Geçtiğimiz günlerde, Yönetim Kurullarının risk yönetimine olan ilgisinin artığından bahsetmiştim. Bu durum, ilk defa bu ölçüde, KRY, İç Kontrol ve İç Denetim birimlerinin sorgulanmasına neden oluyor.

'KRY ve İç Kontrol Sisteminin Sahibi Üst Yöneticidir'

'Yönetim Kurulu bu sistemlerin başarısı üzerinde gözetim görevi yürütür'

Bu iki cümle COSO' nun 1992' den beri savunduğu ilkelerdir. Bu ilkeleri, sağlayamadığımız için de yıllardır şikayetçiydik.

Şimdi durum değişti!

COSO, ''Yönetim Kurulları Risk Yönetimi konusunda farkındalıklarını ve gözetimlerini artırırken, daha iyi risk raporlaması talep etmektedir'' ifadesiyle 2017 yılında Kurumsal Risk Yönetimi Çerçevesini güncellemişti. Dünya' dan 6 yıl sonra, bu durum bizim için de gerçekleşiyor.

Ancak, yaptığımız görüşmelerde, KRY ve İç Kontrol Birimlerinin bu talebe hazırlıksız yakalandığını görüyoruz.

Diğer taraftan, Yönetim Kurullarının Risk Yönetimine ihtiyacı artmışken, Risk Yönetiminden ne talep ettiklerini tam olarak bilmediklerini de söylemek lazım. ''Yıllardır, üretilen çıktılar tam olarak istedikleri şey değilse, neden değil ve gerçekten ne istemeliler?'' bu konuda kafaları biraz karışık.

Yönetim Kurulu beklenti ve ihtiyacını anlamak için COSO KRY Çerçevesinde yer alan şu ifadeyi sindirerek okumak ve anlamak bence önemli.

''Son zamanlardaki en önemli kurumsal başarısızlıklardan bazılarının, bir kurumun misyonu, vizyonu ve temel değerleriyle uyumlu olmayan bir strateji seçildiğinde meydana geldiğini kabul etmektedir. Dahası, bu uyum sağlanmış olsa bile, birçok kuruluş seçilen stratejinin risk profili üzerindeki etkilerini hala anlamamaktadır. Dahası, birçok kuruluş, operasyonel düzeyde küçük gibi görünen hatalar büyüdüğünde ve bir kurumun uzun vadede yaşayabilirliğini tehdit ettiğinde habersiz yakalanmaktadır.''

Özet olarak ise, Yönetim Kurullarının ihtiyaç duyduğu ve talep ettiği, tüm gereklilikleri ile COSO uyumlu İç Kontrol ve Kurumsal Risk Yönetimi 'SİSTEMİ'. Bu çerçevelerin, bugünün gözüyle en az bir kere daha okunmasını önemle tavsiye ederim.