APPENDIX 17: RISK POLİCY

AMAÇ VE KAPSAM

Bu Politika’nın amacı GDZ Elektrik Dağıtım A.Ş.  Risk yönetimi stratejisi ve risk yönetimi çerçevesine ilişkin genel ilkeleri ve yönetim prensiplerini açıklamaktır.  Bu politika, risk yönetimi stratejisi ve risk yönetimi çerçevesine ilişkin genel ilkeleri ve yönetim prensiplerini kapsar.

Bu Politika hükümleri, GDZ Elektrik Dağıtım A.Ş.  tüm çalışanları için geçerlidir.

DAYANAK

Risk Yönetimi Politikası, 6362 sayılı Sermaye Piyasası Kanunu, 6102 sayılı Türk Ticaret Kanunu, II-17.1 sayılı “Kurumsal Yönetim Tebliği” (“Tebliğ”) ve ekinde yer alan kurumsal yönetim ilkeleri de dâhil olmak üzere Sermaye Piyasası Kurulu (“SPK”) düzenlemeleri, diğer yasal düzenlemeler ile Şirket Esas Sözleşmesi’nin (“Esas Sözleşme”) ilgili hükümleri çerçevesinde düzenlenmiştir.

SORUMLULUK

Risk Yönetimi faaliyetlerine ilişkin yıllık plan ve politikaların oluşturulmasından Riskin Erken Saptanması Komitesi aracılığı ile Yönetim Kurulu; plan ve politikalara paralel olarak destekleyici dokümantasyonun oluşturulmasından ve risk yönetim faaliyetlerinin uygulanmasından Şirket’in risk yönetiminden sorumlu yöneticisi/uzmanı veya hukuk ve uyum yöneticisi sorumludur.

TANIMLAR

Bu Politika’da geçen;

Şirket; GDZ Elektrik Dağıtım A.Ş.  .’yi

Yönetim Kurulu; GDZ Elektrik Dağıtım A.Ş.  . Yönetim Kurulu’nu,

Riskin Erken Saptanması Komitesi; bundan böyle Komite olarak anılacaktır, her ikisi birden Şirket’in Yönetim Kurulu bünyesinde kurulan riskin erken saptanması komitesini

ifade eder.

RİSK YÖNETİMİ STRATEJİSİ

Şirket  Risk Yönetimi;

Şirket’in stratejik, operasyonel ve finansal hedeflerinin gerçekleşmesini etkileyen riskleri hızlı bir şekilde saptamak, ölçmek, yönetmek, raporlamak ve izlemek;

Getirilerden azami düzeyde faydalanmak amacıyla yeni tehditlere ve fırsatlara müdahalede bulunmak için Şirket’in risk profilini, Şirket’in risk iştahı doğrultusunda düzenlemek;  

Şirket’in stratejisi ile karar verme süreçlerinde risk yönetiminin etkin bir şekilde etkili olmasını sağlamak;

Şirket’in risk iştahına uyumunu gözeterek Şirket’in sermayesini korumak;

Etkin bir şekilde sermaye tahsisinde bulunarak optimal bir risk getiri profili elde etmek;

Şirket’e sürdürülebilir finansal performans, gelir, rekabet gücü sağlamak,

Tutarlı, güvenilir ve zamanında risk bilgisi temin ederek karar verme süreçlerini desteklemek;

Şirket’in öz değerlerini pekiştirerek, risk farkındalığını arttırarak, disiplinli ve bilinçli risk alımı ile ilgili güçlü bir kültür geliştirerek Şirket’in itibarını korumaktır.

Yönetişim

Yönetişimin etkin bir biçimde yapılandırılması ve uygulamaya alınmış olması risk yönetiminin diğer tüm bileşenlerinin temelini oluşturur.

Savunma Alanları

Birinci Seviye Savunma Alanı

İş birimlerinin yöneticileri, faaliyetleri nedeniyle maruz kalınan risklerin etkin bir biçimde kontrol edilmesi konusunda birincil sorumluluğa sahiptir (“birinci seviye savunma alanı”). Birinci seviye savunma alanında bulunan taraflar, ikinci seviye savunma alanında bulunan taraflarca oluşturulan risk yönetmeliklerinin ve uygulama esas ve usullerinin uygulanmasından sorumludur. Aşağıda birinci seviye savunma alanında bulunan tarafların başlıca faaliyetlerine örnekler verilmiştir:

Risk değerlendirmeleri yapmak ve geriye sadece kabul edilebilir seviyedeki risklerin kalmasını sağlayacak biçimde risklere karşı gerekli aksiyonları oluşturmak ve almak,

Risk Yönetimi politika, yönetmelik, uygulama esas ve usulleri, süreçleri kapsamında öngörülen hususları uygulamak,

Anahtar kontrollerin etkili olmasını sağlamak.

İkinci Seviye Savunma Alanı

Şirket’in risk yönetiminden sorumlu yöneticisi/uzmanı veya hukuk ve uyum yöneticisi (“ikinci seviye savunma alanı”), risk yönetimi faaliyetleri konusunda birinci seviye savunma alanında bulunan taraflara destek olur.

Aşağıda ikinci seviye savunma alanında bulunan tarafların başlıca faaliyetlerine örnekler verilmiştir:

Risk Yönetimi’ne ilişkin uygulama esas ve usullerine ve yönetmeliklerine uygun davranmak ve ilgili yönetimlerce uyulmasını gözetmek,

Kontrollerin geliştirilmesi için önerilerde  bulunmak,

Kontrollerin etkinliğini gözetmek,

Kontrol zaafiyetlerini analiz etmek ve raporlamak,

Risk yönetimine ilişkin metodolojileri oluşturmak,

Risk yönetimi faaliyetlerinin yürütülmesini sağlamak,

Anahtar kontrol noktalarının oluşturulmasına yardımcı olmak,

İş birimlerinin maruz kaldıkları riskleri belirlemelerine yardımcı olmak, riskleri izlemek,

Risklere karşı alınacak aksiyonlara ilişkin sorumluluğun belirlenmesini sağlamak,

Şirket risk profilini ve risk iştahı dışındaki hususları raporlamak ve gerektiğinde bir üst seviyeye taşımak.

Üçüncü Seviye Savunma Alanı

İç Denetim, üçüncü seviye savunma alanı görevini icra eder. Risk Yönetimi sisteminin etkinliği konusunda bağımsız güvence verir.

Riskin Erken Saptanması Komitesi

6102 sayılı Türk Ticaret Kanunu’nda yer alan kurumsal yönetim ilkeleri ve Sermaye Piyasası Kurulu (“SPK”) düzenlemeleri  de dâhil olmak üzere yasal düzenlemeler ile Şirket Esas Sözleşmesi’nin ilgili hükümleri çerçevesinde görevli ve yetkili olmak üzere Riskin Erken Saptanması Komitesi kurulmuştur. Riskin Erken Saptanması Komitesi; Şirket’in varlığını, gelişmesini ve devamını tehlikeye düşürebilecek stratejik, operasyonel, finansal ve sair her türlü riskin erken teşhisi ve uygun risk yönetim stratejilerinin uygulanması ile risklerin yönetilmesi amacıyla faaliyet göstermektedir.

Sorumluluk

Riskin Erken Saptanması Komitesi’nin görev ve yetkileri şunlardır:

Şirket çapında Kurumsal Risk Yönetimi yaklaşımını oluşturmak, etkin bir risk yönetimi çerçevesinin tesis ve idame edilmesini sağlamak;

Risk yönetim sistemlerinin kurulması ile Şirket içinde risk yönetimine ilişkin organizasyonel altyapıların kurulması ve işlevselliğin artırılması ilgili sistemlerin geliştirilmesi için öneriler hazırlamak ve sunmak;

Yönetim Kurulu’na, başta pay sahipleri olmak üzere Şirket’in menfaat sahiplerini etkileyebilecek olan risklerin etkilerini en aza indirebilecek risk yönetim ve bilgi sistemlerinin, süreçlerini de içerecek şekilde, iç kontrol sistemlerini oluşturması için görüş sunmak;

Risk Yönetimi Stretejileri, Politikaları ile Şirket bünyesindeki risklerin yönetilmesinde kullanılan ilgili standart ve metodolojileri belirlemek adına çalışmalar yapmak ve Yönetim Kurulu onayına sunmak;

Şirket’in risk iştahını tanımlayan, Yönetim Kurulu’nun onayladığı stratejik plan ve hedeflerle uyumlu politikalar hazırlamak adına çalışmalar yapmak ve çalışmaları Yönetim Kurulu onayına sunmak;

Risk iştahı kapsamındaki göstergeleri, seviyelerine ilişkin teklifi oluşturmak adına çalışmalar yapmak, Yönetim Kurulu onayına sunmak; göstergeleri izlemek ve gerektiğinde sonuçları, değerlendirmeleri, tavsiyeleri Yönetim Kurulu’na sunmak;

Şirket’in stratejileri ve risk iştahının Şirket genelinde etkin bir şekilde uygulanmasını sağlamak;

Yönetim Kurulu üyelerini, stratejik yönetim, sermaye ve kaynak yönetimi, risk profili, risk iştahı, iş faaliyetleri, mali performans ve itibar dahil olmak üzere Şirket’in risk yaratan faaliyetleri hakkında yeterli düzeyde bilgilendirmek, bu kapsamda Yönetim Kurulu’na öneriler sunmak;

Sermaye ve likidite seviyeleri ile aktif-pasif yapısının; Şirket’in normal ve stresli koşullarıyla uyumlu olmasını sağlamak amacıyla uygun durumlarda stres testi yapılması dahil olmak üzere iç süreçlerinin idame ettirilmesini sağlamak;

Risk yönetimi ve iç kontrol sistemlerinin Şirket’in kurumsal yapısına ve iş süreçlerine entegrasyonunu sağlamak;

Şirket hedeflerine ulaşmayı etkileyebilecek mevcut ve olası risk unsurlarının kurumsal risk yönetimi sistematiği çerçevesinde tanımlamak, değerlendirmek, izlemek ve Şirket’in risk alma profiline uygun olarak ilgili risklerin yönetilmesine ilişkin prensiplerin belirlenerek, karar mekanizmalarında kullanılmasını sağlamak;

Şirket bünyesinde yürütülen risk çalışmalarını değerlendirmek ve onaylamak; gerektiğinde Yönetim Kurulu’na bilgi vermek, öneriler sunmak;

Olasılık ve etki hesaplarına göre değerlendirilen risklere ilişkin Şirket’te kabul edilecek ve yönetilecek, paylaşılacak veya tamamen ortadan kaldırılacak risklere ilişkin risk yönetim stratejilerini değerlendirmek ve önermek;

Bilginin zamanında, doğru ve amacına uygun olmasını sağlamak için yönetim raporlamalarının geliştirilmesi ve idamesini değerlendirmek;

Denetim konuları ve bulgularının son durumlarını takip etmek, alınan aksiyonların etkililiğini ve etkinliğini değerlendirmek;

İş Sürekliliği Yönetimi’ne ilişkin faaliyetlerin gözetimini yapmak;

Risk yönetim sistemlerini en az yılda bir kez gözden geçirmek ve risklerin yönetim sorumluluğunu üstlenen ilgili bölümlerdeki uygulamaların, Komite kararlarına uygun gerçekleştirilmesini gözetmek;

Teknik iflası erken teşhis etmek ve Yönetim Kurulu’nun bu konuda uyarılmasını sağlamak;

Yönetim Kurulu’na, her iki ayda bir mevcut durumu değerlendiren, varsa tehlikeleri işaret eden ve tavsiyeleri içeren raporlar sunmak, hazırlanan raporları denetim komitesi ve iç denetim birimi ile paylaşmak;

Yıllık faaliyet raporunda yer alacak olan, Komitenin üyeleri, toplanma sıklığı, yürütülen faaliyetleri de içerecek şekilde çalışma esasları ve Komitenin etkinliğine ilişkin Yönetim Kurulu’nun değerlendirmesine zemin teşkil etmek üzere yıllık değerlendirme raporu hazırlamak ve Yönetim Kurulu’na sunmak,

SPK düzenlemeleri ve Türk Ticaret Kanunu ile Komiteye verilen/ verilecek diğer görevleri yerine getirmek.

Komite, yılda en az 1 kez Denetim Komitesi ile bir araya gelerek denetim sonuçları ve risk tespitlerinin uyumlarının sağlanmasını sağlar.

Komite, kendi görev ve sorumluluk alanıyla ilgili olarak değerlendirmelerini, ulaştığı önemli tespit ve önerileri derhal Yönetim Kurulu’na yazılı olarak bildirir.

Komitenin kararları, Yönetim Kurulu’na tavsiye niteliğinde olup, ilgili konularda nihai karar sorumluluğu Yönetim Kurulu’na aittir.

Hedef Belirleme

Birinci ve ikinci seviye savunma alanında yer alan tarafların risk yönetimi faaliyetlerine ilişkin hedefleri, şirketin stratejik hedefleri ve risk iştahı ile uyumlu biçimde oluşturulur.

Faaliyetlerle Uyum

Risk yönetiminin Şirketin günlük faaliyetlerine ve stratejik planlamasına bütünüyle entegre edilmesi, sürdürülebilir bir rekabet avantajı kazanmak için sağlanır.  

Risk Yönetimi Prensipleri

Risk yönetimi fonksiyonu ile günlük faaliyetlerimizin stratejik planlarımız ile entegre olmasını sağlarken aşağıda yer alan prensipler gözetilir.  

Esneklik

Şirketin risk yönetimi çerçevesi, şirketin risk iştahını korurken kabul edilebilir esnekliklere imkan tanır.

Risk iştahı

Risk iştahı, kabul edilebilir ve onaylanmış maksimum risk seviyesi olarak tanımlanmaktadır.

Kabul edilebilir risk iştahı seviyesi, Yönetim Kurulu tarafından Riskin Erken Saptanması Komitesi önerileriyle belirlenir, yılda bir kez veya gerektiğinde daha sık gözden geçirilir. Risk iştahı aşağıdaki maddeler yoluyla işler hale getirilir.

Risk Matrisi- Risk Seviyeleri,

Limitler veya zorunluluklar,

Anahtar Risk Göstergeleri tolerans seviyeleri

Risk iştahı belirlendikten sonra, Şirket’in risk profili, risk iştahı seviyelerine göre periyodik olarak izlenir. Eğer bu seviyeler aşılmış ise ya da aşılması ihtimali varsa, Şirket’in Komite ve/ veya risk yönetiminden sorumlu yöneticisi/uzmanı veya hukuk ve uyum yöneticisi önerileriyle ilgili iş birimleri tarafından gerekli önlemler alınır.

Risk farkındalığı

Şirket bünyesinde, ‘risk farkındalığı’ yüksek olan bir kültür oluşturmak amaçlanır. Düzenli olarak yapılan toplantılar, eğitimler ve raporlar yolu ile bu prensip uygulanır.

Olay Saptama

Olay saptama proaktif olarak ve risk değerlendirmesinin öncesinde yapılır. Olay saptamak için değişik teknikler vardır.

Örneğin:

Gerçekleşen olay analizleri,

Anahtar Risk Göstergesi sonuçları,

Dış olaylar.

Risk Değerlendirme

Risk değerlendirmenin amacı, şirket, süreç, proje, ürün, hizmet  ya da stratejiyi etkileyebilecek önemli risklerin saptanmasıdır. Risk Değerlendirme çalışmalarının odak noktası, risklerin kabul edilebilir (kontrol edilebilir) düzeye çekilmesi ve belirlenemeyen risklerin minimum düzeyde tutulmasını hedeflemektir. Risk Değerlendirme sürecinde risk belirleme, risk değerlendirme ve risk azaltma aşamaları gerçekleştirilerek bu hedefe ulaşılabilir.

Risk Değerlendirme Metodolojisi

Risk Değerlendirme çalışmasının amacı; Şirket bünyesindeki tüm iş birimlerinin süreçlerinde, işin doğası gereği bulunan risklerle birlikte diğer risklerin iş birimleri ile beraber belirlenmesi, bu risklerin değerlendirilmesi ve risk azaltıcı aksiyonların önerilmesidir.

Risk değerlendirme sürecinin aşamaları şöyledir:

Riskin tanımlanması (neden-olay-sonuç belirtilerek),

Mevcut kontrollerin saptanması,

Riskin etki ve olasılığının ölçülmesi,

Riskin kabul edilmesi, reddedilmesi, en aza indirilmesi, transfer edilmesi,

Aksiyon planının belirlenmesi ve aksiyonun izlenmesi.

Belirleme Değerlendirme Risk Azaltma

Risk değerlendirme faaliyetleri ile; iş birimleri aşağıdaki fırsatlara sahip olacaktır:

Süreçleri iyileştirme/ geliştirme,

Daha hızlı ve daha iyi risk analizine sahip olma,

Muhtemel kontrol eksiklilerini ve zayıf noktaları belirleyebilme,

İş birimleri için kabul edilemez düzeyde olan riskleri belirleyebilme,

Mevcut kontrollerin kalitesini ölçebilme,

Yapılan işlemlerin verimliliğini daha iyi bir seviyeye taşıyabilme,

Anahtar Risk/Performans göstergelerini belirleyebilme ve takip edebilme,

Sermayeyi etkin kullanabilme.

Risk Seviyeleri

Kritik: Bu riskler tolerans seviyesini aşan risklerdir ve Şirket’in hedeflerine ve/veya değerlerini destekleyen unsurlara etkileri yüksek seviyededir. Yönetim maruz kalınan herhangi bir durumun belirlenmesini sağlamalı ve gecikmeksizin,  risklerin acil ve kalıcı olarak azaltılmasına yönelik üzerinde mutabakat sağlanmış bir program geliştirmelidir.

Yüksek: Bu riskler tolerans seviyesini aşan risklerdir. Risklerin uygun bir zaman çerçevesinde önlenmesine yönelik kaynaklar belirlenmelidir.

Orta: Bu riskler Şirket’in hedeflerine ve/veya değerlerini destekleyen unsurlara etkileri anlamında önemlidirler. Yönetim, risklerin zamanında azaltılmasına yönelik aksiyon planları geliştirir. Durumun kötüleşmesinin engellenmesi, etkili bir izleme ile sağlanır.

Düşük: Bu riskler Şirket’in hedeflerine ve/veya değerlerini destekleyen unsurlara etkileri anlamında çok önemli değildir, fakat yönetim riskleri izlemeli, gerekiyorsa risklerin önemli olmasını önleyecek uygun aksiyonu almalıdır.

Risk seviyesi aşağıda açıklanan 3 duruma göre değerlendirilmelidir:

Yönetilmemiş Risk (Brüt Risk) : Risklerin, herhangi bir kontrol olmadığı varsayılarak değerlendirilmesidir.

Yönetilen Risk: Risklerin, mevcut kontrol ortamlarında değerlendirilmesidir. Yönetilen risklerin değerlendirilmesi, tüm ilgili kontrollerin belirlenmesini ve kontrollerin etkinliğinin değerlendirilmesini gerektirir. Yönetilmemiş risklerin ve yönetilen risklerin farklılıklarının analizi/değerlendirmesi, mevcut kontrollerin etkinliğinin iyi anlaşılmasını sağlar.

Artık (Kalan) Risk: Risklerin, risk azaltma aksiyonlarından sonra değerlendirilmesidir. Olası risk azaltma aksiyonu için fayda/maliyet analizi yapılabilir.  Kritik ve yüksek risk seviyesindeki artık riskler, kabul edilemez risk seviyesinde yer almaktadırlar. Orta riskler, istisnai durumlarda tolere edilirler ve “kabul edilebilir” risk kapsamında değerlendirilebilirler. Düşük riskler ise, “kabul edilebilir” risk alanındadırlar. Artık risk “kabul edilebilir” (orta veya düşük) risk alanında olmalıdır.

Risk değerlendirme çalışmalarında kullanılacak risk haritası ve skalalar ile risk iştahı; Yönetim Kurulu tarafından Riskin Erken Saptanması Komitesi önerisi ile belirlenir.

Risk Kategorileri

Şirket riskleri, 6 ana risk kategorisinde sınıflandırılır. Her bir risk kategorisine ilişkin açıklamalara aşağıda yer verilmiştir.

Stratejik Risk 

Stratejik risk kategorisi; aşağıdakiler ile sınırlı kalmamak kaydı ile;

Stratejik planların etkin şekilde değerlendirilmemesi,

Stratejik planların uygulamaya uygunsuz geçirilmesi,

Varsayımlardaki beklenmeyen değişiklikler,

Birleşme/devralmalara (M&A) ilişkin riskler,

Sermaye yapısı tercihlerinden kaynaklı riskler,

Yönetişim yapısı, organizasyonel dizayndan kaynaklı riskler,

Risk iştahı gibi stratejik hususlardan kaynaklı riskleri

kapsar.

Operasyonel Risk

Sistem, süreç, insan, dış olaylar kaynaklı risklerdir.  Operasyonel risk kategorisi; aşağıdakiler ile sınırlı kalmamak kaydı ile;

Yazılı olmayan prosedür /süreçler, Şirket içi düzenlemelere uyulmamasından kaynaklanan kontrol risklerini;  

Yetkisiz onay veya yetki aşımını içerecek şekilde fakat bununla sınırlı kalmamak kaydıyla yetkisiz çalışan faaliyetlerinden kaynaklı yetkisiz faaliyet risklerini;

İşlem (süreç) sırasında ortaya çıkan, kasıt içermeyen, insan hatası kaynaklı başarısız işlem süreçleri veya süreç yönetimi sonucunda ortaya çıkan süreç risklerini;

Bilgi gizliliğinin ve/veya bütünlüğünün ve/veya erişilebilirliğinin kaybı, yetersiz bilgi güvenliğinden kaynaklanan bilgi teknolojileri risklerini;

Şirket prosedürlerinin, sistemlerinin, varlıklarının, ürünlerinin ve/veya hizmetlerinin, usulsüz ve kanunlara aykırı yöntemler ile suistimal edilerek, personel veya Şirket dışı üçüncü kişilerce maddi menfaat sağlamak suretiyle Şirket’in zarara uğratılması olaylarını içeren iç ve dış suistimal risklerini

kapsar.

İstihdam Uygulamaları, Güvenlik, İş Sürekliliği ve Çevre Riskleri

İstihdam Uygulamaları, Güvenlik, İş Sürekliliği ve Çevre Riskleri kategorisi; aşağıdakiler ile sınırlı kalmamak kaydı ile;

İstihdam, Sağlık, çalışan güvenlik, iş kanunları veya anlaşmalarına aykırı uygulamalar, personel yaralanmaları ile ilgili dava tazminat taleplerinin ödenmesi veya ayrımcılık olayları nedeniyle oluşan temsilci ilişkileri riski, çalışan ilişkileri riski ve çalışan güvenlik riskini;

İnsanların emniyet ve güvenliğini tehdit eden kişisel ve fiziksel güvenlik risklerini;

İnsan, süreç, sistem ile doğal afet, iklim değişiklikleri, terörizm olayları gibi dış olaylardan kaynaklı iş sürekliliğini tehdit eden riskleri, kriz yönetimi risklerini;

Çevreyi doğrudan veya dolaylı olarak tehdit edebilecek faaliyetlerden kaynaklanan ve hatta suç unsurunu da barındırabilecek riskleri

kapsar.

Regülasyon Riskleri

Regülasyon riskleri kategorisi; aşağıdakiler ile sınırlı kalmamak kaydı ile;

Uygulanmakta olan kanun, yasal düzenleme ve yönetmeliklere uyumda başarısız olunması (başarısız olarak algılanması) sonucunda Şirket’in itibarında hasara, yasal ya da düzenleyici yaptırımlara veya finansal zarara neden olabilecek uyum risklerini

kapsar.

Piyasa Riski

Piyasa riski kategorisi; aşağıdakiler ile sınırlı kalmamak kaydı ile;

Şirket aktifleri ile pasifleri arasındaki uyumsuzluktan, kesin olmayan aktif/ pasif kalemlerinden, aktifler ile pasiflerin vade, durasyon ve döviz cinsi uyumsuzluğundan kaynaklı aktif- pasif riskleri ;

Faiz oranlarındaki değişikliklerden kaynaklı riskler;

Döviz kurlarındaki değişikliklerden kaynaklı riskler;

Likidite yönetiminden kaynaklanan riskler;

Yatırımlardan beklenenden daha az getiri sağlanmasına neden olan yatırım stratejilerinden kaynaklanan riskler;

Sermaye yeterliliği ve yönetimine ilişkin riskler;

Portföy yönetimine ilişkin riskler,  

Türev ürünlerden kaynaklı riskler;

Emtia değer dalgalanmalarından kaynaklı riskler,

Maliyet/ fiyat dalgalanmalarından kaynaklı riskler,

Arz/ talep uyumsuzluğu riskleri,

Fon kaynakları ve fon bulma kapasitesine ilişkin riskleri

kapsar.

Kredi Riski 

Konsantrasyon riskleri,

Müşteri kredi derecelendirmelerinin belirlenmesine ilişkin riskler,

Müşteri kredi derecelendirmelerinin dağılım ve değişimlerine ilişkin riskler,

Teminat yönetimi ve seviyelerine ilişkin riskler,

Kredi riski azaltım tekniklerinin yeterliliği ve düzeyine ilişkin riskleri

kapsar.

Riske Aksiyon Alma Karşı 

Risk değerlemesinin sonuçları baz alınarak, risk iştahı dışında kalan riskler için alınması gereken aksiyonlar ve planları belirlenir.

Risk değerlendirme süreci, bütün risk ve kontrolleri yansıtan bir raporla sonuçlanır. Aksiyonu alacak kişi ve aksiyonun tamamlanması gereken son tarih de dahil olmak üzere seçilen risk azaltma yöntemlerinden hangisinin uygulanacağı belirlenir. Risk azaltıcı önlemler, ilgili yönetimler tarafından alınır.

Aksiyon alma sürecinde risk azaltma stratejilerinin çeşitli kombinasyonlarının kullanılması mümkündür. Bu stratejilere aşağıda yer verilmiştir;

Olayın gerçekleşme olasılığının azaltılması (örneğin süreç kontrollerinin hayata geçirilmesi, denetimi),

Etkinin azaltılması (örnek: limitler, hukuksal yöntemler),

Riskten sakınma (eğer mümkünse risk yaratan faaliyetin durdurulması yoluyla),

Riski kabul etme (tespit edilen riskin “kabul edilebilir” risk profili içinde ise),

Riski transfer etme (örnek: sigorta yoluyla).

Kontrol Faaliyetleri 

Kontroller, risk değerlendirme çalışmalarında tanımlanan her bir risk için belirlenir. Risk sahipleri, saptanan her riski azaltmak amacıyla yeterli kontrollerin mevcut olmasını sağlamakla sorumludur. Kontrol faaliyetleri tüm organizasyonda, bütün seviye ve bütün fonksiyonlarda bulunur. Mevcut bir kontrolün, riski yeterli bir şekilde yönetemediği ya da artık risk derecesinin daha makul bir seviyeye çekilmesi için geliştirilmesinin gerektiği durumlarda aksiyon planları oluşturulur.

Kontrol faaliyetleri ile,

Saptanan tüm riskler ve bunlar ile ilgili yapılan kontrollerin izlenmesi,

Riski en aza indirmek ya da mevcut kontrolü güçlendirmek amacıyla yapılan aksiyon planlarının, programa göre ilerlemesi,

Tamamlanması gereken sürede tamamlanmayan aksiyon planlarının tespit edilmesi ve gerektiğinde ilgili yönetim mercilerine bildirilmesi,

Tüm risklerin uygun bir şekilde yönetilmesi

hedeflenir.

Bilgi ve İletişim

Riskler belirlenmeli, analiz edilmeli ve belirlenen riskler ile ilgili tüm yetkili kişiler ile iletişim kurulmalıdır.  Her seviyede yönetici ve Yönetim Kurulu, sorumluluk alanlarındaki risklerden haber olmalıdır ve riskleri yönetmek için sorumluluk almalıdır.

Risk Farkındalığı Kültürü

Risk farkındalığı kültürünün, iletişim ve eğitim ile iyileştirilerek geliştirilmesi gerekir.

Risk İzleme 

İzleme, Şirket’in risklerini etkin bir şekilde yönetip yönetmediğinin değerlendirilmesidir. İzleme, kontrollerin etkinliğini ölçmek, değerlendirmek, risklerin risk iştahı normları içinde ve hedeflenen risk seviyesine paralel olup olmadığını, politikalar, yönetmelikler, uygulama esasları ve düzenlemelere uygunluğunu belirlemek için sürekli yapılan bir süreçtir.

İzleme, sistemsel hale getirilmiş ya da diğer araçlar tarafından desteklenen değişik teknikler kullanılarak gerçekleştirilebilir.

İzleme fonksiyonun temeli, risk değerlendirme çalışmalarının güncellenmesine dayanmakla beraber, risk iştahı, limitler ile anahtar risk göstergelerinin izlenmesi, aksiyon izleme, kontrol testleri, yazılı düzenlemelerin gözden geçirilmesi, stres testleri ve bu konudaki diğer örneklerdir.

Birincil İzleme Fonksiyonu: İş Birimleri

İş birimleri, süreçlerinin etkili ve kapsamlı bir şekilde yapılandırılmasından ve uygun şekilde yürütülmesinden sorumludur. Etkili ve kapsamlı bir yapılandırmanın sağlanması için risklerin uygun bir şekilde azaltılması gerekir. Buna ilaveten, süreçler bütün kontrollerin etkinliğini sürekli izlenebilir kılacak ve böylece ilgili uygulamayı gözetecek şekilde yapılandırılmalıdır. Bu birincil izleme fonksiyonu, 1. seviye savunma alanında yer alan bölümlerin günlük operasyonlarına ilave edilmelidir. Temel kontrollerin yürütülmesi, her zaman dokümante edilebilir ve ispatlanabilir olmalıdır.

2. Seviye Savunma Alanı İzleme Fonksiyonu: Risk Yönetimi 

Şirket’in risk yönetiminden sorumlu yöneticisi/uzmanı veya hukuk ve uyum yöneticisi, risk yönetimi faaliyetleri kapsamında, 1.seviye savunma alanında yer alan bölümlerin risk iştahına, politikalara ve düzenlemelere uyumunun izlenmesi ve yönetimin kontrol faaliyetleri görevini uygun şekilde yapıp yapmadığının izlenmesinden sorumludur. Yönetime düzenli olarak izleme faaliyetlerinin sonuçlarıyla ilgili risk yönetimi raporları sunar.  Risk raporları, yeterli derinlik ve kapsama sahip olmalıdır. Yeterli derinlik ve kapsama, Şirket’in risk yönetiminden sorumlu yöneticisi/uzmanı veya hukuk ve uyum yöneticisi ve/ veya Komite karar verir.

3.Seviye Savunma Alanı İzleme Fonksiyonu: İç Denetim

İç Denetim Birimi, 1. ve 2. seviye kontrol görevi tarafından oluşturulan risk kontrol yapısının dizayn ve işlerliğinin etkinliğinin değerlendirilmesinden sorumludur. Denetim raporlarını, Yönetim Kurulu’na sunar.