KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ HAZIRLAYAN : ŞERİF OLGUN ÖZEN, CGAP KİDDER EĞİTİM KOMİTESİ BAŞKANI ÇALIŞMA VE SOSYAL GÜVENLİK BAKANLIĞI İÇ DENETİM BİRİMİ BAŞKANI sozen@csgb.gov.tr
EĞİTİMİN İÇERİĞİ Kurumsal risk yönetiminin yasal dayanağı İç Denetimin Kurumsal Risk Yönetimi Açısından Görev Ve Sorumlulukları Kurumsal risk yönetimi çerçeveler ve model önerileri
Kurumsal risk yönetiminin yasal dayanağı
Risk yönetiminin yasal dayanağı (1) Risk değerlendirmesi İÇ KONTROL ün unsurlarından biridir. 5018 Sayılı Kanun 55. madde; iç kontrolün tanımı, 56. madde; iç kontrolün amacı, 57. madde iç kontrolün yapısı ve işleyişi İç kontrol ve ön mali kontrole ilişkin usul ve esaslar Madde 7; İç Kontrolün Unsurları Ve Genel Koşulları B Bendi; Risk Değerlendirmesi Madde 8; İç Kontrole İlişkin Yetki Ve Sorumluluklar
Risk yönetiminin yasal dayanağı (2) KAMU İÇ KONTROL STANDARTLARI TEBLİĞİ Standart: 6. Risklerin belirlenmesi ve değerlendirilmesi İdareler, sistemli bir şekilde analizler yaparak amaç ve hedeflerinin gerçekleşmesini engelleyebilecek iç ve dış riskleri tanımlayarak değerlendirmeli ve alınacak önlemleri belirlemelidir. Bu standart için gerekli genel şartlar: 6.1. İdareler, her yıl sistemli bir şekilde amaç ve hedeflerine yönelik riskleri belirlemelidir. 6.2. Risklerin gerçekleşme olasılığı ve muhtemel etkileri yılda en az bir kez analiz edilmelidir. 6.3. Risklere karşı alınacak önlemler belirlenerek eylem planları oluşturulmalıdır.
Committee of Sponsoring Organisations (COSO) ENTERPRISE RISK MANAGEMENT (ERM) Hedefler 4 kategoride ele alınabilir: n Stratejik n Operasyonlar n Raporlama n Uygunluk q Çerçevenin 8 bileşeni birbiri ile ilişkilidir 1. Kontrol ortamı, 2. Amaç belirlenmesi, 3. Hadiselerin (event) tanımlaması, 4. Risklerin değerlendirilmesi, 5. Risk cevabı, 6. Kontrol faaliyetleri, 7. Bilgi ve iletişim, 8. İzleme. Hedefler Faaliyet/ Birim Çerçevenin 8 bileşeni
İç denetim standartları İç Denetimin tanımı 2100 - İşin Niteliği 2110 - Risk Yönetimi 2130 Yönetişim (Kurumsal Yönetim) 2200 - Görev Planlaması
İç Denetimin Kurumsal Risk Yönetimi Açısından Görev Ve Sorumlulukları
İç Denetimin Kurumsal Risk Yönetimi Açısından Görev Ve Sorumlulukları (1) Temel görevi: Risk yönetimi süreçleri konusunda güvence verme, Risklerin doğru şekilde ölçülüp değerlendirildiği konusunda güvence verme, Risk yönetimi süreçlerini ölçüp değerlendirme, Önemli risklerin raporlamasını değerlendirme, Önemli risklerin yönetilmesini gözden geçirme.
İç Denetimin Kurumsal Risk Yönetimi Açısından Görev Ve Sorumlulukları (2) Danışmanlık faaliyeti kapsamında : Eğitimler Risk kültürünün oluşturulması Kolaylaştırıcılık Risk yönetim çerçevesinin kurulması Komisyonlara katılım Öneri geliştirme
İç Denetim Birimleri ne yapar (1) Risk esaslı planlama katkı Kurumsal risk yönetimi Risk esaslı denetim ve danışmanlık
Kurumsal Risk Yönetiminin Faydaları Hedeflere ulaşılma ihtimalini arttırır Proaktif yönetim yaklaşımını destekler Fırsat ve tehditleri belirlemede yetkinliği arttırır Hukuki normlara uygun olunmasını sağlar Zorunlu ve isteğe bağlı yapılan raporlamayı geliştirir İç kontrol standartlarına uygun yönetim anlayışına geçişi kolaylaştırır Paydaşların güvenini artırır Karar alma ve planlamada güvenilir bir temel sağlar Riskle mücadelede kaynakların tahsis edilmesi ve kullanılmasında etkinlik sağlar İş ve işlemlerde etkinliği ve verimliliği artırır Kayıpları en aza indirir Zaman tasarrufu sağlar Kamu İç Denetçileri Derneği-Haziran 2013
Kurumsal risk yönetimi çerçeveler ve model önerileri
KRY BİLEŞENLERİ Çerçeve süreç Kurumsal Risk Yönetimi
KRY Çerçevesinin unsurları Risk yönetim modeli oluşturulması Modelin gözden geçirilmesi ve risklerin izlenmesi Risk yönetiminin gerçekleştirilmesi Modelin sürekli iyileştirilmesi Kamu İç Denetçileri Derneği-Haziran 2013
KRY Süreci Hedeflerin belirlenmesi Kontrollerin uygulanması Risklerin tanımlanması Kontrollere karar verilmesi Risklerin ölçülmesi
Risk Yönetim Döngüsü Kamu İç Denetçileri Derneği-Haziran 2013
Kurumsal risk yönetimi çerçeveler ve model önerileri
KRY çerçeveleri COSO Kurumsal Risk Yönetimi (ERM-Enterprise risk management) ISO 31000 Risk Yönetimi Standartlar Seti-Prensipler ve uygulama rehberi ISO 31010 Risk yönetimi ve risk değerlendirme teknikleri ISO IEC 73 Risk yönetimi sözlüğü AS/NZS 4360 Avustralya Yeni Zelanda Risk Yönetimi Standardı BS 31100 İngiltere Risk Yönetimi Standardı (Özbek; 2012, s.262-272)
RİSK YÖNETİMİ YAKLAŞIMLARI HORIZONTAL (YATAY) ORGANİZASYON YAKLAŞIMI MULTI-LAYERED (ÇOK KATMANLI) YAKLAŞIM
HORIZONTAL (yatay) YAKLAŞIM Risk Management Panel Risk Yönetim Komisyonu: Kurum başkanının görevlendirdiği birim başkanları tarafından oluşur; Risk Register Kurum başkanı tarafından veya görevlendireceği bir yetkili -risk yönetim koordinatörü tarafından koordine edilir. Risk Alert Forms Mitigating Action Plan Risk Alert Forms
HORIZONTAL YAKLAŞIM ADIM 1: Risk Belirleme Risk yönetim komisyonu üyeleri kurumun amaçlarına ulaşmasını engelleyecek tehditleri belirler; Aynı zamanda bütün seviyelerdeki personel risk uyarı formlarını kullanarak potansiyel tehditler konusunda yönetimi uyarır. (ön değerlendirme ve eylem önerileriyle birlikte). Adım 2: Riskleri Gözden Gecirmek Risk Yönetim Koordinatörü bütün risk uyarı formlarını kaydeder. Risk Yönetim Komisyonu : Sunulan her riskin etki ve olasılığını yeniden değerlendirir. Yönetimin sunulan risklerle başa çıkma kapasitesini değerlendirir ve risk değerini hesaplar.
HORIZONTAL YAKLAŞIM ADIM 3: Risk Eylem Planı Yeni riskler için : Riskin esas (köklerini) sebepleri belirlenir ve analiz edilir. Risk azaltma eylemleri belirlenir. Eylemler için tarih ve sorumlu personel belirlenir. Bu bilgiler risk kütüğüne ve risk eylem planına kaydedilir. Yüksek riskli durumlar için kurum paydaşları uyarılır.
HORIZONTAL YAKLAŞIM ADIM 3: Risk Eylem Planı Daha önce belirlenen riskler için: Bir önceki toplantıdan beri uygulanan risk azaltma eylemleri analiz edilir. Ara dönemde uygulanan risk azaltma eylemleri göz önünde bulundurularak olasılık, etki ve kontrol puanlarının değişip değişmediği gözden geçirilerek Artık risk değerlendirilir. (Risk azaltma eylemleri uygulandıktan sonra geriye kalan risk) Ortadan kalkan riskler silinir veya gerekirse ek eylemler planlanır.
HORIZONTAL YAKLAŞIM Adım 4: Risk Azaltma Eylemlerinin Uygulanması Risk yönetim koordinatörü sorumlu personel tarafından gerçekleştirilen risk eylemlerinin uygulamalarını izler. Koordinatör iç kontrolleri güçlendirecek süreçler ve diğer risk azaltma eylemleri konusunda rapor düzenleyerek Risk Yönetim Komisyonunu bilgilendirir.
MULTI-LAYERED (çok katmanlı) YAKLAŞIM Risk Management Panel Risk yönetimi alt birimler düzeyinde organize edilir. Riskler kurum düzeyinde konsolide edilir. Consolidated Risk Register Yapı: Birim düzeyinde risk çalışma grupları Risk List Mitigating Action Plan Risk List Kurum düzeyinde rısk yönetim komisyonu Risk List Risk List Risk Alert Forms Risk Alert Forms
MULTI-LAYERED (çok katmanlı) YAKLAŞIM Adım 1: Risklerin Belirlenmesi Çalışma grupları tüm aktif personelin katılımıyla birim amaçlarını tehdit eden riskleri belirler. Adım 2: Risk Değerlendirmesi Belirlenen riskler çalışma grubu tarafından olasılık, etki ve iç kontrollerin etkililiği açısından değerlendirilir. Adım 3: Risk Azaltma Birim Düzeyinde: Risklerin temelinde yatan sebepler belirlenir ve analiz edilir; Risk azaltma eylemleri belirlenir; Tarihler ve risk eylemleri için sorumlu personel belirlenir. Bu bilgiler risk listesine kaydedilir. Risk listesi Risk Yönetim Komisyonuna sunulur.
MULTI-LAYERED (çok katmanlı) Organizasyon düzeyinde: YAKLAŞIM Birimlerin risk listeleri diğer tüm birimlere gönderilir ve görüşleri alınır. (internet veya diğer otomatik iletişim araçları ile); Riskler konsolide edilir: Bütün birimler risk listelerini gözden geçirir ve benzer risklerin konsolide edilmesi için önerilerde bulunur; Bir riskin konsolide edilebilmesi için diğer ilgili birimlerin buna olumlu görüş vermesi gerekir. Riskler konsolide edilirken yüksek puanlı riskler korunur. Belirlenen diğer riskler ve azaltma önlemleri eklenir.
MULTI-LAYERED (çok katmanlı) Organizasyon düzeyinde: YAKLAŞIM Kabul edilebilir risk düzeyi belirlenir ve bu kapsamda hangi risklerin ve azaltma eylemlerinin uygulanacağına karar verilir. Risk azaltma önlemleri düzene koyulur ve konsolide edilir; Risk azaltma eylemlerinin uygulanması için son tarihler ve sorumlular belirlenir. Risk azaltma eylemleri izlenir.
Risk yönetim yapısı: KRY Model Önerileri Çalışanlar riskleri risk uyarı formu kullanarak risk yönetim koordinatörüne bildirir. Risk yönetim koordinatörü riskleri oluşturulacak olan forma kaydeder. Risk yönetim komisyonu risklerin etki ve olasılığını yeniden değerlendirir. Çalışanlar Koordinatör Komisyon
Hangi görevler kimlere verilebilir Stratejik yönün tayini görevi yönetim kurulu, denetim komitesi veya bir başka komiteye verilebilir. Risklerin sorumluluğu üst yönetim kademelerine verilebilir. Ek risklerin kabulü sorumluluğu icra kurulu düzeyinde olabilir. Sürekli risk tespit, tanımlama, değerlendirme, azaltma ve izleme faaliyetleri, faaliyetler düzeyinde yürütülebilir. Dönemsel değerlendirme ve güvence sağlama görevleri, iç denetim faaliyetine verilmelidir.
KRY de kullanılan formlar Risk kütüğü Risk uyarı formu Risk rehberi Konsolide rapor İzleme raporları
Vaka çalışması Kamu İç Denetçileri Derneği-Haziran 2013