Kendi hazırlamış olduğum kurumsal risk yönetimi sunusu güzel bir referans kaynağı olarak görülebilir; risk kavramını geniş bir çerçevede ele almakta, ilgili bir çok kavrama değinerek, okuyucuların bu alandaki geniş yelpazedeki bilgiye kolayca ulaşmasına imkan vermekte...

1. Kamu İç Denetçi Adayları Eğitimi
Gökhan POLAT
CIA, CISA, CRISC, CRMA, CGAP, CCSA

2. • Tanışma
• Risk tanımı
• Risk kavramları
• Risk kategorileri
• Kontrol ve iç kontrol nedir?
• Risk yönetimi nedir?
• Kurumsal risk yönetimi
• Risk yönetimi ve iç denetim
• Bilgi teknoloji riskleri

3. Tehdit?
Fırsat?
Belirsizlik?
RİSK nedir?

4.  IIA’ya göre risk, amaçlara ulaşılması üzerinde etkisi olacak bir olayın
meydana gelme ihtimalidir.
 Risk kontrol çerçevesi ISO 31000'de risk, "hedefleri etkileyecek bir şeyin
olma ihtimali" ve "belirsizliğin hedefler üzerindeki etkisi" olarak
tanımlanmıştır.
 Kamu İç Denetim Rehberinde ise; kurumların amaç ve hedeflerine
ulaşmasına ve görevlerinin ifasına engel olabilecek veya beklenmeyen
zararlara yol açabilecek durum ya da olaylardır.
Riskin tanımı

5. • Risk Kültürü
• Risk Olgunluğu
• Risk İştahı
• Risk Toleransı
• Doğal (İçsel) Risk
• Artık Risk
• Risk Profili
• Risk Kapasitesi
• Risk Çerçevesi

6. Risklerin yönetilmesi konusundaki tavrı ve
yaklaşımı ifade eder.
Yöneticilerin ve çalışanların karar alma
süreçlerini onlar farkında olsalar da
olmasalar da etkiler.

7. Risk almayı sever misiniz?
Yoksa riskten uzak durmayı mı tercih edersiniz?

8.  Kurumdaki risk kültürünün düzeyini ifade eder.

9. Risk iştahı; idarenin,
 misyonu
 vizyonu
 amaç ve hedefleri
doğrultusunda herhangi bir zaman diliminde, kabul etmeye (maruz kalmaya) hazır
olduğu risk miktarıdır.

10.  Kurum risk iştahından kabul
edilebilir sapma miktarını
ifade eder.
 Risk iştahı stratejik seviyede
yönetim kurulları tarafından
belirlenirken, risk toleransı
operasyonel seviyede her
faaliyet için ayrı ayrı
belirlenir.
 Risk toleransı, sayısal ifade
edilir.

11. yönetim tarafından
herhangi bir önlem
alınmaması durumunda
gerçekleşme olasılığının
ve etkisinin
değiştirilemeyeceği
riskleri ifade eder.

12. yönetimin, olumsuz bir olayın etki ve ihtimalini azaltmak amacıyla, riski
karşılamaya yönelik kontrol faaliyetleri de dahil, aldığı tedbirlerden sonra
kalan risktir.
(IIA – Uluslararası İç Denetim Enstitüsü)
Artık/Kalıntı risk;

14. Risk Profili
Risk Kapasitesi
Risk Çerçevesi

15. Risk genellikle olasılık ve etki
bileşenleri ile ifade
edilmektedir.
 Olasılık, riskin gerçekleşme ihtimalini,
 Etki ise gerçekleştiği takdirde hedefler
üzerindeki tesirini ifade etmektedir.

16. Riskin başka bileşenleri de olabilir mi?

17. Riskin bileşenleri…
 değişkenlik,
 değişim hızı,
 gerçekleşme süresi,
 diğer risklerle etkileşimi...

18. • Kontrol etkinliği
• Önceki risk deneyimi
• Sonucun süresi
• Riskteki varlıklar
• Tehdidin türü
• Diğerleri ???

19. Sonucun süresi:
Risk gerçekleştiği takdirde etkisinin
kuruma ne kadar sürede
yansıyacağının değerlendirilmesidir.
Örneğin; doğal afet vb. durumlardaki
kayıplar kurumu hemen etkilerken,
personele yeterli eğitim desteğinin
sağlanmamasının performansa
olumsuz etkisi daha uzun sürede
ortaya çıkar.
Riskteki varlıklar:
Riske maruz varlıkların türüne ve
kurumun değerlerine, amaç ve
hedeflerine ulaşmasındaki önemine göre
riskin sonucu ve kurumun riski yönetmek
adına alacağı önlemler değişkenlik
gösterebilir.
Kontrol etkinliği:
Etkin kontroller riskin gerçekleşme olasılığını
azaltabilir, riskin gerçekleşmesi halinde
sonuçlarının kurumun tolere edebileceği
seviyelere indirgenmesini sağlayabilir.
Önceki risk deneyimi:
Önceki risk deneyimleri ile kazanılan tepki/aksiyon
tecrübeleri riskin sonucunu olumlu anlamda
etkileyebilir.
Tehdidin türü:
Tehdidin iç veya dış faktörlerden
kaynaklanması belirsizlik ve sonuç
düzeyini etkileyebilir. Kurum içi
unsurlardan kaynaklanan riskleri
yönetmek, gerçekleşme olasılığını ve
etkisini kontrol etmek görece daha
kolaydır.

23. Organizasyonlar;
geleceğin belirsizliklerini kendi çıkarları
doğrultusunda şekillendirebildikleri
ölçüde başarı elde edebilir.

24. Risk yoksa,
ödül de yok!

26. Risk pozitif ve negatif sonuçları
kapsar.
Riskin pozitif etkisi FIRSAT,
negatif etkisi TEHDİT olarak
değerlendirilir…

27.  Parasal kaynakların finansal yatırım araçlarında değerlendirilmesi: Daha
fazla maddi kazanç elde etmek,
 İki kurum/şirketin birleşmesi: Paydaşlara/müşterilere daha geniş bir
yelpazede hizmet sunarak verimliliği ve memnuniyeti artırmak,
 Kurum iş süreçlerinde bilgi sistemi kullanımını/otomasyonu
yaygınlaştırmak: İşleri daha az hata ile daha kısa zamanda sonuçlandırmak,
 Şirketin yeni bir ürün pazarına girmeye karar vermesi: Ciro ve/veya karda
artış.

28.  Parasal kaynakların finansal yatırım araçlarında değerlendirilmesi: Hisse
senedi fiyatlarındaki düşüş ile zarara uğramak,
 İki kurum/şirketin birleşmesi:Yeni organizasyonel yapıya ilişkin
belirsizlik veya memnuniyetsizlik nedeniyle personelin motivasyonunun
azalması,
 Kurum iş süreçlerinde bilgi sistemi kullanımını/otomasyonu
yaygınlaştırmak:Teknik sorunlar nedeniyle sistemsel sorunlar yaşanması,
iş/hizmet sürekliliğinin sağlanamaması,
 Şirketin yeni bir ürün pazarına girmeye karar vermesi: Pazarda
tutunamama, yatırımın getirisinin negatif olması

29. …fırsat ve tehdit olarak sizlerin örnekleri nelerdir ?

30. Kuruma uygun olarak riskleri belli kategorilere ayırmak riskin tespiti
ve analizini kolaylaştırır. Örneğin;
 Stratejik
 Operasyonel
 İtibar
 Finansal
 Yasal/Uygunluk
 Bilgi Sistemleri
 Sağlık ve güvenlik

32. Kurum yönetiminin, yönetim kurulunun ve diğer ilgili
tarafların risk yönetimini geliştirmek ve belirlenmiş hedef
ve amaçlara ulaşma olasılığını artırmak amacıyla aldığı
tedbirlerdir.
Yönetim, hedef ve amaçların gerçekleştirileceği
konusunda makul bir güvence sağlamak için yeterli
tedbirlerin alınmasını planlar, örgütler ve yönlendirir.
(Kaynak: Standartlar – Terimler Sözlüğü).

33. Kontrol Süreçleri: Risklerin risk yönetim süreciyle
belirlenmiş risk toleransları içinde kalmasını sağlamak
amacıyla tasarlanan ve bir kontrol çerçevesinin bir parçası
olan politika, prosedür ve faaliyetlerdir.
(Kaynak: Standartlar – Terimler Sözlüğü).

34. Organizasyonların yönetim kurulu, yöneticileri ve
çalışanları tarafından yönlendirilen, aşağıdaki hedeflerin
elde edilmesinde makul güvenceyi sağlamak için
tasarlanan bir süreçtir.
–Operasyonların etkinliğini ve verimliliğini artırmak
–Finansal raporlama sisteminin güvenilirliğini sağlamak
–Yasa ve düzenlemelere uygunluğu sağlamak

35. - İç kontrol bir süreçtir. İç kontrol, belirli bir amaca ulaşmak
için kullanılan bir araçtır; kendisi başlı başına bir amaç
değildir.
- İç kontrol insanlar
tarafından yürütülür ve
uygulanır. Sadece politika
elkitapları ve formlardan
ibaret değildir, daha da
önemlisi bir kurumun her
kademesindeki insan
varlıklarıdır.

36.  COSO
 COCO
 COBIT 5
 Basel II
 ITIL
 Cadbury
 ???
İç kontrol çerçevelerini, kurumlara iş süreçlerinin etkili ve güvenilir
bir şekilde yürütülmesi imkanı veren tasarımlardır.

38. COSO Kontrol Sınıfı COSO Kobi Kontrol Sınıfı
Kontrol Çevresi (2013 Öncesi) Kontrol Çevresi (2013 Sonrası) Kontrol Çevresi
1) Dürüstlük ve Etik Değerler 1) Dürüstlük ve etik değerlere bağlılığı gösterir 1) Bütünlük ve Ahlaki Değerler
2) Yetkinlik/Uzmanlık Taahhüdü 2) Gözetim / Yönetim sorumluluğunu uygular 2) Yönetim Kurulu
3) Yönetim Kurulu ve Denetim Komitesi 3) Yapı, yetki ve sorumluluk belirler 3) Yönetimin Felsefesi ve Çalışma Tarzı
4) Yönetim Felsefesi ve Çalışma Tarzı 4) Yetkinliğe bağlılığı gösteri 4) Kurumsal Yapı
5) Organizasyonel Yapı 5) Hesap verilebilirliği kuvvetlendirir 5) Finansal Raporlama Yetkinlikleri
6) Yetki ve Srml. Belirlenmesi ve Dağ. 6) Yetki ve Sorumluluk
7) İK. Politikaları ve Uygulamaları 7) İnsan Kaynakları
Risk Değerlendirmesi Risk Değerlendirmesi Risk Değerlendirmesi
8) Şirket Ana Hedefleri 6) Uygun hedefleri belirler 8) Finansal Raporlama Hedefleri
9) Süreç Bazında Hedefler 7) Riskleri tanımlar ve analiz eder 9) Finansal Raporlama Riskleri
10) Risk Belirlemek 8) Yolsuzluk riskini değerlendirir 10) Usulsüzlük Riski
11) Değişim Yönetimi 9) Önemli değişiklikleri belirler ve analiz eder
Kontrol Faaliyetleri Kontrol Faaliyetleri Kontrol Faaliyetleri
12) Politika ve Prosedürler 10) Kontrol faaliyetleri seçer ve geliştirir 11) Risk Değerlendirmesinde Bütünleşme
13) Yerinde Kontrol Faaliyetleri 11) Teknoloji üzerinde genel kontr. seçer ve geliştir 12) Kontrol Faaliyetlerinin Seçimi ve Gelişimi
12) Politika ve prosedürlere dayalı strateji yürütür 13) Politika ve Prosedürleri
14) Bilgi Teknolojisi
Bilgi ve İletişim Bilgi ve İletişim Bilgi ve Haberleşme
14) Bilginin Kalitesi 13) İlgili bilgiyi kullanır 15) Finansal Raporlama Bilgisi
15) İletişimin Etkinliği 14) Dahili olarak iletir 16) İç Kontrol Bilgisi
15) Harici olarak iletir 17) İç Haberleşme
18) Dış Haberleşme
İzleme Faaliyetleri İzleme Faaliyetleri İzleme Faaliyetleri
16) Sürekli İzleme 16) Sürekli ve/veya münferit değerl. yapar 19) Süregelen ve Ayrı Değerlendirmeler
17) Bağımsız Değerlendirmeler 17) Aykırılıkları değerlendirir ve bildirir 20) Kayıpları Raporlama
18) Kontrol ve İşleyiş Eksikliklerinin Rpr.

39. Önleyici : İstenmeyen olayların meydana gelmesini
önlemek.
Tespit edici : İstenmeyen olayları meydana geldikten
sonra tespit etmek ve düzeltmek.
Yönlendirici : İstenen olayların gerçekleşmesini teşvik
etmek.
Hafifletici : Bir beklenen kontrolün yokluğunu telafi
eden kontroller.
Telafi Edici : ?

40.  Sistemsel/Otomatik – Manuel Kontroller
 Yüksek seviye – Düşük seviye (Kurum seviyesi - İş süreçleri
seviyesi) Kontroller

41. Operasyonlar
• Standartlaşmış süreçler
yardımıyla operasyonların
etkinliğini ve verimliliğini
arttırır.
• Kontrol faaliyetleri
aracılığıyla varlıkların
korunmasını sağlar.
Finansal Raporlama
• Ticari kararlarda
kullanılan verinin
doğruluğunu arttırır.
• Yolsuzluğun
önlenmesine ve
tespitine yardımcı olur
ve denetim için kanıt
oluşturur.
Uygunluk
• Periyodik kontroller
sayesinde kanunlar ve
düzenlemelerle ilgili
uygunluğun
sağlanmasına yardımcı
olur

42. Kontrol Hedefi
Risk yönetmek amacı ile belirlenmiş yönetim hedefidir.
Kontrol Faaliyeti
Kontrol hedeflerinin karşılanmasını sağlamak amacıyla
düzenlenmiş politika, prosedürler ve iç kontrol faaliyetlerdir.
Kontrol faaliyetleri kurum süreç ve operasyonları ile iç içe
olmalıdır ve riskleri kabul edilebilir düzeylerde yönetmek için
kullanılmalıdır. Önleme, Tespit Etme ve Düzeltmeye
odaklanır.

43. Risk - Kontroller = Riske Açıklık
Hedeflerin
Anlaşılması
Risklerin
Anlaşılması
Risklerin
Yönetimi
Kabul Edilebilir
(Riske) Açıklık

44. • Bütçeleme, planlama ve izleme
• Görevlerin ayrılığı
• Politika ve prosedürler
• Personel eğitimi
• Yetki limitleri
• Mutabakatlar
• Sistem kontrolleri
Kontrol faaliyetleri neler olabilir?

45. Katı Kontroller:
 Formal, resmi
 Nesnel, objektif
 Sayısal olarak ölçülebilen
Örnekler;
 Politika ve Prosedürler
 OrganizasyonYapısı
 Bürokrasi
 Formal Süreçler
 Merkezi Karar Verme
mekanizması
Yumuşak kontroller:
 Resmi olmayan
 Öznel, subjektif
 Elle tutulamayan,
ölçülemeyen
Örnekler;
 Yetkinlik
 Güven
 Paylaşılan değerler
 Güçlü Liderlik
 Yüksek Beklentiler
 Açıklık
 Yüksek Etik Standartlar

46. İç kontrol bir kurumun başarısını garanti eder ve mali raporlama
sisteminin kesin güvenilirliğini ve yasa ve düzenlemelere
uygunluğu sağlar.
• Etkin bir iç kontrol sadece bir kurumun hedeflerine
ulaşmasına yardımcı olur.
• Zayıf bir yöneticiyi başarılı bir yöneticiye çeviremez.
• Bir iç kontrol sistemi, ne kadar iyi tasarlanmış ve çalışıyor olsa
da, sadece makul güvence sağlar.

47. Yanlış bilinenler ve gerçekler
İç kontrol, yönetimin yerini tutar.
•İş yönetim süreçlerinden planlama, yürütme ve izleme ile
entegre olan iç kontrol, yönetimin temsilcisi değil yönetim
tarafından kullanılan bir araçtır.
İç kontrol bir organizasyonun
hatalı karar vermesini, bir
veya birden fazla kişinin veya
yönetimin sistemin dışında
hareket etmesini engeller.
• Bu tip olayların oluşma
olasılığı tüm iç kontrol
sistemlerinin doğasında
olan kısıtlamalarla
alakalıdır.

48. Bazen kontroller fayda sağlamaz…
 Hedefler açık olarak tanımlanmamış olabilir
 Kontroller yanlış yorumlanabilir
 Kontrollerin işlerliğinde aksaklıklar olabilir
 Yönetim kontrolleri çiğneyebilir
 Hile olabilir
 Diğer sebepler

49. • Davranış kuralları
• İhbar mekanizması
• Hiyerarşik gözetim
• Denetim bulgularının düzeltilmesi /
iyileştirilmesi
• Uygunsuz davranışlardan caydırıcı
haklar sistemi
• Yönetimin mali raporlamadaki etkisi
• Kilit noktalardaki mali işler
personelinin yetkinlikleri
• Organizasyon yapısı
• Yetki matrisi
• Risk değerleme sistemi
• İlişkili şirketlerle ilgili işlemler
• Mali raporlama süreci
• Politika ve prosedürler
• İç denetim
• Değerlendirme
• İnsan Kaynakları
• Denetim veYönetim Komiteleri
Aşağıdaki kurum seviyesi kontrolleri
sınıflandırabilir misiniz ?

50. RiskYönetimi;
kurumun amaçlarını gerçekleştirmek
üzere makul bir güvence sağlamak
amacıyla potansiyel olay ve durumları
• belirleme,
• değerlendirme,
• yönetme ve
• kontrol etme sürecidir.
(IIA – Uluslararası İç Denetim Enstitüsü)
Risk yönetimi nedir?

51. Alınan kararların etkilerini belirleme,
önceliklendirme, azaltma ve ölçmeyi
mümkün kılarak organizasyonlarda
istikrar sağlayan bir mekanizmadır.
 Risklerin belirlenmesi,
 Risklerin değerlendirilmesi,
 Risklerin karşılanması,
 Risklerin ve risklerin yönetilmesine
yönelik kararların İzlenmesi
adımlarını içerir.
Risk yönetimi
Potansiyel risklerin sistematik olarak değerlendirilerek, olası
zararlarının etkisini azaltıcı yönde, verilere dayalı karar vermeyi
sağlayan yönetim sürecidir.
(İç Denetçilerin Çalışma Usul Ve Esasları HakkındaYönetmelik)

52.  AS/NZS 4360:2004 Risk Management Standard
 The NIST Risk Management Framework
 ISO 31000
 COSO’s Enterprise Risk Management
 The IIA’a GAIT for Business and IT Risk
 Risk IT Framework
 ???

53. COSO ERM KÜPÜ

56. (ISO 31000:2009 Risk Management – Principles and Guidelines)

58. “Kurumsal RiskYönetimi;
• kurumu etkileyebilecek potansiyel olayları tanımlamak,
• riskleri kurumun risk alma iştahına uygun olarak yönetmek,
• kurum hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence
sağlamak amacı ile oluşturulmuş;
- kurumun yönetim kurulu, üst yönetimi, ve diğer tüm çalışanları tarafından
etkilenen ve,
- stratejilerin belirlenmesinde kullanılan, ve kurumun tümünde
uygulanan sistematik bir süreçtir.”
KURUMSAL RİSK YÖNETİMİ NEDİR?

59. Kurumsal risk yönetimi;
İdareyi etkileyebilecek riskleri tanımlamak,
bunları idarenin kurumsal RİSK ALMA
PROFİLİNE uygun olarak yönetmek ve
idarenin hedeflerine ulaşması ile ilgili makul
düzeyde bir güvence sağlamak amacıyla
oluşturulan ve idarenin üst yönetimi ile tüm
diğer çalışanları tarafından stratejilerin
belirlenmesinde kullanılan ve tüm süreçlerde
yürütülen bir faaliyettir.

60. Bu iki tanım arasındaki fark nedir?

61. RiskYönetiminden...
• Risklerin bağımsız analizi
• Sistematik olmayan risk değerlendirme
süreçleri
• “Gelir”e odaklılık
• Risklerin ayrı ayrı takibi
• Stratejik ve operasyonel kararlarda göz
ardı edilen riskler
Kurumsal RiskYönetimine...
• Sistematik, sürekli, kurumsal yaklaşım
• Ortak risk tanımı
• Riske göre ayarlanmış getiri
• Riske dayalı performans yönetimi
• Risk portföyü yaklaşımı
• Risk yönetim maliyetinin optimizasyonu
• Stratejik ve operasyonel kararlar
Gerekli fakat düşük katma değerli
yaklaşım
Kurum değerinin korunması ve
geliştirilmesi

62. Kurumsal Risk Yönetiminin Farkı

63. KURUMSAL RİSK YÖNETİMİ NEDİR / NE DEĞİLDİR?
 Yönetim / Kontrol fonksiyonudur.
 İcranın bir parçasıdır.
 Stratejik karar almanın ilk adımıdır.
 Kültür değişimidir.
 Aynı zamanda bir fırsat yönetimidir.
Ancak,
 Sadece olumsuzlukları öne çıkaran
 Pratik olmayan öneriler geliştiren
 İmaj maksatlı yapılan
 Kendi başına problemleri
çözebilecek bir fonksiyon
DEĞİLDİR!!!

64. Paydaş değerlerinin korunması ve arttırılması için:
• Kurum hedeflerini etkileyebilecek belirsizliklerin ortaya
çıkarılması,
• En uygun aksiyonlar ile bu belirsizliklerin proaktif olarak
yönetilmesinin sağlanması,
• Alınan aksiyonların hissedarların/yönetimin risk alma iştahı
ile uyumunun gözetilmesi
olarak tanımlanmaktadır.

65. Doğru riskleri mi almaktayız?
• Risklerimizin farkında mıyız, öncelikli risklerimiz belirli mi?
• Aldığımız riskler stratejilerimiz ve hedeflerimiz ile ne kadar ilişkili?
• Bu riskler bizim için değer yaratıyor mu, rekabet gücümüzü arttırıyor
mu?
• İş yapmanın risk almak demek olduğunun farkında mıyız ve bu
riskleri almak bilinçli tercihimiz mi?

66. Doğru miktarda mı risk almaktayız?
• Getirilerimiz almakta olduğumuz risklerin boyutları ile orantılı mı?
• Risk almak, kurumsal kültürün bir parçası mı?
• Risk alma isteğimiz açık ve net olarak tanımlanmış mıdır?
• Almakta olduğumuz risklerin boyutu, risk alma isteğimiz ile uyumlu mu?
• Gerçek risk seviyemiz, risk alma isteğimize göre gerçekte nerede?

67. Riskleri yönetmek için doğru süreçlerimiz var mı?
• Risk yönetim süreçlerimiz, stratejik karar alma süreçleri ve mevcut
performans kriterlerimiz ile uyumlu mu?
• Risk yönetim süreçleri tüm şirket faaliyetlerine entegre ve koordineli
bir şekilde yürütülüyor mu?
• Ortak bir risk dili şirket içerisinde mevcut mu?
• Risk yönetimi maliyetlerimiz ve getirilerimiz birbirleri ile orantılı mı?

68. Common Risk Framework
Risk Sınıfları
Yönetişim
Strateji ve
Planlama
Operasyonlar
ve Altyapı Uyum Raporlam
a
Risk Süreci
Yönetim Kurulu
Üst Yönetim
İş Birimleri ve
Destek
Fonksiyonları
Risk Yönetişimi
Risk Altyapısı ve
Yönetimi
Risk
Sahipliği
Ortak Risk Altyapısı
İnsanlar Süreç Teknoloji
Gözetim
Yönetim
Tutumu
Risk zekasına sahip kurum
Risklerin
belirlemesi
Risklerin
değerlendiril-
mesi
Risklere
cevap verme
Kontrollerin
tasarlanması,
uygulanması
& test edilmesi
İzleme,
güvence &
eskalasyon

69. Risk zekasına sahip kurumdaki gruplar
Yönetim Kurulu
• Risk zekasına ilişkin kültürü teşvik etmek
• KRY programına ilişkin ana bileşenleri onaylamak
• Kurum risklerini üst yönetim ile tartışmak
• İç denetim ile bir araya gelmek
Teknoloji
•Risklerin
izlenmesi için
gerekli verileri
periyodik ve eş
zamanlı olarak
sağlamak
•İzlemeyi ve
raporlamayı daha
kolay hale
getirmek
•Risk
eskalasyonlarını
kolaylaştırmak
Üst Yönetim
•Risk iştahını
belirlemek
•Risklere ilişkin
bilgiyi zamanında
sağlamak
Kurumsal Risk Grubu
•Risk bilgilerini
bütünleştirmek
•Kurum risklerini
belirlemek ve
değerlendirmek
•Riskleri ve bu risklere
verilen cevaplara ilişkin
planları izlemek
İç Denetim
• KRY programının
etkinliğine ilişkin
olarak güvence
vermek
• Önemli riskler için
kontrolleri ve bu
risklere verilen
cevaplara ilişkin
planları
değerlendirmek
Risk Yönetimi
•Ortak bir risk
çerçevesi oluşturmak
•Risk çerçevesinin
uygulanması sırasında
yol gösterici olmak
•Teknolojik sistemleri
kurmak ve yönetmek
•Yol göstermek ve
eğitmek
İş Birimleri
• Akılcı riskler almak
• Riskleri belirlemek ve değerlendirmek
• Risklere cevap vermek
•Riskleri izlemek ve kurumsal risk grubuna
raporlamak
Destek Birimleri
•Kurumsal risk gruplarına ve iş birimlerine yol
göstermek ve destek sağlamak
Risk
altyapısı ve
yönetimi
Risk
yönetişimi
Risk
sahipliği

70. Kurumsal RiskYönetimi
(KRY) yaklaşımı COSO II
entegre çerçevesine
dayanmaktadır.
Belirle
Kurumsal
Risk
Yönetimi
İzle
Kurumsal
Sektörel
Bölgesel
Risk Kategorileri
KRYOrganizasyonu
KRY Süreçleri

71. Kurumsal risk yönetimi yaklaşımı
Raporla
Değerlendir
Belirle
İzle
Cevap Ver
Sürdürülebilirlik ve
Sürekli Gelişim
Kurumun amaçlarına ulaşmasına engel olacak stratejik,
operasyonel, finansal ve uyum riskleri belirlenir.
Potansiyel riskler olası etki ve gerçekleşme olasılığı göz önünde
bulundurularak değerlendirilir ve önceliklendirilir.
Kurumun risk iştahı tanımlanır ve belirlenen risk ve fırsatların
yönetilmesine yönelik uygun cevaplar oluşturulur.
Belirlenen riskler önemli değişikliklerin tespit edilmesi ve
zamanında uyarıların yapılması için düzenli olarak izlenir. Ayrıca
risklere verilen cevapların etkinliği de düzenli olarak izlenir.
Kurumsal RiskYönetimi süreci içinde düzenli iç ve dış raporlamalar
yapılır. Ayrıca kritik risklerin tespiti veya mevcut risklerdeki kritik
değişiklikler ilgili birimlere bildirilir.
Kurumsal RiskYönetimi sürecinin sürdürülebilirliği ile, kişilerin,
süreçlerin ve sistemlerin KRY amaçlarına ulaşmada entegre,
koordineli ve zamanında hareket etmesine yönelik güvence verir.Tüm
sürecin yeterliliği ve etkinliği düzenli olarak gözden geçirilmeli ve
iyileştirilmelidir.

72. Risklerin belirlenmesi ve değerlendirmesi farklı amaçlar için farklı gerçekleştirilir.
• Kurumsal RiskYönetimi
• Risk Bazlı Denetim Planı

73. • Risk envanteri
• Risk Kütüphanesi
• Checklist
• Benchmarking
• Beyin fırtınası
• Senaryon analizleri
• Geçmiş risk tecrübeleri
• İhbar analizi
• Konrtol öz değerldirme
• Zaafiyet değerlendirmeleri
• SWOT analizi
• PESTLE analizi
Risklerin belirlenmesinde kullanılabilecek araçlar

74. Riske Açıklık
Kalıntı Risk
YD
Y
Değerüzerindekirisketkisi
BrütRisk
Risk kabul edilebilir bir seviyede
Riskin yönetilmesi konusunda yeni bir
aksiyon alınmalı
Yeni tespit edilen bir risk
Risk yönetimi ile uygun aksiyon alınmakta
Gösterge
2. RİSK DEĞERLENDİRMESİ

75. 75
Denetim
Alanları
Bütçe
Büyüklüğü
İşlem Hacmi ve
Personel Sayısı
Faaliyetlerin
Karmaşıklığı
Yapısal İşlevsel ve
Teknik
Değişiklikler
RiskPuanı
Kriter
Puanı
Ağırlık Risk
Puanı
Kriter
Puanı
Ağırlık Risk
Puanı
Kriter
Puanı
Ağırlık Risk
Puanı
Kriter
Puanı
Ağırlık Risk
Puanı
A 5 0.40 2.00 4 0.30 1.20 5 0.15 0.75 2 0.15 0.30 4.25
B 4 0.40 1.60 5 0.30 1.50 4 0.15 0.60 3 0.15 0.45 4.15
C 4 0.40 1.60 3 0.30 0.90 3 0.15 0.45 2 0.15 0.30 3.25
D 3 0.40 1.20 4 0.30 1.20 4 0.15 0.45 1 0.15 0.15 3.00
E 2 0.40 0.80 1 0.30 0.30 2 0.15 0.30 5 0.15 0.75 2.15
F 2 0.40 0.80 2 0.30 0.60 3 0.15 0.45 1 0.15 0.15 2.00
G 3 0.40 1.20 2 0.30 0.60 2 0.15 0.30 4 0.15 0.60 2.70
H 1 0.40 0.40 3 0.30 0.90 1 0.15 0.15 2 0.15 0.30 1.75
İ 3 0.40 1.20 2 0.30 0.60 4 0.15 0.60 4 0.15 0.60 3.00
J 2 0.40 0.80 1 0.30 0.30 2 0.15 0.30 3 0.15 0.45 1.85
Risk Değerlendirme Kantitatif Yaklaşım

76. 76
Yüksek
Orta
Düşük
Olasılık
Yüksek
Orta
Düşük
Etki
Düşük Orta Yüksek
Risk Değerlendirme Kalitatif Yaklaşım

77. 1. Riskten kaçınılabilir.
İş süreçlerinin belirli risklerden kaçınacak şekilde yeniden
tasarlanması veya riske maruziyete neden olan faaliyetlerden
kaçınma
2. Risk üstlenilebilir.
Risk yönetim tarafından kabul edilebir, riske maruziyet düzeyini
azaltmaya yönelik aksiyon alınmaz. Riske ilişkin farkındalık ve
izleme gerektirir.
3. Risk kontrol edilebilir.
Riske maruziyet seviyesini ve /veya etkilerini asgari düzeye
indirecek şekilde kontrollerin geliştirilmesi (artık riski kabul etmeyi
de içerir)
4. Risk devredilebilir ya da paylaşılabilir.
Müşteriler, tedarikçiler veya üçünçü taraflarla (sigorta şirketleri gibi)
yapılacak sözleşmeler aracılığıyla riskin veya riske maruz kalmaya
neden olan faaliyetlerin bir kısmının devredilmesi, artık riskin
üstlenilmesi

78. Riske cevap verme kararı alındıktan sonra risklere ilişkin
aksiyon planları hazırlanmalıdır.
Aksiyon planlarında;
• Riskin tanımı,
• Alınacak aksiyon,
• Aksiyon görevinin kime atandığı,
• Aksiyon tamamlanma tarihi,
• Aksiyon statüsü gibi bilgiler yer almalıdır.

79.  ….hazırlanması sırasında bir arada çalışması
gereken birimler, yapılması gereken
yatırımlar gibi konular değerlendirilmelidir.
 ….işleyişi ilgili sorumlular tarafından
periyodik olarak takip edilerek aksiyonların
sonuçları değerlendirilmelidir.

81. • Risk değerlendirmesi sırasında; riske açıklık, mevcut kontrol faaliyetleri
göz önünde bulundurularak ölçülür.
• Risk değerlendirmesinden sonra; risklerin kurumun risk iştahına uygun
olarak kabul edilebilir sınırlara çekilebilmesi için kontrol faaliyetleri
belirlenir ve kontrol faaliyetlerinin tasarımı ve etkinliği periyodik olarak
izlenir.
Doğal risk
(Brüt Risk)
Kontroller Kalıntı Risk

82. KURUMSAL RİSK YÖNETİMİ YAKLAŞIMI
Raporla
Değerlendir
Belirle
İzle
Cevap Ver
Sürdürülebilirlik ve
Sürekli Gelişim
Kurumun amaçlarına ulaşmasına engel olacak stratejik,
operasyonel, finansal ve uyum riskleri belirlenir.
Potansiyel riskler olası etki ve gerçekleşme olasılığı göz önünde
bulundurularak değerlendirilir ve önceliklendirilir.
Kurumun risk iştahı tanımlanır ve belirlenen risk ve fırsatların
yönetilmesine yönelik uygun cevaplar oluşturulur.
Belirlenen riskler önemli değişikliklerin tespit edilmesi ve
zamanında uyarıların yapılması için düzenli olarak izlenir. Ayrıca
risklere verilen cevapların etkinliği de düzenli olarak izlenir.
Kurumsal RiskYönetimi süreci içinde düzenli iç ve dış raporlamalar
yapılır. Ayrıca kritik risklerin tespiti veya mevcut risklerdeki kritik
değişiklikler ilgili birimlere bildirilir.
Kurumsal RiskYönetimi sürecinin sürdürülebilirliği ile, kişilerin,
süreçlerin ve sistemlerin KRY amaçlarına ulaşmada entegre,
koordineli ve zamanında hareket etmesine yönelik güvence verir.Tüm
sürecin yeterliliği ve etkinliği düzenli olarak gözden geçirilmeli ve
iyileştirilmelidir.

83. • Trendleri izleme
• Riske maruziyetteki değişimler
• Anahtar risk göstergeleri (KRI)
• Anahtar performans göstergeleri (KPI)
• Aksiyon planlarını izleme
• Mevcut önlem ve kontrollere güvence verme

84. • Düzenli raporlama
• Risk kütüğü
• Talebe göre (ad hoc) raporlama
• Dış raporlama

85. • Güvence sağlayıcılar
• Dış
• İç
• Öz değerlendirme
• Geribildirim mekanizmaları
• Risk yönetimi alanındaki kurum kültürünü
destekleme

87.  Hatalı varsayımlar üzerinden çalışmak
 İhtiyatlı olmamak
 Hızın göz ardı edilmesi
 Kritik bağlantıların kurulamaması ve karmaşıklığın yönetilememesi
 Riskin gerçekleşme ihtimalinin değerlendirilememesi
 Doğrulanmamış kaynaklardan elde edilen verilere güvenmek
 Yetersiz güvenlik marjları belirlemek
 Sadece kısa döneme odaklanmak
 Doğru risklerden yeterli oranda yararlanmamak
 Kurumsal disiplinde eksiklik bulunması
Riskler yönetilirken yapılan temel hatalar

89. William Edwards Deming

91. Spükülatif risk
Yalın risk
Risk haritası
Sweet spot
Öncül/ sonuç göstergesi
KPI
KRI
 ?

94. İç kontrol bir
sistemdir ve kurumun
iş akışlarının içerisine
yerleştirilmelidir.
İç denetim bir fonksiyondur ve
kurumun iç kontrol sisteminin etkin
ve verimli çalıştığını belli aralıklarda
riskleri önceliklendirerek
gözlemler.

96. İç Denetimin Rolü Temel Kurumsal RiskYönetimi (ERM) Faaliyetleri
İç Denetim • Risk yönetimi sürecine güvence vermek (Kurum risk yönetimi
süreci)
• Risklerin doğru bir şekilde değerlendirildiğine dair güvence
vermek (Kurum risk değerlendirmesi süreci)
• Risk yönetimi raporlama faaliyetlerine güvence vermek
• Riskler karşısında alınan aksiyonları değerlendirmek (önemli
riskler bazında)
Tavsiye, danışmanlık • Kurumsal RiskYönetimi yaklaşımının oluşturulması
• Risklerin belirlenmesi ve değerlendirilmesi faaliyetlerinin
başlatılması, tasarlanması
• Kurumsal RiskYönetimi faaliyetlerinin koordinasyonu
• Risklere karşı alınabilecek aksiyonların değerlendirilmesi
İç Denetim Birimince
Yapılmaması
Gerekenler
• Risk iştahını belirlemek
• Risk yönetim süreçlerini empoze etmek
• Riskler karşısında alınacak aksiyonlara karar vermek
• Yönetim’in yerine aksiyonları uygulamaya almak

97. 1.Denetim Alanlarının Belirlenmesi
2.Risk Faktörlerinin ve Alt faktörlerin Belirlenmesi
3.Risk DeğerlemesiYapılması
Denetim Alanı Bazında DeğerlemeYapacak
Yöneticilerin Belirlenmesi
Toplantı Grupları ve Zamanlarının Belirlenmesi
Risk Değerlemesi Puantajının Yapılması
Puantaj Verilerinin İşlenmesi
4.Risk Önceliklerinin Belirlenmesi
5.İç Denetim Planının Oluşturulması
Taslak Planın Oluşturulması
Genel Müdür Tarafından Değerlendirilmesi
İç Denetim Planının Kesinleştirilmesi ve Onaylanması

98. “İç Denetim bir kurumun operasyonlarına değer
katmak ve onları geliştirmek üzere tasarlanmış,
bağımsız, tarafsız bir güvence ve danışmanlık
hizmetidir.”
“İç Denetim, risk yönetiminin etkinliğini,
kontrolü ve yönetim süreçlerini
değerlendirmek ve geliştirmek üzere
sistematik ve disiplinli bir yaklaşım
getirerek kurumun amaçlarına ulaşmasına
yardım eder.”

99. IIA Performans Standartları
2010 Planlama
• İç Denetim Yöneticisi, kurumun hedeflerine uygun olarak, iç denetim
faaliyetinin önceliklerini belirleyen risk esaslı planlar yapmak zorundadır.
– 2010.A1 İç denetim faaliyetinin görev planı, en az yılda bir kez yapılan bir risk
değerlendirmesine dayanmak zorundadır. Üst yönetim ve yönetim kurulu, bu
sürece dahil edilerek göz önüne alınmak zorundadır.
– 2010.C1 İç denetim yöneticisi, görevin risk yönetimini geliştirme, katma değer
yaratma ve faaliyetleri geliştirme potansiyelini değerlendirerek, öne sürülen
danışmanlık görevlerini kabul etmeyi düşünmelidir. Kabul edilen bu görevler,
plana dahil edilmek zorundadır.

100. İdarelerin faaliyet alanlarına ilişkin risk faktörlerinin tanımlanmasını,
risk seviyelerinin ölçülmesini, bu riskler için uygulanan kontrollerin
etkinlik ve yeterliliğinin değerlendirilmesini ve yüksek risk içeren
alanlara denetim önceliğinin verilmesini öngören bir denetim
yaklaşımıdır.
Risk esaslı denetimde amaç; denetim kaynaklarının etkin
kullanımının sağlanması ve riskli alanlara yoğunlaşarak yönetim,
kontrol ve risk yönetimi süreçlerinin etkinlik düzeylerinin
arttırılmasında yönetime yapılan katkının en üst seviyeye
çıkartılmasıdır.

103. KURUMU VE
SÜREÇLERİ
ANLAMA
Risk
değerlendirme
çalışmasının
planlanması
Kurumu ve iş
süreçlerinin
anlaşılması
RİSK MODELİ
GELİŞTİRME
Risk modelinin
geliştirilmesi
RİSKLERİ
ÖNCELİKLEN-
DİRME
Risklerin
önceliklendiril-
mesi
İÇ DENETİM
PLANINI
GELİŞTİRME
İç denetim
planının
geliştirilmesi
DENETİMİ VE
KAYNAKLARI
PLANLAMA
Risk
değerlendirmesi
sonuçlarının
paylaşılması
Denetim
tarihlerinin
belirlenmesi ve
kaynak planı

106. Dijital dünyada
risk kavramı başka
bir boyut
kazanmış
durumda.
Bilgi teknolojileri risklerinin
yönetilebilmesi, riskle
ilgili bakış açılarının
değiştirilmesi zorunlu.

107. BT'nin bir organizyon içerisinde
kullanımı,
mülkiyeti,
çalışması,
faaliyetlere katılımı,
etkisi ve
sistemlerle uyumlaştırılması ile ilişkili riskler BT
riskleri kapsamındadır.

108. IIA tarafından BT
denetimleri için
geliştirilmiş risk esaslı
GAIT metodolojisinde de
aynı noktaya
değinilmektedir; bilgi
teknoloji riskleri iş
hedeflerine etkileri
oranında,
değerlendirilip
çözümlenmelidir.

109. BT Risklerinin
Belirlenmesi
BT Risklerinin
Değerlen-
dirilmesi
Risklerin
Karşılanması
ve Azaltılması
Risk ve
Kontrollerin
İzlenmesi ve
Raporlama

110. Tehdit
Ajanları
Tehditler Zaafiyetler Risk
Varlıklar

111.  BT risk yönetim süreci kurum BT varlıkların tespiti ile başlar.
 Çalışanlar
 Teknoloji
 Veriler
 Fikri mülkiyetler; marka, telif hakları ve patentler gibi.

112. • Etkinin rakamsal, parasal değer
atanarak ortaya konulması
Kantitatif
yaklaşım
• Senaryolar aracılığıyla etki ve
olasılığın hesaplanması
Kalitatif
yaklaşım
• Kantitatif ve kalitatif yaklaşımla elde
edilen sonuçların birlikte kullanılması
Hibrid
yaklaşım

113. KANTİTATİF

114. Peki
Shadow IT
riskleri için
planınız
var mı?