Uyum Risklerini Görünür Kılmak: Sistematik Risk Analizleri Neden Gerekli
INmagazine

Uyum Risklerini Görünür Kılmak: Sistematik Risk Analizleri Neden Gerekli

6 min read

Giriş

Uyum riskleri, şirketlerin faaliyet gösterdiği coğrafyaların çeşitlenmesi, iş modellerinin karmaşıklaşması ve regülasyonların artması nedeniyle giderek daha önemli oluyor. Bununla birlikte birçok şirkette uyum risklerini bütüncül ve sistematik şekilde takip edebilmek lüks değil birer ihtiyaç olmaya doğru evriliyor.  Evet, günümüzde birçok şirkette uyum programları ve politikalar ile uyum risklerinin yönetilmesine ilişkin belirli kontroller çoğu zaman mevcut. Ancak, bu kontrollerin belirli periyotlarla test edilmesi ve etkinliğinin takip edilmesi de riskler gerçekleştiğinde keşke demememiz için önemli bir unsur olarak değerlendirilmeli.

Belirli bir metodolojiye bağlı kalınarak düzenli şekilde tekrar eden sistematik risk analizleri risklerin büyük çerçeveden görülmesini ve önceliklendirilerek takip edilmesi için önemli bir araç. Bu çalışma sayesinde şirketler bütçe ve kaynaklarını doğru alana yönlendirme kaslarını geliştirerek, uyum risklerinin doğurabileceği hukuki, finansal ve belki de geri kazanılması en zor olan itibar kayıplarından kendilerini koruma potansiyellerini arttırıyorlar.

Uyum risklerinin doğası

Hepimiz biliyoruz ki; uyum riskleri tek bir başlık altında toplanamayacak kadar geniş ve çok boyutlu. Artık uluslararası yaptırımlar ve ihracat kontrolleri, suç gelirlerinin aklanmasının engellenmesi, rüşvet ve yolsuzluk, rekabet hukuku, veri gizliliği, insan hakları, suistimal gibi farklı uyum risklerinin birbirleriyle kesişmeye başladığını da görüyoruz. Örneğin; yeni bir tedarikçinin seçimi sırasında usulsüz bir avantaj sağlanması yolsuzluk riski yaratırken, tedarikçinin yaptırım listelerinde yer alması yaptırım riski, gerçek faydalanıcısının belirsiz olması suç gelirlerinin aklanması riski veya müşterilere ait verilerin paylaşılması veri gizliliği riskini doğurabilir.

Proaktif yerine reaktif yaklaşımın baskın olduğu uyum programlarında, şirketler riskleri önceden öngörüp, kontrol geliştirmekten ziyade riskler ortaya çıktıktan sonra yönetmeye çalışır. Bu yapı içerisinde riskler çoğunlukla bir risk gerçekleştiğinde veya bir ihbar alındığında görünür hale gelir.  Bu durum hem maliyetleri artırır hem de risklerin etkisini ölçmeyi güç hale getirir. Dolayısıyla uyum risklerinin etkin ve verimli şekilde yönetilmeleri için – biraz da doğaları gereği- proaktif, veri temelli ve sistematik bir yaklaşımla ele alınmaları gerektiği sonucuna ulaşmak gayet mümkün.

Sistematik uyum risk analizi nedir

Sistematik uyum risk analizi; standart bir metodolojiye dayanan, tüm iş birimlerini sürece dahil eden, risk ve kontrol bazlı ilerleyen, risk ve kontrol sahipliğinin net şekilde tanımlandığı ve periyodik olarak güncellenen bir risk değerlendirme çalışmasıdır. Bu yaklaşım yalnızca uyum risklerini tespit etmeyi değil, aynı zamanda bu risklerin etkilerini, hangi kontrollerle yönetilebilir seviyede tutulmaya çalışıldığını, bir başka ifadeyle, var olan kontrollerin etkinliğini ölçmeyi hedefler.

Şirkete özgü ancak iyi uygulamalardan da beslenen bir metodoloji sayesinde farklı uyum riskleri ortak bir dil ile tanımlanır, etki ve olasılık kriterlerine göre sınıflandırılır ve böylece şirketteki farklı süreçler genelinde karşılaştırılabilir hale gelir. Örneğin; risklerin etkisi finansal, operasyonel ve itibar etkisi gibi alt başlıklarda değerlendirilirken, risklerin gerçekleşme olasılığı iç kontrollerin yeterliliği, süreçlerdeki sistem entegrasyonu, insan kaynağı kapasitesi veya yakın dönemdeki denetim bulguları / suistimaller gibi alt başlıklar özelinde ele alınabilir.

Pek tabii ki bu sayede, yönetim hangi risklere öncelik vermesi gerektiğini daha net ve geniş bir çerçeveden görebilir.

Neden gerekli

Sistematik uyum risk analizi, uyum risklerini soyut bir kavram olmaktan çıkarıp ölçülebilir ve yönetilebilir hale getirir. Günün sonunda, varlığından haberdar olmadığımız veya etkisini doğru ölçemediğimiz riskleri etkin bir şekilde yönetmemiz çok gerçekçi bir beklenti olmaz. Bu yaklaşım sayesinde:

  • Riskler görünür hale gelir ve kurum genelinde ortak bir çerçevede değerlendirilir
  • Önceliklendirme yapılır ve kaynaklar yüksek risk alanlarına yönlendirilir,
  • Üst yönetime anlamlı ve aksiyon odaklı raporlama yapılır,
  • Şirket içerisinde uyum risklerine dair farkındalık yükselir ve uyum kültürü güçlenir.

Diğer yandan, uyum risk değerlendirmelerinin uluslararası mevzuattaki yeri ve önemine ele aldığımızda şirketlerin risk bazlı ve düzenli olarak gözden geçirilen bir uyum risk değerlendirme yapısı kurmasına ilişkin beklentilerin arttığını görüyoruz.

Örneğin; ABD Adalet Bakanlığı’nın (DOJ) “Evaluation of Corporate Compliance Programs” rehberinde, şirketin risk değerlendirme çalışmaları yapıp yapmadığı, bu çalışmaların etkinliği, programın bu değerlendirmeye göre gözden geçirilip geçirilmediğinin sorgulandığını görmek mümkün.

Çok uzak olmayan bir zamanda yürürlüğe giren Birleşik Krallık “Failure to Prevent Fraud” rehberinde ise suistimali önleme tedbirleri kapsamında doğrudan “Risk Değerlendirmesi” başlığı mevzuata uyum için bir ister gösteriliyor. Periyodik olarak gözden geçirme yapılmaması halinde programın yalnızca “kağıt üzerindeki” varlığının yeterli sayılamayabileceğinin de ifade edildiğini görüyoruz.

Fransa’da AFA (Agence Française Anticorruption) yayımladığı tavsiyelere baktığımızda, yolsuzluk risklerinin şirketteki süreçler bazında hazırlanmış, dokümante edilmiş ve periyodik olarak güncellenecek şekilde kurgulanmasının beklendiğini görüyoruz. İlave olarak, yolsuzlukla mücadeleye ilişkin kontrollerin yeterliliği ve etkinliğinin ölçülebilmesi için iç kontrol ve öz değerlendirme çalışmalarının tasarlanması da şirketlerden beklenenler arasında yer alıyor.

Rol ve sorumluluklar için çerçeve

Sistematik uyum risk analizinin etkin şekilde çalışabilmesi ve istenen verimin alınabilmesi için rol ve sorumlulukların net tanımlanması gerekiyor. Bu noktada Uluslararası İç Denetçileri Enstitüsü Üçlü Hat Modeli güçlü bir çerçeve sunuyor.

Birinci hat, yani iş birimleri, risklerin ve kontrollerin sahibi olarak ifade edilir. Süreçleri yürüten ve günlük operasyonu gerçekleştiren bu birimler, kendi süreçlerindeki riskleri en iyi bilen ve kontrolleri de bilfiil uygulayan taraftır. Hiçbir departman veya dış denetçi kontrollerin etkinliğini ve eksikliğine bağlı riskleri iş birimi kadar iyi bilemez. Tam bu yüzden, kontrollerin yalnızca uygulanması değil, belirli aralıklarla test edilmesi ve iyileştirilmesi için aksiyonların alınması da yine birinci hattın sorumlulukları arasında gösterilir.

İkinci hat olarak uyum fonksiyonu, uyum risk değerlendirilmelerine ilişkin metodolojiyi belirler, rehberlik eder ve süreci izler. Uyum ekipleri riskleri iş birimleri adına yönetmez; şirket için en uygun metodolojiyi hazırlar, iş birimlerine rehberlik eder ve tutarlılığı sağlar.

Üçüncü hat olan iç denetim ise bağımsız güvence sağlar ve uyum risk değerlendirme çalışmalarının etkinliğini değerlendirir.

Bu çerçeve hem rol ve sorumlulukların daha net biçimde ortaya konmasını sağlar hem de uyum risklerinin bütün hatların kolektif çalışmasıyla daha doğru ve bütüncül bir resmin ortaya çıkmasını kolaylaştırır.

Temel bileşenler

Etkili bir sistematik uyum risk analizi aşağıdaki temel bileşenlerden oluşur:

  • Risk envanteri ile risklerin açık şekilde tanımlanması,
  • Her risk için mevcut kontrollerin belirlenmesi,
  • Risk ve kontrol sahipliğinin net şekilde belirlenmesi,
  • Sürece tüm iş birimlerinin dahil edilmesi,
  • Etki ve olasılık değerlendirmesi ile risklerin derecelendirilmesi (Örn. Yüksek, Orta, Düşük),
  • Kontrol testlerinin belirli aralıklarla tekrarlanması ve sonuçların değerlendirilmesi,
  • Gelişime açık alanlar için aksiyon planlarının oluşturulması ve takibi,
  • Sürecin periyodik olarak tekrarlanması.

Bu bileşenler etkin şekilde bir araya getirildiğinde, uyum risklerinin yönetiminin sadece risklerin tariflendiği veya reaktif olarak takip edildiği bir model olmaktan çıktığını ve bununla birlikte proaktif ve öngörülebilir şekilde sistematik olarak yönetilen bir model haline geldiğini görürüz.

Kontrollerin test edilmesi ve değerlendirilmesi

Kontrollerin yalnızca yazılı olarak politika veya prosedürlerde yer alması uyum risklerinin etkin bir şekilde yönetildiği anlamına gelmez. Burada önemli olan, bu kontrollerin gerçekten çalışıp çalışmadığının düzenli olarak test edilmesi ve test sonuçlarının iş birimleri tarafından değerlendirilmesidir. Bu testler sayesinde, kontrol ortamı sadece teorik olarak takip edilmez, fiili olarak da kontrol edilir. Örneğin, şirket politikası gereği 100.000 TL üzerindeki tüm ödemeler için iki imza kontrolü tasarlanmış olabilir. Ancak mevcut kontrolü test ettiğimizde, bazı ödemelerin parçalara bölünerek 100.000 TL altına indirildiği ve bu sayede ikinci onay alınmadan gerçekleştirildiğini tespit edebiliriz. Bu durum bize kontrolün kâğıt üzerinde var olduğunu ancak fiilen beklenen şekilde çalışmadığını gösterir.

Kontrol testlerinin birinci hat tarafından yapılması, süreci hem daha gerçekçi hem de daha sürdürülebilir hale getirir. Bunun sebebi ise basit: süreci uygulayan ekipler, kontrolün nasıl çalıştığını ve nerelerde aksadığını en iyi gözlemleyebilecek konumdadır. Bu sayede riskler henüz gerçekleşmeden en hızlı şekilde tespit edilebilir. İş birimlerinin periyodik aralıklarla tekrarlayacağı kontrol testlerinin sonuçları sistematik olarak kayıt altına alınmalı, eksiklikler için aksiyon planları oluşturulmalı ve aksiyon sahipleri tarafından uyum fonksiyonun da destek ve rehberliğiyle sürekli takip edilmelidir.

Uyum fonksiyonu bu süreçte metodolojiyi belirleyen, test sonuçlarını analiz eden ve genel resmi süreç bazlı karşılaştırarak değerlendirebileceği bir rol üstlenir. Bu sayede kontrol ortamı sürekli gelişmeye devam eder ve iş birimlerinin de sahipliğiyle bir kültüre dönüşür.

Raporlama ve yönetim içgörüsü

Sistematik uyum risk analizinin sonuçları, şirket genelinde riskler ve süreçler üzerindeki etki / olasılıkları bakımından karşılaştırılabilir olacağı için üst yönetime sadece veri değil aynı zamanda içgörü sunar. Risklerin hangi alanlarda yoğunlaştığı, hangi kontrollerin zayıf olduğu ve hangi aksiyonların öncelikli olduğu net şekilde ortaya konur.

Düzenli ve karşılaştırılabilir raporlama, yönetimin doğru karar almasını sağlar ve uyum risklerinin stratejik kararlar alınırken değerlendirmeye dahil edilmesine katkı sunar. Bu sayede uyum, sadece bir kontrol fonksiyonu değil, değer yaratan bir yapı haline gelir.

Makalenin Devamında;

  • Dijitalleşme ve veri kullanımı
  • Sık yapılan hatalar
  • Başarılı uygulama için öneriler
  • Sonuç

Makalenin Devamı için >>>

Yazı: Engin Aksoy, CFE, CAMS, SMMM

Kaynak: INmagazine 41. Sayı

Diğer Sayıları İçin: INmagazine


Not: Makalelerdeki Görüş ve Yorumlar Yazar veya Yazarlara Ait Olup, Etik ve İtibar Derneği’nin Konu ile İlgili Düşüncelerini Yansıtmamaktadır.

Tags