COSO Kurumsal Risk Yönetimi Çerçevesi

Amerikada’ki muhasebeci ve denetçi birliklerini temsil eden, ve İç Kontrol ve hile gibi konular üzerinde sponsor olduğu kuruluşlara rehberlik yapan ve 1985’te kurulan COSO-Commitee of Sponsoring Organisations of the Treadway Commission, Enron ve Worldcom skandallarındaki finansal raporlamadan kaynaklanan iç kontrol mekanizmasındaki iş riskinin yönetiminin kötüleşmesi üzerine 27 Eylül 2004 tarihinde “Enterprise Risk Management – Integrated Framework” (COSO ERM) dökümanını yayınladı.18Bu yayına göre; KRY, şirketi etkileyebilecek potansiyel olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve şirketin hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; şirketin Yönetim Kurulu, üst yönetimi ve tüm diğer çalışanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir.” şeklinde tanımlanmıştır.19

KRY’nin bu tanımı aşağıdaki temel öğeleri içerir;  Kurumun tamamında devam eden bir süreçtir.

 Kurumun her seviyesindeki insanlar tarafından etkilenir.  Kurumun iş stratejilerinin belirlenmesinde kullanılır.

 Şirketi etkileyebilecek potansiyel olayları tanımlamak ve risklerin şirketin kurumsal risk alma profiline uygun olarak yönetilmesi için tasarlanmıştır.

 Kurumun hedeflerine ulaşması ile ilgili olarak kurumun yöneticilerine ve yönetim kuruluna makul bir derecede güvence sağlar.

18_{Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk}

Management – Integrated Framework, New York, 2004, www.erm.coso.org, s.2.

 Bir veya daha fazla fakat birbiri ile kesişen kategoriler içindeki hedeflerin başarılmasına yönelmiştir. Kendisi bir sonuç değildir, sadece sonuca ulaşmak için bir araçtır.

COSO Kurumsal Risk Yönetimi Çerçevesi, birbiriyle ilişkili sekiz unsurdan oluşur. Bunlar:

i) Kurumsal Çevre: Diğer tüm bileşenlerin temelini teşkil eder ve kurumun strateji ve hedeflerinin nasıl belirlendiğini, faaliyetlerin nasıl yapılandırıldığını, risklerin tanımlanmasını, değerlendirilmesini ve risklerle ilgili alınan tedbirlerin uygulanmasını etkiler. Kurumun risk kültürünü kurar. Kurumun etik değerleri, çalışanların yetkinliğine verilen önem, yönetimin çalışma biçimi, görevlerin ve sorumlulukların dağılımı vb birçok faktörü bünyesinde barındırır.

ii) Hedef Belirleme: KRY’nin söz konusu olabilmesi için öncelikle yönetim tarafından operasyonel, raporlama ve uygunluk amaçlarını da kapsayacak şekilde hedeflerin belirlenmesi gerekir. Hedefler ayarlanırken, yönetim risk stratejisini dikkate aldığı zaman başvurulur. Kurumun, yönetimin ne ölçüde riskleri kabul edebileceğini simgeleyen risk iştahını şekillendirir. Hedeflerin kabul edilebilir bir varyansı olan risk toleransı, risk iştahı ile sıralanır.

iii) Gerçekleşmesi Muhtemel Olayları Belirleme ve Tanımlama: Yönetim, kurumsal stratejilerin uygulanmasını, amaçlara ve performans hedeflerine ulaşılmasını etkileyebilecek muhtemel olayların neler olduğunu belirlemelidir. Risk ve fırsatları ayırır. Olayın negatif bir etkisi var ise, riski tasvir eder, eğer pozitif bir etkisi var ise fırsatı tasvir eder. Başarı ve strateji hedeflerine etki edebilecek olayları içsel kaynaklı mı dışsal kaynaklı mı olduğunu belirler.

iv) Risk Değerlendirme: Kuruma hedefleri etkileyebilecek olayların hangileri olduğunu anlama imkanı sağlar. Risk değerlendirme riskleri değerlendirmede ve ilgili

hedefleri ölçmekte kullanılır. Niteliksel ve niceliksel risk değerlendirme metodolojilerinin bir kombinasyonudur. Riskler “etki ve olasılık” olarak iki parametreye göre değerlendirilir.

v) Risk Tepkisi: Risklere verilebilecek cevapları belirler ve değerlendirir. Bu cevaplama kurumun risk iştahına ve risk karşılamadan olabilecek yarar ve maliyetine göre, olasılık ve/veya etkiyi azaltabilecek seviyeye göre seçenekleri değerlendirir. Risk portföylerini ve risk karşılamanın üzerine değerlendirilmiş cevapları seçer ve yönetir. Bu bağlamda, risklere verilebilecek tepki dört şekilde olabilir: Bunlar;

Riskten Kaçınma: Riske neden olan faaliyetlerden vazgeçmektir. Bir ürünün üretiminden vazgeçmek, bir bölgedeki genişlemeyi durdurmak veya bir bölümü satmak gibi olabilir.

Riski Azaltma: Riskin gerçekleşme olasılığını veya riskin gerçekleşmesi durumunda etkilerini azaltmak için ortaya konan faaliyetleri kapsamaktadır.

Riski Paylaşma: Riskin gerçekleşme olasılığını veya riskin gerçekleşmesi durumunda etkilerini azaltmak için riski transfer etmek veya riskin bir kısmını bir başka tarafla paylaşmaktır. Riski paylaşma yöntemleri olarak en çok görülenler: sigorta yapılması, risk havuzları oluşturulması, kurumun içinde gerçekleştirilen kimi hizmetlerin veya üretilen ürünlerin dışardan alınmasıdır.

Riski Kabul Etme: Karşılaşılan riskle ilgili olarak gerek riskin gerçekleşme olasılığı ve gerekse de riskin gerçekleşmesi durumunda etkilerine bir şey yapılmamasıdır.

vi) Kontrol Faaliyetleri: Risklere verilen cevapların hayata geçirilmesine ve kurum direktiflerine yardım sağlayacak risk yönetimi politika ve prosedür faaliyetleridir. Bütün fonksiyonlarda ve örgütün bütün seviyelerinde mevcuttur. Teknolojik kontrolün genel bilgisi ve uygulamasını içerir.

vii) Bilgi ve İletişim: Yönetim, çalışan sorumluluklarını ve görevlerini ne zaman yerine getirmeleri bilgilerini belirler ve iletir. Etkin bir iletişim sistemi, kurum içinde yatay ve dikey bilgi ve KRY için önemli bir unsur olan raporlamayı da içerir.

viii) Takip: KRY’nin etkin bir şekilde işleyip işlemediğinin belirlenmesi için risk yönetiminin süreçlerinin performans kalitesinin değerlendirilmesi gerekir. İzleme, sürekli izleme faaliyetleri, bağımsız izleme faaliyetleri veya her ikisinin bir kombinasyonu şeklinde yerine getirilir. Sürekli izleme faaliyetleri kurum faaliyetlerinin normal seyrinde meydana gelir. Faaliyetlerin bünyesinde eklemlenmiş olup süreklilik arz eder ve faaliyetle eş zamanlı olarak gerçekleşir. Bağımsız izleme, faaliyet sona erdikten sonra yapıldığından, problemlerin sürekli izleme faaliyetleri aracılığıyla tespit edilmesi daha kolay ve etkindir.

Şekil 3: KRY’de Amaç ve Bileşenlerin İlişkisi

Kaynak: Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Integrated Framework, New York, 2004, www.erm.coso.org(17 Mayıs 2007), s.5.

Yatay eksende dört amaç kategorisi gösterilmektedir ki bunlar; strateji, operasyonlar, raporlama ve uyum’dur. Dikey eksende süreci oluşturan sekiz aşama bileşeni, kurum seviyeleri ise matrisin üçüncü boyutunda gösterilmektedir.20