Kurumsal Risk Yönetimi

Kurumsal Risk Yönetimi

---

1. Riskin Tanımı.

Risk, kurumların amaç ve hedeflerine ulaşmasına ve görevlerinin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek durum yada olaylardır. (Kamu İç Denetim Rehberi )

Risk hedeflere ulaşmasını olumsuz biçimde etkileyecek bir olayın gerçekleşmesi olasılığıdır. (COSO)

2. Geleneksel Risk Yönetimi Anlayışından Kurumsal Risk Yönetimi Yaklaşımına Geçiş

1. Geleneksel risk yönetimi anlayışında silo yaklaşımı benimsenmiştir. Her birim kendi riskini diğer birim ve risklerden bağımsız ele alır.
2. Kurumun risklerini bütünsel ve stratejik olarak kavrayan herhangi bir birey yada grup yoktur.
3. Riskler sadece kötü algılanır.
4. Sadece finansal riskler ile tehlike risklerine odaklanmıştır.
5. Geleneksel risk yönetimin temel faaliyeti, kurumun mal ve varlıklarına yönelik riskleri sigorta yada sözleşme yoluyla devretmektir.

Geleneksel Risk Yönetimi	Kurumsal Risk Yönetimi
Riskler ayrı ayrı, birbirinden bağımsız, diğer faktörler ile bütünleştirilmeden değerlendirilir.	Riskler bütüncül ve hem birbirleriyle hem diğer faktörlerle ilişkileri dikkate alınarak değerlendirilir.
Risklerin önem sıralaması yapılmaz.	Riskler önemine göre sıralanır ve değerlendirilir.
Risklerin azatılması ve devri söz konusudur.	Riskler optimizasyonu söz konusudur.
Risklerin sahiplenicileri yoktur.	Risk sorumluları bellidir.
“Risk benim sorumluluğum değil” algısı vardır.	“Risk herkesin sorumluluğudur” algısı vardır.
Risk yönetimi sistematik değildir.	Kurum genelinde sistematik bir risk yönetimi söz konudur.
Riskler yalnızca olumsuz algılanır.	“Fırsat” riskleri söz konusudur.

3. Kurumsal Risk Yönetimi

Kurumsal risk yönetimi, bir kurumun yönetim kurulu, yöneticileri ve diğer çalışanları tarafından şekillendirilen, kurum bütününde ve stratejiler doğrultusunda uygulanan, kurumu etkileyebilecek muhtemel olayların tespit edilmesi ve risklerin, kurumun risk alma isteği (risk iştahı) kapsamında yönetilmesi için tasarlanan ve kurumun amaçlarına ulaşmasını destekleyecek bir süreçtir. (COSO)

4. Kurumsal Risk Yönetimi İlkeleri (doyuk)

1. Dinamik; Risk yönetimi faaliyetleri değişen ve gelecekteki risklere karşı duyarlı ve dinamik olmalıdır.
2. Orantılı; Risk yönetimi faaliyetleri kurum tarafından karşılaşılan riskin düzeyi ile orantılı olmalıdır.
3. Yerleşik; Risk yönetimi faaliyetleri kurumun bütününde yerleşik olmalıdır.
4. Uyumlu; Risk yönetimi faaliyetleri kurum içindeki diğer faaliyetler ile uyumlu olmalıdır.
5. Kapsayıcı; Tümüyle etki olabilmesi için, risk yönetimi yaklaşımı kapsayıcı olmalıdır.

5. Kurumsal Risk Yönetimi Süreci

1. Neyi başarmak istiyoruz ya da hedeflerimiz neler?
2. Hedeflere ulaşmamızı ne engelleyebilir? Risk var mı, var ise etkileri ne kadar kötü olabilir. Bu risklerin meydana gelme olasılıkları nedir?
3. Risklerin ortaya çıkmasını engellemek için ne yapılabilir? Kurumun risk yönetim stratejisi nedir ve risklere karşı nasıl tutumlar belirlenebilir?
4. Kurum riskleri idare etme yeterliliğinde midir? Risk yönetim stratejilerini yürütebilmek için kontrol faaliyetleri tasarlandı mı ve kontrol süreci etkin mi?

6. ISO 31000 Çerçevenin 5 Bileşeni

1. Yetki ve Sorumluluk (Yönetim ve Taahhüt)
2. Riskin yönetimi için çerçeve tasarlanması (Kurumun İç Kapsamı ve Dış kapsamı belirlenir)
3. Risk yönetiminin uygulanması
4. Çerçevenin izlenmesi ve gözden geçirilmesi (Bütün süreçlerin sürekli izlenmesi ve gözden geçirilmesi)
5. Çerçevenin sürekli iyileştirilmesi.

7. ISO 31000 – Risk Yönetim Süreci

8. Risk Kültürü, Risk Kapasitesi, Risk İştahı, Risk Toleransı, Risk Tutumu

Risk Kültürü; Bir kurumda riske yönelik genel kabul gören tutum ve yaklaşım

Risk Kapasitesi; Bir kurumun riske katlanma ve direnç gösterebilme yeteneği. Her kurum için farklı her bir risk için farklıdır. Riske dayanma ve katlanma olarak ta açıklanabilir. (olursa biterim ben)

Risk İştahı; Kurumun amaçları doğrultusunda kabul etmeye hazır olduğu veya katlanabileceği risk düzeyi. Kavram olarak bu düzeyin üzerindeki risklerin kabul edilemeyeceğini ve önlem alınması gerektiğini ifade eder. Her bir konuda aldığımız risk iştahımız risk kapasitemizi oluşturur. (Maliye risk iştahı+kaynak risk iştahı = risk kapasitesi)

Risk Toleransı;Bir kurumun stratejik ve operasyonel hedeflerine ulaşmak için her bir ana riske ilişkin olarak belirlediği kabul edilebilir sapma derecesi. (Risk iştahının +,- sapma derecesi)

Risk Tutumu; Riske yaklaşım. Diğer bütün faktörler eşit olduğu durumda, bireylerin algıladıkları riskleri ne derece cazip ya da tatsız bulacaklarını ve buna bağlı olarak daha riskli yada daha az riskli alternatifleri seçeceklerini gösteren ölçü.

9. Riskin Tespit Edilmesi

Riskler ifade edilirken, öncelikle genel ifadelerin kullanılmasından kaçınılması gerekmektedir.

Örnek : Karayolları Genel Müdürlüğünün yürüttüğü bir projede “tünel riski” veya “hatalı ölçüm riski” gibi ifadelerin kullanılması riskin tam olarak anlaşılmasını zorlaştıracaktır. Bunun yerine “yapılan hatalı ölçüm neticesinde tünelde çökme veya yıkılmaların yaşanması ve bunun sonucunda mevcut yolun yada insanların zarar görmesi” gibi bir ifade kullanılması daha faydalı olacaktır. Burada riski ortaya çıkaran faktör –“hatalı ölçüm”, ortaya çıkan olay – “tünelin çökmesi”, bu olayın muhtemel sonuçları – “yolun yada insanların zarar görmesi” şeklinde sistematik olarak ortaya konmuştur.

Toplamda 3 faktör var. Riski ortaya çıkaran faktör, tünelin çökmesi (olay), insanların zarar görmesi (sonuç)

10. Risklerin Belirlenmesinde Sıkça Karşılaşılan Hatalar.

AMAÇ: Ankara-İzmir Karayolunun maliyet etkin bir şekilde zamanında tamamlanması

EKSİK VEYA HATALI RİSK	YAPILAN HATA
“Karayolunun zamanında tamamlanamaması”, “Karayolunun yüksek maliyetle gerçekleştirilmesi”	Riskler, genellikle, amaç veya hedeflerin olumsuz hali olarak tanımlanmaktadır
“Yılı içerisinde ödeneğin kullanılamaması”, “Planlamalardan önemli sapmaların yaşanması”	Riskler, yalnızca ortaya çıkan sonuçlar olarak tanımlanmaktadır
“Yetersiz yol bakım hizmetleri”,  “Dinlenme tesislerinin yetersizliği”	Amaçla doğrudan ilgisi olmayan riskler tanımlanmaktadır

11. Risk Belirleme Teknikleri

1. Beyin fırtınası
2. Olay Sonuç Envanterleri
3. Mülakat ve öz değerlendirmeler
4. Odak Grup Toplantıları
5. GZFT Analizi
6. Risk anketleri ve değerlendirme formları
7. Senaryo analizleri

12. Pestle Nedir?

1. Political (politik)
2. Economic (ekonomik)
3. Sociological (sosyolojik)
4. Technological (teknolojik)
5. Legal (yasal)
6. Evironmental (Çevresel)

13. Risk Değerlendirme (etki - olasılık)

Risklerin belirlenmesinin ardından risklerin değerlendirilmesine başlanır.  Her bir riskin olasılık ve etki değerlendirmesi yapılır.  Olasılık bir riske ilişkin olayın ya da koşulların ortaya çıkması ihtimalini, etki düzeyi ise o olayın ya da şartların ortaya çıkması halinde karşılaşılacak sorunların büyüklüğünü ifade etmektedir.  Olasılık ve etki düzeyleri 5’li bir sınıflandırma (Çok Yüksek, Yüksek, Orta, Düşük ve Çok Düşük) doğrultusunda değerlendirmeye tabi tutulur. Bu değerlendirmelerde «Risk Analizi Modeli» kullanılabilir.

Risk Analiz Modeli (Risk Haritası)  Bir olayın etkisinin yanında gerçekleşmesi olasılığı da önem arz eder. Bu nedenle birçok kurum tarafından etki ve olasılıkların gösteriminde Risk Analiz Modeli (Risk Haritası) kullanılır.  Risk Analiz Modeli (Risk Haritası) önemli ölçüde bilginin sıkıştırılarak bir araya getirilmesi ve tek bir yerde gösterilmesi açısından yarar sağlar.  Risk haritaları kurumlara büyük kolaylık sağlayarak, kurumun önem arz eden riskleri anında tespit etmesine ve bunlara karşı cevap geliştirmesine yardımcı olur.

14. Risklere Verilen Cevaplar

1. Kabul Et (Attığın taş ürküttüğün kurbağa hesabı)
2. Devret (Başka bir kurum veya kişiye devretme – Sigorta)
3. Kontrol Et
1. Yönlendirici Kontroller (Bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri kontrol etme yöntemidir.) [Orman yangını için; halkı bilgilendir] Olay Hiç Olmasın
2. Önleyici Kontroller (Risklerin gerçekleşme olasılığını azaltıp idare tarafından kabul edilebilir seviyede tutmak için yapılması gereken kontrollerdi) [Orman yangını için; Pikniği yasakla] Olasılığı Azalt
3. Tespit Edici Kontroller (Riskler gerçekleştikten sonra meydana gelen zarar ve hasarın ne olduğunun tespiti amacıyla yapılan, risklerin gerçekleşme olasılığını azaltıcı kontrollerdir. ) [Orman yangını için; Gözlem Kuleleri] Sonuca çok yansımadan müdahale et.
4. Düzeltici Kontroller (Risklerin gerçekleştiği durumlarda, istenmeyen sonuçların etkisinin giderilmesine yönelik kontrollerdir. ) [Orman Yangını için; Uçak Kullanımı] Sonucun Etkisini azaltmak için
4. Kaçın (riske tamamen yada belli bir süre faaliyete son ver)

15. COSO Küpü

16. Kurumsal Risk Yönetimi sorumluluğu kime aittir?

Nihai sorumluluk üst yönetime aittir.

17. Kontrol Test Yöntemleri/ Test Yöntemlerinin Uygulanması

Denetim Testlerinin Belirlenmesi (Sert) Kontrollerin değerlendirmesi sırasında temel olarak 4 ana yöntem kullanılır:

1. Yeniden İcra
2. İnceleme
3. Gözlem
4. Görüşme

18. Kurumsal Risk Yönetimi Denetim Görevleri

1. Risk yönetim süreçlerini değerlendirmek
2. Risk yönetim süreçleri ile ilgili güvence vermek
3. Risklerin doğru değerlendirildiğine dair güvence vermek
4. Önemli risklerle ilgili raporlamaları değerlendirmek
5. Ana risklerin yönetiminin gözden geçirilmesi

19. Kurumsal Risk Yönetimi Yelpazesi

20. Kurumsal Risk Yönetimi Danışmanlık Görevleri
1. Risklerin tanımlanmasını ve değerlendirilmesini kolaylaştırma
2. Risklere dair yönetime rehberlik edilmesi
3. KRY faaliyetlerinin uyumlu hale getirilmesi
4. Risklerin konsolide olarak raporlanması
5. KRY sisteminin devam ettirilmesi ve geliştirilmesi
6. KRY kurulmasına öncülük etmek
7. Üst Yönetici onayı öncesi risk yönetimi stratejisinin geliştirilmesi

21. Kurumsal Risk Yönetiminde İç Denetimin Üstlenmemesi Gereken Görevler
1. Risk iştahının belirlenmesi
2. Risk Yönetimi süreçlerinin düzenlenmesi
3. Risklerle ilgili yönetim adına güvence verme
4. Risk tutumlarına ilişkin karar alma
5. Risk tutumlarını yönetim adına uygulama
6. Risk yönetim sorumluluğunu üstlenme