Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesi

Bilindiği üzere, COSO (The Committee of Sponsoring Organizations of the Treadway Commission) tarafından yayınlanan iki çerçeve var: Bir tanesi 1992 yılında yayınlanan ve 2013 yılında revize edilen İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework),  diğeri ise, 2004 yılında yayınlanan “Kurumsal Risk Yönetimi-Entegre Çerçevesi”dir (Enterprise Risk Management – Integrated Framework). COSO, Kurumsal Risk Yönetimi Çerçevesi de  revize edilerek geçtiğimiz günlerde, 6 Eylül 2017 tarihinde, “Kurumsal Risk Yönetimi-Riskin Strateji ve Performansla Uyumlaştırılması” (Enterprise Risk Management—Aligning Risk with Strategy and Performance) adıyla yayınlanmıştır.

Yenilemenin bazı gerekçeleri olarak, çerçevenin ilk çıktığı dönemden bu yana, yeni risklerin ortaya çıkması, risklerin daha karmaşıklaşması, paydaşların risk yönetimi farkındalığının artması, daha iyi risk raporlaması beklentileri ve kurumsal risk yönetimindeki gelişmelerin çerçeveye yansıtılması, olduğu belirtilmiştir.

Yenileme ile çerçevenin adı ve yapısı değiştirilmiştir. Çerçevenin adında, strateji, risk ve performans arasındaki ilişkiye vurgu yapılmıştır. Aşağıda gösterildiği üzere, yeni çerçevede  5 adet bileşen (Yönetişim & Kültür, Strateji & Hedef Oluşturma, Perfomans, Gözden Geçirme & Düzeltme, Bilgi, İletişim & Raporlama) ve bunlara ilişkin 20 adet prensip belirlenmiştir.

yeni COSO

eski coso küpü

Eski 2004 çerçevesinde sekiz adet bileşen (İç Ortam, Hedef Oluşturma, Olay Belirleme, Risk Değerlendirme, Kontrol Aktiviteleri, Bilgi&İletişim, İzleme)  vardı ve bunların altında prensipler şeklinde bir yapı yoktu. Yan tarafta görüldüğü üzere, kurumsal yönetimin bileşenleri, kurumun amaçları ve kurumsal yapı arasındaki ilişki küp şekliyle ifade edilmişti.

Aşağıda gösterildiği üzere, yeni gösterimde küp yerine, helezon şeklinde bir gösterim yapılmıştır.

yeni COSO ERM

Bu yeni şekilde, kurumsal risk yönetiminin bileşenlerinin, kurumun misyon, vizyon ve temel değerleriyle ilişkisi gösterilmektedir. Diyagramın üç şeridi (Strateji & Hedef Oluşturma, Perfomans, Gözden Geçirme & Düzeltme) kurum boyunca akan genel süreçleri temsil ettiği, diğer iki şeridin ise (Yönetişim & Kültür ve Bilgi, İletişim & Raporlama) kurumsal risk yönetiminin destekleyici unsurlarını temsil ettiği ifade edilmiştir.

Yeni gösterime göre, kurumsal risk yönetimi; strateji geliştirme, iş hedeflerinin oluşturulması ve uygulanması ve performansla entegre edildiğinde, bunun kurumun değerini artıracağı ifade edilmektedir. Kurumsal risk yönetiminin statik olmadığı, günlük alınan kararlar vasıtasıyla; strateji geliştirme, iş hedeflerinin oluşturulması ve bu hedeflerin uygulanmasına entegre olduğu belirtilmiştir.

Unsurlar ve bunlara ilişkin prensiplerin belirlenmesi, çerçevenin kullanım kolaylığı ve daha iyi anlaşılması bakımından uygun olmuştur. Küp şeklinde gösterimden vaz geçilmesi, COSO iç kontrol küpü ile karıştırılmasını önlemek ve kurumsal risk yönetimin kurumun tüm süreçlerine entegre olduğunu göstermek açısından faydalı olmuştur.

Güncellenen çerçevede kurumsal risk yönetiminin tanımı değiştirilmiştir.2004 çerçevesinde kurumsal risk yönetimi; “Bir kurumun yönetim kurulu, yöneticileri ve tüm çalışanlarından etkilenen, stratejinin belirlenmesinde ve kurum genelinde uygulanan, kurumu etkileme potansiyeli olan olayları belirleme ve risk iştahı çerçevesinde riskin yönetilmesi amacıyla dizayn edilen, kurumun hedeflerini başarması için makul güvence sağlayan bir süreçtir.” şeklinde tanımlanmıştır. Güncellenen çerçevede ise kurumsal risk yönetimi; “Organizasyonun değer yaratma, koruma ve realize etmede, riski yönetmek için güvenebilecekleri, stratejinin belirlenmesi ve yürütülmesine entegre edilen, kültür, imkan ve uygulamalardır.” şeklinde tanımlanmıştır.

Dikkat edileceği üzere, yeni tanımda risk yönetimin temel amacının değer oluşturmak, korumak ve realize etmek olduğu, stratejinin belirlenmesi ve yürütülmesine entegre edilmesi gerektiği ifade edilmektedir. Kurumsal risk yönetiminin sadece, değerin düşmesini önlemeye ve risklerin kabul edilebilir seviyeye indirilmesine odaklanmadığı, strateji belirleme ile entegre olarak, değerin artırılması ve sürdürülmesi için fırsatların oluşturulmasına da yardımcı olacağı belirtilmektedir. Kurumsal risk yönetiminin bir fonksiyon, departman veya risklerin listelenmesinden ibaret olmadığı, yönetimin, riskleri aktif bir şekilde yönetmek için kullandıkları uygulamaları kapsadığı ifade edilmiştir.

Güncellenen çerçevede kurumsal risk yönetiminin kurumun tüm süreçlerine entegre edilemesinin önemine vurgu yapılmıştır. Kurumsal risk yönetiminin  kurumun tüm aktivite ve süreçlerine entegre edilmesinin;  organizasyonun yönetişim, strateji, hedef belirleme ve günlük operasyonlarına ilişkin karar alma süreçlerini iyileştireceği, performansı artıracağı ve değerin oluşturulması, korunması ve sürdürülmesine katkı sağlayacağı ifade edilmiştir.

Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesinde yer alan, bir biriyle ilişkili beş unsur ve bunlara ait 20 prensip aşağıda kısaca ifade edilmiştir.

I. Yönetişim ve Kültür: Yönetişim ve kültür kurumsal risk yönetimin diğer unsurlarının temelini oluşturur. Yönetişim genel anlamda; rol, yetki ve sorumlulukların, paydaşlar, yönetim kurulu ve yönetim arasındaki dağılımına işaret eder. Yönetişim organizasyonun tarzını belirler, gözetim sorumluluklarını oluşturur.  Kültür, yönetimin ve personelin kararlarını etkileyen tutum, davranış ve riski anlama şeklidir ve organizasyonun visyon, misyon ve temel değerlerini yansıtır. Bu unsura ait beş prensip vardır:

1. Yönetim Kurulu Risk Gözetimini Yerine Getirir: Yönetim Kurulu, yönetimin strateji ve iş hedeflerini gerçekleştirmesini desteklemek amacıyla, stratejinin gözetimi ve yönetişim sorumluluklarını yerine getirir.

2.Operasyonel Yapıyı Oluşturur: Organizasyon, strateji ve iş hedeflerini gerçekleştirmek amacıyla operasyonel yapıyı oluşturur.

3.Arzu Edilen Kültürü Tanımlar: Organizasyon, kurumun kültürünü karakterize eden, arzu edilen davranışları tanımlar.

4.Temel Değerlere Bağlılık Gösterir: Organizasyon, kurumun temel değerlerine bağlılığını gösterir.

5.Yetenekli Personeli Çeker, Geliştirir ve Elde Tutar: Organizasyon, strateji ve iş hedefleri ile uyumlu olarak beşeri sermayesini inşa etmeye büyük önem verir.

II. Stareji ve Hedef Belirleme: Strateji planlama sürecinde, kurumsal risk yönetimi, strateji ve hedef belirlemeyle birlikte hareket ederler. Stratejiyle uyumlu, bir risk iştahı belirlenir. İş hedefleri; risklerin belirlenmesi, değerlendirilmesi ve cevap verilmesine esas oluşturur. İş hedefleri, stratejinin uygulamaya konulmasını sağlar ve kurumun günlük operasyonlarını ve önceliklendirmelerini şekillendirir. Bu unsurun altında dört prensip yer alır:

6.İş Ortamını Analiz Eder: Organizasyon, bulunduğu iş ortamının, risk profili üzerine potansiyel etkilerini analiz eder.

7.Risk İştahını Tanımlar: Organizasyon, risk iştahını, değer oluşturma, koruma ve realize etme bağlamında tanımlar.

8.Alternatif Stratejileri Değerlendirir: Organizasyon, alternatif stratejilerin risk profili üzerine etkilerini değerlendirir.

9.İş Hedeflerini Oluşturur: Organizasyon, iş hedeflerini oluştururken, stratejiyle uyumlu ve onu destekleyecek şekilde, çeşitli seviyelerdeki riskleri dikkate alır.

III. Performans: Strateji ve iş hedeflerine ulaşmayı etkileyebilecek riskler belirlenmeli ve değerlendirilmelidir. Riskler, risk iştahına göre, önceliklendirilmelidir. Organizasyon daha sonra, riske vereceği cevabı seçer ve yükleneceği risklerin miktarını portföy (kurumun her seviyesinde) bakış açısıyla belirler. Bu unsura ait beş prensip vardır:

10.Riskleri belirler: Organizasyon, strateji ve iş hedeflerinin yerine getirilmesini etkileyen riskleri belirler.

11.Risklerin Şiddetini Değerlendirir: Organizasyon, risklerin şiddetini değerlendirir.

12.Riskleri Önceliklendirir: Organizasyon, risklere vereceği cevaba esas oluşturmak üzere, riskleri önceliklendirir.

13.Risk Cevaplarını Uygular: Organizasyon, risklere vereceği cevapları belirler ve seçer.

14.Portföy Bakış Açısı Geliştirir: Organizasyon risklere ilişkin portföy bakış açısı geliştirir ve değerlendirir.

VI. Gözden Geçirme ve Düzeltme: Organizasyon, önemli değişmeler ışığında, hedeflere göre performansın nasıl sonuçlandığını, kurumsal yönetim uygulamalarının iyi çalışıp çalışmadığını, kuruma değer katıp katmadığı, değer katmaya devam edip etmediğini ve düzeltilmesi gereken hususlar bulunup bulunmadığını gözden geçirir. Bu unsurun altında üç prensip yer alır:

15.Önemli Değişimleri Değerlendirir: Organizasyon starateji ve iş hedeflerini önemli şekilde etkileyen değişiklikleri belirler ve değerlendirir.

16.Riskleri ve Performansı Gözden Geçirir: Organizasyon kurumun performans sonuçlarını gözden geçirir ve riskleri ele alır.

17.Kurumsal Risk Yönetiminde İyileştirmeleri Takip Eder: Organizasyon, kurumsal risk yönetiminde iyileştirmeleri takip eder.

V. Bilgi, İletişim ve Raporlama: İletişim, bilginin elde edilmesi, kurum genelinde paylaşılmasıdır ve sürekli tekrar eden bir süreçtir.  Yönetim, kurumsal risk yönetimini desteklemek için; hem içerden, hem de dışarıdan uygun olan bilgileri kullanır. Organizasyon, bilgi ve veriyi tutmak, işlemek ve yönetmek için bilgi sistemlerinden yararlanır. Tüm bileşenlere ilişkin bilgiyi kullanarak, organizasyon kültür, risk ve performansa ilişkin raporlama yapar. Bu unsurun altında üç prensip yer alır:

18.Bilgi ve Teknoloji Avantajlarından Yararlanır: Organizasyon, kurumsal risk yönetimini desteklemek için, kurumun bilgi sistemi avantajlarından yararlanır.

19.Risk Bilgisinin İletişimini Yapar: Organizasyon, kurumsal risk yönetimini desteklemek için, iletişim kanallarını kullanır.

20.Risk, Kültür ve Performans Hakkıda Raporlama Yapar: Organizasyon, kurum içerisinde çeşitli seviyelerde, risk, kültür ve performans hakkında raporlama yapar.

Daha önceki çerçevede  yer alan “Kontrol Faaliyetleri” bileşeni bu çerçevede belirtilmemiş, ancak COSO İç Kontrol Çerçevesine atıf yapılarak kontrol faaliyetleri hakkında bu çerçevenin halen geçerli olduğu ifade edilmiştir.

Çerçevenin, sektör, büyüklük, coğrafyaya bağlı olmaksızın, kar amaçlı veya kar amaçlı olmayan (kamu kurumları) tüm kurumlar için uygulanabileceği belirtilmiştir.

Yenilenen çerçeve, kurumların gözetim, yönetim ve denetiminde bulunan tüm taraflar için, kurumsal risk yönetimi uygulamalarının gözden geçirilmesi açısından önem arz etmektedir.  Bu anlamda çerçevenin ilgili tüm taraflarca detaylı bir şekilde incelenerek, değerlendirilmesi faydalı olacaktır.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s