Risk yöneticileri istihdamın yeni yıldızı olacak

Bağımsız denetim, vergi ve danışmanlık şirketi Grant Thornton’un Kurumsal Risk Yönetimi Ortağı Sezer Bozkuş Kahyaoğlu, şirketlerde risk yönetiminin ve risk yöneticilerinin artan önemini anlattı.

Yeni Türk Ticaret Kanunu ile Risk Yönetiminin Artan Önemi

Yeni Türk Ticaret Kanunu’nun (YTTK) gerekçesinde, kanunun temel dayanağı olarak 1992 yılında hazırlanan Cadbury Raporu ile Sarbanes Oxley (SoX) yasası belirtilmektedir. Bu iki kaynak risk esaslı bir denetim sistemini esas almaktadır. Buradaki önemli nokta, firmaların ekonominin bütününde ekonomiyi etkileyecek uygulamalardan kaçınmasını sağlamaktır. Bu açıdan bakıldığında, söz konusu raporlar firmalardaki risk yönetimine aynı zamanda sosyal bir sorumluluk da yüklemektedir. Yukarıda belirtilen düzenlemeler kurumsal yönetim ilkelerinin pratiğe geçirilmesinde temel zorlayıcı kaynaklar olmuştur. Kurumsal yönetim ön plana çıktığında, CRO’lar (Riskten en üst düzeyde sorumlu yönetici) firmaların yönetim yapılanmasında önemli hale gelmektedir.

Türkiye’de CRO’ların önem kazanmasında YTTK kapsamında çıkarılmış olan yönetmelik, tebliğ ve düzenlemeler belirleyici olmaktadır. Örneğin, SPK’nın Kurumsal Yönetim İlkelerinin Belirlenmesine ve Uygulanmasına İlişkin -Seri: IV, No:56 sayılı Tebliği ile 28 Ağustos 2012 tarih ve 28395 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren Şirketlerin Yıllı Faaliyet Raporunun Asgari İçeriğinin Belirlenmesi Hakkında Yönetmelik önemlidir. YTTK ile birlikte, tüm firmaların faaliyet raporlarında risk yönetimi ile ilgili ayrı bir bölüm açması ve burada ilgili firmanın risk politikaları ile risklere karşı almış olduğu tedbirleri detaylı olarak açıklaması gerekmektedir.

CRO’lara duyulan ihtiyaç neden artıyor ?

Firmaların ölçeklerinin büyümesine bağlı olarak ortaya çıkan riskler çeşitlendiği için, bu risklerin yönetilmesi koordinasyonu gerekli kılmaktadır. Bu koordinasyonun sorumluluğunu üstlenecek bir birimin oluşturulması ihtiyacı ortaya çıkmıştır. Burada söz edilen riskler sadece finansal riskler değildir. Ancak, bir firmanın operasyonel riskleri her zaman bir finansal risk veya nakit akışında olumsuz etkiler ortaya çıkarabilecek bir unsur olarak değerlendirilmelidir. Bundan dolayı, bir firmanın hangi risk türü olursa olsun, gerçekleştiğinde, içerisinde bir finansal riski barındırabilir.

Türkiye’de firmalarımızın ölçeklerinde hızlı bir büyüme trendi yaşanmaktadır. Bununla birlikte, uluslararası piyasalarla ilişki ve iletişimde de artış olmuştur. Yurtdışındaki paydaşların bu konudaki istekleri ve koymuş olduğu kurallar firmalarımızı risk yönetimi sistem altyapısını oluşturmaya zorlamaktadır. Bununla birlikte, Uluslararası Finansal Raporlama Standartları’nın (UFRS) uygulanmaya başlanması ile birlikte, risklerin standartlara uygun olarak raporlanması ihtiyacı ortaya çıkmıştır. Gelişen UFRS uygulamaları, söz konusu risklere karşı alınması gereken önlemler için planlama ve strateji geliştirmeyi yapabilecek insan gücüne yönelik bir talep yaratmıştır. Bu insan gücü, Yönetim Kurulu’nun firmalar için ortaya koydukları temel stratejilere uygun olarak kurumsal risk yönetimi stratejilerini oluşturacak üst düzey bir yönetim birimini oluşturmakla görevlendirilmiştir.

CRO’nun Sorumlulukları Nelerdir ?

Risk yönetiminin firma genelinde koordinasyon sorumluluğunu üstlenen CRO’ların görev tanımlarının uluslararası standartlar çerçevesinde oluşturulması gerekmektedir. Firmaların kurumsal risk yönetimi alt yapısını oluştururken dikkate alması gereken husus, riskin aslında herkesin sorumluluğunda olduğunun bilincidir. Ancak, CRO bu risklerin sistematik bir şekilde yönetilmesinden ve yönetime konsolide edilerek ve önceliklendirilerek sunulmasından sorumlu olmaktadır.

Son yaşanan küresel krizin anatomisi incelendiğinde, diğer krizlerden farklı olarak bu krizin bir gelişmiş ülke kaynaklı kriz olduğu açıktır. Gelişmiş ülke olmanın anlamı, söz konusu ülkelerin kurumsal yönetim ilkeleri ve risk yönetimi alanında standartlarının bulunmasıdır. Ancak, gelişmiş ülkelerde iflas eden kurumsal şirketlerin nasıl olur da risklerini yönetemez hale geldikleri tartışmaya yol açan en önemli konu olmuştur. Burada bir kısım otoriteler risk yönetimini suçlarken, bir kısım otoriteler de risk yönetiminin kavramsal çerçevesinin ve standartlarının belirli olmasına rağmen, bunu yeterince yerine getirebilecek teknik bilgisi ve yetkinliği olan risk yöneticilerinin (CRO) bulunmamasından dolayı risklerin erken teşhis edilemediğini ileri sürmektedir. Dolayısıyla, risk yönetimi sistemi kurulmuş olsa bile, söz konusu sistemi işlevsel hale getirecek ve koordinasyonu sağlayacak CRO’ların eksikliği halinde sorunlar ortaya çıkmaktadır.

Türkiye’deki CRO Uygulamaları Nasıldır ?

Türkiye’de CRO görevini uluslararası standartlara göre yapabilecek yetişmiş insan gücü konusunda sıkıntı vardır. Bu konudaki sıkıntı, Yüksek Öğrenim sistemindeki fakülte yapılanmasındaki önemli bir eksikliklerden kaynaklanmaktadır. Özellikle İşletme bölümlerimizde bu konuya ilişkin verilmesi gereken kantitatif dersler ile risklerin raporlanmasına yönelik dersler programlarda yer almamaktadır. Bu açıdan, bu konudaki eksikliğin özellikle yüksek öğrenimini yurtdışında yapmış olanlarla giderilebileceği söz konusu olabilir. Ancak, Türkiye’deki Avrupa Birliği kriterlerine göre küçük ve orta boy işletmelere (KOBİ) CRO’nin başında bulunduğu risk yönetim sistemini kurmak maliyet olarak kabul edilmektedir. Bundan dolayı YTTK’daki denetim kurulunun yapısı ve işlevi önem kazanacaktır. Uluslararası standartlara yönelik uygulamaları olan firmalar ise, bu konuda hazırlıklarını yapmaktalar ve altyapılarını oluşturmaya çalışmaktadırlar. Yabancı ortaklığı olan firmalar için bu konuda yabancı ortakların oluşturdukları mekanizmalar mevcut olup, Yönetimin Gözetim Fonksiyonu çerçevesinde sorumluluklarını yerine getirmektedirler. CRO’lar Türkiye’de YTTK dikkate alındığında Risk ve/veya Denetim Komitesi üyesi olarak bulunabilir. Ya da söz konusu komitelere bağlı olarak çalışan bir Direktörlük olarak da düşünülebilir. Buradaki temel kriter, firmaların ölçekleri ve kurumsallaşma derecesi olmaktadır. Kurumsallaşma derecesinin bir ölçüsü olarak, risk veya denetim komitelerinin varlığı dikkate alındığında, firmalarda şu unsurlar bulunmalıdır: 

·         Risk izleme mekanizması kurumun karşılaştığı mevcut ve yeni riskleri tespit edebilmelidir.

·         Risk izleme mekanizması paydaşlar açısından bir güvence modeli sağlamalıdır.

·         Risklere yönelik olarak etki-tepki mekanizmalarının oluşturulması gereklidir.

·         Yatırım stratejilerinin ortaya çıkaracağı riskler ile ilgili risk yönetim stratejilerin oluşturulması sağlanmalıdır.

·         Risk yönetim sistemleri kurumun itibarını ve marka değerini artırmaya yönelik değer yaratmalıdır.

·         Risklerin sistematik ve periyodik olarak izlenerek yönetime raporlanması sağlanmalıdır.

CFO mu CRO mu ?

Riskleri tespit eden kadrolar ile bu riskleri yöneten kadrolar, firma ölçeği büyüdükçe ayrı olmalıdır. Bundan dolayı uluslararası standartlara göre “görevler ayrılığı ilkesi” çerçevesinde firmaların CFO rolünü yürüten ve risk kaynağı olan yöneticilerin riskleri yönetenlerden (CRO) farklı kişiler olması gerekmektedir. Pratikte kaynakların kısıtlı olmasından dolayı firmalar belirli bir ölçeğe ulaşıncaya kadar genellikle CFO’lar “çift şapkalı” olarak görevlerini yürütmektedir. Hem stratejik finansal yönetimi yapmakta hem de stratejik risk yönetimi sürecinde aktif görev almaktadır. Ancak, son yaşanan küresel finansal krizin ardından CFO’lar kadar CRO’ların da şirketlerin stratejik hedeflerine ulaşmasında önemli olduğu tartışmaya açılmıştır. CFO’ların çift şapkalı olması yerine, risk alanında yetkinliği olan uzmanların (CRO’ların) görevlendirilerek stratejik risk yönetiminde koordinasyon sağlaması beklenmektedir.

Institute of Internal Auditors-IIA (İç Denetçiler Enstitüsü) Yeni Bir Uzmanlık Alanı Başlatıyor: Risk Yönetimi Güvencesi

Merkezi ABD’de olan ve iç denetim mesleğinin küresel bir uzmanlık olarak gelişimine yön veren İç Denetçiler Enstitüsü –Institute of Internal Auditors (IIA) tarafından 2012 yılından itibaren risk yönetimi konusunda yetkinliği ve yeterliliği ifade eden yeni bir uluslararası sertifika çıkarılmıştır. Bu sertifika Risk Yönetimi Güvence Uzmanlığı- Certification in Risk Management Assurance (CRMA) olarak belirlenmiştir.