Geleneksel Risk Yönetiminden Kurumsal Risk Yönetim Sistemine … · 2015-02-13 · Kurumsal risk yönetim sisteminin geleneksel risk yönetim sisteminden farklılıkları ortaya

Öz: Yaşanan uluslararası finansal krizlerin ve şirket skandallarının gerisinde yatan nedenlerden birisi de kamu ve özel sektör işletmelerinin risk yönetimi politikalarının ye-tersiz kaldığı görüşüdür. Bu yetersizliği gidermek ve kurumların daha şeffaf yönetilmesini sağlamak için kurumsal risk yönetim sistemine olan gereksinim artmıştır. Bu çalışmanın amacı, geleneksel risk yönetimiyle karşılaştırmalı olarak kurumsal risk yönetimi sistemi-ni incelemektir. Çalışmada öncelikle geleneksel risk yönetimi sisteminin ortaya çıkışı ve genel özellikleri, kurumsal risk yönetim sisteminin geleneksel risk yönetim sisteminden farklılıkları, kurumsal risk yönetim sisteminin özellikleri ve unsurları, kurumsal risk yö-netim sistemine duyulan gereksinim ve bu sistemin önemi ve avantajları üzerinde durul-muştur. Son olarak bu çalışmanın bazı kısıtları olduğu belirtilmiş ve gelecekte bu konuda araştırma yapacaklara bazı öneriler sunulmuştur.

Anahtar Kelimeler: Risk, geleneksel risk yönetimi, kurumsal risk yönetimi, kurumsal risk yönetimi sistemi

Transition from Traditional Risk Management to Enterprise Risk Management System

Abstract: Financial crisis and corporate scandals are thought because of the insufficiency of public and private institutions risk management system. The requirement of enterprise risk management is increased for removing this insufficiency, providing more transparent management systems. The aim of this study is to examine the traditional risk management in comparison with enterprise risk management system. This study first emphasizes the emergence and features the traditional risk management systems, and enterprise risk management differences from traditional risk management system. Then the features and components of enterprise risk management system, the requirement for enterprise risk management and the importance of this system and advantages were emphasized.

Keywords: risk, traditional risk management, enterprise risk management, enterprise risk management system

Geleneksel Risk YönetimindenKurumsal Risk Yönetim Sistemine Geçiş (*)

*) Bumakale“KurumsalRiskYönetimiOdaklıİçDenetimveİstanbulBüyükşehirBelediyesiiçinBirModelÖnerisi”adlıdoktoratezindenüretilmiştir.

**)Dr.Arş.Gör.,NevşehirÜniversitesi (e-posta:[email protected])

Ruveyda KIZILBOĞA (**)

Atatürk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi 2012 16 (3): 297-316

298 / Ruveyda KIZILBOĞAAtatürk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi 2012 16 (3): 297-316

Giriş1990’lıyıllarınsonundaAmerikaBirleşikDevletleribaştaolmaküzeredünyagene-

lindeyaşananşirketskandalları,kurumlarındahaadilveşeffafyönetilmesinidestekleyenkurumsalyönetimanlayışınavebuanlayışıdestekleyici,kurumungenelineuygulanabi-len,kurumsalriskyönetimsistemineilişkintaleplerinartmasınısağlamıştır.Sistemhemözelsektörişletmelerininhemdekamukurumlarınınsadecemalialandariskyönetimiuygulamasındanziyadekurumuntümalanvesüreçlerinderiskyönetimsistemininuygu-lanmasınıönermektedir.Bukapsamdagelecekveçözümodaklıbiryönetimanlayışıbe-nimsenmesiylekaynaklarınetkiliyönetimisağlanabilir.Buçerçevede,çalışmanınamacı,gelenekselriskyönetimiylekarşılaştırmalıolarakkurumsalriskyönetimisisteminiince-lemektir.

Buçalışmadakurumsalriskyönetimsisteminingiderekartanöneminedikkatçeke-bilmekamacıylaöncelikleriskyönetimiyadagelenekselriskyönetimiolarakdaadlan-dırılansisteminortayaçıkışıvegenelözellikleri incelenmiştir.Kurumsal riskyönetimsisteminingelenekselriskyönetimsistemindenfarklılıklarıortayakonmuşvekurumsalriskyönetimsistemininözelliklerineveunsurlarınadeğinilmiştir.Sonolarakkurumsalriskyönetimsistemineduyulangereksinim,busisteminönemiveavantajlarıüzerindedurulmuştur.

1. Risk Yönetim Sistemi ve Gelişim SüreciRiskyönetimsistemininortayaçıkışvegelişimsüreciniaçıklamadanönceriskkav-

ramı ile ilgili bilgi verilmesi kavram karmaşasını ortadan kaldırmak amacıyla faydalıolacaktır.Genelanlamdabirfaaliyetyadaolayınsonucunailişkinbelirsizliği(TerjeveOrtwin,2010:8)ifadeedenriskkavramınınkökeniileilgilifarklıgörüşlerbulunmaktadır.Birgörüşegöreriskkavramıİngilizceye,İtalyanca“belirsizdurumlarakarşıkaderciliktenziyadebirseçenekoluşturulması”anlamınagelen“risicare”kavramından(Reding,vd.,2009:4-3);diğergörüşegöreiseonyedinciyüzyılortalarında“kayba,zararaveyatehli-keyeyolaçabilecekbirolayınmeydanagelmeolasılığı”olaraktanımlanan(Emhan,2009:210)Fransızca“risque”kavramındangeçmiştir.Onsekizinciyüzyılınikinciçeyreğindenitibarendeİngilizceyazılımısigortalamaişlemlerindekullanılmayabaşlamıştır(FlanaganveNorman,1993:2).Dahaçoktehditedicidurumlariçinkullanılanriskkavramının“fır-sat”olarakkullanılmasınadayanakolarakÇinceorjinlibirkelimeolmasıveÇince’deherikianlamadasahipolmasıgösterilmektedir(Derici,TüysüzveSarı,2007:152).

Riskçokyönlübirkavramolmasısebebiylefarklıdurumlardafarklışeylerifadeede-bilmektevedahaçokalgıvetutumlarlaşekillenmektedir(FoneveYoung,2005:11-12).

The Committee of Sponsoring Organizations of The Treadway Commission(COSO)’nuntanımınagörerisk“birolayınmeydanagelmevekurumunhedeflerineulaş-mabaşarısınıkötüetkilemeolasılığıdır”.Basitbirtahmindenötebirçokolumsuzsonucuolanönemlibiretmendir (Reding,vd.,2009:4-3)veşuandavarolandeğilgelecekteortayaçıkmaolasılığıolan tehditedicidurumlarıngenelnitelemesidir (Derici,Tüysüz

299Geleneksel Risk Yönetiminden Kurul Risk YönetimSistemine Geçiş

veSarı,2007:152).Tanımdavurgulanmasıgerekenbirunsurdariskinsüreklibirtehditolmaözelliğitaşımasıdır(Griffiths,2005:17).

İçveyadışkaynaklıbirolayyadaunsurkurumunhedeflerineulaşmabaşarısınıolum-lu ya da olumsuz etkileyebilmektedir (COSO, 2004a: 16).Risk rastlantısal bir olayınmeydanagelmeolasılığıdırvegerçekleştiğindekurumunhedeflerineulaşmabaşarısınıolumsuzetkilemektedir.Risküçunsurdanoluşmaktadır.Bunlar:senaryo,meydanagel-meolasılığıvemeydanageldiğindekietkiboyutudur(Vose,2008:3).Olumluetkisiolanolaylar,negatifetkileritelafietmeyiyadafırsatlarıtemsiletmektedir.Fırsatlar,birolayınmeydanagelmesidurumundahedeflereulaşılmasınıolumluetkilemeolasılığıdır.Değeryaratan ya damevcut değeri koruyan (INTOSAI, 2007: 11) fırsatların ortaya çıkmasıtesadüfîbirdurumdurvehedeflerüzerindeolumluetkisiolmaktadır.Bunedenlefırsatdaaynıriskgibiüçunsurdanoluşmaktadır.Riskvefırsatbirmadalyonunikiyüzüolarakdeğerlendirilebilir(Vose,2008:3).

Her kurumun birbirinden farklı strateji ve hedefleri bulunmaktadır.Riskler stratejioluşturmavehedefbelirlemesüreciilebaşlamakta(Reding,vd.,2009:4-3)vekurumunstratejiyadaişplanındakiamaçlara,hedeflereveriskinolasısonuçlarınadayalıolaraksınıflandırılmaktadır.Riskiçyadadışkaynaklıortayaçıkabilen,hedeflereulaşılmasınıengelleyen,kötüyönetime,müşteri-vatandaşmemnuniyetsizliğine,ekonomik,mali,var-lıkvesaygınlıkkaybınaveyolsuzluğasebepolandurumlardır(ManagingRiskAcrossthePublicSector,2004:2).

Kısacarisk,planvekararsonuçlarındakibelirsizliktir,kaçınılmazdır,stratejikhedef-lerinbirfonksiyonudur(BurnabyveHass,2009:540)vekurumunbaşarıyaulaşmasındabariyerrolüüstlenmektedir.İyişeylerinoluşumunusağlamakyadakötüşeylerinoluşu-munuengellemekamacıylariskleriniyiyönetilmesigerekmektedir(Reding,vd.,2009:4-3).

Riskyönetimiisekurumunhedeflerineulaşmasınıengelleyecekrisklerinbelirlenme-si,azaltılmasıvebaşarıyaulaşılmasınısağlayacakfırsatlarınortayaçıkarılarakkullanıl-masısürecidir(Reding,vd.,2009:4-3).

Risk yönetimi kavramı ilk olarak sigortacılık sektöründe kullanılmıştır. 1967’deLondra’daEdwardLloydtarafındanaçılankahvedükkânızamanlagemicilikleilgilibilgialışverişininyapıldığıbiryervekısasüresonradadenizciliksigortasınınmerkezihalinegelmiştir.Riskhavuzları oluşturanLloyd, risklerinkapsamını genişleterek sigortacılıksektörününliderikonumunagelmiştir.Uzunbirsüresigortasektörüileeşanlamlıkulla-nılanriskyönetimikavramı1970’lerdeAmerika’daişdünyasındagenişkabulgörmeyebaşlamıştır.BrettonWoodsanlaşmasınınsonaermesive1973-1979dönemipetrolkrizisonucundariskoranlamavedeğerlendirmealanındadanışmanlıkhizmetitalepleribaşla-mıştır.1980’lerinilkyarısıpolitikrisklereağırlıkverilenbirsüreçken1980’lerinsonla-rındapolitikriskler1azalmıştır(Non,8).

1) BerlinDuvarınınçöküşüvb.olaylar


1990’dariskyönetimineverilenönemartmışvedahaçokkurumunçökmesinenedenolabilecekrisklereodaklanılmıştır.1990sonlarındakiçalışmalar,kurumlarınyönetmelerigerekenriskkapsamınıngenişlediğinivegenişlemeyedevamettiğininfarkınavarıldığınıgöstermektedir.Bütünbunlarriskyönetimineverilenöneminartmasınıveriskyönetimanlayışında kurumsallaşmanın gerçekleşmesini sağlamıştır. Bu dönemde kapsamlı birriskyönetimçerçevesioluşturulması,içdenetiminriskyönetimuygulamalarıilebütün-leştirilmesi,kurumkültüründeriskfarkındalığınınveriskyönetimindeyönetimsorumlu-luğununartırılması,kurumlardariskyönetimofisioluşturulmasıvekurumsalriskyöne-timsistemininkabulügibikonulardaaşamakaydedilmiştir(Non,10).

Eğerriskyönetimini,risklerideğerlendirmekveriskinsiyasietkilerinitespitetmekiçinkullanılanbiryöntemolaraktanımlarsaksisteminuygarlığınbaşlangıcındanberivarolduğunusöyleyebiliriz.Bununlaberaberbilinçlibiruygulamaolupolmadığıkapsamın-dadeğerlendirildiğinderiskyönetiminin20.yüzyılınortalarınakadaruzananbirtarihesahipolduğuortayaçıkmaktadır(Non,7).

Riskyönetimindegeneldenegatif sonuçlarayoğunlaşıldığıdüşünülmektevezararıazaltıcıyadaönleyicitedbirlergeliştirilmektedir(ARiskManagementStandard,2002:2).Oysariskyönetimindeherolayyadaprojeninhemfırsatsağlayıcıhemdetehditediciunsurlarıylaaynıandailgilenilmektedir.Kurumvetoplumlarınhedeflerineuygunolarakrisklerin incelendiğivedeğerlendirildiği resmibir süreçolan riskyönetimiŞekil1’degösterilmektedir.

Şekil 1:RiskYönetimSüreciKaynak: ARiskManagementStandard,2002:4.


Şekil 1’e göre risk yönetim süreci aşağıdaki aşamalardan oluşmaktadır (Fone veYoung, 2005:15; InternalControl andRiskManagement:ABasicFramework, 2005:13):

i. Kurumsalhedeflerianlama.ii. Riskyönetimmisyonunutanımlama(hedefvepolitikabelirleme).iii. Riskvebelirsizliklerindeğerlendirilmesi(tanımlama,analizveölçme).iv. Riskkontrolü(ortadankaldırma,kaçınma,azaltma,önlemeveyönetme).v. Riskfinansmanı(riskinfinansalsonuçlarınınölçümdeğerlendirmesi).vi. Programyönetimi(uygulamatedbirlerigeiştirme,incelemeveizleme).Riskyönetimininilkdefauygulanacağıkurumlardakurumsalyapısisteminuygulan-

masınaimkânverecekbiçimdeşekillendirilmektedir.Buaşamadasorumlularvesorum-luluklarbelirlenmekte,iletişimyapısıuygunhalegetirilmektevegereklifizikidonanımsağlanmaktadır (Derici,Tüysüz veSarı, 2007: 154).Risklerin yönetimi için kurumunstrateji,süreç,personel,teknolojivebilgibirikimininbirliktehareketetmesigerekmekte-dir(Walker,ShenkirveBarton,2002:2).

Riskyönetiminamacıgelecektekurumazararvermeolasılığıolanolaylarıveolay-larınmeydanagelmesidurumundaortayaçıkacakolumsuzsonuçlarıazaltmak,olasıso-nuçlardameydanagelebileceksapmalarıkontroletmek,riskyönetimsonuçlarınayöne-likfarkındalığıartırmakvehedeflereulaşılmasınısağlayıcısüreçlerikoordineetmektir(Manab,HussinveKassim,2007:2;Griffiths,2005:21). İyibir riskyönetimsistemikurumun;istediğisonuçlaraulaşmagüveniniartırır,tehditlerikabuledilebilirbirseviye-deetkilibirşekildetutmasınıvefırsatlarıkullanarakbilinçlikararalmasınısağlar(TheOrangeBook,2004:7).

Riskyönetimfonksiyonununrolü:riskyönetimstratejivepolitikalarınıbelirlemek;stratejikveoperasyoneldüzeyderiskyönetimisağlamak;riskfarkındalıkkültürüoluş-turmak,bunayönelikeğitimlerikoordineetmek;işbirimlerineyönelikriskpolitikaveyapılarıoluşturmak;riskyönetimiiçinsüreçleritasarlamakveyenidengözdengeçirmek;kurumiçinderiskyönetiminigeliştiricifaaliyetlerikoordineetmek;acildurumveişsü-relilikprogramlarıdâhilolmaküzererisktutumlarınıgeliştirmekveyönetimkuruluvepaydaşlariçinraporhazırlamaktır(ARiskManagementStandard,2002:11).Riskyöne-timsürecininsürekliliğiŞekil2’degösterilmektedir.


Şekil 2: RiskYönetimSürecininSürekliliğiKaynak: ShenkirveWalker,2007:2.

Risk yönetimi için kapsamlı, uygun ve iyi planlanmış bir stratejiye ihtiyaç vardır(ManagingRiskAcross thePublicSector,2004:3).Riskyönetimikurumstratejisivestratejininuygulanmasıkapsamındaişleyenvegelişensüreklibirsüreçolmalıvekurumkültürüneetkiliplanveprogramlaüstyönetimtarafındanentegreedilmelidir.Kurumundünkü,bugünküveözelliklegelecektekifaaliyetlerikapsamındatümrisklerdeğerlendi-rilmelidir.Stratejileruygulamahedeflerinedönüştürülmelivekurumyöneticiveçalışan-larınınişalanlarındakiriskyönetimsorumluluklarıbelirlenmelidir(ARiskManagementStandard,2002:2).Sorumlularınhesapvermesorumluluğuveperformansölçümü,ku-rumunherseviyesindeetkinliğiartırmakamacıyla, riskyönetimsistemincedesteklen-mektedir.Riskeyönelikbireyselyadagrupyaklaşımınınbiçimlenmesindesonedinilendeneyimlervekurumunödülveyacezasistemietkiliolmaktadır(OlsonveWu,2010:3;FERMA,2003:10).

Riskyönetimi,kurumhedeflerinidestekleyerekkurumuvepaydaşlarınıkorumaktaveonlaradeğerkatmaktadır(Vicente,2011:3).Sistemkurumhedeflerinidesteklerken,ku-rumungelecektekifaaliyetlerinintutarlıvekontrollübirşekildeoluşumuiçinbirçerçevesunar;kararalımsüreçlerininiyileştirilmesinevekapsamlıveyapısalişalanlarınınplan-lanmasınaveönceliklendirilmesineyardımcıolur;sermayevekaynaklarındahaverimlikullanımınavekurumimajvevarlıklarınınkorunmasıvegeliştirilmesinekatkısağlar;personelvekurumbilgitabanınıgeliştirirvedestekler;kurumunçalışmaalanındakisertkayıp ya da dalgalanmaları azaltır ve kurumsal etkinliği ve verimliliği artırır (ARiskManagementStandard,2002:4).

Kötüolanriskdeğil,riskinanlaşılamaması,yanlışdeğerlendirilmesi,yönetilememe-sivegözardıedilmesidir (Non,31). İyibir riskyönetimsistemi ileriyeyönelikkararalımında ve yönetiminde kurumyöneticilerine yardımcı olmakta ve sadece kayıplarınönlenmesiyadaazaltılmasıdeğil,aynızamandadeğerkatıcıfırsatlarınfarkedilmesinidesağlamaktadır(ManagingRiskAcrossthePublicSector,2004:3).


2. Geleneksel Risk Yönetiminden Kurumsal Risk Yönetim Sistemine GeçişDünyahergeçengünbirazdaharisküstlenerekbüyümektedir.Afet,savaşvefinansal

çöküşlerkarşılaşılanbirçokrisklidurumaverilebilecekörneklerdir.Birriskinüstesindengelindiğindearkasındandiğeriortayaçıkmaktadır.Risklerinçeşidivemiktarıartmaktaveçözümüretmeihtiyacıbirzorunlulukolarakhemişletmesahiplerininhemdekamuku-rumlarınınkarşısınaçıkmaktadır.Gerekliönlemlerinalınmamasıberaberindefelaketlerigetirmektedir.Kitleselvebazenbeklenmedikkurumsalbaşarısızlıklar,özelliklemuhase-beveraporlamadaki,kurumsalyönetişimderiskyönetiminöneminedikkatçekmektedir(Walker,ShenkirveBarton,2002:2).

İlkriskyönetimuygulaması,kayıplarıönlemekiçinkontrolvefinansmanteknikleriileyönetilmiştir (Manab,KassimveHussin,2010:240).Klasikmaliyönetimanlayışıolaraktasviredilenvegelenekselriskyönetimsüreciolarakdabilinenbusistemde,risk-lerkötüalgılanıpkurum,malvefinansvarlıklarınırisklerdenkorumayaodaklanmaktaverisklerisözleşmeyadasigortalamayoluylatransferetmeninyollarınıaraştırmaktaydı(RoadtoImplementationERMforCollegesandUniversities,2009:9).Sigortalamage-lenekselriskyönetimsistemininenpopülerfinansalyaklaşımıdır.Sistemderisklerbirimbirimyadatektekyönetilmekteydi.Budurumyönetimkurulunaveüstyönetimerisk-leringenelgörünümüileilgilibirraporlamayapılamamasına,maliyetlerinartmasınaveriskyönetimindeörtüşmelerenedenolmaktaydı.Gelenekselriskyöneticileriaynızaman-dapaydaşlaradeğerkatmailkesinidedikkatealmamaktaydı(Manab,KassimveHussin,2010:240).

Gelenekselriskyönetimsisteminindarkapsamındançıkarılarakkurumlarınhertür-lüfaaliyetalanındakarşılaşabilecekleririskleri(stratejik,faaliyet,uygunluk,raporlama,teknolojikvepersonelgibi)elealabilecekşekildegenişletilmesigerekmekteydi.Gereközelgereksekamusektöründedeğişendünyadüzenineuyumçabalarıkapsamındaku-rumsalriskyönetimanlayışıortayaçıkmıştır.

Kurumsal risk yönetim sisteminin ortaya çıkmasında yeni yönetim anlayışında yeralan“birişiilkseferindedoğruyapmak”ve“hataortayaçıkmadanönlemalmak”yakla-şımlarınındaetkisiolmuştur.Birbiriilebağlantılıbuikiyaklaşımdanilkininbaşarıileuy-gulanmasıikincisininetkinliğinebağlıkılınmaktadır(Derici,TüysüzveSarı,2007:153).

Kurumsalyönetişimanlayışındakideğişimrisklerinkurumçapındatanımlanmasıveyönetilmesialgısınıortayaçıkarmıştır(Beasley,JenkinsveKranitz,2003:3).İyikurum-salyönetişim“kurumunkarşıkarşıyakaldığıriskleriyönetebilmesiiçindoğruiçaltyapı-nınoluşturulması”anlamınagelmektedir.Kurumsalyönetişim“kurumuhedeflerineulaş-masıiçinbiraradatutanbirtutkal”,riskyönetimide“esnekliksağlayanbirsüreç”olarakdeğerlendirilmektedir.Aslındakurumsalriskyönetimkavramveuygulaması“kurumsalyönetişimi güçlendirici önemli birmakine”gibi düşünülmekteve “kurumsal yönetişi-migeliştirmekvepaydaşlaradeğerkatmaktemelli”olduğunainanılmaktadır.Kurumsalyönetişimvepaydaşdeğerianlayışınınkurumsalriskyönetimanlayışınıbenimsemeveuygulamadatüzelkişiler için temelmotivasyonfaktörüolduğutespitedilmiştir.Kuru-


mun istikrar ve gelişimperformansı büyük oranda bu iki unsurun rolünün etkinliğinebağlıdır.Kurumsalyönetişim,kurumsalriskyönetimetkinliğiiçinhayatiönemtaşımaktavekurumsalriskyönetimunsurları,kurumsalyönetişimleuyumluolmadıkçabaşarıeldeedilememektedir(Manab,KassimveHussin,2010:241-242).

Şirketçöküşlerine,skandalveyolsuzluklarasebepolarakbaşarısızyadazayıfriskyönetimvekurumsalyönetişimuygulamalarıgösterilmektedir.Örneğin,1997yılındaor-tayaçıkanDoğuAsyamalikrizine,zayıfkurumsalyönetişimveyetersizriskyönetimuy-gulamalarıtemelsebepolarakgösterilmektedir(Manab,KassimveHussin,2010:242).

Riskyönetimindesistematikvebütünselbiryaklaşımsunankurumsalriskyönetimsistemi,kurumsalyönetişimvehesapvermesorumluluğununentemelunsurudur(Terzi,2010:1)vekurumundurumsalfarkındalığınıartırarakrisktutumlarınındahaaktifyöneti-minisağlamaktadır(Terzi,2010:5).Kurumsalyönetişimveriskyönetiminbirleştirilmesikurumun;rekabetavantajıkazanmasınıvepaydaşlaradeğerkatmasını,budeğerikoru-masınıvegeliştirmesinisağlamaktadır(Manab,KassimveHussin,2010:243-244).

Geleneksel risk yönetim sistemi genel olarak riskinmali yapı üzerindeki olumsuzetkilerindenkurumukorumayaodaklanmakta ikenkurumsal riskyönetimsistemi, riskyönetimini kurum stratejisinin bir parçası haline getirmekte ve kuruma değer katmakamacıylarisklereilişkineniyitutumlarınbelirlenmesiniverisklerinetkiliyönetilmesinisağlamaktadır(LienbergveHoyt,2003:40).GelenekselriskyönetimilekurumsalriskyönetimsistemiarasındakitemelfarklarTablo1’deelealınmaktadır.

Tablo 1: GelenekselveKurumsalRiskYönetimSistemleriArasındakiTemel Farklılıklar

Geleneksel Risk Yönetimi Kurumsal Risk YönetimiRisklerayrıayrıbirbirlerindenbağımsızvediğerfaktörlerlebütünleştirilmedendeğerlendirilir.

Risklerkurumstratejilerikapsamındadeğerlendirilir.

Risktanımlamavedeğerlendirmesisözkonusudur. Riskportföygelişimisözkonusudur.

Risklerdeönemsıralamasıyapılmaz. Risklerönemderecesinegöresıralanırvebunagöredeğerlendirilir.

Riskazaltmauygulamasısözkonusudur. Riskoptimizasyonuygulamasısözkonusudur.

Risklimitlerivardır. Riskstratejilerivardır.Risksahiplenicileriyok. Risksorumlularıbelirlenir.

Rastgeleriskölçümüyapılır. Risklerinizlenmeveölçümündeönceliksıralamasıyapılır.

Yapılanmamışvetutarsızriskyönetimfonksiyon-larıvardır.

Riskyönetimikurumgenelindeorganizeedilirveyürütülür.

“Riskbenimsorumluluğumdeğil”algısıhâkimdir. “Riskherkesinsorumluluğudur”algısıhâkimdir.

Kaynak:Hall,2007:5.


Kurumsalriskyönetimsistemindeüstyönetimveyönetimrisklerintümüneodaklan-maktave risklerinkurumçapındaetkisinidikkatealmaktadır.Böylecegeleneksel riskyönetimindenfarklılaşılmaktaverisklerkurumgenelindedeğerlendirilmektedir.Ayrıcagelenekselsistemdebirimbazındarisklereyönelikuygulanantutumlarınbirdiğerbirim-defarklı riskleryaratmasısözkonusuolabilmekteyken(Beasley,BransonveHancock2008:45-46)kurumsalriskyönetimsistemiilebudurumunönünegeçilmiştir.

Kurumsalriskyönetimsistemikurumunbütününüvetümriskkategorilerinieleala-rakriskyönetimkavramınıbaşkabirseviyeyeyükseltmiştir(Terzi,2010:5).BuyükselişyadadeğişimŞekil3’degösterilmektedir.

Şekil 3: RiskYönetiminGelişimSüreciKaynak: RoadtoImplementationERMforCollegesandUniversities,2009:10.


Şekil3’degörüldüğügibiişlemodaklı,risklerikötüalgılayanveyönetmektenziyadesigortalamayönteminitercihedengelenekselriskyönetimsisteminden,risklerinkurumaolanmaliyetlerininazaltılmasınaodaklananileridüzeyriskyönetimsisteminegeçilmiş-tir.Bununlabirliktekurumlar,risklerinyönetilerekavantajadönüştürülebileceğinisavu-nankurumsalriskyönetimsistemineyönelmiştir.

3. Kurumsal Risk Yönetim Sisteminin Tanımı ve ÖzellikleriKurumsal riskyönetimsistemi, stratejilerinoluşturulmasıvekurumçapındauygu-

lanması,kurumuetkilemeolasılığıolanolaylarınbelirlenmesi,risklerinriskiştahıkap-samındayönetilmesivekurumhedeflerineulaşılmasınayönelikmakulgüvencesağla-yankurumyönetimkurulu,yönetimvediğerpersonelitarafındanetkiedilenbirsüreçtir(COSO,2004a:16).COSO’nuntanımıkurumsalriskyönetimsistemiileilgiliaşağıdakitemelnoktalarıortayakoymaktadır(Reding,vd.,2009:4-4;Woods,2008:1077;Beasley,FrigoveLitman,2007:26;FrigoveAnderson,2011b:21):

i. Kurumçapındasürmekteolanveherkademedekiçalışanınkatkıdabulunduğuakıcıbirsüreçtir.

ii. Kurumstratejisioluşturulurkenuygulanmaktadır.iii. Kurumunriskportföyvarlıkseviyesinioluşturmayaodaklanılmaktadır.iv. Meydanagelmesidurumundakurumuetkileyebilecekolasıolaylarbelirlenmek-

tedir.v. Risklerin kurum risk iştahı kapsamında yönetilmesini sağlayıcı tedbirler alın-

maktadır.vi. Hedeflereulaşılabilmesiiçinbiryadadahafazlabirbirindenayrı;fakatörtüşen

kategorilereyönelinmektedir.vii. Kurumüstyönetimineveyönetimemakulbirgüvencesağlamaktadır.Kurumsalriskyönetimyaklaşımıkurumadeğerkatmakamacıylastrateji,süreç,in-

san,teknolojivebilgikaynaklarınınkurumunkarşıkarşıyakaldığıbelirsizliklerindeğer-lendirilmesiveyönetilmesiamacıylakullanıldığıdisiplinli,durağanolmayan,devamlılıkvedeğişkenlikgösterenkurumanüfuzetmişbirsistemdirvetemelsürücülerivardır(Ma-nab,HussinveKassim,2007:2).KurumsalriskyönetimsürücüleriŞekil4’degösteril-mektedir.


Şekil 4: KurumsalRiskYönetimSürücüleriKaynak:Manab,KassimveHussin,2010:241.

Kurumsal risk yönetim sistemi risklerin entegre edilmesinden daha fazlasını ifadeetmektedir.Sistemriski“kurumunhedeflerineulaşmasınıyadastratejilerinibaşarıylauy-gulamasınıolumsuzetkileyenherhangibireylemyadafaaliyetolarak”tanımlamaktadır(Walker,ShenkirveBarton,2002:2).Kurumsalriskyönetimsistemikapsamındakitemelfaaliyetlerşunlardır(IIAPositionPaper:TheRoleofInternalAuditinginERM,2009:3;APracticalGuidetoRiskAssessment,14;Maytjewicz,veD’arcangelo,5;Tonello,2007:10):

i. Temelmisyonveprogramhedeflerinidüzgünbirşekildebelirlemekvekurumabildirmek.

ii. Kurumriskiştahınıbelirlemek.iii. Riskyönetimçerçevesidâhilolmaküzereuygunbiriçortamoluşturmak.iv. Kurumhedeflerineulaşılmasınıengelleyiciolası tehditleri tanımlamakve risk

evrenioluşturmak.v. Etkiveolasılıkkapsamındarisklerideğerlendirmek.vi. Risktutumlarınakararvermekveuygulamak.vii. Kontrolvediğertepkifaaliyetleriniyürütmek.viii. Kurumunherseviyesinderisklerleilgilisürekliliktemelindebilgialışverişisağ-

lamak.ix. Riskyönetimsüreçve çıktılarınınmerkezi izlemevekoordinasyonunu sağla-

mak.x. Risklerinetkiliyönetildiğinedairgüvencesunmak.

Değer Yaratma


xi. Bağımsıznesnelgüvencevedanışmanlıksağlamak.xii. Mevcutsistemlerle(içkontrol,dışdenetim,içdenetim)kurumsalriskyönetim

sisteminientegreetmek.Kurumsalriskyönetiminbaşlangıçnoktasıkurummisyonvevizyonununbelirlenme-

sidir.Yönetimmisyonkapsamındastratejikhedefleribelirler,hedeflereulaşılmasınısağ-layıcıstratejileriseçer(INTOSAI,2007:10).Devamındahedeflereulaşmayıengelleyicirisklerveriskleriazaltıcıkontrolsistemlerivesorumlularbelirlenir.Hedeflereulaşılma-sınıetkileyecekolaylardüzenliolarakbelirliaralıklarlagözdengeçirilir,riskleryenidendeğerlendirilirvegereklidurumlardayenirisktutumlarısaptanır.Performansvesonuç-larınzamanındaraporlanmasınadikkatedilir(APracticalGuidetoRiskAssessment,14;COSO,2004a:39).Budisiplinlivesistematikyaklaşımkurumunstratejik,faaliyet,uy-gunluk,malivb.riskleriniazaltmakamacıylafaaliyetleriplanlar,yürütürvekontroleder(Razali,YazidveTahir,2011:202).

3.1. Kurumsal Risk Yönetim Sisteminin UnsurlarıKurumsal risk yönetimunsurları; “iç ortam, hedef belirleme, olay tanımlama, risk

değerlendirme,risktutumu,kontrolfaaliyetleri,bilgi-iletişimveizleme”dir(StaciokasveRupsys,2005:23).Unsurlarbirbirleriileilişkilidirvehepsietkilikurumsalriskyönetimsisteminitemsiletmektedir(Kinney,2003:141).

COSO,kurumsal riskyönetimunsurlarınıüçboyutluküp ileaçıklamaktadır (Bkz.Şekil5).Hedeflerdikeyolarak,unsurlardayatayolarakküpüzerindegösterilmektedir.Kurumvebirimlerdeüçboyutluküpüzerindeyeralmaktadır.Hedeflerleunsurlarara-sındadoğrudanbağlantıbulunmaktadır.Unsurlarkurumunulaşmakiçinçabagösterdi-ğihedefleringerçekleştirilmesindeneyingerekliolduğunuortayakoymaktadır (COSO2004a:23).

Şekil 5: KurumsalRiskYönetimSistemininUnsurlarıKaynak: Reding,vd.,2009:4-5.


Şekil5’degörüldüğüüzerekurumsalriskyönetimsistemidörthedefvebununlailiş-kilisekizunsurdanoluşmaktadır.Herunsurherhedeflekesişmektedir.Örneğin,stratejik,faaliyet,raporlamaveuygunlukhedefleriaçısındaniçkontrolortamıdeğerlendirilebilir.Küpündüşeyüçüncüboyutundasekizunsurunkurumunfarklıseviyelerinde(şube,işlet-mebirimi,bölümvekurumdüzeyine)değerlendirileceğigösterilmektedir.

İçortam,kurumsalriskyönetimindiğertümunsurlarınatemeloluşturmakta,disiplinvealtyapı sağlamaktadır. İçortamunsurukurumsalstratejivehedeflerinbelirlenmesi,faaliyetlerinyapılandırılması,risklerintespitedilmesi,değerlendirilmesiveyönetilmesisüreçlerindeetkiliolmaktadır.İçortamkurumutümüylekapsamakta,riskvekontrollerinkurumpersonelincenasılgörüldüğünevedeğerlendirildiğinedairbiryaklaşımoluştur-maktadır(COSO,2004b:5).

Hedefbelirleme,yönetiminmisyonveriskiştahıileuyumlukurumhedeflerinibelir-lemesürecidir(MattieveCassidy,2008:4).Hedefler,risklertanımlanıpuyguntutumlarbelirlenmedenönceoluşturulmalıvekurumrisktoleransseviyesinibelirleyenriskiştahıileuyumluolmalıdır(INTOSAI,2007:22).Hedeflerinbelli,anlaşılır,ölçülebilir,ulaşılır,sonuçodaklıvegüncelolmasınaözengösterilmelidir(BurnabyveHass,2009:545).He-defbelirleme;olaytanımlama,riskdeğerlendirmeverisktutumununbelirlenmesindenöncekibirönkoşuldur(Reding,vd.,2009:4-7).

Olay, stratejilerinuygulanmasınıveyahedeflereulaşılmasınıetkileyen içyadadışkaynaklıbiroluşumveyahadisedir(COSO,2004b:21).Olaytanımlama,kurumhedef-lerineulaşılmasınıetkilemeolasılığıolaniçvedışkaynaklıolayların tanımlanmasıvesınıflandırılmasısürecidir(MattieveCassidy,2008:4).

Riskdeğerlendirmesürecihangirisklerinfırsatyadagizlibirtehlikeiçerdiğinitanım-lamaamaçlıkullanılankurumsalriskyönetimsisteminintemelbirunsurudur(APracticalQuidetoRiskAssessment,3).Riskdeğerlendirmekurumhedeflerineulaşılmasıileilgilirisklerintanımlanması,analizedilmesiveuyguntutumlarınbelirlenmesisürecidir(IN-TOSAI,2004:22):

Risk tutumu ile kast edilen riskler belirlendikten sonra yönetimin risklere yöneliknasılcevaplarvereceğini(kaçınma,azaltma(kontroletme),paylaşmavekabuletme)yadarisklerinasılyöneteceğinibelirlemesidir(Reding,vd.,2009:4-7).

Kontrolfaaliyetleri,yönetimtarafındanbelirlenenveyürütülenrisktutumlarınınetkinbirşekildeişlediğinedairgarantiverenpolitikaveprosedürlerdir.Kontrolfaaliyetlerininrisktutumlarıilebütünleştirilmişolmasıgerekir(MattieveCassidy,2008:5).

Bilgi,kurumunherseviyesinderiskleritanımlamak,değerlendirmekvetutumbelirle-mekiçingereklidir.Ayrıcakurumuyönetebilmekvehedeflerineulaşmasınısağlamakiçindegereklidir(COSO,2004b:67). İletişim,bilgisisteminindoğasındamevcuttur.Bilgisistemlerinin bilgiyi uygun personele taşıması personelin stratejik, faaliyet, raporlamaveuygunlukhedefleriyleilgilisorumluluklarınısürdürebilmesiiçinzorunludur(COSO,2004a:71).


Kurumlardinamiktirvedinamikbirçevredefaaliyetgöstermektedir.Bunedenlehemkurumiçihemdekurumdışıdeğişiklikleryönetimcedeğerlendirilmeliyaniizlemesüreciaktifolarakyapılmalıdır(ARiskManagementStandard,2002:11).

3.2. Kurumsal Risk Yönetim Sisteminin Önemi ve FaydalarıSisteminkurulmasıylakurumunstratejikhedefleriniuygulamayeteneğinedoğrudan

etkiedilmektevekurumvizyonunaulaşılmaktadır (COSO,2004a:17).Kurumsal riskyönetimi,süreçleringelişiminidesteklemekte(IIAPositionPaper:TheRoleofInternalAuditinginERM,2009:2)vekurumsalyönetişiminönemlibirparçasıolduğudünyaça-pındapekçokülketarafındankabuledilmektedir(Manab,KassimveHussin,2010:240).Kurumsalriskyönetimsistemininetkinişleyebilmesiiçincevaparanmasıgerekentemelbeşsorubulunmaktadır.Bunlarşuşekildesıralanabilir(Reding,vd.,2009:4-10,11):

i. Neyibaşarmakistiyoruzyadahedeflerimizneler?ii. Hedeflereulaşmamızıneengelleyebilir?Riskvarmı,varisenekadarkötüola-

bilirveburisklerinmeydanagelmeolasılıklarınedir?iii. Risklerinortayaçıkmasınıengellemekiçinneyapılabilir?Kurumunriskyöne-

timstratejisinedirverisklerekarşınasıltutumlarbelirlenebilir?iv. Kurumriskleriidareetmeyeterliliğindemidir?Riskyönetimstratejileriniyürü-

tebilmekiçinkontrolfaaliyetleritasarlandımıvekontrolsürecietkinmi?v. İstenenhedeflereulaşılıpulaşılmadığınıtestedecekizlemesistemikuruldumu?Kurumlar teknolojinin, yeniden yapılanmanın, pazar değişiminin, rekabetin ve dü-

zenlemelerin yarattığı belirsizlik ortamında faaliyet göstermektedir.Kurumun stratejiktercihleridebelirsizliklerinoluşumkaynağıdır.Örneğin,yenibiralandafaaliyetyapmayönündekistrateji,beraberinderiskleriveoalanayönelikfırsatlarıdagetirecektir.Belir-sizliklerkurumadeğerkatıcıfırsatlarıiçerdiğigibideğerazaltıcıriskleridekapsamakta-dır.Önemliolanyönetiminbubelirsizliklerinnekadarıilemücadeleedebileceğinekararvermesidir.Kurumsalriskyönetimsistemiyönetime,kurumadeğerkatmakapasitesiniartırabilmesiiçinrisklerivefırsatlarıkapsayanbelirsizliklerleuygunbirşekildeilgilenmeolanağısunmaktadır(COSO,2004a:13).

Etkili ve disiplinli bir şekilde uygulanan kurumsal risk yönetim sistemi, kurumunişlevsizliğiniönleyerekgenelriskleryerineönemlirisklereyoğunlaşılmasınısağlamakta(Non,29)vekurumarekabetavantajıkazandırmaktadır(Beasley,BransonveHancock,2009:29;Beasley,BransonveHancock,2011:4).Ayrıcakurumlarınyaşamınısürdürmeyeteneğiniartırarakpozitifbir imajoluşturmasınısağlamakta,hizmetlerinveürünlerintoplamkalitesiniolumluanlamdaetkilemektedir(Aksoy,2005:188).Kurumsalriskyö-netimanlayışınıntemelunsurlarındanbiri“isterkâramaçlıbirşirketisterkâramacıgüt-meyenbirkamukurumuolsunpaydaşlaradeğerkatmakamacıilevarolmak”ilkesidir(COSO,2004a:13).Sistem,paydaşlaravekurumadeğerkazandırmakvebudeğerikoru-maklakalmazaynızamandabunugeliştirmeyeodaklanır(Beasley,BransonveHancock,2008:45).


Yöneticilerçoğuzamanhedeflereulaşabilmekadınakurumvarlıklarınıriskeetmek-tedir(BurnabyveHass,2009:540);ancakburadaamaç,kurumhedeflerineulaşılmasınıengelleyecekbelirsizliklerietkilişekildeyöneterekkurumadeğerkazandırmakvekuru-mugeliştirmektir(Walker,ShenkirveBarton,2002:2).Bukapsamdasisteminkurumasağlayacağıtemelfaydalarşunlardır(IIAPositionPaper:TheRoleofInternalAuditinginERM,2009:2-3;Terzi,2010:5):

i. Hedeflereulaşılmaolasılığınıartırır.ii. Yönetiminrisklerianlama,tanımlamaveönlemalarakyönetmeyeteneğinigeliş-

tirir.iii. Birbirinden farklı risk raporlarının yönetim kurulu düzeyinde birleştirilmesini

sağlar.iv. Önemliriskleriveonlarınetkialanlarınınanlaşılmadüzeyinigeliştirir.v. Kurumiçiçaprazrisklerinbelirlenmesivepaylaşılmasınısağlar.vi. Ortakvekesişenriskleritanımlarvebirimlerarasıiletişimigüçlendirir.vii. Gerçektenönemlikonularüzerineodaklanankalitelibiryönetimsağlar.viii. Krizgibiyadabaşarıyıolumsuzetkileyecekolumsuzdurumlarlakarşılaşılma

olasılığınıazaltır.ix. İşlerindoğruşekildeyapılışınaodaklanılmasınısağlar.x. Başarıyaulaşabilmekiçindeğişiklikyapmayayönelikinisiyatifalmasorumlulu-

ğunuartırır.xi. Dahabüyükbaşarılariçindahabüyükriskleralmayeteneğiniartırır.xii. Riskalmayayönelikkararvermededahabilinçliolunmasınısağlar.xiii. Kurumsalverimliliğienuygunhalegetirir,korurvekurumsalimajıgüçlendirir.xiv. Hesapverebilirliğivebütünleşikiçkontrolsisteminigüçlendirir.Sistem,riskyönetimineverilenönemiartırmakta,yüksekdüzeydesorumlulukalın-

masınıvesorumluluklarınaçıkçabelirlenmesinisağlamaktadır(Beasley,CluneveHer-manson,2005:523).Ayrıca standartlaroluşturulmasınıve risklerindahaetkili şekildeyönetilmesiveazaltılmasıiçinfırsatsunmaklabirlikteetkinlikvebüyümeiçinyenifır-satlaryaratılmasınıdasağlamaktadır(Dienhart,2010:5).Kurumsalriskyönetimsistemietkiliraporlama,yasavedüzenlemelereuygunlukvekayıplarınönlenmesi(geliryadaitibar)konularındadakurumayardımcıolmaktadır(FloreaveFlorea,2009:39;Uzun,2011:1).

İyitasarlanmışveetkinişleyenkurumsalriskyönetimsistemi,yönetimveyönetimkuruluna kurum hedeflerinin başarılması ile ilgili makul güvence sağlayabilir.Makulgüvence,kimseninkesintahminlerdebulunamayacağıgelecektekibelirsizlikveriskleriyansıtmaktadır.Çoğufaktör,bireyselyadatopluolarak,makulgüvencekavramınıdes-


teklemektedir. Faaliyetler yürütülürkenve sorumluluklar yerine getirilirkenhedeflerdebaşarıyaulaşılmasıamaçlanır.İyibiriçkontrolsisteminesahipolankurumlar,stratejikvefaaliyethedeflerineyönelikeylemlerdendüzenliolarakbilgisahibiolacaktır.Bununlaberaberkontroledilemeyenbirolay,hatayadayanlışraporlamameydanagelebilir.Birbaşkadeyişle,etkinbirkurumsalriskyönetimsisteminerağmenhatailekarşılaşılabilir.Bunedenlesisteminişleyişininetkinliğiileilgiliüstyönetimeancakmakulbirgüvencesunulurvebukesingüvenceanlamınagelmemektedir(COSO,2004a:20).

Güçlübirkurumsalriskyönetimsistemininönemidünyagenelindegiderekdahafaz-lakabuledilmektedir.Kurumlar;sosyal,etik,çevre,finansvefaaliyetalanlarındakarşı-laştıklarıriskleritanımlamayaverisklerinkabuledilenseviyede(riskiştahı)yönetimiileilgiliaçıklamayapmayazorlanmaktadır(IIAPositionPaper:TheRoleofInternalAudi-tinginERM,2009:2).Risklerinbaşarılıbirşekildeyönetilmesiiçinönemlivestratejikbirçabagösterilerekkurumsalriskyönetimsorumluluğukurumçapındaüstlenilmelidir(FrigoveAnderson,2011a:1).Ayrıcaetkilikurumsalriskyönetiminetikriskyönetiminedayandığıunutulmamalıdır(DemidenkoveMcNutt,2010:802).

SonuçBuçalışmadagelenekselriskyönetimisistemindenkurumsalriskyönetimisistemine

geçişüzerindedurulmaktadır.Kurumsalriskyönetimi,özelsektöruygulamalarıylabaş-layanveyönetimanlayışındakideğişimilebirliktekamukurumlarınındadikkatiniçekenbirsistemdir.Özellikleküreselölçekteyaşananşirketskandallarıgelenekselriskyönetimsistemininyetersizliğininsorgulanmasınanedenolmuşvesadecemalialandadeğiltümsüreçlerikapsayanbirriskyönetimsistemiihtiyacınınortayaçıkmasıneticesindekurum-salriskyönetimsistemigeliştirilmiştir.

Kurumsal risk yönetim sistemi geleneksel risk yönetimindeki gibi riskleri “kötü-olumsuz”olarakalgılamaz,riskleriyönetilebilirvekurumiçinartıbirdeğeredönüştürü-lebilirgözüyledeğerlendirdiğindenhedeflereyönelikrisklertanımlanaraknasıltutumlaruygulanabileceğibelirlenirvegözdenkaçanfırsatlarınfarkınavarılır.Sistemsadecemalitablolarınkontrolüyadauygunlukhedefleriyledeğil,tümfaaliyetalanlarıylailgilihedef-lerleilgilendiğindenkurumunbütününehizmetvererek,bütünsellikkazanılmasınısağlar.Kurumsalriskyönetimsistemikurumunbaşarısızsonuçlaradeğil,süreçtebaşarısızso-nuçlarınortayaçıkmasınasebepolannedenlereodaklanılmasınıveonlarınyönetilmesinivehattafırsatsağlayıcıdurumlarınortayaçıkarılmasınısağlamaktadır.Sonuçitibariyle,sisteminkurumasağlayacağıfaydalardikkatealınaraközellikleTürkiye’dekamukurum-larındauygulanmasıteşvikedilmelidir.

Buçalışmanınbazıkısıtlarımevcuttur.Birincisi,kurumsalriskyönetimisistemiko-nusundaTürkçeliteratürdekibilgieksikliğidir.Bunedenleçalışmadakurumsalriskyöne-timisistemikonusundaTürkçe’yekazandırılanterimlerinbenimsenmesiiçindahafazlaçalışmayagereksinimvardır.İkincisi,Türkiye’deözelsektördevekamudakurumsalrisksistemiileilgiliölçeklerinhenüzgeliştirilipuygulanmamışolmasıdır.Buçalışmaölçek


geliştirilmesiiçinoluşturulacakzeminaçısındanteorikçerçeveoluşturmaktadır.Buçalışmadagelenekselriskyönetimisistemindenkurumsalriskyönetiminegeçiş

üzerindeteorikolarakdurulmuştur.Gelecektearaştırmayapacaklaraözelsektörişletme-lerindekurumsalriskyönetimineyönelikbirsahaaraştırmasıyapmalarıönerilebilir.Ay-rıcaTürkiye’dekiözelvedevletüniversitelerindekurumsalriskyönetimiveriskodaklıdenetimilişkisibirbaşkaincelemekonusuolabilir.

KaynakçaAksoy,T.(2005).BağımsızDenetimŞirketleriİçinUlusalveUluslararasıDüzenlemelerle

UyumluÇokYönlüBirİçKontrolAnketFormu.Ekim-Kasım-Aralık.S:73.168-202.

APracticalGuidetoRiskAssessment,http://www.pwc.com/en_US/us/issues/enterprise-risk-management/assets/risk_assessment_guide.pdf[02.09.2011].

ARiskManagement Standard. (2002). http://www.theirm.org/publications/documents/Risk_Management_Standard_030820.pdfAIRMIC,ALARM,IRM.1-14.[10.09.2011].

Beasley,M.S.,J.G.JenkinsveE.F.Kranitz(2003).ImplementingERM:BrainstormingAbout Risks, Internal Auditing, Internal Auditing. Kasım-Aralık, ABI/INFORMGlobal.C:18.S:6.3-10.

Beasley,M.S.,R.CluneveD.R.Hermanson(2005).EnterpriseRiskManagement:AnEmpiricalAnalysisofFactorsAssociatedwiththeExtentofİmplementation.JournalofAccountingandPublicPolicy.C:24.521-531.

Beasley,M.S.,M.L.FrigoveJ.Litman(2007).StrategicRiskManagement:CreatingandProtectingValue.StrategicFinance.Mayıs.ABI/INFORMGlobal.C:88.S:11.24-53.

Beasley,M.S.,B.C.BransonveB.V.Hancock(2008),RisingExpectations,JournalofAccountancy.Nisan.ABI/INFORMGlobal.C:205.S:4.44-51.

Beasley, M.S., B.C. Branson ve B.V. Hancock (2009). ERM: Opportunities ForImprovement.JournalofAccountancy.Eylül.C:208.S:3.28-33.

Beasley,M.S.,B.C.BransonveB.V.Hancock(2011).DevelopingKeyRiskIndıcatorsTo Strengthen Enterprise Risk Management. http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf [22.02.2011].

Burnaby,P.veS.Hass(2009).Tenstepstoenterprise-wideriskmanagement.CorporateGovernance,C:9.S:5.539-550.

COSO.(2004a).EnterpriseRiskManagement-IntegratedFrmaeworkExecutiveSummaryFramework.Eylül.


Coso. (2004b). Enterprise Risk Management-Integrated Framework ApplicationTechniques.Eylül.

Demidenko,E.veM.Patrick(2010).TheEthicsofEnterpriseRiskManagementAsAKeyComponentofCorporateGovernance.InternationalJournalofSocialEconomics.C:37.S:10.802-815.

Derici,O.,Z.TüysüzveA.Sarı(2007).KurumsalRiskYönetimiveSayıştayUygulaması.SayıştayDergisi,Nisan-Haziran.S:65.151-172.

Dienhart, J. (2010). Enterprise Risk Management:Why The Ethics and ComplianceFunction Adds Value, 1-23. http://www.ethics.org/files/u5/ERM.pdf.[07.08.2011].

Emhan,A.(2009).RiskYöneitmSüreciveRiskYönetmekteKullanılanTeknikler.AtatürkÜniversitesiİktisadiveidariBilimlerDergisi,C:23.S.3.209-220.

Ferma.(2003).RiskYönetimStandardı.http://www.ferma.eu/wp-content/uploads/2011/11/a-risk-management-standard-turkish-version.pdf.[11.03.2012].

Flanagan, R. ve Norman, G. (1993). RiskManagement and Construction. BlackwellScientific.

Florea,R.veR.Florea(2009).InternalAuditinRiskManagementApproach.EconomyTransdisciplinarityCognition.S:1.38-44.

Fone,M.veP.C.Young (2005).ManagingRisks inPublicOrganisations.PerpetuityPress.

Frigo, M. L. ve R. Anderson (2011a). Embracing Enter Prise Risk ManagementPractical Approaches for Getting Started. COSO. http://www.coso.org/documents/EmbracingERM-GettingStartedforWebPostingDec110_001.pdf.[07.08.2011].

Frigo,M.L.veR.J.Anderson.(2011b).WhatisStrategicRiskManagement.StrategicFinance.Nisan.21-22.

Griffiths,P.(2005).Risk-BasedAuditing.GowerPublishingLimited.Hall, J. (2007). InternalAuditingandERM:Fitting inandAddingValue.www.theiia.

org/download.cfm?file=66127.[25.06.2011].IIAPositionPaper:TheRoleofInternalAuditinginEnterprise-wideRiskManagement.

(2009).TheInstituteofInternalAuditors.IPPF_PP_Role_of_IA_in_ERM_01.09[1].pdf.[10.09.2011].

InternalControlandRiskManagement:ABasicFramework(2005).HongKongInstituteof Certified Public Accountants. http://app1.hkicpa.org.hk/publications/corporategovernanceguides/Guide_Eng_August.pdf.[21.06.2011].

Intosai. (2004). Guidelines for Internal Control Standards for The Public Sector. 1-


71. http://intosai.connexcc-hosting.net/blueline/upload/1guicspubsece.pdf.[22.05.2011].

Intosai.(2007).GuidelinesforInternalControlStandardsforthePublicSector-FurtherInformation on Entity Risk Management. 1-39. http://www.issai.org/media(577,1033)/INTOSAI_GOV_9130_E.pdf.[22.05.2011].

Kinney,W. R. (2003). The Research Opportunities in InternalAudit. Auditing RiskAssessmentandRiskManagementProcess.Bölüm5.AltamonteSprings,FL:TheInstituteofInternalAuditors.

Lienberg,A.P.veR.E.Hoyt(2003).TheDeterminanatsofEnterpriseRiskManagement:EvidenceFromTheAppointmentofChiefRiskOfficers.RiskManagementandInsuranceReview,C:6.S:1.37-52.

Manab,N.A.,M.R.HussinveI.Kassim(2007).EmpiricalStudyonTheoryandPracticeofEnterprise-WideRiskManagement(EWRM)onInternalAuditingandRiskManagmentFunctionsofPublicListedCompaniesinMalaysia.http/.rmi.nccu.edu.tw/apria/docs/Concurrent%20IV/Session%201/14707EWRM_APRIA_2007_New.doc.[02.05.2011].

Manab,N.A.,M.R.Hussin ve I.Kassim. (2010). Enterprise-wideRiskManagementPractices:BetweenCorporateGovernanceComplianceandValueCreation.InternationalReviewofBusinessResearchPapers.Temmuz.C:6.S:2.239-252.

Managing Risk Across the Public Sector, (2004) Basan Victorian Auditor-General’sDirectors: 1-8. http://download.audit.vic.gov.au/files/Managing_risk_report.pdf[ErişimTarihi:10.09.2011].

Mattie, J.A. ve D.L. Cassidy. (2008). Achieving goals, protecting reputation:Enterprise Risk Management for Educational Institutions, http://www.universityofcalifornia.edu/regents/regmeet/july08/a7a.pdf[11.09.2011].

Maytjewicz,G.veJ.D’arcangelo.ERM-BasedAuditing.http://www.gapent.com/media/inthenews/Article-Internal_Auditing-ND.pdf. 1-12.

[03.11.2010].Non,A.J.AreWeReadyforEnterpriseWideRiskManagement?.1-37.http://www.picpa.

com.ph/getmedia/114f621e-84bc-45ff-b43a-961532bb55eb/erm.aspx.[12.09.2011].

Olson,D.L.veD.Wu. (2010).EnterpriseRiskManagementModels,Berlin:Springer–VerlagBerlinHeidelberg.

Razali,A.R.,A.S.Yazid ve I.M. Tahir. (2011). The Determinants of Enterprise RiskManagementPracticesinMalaysianPublicListedCompanies.JournalofSocialandDevelopmentSciences.Haziran.C:1.S:5.202-207.


Reding,F.K.,P.J.Sobel,L.U.Anderson,M.J.Head,S.Ramamoorti,M.SalamasickveC.Riddle. (2009). InternalAuditing:Assurance&ConsultingServices,2.Baskı,TheIIAResearchFoundation.

Road to ImplementationERMforColleges andUniversities, 2009,Eylül,September.ArthurJ.GallagherRiskManagementServices,Inc.

http://www.ajgrms.com/portal/server.pt/gateway/PTARGS_0_28406_570311_0_0_18/ERM%20TT%20Report%20Final%209-23-09.pdf.[29.05.2011].

Shenkir,W.G.veP.L.Walker.(2007).EnterpriseRiskManagement:ToolsandTechniquesforEffectiveImplementation.InstituteofManagementAccountants.1-31.http://poole.ncsu.edu/erm/document/IMAToolsTechniquesMay07.pdf.[21.08.2011].

Staciokas, R. ve R. Rupsys. (2005).Application of InternalAudit in Enterprise RiskManagement.EngineeringEconomics.ISSN1392-2785.S:2.20-25.

Terje,A.veR.Ortwin.(2010).RiskManagementandGovernance.Springer.TheOrangeBook:ManagementofRisk-PrinciplesandConcepts.(2004).October.United

Kingdom(UK):HMTreasury.Terzi,C.(2010).ReviewofEnterpriseRiskManagementintheUnitedNationsSystem,

http://www.unjiu.org/data/reports/2010/en2010_4.pdf.[29.05.2011].Tonello,M. (2007). EmergingGovernance Practices in EnterpriseRiskManagement,

TheConferenceBoard,Inc.ResearchReportR-1398-07-WG,1-99.http://papers.ssrn.com/sol3/papers.cfm?abstract_id=963221[01.02.2010].

Uzun,A.K.(2011).“KurumsalRiskYönetimiveİçDenetim”.ÖnceKaliteDergisi,S.151. Mart-Nisan. http://www.denetimnet.net/UserFiles/Documents/2011/Kurumsal_Risk_Y%C3%B6netimi_ve_%C4%B0%C3%A7_Denetim.pdf [10.03.2011].

Vicente, P.F.O. (2011). A Reference Architecture for Integrated Governance, Riskand Compliance. https://dspace.ist.utl.pt/bitstream/2295/1051354/1/dissertacao.pdf[30.03.2012].

Vose,D.(2008).RiskAnalysis:AQuantitativeGuide,3.Baskı.JohnWiely&SonsLtd.Walker,P.L.,W.G.ShenkirveT..L.Barton,(2002).EnterpriseRiskManagement.The

InstituteofInternalAuditorsResearchFoundation.Woods,M. (2008).LinkingRiskManagement toStrategicControls:ACaseStudyof

TescoPlc.InternationalJournalofRiskAssessmentandManagement,C:7.S:8.1074-1088.