Kurumsal Risk Yönetimi Hasibe Ünver Unilever Risk Yöneticisi
Kısaca Unilever 1930 yılında Margarine Unie ve Lever Kardeşler’in birleşmesi ile ortya çıktı. 150 ülkede, hergün 200 milyon kişi bir Unilever ürünü kullanıyor. Yaklaşık 300.000 kişiye istihdam sağlıyor. Yaklaşık 50 milyar Euro cirosu ile dünyanın dev şirketlerinden biri.
Markalarımız
Unilever Türkiye Cirosu : yaklaşık 650 milyon Euro Fabrika sayısı : 7 Çalışan sayısı : 3000 Dağıtım ağı : 4.000 Ek istihdam : 10.000
Kurumsal Risk Yönetimi
Unilever’in Risklerini Yönetmek Operasyonel Risk Yönetimi Uzman Risk Yönetim Fonksiyonları Kurumsal Risk Yönetimi
Kurumsal Risk Yönetimi İş Riskleri (BRA) Operasyonel Kontroller (OCA) Şirket Politika ve İş İlkelerine Uyum
İş Riskleri : Tanımlama…Değerlendirme…Aksiyon Kim ? Yönetim Kurulu Ne sıklıkta ? En az yılda 1 kez Nasıl ? Brüt riskler tanımlanır, Risk değerlendirmesini yapacak kişi / ler belirlenir, Risk değerlendirmesi yapılır, koruyucu noktalar belirlenir, Net riskler bulunur, Alınması gereken aksiyonlar, sorumluları belirlenir, Aksiyonlar düzenli olarak takip edilir. Etkileme Olasılık
NET RİSK & KONTROL MATRIX Etkileme Seviyesi Kiritk KİM ? KİM ? RİSK 1 RİSK 2 Ciddi RİSK 5 KİM ? RİSK 3 Önemli KİM ? KİM ? RİSK 4 Marjinal Düşük Arasıra Yüksek Çok Yüksek Olasılık Seviyesi
Politika ve İş İlkelerine Uyum Kurumsal Politikalar Politikaların lokal sahipleri var mı? Politikalar şirket içinde biliniyor mu ? Politikalara uyuluyor mu ? Uyulmayan durumlar için aksiyon alınıyor mu ? İş İlkeleri Bütün çalışanlar haberdar mı? Bütün çalışanlar iş ilkelerine uyuyor mu? Uyumsuzluklar nasıl tespit ediliyor? Uyumsuzluklar nasıl raporlanıyor?
Operasyonel Kontroller Operasyonel Kontroller (OCA) Kontrol aktivitelerinin belirlenmesi, Kontrol aktivitelerini değerlendirecek ve sorgulayacak kişilerin belirlenmesi, Değerlendirmelerin yapılması: koruyucu noktaların belirlenmesi, testlerin yapılması, kanıtların toplanması, aksiyonların belirlenmesi, Sorgulamanın yapılması, Sonuçların belgelenmesi. İç Kontrol Sistemleri (“Sarbanes Oxley Act” ile uyum)
Sarbanes Oxley ….. Sorumluluk Yasası Yasa 11 bölümden oluşuyor. Unilever için 3. ve 4. Bölümlerde yer alan 2 madde çok önemli: Madde 302: Finansal raporlarda kurumsal sorumluluk Madde 404: İç Kontrollerin yönetim tarafından değerlendirilmesi Yasanın Yönetimlere Etkisi Güvence İç Kontrol Raporlama Zorunlulukları Kurumsal Yönetim Reformları
Sarbanes Oxley ….. Yasanın Yönetimlere Etkisi Güvence Finansal Raporlara İlişkin Kurumsal Sorumluluk (302) Şirketin İcra Kurulu Başkanı (CEO) ve Finans Bölümü Başkanı (CFO), mali tablo kullanıcılarına; SEC’e periodik olarak gönderilen raporların kendilerince incelendiği ve onaylandığı, bu raporlarda önemli bulgular ve ihmal edilmiş konular (hata, kusur veya atlanmış bilgi) bulunmadığı, mali tabloların şirketin faaliyetlerine yönelik hususları her açıdan doğru yansıttığı, konularda güvence vermek zorundadır.
Sarbanes Oxley ….. Yasanın Yönetimlere Etkisi İç Kontrol Şirketin İcra Kurulu Başkanı (CEO) ve Finans Bölümü Başkanı (CFO); 302 ve 404. Maddeler uyarınca; İç kontrol ortamı ve sistemine aşina olmalıdır. İç kontrol sisteminin geliştirilmesi, prosedürlerin oluşturulması, uygulanması, sürekliliğinin sağlanması konularında sorumludur. (etkili iç kontrol sistemi oluşturmak için COSO standardları önerilmektedir) SEC’e gönderilen raporun kapsadığı döneme ait iç kontrol sisteminin etkinliğini değerlendirmeli ve sonuçları raporlamalıdır. Değerlendirme tarihinden sonraki döneme ait kontrol sistemlerini etkileyecek önemli değişiklikleri bildirmelidir. İç kontrol sistemine yönelik tüm önemli eksiklikler, zayıflıklar ve hile durumunun tespit edilip edilmediği, ilgili denetcilere ve denetim komitesine açıklanmalıdır.
Sarbanes Oxley ….. Yasanın Yönetimlere Etkisi 302 ve 404 maddeleri, CEO ve CFO’lara şirkette bir iç kontrol sistemi oluşturma ve bunun etkinliğini sağlama yükümlülüğü getirmiştir. İç kontrol sisteminin oluşturulmasındaki amaç, şirkete ait herhangi bir özel durum veya bilginin ortaya çıkması durumunda bunun kendilerine ve diğer ilgili şirket çalışanlarına ulaşmasını sağlanmasıdır. Yönetimin İç Kontrol sistemine ilişkin değerlendirmesi, bağımsız bir denetci (PwC) tarafından onaylanmalı ve faaliyet raporu ile beraber sunulmalıdır. SEC, en az 3 yılda bir şirket bildirimlerini gözden geçirip, şirketleri denetlemek isteyebilir.
404 focuses on financial reporting COSO ve İç Kontrol COSO’ya göre İç Kontrol; işle ilgili hedeflere ulaşmak için kabul edilebilir güvence sağlamaya yönelik süreçlerdir. İç Kontrolün genel amacı ise; İşlemlerin etkinliğini ve vermliliğini artırmak, Finansal raporlamanın güvenilirliğini sağlamak, Yürürlükteki kanun ve düzenlemelerle uygunluğu sağlamak. COSO iç kontrolü birbiriyle ilişkili 5 unsurla tanımlayan entegre bir çerçeve sunar: Kontrol Ortamı Risk Değerlendirmesi, Kontrol Faaliyetleri Bilgi-İletişim İzleme 404 focuses on financial reporting
Sarbanes Oxley (SOX) Projesi Takımların ve sorumlulukların belirlenmesi, İç Kontrollerin dökümante edilmesi, İç Kontrollerin değerlendirilmesi: Dökümantasyon kontrolü, Gerçek bir örnek yardımı ile kontrollerin “varlığını” tespit etme, Eksikliklerin belirlenmesi, İç kontrollerin varlığı konusunda karar verme, Değerlendirmenin sorgulanması. İç Kontrollerin test edilmesi: Örneklemenin oluşturulması, Kontrollerin test edilmesi, İç kontrollerin “çalıştığı” konusunda karar verme, Değerlendirmenin sorgulanması,
Sarbanes Oxley (SOX) Proje Takımları Unilever Türkiye, proje kapsamındaki 17 ülkeden biri Proje Yönetimi Sponsor : Finans Direktörü Finans Müdürleri, Risk Program Yöneticisi Dökümantasyon Takımı Proses Sahibi (sorumlu ve işi yapan) Proses takımı (işi yapan) Dökümanter (destek) Risk Yöneticisi (rehber) Değerlendirme Takımı Değerlendirme ekibi (işi yapan) Uzman danışmanlar (destek) Sorgulama takımı (sorumlu)
Segregation of Duty Template Who can do what? OBJECTIVE: Independent of the process? COMPETENT: Has financial accounting/ auditing experience? PARTS OF SOX PROCESS THAT EACH PERSON CAN PERFORM Process Owner No Document the process Assess ‘what can go wrong’ Identify safeguards to mitigate risks Implement any actions to correct control deficiencies Assessor Yes Evaluate design effectiveness (inc walkthrough) Test controls and conclude on operating effectiveness Report control deficiencies and recommend corrective action Challenger Challenge the assessment of design effectiveness Challenge the assessment of operating effectiveness Approve Controls Deficiencies Reports DELIVERABLES Flowchart and Narrative RACM Segregation of Duty Template Walkthrough RACM/TPRS Testing CD Reports Assessor Checklist Challenger Checklist
RACM Example Are risks mitigated? Are all assertions and restricted access covered? Are controls key? If not: CDR ref For key control, are the designed effectively?
IT General & Application Controls Business process Mapping by product/ application matrices Database Server Network … Ensure systems security Change management Manage Operations Installation and test Manage Incident/problem, manage data Application Business Controls Acquisition and development General IT Controls Application Controls 4 change
Kontrol var mı ? Kontrol uygulanıyor mu?
Sarbanes Oxley (SOX) Projesi : uygulama örneği 2004 yılında Unilever Türkiye uygulaması 10 ana ve 55 alt proses 180 iş akış diagramı 150 test planı 1000 adam / gün 80 kişi Kaynakların % 50’si dökmantasyon, % 50 test için kullanıldı. Başarı için; Kararlı liderlik, yönetim İyi düzenlenmiş eğitimler Disiplinli proje yönetimi Kaliteli insan kaynağı ve danışman Zamanında, açık ve iyi bir iletişim Düzenli denetleme ve raporlama Kalite kontrol
Teşekkürler