İş süreçlerini kontrol etmek, yönetmek, ölçmek ve idare etmek, sürekli iyileştirmeyi teşvik etmek ve finansal risklerden kaçınmak için çok önemlidir.
Kuruluşlar, süreçlerin sorunsuz çalışmasını sağlarken dolandırıcılık faaliyetlerine karşı güvenliği sağlamak için kullandıkları yöntemler olan iç kontrolleri kullanır. Ancak, bu dahili kontroller yürütülemediğinde işletmeleri tehdit edebilir.
Bir rapora göre, küçük kuruluşların %43’ü iç kontrol eksikliği nedeniyle dolandırıcılık yaşıyor ve büyük kuruluşların %20’si mevcut iç kontrolleri geçersiz kıldıkları için dolandırıcılıkla karşılaşıyor.
Bu, Trendway Organizasyonlarının Sponsor Kuruluşlar Komitesi’nin (COSO) şirketlerin iş süreçlerini kontrol etmelerine ve yönetmelerine yardımcı olacak bir çerçeve geliştirdiği zamandır. Bu çerçeve, kuruluşların iş süreçlerinin uyumlu olmasını sağlamalarına ve onlara risk belirleme ve azaltma konusunda rehberlik etmelerine olanak tanır.
COSO çerçevesini uygulamak zorunlu olmamakla birlikte, kuruluşların düzenleyici standartlara uymasına ve aksi takdirde kaçınılması zor olan dolandırıcılık faaliyetlerini ve kuruluşları kabusa çevirebilecek başarısızlıkları önlemesine yardımcı olur.
Bu tür kabuslardan kaçınmak istiyorsanız okumaya devam edin. Bu blog COSO çerçevesini, faydalarını ve kuruluşların riskleri azaltmak için bunu nasıl kullanabileceğini tartışıyor.
COSO Çerçevesi nedir?
COSO çerçevesi, kuruluşların iş süreçlerini kontrol etmelerine ve yönetmelerine yardımcı olan bir dizi kılavuz ve ilkedir.
COSO komitesi, Baş Hukuk Müşaviri ve Başkan Yardımcısı James Treadway, Jr. liderliğindeki bu çerçeveyi 1992’de diğer özel sektör kuruluşlarıyla birlikte oluşturdu:
- Uluslararası Mali Yöneticiler (FEI)
- Amerikan Muhasebe Derneği (AAA)
- Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA)
- İç Denetçiler Enstitüsü (IIA)
- Eskiden Ulusal Maliyet Muhasebecileri Birliği olarak bilinen Yönetim Muhasebecileri Enstitüsü (IMA)
Komite, aşağıda gösterildiği gibi, COSO küpü tarafından temsil edilen çerçeveyi 2013 yılında güncelledi ve daha modern bir versiyonunu yaptı.
Kaynak: info.knowledgeleader.com
Bu üç boyutlu şema, farklı iç kontrol sistemi öğelerinin iş süreçlerini uyumlu hale getirmek için birlikte nasıl çalıştığını gösterir.
2017’de COSO komitesi, kuruluşların riskleri değerlendirmesini ve önceliklendirmesini kolaylaştırmak, iş performansını ve risk stratejilerini birlikte şekillendirmek için COSO çerçevesine eşlik eden bir çerçeveyi açıkladı.
Bu nedenle, COSO çerçevesini anlamak kuruluşa önemli faydalar sağlar, onlara iş ortamında iç kontrolleri yönetme ve verimli bir şekilde kurma konusunda rehberlik eder. Güvenilir iç kontrol süreçleri, etik, şeffaf ve endüstri standartlarıyla uyumlu iş operasyonlarını garanti eder.
COSO Çerçevesinin Faydaları
Değişen siber güvenlik ortamına ve yeni zorluklara uyum sağlayan bir risk azaltma stratejisi belirlemek her işletme için çok önemlidir.
İşte COSO çerçevesini uygulamanın, işletmelerin kötü niyetli dolandırıcılıktan bir adım önde olmalarına ve iş süreçlerini ve itibarlarını korumalarına nasıl yardımcı olabileceği.
1 numara. Geliştirilmiş Risk Değerlendirmesi
Verimsiz yönetim kontrolü, çoğu işyeri olayının arkasındaki ana nedenlerden biridir. Ve bir alanda ortaya çıkan bu olaylar ve riskler, diğer iş alanlarını önemli ölçüde etkileyerek tüm iş performansını etkileyebilir.
COSO çerçevesini ve etkili risk değerlendirmelerini proaktif bir şekilde uygulamak, meydana gelen ve işletmenizi etkileyen risklerin belirlenmesine, yönetilmesine ve önlenmesine yardımcı olabilir.
2 numara. Geliştirilmiş Dahili Kontroller
COSO çerçevesi, şirketlere risk azaltma için daha etkin iç kontroller sağlar, iş süreçlerinin belirlenen iç kontrollere göre daha tekdüze çalışmasına izin verir ve sağlıklı karar almak için gerekli verileri kullanır.
#3. Gelişmiş Dolandırıcılık Tespiti
COSO çerçevesi, bilgisayar korsanları, siber suçlular, güvenilir çalışanlar veya müşteriler dolandırıcılık faaliyetine sızmış olsun, dolandırıcılık tespiti ve risk yönetiminin etkinliğini artırır.
Çerçeve, dolandırıcılığı tespit etmek ve bu olaylara herhangi bir zarar vermeden önce hafifletmek için meydana gelir gelmez müdahale etmek için iç kontroller kurarak kuruluşların dolandırıcılık faaliyetlerini kolayca önlemesini kolaylaştırır.
#4. Daha İyi Yönetişim
İş performansının gözetimi ve zayıf yönetişim, birçok iş başarısızlığına ve gelir kaybına yol açar. Bu nedenle, COSO çerçevesinin temel amacı, şirketlerin politikalara, yasalara ve hedeflere uyumu sağlamak için riski sürekli izleyen kurumsal yönetişim işlevini geliştirmektir.
# 5. Gelişmiş Uygulama Güvenliği
Dolandırıcılık ve siber güvenlik risklerinin yanı sıra kuruluşlar, iş uygulamalarına yönelik sürekli güvenlik saldırısı tehditleriyle karşı karşıyadır. COSO çerçevesi, şirketlere ve kuruluşlara, daha iyi siber güvenlik tespiti ve önleme için uygulama kontrol ortamlarını değerlendirmeleri ve geliştirmeleri için yönergeler sunar.
#6. Geliştirilmiş Esneklik
COSO çerçevesini, sektör veya büyüklükten bağımsız olarak kuruluşunuzun ihtiyaç ve gereksinimlerine kolayca uyarlayabilirsiniz. Bu, onu çok çeşitli iş süreçleri için ideal ve verimli kılar.
#7. İstikrarlı Performans
COSO çerçevesi, performans değişkenliğini sınırlayarak riskleri tahmin etmeyi ve programın ilerisinde kalmayı kolaylaştırır. Sonuç olarak, kuruluşların karlılığı en üst düzeye çıkarmasına ve kesintileri en aza indirmesine yardımcı olarak iş dayanıklılığını artırır.
# 8. Uygun Maliyetli
COSO çerçevesinin doğru bir şekilde uygulanması, kuruluşların iş süreçlerini kolaylaştırmasına, verimli iç kontroller oluşturmasına ve uygulamasına, riskleri daha iyi azaltmasına ve uyumluluk maliyetlerini yönetmesine olanak tanır.
COSO Çerçevesinin Kullanımı
Kuruluşlar, etkili iç kontrolleri tasarlamak, geliştirmek ve uygulamak ve bunların genel etkinliğini artırmak için öncelikle COSO çerçevesini kullanır.
COSO çerçevesi, kuruluşlara riskleri tespit etmek ve azaltmak, net kontroller ve hedefler belirlemek ve etkili kararlar almak için rehberlik sağlayarak kuruluşların risk yönetimi ve değerlendirmesine odaklanan etik ve yasal gerekliliklere bağlı kalmasına olanak tanır.
Bu çerçeve, muhasebe ve finans firmaları ve halka açık kuruluşlar tarafından yoğun bir şekilde kullanılmaktadır.
COSO çerçevesi, aşağıdakileri içeren gerçek kullanım ve iş uygulamalarına sahiptir:
1 numara. Genişleyen Operasyonlar
Kuruluşunuzun operasyonlarını yeni şehirlere veya ülkelere genişletmeyi planladığını ve iş süreçlerinizi tehdit edebilecek tüm olası riskleri dikkate alıp azaltmanız gerektiğini varsayalım. Bu durumda, COSO çerçevesi bunu yapmanıza yardımcı olur.
COSO çerçevesi, riskleri tanımlamanın, yönetmenin ve değerlendirmenin ve bunlar için azaltma stratejileri geliştirmenin sistematik bir yolunu sunar.
2 numara. Stratejide Değişim
Kuruluşunuzun yeni bir ürün veya hizmet lansmanı veya iş stratejilerinde değişiklik gibi iş süreçlerinde ve operasyonlarında önemli değişiklikler uygulamayı planladığını varsayalım. Bu durumda, COSO çerçevesini kullanmak işinize yardımcı olabilir.
Önemli iş değişikliklerini planlamanıza ve etkili bir şekilde yönetmenize yardımcı olabilir, değişikliklerle ilişkili potansiyel riskleri bulmanızı ve bunlara yönelik planlar tasarlamanızı sağlar.
#3. Rekabette Önde Kalın
Rakiplerinizden gelen zorluklarla karşı karşıya kalırsanız veya iş kayıpları fark ederseniz, rekabet gücünüzü artırmak için rekabette önde kalmanın yollarını bulmak çok önemlidir. Bunu yapmanın bir yolu, müşterinizin tercihlerini ve gereksinimlerini anlamaktır.
COSO çerçevesi, pazar araştırması ve müşteri analizi için yapılandırılmış bir yaklaşım sunarak kuruluşların bu zorluğu başarmasına ve bunlarla mücadele etmesine yardımcı olur.
COSO Çerçevesinin Beş Önemli Bileşeni
COSO çerçevesinin beş bileşeni, iç kontrol bileşenleri olarak da bilinir ve genellikle ‘CRIME’ olarak anılır.
- Kontrol ortamı
- Risk değerlendirmesi
- Bilgi ve iletişim
- İzleme faaliyetleri
- Mevcut kontrol faaliyetleri
Bu bileşenlerin her birine daha ayrıntılı olarak bakalım.
Kontrol ortamı
Kontrol ortamı, kuruluş genelinde etkili bir iç kontrol sistemi sağlayan süreçler, standartlar ve yapılar kümesi olan tüm iç kontrol sistemlerinin temelidir.
Organizasyon yapısı, yönetimin etik değeri ve devredilen yetki gibi parametrelerden oluşur.
Güçlü bir kontrol ortamı, kuruluş içinde disiplini aşılar, kuruluşun yasal uyum politikalarına ve gereksinimlerine bağlı kalmasını sağlar ve çalışanların hileli faaliyetlerde bulunma ihtimalini en aza indirir.
Dolayısıyla, bu çağda ve kurumsal dünyada dolandırıcılığın daha yaygın hale gelmesiyle, kontrol ortamı COSO çerçevesinin en önemli ve kritik bileşenlerinden biridir.
Risk Değerlendirmesi ve Yönetimi
Bazen kurumsal risk yönetimi olarak adlandırılan risk değerlendirmesi ve yönetimi, bir işletmenin refahına zarar verebilecek ve temel hedeflerini etkileyebilecek riskleri tanımlamaya ve değerlendirmeye yardımcı olan süreçleri içerir.
Riskler dahili veya harici olabilir. İç riskler zimmete para geçirme ve dolandırıcılığı içerirken, dış riskler piyasa koşullarındaki değişikliklerden veya doğal afetlerden kaynaklanabilir.
Bilgi ve iletişim
Bilgi ve iletişim sistemleri, bir kuruluşun verimli bir şekilde çalışması, dış ve iç iletişimin etik değerlere, yasal gerekliliklere ve standart endüstri uygulamalarına bağlı kalmasını sağlamak için çok önemlidir.
Bu sistemler, ilgili bilgilerin ihtiyacı olan kişiler tarafından her zaman erişilebilir olmasını ve iletişimlerinin iş amaç ve hedeflerine ulaşmak için en iyi uygulamaları takip etmesini sağlar.
İletişim, üst yönetimin iç kontrollerin önemini etkin bir şekilde iletmesini sağlayan, kuruluş genelinde iç ve dış kaynaklardan bilgileri zamanında yineleme, alma, paylaşma ve sağlamaya yönelik sürekli bir süreçtir.
İzleme Faaliyetleri
Düzgün çalıştıklarından emin olmak ve doğrulamak için tüm dahili kontrolleri ve devam eden ve ayrı değerlendirmeleri düzenli olarak izlemek çok önemlidir. Ayrıca izleme faaliyetleri, iç kontrol sistemlerinin tasarlandığı gibi çalışıp çalışmadığının değerlendirilmesine yardımcı olarak kuruluşların gerektiğinde düzeltici önlemler almalarını sağlar.
İç kontrollerin izlenmesi, kuruluşların sistemlerdeki riskleri, sorunları ve zayıflıkları sürekli olarak tespit etmelerine ve böylece derhal düzeltilmelerine olanak tanır.
Mevcut Kontrol Faaliyetleri
Kontrol faaliyetleri, bir kuruluş genelinde riskleri azaltmaya ve uygun şekilde kontrol edilmelerini sağlamaya yardımcı olan tespit edici ve önleyici süreçler, politikalar ve prosedürlerdir.
İş süreçlerinin, süreçlere gereksiz riskler getirmeden bir organizasyonun hedeflerine ulaşmasına olanak sağlayacak şekilde yürütülmesini sağlamak amacıyla organizasyonun her seviyesinde bulunurlar.
Kontrol faaliyetlerine örnek olarak güvenlik kameraları, görevler ayrılığı ve yetkilendirme gereksinimleri gibi fiziksel kontroller verilebilir.
COSO Çerçevesi Nasıl Uygulanır?
Etkili iç kontrol sistemleri geliştirmek ve bunların yönetimini ve bakımını iyileştirmek için COSO çerçevesini uygulamaya yönelik adımlar aşağıda verilmiştir.
1 numara. COSO çerçevesini anlamak
COSO çerçevesini uygulamak isteyen kuruluşlar, tasarımını anlamak ve uygulanmasından sorumlu tutmak için özel bir ekip belirlemelidir.
Ekip, etkili bir iç kontrol sistemi için çerçevenin faydalarını, kullanımını, uygulamalarını ve ilkelerini anlamalıdır.
2 numara. Bir Plan Geliştirmek
Çerçeve doğru bir şekilde anlaşıldıktan sonra ekip, çerçevenin uygulama kapsamını, paydaşları, kaynakları, organizasyon yapısını ve zaman çizelgelerini ele almak için bir proje planı veya yol haritası geliştirmelidir.
#3. Bir Çerçevenin Uygulanmasını Değerlendirme
COSO çerçeve uygulaması şirketten şirkete değişir ve iç kontrol sistemlerini değerlendirmek, kuruluşların ele almaları ve azaltmaları gereken riskleri belirlemelerine yardımcı olur.
Uygulama ekibi, net iş hedeflerini tanımlamalı, mevcut iç kontrol sistemini araştırmalı ve analiz etmeli ve güçlü iç kontrol sistemleri geliştirmek için birden fazla bakış açısı toplamak üzere giriş seviyesindeki çalışanları ve üst yönetimi dahil ederek boşlukları belirlemelidir.
#4. Çözümleri Düzeltme
Değerlendirme sırasında belirlediğiniz zayıflıklar ve güvenlik açıkları ne olursa olsun, bu adımda ele alınmalıdır. Ek olarak, bu zayıflıkları ele almak için iç kontroller ve iyileştirme çözümleri geliştirmek çok önemlidir.
En iyi güvenlik açığı yönetimi yazılımını kullanarak en yüksek olasılıkla ve önemli etkilerle en fazla zarara neden olan riskler için iyileştirme çözümleri ile başlayabilir ve ardından aşağı inebilirsiniz.
# 5. Çözümleri Test Etme, Raporlama ve Optimize Etme
Kuruluşlar, çözümleri ayrıntılı olarak tasarlamalı ve verimliliklerini ve etkililiklerini test etmek ve raporlamak için doğrulamalar gerçekleştirmelidir.
Sorumlu paydaşlar, etkisiz olduğu düşünülen boşluklar ve kontrollerle çözümler hakkında geri bildirim ve değiştirme önerileri sağlamak için test sonuçları hakkında bilgilendirilmelidir.
Bu, devam eden değerlendirmelerin erken uyarı sinyallerinin kontrol ortamındaki değişiklikler üzerinde anında harekete geçmesini sağladığı sürekli ve tekrarlanan bir süreçtir.
COSO Çerçevesinin Sınırlamaları
COSO çerçevesi, kuruluşlara çok sayıda fayda sağlarken, aynı zamanda aşağıdakiler gibi kendi zorlukları ve sınırlamaları ile birlikte gelir:
- Uygulamadaki zorluk: COSO çerçevesinin en büyük zorluklarından biri, özellikle daha önce onunla çalışmamış kuruluşlar için uygulanmasının zor olmasıdır. COSO çerçevesi, başarılı olmak için çalışanlardan ve üst yönetimden özverili taahhüt gerektirir.
- Kullanımı zor: COSO çerçevesinin kullanımı ve anlaşılması kolay değildir, çünkü birkaç teknik jargon içerir ve çoğu durumda, özellikle en son iş teknolojilerine ve terminolojilere aşina olmayanlar için yorumlanması zor olabilir.
- Zaman alıcı: Birden çok ekip ve departman arasında çok fazla planlama ve koordinasyon gerektirdiğinden, COSO çerçevesini anlamak ve uygulamak, özellikle daha büyük kuruluşlarda ve işletmelerde zaman alıcı olabilir.
Son sözler
COSO çerçevesi, kuruluşlara ve işletmelere iç kontrol sistemlerini geliştirme konusunda rehberlik sağlayan kapsamlı bir risk yönetimi ve azaltma çerçevesidir.
Kurumsal hedeflere ulaşmak, dolandırıcılığı tespit etmeye ve önlemeye, varlıkları korumaya ve yasalara ve düzenleyici gerekliliklere uygunluğu sağlamaya yardımcı olmak için birlikte çalışan birbiriyle ilişkili ve önemli beş bileşenine dayanır.
Bu nedenle, bir iç kontrol sistemi oluşturmayı planlıyorsanız veya mevcut sisteminizi iyileştirmenin yollarını arıyorsanız, etkili bir COSO çerçevesini seçmek ve uygulamak doğru seçimdir.
Ardından, veri kalitesiyle ilgili kapsamlı bir kılavuza göz atın.
