|
RİSK NEDİR?
|
|
Risk, kurumların stratejik amaç ve hedeflerine ulaşmalarını olumlu ya da olumsuz yönde etkileyebilecek olaylar veya durumlar olarak tanımlanır. Olumlu yönde etkilediğinde risk fırsat olarak değerlendirilirken, olumsuz yönde etkilediğinde tehdit olarak değerlendirilir. Risk bir kurumun; Stratejik, Mali, Operasyonel hedeflerini gerçekleştirmesini engelleyecek, her türlü olayın gerçekleşme olasılığıdır. Her türde ve büyüklükte kurum; kendi hedeflerini gerçekleştirip gerçekleştirmeyeceklerini veya ne zaman gerçekleştireceklerini belirsiz kılan iç/dış faktörler ve etkilerle karşılaşır. Bir kuruluşun hedefleri üzerindeki bu belirsizlik etkisi “RİSK”tir. Bu risk olumlu yönde değerlendirildiğinde “FIRSAT”, Olumsuz yönde değerlendirildiğinde ise “TEHDİT” olarak tanımlanır.
|
|
RİSK YÖNETİMİ
|
|
Risk Yönetimi; Kurumların görevlerini yerine getirirken ortaya çıkabilecek risklerin önceden dikkatli bir biçimde ve ayrıntıları ile tanımlanıp değerlendirilmesi ve bu riskleri minimize edecek veya tam olarak ortadan kaldıracak önlemlerin alınmasıdır. Risk yönetiminin kurum içerisinde etkin bir şekilde uygulanabilmesi, kurumun iş süreçlerinin doğru şekilde entegre edilebilmesine bağlıdır. Üniversitemizde risk yönetimi yaklaşımı; birimde yapılan işlere (alt süreçler) yönelik risklerin belirlenmesinden başlayarak izlenmesi ve raporlanmasını kapsayacak şekilde aşağıda yer verilen adımlar çerçevesinde uygulanır:
| 1. Risklerin Belirlenmesi |
2. Risklerin Değerlendirilmesi |
3. Alınacak Kararların Belirlenmesi |
4. İzleme |
5. Raporlama |
|
|
1. Risklerin Belirlenmesi
|
|
Bu aşama yönetimin hedeflere ulaşmasını engelleyen veya zorlaştıran risklerin, belirlenmesi ve gruplandırılmasını kapsar. Risk belirleme yöntemi olarak;
| - Mülakatlar ve Atölye Çalışmaları |
- Beyin Fırtınası (Odak Grubu) |
- Olay Envanteri |
| - Eski Veriler |
- İşlem Akış Analizi
|
- Uyarıcı Gösterge kullanılabilir. |
|
|
Riskleri belirlemek için cevaplanması gereken sorular;
|
| - Hedeflerimize ulaşma yolunda neler yanlış gidebilir? |
- En fazla harcama yaptığımız alanlar hangileri? |
- Usulsüzlük ve yolsuzluk alanları neler olabilir?
|
- Faaliyetlerimize yönelik geçmiş risk deneyimlerimiz nelerdir? |
| - Zayıf olduğumuz alanlar nelerdir? |
- Hangi tür işlemler başarısız olmamıza neden olabilir? |
| - Kritik süreçlerimiz nelerdir? |
- Faaliyetlerimiz hangi durum ya da olaylar karşısında aksayabilir ya da durabilir? |
|
|
Risklerin Belirlenmesinde Dikkat Edilecek Hususlar:
|
| - Tanımlanan riskler açık ve kolay anlaşılır olmalıdır. |
| - Risk hem gelecek hem de içinde bulunulan an ile ilgilidir. Mevcut risklere karşı alınmış olan önlemlerin niteliği önemlidir. |
| - Risklerin belirlenmesi aşamasında geçmiş tecrübelerden de yararlanılır. Daha önce belirlenmiş riskler gözden geçirilerek mevcut riskler ile karşılaştırılmalı ve güncelleme yapılması gereklidir. |
| - Riskin temelinde belirsizlik yatar. Bununla birlikte, farklı kavramlar olan risk ve belirsizliğin karıştırılmaması gerekir. Marmara Bölgesi’nde beklenen şiddetli bir depremin ne zaman gerçekleşeceği bir belirsizlik örneği iken; söz konusu depremin gerçekleşmesi durumunda bu bölgede faaliyet gösteren bir AR-GE merkezine olacak etkisi söz konusu kurum için bir risktir. |
| - Bir olayın veya durumun risk olarak tanımlanabilmesi için, söz konusu olay veya durumun kurumun stratejik amaç ve hedeflerine ulaşmasını etkileyebilmesi veya kurumun operasyonel işleyişinde aksaklığa sebebiyet vermesi gerekir. Kurum amaç ve hedeflerine ulaşma becerisini etkileme gücü bulunmayan olaylar veya durumlar risk olarak tanımlanmamalıdır. Bununla birlikte, kurumun amaç ve hedeflerine ulaşmasını etkileyebilecek risklerin stratejik riskler olabileceği gibi, aynı zamanda operasyonel, finansal, uyum ya da dış riskler de olabileceği unutulmamalıdır. |
| - Riskler kurumun stratejik amaç ve hedefleriyle ilişkili olmalıdır. Bu nedenle, risk tanımlamalarının doğru ve tam yapılabilmesi için öncelikle kurumun stratejik amaç ve hedeflerinin doğru ve eksiksiz tanımlanmış olması gerekir. |
| - Kurum tarafından maruz kalınabilecek riskler, değişen iç ve dış koşullara bağlı olarak zaman içinde değişim gösterir. Bu nedenle, riskler tanımlanırken değişen koşullar mutlaka göz önünde bulundurulmalıdır. |
| - Riskler tehditleri, yani kurumsal hedefleri olumsuz yönde etkileyecek potansiyel olaylar veya durumları içerebildiği gibi aynı zamanda fırsatları, yani kurumsal hedefleri olumlu yönde etkileyerek avantaja dönüştürebilecek potansiyel olaylar veya durumları içerebilir. |
| - Risk, sadece “kök neden” veya “etki” değildir. Risklerin belirlenmesi aşamasında söz konusu kavramlar karıştırılmamalıdır. Kök neden, riskin altında yatan ana sebeptir. Riskin doğru şekilde değerlendirilmesi ve yönetilmesi için kök nedenlerin bilinmesi ve söz konusu kök nedenleri kontrol altına almaya yönelik eylemlerin gerçekleştirilmesi gerekir. Etki ise, riskin sebep olabileceği nihai durumdur. Farklı kavramlar olmakla birlikte, risk kök nedenleri ve etkilerini de içerecek şekilde tanımlanır. |
| - Risk tanımlaması esnasında kamu idareleri söz konusu riskle ilişkili kök nedenleri de tanımlar. Söz konusu tanımlama, kamu idarelerinin kurumsal risk yönetimi çalışmalarının sonraki aşamalarında risklere yönelik alınacak kararları doğru ve yeterli şekilde belirlemelerine yardımcı olur. Çünkü tanımlanacak kök nedenler, kurumun ilgili riske yönelik gerçekleştirmesi gereken eylemleri, kontrol faaliyetlerini ortaya koyacaktır. |
|
| Hatalı Risk Tanımlaması |
Doğru Risk Tanımlaması
|
| Hatalı yetki verilmesi |
Görev ve sorumluluk ile bağdaşmayan yetki verilmesi sonucu yetkisiz kişiler tarafından sistemde uygun olmayan/ hatalı işlemlerin gerçekleştirilmesi sonucu itibar kaybı vs. |
| Personel yetersizliği |
Personel yetersizliği nedeniyle kurum operasyonlarında aksamaların yaşanması ve öğrenciye sunulan kamu hizmetinin kalitesinin düşmesi. |
|
Risk İştahı (Risk Alma İstekliliği): Kurumun amaçları doğrultusunda kabul etmeye hazır olduğu en yüksek risk düzeyidir. Risk iştahı kavramı, bu düzeyin üzerindeki risklerin kabul edilemeyeceğini ve önlem alınması gerektiğini ifade eder.
|
|
2. Risklerin Değerlendirilmesi
|
|
Risk değerlendirmesi, idarenin hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesi ve riskin etki ve olasılık açısından öneminin belirlenmesidir. Etki ise bu olayın meydana gelmesi halinde, idarenin hedef faaliyetleri üzerinde yaratacağı sonucu ifade eder.
| 1 rakamı riskin gerçekleşmesi sonucu doğuracağı sonucun çok az önemli olduğu; |
5 rakamı bu sonucun çok önemli olduğu anlamına gelir. |
Olasılık, bir olayın belirli bir zaman diliminde gerçekleşmesi durumunu ifade eder.
| 1 rakamı bir riskin gerçekleşme olasılığının hemen hemen olmadığı; |
5 rakamı riskin gerçekleşmesinin neredeyse kesin olduğu anlamına gelir. |
|
|
3. Risklere Yönelik Alınacak Kararların Belirlenmesi
|
|
Risklere yönelik alınacak kararları belirlerken aşağıdaki sorular göz önünde bulundurulmalıdır:
| Riski kabul edersem ne olur? |
Faaliyeti maliyet-etkinlik analizi çerçevesinde daha iyi yapabilecek bir kuruluş var mı? |
| Fırsatın büyüklüğü riski almaya değer mi? |
Hangi risklerin kontrol edilmesi gerekir? |
| Riskten kaçınmak adına faaliyeti başka bir döneme ertelemek veya alternatif bir faaliyetle ikame etmenin hedeflerim üzerinde etkisi nedir? |
Risklere yönelik alınacak kararların belirlenmesi; kurumun amaç ve hedeflerine ulaşmasını sağlayacak kontrol faaliyetlerine verilmesidir.
|
|
RİSKİ İNDİRGEMEK: Riskin gerçekleşmesi halinde kurumun maruz kalabileceği zararların kabul edilebilir bir düzeye indirilmesi için uygun risk yönetimi faaliyetlerinin belirlenmesi ve uygulanmasıdır
|
|
RİSKİ KABUL ETMEK: Riskin gerçekleşmesi halinde kurumun maruz kalabileceği zararlar ile riskin yönetilmesi için katlanılacak maliyetlerin değerlendirilmesi ve değerlendirme sonucunda herhangi bir ilave eylem uygulamamaya karar verilmesidir.
|
|
RİSKİ TRANSFER ETMEK: Riskin gerçekleşmesi halinde kurumun zarara maruz kalmasına neden olabilecek faaliyetlerin tamamının veya bir kısmının yapılacak sözleşmeler aracılığıyla, kurum dışı uzman kuruluşlara devredilmesidir.
|
|
RİSKTEN KAÇINMAK: Riskin gerçekleşmesi halinde kurumun maruz kalabileceği zararların değerlendirilmesi ve değerlendirme sonucunda riske neden olabilecek olay veya durumlardan kaçınılmasıdır
|
|
Riskin indirgenmesi kararının seçilmesi durumunda, bir sonraki aşamada riskin etki ve olasılığını azaltacak risk yönetimi faaliyetleri tanımlanır. Risklerin indirgenmesi kapsamında kurum tarafından uygulanacak risk yönetimi faaliyetleri 4 grupta sınıflandırılır:
|
| a. Önleyici risk yönetimi faaliyetleri: İstenmeyen durumların meydana gelmesini önleyen risk yönetimi faaliyetleridir. Kamu idareleri tarafından kullanılan bilgi teknoloji sistemlerine erişim yetkilerinin çalışanların görev tanımları ile uyumlu olacak şekilde tanımlanması önleyici risk yönetimi faaliyetlerine örnek verilebilir. Görev tanımı bazında oluşturulacak yetkilendirme sayesinde, sisteme yetkisiz erişimlerin ve istenmeyen işlemlerin önüne geçilebilir. |
| b. Tespit edici risk yönetimi faaliyetleri: Gerçekleşmiş istenmeyen bir durumun tespit edilmesini sağlayan risk yönetimi faaliyetleridir. Hazırlanan raporların gözden geçirilmesi veya sistemde oluşturulan yetki tanımlamalarının periyodik olarak kontrol edilmesi ortaya çıkarıcı risk yönetimi faaliyetlerine örnek verilebilir. |
| c. Düzeltici risk yönetimi faaliyetleri: Gerçekleşmiş olan istenmeyen sonuçların düzeltilmesi için tasarlanan risk yönetimi faaliyetleridir. Bilgi teknolojileri sistemlerine yönelik oluşturulan acil durum eylem planları veya kurtarma programları düzeltici risk yönetimi faaliyetlerine örnek verilebilir. |
| d. Yönlendirici risk yönetimi faaliyetleri: Bilgilendirme, davranış şekli belirleme gibi dolaylı faaliyetler ile risklerin indirgenmesine yönelik risk yönetimi faaliyetleridir. Çalışanlara eğitim verilmesi, broşür veya el kitabı hazırlanması yönlendirici risk yönetimi faaliyetlerine örnek verilebilir. |
|
|
4. Risklerin İzlenmesi
|
| - Riskler tespit edilip değerlendirildikten sonra belirli aralıkla gözden geçirilmesi gerekir. |
| - Özellikle yılda en az bir kez risklerin hâlâ var olup olmadığı, riskin öneminin değişip değişmediği, yeni kontroller geliştirilip geliştirilmediği gibi hususlar değerlendirilmelidir. |
| - Kurum tarafından maruz kalınabilecek riskler, değişen iç ve dış koşullara bağlı olarak zaman içinde değişim gösterebilir veya yeni riskler ortaya çıkabilir. Risk seviyeleri ve önceliklerinde veya kurumun riske yaklaşımı ile risk iştahında değişiklikler olabilir. Daha önce etkin ve etkili olan risk yönetimi faaliyetleri kurum hedefleriyle uyumsuz hale gelebilir, faaliyetler yetersiz kalabilir veya kullanılamaz hale gelebilir, risklere karşı uygulanması kararlaştırılan eylem planları planlandığı gibi uygulanamayabilir. |
|
|
5. Risklerin Raporlanması
|
| - Risk yönetiminde, risklerin raporlanması; risk sahipliğinin desteklenmesi ve kurum içerisinde risk kültürünün yaygınlaştırılarak risklerin sistematik bir şekilde izlenmesi için önemli bir aşamadır. |
| - Kurumlarda etkin ve doğru karar alma mekanizmalarının işletilmesi için etkin bir risk raporlama yapısının kurulması zorunludur. Risklerin etkin yönetildiğinden makul seviyede güvence alınması ve hesap verebilirliğin sağlanması için kurumun kritik risklerine ilişkin; |
| - Raporlama; risk yönetiminin tüm süreçleri boyunca etkin bir şekilde işletilmesi gereken hayati bir unsurdur. |
| - Raporların, mümkün olduğunca kısa ve öz bilgilerden oluşması, değerlendirmelere ilişkin kanıtları göstermesi, gerektiği zamanda ve gerekli kişilere sunulması özel önem taşımaktadır. |
|
|
RİSK YÖNETİMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ
|
|
Risk yönetim sürecinin üst yönetim tarafından sahiplenilmesi, vizyon ve misyon doğrultusunda bir risk stratejisinin oluşturularak uygulamanın teşvik edilmesi,
| Risk yönetimi süreçlerinin sade, esnek ve uygulanabilir olması ve diğer temel süreçlerle (stratejik planlama, performans yönetimi, insan kaynakları yönetimi vb.) bütünleşik olarak planlanması ve yürütülmesi, |
| Risk yönetimi süreçlerinin sistematik bir şekilde izlenmesi, raporlanması ve değerlendirilmesi |
| Kurumları risk yönetiminde başarıya götürür. |
|
OKÜ Sağlık Bilimleri Fakültesi Risk Kayıt Formu
|
| OKÜ Sağlık Bilimleri Fakültesi Risk Faaliyet Değerlendirme Formu |
| OKÜ Sağlık Bilimleri Fakültesi Risk Etki ve Olasılık Değerlendirme Formu |