Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurulunun (SEDDK) Sigortacılık ve Özel Emeklilik Şirketlerinin İç Sistemlerine Dair Yönetmeliği (Yönetmelik) 25 Kasım 2021 tarihli Resmi Gazete’de yayımlandı. Yürütülen tartışmalardan, Yönetmeliğin SEDDK’nın da üyesi olduğu Basel’de yerleşik IAIS’in (International Association of Insurance Supervisors) Sigortacılık Temel Prensiplerine (Insurance Core Principles-ICP) uyum amacı güttüğünü biliyoruz.

IAIS ve Sigortacılık Temel Prensiplerini,   Basel Bankacılık Denetim Komitesi (BCBS) ve Bankacılığın Etkin Denetimi İçin Temel Prensiplerin sigortacılık sektöründeki izdüşümleri olarak  görmek mümkün, kopyası olarak görmek ise hata olur. Hatta  belirtelim,  meslektaşlarımız, IAIS’ın özellikle kurumsal yönetişim, risk yönetimi ve  iç kontrole ilişkin ICP 7, ICP 8 ve ICP 16 no.lu temel prensiplerini, BCBS’nin aynı konulardaki prensip ve düzenlemelerinden çok daha tatminkar  da bulabilirler. Keza  ülkemizde neredeyse 20 yıl önce bankaların iç sistemleri ile ilgili ilk düzenlemeleri yapan BDDK’nın yorum ve yaklaşımlarıyla yoğrulmuş  iç sistemler çalışanları için SEDDK’nın Yönetmeliğine de gözatmak, konuya farklı bir pencereden bakmak çok yararlı olabilir diye düşünmekteyiz.

SEDDK Yönetmeliğinin şahsen ilgimizi çeken bölümlerine gözattığımızda ‘önemli’ veya ‘ilginç’ bulduğumuz hususları aşağıda paylaşıyoruz. Çok aşina olduğumuz bir sektör olmadığından, çıkarım ve yorumlarımızda hata da bulunabilir, affola.

• Öncelikle bir hatırlatma. 25 Kasım 2021 tarihli Yönetmelik Sigortacılık sektöründeki ilk iç sistemler düzenlemesi değil. İlk düzenleme Hazine Müsteşarlığı’nca çıkarılan 21 Haziran 2008 tarihli ‘Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik’. BDDK düzenlemelerinden 5-6 yıl sonra çıkarılan bu Yönetmelikte de sigorta şirketlerinin iç denetim, iç kontrol ve risk yönetim sistemlerine sahip olması zorunlu tutulmakta ancak bu sistemlerden son ikisinin icraya (Genel Müdür’e) bağlı faaliyet göstermesi öngörülmekte idi (şirketler dünyasında iç kontrol ve risk yönetiminin aslında yönetimin (karar organının değil) bir fonksiyonu olduğunu, yönetim kurulunun ise gözetim sorumluluğu bulunduğunu unutmayalım). Risk yönetimi ve iç kontrol faaliyetlerine ilişkin Genel Müdürlükçe hazırlanan dahili yönetmeliklerin uygulanabilmesi için İç Sistemler Sorumlusu olarak görev yapan Yönetim Kurulu Üyesinin uygun görüşü şart koşulmuştu. Genel Müdür’e bağlı faaliyet gösterenler de dahil iç sistemler kapsamındaki faaliyetlerin yürütülmesinden sorumluların seçimine karar vermek, bunların görev, yetki ve sorumluluklarını belirlemek konu ile ilgili personelin çalışma usul ve esaslarını onaylamak, gerekli kaynakların tahsisini sağlamak yönetim kurulunun sorumluluğu idi. İç kontrol ve risk yönetim birimlerinin, genel müdür yanında, iç sistemler sorumlusu ve yönetim kuruluna raporlama sorumlulukları da bulunmakta idi.  İç kontrol ve risk yönetimi birimlerinin uygulamaları ile yeterlilik ve etkinlikleri değerlendirmekle görevli iç denetim biriminin de doğrudan yönetim kuruluna bağlı olarak faaliyet göstermesi öngörülmüştü.

• Yeni Yönetmelikte iç sistemler kapsamında dört birim veya fonksiyon bulunuyor. İç denetim, iç kontrol, risk yönetimi ve aktüerya. Sigortacılık sektörününün olmazsa olmazı aktüerya fonksiyonu da  iç sistemler kapsamına alınmış.

• Dört fonksiyon için de Yönetim Kurulu’na  bağlı birim oluşturulması zorunluğu getirilmiş, ancak neden böyle bir yola gidildiğini iyi anlamak gerekiyor. Sigortacılık Temel Prensipleri, Yönetim Kurulu’nun risk yönetimi, iç kontrol ve aktüerya (ve hatta iç denetim) fonksiyonları üzerindeki gözetim görevini yerine getirmesini sağlayacak kontrol fonksiyonları (dikkat edelim yönetim değil) oluştur(ul)masını zorunlu kılıyor (ICP 8.3).

• Yönetmelikte iç denetim haricindeki birim ve fonksiyonlarla ilgili Yönetim Kurulu bünyesinde oluşturulacak kontrol fonksiyonları/birimleri ile icra tarafından yürütülmesi zorunlu iç kontrol, risk yönetimi ve aktüerya fonksiyonlarını/faaliyetlerini bağdaştırmak için elden gelen gayret gösterilmiş. Örneğin Yönetim Kurulu’na bağlı aktüerya birimi yanında İcraya bağlı bir aktüerya birimi daha kurulmasına izin verilip, aktüeryal faaliyetlerden hangilerinin ne tarafta olabileceği Yönetmelikle belirlenmiş. İç kontrol ve risk yönetimi için icra bünyesinde ayrı birimler kurulmasına izin verilmemiş (hatta bu isimlerle icra tarafında birim kurulması yasaklanmış !), ancak foksiyonların icra ve yönetim kurulu ayaklarının görev, sorumluluk ve yetkileri olabildiğince ayrıştırılıp netleştirilmeye çalışılmış (Faaliyetlerin icrasını gerçekleştiren birimlerin iç kontrol ve risk yönetimi ile ilgili politikaları oluşturmak ve uygulamaktan birinci derecede sorumlu oldukları belirtilmiş).

• Yönetim Kurulu kontrol birimlerinin denetim komitesine bağlı çalışması zorunlu kılınmış, denetim komitesi üyelerinin her bir fonksiyona ilişkin görevleri ayrı ayrı belirlenmiş. Örneğin yönetim kurulu bünyesinde bir risk komitesi kuralım, aktüerya ve risk yönetimi birimleri de buraya bağlı olsun diyemiyorsunuz!

•  Yönetim Kuruluna bağlı iç sistem birimlerinin yöneticileri, statü ve yetki açısından asgari  genel müdür yardımcısı ve dengi bir pozisyonda bulunmaları kaydıyla Denetim Komitesi’nde  yönetim kurulu üyeleri ile birlikte, harici üye olarak görev yapabileceklerdir.  Denetim komitesinde görevlendirilen harici üyeler,  yönetim kurulu üyesi olma hariç denetim komitesi üyelerinde aranan diğer nitelikleri taşımalıdır. İç kontrol, risk yönetimi veya aktüerya birimlerinin kendisine bağlı olması halinde yönetim kurulu üyesi olmayan denetim komitesi üyeleri, kendilerine bağlı birimler hakkında iç denetim sisteminin çıktılarına ilişkin kararlara iştirak edemez.

Yönetmeliğin sektöre hayırlı olmasını temenni ediyoruz.

The post Sigortacılık ve Özel Emeklilik İç Sistemler Yönetmeliği appeared first on Dr. M. Ayhan ALTINTAŞ.

Kısa bir bilgilendirme ile başlayalım. COSO (The Committee of Sponsoring Organizations of the Treadway fraudulent Commission) 1985 yılında ABD’de finansal raporlama sahtekarlıklarını incelemek için oluşturulan Treadway Komisyonunu destekleyen muhasebe, iç denetim ve finans sektörü profesyonellerine ait enstitü ve birliklerden (IMA, AAA, AICPA, IIA ve FEI)  oluşan gönüllü bir özel sektör girişimi. Komite, kurumsal yönetişim, risk yönetimi, iç kontrol,  iş etiği ve finansal raporlama gibi kritik konularda çalışmalar yapıyor. Komite’nin özellikle iç kontrol ve kurumsal risk yönetimi ile ilgili yayınladığı çerçeveler zaman içinde konuyla ilgili temel referans kaynağı haline dönüşmüş durumda. Komite iç kontrol ve kurumsal risk yönetimi ile ilgili çalışmalarında PwC-Pricewaterhouse Coopers ’dan (Price Waterhouse ile birleşme öncesinde Coopers &Lybrand)   destek alıyor (veya PwC’yi tercih ediyor). Bu sebeple ortaya çıkan metinlerin aslında geri planda çalışan firmaya ait olduğu, sözkonusu firmanın görüşlerini yansıttığı türünden eleştirilere rastlamak mümkün.

COSO, Eylül 2004’de yayınlanan ‘Kurumsal Risk Yönetimi- Entegre Çerçeve’nin [Enterprise Risk Management (ERM) – Integrated Framework] revizyonu için 2014 yılında yine PwC ile birlikte çalışmaya başlamış, taslak çalışma Türkçe’ye  ‘Kurumsal Risk Yönetimi- Riskin Strateji ve Performansla Uyumlaştırılması’ şeklinde tercüme edebileceğimiz bir başlıkla  [Enterprise Risk Management—Aligning Risk with Strategy and Performance] 14 Haziran 2016’da genel görüşe açılmıştı.  COSO,  üzerinde mutabakat sağlanan nihai metnin [satışa] hazır olduğunu, içerik hakkında hayli kapsamlı bir yönetici özeti ve sunumla birlikte 6 Eylül 2017’de duyurdu. Nihai metni henüz inceleme şansımız olmamakla birlikte, 14 Haziran 2016 ve 6 Eylül 2017’de yayınlanan dokümanları birlikte değerlendirdiğimizde aşağıdaki tespitleri yapmamız mümkün:

1) COSO ERM’deki en önemli değişiklik aslında yapılan isim değişikliği ile kendini belli ediliyor. Riskin strateji ve performanstan bağımsız olarak yönetilemeyeceği artık temel kabul haline gelmiş bulunuyor. Kurumsal risk yönetiminin işletmeye artı değer katan bir faaliyet olması hedefleniyor. Yeni çerçevenin  ‘risk profili’, ‘risk iştahı’ ve ‘risk kapasitesi’ni  ‘performans’  ile ilişkilendirirken kullandığı görselleri (grafikleri), bundan sonra risk yönetimi ile ilgili sunumlarda muhtemelen çok sık göreceğiz.

Örneğin sunum için seçilen yukarıdaki grafikte, olması gerektiği gibi,  işletmenin performansı  arttıkça, maruz kalınacak riskin de artacağı bir hal betimleniyor. Turkuaz dolgunun kavisli üst sınırını risk eğrisi  olarak nitelemek mümkün. İşletmenin teorik olarak yüklenebileceği maksimum risk seviyesi yeşil çizgi ile belirlenmiş.  Biraz risk alıp, yukarıdaki COSO-ERM grafiğini bir banka için yorumlamaya/uyarlamaya çalışalım:  Yeşil çizgi (risk kapasitesi) ile turkuaz rengin (risk profilinin/eğrisinin)  kesiştiği yer bir banka için sermaye yeterliliği oranının minimum %8’e ineceği yer olabilir. Ancak banka sermaye yeterliliği oranının %12’nin altına inmesini tehlikeli buluyor ve risk iştahını kırmızı çizgi ile risk kapasitesinin altında sınırlamış durumda. Bu koşullarda bankanın ulaşabileceği maksimum performans noktası A olmalı. Bu noktada varsayalım banka %20 özkaynak getirisi (ROE) elde edebilecek. Banka  %15-%20 aralığındaki ROE’yi  ve bu aralığın temsil ettiği risk profilini  kabul edilebilir buluyor. Performans (ROE) için hedef (mor çizgi) %17.5 olarak belirlenmiş olsun.  Bu çizgideki risk profilinde sermaye yeterliliği oranı %15,  soldaki kesikli çizgide % 17, sağdaki kesikli çizgide %12.5 olsun.  Dolayısıyla %17’nin üzerindeki sermaye yeterliliği ile %15’in altında kalınacak ROE veya %12.5’un altındaki sermaye yeterliliği ile %20’nin üzerinde tesis edilecek ROE’nin banka için sorunlu olacağını söylemek  mümkün.

2) Yönetici özetinde COSO, işletme yöneticilerini risk yönetiminin, işletmedeki herhangi bir departmanın veya fonksiyonun ismi veya işletmenin maruz kaldığı veya kalacağı riskleri sıralama (tanımlama) faaliyeti olmadığı hususlarında uyarma ihtiyacı hissetmiş.

3) Yeni kurumsal risk yönetimi çerçevesi beş temel bileşen altında gruplanan 20 temel prensipten oluşuyor.

4) Kurumsal risk yönetimi, bir organizasyonun değer yaratma, değeri koruma ve değeri realize etmede karşılaşacağı riskleri yönetmede güvenebileceği, strateji belirleme ve tatbikine entegre edilmiş kültür, imkan ve pratikler şeklinde tanımlanmış. İşletme içinde kurumsal risk yönetiminin asli ve baş sorumlusu doğal olarak, hedef ve stratejilerin baş sorumlusu ile aynı. Yani CEO.

5) Haziran 2016 tarihinde görüşe açılan taslaktan COSO-ERM’nin riskin tanımlanmasında ISO 31000 Risk Yönetimi Standardı’na hayli yaklaştığı sonucu çıkıyordu. Zira 2004 tarihli COSO-ERM Çerçevesinde belirsizlikten doğabilecek olumsuzluklar ‘risk’ olumlu hususlar ise ‘fırsat’ olarak tanımlanmakta iken yeni Çerçeve taslağında risk, ortaya çıkabilecek olayların strateji ve iş hedeflerine ulaşılmasını etkileme olasılığı olarak tanımlanmış,  riskin etki veya sonucunun ‘negatif’ veya ‘pozitif’ olabileceği de kabul edilmişti. Nihai metinde tüm dokümanın yeniden dizaynını gerektirecek esaslı bir değişiklik yapılabileceğini düşünmüyoruz. Ancak yeni Çerçevenin yayınlanmasını takip eden son bir-kaç günde futbol kulübü taraftarlığı düzeyine indiğini düşündüğümüz ISO 31000 ve  COSO-ERM karşılaştırma veya tartışmalarında (Avrupa ve Amerika’daki tartışmalardan söz ediyoruz) COSO-ERM’nin riski ‘negatif etki’ olarak alan eski yaklaşımının ISO 31000’e karşı bir üstünlük olarak takdim edilmeye devam edildiğini görüyoruz. Bu yeni dokümanın hiç okunmamasından veya zayıf bir olasılık da olsa nihai metinde eskiye dönüş yapılmasından kaynaklanıyor olabilir. Nihayet özellikle ISO 31000 Risk Yönetimi Standardı ile ilgili risk yöneticilerine eğitim/sertifika vermek için ortaya çıkan bazı özel yapılanmaların (ki ISO 31000’in kendisinin sertifikasyon amaçlı bir standart olmadığını örneğin hiçbir işletmenin ISO31000’e uygunluk belgesi alamayacağını hatırlatalım)  COSO-ERM’ye yaklaşım ve eleştirilerinin de pek sağlıklı gözükmediğini, ISO 31000’deki revizyon çalışmalarının ise devam ettiğini belirtelim.

Yasal Uyarı: Bloğumuzda yayınladığımız yazıların öncelikli amacı,  ‘Bankacılıkta Risk ve Sermaye Yönetimi’ isimli  kitabımızın okuyucularına kitapta irdelenen konularla ilgili  daha kapsamlı ve gerektiğinde daha güncel bilgi sunmaktır. Yazılarımızda   yeralan tespit ve değerlendirmeler şahsımız dışında  hiçbir kişi veya kurumu bağlamaz. Yatırımcılar, yazılarımızda yeralan bilgi, tespit ve değerlendirmelerden hareket ederek para veya sermaye piyasalarında pozisyon aldıklarını iddia edemezler. Yatırım danışmanlığı ile iştigal edenler, yatırımcıları yönlendirici mahiyette tavsiyelerde bulunanlar, yazılarımızdan, kaynak göstermek suretiyle dahi alıntı yapamazlar.  

The post COSO/ERM-Kurumsal Risk Yönetimi Çerçevesi değişti! Peki en önemli değişiklik ne? appeared first on Dr. M. Ayhan ALTINTAŞ.

Bir önceki blog yazımızda CRO pozisyonundan beklentilerin ayrı bir yazı konusu olabilecek kadar önemli ve kapsamlı olduğunu belirtmiştik. Ağustos sıcağında fazla da ciddiye kaçmayan bir yazı ile ne demek istediğimizi biraz açalım.

Hatırlatmaya gerek olduğunu sanmıyoruz ama ‘giriş’ mahiyetinde yine de yazalım. ‘Chief Risk Officer’ (tepe/üst düzey risk yöneticisi)  unvanı batıda ‘C-level’ (argoda ‘C-suite’)  olarak tabir edilen ‘unvanının başında ‘şef’ ibaresi olan şirket üst düzey yöneticileri grubuna [chief executive officer (CEO), chief financial officer (CFO), chief operating officer (COO) & chief information officer (CIO) ] dahil üst düzey risk yöneticilerinin kartvizitlerinde görülen saygın bir profesyonel yönetici unvanı.

Okuduğumuz kaynaklar,  ‘CRO’ unvanını kartvizitine ilk yazdıranın Ağustos 1993’de GE Capital’de kredi, piyasa ve likidite risklerinin yönetimi ile görevlendirilen ‘James Lam’ olduğunu belirtiyor.

Basel Bankacılık Denetim Komitesi , bankaların risk yönetimi için ‘C- düzeyinde’ bir yönetici istihdam etmelerini ancak küresel krizden sonra, Eylül 2012 tarihli ‘Etkin Bankacılık Denetimine İlişkin 15 No. lu Temel Prensip ile zorunlu tutuyor. Temel Prensiplerin 2006 yılındaki, yani küresel krizden önceki, revizyonunda ‘CRO’nun ne isminden ne de işlevinden bahsedilmiyor. 2012 yılında getirilen risk yönetimi fonksiyonunun ‘CRO’ veya eşdeğer bir pozisyona bağlı olarak yapılandırılması zorunluluğu ise sadece büyük bankalar için.

Basel Standartları uyarınca CRO’nun (ve CRO altında yapılandırılmış risk yönetimi fonksiyonunun) icranın başı durumundaki ‘CEO’ ya ilaveten yönetim kuruluna veya yönetim kurulu bünyesindeki risk ve/veya denetim komitelerine de doğrudan erişim ve raporlama yetkisine sahip olması gerekmektedir. Hatta Avrupa Birliği’nde CRO’nun hem CEO’ya hem de Yönetim Kuruluna (veya Yönetim Kurulu bünyesindeki komitelere) raporlama yaptığı bazı finansal kuruluşlarda  ‘CRO’ ile ‘CEO’ arasındaki uyuşmazlıklarda konunun mutlaka ‘yönetim kurulu’na aktarılmasını öngören içsel düzenlemelerin yapıldığına da şahit olunmaktadır.

Bir önceki yazımızda ele aldığımız üzere, ülkemizde  risk yönetimi fonksiyonu ile icra arasında yönetsel bağ kurulması Kanun maddesi ile yasaklandığından,  bankalar CRO istihdam etseler de, CRO ile icra arasında formal bir ilişki kurulması mümkün olamamaktadır. Hatta geçmiş dönemde pozisyonun sahip olması gereken statüden hareketle  ‘Genel Müdür Yardımcısı-GMY’  unvanı ile CRO istihdam etmek isteyen büyük bir bankamız,  kanunen Genel Müdür’e bağlanamayan bir pozisyona ‘GMY’ unvanı verilemeyeceği gerekçesiyle eleştiriye uğramış, ancak daha sonra BDDK, İç Sistemler Yönetmeliği’nde yaptığı bir değişiklikle iç sistem birimlerinden sorumlu olacak ‘GMY’ unvanlı yönetici istihdamını mümkün kılmıştır.  Bununla birlikte BDDK’nın bankalarda CRO istihdamını zorunlu kılan, CRO’nun statüsünü belirleyen bir düzenlemesi henüz yoktur.  Esasen Basel Komitesinin ‘CRO’ istihdam zorunluluğunun sadece büyük bankaları kapsadığını tekrar hatırlatalım.  Üstelik Komitenin ‘büyük banka’ nitelemesinin ne kadar somut olduğunu bu tanımlamanın küresel mi yoksa yerel ölçekte mi yapıldığını da bilemiyoruz. Ancak bankalar isterlerse, yönetim kuruluna bağlı faaliyet gösteren iç sistem fonksiyonlarından sorumlu olacak CRO veya benzeri ‘C-level’ yönetici atamalarının önünde hiçbir engel yok.

Fırmal olarak icra ile bağı kanunla kesilmiş bir CRO’dan beklenen işlevler ile hem CEO’ya hem de Yönetim Kurulu’na bağlı bir CRO’dan beklenen işlevler arasında ister istemez bazı farklılıkların oluşması kaçınılmazdır. Örneğin birinci tip ‘CRO’ya daha ziyade ‘kontrolör CRO’, ikincisine ise ‘yönetici CRO’ yakıştırması yapılması bu farklılıklardan kaynaklanıyor olsa gerekir. Ancak herşeye rağmen,  herhangi bir organizasyonda ‘CRO’ unvanını almış bir kişiden olan beklentilerin, ister birinci tip isterse ikinci tip bir yapılanmada faaliyet gösterilsin, fazlaca farklılaşmasını olası görmediğimizi belirtelim. Keza bankada geçerli kurumsal kültüre ve yapılanmalara bağlı olarak, örneğin icra ile formal bir bağı olmayan, buna rağmen alınan kararları imzalayamasa da APKO ve İcra Komitesi’nin doğal üyesi olan bir ‘CRO’nun icra üzerindeki etkisi, hem CEO’ya hem de yönetim kuruluna bağlı olarak faaliyet gösteren bir CRO’nun icra üzerindeki etkisinden çok daha fazla olabilir.  Ancak bunun gerçekleşmesi büyük ölçüde CRO’nun ‘statüsü’ne ve  yetkisizken de etkili olabilmesini sağlayacak yetkinliklere  bağlı olacaktır.

Statünün önemini bir kez daha ve yalın olarak ifade edelim: Risk silolarının başındaki ‘C-level’ yöneticilerin karşısına statü olarak kendi düzeylerinde görmedikleri birisini ‘CRO’ unvanı ile oturtmak fazlaca anlamlı olmayabilir. Kuşkusuz bu söylediğimiz, bankanın günlük yönetimine şekil veren hayati platformlar için geçerli.  Yoksa sadece yönetim kuruluna bağımsız raporlama işlevi için  ‘CRO’ istihdam etmek hiç de gerekli olmayabilir.

Uygun statü ile CRO unvanı verilen kişinin, organizasyonun kendisinden olan beklentileri karşılayabilmesi, verilen unvanın hakkını verebilmesi kuşkusuz önemli. Yoksa CRO istihdamı, yasal bazı gereklilikleri karşılamanın ve organizasyonu ‘dolu’ göstermenin ötesinde fayda sağlamayabilir. Peki herhangi bir organizasyonda CRO’dan olan temel beklentiler neler? Örneğin, formal olarak icranın dışında konumlandırılmış bir CRO yetkisizken nasıl etkili olabilir?

Yukarıda sonuçlarını verdiğimiz Nisan 2005 tarihli araştırma aradığımız cevapları büyük ölçüde veriyor. Aradan geçen sürenin beklentilerde çok büyük bir değişime yol açtığını düşünmüyoruz. Araştırma herhangi bir organizasyonda herhangi bir seviye veya statüde risk yöneticisi olarak görev yapanlar için yol gösterici mahiyette. Ancak biz özellikle ‘CRO’ özelinde, yukarıdaki araştırmaya katılanlara sunulan seçeneklerde biraz örtük kalmış olabilecek;

• ‘CRO’nun şirket bünyesinde risk kültürünün geliştirilmesinde bir öncü ve baş eğitimci olması,
• ‘CRO’nun stratejik ve taktik düşünme kabiliyetini haiz etkin bir danışman olması,
• Risk silolarının başındaki yöneticilerce görülmesi kolay olmayan riskler arası etkileşimleri ve şirket düzeyindeki etkileri görüp analiz edebilme kabiliyeti,
• Farklı kaynaklarda mevcut olabilecek çok sayıda veriyi analiz-özümseme ve şirket üzerinde etkili olabilecek trend ve oluşumları ortaya koyabilme yeteneği,
• Alınacak aksiyonların risk düzeyi ve getiriye olacak etkilerini herkesin anlayabileceği bir dille, karşılaştırmalı ve somut bir şekilde ortaya koyabilme yeteneği,
• Başta sahip olduğu stratejik ve taktik düşünme yeteneği ve etkin bir danışman sıfatıyla yönetim kurulu üyelerinin, CEO ve diğer C- düzey yöneticilerin saygısını kazanıp gerektiğinde onları ikna edebilecek iletişim yeteneklerine sahip olma,
• Ve nihayet söylenmesi gerekenleri, zamanında söyleyebilecek cesaret ve özgüvene sahip olma,

türünden bazı nitelik ve kabiliyetlerin özellikle önemli olduğunu belirtebiliriz.

Örneğin her şey normal giderken susan bir ‘CRO’nun, işler karıştığında ‘aman dikkat’ demesinden daha ‘tuhaf’ kaçacak bir şey olamaz diye düşünüyoruz. İşler karıştığında risk silolarının başındaki yöneticiler zaten keskin birer risk yöneticisine dönüşürler, hariçten birisinin nasihatine fazlaca ihtiyaçları yoktur. Belki de karışık dönemlerde CRO’ya düşen görev,  silo yöneticilerini güvenli ve doğru fiyatlarla risk alma hususunda bilgilendirip,  yol göstermek hatta cesaretlendirmek olabilir.

Benzer şekilde CRO’nun herkesten beklenecek genel geçer tespit ve tekliflerde bulunmasının  konumunu zayıflatacak bir husus olduğunu rahatlıkla söyleyebiliriz. Örneğin CRO’nun herhangi bir ürün için ‘faiz/fiyat yükseltelim’ türünden genel geçer bir teklifte bulunma yerine, faiz/fiyat artırımının neden gerekli olduğunu, artırmamanın riskle bağlantılı sonuçlarını ortaya koyup ilaveten kendi önerdiği faiz/fiyat seviyesini virgülden sonraki iki hanesine kadar telaffuz edebilmesi ve örneğin önerdiği faiz/fiyat seviyelerinin işletmeyi hangi koşullarda hangi risklere karşı ve hangi güven düzeyinde koruyabileceğini ortaya koyması çok daha uygun olur.

Nihayet CRO’nun  sahip olduğu teknik bilgiyi ve risk yönetimi jargonunu kendisine saklayıp, diğer yöneticilerle anlaşılabilir bir lisanla iletişim kurması da fevkalade önemlidir. CRO’nun bir matematik dâhisi olmasının kuşkusuz bir sakıncası yoktur. Hatta analitik bilgi ve yetenek CRO pozisyonu için olmazsa olmaz bir koşuldur. Ancak CRO’nun bu özelliği organizasyon içinde, somut, anlaşılabilir faydaya dönüştüğü müddetçe takdir edilecektir. Eğer bildiklerini, önerilerini, risk yönetimi modellerinden üretilen sonuçları karşının anlayacağı dille anlatamıyorsa, sorun karşıda değil muhtemelen ‘CRO’da olacak, nihayetinde kimse karşıya CRO’nun dilinden anlayacak birilerini oturtalım demeyecektir. Üstelik yeri geldiğinde, örneğin,  insan kaynakları/ destek hizmetleri veya hukuk-mevzuat gibi alanlarda kazanılmış bilgi ve tecrübenin de,  CRO için teknik matematik/finans bilgisi kadar kıymetli olabileceği unutulmamalıdır.

Yasal Uyarı: Bloğumuzda yayınladığımız yazıların öncelikli amacı,  ‘Bankacılıkta Risk ve Sermaye Yönetimi’ isimli  kitabımızın okuyucularına kitapta irdelenen konularla ilgili  daha kapsamlı ve gerektiğinde daha güncel bilgi sunmaktır. Yazılarımızda   yeralan tespit ve değerlendirmeler şahsımız dışında  hiçbir kişi veya kurumu bağlamaz. Yatırımcılar, yazılarımızda yeralan bilgi, tespit ve değerlendirmelerden hareket ederek para veya sermaye piyasalarında pozisyon aldıklarını iddia edemezler. Yatırım danışmanlığı ile iştigal edenler, yatırımcıları yönlendirici mahiyette tavsiyelerde bulunanlar, yazılarımızdan, kaynak göstermek suretiyle dahi alıntı yapamazlar.  

The post CRO – Chief Risk Officer appeared first on Dr. M. Ayhan ALTINTAŞ.

Malum, Türkiye’de bankaların bünyelerinde özel risk yönetim organizasyonu oluşturmaları kendiliğinden değil, Bankacılık Düzenleme ve Denetleme Kurumu’nca yapılan düzenlemelerle olmuştur. Bankaların risk yönetim sistemlerine ilişkin uymaları gereken esaslar ilk defa 8 Şubat 2001 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren mülga Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelikle (İDRYS Yönetmeliği) belirlenmiştir. Mülga Yönetmelikte bankaların ‘risk yönetim sistemi’ diğer iç sistemlerle (iç kontrol sistemi ve teftiş sistemi) birlikte üç saç ayağından birisi olarak hem diğer icracı birimlerden hem de iç kontrol ve teftiş sistemlerinden bağımsızlığı öngören bir tarzda tasarlanmıştır.

İDRSY Yönetmeliğinden yaklaşık beş sene sonra 1 Kasım 2005 tarihinde yürürlüğe giren 5411 sayılı Bankacılık Kanunu’nun 29-32’nci maddeleri tamamıyla ‘iç sistemlere’ ayrılmış ve daha önce İDRSY Yönetmeliği ile düzenlenen temel fonksiyonlar yeni Kanunda ayrı ayrı tanımlanmış ve en önemlisi de fonksiyonların Yönetim Kurulu’na bağlı olarak çalışacak personel/birimler marifetiyle icra edileceği hüküm altına alınmıştır.

İç sistemler ile ilgili en üst düzeyde görevli ve sorumlu organ Yönetim Kurulu’dur. Ancak Yönetim Kurulu iç sistemler kapsamındaki görev ve sorumluluklarını kısmen veya tamamen iç sistemler sorumlusuna veya görev ve sorumluluklar ayrıştırılmak kaydıyla iç sistemler sorumlularına devredebilir. İç sistemler sorumluluğu görevi ancak icrai görevi bulunmayan yönetim kurulu üyelerinden birine veya bu nitelikteki yönetim kurulu üyelerinden oluşan komitelere ya da yine ilgili yönetim kurulu üyelerinden oluşacak denetim komitesine verilebilir. İcrai görev ile kastedilen, doğrudan gelir getirici faaliyetlerde bulunan birimlerin sorumluluğunun üstlenilmesidir.

Esasen Kanun’un 24’üncü maddesi ile banka yönetim kurulları içinde, yönetim kurulunun denetim ve gözetim faaliyetlerinin yerine getirilmesine yardımcı olmak üzere icrai görevi bulunmayan en az iki yönetim kurulu üyesinden oluşan bir ‘denetim komitesi’ oluşturulması zorunlu tutulmuş, denetim komitesine iç sistemlerin denetim ve gözetimi ile ilgili önemli görev ve sorumluluk yüklenmiştir.

Kanunda, iç sistem birimlerinin (iç kontrol, risk yönetimi ve iç denetim sistemleri) yönetim kuruluna bağlı olarak faaliyet göstermeleri yanı sıra, iç denetim birimi tarafından düzenlenecek iç denetim raporlarının ‘denetim komitesi’ aracılığıyla yönetim kuruluna raporlanması da öngörülmüştür. İç denetim birimince düzenlenen raporların öncelikle denetim komitesine sunulması mecburiyeti, pratikte iç denetim birimlerinin denetim komitesine bağlı olarak çalışmaları sonucunu doğurmuştur. Ancak denetim komitelerinin iç sistemlerle ilgili sorumluluğu iç denetim fonksiyonu ile sınırlı kalmamış, Kanun’da yönetim kuruluna bağlı olarak çalışması öngörülen (denetim komitesine bağlanma mecburiyetleri bulunmayan) iç kontrol ve risk yönetimi birimleri de denetim komitelerine bağlanmış, sektör genelinde denetim komiteleri, yönetim kurullarının iç sistemlere ilişkin görev ve sorumluluklarını devrettikleri yegane organ haline dönüşmüştür.

Kuşkusuz bankalarda iç denetim fonksiyonundan beklenen öncelikli asli fayda, bankadaki iç kontrol ve risk yönetimi fonksiyonlarının yeterliliği ve sağlığı ile ilgili yönetim kuruluna makul bir güvence sağlamaktır. Türkiye’de iç kontrol ve risk yönetimi fonksiyonu ile icra arasındaki organik bağ Kanunla kesildiğinden, denetim komitesi (ve hatta yönetim kurulu) ister istemez ‘risk yönetimi’ ve ‘iç kontrol’ fonksiyonlarının asli sorumlusu haline gelmiş, denetim komitelerine bağlı iç denetim birimleri yine denetim komitelerinin asli sorumluluğundaki iç kontrol ve risk yönetimi fonksiyonlarını denetler hale dönüşmüştür. Bu yapının ‘çıkar çatışması’na yol açmayacağını ve sağlıklı olduğunu ileri sürmek, karşı tarafı da buna ikna etmek hayli zordur. Eğer ülkemizdeki yapılanmada risk yönetimi fonksiyonunun aslında risk kontrolü ve raporlamasından ibaret bir denetim ve gözetim fonksiyonu olduğu, dolayısıyla denetim komitelerine bağlı fonksiyonlar arasında çıkar çatışması olamayacağı iddia ediliyorsa o zaman bankalarda yönetim fonksiyonu içinde risk yönetimi ile uğraşacak ayrı merkezi birimlerin oluşturulmasına imkan tanımak ve tartışmayı başka bir boyuta taşımak gerekir.

Esasen bankacılıkta risk yönetimi fonksiyonunun, icradan (risk alan-kar üreten birim ve fonksiyonlardan) bağımsız bir şekilde yönetim kuruluna raporlama yapabilme kabiliyetini haiz olması, ayrıca risk yönetimi fonksiyonuna verilen görevlerin, risk alan fonksiyonlara verilen görevlerden ayrıştırılması, olası çıkar çatışmasını önlemeye yönelik, Basel Komitesi düzenlemelerinde de yer alan uluslararası bir standarttır.

Basel Bankacılık Denetim Komitesi’nin en son Eylül 2012’de güncellediği ‘Etkin Bankacılık Denetimine İlişkin Temel Prensipler’den 15’incisi ‘Risk Yönetim Süreci’ne ilişkindir. Prensip yönetim kurulu ve üst yönetimin etkin bir şekilde gözetimi altında olması gereken risk yönetim sürecinin amacını, ‘tüm önemli risklerin tanımlanması, ölçülmesi, değerlendirilmesi, izlenmesi, raporlanması, kontrolü veya azaltılması, ayrıca banka sermayesi ve likiditesinin bankanın risk profili, piyasa ve makroekonomik koşullar nazara alındığında yeterli olup olmadığının ortaya konulması’ şeklinde ifade etmektedir. Prensip bankalardaki risk yönetim fonksiyonunun görevini etkin bir şekilde yerine getirmesini teminen, önemli tüm riskleri kavrayacak yeterli kaynağa, bağımsızlığa, yetkiye ve yönetim kuruluna erişme imkanına sahip olmasını öngörmektedir. Risk yönetim fonksiyonuna yüklenen görevlerin bankadaki risk alma fonksiyonlarından açıkça ayrıştırılmış olması, risk yönetim fonksiyonunun riskleri doğrudan yönetim kuruluna ve üst yönetime raporlaması, risk yönetim fonksiyonunun iç denetim fonksiyonu tarafından düzenli bir şekilde gözden geçirilmesi, büyük veya kompleks bankaların CRO (Chief Risk Officer/ Tepe Risk Yöneticisi) veya dengi bir pozisyona bağlı olarak çalışacak özel bir risk yönetimi birimi kurmaları beklenmektedir.

Bu standart çoğu batı ülkesinde risk yönetimi fonksiyonunun CRO kanalıyla hem yönetim kuruluna hem de icranın başı konumundaki CEO’ya raporlama yapmasını sağlayan yapılanmalarla sağlanmaktadır. Örneğin Avrupa Birliği’nde bankaların risk yönetimi organizasyonlarında uyacakları genel esaslar, kredi kuruluşlarının faaliyetleri ve denetimi hakkında EU No:36/2013 sayılı Direktifin 76’ncı maddesinde düzenlenmiştir. Direktif üye devletlerin gerekirse risk yönetimi fonksiyonunun üst yönetimden bağımsız olarak doğrudan yönetim kuruluna (yönetim kurulunun denetim ve gözetim fonksiyonu çerçevesinde), raporlama yapma mecburiyeti getirebileceklerini belirtmekte, ancak bunu olmazsa olmaz bir koşul olarak ileri sürmemektedir. Yönetim kuruluna doğrudan raporlamanın yönetim kurulunun hangi fonksiyonu çerçevesinde yapılabileceğinin özellikle belirtilmesi de önemlidir. Direktife göre büyük bankalarda icrai görevi olmayan yönetim kurulu üyelerinin katılımıyla ayrı bir ‘risk komitesi’ kurulması mecburidir. Ancak üye devletlere, küçük bankalarda risk komitesi ve denetim komitesi görevleri için tek bir komite kurulması hususunda yetki tanınmaktadır.

Esasen ülkemizde de 6102 sayılı yeni Türk Ticaret Kanunu’nun ‘riskin erken saptanması ve yönetimi’ başlıklı 378’nci maddesi uyarınca pay senetleri borsada işlem gören şirketlerde, yönetim kurulu, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi, bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacıyla, uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür. Madde gerekçesinde risk komitesinin denetim komitesinden farkı, denetim komitesinin ‘yönetimi gözetim altında tutmasına’ karşılık bu komitenin sadece risklere odaklanacak olması, ayrıca denetimin geçmişe yönelik bir inceleme olduğu halde, risk teşhisinin gelecek ve geleceğin yorumuyla ilgili olduğu, denetimin yönetilmesi söz konusu olmadığı halde, riskin yönetilebilir olduğu şeklinde açıklanmış, amacın yönetimi, yönetim kurulunu ve genel kurulu devamlı uyanıklık (teyakkuz) altında tutmak, gereğinde organlarca derhal etkili önlemlerin alınmasını sağlamak olduğu belirtilmiştir. Komitede yönetim kurulu üyelerinin görev alma mecburiyeti de yoktur. Sermaye Piyasası Kurulu’nun kurumsal yönetime ilişkin düzenlemeleri çerçevesinde ülkemizdeki bankalar bu komiteyi kurmak zorunda değildir. Avrupa Birliği’nde ise yukarıda belirttiğimiz üzere büyük bankalarda icracı olmayan yönetim kurulu üyelerinin katılımı ile, ‘denetim komitesi haricinde, ayrıca bir risk komitesi kurulması mecburidir.

Avrupa Birliği düzenlemeleri ve 6102 sayılı Türk Ticaret Kanunu hükümleri birlikte değerlendirildiğinde, Avrupa Birliği’nde olduğu gibi risk yönetimi fonksiyonunun hem icraya hem de yönetim kuruluna raporlama yaptığı bir yapıda, risk komitesi kurulmayıp, hem risk komitesi hem de denetim komitesi yerine tek bir komite kurulması nispeten anlaşılabilecek bir husus olmakla birlikte, ülkemizdeki gibi risk yönetimi ile icra arasındaki organik bağın koparıldığı, asli sorumluluğun denetim komitesinde olduğu bir yapıda öncelikle yönetim kurulu bünyesinde ayrı bir risk komitesi kurulması dışında fazlaca bir seçeneğin bulunmadığı anlaşılmaktadır.

Ülkemiz bankalarının risk yönetimi organizasyonundaki mevcut yapılanma, yabancı uzmanların da dikkatinden kaçmamış, IMF ve Dünya Bankası’nın FSAP gözden geçirmesi çerçevesinde Türkiye’nin ‘Etkin Bankacılık Denetimine İlişkin Temel Prensipler’e uyumunun değerlendirildiği 8 Şubat 2017 tarihli Raporda risk yönetimi organizasyonlarının bankalarda ‘risk komitesi’ yerine ‘denetim komitelerine’ bağlanmasına yönelik yerleşik uygulama eleştirilmiştir. Ancak telaşa mahal yoktur (!). Sayın uzmanların eleştirisi ‘olası çıkar çatışması’ndan değil denetim komitelerinin ‘iş yoğunluğu’ndan kaynaklanmıştır.

Basel Standartlarının ‘büyük bankalarda’ ‘CRO’ istihdamını öngörmesi, Türkiye’de ise buna yönelik zorlayıcı bir düzenleme olmaması başka bir uyumsuzluk veya eleştiri kaynağıdır. Yukarıda söz ettiğimiz FSAP raporunda bu hususa da dikkat çekilmektedir. ‘CRO’ pozisyonu statü olarak CFO’ya eş değer doğrudan CEO’ya ve Yönetim Kurulu’na (veya Yönetim Kurulu bünyesindeki bir komiteye) erişim yetkisi olan, üst düzey risk yöneticisi pozisyonudur. CRO’nun asgari Genel Müdür Yardımcısı düzeyinde bir statüye sahip olması, kendisini risk alma işiyle uğraşan grupların başındaki yöneticilerle eşdeğer kılma, asgari aynı düzeyde söz hakkına sahip kılma çabasının bir sonucudur. Kuşkusuz CRO’nun, bu statüyü sahip olacağı diğer niteliklerle de hak etmesi, desteklemesi beklenmektedir (CRO’dan beklentiler ayrı bir yazıya konu olacak kadar önemli ve kapsamlıdır).

Ancak istenildiği takdirde, Yönetim Kurulları bünyesinde ‘risk komitesi’nin kurulmasını zorunlu tutmak, halihazırda ‘risk kontrol ve raporlaması ile uğraşan’ birimleri de bu komite ile ilişkilendirmek, büyük bankalarda CRO istihdamını zorunlu tutmak, CRO pozisyonunun statüsünü belirlemek, ikincil mevzuatla halledilebilecek konular olarak durmaktadır.

Bununla birlikte risk yönetimi ve iç kontrol fonksiyonları ile icra/yönetim arasındaki kanuni bağlantısızlık probleminin çözümü o kadar kolay gözükmemekte, ancak bu konunun da bir şekilde ele alınması gerekmektedir. Türk Ticaret Kanunu gerekçesinde veciz bir şekilde ifade edildiği üzere, denetim komitelerinin ‘yönetimi gözetim altında tutacak’ bir konuma getirilmesi/yükseltilmesi için her şeyden önce yönetimin temel fonksiyonlarının yönetime iade ve emanet edilmesinde bu da olmazsa yönetimin bu fonksiyonlara ortak edilmesinde yarar vardır.

Bağımsız risk kontrol ve raporlamasından ibaret, icra ile bağlantısı kesilmiş bir fonksiyonun günümüzde bankalardaki merkezi bir risk yönetimi fonksiyonundan beklenebilecek tüm işlevleri layıkıyla yerine getirebilmesi zaten fazlaca olası değildir. Nitekim Basel Bankacılık Denetim Komitesi’nce Basel 2’nin ICAAP (İSEDES) bileşeni ve banka genelindeki risk yönetimi faaliyetlerinde yapılması gerekli görülen iyileştirmelerin açıklandığı Temmuz 2009 tarihli ‘Enhancements to Basel II framework” başlıklı dokümanda “A bank’s risk function and its chief risk officer (CRO) or equivalent position should be independent of the individual business lines and report directly to the chief executive officer (CEO) and the institution’s board of directors…” denilmek suretiyle bir taraftan risk yönetimi fonksiyonunun risk alma işiyle uğraşan iş birimlerinden bağımsızlığına dikkat çekilirken diğer taraftan risk fonksiyonu ve CRO’nun hem icranın başı durumundaki CEO’ya hem de yönetim kuruluna doğrudan raporlama yapması gerekliliğinin ifade edilmesi bu gerçekten kaynaklanıyor olsa gerekir. CEO başta olmak üzere icranın/yönetimin İSEDES’in asli sorumluluğunu üstlenmemesi düşünülemeyeceğinden, risk yönetimi fonksiyonu ve yönetim kurulu arasında kurulması istenen direkt bağlantı, risk yönetimi fonksiyonu ile icra arasındaki direkt bağlantıyı ikame edebilecek bir alternatif olarak görül(e)memektedir.

Ülkemizde ise 5411 sayılı Bankacılık Kanunu’nun 31’nci Maddesinde değişiklik yapılmadan yukarıdaki türden bir düzenlemeyi hayata geçirmek güç gözükmektedir.

Yasal Uyarı: Bloğumuzda yayınladığımız yazıların öncelikli amacı,  ‘Bankacılıkta Risk ve Sermaye Yönetimi’ isimli  kitabımızın okuyucularına kitapta irdelenen konularla ilgili  daha kapsamlı ve gerektiğinde daha güncel bilgi sunmaktır. Yazılarımızda   yeralan tespit ve değerlendirmeler şahsımız dışında  hiçbir kişi veya kurumu bağlamaz. Yatırımcılar, yazılarımızda yeralan bilgi, tespit ve değerlendirmelerden hareket ederek para veya sermaye piyasalarında pozisyon aldıklarını iddia edemezler. Yatırım danışmanlığı ile iştigal edenler, yatırımcıları yönlendirici mahiyette tavsiyelerde bulunanlar, yazılarımızdan, kaynak göstermek suretiyle dahi alıntı yapamazlar.  

The post Bankalarda ‘Risk Yönetimi Organizasyonu’nun değişmesi gerekiyor, ama nasıl? appeared first on Dr. M. Ayhan ALTINTAŞ.