Şirketlerde Risklerin Erken Teşhisi ve

Yönetimi

Bilindiği üzere yeni Türk Ticaret Kanunu, ülkemizde şirketlerin

yönetim ve denetimi ile ilgili önemli değişiklikleri içermektedir. Denetime ilişkin usul ve esaslarda
kafa karışıklıkları büyük ölçüde giderilmiş olmasına karşı, bahse konu Kanunun, 378. Maddesinde
ele alınmış olan “Riskin Erken Saptanması ve Yönetimi” konusunda bazı kafa karışıklıkları olduğu
görülmektedir. Bu kafa karışıklıkları genellikle, konunun uygulama boyutunda yapılması
gerekenler ile ilgilidir.

Kanunun 378. Maddesinde, pay senetleri borsada işlem gören ve görmeyen diğer şirketler
şeklinde ikili bir ayrım yapılmış, pay senetleri borsada işlem görenler şirketlerde, yönetim kurulu,
“riskin erken teşhisi ve yönetimine” ilişkin uzman bir komite oluşturmak ile yükümlü kılınmıştır.
Diğer şirketlerde ise bu komite, denetçinin gerekli görüp bunu yönetim kuruluna yazılı olarak
bildirmesi halinde derhal kurulacak ve ilk raporunu, kurulmasını izleyen bir ayın sonunda
verecektir.

Bu komite, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi,
bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacı ile kurulacak
olup, sistemi çalıştırmak ve geliştirmek ile yükümlü kılınmıştır.

Bu komiteye bazı şirketlerde, “Risk Komitesi”, bazı şirketlerde “Risk Yönetim Komitesi”, bazı
şirketlerde ise “Riskin Erken Saptanması ve Yönetimi” komitesi şeklinde isimlendirildiği
görülmektedir. Burada komiteye verilen isimden ziyade, komitenin teşekkülü, işlevselliği ve
sorumluluğunu nasıl yerine getirdiği önem taşımaktadır.

Oldukça fazla sayıda şirketten, ki bunların bir kısmı hisseleri borsada işlem gören şirketlerdi, bana
gelen bazı sorulardan konunun şirketlerimizin Yönetim Kurulları tarafından net anlaşılmadığını
gördüm. Yönetim Kurulları, konu ile ilgili olarak Müşavirleri ve Avukatları aracılığı ile bilgi almaya
çalışırken, alınan bu bilgilerin bazen yanlış yorumlanmış olduğunu, çoğu zaman da uygulamaya
ilişkin bir rehberlik içermediğini gözlemledim.

 
 Bu konuya ilişkin şirket yönetim kurullarının cevap aradıkları sorular şunlar:

 Komite kimlerden, nasıl oluşturulmalıdır? Dışarıdan üye almak mümkün müdür?

 Komite hangi sıklıkla toplanmalı, hangi sıklıkla raporlama yapmalıdır?
 Denetim Komitesinden farkı nedir? Yetki ve görev çatışması söz konusu olacak mıdır? Görev,
yetki ve sorumluluklar nasıl ayrıştırılacaktır?
 Komite nasıl işlev gösterecektir? Riskin erken saptanması ve yönetimine ilişkin komite üyeleri,
bizzat sahada çalışma yapacaklar mıdır?
 Risklerin erken teşhisi ve yönetimi için şirket içinde bir sistem kurmak gerekli midir? İç kontrol
ve risk yönetimi sistemleri bu ihtiyacı karşılar mı? Bu sistemleri nasıl oluşturabiliriz?
 Şirketimizde hali hazırda var olan iç denetim ve/veya risk yönetimi faaliyetlerinden nasıl fayda
sağlayabiliriz?
 Kanunun gereğini yerine getirmek adına göstermelik bir komite kursak, herhangi bir sıkıntı yaşar
mıyız?
 Risklerin erken saptanması ve yönetimi bize ne fayda sağlar? Gerçekten de kanuni bir
zorunluluğa uyum sağlamanın haricinde, şirketimizin bu işten kazancı ne olur?
 Pay senetleri borsada işlem gören bir şirket değiliz. Bu komiteyi ve buna bağlı sistemleri
oluşturmak bize ne fayda sağlar? Maliyeti ne olur?

Bu sorular ışığında konuya hem kavramsal, hem de uygulama boyutu ile açıklama getirmek
gerektiğini düşünüyorum.

Komite kimlerden, nasıl oluşturulmalıdır?

Dışarıdan üye almak mümkün müdür?
 

378. Maddenin gerekçesinde, komitenin bazı yönetim kurulu üyelerinin görevlendirilmesi ile veya
tamamen üçüncü kişiler ile oluşturulabileceği ifade edilmiştir. Komitenin tamamen veya kısmen
yönetim kurulu üyelerinden meydana gelmesi halinde, Yönetim Kurulunun, Amerika’ daki en iyi
uygulamalardan birisi olan icrai sorumluluğu olan- icrai sorunluluğu olmayan üyeler ayrımını
gözetecek şekilde oluşması gerekebilecektir. Bu konuda, kanun gerekçesinde bir açıklık
bulunmamaktadır. Öte yandan, hem ülkemizde, hem de dünya genelinde, benzer nitelikteki
kurumsal komitelerin teşkiline ilişkin iyi uygulamalara bakıldığında, komite üyelerinin
çoğunluğunun, icrai sorumluluğu bulunmayan iç veya dış üyelerden oluşması gerektiğine dair bir
görüş birliği olduğunu söylemek yanlış olmayacaktır. Kanun gerekçesinde, üçüncü kişilerin yer
alabileceğine ilişkin açıklama da bu görüşü destekler mahiyettedir.

 
Şahsi görüşüm, bu tür Komitelerin, ağırlıklı olarak, icrai sorumluluğu bulunmayan, ancak şirket
strateji ve operasyonlarını algılayabilecek mesleki yetkinliğe ve backgrounda sahip kişilerden
oluşturulması gerektiği yönündedir. Örneğin, icrai sorumluluğu bulunan, faaliyette bulunulan
sektörü ve şirket operasyonlarını iyi tanıyan bir üye, icrai sorumluluğu bulunmayan ancak hem
sektörü hem de şirketi yakından tanıyan bir üye ve dışarıdan risk yönetimi, iç denetim veya iç
kontrol alanlarında önemli mesleki deneyimi ya da bilgi birikimi bulunan üçüncü bir kişiden
oluşturulan bir komite oluşturulabilir.

Komite hangi sıklıkla toplanmalı, hangi

sıklıkla raporlama yapmalıdır?
 

Riskin Erken Teşhisi ve Yönetimi Komitesi, yeni TTK 378. Madde çerçevesinde, Yönetim kuruluna
her iki ayda bir raporlama yapmak ile mükellef kılınmıştır. Öte yandan, bahse konu Kanunun ilgili
Maddelerinde, komitenin işleyiş usul ve esaslarına dair herhangi bir bilgi yer almamaktadır. 
Benzer kurumsal komitelerin işleyişine bakıldığında (örneğin denetim komiteleri), yılda en az 4
defa toplantı gerçekleştirdikleri görülmektedir. Öte yandan, iki ayda bir raporlama yapması
gereken bir komitenin, en az iki ayda bir toplanması gerektiği de görülmektedir.

Komitenin, çalışma alanı risklerin erken teşhisi ve tedbirlerin alınmasının sağlanması olduğundan
ve geçmişe değil geleceğe dönük bir bakış açısı ile çalışması planlandığından tavsiyem, ayda en az
bir defa toplanması yönünde olacaktır. Ayrıca, daha sonra detaylıca açıklanacak olan risk yönetimi
ve iç denetim faaliyetlerinin sonuçları, daha sık ve acil toplantıyı gündeme getirebilir. Bu sebeple,
Komite prensip olarak her ayın son haftası toplanmalı, ayrıca ihtiyaca binaen de acil toplantı
gündemi ile toplanabilmelidir. Bu bağlamda, komite üyelerinin, tercihen şirket merkezinin
bulunduğu şehirde ikamet ediyor olmaları, toplantıların şirket tarafından belirlenen usul ve
esaslara uygun olarak gerçekleştirilmesini temin eden önemli bir tedbir olacaktır.

Riskin Erken Saptanması ve Yönetimi

Komitesinin Denetim Komitesinden farkı
nedir? Yetki ve görev çatışması söz konusu
olacak mıdır? Görev, yetki ve sorumluluklar
nasıl ayrıştırılacaktır?
 

Öncelikle Kanunun 378. Madde gerekçesi, Riskin Erken Teşhisi ve Yönetimi Komitesi, Finans
Denetimi ve Denetim Komitesini, şirket iç kontrol mekanizmaları olarak tanımlamıştır. Her iki
komitenin işleyişleri arasındaki fark, yine TTK’ nın 378. Maddesinin gerekçesinde ortaya
koyulmuştur. Ancak ilgili maddenin gerekçesinde, kafa karıştırıcı bazı açıklamalar da olduğu
görülmektedir. Denetim Komitesinin, yönetimin izlenmesine ilişkin bir gözetim komitesi olduğu,
Riskin Erken Teşhisi ve Yönetimi Komitesinin ise riske dönük dar kapsamlı bir komite olarak
konumlandırılmaya çalışıldığı görülmektedir. Bu konumlandırmaya ek olarak, ilgili Madde
gerekçesinde, Riskin Erken Teşhisi ve Yönetimi Komitesi, geleceğe dönük, Denetim Komitesi ise,
geçmişe dönük değerlendirmeler yapan komiteler olarak ifade edilmiştir. Denetim Komiteleri, en
iyi uygulamalara bakıldığında, geniş bir perspektiften, muhasebe ve finansal raporlama süreçleri,
iç kontrol sistemi ve iç denetim faaliyetlerinin gözetimini üstlenen komitelerdir. Risklerin kurum
genelinde tespiti, yönetimi ve izlenmesi ise Risk Komitelerine bırakılmıştır. Elbette, bu kapsam
çerçevesinde Denetim Komitelerinin, risklerin erken saptanması ve yönetimi ile ilgilenmemesi, bu
konuyu tamamen risk komitelerine bırakması da pratikte mümkün gözükmemektedir. Komiteler
arası görev, yetki ve sorumlulukların netleştirilmesi, tüm dünyada önemli bir husus olarak dikkat
çekmektedir.

Bu bağlamda, iyi uygulamalar ve tecrübelerimiz çerçevesinde bazı önerilerde bulunabiliriz.

Öncelikle her iki Komitenin görev ve sorumlulukları ile usul ve esasları yazılı Yönetmelikler ile
belirlenmelidir. Bu yönetmeliklerde, her iki Komitenin işleyişine ve birbirleri ile olan ilişkilerine net
olarak yer verilmelidir. Riskin Erken Teşhisi ve Yönetimi Komitesi, Denetim Komitesine kıyasla,
günlük operasyonlar ile daha yakından ilgilidir. Kurumsal risk yönetimi faaliyetlerinin raporlandığı
ve izlendiği bir komite olarak, Riskin Erken Teşhisi ve Yönetimi Komitesi iş süreçleri, tüm
organizasyonel seviyelerdeki risk değerlendirmeleri, kontrol öz değerlendirme faaliyetleri ve risk
yönetim strateji ve kararlarının faaliyet sonuçları ve alınması gereken aksiyonları yakından izlemek
zorundadır.

Şirketin bir kurumsal risk yönetimi sistemine sahip olması durumunda, bu sistemin önemli
bileşenleri olan kritik risk göstergelerinin takibi ve gerekli tedbirlerin alınmasının sağlanması da
komitenin görev alanına girmektedir. Bu durum her iki komiteyi birbirlerinden ayıran önemli bir
unsurdur. Risk komitesi, yönetim, organizasyon yapısı ve icrai faaliyetler ile entegre olan kurumsal
risk yönetimi sisteminin işleyişinin ve sağlıklı bir şekilde izlenmesinin teminatı olarak, daha sık,
detaylı, teknik değerlendirmeler yapmak durumundadır. Denetim Komitesinin aksine, Riskin Erken
Teşhisi ve Yönetimi Komitesinde yer alacak üyelerin kişisel özellikleri, mesleki deneyimleri ve
konuya ilişkin uzmanlıkları kritik önem arz etmektedir.

Bu çerçevede komiteler arasında iç denetimin risk yönetimine ilişkin denetim sonuçlarının

gereğinin yerine getirilmesi, kurumsal risk yönetimi çerçevesinin uygulanması (COSO veya ISO
31000 gibi), iç kontrol ve risk yönetimi faaliyetlerinin diğer kurumsal sistem ve süreçler ile
entegrasyonu, finansal risklerin yönetimi gibi konularda, sıkı bir işbirliği ve sağlıklı iletişim
kurulması gerekmektedir.

Komite nasıl işlev gösterecektir? Riskin erken

saptanması ve yönetimine ilişkin komite
üyeleri, bizzat sahada çalışma yapacaklar
mıdır?
 

Komite üyeleri, belirli bir ölçeğin (ciro, çalışan sayısı, yönetim kurulu ve icranın ayrıştığı durumlar)
üstünde olan şirketlerde risklerin erken teşhisi ve yönetimi ile ilgili sistemlerin kurulması ve
gözetimi ile sorumludurlar. Komitelerin şirketlerde ilk görevi, etkin bir kurumsal risk yönetimi
sisteminin oluşturulmasıdır. Bu sistemler, dünyada genel kabul görmüş COSO Kurumsal Risk
Yönetimi Çerçevesi ya da ISO 31000 gibi modellere göre yapılandırılmalıdır. Bu en iyi uygulamalar
çerçevesinde yapılandırılan risk yönetimi faaliyetleri, daha anlaşılır, tanımlanabilir ve sistematik
hale gelecektir. Komite üyeleri, görev süreleri boyunca kurumsal risk yönetimi sisteminin
oluşturulması, işlevselliğinin sağlanması ve kurum içinde sahiplenilmesi için çaba gösterirler.

Komite üyelerinden bizzat risk yönetim çalışmalarına katılmaları, bu çalışmaları yürütmeleri ya da

içinde olmaları beklenmez. Öte yandan, denetim komitesi üyelerinden farklı olarak, icra ile daha
yakın çalışmaları gerekmektedir. Kurumsal amaç ve hedefler ile bunları tehdit eden stratejik
risklerin belirlenmesi, izlenmesi, yönetimin genel risk iştahının ve farklı seviyelerdeki risk
toleranslarının belirlenmesi gibi konularda aktif bir yaklaşım sergilemeleri ve beklenir. Belirli bir
ölçeğin üzerindeki şirketlerde, komite üyelerinin kurumsal risk yönetimine ilişkin görev ve
sorumluluklarını yerine getirmede izleme ve raporlama faaliyetleri ağırlıklıdır.

Öte yandan, belirli bir ölçeğin altında olan, yönetim kurulu- icra fonksiyonlarının çeşitli sebepler ile
tam ayrışamadığı şirketlerde, komite üyelerinin, risklerin erken teşhisi ve yönetimine ilişkin daha
aktif bir tutum sergilemeleri beklenir. Stratejik ve operasyonel düzeylerde iyi risk yönetimi için
şirket içinde aktif bir iletişim politikası izlemeleri ve risk yönetimini, Yönetim Kurulu’ nun
öncelikleri arasında üst sıralara taşımaya çalışmaları gerekir. Kurumsal risk yönetimine ilişkin
farkındalık kazanmak, yönetim kuruluna kazandırmak, dış uzmanlardan destek almak ve kurumsal
risk yönetimi “iç ortamını” oluşturmak için çaba sergilemeleri gerekebilir.

Genellikle, yönetim-icra ilişkileri gayrı resmi ve iç içe olan kurumlarda, etkin bir risk yönetimi
sağlamak zor olabilir. Özellikle belirli bir ölçeğin üzerindeki aile şirketlerinde, aile bireylerinin
şirketin icrai fonksiyonların başında olmaları, etkin risk yönetimini zorlaştırabilir. Bu gibi hallerde,
komite üyelerinden en az bir tanesinin yönetim kurulundaki sözü geçen aile üyelerinden
oluşturulması gerekmektedir. Ölçeğin ve yönetsel yapının durumuna göre, komite üyelerinin, saha
çalışmalarına da aktif katılmaları gerekebilir. En kötü ihtimalle saha çalışmalarını yakından
izlemeleri ve bu konuya önem verdiklerini hissettirmeleri gerekir.

Komite üyeleri genel anlamda, izleme ve raporlama sorumluluğu taşısalar da, belirli ölçeğin
altında yer alan bazı kurumlarda, etkin risk yönetimi sistemleri oluşturmak amacıyla, icra ile daha
yakın çalışmak durumunda kalabilirler.

 
 

Risklerin erken teşhisi ve yönetimi için şirket

içinde bir sistem kurmak gerekli midir? İç
kontrol ve kurumsal risk yönetimi sistemleri
bu ihtiyacı karşılar mı? Bu sistemleri nasıl
oluşturabiliriz?
 

Kurumsal risk yönetimi ve iç kontrol sistemleri, doğru kurgulandığı ve sağlıklı bir şekilde işletildiği
takdirde, risklerin erken teşhisi ve yönetimi için fazlasıyla yeterlidir. COSO’ nun 1992 tarihli
Entegre İç Kontrol Çerçevesi ile 2004 tarihli Kurumsal Risk Yönetimi Çerçeveleri (www.coso.org)
bu sistemlerin nasıl oluşturulacağı ve denetleneceği ile ilgili rehberlik sağlamaktadır.

İç kontrol ve kurumsal risk yönetimi sistemleri özünde, risklerin yönetileceği ortamların

tanımlanması ve iyileştirilmesi ile başlamakta, risklerin tespiti ile devam etmekte, uygun tedbirler
alınmak suretiyle risklerin azaltılması ya da doğru stratejiler ile yönetilmesi ile de ana işlevlerini
tamamlamaktadır. Bu sistemlerin özünde “risk” lerin kurumun risk iştahı ve risk toleransları
çerçevesinde kabul edilebilir seviyelere indirilmesi vardır.

Prensip olarak, kurumsal risk yönetimi, iç kontrol sistemini de içermektedir. COSO yayınladığı
uygulama araç ve rehberlerinde, önceliği iç kontrol sisteminin oluşturulmasına, daha sonra
sistemin kurumsal risk yönetimine dönüştürülmesine yönelik yönlendirme yapmaktadır. Bu
bağlamda, risklerin erken teşhisi ve önlenmesi komiteleri açısından atılacak ilk adım iç denetimi de
içeren, sağlıklı bir iç kontrol sistemi oluşturulması olabilir. Öte yandan, doğrudan kurumsal risk
yönetimi sistemi oluşturmak ile de başlamak mümkündür. COSO, bunun da mümkün olduğunu ve
tercih eden şirketlerin doğrudan kurumsal risk yönetimi çerçevesini kullanmaya başlayabileceğini
belirtmektedir.

Bu sistemlerin oluşturulması için ilk adım, kurum içi farkındalığın ölçülmesidir. Farkındalık,
şirket/birim yöneticilerine yapılacak anketler veya mülakatlar ile ölçülebilir. Farkındalığın tespiti
sonrası, kurum içinde, bu çalışmaları koordine edecek uygun bir yöneticinin bulunması, tüm
birimlerden belirlenecek uygun adaylar ile bir proje ekibi oluşturulması ve bu ekibe kurumsal risk
yönetimi ile ilgili eğitim desteği sağlanması bir sonraki adımdır. Holdinglerde, holdinge bağlı
şirketlerden uygun adaylar belirlenmesi ve çalışmaların merkezi bir şekilde yürütülmesi
gerekebilir. Eğitim alan, farkındalığı yükselen ve aynı dili konuşmaya başlayan proje ekibi, eğer
dışarıdan danışmanlık desteği de alabilir ise, kurumsal risk yönetimi sistemini oluşturma projesine
start verilebilir.

 
 Kurumlarda, risklerin erken teşhisi ve yönetimi komitelerinin, atacağı ilk adım, dışarıdan doğru
niteliklerde danışmanlık desteği sağlamak olmalıdır. Risk yönetimi, iç kontrol ve iç denetim gibi
konular uzmanlık gerektiren, teknik konulardır. İç denetim departmanı bulunan şirketlerde dahi,
risk yönetimine ilişkin bir uzmanlık bulunmayabilir. Kurumsal risk yönetimi sistemi oluşturmada;
yönetim ve organizasyon, süreç yönetimi, süreç analizi, risk analizi, kontrol tasarımı, kontrol
denetimi, izleme sistemleri oluşturma, proje yönetimi ve çatışma yönetimi gibi alanlarda uzmanlık
gerekmektedir. Bu uzmanlıkların şirketlerde bulunması her zaman mümkün olmamaktadır.

Kurumsal risk yönetimi sistemi oluşturmada destek alınacak olan danışmanların, başta CIA olmak
üzere, CCSA ve CRMA gibi sertifikalara sahip olmaları, bu alanda en az 5 danışmanlık projesinde
görev almış olmaları ve tercihen önemli bir uygulama deneyimine sahip olmaları şartları
aranmalıdır. Komitelerin, güvenilir ve yetkin danışmanların desteğini almaları, kurumlarında
oluşturacakları kurumsal risk yönetimi ve/&veya iç kontrol projelerinin başarısını belirleyen en
önemli unsur olacaktır.

Şirketimizde hali hazırda var olan iç denetim

ve/veya risk yönetimi faaliyetlerinden nasıl
fayda sağlayabiliriz?
 

Kurumda hali hazırda bir risk yönetimi faaliyeti bulunuyor ise, komite açısından bu faaliyetin
gözetimi önem kazanır. Komite üyelerinin, kurumda bulunan risk yönetimi faaliyetleri ile ilgili bir
değerlendirme yapmaları önem taşır. Bu değerlendirmede aşağıdaki soruları sormak ve
cevaplarını almak gerekmektedir:

 Risk yönetimi faaliyetlerinde bir en iyi uygulama modeli kullanılmakta mıdır?

 Risk yönetimi, silolar halinde (her birim ya da alanda farklı şekilde) mi, yoksa kurumsal bir
yeknesaklık çerçevesinde mi yürütülmektedir?
 Risk yönetimi faaliyeti sonuçları raporlanmakta mıdır?
 Risk yönetimi faaliyetleri, iç denetim tarafından denetlenmekte midir? Denetim sonuçları risk ve
denetim komitelerine düzenli olarak raporlanmakta mıdır?
 Kurum içinde kurumsal risk yönetimi ile ilgili farkındalık gittikçe artmakta mıdır?
 İç ortam (kontrol ortamı) iyi kurumsal risk yönetimini destekler mahiyette midir?

Bu sorulara verilecek cevaplara göre, kurumsal risk yönetimi sistemi iyileştirilebilir. Bu noktada,
eğer kurum içinde bir iç denetim faaliyeti bulunuyor ise, iç denetçilerin kurumsal süreçler,
mevzuat ve risklere ilişkin bilgilerinden de faydalanmak gerekir. İç denetçilerin süreçte, eğer
yetkinlikleri bulunuyor ise, danışman olarak rol almaları ve denetim komitesine danışmanlık
yapmaları iyi uygulamalardan bir tanesi olarak görülmektedir.
 

Risk yönetiminin hiç bulunmamasındansa, silolar halinde bulunması tercih edilir. Bu anlamda, sil
baştan bir kurumsal risk yönetimi sistemi oluşturmak yerine, mevcut faaliyetlerin, bir en iyi
uygulama (COSO ERM) çerçevesinde entegre edilmesi ve kurum genelindeki faaliyetlerde
yeknesaklık sağlanması yerinde olacaktır.

Kanunun gereğini yerine getirmek adına

göstermelik bir komite kursak, herhangi bir
sıkıntı yaşar mıyız?
 

Pek çok şirket, risk komiteleri ve bu komitelere bağlı kurumsal risk yönetimi sistemlerinden
sağlayacakları faydaları bilmediğinden, Kanunun gereğini göstermelik olarak yerine getirmektedir.
SPK ve BDDK mevzuatına tabi şirketlerde, ilgili kurumların yakın gözetimi nedeniyle mutlaka
komiteler oluşturulsa da bu komiteler pratikte işlevsel olmamaktadır. Sebebi komite üyelerinin
görev ve sorumlulukları konusunda yeterince bilgi sahibi olmamaları, konunun yönetim kurulu
nezdinde öncelik taşımaması ve yanlış yönlendirilmedir.

Komite üyeliği, bir angarya olarak görülüp, hele ki üyeler farklı şehir ya da ülkelerde yaşayan
kişiler olduğunda, bu komitelerin toplanması bile sorun olmaktadır. Oysa ki, risk komiteleri,
sağladıkları risk gözetimi hizmeti ile, kurumsal yönetim açısından en kritik araçlardan bir tanesidir.
Bu bağlamda, komite üyelerinin bu sorumluluğun ayırdında olmaları önemlidir. Şirket yönetim
kurulları, risk yönetimi kavramına gereken önemi vermeye başladıklarında, konu kanuni bir
zorunluluk olarak değil, şirkete fayda sağlayacak bir uygulama olarak görülmeye başlanacak, bu
sayede, risk yönetimi kurumlarda sağlıklı bir şekilde uygulanabilecektir.

Komitenin göstermelik olarak oluşturulması yerine, gerçekten fayda sağlamaya yönelik bir misyon
çerçevesinde oluşturulması önerilmektedir.

Risklerin erken saptanması ve yönetimi bize

ne fayda sağlar? Gerçekten de kanuni bir
zorunluluğa uyum sağlamanın haricinde,
şirketimizin bu işten kazancı ne olur?
 
 Risklerin erken saptanması ve uygun stratejiler ile yönetilmesi, büyümeden, karlılığa, verimlilikten,
itibar yönetimine, yasal uyumdan, hissedarların memnuniyetine kadar hemen her alanda büyük
önem taşır.

Risk yönetimi, konuya uzak olanların algıladığı şekilde sadece finansal boyutu olan bir konu
değildir. Risk yönetimi, kurumun tüm seviyelerinde uygulanan ve önemli kazanımlar sağlayan bir
sistemdir.

Riskler, organizasyonun amaç ve hedeflerine ulaşmasını engelleyen, kuruma zarar verebilecek

tehditlerdir. Bu tehditleri tanımlayıp, önceliklendirmek suretiyle ortadan kaldırmak, yönetimin asli
fonksiyonlarından birisidir. İyi kurumsal yönetim, risk yönetimi olmadan olmaz. Şirket ya da kamu
kurumlarında, kurumsal performansın önemli bir unsuru risk yönetimidir.

Yeni TTK ve 5018 sayılı Kanun, kurumsal yönetim kanunlarıdır. Türk şirketleri ve kamu
idarelerinin hesap verebilir, şeffaf, sorumlu ve adil bir yönetim anlayışı ile yönetilebilmeleri için
bazı kural ve politikaları ortaya koymaktadır. Bunların başında ise, iç kontrol ve risk yönetimi
gelmektedir.

Bir kurumun;

 Stratejik, mali ve operasyonel hedeflerine ulaşması,

 Mali ve operasyonel raporlamaların tamlığı ve doğruluğu,
 Varlıkların korunması
 Kanun ve düzenlemelere uyum sağlaması
 Faaliyetlerinde etkinlik, verimlilik ve ekonomikliği

sağlaması için iç kontrol ve kurumsal risk yönetimi gerekmektedir.

Bu sistemlere sahip olmayan kurumlarda, yukarıdaki kategorilerde yer alan koşullarda sorunlar
yaşanabilir. Yukarıda belirtilen koşulları sağlayamayan bir şirketin ya da kurumun varlığını
sürdürmesi kısa vadede mümkün olsa da, uzun vadede mümkün olamaz.

Risklerin erken teşhisi ve yönetimi komitelerinde görev alan kişilerin, bu koşulların önemini ve risk
yönetimi sistemi bulunmaması halinde, bu koşulların sağlanamayacağını bilmeleri gerekmektedir.
Kurumsal risk yönetimi, bir ISO 9001 dokümantasyonu, bir tür denetim, bir dokümantasyon işi
değil, tam tersi kurumların varlığını sürdürmesi, itibarını koruması, para kazanması ve başarılı
olması ile ilgili bir konudur.