İLKE 7: Riskleri Tanımlama ve Analiz Etme
Örgüt, kuruluş çapında amaçlara ulaşılmasına ilişkin riskleri tanımlar ve bu riskleri, nasıl yönetilmesi gerektiğini belirlemede temel oluşturacak şekilde analiz eder.
Odak Noktaları
Aşağıdaki odak noktaları, faaliyetler, raporlama ve uyumla ilgili amaçların önemli özeliklerini vurgular.
- Kuruluş, Bağlı kuruluş, Bölüm, Faaliyet Birimi ve Fonksiyon Seviyelerini Kapsar.
Örgüt; kuruluş, bağlı kuruluş, bölüm, faaliyet birimi ve fonksiyon seviyelerinde, kuruluşun amaçlarına engel oluşturan riskleri tanımlar ve değerlendirir.
Bir riskin tanımlanması ve analizi, kuruluşun amaçlarına ulaşma yeteneğini artırmak için yürütülen, devamlı ve yinelemeli bir süreçtir. Bir amaç ister açıkça ifade edilmiş, isterse ima edilmiş olsun, kuruluşun risk değerlendirme sürecinin, ortaya çıkabilecek tüm riskleri dikkate alması gerekir. Bu süreç, tamamı genel risk değerlendirmeyle ilgili çeşitli eylemler, teknikler ve mekanizmalarla desteklenir. Yönetim, bu gibi eylemlerin yerine getirilmesiyle ilgili kontrolleri geliştirir ve uygular.
Yönetim, kuruluşun tüm kademelerindeki riskleri göz önünde bulundurur ve bu risklere yanıt vermek için gerekli önlemleri alır.
Risk tanımlama geniş kapsamlı olmalıdır. Gerek bir kuruluş içindeki gerekse kuruluşla ilgili iş ortakları ve dış hizmet sağlayıcılar arasındaki tüm önemli-mal, hizmet ve bilgi- etkileşimler dikkate alınmalıdır.
Risk tanımlama, kuruluşun tamamı ve alt birimleri ile satış, insan kaynakları, pazarlama, üretim ve satınalma süreçleri gibi örgütsel yapının çeşitli kademelerindeki riskleri dikkate alır. Kuruluş çapında risk tanımlama sıklıkla nispeten yüksek kademelerde yapılır ve genellikle işlem düzeyindeki risklerin değerlendirmesini içermez. Tersine süreç düzeyindeki risklerin tanımlanması doğası gereği daha detaylıdır ve işlem düzeyindeki riskleri içerir. Ayrıca, risk değerlendirme dış hizmet sağlayıcı firmalardan, kilit tedarikçilerden ve dağıtım kanalı ortaklarından kaynaklanan riskleri de dikkate alır.
- İç ve Dış Faktörleri Analiz Eder.
Riskleri tanımlamada, hem iç hem de dış faktörler ve bu faktörlerin amaçlara ulaşma üzerindeki etkisi dikkate alınır.
Yönetim, iç ve dış faktörlerle ilgili riskleri dikkate alır. Risk dinamiktir. Bu nedenle yönetim, risk değerlendirme sürecinin sıklığını belirlemek için, genellikle amaçlara ulaşılmasına yönelik risklerdeki değişim oranını, diğer faaliyet önceliklerini ve maliyetleri göz önünde bulundurur. Kuruluş seviyesindeki riskler iç ve dış faktörlerden kaynaklanabilir.
Dış faktörler şunları kapsayabilir:
- Ekonomik Faktörler-Finansmanı, sermaye mevcudiyetini ve rekabetçi piyasaya girişi etkileyebilecek faktörler. Örneğin; kur riski, kredi riski gibi.
- Doğal Çevre-Faaliyetlerde değişikliklere, hammaddelerin bulunabilirliğinde azalmaya veya bilgi sistemlerinin kaybına yol açabilecek ve beklenmedik durum planları gerektirecek doğal veya insan kaynaklı felaketler ya da süregelen iklim değişiklikleri.
- Düzenleyici Otorite-Bir tüzel kişinin, yönetim faaliyet modelinin veya iş kolunun farklı veya ek raporlama yapmasını gerektirebilecek yeni bir finansal raporlama standardı; faaliyet veya raporlama politika ve stratejilerinde değişiklikler yapmasını zorunlu kılacak yeni bir anti-tröst kanunu ya da düzenlemesi
- Yabancı Ülkelerdeki Faaliyetler-Kuruluşun faaliyet gösterdiği yabancı bir ülkenin hükümetinde, yeni kanun ve düzenlemelere ya da vergi rejiminde değişikliğe yol açabilecek bir değişiklik (Örneğin, yabancı bir ülkeye seyahate getirilen sınırlama)
- Sosyal Faktörler-Ürün geliştirmeyi, üretim süreçlerini, müşteri hizmetlerini, fiyatlandırmayı ya da garantileri etkileyebilecek değişen müşteri ihtiyaçları veya beklentileri. (Örneğin; Beyaz ekmek tüketimin sağlık nedenleri ile azalması)
- Teknolojik Faktörler-Verilerin mevcudiyetini ve kullanımını, alt yapı masraflarını ve teknoloji-bazlı hizmetleri etkileyebilecek değişiklikler. (Mobil telefon bankacılığı ile şube de verilen hizmetlerin düşmesi)
İç faktörler ise şunları içerir:
- Alt yapı – Faaliyetleri ve mevcut alt yapının sürekliliğini etkileyebilecek olan, sermaye kaynaklarının kullanımı konusundaki kararlar.
- Yönetim Yapısı – Belirli kontrollerin yerine getirilme yöntemini etkileyebilecek yönetim sorumluluklarında bir değişiklik.
- Personel – İşe alınan personelin kalitesi ve kuruluş çapında kontrol bilincini etkileyebilecek eğitim ve motivasyon yöntemleri; personelin durumunu etkileyebilecek sözleşmelerin sona ermesi.
- Varlıklara Erişim – Kuruluşun faaliyetlerinin yapısı ve çalışanların kaynakların suistimaline katkıda bulunabilecek şekilde varlıklara erişimi.
- Teknoloji– Bilgi sistemlerinin işleyişinde, kuruluşun faaliyetlerini olumsuz yönde etkileyebilecek bir kesinti.
Kuruluş düzeyindeki riskleri artıran iç ve dış faktörlerin tanımlanması, kapsamlı bir risk değerlendirme için kritik öneme sahiptir. En önemli faktörler değerlendirildikten sonra yönetim bu faktörlerin ilgililiğini ve önemini değerlendirebilecek ve mümkün olduğu yerde bu faktörler ile belirli riskler ve eylemler arasında bağlantı kurabilecektir.
- Yönetimin Uygun Kademelerini Dahil Eder.
Örgüt, uygun yönetim kademelerini içine alan etkili risk değerlendirme mekanizmalarını yürürlüğe koyar.
İç kontrol kapsamındaki diğer süreçlerde olduğu gibi, risk tanımlanması ve analiz süreçlerine ilişkin sorumluluk ve hesapverebilirlik, kuruluş çapında ve onun alt birimlerinde yönetime aittir. Örgüt, uygun seviyedeki ve uzmanlık sahibi yönetim kademelerini içeren, etkili risk değerlendirme mekanizmalarını yürürlüğe koyar.
- Tanımlanan Risklerin Önemini Tahmin Eder.
Tanımlanmış riskler, riskin potansiyel öneminin tahmin edilmesini kapsayan bir süreçle analiz edilir.
Risk analizinin bir parçası olarak, örgüt, risklerin amaçlara ve alt amaçlara ulaşma açısından önemini değerlendirir. Örgütler riskin önemini şunlara benzer ölçüler kullanarak değerlendirebilir.
- Riskin gerçekleşme ihtimali ve etkisi
- Riskin gerçekleşmesi durumunda etkileme çabukluğu veya hızı
- Risk gerçekleştikten sonra doğurduğu etkinin sürekliliği veya süresi
“İhtimal (likelihood)” ve “etki (impact)” yaygın kullanılan terimlerdir. Ancak bazı kuruluşlar bunun yerine “olasılık (probability)”, “şiddet (severity)”, “ciddiyet (seriousness)” veya “sonuç (consequence” gibi terimleri kullanır. “İhtimal (likelihood)” bir olayın ortaya çıkma imkanını ifade ederken, “etki (impact)” bu olayın yaratacağı tesiri ifade eder.Bazı durumlarda, bu sözcükler daha spesifik anlamlar kazanırlar. “İhtimal (likelihood) ” belirli bir riskin ortaya çıkma olasılığının “yüksek”, “orta” ve “düşük” gibi riskin niteliğini belirten derecelerde olacağını, “olasılık (probability)” ise yüzdelik, ortaya çıkma sıklığı ya da başka sayısal ölçüler gibi nicelik bildiren ölçümleri ifade eder.
- Risklere Nasıl Yanıt Verileceğini Belirler.
Risk değerlendirme, risklerin nasıl yönetileceğini ve riski kabul etme, riskten kaçınma, riski azaltma veya paylaşma yaklaşımlarından hangisinin sergileneceğini düşünmeyi kapsar.
Doğal Risk: Yönetim, hem doğal hem de artık riskleri dikkate alır. Doğal risk, yönetimin riskin olasılığını ya da etkisini değiştirmek için uygulayabileceği herhangi bir önlem olmaması durumunda, kuruluşun amaçlarına ulaşmasına engel oluşturan risktir.
Artık Risk: Kuruluşun amaçlarına ulaşmasına engel oluşturan ve yönetimce bunlara verilecek yanıtların geliştirilmesi ve uygulanmasından sonra arta kalan risktir. Risk çözümlemesi ilk olarak doğal riske uygulanır. Aşağıda da tartışıldığı gibi, riske verilen yanıtlar geliştirildikten sonra yönetim artık riskleri değerlendirir. Artık riske ek olarak doğal riski değerlendirmek, riske karşılık verilmei gereken yanıtların kapsamını anlamak konusunda örgüte yardımcı olabilir.
Riske Verilen Yanıt: Risklerin potansiyel önemi değerlendirilir değerlendirilmez, yönetim, riskin nasıl yönetilmesi gerektiğini düşünür. Bu süreç, risklerle ilgili varsayımlara ve risk düzeyini azaltmakla ilişkili maliyetlerin makul analizine dayanarak karar vermeyi içerir. Verilmesi gereken yanıt her zaman artık riskin en az miktarıyla sonuçlanmaz. Ancak, bir riske verilen yanıtın, yönetimin ve yönetim kurulunun kabul edebileceği düzeyleri aşan artık risk doğurması durumunda, yönetim verilecek yanıtı yeniden inceler ve düzeltir. Bu nedenle, risk ve risk toleransı arasında bir denge kurmak yinelemeli bir süreç olabilir.
Riske verilen yanıtlar aşağıdaki kategorilere girer:
- Kabul – Risk ihtimalini veya etkisini etkilemek için herhangi bir önlem alınmaz.
- Kaçınma– Riske yol açan eylemlere son verme; bir ürün grubunun sona erdirilmesi, yeni bir coğrafi pazara açılmanın reddedilmesi ya da bir bölümün satılmasını kapsayabilir.
- Azaltma – Risk ihtimalini veya etkisini ya da her ikisini birden azaltmak için alınan önlemler; genellikle, sayısız günlük işletme kararlarının herhangi birisini kapsar.
- Paylaşma – Riskin bir kısmını aktararak veya başka yollarla paylaşarak risk ihtimalini veya etkisini azaltmak; yaygın olan teknikler arasında sigorta ürünleri satınalmak, ortak girişimler oluşturmak, riskten korunma işlemlerinde bunmak ya da bir faaliyeti dış kaynaklardan temin etmek yer alır.
Riske verilen yanıtla ilgili olarak, yönetim;
- Riskin önemi üzerindeki potansiyel etkiyi ve hangi yanıt seçeneklerinin kuruluşun risk toleransına uygun olduğunu,
- Riskin öneminde arzu edilen azalışı sağlamak amacıyla, riske yanıt verilmesine imkân tanımada gerekli olan görevlerin ayrılığı (ilkesini)
- Potansiyel yanıtların maliyete kıyasla faydalarını
gözönünde bulundurmalıdır.
- Varsa, kuruluşa özgü diğer odak noktaları
İç Kontrol Makale Kaynakları
- Uluslararası İç Denetim Standartları, Uluslararası İç Denetçiler Enstitüsü, www.theiia.org
- Makale Kaynakları
- Dr.Davut Pehlivanlı, Güncel İç Denetim Uygulamaları, Beta 2010
- Prof.Dr. Nejat Bozkurt, Muhasebe Denetimi, Alfa 1998
- Prof.Dr.Nejat Bozkurt, TÜRMOB Bağımsız Denetim Eğitimi Ders Notları, 2012
- Dr.Özgür Çatıkkaş, KGK, Marmara Üniversitesi. Kurumsal Yönetim Ders Notları, 2013
- İSMMMO-Kobilerde İç Denetim İçin Pratik Bilgiler, 2013
- Türkiye İç Denetim Enstitüsü, www.tide.org.tr
- Alp Buluç, Makale, İç Kontrol, Hürses, 19 Mart 2013
- 6102 sayılı Türk Ticaret Kanunu
- Uluslararası Ic Denetim Standartları, www.theiia.org
- www.coso.org Treadway Komisyonu Destekçi Kurumlar Komitesi, İç Kontrol Bütünleşik Çerçevesi, 2013
- Kamu Mali Yönetim ve Kontrol Kanunu
- Kamu İç Kontrol Standartları
- Kamu İç Kontrol Rehberi
Bu gönderi şu adreste de mevcuttur: English