RSK DEERLENDRME SRE SUNUMU HSAN TOKMAK DENET Risklerin

RİSK DEĞERLENDİRME SÜREÇ SUNUMU İHSAN TOKMAK İÇ DENETÇİ

Risklerin Değerlendirilmesi v Risk değerlendirmesi idarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin değerlendirilmesidir. v Riskler değerlendirilirken idarenin karşılaşacağı potansiyel olaylar ile birlikte idarenin kendine özgü durumu da (örneğin idarenin büyüklüğü, faaliyetlerinin karmaşıklığı, yürüttüğü faaliyetlerde tabi olduğu mevzuat, siyasi öncelikleri, kamuoyu ilgisi) göz önünde bulundurulmalıdır.

Riskleri Değerlendirmenin 3 Temel Aşaması v Her risk için etki ve olasılığın tespit edilmesi v Risklerin doğal risk ve kalıntı risk olarak değerlendirilmesi ve kontrol faaliyetlerinin belirlenmesi v Risk değerlendirme sonuçlarının kaydedilmesi

Risk Değerlendirme-İpuçları v. Tespit edilen risklerin belli bir zaman dilimi için olasılık ve etkilerini ölçün. v. Riskin etki değerini belirlerken, ulaşılmasını zorlaştıracağı/engelleyeceği öngörülen hedef üzerindeki etkisini değerlendirin. vÖlçümde uygun yöntemlerden yararlanın. v. Bir işin riskini en iyi o işi yapan kişinin değerlendireceğini göz önünde bulundurun. v. Başka kurumların/birimlerin faaliyetlerinin risklerinizi etkileyebileceğini ve dolayısıyla risklerin birbirinden bağımsız olmadığını dikkate alın. v. Tüm riskleri birlikte görebilmek için risk haritaları vb. tablolardan yararlanın. v. Riskleri risk puanlarına (Etki x Olasılık) göre önceliklendirin.

Risk Haritası q. Yeşil/Düşük q. Sarı/Orta q. Kırmızı/Yüksek

E t k i Risk Matrisi O l a s ı l ı k

Risklere Cevap Verilmesi

Risklere verilecek cevaplar v. Risklere verilecek yanıtın ne olacağının belirlenmesi ve beklenen tehditlerin azaltılması veya ortaya çıkacak fırsatların değerlendirilmesidir. v Amaç, ortaya çıkacak etkiyi azaltmak ve öngörülen hedefe en etkin bir şekilde ulaşmaktır. v. Risklere verilecek cevap belirlenirken elde edilen faydanın harcanan kaynaktan daha fazla olmasına dikkat edilmelidir.

Risklere Cevap Verilmesi-İpuçları v. Risklerin önceliklendirilmesi, hangi riske önce cevap verileceğine karar vermekte yardımcı olur. v. Kamu idaresi olarak risklere verilecek cevaplar belirlenirken, paydaşlar ve onlar üzerindeki etkiler de göz önünde bulundurulmalıdır. v. Risklere cevap verirken aşırı kontrol önlemlerinden kaçınmak gerekir. Kontrol eksikliği kadar kontrollerin gereğinden fazla olması da idarenin etkinliğine zarar verir. v. Risklere verilecek cevaplarda, diğer idarelerle koordineli hareket edilmesinin daha etkin olma ihtimali göz önünde bulundurulmalıdır.

Risklere verilecek cevaplar v. Kabul Etmek; Kamu idarelerinin etki-olasılık değerlendirmesi sonucu kontrol etmeyi maliyetetkin bulmadıkları veya çeşitli nedenlerle kabul etmek zorunda kaldıkları risklere karşı verilen pasif bir cevap yöntemidir. v Kabul Etmek cevabının çeşitli nedenleri olabilir; Ø Doğal risk, risk iştahı içindedir. ØBazı fırsatlardan yararlanmak için bir miktar riske girmek başarı için gerekli olabilir. ØBazı riskler faaliyet sonlandırılmadıkça ortadan kalkmaz ki faaliyeti sonlandırmak her zaman mümkün değildir ya da istenmez.

Risklere verilecek cevaplar v. Devretmek; İdarenin yürüttüğü bazı faaliyetlerin çeşitli nedenlerle başkasına devredilmesi şeklinde riske verilecek yanıt yöntemidir. Ancak risk devredilse dahi kurumun sorumluluğunun devam ettiği bilinmelidir. Çünkü risk gerçekleştiği taktirde bundan zarar görecek olan kurumun kendisidir. Ø Risk devri aşağıda belirtilen şekillerde yapılabilir; Ø Sigorta yöntemi kullanarak riski devretmek. Ø Faaliyetin bir kısmını veya tamamını uzmanlığı olan başka bir kuruma devretmek. Ø İhale yöntemi ile faaliyetin yapılmasını üçüncü şahıslara devretmek.

Risklere verilecek cevaplar v. Kaçınmak; Risk yönetemeyeceğimiz kadar fazlaysa ve öngörülen faaliyetin alternatifleri mevcutsa bu faaliyetten kaçınabiliriz. Eğer alternatifleri yoksa dönemsel olarak kaçınabiliriz.

Risklere verilecek cevaplar v. Kontrol Etmek; Kamu idarelerinde risklerin kabul edilebilir bir seviyede tutulması amacıyla yapılacak kontrol faaliyetleri sonucunda riske verilecek cevap yöntemidir. v. Yönlendirici Kontroller; Belirli bir sonuca ulaşmayı sağlamak için yapılan kontrollerdir. vÖnleyici Kontroller; Risklerin gerçekleşmesi halinde idare için oluşturacağı tehditleri sınırlamak ve istenmeyen sonuçların ortaya çıkmasını en aza indirgemek adına faaliyet gerçekleşmeden önce yapılması gereken kontrollerdir. v. Tespit Edici Kontroller; Riskler gerçekleştikten sonra meydana gelen zarar ve hasarın ne olduğunun tespiti amacıyla yapılan kontrollerdir. v. Düzeltici Kontroller; Risklerin gerçekleştiği durumlarda ortaya çıkan sonuçların etkisini azaltmaya/düzeltmeye yönelik kontrollerdir.

Kontrol Faaliyetleri v Öngörülen bir riskin etki ve/veya olasılığını azaltmayı ve böylece idarenin amaç ve hedeflerine ulaşma olasılığını artırmayı amaçlayan eylemlerdir. v Kontrol faaliyetlerinin belirlenmesi risk değerlendirmesinin tamamlanmasına bağlıdır. v Yönetim, görevlerin ve hedeflerin gerçekleştirileceğine dair makul güvence elde etmek için risk yönetimini esas almak suretiyle kontrol faaliyetlerini planlamalı, bunları organize etmeli ve yönlendirmelidir.

Kontrol Faaliyetleri Standartları 7. Kontrol stratejileri ve yöntemleri v İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya uygun kontrol strateji ve yöntemlerini belirlemeli ve uygulamalıdır. 8. Prosedürlerin belirlenmesi ve belgelendirilmesi v İdareler, faaliyetleri ile mali karar ve işlemleri için gerekli yazılı prosedürleri ve bu alanlara ilişkin düzenlemeleri hazırlamalı, güncellemeli ve ilgili personelin erişimine sunmalıdır. 9. Görevler ayrılığı v Hata, eksiklik, yanlışlık, usulsüzlük ve yolsuzluk risklerini azaltmak için faaliyetler ile mali karar ve işlemlerin onaylanması, uygulanması, kaydedilmesi ve kontrol edilmesi görevleri personel arasında paylaştırılmalıdır. 10. Hiyerarşik kontroller v Yöneticiler, iş ve işlemlerin prosedürlere uygunluğunu sistemli bir şekilde kontrol etmelidir. 11. Faaliyetlerin sürekliliği v İdareler, faaliyetlerin sürekliliğini sağlamaya yönelik gerekli önlemleri almalıdır. 12. Bilgi sistemleri kontrolleri v İdareler, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmaları geliştirmelidir.

Kontrol Faaliyetlerinin Aşamaları

Kontrol Faaliyetleri İçin Temel Gereklilikler v. Yeterli olması (doğru kontrolün, doğru yerde, doğru seviyede olması), v. Kontrolün uygulama maliyetinin beklenen faydayı aşmaması, v. Kapsamlı, anlaşılabilir ve doğrudan riskle ilgili olması, v. Belgelendirilmiş olması, v. Bir bütün halinde değerlendirilerek tutarlılığının sağlanması, v. Etkililiği değerlendirilene kadar sürdürülmesi gerekir.

Risklerin Gözden Geçirilmesi v. Risklerin gözden geçirilmesindeki amaç; risk profilinde veya sepetinde bir değişiklik olup olmadığını, risk yönetim sürecinin etkili olduğuna dair güvence verip vermediğini ve yeni tedbirlere ihtiyaç duyulup duyulmadığını belirlemektir. v. Risklerin etki ve olasılık yönünden zaman içerisinde yeniden değerlendirilmesi gerekir. v. Koşulların değişmesi ile yeni risk alanlarının da oluşması muhtemeldir. v. Tespit edilen riskler (aylık, üç ayda bir, altı ayda bir) ve risk yönetim süreci (her yönüyle en az yılda bir kez) belli periyotlarla gözden geçirilip değerlendirilmelidir. v. Risklerin ve risk yönetim sürecinin gözden geçirilmesi birbirinden farklı süreçlerdir.

Risklerin Gözden Geçirilmesi-İpuçları v Faaliyetin özelliğine göre gözden geçirme dönemi belirleyin. Kritik riskleri sıklıkla gözden geçirin. v Gözden geçirme sırasında risklerin etki ve olasılığını o dönem için değerlendirin. v Gözden geçirme dönemi içinde yeni risklerin çıkıp çıkmadığını tespit edin. v Riskin durumundaki değişikliğe göre kontrol faaliyetlerinin durumunu da gözden geçirmek gerekir. Ortadan kalkan bir riskin gereksiz hale gelmiş kontrolü de kaldırılmalıdır. v Tespit edilen bulguları risk kaydına işleyin. v Her seviyede riskleri raporlayın. v Riskle ilgili değişimleri risk raporunda gösterin, ancak çok acil durumlarda en kısa zamanda bir üst yöneticiyi veya risk sorumlusunu bilgilendirin.

İletişim v. Risk yönetimi sürecinde iletişim, her türlü bilginin doğru ve zamanında çeşitli mekanizmalar yoluyla iletilmesini ifade eder. v Risk yönetiminde iletişim mekanizmasının güçlü bir şekilde işleyebilmesi paydaşlar tarafından ortak bir dilin kullanılmasına bağlıdır. v Her düzeyde karar verme mekanizmasını güçlendirmek ve doğru, zamanlı, eksiksiz ve ilgili bilgi akışını yatay ve dikey olarak sağlamak çok önemlidir. v. Hizmetin başka kurumlarla ortaklık gerektirdiği durumlarda, ilgili kurumlarla ve nihai olarak kurumun hizmetlerinden doğrudan veya dolaylı olarak etkilenen vatandaşlar ve sivil toplum kuruluşlarıyla etkin iletişim kanallarının oluşturulması gerekmektedir. v Hedefleri etkileyebilecek her türlü riskin tespit edilmesi ve mevcut risklerdeki değişikliklerin izlenebilmesi açısından, bilgilere erişim noktalarının belirlenmesi gibi hususlar risk yönetiminde iletişimin kolaylaştırıcı etkileridir.

Raporlama v. Risk yönetim sürecinde raporlamanın kimler tarafından, kimlere ve hangi sıklıkta yapılacağı açıkça belirlenmelidir. v Raporların mümkün olduğunca kısa ve öz bilgilerden oluşması, değerlendirmelere ilişkin kanıtların gösterilmesi, ilgili olması, gerektiği zamanda ve gerekli kişilere yapılması önem arz etmektedir. v İdare içerisinde raporlamanın hiyerarşik sistemden bağımsız olarak yatay ve dikey olarak ilgili kişilere yapılması gerekir.

Öğrenme v. Risklerle başa çıkabilme büyük oranda deneyimlere dayanmaktadır. Bu nedenle öğrenme, risklerle başa çıkabilmede büyük önem taşır. v Önceki deneyimler ve bu anlamda başarılı ve başarısız uygulamaların güçlü bir iletişim ağı içerisinde herkes tarafından bilinmesi risklere daha etkili ve daha hızlı cevap verilmesini kolaylaştıracaktır. v Özellikle yeni ortaya çıkmış riskler ve bunlarla başa çıkma yöntemleri konusunda olumlu ve olumsuz deneyimlerin paydaşlara iletilmesi ve bu anlamda nelerin yanlış gidebileceğinin bilinmesi hataların tekrarlanmasını önleyebilecek ve risklerle başa çıkmada etkinliği artıracaktır.

Dinlediğiniz İçin Teşekkürler…