Kurumsal Risk Yönetimi Nedir?

Kurumsal risk yönetimi konusunda iki önemli uluslararası çerçeve vardır. Bunlar COSO ve ISO 31000 çerçeveleridir. Kurumsal risk yönetimi her iki çerçevede de uyumlu şekilde tanımlanmıştır.

COSO Kurumsal Risk Yönetimi Çerçevesi kurumsal risk yönetimini şu şekilde tanımlamıştır:

“Organizasyonların değer yaratma, yaratılan değeri koruma ve realize etmede riski yönetmek için güvenebilecekleri; stratejinin belirlenmesi ve yürütülmesine entegre olarak değerin artırılması ve sürdürülmesi için fırsatların da oluşturulacağı kültür, imkan ve uygulamalardır.” 

Şekil-1: COSO Kurumsal Risk Yönetimi Çerçevesi- 2017

ISO 31000’de ise Risk Yönetimi şu şekilde tanımlanmıştır:

“Bir kuruluşu riski göz önünde bulundurarak yönlendirmek ve kontrol etmek için yürütülen koordineli faaliyetler”.

Şekil-2: ISO 31000 Kurumsal Risk Yönetimi Standardı- 2018

Her iki çerçevede de ortak olan unsurlar;

  • Ana prensipler benzerdir. Her iki çerçevede, değer yaratma, koruma ve geliştirme odaklıdır.
  • Her iki çerçeve de, stratejik yönetim ile entegre olmayı esas alır. Amaç ve hedefler dahilinde bir risk yönetiminden bahseder.
  • Tehditler kadar fırsatlara da odaklıdır.
  • Dinamiktir.
  • Uygulama sonrası performansın değerlendirilmesi ve iyileştirme söz konusudur.
  • Her iki çerçevede, kültür konusuna ayrı bir önem verir. Kültür, kurumsal risk yönetimi uygulamalarının başarısını tayin eder.

Kurumsal risk yönetimi, iç kontrolden farklı olarak, daha ziyade üst seviye stratejik ve kurumsal risklerin yönetimine odaklıdır. Ancak iç kontrol kapsamındaki risklerin, amaç ve hedeflere olan olası etkilerini de göz ardı etmez ve bu riskler ile stratejik riskler arasındaki ilişkin kurulması konusuna değinir.

Son olarak, konunun Türkiye’deki duayeni olan ve konuya dair akademik ve uygulamalı çok fazla çalışması bulunan Dr. Bertan Kaya’nın Kurumsal Risk Yönetimi tanımına bakalım;

Kurumsal risk yönetimi, bir organizasyonun tüm paydaşlarının çıkarlarını optimal bir dengede gözetmek amacıyla, tepe yönetimin geleceği doğru yorumlama ile doğru stratejiler üretme, doğru amaç ve hedefler ile göstergeler belirlenmesi aşamasıyla başlayıp, stratejinin uygulanması ve icrası ile devam eden, stratejik gözetim ve kontrol ile tamamlanan tüm stratejik yönetim süreçlerini destekleyen, kurumun tepe yönetimi başta olmak üzere tüm kritik karar alıcı tarafından isabetli karar almada kullanılan, prensipler, araçlar ve uygulamalardır.  

Dr. Bertan Kaya tarafından üretilen kurumsal risk yönetimi modeli, COSO ve ISO ile uyumlu ve temel prensiplerini aynen kabul etmekle birlikte, iç kontrol, iç denetim ve diğer yönetim süreçleri ile de entegrasyona işaret etmektedir.

Bu model, dört kurumsal aracın iç içe geçmesi ile gösterilmektedir. Burada amaçlanan, bu kurumsal süreçlerin, birbirleri ile etkileşimini göstermektir. İlişkisel boyutta bakarsak, bu ilişkiyi aşağıdaki şekilde göstermemiz mümkündür: