeli ve risk ona göre tanımlanmalıdır. Riski tanımlarken bazı soruların da sorulması gerekmektedir.

Örneğin;³⁴⁸

1-Amaca ulaşma yolunda neler yanlış gidebilir?

2-Amaca ulaşmada hangi tür işlem veya faaliyetler başarısızlığa neden olur?

3-Zayıf alanlar nelerdir?

Başka bir anlatımla, risklerin tanımlanması; kurumsal değerler ile stratejik hedeflerinden yola çıkarak işletmenin (kurumun) amaçlarına ulaşma yolunda karşılaşabileceği muhtemel tehditler ve fırsatların tespit edilmesidir.³⁴⁹

İşletme içerisindeki herkes kurumsal risk yönetiminin başarılmasında rol sahibidir ancak riskleri tanımlama ve yönetme konusunda temel sorumluluk yönetime düşmektedir.³⁵⁰

348M.Enver Özaydın,” Riskin Tanımlanması ve Kamu İdarelerinde Nitelikli İç Denetim Faaliyetinin Yürütülmesini Engelleyen Riskler, Denetişim Dergisi, S:4,s. 32.

349Derici v.d., a.g.m.,s.155.

350Duygu Anıl Keskin, “İşletmelerin Sürekliliğini Sağlamada Kritik Öneme Sahip Risk Yönetimi ve Risk Odaklı Denetim”, Denetişim Dergisi, S:4, s.30.

117 Risk tanımlaması, diğer aşamaların da temelini oluşturduğundan doğru biçimde yapılan bir risk tanımlaması, risk yönetiminin etkililiğini garanti edecektir.Etkili bir risk tanımlamasının yapılabilmesi için, yukarıda anlatıldığı üzere iç ve dış çevrenin tanınması ve sürekli biçimde izlenmesi mutlak suretle gereklidir.

Şekil 15: Riski Oluşturan Etkenler

Kaynak: Deloitte Academy, Risk Odaklı İç Denetim Eğitimi Notları, s.44.

Görüldüğü gibi, risklerin tanımlaması, öncelikle işletme çevresinin anlaşılması ve kurumsal risk yönetim yapısının oluşturulması ile başlamaktadır.

Riskler tanımlanırken, yöntem olarak önceki değerlendirmelerin üzerinden gidilmesi yerine baştan, kapsamlı bir değerlendirme yapılması tercih edilmektedir.

Ayrıca, sadece işletme bazında değil faaliyet bazında da risk tanımlaması yapılmalıdır. Böylece, risk değerlendirmesinin satış, pazarlama, teknoloji, araştırma-geliştirme gibi temel iş birimlerine veya faaliyetlerine odaklanması sağlanabilir.³⁵¹ Bu aşamada, sistematik bir yaklaşımla risklerin ayrıntılı bir şekilde tanımlanması oldukça önemlidir. Risk tanımlaması aşamasında ayrıca, risklerin kontrol altında

351Simay Erdoğan, a.g.e., s.81.

118 tutulup tutulmadığı da belirlenmelidir. ³⁵² Ayrıca, işletmenin maruz kaldığı risklerin özellikleri tarif edilmeli ve tüm birimlerce bu hususlarda bilgi sahibi olunması sağlanmalıdır.

Bu sürece, işletmenin risk alma isteği yön vermektedir. İşletme yönetim kurulu ve yöneticileri tarafından belirlenecek olan risk alma isteği, işletmenin risk kültürüyle de ilişkilidir.

Risk tanımlama sürecinde dikkat edilmesi gereken bir konu da risklerin hem negatif hem de pozitif yönde etkileri olabileceğidir.

COSO’ ya göre, risklerin tanımlanmasında kullanılan en genel kabul görmüş teknikleri aşağıda verilmiştir.³⁵³

• Görüşme ve mülakatlar

• Anketler

• Beyin fırtınası (Fikir Yürütme ve Tartışmalar)

• Olay araştırma

• Risk danışmanları

• Süreç haritalama

• Kontrol listeleri ve akış kartları

• İş süreç tahlili

En yaygın olarak kullanılan yöntemlerden bazıları aşağıda yer almaktadır.³⁵⁴

Görüşme - Mülakat: İşletme içinden veya dışından, yönetici ve personelin tecrübe ve bilgi birikiminden faydalanma amacıyla yapılan çalışmalardır. Mülakatlarda, işletmenin riskleri konusunda mümkün olduğu kadar fazla görüş ve tecrübeden faydalanmak amaçlanır. Bunun için, mülakat yapılacakların, işletmenin bütün işlevlerinin değerlendirilmesine yetecek sayı ve nitelikteki kişilerden ve özellikle kilit personel arasından seçilmesi önemlidir. Görüşme yönteminde ise, görüşmeler birebir yapılarak hedefler arasında gizli olan riskleri ortaya çıkarmak amaçlanır.

Geniş katılımlı toplantılara göre, birebir görüşmelerde katılımcılar görüşlerini daha rahat dile getirmektedirler.

352 Tanç, a.g.e. , s.84.

353COSO ERM, 2004, www.coso.org (Erişim Tarihi: 20.01.2011)

354Derici v.d., a.g.m.,s,156-157.

Pehlivanlı, a.g.e., s-76-77.

119 Beyin Fırtınası:Beyin fırtınası yöntemi de risklerin tanımlanmasında oldukça etkili bir yöntemdir. Fikir yürütme ve tartışmaları içeren çalışmalardır. İşletme yönetiminde görevli çalışanların tartışmaları ve bu sürecin sonunda belirli riskler üzerinde uzlaşmaları gerçekçi bir biçimde risklerin tanımlanmasında etkilidir. Daha az kişi ile yapılan ve beyin fırtınası şeklindeki çalışmalara ise Odak Grubu (Focus Group) Çalışmaları denmektedir. Yeni fikirlerin ortaya çıkması açısından önemlidir.

Çalıştaylar: Risk çalıştayları , tanımlanan riskler ve risk listeleri hakkında fikir birliğine ulaşmayı, bilgisayar yazılımı desteğiyle beraber risklerin değerlendirilmesini de içeren oylama faaliyetinin gerçekleştirilmesini, ve oylama sonuçlarına göre risklerin sıralanmasını, risk tutumlarının belirlenmesini ve raporlama faaliyetlerini içermektedir. Risk tanımlama ve değerlendirilmesini kapsayan çalıştaylar için risk çerçevesi, risk kaynakları ve risklerin ihtimal ve etki tanımlarının bulunduğu kaynak hazırlanmalıdır.

Olay Envanteri: Benzer işletmelerde gözlemlenen olayların ayrıntılı listesinden oluşur.

Eski Veriler: Geçmişte yaşanmış olayların sebep ve kökenlerinin araştırılmasıdır.

Bu çalışmaların ardından elde edilen bilgiler ışığında risk evreni elde edilir. Risk evreni, işletmenin karşılaşabileceği tüm risklerin kaynağı olabilecek faaliyet ve ilişkileri bir tablo halinde sunar. Bütün faaliyet alanlarının yer aldığı bu tablo bir bakıma işletmenin fotoğrafı niteliğindedir. Bu fotoğraf, faaliyet ve etkileşim alanının toplu ve sistematik bir şekilde görülmesini sağlayarak, muhtemel risklerin eksiksiz olarak tespit edilebilmesine yardımcı olur³⁵⁵

Risklerin tanımlanması sürecinde iç denetçi; danışmanlık hizmeti vermek suretiyle süreçte yer alabilir ve sürecin etkinliğinin denetiminden de sorumlu tutulabilir. Eğer risk tanımlanması süreci risk yönetim birimi tarafından yapılmışsa, iç denetçi bu süreçte yalnızca güvence fonksiyonunun gereklerini yerine getirir.Bu kapsamda iç

355 Derici v.d., a.g.e., s.155.

120 denetçi, risk evrenini inceler ve önemli riskleri değerlendirir.İşletme hedefleri, stratejiler ve riskler arasındaki ilişkiyi de irdeler.³⁵⁶

Kurumsal risk yönetim yapısı içerisinde iç denetçiler, işletme risk yönetim modelinin yönlendirilmesinde yer alma fırsatını yakalayabilmektedir. İşletmelerin temel risklerinin tanımlamasını yapması beklenen denetçinin, riskleri tanımlayabilecek güçlü araçlara ihtiyacı vardır. Klasik risk denetim modeli, risklerin tümünü içerecek bir yapı üzerine odaklanmıştır. Ancak risklerin çok farklı yapılara sahip olmaları bazı ölçüm problemlerini ortaya çıkarmaktadır .Bu zorlukları aşmak için birçok İç Denetim Grubu ‘risk izleme’ yeteneklerini riskin sınıflandırılmasını yapma yolu ile genişletmeye çalışmaktadırlar.Bu sınıflandırmanın temel iki amacı vardır.Bunlardan ilki, işletmenin sahip olduğu riskin tanımlanması, ikincisi de risk bilgisinin kesin bir alan içine çekilmesini sağlayarak, kullanıcıların ortaya çıkan durumları anlamalarına yardım etmektir.³⁵⁷

2.18.2.2. Risklerin Tahlil Edilmesi

Risk tahlili, risklerin ortaya çıkma nedenlerinin, etkilerinin ve bu etkilerin ortaya çıkma ihtimallerinin belirlenmesinden oluşmaktadır. Uygulamada risk tahlilinden önce ön bir tahlil (hazırlık çalışması) yapılmaktadır. Böylece detaylı tahlile geçmeden önce aynı tür riskler bir araya toplanabilir ya da düşük önem derecesine sahip olan riskler kapsam dışında tutulabilir. Unutulmamalıdır ki, kapsam dışında tutulması öngörülen risklerin de kayıt altına alınıp izlenmesi gerekmektedir.³⁵⁸

Risk tahlili sürecinde , öncelikle risklerin büyüklüğünü belirlemek açısından riskin oluşma ihtimali ve sonuca etkisi incelenir. Risk değerlendirilmesi tahmine dayalı olarak yürütülür ve bu tahminler ihtimal ve etki için yapılır.³⁵⁹

Bir işletmenin karşılaştığı çeşitli risklerin her birine ne kadar önem verilmesi gerektiğini belirlemek oldukça zordur. Yönetim, gerçekleşme ihtimali az ve muhtemel etkisi küçük olan risklerin üzerinde fazla zaman ve kaynak

356 Pehlivanlı, a.g.e., s.80.

357 Roth ve Espersen, a.g.m.,s.18.

358TÜSİAD, a.g.e,, s.38.

359Fıkırkoca, a.g.e., s.190.