Kurumların yöneticileri ve çalışanları tarafından uygulanan, kurumun Faaliyetlerinin etkinliği ve verimliliği Raporlama sisteminin güvenirliği Yasa ve düzenlemelere uygunluğu Varlık ve kaynaklarının korunması Hedeflerine ulaşması İÇ KONTROL için gereken makul güvenceyi sağlamak amacıyla tasarlanmış bir süreçtir.
İç Kontrolün Unsurları: Kontrol Ortamı Risk Yönetimi Kontrol Faaliyeti Bilgi ve İletişim İzleme İÇ KONTROL
İÇ KONTROL
Üniversitemiz İç Kontrol Eylem Planının Hazırlanma Süreci: İç Kontrol Eylem Planı Hazırlama Grubu ve İKİYK Rektörlük oluru ile kuruldu. (18.06.2014) Uyum Eylem Planı Maliye Bakanlığına gönderildi.(03.12.2014)
Üniversitemiz İç Kontrol Eylem Planının Hazırlanma Süreci: İKİYK üyeleri revize edilmiştir.(08.02.2018) İç Kontrol Uyum Eylem Planı Rektörlük oluru ile revize edilmiştir.(13.03.2018) Birimlerden Risk Yönetim Ekibi oluşturulması istenmiştir.(30.03.2018) Risk Strateji Yönergesi Senatoda kabul edilmiştir.(19.04.2018)
Risk ve Fırsat Nedir? Amaç ve hedeflerin gerçekleşmesini olumsuz etkileyebileyeceği değerlendirilen olay ve durumlar risk, Amaç ve hedefler üzerinde olumlu etkide bulunabileceği değerlendirilen olay ve durumlar ise fırsat olarak tanımlanır.
Risk Stratejisinin Belirlenmesi, Risklerin Tespit Edilmesi, Risklerin Değerlendirilmesi, Risklere Cevap Verilmesi, Risklerin Gözden Geçirilmesi, Raporlanması aşamalarından oluşmaktadır.
Risk Yönetimi Stratejisi ve Risk Strateji Belgesi Risk yönetimine ilişkin kurumsal yaklaşıma ve üst düzey politikalara Risk Yönetim Stratejisi; Yaklaşım ve politikaların yazılı olarak ortaya konduğu belgeye ise Risk Strateji Belgesi (RSB) denir.
Risk Strateji Belgesi İdarenin; Risklere karşı tutumunu yansıtır. Risk yönetim süreci için çerçeve oluşturur.
Risk İştahı: İdarenin amaçları doğrultusunda kabul etmeye hazır olduğu en yüksek risk düzeyidir. Bu düzeyin üstündeki risklerin kabul edilemeyeceğini ve önlem alınması gerektiğini ifade eder.
Görev, Yetki ve Sorumluluklar Üst Yönetici İç Kontrol İzleme ve Yönlendirme Kurulu İdare Risk Koordinatörü Birim Risk Koordinatörü Alt Birim Risk Koordinatörü Çalışanlar İç Denetim Birimi Strateji Geliştirme Birimleri Merkezi Uyumlaştırma Birimi
Risk Yönetiminde Görev ve Sorumluluklar
Üst Yönetici RSB yi onaylayarak, tüm çalışanlara yazılı olarak duyurulur. Rehber kapsamında gerekli yapıları oluşturarak görev ve sorumlulukları açıkça belirler. İzleme raporlarını inceler ve risk yönetiminin etkinliğini sağlar.
İç Kontrol İzleme ve Yönlendirme Kurulu Bir üst yönetici yardımcısı veya birim yöneticisi başkanlığında birim yöneticileri veya görevlendirecekleri yardımcılarından oluşmaktadır. İdarenin risk yönetiminin geliştirilmesine ilişkin politika ve prosedürler oluşturarak üst yöneticinin onayına sunar.
İdare Risk Koordinatörü Üst yönetici, yardımcılarından birini veya SGB yöneticisini İRK olarak görevlendirir. Birim Risk Koordinatörlerini toplantıya çağırır. BRK tarafından raporlanan birim risklerini Konsolide Risk Raporu olarak üst yöneticiye sunar.
Birim Risk Koordinatörü Birim yöneticisi tarafından; birimin görevleri ve iç kontrol uygulamaları konusunda birikim ve tecrübesi olan kişiler arasından belirlenir. Risklerin tespit edilmesini koordine eder ve rehberlik sağlar. Risk kayıtları ve ilgili raporları belirlenen periyotlarla gözden geçirir ve İRK ye raporlar.
Çalışanlar Her bir çalışan, görev alanı çerçevesinde risklerin yönetilmesinden sorumludur.
İç Denetim Birimi Risk yönetim sürecinin etkili olup olmadığı, risklerin gereken şekilde yönetilip yönetilmediği hususunda incelemeler yaparak üst yöneticiye mevzuatları çerçevesinde gerekli raporlamaları yapar.
Strateji Geliştirme Birimleri Risk yönetimine ilişkin çalışmaları koordine eder ve iç kontrol sisteminin değerlendirilmesi kapsamında risk yönetiminin etkinliğini de değerlendirerek belirli dönemler halinde İKİYK ye sunar.
1.Risklerin Tespit Edilmesi İdarenin hedeflerine ulaşmasını engelleyen veya zorlaştıran risklerin, önceden tanımlanmış yöntemlerle belirlenmesi, gruplandırılması ve güncellenmesi sürecidir.
Tespit edilen riskler ilgili stratejik amaç ve hedef ile ilişkilendirilmelidir. Tespit edilen risklerin; x riski veya x in olma riski şeklinde ifade edilmesi ve Risk Belirleme ve Değerlendirme Formuna kaydedilmesi uygun olacaktır.
İç Riskler ve Dış Riskler Doğrudan idare tarafından kontrol edilebilecek olaylar sonucunda ortaya çıkan risklere iç risk denir. İdarenin kontrolü dışında gerçekleşen olaylar sonucunda ortaya çıkan risklere dış risk denir.
Risk Tespit Yöntemleri: PESTLE Analizi GZFT/SWOT Analizi Beyin Fırtınası
Beyin Fırtınası Yöntemi: Risklerin belirlenmesi ve değerlendirilmesi aşamasında bir kolaylaştırıcının başkanlığında belirli iş sürecinde çalışan tüm personelin uygun ortamda bir araya gelmesi ve aktif katılım göstermesidir.
Beyin Fırtınası İçin Önerilen Temel Kurallar Kolaylaştırıcı belirlenmesi Kötü fikir diye bir şey yoktur Eşit konuşma hakkı ve konuşmanın belli bir süre ile sınırlandırılması Aktif katılım Yönlendirmenin kolaylaştırıcı tarafından yapılması Kişisel eleştiri değil açık eleştiri
Risk Tespiti Sürecinde Sorulabilecek Sorular: Hedeflere ulaşma yolunda neler yanlış gidebilir? Kritik süreçlerimiz nelerdir? Zayıf olduğumuz alanlar nelerdir? Hangi varlıklarımız kritik öneme sahiptir? En fazla harcama yaptığımız alanlar nelerdir? Hangi faaliyet ya da süreçler daha karmaşıktır? Yasal gereklilikler nelerdir?
2.Risklerin Değerlendirilmesi İdarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin değerlendirilmesidir. Risklerin değerlendirilmesi, riskler tespit edildikten sonra risklerin ölçülmesi, önceliklendirilmesi ve kaydedilmesi aşamalarını kapsar.
2.Risklerin Değerlendirilmesi Ölçme Önceliklendirme Kaydedilmesi aşamalarından oluşur.
Riskleri Değerlendirmeye Başlarken Göz Önünde Bulundurulması Gereken Sorular Hedefler nelerdir? Mevcut kontroller nelerdir? Riskler gerçekleşirse hedefler üzerindeki olası sonuçları nelerdir? Başka bir birimin faaliyeti bizim riskimizi etkiler mi?
a) Risklerin Ölçülmesi Her risk için etki ve olma olasılığı tespit edilir. Olasılık, bir olayın belirli bir zaman diliminde gerçekleşmesi durumunu ifade ederken; Etki ise bu olayın meydana gelmesi halinde, idarenin hedef ve faaliyetleri üzerinde yaratacağı sonucu ifade etmektedir.
a) Risklerin Ölçülmesi Riskler değerlendirilirken üçlü bir kategori kullanılır. Düşük risk seviyesi yeşil, Orta risk seviyesi sarı, Yüksek risk seviyesi kırmızı ile gösterilir. Risklerin renklerle gösterilmesi önem derecesinin kolayca görülmesini sağlar.
Risk Haritası
b) Risklerin Önceliklendirilmesi Risk puanlarının belirlenmesinden sonra risklerin önem derecesine göre sıralanmasıdır. Ancak, hedefleri doğrudan etkileyebilecek riskleri yönetim, puanı düşük olmakla birlikte etkileri açısından öncelikleri arasına alabilir.
c) Risklerin Kaydedilmesi Verilen kararlar için kanıt oluşturulmasına, kişilerin risk içindeki sorumluluklarını görmelerine ve izlenmesine yardımcı olur. İki aşamadan oluşur: Birim Risk Kayıt Formu Kurum Konsolide Risk Tablosu
Risk Değerlendirme İçin İpuçları Tespit edilen risklerin belli bir zaman dilimi için olasılık ve etkilerini ölçün. Bir işin riskini en iyi o işi yapan kişinin değerlendireceğini göz önünde bulundurun. Başka birimlerin faaliyetlerinin risklerinizi etkileyebileceğini ve risklerin birbirinden bağımsız olmadığını dikkate alın. Riskleri risk puanlarına veya önem derecelerine göre önceliklendirin.
3. Risklere Cevap Verilmesi İdareler tarafından tespit edilen risklere verilecek yanıtın ne olacağının belirlenmesidir. Risklere cevap vermenin amacı, riskin olasılığını ve/veya etkisini azaltarak öngörülen hedefe en etkin şekilde ulaşmaktadır.
Risk Cevap Matrisi YÜKSEK ORTA DÜŞÜK OLASILIK ETKİ ÖNLEMLERİ ÖNEMLİ DERECEDE RİSKLER GENİŞ KAPSAMLI RİSK RİSK YÖNETİMINE YÖNETİLMELİ VE YÖNETİMİ İHTİYAÇ GÖZETİM ALTINDA GEREKLİDİR DUYULMAKTADIR TUTULMALIDIR RİSKLER GÖZETİM RİSK, YÖNETİM ALTINDA OLMAK FAALİYETLERİNE FAALİYETLERİNE KAYDIYLA KABUL DEĞECEK İHTİYAÇ EDİLEBİLİR DÜZEYDEDİR DUYULMAKTADIR RİSKİ KABUL ET, FAKAT RİSKLERİ RİSKİ YÖNET VE RİSKİ KABUL ET GÖZLEMLE GÖZLEMLE DÜŞÜK ORTA YÜKSEK
Riske Cevap Verme Yöntemleri
a) Kabul Etmek Alınacak önlemin faydası maliyetinden daha düşük olması durumunda, Bazı risklerin kontrolümüz dışında olması durumunda, Riskler kabul edilir.
b) Kontrol Etmek Yönlendirici Kontroller Önleyici Kontroller Tespit Edici Kontroller Düzeltici Kontroller
c) Devretmek İdarenin doğrudan asli görev alanına girmeyen veya fayda-maliyet açısından idare tarafından uygun görülmeyen ve riskleri yüksek olduğu değerlendirilen faaliyetlerin, başka bir idare/kişi/kuruluşa devredilmesi şeklinde riske cevap verilmesidir.
d) Kaçınmak Risk yönetilemeyecek kadar büyükse veya faaliyet hayati öneme sahip değilse faaliyetten kaçınmak mümkündür.
Risklere Nasıl Cevap Verebiliriz? Riskleri ve fırsatları analiz sonucuna göre sırala. Riskin içeriğine göre cevabını belirle; + Kabul Et + Kontrol Et + Devret + Kaçın Verilecek cevabın faydasının, getireceği maliyetten yüksek olmasına dikkat et.
Risklerin Gözden Geçirilmesi Risklerin gerçekleşme olasılık ve etkilerinde değişiklik olup olmadığını gözden geçir. Gözden geçirmede öncelik risk puanı yüksek olandır. Değişiklik bilgisi üst seviyedeki risk koordinatörüne iletilmelidir. Gözden geçirmeler yılda en az bir kez olmak üzere idare tarafından belirlenen süreler esas alınacaktır.
Raporlama Risk yönetiminde karar alma süreçlerini doğrudan etkileyen bir unsurdur. Raporların, kısa ve öz bilgilerden oluşması, ilgili olması, gerektiği zamanda ve gerekli kişilere sunulması özel önem taşımaktadır. RSB de raporlamanın kimler tarafından, kimlere ve hangi sıklıkta yapılacağı yer almaktadır.
Deneyimlerden Ders Çıkarılması Risklerle başa çıkabilme deneyimlere dayanmaktadır. Birimlerin, birbirlerinden riskleri nasıl yönettiklerini öğrenmeleri ve iyi örnekleri kendilerinde de uygulamaları faydalı bir yöntemdir.