Sigorta ve emeklilik şirketlerinde risk yönetimi sisteminin kurulması
Doğan TANRISEVEN
Geçtiğimiz yaz, TC Başbakanlık Hazine Müsteşarlığı (Hazine) tarafından yayımlanan yönetmelik ile sigorta, reasürans ve emeklilik şirketlerinde iç denetim, iç kontrol ve risk yönetimi sistemlerinin kurulması zorunlu tutulmuştur.
21 Haziran 2008 tarihinde yayımlanan bahse konu "Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik" (Yönetmelik) ile Türkiye'de kurulmuş sigorta ve reasürans şirketleri ile yabancı ülkelerde kurulmuş sigorta ve reasürans şirketlerinin Türkiye'deki şubeleri ile emeklilik şirketleri bünyesinde 31 Mart 2009 tarihine kadar kurulacak iç kontrol ve risk yönetimi sistemleri ile 31 Aralık 2008 tarihine kadar kurulacak iç denetim sistemine ve bunların işleyişine ilişkin usul ve esaslar düzenlenmiştir.
Belirtmiş olduğum yönetmelik ve Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan benzer yönetmelikten de biliyoruz ki banka ve sigorta şirketlerinde kurulması öngörülen iç denetim, iç kontrol ve risk yönetimi sistemlerinin tamamı, düzenleyici kuruluşlarca "iç sistemler" olarak adlandırılmaktadır. Yazımda, başlıktan da görüleceği üzere, iç sistemleri oluşturan bu üçlü yapı içerisindeki risk yönetimi sisteminden bahsediyor olacağım.
Hazine'ye göre, kurulacak risk yönetimi sisteminin amacı, şirketlerin gelecekteki nakit akımlarının ihtiva ettiği risk ve getiri yapısının ve buna bağlı olarak faaliyetlerin niteliğinin ve düzeyinin izlenmesine, kontrol altında tutulmasına ve gerektiğinde değiştirilmesine yönelik politikaların, uygulama usullerinin ve limitlerin belirlenmesi ve bunlar vasıtasıyla, maruz kalınan risklerin tanımlanması, ölçülmesi, izlenmesi ve kontrol edilmesi olarak tanımlanmaktadır.
Yukarıda yer vermiş olduğum uzun cümle ile amacı bahsedilen risk yönetimi sisteminden ne anlıyoruz? Sanırım öncelikle riskin tanımından başlayarak bilgi vermek yararlı olacaktır. Riskin çeşitli tanımları bulunmakla birlikte riski en kısa ve öz bir şekilde, hedeflerin başarılmasında etkisi olacak bir olayın ortaya çıkma olasılığı olarak tanımlayabiliriz. Örneğin, sabah toplantımıza zamanında gitmemizi engelleyebilecek beklediğimizden fazla bir trafik sıkışıklığı gibi. Konumuz gereği, sigorta sektörüne yönelik olarak yazılabilecek riskler içerisinde mevzuata uyumsuzluk, büyük maddi kayıplara götürebilecek hatalı ya da uygun olmayan sigortalama işlemleri, doğal afetler, hatalı aktüeryal varsayımlar, hatalı dağıtım kanalları-acente uygulamaları sayılabilir. Bunların yanında genel anlamda piyasa riski, kur riski, itibar riski ve operasyonel risklerden de bahsedilebilir. Aslında sigorta şirketleri, sigortalama faaliyetlerinin doğası gereği risk ve getiri kavramları ile risk yönetiminin birebir içinde zaten yaşamaktadırlar.
Çok genel bir şekilde bir risk yönetimi sürecinin risklerin a) belirlenmesi, b) ölçülmesi, c) indirgenmesi ve d) izleme ve takibi adımlarından oluştuğunu söylemek mümkündür.
a) İlk aşamada, iç ve dış faktörler ile tehdit ve fırsatları şirket hedefleri ile birlikte değerlendirip maruz kalınabilecek tüm riskleri belirleriz.
b) İkinci aşamada, belirlenen risklerin ölçülmesine geçeriz. Yukarıda vermiş olduğum riskin tanımı içerisinde bulunan "etki" ve "olasılık" kelimeleri riskin ölçülmesinde kullanılmaktadır. Etki, sayısal bir değeri gösterebileceği gibi yasal düzenlemelere uyum ya da itibar gibi sözel bir şekilde de belirlenebilir. Olasılığın belirlenmesi aşamasında ise şirket içi kontrol ortamının etkinliği ve yeterliliği, şirket içi ve şirket dışı değişiklikler, işlemlerin karmaşıklığı ve yöneticilerin kanaati gibi etmenler kullanılabilir. Basit tabiriyle etki ve olasılığı çarparak riskin düzeyini (yüksek-orta-düşük) belirleriz. Riski mümkün olduğu kadarıyla ölçebilmek adına etki ve olasılığı sayısal olarak belirlemek yararlı olacaktır. Burada bahsedilenleri risk değerlendirmesi olarak da nitelendirebiliriz.
c) Üçüncü aşamada sıra, ölçülen riskler için gerekli risk yönetimi aksiyonlarının alınmasına gelmektedir. Arzu edilen risk seviyesine ulaşabilmek için risklerin indirgenmesi aşamasında kontrolleri uygularız ve riskin uygun seviyeye çekilmesini sağlarız. Örneğin, acentelerden tahsilat riskine karşı teminat alınması, acente hesap mutabakatları, poliçeleştirme işlemlerinde uygulanan limit kontrolleri, hasar ödemelerinde yetkili kişi onayları ya da hatalı finansal raporlamalara karşı uygulanan çapraz kontrollerden burada bahsedebiliriz. Tabii ki başka aksiyonlar da alabiliriz. Hiçbir kontrol uygulamadan riski olduğu gibi kabullenmek, riskli işleme hiç girmeyerek riskten kaçınmak ya da örneğin sigortalama ya da dış kaynak kullanımı yoluna giderek riski transfer etmek gibi. Sigorta şirketlerinin riski belirli koşullarda reasürans şirketlerine devretmesi riskin transferi kapsamında değerlendirilebilir.
d) Dördüncü ve son aşamada, yukarıda bahsettiğim tüm sürecin izleme ve takibini üstleniriz. Son aşama derken aslında risk yönetimi sürecinin bitmediğini, değişebilecek iç ve dış faktörlere göre sürekli güncellenmesi gereken bir süreç olduğunu da vurgulamak gerekir. Yani bu aşamadan sonra döngüye devam ederek yeni ya da değişen risklerin belirlenmesi ile yolumuza devam ederiz.
Yukarıda çizmiş olduğum çerçeve sadece sigorta şirketlerine yönelik değil, her türlü sektör ve şirkete yönelik olarak düşünülebilir.
Peki, somut olarak nelerin yapılması gerekiyor? Yönetmeliğe göre, risk yönetimi sisteminin yapılandırılması doğrultusunda organizasyon yapısının tanımlanması ve bazı dokümanların, dolayısıyla süreçlerin yazılı hale getirilmesi gerekmektedir. Organizasyon yapısı ile ilgili olarak, şirket nezdinde en azından, risk yönetimi faaliyetlerini yürütecek bir çalışanın atanması gerekmektedir. Bu çalışan, iç kontrol faaliyetlerinden de sorumlu olabilir ve aynı zamanda şirket nezdinde başka görevlerde de bulunabilir. İsteyen şirket tabii ki bu çalışanı sadece risk yönetiminden sorumlu tutabilir ya da bir birim kurarak birden fazla kişinin çalışmasını da sağlayabilir. Öte yandan yönetim kurulu, şirket genel müdürü dışında ve kendisine bağlı icracı ya da operasyonel birimler bulunmayan en az bir üyesini iç sistemlerden sorumlu üye olarak belirleyebilir ya da sistemin kurulmasında nihai sorumluluk zaten yönetim kurulunda sayıldığından, bir üye atamak yerine kendisi iç sistemler sorumluluğunu doğrudan üstlenir. Diğer taraftan, risklerin yönetilmesi amacıyla risk yönetimi politika ve stratejileri, üstlenilecek risk seviyesi ve bunlara ilişkin uygulama usulleri, çalışanlar, birimler ve şirketin geneli itibariyle risk limitleri ve risk yönetimi faaliyetleri yönetmeliği dokümanlarının yazılı hale getirilmesi ve dolayısıyla ilgili süreçlerin tanımlanması gerekmektedir.
Nihayetinde, risk yönetimi sistemine yönelik güncel bir örnek vererek yazıyı sonuçlandırabiliriz: Ben, üst yönetim veya yönetim kurulu olarak, Amerika'da bankalarca düşük gelirli ve yüksek riskli kesime (subprime) verilen mortgage kredilerinin alacaklarına dayalı çıkarılmış menkul kıymetlere yatırım yaparken ya da bir sigorta şirketi olarak bunlara garanti verirken, aldığım riskleri de biliyor muydum? Bu riskleri almak için ne kadar iştahım vardı, ne gibi limitler tanımlamıştım ve bu işlemlerin bana getirisi ne idi? Bir risk değerlendirmesi sürecinden geçirerek riskleri ölçüyor muydum? Bu risklerin indirgenmesi amacıyla ne gibi kontrolleri uyguluyordum? Etkin ve yeterli bir risk yönetimi sistemi ile bu soruların cevapları hazır olmalı. Vuku bulan küresel mali krizde oldukça yüksek tutarlarda zarar elde etmem ya da hisse değerimin düşmesi ve batma noktasına gelmem engellenebilir miydi? Etkin ve yeterli bir risk yönetimi sistemine sahipsem, en başta yönetim kurulunun yön vermesi ve yönetim tarzımla, şirketim nezdinde oluşturduğum kontrol kültürü ile etkinleşecek bir iç kontrol sistemi ve bu sistemi değerlendirecek bir iç denetim sistemi ile kısaca iç sistemler ile bence evet…