ISO 31000 VE COSO KURUMSAL RİSK YÖNETİMİ KARŞILAŞTIRMASI: ÇERÇEVELERİ ANLAMAK

Yıl 2021, Sayı: 22, 55 - 68, 30.01.2021

Maşuk Cahit Uysal

Öz

Kurumsal risk yönetimi (KRY), bir örgütün karşılaştığı tüm riskleri bütünsel olarak yönetmek amacıyla risk yönetiminde yeni bir paradigma olarak ortaya çıkmıştır. Yine de örgütler riskleri hâlâ parça parça bir şekilde yönetmekte ve KRY’yi etkili bir şekilde uygulamak ve karmaşık stratejik riskleri yönetmek için mücadele etmektedir. Bu nedenle örgütler, çevresel faktörlerdeki yıkıcı değişiklikler ve sektörlerin dinamik doğası göz önüne alınarak, yeni risklere karşı güncel kalmalı ve KRY süreçlerini sürekli izlemelidirler. Her ne kadar KRY konusu literatürde geniş çapta araştırılmış olsa da, sadece birkaç çalışma olası uygulama sorunlarını vurgulamak için çerçevelerin analizine odaklanmıştır. Bu çalışmada, bu soruna bir çözüm olarak; riskleri, geri bildirim ve gecikmeleri içeren nedensel bir modelleme ortamına entegre etmeyi sağlayan bir sistem dinamiği yaklaşımı kullanarak KRY uygulaması önerilmektedir. Uygulama metodolojisi ISO 31000 Risk Yönetimi Standardı ve COSO KRY çerçevesi güncellemeleri kullanılarak tarif edilmektedir. Kullanıcıların değişikliklerin kapsamını anlamaları ve kuruluşlarının riski nasıl yönettikleri üzerindeki potansiyel etkisini belirlemeleri gerekir. Makale önemli yönetimsel sonuçları vurgulayarak konuya dair bilgilerin genişletilmesine katkıda bulunmayı amaçlamaktadır. Bu makalede ana hatlarıyla verilen kavramlar, yaklaşım ve rehberlik, KRY süreçlerinin uygulanması konusunda faydalı bilgiler sunmaktadır. Çalışma aynı zamanda sürekli iyileştirme çabaları, daha fazla bağlantı için fırsatları değerlendirme ve örgütlerin KRY faaliyetlerini strateji belirleme ve faaliyet süreçleri ile entegre etme noktasında çeşitli önerilere de yer vermektedir.

Anahtar Kelimeler

COSO Çerçevesi, ISO 31000 Standardı, Kurumsal Risk Yönetimi

COMPARISON OF ISO 31000 AND COSO ENTERPRISE RISK MANAGEMENT: UNDERSTANDING FRAMEWORKS

Öz

Enterprise risk management (ERM) has emerged as the new paradigm in risk management with the goal of holistically managing all risks facing an organization. Yet
organizations still manage risks in a piece-meal fashion and struggle to effectively implement ERM and manage complex strategic risks. Therefore, given the devastating changes in environmental factors and the dynamic nature of the sectors, organizations must stay up-to-date with new risks and monitor ERM processes constantly. Although the issue of ERM has been extensively researched in the literature, only a few studies have focused on the analysis of frames to highlight potential implementation problems. İn this study proposes a solution to this problem; ERM implementation using a system dynamics approach, which enables integrating risks in a causal modeling environment that includes feedback and delays. The methodology of implementation is described using the ISO 31000
Risk Management Standard and COSO ERM Framework updates. Users need to understand the extent of the changes and identify their potential impact on how their organization manages risk. The article aims to contribute to the widening of the knowledge on the subject by emphasizing the important managerial results. The concepts, approach and guidance outlined in this article provide useful information on the implementation of ERM processes. The study also includes various suggestions for continuous improvement efforts, evaluating opportunities for more connectivity, and integrating organizations’ ERM activities with strategy formulation and operational processes.

Anahtar Kelimeler

COSO Framework, ISO 31000 Standard, Enterprise Risk Management

Kaynakça

• Agarwal, R. & Kallapur, S. (2018). Cognitive risk culture and advanced roles of actors in risk Governance: a Case study. The Journal of Risk Finance, 19(4), 327-342.
• Anderson, R. J. & Frigo, M. L. (2020). Creating and Protecting Value: Understanding and Implementing enterprise risk management. Lake Mary: COSO.
• Arslan, I. (2008). Kurumsal risk yönetimi (Uzmanlık tezi). Ankara: Maliye Bakanlığı Strateji Geliştirme Başkanlığı.
• Beasley, M., Pagach, D. & Warr, R. (2008). Information conveyed in hiring announcements of senior executives overseeing enterprise-Wide risk management processes.Journal of Accounting, Auditing & Finance, (23), 311-332.
• Bulut, E. (2015). COSO 2013 “Bataklığı kurutmak mı? Sinekleri öldürmek mi? İstanbul: TİDE.
• Burca, N. (2018, Şubat 27). Yenilenen ISO 31000 Risk Yönetimi Rehberi. Nazif Burca: https://nazifburca.com/2018/02/27/yenilenen-iso-31000-risk-yonetimi-rehberi/ adresinden alındı. (Erişim Tarihi, 15 Aralık 2020).
• CGE. (2018, Temmuz). Main changes in revised ISO 31000 Standard – Keep risk management simple. CGE Risk Management Solutions: https://www.cgerisk.com/2018/07/ main-changes-in-revised-iso-31000-standard-keep-risk-management-simple/ adresinden alındı. (Erişim Tarihi, 15 Haziran 2020).
• COSO. (2004). Enterprise Risk Management Framework. Lake Mary: PwC.
• COSO. (2012). Internal control—Integrated Framework: Framework and appendices. PwC.
• COSO. (2017). Enterprise risk management ıntegrating with strategy and performance executive summary. Lake Mary: PwC.
• Derici, O., Tüysüz, Z. & Sarı, A. (2007). Kurumsal risk yönetimi ve sayıştay uygulaması. Sayıştay Dergisi, (65), 151-172.
• Fox, C. (2018). Understanding the New ISO and COSO Updates. Risk Management, 65(6), 1-5.
• Gjerdrum, D. & Peter, M. (2011). The new ınternational standard on the practice of risk management – A Comparison of ISO 31000:2009 and the COSO ERM Framework. Risk Management, (21), 8-12.
• Gordon, L. A., Loeb, M. P. & Tseng, C. (2009). Enterprise risk management and firm performance: A contingency perspective. Journal of Accounting and Public Policy, (28), 301-327.
• ISO. (2018a). ISO 31000 Risk Management. Cenova: ISO.
• ISO. (2018b). 31000: Risk Management - Guidelines. Cenova: BSI Standards Publication.
• Karadeniz, I. (2017, Nisan 17). Risk tabanlı proses yönetimi eğitimi TS EN ISO 9001: 2015. TSE: https://slideplayer.biz.tr/slide/15159610/ adresinden alındı. (Erişim Tarihi, 11 Haziran 2020).
• KİDDER. (2013). Kurumsal risk yönetiminin doğuşu. Kurumsal risk yönetimi (ERM). İstanbul: Kamu İç Denetçileri Derneği.
• Kleffner, A. E., Lee, R. B. & McGannon, B. (2003). The effect of corporate governance on the use of enterprise risk management: evidence from Canada. Risk Managementand Insurance Review, (6), 53-73.
• Kurt, G. & Uçma Uysal, T. (2018). COSO Kurumsal risk yönetimi çerçevesi güncelleme projesinin getirdiği yenilikler. Muhasebe ve Denetime Bakış, (54), 19-34.
• Lachapelle, E., Aliu, F. & Emini, E (2018, Şubat 20). ISO 31000:2018-Rısk Management Guıdelınes. PECB: https://pecb.com/whitepaper/iso-310002018-risk-management- guidelines adresinden alındı. (Erişim Tarihi, 16 Haziran 2020).
• Liebenberg, A. P. & Hoyt, R. E. (2003). The determinants of enterprise risk management: Evidence from the appointment of chief risk officers. Risk Management and Insurance Review, (6), 37-52.
• Mikes, A. (2009). Risk management and calculative cultures. Management Accounting Research, (20), 18-40.
• Okçu, M. (2011). Değişen dünyayı anlamak için önemli bir kavram: Yönetişim. Ankara: Ankara Sanayi Odası Yayını.
• Öksüz, F. (2015). Kamu İdarelerinde daha etkili bir yönetim için nasıl bir iç denetim. R. Doğanay, & M. A. Meydanlı içinde (ss. 109-116). Ankara: TBMM Basımevi.
• Padro, F. F. (2015). Which ıs better for embedding risk management ın higher education quality assurance: ISO 31000 or the COSO Framework? Proceedings of the 18th QMOD-ICQSS International Conference on Quality and Service Sciences, 1-39. Seoul.
• Parlatır, İ., Gözaydın, N. & Zülfikar, H. (1998). Türkçe Sözlük (Cilt 1). Ankara: Türk Dil Kurumu.
• Prewett, K. & Terry, A. (2018). COSO’s Updated enterprise risk management framework—A Quest for depth and clarity. Journal of Corporate Accounting & Finance,3(29), 16-23.
• Rubino, M. (2018). A Comparison of the main ERM Frameworks: How limitations and weaknesses can be overcome ımplementing IT governance. InternationalJournal of Business and Management, 13(12), 203-214.
• Saka, T. & Uğural, A. (2008). Kurumsal risk yönetimi. TÜSİAD (Dü.), Kurumsal risk yönetimi ve 2008 yılı risk öngörüleri içinde (ss. 1-44). İstanbul.
• Seuamsothabandith, S. (2004). An Examination on enterprise risk management. Macomb: Western Illinois University Press.
• Tranchard, S. (2018). The new ISO 31000 keeps risk management simple. Cenova: ISO.
• Tysiac, K. (2020, Mayıs 26). COSO provides new guidance on risk appetite. Journal of Accountancy: https://www.journalofaccountancy.com/news/2020/may/new-coso- guidance-risk-appetite.html adresinden alındı. (Erişim Tarihi, 16 Haziran 2020).
• Uysal, M. C. (2018). Kamu kurumlarında kurumsal risk yönetimi ve risk odaklı iç denetim: İç denetçiler üzerine bir araştırma-II. Denetişim Dergisi, (18), 35-44.
• Wahlström, G. (2009). Risk management versus operational action: Basel II in a Swedish context. Management Accounting Research, (20), 53-68.
• Williams, C. (2019, Nisan 8). ISO 31000 vs. COSO - Comparings and constrasting the World’s leading risk management standarts. ERM Insights: https://www.erminsightsbycarol.com/iso-31000-vs-coso/ adresinden alındı. (Erişim Tarihi, 17 Aralık 2020).
• Woods, M. (2009). A contingency perspective on the risk management control system within Birmingham City Council. Management Accounting Research, (20), 69-81.