Professional Documents
Culture Documents
ISO 31000 KRY Yapısal Bakış Açısı PDF
ISO 31000 KRY Yapısal Bakış Açısı PDF
Önsöz
uz, Yeni Türkk Ticaret Kanunu gereksinnimlerinin uyygulanmasının getireceğii değişikliklerre
Bu kılavu
uyması ggereken tüm işletmelerin n yararlanabiileceği önem
mli bir araçtır. Önde gelenn uluslararası bir risk
yönetimi eğitim ensttitüsü olarak, IRM başarıllı bir büyümee ve gelişimi desteklemeek amacıyla TTürk iş
dünyası ile çalışmakttan çok mutludur.
Steve
e Fowler, İcraa Kurulu Başkkanı, IRM
Katkıda b
bulunanlar vve sponsorlarr :
İİsmet Cinem
mre – Uluslara
arası program
mlar direktörü, i‐Risk Gro
oup
K
Kübra Afşar–– Bağımsız arraştırmacı
EEmre Özbek,, Başkan, ISA
ACA Istanbul Chapter, Head of Interna
al Audit Vodaafone Turkey
N
Nicola Crawfford, Genel M
Müdür, i‐Riskk Europe Ltd
N
Nolwenn Allaano, Risk and
d Governancce Club
N
Nazan Satı, B
Beyaz Gemi
© AIIRMIC, ALARM,, IRM: 2010
İçerik
Yönetici Özeti
Giriş
Bilgilendirme
Bölüm 1: Risk, Risk Yönetimi ve ISO 31000
1. Riskin Doğası ve Etkileri
2. Risk Yönetimi Prensipleri
3. ISO 31000’in Gözden Geçirimi
4. KRY'den Faydalanmak
Bölüm 2: Kurumsal Risk Yönetimi
5. Planlama ve Tasarım
6. Uygulama ve Kıyaslama
7. Ölçme ve İzleme
8. Öğrenme ve Raporlama
Ekler
A. Risk Yönetimi Kontrol Listesi
B. Uygulama Özeti
Şekil Listesi
1. Risk Mimarisi, Stratejisi ve Protokolleri
2. Riskin Yönetim Çerçevesi (ISO 31000’e göre)
3. Risk Yönetimi Süreci (ISO 31000’e göre)
4. Borsaya kote büyük bir şirketin örnek risk yönetimi mimarisi
5. Risk Yönetimi Faktörleri
Tablo Listesi
1. Detaylandırılmış Risk Tanımı
2. Risk Yönetimi Politika İçeriği
3. Risk Yönetimi Sorumlulukları
4. Risk Değerlendirme Teknikleri
© AIRMIC, ALARM, IRM: 2010
1
Yönetici Özeti
Risk yönetimi gittikçe artan önemde bir iş Rehberin amacı
fonksiyonu olup paydaşlar, riskleri hakkında her Başarılı Kurumsal Risk Yönetimi (KRY) girişimi
geçen gün daha çok endişelenmektedirler. Risk riskin gerçekleşme olasılığı ve sonuçlarını etkilediği
stratejik kararların arkasında, organizasyondaki gibi daha bilinçli stratejik kararları, başarılı bir
belirsizliğin bir sebebi yada bir organizasyonun değişim ve artan operasyonel verimliliği temin
aktivitelerinin içine yerleşmiş olabilir. Risk eder. Diğer yararlar ise sermaye maliyetinde
yönetimine karşı kurum genelinde uygulanan azalma, doğru finansal raporlama, rekabet
bakış açısı kurumun karşılabileceği her tip riskin avantajı, daha gelişmiş kurumsal algı, piyasada
her süreç, aktivite, paydaş, ürün ve servisler daha iyi bir varoluş ile kamu hizmetleri ve
üzerindeki potansiyel etkilerini dikkate almalarını kurumlarında daha etkili politika ve çevre desteği
sağlar. Kapsamlı bir yaklaşım ile yapılan uygulama olarak sıralanabilir.
bir kurumun ‘üst risk’ (riskin iyi yönü) den
faydalanmasıyla sonuçlanacaktır. Bu rehber, ISO 31000 için net bir yorum sağladığı
gibi KRY girişimi uygulamalarına da tavsiyelerde
2008’deki küresel finansal kriz gerekli miktardaki bulunur. Rehberin amacı;
risk yönetiminin önemini ortaya koymuştur. O
zamandan bu yana, ISO 31000‐ ‘Risk Yönetimi Risk yönetimi prensip ve süreçlerini
Kuralları ve Rehberi’ de dahil olmak üzere yeni risk tanımlamak
yönetimi standartları yayınlamıştır. Bu rehber ISO 31000 gereklilikleri hakkında kısa bir
bütün bu gelişmeleri toparlayarak Kurumsal Risk özette bulunmak
Yönetimi (KRY) uygulamasına yapısal bir bakış açısı Uygun bir yapı dizayn etmede pratik bir
getirmektedir. rehber sunmak
KRY uygulamasına pratik önerilerde
Risk yönetiminin hedeflenen yararları bulunmaktır
Bütün organizasyon çeşitleri için hedefleri
başarmada ve istenen seviyede sonuçlara
ulaşabilmek için alınacak risklerin anlaşılması
gereklidir. Kurumlar süreçlerinde ve
faaliyetlerinde yerleşmiş olan risk seviyesini
anlamak zorundadırlar. Önemli risklerin,
belirlenerek önceliklendirilmesi ve en zayıf kritik
kontrollerin tanımlanması kurumlar için önemlidir.
Risk yönetimi performansını geliştirmeye
başlarken, risk yönetiminin beklenen yararları için
girişim önceden başlatılmalıdır. Başarılı bir risk
yönetiminin sonuçları uyum, güvence ve gelişmiş
karar almayı kapsar. Bu sonuçlar faaliyetlerdeki
verimin artması, taktiklerdeki etkinlik (değişim
projeleri) ve kurumun startejisine olan etkisi
yollarıyla fayda sağlar.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
2
Giriş
Bu rehber İngiltere’deki AIRMIC (Sigorta ve COSO KRY Çerçevesi ve ISO
Risk Yöneticileri Derneği), Alarm (Kamu
31000
Sektörü Risk Yönetimi Derneği), IRM (Risk
Yönetimi Enstitüsü) gibi önemli risk yönetim COSO 2004’de Kurumsal Risk Yönetimi (KRY)
organizasyonlarının takım çalışması sonucu Standardı yayınlamıştır. COSO KRY kübü risk
oluşturulmuştur. Rehber her çeşit kuruma yönetimi uygulayıcıları tarafından geniş ölçüde
uygulanabilir olarak hazırlanmıştır. Rehber tanınmakta ve KRY’i uygulamada bir taslak
boyunca ‘kurul’ tanımı kurumun içindeki karar sunmaktadır. COSO KRY’de önemli bir etki
alma mekanizmasını ifade eder. Kamu sahibi olmuştur çünkü Amerika’da borsaya
sektöründe bu organ Konsey, Yönetim veya
bağlı (kote) şirketlerin Sarbanes‐Oxley
otorite olarak tanımlandırılabilir.
gereklilikleriyle bağlantılıdır. ISO 31000 ise
Risk yönetiminin içeriği, nasıl uygulanması 2009’da risk yönetimi kurallarının
gerektiği ve neler kazandırabileceği hakkında uygulanmasına uluslararası bir standart
pek çok görüş vardır. Uluslararası getirilmesi amacıyla yayınlanmıştır.
Standardizasyon Organizasyonu (ISO) 31000
standardı 2009 yılında yayınlanmıştır ve bu Bu rehber risk yönetimi uygulamasına
sorulara cevap aramaktadır. Bu rehberse ISO kurumsal bazda yapısal bir bakıç açısı getirmek
31000 hakkında kısa bir özet sunarken ek amacıyla hem COSO KRY hem de ISO 31000 ile
olarak da risk yönetiminin başarıyla uygun olacak şekilde hazırlanmıştır. Fakat
uygulanması üzerine ek bilgiler içermektedir. rehber uluslararası bir standart olduğundan
Bunun yanında, bu rehber riskin aşağı yönlü ötürü ISO 31000’e daha çok değinmektedir ve
(olumsuz yönlü) olduğu gibi yukarı yönlü birçok organizasyonun uluslararası
(olumlu yönlü) de olabileceğini hatırlatır. operasyonları vardır. ISO, ISO 31000’i
yayınlarken aynı zamanda Rehber 73 ‘Risk
Risk yönetiminin prensipleri Yönetimi‐ Sözlüğü‐ Standartlarda Kullanım
Risk yönetimi aslında birçok prensip ile Rehberi’ ni yayınlamıştır.
desteklenen bir süreçtir. Ayrıca risk yönetimi
kuruma ve dış çevresine veya içeriğine uygun
bir yapı tarafından desteklenmelidir. Başarılı Bilgilendirme
bir risk yönetimi girişimi kurumun risk ISO 31000 ‘Risk Yönetimi‐ Uygulamaları’
seviyesiyle (büyüklüğü, doğası ve kullanım izni BSI’ya aittir. İngiliz Standartları
organizasyonun karmaşıklığı yönünden)
PDF veya hardcopy halinde BSI online
orantılı, diğer kurumsal aktivitelerle uyumlu,
kapsamlı, rutin aktivitelerin içine yerleştirilmiş alışverişten www.bsigroup.com/ sitesinden
ve değişen koşullara cevap vermede dinamik veya hardcopy için telefon: +44 (0)20 8996
bir yapıda olmalıdır. 9001, e‐mail: cservices@bsigroup.com ‘den
temin edilebilir.
Bu bakış açısı, risk yönetim girişiminin ilgili
yükümlülüklerle uyumlu, paydaşlara riskin Şekil 1&4 ve Tablo 2, 3 ve 4 ‘Fundamentals of
yönetiminde güvence ve gelişmiş bir karar Risk Management’ (2010) ISBN 978 0 7494
5942 0 www.koganpage.com‘dan ‘Kogan Page
alma süreci sağlamasında yardımcı olur. Bu
Limited’in izniyle üretilmiştir.
sonuçların etkileri ve yararlarıysa daha verimli
operasyonlar, etkili taktikler ve beklenen
sonuçları veren stratejiler içerir. Bu yararların
sürekli ve ölçülebilir olması gereklidir. Risk
yönetim gerekliliklerinin tamamen
karşılanması için yapılması gerekenlerin listesi
Ek‐A'da sunulmuştur.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
3
BBO
Bölüm 1: Risk, risk yönetimi ve ISO 31000
Birinci bölüm ISO 31000’den referans alarak Risk tanımı
riski ve risk yönetimini gözden geçirir. Risk Riskin ve risk yönetiminin birçok tanımı vardır.
yönetim sürecinde kullanılan terimler tutarlı ISO Rehber 73’de ortaya konulan risk tanımı
değildir ve bölüm bu zorlukları yansıtır. Uygun ‘belirsizliklerin hedeflerin üzerindeki etkisi’dir.
standartlarda bir risk yönetiminin sağlanması Bu tanımın uygulamasını desteklemek için
için gerekli olan risk yönetim gerekliliklerinin Rehber 73 aynı zamanda bu etkinin pozitif,
özeti Ek A’da bir kontrol listesi olarak negatif veya beklenenden sapma olabileceğini;
sunulmuştur. riskin genellikle olaylar, durumdaki değişimler
veya sonuçlar tarafından betimlendiğini
belirtmiştir.
1. Riskin doğası ve etkileri
Risklerin bir organizasyona kısa, orta ve uzun
Bu tanım riski hedeflerle ilişkilendirmiştir. Bu
vadeli etkileri olabilir. Bu riskler sırasıyla
yüzden riskin tanımı ancak şirketin hedefleri
operasyonlarla, taktik ve stratejilerle ilişkili
detaylı ve tamamen tanımlandığında kolaylıkla
olabilir. Strateji kurumun uzun vadeli
uygulanabilir. Hedefler tamamen
hedeflerini ortaya koyar ve şirketin stratejik
tanımlandığında bile, bu hedefler ve temel
planlama süreci yaklaşık olarak 3, 5 veya daha
varsayımların risk yönetim süreci dahilinde
fazla yılı kapsayabilir. Taktikler kurumdaki
test edilmesi gerekmektedir.
değişimi başarmanın nasıl hedeflendiğini
açıklar. Bu yüzden taktiksel riskler genellikle
projelerle, birleşme ve satın almalarla, ürün
geliştirmelerle ilişkilendirilirir. Operasyonlar
şirketin rutin faaliyetleridir.
Örneğin, bir kurumun altyapısı ve yeni bir BT sisteminin uygulanmasını düşünün. Donanım ve
yazılım seçimi stratejik kararlardır. Eger bu tercihler doğru yapilmamissa, sonuçları bir süre için
açıkca belli olmayacaktır. Bunlarla ilişkili riskler stratejik risklerdir ve bu riskler yarar sağlanması
amacıyla alınmıştır. Doğru stratejik kararların getirdigi yararlar riskin yukari yönünün başarılı
sonucudur.
Yeni donanım ve yazılımı yüklemek projesi içerisinde stratejinin uygulanacağı yöntemleri gösteren
bir değişim girişimi olacaktır. Projenin zamanında, bütçeyi aşmadan ve şartnameye uygun olarak
teslim edilebilmesi icin proje içerisindeki risklerin yönetilmeleri gerekir. Ayrıca, projenin
yürütülmesi esnasında yukarı yöne ulaşmak vasıtasıyla projenin erken ve bütçe altında teslim
edilmesi mümkündür. Aynı zamanda BT donanım ve yazılımının beklenenden daha büyük yararlar
sağlaması da mümkündür.
Yeni donanım ve yazılım yüklendiğinde, sistem bilgisayar arızalanması, veri kayıpları, virüs
saldırıları ve operatör hataları gibi operasyonel risklere karşı kolay etkilenebilir bir hale gelecektir.
Bu operasyonel riskler çok önemli olabilir ve potansiyel kesintileri en aza indirmek için doğru
tasarlanarak uygulanacak prosedürler gerekecektir.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
4
Kuru
umsal Risk Yöneetimine Yapısall Bakış Açısı
5
Bu durum özellikle kamu sektöründe faaliyet Risk farkındalığı kültürü
gösteren ve kamuya hizmet sağlayan kurumlar Risk yönetimi organizasyon kültürüne dahil
için doğru olabilir. edilmek zorundadır. Organizasyon kültürü
yönetim, liderlik ve Yönetim Kurulu’nun
Birçok risk sınıflandırma sistemi olduğu gibi desteğini içerir. Risk yönetimi risk stratejisini
seçilen sistem kurumun büyüklüğüne, doğasına taktiksel ve operasyonel hedeflere dönüştürmeli
ve karmaşıklığına bağlıdır. ISO 31000 spesifik bir ve organizasyon genelinde risk yönetim
risk sınıflandırma sistemi önermez ve her sorumluluklarını tayin etmelidir. Hesap
kurumun kendi içerdiği risklere bağlı olarak verilebilirliği, performans ölçümünü, ödülü ve
uygun bir sistem geliştirmesini savunur. her seviyede operasyonel verimliliğin
ilerlemesini desteklemelidir. Başarılı bir risk
2. Risk yönetim prensipleri bilinç (farkındalık) kültürü uygun bir risk
Risk yönetimi her organizasyonda stratejik mimarisi, stratejileri ve protokolleri kurularak
yönetimin merkezini oluşturur. Risk yönetimi kazanılır.
organizasyonların sistematik olarak aktiviteleri
içindeki riskleri ele aldığı bir süreçtir. Başarılı bir Risk yönetim sürecini başarılı bir şekilde
risk yönetim girişimi organizasyonun risk uygulamak, desteklemek ve sürdürebilmek için
seviyesiyle orantılı, diğer kurumsal aktiviteleriyle bir yapıya ihtiyaç vardır. ISO 31000 risk yönetimi
uyumlu, hedefinde açıklayıcı, rutin faaliyetlerine içeriği olarak bu yapıyı sunar.
yerleşmiş ve değişen koşullara cevap vermede
dinamik olmalıdır. Şekil 1 risk mimarisi, stratejisi ve protokolü
açısından uygun bir yapı sunar ve her parçanın
Risk yönetiminin odağı önemli risklerin ana hatlarını kısaca açıklar. Bu yapı risk yönetim
değerlendirilmesi ve uygun risk tepkilerinin aktivitelerine içerik sunmak için hazırlanmıştır ve
uygulanması olmalıdır. Hedef, kurumun bütün risk yönetimi sürecini destekler.
faaliyetlerinden alınabilecek maksimum
sürdürülebilir değer olmalıdır. Risk yönetimi Risk yönetim süreci
organizasyonu etkileyebilecek bütün aşağı ve Risk yönetimi süreci koordine edilmiş bir dizi
yukarı yönlü faktörlerin anlaşılmasını geliştirir. aktivite halinde sunulabilir. Sürecin alternatif
Risk yönetimi başarı olasılığını artırırken tanımları da mevcuttur fakat genellikle aşağıda
başarısızlık olasılığını ve aynı zamanda hedeflerin listelenen adımları içerir. Aşağıdaki liste risk
gerçekleşmesindeki belirsizlik seviyesini azaltır. yönetiminin ‘7R’ ve ‘4T’sini belirtir (‘7R’ ve ‘4T’
ingilizce kelimelerin baş harflerinden
Risk yönetim içeriği oluşturulmuştur).
Risk yönetimi kurum stratejisinin gelişimini ve
uygulanmasını destekleyecek sürekli bir süreç ‘Recognition’ ‐ riskin tanımlanması yada
olmalıdır. Aktivitelere bağlı olan tüm riskleri tanınması
sistematik bir biçimde ele almalıdır. ‘Ranking’ ‐ riskin sıralanması yada
Uygulamadaki tüm olayların potansiyel yararı değerlemesi
için fırsatlar (yukarı yönlü), başarıya ulaşmadaki ‘Responding’ ‐ belirgin risklere cevap
tehditler (aşağı yönlü) veya artan seviyede verme
belirsizlik vardır. ‘Tolerate’ ‐ tolere etme
‘Treat’ ‐ müdahale etme (aksiyon)
Sağlık ve güvenlik riskleri için etkilerin sadece ‘Transfer’ ‐ transfer etme
olumsuz olabileceğinden dolayı güvenlik risk ‘ Terminate’ ‐ sonlandırma
yönetiminin zararın engellenmesi ve azaltılması ‘Resourcing’ ‐ kontrollere kaynak
üzerine odaklanması gerektiği sıklıkla ayırılması
tartışılmıştır. Bununla beraber, dışardan hizmet ‘Reaction’ ‐ reaksiyon planı yapılması
veren servis sağlayıcı şirketlerin iyi bir şekilde ‘Reporting’ ‐ risk performansının
hazırladıkları sağlık ve güvenlik standartlarının raporlanması ve takibi
kontrat kazanmalarına yardımcı olabilecek bir ‘Reviewing’ ‐ risk yönetim çerçevesinin
araç olması güvenlik risk yönetiminin yukarı gözden geçirilmesi
yönlüde olduğunun bir göstergesidir.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
6
Risk değerlendirmesi
Risk analizi yönetim tarafından dikkat edilmesi
Risk tanımlaması kurumun maruz kaldığı
gereken riskleri tanımlayarak operasyonun etkili
risklerin ve belirsizliklerin tanımlanmasıdır. Bu,
ve verimli şekilde gerçekleşmesini sağlar.Bu da
kurum hakkında kapsamlı bilgiye sahip olmayı
kurumda risk kontrol eylemlerinin kuruma
gerektirir; hangi piyasada çalıştığının, bulunduğu
sağlayacağı potansiyel avantajlar noktasında
yasal, sosyal, politik ve kültürel ortamın
önceliklendirilmesini sağlar. Uygun risk tepki
tanınmasını, stratejik ve operasyonel
yaklaşımlarının kapsamı tolere etme, müdahale
hedeflerinin bilinmesini gerektirir. Ayrıca
etme, transfer etme ve sonlandırmadır. Kurum
başarıda kilit rol oynayabilecek faktörlerin,
ayrıca kontrol ortamı geliştirme konusunda
hedeflere ulaşmadaki tehditlerin ve fırsatların da
ihtiyaç olup olmadığını belirleyebilir.
bilinmesi gerekmektedir. Kurumda katma değer
yaratabilecek bütün aktiviteler değerlendirilerek Risk yönetimi aksiyonları
ve bu aktiviteler içinde oluşabilecek bütün ISO 31000’de risk yönetimi aksiyonları riski
riskler tanımlanarak risk değerlendirilmesine şekillendirmek için uygun kontrol ölçülerini
ulaşılmalıdır. seçme ve uygulama faaliyeti olarak sunulmuştur.
Risk yönetimi aksiyonlarının en büyük bileşeni
Risk analizinin sonuçları, her riskin ayrı ayrı
risk kontrolü (azaltma) olmakla birlikte riskten
önem derecesinin belirlendiği ve karşılık olarak
alınacak önlemlerin önceliklendirildiği bir risk kaçınma, risk transferi ve risk finansmanı olarak
profili oluşturmak için kullanılabilir. genişletilebilir. Bir risk yönetimi aksiyon sistemi
Böylece tespit edilen her risk göreceli olarak verimli ve etkili iç kontroller sağlamalıdır. İç
derecelendirilmiş olur. kontrolün verimliliği önerilen kontrol ölçülerine
Bu süreç risklerin ilgili iş alanları ile ilişkilendirir, göre riskin yok edilmesi veya azaltılma
yürürlükteki ana kontrol mekanizmalarını derecesidir. İç kontrolün maliyet etkinliği
tanımlar, yatırım seviyesinin nerede azaltılması, kontrolün uygulanma maliyetiyle risk
artırılması veya yeniden şekillendirilmesi indirgendiğinde sağlanan avantajlarla ilgilidir.
gerektiğini belirler. Yasalara ve düzenlemelere olan uyum bir
seçenek değildir. Kurum uygun yasaları bilmek
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
8
zorundadır ve uyumu sağlayacak kontrol gösterilmiştir fakat çerçeveye desteğin bir
sistemini uygulamalıdır. Risklerin finansal parçası olarak da görülebilir.
etkilerine karşı uygulanabilecek bir metod
sigortalama dahil olmak üzere risk Raporlama ve açıklamaya ISO 31000’de çok kısa
finansmanıdır. Fakat unutulmamalıdır ki bazı olarak değinilmiştir ve Şekil 3’de gösterilen
kayıplar veya kayıpların unsurları sürece dahil edilmemiştir. Ayrıca ISO 31000’de
sigortalanamaz. Sigortalanamayan kayıplar, ortaya konan izleme, gözden geçirme ve geri
çalışanların moralindeki düşüş veya kurumun bildirim faaliyetleri risk performansının
itibarı bu kayıplara örnek olarak gösterilebilir. izlenmesi ve risk yönetim çerçevesinin
değerlendirilmesi görevlerinden belirgin bir
Geri bildirim mekanizmaları şekilde bahsedilmez.
ISO 31000 iki mekanizma yoluyla geri bildirimin
önemini vurgulamaktadır. Bunlar performansın
izlenmesi ve gözden geçirilmesi ile iletişim ve
danışmadır. İzleme ve gözden geçirme kurumun
risk performansını izler ve tecrübelerden
öğrenir. İletişim ve danışma ISO 31000 risk
yönetim sürecinin bir parçası olarak
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
9
Bölüm 2: Kurumsal risk yönetimi
Yönetim kurulu görevlendirmesi ve
Bölüm 2 kurumsal risk yönetimi (KRY)
uygulamasındaki basamakların bir özetini sunar. desteği
Bu bölümde kullanılan terminoloji risk (tehlike) Birçok organizasyon her sene güncellenmiş risk
yönetiminin ‘7R’ ve ‘4T’sine dayanır. Ek B’de KRY yönetim politikalarını yayımlarlar. Bu prensip
girişimi uygulama sürecindeki adımların kısaca kurumun genel risk yönetim bakışının güncel en
açıklaması verilmiştir. iyi uygulamayla paralel olmasını sağlar. Ayrıca
kurumun gelecek sene için hedeflenen
5. Planlama ve tasarım avantajlara odaklanmasına fırsat verir, risk
Bir KRY girişiminin tasarım ve planlama önceliklerini tanımlar, yeni ortaya çıkacak
aşamasında göz önünde tutulması gereken bir risklere karşı gerekli dikkatin çekilmesini garanti
çok faktör bulunmaktadır. Risk mimarisi, strateji eder. Politika ayrıca kurumun risk mimarisini de
ve protokollerinin detayları kurumun risk açıklamalıdır. Şekil 4 listede örnek olarak
yönetim politikasına kayıtlı olmalıdır. Tablo 2 borsaya kote büyük bir şirketin klasik risk
klasik bir risk yönetim politikasının içeriğiyle ilgili mimarisini tasvir eder.
bilgi sunar.
Yönetim Kurulu’nun görevlendirme ve desteği
büyük önem taşır, sürekli ve üst seviyede
olmalıdır. Görevlendirme ve destek mevcut
olmadığı sürece risk yönetim girişimi başarısız
olacaktır. Risk yönetim politikasının güncel
tutulması risk yönetiminin Yönetim Kurulu
tarafından tamamen desteklenen aktif bir
faaliyet olduğunu gösterir.
Table 2: Risk yönetimi politika içeriği
Risk yönetim politikası aşağıdaki bölümleri içermelidir:
Risk yönetimi ve iç kontrol hedefleri (yönetişim)
Kurumun riske karşı davranış tarzının beyanı (risk stratejisi)
Risk farkındalığı kültürünün veya denetim ortamının açıklaması
Seviye ve mahiyeti kabul edilebilir risk (risk iştahı)
Risk Yönetimi organizasyonu ve yordamlar için düzenlemeler (riski mimarisi)
Riski tanıma ve sıralama işlemleri ayrıntıları (risk değerlendirme)
Risk analizi ve raporlama için belgeler listesi (riski protokolleri)
Risk azaltma gereklilikleri ve kontrol mekanizmaları (risk tepkisi)
Risk yönetimi rollerinin ve sorumluluklarının tahsisi
Risk yönetimi eğitim konuları ve öncelikleri
Risklerin izlenme ve karşılaştırma ölçütleri (kıyaslama)
Risk yönetimi için uygun kaynakların tahsisi
Risk faaliyetleri ve önümüzdeki yıl için risk öncelikleri
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
10
Girişimin kapsamı
KRY girişiminin başarılı olması için geniş kapsamlı Girişimin kapsamı kurumun elde etmek istediği
olması gerekmektedir. Fakat geliştirilmiş risk kar ve faydaların çeşitliliğine göre tanımlanacak
yönetim standartlarının lanse edilmesi aniden ve kurumun farklı paydaşlarının beklentilerinden
başarılamayacak, aşamalı bir süreçtir. Bu yüzden de etkilenecektir.
kurumun KRY girişiminin hedefini gelişmeler
ilerledikçe ortaya koyması gerekir.
Şekil 4: Borsaya kote büyük bir şirketin örnek risk mimarisi
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
11
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
12
6. Uyg
gulama ve
e kıyasla
ama kararı göz ön
k ünde bulunddurulması ge ereken
Risk değerrlendirmesi rrisk yönetim sürecinin konulardan b
k biridir. Kurum
mun risk tanımlamasında
temel parççalarından biridir. Kapsammlı bir risk ydını hangi deetay seviyesinde
her riskin kay
h
yönetim bakış açısı eldde etmek içinn kurum yeteerli tutacağı bu aşamada alınm ması gereken bir
derecede vve gerekli rissk değerlendirmelerini karardır. Risk
k değerlendirrme sürecindde diğer
yapmalıdırr. En yaygın rrisk değerlen
ndirme önemli bir ko
ö nuysa kurum mun kullandığı risk
dır.
teknikleri TTablo 4’ de yyer almaktad sınıflandırma sisteminin ttanımlanmassıdır.
Risk değ
ğerlendirme prose
edürlerinin
n Risk
R değe
erlendirme
elerinin
oluşturu ulması uygulanm
u ası
nmak için ris k
İş fırsatlarıından daha ffazla yararlan Kurum tanım
K lanan bir riskkin önemini
değerlendirmesi karar alma sürecin nin parçasıdıır. belirleyebilm
b ek için kıyasllayıcı ölçütle
er
Riskin karaar alma süreccinin bir parççası olduğunnun (b
benchmark) geliştirmeliddir. Bu kıyaslama
garantilenmesinin bir yyolu Yönetim m Kurulu’na ölçütlerinin y
ö apısı riskin tiipine göre de eğişir.
sunulan bü ütün strateji dökümanlarrıyla risk Finansal riskle
F er için mali eetki bir kıyas ölçütü
değerlendirme raporlaarlarının bera aber olabileceği gi
o bi kurumun ffaaliyetlerini kesintiye
sunulmasıdır. Bunun gibi önerilen bütün uğratabilecek
u k riskler için kkesintilerin ssüresi uygun
projelerin risk değerlen ndirmeleri ya
apılmalı ve bir ölçüt olab
b ilir. İtibar risskine sebep oolan olayın
proje boyu unca risk değğerlendirmelerine devam m etkilediği hiss
e se senedi fiyaatlarındaki değişme
edilmelidirr. Son olarakk, risk değerle
endirmeleri veya kilit pay
v daşlardan al ınan politik vve finansal
rutin faaliyyetler dahilin
nde yapılmalıdır. destekteki de
d eğişime bakıllarak kıyaslam ma
Risk değerrlendirmeleriinin nasıl kayydedileceği yapılabilir
y
Kurumsal Risk
K Yönetimine Yap
pısal Bakış Açısıı
13
Uygun risk değerlendirme prosedürlerini İçsel ve dışsal faktörler riskin artmasına sebep
tanımladıktan ve çeşitli sınıflardaki risklerin olabilir. Şekil 5 Finansal, Altyapısal, Piyasa, İtibar
önem seviyesinde kıyaslama ölçütleri (FAPİ) Risk Sınıflandırma sistemine dayanır ve iç
belirledikten sonra o riske karşı koyacak ve dış risk faktörlerinden örnekler verir. Bazı
organizasyonun kapasitesiyle birlikte risk iştahını sınıflandırma sistemleri stratejik riski ayrı bir
tanımlamak mümkündür. Son olarak da kategoride değerlendirir. Fakat FAPİ bakış açısı
organizasyon söz konusu riske ne oranda maruz stratejik (taktiksel ve operasyonel riskler de dahil
kaldığını belirleyebilir. olmak üzere) risklerin bu dört başlığın altında
tanımlanmasını öngörür.
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
14
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
15
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
17
Ek A: Risk yönetim kontrol listesi
Ek A: Risk yönetimi kontrol listesi
Risk mimarisi
Risk sorumluluklarını ortaya koyan ve Yönetim Kuruluna bırakılan risk bazlı
konuları listeleyen açıklama oluşturuldu.
Risk yönetim sorumlulukları uygun yönetim komitesine atandı.
Riskler ve kontroller üzerindeki uygun tavsiyelerin kullanılabilirliğini sağlamak için
gerekli düzenlemeler devreye alındı.
Risk bilinç kültürü organizasyon bünyesinde oluşturuldu ve risk olgunluk
seviyesinin yükseltilmesi için eylemler ele alındı
Yönetim Kurulu için risk güvencesi kaynakları belirlendi ve onaylandı
RİSK Stratejisi
Risk iştahını, kültürünü ve felsefesini tanımlayan risk yönetim politikaları üretildi
Başarının kilit bağımlılıkları, başarıyı engelleyebilecek durumlarla birlikte
belirlendi.
İş hedefleri onaylandı ve bu hedefleri destekleyen varsayımlar test edildi
Kurumun karşı karşıya kaldığı belirli riskler gerekli kritik kontrollerle birlikte
belirlendi
Anahtar risk göstergelerinin uygun bir şekilde kullanımını içeren risk yönetim
aksiyon planı hazırlandı
Gerekli kaynaklar belirlendi ve risk yönetimi faaliyetlerini desteklemek üzere
temin edildi
Risk protokolleri
Uygun değişikliklerle birlikte uygun risk yönetimi çerçevesi belirlendi ve
uyarlandı
Uygun ve gerekli risk değerlendirmeleri tamamlandı ve sonuçları uygun bir
formatta kaydedildi
Riski işin karar alma kısmına dahil etmek için prosedürler kuruldu ve uygulandı.
Gerekli risk tepkilerinin detayları, risk geliştirme tavsiyelerinin takibi için gerekli
düzenlemelerle birlikte kaydedildi.
Risk eğilimlerinin belirlenebilmesi için olay raporlama prosedürleri ile birlikte risk
artış prosedürleri oluşturuldu.
İş sürekliliği ve afet kurtarma/iyileştirme planları hazırlandı ve test edildi.
Belirgin risk kontrollerinin etkinliği ve verimliliğini denetlemek için düzenlemeler
yapıldı.
Riskle ilgili mecburi raporlama düzenlemeleri, en azından aşağıdaki maddelerin
raporlarını içerecek şekilde düzenlendi:
Risk iştahı, toleransı ve kısıtlamaları
Risk mimarisi ve risk artış prosedürleri
Mevcut risk bilinç (farkındalığı) kültürü
Risk değerlendirme düzenlemeleri ve protokolleri
Belirli riskler ve anahtar risk göstergeleri
Kritik kontroller ve kontrol zayıflıkları
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
18
Ek B: Uygulama Özeti
Planlama ve tasarım
Aşağıdaki tablo Kurumsal Risk Yönetimi insiyatifi
Uygulama ve kıyaslama
uygulaması sırasında atılacak adımların özet
Ölçme ve takip
listesini sunar. KRY insiyatifinin başarılı bir
uygulaması aşağıdaki 10 adımın düzenli bir Öğrenme ve raporlama
şekilde uygulanmasını gerektiren devamlı bir
süreçtir. 10 adım aşağıdakilere ayrılmıştır;
Faaliyet Kavramlar / Araçlar ve Teknikler
Planlama ve Tasarım (5. Bölüme Bakınız)
1. Kurumsal risk yönetimi girişiminin amaçlanan avantajlarını KRY faydaları
belirleme ve Yönetim Kurulunun yetkisini kazanma Risk yönetimini
yerleştirme
2. KRY girişiminin kapsamını belirleme ve risk için ortak bir dil Baş risk
geliştirme Paydaşların beklentileri
3. Risk yönetimi stratejisi, çerçevesi, görevleri ve Risk yönetimi politikası
sorumluluklarını oluşturma Risk mimarisi
Uygulama ve Kıyaslama (6. Bölüme bakınız)
4. Risk değerlendirme prosedürlerini ve kararlaştırılmış risk Risk tanımı
sınıflama sistemini uyarlama/benimseme Risk sınıflandırma
sistemleri
5. Önemli risk kıyaslama (ölçütlerini) oluşturma ve risk Risk değerlendirme
değerlendirme teknikleri
Önemin kıyaslama
testleri
6. Risk iştahı ve risk tolerans seviyelerini belirleme ve mevcut Risk kaydı
kontrolleri değerlendirme Risk iştahı
Ölçme ve İzleme (7. Bölüme bakınız)
7. Mevcut kontrollerin maliyet verimliliğinden emin olma ve Risk geliştirme planları
geliştirmeler sunma İş sürekliliği planları ve
afet
kurtarma/iyileştirme
planları
8. Risk bilinç kültürünü yerleştirme ve risk yönetiminin diğer Kontrol çevresi
yönetim görevleriyle uyumunu sağlama Risk iletişimleri
Öğrenme ve Raporlama (8. Bölüme bakınız)
9. Risk performans göstergelerinin KRY katkısının ölçülebilmesi Denetim planları ve risk
için izlenmesi ve gözden geçirilmesi gözden geçirmeleri
Risk güvence kaynakları
10. Risk performansının yasal ve diğer gerekliliklerle Risk raporlama
raporlanması ve gelişimin izlenmesi Yasal gereklilikler
Kurumsal Risk Yönetimine Yapısal Bakış Açısı
19