KurumsalRisk Yönetimi Danışmanlık hizmeti ile, ISO 31000 Risk Yönetim Sistemine uyumluolarak şirket önceliklerinize etki edebilecek riskleri belirlemek, değerlemekve yönetmek için süreç ve sistemlerinizi kurabilirsiniz
Şirketler muhtelif ihtiyaçları karşılamak için KRY danışmanlık hizmeti alabilirler. Borsada işlem gören halka açık şirketlerin SPK Kurumsal Yönetim Tebliği’ne uyum veya bu şirketler dışında Türk Ticaret Kanunu’nun (TTK) 378. maddesi gereği denetçi tarafından risk komitesi kurulması gerekli görülen şirketlerin mevzuata uyum ihtiyacı olabilir. Risk yönetim sisteminin sertifikasyon maddesi olarak ele alan standartların denetiminde standarda uyum ihtiyacı olabilir, özellikle ISO 9001 Kalite Yönetim Sistemi, ISO 22301 İş Sürekliliği Yönetim Sistemi, ISO 27001 Bilgi Güvenliği Yönetim Sistemi gibi standartlar. Ticari ilişkide olunan paydaşların ISO 31000 uyumluluk veya oturmuş ve kanıtlanabilen bir risk yönetim sistemi gözetmesi sebebiyle bir danışmanlık ihtiyacı da olabilir. Veya karar alma süreçlerinde risk odaklı, dünyanın önde gelen iyi uygulamalardan geri kalmayan bir yönetim sistemi tesis etme ihtiyacı olabilir.
KRY danışmanlık hizmeti; paydaşların risk yönetimi farkındalığı, risk belirleme ve analiz etme yetkinliği, risk takip mekanizmalarının oluşturulması ve risk yönetim araçlarının uygulanması ihtiyaçlarını karşılamaktadır. KRY danışmanlık hizmetini sağlarken ISO 31000 standardına uyum gözetilmektedir.
Danışmanlık hizmeti şirketin süreç, fonksiyon veya iş kollarından hangilerinin kapsama alınacağının belirlenmesiyle başlayıp aksiyonların geliştirilmesiyle tamamlanır. Bu süreci kendi içinde yürütmek isteyen kuruluşlara eğitim ve grup çalışma çözümleri de sunulur.
Kurumsal risk yönetiminin kuruluşta tesis edilmesinde baş vurulan en önemli standartlardan biri ISO 31000 Risk Yönetim Sistemidir. Bu standart bir kuruluşun risk yönetim sistemiyle şirket önceliklerine etki edebilecek riskleri belirleme, değerleme ve yönetme süreç adımlarının baştan sona etkin bir şekilde sürdürülmesi için rehberlik etmektedir.
Kurumsal risk yönetiminin başarıyla tesis edilmesi için ISO 31000 standardında tanımlanan süreç adımları, danışmanlık hizmeti çerçevesinde belirlenen kapsamdaki kuruluş unsurlarında gerçekleştirilmektedir.
Kurumsal risk yönetiminin şirket önceliklerine etki edebilecek riskleri belirlemede, değerlemede ve yönetmede etkin olması için şirket yönetiminin desteği ve tüm iç paydaşların katılımı gereklidir. Üst yönetim görüşmesi sırasında öncelikli hedefler ve bunları etkileyen kapsamın belirlenmesi için önemli bilgiler temin edilir.
KRY kapsamı şirketin önceliklerinin tümüne etki edebilecek riskler olabileceği gibi, şirketin belirli süreç, fonksiyon veya iş kollarıyla da sınırlı kalabilir. KRY kapsamının belirlenmesinde üst yönetim önceliğinde olan hedefler yanı sıra şirketin iç ve dış bağlamı dikkate alınmalıdır. Bunlar sektör, rekabet, coğrafya, regülasyon ile sınırlı kalmamak üzere dış bağlam unsurları ile yönetişim, örgütsel yapı, politikalar, strateji, kaynaklar, varlıklar ve daha fazlası gibi iç bağlam unsurlarıdır.
Risk politikası, şirketin risk yönetim yaklaşımı, kapsamdaki şirket öncelik ve politikalarıyla olan ilişkisini, risk yönetim sorumluluklarını, risk sürecinin raporlanmasını ve düzenli olarak oluşturulan risk yönetim sisteminin gözden geçirilip iyileştirilmesine olan bağlılığı ortaya koymalıdır.
Şirket risklerini yönetmek için uygulayacağı çerçeveyi belirlerken, bu çerçevenin uygulanması için öngörülen zaman, yaklaşım, aşamalandırma, kapsamın bölüneceği yönetilebilir sınırlar ve adımlar, risk yönetim adımlarının entegre edileceği süreçler, entegrasyonda görüşü alınması gerekecek olan ve görevlendirilmesi gerekecek olan paydaşların belirlenmesine önem vermelidir.
Risk değerlendirmesi, belirlenen KRY kapsamında ele alınacak olan risklerin belirlenmesi, analiz edilmesi ve değerlenmesiyle yapılmaktadır. Bunun için üst yönetim önceliğinde olan hedefler ve ilgili süreç, fonksiyon veya iş kollarının bütünü ile iç ve dış bağlam unsurları her alt adımda dikkate alınmalıdır. Risk belirleme adımında şirketin ihtiyaç, kaynak ve imkanları sınırları doğrultusunda birden fazla teknik ve yöntem kullanılabilir. Bu adım neticesinde şirket risk envanteri oluşur. Risk analiz adımında belirlenen risklerin kaynakları ve şirket iç kontrol ortamında uygulanan kontrol mekanizmalarının etkinliği de değerlendirilmektedir. Bu adımda yine şirket kaynak ve imkanlarına göre farklı yaklaşımlar kullanılabilir. Risk değerleme adımında ise risk envanterinde yer alan risklerin önceliklendirilmesi yapılıp risk aksiyonu alınacak olan alanların kaynak aktarımı değerlendirilir.
Risk aksiyonlarının kaynak ihtiyaçlarının belirlenmesi, etkilerinin kabul edilebilir risk seviyesiyle uyumlu olup olmadığının değerlendirilmesi ve gerekirse farklı aksiyon seçeneklerinin geliştirilmesi ile risk işleme planı oluşturulabilir. Birden fazla aksiyon uygulanabilir ve risk işleme planının onaylanması için aksiyonların fayda maliyet analizi yapılmalıdır.
KRY bir proje değil bir programdır ve bu sebeple şirketin her zaman süreçlerin parçası olan ayrılmaz bir parçasıdır. Bu nedenle risk izleme planı şirket risklerinin sürekli takip edilmesi, kabul edilemez seviyelere ulaşan risklerin tespit edilmesi, gerekli aksiyonların geliştirilmesi ve uygulamaya alınması için risk yönetim sürecinin bir adımıdır. Bu adımın en önemli unsurlarından bir tanesi ise Anahtar Risk Göstergelerinin (ARG) geliştirilmesini, bunların uyarı seviyelerinin ve gerekli aksiyonlarının belirlenmesini, sahiplik ve hem risk hem de performans hedefleri ile ilişkilendirilmesini gerektirir.
Son olarak alınan dersler ile sürecin iyileştirilmesi ve geleceğe yönelik öngörü yetkinliklerinin geliştirilmesi risk yönetim sisteminin bir döngü içinde sürekli iyileşmesine imkan tanıyacaktır. Bunun gereklilikleri ise ilk önce gerçekleşen risk olay ve ramak kala vakalarının ayrı bir envanterinin oluşturulması, güncellenmesi ve risk değerlendirme adımlarına girdi olarak dahil edilmesidir. Diğer gereklilik ise gelişmekte olan riskler için kuruluş içi uzman bir danışman kadrodan oluşan bir komite oluşturup bunun düzenli değerlendirmelerinin yine karar alma süreçlerine dahil edilmesinin sağlanmasıdır.