Transcript Dokuz Eylül Üniversitesi Risk Yönetimi

Yrd.Doç.Dr.Habil GÖKMEN
Risk Kavramı
 Amaç ve hedeflerin gerçekleşmesini olumsuz
etkileyebileceği değerlendirilen olay veya durumlar
risk olarak tanımlanır.
 Amaç ve hedefler üzerinde olumlu etkide
bulunabileceği değerlendirilen olay veya durumlar ise
fırsat olarak tanımlanır.
Risk Yönetimi
 Gerçekleşme olasılığı olan ve gerçekleştiğinde idarenin
amaç ve hedeflerine ulaşmasını etkileyebileceği
değerlendirilen durumların tanımlanması,
değerlendirilmesi ve bunlara uygun cevapların
verilmesine ilişkin yürütülen tüm faaliyetlerdir.
Risk Yönetimi Stratejisi
 Risk yönetimine ilişkin kurumsal yaklaşım ve üst
düzey politikalara Risk Yönetimi Stratejisi ; bu
yaklaşımın yazılı olarak ortaya konduğu belgeye Risk
Stratejisi Belgesi (RSB) adı verilir.
 Risk Stratejisi Belgesinin tüm çalışanlar tarafından
erişilebilir olması gereklidir.
Risk İştahı
 İdarenin amaçları doğrultusunda kabul etmeye hazır
olduğu en yüksek risk düzeyidir. Risk iştahı kavramı,
bu düzeyin üzerindeki risklerin kabul edilemeyeceğini
ve önlem alınması gerektiğini ifade eder.
Kurumsal Risk Stratejisi
 Kurumsal Risk Stratejisi, idarenin risk iştahını stratejik
düzeyde ortaya koymalıdır.
 Risk Strateji Belgesi üç yılda bir hazırlanır ve yıllık
olarak revize edilir.
Görev, Yetki ve Sorumluluklar
 Üst Yönetici
 İç Kontrol İzleme ve Yönlendirme Kurulu
 İdare Risk Koordinatörü
 Birim Risk Koordinatörü
 Çalışanlar
 İç Denetim Birimi
 Strateji Geliştirme Birimi
 Merkezi Uyumlaştırma Birimi
Üst Yönetici
 Her üç yılda bir, idaresinin amaç ve hedefleri
doğrultusunda risklerin yönetilmesi konusunda
stratejinin belirlenmesini sağlar ve bu stratejinin nasıl
uygulanacağını gösteren RSB’yi onaylayarak, söz
konusu belgeyi tüm çalışanlara yazılı olarak duyurur.
İç Kontrol İzleme ve
Yönlendirme Kurulu
 Bir üst yönetici yardımcısı başkanlığında birim
yöneticilerinden oluşan bu kurul, risk yönetiminin
geliştirilmesine ilişkin politika ve prosedürler
oluşturarak üst yöneticinin onayına sunar.
 İdarenin Risk Strateji Belgesini hazırlayarak üst
yöneticinin onayına sunar.
İdare Risk Koordinatörü
 Her bir Birim Risk Koordinatörü tarafından raporlanan
birim risklerinden yola çıkarak Konsolide Risk
Raporunu hazırlar.
 Söz konusu raporu belirlenen dönemlerde İç Kontrol
İzleme ve Yönlendirme Kuruluna ve üst yöneticiye
sunar. Bu raporla birlikte kendi değerlendirmelerini de
sunar.
Birim Risk Koordinatörü
 Birimin hedeflerini etkileyebilecek risklerin tespit
edilmesini koordine eder ve rehberlik sağlar.
 Yıllık olarak belirlenen risk kayıtlarını ve ilgili raporları
idare tarafından belirlenecek periyotlarla gözden
geçirir ve birim yöneticisinin onayını alarak İdare Risk
Koordinatörüne raporlar.
Çalışanlar
 Risk yönetiminin başarısı çalışanların bu görevi
sahiplenmesine bağlıdır. Dolayısıyla, her bir çalışan
görev alanı çerçevesinde risklerin yönetilmesinden
sorumludur.
İç Denetim Birimi
 Risk yönetimi sürecinin etkili olup olmadığı, risklerin
gereken şekilde yönetilip yönetilmediği hususunda
incelemeler yaparak üst yöneticiye mevzuatları
çerçevesinde gerekli raporlamaları yapar.
Strateji Geliştirme Birimi
 İdarede risk yönetimine ilişkin çalışmaları koordine
eder ve iç kontrol sisteminin değerlendirilmesi
kapsamında risk yönetiminin etkinliğini de
değerlendirerek belirli dönemler halinde İç Kontrol
İzleme ve Yönlendirme Kuruluna raporlar.
Merkezi Uyumlaştırma Birimi
 Risk yönetimini de kapsayacak şekilde iç kontrol
alanında düzenlemeler yapar.
 Ulusal ve uluslararası uygulamalar doğrultusunda risk
yönetimine ilişkin standart ve yöntemlerin
geliştirilmesi, eğitim, rehberlik, uyumlaştırma ve
raporlama faaliyetlerini yürütür.
Risk Yönetimi Süreci
 Risklerin Tespit Edilmesi
 Risklerin Değerlendirilmesi
 Risklere Cevap Verilmesi
 Risklerin Gözden Geçirilmesi ve Raporlanması
Risk Yönetimi Uygulama Adımları
Hedefler
Riskler
2.
1.
Kurumun
stratejik
hedeflerinin
belirlenmesi
3.
4.
5.
Kontroller
Risklerin Belirlenmesi
•
Ne olabilir?
•
Nasıl olabilir?
Risk Analizi
•
Olasılığın ve etkinin
belirlenmesi
Risk seviyesinin belirlenmesi
Risklerin önceliklendirilmesi
•
Kurumun kabul edilebilir risk
profili ile karşılaştırma
6.
7.
8.
Evet
İzle ve Gözden geçir
Uyum
Evet
Bu
seviye
kabul
edilebilir
mi?
Kaçın
Bir kısmını/
tümünü paylaş
Etkisini/olasılığını
azalt
Kabullen
Hayır
Fayda ve maliyetleri
değerlendir
İyileştirme
Planlarını
oluştur
İyileştirme stratejileri
öner
İyileştirme stratejileri
seç
Kontrollerin
belirlenmesi ve
incelenmesi
Kontrol seviyesinin
belirlenmesi
Kontrol seviyesinin
değerlendirilmesi
Bu
seviye
kabul
edilebilir
mi?
Hayır
Kaçın
Bir kısmını/
tümünü paylaş
Etkisini/olasılığını
azalt
Kabullen
Risklerin
Yönetilmesi
Risklerin Tespit Edilmesi
 İdarenin hedeflerine ulaşmasını engelleyen veya
zorlaştıran risklerin önceden tanımlanmış yöntemlerle
belirlenmesi, gruplandırılması ve güncellenmesi
sürecidir.
Risklerin Tespitinde Dikkate
Alınabilecek Unsurlar
 Tespit edilen riskler hedeflerle ilişkilendirilmelidir.
 Tespit edilen risklerin “A Riski” veya “A’nın olması
riski” şeklinde ifade edilmesi gerekir.
 Riskler iç risk ve dış risk şeklinde gruplandırılmalıdır.
İç Risk ve Dış Risk
 İdare tarafından kontrol edilebilecek olaylar
sonucunda ortaya çıkan risklere iç risk denilir.
 İdarenin kontrolü dışında gerçekleşen olaylar
sonucunda ortaya çıkan risklere dış risk denilir.
İç ve Dış Kaynaklı Riskler
Dış Faktörlere örnekler :
İç Faktörlere örnekler:
1. Yeni yasa ve düzenlemeler;
2. Doğal afetler;
3. Faaliyet ve bilişim sistemlerinde
değişiklikler
4. Ekonomik değişkenler; finans,
harcama ve araştırma-geliştirme
faaliyetleri hakkındaki kararları
etkiler.
1. Bilgi işlem sistemindeki bir
aksaklık,
2. İşe alınan personelin yetkinliği,
3. Yönetimin sorumluluklarındaki bir
değişiklik
4. Kurum faaliyetlerinin niteliği ve
çalışanların kaynaklara bizzat
erişiminin mümkün olması,
kaynakların yanlış dağılımına
neden olabilir.
Risklerin Tespitinde Kullanılabilecek
Yöntemler
 PESTLE Analizi
(Politik, Ekonomik, Sosyal, Teknolojik, Yasal, Çevresel)
 GZFT Analizi
(Güçlü ve Zayıf Yönler, Fırsatlar ve Tehditler)
 Beyin Fırtınası
Risklerin Tespit Edilmesine
İlişkin İpuçları
 Riskle ilgili kanıtların var olup olmadığı göz önünde
bulundurulmalıdır.
 Farklı uzmanlıkların yer aldığı bir çalışma ekibi riskleri
tespit etme olasılığını artırır.
Risk Tespiti Sürecinde
Sorulabilecek Sorular
 Hedeflere ulaşma yolunda neler ters gidebilir ?
 Kritik süreçlerimiz nelerdir?
 Paydaşlarımız kimlerdir?
 Hangi varlıklarımız kritik öneme sahiptir?
 Usulsüzlük ve yolsuzluk alanları neler olabilir?
 Faaliyetlerimiz hangi olaylar karşısında aksayabilir?
 En fazla harcama yaptığımız alanlar hangileridir?
 Hangi tür işlemler başarısız olmamıza sebep olabilir?
Risklerin Değerlendirilmesi
 İdarenin hedeflerine ulaşmasını etkileyebilecek
faktörlerin analiz edilmesi ve riskin etki ve olasılık
açısından öneminin değerlendirilmesidir.
 Risklerin ölçülmesi, önceliklendirilmesi ve
kaydedilmesi aşamalarını kapsar.
Riskleri Değerlendirirken Göz
Önüne Alınması Gereken Sorular
 Hedefler nelerdir?
 Mevcut kontroller nelerdir?
 Risk gerçekleşirse hedefler üzerindeki olası sonuçları
nelerdir?
 Başka bir birimin faaliyeti bizim riskimizi etkiler mi?
 Paydaşlarımız kimlerdir?
Riskleri Değerlendirmenin Aşamaları
1- Risklerin Ölçülmesi :
 Her risk için etki ve gerçekleşme olasılığının tespit
edilmesi.
 Risklerin doğal risk ve kalıntı risk esasına göre
değerlendirilmesi.
Riskleri Değerlendirmenin Aşamaları
2- Risklerin Önceliklendirilmesi
 Risk puanı belirlendikten sonra risklerin, önem
derecesine göre en yüksek puandan başlamak üzere
sıralanmasıdır.
Riskleri Değerlendirmenin Aşamaları
3-Risklerin kaydedilmesi :
Risk kayıtları iki aşamadan oluşur :
a) Risklerin tespit edilip kaydedilmesinde kullanılan
Risk Kayıt Formu.
b) Risklerin yukarı kademelerdeki yöneticilere
raporlanmasında kullanılan Konsolide Risk Raporları.
Risk Değerlendirme İçin İpuçları
 Bir işin riskini en iyi o işi yapan kişinin
değerlendireceğini göz önünde bulundurun.
 Başka birimlerin faaliyetlerinin riskinizi
etkileyebileceğini dikkate alın.
 Tüm riskleri bir arada görebilmek için risk haritaları ve
tablolardan yararlanın.
Etki Düzeyi Değerlendirme
Riskin etkisini tahmin ederken sorulabilecek bazı sorular
şunlardır:
Risk gerçekleştiği takdirde;
 Çalışanların uğrayabileceği fiziksel zararın boyutu ?
 Kurumun uğrayabileceği finansal kaybın boyutu ?
 Kurumun kaybedeceği itibarın boyutu ?
Risk Değerlendirmesi: Olasılık ve Etki Analizi
Olasılık
Orta Risk
Yüksek Risk
Çok
Yüksek Risk
Düşük Risk
Orta Risk
Yüksek Risk
Çok
Düşük Risk
Düşük Risk
Orta Risk
Yüksek
Orta
Düşük
Etki
Düşük
ORTA
Yüksek
Risk Değerlendirmesi ve Cevap Matrisi
Etki
Risklere Verilebilecek Cevaplar
Yüksek
İş Sürekliliği Planı
Kabul Etmek
Kontrol Etmek
Devretmek
Kaçınmak
Düşük
Kabul Etmek
Kontrol Etmek
Olasılık
Düşük
Yüksek
Risklere Cevap Verilmesi
 Risklere cevap verilmesi, idare tarafından tespit edilen
ve risk iştahları çerçevesinde değerlendirilen risklere
verilecek karşılığın ne olacağının belirlenmesi ve bu
bağlamda beklenen tehditlerin azaltılması veya ortaya
çıkacak fırsatların değerlendirilmesidir.
 Risklere cevap vermenin amacı, riskin olasılığını veya
etkisini azaltarak hedefe en etkin bir şekilde
ulaşmaktır.
Riske Cevap Verme Yöntemleri
 Kabul etmek
 Kontrol etmek
 Devretmek
 Kaçınmak
Kabul Etmek
 Doğal risk, risk iştahı içindeyse kabul edilir.
 Alınacak önlemlerden sağlanacak faydanın, alınacak
önlemlerin maliyetinden daha düşük olduğunun
anlaşılması durumunda kabul edilir.
 Bazı riskler faaliyet sonlandırılmadıkça ortadan
kalkmaz. Bu durumda risk kabul edilir.
Kontrol Etmek
 Yönlendirici kontroller
 Önleyici kontroller
 Tespit edici kontroller
 Düzeltici kontroller
Devretmek
 İdarenin asli görev alanına girmeyen veya fayda-
maliyet açısından idare tarafından yapılması uygun
görülmeyen ve bu anlamda riskleri yüksek olduğu
değerlendirilen faaliyetlerin, uzmanlığı olan başka bir
kuruluşa devredilmesi şeklinde riske cevap
verilmesidir.
Kaçınmak
 Risk yönetilemeyecek kadar büyükse veya faaliyet
hayati öneme sahip değilse, faaliyete son vermek
mümkündür.
Risklere Nasıl Cevap Veririm?
1- Riskleri ve fırsatları analiz sonuçlarına göre sırala
2-Riskin içeriğine göre cevabını belirle :
 Kabul et
 Kontrol et
 Devret
 Kaçın
3-Verilecek cevabın faydasının, getireceği maliyetten
yüksek olmasına dikkat et.
Risklere Cevap Verme Aşamasında Göz
Önüne Alınması Gereken Sorular
 Riski kabul edersem ne olur?
 Riskten kaçınmak adına faaliyeti başka bir döneme
ertelemek veya başka bir faaliyetle ikame etmenin
hedeflerim üzerindeki etkisi nedir?
 Fırsatın büyüklüğü riski almaya değer mi?
Risklerin Gözden Geçirilmesi ve
Raporlanması
 Riskler zaman içerisinde çeşitli koşulların değişmesi
veya alınan önlemler sonucu etki ve olasılık yönünden
değişiklik gösterebilir.
 Gözden geçirmeler yılda en az bir kez olmak üzere,
risklerin önem derecesine göre idare tarafından
belirlenen sıklıkta olabilir.
Riskleri Gözden Geçirme İpuçları
 Faaliyetin özelliğine göre gözden geçirme dönemleri
belirle. Kilit riskleri sıklıkla gözden geçir.
 Riskin hala kabul edilebilir seviyenin altında olup
olmadığına karar ver.
 Riskin durumundaki değişikliğe göre risklere verilen
cevapların durumunu da gözden geçirmek gerekir.
Tespit edilen bulguları risk kaydına işle.
Raporlama
 Raporların mümkün olduğunca kısa ve öz bilgilerden
oluşması, ilgili olması, değerlendirmelere ilişkin
kanıtları göstermesi, gerektiği zamanda ve gerekli
kişilere sunulması özel önem taşımaktadır.
Deneyimlerden Ders Çıkarılması
 Risklerle başa çıkabilme büyük oranda deneyimlere
dayanmaktadır.
 Aynı hiyerarşik seviyedeki birimlerin, birbirlerinden
riskleri nasıl yönettiklerini öğrenmeleri ve iyi örnekleri
kendilerinde de uygulamaları faydalı bir yöntemdir.
Dinlediğiniz için
Teşekkürler