Risklerin Tanımlanması ve Sınıflandırılması

Risk odaklı iç denetimin en kritik safhalarından biri , işletmenin o alanla ilgili olarak karşı karşıya olduğu risklerin tespit edilerek tanımlanmasıdır.⁴⁴⁹

IIA’nın 2210-A1 No’lu Başarım Standardına göre, bir iç denetim görevi planlanırken, iç denetçiler incelemekte oldukları faaliyetle ilgili riskleri tanımlamalı ve değerlendirmelidirler.⁴⁵⁰ Yine aynı standartta, “görev amaçları risk değerlendirmesinin sonuçlarını yansıtmalıdır” ifadesi bulunmaktadır. Buna göre, riskin değerlendirilmesi sonucunda elde edilen bulgular aynı zamanda da iç denetimin ulaşmak istediği amaçları da temsil etmektedir.

Anlaşıldığı üzere, anahtar risklerin ve amaçların belirlenmesi ve bu risklerin tanımlanması aşaması riskin değerlendirilmesi sürecinin en önemli aşamasıdır.

448 www.niyazikurnaz.net (Erişim Tarihi:15.02.2011)

449Yılancı,a.g.e.,s.126.

450 IIA, 2210-A1 Başarım Standardı

160 İşletmelerde risklerin tanımlanabilmesi için öncelikle risk öncesi bir tarama sisteminin oluşturulması gerekmektedir. Bu süreçte aşağıdaki adımlar izlenmelidir.⁴⁵¹

Sorun Yönetimi: Sorun çözümü işletmeyi etkileyebilecek sorunun bir türüdür.

Sorun yönetimi ile sorunun olumsuz etkileri azaltılmaya çalışılır. Bazı sorunlar riske dönüşebileceğinden sorun yönetimi risk taramasını yönlendirir.

Risk Değerlemesi: Burada risk ölçütleri tanımlanır. Sisteme zarar verebilecek zayıflıklar belirlenir. Temel risk ölçütleri arasında , çalışanlar, ürünler , üretim süreci, yerleşim, rekabet, yasalar ve müşteriler sayılabilir.

Risk tarama sisteminin kurulması risk tanımlama sürecini daha somut hale getirir.

Bu aşamada işletmenin ve denetlenebilir birimlerin maruz kaldığı tehdit ve fırsatlar belirlenmektedir. Herhangi bir süreç içerisinde riskler tanımlanırken öncelikle amacın ne olduğu da açık bir biçimde ortaya konulmalıdır. Amaç net olarak belirlendikten sonra , bu amacın gerçekleşmesini engelleyebilecek durum ve tehditler tespit edilmeli ve risk ona göre tanımlanmalıdır.⁴⁵²

Bu aşamada faaliyet risk envanteri (risk dökümü) çalışması yapılması bu süreci kolaylaştırmaktadır. İşletmelerin hedeflerine ulaşmalarında ortaya çıkabilecek iç ve dış riskler için bir envanter yapılabilir.⁴⁵³

İç ve dış çevrede meydana gelen değişimler yani iç ve dış risklerin oluşumunu etkileyen unsurlar şu şekilde sıralanabilir:⁴⁵⁴

Potansiyel iç risklerin oluşumunu etkileyen unsurlar (iç çevre değişkenleri),

• Yeni kurumsal hedef ve amaçlar,

• Yeni stratejiler, ve faaliyetler,

451 M. Akif Özer, a.g.e., s.220.

452 Enver Özaydın, “Riskin Tanımlanması ve Kamu İdarelerinde Nitelikli İç Denetim Faaliyetinin Yürütülmesini Engelleyen riskler”, Denetişim Dergisi, s.32.

453 Yılancı, a.g.e.,s.127.

454 Kurt F.Reding, Craig Barber, Kristine K.Digirolamo, “Creating A Business Risk Inventory”

Internal Auditor, 2000, www.findarticles.com (Erişim Tarihi:17.02.2011)

161

• Örgütsel değişiklikler (yeni personel,yeni bölgeler,yeni dağıtım kanalları v.b.),

• Birleşme ve satın almalar ,

• Yeni iş süreçleri ve süreçlerin yeniden düzenlenmesi,

• Yeni bilgi sistemleri ve teknolojideki değişiklikler,

• Çalışanlarla ilişkiler, başarı ölçümleri.

Muhtemel dış risklerin oluşumunu etkileyen unsurlar (dış çevre değişkenleri) ise aşağıdaki şekilde sıralanabilir;

• Yeni kanunlar, düzenlemeler ve mevzuat değişimi,

• Rakiplerin davranışları (işletme faaliyetlerini tehdit eden unsurlar),

• Önemli teknolojik gelişmeler,

• Değişen müşteri beklentileri,

• Küresel iktisadi faaliyetlerde değişimler,

• Siyasi istikrarsızlık.

Görüldüğü üzere, sürekli değişim gösteren müşteri ihtiyaçları ve talep yapısı, teknolojik değişimler, teşkilat yapısındaki değişimler, rekabet koşulları gibi faktörler işletmelerin karşı karşıya kaldıkları riskleri belirlemeyi ve sonuçlarını değerlendirmeyi gerektirmektedir. Bu noktada önemli olan bir konu da risklerin sınıflandırılmasıdır.

Risk sınıflandırması bir önceki bölümde ayrıntılı olarak verildiğinden burada yalnızca risk sınıflandırmasına göre örnek bir tablo verilmiştir.

162 Tablo 6: Örnek Risk Sınıflandırması

Kaynak: Roth ve Espersan,a.g.m.,s.19.

Tüm işletmelerde uygulanabilecek risk sınıflandırması yapmak mümkün değildir.

Denetçiler işletme yöneticileri ile birlikte o işletmeye ilişkin risk sınıflandırmasının yapılmasında ve bu risklerin ölçülmesinde birlikte hareket etmelidirler.

Denetçiler düzenli olarak bu çok sayıdaki risk sınıflarını ve ölçütleri yöneticileri ile tartışmalıdırlar.

İç denetçiler her noktayı kapsayacak şekilde risklerin sınıflandırılmış olduğu bir çerçeveyi içeren denetim programı hazırlamalıdırlar.⁴⁵⁵

455 A.g.m.

163 Risk tanımlamada kullanılacak yöntemin ne olacağı ve ne şekilde uygulanacağı denetçinin işletmenin yapısını ve hedeflerini anlamasına bağlıdır. Bununla birlikte denetçinin tecrübesi, bilgi birikimi ve zaman, para ve iş gücü gibi kaynakların en etkin şekilde nasıl kullanacağı, yöntemin sağladığı faydanın uygulama maliyetinden daha fazla olmaması gibi hususlar da kullanılacak yöntemin seçilmesinde belirleyicidir.

Kullanılacak yöntemin tespit edilmesinde işletmenin büyüklüğü, yapısı, faaliyet alanları, faaliyet gösterdiği coğrafi bölgeler ve bunun gibi daha bir çok faktör dikkate alınmalıdır.⁴⁵⁶

Risk tanımlama çalışmaları sırasında kullanılabilecek teknikler arasında beyin fırtınası, risk çalıştayları, olay tahlili, tehdit modelleme, çevresel yaklaşım, saldırıya açık olma tahlili, senaryolar sayılabilir.⁴⁵⁷ Anket ve görüşme/mülakat teknikleri de sıkça başvurulan yöntemlerdir. Bu yöntem ile birlikte üst düzey yöneticiler ile görüşmeler yapılarak onların hangi alanları riskli gördükleri tespit edilebilir. Başarı incelemeleri, geçmiş başarısızlıklar, müşteri ve çalışanlardan alınan geribildirimlerin incelenmesi yöntemlerine de risk tanımlama sürecinde başvurulmaktadır.⁴⁵⁸

Bu yöntemler 2. Bölümde kurumsal risk yönetimi çerçevesinde verilmiştir. Şunu da belirtmek gerekir ki; kurumsal risk yönetimindeki risk değerlendirilmesiyle, iç denetim kapsamındaki risk değerlendirilmesi arasında önemli bir değişiklik bulunmamaktadır. Buradaki önemli nokta şudur, şayet işletmede etkin biçimde çalışan risk yönetim sistemi yoksa ve iç denetçi iç denetim planını hazırlarken risklere ilişkin sağlıklı bilgiler alamıyorsa, bu süreçte kendi değerlendirme yöntemini uygulayacaktır. Ancak kurumsal risk yönetiminin işletmelerde daha fazla işlerlik kazanmasıyla beraber, bu süreçten elde edilen risklerin de denetim kapsamına alınması, oluşturulacak risk odaklı iç denetim planının daha sağlıklı olmasını sağlayacaktır.

456 Deloitte Academy, Risk Odaklı İç Denetim Eğitimi Notları, s.45.

457Barış Bağcı, Bilgi Teknolojileri Risk Yönetimine Genel Bakış, Deloitte Makaleleri ,s.6.

458 Phil Grıffiths, a.g.e.,s.21.

164 TİDE’nin yayınlamış olduğu risk yönetim süreci adlı dökümanda, risk tanımlamada kullanılan 3 yaklaşımdan söz edilmektedir.⁴⁵⁹

• Riske Maruz Kalma Yaklaşımı

• Çevresel Yaklaşım

• Tehdit Senaryoları

Bunlar aşağıda açıklanmıştır:⁴⁶⁰

3.8.2.2.1.1. Riske Maruz Kalma Yaklaşımı

Bu yaklaşımda fiziksel değerleri (tesis,makine, cihaz v.b.), mali değerleri (nakit, yatırımlar v.b.),insan kaynaklarını ,maddi olmayan varlıkları (marka, isim hakkı, bilgi v.b.) etkileyebilecek riskler üzerine yoğunlaşılmaktadır.Yaklaşımın esas amacı, varlıklarda oluşacak değer kayıplarının ortaya çıkarılmasıdır.

3.8.2.2.1.2. Çevresel Yaklaşım

İşletmeler faaliyette bulundukları süre içinde ,pek çok çevresel faktörün etkisi altında kalmaktadır.İşletmenin etkisi altında kaldığı çevresel faktörler şunlardır, Fiziki çevre ; Bölge, Yerleşim alanı

Ekonomik çevre ; Mali unsurlar, Faiz Oranları, Genel Ekonomi Şartları Yasal Mevzuat ; Kanunlar, Politikalar, Yönetmelikler

Rekabet ; Doğrudan ve Dolaylı Rekabet, Değişiklikler Müşteriler / Ortaklar

Tedarikçi Firmalar Teknoloji

Çevresel yaklaşımda, yukarıda sayılan çevre faktörlerinin gelecekte ortaya çıkaracağı tehdit ve fırsatlar değerlendirilir.

459 T.C.Maliye Bakanlığı, “Risk Yönetim Süreci”,TİDE, www.tide.org

460 T.C.Maliye Bakanlığı, “Risk Yönetim Süreci”,TİDE, www.tide.org

165 3.8.2.2.1.3. Tehdit Senaryoları

Bu yaklaşım, herhangi bir yolsuzluk, ya da hata olduğu durumda sıkça kullanılmaktadır. Bu yaklaşımda ilk olarak, riske maruz kalacak değerler tanımlanmalıdır.Ardından ilgili tehditler, riskler ve tehdidin değer üzerinde oluşturabileceği sonuçlar sıralanmalıdır. Daha sonra bu tehditlerin nasıl gerçekleşebileceği listelenmelidir.(Hatalar/İhmaller/Ertelemeler/Yolsuzluk)

Denetçi işletmenin maruz kaldığı riskleri tanımlamak için daha pek çok yöntem uygulayabilir. Ancak seçilecek yöntem , denetçinin işletme süreçlerini, örgüt yapısını ve hedeflerini anlamasına bağlıdır.Bununla birlikte yöntemin sağladığı faydanın uygulama maliyetinden daha fazla olmaması konusu da kullanılacak yöntemin seçilmesinde belirleyicidir.

Riskler tanımlandıktan sonra , risk değerlendirilmesi sürecinde ikinci aşama riskin ölçülmesi aşamasıdır. Riski ölçmedeki amaç potansiyel fırsat ve problemleri belirlemektir.