KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ

KURUMSAL RİSK YÖNETİMİ (KRY)
EĞİTİMİ
KURUMSAL RİSK YÖNETİMİ:
KAVRAMSAL VE TEORİK
ÇERÇEVE
SUNUM PLANI
1. RİSK VE RİSK YÖNETİMİ: TANIMLAR
2. KURUMSAL RİSK YÖNETİMİ
3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ
4. KURUMSAL RİSK YÖNETİMİ SÜRECİ
RİSK VE RİSK YÖNETİMİ
RİSK NEDİR?
 «Bir zarar-kayıp veya kazanç-fırsat durumuna yol açabilecek bir
olayın meydana gelme olasılığıdır.»
 «Önceden planlanan amaçlara ulaşmayı etkileyen her türlü
engeldir.»
 «Karar vericinin herhangi bir olayın sonuçlarını tahmin
edemediği, belirleyemediği durumlardır.»
 «Kurumların kuruluş amaçları ile stratejik hedeflerine
ulaşmasına ve görevlerin ifasına engel olabilecek veya
beklenmeyen zararlara yol açabilecek durum ya da olaylardır.»
RİSK VE RİSK YÖNETİMİ
RİSK NEDİR? (KAMU İÇ KONTROL REHBERİ)
Amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileceği
değerlendirilen olay veya durumlar risk (tehdit), amaç ve hedefler
üzerinde olumlu etkide bulunabileceği değerlendirilen olay veya
durumlar ise fırsat olarak tanımlanır.
Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve
hedeflerine ulaşmasını etkileyebileceği değerlendirilen olay ya da
durumların tanımlanması, değerlendirilmesi ve bunlara uygun
cevapların verilmesi ile bu temelde yürütülen tüm faaliyetler Risk
Yönetiminin konusunu oluşturur.
RİSK YÖNETİMİ NEDİR?
Risklerin tanımlanması, değerlendirilmesi ve etkisinin kabul
edilebilir bir seviyede tutulabilmesi için gerekli kontrollerin
uygulanması, gözden geçirilmesi ve raporlanmasını sağlayan
yönetim sürecidir.
RİSK YÖNETİMİ NEDİR?
Risk yönetimi, belirlenen amaç ve hedeflere ulaşabilmek için
hangi risklerin, ne ölçüde yönetilmesi gerektiğini belirleyen
ve bu sürecin planlandığı şekilde gerçekleşmesini güvence
altına almayı hedefleyen bir sistemdir.
«Risk yönetimi mâkul bir yönetim aracıdır.»
RİSK YÖNETİMİ NEDİR?
Risk yönetimi;
- Risklerin belirlendiği,
- Hangi risklerin öncelikli olarak çözümlenmesi
gerektiğinin değerlendirildiği,
- Risklerin yönetilmesi için stratejiler ve
planların geliştirilerek uygulandığı
Sistematik bir süreçtir.
RİSK YÖNETİMİ NEDİR?
Risk yönetimi, iyi yönetimin ve karar almanın
ayrılmaz bir unsurudur.
KURUMLAR NEDEN RİSK YÖNETİMİNE İHTİYAÇ DUYAR?
1. Kurumun varlığının ve/veya faaliyetlerinin kesintisiz
devam etmesi
2. Kayıpların maliyetlerinin azaltılması
3. Gelir istikrarı
4. İmaj, itibar ve sosyal sorumluluk
5. Yasal düzenlemelere uyum
RİSK TÜRLERİ
Finansal Riskler: Kurumun finansal pozisyonunun
ve tercihlerinin sonucunda ortaya çıkan riskleri
ifade eder. Finansal riskler içerisinde kredi, faiz,
nakit, finansal piyasalar, emtia fiyatları gibi riskler
ilk akla gelenlerdir.
Faaliyet (Operasyonel) Riskleri: Faaliyet riskleri
bir kurumun temel faaliyetlerini yerine getirmesini
engelleyebilecek riskleri ifade eder. Tedarik, satış,
hizmet sunum, bilgi yönetimi ve hukuk gibi risk
başlıkları bu kategori içerisinde yer alan risklerden
bazılarıdır.
Stratejik Riskler: Bir kurumun kısa, orta veya uzun
vadelerde belirlemiş olduğu hedeflerine ulaşmasını
engelleyebilecek
yapısal
risklerdir.
Stratejik
planlama, kurumsal yönetim, pazar analizi gibi
riskler stratejik risklere tipik örneklerdir.
Dış Çevre Riskleri: Bu kategoride yer alan riskler
kurumun faaliyetlerinden bağımsız olarak ortaya
çıkan, ancak kurumun tercihlerine bağlı olarak
kurumu etkileyen risklerdir. Yasal düzenlemeler,
ekonomik ve politik değişiklikler, doğal afetler,
savaşlar, rakipler ve sektördeki değişiklikler bu
kategorideki risklere örnek olarak sayılabilir.
KURUMSAL RİSK YÖNETİMİ
 Geleneksel risk yönetimi yöntemleri, kurumun hedeflerine
ulaşmasını kolaylaştırmak ve kurumun değer yaratma sürecine
katkıda bulunmaktan çok, kayıpları engellemeye yönelik
olduğundan çoğu kurum risk yönetimini yeniden tanımlamak
zorunda kalmıştır.
 Kurumsal risk yönetiminin (KRY) odaklandığı konu, risk yönetimi
süreci ile var olan kurumsal yönetim sürecini kaynaştırmak, pozitif
veya negatif etkisi olabilecek gelecekteki olayları tanımlamak,
kurumun bu olaylardan ne kadar etkileneceğini gösteren “olaylara
maruz kalma oranını” belirleyip yönetmek için etkili stratejiler
geliştirmektir.
KURUMSAL RİSK YÖNETİMİ
Kurumsal Risk Yönetimi;
• Kurumları etkileyebilecek potansiyel olayları
tanımlamak,
• Riskleri yönetmek ve
• Kurumun hedeflerine ulaşması ile ilgili olarak makul
bir derecede güvence sağlamak amacı ile oluşturulmuş;
• Kurumun tüm yönetim kademeleri ve çalışanları
tarafından etkilenen ve
• Stratejilerin belirlenmesinde kullanılan,
• Kurumun tümünde uygulanan
Sistematik bir süreçtir.
 KRY bütün kurumda süregelen ve devam eden bir
faaliyettir.
 Kurumun her seviyesindeki insanlar tarafından
etkilenir.
 Strateji belirlemede kullanılır.
 Kurumun tamamında uygulanır.
 Riskleri, risk iştahı doğrultusunda yönetmek için
tasarlanmıştır.
 Makul bir oranda güvence sağlar.
 Amaç değil, amaca ulaşmak için bir araçtır.
KRY’nin Unsurları – COSO Kurumsal Risk Yönetimi Çerçevesi
COSO, KRY’yi;
“Kurumu etkileyebilecek potansiyel olayları tanımlamak,
riskleri kurumun kurumsal risk alma profiline uygun
olarak yönetmek ve kurumun hedeflerine ulaşması ile
ilgili olarak makul bir derecede güvence sağlamak amacı
ile oluşturulmuş; kurumun üst yönetimi ve diğer tüm
çalışanları tarafından etkilenen ve stratejilerin
belirlenmesinde kullanılan, kurumun tümünde uygulanan
sistematik bir süreçtir.”
Şeklinde tanımlamıştır.
COSO KÜPÜ
COSO-KURUMSAL RİSK YÖNETİMİ BİLEŞENLERİ
İÇ ORTAM
HEDEF BELİRLEME
OLAY TANIMLAMA
RİSK DEĞERLENDİRMESİ
RİSKE KARŞILIK VERME
KONTROL FAALİYETLERİ
BİLGİ VE İLETİŞİM
İZLEME
KURUMSAL RİSK YONETİMİ DÖNÜŞÜM SÜRECİ
Kurumsal Risk Yönetimi dönüşüm süreci,
Kurumun risklerin
birbirlerinden bağımsız
bloklar halinde
yönetildiği klasik risk
yönetim anlayışından,
Bu risklerin bir bütün
olarak yönetildiği entegre
risk yönetimi anlayışına
Geçiş sürecini ifade eder
.
KRY DÖNÜŞÜM SÜRECİ
• Hedeflerin Belirlenmesi
• Mevcut Durum Analizi
• Hedef Yapının Tespiti
• Fark Analizi ve Planlama
• Dönüşüm Sürecinin Uygulanması
• Görev ve Sorumluluklar
• Temel Dokümanlar
• Yöntem
• Eğitim
• İyileştirme Faaliyetleri
• Sürekli Gelişim İçin Gözden Geçirmeler
HEDEFLERİN BELİRLENMESİ
KRY açısından öncelikle kurumun genel mevcut
konumunu, hedeflerini ve bu hedeflerine nasıl
ulaşacağını tanımlayan bir kurum stratejisi ve
politikası bulunmalıdır.
Temel Belgeler:
- Stratejik Planlar
- Politika Belgeleri
- Eylem Planları
- Risk Yönetimi Stratejisi vb.
MEVCUT DURUM ANALİZİ
Kurumun mevcut risk
yönetim altyapısının
ayrıntılı bir şekilde
analiz edilmesi.
Temel Bileşenleri:
• Risk Yönetimi Ortamı
• Risk Yönetimi Stratejisi
• Sistematik ve Bütünleşik Risk
Yönetim Faaliyetleri
• Kontrol
• Bilgi ve İletişim
• İzleme ve Sürekli Gelişim
HEDEF YAPININ TESPİTİ
İyileştirmeler sonrasında erişilmesi arzu edilen hedef
yapının belirlenmesidir.
• Kurumun stratejileri ve
hedefleri
• Kurumsal risk alma profili
• Faaliyetlerin coğrafi
dağılımı
• Faaliyetlerin karmaşıklık
düzeyi
• Kurumun büyüklüğü
• Kurum kültürü
• En iyi uygulamalar
• Yasal düzenlemeler
• Menfaat gruplarının yapısı
• İnsan kaynakları (nitelik ve
nicelik)
FARK ANALİZİ VE PLANLAMA
Mevcut durum ile erişilmesi arzu edilen hedef yapı arasındaki farkın
tespiti ve buna uygun olarak detaylı bir eylem planının
oluşturulmasıdır.
• Görev ve Sorumluluklar
• Temel Dokümanlar
• Yöntem
• Eğitim
• İyileştirme Faaliyetleri
DÖNÜŞÜM SÜRECİNİN UYGULANMASI
ROLLER VE SORUMLULUKLAR
Tepe
Yönetimin
Sorumluluğu
• İzlemek
Birim
Yöneticilerinin
Sorumluluğu
• Yönetmek
• İzlemek
• Uygulamak
Alt
Yöneticilerin
Sorumluluğu
• Uygulamak
Tüm
Çalışanların
Sorumluluğu
• Uygulamak
İç Denetim
Biriminin
Sorumluluğu
• Değerlendirme
k
Risk Yönetimi
Biriminin
Sorumluluğu
• Koordine
Etmek
• Yönetmek
TEMEL DOKÜMANLAR
Kurumsal
Risk
Yönetimi
Standardı
Kurumsal
Risk
Yönetimi
Politika
Belgesi
Kurumsal Risk
Yönetimi Risk
Modeli
EĞİTİM
İYİLEŞTİRME FAALİYETLERİ
Sistemler ve uygulamalar açısından mevcut durum ile
erişilmesi arzu edilen seviye arasındaki farkın giderilmesine
yönelik faaliyetlerdir.
• Mevcut iş süreçlerinin yetersiz ve yanlış olması,
• İş modelinin kurumun mevcut ihtiyacına cevap vermeyecek
yapıda olması,
• Teknik alt yapının yetersiz olması,
• İnsan kaynağının nitelik ve/veya nicelik olarak yetersiz
olması,
• Organizasyonel yapının ihtiyaca cevap vermemesi.
KRY SÜRECİNİN TEMEL UNSURLARI
• Risklerin Tanımlanması
• Risklerin Analiz Edilmesi ve Ölçülmesi
• Risklerin Önceliklendirilmesi
• Risklere Uygun Çözümlerin Belirlenmesi ve
Uygulanmaları
• Sürecin Sürekli İzlenmesi ve Gözden Geçirilmesi
• İletişim ve Danışma
KURUMSAL RİSK YÖNETİMİ SÜRECİ
KURUMSAL RİSK YÖNETİMİ SÜRECİ
KRY süreci ile aşağıdaki beş temel soruya daha doğru ve etkin cevapların
bulunmasına destek olunması amaçlanmaktadır
• Risklerin neler olduğu gerçekten biliniyor mu?
• Bu riskleri etkin bir şekilde yöneterek, risk / kazanç dengesi lehte kullanılabiliyor mu?
• Riskler için uygun kontroller var mı?
• Kontroller etkili bir biçimde çalışıyor mu?
• Hangi kontroller iyileştirilmek / geliştirilmek zorundadır?
RİSKLERİN TANIMLANMASI
Etkin bir risk yönetimi sistemi için iyi kurulmuş, kapsamlı ve
sistematik bir risk belirleme süreci oldukça önemlidir.
Risk unsurlarının belirlenmesi sırasında:
1.Tanımlanan hedeflerin gerçekleştirilmesi üzerinde etkisi
olabilecek sebeplerin ve olayların kapsamlı bir listesinin
oluşturulması,
2.Olaya sebep olabilecek unsurların ve senaryoların
belirlenmesi,
3.Risklerin tanımlanması için kontrol listeleri, kayıtlara ve
deneyimlere bağlı çıkarımlar, akış diyagramları, tartışmalar,
sistem analizleri, senaryo analizleri ve sistem mühendislik
teknikleri kullanılmalıdır.
RİSKLERİN ANALİZ EDİLMESİ VE ÖLÇÜLMESİ
- Mevcut Kontrollerin İncelenmesi
- Etkiler ve Olasılık Analizleri
ETKİ VE OLASILIK ANALİZLERİ
Bilgi Kaynakları
Yöntemler
• Eski kayıtlar
• Uygulamalar ve ilgili tecrübeler
• İlgili basılmış kaynaklar
• Pazar araştırmaları
• Deneyler ve prototipler
• Ekonomik, teknik veya diğer
modeller
• Uzman görüşleri
• İlgili alanda uzmanlarla
yapılacak görüşmeler
• Değişik alanlarda uzmanların
bir arada kullanılması
• Anketler ile kişilerin
değerlemeleri
• Modellerin ve simülasyonların
kullanılması
RİSKLERİN ÖNCELİKLENDİRİLMESİ
Amaç: Risk analizlerinin sonuçlarına bağlı olarak hangi riskin
öncelikli olarak iyileştirilmesi gerektiğine karar vermek.
Risklerin önceliklendirilmesi;
- Risklerin analiz edilmesi ile ortaya çıkan risk önem
derecesinin, önceden belirlenmiş risk kriterlerinin ve risk alma
isteği ile karşılaştırılmasını
- Öncelikli olarak üzerinde durulması gereken risklerin
belirlenmesi
Sürecini içerir.
UYGUN ÇÖZÜMLERİN BULUNMASI VE UYGULANMASI
İZLEME VE GÖZDEN GEÇİRME
 Sayısal ve sayısal olmayan performans ölçüm teknikleri
belirlenerek uygulamaların performansı sürekli olarak yakından
izlenmeli,
 Risk yönetim uygulamalarının sonuçlarının, genel sonuçlara
ne derece yansıdığı belirlenmelidir.
Zaman içerisinde risklerin etkilerini ve ihtimallerini etkileyen
faktörler ve dolayısı ile riskleri yönetmek için gerekli faaliyetlerin
maliyetleri ve faydaları da değişim gösterebilecektir. Bu sebeple
risk yönetimi sürecini sürekli ve sistematik olarak tekrarlamak
gereklidir.
İLETİŞİM
 Etkin bir kurum içi ve dışı iletişim, risk yönetimi sürecinin
uygulanmasından sorumlu olanların ve menfaat sahiplerinin
hangi kararların alındığını ve bunların sebeplerini açık bir şekilde
anlamaları açısından oldukça önemlidir.
 Karşılıklı görüş alışverişine dayalı bir takım yaklaşımı, risklerin
etkin bir şekilde belirlenmesinde, risklerin analiz edilmesi
sırasında farklı tecrübelerin bir araya getirilmesinde, risklerin
ölçülmesi sırasında değişik görüşlere yer verilmesinde ve risk
yönetim stratejilerinin uygulanmasında değişim yönetiminin
uygulanmasına yardımcı olacaktır.
DİNLEDİĞİNİZ İÇİN TEŞEKKÜRLER
SORULAR???