Sigortacılıkta risk yönetimi faaliyetleri

İLK yazımda literatürde iç sistemler olarak da belirtilen risk yönetimi, iç kontrol ve iç denetim fonksiyonlarının ülkemizde sigortacılık sektöründe nasıl düzenlendiğine ve uygulandığına değinmiştim. Bu yazıda risk yönetimi faaliyetlerinin nasıl kurgulanması gerektiğinden bahsetmeye çalışacağım.
Öncelikle bu yazıda anlatacağım “risk” tanımından bahsedersek, “şirketin; gelecekte ortaya çıkabilecek iç ve dış etkenlerin şirketin amaç ve hedeflerinin gerçekleşmesi üzerindeki olumlu ya da olumsuz etkileri” şeklinde ifade edebiliriz. Dolayısıyla bu tanım sigortacılık sektöründe kullanılan risk tanımından daha geniş bir kümeyi işaret ediyor. Risk yönetiminin temel amacı, şirketin karşılaşabileceği riskleri önceden tespit ederek, olası finansal ya da finansal olmayan etkileri hesaplamak ve bu etkileri azaltmaya çalışmaktır.
Buna bağlı olarak, yerel/uluslararası mevzuatta sigorta şirketlerine etki edebilecek riskleri aşağıdaki ana kategorilerde sınıflandırılabiliriz:
• Teknik/sigortacılık faaliyeti riskleri: Terör, sel, deprem, yangın, eksik fiyatlama, eksik rezerv ayırma, eksik reasürans gibi riskler
• Finansal riskler: Kur, faiz, krediler ve yatırımlardan (menkul/gayrımenkul vb.) doğan riskler
• Operasyonel riskler: İnsan kaynağının eksik olması ya da yetkinliğinin az olması, iç ve dış suistimal, yanlış satış uygulamaları, IT sisteminin durması, siber riskler, veri kalitesinin bozulması, süreç ve prosedürlere uyumsuzluk, tedarikçilerden doğan riskler, mevzuat uyumsuzlukları
Söz konusu risklerin olası etkilerini hesaplamak için farklı metodolojiler kullanılabilir. Sektörde en çok kullanılan yöntemler senaryo analizi ve stres testi uygulamalarıdır. Senaryoların geliştirilmesi sırasında geçmiş yıllarda oluşan hasarların verisi, operasyonel hata ya da yanlış uygulamalar, regülatörden alınan cezalar gibi çalışmalarda geçmiş yıl verileri ve piyasa araştırmaları kullanılarak senaryolar belirlenebilir. Senaryoların değerlendirilmesi ve stres testleri sonucunda finansal ve finansal olmayan etkiler brüt olarak belirlenmiş olacaktır.
Brüt risklerin şirkete olabilecek net etkisini hesaplamak için ise şirketin aldığı reasürans anlaşmaları, uyguladığı yönetişim ve kontrol mekanizmalarının etkileri ölçümlenmelidir.
Kontrol etkinliğinin ölçülmesi ayrı bir yazı konusu olabilir, ancak özetle birim personeli tarafından gerçekleştirilen düzenli kontroller, ay sonu mutabakatları, otorizasyonlar ve ek olarak sistem tarafından uygulanan kısıt ve uyarı mekanizmaları etkinlik oranına etki etmektedir.
Sonuç olarak bu analiz sayesinde, şirketin karşılaşabileceği maksimum etki (brüt), bu etkinin azalması için mevcutta etkin çalışan mekanizmalar ölçümlenir ve net olası etkiye ulaşılır.
Net olası etki hesaplandıktan sonra Üst Yönetim ve Risk Yönetim Birimi tarafından bu net riskin kabul edilmesi/indirgenmesi ya da ortadan kaldırılması yönünde karar alınabilir.
Bu kararları takiben gerekli aksiyonlar birimlerle çalışılarak oluşturulur ve düzenli takibi yapılır, bu süreç risk yönetimi faaliyetlerinin etkin devamlılığı için çok önemlidir.
Risk yönetimi faaliyetinin diğer bir önemli bacağı risk izleme faaliyetleridir, bu faaliyetleri etkin bir şekilde gerçekleştirmek için şirket Üst Yönetimi (hatta Yönetim Kurulu) tarafından değerlendirmeye konu her bir risk için kapasite ve limitler belirlenmelidir. Sonrasında limitler şirket operasyonlarına entegre edilerek kapasite ve limit aşımlarının engelllenmesi, dönemsel olarak durum raporlamasının yapılması ve aşım durumlarında alınacak aksiyonların planlanması gerekmektedir.
Etkin risk izleme faaliyetleri ile kontrol mekanizmalarının kurulması konularını sonraki yazılarımda derinlemesine inceleyeceğim, ama yukarıda bahsettiklerimi özetlemek gerekirse, risk yönetimi faaliyetleri şirketin stratejisi, operasyonları ve finansal durumu ile yakından ilgilidir ve şirketin gelecekte karşılaşabileceği olumsuz etkileri minimize etmek amacını taşır. Dolayısıyla bu faaliyetlerin Üst Yönetim tarafından düzenli olarak takibi çok önemlidir.