Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) – Uygulama Rehberi

ISO 31000 TEMELİNDE

RİSK YÖNETİMİNİN YETERLİLİĞİNİN DEĞERLENDİRİLMESİ

ARALIK 2010

IIATHE INSTITUTE OF INTERNAL AUDITORS

[ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ]

2

İÇİNDEKİLER

Yönetici Özeti 3

Giriş 3

Kurumda Risk Yönetimi 5

İç Denetim ve Risk Yönetimi 8

Risk Yönetimi Hakkında İç Denetimin Değerlendirmesi 10

Denetim Kanıtlarının Elde Edilmesi 12

Risk Yönetimi Sürecinin Güvencesi 14

Risk Yönetimi Dokümantasyonunun Kalitesinin Değerlendirilmesi 17

Yazarlar 19

Gözden Geçirenler ve Katkıda Bulunanlar 19

3

YÖNETİCİ ÖZETİ

Birçok kurum, risk yönetimi için tutarlı ve bütüncül yaklaşımlar benimsemeye ve risk yönetiminin kurumun yönetimiyle tamamen entegre edilmesi gereken bir yönetim süreciolduğunu kabul etmeye başlamıştır. Risk yönetimi bir kurumun tüm kademelerinde – kurumsal düzeyde, departman düzeyinde ve bölüm düzeyinde – uygulanır.

Risk yönetimi çerçevesi, kuruma, onun iç ve dış ortamına uygun olacak şekilde tasarlanmalıdır. Herhangi bir kurumda risk yönetiminin etkin olabilmesi için, kurumun büyüklüğü ve amaçları ne olursa olsun risk yönetimi çerçevesinin belirli temel bileşenleri içermesi gereklidir. Bu rehberde, risk yönetimi sürecinin güvencesi sağlamaya yönelik üç yaklaşım ayrıntılarıyla anlatılmaktadır: Süreç Unsurları Yaklaşımı; Risk Yönetimi İlkelerine Dayanan Yaklaşım ve Olgunluk Modeli Yaklaşımı. Kullanılan güvence süreci, kurumun ihtiyaçlarına uyarlanmalıdır.

İç denetçiler bir kurumun risk yönetiminin etkinliğini ölçmeye yarayan araçlara sahip olmalıdır. Risk yönetimi sürecinin çeşitli yönlerini yansıtan kriterler incelenerek bu sağlanabilir. Kullanılan kriterler ilgili, güvenilir, anlaşılır ve tam olmalıdır. Yapılan incelemeler bir araya getirildiğinde, denetçinin kurumun risk yönetimi olgunluk seviyesi hakkında bir kanaate varmasına imkân tanımalıdır.

Kurumun risk yönetimi sürecinin kalitesi zamanla artmalıdır. Etkin bir risk yönetimi uygulaması -doğru ERM (Kurumsal Risk Yönetimi)- çoğu zaman yıllar alır. İç denetçilerin dikkate almaları gereken kilit öneme sahip kriterlerden biri, kurumsal ve sistematik bir risk yönetimi yaklaşımı geliştirmek için uygun bir çerçevenin mevcut olup olmadığıdır.

Bu uygulama rehberinde, risk yönetimi çerçevesi için ISO 31000 temel alınmıştır. Risk değerlendirmesini gerçekleştirmek için başka çerçeveler de kullanılabilir. Bu rehberde, bu çerçeve veya başka herhangi bir çerçeveye açık veya zımni bir destek imasında bulunulmamaktadır.

GİRİŞ

Son birkaç yıl içerisinde, güçlü bir kurumsal yönetişimin bir parçası olarak risk yönetiminin önemi giderek daha iyi anlaşılmıştır. Kurumlar, karşılaştıkları önemli iş risklerini -sosyal, etik, çevresel, stratejik, finansal ve operasyonel- belirleme ve bu riskleri nasıl yönettiklerini açıklama baskısı altındadırlar. Risk yönetimi için koordineli yaklaşımların getirdiği avantajlar kurumlar tarafından daha iyi anlaşıldıkça, kurum genelini kapsayan risk yönetimi çerçeveleri daha fazla kullanılmaya başlanmıştır.

Uluslararası İç Denetim Mesleki Uygulama Standartları (Standartlar) Terimler Sözlüğünde, risk yönetimi, "kurumun amaçlarını gerçekleştirmek üzere makul bir güvence sağlamak amacıyla potansiyel olay ve durumları belirleme, değerlendirme, yönetme ve kontrol etme süreci” olarak tanımlanmaktadır.1 Kapsamlı bir risk yönetimi çerçevesi, kurumda tüm seviyelerdee hedefler, strateji, stratejinin hayata geçirilmesi, riskler, kontroller ve güvencearasında uç uca bir bağlantı kurar.

1 Bu tanım, Uluslararası Standartlar Örgütü'nün (ISO) risk yönetimi tanımıyla tutarlıdır: "bir kurumu risk açısından yönetmek ve kontrol altında tutmak için gerçekleştirilen koordineli faaliyetler." (ISO Rehberi 73:2009 Tanım 2.1)

4

Kurumsal risk yönetimi (ERM) -veya daha net ifadeyle kurum genelini kapsayan riskyönetimi- yaygın kullanılan bir terimdir. Treadway Komisyonu Sponsor Kuruluşlar Komitesi (COSO), kurumsal risk yönetimini, "yönetim kurulu, yönetim ve diğer personelden etkilenen, strateji oluşturulması sürecinde ve kurumun tamamında başvurulan, kurumu etkileyebilecek olası olayları tanımlayan ve risk iştahı kapsamında bu olayları yönetebilen ve kurum hedeflerinin gerçekleştirilmesine makul güvence sağlayan bir süreçtir.” şeklinde tanımlamaktadır.

ISO 31000'de (Bölüm 4.1), risk yönetiminin başarısının "kurumun tamamına tüm seviyelerde yerleştirilen temeller ve düzenlemeleri sağlayan yönetim çerçevesinin etkinliğine bağlı olacağı" belirtilmektedir.2 “Risk yönetimi çerçevesi” bir kurum dahilindeki risk yönetimininorganizasyonu ve bileşenlerine atıf yapmaktadır.

Standart 2120’de, “iç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine katkıda bulunmak zorundadır” denilmektedir. Bu standart, aşağıdaki yorumla devam etmektedir:

“Yorum: Risk yönetimi süreçlerinin etkili olup olmadığına karar vermek, iç denetçinin aşağıdaki konulardaki değerlendirmelerinin doğurduğu bir yargıdır:

Kurumsal amaçlar, kurumun misyonunu destekliyor ve bu misyonlauyuşuyorsa,

Önemli riskler belirlenmiş ve değerlendirilmişse, Riskleri kurumun risk iştahıyla aynı paralele getiren uygun risk cevapları

seçildiyse, Personelin, yönetimin ve yönetim kurulunun sorumluluklarını yerine

getirmesine yardımcı olan ilgili risk bilgisi elde edilip zamanında kurum genelinde yayımlandıysa.

İç denetim faaliyeti, bu değerlendirmeyi destekler nitelikteki bilgi ve verileri birden çok görev sırasında toplayabilir. Bu görevlerden alınan sonuçlar, birlikte ele alındıklarında, kurumun risk yönetimi süreçleri ve bunların etkinliklerinin anlaşılmasını sağlar.

Risk yönetim süreçleri, devamlı yönetim faaliyetleri, müstakil değerlendirmeler veya her ikisi birden kullanılarak izlenirler.”

Bir kurumun risk yönetimi yaklaşımını geliştirmek için yapması gereken ilk şey, kurumun elindekileri belirleyen ve hangi süreç ve sistemlerin mevcut bulunduğunu değerlendiren bir boşluk analizi yapmaktır. Temel parçalardan herhangi biri eksikse, risk yönetiminin etkili olması çok düşük bir ihtimal olacaktır. İç denetçiler kurumlarında risk yönetimini değerlendirmek ve geliştirmekte rol oynarlar ve kurumun risk yönetimi faaliyetlerinin değerlendirilmesi, bu çabanın kritik bir bileşenidir.

2 © ISO. Bu materyal, Uluslararası Standartlar Örgütü'nün (ISO) adına Amerikan Ulusal Standartlar Enstitüsü'nden (ANSI) alınan izinle ya ISO 31000:2009 ya da ISO Rehberi 73:2009'dan çoğaltılır. Bu ISO materyalinin hiçbir kısmı, ANSI'den ön-yazılı izin alınmadan internet üzerinde, genel ağda, elektronik erişim sistemi veya başka herhangi bir yolla, uydu aracılığıyla veya başka herhangi bir yolla, hiçbir şekilde kopyalanamaz veya çoğaltılamaz. Bu standardın kopyaları, ANSI, 25 West 43rd Street, New York, NY 10036, (212) 642-4900, http://webstore.ansi.org adreslerinden satın alınabilir.

5

Bu uygulama rehberi, ISO 31000’in yapısını ve terminolojisinin bir kısmını kullanmaktadır. ISO 31000’in konseptleri ve yapıları, her türlü risk yönetimi sürecinin değerlendirmesi için bir zemin oluşturmakta olup sertifikasyon için tasarlanmamıştır. ISO 31000 çerçevesi, yaygın kullanılmakta olan tek risk yönetimi çerçevesi değildir ve bu rehberde, bu ilgili çerçevenin mutlaka kullanılması gerektiği söylenmemektedir.

KURUMDA RİSK YÖNETİMİ

Yönetişim

ISO 31000 Risk Yönetimi Standardı, büyük veya küçük, her türlü kurum için uygulanabilir bir risk yönetimi çerçevesine yönelik kılavuzluk etmektedir. ISO 31000, bir risk yönetimi çerçevesini, “kurum dahilinde risk yönetimini tasarlamak, uygulamak, izlemek, gözdengeçirmek ve sürekli olarak geliştirmek için gereken temelleri ve organizasyonel düzenlemeleri bir araya getiren bir bileşen takımı” olarak tanımlamaktadır.3 Risk yönetimi çerçevesi, nedereceye kadar bir resmi çerçeve olarak kabul edildiğinden bağımsız olarak, kurumun genel stratejik ve operasyonel politikaları ve uygulamalarının içine yerleştirilmelidir. Organizasyonel düzenlemeler; planları, ilişkileri, hesap verme sorumluluklarını, kaynakları, süreçleri ve faaliyetleri içerir. Aşağıda yer alan diyagramda (Şekil 1), bu düzenlemelerin analizi için kullanılabilecek bir kavramsal model gösterilmektedir.

Şekil 1: Risk Yönetimi için Çerçeve (ISO 31000)

3 A.g.e.

6

İç denetçi, risk yönetimi çerçevesinin risk yönetimi sorumluluklarının ve risk yönetimi stratejisinin belirlenmesini dikkate alıp almadığını, ayrıca, bu çerçeveye dahil olan unsurların bir yandan risk-alma ve bu doğrultuda yenilik yapma sorumluluğu almaya imkân tanımaya devam ederken, diğer yandan riskler hakkında bilgili ve becerikli bir işgücü ve iş ortamı kurulmasına imkân tanıyıp tanımadığını değerlendirmelidir.

Risk Yönetiminde Sorumluluklar

Uluslararası Standartlar Örgütü (ISO), risk tavrını, “kurumun riski değerlendirme ve nihayetinde takip etme, üstlenme, riskten uzaklaşma veya riski yönlendirme yaklaşımı” olarak tanımlamaktadır.4 Yönetim riskle ilgili kurumsal tavrı belirlemekten; yönetim kurulu riske karşı alınan tavrın hissedarların çıkarlarıyla en iyi şekilde uyuşup uyuşmadığını belirlemekten sorumludur.

Yönetim kurulu ERM’nin kurumsal yönetim gözetimini yapar. Yönetim kurulu ERM’nin kilitunsurlarını anlamalı, yönetime riskler hakkında sorular sormalı ve belirli yönetim kararları hakkında yönetimle mutabakata varmalıdır. Performanstaki potansiyel değişikliklerin ne denli tolere edebileceğine bağlı olarak yatırım yapacaklarından, yönetim ve yönetim kurulunun riske karşı tavrını anlamaları için paydaşlara yeterli bilgi sunulmalıdır. Kurumlar; risk seviyelerini üç aylık ve yıllık raporlar, basın bültenleri, yatırımcı görüşmeleri, vb. yollarla iletirler.

Yönetim kurulu genel olarak risklerin yönetilmesi ve yeterli ve uygun bir risk yönetimisisteminin varlığını temin etmekten sorumludur. Uygulamada, yönetim kurulu, yönetim ekibini risk yönetimi çerçevesi operasyonunu gerçekleştirmekle görevlendirir. Bu faaliyetleri koordine eden ve proje çapında yöneten, yeterli beceri ve bilgi birikimine sahip ayrı bir birim bulunuyor olabilir, ancak tüm kurum çalışanları kurum genelinde başarılı bir risk yönetiminin hayata geçirilmesinde bir rol oynarlar ve riskleri belirleme ve yönetme asli sorumluluğu yönetime aittir.

İzleme ve Güvence

ERM uygulaması zamanla değişir. Riskle ilgili tavır, iç veya dış faktörlere bağlı olarak değişebilir; bir zamanlar etkili olan risk cevapları zamanla önemini yitirebilir ve kontrol faaliyetleri etkisizleşebilir veya artık uygulanmıyor olabilir. Yaşanan bu değişimlerde, yeni personelin gelişi, kurum yapısındaki değişiklikler veya yeni süreçlerin uygulanmaya başlamasının etkisi olabilir. Öte yandan, kurum hedefleri ve ayrıca, bu hedeflere ulaşılmasını etkileyebilecek potansiyel olaylar veya koşulların tabiatı da değişecektir. Bu bağlamda, yönetimin ERM bileşenlerinin önemlerini korumaya devam edip etmeyeceğini ve yeni riskler açısından uygun olup olmadığını belirlemelidir.

Sağlam bir risk yönetimi siteminin hedeflendiği gibi işlemesini sağlayan kritik unsurlarından biri “izleme”dir. İzleme iki yolla yapılabilir: sürekli faaliyetler veya müstakil değerlendirmeler. Sürekli izleme ve müstakil değerlendirmelerin kombinasyonu ERM’nin zamana karşı etkinliğini korumasını sağlayacaktır.

ERM süreçleri periyodik risk değerlendirmeleri ve risk derecelendirmelerini içerir. Sürekli izlemenin derecesi ve etkinliği ne kadar yüksekse, müstakil değerlendirmeler yapmaya o

4 A.g.e.

7

kadar az ihtiyaç duyulur. ERM’nin etkinliği hakkında makul bir güvence elde etmek isteyen yönetimin ihtiyaç duyduğu müstakil değerlendirmelerin ne sıklıkta yapılacağı, yönetimin karar vermesi gereken bir husustur. Bu karar verilirken, değişikliklerin mahiyeti ve derecesi, risk cevaplarını ve ilgili kontrolleri uygulayan insanların yetkinliği ve deneyimi, yönetilmekte olan risklerin iş ve kurum açısından mahiyeti ve önemi ve sürekli izleme sürecinden alınan sonuçlar dikkate alınır.

Sürekli izleme süreci, kurumun normal, tekrarlanan faaliyetleri içerisinde inşa edilir. Değişen koşullara karşı gerçek-zamanlı dinamik tepkiler vermesinden ve kurumun içinde kök salmasından dolayı, ayrı değerlendirmelere kıyasla sürekli izleme sürecinden daha etkili sonuçlar alınabilir. Müstakil değerlendirmeler olay gerçekleştikten sonra yapıldıkları için, sürekli izleme süreçlerinde problemler genellikle çok daha hızlı tanımlanacaklardır. Buna rağmen yine de, sağlam devam eden izleme faaliyetlerine sahip bazı kurumlar, müstakil ERM değerlendirmesi yapacak veya bunun çeşitli kısımlarını gerçekleştirecektir. Algılanan objektiflik düzeyi, müstakil değerlendirmeler için, öz-izleme için olduğundan daha yüksektir.

Sık sık müstakil değerlendirmeler yapma ihtiyacı algılanan bir kurum, sürekli izleme faaliyetlerini geliştirmenin yollarına odaklanmalı ve “üzerine eklenen” izleme faaliyetlerinden ziyade “içerisine yerleştirilen” izleme faaliyetlerine önem vermelidir.

Güvence gereksinimi, kurumun yönetişim süreçlerinden doğar. Kurum yönetim kurulu ile kurum paydaşları arasındaki vekillik ilişkisinden kaynaklanır. Yönetim kurulları, bu vekillik ilişkisi içerisinde, kurumun uzun-vadeli başarı olasılığını arttıracak bir kurumsal strateji ve istikamet izlemek amacıyla yetki ve güçlerini hem devretme hem de sınırlama süreçleri belirleyip uygulamakla yükümlüdürler. Güvence süreçleri, yönetim kurullarının bu gücün nasıl yürütüldüğü ve kullanıldığını izlemelerini sağlar.

İç denetim faaliyeti, normalde, risk yönetimi faaliyetleri (hem tasarımları hem de işletimleri açısından), “kilit” olarak sınıflandırılan risklerin yönetimi (kontrollerin ve bu risklere verilen diğer cevapların etkinlikleri de dahil), risk değerlendirmelerinin kesinlik ve güvenilirliklerinin doğrulanması ve risk ve kontrol düzeyinin rapor edilmesi de dahil olmak üzere, tüm risk yönetimi sürecii hakkında güvence sağlayacaktır.

İzleme ve güvence faaliyeti sorumluluklarının bölüm yönetimi, iç denetim, risk yönetimi uzmanları ve uyum departmanı da dahil olmak üzere, geleneksel olarak çeşitli taraflar arasında paylaştırılmasının yanı sıra, güvence faaliyetlerinin mevcut kaynakların olabilecek en etkili ve etkin yolla kullanılmalarını sağlayacak şekilde koordine edilmesi de önemli bir husustur. Birbirlerinden bağımsız farklı risk yönetimi danışma, uyum ve güvence fonksiyonlarını yerine getirmek için bir dizi ayrı grup tayin etmek, kurumlarda yaygın karşılaşılan bir uygulamadır. Etkili koordinasyon ve raporlama sağlanamazsa, aynı çalışma iki defa gerçekleştirilebilir veya kilit öneme sahip riskler gözden kaçırılabilir veya hatalı değerlendirilebilir.

İç denetim yöneticisi (CAE), faaliyetleri diğer güvence sağlayıcılarıyla koordine ederken Standart 2050’yi esas alır. Bu koordinasyonu yönetmek ve iletişimi sağlamak için etkili bir araç vazifesi gören bir güvence haritasının kullanılması, bu koordinasyonun sağlanmasında yardımcı olabilir. Uygulama Önerisi 2050-2’de, Güvence Haritaları hakkında daha fazla bilgi verilmektedir.

8

İÇ DENETİM VE RİSK YÖNETİMİ

Standart 2100’de, “iç denetim faaliyeti; sistematik ve disiplinli yaklaşımla yönetişim, risk yönetimi ve kontrol süreçlerini değerlendirmek ve bu süreçlerin iyileştirilmesine katkıda bulunmak zorundadır.” denilmektedir. İç denetim faaliyeti, genellikle, kurumun ERM faaliyetlerinin etkinliği hakkında kurumun yönetim kuruluna bağımsız ve nesnel bir güvence sağlama rolü oynar. İç denetimin oynadığı bu rol, kilit iş risklerinin uygun biçimde yönetilmelerini ve kurumun iç kontrol sisteminin etkin ve etkili biçimde işlemesini sağlar.

Risk yönetimi, organizasyonel hedeflere maliyet-etkin bir düzlemde ulaşılmasını destekleyen bir yönetim sürecidir; risk yönetimi faaliyetlerinin başarılarıhakkında güvenilir bilgi sağlanmasını teşvik eder. Güvence ve risk yönetimi süreçleri, birbirlerini tamamlayan süreçlerdir.

Risk yönetimi sürecini desteklemek isteyen iç denetim ve diğer bağımsız güvence sağlayıcılarının aşağıda sayılan sorgulamaları yapmaları gerekir:

Risk yönetimi uygun biçimde uygulandı mı ve sürecin tüm bileşenleri uygun ve yeterli düzeyde mi?

Risk yönetimi süreci, kurumun stratejik ihtiyaçlarına ve amaçlarına uygun mu? Tüm önemli riskler belirlenip gereken risk tepkisi verildi mi? Kontroller, risk yönetimi sürecinin hedeflerine uygun olarak ve doğru biçimde

tasarlanmış mı? Kritik kontroller uygun ve etkili mi? Bölüm yönetiminin gözden geçirme faaliyetleri ve diğer denetim-dışı güvence

faaliyetleri kontrolleri sürdürme ve geliştirme konularında etkili mi? Risk iyileştirme planları uygulanmakta mıdır? Risk yönetimi planıyla beklenen uygun ilerleme sağlandı mı ve bu ilerleme gerçekte

raporlarla uyuşuyor mu?

Güvence sürecini destekleme bağlamında, risk yönetimi sürecinde:

Bir kuruma-özgü, dokümante edilmiş risk yönetimi çerçevesi oluşturulur. Kurumun taşıdığı risklere yönelik bir yapısal analiz yapılarak, aşağıda sayılan unsurlar

kaydedilir:

o Organizasyonel hedef(ler) ve onlarla bağlantılı riskler. o Potansiyel risk maruziyetleri ve mevcut risk değerlendirmeleri. o Her bir riski yönetmekten sorumlu organizasyonel pozisyon.o Riskleri yönetmek için kurulan kilit kontrol sistemleri.

Bir kurumda iç denetim birimi ile risk yönetimi fonksiyonunun yakın işbirliği içerisinde çalışması yaygın bir yaklaşımdır. Resmi risk yönetimi fonksiyonu bulunmayan bazı kurumlarda, genellikle, iç denetim, kurum için daha kapsamlı bir risk yönetimi danışma hizmeti sunar. İç denetim, aşağıda sayılan belirli koşulların sağlanması şartıyla, risk yönetimi danışma hizmeti verebilir:

Risk yönetimi sorumluluğunun yönetimde olduğu açıkça belirtilmelidir. İç denetim, yönetim ekibine risk yönetimi süreçlerinin kurulması veya geliştirmesi için

9

danışmanlık hizmeti verirken çalışma planı faaliyetlerle ilgili sorumlulukların yönetim üyelerine aktarımı için belirgin bir strateji ve zaman çizelgesi içermelidir.

İç denetim, risk yönetimi çerçevesindeki sorumlu olduğu hiçbir alan için nesnel güvence veremez. Bu alanlar için güvence, diğer uygun kalifiye taraflarca sağlanmalıdır.

Kurum için sağlanan bu hizmetlerin tabiatı ve mahiyeti iç denetim tüzüğünde belgelenmeli ve diğer iç denetim sorumluluklarıyla tutarlı olmalıdır.

Yönetimin konu hakkında karar alma sürecinde iç denetim birimine danışması ve onun tavsiyelerini alması veya iç denetim biriminin yönetimin fikrine karşı çıkması (veya desteklemesi), iç denetim biriminin kendi başına risk yönetimi kararları alabileceği anlamına gelmez.

“Kurumsal Risk Yönetiminde İç Denetimin Rolü” başlıklı IIA Pozisyon Raporunda, bir dizi ERM faaliyetinin gösterildiği aşağıdaki şekil bulunmaktadır ve etkin bir mesleki iç denetim fonksiyonu için hangi rollerin üstlenilmesi hangi rollerin üstlenilmemesi gerektiği belirtilmektedir.

Şekil 2: Kurumsal Risk Yönetiminde İç Denetimin Rolü5

5Giving assurance on the risk management process: Risk yönetimi süreci hakkında güvence vermek

Giving assurance that risks are correctly evaluated: Risklerin doğru değerlendirildikleri yönünde güvence vermekEvaluating risk management processes: Risk yönetimi süreçlerini değerlendirmek Evaluating the reporting of key risks: Kilit risklerin raporlanmasını değerlendirmek Reviewing the management of key risks: Kilit risklerin yönetimini gözden geçirmekFacilitating identification and evaluation risks: Risklerin tanınmasını ve değerlendirilmesini kolaylaştırmak Coaching management in responding to risks: Risklere verilecek cevaplar konusunda yönetime rehberlik yapmakCoordinating ERM activities: ERM faaliyetlerini koordine etmekConsolidated reporting on risks: Riskler hakkında konsolide raporlama yapmak Maintaining and developing the ERM framework: ERM çerçevesini sürdürmek ve geliştirmek Championing establishment of ERM: ERM’nin kurulmasını savunmak Developing ERM strategy for board approval: Yönetim kurulu onayına sunmak üzere ERM stratejisi geliştirmek Setting the risk appetite: Risk iştahını belirlemek Imposing risk management processes: Risk yönetimi süreçleri empoze etmekManagement assurance on risks: Riskler hakkında yönetim güvencesi Taking decisions on risk responses: Risk cevapları hakkında karar almak Implementing risk responses on management’s behalf: Yönetimin adına risk cevaplarını uygulamak Accountability for risk management: Risk yönetimi açısından hesap verebilirlik

10

RİSK YÖNETİMİ HAKKINDA İÇ DENETİMİN DEĞERLENDİRMESİ

İlgili kontrollerin iyileştirilmesi gereği yönetim tarafından kabul edilmiş olan yüksek risk alanlarında, iç denetim, danışmanlık faaliyetleri aracılığıyla kuruma bir değer katma fırsatı yakalayabilir. Yukarıda yer alan Şekil 2’deki üçte birlik kesitlerden ortadakinde, iç denetim biriminin bağımsızlık ve nesnelliğini koruyarak sunması gereken ve kurum veya bölüm/departman seviyesinde gerçekleştirilen tavsiye ve danışmanlık faaliyetleri gösterilmektedir.

Her ne kadar bu gibi tavsiye ve danışmanlık faaliyetleri bir denetim planının önemli ve değerli bir parçasını teşkil edebilecek nitelikte olsalar da, bu Uygulama Rehberinin kapsamı, yelpazenin sol tarafında tanımlanan güvence faaliyetlerine odaklanmıştır. Bu faaliyetler üç temel tip altında kategorize edilebilirler:

Risk yönetimi sürecinin kendisi hakkında güvence. Önemli riskler ve yönetimin açıklamaları hakkında güvence. Risk planının durumunun izlenmesi.

Risk Yönetimi Süreci Hakkında Güvence

Risk yönetimi sürecinin kendisi hakkında güvence vermek, üst düzey yönetime ve yönetime kuruluna kurumun risk yönetimi programının etkin bir tasarıma sahip olduğu ve etkin biçimde belgelendiği ve belirlenen hedeflere ulaşılması açısından etkili biçimde uygulandığı yönünde makul bir güvence sunmak anlamına gelir. Bu tip bir güvencenin aşağıda sayılan potansiyel soruları cevaplandıracak şekilde tasarlanması gerekir:

Kurumun yönetim kadrosu, risk yönetimi programı hakkında yeterli bir taahhütte bulunarak ilgili risklere gereken önemi verdiğini ve yeterli düzeyde kaynak tahsisi yapacağını ortaya koymuş mu ve bu program, organizasyonel süreçlerin ve karar alma süreçlerinin uygun bir parçası mı?

Risk yönetimi çerçevesinin tasarımı ve risk değerlendirme kriterleri, kurumun iç ve dış çevresi (ortamı) için uygun mu?

Risk yönetimi çerçevesi ve spesifik risk alanı değerlendirmelerinin geliştirilmesi, uygulanması ve korunması açısından hesap verme sorumlulukları, şartlar ve koşullar ve risk değerlendirme kriterleri yeterli düzeyde tanımlanmış ve gereken yerlere iletilmiş mi?

Belirlenen risk iştahının düzeyi, kurumun yönetişim yapısı açısından uygun mu? Risk yönetimi faaliyetlerinden çıkan kilit öneme sahip sonuçların kurum dahilinde

uygun ve yeterli düzeyde iletilmelerini sağlayacak yeterlilikte iç iletişim ve raporlama mekanizmaları mevcut mu (şeffaflık ile hassasiyetin dengelenmesi)?

Paydaşlara verilen raporlar, kurumun risklere karşı tavrını ve iyileştirme çabalarını doğru ve yeterli düzeyde yansıtıyor mu?

Core internal audit roles in regard to ERM: ERM açısından temel iç denetim rolleri Legitimate internal audit roles with safeguards: Koruyucu tedbirleri de içeren meşru iç denetim rolleri Roles internal audit should not undertake: İç denetimin üstlenmemesi gereken roller

11

Dış iletişim ve raporlama mekanizmaları, ilgili yasal ve düzenleyici gereklilikler ile kurumsal yönetişim ve açıklamagerekliliklerine e uygun mu?

Risk yönetimi çerçevesinin tasarımını ve etkinliğini izlemek için gereken yeterli performans ölçütleri ve raporlama mekanizmaları mevcut mu?

Pratikte, risk değerlendirme kriterleri, risk iştahları, cevaplar ve otoriteye sunma / raporlama şartları kurum genelinde tutarlılıkla ve istikrarla uygulanıyor mu? Risk belirleme ve tanıma sorumluluğu uygun ve yeterli bilgi birikimine sahip insanlara mı ait? Güncel risk belirleme ve tanıma düzeyi yeterli mi?

İş koşulları ve organizasyonel ihtiyaçlar değiştikçe, risk çerçevesi ve ilgili süreçler ile kontroller modifiye ediliyor mu?

Risk analizi, risk değerlendirme ve risk tepkisi / risk cevaplandırmadan sorumlu kişiler yeterli ve uygun bilgi birikimine sahip mi? Bu faaliyetler yeterli düzeyde gözden geçirilip onaylanıyor mu?

Risk iyileştirme planları ve risk düzeyi ilgili uygun yönetim kademelerince ve yönetim kurulunca izleniyor mu ve yeterli düzeyde rapor ediliyor mu?

Önemli Riskler ve Yönetimin Öne Sürdüğü İddialar Hakkında Güvence

Kurumun risk yönetimi sürecinde belirlenen daha yüksek potansiyel risk maruziyetleriyleilgili olan diğer tüm güvence çalışmaları sırasında, denetim prosedürleri ve yapılan görüşmeler, kontrollerin riskleri kurumun risk tolerans eşiği dahiline çekme ve orada tutma açısından gösterdikleri etkinlik hakkında yönetimin öne sürdüğü iddiaları değerlendirmeye uygun bir yapıda tasarlanmalıdırlar.

Yönetime (ve yönetim kuruluna) verilen raporlarda, risk derecelendirmelerine ilişkin denetim değerlendirmesiyle birlikte potansiyel maruziyet ve yönetimin güncel riskler hakkındaki değerlendirmesi (mevcut kontrollerin varsayılan değeri de dahil) yer alır. Kaydedilen tüm farklar, değerlendirilmek üzere yönetimin risk yönetimi sürecine alınmalıdır.

Bu gibi güvence faaliyetlerinin risk-bazlı bir denetim planındaki spesifik risk alanları üzerinde zamanla gösterdiği kümülatif etki, yalnızca bu spesifik risk alanları açısından bir güvence sağlamayacak, aynı zamanda genel risk yönetimi prosesinin etkinliğine dair bir güvence görevi de görecektir.

Risk İyileştirme Planının Durumunun Takibi

Daha yüksek potansiyel maruziyetlerle ilgili risklere karşı tutum veya kontrol iyileştirme planlarında, özellikle de nispeten daha uzun süreli olan planlarda, plana kıyasla performansı izlemek uygun olabilir. Bu takip çalışması, asgari olarak, yönetim için kilometre taşlarına karşı ilerleme hakkında bir değerlendirme imkanı sağlayacak ve yönetim kuruluna gönderilen risk iyileştirme planı hakkındaki raporları geçerli kılmaya yetecek şekilde tasarlanmalıdır.

Ayrıca, bu gibi bir izleme çalışmasında, planın yapısı, kaynaklar, hesap verme sorumlulukları, proje yönetimi, vb. unsurlar değerlendirilebilir ve planın başarılı olma olasılığını arttırmak için çeşitli tavsiyeler ve mülahazalar da bulunulabilir.

12

DENETİM KANITLARININI ELDE EDİLMESİ

Bir kurumun risk yönetimi süreine yönelik denetimlere ilişkin olarak, Risk Yönetim Süreçlerinin Yeterliliğinin Değerlendirilmesi başlıklı Uygulama Önerisi 2120-1, paragraf 8'de şunlar belirtilmektedir:

"İç denetçiler, risk yönetimi süreçlerinin yeterliliği yönünde bir görüş belirtebilmek için, risk yönetimi süreçlerinin temel hedeflerine uygunluğundan emim olmalı ve bu konuda yeterli kanıt toplamalıdır. Bu kanıtların toplanmasında, iç denetçi aşağıda sayılan denetim prosedürlerini dikkate almalıdır:

• Bu riskleri önlemek, izlemek ve tekrar değerlendirmek için kullanılan kontrol prosedürlerini incelemek ve kurumu etkileyebilecek riskleri ve risk maruziyetlerini tespit etmek amacıyla, kurumun yaptığı işle ilgili mevcut sektör gelişmeleri, eğilimleri, bilgileri ve başka uygun bilgi kaynaklarını araştırmak ve gözden geçirmek,

• Kurumun iş stratejilerini, risk yönetimi felsefesini ve yöntemini, risk iştahını ve riskleri kabulünü tespit etmek amacıyla, kurumsal politikaları, yönetim kurulunun tutanaklarını gözden geçirmek,

• Yönetimin, iç denetçilerin, dış denetçilerin ve bu raporları çıkartabilecek başka kaynakların daha önce düzenlediği risk değerlendirme raporlarını gözden geçirmek,

• İş birimlerinin hedeflerini, ilgili riskleri ve kurum yönetiminin riskleri azaltma ve kontrol izleme çalışmaları ile faaliyetlerini tespit etmek amacıyla, üst yönetimle ve birim yönetimleriyle görüşmeler yapmak,

• Risklerin azaltılmasının, gözlenmesinin, raporlanmasının ve ilgili kontrol faaliyetlerinin etkililiğini bağımsız bir gözle değerlendirmek amacıyla bilgileri özümsemek,

• Hiyerarşik örgütlenmenin risk gözleme faaliyetleri için uygunluğunu değerlendirmek,

• Risk yönetimi sonuçlarıyla ilgili raporlamanın yeterliliğini ve zamanında yapılıp yapılmadığını gözden geçirmek,

• Yönetimin risk analizlerinin tam olup olmadığını ve risk yönetimi süreçleriyle anlaşılan sorunları gidermek için alınan tedbirlerin uygunluğunu gözden geçirmek ve iyileştirici eylemler önermek,

• Yönetimin uyguladığı iç değerlendirme süreçlerinin etkililiğini, gözlemlerle, doğrudan kontrol testleriyle ve gözlem prosedürleriyle, gözlem faaliyetlerinde kullanılan bilgilerin doğruluğuna ilişkin testlerle ve başka uygun tekniklerle tespit etmek,

• Risk yönetimi uygulamalarındaki zayıflıkları gösteren riskle ilgili sorunları incelemek ve gerekirse, bu konuyu üst yönetimle ve yönetim kuruluyla tartışmak. Denetçi, yönetimin kurumun risk yönetimi stratejisi veya politikalarına uygun olmayan ya da kurumun kabul edemeyeceği bir risk düzeyi kabul ettiğine inandığı takdirde, ek tavsiyeler için, "YönetiminArtık Riskleri Üstlenme Kararı" başlıklı Standart 2600'e ve ilgili diğer standartlara bakmalıdır.

13

Denetim kanıtları elde etmek için farklı teknikler kullanılabilir:

Gözlemler - örneğin, yönetim kurulundan altında yer alan münferit departmanlara, programlara, projelere ve çalışanlara kadar tüm kademelerde gerçekleştirilen risk yönetimi çalışmalarında hazır bulunma.

Görüşmeler. Doküman incelemeleri - örneğin, yönetim kurulu, icra komitesi veya diğer üst düzey

komitelere ait toplantı gündemleri, destekleyici dokümanlar ve tutanaklar, stratejik planlar ve kaynak ayırma kararlarına ilişkin destekleyici dokümanlar.

Geçmiş denetimlerden alınan sonuçlar. Başkalarının çalışmalarından faydalanma. Analitik teknikler - örneğin, tespit edilen hatalara yönelik kök neden analizi. Süreç haritalandırma. İstatistiksel analiz - örneğin, vaka tiplerinin veya "kılpayı kurtulma" olaylarının

analizi. Risk modeli incelemesi ve değerlendirmesi. Anketler. Kontrol özdeğerlendirmesinin analizi.

Bir kanaate varmak için gereken yeterli bilgi ve kanıtı toplamak amacıyla genellikle farklı denetim tekniklerinden oluşan bir kombinasyon kullanılacaktır. Görevin denetim hedefi için en uygun olan prosedürü denetçi seçer. Denetçi, aynı zamanda, bir görüşe yeterli desteği sağlamak için gereken tüm çalışmaları gerçekleştirmeye yetecek kaynak ve becerinin bulunup bulunmadığını da değerlendirir. Yeterli kaynak veya beceri mevcut değilse, denetçi, görüş açıklamayı reddetmenin mi yoksa belirli alanları veya riskleri görüşün kapsamından çıkararak görüşü sınırlandırmanın mı daha uygun ve ihtiyatlı bir hamle olacağına karar verir.

Kanıt ihtiyacının düzeyi denetçinin ifade etmek istediği görüşün tipine bağlı olarak değişecektir. Olumlu güvence en yüksek düzey güvenceyi sağladığı için normalde görüşü destekleyen daha fazla kanıta ihtiyaç duyulur. Bu tip bir görüş, sadece kontrollerin / risk azaltma süreçlerinin yeterli ve etkili düzeyde olup olmamalarına değil, aynı zamanda, varsa aksi yöndeki kanıtların da tanımlanmış olduğundan makul düzeyde emin olmak için gereken bir olgu olarak, yeterli seviyede kanıtın toplanmış olduğuna da işaret eder.

Olumsuz güvence, olumlu güvence kadar güvence sağlamaz ve dolayısıyla normalde o kadar çok denetim kanıtı gerektirmez. Olumsuz güvence ifade edilirken, denetçi, örneğin, yaptığı çalışma temelinde kendisinin dikkatini hiçbir şeyin çekmediğini belirtir. Denetçi, bu gibi bir görüş ifade ederek, denetim kapsamının ve denetim prosedürlerinin önemli tüm konuları veya meseleleri tespit etmek için yeterli olmasının sorumluluğunu üstlenmediğini gösterir. Bu gibi bir görüşün genellikle bir olumlu görüşten daha değersiz olduğu düşünülür.

Görüşler hakkında daha kapsamlı kılavuz bilgileri, "İç Denetim Görüşlerinin Formüle Edilmesi ve Açıklanması" başlıklı Uygulama Rehberinde bulunabilir.

Denetim sonucunda varılan kanaatler, gerçekçi, nesnel ve yeterli denetim kanıtıyla desteklenmiş olmalıdır. Kanıtların yeterli düzeyde olması, denetim kanıtlarının dikkatli, ihtiyatlı ve bilgili bir kişinin denetçiyle aynı sonuçlara ulaşmasını sağlayacak düzeyde gerçekçi, yeterli ve ikna edici olması anlamına gelir. Denetim kanıtları uygun biçimde belgelenmeli ve organize edilmelidir.

14

Denetim birimi, farkında olmadan herhangi bir düzeyde yanlış güvence sağlamamalıdır (referans PA 2120-2: İç Denetim Faaliyetinin Riskinin Yönetilmesi, paragraf 8). "Yanlış güvence", gerçeklerden ziyade algılamalara veya iddialara dayanan bir güven veya güvence seviyesidir. Birçok durumda, iç denetim faaliyetinin bir meseleye karışması, belirli bir düzeye kadar yanlış güvence doğurabilir. İç denetim faaliyetinin katılımının kapsamı yanlış anlaşılmış olabilir ve nihayetinde yanlış güvence oluşabilir.

RİSK YÖNETİMİ SÜRECİNİN GÜVENCESİ

Bir yönetim organı, kurumunda kullanılan risk yönetimi sürecinin kurumun ihtiyaçlarını ne denli karşıladığını ve genel kabul gören iyi uygulamaları ne denli karşıladığını belirleyebilmelidir. Risk yönetimi, iç kontrol sisteminin kritik bir öğesidir; dolayısıyla, yetersiz risk yönetimi süreçleri, kurumun iç kontrol sisteminin yetersiz olabileceğinin bir göstergesidir.

Bir kurumun risk yönetimi süreci hakkında güvence elde etmesi önemli bir husustur. Bu güvence, iç denetçinin işlevsel olarak risk yönetimi fonksiyonundan bağımsız olmayabileceği değerlendirmelidir. Bu durumda, güvence kaynağı olarak bir üçüncü şahıs aranabilir.

Bir risk yönetim süreçlerini değerlendirilirken kullanılabilecek üç çeşit güvence süreci aşağıda ana hatlarıyla gösterilmektedir:6

Süreç unsurları yaklaşımı Kilit ilkeler yaklaşımı Olgunluk modeli yaklaşımı

Birbirinden bağımsız bu yaklaşımların her biri, kurumda izlenen risk yönetimi sürecinin etkinliği hakkında farklı bir perspektif sunar. Genellikle, birden fazla yaklaşımın benimsenmesi, en aydınlatıcı ve kullanışlı sonuçlara ulaşılmasını sağlar. Risk yönetimi süreci; kurum, kurumun büyüklüğü, kültür hedefleri ve risk profiline uygun hale getirilmelidir. Dolayısıyla, güvence sürecinin de kurumun ihtiyaçları doğrultusunda düzenlenmesi gereklidir.

Masa-başı incelemelerden alınan sonuçlar, risk yönetimi çerçevesinin pratikte etkin ve etkili biçimde yürütülüp yürütülmediği araştırılarak valide edilmelidir. Bunun anlamı, bu tip bir güvence faaliyetinin izole bir ortamda gerçekleştirilmemesi ve her zaman, aşağıda sayılan sorulara cevap arayan normal kontrol-bazlı güvence faaliyetlerine eşlik etmesi veya onlara dahil olması gerektiğidir:

Riskler etkin biçimde tanımlanıyor mu ve uygun biçimde analiz ediliyor mu? Yeterli ve uygun bir risk iyileştirme süreci ve kontrolü bulunuyor mu? Risklerde ve kontrollerde gerçekleşen değişimleri tespit etmek amacıyla, yönetim

tarafından etkili bir izleme ve inceleme süreci izleniyor mu?

6 Bu yaklaşımlar, Standards Australia, IIA-Australia ve IIA Research Foundation kurumlarının ortak bir yayını olan "ISO 31000:2009 Risk yönetimi - Prensipler ve kurallar dokümanı temelinde güvence vermek" adlı HB158:2010 dokümanından alıntılanmıştır. HB158 dokümanı, bu ve başka meseleler hakkında çok daha kapsamlı bir tartışma sunmaktadır.

15

Süreç Unsurları Yaklaşımı

Bu yaklaşımda, risk yönetimi sürecine ilişkin tüm unsurların mevcut bulunup bulunmadığı kontrol edilir. İlgili unsurun pratikte karşılandığını doğrulamak için elde edilen yeterli denetim kanıtı üzerinden yönetimin amaç beyanlarını valide etmek önemli bir husustur. Bu konuda tek başına yönetimin açıklamaları nadiren yeterli olur. ISO 31000, risk yönetimi sürecinin yedi unsurunu tanımlamaktadır:

Unsur 1 – İletişim: Sağlam bir risk yönetimi, kurumun veya birimin operasyonlarından etkilenen taraflarla yapılandırılmış ve sürekli iletişim ve istişare gerektirir.

Unsur 2 – Bağlamın Belirlenmesi: Tüm risk yelpazesi belirlenip tanımlanmadan önce, kurumun veya birimin dış ortamı (politik, sosyal, vb.) ve iç ortamı (hedefler, stratejiler, yapılar, etik değerler, disiplin, vb.) anlaşılmalıdır.

Unsur 3 – Risk Tanıma: Riskleri tanıma süreci, risk kaynaklarının, etkilenen alanların ve potansiyel olayların ve bu olayların nedenleri ve sonuçlarının dikkate alındığı resmi ve yapısal bir süreç olmalıdır.

Unsur 4 – Risk Analizi: Kurum, her bir riskin sonuçlarını ve olma ihtimalini değerlendirmek için resmi bir teknik kullanmalıdır.

Unsur 5 – Risk Değerlendirme: Kurum, iyileştirme önceliğini belirleyebilmek için, riskleri nispi önemlerine göre derecelendirmeye yarayan bir mekanizmaya sahipolmalıdır.

Unsur 6 – Risk İyileştirme: Sağlam risk yönetimi için, risk iyileştirme hakkında mantıki kararlar almak gerekir. Klasik olarak, risk iyileştirmenin amacı, riskin açığa çıktığı faaliyetten kaçınmak, riski paylaşmak, kontrol uygulamalarıyla riski yönetmek veya riski kabul etmek ve bu konuda başka bir fiilde bulunmamaktır.

Unsur 7 – İzleme ve İnceleme: İzleme sürecinde, iyileştirme planlarının gelişimi kontrol edilir, kontroller ve onların etkinlikleri izlenir, yasaklı faaliyetlerden sakınılması sağlanır ve ortam veya çevrenin riskleri etkileyen bir doğrultuda değişmiş olup olmadığı kontrol edilir.

Kilit İlkeler Yaklaşımı

Bu yaklaşım, herhangi bir risk yönetimi sürecinin tamamen etkili olması için asgari sayıda ilke veya karakteristiği karşılaması gerektiği fikrine dayanır. ISO 31000’de, bu ilkeler hakkında bir bölüm (Bent 4) bulunmaktadır. Bu ilkelere dayanan bir denetimde, kurumdaki risk yönetimi sürecine ilişkin olarak bu ilkelerin ne kadarının geçerli olduğu değerlendirilir:

Risk yönetimi değer yaratır ve değeri korur.7 Bu, söz konusu değer en yüksek düzeyde olduğunda, risk yönetiminin en sıkı ve titiz şekilde uygulanması anlamına gelir. Ayrıca, kurumda, çeşitli risk maruziyeti düzeyleri için uygulanabilecek bir dizi teknik bulunması gerektiğini de ifade etmektedir.

Risk yönetimi, organizasyonel süreçlerin ayrılmaz bir parçasıdır.8 Risk yönetimi,bir ek görev olarak görülmemelidir.

7 © ISO. Bu materyal, Uluslararası Standartlar Örgütü'nün (ISO) adına Amerikan Ulusal Standartlar Enstitüsü'nden (ANSI) alınan izinle ya ISO 31000:2009 ya da ISO Rehberi 73:2009'dan çoğaltılır. Bu ISO materyalinin hiçbir kısmı, ANSI'den ön-yazılı izin almadan internet üzerinde, genel ağda, elektronik erişim sistemi veya başka herhangi bir yolla, uydu aracılığıyla veya başka herhangi bir yolla, hiçbir şekilde kopyalanamaz veya çoğaltılamaz. Bu standardın kopyaları, ANSI, 25 West 43rd Street, New York, NY 10036, (212) 642-4900, http://webstore.ansi.org adreslerinden satın alınabilir. 8 A.g.e.

16

Risk yönetimi, karar alma sürecinin bir parçasıdır.9 Alınacak karar ne kadar önemliyse, bu ilişkinin de daha görünür ve aşikar olması gereklidir.

Risk yönetiminde, belirsizlik bulunan alanlar açıkça belirtilir.10 Riskdeğerlendirmelerinden, belirsizlik alanlarını belgelemeleri ve tanımlanan belirsizlik alanlarıyla en iyi nasıl ilgilenebileceğini değerlendirmeleri beklenir.

Risk yönetimi, sistematik, yapısal doğru zamanda hayata geçirilen bir süreçtir.11

Risk yönetimi, mevcut kullanılabilecek en iyi bilgilere dayanır.12 Bilgi edinmekmaliyetli olabilir. Süreç, yeterli bilgi düzeyinin ne olduğu hakkında kılavuzluk sağlamalıdır.

Risk yönetimi uygun hale getirilir.13 Alışılmışın dışında bir süreç değildir ve kurumun operasyonlarına uygun olmalıdır.

Risk yönetiminde, insani ve kültürel faktörler dikkate alınır.14 Süreçler, busüreçleri kullanacak kişilerin yetkinliğine ve kültürüne uygun olmalıdır.

Risk yönetimi şeffaf ve kapsayıcıdır.15 Paydaşlar uygun biçimde ve zamanında sürece dahil edilmelidir.

Risk yönetimi dinamiktir, döngüseldir ve değişime karşı tepkiseldir.16 Süreçdüzenli olarak gözden geçirilmeli ve kurum ve onun bulunduğu ortamdaki değişimlere cevap vererek önem ve anlamını korumalıdır.

Risk yönetimi, kurumun sürekli olarak gelişmesini ve büyümesini kolaylaştırır.17

Risk yönetimi, diğer kurumsal süreçlerle birlikte olgunlaşmalıdır.

Olgunluk Modeli Yaklaşımı

Olgunluk modeli yaklaşımı, bir kurumun risk yönetimi sürecininn kalitesinin zamanla artması gerektiğine ilişkin sava dayanır. Olgun olmayan risk yönetimi sistemleri, kendileri için yapılan yatırımın çok küçük bir kısmını geri verirler ve genellikle, riskleri etkili biçimde yönetmekten ve karşılamaktan ziyade risklerin raporlanmasıyla ilgilenen, sırf kurallara uymak için yürütülen bir külfet ya da hiç istenmeyen bir yükümlülük olarak varlıklarını sürdürürler. Etkili risk yönetimi süreçleri zaman içerisinde geliştirilir ve olgunlaşma sürecinin her basamağında ek değer katılır. Bu yaklaşım, kurumun risk yönetimi prosesinin olgunluk eğrisinde nerde durduğunu göstererek yönetim kurulu ve yönetim kadrosunun fiili kurum ihtiyaçlarının karşılanıp karşılanmadığını ve sürecin beklendiği gibi olgunlaşıp olgunlaşmadığını değerlendirmelerini sağlar.

Olgunluk Modeli yaklaşımının kilit öneme sahip unsurlarından biri, risk yönetimi planı hayata geçirilirken kaydedilen risk yönetimi performansı ve gelişiminin bir performans ölçümü ve yönetimi sistemiyle bağlantısıdır. Bu gibi bir sistemden alınan çıktılar, üst düzey yönetim ve yönetim kuruluna risk yönetiminin geliştiğine dair kanıtlar olarak sunulabilirler. Bu gibi bir sistemin bileşenleri normalde aşağıda sayılanlardan oluşur:

9 A.g.e.10 A.g.e.11 A.g.e.12 A.g.e.13 A.g.e.14 A.g.e.15 A.g.e.16 A.g.e.17 A.g.e.

17

Güncel risk yönetimi yaklaşımlarını dikkate alan ve gelecekteki stratejik ihtiyaçları öngören bir performans standartları protokolü. Performans standartları, normalde, performanstaki herhangi bir ilerlemenin ölçülmesini sağlayan bir dizi daha ayrıntılı performans şartıyla desteklenir;

Standartların ve alt-şartların pratikte nasıl karşılanabileceklerine dair rehber; Her standarda ve alt-şarta karşı fiili performansı ölçmek için araç; Performansı ve performanstaki gelişmeleri kaydetmek ve raporlamak için araç, Yönetimin yaptığı değerlendirmenin periyodik ve bağımsız olarak doğrulanması.

ISO 31000 Bent 4’te, herhangi bir olgunluk değerlendirmesi için başlangıç noktası teşkil etmesi gereken bir dizi pratik ve önemli “ilke” bulunmaktadır. Bu ilkeler, yalnızca, “süreçunsuru veya sistemi mevcut mu” sorusuyla değil, aynı zamanda “kurumunuz için uygun veetkili mi” ve “değer katıyor mu” sorularıyla da ilgilidir. Aslında, başlangıç ilkesi, risk yönetiminin değer katması gerektiğidir.

Performans standartlarının her birine karşı gösterilen fiili performans düzeyi, niyeti baz alan bir takım olgunluk ölçüm sistemleri kullanılarak değerlendirilir, ancak tam kesin puanlara, sadece, standardın tamamen hayata geçirilmesi ve pratikte uygulanması yoluyla ulaşılabilir. Muhtemel bir olgunluk ölçme sistemi (Yeterlilik Olgunluk Modellerinin orijinal düşüncesi temel alınarak Carnegie Mellon University tarafından geliştirilen ) aşağıda gösterilmektedir.

ÖLÇÜM YOK ÇOK AZ BİRAZ İYİ TAM

Anlam İlgili şartla ok az

uygun veyahiçbirşekilde

uygun değil

İlgili şarta sadece sınırlı düzeyde

uygun. Yönetimniyeti destekliyor,ancak pratiktekiuygunluk zayıf

düzeyde.

Unsuraçıklamasına sınırlı uyum var. Yönetim

niyete kesinliklekatılıyor, ancak pratikte sınırlı bir uyum var.

Yönetimniyeti

tamamenonaylıyor,

ancakpratikte

kısmi bir tam uyum

var.

Ölçüm yapılan tüm zaman

noktaları ve tüm yerler için,-hemniyet açısından

hem de pratikte-unsur

açıklamasına tam uyum var.

Şekil 3: Olgunluk Modeli – kaynak HB158

RİSK YÖNETİMİ DOKÜMANTASYONUNUN KALİTESİNİN DEĞERLENDİRİLMESİ

Bir kurumun ERM dokümantasyonunun boyutları ve kapsamı kurumun büyüklüğüne ve karmaşıklığına bağlı olarak değişecektir. Büyük kurumlarda genellikle yazılı politika el kitapları, resmi kurum çizelgeleri, yazılı iş tanımları, çalışma talimatları, bilgi sistem akış şemaları ve benzeri dokümanlar bulunur. Daha küçük ve daha basit yapıdaki kurumlarda normalde kayda değer oranda daha az dokümantasyon yapılır.

ERM’nin birçok boyutu gayriresmi bir zeminde ve belgelenmeden yürütülebilir, ancak bukoşullarda dahi, düzenli ve programlı olarak gerçekleştirilebilir ve yüksek bir etkinlik sağlayabilir. Bu faaliyetler, belgeli faaliyetler için kullanılan yolların aynısı kullanılarak test edilebilirler. ERM unsurlarının belgelenmemiş olmaları, mutlaka, etkisiz veya

18

değerlendirilemez oldukları anlamına gelmez. Ancak yine de, uygun ve yeterli düzeyde bir dokümantasyon sağlanması, genellikle izleme sürecinin daha etkin ve etkili geçmesini sağlar. Bu başka bakımlardan da faydalıdır. Personelin sürecin nasıl çalıştığını ve kendilerinin rollerini anlamalarına yardımcı olur ve gerektiğinde modifikasyon yapmayı daha kolay hale getirir.

İç denetçi, değerlendirme sürecinin kendisini belgelemeye karar verdiğinde, genellikle kurumun ERM süreçlerine ilişkin mevcut dokümanlardan faydalanacaktır. Mevcut dokümanlar, normalde, değerlendirme sürecinde gerçekleştirilen test ve analizlerden elde edilen kanıtlar da dahil olmak üzere, denetçi tarafından hazırlanan ek dokümanlarla desteklenecektir. Dokümantasyonun tabiatı ve kapsamı, ERM hakkında diğer taraflara açıklama yapılması söz konusu olduğunda, doğal olarak daha anlamlı ve önemli hale gelir.

Yönetim, ERM etkinliği hakkında üçüncü şahıslara bir beyanda bulunmaya karar verdiğinde, bu beyanı destekleyici dokümanları geliştirmeye ve elde tutmaya dikkat etmelidir. İç denetçi:

Her kaynaktan gelen risk bilgi ve verilerini yönetmek için bir strateji bulunupbulunmadığını;

Risk bilgi ve verilerini rapor etmek ve iletmek için gereken altyapının bulunup bulunmadığını;

Ortak kabul gören tanımlar bulunup bulunmadığını; Risk bilgi ve verileri oluşturmak, silmek ve paylaşmak için rehberler bulunup

bulunmadığını; Yeterli kaynağın tahsis edilip edilmediğini, Teknolojinin maliyet-etkin olup olmadığı ve uygun olduğunda kullanılıp

kullanılmadığını; İzleme süreci için proaktif bir yaklaşımın seçilip seçilmediğini; Risk bilgi ve verilerinin planlama sürecinin bir parçasını teşkil edip etmediğini ve Risk bilgi ve verilerinin performans bilgi ve verileriyle entegre olup olmadığını

değerlendirmelidir.

Bu mülahazaları gerçekleştirmek ve bu faaliyetleri/süreçleri hayata geçirmek için alınan tüm kararlar belgelenmelidir. Eğer yapılan beyan hemen ardından sorgulanırsa, bu dokümantasyon daha faydalı olabilir.

19

YAZARLAR

Andrew MacLeod, CIA

Patricia A. MacDonald

BenitoYbarra, CIA

Trygve Sorlie, CIA, CCSA

Brian Foster, CIA

Teis Stoka, CIA

GÖZDEN GEÇİRENLER VE KATKIDA BULUNANLAR

Douglas J. Anderson, CIA

Steven E. Jameson, CIA, CCSA, CFSA

James A. Rose, III, CIA

20

Enstitü Hakkında

1941 yılında kurulan The Institute of Internal Auditors (IIA) (Uluslararası İç Denetçiler Enstitüsü), dünya genel merkezi Altamonte Springs, Fla., ABD’de bulunan bir uluslararası meslek örgütüdür. IIA; iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi, genel kabul gören lideri, baş savunucusu ve baş eğitmenidir.

Uygulama Rehberleri Hakkında

Uygulama rehberleri, iç denetim faaliyetlerinin nasıl gerçekleştirilmeleri gerektiği konusunda ayrıntılı bir kılavuz bilgisi sağlar. Bu rehberler; süreç ve prosedürler hakkında ve daha spesifik olarak, araçlar ve teknikler, programlar ve basamak-basamak yaklaşımlar ve ayrıca proje çıktısı örnekleri hakkında ayrıntılı bilgi ve veriler sunan belgelerdir. Uygulama Rehberleri, IIA’nın Uluslararası Mesleki Uygulamalar Çerçevesinin bir parçasıdırlar. Kuvvetle Tavsiye Edilen rehber kategorisinin bir parçası olarak, bunlara uyum zorunlu değildir, fakat kuvvetle tavsiye edilir ve bu rehberler, IIA’nın resmi inceleme ve onay sürecinden geçirilmek suretiyle onaylanmışlardır. IIA’nın yayımladığı ve sunduğu başka yol gösterici rehber materyalleri ve belgeleri için, lütfen www.theiia.org/guidance adresindekiweb sitemizi ziyaret ediniz.

Sorumluluğun Reddi Beyanı

IIA, bu dokümanı sadece bilgi vermek ve eğitim amacıyla yayımlamıştır. Bu rehber materyalinin belirli somut münferit durum ve koşullara kesin cevaplar vermek gibi bir işlevi veya amacı yoktur ve dolayısıyla, bu rehber sadece bir rehber ve kılavuz olarak görülmeli ve böyle kullanılmalıdır. IIA, herhangi bir özel durumla karşılaştığınızda daima bağımsız uzman görüşü ve tavsiyesi almanızı tavsiye eder. IIA, sadece bu rehbere dayanarak hareket eden kişiler için herhangi bir sorumluluk kabul etmez.

Telif Hakkı Uyarısı

Bu pozisyon raporunun telif hakları, IIA’ya aittir. Bu rehberi çoğaltma izni almak için, lütfen guidance@theiia.org adresinden IIA ile temas kurunuz.

IIATHE INSTITUTE OF INTERNAL AUDITORS[ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ)

GLOBAL GENEL MERKEZ247 Maitland Ave.Altamonte Springs, FL 32701 USA

Telefon : +1-407-937-1111Faks : +1-407-937-1101Web sitesi : www.theiia.org