Risk Yönetilebilir mi? - 2

Risk Yönetilebilir mi? - 2

Gürcan Banger

Risk analizi, sonucu açısından sorunlara neden olabilecek risklerin ortaya konması ve yorumlanması işlemidir. Risk analizinde öncelikle sistemin kendisi süreçlere ayrıştırılır. Daha sonra her sürecin her değer noktasında oluşabilecek riskler incelenir. Bir başka deyişle; bir kuruluşun bir uçtan diğerine (360 derecelik bir bakış açısıyla) değer zincirinin tamamı riskler açısından elden geçirilmek durumundadır.

Süreçlerin tek tek incelenmesi yanında sistemde bir bütün olarak oluşabilecek riskler de dikkate alınır. Risk analizi, karşı önlemlerin nasıl ve ne biçimde alınacağı üstünde durmaz. Bu işi, risk yönetimi süreci gerçekleştirir.

Risk analizinin amacı, kuruluşun süreçlerindeki risk seviyesinin istenen düzeye getirilmesidir. İstenen / taşınabilir risk seviyesi, kuruluşun kabul ettiği ve taşıyabileceği risk miktarıdır. Risk yönetimi ile karşı önlemler alındıktan sonra, geri kalan riskin, gerekli riskten daha düşük olması istenir.

Risk analizi sonuçlarına göre şunlar yapılabilir: 1- Risk yüksektir, karşı önlem yoktur ya da pahalıdır. Hizmetten vazgeçilir. 2- Uygun önlemlerle risk düşürülür. Maliyet nedeniyle risk önemsenmeyebilir. 3- Risk, sigorta gibi yollarla transfer edilir.

Nicel ve nitel olmak üzere iki temel risk analizi yöntemi mevcuttur: 1- Nicel risk analizi, riski hesaplarken sayısal yöntemlere başvurur. 2- Nicel risk analizinde ise tehdidin olma ihtimali, tehdidin etkisi gibi değerlere sayısal olarak bakılır.

Nicel risk analizinde “RİSK = Olma ihtimali x Etkisi” şeklinde sayısal bir formül kullanılır. Çarpım sonucu ne kadar büyük bir değer çıkarsa, riskin de o derece büyük olduğu düşünülür. Nitel risk analizinde riski hesaplarken ve ifade ederken sayısal değerler yerine “düşük, normal, yüksek, çok yüksek” gibi tanımlayıcı değerler kullanılır. Nitel analiz, tehdidin olma ihtimalini kullanmaz, riskin sadece etki değerini dikkate alır.

Herhangi bir risk analizi ve yönetimi yapılmadan bir kuruluşta mevcut olan riske taban risk denir. Bir risk analizi ve yönetimi sonucunda önerilen karşı önlemlerin alınması sonucunda kuruluşta kalan riske geri kalan risk denir. Bir kuruluşun ihtiyaçları kapsamında belirlediği ve yapısında taşıyabileceği risk miktarına istenen / taşınabilir risk denir.

Risk analizinin ve yönetiminin hedefi, kuruluş içinde olabilecek tehlikelere uygun cevap verebilecek, kasıtlı veya kasıtsız tehditlerin etkisini ve olma ihtimalini azaltacak hazırlıkları, prosedürleri ve denetimleri teşhis etmektir.

Risk yönetiminin yararlarını şöyle özetleyebiliriz: 1- Kuruluşun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar. 2- Kuruluş katılımcılarının sistem işleyişi konusunda bilgi sahibi olmalarını sağlar. 3- Sistem güvenliği sağlanır.

Risk analizi ve yönetimi ile birlikte gelen birtakım problemler ve ideal olmayan durumlar bulunabilir: Risk analizi ve yönetiminin oluşturduğu maliyet, bu amaçla harcanan süre, tespitlerin öznelliği, seçilecek yaklaşımın net olmayışı, risk yönetim yöntemlerindeki eksiklikler.

Bazı hatırlatmalarla bitireyim. Bir işyerinde çalışan bir makinenin bağlantı kabloları ayakaltında dolaşıyorsa orada bir can ya da mal kaybına neden olabilecek risk vardır. Evde ek bir elektrik prizinden uzatma kablosu ya da ek fiş aracılığı ile bağlantı yapılmış ve çektiği güç hesaplanmadan yaratılmış bir kullanım varsa orada can ve mal kaybına yol açabilecek risk mevcuttur. Eğer çarşıdan aldığınız bir gıda maddesinin menşei ve içindekiler belli değilse (bir denetimden geçtiğine dair bir belirti yoksa) orada bir risk bulunmaktadır. Eğer bir çalışma ortamında alet edevat üzerine basıldığında bir tehlike yaratacak biçimde dağınık bırakıldıysa orada bir risk vardır. Eğer bir tesisin çektiği elektrik gücü ihtiyaca (orada bulunan donanımın ihtiyacına) göre planlanmamışsa, orada bir riskli durum mevcuttur. Özetle; her yaptığımız işin daha başında “Buradaki risk nedir?” diye düşünmeye kendimizi alıştırmamız lazım. Hem de acilen… Riski yönetmeyi öğrenirsek, muhtemelen krizi yaşamamayı da (ya da daha az tehdit altında olmayı da) öğrenmiş olacağız.