Giriş
Bir önceki yazımda COSO – İç Kontrol Bütünleşik Çerçevesini ele almıştım. Orada da belirttiğim üzere iç denetim faaliyetinin temelde üç ayrı sürecin etkinliğini değerlendirme ve geliştirme amacı vardır. Bunlar ‘Risk Yönetimi’, ‘Kontrol’ ve ‘Yönetişim’ süreçleridir. Bu durum iç denetimin tanımında açıkça belirtilmekte: ‘İç denetim kurumun risk yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.
Önceki yazımda COSO’nun kuruluşuna dair tarihsel arka plana da değinmiştim bu yüzden burada tekrar etmeyeceğim. COSO’nun ‘Kurumsal Risk Yönetimi (KRY)’, ‘İç Kontrol’ ve ‘Dolandırıcılığı Önleme (Fraud Deterrence) olarak üç konuda yol gösterici olma ve prensipler oluşturma hedefi bulunmaktadır. Bu kapsamda bu yazımda COSO’nun ‘Kurumsal Risk Yönetimi (KRY)’ çerçevesini ele alacağım.
COSO 2004 yılında Kurumsal Risk Yönetimi (KRY) Çerçevesini hazırlamış ve yayımlamıştır. Süregelen yıllar içerisinde kurumsal risk yönetiminin geçirdiği evrim ve kurumların değişen iş ortamının taleplerini karşılamak için risk yönetimine yaklaşımlarını geliştirme ihtiyacı nedeniyle Kurumsal Risk Yönetimi (KRY) Çerçevesinde 2017 yılında bazı güncellemeler yapılmıştır.
Uluslararası İç Denetçiler Enstitüsü’ne (IIA) göre risk: ‘hedeflere ulaşılması üzerinde etkisi olacak bir olayın meydana gelme ihtimalidir. Risk, söz konusu etki ve olasılık cinsinden hesaplanır.’ Risk yönetimi ise kurumun hedeflerini gerçekleştirmek üzere, makul güvence sağlamak amacıyla potansiyel olay veya durumları belirleme, değerlendirme, yönetme ve kontrol etme sürecidir.
2120 numaralı Uluslararası İç Denetim Standardına göre iç denetim faaliyeti risk yönetimi süreçlerinin etkinliğini değerlendirmek ve iyileştirilmesine katkıda bulunmak zorundadır.
Riskin tanımını ve risk yönetim sürecinde iç denetim faaliyetinin sorumluluğunu belirttikten sonra Kurumsal Risk Yönetimi’nin (KRY) tanımını yapabiliriz. KRY: kurumların değer yaratma, değeri koruma ve gerçekleştirme sürecinde riski yönetmek için güvendikleri, stratejinin belirlenmesi ve performansla entegre edilen kültür, yetenek ve uygulamalardır.
COSO – Kurumsal Risk Yönetimi (KRY) Çerçevesi
COSO – Kurumsal Risk Yönetimi (KRY) Çerçevesi birbirleriyle ilintili 5 bileşen ve bu bileşenlerin altında yer alan 20 prensipten oluşmaktadır.
1. Yönetişim ve Kültür
Yönetişim, kurumsal risk yönetiminin önemini artırarak ve gözetim sorumluluklarını oluşturarak kurumun gidişatını belirler. Kültür, etik değerlerle, istenen davranışlarla ve kurumdaki risk anlayışıyla ilgilidir. Diğer bir ifade ile kültür; yönetim ve personelin kararlarını etkileyen ve kurumun misyon, vizyon ve temel değerlerini yansıtan, risk hakkındaki tutum, davranış ve anlayıştan oluşur. Yönetişim ve Kültür bileşeni 5 prensipten oluşmaktadır.
a. Yönetim kurulu risk gözetimini yerine getirir. Yönetim kurulunun tüm üyeleri risk gözetiminden sorumludur. Bununla birlikte yönetim kurulu, risk gözetimini kurulun bir komitesine devredebilir. Örneğin bir risk komitesine. İç denetim ile ilgili de birçok kurumda yönetim kurulu bünyesinde oluşturulan denetim komiteleri bulunmaktadır. Yönetim kurulunun gözetim rolüne ilişkin olarak; strateji, risk iştahı ve faaliyetlerle ilgili önemli kararları gözden geçirmek, yönetimin ücretlerini belirlemek (ücretlendirme komiteleri aracılığıyla olabilir), paydaş ilişkilerini gözden geçirmek gibi örnekler verilebilir.
b. Kurum operasyonel yapıları dizayn eder. Bu yapılar kurumun nasıl organize olduğunu, faaliyet gösterdiği sektörde iş ve işlemlerini nasıl yaptığını gösterir. Operasyonel yapılar oluşturulurken; ilgili riskler de dahil olmak üzere strateji ve iş hedefleri, kurumun niteliği, büyüklüğü, kurum içerisindeki pozisyona göre yetki ve sorumlulukların tanımlanması, raporlama türlerinin ve sıklığının belirlenmesi gibi faktörler dikkate alınır.
c. Kurum arzu edilen kültürü tanımlar. Kurum kültürünü tanımlamaktan yönetim kurulu ve üst yönetim sorumludur. Kültür; personele tanınan hak ve sorumluklar, kurum standartları ve kuralları gibi iç faktörlere ve yasal gereklilikler, paydaşların beklentileri gibi dış faktörlere göre şekillenir.
d. Kurum temel değerlere bağlılık gösterir. Kurumun temel değerlerinin, faaliyetlerinde ve aldığı kararların tamamında yansıtılması gerekir.
e. Kurum, yetenekli bireyleri cezbeder, geliştirir ve bünyesinde tutar. Kurumun stratejilerini uygulamak ve iş hedeflerini gerçekleştirmek için gereken insan kaynağını belirlemek üst yönetimin sorumluluğudur.
İnsan kaynağının kalitesi ve niteliği kurumlar için hayati derecede önemlidir. Bir kurumun başarılı olması ve bu başarısının sürdürülebilir olması buna bağlıdır. Bu açıdan günümüzde birçok kurum ve kuruluş personelinin çalıştığı yerde mutlu ve yaptığı işten tatmin olabilmesi için işveren markası adı altında çeşitli insan kaynakları politikaları uygulamaktadırlar.
2. Strateji ve Hedef Belirleme
Kurumsal risk yönetimi, strateji ve hedef belirleme ile stratejik planlama sürecinde birlikte çalışır. Bu süreçte bir risk iştahı oluşturulur ve bu risk iştahı stratejiyle uyumlu hale getirilir. İş hedefleri, riskin tanımlanması, değerlendirilmesi ve tepki verilmesi için bir temel oluştururken aynı zamanda stratejiyi de uygulamaya koyar. Strateji ve Hedef Belirleme bileşeni 4 prensipten oluşmaktadır.
a. Kurum iş ortamını ve onun risk profili üzerindeki etkisini analiz eder. İş ortamı, kurumun stratejisini ve iş hedeflerini etkileyen ilişkilerle, olaylarla ve diğer faktörlerle ilgilidir. Bu açıdan iş ortamı kurumun iç ve dış ortamını içerir. İç ortam; sermaye, insanlar, süreçler ve teknolojiden oluşur. Dış ortam ise; politik, ekonomik, sosyal, teknolojik, yasal ve çevresel faktörlerden oluşur.
b. Kurum risk iştahını (kurumun değer arayışında kabul etmeye istekli olduğu risk miktarı) tanımlar. Kurum risk iştahını belirlemek için misyonunu, vizyonunu, kültürünü, geçmiş dönem stratejilerini ve üstlenebileceği maksimum risk miktarını göz önünde bulundurur.
c. Kurum alternatif stratejileri ve risk profili üzerindeki etkilerini değerlendirir. Kurum; stratejinin misyon, vizyon, temel değerler ve risk iştahıyla aynı doğrultuda olup olmadığını ve seçilen stratejinin olası sonuçlarını değerlendirmek zorundadır.
d. Kurum, stratejiyle aynı paralelde olan ve onu destekleyen iş hedefleri oluşturur. İş hedefleri; spesifik, ölçülebilir, gözlemlenebilir ve elde edilebilir niteliktedir.
3. Performans
Strateji ve iş hedeflerine ulaşılmasını etkileyebilecek risklerin belirlenmesi ve değerlendirilmesi gerekmektedir. Risk iştahı bağlamında riskler önem derecesine göre önceliklendirilir. Kurum daha sonra bu risklere karşı risk yanıtlarını seçer ve üstlendiği risk miktarının portföy görünümünü alır. Bu sürecin sonuçları kilit öneme haiz risk paydaşlarına bildirilir. Performans bileşeni 5 prensipten oluşmaktadır.
a. Kurum, stratejinin ve iş hedeflerinin gerçekleştirilmesini etkileyen riskleri belirler.
b. Kurum, risklerin ciddiyetini değerlendirir. Risklerin ciddiyeti (şiddeti) olasılık ve olayları atlatmak için gereken süre gibi değerlendirmelere ilişkin bir ölçüttür.
c. Kurum, tüm seviyelerdeki riskleri önceliklendirir. Risk önceliklendirme, kurumun sınırlı kaynaklarının tahsisini optimize etmesine katkı sağlar.
d. Kurum, risk cevapları seçer ve belirler. Bu prensip kapsamında beş adet risk cevabı kategorisi bulunmaktadır.
– Kabul etme. Riskin ciddiyetini değiştirmek için hiçbir eylemde bulunulmaz. Riskin risk iştahı sınırları içerisinde kalması durumunda o riski kabul etmek uygundur.
– Kaçınma. Riski uzaklaştırmak için eylemde bulunulur. Riskten kaçınma genelde hiçbir cevabın söz konusu riski kabul edilebilir seviyeye düşürmeyeceğini akla getirir.
– Yükseltme. Kabul edilebilir toleransı aşmaksızın performansı arttırmak amacıyla artan riski kabul etmek için eylemde bulunulur.
– Azaltma. Riskin ciddiyetini hedef artık risk profili ve risk iştahı içinde olacak şekilde düşürmek için eylemde bulunulur.
– Paylaşma. Riskin bir kısmını başka bir tarafa devretmek suretiyle ciddiyetini düşürmek için eylemde bulunulur. Sigorta, hedging, ortam girişim buna örnektir.
e. Kurum, riske portföy bakışını geliştirir ve değerlendirir. Risk belirleme, değerlendirme, önceliklendirme ve cevabın doruk noktası riskin tam portföy bakışıdır. Yönetim, bir risk portföy bakışı kullanarak kurumun artık risk profilinin genel risk iştahına uyup uymadığını tespit eder.
4. Gözden Geçirme ve Düzeltme
Kurum performansını gözden geçirerek kurumsal risk yönetimi bileşenlerinin zaman içinde ve önemli değişiklikler ışığında ne kadar iyi işlediğini ve hangi revizyonların gerekli olduğunu değerlendirir. Gözden Geçirme ve Düzeltme bileşeni 3 prensipten oluşmaktadır.
a. Kurum, stratejisini ve iş hedeflerini büyük ölçüde etkileyebilecek değişiklikleri belirler ve değerlendirir.
b. Kurum, riskleri dikkate alarak kurumun performans sonuçlarını gözden geçirir ve değerlendirir.
c. Kurum, Kurumsal Risk Yönetiminin (KRY) geliştirilmesi ve iyileştirilmesi için çaba gösterir.
5. Bilgi, İletişim ve Raporlama
Kurumsal Risk Yönetimi (KRY) kurum için gerekli bilgilerin hem iç hem de dış kaynaklardan temin edilip kurum içerisinde yatay ve dikey şekilde paylaşılması sürecini gerektirir. Bilgi, İletişim ve Raporlama bileşeni 3 prensipten oluşur.
a. Kurum, Kurumsal Risk Yönetimini (KRY) desteklemek için bilgi sistemlerini etkin bir şekilde kullanır.
b. Kurum Kurumsal Risk Yönetimini (KRY) desteklemek için iletişim kanallarını kullanır.
c. Kurum, kurum genelinde birden fazla seviyede risk, kültür ve performans hakkında raporlama yapar.
Sonuç olarak şüphesiz tüm kurum ve kuruluşlar belirsizliklerle dolu ve risklerin çeşitlenerek artan bir gelecekle karşı karşıya kalmaya devam edecek. Kurumsal risk yönetimi, bir kurumun bu zamanlarda nasıl yönetildiğinin ve başarılı olduğunun önemli bir parçası olacaktır. Bir kurumun hukuki yapısı, büyüklüğü, faaliyet gösterdiği sektör ne olursa olsun, stratejilerin misyonlarına sadık kalması gerekir. Kurumsal Risk Yönetiminin, yukarıdaki çerçevede belirtilen faydaları tutarlı bir şekilde sağlamak için değişmesi ve geleceğe uyum sağlaması gerekecektir. Doğru uygulamalar ile kurumsal risk yönetiminden elde edilen faydalar kurumlara geleceği yönetme becerileri konusunda güven sağlayacaktır.
Kaynakça:
No responses yet