Kurumsal risk yönetimi (ERM), bir kuruluşun finansal ve operasyonel sağlığına yönelik riskleri değerlendiren, tanımlayan ve planlayan, aynı zamanda piyasa fırsatlarını hedefleyen sürekli bir iş sürecidir. Genellikle bir kuruluşun Yönetişim, Risk ve Uyumluluk (GRC) stratejisinin bir parçası olan riskler, şirket kültürü gibi dahili endişelerin yanı sıra GDPR ve CCPA gibi veri gizliliği düzenlemeleri, afetler, pandemi veya siber güvenlik saldırısı gibi harici faktörleri kapsayabilir.
Çoğu iş sektöründe kullanılan proaktif bir iş stratejisi olan ERM, tüm organizasyon genelinde riski değerlendirmek ve yönetmek için bütünsel bir yaklaşım benimser ve bu risklerin yönetimi için yapılandırılmış bir süreç sağlar. ERM, potansiyel tehditleri önlemenin yanı sıra rekabet avantajları da sağlayabilir.
Kurumsal Risk Yönetiminin Amaçları
ERM, yalnızca potansiyel sorunları detaylandırmaktan ziyade kurumsal hedefleri karşılamayı amaçlamaktadır. Bir kuruluşun riskleri nasıl değerlendirip kontrol edeceğine rehberlik eden bir dizi eylem ve faaliyetin uygulanmasıdır.
Risk yöneticileri, risk yönetimi için çerçeveler oluşturmak için üç temel adımdan başlayarak bir dizi politika, uygulama ve prosedür kullanır:
- Bir kuruluşun hedef ve stratejileri doğrultusunda kararların alınmasını sağlayan bir yönetim kurulu, Yönetim Kurulu gözetiminde risk yönetimine odaklanmış bir üst düzey yöneticiler ekibi ve bunların yürütülmesinden sorumlu bağımsız bir risk yönetimi ekibi tarafından yönlendirilen risk yönetişiminin kurulması Kuruluşun risk yönetimi çerçevesine uygun iş planları
- Bir kuruluşun önlem alınmadan önce kabul etmeye hazır olduğu risk seviyesinin değerlendirilmesi
- Ürünler ve işletmeler genelinde riskleri ölçen ve bir kuruluşun politika ve yönergelerine uyumu sağlayan risk yönetimi tekniklerinin uygulanması
Kurumsal Risk Yönetimi Çerçeveleri
Geçtiğimiz birkaç yıl içinde, her biri işletme riskini tanımlama, analiz etme ve yönetmeye yönelik çeşitli yaklaşımlar sunan birkaç ERM çerçevesi ortaya çıktı. İşte en popüler ERM çerçevelerinden üçü:
- ARENA (Sponsor Kuruluşlar Komitesi). 1985'te kurulan COSO, Amerikan Muhasebe Birliği (AAA), Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA), Uluslararası Mali Yöneticiler (FEI), İç Denetçiler Enstitüsü (IIA) ve ABD'deki beş kuruluş arasındaki ortak bir girişimdir. Kurumsal dolandırıcılıkla mücadele için Yönetim Muhasebecileri Enstitüsü (IMA). COSO'nun amacı, birbiriyle ilişkili üç konuyla ilgilenen fikir liderliği sağlamaktır: kurumsal risk yönetimi, iç kontrol ve dolandırıcılık caydırıcılığı. COSO ERM çerçevesinin beş bileşeni vardır:
-
- Yönetim ve kültür
- Strateji ve hedefler
- Performans
- İnceleme ve revizyon
- Bilgi, iletişim ve raporlama
- ISO 31000 Uluslararası Standardizasyon Örgütü tarafından oluşturulmuş bir risk yönetimi standartları grubudur. ISO 31000, bir dizi kılavuz olarak, fırsatların ve tehditlerin tanımlanmasını iyileştirmek ve risk yönetimi için kaynakları tahsis etmek ve kullanmak için en iyi uygulamaları geliştirmek amacıyla risk yönetimi için ilkeler, bir çerçeve ve bir süreç sağlar.
- Yaralı Aktüerya Derneği s (CAS) Kurumsal Risk Yönetim Komitesi, bir çerçeveyi kavramsallaştırmak için iki yönlü bir yaklaşımla ERM'yi 2003 yılında tanımlamak için yola çıktı: risk türünü tanımlayan, analiz eden, entegre eden ve risk yönetimi stratejilerini uygulamadan önce önceliklendiren bir risk yönetimi süreci neyin işe yarayıp neyin yaramadığını belirlemek için sürecin sürekli olarak izlenmesi ve gözden geçirilmesi.