COSO Kurumsal Risk Yönetimi Çerçevesi

COSO Nedir?

1970'li ve 1980'li yılların ortalarında ABD’de yaşanan bir dizi muhasebe skandalı sonucunda hileli finansal raporlamaya yol açan nedenler Hileli Finansal Raporlama Üzerine Ulusal Komisyon tarafından araştırılmaya başlandı. Bu komisyon ilk başkanının adı dolayısıyla “Treadway Komisyonu” olarak adlandırıldı.

COSO (Committee of Sponsoring Organizations of the Treadway Commission - Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi); kurumsal risk yönetimi, iç kontrol, dolandırıcılığı önleme, gözetim sağlama ve kurumsal performansı geliştirme konularında kapsamlı çerçeveler ve rehberlik sağlamaktadır. COSO, aşağıdakilerin ortaklaşa desteklediği ve finanse ettiği bir özel sektör girişimidir:

- Amerikan Muhasebe Birliği
- Amerikan Yeminli Mali Müşavirler Enstitüsü
- Uluslararası Finans Yöneticileri
- Yönetim Muhasebecileri Enstitüsü
- İç Denetçiler Enstitüsü

Kurumsal Risk Yönetimi nedir?

Risk, kurumun hedef ve stratejilerini gerçekleştirmesine yönelik tehlikelerin olma olasılığı ve bunun kuruma etkisidir.

Geleneksel olarak kurumsal risk yönetimi, kurumdaki değeri korumak amacıyla geliştirilmiştir. Ancak, bugünkü koşullarda bilinen tehditlere veya riskin olumsuz yönlerine odaklanılması kurumsal risk yönetimi için yeterli olmamaktadır ve kurum içindeki tüm risklerin envanterini çıkarmaktan daha fazlasını gerektirmektedir.

Günümüzde kurumsal risk yönetiminden, kurumun değer yaratma ve rekabet avantajı elde etme konusunda yardımcı olabilmesinin yanı sıra strateji belirleme, yönetişim, paydaşlarla iletişim ve performansın ölçülmesi gibi diğer konulara da değinmesi beklenmektedir.

COSO, Kurumsal Risk Yönetimi’ni “Değer yaratma, koruma ve gerçekleştirme risklerini yönetmek amacıyla kuruluşların strateji belirlemeyle bütünleştirdiği ve bu stratejiyi gerçekleştirirken uyguladıkları kültür, yetenekler ve uygulamalardır.” şeklinde tanımlamıştır.

Kurumsal risk yönetimi; bir misyonu, stratejisi, hedefleri ve riski dikkate alan kararlar alma ihtiyacı olan her büyüklükteki kurum tarafından kullanılabilir.

Uzun vadede, kurumsal risk yönetimi kurumsal dayanıklılığı, yani değişimi öngörme ve değişime yanıt verme yeteneğini de geliştirebilir. Kurumların yalnızca riski değil aynı zamanda değişimi de temsil eden faktörleri ve bu değişimin performansı nasıl etkileyebileceğini ve stratejide bir değişiklik gerektirebileceğini belirlemesine yardımcı olur. Değişimi daha net görerek bir kurum kendi planını oluşturabilir; örneğin savunma amaçlı olarak geri mi çekilmeli yoksa yeni bir işe mi yatırım yapmalı?

Etkin bir şekilde uygulanan kurumsal risk yönetiminin, fırsat çeşitliliğini artırması, riskin kurum çapında tanımlanması ve yönetilmesi, olumsuz sürprizleri azaltırken olumlu sonuçları ve avantajları artırması, performans değişkenliğini azaltması, kaynak dağıtımının iyileştirilmesi gibi daha birçok faydası bulunmaktadır.

COSO Kurumsal Risk Yönetimi - Riskin Strateji ve Performansla Uyumlaştırılması Nedir?

COSO Yönetim Kurulu, 2004 yılında Kurumsal Risk Yönetimi - Bütünleşik Çerçeve'yi yayınladı. Geçtiğimiz yıllarda bu yayın, risk yönetimi yapmak isteyen kuruluşlar tarafından geniş çapta kabul gördü. Ancak aradan geçen süre boyunca riskin karmaşıklığı değişti, yeni riskler ortaya çıktı ve hem yönetim kurulları hem de yöneticiler kurumsal risk yönetimi konusundaki farkındalıklarını ve gözetimlerini geliştirirken risk raporlamasının iyileştirilmesini talep ettiler. Bu ihtiyaçlar doğrultusunda güncellenen 2017 yayını, kurumsal risk yönetiminin evrimini ve kuruluşların gelişen iş ortamının taleplerini karşılamak için risk yönetimi yaklaşımlarını iyileştirme ihtiyacını ele almaktadır.

Kurumsal Risk Yönetimi – Riskin Strateji ve Performansla Uyumlaştırılması başlığını taşıyan güncellenmiş belge, hem strateji belirleme sürecinde hem de performansı artırmada riskin dikkate alınmasının önemini vurguluyor.

Çerçeve, birbiriyle ilişkili beş bileşen halinde düzenlenmiş bir prensipler dizisinden oluşmaktadır. Bunlar, Yönetişim ve Kültür, Strateji ve Hedef Belirleme, Performans, Gözden Geçirme ve Revizyon ve Bilgi, İletişim ve Raporlama’dır. Aşağıdaki sarmal yapı, bileşenlerin her birinin birbirleri ile olan sıkı ilişkisini ifade etmek adına tercih edilmiştir.

Kaynak: COSO Enterprise Risk Management - Aligning Risk with Strategy and Performance (https://www.coso.org/guidance-erm)

Yönetişim ve Kültür: Yönetişim, kurumsal risk yönetiminin önemini güçlendirerek ve gözetim sorumluluklarını oluşturarak kuruluşun tarzını belirler. Kültür; etik değerlerle, istenen davranışlarla ve kurumdaki risk anlayışıyla ilgilidir.

Strateji ve Hedef Belirleme: Kurumsal risk yönetimi, strateji ve hedef belirleme; stratejik planlama sürecinde birlikte çalışır. Bir risk iştahı oluşturulur ve stratejiyle uyumlu hale getirilir; İş hedefleri, riskin tanımlanması, değerlendirilmesi ve riske tepki verilmesi için bir temel oluştururken aynı zamanda stratejiyi uygulamaya koyar.

Performans: Strateji ve iş hedeflerine ulaşılmasını etkileyebilecek risklerin belirlenmesi ve değerlendirilmesi gerekir. Risk iştahı bağlamında riskler önem derecesine göre önceliklendirilir. Kuruluş daha sonra risk yanıtlarını seçer ve üstlendiği risk miktarının portföy görünümünü alır. Bu sürecin sonuçları ana risk paydaşlarına raporlanır.

Gözden Geçirme ve Revizyon: Bir kuruluş, kurum performansını inceleyerek, kurumsal risk yönetimi bileşenlerinin zaman içinde ve önemli değişiklikler ışığında ne kadar iyi işlediğini ve hangi revizyonların gerekli olduğunu değerlendirebilir.

Bilgi, İletişim ve Raporlama: Kurumsal risk yönetimi, gerekli bilgilerin hem iç hem de dış kaynaklardan yukarı, aşağı ve kuruluş genelinde akan sürekli bir şekilde elde edilmesi ve paylaşılması sürecini gerektirir.

Kurumsal Risk Yönetimi – Riskin Strateji ve Performansla Uyumlaştırılması çerçevesindeki bu beş bileşen aşağıdaki bir dizi prensiple desteklenmektedir.

Kaynak: COSO ERM – Executive Summary

Prensipler yönetilebilir büyüklüktedirler ve büyüklük, tür veya sektöre bakılmaksızın farklı kuruluşlar için farklı şekillerde uygulanabilecek uygulamaları tanımlarlar. Bu prensiplere bağlı kalmak, kuruluşun stratejisi ve iş hedefleriyle ilişkili riskleri anladığını ve yönetmek için çabaladığını gösterir.

Sonuç olarak, her alanda gözlemlediğimiz değişim ve gelişimin kurumsal risk yönetimini de etkilemesi kaçınılmazdır. Doğru odaklanma ile kurumsal risk yönetiminden elde edilen faydalar, yatırımlardan çok daha ağır basacak ve kuruluşlara geleceği yönetme becerileri konusunda güven sağlayacaktır.