Teoriler ekollerle desteklenir. Ekoller kendi sistematiklerini oluşturur ve uygulama ile birleşir. İşletme teorilerinin çoğu, doğrudan saha tecrübelerinden doğar. Teorisyenlerin bir kısmı bizzat kendi 'yönetim ve organizasyon' sorunlarını çözmek isteyen yöneticilerdir.

Kurumsal risk yönetimi ve İç kontrol alanı, sanırım yönetim alanının en karmaşık alanlarından biri. Ekol ve sistem burada da olmasına rağmen (COSO, ISO vb), bu ekol ve sistemleri birbirinden ayıran ya da üstün kılan noktalar bulmak zordur. Hepsi, farklı bir ifade ile neredeyse aynı şeyi söyler. Bu durum ise, büyük bir terminoloji karmaşası ile bizi baş başa bırakır.

Diğer taraftan, odakları ve hedefleri 'yönetim' dir. Yani 'yönetim' in bütünüyle ilgilenir. Doğal olarak 'bütün işletme teorilerinden' beslenir. COSO KRY ve COSO İç Kontrol Çerçeveleri üst perspektiften incelendiğinde bu durum çok net bir şekilde görülebilir. Sadece aşağıdaki ERM görseline baktığımızda bile bunu görmek mümkün. İç Kontrol Çerçevesinde ise karşımıza çok daha büyük ve bağlantısal bir alan çıkar.

Diğer işletme teorileri, uygulama ve araçları, işletmenin organları, hücreleri, damarları ise; KRY ve İç Kontrol işletmenin içindeki 'hava' dır.

Hal böyle olunca, anlamak da uygulamak da zorlaşır.

Diğer taraftan, COSO KRY;

''Bu ilkeler yönetişimden izlemeye kadar her şeyi kapsamaktadır. Yönetilebilir boyuttadırlar ve büyüklükleri, türleri veya sektörleri ne olursa olsun farklı kuruluşlar için farklı şekillerde uygulanabilecek uygulamaları tanımlamaktadırlar. Bu ilkelere bağlı kalınması, yönetim ve yönetim kuruluna, kuruluşun stratejisi ve iş hedefleriyle ilişkili riskleri anladığına ve yönetmeye çalıştığına dair makul bir beklenti sağlayabilir.'' der.

Bu ifadeden de anlaşılacağı üzere, her kurumun kendi ihtiyaçlarına göre uyumlanacak şekilde tasarlanmaları gerekir. Yani, diğer pek çok standarttan farklı olarak, 'terzi' işi olmalıdır. Dolayısıyla, bu alanlarda yeterli donanıma sahip uzman bulmak da zorlaşır. Çünkü, uzman, hem bilgili ve tecrübeli, hem kendi model ve metodojisine sahip, hem de bu model ve metodolojiyi işletmeye uyduracak kadar donanımlı olmalıdır.

Ha bir de çevre var; KRY ve İç Kontrol Dış Çevreye' de uyumlandırılmalıdır :)

Dolayısıyla, yol uzundur, karmaşıktır, sürekli öğrenme ve deneyime açıktır. İşletmeye uygun bir metodoloji oturtmak bazen yıllar alır. Deneyimledikçe ve öğrendikçe keyifli ve faydalı hale gelir.

Hız ve Son beklentisi, KRY ve İç Kontrol için en büyük tehdittir. COSO' nun da dediği gibi, İç Kontrol bir süreçtir. Bitmez. Kazanımları toplaya toplaya sürekli yolda kalmak gerekir. KRY ve İç Kontrol Birimleri 'güvence' fonksiyonunu ancak bu şekilde sağlayabilir.