Kamu İdarelerinde Risk Yönetimi

1. Risklerin Tespit Edilmesi

2. Risklerin Değerlendirilmesi

3. Risklere Cevap Verilmesi-Risk Analizi

4. Risk Kontrol ve Risk Azaltımı/Risklerin Gözden Geçirilmesi ve Raporlanması aşamalarından oluşmaktadır.

1- Risklerin Tespit Edilmesi-Risk Tanımlama

Bu aşamada, kurumun hedeflerine ulaşmasını engelleyecek, beklenmedik kayıplara yol açabilecek tüm olayların belirlenmesi amaçlanmaktadır. Kurumun karşı karşıya kalabileceği her türlü riskin tespiti risk yönetiminin etkinliği açısından kritik öneme sahiptir. Risklerin tanımlanması için kontrol listeleri, kayıtlara ve deneyimlere bağlı çıkarımlar, akış diyagramları, beyin fırtınaları, sistem analizleri, senaryo analizleri ve sistem mühendislik teknikleri kullanılmaktadır.

Risk tanımlama aşaması temelde aşağıdaki adımlardan oluşmaktadır:

– Sisteme ya da nesneye yönelik tehlikelerin ve tehditlerin tanımlanması.

– Sistem ya da nesne ile ilgili potansiyel tehlikeli olayların tanımlanması.

– Her bir tehlikeli olayın sebebinin bulunması.

– Her bir tehlikeli olayın engellenmesi ya da olma olasılığının azaltılması için oluşturulabilecek bariyer ve koruyucuların tanımlanması.

– Her bir tehlikeli olayla ilgili olarak kaza senaryolarının tanımlanması.

– Her bir tehlikeli olayın olma sıklığı ve olası sonuçlarının tanımlanması.

Risklerin Tespit Edilmesi: Risk yönetiminin ilk aşaması olan risklerin tespit edilmesi; idarenin hedeflerine ulaşmasını engelleyen veya zorlaştıran risklerin önceden tanımlanmış yöntemlerle belirlenmesi, gruplandırılması ve güncellenmesi sürecidir.

Riskler tespit edilirken şu hususlara dikkat etmemiz gerekir:

a) Genel kural olarak, idareyi etkileyebilecek stratejik riskler, stratejik plan hazırlama aşamasında tespit edilir ve bir sonraki adım olarak stratejik plana eklenir.

b) Riskler program (proje) ve operasyonel düzeylerde de tespit edilmelidir. Program ve operasyonel risklerin stratejik risklerin tamamını içermesi gerekmektedir. Ancak, program ve operasyonel riskler tespit edilirken stratejik düzey ile sınırlı kalmayıp geniş kapsamlı düşünmek önemlidir.

c) İdare risklerini tespit ederken hiyerarşik olarak yukarıdan aşağıya ya da aşağıdan yukarıya doğru bir yöntem belirleyebilir. İdarenin tercihine göre bu iki yöntem bir arada da kullanılabilir. Ancak kurum yapısı ve organizasyonu büyük olan kamu idarelerinin stratejik plan hazırlayarak süreci başlatmaları uygun olacaktır.

d) Tespit edilen riskler idarenin hedefleri ile ilişkilendirilmelidir. İtibarı zedeleyebilecek riskler gibi bazı risklerin hedefleri dolaylı etkileyebileceğini de göz önünde bulundurmak gerekir.

e) Riskler, sistematik olarak ve önceden belirlenmiş yöntemlere göre tespit edilmelidir. Söz konusu yöntemler idarenin ve faaliyetlerin özelliklerine göre farklılıklar gösterebilecektir. Bu süreçte aşağıda yer verilen yöntemlerden birine veya birkaçına başvurulabileceği gibi idarelerin kendi ihtiyaçları doğrultusunda yeni yöntemler geliştirmeleri de mümkündür.

f) Tespit edilen risklerin; "x" riski veya "x' in olması" riski şeklinde ifade edilmesi gerekir. “Doğal kaynakların bilinçsiz ve yanlış kullanımı” riski veya “hatalı görüş verilmesi”, “kontrol işleminin süresi içinde tamamlanamaması” riski gibi. Ortak dil oluşturmak için idarenin birini seçmesi daha uygun olacaktır.

g) Tespit edilen risklerin iç risk mi yoksa dış risk mi olduğunu değerlendirilmelidir.

İç riskler; doğrudan kurum tarafından kontrol edilen olaylar sonucunda ortaya çıkan risklerdir. İç riskler kendi içinde stratejik riskler, programa ilişkin riskler ve operasyonel riskler olarak üç düzeyde sınıflandırılmalıdır.

Dış riskler ise; idarenin kontrolü dışında gerçekleşen olaylar sonucunda ortaya çıkan ve hedeflere ulaşmayı güçleştiren veya engelleyen belirsizliklerdir. Dış riskler belirlenirken bunların konularına göre sınıflandırılması yararlı olacaktır. (Genellikle PESTLE analizi kullanılır.)

h) Riskler tespit edildikten sonra sahibi yani bunların kimin sorumluluğunda olduğu belirlenmelidir.

ı) Risk yönetimi dinamik bir süreç olduğundan yeni ortaya çıkan riskler tespit edilmeli ve mevcut risklerdeki değişiklikler sürekli takip edilmelidir.

i) Son olarak, riskleri tespit etmek ve bunları bilgi formları, strateji belgeleri, matrisler üzerinde yazılı olarak saklamanın yerine risk yönetimi çalışmalarının raflara kalkmaması ve sürekli aktif biçimde kullanılabilmesi için bilişim teknolojilerinden faydalanarak bir yazılım kullanmak yararlı olacaktır.

Riskler Nasıl Tespit Edilmelidir?

Riskleri önce stratejik seviyede mi, operasyonel seviyede mi, yoksa iki yöntemi birlikte kullanarak mı belirleyeceğinize karar verin. Uygulamada kolaylık açısından stratejik seviyeden başlamanız tavsiye edilir.

Tehdit ya da fırsatları dikkate alarak riskleri belirleyin ve gruplandırın (ekonomik, sosyal, kültürel, politik, bilimsel vb.)

Gerekli insan kaynağına ve çalışma yöntemlerine karar verin.

Riskleri iç risk ve dış risk olarak gruplandırın.

Paydaş analizi gerçekleştirin (risk toleransı, paydaşların pozisyonu ve tutumlarını belirleyin).

Düzenli olarak ve değişim dönemlerinde tespiti tekrarlayın.

Riskleri en güzel biçimde iş tanımlarından tespit edebiliriz. İş tanımı iş akışını detaylı olarak yansıtıyorsa, o tanımın her bir aşamasında “Burada ne gibi olumsuz durumlar ve fırsatlar mevcuttur?” gibi genel sorularla risk tespiti yapılabilir. Bu yöntem özellikle operasyonel risklerimizi ortaya çıkaracaktır. Tanımda belirtilen her aşamanın ayrıca işin hedef(ler)ini ilgilendirmesi unutulmaması gereken bir husustur. İş tanımlarının kilit aşamalarını seçmek ve işin hedefine zarar verebilecek hususlar risk olarak ele alınmalıdır.

2- Risklerin Değerlendirilmesi

Risk değerlemesi, potansiyel risk doğuracak tehlikeli faaliyetlerin veya varlıkları riske sokacak olaylar veya durumlar hakkında bilgilerin toplanması, bu bilgilerin bilimsel olarak tahlil edilmesini içeren sistematik bir yaklaşım olarak tanımlanmaktadır. Bu kapsamda, fayda-maliyet tahlilinin gerçekleştirilmesi ve risklerin transferinin sağlanabilmesi için gerekli olan kontrollerin kurulması için ihtiyaç duyulan yatırım maliyetinin doğrulanması da önem arz etmektedir.

Risk değerleme aşaması temelde aşağıdaki adımlardan oluşmaktadır:

– Risk analizinin son adımında oluşturulan tablodan hareketle, risk kabul ölçütleri ile riskin karşılaştırılması.

– Alternatif sistemlerin incelenmesi ve görüşülmesi ve/veya operasyonel çözümlerin değerlendirilmesi,

– Sistem ya da nesneyle ilgili riskin betimlenmesi,

– Risk azaltıcı önlemlerin teklif edilmesi ve önlemlere ilişkin maliyet hesaplamaları ile önlemler tarafından yaratılması öngörülen risk azaltımı miktarının karşılaştırılması,

– Riske ilişkin karar alma sürecine girdi sağlanması.

3- Risk Analizi - Risklere Cevap Verilmesi

Risk analizi, belirlenmiş riskler hakkında aksiyon alınıp alınmayacağına ve alınacak ise fayda/maliyet dengesi açısından en uygun olan aksiyonların seçilmesine yardımcı olan bir faaliyettir. Risk analizi, risklerin sebeplerinin, olumlu/olumsuz etkilerinin ve bu etkilerin ortaya çıkma ihtimallerinin belirlenmesinden oluşmaktadır. Risk analizi sırasında bir ön analiz yapılması genel olarak oldukça faydalı bulunmaktadır. Bu doğrultuda, daha ayrıntılı analize geçmeden önce aynı tip ve gruptaki riskler bir araya getirilebilmekte veya düşük önemdeki riskler kapsam dışında tutulabilmektedir. Bu noktada önemli olan husus ise kapsam dışında olması öngörülen risklerin de kayıt altına alınması ve gelişimlerinin izlenmesi olarak belirmektedir.

4- Risk Kontrol ve Risk Azaltımı/Risklerin gözden geçirilmesi ve raporlanması aşamalarından oluşmaktadır.

Risk kontrol, risk politikaları oluşturarak, iş birimlerinin risk alan faaliyetlerini gözden geçirerek, yönetimsel bilgi ile üst yönetim raporlamalarını sağlayarak, risk yönetimi sürecinde aktif bir şekilde çekirdek kontrollerin uygulanmasıdır. Risk azaltımı ise uygulanan kontroller sonucunda edinilen çıktıdır.

Risk kontrol ve risk azaltımı aşaması aşağıdaki adımlardan oluşmaktadır:

– Mevcut önlemlerin yanında yeni risk azaltıcı önlemlere yönelik karar alınması.

– Risk azaltıcı önlemlerin uygulamaya alınması.

– Riskin takip edilmesi ve gerektiğinde değişiklik önerisinde bulunulması.

– Genel kamuya ve ilgili paydaşlara risk ile ilgili bilgilendirmede bulunulması.

– Riske yönelik değişik kararların alınması (“Söz konusu risk seviyesinde faaliyete devam etmenin makul olup olmadığını sorgulamak” gibi).

Dolayısıyla risk yönetimi; Risklerin tespit edilmesi, değerlendirilmesi, risklere cevap verilmesi, risklerin düzenli olarak gözden geçirme ve raporlanması aşamalarını kapsar. Risk yönetimi “risk almamak” demek değildir. Doğru riski doğru maliyetle üstlenme sanatıdır. Risk yönetim fonksiyonu bunun için gerekli yöntem ve araçları sağlar.

Risk Yönetiminin Önemi

Kurumlar problemler oluşmadan çok daha erken aşamalarda problemleri öngörmeli ve önlem almalıdırlar.

Kurumların başarıları problemleri oluşmadan önleyebilme yetenekleri ile doğrudan ilişkilidir. Bu nedenle kurumsal başarıya ulaşmada etkin bir risk yönetimi sisteminin oluşturulması büyük önem taşır. Zira risk yönetimi uygulaması; ƒ

Kuruma, karşı karşıya olduğu riskleri makul seviyelerde tutarak onların olumsuz etkilerinden korunma imkanı sağlar, 

Yönetimin hızlı ve etkili karar almasına yardımcı olur, 

Kaynak israfını önler, 

Sürpriz ve kayıpları en aza indirir, 

Zaman tasarrufu sağlar ve 

Personeli, yeniliklere açık olma hususunda cesaretlendirir.

IV- KURUMSAL RİSK YÖNETİMİ

Risk yönetiminin tutarlılığını sağlamak üzere idarenin tamamında aynı şekilde uygulanması gerekir ki, bu da "Kurumsal Risk Yönetimi" kavramını ortaya çıkarmaktadır. Kurumsal risk yönetimi, idarenin tamamını içine alan bir süreç olup; risk yönetim süreçlerinin bir bütün olarak görülmesini ve yönetilmesini sağlar. Kurumsal Risk Yönetimi, kurum için önemli iş risklerinin yönetimi için gerekli yetkinliklerin olgunluk seviyesini sürekli olarak daha iyiye götüren bir yapının tesisini hedefler.

Kurumsal risk yönetimi; kurum genelinde olan ve oluşturulan stratejileri uygulayan; kurumun yönetim kurulu, yönetimi ve diğer personelinden etkilenen; kurumun hedeflerini elde etmesi için makul bir güvence sağlamak için kurumu etkileyebilecek potansiyel olayları tanımlamak ve risk kapasitesi içinde yönetmek amacıyla tasarlanmış bir süreçtir.

Bir kurum mevcut risklerini yönetirken birbirinden tamamen farklı olan iki tür yol izleyebilir. Birincisi mevcut risklerini birer birer ele alıp yönetmek; ikincisi ise tüm risklerini bir spektrumun bir parçası olarak görüp tüm risklerini bir risk yönetimi programı çerçevesinde bütün olarak yönetmektir. İkinci yöntem genel olarak Kurumsal Risk Yönetimi olarak adlandırılır.

Risk, önceleri, ayrı ayrı alanlarda yönetilirken günümüzde bu anlayış değişmiş ve risk yönetimi, daha entegre, stratejik, ve kurumsal geniş aktivitelerin olduğu, örgütün bütün seviyelerinde çalışanların dahil edildiği daha sistematik bir yapı halini almıştır.

Yeni ortaya çıkan kurumsal risk yönetimi anlayışına göre;

Riskler fırsat, belirsizlik ve tehlikelerden oluşur. Risk yönetiminin önemi arttıkça geleneksel risk yönetimi yöntemlerinin, riski tanımlama, değerlendirme ve yönetmede yetersiz olduğu görülmüştür. Geleneksel risk yönetimi yöntemleri, kurumun hedeflerine ulaşmasını kolaylaştırmak ve kurumun değer yaratma sürecine katkıda bulunmaktan çok, kayıpları engellemeye yönelik olduğundan çoğu kurum risk yönetimini yeniden tanımlamak zorunda kalmıştır. Bu yeni tanımı ile risk yönetimine kurumsal risk yönetimi denilmektedir. Kurumsal risk yönetiminin odaklandığı konu risk yönetimi süreci ile var olan yönetim sürecini kaynaştırmak, pozitif veya negatif etkisi olabilecek gelecekteki olayları tanımlamak, kurumun bu olaylardan ne kadar etkileneceğini gösteren "olaylara maruz kalma oranını" belirleyip yönetmek için etkili stratejiler geliştirmektir. Kurumsal risk yönetiminin altındaki dayanak noktası her kurumun paydaşlarına değer sağlamak için var olduğudur.

Kurumsal risk yönetimi, geleneksel risk yönetimi yaklaşımlarından; objektif, ölçek, odak, vurgu ve uygulama kavramları bakımından ayrılır. Kurumsal risk yönetimi; strateji, insanlar, süreç, teknoloji ve bilgiyi içerir. Vurgu strateji üzerindedir ve uygulama alanı kurumun genelidir.

Risk ve yönetiminin tanımını verirken birçok tanımın olduğu söylenmişti. Birçok tanımın olması risk yönetiminin ne olup ne olmadığı konusunda şüpheleri de beraberinde getirmektedir. Bu şüpheleri gidermek için risk yönetiminin ne olmadığını da belirtmekte fayda vardır. Olasılıkları sıralamak risk yönetimi değildir, önemli olan olasılıklara göre aksiyon almaktır. Risk yönetimi risk almamak değildir, aksine risk almak ve bu riskleri kontrol altına almaktır. Her kurumun maruz kaldığı risklerin farklı olduğu ve kuruma özel risk yönetimi gerekliliği unutulmamalıdır.

Kurumsal Risk Yönetiminin Sorunları

Kurumsal risk yönetimi ile birlikte gelen birtakım problemler ve ideal olmayan durumlar bulunabilir:

1. Kurumsal risk yönetiminin oluşturduğu maliyet,

2. Bu amaçla harcanan süre,

3. Tespitlerin öznelliği,

4. Seçilecek yaklaşımın net olmayışı,

5. Risk yönetim yöntemlerindeki eksiklikler.

Kurumsal Risk Yönetimi Bileşenleri

1. İç Ortam

2. Hedef Belirleme

3. Olay Tanımlama

4. Risk Değerlendirmesi

5. Riske Karşılık Verme

6. Kontrol Faaliyetleri

7. Bilgi Ve İletişim

8. İzleme

Kurumsal Risk Yönetimi Unsurları yani bileşenleri aşağıda açıklanmıştır.

İç Ortam

İç ortam bir kurumun rengidir. Risklerin kurumda çalışan kişiler tarafından nasıl görüntülenmesi ve yönlendirilmesi gerektiğine dair bir temel oluşturur. İç ortam; kurum ile ilgili risk yönetimi felsefesi, risk kapasitesi, dürüstlük etik değerler ve faaliyet gösterilen çevre gibi kavramları içerir. Yetki dağılımı, yönetim biçimi, tanımlanmış rol ve sorumluluklar gibi yönetimle ilgili unsurlar da yine iç ortam içinde yer alır. COSO strateji, faaliyet, raporlama ve uyumla ilgili hedefleri içeren bir planlama süreci anlatır. Kurumsal risk yönetimi programının nasıl tasarlanacağı ve ne kadar etkili yerleştirilebileceği bu iç ortama bağlıdır.

Hedef Belirleme

Yönetim faaliyette bulunurken, ulaşmak istediklerini elde etmesini etkileyecek riskleri tanımlamadan önce, etkilenecek hedefler var olmalıdır. Kurumsal risk yönetimi kurumun vizyonu ve misyonu ile uyumlu olan ve bu iki unsuru destekleyen strateji ve hedeflerin belirlenmesine yardımcı olmak üzere tasarlanmış bir süreçtir. Ayrıca bu strateji yürütülürken karşılaşılacak risklerin kurumun risk kapasitesi sınırları içinde olmasını sağlayan bir süreçtir. Hedef belirleme sürecinin bu iki parametre (misyona ve vizyona uyumlu olma ile hedeflerin onlara ulaşılmak için karşılaşılacak risklerin risk kapasitesi içinde kalmasını sağlayacak seviyede koyulması) dikkate alınarak yürütülmesi gerekir. Sonuç olarak hedef belirleme süreci, yönetimin risk stratejisini de göz önünde bulundurarak hedefleri belirlemesidir. Risk yönetimi için hedef belirlemenin iki önemli işlevi vardır:

1. İşletmenin risk kapasitesini biçimlendirir.

2. Risk toleransı risk kapasitesi ile uyumlaştırılır.

Olay Tanımlama

Kurumun hedeflerine ulaşmasını etkileyen, risk ve fırsatlar arasında değişen iç ve dış olaylar tanımlanır. Riski etkili bir biçimde yönetebilmek için önce varlığının fark edilmesi gerekmektedir. Bu görevde etkin olabilmek için kurum yönetimi, hem iç hem de dış kaynaklı çeşitli faktörleri göz önünde bulundurmak zorundadır.

Risk Değerlendirmesi

Riskler tanımlandıktan sonra bunların kurum üzerindeki olası etkilerinin ve meydana gelme olasılıklarının değerlendirilmesi gerekir. Risk değerlemesinin üç önemli ilkesi vardır; her risk için hem etki hem de olma olasılığının açıkça düşünülmesi ki risklerin değerlendirilmesi bu iki perspektiften yapılabilsin, risk değerlendirmesinin tesislerin izlenerek ve risk 34 öncelikleri tanımlanarak kaydedilmesi ve risklerin yapısal risk ve artık risk tabanında değerlendirilmesidir.

Riske Karşılık Verme

Riskler tanımlanıp değerlendirildikten sonra sıra, bu risk yığınının kurumun risk kapasitesi ve risk toleransı içinde olup olmadığının belirlenmesine gelir. Riske verilecek karşılık ,riskin kurumun üstlenmeye hazır olduğu seviye sınırı içinde olup olmamasına göre değişir. Riskin

yapısına göre verilecek karşılıklar; kabul etme, kaçınma, azaltma veya paylaşma, şeklinde sınıflandırılabilir.

Kontrol Faaliyetleri

Risklere verilecek karşılıklar belirlendikten sonra, riskleri minimize etmek için yöntemler geliştirme safhasına geçilir. Kontrol faaliyetleri, riske verilecek karşılıkların etkili bir biçimde yerine getirilmesi, devam eden risklerin risk kapasitesi sınırları içinde yönetilmesi ve kurumun yürürlükteki yasa ve yönetmeliklerle uyumunun sürekli sağlanmasına yardımcı olmak için yerleştirilen politika ve prosedürlerdir. Bunun yanında politika ve prosedürler, diğer kurum talimatlarının da yerine getirilmesini sağlamaya yöneliktir. Tüm kurumda, her seviyede ve tüm fonksiyonlarda geçerlidir. Onaylar, izinler, soruşturmalar, anlaşmalar, performans gözden geçirmeleri, güvenlik ölçütleri ve uygun belgelerin oluşturulması ve muhafazası gibi geniş bir yelpazedeki faaliyetleri içerir. Kısacası bu faaliyetler temel kurum uygulamalarıdır. Burada yöneticilerin dikkat etmesi gereken şey riskleri en aza indirmek için yapılan bu kontrol faaliyetlerinin aşırıya kaçması en az aşırı risk kadar tehlikeli olduğudur. Gereksiz kontroller bürokrasiyi arttırır ve kontrolün etkinliğini azaltarak riskin gerçekleşme olasılığını arttırır.

Kontrol Türleri

Önleyici Kontroller: Önleyici kontroller istenmeyen fiilleri vuku bulmadan önlemeyi veya caydırmayı amaçlar. Kayıpların önlenmesi konusunda inisiyatifi ele alır. Önleyici kontrollere örnek olarak görevlerin ayrımını, yeterli dokümanı ve varlıklar üzerinde fiziksel kontrolü gösterebiliriz.

Düzeltici Kontroller: Bu kontroller, meydana gelmiş olan istenmeyen sonuçların düzeltilmesi için tasarlanmıştır. Kaybın veya hasarın bir parça düzeltilmesini sağlamak adına bir geri dönüş rotası çizerler. Buna örnek olarak, sözleşme şartlarının, fazla ödeme yapılması halinde geri ödeme yapılacak şekilde dizayn edilmesi verilebilir. Bir riskin gerçekleşmesi riskine karşı mali iyileşme sağladığından dolayı sigorta da bir düzeltici önemle olarak kabul edilebilir. Kurumların, kontrol edemedikleri olaylardan sonra faaliyetin devam etmesi / iyileşmesini sağlayacak araçlar olan acil durum planları da düzeltici kontrolün önemli birer unsurudur.

Yönlendirici Kontroller: Bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri kontrol etme yöntemidir. Kanun, yönetmelik, tebliğ gibi mevzuatlar, broşürler, iş akış şemaları, zaman çizelgeleri örnek olarak gösterilebilir.

Tespit Edici Kontroller: Tespit edici kontroller ise istenmeyen fiillerin vuku bulduktan sonra ortaya çıkarılmasını sağlar. Örneğin, hesap mutabakatlarını, denetimleri, incelemeleri, analizleri gösterebiliriz.

Bilgi ve İletişim

Kişilerin sorumluluklarını yerine getirmesi için ilgili bilgi belli bir biçimde ve belli zaman aralıkları ile tanımlanır, ele geçirilir ve iletilir. Kurumsal risk yönetimi gibi bir güç, riskin etkili olarak değerlendirilmesi ve yönetilmesi için zaruri olan, zengin miktarda veri kümesine ihtiyaç duyar. En uygun durumda, bu bilgi tanımlanan riskleri yönetmek, analiz etmek ve izlemekle sorumlu kişiler tarafından kullanılmak üzere uzmanlaşmış bir sistem ve/veya veri tabanında depolanır. Bu veriler, yönetim kurulu ve idarecileri de kapsayan kurumun her seviyesindeki iletişime temel oluşturur.

İzleme

Gelişimini ölçmek için kurumsal risk yönetiminin uygulaması izlenir ve etkinliği arttırmak için gerektiğinde ayarlamalar yapılır. İzleme devam eden yönetim faaliyetleri bazında, tek tek olaylar bazında veya her ikisinin karışımı şeklinde yapılabilir.

İşletmenin ulaşmaya çalıştığı hedefler ile onlara ulaşmak için gerekli olanları temsil eden unsurlar arasında doğrudan ilişki vardır. COSO küpü bu ilişkiyi göstermek üzere tasarlanmıştır. Bir kurumda kurumsal risk yönetiminin etkin işleyip işlemediğine karar vermek, bu sekiz unsurun bulunup bulunmadığı, bulunuyor ise etkin işleyip işlemediğinin değerlendirilmesi sonucu ulaşılacak bir yargıdır. Dahası bu unsurlar etkili bir kurumsal risk yönetiminin kriterleridir.

Kısacası, Kurumsal Risk Yönetim Sürecinin Temel Unsurları

• Risklerin Tanımlanması

• Risklerin Analiz Edilmesi ve Ölçülmesi

• Risklerin Önceliklendirilmesi

• Risklere Uygun Çözümlerin Belirlenmesi ve Uygulanmaları

• Sürecin Sürekli İzlenmesi ve Gözden Geçirilmesi

• İletişim ve Danışma.

Kurumsal Risk Yönetimi İlkeleri

Dinamik; Risk yönetimi faaliyetleri değişen ve gelecekteki risklere karşı duyarlı ve dinamik olmalıdır.

Orantılı; Risk yönetimi faaliyetleri kurum tarafından karşılaşılan riskin düzeyi ile orantılı olmalıdır.

Yerleşik; Risk yönetimi faaliyetleri kurumun bütününde yerleşik olmalıdır.

Uyumlu; Risk yönetimi faaliyetleri kurum içindeki diğer faaliyetler ile uyumlu olmalıdır.

Kapsayıcı; Tümüyle etki olabilmesi için, risk yönetimi yaklaşımı kapsayıcı olmalıdır.

Kurumların Risk Yönetimine İhtiyaç Duymalarının Nedenleri

1. Kurumun varlığının ve/veya faaliyetlerinin kesintisiz devam etmesi

2. Kayıpların maliyetlerinin azaltılması

3. Gelir istikrarı

4. İmaj, itibar ve sosyal sorumluluk

5. Yasal düzenlemelere uyum.

Kurumsal Risk Yönetiminde Sorumluluklar

Üst Yönetici

İzleme ve Yönlendirme Kurulu

Birim Yöneticileri

Çalışanlar

SGB

İç Denetçiler

Üst Yönetici

Risk yönetiminde liderdir.

Risk yönetiminin yapılmasını sağlayacak mekanizmaları oluşturur.

Geleceğe ilişkin risk stratejisi ve eylemler belirler.

İzlemeyi ve risk yönetiminin etkinliğini teşvik eder.

Risk yönetiminin tutarlı bir şekilde yapılmasını sağlar.

İzleme ve Yönlendirme Kurulu

İdarede risk yönetim kültürü oluşturma politikaları belirler.

Risklerin tutarlı bir şekilde yönetilmesini gözetir.

Risk yönetim süreçlerinin etkili işleyip işlemediğini ve gelinen durumu değerlendirir.

Raporlamayı yapar.

İyi uygulamaları teşvik eder.

Birim Yöneticileri

Sorumluluğu altındaki birim(ler)de risk yönetiminin etkinliğini sağlar.

Birim risklerinin tespit edilmesini koordine eder.

Riskleri belirli periyotlarla gözden geçirir.

Durumu değişen veya yeni ortaya çıkan risklerin yönetimini sağlar.

Risk yönetimiyle ilgili eğitim ihtiyaçlarını karşılar.

Personel

Kendi yaptıkları işlere ilişkin ortaya çıkabilecek sorunları tespit ederek ilgili mercilere iletirler.

Kendi görev alanlarıyla ilgili riskleri yetki ve sorumlulukları çerçevesinde yönetirler.

Risklerin yönetimi ile ilgili İzleme ve Yönlendirme Kurulu(İYK)’ya iletilecek raporlar için kanıtları sağlarlar.

SGB (Strateji Geliştirme Başkanlıkları)

Risk Yönetimi ile ilgili eğitimlerin koordine edilmesi veya verilmesinden sorumludur.

Risk yönetimini kolaylaştırıcı destek faaliyetlerde bulunur.

İç Denetim

Risk Yönetim sürecinin etkili olup olmadığı, risklerin gerekli şekilde yönetilip yönetilmediği hususunda yapılan faaliyetler üzerinde incelemeler yapar.

V- RİSKLERİN DEĞERLENDİRİLMESİ

Risk değerlendirmesi, idarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin değerlendirilmesidir. Riskler değerlendirilirken idarenin karşılaşacağı potansiyel olaylar ile birlikte idarenin kendine özgü durumu (örneğin kurumun büyüklüğü, faaliyetlerinin karmaşıklığı, yürüttüğü faaliyetlerde tabi olduğu mevzuat, siyasi öncelikleri, kamuoyu ilgisi) da göz önünde bulundurulmalıdır.

Risk değerlendirmesi, riskler tespit edildikten sonra risklerin ölçülmesi ve önceliklendirilmesi aşamalarını kapsar. Ölçme, her riskin olma olasılığı ve etkisinin hesaplanmasıdır. Önceliklendirme, risklerin ölçme sonucunda aldıkları puanlar doğrultusunda önem derecesine göre sıralanmasıdır.

Risk değerlendirme, tespit edilmiş risklere karşılık verilip verilmeyeceğine ve karşılık verilecekse fayda/maliyet dengesi açısından en uygun olan karşılığın seçilmesine yardımcı olur.

Risklerin Değerlendirilme İlkeleri

Her risk için etki ve olma olasılığının tespit edilmesi (Risklerin ölçülmesi).

Risklerin, doğal risk ve kalıntı risk esas alınarak değerlendirilmesi.

Risklerin kaydedilmesi.

Risklerin Ölçülmesi

Bu değerlendirme, hem riskin gerçekleşme olasılığı hem de risk gerçekleştiği taktirde ortaya çıkacak etki dikkate alınarak yapılmalıdır. Etki, eğer bu olay meydana gelirse doğuracağı sonuç veya yaratacağı tesiri ifade eder. Olasılık ise, bir olayın herhangi bir dönemde gerçekleşme ihtimalini ifade eder. Etkiyle riskin ortaya çıkaracağı tesirin ne olacağı ölçülür. “Riskimiz ne kadar zarara yol açacaktır?”, “Çevresinde ne gibi değişikliklere yol açacaktır?” gibi soruların cevabıyla riskin etkisini ölçeriz. Olasılık ise daha çok riskin ortaya çıkma durumudur. Risk ortaya çıkabilecek midir? Olasılık bize “Riskin ortaya çıkma ihtimali nedir?” gibi soruların cevabını verir.

Risklerin, doğal risk ve kalıntı risk esas alınarak değerlendirilmesi

“Doğal risk” ve “Kalıntı(artık ) risk” kavramları risk yönetiminde iki önemli kavramdır. Doğal risk, mevcut olan riskin yönetilmeden veya herhangi bir önlem alınmadan önceki miktarını ifade eder. Doğal riske yapısal risk de denilir. Kalıntı risk ise, yönetimin riskin olma olasılığını ve etkisini azaltmak için aldığı önlemlerden sonra artakalan riskleri ifade eder. Kalıntı risk kontroller belirlendikten sonra ortaya çıkması muhtemel risklerdir.

Risklerin Kaydedilmesi

Risklerin kaydedilmesi, risklerin öncelik sıralamasının yapılmasına ve dolayısıyla kaynak tahsisinde etkinliğe, verilen kararlar için kanıt oluşturulmasına, kişilerin risk yönetimi içindeki sorumluluklarını görmelerine yardımcı olur ve gerekli bilginin elde edilmesi ve raporlama mekanizması ile doğru zamanda doğru kişilere iletilmesini, riskin gözden geçirilmesi ve izlenmesini sağlar.

Risk Değerlendirmesi İçin İpuçları

• Tespit edilen risklerin belli bir zaman dilimi için olasılık ve etkilerini ölçün.

• Riskin etki değerini belirlerken, ulaşılmasını zorlaştıracağı/engelleyeceği öngörülen hedef üzerindeki etkisini değerlendirin.

• Ölçümde uygun yöntemlerden yararlanın.

• Bir işin riskini en iyi o işi yapan kişinin değerlendireceğini göz önünde bulundurun.

• Başka kurumların/birimlerin faaliyetlerinin risklerinizi etkileyebileceğini ve risklerin birbirinden bağımsız olmadığını dikkate alın.

• Tüm riskleri birlikte görebilmek için risk haritaları vb. tablolardan yararlanın.

• Riskleri risk puanlarına (Etki x Olasılık) göre önceliklendirin.

Risklerin büyük çoğunluğu, bu yöntem kullanılarak ele alınır. Yönetimin amacı, riske neden olan eylem kurum içerisinde devam ederken, riskin Kabul edilebilir bir seviyede tutulması için harekete geçilir (kontrol). Bu kontroller, amaçlarına göre alt kategorilere ayrılabilir.

VI- RİSKLERİN GÖZDEN GEÇİRİLMESİ

Riskler tespit edilip değerlendirildikten sonra belirli aralıkla gözden geçirilmesi gerekir. Özellikle yılda en az bir kez risklerin hâlâ var olup olmadığı, riskin öneminin değişip değişmediği, yeni kontroller geliştirilip geliştirilmediği gibi hususlar değerlendirilmelidir. Kurumsal risk yönetimi bir döngüdür. Sürekli olarak değişimleri izler ve yönetir. Bu yüzden riskleri gözden geçirmek bir zorunluluk halini alır. Özellikle Risk yönetimi, iki nedene dayalı olarak gözden geçirilmeli ve raporlanmalıdır, bunlar:

- Risk profilinin değişip değişmediğini izlemek;

Risk yönetiminin etkili olduğuna dair güvence elde etmek ve ne zaman başka adımlar atılması gerektiğini tespit etmek.

- Risk yönetimi sürecinin her yönüyle, en az yılda bir kez gözden geçirmesini sağlamalı;

Risklerin kendilerinin uygun aralıklarla değerlendirmeye tabi tutulmasını sağlamalı (yönetimin riskleri gözden geçirmesi ve bağımsız değerlendirme/denetim için gerekenlerin yapılmalıdır).

Değişikliklerin gereken şekilde ele alınabilmesi için, yeni riskler veya tespit edilmiş olan risklerdeki değişikliklere uygun görülen yönetim seviyesinin değiştirilebilmesi için zemin hazırlamalıdır.

Gözden geçirme süreci:

Denetim, risk yönetimi, kontrol ve yönetişimin yeterliğine ilişkin bağımsız ve tarafsız bir güvence sağlar. İç denetim, kurumun stratejik risk yönetimi sürecinin geliştirilmesine yardımcı olmak adına, yönetim tarafından uzman bir iç danışman olarak da kullanılabilir. Kurumun gerçekleştirdiği tüm faaliyetleri üzerinde geniş bir bakış açısına sahip olacak ve denetlenecek sistem ve süreçlerin planlamasını yapmak adına bir değerlendirme yapmış bulunacaktır. Ancak İç Denetimin, ne riskin yönetim tarafından sahiplenilmesinin ne de kurumsal hedeflerin yakalanması konusunda yönetici sorumluluğu bulunan çalışanlar tarafından gerçekleştirilen gömülü gözden geçirme sisteminin yerine geçemeyeceğinin altını çizmekte fayda vardır.

VII- ETKİN BİR RİSK YÖNETİMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

Risk yönetiminden beklenen yararların sağlanabilmesi için idarelerde;

- Risk yönetim sürecinin üst yönetim tarafından sahiplenilmesi, vizyon ve misyon doğrultusunda bir risk stratejisinin oluşturularak uygulamanın teşvik edilmesi,

- Ortak ve tutarlı bir risk yönetim diline sahip olunması için gerekli mekanizmaların oluşturulması,

- Risk yönetimi süreçlerinin sade, esnek ve uygulanabilir olması ve diğer temel süreçlerle (stratejik planlama, performans yönetimi, insan kaynakları yönetimi vb.) bütünleşik olarak planlanması ve yürütülmesi,

- Risk yönetimi süreçlerinin sistematik bir şekilde izlenmesi, raporlanması ve değerlendirilmesi,

- Risk yönetimi sürecinde herkesin önemli bir role sahip olduğu ve risk yönetiminin mevcut faaliyetlerin ayrılmaz bir parçası olarak yürütülmesi gerektiği bilincinin idarede yerleştirilmesi, gerekmektedir.

VIII- SONUÇ:

Risk Zarar, kayıp, tehlike veya hasar olmasına yönelik belirsizlik içeren unsur, etken veya gidişattır.

İdare açısından risk;

Gelecekte ortaya çıkabilecek İç ve dış etkenlerin İdarelerin amaç ve hedeflerinin gerçekleşmesi üzerindeki Olumlu ya da olumsuz etkileri şeklinde ifade edilebilir.

Risk terminolojisinde;

FIRSAT: riskin olumlu yanları ve sağlayabileceği olası kazançlar,

TEHDİT: riskin olumsuz yanları ve neden olabileceği olası kayıplar olarak ifade edilmektedir.

Risk yönetimi;

Bir yönetim aracı olup İdarenin amaçlarına ve hedeflerine ulaşmasında etkisi olabilecek mekanizmaların tamamını ifade etmektedir.

Hedef Organizasyon neye ulaşmak ister?

Risk  Organizasyonun hedeflerine ulaşmasını neler engeller?

Kontrol  Organizasyon riskleri sınırlandırmak için neler yapabilir?

Risk Yönetimi  Kurum/Birim için önemli sorunlar nelerdir? Kurum/Birim nasıl bu riskleri kalıntı riske dönüştürerek yönetir? sorularına cevap aramaktır.

Kamu kurumları, görevlerini yerine getirirken karşılaşabilecekleri muhtemel risklerini bilmek, bunları değerlendirmek, risklere karşı mücadele etmek, gelişmeleri izlemek, yani risk yönetimini, etkin yönetim anlayışının bir unsuru olarak benimsemeleri ve uygulamaları halinde iyi bir  "Risk Yönetimi" aşağıda sıralanan faydaları sağlayacaktır.

İdarelerin ve birimlerinin performanslarının artırılmasına ve hedefledikleri kilit sonuçlara ulaşmasında daha etkili olmalarına katkı sağlamak.

Karar alma mekanizmalarının güçlendirilmesini sağlamak.

Sunulan hizmetlerin sürekliliğinin ve kalitesinin artmasına yardımcı olmak.

Kaynak tahsisinde etkinliği artırmak.

Olası kayıpları azaltmak, maliyetleri düşürmek.

Hesap verebilirliği artırmak.

Mevzuata ve düzenlemelere uygunluğu sağlamak.

Kamuoyunda daha olumlu bir imaj oluşturmak.

Kurumsal risk yönetimi süreci ülkemizde çok yeni bir anlayıştır. Bunun doğal sonucu olarak hem özel sektörde hem de kamu idarelerinde uygulamada pek çok sorunla karşılaşılmaktadır. Özellikle kamu idareleri açısından özümsenmesi zor olan bir süreçtir. Kurumsal risk yönetimi (KRY) iç kontrol standartları arasında yer almasına rağmen iç kontrol sistemini kamu idarelerinin uygulamadığı görülmektedir. Bağlayıcılığı olmayan, angarya bir iş olarak nitelenir hale gelen KRY’nin ülkemizde uygulanması zaman alacaktır.

Sonuç olarak, Kurumsal risk yönetimi soyut kavramlara dayanmaktadır. Kamu idarelerinin bu kavramları somutlaştırması ve yürüttükleri görevlere ait risklere kontrol geliştirmesi zordur. Kurumsal risk yönetiminin önemini Peter DRUCKER “Ölçemediğiniz hiçbir şeyi kontrol edemez, kontrol edemediğiniz hiçbir şeyi yönetemezsiniz” diyerek açıklamıştır. Bu yüzden kamu idarelerinin kaynak savurganlığını önlemek için Kurumsal Risk Yönetimi uygulamaları son derece önem arzetmektedir.

Geleneksel kamu yönetimi anlayışıyla hareket eden kamu idarelerine Kurumsal Risk Yönetimini İç Denetim Koordinasyon Kurumunun zorunlu olarak hazırlanması gerektiğini bildirmesi ve bunu bir zaman aralığıyla sınırlandırması bağlayıcılık sağlayacaktır.

Tüm bu zorluklara rağmen kurumsal risk yönetimi bir kurumda etkili bir şekilde işlemeye başladığında kurumun ulaşmayı hedeflediği amaçların önündeki birçok engel kaldırılmış ve belirsizlikler daha açık hale gelmiş olacaktır.

 

Yararlanılan Kaynaklar:

ACAR Şafak Birol, Kamu Mali Yönetimi ve Kontrol Sisteminde Mali Hizmetler Birimleri, İç Kontrol Merkezi Uyumlaştırma Dairesi, Nisan-Haziran/2008

ACAR Pınar, Avrupa Birliği ve Türkiye’de Kamu İç Mali Kontrol Sistemi, Maliye Dergisi, 2001

AKSOY Mehmet, Kamuda İç Kontrol&İç Denetim, Muhasebat Kontrolörleri Derneği Yayını, Ankara, 2008

AKYEL Recai, Yönetim ve Ekonomi Dergisi, Manisa, 2010, Cilt:17 Sayı:1

ARSLAN Işılda, Kurumsal Risk Yönetimi, Maliye Bakanlığı Strateji Geliştirme Başkanlığı, Mart 2008

BORUCU A. Cemil, Kurumsal Risk Yönetimi Projelerinde Risk Değerleme Sürecinin İşlevi,

T.C. Çalışma Ve Sosyal Güvenlik Bakanlığı, İç Kontrol Kurumsal Risk Yönetim, Rehberi Strateji Geliştirme Başkanlığı, Aralık 2013

Çevre ve Şehircilik Bakanlığı- Strateji Geliştirme Başkanlığı, İç Kontrol İçin Süreç Yönetimi El Kitabı, MAYIS 2013

Deloitte, Kurumsal Risk Hizmetleri Kıdemli Müdürü

DURAN Erdal,  Kamu İdarelerinde Kurumsal Risk Yönetimi Uygulamaları, Çevre ve Şehircilik Bakanlığı- Strateji Geliştirme Başkanlığı, Mali Hizmetler Uzmanlığı Araştırma Raporu

Ankara Aralık 2013

ERASLAN Taner, Belediyelerde Süreç Yönetimi

T.C. İçişleri Bakanlığı Strateji Geliştirme Başkanlığı, 10 Soruda İç Kontrol, Haziran 2010 Ankara.

Kamu İdareleri İçin Stratejik Planlama Kılavuzu, T.C. Başbakanlık Devlet Planlama Teşkilatı, Haziran 2006

Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürlüğü, Kamu İç Kontrol Rehberi

SAYIŞTAY, INTOSAI İç Kontrol Standartları, 1994 Ankara

Sayıştay, Mali Yönetim ve Kontrollerin Denetimi, Çeviri Dizisi, Ankara, 1997

Sayıştay Başkanlığı Risk Yönetimi Rehberi Temmuz 2006

ÜSTÜN Şadi, Kamuda İç Denetim1-2, Mahalli idareler Dergisi,Şubat, Mart sayısı, 2017

http://gbmut.com/risk-yonetimi/

https://www.sayistay.gov.tr/tr/Upload/95906369/files/yayinlar/RiskYonetimiRehberi.pdf

https://www.sgb.gov.tr/Kontrol%20Brorleri/04.%20Risk%20Y%C3%B6netimi%20Nedir.pdf

https://www.tkgm.gov.tr/sites/default/files/icerik/ekleri/kurumsal_risk_yonetimi-sunum.pdf

https://www.csb.gov.tr/db/strateji/editordosya/ErdalDURAN-Kamu_Idarelerinde_Kurumsal_Risk_Yonetimi_Uygulamalari(4).pdf

Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürlüğü, Kamu İç Kontrol Rehberi

http://www.sgb.gov.tr/MaliyeUzmYrdArasRaporlari/Maliye%20Uzmanl%C4%B1%C4%9F%C4%B1%20Ara%C5%9Ft%C4%B1rma%20Raporlar%C4%B1/Kurumsal%20Risk%20Y%C3%B6netimi%20I%C5%9F%C4%B1lda%20ARSLAN.pdf

https://www.tkgm.gov.tr/sites/default/files/icerik/ekleri/kurumsal_risk_yonetimi-sunum.pdf

---