Yeni Türk Ticaret Kanunu Tasarısı

Yeni Türk Ticaret Kanunu Tasarısı; Kurumsal Yönetim İlkeleri, denetim komitesi, uluslararası muhasebe standartları ve iç denetim gibi bir takım çağdaş düzenlemeleri kapsamaktadır. Tüm bu yenilikler aynı zamanda bir kurumsal yönetim ilkesi olan şeffaflık kapsamında ele alınabilir. Tasarıda iç denetim çok az yer kaplamakla beraber kabulleri bakımından uluslararası uygulama ve iç denetim standartları ile paralellik arz etmesi olumlu bir adımdır.

Yeni Türk Ticaret Kanunu tasarısında çağdaş anlamda “iç denetim” iki yerde geçmektedir. Bunlardan ilki Kurumsal Yönetim başlığı altında yer almakta olup kurumda iç denetim görevini yerine getiren Yönetim Kurulu üyelerinin sahip olmaları gereken haklardan bahsedilmektedir108.

107 _{Bankacılık Düzenleme ve Denetleme Kurulu, “Bankalarca Yıllık Faaliyet Raporlarının}

Hazırlanmasına ve Yayımlanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”, 01.11.2006

tarih ve 26333 sayılı Resmi Gazete.

108 _{T.C. Adalet Bakanlığı Türk Ticaret Kanunu Komisyonu, Yeni Türk Ticaret Kanunu Tasarısı,}

42

İkinci olarak iç denetim II. Kitap: Ticaret Şirketleri, Dördüncü Kısım: Anonim Şirketler, II. Bölüm: Yönetim Kurulu başlığı altında yer almaktadır. Bu kısımda bağımsız dış denetim ihtiyacının yanısıra iç denetim faaliyetinin de artık bir zorunluluk haline geldiğinden bahsedilmekte ve bu durumun Kurumsal Yönetim İlkelerinden kaynaklandığına vurgu yapılmaktadır109.

İç denetimin yanısıra iç kontrole yönelik düzenlemeler tasarıda Madde 378’de “Pay senetleri borsada işlem gören şirketlerde, yönetim kurulu, şirketlerin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi ve bunun için gerekli önlem ve çarelerin uygulanması amacıyla, uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür.”şeklinde yer almıştır.

Ayrıca tasarının 397. Madde 2. Bendinde yıllık raporların da bağımsız denetimden geçirilme zorunluluğu yer almaktadır. Bu madde kurumsal yönetim ilkeleri çerçevesinde atılmış bir diğer önemli adımdır. Çünkü işletme içi veya dışı ilgililerin, işletme faaliyetleri hakkında standart formatta bilgi alabileceği belgelerden birisi de yıllık faaliyet raporlarıdır. Bu çerçevede yıllık raporlarının denetlenmesi son derece önemlidir.

Yasa tasarısının 398. Madde 2. Bent C. Fıkrasında yer alan “Yıllık rapor ile diğer raporlarda gelecekteki gelişime ilişkin risklerin gereği gibi ifade edilip edilmediği de açıklanır” hükmü ile bağımsız denetçinin sorumluluk alanına, raporlarda risklere ilişkin bir takım açıklamaların yer alıp almadığına ilişkin değerlendirme yapma zorunluluğu da eklenmiştir.

Tasarının yasalaşmasını izleyen süreçte ilgili kurumların çıkaracakları yönetmeliklerle, dikkate alınacak riskler, ölçüm yöntemleri ve diğer hususlar ayrıntılı bir şekilde düzenlenmelidir.

43 II. BÖLÜM

KURUMSAL RİSK YÖNETİMİ

Ekonomik krizler ve muhasebe-denetim skandalları ile birlikte piyasa mekanizmasına ve şirketlerin verilerine olan güvenin sarsılması bütünsel olarak risklerin tanımlanıp, değerlendirildiği ve sonuç olarak da riskler karşısında gerekli önlemlerin alındığı bir risk yönetimi sisteminin ön plana çıkmasına zemin hazırlamıştır.

2.1. GELENEKSEL RİSK YÖNETİMİ YAKLAŞIMINDAN

KURUMSAL RİSK YÖNETİMİ YAKLAŞIMINA UZANAN SÜREÇ

Risk odaklı faaliyetler ile başlayan risk yönetimi sürecinin olgunlaşması Geleneksel Risk Yönetimini ortaya çıkarmış ve ardından işletmelerin ihtiyaçları ve piyasa mekanizması Kurumsal Risk Yönetimi’nin (KRY) (Enterprise Risk Management-ERM) gelişiminde temel rolü oynamıştır. Risk odaklı faaliyetler, Geleneksel Risk Yönetimi ve Kurumsal Risk Yönetimi arasındaki benzerlikler ve temel farklılıklar risk yönetiminde perspektif, odak nokta, sorumlular, ayrıntı seviyesi, zamanlama, dil, raporlama, kontrol odağı, araçlar, amaç, kapsam, standartlar, vizyon ve sisteme yön verenler başlıkları altında Tablo 3 yardımıyla ele alınacak ve açıklanacaktır.

Risk odaklı faaliyetlerin temeli, COSO tarafından 1992 yılında yayınlanan “İç Kontrol Çerçevesi”nin risk değerleme aşamasına dayanmaktadır. Risk odaklı faaliyetler, risk yönetimi ve kurumsal risk yönetimi de karşılaştırmalı olarak izleyen tabloda ele alınmaktadır110.

44

Tablo 3: Risk Odaklı Faaliyetlerden Kurumsal Risk Yönetimine Uzanan Süreç

Faktör Risk Odaklı _Faaliyetler Geleneksel Risk _Yönetimi Kurumsal Risk Yönetimi Perspektif Fiziksel tehditler Tüm tehditler Fırsatlar ve tehditler

Odak Özel projeler Özel faaliyetler Kurum geneli ve kurum

ortakları temelli Yürütücüler

(Sorumlular)

Uzmanlar Yöneticiler Tüm çalışanlar

Ayrıntı Seviyesi

Karmaşık analizler Detaylı analizler Genel değerlendirmeler

Zamanlama Bir kez Düzenli Sürekli

Dil Farklı terimler Benzer terimler fakat

farklı açılar

Genel dil ve perspektif

Raporlama Bir kez detaylı raporlama

Yüksek seviyede fakat parçalanmış raporlar

Bütünleştirilmiş işletme raporlaması

Kontrol Odağı Güvenlik ve olasılık planlaması temelli

Bireysel kontrol mekanizmaları temelli

Kontrol çerçeveleri temelli

Araçlar

Veri analizi Kontrol-Risk Öz

Değerlendirme (KRÖD) ve anketler

(KRÖD) ve anketler ve KRY’nin işletme süreçleri ile bütünleştirilmesine yönelik diğer araçlar

Amaç

Düşük seviyede güvence

Risk kayıtlaması için risk tanımlamaları ve yönetimi

Kurum amaçlarına ulaşılması

Kapsam Uygunluk Operasyonel Stratejik

Standartlar Uzmana bağımlı Yöneticiye bağımlı Kurum risk politikasına bağımlı Vizyon Kurum kaynaklarının korunması Yönetim kurulu ve yöneticilerin korunması Bütünleştirilmiş risk yönetimi çerçevesi oluşturulması ve kurum itibarının iyileştirilmesi Sisteme Yön Verenler

Dış tehditler CEO ve Risk

Yönetimi Müdürü

Pay sahipleri, CEO ve Risk Yönetimi Müdürü Kaynak: Spencer Pickett K. H., Auditing The Risk Management Process, John Wiley & Sons,

USA, 2005, s. 76-77., McNamee David ve Selim Georges, Risk Management: Changing the

Internal Auditor’s Paradigm, The Institute of Internal Auditors, USA, 1998, s. 5.

Risk yönetimi iç kontrol sistemi temelli bir oluşumdur. Bunun da temelinde bireysel hatalardan kaynaklandığı düşünülen riskleri-fiziksel tehditleri kontrol faaliyetleri aracılığıyla önlemek ve etkisini azaltmak düşüncesi yani risk odaklı faaliyetler vardır. Zamanla değişen risk algılaması risklerin sadece bireysel hatalardan değil, işletme stratejilerinden ve iç ve dış ortamdan kaynaklanabileceğini

45

ve risklerin fırsatları da içerdiği gerçeğinin kabulünü sağlamıştır. Bu kabul KRY’nin de temelini oluşturur.

Risk odaklı faaliyetlerin temelinde fiziksel tehditler varken geleneksel risk yönetimi yaklaşımının temelinde kurumu ilgilendiren bütün tehlikeler-tehditler yer almaktadır. Kurumsal risk yönetiminde ise, riskler sadece tehlike-tehdit boyutuyla ele alınmamakta aynı zamanda fırsatlar açısından da değerlendirilmektedir111. Farklılaşan bu risk tutumu sonucunda risk yatıştırması yerini risk optimizasyonuna bırakmakta ve böylelikle kurum açısından daha fazla katma değer oluşturulmaktadır.

Geleneksel yaklaşımda risk sorumlulukları dağıtılır. Sorumlulukların fonksiyon bazlı dağıtılması risk yönetimi süreçlerinin ve raporlamaların kurum çapında bir bütün olarak çalışmasını engeller. Bu açığı kapatmak için kurumsal risk yönetimi, sorumlulukların dağıtılmadığı, belli bir hiyerarşi içinde uygulamaların gerçekleştirildiği ve raporlamaların KRY komitesine yapıldığı bir sistem şeklinde tasarlanmıştır112. Aynı zamanda bu yapılanma SOX (Sarbanes Oxley) çerçevesinde, risk yönetiminin sorumluluğunun üst yönetimde olması gerekliliğine de uygundur.

Geleneksel yaklaşımda risk sorumluluklarının dağıtılması bu görev dağılımının içinde yer almayan çalışanlar açısından risklere karşı bir ilgisizliğe neden olmaktadır. Bu sakıncalı durumu ortadan kaldırmak için kurumsal risk yönetimi yaklaşımında sorumluluk alanları kaldırılarak “riskler bütün çalışanların ilgi ve sorumluluk alanına dahildir” ilkesi yaygınlaştırılmaya çalışılmıştır.

Geleneksel yaklaşımda, ele alınan spesifik riskler; kendi terminolojileri, kendi risk çevirimleri içinde değerlendirilmekte, ayrı ayrı raporlanmakta ve riskler farklı risklerden izole edilmekte yani “depo risk faaliyeti” temelli çalışmaktadır. Bu tercih kurum genelinde ortak bir risk dili, raporlaması ve ortak bir risk kültürü oluşmasını engellemektedir113. Depo temelli risk yönetimi geçmişin daha az karmaşık çevre koşullarında etkin çalışmıştır. Fakat günümüzün karmaşık, coğrafi olarak genişlemiş

111 _{Chapman Christy, “The Big Picture – Enterprise Risk Management Services”, Internal Auditor,}

June 2001, s. 33.

112 _{Banham, “Enterprising Views of Risk Management”, s. 67.}

46

kurum yapılarında ve üretici ve tüketicilerle bütünleşmenin yüksek seviyelere ulaştığı koşullarda etkinliğini yitirmiştir114.

KRY portföy yaklaşımı temelli çalışmakta ve böylelikle farklı kategorilerdeki spesifik risklere odaklanmak yerine yüksek riskli alanlara odaklanmaktadır. Portföy yaklaşımında riskler öncelikle gruplanır, gruplar kendi içinde yükselen ve düşen risklere sahip olabilir. Gruplararası karşılaştırmadan sonra, grupların etkileri dikkate alınarak, kritik riskler belirlenir ve bunlara ilişkin gerekli önlemler alınır115. Bu sayede risklerin etkisini azaltmak için tutulması gereken sermaye miktarı optimum seviyede tahmin edilebilmektedir116. Portföy yönetimi temelli çalışan KRY sayesinde işletme genelinde ortak dil kullanılmaya başlanmış ve raporlama da geleneksel risk yönetiminden farklı olarak işletme genelinde yapılır hale gelmiştir.

Geleneksel risk yönetimi sürecinde riskler tanımlanmakta, sınıflandırılmakta ve değerlendirilmektedir fakat bu bilgilerin faaliyetlere nasıl dönüştürüleceği ve kuruma nasıl değer katacağı hususu pek dikkate alınmaz117. Geleneksel yaklaşım sözkonusu faaliyetleri Kontrol-Risk Öz Değerlendirme teknikleri ve anketler aracılığıyla gerçekleştirmektedir.

Kurumsal yaklaşım da ise riskler bütün kurum çapında ve farklı risk sınıflamalarında değerlendirilip, tek bir risk yönetim biriminde sonuçları toplanarak risk raporlamasında ve risk tutumlarında birlik sağlanmaktadır. Sözkonusu faaliyetler Kontrol-Risk Öz Değerlendirme teknikleri ve anketlerin yanısıra KRY ve işletme süreçlerinin bütünleştirilmesine yönelik diğer araçları da kullanmaktadır.

Kapsam bakımından risk odaklı faaliyetler uygunluk faaliyetlerine odaklanmıştır. Geleneksel risk yönetimi ise finansal ve tehlike risklerine odaklanırken kurumsal risk yönetimi bu risklerin yanısıra operasyonel ve stratejik risklerle de ilgilenmektedir118.

114 _{Deloitte Touche Tohmatsu, Managing Business Risks, 2005, http://www.deloitte.com/growth,}

20.02.2005, s. 5.

115 _{Chapman, “The Big Picture – Enterprise Risk Management Services”, s. 32.}

116 _{Banham Russ, “Enterprising Views of Risk Management”, Journal of Accountancy, June 2004, s.}

67.

117 _{Chapman, “The Big Picture – Enterprise Risk Management Services”, s. 33.}

118 _{Banham Russ, “Fear Factor: Sarbanes-Oxley offers one more reason to tackle enterprise risk}

47

Amacı kurumun hedeflerine ulaşması sürecinde yönetim kurulu ve üst yönetime yardım etmek olan iç denetim birimi açısından risklerin kurum çapında ele alınıp değerlendirmesi önemlidir ve bu yüzden KRY tercih nedenidir119.

Risk sınıflandırmaları ve risk tutumlarının değişimi denetçi yeterliliklerinin değişmesine neden olmuştur. Geleneksel denetimde denetçinin muhasebe bilgisine sahip olması yeterliyken artık muhasebe bilgisine ek olarak stratejik planlama, süreç yapılanması, pazarlama ve hatta bilgi işlem teknolojileri bilgisine sahip denetçilere ihtiyaç duyulmaktadır120.

Genel olarak karşılaştırılan bu sistemlerin vizyonları ise kurum kaynaklarının korunması sürecinden kurum itibarının iyileştirilmesine kaymıştır. Kuşkusuz bu durum sisteme yön verenler açısından da farklılık göstermektedir. Risk odaklı faaliyetler dış tehditlere göre şekillenirken kurumsal risk yönetimi ise pay sahipleri, CEO ve risk yönetim müdürünün beklentileri doğrultusunda şekillenir.