Embed Size (px)
Citation preview
RİSK STRATEJİ BELGESİ
Şubat 2016
İÇİNDEKİLER TABLOSU
RİSK YÖNETİMİ....................................................................................................................................1
RİSK YÖNETİMİNE İLİŞKİN ROL VE SORUMLULUKLAR............................................................5
HİTİT ÜNİVERSİTESİ RİSK YÖNETİMİ SÜRECİ..............................................................................9
EK: HİTİT ÜNİVERSİTESİ RİSK DEĞERLENDİRME TABLOSU………………….…………….16
RİSK YÖNETİMİ
Risk Nedir?
Literatürde kabul görmüş tek bir risk tanımından söz etmek mümkün değildir. Farklı disiplinler riski farklı şekilde tanımlamaktadır. • ISO (International Organization for Standardization) 31000 standartlarında risk “Belirsizliğin hedefler üzerindeki etkisi” olarak tanımlanmıştır. • COSO (The Committee of Sponsoring Organizations) riski “Olumsuz sonuç doğuracak nitelikte olay” olarak ifade etmektedir. • IIA (Uluslararası İç Denetçiler Enstitüsü) tanımına göre risk “Kurumun stratejik, mali ve operasyonel hedeflerini gerçekleştirmesini engelleyecek her türlü olayın gerçekleşme olasılığı” denilmektedir. • PMI (Proje Yönetim Enstitüsü) riski “Gerçekleştiği takdirde kurum hedefleri üzerinde pozitif veya negatif yönde bir etkisi olabilecek, belirsizliği olan bir olay ya da koşul” olarak tanımlanmıştır. • Matematiksel bir tanıma göre risk: Kayıp ya da kazanç meydana gelme olasılığı ile büyüklüğünün çarpımıdır (Jaafari, 2001).
İç Kontrol Sistemi açısından risk “Kurumun amaç ve hedeflerine ulaşmasını engelleyebilecek her türlü durum ya da koşul” olarak tanımlanmaktadır. Kamu yönetimi açısından risk kavramı ele alındığında, idareler kendilerine tahsis edilen kaynakları amaç ve hedeflerine ulaşmak için kullanırken bu kaynakların kullanımı için alınan kararlar, yürütülen faaliyet, süreç ve projeler beraberinde riskleri de getirir. Risk yönetimi, idarelerin vizyon ve misyonları doğrultusunda belirledikleri amaçlara ulaşmalarına yardımcı olan bir araçtır. Bu bağlamda;
* Amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileceği değerlendirilen olay veya durumlar risk, amaç ve hedefler üzerinde olumlu etkide bulunabileceği değerlendirilen olay veya durumlar ise fırsat olarak tanımlanır.
* Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin amaç ve hedeflerine ulaşmasını etkileyebileceği değerlendirilen olay ya da durumların tanımlanması, değerlendirilmesi ve bunlara uygun cevapların verilmesi ile bu temelde yürütülen tüm faaliyetler Risk Yönetiminin konusunu oluşturur.
1
Kurumsal Risk Yönetiminin Amacı
Kurumsal risk yönetimi idarenin stratejik plan ile belirlediği amaç ve hedeflerine ulaşabilmesi açısından, makul güvence sağlamaya yönelik yönetsel bir araçtır. İdarenin amaç ve hedeflerine ulaşmasında engel olabilecek olası olumsuzlukların belirlenerek yönetilmesini kapsar.
Kurumsal risk yönetimi ile;
İdarenin amaç ve hedeflerine ulaşması, performansının geliştirilmesi, İdarenin sunduğu hizmetlerin ve gerçekleştirdiği faaliyetlerin sürekliliğinin sağlanması
ve kalitesinin geliştirilmesi, Risk yönetiminde fayda-maliyet, maliyet-etkinlik veya gerek görülen diğer analiz
yöntemlerinin kullanılması suretiyle kaynak tahsisinde etkinliğinin artırılması, Olası kayıpların etkilerinin kontrol altında tutulmasını ve bunların neden olacağı
maliyetlerin azaltılması, Mevzuata ve düzenlemelere uygunluğu, Karar alma mekanizmalarının kanıtlara ve risklere dayalı bir yaklaşımla
güçlendirilmesi, İdarenin risklerine ilişkin görev, yetki ve sorumlulukların açıkça belirlenmesini
destekleyerek hesap verebilirliğinin artırılması, İdarelerin kamuoyunda daha olumlu bir imaja sahip olması, Çalışanların sahiplenme ve aidiyet duygusunun artması sağlanır.
Kurumsal risk yönetimi, kurum için önemli iş risklerinin yönetimi için gerekli yetkinliklerin olgunluk seviyesini sürekli olarak daha iyiye götüren bir yapının tesisini hedefler1. Bu doğrultuda, belirlenen ve yönetilen risklerin sürekli ve belirli periyotlarda izlenmesi ve değerlendirilmesi önemlidir. Risk yönetimindeki başarı faktörlerinden biri de risklerin tespitine yöneliktir. Bu amaçla kurumumuzun amaç ve hedeflerine yönelik riskler katılımcı yöntemlerle tespit edilmiştir.
Üniversitemiz 2015-2019 Stratejik Planında, bilimsel faaliyetler, eğitim-öğretim faaliyetleri, kurumsal yapı, yerleşke alanı, paydaşlar ve topluma hizmet alanlarında stratejik amaçlar belirlenmiş olup bu amaçlara yönelik olarak on dokuz adet hedef belirlenmiştir. Bu hedeflere ilişkin riskler belirlenerek üniversitemizi etkileyebilecek olumsuzluklara yönelik stratejiler belirlenmiştir.
Hitit Üniversitesi olarak kurumsal risk yönetimi uygulaması ile Üniversitemizde yürütülen faaliyetleri aksatacak ve Üniversitemizi zarara uğratacak olası tehlikelerin (risklerin) tespiti, risklere yönelik tedbir eylemlerinin belirlenmesi, sürecin izleme ve değerlendirmesi sağlanarak olası olumsuz durumlarda tedbir eylemlerinin yerine getirilmesi planlanmaktadır. Bu çerçevede Kurumumuzun başarısında, mali durumunda ve itibarında kayıplar yaşanmaması adına kurumsal risk yönetimi anlayışının kurum genelinde uygulamaya geçirilmesi amaçlanmaktadır.
2
Kurumsal Risk Yönetimi Modeli
Kurumsal risk yönetimi konusunda Dünya’da birçok ülke uygulama modelleri bulunmakta, bu modellerin amaçları aynı olmakla beraber yöntem ve süreçleri farklılık göstermektedir. Temelde hepsi ISO 31000 standartları çerçevesinde geliştirilmiştir. En çok uygulanan modeller ise;
Avustralya ve Yeni Zelanda Risk Yönetim Modeli, İngiltere Risk Yönetim Modeli, Kanada Risk Yönetim Modeli, Amerika Risk Yönetim Modelidir.
Kurumsal Risk Yönetimi modelleri arasından en yaygın olarak kullanılan ve bilinen modellerden biri Amerika Risk Yönetim Modeli olan Committee of Sponsoring Organzations of the Treadway Commission (COSO) tarafından 1992 yılında oluşturulmuş ve 2002 yılında güncellenerek son halini almıstır. Kurumsal risk yönetim sistemi, stratejilerin oluşturulması ve kurum çapında uygulanması, kurumu etkileme olasılığı olan olayların belirlenmesi, riskleri risk iştahı kapsamında yönetilmesi ve kurum hedeflerine ulaşılmasına yönelik makul güvence sağlayan yönetim ve diğer personel tarafından etki edilen bir süreçtir. Aşağıdaki şekilde COSO Kurumsal Risk Yönetim Modeline ilişkin unsurlar özetlenmektedir.
Kurum veya işletme misyon ve vizyonu doğrultusunda hedeflerini seçer, stratejilerini oluşturur. Burada yatay düzlemde dört bölümde gerçekleştirilmeye çalışılan kurum hedefleri belirtilmekte olup aşağıda buna yönelik açıklama yer almaktadır:
3
• Stratejik – misyonu destekleyen ve misyonla işbirliği içerisinde, yüksek hedefler
• Faaliyetler – kaynakların etkili ve verimli kullanımı• Raporlama – raporlamanın güvenilirliği• Uygunluk - başvurulabilir kanun ve yönetmeliklere uygunluk
Dikey ön sütunda risk yönetimine ilişkin sekiz öğe yer almaktadır. Bunlar;
• İç Ortam – İç ortam ile kastedilen, kurumda çalışanların risk algılamasının nasıl olduğu, risk iştahı, bütünlük ve etik değerler, kurumun faaliyet gösterdiği ortamdır.
• Hedef Belirleme – Hedefler, hedeflere ulaşılmasını etkileyebilecek olası olaylardan önce var olmalıdır. Kurumsal risk yönetimi, seçilen hedeflerin kurumun misyonu ile uyumlu olmasını ve risk iştahı ile uyuşmasını sağlar.
• Olay Tespiti – Kurum hedeflerinin gerçekleştirilmesinde etkili olabilecek iç ve dış olayların tespiti ve risk ve fırsatlar arsında ayrıma gidilmesi. Fırsatlar, yönetimin strateji ve hedef belirleme süreçlerine kanalize edilmelidirler.
• Risk Değerlendirmesi: Riskler, nasıl yönetileceklerine temel oluşturmak üzere oluşma ihtimalleri ve etkileri dikkate alınarak analiz edilmelidirler.
• Riske Yanıt – Çalışanlar; riskten kaçınılması, riskin kabul edilmesi, azaltılması ve paylaştırılması ihtimallerini tespit eder ve değerlendirir.
• Kontrol faaliyetleri: Risklere karşı etkili çözümler üretebilmek için politika ve prosedürler kurulmalı ve uygulanmalıdır.
• Bilgi ve İletişim: Personelin görevini yerine getirmesini sağlayacak bilgi zamanında ve form şeklinde ilgililere iletilmelidir. İletişim, aşağıdan yukarıya, yukarıdan aşağıya, çapraz gibi geniş bir bağlamda ele alınmalıdır.
• İzleme: Kurumsal risk yönetiminin bütünlüğü gözden geçirilmeli ve gerekli olan düzeltmeler yapılmalıdır. İzleme, düzenli izleme faaliyetleri şeklinde olabileceği gibi, ayrı bir değerlendirme veya ikisi bir arada olabilir.
Dikey sağ sütunda ise faaliyetlerin yürütüldüğü kurum düzeyleri belirtilmektedir. Bunlar;
• İşletme seviyesi• Bölüm• Şube• İş birimleri olarak ifade edilmiştir.
Dört hedef kategorisi, stratejik, faaliyetler, raporlama, uyum dikey kolonlarda; sekiz öğe yatay sütunlarda ve kurumun birimleri üç boyutta gösterilmiştir. Bu çizim, kurumun kurumsal risk yönetiminde hedefler, öğeler ve birimler arasındaki bütünlüğü betimlemektedir.
4
COSO Kurumsal Risk Yönetim Modeli ışığında Kamu yönetiminde risk analizi çalışmaları ele alındığında çalışmaların çıkış noktasını Kamu İç Kontrol Sistemi Uyum Eylem Planı içerisinde yer alan Risk Değerlendirme standartları olarak ele alabiliriz. Bu standartlar aşağıda belirtilmiştir.
Standart: 5. Planlama ve Programlama İdareler, faaliyetlerini, amaç, hedef ve göstergelerini ve bunları gerçekleştirmek için
ihtiyaç duydukları kaynakları içeren plan ve programlarını oluşturmalı ve duyurmalı, faaliyetlerinin plan ve programlara uygunluğunu sağlamalıdır. Bu standart için gerekli genel şartlar: 5.1. İdareler, misyon ve vizyonlarını oluşturmak, stratejik amaçlar ve ölçülebilir hedefler saptamak, performanslarını ölçmek, izlemek ve değerlendirmek amacıyla katılımcı yöntemlerle stratejik plan hazırlamalıdır. 5.2. İdareler, yürütecekleri program, faaliyet ve projeleri ile bunların kaynak ihtiyacını, performans hedef ve göstergelerini içeren performans programı hazırlamalıdır. 5.3. İdareler, bütçelerini stratejik planlarına ve performans programlarına uygun olarak hazırlamalıdır. 5.4. Yöneticiler, faaliyetlerin ilgili mevzuat, stratejik plan ve performans programıyla belirlenen amaç ve hedeflere uygunluğunu sağlamalıdır.5.5. Yöneticiler, görev alanları çerçevesinde idarenin hedeflerine uygun özel hedefler belirlemeli ve personeline duyurmalıdır. 5.6. İdarenin ve birimlerinin hedefleri, spesifik, ölçülebilir, ulaşılabilir, ilgili ve süreli olmalıdır.
Standart: 6. Risklerin belirlenmesi ve değerlendirilmesi İdareler, sistemli bir şekilde analizler yaparak amaç ve hedeflerinin gerçekleşmesini
engelleyebilecek iç ve dış riskleri tanımlayarak değerlendirmeli ve alınacak önlemleri belirlemelidir. Bu standart için gerekli genel şartlar:
6.1. İdareler, her yıl sistemli bir şekilde amaç ve hedeflerine yönelik riskleri belirlemelidir. 6.2. Risklerin gerçekleşme olasılığı ve muhtemel etkileri yılda en az bir kez analiz edilmelidir. 6.3. Risklere karşı alınacak önlemler belirlenerek eylem planları oluşturulmalıdır.
RİSK YÖNETİMİNE İLİŞKİN ROL VE SORUMLULUKLAR
Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürlüğü’nün yayımlamış olduğu Kamu İç Kontrol Rehberi incelendiğinde risk yönetimi içerisindeki görev ve sorumluluklar şöyle tanımlanmıştır:
Üst Yönetici5018 sayılı Kanun çerçevesinde en üst düzeyde yetkili ve sorumlu olan üst yönetici
aynı zamanda risk yönetimi konusunda da idaresinin lideri konumundadır. Risk yönetimi konusunda üst yönetici;
Her üç yılda bir idaresinin amaç ve hedefleri doğrultusunda risklerin yönetilmesi konusunda stratejinin belirlenmesini sağlar ve bu stratejinin nasıl uygulayacağını gösteren RSB’yi onaylayarak, söz konusu belgeyi tüm çalışanlara yazılı olarak duyurur.
5
RSB’de risk yönetimi için bu Rehber kapsamında gerekli yapıları (İç Kontrol İzleme ve Yönlendirme Kurulu (İKİYK) gibi) oluşturarak görev ve sorumlulukları açıkça belirler.
Diğer idarelerle ortak yönetilmesi gereken riskler konusunda İdare Risk Koordinatörüne (İRK) gerekli desteği sağlar.
Paydaşlar ve kamuoyuna karşı risklerin yönetilmesinde gerekli hassasiyeti ve katılımcılığı sağlamak konusunda uygun mekanizmalar oluşturulmasını sağlar.
İKİYK ile İRK tarafından kendisine sunulan değerlendirme ve öneriler doğrultusunda geleceğe ilişkin stratejik eylemler belirler.
Risk yönetimi konusunda İKİYK’den ve iç denetim biriminden güvence alır ve idaresinde risklerin etkili yönetilip yönetilmediğine ilişkin kanıtları bakana, mahalli idarelerde ilgili meclise sunar.
Risk yönetimi süreçlerinin tutarlılığının sağlanmasını gözetir. İzleme raporlarını inceler ve risk yönetiminin etkinliğini sağlar. Özellikle stratejik risklerin yönetiminde örnek davranışlar sergiler. Risk yönetiminin tüm aşamalarında çalışanları teşvik eder.
İç Kontrol İzleme ve Yönlendirme Kurulu (İKİYK)Bir üst yönetici yardımcısı veya birim yöneticisi başkanlığında birim yöneticileri veya
görevlendirecekleri yardımcılarından oluşan İKİYK, idarenin risk yönetiminin geliştirilmesine ilişkin politika ve prosedürler oluşturarak üst yöneticinin onayına sunar. Politika ve prosedürleri birimlere bildirir. İKİYK, İRK tarafından kendisine sunulan riskler içerisinden stratejik düzeyde önemli gördüğü riskleri gündemine alır. İKİYK’nin sekretarya hizmetleri SGB tarafından yürütülür. Toplantılara gerek görülmesi halinde idare içerisinden veya dışarısından uzman kişiler davet edilebilir. Risk yönetimi konusunda İKİYK;
İdarenin RSB’sini hazırlayarak üst yöneticinin onayına sunar. İdarenin risk yönetimi kültürünün oluşturulmasında politikalar belirler. Risklerin kurumda tutarlı bir şekilde yönetilmesini gözetir. Harcama birimlerine ait risklerden ortak yönetilmesi gerekenleri ve bunlara ilişkin
politika ve prosedürleri belirleyerek koordine etmesi açısından İRK’ye bildirir. Diğer idarelerle ortak yönetilmesi gereken riskleri belirler ve bunları İRK’ye
bildirerek ilgili idarelerle ortak yönetilmesi konusunda gerekli önlemlerin alınmasını sağlar. İKİYK RSB’de belirledikleri sıklıkta toplanarak idarenin risk yönetim süreçlerinin
etkili işleyip işlemediğini ve risklerde gelinen durumu değerlendirerek üst yöneticiye raporlar. Sayıştay ve iç denetim raporlarından da yararlanarak iyi uygulama örneklerinin tespit
edilmesini ve yaygınlaştırılmasını destekler.
İdare Risk Koordinatörü (İRK)Üst yönetici, yardımcılarından birini veya SGB yöneticisini İRK olarak görevlendirir.
İRK, İKİYK’nin doğal üyesidir ve idarenin risk yönetimi süreçlerinin uygulanması konusunda üst yöneticiye karşı sorumludur. Risk yönetimi konusunda İRK;
Risk yönetimi çerçevesinde Birim Risk Koordinatörlerini (BRK) toplantıya çağırır. Her bir BRK tarafından raporlanan birim risklerinden yola çıkarak Konsolide Risk
Raporunu hazırlar; bu raporu belirlenen dönemlerde İKİYK ve üst yöneticiye sunar. Bu raporla birlikte izlenmesi gereken önemli riskleri ve kendi değerlendirmelerini de raporlar.
Diğer idarelerin İRK’leri ile ortak risk alanlarına ilişkin konuların görüşülmesi ve bunların idare içerisinde koordinasyonundan sorumludur.
Birimlerin risk yönetimi konusundaki ihtiyaçlarını belirleyerek bunu her toplantı öncesinde İKİYK’ye raporlar.
6
İKİYK’nin görüşleri, tavsiyeleri ve kararlarına ilişkin BRK’lere geri bildirim sağlar ve idarenin risk yönetim süreçlerinin tutarlı olması konusunda gerekli önlemleri alır.
Birim Risk Koordinatörü (BRK)BRK, birim yöneticisi tarafından; birimin görevleri ve iç kontrol uygulamaları
konusunda birikim ve tecrübesi olan kişiler arasından belirlenir. Ancak teşkilat yapısının küçüklüğü ve personel sayısının yetersizliği gibi nedenlerle BRK belirlenmesinde güçlük bulunan idarelerde birim yöneticisinin, BRK olması mümkündür. Risk yönetimi konusunda BRK’ ler;
Birimin hedeflerini etkileyebilecek risklerin tespit edilmesini koordine eder ve rehberlik sağlar. Tespit edilen riskleri alt birimlerin bilgi ve uzmanlıklarından yararlanarak faaliyetleri ile eşleştirir ve tüm önemli konuların ele alınmasını sağlar.
Yıllık olarak belirlenen risk kayıtlarını ve ilgili raporları idare tarafından belirlenecek periyotlarla gözden geçirir (aylık, 3 aylık gibi) ve birim yöneticisinin de onayını alarak İRK’ye raporlar.
Alt Birim Risk Koordinatörlerinin (ARK) raporladıkları riskleri birim düzeyinde izler. Mevcut risklerdeki değişiklikleri ve varsa yeni riskleri değerlendirerek birim yöneticisinin uygun görüşünü alarak İRK’ ye raporlar.
Yıllık olarak, daha önce belirlenmiş veya yıl içerisinde ortaya çıkabilecek risklerin iyi yönetilip yönetilmediğine dair kanıtları İRK’ye sunar.
İRK ve İKİYK’nin görüşleri, tavsiyeleri ve kararları doğrultusunda varsa ARK’lere geri bildirim sağlar.
Risk yönetimiyle ilgili eğitim ihtiyaçlarını tespit eder.
Alt Birim Risk Koordinatörü (ARK)Risklerin alt birim düzeyinde yönetilmesinin uygun görüldüğü idarelerde ARK, alt
birim yöneticisi veya görevlendirdiği kişidir. ARK, risk yönetim faaliyetlerinin alt birim düzeyinde koordinasyonundan sorumludur. Risk yönetimi konusunda ARK’ ler;
Alt birim düzeyindeki risklerin tespit edilmesi, değerlendirilmesi, cevap verilmesi, gözden geçirilmesi ve raporlanması görevlerinin yerine getirilmesini koordine eder.
İdarenin risk stratejisine uygun olarak alt birimin faaliyetlerine ait yeni tespit edilen riskleri, risk puanı değişenleri ve bunları azaltmakta kullanılan kontrollerin etkinliğini BRK’nin belirlediği periyotlarla BRK’ye raporlar.
İRK tarafından talep edilen bilgi ve belgeleri de vermekle yükümlüdür.
ÇalışanlarRisk yönetiminin başarısı çalışanların risk yönetimini sahiplenmesine bağlıdır.
Dolayısıyla, her bir çalışan, görev alanı çerçevesinde risklerin yönetilmesinden (risklerin tespit edilmesi, değerlendirilmesi, cevap verilmesi, gözden geçirilmesi ve raporlanması) sorumludur. Risk yönetimi konusunda çalışanlar;
Yeni ortaya çıkan ve değişen riskleri tanımlamak, iletmek ve bunlara cevap vermek yoluyla birimlerinde risk yönetimi süreçlerine doğrudan katkıda bulunur.
Görev alanındaki riskleri, idare tarafından belirlenen yetki ve sorumlulukları çerçevesinde yönetir.
Görev alanındaki risklerin iyi yönetilip yönetilmediği konusunda ARK’ye; ARK bulunmadığı durumlarda BRK’ye gerekli kanıtları sağlar.
Çalışanlar, riskleri tespit etmek ve ilgili risk koordinatörüne iletmek konusunda tereddüt yaşamamalıdır.
İç Denetim Birimi
7
İç denetim birimi, risk yönetimi sürecinin etkili olup olmadığı, risklerin gereken şekilde yönetilip yönetilmediği hususunda incelemeler yaparak üst yöneticiye mevzuatları çerçevesinde gerekli raporlamaları yapar. İdareler risk yönetim sürecinin kurulması ve geliştirilmesinde, iç denetim birimlerinin kolaylaştırıcılık ve eğitim gibi danışmanlık hizmetlerinden yararlanabilirler.
Strateji Geliştirme Birimleriİdarede risk yönetimine ilişkin çalışmaları koordine eder ve iç kontrol sisteminin
değerlendirilmesi kapsamında risk yönetiminin etkinliğini de değerlendirerek belirli dönemler halinde İKİYK’ye raporlar.
Risk yönetimi süreçlerinin idarenin tüm birimlerinde etkin işlemesini sağlamak üzere teknik destek ve rehberlik hizmeti verir.
Risk yönetimine ilişkin eğitim ihtiyaçlarının belirlenmesi, eğitim faaliyetlerinin yürütülmesi ve koordine edilmesinden sorumludur
Risk yönetimine ilişkin idaresindeki iyi uygulamaları belirler, bu uygulamaların yaygınlaştırılması için çalışmalar yapar.
İKİYK’nin ve SGB yöneticisinin İRK olmaması durumunda İRK’nin sekretarya hizmetlerini yürütür.
8
HİTİT ÜNİVERSİTESİ RİSK YÖNETİMİ SÜRECİ
Uygulanacak Risk Metodolojisi
Üniversitemiz 2015-2019 Stratejik Planı oluşturulduktan sonra, Stratejik Planda yer alan amaçlar, hedefler ve bunlara ulaşabilmek için öngörülen faaliyetler risk yönetiminde ele alınmak üzere incelenmiştir. İlk etapta kurumsal riskler üzerine çalışmaktan ziyade, faaliyetleri direkt olarak etkileyen operasyonel risklere yoğunlaşılmıştır. Bu anlamda yapılmış olan bu çalışma, ileriki dönemde yapılacak olan kurumsal risk analizine bir çatı oluşturmaktadır. Risk belirleme sürecinde yürütülen tüm çalışmalarda beyin fırtınası yöntemi ile katılımcılığın esas olduğu bir yol izlenmiştir.
9
Risk Envanteri Oluşturma Süreci ve Risk Belirleme Kriterleri
Üniversitemizde Risk Yönetimi çalışmalarına Strateji Geliştirme Dairesi Başkanlığı tarafından 13-14 Ekim 2015 tarihleri arasında bir eğitim programı ile başlanmıştır. Sayıştay Uzman Denetçisi Yaşar UZUN tarafından verilen eğitim programında kamu mali yönetiminde iç kontrol sistemi ile sistemdeki rol ve sorumluluklara değinilerek iç kontrol sistemi hakkında teorik bilgilere yer verilmiş, Üniversitemiz eylem planı ve eylem planı üzerindeki başarı faktörleri incelenerek
fikir alışverişinde bulunulmuştur. Kurumsal risk yönetimi hakkında teorik bilgilere değinilmesinin ardından Stratejik amaç ve hedefler üzerinde risklerin tespit edilmesi amacı ile bir atölye çalışması gerçekleştirilmiştir. Katılımcılar gruplara ayrılarak seçtikleri amaç ve hedeflere yönelik riskleri tespit etmiş sonrasında yaptıkları sunumlarla fikirlerini diğer katılımcılar ile paylaşmışlardır. Kurumsal süreç yönetimi ve süreç analizleri hakkında teorik bilgiler katılımcılar ile paylaşılmış, iyi uygulama örneklerine yer verilmiştir. Sonrasında yine atölye çalışmasına geçilerek katılımcılara örnek olarak dağıtılan iş akış şemaları üzerine süreç analizleri yaparak süreç içerisindeki riskler ve alınabilecek tedbirleri belirlemeleri istenmiştir. Katılımcılar grup halinde yaptıkları çalışmalardan çıkan sonuçları yaptıkları sunumlarla diğer katılımcılarla paylaşmışlardır. Bu eğitim programı ile üniversitemizde risk yönetimi çalışmalarında nasıl bir yöntem izleneceği hakkında katılımcılar fikir sahibi olarak taslak bir yol haritası çıkartılmıştır.
Sonrasında Strateji Geliştirme Dairesi Başkanlığı (SGDB) koordinesinde yapılan İç Kontrol İzleme ve Yönlendirme Kurulu (İKİYK) toplantısında risk yönetimi ile ilgili gerek süreç, gerekse süreç içerisindeki görev ve sorumluluklar hakkında bilgilendirme yapılmıştır. Operasyonel düzeyde risk envanterinin çıkartılabilmesi için Ek’te bulunan Risk Değerlendirme Formu’nun birinci aşaması olan iş süreçleri envanterinin oluşturulmasına yönelik bir çalışma başlatılmıştır. Buna yönelik olarak SGDB tarafından hazırlanan taslak iş süreçleri envanteri tüm birimlerimize gönderilmiş, birimler tarafından incelenerek envanter hakkında görüşleri istenmiş ve envanterin geliştirilmesi istenmiştir. Envanter oluşturulurken daha çok riskli alanlara yönelik süreçler ele alınmıştır. Bu çalışma ile üniversitemiz faaliyet
10
alanlarına giren tüm iş ve işlemlerin yerine getirilmesini sağlayan iş süreçleri sağlıklı bir şekilde ortaya konulmaya çalışılmıştır.
Tüm birimlerimizden yapılan geri dönüşler neticesinde SGDB tarafından iş süreçleri envanteri konsolide edilmiş ve üniversite bünyesinde ortak bir envanter elde edilmiştir. Bu envanter İKİYK üyelerine gönderilmiş ve tekrar SGDB tarafından ikinci aşama olan risk belirleme hususunda İKİYK üyelerine bilgilendirme toplantısı düzenlenmiştir. Tüm İKİYK üyelerine, belirlenen iş süreçleri envanteri üzerinde risk belirleme çalışmalarını tamamlamaları için bir süre verilmiştir. Bu süre içerisinde tüm birimlerimiz gerek bireysel çalışmalar, gerekse grup çalışmaları ile operasyonel süreçlerde karşılaştıkları riskleri belirlemiş ve SGDB’ye iletmiştir. SGDB tarafından birimlerden gelen riskler konsolide edilerek Üniversitemizin geneline yönelik bir risk envanteri oluşturulmaya çalışılmıştır.
Belirlenen iş süreçleri ve bunlara yönelik tespit edilen risklere ilişkin aşağıda bir örnek verilmiştir.
İŞ SÜREÇLERİ RİSK NO TESPİT EDİLEN RİSKLER
Proje İşlemleri Ödeme Süreci
50 1. Risk: Ödeme veya mahsup işlemi belgelerinin mevzuata uygun olarak hazırlanmaması.
51
3.Risk: AB kaynaklı bilimsel projelerde ödeme yapılan günün banka kuru dikkate alınmakta olup, TL
cinsinden yapılacak ödemeler için bu kura göre hesaplanan ödeme belgelerinin gün içinde işleme
alınamaması.
52
4.Risk: Banka yetkililerince hesap hareketlerimize yönelik eksik dekont verilmesinden dolayı proje
banka hesabına yatan paranın muhasebeleştirilememesi.
535.Risk: Proje kapsamında yapılan harcamalara yönelik
bankaya verilen ödeme talimatlarının gerçekleşmemesi.
556. Risk: Say2000i yazılımı muhasebe kayıtlarındaki ve bankadaki tutarların farklı çıkması. Ödemelerin
hatalı emanet kaydından düşülmesi
11
Konsolide edilen risk envanteri İKİYK onayından geçerek Risk Değerlendirme Formu’nun üçüncü aşamasının doldurulmasına yönelik bir toplantı düzenlenmiştir. Bu toplantıda belirlenen risklere yönelik mevcut kontrollerin, etki ve olasılık düzeylerinin ve riske verilecek cevap ve ek kontrollerin nasıl değerlendirileceği, risk sahiplerinin nasıl belirleneceği hakkında örnek çalışmalarla bilgi verilmiştir.
Birimlerimizin hazırlamış olduğu risk değerlendirme formları SGDB tarafından tekrar konsolide edilerek Üniversitemizin iş süreçlerine yönelik Konsolide Risk Değerlendirme Formu ortaya çıkartılmıştır. Bu aşamada tüm riskler için birimlerimizin belirlediği etki ve olasılılık puanlarının ortalamaları alınarak risklerin kurum düzeyindeki risk puanları hesaplanmıştır. Konsolide Risk Değerlendirme Formu İKİYK tarafından onaylanması ile birim düzeyinde risk sahipleri birim yetkililerince yeniden kontrol edilerek SGDB’ye gönderilmiştir. Böylelikle Üniversitemiz genelini temsil eden Risk Değerlendirme Formu ile birimler düzeyinde Risk Değerlendirme Formları oluşturulmuştur. Bu çalışmalar neticesinde Ek’te yer alan Hitit Üniversitesi Operasyonel Risk Değerlendirme Tablosu ve Birim Risk Değerlendirme Tabloları elde edilmiştir. Üst Yönetici onayı ile Birim Risk Değerlendirme Tabloları birimler düzeyinde personel ile paylaşılacak ve sorumluluklar hakkında bilgi verilecektir.
Risk Değerlendirme Kriterleri
Risklerin değerlendirilmesi, idarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin değerlendirilmesidir. Riskler değerlendirilirken, idarenin karşılaşabileceği potansiyel olaylar ile birlikte idarenin kendine özgü durumu da (örneğin idarenin büyüklüğü, faaliyetlerinin karmaşıklığı, yürüttüğü faaliyetlerde tabi olduğu mevzuat, verilen hizmetlerden yararlananların fazla olması) göz önünde bulundurulmalıdır. Risklerin değerlendirilmesi, riskler tespit edildikten sonra risklerin ölçülmesi, önceliklendirilmesi ve kaydedilmesi aşamalarını kapsar.
Ölçme, her riskin olma olasılığı ve etkisinin hesaplanmasıdır. Önceliklendirme, risklerin ölçme sonucunda aldıkları puanlar doğrultusunda önem derecesine göre sıralanmasıdır. Risklerin kaydedilmesi ise tespit edilen her bir riskin numaralandırılarak yetkili kişiler tarafından onaylanması ve idare tarafından belirlenmiş formlar aracılığıyla kayıt altına alınmasıdır. Risklerin değerlendirilmesi, tespit edilmiş risklere karşılık verilip verilmeyeceğine ve karşılık verilecekse fayda/maliyet dengesi açısından en uygun olan karşılığın seçilmesine yardımcı olur.
Belirlenen risklerin meydana gelme olasılığı ile meydana gelirse faaliyet ve performans hedefi üzerindeki sayısal olarak tahmin veya tespit edilir. Risklerin olasılık ve etki seviyeleri yüksek, orta ve düşük olmak üzere üç düzeyde sınıflandırılır. Risklerin olasılık değeri ile etki değeri çarpılarak, her bir riskin önemlilik seviyesine ilişkin değer elde edilir.
12
Risklerin Olasılık Seviyelerinin Sayısallaştırılması
a)Yüksek Düzey Olasılık: Riskin bir yıllık zaman dilimi içinde gerçekleşme olasılığının yüksek olmasıdır. (1-10) Olasılığı yüksek düzeydeki risklerin olasılık değeri 7 ile 10 aralığındadır.
Yüksek Düzey Olasılık Göstergeleri: Gelecekte birçok defa gerçekleşme potansiyeli Son iki yıl içinde gerçekleşmiş olması Dış etkenler nedeniyle kontrolün çok güç olması
b) Orta Düzey Olasılık: Riskin gerçekleşme olasılığının bulunmasıdır. (1-10) Olasılığı orta seviyedeki risklerin olasılık değeri 4 ile 6 aralığındadır.
Orta Düzey Olasılık Göstergeleri: Gelecekte birçok defa gerçekleşme potansiyeli Dış etkenler nedeniyle kontrol güçlüğü çekilmesi Faaliyetle ilgili geçmiş deneyimler
c) Düşük Düzey Olasılık: Riskin uzun vadede gerçekleşme olasılığının bulunmasıdır. (1-10) Olasılığı düşük seviyedeki risklerin olasılık değeri 1 ile 3aralığındadır.
Düşük Düzey Olasılık Göstergeleri: Şu ana kadar hiç gerçekleşmemiş olması Gerçekleşmesi halinde büyük şaşkınlık yaratacak olması
Risklerin Etki Seviyelerinin Sayısallaştırılması
a) Yüksek Düzey Etki: (7-10) Etkisi yüksek düzeydeki risklerin etki değeri 7 ile 10 aralığındadır.
Yüksek Düzey Etki Göstergeleri: Kamuoyunun son derece duyarlı olması Stratejik ve performans hedefleri üzerinde hayati etkilerinin söz konusu olması Mali sonuçlarının çok büyük boyutta olması
b) Orta Düzey Etki: (4-6) Etkisi orta düzeydeki risklerin etki değeri 4 ile 6 aralığındadır.
Orta Düzey Etki Göstergeleri: Kamuoyunun önemli derecede duyarlılık göstermesi Stratejik ve performans hedefleri üzerinde düşük derecede etkilerinin olması Mali sonuçlarının kaygı verici boyutta olması
c) Düşük Düzeydeki Etki: (1-3) Etkisi düşük düzeydeki risklerin etki değeri 1 ile 3 aralığındadır.
13
Düşük Düzey Etki Göstergeleri: Stratejik ve performans hedefleri üzerinde düşük derecede etkili olması Kamuoyu duyarlılığının düşük düzeyde olması Mali sonuçlarının tolere edilebilir seviyede olması
RİSK HARİTASI
ETK
İ
10 10 20 30 40 50 60 70 80 90 1009 9 18 27 36 45 54 63 72 81 908 8 16 24 32 40 48 56 64 72 807 7 14 21 28 38 42 49 56 63 706 6 12 18 24 30 36 42 48 54 605 5 10 15 20 25 30 35 40 45 504 4 8 12 16 20 24 28 32 36 403 3 6 9 12 15 18 21 24 27 302 2 4 6 8 10 12 14 16 18 201 1 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7 8 9 10
OLASILIK
Bu bilgiler ışığında üniversitemiz Risk Değerlendirme çalışmaları yapılırken, doğrudan iş süreçlerine etki eden risklerin tespit edilmesinin ardından riskler etki ve olasılık düzeylerine göre yukarıda yer alan tabloya göre derecelendirilmiştir. Böylelikle önem derecelerine göre riskler sınıflandırılmış, idarenin risk haritası ortaya konulmuştur.
Risklerin Yönetilmesi
Üniversitemiz riskleri tespit edilirken, tüm birimlerimizde (merkez ve taşra olarak) yürütülen faaliyetlerdeki iş süreçleri ele alınmıştır. Riskin sorumlusu olarak da direkt o işin muhattabı olan personel belirlenmiştir. Riskin takip edilmesi sorumluluğu ise birim yöneticisindedir.
14
Risklerin İzlenmesi ve Değerlendirilmesi
Üniversitemiz Risk Değerlendirme çalışmaları sonucu tespit edilen riskler ve alınan önlemlerin gerçekleşme sonuçları İKİYK tarafından yılda bir yapılacak olan toplantılarla değerlendirilecektir. Sürecin gelişimine bakılarak gerekiyorsa revize çalışmaları yapılacaktır. Değerlendirme sonuçları Üst Yöneticiye raporlanacaktır.
15
