Skip to main content
MakaleYayınlar

COSO Kurumsal Risk Yönetimi – Bütünleşik Çerçevesi

By 12 January 2022October 5th, 2022No Comments16 min read

Yazan: Muhammet Fatih ÇOŞKUN

ÖZ

İşletmeler faaliyetlerini belirledikleri hedefler doğrultusunda gerçekleştirebilmeleri için hedeflere ulaşmada ortaya çıkabilecek riskleri makul bir düzeye indirmelidir. Risk, gelecekte meydana gelebilecek ve işletmeyi etkileyebilecek durumların belirsizliğidir. Kurumsal risk yönetimi ise, hedeflerine ulaşmada ortaya çıkabilecek riskleri en aza indirgemek amacıyla organizasyon genelinde uygulanan strateji, politika ve prosedürler bütünüdür. COSO’ya göre kurumsal risk yönetimi, örgütün değer yaratma, koruma ve realize etmede riski yönetmek için güvenebilecekleri stratejinin belirlenmesi ve yürütülmesine entegre edilen kültür, imkân ve uygulamalardır. Bu çalışmada 2004 yılında Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (Committee of Sponsoring Organizations of the Treadway Commission) COSO tarafından oluşturulan; 2017 yılında ise güncellenerek son halini alan COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi ele alınmıştır.

 

Anahtar Kelimeler: Risk, Kurumsal Risk Yönetimi, COSO, Bütünleşik Çerçeve, İşletme Hedefleri

 

  1. Giriş

Günümüzde ticari ve teknolojik gelişmelerin etkisiyle işletme yapılarında önemli değişiklikler meydana gelmiştir. Özellikle gelişen teknolojilerin takip edilmesi, işletme organizasyonlarının karmaşıklaşması, kurumsal yapıların artması, rekabet ilişkileri, varlıkların korunması gibi unsurların varlığı, işletme risklerinin artmasına sebep olmuştur. Bir işletmenin faaliyetlerini belirlediği hedefler doğrultusunda gerçekleştirebilmesinin ön koşulu, mevcut riskleri tercihlerine ve lehine göre yönetebilmesinden geçer. İşletmeler mevcut riskleri makul seviyeye indirmek, yönetmek ve belirlediği hedeflere ulaşabilmek amacıyla işletme genelinde kurumsal risk yönetimi stratejileri benimsemeli ve organizasyon genelinde uygulanabilirliğini sağlamalıdır. Kurumsal risk yönetimi, hedeflere ulaşmada ortaya çıkabilecek riskleri makul bir düzeye indirgemeye yardımcı olacak politika ve prosedürler bütünüdür. Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (Committee of Sponsoring Organizations of the Treadway Commission) COSO’ya göre kurumsal risk yönetimi; örgütün değer yaratma, koruma ve realize etmede riski yönetmek için güvenebilecekleri stratejinin belirlenmesi ve yürütülmesine entegre edilen kültür, imkân ve uygulamalardır.

 

  1. Kurumsal Risk Yönetimi ve Önemi

Risk, olumsuz bir durumun var olma olasılığıdır. Teknolojik gelişmeler, faaliyet gösterilen pazarlardaki artış, risk konusundaki bilinçlenme, kurumsallaşma yönündeki gerekliliklerin karşılanması gibi unsurların varlığı, işletmeleri risk yönetimi anlayışına sevk etmiştir. Gelecekte ortaya çıkabilecek ve işletmeyi tehdit edebilecek riskler, etkili bir kurumsal risk yönetimi ile önlenebilir. Kurumsal risk yönetimi, riskin kurum çapında yönetilmesini ifade etmektedir. Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (Committee of Sponsoring Organizations of the Treadway Commission) COSO’ya göre kurumsal risk yönetimi; örgütün değer yaratma, koruma ve realize etmede riski yönetmek için güvenebilecekleri stratejinin belirlenmesi ve yürütülmesine entegre edilen kültür, imkân ve uygulamalardır (COSO, 2017, s.2).

Kurumsal risk yönetiminin amacı, var olan risk yönetim sürecini kurum çapında uygulamak ve gelecekte meydana gelebilecek riskleri en aza indirgemeye yardımcı olacak uygulamalar geliştirmek ve yönetmektir (Arslan, 2008, s. 7). Her işletme, paydaşlarına değer katmak için varlıklarını sürdürmeyi amaçlamaktadır. Ancak bu süreçte risk gibi olumsuz ve belirsiz unsurlar gerçekleşebilir. Bu nedenle riskler organizasyon genelinde yönetilmelidir. Kurumsal risk yönetimi, işletmelere bu belirsizlikleri yönetmeye ve paydaşlara güven vermeye yönelik bir dayanak teşkil etmektedir.

Kurumsal risk yönetimi, işletme hedeflerine ulaşmada ortaya çıkabilecek riskleri analiz etmek, yönetmek ve makul düzeye indirmek amacıyla oluşturulan sistematik bir süreçtir. Etkin bir kurumsal risk yönetimin varlığı, işletme hedeflerinin gerçekleştirilmesi için büyük önem arz etmektedir. Bu nedenle üst yönetim, kurum çapında etkin bir kurumsal risk yönetim süreci tasarlamalı ve uygulamalıdır (Bozkurt, 2010, s. 22).

 

  1. Kurumsal Risk Yönetiminin Faydaları

Kurumsal risk yönetimi, bir kurumun hedeflerine ulaşmasının önündeki riskleri analiz etmesine ve yönetmesine büyük fayda sağlamaktadır. Bu faydalar aşağıdaki gibi sıralanabilir (IIA, 2009, s. 1-2):

  • Kurum hedeflerine ulaşılmasında ortaya çıkabilecek riskleri tanımlamaya ve makul düzeye indirmeye yardımcı olur,
  • Temel riskler ve bu risklerin doğuracağı sonuçlar daha iyi anlaşılır ve kavranır,
  • Kurumsallaşma yönünde kuruma değer katar,
  • Daha az sürpriz veya daha az krizle karşılaşılmasına olanak sağlar,
  • Karar verme sürecinde geleceğe görme açısından yol gösterir,
  • Yasa ve düzenlemelere uyum sağlar,
  • İşletmenin ömrünü uzatır,
  • Kaynakların etkin kullanılmasına olanak sağlar.

 

  1. Kurumsal Risk Yönetim, İç Denetim, İç Kontrol İlişkisi

İç denetim, bağımsız ve tarafsız bir güvence ve danışmanlık faaliyetidir. Kurumsal risk yönetimi, kurumun hedeflerine ulaşmasını etkileyen fırsatların ve tehditlerin tanımlanması, analiz edilmesi, değerlendirilmesi ve raporlanması için tüm kurum çapında uygulanan ve sistematik bir şekilde devam eden bir süreçtir. İç kontrol, faaliyetlerin etkinliğini ve verimliliğini, finansal raporlamanın güvenilirliği ile geçerli yasa ve kurallara uygunluğu sağlamak amacıyla makul bir güvence verecek şekilde oluşturulan, işletme yönetimi ve personeli tarafından yürütülen bir süreçtir.

 

İç denetim, iç kontrol ve kurumsal risk yönetimi birbirlerini tamamlayan kavramlar olup, güvence ve danışmanlık faaliyetlerinin temelini oluşturmaktadır. İç kontrol ve kurumsal risk yönetimi sisteminin kurulması ve etkinliğinin sağlanması, üst yönetimin sorumluluğundadır. Etkin bir kurumsal risk yönetimi ve iç kontrol sürecinin ön koşulu, bu iki sürecin birlikte ve koordineli bir şekilde yönetilmesinden geçer. İç denetim ise, iç kontrol sistemi ve kurumsal risk yönetiminin etkinliğini tespit ederek, üst yönetime güvence ve danışmanlık hizmeti sağlar.

 

  1. COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi

1985 yılında Amerika Birleşik Devletleri (ABD)’de Hileli Finansal Raporlama ile ilgili Treadway Komisyonu olarak da bilinen Ulusal Komisyon kurulmuştur. Treadway Komisyonu, iç kontrol konusunda entegre bir çerçeve geliştirmek, hileli finansal raporları incelemek, analiz etmek ve tavsiye vermek amacıyla kurulmuştur (www.stringfixer.com).

Treadway Komisyonu, 1987 yılında Hileli Finansal Raporlama konusunda bir rapor yayımlanmıştır. Bu raporda kontrol ortamı ile davranış ve yetki standartlarına vurgu yapılmış, iç kontrol kavramı için ortak bir anlayış ve kapsayıcı bir çerçeve oluşturulması amacıyla destekleyici kurumlara çağrıda bulunulmuştur. Komisyonun çağrısı sonucunda Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (Committee of Sponsoring Organizations of the Treadway Commission – COSO) kurulmuştur. COSO mevcut kaynaklardaki iç kontrol ile ilgili eğilimleri birleştirerek, etkinliğin değerlendirilmesi için geniş kapsamlı ve pratik kritirler geliştirmiş, kurumsal risk yönetimi ile ilgili çalışmalar yapmıştır (www.maliye.gov.tr).

İşletmelerin gelişmesine paralel olarak ortaya çıkan risklerin tanımlanması, analiz edilmesi ve değerlendirilmesine yönelik ihtiyaçlar oluşmuştur. Risk yönetiminde ortaya çıkan skandalların da etkisiyle Treadway Komisyonunu Destekleyen Kuruluşlar Komitesi (Committee of Sponsoring Organizations of the Treadway Commission – COSO) tarafından 2004 yılında ‘‘Kurumsal Risk Yönetimi Entegre Çerçevesi’’ (Enterprise Risk Management Integral Framework) yayımlanmıştır.

COSO 2004 Küpü

Kaynak: (Abandoning Silos for Integration: Implementing Enterprise Risk Management and Risk Governance, 2014, s. 5)

2004 çerçevesinde sekiz bileşen bulunmaktadır ve bu bileşenler üç boyutlu bir küp şeklinde tasvir edilmiştir. Küpün üst kısmında, strateji, faaliyet, raporlama ve uyum amaçları bulunmaktadır. Küpün ön yüzeyinde iç kontrol bileşenleri olup, strateji, faaliyet, raporlama ve uyum amaçlarının gerçekleşebilmesi için söz konusu iç kontrol bileşenlerinin organizasyon genelinde tesisi ve işlerliği sağlanmalıdır. Küpün yan yüzeyinde ise birimler ile yürüttükleri faaliyetleri kapsayan örgütsel yapı bulunmaktadır (Uysal, 2021, s. 61).

2004 çerçevesi yayımlandıktan sonra uluslararası ölçekte benimsenmiş ve uygulama açısından kapsamlı bir alan bulmuştur. Ancak risk faktörlerinin değişmesiyle birlikte, güncellenmeye açık hale gelmiştir (www.teolupus.com.tr).

Eski çerçevenin yeterince açık ve anlaşılır olmaması, güncel ve teknolojik gelişmeler, risklere olan bakış açılarının değişmesi gibi unsurlar nedeniyle COSO, Kurumsal Risk Yönetimi Bütünleşik Çerçevesini 6 Eylül 2017 tarihinde revize etmiştir. Güncelleme ile çerçevenin şekli ve yapısı değişmiştir (Uysal  ve Kurt,  2017, s. 22).

 COSO 2017

Kaynak: (https://www.coso.org/Pages/default.aspx)

 

Yukarıda görüldüğü gibi, 2004 çerçevesindeki küp yerine, 2017 çerçevesinde üç boyutlu bir şekil kullanılmıştır.

Yeni güncelleme ile gelen en temel farklılıklar bileşenler ve alt boyutlar olarak gerçekleşmiştir. Yeni düzenlemede bileşenlerin birbirleriyle entegre ve uyumlu olduklarını belirtmek amacıyla sarmal ve soyut bir tasvir tercih edilmiştir. Bu tercih, kurum hedeflerinin ve bileşenlerin sistematik bir şekilde birbirlerine bağlı olduğunu belirtmek için düşünülmüştür (Karakaya, 2018, s. 17).

2017 çerçevesinde, kurumsal risk yönetimi bileşenlerinin, örgütün tüm süreçleriyle olan ilişkisi gösterilmektedir. Diyagramın üç bileşeni örgüt genelinde olan süreçleri, diğer iki bileşen ise kurumsal risk yönetimi sürecinin destekleyici unsurlarını temsil etmektedir (COSO, 2017, s. 5).

 

  1. COSO Kurumsal Risk Yönetimi Bileşenleri

Çerçeve, birbirleriyle ilişkili ve iç içe geçmiş 5 bileşen ve 20 ilkeden oluşmaktadır. Bu bileşen ve ilkeler işletmenin hedefleriyle uyumlu bir şekilde çalışmaktadır. Diyagramdaki strateji ve amaç, performans, gözden geçirme ve revizyon, işletme genelinde işleyen ortak süreçleri; yönetişim ve kültür ile bilgi, iletişim ve raporlama ise, kurumsal risk yönetiminin destekleyici tarafını temsil eder (COSO, 2017, s. 3).

Çerçeve, kurumsal risk yönetiminin strateji geliştirme, iş amacı oluşturma ve uygulama ile performansa entegre edildiğinde, işletme hedeflerinin gerçekleşmesinde katma değer katacağını belirtmektedir. Stratejinin geliştirilmesi, iş amaçlarının oluşturulması ve bu hedeflerin günlük karar alma yoluyla yerine getirilmesiyle bütünleştirilmiştir (COSO, 2017, s. 5).

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi, birbiriyle ilişkili ve iç içe geçmiş 5 bileşenden oluşmaktadır. Bunlar (www.coso.org)

  • Yönetişim ve Kültür (Governance and Culture),
  • Strateji ve Amaç Belirleme (Strategy and Objective Setting),
  • Performans (Performance),
  • Gözden Geçirme ve Revizyon (Review and Revision),
  • Bilgi, İletişim ve Raporlama (Information, Communication and Reporting).

Çerçevede, etkin bir kurumsal risk yönetimi için 5 bileşeninin ve bu bileşenlerin dayanağı olan 20 ilkenin kuruluşun her kademesinde uyumlu bir şekilde uygulanması gerektiği belirtilmiştir

 

6.1 Yönetişim ve Kültür (Governance and Culture)

Yönetişim ve kültür, kurumsal risk yönetiminin diğer bilenlerinin temelini oluşturmaktadır. Yönetişim ve kültür, işletmenin risk yönetimi sürecini yöneten, önemini güçlendiren ve gözetim sorumluluklarını belirleyerek, kuruluşun tarz ve kültürünü yansıtır (COSO, 2017, s. 3).

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi, yönetişim ve kültürü oluşturan ilkeleri aşağıdaki gibi sıralamıştır (COSO, 2017, s. 3).

Yönetim Kurulu Risk Gözetimini Yerine Getirir: Yönetim kurulu, yönetimin strateji ve iş hedeflerini gerçekleştirmesini desteklemek amacıyla, stratejinin gözetimini ve yönetişim sorumluluklarını yerine getirir.

Operasyonel Yapıyı Oluşturur: Örgüt, strateji ve iş hedeflerini gerçekleştirmek amacıyla operasyonel yapıyı oluşturur.

Arzu Edilen Kültürü Tanımlar: Örgüt, kurum kültürünü tanımlayan ve arzu edilen davranışları uygular.

Temel Değerlere Bağlılık Gösterir: Örgüt, kurumun temel değerlerine bağlılığını gösterir.

Yetenekli Personeli Çeker, Geliştirir ve Elde Tutar: Örgüt, strateji ve iş hedefleri ile uyumlu olarak sermayesini inşa etmeye büyük önem verir.

 

6.2 Strateji ve Amaç Belirleme (Strategy and Objective Setting)

Kurumsal risk yönetimi, strateji ve iş hedefleri belirleme sürecinde işletmenin stratejik planına entegre edilir. İş bağlamında bir anlayışla örgüt, iş ve dış faktörler ile bunların risk üzerindeki etkileri hakkında fikir edinebilir. Örgüt, risk iştahını strateji ve hedef belirleme ile birlikte belirler. İş hedefleri, stratejinin uygulamaya geçirilmesine ve işletmenin günlük işlemlerini ve önceliklerini şekillendirmesine verir (COSO, 2017, s. 3).

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi, strateji ve amaç belirlemeyi oluşturan ilkeleri aşağıdaki gibi sıralamıştır (COSO, 2017, s. 4).

İş Ortamını Analiz Eder: Örgüt, bulunduğu iş ortamının, risk profili üzerine potansiyel etkilerini analiz eder.

Risk İştahını Tanımlar: Örgüt, risk iştahını, değer oluşturma, koruma ve realize etme sürecinde tanımlar.

Alternatif Stratejileri Değerlendirir: Örgüt, alternatif stratejileri ve risk profil üzerine etkilerini değerlendirir.

İş Hedeflerini Oluşturur: Örgüt, iş hedeflerini oluştururken, stratejiyle uyumlu ve onu destekleyecek şekilde çeşitli seviyelerdeki riskleri dikkate alır.

 

6.3 Performans (Performance)

Örgüt, kuruluşun stratejini ve iş hedeflerini gerçekleştirmede ortaya çıkabilecek riskleri tanımlar, analiz eder ve değerlendirir. Örgüt, riskleri şiddetlerine göre ve işletmenin risk iştahını dikkate alarak önceliklendirir. Kuruluş daha sonra risk yanıtlarını seçer ve değişim için performansı izler. Bu şekilde, kuruluşun stratejisi ve iş hedefleri doğrultusunda elde ettiği risk miktarına dair portföy görünümü geliştirir (COSO, 2017, s. 4).

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi, performansı oluşturan ilkeleri aşağıdaki gibi sıralamıştır (COSO, 2017, s. 4).

Riskleri Belirler: Örgüt, strateji ve iş amaçlarının yerine getirilmesini etkileyen riskleri belirler.

Risklerin Şiddetini Değerlendirir: Örgüt risklerin şiddetini belirler ve değerlendirir.

Risk Cevaplarını Uygular: Örgüt, risklere vereceği cevapları belirler, seçer ve uygular.

Portföy Bakışı Geliştirir: Örgüt, risklere ilişkin portföy bakışı geliştirir ve değerlendirir.

 

6.4 Gözden Geçirme ve Revizyon (Review and Revision)

Örgüt, kurumsal risk yönetimi yeteneklerini ve uygulamalarını, işletmenin hedeflerine göre performansını gözden geçirererek, kurumsal risk yönetimi yeteneklerinin ve uygulamalarının zaman içinde işletme değerini ne kadar artırdığını ve artırmaya devam edebileceğini önemli değişiklikler ışığında değerlendirebilir (COSO, 2017, s. 5).

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi, gözden geçirme ve revizyonu oluşturan ilkeleri aşağıdaki gibi sıralamıştır (COSO, 2017, s. 5).

Önemli Değişimleri Değerlendirir: Örgüt, strateji ve iş hedeflerini önemli ölçüde etkileyebilecek değişiklikleri belirler ve değerlendirir.

Riskleri ve Performansı Gözden Geçirir: Örgüt, kuruluşun performans sonuçlarını gözden geçirir ve riskleri değerlendirir.

Kurumsal Risk Yönetiminde İyileştirmeleri Takip Eder: Örgüt, kurumsal risk yönetiminde iyileşmeleri takip eder.

 

6.5 Bilgi, İletişim ve Raporlama (Information, Communication, and Reporting)

İletişim, bilgi edinmenin ve tüm kuruluş içinde paylaşmanın sürekli tekrarlayan bir işlemidir. Üst yönetim, kurumsal risk yönetimini desteklemek için hem iç hem de dış kaynaklar aracılığıyla ilgili ve kaliteli bilgileri temin etmeli ve iletişim kanalları aracılığıyla organizasyon genelinde kullanmalıdır. Örgüt, veri ve bilgileri elde etmek, işlemek ve yönetmek için bilgi sistemlerinden yararlanır. Örgüt, tüm bileşenlere uygulanan bilgileri kullanarak, risk, kültür ve performans hakkında rapor verir (COSO, 2017, s. 6).

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi, bilgi, iletişim ve raporlamayı oluşturan ilkeleri aşağıdaki gibi sıralamıştır (COSO, 2017, s. 6).

Bilgi ve Teknoloji Avantajlarından Yararlanır: Örgüt, kurumsal risk yönetimini desteklemek için kuruluşun bilgi sistemi avantajlarından yararlanır.

Risk Bilgisinin İletişimini Yapar: Örgüt, kurumsal risk yönetimini desteklemek için iletişim kanallarını kullanır.

Risk, Kültür ve Performans Hakkında Raporlama Yapar: Örgüt, kurum içerisinde çeşitli seviyelerde risk, kültür ve performans hakkında raporlama yapar.

 

  1. Sonuç

Risk, bir örgütün stratejisini ve hedeflerini etkiler. Bu nedenle üst yönetim riskleri kategorize etmeli, tanımlamalı ve değerlendirmelidir. Etkin bir kurumsal risk yönetimi, faaliyetlerin gerçekleştirilmesine, kaynakların etkin ve verimli kullanılmasına, paydaşlara güven verilmesine ve sonuç olarak işletmeye değer katmasına yardımcı olur.

COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesinde belirtilen bileşenler arasında doğrudan bir ilişki mevcuttur. Çerçeveye göre, etkin kurumsal risk yönetimi için ilgili 5 bileşen ve 20 ilke organizasyon genelinde tesis edilmeli ve birbirleriyle uyumlu bir şekilde işlerliği sağlanmalıdır. COSO bileşenlerinin etkin bir şekilde kurulduğu, her aşamasının doğru ve kademeli bir şekilde uygulandığı bir kurumsal risk yönetimi sisteminde, işletme faaliyetleri etkin bir şekilde gerçekleşecek, finansal bilgiler doğru ve güvenilir bir şekilde raporlanacak ve sonuç olarak kurumsallaşma yönünde işletmeye değer katacaktır.

COSO İç Kontrol Bütünleşik Çerçevesi, işletme yapısında sürekli olarak kontrolü sağladığı ve sistemin herhangi bir noktasında ortaya çıkabilecek aksaklıklar daha kolay fark edilebileceği için risk yönetimi, hedeflere ulaşmada ortaya çıkabilecek riskleri tespit eden, değerlendiren ve makul bir düzeye indiren, politika ve prosedürler aracılığıyla desteklenen bir sürece bürünür. Üst yönetim, hedeflere ulaşmada ortaya çıkabilecek riskleri makul bir düzeye indirebilmek için hedeflere göre riskler belirlemeli, risk değerlendirmeyi yıl içinde sürekli olarak yapmalı ve risklere karşı erken uyarı sistemleri geliştirmelidir. İşletme yapısında etkin bir risk yönetiminin olmaması, verimsizlik, hata, hile, suistimal, rekabet eksikliği gibi sorunlara neden olacaktır. COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesinin etkin bir şekilde kurulduğu işletmelerde, bu gibi sorunlar yönetilebilir seviyede kalacak, işletme kurumsallaşma yolunda bir kimliğe bürünecektir.

Sonuç olarak, COSO Kurumsal Risk Yönetimi Bütünleşik Çerçevesi işletme faaliyetlerini gerçekleştirmede ve hedeflere ulaşmada etkin bir kurumsal risk yönetimi çerçevesi olarak karşımıza çıkmaktadır. Ancak çerçevenin başarılı bir şekilde uygulanabilmesi için COSO bileşenlerinin organizasyon içinde kurulması ve söz konusu bileşenlerin işletmenin hedefleriyle birlikte uyumlu çalışması gerekmektedir. Çerçevenin belirttiği unsurların bir işletmede başarılı şekilde uygulanması halinde, işletme yapılarına katkıları büyük önem arz etmektedir.

 

  1. Kaynakça

Arslan, I. (2008): ‘‘Kurumsal risk yönetimi’’, Yayımlanmış Uzmanlık Tezi,  Maliye Bakanlığı Strateji Geliştirme Başkanlığı, Ankara.

Cevdet, B. (2010): ‘‘Risk, Kurumsal Risk Yönetimi ve İç Denetim’’, Denetişim Dergisi, ss. 17-30.

Committee of Sponsoring Organizations of Treadway Commission. (2017): ‘‘Enterprise risk management ıntegrating with strategy and performance’’, Lake Mary: PwC.

Committee of Sponsoring Organizations of Treadway Commission. (2017): ‘‘Enterprise risk management ıntegrating with strategy and performance executive summary’’, 2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf. (Erişim Tarihi: 26.12.2021)

Institute of Internal Auditors (2009): ‘‘IIA Pozisyon Raporu: İç Denetim Faaliyeti/Birimi İçin Gereken Kaynakların Temininde İç Denetimin Rolü’’, https://global.theiia.org/translations/PublicDocuments/PP-The-Role-of-Internal-Auditing-in-Resourcing-the-Internal-Audit-Activity-Turkish.pdf, (Erişim Tarihi: 21.12.2021.)

Haziran 2017 COSO Kurumsal Risk Yönetimi Çerçevesi, Strateji ve Performansla Entegre Şekilde – TEOLUPUS (Erişim Tarihi: 26.12.2021)

Lundqvist S. (2014): “Abandoning Silos for Integration: Implementing Enterprise Risk Management and Risk Governance’’, Researchgate.

Uysal, M.C. (2021): “ISO 31000 ve COSO Kurumsal Risk Yönetimi Karşılaştırması: Çerçeveleri Anlamak’’, Denetişim Dergisi, Sayı 22, ss. 55-68.

Uysal, T.U ve Kurt, G. (2017): “Coso Kurumsal Risk Yönetimi Çerçevesi Güncelleme Projesinin Getirdiği Yenilikle’’, Muhasebe ve Denetime Bakış Dergisi, sayı  54, ss. 19-34.

https://www.coso.org/Pages/default.aspx (Erişim Tarihi: 22.12.2021).

http://www.maliye.gov.tr/ic-kontrolun-tarihcesi, (Erişim Tarihi: 21.12.2021).

https://stringfixer.com/tr/Treadway_Commission (Erişim Tarihi 01.01.2022)