Yasal düzenlemeler kafanızı mı karıştırıyor?

Risk yönetimini kurumsal bir yönetim aracı olarak tasarlarken, hangi çerçevenin ya da metodolojinin kullanılması gerektiği konusunda büyük bir kafa karışıklığı var. Diğer taraftan, konuyu aynı yaklaşımdan ele alanlar açısından da oldukça farklı uygulama yöntemleri mevcut.

'İç kontrol' kavramı iş dünyasına ilişkin yasal düzenlemelere giderek daha fazla dahil olurken, kurumlar mevcut iç kontrol ve risk yönetimi uygulamalarının bu yasal gereklilikleri ne kadar karşıladığı konusunda endişeliler. Bu endişeler, bilgi, eğitim ve danışmanlık taleplerine de yansıyor.

Çoğu kurumda risk yönetimi metodolojisi 'kalite' çalışmaları kapsamında kurgulanmış. Ancak yeknesak bir metodoloji yok. (Tüm kurumlar ve çalışmalar için bir genelleme yapmak doğru olmasa da) gördüğüm tüm kurumlarda bu temelde yapılan risk yönetimi uygulamaları, yönetsel bir araç olarak kullanılmaktan uzak. 'Kalite' adı altında; maalesef kağıt üstünde var olan ancak, yönetsel açıdan faydası tartışılır bir yapı sunulmuş kurumlara. Bazı çalışmalarda, hiç uymadığı halde COSO ve IIA standartlarına atıflarda bulunulmuş. Eminim, başarılı çalışmalar da vardır. Fakat maalesef benim gördüklerim bu şekilde.

İyi bir risk yönetimi için azami risk yönetimi dokümanlarında aşağıdaki başlıkların stratejik ve operasyonel seviyelerde etkin ve doğru şekilde takip edilmesi gerekiyor:

- Riskin tanımı
- Risk kategorisi
- Doğal ve kalıntı risk seviyeleri
- Kontrol faaliyetleri
- Kontrol faaliyeti kategorileri
- Risk iştahı
- Risk ve kontrol sorumlulukları (Tüm kurumsal seviyelerde)
- Risk iyileştirme eylemleri / eylem planı (stratejik - operasyonel)
- İzleme ve raporlama yöntemi

COSO' nun önerdiği risk yönetimi araçları, risk yönetimini kurumsal bir yönetim aracı olarak ele alıyor ve buna uygun tavsiyeler içeren bir uygulama çerçevesi sunuyor. COSO bazlı uygulamalarda yukarıda yer alan başlıkları mutlaka görürsünüz (en azından görmeniz gerekir!)

İç kontrol düzenlemelerine uyum sağlamak için çalışmalar yapan kurumların; eğitim ve danışmanlık hizmeti alırken, eğitmen veya danışmanın COSO çerçevesi üzerindeki yetkinliğini sorgulamaları; tabi doğru cevabı alabilmek için kendilerinin de bu çerçeveye hakim olmaları gerekiyor.

Diğer taraftan kalite ve COSO bazlı çalışmaların bir arada entegre şekilde yürütülmesi mümkün. Hatta hem iş yükü hem de yönetsel performans açısından fayda sağlayacaktır.

Son derece yoğun emek ve zaman gerektiren bu tarz çalışmalarda, sil baştan yapmamak, işe yarar verilere sahip olmak ve kazandığınız verileri kaybetmemek, boşa emek ve zaman harcamamak için; kısacası yönetsel performans ve yasal uyum için doğru bakış açısına ve yetkinliğe sahip olmak önemli.