Bankalarda ‘Risk Yönetimi Organizasyonu’nun değişmesi gerekiyor, ama nasıl?
Malum, Türkiye’de bankaların bünyelerinde özel risk yönetim organizasyonu oluşturmaları kendiliğinden değil, Bankacılık Düzenleme ve Denetleme Kurumu’nca yapılan düzenlemelerle olmuştur. Bankaların risk yönetim sistemlerine ilişkin uymaları gereken esaslar ilk defa 8 Şubat 2001 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren mülga Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelikle (İDRYS Yönetmeliği) belirlenmiştir. Mülga Yönetmelikte bankaların ‘risk yönetim sistemi’ diğer iç sistemlerle (iç kontrol sistemi ve teftiş sistemi) birlikte üç saç ayağından birisi olarak hem diğer icracı birimlerden hem de iç kontrol ve teftiş sistemlerinden bağımsızlığı öngören bir tarzda tasarlanmıştır.
İDRSY Yönetmeliğinden yaklaşık beş sene sonra 1 Kasım 2005 tarihinde yürürlüğe giren 5411 sayılı Bankacılık Kanunu’nun 29-32’nci maddeleri tamamıyla ‘iç sistemlere’ ayrılmış ve daha önce İDRSY Yönetmeliği ile düzenlenen temel fonksiyonlar yeni Kanunda ayrı ayrı tanımlanmış ve en önemlisi de fonksiyonların Yönetim Kurulu’na bağlı olarak çalışacak personel/birimler marifetiyle icra edileceği hüküm altına alınmıştır.
İç sistemler ile ilgili en üst düzeyde görevli ve sorumlu organ Yönetim Kurulu’dur. Ancak Yönetim Kurulu iç sistemler kapsamındaki görev ve sorumluluklarını kısmen veya tamamen iç sistemler sorumlusuna veya görev ve sorumluluklar ayrıştırılmak kaydıyla iç sistemler sorumlularına devredebilir. İç sistemler sorumluluğu görevi ancak icrai görevi bulunmayan yönetim kurulu üyelerinden birine veya bu nitelikteki yönetim kurulu üyelerinden oluşan komitelere ya da yine ilgili yönetim kurulu üyelerinden oluşacak denetim komitesine verilebilir. İcrai görev ile kastedilen, doğrudan gelir getirici faaliyetlerde bulunan birimlerin sorumluluğunun üstlenilmesidir.
Esasen Kanun’un 24’üncü maddesi ile banka yönetim kurulları içinde, yönetim kurulunun denetim ve gözetim faaliyetlerinin yerine getirilmesine yardımcı olmak üzere icrai görevi bulunmayan en az iki yönetim kurulu üyesinden oluşan bir ‘denetim komitesi’ oluşturulması zorunlu tutulmuş, denetim komitesine iç sistemlerin denetim ve gözetimi ile ilgili önemli görev ve sorumluluk yüklenmiştir.
Kanunda, iç sistem birimlerinin (iç kontrol, risk yönetimi ve iç denetim sistemleri) yönetim kuruluna bağlı olarak faaliyet göstermeleri yanı sıra, iç denetim birimi tarafından düzenlenecek iç denetim raporlarının ‘denetim komitesi’ aracılığıyla yönetim kuruluna raporlanması da öngörülmüştür. İç denetim birimince düzenlenen raporların öncelikle denetim komitesine sunulması mecburiyeti, pratikte iç denetim birimlerinin denetim komitesine bağlı olarak çalışmaları sonucunu doğurmuştur. Ancak denetim komitelerinin iç sistemlerle ilgili sorumluluğu iç denetim fonksiyonu ile sınırlı kalmamış, Kanun’da yönetim kuruluna bağlı olarak çalışması öngörülen (denetim komitesine bağlanma mecburiyetleri bulunmayan) iç kontrol ve risk yönetimi birimleri de denetim komitelerine bağlanmış, sektör genelinde denetim komiteleri, yönetim kurullarının iç sistemlere ilişkin görev ve sorumluluklarını devrettikleri yegane organ haline dönüşmüştür.
Kuşkusuz bankalarda iç denetim fonksiyonundan beklenen öncelikli asli fayda, bankadaki iç kontrol ve risk yönetimi fonksiyonlarının yeterliliği ve sağlığı ile ilgili yönetim kuruluna makul bir güvence sağlamaktır. Türkiye’de iç kontrol ve risk yönetimi fonksiyonu ile icra arasındaki organik bağ Kanunla kesildiğinden, denetim komitesi (ve hatta yönetim kurulu) ister istemez ‘risk yönetimi’ ve ‘iç kontrol’ fonksiyonlarının asli sorumlusu haline gelmiş, denetim komitelerine bağlı iç denetim birimleri yine denetim komitelerinin asli sorumluluğundaki iç kontrol ve risk yönetimi fonksiyonlarını denetler hale dönüşmüştür. Bu yapının ‘çıkar çatışması’na yol açmayacağını ve sağlıklı olduğunu ileri sürmek, karşı tarafı da buna ikna etmek hayli zordur. Eğer ülkemizdeki yapılanmada risk yönetimi fonksiyonunun aslında risk kontrolü ve raporlamasından ibaret bir denetim ve gözetim fonksiyonu olduğu, dolayısıyla denetim komitelerine bağlı fonksiyonlar arasında çıkar çatışması olamayacağı iddia ediliyorsa o zaman bankalarda yönetim fonksiyonu içinde risk yönetimi ile uğraşacak ayrı merkezi birimlerin oluşturulmasına imkan tanımak ve tartışmayı başka bir boyuta taşımak gerekir.
Esasen bankacılıkta risk yönetimi fonksiyonunun, icradan (risk alan-kar üreten birim ve fonksiyonlardan) bağımsız bir şekilde yönetim kuruluna raporlama yapabilme kabiliyetini haiz olması, ayrıca risk yönetimi fonksiyonuna verilen görevlerin, risk alan fonksiyonlara verilen görevlerden ayrıştırılması, olası çıkar çatışmasını önlemeye yönelik, Basel Komitesi düzenlemelerinde de yer alan uluslararası bir standarttır.
Basel Bankacılık Denetim Komitesi’nin en son Eylül 2012’de güncellediği ‘Etkin Bankacılık Denetimine İlişkin Temel Prensipler’den 15’incisi ‘Risk Yönetim Süreci’ne ilişkindir. Prensip yönetim kurulu ve üst yönetimin etkin bir şekilde gözetimi altında olması gereken risk yönetim sürecinin amacını, ‘tüm önemli risklerin tanımlanması, ölçülmesi, değerlendirilmesi, izlenmesi, raporlanması, kontrolü veya azaltılması, ayrıca banka sermayesi ve likiditesinin bankanın risk profili, piyasa ve makroekonomik koşullar nazara alındığında yeterli olup olmadığının ortaya konulması’ şeklinde ifade etmektedir. Prensip bankalardaki risk yönetim fonksiyonunun görevini etkin bir şekilde yerine getirmesini teminen, önemli tüm riskleri kavrayacak yeterli kaynağa, bağımsızlığa, yetkiye ve yönetim kuruluna erişme imkanına sahip olmasını öngörmektedir. Risk yönetim fonksiyonuna yüklenen görevlerin bankadaki risk alma fonksiyonlarından açıkça ayrıştırılmış olması, risk yönetim fonksiyonunun riskleri doğrudan yönetim kuruluna ve üst yönetime raporlaması, risk yönetim fonksiyonunun iç denetim fonksiyonu tarafından düzenli bir şekilde gözden geçirilmesi, büyük veya kompleks bankaların CRO (Chief Risk Officer/ Tepe Risk Yöneticisi) veya dengi bir pozisyona bağlı olarak çalışacak özel bir risk yönetimi birimi kurmaları beklenmektedir.
Bu standart çoğu batı ülkesinde risk yönetimi fonksiyonunun CRO kanalıyla hem yönetim kuruluna hem de icranın başı konumundaki CEO’ya raporlama yapmasını sağlayan yapılanmalarla sağlanmaktadır. Örneğin Avrupa Birliği’nde bankaların risk yönetimi organizasyonlarında uyacakları genel esaslar, kredi kuruluşlarının faaliyetleri ve denetimi hakkında EU No:36/2013 sayılı Direktifin 76’ncı maddesinde düzenlenmiştir. Direktif üye devletlerin gerekirse risk yönetimi fonksiyonunun üst yönetimden bağımsız olarak doğrudan yönetim kuruluna (yönetim kurulunun denetim ve gözetim fonksiyonu çerçevesinde), raporlama yapma mecburiyeti getirebileceklerini belirtmekte, ancak bunu olmazsa olmaz bir koşul olarak ileri sürmemektedir. Yönetim kuruluna doğrudan raporlamanın yönetim kurulunun hangi fonksiyonu çerçevesinde yapılabileceğinin özellikle belirtilmesi de önemlidir. Direktife göre büyük bankalarda icrai görevi olmayan yönetim kurulu üyelerinin katılımıyla ayrı bir ‘risk komitesi’ kurulması mecburidir. Ancak üye devletlere, küçük bankalarda risk komitesi ve denetim komitesi görevleri için tek bir komite kurulması hususunda yetki tanınmaktadır.
Esasen ülkemizde de 6102 sayılı yeni Türk Ticaret Kanunu’nun ‘riskin erken saptanması ve yönetimi’ başlıklı 378’nci maddesi uyarınca pay senetleri borsada işlem gören şirketlerde, yönetim kurulu, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi, bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacıyla, uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür. Madde gerekçesinde risk komitesinin denetim komitesinden farkı, denetim komitesinin ‘yönetimi gözetim altında tutmasına’ karşılık bu komitenin sadece risklere odaklanacak olması, ayrıca denetimin geçmişe yönelik bir inceleme olduğu halde, risk teşhisinin gelecek ve geleceğin yorumuyla ilgili olduğu, denetimin yönetilmesi söz konusu olmadığı halde, riskin yönetilebilir olduğu şeklinde açıklanmış, amacın yönetimi, yönetim kurulunu ve genel kurulu devamlı uyanıklık (teyakkuz) altında tutmak, gereğinde organlarca derhal etkili önlemlerin alınmasını sağlamak olduğu belirtilmiştir. Komitede yönetim kurulu üyelerinin görev alma mecburiyeti de yoktur. Sermaye Piyasası Kurulu’nun kurumsal yönetime ilişkin düzenlemeleri çerçevesinde ülkemizdeki bankalar bu komiteyi kurmak zorunda değildir. Avrupa Birliği’nde ise yukarıda belirttiğimiz üzere büyük bankalarda icracı olmayan yönetim kurulu üyelerinin katılımı ile, ‘denetim komitesi haricinde, ayrıca bir risk komitesi kurulması mecburidir.
Avrupa Birliği düzenlemeleri ve 6102 sayılı Türk Ticaret Kanunu hükümleri birlikte değerlendirildiğinde, Avrupa Birliği’nde olduğu gibi risk yönetimi fonksiyonunun hem icraya hem de yönetim kuruluna raporlama yaptığı bir yapıda, risk komitesi kurulmayıp, hem risk komitesi hem de denetim komitesi yerine tek bir komite kurulması nispeten anlaşılabilecek bir husus olmakla birlikte, ülkemizdeki gibi risk yönetimi ile icra arasındaki organik bağın koparıldığı, asli sorumluluğun denetim komitesinde olduğu bir yapıda öncelikle yönetim kurulu bünyesinde ayrı bir risk komitesi kurulması dışında fazlaca bir seçeneğin bulunmadığı anlaşılmaktadır.
Ülkemiz bankalarının risk yönetimi organizasyonundaki mevcut yapılanma, yabancı uzmanların da dikkatinden kaçmamış, IMF ve Dünya Bankası’nın FSAP gözden geçirmesi çerçevesinde Türkiye’nin ‘Etkin Bankacılık Denetimine İlişkin Temel Prensipler’e uyumunun değerlendirildiği 8 Şubat 2017 tarihli Raporda risk yönetimi organizasyonlarının bankalarda ‘risk komitesi’ yerine ‘denetim komitelerine’ bağlanmasına yönelik yerleşik uygulama eleştirilmiştir. Ancak telaşa mahal yoktur (!). Sayın uzmanların eleştirisi ‘olası çıkar çatışması’ndan değil denetim komitelerinin ‘iş yoğunluğu’ndan kaynaklanmıştır.
Basel Standartlarının ‘büyük bankalarda’ ‘CRO’ istihdamını öngörmesi, Türkiye’de ise buna yönelik zorlayıcı bir düzenleme olmaması başka bir uyumsuzluk veya eleştiri kaynağıdır. Yukarıda söz ettiğimiz FSAP raporunda bu hususa da dikkat çekilmektedir. ‘CRO’ pozisyonu statü olarak CFO’ya eş değer doğrudan CEO’ya ve Yönetim Kurulu’na (veya Yönetim Kurulu bünyesindeki bir komiteye) erişim yetkisi olan, üst düzey risk yöneticisi pozisyonudur. CRO’nun asgari Genel Müdür Yardımcısı düzeyinde bir statüye sahip olması, kendisini risk alma işiyle uğraşan grupların başındaki yöneticilerle eşdeğer kılma, asgari aynı düzeyde söz hakkına sahip kılma çabasının bir sonucudur. Kuşkusuz CRO’nun, bu statüyü sahip olacağı diğer niteliklerle de hak etmesi, desteklemesi beklenmektedir (CRO’dan beklentiler ayrı bir yazıya konu olacak kadar önemli ve kapsamlıdır).
Ancak istenildiği takdirde, Yönetim Kurulları bünyesinde ‘risk komitesi’nin kurulmasını zorunlu tutmak, halihazırda ‘risk kontrol ve raporlaması ile uğraşan’ birimleri de bu komite ile ilişkilendirmek, büyük bankalarda CRO istihdamını zorunlu tutmak, CRO pozisyonunun statüsünü belirlemek, ikincil mevzuatla halledilebilecek konular olarak durmaktadır.
Bununla birlikte risk yönetimi ve iç kontrol fonksiyonları ile icra/yönetim arasındaki kanuni bağlantısızlık probleminin çözümü o kadar kolay gözükmemekte, ancak bu konunun da bir şekilde ele alınması gerekmektedir. Türk Ticaret Kanunu gerekçesinde veciz bir şekilde ifade edildiği üzere, denetim komitelerinin ‘yönetimi gözetim altında tutacak’ bir konuma getirilmesi/yükseltilmesi için her şeyden önce yönetimin temel fonksiyonlarının yönetime iade ve emanet edilmesinde bu da olmazsa yönetimin bu fonksiyonlara ortak edilmesinde yarar vardır.
Bağımsız risk kontrol ve raporlamasından ibaret, icra ile bağlantısı kesilmiş bir fonksiyonun günümüzde bankalardaki merkezi bir risk yönetimi fonksiyonundan beklenebilecek tüm işlevleri layıkıyla yerine getirebilmesi zaten fazlaca olası değildir. Nitekim Basel Bankacılık Denetim Komitesi’nce Basel 2’nin ICAAP (İSEDES) bileşeni ve banka genelindeki risk yönetimi faaliyetlerinde yapılması gerekli görülen iyileştirmelerin açıklandığı Temmuz 2009 tarihli ‘Enhancements to Basel II framework” başlıklı dokümanda “A bank’s risk function and its chief risk officer (CRO) or equivalent position should be independent of the individual business lines and report directly to the chief executive officer (CEO) and the institution’s board of directors…” denilmek suretiyle bir taraftan risk yönetimi fonksiyonunun risk alma işiyle uğraşan iş birimlerinden bağımsızlığına dikkat çekilirken diğer taraftan risk fonksiyonu ve CRO’nun hem icranın başı durumundaki CEO’ya hem de yönetim kuruluna doğrudan raporlama yapması gerekliliğinin ifade edilmesi bu gerçekten kaynaklanıyor olsa gerekir. CEO başta olmak üzere icranın/yönetimin İSEDES’in asli sorumluluğunu üstlenmemesi düşünülemeyeceğinden, risk yönetimi fonksiyonu ve yönetim kurulu arasında kurulması istenen direkt bağlantı, risk yönetimi fonksiyonu ile icra arasındaki direkt bağlantıyı ikame edebilecek bir alternatif olarak görül(e)memektedir.
Ülkemizde ise 5411 sayılı Bankacılık Kanunu’nun 31’nci Maddesinde değişiklik yapılmadan yukarıdaki türden bir düzenlemeyi hayata geçirmek güç gözükmektedir.
Yasal Uyarı: Bloğumuzda yayınladığımız yazıların öncelikli amacı, ‘Bankacılıkta Risk ve Sermaye Yönetimi’ isimli kitabımızın okuyucularına kitapta irdelenen konularla ilgili daha kapsamlı ve gerektiğinde daha güncel bilgi sunmaktır. Yazılarımızda yeralan tespit ve değerlendirmeler şahsımız dışında hiçbir kişi veya kurumu bağlamaz. Yatırımcılar, yazılarımızda yeralan bilgi, tespit ve değerlendirmelerden hareket ederek para veya sermaye piyasalarında pozisyon aldıklarını iddia edemezler. Yatırım danışmanlığı ile iştigal edenler, yatırımcıları yönlendirici mahiyette tavsiyelerde bulunanlar, yazılarımızdan, kaynak göstermek suretiyle dahi alıntı yapamazlar.