Bilindiği üzere, 6102 sayılı Türk Ticaret Kanununun (TTK) 378 inci maddesinin birinci fıkrası uyarınca, pay senetleri borsada işlem gören şirketler ile bağımsız denetçiler tarafından bu yönde görüş verilen diğer şirketlerin yönetim kurulları, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi, bunun için gerekli önlem ve çarelerin uygulanması ile riskin yönetilmesi amacıyla uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür.
Yeni TTK’ nın 378. maddesi uyarınca, “pay senetleri borsada işlem gören şirketlerde yönetim kurulu, şirketin varlığını, gelişmesini ve devamını tehlikeye düşüren sebeplerin erken teşhisi, bunun için gerekli önlemler ile çarelerin uygulanması ve riskin yönetilmesi amacıyla, uzman bir komite kurmak, sistemi çalıştırmak ve geliştirmekle yükümlüdür. Diğer şirketlerde bu komite denetçinin gerekli görüp bunu yönetim kuruluna yazılı olarak bildirmesi hâlinde derhâl kurulur ve ilk raporunu kurulmasını izleyen bir ayın sonunda verir. Komite, yönetim kuruluna her iki ayda bir vereceği raporda durumu değerlendirir, varsa tehlikelere işaret eder, çareleri gösterir. Rapor denetçiye de yollanır” denilmektedir.
Yeni TTK’ nın yürürlüğe girmesinden bu yana en çok dikkat çeken, en çok tartışılan Maddelerden bir tanesi bu olmuştur. Risk yönetimi konusunun ülkemiz için yeni bir konu olması nedeni ile şirketlerin çoğunluğu bu konuda uzun süre harekete geçmemiş, geçenler de adeta göstermelik komiteler oluşturarak, bu maddeden kaynaklanan yükümlülükleri savuşturmaya çalışmışlardır. Az sayıda bilinçli şirket, konunun önemini fark etmiş, bu konuyu sadece yeni TTK’ ya uyum çerçevesinde değil, şirketin başarısı, sürekliliği ve geleceği açısından önemli bir unsur olarak değerlendirme yoluna gitmiş, bu konuda önemli adımlar atmıştır.
Öte yandan, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından, 18.03.2014 tarih ve 28945 sayı ile Resmi Gazete’ de Türkiye Denetim Standartları Kapsamında yayımlanan, “RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI” konunun önem ve ciddiyetini farklı bir boyuta taşımıştır.
Bahse konu “İlke Kararı” çerçevesinde belirlenmiş olan Esasların amacı; yönetim kurulunun şirketi tehdit eden veya edebilecek nitelikteki riskleri zamanında teşhis edebilmek ve risk yönetimini gerçekleştirebilmek için 6102 sayılı Türk Ticaret Kanununun (TTK) 378 inci maddesinde öngörülen sistemi ve yetkili komiteyi kurup kurmadığını, böyle bir sistem varsa bunun yapısı ile komitenin uygulamalarını açıklayan ve değerlendiren denetçi raporunun esaslarını belirlemektir. Bu Esaslar; TTK’nın 378 inci maddesi uyarınca kurulması gereken riskin erken saptanması ve yönetimi sistemi ve ilgili komiteye ilişkin olarak denetçinin, TTK’nın 398 inci maddesi çerçevesindeki sorumluluklarını düzenlemektedir.
Bu Esasların yayınlanması ile bağımsız denetçilerin, Yeni TTK’ nın 378. maddesi çerçevesinde, şirketlerce kurulması gerekli olan riskin erken saptanması ve yönetimi komite ve sistemini denetlemeleri söz konusudur. Yani bu konu, bağımsız denetime tabi şirketler açısından, ayrıca denetlenen ve raporlanan bir husus haline gelmiştir. Türkiye Denetim Standartları, bağımsız denetim faaliyetleri ile ilgili usul ve esasları belirlerken, bağımsız denetçinin denetlediği şirketin iç kontrol, iç denetim, risk yönetimine ilişkin süreçleri ile ilgili etkileşimlerine de yer vermiştir. Bu kapsamda, bağımsız denetim, sadece finansal tabloların değil, bunları ve şirketin sürekliliğini etkileyen tüm kurumsal sistemleri değerlendirme altına alması demektir. Doğru, gerçeği yansıta ve tam finansal raporlama sürecinin arkasında iç kontrol ve risk yönetimi süreçleri olduğu varsayılmaktadır.
Bahse konu Esaslar çerçevesinde bağımsız denetçiler, TTK’nın 378 inci maddesi uyarınca riskin erken saptanması sistemi ve komitesini kurması gereken şirketlerde, söz konusu sistem ve komitenin anılan madde çerçevesinde işleyip işlemediği hakkında denetim yapmakla görevlendirilmektedir. Bu denetimde tespit edilen hususlar ile ulaşılan sonuç (denetçi görüşü) bağımsız denetim raporundan farklı, ayrı bir rapor ile raporlanacaktır.
Bağımsız denetçiler tarafından gerçekleştirilecek olan bu özel denetimde, denetlenen şirketin risk komitesi ve risk yönetim sistemi mercek altına alınacaktır. Türkiye’ de kurumsal yönetimi güçlendirmek ve şirket sürekliliğini sağlamaya yönelik önemli bir tedbir olan bu denetimlerde, şirketlerin geçer not alabilmek için bağımsız denetçilerin neleri değerlendireceğini ve kendilerinin bu çerçevede neler yapması gerektiğini bilmeleri gerekmektedir. Bahse konu Esaslar, dış denetçilerin denetledikleri şirketlerin risk yönetimi süreçlerini değerlendirirken, ciddi bir çalışma yapmaları gerektiğini işaret etmektedir. Bu denetime ilişkin çalışmalar planlama, denetimi yürütme ve raporlama aşamalarından oluşmaktadır. Bağımsız denetime tabi şirketlerin Yönetim Kurulları ve Üst Yöneticilerinin riskin erken saptanması ve yönetimi komitesi ile risk yönetim sistemi oluşturma konusuna ayrı bir önem vermeleri gerekmektedir.
Bağımsız denetçilerin risk komitesi ve risk yönetimi sistemine ilişkin denetimlerinde başlangıç noktası, şirketin risk yönetimine ilişkin gerçekleştirdiği tüm faaliyetler hakkında bilgi toplanmasıdır. Bağımsız denetçiler, şirketin risk komitesi, risk komitesi yönetmeliği, komite işleyişi, üyeleri, toplantı gündemi, sıklığı, kapsamı ve alınan kararlar ile riskin saptanması ve yönetimine ilişkin oluşturulmuş olan tüm kurumsal sistem ve araçlar hakkında detaylı bilgi edinmeye çalışacaklardır. Ayrıca bu ilk aşamada, şirket yönetim ve personelinin risk farkındalığı hakkında bilgi edinecekleri çalışmalar yürüteceklerdir. Bu tespitler anket, gözlem veya mülakat yöntemleri kullanılarak gerçekleştirilebilir.
İkinci aşama, şirketin risk komitesi ve risk yönetim sisteminin fiili varlığının ve yeterliliğinin değerlendirilmesidir. Bu aşamada, bağımsız denetçi şirket tarafından gerçekleştirilen risk saptama faaliyetlerinin TTK’nın 378 inci maddesindeki gereklilikleri karşılamak için yeterli olup olmadığını değerlendirir. Bu kapsamda, şirketin varlığını, gelişmesini ve sürekliliğini tehdit edebilecek muhtemel risklerin zamanında teşhisi, analizi ve ilgili birimlere bildirimlerin (komite tarafından yönetim kuruluna yapılan raporlamalar dâhil), yönetimin bu risklere uygun bir karşılık vermesine imkân sağlayacak şekilde zamanında yapılıp yapılmadığı belirlenir. Ayrıca denetçi; komitenin, risk saptama faaliyetlerine uygunluğu sağlamaya yönelik izleme fonksiyonunu icra edip etmediğini de değerlendirir.
Denetçi çalışmalarını yürütürken, öncelikle, finansal tabloların bağımsız denetimi ve yaptığı bu denetim sırasında edindiği bilgilere dayanarak farkına vardığı önemli risklerin sistem tarafından teşhis edilip edilmediğini dikkate alır. Değerlendirme aynı zamanda, teşhis edilmiş risklerle bunlara karşılık olarak önerilen çarelerin komite tarafından zamanında raporlanıp raporlanmadığını da içerir. Hem bağımsız denetim, hem de iç denetim tarafından işret edilen riskler ve bu riskleri yönetme amaçlı önerilen stratejilerin raporlanıp raporlanmadığı, uygulamaya alınıp alınmadığı tespit edilmeye çalışılır.
Denetçi değerlendirmesinde diğer önemli bir konu risk yönetim sistem ve süreçlerinin varlığının tespiti sonrası, işlevselliğinin değerlendirilmesidir. Risk yönetimi faaliyetlerinin denetlenen yıl boyunca sürekli olarak uygulanıp uygulanmadığı araştırılır. Bu amaçla, şirket iç kontrol sistemi de değerlendirme altına alınabilir ya da daha önce yapılmış olan iç kontrol denetimlerinin (iç veya dış denetim çerçevesinde) sonuçlarından da faydalanılabilir.
Denetçi, şirket tarafından gerçekleştirilen risk yönetimi faaliyetlerinin yeterliliğine yönelik değerlendirme yaparken bir uzmandan faydalanabilir. Uzmanlar; risk tespiti, ölçümü, önceliklendirmesi, risk iletişimi, risk yönetişimi ve risk yönetim stratejileri konularında bilgili, tecrübeli ve yetkili (uluslararası sertifikalara sahip) kişilerdir. Bağımsız denetçilerin, tecrübe sahibi olmadıkları risk yönetimi konusunda uzmanlardan faydalanmaları “iyi uygulama” olarak tavsiye edilmektedir.
Bağımsız denetçiler, denetimlerinin planlama ve denetim aşamalarında yürüttükleri tüm çalışmaları ve sonuçlarını, çalışma kağıtlarına kayıt edeceklerdir.
Denetimde üçüncü aşama, raporlama aşamasıdır. TTK’nın 402 nci maddesinin altıncı fıkrası uyarınca denetçi, bağımsız denetim çerçevesinde, sisteme yönelik değerlendirmesinin sonucunu ayrı bir raporda yönetim kuruluna sunar. TTK’nın 378 inci maddesi uyarınca yönetim tarafından gerçekleştirilen risk saptama faaliyetlerinde eksiklik bulunmasının, finansal tablolara ilişkin bağımsız denetçi görüşü üzerinde etkisi yoktur.
Bu aşamada denetçi, sistemin şirketin varlığını, gelişmesini ve sürekliliğini tehdit edebilecek gelişmeleri önceden saptamak için yeterli olup olmadığını değerlendirir ve varsa, yetersiz gördüğü hususlara raporunda yer verir. Denetçi, sistemin iyileştirilmesine yönelik somut önerilere de raporunda yer verebilir. Denetlenen şirket tarafından sisteme ilişkin belgelendirmenin yapılmaması durumunda bu husus da raporda ifade edilir. Şirkette risk yönetim faaliyetlerinin dokümante edilmesi, daha da iyisi risk yönetim sistemi ve faaliyetlerinin bilgi sistemleri (örneğin GRC yazılım çözümleri) ile desteklenmesi, denetçi görüşünü son derece olumlu yönde etkiler.
Bu noktada önemli bir hususa değinmek gerekmektedir. Bağımsız denetçilerin bu Esaslar kapsamındaki denetimleri, Komitenin ve Sistemin varlığı, dokümantasyonu, yıl boyunca uygulandığı, kurum içi risk farkındalığı ve risk raporlaması ile gözetiminin etkinliği ile sınırlıdır. Riskin erken saptanması komitesi tarafından risklere karşı gösterilen çarelerin yerindeliği ve riskler karşısında yönetim tarafından yapılan uygulamalar, denetimin kapsamında değildir. Yani diğer bir ifade ile, risk yönetim sistemi çerçevesinde tespit edilen risklerin detayı, ölçüm ve sınıflandırma yöntemi ve sonuçları, risk yönetim stratejilerinin seçimi ve doğruluğu konuları denetçilerin çalışma kapsamı içinde değildir. Değerlendirme, şirketin riskin erken saptanması sistemi ve komitesinin, tüm önemli yönleriyle, TTK’nın 378 inci maddesi çerçevesinde yeterli olup olmadığı ile sınırlı gözükmektedir.
Denetime tabi şirketlerin yönetim kurulları ve üst yöneticileri, bu denetimlerden iyi sonuç alabilmek için aşağıdaki konulara dikkat etmeli ve bu hususlara yönelik bazı çalışmalar yürütmelidirler:
- Şirketin kurumsal risk yönetim sisteminin ve risk komitesinin oluşturulması ve işlevsel hale getirilmesi için uzman desteği almalıdırlar.
- Riskin Erken Saptanması ve Yönetimi Komitesinin Yönetmeliği hazırlanmalı, Komite işleyişine ilişkin usül ve esaslar belirlenmelidir.
- Şirketin risk yönetim sisteminin oluşturulması için bir “kurumsal risk yönetim modeli/çerçevesi” belirlenmelidir.
- Risk farkındalığını artırmaya yönelik, şirketin her seviyesindeki yöneticiler ile personele yönelik farkındalık seminerleri verilmeli, şirket bültenlerinde veya yayınlarında risk yönetimi konusuna yer verilmeli, üst yönetimin konuya önem verdiği, çeşitli platformlarda dillendirilmelidir.
- Tüm iş birimleri ve iş süreçlerinde risklerin erken tespiti, uygun yönetim stratejileri ile yönetimi, risk göstergelerinin takibi ve gerekli risk iyileştirme aksiyonlarının alınmasına yönelik bir metodoloji ve bu metodolojiyi uygulamaya yönelik araçlar geliştirilmelidir.
- Kurumsal risk yönetim sistemi ve süreçlerinin oluşturulması, yönetimi, raporlanması, güncellenmesi ve izlenmesinde yazılım çözümlerinden faydalanılmalıdır.
- Etkin bir iç denetim fonksiyonu ve faaliyeti, kurumsal risk yönetimi faaliyetlerine ilişkin güvence sağlamak adına büyük önem taşır. Şirket Yönetim Kurulları ve üst yöneticileri, iç denetim hizmetlerinden faydalanmak, iç denetim sonuçlarına gereken dikkat ve özeni göstermek ve iç denetçiler ile sıkı bir işbirliği içinde olmak durumundadırlar.
- Risk yönetimi konusu yönetici ve personelin görev tanımları ile performans değerlendirme sistemleri içinde yer almalı, risk yönetimini iyi yapanlar ödüllendirilmelidir.
- Risk yönetişiminin amacı, yönetimi, yönetim kurulunu ve genel kurulu riske duyarlı kılmak, gereğinde yetkili ve sorumlu organlarca derhal etkili önlemlerin alınmasını sağlamaktır. Bu sebeple komite sorumluluk sisteminin merkezinde yer almalıdır. İyi risk yönetişiminin sağlanması için, risk komitesi üyeleri tercihen Yönetim Kurulunun icrai sorumluluğu olmayan üyeleri arasından seçilmeli, tercihen dış uzmanlara da komitede yer verilmelidir.
Şirketinizde yeni TTK Madde 378 kapsamında kurumsal risk yönetimi komitesi/sistemi oluşturmak veya mevcut sistem/süreçlerinizi iyileştirmeye yönelik sorularınız için bertan.kaya@yahoo.com adresine e-posta gönderebilirsiniz.