İç Kontrol sistemi Kobirate Uluslar arası Kredi Derecelendirme ve Kurumsal Yönetim Hizmetleri A.Ş.’nin karşılaştıkları risklerin izlenmesi ve kontrolünü sağlamak üzere kurulacak iç denetim sistemleri ile risk yönetim sistemlerine ilişkin esas ve usulleri belirlemeyi amaçlamaktadır.

Risk yönetim ve iç denetim sistemleri; iç kontrol ve yönetim süreçlerinin etkinliğini ve verimliliğin değerlendirilmesi ve geliştirilmesi için sistematik yaklaşımlar geliştirerek Kobirate’in amaçlarını gerçekleştirmesine yardımcı olur. İç Kontrol sistemi Kobirate’in tüm personelini kapsamaktadır.

Yasal dayanak

“01.11.2005 tarihinde 25983 sayılı resmi gazetede yayınlanan 5411 sayılı Bankalar Kanunu. Sermaye Piyasası Kurulunun Derecelendirme Faaliyeti ve Derecelendirme Kuruluşlarına ilişkin olarak 12.07.2007 tarih ve 26580 sayılı resmi gazetede yayınlanan seri VIII 51 no lu tebliği. Bankacılık Düzenleme ve Denetlene Kurumunun Bankaların iç sistemleri hakkındaki ve Derecelendirme kuruluşlarının yetkilendirilmesine ve faaliyetlerine ilişkin esaslar hakkındaki 01.11.2006 tarihli 26333 sayılı resmi gazetede yayınlanan yönetmelikleri. Bankacılık Düzenleme ve Denetleme Kurumunun Derecelendirme Kuruluşlarının Yetkilendirilmesi ve Faaliyetlerine İlişkin Esaslar Hakkında Resmi Gazete’nin 29.09.2007 tarih ve 26658 sayısında yayınlanan Değişiklik Yönetmeliği’ne dayanarak hazırlanmıştır.

İç Kontrol İşlevinin Etkinliğini Belirleyen Unsurlar.

İç denetim ve risk yönetim işlevlerinin etkin bir şekilde yerine getirilmesi amacıyla Kobirate, İnsan Kaynakları Yönetmeliği ve aşağıda belirtilen konularda yazılı iç kurallar, politikalar veya yönetmelikler hazırlamak zorundadır.

a)- Bilgi Güvenliği Politikaları,
b)- Karar alma süreçleri ve sorumlulukların belirlenmesi,

Yönetim Kurulu’nun İç Kontrol İşlevindeki Sorumluluğu

Yönetim Kurulu;

Genel kurula karşı sorumludur, Kobirate’in, iç denetim ve risk yönetimi faaliyetlerine ilişkin önemli strateji ve politikaları oluşturarak onaylar, uygulamasını dönemsel olarak kontrol eder.

Risk yönetim ve iç denetim sisteminin kurulması, sürdürülebilmesi ve kontrollerinin raporlanması için iki Yönetim Kurulu Üyesini oy birliği ile bir yıl süre ile görevlendirir. Yönetim Kurulu iş gelişmelerine bağlı olarak denetimden sorumlu Yönetim Kurulu Üyelerinin önerisi ile organizasyon içerisinde iç kontrol ve kalite güvence birimi oluşturabilir ve önerilen kadar eleman istihdam edebilir.

Genel Müdür ve Yardımcılarının Sorumluluğu

Kobirate’in üst düzey yönetimi;

Bu yönetmelikle belirtilen İç denetim ve risk yönetim sistemlerini uygulayacak organlarla eşgüdümlü olarak; Yönetim Kurulu’nca onaylanan etik kurallar, iç kontrol stratejileri, politikaları ve süreçlerin belirlenmesi, yürütülmesi ve gerektiğinde yeni riskleri de içerecek şekilde yeniden düzenleme ve etkinliğinin kontrolünden sorumludur.

Ayrıca Kobirate’in taşıdığı risklerin tespit edilmesi ölçülmesi, izlenmesi ve kontrol edilmesi için araç ve uygulama usullerinin geliştirilmesinden Yönetim Kurulu’na karşı sorumlulukları vardır.

Diğer Personelin Sorumlulukları

Etkin bir kontrolün sağlanmasında, tüm personel Kobirate’in İnsan Kaynakları, Etik Kuralları, Risk Yönetim ve İç Denetim Yönetmelikleri’ne göre kendi sorumluluklarını yerine getirmeli, mesleki ilkelerine bağdaşmayan uygulamalar ile görevleri dolayısıyla karşılaştıkları Kobirate politikalarına aykırı veya yasal olmayan faaliyetler gibi hususları üst yönetim ile paylaşmalıdırlar.

Bilgi İşlem Sisteminde Oluşturulacak Kontroller

Bilgi sistemlerinin ve bilgi işlem teknolojisinin;

İçerdiği risklerin Kobirate’in faaliyetlerinin kesintisiz yürütülmesi ve olası zararların önlenmesi amacıyla etkin kontrolü şarttır.

Genel incelemeler, veri yedekleme ve diğer işlemleri, kullanılan temel yazılımlardaki gelişmeleri ve yeni yazılım planlamalarını, bilgi erişim politikalarını ve bilgi erişimine ilişkin fiziki ve mantıksal güvenlik kontrollerini, yasal olmayan ve yetkisiz kullanımlara karşı koruyan tedbirleri kapsar.

Karar Alma Süreçleri, Sorumlulukların Belirlenmesi ve Personel Politikası

Kobirate’in iç denetim ve risk yönetim sisteminin etkin bir şekilde çalışmasının sağlanması amacıyla oluşturulan organizasyonu oluşturmuştur ve sürekli genişlemektedir. Kobirate organizasyon yapısı içerisinde bilginin yukarıdan aşağıya, aşağıdan yukarıya ve yatay olmak üzere tüm yönetim kademeleri ile personeline ulaşacak biçimde akışı amaçlanır.

Kobirate’in metodolojileri, etik kuralları, politikaları, bilgi işlem sistemi, iş süreçleri ve uygulama usulleri hakkında her kademede tüm personelin bilgi sahibi olması uygulanacak olan eğitim programları ile sağlanır.

Eğitim programlarının içeriği Kobirate Yönetim Kurulu’nun 14.07.2008 tarih ve 5 sayılı kararı ile kabul edilmiş olup internet sitesi aracılığı ile kamuya açıklanmıştır.

Kobirate’in personel politikası ve personelinin hak ve yükümlülüklerinin belirlenmesi amacıyla İnsan Kaynakları Yönetmeliği oluşturulmuştur,.

Karar alma süreçleri, personelin sorumlulukları ve diğer konular hakkında; Kobirate metodolojisi, etik kuralları ve İnsan kaynakları yönetmeliği uygulamalarına tabidir.

İç Denetim Risk yönetim Sisteminin Amacı ve Temel Unsurları

İç denetim ve Risk yönetim sistemi faaliyetleri, verimliliğinin, etkinliğinin, idari ve diğer konulara ait bilgilerin güvenilirliğinin, bütünlüğünün ve zamanında elde edilebilirliğinin, Kobirate’in faaliyetlerinin yasalara ve düzenlemelere tam anlamıyla uygunluğunun sağlanmasını amaçlar.

Bu amaçlara ulaşmak için iç denetim sistemi,

a- Kobirate faaliyetlerinin yasal düzenlemelere, Yönetim Kurulunca tespit edilmiş strateji ve politikalara uygun olarak, etkin şekilde planlanmasının ve yürütülmesinin kontrolünü;
b- İşlemlerin ve yükümlülüklerin özel yetkilere dayalı olarak gerçekleştirilmesini;
c- Hatalardan kaynaklanan risklerin asgariye indirilmesi için risklerin tanımlanabilmesi ve gerekli önlemlerin alınmasını;

Sağlayacak şekildedir.

Temel Kontrol Alanları

Temel kontrol alanları düzenli aralıklarla yapılan sıradan kontroller ve özel incelemelerin ya da acil ve hızlı incelemelerin odaklandığı faaliyet alanlarını kapsar.

Başlıca temel kontrol alanları aşağıdadır

a- Kobirate’in ilgili mevzuatlara uygunluğunun sağlanması,
b- Temel faaliyet alanlarının özel kontrolü,
c- Otomasyon ve bilgi işlem kontrolü,
d- Acil ve beklenmedik durum planlaması,

Şeklindedir.

Risklerin Tanımlaması ve ölçülmesi

Kobirate’in maruz kalabileceği riskler ve tanımları aşağıdaki gibidir.

Operasyonel Risk; Hata ve usulsüzlüklerin gözden kaçması şirket yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilmemesi, yönetim hataları, bilgi ve teknoloji sistemlerinde oluşan hata ve aksamalar, deprem, yangın sel felaketi gibi mücbir sebeb sayılabilecek dışsal etkilerden kaynaklanacak kayıp ya da zarara uğrama olasılığıdır.

Mevzuat ve Düzenlemelere Uyulmama Riski; Mevzuat hükümlerine ve yasal yükümlülüklere uyulmaması sonucu ortaya çıkabilecek kayıpları ifade eder.

Risklerin ölçülmesi, Kobirate’in maruz kaldığı risklerin belirli ölçüler veya kriterler kullanılarak sayısal ve analitik bir şekilde ifadesini sağlar.

Kobirate’in maruz kalabileceği riskin üç ayrı ölçüm kategorisi çerçevesindeki boyutları aşağıda belirtilmiştir.

a- Birinci ölçüm kategorisi; Tahmin edilen kayıp ve zarar
b- İkinci ölçüm kategorisi; Tahmin edilemeyen kayıp ve zarar
c- Üçüncü ölçüm kategorisi; Oluşturulan senaryo çerçevesinde stres altında tahmin edilen kayıp veya zarar,

Risk politikaları

Risk politikaları ve bunlara ilişkin uygulama esasları Yönetim Kurulu tarafından oluşturularak uygulamaya konulur. Tüm personel risk politikaları ve uygulamaları ile ilgili olarak Yönetim Kurulu tarafından alınan kararlar ve uygulama esaslarından haberdar edilir.

Risk Yönetiminin ve İç denetim organizasyonu

Bu yönetmeliğin beşinci maddesinde belirtilen ve risk yönetiminin uygulanabilmesi ve politikalarının belirlenmesinden sorumlu ve Yönetim Kurulunca oy birliği ile seçilen üyeler; Kobirate’in mevcut iş potansiyeli ve oluşabilecek risklerin artma olasılıkları göz önünde bulundurularak risk yönetim ve iç denetim için Yönetim Kurulu kararı ve yürürlükteki personel yönetmeliği uyarınca organizasyonunu genişletebilir.

Kobirate Yönetim Kurulu bu konuda yeterli kaynağı alacağı kararla Genel Müdürlüğe aktaracaktır. Aktarılan kaynak derecelendirme hizmet gelirlerinden bağımsız olarak Yönetim Kurulu’nca belirlenir. Gereksinim bulunması halinde kaynak aktarımı yönetim kurulunun öncelikli işleri arasındadır. Kurulan sistemin bizzat kendisi, işleyişi, alınan sonuçlar, yapılan yeni planlamalar yılda iki kez kamuoyu ile paylaşılacaktır. Şirket belgelerinin korunması amacıyla bir arşiv oluşturma ve bu arşivin kullanımı ve yararlanma koşulları risk yönetim ve iç denetim organizasyonun sorumluluğundadır.

İç Denetim ve Risk Yönetim sistemlerinin değerlendirilmesi

Kobirate Yönetim Kurulu ve Denetim Kurulu yerinde denetim sistemlerini de uygulayarak tüm denetim ve yönetim sistemlerini inceler ve değerlendirir. Mevcut iş potansiyeli ve iş geliştirme gruplarınca yeni ürünlerin oluşturulmasından sonra mevcut sistemler ve denetim koşullarının yeterli olmadığı kanısına varılırsa yeni kontrol matrislerini oluşturur.