Geç kaldığımız bir toplantı için karşıdan karşıya geçerken, sevdiğimiz pastadan bir dilim daha yerken risk yönetimi hayatımızda. Peki ya kurumlarımız?
Risk kelimesi (son yıllarda değişmeden önce Türkçede riziko olarak kullanılıyordu) etimoloji sözlüklerine göre insanoğlunun hayatına yunan mitolojisi ile birlikte girmiş hemen hemen aynı söylemiyle İngilizce dışında, İspanyolcada, Fransızcada, ve İtalyancada kendine yer bulmuştur. Risk kelimesi ilk kez 16. yüzyılda (1507) Almancada iş dünyası ile ilişkilendiriliyor ve “ekonomik başarı için cesaret etmek” anlamında kullanılıyor.
Internet’teki bir tanıma göre, risk, “zarar veya kayıp durumuna yol açabilecek bir olayın ortaya çıkma olasılığı anlamına geliyor.” Günümüzde risk kelimesi hemen her alanda karşımıza çıkıyor. Özellikle finans sektöründe risk kelimesi piyasa, kredi ve aktif-pasif yönetimi ile ilişkilendirilirken, hemen tüm büyük kurumlar için Basel II ile birlikte operasyonel riskler göz önüne çıkmaya başladı. Kurumsal risk yönetim çerçevesi COSO’ya göre kurumsal risk yönetimi “bir kuruluşun yönetim kurulu, yöneticileri ve diğer çalışanları tarafından icra edilen, şirket çapında strateji belirlenmesinde uygulanan, kurumu etkileyelebilecek potansiyel olayların belirlenmesi ve risk alma isteği seviyesindeki risklerin yönetilmesi için tasarlanmış, kurumun hedeflerinin gerçekleştirilmesi için makul güvence sağlayan sistematik bir süreçtir.”
Risk kavramı, yönetim sistemleri içinde de yer almaktadır. Bilgi güvenliği dışında şikayetten çevreye hemen her dalda karşımıza çıkarken, tek istisna gibi gözüken kalite (ISO 9000) standardı da son değişikliklerle yatında risk tabanlı olacak. Risk yönetiminin en önemli yararları arasında ilgili kararların daha iyi bilgilerle verilebilmesi, üst yönetimde fikir birliği sağlaması, yönetim mekanizmasının daha iyi işlemesini sağlaması ve riskin rekabetçi bir araç olarak kullanılması sayılabilir.
Bilgi güvenliği yönetim sistemi ve ISO 27001 dünyasında da risk yönetimi mecburidir. Risk yönetimi iki önemli aşamadan oluşur. Mevcut durumun incelenmesi ve bilgi varlıklarının gizlilik, bütünlük ve kullanılabilirlik bileşenlerine karşı zarar verebilecek tehditlerin belirlenmesi ve bu tehditlerin kullanabilecekleri zayıf noktaların ortaya listelenmesinden oluşan risk keşfi birinci aşamadır. İkinci aşamada risk alma isteğine bağlı olarak risk tedavisi yer alır. Risk tedavisi içinde dört farklı seçenek yer alır. Riskten kaçınma, riske neden olan tehdidin ortadan kaldırılarak riskin tümüyle ortadan kaldırılmasıdır. Riski azaltma, ilgili tehdidin ortaya çıkma olasılığını ve/veya ortaya çıkması durumunda kuruma olan olumsuz etkisinin azaltılmasıdır. Riski transfer etme, dış kaynak kullanımı ya da sigortalama gibi yöntemlerle ilgili riskin sorumluluğunu bir başkasına devretme anlamına gelmektedir.
Gerçek risk, ya da teknik kullanımı ile kalan risk, varlığın ve ortamın kendisinden kaynaklanan yapısal risk üzerine risk tedavi seçeneklerinin uygulanmasından geride kalan anlamına gelmektedir. Yapısal risk ise, söz konusu riskin gerçekleşme olasılığı ve olasılıktan bağımsız her bir ortaya çıkışında kuruma vereceği zarar ile hesaplanabilir.
Her kurum için risk keşif ve tedavi yöntemleri farklılıklar gösterebilir. Önemli olan kurum kültürüne, boyutuna, çalışanlarına, sektörüne ve önem verdiği değerlere uygun bir yapının kurulmasıdır. Doğru şekilde yaratılacak risk yönetim metodolojisi kurumun ihtiyaçlarına çabuk ve doğru cevaplar verirken, bu amaçla harcanacak zaman ve kaynakların verimli kullanımını sağlayacaktır.