2. KURUMSAL RİSK YÖNETİMİ BOYUTUNDA İÇ DENETİM
2.18. Kurumsal Risk Yönetimi Süreci
2.18.1. Kurumsal Risk Yönetim Ortamının Oluşturulması
2.18.2.2. Risklerin Tahlil Edilmesi
denetçi, risk evrenini inceler ve önemli riskleri değerlendirir.İşletme hedefleri, stratejiler ve riskler arasındaki ilişkiyi de irdeler.356
Kurumsal risk yönetim yapısı içerisinde iç denetçiler, işletme risk yönetim modelinin yönlendirilmesinde yer alma fırsatını yakalayabilmektedir. İşletmelerin temel risklerinin tanımlamasını yapması beklenen denetçinin, riskleri tanımlayabilecek güçlü araçlara ihtiyacı vardır. Klasik risk denetim modeli, risklerin tümünü içerecek bir yapı üzerine odaklanmıştır. Ancak risklerin çok farklı yapılara sahip olmaları bazı ölçüm problemlerini ortaya çıkarmaktadır .Bu zorlukları aşmak için birçok İç Denetim Grubu ‘risk izleme’ yeteneklerini riskin sınıflandırılmasını yapma yolu ile genişletmeye çalışmaktadırlar.Bu sınıflandırmanın temel iki amacı vardır.Bunlardan ilki, işletmenin sahip olduğu riskin tanımlanması, ikincisi de risk bilgisinin kesin bir alan içine çekilmesini sağlayarak, kullanıcıların ortaya çıkan durumları anlamalarına yardım etmektir.357
2.18.2.2. Risklerin Tahlil Edilmesi
Risk tahlili, risklerin ortaya çıkma nedenlerinin, etkilerinin ve bu etkilerin ortaya çıkma ihtimallerinin belirlenmesinden oluşmaktadır. Uygulamada risk tahlilinden önce ön bir tahlil (hazırlık çalışması) yapılmaktadır. Böylece detaylı tahlile geçmeden önce aynı tür riskler bir araya toplanabilir ya da düşük önem derecesine sahip olan riskler kapsam dışında tutulabilir. Unutulmamalıdır ki, kapsam dışında tutulması öngörülen risklerin de kayıt altına alınıp izlenmesi gerekmektedir.358
Risk tahlili sürecinde , öncelikle risklerin büyüklüğünü belirlemek açısından riskin oluşma ihtimali ve sonuca etkisi incelenir. Risk değerlendirilmesi tahmine dayalı olarak yürütülür ve bu tahminler ihtimal ve etki için yapılır.359
Bir işletmenin karşılaştığı çeşitli risklerin her birine ne kadar önem verilmesi gerektiğini belirlemek oldukça zordur. Yönetim, gerçekleşme ihtimali az ve muhtemel etkisi küçük olan risklerin üzerinde fazla zaman ve kaynak
356 Pehlivanlı, a.g.e., s.80.
357 Roth ve Espersen, a.g.m.,s.18.
358TÜSİAD, a.g.e,, s.38.
359Fıkırkoca, a.g.e., s.190.
121 harcanmamasını sağlamalıdır. Ancak, gerçekleşme ihtimali yüksek ve muhtemel etkileri önemli olabilecek bir risk şüphesiz daha fazla dikkat gerektirmektedir. Bu iki uç nokta arasındaki durumların değerlendirilmesi için zor bir yargılama süreci gerekmektedir.360
Tahlil çalışmaları kapsamında kullanılan çeşitli modelleme araçları vardır. Söz konusu modelleme araçları ,yöneticilerin belirsizliği yönetmelerini mümkün kılmaktadır. Senaryo tahlilleri ve tahmine dayalı modeller en üstün araçlardır.
- Senaryo Tahlili: Senaryolar önceden belirlenmiş nihai bir duruma yol açabilen olayların sonucunu ayrıntılı olarak tanımlama veya alternatif olarak bugünkü kararların sonuçlarını düşünme çalışmasıdır. Senaryo tahlili, ortaya çıkabilecek olumlu ve olumsuz durumlar ile bunların ortaya çıkmasına neden olan süreçleri önlemede, kolaylaştırmada veya engellemede işletmenin uygulamaya koyabileceği alternatif çözümler hakkında düşünmeyi gerekli kılmaktadır .361
Risklerin önem seviyesi, etki ve ihtimallerin bir araya gelmesi ile oluşturulmalıdır. Etki ve ihtimalin tahmin edilmesinde istatistiksel tahlil ve hesaplamalar da kullanılabilir. Eğer elde bulunan bilgiler yetersiz, konu ile doğrudan ilgili ve güvenilir değil ise belirli bir olayın ya da sonucun oluşacağına dair bireylerin veya grupların tahminlerine dayandırılan tahlil yapılmalıdır.
Bu aşamada öncelikli olarak işletmede halihazırda var olan kontrollerin incelenmesi gerekmektedir.
2.18.2.2.1. Mevcut Kontrollerin İncelenmesi362
Risklerin azaltılması için var olan süreçler, araçlar veya uygulamalar ile bunların güçlü ve zayıf yönleri incelenmelidir. Mevcut kontroller daha önce yapılmış risk tahlilleri sonucunda tasarlanmış ve günlük ihtiyaçları yeterli düzeyde karşılanmış olabilir. Ancak bu kontrol tasarımlarının kurumun mevcut durumdaki ihtiyaçlarını karşılamada ne derece yeterli olduğu belirlenmelidir.
360 PwC, a.g.e., s.49.
361 Murat Güven ve Kamuran Mısırlı; “Küçük ve Orta Ölçekli İşletmelerde Kriz Yönetimi: Çaycuma Örneği,Zonguldak Karaelmas Üniversitesi, s.9.
362 TÜSİAD, a.g.e.,s.53.
122 Risk tahlili; tahlil edilecek riske, tahlilin amacına, erişilebilen bilgi ve kaynakların seviyesine bağlı olarak farklılık göstermektedir.
Riskler ihtimal ve etkileri açısından sayısal (nicel), yarı sayısal (nitel/nicel) ya da niteliksel yöntemlerle tahlil edilip değerlendirilmektedir.363
2.18.2.2.2. Niteliksel Tahlil
Niteliksel tahlil, ihtimal ve etkinin düşük olduğu veya sayısal verilerin ve nicel değerlendirme uzmanının bulunmadığı koşullarda kullanılmaktadır. Niteliksel tahlil, yardımcı verilerin ve varsayımların kalitesine bağlı olmakla birlikte, belirli tarih ve değişkenlik sıklığına sahip olan ve güvenilir tahmin imkanı veren riske açık olma durumlarıyla ilişkilidir.364
Olayların muhtemel etkilerinin derecesini ve bunların ortaya çıkma ihtimallerini, ölçekler (skalalar) üzerinden, tahlili gerçekleştirenlerin bireysel yargılarıyla ortaya çıkan sonuçlar ile ifade etmektedir.365 Risklerin tanımlanması, risklerin sıralanması, ihtimal ve etki ile yapılan risk matrisleri, hedefler veya birimler bazında yapılan risk matrisleri, risk korelasyonlarının tanımlanması yöntemleri ile yapılan risk tahlilleri niteliksel tahlillerdir. Niteliksel tahlil teknikleri arasında ise, beyin fırtınası, varsayım tahlili, mülakat(görüşme), risk kaydı, kontrol listeleri sayılabilir.366
Niteliksel tahlil tekniklerini, kurum risk kültürü yönlendirmektedir. Eğer işletme risklere karşı isteksiz bir yapıdaysa geleceğin belirsizliğini mümkün olduğunca azaltmak isteyecek , yani riskli faaliyetlerden kaçınmaya yönelik bir değerlendirme sonucuna ulaşacaktır. İşletme risklere karşı açık ise riskin olumsuz etkileri karşısında endişelenmeyen ve fırsatlar konusunda iyimser bir tavır sergileyen yapıda olacaktır.367
363 Merna& Al Thani ,a.g.e. s.56.
FERMA, s.7.
364 PriceWaterHouse Coopers, a.g.e., s.50
365 TUSIAD,a.g.e.,s.55-56
366 Merna ve Al Thani,a.g.e., s.56-63.
367 Pehlivanlı, a.g.e. s.79.
123 Niteliksel tahlil şu durumlarda kullanılabilir:
• Daha ayrıntılı tahlil gerektiren risklerin belirlenmesi için yapılacak hazırlık çalışmalarında,
• Sayısal tahlil için gerekli veri veya kaynaklar yeterli olmadığında,
• Söz konusu riskin yapısal özellikleri niteliksel tahlili gerekli kıldığında.
2.18.2.2.3. Sayısal (Nicel) Tahlil
Sayısal tahlil, yapılan tahlillere daha çok doğruluk ve kesinlik getirmekle birlikte niteliksel teknikleri tamamlayıcı olarak kullanılmaktadır. Bazı matematiksel modellerin ve bilgisayar destekli modellerin kullanılması gibi daha yüksek çaba gerektiren teknikler içermektedir.
Sayısal tahlilde, veri kaynaklarının kullanılarak etki ve ihtimal tahminlerini sayısal değerler ile ifade edilmesi söz konusudur. Tahlil sonuçlarının kalitesi kullanılan verinin doğruluğu ve bütünlüğü ile kullanılan modelin geçerliliğine bağlıdır.Sayısal tahlil teknikleri arasında, karar ağacı tekniği, kontrol aralığı tekniği, Monte Carlo simulasyon modeli sayılabilir.368
Kaynaklarda niteliksel tahlil sonucu elde edilen verilerin, sayısal tahlil sonucunda elde edilen verilerden daha kullanışlı olduğuna ve özellikle KRY yapısının kurulması ve başlangıç aşamasında niteliksel tahlil ve buna ilişkin tekniklerin tercih edilmesi gerektiği yönünde görüş birliği vardır.369
2.18.2.2.4.Yarı Sayısal Tahlil
Yarı-sayısal tahlilde ise niteliksel tahlilde kullanılan ölçeklerdeki sözcüklerden oluşan adlandırmaların yerini rakamlar almaktadır. Bu yöntemde daha geniş derecelendirme ölçeklerinin uygulamasını yapmak amaçlanmıştır. Ancak bu
368 Merna ve Al Thani, a.g.e., s.63-70.
369 Pehlivanlı, a.g.e., s.80.
124 yöntemde de derecelendirme, tahlili gerçekleştirenlerin kişisel yargıları ile belirlenmektedir. Bu nedenle riskler için ölçek üzerinde gerçekleştirilen derecelendirme etki ve ihtimal tahminlerinin ölçülmüş değerlerini içermemektedir.370 Shenkir’e göre, niteliksel- sayısal ve yarı sayısal tahliller için aşağıdaki örnekler verilebilir.
Tablo 1: Niteliksel / Sayısal/ Yarı Sayısal Tahlil Örnekleri
Niteliksel Yarı Sayısal Sayısal
Risk tanımlama Risk etkisini doğrulama İhtimallere dayanan teknikler
Risk Sıralama Risk ihtimalini doğrulama Kazanç dağılımı İhtimal ve etki tahlili
çerçevesinde risk matrisi
Senaryo tahlili
Risk korelasyonlarının tanımlanması
Kazanç/zarar eğrisi
Benchmarking
Kaynak:William G.Shenkir, Enterprise Risk Management, An Idea Whose Time Has Come, University Of Virginia,9 March 2007, s.27
2.18.2.2.5.Duyarlılık Tahlili 371
Risk tahlili kapsamında yapılan varsayımlar kesin olamayacağından belirsizliğin varsayımlar ve veriler üzerindeki etkilerinin tespiti için duyarlılık tahlili yapılması gerekmektedir. Duyarlılık tahlili aynı zamanda muhtemel kontrollerin ve KRY uygulamalarının uygunluk ve etkinliğinin test edilmesi için de yapılabilecek bir tahlil türüdür.
370TÜSİAD ,a.g.e., s.56.
371 TÜSİAD, a.g.e. ,s.57.
125 Duyarlılık tahlilini açıklamak gerekirse,372herhangi bir karar sürecine ilişkin ölçütlerdeki değişmelerin, alınacak en son karar üzerindeki etkisinin incelenmesidir.
Risk unsurunun çeşitli değişkenler açısından ne ölçüde önemli olduğunu açıklayarak yönetsel kararların daha sağlam bir zemine oturtulmasına yardımcı olmaktadır.
Unutulmaması gereken bir nokta da riskler değerlendirilirken, değişik etkiye sahip risklerin değerlendirilmesi için farklı zaman dilimlerinde değişik değerlendirme modellerinin uygulanması gereğidir.