Yazılım Notları
Bilgi Paylaştıkça Çoğalır...

Kurumsal Risk Yönetimine Farklı Bir Bakış Açısı

Kurumsal Risk Değerlendirmesinde Farklı bir metod için yazının devamını okuyun

Kurumsal Risk Değerlendirme Sistemi İçin Tıklayın

Kurumun ya da işletmenin ölçeği küçük, orta ya da büyük olsun, aslında tüm işletmelerin aşağıdaki adımları kendilerine uygun bir şekilde yerine getirmesi gerekir.

1-      Vizyon bildirisi

Kurumun olmak istediği yer neresi? İşletme sahibinin ya da kurum üst düzey yöneticilerinin hayali nedir? Mevcut durumlar, umutlar, hayaller, tehlike ve fırsatların hep birlikte etkileşimi sonucunda olunması hayal edilen yerdir vizyon.  Bunları Üst Yönetim Belirler. Vizyon sahibi derken bunlar kast edilmektedir.

 

Türkiye genelinde faaliyet gösteren bir yazılım şirketi için örnek: “Dünyada yaygın olarak kullanılacak yeni bir işletim sistemi geliştirmek” olabilir.

 

Ölçeği büyük olan bu işletmenin böyle bir vizyonu olabilir. Bu hayalidir. Olmak istediği yerdir ve bu hayaline işletmesini nasıl ulaştıracağı için yollar aramalıdır.

 

Ya da çok küçük bir işletme olan bakkalın süpermarketler zinciri kurma hayali, vizyonudur. Yazılı bir hale getirmemiş de olsa bu, onun vizyonudur.

 

2-      Misyon bildirisi

İşletmenin ya da Kurumun niçin var olduğunu gösterir. Vizyon bildirisine bağlı olarak tanımlanmalıdır. Vizyonunda bildirdiği hedefle uyumlu olacak şekilde hangi adımları atacağını tanımlamaktır, misyon. İşletme, Pazar, hizmet, fonksiyon ya da faaliyetlerini temel alarak misyonunu belirlemedir.

 

Tanımlanmış bir misyonu olan bir işletmede, çalışanlar da ne için ve nasıl çalışacaklarını daha iyi bilirler ve bu da verimliliğin ve etkililiğin artmasına yardım eder.

 

Misyon, varoluş nedenini açıklamalı ve amacı objektif olarak ortaya koymalıdır.

 

3-      Stratejik hedefler

Kurumun vizyonuna ulaşması için stratejik hedefleri olmalıdır. Stratejik hedeflerin, ne zaman, ne kadar, kim tarafından ve nasıl gibi sorulara cevap verecek şekilde nicel değerler içermesi gerekmektedir. Eğer hedefler ölçülebilir olmazsa, hedeflere ne oranda ulaşıldığı tespit edilemez. Dolayısıyla, Kurum ya da iletmenin hedeflerini yakalamaktaki başarısı değerlendirilemez. Bu değerlendirmenin sağlıklı bir şekilde yapılabilmesi için de, stratejik hedefler belirlenirken KPI(Key Performans Indicator)’lar tanımlanmalıdır.

 

Akıldan çıkarılmaması gereken çok güzel bir söz: “Hedefi belli olmayan kaptana hiçbir rüzgar yardım edemez”

 

 

4-      Risk Yönetimi Metodunun belirlenmesi

a.       Risklerin gerçekleşme olasılığı hangi skalada değerlendirilecektir?

1 – 5 arası: 1(Çok düşük), 2(Düşük), 3(Orta), 4(Yüksek), 5(Çok Yüksek)

 

b.      Riskin gerçekleşmesi durumunda etki hangi skalada değerlendirilecektir?

1 – 5 arası: 1(Çok düşük), 2(Düşük), 3(Orta), 4(Yüksek), 5(Çok Yüksek)

 

c.       Riskin gerçekleşmesi durumunda Kurumu ya da işletmeyi hangi açılardan etkileyebileceği tanımlanmalıdır.

Örneğin bir Kurum ya da işletme bu açıları,

i.         Finansal

ii.       Operasyonel

iii.      İtibari

iv.     Hukuki

Olarak belirleyebilir.

d.      Bu etki açılarının riskin gerçekleşmesi durumunda ağırlığının ne olacağı risk değerlendirme aşamasında her risk ve her etki için ayrı ayrı belirlenmelidir. Çünkü bir riskin gerçekleşmesi durumunda, Kuruma finansal yönden çok az bir etkisi olurken, Operasyonel açıdan çok büyük bir etkisi olabilir. Örneğin, bir bankanın sadece bir müşterisinin 1000 TL’lik bir EFT işlemini yanlış bir alıcıya göndermesinin bankaya finansal etkisi çok küçükken, bu durumun kamu tarafında duyulması durumunda itibari etkisi çok yüksek olacaktır.

 

e.      Kurumsal Risk İştahının Belirlenmesi

Kurum ya da işletme ne kadar risk alabilir? Olasılığın ve etkinin 5(çok yüksek) olduğu basit bir örnek risk değerlendirmesi sonucunda risk puanı 25(etki x olasılık) çıkacaktır. Bu durumda “Kurum 25’lik ölçekteki riskler için kaç puanın altında kalacak riskleri kabul edecektir?” sorusunun cevabı verilmedir.

 

Tabi burada farklı kısıtlar gündeme gelebilmektedir. Risk değerlendirmesinin sonucunda çıkacak şey aslında Kurumun ya da işletmenin karşı karşıya kalabileceği risklerin neler olacağı ve bunların risk puanına göre sıralanmasıdır. Dolayısıyla, derhal önlem alınması gerekecek riskten en önemsiz riske doğru sıralanmış risk raporu aslında önceliklendirilmiş bir listedir. Bu risklerin azaltılması için, her zaman katlanılacak bir finansal maliyet söz konusu olacaktır. Ancak, işletmelerin ya da Kurumların finansal kaynakları hiçbir zaman sınırsız değildir. Bu durumda, riskleri azaltmak için ayrılacak bütçe dikkate alındığında Kurumun risk iştahı da farklı bütçeler için farklı risk puanı seviyesinde olabilir.

 

5-      Risklerin belirlenmesi

Riskler belirlenirken, Kurumun stratejik hedeflerine ulaşmasına engel olabilecek faktörlerin neler olabileceği düşünülmelidir.

6-      Risk Değerlendirmesi

a.       Gerçekleşme olasılığı nedir?

Olasılık değerlendirilirken mümkün olduğu kadar nicel yöntemler kullanılmalıdır. Örneğin, risk olarak “Sel nedeniyle sunucu odasının zarar görmesi ve işlevsiz kalması” şeklinde bir risk belirlendiyse, bu riskin gerçekleşme olasılığı için, o bölgedeki geçmiş yıllardaki sel felaketi sayısı sorgulanabilir. Ama bu tarz istatistiksel bir verinin olmadığı durumlarda ise, kaçınılmaz olarak sübjektif değerler atanacaktır.

 

b.      Riskin gerçekleşmesi durumunda Kurum ya da İşletmeye hangi açılardan ne kadar etkisi olacaktır? (1- 5 arasında)

Örneğimizde etki açılarının finansal, operasyonel,  itibari ve Hukuki olabileceğini varsaydık.

Aşağıdaki gibi bir risk kaydı düşünelim

 

Risk

100.000.000 TL’lik bir EFT işleminin yanlış alıcının hesabına aktarılması

Olasılık

1 (Çok Düşük)

ETKİ

Finansal

5 (Çok Yüksek)

Operasyonel

1 (Çok Düşük)

İtibari

5 (Çok Yüksek)

Hukuki

3 (Orta)

Risk Puanı

[(1x5)+(1x1)+(1x5)+(1x3)]/4=3,5

 

Yukarıdaki risk puanı hesaplamasında basit ortalama hesabı yapılarak Risk Puanı 3,5 olarak belirlenmiştir.

Kurumsal Risk İştahının 4olduğu bir senaryoda bu risk kabul edilecektir ve herhangi bir risk azaltma önlemi alınmayacaktır. (Varsayım)

 

Oysa benim önerdiğim hesaplama yöntemi basit ortalama değil, ağırlıklandırılmış ortama esasına dayalıdır. Çünkü, Finansal etkisi 5 olmasına karşılık bu etkinin Operasyonel, ve Hukuki etkiye GÖRE ağırlığının daha fazla olması mantıklı geliyor. Bu durumda risk puanı hesaplamasını aşağıdaki şekilde değiştirmeyi öneriyorum:

 

Risk

100.000.000 TL’lik bir EFT işleminin yanlış alıcının hesabına aktarılması

Olasılık

1 (Çok Düşük)

 

(A)

Etki / Toplam Etki

(B)

C= A X B

ETKİ

Finansal

5 (Çok Yüksek)

5/14 = 0,36

5x0,36 = 1,8

Operasyonel

1 (Çok Düşük)

1/14 = 0,07

1x0,07 = 0,07

İtibari

5 (Çok Yüksek)

5/14 = 0,36

5x0,36 = 1,8

Hukuki

3 (Orta)

3/14 = 0,21

3x0,21 = 0,63

Toplam

5+1+5+3=14

1,00 (100%)

 

Risk Puanı

3,5

 

4,30

 

 

Bu durumda, etkileri kendi içinde ağırlıklandırmış oluyoruz. Sonuçta çıkan risk puanı 4,30 ve risk iştahının 4 olduğu bir senaryoda (aynı senaryoda), risk azaltma önleminin mutlaka alınması gerekmektedir.

 

Bu noktada risk puanları hesaplanmış demektir. Riskler, risk puanlarına göre yukarıdan aşağı sıralanır, önceliklendirilir.

 

c.       Risk iştahının altında kalan riskler için herhangi bir eylem alınmasına gerek yoktur. Kurum ya da işletme bu riskleri kabul etmiştir ve bu riskleri azaltmak için herhangi bir kontrol alınmasına gerek duymamaktadır.

d.      Risk İştahının üzerinde kalan riskler içinse aşağıdaki işlemler gerçekleştirilmelidir.

                     i.      Risk Puanı: Yukarıda anlatılan yöntemlere göre hesaplanan risk puanları yapısal risk puanlarını gösterir.

                   ii.      Risk puanını azaltmanın iki yolu vardır: Ya olasılığı düşüreceksiniz, ya da etkiyi azaltmanın yollarını arayacaksınız. Bu durum için aşağıdaki gibi bir benzetme yapılabilir.

“Birinci durum: 200 km/h hızla şehirlerarası tek şerit yolda, son model arabanızla seyir halindesiniz. Emniyet kemeri de takmıyorsunuz.

Risk   : Trafik kazası

Olasılık             : Çok yüksek

Etki: Hayatınıza mâl olabilir.”

 

Riski azaltmaya karar verdiniz diyelim:

Olasılık aynı kalsın ama etkiyi nispeten azaltmanın yolu:  Yine 200 km/h hızla seyahatinize devam edebilirsiniz ama emniyet kemeri takarsınız. Riskin gerçekleşmesi durumunda, arabanızda sağlamsa belki hayatınıza mâl olmaz ama bazı kırık ve yaralarla kurtulabilirsiniz.

 

Olasılığı azaltmak isterseniz, hızınızı en çok 110 km/h ‘e düşürmelisiniz.

Hem olasılığı hem de etkiyi azaltmak istiyorsanız hızınızı 110 km/h e düşürürsünüz ve aynı zamanda emniyet kemerini de takarsınız.

 

Yani, riskin etkisini azaltmak için yollar aranır, önlemler alınır. Aslında bu yöntem doğru olan proaktif bir yöntemdir. Ama maliyetleri de olacaktır. Yukarıdaki trafik kazası örneğinde belki maliyet sıfır olmasına karşı basit bazı önlemler alınarak etki en aza indirilebilir. Ancak, Kurumsal seviyede daha karmaşık bir risk için çok yüksek maliyetler söz konusu olabilir. Bu konuda aşağıdaki akış şeması faydalı olabilir.

Risk Değerlendirme

 

Örneğin, Ülkemizdeki bir iletişim devinin başına gelenleri henüz unutmadık. Bilgi Teknolojileri varlıklarının sel sonucunda sular altında kalması dünya çapındaki bu şirkete milyar dolara mal olmuştu. Böyle bir risk mutlaka değerlendirilmeli ve gerekiyorsa, Felaket Kurtarma Merkezleri (FKM) kurulmalı. Bunların da tabi ki çok yüksek maliyetleri olabilir. İşte bu noktada, yönetim bazı kararlar alması gerekir. Çok iyi bir değerlendirme ile işin kesintiye uğraması durumunda katlanılacak maddi zarar (tüm alternatif maliyetlerle birlikte) ne olacak? Diğer taraftan bu riski azaltmak için katlanacağımız maliyet ne olacak? Bu ikisinin kıyaslanarak, riskin kabul edilip edilmeyeceği, ya da ne tarz kontrol önlemlerinin alınacağı kararlaştırılmalıdır.

Maliyet-fayda analizinde, riskin gerçekleşmesi durumunda riskin azaltılması için göze alınacak maliyetin, riskin azaltılmasıyla sağlanacak kazançtan az olması amaçlanır.

 

Bu doğrultuda, Riski Azaltma maliyetinin, faydadan yüksek olması durumunda veya risk seviyesinin kabul edilebilir risk seviyesinin altında olması durumunda Risk Kabul edilir. Aksi durumda, risk azaltmak için karşı önlemlerin planlaması yapılır.

e.         Risk ile ilgili önlemler alındıktan sonra risk değerlendirme süreci yinelenir ve yeni risk puanı hesaplanır. Hesaplanan bu risk puanı ARTIK RİSK’tir.

Artık RİSK’in hâlâ Risk İştahının üzerinde olması durumunda yeni önlemlerin alınması gündeme gelebilir.

f.          Alınan bu önlemler daha önceden belirlenen tarihlerde gözden geçirilerek risk yönetimi sürekli iyileştirilir.

 

Umarım faydalı bir yazı olmuştur...

 

 

 

 

ETİKETLER :
 
Aynı Kategorideki Diğer Makaleler

Banka Hesap Numaralarınızı, IBAN Numaralarınızı bir kere telefonunuza kaydedin. İhtiyaç duyduğunuzda elinizin altında olsun.

Banka Hesaplarım

En Güzel Sözler Uygulaması İçin


Ana Sayfa       Arama       Valid CSS!