Professional Documents
Culture Documents
ÖZ
Kurumsal risk yönetimi (KRY), bir örgütün karşılaştı- COSO KRY çerçevesi güncellemeleri kullanılarak tarif
ğı tüm riskleri bütünsel olarak yönetmek amacıyla risk edilmektedir. Kullanıcıların değişikliklerin kapsamını
yönetiminde yeni bir paradigma olarak ortaya çıkmıştır. anlamaları ve kuruluşlarının riski nasıl yönettikleri üze-
Yine de örgütler riskleri hâlâ parça parça bir şekilde yö- rindeki potansiyel etkisini belirlemeleri gerekir. Makale
netmekte ve KRY’yi etkili bir şekilde uygulamak ve kar- önemli yönetimsel sonuçları vurgulayarak konuya dair
maşık stratejik riskleri yönetmek için mücadele etmek- bilgilerin genişletilmesine katkıda bulunmayı amaçla-
tedir. Bu nedenle örgütler, çevresel faktörlerdeki yıkıcı maktadır. Bu makalede ana hatlarıyla verilen kavramlar,
değişiklikler ve sektörlerin dinamik doğası göz önüne yaklaşım ve rehberlik, KRY süreçlerinin uygulanması
alınarak, yeni risklere karşı güncel kalmalı ve KRY sü- konusunda faydalı bilgiler sunmaktadır. Çalışma aynı
reçlerini sürekli izlemelidirler. Her ne kadar KRY ko- zamanda sürekli iyileştirme çabaları, daha fazla bağlantı
nusu literatürde geniş çapta araştırılmış olsa da, sadece için fırsatları değerlendirme ve örgütlerin KRY faaliyet-
birkaç çalışma olası uygulama sorunlarını vurgulamak lerini strateji belirleme ve faaliyet süreçleri ile entegre
için çerçevelerin analizine odaklanmıştır. Bu çalışma- etme noktasında çeşitli önerilere de yer vermektedir.
da, bu soruna bir çözüm olarak; riskleri, geri bildirim
ve gecikmeleri içeren nedensel bir modelleme ortamına Anahtar Kelimeler: COSO Çerçevesi, ISO 31000 Stan-
entegre etmeyi sağlayan bir sistem dinamiği yaklaşımı dardı, Kurumsal Risk Yönetimi
kullanarak KRY uygulaması önerilmektedir. Uygula-
ma metodolojisi ISO 31000 Risk Yönetimi Standardı ve JEL Kodları: M10
ABSTRACT
Enterprise risk management (ERM) has emerged as the Risk Management Standard and COSO ERM Framework
new paradigm in risk management with the goal of ho- updates. Users need to understand the extent of the chang-
listically managing all risks facing an organization. Yet es and identify their potential impact on how their organ-
organizations still manage risks in a piece-meal fashion ization manages risk. The article aims to contribute to the
and struggle to effectively implement ERM and manage widening of the knowledge on the subject by emphasizing
complex strategic risks. Therefore, given the devastating the important managerial results. The concepts, approach
changes in environmental factors and the dynamic na- and guidance outlined in this article provide useful in-
ture of the sectors, organizations must stay up-to-date formation on the implementation of ERM processes. The
with new risks and monitor ERM processes constantly. Al- study also includes various suggestions for continuous im-
though the issue of ERM has been extensively researched provement efforts, evaluating opportunities for more con-
in the literature, only a few studies have focused on the nectivity, and integrating organizations’ ERM activities
analysis of frames to highlight potential implementation with strategy formulation and operational processes.
problems. İn this study proposes a solution to this problem;
ERM implementation using a system dynamics approach, Keywords: COSO Framework, ISO 31000 Standard, En-
which enables integrating risks in a causal modeling envi- terprise Risk Management
ronment that includes feedback and delays. The method-
ology of implementation is described using the ISO 31000 JEL Classification: M10
–––––––––––––––––––––––––––––––––––––––––––––––––––––
* Bu çalışma, 16.05.2020 tarihinde Sosyal Bilimler ve Eğitim Bilimleri Öğrenci Kongresinde sunulan tebliğin genişletilmiş hâlidir.
** Dr., CICP, ISO/IEC 27001 BD, Başmüfettiş, Türkiye Tarım Kredi Kooperatifleri, Ankara, Orcid. Id:0000-0001-8196-0764, muysal@tarimkredi.
org.tr
Yazı Gönderim Tarihi: 19.11.2020, Yazı Kabul Tarihi: 13.12.2020
Uluslararası Standartlar Örgütü (ISO) ISO 31000-Risk Yönetimi’ni yayınladı. İlkeler ve yönergeler, büyüklüğü, etkinliği veya sektörü ne
olursa olsun organizasyonlar tarafından kullanılabilecek risklerin yönetilmesi için ilkeler, çerçeve ve süreç sağlar - 2009
Sorumluluk olarak yönetimin merkezinde KRY var- ğini artırmak, örgüt çapında risk belirleme ve yönet-
dır. Her birim KRY ile direk ilişki hâlinde kendi risk- me, olumsuz sürprizleri azaltırken olumlu sonuçları
lerini belirlemektedir ve önlemleri kendisi almaktadır ve avantajı artırmak, performans değişkenliğini azalt-
(KİDDER, 2013, s. 6). Dolayısıyla örgütün tamamı ma, kaynak dağıtımını iyileştirme, örgüt esnekliğinin
KRY’den haberdardır. KRY’nin en büyük itici etkeni artırılması gibi faydalar elde etmektedirler (Saka &
yönetime yeni sorumluluklar yüklemesidir.
Uğural, 2008, s. 19). Bu faydaların elde edilmesi doğ-
KRY, strateji ve performansı optimize etmek için ru KRY yapısının tesis edilmesi ve etkin KRY uygu-
mümkün olan en iyi çerçeveye sağlamaktadır. KRY’yi lamaları ile mümkündür (Seuamsothabandith, 2004,
örgüt geneline entegre eden kuruluşlar, fırsat çeşitlili- s. 4).
Şekil 2. ISO 31000: 2009 – Risk Yönetimi Prensipleri, Çerçeve ve Süreç Arasındaki İlişkiler
Şekil 3. ISO 31000: 2018 – Risk Yönetimi Prensipleri, Çerçeve ve Süreç Arasındaki İlişkiler
İlkeler
Sürekli
İyileştirme
İnsani ve
Kültürel Entegre
Faktörler
Dinamik Özelleştirilmiş
Dizayn Bağlam
Kayıt Kurmak İletişim
Uygulama
& &
Gelişme
Liderlik
ve Raporlama Danışma
i
es
Taahhüt
Mu
irm
rle k
Ris elesi
ğe Ris
nd
am
k
Değerlendirme
De
İç Bağlam İzleme
&
Gözden Geçirme
(ISO, 2018b, s. v)
Yukarıdaki şekiller, ISO 31000 standardın 2018 sü- litikalarına, değerlerine ve kültürüne entegre bir çer-
rümünün bileşenlerini özetlemektedir. Görüldüğü çeve geliştirmelerini, uygulamalarını ve sürekli iyileş-
üzere ISO 31000 standardı kuruluşlara, risk yönetme tirmelerini tavsiye eder.
sürecinde, kuruluşun genel yönetişimine, stratejisine, İtibara ve markaya verilen zararlar, siber suçlar, politik
planlamasına, yönetimine, raporlama süreçlerine, po- riskler ve terörizm, dünyadaki her tür ve büyüklük-
teki özel ve kamu kuruluşlarının artan sıklıkta karşı • İçeriğin, dış ortamıyla düzenli olarak geri bil-
karşıya kaldığı risklerden bazılarıdır. Artan risklerle dirim alışverişinde bulunan ve birden fazla
oluşan belirsizliği yönetmeye yardımcı olmak üzere, ihtiyaca ve bağlama uyacak şekilde açık sistem
ISO 31000 standartlar ailesinin en son sürümü ortaya modelini sürdürmeye daha fazla odaklanarak
çıkmıştır. Rehberin üç ana kısmı ve bu kısımlarda ya- düzene konulması.
pılan temel değişikler şunlardır (CGE, 2018): Bu değişiklikler, aşağıdaki tabloda da görüldüğü
• Başarısı için anahtar kriterler olan risk yöneti- gibi ISO 31000 modelinin de revizyonuna yol açtı.
mi ilkelerinin gözden geçirilmesi, Prensiplerin, etkin ve verimli bir risk yönetiminin,
• Risk yönetiminin örgütlerin yönetişiminden nitelikleri, amaç ve hedefleri hakkında rehberlik sağ-
ladığı ifade edilmiştir. Bunların, organizasyonların
başlayarak tüm organizasyonel faaliyetlere
risk yönetimi çerçevesi ve süreçleri oluşturulurken
entegre edilmesini sağlayacak üst yönetimin
dikkate alınması gereken esaslar olduğu belirtilmiştir
liderliğine odaklanma,
(ISO, 2018b, s. 2). Prensiplerin sayısı, yeni versiyonda
• Risk yönetiminin yinelemeli niteliği, yeni de- 11’den 8’e indirilmiştir. Bununla birlikte, yeni versi-
neyimlerden yararlanma, sürecin her aşama- yondaki prensiplerin, eski versiyonda yer alan pren-
sında süreç unsurlarının, eylemlerin ve kont- siplerin aynısı olduğu, sadece ifade ediliş şeklinde kü-
rollerin revizyonu için bilgi ve analiz, çük değişiklikler yapıldığı görülmektedir.
Çerçeve kısmında, risk yönetiminin, örgütlerin ve planlama, örgütsel esneklik, bilişim teknolojileri,
önemli aktivite ve fonksiyonlarının içerisine nasıl yönetişim, insan kaynakları, uyum, kalite, sağlık ve
entegre edileceği açıklamaktadır. Risk yönetiminin güvenlik, iş sürekliliği, kriz yönetimi ve güvenliğini
başarısının, bu entegrasyonun başarısına bağlı oldu- içermektedir.
ğu ifade edilmiştir. Risk yönetiminin, örgütlerin tüm
aktivitelerinin içerisine entegre olabilmesinde, üst yö-
netimin bu konuyu sahiplenmesi ve desteğinin kritik 3.2. Yeni COSO Kurumsal Risk Yönetimi Çerçevesi
olduğu vurgulanmaktadır (Anderson & Frigo, 2020, Güncellemelerini Anlamak
s. 4). 2009 versiyonunda çerçeve kısmında yer alan
beş husus, 2018 versiyonunda, entegrasyon da ilave Zaman içerisinde risklerin tanımlanması, değerlen-
edilerek, altıya çıkarılmıştır. dirilmesi ve yönetilmesine dair bir gereksinim do-
ğurmuştur. Risk yönetiminde yaşanan skandalların
Süreç kısmı, iletişim ve danışma, ortamın oluşturul- zorunlu kılmasıyla da 2004 yılında yayınlanan COSO
ması, değerlendirme, cevap verme, gözden geçirme, KRY Entegre Çerçevesi yayınlanmıştır. 2004 çerçe-
kayıt ve raporlamayı kapsar. Eski ve yeni versiyon ara- vesinde sekiz adet bileşen vardır ve bunların altında
sında içerik olarak önemli bir farklılık görülmemek- prensipler şeklinde bir yapı bulunmamaktadır. Çerçe-
tedir. Yeni versiyonda kayıt ve raporlama sürece ilave ve aşağıda görüleceği gibi 3 boyutlu bir matrisle gös-
edilmiştir. Eski versiyondaki, ortamın oluşturulması terilen COSO küpü ile temsil edilmektedir. Matrisin
yeni versiyonda kapsam, ortam, kriter şeklinde ifade üstünde, faaliyetlerin etkinliği ve etkililiği, bilgilerin
edilmiştir. güvenirliği ve mevzuata uygunluğu kapsayan hedef-
ISO 31000’in revize edilmiş versiyonu, organizasyon- ler; ön yüzünde iç kontrol bileşenleri; yan yüzeyinde
la entegrasyona, liderlerin rolü ve sorumluluklarına ise, birimler ve yürüttükleri faaliyetleri kapsayan ör-
odaklanmaktadır. Risk uygulayıcıları genellikle ör- gütsel yapı bulunmaktadır.
gütsel yönetimin sınırlarındadır. Bu vurgu, risk yöne-
timinin işin ayrılmaz bir parçası olduğunu gösterme-
Şekil 4. COSO Küpü
lerine yardımcı olmaktadır. 2018 sürümü, risk yöne-
r a
timinin temel itici gücü olarak değer yaratmaya daha teji etle rlam m
Str
a
Faa
liy apo Uyu
fazla odaklanır ve korumaya daha fazla odaklanmak- R
ta ve sürekli iyileştirme, paydaşların dâhil edilmesi, İç Ortam
organizasyonla özelleştirme, insan ve kültürel faktör- Hedef Belirleme
lerin düşünülmesi değerlendirilmesi gibi diğer ilgili Şube
Kurum Genelinde
Olay Tanımlama
Birim
Risk Değerlendirmesi
veya koşulların eksik bilgisinin bir örgütün karar ver-
me sürecine etkisi üzerine odaklanan “belirsizliğin Riske Karşılık Verme
hedefler üzerindeki etkisi” olarak tanımlanmaktadır Kontrol Faaliyetleri
(ISO, 2018b, s. 1). Bu tanımla birlikte standardın en Bilgi ve İletişim
önemli faydası, geleneksel risk anlayışında bir deği-
İzleme
şiklik yapılmasını gerektirmesi ve organizasyonları
risk yönetimi ihtiyaçlarına ve hedeflerine göre uyar- (COSO, 2012, s. 5)
Çerçevenin adında, strateji, risk ve performans ara- çeşitli renkli şeritlerin kesişimler arasında konumlan-
sındaki ilişkiye vurgu yapılmıştır. Aşağıda gösterildiği dırılmış beş terimi içermektedir. Ana resmin altında,
üzere, yeni gösterimde helezon şeklinde bir gösterim ilgili terimlerle beş mini ikon vardır. Bu terimler ile
yapılmıştır. Yeni çerçevede 5 adet bileşen ve bunlara şeritler arasındaki ilişki ve şeritler içindeki terimler
ilişkin 20 adet prensip belirlenmiştir. Yeni modelin hemen anlaşılmaz bir yapıdadır (Prewett & Terry,
ana simgesi soyut formdadır. Yeni KRY’nin simgesi 2018, s. 17-19).
1. Yönetim Kurulunun 6. İş Ortamını Analiz 10. Risklerin 15. Yapısal 18. Bilgi Yönetim
Risk Gözetimini Etme Tanımlanması Değişiklikleri Sisteminin
Uygulaması 7. Risk İştahının 11. Risk Şiddetlerinin Değerlendirme Güçlendirilmesi
2. Operasyonel Yapının Tanımlanması Değerlendirilmesi 16. Risk ve 19. Riske İlişkin
Oluşturulması 8. Alternatif Stratejileri 12. Risklerin Performansı Bilginin
3. İstenen Kültür Değerlendirme Derecelendirilmesi Gözden Geçirme Paylaşılması
Yapısının 9. İş Hedeflerini 13. Risk Yanıtlarının 17. Kurumsal Risk 20. Risk, Risk Kültürü
Tanımlanması Oluşturma Uygulanması Yönetimi ile İlgili ve Performans ile
4. Temel Değerlere Olan Gelişmeleri Takip İlgili Raporlama
14. Bütüncül Bir Etme
Bağlılığı Gösterme Akış Açısının
5. Kabiliyetli Personeli Geliştirilmesi
Kazanma, Geliştirme
ve Elde Tutma
(COSO, 2017, s. 6)
Bu yeni şekilde, KRY’nin bileşenlerinin, örgütlerin bakımından uygun olmuştur. Küp şeklinde gösterim-
misyon, vizyon ve temel değerleriyle ilişkisi göste- den vazgeçilmesi COSO iç kontrol küpü ile karıştı-
rilmektedir. Diyagramın üç şeridi örgüt boyunca rılmasını önlemek ve KRY’nin örgütlerin tüm süreç-
akan genel süreçleri temsil ettiği, diğer iki şeridin ise lerine entegre olduğunu göstermek açısından faydalı
KRY’nin destekleyici unsurlarını temsil ettiği ifade olmuştur (Kurt & Uçma Uysal, 2018, s. 23).
edilmiştir (COSO, 2017, s. 5). Yeni gösterime göre,
Güncellenen çerçevede KRY’nin tanımı değiştirilmiş-
KRY, strateji geliştirme, iş hedeflerinin oluşturulması
tir. 2004 çerçevesinde KRY, “bir örgütlerin yönetim
ve uygulanması ve performansla entegre edildiğinde,
kurulu, yöneticileri ve tüm çalışanlarından etkilenen,
bunun örgütlerin değerini artıracağı ifade edilmekte-
stratejinin belirlenmesinde ve kurum genelinde uy-
dir. KRY’nin statik olmadığı, günlük alınan kararlar
gulanan, kurumu etkileme potansiyeli olan olayları
vasıtasıyla strateji geliştirme, iş hedeflerinin oluştu-
belirleme ve risk iştahı çerçevesinde riskin yönetil-
rulması ve bu hedeflerin uygulanmasına entegre ol-
mesi amacıyla dizayn edilen, örgütlerin hedeflerini
duğu belirtilmiştir (Anderson & Frigo, 2020, s. 2).
başarması için makul güvence sağlayan bir süreçtir”
Unsurlar ve bunlara ilişkin prensiplerin belirlenmesi, şeklinde tanımlanmıştır (COSO, 2004, s. iii). Gün-
çerçevenin kullanım kolaylığı ve daha iyi anlaşılması cellenen çerçevede ise KRY, “organizasyonun değer
yaratma, koruma ve realize etmede, riski yönetmek • İstenen kültür yapısının tanımlanması. Organi-
için güvenebilecekleri, stratejinin belirlenmesi ve yü- zasyon, örgütlerin kültürünü karakterize eden,
rütülmesine entegre edilen, kültür, imkan ve uygula- arzu edilen davranışları tanımlar.
malardır” şeklinde tanımlanmıştır (Anderson & Fri- • Temel değerlere olan bağlılığı gösterme. Organi-
go, 2020, s. 2). Oluşturulan yeni KRY çerçevesinde zasyon, örgütün temel değerlerine bağlılığını
KRY’nin statik olmadığı, tüm seviyelerdeki yönetim gösterir.
ve risk süreçlerine uygulanabileceği belirtilmiştir.
• Kabiliyetli personeli kazanma, geliştirme ve elde
Yeni tanımda risk yönetimin temel amacının değer tutma. Organizasyon, strateji ve iş hedefleri ile
oluşturmak, korumak ve realize etmek olduğu, stra- uyumlu olarak beşeri sermayesini inşa etmeye
tejinin belirlenmesi ve yürütülmesine entegre edil- büyük önem verir.
mesi gerektiği ifade edilmektedir. KRY’nin örgütlerin
Strateji ve Hedef Oluşturma: KRY, strateji ve hedef-
tüm aktivite ve süreçlerine entegre edilmesinin or-
lerin oluşturulması, strateji planlama süreçlerinin
ganizasyonun yönetişim, strateji, hedef belirleme ve
temel noktalarıdır ve bu unsurlar birlikte hareket et-
günlük operasyonlarına ilişkin karar alma süreçlerini
mektedirler. Bu düzenlemeyle iş ortamı ile stratejile-
iyileştireceği, performansı artıracağı ve değerin oluş-
rin belirlenmesi arasındaki temel ilişki irdelenmiştir.
turulması, korunması ve sürdürülmesine katkı sağla-
Bileşenin alt bileşenleri şu şekildedir:
yacağı ifade edilmiştir (COSO, 2017, s. 5). KRY’nin
bir fonksiyon, bölüm veya risklerin listelenmesinden • İş ortamını analiz etme. Organizasyon, bulun-
ibaret olmadığı, yönetimin, riskleri aktif bir şekilde duğu iş ortamının, risk profili üzerine potansi-
yönetmek için kullandıkları uygulamaları kapsadığı yel etkilerini analiz eder.
ifade edilmiştir. Sarmal ile tasarlanan bu bileşenler, • Risk iştahının tanımlanması. Organizasyon,
aşağıda aktarıldığı gibidir: risk iştahını, değer oluşturma, koruma ve rea-
Yönetişim ve Kültür: KRY’nin diğer unsurlarının te- lize etme bağlamında tanımlar.
melini oluşturur. Yönetişim, tüm aktörlerin yönetime • Alternatif stratejileri değerlendirme. Organizas-
katılmasını ve yönetişimin bir parçası olmasını ifade yon, alternatif stratejilerin risk profili üzerine
etmektedir (Okçu, 2011, s. 45). Dolayısıyla yönetişim etkilerini değerlendirir.
kavramı, birlikte karar alma ilkesinin kabul edilmesi- • İş hedeflerini oluşturma. Organizasyon, iş he-
ni gerekli kılmaktadır. Kültür ise, etik değerler, iste- deflerini oluştururken, stratejiyle uyumlu ve
nen davranışlar ve risk anlayışı ile doğrudan ilişkilidir onu destekleyecek şekilde, çeşitli seviyelerdeki
(COSO, 2017, s. 6). Örgüt kültürü, kurumda çalışan riskleri dikkate alır.
tüm bireyleri içermektedir. Örgüt içerisinde yerle-
şik davranışlar tümünü kapsayan kültür, karar alma, Performans: Örgütlerin hedefleri ile doğrudan ilgili
uygulama ve takip etme aşamalarının tamamında olan riskler, tanımlanmak ve değerlendirilmek zo-
doğrudan belirleyici bir rol almaktadır. Yönetişim ve rundadır. Bu nedenle riskler, risk iştahı haritası kap-
kültür bileşeni, birbiri ile doğrudan ilişkili 5 alt bile- samında şiddetleri ve dereceleri bakımından sınıflan-
şenden oluşmaktadır. dırılmalıdır. Bileşenin 5 alt bileşeni bulunmaktadır.
• Risk yanıtlarının uygulanması. Örgütler riskle- COSO, yeni KRY çerçevesinde kontrol faaliyetleri
re vereceği cevapları belirler ve seçer. bileşenlerini belirtilmemiş, ancak bunlar hakkında
• Bütüncül bir bakış açısının geliştirilmesi. Ör- COSO İç Kontrol Entegre Çerçevesinin birlikte kul-
gütler risklere ilişkin bütüncül bakış açısı ge- lanılmasını önermiştir (COSO, 2012, s. 160). Ayrıca,
liştirir ve değerlendirir. çerçevenin, sektör, büyüklük, coğrafyaya bağlı olmak-
sızın, tüm örgütler için uygulanabileceği belirtilmiştir
Gözden Geçirme ve Revizyon: Örgütler ilgili bi- (COSO, 2012, s. 1). Yenilenen çerçeve, örgütlerin gö-
rimlerin performanslarını gözden geçirme suretiyle zetim, yönetim ve denetiminde bulunan tüm taraflar
KRY’nin temel bileşenlerinin işleyişlerini ve değer için, risk yönetimi uygulamalarının gözden geçiril-
oluşturma sürecine yapacakları katkıları revize edebi- mesi açısından önem arz etmektedir.
leceklerdir. Bu yolla doğabilecek yapısal değişimlere KRY faaliyetlerini uygulamak veya geliştirmek is-
uyum konusunda ihtiyaç duyulacak güncellemeler teyen örgütler, KRY çalışmalarına başlamadan önce
belirlenebilecektir. Bu ana bileşen aşağıdaki alt bile- güçlü bir kavramsal temel oluşturmalıdırlar. Başarılı
şenden oluşmaktadır: bir KRY faaliyeti için bazı unsurlar bulunmalıdır. Bu
unsurlar KRY faaliyetlerini uygulayan veya geliştiren
• Yapısal değişiklikleri değerlendirme. Örgütler
örgütler için başarının anahtarlarıdır. Bu başarının
starateji ve iş hedeflerini önemli şekilde etkile-
anahtarları, KRY faaliyetleri uygularken karşılaşıla-
yen değişiklikleri belirler ve değerlendirir.
cak engelleri önlemek için yöneticilere yardımcı ol-
• Risk ve performansı gözden geçirme. Organi- maktadır. Bu anahtarlar COSO tarafından 2020 Şubat
zasyon örgütün performans sonuçlarını göz- bülteninde aşağıda değinildiği gibidir (Anderson &
den geçirir ve riskleri ele alır. Frigo, 2020, s. 6):
• KRY ile ilgili gelişmeleri takip etme. Örgütler • Yönetim Kurulu ve üst yönetimin desteğinin
KRY’de gelişmeleri takip eder. alınması,
Bilgi, İletişim ve Raporlama: İletişim, “bilgilerin • KRY’nin rolü ve amacının anlaşılması ve yer-
akla gelebilecek her türlü yolla başkalarına aktarılma- leştirilmesi,
sı, bildirişim, haberleşme, komünikasyon” anlamına • KRY’nin örgütlerinin kültürüne ve değerlerine
gelmektedir (Parlatır, Gözaydın, & Zülfikar, 1998, s. entegre edilmesi,
1067). Örgütlerde katma değer oluşturma süreçle- • Başlangıç olarak örgütün temel strateji ve faali-
rinde kullanılacak bilgilerin elde edilmesi, iletilmesi, yet hedeflerine odaklanmak,
paylaşılması ve raporlanması için, KRY yapısı oluş- • Ana stratejilerle ilgili olay ve sonuçlar kilit
turulmalıdır. Söz konusu bilgiler iç ve dış kaynaklı risklerdir,
olabilmektedir. Elde edilen bilgiler, kurum genelinde • Basit eylemlerle başlanılması ve aşamalı olarak
ilgili tüm birimlere de iletilmelidir. Ana bileşen 3 alt oluşturulması,
bileşenden oluşmaktadır:
• Mevcut kaynaklardan ve risk yönetim faaliyet-
• Bilgi yönetim sisteminin güçlendirilmesi. Ör- lerinden yararlanma.
gütler KRY’yi desteklemek için, bilgi ve tekno-
COSO risk iştahı konusunda örgütlerin karar verme-
loji sistemi avantajlarından yararlanır.
de kilit bir faktör olarak risk iştahını nasıl teşvik ede-
• Riskle ilgili bilginin paylaşılması. Örgütler bileceğine odaklanan yeni bir bülten yayınlamıştır.
KRY’yi desteklemek için iletişim kanallarını Bülten, risk iştahı hakkında hatırlanması gereken altı
kullanır. temel hususu içermektedir (Tysiac, 2020):
• Risk, risk kültürü ve performans ile ilgili rapor- • Risk iştahı ayrı bir çerçeve değildir. Tek başına
lama. Örgütler teşkilat içi çeşitli düzeylerde bir faaliyet değildir, ancak riskin yönetilmesi-
risk, kültür ve performans hakkında raporla- nin yanı sıra örgütsel eylem ve iletişimin ayrıl-
ma yapar. maz bir parçası olmalıdır.
• Risk iştahı ve risk toleransı farklıdır. Bununla kültürüne nüfuz eden derin tartışmalar gerektirir. Bu
ilgili olsalar da, bunlar farklı fikirlerdir. şekilde iştah, misyonu ve vizyonu yansıtır ve strateji
• Risk iştahı, finansal hizmetler endüstrisinden ve hedeflerle değer katma hedefiyle bütünleşmektedir.
daha fazlası için geçerlidir. Tüm örgütlerin per-
formansı daha etkili bir şekilde anlamalarına
ve yönetmelerine yardımcı olabilir. 3.3. Çerçevelerin Karşılaştırılması
• Risk iştahı karar vermenin merkezinde yer alır.
ISO 31000: 2018’i geliştirme süreci, 70’den fazla ülke-
Ayrıca bir kararın bile gerekli olduğunu belir-
den üyelerin 5000’in üzerinde yorumuyla gerçekleşti-
lemede önemlidir.
rilmiştir. COSO ise geliştirilirken 2017 güncellemesi-
• Risk iştahı bir metrikten çok daha fazlasıdır.
ne katkıda bulunanların neredeyse tamamı Washing-
Her metriğe hedef iştah atanan bir yaklaşımın
ton, D.C. ve New York City’de bulunmaktadır (Willi-
parçası olarak ele alınsa da daha iyi, ileriye dö-
ams, 2019). Düzenleyici risk yönetimi, Avustralya’da
nük bir uygulama gelecekteki eylem için iştah
uygulanmaktadır ve Birleşik Krallık, düzenleyici risk
ve stratejiyi birbirine bağlar.
yönetimini yükseköğretim gözetim sürecinin temel
• Risk iştahı şeffaflığı artırmaya yardımcı olur. bileşeni olarak kullanmaktadır. ABD’de KRY uygu-
Örgütlerin üstlenmek istediği risklerin yanı
laması, 2002 Sarbanes-Oxley Yasasını ilemeye dayalı
sıra sınırlamayı amaçladığı riskler konusunda
olarak daha dolaylı ve isteğe bağlıdır (Padro, 2015, s.
farkındalık yaratabilir.
1). Bununla birlikte, hem ISO 3100 kılavuzu hem de
Yeni bültende “örgütlerin başarılı olma riski olduğu” AS/NZS 4360 standardı, kuruluşlar arasında risk yö-
belirtilmektedir. Ancak risk kontrol edilememektedir. netiminin tekdüzeliğini teşvik etme niyetinde olma-
Risk iştahını belirlemek ve anlamak örgütsel yönetim, dıklarını açıkça belirtmektedir. Kanada’da ise kamu
stratejik planlama ve karar almanın önemli bir unsu- sektörüne hitap eden Risk Yönetimi Çerçevesi, kamu
rudur. Bir performans merceğiyle iştahı belirlemek, idaresinin organları ve belirli yönetim özelliklerine
yönetimini etkileyen ve etkili olması için bir örgütün ilişkin bir dizi ilke ve kontrol listesi sağlamaktadır.
Bu çerçeveler, dünya çapında uygulanan diğer daha • Paydaş değerlendirmeleri. Riski yönetmekten
küçük çerçevelere kıyasla daha yapılandırılmıştır. sorumlu olanlar yapılmakta olanın değer kat-
Analiz edilen iki çerçevede de risk, tehdit ve fırsat- tığına inanıyor mu?
lar açısından tanımlanır. Tablo 2’de gösterildiği gibi, • GAP analizi. Revize edilen belgelerin hangi
amaç ve kapsam açısından, çerçeveler güçlü bir ben- yönleri örgüt içindeki risk yönetimi yetenekle-
zerlik göstermektedir. Çerçeveler, risk yönetimi faali- rini geliştirmek için kullanılabilir?
yetlerinin etkili ve verimli bir şekilde uygulanmasını
ve geliştirilmesini teşvik eden ve kolaylaştıran yöner- Bu rehber, belgelerde aktarılan risk yönetiminin ge-
geler ve genel ilkeler sağlar. Bu yönergeler, yalnızca lişimi, risk yönetiminin nasıl görüldüğü ve entegre
edileceği konusunda mevcut değişikliği değiştirebilir.
bireysel projelere değil, kamu veya özel kuruluşların
Risk uzmanları ve örgütleri, değişiklikleri stratejik
tüm faaliyetlerine uygulanabilen çok çeşitli kuruluş-
hedeflere daha etkin bir şekilde ulaştırmayı örgütleri-
lar için geçerlidir. Tabloda belirtildiği gibi risk yöne-
ni güçlendirmek için bir fırsat olarak görmelidir.
timi sürecindeki farklılıklar, temelde terminolojinin
kullanımındaki değişikliklere veya bazı faaliyetlerin
açık veya örtük tahminine bağlıdır. Risk yönetimi
çerçevelerinin yönetim kontrol araçlarından büyük 4. SONUÇ ve DEĞERLENDİRME
ölçüde kopuk göründüğü anlaşılmaktadır. Yönerge- Risk yönetiminin uygulanması, kontrol, örgüt kültü-
ler genellikle, kurumsal kontrolün klasik araçlarına rü, iyi tanımlanmış bir organizasyon yapısının varlığı,
alternatif olarak düşünülemeyecek bir metodolojiyi uygun prosedürlerin sağlanması ve şirket politikaları,
yansıtır. Çerçeveler, çeşitli düzeylerde kurumsal kont- varlığı açısından bir dizi unsura dayanarak örgütten
rol araçlarına değinmelidir ancak bunların kurumsal örgüte değişen karmaşık bir faaliyettir (Agarwal &
kontrol vizyonundan kopuk olduğu görünmektedir. Kallapur, 2018, s. 329). Bu nedenle, tüm bu unsurla-
Ek olarak, tüm risk çerçeveleri bilgi ve iletişim bileşe- rın ve diğerlerinin analizi, özellikle ana KRY çerçeve-
nini içerir ancak bilgi sistemleri ile entegrasyon pro- leri gibi çok küçük veya sınırlıysa, basit bir kılavuzda
sedürleri sağlamaz. yer alamaz. Gözlemlendiği gibi, en iyi ve yaygın ola-
rak kullanılan kılavuz, diğerleri gibi bazı sınırlamalar
getiren COSO KRY’dir. Risk yönetimi faaliyetlerinin
3.4. Örgütsel Etki etkili şekilde uygulanması, COSO KRY veya ISO
31000 kılavuzları gibi güvenilir bir standart dikkate
Bir örgütün bu revizyonlara dayanarak değişiklik alınarak gerçekleştirilebilir. Standartların derinlik
yapması gerekecek düzey, mevcut risk yönetimi uygu- seviyesi incelendiğinde, 254 sayfalık COSO KRY’nin
lamalarının mevcut entegrasyon seviyesine ve olgun- ilkeler ve odak noktaları ile ilgili daha fazla ayrıntılı
luğuna bağlıdır. Risk süreçlerini ve tekniklerini karar olduğu söylenebilir.
verme ve strateji belirlemeye dâhil eden örgütleri için
çok az değişiklik gerekebilmektedir. Ancak, paydaşlar Birkaç temel tanımın karşılaştırılması, ISO 31000
KRY’nin örgütlerin misyonunu ilerletmek için çevre- ve COSO KRY Çerçevesi arasındaki temel farkları
sel olarak bağlantılı başka bir faaliyet olduğuna ina- gösterecektir. COSO KRY Çerçevesi, birçok örgütün
nırlarsa, riski yönetme amacını ve yaklaşımını değiş- uygulanması zor bulduğu karmaşık ve çok katmanlı
tirerek daha güçlü ve daha yetenekli bir organizasyon bir rehberdir. ISO, özümsenmesi daha kolay ve daha
oluşturma fırsatı olabilir. Bu revizyonlar aşağıdaki- akıcı bir yaklaşım sunmaktadır. ISO bir yönetim sü-
lerle ilgili bir sorgulama başlatmak için kullanılabilir recine dayanmaktadır ve her örgüt için risk süreci
(Fox, 2018, s. 4): uyarlayarak mevcut yönetime ve stratejik sisteme en-
tegre olmaktadır. COSO modeli kontrol ve uyumlulu-
• Güncel uygulamalar. Risk yönetimini temel bir ğa dayanır. Bu, geleneksel risk yöneticileri tarafından
yetkinlik mi yoksa periyodik bir egzersiz ola- uygulanması zordur. COSO bir örgütün iç denetim
rak mı değerlendiriliyor? ekibi tarafından uygulanırsa, programın uygulayıcı-
larla aynı insanlar tarafından denetlenmesi sorunu Bununla birlikte, sadece ISO 31000’in uygulanma-
bulunmaktadır. ISO ise bağımsız denetim fonksiyo- sı kötü iş kararlarını ve hatta başka bir küresel mali
nunun izleme ve inceleme aşamasında yer almasına çöküşü engellemeyecektir. Yönetişim sorunlarının
imkan vermektedir. COSO denetçiler, muhasebeciler çözümünde tek yönlü bir model yerine belirtilen de-
ve finansal uzmanlar tarafından yazılmıştır; ISO ise ğerleri dengeleyen bir yaklaşımla hareket edilmesi
risk yönetimi uygulayıcıları ve uluslararası standart doğru olacaktır. Ancak ISO 31000, örgütlere var olma
uzmanlarınca yazılmıştır. nedenlerini anlama ve geleceklerindeki belirsizliği
azaltmak için gerekli tedavileri tanımlama fırsatı sun-
Çerçeveler arasında risk yönetim süreçlerinin ilk
maya devam edecektir.
aşaması açısından büyük farklılık vardır. COSO yö-
netişim, stratejinin incelenmesi, uygulanması ve ilgili
risklere vurgu yaparken, ISO 31000 içinde bulunması
Kaynakça
gereken tüm öğeleri içermeyen bağlamın oluşturul-
masını tanımlamaktadır. Örneğin, yönetişim unsur- Agarwal, R. & Kallapur, S. (2018). Cognitive risk culture
larının etik değerlerine, yönetim tarzına, davranış and advanced roles of actors in risk Governance: a Case
study. The Journal of Risk Finance, 19(4), 327-342.
kurallarına, insan kaynağının becerileri ve yetki ve
sorumluluk alanlarının tanımlanmasına ISO’da atıf Anderson, R. J. & Frigo, M. L. (2020). Creating and Protec-
yapılmamaktadır. Bununla birlikte, COSO, ISO stan- ting Value: Understanding and Implementing enterprise
dardına kıyasla dış bağlamın analizine daha fazla alan risk management. Lake Mary: COSO.
ayırmaktadır. Arslan, I. (2008). Kurumsal risk yönetimi (Uzmanlık tezi).
Ankara: Maliye Bakanlığı Strateji Geliştirme Başkanlı-
ISO ve COSO’nun birlikte incelenmesi, KRY uygula-
ğı.
yıcıları ve denetçiler için faaliyetleri bütünleştirmek
Beasley, M., Pagach, D. & Warr, R. (2008). Information
ve güçlendirme yönünden fırsat sunmaktadır. Ku-
conveyed in hiring announcements of senior executi-
ruluşların COSO ile ilgili görüş ve başarısına bağlı
ves overseeing enterprise-Wide risk management pro-
olarak, örgüt genelinde büyümeyi ve karlılığı hızlan-
cesses. Journal of Accounting, Auditing & Finance, (23),
dırmak için daha etkili bir yol tasarlamada ISO’nun
311-332.
değerlendirilmesi farklı bir yaklaşım sağlayabilir.
Bulut, E. (2015). COSO 2013 “Bataklığı kurutmak mı? Si-
Yapılan düzenlemelerde, risk değerlendirmesi konu- nekleri öldürmek mi? İstanbul: TİDE.
sunda genellikle COSO sistemine atıfta bulunulmak- Burca, N. (2018, Şubat 27). Yenilenen ISO 31000 Risk
tadır. KRY ve iç kontrol konularındaki düzenlemeler- Yönetimi Rehberi. Nazif Burca: https://nazifburca.
de açık ve uygulama zorunluluğu getiren hükümler com/2018/02/27/yenilenen-iso-31000-risk-yoneti-
bulunmamaktadır. Dolayısıyla KRY farkındalığının mi-rehberi/ adresinden alındı. (Erişim Tarihi, 15 Aralık
oluşturulmasında ISO 31000–Risk Yönetimi gibi çer- 2020).
çevelerden faydalanılabilir. Nihayetinde ISO 31000 CGE. (2018, Temmuz). Main changes in revised ISO 31000
standardı, risk yönetimini bir örgütün başarısı için Standard – Keep risk management simple. CGE Risk Ma-
merkezi bir hâle getirecek bir araç ve planlama, yö- nagement Solutions: https://www.cgerisk.com/2018/07/
netim ve yönetişim gibi önemli süreçlerin samimi bir main-changes-in-revised-iso-31000-standard-ke-
parçasını sunmaktadır. ep-risk-management-simple/ adresinden alındı. (Eri-
İki standart arasında tezatlık yerine daha fazla ortak şim Tarihi, 15 Haziran 2020).
nokta olduğu düşünülmektedir. Zayıflıkları tanındığı COSO. (2004). Enterprise Risk Management Framework.
sürece COSO tamamen uygulanırsa, ISO’ya geçmeyi Lake Mary: PwC.
düşünmeye gerek olmayabilir. Öte yandan, eğer CO- COSO. (2012). Internal control—Integrated Framework:
SO’dan kullanışlı ve verimli bir uygulama elde edile- Framework and appendices. PwC.
mezse herhangi bir geçiş süreci kaybetmeden ISO’ya COSO. (2017). Enterprise risk management ıntegrating
geçilebilir ve örgütler muhtemelen basitleştirip güç- with strategy and performance executive summary. Lake
lenebilir. Mary: PwC.
Derici, O., Tüysüz, Z. & Sarı, A. (2007). Kurumsal risk yö- Öksüz, F. (2015). Kamu İdarelerinde daha etkili bir yönetim
netimi ve sayıştay uygulaması. Sayıştay Dergisi, (65), için nasıl bir iç denetim. R. Doğanay, & M. A. Meydanlı
151-172. içinde (ss. 109-116). Ankara: TBMM Basımevi.
Fox, C. (2018). Understanding the New ISO and COSO Padro, F. F. (2015). Which ıs better for embedding risk ma-
Updates. Risk Management, 65(6), 1-5. nagement ın higher education quality assurance: ISO
Gjerdrum, D. & Peter, M. (2011). The new ınternational 31000 or the COSO Framework? Proceedings of the 18th
standard on the practice of risk management – A Com- QMOD-ICQSS International Conference on Quality and
parison of ISO 31000:2009 and the COSO ERM Fra- Service Sciences, 1-39. Seoul.
mework. Risk Management, (21), 8-12. Parlatır, İ., Gözaydın, N. & Zülfikar, H. (1998). Türkçe Söz-
lük (Cilt 1). Ankara: Türk Dil Kurumu.
Gordon, L. A., Loeb, M. P. & Tseng, C. (2009). Enterprise
risk management and firm performance: A contingen- Prewett, K. & Terry, A. (2018). COSO’s Updated enterp-
cy perspective. Journal of Accounting and Public Policy, rise risk management framework—A Quest for depth
(28), 301-327. and clarity. Journal of Corporate Accounting & Finance,
3(29), 16-23.
ISO. (2018a). ISO 31000 Risk Management. Cenova: ISO.
Rubino, M. (2018). A Comparison of the main ERM Fra-
ISO. (2018b). 31000: Risk Management - Guidelines. Ceno-
meworks: How limitations and weaknesses can be
va: BSI Standards Publication.
overcome ımplementing IT governance. International
Karadeniz, I. (2017, Nisan 17). Risk tabanlı proses yönetimi Journal of Business and Management, 13(12), 203-214.
eğitimi TS EN ISO 9001: 2015. TSE: https://slideplayer.
Saka, T. & Uğural, A. (2008). Kurumsal risk yönetimi. TÜ-
biz.tr/slide/15159610/ adresinden alındı. (Erişim Tari-
SİAD (Dü.), Kurumsal risk yönetimi ve 2008 yılı risk ön-
hi, 11 Haziran 2020).
görüleri içinde (ss. 1-44). İstanbul.
KİDDER. (2013). Kurumsal risk yönetiminin doğuşu. Ku-
Seuamsothabandith, S. (2004). An Examination on enterp-
rumsal risk yönetimi (ERM). İstanbul: Kamu İç Denet-
rise risk management. Macomb: Western Illinois Uni-
çileri Derneği.
versity Press.
Kleffner, A. E., Lee, R. B. & McGannon, B. (2003). The effe-
Tranchard, S. (2018). The new ISO 31000 keeps risk manage-
ct of corporate governance on the use of enterprise risk ment simple. Cenova: ISO.
management: evidence from Canada. Risk Management
Tysiac, K. (2020, Mayıs 26). COSO provides new guidance
and Insurance Review, (6), 53-73.
on risk appetite. Journal of Accountancy: https://www.
Kurt, G. & Uçma Uysal, T. (2018). COSO Kurumsal risk journalofaccountancy.com/news/2020/may/new-co-
yönetimi çerçevesi güncelleme projesinin getirdiği ye- so-guidance-risk-appetite.html adresinden alındı.
nilikler. Muhasebe ve Denetime Bakış, (54), 19-34. (Erişim Tarihi, 16 Haziran 2020).
Lachapelle, E., Aliu, F. & Emini, E (2018, Şubat 20). ISO Uysal, M. C. (2018). Kamu kurumlarında kurumsal risk yö-
31000:2018-Rısk Management Guıdelınes. PECB: htt- netimi ve risk odaklı iç denetim: İç denetçiler üzerine
ps://pecb.com/whitepaper/iso-310002018-risk-mana- bir araştırma-II. Denetişim Dergisi, (18), 35-44.
gement-guidelines adresinden alındı. Erişim Tarihi, 16
Wahlström, G. (2009). Risk management versus operatio-
Haziran 2020).
nal action: Basel II in a Swedish context. Management
Liebenberg, A. P. & Hoyt, R. E. (2003). The determinants Accounting Research, (20), 53-68.
of enterprise risk management: Evidence from the ap- Williams, C. (2019, Nisan 8). ISO 31000 vs. COSO - Com-
pointment of chief risk officers. Risk Management and parings and constrasting the World’s leading risk mana-
Insurance Review, (6), 37-52. gement standarts. ERM Insights: https://www.erminsi-
Mikes, A. (2009). Risk management and calculative cultu- ghtsbycarol.com/iso-31000-vs-coso/ adresinden alındı.
res. Management Accounting Research, (20), 18-40. (Erişim Tarihi, 17 Aralık 2020).
Okçu, M. (2011). Değişen dünyayı anlamak için önemli bir Woods, M. (2009). A contingency perspective on the risk
kavram: Yönetişim. Ankara: Ankara Sanayi Odası Ya- management control system within Birmingham City
yını. Council. Management Accounting Research, (20), 69-81.