(Kamu İç Kontrol Rehberi) Kurumsal Risk Yönetimi Yrd.Doç.Dr.Habil GÖKMEN
Risk Kavramı Amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileceği değerlendirilen olay veya durumlar risk olarak tanımlanır. Amaç ve hedefler üzerinde olumlu etkide bulunabileceği değerlendirilen olay veya durumlar ise fırsat olarak tanımlanır.
Risk Yönetimi Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve hedeflerine ulaşmasını etkileyebileceği değerlendirilen durumların tanımlanması, değerlendirilmesi ve bunlara uygun cevapların verilmesine ilişkin yürütülen tüm faaliyetlerdir.
Risk Yönetimi Stratejisi Risk yönetimine ilişkin kurumsal yaklaşım ve üst düzey politikalara Risk Yönetimi Stratejisi ; bu yaklaşımın yazılı olarak ortaya konduğu belgeye Risk Stratejisi Belgesi (RSB) adı verilir. Risk Stratejisi Belgesinin tüm çalışanlar tarafından erişilebilir olması gereklidir.
Risk İştahı İdarenin amaçları doğrultusunda kabul etmeye hazır olduğu en yüksek risk düzeyidir. Risk iştahı kavramı, bu düzeyin üzerindeki risklerin kabul edilemeyeceğini ve önlem alınması gerektiğini ifade eder.
Kurumsal Risk Stratejisi Kurumsal Risk Stratejisi, idarenin risk iştahını stratejik düzeyde ortaya koymalıdır. Risk Strateji Belgesi üç yılda bir hazırlanır ve yıllık olarak revize edilir.
Görev, Yetki ve Sorumluluklar Üst Yönetici İç Kontrol İzleme ve Yönlendirme Kurulu İdare Risk Koordinatörü Birim Risk Koordinatörü Çalışanlar İç Denetim Birimi Strateji Geliştirme Birimi Merkezi Uyumlaştırma Birimi
Üst Yönetici Her üç yılda bir, idaresinin amaç ve hedefleri doğrultusunda risklerin yönetilmesi konusunda stratejinin belirlenmesini sağlar ve bu stratejinin nasıl uygulanacağını gösteren RSB’yi onaylayarak, söz konusu belgeyi tüm çalışanlara yazılı olarak duyurur.
İç Kontrol İzleme ve Yönlendirme Kurulu Bir üst yönetici yardımcısı başkanlığında birim yöneticilerinden oluşan bu kurul, risk yönetiminin geliştirilmesine ilişkin politika ve prosedürler oluşturarak üst yöneticinin onayına sunar. İdarenin Risk Strateji Belgesini hazırlayarak üst yöneticinin onayına sunar.
İdare Risk Koordinatörü Her bir Birim Risk Koordinatörü tarafından raporlanan birim risklerinden yola çıkarak Konsolide Risk Raporunu hazırlar. Söz konusu raporu belirlenen dönemlerde İç Kontrol İzleme ve Yönlendirme Kuruluna ve üst yöneticiye sunar. Bu raporla birlikte kendi değerlendirmelerini de sunar.
Birim Risk Koordinatörü Birimin hedeflerini etkileyebilecek risklerin tespit edilmesini koordine eder ve rehberlik sağlar. Yıllık olarak belirlenen risk kayıtlarını ve ilgili raporları idare tarafından belirlenecek periyotlarla gözden geçirir ve birim yöneticisinin onayını alarak İdare Risk Koordinatörüne raporlar.
Çalışanlar Risk yönetiminin başarısı çalışanların bu görevi sahiplenmesine bağlıdır. Dolayısıyla, her bir çalışan görev alanı çerçevesinde risklerin yönetilmesinden sorumludur.
İç Denetim Birimi Risk yönetimi sürecinin etkili olup olmadığı, risklerin gereken şekilde yönetilip yönetilmediği hususunda incelemeler yaparak üst yöneticiye mevzuatları çerçevesinde gerekli raporlamaları yapar.
Strateji Geliştirme Birimi İdarede risk yönetimine ilişkin çalışmaları koordine eder ve iç kontrol sisteminin değerlendirilmesi kapsamında risk yönetiminin etkinliğini de değerlendirerek belirli dönemler halinde İç Kontrol İzleme ve Yönlendirme Kuruluna raporlar.
Merkezi Uyumlaştırma Birimi Risk yönetimini de kapsayacak şekilde iç kontrol alanında düzenlemeler yapar. Ulusal ve uluslararası uygulamalar doğrultusunda risk yönetimine ilişkin standart ve yöntemlerin geliştirilmesi, eğitim, rehberlik, uyumlaştırma ve raporlama faaliyetlerini yürütür.
Risk Yönetimi Süreci Risklerin Tespit Edilmesi Risklerin Değerlendirilmesi Risklere Cevap Verilmesi Risklerin Gözden Geçirilmesi ve Raporlanması
Risk Yönetimi Uygulama Adımları Hedefler Riskler Kontroller Kurumun stratejik hedeflerinin belirlenmesi Risklerin Belirlenmesi Ne olabilir? Nasıl olabilir? Risk Analizi Olasılığın ve etkinin belirlenmesi Risk seviyesinin belirlenmesi Risklerin önceliklendirilmesi Kurumun kabul edilebilir risk profili ile karşılaştırma Kontrollerin belirlenmesi ve incelenmesi Kontrol seviyesinin belirlenmesi Kontrol seviyesinin değerlendirilmesi Bu seviye kabul edilebilir mi? Evet Uyum İzle ve Gözden geçir Hayır Evet Kaçın İyileştirme Planlarını oluştur Fayda ve maliyetleri değerlendir Kaçın Bu seviye kabul edilebilir mi? Risklerin Yönetilmesi Bir kısmını/ tümünü paylaş Bir kısmını/ tümünü paylaş İyileştirme stratejileri öner Etkisini/olasılığını azalt Etkisini/olasılığını azalt İyileştirme stratejileri seç Kabullen Kabullen Hayır
Risklerin Tespit Edilmesi İdarenin hedeflerine ulaşmasını engelleyen veya zorlaştıran risklerin önceden tanımlanmış yöntemlerle belirlenmesi, gruplandırılması ve güncellenmesi sürecidir.
Risklerin Tespitinde Dikkate Alınabilecek Unsurlar Tespit edilen riskler hedeflerle ilişkilendirilmelidir. Tespit edilen risklerin “A Riski” veya “A’nın olması riski” şeklinde ifade edilmesi gerekir. Riskler iç risk ve dış risk şeklinde gruplandırılmalıdır.
İç Risk ve Dış Risk İdare tarafından kontrol edilebilecek olaylar sonucunda ortaya çıkan risklere iç risk denilir. İdarenin kontrolü dışında gerçekleşen olaylar sonucunda ortaya çıkan risklere dış risk denilir.
Modernization of Observation Network İç ve Dış Kaynaklı Riskler İç Faktörlere örnekler: Bilgi işlem sistemindeki bir aksaklık, İşe alınan personelin yetkinliği, Yönetimin sorumluluklarındaki bir değişiklik Kurum faaliyetlerinin niteliği ve çalışanların kaynaklara bizzat erişiminin mümkün olması, kaynakların yanlış dağılımına neden olabilir. Dış Faktörlere örnekler : Yeni yasa ve düzenlemeler; Doğal afetler; Faaliyet ve bilişim sistemlerinde değişiklikler Ekonomik değişkenler; finans, harcama ve araştırma-geliştirme faaliyetleri hakkındaki kararları etkiler.
Risklerin Tespitinde Kullanılabilecek Yöntemler PESTLE Analizi (Politik, Ekonomik, Sosyal, Teknolojik, Yasal, Çevresel) GZFT Analizi (Güçlü ve Zayıf Yönler, Fırsatlar ve Tehditler) Beyin Fırtınası
Risklerin Tespit Edilmesine İlişkin İpuçları Riskle ilgili kanıtların var olup olmadığı göz önünde bulundurulmalıdır. Farklı uzmanlıkların yer aldığı bir çalışma ekibi riskleri tespit etme olasılığını artırır.
Risk Tespiti Sürecinde Sorulabilecek Sorular Hedeflere ulaşma yolunda neler ters gidebilir ? Kritik süreçlerimiz nelerdir? Paydaşlarımız kimlerdir? Hangi varlıklarımız kritik öneme sahiptir? Usulsüzlük ve yolsuzluk alanları neler olabilir? Faaliyetlerimiz hangi olaylar karşısında aksayabilir? En fazla harcama yaptığımız alanlar hangileridir? Hangi tür işlemler başarısız olmamıza sebep olabilir?
Risklerin Değerlendirilmesi İdarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin değerlendirilmesidir. Risklerin ölçülmesi, önceliklendirilmesi ve kaydedilmesi aşamalarını kapsar.
Riskleri Değerlendirirken Göz Önüne Alınması Gereken Sorular Hedefler nelerdir? Mevcut kontroller nelerdir? Risk gerçekleşirse hedefler üzerindeki olası sonuçları nelerdir? Başka bir birimin faaliyeti bizim riskimizi etkiler mi? Paydaşlarımız kimlerdir?
Riskleri Değerlendirmenin Aşamaları 1- Risklerin Ölçülmesi : Her risk için etki ve gerçekleşme olasılığının tespit edilmesi. Risklerin doğal risk ve kalıntı risk esasına göre değerlendirilmesi.
Riskleri Değerlendirmenin Aşamaları 2- Risklerin Önceliklendirilmesi Risk puanı belirlendikten sonra risklerin, önem derecesine göre en yüksek puandan başlamak üzere sıralanmasıdır.
Riskleri Değerlendirmenin Aşamaları 3-Risklerin kaydedilmesi : Risk kayıtları iki aşamadan oluşur : a) Risklerin tespit edilip kaydedilmesinde kullanılan Risk Kayıt Formu. b) Risklerin yukarı kademelerdeki yöneticilere raporlanmasında kullanılan Konsolide Risk Raporları.
Risk Değerlendirme İçin İpuçları Bir işin riskini en iyi o işi yapan kişinin değerlendireceğini göz önünde bulundurun. Başka birimlerin faaliyetlerinin riskinizi etkileyebileceğini dikkate alın. Tüm riskleri bir arada görebilmek için risk haritaları ve tablolardan yararlanın.
Modernization of Observation Network Etki Düzeyi Değerlendirme Riskin etkisini tahmin ederken sorulabilecek bazı sorular şunlardır: Risk gerçekleştiği takdirde; Çalışanların uğrayabileceği fiziksel zararın boyutu ? Kurumun uğrayabileceği finansal kaybın boyutu ? Kurumun kaybedeceği itibarın boyutu ?
Risk Değerlendirmesi: Olasılık ve Etki Analizi Orta Risk Yüksek Risk Çok Düşük Risk Yüksek Orta Düşük Etki Düşük ORTA Yüksek
Risk Değerlendirmesi ve Cevap Matrisi Etki Risklere Verilebilecek Cevaplar Yüksek İş Sürekliliği Planı Kabul Etmek Kontrol Etmek Devretmek Kaçınmak Düşük Olasılık
Risklere Cevap Verilmesi Risklere cevap verilmesi, idare tarafından tespit edilen ve risk iştahları çerçevesinde değerlendirilen risklere verilecek karşılığın ne olacağının belirlenmesi ve bu bağlamda beklenen tehditlerin azaltılması veya ortaya çıkacak fırsatların değerlendirilmesidir. Risklere cevap vermenin amacı, riskin olasılığını veya etkisini azaltarak hedefe en etkin bir şekilde ulaşmaktır.
Riske Cevap Verme Yöntemleri Kabul etmek Kontrol etmek Devretmek Kaçınmak
Kabul Etmek Doğal risk, risk iştahı içindeyse kabul edilir. Alınacak önlemlerden sağlanacak faydanın, alınacak önlemlerin maliyetinden daha düşük olduğunun anlaşılması durumunda kabul edilir. Bazı riskler faaliyet sonlandırılmadıkça ortadan kalkmaz. Bu durumda risk kabul edilir.
Kontrol Etmek Yönlendirici kontroller Önleyici kontroller Tespit edici kontroller Düzeltici kontroller
Devretmek İdarenin asli görev alanına girmeyen veya fayda-maliyet açısından idare tarafından yapılması uygun görülmeyen ve bu anlamda riskleri yüksek olduğu değerlendirilen faaliyetlerin, uzmanlığı olan başka bir kuruluşa devredilmesi şeklinde riske cevap verilmesidir.
Kaçınmak Risk yönetilemeyecek kadar büyükse veya faaliyet hayati öneme sahip değilse, faaliyete son vermek mümkündür.
Risklere Nasıl Cevap Veririm? 1- Riskleri ve fırsatları analiz sonuçlarına göre sırala 2-Riskin içeriğine göre cevabını belirle : Kabul et Kontrol et Devret Kaçın 3-Verilecek cevabın faydasının, getireceği maliyetten yüksek olmasına dikkat et.
Risklere Cevap Verme Aşamasında Göz Önüne Alınması Gereken Sorular Riski kabul edersem ne olur? Riskten kaçınmak adına faaliyeti başka bir döneme ertelemek veya başka bir faaliyetle ikame etmenin hedeflerim üzerindeki etkisi nedir? Fırsatın büyüklüğü riski almaya değer mi?
Risklerin Gözden Geçirilmesi ve Raporlanması Riskler zaman içerisinde çeşitli koşulların değişmesi veya alınan önlemler sonucu etki ve olasılık yönünden değişiklik gösterebilir. Gözden geçirmeler yılda en az bir kez olmak üzere, risklerin önem derecesine göre idare tarafından belirlenen sıklıkta olabilir.
Riskleri Gözden Geçirme İpuçları Faaliyetin özelliğine göre gözden geçirme dönemleri belirle. Kilit riskleri sıklıkla gözden geçir. Riskin hala kabul edilebilir seviyenin altında olup olmadığına karar ver. Riskin durumundaki değişikliğe göre risklere verilen cevapların durumunu da gözden geçirmek gerekir. Tespit edilen bulguları risk kaydına işle.
Raporlama Raporların mümkün olduğunca kısa ve öz bilgilerden oluşması, ilgili olması, değerlendirmelere ilişkin kanıtları göstermesi, gerektiği zamanda ve gerekli kişilere sunulması özel önem taşımaktadır.
Deneyimlerden Ders Çıkarılması Risklerle başa çıkabilme büyük oranda deneyimlere dayanmaktadır. Aynı hiyerarşik seviyedeki birimlerin, birbirlerinden riskleri nasıl yönettiklerini öğrenmeleri ve iyi örnekleri kendilerinde de uygulamaları faydalı bir yöntemdir.
Dinlediğiniz için Teşekkürler