5. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I aofsoru.blog

Transkript

1 5. KURUMSAL RİSK YÖNETİMİNİN İÇERİĞİ I Kurumsal risk yönetimi birbirinden bağımsız olmayan ve birbiriyle karşılıklı etkileşim içerisinde olan sekiz bileşenden oluşmaktadır. Bu bileşenler şunlardır: İç Ortam Amaç/Hedef Belirleme Olay Tanımlama Risk Değerlendirme Risk Tepkileri Kontrol Faaliyetleri Bilgi ve İletişim. İzleme 5.1.İç Çevre / Ortam Kurumun risk yönetim felsefesi, risk iştahı, yönetimin felsefesi/çalışma tarzı, dürüstlük ve etik değerler, personelin uzmanlığı ile organizasyonel yapı iç ortam faktörleri arasındadır İç ortam/çevre, kurumdaki bütün personelin risk bilincini etkilediği için kurum kültürünü yansıtır 5.2.Amaçların Belirlenmesi Amaç/hedef belirleme olay tanımlama, risk değerlendirme ve risk tepkilerinin ön şartıdır.. COSO nun Kurumsal Risk Yönetimi Modeli doğrultusunda amaçlar aşağıdaki şekilde sınıflandırılmaktadır: Stratejik Amaçlar; Kurumun misyonunu ve vizyonunu destekleyen üst düzey amaçlardır. Operasyonel Amaçlar; Kurumun temel görevlerinin gerçekleştirilmesine yönelik, faaliyetlerin etkinliği ve verimliliği ile performans standartları ve varlıkların kayıplara karşı korunmasını da içeren amaçlardır. Raporlama Amaçları; Hesap verme sorumluluğu da dâhil olmak üzere raporlamanın güvenilirliğine ilişkin amaçlardır. Güvenilir raporlamanın temel amacı, sağlıklı karar verebilmesi için yönetime, uygun, doğru ve tam bilgi sağlamaktır. Uygunluk/Uyum Amaçları; Yürürlükteki yasa ve düzenlemeler ile politikalara uygunluğa ilişkin amaçlardır. Birimin amaçlarının/hedeflerinin bu şekilde açıkça belirlenmesi, birim performansının ölçülmesi ve izlenmesini de kolaylaştıracaktır

2 5.3. Olay Tanımlama KRY bileşenlerinden üçüncüsü olan olay tanımlama, gelecekte karşılaşılabilecek olan ve kurum amaçlarının/hedeflerinin gerçekleşmesini engelleyebilecek olay veya durumların tanımlanmasıdır Olaylar tanımlanırken iki önemli konuya dikkat edilmelidir. Bunlardan biri gelecekte olma olasılığı diğeri ise fırsat veya tehdit içermesidir Yönetimin amacı, kurumun risk ve fırsatlara hazırlıklı olmasını sağlamaktır. Bu hazırlık, olumsuzluklar karşısında çaresizliğe düşülmesini engelleyecek veya fırsatlardan azami ölçüde istifade edilmesini sağlayacaktır Olay Tanımlama İçin Gerekli Verilerin Elde Edilmesi Olay (risk/fırsat) tanımlama sürecine yön veren temel belgeler; kurum stratejik planı ve hedefleri, performans planı/programı, kontrol listeleri, kayıtlara ve deneyimlere bağlı çıkarımlar, akış diyagramları, tartışmalar, sistem analizleri, senaryo analizleri ve sistem mühendislik teknikleridir. Kullanılan yaklaşım, gözden geçirilen aktivitelerin doğasına, risk tiplerine, kurumun iç unsurlarına ve risk yönetim çalışmasının amacına bağlı olarak değişecektir Olayların (Risklerin/Fırsatların) Kaynakları Amaçlar/hedefler üzerinde etki yaratabilecek olaylar, iç veya dış ortamdan kaynaklanabilir Risklerin kaynağının belirlenmesi, risklerin yönetilmesini kolaylaştırır. Kurum içi nedenlerden kaynaklanabilecek risklerin yönetimi dış kaynaklardan doğabilecek risklere göre daha kolaydır. Dış faktörlere/kaynaklara örnek olarak, ülkedeki ekonomik veya siyasi durum, doğal afetler, nüfus yapısı, teknolojik değişiklikler; iç faktörlere ise, kurumun organizasyon yapısı, insan kaynakları, kurum kültürü, teknoloji alt yapısı, bütçe büyüklüğü v.b. verilebilir Olay (Risk/Fırsat) Tanımlamada Kullanılan Yöntemler Bunlar çalıştaylar, mülakatlar ve atölye çalışmaları, senaryo analizleri, anketler, süreç analizleri, beyin fırtınası, sektör karşılaştırmaları, geçmiş hataların analizi, tarihsel veriler temelli tanımlama ve performans gözden geçirmeleri olarak sıralanabilir Risklerin tanımlanması aşamasında kullanılabilecek bir diğer yöntem de kurum geçmişine ait verilerin incelenmesidir. İncelenecek veriler muhasebe kökenli olabileceği gibi geçmiş dönem denetim çalışma kâğıtları, vatandaş/müşteri şikâyetleri, iş akış şemaları ve faaliyetlerin yürütülmesi sırasında uyulması geren yönetmelikler de dahil olmak üzere geniş kapsamlı olarak düşünülebilir. Olay envanteri yönteminde, benzer kurumlarda gözlemlenen olayların ayrıntılı listeleri oluşturulur. Dahili analiz yönteminde ise personel toplantıları aracılığı ile müzakereler yapılmaktadır. İşlem akışı analizinde ise girdiler, görevler, sorumluluklar ve çıktılar bir süreç olarak ele alınıp incelenmektedir Risklerin Sınıflandırılması Olay (risk/fırsat) tanımlama süreci, tanımlanan risklerin sınıflandırılması ile son bulur. Bir kurumun/işletmenin karşılaşabileceği riskler çok farklı şekillerde sınıflandırılabilir. İşletmenin yapısal ve sektörel özellikleri bu sınıflandırmayı önemli ölçüde etkileyecektir 5.4. Risklerin Değerlendirilmesi Risk değerlendirme, tanımlanan ve sınıflandırılan risklerin ortaya çıkma olasılığı ve muhtemel etkilerinin ölçülmesi, sıralanması ve önceliklendirilmesi süreçlerini içerir Risk değerlendirme ile risklerin önceliklendirilmesi sağlanır. Riskler önceliklendirilmelidir çünkü kurumun amaçları/hedefleri üzerinde her risk eşit düzeyde önemli değildir. KRY bileşenlerinden iç ortam, amaç/hedef belirleme ve olay tanımlama aşamaları diğer aşamalar için bir bilgi toplama ve çerçevenin çizilmesi olarak kabul edilebilir. Bundan sonraki aşamalar (risk değerlendirme, risk tepkileri, bilgi-iletişim ve izleme) risklere karşı faaliyet alanıdırrisk

3 değerlendirme metodolojisi nitel veya nicel olabilir, objektif ya da subjektif metotlara dayanabilir. Etki ve olasılık analizi, iş etki analizi, SWOT analizi, olay ağacı yöntemi, PEST analizi bu yöntemlerden bazılarıdır. Niceliksel teknikler, analizlere daha çok doğruluk ve kesinlik kazandırmakta ve karmaşık faaliyetlerde niteliksel teknikleri tamamlayıcı olarak kullanılmaktadır. Niteliksel teknikler, yardımcı verilerin ve varsayımların kalitesine bağlı olmakla birlikte, belirli tarih ve değişkenlik sıklığına sahip olan ve güvenilir tahmin imkânı veren riske açık olma durumlarıyla oldukça ilişkilidir Etki Analizi Tek başına etki veya olasılık, riskin öneminin ve önceliğinin belirlenmesinde kullanılmamalıdır. Bu durum; Risk = f (Etki, Olasılık) olarak formüle edilebilir. Etki ve olasılık analizinde, riskin muhtemel etkisi ve gerçekleşme olasılığı, belirlenen risk kriterleri doğrultusunda değerlendirilir. Risk kriterlerinin sayısı sınırlı tutulmalı, bununla birlikte bu sayı risk değerlendirmenin kapsamlı olduğuna güven duyulmasını sağlamaya da yetmelidir. Kullanılan risk kriterleri mutlaka açık bir şekilde tanımlanmalıdır. Etki ve olasılığın tahmin edilmesinde istatistiksel analiz ve hesaplamalar da kullanılabilir. Eğer elde bulunan bilgiler yetersiz, konu ile doğrudan ilgili ve güvenilir değil ise belirli bir olayın ya da sonucun oluşacağına dair bireylerin veya grupların tahminlerine dayandırılan analiz yapılabilir Riskin muhtemel etkisinin değerlendirilmesinde kullanılabilecek risk kriterlerine ilişkin bazı örnekler aşağıda yer almaktadır: Kurum hedefleri Kurum imajı/itibarı Varlıkların korunması Finansal etki Stratejik etki Sağlık/güvenlik Hizmet sunumu/kalitesi Sosyal etki Operasyonların etkinliği ve verimliliği Olasılık Analizi Riskin oluşma olasılığı, geçmiş deneyimler ışığında ya da mevcutsa geçmiş verilerin istatistiksel olarak değerlendirilmesiyle tahmin edilir. Olasılık teorisi, riskin oluşma olasılığının değerini belirlemekte önemli rol oynar. Riskin olasılığı en basit şekliyle düşük, orta ve yüksek olarak ölçeklendirilebilir Risklerin gerçekleşme olasılıklarının belirlenmesinde çeşitli olasılık kriterleri kullanılabilir. Riskin gerçekleşme olasılığının değerlendirilmesinde kullanılabilecek kriterlere ilişkin bazı örneklere aşağıda yer verilmiştir. Yasa ve düzenlemelerin yeterliliği Personelin uzmanlığı, yeterliliği ve güvenilirliği Faaliyetlerin karmaşıklığı ve değişkenliği

4 Otomasyon düzeyi Faaliyetlerin coğrafi dağılımı İç kontrol sisteminin yeterliliği ve etkinliği Risklerin Puanlanması Riskin etki ve olasılık kriterleri kullanılmak suretiyle değerlendirilmesinde, olasılık ve etki kriterleri belirlendikten sonra risklerin puanlanmasına geçilir. Bu aşamada, her bir risk, belirlenen kriterler ve ölçekler kullanılmak suretiyle puanlanır. Bu puanlar, seçilen risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle her bir riske ilişkin etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları birbiri ile toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık ve etki sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının toplanması ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit ortalama veya ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki puanlarının toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık kriterlerine farklı ağırlıklar verilirçarpma işleminde ise her bir riskin etki ve olasılık puanları çarpılmak suretiyle nihai risk puanı belirlenir. Çapma işlemi ile risk puanlarının belirlenmesinde kurum açısından önemli olduğu düşünülen etki veya olasılık kriterlerine yüksek ağırlıklar verilebilir Bu puanlar, seçilen risk değerlendirme yöntemi doğrultusunda değerlendirilerek öncelikle her bir riske ilişkin etki ve olasılık puanları belirlenir. Daha sonra etki ve olasılık puanları birbiri ile toplanarak/çarpılarak her bir riskin nihai risk puanı belirlenir. Risklerin olasılık ve etki sonuçlarının birleştirilmesi işlemi, her bir riskin etki ve olasılık puanlarının toplanması ya da çarpılması şeklinde gerçekleştirilebilir. Toplama işleminde basit ortalama veya ağırlıklı ortalama yöntemi kullanılabilir. Basit ortalamada olasılık ve etki puanlarının toplamları ikiye bölünür. Ağırlıklı ortalamada ise etki ya da olasılık kriterlerine farklı ağırlıklar verilir. Çarpma işleminde ise her bir riskin etki ve olasılık puanları çarpılmak suretiyle nihai risk puanı belirlenir. Çapma işlemi ile risk puanlarının belirlenmesinde kurum açısından önemli olduğu düşünülen etki veya olasılık kriterlerine yüksek ağırlıklar verilebilir. Risklerin puanlanması çalışmaları sırasında aşağıda belirtilen hususlar dikkate alınmalıdır: Değerlendirmelerin mümkün olduğunca objektif olmasını sağlayabilmek için kilit personelin bir araya gelmesine ve etki/olasılık puanlamalarının tartışma ortamı içerisinde yapılmasına özen gösterilmelidir. Puanlamalar sırasında, kriter tanımları sürekli gözden geçirilerek, risk kriterinin neyi ölçmekte olduğu hatırlanmalıdır. Her bir risk, etki ve olasılık kriterleri açısından 1-5 arası puanlar verilerek yani 5 li bir ölçek kullanılarak değerlendirilmelidir. Bu değerlendirmede (1) en düşük ya da ilgili olmayan etkiyi/olasılığı, 5 ise en yüksek etkiyi/olasılığı ifade etmektedir. Puanlar verilirken, en düşük(1) ve en yüksek (5) puanlar için birer örnek düşünülmeye çalışılmalıdır. Her bir risk ayrı ayrı ele alınmalı ve ölçüm yatay bir şekilde uygulanmalıdır.

5 Risklerin Önceliklendirilmesi Risklerin olasılık ve etki sonuçları risk matrisi (haritası) ile gösterilebilir. Risk kriterleri kullanılarak önce etki ve olasılık puanları daha sonra nihai risk puanları belirlenen ve bu puanlara göre sıralanan riskler, risk matrisi (haritası) aracılığıyla toplu bir şekilde gösterilirler. Risk matrisi, yatay ekseni risklerin olasılık boyutunu dikey ekseni ise etki boyutunu gösteren bir grafik şeklindedir.

6 Şekil 5.4. Risk haritası - Önceliklendirme I. Nolu Alan: Etkisi ve olasılığı düşük olan riskler bu alanda yer alır. Bu riskler, kurumun risk iştahı sınırları içinde kalması nedeniyle kabul edilebilir olan risklerdir. Bu riskler, herhangi bir önlem alınmadan olduğu gibi bırakılabilir. II. Nolu Alan: Bu alanda etkisi yüksek ve olasılığı düşük olan riskler yer almaktadır. Olasılığın düşük olması, kontrollerin (insan kaynakları, mevzuat ve düzenlemeler, otomasyon düzeyi v.b) görece yeterli olduğunu göstermektedir. Dolayısıyla bu alanda yer alan risklere ilişkin kontroller, birim yöneticisi tarafından değerlendirilmeli ve etkinliğine ilişkin olarak güvence verilmelidir. III. Nolu Alan: Bu alan etkisi düşük ancak gerçekleşme olasılığı yüksek olan risklerin yer aldığı alandır. Kurum kaynaklarının yeterli olması halinde, bu risklere ilişkin kontrol faaliyetleri geliştirilebilecektir. IV. Nolu Alan: Bu alanda etkisi ve olasılığı yüksek olan riskler yer almaktadır. Olasılığın yüksek olması, kontrollerin bulunmadığı veya yetersiz olduğuna işaret etmektedir. Üst yönetim tarafından, bu risklere yönelik risk tepkilerinin (kaçınmak, kontrol etmek, transfer etmek) belirlenmesi gerekir. Birim, risk raporlamalarında bu riskler ile risklere ilişkin önerilerini, üst yönetimin onayına sunmalıdır. Puanlanan risklerin Risk Matrisi nde toplu olarak gösterilmesine ilişkin örnek bir tablo aşağıda yer almaktadır:

7 İçsel ve Kalıntı Riskin Ölçülmesi Doğal risk ya da yapısal risk olarak da ifade edilen içsel risk, herhangi bir kontrol mekanizmasının bulunmadığı durumlarda işlem süreçlerinin doğasında varolan risktir. Bakiye risk ya da artık risk olarak da ifade edilebilen kalıntı riskler ise alınan kontrol önlemlerine rağmen mevcut olan risklerdir. Kalıntı risk, yönetimin riskin etki ve olasılığını azaltmak için aldığı kontrol aktivitelerini de içeren önlemlerden sonra kalan risktir. Risk değerlendirme faaliyeti kapsamında öncelikle her bir riskin içsel risk düzeyi ölçülür daha sonra da kalıntı risk düzeyi ölçülür. : İçsel riskte, olasılık % 50 ve bunun sonucunda ortaya çıkacak finansal kayıp (etki) 100 YTL iken, uygun önlemler alındığında ve bunlar etkin olarak uygulandığında olasılık %10 a düşürülebilir. Bu durumda içsel ve kalıntı riski hesaplarsak; İçsel Risk: 0.50 x 100 YTL = 50 YTL Kalıntı Risk: 0.10 x 100 YTL = 10 YTL olacaktır. Kurumun risk seviyesinde 10 YTL düşük risk olarak belirlenmiş, 50 YTL ise orta seviye risk olarak belirlenmiş olabilir.