2. COSO ( The Committee of Sponsoring Organizations of the Treadway Commission )
COSO bugüne kadar 2 çerçeve oluşturdu ;
1992 yılında yayınlanan ve 2013 yılında revize edilen İç Kontrol - Entegre Çerçevesi
( Internal Control-Integrated Framework )
2004 yılında yayınlanan Kurumsal Risk Yönetimi-Entegre Çerçevesi’dir
( Enterprise Risk Management – Integrated Framework )
COSO, Kurumsal Risk Yönetimi Çerçevesini de revize ederek,
Kurumsal Risk Yönetimi - Riskin Strateji ve Performansla Uyumlaştırılması
( Enterprise Risk Management—Aligning Risk with Strategy and Performance ) adıyla yayınlandı.
3. Yenilemenin
Gerekçeleri
Çerçevenin ilk çıktığı dönemden bu yana, yeni risklerin
ortaya çıkması, risklerin daha karmaşıklaşması,
paydaşların risk yönetimi farkındalığının artması, daha
iyi risk raporlaması beklentileri ve kurumsal risk
yönetimindeki gelişmelerin çerçeveye yansıtılması,
olduğu belirtilmiştir.
4. Yenileme ile
çerçevenin adı
ve yapısı
değiştirildi
Çerçevenin adında, strateji, risk ve performans
arasındaki ilişkiye vurgu yapılmıştır. Aşağıda
gösterildiği üzere, yeni çerçevede 5 adet bileşen
(Yönetişim & Kültür, Strateji & Hedef Oluşturma,
Performans, Gözden Geçirme & Düzeltme, Bilgi,
İletişim & Raporlama) ve bunlara ilişkin 20 adet
prensip belirlenmiştir.
5.
6.
7. Eski 2004 çerçevesinde 8 adet bileşen ( İç Ortam,
Hedef Oluşturma, Olay Belirleme, Risk
Değerlendirme, Kontrol Aktiviteleri,
İzleme ) vardı ve bunların altında prensipler şeklinde
şeklinde bir yapı yoktu. Görüldüğü üzere, kurumsal
yönetimin bileşenleri, kurumun amaçları ve kurumsal
yapı arasındaki ilişki küp şekliyle ifade edilmişti.
8.
9. Yeni gösterimde küp yerine, helezon şeklinde bir
gösterim yapıldı ; Bu yeni şekilde, kurumsal risk
yönetiminin bileşenlerinin, kurumun misyon, vizyon ve
temel değerleriyle ilişkisi gösterildi. Diyagramın üç şeridi
( Strateji & Hedef Oluşturma, Performans, Gözden
Geçirme & Düzeltme ) kurum boyunca akan genel
süreçleri temsil ettiği, diğer iki şeridin ise ( Yönetişim &
Kültür ve Bilgi, İletişim & Raporlama ) kurumsal risk
yönetiminin destekleyici unsurlarını temsil ettiği ifade
edildi.
10. Yeni gösterime göre, kurumsal risk yönetimi, strateji
geliştirme, iş hedeflerinin oluşturulması/uygulanması ve
performansla entegre edildiğinde, bunun kurumun
değerini artıracağı ifade edildi. Kurumsal risk
yönetiminin statik olmadığı, günlük alınan kararlar
vasıtasıyla; strateji geliştirme, iş hedeflerinin
oluşturulması ve bu hedeflerin uygulanmasına
olduğu belirtildi.
11. Unsurlar ve bunlara ilişkin prensiplerin belirlenmesi,
çerçevenin kullanım kolaylığı ve daha iyi anlaşılması
bakımından uygun oldu. Küp şeklinde gösterimden vaz
geçilmesi, COSO iç kontrol küpü ile karıştırılmasını
önlemek ve kurumsal risk yönetimin kurumun tüm
süreçlerine entegre olduğunu göstermek açısından
faydalı oldu.
12. 2004 çerçevesinde kurumsal risk yönetimi ;
“ Bir kurumun yönetim kurulu, yöneticileri ve tüm
çalışanlarından etkilenen, stratejinin belirlenmesinde ve
kurum genelinde uygulanan, kurumu etkileme potansiyeli
olan olayları belirleme ve risk iştahı çerçevesinde riskin
yönetilmesi amacıyla dizayn edilen, kurumun hedeflerini
başarması için makul güvence sağlayan bir süreçtir.” şeklinde
tanımlandı.
Güncellenen çerçevede ise kurumsal risk yönetimi ;
Organizasyonun değer yaratma, koruma ve realize etmede,
riski yönetmek için güvenebilecekleri, stratejinin belirlenmesi
ve yürütülmesine entegre edilen, kültür, imkan ve
uygulamalardır.” şeklinde tanımlandı.
Kurumsal Risk
Yönetiminin
tanımı
değiştirilmiştir
13. Dikkat !
Yeni tanımda risk yönetimin temel amacının değer
oluşturmak, korumak ve realize etmek olduğu, stratejinin
belirlenmesi ve yürütülmesine entegre edilmesi gerektiği
ifade edildi. Kurumsal risk yönetiminin sadece, değerin
düşmesini önlemeye ve risklerin kabul edilebilir seviyeye
indirilmesine odaklanmadığı, strateji belirleme ile entegre
olarak, değerin artırılması ve sürdürülmesi için fırsatların
oluşturulmasına da yardımcı olacağı belirtildi. Kurumsal
risk yönetiminin bir fonksiyon, departman veya risklerin
listelenmesinden ibaret olmadığı, yönetimin, riskleri aktif
bir şekilde yönetmek için kullandıkları uygulamaları
kapsadığı ifade edildi.
14. Dikkat !
Güncellenen çerçevede kurumsal risk yönetiminin
kurumun tüm süreçlerine entegre edilemesinin önemine
vurgu yapıldı. Kurumsal risk yönetiminin kurumun tüm
aktivite ve süreçlerine entegre
edilmesinin; organizasyonun yönetişim, strateji, hedef
belirleme ve günlük operasyonlarına ilişkin karar alma
süreçlerini iyileştireceği, performansı artıracağı ve değerin
oluşturulması, korunması ve sürdürülmesine katkı
sağlayacağı ifade edildi.
15. COSO2017 Kurumsal Risk Yönetimi
Çerçevesinde yer alan, bir biriyle
ilişkili 5 unsur ve bunlara ait 20
prensip oluşturuldu !
16. YÖNETİŞİM VE KÜLTÜR
Yönetişim ve kültür kurumsal risk yönetimin diğer unsurlarının
temelini oluşturur. Yönetişim genel anlamda; rol, yetki ve
sorumlulukların, paydaşlar, yönetim kurulu ve yönetim arasındaki
dağılımına işaret eder. Yönetişim organizasyonun tarzını belirler,
gözetim sorumluluklarını oluşturur. Kültür, yönetimin ve personelin
kararlarını etkileyen tutum, davranış ve riski anlama şeklidir ve
organizasyonun visyon, misyon ve temel değerlerini yansıtır.
Bu unsura ait 5 prensip vardır:
17. Yönetim Kurulu Risk Gözetimini Yerine Getirir : Yönetim
Kurulu, yönetimin strateji ve iş hedeflerini
gerçekleştirmesini desteklemek amacıyla, stratejinin
gözetimi ve yönetişim sorumluluklarını yerine getirir.
Operasyonel Yapıyı Oluşturur : Organizasyon, strateji ve
iş hedeflerini gerçekleştirmek amacıyla operasyonel
yapıyı oluşturur.
Arzu Edilen Kültürü Tanımlar : Organizasyon, kurumun
kültürünü karakterize eden, arzu edilen davranışları
tanımlar.
Temel Değerlere Bağlılık Gösterir : Organizasyon,
kurumun temel değerlerine bağlılığını gösterir.
Yetenekli Personeli Çeker, Geliştirir ve Elde Tutar :
Organizasyon, strateji ve iş hedefleri ile uyumlu olarak
beşeri sermayesini inşa etmeye büyük önem verir.
PRENSİPLER
18. STRATEJİ VE HEDEF BELİRLEME
Strateji planlama sürecinde, kurumsal risk yönetimi, strateji ve hedef
belirlemeyle birlikte hareket ederler. Stratejiyle uyumlu, bir risk iştahı
belirlenir. İş hedefleri; risklerin belirlenmesi, değerlendirilmesi ve
cevap verilmesine esas oluşturur. İş hedefleri, stratejinin uygulamaya
konulmasını sağlar ve kurumun günlük operasyonlarını ve
önceliklendirmelerini şekillendirir.
Bu unsura ait 4 prensip vardır:
19. İş Ortamını Analiz Eder : Organizasyon, bulunduğu iş
ortamının, risk profili üzerine potansiyel etkilerini analiz eder.
Risk İştahını Tanımlar : Organizasyon, risk iştahını, değer
oluşturma, koruma ve realize etme bağlamında tanımlar.
Alternatif Stratejileri Değerlendirir : Organizasyon, alternatif
stratejilerin risk profili üzerine etkilerini değerlendirir.
İş Hedeflerini Oluşturur : Organizasyon, iş hedeflerini
oluştururken, stratejiyle uyumlu ve onu destekleyecek şekilde,
çeşitli seviyelerdeki riskleri dikkate alır.
PRENSİPLER
20. PERFORMANS
Strateji ve iş hedeflerine ulaşmayı etkileyebilecek riskler belirlenmeli
ve değerlendirilmelidir. Riskler, risk iştahına göre,
önceliklendirilmelidir. Organizasyon daha sonra, riske vereceği
seçer ve yükleneceği risklerin miktarını portföy ( kurumun
her seviyesinde ) bakış açısıyla belirler.
Bu unsura ait 5 prensip vardır:
21. Riskleri belirler : Organizasyon, strateji ve iş hedeflerinin
yerine getirilmesini etkileyen riskleri belirler.
Risklerin Şiddetini Değerlendirir : Organizasyon, risklerin
şiddetini değerlendirir.
Riskleri Önceliklendirir : Organizasyon, risklere vereceği
cevaba esas oluşturmak üzere, riskleri önceliklendirir.
Risk Cevaplarını Uygular : Organizasyon, risklere vereceği
cevapları belirler ve seçer.
Portföy Bakış Açısı Geliştirir : Organizasyon risklere ilişkin
portföy bakış açısı geliştirir ve değerlendirir.
PRENSİPLER
22. GÖZDEN GEÇİRME VE DÜZELTME
Organizasyon, önemli değişmeler ışığında,
hedeflere göre performansın nasıl sonuçlandığını,
kurumsal yönetim uygulamalarının iyi çalışıp çalışmadığını, kuruma
değer katıp katmadığı,
değer katmaya devam edip etmediğini,
düzeltilmesi gereken hususlar bulunup bulunmadığını
gözden geçirir.
Bu unsurun altında 3 prensip yer alır:
23. Önemli Değişimleri Değerlendirir : Organizasyon starateji
ve iş hedeflerini önemli şekilde etkileyen değişiklikleri
belirler ve değerlendirir.
Riskleri ve Performansı Gözden Geçirir : Organizasyon
kurumun performans sonuçlarını gözden geçirir ve
ele alır.
Kurumsal Risk Yönetiminde İyileştirmeleri Takip Eder :
Organizasyon, kurumsal risk yönetiminde iyileştirmeleri
takip eder.
PRENSİPLER
24. BİLGİ, İLETİŞİM VE RAPORLAMA
İletişim, bilginin elde edilmesi, kurum genelinde paylaşılmasıdır ve
sürekli tekrar eden bir süreçtir. Yönetim, kurumsal risk yönetimini
desteklemek için; hem içerden, hem de dışarıdan uygun olan
kullanır. Organizasyon, bilgi ve veriyi tutmak, işlemek ve yönetmek
için bilgi sistemlerinden yararlanır. Tüm bileşenlere ilişkin bilgiyi
kullanarak, organizasyon kültür, risk ve performansa ilişkin
yapar.
Bu unsurun altında 3 prensip yer alır:
25. Bilgi ve Teknoloji Avantajlarından Yararlanır:
Organizasyon, kurumsal risk yönetimini desteklemek için,
kurumun bilgi sistemi avantajlarından yararlanır.
Risk Bilgisinin İletişimini Yapar: Organizasyon, kurumsal
risk yönetimini desteklemek için, iletişim kanallarını
kullanır.
Risk, Kültür ve Performans Hakkıda Raporlama Yapar:
Organizasyon, kurum içerisinde çeşitli seviyelerde, risk,
kültür ve performans hakkında raporlama yapar.
PRENSİPLER
27. Daha önceki çerçevede yer alan
‘ Kontrol Faaliyetleri ‘
bileşeni bu çerçevede belirtilmemiş, ancak
COSO İç Kontrol Çerçevesine atıf yapılarak
kontrol faaliyetleri hakkında bu çerçevenin
halen geçerli olduğu ifade edilmiştir.
28. Yenilenen çerçeve, kurumların gözetim, yönetim
ve denetiminde bulunan tüm taraflar için,
kurumsal risk yönetimi uygulamalarının gözden
geçirilmesi açısından önem arz etmektedir.
29. Bu anlamda çerçevenin
ilgili tüm taraflarca detaylı bir şekilde
incelenerek, değerlendirilmesi
faydalı olacaktır.