Modernization of Observation Network DEVLET METEOROLOJİ İŞLERİ GENEL MÜDÜRLÜĞÜ İÇ DENETİM BİRİMİ

Modernization of Observation Network İç Kontrol ve Kurumsal Risk Yönetimi Risk Değerlendirme ve Risk Yönetimi Fatih ATICI Ercan BÜYÜKBAŞ Burhan ORMANOĞLU İç Denetçi İç Denetçi İç Denetçi 08 Şubat 2011

Modernization of Observation Network SUNUM PLANI RİSK KAVRAMI RİSK YÖNETİMİ RİSK BELİRLEME RİSK DEĞERLEME RİSKİ YÖNETME (RİSKE TEPKİ) RİSK YÖNETİMİNDE İÇ DENETİM

1. RİSK KAVRAMI Risk…? “ ”

Risk nedir? 1. RİSK KAVRAMI Sözlük anlamı; Öngörülebilir tehlikeler Zarara uğrama tehlikesi Öngörülebilir tehlikeler Amaca ulaşmayı engelleyebilecek bir olayın ortaya çıkma olasılığı; tehlike Belirli bir amaca veya getiriye ulaşmak için katlanılabilecek ya da amaca ulaşırken karşılaşılabilecek zarar ya da olumsuzluk olasılığı

Risk nedir? 1. RİSK KAVRAMI Zarar, kayıp veya tehlikeye maruz kalma olasılığıdır. Bir hedefe ulaşmayı engelleyecek belirsiz olaylardır. Gelecek ile ilgili bir kavramdır, çünkü gelecek belirsizlik ifade etmektedir. Hedefe erişime engel olacak, zarar, kayıp, dezavantaj veya her türlü negatif etki olasılığıdır. Gelecekte karşılaşılabilecek, kuruluş içi ya da dışından kaynaklanan durum ya da olayların amaçlar üzerindeki olası etkileridir.

1. RİSK KAVRAMI Dünya Riskleri: Küresel ısınma, Hava kirliliği Ülke Riskleri: Ekonomik sıkıntılar, Politik istikrarın sağlanamaması, Ülke güvenliğindeki sorunlar Şirket Riskleri: Ekonomik krizler, İş kazaları, Çevreye verilen zarar Aile Riskleri: Aile fertlerinin güvenliğindeki sorunlar, Evin geçimini sağlamaktaki sıkıntı Kişisel Riskler: Fiziksel/ruhsal sağlıkta bozulmalar

Modernization of Observation Network 1. RİSK KAVRAMI Risk nedir? Risk: Bir işletme veya kurumun stratejik hedef ve amaçlarına ulaşma yeteneğini olumsuz şekilde etkileyebilecek tehditlerin etkisi ve gerçekleşme ihtimalidir. Tehdit: Bir işletme veya kurumu muhtemel riske sokabilecek eylem veya olay Kurumun stratejik, mali ve operasyonel hedeflerini gerçekleştirmesini engelleyecek, olası (belirsiz) her türlü olaylardır. Risk, etki ve olasılık dikkate alınarak ölçülür. (IIA Tanımı)

Modernization of Observation Network

Modernization of Observation Network

Riskin Unsurları? 1. RİSK KAVRAMI Riskin 2 önemli unsuru vardır: a) Risklerin gerçekleşme olasılığı : ihtimal / şans b) Risklerin etkisi: risk gerçekleştiği takdirde meydana gelecek sonuçlar Bu iki unsurun değerlendirilmesi riskin gerçekleştirilmek istenen amaca ne kadar zarar vereceğinin tespit edilmesini sağlar.

1. RİSK KAVRAMI Bir riskin gerçekleşmesi için; Mutlaka bir hedefe ulaşmayı engelleyecek bir tehdidin belirli bir olasılık dahilinde gerçekleşmesi ve belirli bir etki yaratması gerekmektedir

1. RİSK KAVRAMI “Gemilerin en güvende olduğu yerler limanlardır, ancak hiçbir gemi limanda durması için yapılmamıştır”

Riskin Belirsizliği ve Sonucu 1. RİSK KAVRAMI Riskin Belirsizliği ve Sonucu Riskin belirsizliği ve sonucu bir çok etkene bağlıdır: Riskteki varlıklar Tehdidin türü Sonucun süresi Yerinde kontrolün etkinliği

Günlük Hayatta Risklerimiz? 1. RİSK KAVRAMI Günlük Hayatta Risklerimiz? Her sabah işe zamanında gitmek için hangi risklerimiz var ve bunları nasıl yönetiyoruz? RİSK KONTROL Zamanında uyanamama Çalar saat Otobüsü kaçırma Taksi ya da özel araç Trafik sıkışıklığı Alternatif yollar Yol yapımı Alternatif yollar ………..

Günlük Hayatta Risklerimiz? 1. RİSK KAVRAMI Günlük Hayatta Risklerimiz? Çok çeşitli risklerle iç içeyiz. Örneğin; Çevresel riskler (Küresel ısınma, doğal felaketler) Sağlık riski (Domuz gribi, kene ısırması) Güvenlik riski (Yol kazaları, iş kazaları) Kişisel riskler (Sokak suçları, fakirlik) İş riski (İflas, işten çıkarılma) İtibar riski (Güven sarsıcı davranışlar) Problemleri gün be gün takip edip çözüm önerileri geliştirerek risklerin etkisi azaltılabilir.

Modernization of Observation Network 1. RİSK KAVRAMI Kendi Risklerimiz? Çalıştığınız birimin maruz kalabileceği riskler nelerdir? Draw out recent press articles that show how companies controls have failed: - Enron, Societe General etc.

Modernization of Observation Network 1. RİSK KAVRAMI Yapısal Risk (Doğal Risk-İçsel Risk) : Yönetimin etki ve veya olasılığını değiştirmek için hiçbir şey yapmadığı, önlem almadığında kurumun karşı karşıya kaldığı risk. (COSO tanımı) Kontrol Riski: Kontrollerin uygun olmamasından, gerektiği gibi yerine getirilmemesinden ötürü karşılaşılan risklerdir Kalıntı Risk (Artık Risk-Bağıl Risk): Yönetimin ters bir olayın etki ve olasılığını azaltmak için aldığı kontrol aktivitelerini de içeren önlemlerden sonra kalan risk. (IIA Tanımı)

Modernization of Observation Network 1. RİSK KAVRAMI Risk - Kontroller = Riske Açıklık (Brüt Risk) (Risk Yönetimi) (Net Risk) (Yapısal Risk) (İnsan Kaynakları) (Kalıntı Risk) (İçsel Risk) (Bilgi Sistemleri) (Artık Risk) (Doğal Risk) (Geçmiş Risk Deneyimi) (Bakiye Risk)

Satın Alma Süreçlerinde Doğal Riskler Nelerdir? 1. RİSK KAVRAMI Satın Alma Süreçlerinde Doğal Riskler Nelerdir? Doğru/ihtiyaç duyulan malın alınmaması Kötü kalite mal alınması Piyasa değerinden çok yüksek fiyatla mal alımı Malın teslim edilmemesi Ödemenin yapılmaması Satın almayı yapan personelin fayda sağlaması Malın garantisinin olmaması, vs.

Kontroller? 1. RİSK KAVRAMI Bu doğal riskleri azaltmak için ne tür önlemler alınabilir 1.      İhtiyaç duyulan malın özelliklerinin belirlenmesi 2.      Piyasa araştırması yapılarak fiyat tespiti 3.      Mal tesliminden sonra ödeme yapılması 4.      Ödemenin doğrudan banka kanalıyla yapılması 5.    Mal alımı için bir satın alma komisyonunun oluşturulması

Kalıntı/artık riskler 1. RİSK KAVRAMI Kalıntı/artık riskler Bu önlemlere rağmen hangi riskler halen mevcuttur? Mal ihtiyaçlara tam cevap vermeyebilir(teknik şartname iyi belirlenmemiştir ya da malı talep eden kullanıcı ihtiyaçlarını doğru tespit edememiştir) Mal yüksek fiyattan alınmış olabilir (piyasa araştırması yeterli , özenli yapılmamıştır) Garanti olduğu halde malı üreten şirket iflas edebilir ve garanti hükümsüz kalır, vs. Burada dikkat edilmesi gereken, önlemlerin riskleri tamamen ortadan kaldırması mümkün olmasa bile, etki ve/veya olasılığı ne kadar düşürdüğüdür

2. RİSK YÖNETİMİ Risk Yönetimi Nedir? Kurumun hedeflerini gerçekleştirebilmesi için makul bir güvence sağlamak üzere, olası olay veya durumların önceden belirlenmesi, değerlendirilmesi ve kontrol edilmesinden oluşan bir süreçtir. (IIA Tanımı)

Potansiyel risklerin; -Tehlikeye dönüşmeden, -Sistematik olarak, 2. RİSK YÖNETİMİ Risk Yönetimi Nedir? Potansiyel risklerin; -Tehlikeye dönüşmeden, -Sistematik olarak, -Olası zararların etkisini azaltıcı yönde, -Verilere dayalı şekilde, yönetilmesidir.

2. RİSK YÖNETİMİ Risk Yönetimi Nedir? Alınan kararların etkilerini belirleme, önceliklendirme, azaltma ve ölçmeyi mümkün kılarak organizasyonlarda istikrar sağlayan bir mekanizmadır. Risklerin belirlenmesi, değerlendirilmesi, yönetilmesi ve izlenmesi adımlarını içerir. Potansiyel risklerin sistematik olarak değerlendirilerek, olası zararların etkisini azaltıcı yönde, verilere dayalı karar vermeyi sağlayan yönetim sürecidir.

Kurumsal Risk Yönetimi Nedir? İdareyi etkileyebilecek riskleri tanımlamak, bunları idarenin kurumsal risk alma profiline uygun olarak yönetmek ve idarenin hedeflerine ulaşması ile ilgili makul düzeyde bir güvence sağlamak amacıyla oluşturulan ve idarenin üst yönetimi ile tüm diğer çalışanları tarafından stratejilerin belirlenmesinde kullanılan ve tüm süreçlerde yürütülen bir faaliyettir.

2. RİSK YÖNETİMİ Risk yönetiminde esas olan; Riskin tümüyle engellenmesi değil, sorunlara sistematik ve dikkatli bir şekilde yaklaşılması ve almaya karar verilen risklerin dikkatli yönetimi yoluyla gereksiz kayıpların engellenmesidir Başarılı bir risk yönetimi için, kurumun varlıklarına ve hedeflerine yönelik riskleri belirlemek, analiz etmek, denetim altında tutmak ve izlemek gereklidir

Risk Yönetimi Basamakları Kurumun/birimin stratejik amaç ve hedeflerinin belirlenmesi Risklerin belirlenmesi Risklerin değerlendirilmesi (önceliklendirilmesi) Kök nedenlerin analizi Eylem planları ve izleme

Yönetim kontrol döngüsü 2. RİSK YÖNETİMİ Yönetim kontrol döngüsü Hedefler Riskler Kontroller Güvence Risk yönetimi

COSO KURUMSAL RİSK YÖNETİMİ ÇERÇEVESİNİN UNSURLARI

Modernization of Observation Network 2. RİSK YÖNETİMİ İyi yönetilen kurumlarda belirlenen amaçlara ulaşmayı engelleyebilecek risklerin ortaya çıkarılması ve değerlendirilmesi amacıyla kullanılan süreçler mevcuttur. Bunun üzerine kontroller de eklenerek risklerin azaltılması sağlanır. Kurum / süreçler Hedefler Kontroller Risk

Modernization of Observation Network 2. RİSK YÖNETİMİ ...Bu şekilde amaçlar, riskler ve kontroller devam eden bir sürecin parçası olarak birbirleriyle bağlantılı hale gelirler. Risk değerlendirme süreci Risk tolerans seviyesinin belirlenmesi Risklerin belirlenmesi Kontrollerin belirlenmesi Kontrollerin değerlendirmesi Kontrollerin geliştirilmesi Sürekli gözlem Amaçların belirlenmesi

Kurumun stratejik amaçları Tehditler ve Fırsatlar Risk Yönetim süreci Kurumun stratejik amaçları hedefler Risk değerlendirmesi Risk analizi tamamlandıktan sonra risk değerlendirme aşaması, riskin kurum açısından önemi ve her bir riskin üstlenilip üstlenilmeyeceği ve riski bertaraf etmek için alınacak önlemler konularında karar verilebilmesi için gereklidir. Risk analizi Risk tespiti Risk tanımı Risk tahmini riskler Risk değerleme Risk raporlama Tehditler ve Fırsatlar Karar Risk önlemleri kontroller Artık risk raporlama İzleme

Risk Yönetimi İçin Temel Sorular Kurumun/birimin stratejik amaç ve hedefleri nelerdir? Kurum/birim bu amaç ve hedeflerini gerçekleştirmede hangi durumlarda başarısız olabilir? Bu başarısızlıklar nelere sebep olabilir? Bu başarısızlıkların etkileri neler olacaktır? Şu anda bu tür başarısızlıkları önlemek, tespit etmek veya düzeltmek için neler yapılıyor? Bu tür bir başarısızlık riskine ne seviyede açığız? Risklerimizi daha iyi yönetmek için uygun maliyetlerle ne tip ilave eylemler gereklidir? Risk yönetimimizin ve kontrollerimizin etkinliği ve güvenliğine dair güvenceyi nasıl alırız?

2. RİSK YÖNETİMİ RİSK YÖNETİMİNİN İLKELERİ Değer yaratmalı ve korumalı İş süreçlerinin bir parçası olmalı Karar alma mekanizmasının bir parçası olmalı Bilinmezliği bilinir hale getirmeli Sistematik ve planlı yapılmalı Eldeki bilgiye dayanmalı Organizasyona uyarlanmalı İnsan ve kültür faktörünü dikkate almalı Açık ve kapsamlı olmalı Dinamik, sürekli gözden geçirilen ve değişime açık olmalı Sürekli gelişimi kolaylaştırmalı

COSO - Risk Değerlendirmesi Modernization of Observation Network 3. RİSK BELİRLEME COSO - Risk Değerlendirmesi Organizasyona yönelik risklerin belirlenmesi Risklerin değerlendirilmesi (etki ve olasılık) Hedefler, riskler ve kontroller arasında bağlantının sağlanması ile daha etkin Risk bilgisinin gözden geçirilmesi ve raporlanmasına yönelik prosedürler Kontrollerin revizyonu ya da yeni kontroller Operasyonlar Finansal Raporlama Uyum İzleme Bilgi ve İletişim Kontrol Faaliyetleri Risk Değerlendirmesi Kontrol Ortamı 11

Amacımız ve Riskten korumaya çalıştığımız şey ne? 3. RİSK BELİRLEME Amacımız ve Riskten korumaya çalıştığımız şey ne? Kendimiz? Yöneticimiz? Çalışanlarımız? Kurumumuz? Ortaya çıkacak ürünümüz? İtibarımız? Bütçemiz? Paydaşlarımız? Risklerimiz perspektifimizle doğrudan ilişkilidir.

3. RİSK BELİRLEME Risk Kategorileri Risk faktörleri belirlenerek, kurumun maruz kalacağı risklerin sınıflandırılması, riskin belirlenmesi ve analizinde kolaylık sağlar. Finansal (mali) Riskler Yolsuzluk Riski İnsan Kaynağı Riskleri İmaj-İtibar Riski Yasal Uygunluk Riskleri Bilgi Sistemleri Riskleri Stratejik Riskler Operasyonel Riskler, vs

Modernization of Observation Network 3. RİSK BELİRLEME Her bir amaçla ilgili riski belirlerken şu soruları sormalıyız Ne ters gidebilir? Sürecin hangi aşamasında zayıflık var? Hangi varlıkları korumalıyız? Varlıklarımızı nasıl kaybedebiliriz? Yasal olarak en zayıf noktamız nedir?

Modernization of Observation Network 3. RİSK BELİRLEME Kurumun, riski tanımlamak için seçtiği yol özel bir önem taşımaz. Önemli olan, yönetimin riskleri arttıran ve ona katkıda bulunan faktörleri dikkatle incelemesidir. Riski tanımlamada dikkate alınacak bazı faktörler; hedeflere ulaşmayı engelleyen eski uygulamalar, personelin kalitesi, yeni düzenlemelere ve personele ilişkin kurumu etkileyecek değişiklikler, coğrafi olarak dağınık haldeki faaliyetlerin varlığı, faaliyetlerin kurum içi önemi ve karmaşıklığıdır.

İç ve Dış Kaynaklı Riskler Modernization of Observation Network 3. RİSK BELİRLEME İç ve Dış Kaynaklı Riskler Kurum genelindeki riskler iç veya dış kaynaklı faktörlerden doğabilir. İç Faktörlere örnek olarak: Bilgi işlem sistemindeki bir aksaklık, İşe alınan personelin yetkinliği, Yönetimin sorumluluklarındaki bir değişiklik Kurum faaliyetlerinin niteliği ve çalışanların kaynaklara bizzat erişiminin mümkün olması, kaynakların yanlış dağılımına neden olabilir. Dış Faktörlere örnek olarak: Yeni yasa ve düzenlemeler; Doğal afetler; Faaliyet ve bilişim sistemlerinde değişiklikler Ekonomik değişkenler; finans, harcama ve araştırma-geliştirme faaliyetleri hakkındaki kararları etkiler.

Riski Tanımlama Yaklaşımları Modernization of Observation Network 3. RİSK BELİRLEME Riski Tanımlama Yaklaşımları   1.Riske Maruz Kalma Yaklaşımı - Varlıkları etkileyebilecek riskler 2.Çevresel Yaklaşım - Faaliyetleri etkileyebilecek riskler 3.Tehdit Senaryoları - Yolsuzluk ve/veya afetler ile ilgili özelleştirilmiş ve uzmanlaştırılmış risklerin tanımlaması Riski Tanımlama Yaklaşımları   Riski tanımlama için üç temel yaklaşım vardır. Riski tanımlama, denetlenebilir bölüm ve bölümün amaçlara ulaşma yeteneği ile ilgili tehdit ve fırsatların beklentisi ile ilgilidir. 1. Riske Maruz Kalma Yaklaşımı Varlıkları etkileyebilecek risklerin tanımlanması 2. Çevresel Yaklaşım Faaliyetleri etkileyebilecek risklerin tanımlanması 3. Tehdit Senaryoları Yolsuzluk ve/veya afetler ile ilgili özelleştirilmiş ve uzmanlaştırılmış risklerin tanımlaması

Riske Maruz Kalma Yaklaşımı Modernization of Observation Network 3. RİSK BELİRLEME Riske Maruz Kalma Yaklaşımı Tesis, makine ekipman gibi Fiziksel Değerler, Nakit, yatırımlar gibi Finansal Değerler, Personel bilgi ve deneyimini de içeren İnsan Kaynakları,  Marka, isim hakkı, bilgi gibi Maddi Olmayan Varlıklar,   1. Riske Maruz Kalma Yaklaşımı :   Yöneticiler işletme amaçlarına ulaşmak için varlıkları riske sokarlar. Riske maruz kalma yaklaşımında, denetçiler uygulamada riske edilen varlıklar üzerinde yoğunlaşmalıdır:  Tesis, makine ekipman gibi Fiziksel Değerler,  Nakit, yatırımlar gibi Finansal Değerler,  Personel bilgi ve deneyimini de içeren İnsan Kaynakları,   Marka, isim hakkı, bilgi gibi Maddi Olmayan Varlıklar, Bu yaklaşımda varlıkların büyüklüğü, tipi, taşınabilirliği ve lokasyonu dikkate alınır. Varlıklar üzerindeki tehdit ve riskler incelenir. Bu yaklaşım amaçlara ulaşmada kullanılan varlıkların yer aldığı süreçlerde kullanılabilecek en iyi yaklaşımdır. İlgili denetlenebilir konular aşağıdaki gibi sıralanabilir: Üretim Süreci İnşaat ve Onarım Operasyonları Para Operasyonları Motorlu Taşıt Filosu Operasyonları Envanter Süreci AR- GE Faaliyetleri Bilgi Sistem Geliştirme Faaliyetleri Öncelikle kilit değerler belirlenmeli bu değerler belirlenirken büyüklükleri, tipleri, taşınabilirlikleri ve lokasyonları göz önüne alınmalıdır. Daha sonra kayba neden olabilecek riskler sınıflandırılmalıdır.

Modernization of Observation Network 3. RİSK BELİRLEME Çevresel Yaklaşım Fiziki çevre ; Bölge, Yerleşim Ekonomik çevre ; Mali unsurlar, Faiz Oranları, Genel Ekonomi Yasal Mevzuat ; Kanunlar, Politikalar, Yönetmelikler Rekabet ; Doğrudan ve Dolaylı Rekabet, Değişiklikler Müşteriler / Ortaklar Tedarikçi Firmalar Teknoloji   Çevresel Yaklaşım   Organizasyon; birçok diğer çevreden oluşan bir dış çevrede kurulur. Bu çevreler;  Fiziki çevre ; Bölge, Yerleşim  Ekonomik çevre ; Mali unsurlar, Faiz Oranları, Genel Ekonomi  Yasal Mevzuat ; Kanunlar, Politikalar, Yönetmelikler  Rekabet ; Doğrudan ve Dolaylı Rekabet, Değişiklikler  Müşteriler / Ortaklar  Tedarikçi Firmalar  Teknoloji Çevresel yaklaşım, mevcut durum ile gelecek beklentilerini ortaya koyar. Amaçların gerçekleşmesini engelleyecek tehdit ve riskleri değerlendirir. Hemen hemen denetlenebilir her ünite çevresel riskten belli ölçüde etkilenmekle birlikte bu yaklaşım, en iyi hizmete yönelik rekabetçi süreçlerde kullanılabilir. Çevresel yaklaşımdaki denetim konuları ;   Satış, Pazarlama ve Dağıtım Fonksiyonları  Banka Muameleleri   Müşteri Hizmetleri Faaliyetleri    Hükümet ve Kamu Hizmetleri  Muhasebe vb. Fonksiyonlar Süreç birtakım dış çevre faktörlerinden etkilenir. Bu unsurlar çevreler listesinden yararlanarak tanımlanmalıdır. Daha sonra mevcut durum ve gelecek beklentileri bağlamında karşılaşabilecek riskler sıralanmalıdır. Çevresel yaklaşım, Maruz kalma yaklaşımından çok daha kişiseldir.

Modernization of Observation Network 3. RİSK BELİRLEME Tehdit Senaryoları   Riske maruz kalacak değerler tanımlanmalıdır. İlgili tehditler ve riskler sıralanmalıdır. Tehdidin değer üzerinde oluşturabileceği sonuçlar sıralanmalıdır. Tehdidin nasıl gerçekleşebileceği listelenmelidir. Tehditler: Hatalar İhmaller Ertelemeler Yolsuzluk Tehdit Senaryoları :   Yolsuzluk ve güvenlik ile ilgili konularda en yararlı yaklaşımdır. Birçok risk değerleme diğer iki yaklaşım ile başlar daha sonra yolsuzluk ve güvenlik ile ilgili tehdit senaryoları oluşturulması şeklinde gerçekleştirilir. Tehdit senaryoları denetimde temel risk değerlemesi içinde kullanılabilir. Bu yaklaşım tecrübeli kişilere ihtiyaç duyulması nedeni ile diğer iki yaklaşım kadar sık kullanılmaz. Tehdit senaryoları devreler ile sınırlıdır. Tespit edilen tehditlerin sonuçları zamanla değiştiği için her senaryo kesin bir zaman dilimini yansıtır. Belli bir zamanı ifade eden senaryolardır. Tehdit senaryoları kısa – orta – uzun dönemli senaryolar olabilir. Kısa dönem tehditler ; Hatalar İhmaller Ertelemeler Yolsuzluk Tehdit senaryoları yaklaşımında öncelikle riske maruz kalacak değerler tanımlanmalıdır. Daha sonra değer ile ilgili tehditler ve riskler sıralanmalıdır. Tehdidin değer üzerinde oluşturabileceği sonuçlar sıralanmalıdır. Tehdidin nasıl gerçekleşebileceği listelenmelidir. Eğer, tehdit senaryolarının ana amacı yolsuzluk ise senaryo yolsuzluk ile ilgili üç unsuru içermelidir. 1-  Hırsızlık ; Varlık nasıl çalınır. 2-  Gizlenme ; Hırsızlık nasıl saklanır. 3- Kullanma ; Çalışanlar hırsızlıkta nasıl kullanılır. (isteyerek veya farkında olmadan) Yolsuzluk ve Güvenlik ile ilgili yapılan senaryoların dokümanı, kötü niyetli kişilere yol gösterici olmaması için çok gizli tutulmalıdır.

3. RİSK BELİRLEME Örnek Risk Belirleme Birim: Elektronik Gözlem Sistemleri Şube Müdürlüğü Amaç/Hedef: Yüksek atmosfer gözlemlerinin güvenli ve sürekli bir şekilde yapılması Faaliyet/süreç: Balonu şişirmek için hidrojen gazı üretimi Risk: Hidrojen gazı üretimi esnasında patlama ve yangın riski Kontrol Faaliyeti: Gaz algılama ve yangın söndürme sistemlerinin kurulması ve işletilmesi Risk Sorumlusu: İMİD Başkanı, EGS Şb. Md., Bölge Md., Radyosonde İst. Md. Sonuç: Hidrojen gazı üretimi ve balon şişirme işleminin daha güvenli yapılarak, yüksek atmosfer gözleminin gerçekleştirilmesi

Bu değerlendirme ışığında riskin önem düzeyi ve önceliği belirlenir. 4. RİSK DEĞERLEME Risk değerlemesi, kurum/işletme hedeflerinin elde edilmesine yönelik olan risklerin tanımlanması ve analiz edilmesidir. Risklerin nasıl yönetilmesi gerektiğinin belirlenmesine baz teşkil eder. Risklerin değerlemesi 2 temel kriter dikkate alınarak yapılır: a) riskin gerçekleşme olasılığı b) riskin etkisi Bu değerlendirme ışığında riskin önem düzeyi ve önceliği belirlenir.

Gerçekleşme olasılığı değerlendirme 4. RİSK DEĞERLEME Gerçekleşme olasılığı değerlendirme Olasılığı tahmin ederken sorulabilecek sorular: Daha önce bu kurumda/bölümde/süreçte gerçekleşti mi? Bu kuruma/bölüme/sürece benzer kurum/bölüm/süreçlerde daha önce gerçekleşti mi? Konuyla ilgili istatistiki bilgi var mı? Bu risk unsurunu gerçekleştirmenin kolaylık derecesi? Önümüzdeki hangi periyotta gerçekleşmesi öngörülüyor?

Gerçekleşme olasılığı değerlendirme 4. RİSK DEĞERLEME Gerçekleşme olasılığı değerlendirme Yüksek (3): Bir yıllık zaman dilimi içinde gerçekleşme olasılığının bulunması Göstergeler Gelecek on yıl içinde bir çok defa gerçekleşme potansiyeli Son iki yıl içinde gerçekleşmiş olması Dış etkenler nedeniyle kontrolün çok güç olması Orta (2): On yıllık zaman dilimi içinde gerçekleşme olasılığının bulunması Gelecek on yıl içinde birden fazla gerçekleşme potansiyeli Dış etkenler nedeniyle kontrol güçlüğü çekilmesi Faaliyetle ilgili geçmiş deneyimler Düşük (1): On yıllık zaman dilimi içinde gerçekleşme olasılığının bulunmaması Şu ana kadar hiç gerçekleşmemiş olması Gerçekleşmesi halinde büyük şaşkınlık yaratacak olması

Modernization of Observation Network 4. RİSK DEĞERLEME Etki düzeyi değerlendirme Riskin etkisini tahmin ederken sorulabilecek sorular: Risk gerçekleştiği takdirde, Çalışanların uğrayabileceği fiziksel zararın boyutu? Kurumun uğrayabileceği finansal kaybın boyutu? Kurumun kaybedeceği itibarın boyutu? Medyaya yansıması takdirinde lokal, ulusal ya da uluslararası haber olma durumu? Etki ve sonuçların ciddiyeti ve büyüklüğü: Sonuçların ciddiyeti ve büyüklüğü iç kontrollerin tipine, etkinliğine ve verimliliğine bağlıdır. Sonuçlar amaçlara ulaşma olasılığı üzerinde mutlaka yüksek seviyede riskli denebilecek maddi etki yapmalıdır. Bazı kontroller maddi olmayan olaylarda sonuçları azaltır. Maddi olmayan veya amaçlara ulaşılabilirliği etkilemeyen sonuçları içeren riskler değerlendirmeden elimine edilmelidir. Bu iç kontroller, maddi olmayan veya denetim programında test edilmiş düşük seviyede etkili sıklıkla ortaya çıkan sonuçları azaltır.

Etki düzeyi değerlendirme 4. RİSK DEĞERLEME Etki düzeyi değerlendirme Yüksek (3): Göstergeler Kamuoyunun son derece duyarlı olması Kurumun temel hedefleri üzerinde hayati etkilerinin söz konusu olması Mali sonuçlarının çok büyük boyutta olması Orta (2): Kamuoyunun önemli derecede duyarlılık göstermesi Kurumun temel hedefleri üzerinde önemli etkilerinin olması Mali sonuçlarının kaygı verici boyutta olması Düşük (1): Kurumun temel hedefleri üzerinde düşük derecede etkili olması Kamuoyu duyarlığının düşük düzeyde olması Mali sonuçlarının tolere edilebilir düzeyde olması

4. RİSK DEĞERLEME Önemlilik düzeyi Yüksek Önemlilik düzeyi 6-9 arasında olan riskler grafikte kırmızı alanda yer alır. Bu riskler kurum için çok önemlidir ve bunlara karşı önlem alınması çok gereklidir. Konu ile en üst yöneticinin mutlaka ilgilenmesi ve politika belirlemesi gerekir Risk düzeyinin yüksek olması, artık risk düzeyinin göze alınabilen risk seviyesinden oldukça yüksek olduğu anlamına gelir Orta Önemlilik düzeyi 3-5 arasında olan riskler grafikte sarı alanda yer alır. Orta düzey, artık risk düzeyinin göze alınabilen risk düzeyinden biraz yüksek olduğu durumdur Düşük Önemlilik düzeyi 1-2 arasında olan riskler grafikte yeşil alanda yer alır. Riskin önemlilik düzeyinin düşük olması; artık risk ile göze alınabilen risk seviyesinin aynı veya yakın olduğu anlamına gelir

4. RİSK DEĞERLEME Risklerin Değerlendirilmesi ve Önceliklendirilmesi

Gerçekleşme olasılığı değerlendirme 4. RİSK DEĞERLEME Gerçekleşme olasılığı değerlendirme

Etki düzeyi değerlendirme 4. RİSK DEĞERLEME Etki düzeyi değerlendirme

Etki düzeyi değerlendirme 4. RİSK DEĞERLEME Etki düzeyi değerlendirme

Modernization of Observation Network 4. RİSK DEĞERLEME Mutlak Risk Matrisi

Modernization of Observation Network 4. RİSK DEĞERLEME Etki vs. Olasılık Yüksek Orta Risk Yüksek Risk E T K İ Paylaşmak Azaltmak & Kontrol etmek Düşük Risk Orta Risk Kabul etmek Kontrol etmek Düşük OLASILIK Yüksek

Risk Önceliklendirmesi 4. RİSK DEĞERLEME Risk Önceliklendirmesi olasılık Etki Kabul edilemez risk yüksek orta düşük Kabul edilebilir risk

Risk Değerlendirmede Karşılaşılan Temel Sorunlar Modernization of Observation Network 4. RİSK DEĞERLEME Risk Değerlendirmede Karşılaşılan Temel Sorunlar a-Risk değerlendirmeleri olasılık ve etki konularında farklı bakış açılarının doğmasıyla sonuçlanabilir, (örneğin yüksek riske dair ortak bir tanımın yapılamaması) b-Riskin tam kapsamı, örneğin riskin diğer risklerle nasıl karşılıklı ilişki kuruyor olduğunun ve kuruluşun geri kalanını nasıl etkilediğinin analiz edilmemesi, c-Etki analizinin, maddi kayıp ve diğer etki türleriyle sınırlandırılması. Örneğin itibarın değerlendirilmemiş olması, d-Riskin, birimin ya da çalışanın zayıf noktalarını ortaya çıkarabileceğinden çalışanlar tarafından göz ardı edilmesi.

5. RİSKİ YÖNETME (RİSKE TEPKİ) “Limandakiler, kaptanın hangi fırtınalarla ve zorluklarla mücadele ettiği ile değil, gemiyi limana sağ salim getirip getirmediğiyle ilgilenirler.”

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Risklerin önemi ve gerçekleşme olasılığı değerlendirildikten sonra, yönetim risklerin nasıl yönetilmesi gerektiğini göz önüne almalıdır. Bu, risklerle ilgili tahminlere dayalı yargılar ve risk seviyesini düşürmek için yapılacak maliyet analizini içerir. Risklerin önemini veya gerçekleşme olasılığını düşüren çalışmalar yönetimce her gün alınan birçok kararı içerir. Bazen bu çalışmalar, fiilen bu riskleri yok edebilir veya etkilerinin gerçekleşmesini engeller.

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Risk yönetimi; potansiyel risklerin sistematik olarak değerlendirilerek, olası zararlarının etkisini azaltıcı yönde, verilere dayalı karar vermeyi sağlayan yönetimi ifade eder. Riskler tanımlandığında ve analiz edildiğinde, riskleri gidermek her zaman uygun olmayabilir. Bazı riskler küçük olabilir ve dolayısıyla, bunlar için pahalı kontrol süreçlerini uygulamak maliyet etkin olmayabilir.

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Risklerin Potansiyel Etkisini Azaltmada Alternatif Yaklaşımlar (4T Kuralı) Riski kabul etmek (Tolerate) Riskten kaçınmak (Terminate) Riski paylaşmak (Transfer) Riski kontrol etmek/azaltmak (Treat)

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Riski Kabul Etmek Risk yönetim tarafından kabul edilebilir ve riske maruziyeti azaltmak için bir eylem yapılmaz. Bazı riskler, etkileri ve olma olasılıkları düşük olduğundan dolayı küçük sayılır. Bu durumda riski, iş yapmanın bir maliyeti ve bedeli olarak bilinçli bir şekilde kabul etmek ve riskin etkisinin düşük düzeyde kalmasını sağlamak amacıyla riski periyodik olarak izlemek uygun olur.

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Riskten kaçınmak Bir riskin belirli bir teknolojiyi, yöntemi, tedarikçiyi veya satıcıyı kullanmakla bağlantılı olması olasılığı vardır. Risk, o teknolojinin daha sağlam ürünlerle değiştirilmesi suretiyle ve daha kalifiye tedarikçiler ve satıcılar aramak suretiyle bertaraf edilebilir. İş süreçleri belirli risklerden kaçınacak şekilde yeniden tasarlanır veya riske maruziyete sebep olan faaliyetlerden vazgeçilir.

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Riski Paylaşmak Müşteriler, tedarikçiler veya üçüncü taraflarla (sigorta şirketleri gibi) yapılacak sözleşmeler aracılığıyla, riskin veya riske maruz kalmaya neden olan faaliyetlerin bir kısmının devredilmesi, artık riskin üstlenilmesidir. Bunun iyi bir örneği, altyapı yönetimi hizmetinin dış kaynaklardan temin edilmesidir. Böyle bir durumda, tedarikçi, bilgi teknolojisi altyapısının yönetilmesiyle bağlantılı riskleri, asıl kurumdan daha kalifiye ve uzman olması ve daha kalifiye personele erişim imkanına sahip olması sayesinde azaltır.

Riski Kontrol Etmek/Azaltmak Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Riski Kontrol Etmek/Azaltmak Riske maruziyet seviyesini ve/veya etkilerini asgari düzeye indirmek için kontrollerin geliştirilmesi (artık riski kabul etmeyi de içerir) Diğer seçeneklerin mevcut olmadığı veya yüksek maliyet taşıdığı durumlarda, riskin gerçekleşmesini önlemek veya etkilerini asgari düzeye indirmek amacına yönelik uygun kontroller bulunmalı ve uygulanmalıdır.

Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Risk ve Kontrol Riskin seviyesi basitçe şu şekilde gösterilebilir: Etki Olasılık Risk X = Uygun seviyede kontroller konularak risk indirgenebilir… Risk Kontroller Risk (indirgenmiş) - =

Risk Alma İsteği ve Risk Toleransı Modernization of Observation Network 5. RİSKİ YÖNETME (RİSKE TEPKİ) Risk Alma İsteği ve Risk Toleransı Her kurumun hedeflerine ulaşmak için katlanabileceği bir risk düzeyi bulunmaktadır. Zira hiçbir iş yapılmazsa ancak o zaman hiçbir riskle karşılaşılmaz. Bir kurumun risk alma isteği, hedeflerine ulaşabilmek için üstlenebileceği risk düzeyini tanımlar ve bu risk düzeyi, üst yönetim ve yönetişim tarafından tespit edilir. Örneğin, riski alma isteği, bir kurumun yeni ve gelişmekte olan teknolojilerin kullanımında agresif bir rol oynayıp oynamayacağını gösterir. Bir kurumun risk alma isteği, onun faaliyet gösterdiği sektörden ve tâbi olduğu mevzuat ortamından etkilenebilir. Bir kurumun önceden belirlenmiş risk alma isteği ölçütünden ne kadar sapmak istediğini ölçen risk toleransı da, risk alma isteğiyle yakından bağlantılıdır.

Etkili risk yönetiminin faydaları 5. RİSKİ YÖNETME (RİSKE TEPKİ) Etkili risk yönetiminin faydaları Yönetimin gerçekten önemli işlere odaklanmasını sağlar Krizlere karşı daha kısa zamanda müdahale edilmesini sağlar Daha az sürprizle karşılaşılmasını sağlar Doğru işlerin doğru yoldan yapılmasını sağlar Kurumsal amaçlara ulaşılmasında büyük etkisi vardır Genel düzeyde kontrol maliyetlerini düşürür Risk alma, karar alma süreçlerinde yönetime önemli bilgiler sağlar ……

5. RİSKİ YÖNETME (RİSKE TEPKİ) KURUMSAL RİSK YÖNETİMİ (KRY) NEDİR? Kurum genelinde olan ve oluşturulan stratejileri uygulayan, Kurumun yönetim kurulu, yönetimi ve diğer personelinden etkilenen, Kurumu etkileyebilecek potansiyel olayları tanımlamak ve risk kapasitesi içinde yönetmek amacıyla tasarlanan, bir süreçtir.

5. RİSKİ YÖNETME (RİSKE TEPKİ)

5. RİSKİ YÖNETME (RİSKE TEPKİ) KURUMSAL RİSK YÖNETİMİNİN FAYDALARI Gelecekte karşılaşılabilecek zor durumları öngörür Riskler ortaya çıkmadan önlem alınması sağlanır Sürpriz ve kayıplar en aza indirilir Hızlı ve etkili karar almaya yardımcı olur Zaman tasarrufu sağlar Kaynak israfını önler Risklerin makul seviyelerde tutulmasını sağlar Kişileri, yeniliklere açık olma hususunda cesaretlendirir İş sürekliliği sağlanır

Modernization of Observation Network 6. RİSK YÖNETİMİNDE İÇ DENETİM KURUMSAL RİSK YÖNETİMİ İç Kontrol Değerlendirmesi Risk Analizi Risk Analizi İÇ KONTROL İÇ DENETİM

6. RİSK YÖNETİMİNDE İÇ DENETİM Kurumsal risk yönetimi İç denetimin rolü Kurumun amaçları Kurumsal risk yönetimi İç denetimin rolü Denetim ihtiyaçlarını belirleme Risklerin amaçlara etkisi Denetim stratejisi & periyodik planlar Kontroller Risk yön. ve kontrollerin değerlendirilmesi Bireysel görevlendirme Kontrollerin etkinliği ve yeterliliği konusunda güvence kazanma Risk yön. + yönetişim + kontrollerle ilgili yıllık rapor (güvence sağlama)

Modernization of Observation Network 6. RİSK YÖNETİMİNDE İÇ DENETİM İç denetim ve Risk İç denetim, çalıştığı kuruluşa risklerin tespit edilmesi ve değerlendirilmesinde yardımcı olur. Kuruluşun risk yönetim sistemini gözetir ve değerlendirir, gelişimine katkıda bulunur. Aynı zamanda, risk yönetimi yaklaşımının, karşılaşılan risklere göre sürekli uyarlanmasında hazırladığı raporlarla rol alır.

Risk yönetiminde iç denetçinin temel rolü 6. RİSK YÖNETİMİNDE İÇ DENETİM Risk yönetiminde iç denetçinin temel rolü -Risk yönetim süreçlerine güvence verme -Risklerin doğru bir şekilde değerlendirildiğine güvence verme -Risk Yönetim süreçlerini değerlendirme -Temel risklerin raporlanmasını değerlendirme -Temel risklerin yönetimini gözden geçirme

Risk yönetiminde iç denetçinin yasal olarak yapabilecekleri 6. RİSK YÖNETİMİNDE İÇ DENETİM Risk yönetiminde iç denetçinin yasal olarak yapabilecekleri -Risklerin tespiti ve değerlendirmesine yardımcı olma -Risklerle başa çıkma konusunda koçluk yapma -Kurumsal risk yönetimi çalışmalarının koordinasyonu -Risklerle ilgili konsolide raporlama yapma -Risk yönetim çerçevesi geliştirme -Risk yönetim sistemi kurulmasını desteklemek/savunmak -Yönetim kurulunun onayına sunmak üzere risk yönetim stratejisi geliştirmek

Risk yönetiminde iç denetçinin üstlenemeyeceği roller 6. RİSK YÖNETİMİNDE İÇ DENETİM Risk yönetiminde iç denetçinin üstlenemeyeceği roller -Risk iştahını belirleme -Risk yönetim süreçleri empoze etme -Risklerle ilgili yönetim yerine geçerek güvence verme -Riske karşı önlemler konusunda karar alma -Yönetim adına risk önlemlerini uygulama -Risk yönetimi ile ilgili hesap verme sorumluluğu üstlenme

teşekkürler