TR
EN
This document is published in a source other than Official Gazette.
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
(1) Bu Yönergenin amacı, Bakanlığın Stratejik amaç ve hedeflerine ulaşılmasını etkileyebilecek riskler ile faaliyet, proje, süreç ve prosedür düzeyinde oluşabilecek risklerin belirlenmesi ve yönetilmesi amacıyla etkin bir kurumsal risk yönetimi sürecinin uygulanmasına ilişkin usul ve esasları belirlemektir.
Kapsam
(1) Bu Yönerge, Bakanlık merkez, taşra ve yurtdışı teşkilatı birimleri ile döner sermaye birimlerini kapsar.
(2) İlgili mevzuatına göre millî güvenlik, savunma ve istihbarat hizmetlerine ilişkin devlet sırrı ve ticari sır niteliğindeki bilgiler, kurumsal risk yönetimi çalışmalarından muaftır.
Dayanak
(1) Bu Yönerge, 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununun 55 inci maddesi ile 31/12/2005 tarihli ve 26040 3. mükerrer sayılı Resmî Gazetede yayımlanan İç Kontrol ve Ön Malî Kontrole İlişkin Usul ve Esaslar, Kamu İç Kontrol Rehberi ve Kamu Kurumsal Risk Yönetimi Rehberine dayanılarak hazırlanmıştır.
Tanımlar
(1) Bu Yönergede geçen;
a) Alt Birim: Birimlerin faaliyetlerini yerine getirebilmesi amacıyla oluşturulan, hiyerarşik olarak birimlerin altında yer alan organizasyon yapılarını,
b) Alt Kök Neden: Kök nedenin gerçekleşmesini tetikleyen temel unsurları,
c) Artık Risk: Riskin etkisini ve/veya olasılığını azaltmak için alınan mevcut risk yönetimi faaliyetlerinden sonra arta kalan riski,
ç) Bakanlık: Ticaret Bakanlığını,
d) Bakanlık Konsolide Risk Raporu: Birim risk yönetimi eylem planları esas alınarak, Bakanlık Risk Yönetim Koordinasyon Ekibince hazırlanan bütünsel raporu,
e) Bakanlık Risk Yönetim Koordinasyon Ekibi: Strateji Geliştirme Başkanlığı bünyesinde oluşturulan koordinasyon ekibini,
f) Bakanlık Risk Koordinatörü: Strateji Geliştirme Başkanını,
g) Birim: Bakanlık merkez, taşra ve yurtdışı teşkilatı birimlerini ve döner sermaye birimlerini,
ğ) Birim Risk Yönetim Ekibi: Birim Risk Koordinatörü dâhil birimlerde kurumsal risk yönetim çalışmalarında görev alacak ekibi,
h) Birim Risk Koordinatörü:
1) Merkez teşkilatında; Genel Müdürlüklerde genel müdür yardımcısını, Rehberlik ve Teftiş Başkanlığı ile İç Denetim Birimi Başkanlığında başkan yardımcısını; Strateji Geliştirme Başkanlığında daire başkanını ve Basın ve Halkla İlişkiler Müşavirliğinde müşavirini,
2) Taşra teşkilatlarında; bölge müdürlüklerinde bölge müdür yardımcısını, ticaret il müdürlüklerinde ticaret il müdürünü, döner sermaye işletmelerinde işletme müdürünü,
3) Yurtdışı teşkilatlarında; ticaret müşavirliklerinde ticaret müşavirini, ticaret ataşeliklerinde ticaret ataşesini,
ı) Dış paydaş: Bakanlığın gerçekleştirdiği proje ve faaliyetlerden etkilenen veya Bakanlığın gerçekleştirdiği proje ve faaliyetleri etkileyen Bakanlık dışındaki kişi, birim veya kuruluşları,
i) Doğal risk: Tespit edilen risklere herhangi bir risk yönetimi faaliyeti yürütülmeden önceki seviyesini,
j) Etki: Risk gerçekleştiği takdirde Bakanlığın stratejik amaç ve hedefleri ile proje, faaliyet ve süreçleri üzerinde yaratacağı sonuçları,
k) Fayda-maliyet analizi: Riske yönelik alınacak karar ile risk yönetimi faaliyetlerinin uygulanmasında fayda ve maliyetinin nitel ve/veya nicel metotlarla tespit edilmesi ve bunların kıyaslanmasını,
l) Fırsat: Stratejik amaç ve hedefler ile proje, faaliyet ve süreçler üzerinde olumlu etki yaratabilecek olay veya durumları,
m) İç Kontrol İzleme ve Yönlendirme Kurulu: Kurumsal Risk Yönetiminden Sorumlu Üst Yönetici veya Bakanlık Risk Koordinatörü başkanlığında Bakanlık merkez teşkilatı Birim Yöneticileri veya görevlendireceği bir yardımcısından oluşan Kurulu,
n) İç paydaş: Bakanlığın gerçekleştirdiği proje, faaliyet ve süreçlerden etkilenen veya Bakanlığın gerçekleştirdiği proje, faaliyet ve süreçleri etkileyen Bakanlık içindeki kişi, birim veya kuruluşları,
o) Kök neden: Risklerin oluşmasını tetikleyen olay ve durumları,
ö) Kurumsal risk yönetimi: Kurumsal amaç ve hedeflerin gerçekleşmesini, hedeflere ilişkin faaliyetlerin sürdürülmesini ve Birimlerin yürüttüğü faaliyet, proje ve süreçleri etkileyebilecek risklerin; belirlenmesi, ölçülmesi, analiz edilmesi, önceliklendirilmesi ve risklerin en verimli şekilde yönetilmesinde makul güvence sağlayan kapsamlı ve sistematik süreci,
p) Kurumsal Risk Yönetiminden Sorumlu Üst Yönetici: Strateji Geliştirme Başkanlığının bağlı olduğu Bakan Yardımcısını,
r) Nicel veri: Riskin, etki ve olasılığının sayısal değerler verilerek ve matematiksel mantık yürütme yöntemleri kullanılarak ortaya konulmasını,
s) Nitel veri: Riskin belirlenmesi veya hesaplanmasında rakamsal değerler yerine çok düşük, düşük, orta, yüksek ve çok yüksek gibi tanımlayıcı subjektif değerlerin kullanılmasını,
ş) Olasılık: Riskin belirli bir zaman periyodu içinde meydana gelme ihtimalini,
t) Risk: Stratejik amaç ve hedeflere ulaşılmasını, faaliyet, proje, süreç ve prosedürlerin gerçekleşmesini olumlu veya olumsuz etkileyebilecek olay veya durumları,
u) Risk envanteri: Bakanlık ve birimlerin kurumsal risk yönetimi çerçevesinde yürüttüğü faaliyetlerin takip edildiği arşivlendiği manuel/elektronik sistemi,
ü) Risk iştahı: Bakanlığın stratejik amaç ve hedefleri ile faaliyetleri düzeyinde belirli bir zaman diliminde kabul etmeye, tolere etmeye, maruz kalmaya hazır olduğu en yüksek risk seviyesini,
v) Risk matrisi: Belirlenen risklerin etki ve olasılık derecelerini gösteren matrisi,
y) Risk uyarı göstergesi: Riskin gerçekleşme ihtimalini işaret eden ve söz konusu risklerin takibinde kullanılan uyarı göstergesini,
z) Risk yönetimi eylem planı: Riskin tehdit yönünün etki ve olasılığını azaltmaya veya fırsatların geliştirilmesine yönelik olarak; risk yönetimi faaliyetlerinin kaydedildiği ve raporlandığı Bakanlık ve birim düzeyinde hazırlanan eylem planlarını,
aa) Tehdit: Stratejik amaç ve hedefler ile proje, faaliyet ve süreçler üzerinde olumsuz etki yaratabilecek olay veya durumları,
ab) Üst Yönetici: Bakana doğrudan bağlı hizmet birimleri bakımından Bakanı, Bakan Yardımcılarına doğrudan bağlı hizmet birimleri bakımından Bakan Yardımcısını,
ifade eder.
İKİNCİ BÖLÜM
Görev, Yetki ve Sorumluluklar
Kurumsal risk yönetiminden sorumlu üst yönetici
(1) Kurumsal risk yönetiminden sorumlu üst yönetici;
a) Bakanlığın kurumsal risk yönetimi sisteminin kurulmasından, uygulanmasının sağlanmasından, etkinliğinin ve işleyişinin gözetilmesinden,
b) Bakanlık politika ve prosedürleri doğrultusunda kurumsal risk yönetiminin geliştirilmesi konusunda gerekli desteğin sağlanmasından,
c) Kurumsal risk yönetiminin uygulanması için gerekli yapıların oluşturulması, rol ve sorumluluklarının belirlenmesinden,
ç) Bakanlık Risk Yönetimi Eylem Planının onaylanmasından,
d) İç Kontrol İzleme ve Yönlendirme Kurulu veya Bakanlık Risk Koordinatörü tarafından sunulan ve stratejik düzeyde değerlendirilmesi önerilen risklere ilişkin kararın verilmesinden,
e) Bakanlık Risk Yönetimi Eylem Planında yer alan ilave risk yönetimi faaliyetlerinin gerçekleştirilmesi yönünde gerekli tedbirlerin alınmasının sağlanmasından,
f) İç Kontrol İzleme ve Yönlendirme Kurulu tarafından sunulan değerlendirme ve öneriler doğrultusunda gerekli önlemlerin alınmasının sağlanmasından,
g) Kurumsal risk yönetimine ilişkin eğitim takviminin onaylanmasından,
ğ) Kurumsal risk yönetiminin uygulanması sırasında belirlenen risklere yönelik altı aylık dönemlerde izleme ve değerlendirme toplantılarının gerçekleştirilmesinden, bu toplantılarda risklerin izlenmesi ve raporlanması süreçlerinin etkin yönetilmesinden,
h) Paydaşlar ve kamuoyuna karşı risklerin yönetilmesinde ve değerlendirilmesinde gerekli hassasiyetin ve katılımcılığın sağlanmasından,
ı) Gerekli gördüğü hallerde İç Kontrol İzleme ve Yönlendirme Kurulunun toplantıya çağırılmasından,
sorumlu ve yetkilidir.
İç kontrol izleme ve yönlendirme kurulu
(1) İç Kontrol İzleme ve Yönlendirme Kurulu;
a) Bakanlığın kurumsal risk yönetimi sisteminin geliştirilmesi ve iyileştirilmesinden,
b) Bakanlığın kurumsal risk yönetimi sürecinin etkili işleyip işlemediğinin Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye raporlanmasından,
c) Bakanlığın risk yönetiminin geliştirilmesine ilişkin politika ve prosedürler oluşturarak Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticinin onayına sunulmasından,
ç) Bakanlığın risk yönetiminin geliştirilmesine ilişkin belirlenen politika ve prosedürlerin birimlere bildirilmesinden,
d) Bakanlık Risk Koordinatörü tarafından sunulan risklerden stratejik düzeyde önemli gördüğü risklerin değerlendirilerek Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye sunulmasından,
e) Bakanlık Risk Yönetim Koordinasyon Ekibi tarafından hazırlanan ek-15’te yer alan plandaki kritik ve öncelikli risklerin belirlenmesinden ve takip edilmesinden,
f) Bakanlık Risk Yönetim Koordinasyon Ekibi tarafından hazırlanan ek-16’da yer alan Raporun değerlendirilmesinden,
g) Paydaşlarla ortak yürütülmesi gereken kurumsal risklerin belirlenmesinden ve gerekli önlemlerin alınmasının sağlanmasından,
ğ) Kurumsal risk yönetimi eğitim takvimini değerlendirilerek Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye sunulmasından,
sorumludur.
Bakanlık risk koordinatörü
(1) Bakanlık Risk Koordinatörü;
a) Kurumsal risk yönetimi yaklaşımının etkili bir biçimde uygulanıp uygulanmadığına dair değerlendirmelerde bulunulmasından,
b) Birim Risk Koordinatörleri tarafından bildirilen risklerden stratejik seviyede ele alınması gerekenleri İç Kontrol İzleme ve Yönlendirme Kuruluna ve Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye sunulmasından,
c) Bakanlık Risk Yönetim Koordinasyon Ekibinin oluşturulmasından ve Bakanlık Risk Yönetim Koordinasyon Ekibi tarafından hazırlanan veya revize edilen ek-15’te yer alan eylem planını ve ek-16’da yer alan raporun İç Kontrol İzleme ve Yönlendirme Kuruluna ve Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye sunulmasından,
ç) İç Kontrol İzleme ve Yönlendirme Kurulu tarafından alınan görüş, tavsiye ve kararları Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye sunulmasından,
d) İç Kontrol İzleme ve Yönlendirme Kuruluna gerektiğinde başkanlık yapılmasından, Kurulun toplantıya çağrılmasından ve toplantı gündeminin belirlenmesinden,
e) Risk yönetimine yönelik eğitim ihtiyaçlarının tespit edilmesinden, eğitim içeriklerinin ve katılımcılarının belirlenerek İç Kontrol İzleme ve Yönlendirme Kuruluna ve Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye sunulmasından,
f) Paydaşlar ile birim risk yönetim koordinatörleri arasında koordinasyonu sağlanmasından,
sorumludur.
Bakanlık risk yönetim koordinasyon ekibi
(1) Bakanlık Risk Yönetim Koordinasyon Ekibi;
a) Stratejik amaç ve hedeflere yönelik olarak yapılacak risk yönetimi çalıştayları ile birim faaliyet, proje, süreç ve prosedürler seviyesindeki risklerin belirlenmesi ve değerlendirilmesine yönelik çalıştaylara teknik destek sağlanmasından,
b) Birimlerde yürütülen faaliyet, proje, süreç ve prosedürlere ilişkin iç kontrol çalışmaları sonucunda tespit edilen ve stratejik amaç ve hedeflerine ulaşılmasını etkileyebilecek risklerin Bakanlık Risk Koordinatörüne sunulmasından,
c) Birimlerden alınan ek-14’te yer alan birim risk yönetimi eylem planı esas alınarak ek-15’te yer alan planın ve ek-16’da yer alan raporun hazırlanmasından, revize edilmesinden ve Bakanlık Risk Koordinatörüne sunulmasından,
ç) Bakanlık Risk Koordinatörü tarafından verilen diğer görevleri yerine getirmekten,
d) Kurumsal risk yönetimi eğitim takviminin hazırlanmasından,
sorumludur.
Birim risk koordinatörü
(1) Birim Risk Koordinatörü;
a) Kurumsal risk yönetim çalışmalarında görev alacak birim risk yönetim ekibinin oluşturulmasından,
b) Birimin hedeflerini etkileyebilecek risklerin tespit edilmesinin koordine edilmesinden ve rehberlik sağlanmasından, tespit edilen risklerin alt birimlerin bilgi ve uzmanlıklarından yararlanılarak faaliyetleri ile eşleştirilmesinden ve tüm önemli konuların ele alınmasının sağlanmasından,
c) Birimin hedeflerine ilişkin risklerden stratejik amaç ve hedeflerle ilgili olan ve stratejik seviyede ele alınması gerekenlerin belirlenmesinden ve birim yöneticisinin uygun görüşünün alınarak Bakanlık Risk Koordinatörüne sunulmasından,
ç) Birimlerde yürütülen faaliyet, proje, süreç ve prosedürlere ilişkin iç kontrol çalışmaları sonucunda tespit edilen, stratejik amaç ve hedeflerle ilgili risklerin birim yöneticisinin uygun görüşünün alınarak Bakanlık Risk Koordinatörüne sunulmasından,
d) Risklere yönelik mevcut risk yönetim faaliyetlerinin etkin ve yeterli olup olmadığını belirlemekten,
e) Birim risk yönetimi ekibi tarafından ek-14’te yer alan planın güncel tutulmasının sağlanmasından ve birim yöneticisinin onayının alınarak Bakanlık Risk Koordinatörüne raporlanmasından,
f) Bakanlık Risk Koordinatörü tarafından talep edilen bilgi ve belgelerin verilmesinden,
g) Kurumsal risk yönetimi çalışmaları kapsamında birim düzeyinde eğitim ihtiyaçlarının tespit edilmesinden ve Bakanlık Risk Koordinatörüne bildirilmesinden,
sorumludur.
Birim risk yönetim ekibi
(1) Birim Risk Yönetim Ekibi,
a) Birim düzeyindeki risklerin tespit edilmesinden ve değerlendirilmesinden,
b) Birim düzeyinde belirlenen risklerin konsolide edilerek ek-14’teki planı Birim Risk Koordinatörüne sunulmasından,
c) Birim düzeyinde belirlenen risklerin ek-14’te yer alan plana işlenmesinden, güncel tutulmasından ve gerçekleşme sonuçlarının Birim Risk Koordinatörüne raporlanmasından,
ç) İlgili yıl içerisinde birimin proje, faaliyet ve süreçlerine yönelik tespit edilen yeni risklerin, değişen risk seviyelerinin ve bunları azaltmakta kullanılan ilave risk yönetimi faaliyetlerinin etkinliğinin sürekli izlenmesinden, gözden geçirilip değerlendirilerek Birim Risk Koordinatörüne raporlanmasından,
sorumludur.
Strateji Geliştirme Başkanlığı
(1) Strateji Geliştirme Başkanlığı;
a) Kurumsal risk yönetimi süreçlerinin, Bakanlığın tüm birimlerinde etkin bir şekilde uygulanmasını sağlamak üzere gerekli eğitim, teknik danışmanlık ve rehberlik hizmetinin verilmesinden,
b) İç Kontrol İzleme ve Yönlendirme Kurulunun sekretarya görevinin yürütülmesinden,
sorumludur.
İç Denetim Birimi Başkanlığı
(1) İç Denetim Birimi Başkanlığı; Üst Yöneticilere kurumsal risk yönetiminin yeterliliği ve etkinliği ile ilgili olarak, değerlendirmeler yapılmasından ve önerilerde bulunulmasından sorumludur.
Bakanlık personeli
(1) Bakanlık personeli;
a) Görev ve sorumlulukları çerçevesinde belirlenen risklere ilişkin gerekli bilgi ve belgelerin sağlanmasından,
b) Bakanlık veya birim düzeyinde hazırlanan Kurumsal Risk Yönetimi Eylem Planında yer alan eylemlerin görev ve sorumlulukları çerçevesinde yerine getirilmesinden,
sorumludur.
ÜÇÜNCÜ BÖLÜM
Kurumsal Risk Yönetimi Süreci
Kurumsal risk yönetimi süreci
(1) Kurumsal Risk Yönetimi süreci;
a) Mevcut durumun analiz edilmesi ve birim/alt birim faaliyet hedeflerinin belirlenmesi,
b) Risk kategorilerinin belirlenmesi,
c) Risk iştahının belirlenmesi,
ç) Risklerin belirlenmesi ve tanımlanması,
d) Risklerin değerlendirilmesi,
e) Risklerin önceliklendirilmesi,
f) Risklere yönelik alınacak kararın ve uygulanacak ilave risk yönetim faaliyetlerinin belirlenmesi,
g) Risk yönetim sürecinde bilgi ve iletişimin sağlanması,
ğ) Risk yönetim sürecinin sürekli izlenmesi, gözden geçirilmesi ve raporlanması, adımlarından oluşan, kapsamlı, tekrar eden ve sistematik bir süreçtir.
Mevcut durumun analiz edilmesi ve birim/alt birim faaliyet hedeflerinin belirlenmesi
(1) Mevcut durum analizi, Bakanlığın; “misyonu, vizyonu, amaçları, stratejileri, hedefleri, sorumlu olduğu mevzuat, insan kaynakları, görev ve sorumlulukları, süreçlerin karmaşıklık düzeyi, kurum kültürü, risk iştahı, teşkilat yapısının büyüklüğü, hizmet sunduğu coğrafi alan, iç ve dış paydaşları ya da görevlerini gerçekleştirmesi sırasında işbirliği içerisinde olduğu ulusal ve uluslararası kurum ve kuruluşlar ve hizmet sunduğu grupların yapısı” gibi unsurlar dikkate alınarak yapılır.
(2) Birinci fıkrada belirtilen unsurlar kapsamında, birim yöneticisi tarafından birim/alt birim faaliyet hedefleri belirlenir.
Risk kategorilerinin belirlenmesi
(1) Risklerin belirlenmesinde, olası risk kaynaklarının tüm yönleriyle belirlenmesi amacıyla iç ve dış risk kategorileri on başlıkta belirlenmiş olup;
a) Stratejik risk: Gerçekleşmesi halinde Bakanlığın stratejik amaç ve hedeflerini doğrudan etkileyebilecek riskleri,
b) Operasyonel risk: Faaliyet, süreç ve prosedürlerin mevzuata uygun, zamanında, etkili, ekonomik ve verimli bir şekilde yürütülmesini etkileyebilecek riskleri,
c) Uyum riski (yasal risk): Bakanlığın iç ve dış düzenlemelere uygun işlemler yapmasını etkileyebilecek riskleri,
ç) Mali risk: Bakanlığın mali yapısını ve kaynaklarını olumlu veya olumsuz etkileyebilecek riskleri,
d) İtibar riski: Bakanlığa duyulan güveni, kurum hakkındaki görüşleri veya kurum imajını etkileyebilecek riskleri,
e) Teknolojik risk: Bakanlığın kullandığı teknolojilerden veya dış teknolojik gelişmelerden kaynaklanan riskleri,
f) Proje riski: Bakanlığın, amaç ve hedeflerini gerçekleştirmek amacıyla uygulamayı planladığı projelere ilişkin riskleri,
g) Güvenlik riski: Kurumun değerlerinin çalınmasından veya yok edilmesinden, insanların fiziki güvenliğini tehdit eden tehlikelere karşı yürütülen güvenlik faaliyetlerinin yetersizliğinden veya iyi yönetilememesinden ve insan sağlığını ve hayatını tehdit etmesinden kaynaklanan riskleri,
ğ) Politik risk: Uluslararası konjonktürden kaynaklı ikili ve çok taraflı ilişkilerde veya ulusal düzeyde meydana gelen etik, yasal, kültürel, politik nedenlerden oluşan riskleri,
h) Jeopolitik risk: Uluslararası ilişkilerde devletler ve diğer aktörler arasındaki savaş, terörizm ve gerilimlerden kaynaklanan riskleri,
ifade eder.
(2) Birinci fıkrada belirlenen risk kategorilerinin dışında uygulamada ihtiyaç duyulan kategoriler, “yeni kategori adı ve tanımı” ile birlikte ilgili birimin talebi üzerine Strateji Geliştirme Başkanlığı’nın uygun görüşü ve Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticinin onayı üzerine kullanılabilir. Bu çerçevede uygun görülen yeni risk kategorileri Strateji Geliştirme Başkanlığı tarafından diğer birimlere duyurulur.
Risk iştahının belirlenmesi
(1) Risk iştahı, kurumun kabul etmeye hazır olduğu en yüksek risk seviyesini belirlemede araç olarak kullanılır. “Düşük”, “Orta” ve “Yüksek” olmak üzere üç seviyede belirlenir. İştah seviyeleri;
a) Düşük seviye; Risk alma isteğinin düşük,
b) Orta seviye; Risk alma isteğinin orta,
c) Yüksek seviye; Risk alma isteğinin yüksek, olduğunu ifade eder.
(2) Risk iştahı; 16 ncı maddede belirtilen kategoriler, farklı faaliyet alanları veya birim ve alt birimler seviyesinde belirlenebilir.
(3) Birimlerde yapılan kurumsal risk yönetimi çalışmalarında;
a) Stratejik amaç ve hedeflere ilişkin risk iştahı üst yönetici,
b) Birimlerde yürütülen faaliyet, proje, süreç ve prosedürlere ilişkin iç kontrol çalışmaları sonucunda tespit edilen risklere ilişkin risk iştahı birim yöneticisi,
tarafından belirlenir.
Risklerin belirlenmesi ve tanımlanması
(1) Riskin tehdit ve fırsat yönünün doğru bir şekilde değerlendirilmesi veya yönetilmesi suretiyle; Bakanlığın stratejik amaç ve hedeflerine ulaşması, birimlerin görevlerini yerine getirmesi, birim hedeflerine ulaşılması, birimlere bağlı alt birimlerin faaliyetlerinin yönetilmesinin kolaylaşması ve kuruma katma değer sağlaması amaçlanır.
(2) Riskler belirlenirken ek-2’de yer alan sorular dikkate alınır.
(3) Riskler tanımlanırken;
a) Açık, net ve anlaşılır olarak ifade edilmesi,
b) Kök nedeni içermesi,
c) Riskin gerçekleşmesi halinde oluşacak sonuçları içermesi,
gerekir.
(4) Riskler hiyerarşik olarak;
a) Bakanlık stratejik amaç ve hedefleri (stratejik),
b) Birimlerin görevlerini gerçekleştirmesi ve sorumlu olduğu stratejik hedeflere ulaşması için hedef, proje ve faaliyet (performans, program, proje),
c) Alt birimlerin görev ve sorumlulukları çerçevesinde yürüttüğü faaliyet, süreç ve prosedürler (faaliyet, operasyonel),
düzeyinde tespit edilir.
(5) Risklerin belirlenmesi konusunda uygulanacak yöntem aşağıdaki şekildedir;
a) Ek-2’de yer alan sorular veya birim risk yönetim ekibinin uygun gördüğü sorulardan faydalanılır.
b) Risklerin tanımlanmasında birim faaliyetlerine hâkim personelin katılımıyla yapılacak çalıştaylarda ek-3’te yer alan form kullanılır. Form, “alt kök neden”, “kök neden”, “risk” ve “sonuç” ilişkisini içerecek şekilde düzenlenir.
c) Riskler, bu maddenin dördüncü fıkrasında yer alan düzeylerle ilişkilendirilir.
ç) Bu fıkranın (b) bendinde belirlenen riskler, 16 ncı maddede yer alan uygun risk kategorisi ve 17 nci madde kapsamında belirlenen risk iştahı ile birlikte, ek-14’te yer alan plana işlenir.
Risklerin değerlendirilmesi
(1) Risk değerlendirme; tehditlerin kabul edilebilir düzeye indirilmesi veya fırsatların istenilen düzeye çıkarılması amacıyla yapılan her türlü değerlendirme yöntemi olarak kabul edilmektedir. Bu aşamada, ek-4, ek-5 ve ek-6’da yer alan tablolardaki kriterler dikkate alınarak, belirlenmiş olan risklerin etkileri, gerçekleşme olasılıkları ve sonuçları analiz edilir, ölçümlenir ve önceliklendirilir.
(2) Riskin etki ve olasılığı ek-9 ve ek-10’da yer alan 5x5 risk matrisinde değerlendirilerek ölçülür.
(3) Risklerin etki ve olasılık durumu ek-4’te yer alan tablo ile ek-5’te yer alan tablodaki kriterlere göre 1 ila 5 arasında puanlandırılır. Matriste ‘5’ çok yüksek etki/olasılık derecesini, ‘1’ ise çok düşük etki/olasılık derecesini ifade eder.
(4) Birim faaliyetlerine hâkim personelin katılımıyla yapılacak çalıştaylarda ek-7’de yer alan form kullanılarak 18 inci maddenin beşinci fıkrasının (ç) bendi kapsamında ek-14’e işlenen riskler oylanır. Oylanan risklerin etki ve olasılık puanlarının ağırlıklı ortalaması hesaplanır. Her bir risk için ortalama etki ve ortalama olasılık puanı belirlenir. Ek-11’deki etki ve olasılık çarpımına göre belirlenen doğal risk puanları önem derecesine göre en yüksek puandan başlamak üzere sıralanarak önceliklendirilir.
(5) Risklerin önem sırasına göre önceliklendirilmesinde,
a) Kaynak tahsisinde etkinlik,
b) Risk iştahı sınırına yaklaşması,
c) Risklerin birbiriyle etkileşim halinde olması, dikkate alınır.
(6) Ancak birimlerce önem düzeyi yüksek bulunan faaliyet ve projelere ait risklerin çok yüksek etki ve çok düşük olasılığa sahip olduğu durumlarda, risk puanları dikkate alınmadan önceliklendirmede üst sıralara alınabilir.
(7) Risklerin değerlendirilmesinde diğer risklerle ilişkisi gözetilir.
(8) Risklere uygulanan mevcut risk yönetimi faaliyetleri tespit edilir. Faaliyetler, 18 inci maddenin beşinci fıkrasının (b) bendinde tespit edilen alt kök nedenler ile ilişkilendirilir.
(9) Sekizinci fıkrada belirlenen mevcut risk yönetimi faaliyetlerinin etkinliği ve yeterliliği ek-12’de yer alan tablo kullanılarak birim risk koordinatörü tarafından belirlenir. Tehditlere ilişkin artık risk seviyesinin belirlenmesi amacıyla ek-13’te yer alan formül kullanılır. Tespit edilecek seviyeye ilişkin katsayı ile doğal risk puanının çarpımı sonucu artık risk puanı hesaplanır, mevcut risk yönetimi faaliyetlerinin riskin etkisi, olasılığı veya her ikisi üzerinde ne ölçüde bir azalmaya neden olduğu belirlenir ve ek-14’te yer alan plana işlenir. Bu fıkra kapsamında yapılan çalışmalar fırsat tipli riskler için uygulanmaz.
(10) Bu Yönergenin 18 inci maddesinde yer alan risklerin belirlenmesi ve tanımlanması aşamasında, risklerin gerçekleşmesini tetikleyen olaylar olarak belirlenen kök nedenler değerlendirilerek artık risk seviyesi yüksek ve çok yüksek olarak tanımlanan riskler için risk uyarı göstergeleri (RUG) belirlenir. Risk uyarı göstergelerinin belirlenmesinde stratejik plan, performans programı gibi politika belgelerinde yer alan göstergelerden ve risklerin izlenmesinde somut verilerden yararlanılır. Belirlenen risk uyarı göstergesinin sorumlusu, alarm seviyesi, raporlama periyodu, sapmalara karşı gerçekleştirilecek faaliyetleri ek-14’teki plana işlenir.
Risklere yönelik alınacak kararın ve uygulanacak ilave risk yönetim faaliyetlerinin belirlenmesi
(1) Bu aşamada risklerin önceliklendirilmesine göre, riske yönelik alınacak karar (riske karşı nasıl cevap verileceği) belirlenir.
(2) 16 ncı maddede yer alan uygun risk kategorisi ve risk iştahı çerçevesinde riske verilecek cevap, fayda-maliyet analizi dikkate alınarak, ek-8/A’da yer alan yöntemlerden biri ek-8/B’de yer alan matristen yararlanılarak belirlenir ve ek-14’te yer alan plana işlenir.
(3) İkinci fıkrada yer alan değerlendirmeler sonucunda risklerin yönetimine ilişkin ilave risk yönetimi faaliyetlerinin gerçekleştirilmesine karar verilmesi halinde;
a) Riske Yönelik Alınacak Karar
b) İlave Risk Yönetim Faaliyeti
c) İlgili Alt Kök Neden
ç) Faaliyetten Sorumlu Birim
d) İş Birliği Yapılacak Birim
e) Faaliyet Başlangıç Tarihi
f) Faaliyet Tamamlanma Tarihi
g) İlave Risk Yönetimi Faaliyet Kaynak İhtiyacı
ğ) Faaliyet Durumu
h) Açıklama / Revize
ı) Revize Faaliyet Tarihi
belirlenerek ek-14’te yer alan plana işlenir.
(4) Riskin gerçekleşmesi halinde;
a) Uygulanacak Faaliyet
b) Tahmini Maliyet
c) Sorumlu Personel Adı, Soyadı ve İletişim Bilgileri belirlenerek ek-14’te yer alan plana işlenir.
DÖRDÜNCÜ BÖLÜM
İzleme ve Değerlendirme Süreci
İzleme ve Değerlendirme Süreci
(1) Risklerin, zaman içerisinde çeşitli koşulların değişmesi veya uygulanan risk yönetim faaliyetleri sonucu etki ve olasılık yönünden değişiklik gösterebilmesi nedeniyle tespit edilen risklerin ve risk yönetim sürecinin her yönüyle sürekli izlenmesi ve gözden geçirilmesi gerekir.
(2) İzleme sürecinde en az aşağıdaki sorular dikkate alınır;
a) Riskler, Bakanlığı aynı şekilde etkilemeye devam ediyor mu?
b) Değişen yönetim ve süreç yapısı, teknolojik gelişmeler, mevzuat değişiklikleri ve ekonomik gelişmelerin risklere olan etkileri nelerdir?
c) Risklerin etkilerini ve olasılıklarını değiştirebilecek bir olay meydana geldi mi?
d) Risk için uygulanan risk yönetim faaliyetleri yararlı veya yeterli oldu mu?
e) Riskin etkisinin artması durumunda, hangi ilave risk yönetim faaliyetlerine ihtiyaç duyulur?
f) Riskin etkisinin azalması durumunda, risk yönetim faaliyetlerinde hafifletilme yapılabilir mi?
(3) Her yıl ek-17’de yer alan bakanlık risk yönetim takvimine uygun olarak veya olağanüstü gelişmeler üzerine Bakanlık Risk Koordinatörünün duyurusu üzerine gerçekleştirilecek olan izleme ve değerlendirme sürecinde:
a) Birim risk yönetimi eylem planları birimlerce periyodik olarak gözden geçirilir ve güncellenir.
b) Birimler tarafından Bakanlık Risk Koordinatörüne gönderilen Birim Risk Yönetimi Eylem Planları konsolide edilerek ek-15’te yer alan eylem planı ve ek-16’da yer alan rapor hazırlanır. Hazırlanan plan ve rapor Bakanlık Risk Koordinatörü tarafından;
1) Kritik ve öncelikli risklerin belirlenmesi, değerlendirilmesi ve takip edilmesi amacıyla İç Kontrol İzleme ve Yönlendirme Kuruluna,
2) Kurulun değerlendirmesini müteakip onaylanmak üzere Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticiye,
sunulur.
c) Kurumsal Risk Yönetiminden Sorumlu Üst Yönetici tarafından onaylanan eylem plan ve rapor uygulanmak üzere tüm birimlere duyurulur ve düzenli olarak izlenir.
(4) Birim Risk Koordinatörü tarafından stratejik amaç ve hedefler ile faaliyet, proje, süreç ve prosedürleri etkileyebilecek yeni tespit edilen riskler için ek-18/A ve değişen riskler için ek-18/B Bakanlık Risk Koordinatörüne, gerçekleşen riskler için ek-18/C formu düzenlenerek en kısa sürede Üst Yönetici ve Bakanlık Risk Koordinatörüne bildirilir. Yeni tespit edilen ve değişen risklerin birden fazla birimi ilgilendirmesi durumunda Birim Risk Koordinatörü tarafından düzenlenecek ve ilgili birim yöneticilerinin katılımıyla yapılacak toplantıda risk değerlendirilir ve riske yönelik kararlar alınır.
(5) Gerek duyulması halinde ek-17’de yer alan Bakanlık Risk Yönetim Takvimi; Bakanlık Risk Koordinatörünün teklifi, İç Kontrol İzleme ve Yönlendirme Kurulunun uygun görüşü ve Kurumsal Risk Yönetiminden Sorumlu Üst Yöneticinin onayıyla güncellenir.
BEŞİNCİ BÖLÜM
Çeşitli ve Son Hükümler
Tereddütlerin giderilmesi
(1) Bu Yönergenin uygulanmasında ortaya çıkabilecek tereddütleri gidermeye Strateji Geliştirme Başkanlığı yetkilidir.
Hüküm bulunmayan haller
(1) Bu Yönergede hüküm bulunmayan hallerde, 5018 sayılı Kanun ve ilgili mevzuat hükümlerine uyulur.
Yürürlükten kaldırılan mevzuat
(1) Bu Yönerge ile 28/04/2020 tarihli ve 54125082 sayılı Ticaret Bakanlığı Kurumsal Risk Yönetimi Yönergesi yürürlükten kaldırılmıştır.
Yürürlük
(1) Bu Yönerge onaylandığı tarihte yürürlüğe girer.
Yürütme
(1) Bu Yönerge hükümlerini Ticaret Bakanı yürütür.
