TUGiAD ELEGANS WEB SiTESiNE HOSGELDiNiZ., Medyatext Web Server, Istanbul-TURKEY

ZEYNEP MERİÇ
Komtaş Yönetim Kurulu Üyesi
Board Member - KOMTAŞ

KURUMSAL RİSK YÖNETİMİ

Operasyonel süreçlerde ve risk temelli denetimde Türkiye’deki kuruluşlar için kurumsal risk yönetimi konusuna pratik bir yaklaşım...

Özel veya devlet sektöründeki kuruluşların ya da kar amacı gütmeyen kuruluşların tümü, operasyonlarında bir belirsizlikle karşı karşıyadır. Kurumsal Risk Yönetimi kuruluşların belirsizlikle ve buna bağlı riskle mücadele etmeleri için bir çerçeve oluşturmalarını sağlar.

Türkiye’deki kuruluşlar henüz operasyonlarına risk temelli bir yaklaşım uygulamamaktadırlar. Standartların uygulanmasında Türk bankaları yabancı yatırımları çekmek için öncülük etmekte ise de, onlar bile Operasyonel Risk Yönetimini yeni tanımakta ve ilgili departmanları yeni yeni oluşturmaktadırlar.

Ancak Türkiye’nin uluslararası bir finans ve ekonomi oyuncusu olması isteniyorsa, risk yönetimi konusundaki uluslararası standartların bir an önce kabul edilmesi ve uyarlanması gerekmektedir.

Operasyonel Risk Yönetiminde ve Risk Temelli Denetimde önemli uluslararası standartlar COSO’nun (Treadway Komisyonu Sponsor Kuruluşlar Komitesi) Kurumsal Risk Yönetimi Çerçevesi ile Bank of International Settlements’ın Basel 2 gerekleridir.

COSO 1985’de ABD’de kurulmuş gönüllü bir örgüttür ve iş etiği, etkin iç kontrol, şeffaf yönetim konularında uzmanlaşmıştır. İç Denetimle ilgili standartları dünyada yaygın olarak kullanılmaktadır. Kurumsal Risk Yönetimi ile ilgili COSO belgesi başarılı bir çerçeve için bir eylem planı oluşturmak üzere gerekli ilk adımları içermektedir. COSO’nun Control Self Assessment (Kontrol Öz-Değerlendirme) gibi bazı yöntemleri Türkiye’deki holdingler ve bankalar tarafından uygulanmaya başlanmıştır.

BASEL 2 banka sektörüne özgü risk yönetimi için standartlar getirmektedir. BDDK tarafından Basel 2 yol haritasına göre Türkiye için getirilen zorunluluklar bankaların operasyon riskli durumlarını ve zarar olaylarını sınıflandırmalarını, bilgi toplama sistemi geliştirmelerini, ve bunların tutulacağı merkezi bir veritabanını 2004 yılı itibariyle oluşturmalarını öngörmektedir. Zarar olaylarını sınıflandırma hususu Nisan 2003’de hazırlanmış Basel’ın 3. açıklama ekinde yayınlanmıştır. Sermaye gereksinimlerini hesaplamak için BASEL’in tanımladığı daha gelişkin formülleri izleyen bankaların 3 yıllık verilerini 2006’ya kadar toplamış olması zorunludur.

Bunların dışında da uluslararası gözetim/risk temelli standartlar vardır:

Bilgi Sistemleri Güvenliği için ISO 17799 uygulama çerçeve yasası Sarbane-Oxley Act, Bölüm 302 ve 304 (İç kontrolların kurulması ve raporlanması)

Prince 2- etkin proje yönetimi için yapısal yöntem AS/NZS 4360-1999 Avustralya/Yeni Zelanda Risk Yönetim Standardı BT Denetiminde ISACA’nın COBIT standartları.

Bu standartlar, bir kuruluşun hem kendi sektörünün özelliklerini, hem de kendi iş süreçlerini/verilerini dikkate alarak, bunları uluslararası standartlarla birleştirmesinde ve bir risk çerçevesi oluşturmasında bir adım oluyor_Ama bunu pratikte nasıl hayata geçirebilir?

Üç Aşamalı Risk Değerleme Prosesi

Bir kuruluştaki risk yöneticilerinin, risk sahiplerinin ve denetim gruplarının bir değerlendirme çerçevesini nasıl geliştireceklerini ve operasyonel risk değerlendirmelerini nasıl oluşturacaklarını göstermek üzere Üç Aşamalı Risk Değerlendirme Prosesi geliştirdik.

Aşama 1. Risk Çerçevesinin Kurulması- Risk Yönetimi/İç Denetçiler grubunca yönetilen bu aşamada, çerçeveye mevcut Risk Kayıtları dahil edilebilir; bunlar zaman zaman risk yönetiminin ihtiyacına göre değiştirilebilir- zira risk yönetiminde kesin olan tek şey değişimdir. Buraya görüşmeler, soru formları, ve uygulanan standartlar da eklenebilir.

Kurumsal risk çerçevesi risk veya denetim alanları, riskler ve kontrollardan oluşan bir hiyerarşiye göre yaratılır. Risk çerçevesinin merkezi olarak kurulması risk terminolojisinde, sınıflandırılmasında ve puanlamada tutarlılık sağlar.

Aşama 2. Risk Çerçevesinin Değerlendirilmesi- Bu aşama kullanıcılara kendi sahalarındaki risk profilini veya denetim profilini saptamak, değerlendirmek, ve gözetlemek için bir sistem sağlamalıdır.

Kullanıcılar yeni risk ve kontrol bilgilerini girebilmeli, ancak kurulma aşamasında belirlenen mevcut bilgileri değiştirememelidir; böylece şirket çapında tutarlı bir uygulama sağlanacak, değerlendirmeler hem iş birimi bazında, hem de şirket çapında konsolide ve analiz edilebilecektir. Raporlama etkin hale getirildiğinde kuruluş, risklerini şirket risk çerçevesi, hedef çerçevesi ve süreç çerçevesine göre raporlayabilecektir.

Aşama 3. Konsolidasyon-Bu aşamada ayrı ayrı risk değerlendirmeleri şirket çapında tek bir risk değerlendirmesi olarak konsolide edilir ve yönetim kuruluna, yatırımcılara ve ilgili mercilere sunulacak hale gelir.

Konsolidasyonla belli bir esnada en üstteki ‘n’ riskleri saptanır, etkin olmayan kontrollar belirlenir, tüm kayıplar görülür, alınan önlemler izlenebilir, risk profilleri iş birimi, bölüm ve coğrafik alan olarak mukayese edilebilir.

Basel 2 gibi bazı gereklerde, kuruluşların seçim şansı yoktur; en kısa sürede bu kesin kurallara uyum için kendi çerçevelerini oluşturmak zorundadırlar. Her kuruluş gelişen bu risk kültüründen yarar sağlayabilir; zira hiç bir birim risksiz bir ortamda çalışmamaktadır.

Kurumsal risk yönetimi risk dolu ortamlarda yönetimlerin daha etkin çalışmasını sağlar; Türkiye gibi hareketli piyasalarda ise bu bir avantaj haline gelmektedir.