COSO/ERM-Kurumsal Risk Yönetimi Çerçevesi değişti! Peki en önemli değişiklik ne?

Kısa bir bilgilendirme ile başlayalım. COSO (The Committee of Sponsoring Organizations of the Treadway fraudulent Commission) 1985 yılında ABD’de finansal raporlama sahtekarlıklarını incelemek için oluşturulan Treadway Komisyonunu destekleyen muhasebe, iç denetim ve finans sektörü profesyonellerine ait enstitü ve birliklerden (IMA, AAA, AICPA, IIA ve FEI)  oluşan gönüllü bir özel sektör girişimi. Komite, kurumsal yönetişim, risk yönetimi, iç kontrol,  iş etiği ve finansal raporlama gibi kritik konularda çalışmalar yapıyor. Komite’nin özellikle iç kontrol ve kurumsal risk yönetimi ile ilgili yayınladığı çerçeveler zaman içinde konuyla ilgili temel referans kaynağı haline dönüşmüş durumda. Komite iç kontrol ve kurumsal risk yönetimi ile ilgili çalışmalarında PwC-Pricewaterhouse Coopers ’dan (Price Waterhouse ile birleşme öncesinde Coopers &Lybrand)   destek alıyor (veya PwC’yi tercih ediyor). Bu sebeple ortaya çıkan metinlerin aslında geri planda çalışan firmaya ait olduğu, sözkonusu firmanın görüşlerini yansıttığı türünden eleştirilere rastlamak mümkün.

COSO, Eylül 2004’de yayınlanan ‘Kurumsal Risk Yönetimi- Entegre Çerçeve’nin [Enterprise Risk Management (ERM) – Integrated Framework] revizyonu için 2014 yılında yine PwC ile birlikte çalışmaya başlamış, taslak çalışma Türkçe’ye  ‘Kurumsal Risk Yönetimi- Riskin Strateji ve Performansla Uyumlaştırılması’ şeklinde tercüme edebileceğimiz bir başlıkla  [Enterprise Risk Management—Aligning Risk with Strategy and Performance] 14 Haziran 2016’da genel görüşe açılmıştı.  COSO,  üzerinde mutabakat sağlanan nihai metnin [satışa] hazır olduğunu, içerik hakkında hayli kapsamlı bir yönetici özeti ve sunumla birlikte 6 Eylül 2017’de duyurdu. Nihai metni henüz inceleme şansımız olmamakla birlikte, 14 Haziran 2016 ve 6 Eylül 2017’de yayınlanan dokümanları birlikte değerlendirdiğimizde aşağıdaki tespitleri yapmamız mümkün:

1) COSO ERM’deki en önemli değişiklik aslında yapılan isim değişikliği ile kendini belli ediliyor. Riskin strateji ve performanstan bağımsız olarak yönetilemeyeceği artık temel kabul haline gelmiş bulunuyor. Kurumsal risk yönetiminin işletmeye artı değer katan bir faaliyet olması hedefleniyor. Yeni çerçevenin  ‘risk profili’, ‘risk iştahı’ ve ‘risk kapasitesi’ni  ‘performans’  ile ilişkilendirirken kullandığı görselleri (grafikleri), bundan sonra risk yönetimi ile ilgili sunumlarda muhtemelen çok sık göreceğiz.

Örneğin sunum için seçilen yukarıdaki grafikte, olması gerektiği gibi,  işletmenin performansı  arttıkça, maruz kalınacak riskin de artacağı bir hal betimleniyor. Turkuaz dolgunun kavisli üst sınırını risk eğrisi  olarak nitelemek mümkün. İşletmenin teorik olarak yüklenebileceği maksimum risk seviyesi yeşil çizgi ile belirlenmiş.  Biraz risk alıp, yukarıdaki COSO-ERM grafiğini bir banka için yorumlamaya/uyarlamaya çalışalım:  Yeşil çizgi (risk kapasitesi) ile turkuaz rengin (risk profilinin/eğrisinin)  kesiştiği yer bir banka için sermaye yeterliliği oranının minimum %8’e ineceği yer olabilir. Ancak banka sermaye yeterliliği oranının %12’nin altına inmesini tehlikeli buluyor ve risk iştahını kırmızı çizgi ile risk kapasitesinin altında sınırlamış durumda. Bu koşullarda bankanın ulaşabileceği maksimum performans noktası A olmalı. Bu noktada varsayalım banka %20 özkaynak getirisi (ROE) elde edebilecek. Banka  %15-%20 aralığındaki ROE’yi  ve bu aralığın temsil ettiği risk profilini  kabul edilebilir buluyor. Performans (ROE) için hedef (mor çizgi) %17.5 olarak belirlenmiş olsun.  Bu çizgideki risk profilinde sermaye yeterliliği oranı %15,  soldaki kesikli çizgide % 17, sağdaki kesikli çizgide %12.5 olsun.  Dolayısıyla %17’nin üzerindeki sermaye yeterliliği ile %15’in altında kalınacak ROE veya %12.5’un altındaki sermaye yeterliliği ile %20’nin üzerinde tesis edilecek ROE’nin banka için sorunlu olacağını söylemek  mümkün.

2) Yönetici özetinde COSO, işletme yöneticilerini risk yönetiminin, işletmedeki herhangi bir departmanın veya fonksiyonun ismi veya işletmenin maruz kaldığı veya kalacağı riskleri sıralama (tanımlama) faaliyeti olmadığı hususlarında uyarma ihtiyacı hissetmiş.

3) Yeni kurumsal risk yönetimi çerçevesi beş temel bileşen altında gruplanan 20 temel prensipten oluşuyor.

4) Kurumsal risk yönetimi, bir organizasyonun değer yaratma, değeri koruma ve değeri realize etmede karşılaşacağı riskleri yönetmede güvenebileceği, strateji belirleme ve tatbikine entegre edilmiş kültür, imkan ve pratikler şeklinde tanımlanmış. İşletme içinde kurumsal risk yönetiminin asli ve baş sorumlusu doğal olarak, hedef ve stratejilerin baş sorumlusu ile aynı. Yani CEO.

5) Haziran 2016 tarihinde görüşe açılan taslaktan COSO-ERM’nin riskin tanımlanmasında ISO 31000 Risk Yönetimi Standardı’na hayli yaklaştığı sonucu çıkıyordu. Zira 2004 tarihli COSO-ERM Çerçevesinde belirsizlikten doğabilecek olumsuzluklar ‘risk’ olumlu hususlar ise ‘fırsat’ olarak tanımlanmakta iken yeni Çerçeve taslağında risk, ortaya çıkabilecek olayların strateji ve iş hedeflerine ulaşılmasını etkileme olasılığı olarak tanımlanmış,  riskin etki veya sonucunun ‘negatif’ veya ‘pozitif’ olabileceği de kabul edilmişti. Nihai metinde tüm dokümanın yeniden dizaynını gerektirecek esaslı bir değişiklik yapılabileceğini düşünmüyoruz. Ancak yeni Çerçevenin yayınlanmasını takip eden son bir-kaç günde futbol kulübü taraftarlığı düzeyine indiğini düşündüğümüz ISO 31000 ve  COSO-ERM karşılaştırma veya tartışmalarında (Avrupa ve Amerika’daki tartışmalardan söz ediyoruz) COSO-ERM’nin riski ‘negatif etki’ olarak alan eski yaklaşımının ISO 31000’e karşı bir üstünlük olarak takdim edilmeye devam edildiğini görüyoruz. Bu yeni dokümanın hiç okunmamasından veya zayıf bir olasılık da olsa nihai metinde eskiye dönüş yapılmasından kaynaklanıyor olabilir. Nihayet özellikle ISO 31000 Risk Yönetimi Standardı ile ilgili risk yöneticilerine eğitim/sertifika vermek için ortaya çıkan bazı özel yapılanmaların (ki ISO 31000’in kendisinin sertifikasyon amaçlı bir standart olmadığını örneğin hiçbir işletmenin ISO31000’e uygunluk belgesi alamayacağını hatırlatalım)  COSO-ERM’ye yaklaşım ve eleştirilerinin de pek sağlıklı gözükmediğini, ISO 31000’deki revizyon çalışmalarının ise devam ettiğini belirtelim.

 

Yasal Uyarı: Bloğumuzda yayınladığımız yazıların öncelikli amacı,  ‘Bankacılıkta Risk ve Sermaye Yönetimi’ isimli  kitabımızın okuyucularına kitapta irdelenen konularla ilgili  daha kapsamlı ve gerektiğinde daha güncel bilgi sunmaktır. Yazılarımızda   yeralan tespit ve değerlendirmeler şahsımız dışında  hiçbir kişi veya kurumu bağlamaz. Yatırımcılar, yazılarımızda yeralan bilgi, tespit ve değerlendirmelerden hareket ederek para veya sermaye piyasalarında pozisyon aldıklarını iddia edemezler. Yatırım danışmanlığı ile iştigal edenler, yatırımcıları yönlendirici mahiyette tavsiyelerde bulunanlar, yazılarımızdan, kaynak göstermek suretiyle dahi alıntı yapamazlar.