Riskler ve Yönetim Organının Değerlendirmesi

Risk Yönetimi, İç Kontrol ve Uyum Direktörlüğü

Risk Yönetimi, İç Kontrol ve Uyum Direktörlüğü, 25 Kasım 2021 tarih ve 31670 sayılı Resmi Gazete’de yayımlanan Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik hükümlerine uygun bir şekilde yapılandırılmıştır. Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik md. 48/8 uyarınca, sigorta grubu nezdinde ortak biçimde iç sistem fonksiyonları yapılandırılabilmektedir. Bu kapsamda Medisa Sigorta A.Ş, AgeSA Hayat ve Emeklilik AŞ, Aksigorta A.Ş. iç sistemleri mevzuatın izin verdiği ölçüde birlikte yapılandırılmıştır.

Risk, İç Kontrol ve Uyum Direktörlüğü, Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik’te tanımlanmış olan nitelikleri taşıyan çalışanlardan oluşmaktadır ve yıl boyunca, çalışanların mesleki gelişimlerini ve bilgi birikimlerini artırmaya yönelik eğitimlere katılımı sağlanmıştır.
‍
Risk yönetimi ve iç kontrol faaliyetleri aracılığıyla;

• Yasal yükümlülükler ile Şirket risk yönetim politikalarına ve risk iştahı limitlerine uyumun sağlanması,
• Maruz kalınan tüm yapısal risklerin tespiti ve risklerin belirlenen tolerans limitleri içerisinde yönetilmesini sağlamak üzere kontrol çerçevesinin oluşturulması ve etkin işletilmesi,
• Risklerin tolerans içine çekilmesi için aksiyonların tasarlanması ve uygulamaya konması ile söz konusu risklerin şeffaf biçimde raporlanması konularında Yönetim Kurulu’na güvence verilmesi hedeflenmektedir.
‍
Uyum faaliyetleri, Risk Yönetimi, İç Kontrol ve Uyum Direktörlüğü gözetiminde yürütülmektedir. Risk Yönetimi, İç Kontrol ve Uyum Direktörlüğü, Mevzuat Komitesi’nin üyesi olarak, yürütülen mevzuat çalışmalarını izlemekte ve yönlendirmektedir. Şirket’in ilgili fonksiyonlarının temsilcilerinin yer aldığı Komite, Medisa Yürütme Kurulu’na raporlamaktadır.
‍
Risk izleme, değerlendirme ve yönetim faaliyetleri ile iç kontrol faaliyetlerini içeren raporlar Yönetim Kurulu ve Riskin Erken Saptanması Komitesi’ne düzenli aralıklarla sunulmaktadır.

İç Kontrol Müdürlüğü

Faaliyetlerin icrasını gerçekleştiren iş birimleri, iç kontrol faaliyetlerinin yürütülmesinden birinci derecede sorumludur. İç Kontrol Müdürlüğü, iş birimleri tarafından yürütülen süreçlerin veya yapılan kontrollerin tasarımında destek sağlamak, söz konusu süreçlerin ve kontrollerin yeterliliğini ve etkinliğini değerlendirmek ve iç kontrol fonksiyonunun etkinliğini gözetmekten sorumludur.
‍
İç Kontrol Müdürlüğü faaliyetleri ile aşağıda belirlenen başlıklarda katkı sağlamayı amaçlamaktadır:
‍
• Yönetim Kurulu’nun belirlediği İç Kontrol Yönetmeliği ve Operasyonel Risk Yönetimi Politikası’nın uygulanması,
• Güçlü ve etkin iç kontrol bilinci oluşturarak, sağlam ve güvenilir bir kontrol çerçevesi uygulanması,
• Operasyonel risklerin belirlenen tolerans limitleri içerisinde yönetilmesini sağlayacak kontrol çerçevesinin uygulanması ve gözetilmesi.
‍
İç Kontrol Müdürlüğü tarafından 2025 yılında, İç Kontrol Prosedürü oluşturularak yürürlüğe alınmıştır. İç Kontrol noktalarının belirlenmesi ve etkinliklerini takip etmek amacıyla Excel raporlama şablonu oluşturulmuştur ve iş birimlerinin kontrol çerçeveleri oluşturulmuştur. Şirket çalışanlarının iç kontrol ile ilgili bilgi ve farkındalık seviyelerini artırmaya yönelik eğitimler düzenlenmiştir. Süreç çizimlerinin oluşturulması için Danışman şirketten destek alınmakta olup; süreç çizimleri tamamlanmıştır. Eylül ayı içerisinde ilk 6 aya ait İç Kontrol raporu yayınlanmış olup; bundan sonraki süreçte 3 aylık dönemlerde düzenli olarak yayınlanmaya başlayacaktır.

Risk Yönetimi Müdürlüğü

Müdürlük, Şirket genelinde risk yönetim fonksiyonunun yeterliliğini ve etkinliğini sağlamaktan sorumludur; Şirket kontrol çerçevesinin tasarım ve etkinliğinin risk iştahına uygunluğunu gözetmekte; iş planları, projeler ve diğer kritik iş kararlarına yönelik risklerin değerlendirilmesini sağlamaktadır.
‍
Risk yönetimi politika ve uygulama usullerinin değişen koşullara uyum sağlaması gerekmektedir. Bu kapsamda Risk Yönetimi Müdürlüğü tarafından, iç kontrol sistemi ile iç denetim sistemi çıktılarından da yararlanılarak, ilgili politikaların yeterliliği düzenli olarak değerlendirilmekte ve gerekli revizyonlar Yönetim Kurulu onayına sunulmaktadır.
‍
Risk yönetiminin, Şirket iş yapış kültürünün bir parçası haline gelmesi ile, alınan tüm önemli iş kararlarında risk boyutu da değerlendirilmektedir.
‍
Operasyonel risk ve kontrollerin yönetimine ilişkin uygulanan Operasyonel Risk ve Kontrol Yönetim Çerçevesi (ORCM) metodolojisinin iş birimlerince içselleştirilmesi ile, operasyonel risk yönetiminin, iş süreçlerinde karar mekanizmasının bir parçası haline gelmesi beklenmektedir.

Risk Yönetimi Müdürlüğü tarafından 2025 yılında Medisa için ilk defa Sermaye Yönetimi ve Temettü Politikası, Sigorta Riski Politikası, Piyasa Riski Politikası oluşturma çalışmaları gerçekleştirilmiştir. Şirket Risk Kataloğu’nda yer alan kritik ve öncelikli riskler için ilgili risk sahipleri ve risk temsilcileri ile içsel ve artık risk değerlendirmeleri Excel raporlama şablonları üzerinden gerçekleştirilmiştir. Riskin Erken Saptanması Komitesi’nde finansal risk metrikleri ve stratejik projelerin güncel durumu raporlanmaya başlanmıştır. Şirket çalışanlarının risk yönetimi ile ilgili bilgi ve farkındalık seviyelerini artırmaya yönelik genel risk yönetimi eğitimleri ile operasyonel kayıp raporlaması eğitimleri düzenlenmiştir. Gelişmekte olan riskler çalışması ile tüm fonksiyon yöneticilerinin bilgi ve değerlendirme sonuçları konsolide edilerek Medisa’nın 2024 yılına ait gelişmekte olan riskleri belirlenmiştir.

Mevzuat Uyum Grup Müdürlüğü

Mevzuat Uyum Grup Müdürlüğü, mevzuat değişikliklerinin olası etkilerini değerlendirmek, uyum riskini tanımlamak, bu riskleri raporlamak ve gözetimini sağlamaktan sorumludur. Müdürlüğün temel amacı, Şirket’in gerçekleştirdiği ve planladığı tüm faaliyetler ile yeni işlem ve ürünlerin Kanuna ve ilgili diğer mevzuat, Şirket politikaları ve sigortacılık teamüllerine uygun olmasını sağlamak amacıyla Şirket Yönetimine destek vermektedir. 2025 yılında da iç sistemler mevzuatı kapsamında takip edilmesi gereken kritik konularla ilgili çalışmalar sürdürülmüş ve gerekli alanlarda Hukuk Müşavirliği ve Uyum Birimine destek verilmeye devam edilmiştir.
‍
Yıllık Uyum İzleme Planına uygun şekilde şirketin kritik mevzuat riskleriyle ilgili kontrol çerçevesinin tasarlanması ile ilgili faaliyetler yürütülmeye devam etmiştir. Bu çerçevede Kişisel Verilerin Korunması Kanunu (KVKK) ve MASAK mevzuatına uyum için tasarlanmış kontrol süreçleri Hukuk Müşavirliği ve Uyum Birimi tarafından işletilmeye başlatılmıştır. Ayrıca Şirketin güncel ve değişen mevzuatlarının iş birimleri tarafından takip edilebilmesi, sorumlu tarafların belirlenmesi için mevzuat kontrol listesi oluşturularak mevzuat sahiplerinin uyum beyanları alınmıştır.

Müşteri memnuniyetini yakından takip etmek ve şikayet yönetimi ve raporlama süreçlerinin mevzuata uyumunu değerlendirmek amacıyla şikayet yönetimi uyum izleme faaliyeti gerçekleştirilmiştir. İlgili süreçlerin daha etkin olabilmesi için aksiyon planları yapılmıştır.
‍
Uyum riskleri ile uyum projelerindeki çalışmalar yıl boyunca takip edilmiş ve gelişim önerileri düzenli olarak Riskin Erken Saptanması Komitesi’ne raporlanmaya devam edilmiştir.
‍
Grup Müdürlüğü çalışanlarının bilgi birikimlerini artırmak ve mesleki gelişimlerini desteklemek amacıyla gerekli eğitimlere katılımları sağlanmıştır.

Aktüeryal Gözetim Birimi

Aktüeryal Gözetim Birimi, Şirket’in genel fiyatlama politikası, portföy kârlılığı, reasürans anlaşmalarının aktüeryal açıdan yeterliliği, teknik karşılıkların yeterliliği ve şirket portföyünün risk düzeyinin gelişimini ve değişimini gözetmek, gerekli görülen önlemlerin üst yönetim ve Riskin Erken Saptanması Komitesi’ne raporlanmasından sorumludur.
‍
2025 yıl sonu itibarıyla birim kadrosunda üç kişi görev yapmaktadır. Sorumlu aktüerlik hizmetini ise anlaşmalı olduğu bir dış kaynak firmasından temin etmektedir. Birim personelinin aktüeryal konulardaki mesleki bilgi, beceri ve yeteneklerinin geliştirilmesine yönelik eğitim programlarına katılımları sağlanmakta, aktüerlik sınavlarına girmeleri desteklenmekte ve teşvik edilmektedir.
‍
Birim bünyesinde 2025 yılında, UFRS 4 yükümlülükleri kapsamında çeyreklik bazda dönem kontrol faaliyetleri yerine getirilmiştir. Ayrıca şirketin reasürans sözleşmeleri gözden geçirilmiş ve yeni oluşturulan ürünlerin tarife teknik esasları için incelemeler gerçekleştirilmiştir.

Bilgi Teknolojileri ve Bilgi Güvenliği Riskleri Yönetimi

Bilgi Teknolojileri (BT) riski, iş süreçlerini olumsuz yönde etkileyecek şekilde otomasyon sisteminin, ağ veya diğer kritik BT kaynaklarının kaybedilmesi potansiyelidir. Teknolojinin iş süreçlerinin bir parçası haline gelmesi ile bilgi teknolojileri ve bilgi güvenliği risklerinin etkin yönetimi Şirket’in öncelikli hedefleri arasındadır.
‍
Bilgi Teknolojileri kapsamında yer alan temel risk alanları aşağıda özetlenmiştir:

• BT Yönetim ve Strateji Riski• BT Mimari Riski
• İş Sürekliliği Riski• Tedarikçi Yönetim Riski
• Servis Yönetimi ve Dayanıklılık Riskleri
• Değişiklik Yönetimi Riski
• Geliştirme ve Uyarlama Riski
• Kötücül Servis Kesintileri
• Korsan ve Siber Suçlular
• Kötücül İç Kaynaklar
‍
Bilgi Teknolojileri ve Bilgi Güvenliği riskleri, iş riskleri yönetim kapsamı içinde ele alınmakta ve uluslararası geçerliliği olan Bilgi Güvenliği Standartları Cobit ve ISO27001 referans alınarak yönetilmektedir.
‍
2025 yılında temel risk alanlarında genel bilgi teknolojileri altyapısına ilişkin izleme faaliyetleri ve kontrol evreninin değerlendirilmesi çalışmaları sürdürülmüştür.