Her An Tetikte Olmak : Kurumsal Risk Yönetimi ve Denetim
Risk, amaçlara ulaşılması üzerinde etkisi olacak bir olayın meydana gelme ihtimalidir. Ancak kavrama yüklenilen anlamın, zamana ve kullanım alanına göre değiştiğini görmekteyiz. Örneğin, bankacılık boyutuyla risk; bir işleme ya da faaliyete ilişkin bir parasal kaybın ortaya çıkması veya bir giderin ya da zararın oluşması halinde ekonomik faydanın azalması ihtimalini ifade etmektedir.
Riski, hayatın bir gerçeği olarak da kabul edebiliriz. Gerek şirketlerin ve gerekse kamu kurumlarının, en iyi ürün ya da hizmeti sunabilmesi, karşılaştığı veya karşılaşacağı riskleri, en iyi bir şekilde yönetmesi ile mümkündür. Bu nedenle kurumlar, hedeflerine ulaşmalarını engelleyecek nitelikte olan riskleri doğru bir şekilde belirlemek, ölçmek ve yönetmek zorundadır. Ancak, risk kavramını sadece ekonomik bakış açısına indirgemek de doğru olmayıp, risklerin ve etkilerinin çok boyutlu olarak değerlendirilmesi bir anlamda zorunluluktur. Ve gelinen nokta itibarıyla, risk, aynı zamanda fırsatları, kaynak tahsisini, hesap verebilirlik, şeffaflık gibi çağdaş kamu yönetimi (ve mali yönetim) kavramlarını da beraberinde gündeme getirmiştir.
Bu bağlamda ise; kurumsal risk yönetimi şu şekilde açıklanabilmektedir: Bir kurumun hedeflerine ulaşmasını etkileyen fırsatları ve tehditleri tanımlamak ve değerlendirmek, bu fırsat ve tehditler karşısında alınacak tutumu belirleyip kararlaştırmak ve fırsat ve tehditleri raporlamak için kurumun her yerinde ve kademesinde yapılandırılmış planlı, uyumlu, tutarlı ve sürekli bir süreçtir. Başka bir tanımla kurumsal risk yönetimi, kurumu etkileyebilecek potansiyel olayları tanımlamak, riskleri kuruluşun kurumsal risk alma yapısına uygun olarak yönetmek ve kurumun hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; stratejilerin belirlenmesinde de kullanılan sistematik bir süreçtir. Öyle ki, bu süreç, bir amaç olmayıp, sonuca ulaşmak için bir araç niteliğine sahiptir. Kurumsal risk yönetimi yaklaşımı esasen kurumun tüm faaliyetlerini kapsayan bir yönetim anlayışını ifade etmektedir.
Gerçekçi bir risk yönetimi sistemi kurabilmek ve bu sistemi başarı ile uygulayabilmek için mutlaka karşı karşıya kalınan riskleri, tüm boyutlarıyla ortaya koyacak bir yapının kurumlarda olması gerekmektedir. Aksi bir durumda, yani, risklerin belli bir bölümü dikkate alınarak yapılacak analizlerle, sağlıklı sonuçlara ulaşılmasının mümkün olmadığı düşünülmektedir. Diğer taraftan, karşı karşıya olduğumuz söz konusu risklere karşı hangi çözüm mekanizmalarının kullanılması gerektiği hususu da aynı derece önemlidir. Bu bağlamda, risklere karşılık verme seçeneklerinin başında, etkin kontroller yardımı ile olayların olumsuz etkilerinin ortaya çıkma ihtimalinin azaltılması gelmektedir. Bu tarz bir mücadelenin başarılı olabilmesi için kurumlarda etkili bir iç kontrol mekanizmasının kurulması ve başarılı bir şekilde işletilmesi gerekmektedir.
Kurumsal Risk Yönetimi uygulamalarında, üst yönetimler her zaman kısa bir süre içerisinde çeşitli faydalar elde edileceği yönünde beklentiye girmemelidir. Zira, bu uygulamaların bazı alanlarda faydası hemen bazı alanlarda ise çok daha sonra görülebilir. Genel anlamda ise kurumsal risk faydaları şu şekilde sıralanabilir:
- Karar almanın ve planlamanın daha sağlıklı verilere dayanması,
- Değişimlerin başarılma imkân ve ihtimalinin artması,
- Önceden ön görülmeyen durumların yaşanmasının engellenmesi ve risklere hazırlıklı olunulması,
- Stratejilerin daha sağlam, daha etkili ve hedefe dönük oluşturulması,
- Daha etkin risk bilgisine daha çabuk ulaşılması,
- Fırsatların ve tehditlerin önceden daha iyi tespit edilmesi,
- Belirsizlikten fırsat ve değer yaratılması,
- Hizmet sunum kalitesinin artması,
- Kaynakların ve ödeneklerin daha etkin kullanımının sağlanması,
- Olayların daha iyi yönetilerek, zarar ve risklerin maliyetinin düşürülmesi,
- Bireylerin kuruma olan güveninin artmasına neden olması (kurum imajına olumlu katkı yapması),
- Mevzuata ve diğer prosedürlere uyum ve uygunluğun sürekliliğinin sağlanması,
- Performansın risk odaklı takip edilmesi,
- İdarenin kurumsal yönetiminin iyileştirilmesine katkı sağlaması.
Aynı şekilde, sürekli izleme ve gözden geçirme faaliyetleri, risk yönetim uygulamalarının güncel ve amaca yönelik bir içerikte kalması için gereklidir. Zaman içerisinde risklerin, etkilerini ve ihtimallerini etkileyen faktörler ve dolayısı ile yönetiminin de maliyetleri ve faydaları değişim gösterebilecektir. Bu sebeple, risk yönetimi sürecini sürekli gözden geçirmek gerekir. Keza, izleme ve gözden geçirme sürecinde de yani, risk yönetimi planlarından ve planların uygulama sonuçlarından olumlu veri ve tespitler çıkartılması mümkündür.
İç denetim ise, bağımsız ve tarafsız bir güvence ve danışmanlık aktivitesidir. Etkili bir iç denetim fonksiyonunun hem üstlenmesi ve hem de üstlenmemesi gereken roller vardır. Bu bağlamda, iç denetimin risk yönetimi konusundaki temel rolü; bir kurumdaki önemli risklerin uygun şekilde yönetilmesini ve iç kontrol sisteminin etkili şekilde işlev görmesini sağlama konusunda yönetime tarafsız güvence sağlamaktır. İç denetimin rolünü belirlerken, üstlenilen görevin; iç denetimin bağımsızlık ve tarafsızlığını olumsuz etkileyip etkilemeyeceği hususu ile yürütülecek faaliyetin kurumun risk yönetimi süreçlerinin geliştirilmesine katkı sağlayıp sağlamayacağı hususuna dikkat edilmesi gerekmektedir.
Kurumun risk olgunluğu arttıkça ve risk yönetimi iş operasyonları ile daha fazla bütünleşmiş oldukça, iç denetimin kurumsal risk yönetimine destek verici rolü de azalabilecektir. Aynı şekilde, eğer bir kurumda risk yönetimi fonksiyonu için uygun bir kadro oluşturulmuşsa, iç denetimin, danışmanlık hizmeti vermekten ziyade, güvence verme rolüne öncelik vermesi gerekmektedir.
Genel olarak risk yönetimi, kurumsal yönetimin temel bir unsurudur. Yönetimin, kurum içinde risk yönetimi yapısını oluşturmak ve işletmek konusunda sorumlulukları bulunmaktadır Ayrıca, risklerle mücadele konusunda tüm kurumlara uyarlanacak belli bir format olmayıp, kurum kültürü ve uygulamalarına göre de sürecin şekilleneceği açıktır. Kuşkusuz, bu süreçte özellikle iç denetime büyük görev ve sorumluluklar düşmektedir. Sürecin katalizörü olarak tanımlayabileceğimiz iç denetim fonksiyonunun sürece yapacağı katkıların, diğer paydaşlarca önemsenmesi ve benimsenmesi gerekmektedir. Bununla birlikte, iç denetçinin, kurumsal risk yönetimi sürecinde rol alırken gerek uluslararası standartlarda ve gerekse iç denetim mevzuatında yer alan temel ilkeleri asla göz ardı etmemesi gerekmekte olup, iç denetçinin tarafsız ve bağımsızlığını tehlikeye düşüren koşulların varlığının olmaması gerektiği en doğru ve etik olandır.
