Risk Yanıtları ve İzleme← İçindekiler

Risk Yanıtları ve İzleme

B

Riskleri tanımladın, değerlendirdin. Şimdi ne yapacaksın? Karar vermen gereken an: bu riski nasıl karşılayacaksın? Dört seçenek var ve her risk için doğru olanı seçmek, elindeki sınırlı kaynakları en verimli kullanmak demek.

Özlü kural: Her riske aynı tepkiyi veren, kaynağını israf eder. Ölçülü davranmayan, ya çok harcar ya çok savunmasız kalır.

43.1 Dört Risk Yanıtı

Bir riskle karşılaştığında yapabileceğin dört şey vardır:

  • Kaçınma: Riskin kaynağından kurtulmak. Sineği öldürmek yerine bataklığı kurutmak. Güvenlik veya regülasyon açısından riskli bir bulut hizmetini hiç kullanmamak gibi.
  • Kabul Etme: Skoru düşük olan bir risk için aksiyon almamak. Riskin gerçekleşmesi durumunda sonuçlarını kabul ettiğini biliyor olman gerekir.
  • Hafifletme: Riskin etkisini veya olasılığını azaltmak. Tüm personele düzenli bilgi güvenliği eğitimi vermek, sızma testleri yaptırmak gibi.
  • Transfer Etme: Riski üçüncü tarafa aktarmak. Sigorta yaptırmak veya güvenliği dışarıdan uzman bir firmaya devretmek gibi.

Bu dört yanıtı tek tek değil, bir arada kullanabilirsin. Önce hafiflet, kalan kısmı sigortala (transfer), en düşük seviyeyi kabul et. Buna birleştirilmiş risk karşılama denir. Örneğin: Veri merkezi sel riskine karşı cihazları yerden yüksekte kur (hafiflet), kalan hasarı sigortala (transfer), çok küçük olasılığı göze al (kabul).

43.2 Kalıntı Risk

Bir riski hafiflettiğinde veya transfer ettiğinde, tamamen ortadan kalkmaz. Geriye kalan kısma kalıntı risk denir.

Kalıntı Risk = Risk - Risk Savunması Sonuçları

43.3 Risk Kütüğü

Risk kütüğü (risk register), tüm risklerin, durumlarının ve karşı önlemlerin kaydedildiği bir depodur. Özel bir yazılım gerekmez; bir Excel dosyası başlangıç için yeter.

Risk kütüğü veriyi tek bir yerde tutar. Farklı ekiplerin elindeki dağınık bilgiyi birleştirir. Yönetim kuruluna okunmayacak e-posta raporları yerine tek bir tablo sunar. Tüm risklerin büyük resmini tek panelden görmeni sağlar.

İyi bir risk kütüğü şunları içerir:

Risk Kütüğü İçeriği
  • Risk tanımı ve kategorisi
  • Olasılık ve etki değerlendirmesi
  • Risk skoru (öncelik)
  • Seçilen yanıt stratejisi (kaçın/kabul/hafiflet/transfer)
  • Sorumlu kişi ve departman
  • Durum (açık, kapalı, izleniyor)
  • Hedef kapanış tarihi

43.4 İzleme ve Kontrol

Riski kütüğe eklemek yetmez. İzleme ve kontrol şarttır. İki temel yöntem:

Sürekli İzleme

  • Rutin iş operasyonlarının parçasıdır
  • Personel toplantıları, operasyonel incelemeler
  • Risk komitesi toplantıları (aylık veya üç aylık)
  • Anahtar risk göstergeleri (KRI) takibi

Ayrı Değerlendirme

  • Belirli zamanlarda veya yapısal değişikliklerde yapılır
  • Organizasyon dışı inceleme (üçüncü taraf denetim)
  • İç inceleme (kendi ekibinle)
  • Eş inceleme (iç ve dış ekipler birlikte)

İzleme Araçları

  • Risk kütüğü Excel dosyaları: Giriş seviyesi, ekstra masraf yok
  • Veri analitiği ve görselleştirme panelleri: Veri kaynağından otomatik arayüz üretir
  • Kurumsal risk yönetimi yazılımları: Pahalıdır, panel ve analizi içinde barındırır

43.5 Neden Başarısız Olur?

Risk yönetimi iyi kurulmuş bile olsa başarısız olabilir. En yaygın nedenler:

  • Risk kültürünün olmaması: Risk bildirmenin değil, bildirmemenin sorun çıkardığı bir ortam yoksa, insanlar konuşmaz.
  • Direnen insanlar: “Eski köye yeni adet getirmeyin” zihniyeti. Bunlar plan yapmana bile engel olur; en büyük risk kendileridir.
  • Tepe yönetimin kayıtsızlığı: Yönetim kurulu siber güvenliğe önem vermiyorsa, bütçe ve kaynak gelmez. Olay olduktan sonra ise üç katı parayı üç günde öderler.
  • İletişim eksikliği: Risk yönetim planı kurumda paylaşılmazsa, her departman kendi başına hareket eder.
  • Stratejiye dahil etmemek: Risk yönetimi ayrı bir süreç olarak duruyorsa, iş stratejisiyle bütünleşmez. Yeni riskler oluşmaya devam eder.

2018 araştırmasına göre Kurumsal Risk Yönetimi sürecini başarıyla tamamlayan organizasyonların oranı %30. Yani sektördeki kurumların çoğu risk yönetimini doğru yapamıyor. Doğru yapanlar ise rakiplerinin önüne geçiyor.

Bunu Yap
  • Risk kütüğünü düzenli güncelle, sorumlu kişileri takip et
  • Kalıntı riskin seviyesini bil ve kabul edilebilir sınırlarda tut
  • Tepe yönetimi risk kültürüne dahil et
Bunu Yapma
  • Risk kütüğünü bir kez yaz ve unut
  • Yalnızca teknik önlemlere güven, süreci ve insanı atla
  • Olay olduktan sonra önlem almaya çalış

Bilgi Kontrolü

S4. Aşağıdakilerden hangisi vakit alan, pahalı ve utanç verici bir süreçtir?

a. Risk Yönetimi
b. Kriz Yönetimi ✓
c. Zaman Yönetimi
d. Gayrimenkul alarak vatandaşlık edinimi

S7. Aşağıdakilerden hangisi risk hafifletme değildir?

a. Kur korumalı TL vadeli mevduat ✓
b. Evlilik sözleşmesi
c. Yedek anahtar
d. Halt yedikten sonra kutsal mekanlarda poz verip medyaya servis etme

İlgili Bölümler