Önsöz 
 

Risk Yönetimi Enstitüüsü (IRM)’in popüler dökkümanı ‘Kuru umsal Risk Yo onetimine (KKRY) Yapısal B Bakış 

Açısı ve IISO 31000 Yüükümlülükleri’ nin Türkçeeleştirilmiş yyorumuna ho oşgeldiniz. Beelgenin orijin
nal 
sürümü IRM ve AIRM MIC (Sigorta vve Risk Yöneeticileri Derne eği) tarafından 2009 yılınnda yayımlan nmış ve 
30.000’dden fazla sayyıda indirilmişştir.   

uz, Yeni Türkk Ticaret Kanunu gereksinnimlerinin uyygulanmasının getireceğii değişikliklerre 
Bu kılavu
uyması ggereken tüm işletmelerin n yararlanabiileceği önem
mli bir araçtır. Önde gelenn uluslararası bir risk 
yönetimi eğitim ensttitüsü olarak, IRM başarıllı bir büyümee ve gelişimi desteklemeek amacıyla TTürk iş 
dünyası ile çalışmakttan çok mutludur. 

IRM, bu dökümanın çevirisinin sp ponsorluğun u üstlenen i‐‐Risk Europe Ltd ve bu önnemli çalışmaya 

destektee bulunarak d daha geniş bbir Türk izleyiici kitlesine u
ulaşılmasını ssağlayan aşağğıda isimleri 
sıralanm
mış kişiler ve kkuruluşlara kkatkılarındann dolayı teşekkkür eder. 

Steve
e Fowler, İcraa Kurulu Başkkanı, IRM 

Katkıda b
bulunanlar vve sponsorlarr : 

  İİsmet Cinem
mre – Uluslara
arası program
mlar direktörü, i‐Risk Gro
oup 

  K
Kübra Afşar–– Bağımsız arraştırmacı 

  EEmre Özbek,, Başkan, ISA
ACA Istanbul  Chapter, Head of Interna
al Audit Vodaafone Turkey

  N
Nicola Crawfford, Genel M
Müdür, i‐Riskk Europe Ltd 

  N
Nolwenn Allaano, Risk and
d Governancce Club 

  N
Nazan Satı, B
Beyaz Gemi 

© AIIRMIC, ALARM,, IRM: 2010 
 
  İçerik 
 

Yönetici Özeti 
Giriş 
 
Bilgilendirme 
 
Bölüm 1: Risk, Risk Yönetimi ve ISO 31000 
 
1. Riskin Doğası ve Etkileri 
2. Risk Yönetimi Prensipleri 
3. ISO 31000’in Gözden Geçirimi 
4. KRY'den Faydalanmak 
 
Bölüm 2: Kurumsal Risk Yönetimi 
 
5. Planlama ve Tasarım 
6. Uygulama ve Kıyaslama 
7. Ölçme ve İzleme 
8. Öğrenme ve Raporlama 
 
Ekler 
 
A. Risk Yönetimi Kontrol Listesi 
B. Uygulama Özeti 
 
Şekil Listesi 
 
1. Risk Mimarisi, Stratejisi ve Protokolleri 
2. Riskin Yönetim Çerçevesi (ISO 31000’e göre)    
3. Risk Yönetimi Süreci (ISO 31000’e göre) 
4. Borsaya kote büyük bir şirketin örnek risk yönetimi mimarisi 
5. Risk Yönetimi Faktörleri 
 
Tablo Listesi 
 
1. Detaylandırılmış Risk Tanımı 
2. Risk Yönetimi Politika İçeriği 
3. Risk Yönetimi Sorumlulukları 
4. Risk Değerlendirme Teknikleri 

© AIRMIC, ALARM, IRM: 2010 
1 
 
 
Yönetici Özeti 
Risk yönetimi gittikçe artan önemde bir iş  Rehberin amacı
fonksiyonu olup paydaşlar, riskleri hakkında her  Başarılı Kurumsal Risk Yönetimi (KRY) girişimi 
geçen gün daha çok endişelenmektedirler. Risk  riskin gerçekleşme olasılığı ve sonuçlarını etkilediği 
stratejik kararların arkasında, organizasyondaki  gibi daha bilinçli stratejik kararları, başarılı bir 
belirsizliğin bir sebebi yada bir organizasyonun  değişim ve artan operasyonel verimliliği temin 
aktivitelerinin içine yerleşmiş olabilir. Risk  eder. Diğer yararlar ise sermaye maliyetinde 
yönetimine karşı kurum genelinde uygulanan  azalma, doğru finansal raporlama, rekabet 
bakış açısı kurumun karşılabileceği her tip riskin  avantajı, daha gelişmiş kurumsal algı, piyasada 
her süreç, aktivite, paydaş, ürün ve servisler  daha iyi bir varoluş ile kamu hizmetleri ve 
üzerindeki potansiyel etkilerini dikkate almalarını  kurumlarında daha etkili politika ve çevre desteği 
sağlar. Kapsamlı bir yaklaşım ile yapılan uygulama   olarak sıralanabilir. 
bir kurumun ‘üst risk’ (riskin iyi yönü) den 
faydalanmasıyla sonuçlanacaktır.   Bu rehber, ISO 31000 için net bir yorum sağladığı 
gibi KRY girişimi uygulamalarına da tavsiyelerde 
2008’deki küresel finansal kriz gerekli miktardaki  bulunur. Rehberin amacı; 
risk yönetiminin önemini ortaya koymuştur. O 
zamandan bu yana, ISO 31000‐ ‘Risk Yönetimi   Risk yönetimi prensip ve süreçlerini
Kuralları ve Rehberi’ de dahil olmak üzere yeni risk  tanımlamak 
yönetimi standartları yayınlamıştır. Bu rehber   ISO 31000 gereklilikleri hakkında kısa bir 
bütün bu gelişmeleri toparlayarak Kurumsal Risk  özette bulunmak 
Yönetimi (KRY) uygulamasına yapısal bir bakış açısı   Uygun bir yapı dizayn etmede pratik bir 
getirmektedir.   rehber sunmak 
 KRY uygulamasına pratik önerilerde 
Risk yönetiminin hedeflenen yararları bulunmaktır
Bütün organizasyon çeşitleri için hedefleri 
başarmada ve istenen seviyede sonuçlara 
ulaşabilmek için alınacak risklerin anlaşılması 
gereklidir. Kurumlar süreçlerinde ve 
faaliyetlerinde yerleşmiş olan risk seviyesini 
anlamak zorundadırlar. Önemli risklerin, 
belirlenerek önceliklendirilmesi ve en zayıf kritik 
kontrollerin tanımlanması kurumlar için önemlidir. 

Risk yönetimi performansını geliştirmeye 
başlarken, risk yönetiminin beklenen yararları için 
girişim önceden başlatılmalıdır. Başarılı bir risk 
yönetiminin sonuçları uyum, güvence ve gelişmiş 
karar almayı kapsar. Bu sonuçlar faaliyetlerdeki 
verimin artması, taktiklerdeki etkinlik (değişim 
projeleri) ve kurumun startejisine olan etkisi 
yollarıyla fayda sağlar.  

Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
2 
 
Giriş 
Bu rehber İngiltere’deki AIRMIC (Sigorta ve  COSO KRY Çerçevesi ve ISO
Risk Yöneticileri Derneği), Alarm (Kamu 
31000
Sektörü Risk Yönetimi Derneği), IRM (Risk 
Yönetimi Enstitüsü) gibi önemli risk yönetim  COSO 2004’de Kurumsal Risk Yönetimi (KRY) 
organizasyonlarının takım çalışması sonucu  Standardı yayınlamıştır. COSO KRY kübü risk 
oluşturulmuştur. Rehber her çeşit kuruma  yönetimi uygulayıcıları tarafından geniş ölçüde 
uygulanabilir olarak hazırlanmıştır. Rehber  tanınmakta ve KRY’i uygulamada bir taslak 
boyunca ‘kurul’ tanımı kurumun içindeki karar  sunmaktadır. COSO KRY’de önemli bir etki 
alma mekanizmasını ifade eder. Kamu  sahibi olmuştur çünkü Amerika’da borsaya 
sektöründe bu organ Konsey, Yönetim veya 
bağlı (kote) şirketlerin Sarbanes‐Oxley 
otorite olarak tanımlandırılabilir.  
  gereklilikleriyle bağlantılıdır. ISO 31000 ise 
Risk yönetiminin içeriği, nasıl uygulanması  2009’da risk yönetimi kurallarının 
gerektiği ve neler kazandırabileceği hakkında  uygulanmasına uluslararası bir standart 
pek çok görüş vardır. Uluslararası  getirilmesi amacıyla yayınlanmıştır.  
Standardizasyon Organizasyonu (ISO) 31000 
standardı 2009 yılında yayınlanmıştır ve bu  Bu rehber risk yönetimi uygulamasına 
sorulara cevap aramaktadır. Bu rehberse ISO  kurumsal bazda yapısal bir bakıç açısı getirmek 
31000 hakkında kısa bir özet sunarken ek  amacıyla hem COSO KRY hem de ISO 31000 ile 
olarak da risk yönetiminin başarıyla  uygun olacak şekilde hazırlanmıştır. Fakat 
uygulanması üzerine ek bilgiler içermektedir.  rehber uluslararası bir standart olduğundan 
Bunun yanında, bu rehber riskin aşağı yönlü  ötürü ISO 31000’e daha çok değinmektedir ve 
(olumsuz yönlü) olduğu gibi yukarı yönlü  birçok organizasyonun uluslararası 
(olumlu yönlü) de olabileceğini hatırlatır.   operasyonları vardır. ISO, ISO 31000’i 
  yayınlarken aynı zamanda Rehber 73 ‘Risk 
Risk yönetiminin prensipleri Yönetimi‐ Sözlüğü‐ Standartlarda Kullanım 
Risk yönetimi aslında birçok prensip ile  Rehberi’ ni yayınlamıştır.  
desteklenen bir süreçtir. Ayrıca risk yönetimi 
kuruma ve dış çevresine veya içeriğine uygun 
bir yapı tarafından desteklenmelidir. Başarılı  Bilgilendirme
bir risk yönetimi girişimi kurumun risk  ISO 31000 ‘Risk Yönetimi‐ Uygulamaları’ 
seviyesiyle (büyüklüğü, doğası ve  kullanım izni BSI’ya aittir. İngiliz Standartları 
organizasyonun karmaşıklığı yönünden) 
PDF veya hardcopy halinde BSI online 
orantılı, diğer kurumsal aktivitelerle uyumlu, 
kapsamlı, rutin aktivitelerin içine yerleştirilmiş  alışverişten www.bsigroup.com/  sitesinden 
ve değişen koşullara cevap vermede dinamik  veya hardcopy için telefon: +44 (0)20 8996 
bir yapıda olmalıdır.   9001, e‐mail: cservices@bsigroup.com ‘den 
  temin edilebilir. 
Bu bakış açısı, risk yönetim girişiminin ilgili 
yükümlülüklerle uyumlu, paydaşlara riskin  Şekil 1&4 ve Tablo 2, 3 ve 4 ‘Fundamentals of 
yönetiminde güvence ve gelişmiş bir karar  Risk Management’ (2010) ISBN 978 0 7494 
5942 0 www.koganpage.com‘dan ‘Kogan Page 
alma süreci sağlamasında yardımcı olur. Bu 
Limited’in izniyle üretilmiştir.  
sonuçların etkileri ve yararlarıysa daha verimli   
operasyonlar, etkili taktikler ve beklenen 
sonuçları veren stratejiler içerir. Bu yararların 
sürekli ve ölçülebilir olması gereklidir. Risk 
yönetim gerekliliklerinin tamamen 
karşılanması için yapılması gerekenlerin listesi 
Ek‐A'da sunulmuştur. 

Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
3 
BBO 
Bölüm 1: Risk, risk yönetimi ve ISO 31000 
Birinci bölüm ISO 31000’den referans alarak  Risk tanımı  
riski ve risk yönetimini gözden geçirir. Risk  Riskin ve risk yönetiminin birçok tanımı vardır. 
yönetim sürecinde kullanılan terimler tutarlı  ISO Rehber 73’de ortaya konulan risk tanımı 
değildir ve bölüm bu zorlukları yansıtır. Uygun  ‘belirsizliklerin hedeflerin üzerindeki etkisi’dir. 
standartlarda bir risk yönetiminin sağlanması  Bu tanımın uygulamasını desteklemek için 
için gerekli olan risk yönetim gerekliliklerinin  Rehber 73 aynı zamanda bu etkinin pozitif, 
özeti Ek A’da bir kontrol listesi olarak  negatif veya beklenenden sapma olabileceğini; 
sunulmuştur.   riskin genellikle olaylar, durumdaki değişimler 
  veya sonuçlar tarafından betimlendiğini 
belirtmiştir.  
1. Riskin doğası ve etkileri
 
Risklerin bir organizasyona kısa, orta ve uzun 
Bu tanım riski hedeflerle ilişkilendirmiştir. Bu 
vadeli etkileri olabilir. Bu riskler sırasıyla 
yüzden riskin tanımı ancak şirketin hedefleri 
operasyonlarla, taktik ve stratejilerle ilişkili 
detaylı ve tamamen tanımlandığında kolaylıkla 
olabilir. Strateji kurumun uzun vadeli 
uygulanabilir. Hedefler tamamen 
hedeflerini ortaya koyar ve şirketin stratejik 
tanımlandığında bile, bu hedefler ve temel 
planlama süreci yaklaşık olarak 3, 5 veya daha 
varsayımların risk yönetim süreci dahilinde 
fazla yılı kapsayabilir. Taktikler kurumdaki 
test edilmesi gerekmektedir.  
değişimi başarmanın nasıl hedeflendiğini 
 
açıklar. Bu yüzden taktiksel riskler genellikle 
projelerle, birleşme ve satın almalarla, ürün 
geliştirmelerle ilişkilendirilirir. Operasyonlar 
şirketin rutin faaliyetleridir.
 
 
   
 
 
Örneğin, bir kurumun altyapısı ve yeni bir BT sisteminin uygulanmasını düşünün. Donanım ve 
 
yazılım seçimi stratejik kararlardır. Eger bu tercihler doğru yapilmamissa, sonuçları bir süre için 
 
açıkca belli olmayacaktır. Bunlarla ilişkili riskler stratejik risklerdir ve bu riskler yarar sağlanması 
 
amacıyla alınmıştır. Doğru stratejik kararların getirdigi yararlar riskin yukari yönünün başarılı 
 
sonucudur.  
 
 
Yeni donanım ve yazılımı yüklemek projesi içerisinde stratejinin uygulanacağı yöntemleri gösteren 
 
bir değişim girişimi olacaktır. Projenin zamanında, bütçeyi aşmadan ve şartnameye uygun olarak 
 
 
teslim edilebilmesi icin proje içerisindeki risklerin yönetilmeleri gerekir. Ayrıca, projenin 
 
yürütülmesi esnasında yukarı yöne ulaşmak vasıtasıyla projenin erken ve bütçe altında teslim 
 
edilmesi mümkündür. Aynı zamanda BT donanım ve yazılımının beklenenden daha büyük yararlar 
 
sağlaması da mümkündür.  
 
 
Yeni donanım ve yazılım yüklendiğinde, sistem bilgisayar arızalanması, veri kayıpları, virüs 
 
saldırıları ve operatör hataları gibi operasyonel risklere karşı kolay etkilenebilir bir hale gelecektir. 
 
Bu operasyonel riskler çok önemli olabilir ve potansiyel kesintileri en aza indirmek için doğru 
 
tasarlanarak uygulanacak prosedürler gerekecektir. 
 
 
 
 
 
 

Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
4 
 

Risk değerlendirmelerinin Örnek olarak birçok organnizasyon, riskk 

kayded dilmesi geerçekleşme o olasılığını ve  etkisini yükssek, orta 
Risk değerlendirmesi riskin tanım mlanmasının  vee düşük seviyye olarak bellirlemekte ve e 
ardından n değerlendirilmesi veya  soonuçları 3 x 3 3 matriks şekklinde 
öncelikleendirilmesi ille devam ede er. Her risklee  suunmaktadırla ar. Diğer orgaanizasyonlarr, daha 
ilgili uygun bilginin kaydedilmesi sırasında birr  faazla seçeneğiin de olması  gerektiğini d düşünüp 
şablonun n olması öneemlidir. Tablo o 1  4 x 4 veya 5 x 5 matrikslerrini gerekli 
kaydedilmesi gerekeen bilginin kapsamını  göörebilirler. Her risk için oolasılığı ve etkkileri göz 
gösterir. Şablonun am macı tabloya a, risk kaydınna,  önnünde bulun ndurularak daaha detaylı e ek 
çalışma d dosyası ya daa bilgisayar o ortamında  annalizler için öönemli riskleerin 
sisteme girilmesi gerreken bilgilerrin  önnceliklendirilerek sıralan masına imka an 
sağlanmasıdır. Genellikle riskin b basit bir tanım mı  taanınmış olur.  
yeterli olmasına rağm men detaylı rrisk   
değerlen ndirme sürecci için detaylıı bir risk  Risk
R sınıfla andırma s sistemleri
tanımlam masının gereektiği durumlar da bazen  Riisk analizinde e önemli bir  aşama riskin n 
ortaya çıkmaktadır.  dooğasını, kayn nağını veya eetki türünü 
  taanımlamaktırr. Risklerin b u şekilde 
Riskin geerçekleşmesiinin sonuçlarrı negatif  deeğerlendirilm mesi için risk  sınıflandırmma sistemi 
(tehlike riskleri) veyaa pozitif (fırsa
at riskleri)  kuullanılabilir. R
Risk sınıflanddırma  sistem mleri 
olabileceeği gibi daha büyük bir be elirsizliğe dee  kuurumların be enzer riskleri n birikimlerini 
sebep ollabilir. Kurummlar farklı rissklere bağlı  taanımlamalarına imkan veermesi açısından 
olarak oluşan farklı o olasılık ve etkki seviyelerinne  önnemlidir. Risk sınıflandırm ma sistemlerri  ayrıca 
göre uyggun tanımlarını oluşturmalılardır. Riskk  kuurumun hang gi stratejisiniin, taktiklerin
nin veya 
sıralamaası riskin ortaaya çıkma ola asılığına, olassı  opperasyonlarının savunmaasız olduğunu 
sonuçlarrına veya etkkilerine göre nicel, yarı  taanımlaması a açısından öneemlidir.  
nicel veyya nitel olabilir.   
  Riisk sınıflandırma sistemleeri risk ayrım mlarında 
Kurumlaar ortaya çıkm ma olasılıklarrını ve  geenellikle finansal kontrol,, operasyone el 
sonuçlarrının ölçümleerini kendilerri  veerimlilik, itibar ve ticari a ktivitelere dayanır 
tanımlam maları gerekm mektedir.  faakat bütün ku urumlara uyggulanabilece ek genel 
  kaabul görmüş bir risk sınıfllandırma sisttemi 
  Tablo o 1: Detay ylandırılm mış Risk T Tanımı mevcut değild
m dir.  

Kuru
umsal Risk Yöneetimine Yapısall Bakış Açısı 
5 
 
Bu durum özellikle kamu sektöründe faaliyet  Risk farkındalığı kültürü 
gösteren ve kamuya hizmet sağlayan kurumlar  Risk yönetimi organizasyon kültürüne dahil 
için doğru olabilir.   edilmek zorundadır. Organizasyon kültürü 
  yönetim, liderlik ve Yönetim Kurulu’nun 
Birçok risk sınıflandırma sistemi olduğu gibi  desteğini içerir. Risk yönetimi risk stratejisini 
seçilen sistem kurumun büyüklüğüne, doğasına  taktiksel ve operasyonel hedeflere dönüştürmeli 
ve karmaşıklığına bağlıdır. ISO 31000 spesifik bir  ve organizasyon genelinde risk yönetim 
risk sınıflandırma sistemi önermez ve her  sorumluluklarını tayin etmelidir. Hesap 
kurumun kendi içerdiği risklere bağlı olarak  verilebilirliği, performans ölçümünü, ödülü ve 
uygun bir sistem geliştirmesini savunur.    her seviyede operasyonel verimliliğin 
  ilerlemesini desteklemelidir. Başarılı bir risk 
2. Risk yönetim prensipleri bilinç (farkındalık) kültürü uygun bir risk 
Risk yönetimi her organizasyonda stratejik  mimarisi, stratejileri ve protokolleri kurularak 
yönetimin merkezini oluşturur. Risk yönetimi  kazanılır.  
organizasyonların sistematik olarak aktiviteleri   
içindeki riskleri ele aldığı bir süreçtir. Başarılı bir  Risk yönetim sürecini başarılı bir şekilde 
risk yönetim girişimi organizasyonun risk  uygulamak, desteklemek ve sürdürebilmek için 
seviyesiyle orantılı, diğer kurumsal aktiviteleriyle  bir yapıya ihtiyaç vardır. ISO 31000 risk yönetimi 
uyumlu, hedefinde açıklayıcı, rutin faaliyetlerine  içeriği olarak bu yapıyı sunar.  
yerleşmiş ve değişen koşullara cevap vermede   
dinamik olmalıdır.   Şekil 1 risk mimarisi, stratejisi ve protokolü 
  açısından uygun bir yapı sunar ve her parçanın 
Risk yönetiminin odağı önemli risklerin  ana hatlarını kısaca açıklar. Bu yapı risk yönetim 
değerlendirilmesi ve uygun risk tepkilerinin  aktivitelerine içerik sunmak için hazırlanmıştır ve 
uygulanması olmalıdır. Hedef, kurumun bütün  risk yönetimi sürecini destekler.  
faaliyetlerinden alınabilecek maksimum   
sürdürülebilir değer olmalıdır. Risk yönetimi  Risk yönetim süreci
organizasyonu etkileyebilecek bütün aşağı ve  Risk yönetimi süreci koordine edilmiş bir dizi 
yukarı yönlü faktörlerin anlaşılmasını geliştirir.  aktivite halinde sunulabilir. Sürecin alternatif 
Risk yönetimi başarı olasılığını artırırken  tanımları da mevcuttur fakat genellikle aşağıda 
başarısızlık olasılığını ve aynı zamanda hedeflerin  listelenen adımları içerir. Aşağıdaki liste risk 
gerçekleşmesindeki belirsizlik seviyesini azaltır.   yönetiminin ‘7R’ ve ‘4T’sini belirtir (‘7R’ ve ‘4T’ 
  ingilizce kelimelerin baş harflerinden 
Risk yönetim içeriği  oluşturulmuştur).   
Risk yönetimi kurum stratejisinin gelişimini ve   
uygulanmasını destekleyecek sürekli bir süreç   ‘Recognition’ ‐ riskin tanımlanması yada 
olmalıdır. Aktivitelere bağlı olan tüm riskleri  tanınması 
sistematik bir biçimde ele almalıdır.   ‘Ranking’ ‐ riskin sıralanması yada 
Uygulamadaki tüm olayların potansiyel yararı  değerlemesi  
için fırsatlar (yukarı yönlü), başarıya ulaşmadaki   ‘Responding’ ‐ belirgin risklere cevap 
tehditler (aşağı yönlü) veya artan seviyede  verme 
belirsizlik vardır.    ‘Tolerate’ ‐ tolere etme 
   ‘Treat’ ‐ müdahale etme (aksiyon) 
Sağlık ve güvenlik riskleri için etkilerin sadece   ‘Transfer’ ‐ transfer etme 
olumsuz olabileceğinden dolayı güvenlik risk   ‘ Terminate’ ‐ sonlandırma 
yönetiminin zararın engellenmesi ve azaltılması   ‘Resourcing’ ‐ kontrollere kaynak 
üzerine odaklanması gerektiği sıklıkla  ayırılması  
tartışılmıştır. Bununla beraber, dışardan hizmet   ‘Reaction’ ‐ reaksiyon planı yapılması 
veren servis sağlayıcı şirketlerin iyi bir şekilde   ‘Reporting’ ‐ risk performansının 
hazırladıkları sağlık ve güvenlik standartlarının  raporlanması ve takibi 
kontrat kazanmalarına yardımcı olabilecek bir   ‘Reviewing’ ‐ risk yönetim çerçevesinin 
araç olması güvenlik risk yönetiminin yukarı  gözden geçirilmesi 
yönlüde olduğunun bir göstergesidir.   
Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
6 
 

Riskin tanımlanması ve sınıflandırılması beraber  Risk yönetim çerçevesi

olarak risk değerlendirme faaliyetini oluşturur.  ISO 31000 risk yönetimi sürecini destekleyecek 
ISO 31000 ‘risk yönetim aksiyonları‘ ifadesini  bir çerçeve yerine risk yönetimi uygulaması için 
‘risk cevabı’ başlığı altında ‘4T’yi dahil ederek  bir çerçeve tasvir eder. Risk yönetimi sürecini 
kullanır. Tehlike riskleri için kullanılan risk  destekleyecek çerçevenin tararımı hakkında bilgi 
cevaplarının amacı riskin tolere edilmesi,  ISO 31000’de detaylı olarak sunulmamıştır. 
müdahale edilmesi, transfer edilmesi veya riskin  Kurum risk yönetimini destekleyecek çerçevesini 
ya da riske sebep olan faaliyetin sonlandırılması  kendi risk mimarisine, stratejisine ve 
şeklinde olabilir. Birçok risk için bu cevaplar  protokollerine uygun olacak şekilde kendisi 
birlikte de uygulanabilir. Fırsat riskleri için uygun  tanımlayacaktır.  
alternatiflerin kapsamı risklerin kullanılmasını   
içerir. Reaksiyon planlaması iş süreklilik  Şekil 1’de sunulan risk mimarisi, stratejisi ve 
planlamasını ve afet kurtarma planlamasını  protokolleri risk konularının iletişimindeki içsel 
içerir.   düzenlemeleri gösterir. Ayrıca risk yönetimi 
  sürecine destek veren kişilerin ve komitelerin 
3. ISO 31000’in gözden geçirimi rollerini ve sorumluluklarını ortaya koyar. Risk 
ISO 31000 risk yönetimi uygulaması  stratejisi kurumun risk yönetimi faaliyetlerinde 
çerçevesindeki bileşenleri tanımlar. Şekil 2, bu  elde etmek istediği hedefleri ortaya koymalıdır. 
uygulama çerçevesinin basitleştirilmiş bir  Son olarak, risk protokolleri stratejilerin 
versiyonunu gösterir. Aynı zamanda  uygulanmasındaki ve risklerin yönetilmesindeki 
uygulamadaki gerekli basamakları ve risk  prosedürleri tanıtmalıdır.   
yönetim sürecinin devam eden desteğini içerir.   
ISO 31000 çerçevesinin öncelikli bileşeni  4. KRY’den faydalanmak
Yönetim Kurulu için ‘vekalet ve bağlılık’ olup  Şekil 3 Rehber 73’deki terimler kullanılarak ISO 
aşağıdakilerle devam eder;  31000’deki risk yönetimi sürecinin 
 Çerçevenin tasarımı 
sadeleştirilmiş halidir. Süreçteki kilit basamaklar 
 Risk yönetim uygulaması 
risk değerlendirilmesi ve risk yaklaşımı olarak 
 Çerçevenin takibi ve gözden geçirilmesi 
gösterilmiştir. Şekil 3 ayrıca risk yönetim 
 Çerçevenin geliştirilmesi 
sürecinin kurumun risk yönetim içeriği dahilinde 
yer aldığını gösterir.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
7 
 

 
 
 
Risk değerlendirmesi
Risk analizi yönetim tarafından dikkat edilmesi 
Risk tanımlaması kurumun maruz kaldığı 
gereken riskleri tanımlayarak operasyonun etkili 
risklerin ve belirsizliklerin tanımlanmasıdır. Bu, 
ve verimli şekilde gerçekleşmesini sağlar.Bu da  
kurum hakkında kapsamlı bilgiye sahip olmayı 
kurumda risk kontrol eylemlerinin kuruma 
gerektirir; hangi piyasada çalıştığının, bulunduğu 
sağlayacağı potansiyel avantajlar noktasında  
yasal, sosyal, politik ve kültürel ortamın 
önceliklendirilmesini sağlar. Uygun risk tepki 
tanınmasını, stratejik ve operasyonel 
yaklaşımlarının kapsamı tolere etme, müdahale  
hedeflerinin bilinmesini gerektirir. Ayrıca 
etme, transfer etme ve sonlandırmadır. Kurum 
başarıda kilit rol oynayabilecek faktörlerin, 
ayrıca kontrol ortamı geliştirme konusunda 
hedeflere ulaşmadaki tehditlerin ve fırsatların da 
ihtiyaç olup olmadığını belirleyebilir.  
bilinmesi gerekmektedir. Kurumda katma değer 
yaratabilecek bütün aktiviteler değerlendirilerek  Risk yönetimi aksiyonları
ve bu aktiviteler içinde oluşabilecek bütün  ISO 31000’de risk yönetimi aksiyonları riski 
riskler tanımlanarak risk değerlendirilmesine  şekillendirmek için uygun kontrol ölçülerini 
ulaşılmalıdır.   seçme ve uygulama faaliyeti olarak sunulmuştur.  
  Risk yönetimi aksiyonlarının en büyük bileşeni 
Risk analizinin sonuçları, her riskin ayrı ayrı 
risk kontrolü (azaltma) olmakla birlikte riskten 
önem derecesinin belirlendiği ve karşılık olarak 
alınacak önlemlerin önceliklendirildiği bir risk  kaçınma, risk transferi ve risk finansmanı olarak 
profili oluşturmak için kullanılabilir.  genişletilebilir. Bir risk yönetimi aksiyon sistemi 
Böylece tespit edilen her risk göreceli olarak  verimli ve etkili iç kontroller sağlamalıdır. İç 
derecelendirilmiş olur.  kontrolün verimliliği önerilen kontrol ölçülerine 
Bu süreç risklerin ilgili iş alanları ile ilişkilendirir,  göre riskin yok edilmesi veya azaltılma 
yürürlükteki ana kontrol mekanizmalarını  derecesidir. İç kontrolün maliyet etkinliği 
tanımlar, yatırım seviyesinin nerede azaltılması,  kontrolün uygulanma maliyetiyle risk 
artırılması veya yeniden şekillendirilmesi  indirgendiğinde sağlanan avantajlarla ilgilidir. 
gerektiğini belirler.  Yasalara ve düzenlemelere olan uyum bir 
  seçenek değildir. Kurum uygun yasaları bilmek 
Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
8 
 
zorundadır ve uyumu sağlayacak kontrol  gösterilmiştir fakat çerçeveye desteğin bir 
sistemini uygulamalıdır. Risklerin finansal  parçası olarak da görülebilir. 
etkilerine karşı uygulanabilecek bir metod   
sigortalama dahil olmak üzere risk  Raporlama ve açıklamaya ISO 31000’de çok kısa 
finansmanıdır. Fakat unutulmamalıdır ki bazı  olarak değinilmiştir ve Şekil 3’de gösterilen 
kayıplar veya kayıpların unsurları  sürece dahil edilmemiştir. Ayrıca ISO 31000’de 
sigortalanamaz. Sigortalanamayan kayıplar,  ortaya konan izleme, gözden geçirme ve geri 
çalışanların moralindeki düşüş veya kurumun  bildirim faaliyetleri risk performansının 
itibarı bu kayıplara örnek olarak gösterilebilir.   izlenmesi ve risk yönetim çerçevesinin 
  değerlendirilmesi görevlerinden belirgin bir 
Geri bildirim mekanizmaları şekilde bahsedilmez.  
ISO 31000 iki mekanizma yoluyla geri bildirimin   
önemini vurgulamaktadır. Bunlar performansın 
izlenmesi ve gözden geçirilmesi ile iletişim ve 
danışmadır. İzleme ve gözden geçirme kurumun 
risk performansını izler ve tecrübelerden 
öğrenir. İletişim ve danışma ISO 31000 risk 
yönetim sürecinin bir parçası olarak 

Kurumsal Risk Yönetimine Yapısal Bakış Açısı 
9 
 
Bölüm 2: Kurumsal risk yönetimi 
 
Yönetim kurulu görevlendirmesi ve
Bölüm 2 kurumsal risk yönetimi (KRY) 
uygulamasındaki basamakların bir özetini sunar.  desteği
Bu bölümde kullanılan terminoloji risk (tehlike)  Birçok organizasyon her sene güncellenmiş risk 
yönetiminin ‘7R’ ve ‘4T’sine dayanır. Ek B’de KRY  yönetim politikalarını yayımlarlar. Bu prensip  
girişimi uygulama sürecindeki adımların kısaca  kurumun genel risk yönetim bakışının güncel en 
açıklaması verilmiştir.   iyi uygulamayla paralel olmasını sağlar. Ayrıca 
kurumun gelecek sene için hedeflenen 
5. Planlama ve tasarım avantajlara odaklanmasına fırsat verir, risk 
Bir KRY girişiminin tasarım ve planlama  önceliklerini tanımlar, yeni ortaya çıkacak 
aşamasında göz önünde tutulması gereken bir  risklere karşı gerekli dikkatin çekilmesini garanti 
çok faktör bulunmaktadır. Risk mimarisi, strateji  eder. Politika ayrıca kurumun risk mimarisini de 
ve protokollerinin detayları kurumun risk  açıklamalıdır. Şekil 4 listede örnek olarak 
yönetim politikasına kayıtlı olmalıdır. Tablo 2  borsaya kote büyük bir şirketin klasik risk 
klasik bir risk yönetim politikasının içeriğiyle ilgili  mimarisini tasvir eder.  
bilgi sunar.   
  Yönetim Kurulu’nun görevlendirme ve desteği 
büyük önem taşır, sürekli ve üst seviyede 
olmalıdır. Görevlendirme ve destek mevcut 
olmadığı sürece risk yönetim girişimi başarısız 
olacaktır. Risk yönetim politikasının güncel 
tutulması risk yönetiminin Yönetim Kurulu 
tarafından tamamen desteklenen aktif bir 
faaliyet olduğunu gösterir.  
Table 2: Risk yönetimi politika içeriği  
 
Risk yönetim politikası aşağıdaki bölümleri içermelidir:    
 
 Risk yönetimi ve iç kontrol hedefleri (yönetişim) 
 
 Kurumun riske karşı davranış tarzının beyanı (risk stratejisi) 
 
 
 Risk farkındalığı kültürünün veya denetim ortamının açıklaması  
 
 Seviye ve mahiyeti kabul edilebilir risk (risk iştahı) 
 
 Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi) 
 
 
 Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme) 
 
 Risk analizi ve raporlama için belgeler listesi (riski protokolleri) 
 
 Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi) 
 
 
 Risk yönetimi rollerinin ve sorumluluklarının tahsisi 
 
 Risk yönetimi eğitim konuları ve öncelikleri   
 Risklerin izlenme ve  karşılaştırma ölçütleri (kıyaslama) 
 
 
 Risk yönetimi için uygun kaynakların tahsisi 
 
 Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri 

Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
10 
 

Girişimin kapsamı  
KRY girişiminin başarılı olması için geniş kapsamlı  Girişimin kapsamı kurumun elde etmek istediği 
olması gerekmektedir. Fakat geliştirilmiş risk  kar ve faydaların çeşitliliğine göre tanımlanacak 
yönetim standartlarının lanse edilmesi aniden  ve kurumun farklı paydaşlarının beklentilerinden 
başarılamayacak, aşamalı bir süreçtir. Bu yüzden  de etkilenecektir.   
kurumun KRY girişiminin hedefini gelişmeler   
ilerledikçe ortaya koyması gerekir.   
   
   
   
   
   
   
Şekil 4: Borsaya kote büyük bir şirketin örnek risk mimarisi  

   
   
 
 
 
Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
11 
 

Risk yönetimi çerçevesi  

Kurumun doğasına bağlı olarak risk yönetimi  Risk yönetimi politikasında verilecek risk yönetim 
birimi yarı zamanlı risk yöneticisi, tek bir risk  sorumluluklarının büyüklüğü geniş ve kapsamlı 
şampiyonu ya da eksiksiz bir risk yönetim  olmalıdır. Tablo 3 büyük bir şirkette risk yönetim 
departmanı olabilir. İç denetim biriminin  birimine verilecek sorumlulukları örnek olarak 
fonksiyonu da kurumdan kuruma değişiklik  sunar. Yönetim Kurulu’nun şirketin stratejik 
gösterebilir. Kurumun iç denetim biriminin  yönünü tayin etme ve risk yönetimi içeriğini 
rolünü en uygun şekilde belirleyebilmek için  oluşturma sorumluluğu vardır. Sürekli 
birimin objektifliğinden ve bağımsızlığından ödün  performans gelişimi sağlamak için devamlı 
verilmemeli ve garanti altına alınmalıdır.  düzenlemelerin yer alması gerekmektedir ve bu 
  sorumluluk muhtemelen risk yöneticisine 
  verilecektir.  

Tablo 3: Risk yönetimi sorumlulukları

1. CEO ve Yönetim Kurulu’nun Risk Yönetimi sorumlukları:

 Riskin stratejik bakış açısını belirleme ve risk iştahı ayarlama
 Risk yönetimi yapısını kurma
 En belirgin riskleri anlama
 Organizasyonu kriz anında yönetme
2. İş birimleri yöneticilerinin Risk Yönetimi sorumlulukları:
 Birim bünyesinde risk bilinci kültürünü oluşturma
 Risk yönetim performans hedeflerinde anlaşma
 Risk geliştime tavsiyelerinin uygulanmasını sağlama
 Değişen durumları/ riskleri belirleme ve raporlama
3. Bireysel çalışanların Risk Yönetimi sorumlulukları:
 Risk yönetim süreçlerini anlama, benimseme ve uygulama
 Verimsiz, gereksiz yada çalışamaz kontrolleri raporlama
 Kaybedilmiş ve kaçırılmış olayları raporlama
 Kaza soruşturmalarında yönetimle koordineli hareket etme
4.Risk yöneticisinin Risk Yönetimi sorumlulukları:
 Risk yönetim politikasını geliştirme ve güncelleme
 İçsel risk politikaları ve yapılarının dökümantasyonu
 Risk yönetim (ve iç kontrol) faaliyetlerinin koordinasyonu
 Risk bilgilerinin derlenmesi ve Yönetim Kurulu’na raporlanması
5. Uzman risk yönetim birimlerinin Risk Yönetimi sorumlulukları:
 Uzman risk politikalarını kurmada şirkete yardımcı olma
 Uzman acil durum ve kurtarma planları geliştirme
 Uzmanlık alanındaki gelişmelerin güncellenmesi
 Kaza ve benzer kayıp soruşturmalarını destekleme
6. İç denetim yöneticilerinin Risk yönetimi sorumlulukları:
 Riske dayandırılmış iç denetim programı geliştirme
 Organizasyon bünyesindeki risk süreçlerini denetleme
 Riskin yönetiminde güvence alma ve temin etme
 İç kontrollerin verimliliği ve etkinliği üzerine raporlama

   
Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
12 
 

6. Uyg
gulama ve
e kıyasla
ama kararı göz ön
k ünde bulunddurulması ge ereken 
Risk değerrlendirmesi rrisk yönetim sürecinin  konulardan b
k biridir. Kurum
mun risk tanımlamasında 
temel parççalarından biridir. Kapsammlı bir risk  ydını hangi deetay seviyesinde 
her riskin kay
h
yönetim bakış açısı eldde etmek içinn kurum yeteerli  tutacağı bu aşamada alınm ması gereken bir 
derecede vve gerekli rissk değerlendirmelerini  karardır. Risk
k değerlendirrme sürecindde diğer 
yapmalıdırr. En yaygın rrisk değerlen
ndirme  önemli bir ko
ö nuysa kurum mun kullandığı risk 
dır.  
teknikleri TTablo 4’ de yyer almaktad sınıflandırma sisteminin ttanımlanmassıdır.  
 
Risk değ
ğerlendirme prose
edürlerinin
n Risk
R değe
erlendirme
elerinin
oluşturu ulması uygulanm
u ası
nmak için ris k 
İş fırsatlarıından daha ffazla yararlan Kurum tanım
K lanan bir riskkin önemini 
değerlendirmesi karar alma sürecin nin parçasıdıır.  belirleyebilm
b ek için kıyasllayıcı ölçütle
er 
Riskin karaar alma süreccinin bir parççası olduğunnun  (b
benchmark) geliştirmeliddir. Bu kıyaslama 
garantilenmesinin bir yyolu Yönetim m Kurulu’na  ölçütlerinin y
ö apısı riskin tiipine göre de eğişir. 
sunulan bü ütün strateji dökümanlarrıyla risk  Finansal riskle
F er için mali eetki bir kıyas ölçütü 
değerlendirme raporlaarlarının bera aber  olabileceği gi
o bi kurumun ffaaliyetlerini kesintiye 
sunulmasıdır. Bunun gibi önerilen bütün  uğratabilecek
u k riskler için kkesintilerin ssüresi uygun 
projelerin risk değerlen ndirmeleri ya
apılmalı ve  bir ölçüt olab
b ilir. İtibar risskine sebep oolan olayın 
proje boyu unca risk değğerlendirmelerine devam m  etkilediği hiss
e se senedi fiyaatlarındaki değişme 
edilmelidirr. Son olarakk, risk değerle
endirmeleri  veya kilit pay
v daşlardan al ınan politik vve finansal 
rutin faaliyyetler dahilin
nde yapılmalıdır.  destekteki de
d eğişime bakıllarak kıyaslam ma 
Risk değerrlendirmeleriinin nasıl kayydedileceği  yapılabilir
y

Kurumsal  Risk 
K Yönetimine Yap
pısal Bakış Açısıı 
13 
 
Uygun risk değerlendirme prosedürlerini  İçsel ve dışsal faktörler riskin artmasına sebep 
tanımladıktan ve çeşitli sınıflardaki risklerin  olabilir. Şekil 5 Finansal, Altyapısal, Piyasa, İtibar 
önem seviyesinde kıyaslama ölçütleri  (FAPİ) Risk Sınıflandırma sistemine dayanır ve iç 
belirledikten sonra o riske karşı koyacak  ve dış risk faktörlerinden örnekler verir. Bazı 
organizasyonun kapasitesiyle birlikte risk iştahını  sınıflandırma sistemleri stratejik riski ayrı bir 
tanımlamak mümkündür. Son olarak da  kategoride değerlendirir. Fakat FAPİ bakış açısı 
organizasyon söz konusu riske ne oranda maruz  stratejik (taktiksel ve operasyonel riskler de dahil 
kaldığını belirleyebilir.   olmak üzere) risklerin bu dört başlığın altında 
tanımlanmasını öngörür. 
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
 
 
 

Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
14 
 

Risk iştahı ve toleransı kontrollerinde uygulanmasını sağlar. Risk 

Yönetim Kurulu’nun her çeşit risk için risk alma  yönetim kurallarını uygulamak için gerekli 
kuralları koyması önemlidir ve bazı  kaynaklar yönetimin her seviyesine ve her iş 
organizasyonlar bütün riskler için geçerli olacak  biriminin içine açık bir biçimde yerleştirilmiş 
bir risk iştah bildirisi hazırlamışlardır. Bir  olmalıdır. Risk yönetimi stratejik planlama ve 
kurumun çalışanların ya da müşterilerinin  bütçeleme süreçlerine de yerleştirilmelidir. 
sağlığına ya da güvenliğine bir zarar gelmesine  
sebep olma konusunda iştahı olmayacağını  Varolan kontrollerin etkinliğinin ve ek 
söylemek kolaydır. Fakat pratikte, bildirinin sağlık  kontrollerin uygulamasının yanısıra varolan 
ve güvenlik perfomansı için belirli hedefler  kontrollerin maliyet verimliliği de takip 
koyularak geliştirilmesi gerekmektedir. Risk iştahı  edilmelidir. Bunlara ek olarak, izleme ve ölçme 
beyanlarının dinamik olmaması gibi bir riski  adımları risk fakındalık (risk hakkında bilinçlenmiş 
vardır ve bu durum davranışları ve hızlı  şirket) kültürü ve risk yönetim çerçevesinin 
reaksiyonu kısıtlayabilir.  değerlemesini ve risk yönetim görevlerinin diğer 
  kurumsal aktivitelerle ne kadar uyumlu 
Yönetim Kurulu seviyesinde risk iştahı, stratejik  olduğunun değerlendirmesini içerir. 
risk alma kararları için bir motivasyondur.   
Yönetim seviyesinde risk iştahı, risklerin taktiksel  Varolan kontrolleri değerlendirme
karar sürecinde yeterli ölçüde dikkate alınmasını  Ölçme ve izleme kurumun kültürüne, 
sağlamak için bir dizi prosedüre dönüşür.  performansına ve hazırlıklılığına kadar uzanır. 
Operasyonel seviyede risk iştahı, rutin  Ölçme ve izlemenin kapsadığı aktivitelerin 
aktivitelere operasyonel kısıtlamalar getirir.  hedefleri risk geliştirme tavsiyelerinin takibini, 
Önemine ve diğer birçok risk yönetim  risk yönetim aktivitelerinin kurum içine 
standartları ve menkul kıymetler piyasası kote  yerleştirilmesinin değerlendirilmesini ve risk 
olma şartlarına dahil edilmesine rağmen, ISO  performans göstergelerinin rutin kontrolünü 
31000’de risk iştahı konseptine değinilmemesi  kapsar.  
şaşırtıcıdır.    
  Kurumun köklü değişimlere karşı koyabilmesi için 
7. Ölçme ve izleme hazırlanmasının izlenmesi risk yönetimin önemli 
Genellikle, yapılan risk değerlendirmeleri risk  bir parçasıdır. Bu aktivite normal olarak iş 
kayıt dosyasında belirtilir. Risk kayıtları için  süreklilik planlarının gelişimini ve testini ve doğal 
belirlenmiş herhangi bir standart format yoktur  afet kurtarma planlarını da kapsar. Belirlenmiş 
ve kurumların bu önemli dosya için uygun bir  risk olaylarına karşı kurumun hazırlıklı olabilmesi 
format belirlemeleri gerekmektedir. Risk kaydı  için bu planları güncel tutmak oldukça önemlidir. 
kurumun karşılaştığı belirli risklerin kaydedildiği   
statik bir rapor olmamalıdır. Risk kaydı güncel  Varolan kontrollerin değerlendirilmesi risk 
kontrollerin yanında ileriki zaman için planlanmış  iyileştirme tavsiyelerinin tanımlanmasını sağlar. 
faaliyet detaylarının da dahil edildiği bir Risk  Bu tavsiyeler risk kaydına aksiyon planı şeklinde 
Aksiyon Planı gibi görülmelidir.  kaydedilmelidir. Varolan kontrollerin etkinliğini 
  değerlendirmenin önemli bir parçası yürürlükte 
Bu alınacak aksiyonlar daha önceden tanımlanan  olan iş süreklilik ve doğal afet kurtarma 
kişiler tarafından belirli bir zaman aralığında  planlarının yeterli değerlendirmesinin olup 
tamamlanması gereken ve denetlenebilen  olmadığını güvence altına almaktır.  
aksiyonlar olarak kaydedilmelidir. Böylelikle iç   
denetim fonksiyonun halihazırda varolan 
kontrolleri izlemesini ve gerekebilecek ek 

Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
15 
 

Risk farkındalığı kültürünü  

yerleştirmek Kurumun neden risk yönetim girişimini 
Kurumun faaliyet gösterdiği çevredeki ve  başlattığının sebepleri açıkça belirtilmelidir. Aksi 
kurumun kendisindeki değişikliklerin  takdirde, kurum bu katkının beklentilerle örtüşüp 
tanımlanması ve gerekli güncellemelerin  örtüşmediğinin değerlendirmesini yapamaz. Risk 
protokollerde yapılması zorunludur. İzleme  performans göstergelerinin izlenmesi seçilen 
faaliyetleri uygun kontrollerin yürürlükte  kontrol mekanizmalarının uygunluk 
olduğuna ve prosedürlerin anlaşılıp takip  değerlendirmesi kadar risk yönetimi tarafından 
edildiğine dair güvence vermelidir. Kurum içi  yapılan katkının değerlendirmesini de içermelidir  
değişiklikler ve faaliyet alanı yürürlükteki   
prosedürlerin değişebilmesi için tanımlanmak  Risk performans takibi
zorundadır.   Risk yönetiminden ders almak aynı zamanda kilit 
durumdaki paydaşların fikirlerinin içsel ve dışsal 
Ayrıca her ölçme ve izleme süreci;  araştırmasının da yapılmasını gerektirir. Özellikle 
iç denetimin görüşü ve denetim komitesinde risk 
Uyarlanan ölçülerle hedeflenen sonuca 
yönetim faaliyetlerinin değerlendirilmesi son 
ulaşılıp ulaşılmadığına  
  derece önemlidir. Tecrübeden öğrenme risk 
 Uyarlanan prosedürlerin verimli olup  performans göstergeleri değerlendirmesinden 
olmadığına  daha fazlasını gerektirir.  
   
 Risk değerlendirmeleri için yeterli bilginin  Risk yönetimi çerçevesinin yıllık olarak risk 
bulunup bulunmadığına  mimarisi, stratejisi ve protokollerinide 
 
kapsayacak bir şekilde gözden geçirimi gerekli 
 Gelişmiş bilginin daha iyi kararlara ulaşmada 
yardımcı olup olmadığına  olacaktır. Kurumun risk bazlı denetim planının 
  olması ve uygun risk değerlendirmeleri yapması 
 Gelecekteki değerlendirmeler ve kontroller  önemlidir.  
için ders alınıp alınmadığına   
karar verebilmelidir.   Tecrübeden öğrenmenin diğer bir yöntemi de 
  Yönetim Kurulu ile denetim komitesine sağlanan 
Risk yönetiminin kurum kültürü içine yerleşmesi  denetim raporları ve risk güvencesi kaynakları 
üst yönetiminde liderliğin gösterildiği, bütün  raporlarının değerlendirilmesidir. Elde edilen 
seviyelerdeki çalışanların katılımının olduğu,  güvence seviyesinin değerlendirmesi de ayrıca 
tecrübeden öğrenilen bir kültürü, eylemlerin  gereklidir. Genellikle, yönetim için risk 
uygun bir şekilde hesap verilebilirliğini (otomatik  güvencesinin önemli bir kaynağı, risk yönetimi, 
bir suçlama kültürü geliştirmeden) ve risk  risk raporlama ve açıklanması, kazalardan elde 
konularında iyi iletişimi sunan bir ortamla  edilen bilgiler gibi konularda güvence sağlayan 
sağlanabilir.  Kontrol Risk Değerlendirme süreci gibi öz 
  değerlendirmeler olacaktır.  
8. Öğrenme ve raporlama  
Risk yönetimi sürecinin değerlendirme  Risk performans raporlaması
döngüsünün tamamlanması tecrübelerden  İçsel iletişim ve raporlamaya ek olarak, 
öğrenmenin ve performans üzerinden  kurumların dışarıya raporlama zorunluluğu da 
raporlamanın önemli basamaklarını kapsar.  olacaktır. Bu dışsal raporlamalar Turnbull ve 
Tecrübelerden öğrenmek için kurum, risk  Sarbanes‐Oxley gibi risk yönetimi ve iç kontrolle 
performans göstergelerini değerlendirmeli ve  ilgili mecburi gerekliliklere cevap niteliğinde 
kurumsal risk yönetiminin kurumun başarısına  artarak raporlanmaktadır. Dışsal risk 
olan katkısını ölçmelidir.  
Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
16 
 
raporlamaları dış paydaşlara, risklerin uygun bir   
şekilde yönetildiği güvencesini sağlamak üzere 
tasarlanmıştır.    
   
Dışsal raporlama paydaşlara risk yönetimi 
durumu hakkında ve performansta sürekli   
gelişmenin korunmasını garanti edecek 
 
faaliyetler hakkında yararlı bilgiler sunmalıdır. 
Şirketin, paydaşlarına düzenli bir şekilde   
raporlama yapma, risk yönetim politikalarını ve 
hedeflerine ulaşmadaki etkinliğini ortaya koyma   
ihtiyacı vardır. Paydaşların da, şirketlerin sosyal 
 
ilişkiler, insan hakları, çalışma uygulamaları, 
sağlık, güvenlik, çevre gibi konularda gösterdiği   
kurumsal davranışlara dikkat etme oranları artış 
göstermektedir.   
 
 
Risk raporlama tarihsel kayıplar ve eğilimler 
hakkında bilgi sağlamaktayken riskin açıklanması   
yeni oluşan risklerin tahminine dair ileriye dönük 
bir faaliyettir. Risk performasının ölçümü ve   
izlenmesi ile risk yönetim sürecini geliştirmek için 
 
tecrübelerden ders almaya yönelik adımlar atma 
arasında çok açık bir fark vardır. Ayrıca   
raporlama sayesinde risk çerçevesi ve yan 
fonksiyonlarının gelişimi için faydalı olacak   
önemli dersler çıkartılabilir. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
17 
  Ek A: Risk yönetim kontrol listesi
Ek A: Risk yönetimi kontrol listesi

Risk mimarisi     
 Risk sorumluluklarını ortaya koyan ve Yönetim Kuruluna bırakılan risk bazlı   
konuları listeleyen açıklama oluşturuldu. 
 Risk yönetim sorumlulukları uygun yönetim komitesine atandı.   
 Riskler ve kontroller üzerindeki uygun tavsiyelerin kullanılabilirliğini sağlamak için   
gerekli düzenlemeler devreye alındı.  
 Risk bilinç kültürü organizasyon bünyesinde oluşturuldu ve risk olgunluk   
seviyesinin yükseltilmesi için eylemler ele alındı    
 Yönetim Kurulu için risk güvencesi kaynakları belirlendi ve onaylandı   
RİSK Stratejisi   
 Risk iştahını, kültürünü ve felsefesini tanımlayan risk yönetim politikaları üretildi   
 Başarının kilit bağımlılıkları, başarıyı engelleyebilecek durumlarla birlikte   
belirlendi.   
 İş hedefleri onaylandı ve bu hedefleri destekleyen varsayımlar test edildi   
 Kurumun karşı karşıya kaldığı belirli riskler gerekli kritik kontrollerle birlikte   
belirlendi 
 Anahtar risk göstergelerinin uygun bir şekilde kullanımını içeren risk yönetim   
aksiyon planı hazırlandı 
 Gerekli kaynaklar belirlendi ve risk yönetimi faaliyetlerini desteklemek üzere   
temin edildi 
Risk protokolleri  
 Uygun değişikliklerle birlikte uygun risk yönetimi çerçevesi belirlendi ve   
uyarlandı 
 Uygun ve gerekli risk değerlendirmeleri tamamlandı ve sonuçları uygun bir   
formatta kaydedildi  
 Riski işin karar alma kısmına dahil etmek için prosedürler kuruldu ve uygulandı.   
 Gerekli risk tepkilerinin detayları, risk geliştirme tavsiyelerinin takibi için gerekli   
düzenlemelerle birlikte kaydedildi.  
 Risk eğilimlerinin belirlenebilmesi için  olay raporlama prosedürleri ile birlikte risk   
artış prosedürleri oluşturuldu. 
 İş sürekliliği ve afet kurtarma/iyileştirme planları hazırlandı ve test edildi.   
 Belirgin risk kontrollerinin etkinliği ve verimliliğini denetlemek için düzenlemeler   
yapıldı. 
 Riskle ilgili mecburi raporlama düzenlemeleri, en azından aşağıdaki maddelerin   
raporlarını içerecek şekilde düzenlendi: 
 
 Risk iştahı, toleransı ve kısıtlamaları 
 
 Risk mimarisi ve risk artış prosedürleri 
 
 Mevcut risk bilinç (farkındalığı) kültürü 
 
 Risk değerlendirme düzenlemeleri ve protokolleri 
 
 Belirli riskler ve anahtar risk göstergeleri 
 
 Kritik kontroller ve kontrol zayıflıkları 

Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
18 
 

Ek B: Uygulama Özeti  
 Planlama ve tasarım 
Aşağıdaki tablo Kurumsal Risk Yönetimi insiyatifi 
 Uygulama ve kıyaslama 
uygulaması sırasında atılacak adımların özet 
 Ölçme ve takip  
listesini sunar. KRY insiyatifinin başarılı bir 
uygulaması aşağıdaki 10 adımın düzenli bir   Öğrenme ve raporlama 
şekilde uygulanmasını gerektiren devamlı bir   
süreçtir. 10 adım aşağıdakilere ayrılmıştır;   
 
Faaliyet  Kavramlar / Araçlar ve Teknikler   
Planlama ve Tasarım (5. Bölüme Bakınız) 
1.  Kurumsal risk yönetimi girişiminin amaçlanan avantajlarını   KRY faydaları   
belirleme ve Yönetim Kurulunun yetkisini kazanma   Risk yönetimini   
yerleştirme 
 
2.  KRY girişiminin kapsamını belirleme ve risk için ortak bir dil   Baş risk 
geliştirme   Paydaşların beklentileri   
3.  Risk yönetimi stratejisi, çerçevesi, görevleri ve   Risk yönetimi politikası   
sorumluluklarını oluşturma   Risk mimarisi 
Uygulama ve Kıyaslama (6. Bölüme bakınız)  
4.  Risk değerlendirme prosedürlerini ve kararlaştırılmış risk   Risk tanımı   
sınıflama sistemini uyarlama/benimseme   Risk sınıflandırma 
sistemleri   
5.  Önemli risk kıyaslama (ölçütlerini) oluşturma ve risk   Risk değerlendirme   
değerlendirme  teknikleri 
 
 Önemin kıyaslama 
testleri   
6.  Risk iştahı ve risk tolerans seviyelerini belirleme ve mevcut   Risk kaydı   
kontrolleri değerlendirme   Risk iştahı 
Ölçme ve İzleme (7. Bölüme bakınız)   
7.  Mevcut kontrollerin maliyet verimliliğinden emin olma ve   Risk geliştirme planları   
geliştirmeler sunma   İş sürekliliği planları ve 
afet   
kurtarma/iyileştirme   
planları 
 
8.  Risk bilinç kültürünü yerleştirme ve risk yönetiminin diğer   Kontrol çevresi 
yönetim görevleriyle uyumunu sağlama   Risk iletişimleri   
Öğrenme ve Raporlama (8. Bölüme bakınız)
9.  Risk performans göstergelerinin KRY katkısının ölçülebilmesi   Denetim planları ve risk   
için izlenmesi ve gözden geçirilmesi  gözden geçirmeleri 
 Risk güvence kaynakları   
10.  Risk performansının yasal ve diğer gerekliliklerle   Risk raporlama 
raporlanması ve gelişimin izlenmesi   Yasal gereklilikler   
 
   

   

   

   
 
Kurumsal  Risk Yönetimine Yapısal Bakış Açısı 
19