EN
TR
Bu doküman Resmi Gazete dışında bir kaynakta yayınlanmıştır.
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak, Tanımlar, İlkeler
Amaç
Bu Yönergenin amacı, Genel Müdürlük faaliyetleri ile stratejik amaç ve hedeflere ulaşılması esnasında oluşabilecek risklerin yönetilmesi için uygulanacak prensip, politika ve programlara ilişkin usul ve esasları belirlemektir.
Kapsam
Bu Yönerge, Genel Müdürlük faaliyetleri kapsamında gerçekleşebilecek risklerin belirlenmesine, önlenmesine, yönetilmesine ilişkin usul ve esasları kapsar.
Dayanak
Bu Yönerge, 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanununun 55, 56, 57, 60, 63 ve 64 üncü maddeleri ile İç Kontrol ve Ön Mali Kontrole İlişkin Usul ve Esasların 4, 5, 6, 7, 8 ve 9 uncu maddelerine dayanılarak hazırlanmıştır.
Tanımlar
Bu Yönergede geçen;
a) Artık Risk: Risk yönetim sürecinde alınan kararlar veya uygulanan kontroller sonucunda tamamen ortadan kalkmayan riski,
b) Bakanlık: Devlet Su İşleri Genel Müdürlüğünün bağlı olduğu Bakanlığı,
c) Birim: Genel Müdürlük merkez ve taşra teşkilatı birimlerini,
ç) Birim Risk Yetkilisi: Genel Müdürlük merkez ile taşra teşkilatı birimlerinin en üst yöneticisini,
d) Birim Risk Yönetim Ekibi: Birim risk yetkilisi tarafından oluşturulan birim risk yönetim sorumlusu dâhil; en az 5’ i birim ana hizmet ünitesi şube müdürü olmak üzere en az 7 kişilik ekibini,
e) Birim Risk Yönetim Eylem Planı: Birim risk yönetim ekibi ve birim çalışanları ile birlikte hazırlanan, birim risk yönetimi hakkında bilgileri içeren risk stratejisi planını,
f) Birim Risk Yönetim Sorumlusu: Genel Müdürlük merkez birimleri ile taşra teşkilatında birim risk yetkilisi tarafından görevlendirilen yardımcısını,
g) Doğal Risk: Mevcut olan riskin, yönetilmeden veya herhangi bir önlem alınmadan önceki seviyesini,
ğ) Fayda: Riske uygulanacak iyileştirmeler sonucunda bertaraf edilecek hasarın parasal toplamını,
h) Fırsat: Kurumun kuruluş ve stratejik amaçlarına, hedeflerine ulaşmada yardımcı olacak uygun zaman, uygun durum ve şartları,
ı) Genel Müdür: Devlet Su İşleri Genel Müdürünü,
i) Genel Müdürlük: Devlet Su İşleri Genel Müdürlüğünü,
j) Genel Müdürlük Risk Yöneticisi: Genel Müdürü veya Genel Müdür tarafından belirlenen Genel Müdür Yardımcısını,
k) Genel Müdürlük Risk Yönetim Ekibi: Genel Müdürlük risk yöneticisi başkanlığında, İç Kontrol İzleme ve Yönlendirme Kurulu ile birim risk sorumluları ve en az bir iç denetçiden oluşan ve Genel Müdür tarafından onaylanan ekibi,
l) Genel Müdürlük Risk Yönetim Eylem Planı: Birim risk yönetim eylem planlarının değerlendirilmesi ile hazırlanan, Genel Müdürlük risk yönetimi hakkında bilgileri içeren risk stratejisi planını,
m) İç Kontrol İzleme ve Yönlendirme Kurulu: Genel Müdür veya Genel Müdür tarafından belirlenen Genel Müdür Yardımcısı ile merkez harcama yetkililerinden oluşan ekibi,
n) İş Süreci: Belirli bir dizi girdiyi, müşteriler (faydalanıcılar) için belirli bir dizi faydalı çıktıya dönüştüren, tanımlanabilen, sınırları konulabilen, tekrarlanabilen, ölçülebilen, sorumlusu olan, değer yaratan, birbiriyle ilişkili faaliyetler zincirini,
o) İş Süreci Akış Şeması: Süreçleri oluşturan faaliyetlerin sırasının ve faaliyetler arası ilişkilerin görsel ifadesini,
ö) Kanun: 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununu,
p) Kurumsal Risk Yönetimi: Genel Müdürlüğün misyon, vizyon ve temel değerler ile hedeflerine ulaşmasını etkileyebilecek olayları (fırsatları ve riskleri) tanımlamak ve değerlendirmek, sorumlularını belirlemek, gelişmeleri izlemek, bu fırsat ve risklere karşı alınacak stratejileri belirleyip kararlaştırmak ve fırsat ve riskleri raporlamak için her birim ve kademesinde yapılandırılmış planlı, uyumlu, tutarlı ve sürekli bir süreci,
r) Makul Güvence: Genel Müdürlüğün amaç ve hedeflerinin gerçekleşeceğine dair fayda-maliyet analizi ve risk koşulları altında tatmin edici güvenilirlik derecesini,
s) Maliyet: Riske uygulanacak iyileştirme stratejilerine harcanacak parasal miktarı,
ş) Öncü Risk Göstergesi: Genel Müdürlüğün stratejik amaç ve hedeflerine ulaşmasını etkileyebilecek risklerin gerçekleşme ihtimallerini işaret eden ve söz konusu risklerin takibinde kullanılan göstergeyi,
t) Risk: Genel Müdürlüğün kuruluş amaçları ile stratejik amaç ve hedeflerine ulaşmasına ve görevlerinin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek durum ya da olaylar ile hassas görevleri,
u) Risk Alma ve Kabullenme Seviyesi: Genel Müdürlüğün belirli bir fayda veya getiri karşılığında üstlenmeyi göze aldığı risk düzeyini veya risk iştahını,
ü) Risk Analizi: Risklerin sebeplerinin, olumlu/olumsuz etkilerinin ve bu etkilerin ortaya çıkma ihtimallerinin belirlenmesini,
v) Risk Evreni: İdareye odaklanacağı alanları tespit etmesi, olası risk kaynaklarını atlamaması ve riskleri söz konusu ana odak noktaları çerçevesinde takip etmesine yardımcı risk kategorilerini,
y) Risk Haritası: Risklerin etki ve olasılıkları kapsamında risk seviyelerinin değerlendirilmesini sağlayan gösterim biçimini,
z) Risk Kapasitesi: İdarenin faaliyetlerine son vermeden alabileceği en yüksek risk seviyesini,
aa) SGDNET Risk Modülü: İç kontrol ve risk yönetim faaliyetlerinin yönetilmesi amacıyla kullanılan yazılımı,
bb) Tehdit: Genel Müdürlüğü, muhtemel risklerle karşı karşıya getirebilecek eylem, olay ve hassas görevleri,
cc) Üst Yönetici: Genel Müdürü,
dd) Yönerge: Bu Yönergeyi
ifade eder.
İlkeler
Genel Müdürlük risk yönetimine ilişkin ilkeler şunlardır:
a) Genel Müdürlüğün amaç ve hedeflerinin gerçekleştirilmesini ve hizmet sunmasını engelleyebilecek veya hizmet kalitesini düşürebilecek, halkın kuruma olan güvenini sarsabilecek, yolsuzluğa meydan verebilecek, faaliyetlerin mevzuata aykırı yürütülmesine ve kaynak kaybına sebep olabilecek her türlü olay risk olarak değerlendirilir.
b) Birim risklerinden stratejik amaç ve hedefleri etkileyebilecek olanlar Genel Müdürlük risk yönetimi kapsamına alınır.
c) Riskler, gerçekleşme ihtimali ve gerçekleşmesi halinde ortaya çıkacak sonuçların etkileri göz önünde bulundurularak ölçülür.
ç) Risklerin sınıflandırılması birimin faaliyetleri dikkate alınarak belirlenir.
d) Risk yönetim süreçleri, faaliyetlerin niteliğine uygun tasarlanır ve uygulanır.
e) Risklere uygun iyileştirme stratejileri (risk yönetim faaliyetleri) belirlenir ve değerlendirilir. Yeterlilik düzeyine göre artık risk puanı hesaplanır.
f) Risk yönetimi hesap verilebilir, şeffaf ve güvenilir olmalıdır.
g) Risk yönetim süreci çalışanlarla birlikte tasarlanır.
ğ) Risklerin gerçekleşme ihtimali ve muhtemel etkileri yılda en az bir kez analiz edilip, değerlendirilerek alınacak tedbirler belirlenir
h) Risk yönetim planı, stratejik amaç ve hedeflere ulaşmada yöneticilere makul derecede güvence sağlayacak şekilde tasarlanır.
ı) Riskler stratejik plan hazırlama sürecinde tespit veya kontrol edilir ve stratejik plana eklenir.
i) Riskler her yıl düzenlenen çalıştayda değerlendirilir.
İKİNCİ BÖLÜM
Risklerin Belirlenmesinde Dikkat Edilecek Hususlar ve Risk Türleri
Riskin belirlenmesi
Riskler belirlenirken Genel Müdürlüğün;
a) Stratejik amaç ve hedeflerinin gerçekleşmesini engelleyen durumlar,
b) Stratejik amaç ve hedeflerine ulaşılmasını olumlu yönde etkileyecek potansiyel olay veya durumlar,
c) Faaliyetlerinin başarısızlıkla sonuçlanmasına sebep olabilecek iş ve işlemler,
ç) Faaliyetlerini gerçekleştirmedeki zayıf yönleri,
d) Korunmada öncelikli varlıkları,
e) Yolsuzluğa veya usulsüzlüğe meydan verebilecek faaliyetleri,
f) Öngörülen maliyetin üzerinde harcama yapılan faaliyetleri,
g) Takdire dayanan kritik kararlar ve görevleri,
ğ) Karmaşık olan faaliyetler ve süreçleri,
h) Cezai yaptırımları bulunan faaliyetleri,
ı) Faaliyet alanında yer alan ve ileri derecede teknik uzmanlık gerektiren işleri,
i) Gizli bilgilerine erişim sağlandığı görevleri,
j) Yeni birim veya görevlerinin ortaya çıkması,
k) Kurumsal boyutta yeniden yapılanması,
l) İşgücü kaybına, can kayıplarına, meslek hastalığına sebep olabilecek faaliyetleri,
m) Gelir artışına engel ve azalışına neden olabilecek faaliyetleri,
n) Oluşturulan iş süreç şemalarında tanımlı faaliyetleri,
o) Tanımlanan risklerinin açık ve kolay anlaşılır olması,
ö) Risklerinin belirlenmesi aşamasında geçmiş tecrübelerden yararlanılması,
p) İç ve dış denetim raporlarında tespit edilen hususları,
dikkate alınır.
Risk evreni
(1) Riskler, iç riskler ve dış riskler olmak üzere iki başlıkta değerlendirilir:
a) İç riskler: Genel Müdürlüğün faaliyet ve işlemlerinde ortaya çıkan ve kısa, orta veya uzun vadeli amaç ve hedeflerine ulaşmasını engelleyen risklerdir.
b) Dış riskler: Genel Müdürlüğün faaliyet ve işlemlerinden bağımsız olarak ortaya çıkan risklerdir.
(2) Riskler 7 kategoride değerlendirilmektedir;
a) Operasyonel riskler: Kurumun iş süreçlerinin doğru, uygun ve verimli gerçekleşmesini etkileyebilecek risklerdir.
b) Finansal riskler: Kurumun finansal yapısını ve finansal faaliyetlerini sürdürmek için ihtiyaç duyduğu kaynakları etkileyebilecek risklerdir.
c) Stratejik riskler: Kurumun stratejik seçimlerini yürütme aşamasında aldığı stratejik kararlar dolayısıyla maruz kalabileceği risklerdir. Yönetim ve organizasyon yapısına ilişkin riskler, örgütlenme riskleri bu kapsamda değerlendirilebilir.
ç) Uyum riskleri: Kurumun mevzuata, iç ve dış düzenlemelere uygun işlemler yapmasını etkileyebilecek risklerdir.
d) İtibar riskleri: Kurumun duyulan güveni veya kamuoyundaki imajını etkileyebilecek risklerdir.
e) Teknolojik riskler: Kurumun teknolojik gelişmeler ve idarenin kullandığı teknolojilerden kaynaklanan risklerdir.
f) Proje riskleri: Kurumun stratejik amaç ve hedeflerine ulaşmak üzere gerçekleştirmekte olduğu projelerle ilişkili olan risklerdir.
ÜÇÜNCÜ BÖLÜM
Risk Yönetiminin Hedefleri, Risk Yönetim Süreci
Risk yönetiminin hedefleri
Risk yönetimi;
a) Stratejik amaç ve hedeflerin gerçekleştirilmesine yönelik görev ve sorumlulukların yerine getirilmesini,
b) Stratejilerin doğru belirlenmesini,
c) Çalışanların risk yönetimi konusunda bilgilerinin arttırılmasını,
ç) Güçlü ve zayıf yönler ile fırsat ve tehditlerin belirlenmesini,
d) Bir olay meydana geldikten sonra olayın olumsuzluklarını giderici önlemler alan yönetim şekli yerine; olay meydana gelmeden, olayın oluşmasını engelleyici önlemler alan yönetim şeklinin sağlanabilmesini,
e) Kaynakların etkili, ekonomik ve verimli tahsis ve kullanımının teminini,
f) Risklerin yönetilmesi ve zararlarının azaltılmasını,
g) Alınacak önlemler için eylem planlarının oluşturulmasını,
ğ) İlgili mevzuat çerçevesinde faaliyetlerin gerçekleştirilmesini,
h) Olumsuz durumlarla karşılaşma ihtimalinin en aza indirilmesini ve risklere karşı hazırlıklı olunmasını,
ı) Performansın risk odaklı takip edilmesi ve hesap verilebilirliğin sağlanmasını,
i) Genel Müdürlük varlığının ve faaliyetlerinin kesintisiz devam etmesini,
j) Hizmet sunumunda halkın ve çalışanların memnuniyetinin arttırılmasını,
hedefler.
Genel Müdürlük /birim risk yönetimi süreci
(1) Risk yönetim süreci; Genel Müdürlüğün hedeflerini gerçekleştirebilmesi için makul güvence sağlamak üzere, olası olay veya durumların önceden belirlenmesi, değerlendirilmesi, kontrol edilmesi, izlenip gözden geçirilmesinden oluşan bir süreçtir.
(2) Genel Müdürlük /birim risk yönetimi sürecinin temel unsurları;
a) Risklerin tanımlanmasını,
b) Risklerin analiz edilmesi ve ölçülmesini,
c) Risklerin önceliklendirilmesini,
ç) Yüksek ve çok yüksek olan risklerde öncü risk göstergesinin belirlenmesini,
d) Risklere uygun çözümlerin belirlenmesi ve gözden geçirilmesini,
e) Riskler karşısında uygulanacak kontrol faaliyetlerinin belirlenmesini,
f) Mevcut risk yönetimi faaliyetlerinin yeterliliğinin belirlenmesi ve değerlendirilmesini,
g) Risk yönetim sürecinin sürekli izlenmesini ve gözden geçirilmesini,
ğ) Bilgi ve iletişimin sağlanmasını kapsar.
(3) Genel Müdürlük /birim risk yönetim süreci; birimlerin amaçlarına, hedeflerine, faaliyetlerine, iş süreçlerine ve yöntemlerine göre farklılık gösterir.
(4) Risk yönetim süreç adımları Tablo (1), (1A), (1B), (1C), (1D) de gösterilmiştir.
Risklerin tanımlanması
Bu yönergenin 6 ncı maddesine göre belirlenen riskler ile hizmet kalitesini düşürebilecek, halkın kuruma olan güvenini sarsabilecek, faaliyetlerin mevzuata aykırı yürütülmesine ve kaynak kaybına sebep olabilecek olaylar ile kayıtlara ve deneyimlere bağlı çıkarımlar Ek-7 de tanımlı sorulara benzer sorular sorularak ve örneklere bakılarak tanımlanır.
Mevcut durum analizi
(1) Mevcut durum analizi Genel Müdürlüğün; vizyonu, misyonu, temel değerleri, stratejileri, hedefleri, risk alma ve kabullenme seviyesi ve hizmet sunduğu sektörler, görev ve sorumluluklarının karmaşıklık düzeyi, görevlerini gerçekleştirmesi sırasında işbirliği içerisinde olduğu ulusal ve uluslararası kurum ve kuruluşlar ile Genel Müdürlüğün büyüklüğü, hizmet sunduğu coğrafi alan, kurum kültürü, sorumlu olduğu mevzuat, hizmet sunduğu grupların yapısı ve insan kaynakları dikkate alınarak yapılır.
(2) Mevcut durum ve hedef yapının tespit süreci dinamik bir süreç olup, belirli sürelerde tekrar gözden geçirilerek hedef yapıda gerekli değişiklikler yapılır.
Etki ihtimal (olasılık) analizi ve risk seviyesinin belirlenmesi
(1) Olayların ortaya çıkması halinde doğuracağı hasarın büyüklüğüne etki, olayların ve sonuçlarının ortaya çıkabilirliğine ise ihtimal (olasılık) denir. Etki ve ihtimalin tahmin edilmesinde mevcut kayıtlar, uygulamalar ve tecrübeler, uzman görüşleri, araştırmalar, istatistiksel analiz ve hesaplamalar gibi yöntemler kullanılır. Risk analizi kapsamında yapılan varsayımların doğruluğu belirli senaryolarla test edilir.
(2) Etki ihtimal seviyesi, Tablo-2 ye göre etki ve ihtimal değerlendirmesi yapılarak etki ihtimal seviyeleri bulunur. Tanımlanan risklerin mevcut durum analizi ile birlikte etki ihtimal analizinin beyin fırtınası yoluyla veya harcama birimlerince belirlenen usul esaslara göre etki ve ihtimalleri belirlenerek risk tespit formu (Ek-1) doldurulur.
(3) Risk seviyesi: Doğal risklerden mevcut faaliyetlere rağmen kuruluşun stratejik amaç ve hedeflerine ulaşmasına ve görevlerinin ifasına engel olabilecek veya beklenmeyen zararlara yol açabilecek risklere yönelik etki ve ihtimal değerlerinin çarpımı (Tablo-6) ile Tablo-3 de yer alan risk seviyesi belirlenir. Risk seviyesi puan aralıkları;
a) Çok düşük risk: 1 ile 3 (hariç) arası,
b) Düşük risk: 3 ile 6 (hariç) arası,
c) Orta risk: 6 ile 12 (hariç) arası,
ç) Yüksek risk: 12 ile 20 (hariç) arası,
d) Çok yüksek risk: 20 ve 25 arası,
olarak belirlenmiştir.
Mevcut risk yönetimi faaliyetlerinin değerlendirilmesi, artık risk ve öncü risk göstergesi
(1) Mevcut risk yönetimi faaliyetlerinin değerlendirilmesi: Risklerin doğru bir biçimde önceliklendirilmesi için, risklere yönelik olarak yürütülen mevcut risk yönetimi faaliyetlerinin yeterli olup olmadığı Tablo-4 göre değerlendirilmelidir. Mevcut risk yönetimi faaliyetlerinin yeterliliği "yeterli", "kısmen yeterli", "zayıf" ve "yeterli değil" kategorilerinde değerlendirilir.
(2) Mevcut risk yönetimi faaliyetlerinin yeterlilik katsayısı: Mevcut risk yönetimi faaliyetlerinin yeterliliği katsayıları Tablo- 4 göre “yeterli: 0.1, kısmen yeterli: 0.4, zayıf: 0.8, yeterli değil: 1” şeklinde sınıflandırılır.
(3) Artık risk seviyesinin hesaplanması: Artık risk seviyesi, risk puanı ile mevcut risk yönetimi faaliyetleri dikkate alınarak etki ihtimal analizi ve/veya mevcut risk yönetimi yeterlilik katsayısının çarpımı ile hesaplanır. Artık risk seviyesi risk alma ve kabullenme seviyesinin üzerinde ise risk yönetim süreci tekrar yapılır, altında ise artık risk varlığı birim risk yönetim ekibi tarafından izlenir ve yıl sonunda artık riske ilişkin rapor Strateji Geliştirme Dairesi Başkanlığına gönderilir.
Artık risk seviyesi (Tablo-5) puan aralıkları;
a) Çok düşük risk: 1 ile 3 (hariç) arası,
b) Düşük risk: 3 ile 6 (hariç) arası,
c) Orta risk: 6 ile 12 (hariç) arası,
ç) Yüksek risk: 12 ile 20 (hariç) arası,
d) Çok yüksek risk: 20 ve 25 arası,
olarak belirlenmiştir.
(4) Öncü risk göstergelerinin belirlenmesi:
Öncü risk göstergesi, artık risk seviyesi “yüksek ve çok yüksek” riskler için belirlenir, “orta, düşük ve çok düşük” riskler için ise duruma bağlı olarak belirlenebilir.
Risklerin analizi ve önceliklendirilmesi
(1) Etki ihtimal analizi ile ortaya çıkan risk seviyelerinin, her bir risk için belirlenen risk alma ve kabullenme seviyesi ile karşılaştırılması sonucu bu seviyenin üzerinde kalan riskler, risk seviyesine göre yüksekten düşüğe doğru sıralanarak önceliklendirilir ve risk seviyesi belirleme formuna (Ek-2) işlenir.
(2) Etki ihtimal analizi ile belirlenmiş risklerin sebepleri olumlu/olumsuz etkileri ve bu etkilerin ortaya çıkma ihtimalleri belirlenir. Böylece belirlenmiş risklerin risk yönetim sürecine alınıp alınmayacağı, alınacak ise fayda/maliyet analizi açısından uygun risk yönetim stratejisinin belirlenmesi sağlanır.
(3) Risk seviyesi yüksek ve çok yüksek olan riskler için Ek-7 deki tanımlama örneklerine göre performans hedefleriyle uyumlu açık, anlaşılır ve ölçülebilir şekilde öncü risk göstergeleri tanımlanır.
(4) Risk analizinde, aynı tip riskler bir araya toplanarak risk alma ve kabullenme seviyesinden düşük olan riskler kapsam dışı bırakılır. Kapsam dışı bırakılan riskler kayıt altına alınarak gelişimleri izlenir. Bu risklere ilişkin gelişmeler yıllık olarak üst yöneticiye raporlanmak üzere her yıl 31 Ocak’a kadar risk alma ve kabullenme seviyesinin altında kalan riskler tablosu (Ek-4) doldurularak Strateji Geliştirme Dairesi Başkanlığına gönderilir.
(5) Analiz sonucu risklerin azaltılması için var olan süreçlerin, araçların, uygulamaların ve kontrollerin; zayıf veya kuvvetli yönleri tespit edilerek ihtiyaçları karşılamada yeterli olup olmadıkları belirlenir ve gerekli düzenlemeler yapılır.
(6) Çok yüksek risk seviyesine sahip eylem ve faaliyetlere başlanırken, riskler ve eylemler konusunda üst yöneticiye yazılı bilgi verilerek işe başlanılması gerekmektedir.
Risk yönetimi sırasında riskler karşısında alınacak kararlar
Fayda-Maliyet analizi faydanın maliyete bölümüyle bulunur.
Fayda-maliyet analizi sonucu riskler karşısında alınacak kararlara göre aşağıdaki fıkralarda belirtilen yöntemlerden biri veya birkaçı risk yönetim takip formuna (Ek-3) işlenir.
a) Riskin etki ve ihtimalinin (olasılık) azaltılması: Potansiyel kayıpların azaltılması için gerekli kontrollerin belirlenmesi ve uygulanması ile faaliyetlerin olumsuz etki ve ihtimalinin büyüklüğü azaltılır. Riskin azaltılmasına yönelik kontroller ve faaliyetler olay öncesi ve olay sonrası olarak sınıflandırılır.
b) Riskten kaçınma: Riskin ortaya çıkmasına veya artmasına sebep olan faaliyetlere başlanılmaması veya son verilmesidir. Genel Müdürlük tarafından alınması gereken risk yönetilemeyecek kadar fazlaysa bu faaliyetten kaçınılır.
c) Riskin devredilmesi veya paylaşılması: Riskin bir parçası veya tümünün diğer taraf veya taraflarca üstlenilmesidir. Ancak risk devredilse bile Genel Müdürlük riski izlemekle sorumludur.
Riskin devredilmesi veya paylaşılması;
1) Sigorta yöntemi kullanarak,
2) Faaliyetin bir kısmının veya tamamının uzmanlığı olan başka bir idareye devredilmesi,
3) Genel Müdürlük tarafından yönetilmesi kaydıyla ihale yöntemi veya başka bir yöntemle faaliyetin üçüncü şahıslara devredilmesi ile yapılabilir.
ç) Riskin kabul edilmesi: Risk alma ve kabullenme seviyesinin altında kalan durumlarda uygulanacak yöntemdir. Ancak; kamu kaynaklarının etkili, ekonomik, verimli kullanılması göz önünde bulundurularak etki-ihtimal ve fayda-maliyet analizi sonucu;
1) Riskin kontrol edilemeyeceği ve kabul edilmek zorunda kalındığı durumlarda,
2) Faaliyetin sonlandırılmasının mümkün olmadığı durumlarda,
3) Faaliyet sonlandırılsa bile ortadan kalkmayan riskler için,
4) Faaliyet esnasında ortaya çıkan ve bertaraf mümkün olmayan riskler ile karşılaşılması durumunda,
5) Bazı fırsatlardan yararlanmak istenildiği durumlarda,
6) Risk almanın başarı için gerekli olduğu durumlarda, uygulanır.
Yapılan fayda-maliyet analizinin sonucu 1’den küçük ise iyileştirme stratejisi uygulanmaz, alternatif stratejiler üretilir. Söz konusu analiz yapılırken, risk yönetim ekipleri tarafından, farklı kararların olası fayda ve maliyetleri değerlendirilmelidir. Bu noktada, seçilen risk kararından elde edilecek faydanın söz konusu kararın uygulanması için harcanan kaynaktan fazla olması gerekmektedir.
Risk etki ve ihtimalinin (olasılık) azaltılması için kontrol faaliyetleri
(1) Kontrol faaliyetleri, Genel Müdürlüğün amaçlarına ulaşmasını etkileyebilecek riskleri bertaraf edebilmek veya kabul edilebilir düzeyde tutmak için belirlenen ve uygulamaya konulan politika ve prosedürlerdir.
(2) Kontrol faaliyetleri şunlardan oluşur:
a) Yönlendirici kontroller: Belirli bir sonuca ulaşmayı sağlamak için yapılan bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri kontrol etme biçimidir.
Koruyucu malzemeler kullanılması yönünde eğitim verilmesi, sel ve taşkın ihtimali olan yerlerde halka eğitim verilmesi gibi.
b) Önleyici kontroller: Risklerin, Genel Müdürlük için oluşturacağı tehditleri sınırlamak ve istenmeyen sonuçların ortaya çıkmasını en aza indirmek amacıyla faaliyet gerçekleşmeden önce yapılması gereken kontrollerdir.
Mal veya malzemelerde garanti süresi ve belgesinin istenmesi, iş ve işlemlerde görevler ayrılığı ilkesinin uygulanması, dere ıslahı, sel ve taşkından önce halkın uyarılması, dere yataklarına ev yapılmasının önlenmesi gibi.
c) Düzeltici kontroller: Risklerle birlikte ortaya çıkan tehditlerden kaynaklanan istenmeyen sonuçların etkisini azaltmaya/düzeltmeye yönelik kontrollerdir.
Bozulan malzemenin garanti kapsamında yenilenmesi, dere yataklarındaki yapıların başka yerlere taşınması gibi.
ç) Tespit edici kontroller: Bu kontroller engellenememiş hataları ortaya çıkartmak veya riskler gerçekleştikten sonra meydana gelen zararın ve riski ortaya çıkaran sebebin tespiti maksadıyla yapılan kontrollerdir.
Kirlenmiş suyun kirlilik seviyesinin tespiti veya suyun kirlenme sebebi, erozyon, sel veya taşkın olması durumunda ortaya çıkan zararın tespiti, iç denetim raporları gibi.
Risklere uygun çözümlerin belirlenmesi ve uygulanması
Risklere uygun yöntemler ve uygulamalar belirlenirken aşağıdaki hususlara dikkat edilir.
a) Kontrol faaliyetleri riskle uyumlu ve orantılı şekilde seçilir.
b) Kaynakların etkili, ekonomik ve verimli kullanılması bakımından fayda-maliyet analizi yapılarak risklere uygun kontrol faaliyetleri ve çözümler getirilir.
c) Risk yönetim sürecinde alternatifler belirlenir, alternatiflerden de en uygun olanına karar verilir, uygun planlar hazırlanır, uygulanır ve riske yönelik yönetim stratejileri belirlenir.
ç) Kontrol faaliyetleri (iyileştirme stratejileri) ölçülebilir faaliyetlerden oluşturulur.
Sürecin sürekli izlenmesi, gözden geçirilmesi ve raporlanması
Birimler, Genel Müdürlüğün değişen faaliyetlere ve olaylara zamanında ve doğru müdahale edebilmesi için birim risk yönetim eylem planlarını (Ek-5), güncel ve maksada yönelik SGDNET risk modülünde hazırlamak ve izlemek zorundadır. Birimler tarafından risklere ait iyileştirme stratejileri 6 aylık periyotlarla gözden geçirilir. Genel Müdürlük riskleri en az yılda bir defa değerlendirilerek Genel Müdürlük risk yönetim eylem planı (Ek-6) raporlanır ve Genel Müdür onayıyla tüm teşkilata duyurulur.
Bilgi ve iletişim
Risk yönetim sürecinin uygulanmasından ve kontrolünden sorumlu olanlar ile paydaşlar arasındaki bilgi ve iletişim;
a) Karşılıklı görüş alışverişine imkân veren,
b) Farklı tecrübeleri bir araya getiren,
c) Alınan kararların açık ve ulaşılabilir olmasını sağlayan yapıdadır.
DÖRDÜNCÜ BÖLÜM
Görev, Yetki ve Sorumluluklar
Birim risk yetkilisinin görevleri
Risk Yetkilisi;
a) Birim risk yönetim sorumlusu ve birim risk yönetim ekibi üyelerini görevlendirmek, sorumlunun ve ekip üyelerinin isim ve iletişim bilgilerinin (tayin vb. zorunlu haller dışında) güncellenmesi halinde her yıl ekim ayı içerisinde Strateji Geliştirme Dairesi Başkanlığına bildirilmesini sağlamakla,
b) Birimin amaç, hedef, faaliyet ve projelerini etkileyebilecek risklere yönelik birim risk yönetim planının hazırlanmasını sağlamakla,
c) Birim risk yönetim ekibi tarafından hazırlanan, birim risk yönetim eylem planına (Ek-5) onay vermekle,
ç) Hazırlanan Genel Müdürlük risk yönetim eylem planı ile birim risk yönetim eylem planı uyarınca çalışanların üzerine düşen görevler konusunda bilgilendirilmelerini sağlamakla,
d) Risk yönetim eylem planlarının uygulanmasını ve kontrolünü sağlamakla,
e) Gerekli olduğu durumlarda birim risk yönetim ekibi tarafından yapılan toplantılara başkanlık etmekle,
f) Birimin karşılaşabileceği riskler ile ilgili gerek gördüğü her türlü eylem kararını almak ve uygulamakla,
g) Birim risklerini her yıl düzenlenen takdim toplantılarında sunmakla,
yükümlüdür.
Birim risk yönetim sorumlusu ve ekibinin görev ve sorumlulukları
Birim risk yönetim sorumlusunun başkanlığındaki birim risk yönetim ekibi;
a) İlgili personel tarafından tanzim edilen risk tespit formu (Ek-1) ile tespit edilen riskleri, risk seviyesi belirleme formuna (Ek-2) ve risk yönetim takip formuna (Ek-3) göre düzenlemekle,
b) Birim risk yönetim eylem planını (Ek-5) hazırlamak ve her yıl 30 Kasım tarihine kadar birim risk yetkilisinin onayını alarak SGDNET risk modülüne işleyerek Strateji Geliştirme Dairesi Başkanlığına ve İç Denetim Birimi Başkanlığına göndermekle,
c) Birimin karşı karşıya olduğu risklerin etkili bir şekilde yönetilip yönetilmediğini takip etmekle,
ç) Risklerin önlenebilmesi veya gerçekleşmesi halinde ortaya çıkan olumsuz sonuçların bertarafı için maliyet analizlerini yapmakla,
d) Birim risk yönetim sisteminin sürekli iyileştirilmesini ve geliştirilmesini sağlamakla,
e) Birim risk sorumlusu gerekli hallerde ekibi toplantıya çağırmakla,
f) İç Denetim Birimi Başkanlığının iç denetim faaliyetleri kapsamında tespit ettiği denetim bulgularına yönelik risklerin kurumsal risk yönetimi kapsamında da yönetilip yönetilmediğini takip etmekle,
yükümlüdür.
Genel Müdürlük risk yöneticisi ve ekibinin görev ve sorumlulukları
(1) Genel Müdürlük risk yöneticisi başkanlığındaki Genel Müdürlük risk yönetim ekibi;
a) Genel Müdürlük risk yönetim eylem planını (Ek-6) hazırlayarak/revize ederek her yıl 31 Aralık tarihine kadar üst yöneticiden uygun görüş alınmak üzere Strateji Geliştirme Dairesi Başkanlığına göndermekle,
b) Risk yönetim sisteminin stratejik plan ve performans programı doğrultusunda sürekli gelişimi, iyileştirilmesi ve kontrolünü sağlamakla,
c) Genel Müdürlüğün karşı karşıya olduğu risklerin etkili bir şekilde yönetilip yönetilmediğini takip etmekle,
ç) Yüksek öncelikli riskleri düzenli olarak takip etmekle,
d) Risk yönetim eylem planına ilişkin birimler arası koordinasyonu sağlamakla,
e) Genel Müdürlük risk yönetim eylem planını güncellemekle,
f) Genel Müdürlüğün karşılaşabileceği riskler ile ilgili gerekli gördüğü her türlü eylem kararını almak ve uygulamaları koordine etmekle,
g) Genel Müdürlük risk yönetim eylem planında öngörülmeyen risklerin aniden ortaya çıkması durumunda, riski ilgili birime iletmekle ve riskin bertarafına yönelik faaliyetlerin takibini yapmakla,
ğ) Risklerin önlenmesi için yapılan maliyet analizlerini gözetmekle,
h) Genel Müdürlük risk alma ve kabullenme seviyesini (risk iştahı) gerekli hallerde belirlemekle;
yükümlüdür.
(2) Genel Müdürlük risk yönetim ekibinde olan iç denetçiler, rehberlik ve danışmanlık görevlerinden dolayı kararlara katılamazlar ve oy kullanamazlar.
Strateji Geliştirme Dairesi Başkanlığının görev ve yetkileri
Strateji Geliştirme Dairesi Başkanlığı;
a) Risk yönetimi konusunda Genel Müdürlük birimlerinin bilgi ve kabiliyetlerinin geliştirilmesine yönelik çalışmalar (seminer, çalıştay vb.) yapmakla,
b) Genel Müdürlük risk yönetim ekibi tarafından hazırlanan/revize edilen Genel Müdürlük risk yönetim eylem planını (Ek-6) onaylanmak üzere üst yöneticiye sunmakla,
c) Genel Müdürlük risk yönetim eylem planının hazırlanmasına, uygulanmasına ve bilgilendirilmesine (üst yönetim toplantıları vb.) yönelik iş ve işlemlerde sekretarya görevini yürütmekle,
ç) Talep edilmesi halinde Genel Müdürlük risk yönetim eylem planını Bakanlığa ve ilgili kurum/kuruluşlara göndermekle yükümlüdür.
İç Denetim Birim Başkanlığının görev ve yetkileri
İç Denetim Birimi Başkanlığı;
a) Risk yönetimi konusunda Genel Müdürlük birimlerinin bilgi ve kabiliyetlerinin geliştirilmesine yönelik danışmanlık ve rehberlik yapmakla,
b) Risk yönetimini ve iş süreçlerini denetlemek ve üst yöneticiye danışmanlık yapmakla,
c) Her yıl gönderilecek birim ve Genel Müdürlük risklerini denetim planı ve programında dikkate almakla yükümlüdür.
Üst Yöneticinin görev ve yetkileri
Üst yöneticinin görev ve yetkileri;
a) Genel Müdürlük risk yönetim eylem planını onaylamak,
b) Gerekli gördüğü hallerde Genel Müdürlük risk yönetim ekibine başkanlık yapmak,
c) Acil durumlarda Genel Müdürlük risk yönetim ekibini toplantıya çağırmaktır.
Tüm çalışanların görev ve sorumlulukları
Tüm çalışanların görev ve sorumlulukları;
a) Yürüttüğü faaliyetlere yönelik sürekli izleme sonucu tespit ettiği yeni ve değişen riskleri ilgili birim risk yetkilisi veya birim risk sorumlusuna iletmekle,
b) Kurumsal risk yönetimi faaliyetleri kapsamında üzerine düşen çalışmaları gerçekleştirmekle,
c) İlgili birim risk yönetim ekibince talep edilen (Ek-1) formunu doldurarak teslim etmekle,
ç) Kurumsal risk yönetimi kapsamında birimlerince düzenlenen eğitimlere katılmakla,
d) Risklerin iyileştirme stratejileri kapsamında kendi yürüttüğü faaliyetler çerçevesinden tanımlanan risk yönetimi iyileştirme faaliyetlerini yürütmekle sorumludur.
BEŞİNCİ BÖLÜM
Çeşitli ve Son Hükümler
İş süreçlerinin çıkarılması
(1) Strateji Geliştirme Dairesi Başkanlığı iş süreçlerinin çıkarılması ve iyileştirilmesine ilişkin standartlar ve düzenlemeler yapmaya yetkilidir.
(2) Strateji Geliştirme Dairesi Başkanlığınca belirlenecek usul ve esaslara göre Genel Müdürlük birimleri iş süreçlerini çıkarmak ve Strateji Geliştirme Dairesi Başkanlığına göndermek zorundadırlar.
Hüküm bulunmayan haller
Bu Yönerge’de hüküm bulunmayan hallerde, 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ve ilgili mevzuat hükümlerine uyulur.
Birim risk yönetim ekiplerinin kurulması
Yeni bir birim kurulması halinde;
(1) Birimler 1 (bir) ay içerisinde birim risk yönetim ekibini kurar, söz konusu ekibin ve daha sonra ekipte oluşabilecek değişiklerde üye isimlerini ve iletişim bilgilerini en geç 1 (bir) ay içerisinde SGDNET risk modülüne işleyerek Strateji Geliştirme Dairesi Başkanlığına bildirirler.
(2) Harcama birimleri tarafından, birim risk yönetim ekibi kurulduktan sonra tespit edilen mevcut riskler 6 (altı) ay içerisinde, süreçlere ilişkin riskler ise süreç şemalarının oluşmasını müteakip 3 (üç) ay içerisinde, Ek- 5 de yer alan formata uygun birim risk yönetim eylem planı hazırlanarak SGDNET risk modülüne işlenerek Strateji Geliştirme Dairesi Başkanlığına gönderilir.
(3) Birimler Genel Müdürlük risk yönetim ekibi için üye isim ve iletişim bilgilerini, birim risk yönetim ekip listeleri ile birlikte Strateji Geliştirme Dairesi Başkanlığına gönderirler.
Birim risk yönetim ekiplerinin eğitimi
Gerek görülmesi halinde bu yönergenin doğru uygulanabilmesi için risk yönetim ekiplerine yönelik eğitim ve çalıştaylar düzenlenebilir.
Yürürlükten kaldırılan mevzuat
10/07/2021 tarih ve 1386083 sayılı Makam Oluru ile yürürlüğe giren Devlet Su İşleri Kurumsal Risk Yönetimi Yönergesi yürürlükten kaldırılmıştır.
Yürürlük
Bu Yönerge Genel Müdür tarafından imzalandığı tarihte yürürlüğe girer.
Yürütme
Bu Yönerge hükümleri, üst yönetici tarafından yürütülür.
