ikon  

RİSK GÖSTERGELERİ

Operasyonel risk yönetimi çerçevesinde risk göstergesini “spesifik bir operasyonel riskin seviyesini işaret eden araç” olarak tanımlayabiliriz. Risk göstergesi çoğu zaman “anahtar risk göstergesi” olarak ifade edilir. Aslında, bir risk göstergesinin anahtar risk göstergesi olabilmesi için ya çok önemli bir riskin (anahtar risk)  göstergesi olarak kullanılması ve/veya çok sağlam, yanılmaz bir gösterge  olması gerekir. Ancak kavramın günlük kullanımında bu ayırıma çok dikkat edilmemekte, genellikle anahtar risk göstergesi kavramı tercih edilmektedir.   

 

Çok net çizgilerle bir ayırım yapılamayacak olmasına ragmen üç tip göstergeden bahsedebiliriz; risk göstergesi, performans göstergesi ve kontrol etkinlik göstergesi. Belirli bir risk türünde seviyeyi işaret eden göstergeye risk göstergesi, belirli bir kontrolün etkinliğini ifade eden göstergeye kontrol etkinlik göstergesi ve verimliliğe ilişkin göstergelere ise performans göstergeleri denilmektedir. Ancak bu üç göstergeyi kesin çizgilerle ayırmak zordur ve hatta işlemin hangi tarafında olduğunuza bağlı olarak bir göstergeyi farklı şekilde tanımlamak mümkündür. (Mesela takası  henüz gerçekleşmemiş bir deal, Hazine Bölümü için bir performans göstergesi olabilirken, Hazine Back Office için bir risk göstergesi olabilir.)

 

RİSK GÖSTERGELERİ NASIL BELİRLENMELİ
 

Hangi risk göstergelerinin toplanacağı, kaç tane olacağı her kurum özelinde cevaplanması gereken bir konudur. Az gösterge toplanması resmin tamamını göstermeyebileceği için yetersiz olabilir ancak aynı şekilde çok gösterge toplanması da kafa karıştırıcı olabileceği için doğru olmayabilir.  Kaç adet ve hangi göstergelerin toplanması gerektiği konusunda izleyen soruların yanıtları yönlendirici olabilecektir: (1) gözlemlenecek anahtar risklerin sayısı ve içerikleri, (2) gösterge için gerekli verinin mevcut olup olmadığı, (3) veri sağlamanın maliyeti, (4) göstergelerin kime/kimlere raporlanacağı.
 

İyi bir risk göstergesinin taşıması gereken özellikleri şöyle sıralayabiliriz:
 

  • Bağlantı; izlenen risk ile risk göstergesi arasında sıkı bir bağlantı olmalıdır.

  • Ölçülebilirlik: gösterge belli bir kesinlikle ölçülebilir ve tekrarlanabilir olmalıdır. Bu bizi göstergenin rakamsal olması gerekliliğine götürmektedir.

  • Göstergenin toplanması ve yorumlanması basit (kolay) olmalıdır.

  • Göstergeler denetlenebilir olmalıdır.

  • Karşılaştırılabilir göstergeler daha anlamlı olacaktır; trend analizleri, sektörel karşılaştırmalar vs.

 


Risk göstergeleri toplanması projesinin başlangıcında bir çok kurumun düştüğü bir hata, hemen sistemsel geliştirmeler yaparak göstergelerin toplanmasıdır. Ancak az sayıda göstergenin manuel olarak toplanması ile başlamak çoğu zaman daha doğrudur. Belirli bir zaman sonra sistemsel geliştirmeler yapılarak göstergelerin toplanması daha bilinçli tercihler yapılarak çalışılmasına dolayısıyla daha az işyükü çıkmasına yardımcı olmaktadır. Sistemsel geliştirme her halükarda parametrik bir yapı üzerine oluşturulmalıdır.
 

Risk göstergeleri için kullanılacak eşik değerlerin/limitlerin belirlenmesi, risk türleri için sınırların  belirlenmesini, bunun dışına çıkıldığında uyarı verilmesini ve gerekli aksiyon alma sürecini başlatması açısından önemlidir ve yapılması gerekir. Ancak yine burada da 6 ay – 1 yıl gibi bir süre sonra belirleme daha isabetli olacaktır.

 

RİSK GÖSTERGELERİNİN BELİRLENMESİ SÜRECİNİN YÖNETİLMESİ
 

Risk göstergelerinin belirlenmesi çalışmasının, “risk/kontrol değerlendirme süreci” içerinde yer alması en doğru uygulama gibi görünmektedir. Böyle bir çalışma, risk ile risk göstergeleri arasında doğrudan bağlantı kurulmasını sağlayacak ve denetlenebilir olacaktır. Ancak risk/kontrol değerlendirme süreci olmayan firmalar için süreç “uzman tecrübesiyle” yürütülebilir. Fakat burada da seçilen göstergelerin sayıca yeterliliğinin ve anlamlı bir bilgi sağlayıp sağlamadığının bağımsız bir tarafca değerlendirilmesi  doğru olacaktır.
 

Yeni gösterge eklenmesi, mevcut göstergenin değiştirilmesi, belirli bir göstergenin artık toplanmaması kararları detaylı bir şekilde dokümante edilmelidir (mevcut göstergeye kimlerin ihtiyacı var, yeni gösterge için gerekli veri nasıl toplanacak, kimlere raporlama yapılacak vs.)
 

Risk göstergeleri için kullanılacak eşik değerlerin/limitlerin değiştirilmesi de benzer bir şekilde dikkat edilmesi ve kurallarının önceden belirlenmesi gereken bir konudur.
 

Göstergenin ihtiyaç duyulacak alt kırılımları içermesi de önemlidir. Mesela müşteri şikayetlerinin bir gösterge olarak toplandığı durumlarda bu veri için bir sonraki aşamada hangi iş kolundan kaynaklandığı, hangi müşteri gruplarından geldiği, ne tür konulardan oluştuğu, ne kadar zamanda kapatıldığı vs gibi kırılımlar gerekli olabilecektir.  
 

Göstergelerin toplanma sıklığı ve raporlanma sıklığı birbirinden ayrı düşünülebilecek iki konudur ve çalışmanın başında karar verilmesi gereklidir. Yine bu aşamada göstergenin kaynağı ve kimin tarafından sağlanacağı da belirlenmelidir. Eşik değerlerin/limitlerin aşıldığı durumlarda ne tür bir aksiyon alınacağı ve kimin sorumluluğunda olduğu da yine bu aşamada netleştirilmesi gereken konular arasındadır.   
 

Genel beklenti olarak ifade edersek, risk göstergeleri konusundaki raporlamanın, “limitlere yaklaşmalar”, “bir göstergedeki artış trendleri”, “aşımlar” ve “alınan aksiyonları” içermesi gerekir. Yani raporda olağan akışların değil de gösterge niteliğindeki durumların yer alması gerekir. Bunların yanısıra “göstergeler, eşik değerler ve limitlerdeki değişiklikler” ve “değişiklik önerileri” de kurum tercihine göre raporda yer alabilir.   
 

The Institute of Operational Risk tarafından “ticari bankacılık” için yayımlanan risk göstergelerine örnek olması açısından aşağıda özetle yer verilmiştir.  
  

  • Yüksek riskli ülkelerde faaliyet gösteren şube, temsilcilik, iştiraklerin sayısı
  • Eksiklik olan (ve süresi içinde eksikliği tamamlanmayan) sözleşmelerin sayısı
  • Eski tarihli finansal tablolar üzerinden yapılan değerlendirme ile onaylanan kredi taleplerinde belirli bir süre geçmesine ragmen tamamlanamayan güncel finansal tabloların sayısı
  • Yıllık değerlendirme zamanı geçmiş ve hala değerlendirilmesi yapılmamış krediler sayısı
  • Belirli bir süreden daha uzun zamandır ziyaret edilmeyen müşteri sayısı
  • Taşınabilir mal rehni karşılığında verilen kredi sayısı
  • Kredili hesaplar üzerinde yapılan faiz iadeleri sayısı
  • Eksik talimatla yapılan (ve eksikliğin hala tamamlanamadığı) para transferleri sayısı
  • Ödeme sistemleri aracılığıyla değilde manuel olarak yapılan para transferlerinin sayısı (swift, eft sistemleri)
  • Yakın takipteki kredilerin sayısı (yasal takip değil)

 

Kaynak:

The Institute of Operational Risk, Operational Risk Sound Practice Guidance, Key Risk Indicators

 

SATIN ALMA SÜRECİ DOLANDIRICILIK RİSK GÖSTERGELERİ
 

Satın alma sürecinde ortaya çıkabilecek bazı olaylar süreçte dolandırıcılık olduğuna dair bir gösterge olarak değerlendirilip daha detaylı bir incelemeyi başlatmakta kullanılabilir.  Bu tür bazı örneklere aşağıda yer verilmiştir:
 

  • Belirli satıcıların tercih edilmesi, bunların değişmemesi,

  • Tek bir satıcının sürekli olarak kullanımı,

 


İzleyen durumlar risk göstergesi olarak düzenli bir şekilde toplanıp değerlendirmeye açık olmamakla birlikte, satın alma sürecinin sağlıklı bir şekilde işlemesi açısından dikkat edilmesi ve önlenmesi gerekli hususları içermektedir.
 

  • Sözleşmede ancak sınırlı sayıda/tek satıcı tarafından karşılanabilecek spesifik özelliklerin  olması,

  • Çalışan(lar)la satıcı arasında özel ilişkiler olması,

  • Değerlendirme kriterlerinin muğlak ve açık olması,

  • Değerlendirme sürecinin dokümante edilmemiş olması,

  • Sözleşmenin hacminin satıcıya uygun olmaması,

  • Sözleşmenin daha önce başarısız olmuş satıcılarla yapılması,

  • Limit dahilinde kalmayı sağlamak için sözleşme konusunun (ikiye) bölünmesi,

  • İş/iş aşaması tamamlanmadan ödeme yapılmak istenmesi/yapılması,

  • İşin en düşük teklifi verene verilmemesi,

  • Satın almanın (ihalenin) çok kısa bir sürede yapılmaya çalışılması.

Kaynak:

Fraud Risk Management_ A guide to good practise_ CIMA Chartered Institute of Management Accountants

 

DOLANDIRICILIK OLAYLARI RİSK GÖSTERGELERİ
 

Türk Ceza Kanunu’nda yer alan şekliyle dolandırıcılık suçu hileli davranışlarla bir kimseyi

aldatıp, onun veya başkasının zararına olarak, kendisine veya başkasına bir yarar sağlamak olarak tanımlanmıştır.  
 

Bu dokümanda yer verilen “dolandırıcılık” ifadesi ise (fraud kapsamında kullanılarak) bundan daha geniş bir içerikle ele alınmış ve “sahtecilik, zimmet, taklitcilik, hırsızlık, rüşvet, kara para aklanması, şantaj” gibi suç niteliğindeki eylemler için genel kavram olarak kullanılmıştır.
 

İzleyen ilk bölümde dolandırıcılık olayları için kullanılabilecek risk göstergelerine yer verilmiştir. Bu liste dünyada yaşanan dolandırıcılık olaylarından yola çıkılarak derlenmiş “genel göstergeleri” içermektedir.   
 

İkinci bölümde ise, bir kurumda dolandırıcılık riskini azaltacak düzenlemeler ve uygulamalara yer verilmiştir.


 

  1. Dolandırıcılık olayları risk göstergeleri

  • İsimsiz ihbar mektupları, e-postalar, telefon aramaları,

  • Olmaması gereken EK’leri içeren veya iş tanımına uygun olmayan yerlere/ülkelere gönderilen e-postalar,

  • Eksik imzayla yapılmak istenen/yapılan işlemler,

  • Onaysız olarak yapılmak istenen/yapılan işlemler,

  • İhtiyaç fazlası demirbaş, tüketim malzemesi alımları,

  • Normal çalışma saatleri ve yeri dışında sistem girişleri,

  • İşlem loglarının izlenememesi,

  • Yanıt alınamayan müşteri teyit yazıları,

  • Adresde bulunmama sebebiyle iade olan hesap özetleri,

  • Kompleks ve/veya sıradışı muhasebe kayıtları,

  • Stok düzeltme kayıtları,

  • Geçici hesapların aşırı kullanımı,

  • Kompleks türev ürünler kullanılması,

  • Karlılıkdaki ani artışlar/düşüşler,

  • Kurumun, iştiraklerinin kompleks ortaklık yapıları,

  • Zorunlu izne çıkılmaması,

 


Aşağıda yer verilen olaylar çalışanın davranış şekillerine yönelik olup risk göstergesi olarak nitelenemezler. Ancak gerçekleşen dolandırıcılık eylemleri sonrasında yapılan araştırmalar, failin iş arkadaşlarının daha önce bu tür gözlemleri olduğunu, ancak bunları dolandırıcılık belirtisi olarak yorumlamadıklarını (yorumlasalar dahi dile getirmekten çekindiklerini) ortaya koymuştur. İzleyen hususlar özelikle yöneticilerce olmak üzere tüm çalışanlarca dikkat edilmelerinde fayda görülen genel belirtiler olarak değerlendirilerek dokümana ilave edilmişlerdir.  
 

  • Diğer çalışanlarla veya müşterilerle olağandışı yakın ilişkiler kurulması,

  • Düşük ücret seviyesi,

  • Ücret seviyesi ile uyumsuz yaşam şekli,

  • Finansal güçlük yaşanması, çok borçlu olunması,

  • Mutsuz ve menuniyetsiz çalışanlar,

  • İş paylaşımı yapılmak istenmemesi,

  • Garip davranış şekilleri, (mantıksız, tutarsız, olağandışı gibi…)

  • Fısıltı gazetesi ile gelen haberler (whistle blowing),

 


  1. Dolandırıcılık riskini azaltacak uygulamalar

Yapılan araştırmalar dolandırıcılık olaylarında 3 genel özellik tespit etmiştir:

  • Güdü (motivasyon)

  • Fırsat

  • Rasyonalizasyon (bir mantık kurarak içselleştirme)

 “Güdü” genellikle ihtiyaç ya da açgözlülük olarak karşımıza çıkar. 2007 yılında yapılan bir araştırmada (FraudTrack Survey) aç gözlülük sebebiyle yapılan dolandırıcılık olaylarının tüm olaylar içindeki payı %63 olarak bulunmuştur. Diğer sebepler arasında aşırı borçlu olma ve kumar alışkanlığı yer almaktadır.


 

Dolandırıcılık olaylarının ortaya çıkma ihtimalinin düşük olduğu, iç kontrol sistemlerinin zayıf olduğu kurumlar çalışana “fırsat” vermektedir.
 

Dolandırıcılık yapanların bunu bir şekilde “içselleştirdikleri”, akla yakın hale getirdikleri görülmektedir. Kurum adına yapılan işlemlerde eylem “gerekli” görülmekte, karşı taraf çok zengin olduğu için “zararsız” görülmekte ya da haksızlığa uğradım “hak ettiler” diye düşünülmektedir.
 

Bir kurumda dolandırıcılık riskini sıfırlamak mümkün görünmemektedir. Ancak yukarıda bahsedilen 3 genel faktörü yöneterek minimize etmek olasıdır. Aşağıda bu faktörlerin yönetiminde kullanılabilecek  düzenlemeler ve uygulamalara yer verilmiştir.
 

  • Etkin bir iç kontrol sistemi kurmak ve bunu kararlı bir şekilde uygulamak,

  • Dolandırıcılık riski yönetimi politikası oluşturmak ve dolandırıcılık riski değerlendirmesini iş süreçlerinin oluşturulması ve rutin değerlendirilmesinin bir parçası haline getirmek,

  • Dolandırıcılık farkındalık eğitimlerini eğitim sürecinin bir parçası haline getirmek,

  • Etik İlkeler Yönetmeliği oluşturmak ve çalışanların bunu öğrenmesi ve benimsemesini sağlamak,

  • İşe alım ön incelemesi yapmak ve belirli dönemlerde bunu yenilemek (mezun olunan okullardan (üniversiteden) alınan teyit, daha önce çalıştığı yerlerden alınan teyit, kredi kayıt bürosu incelemesi, sabıka kaydı vs),

  • Zorunlu izin politikası uygulamak,

  • Özellikle belirli pozisyonlar için rotasyon politikası uygulamak,

  • Nakit işlemlerden mümkün olduğunca kaçınmak,

  • Yasal düzenlemelere uyumsuzluk veritabanını oluşturmak ve izlemek,

  • Prim ödemelerini aşırı iddialı performans sonuçlarına bağlamamak, ulaşılabilir ve anlamlı hedefler belirlemek,

  • Görevler ayrılığı ilkesinin uygulanması (segregation of duties),

  • Özellikle kritik işlemler için multi kontrol sistemi kurmak (four eyes),

  • Demirbaş takibi yapmak,

  • Kurum faaliyetlerine uygun bilgi sistemleri yapısı oluşturmak,

  • Etkin bir raporlama sistemi kurmak, gereken konular için bağımsız raporlama fonksiyonu oluşturmak (Özel raporlama hattı oluşturmak).

  • Kurum varlıklarının emniyetli bir şekilde saklanmasını sağlamak,

  • Kurumsal öğrenme süreci tesis etmek.

Kaynak:

Fraud Risk Management_ A guide to good practise_ CIMA Chartered Institute of Management Accountants
 

  • 1
  • 2
  • 3
  • 4
  • 5
Giriş
Giriş Yap
Yeni şifre gönder