Risk Yönetimi Hakkında Soru-Cevaplar

Risk Yönetimi nedir ve nasıl uygulanır? Misyonu nedir ve kimler tarafından nasıl yönetilir?

Günümüzün rekabet ortamı kurumlar zayıf ve güçlü yönlerini tanıyarak, risklerini değerlendirmeliler. Alabilecekleri risk büyüklüğünü değerlendirerek, diğer riskler için önlem almalılar. Şirketler risk yönetimi, iç kontrol ve iç denetim kapasitelerini geliştirmelerini gerektirmektedir. Şirketler faaliyetlerinin sürdürebilirliğini koruması ve amaçlarına ulaşmalarındaki en kritik yönetim araçlarından biri olan risk yönetimi hakkındaki soruların cevabını aşağıdaki yazıda bulabilirsiniz.

Risk

Şirketin kuruluş amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek durum ya da olaylardır.

Risk Değerlendirmesi

Şirketin kuruluş amaçları ile stratejik hedeflerine ulaşmasına ve görevlerin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek durum ya da olayları tahmin etmek, belirlemek, ortaya çıkarmak ve gidermek amacıyla uygun kontrol önlemlerinin geliştirilmesini de kapsayan çalışmaların bütünüdür.

Risk Faktörü

Riskin varlığını veya riske maruz kalmayı ifade eden bir sürecin ölçülebilir veya gözlemlenebilir özelliklerini ifade eder. Diğer bir ifadeyle, risk düzeyinin belirlenmesinde kullanılan kriterlerdir.

Risk İştahı

Bir Şirketin misyonu, vizyonu ve ulaşmaya çalıştığı stratejik hedefleri doğrultusunda herhangi bir zaman diliminde, herhangi bir önlem almanın gerekliliğine karar vermeden önce kabul etmeye hazır olduğu risk düzeyidir.

Risk Kontrol Matrisi

Şekil ve içeriği özel olarak belirlenen ve denetim görevinde kullanılan standart ve önemli bir çalışma kâğıdıdır. Denetim alanı kapsamındaki alt faaliyet/süreçlerin risk düzeylerine göre derecelendirilmesi amacıyla RKM; alt faaliyet veya süreç, bunlara ilişkin yapısal (doğal) riskler, bu risklere karşı mevcut kontroller, uygulanacak testler ve risk düzeylerini içerir.

Risk Kütüğü

Bir Şirketin önemli risklerinin kaydedildiği merkezi bir risk kaydıdır. Burada riskler etkisi, olasılığı, alanı ve türüne göre sınıflandırılarak tanımlanır. Risk kütüğünde riskin yönetim sorumluluğunun kimde olduğu, potansiyel risk faktörleri ve risk göstergeleri de yer alabilir.

Risk Önceliklendirmesi

Riskleri, Şirketin amaç ve hedeflerine ulaşılması bakımından karşılaştırarak önem derecelerine göre sıralamayı ifade eder. Öncelik verilen riskler idare açısından üzerinde en fazla durulması gereken ve giderilmesi veya etkilerinin azaltılması için öncelikli çaba harcanması gereken riskleri ifade eder.

Risk Sınıflandırması

Risk değerlendirme sürecinin bir parçası olarak, risklerin kategorize edilmesidir. Riskler tipik olarak; yüksek, orta ve düşük olarak sınıflandırılır.

Yapısal Risk

Mevcut kontroller ve tedbirler dışarıda tutulduğunda Şirketin mevcut yapısından veya yürütülen faaliyetin doğasından kaynaklanan risktir

Risk Yönetimi

Risklerin tanımlanması, değerlendirilmesi ve etkisinin kabul edilebilir bir seviyede tutulabilmesi için gerekli kontrollerin uygulanması, gözden geçirilmesi ve raporlanmasını sağlayan yönetim sürecidir.

Risk Esaslı Denetim

İŞirketin faaliyet alanlarına ilişkin risk faktörlerinin tanımlanmasını, risk seviyelerinin ölçülmesini, bu riskler için uygulanan kontrollerin etkinlik ve yeterliliğinin değerlendirilmesini ve yüksek risk içeren alanlara denetim önceliğinin verilmesini öngören bir denetim yaklaşımıdır.

Makro Risk Değerlendirmesi/Analizi

İDB’ler tarafından, denetim evreninde yer alan her bir denetim alanına dahil faaliyet/süreç/proje; kurumların stratejik planlarında yer alan amaç ve hedefler ile üst yönetici ve üst düzey yöneticilerin görüşleri de dikkate alınmak suretiyle risk faktörleri doğrultusunda denetim öncelikleri belirlenmek amacıyla değerlendirmeye tabi tutulmasıdır.

Mikro Risk Değerlendirmesi/Analizi

Denetim görevleri sırasında iç denetçiler tarafından kullanılan risk analizi modelidir.

Coso Çerçeveleri

COSO (The Committee of Sponsoring Organizations of the Treadway Commission) tarafından ilk olarak yayınlanan iki çerçeve var:

Bir tanesi 1992 yılında yayınlanan İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework), 2013 yılında revize edilmiştir.

Diğeri ise, 2004 yılında yayınlanan “Kurumsal Risk Yönetimi-Entegre Çerçevesi”dir (Enterprise Risk Management – Integrated Framework). 2017 yılında Strateji ve Performansla Uyumlu Kurumsal İç Kontrol Çerçevesi adıyla yeniden yayımlanmıştır.

COSO ERM 2017 Bileşenler ve Prensipler

Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesinde yer alan, birbiriyle ilişkili beş bileşen ve bunlara ait 20 prensip aşağıda kısaca ifade edilmiştir.

1. İlke: YÖNETİŞİM ve KÜLTÜR

1.Prensip: Yönetim Kurulu Risk Gözetimini Yerine Getirir

2.Prensip: Operasyonel Yapıyı Oluşturur

3.Prensip: Arzu Edilen Kültürü Tanımlar

4.Prensip: Temel Değerlere Bağlılık Gösterir

5.Prensip: Yetenekli Personeli Çeker, Geliştirir ve Elde Tutar

2. İlke: STRATEJİ ve HEDEF BELİRLEME

6.Prensip: İş Ortamını Analiz Eder 

7.Prensip: Risk İştahını Tanımlar

8.Prensip: Alternatif Stratejileri Değerlendirir

9.Prensip: İş Hedeflerini Oluşturur

3. İlke: PERFORMANS

10.Prensip: Riskleri belirler

11.Prensip: Risklerin Şiddetini Değerlendirir

12.Prensip: Riskleri Önceliklendirir

13.Prensip: Risk Cevaplarını Uygular

14.Prensip: Portföy Bakış Açısı Geliştirir

4. İlke: GÖZDEN GEÇİRME ve DÜZELTME

15.Prensip: Önemli Değişimleri Değerlendirir

16.Prensip: Riskleri ve Performansı Gözden Geçirir

17.Prensip: Kurumsal Risk Yönetiminde İyileştirmeleri Takip Eder

5. İlke: BİLGİ, İLETİŞİM ve RAPORLAMA

18.Prensip: Bilgi ve Teknoloji Avantajlarından Yararlanır

19.Prensip: Risk Bilgisinin İletişimini Yapar

20.Prensip: Risk, Kültür ve Performans Hakkında Raporlama Yapar

Sarbanes- Oxley Kanunu

Şirketlerin finansal raporlamaları üzerindeki kontrollerinin iyileştirilmesini amaçlayan ve aynı zamanda etkin kurumsal yönetimi destekleyen bir çaba olarak görülen Halka Açık Şirketler Muhasebe Reformu ve Yatırımcıyı Koruma Kanunu veya diğer adıyla Sarbanes-Oxley Kanunu, Amerika Birleşik Devletleri’ndeki borsalarda işlem gören halka açık şirketlerin tamamını kapsayacak şekilde 30 Temmuz 2002’de imzalanmıştır. Kanunun 302. ve 404. maddeleri çerçevesinde şirketlerin finansal raporlamaları üzerindeki risklerin belirlenmesi, belirlenen risklere ilişkin kontrollerin dokümante edilmesi ve değerlendirilmesi zorunlu tutulmuş, kontrollerin etkinliğinden şirket yöneticileri direk olarak sorumlu tutulmuştur.

KAYNAKLAR

• UMUÇ (Uluslararası Mesleki Uygulama Çerçevesi)-Standartlar, Uygulama Önerileri, Uygulama Rehberleri)
• Kamu İç Denetim Rehberi (Kamu İç Denetim Koordinasyon Kurulu Ankara Eylül 2013)
• İSMMMO-Kobilerde İç Denetim İçin Pratik Bilgiler 2013
• Teolupus İç denetim Rehberi Çalışmaları