COSO Kurumsal Risk Yönetimi Çerçevesi, Strateji ve Performansla Entegre Şekilde

I-COSO (Committee of Sponsoring Organizations of the Treadway Commission ) kimdir?

Hileli finansal raporlamanın önlenmesi, iç kontrol, risk yönetimi, kurumsal yönetim ve suiistimali önleme alanlarında kapsamlı rehberler hazırlamak suretiyle fikir önderliği yapmak amacıyla; Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü, Amerikan Muhasebe Birliği, Finansal Yöneticiler Enstitüsü, İç Denetçiler Enstitüsü, Yönetim Muhasebecileri Enstitüsü Sponsorluğunda 1985 yılında kurulmuştur.

(*) Treadway Komisyonu (Sahte Mali Raporlama Ulusal Komisyonu): Sahte mali raporların nedenlerini belirlemek ve meydana gelme olasılığını azaltmak amacıyla ABD’de 1985 yılında kurulan bir örgüttür.

COSO (The Committee of Sponsoring Organizations of the Treadway Commission) tarafından ilk olarak yayınlanan iki çerçeve var: Bir tanesi 1992 yılında yayınlanan İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework), diğeri ise, 2004 yılında yayınlanan “Kurumsal Risk Yönetimi-Entegre Çerçevesi”dir (Enterprise Risk Management – Integrated Framework).

II- COSO  2004 Kurumsal Risk Yönetimi Çerçevesi neyi başarmıştır? Neden yenilenme ihtiyacı duyulmuştur?

İlk çerçeve yayınlandığından bu tarafa tüm dünya ülkelerinde ve kurumlarda, hedeflenen amaç ve alınan risk tutumu doğrultusunda riskin tanımlanması ve değerlendirilmesi açısından   başarıyla uygulanmıştır. Ancak yine de riskin strateji ve amaçlarla bütünleştirilmesi açısından gelişmeye muhtaç bir potansiyeli mevcuttu.

Son yıllarda teknolojinin başdöndürücü bir hızla gelişmesi, internetin ve mobil iletişimin hayatımızın ayrılmaz bir parçası haline gelmesi, bilginin çok hızlı bir şekilde yayılması, küreselleşmenin hızla artması, rekabetin küresel hale gelmesi, iş hayatının ve kurumsal yapının karmaşıklaşması, başta ABD olmak üzere çeşitli ülkelerde yaşanan finansal raporlama skandalları ve bunun sonucunda yasal düzenlemelerin öngördüğü yükümlülüklerin artması, 2008’de ABD’de ipotek karşılığı krediler (mortgage) krizi olarak başlayan finansal krizin küresel etkilerini, müşteri taleplerindeki değişimler, çevresel duyarlılığın artması, dijital dönüşüm gereklilikleri gibi pek çok faktör organizasyonların karşı karşıya kaldığı riskleri artırmış ve kurumsal sürdürülebilirliği tehdit eder hale gelmiştir.

Belirtilen nedenlerle 1992 yılında yayınlanan İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework 2013 yılında revize edilerek yayınlanmıştır. COSO, Kurumsal Risk Yönetimi Çerçevesi ise revize edilerek Haziran 2017 tarihinde, “Kurumsal Risk Yönetimi- Strateji ve Performansla Entegre Edilmiş” (Enterprise Risk Management—Integrating with Strategy and Performance) adıyla yeniden yayınlanmıştır. Yenilemenin bazı gerekçeleri olarak, çerçevenin ilk çıktığı dönemden bu yana, yeni risklerin ortaya çıkması, risklerin daha karmaşıklaşması, paydaşların risk yönetimi farkındalığının artması, daha iyi risk raporlaması beklentileri ve kurumsal risk yönetimindeki gelişmelerin çerçeveye yansıtılması, olduğu belirtilmiştir.

III – COSO ERM 2004 ve COSO ERM 2017 arasındaki farklılıklar

Eski 2004 çerçevesinde sekiz adet bileşen vardı. Bunlar (İç Ortam, Hedef Oluşturma, Olay Belirleme, Risk Değerlendirme, Kontrol Aktiviteleri, Bilgi, İletişim, İzleme).

Bunların altında prensipler şeklinde bir yapı yoktu. Aşağıda görüleceği üzere kurumsal yönetimin bileşenleri, kurumun amaçları ve kurumsal yapı arasındaki ilişki küp şekliyle ifade edilmişti.

Yenileme ile çerçevenin adı ve yapısı değiştirilmiştir. Çerçevenin adında, strateji, risk ve performans arasındaki ilişkiye vurgu yapılmıştır. Aşağıda gösterildiği üzere, yeni çerçevede Yönetişim ve Kültür (Governance & Culture, Strateji ve Hedef Oluşturma (Strategy & Objective-Setting), Perfomans (Performance), Gözden Geçirme ve Düzeltme (Review & Revision), Bilgi, İletişim ve Raporlama (Information, Communication & Reporting) adlarıyla 5 adet bileşen ve bunlara ilişkin 20 adet prensip belirlenmiştir.

Ayrıca, aşağıda gösterildiği üzere, yeni gösterimde küp yerine, helezon şeklinde bir gösterim yapılmıştır.

Bu yeni şekilde, kurumsal risk yönetiminin bileşenlerinin, kurumun misyon, vizyon ve temel değerleriyle ilişkisi gösterilmektedir. Diyagramın üç şeridi (Strateji ve Hedef Oluşturma, Performans, Gözden Geçirme ve Düzeltme) kurum boyunca akan genel süreçleri temsil ettiği, diğer iki şeridin ise (Yönetişim ve Kültür ve Bilgi, İletişim ve Raporlama) kurumsal risk yönetiminin destekleyici unsurlarını temsil ettiği ifade edilmiştir.

Yeni gösterime göre, kurumsal risk yönetimi; strateji geliştirme, iş hedeflerinin oluşturulması ve uygulanması ve performansla entegre edildiğinde, bunun kurumun değerini artıracağı ifade edilmektedir. Kurumsal risk yönetiminin statik olmadığı, günlük alınan kararlar vasıtasıyla; strateji geliştirme, iş hedeflerinin oluşturulması ve bu hedeflerin uygulanmasına entegre olduğu belirtilmiştir.

Yeni çerçevede, Kurumsal Risk Yönetimi tanımı da değiştirilmiştir.

[ezcol_1half]Eski Tanım

• Bir kurumun yönetim kurulu, yöneticileri ve tüm çalışanlarından etkilenen,
• Stratejinin belirlenmesinde ve kurum genelinde uygulanan,
• Kurumu etkileme potansiyeli olan olayları belirleme ve risk iştahı çerçevesinde, riskin yönetilmesi amacıyla dizayn edilen,
• Kurumun hedeflerini başarması için makul güvence sağlayan bir süreçtir.

[/ezcol_1half] [ezcol_1half_end]Yeni Tanım

• Organizasyonun değer yaratma, koruma ve realize etmede,
• Riski yönetmek için güvenebilecekleri,
• Stratejinin belirlenmesi ve yürütülmesine entegre edilen, kültür, imkan ve uygulamalardır.

[/ezcol_1half_end]

Görüleceği üzere, yeni tanımda risk yönetimin temel amacının değer oluşturmak, korumak ve realize etmek olduğu, stratejinin belirlenmesi ve yürütülmesine entegre edilmesi gerektiği ifade edilmektedir. Kurumsal risk yönetiminin sadece, değerin düşmesini önlemeye ve risklerin kabul edilebilir seviyeye indirilmesine odaklanmadığı, strateji belirleme ile entegre olarak, değerin artırılması ve sürdürülmesi için fırsatların oluşturulmasına da yardımcı olacağı belirtilmektedir. Kurumsal risk yönetiminin bir fonksiyon, departman veya risklerin listelenmesinden ibaret olmadığı, yönetimin, riskleri aktif bir şekilde yönetmek için kullandıkları uygulamaları kapsadığı ifade edilmiştir.

IV- COSO ERM 2017 Bileşenler ve Prensipler

Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesinde yer alan, birbiriyle ilişkili beş bileşen ve bunlara ait 20 prensip aşağıda kısaca ifade edilmiştir.

1-YÖNETİŞİM ve KÜLTÜR (Governance and Culture): Yönetişim ve kültür kurumsal risk yönetimin diğer unsurlarının temelini oluşturur. Yönetişim genel anlamda; rol, yetki ve sorumlulukların, paydaşlar, yönetim kurulu ve yönetim arasındaki dağılımına işaret eder. Yönetişim organizasyonun tarzını belirler, gözetim sorumluluklarını oluşturur.  Kültür, yönetimin ve personelin kararlarını etkileyen tutum, davranış ve riski anlama şeklidir ve organizasyonun visyon, misyon ve temel değerlerini yansıtır. Bu unsura ait beş prensip vardır:

1.Prensip: Yönetim Kurulu Risk Gözetimini Yerine Getirir–Exercises Board Risk Oversight- Yönetim Kurulu, yönetimin strateji ve iş hedeflerini gerçekleştirmesini desteklemek amacıyla, stratejinin gözetimi ve yönetişim sorumluluklarını yerine getirir. Kurumda risk gözetiminin ana sorumluluğu yönetim kuruluna aittir. Etkin bir risk gözetimi için, yönetim kurulunun kolektif olarak gerekli beceri, tecrübe ve iş bilgisine sahip olması, kurumun stratejisini ve içinde yer aldığı endüstriyi anlaması ve kurumu etkileyen konularda bilgilendirilmesi gerekir.

2.Prensip: Operasyonel Yapıyı Oluşturur–Establishes Operating Structures- Organizasyon, strateji ve iş hedeflerini gerçekleştirmek amacıyla operasyonel yapıyı oluşturur.

Organizasyon, strateji ve iş hedeflerini gerçekleştirmek için bir çalışma modeli oluşturur ve raporlama hattı tasarlar. Farklı çalışma modelleri, KRY uygulamalarını etkileyebilecek farklı perspektifte risk profillerine neden olabilir. Organizasyonlar benimseyecekleri çalışma modeline karar verirken tüm ilgili faktörleri dikkate alır.

3. Prensip: Arzu Edilen Kültürü Tanımlar–Defines Desired Culture- Organizasyon, kurumun kültürünü karakterize eden, arzu edilen davranışları tanımlar.

Bir kurumun kültürü, onun temel değerlerini, davranışlarını, kararlarını ve organizasyonun bu Çerçeveyi nasıl uygulayacağını etkiler: bir organizasyonda ‘risk farkındalığı kültürü’ ; güçlü liderlik sağlayarak, katılımcı bir yönetim tarzı uygulayarak, bütün eylemlerde hesap verebilirliği temin ederek, karar alma mekanizmalarına riski dahil ederek ve risk hakkında açık iletişim ve raporlama sağlayarak oluşturulabilir.

4.Prensip: Temel Değerlere Bağlılık Gösterir– Demonstrade Commitment to Core Values- Organizasyon kurumun temel değerlerine bağlılığını gösterir.

Organizasyonun tepe yönetiminin güçlü ve destekleyici tavrı KRY için esas teşkil eder. Tutarlı bir tutum bir organizasyonun, temel değerleri, iş amaçları, personel ve iş ortaklarından beklenen davranışlar hakkında genel bir anlayış oluşturmasına yardımcı olur. KRY ve karar almaya ilişkin davranışlar dahil, organizasyonun etik değerler ve beklenen davranışlara ilişkin beklentilerini iletmek amacıyla, bir davranış kuralları rehberi oluşturulur.

5.Prensip: Yetenekli Personeli Çeker, Geliştirir ve Elde Tutar– Attracts, Develops, and Retains Capable Individuals–Organizasyon, strateji ve iş hedefleri ile uyumlu olarak beşeri sermayesini inşa etmeye büyük önem verir.

Yönetim kurulunun gözetiminde yönetim, strateji ve iş hedeflerini gerçekleştirmek için ihtiyaç duyulan insan sermayesini tanımlar. Yönetim, bilgi, yetenek ve tecrübe gerekliliklerini dikkate alır, insanları cezbetmek, eğitmek, değerlendirmek, elde tutmak ve yedekleme planlaması yapmak için gerekli yapıyı ve süreci oluşturur.

2-STRATEJİ ve HEDEF BELİRLEME (Strateji ve Objective Setting)

Strateji planlama sürecinde, kurumsal risk yönetimi, strateji ve hedef belirlemeyle birlikte hareket ederler. Stratejiyle uyumlu, bir risk iştahı belirlenir. İş hedefleri; risklerin belirlenmesi, değerlendirilmesi ve cevap verilmesine esas oluşturur. İş hedefleri, stratejinin uygulamaya konulmasını sağlar ve kurumun günlük operasyonlarını ve önceliklendirmelerini şekillendirir. Bu unsurun altında dört prensip yer alır:

6. Prensip: İş Ortamını Analiz Eder –Analyzes Business Context- Organizasyon, bulunduğu iş ortamının, risk profili üzerine potansiyel etkilerini analiz eder.

“İş ortamı” bir organizasyonun mevcut ve gelecekteki strateji ve iş hedeflerini etkileyecek, açıklığa kavuşturacak ya da değişikliğe neden olacak trendleri, ilişkileri ve diğer faktörleri içerir. Bu nedenle, bir organizasyon misyon, vizyon ve temel değerlerini desteklemek için strateji geliştirirken iş ortamını dikkate alır. Hem iç hem de dış çevreler ve paydaşlar iş ortamının bileşenleri olarak gözönüne alınmak zorundadır. İş ortamında yer alan tüm faktörler, kurumun geçmiş, mevcut ve gelecek performansı olarak üç aşamada görülen risk profili üzerinde etkilere sahiptir.

7. Prensip: Risk İştahını Tanımlar– Defines Risk Appetite-Organizasyon, risk iştahını, değer oluşturma, koruma ve realize etme bağlamında tanımlar.

“Risk iştahı” bir kurumun, genel düzeyde, kabul etmek istediği risk türleri ve tutarıdır. Belirli bir limit yerine, uygun uygulamaları ortaya koyar. Tüm kurumlara uygulanacak standart ya da “doğru” risk iştahı yoktur. Yönetim ve yönetim kurulu, içerdiği tüm artı ve eksileri tam olarak anlayarak bir risk iştahı seçer. Risk iştahını belirlemek için, kolaylaştırıcı tartışmalar, eski ve mevcut performans hedeflerini gözden geçirme ve modelleme gibi çeşitli yaklaşımlar bulunmaktadır. Bunun yanında, bir organizasyon risk iştahını belirlerken, stratejik, finansal ve operasyonel parametrelerini, risk profilini, risk kapasitesini, KRY yeteneklerini ve olgunluğunu dikkate alabilir. Risk iştahı yönetim tarafından iletilir, yönetim kurulunca onaylanır ve tüm kuruma bildirilir. Çünkü, amaç tüm karar vericilerin bunu anlaması ve tüm operasyonlarda uygulamasıdır.

8.Prensip: Alternatif Stratejileri Değerlendirir–Evaluate Alternative Strategies- Organizasyon, alternatif stratejileri ve risk profili üzerine etkilerini değerlendirir.

Bir organizasyon strateji belirleme sürecinin bir parçası olarak alternatif stratejileri ve her bir seçeneğin risk ve fırsatlarını değerlendirmek zorundadır. Alternatif stratejiler organizasyonun değer yaratmak, korumak ve realize etmek için gereken kaynak ve yetenekleri bağlamında değerlendirilir.

 9.Prensip: İş Hedeflerini Oluşturur– Formulates Business Objectives-Organizasyon, iş hedeflerini oluştururken, stratejiyle uyumlu ve onu destekleyecek şekilde, çeşitli seviyelerdeki riskleri dikkate alır.

Organizasyon ölçülebilir ya da gözlemlenebilir, ulaşılabilir ve uygun iş hedefleri geliştirir. Bu hedefler, finansal performans, müşteri istekleri, operasyonel mükemmeliyet, uyum yükümlülükleri, verimlilik kazançları, inovasyon liderliği vb. olabilir. Münferit hedefler strateji ve risk iştahı ile uyumludur ve kurumun misyon ve vizyonuna ulaşılmasını destekler. Bir organizasyon seçilen iş hedeflerinin risk profili, kaynakları ve yetenekleri üzerindeki potansiyel yansımalarını anlamak zorundadır.

3-PERFORMANS (Performance)

Strateji ve iş hedeflerine ulaşmayı etkileyebilecek riskler belirlenmeli ve değerlendirilmelidir. Riskler, risk iştahına göre, önceliklendirilmelidir. Organizasyon daha sonra, riske vereceği cevabı seçer ve yükleneceği risklerin miktarını portföy (kurumun her seviyesinde) bakış açısıyla belirler. Bu unsura ait beş prensip vardır:

10. Prensip: Riskleri belirler-Identifies Risks–Organizasyon, strateji ve iş hedeflerinin yerine getirilmesini etkileyen riskleri belirler.

Organizasyon, strateji ve iş hedeflerine ulaşmasına ilişkin yeni, gelişen ve değişen riskleri tespit eder. Bu riskler iş hedefleri ya da iş ortamındaki değişikliklerden kaynaklanabilir ve gelecekte risk profilini değiştirebilir. Riskleri belirlemek yönetimin geleceğe bakmasına imkân sağlar ve risklerin potansiyel önem derecelerini değerlendirmek, risk cevabını öngörmek ya da gerektikçe kurumun strateji ve iş hedeflerini gözden geçirmek için zaman verir. Risk belirleme sürecinde tespit edilen riskler genel olarak “risk evreni” olarak tanımlanır. Risk evreni, kurumun karşılaştığı risklerin kalitatif bir listesidir.

11. Prensip: Risklerin Şiddetini Değerlendirir–Assesses Severity of Risks- Organizasyon, risklerin şiddetini değerlendirir.

Belirlenen riskler, her bir riskin kurumun strateji ve iş hedeflerine erişimine ilişkin önem derecesini anlamak amacıyla değerlendirilir. Risk değerlendirme yaklaşımları kalitatif, kantitatif, ya da her ikisi birden olabilir. Yaklaşım türleri senaryo analizleri, simülasyon, veri analizi ve mülakatları içerir. Yönetim risk değerlendirmenin bir parçası olarak doğal (yapısal) riski, hedef artık riski ve gerçekleşen artık riski dikkate alır. Riskin önem derecesi, uygun risk cevabını seçmek, kaynakları tahsis etmek ve karar alma mekanizmaları ve performansı desteklemek için yönetim tarafından belirlenir.

12. Prensip: Riskleri Önceliklendirir–Prioritizes Risks- Organizasyon, risklere vereceği cevaba esas oluşturmak üzere, riskleri önceliklendirir.

Organizasyonlar uygun risk cevaplarını belirlemek ve seçmek için riskleri önceliklendirir. Öncelikler, üzerinde mutabık kalınan uyarlanabilirlik, karmaşıklık, çabukluk ve devamlılık gibi kriterler uygulanarak belirlenir. Riskin önceliklendirilmesi kurumun tüm seviyelerinde gerçekleştirilir ve farklı risklere farklı seviyelerde farklı öncelikler verilebilir.

13. Prensip: Risk Cevaplarını Uygular– Implements Risk Responses–Organizasyon, risklere vereceği cevapları belirler ve seçer.

Yönetim, belirlenen tüm riskler için uygun bir risk cevabı seçer ve uygular. Cevaplar, “riski kabul etme, yükseltme, paylaşma ve riskten kaçınma” olarak sınıflandırılabilir. Yönetim, risk cevaplarını seçmek ve uygulamak için iş ortamını, maliyet ve faydaları, yükümlülükleri ve beklentileri, risk önceliğini, riskin önem derecesini ve risk iştahını dikkate alır.

14. Prensip: Portföy Bakış Açısı Geliştirir-Develops Portfolio View- Organizasyon risklere ilişkin portföy bakış açısı geliştirir ve değerlendirir.

Kurumsal risk yönetimi organizasyonun, risk profiline olan potansiyel etkileri kurum geneli, ya da portföy, perspektifinden dikkate almasını gerektirir. Bu bakış açısı, yönetimin ve yönetim kurulunun risklerin türünü, önem derecesini ve karşılıklı bağımlılığını ve risklerin performansı nasıl etkileyebileceğini dikkat almasına imkân sağlar. Yönetim portföy bakış açısı ile kurumun artık risk profilinin genel risk iştahına uygun olup olmadığını belirleyebilir.

4 – GÖZDEN GEÇİRME ve DÜZELTME: (Rewiew and Revision)

Organizasyon, önemli değişmeler ışığında, hedeflere göre performansın nasıl sonuçlandığını, kurumsal yönetim uygulamalarının iyi çalışıp çalışmadığını, kuruma değer katıp katmadığı, değer katmaya devam edip etmediğini ve düzeltilmesi gereken hususlar bulunup bulunmadığını gözden geçirir. Bu unsurun altında üç prensip yer alır:

15. Prensip: Önemli Değişimleri Değerlendirir-Assesses Substiantial Change- Organizasyon strateji ve iş hedeflerini önemli şekilde etkileyen değişiklikleri belirler ve değerlendirir.

Yeni risklere ya da mevcut risklerin değişmesine neden olabilecek önemli değişikliklerin izlenmesi, iş süreçlerine yerleştirilmesi ve izlemenin sürekli olarak gerçekleştirilmesi sağlanmalıdır. Hızlı büyüme, yeni teknolojiler, yasal düzenlemelerdeki değişiklikler, birleşme ve devralmalar vb. iç ve çevredeki önemli değişiklikler, potansiyel olarak kurumun riske ilişkin portföy bakış açısını değiştirebilir ya da kurumsal risk yönetiminin işlevlerini etkileyebilir.

16. Prensip: Riskleri ve Performansı Gözden Geçirir-Reviews Risk and Performance- Organizasyon kurumun performans sonuçlarını gözden geçirir ve riskleri ele alır.

Organizasyonlar, risklerin nasıl ortaya çıktığını ve kurumun risk iştahı ile karşılaştırıldığında bu risklerin strateji ve iş hedeflerini nasıl etkilediğini belirlemek için kurumun performansını gözden geçirir. Bir organizasyon performansın kabul edilebilir farklılığın dışında olduğunu belirlerse, iş hedefi ya da stratejiyi gözden geçirme, hedef performansı düzeltme, risk değerlendirmeyi tekrarlama, risklerin nasıl önceliklendirildiğini gözden geçirme, risk cevaplarını düzeltme, ya da risk iştahını düzeltme ihtiyacı duyabilir.

 17.Kurumsal Risk Yönetiminde İyileştirmeleri Takip Eder-Pursues Improvement in Enterprise Risk Management- Organizasyon, kurumsal risk yönetiminde iyileştirmeleri takip eder.

Organizasyonlar kurumsal risk yönetimi sistemini sürekli değerlendirerek, verimliliğini ve yararlılığını geliştirme potansiyelini sistematik olarak tespit edebilir.

5 – BİLGİ, İLETİŞİM ve RAPORLAMA (Informatıon, Communication & Reporting)

İletişim, bilginin elde edilmesi, kurum genelinde paylaşılmasıdır ve sürekli tekrar eden bir süreçtir.  Yönetim, kurumsal risk yönetimini desteklemek için, hem içerden, hem de dışarıdan uygun olan bilgileri kullanır. Organizasyon, bilgi ve veriyi tutmak, işlemek ve yönetmek için bilgi sistemlerinden yararlanır. Tüm bileşenlere ilişkin bilgiyi kullanarak, organizasyon kültür, risk ve performansa ilişkin raporlama yapar. Bu unsurun altında üç prensip yer alır:

18.Prensip: Bilgi ve Teknoloji Avantajlarından Yararlanır: Leverages Informatıon and Technology–Organizasyon, kurumsal risk yönetimini desteklemek için, kurumun bilgi sistemi avantajlarından yararlanır.

Bilgi sistemleri organizasyonlara kurumsal risk yönetimini desteklemek için ihtiyaç duydukları veri ve bilgiyi sağlar. Bilgi sistemleri çalışma tabloları kadar basit olabileceği gibi, tamamen entegre sistemler ve araçlar kadar karmaşık da olabilir. Hangi teknolojinin uygulanacağı kararı, organizasyonel hedefler, piyasa ihtiyaçları, rekabet koşulları, maliyet ve fayda gibi çeşitli faktörlere bağlıdır.

19. Prensip: Risk Bilgisinin İletişimini Yapar-Communicates Risk Information- Organizasyon, kurumsal risk yönetimini desteklemek için, iletişim kanallarını kullanır.

Organizasyonlar, risk verisi ve bilgisini yönetim kurulu ve hissedarlar dahil tüm iç ve dış paydaşlara etkin olarak iletmek için çeşitli kanallar kullanır. Bunun yanında, yönetim kurulu ile yönetim arasında etkin bir iletişim olması strateji ve iş hedeflerine ulaşmada kritik öneme sahiptir. Risk sorumlulukları yönetim kurulu ve yönetim düzeyinde açıkça tanımlanmalı, yönetim kurulu ve yönetim devamlı olarak risk iştahını görüşmeli ve yönetim riske ilişkin gözetim sorumluluklarını yerine getirmeye yardımcı olacak her tür bilgiyi yönetim kuruluna bildirmelidir.

20.Prensip: Risk, Kültür ve Performans Hakkında Raporlama Yapar-Reports on Risk, Culture and Performance– Organizasyon, kurum içerisinde çeşitli seviyelerde, risk, kültür ve performans hakkında raporlama yapar.

Raporlama; risk, kültür ve performans arasındaki ilişkilerin anlaşılması ve strateji ve hedef belirlemeye, yönetişime ve günlük operasyonlara ilişkin kararları iyileştirmesi için her seviyedeki personeli destekler. Raporlama kantitatif ve kalitatif risk bilgisini içerir ve raporların sunumu kurumun büyüklüğüne, ölçeğine ve karmaşıklığına bağlı olarak çok basit ya da çok daha karmaşık şekilde yapılabilir.

KAYNAKLAR

• “COSO Enterprise Risk Management – Aligning Risk with Strategy and Performance”, http://erm.coso.org/Pages/viewexposuredraft.aspx, September, 08,2016. “Kurumsal Risk Yönetimi –Strateji ve Performansla uyumlu Kurumsal Risk Yönetimi”, http://erm.coso.org/Pages/viewexposuredraft.aspx, 08/09/2016.
• COSO Enterprise Risk Management Integrating with Strategy and Performance –June 2017 (COSO Strateji ve Performansla Bütünleştirilmiş Kurumsal Risk Yönetimi-Haziran 2017
• Kurumsal Risk Yönetimi Nazif Burca – https://nazifburca.com