t.c. mersİn su ve kanalİzasyon İdaresİ genel … · kurumsal rİsk yÖnetİmİ yÖnergesİ...
TRANSCRIPT
1
T.C.
MERSİN SU VE KANALİZASYON İDARESİ
GENEL MÜDÜRLÜĞÜ
KURUMSAL RİSK YÖNETİMİ YÖNERGESİ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak, Tanımlar, İlkeler
Amaç
MADDE 1 – (1) Bu yönergenin amacı; İdarenin günlük faaliyetlerinde karşılaştığı veya gelecek
dönemlerde karşılaşabileceği, amaç ve hedeflerini gerçekleştirmesini engelleyecek veya fırsatlar
yaratacak risklerin belirlenmesi, analiz edilmesi ve yönetilerek risklerin olumsuz etkilerinin en aza
indirgenmesini sağlamaktır.
Kapsam MADDE 2 – (1) Bu yönerge, Genel Müdürlük risk yönetimi stratejisinin belirlenmesi, risk yönetimine
ilişkin organizasyon yapısının oluşturulması, risklerin tespit edilmesi, değerlendirilmesi, gözden
geçirilmesi ile raporlama prosedürlerinin belirlemesine ilişkin usul ve esasları kapsar.
Dayanak MADDE 3 – (1) Bu yönerge, 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, İç Kontrol ve Ön
Malî Kontrole İlişkin Usul ve Esaslar, Kamu İç Kontrol Standartları Genel Tebliği ve Kamu İç
Kontrol Rehberine dayanılarak hazırlanmıştır.
Tanımlar MADDE 4 – (1) Bu Yönergede geçen;
a) İdare : Mersin Su ve Kanalizasyon İdaresi (MESKİ) Genel Müdürlüğünü,
b) Genel Müdür: MESKİ Genel Müdürünü,
c) Birim: MESKİ Genel Müdürlüğü Teşkilat Şemasında yer alan birimleri, ç) Birim Yöneticisi: Daire Başkanlıklarında Daire Başkanını, Şube Müdürlüklerinde Şube
Müdürlerini, Şeflikleri,
d) İç Kontrol İzleme ve Yönlendirme Kurulu: Genel Müdür Yardımcısı veya Yardımcıları, Strateji
Geliştirme Dairesi Başkanı ve Genel Müdürün görevlendirdiği birim yöneticilerinden oluşan ve
Genel Müdürce uygun görülen Genel Müdür Yardımcısının başkanlık ettiği kurulu,
e) İdare Risk Koordinatörü: Genel Müdür tarafından görevlendirilen Genel Müdür
Yardımcılarından birini veya Strateji Geliştirme Dairesi Başkanını,
f) Birim Risk Koordinatörü: Birim yöneticisi tarafından belirlenen, birimin görevleri konusunda
tecrübesi olan birim koordinatörlerini,
g) Birim İç Kontrol Temsilcisi: Birimleri bünyesinde iç kontrol çalışmalarını yürüten kişiyi,
ğ) Birim Risk Yönetim Ekibi: Birim Risk Koordinatörünün başkanlık ettiği, Birim Yöneticisi
tarafından oluşturulacak ekibi,
h) Ana Süreç Sorumlusu: MESKİ Kuruluş Görev Yetki ve Teşkilat Yönetmeliği doğrultusunda
belirlenen görevlere ilişkin süreçlerden sorumlu olan birim amirini,
ı) Alt Süreç Sorumlusu: MESKİ Kuruluş Görev Yetki ve Teşkilat Yönetmeliği doğrultusunda
belirlenen görevlere ilişkin Ana Süreç Sorumlusu ve Ana Süreç Sorumlusu tarafından belirlenen
personeli,
i) İç Kontrol ve Risk Yönetimi Sistemi: İç Kontrol ve Risk Yönetimi faaliyetlerinin yönetilmesi
amacıyla kullanılan Kalite Yönetim Sistemi Yazılımı (QDMS) sistemini,
j) Risk: İdarenin, amaç ve hedeflerine ulaşmasına ve görevlerinin ifasına engel olabilecek veya
beklenmeyen zararlara yol açabilecek unsurlar, koşullar, durumlar ya da olayları,
2
k) Doğal Risk Seviyesi: İdare genelinde tespit edilen riskin, yönetilmeden veya herhangi bir kontrol
önlemi alınmadan önceki seviyesini,
l) Kalıntı Risk Seviyesi: Riskin gerçekleşme olasılığını veya etkisini azaltmak için alınan önlemler
ve kontrollerden sonra arta kalan risk seviyesini,
m) Risk İştahı: İdarenin faaliyetlerini sürdürürken, gerçekleşmesi halinde kabul edilebilir ve mazur
görülebilir olarak belirlediği risk seviyesini,
n) Risk Türü: İdare risk yönetimi modeli çerçevesinde; stratejik risk, finansal risk, raporlama riski,
yasal risk ve operasyonel risk olmak üzere tanımlanmış sınıflandırmayı,
o) Risk Analizi: İdarenin mali ve mali olmayan, tüm faaliyetlerine ilişkin olarak; risklerin ve riskleri
ortaya çıkaran sebeplerin tespit edilmesini, tespit edilen risklerin etkilerini ve bu etkilerin ortaya
çıkma olasılıklarının belirlenmesini,
ö) Kontrol Faaliyeti: Risklerin, İdarenin risk iştahı sınırları içinde yönetilmesi ve İdare
faaliyetlerinin yürürlükteki mevzuatla uyumunun sürekli sağlanmasına yardımcı olmak için hali
hazırda uygulanan önleyici, düzeltici, yönlendirici ve tespit edici faaliyetleri,
p) Risk Eylem Planı: Riskin etki ve olasılığını düşürmeye yönelik olarak; ek bir kontrol faaliyeti
oluşturulması gerektiğine veya mevcut kontrollerin yeterli olmadığına ve risk iştahı doğrultusunda
kalıntı riskin kabul edilemez olduğuna karar verildiğinde, belirli bir tarihe kadar uygulamaya
alınması planlanan kontrol yöntemlerini,
r) İç Risk: Doğrudan İdare tarafından kontrol edilebilecek olaylar sonucunda ortaya çıkan riskleri,
s) Dış Risk: İdarenin kontrolü dışında gerçekleşen olaylar sonucunda ortaya çıkan riskleri,
ş) Süreç Hiyerarşisi: İdarenin görev yetki ve sorumlulukları ile misyon ve vizyonu doğrultusunda
fonksiyonlar dahilinde hazırlanan ana süreç ve alt süreçten oluşan yapıyı,
t) Ana Süreç: İdarenin misyon, vizyon ve stratejik amaçları ile doğrudan bağlantı kurulabilen
stratejik öneme sahip üst düzeydeki süreçleri,
u) Alt Süreç: Ana süreçleri oluşturan ve bir veya daha fazla fonksiyonun / birimin sorumluluğundaki
faaliyetleri,
ü) İş Akış Şeması: Bir veya daha fazla kişi ya da birim tarafından gerçekleştirilen ve alt süreçleri
oluşturan işlem adımlarının görsel olarak ifade edilmiş halini,
v) Risk Yönetim Süreci: İdarenin amaç ve hedeflerinin, bu amaç ve hedefler doğrultusunda
yürütülen faaliyetlerin, mevzuata uygun, etkin, ekonomik ve verimli şekilde gerçekleştirebilmesi
için makul güvence sağlamak üzere, risk olarak tanımlanabilecek muhtemel olay veya durumların
önceden belirlenmesi, değerlendirilmesi ve kontrol edilmesi sürecini,
w) İdare Risk Strateji Belgesi: İdarenin risk yönetimine ilişkin kurumsal yaklaşım ve üst düzey
politikaları hakkında bilgileri içeren risk stratejisi belgesini,
ifade eder.
Risk Yönetimine İlişkin İlkeler MADDE 5 – (1) İdare risk yönetimine ilişkin ilkeler şunlardır;
a) İdarenin amaç ve hedeflerinin gerçekleştirilmesini ve hizmet sunmasını engelleyebilecek veya
hizmet kalitesini düşürebilecek, iç ve dış paydaşların İdareye olan güvenini sarsabilecek,
yolsuzluğa meydan verebilecek, faaliyetlerin mevzuata aykırı yürütülmesine ve kaynak kaybına
sebep olabilecek her türlü olay risk olarak değerlendirilir.
b) Riskler, gerçekleşme ihtimali ve gerçekleşmesi halinde ortaya çıkacak sonuçların etkileri göz
önünde bulundurularak ölçülür.
c) Riskler, stratejik hedefler, ana süreçler ve alt süreçler itibarıyla ayrı ayrı analiz edilir.
ç) Risk yönetim süreci, faaliyetlerin niteliğine uygun tasarlanır idarenin her kademedeki yönetici ve
personeli ile birlikte uygulanır.
d) Risklerin gerçekleşme olasılığı ve muhtemel etkileri yılda en az bir kez analiz edilip,
değerlendirilerek alınacak tedbirler belirlenir.
3
e) İdare Risk Yönetimi Süreci, stratejik amaç ve hedeflere ulaşmada yöneticilere makul derecede
güvence sağlayacak şekilde tasarlanır.
f) İdare, risklerini, risk-fırsat dengesini gözeterek tüm ana süreçler ve alt süreçler seviyesinde yönetir.
g) Risk Yönetimi Süreci, İdarenin iç kontrol ve kurumsal yönetim düzenlemelerinin ayrılmaz bir
parçasıdır.
İKİNCİ BÖLÜM
Organizasyon Yapısı ile Görev ve Sorumluluklar
Risk Yönetimi Organizasyon Yapısı MADDE 6- (1) Risk Yönetimi Organizasyon Yapısı; birim ve birey bazlı sorumluluklar ile dikey ve
yatay raporlama ve iletişim kanallarını da içeren ve fonksiyonel bir şekilde oluşturulan yapıyı ifade
eder.
Organizasyon yapısının oluşturulması ve işleyişine ilişkin temel ilkeler şunlardır:
a) İdarenin misyon ve vizyonuna paralel olarak yürütülen Stratejik Planda belirlenmiş amaçları,
hedefleri gerçekleştirmek için yürütülen faaliyetlerde en yüksek düzeyde verim alabilmek için tüm
birimlerin ve kişilerin görev ve sorumlulukları ile yetki sınırları açıkça belirlenir.
b) Risk yönetiminde organizasyon yapısı; Genel Müdür, İç Kontrol İzleme ve Yönlendirme Kurulu,
İdare Risk Koordinatörü, İç Denetim Birimi, Strateji Geliştirme Dairesi Başkanlığı, Ana Süreç
Sorumluları, Alt Süreç Sorumluları, Birim Risk Koordinatörleri, Birim Risk Yönetimi Ekipleri ve
İdarede görev alan tüm görevlilerden oluşur.
c) Risk Yönetimi Organizasyon yapısı tüm personeli kapsamakta olup; İdarede çalışan tüm personel,
yetki ve sorumluluk tanımları çerçevesinde risklerin tespit edilmesi, yönetilmesi, izlenmesi ve
raporlanmasından sorumludur.
Genel Müdür’ün Görev ve Sorumlulukları MADDE 7 – (1) Genel Müdür’ün görev ve sorumlulukları şunlardır;
a) İdarede Risk Yönetimi Sisteminin, iç kontrol uygulamaları ile bütünleşik olarak; kurulmasından,
uygulanmasından ve işleyişinin gözetilmesinden, sorumlu ve yetkili olan kişi Genel Müdür’dür.
b) Risk yönetimi için gerekli yapıları (İç Kontrol İzleme ve Yönlendirme Kurulu, İdare Risk
Koordinatörü, Süreç Sorumluları, çalışanlar ) oluşturarak görev ve sorumluluklarının açıkça
belirlenmesini sağlar.
c) Diğer İdarelerle ortak yönetilmesi gereken riskler konusunda, İdare Risk Koordinatörüne gerekli
desteği sağlar.
ç) İç Kontrol İzleme ve Yönlendirme Kurulu, İdare Risk Koordinatörü ve Strateji Geliştirme Dairesi
Başkanı tarafından sunulan izleme ve değerlendirme raporlarını inceler ve risk yönetiminin
etkinliğini sağlamak üzere değerlendirir.
d) Risk yönetiminin sürecinin İdare politikaları doğrultusunda uygulanması konusunda çalışanları
teşvik eder.
e) Gerekli gördüğü hallerde İç Kontrol İzleme ve Yönlendirme Kurulunu toplantıya çağırır ve
başkanlık eder.
4
İç Kontrol İzleme ve Yönlendirme Kurulunun Görev ve Sorumlulukları MADDE 8 – (1) İç Kontrol İzleme ve Yönlendirme Kurulunun görev ve sorumlulukları şunlardır;
a) İdarenin Risk Strateji Belgesini hazırlayarak üst yöneticinin onayına sunar.
b) İdarede risk yönetim kültürünün oluşturulmasına ilişkin kurumsal politikayı belirler.
c) Birden fazla birimi ya da süreci ilgilendiren risklerden ortak yönetilmesi gerekenleri ve bunlara
ilişkin politika ve prosedürleri belirler.
ç) Daha önce öngörülmeyen risklerin ortaya çıkması durumunda riski ilgili birime iletir ve risklerin
kurumda tutarlı bir şekilde yönetilmesini gözetir.
d) İç Kontrol İzleme ve Yönlendirme Kurulu en az 6 aylık dönemlerde toplanarak, İdarenin risk
yönetimi süreçlerinin etkili işleyip işlemediğini ve risk eylem planlarının uygulanma derecesini
takip ederek risklerde gelinen durumu değerlendirir ve en az 6 aylık dönemler itibariyle Genel
Müdür’e raporlar.
e) Sayıştay ve iç denetim raporlarından da yararlanarak iyi uygulama örneklerinin tespit edilmesini ve
yaygınlaştırılmasını sağlar.
İdare Risk Koordinatörünün Görev ve Sorumlulukları MADDE 9 -(1) İdare Risk Koordinatörünün Görev ve Sorumlulukları şunlardır;
a) İdare Risk Koordinatörü, Risk yönetimi çerçevesinde Birim Risk Koordinatörleri ile yılda en az bir
defa toplantı yapar.
b) Birim Risk Koordinatörleri tarafından raporlanan risk eylem planı gerçekleşme raporlarını
konsolide ederek İç Kontrol İzleme ve Yönlendirme Kuruluna ve üst yöneticiye sunar.
c) Diğer İdarelerin İdare Risk Koordinatörleri ile ortak risk alanlarına ilişkin konuları görüşür ve bu
konuda yapılacak çalışmaların İdare içerisinde koordinasyonunu sağlar.
ç) Birimlerin Risk Yönetimi konusundaki ihtiyaçlarını belirleyerek bunu her toplantı öncesinde İç
Kontrol İzleme ve Yönlendirme Kuruluna raporlanmasını sağlar.
d) İç Kontrol İzleme ve Yönlendirme Kurulunun görüşleri, tavsiyeleri ve kararlarına ilişkin Birim Risk
Koordinatörlerine geri bildirim sağlar ve idarenin risk yönetimi süreçlerinin tutarlı olması
konusunda gerekli önlemleri alır.
Ana Süreç Sorumlularının Görev ve Sorumlulukları MADDE 10- (1) Ana Süreç Sorumlularının Görev ve Sorumlulukları şunlardır;
a) Genel Müdür tarafından yapılan görev dağılımı ile koordinasyonundan görevli ve yetkili kılındıkları
süreçlerin, İdare risk yönetimi politikaları doğrultusunda; iyileştirilmesi, yönetilmesi ve
izlenmesinden sorumludur.
b) Kendilerine bağlı bulunan alt süreçlere ilişkin risk yönetimi raporlarını değerlendirerek, risklerin
yönetilmesi için gerekli önlemlerin alınmasını sağlar.
c) Çeşitli sebeplerle süreçlerde değişiklik yapılmasının gerekli görülmesi halinde alt süreç
sorumlularınca sürecin/süreçlerin hazırlanmasını/revize edilmesini sağlar, yapılan çalışmaları
kontrol ederek onaylar.
ç) Sorumluluğundaki süreçleri, belirli periyodlarda alt süreç sorumluları ile değerlendirerek, süreçlerin
sürekli olarak günün şartlarına uygun, etkin, ekonomik ve verimli bir şekilde yönetilmesi ve
iyileştirilmesi için gerekli çalışmaların yapılmasını sağlar.
5
d) Sorumluluğundaki süreçlere ilişkin risklerden, birden fazla alt süreç sorumlusunun görev alanına
giren süreçlere ilişkin olanların, yönetilmesi konusunda gerekli koordinasyonu sağlar.
e) Diğer süreç sorumlularına bağlı süreçlerden, kendi sorumluluğundaki süreçler ile etkileşim halinde
olan süreçlere ilişkin olarak, diğer süreç sorumluları ile görüşmeler yaparak koordinasyonu sağlar.
f) Gerektiğinde, sorumluluğundaki süreçlerin sahibi olan birimlerin birim risk yönetimi ekiplerini,
toplantıya çağırabilir; rapor, bilgi ve gerekli görülen dokümanları talep edebilir.
g) Sorumluluğu altındaki süreçlere ilişkin iç ve dış denetim raporlarını inceler ve raporlara yansıtılan
risklerin yönetilmesi için gerekli tedbirleri alır.
h) Birimlerin risk yönetimi konusundaki ihtiyaçlarını belirleyerek İç Kontrol İzleme ve Yönlendirme
Kuruluna raporlar.
ı) Sorumluluğundaki süreçlerle ilişkilendirilmiş, plan ve programlarda yer alan hedeflere ilişkin
gerçekleşme bilgilerini değerlendirir ve hedeflerin beklenen düzeyde gerçekleşmesi için gerekli
tedbirlerin alınmasını sağlar.
Alt Süreç Sorumlularının Görev ve Sorumlulukları MADDE 11- (1) Alt Süreç Sorumlularının Görev ve Sorumlulukları şunlardır;
a) MESKİ Kuruluş Görev Yetki ve Teşkilat Yönetmeliği ile görevli ve yetkili kılındıkları süreçleri
yasal düzenlemelere ve günün şartlarına uygun olarak; etkin, ekonomik ve verimli şekilde yönetir.
b) İdare Risk Yönetimi süreçlerinin sorumluluğu altındaki alt süreçlere uygulanması için biriminde
gerekli çalışmaları yapar.
c) Alt süreçlerde belirlenen kontrol faaliyetlerinin etkinliğini düzenli olarak takip eder. Yetersiz veya
gereksiz görülen kontrol faaliyetlerini tespit eder, risklerin yönetilmesi için en uygun kontrol
faaliyetinin sürece eklenmesini sağlar.
ç) Yönetimindeki alt süreçlerde meydana gelen risklerden ve söz konusu riskler nedeniyle beklenenin
altında gerçekleşen hedeflerden sorumludur.
d) Planlanan risk eylemlerinin gerçekleme durumlarını takip eder, eylemlerin süresi içinde ve
belirlenen şekilde uygulamaya alınması için gerekli tedbirleri alır.
e) Herhangi bir sebeple uygulamaya alınamayan, değiştirilmesi veya kaldırılması gereken kontrol
faaliyetleri ve eylem planlarını ana süreç sorumlusunun onayına sunar.
f) Diğer alt süreç sorumluları ile koordinasyon gerektiren hususları ana süreç sorumlusuna bildirir.
g) Risk değerlendirmesi neticesinde planlanan kontrol ve/veya eyleme ilişkin fayda-maliyet analizi
çalışmalarını yapar/yapılmasını sağlar.
Birim Risk Koordinatörünün Görev ve Sorumlulukları
MADDE 12 – (1) Birim Risk Koordinatörünün Görev ve Sorumlulukları şunlardır;
a) Birim çalışanlarını; riskleri belirlemek, tanımlamak, ölçmek ve risk türünü tespit etmek konularında
bilgilendirir, birimde yapılacak risk değerlendirme çalışmalarına rehberlik eder.
b) Yeni tanımlanan risklerin etki ve olasılığını, varsa belirlenmiş kontrolün risk üzerindeki etki
derecesini, kalıntı riskin olup olmadığını, kalıntı riskin risk iştahı içerisinde olup olmadığını Birim Risk Yönetimi ekibi ile birlikte değerlendirir.
c) Tanımlanan riskleri, risk türünü, risk seviyelerini ve kontrol faaliyetlerini gözden geçirerek uygun
bulması halinde Birim Yöneticisinin onayına sunar.
6
ç) Birimin görev tanımlarının ve birimi ilgilendiren alt süreçlerin mevzuat doğrultusunda ilgili
personelle birlikte gözden geçirilmesi çalışmalarını koordine eder.
d) Birden fazla birimi ilgilendiren alt süreç revizesi ya da yeni süreç oluşturulmasına ilişkin olarak yapılacak çalışmalara katılır.
e) İdare Risk Koordinatörü ve İç Kontrol İzleme ve Yönlendirme Kurulunun görüşleri, tavsiyeleri ve kararları doğrultusunda varsa Alt Birim Risk Koordinatörlerine geri bildirim sağlar.
f) Risk Yönetimi ile ilgili eğitim ihtiyaçlarının tespit edilmesini sağlar.
Strateji Geliştirme Dairesi Başkanlığının Görev ve Sorumlulukları MADDE 13 - (1) Strateji Geliştirme Dairesi Başkanlığının görev ve sorumlulukları şunlardır;
a) İdarede risk yönetimine ilişkin çalışmaları koordine eder ve iç kontrol sisteminin değerlendirilmesi
kapsamında risk yönetiminin etkinliğini de değerlendirerek belirli dönemler halinde İç Kontrol
İzleme ve Yönlendirme Kuruluna rapor sunar.
b) Risk yönetimi süreçlerinin İdarenin tüm birimlerinde etkin işlemesini sağlamak üzere teknik destek ve rehberlik hizmeti verilmesini sağlar.
c) Risk yönetimine ilişkin İdarenin eğitim ihtiyaçlarını belirler, eğitim faaliyetlerini koordine eder ve yürütür.
ç) Risk yönetimine ilişkin İdaredeki iyi uygulamaları belirler, bu uygulamaların yaygınlaştırılması için
çalışmalar yapar.
d) Strateji Geliştirme Dairesi Başkanlığı yöneticisinin İdare Risk Koordinatörü olmaması durumunda
İdare Risk Koordinatörünün sekretarya hizmetlerini yürütür.
İç Denetim Birim Başkanlığının Görev ve Sorumlulukları MADDE 14 - (1) İç Denetim Birim Başkanlığının görev ve sorumlulukları şunlardır;
a) Risk yönetimi sürecinin etkili olup olmadığı, risklerin gereken şekilde yönetilip yönetilmediği hususunda incelemeler yaparak, Genel Müdür’e mevzuat çerçevesinde gerekli raporlamaları yapar.
b) İdarede Risk yönetim sürecinin kurulması ve geliştirilmesine destek olmak üzere danışmanlık
hizmeti yapar.
Çalışanların Görev ve Sorumlulukları MADDE 15 – (1) Risk Yönetiminin başarısı çalışanların Risk Yönetimini sahiplenmesine bağlıdır.
Dolayısıyla her bir çalışan, görev alanı çerçevesinde risklerin yönetilmesinden (Risklerin tespit
edilmesi, değerlendirilmesi, cevap verilmesi, gözden geçirilmesi ve raporlanması) sorumludur.
(2) - Çalışanların görev ve sorumlulukları şunlardır;
a) Yeni ortaya çıkan ve değişen riskleri tanımlamak, iletmek ve bunlara cevap vermek yoluyla
birimlerinde risk yönetimi süreçlerine doğrudan katkıda bulunur,
b) Görev alanındaki riskleri, idare tarafından belirlenen yetki ve sorumlukları çerçevesinde yönetir.
c) Görev alanındaki risklerin iyi yönetilip yönetilmediği konusunda Alt Süreç Sorumlusuna; Alt Süreç
Sorumlusu bulunmadığı durumlarda Birim Risk Koordinatörü veya Ana Süreç Sorumlusuna gerekli
kanıtları sağlar.
7
ÜÇÜNCÜ BÖLÜM
Risk Yönetim Süreci / Risklerin Belirlenmesi ve Değerlendirilmesi
İdare/birim risk yönetimi süreci
MADDE 16 – (1) Risk yönetim süreci; İdarenin amaç ve hedeflerini gerçekleştirebilmesi için makul
güvence sağlamak üzere, olası olay veya durumların önceden belirlenmesi, değerlendirilmesi, kontrol
edilmesi, izlenip gözden geçirilmesinden oluşan bir süreçtir.
(2) İdare/birim risk yönetimi sürecinin temel unsurları;
a) Risklerin tanımlanması,
b) Risklerin analiz edilmesi ve ölçülmesini,
c) Risklerin önceliklendirilmesini,
ç) Risklere uygun çözümlerin belirlenmesi ve gözden geçirilmesini,
d) Riskler karşısında uygulanacak kontrol faaliyetlerinin belirlenmesini,
e) Risk yönetim sürecinin sürekli izlenmesini ve gözden geçirilmesini,
f) Bilgi ve iletişimin sağlanmasını kapsar.
(3) İdare/birim risk yönetim süreci; birimlerin amaçlarına, hedeflerine, faaliyetlerine, iş süreçlerine ve
yöntemlerine göre farklılık gösterir.
(4) Risk yönetim süreç adımları Tablo -1 de gösterilmiştir.
Risklerin Tanımlanması MADDE 17 – (1) Bu yönerge ile belirtilen riskler ile hizmet kalitesini düşürebilecek, iç ve dış
paydaşların kuruma olan güvenini sarsabilecek, faaliyetlerin mevzuata aykırı yürütülmesine ve
kaynak kaybına sebep olabilecek olaylar ile kayıtlara ve deneyimlere bağlı çıkarımları ifade eder
Riskin Belirlenmesi MADDE 18- (1) İdarenin risklerin belirlenmesi konusundaki yöntemi aşağıdaki şekildedir;
a) Riskler, İdare süreç hiyerarşisi içerisinde ana süreçler, alt süreçler ve iş akışları üzerinde tespit
edilir.
b) İş akışları üzerinde riskler, alt süreçte görev yapan personel ile birlikte Birim Risk Yönetimi Ekibi
ve Birim Risk Koordinatörü tarafından, iş adımları tek tek değerlendirilmek suretiyle tespit edilir.
İş akışları üzerinde riskleri belirlerken Tablo-2 de yer alan sorulardan yararlanılır.
c) İş akışları üzerinde risk analizi çalışmaları tamamlandıktan sonra, alt sürece ilişkin risk analizi
çalışmasına geçilir. Ana Süreç/Alt süreçlere ilişkin riskler, süreçte görev alan personel ve süreç
sorumlusu/sorumluları ile birlikte; sürecin ilişkili olduğu stratejik hedef de dikkate alınmak
suretiyle tespit edilir ve ölçülür. Süreç risklerinin analizinde Tablo -3 de yer alan sorulardan
yararlanılır.
ç) Risk tanımlanırken, ilk olarak Birim Risk Yönetim Ekibi tarafından Tablo -9 yardımı ile kayıt
altına alınır, daha sonra İdare Risk Koordinatörü gözetiminde Tablo -8 yardımı ile kayıt altına
alınır, bu kayıtlarda herkes tarafından anlaşılabilir ve raporlamaya uygun ifadelere yer verilir.
d) Risk analizi çalışmalarında; anketler, kontrol listeleri, mülakatlar, beyin fırtınası, odak grubu,
denetim raporları, eski veriler, GZFT/SWOT analizi gibi yöntem ve tekniklerden bir ya da bir kaçı
kullanılır.
8
e) Risk analizi çalışmaları; araştırma, toplumsal destek ve sosyal sorumluluk, personel kalitesinin
arttırılması, etik kurallar, iş sürekliliği ve güvenliği, yerel, toplumsal ve küresel ilişkiler, yönetsel
kararlar, saha güvenliği, hizmet sunum standartlarının sağlanması, mevzuata uyum, fiziksel ve
finansal varlıkların korunması konuları çerçevesinde yürütülür.
Mevcut Durum Analizi
MADDE 19– (1) Mevcut durum analizi İdarenin; vizyonu, misyonu, temel değerleri, politikaları,
stratejileri, hedefleri, risk alma ve kabullenme seviyesi ve hizmet sunduğu sektörler, görev ve
sorumluluklarının karmaşıklık düzeyi, görevlerini gerçekleştirmesi sırasında işbirliği içerisinde olduğu
ulusal ve uluslararası kurum ve kuruluşlar ile İdarenin büyüklüğü, kurum kültürü, sorumlu olduğu
mevzuat, hizmet sunduğu grupların yapısı ve insan kaynakları dikkate alınarak yapılır.
(2) Mevcut durum dinamik bir süreç olup belirli sürelerde tekrar gözden geçirilerek gerekli
değişiklikler yapılır.
Risk Türünün Tespit Edilmesi MADDE 20– (1) Riskler; Stratejik risk, yasal risk, finansal risk, raporlama riski ile operasyonel risk
olmak üzere beş alt kategoride değerlendirilir.
a) Stratejik Risk: İdarenin kısa, orta ya da uzun vadede belirlemiş olduğu amaç ve hedefleri doğrudan olumsuz etkileyebilecek risklerdir.
b) Yasal Risk: Kanunların ve yasal düzenlemelerin değişmesinden kaynaklanan riskler ile yetersiz ya
da yanlış bilgi ve dokümantasyon nedeniyle yaşanan yasal uyuşmazlıklar, yükümlülüklerin yerine
getirilmesi konusundaki belirsizlik, düzenlemelerin yanlış yorumlanması veya personelin bu
yükümlülükleri zamanında yerine getirmemesinden kaynaklanan risklerdir.
c) Finansal risk: Finansal kayıp olasılığı taşıyan tehditleri ifade etmekte olup, mali konularda olumsuz bir etkiye neden olabilecek potansiyel olay, koşul ya da durumlardan oluşur.
ç) Raporlama Riski: Kamuya, üst yönetime ve yasal otoritelere yapılan mali ve mali olmayan
raporlamaların hatalı olmasına neden olabilecek risklerdir. Kurum içi üretilen bilgi, belge, rapor ve
evrakın hatalı ya da eksik yapılması nedeni ile kaynaklanabilecek kayıplara işaret eder.
d) Operasyonel Risk: Yetersiz sistemlerden, süreçlerden veya çalışanlardan kaynaklanabilecek
kayıpların gerçekleşme riskidir. İş süreçleri, sistemler, faaliyetler ve işlemlerdeki hatalar, verimsizlikler, ihmaller, suiistimaller, hileler, kapasite sorunları bu kapsamda ele alınır.
e) Yasal, Operasyonel, Finansal ve Raporlama risklerinden stratejik hedefleri etkileme olasılığı olan
riskler aynı zamanda stratejik risk olarak işaretlenir.
Risklerin Değerlendirilmesi MADDE 21– (1) Belirlenen riskler, her bir riskin en iyi nasıl yönetileceğine karar vermek amacıyla
İdareye etkileri, gerçekleşme olasılıkları ve sonuçları açısından değerlendirilir ve önceliklendirilir.
Risk değerlendirilmesinde aşağıdaki kriterler kullanılır:
a) Riskin etkisi; riskin, İdarenin amaç, hedef ve faaliyetleri gerçekleştirme yeteneği üzerindeki önem
derecesini ifade eder.
b) Riskin olasılığı; riskin belirli bir zaman periyodu içinde gerçekleşme ihtimalini ifade eder.
c) Etki ve olasılık durumları 1 ile 5 arasında puanlanarak (çok yüksek, yüksek, orta, düşük, çok düşük)
önceliklendirilir. 5 çok yüksek etki/olasılık derecesini, 1 çok düşük etki/olasılık derecesini ifade
eder.
9
ç) Riskler, nitel ve nicel veriler bir arada kullanılarak değerlendirilir.
d) Risklerin etki ve olasılık dereceleri risk iştahı çerçevesinde belirlenen Tablo -4 ve Olasılık Tablo -5
Değerlendirme Skalalarında yer alan nitel ve nicel kriterler dikkate alınarak belirlenir.
e) Risk seviyesi, İdarenin riske maruz kalma seviyesini ifade eder. Riskin gerçekleşme olasılığı ve
etkisi için verilen puanların çarpımı ile risk seviyesi belirlenir.
f) Risk değerlendirmesi ile söz konusu risk seviyesi dikkate alınarak, İdarenin risk iştahı çerçevesinde
riskin kabul edilip edilemeyeceğine karar verilir.
Risk Matrisleri MADDE 22 – (1) Risk Matrisleri risk bilgilerinin toplandığı EK-6’da örneği yer alan tablolardır.
a) Risk Matrisleri, risk analizi çalışmalarında tespit edilen ve ölçülen tüm riskleri içerecek şekilde
oluşturulur.
b) Risk Matrisleri doğal ve kalıntı risk matrisleri olarak iki farklı şekilde hazırlanır.
c) Risk Matrislerinde çok yüksekten çok düşüğe kadar her bir risk seviyesini gösterecek şekilde
sırasıyla; kırmızı, sarı, yeşil olmak üzere 3 renk kullanılır.
DÖRDÜNCÜ BÖLÜM
Riske Cevap Verme ve Kontrol Yöntemleri
Riske Cevap Verme Yönteminin Belirlenmesine İlişkin Hususlar MADDE 23– (1) Risk iştahı ve risk toleransı çerçevesinde; her bir cevabın riskin olasılığı ve etkisi
üzerindeki tesirini değerlendirmek, maliyetini ve faydasını dikkate almak suretiyle kontroller ve risk
eylem planları belirlenir. İdarenin riske cevap verme konusundaki tutumu aşağıdaki gibidir:
(2) Risklere;
a) Kabul etme; İdarenin riski üstlenmeyi uygun görmesi,
b) Kontrol etme; İdarenin risklerin kabul edilebilir bir seviyede tutmak için kontrol faaliyetleri
aracılığıyla riske cevap vermesi,
c) Devretmek; Daha çok İdarenin doğrudan asli görev alanına girmeyen veya fayda-maliyet açısından
idare tarafından yapılması uygun görülmeyen ve bu anlamda riskleri yüksek olduğu değerlendirilen
faaliyetlerin, uzmanlığı/donanımı/kaynağı olan başka bir idare/kişi/kuruluşa devredilmesi,
ç) Kaçınma; Risk yönetilemeyecek kadar büyükse veya faaliyet hayati öneme sahip değilse, İdarenin
faaliyete son vermesi,
yöntemlerinden biri ile cevap verilir.
(3) Riske cevap verme yöntemi, riskin Risk Matrisi üzerinde yer aldığı bölge dikkate alınarak
belirlenir.
(4) Mevcut kontroller dikkate alındıktan sonra, kalıntı risk seviye matrisi üzerinde orta ve daha yüksek
seviyede yer alan tüm riskler için riske cevap verme yöntemlerinin tekrar değerlendirilmesi ve risk
seviyesini azaltmak için uygun cevap verme yöntemine karar verilmesi temel prensiptir.
Risk Kontrol Yöntemleri MADDE 24– (1) Şiddetini azaltma kararı verilen riskler için uygulanan/uygulanacak kontrol
yönteminin tespit edilmesinde aşağıdaki kriterler dikkate alınır:
10
a) Kontroller, İdarenin her türlü plan ve programı ile mali ve mali olmayan tüm iş ve işlemlerinin
ayrılmaz bir parçasıdır. Bu nedenle İdarenin her bir fonksiyonunu ve yönetim düzeyini kapsayacak
şekilde tasarlanır ve uygulanır.
b) Kontroller, seçilen risk cevaplarının başarılmasına yardımcı olacak şekilde tesis edilir ve yürütülür.
c) Kontrol yöntemi; kontrol faaliyeti veya risk eylem planı olarak belirlenir. Risklerin etki ve/veya
olasılık seviyelerini azaltmaya yönelik olarak; hâlihazırda uygulanmakta olan faaliyetler kontrol
faaliyetleri, belirli süre içinde gerekli hazırlıklar yapılarak gelecekte belirlenen bir tarihte
uygulamaya alınmak üzere planlanan eylemlere risk eylem planı adı verilir.
ç) Kontroller; ekte yer alan Tablo -7 yardımı ile; kontrolün işlevi, otomasyon seviyesine göre
değerlendirilerek iki ayrı sınıflandırmaya tabi tutulur. Her bir kontrol sınıflandırılarak kayıt edilir.
d) Belirlenen her bir kontrolün sıklığı kontrolle ilişkilendirilerek kayıt edilir.
e) Mevcut kontrollerin riskin şiddetini azaltmak konusunda yeterli olmadığı ve kalıntı risk seviyesinin
risk iştahının üzerinde olduğunun tespit edilmesi halinde risk eylemleri planlanarak, makul bir süre
içinde uygulamaya alınması sağlanır.
f) Planlanan risk eylemleri; eylemin tanımı, çalışmanın başlangıç ve bitiş tarihleri belirlenerek kayıt
edilir.
g) Risk eylem planları, belirlenen tarihe kadar gerekli alt yapı çalışmaları tamamlanarak kontrol
faaliyeti haline getirilir ve risk üzerine kontrol olarak kayıt edilir
BEŞİNCİ BÖLÜM
Bilgi, İletişim, İzleme ve Raporlama Süreci
Bilgi ve İletişim Süreci MADDE 25– (1) İdare İç Kontrol ve Risk Yönetimi Sürecinde yapılan her çalışma Kalite Yönetim
Sistemi Yazılımı (QDMS) İç Kontrol Modülü üzerine kayıt edilir, sistem üzerinden periyodik olarak
izlenir ve raporlanır.
(2) İç Kontrol ve Risk Yönetimine ilişkin bilgi yönetiminin etkin bir şekilde sağlanabilmesi için
Kalite Yönetim Sistemi Yazılımı (QDMS)kullanımında aşağıdaki hususlara dikkat edilir;
a) Kurum ve birim teşkilat şemaları fonksiyonel yapıyı gösterecek şekilde İç Kontrol Modülünde yer
alır ve meydana gelen değişiklikler sistem üzerine derhal kayıt edilir.
b) Tüm personelin görev ve sorumluluklarına ilişkin bilgiler sistem üzerinde güncel olarak yer alır.
c) Tüm personelin süreçlerin işleyişini, süreçlere ilişkin risk ve kontrolleri sistem üzerinden takip
etmesi sağlanır.
ç) Tüm süreçler; süreç hiyerarşisi içinde kurumsal amaç ile hedeflerle süreçler ve sürece ilişkin
sorumluluklar arasındaki ilişkiyi gösterecek şekilde sistem üzerinde güncel halde tutulur.
d) Süreç hiyerarşisine uygun olarak mali ve mali olmayan tüm işlemlere ilişkin iş akış şemaları sistem
üzerinde oluşturulur.
e) İş akışlarda meydana gelecek değişiklikler, görevli personelce sistem üzerine süreç revizyonları
olarak kayıt edilerek sürece ilişkin iyileştirme çalışmaları takip edilir
11
İzleme ve Raporlama Süreci MADDE 26– (1) İdare risk izleme ve raporlanma süreci; belirli hiyerarşik raporlama kuralları ve
kanalları aracılığı ile süreçte görev alan her bir personelden başlayarak Genel Müdür’e kadar uzanan
bilgi ve iletişim ağını kapsar.
(2) İdare Risk Yönetimi Süreci, bu yönergede yer alan risk yönetimi aktörleri tarafından yılda en az
bir defa yapılacak raporlamalarla izlenir ve değerlendirilir. Risk Yönetimi sürecine ilişkin olarak;
raporlama şekli, raporlama periyodları, raporlamanın kim tarafından ve hangi mercilere yapılacağı gibi
hususlar İdare Risk Koordinatörü tarafından belirlenir.
(3) Risk yönetimi süreci tüm faaliyet, karar ve eylemlerin ayrılmaz bir parçası olup, düzenli
raporlamaların yanı sıra, sürekli olarak uygulanacak izleme ve raporlama süreci aşağıdaki gibi
yürütülür,
a) Alt süreçlerde görev alan her bir personel, riskleri ve sorumluluğundaki kontrol faaliyetlerini sistem
üzerinden takip eder, faaliyetlerini yürütürken tespit ettiği/karşılaştığı riskleri ve kontrol
zaafiyetlerini ve kontrol önerilerini Birim Risk Koordinatörüne raporlar.
b) Birim Risk Koordinatörü, süreç görevlileri tarafından iletilen riskler ile kendisi tarafından tespit
edilen riskleri, Birim Risk Yönetimi Ekibi ve Birim Yöneticisine iletir.
c) Birim Yöneticisi, tespit ettiği riskler ile kendisine iletilen riskleri, Birim Risk Koordinatörü ve Risk
Yönetimi Ekibi ile görüşerek riskin tanımına, riske ilişkin kontrol yöntemine karar vererek sistem
üzerinden onaylar. Birden fazla birimi ilgilendiren risk ve kontroller süreç sorumlusuna iletilir ve
süreç sorumlusu tarafından onaylanır.
ç) Sistem üzerine kayıt edilen her bir risk, kontrol ve risk eylem planı ilgili Süreç Sorumlusuna, İdare
Risk Koordinatörüne, Strateji Geliştirme Dairesi Başkanlığına raporlanır.
d) Birim Yöneticileri ve Birim Risk Koordinatörlerince risk ve kontroller ile risk eylem planlarının
gerçekleşme durumları her seviyedeki risk için düzenli olarak izlenir.
Hüküm Bulunmayan Haller
MADDE 27 – (1) Bu Yönergede hüküm bulunmayan hallerde, 5018 sayılı Kamu Mali Yönetimi ve
Kontrol Kanunu ve ilgili mevzuat hükümlerine uyulur.
Yürürlük
MADDE 28– (1) Bu yönerge İdare Yönetim Kurulu tarafından kabulü tarihinden itibaren yürürlüğe
girer.
Yürütme MADDE 29 – (1) Bu Yönerge hükümleri, Genel Müdür tarafından yürütülür.
12
RİSK YÖNETİM SÜREÇ ADIMLARI
(TABLO – 1)
13
İş Akışlar Üzerinde Risklerin Belirlenmesine Yönelik Sorular
(TABLO-2)
EVET HAYIR
1
2
3
4
5
6
6.1
7
8
9
10
11
11.1
11.2
12
12.1
12.2
13
14
15
16
17
17.1
İş adımı hangi koşul/durumlarda gerçekleştirilemez?
İş adımı hangi koşullarda/durumlarda hatalı ya da eksik gerçekleştirilebilir?
İş adımı çevresel faktörlerden nasıl etkilenebilir?
İş adımı herhangi bir mevzuat gereği mi yürütülüyor?
Bu mevzuata uyulmaz ise ne olur?
SORULAR
Bu çıktılar hangi koşullarda hatalı olabilir?
Hangi koşullarda çıktı alınamayabilir?
İş adımının girdileri var mı?
Bu girdiler hatalı olabilir mi?
Girdilerin hatalı olması iş adımını ve çıktıyı nasıl etkiler?
İş adımı veya iş adımlarında yaşanan kronik sorunlar veya zafiyetler var mı?
Ne tür hatalar yapılabilir?
İş adımında kullanılan kaynak ya da varlıklar zarar görebilir mi?
İş adımında kullanılan sistem/donanım/yazılım çökebilir mi?
İş adımında bir hata olur ise süreçte yer alan diğer adımlar etkilenebilir mi?
İş adımında yolsuzluk yapma imkanı var mı?
İş adımının çıktıları var mı?
İş adımı doğru yerde mi? Daha uygun bir yerde olabilir mi?
İş adımı kendisinden önce ve sonra gelen iş adımları ile uyumlu mu?
İş adımı ekonomik ve verimli yürütülüyor mu?
İş adımı yetkili kişilerce mi gerçekleştiriliyor?
İş adımı yetkin kişilerce (nitelik ve sayı) mi gerçekleştiriliyor?
İş adım manuel mi yürütülüyor?
14
Ana Süreç/Alt Süreçler Üzerinde Risklerin Belirlenmesine Yönelik Sorular
( TABLO – 3)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Süreç içi ve dışı iletişimi kesintiye uğratacak şeyler nelerdir?
Sürecin tam kapasite ile çalışmasına neler engel olur?
Taleplere uygun hizmetleri sunmayı ve bu hizmetlerin devamlılığını engelleyen sebepler nelerdir?
En hassas olduğumuz yer neresidir?
Kontroller nerede zayıftır?
Hangi olağandışı durumlar operasyonları tehdit edebilir?
Hangi koşullarda itibar kaybı ile karşılaşılabilir?
Hangi koşullarda yasal müeyyideler ile karşı karşıya kalabiliriz?
Süreçteki faaliyetlerin amaç ve hedeflerden uzaklaşmasına neden olacak örgütsel zafiyetler nelerdir?
Bütçeden sapmaya neden olabilecek faktörler nelerdir?
Finansal ve operasyonel raporların hatalı, eksik veya tutarsız olmasına neden olabilecek şeyler nelerdir?
Mevcut varlıkların kaybedilmesi veya ciddi boyutta zarar görmesine neden olabilecek şeyler nelerdir?
İş sürekliliğini kesintiye uğratabilecek olaylar nelerdir?
Stratejik ve operasyonel hedeflere ulaşmayı ne engeller?
Çevresel unsurlardaki olası değişimlerin sürece olumsuz yansımaları neler olabilir?
Operasyonların verimli çalışmasını neler engelleyebilir?
Kaynakların ekonomik kullanılmasına mani olabilecek durumlar nelerdir?
15
Etki Değerlendirme Skalası
( TABLO – 4 )
ÇO
K D
ÜŞ
ÜK
(1)
Riskin gerçekleşmesinin, personel ve vatandaş memnuniyeti üzerinde bir etkisi yoktur.
Mevzuattan kaynaklanan sorumluluklar üzerinde doğrudan bir etkisi bulunmamaktadır.
Riskin gerçekleşmesinin Meskinin kamuoyu nezdindeki itibarı üzerinde hiç bir etkisi olmaz.
Çalışana yada personele zarar gelmesi söz konusu değildir.
Medyaya yansımaz.
Riskin gerçekleşmesinin, Meskinin faaliyetleri üzerinde bir etkisi yoktur.
DÜ
ŞÜ
K
(2)
Riskin gerçekleşmesi, personel ve vatandaş memnuniyeti üzerinde olumsuz etkiye sahiptir.
Mevzuattan kaynaklanan uyulması gereken sınırlı ölçüde sorumluluklar bulunmaktadır.
Riskin gerçekleşmesinin Meskinin kamuoyu nezdindeki itibarı üzerinde sınırlı etkileri bulunmaktadır.
İlk yardım gerektirebilecek küçük yaralanmalar.
Yerel medyaya olumsuz olarak kısa süre yansımak.
Riskin gerçekleşmesi, Meskideki bir birimin faaliyetleri üzerinde olumsuz etkiye sahiptir.
OR
TA
(3)
Riskin gerçekleşmesi, personel, vatandaş ve orta düzeyde yönetici memnuniyeti üzerinde olumsuz etkiye sahiptir.
Mevzuattan kaynaklanan uyulması gereken sorumluluklar bulunmaktadır
Riskin gerçekleşmesinin Meskinin kamuoyu nezdindeki itibarı üzerinde etkileri bulunmaktadır.
Çalışanların veya vatandaşın tedavi görmesini gerektirecek yaralanmalar.
Ulusal medyaya olumsuz olarak kısa süre yansımak.
Riskin gerçekleşmesi, Meskideki birden fazla birimin faaliyetleri üzerinde olumsuz etkiye sahiptir.
YÜ
KS
EK
(4)
Riskin gerçekleşmesi, üst yönetici memnuniyeti üzerinde olumsuz etkiye sahiptir
Mevzuattan kaynaklanan uyulması gereken önemli sorumluluklar bulunmaktadır
Riskin gerçekleşmesi Meskinin kamuoyu nezdindeki itibarı üzerinde önemli seviyede itibar kaybı yaratır.
Personel veya vatandaş sakatlanması.
Uluslararası medyaya olumsuz olarak kısa süre yansımak.
Riskin gerçekleşmesi, Meskideki bir birimin faaliyetlerinde kesinti/durma yaşanmasına neden olacak etkiye sahiptir.
ÇO
K Y
ÜK
SE
K
(5)
Riskin gerçekleşmesi, birim amirlerinin ve/veya üst yöneticinin istifa etmesini ya da görevden alınmasını gerektiren bir etkiye sahiptir.
Mevzuattan kaynaklanan uyulması gereken çok önemli sorumluluklar bulunmaktadır.
Riskin gerçekleşmesi, Meskinin kamuoyu nezdindeki itibarı üzerinde kritik düzeyde itibar kaybı yaratır.
Doğal nedenlere dayanmayan personel ölümü.
Ulusal medyaya olumsuz olarak bir süre yansımak.
Riskin gerçekleşmesi, Meskideki birden fazla birimin faaliyetlerinde kesinti/durma yaşanmasına neden olacak etkiye sahiptir.
16
Olasılık Değerlendirme Skalası ( TABLO – 5 )
Ortam gerçekleşmesi için uygun değil.
Riskin meydana gelme ihtimali düşüktür.
Risk durumunun gerçekleşmesi söz konusu değil.
Risk çok istisnai durumlarda meydana gelebilir.
Risk ancak belirli durumlarda gerçekleşebilir.
Benzer kurum / bölüm / süreçlerde belirli durumlarda gerçekleşti.
Ortam gerçekleşmesi için uygun olabilir.
Riskin meydana gelme ihtimali orta derecededir.
Risk durumu ancak çok özel koşullar altında söz konusu olabilir.
Benzer kurum / bölüm / süreçlerden ancak çok özel durumlarda gerçekleşebilir.
Risk durumu birçok kez gerçekleşti ve şu anda da gerçekleşiyor.
Riskin meydana geleceği neredeyse kesindir
Risk durumu birçok kez gerçekleşti.
Benzer kurum / bölüm / süreçlerde gerçekleşti.
Ortam gerçekleşmesi için son derece uygun.
Riskin meydana gelme ihtimali yüksektir.
ÇO
K
YÜ
KS
EK
(5)
YÜ
KS
EK
(4)
OR
TA
(3)
DÜ
ŞÜ
K
(2)
ÇO
K D
ÜŞ
ÜK
(1)
(1 Y
IL V
E D
AH
A A
Z)
(1-2
YIL
)(2
-5 Y
IL )
(5-1
0 Y
IL)
(10
-15
YIL
)
17
Risk Matrisi ( TABLO – 6 )
1 2 3 4 5
ÇOK DÜŞÜK DÜŞÜK ORTA YÜKSEK ÇOK YÜKSEK
OL
AS
ILIK
ETKİ
1 2 3 4 5
2 4 6 8 10
3 6 9 12 15
4 8 12 16 20
5 10 15 20 25
ÇO
K Y
ÜK
SE
K
(KE
SİN
LİK
LE
)
YÜ
KS
EK
(BÜ
YÜ
K
OL
AS
ILIK
LA
)
OR
TA
(MÜ
MK
ÜN
)
DÜ
ŞÜ
K
(MU
HT
EM
EL
)
ÇO
K D
ÜŞ
ÜK
(NA
DİR
)
5
4
3
2
1
18
Kontrol Tanımları Tablosu ( TABLO -7 )
ÖNLEYİCİ
TESPİT
EDİCİ
YÖNLENDİRİCİ
DÜZELTİCİ
KO
NT
RO
LÜ
N İ
ŞL
EV
İ
Risklerin gerçekleşme olasılığını azaltıp kurum tarafından kabul edilebilir
seviyede tutmak için uygulanması gereken kontrollerdir
Riskler gerçekleştikten sonra meydana gelen zarar ve
hasarın ne olduğunun tespiti amacıyla gerçekleştirilen kontrollerdir.
Risklerin gerçekleşmemesi veya risk oluştuğunda ortaya çıkacak
etkiden kaçınmak amacıyla gerçekleştirilen kontrollerdir.
Risklerin gerçekleştiği durumlarda ortaya çıkan tehditlerden kaynaklanan
istenmeyen sonuçların etkisini azaltmak veya düzeltmek amacıyla
gerçekleştirilen kontrollerdir.
MANUEL
OTOMATİK
KO
NT
RO
LÜ
N
OT
OM
AS
YO
NU
Süreç içerisinde çalışanlarca manuel olarak gerçekleştirilen kontrollerdir.
Sistem içerisine yerleştirilen, bilgisayar ya da otomasyon
sistemleri destekli kontrollerdir
19
RİSK KAYIT FORMU ( TABLO -8 )
Sıra No: Risk kaydındaki sıralamayı gösterir.
Referans No: Referans numarası risk sahibinin bağlı olduğu birimi de gösterecek şekilde yapılan bir kodlamadır. Örnek: MHD.1 KDB.2 SGB.3
Stratejik Amaç: Riskin ilişkili olduğu stratejik amacın, stratejik plandaki kodunun yazıldığı sütundur.
Stratejik Hedef: Riskin ilişkili olduğu stratejik hedefin, stratejik plandaki kodunun yazıldığı sütundur.
Süreç Adı: Riskin ilişkili olduğu ve QDMS sisteminde kayıtlı sürecin adını
Alt Süreç Adı: Riskin ilişkili olduğu ve QDMS sisteminde kayıtlı alt sürecin adını
Mevcut Durum: Riskin halihazırdaki durumunun kısaca anlatılması Etki: Oylama Formu kullanılarak tespit edilen etki değeridir (1-5 arasında)
Olasılık: Oylama Formu kullanılarak tespit edilen olasılık değeridir (1-5 arasında). Risk Puanı: Etki puanı(ortalama) ile olasılık puanı (ortalama) çarpılarak Risk Puanı bulunur
Risk Türü: Yönergede tanımlara uygun olarak belirlenen risk türü yazılır. Birden çok risk türü yazılabilir
Risk Kontrol Sorumlusu: Riske tanımlanan kontrolün takibini yapmaktan sorumlu makamı ifade eden sütun.
Öngörülen Kontrol: Birim amirinin bu risk için önerdiği kontrolün yazılacağı sütun.
Kontrol İşlevi: Yönergedeki tanımlara göre doldurulacak olan sütun.
Kontrolün Otomasyonu: Kontrolün yazılım yardımıyla mı elle mi takip edileceğinin yazıldığı sütun.
Kontrolün Sıklığı: Kontrolün hangi zaman aralığında uygulanacağı yazılır. Örnek: günlük, haftalık, aylık, yıllık
Açıklamalar: İhtiyaç duyulan diğer hususlar bu sütunda belirtilir.
NOT: Yıl içerisinde yeni bir risk tespit edilmesi durumunda riski tespit eden personel bir üst yöneticiye bu riski iletir. Yönetici bunun yönetilmesi
gereken bir risk olduğuna karar verirse, bu risk, Risk Kayıt Formuna işlenerek ilgili yönetici tarafından onaylanır
20
RİSK OYLAMA FORMU ( TABLO -9 )
Birim Risk Yönetim Ekibi
Adı Soyadı (A) Adı Soyadı (B) Adı Soyadı (C) İmza İmza İmza
Stratejik Amaç: Riskin ilişkili olduğu stratejik amacın, stratejik plandaki kodunun yazıldığı sütundur
Stratejik Hedef: Riskin ilişkili olduğu stratejik hedefin, stratejik plandaki kodunun yazıldığı sütundur
Etki: Katılımcıların verdikleri puanların aritmetik ortalaması alınarak riskin (ortalama) etki puanı bulunur
Olasılık: Katılımcıların verdikleri puanların aritmetik ortalaması alınarak riskin (ortalama) olasılık puanı bulunur
Risk Puanı: Etki puanı(ortalama) ile olasılık puanı (ortalama) çarpılarak Risk Puanı bulunur
Stratejik
Amaç
Stratejik
Hedef
Süreç
Adı
Alt
Süreç
Adı
RiskRiski ortaya çıkaran
sebep/sebeplerA B C (A+B+C)/3 A B C (A+B+C)/3
Risk Puanı:
Etki*Olasılık
OLASILIK ETKİ