Üniversite tarafından kurumsal risklerin ve iç kontrol risklerinin belirlenmediği ve bu nedenle kurumsal risk yönetiminin etkin olarak sağlanamadığı tespit edilmiştir.

Kurumsal risk yönetimi; üst yönetimin kurumun vizyonu, misyonu, stratejik amaç ve hedeflerini gerçekleştirmesini engelleyebilecek riskleri tanımlayıp değerlendirmesini ve gerekli önlemleri almasını içerir. İç kontrol riskleri ise kurumda birim/faaliyet/iş süreçleri düzeyinde tanımlanan risklerdir. Genel olarak, kurumsal riskler stratejik seviyede, iç kontrol riskleri ise birim/faaliyet/iş süreçleri seviyesinde belirlenmekte ise de kurumsal risklerin belirlenmesinde her iki yöntemin birlikte kullanılması mümkündür.

Risklerin belirlenmesi ve değerlendirilmesi, Kamu İç Kontrol Standartları Tebliği’nde 6 No.lu Standart ile düzenlenmiştir. Buna göre İdareler, sistemli bir şekilde analizler yaparak amaç ve hedeflerinin gerçekleşmesini engelleyebilecek iç ve dış riskleri tanımlayarak değerlendirmeli ve alınacak önlemleri belirlemelidir.

Aynı standardın devamında;

• İdareler tarafından her yıl sistemli bir şekilde amaç ve hedeflerine yönelik risklerin belirlenmesi,

• Risklerin gerçekleşme olasılığı ve muhtemel etkilerinin yılda en az bir kez analiz edilmesi,

• Risklere karşı alınacak önlemler belirlenerek eylem planları oluşturulması,

gerektiği ifade edilmiştir.

Ayrıca riskler tespit edildikten sonra tüm riskler kayıt altına alınarak Kamu İç Kontrol Rehberinin ekindeki "Risk Kayıt Formu" ve "Konsolide Risk Raporları"nın doldurulması gerekmektedir.

Kamu İdaresi cevabında, 2024 yılı içinde kurumsal ve iç kontrol riskleri çalışmalarının sonuçlandırılacağı ifade edilmiştir.

Sonuç olarak; etkin bir risk yönetiminin oluşturulması, mevzuat düzenlemelerine uygunluğu sağlayacağı gibi İdarenin amaç ve hedeflerine ulaşmasına ve performansını geliştirmesine, sunulan hizmet ve gerçekleştirilen faaliyetlerin sürekliliğinin sağlanmasına ve bu faaliyetlerin kalitesinin geliştirilmesine de yardımcı olacaktır.