Sigorta şirketlerinin iç sistemleri hazır mı?
VERGİ PORTALI / Okan Gün
Değerli DÜNYA Gazetesi okurları, dinamikliğini hiçbir zaman kaybetmeyen sigorta sektöründe 2008 yılının 9. ay prim üretimleri ve kârlılıklarının açıklanmaya başladığı şu günlerde şirketlerin gözetimi ve denetimi ile ilgili değişiklikler de devam ediyor. Şirketler bir yandan içinde bulunduğumuz ekonomik koşullarda yeni strateji ve ürünlerle pazar paylarını ve karlılıklarını artırmaya çalışırken bir yandan da Hazine Müsteşarlığı tarafında Avrupa Birliği uygulamalarına uyum çerçevesinde çıkartılan yönetmelikler ile ilgili çalışmalarını sürdürüyorlar. Bu yönetmeliklerin en önemlilerinden birisi de "Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik".
Haziran ayında yayımlanan yönetmelik doğrultusunda sigorta şirketlerinin, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun olacak yeterli ve etkin iç sistemler kurması gerekli kılınıyor. İç sistemler kurulurken tüm bölge müdürlükleri ve birimler dahil olmak üzere şirketlerin maruz kaldıkları risklerin izlenmesi ve kontrolünün sağlanması amaçlanıyor. Yönetmelik iç sistemler kavramını üçe ayırıyor: İç kontrol, iç denetim ve risk yönetim sistemleri.
Sorumluluk üst yönetimde
Yeni yönetmeliğe göre şirketlerin yönetim kurulları, nihai sorumluluk kendisinde olmak üzere, genel müdür dışındaki bir veya birden fazla üyesini iç sistemlerden sorumlu üye olarak görevlendirecekler. Şirketler kendi örgüt yapıları içerisinde ayrı bir iç denetim birimine, iç kontrol sistemine ve risk yönetimi sistemine yer verecekler. Bağımsız olarak örgütlenecek iç denetim birimi doğrudan yönetim kuruluna bağlı olacak. İç kontrol ve risk yönetimi faaliyetleri ise doğrudan şirket genel müdürü tarafından yönetilecek.
İç kontrol sisteminde mevcut kontrol noktalarının da belirtildiği iş akım şemaları oluşturulacak
Yeni yönetmelik doğrultusunda sigorta şirketlerinden beklenen iç kontrol sistemlerinin, Amerika Birleşik Devletleri'nde yapılanmış COSO (Committee of Sponsoring Organizations) tarafından belirlenen ve tüm dünyada kabul görmüş kontrol çerçevesine paralellik arz ettiğini görüyoruz. Bu çerçeveye göre iç kontrol, bir işletmenin operasyonların etkinliğinin ve verimliliğinin, mali tablolarının güvenilirliğinin ve yapılan işlerin mevcut kanun ve hükümlere uygunluğunun sağlanmasına hizmet eden bir çalışma olarak tanımlanıyor.
Sigorta şirketlerinin iş süreçleri üzerindeki kontrollerin ve iş adımlarının gösterildiği iş akım şemalarının oluşturulması da iç kontrol ile ilgili olarak yapılması gereken çalışmalar arasında. Ayrıca şirket içinde tesis edilecek bilgi sistemlerinin yapısının şirketin ölçeği, faaliyetleri ve sunulan ürünlerin niteliği ve karmaşıklığı ile uyumlu olması gerekiyor. Mevcut yönetmeliğin gelecekte tamamlanacak bir yönü ise bilgi sistemlerinin unsurları ve kontrolü. Bununla ilgili esasların Hazine Müsteşarlığı tarafından belirlenmesi bekleniyor.
Acenteler üç yılda bir denetlenecek
Esasında iç denetim kavramı sektör için yeni bir kavram değil. 2004 yılında Sigorta ve Reasürans Şirketlerinin İç Denetim Sistemlerine İlişkin Genelge yayımlanmış, şirketler bununla ilgili çeşitli çalışmalar yapmış ve bir iç denetim birimi oluşturmuşlardı. Yeni yönetmelik iç denetçilerin iç kontrol personeli ya da risk kontrol personeli olarak görevlendirilemeyeceği gibi iç denetim birimi yöneticisi ve yönetim kurulu haricinde, şirket yönetiminde yer alan hiçbir kişiye karşı hesap verme sorumluluğunun bulunmamasını da şart koşuyor.
İç denetim ile ilgili en önemli konulardan biri yapılacak denetimlerin sıklığı ile ilgili. Yönetmelik genel müdürlükteki tüm birimler, bölge müdürlükleri ve şubeler ile taşra teşkilatı için yılda en az bir kez, tüm acenteler için en az üç yılda bir kez raporlama yapma zorunluluğu getiriyor. Ayrıca, bankalar hariç olmak üzere şirketin toplam prim üretimi içerisindeki payı en az yüzde 5 ve daha yüksek olan veya tahsilât oranı düşük olan acenteler için yılda en az bir kez yerinde denetim yapılması gerekiyor. Bu da beş yüz acentesi olan bir şirketi ele aldığımızda her yıl yüz altmıştan fazla acente ile ilgili rapor hazırlanması anlamına geliyor. Bununla birlikte yönetmelik iç denetim faaliyetine ilişkin olarak dışarıdan hizmet alınması konusunu gündeme getiriyor ve bununla ilgili esasların ayrı bir tebliğ ile belirleneceğini vurguluyor.
Faaliyetlerden kaynaklanan risklerin her birinin yönetilmesi için yazılı politika ve uygulama usulleri belirlenecek
Yeni yönetmelik gereği şirket içinde uygun ve yeterli bir risk yönetim sisteminin tesis edilmesi gerekiyor. Bu amaçla şirketlerin, faaliyetlerden kaynaklanan risklerin farklı boyutlarını yönetmeye imkân verecek yeterli politikalar, uygulama usulleri ve limitler ile risk yönetimi faaliyetlerini açıkça tanımlanması bekleniyor. Ayrıca faaliyetlerden kaynaklanan tüm risklerin yönetilmesi için yazılı politika ve uygulama usulleri belirlenirken şirketin faaliyetlerine ilişkin stratejiler, şirketin faaliyetlerinin hacmi ve karmaşıklığı, şirketin alabileceği risk düzeyi, şirketin risk izleme ve yönetme kapasitesi ve şirketin geçmiş deneyimi ve performansı gibi faktörler göz önünde bulunduruluyor.
BDDK yönetmelikleri ile ne gibi benzerlikler ve farklılıklar var?
Hazine Müsteşarlığı tarafından yayımlanan yönetmelik BDDK tarafından yayımlanmış olan "Bankaların İç Sistemleri Hakkında Yönetmelik" ile bir hayli benzerlik taşıyor. BDDK yönetmeliğinde de iç sistemler aynı şekilde üçe ayrılıyor. Burada tek fark BDDK yönetmeliği her bir bileşen için ayrı birim kurulmasını öngörürken, sigorta şirketleri için yayımlanmış yönetmelik ise sadece iç denetim için ayrı bir birim kurulmasını öngörüyor, iç kontrol ve risk yönetimi için ayrı birim zorunluluğu getirmiyor.
BDDK uygulamalarına paralellik arz eden bir diğer konu da konsolidasyona tabi ortaklıkların da kapsam içerisinde olması. Sigorta yönetmeliğine göre iç denetim ve risk yönetimi ile ilgili gereklilikler konsolidasyona tabi ortaklıklarda da aynen geçerli durumda. BDDK da gerek iç sistemler yönetmeliğinde gerekse takip eden dönemlerde uygulamaya aldığı iç sistemlerin denetimi ile ilgili yönetmeliklerin tamamında konsolidasyona tabi ortaklıklara atıfta bulunmakta.
Denetim konusuna gelmişken bu noktada BDDK uygulamaları ile bulunan bir farkı hatırlatmakta fayda var. BDDK uygulamalarında bankaların uygulama kontrolleri ile iç denetim ve iç kontrol sistemlerinin her yıl, genel bilgi işlem kontrollerinin ise iki yılda bir denetimden geçmesi gerekiyor. Ayrıca konsolidasyona tabi ortaklıklarda söz konusu kontrollerin her yıl denetlenmesi zorunlu kılınmış durumda. Buna karşın bağımsız denetimden geçme zorunluluğu şimdilik Hazine Müsteşarlığı tarafından yürürlüğe konmuş değil.
Şirketler ne zaman hazır olmalı?
Yönetmeliğin iç denetim ile ilgili bölümleri 31 Aralık 2008, iç sistemler ve risk yönetimi ile ilgili bölümleri ise 31 Mart 2009 tarihinde yürürlüğe giriyor. Dolayısıyla zaman oldukça daralmış durumda. Sektördeki şirketlerin iç sistemler açısından farklı olgunluk seviyelerinde olabileceği düşünülürse şirketlerin, özellikle iş süreçleri üzerindeki kontrollerin ve iş akışlarının gösterildiği şemalarının oluşturulması gibi çalışmalarını bir an önce tamamlamaları gerekiyor.