T.C.

RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ KURUMSAL RİSK YÖNETİMİ YÖNERGESİ

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak, Tanımlar, İlkeler

Amaç ve kapsam

MADDE 1 – (1) Bu yönergenin amacı, üniversitenin stratejik amaç ve hedefleri ile süreç ve faaliyet hedeflerine ulaşılmasını engelleyecek risklerin tespit edilmesine, tespit edilen risklerin analiz edilerek ölçülmesine, öncelik sırasına konulması, risklere karşı alınacak önlemlerin belirlenerek uygulanmasına ve risk yönetim sürecinin izlenerek değerlendirilmesine ilişkin usul ve esasları belirlemektir.

(2) Bu yönerge, Üniversitenin kurumsal risk yönetim sürecini kapsar.

Dayanak

MADDE 2 – Bu yönerge, 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu, 31.12.2005 tarihli ve 26040 (3. Mükerrer) sayılı Resmî Gazete?de yayımlanan İç Kontrol ve Ön Malî Kontrole İlişkin Usul ve Esaslar ile Kamu İç Kontrol Standartları Tebliği ve Kamu İç Kontrol Rehberine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 3 – Bu yönergede geçen;

1. Alt Birim: Akademik ve idari birimlere bağlı alt birimleri,
2. Belge: Kurumsal Risk Yönetimi Yönergesini,
3. Birim: Üniversitenin akademik ve idari birimlerini,

ç) Birim Risk Koordinatörü: Akademik ve idari birimlerdeki kalite birim temsilcisini,

4. Çalışanlar: Üniversitenin tüm personellerini,
5. Dış riskler: Üniversitenin kontrolü dışında gerçekleşebilecek olay ve durumlar sonucunda ortaya çıkabilecek riskleri,
6. Erken Uyarı Göstergeleri: Riskin farkında olunması, önlem alınması ve takip edilmesi için erken uyarı sağlayan göstergeleri,
7. Etki Puanı: Riske ilişkin olayın meydana gelmesi durumunda ortaya çıkacak sonuca ilişkin puanı,

ğ) İç Denetçi: Recep Tayyip Erdoğan Üniversitesinin İç Denetim Birimde görevli İç Denetçileri,

8. İç Kontrol İzleme ve Yönlendirme Kurulu: İlgili Rektör Yardımcısı, İdare Risk Koordinatörü, Genel Sekreter, Strateji Geliştirme Daire Başkanı, Raportör ve Rektör tarafından görevlendirilen üç akademik üyenin katılımı ile oluşan ve Rektörce uygun görülen Rektör yardımcısının başkanlık ettiği kurulu,

ı) İç Kontrol Sistemi Değerlendirme Raporu: Her yıl mayıs ayı sonuna kadar hazırlanan, iç kontrol sisteminin değerlendirildiği raporu,

1. İç Riskler: Üniversite tarafından kontrol edilebilecek olay ve durumlar sonucunda ortaya çıkabilecek riskleri,

10. İdare Risk Koordinatörü: Rektör tarafından görevlendirilen ilgili Rektör Yardımcısını,
11. Kanun: 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu?nu,

50. Olasılık Puanı: Riske ilişkin olayın meydana gelme olasılığını ifade eden puanı,

1000. Risk: Amaç ve hedeflere ulaşılmasını olumsuz etkileyebileceği varsayılan olay veya durumları,
14. Risk Konsolide Raporu: İç Kontrol Sistemi Değerlendirme Raporu?nun içeriğinde yer alan risk değerlendirme sürecine ilişkin bölümü,
15. Risk Önem Derecesi Matrisi: Risklerin önem derecelerine göre sınıflandırıldığı tabloyu,

ö) Risk Önleme Faaliyetleri: Risklerin olumsuz etkilerini azaltmak üzere alınacak önlemler ile ortaya çıkaracağı fırsatlardan yararlanmak üzere yürütülecek faaliyetleri,

16. Risk Sorumlusu: Risk ile doğrudan ilgili olan, riski gözlemleyen, eğer risk ciddi ise tedbirleri alan ve/veya üst yönetime ileten kişiyi ifade eder. Bu kişi fakültelerde dekanlar; enstitüler, yüksekokul, meslek yüksekokullarında ve araştırma merkezlerinde müdürler; rektörlüğe bağlı bölüm başkanlıklarında bölüm başkanları, koordinatörlüklerde koordinatörler; idari alanda genel sekreter ve bağlı daire başkanları,

18. Risk yönetimi: Gerçekleşme olasılığı olan ve gerçekleştiğinde üniversitenin amaç ve hedeflerine ulaşılmasını olumsuz etkileyebileceği varsayılan olay veya durumların tanımlanması, değerlendirilmesi ve uygun tepkilerin verilmesi ile raporlanmasını,
19. Stratejik Risk: Üniversitenin stratejik planıyla ortaya konan hedeflerini etkileyeceği düşünülen risklerdir,

ş) Toplam Ham Risk Puanı: Olasılık ve etki puanlarının çarpımı sonucu ortaya çıkan puanı,

20. Toplam Kalıntı Risk Puanı: İç denetim sonucunda belirlenen olasılık ve etki puanlarının çarpımı sonucu ortaya çıkan puanı,
21. Üniversite: Recep Tayyip Erdoğan Üniversitesini,

ü) Üst Yönetici: Recep Tayyip Erdoğan Üniversitesi Rektörünü,

ifade eder.

İlkeler

MADDE 4 – Üniversitenin risk yönetimine ilişkin ilkeleri şunlardır:

1. Riskler, gerçekleşme ihtimali ve gerçekleşmesi halinde ortaya çıkacak sonuçların etkileri göz önünde bulundurularak ölçülür.
2. Riskler, stratejik amaç ve hedefler, süreçler, alt süreçler ve birimin faaliyetleri itibarıyla ayrı ayrı analiz edilir.
3. Risk yönetim süreci, faaliyetlerin niteliğine uygun tasarlanır ve uygulanır. ç) Risk yönetimi hesap verilebilir ve güvenilir olmalıdır.
4. Risk yönetimi sürecinin, sistematik bir şekilde izlenmesi, raporlanması ve değerlendirilmesi gerekir.
5. Risk yönetim süreci üniversitenin her kademedeki yönetici ve personeli ile birlikte uygulanır.
6. Risk yönetimi, üst yönetimden, her bir birimdeki çalışanlara kadar üniversitede görevli herkesin sorumluluğundadır.
7. Karar verme aşamalarına destek sağlamak üzere, risk yönetimi süreci; başta stratejik planlama, programlama ve bütçeleme süreçleri olmak üzere, iş planlama ve operasyonların yönetimi gibi süreçlere entegre edilir.

ğ) Risklerin gerçekleşme ihtimali ve muhtemel etkileri yılda en az bir kez değerlendirilerek alınacak tedbirler belirlenir.

8. Risk yönetimi döngüsü, stratejik plan hazırlık aşamasında amaç ve hedeflerin belirlenmesi ile başlayan ve amaç ve hedeflerin öngörüldüğü şekilde gerçekleşip gerçekleşmediğinin analiz edilmesi ile sonuçlanan bütün aşamalarda dikkate alınır.

ı) Risk yönetimi süreci üniversitenin iç kontrol ve kurumsal yönetim düzenlemelerinin ayrılmaz bir parçasıdır.

İKİNCİ BÖLÜM

Görev, Yetki ve Sorumluluklar

Üst yönetici

MADDE 5 – Üst Yöneticinin görev ve sorumlulukları şunlardır:

1. Üniversitenin amaç ve hedefleri doğrultusunda risklerin yönetilmesi konusunda stratejinin belirlenmesini sağlamak.
2. Kurumsal Risk Yönetimi Yönergesinde risk yönetimi için gerekli yapıları oluşturarak görev ve sorumlulukları açıkça belirlemek.
3. Diğer idarelerle ortak yönetilmesi gereken riskler konusunda İdari Risk Koordinatörüne gerekli desteği sağlamak.

ç) Paydaşlar ve kamuoyuna karşı risklerin yönetilmesinde gerekli hassasiyeti ve katılımcılığı sağlamak konusunda uygun yöntemler oluşturulmasını sağlamak.

4. İç Kontrol İzleme ve Yönlendirme Kurulu ile İdare Risk Koordinatörü tarafından kendisine sunulan değerlendirme ve öneriler doğrultusunda geleceğe ilişkin eylemler belirlemek.
5. Risk yönetimi süreçlerinin tutarlılığını sağlamak.
6. İzleme raporlarını incelemek ve risk yönetiminin etkinliğini sağlamak.
7. Risk yönetiminin tüm aşamalarında çalışanları teşvik etmek.

İç kontrol izleme ve yönlendirme kurulu

MADDE 6 – İç Kontrol İzleme ve Yönlendirme Kurulu?nun görevleri şunlardır:

1. Üniversitenin Kurumsal Risk Yönetimi Yönergesini hazırlayarak Üst Yöneticinin onayına sunmak.
2. Üniversitenin risk yönetimi kültürünün oluşturulmasında politikalar belirlemek.
3. Risklerin, üniversitede tutarlı bir şekilde yönetilmesini gözetmek.

ç) Yönetilmesi gereken ortak riskler ile bunlara ilişkin politika ve prosedürleri belirleyerek koordine etmesi açısından İdare Risk Koordinatörü'ne bildirmek.

4. Diğer idarelerle ortak yönetilmesi gereken riskleri belirlemek ve bunları İdare Risk Koordinatörü?ne bildirerek gerekli önlemlerin alınmasını sağlamak.
5. Her yılın ocak ayı sonuna kadar Üniversitenin risk yönetim süreçlerinin etkili işleyip işlemediğini ve risklerde gelinen durumu değerlendirmek.
6. Sayıştay ve iç denetim raporlarından da yararlanarak iyi uygulama örneklerinin tespit edilmesini ve yaygınlaştırılmasını desteklemek.
7. Risk yönetimiyle ilgili birimlerin eğitim ihtiyaçlarını koordine etmek. ğ) Üniversitenin Stratejik risklerini belirlemek.

İdare risk koordinatörü

MADDE 7 – İdare Risk Koordinatörünün görev ve sorumlulukları şunlardır:

1. Risk yönetimi çerçevesinde Birim Risk Koordinatörlerini toplantıya çağırmak.
2. Her bir birim Risk Koordinatörü tarafından raporlanan birim risklerinden yola çıkarak “Üniversitenin Konsolide Risk Raporu”nu (Ek-6) hazırlamak; bu raporu ocak ayı sonuna kadar İç Kontrol İzleme ve Yönlendirme Kurulunun görüşlerini alarak Üst Yöneticiye sunmak.
3. Diğer idarelerin İdare Risk Koordinatörü ile ortak risk alanlarına ilişkin konuları görüşmek ve bunların idare içerisinde koordinasyonunu sağlamak.

ç) Birimlerin risk yönetimi konusundaki ihtiyaçlarını belirleyerek bunu her toplantı öncesinde İç Kontrol İzleme ve Yönlendirme Kurulu?na raporlamak.

4. İç Kontrol İzleme ve Yönlendirme Kurulu?nun görüşleri, tavsiyeleri ve kararlarına ilişkin Birim Risk Koordinatörleri?ne eri bildirim sağlamak ve kurumun risk yönetim süreçlerinin tutarlı olması konusunda gerekli önlemleri almak.

Birim risk koordinatörü

MADDE 8 – Birim Risk Koordinatörünün görev ve sorumlulukları şunlardır:

1. Birimin amaç ve hedeflerini etkileyebilecek risklerin tespit edilmesini sağlamak.
2. Yıl içerisinde belirlenen riskleri gözden geçirip aralık ayının sonuna kadar İdare Risk Koordinatörü ?ne raporlamak.
3. Belirlenmiş veya ortaya çıkabilecek risklerin iyi yönetilip yönetilmediğine dair bilgileri İdare Risk Koordinatörü?ne sunmak.

ç) İdare Risk Koordinatörü ve İç Kontrol İzleme ve Yönlendirme Kurulu?nun görüşleri doğrultusunda ilgili birimlere geri bildirim sağlamak.

4. Birimin risk yönetimiyle ilgili eğitim ihtiyaçlarını tespit etmek ve ilgililere bildirmek.

Çalışanlar

MADDE 9 – Çalışanların görev ve sorumlulukları şunlardır:

1. Yeni ortaya çıkan ve değişen riskler ile ilgili yapılan çalışmalara doğrudan katkıda bulunmak.
2. Görev alanındaki riskler ile ilgili, yetki ve sorumlulukları çerçevesinde çalışmalar yapmak.
3. Görev alanındaki mevcut riskler ile ilgili gerekli bilgileri Birim Risk Koordinatörü'ne vermek.

İç denetçi

MADDE 10 – İç Denetçinin görev ve sorumlulukları şunlardır:

1. Risk yönetimi için öneriler geliştirilmesi ile risk değerlendirme ve risk yönetim metotlarının uygulama ve etkinliğinin incelemek ve Üst Yöneticiye raporlamak.
2. Risk    yönetim    sürecinin    kurulması    ve    geliştirilmesi     aşamasında                   danışmanlık faaliyetlerinde bulunmak.

Strateji geliştirme daire başkanlığı

MADDE 11 – Strateji Geliştirme Daire Başkanlığının Görev ve Sorumlulukları şunlardır:

1. İdare Risk Koordinatörü adına risk yönetimine ilişkin çalışmaları koordine etmek ve iç kontrol sisteminin değerlendirilmesi kapsamında Risk Konsolide Raporu?nu mayıs ayı sonuna kadar hazırlamak.
2. Risk yönetimi süreçlerinin üniversitenin tüm birimlerinde etkin işlemesini sağlamak üzere teknik destek ve rehberlik hizmeti vermek.
3. Risk yönetimine ilişkin üniversitedeki iyi uygulamaları belirlemek, bu uygulamaların yaygınlaştırılması için çalışmalar yapmak.

ÜÇÜNCÜ BÖLÜM

Risk Yönetim Süreci

Risk yönetiminin hedefleri

MADDE 12 – Risk yönetiminin hedefleri şunlardır:

1. Olumsuz durumlarla karşılaşma ihtimalinin en aza indirilmesini ve risklere karşı hazırlıklı olunmasını sağlamak,
2. Stratejilerin daha sağlıklı belirlenmesini sağlamak,
3. Üniversite çalışanlarının risk yönetimi konusunda bilgilerinin arttırılmasını sağlamak,

ç) Güçlü ve zayıf yönler ile fırsat ve tehditleri belirlemek,

4. Bir olay meydana gelmeden olayın oluşmasını engelleyici önlemler alan yönetim şeklinin hayata geçirilmesini sağlamak,
5. Kaynakların etkili, ekonomik, verimli kullanılmasını ve hesap verilebilirliği sağlamak,
6. Risklerin gerçekleşmesi sonucunda oluşabilecek zararları azaltmak,
7. Faaliyetlerin mevzuata uygunluğunu sağlamak,

ğ) Stratejik amaç ve hedeflerle ilgili faaliyetlerin risk odaklı takip edilmesini sağlamak,

8. Üniversitenin paydaşlarının memnuniyetini arttırmak.

Risk yönetim sürecinin temel unsurları

MADDE 13 – Risk yönetim sürecinin temel unsurları; Üniversitenin amaç ve hedeflerini gerçekleştirebilmesi için makul güvence sağlamak üzere risklerin tespit edilmesi, değerlendirilerek öncelik sırasına konulması, cevap verilmesi, izlenmesi ile raporlanması aşamalarından oluşur.

Risklerin tespit edilmesi

MADDE 14 – (1) Risklerin tespit edilmesi; gerçekleşme olasılığı olan ve gerçekleştiğinde üniversitenin amaç ve hedeflerine ulaşılmasını olumsuz etkileyebileceği varsayılan olay veya durumların tanımlanması, gruplandırılması ve güncellenmesi sürecidir.

2. Riskleri tespit edebilmek için; beyin fırtınası, PESTLE analizi, GZFT/SWOT analizi tekniklerinden/yöntemlerinden biri veya bir kaçı kullanılabilir.
3. Üniversitede, stratejik düzeyden faaliyet düzeyine veya faaliyet düzeyinden stratejik düzeye doğru bir yaklaşım benimsenebileceği gibi her iki yöntem birlikte uygulanarak da risk yönetim süreci başlatılabilir.
4. Üniversitede, stratejik amaç ve hedefler ile süreç ve faaliyetlere yönelik riskler “Risk Değerlendirme Kriterleri Tablosu” (Ek-3) dikkate alınarak “Risk Tespit ve Oylama Formu?? ( Ek-4) ile tespit edilir.
5. Üniversitenin amaç ve hedeflerini etkileyebilecek stratejik riskler, stratejik plan hazırlama aşamasında tespit edilir.
6. Tespit edilen risklerin; “a” riski veya “a'nın olması” riski şeklinde ifade edilmesi gerekir. Belirlenen riskler “Risk Kayıt Formuna" (Ek-5) bu şekilde kaydedilir.
7. Tespit edilen riskler iç veya dış risk olarak gruplandırılabilir.
8. Risk yönetimi dinamik bir süreç olduğundan mevcut risklerdeki değişikliklerin yanı sıra yeni ortaya çıkabilecek risklerin de sürekli takip edilmesi gerekmektedir.
9. Üniversitede kayıt altına alınacak riskler aşağıdaki başlıklar altında tespit edilir.
10. Eğitim ve öğretim faaliyetleri.
11. Araştırma ve geliştirme faaliyetleri.
12. Yönetim ve organizasyon yapısı. ç) Paydaşlara yönelik faaliyetler.
13. Yerel ve bölgesel kalkınmaya yönelik faaliyetler.
14. Operasyonel faaliyetler.

Risklerin değerlendirilmesi

MADDE 15 – (1) Üniversitenin amaç ve hedeflerine ulaşmasını etkileyebilecek faktörlerin analiz edilmesini, muhtemel risklerin gerçekleşme olasılığını, gerçekleşmesi halinde olası etkilerinin önceden tahmin ve tespit edilmesini ve yönetimin bu riskleri göze alma düzeyinin belirlenmesini içeren süreçtir. Risklerin değerlendirilmesi, tespit edilmiş risklere karşılık verilip verilmeyeceğine ve karşılık verilecekse fayda-maliyet dengesi açısından en uygun olan karşılığın seçilmesine yardımcı olur. Riskler tespit edildikten sonra risklerin ölçülmesi, öncelik sırasına konulması ve kaydedilmesi aşamalarını kapsar.

 (2) Risklerin ölçülmesi; her riskin ortaya çıkma olasılığı ve etkisinin hesaplanmasıdır. Risklerin etki ve olasılıklarının değerlendirilmesinde dikkate alınacak “Risk Değerlendirme Kriterleri Tablosu” (Ek-3) te yer almaktadır.

Risklerin ölçülmesi aşağıdaki süreçlerden oluşur:

1. Her risk için etki ve gerçekleşme olasılığının tespit edilmesi,
   1. Tespit edilen risklerin olasılık ve etkilerinin ölçülmesi,
   2. Risklerin olasılık ve etki puanlarının sayı ile gösterilmesi,
   3. Olasılık için 1 rakamı, bir riskin gerçekleşme olasılığının hemen hemen olmadığı; 10 sayısı riskin gerçekleşmesinin neredeyse kesin olduğu anlamına gelir.
   4. Etki açısından ise 1 rakamı riskin gerçekleşmesinin doğuracağı sonucun çok az önemi olduğu; 10 sayısı ise bu sonucun çok önemli olduğu anlamına gelir. Risklerin olasılık ve etki açısından  1  ila  10  arasında  hangi  değeri  aldığı  „?Risk  Tespit  ve  Oylama  Formu??  (Ek-4)  ile belirlenir.
   5. Riskler değerlendirilirken üçlü bir kategori kullanılır. 1-25 arasında puan alan riskler düşük, 26-64 arasında puan alan riskler orta, 65-100 arasında puan alan riskler ise yüksek risk olarak belirlenir. Düşük riskler yeşil, orta riskler sarı ve yüksek riskler ise kırmızı renkle gösterilir. Üniversitenin “Risk Haritası Tablosu” (Ek-1)"de yer almaktadır.
2. Risk iştahının tespit edilmesi;

Risk iştahı; Üniversitenin amaç ve hedefleri doğrultusunda kabul etmeye hazır olduğu en yüksek risk düzeyidir. Risk iştahı kavramı, bu düzeyin üzerindeki risklerin kabul edilemeyeceğini ve önlem alınması gerektiğini ifade eder. Bu aşamada risk iştahı, birim/alt birim tarafından tespit edilen her bir risk için varsayım olarak belirlenir. Üniversitemiz risk iştah puanı 25 olarak belirlenmiştir.

3. Risklerin, doğal risk ve kalıntı risk esas alınarak değerlendirilmesi.

Doğal risk; Üniversitenin amaç ve hedeflerine ilişkin olarak tespit edilen risklerin, herhangi bir cevap verilmeden önceki seviyesini, kalıntı risk ise; yönetimin riskin olma olasılığını ve etkisini azaltmak için aldığı önlemlerden sonra arta kalan riskleri ifade eder.

Yönetim, riski yönetmek adına verdiği cevaplar sonrasında arta kalan riskin seviyesini tespit etmelidir. Kalıntı riskin seviyesi kabul edilebilir risk seviyesinden yüksek çıkarsa riske verilen cevap yöntemlerinin etkinliğinin ve yeterliliğinin sorgulanması, risklere verilecek cevapların tekrar gözden geçirilmesi gerekir.

1. 3. Risklerin öncelik sırasına konulması; risklerin ölçme sonucunda aldıkları puanlar doğrultusunda önem derecesine göre sıralanmasıdır. Ancak, amaç ve hedefleri doğrudan etkileyebilecek riskleri birim yöneticisi, puanı düşük olmakla birlikte etkileri açısından öncelikli riskler arasına alabilir.
   4. Risklerin kaydedilmesi; verilen kararlar için kanıt oluşturulmasına, risklerin izlenmesine ve kişilerin risk yönetimi içindeki sorumluluklarını görmelerine yardımcı olur. Risk kayıtları iki aşamadan oluşur; b irinci aşama risklerin tespit edilip kaydedilmesinde kullanılan “Risk Kayıt Formu” (Ek-5) aracılığıyla kayıt altına alınmasıdır. İkinci aşama ise “Konsolide Risk Raporu” (Ek-6) ile üst yöneticiye raporlanmasıdır.

Risklere cevap verilmesi

MADDE 16 – (1) Risklere cevap verilmesi, üniversite tarafından tespit edilen ve risk iştahları çerçevesinde değerlendirilen risklere verilecek cevabın ne olacağının belirlenmesi ve bu bağlamda beklenen tehditlerin azaltılması ve/veya ortaya çıkacak fırsatların değerlendirilmesidir.

2. Risklere cevap verme yöntemini belirlerken fayda-maliyet dengesi gözetilir.
3. Risklere cevap vermenin amacı riskin olasılığını ve/veya etkisini azaltarak öngörülen hedefe en etkin bir şekilde ulaşmaktır.
4. Risklere cevap verme yöntemleri şunlardır:

1. Kabul Etmek: Üniversitenin/Birimin riski üstlenmeyi uygun gördükleri bir cevap yöntemidir. Bu durumda risk için herhangi bir faaliyet yürütülmez ve risk olduğu gibi kabullenilir. Aşağıdaki durumlarda riskler kabul edilebilir:

1. Doğal risk, risk iştahı içinde olan riskler,
2. Alınacak önlemlerin maliyetinin yüksek, faydasının ise az olduğu anlaşılan riskler,
3. Yönetimin kontrolü dışında olan ve faaliyet sonlandırılmadıkça ortadan kalkmayan

riskler,

2. Kontrol Etmek: Risklerin kabul edilebilir bir seviyede tutulması için kontrol faaliyetleri

aracılığıyla riske cevap verme yöntemidir. Bu yöntem aşağıda yer alan kontrol yöntemleri vasıtasıyla uygulanır.

1. Yönlendirici Kontroller: Rehber, resmi görüş, el kitabı, broşür, afiş ve benzeri uygulamaya yönelik düzenlemeler ile bilgilendirme, koruma, davranış şekli belirleme gibi dolaylı faaliyetlerle riskleri kontrol etme yöntemidir.
2. Önleyici Kontroller: Risklerin gerçekleşme olasılığını azaltıp idare tarafından kabul edilebilir seviyede tutmak için yapılması gereken kontrollerdir.
3. Tespit Edici Kontroller: Riskler gerçekleştikten sonra meydana gelen zarar ve hasarın ne olduğunun ve sebeplerinin tespiti amacıyla yapılan kontrollerdir.
4. Düzeltici Kontroller: Risklerin gerçekleştiği durumlarda, istenmeyen sonuçların etkisinin giderilmesine yönelik kontrollerdir.

3. Devretmek: Üniversitenin doğrudan görev alanına girmeyen veya fayda-maliyet açısından üniversite tarafından yapılması uygun görülmeyen ve bu anlamda riskleri yüksek olduğu değerlendirilen faaliyetlerin, uzmanlığı/donanımı/kaynağı olan başka bir idare/kişi/kuruluşa devredilmesi şeklinde riske cevap verilmesidir. Ancak, risk devredilse bile, sorumluluğu devredilmemektedir. Çünkü risk gerçekleştiği takdirde bundan zarar görecek olan Üniversitenin kendisidir. Bu bağlamda riskin devredilmesi riskin paylaşılması şeklinde de değerlendirilmelidir.

ç) Kaçınmak: Risk yönetilemeyecek kadar büyükse ve/veya faaliyet hayati öneme sahip değilse, faaliyete son vermek mümkündür. Faaliyetlerin sonlandırılması mümkün olmayan durumlarda alternatif faaliyetlerle hizmetin gerçekleştirilmesi veya faaliyetin uygun bir döneme ertelenmesi düşünülmelidir.

Risklerin izlenmesi ve raporlanması

MADDE 17 – Riskler zaman içerisinde çeşitli koşulların değişmesi veya alınan önlemler sonucu etki ve olasılık yönünden değişiklik gösterebilir. Ayrıca, koşulların değişmesi ile yeni risk alanlarının oluşması da muhtemeldir. Bu nedenle, tespit edilen riskler ve risk yönetim sürecinin her yönüyle, en az yılda bir kez gözden geçirilmesi gerekir. Risklerin gözden geçirilmesi aşağıdaki şekilde yapılır:

1. Risklerin halen var olup olmadığı, yeni risklerin ortaya çıkıp çıkmadığı, risklerin gerçekleşme olasılıklarında veya etkilerinde bir değişiklik olup olmadığı gözden geçirilir.
2. Gözden geçirmede öncelik, risk puanı yüksek olan veya yönetim tarafından öncelik sırası verilen kilit risklere verilmelidir. Ancak esas olan bütün risklerin gözden geçirilmesidir.
3. Stratejik risklerin gözden geçirilmesinde; öncelikle varsa değişmiş olan politika belgeleri, kamuoyunun o dönem için beklentileri, iç denetim raporları, teftiş raporları, dış denetim raporları ve ilgili diğer rapor ve belgeler dikkate alınmalıdır.

ç) Gelişmeler ışığında, risk profilinde bir değişiklik meydana gelmişse, kurumun/birimin risk kaydı gözden geçirilmelidir. Değişiklik bilgisi risk koordinatörüne iletilmelidir.

4. Stratejik seviyedeki kilit ve/veya önemli görülen riskler öncelik sırasına göre gözden geçirilerek, değerlendirme sonuçları, İç Kontrol İzleme ve Yönlendirme Kurulu toplantısının ardından İdare Risk Koordinatörü tarafından Üst Yöneticiye “Konsolide Risk Raporu (Ek-6)” formatı kullanılarak sunulur.

5. Raporlama, risk yönetiminde karar alma süreçlerini doğrudan etkileyen bir unsur olup, raporların, mümkün olduğunca kısa ve öz bilgilerden oluşması, değerlendirmelere ilişkin kanıtları göstermesi ve dikey hiyerarşide yapılması gerekir.

Risk hiyerarşisi

MADDE 18 – (1) Risk hiyerarşisi; stratejik düzey, program/proje düzeyi ve faaliyet düzeyinde tespit edilir.(Ek-2)

2. Kurum düzeyi: Kurumun stratejik amaç ve hedeflerine ilişkin kararların verildiği ve üst yönetimin sorumluluğunda olan alandır. Stratejik amaç ve hedefler orta ve uzun döneme yöneliktir ve üst düzey politika belgeleriyle ilişkilidir. Stratejik düzeyde iyi yönetilmeyen riskler diğer düzeyleri de etkileyeceğinden özel öneme sahiptir. Stratejik düzeyde yönetilmesi gereken risklerin sorumlusu Üst Yöneticidir.
3. Birim düzeyi: Bu düzeyde yer alan riskler, stratejik risklere göre daha kısa dönemde etkilidir. İdarenin stratejik amaç ve hedeflerine ulaşabilmesi açısından birimin kendi fonksiyonlarına yönelik amaç ve hedeflerini belirlemiş olması ve bu amaç ve hedeflere ilişkin riskleri yönetmesi gereken alandır. Birim hem üniversite dışından hem de üniversite içinden kaynaklanan risklerden etkilenir. Birim düzeyinde yönetilmesi gereken risklerin sorumlusu birim yöneticisidir.

DÖRDÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

Koordinasyon ve sekretarya

MADDE 19 – Strateji Geliştirme Daire Başkanlığı bu yönergeye ilişkin koordinasyonu sağlamakla görevlidir.

Tereddütlerin giderilmesi

MADDE 20 – Bu yönergenin uygulanmasında ortaya çıkabilecek tereddütleri gidermeye Üst Yönetici yetkilidir.

Hüküm bulunmayan haller

MADDE 21 – Bu yönergede hüküm bulunmayan hallerde, 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu ve ilgili mevzuat hükümlerine uyulur.

Yürürlük

MADDE 22 – Bu Yönerge Recep Tayyip Erdoğan Üniversitesi Senatosu tarafından kabul edildiği tarihten itibaren yürürlüğe girer.

Yürütme

MADDE 23 – Bu Yönerge hükümlerini Recep Tayyip Erdoğan Üniversitesi Rektörü yürütür.

EKLER

EK-1

RİSK HARİTASI TABLOSU

 Açıklamalar

Riskler değerlendirilirken Düşük Risk, Orta Risk ve Yüksek Risk olmak üzere üçlü bir kategori kullanılır.

Risklerin      önem      derecelerini      temsil      etmek      üzere      trafik      ışıkları      (Yeşil, Sarı, Kırmızı)kullanılmaktadır.

Toplam puanlarına karşılık gelen puan aralığına uygun bir renk ile gösterilir.

Yeşil renk: Düşük risk seviyesi (Risk kontrol altında ve acil müdahale veya önlem gerektirmiyor)

Sarı renk: Orta risk seviyesi (Risk kırmızıya dönme potansiyeline sahip. Yakından takip gerektiriyor)

Kırmızı renk: Yüksek risk seviyesi (Risk etkili bir biçimde yönetilmeyi ve acil müdahaleyi gerektiriyor)

Risklerin renk kodları ile gösterilmesi riskin önem derecesinin kolayca görülmesine yardımcı olur.