CRIMINAL LAWSigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemler Yapılanması

Mayıs 15, 20240
  1. Genel Olarak

“Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik”in (İç Sistemler Yönetmeliği) 4. Maddesi uyarınca; iç kontrol, risk yönetimi ve iç denetim birimlerinin ayrı olarak kurulması esastır. Bu birimlere ek olarak, şirketlere (sadece emeklilik alanında faaliyet gösterenler hariç) aktüerya birimi oluşturma zorunluluğu da getirilmiştir. Ancak aktüerya birimi için, 30.05.2022 tarihli SEDDK[3] genelgesi ile aşağıda özetlenen istisnalar belirlenmiştir.

  1. Risk yönetimi ve aktüerya birimini birlikte yapılandırabilecek şirketler: Yılsonu finansal tablolarına göre; hayat dışı sigorta şirketlerinden prim üretimi düşük olanlar, hayat ve emeklilik şirketlerinden prim üretimi ve fonları düşük olanlar ile münhasıran kredi ve kefalet sigortası branşlarında faaliyet gösteren şirketler.
  2. Sigorta grubu içinde yer alan şirketlerden birinde kurulmuş olan denetim komitesi, iç kontrol, risk yönetimi, aktüerya ve iç denetim birimlerinin birlikte kullanılması mümkündür. Ayrıca finansal grup kapsamında, birimlerin yetersiz kaldığı konularda grupta yer alan diğer finansal kuruluşlardan hizmet alımı yoluyla faydalanılabilir.

Yönetmeliğe göre iç sistemler birimlerinin her biri kendi birim yöneticilerine bağlı olarak faaliyet gösterir. İç kontrol, risk yönetimi ve aktüerya birimleri; denetim komitesinde görevli ve yönetim kurulu üyesi olmayan asgari genel müdür yardımcısına denk bir yöneticiye bağlı olarak faaliyet gösterebilir.

İç denetim birimi doğrudan yönetim kuruluna bağlı olarak örgütlenir; bununla birlikte, yönetim kuruluna denetim komitesi aracılığıyla raporlama yapar. Diğer iç sistemler birimleri, idari ve fonksiyonel açıdan denetim komitesine bağlı olarak yapılandırılır. Halka açık şirketlerde; iç kontrol, risk yönetimi ve aktüerya birimlerinin “Riskin Erken Saptanması Komitesi”ne bağlanması mümkündür.

Mevzuat, iç sistemler birimlerinin bağımsızlıklarını sağlamak üzere yönetim kuruluna bağlı olmalarını ve raporlamalarını öngörmektedir. Ancak bu yapılanma bazen operasyonel birimler tarafından dışlanmalarına veya engel olarak algılanmalarına neden olabilmektedir. Şirketlerin önceliği; risk yönetimi, uyum ve kontrol faaliyetlerinin şirket kültürü haline getirilmesi ve eksik-hata-kusur bulma yerine geliştirici fırsatlar sağlamalarına odaklanılması olmalıdır.

Risk yönetimi, uyum ve iç kontrol faaliyetleri; şirket yönetim ve iş süreçlerine entegre edilerek, etkin ve verimli bir şekilde yürütülmesi sağlanmalıdır. Yönetim kuruluna bağlı denetim ağırlıklı izole edilmiş bir yapı, işlevsellik ve katılımı kısıtlamaktadır. Süreç ve operasyon sorumluları tarafından yürütülen risk yönetimi, uyum ve iç kontrol faaliyetleri kurumsal katılımı artırır.

Tüm şirket birimleri tarafından gerçekleştirilen kontrol faaliyetlerinin izlenmesi ve rapor edilmesi ile aksaklıkların takibi; konusuna göre iç kontrol, risk yönetimi ve aktüerya birimi tarafından gerçekleştirilir. Bunlara ek olarak uyum birimi bulunuyorsa, uyum fonksiyonuna dair faaliyetler ayrıca iç kontrol birimi tarafından kontrol edilir ve raporlanır.

  1. COSO Çerçevesi

Dünya genelinde kabul gören ve uygulanan COSO (Committee of Sponsoring Organizations) iç kontrol çerçevesinde “Üçlü Hat Modeli” benimsenmektedir. Buna göre;

Birinci hat, operasyon yönetimidir. Şirketin risklerini günlük işlerinin bir parçası olarak sahiplenen ve yöneten operasyonel birimlerden ve işlevlerden oluşur. Birinci hat; faaliyetleriyle ilgili riskleri izleyerek yönetmek, azaltmak ve hedeflere ulaşmak için kontrollerin uygulanmasından sorumludur. Ayrıca kontrol eksikliklerini gidermek için düzeltici önlemleri alır.

İkinci hat; birinci hatta gözetim ve destek sağlayan risk yönetimi, uyum ve iç kontrol işlevlerinden oluşur. Risk yönetimi ile iç kontrol politika, prosedür ve çerçevelerini oluşturmak, risk tanımlama, değerlendirme ve azaltma konularında uzmanlık sağlamak bu hattın görevidir. Birinci hattın risk yönetimi ve kontrol faaliyetlerinin etkinliğinin izlenmesi ve değerlendirilmesi de bu hattın görevleri arasındadır. Yürürlükteki mevzuat ve iç politikalara uygunluğun sağlanması ve tüm bu faaliyetlerin raporlanmasından sorumludurlar.

Üçüncü hat; kuruma bağımsız ve objektif güvence ile danışmanlık hizmetleri sağlayan iç denetim fonksiyonunu içermektedir. Şirketin yönetişim, risk yönetimi ve iç kontrol süreçlerinin etkinliğinin değerlendirilmesi iç denetimin sorumluluğudur. Kontrollerin yeterliliğini ve etkinliğini değerlendirmek için periyodik denetimler ve incelemeler yapar. Bunların sonucunda ulaşılan bulguları ve önerileri yönetime ve yönetim kuruluna raporlar.

Yürürlükteki İç Sistemler Yönetmeliği de prensip olarak bu modeli benimsemektedir.

COSO’ya göre iç kontrol, iç denetim ve risk yönetiminin ana sorumlulukları aşağıdadır:

İç Kontrol:

  • Operasyonların etkin ve verimli bir şekilde yürütülmesinin sağlanması.
  • Mali raporların doğru, zamanında ve ilgili standartlara uygun olarak sağlanması.
  • Faaliyetlerin ilgili yasa, düzenleme, iç politika ve prosedürlere uyumunun sağlanması.
  • Şirketin varlıklarının korunması.

İç Denetim:

  • İç kontrollerin etkinliğinin ve verimliliğinin değerlendirilmesi.
  • Politikalara, prosedürlere, mevzuata uyumun değerlendirilmesi.
  • Şirketin operasyonlarına değer katmak ve geliştirmek için tasarlanmış bağımsız, objektif güvence ve danışmanlık hizmetlerinin sağlanması.

Risk Yönetimi:

  • Risklerin belirlenmesi ve değerlendirilmesi
  • Risklere yanıt verme ve azaltma için stratejiler geliştirilmesi ve uygulanması.
  • Risk yönetimi faaliyetlerinin etkinliğinin izlenmesi ve yönetim kurulu da dahil olmak üzere kilit paydaşlara risklerin raporlanması.

Yürürlükteki sigortacılık mevzuatı da bu üç hat için tanımlanan sorumlulukları yerine getirecek birimlerin oluşturulmasını İç Sistemler Yönetmeliği ile zorunlu hale getirmiştir. Yönetmelik ile ayrıca sigorta şirketlerinin organizasyonları için öngörülen yapılar belirlenmektedir.

Mevzuatın öngördüğü şekilde ikinci hattın Denetim Komitesine bağlı olması, bazı kuruluşlarda bu birimlerle iş birimleri arasındaki işbirliğinin zayıflamasına yol açmaktadır. Bu durum, risklerin yönetimi ve kontrollerin geliştirilmesi konularında iletişim ve sorun çözme yeteneğini olumsuz etkileyen bir kurum kültürü oluşturmaktadır. Özellikle ikinci hattın görev, sorumluluk ve hedefleri ile Yönetim Kuruluyla arasındaki ilişkinin net şekilde tanımlanmamış olması, bu soruna neden olmaktadır.

Risk yönetimi ve kontrol fonksiyonlarının işlerliğini sağlamak için uygulanabilecek stratejilerden bazıları aşağıda yer almaktadır.

Açık İletişim Sağlanması: Gözetim ve yönetim fonksiyonları arasında görevler ayrılığını sağlamak amacıyla; yönetim kurulu, üst yönetim ve kontrol fonksiyonlarındaki kilit kişilerin görev, sorumluluk ve raporlama ilişkilerinin açıkça tanımlanması ve ilgili taraflar arasında etkili iletişim ile şeffaflığın sağlanması. İkinci hattın amacının; sadece yönetim kurulu için rapor hazırlamak değil, kuruluşun risklerini yönetmeye ve kontroller geliştirmeye destek vermek olduğu fikrinin benimsenmesi.

İşbirliği: İkinci hattın, üst düzey ile operasyonel yöneticiler ve çalışanlarla birlikte riskleri ve kontrol eksikliklerini belirleyip ele almak için işbirliği yaptığı çalışma ortamının teşvik edilmesi. Tüm çalışanların görev ve sorumluluk alanlarıyla ilgili iç kontrolleri anlamasının ve uygulamasının sağlanması.

Eğitim ve Bilgilendirme: Her düzeyden çalışana etkili risk yönetiminin ve ikinci hattın kuruluşun hedeflerini desteklemedeki rolünün önemini açıklayan eğitim veya bilgi verilmesi. Bu kapsamda, ikinci hattın izleme ve kontrol yapması ve sonuçları kurula raporlamasının, kurumsal yönetim ve hesap verebilirlik açısından öneminin vurgulanması.

Çözüm Odaklılık: Kuruluşta sorun çözme odaklı kültürün teşvik edilmesi. Bu kültür sayesinde sorunların ele alınması ve süreçlerin geliştirilmesinin desteklenmesi, suçlama veya sorunların gizlenmesinin engellenmesi. Çalışanların potansiyel riskler ve kontrol zayıflıkları hakkında konuşmaya teşvik edildiği bir kurum kültürünün oluşturulması.

Kuruluşlar; işbirliği, şeffaflık ve hesap verebilirlik kültürünü teşvik ederek, ikinci hattın külfet olarak algılanmasını engelleyebilir ve etkin risk yönetimi ile iç kontrolün kurum kültürünün ayrılmaz bir parçası olduğu çalışma ortamını oluşturabilirler.

 

  1. IAIS[4] – Sigortacılık Temel Prensipleri (Insurance Core Principles)

Uluslararası Sigorta Denetçileri Birliği (IAIS), sigorta sektörünün denetimine yönelik geliştirmelerden sorumlu global standart belirleyici bir kuruluştur. IAIS tarafından yayımlanan; “Sigortacılık Temel Prensipleri ile Standartlar, Rehberler ve Değerlendirme Metodolojisi” sigorta şirketlerine yönelik yönetişim yapıları ve uygulamaları hakkında kapsamlı rehberlik sağlar. Sigortacılık Temel Prensipleri kanun veya yönetmelikler gibi spesifik maddeler içermemekle birlikte, yönetim kurulu komitelerinin kurulması ve rolü de dahil olmak üzere yönetişim yapılarıyla ilgili ilke ve standartları ana hatlarıyla belirler. Yönetişim yapılarıyla ve özellikle iç sistemler düzenlemeleriyle ilgili bazı önemli maddeler aşağıda yer almaktadır:

Sigortacılık Temel Prensiplerinin 7. maddesi sigorta şirketlerinin kurumsal yönetim gereksinimlerine odaklanmaktadır. Yönetişim yapısı, yönetim kurulu yapılanması ve gözetim işlevleriyle ilgili ilkeleri ana hatlarıyla belirler. Yönetim kurulunun sorumluluklarını, kurul komitelerinin (kurumsal yönetim komitesi, denetim komitesi, risk komitesi vb.) oluşturulması ve işleyişini ele alan bölümleri içerir. Etkili bir kurumsal yönetim çerçevesi; sigorta şirketinin şeffaf olmasını ve yetkilerin gereğinden fazla yoğunlaşmasını önler. Bu çerçeve, sigorta şirketinin kurumsal yönetiminden sorumlu kilit rollerin yönetim becerilerini destekler ve geliştirir. Yönetim kurulu, üst düzey yönetim ve kontrol fonksiyonlarının yöneticilerinden oluşan bu kilit roller, şirketin sağlıklı ve basiretli yönetiminden sorumludur.

Sigorta şirketinin uygun risk yönetimi ve iç kontrol sistemlerine sahip olmasını ve bunların etkin denetimini sağlamak yönetim kurulunun sorumluluğundadır. Üst yönetim ise; risk yönetimi ve iç kontrol fonksiyonlarının etkin işleyişini teşvik etmek, belirlenen risk iştahı ile kurumsal değerler ve mevzuatla uyumlu, iç politika ve süreçlerle tutarlı, sistem ve kontrollerin uygulanmasını sağlamakla yükümlüdür.

Sigortacılık Temel Prensiplerinin “Risk Yönetimi ve İç Kontrol” başlıklı 8. maddesine göre; bir sigorta şirketinin, kurumsal yönetim çerçevesinin bir parçası olarak oluşturulacak etkin kontrol sistemlerinin; risk yönetimi, uyum, aktüerya ve denetim işlevlerini kapsaması gerekir. Üst yönetimin sorumluluğu, bu sistemlerin etkin bir şekilde uygulanması ve bu fonksiyonlar için gerekli kaynak ve desteğin sağlanmasıdır.

İç kontrol sistemi sigorta şirketinin tüm birimlerini, faaliyetlerini kapsamalı ve sigorta şirketinin günlük faaliyetlerinin ayrılmaz bir parçası olmalıdır. Etkin bir iç kontrol sistemi, her iş birimi düzeyinde kontrol faaliyetleri tanımlanmış uygun bir yapı gerektirir. Şirketin organizasyon yapısına bağlı olarak belirlenecek birimler; risklerin yönetilmesi, raporlanması ve etkili iç kontrol politika ve süreçlerinin oluşturulması ve yürütülmesinden sorumlu olur. Kontrol fonksiyonları, iş birimleri tarafından yürütülen kontrollerin uygunluğunu değerlendirmelidir. Bu fonksiyonlar, sigorta şirketinin yönetiminde güçler ayrılığına (yönetişimde kontrol mekanizmasına) katkıda bulunur ve gözetim görevinde yönetim kuruluna gerekli güvenceyi sağlar. İç denetim fonksiyonu, şirketin iç kontrol sisteminin kalitesi ve etkinliği konusunda bağımsız güvence sağlar.

Kontrol fonksiyonları; çalışanlarla iletişim kurma ve sorumluluklarını yerine getirmek için, herhangi bir iş birimindeki ihtiyaç duydukları bilgiye sınırsız erişim yetkisine sahip olmalıdır. Ayrıca, incelemeleri sonucunda ortaya çıkan her türlü usulsüzlük veya olası ihlalleri, yönetimin olumsuz tepki vermesinden çekinmeksizin, üst yönetime ve/veya kurula rapor etmekte özgür olmalıdır.

Sigorta Temel Prensiplerine göre uyum fonksiyonu; yalnızca yasalara, düzenlemelere ve denetim gerekliliklerine uyumu izlemekten daha geniş bir role sahiptir. İç politikalara uyumun izlenmesi, şirket içinde bir uyum kültürünün teşvik edilmesi ve sürdürülmesi, bu kontrol fonksiyonunun aynı derecede önemli yönleridir.

Uyum en üst düzeyde başlar. Yönetim kurulu; şirket genelinde dürüstlük, sorumlu davranış, iç ve dış yükümlülüklere uyuma önem veren kurumsal etik kuralların oluşturulmasından ve bunları destekleyen etkili bir kurum kültürünün teşvik edilmesinden nihai olarak sorumludur.

Yasal ve düzenleyici yükümlülükleri belirlemek, değerlendirmek, raporlamak ve sorunları çözmek için risk yönetimi metodolojileri kullanılır. Özellikle yüksek sorumluluk gerektiren pozisyonlarda bulunan veya yüksek riskli faaliyetler yürüten çalışanlar için temel yasal ve düzenleyici yükümlülükler konusunda eğitimler düzenlenmelidir.

Sigorta şirketlerinin; teknik karşılıklar, fiyatlama, sermaye yeterliliği, reasürans, aktüeryayla ilgili yasal ve düzenleyici gerekliliklere uyum konusunda değerlendirme ve tavsiye sağlama kapasitesine sahip etkin bir aktüerya fonksiyonuna sahip olması gerekir.

Aktüer, fiyatlama stratejilerinin belirlenmesi, rezerv tahminlerinin yapılması ve sermaye gereksinimlerinin belirlenmesi de dahil olmak üzere, sigorta işlemleriyle ilişkili finansal risklerin değerlendirilmesi ve yönetiminde kritik bir rol oynar. Bu nedenle, aktüerya raporunun hem üst düzey yönetime hem de yönetim kuruluna sunulması, aktüeryal hususların şirketin stratejik karar alma süreçlerine entegre edilmesini ve yönetim kurulunun mali konularda bağımsız ve objektif tavsiye almasını sağlamaya yardımcı olur.

Sigorta şirketinin, kurumsal yönetim çerçevesinin kalitesi ve etkinliği konusunda yönetim kuruluna bağımsız güvence sağlayabilen etkili bir iç denetim işlevine de sahip olması gerekmektedir. Kurulun gözetim görevlerinden biri; iç denetim tarafından sağlanan bilgilerin, şirketin iç kontrol sisteminin etkinliğini doğrulamasına olanak sağlamaktır.

SONUÇ

İç Sistemler Yönetmeliğinin, şirketlere uluslararası standartlar ve rehberler ile uyumlu bir yapı sunduğu görülmektedir. Buna göre şirketler; kontrol fonksiyonlarını ve raporlama hatlarını, organizasyon yapısında etkili bir şekilde işletilmelerine olanak sağlayacak şekilde oluşturmalıdır. Kontrol fonksiyonlarının, yönetim kuruluna veya ilgili kurul komitesine doğrudan erişimi sağlanmalıdır. Şirketler tarafından; öngörülen bu yapılanmadaki pozisyonlara uygun, yetkin kişilerin atanması ve kâğıt üzerinde kusursuz görünen bu sistemlerin gerçek hayatta doğru ve etkin bir şekilde yürütülmesi önem taşımaktadır.

Genel olarak; iç denetim, risk yönetimi, uyum ve kontrol ile ilgili raporlama ve kurumsal yapılar şirketler ve sektörler arasında farklılık gösterse de bağımsızlık, hesap verebilirlik ve etkinlik ilkeleri temel noktalar olmaya devam etmektedir.

Bu bağlamda, iç sistemlerin yapılanması ve işletilmesi, şirketlerin operasyonel ve finansal başarısı için kritik bir rol oynamaktadır. Uygun yapılandırılmış ve etkin iç sistemler, risklerin etkili bir şekilde yönetilmesini, uyumun sağlanmasını ve şirketin sürdürülebilirliğini destekler. Bu nedenle, şirketler iç sistemlerini sürekli olarak gözden geçirmeli ve iyileştirmelidir; böylece değişen düzenleyici gereksinimlere ve işletme ortamına uyum sağlayabilirler.

 

Saygılarımızla

AESY Legal

 

 

[1] COSO (Committee of Sponsoring Organizations); iç kontrol, risk yönetimi ve kurumsal yönetimi geliştirerek kuruluşların performansını artırmalarını amaçlayan uluslararası kabul görmüş bir çerçeve sunan komitenin adının kısaltmasıdır.

[2] Insurance Core Principles (ICPs) – Sigortacılık Temel Prensipleri

[3] SEDDK – Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu

[4] IAIS – The International Association of Insurance Supervisors: Uluslararası Sigorta Denetçileri Birliği

Leave a Reply

Your email address will not be published. Required fields are marked *