COSO (Committee of Sponsoring Organizations), “Treadway Komisyonu” olarak da bilinmekte olup Amerika Birleşik Devletleri’nde beş bağımsız meslek örgütünün ortak girişimiyle 1985 yılında kurulmuştur. Bu örgütler; Amerikan Muhasebeciler Birliği (AAA), Amerika Sertifikalı Kamu Muhasebecileri Birliği (AICPA), Uluslararası Finans Yöneticileri Derneği (FEI), İç Denetçiler Enstitüsü (IIA) ve Yönetim Muhasebecileri Enstitüsü (IMA)’dır (Türedi, Gürbüz, & Alıcı, (2014).
COSO’nun kuruluş amacı, özellikle hileli mali raporlamalarla mücadele etmek ve kurumsal risk yönetimi ile iç kontrol sistemlerinin geliştirilmesine katkı sağlamaktır (Türedi, Gürbüz, & Alıcı, (2014).
ABD’nin yanı sıra COSO benzeri modeller başka ülkelerde de bulunmaktadır. Örneğin Kanada için COCO (Canadian Institute of Chartered Accountants Criteria of Control Framework) bulunurken, İngiltere için Turnbull Raporu (Internal Control: Guidance for Directors on the Combined Code) aynı amaca yönelik ama farklı yaklaşım modeller olarak göze çarpmaktadır (Türedi, Koban, & Karakaya, 2015).
COSO’nun biri iç kontrol, diğeri risk yönetimi olmak üzere iki temel modeli bulunmaktadır.
COSO İç Kontrol Modeli
COSO iç kontrol modeli, birbiriyle doğrudan ilişkili ve birbirini tamamlayan beş temel bileşenden oluşmaktadır. Bu beş bileşen, tıpkı birbirine bağlı halkalar gibi, iç içe geçmiş ve ayrılmaz bir yapıyı oluşturmaktadır;
- Kontrol Ortamı (Control Environment)
- Risk Değerlendirme (Risk Assessment)
- Kontrol Faaliyetleri (Control Activities)
- Bilgi ve İletişim (Information and Communication)
- İzleme ve Gözden Geçirme (Monitoring)
İç kontrol sisteminin etkinliği, bu beş bileşenin her birinin ayrı ayrı kurulmasına ve işletilmesine olduğu kadar, aralarındaki uyumun sağlanmasına da bağlıdır (Türedi, & Karakaya, 2015).
Kontrol Ortamı: İç kontrol sisteminin başarısını belirleyen temel unsur olarak görülmektedir. İşletmenin faaliyetlerini yürütme biçimini ve kurumsal yapının etik değerlerle bütünleşmesine yardımcı olur. İç kontrol ortamının sağlıklı bir şekilde işleyebilmesi, üst yönetimin ve çalışanların sorumluluklarını ve yetki sınırlarını açıkça bilmesiyle mümkündür (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
Kontrol ortamının temel ilkeleri;
- Etik değerler ve meslek ahlakı,
- Etkin gözetim sorumluluğu,
- Görev ve yetki dağılımı,
- Yetkinlik ve liyakat esaslı yaklaşım,
- Hesap verebilirlik anlayışı (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
Risk Değerlendirme: Bir işletmenin iç ve dış çevresinden kaynaklanan olayların, hedeflere ulaşma sürecini olumsuz etkileme ihtimalini dikkate alarak risklerin tanımlanması ve analiz edilmesini kapsamaktadır. Süreç, süreğen ve dinamik bir yapıda, belirlenen risk toleranslarına göre yürütülür. Etkili bir risk değerlendirmesi için, organizasyonun tümünü kapsayan uygun hedeflerin belirlenmesi gerekir. Ayrıca yönetim, çevresel değişikliklerin ve iş modelindeki dönüşümlerin iç kontrol sistemi üzerinde oluşabilecek potansiyel etkilerini de göz önünde bulundurmalıdır (COSO, 2013).
Risk değerlendirmeye yönelik temel ilkeler;
- Hedeflerin belirlenmesi,
- Risklerin belirlenmesi ve analizi,
- Hile riskinin değerlendirilmesi,
- Risklerdeki değişimlerin izlenmesi (Türedi, Gürbüz, & Alıcı, (2014).
Kontrol Faaliyetleri: Belirlenen risklerin etkisini ve gerçekleşme olasılığını azaltarak işletmenin hedeflerine ulaşma şansını artırmayı hedefleyen eylemlerin tümüdür. Kontrol faaliyetlerin belirlenmesi işlemi risk değerlendirme sürecinin tamamlanmasıyla doğrudan ilişkilidir. Üst yönetim, görevlerin ve hedeflerin gerçekleşmesini sağlamak için makul güvence elde etmeyi amaçlayarak kontrol faaliyetlerini planlamalı, organize etmeli ve yönlendirmelidir (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
Kontrol faaliyetlerinin temel ilkeleri;
- Uygun kontrol faaliyetlerinin seçilerek uygulanması,
- Teknolojiye yönelik genel kontrollerin hayata geçirilmesi,
- Politikalar ve süreçler aracılığıyla kontrollerin yaygınlaştırılması (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
Bilgi ve İletişim: İç kontrol sisteminin etkili olabilmesi için doğru ve güvenilir bilginin zamanında üretilmesi ve ilgili kişi veya birimlere iletilmesi gerekir. Bilgi sistemleri, işletme içinden ya da dışından elde edilen verileri kullanarak karar alma süreçlerini destekler. İyi bir iletişim sistemi ise bu bilgilerin doğru kişilere, doğru şekilde ve sürekli olarak ulaşmasını sağlar (Türedi, Gürbüz, & Alıcı, (2014).
Bilgi ve iletişime dair temel ilkeler;
- Bilginin değerlendirilmesi,
- İç iletişim,
- Dış iletişim (Türedi, Gürbüz, & Alıcı, (2014).
İzleme ve Gözden Geçirme: İç kontrol sisteminin işletmenin hedeflerine ulaşmasına ne ölçüde katkı sağladığını değerlendirme sürecidir. Bunun yanında süreç, iç kontrol standartlarına uygunluğun ölçülmesi ve sistemin geliştirilmesi gereken alanlarının belirlenmesini de kapsar. Değerlendirme sonucunda tespit edilen eksikliklerin giderilmesine yönelik aksiyonlar planlanır (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
İzleme ve gözden geçirmeye ilişkin temel ilkeler;
- Tespit edilen eksikliklerin değerlendirilerek ilgili kişi ya da birimlere iletilmesi,
- İç kontrol sistemine ilişkin sürekli veya belirli aralıklarla değerlendirme yapılması (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
COSO Risk Yönetim Modeli
COSO risk yönetim modeli, aynı iç kontrol modelinde olduğu gibi yine birbiriyle doğrudan ilişkili ve birbirini tamamlayan beş temel bileşenden oluşmaktadır;
- Yönetişim ve Kültür,
- Strateji ve Hedef Belirleme,
- Performans,
- İnceleme ve Gözden Geçirme,
- Bilgi, İletişim ve Raporlama (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
Yönetişim ve Kültür: Kurumsal risk yönetimi yapısının temelini oluşturan bileşendir. Yönetişim, kamu ve özel sektör dahil olmak üzere çeşitli aktörlerin katılımıyla yürütülen, katılımcı ve iş birliğine dayalı yönetim anlayışıdır (Sobacı, 2007). İçinde bulunulan kültür ise çalışanların tutumlarını, risk alma seviyelerini, etik ilkelerini ve karar süreçlerine yaklaşımlarını şekillendirerek kurumsal yapının tüm aşamalarında etkili olmaktadır (Uysal, 2021).
Yönetişim ve kültür beş temel ilkeden oluşmaktadır;
- Yönetim kurulunun risk gözetimini üstlenmesi,
- Kurumsal yapının oluşturulması,
- Kurumsal kültürün tanımlanması,
- Temel değerlere bağlılık,
- Nitelikli personelin kazanılması ve geliştirilmesi (Uysal, 2021).
Strateji ve Hedef Belirleme: Kurumsal risk yönetiminde strateji ve hedef belirleme süreci, stratejik planlamanın temelini oluşturur. Süreç, iş ortamı ile stratejik hedeflerin uyumunu esas alınır. Stratejik kararların alınmasında risklerin dikkate alınması, organizasyonun uzun vadeli başarısı açısından önemli bir noktadır (Uysal, 2021).
Strateji ve hedef belirlemenin temel ilkeleri;
- İş ortamının analizi,
- Risk iştahının tanımlanması,
- Alternatif stratejilerin değerlendirilmesi,
- Hedeflerin oluşturulması (Uysal, 2021).
Performans: Kurumsal risk yönetiminde performans bileşeni, işletmenin hedefleri ve stratejileriyle doğrudan ilişkili olan risklerin tanımlanması, analiz edilmesi ve yönetilmesini kapsar. Riskler, kurumun risk iştahı çerçevesinde değerlendirilerek, şiddet ve olasılık bakımından sınıflandırılmalı ve önceliklendirilmelidir (Karakaya, 2018).
Performasın beş temel ilkesi;
- Risklere dair geniş bir bakış açısının geliştirilmesi,
- Risklerin tanımlanması ve belirlenmesi,
- Risk şiddetinin değerlendirilmesi,
- Risklerin önceliklendirilmesi veya derecelendirilmesi,
- Risk yanıtlarının belirlenip uygulanması (Karakaya, 2018).
İnceleme ve Gözden Geçirme: Risk yönetimi sürecinde, organizasyonun hedeflerine ulaşma seviyesi, performans sonuçları ve önemli değişiklikler doğrultusunda mevcut uygulamaların gözden geçirilmesi; yönetim uygulamalarının etkinliğini, işletmeye değer katıp katmadığını ve varsa iyileştirilmesi gereken alanları ortaya koyar (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
İnceleme ve gözden geçirme üç temel ilkeye sahiptir;
- Kurumsal risk yönetimi alanındaki gelişmelerin izlenmesi,
- Önemli değişikliklerin değerlendirilmesi,
- Risk ve performans sonuçlarının incelenmesi (Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu, 2024).
Bilgi, İletişim ve Raporlama: Kurumsal risk yönetiminin etkili bir şekilde işleyebilmesi için kurumda değer yaratma sürecinde kullanılacak bilgilerin hem iç hem de dış kaynaklı veriler üzerinden doğru biçimde elde edilmesi, paylaşılması ve raporlanması gerekmektedir. Elde edilen bilgilerin, kurum genelinde ilgili birim ve kişilere zamanında ve doğru şekilde aktarılması büyük önem taşımaktadır (Karakaya, 2018).
Bilgi, iletişim ve raporlama üç ilkeden oluşur;
- Bilgi yönetim sistemlerinin güçlendirilmesi,
- Riske ilişkin bilgilerin iletilmesi ve paylaşılması,
- Risk, risk kültürü ve performans ile ilgili raporlama yapılması (Karakaya, 2018).
Kaynaklar
Türedi, H., Gürbüz, F., & Alıcı, Ü. (2014). COSO MODELİ: İÇ KONTROL YAPISI – COSO MODEL: INTERNAL CONTROL STRUCTURE. Öneri Dergisi, 11(42), 141-155. https://doi.org/10.14783/od.v11i42.5000065511
Türedi, H., Koban, A. O., & Karakaya, G. (2015). Coso İç Kontrol ABD Modeli ile İngiliz Turnbull ve Kanada CoCo Modellerinin Karşılaştırılması. Sayıştay Dergisi(99), 95-119.
Türedi, H., & Karakaya, G. (2015). COSO İç Kontrol Modeli ve Kontrol Ortamı. Finans Politik Ve Ekonomik Yorumlar(602), 67-76.
Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu. (2024). Bilgi sistemleri yönetimi ve denetimi: Lisanslama sınavları çalışma notları (1020). https://spl.com.tr/wp-content/uploads/2025/01/1020_MKT_31122024_202401061425pdf.pdf
COSO. (2013). COSO Internal Control – Integrated Framework. https://www.slideshare.net/slideshow/990025-p-executivesummaryfinalmay20/149818128
Karakaya, G. (2018). COSO KURUMSAL RİSK YÖNETİMİ – RİSKİN STRATEJİ VE PERFORMANSLA UYUMLAŞTIRILMASINA İLİŞKİN DÜZENLEME ÇERÇEVESİNDE GETİRİLEN GÜNCELLEMELER. Denetişim(18), 15-22.
Uysal, M. C. (2021). ISO 31000 VE COSO KURUMSAL RİSK YÖNETİMİ KARŞILAŞTIRMASI: ÇERÇEVELERİ ANLAMAK. Denetişim(22), 55-68.
Sobacı, M. Z. (2007). Yönetişim Kavramı ve Türkiye’de Uygulanabilirliği Üzerine Değerlendirmeler. Yönetim Bilimleri Dergisi, 5(1), 195-208.