İlkay Aydoğdu

Risk izleme faaliyetleri

GEÇEN ayki yazımda risk yönetimi faaliyetlerinin kapsamında yer alan risklerin kategorilendirilmesi ve ölçülmesi için izlenecek adımlardan bahsetmiştim. Bu yazımda ise şirket içerisinde risk izleme faaliyetlerinin nasıl kurgulanması gerektiğinden bahsetmeye çalışacağım. 

Risk izleme faaliyetlerini tasarlamaya başlarken, geçen ay bahsettiğim risk ölçümleme çalışmaları sonucunda ortaya çıkan (bkz. Tablo: Risklerin finansal/finansal olmayan etkileri derecelendirilerek, olasılıklarına göre sıralanır; “etki x olasılık”yöntemi son puanı ve ısı derecesini oluşturur.)“risk ısı haritası”baz alınmalıdır. Isı haritasında yer alan tüm riskler için Üst Yönetim tarafından kapasite ve/veya limitler, sonrasında ise izleme yöntemi ve aksiyon planları belirlenmelidir. Bazı riskler için Üst Yönetim hiçbir aksiyon almamaya karar verebilir, buna “riskin kabul edilmesi”diyoruz, bu durumda hiçbir aksiyon planı yapılmasa da en az yılda bir riskin durumunun ölçülerek izlenmesi tavsiye edilir. 

Üst Yönetim’in indirgenmesi ya da önlenmesine karar verdiği riskler için ise riskin derecesine göre sıklığı değişebilecek izleme raporlaması ya da toplantıları (komiteleri) organize edilmelidir. 

Örneğin; “terör riski”nden bahsediyorsak, şirket belirli bir ilde belirli bir limitin üzerinde kasko poliçesi üretmek istemiyoruz şeklinde bir limit belirleyebilir. Sigorta riskleri için limitler belirlenirken şirketin reasürans anlaşmalarının dikkate alınması önemlidir. Farklı bir örnek olarak; şirket“bilgi sistemlerinden kaynaklanan iş kesintisi ”riski için bir günden az iş kesintilerini tolere edebileceğine karar vererek, limiti bu şekilde belirleyebilir. 

Tüm bu kapasite ve/veya limitler belirlendikten sonra, izleme faaliyetlerinin yöntem ve sıklığına karar verilebilir. Yukarıdaki örneklerden devam edersek; “terör riski”orta seviyede bir risk ise, üç ayda bir teknik ve satış ekipleri bir komite toplantısında belirlenen illerde üretilen poliçelere ilişkin bir toplantı yaparak limitlerin durumunu izleyebilir. Bu toplantılarda riskin azaltılmasına yönelik aksiyonlara karar verilebilir. Isı haritasında daha yüksek seviyede yer alan riskler için ise; daha sık raporlama yapılarak riskin önlenmesi ya da indirgenmesi için alınacak önlemlere karar verilebilir. Örneğin; yüksek seviyede bir operasyonel risk olan “siber saldırı riskleri”için Üst Yönetim günlük olarak siber saldırı incelemesi yapacak bir yazılım satın almaya, bununla ilgili tam zamanlı bir ekip görevlendirmeye, hatta bir siber risk sigortası satın almaya karar verebilir.

Tüm bunlara ek olarak; risklerin önlenmesi ya da indirgenmesinin sürekliliğini sağlamak için şirket içinde düzenli ve etkin bir iç kontrol mekanizması kurmak gerekir. Daha önceki yazılarımda belirttiğim gibi iş birimleri tarafından ya da şirketin iç kontrol birimi tarafından düzenli olarak gerçekleştirilen birinci ve ikinci seviye kontroller şirketin “savunma hattı”dır. 

Kontrollerin belirlenme sürecinde risk ısı haritası ve yukarıda bahsettiğim aksiyon planları göz önüne alınarak, risklerin düzenli izlenmesi daha etkin hale getirilebilir. 

Son olarak, risk izleme faaliyetlerinin sonuçlarının Yönetim Kurulu’na en az altı ayda bir sunularak, risk yönetimi stratejisinin en az yılda bir yine Yönetim Kurulu tarafından incelenmesi ve onaylanmasını sağlamak hem farkındalık hem de etkin bir mekanizma işletimi için önemlidir.

2 Mayıs 2019

İlgili Haberler

Yazarlar