Kurumsal Risk Yönetimi Yaklaşımına Göre Risk Odaklı Denetim
Risk odaklı denetim yaklaşımı son yirmi yıldır denetim alanında en önemli gelişmelerden biridir. Bu yaklaşım başta bağımsız denetimin akabinde iç denetime ve diğer denetim türlerinde yönünü ve çehresini tamamen değiştirmiş ve sistemlere odaklanmak, politika, plan ve prosedürlere uygunluğu kontrol etmek gibi yöntemler kullanmak yerine, risklere odaklanarak denetime yeni bir yol çizmiştir.
Günümüzde pek çok denetim birimi yarattığı katma değerin daha fazla olması, kaynakları etkin kullanması, problemleri oluşmadan ortadan kaldırması ve sağladığı diğer faydalar sebebiyle risk odaklı yaklaşımı kullanmaya başlamıştır. Risk yönetiminin değerinin daha fazla anlaşılması ile birlikte risk odaklı denetim yaklaşımı yönetimler için daha önemli bir hale gelecek ve daha fazla yaygınlaşacaktır.
Risk Odaklı Denetim Safhaları
Bağımsız denetim; ilk ortaya çıktığı yıllardan bu yana iş dünyasında yaşanan gelişmeler ve organizasyonların ihtiyaçları doğrultusunda şekillenmiş ve gelişmiştir. Günümüz risk odaklı denetim yaklaşımı ise son yirmi yıllık periyotta yaşanan gelişmelerle bugünkü halini almıştır. Bu değişim ve şekillenme sürecinde bağımsız denetimin odak noktası değişmiş ve geleneksel bağımsız denetim yaklaşımından, risk odaklı denetim yaklaşımına geçiş yapılmıştır.
Risk odaklı denetim yaklaşımı ile bağımsız denetimin riske ve kontrollere bakış açısı değişmiş ve bağımsız denetçilere daha fazla değer yaratmak için bir fırsat sunulmuştur. Bağımsız denetçiler bu yaklaşımın uygulanmaya başlaması ile birlikte denetim yaptıkları riske nasıl karşılık verdiklerini incelemeye başlamış ve organizasyonun çevresinde içinde meydana gelen her türlü değişime karşı daha duyarlı hale gelmişlerdir.
Risk odaklı denetim, kaynaklarının sınırsız olmadığı, denetim sürecinin de bir kaynak tüketim süreci olduğu, denetlenen birimlerin her birinin farklı risklere maruz kaldığı ve bu birim ve süreçlerin farklı önem derecelerine sahip olduğu varsayımına dayanmaktadır.
Risk odaklı denetim yaklaşımı, sistem odaklı denetim yaklaşımının üzerine inşa edilmiş olup, amacı riski yüksek olan alanlara odaklanmaktır.
Risk odaklı denetim yaklaşımı,
- Denetim kaynaklarını önemli faaliyetlerin çalışmasını anlamak için kullanması,
- Finansal alanlardan çok yüksek riske maruz kalan alanlar üzerinde yoğunlaşması,
- Denetçinin bilgi, tecrübe ve yaratıcılığından daha çok faydalanması,
- Yönetime sağladığı katma değerin daha fazla olması gibi özellikleri ile diğer klasik iç denetim yaklaşımlarından ayrılmaktadır.
Risk Odaklı Denetim
Risk odaklı denetim ise, risk yönetim çerçevesinin kurulun istediği gibi işleyip işlemediğine ilişkin güvence sağlayan bir yöntem olarak tanımlanmaktadır. İç denetimin tanımına baktığımızda da aynı ifadeyi görmekteyiz. Bu bağlamda günümüz iç denetimin tanımını yaparken aslında risk odaklı denetimin tanımını da yapmaktayız. Çünkü risk odaklı denetim, iç denetiminin tanımında yer alan gereklilikleri yerine getirmek için kuruma yardımcı olan bir yaklaşım olarak görülmektedir. Bu sistematik yaklaşım organizasyonların risk profillerinin belirlenerek, denetim süreçlerinin belirlenen risk profillerine göre şekillendirilmesini ve denetim kaynaklarının etkin bir şekilde dağıtılmasını ve bu şekilde denetimin etkinliğinin arttırılmasını amaçlamaktadır.
Risk odaklı denetimin başlangıç noktası organizasyonun iş hedefleri olup, odak noktası ise bu hedeflere ulaşmayı engelleyen risklerdir. Risk odaklı denetimden farklı olarak denetçiler sistem odaklı denetim yaklaşımında kontrollere ve geleneksel denetim yaklaşımında ise finansal olaylara odaklanmaktadırlar. Risk odaklı denetimi diğer iç denetim yaklaşımlarından ayıran en önemli özellik, yönetimin risk değerleme sürecini anlamaya ve analiz etmeye odaklanmasıdır.
Risk Kavramı
Bir işletme ve organizasyonun amacı çevresi ile etkileşerek değer yaratmaktır. Çevre, organizasyon diğer unsurlar arasındaki etkileşimler ve ilişkiler bütünüdür. Müşteriler, tedarikçiler, devlet, rekabet, teknoloji ve pazar organizasyonun çevresini oluşturan unsurlardır. Her bir işletme ve organizasyon risklerle karşı karşıyadır ve riskin kaynağı organizasyonun çevresidir. Hiç bir organizasyon çevresindeki değişiklikleri tamamıyla kontrol etme, öngörme ve onlara etki etme yeteneğine sahip değildir. Ortaya çıkma sıklığının, zamanın ve şeklinin belirli olmaması sebebiyle risk, organizasyonlar tarafından zor ve karmaşık bir olgu olarak görülmektedir. Risk, organizasyonun amaçlarına ulaşma ve stratejilerini başarılı bir şekilde sürdürme kabiliyetini olumsuz yönde etkileyen bir tehdittir. Bu tanım, risk ile ilgili şu özelliklere dikkat çekmektedir:
- Risk değişken bir tehdittir.
- Tehdit bir olayla ilgilidir.
- Olay meydana geldiğinde organizasyon hedeflerine ulaşamaz.
Risk sözlük anlamıyla; zarara uğrama tehlikesi olarak ifade edilmektedir. İşletme riski ise, işletmenin planlanan amaçlarını yani hedeflerini gerçekleştirmesini engelleyecek her türlü olay veya engel olarak tanımlanabilmektedir. Risk bünyesinde sadece tehlikeleri değil, fırsatları da barındırmaktadır. Beklenmeyen olaylardan kaynaklanan risk tehlikeyi, değişimden kaynaklanan risk belirsizliği, riski işletme lehine kullanabilme becerisi ise fırsatları ifade etmektedir.
Risk, bir işleme ilişkin bir parasal kaybın ortaya çıkması veya bir giderin ya da zararın ortaya çıkması ile neticelenebilecek ekonomik faydanın azalması ihtimalidir (ekonomik değerin belirsizliği). Risk yönetimi, risk ve getiri arasında şirket yönetimine uygun bir geçiş veya değişim yapabilmesini sağlayan bir süreçtir. Risk yönetimi temel bir kurumsal işlevdir.
Getiri / Risk = Değer
Şirketlerin zorlu rekabet ortamında azami önem vermeleri gereken temel kavramlar şunlardır;
- Şirkete değer yaratan kontrollü faaliyetlerin icrası
- Faaliyet kolları bazında risk ayarlı kâra ve risk ayarlı öz kaynağa odaklanılma
- Hesabı verilebilir nihai katma değere ulaşma
Tüm risklerin orijininde operasyonel riskler yatmaktadır.
Bankalarda parasal aktif ve pasiflerin bilanço içindeki payları yüksek olduğundan maruz kalınan finansal risklerin düzeyi oldukça yüksektir. Risk yönetimi mutlaka şirket stratejik kararları ile entegre edilmelidir. Risk yönetiminin ortak amaçları şirket çapında belirlenmelidir.
Doğal afetler gibi beklenmedik olaylardan kaynaklanan risk, ortaya çıkabilecek maksimum zarara karşı önlem almayı gerektirirken, belirsizliğin yarattığı riskin yönetilmesinde riskin boyutunun, ortaya çıkma ihtimali ile birlikte tahmin edilmesi gerekmektedir. Riskin önemli bir unsuru boyutudur. Örneğin, piyasaya yeni bir ürün sunulduğunda, ürünün kabul edilmemesi, yapılan yatırımlardan zarar edilmesi anlamına gelirken, benimsenmesi bu yeni ürünün tek sağlayıcısına, ürün taklit edilinceye kadar önemli fırsatlar ve dolayısıyla getiri sağlamaktadır.
Ürün ve hizmetlerdeki sürekli değişen talep yapısı, teknolojideki hızlı değişim, globalleşme, şirket yapılarındaki değişim, rekabet koşullarındaki farklılaşma işletmelerin karşı karşıya kaldıkları riskleri tanımlamaya, ölçmeye ve sonuçlarını değerlendirmeye gereksinim duymalarını sağlamaktadır. Riski türleri itibariyle dört ana başlıkta incelemek mümkündür:
- Piyasa Riski
- Faaliyet Riski
- Operasyonel Risk
- Kredi Riski.
Her risk grubunun alt risklerinin tanımlanması yoluyla tüm risklerin kategorize edilmesi mümkündür.
COSO tarafından geliştirilen bir diğer risk çatısı ise üç unsurdan oluşmaktadır.
- Dışsal riskler: müşteri, teknoloji, yasalar
- İç riskler: yeniden yapılanma, kaynaklar, tutum ve davranışlar
- Değişen çevre faktörlerine bağlı olarak ortaya çıkan özel riskler
Riskin iki temel bileşeni söz konusudur.
İlki doğal risk; işlem süreçlerinin doğasında var olan içsel, doğal risk seviyesidir. Her işlem sürecinin doğası gereği az veya çok mutlaka bir risk unsuru içermesi söz konusudur.
İkincisi ise “artık” -önlenemeyen- risk; her işlem sürecinde mevcut iç kontrol uygulamaları ile kontrol altına alınmaya çalışılan risklerden başka “artık” risk olarak tanımlanan bir bölüm risk geriye kalmaktadır.
Risklerin uygun iç kontrol yöntemleriyle minimize edilmesi planlanmaktadır. Üst yönetimin, işletme için kabul edilebilir “artık” risk düzeyinin üzerinde bir risk üstlenmemesi gerekmektedir. Bu durumun tespiti halinde, iç denetim yöneticisi, sorunun çözümü için denetim komitesine ve yönetim kuruluna rapor vermelidir. İşletmelerin karşı karşıya kalma potansiyeli olan risklerini, sistematik olarak belirlemesi, önemini öngörmesi, gerçekleşme olasılığını değerlendirmesi, nasıl yönetileceğini belirlemesi, alınması gereken önleyici kontrolleri incelemesi ve gerekli düzeltici tedbirleri tespit etmesi gerekmektedir. İşletmelerin “sürekliliği” konusunda kritik öneme sahip risk faktörlerinin, işletmeler tarafından mutlaka periyodik olarak analizi ve yönetimine ilişkin faaliyet planlaması yapılmalıdır.
Risk Değerleme
İşletmelerde ortaya çıkabilecek riskler; hatalar, hileler, varlıkların kötüye kullanımı, güvenlik eksikliği, doğal afet ve şiddet olayları olarak gruplanabilir. Bazı riskler tüm işletmeyi ilgilendirirken bazı riskler işletmenin bir birimi veya faaliyetiyle ilgilidir. Risklerin değerlemesinde, öncelikli olarak bu risklerin hangileriyle işletmenin karşı karşıya olduğu tespit edilmelidir. İşletmelerde risk değerleme, denetçinin mali tablolarda hata olabileceği ihtimaline yönelik olarak yaptığı doğal ve kontrol risklerini değerlemesinden farklı olarak, işletmenin amaçlarını etkileyen risklerin tanımlanması, analiz edilmesi ve yönetiminden oluşan bir süreçtir. Etkin bir risk yönetimi ile sürekli bir risk değerleme modeli oluşturulmalıdır. Risk, sürekli değişim gösteren bir unsur olduğu için sürekli bir değerleme yapılmalıdır. Bu bağlamda risk değerleme süreci adımları; amaçların belirlenmesi, risk tolerans seviyelerinin belirlenmesi, risklerin belirlenmesi, kontrollerin belirlenmesi, kontrollerin değerlendirilmesi, kontrollerin geliştirilmesi ve sürekli gözlem olarak ifade edilmektedir.