T.C. MERSİN SU VE KANALİZASYON İDARESİ GENEL MÜDÜRLÜĞÜ KURUMSAL RİSK YÖNETİMİ YÖNERGESİ

Transkript

1 T.C. MERSİN SU VE KANALİZASYON İDARESİ GENEL MÜDÜRLÜĞÜ KURUMSAL RİSK YÖNETİMİ YÖNERGESİ BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak, Tanımlar, İlkeler Amaç MADDE 1 (1) Bu yönergenin amacı; İdarenin günlük faaliyetlerinde karşılaştığı veya gelecek dönemlerde karşılaşabileceği, amaç ve hedeflerini gerçekleştirmesini engelleyecek veya fırsatlar yaratacak risklerin belirlenmesi, analiz edilmesi ve yönetilerek risklerin olumsuz etkilerinin en aza indirgenmesini sağlamaktır. Kapsam MADDE 2 (1) Bu yönerge, Genel Müdürlük risk yönetimi stratejisinin belirlenmesi, risk yönetimine ilişkin organizasyon yapısının oluşturulması, risklerin tespit edilmesi, değerlendirilmesi, gözden geçirilmesi ile raporlama prosedürlerinin belirlemesine ilişkin usul ve esasları kapsar. Dayanak MADDE 3 (1) Bu yönerge, 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, İç Kontrol ve Ön Malî Kontrole İlişkin Usul ve Esaslar, Kamu İç Kontrol Standartları Genel Tebliği ve Kamu İç Kontrol Rehberine dayanılarak hazırlanmıştır. Tanımlar MADDE 4 (1) Bu Yönergede geçen; a) İdare : Mersin Su ve Kanalizasyon İdaresi (MESKİ) Genel Müdürlüğünü, b) Genel Müdür: MESKİ Genel Müdürünü, c) Birim: MESKİ Genel Müdürlüğü Teşkilat Şemasında yer alan birimleri, ç) Birim Yöneticisi: Daire Başkanlıklarında Daire Başkanını, Şube Müdürlüklerinde Şube Müdürlerini, Şeflikleri, d) İç Kontrol İzleme ve Yönlendirme Kurulu: Genel Müdür Yardımcısı veya Yardımcıları, Strateji Geliştirme Dairesi Başkanı ve Genel Müdürün görevlendirdiği birim yöneticilerinden oluşan ve Genel Müdürce uygun görülen Genel Müdür Yardımcısının başkanlık ettiği kurulu, e) İdare Risk Koordinatörü: Genel Müdür tarafından görevlendirilen Genel Müdür Yardımcılarından birini veya Strateji Geliştirme Dairesi Başkanını, f) Birim Risk Koordinatörü: Birim yöneticisi tarafından belirlenen, birimin görevleri konusunda tecrübesi olan birim koordinatörlerini, g) Birim İç Kontrol Temsilcisi: Birimleri bünyesinde iç kontrol çalışmalarını yürüten kişiyi, ğ) Birim Risk Yönetim Ekibi: Birim Risk Koordinatörünün başkanlık ettiği, Birim Yöneticisi tarafından oluşturulacak ekibi, h) Ana Süreç Sorumlusu: MESKİ Kuruluş Görev Yetki ve Teşkilat Yönetmeliği doğrultusunda belirlenen görevlere ilişkin süreçlerden sorumlu olan birim amirini, ı) Alt Süreç Sorumlusu: MESKİ Kuruluş Görev Yetki ve Teşkilat Yönetmeliği doğrultusunda belirlenen görevlere ilişkin Ana Süreç Sorumlusu ve Ana Süreç Sorumlusu tarafından belirlenen personeli, i) İç Kontrol ve Risk Yönetimi Sistemi: İç Kontrol ve Risk Yönetimi faaliyetlerinin yönetilmesi amacıyla kullanılan Kalite Yönetim Sistemi Yazılımı (QDMS) sistemini, j) Risk: İdarenin, amaç ve hedeflerine ulaşmasına ve görevlerinin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek unsurlar, koşullar, durumlar ya da olayları, 1

2 k) Doğal Risk Seviyesi: İdare genelinde tespit edilen riskin, yönetilmeden veya herhangi bir kontrol önlemi alınmadan önceki seviyesini, l) Kalıntı Risk Seviyesi: Riskin gerçekleşme olasılığını veya etkisini azaltmak için alınan önlemler ve kontrollerden sonra arta kalan risk seviyesini, m) Risk İştahı: İdarenin faaliyetlerini sürdürürken, gerçekleşmesi halinde kabul edilebilir ve mazur görülebilir olarak belirlediği risk seviyesini, n) Risk Türü: İdare risk yönetimi modeli çerçevesinde; stratejik risk, finansal risk, raporlama riski, yasal risk ve operasyonel risk olmak üzere tanımlanmış sınıflandırmayı, o) Risk Analizi: İdarenin mali ve mali olmayan, tüm faaliyetlerine ilişkin olarak; risklerin ve riskleri ortaya çıkaran sebeplerin tespit edilmesini, tespit edilen risklerin etkilerini ve bu etkilerin ortaya çıkma olasılıklarının belirlenmesini, ö) Kontrol Faaliyeti: Risklerin, İdarenin risk iştahı sınırları içinde yönetilmesi ve İdare faaliyetlerinin yürürlükteki mevzuatla uyumunun sürekli sağlanmasına yardımcı olmak için hali hazırda uygulanan önleyici, düzeltici, yönlendirici ve tespit edici faaliyetleri, p) Risk Eylem Planı: Riskin etki ve olasılığını düşürmeye yönelik olarak; ek bir kontrol faaliyeti oluşturulması gerektiğine veya mevcut kontrollerin yeterli olmadığına ve risk iştahı doğrultusunda kalıntı riskin kabul edilemez olduğuna karar verildiğinde, belirli bir tarihe kadar uygulamaya alınması planlanan kontrol yöntemlerini, r) İç Risk: Doğrudan İdare tarafından kontrol edilebilecek olaylar sonucunda ortaya çıkan riskleri, s) Dış Risk: İdarenin kontrolü dışında gerçekleşen olaylar sonucunda ortaya çıkan riskleri, ş) Süreç Hiyerarşisi: İdarenin görev yetki ve sorumlulukları ile misyon ve vizyonu doğrultusunda fonksiyonlar dahilinde hazırlanan ana süreç ve alt süreçten oluşan yapıyı, t) Ana Süreç: İdarenin misyon, vizyon ve stratejik amaçları ile doğrudan bağlantı kurulabilen stratejik öneme sahip üst düzeydeki süreçleri, u) Alt Süreç: Ana süreçleri oluşturan ve bir veya daha fazla fonksiyonun / birimin sorumluluğundaki faaliyetleri, ü) İş Akış Şeması: Bir veya daha fazla kişi ya da birim tarafından gerçekleştirilen ve alt süreçleri oluşturan işlem adımlarının görsel olarak ifade edilmiş halini, v) Risk Yönetim Süreci: İdarenin amaç ve hedeflerinin, bu amaç ve hedefler doğrultusunda yürütülen faaliyetlerin, mevzuata uygun, etkin, ekonomik ve verimli şekilde gerçekleştirebilmesi için makul güvence sağlamak üzere, risk olarak tanımlanabilecek muhtemel olay veya durumların önceden belirlenmesi, değerlendirilmesi ve kontrol edilmesi sürecini, w) İdare Risk Strateji Belgesi: İdarenin risk yönetimine ilişkin kurumsal yaklaşım ve üst düzey politikaları hakkında bilgileri içeren risk stratejisi belgesini, ifade eder. Risk Yönetimine İlişkin İlkeler MADDE 5 (1) İdare risk yönetimine ilişkin ilkeler şunlardır; a) İdarenin amaç ve hedeflerinin gerçekleştirilmesini ve hizmet sunmasını engelleyebilecek veya hizmet kalitesini düşürebilecek, iç ve dış paydaşların İdareye olan güvenini sarsabilecek, yolsuzluğa meydan verebilecek, faaliyetlerin mevzuata aykırı yürütülmesine ve kaynak kaybına sebep olabilecek her türlü olay risk olarak değerlendirilir. b) Riskler, gerçekleşme ihtimali ve gerçekleşmesi halinde ortaya çıkacak sonuçların etkileri göz önünde bulundurularak ölçülür. c) Riskler, stratejik hedefler, ana süreçler ve alt süreçler itibarıyla ayrı ayrı analiz edilir. ç) Risk yönetim süreci, faaliyetlerin niteliğine uygun tasarlanır idarenin her kademedeki yönetici ve personeli ile birlikte uygulanır. d) Risklerin gerçekleşme olasılığı ve muhtemel etkileri yılda en az bir kez analiz edilip, değerlendirilerek alınacak tedbirler belirlenir. 2

3 e) İdare Risk Yönetimi Süreci, stratejik amaç ve hedeflere ulaşmada yöneticilere makul derecede güvence sağlayacak şekilde tasarlanır. f) İdare, risklerini, risk-fırsat dengesini gözeterek tüm ana süreçler ve alt süreçler seviyesinde yönetir. g) Risk Yönetimi Süreci, İdarenin iç kontrol ve kurumsal yönetim düzenlemelerinin ayrılmaz bir parçasıdır. İKİNCİ BÖLÜM Organizasyon Yapısı ile Görev ve Sorumluluklar Risk Yönetimi Organizasyon Yapısı MADDE 6- (1) Risk Yönetimi Organizasyon Yapısı; birim ve birey bazlı sorumluluklar ile dikey ve yatay raporlama ve iletişim kanallarını da içeren ve fonksiyonel bir şekilde oluşturulan yapıyı ifade eder. Organizasyon yapısının oluşturulması ve işleyişine ilişkin temel ilkeler şunlardır: a) İdarenin misyon ve vizyonuna paralel olarak yürütülen Stratejik Planda belirlenmiş amaçları, hedefleri gerçekleştirmek için yürütülen faaliyetlerde en yüksek düzeyde verim alabilmek için tüm birimlerin ve kişilerin görev ve sorumlulukları ile yetki sınırları açıkça belirlenir. b) Risk yönetiminde organizasyon yapısı; Genel Müdür, İç Kontrol İzleme ve Yönlendirme Kurulu, İdare Risk Koordinatörü, İç Denetim Birimi, Strateji Geliştirme Dairesi Başkanlığı, Ana Süreç Sorumluları, Alt Süreç Sorumluları, Birim Risk Koordinatörleri, Birim Risk Yönetimi Ekipleri ve İdarede görev alan tüm görevlilerden oluşur. c) Risk Yönetimi Organizasyon yapısı tüm personeli kapsamakta olup; İdarede çalışan tüm personel, yetki ve sorumluluk tanımları çerçevesinde risklerin tespit edilmesi, yönetilmesi, izlenmesi ve raporlanmasından sorumludur. Genel Müdür ün Görev ve Sorumlulukları MADDE 7 (1) Genel Müdür ün görev ve sorumlulukları şunlardır; a) İdarede Risk Yönetimi Sisteminin, iç kontrol uygulamaları ile bütünleşik olarak; kurulmasından, uygulanmasından ve işleyişinin gözetilmesinden, sorumlu ve yetkili olan kişi Genel Müdür dür. b) Risk yönetimi için gerekli yapıları (İç Kontrol İzleme ve Yönlendirme Kurulu, İdare Risk Koordinatörü, Süreç Sorumluları, çalışanlar ) oluşturarak görev ve sorumluluklarının açıkça belirlenmesini sağlar. c) Diğer İdarelerle ortak yönetilmesi gereken riskler konusunda, İdare Risk Koordinatörüne gerekli desteği sağlar. ç) İç Kontrol İzleme ve Yönlendirme Kurulu, İdare Risk Koordinatörü ve Strateji Geliştirme Dairesi Başkanı tarafından sunulan izleme ve değerlendirme raporlarını inceler ve risk yönetiminin etkinliğini sağlamak üzere değerlendirir. d) Risk yönetiminin sürecinin İdare politikaları doğrultusunda uygulanması konusunda çalışanları teşvik eder. e) Gerekli gördüğü hallerde İç Kontrol İzleme ve Yönlendirme Kurulunu toplantıya çağırır ve başkanlık eder. 3

4 İç Kontrol İzleme ve Yönlendirme Kurulunun Görev ve Sorumlulukları MADDE 8 (1) İç Kontrol İzleme ve Yönlendirme Kurulunun görev ve sorumlulukları şunlardır; a) İdarenin Risk Strateji Belgesini hazırlayarak üst yöneticinin onayına sunar. b) İdarede risk yönetim kültürünün oluşturulmasına ilişkin kurumsal politikayı belirler. c) Birden fazla birimi ya da süreci ilgilendiren risklerden ortak yönetilmesi gerekenleri ve bunlara ilişkin politika ve prosedürleri belirler. ç) Daha önce öngörülmeyen risklerin ortaya çıkması durumunda riski ilgili birime iletir ve risklerin kurumda tutarlı bir şekilde yönetilmesini gözetir. d) İç Kontrol İzleme ve Yönlendirme Kurulu en az 6 aylık dönemlerde toplanarak, İdarenin risk yönetimi süreçlerinin etkili işleyip işlemediğini ve risk eylem planlarının uygulanma derecesini takip ederek risklerde gelinen durumu değerlendirir ve en az 6 aylık dönemler itibariyle Genel Müdür e raporlar. e) Sayıştay ve iç denetim raporlarından da yararlanarak iyi uygulama örneklerinin tespit edilmesini ve yaygınlaştırılmasını sağlar. İdare Risk Koordinatörünün Görev ve Sorumlulukları MADDE 9 -(1) İdare Risk Koordinatörünün Görev ve Sorumlulukları şunlardır; a) İdare Risk Koordinatörü, Risk yönetimi çerçevesinde Birim Risk Koordinatörleri ile yılda en az bir defa toplantı yapar. b) Birim Risk Koordinatörleri tarafından raporlanan risk eylem planı gerçekleşme raporlarını konsolide ederek İç Kontrol İzleme ve Yönlendirme Kuruluna ve üst yöneticiye sunar. c) Diğer İdarelerin İdare Risk Koordinatörleri ile ortak risk alanlarına ilişkin konuları görüşür ve bu konuda yapılacak çalışmaların İdare içerisinde koordinasyonunu sağlar. ç) Birimlerin Risk Yönetimi konusundaki ihtiyaçlarını belirleyerek bunu her toplantı öncesinde İç Kontrol İzleme ve Yönlendirme Kuruluna raporlanmasını sağlar. d) İç Kontrol İzleme ve Yönlendirme Kurulunun görüşleri, tavsiyeleri ve kararlarına ilişkin Birim Risk Koordinatörlerine geri bildirim sağlar ve idarenin risk yönetimi süreçlerinin tutarlı olması konusunda gerekli önlemleri alır. Ana Süreç Sorumlularının Görev ve Sorumlulukları MADDE 10- (1) Ana Süreç Sorumlularının Görev ve Sorumlulukları şunlardır; a) Genel Müdür tarafından yapılan görev dağılımı ile koordinasyonundan görevli ve yetkili kılındıkları süreçlerin, İdare risk yönetimi politikaları doğrultusunda; iyileştirilmesi, yönetilmesi ve izlenmesinden sorumludur. b) Kendilerine bağlı bulunan alt süreçlere ilişkin risk yönetimi raporlarını değerlendirerek, risklerin yönetilmesi için gerekli önlemlerin alınmasını sağlar. c) Çeşitli sebeplerle süreçlerde değişiklik yapılmasının gerekli görülmesi halinde alt süreç sorumlularınca sürecin/süreçlerin hazırlanmasını/revize edilmesini sağlar, yapılan çalışmaları kontrol ederek onaylar. ç) Sorumluluğundaki süreçleri, belirli periyodlarda alt süreç sorumluları ile değerlendirerek, süreçlerin sürekli olarak günün şartlarına uygun, etkin, ekonomik ve verimli bir şekilde yönetilmesi ve iyileştirilmesi için gerekli çalışmaların yapılmasını sağlar. 4

5 d) Sorumluluğundaki süreçlere ilişkin risklerden, birden fazla alt süreç sorumlusunun görev alanına giren süreçlere ilişkin olanların, yönetilmesi konusunda gerekli koordinasyonu sağlar. e) Diğer süreç sorumlularına bağlı süreçlerden, kendi sorumluluğundaki süreçler ile etkileşim halinde olan süreçlere ilişkin olarak, diğer süreç sorumluları ile görüşmeler yaparak koordinasyonu sağlar. f) Gerektiğinde, sorumluluğundaki süreçlerin sahibi olan birimlerin birim risk yönetimi ekiplerini, toplantıya çağırabilir; rapor, bilgi ve gerekli görülen dokümanları talep edebilir. g) Sorumluluğu altındaki süreçlere ilişkin iç ve dış denetim raporlarını inceler ve raporlara yansıtılan risklerin yönetilmesi için gerekli tedbirleri alır. h) Birimlerin risk yönetimi konusundaki ihtiyaçlarını belirleyerek İç Kontrol İzleme ve Yönlendirme Kuruluna raporlar. ı) Sorumluluğundaki süreçlerle ilişkilendirilmiş, plan ve programlarda yer alan hedeflere ilişkin gerçekleşme bilgilerini değerlendirir ve hedeflerin beklenen düzeyde gerçekleşmesi için gerekli tedbirlerin alınmasını sağlar. Alt Süreç Sorumlularının Görev ve Sorumlulukları MADDE 11- (1) Alt Süreç Sorumlularının Görev ve Sorumlulukları şunlardır; a) MESKİ Kuruluş Görev Yetki ve Teşkilat Yönetmeliği ile görevli ve yetkili kılındıkları süreçleri yasal düzenlemelere ve günün şartlarına uygun olarak; etkin, ekonomik ve verimli şekilde yönetir. b) İdare Risk Yönetimi süreçlerinin sorumluluğu altındaki alt süreçlere uygulanması için biriminde gerekli çalışmaları yapar. c) Alt süreçlerde belirlenen kontrol faaliyetlerinin etkinliğini düzenli olarak takip eder. Yetersiz veya gereksiz görülen kontrol faaliyetlerini tespit eder, risklerin yönetilmesi için en uygun kontrol faaliyetinin sürece eklenmesini sağlar. ç) Yönetimindeki alt süreçlerde meydana gelen risklerden ve söz konusu riskler nedeniyle beklenenin altında gerçekleşen hedeflerden sorumludur. d) Planlanan risk eylemlerinin gerçekleme durumlarını takip eder, eylemlerin süresi içinde ve belirlenen şekilde uygulamaya alınması için gerekli tedbirleri alır. e) Herhangi bir sebeple uygulamaya alınamayan, değiştirilmesi veya kaldırılması gereken kontrol faaliyetleri ve eylem planlarını ana süreç sorumlusunun onayına sunar. f) Diğer alt süreç sorumluları ile koordinasyon gerektiren hususları ana süreç sorumlusuna bildirir. g) Risk değerlendirmesi neticesinde planlanan kontrol ve/veya eyleme ilişkin fayda-maliyet analizi çalışmalarını yapar/yapılmasını sağlar. Birim Risk Koordinatörünün Görev ve Sorumlulukları MADDE 12 (1) Birim Risk Koordinatörünün Görev ve Sorumlulukları şunlardır; a) Birim çalışanlarını; riskleri belirlemek, tanımlamak, ölçmek ve risk türünü tespit etmek konularında bilgilendirir, birimde yapılacak risk değerlendirme çalışmalarına rehberlik eder. b) Yeni tanımlanan risklerin etki ve olasılığını, varsa belirlenmiş kontrolün risk üzerindeki etki derecesini, kalıntı riskin olup olmadığını, kalıntı riskin risk iştahı içerisinde olup olmadığını Birim Risk Yönetimi ekibi ile birlikte değerlendirir. c) Tanımlanan riskleri, risk türünü, risk seviyelerini ve kontrol faaliyetlerini gözden geçirerek uygun bulması halinde Birim Yöneticisinin onayına sunar. 5

6 ç) Birimin görev tanımlarının ve birimi ilgilendiren alt süreçlerin mevzuat doğrultusunda ilgili personelle birlikte gözden geçirilmesi çalışmalarını koordine eder. d) Birden fazla birimi ilgilendiren alt süreç revizesi ya da yeni süreç oluşturulmasına ilişkin olarak yapılacak çalışmalara katılır. e) İdare Risk Koordinatörü ve İç Kontrol İzleme ve Yönlendirme Kurulunun görüşleri, tavsiyeleri ve kararları doğrultusunda varsa Alt Birim Risk Koordinatörlerine geri bildirim sağlar. f) Risk Yönetimi ile ilgili eğitim ihtiyaçlarının tespit edilmesini sağlar. Strateji Geliştirme Dairesi Başkanlığının Görev ve Sorumlulukları MADDE 13 - (1) Strateji Geliştirme Dairesi Başkanlığının görev ve sorumlulukları şunlardır; a) İdarede risk yönetimine ilişkin çalışmaları koordine eder ve iç kontrol sisteminin değerlendirilmesi kapsamında risk yönetiminin etkinliğini de değerlendirerek belirli dönemler halinde İç Kontrol İzleme ve Yönlendirme Kuruluna rapor sunar. b) Risk yönetimi süreçlerinin İdarenin tüm birimlerinde etkin işlemesini sağlamak üzere teknik destek ve rehberlik hizmeti verilmesini sağlar. c) Risk yönetimine ilişkin İdarenin eğitim ihtiyaçlarını belirler, eğitim faaliyetlerini koordine eder ve yürütür. ç) Risk yönetimine ilişkin İdaredeki iyi uygulamaları belirler, bu uygulamaların yaygınlaştırılması için çalışmalar yapar. d) Strateji Geliştirme Dairesi Başkanlığı yöneticisinin İdare Risk Koordinatörü olmaması durumunda İdare Risk Koordinatörünün sekretarya hizmetlerini yürütür. İç Denetim Birim Başkanlığının Görev ve Sorumlulukları MADDE 14 - (1) İç Denetim Birim Başkanlığının görev ve sorumlulukları şunlardır; a) Risk yönetimi sürecinin etkili olup olmadığı, risklerin gereken şekilde yönetilip yönetilmediği hususunda incelemeler yaparak, Genel Müdür e mevzuat çerçevesinde gerekli raporlamaları yapar. b) İdarede Risk yönetim sürecinin kurulması ve geliştirilmesine destek olmak üzere danışmanlık hizmeti yapar. Çalışanların Görev ve Sorumlulukları MADDE 15 (1) Risk Yönetiminin başarısı çalışanların Risk Yönetimini sahiplenmesine bağlıdır. Dolayısıyla her bir çalışan, görev alanı çerçevesinde risklerin yönetilmesinden (Risklerin tespit edilmesi, değerlendirilmesi, cevap verilmesi, gözden geçirilmesi ve raporlanması) sorumludur. (2) - Çalışanların görev ve sorumlulukları şunlardır; a) Yeni ortaya çıkan ve değişen riskleri tanımlamak, iletmek ve bunlara cevap vermek yoluyla birimlerinde risk yönetimi süreçlerine doğrudan katkıda bulunur, b) Görev alanındaki riskleri, idare tarafından belirlenen yetki ve sorumlukları çerçevesinde yönetir. c) Görev alanındaki risklerin iyi yönetilip yönetilmediği konusunda Alt Süreç Sorumlusuna; Alt Süreç Sorumlusu bulunmadığı durumlarda Birim Risk Koordinatörü veya Ana Süreç Sorumlusuna gerekli kanıtları sağlar. 6

7 ÜÇÜNCÜ BÖLÜM Risk Yönetim Süreci / Risklerin Belirlenmesi ve Değerlendirilmesi İdare/birim risk yönetimi süreci MADDE 16 (1) Risk yönetim süreci; İdarenin amaç ve hedeflerini gerçekleştirebilmesi için makul güvence sağlamak üzere, olası olay veya durumların önceden belirlenmesi, değerlendirilmesi, kontrol edilmesi, izlenip gözden geçirilmesinden oluşan bir süreçtir. (2) İdare/birim risk yönetimi sürecinin temel unsurları; a) Risklerin tanımlanması, b) Risklerin analiz edilmesi ve ölçülmesini, c) Risklerin önceliklendirilmesini, ç) Risklere uygun çözümlerin belirlenmesi ve gözden geçirilmesini, d) Riskler karşısında uygulanacak kontrol faaliyetlerinin belirlenmesini, e) Risk yönetim sürecinin sürekli izlenmesini ve gözden geçirilmesini, f) Bilgi ve iletişimin sağlanmasını kapsar. (3) İdare/birim risk yönetim süreci; birimlerin amaçlarına, hedeflerine, faaliyetlerine, iş süreçlerine ve yöntemlerine göre farklılık gösterir. (4) Risk yönetim süreç adımları Tablo -1 de gösterilmiştir. Risklerin Tanımlanması MADDE 17 (1) Bu yönerge ile belirtilen riskler ile hizmet kalitesini düşürebilecek, iç ve dış paydaşların kuruma olan güvenini sarsabilecek, faaliyetlerin mevzuata aykırı yürütülmesine ve kaynak kaybına sebep olabilecek olaylar ile kayıtlara ve deneyimlere bağlı çıkarımları ifade eder Riskin Belirlenmesi MADDE 18- (1) İdarenin risklerin belirlenmesi konusundaki yöntemi aşağıdaki şekildedir; a) Riskler, İdare süreç hiyerarşisi içerisinde ana süreçler, alt süreçler ve iş akışları üzerinde tespit edilir. b) İş akışları üzerinde riskler, alt süreçte görev yapan personel ile birlikte Birim Risk Yönetimi Ekibi ve Birim Risk Koordinatörü tarafından, iş adımları tek tek değerlendirilmek suretiyle tespit edilir. İş akışları üzerinde riskleri belirlerken Tablo-2 de yer alan sorulardan yararlanılır. c) İş akışları üzerinde risk analizi çalışmaları tamamlandıktan sonra, alt sürece ilişkin risk analizi çalışmasına geçilir. Ana Süreç/Alt süreçlere ilişkin riskler, süreçte görev alan personel ve süreç sorumlusu/sorumluları ile birlikte; sürecin ilişkili olduğu stratejik hedef de dikkate alınmak suretiyle tespit edilir ve ölçülür. Süreç risklerinin analizinde Tablo -3 de yer alan sorulardan yararlanılır. ç) Risk tanımlanırken, ilk olarak Birim Risk Yönetim Ekibi tarafından Tablo -9 yardımı ile kayıt altına alınır, daha sonra İdare Risk Koordinatörü gözetiminde Tablo -8 yardımı ile kayıt altına alınır, bu kayıtlarda herkes tarafından anlaşılabilir ve raporlamaya uygun ifadelere yer verilir. d) Risk analizi çalışmalarında; anketler, kontrol listeleri, mülakatlar, beyin fırtınası, odak grubu, denetim raporları, eski veriler, GZFT/SWOT analizi gibi yöntem ve tekniklerden bir ya da bir kaçı kullanılır. 7

8 e) Risk analizi çalışmaları; araştırma, toplumsal destek ve sosyal sorumluluk, personel kalitesinin arttırılması, etik kurallar, iş sürekliliği ve güvenliği, yerel, toplumsal ve küresel ilişkiler, yönetsel kararlar, saha güvenliği, hizmet sunum standartlarının sağlanması, mevzuata uyum, fiziksel ve finansal varlıkların korunması konuları çerçevesinde yürütülür. Mevcut Durum Analizi MADDE 19 (1) Mevcut durum analizi İdarenin; vizyonu, misyonu, temel değerleri, politikaları, stratejileri, hedefleri, risk alma ve kabullenme seviyesi ve hizmet sunduğu sektörler, görev ve sorumluluklarının karmaşıklık düzeyi, görevlerini gerçekleştirmesi sırasında işbirliği içerisinde olduğu ulusal ve uluslararası kurum ve kuruluşlar ile İdarenin büyüklüğü, kurum kültürü, sorumlu olduğu mevzuat, hizmet sunduğu grupların yapısı ve insan kaynakları dikkate alınarak yapılır. (2) Mevcut durum dinamik bir süreç olup belirli sürelerde tekrar gözden geçirilerek gerekli değişiklikler yapılır. Risk Türünün Tespit Edilmesi MADDE 20 (1) Riskler; Stratejik risk, yasal risk, finansal risk, raporlama riski ile operasyonel risk olmak üzere beş alt kategoride değerlendirilir. a) Stratejik Risk: İdarenin kısa, orta ya da uzun vadede belirlemiş olduğu amaç ve hedefleri doğrudan olumsuz etkileyebilecek risklerdir. b) Yasal Risk: Kanunların ve yasal düzenlemelerin değişmesinden kaynaklanan riskler ile yetersiz ya da yanlış bilgi ve dokümantasyon nedeniyle yaşanan yasal uyuşmazlıklar, yükümlülüklerin yerine getirilmesi konusundaki belirsizlik, düzenlemelerin yanlış yorumlanması veya personelin bu yükümlülükleri zamanında yerine getirmemesinden kaynaklanan risklerdir. c) Finansal risk: Finansal kayıp olasılığı taşıyan tehditleri ifade etmekte olup, mali konularda olumsuz bir etkiye neden olabilecek potansiyel olay, koşul ya da durumlardan oluşur. ç) Raporlama Riski: Kamuya, üst yönetime ve yasal otoritelere yapılan mali ve mali olmayan raporlamaların hatalı olmasına neden olabilecek risklerdir. Kurum içi üretilen bilgi, belge, rapor ve evrakın hatalı ya da eksik yapılması nedeni ile kaynaklanabilecek kayıplara işaret eder. d) Operasyonel Risk: Yetersiz sistemlerden, süreçlerden veya çalışanlardan kaynaklanabilecek kayıpların gerçekleşme riskidir. İş süreçleri, sistemler, faaliyetler ve işlemlerdeki hatalar, verimsizlikler, ihmaller, suiistimaller, hileler, kapasite sorunları bu kapsamda ele alınır. e) Yasal, Operasyonel, Finansal ve Raporlama risklerinden stratejik hedefleri etkileme olasılığı olan riskler aynı zamanda stratejik risk olarak işaretlenir. Risklerin Değerlendirilmesi MADDE 21 (1) Belirlenen riskler, her bir riskin en iyi nasıl yönetileceğine karar vermek amacıyla İdareye etkileri, gerçekleşme olasılıkları ve sonuçları açısından değerlendirilir ve önceliklendirilir. Risk değerlendirilmesinde aşağıdaki kriterler kullanılır: a) Riskin etkisi; riskin, İdarenin amaç, hedef ve faaliyetleri gerçekleştirme yeteneği üzerindeki önem derecesini ifade eder. b) Riskin olasılığı; riskin belirli bir zaman periyodu içinde gerçekleşme ihtimalini ifade eder. c) Etki ve olasılık durumları 1 ile 5 arasında puanlanarak (çok yüksek, yüksek, orta, düşük, çok düşük) önceliklendirilir. 5 çok yüksek etki/olasılık derecesini, 1 çok düşük etki/olasılık derecesini ifade eder. 8

9 ç) Riskler, nitel ve nicel veriler bir arada kullanılarak değerlendirilir. d) Risklerin etki ve olasılık dereceleri risk iştahı çerçevesinde belirlenen Tablo -4 ve Olasılık Tablo -5 Değerlendirme Skalalarında yer alan nitel ve nicel kriterler dikkate alınarak belirlenir. e) Risk seviyesi, İdarenin riske maruz kalma seviyesini ifade eder. Riskin gerçekleşme olasılığı ve etkisi için verilen puanların çarpımı ile risk seviyesi belirlenir. f) Risk değerlendirmesi ile söz konusu risk seviyesi dikkate alınarak, İdarenin risk iştahı çerçevesinde riskin kabul edilip edilemeyeceğine karar verilir. Risk Matrisleri MADDE 22 (1) Risk Matrisleri risk bilgilerinin toplandığı EK-6 da örneği yer alan tablolardır. a) Risk Matrisleri, risk analizi çalışmalarında tespit edilen ve ölçülen tüm riskleri içerecek şekilde oluşturulur. b) Risk Matrisleri doğal ve kalıntı risk matrisleri olarak iki farklı şekilde hazırlanır. c) Risk Matrislerinde çok yüksekten çok düşüğe kadar her bir risk seviyesini gösterecek şekilde sırasıyla; kırmızı, sarı, yeşil olmak üzere 3 renk kullanılır. DÖRDÜNCÜ BÖLÜM Riske Cevap Verme ve Kontrol Yöntemleri Riske Cevap Verme Yönteminin Belirlenmesine İlişkin Hususlar MADDE 23 (1) Risk iştahı ve risk toleransı çerçevesinde; her bir cevabın riskin olasılığı ve etkisi üzerindeki tesirini değerlendirmek, maliyetini ve faydasını dikkate almak suretiyle kontroller ve risk eylem planları belirlenir. İdarenin riske cevap verme konusundaki tutumu aşağıdaki gibidir: (2) Risklere; a) Kabul etme; İdarenin riski üstlenmeyi uygun görmesi, b) Kontrol etme; İdarenin risklerin kabul edilebilir bir seviyede tutmak için kontrol faaliyetleri aracılığıyla riske cevap vermesi, c) Devretmek; Daha çok İdarenin doğrudan asli görev alanına girmeyen veya fayda-maliyet açısından idare tarafından yapılması uygun görülmeyen ve bu anlamda riskleri yüksek olduğu değerlendirilen faaliyetlerin, uzmanlığı/donanımı/kaynağı olan başka bir idare/kişi/kuruluşa devredilmesi, ç) Kaçınma; Risk yönetilemeyecek kadar büyükse veya faaliyet hayati öneme sahip değilse, İdarenin faaliyete son vermesi, yöntemlerinden biri ile cevap verilir. (3) Riske cevap verme yöntemi, riskin Risk Matrisi üzerinde yer aldığı bölge dikkate alınarak belirlenir. (4) Mevcut kontroller dikkate alındıktan sonra, kalıntı risk seviye matrisi üzerinde orta ve daha yüksek seviyede yer alan tüm riskler için riske cevap verme yöntemlerinin tekrar değerlendirilmesi ve risk seviyesini azaltmak için uygun cevap verme yöntemine karar verilmesi temel prensiptir. Risk Kontrol Yöntemleri MADDE 24 (1) Şiddetini azaltma kararı verilen riskler için uygulanan/uygulanacak kontrol yönteminin tespit edilmesinde aşağıdaki kriterler dikkate alınır: 9

10 a) Kontroller, İdarenin her türlü plan ve programı ile mali ve mali olmayan tüm iş ve işlemlerinin ayrılmaz bir parçasıdır. Bu nedenle İdarenin her bir fonksiyonunu ve yönetim düzeyini kapsayacak şekilde tasarlanır ve uygulanır. b) Kontroller, seçilen risk cevaplarının başarılmasına yardımcı olacak şekilde tesis edilir ve yürütülür. c) Kontrol yöntemi; kontrol faaliyeti veya risk eylem planı olarak belirlenir. Risklerin etki ve/veya olasılık seviyelerini azaltmaya yönelik olarak; hâlihazırda uygulanmakta olan faaliyetler kontrol faaliyetleri, belirli süre içinde gerekli hazırlıklar yapılarak gelecekte belirlenen bir tarihte uygulamaya alınmak üzere planlanan eylemlere risk eylem planı adı verilir. ç) Kontroller; ekte yer alan Tablo -7 yardımı ile; kontrolün işlevi, otomasyon seviyesine göre değerlendirilerek iki ayrı sınıflandırmaya tabi tutulur. Her bir kontrol sınıflandırılarak kayıt edilir. d) Belirlenen her bir kontrolün sıklığı kontrolle ilişkilendirilerek kayıt edilir. e) Mevcut kontrollerin riskin şiddetini azaltmak konusunda yeterli olmadığı ve kalıntı risk seviyesinin risk iştahının üzerinde olduğunun tespit edilmesi halinde risk eylemleri planlanarak, makul bir süre içinde uygulamaya alınması sağlanır. f) Planlanan risk eylemleri; eylemin tanımı, çalışmanın başlangıç ve bitiş tarihleri belirlenerek kayıt edilir. g) Risk eylem planları, belirlenen tarihe kadar gerekli alt yapı çalışmaları tamamlanarak kontrol faaliyeti haline getirilir ve risk üzerine kontrol olarak kayıt edilir BEŞİNCİ BÖLÜM Bilgi, İletişim, İzleme ve Raporlama Süreci Bilgi ve İletişim Süreci MADDE 25 (1) İdare İç Kontrol ve Risk Yönetimi Sürecinde yapılan her çalışma Kalite Yönetim Sistemi Yazılımı (QDMS) İç Kontrol Modülü üzerine kayıt edilir, sistem üzerinden periyodik olarak izlenir ve raporlanır. (2) İç Kontrol ve Risk Yönetimine ilişkin bilgi yönetiminin etkin bir şekilde sağlanabilmesi için Kalite Yönetim Sistemi Yazılımı (QDMS)kullanımında aşağıdaki hususlara dikkat edilir; a) Kurum ve birim teşkilat şemaları fonksiyonel yapıyı gösterecek şekilde İç Kontrol Modülünde yer alır ve meydana gelen değişiklikler sistem üzerine derhal kayıt edilir. b) Tüm personelin görev ve sorumluluklarına ilişkin bilgiler sistem üzerinde güncel olarak yer alır. c) Tüm personelin süreçlerin işleyişini, süreçlere ilişkin risk ve kontrolleri sistem üzerinden takip etmesi sağlanır. ç) Tüm süreçler; süreç hiyerarşisi içinde kurumsal amaç ile hedeflerle süreçler ve sürece ilişkin sorumluluklar arasındaki ilişkiyi gösterecek şekilde sistem üzerinde güncel halde tutulur. d) Süreç hiyerarşisine uygun olarak mali ve mali olmayan tüm işlemlere ilişkin iş akış şemaları sistem üzerinde oluşturulur. e) İş akışlarda meydana gelecek değişiklikler, görevli personelce sistem üzerine süreç revizyonları olarak kayıt edilerek sürece ilişkin iyileştirme çalışmaları takip edilir 10

11 İzleme ve Raporlama Süreci MADDE 26 (1) İdare risk izleme ve raporlanma süreci; belirli hiyerarşik raporlama kuralları ve kanalları aracılığı ile süreçte görev alan her bir personelden başlayarak Genel Müdür e kadar uzanan bilgi ve iletişim ağını kapsar. (2) İdare Risk Yönetimi Süreci, bu yönergede yer alan risk yönetimi aktörleri tarafından yılda en az bir defa yapılacak raporlamalarla izlenir ve değerlendirilir. Risk Yönetimi sürecine ilişkin olarak; raporlama şekli, raporlama periyodları, raporlamanın kim tarafından ve hangi mercilere yapılacağı gibi hususlar İdare Risk Koordinatörü tarafından belirlenir. (3) Risk yönetimi süreci tüm faaliyet, karar ve eylemlerin ayrılmaz bir parçası olup, düzenli raporlamaların yanı sıra, sürekli olarak uygulanacak izleme ve raporlama süreci aşağıdaki gibi yürütülür, a) Alt süreçlerde görev alan her bir personel, riskleri ve sorumluluğundaki kontrol faaliyetlerini sistem üzerinden takip eder, faaliyetlerini yürütürken tespit ettiği/karşılaştığı riskleri ve kontrol zaafiyetlerini ve kontrol önerilerini Birim Risk Koordinatörüne raporlar. b) Birim Risk Koordinatörü, süreç görevlileri tarafından iletilen riskler ile kendisi tarafından tespit edilen riskleri, Birim Risk Yönetimi Ekibi ve Birim Yöneticisine iletir. c) Birim Yöneticisi, tespit ettiği riskler ile kendisine iletilen riskleri, Birim Risk Koordinatörü ve Risk Yönetimi Ekibi ile görüşerek riskin tanımına, riske ilişkin kontrol yöntemine karar vererek sistem üzerinden onaylar. Birden fazla birimi ilgilendiren risk ve kontroller süreç sorumlusuna iletilir ve süreç sorumlusu tarafından onaylanır. ç) Sistem üzerine kayıt edilen her bir risk, kontrol ve risk eylem planı ilgili Süreç Sorumlusuna, İdare Risk Koordinatörüne, Strateji Geliştirme Dairesi Başkanlığına raporlanır. d) Birim Yöneticileri ve Birim Risk Koordinatörlerince risk ve kontroller ile risk eylem planlarının gerçekleşme durumları her seviyedeki risk için düzenli olarak izlenir. Hüküm Bulunmayan Haller MADDE 27 (1) Bu Yönergede hüküm bulunmayan hallerde, 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ve ilgili mevzuat hükümlerine uyulur. Yürürlük MADDE 28 (1) Bu yönerge İdare Yönetim Kurulu tarafından kabulü tarihinden itibaren yürürlüğe girer. Yürütme MADDE 29 (1) Bu Yönerge hükümleri, Genel Müdür tarafından yürütülür. 11

12 RİSK YÖNETİM SÜREÇ ADIMLARI (TABLO 1) 12

13 İş Akışlar Üzerinde Risklerin Belirlenmesine Yönelik Sorular (TABLO-2) SORULAR İş adımı doğru yerde mi? Daha uygun bir yerde olabilir mi? İş adımı kendisinden önce ve sonra gelen iş adımları ile uyumlu mu? İş adımı ekonomik ve verimli yürütülüyor mu? İş adımı yetkili kişilerce mi gerçekleştiriliyor? İş adımı yetkin kişilerce (nitelik ve sayı) mi gerçekleştiriliyor? İş adım manuel mi yürütülüyor? Ne tür hatalar yapılabilir? İş adımında kullanılan kaynak ya da varlıklar zarar görebilir mi? İş adımında kullanılan sistem/donanım/yazılım çökebilir mi? İş adımında bir hata olur ise süreçte yer alan diğer adımlar etkilenebilir mi? İş adımında yolsuzluk yapma imkanı var mı? İş adımının çıktıları var mı? Bu çıktılar hangi koşullarda hatalı olabilir? Hangi koşullarda çıktı alınamayabilir? İş adımının girdileri var mı? Bu girdiler hatalı olabilir mi? Girdilerin hatalı olması iş adımını ve çıktıyı nasıl etkiler? İş adımı veya iş adımlarında yaşanan kronik sorunlar veya zafiyetler var mı? İş adımı hangi koşul/durumlarda gerçekleştirilemez? İş adımı hangi koşullarda/durumlarda hatalı ya da eksik gerçekleştirilebilir? İş adımı çevresel faktörlerden nasıl etkilenebilir? İş adımı herhangi bir mevzuat gereği mi yürütülüyor? Bu mevzuata uyulmaz ise ne olur? EVET HAYIR 13

14 Ana Süreç/Alt Süreçler Üzerinde Risklerin Belirlenmesine Yönelik Sorular ( TABLO 3) 1 Stratejik ve operasyonel hedeflere ulaşmayı ne engeller? 2 Mevcut varlıkların kaybedilmesi veya ciddi boyutta zarar görmesine neden olabilecek şeyler nelerdir? 3 İş sürekliliğini kesintiye uğratabilecek olaylar nelerdir? 4 Çevresel unsurlardaki olası değişimlerin sürece olumsuz yansımaları neler olabilir? 5 Operasyonların verimli çalışmasını neler engelleyebilir? 6 Kaynakların ekonomik kullanılmasına mani olabilecek durumlar nelerdir? 7 Hangi olağandışı durumlar operasyonları tehdit edebilir? 8 Hangi koşullarda itibar kaybı ile karşılaşılabilir? 9 Hangi koşullarda yasal müeyyideler ile karşı karşıya kalabiliriz? 10 Süreçteki faaliyetlerin amaç ve hedeflerden uzaklaşmasına neden olacak örgütsel zafiyetler nelerdir? 11 Bütçeden sapmaya neden olabilecek faktörler nelerdir? 12 Finansal ve operasyonel raporların hatalı, eksik veya tutarsız olmasına neden olabilecek şeyler nelerdir? 13 Süreç içi ve dışı iletişimi kesintiye uğratacak şeyler nelerdir? 14 Sürecin tam kapasite ile çalışmasına neler engel olur? 15 Taleplere uygun hizmetleri sunmayı ve bu hizmetlerin devamlılığını engelleyen sebepler nelerdir? 16 En hassas olduğumuz yer neresidir? 17 Kontroller nerede zayıftır? 14

15 Etki Değerlendirme Skalası ( TABLO 4 ) ÇOK YÜKSEK (5) Riskin gerçekleşmesi, birim amirlerinin ve/veya üst yöneticinin istifa etmesini ya da görevden alınmasını gerektiren bir etkiye sahiptir. Mevzuattan kaynaklanan uyulması gereken çok önemli sorumluluklar bulunmaktadır. Riskin gerçekleşmesi, Meskinin kamuoyu nezdindeki itibarı üzerinde kritik düzeyde itibar kaybı yaratır. Doğal nedenlere dayanmayan personel ölümü. Ulusal medyaya olumsuz olarak bir süre yansımak. Riskin gerçekleşmesi, Meskideki birden fazla birimin faaliyetlerinde kesinti/durma yaşanmasına neden olacak etkiye sahiptir. Riskin gerçekleşmesi, üst yönetici memnuniyeti üzerinde olumsuz etkiye sahiptir YÜKSEK (4) Mevzuattan kaynaklanan uyulması gereken önemli sorumluluklar bulunmaktadır Riskin gerçekleşmesi Meskinin kamuoyu nezdindeki itibarı üzerinde önemli seviyede itibar kaybı yaratır. Personel veya vatandaş sakatlanması. Uluslararası medyaya olumsuz olarak kısa süre yansımak. Riskin gerçekleşmesi, Meskideki bir birimin faaliyetlerinde kesinti/durma yaşanmasına neden olacak etkiye sahiptir. Riskin gerçekleşmesi, personel, vatandaş ve orta düzeyde yönetici memnuniyeti üzerinde olumsuz etkiye sahiptir. Mevzuattan kaynaklanan uyulması gereken sorumluluklar bulunmaktadır ORTA (3) Riskin gerçekleşmesinin Meskinin kamuoyu nezdindeki itibarı üzerinde etkileri bulunmaktadır. Çalışanların veya vatandaşın tedavi görmesini gerektirecek yaralanmalar. Ulusal medyaya olumsuz olarak kısa süre yansımak. Riskin gerçekleşmesi, Meskideki birden fazla birimin faaliyetleri üzerinde olumsuz etkiye sahiptir. Riskin gerçekleşmesi, personel ve vatandaş memnuniyeti üzerinde olumsuz etkiye sahiptir. DÜŞÜK (2) Mevzuattan kaynaklanan uyulması gereken sınırlı ölçüde sorumluluklar bulunmaktadır. Riskin gerçekleşmesinin Meskinin kamuoyu nezdindeki itibarı üzerinde sınırlı etkileri bulunmaktadır. İlk yardım gerektirebilecek küçük yaralanmalar. Yerel medyaya olumsuz olarak kısa süre yansımak. Riskin gerçekleşmesi, Meskideki bir birimin faaliyetleri üzerinde olumsuz etkiye sahiptir. Riskin gerçekleşmesinin, personel ve vatandaş memnuniyeti üzerinde bir etkisi yoktur. ÇOK DÜŞÜK (1) Mevzuattan kaynaklanan sorumluluklar üzerinde doğrudan bir etkisi bulunmamaktadır. Riskin gerçekleşmesinin Meskinin kamuoyu nezdindeki itibarı üzerinde hiç bir etkisi olmaz. Çalışana yada personele zarar gelmesi söz konusu değildir. Medyaya yansımaz. Riskin gerçekleşmesinin, Meskinin faaliyetleri üzerinde bir etkisi yoktur. 15

16 Olasılık Değerlendirme Skalası ( TABLO 5 ) ÇOK YÜKSEK (5) YÜKSEK (4) ORTA (3) DÜŞÜK (2) ÇOK DÜŞÜK (1) (10-15 YIL) (5-10 YIL) (2-5 YIL ) (1-2 YIL ) (1 YIL VE DAHA AZ) Risk durumu birçok kez gerçekleşti ve şu anda da gerçekleşiyor. Riskin meydana geleceği neredeyse kesindir Risk durumu birçok kez gerçekleşti. Benzer kurum / bölüm / süreçlerde gerçekleşti. Ortam gerçekleşmesi için son derece uygun. Riskin meydana gelme ihtimali yüksektir. Risk ancak belirli durumlarda gerçekleşebilir. Benzer kurum / bölüm / süreçlerde belirli durumlarda gerçekleşti. Ortam gerçekleşmesi için uygun olabilir. Riskin meydana gelme ihtimali orta derecededir. Risk durumu ancak çok özel koşullar altında söz konusu olabilir. Benzer kurum / bölüm / süreçlerden ancak çok özel durumlarda gerçekleşebilir. Ortam gerçekleşmesi için uygun değil. Riskin meydana gelme ihtimali düşüktür. Risk durumunun gerçekleşmesi söz konusu değil. Risk çok istisnai durumlarda meydana gelebilir. 16

17 Risk Matrisi ( TABLO 6 ) ÇOK YÜKSEK (KESİNLİKLE) YÜKSEK (BÜYÜK OLASILIKLA) OLASILIK ORTA (MÜMKÜN) DÜŞÜK (MUHTEMEL) ÇOK DÜŞÜK (NADİR) ÇOK DÜŞÜK DÜŞÜK ORTA YÜKSEK ÇOK YÜKSEK ETKİ 17

18 Kontrol Tanımları Tablosu ( TABLO -7 ) KONTROLÜN İŞLEVİ ÖNLEYİCİ TESPİT EDİCİ YÖNLENDİRİCİ DÜZELTİCİ Risklerin gerçekleşme olasılığını azaltıp kurum tarafından kabul edilebilir seviyede tutmak için uygulanması gereken kontrollerdir Riskler gerçekleştikten sonra meydana gelen zarar ve hasarın ne olduğunun tespiti amacıyla gerçekleştirilen kontrollerdir. Risklerin gerçekleşmemesi veya risk oluştuğunda ortaya çıkacak etkiden kaçınmak amacıyla gerçekleştirilen kontrollerdir. Risklerin gerçekleştiği durumlarda ortaya çıkan tehditlerden kaynaklanan istenmeyen sonuçların etkisini azaltmak veya düzeltmek amacıyla gerçekleştirilen kontrollerdir. KONTROLÜN OTOMASYONU MANUEL OTOMATİK Süreç içerisinde çalışanlarca manuel olarak gerçekleştirilen kontrollerdir. Sistem içerisine yerleştirilen, bilgisayar ya da otomasyon sistemleri destekli kontrollerdir 18

19 RİSK KAYIT FORMU ( TABLO -8 ) Sıra No: Risk kaydındaki sıralamayı gösterir. Referans No: Referans numarası risk sahibinin bağlı olduğu birimi de gösterecek şekilde yapılan bir kodlamadır. Örnek: MHD.1 KDB.2 SGB.3 Stratejik Amaç: Riskin ilişkili olduğu stratejik amacın, stratejik plandaki kodunun yazıldığı sütundur. Stratejik Hedef: Riskin ilişkili olduğu stratejik hedefin, stratejik plandaki kodunun yazıldığı sütundur. Süreç Adı: Riskin ilişkili olduğu ve QDMS sisteminde kayıtlı sürecin adını Alt Süreç Adı: Riskin ilişkili olduğu ve QDMS sisteminde kayıtlı alt sürecin adını Mevcut Durum: Riskin halihazırdaki durumunun kısaca anlatılması Etki: Oylama Formu kullanılarak tespit edilen etki değeridir (1-5 arasında) Olasılık: Oylama Formu kullanılarak tespit edilen olasılık değeridir (1-5 arasında). Risk Puanı: Etki puanı(ortalama) ile olasılık puanı (ortalama) çarpılarak Risk Puanı bulunur Risk Türü: Yönergede tanımlara uygun olarak belirlenen risk türü yazılır. Birden çok risk türü yazılabilir Risk Kontrol Sorumlusu: Riske tanımlanan kontrolün takibini yapmaktan sorumlu makamı ifade eden sütun. Öngörülen Kontrol: Birim amirinin bu risk için önerdiği kontrolün yazılacağı sütun. Kontrol İşlevi: Yönergedeki tanımlara göre doldurulacak olan sütun. Kontrolün Otomasyonu: Kontrolün yazılım yardımıyla mı elle mi takip edileceğinin yazıldığı sütun. Kontrolün Sıklığı: Kontrolün hangi zaman aralığında uygulanacağı yazılır. Örnek: günlük, haftalık, aylık, yıllık Açıklamalar: İhtiyaç duyulan diğer hususlar bu sütunda belirtilir. NOT: Yıl içerisinde yeni bir risk tespit edilmesi durumunda riski tespit eden personel bir üst yöneticiye bu riski iletir. Yönetici bunun yönetilmesi gereken bir risk olduğuna karar verirse, bu risk, Risk Kayıt Formuna işlenerek ilgili yönetici tarafından onaylanır 19

20 RİSK OYLAMA FORMU ( TABLO -9 ) OLASILIK ETKİ Stratejik Amaç Stratejik Hedef Süreç Adı Alt Süreç Adı Risk Riski ortaya çıkaran sebep/sebepler A B C (A+B+C)/3 A B C (A+B+C)/3 Risk Puanı: Etki*Olasılık Birim Risk Yönetim Ekibi Adı Soyadı (A) Adı Soyadı (B) Adı Soyadı (C) İmza İmza İmza Stratejik Amaç: Riskin ilişkili olduğu stratejik amacın, stratejik plandaki kodunun yazıldığı sütundur Stratejik Hedef: Riskin ilişkili olduğu stratejik hedefin, stratejik plandaki kodunun yazıldığı sütundur Etki: Katılımcıların verdikleri puanların aritmetik ortalaması alınarak riskin (ortalama) etki puanı bulunur Olasılık: Katılımcıların verdikleri puanların aritmetik ortalaması alınarak riskin (ortalama) olasılık puanı bulunur Risk Puanı: Etki puanı(ortalama) ile olasılık puanı (ortalama) çarpılarak Risk Puanı bulunur 20