Risk Yönetimi ve Kontrol Faaliyetleri 16-17 Mayıs 2013/Van Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürlüğü Mali Yönetim ve Kontrol Dairesi Şafak Birol ACAR Maliye Uzmanı
İç Kontrol Bileşenleri Kontrol Ortamı Risk Değerlendirmesi Kontrol Faaliyetleri Bilgi ve İletişim İzleme
Risk Nedir?
Riskin Tanımı Risk; amaç ve hedeflere ulaşmayı engelleyebilecek olaylardır. İdareler açısından öncelik olumsuzluklardan etkilenmemeye çalışmak olsa da her riskin içinde fırsatları da barındırdığını unutmamak gerekir.
Risk Yönetimi Bileşeni Risk değerlendirmesi: Risk değerlendirme, idarenin hedeflerinin gerçekleşmesini engelleyecek risklerin tanımlanması, analiz edilmesi ve gerekli önlemlerin belirlenmesi sürecidir.
Kamu İç Kontrol Standartları Standart 5. Planlama ve Programlama İdareler, faaliyetlerini, amaç, hedef ve göstergelerini ve bunları gerçekleştirmek için ihtiyaç duydukları kaynakları içeren plan ve programlarını oluşturmalı ve duyurmalı, faaliyetlerinin plan ve programlara uygunluğunu sağlamalıdır. Planlama ve Programlama standardına ilişkin temel sorular İdare, misyon ve vizyonunu oluşturmak, stratejik amaçlar ve ölçülebilir hedefler saptamak, performanslarını ölçmek, izlemek ve değerlendirmek amacıyla katılımcı yöntemlerle stratejik plan hazırlamış mıdır? İdare, yürüteceği program, faaliyet ve projelerini, bunların kaynak ihtiyacını, performans hedef ve göstergelerini içeren performans programı hazırlamış mıdır? İdare, stratejik planına ve performans programına uygun olarak bütçe hazırlamış mıdır? Yöneticiler, faaliyetlerin stratejik plan ve performans programına uygunluğunu ve sonuçlarını izlemek amacıyla uygun bir prosedür belirlemiş midir?
Kamu İç Kontrol Standartları Standart: 6. Risklerin belirlenmesi ve değerlendirilmesi İdareler, sistemli bir şekilde analizler yaparak amaç ve hedeflerinin gerçekleşmesini engelleyebilecek iç ve dış riskleri tanımlayarak değerlendirmeli ve alınacak önlemleri belirlemelidir. Risklerin belirlenmesi ve değerlendirilmesine ilişkin temel sorular İdarede Kurumsal Risk Yönetimi mekanizmaları oluşturulmuş mudur? Kurumsal risk iştahını da içerecek şekilde risk stratejisi belirlenmiş ve personele duyurulmuş mudur? Stratejik/operasyonel planla, programla/projeyle belirlenen amaç ve hedeflere ulaşmayı engelleyebilecek olası olaylar tespit edilmiş midir? Tespit edilen olaylar sonucu oluşabilecek riskler belirlenmiş ve bunların olası etkileri değerlendirilmiş midir? Tespit edilen risklere fayda-maliyet analizi çerçevesinde gerekli cevaplar oluşturulmuş mudur? Risk cevaplarına ilişkin bir eylem planı hazırlanmış mıdır? Risk yönetimi sistemi ve tespit edilen riskler belli aralıklarla gözden geçirilmekte midir?
Tanımlar Doğal Risk (Yapısal, içsel, inherent); yönetim tarafından herhangi bir önlem alınmaması durumunda risklerin seviyesini ifade eder. Riskler ilk tespit edildiğinde sahip oldukları risk seviyesi Doğal Risktir. Olayların doğasında var olan riskleri anlatmak için kullanılan bir terimdir. Kalıntı Risk (Artık, residual); yönetimin muhtemel bir olayın olasılığını ve etkisini azaltmak için aldığı önlemlerden sonra arta kalan risk seviyesini ifade eder. Risk İştahı/Risk Alma İsteği: yönetimin hedefleri belirlerken üstlenmeyi öngördüğü risk miktarıdır. Risk Toleransı; yönetimin, herhangi bir önlem almaya gerek görmediği, maruz kalmaya hazır olduğu risk seviyesidir.
Örnek Hedef: Belli bir yere zamanında ulaşmak Faaliyet: Araba kullanmak,.,.. Doğal risk: Tecrübesizlik, mekanik problemler, alt yapı yetersizlikleri Kontrol önlemi: Ehliyet almak, sürüş dersleri almak, bakım yaptırmak, trafik kurallarına uymak vb. Kalıntı risk: Acemi bir şoförün size çarpması, levhasız yol,
Risk İştahı Yüksek Risk Düşük Risk Doğal Durum Kalıntı Durum İştah Kaynak: OGC nin Risk Gösterge Tablosu/ Thinking about risk adlı yayından alınmıştır-hm Treasury
Risk Yönetim Süreci
Risklerin Tespit Edilmesi Risklerin tespit edilmesi, kurumun hedeflerine ulaşmasını engelleyen veya zorlaştıran risklerin, önceden tanımlanmış yöntemlerle belirlenmesi, gruplandırılması ve güncellenmesi sürecidir. Tespit edilen riskler, idarenin hedefleri ile ilgili olmalıdır. Riskler, sistematik olarak ve önceden belirlenmiş yöntemlere göre tespit edilmelidir. Hedeflere ilişkin olarak tespit edilen riskler iç ve dış riskler olarak gruplandırılmalı ve hem iç hem de dış riskler kendi içinde alt gruplara ayrılmalıdır. Riskler tespit edildikten sonra bunların sahibi yani kimin sorumluluğunda olduğu belirlenmeli ve risk kaydında bu bilgiye yer verilmelidir. Risk yönetimi dinamik bir süreç olduğundan yeni ortaya çıkan riskler tespit edilmeli ve mevcut risklerdeki değişiklikler sürekli takip edilmelidir.
Riskleri Nasıl Tespit Edebilirim? Riskleri önce stratejik seviyede mi, operasyonel seviyede mi, yoksa iki yöntemi birlikte kullanarak mı belirleyeceğinize karar verin. Tehdit ve fırsatları (kapsamı dikkate alarak) belirleyin ve gruplandırın (stratejik, faaliyetler, mevzuata uygunluk, raporlama vb.). Gerekli insan kaynağı, araç ve yöntemlere karar verin. Riskleri tespit etmek için en yaygın olarakaşağıdaki yöntemler kullanılmaktadır. Ancak bunların belirleyebilirler. dışında da idareler ihtiyaçlarına göre farklı yöntemler PESTLE Analizi GZFT/SWOT/FÜTZ Analizi Beyin Fırtınası (Bu yöntem hem tespit hem de değerlendirmede kullanılabilir.) Riskleri iç risk ve dış risk olarak gruplandırın. Bir paydaş analizi gerçekleştirin (paydaşların pozisyonu ve tutumları vb.). Düzenli olarak ve değişim dönemlerinde mevcut ve yeni riskleri değerlendirin.
Risklerin Tespit Edilmesi-İpuçları Tespit edilen risk kadar, riskle ilgili bilginin var olup olmadığı ve varsa doğruluğu da göz önünde bulundurulmalıdır. Farklı uzmanlıkların bir arada bulunduğu bir çalışma ekibi yeni riskleri tespit etme ihtimalini arttırır. Anahtar kavramlar; açık iletişim kanallarına sahip olmak ve ileri görüşlü olmaktır.
Risklerin Değerlendirilmesi Risk değerlendirmesi idarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin değerlendirilmesidir. Riskler değerlendirilirken idarenin karşılaşacağı potansiyel olaylar ile birlikte idarenin kendine özgü durumu da (örneğin idarenin büyüklüğü, faaliyetlerinin karmaşıklığı, yürüttüğü faaliyetlerde tabi olduğu mevzuat, siyasi öncelikleri, kamuoyu ilgisi) göz önünde bulundurulmalıdır.
Riskleri Değerlendirmenin 3 Temel Aşaması Her risk için etki ve olasılığın tespit edilmesi Risklerin doğal risk ve kalıntı risk olarak değerlendirilmesi ve kontrol faaliyetlerinin belirlenmesi Risk değerlendirme sonuçlarının kaydedilmesi
Risk Değerlendirme-İpuçları Tespit edilen risklerin belli bir zaman dilimi için olasılık ve etkilerini ölçün. Riskin etki değerini belirlerken, ulaşılmasını zorlaştıracağı/engelleyeceği öngörülen hedef üzerindeki etkisini değerlendirin. Ölçümde uygun yöntemlerden yararlanın. Bir işin riskini en iyi o işi yapan kişinin değerlendireceğini göz önünde bulundurun. Başka kurumların/birimlerin faaliyetlerinin risklerinizi etkileyebileceğini ve dolayısıyla risklerin birbirinden bağımsız olmadığını dikkate alın. Tüm riskleri birlikte görebilmek için risk haritaları vb. tablolardan yararlanın. Riskleri risk puanlarına (Etki x Olasılık) göre önceliklendirin.
Risk Haritası 10 10 20 30 40 50 60 70 80 90 100 9 9 18 27 36 45 54 63 72 81 90 8 8 16 24 32 40 48 56 64 72 80 7 7 14 21 28 35 42 49 56 63 70 Etki 6 6 12 18 24 30 36 42 48 54 60 5 5 10 15 20 25 30 35 40 45 50 4 4 8 12 16 20 24 28 32 36 40 3 3 6 9 12 15 18 21 24 27 30 2 2 4 6 8 10 12 14 16 18 20 1 1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10 Yeşil/Düşük Sarı/Orta Kırmızı/Yüksek Olasılık
Risk Matrisi Yüksek Etki/ Düşük Olasılık Yüksek Etki/ Yüksek Olasılık E t k i Eylem Planı Düşük Etki/ Düşük Olasılık Kontrol Prosedürleri Eylem Planı Düşük Etki/ Yüksek Olasılık Tolere Edilebilir Risk Kontrol Prosedürleri O l a s ı l ı k
Risklere Cevap Verilmesi Riske Cevap Verme Yöntemleri Kabul Etmek Kontrol Etmek Devretmek Kaçınmak
Risklere verilecek cevaplar Risklere verilecek yanıtın neolacağının belirlenmesi ve beklenen tehditlerin azaltılması veya ortaya çıkacak fırsatların değerlendirilmesidir. Amaç, ortaya çıkacak etkiyi azaltmak ve öngörülen hedefe en etkin bir şekilde ulaşmaktır. Risklere verilecek cevap belirlenirken elde edilen faydanın harcanan kaynaktan daha fazla olmasına dikkat edilmelidir.
Risklere Cevap Verilmesi-İpuçları Risklerin önceliklendirilmesi, hangi riske önce cevap verileceğine karar vermekte yardımcı olur. Kamu idaresi olarak risklere verilecek cevaplar belirlenirken, paydaşlar ve onlar üzerindeki etkiler de göz önünde bulundurulmalıdır. Risklere cevap verirken aşırı kontrol önlemlerinden kaçınmak gerekir. Kontrol eksikliği kadar kontrollerin gereğinden fazla olması da idarenin etkinliğine zarar verir. Risklere verilecek cevaplarda, diğer idarelerle koordineli hareket edilmesinin daha etkin olma ihtimali göz önünde bulundurulmalıdır.
Risklere verilecek cevaplar Kabul Etmek; Kamu idarelerinin etki-olasılık değerlendirmesi sonucu kontrol etmeyi maliyet-etkin bulmadıkları veya çeşitli nedenlerle kabul etmek zorunda kaldıkları risklere karşı verilen pasif bir cevap yöntemidir. Kabul Etmek cevabının çeşitli nedenleri olabilir; Doğal risk, risk iştahı içindedir. Bazı fırsatlardan yararlanmak için bir miktar riske girmek başarı için gerekli olabilir. Bazı riskler faaliyet sonlandırılmadıkça ortadan kalkmaz ki faaliyeti sonlandırmak her zaman mümkün değildir ya da istenmez.
Risklere verilecek cevaplar Devretmek; İdarenin yürüttüğü bazı faaliyetlerin çeşitli nedenlerle başkasına devredilmesi şeklinde riske verilecek yanıt yöntemidir. Ancak risk devredilse dahi kurumun sorumluluğunun devam ettiği bilinmelidir. Çünkü risk gerçekleştiği taktirde bundan zarar görecek olan kurumun kendisidir. Risk devri aşağıda belirtilen şekillerde yapılabilir; Sigorta yöntemi kullanarak riski devretmek. Faaliyetin bir kısmını veya tamamını uzmanlığı olan başka bir kuruma devretmek. İhale yöntemi ile faaliyetin yapılmasını üçüncü şahıslara devretmek.
Risklere verilecek cevaplar Kaçınmak; Risk yönetemeyeceğimiz kadar fazlaysa ve öngörülen faaliyetin alternatifleri mevcutsa bu faaliyetten kaçınabiliriz. Eğer alternatifleri yoksa dönemsel olarak kaçınabiliriz.
Risklere verilecek cevaplar Kontrol Etmek; Kamu idarelerinde risklerin kabul edilebilir bir seviyede tutulması amacıyla yapılacak kontrol faaliyetleri sonucunda riske verilecek cevap yöntemidir. Yönlendirici Kontroller; Belirli bir sonuca ulaşmayı sağlamak için yapılan kontrollerdir. Önleyici Kontroller; Risklerin gerçekleşmesi halinde idare için oluşturacağı tehditleri sınırlamak ve istenmeyen sonuçların ortaya çıkmasını en aza indirgemek adına faaliyet gerçekleşmeden önce yapılması gereken kontrollerdir. Tespit Edici Kontroller; Riskler gerçekleştikten sonra meydana gelen zarar ve hasarın neolduğunun tespiti amacıyla yapılan kontrollerdir. Düzeltici Kontroller; Risklerin gerçekleştiği durumlarda ortaya çıkan sonuçların etkisini azaltmaya/düzeltmeye yönelik kontrollerdir.
Kontrol Faaliyetlerinin Aşamaları
Risklerin Gözden Geçirilmesi Risklerin Gözden Geçirilmesi; Risklerin gözden geçirilmesindeki amaç; risk profilinde veya sepetinde bir değişiklik olup olmadığını, risk yönetim sürecinin etkili olduğuna dair güvence verip vermediğini ve yeni tedbirlere ihtiyaç duyulup duyulmadığını belirlemektir. Risklerin etki ve olasılık yönünden zaman içerisinde yeniden değerlendirilmesi gerekir. Koşulların değişmesi ile yeni risk alanlarının da oluşması muhtemeldir. Tespit edilen riskler (aylık, üç ayda bir, altı ayda bir) ve risk yönetim süreci (her yönüyle en az yılda bir kez) belli periyotlarla gözden geçirilip değerlendirilmelidir. Risklerin ve risk yönetim sürecinin gözden geçirilmesi birbirinden farklı süreçlerdir.
Risklerin Gözden Geçirilmesi-İpuçları Faaliyetin özelliğine göre gözden geçirme dönemi belirleyin. Kritik riskleri sıklıkla gözden geçirin. Gözden geçirme sırasında risklerin etki ve olasılığını o dönem için değerlendirin. Gözden geçirme dönemi içinde yeni risklerin çıkıp çıkmadığını tespit edin. Riskin durumundaki değişikliğe göre kontrol faaliyetlerinin durumunu da gözden geçirmek gerekir. Ortadan kalkan bir riskin gereksiz hale gelmiş kontrolü de kaldırılmalıdır. Tespit edilen bulguları risk kaydına işleyin. Her seviyede riskleri raporlayın. Riskle ilgili değişimleri risk raporunda gösterin, ancak çok acil durumlarda en kısa zamanda bir üst yöneticiyi veya risk sorumlusunu bilgilendirin.
İletişim Risk yönetimi sürecinde iletişim, her türlü bilginin doğru ve zamanında çeşitli mekanizmalar yoluyla iletilmesini ifade eder. Risk yönetiminde iletişim mekanizmasının güçlü bir şekilde işleyebilmesi paydaşlar tarafından ortak bir dilin kullanılmasına bağlıdır. Her düzeyde karar verme mekanizmasını güçlendirmek ve doğru, zamanlı, eksiksiz ve ilgili bilgi akışını yatay ve dikey olarak sağlamak çok önemlidir. Hizmetin başka kurumlarla ortaklık gerektirdiği durumlarda, ilgili kurumlarla ve nihai olarak kurumun hizmetlerinden doğrudan veya dolaylı olarak etkilenen vatandaşlar ve sivil toplum kuruluşlarıyla etkin iletişim kanallarının oluşturulması gerekmektedir. Hedefleri etkileyebilecek her türlü riskin tespit edilmesi ve mevcut risklerdeki değişikliklerin izlenebilmesi açısından, bilgilere erişim noktalarının belirlenmesi gibi hususlar risk yönetiminde iletişimin kolaylaştırıcı etkileridir.
Raporlama Risk yönetim sürecinde raporlamanın kimler tarafından, kimlere ve hangi sıklıkta yapılacağı açıkça belirlenmelidir. Raporların mümkün olduğunca kısa ve öz bilgilerden oluşması, değerlendirmelere ilişkin kanıtların gösterilmesi, ilgili olması, gerektiği zamanda ve gerekli kişilere yapılması önem arz etmektedir. İdare içerisinde raporlamanın hiyerarşik sistemden bağımsız olarak yatay ve dikey olarak ilgili kişilere yapılması gerekir.
Öğrenme Risklerle başa çıkabilme büyük oranda deneyimlere dayanmaktadır. Bu nedenle öğrenme, risklerle başa çıkabilmede büyük önem taşır. Önceki deneyimler ve bu anlamda başarılı ve başarısız uygulamaların güçlü bir iletişim ağı içerisinde herkes tarafından bilinmesi risklere daha etkili ve daha hızlı cevap verilmesini kolaylaştıracaktır. Özellikle yeni ortaya çıkmış riskler ve bunlarla başa çıkma yöntemleri konusunda olumlu ve olumsuz deneyimlerin paydaşlara iletilmesi ve bu anlamda nelerin yanlış gidebileceğinin bilinmesi hataların tekrarlanmasını önleyebilecek ve risklerle başa çıkmada etkinliği artıracaktır.
Risk Değerlendirme/Kontrol Faaliyetleri
Dinlediğiniz İçin Teşekkürler safak@bumko.gov.tr www.bumko.gov.tr http://kontrol.bumko.gov.tr