T.C.
İSTANBUL TİCARET ÜNİVERSİTESİ
SOSYAL BİLİMLER ENSTİTÜSÜ
MUHASEBE VE DENETİM ANABİLİM DALI MUHASEBE VE DENETİM DOKTORA PROGRAMI
Yerel Yönetimlerde Kurumsal Risk Yönetimi Uygulamalarının Analitik Hiyerarşi Süreci (AHP) Modeli ile İncelenmesi: İstanbul Büyükşehir Belediyesi (İBB) Örneği
Doktora Tezi
Gencay KARAKAYA
1000 17786
T.C.
İSTANBUL TİCARET ÜNİVERSİTESİ
SOSYAL BİLİMLER ENSTİTÜSÜ
MUHASEBE VE DENETİM ANABİLİM DALI MUHASEBE VE DENETİM DOKTORA PROGRAMI
Yerel Yönetimlerde Kurumsal Risk Yönetimi Uygulamalarının Analitik Hiyerarşi Süreci (AHP) Modeli ile İncelenmesi: İstanbul Büyükşehir Belediyesi (İBB) Örneği
Doktora Tezi
Gencay KARAKAYA
1000 17786
Tez Danışmanı: Prof. Dr. Hasan TÜREDİ
iii
Hazırlamış olduğum tez özgün bir çalışma olup YÖK ve İTİCÜ Lisansüstü Yönetmeliklerine uygun olarak hazırlanmıştır. Ayrıca, bu çalışmayı yaparken bilimsel etik kurallarına tamamıyla uyduğumu; yararlandığım tüm kaynakları gösterdiğimi ve hiçbir kaynaktan yaptığım ayrıntılı alıntı olmadığını beyan ederim. Bu tezin ihtiva ettiği tüm hususlar şahsi görüşüm olup İstanbul Ticaret Üniversitesinin resmi görüşünü yansıtmamaktadır.
iv
Özet
Yerel yönetimler; vatandaşların/paydaşların ihtiyaçlarına bağlı olarak taleplerinin artması ve çeşitlenmesinden kaynaklı olarak önemi ve görevi giderek artan kurumlardır. Söz konusu taleplerin artması ile birlikte aynı hızda artan bir talep karşılama ve hizmet aktarma mecburiyetinin oluşması, yerel yönetimlere özgü bir durumun doğmasına sebep olmuştur. Bu durum; merkezi idareden yerel idareye doğru kayan bir yetki ve sorumluluk mekanizmasının oluşmasıdır.
Bununla birlikte yerel yönetimler; amaç ve hedeflerine ulaşabilmeleri için etkin risk yönetim süreçlerini tesis etmelidirler. Kurumsal risk yönetimi (KRY), yerel yönetimler özelinde gittikçe artan ve karmaşık hale gelen risk yönetim süreçlerine sistematik, akademik ve analitik çözümler getirmektedir. Çalışma dâhilinde işlenmek istenilen KRY süreci, ortaya çıkışı ve işleyişi bakımından; iç denetim, iç kontrol ve kurumsal yönetim uygulamalarının birer asli unsuru olarak değerlendirilmektedir. Çalışmanın başlangıcından sona ermesine kadar geçilecek tüm evrelerde bu hususlar her zaman göz önünde tutulmuştur.
Çalışmanın uygulama kısmında ise, sosyal bilimlerde son dönemlerde daha çok kullanılmaya başlanan Analitik Hiyerarşi Süreci (Analytic Hierarchy Process - AHP) modeli tercih edilmiştir. Bunun nedeni analitik ve sistematik bir süreç olan kurumsal risk yönetimini; yine akademik, analitik ve sistematik bir model olan analitik hiyerarşi süreci ile değerlendirmektir. Çalışmada analitik hiyerarşi sürecinin var olan temel boyutlarına ek olarak geliştirilen, özgün katkılar da sunulacaktır. Bu anlamda metodun bundan sonraki kullanımları için de katkı sağlayacağı düşünülmektedir.
Araştırmanın örneklemini, İstanbul Büyükşehir Belediyesinde iç denetim, iç kontrol ve KRY yapılarının kuruluşu ve işleyişinde aktif görev almış; daire başkanları, başkan yardımcıları, müdürler, müdür yardımcıları, denetçiler oluşturmaktadır. Söz konusu örneklem kümesi tespit edilirken yargısal örnekleme yoluna başvurulmuştur. Veri toplama yöntemi olarak da derinlemesine mülakat tekniği uygulanmıştır.
Söz konusu modelin uygulanması noktasında İBB’ nin tercih edilmesinin sebebi; müstakil olarak iç denetim biriminin etkin ve verimli çalışması, iç kontrol yapısının mevcut ve işler olması, KRY’ye ilişkin bir bilinç ve bazı çalışmaların olması, kurumsal yapısı, büyüklüğü, hizmet alanı bakımından risklerin çeşitliliği ve sayısı nedeniyledir.
Anahtar Kelimeler: Yerel Yönetimler, İç kontrol, COSO, İç Denetim, Kurumsal Yönetim, Risk Yönetimi,
v
Abstract
Local governments are institutions the importance and work of which gradually increases resulting from the increase and variation of the demands depending on the needs of the citizens/partners. The emergence of the requirement of meeting the demands and giving service, which increase at an equal rate with the increase of the relevant demands, has caused the emergence of a situation that is specific to the local governments. That situation is the growth of an authority and responsibility mechanism, which moves from the central government to local government.
On the other hand, the local governments should establish effective risk management processes to achieve their aims and goals. Enterprise risk management (ERM) offers systematic, academic and analytic solutions for the risk management processes, which gradually increase and gets complicated as specific to local governments. The ERM process, which is wanted to be handled within the scope of the study, is evaluated as an essential component of the practices of internal audit, internal control and corporate governance in terms of its emergence and operation. Those points are always taken into account in all the stages since the beginning of the study till the end.
For the practice of the study, Analytical Hierarchy Process (AHP) model, which is used only in a few studies of social sciences, has been preferred. That is because to evaluate the enterprise risk management, which is an analytic and systematic process, with analytic hierarchy, which is also an academic, analytic and systematic model. In this study; there will be also presented original contributions which have been developed in addition to the basic dimensions of the analytic hierarchy process. In that sense, it is predicted that it will also contribute for the next use of the method.
Head of departments, vice chairmen, managers, assistant managers and auditors, who took active charge at internal audit, internal control and ERM structures’ foundation and running in Istanbul Metropolitan Municipality (IMM), constitute the sample of the research. Judgment sampling method has been used while identifying the relevant sample set. As the data collection method, depth interview technique has been applied.
The reason why IMM was preferred for the practice of the relevant model is because of that its internal audit unit is independently working effective and efficiently, its internal control structure is available and functioning, it has awareness and some works about ERM, its organizational structure, its largeness, and the diversity and the number of the risks in terms of its service area.
Key Words: Local governments, Internal Control, COSO, Internal Audit, Corporate governance, Risk Management, Enterprise risk management, Analytical Hierarchy Process, Istanbul Metropolitan Municipality (IMM)
vi İÇİNDEKİLER Özet ... iv Abstract ... v İÇİNDEKİLER ... vi TABLO LİSTESİ ... x ŞEKİL LİSTESİ ... xi KISALTMALAR ... xii 1. GİRİŞ ... 1
2. RİSK KAVRAMI, RİSK YÖNETİM SÜRECİ, KURUMSAL RİSK YÖNETİMİ KAVRAMI, SİSTEMİ, UNSURLARI ve KAPSAMI ... 6
2.1. Risk Kavramı, Genel Çerçeve ve Kapsam... 6
2.2. Yerel Yönetimler İçin Öngörülen Risk Çerçevesi ... 10
2.2.1. Sosyal Riskler ... 12
2.2.2. Politik Riskler ... 12
2.2.3. Genel Yönetsel Riskler ... 13
2.2.4. Finansal Riskler ... 13
2.2.5. Stratejik Riskler... 14
2.2.6. Çevresel Riskler ve Doğal Afetler ... 15
2.2.7. Hizmet Alanlarına ilişkin Faaliyet Riskleri ... 16
2.2.8. Mevzuatlara Uyum ... 17
2.2.9. Bilgi ve Bilişim Teknolojilerine İlişkin Riskler ... 17
2.3. Risk Yönetimi Kavramı ve Kapsamı... 18
2.3.1. Risk Yönetiminin Tarihsel Gelişim Süreci ... 21
2.3.2. Risk Yönetiminin Unsurları ... 23
2.3.3. Risk Yönetimi Süreci ... 24
2.3.4. Risk Yönetimi İhtiyacı ... 25
2.4. Kurumsal Risk Yönetimine (KRY) Geçiş Süreci ve Gerekçeleri ... 26
2.5. Kurumsal Risk Yönetimi Kavramı, Önemi ve Genel Çerçevesi ... 28
2.5.1. Kurumsal Risk Yönetimi İhtiyacı, Faydaları ve Sınırları ... 32
2.6. KRY’ nin Bileşenleri (Boyutları) ve Güncellemeler ... 37
2.6.1. COSO Kurumsal Risk Yönetiminin Temel Boyutları ... 38
2.6.1.1. İç Ortam ... 39
vii 2.6.1.1.2. Risk İştahı ... 40 2.6.1.1.3. Yönetim Kurulu ... 41 2.6.1.1.4. Etik Değerler ... 41 2.6.1.1.5. Organizasyon Yapısı ... 41 2.6.1.2. Hedef/Amaç Belirleme ... 42
2.6.1.3. Olay Tanımlama/ Belirleme ... 43
2.6.1.4. Risk Değerlendirme ... 45
2.6.1.5. Risk Yanıtı/ Risk Tutumu ... 46
2.6.1.5.1. Kaçınma ... 48 2.6.1.5.2. Azaltma ... 48 2.6.1.5.3. Paylaşma ... 49 2.6.1.5.4. Kabul ... 49 2.6.1.6. Kontrol Faaliyetleri ... 49 2.6.1.7. Bilgi ve İletişim ... 50 2.6.1.8. İzleme ... 54
2.6.2. COSO Kurumsal Risk Yönetimi-Riskin Strateji ve Performansla Uyumlaştırılması (Enterprise Risk Management—Aligning Risk with Strategy and Performance) ... 54
2.6.2.1. Yeni Bir Düzenleme Neden Gerekli? ... 54
2.6.2.1.1. Yönetişim ve Kültür ... 58
2.6.2.1.1.1. Yönetim Kurulunun Risk Gözetimini Uygulaması ... 60
2.6.2.1.1.2. Operasyonel Yapının Oluşturulması ... 60
2.6.2.1.1.3. İstenen/Arzu Edilen Kültür Yapısının Tanımlanması ... 61
2.6.2.1.1.4. Temel Değerlere Olan Bağlılığı Gösterme ... 61
2.6.2.1.1.5. Kabiliyetli Personeli Kazanma, Geliştirme ve Elde Tutma ... 61
2.6.2.1.2. Strateji ve Hedef Belirleme ... 62
2.6.2.1.2.1. İş Ortamını/İçeriğini Analiz Etme ... 62
2.6.2.1.2.2. Risk İştahının Tanımlanması/Belirlenmesi ... 63
2.6.2.1.2.3. Alternatif Stratejileri Değerlendirme ... 63
2.6.2.1.2.4. İş Hedeflerini Oluşturma ... 63
2.6.2.1.3. Performans ... 63
2.6.2.1.3.1. Risklerin Tanımlanması/Belirlenmesi ... 64
2.6.2.1.3.2. Risk Şiddetlerinin Değerlendirilmesi ... 64
2.6.2.1.3.3. Risklerin Önceliklendirilmesi/Derecelendirilmesi ... 64
viii
2.6.2.1.3.5. Bütüncül ve Geniş Bir Akış Açısının Geliştirilmesi ... 65
2.6.2.1.4. Gözden Geçirme ve Düzenleme ... 65
2.6.2.1.4.1. Önemli/Yapısal Değişiklikleri Değerlendirme ... 65
2.6.2.1.4.2. Risk ve Performansı Gözden Geçirme ... 66
2.6.2.1.4.3. KRY İle İlgili Gelişim/Değişimleri Takip Etme ... 66
2.6.2.1.5. Bilgi, İletişim ve Raporlama ... 66
2.6.2.1.5.1. Bilgi Yönetim Sisteminin Güçlendirilmesi ... 66
2.6.2.1.5.2. Riske İlişkin Bilginin İletilmesi/Paylaşılması ... 67
2.6.2.1.5.3. Risk, Risk Kültürü ve Performans İle İlgili Raporlama Yapmak ... 67
2.6.3. Kamu İdarelerinde Kurumsal Risk Yönetimi Uygulamalarının Hukuki Dayanağı ve Kapsamı ... 68
2.6.3.1. 5018 Sayılı Kanun Kapsamında Risk Yönetimi ve KRY Değerlendirmesi ... 69
2.7. KRY ve Diğer Yönetim Anlayışları Arasındaki (İç Denetim, Kurumsal Yönetim ve İç Kontrol) Temel İlişkiler ... 70
2.7.1. İç Denetim ve KRY İlişkisi ... 71
2.7.2. Kurumsal Yönetim ve KRY ... 77
2.7.3. İç Kontrol ve KRY ... 80
3. YEREL YÖNETİMLER, GENEL ÇERÇEVE, İLKELER VE KAPSAMI ... 82
3.1. Yerel Yönetim Kavramı, Kapsam ve Genel Çerçeve ... 82
3.2. Yerel Yönetimler Kavramı ... 82
3.2.1. İl Özel İdareleri ... 84
3.2.2. Köyler ... 86
3.2.3. Belediyeler ... 87
3.2.3.1. Belediyeler ve Kurumsal Risk Yönetimi ... 89
4. ANALİTİK HİYERARŞİ SÜRECİ/PROSESİ (AHP) HAKKINDA GENEL BİLGİLER, İŞLEYİŞİ VE TEMEL MANTIĞI ... 94
4.1. Çok Kriterli Karar Verme Modeli: AHP (Analytic Hierarchy Process) ... 94
4.2. AHP Modelinin İşleyişi ve Temel Mantığı ... 99
5. YEREL YÖNETİMLERDE KURUMSAL RİSK YÖNETİMİ UYGULAMALARININ ANALİTİK HİYERARŞİ SÜRECİ (AHP) MODELİ İLE İNCELENMESİ KONUSUNDA BİR ALAN ARAŞTIRMASI: İSTANBUL BÜYÜKŞEHİR BELEDİYESİ (İBB) ÖRNEĞİ ... 101
5.1. Çalışmanın Amacı ve Konusu ... 101
5.2. Hipotezler ... 102
5.3. Hedef Çalışma Evreni ... 103
ix
5.5. Analiz Süreci ve Adımları ... 105
5.6. Araştırmaya İlişkin Ulaşılan Temel Bulgular ... 120
5.6.1. AHP Matrislerinin Analizi, Bulgular ve Yorumlar ... 121
5.6.2. Kriter Matrislerinin Analizi ve Bulgular ... 133
5.6.3. Risk Matrislerinin Analizi ve Bulgular ... 136
5.6.4. AHP, Kriter ve Risk Matrislerini Kapsayan Nihai Analiz Sonuçları ... 139
5.7. Sonuç ve Öneriler ... 146
KAYNAKÇA ... 165
x
TABLO LİSTESİ
Tablo 1 - Önem Ölçeği ... 99
Tablo 2 - RI Değerleri Tablosu ... 100
Tablo 3 -İtibar Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 122
Tablo 4 - Hizmet Kalitesi Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 122
Tablo 5 - Şeffaflık/ Saydamlık/Hesap Verebilirlik Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 123
Tablo 6 - Kurumsallaşma Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 123
Tablo 7 - Ulusal/Uluslararası Liderlik Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 124
Tablo 8 - Etkinlik ve Verimlilik Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 124
Tablo 9 - Mali Yapı Kriteri Bakımından AHP Skor Matrisi Sonuçları ... 125
Tablo 10 - AHP Skorları Özet Tablosu ... 126
Tablo 11 - Kriter Matrisi Örneği ... 134
Tablo 12 - Kriter Matrisi Ağırlıkları Tablosu ... 134
Tablo 13 - Risk Matrisi Örneği ... 137
Tablo 14 - Risk Matrisi Değerleri ... 137
Tablo 15 - Risk Matrisi Sonuçları ... 138
Tablo 16 - İBB Sonuç Risk Tablosu ... 140
xi
ŞEKİL LİSTESİ
Şekil 1: KRY'nin Literatürdeki Temsili Yeri ... 3
Şekil 2-KRY’ de Amaç ve Bileşenlerin İlişkisi ... 39
Şekil 3 - KRY’ de Bilgi Akış Şeması ... 53
Şekil 4 - KRY Sarmalı ... 57
Şekil 5 - KRY Bileşenleri ... 58
Şekil 6 - İç Denetimin KRY’deki Rolü ... 74
Şekil 7 - AHP Hiyerarşi Yapısı Örneği ... 96
Şekil 8 - AHP Skor Matrisi Sonuç Grafiği ... 128
Şekil 9 - Kriter Matrisi Sonuç Grafiği ... 135
Şekil 10- Risk Matrisi Sonuç Grafiği ... 138
xii
KISALTMALAR
AB: Avrupa Birliği
AHP: Analitik Hiyerarşi Prosesi
BDDK: Bankacılık Düzenleme ve Denetleme Kurulu CI: (Consistency Indeks) - Tutarlılık indeksi
COSO: Committee of Sponsoring Organizations of the Treadway Commission CR: (Consistency Rate) - Tutarlılık oranı
İBB: İstanbul Büyükşehir Belediyesi İMKB: İstanbul Menkul Kıymetler Borsası IIA: The Institute of Internal Auditors KGK: Kamu Gözetim Kurumu KRY: Kurumsal Risk Yönetimi RI: Rassallık İndeksi
SPK: Sermaye Piyasası Kurulu
SWOT: The Strengths, Weaknesses, Opportunities, and Threats TTK: Türk Ticaret Kanunu
TÜSİAD: Türkiye Sanayici ve İş Adamları Derneği YK: Yönetim Kurulu
1
1. GİRİŞ
Yerel yönetimler görev ve yetkileri bakımından kamu kurum ve kuruluşları içerisinde ki önemi giderek artan birimlerdir. Söz konusu gelişme yerel yönetimlerin diğer kamu kuruluşlarına göre daha fazla “vatandaş” ve daha fazla “hizmet” odaklı olmasından kaynaklanmaktadır. Hizmette halka yakın olma anlayışı, vatandaşa sunulan hizmetlerin giderek merkezi idareden yerel yönetimlere kaymasına neden olmuştur (Ünlü, 2016: 63).
Çalışmaya başlarken şu şekilde bir konumlandırma gerekli görülmektedir. Yerel yönetimler, salt belediyelerden oluşmazlar. İl özel idareleri, belediyeler ve köy idareleri yerel yönetimlerin kapsamında bulunan kurumlardır. Fakat çalışma ile olan ilişkisi nedeniyle belediyeler odak nokta olarak alınmıştır.
Yerel yönetimler ile ilgili müstakil bölümde (3.Bölüm) hem il özel idarelerine hem de köy idarelerine genel hatlarıyla değinilmiştir.
Ancak belediyeler hem çalışmanın evreni olması açısından hem de vatandaşla olan yakın ilişkisi nedeniyle görece olarak daha detaylı şekilde işlenecektir. Zikredilen özellikleri nedeniyle yerel yönetimler, entegre ve kapsamlı bir Kurumsal Risk Yönetim (KRY) sürecine ihtiyaç duymaktadırlar. Bundan sonra yerel yönetim ifadesi ile belediye idarelerinin kastedildiğini belirtmekte fayda görülmektedir. Yerel yönetimlerin ilgili faaliyet ve hizmet alanlarının nihai amacı, vatandaşlarına ihtiyaçları doğrultusunda hizmet sunmaktadır. Öyle ki söz konusu hizmetlerin sürekliliği, ihtiyaca uygunluğu, zamanı gibi birçok etken – kati olmamakla birlikte - ileriki dönemlerde “oy/tercih” olarak geri kazanılabilecektir.
Diğer kamu kurumlarına nazaran temsilde ve yetkide değişim ihtimalinin en yüksek olduğu alan yerel yönetimlerdir. Çünkü belirli dönemler halinde gerçekleştirilen seçim mekanizması mevcuttur. Bu noktada yetkililerin tümü -bireysel ya da teşkilatlı bir şekilde- yeni ve katma değerli hizmetler ile bir sonra ki dönem/dönemlerde de yönetime talip olabilecektir.
2
Tüm bunlarla birlikte, artan nüfus ve eğitim seviyesine bağlı olarak değişen hizmet taleplerinin çeşidi, büyüklüğü, süresi, yeri gibi birçok etken; yerel yönetimleri belirli konularda dışsal destek almaya mecbur bırakmaktadır. Bahsedilen konu yerel yönetimler ve özel sektör birlikteliğidir.
Bu süreç zamanla isteğe bağlı olmaktan çıkıp zaruret halini almıştır. Özel sektör kuruluşları yerel yönetimler için çözüm ortakları haline gelmiştir. “Vatandaş odaklı yaklaşım” kamu yönetimine; özel sektör kuruluşlarının yönetiminin araçlarından faydalanmak suretiyle, ilgili hizmetlerin iyileştirilmesine katkı sağlayarak, vatandaşa etkin ve faydalı hizmetler sunmaktadır (Türkyılmaz, 2013: 49).
Söz konusu birliktelik, yerel yönetimler için; işlemlerin kurallarına göre yürütülmesi ile birlikte, hedeflerin ve önceliklerin belirlenmesi, uygulama planlarının hazırlanması, etkin ve verimli kaynak kullanımının tesis edilmesi, risk yönetimi gibi fonksiyonları da beraberinde getirmiştir (Önal, 2012: 17).
Bu yönüyle “yerel yönetimler” sadece kamu yönetimi ve bağlı bilimlerin değil, akademik anlamda sosyal bilimlerin genelinde kullanılmayı bekleyen büyük bir zenginliktir. Muhasebe ve denetim alanında yapılan bu çalışmanın; söz konusu eksikliği bir nebze olsun giderebileceği düşünülmektedir.
Çeşitlenerek artan toplumsal ihtiyaçlar, talepler yerel yönetimler için de artan sorumluluklar, sorunlar ve riskler demektir. Bu konu ile ilgili olarak artan kurumsal çalışmalar ve araştırmalar bu meselenin aslında ne kadar önemli olduğunun da göstergesidir. “Risk” unsurunun varlığı “Amaç” kavramının varlığı ile birlikte doğar ve devam eder. Yerel yönetimler tam bu noktada amaçlarına ulaşmalarının önündeki tüm riskleri -makul güvence seviyesinde- tespit edebilmeli ve yönetebilmelidirler. Kar amacı güden kurumlarda yapılacak risk derecelendirme ve önceliklendirme süreçlerinde, genel tercihin büyük oranda mali risklerden yana olabileceği bir gerçektir. Ancak yerel yönetimler için ilk etapta böyle bir kanaat belirtme imkânı yoktur.
Çünkü risklerin çeşitleri, boyutları, etkisi ve sonuçlarına bağlı olarak çok farklı tercihler yapılabilir. Çalışmada uygulama alanı olarak yerel yönetimlerin seçilmesinin temelde nedeni de tam olarak budur.
3
Muhasebe ve denetim alanında yapılan bu çalışma; bu itibarla yeni ve ufuk açıcı bir başlangıç olabilir. Çalışmada; yerel yönetimlerde KRY ile ilgili yaptığımız/yapmayı düşündüğümüz tüm süreçlerde başta iç denetim olmak üzere, iç kontrol ve kurumsal yönetim ilkeleri odak noktasına alınarak hareket edilmiştir.
Uygulama evreninin (yerel yönetimler) alışılmışın dışında olması bilinçli bir tercihtir. Yeni bir alanda muhasebe biliminin parametreleri ile daha disiplinler arası ve daha geniş çaplı sonuçlar alabilme gayretindeyiz. Muhasebe biliminin temel çalışma konularından olan ve çalışmanın temelini oluşturan KRY’ nin bilimsel kaynaklarda ki yeri şu şekilde ifade edilebilir;
Şekil 1: KRY'nin Literatürdeki Temsili Yeri
Uygulamanın yapıldığı kurumda görüşme yapılan kişilerin tamamı; kurumun KRY yapısı, iç denetim ve iç kontrol yapıları ile birinci dereceden ilgili, etkili ve karar verebilme kabiliyetinde olan görevlilerdir. Gerek kurumdaki pozisyonları gerekse de eğitim geçmişleri bu anlamda güvenilir bilgiler alınabilmesi konusunda kuvvetli ipuçları vermektedir.
Riskler; kurumun, işletmenin, amaçlarını gerçekleştirmeleri önünde bulunan en büyük engeldir. Bu engel belirli yönleri ile yönetilmelidir. Önemi ve sorumluluk alanı giderek artan yerel yönetimlerin de, toplumsal ihtiyaçları karşılayabilme ve
İç Denetim Kurumsal Yönetim Kurumsal Risk Yönetimi İç Kontrol
4
varlığını devam ettirebilme (tekrar seçilebilme) kabiliyetleri büyük ölçüde risk yönetim süreçlerine bağlıdır.
Geleneksel risk yönetim anlayışına bağlı teknikler, bu kadar büyük ve hızlı ilerleyen süreçler için yetersiz kalabilir. Bunun için daha proaktif, daha gerçekçi, daha analitik, daha objektif bir süreç olan Kurumsal Risk Yönetimi (KRY) süreci zaruri hale gelmiştir.
Bu çerçeve içerisinde ilk bölüm olan giriş kısmından sonra ikinci bölümde genel hatları ile risk kavramı, risk yönetimi kavramları üzerinde durulmuştur. Ana hatları ile yapılacak açıklamaların aynı zamanda Kurumsal Risk Yönetimi kavramı hususunda da temel bilgiler vereceği düşünülmektedir. Bu noktadan sonra KRY ile ilgili çok detaylı ve derinlemesine açıklamalar yapılmıştır.
KRY’nin temel sorunsalı, çözüm önerileri, avantaj ve dezavantajları, unsurları tüm hatları ile aktarılmıştır. Daha önce de ifade edildiği üzere, tüm bu süreçlerin işletilmesi esnasında, iç denetim, iç kontrol ve kurumsal yönetim anlayışları her zaman odak noktasında yer almıştır.
Üçüncü bölüm dâhilinde; yerel yönetimler, genel çerçeve, ilkeler ve kapsamı üzerinde durulmuştur. Bu bölümde aktarılan bilgiler çalışmanın kapsamı gereği çok temel düzeyde olacaktır. Yerel yönetimler hakkında asgari bilgilerin aktarılması sayesinde, kurumsal risk yönetiminin ilgili birimler için neden ihtiyaç olduğu fikrinin desteklenmesi düşünülmektedir.
Dördüncü bölüm dâhilinde; çalışmanın en özgün kısmı olan analitik hiyerarşi süreci (AHP) hakkında genel bilgiler, işleyişi ve kapsamı hakkında bilgiler verilmiştir. Söz konusu model özellikle muhasebe alanında bu denli derinlemesine incelenmesi ve uygulanması noktasında ilklerden olmuştur.
Beşinci bölüm dâhilinde; çalışmanın uygulama kısmı aktarılmıştır. Çalışma evreninde yargısal örneklem metodu kullanılarak seçilen ve risk yönetimi, iç kontrol, iç denetim faaliyetleri ile doğrudan ilgili olan kişilerin dolduracağı matrisler sunulmuştur. Bununla birlikte her bir matris kendi içerisinde müstakil analizlere tabi tutulmuş ve yorumlar yapılmıştır. İlgili bölümde detaylı olarak anlatılan analizler ve yorumlar, risklere karşı gerçekleştirilecek aksiyon türlerine karar verilmesi yönünde
5
katkı sağlayacaktır. Teorik olarak işleyen bir sistemin pratikte ne gibi sonuçlar vereceği izlenmiştir. Yine aynı bölümde, çalışmada elde edilen temel bulgular aktarılmış, çeşitli öneriler oluşturulmuş ve ilgililerin takdirine sunulmuştur.
6
2. RİSK KAVRAMI, RİSK YÖNETİM SÜRECİ, KURUMSAL RİSK YÖNETİMİ KAVRAMI, SİSTEMİ, UNSURLARI ve KAPSAMI
Bu bölümde genel hatları ile risk kavramı, risk yönetimi kavramları üzerinde durulmuştur. Ana hatları ile yapılacak açıklamaların aynı zamanda Kurumsal Risk Yönetimi kavramı hususunda da temel bilgiler verilmiştir. Bu noktadan sonra KRY ile ilgili çok detaylı ve derinlemesine açıklamalar yapılmıştır.
KRY’nin temel sorunsalı, çözüm önerileri, avantaj ve dezavantajları, unsurları tüm hatları ile aktarılmıştır. Daha önce de ifade edildiği üzere, tüm bu süreçlerin işletilmesi esnasında, iç denetim, iç kontrol ve kurumsal yönetim anlayışları her zaman odak noktasında yer almıştır.
2.1. Risk Kavramı, Genel Çerçeve ve Kapsam
Risk kavramı, muhatapları ve ilgileri tarafından tanınmakla birlikte maalesef yeterince bilinmemektedir. Bunun temel sebebi ise risklerin mobilitesinin (hareketliliğinin), türlerinin ve değişkenliğinin fazla olmasıdır. Bu yönüyle başlı başına bir uzmanlık alanın ortaya çıkmasına neden olmuştur. Birçok kurumsal yapının içerisinde müstakil risk birimlerinin oluşmaya başlamasının sebebi de tam olarak budur.
Risk iç ya da dış kaynaklı olarak ortaya çıkabilen, hedeflere ulaşılmasını engelleyen, kötü yönetime, müşteri-vatandaş memnuniyetsizliğine, mali, varlık ve saygınlık kaybına ve yolsuzluğa sebep olan durumlardır (Cameron, 2004: 2).
Kurumlarda geleneksel idarecilikten kurumsal yöneticiliğe evirilme sürecinde temel dinamiklerden birisi de risk kavramı ve ona karşı geliştirilmiş aksiyonların varlığıdır. Bahsedilen yeni anlayış, riskleri kurumun asli bir unsuru ve doğal bir sonucu olarak görmekte ve bu eksende faaliyetler belirleme hususunda yeni bakış açıları sunmaktadır. Söz konusu uygulamaların tatbiki hususu artık tercihe bırakılmamakta, genel kabul görmüş ve kapsayıcılığı olan kurallar vasıtasıyla icrası istenmektedir. İlerleyen kısımlarda detaylı olarak anlatılacak olan ve alanında büyük bir devrim niteliği taşıyan 1 Temmuz 2012 tarihli TTK (Türk Ticaret Kanunu) ve beraberinde getirdiği yükümlülükler ülkemizde bu kapsamda bir ilk olma özelliği taşımaktadır.
7
İşletmelerde riskin erken saptanması komitesi ve sisteminin kurulması gerekliliği, Türkiye’de risk yönetimi konusunda önemli bir farkındalık oluşmasına katkı sağlayacaktır.
Buna ek olarak 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunun kabulü ile risk algısı sadece özel sektör kuruluşlarında değil, tüm kamu yönetimini de kapsayacak şekilde uygulanmaya başlamıştır. Bu kanun ile kamu idareleri de faaliyetleri kapsamında risk ve risk yönetimi süreçlerine önem vermeye başlamışlardır. Uluslararası arenada ise bu tarz düzenlemelerin başında COSO İç Kontrol Çerçevesi (1992) ve Sarbanes Oxley Kanunu (2002) gelmektedir. Her bir düzenleme kendi alanında ve ilgili tüm çevrelerde kabul gören ve uygulama noktasında referans olan düzenlemelerdir.
Risk kavramının beslendiği temel kaynak belirsizliklerdir. Beklenmeyen olaylar belirsizlik olarak ifade edilmekte; risk ise belirsizliklerin ölçülebilir hale getirilmesi olarak değerlendirilmektedir (Holton, 2004: 20). Teknolojinin işletme faaliyetlerinin neredeyse tamamına nüfuz etmesi, uluslararası faaliyet hacminin giderek artması, iletişim kanallarındaki gelişmeler ve bilgiye erişim olanaklarının artışının sonucu olarak işletmelerin maruz kaldıkları riskler çeşitlenmiştir (Türedi ve Koban, 2016:156).
Bununla birlikte zamana dayalı olan boyut, risklerin geleceğe yönelik olmasıdır. Risklerin temel hedefi de işletme amaçlarının gerçekleşmesine engel olmaktır. Aynı anda üç farklı( belirsizlikler, zaman ve hedeflere yönelik olması) boyutta karşımıza çıkabilecek olan riskler çok büyük oranda tehdit başlığı altında değerlendirilmektedir. Ancak bazı durumlarda risklere yönelik oluşturulan programlar, işletmeler açısından fırsat olarak da karşımıza çıkabilmektedir.
Bu temel bilgiler de dikkat alarak denilebilir ki (Smith ve Merritt, 2002: 5);
i. Risk, şirketin hedeflerinin gerçekleştirilmesini engelleyebilecek her türlü olaydır,
ii. Riskler oluşma sıklıklarına ve yaratabilecekleri hasara göre ölçülürler ve uygun iç kontrol önlemleriyle minimize edilirler,
iii. Risk yönetimi, her türlü riskin tanımlanması, ölçülmesi ve giderilmesini kapsayan bir yönetim uygulamasıdır.
8
Genel anlamda risk; boyutları ve etkisi dikkate alındığında; gerçekleşme sıklığı ve gerçekleştiği anda ortaya çıkaracağı şiddet ya da etki nispetinde değerlendirilebilmektedir. Riske karşı oluşturulacak politikalar da bu sonuç üzerinden inşa edilmektedir. Ancak giderek değişen işletme ya da organizasyonel yapılar, yeni yönetim anlayışlarını da gerekli kılmaktadır.
Bütüncül, yapısal, önleyici ve teknolojik önlemler seti hazırlanması, rekabetin giderek arttığı piyasa şartlarında önemi giderek artan konulardan olmaktadır. Bu nedenle, söz konusu risklerin doğru bir şekilde tanımlanarak, analiz edilerek, gerekli kaynaklar aktarılarak etkilerinin azaltılması gerekmektedir (Bozkurt, 2010: 18). Riskler oluşma ve ortaya çıkma kaynakları bakımından iki farklı alanda karşımıza çıkabilmektedir. Bunlar kurum içi ve kurum dışı risklerdir. Kurum içinden kaynaklanan riskler daha çok işletmenin kendi faaliyet süreçleri ile ilgili olacakken, kurum dışı riskler daha çeşitli ve farklı şekillerde karşımıza çıkabilmektedir. Bu anlamda risklere karşı belirlenecek tutumlar da o denli farklı ve ihtiyaca uygun olmak zorundadır.
Risk kavramına ilişkin genel bir çerçeve oluşturmak adına tanımlanması gereken diğer bir kısımda risk olgusuna bağlı olarak gelişen kavramlardır. Çalışmada da belirli bölümlerde yeri geldikçe kullanılacak olan bu kavramlar şu şekilde belirlenmiştir;
Risk İştahı Risk Toleransı Risk Kapasitesi Risk Zekâsı
Kalıtsal Risk ( Yapısal Risk) Artık Risk
9
Risk İştahı:
Risk İştahı; kurumun birimleri arasında ayrım gözetmeksizin tamamı için kullanılan bir kavramdır. Bu yönüyle referans alınan noktalar kurumun misyon ve vizyonudur. Yerel yönetimler açısından da düşünürsek genel olarak vatandaşların ihtiyaçlarının karşılanması yolu ile sosyal refahı tesis etmektir. Risk iştahı, kurumun misyon ve vizyonu doğrultusunda kabul edebileceği geniş kapsamlı risk miktarını ifade eder (Bozkurt, 2010: 17).
Söz konusu miktar kurumun herhangi bir risk türüne ya da herhangi bir zamanda karşılaşabileceği riskler için değil, bir politika olarak kabul ettiği risk alanını ifade etmektedir. Tabi ki bu seviye kurumların stratejileri ile doğrudan ilgilidir (Duran, 2013: 78). Bu anlamda belirlenecek stratejilerin misyon ve vizyon ile çelişmemesi beklenmektedir.
Risk Toleransı:
Risk toleransı, kavram ve anlam boyutu açısında risk iştahı ile benzerlikler göstermektedir. Çoğu zaman birbirleri yerine de kullanılmaktadır. Fakat bu kullanım yanlış çıkarımlara sebep olabilecektir. Farklı olan boyut ise risk iştahı ile risk toleransı arasında ki kapsam farklılığıdır.
Risk iştahı genel olarak işletmenin tüm birimlerinde kabul görmüş bir alan iken, risk toleransı ilgili birimler arasında farklılık gösterebilmektedir. Bu anlamda risk iştahı çerçevesi kati sınırlar ile belirlenmişken, risk toleransı ile ilgili aynı durum söz konusu olmamaktadır. Risk iştahı da risk toleransı da risk almayla ilgili çerçeveler belirtmekte kullanılır, ancak risk iştahı daha geniş kapsamlıdır (Bozkurt, 2010: 20)
Risk Kapasitesi:
Risk kapasitesi en genel ifadeyle, kurumun olası bir risk sürecini atlatabilme kapasitesini ifade eder. Kurumun risklere ilişkin olgunluk seviyesi risk kapasitesi ile birinci dereceden ilgilidir.
Risk Zekâsı:
Bu kavram, Kurumsal Risk Yönetimi anlayışının doğal sonuçlarından birisi olarak ortaya çıkmıştır. Risk zekâsı, kurumlarda çok uzun risk yönetimi süreçlerinin
10
uygulanması sonucunda oluşan ve kuruma özgü olan bir unsurdur. Risk zekâsı kuruma ait bir kültürdür.
Risk zekâsı kurumların stratejilerini belirlerken kullandığı temel kabuller arasında yer almaktadır. Bu anlamda risk zekâsı, kurumların risklerini verimli bir şekilde yönetebilmeleri adına kazanmaları gereken bir yetenek/yetkinlik olarak değerlendirilmektedir (Apgar, 2006: 3). Risk zekâsı her ne kadar bazı uygulamalar ve süreçler sonucunda oluşsa da, kurum içerisinde yazılı hale de getirilmelidir. Teamül olmaktan sıyrılıp, bireyleri ve kurumu risk konusunda bağlayan ve yaptırımı olan bir evreye dönüştürülmelidir.
Kalıtsal Risk ( Yapısal Risk):
Kalıtsal risk; kurumların ilgili sürece dair hangi önlemi almış olursa olsun, ortadan kaldırmayacağı risk türüdür. Bu noktada önlem almama ile önlem alma arasında hiçbir fark yoktur. Çünkü ilgili riske ilişkin bir değişikliği gerçekleştirmek mümkün olmamaktadır.
Artık Risk:
Artık risk; ilgililerin risk süreçlerine ilişkin alınan tüm önlemlere rağmen etkisini tam anlamıyla ortadan kaldıramadığı, artık kalan riskleri ifade eder.
Risk Kütüğü:
Risk kütüğü, kurumların risk ve risk yönetimi süreçlerine ilişkin tüm aşamaların ve bilgilerin kaydedildiği ve takip edildiği ana belgedir. Bu sayede risk süreçlerine ilişkin geçmiş tüm tecrübeler ve geleceğe yönelik faaliyetler bu belge üzerinden takip edilebilir. Riskler, türleri, boyutları, etkileri, ilgilileri, yetkilileri vb. tüm bilgiler bu belgede yer almaktadır. Bu anlamda bu kadar kapsamlı bir belgenin sürekli güncel ve dinamik olması gerekmektedir.
2.2. Yerel Yönetimler İçin Öngörülen Risk Çerçevesi
Risk kavramını ve yönetimini sadece ekonomik açıdan değerlendirmek ve bu yönde tedbirler almak olumlu sonuçlar vermeyecektir. Çalışma ile ilgisi göz önünde
11
tutulduğunda yerel yönetimler de risk kavramı ve yönetimine ilişkin çeşitli güncellemelere, yeni bakış açılarına ihtiyaç duymaktadır.
Giderek artan ve çeşitlenen toplum ihtiyaçları beraberinde de farklı beklentileri doğurmaktadır. Özellikle işletmelerin yani kar amacı güden kuruluşların riskleri açıklanmaya çalışıldığında literatürde karşılaşılan risk türleri; dış çevre riskleri,
finansal riskler, operasyonel riskler ve stratejik riskler olmak üzere dört grupta
incelenmektedir (D’Arcy ve Brogan, 2001: 2).
Çalışmanın ana çalışma evreni olan yerel yönetimlerde de bu riskler kabul edilmektedir. Ancak hizmet alanlarının fazla olması nedeniyle bu risk havuzu genişleyebilmektedir. Örneğin sosyal riskler yerel yönetimler için olmazsa olmaz risk türlerindendir. Çünkü belediye hizmetlerinde kamu menfaatleri öncelikli olarak ele alınmalıdır ( Dursun ve Elibol, 2016:2).
Gerek işletmeler için gerek akademik alan için, risk kavramı ve risk yönetimini açıklamaya ve tanımlamaya yönelik çok sayıda çalışma bulunmaktadır. Fakat kar amacı gütmeyen organizasyonlar için risk yönetimi yaklaşımına ilişkin çok az sayıda tartışma vardır (Karakaya ve Karakaya, 2017: 298).
Bu çalışma için oluşturulan ve yerel ya da küresel çapta tüm yerel yönetimlerde uygulanabileceğini düşündüğümüz ana risk kategorileri şu şekilde ifade edilebilir; Sosyal Riskler
Politik Riskler
Genel Yönetsel Riskler Finansal/Mali Riskler Stratejik Riskler
Çevresel Riskler ve Doğal Afetler
Hizmet Alanlarına ilişkin Faaliyet Riskleri Mevzuatlara Uyum
12
2.2.1. Sosyal Riskler
Risk kavramı; muhatapları ve ilgilileri bakımından çok yönlü bir özellik göstermektedir. Gelecek bölümlerde detaylı bir şekilde ifade edilecek olan yerel yönetimlerin hedef alanı çok büyük oranda vatandaş/toplum ve sosyal hayatın tanzimi ve düzenli işleyişi ile ilgilidir. Bu anlamda vatandaş memnuniyeti, sosyal ihtiyaçların azami düzeyde karşılanması yönüyle tesis edilebilir.
Devletin her alanda toplumun her kesimini koruma ve refahını sağlama gayesi “sosyal” kavramı ile bizleri tanıştırmıştır (Ünlü, 2016: 64). Gelişen ve değişen sosyal beklentiler, aynı oranda sosyal ihtiyaçların artmasına neden olmaktadır. Endüstrileşmenin artması, toplumların eğitim seviyelerinin gelişmesi, insanların teknolojinin gelişmesine bağlı olarak küresel sosyal gelişimi takip edebilmeleri, kentsel yaşam algısının gelişmesine bağlı olarak daha “şehirli” bir yaşamın gerektirdiği şartlar, bu noktada sosyal ihtiyaçları tetikleyici unsurlar olarak karşımıza çıkmaktadır. Dolayısıyla sosyal riskler, bu türden gelişmelerin birer türevidir.
Tüm bu gelişmeler, şehir yaşamı için politika belirleyicilerin sürekli göz önünde bulundurması gereken başlıklardan birisi olmaktadır. Sosyal devlet yapısının şehirde ki yetkilisi ve temsilcisi olan yerel yönetimler, söz konusu ihtiyaçlara hızlı ve kaliteli şekilde mukabele edebilmelidirler.
Yöneticiler açısından sosyal risk unsuru tam bu noktada karşımıza çıkmaktadır. Sosyal yaşamın bu denli hızlı ve yapısal halde değişmesi, yetkililer için de son derece hızlı ve yapısal kararlar almayı ve uygulamayı gerekli kılmaktadır. Bu noktada yaşanabilecek aksaklıklar yerel yönetimler adına sorunların baş göstermesine neden olabilecektir.
2.2.2. Politik Riskler
Kar amacı güden kuruluşların genelde “dış riskler” kategorisinde gösterdiği bu risk türü, yerel yönetimler için birinci dereceden önemli ve etkisi çok yönlüdür. Politik riskler; kar amacı güden işletmeler ve yerel yönetimler için aynı anlamı ifade etmez.
13
Kar amacı güden işletmeler için politik riskler, sonuçlara etki edecekken (para politikası, kamulaştırma vb. yollarla) yerel yönetimler için bizzat yönetime etki etmektedir (Seçimler, siyasilerin değişmesi vb.). Bu nedenle yerel yönetimler için tali değil, asli bir unsurdur.
Yerel yönetimler –birkaç istisna dışında- siyasal bir yapının teşekkülleridir. Yani bir seçim süreci neticesinde yöneticileri tayin olunur. Bu nedenle politik risklerin birinci dereceden muhatabıdır.
2.2.3. Genel Yönetsel Riskler
Yerel yönetimlerde, görev alanlarının birden fazla olması ve hizmet çeşitliliği konuları dikkate alındığında çok yönlü bir yönetim anlayışının olması beklenmektedir. Bu noktada özellikle hizmetlerinin etkin ve verimli ulaştırılması konusunda çeşitli birimler ihdas edilmeli ve faaliyet alanları belirlenmelidir. Yetki ve sorumluluklar yönetim kademelerince paylaşılmalı ve uyumlu bir süreç sürdürülmeye çalışılmalıdır.
Bu kadar karmaşık yönetsel otoritenin varlığı kurumsallaşma yönünde çeşitli ipuçlarını da ortaya koymaktadır. Gelişen ve büyüyen kurumların bu anlamda ihtiyaç duyacağı temel nokta, iyi yönetimdir. Bu kurum için asli bir ihtiyaçtır.
2.2.4. Finansal Riskler
Finansal riskler, gerek işletmeler için gerek kar amacı gütmeyen kuruluşlar için ortak risk gruplarından birisidir. Ancak konu itibariyle bu alanda sadece yerel yönetimlerin durumları incelenecektir. Yerel yönetimler her sene merkezi idareden bütçe almaktadırlar. Özellikle büyük şehirlerde hizmet alanlarının genişliği kimi zamanlar bu bütçenin yetmemesine hatta açık vermesine sebep olmaktadır. Bu nedenle merkezi idare ile yerel yönetim arasında ki gelir bölüşümü; adil, rasyonel ve ihtiyaçları karşılayacak şekilde olmalıdır.
Bu noktada yerel yönetimlerin organize etmek zorunda olduğu diğer bir konu da öz gelirlerini (vergiler, resimler, harçlar vb.) korumak ve mümkünse artırmak yönünde olmalıdır. Merkezi idareye karşı finansal bağımsızlığın, sunulacak hizmet kalitesi ile birinci dereceden ilgisi bulunmaktadır.
14
Dünyada yerel yönetimlerin toplam kamu gelirleri içindeki payının %30-60 arasında olduğu görülmektedir. Bu pay İskandinav ülkelerinde %60, Japonya’da %65, Orta Avrupa ve birçok Avrupa ülkesinde %30-50 arasındadır. Ülkemizde ise bu rakam % 10-15 arasındadır (Yayman, 2013: 5).
Ülkemizde giderek artan kent hayatı, yeni yatırım ihtiyaçlarını da beraberinde getirmiştir. Bununla birlikte giderek artan hizmet taleplerinin karşılanması için finansman kaynaklarının oluşturulması ve geliştirilmesi büyük önem arz etmektedir. Finansman kaynaklarının tahsisi ile birlikte, ilgili bütçenin etkin ve verimli şekilde yönetilmesi adına muhasebe ve finansman politikalarına da gerek duyulmaktadır (Yıldırım ve Ayrıçay, 2007: 23).
2.2.5. Stratejik Riskler
Mevcut kaynakların, etkin ve verimli kullanımı stratejik kararlar verebilme kabiliyeti ile doğrudan ilgilidir. İşletmelerin alacağı stratejik kararlar sonuç olarak karlılığı etkilemektedir. Ancak yerel yönetimler için aynı durum söz konusu değildir.
Çünkü verilecek kararlar, ihtiyaçlara uygun olmalı, etkin ve verimli olmalı, yaşam alanının özüne uygun olmalı, sosyal devlet anlayışına uygun olmalı ve nihayet stratejik olmalıdır.
Etkisi ve kapsamı göz önüne alındığında, doğuracağı maliyetler göz önüne alındığında, birinci öncelikli olarak dikkat edilmesi gereken risk grubu stratejik risklerdir. Çünkü verilecek stratejik kararlar, kuruma ait tüm birimleri harekete geçirmekte ve tasarruflarını sergileme zorunluluğu doğurmaktadır.
Stratejik planlama anlayışının, belediyelerin içinde bulundukları zor durumdan kurtulmada önemli avantajlar sağlayacağına inanılmaktadır (Erbaşı, 2010: 4). Yerel yönetimlerin yatırım kararı alırken dikkat etmesi, alınacak kararların kurumun misyon ve vizyonu ile çelişmemesi vb. tüm konular stratejik kararların önemi hakkında ipuçları vermektedir. Hizmet oluşturma süreçlerinde uygulanacak yöntemlerin tamamı, alınacak stratejik kararların sonuçlarıdır.
15
2.2.6. Çevresel Riskler ve Doğal Afetler
Endüstrileşme ve teknolojik gelişmelerin temel sonucu olan üretim ve tüketim mekanizmalarının neden olduğu ciddi çevresel sorunlar vardır. Bununla birlikte giderek artan şehirleşme oranı da bu sorunları artırmaktadır. Kentlerde yaşayan her fert sağlıklı, temiz ve yaşanılabilir bir çevre arzu etmektedir. Bu konuların muhatapları yerel yönetimlerdir.
Giderek artan kentleşme ve endüstrileşme oranları, kişilere çevrenin önemini daha iyi anlamalarına neden olmaktadır. Çevre sorunlarının insan yaşamını olumsuz etkilemesi ile birlikte yeni çevre politikaları geliştirilmeye başlamıştır (Kızılboğa ve Batal, 2013: 5).
Bu politikaları geliştiren ve uygulayan mekanizmaların başında yerel yönetimler gelmektedir. Çünkü söz konusu ihtiyaç kentin geneli için ortaya çıkmakta ve karşılanması gerekmektedir.
Türkiye’de 2000’li yıllarda hizmette yerellik ilkesinin hayata geçirilmesi adına 5216 sayılı Büyükşehir Belediyesi Kanunu (2004), 5393 sayılı Belediye Kanunu (2005), 5302 sayılı İl Özel İdaresi Kanunu (2005) gibi yasal düzenlemeler dışında halkın çevre sorunlarına katılım kültürü, türlü düzenlemelerle artırılmak istenmiştir.
Temelleri 1983 tarihli 2872 sayılı Çevre Yasası’nın 10. Maddesine dayanan Çevresel Etki Değerlendirmesi (ÇED) uygulaması, bu alandaki önemli düzenlemelerden biri olmakla beraber eksik yanları da bulunmaktadır (Ökmen ve Demir, 2010: 265-273).
Çevresel riskler, yine giderek artan kentleşme hayatına ve sanayileşmeye bağlı olarak çeşitlenmiştir. Bu noktada; kişi başına düşen yeşil alan, atık su yönetimi, çevre koruma ve düzenleme gibi yeni ihtiyaçlar ve doğal olarak yönetilmesi gereken yeni risk alanları karşımıza çıkmaktadır.
Tahmin edilebilir ki, nüfusu 10.000 olan bir yerleşim alanı ile 15 milyon olan bir yerleşim alanın yeşil alan yönetimi, atık yönetimi, kullanılabilir doğal kaynaklar yönetimi büyük farklılıklar göstermektedir. Bunun için yerel ama etkili ve ihtiyaca uygun politikalar belirlenmeli ve icrası takip edilmelidir.
16
Tüm bunların yanında, bu çalışmada çevresel risklere, geleneksel risk sınıflandırmasından farklı olarak doğal afetler de eklenmiştir. Öngörülebilirliği en düşük risk gruplarından olan doğal afetler ya sebepleri ya da sonuçları itibariyle çevresel risklerle doğrudan ilgilidir. Bu anlamda yöneticilerin göz ardı etmemesi gereken bir alandır.
2.2.7. Hizmet Alanlarına ilişkin Faaliyet Riskleri
Yerel yönetim idarelerine özgü olan bu risk grubu, yerel(kentsel) olarak belirlenen ana hizmet gruplarının risk çerçevesi ve yönetimine ilişkindir. Her bir yerel idare, ana hizmet alanlarını kentin sosyal, demografik, ekonomik ve kültürel seviyelerine göre tanzim edebilmektedir.
Bu noktada her bir alan için farklı yönetim tarzları sergilenebilmektedir. Her bir alana tahsis edilmiş bütçeler söz konusu olabilmektedir. Bununla birlikte her bir hizmet alanına ilişkin hizmetler ve yatırımlar gerçekleştirilmelidir.
Çalışma kapsamında değerlendirilecek olan ve kurum tarafından belirlenen temel hizmet alanları şu şekilde sınıflandırılmaktadır;
Afet Yönetimi Çevre Yönetimi İmar Yönetimi
Kent ve Toplum Düzeni Yönetimi Kültür Hizmetleri Yönetimi Sağlık Hizmetleri Yönetimi
Sosyal Destek Hizmetleri Yönetimi Ulaşım Hizmetleri Yönetimi
17
2.2.8. Mevzuatlara Uyum
Yerel yönetimler ilgi alanı ve kapsamı gereği çeşitli yasal mevzuatlara uygun faaliyetler göstermek zorundadır. Çünkü yerel idarelerin kendisi bizzat anayasal bir kuruluştur. Hizmet götürme açısından anayasada yapılan tasnife göre merkezi idare ve yerel idareden bahsedilmektedir. Bunlardan mahalli idareler, yerel halkın mahalli müşterek ihtiyaçlarını karşılamak üzere kurulan, idari ve mali özerkliğe sahip bir tüzel kişiliktir (Ertaş, 2016: 110).
Söz konusu idarenin anayasal bir kuruluş olması nedeniyle, kuruluşu, icrası ve intacı noktasında yine bu anayasal çerçeveye sadık kalınması gerekmektedir. Bunun yanında çalışmanın temelinde yer alan ve yerel yönetimlerin bir unsuru olan belediyelere ilişkin özel kanunlar ve düzenlemeler tanzim edilmiştir. Konuya ilişkin usul bilgileri daha çok bu kaynaklarda düzenlenmektedir.
Bu kadar büyük idari organizasyonların her adımında ilgili kaynaklar referans alınmalı ve mevzuata uygun hareket edilmelidir. Yerel yönetimler kendilerine özgü bütçelere sahiptir bu nedenle denetlenmelidir.
İlgili denetim esnasında odak noktasına alınması gereken temel referans noktaları bahsi geçen mevzuatların tamamıdır. Bu nedenle mevzuatlara uyum noktasında idarenin hata/hile yapma şansı bulunmamaktadır.
Bahsedildiği üzere anayasanın ilgili maddeleri (Md. 123 ve 127), 1580 Sayılı Belediye Kanunu (eski düzenleme), 5393 Sayılı Belediye Kanunu (mevcut düzenleme) yerel yönetimlere ilişkin bazı yasal düzenlemelerdir.
2.2.9. Bilgi ve Bilişim Teknolojilerine İlişkin Riskler
Bu başlık için genel bir kavram açıklaması yapmak gerekmektedir. Her dönemin, her devrin içerisinde çok kıymetli ve değerli unsurlar vardır. Gelişim ve değişimin çok hızlı olduğu bu dönem içerisinde de en kıymetli unsur bilgidir. Bilgi; kullanıcısı her kim olursa olsun, nerede kullanılacak olursa olsun en büyük sermayedir. Bu anlamda doğru ve yerinde kullanılan bilgi her zaman değer ortaya çıkartır.
Bilginin kullanımı, hızlı işlenmesi ve aktarılması hususunu ise bilişim olarak ifade edebiliriz. Bilişim kavramı, bilginin etkin ve verimli kullanılması ve aktarılması
18
ihtiyacına bağlı olarak ortaya çıkmıştır. Sosyal hayatın da bütününe yönelik olması nedeniyle önemi giderek artan bir mekanizmayı ifade etmektedir. Birkaç kez de ifade edildiği üzere, artan kent yaşamı ve artan eğitim seviyesi, insanları doğru bilgiyi aramaya ve kullanmaya sevk etmiştir. Bilgiye sahip olma ve kullanma ihtiyacı, insanın en temel ihtiyaçlarındandır.
Genel kavramsal bir çerçeveden sonra yerel yönetimlerin bilgi ve bilişim teknolojilerine ilişkin riskleri hususunda dikkat etmesi gereken noktalar şu şekilde ifade edilebilmektedir. Yerel yönetimler diğer işletmeler ya da kurumlar gibi süreçlerine, faaliyetlerine, hizmetlerine ilişkin oluşan bilgileri kamuoyu ile paylaşmak durumundadır. Karar vericiler ya da uygulayıcılar bu bilgiler ışığında davranmaktadır. İşlemler gerçekleştirilirken bu bilgiler temel dayanak olarak kullanılmaktadır.
Bununla birlikte kurum içerisinde; hizmetlerin yerinde, zamanında ve uygun bir şekilde ulaştırılması için gerekli bilgilerin oluşturulması ve iletilmesi süreçleri de bu noktada büyük önem arz etmektedir.
Özellikle çalışma evreni olarak tercih edilen İBB’ de, sunulacak hizmetlerin çeşidi ve kapsamı gereği doğru bilginin oluşturulması ve bilişim kanalları vasıtasıyla ilgili birimlere aktarılması hususu çok önemlidir.
2.3. Risk Yönetimi Kavramı ve Kapsamı
Risk; önemi ve etkileri dikkate alındığında, yönetilmesi gereken bir olgudur. Çünkü riske ilişkin bir yönetim süreci, tüm ulusal/uluslararası yönetsel anlayışlar tarafından da kabul edilmektedir. Giderek artan teknolojik gelişmeler, endüstriyel gelişmeler, ilgililerin artan kültür seviyeleri, eğitim düzeyleri ve türev tüm alanlarda risk olgusu giderek belirginleşmekte ve çeşitlenmektedir.
Söz konusu belirginlik, risklerin tespiti hususunda değil, gerçekliği ve kaçınılmaz oluşu yönü ile değerlendirilmelidir. Bu denli artan riskli süreçlerin varlığı, kurumun faaliyetlerine etkin ve verimli şekilde devam edebilmesi noktasında, risklerin yönetimi ve stratejik kararların alınmasını zaruri kılmaktadır (Titiz ve Çetin, 2000: 135).
19
Riske ilişkin -özünde aynı olmakla birlikte- birden farklı tanım olması, risk yönetimine ilişkin farklı tanımlamaların ve yorumların oluşmasına neden olmaktadır. Ancak her tanımın kabul ettiği gerçek; riskin varlığı ve yönetilmesi noktasında örtüşmektedir. Açıklamalar; ifadeler ekseninde farklılık gösterse bile, öz itibariyle aynı problem üzerinde görüş belirtmektedir.
Çalışmanın hedef noktasına sadık kalabilmek adına, yapılması gereken tanımlama hem işletmeler açısından hem de yerel yönetimler açısından kapsayıcı olmalıdır. Şöyle ki; risk yönetimi bir süreci ifade etmektedir. Söz konusu süreç; gerek işlem (hizmet) açısından gerek süre açısından gerek ilgili birimler açısından çok yönlü ve karşılıklıdır.
Risk yönetimi; risklerin tespiti (türü, şiddeti, boyutu, hedefi) ile başlayıp, risklere karşı oluşturulacak mukavemetlerin (tedbirler) uygulanması ile devam eder ve nihai olarak sonuçlarının gözlemlenmesi, takip edilmesi ve raporlanması ile tamamlanır. Bu sürecin temel amacı değer üretmektir.
Risk yönetimine ilişkin yapılan diğer tanımlamalar şu şekildedir;
Risk yönetimi, kurumun hedeflerine ulaşmasını engelleyecek risklerin belirlenmesi, azaltılması ve başarıya ulaşılmasını sağlayacak fırsatların ortaya çıkarılarak kullanılması sürecidir (Reding, vd., 2009: 4-3).
Yüzbaşıoğlu (2003) ise; “Risk yönetimi, risk ve getiri arasında şirket yönetimine uygun bir geçiş veya değişim yapabilmesini sağlayan bir süreçtir ve risk yönetimi temel bir kurumsal işlevdir” şeklinde bir tanım yapmıştır.
Risk yönetimine ilişkin diğer bir tanım; “İşletmelerin yaşam dönemi boyunca karşılaşabileceği risklerin tanımlandığı, değerlendirildiği ve azaltılmaya çalışıldığı, bilimsel yöntemlere dayanan, ileriye dönük bir uygulamadır” (Bush vd. 2005: 1) şeklindedir.
İyi bir risk yönetim sistemi, kurumun; istediği sonuçlara ulaşma güvenini artırır, tehditleri kabul edilebilir bir seviyede etkili bir şekilde tutmasını ve fırsatları kullanarak bilinçli karar almasını sağlar (Tunç, 2014: 52).
20
Risk ve risklere ilişkin yönetim faaliyetleri sonuçları itibariyle, kurum için bir katma değer oluşturmaktadır. Dolayısıyla zahmetli bir süreci ifade etmektedir. Diğer bir deyişle; risk yönetimi, arzu edilen amaçlara ulaşabilmek için hangi risklerin ne ölçüde alınması gerektiğini belirleyen ve bu sürecin planlandığı şekliyle gerçekleşmesini güvence altına almayı hedefleyen bir sistemdir (TÜSİAD,2008: 17).
Risk yönetim fonksiyonunun rolü; risk yönetim strateji ve politikalarını belirlemek; risk farkındalık kültürü oluşturmak, iş birimlerine yönelik risk yapılarını oluşturmak; risk yönetim süreçlerini tasarlamak; risk yönetimini geliştirici faaliyetleri koordine etmek; risk tutumlarını geliştirmek ve ilgililere yönelik raporlar hazırlamaktır (AIRMIC, ALARM, IRM, 2002: 11).
Sadece riskleri belirlemek risk yönetim sürecine tam anlamıyla katkı sunmayacaktır. Ya da sadece riskleri değerlemek ve önceliklerini belirlemek tek başına yetmeyecektir. Bu sürecin sadece bir parçasıdır. Genel kabul görmüş risk senaryoları üzerine aksiyonlar oluşturmak da etkin ve verimli bir risk yönetim süreci için yeterli olmayacaktır.
Dolayısıyla bahsedilen tüm unsurlar, bir çerçeve dâhilinde toplanmalı, birbirleri ile olan ilişkileri tespit edilmeli ve yönetilmelidir. Bu bakış açısıyla, risk yönetimi sürecinin temel amaçlarından birisi, risklere ilişkin öznel faaliyetlerden ziyade daha nesnel ve bütüncül bir faaliyet çerçevesinin sağlanmasıdır.
Risk yönetimi, kontrol altına alınması gereken riskleri kontrol altına almak ve yararlanılması gereken fırsatlardan yararlanabilmek için taktiksel ve uzun vadeli kararların alınmasıdır (Türedi ve Koban, 2016: 63).
Risk yönetimin ilk defa uygulanacağı kurumlarda kurumsal yapı sistemin uygulanmasına imkân verecek biçimde şekillendirilmektedir. Bu aşamada sorumlular ve sorumluluklar belirlenmekte, iletişim yapısı uygun hale getirilmekte ve gerekli fiziki donanım sağlanmaktadır (Derici, Tüysüz ve Sarı, 2007: 154). Önceki bölümlerde de bahsedildiği üzere, çalışmanın kapsamı ve odak noktası ile olan bağlantının kopmaması adına risk yönetiminin, sadece işletmeler açısından
21
değil yerel yönetimler açısından da taşıması gereken genel özelikleri şu şekilde ifade edilebilir;
Risk yönetimi; algı olarak tüm birimler tarafından kabul edilmeli ve uygulanmalıdır,
Risk yönetimi; kurumun ya da işletmenin temel var olma sebepleri (misyon, vizyon, strateji vb.) ile örtüşmelidir,
Risk yönetimi; düzeltici değil önleyici faaliyetler bütünüdür, Risk yönetiminin temel çıktısı katma değer olmalıdır,
Risk yönetiminin kapsamı ve çerçevesi kurumun yerleşik kültürüne ve kurallarına uygun olmalıdır,
Risk yönetiminin, “makul güvence” sağlayabileceği tüm birimler tarafından bilinmelidir,
Risk yönetimi öznel değil nesnel ölçütlere dayandırılarak yürütülmelidir,
Risk yönetimi; çağdaş yönetim anlayışlarının tamamı ile birlikte uyumlu bir şekilde çalıştırılabilecek bir olgudur,
Risk yönetimi; (uygulandığı alan farkı gözetilmeksizin) hem iç kontrol ile hem denetim ile hem de kurumsal yönetim ile birinci dereceden ve doğrudan ilgilidir.
2.3.1. Risk Yönetiminin Tarihsel Gelişim Süreci
Bazı kaynaklar risk yönetimi tarihini farklı alanları dikkate alarak değerlendirmektedir. Günümüzde genel anlamda işletmelerle ya da kurumlarla ilişkilendirilen risk yönetimi, bazı kaynaklar tarafından yaklaşık 2000 yıldan bu yana oynanan satranç ve dama oyunlarına kadar dayandırmaktadır.
Bu noktadaki temel iddiaları ise söz konusu oyunların, risk yönetimi içinde önemli olan, olasılık teorilerine dayanması şeklindedir (http://blog.ventivtech.com/blog/a-brief-summary-of-the-long-history-of-risk-management, Erişim Tarihi: 01.09.2017).
22
Akademik bir bakış açısıyla değerlendirildiğinde ise, risk yönetimi çalışmalarının 2. Dünya savaşı sonrasında başladığı düşünülmektedir (Dionne, 2013:148). Söz konusu dönem şartları değerlendirildiğinde, risk yönetimi başlangıcından itibaren uzun bir süre (Avrupa’da yeni bir pazarın oluşturulduğu dönemlerden bahsedilmektedir) bireyleri ve işletmeleri çeşitli kayıplara karşı korumak amacıyla piyasa sigortasının kullanımı ile ilişkilendirilmiştir (Harrington ve Neihaus, 2003: 15). Mevcut literatür araştırmalarında ifade edildiğinin aksine, risk yönetiminin ilk olarak sigorta şirketlerinde kullanıldığı kanaati doğru olmakla birlikte ne yazık ki tam olarak gerçeği yansıtmamaktadır.
Bu sadece bir ilişkilendirme şeklinde ortaya çıkmaktadır. Dönemin şartları dikkate alındığında, risk yönetiminin çok yeni bir kavram olması ve henüz tam olarak anlaşılamamış olması bu sonucu doğurmuştur. Bu anlayış ve kabul 1950’li yılların sonuna kadar devam etmiştir.
1950-1970 tarihleri, piyasa sigortasının kullanımı ile ilişkilendirilen risk yönetiminin yetersiz olduğu ile ilgili yeni fikirlerin ortaya atıldığı dönemlerdir. Bu anlayışa alternatif olabilecek risk yönetimi tanımlamaları geliştirilmeye çalışılmıştır. Bunun temel sebebi; piyasa sigortacılığı ile ilişkilendirilen risk yönetiminin maliyetleri artırması ve risklere ilişkin yeterli koruyucu önlemleri alamamasıdır (Dionne:150).
Bazı kaynaklara göre (Crockford, 1982; Harrington ve Neihaus, 2003; Williams and Heins, 1995) piyasa sigortacılığı anlayışından sıyrılıp dönemin şartlarına göre daha modern olan ve şu aşamada çalışmalara kaynaklık eden risk yönetimi kavramı 1955-1964 yılları arasında geliştirilmiştir (Dionne:151). Bu tarih aralığında gerçekleşen ve risk yönetimi ile ilgili ilk akademik çalışmaları yapanlar ise Mehr ve Hedges (1963) ile Williams ve Hems (1964)’dir.
Risk yönetimi çok hızlı işleyen bir süreci ifade etmektedir. Bu anlamda artan risklere cevap verme kabiliyeti, kurumların stratejik hedeflerine ulaşabilmeleri noktasında büyük önem ifade etmektedir. İşletmelerin, stratejik ya da operasyonel sebeplerle hem dış hem de iç çevresinden kaynaklanabilecek risklerdeki artış, risk yönetimi anlayışında değişim yaşanmasına sebep olmuştur (Crockford, 2005: 1).
23
1970-1980 tarihleri arasında, çeşitli yönetsel araçlar geliştirilmiş ve giderek yaygın şekilde kullanılmıştır. Bu noktada dikkate alınan temel etken, risklerin sigortalanabilir olup olmayışı ile ilgilidir. Geleneksel risk yönetiminin temel dinamiği olan finansal risk ve yönetimi ile ilgili ilk tartışmalar bu dönemde gerçekleşmiştir. Bazı işletmeler risk yönetimini sadece finansal risk yönetimi ekseninde değerlendirmeye başlamışlardır.
Özellikle 1990’lı yıllar, risk yönetimi açısından; uluslararası piyasaların ve yönetim anlayışlarının gelişmesi ile birlikte tam bir gelişme ve dönüşüm evresi olmuştur. Risk yönetimi çerçevesinin sadece finansal riskler ile sınırlı olmadığı, bununla birlikte operasyonel riskler, yönetim riskleri, stratejik riskler vb. diğer bileşenleri de kapsayan bir çerçevesinin olduğu anlaşılmıştır.
2000’li yıllara gelindiğinde ise, günümüzde hala üzerinde araştırmalar yapılan bazı finansal skandallar meydana gelmiştir. Bunlardan en önemlisi, 2001 yılında Amerika’da yaşayan Enron ve 2002 yılında yaşanan Sarnabes Oxley skandallarıdır. Söz konusu skandal o kadar büyük etkilere neden olmuştur ki, Amerika Sarnabes Oxley yasası ile tanışmıştır (Dionne,152). Özellikle bankacılık sektörü ile ilişkili olan Basel 1 (1988), Basel 2 (2004) ve Basel 3(2010) düzenlemeleri de bu kapsamda değerlendirilmesi gereken düzenlemelerdir.
Risk yönetimine ilişkin en genel kabulü olan ve çalışmanın da ana öğesini oluşturan COSO İç Kontrol modelinin, Kurumsal yönetim ilkelerinin ve iç denetimin risk yönetimine ilişkin gelişimleri ve bakış açıları çok detaylı olarak ileri ki bölümlerde aktarılacaktır. Bununla birlikte risk yönetiminin en son ulaştığı ve konu ile ilişkin en geniş kabulün olduğu kurumsal risk yönetimi kavramı tüm yönleri ile ele alınacaktır.
2.3.2. Risk Yönetiminin Unsurları
Değer oluşturmaya yönelik tesis edilen ve işletilen her sistem, her yapı doğru kurgulanmalı ve çerçevesi bu yönde oluşturulmalıdır. Bu noktada risk yönetimi sürecinin içerisinde olması gereken ya da olması beklenen bazı özel unsurlar vardır. Söz konusu unsurlar birbiri ile farklı ancak birbiri ile azami derecede ilgilidir.
24
Çünkü sonuç olarak elde edilmesi arzulanan “değer” kavramı bu unsurlardan süzülerek ortaya çıkacaktır. Çalışmanın genelinde yapılmaya gayret gösterildiği gibi, bu kısımda da aktarılacak olan unsurlar hem işletmeler hem de yerel yönetimler dikkate alınarak tespit edilmeye çalışılmıştır.
Bu anlamda etkin bir risk yönetiminin tesisi için gerekli unsurlar şu şekilde ifade edilebilir;
İnsan,
Risk yönetimine ilişkin yerleşmiş bir bilinç, İç denetim,
Kurum kültürü,
Katılımcı bir üst yönetimin varlığı, Etkin bilgi ve bilişim kanallarının tesisi,
Kurumun organizasyon yapısı (Müstakil bir risk biriminin olması vb.), Gerekli teknolojik desteğin sağlanması,
Risk yönetimine ilişkin genel kabul görmüş kurallara/mevzuatlara uyum.
2.3.3. Risk Yönetimi Süreci
Risk yönetimi en temelde bir süreci ifade etmektedir. Söz konusu süreç aslında kurumun stratejilerinin belirlenmesi ile başlar ve kurum faaliyetlerini devam ettirdiği sürece devam eder. Fakat belirli bir çerçeveye yerleştirmek ve sistematik kazandırmak adına risk yönetimi sürecinin 5 temel aşamaya dayandırıldığı kabul edilmektedir.
Hem işletmeler açısından hem de yerel yönetimler açısından geçerli olabilecek risk yönetiminin aşamaları (Kamu İç kontrol Rehberi, 2014);
Risklerin tanımlanması,
25
Risklerin (şiddetleri ve gerçekleşme sıklıklarına bağlı olarak) önceliklendirilmesi,
Risklere karşılık verme planlarının yapılması,
Risk yönetim sürecinin izlenmesi ve takip edilmesidir.
Risk yönetimine ilişkin temel adımlar olarak değerlendirilen bu süreçlere ek olarak uygulanması gereken birkaç yardımcı süreçten de bahsedilebilir. Bunlardan ilki henüz risk yönetim yapısını oluştururken, çeşitli birimlerden ya da çevrelerden değerlendirmeler ve danışmanlıklar almaktır. Dolayısıyla risk yönetimine ilişkin temel stratejilerin hazırlanması evresi olarak değerlendirilebilir.
İkinci önemli konu, risk yönetimine ilişkin gerek iç paydaşlar ile gerekse de dış paydaşlar ile sürekli ve aktif bir iletişim ve etkileşim ağının tesis edilmesidir. Üçüncü yardımcı aşama ise, risk yönetimine ilişkin bir içerik gerçekleştirmektir. Bu sayede; ilgili çevreler ile yapılan görüşmeler neticesinde geliştirilen stratejiler, sistematik bir hale dönüştürülebilir.
2.3.4. Risk Yönetimi İhtiyacı
Risk yönetiminin tarihsel gelişimi dikkate alındığında, her önemli gelişmenin arkasında çeşitli ihtiyaçların olduğu ve bunun karşılanması adına yeni adımların atıldığı görülmektedir. Dolayısıyla risk yönetiminin uygulanması ve gelişimi başka koşulların oluşmasına bağlı değildir (Güneş, 2009: 8).
Hem işletmeler hem de yerel yönetimler açısından geçerli olabilecek temel risk yönetimi ihtiyaçları şu şekilde sıralanabilir;
Kurumun stratejilerinin “süreklilik” kavramına dayandırılması ve risklerin bu noktada sebep olabileceği engeller,
Gelişen toplum ve kamuoyu beklentilerinin neden olabileceği riskler, Hizmet ve ürün oluşturma sürecinde etkin bir kaynak yönetimi sayesinde
olası maliyetleri en aza indirgemek,
26 Sürdürülebilir başarı tesis etmek,
Mevcut yasal düzenlemeler ile çelişmemek.
2.4. Kurumsal Risk Yönetimine (KRY) Geçiş Süreci ve Gerekçeleri
Klasik risk yönetimi, hedefleri doğrultusunda mal/hizmet üreten kurumların risk yönetimi konularında ki ihtiyaçlarını özellikle 2000’li yılların başına kadar karşılayabilmiştir. Bu noktadan sonra gelişen ve değişen ihtiyaçlar farklı risk yönetim uygulamalarını gerekli hale getirmiştir.
Bu değişim ve gelişimin temel dinamikleri ise; giderek daralan ticari sınırlar, çok hızlı ilerleyen teknolojik gelişmeler, endüstri ve sanayide yeni alanların ortaya çıkması, eğitim seviyesi ile ilgili olarak insanların artan beklentileri ve yasal düzenlemelerin kapsamlarının artmasıdır. Tüm bu gelişmelerin neden olduğu yeni alanlar ve ihtiyaçlar beraberinde farklı risklerin oluşmasına neden olmaktadır. Risklerin çeşidi ve miktarı artmakta ve çözüm üretme ihtiyacı bir zorunluluk olarak hem işletme sahiplerinin hem de kamu kurumlarının karşısına çıkmaktadır (Kızılboğa: 54)
Yaklaşım olarak kurumsal risk yönetimi (KRY); işletmelerin ya da kurumların tespit edilen risklerini ayrı ayrı değil, bir bütün olarak değerlendirmeyi gaye edinmektedir. Klasik risk yönetim ile ayrıldığı temel nokta budur. Kurum için belirlenen temel hedeflere ulaşılabilmesi için belirlenen stratejilere ilişkin risk unsurları birimler bazında değil organizasyon bazında değerlendirilmektedir.
Geleneksel risk yönetimi yöntemleri, kurumun hedeflerine ulaşmasını kolaylaştırmak ve kurumun değer yaratma sürecine katkıda bulunmaktan çok, kayıpları engellemeye yönelik olduğundan çoğu kurum risk yönetimini yeniden tanımlamak zorunda kalmıştır. Kurumsal risk yönetiminin (KRY) odaklandığı konu, risk yönetimi süreci ile var olan kurumsal yönetim sürecini kaynaştırmaktır
(
27
Kurumsal risk yönetimi, klasik risk yönetiminin yetersizliği nedeniyle ortaya çıkmıştır. Risk yönetimi gerekli bir süreçtir fakat sağlayabileceği “değer” çıktısı beklenen seviyede olamamıştır. KRY ise mevcut kurum değerinin korunmasına ek olarak değerinin geliştirilmesi yönünde çeşitli fırsatlar sunmaktadır. KRY’nin kurumlara sağlayacağı temel katma değer; rekabet avantajı sağlama, risk yönetim süreçlerinin optimal seviyede yürütülmesi ve iş performanslarının iyileştirilmesi şeklinde gerçekleşecektir.
Risk yönetiminde sistematik ve bütünsel bir yaklaşım sunan kurumsal risk yönetim sistemi, kurumsal yönetişim ve hesap verme sorumluluğunun en temel unsurudur. Sistem kurumun durumsal farkındalığını artırarak risk tutumlarının daha aktif yönetimini sağlamaktadır (Terzi, 2010: 5).
İşletmeler bazında değerlendirildiğinde, sadece kar elde etme eksenli bir yönetim anlayışının mevcut piyasa şartlarında uzun soluklu faaliyet gösteremeyeceği aşikârdır. Bunun temel göstergeleri ise sürekli değişen yeni yönetim anlayışlarının ortaya çıkmasıdır. Klasik yönetim anlayışlarının tersine kar olgusu artık tek ana eksen olmaktan çıkmıştır. Bununla birlikte; kurumsallaşma, sürdürülebilir büyüme, kurumsal sosyal sorumluluk gibi yeni kavramlar işletmelerin gündemlerine girmiştir. Tüm bu yeni alanlar farklı risk alanlarını da beraberinde getirmiştir.
Klasik risk yönetimi anlayışının bu kadar büyük ve iç içe geçmiş bir risk alanını yönetebilmesi mümkün olamayacaktır. Dolayısıyla son zamanlarda mevzuatlar ve yasalar ile de belirli bir çerçeveye sokulmaya çalışılan risk yönetimi düzenlemelerinin altında yatan temel sebep de budur.
Genel olarak kamu kuruluşları özel olarak yerel yönetimler bazında değerlendirildiğinde ise; yeni yönetim anlayışının artık tam anlamıyla vatandaş memnuniyeti odağına yerleştiği görülmektedir. Söz konusu memnuniyetin temel kaynağı da etkin ve verimli bir hizmet ağının tesis edilmesidir.
Bu kadar geniş bir hizmet alanının varlığı beraberinde farklı riskleri de getirmektedir. Dolayısıyla klasik risk yönetim süreçleri bu denli karmaşık risk alanları için gerekli ve yeterli çözümleri sunamayacaktır.
