COSO  raporunda;  raporların  güvenirliği,  faaliyetlerin  etkinliği  ile  verimliliği  ve  mevzuata,  kurallara
               uyumu  amaçlarını  gerçekleştirecek  iç  kontrol  sistemi  beş  unsurdan  (bileşenden)  oluşur.  Bunlar;
               kontrol ortamı, risk değerlendirme, kontrol, bilgi- iletişim ve izlemedir.


               COSO modeli dışında COSO gibi yaklaşımlar da bulunsa da COSO  sistemi tüm dünyada yaygın olarak
               kullanılmakta olup ülkemizde de yeni düzenlenen mevzuatta bu model esas alınmıştır. Sayıştay’ımızın
               da  üyesi  olduğu  Uluslararası  Sayıştaylar  Birliği  (INTOSAİ)  ve  Avrupa  Birliği  gibi  kuruluşlar  da  COSO
               modelini esas almıştır.

               2004  yılında  COSO  ERM  Kurumsal  Risk  Yönetimi,  Bütünleşik  Çerçeve  geliştirilmiştir.  Kurumsal  Risk
               Yönetimi (KRY) modeli sekiz unsurdan oluşur.


               1)Kurumsal   Çevre;   diğer
               bileşenlere  temel  oluşturur.
               Etik  değerler,  çalışanların
               yetkinliği,      görevlerin
               sorumlulukların   paylaşımı
               gibi faktörleri vardır.

               2) Hedef belirleme; Öncelikle
               hedeflerin     belirlenmesi
               gerekir.   Hedeflere   göre
               riskler   belirlenir.   Strateji
               belirleme aşamasıdır.


               3)Gerçekleşmesi       olası
               olayların     tanımlanması;
               kurumun            karşısına
               çıkabilecek  olayların  neler
               olduğunun saplanmasıdır. Olaylar olumsuz olabileceği gibi fırsat da olabilir.


               4)Risklerin değerlendirilmesi; olası olayların geçekleşme ihtimalinin ve etkilerinin değerlendirilmesi,
               büyüklüklerinin belirlenmesidir.


               5)Risk  tepkisi;  risklere  nasıl  bir  tepki  verileceğinin,  risklere  karşı  ne  yapılacağının  saplanmasıdır.
               (riskten kaçınma, riski azaltma, riski paylaşma, riski kabul etme)


               6)Kontrol  aktiviteleri;  Risklere  karşı  idarece  verilecek  karşılığın  uygulanması,  prosedürlerin
               belirlenmesi kontrol faaliyetlerinin uygulanmasıdır.

               7)Bilgi  ve  iletişim;  etkin  bir  yatay  ve  dikey  iletişim  sisteminin  oluşturulması,  doğru  bilgilerin  ve
               raporlamanın sağlanması.

               8)İzleme;  risk  yönetim  süreçlerinin  sürekli  izlenmesi,  uygulama  kalitesinin  tespit  edilmesidir.
               Uygulamadan sonra yapılan bağımsız izleme olabileceği gibi uygulamalar sürekli, anında (eşzamanlı)
               olarak da izlenebilir.


               COSO  Modeli  dışında  yaklaşımlar  da  vardır.1995  yılında  Kanada’da  oluşturulan  ‘Risk  Yönetimi  ve
               Yönetişim’  COSO  modelinde;  Amaç,  Sorumluluk,  Yeterlik  ve  İzleme  ve  öğrenme  kriterlerine  göre
               değerlendirme yapılır.


                                                                                                      5