Banking Foundations · 03
Risk Yönetimi Organizasyonu

kim ne yapar?

Önceki sayfada riskleri gördük. Şimdi soru şu: bu riskleri kim yönetiyor, kim kontrol ediyor, kim denetliyor?

Bu sorunun cevabı three lines of defense — üç savunma hattı — çerçevesiyle verilir. Bankacılık sektöründe evrensel bir standarttır. Her hattın farklı bir rolü vardır ve birbirinin işine karışmaması beklenir.

Bu sayfanın sana özellikle söylemesi gereken şey: validasyon ekibi ikinci hattadır. Model geliştiren ekipten bağımsızdır. Bu bağımsızlık bir tercih değil, regülatör ve iyi yönetişimin şartıdır.

neden bağımsızlık şart?

Model geliştiren ekip iyi niyetli olsa bile, kendi ürettiklerini yeterince eleştirel gözle değerlendiremez. "Yanlış yaptım mı?" sorusunu soran ile "yanlış yaptın mı?" sorusunu soran kişi aynı olmamalıdır. Validasyonun değeri tam da bu asimetrik bakış açısından gelir.

üç savunma hattı

Her hat bir öncekinin üzerine oturur. Tıkla — her hatta hangi ekipler vardır ve ne yapar?

1.
HAT
İş Birimleri — Birinci Hat
Riski oluşturan ve günlük olarak yöneten
+

İş birimleri riski yaratan taraftır. Kredi açar, müşteri kabul eder, işlem yapar, ürün satar. Aynı zamanda bu riski kendi prosedürleriyle yönetmekten birincil sorumlu olan da kendileridir.

Kurumsal Bankacılık
Büyük ölçekli kredi, dış ticaret
Perakende Bankacılık
Bireysel kredi, KOBİ, kart
Treasury / Finansal Piyasalar
Alım-satım, ALM yürütme
Operasyon & Teknoloji
İşlem altyapısı, sistem yönetimi
Birinci hat, modelleri kullanan taraftır. PD modeli kimin için çalışıyor? Kredi kararı veren analistin ekranında. Bu modelin ne kadar güvenilir olduğunu birinci hat sorgulamaz — sorgulaması gereken ikinci hattır.
2.
HAT
Risk Yönetimi & Uyum — İkinci Hat
Riski bağımsız olarak izleyen ve sınırlayan
+

İkinci hat, birinci hattan bağımsız çalışır. Riskin varlığını kabul eder ama onun doğru ölçülüp ölçülmediğini, yeterince kontrol altında tutulup tutulmadığını sorgular. Model validasyon bu hattın içindedir.

Kredi Riski Yönetimi
Politika, limit, portföy izleme
Piyasa Riski Yönetimi
VaR, limit takibi, raporlama
biz
Model Validasyon
Modellerin bağımsız doğrulanması
IRRBB / ALM Riski
Faiz oranı ve likidite riski
Operasyonel Risk
Süreç, sistem, insan hataları
Uyum (Compliance)
AML, KYC, regülatör raporlama
Model validasyon ekibi model geliştiren ekipten ayrıdır ve ona rapor vermez. Aynı üst yönetime rapor verebilir ama hiyerarşik bağımlılık yoktur. Bu fark önemli.
3.
HAT
İç Denetim — Üçüncü Hat
Tüm sistemi dönemsel ve bağımsız olarak denetleyen
+

İç denetim, hem birinci hem ikinci hattı denetler. "Risk yönetimi prosedürlerine uyuluyor mu?", "Validasyon süreçleri doğru işliyor mu?" gibi soruları sorar. Doğrudan yönetim kuruluna raporlar — üst yönetime değil.

İç Denetim
Tüm süreçlerin periyodik denetimi
Dış Denetim
Finansal tabloların bağımsız onayı

Ayrıca banka dışından regülatör denetimi vardır — BDDK Türkiye'de bu rolü üstlenir. Regülatör hem modelleri hem validasyon süreçlerini inceleme hakkına sahiptir.

İç denetim, "validasyon doğru yapılmış mı?" diye sorar. Yani validasyonu da denetler. Bu üçlü katman riskin gözetlenmesinin katman katman olduğunu gösterir.

bir model üretilince ne olur?

Model geliştirme bir tek ekibin işi değildir. Birden fazla hattın devreye girdiği bir süreçtir. Her adımda kimin ne yaptığını gör — validasyonun nerede durduğuna dikkat et.

1
İhtiyaç & Kapsam Tanımı
1. Hat
İş birimi veya risk yönetimi yeni bir modele ihtiyaç duyduğunu tespit eder. Hangi problemi çözecek, hangi kararda kullanılacak, hangi portföyü kapsayacak — bunlar bu aşamada netleşir. Scope yanlış kurulursa model doğru olsa bile işe yaramaz.
2
Veri Toplama & Hazırlık
Geliştirme
Model geliştirme ekibi veriyi toplar, temizler, gözlem penceresi ve performans penceresini tanımlar. Hangi değişkenlerin modele dahil edileceği, veri kalitesi ve temsil gücü bu aşamada sorgulanır.
3
Model Geliştirme & İç Test
Geliştirme
Metodoloji seçilir, model kurulur, eğitim / test ayrımı yapılır, performans metrikleri hesaplanır. Ekip kendi içinde bir kalibrasyon ve discrimination testi gerçekleştirir. Bu aşama geliştirme ekibinin "kendi kendine sınavı"dır.
4
Bağımsız Validasyon
Validasyon — biz
Validasyon ekibi modeli baştan sona bağımsız olarak değerlendirir. Kavramsal doğruluk, veri uygunluğu, metodoloji seçimi, performans testleri, replikasyon, benchmark karşılaştırması, kullanım amacı uyumu. Bulgular raporlanır ve derecelendirilir.
→ Sonraki sayfa (04) ve 17. sayfa bu adımı derinlemesine işliyor.
5
Komite Onayı
Komite
Validasyon raporu ve geliştirme ekibinin yanıtları ilgili komiteye sunulur (Model Risk Komitesi veya Risk Komitesi). Komite modelin onaylanıp onaylanmayacağına, koşullu onaylanıp onaylanmayacağına ya da reddedilip reddedilmeyeceğine karar verir.
6
Canlıya Alma & Kullanım
1. Hat
Model onaylandıktan sonra üretim ortamına alınır ve kararların bir parçası haline gelir. Kullanımın onaylanan kapsam ile uyumlu olması zorunludur — "use test" olarak adlandırılan bu kontrol validasyonun da takip ettiği bir alandır.
7
Sürekli İzleme & Yeniden Validasyon
Geliştirme + Validasyon
Model canlıya alındıktan sonra periyodik olarak izlenir. Performans bozulması (drift), portföy yapısı değişimi, regülasyon güncellemesi veya önemli metodoloji değişimi — bunlar yeniden validasyon tetikleyicileridir. Bu döngü modelin hayatta kaldığı sürece devam eder.
→ Trigger kriterleri ve izleme metrikleri 17. sayfada ele alınıyor.

kilit komiteler

Kararlar bireysel değil, komite kanalıyla alınır. Bankalar arasında farklılık gösterebilse de genel olarak hangi komite ne işe bakar?

Risk
Komitesi
Risk Komitesi (RC)
Bankanın genel risk iştahını belirler ve izler. Limit onayları, risk politika değişiklikleri ve kritik model kararları burada ele alınır. Üst yönetime ve yönetim kuruluna raporlar.
ALCO
Asset & Liability Committee
Bankanın aktif-pasif yapısını, faiz oranı riskini ve likidite pozisyonunu yönetir. NMD, IRRBB ve bilanço kararları bu komitede tartışılır. Treasury ve ALM ekipleri bu komiteye raporlar.
Kredi
Komitesi
Kredi Komitesi
Belirli tutarın üzerindeki kredi kararlarını onaylar. Büyük kurumsal krediler, limit artışları, yeniden yapılandırmalar bu komitede karara bağlanır.
Model
Risk
Model Risk Komitesi (MRC)
Validasyon bulgularını, model onaylarını ve model risk limitlerini yönetir. Her bankaların yapısına göre ayrı bir komite olarak var olmayabilir — bu işlev Risk Komitesi'nin altında da yürütülebilir.
YK
Yönetim Kurulu & Denetim Komitesi
Bankanın en üst gözetim organı. Risk iştahı çerçevesini onaylar, üst yönetimi denetler. İç denetim ve bağımsız denetçi doğrudan YK Denetim Komitesi'ne raporlar.

bu sayfadan götürülecekler

üç hat birbirini denetler
Birinci hat riski yaratır ve yönetir. İkinci hat bağımsız izler. Üçüncü hat hepsini denetler. Aynı kişi hem birinci hem ikinci hat olamaz.
validasyon ikinci hattadır
Model geliştirenden bağımsız, aynı üst yönetime raporlar. Bu bağımsızlık regülatör şartıdır. Geliştirme ekibinin söylediğine inanmak yeterli değildir.
model lifecycle lineer değildir
Onaylanan model biterken değil, izleme döngüsüne girer. Trigger geldiğinde yeniden validasyon başlar. Model risk hiçbir zaman "kapanmış" bir konu değildir.
kararlar komitede alınır
Bireysel karar yok. Validasyon raporu hazırlar, geliştirme yanıtlar, komite karar verir. Bu yapı hem yönetişimin hem bağımsızlığın güvencesidir.
Sıradaki adım: Validasyon ekibinin içine girmek — tam olarak ne yapıyoruz, nasıl yapıyoruz, geliştirme ekibinden farkımız nedir?
Mehmet Yığılı · © 2026 ·