İŞLETME RİSK YÖNETİMİ Yrd. Doç. Dr. Tülay Korkusuz Polat 1/29
Risk İzleme Süreci 2/29
Risk izleme süreci, planlanan bütün risk yönetim faaliyetlerinin etkin olarak gerçekleştirildiğini güvence altına almak için resmi, sistematik ve sürekli olarak yürütülen bir süreçtir. 3/29
Riskin durumu program boyunca sürekli olarak izlenir. Riskin durumunda önemli bir değişiklik olduğunda riskler yeniden değerlendirilir. Risk izleme mevcut durumdaki değişikliklere odaklanır. 4/29
Risk izleme sürecinin hedefleri şunlardır: Mevcut risk yönetim politika ve prosedürlerine uygun olarak çalışılmasını güvence altına almak, Önceden tespit edilmemiş tehdit ve riskleri belirlemek, İstenmeyen olayların oluşma olasılığını belirlemek, Risk azaltma faaliyetlerinin planlandığı gibi yürütülmesini sağlamak. 5/29
Risk izleme sürecinin girdileri diğer risk yönetim süreç çıktıları yada sonuçlarıdır. Risk izleme sürecinin ürünü, risk azaltma faaliyetlerinin ve risk yönetim süreçlerinin ne ölçüde etkin olduğunu gösteren sonuçlardır. 6/29
Risk izleme sonuçları, yönetime raporlanır ve gerektiğinde risk yönetim süreci yeniden yapılandırılır yada risk azaltma faaliyet planı yada önlem planı güncellenir. Riskler için yeni eşik değerleri belirlenebilir. 7/29
Önemli risklerin etkin olarak izlenmesini sağlamak için risk yönetiminin önceki aşamalarında geliştirilen azaltma faaliyetleri (spesifik olaylar, başarı kriterleri, çizelgeler) ve çizelgede yansıtılmalıdır. 8/29
Risk izleme süreci faaliyetleri 1. Mevcut Risklerin İzlenmesi: Risk azaltma stratejilerinin etkinliği değerlendirilir. Çoğunlukla, tek bir strateji yeterli olmaz. Azaltma stratejisinin yetersiz olduğu durumlarda, yeni stratejiler geliştirilir. 9/29
Risk izleme süreci faaliyetleri 2. Risk durumunun güncellenmesi: Program faaliyetleri olgunlaştıkça ve değişiklikler oluştuğunda, belirlenmiş risklerden bazıları risk olmaktan çıkar ve yeni riskler belirlenir. Belirlenen yeni riskler doğrultusunda risk planı, risk listesi, risk matrisi vb dokümanlar güncellenir. Yeni risklerin oluşma olasılığı, programın başarısına olumsuz etkileri ve risk alma durumunda potansiyel fırsatlar değerlendirilir. Riskler derecelendirilerek öncelikli olanlar belirlenir ve öncelikli riskler için azaltma stratejileri geliştirilir. 10/29
Risk izleme süreci faaliyetleri 3. Faaliyetlerin periyodik olarak gözden geçirilmesi: Bazı kritik program olayları yada faaliyetleri ile program hakkında derinlemesine bilgi sahibi olunur. Bu bilgiler risk yönetimine değerli bir girdi sağlar (Master plan gibi). Çıkarılan dersler, sonuçlar risk veri ambarına girilir. Risk yönetim süreçlerinin iyileştirilmesinde ve yeni programlarda bu veriler kullanılır. 11/29
Risk izleme süreci faaliyetleri 4. Risklerin periyodik olarak yeniden değerlendirilmesi: Bu faaliyet ile programın belirli bir aşamasındaki (sistem tasarımı, yazılım gerekleri, gözden geçirme, entegrasyon testleri vb) riskler değerlendirilir. Risk önceliklerinin ve risk azaltma stratejilerinin etkililiği yeniden değerlendirilir. Yeni risklerin oluşma olasılığı ve etkisi değerlendirilirken, öncelikler ve risk azaltma stratejisinin uygunluğu da yeniden gözden geçirilir. Burada amaç; master planda bir sonraki kritik program faaliyetine geçebilmek için riskleri belirleyerek probleme dönüşmeden ortadan kaldırmaktır. 12/29
Risk izleme süreci faaliyetleri 5. Raporlama ve geri bildirim: Raporlar, karar vericilere ve program ekibine, risk azaltma faaliyetlerinin etkinliği ve risklerin durumu hakkında bilgi iletmek amacı ile kullanılır. Riskle ilişkili raporlar, resmi olmayan sözlü raporlardan resmi yazılı raporlara kadar uzanan değişik yollarla sunulmaktadır. 13/29
Risk izleme sürecinin çıktıları Risk izleme sürecinin çıktıları; yönetim raporları, gözden geçirmeler ve değerlendirmelerdir. Bu sonuçların çoğu muhtemelen dokümante edilmeyecektir. Risk yönetim sonuçlarının nasıl bir formatta dokümante edileceği, dokümanlarının içeriğinin ne olacağı, raporlamanın ne sıklıkta kimlere yapılacağı belirlenmelidir. 14/29
Risk Dokümantasyon ve Bilgi Yönetim Sistemi 15/29
Bilgiye dayalı bir risk yönetimi için iş zekası (business intelligence) çözümleri önem kazanır. Kuruluş içi ve dışı sahip olunan tüm bilgilerin bütünleştirilmesi ve yarara dönüştürülmesi iş zekası çözümleri ile sağlanır. 16/29
Risk bilgi yönetim sistemi, belirlenen politika ve hedefler, prosedürler doğrultusunda disiplinli bir şekilde yürütülmelidir. İş zekası çözümlerinin sağlıklı bir şekilde işletilebilmesi için operasyonel verilerin etkin bir şekilde üretiliyor olması gerekir. 17/29
Risk bilgi yönetim sistemi iş zekası çözüm yaklaşımları ile ele alınmalıdır. Kuruluşlarda sahip olunan çok büyük miktardaki veriler yarara dönüştürülmelidir. 18/29
Risk bilgi yönetim sisteminin aşamaları: 1. Veri toplama hedeflerinin belirlenmesi, 2. Belirlenen hedefler doğrultusunda toplanacak verilerin belirlenmesi, 3. Verilerin analiz edilerek bilgiye dönüştürülmesi, 4. Bilgilerin karar mekanizmaları tarafından kullanılır hale getirilmesi. 19/29
Risk yönetim faaliyet sonuçları, veri toplama hedefleri doğrultusunda dokümante edilmelidir. Dokümantasyon etkin ve hızlı olmalı, yeterli ve gerekli bilgiyi içermelidir. Risk yönetiminde dokümantasyon yaklaşımı ve bilgi yönetim politika ve hedefleri belirlendikten sonra risk yönetim planında dokümante edilmelidir. Risk yönetiminde kuruluş içi ve dışı bilgiler kullanılır. Bilgi yönetim sistemi, kuruluş içi ve dışı bilgileri kapsamaktadır. 20/29
Risk bilgi yönetim süreci, belirli bir konuda gerek duyulan doğru ve tam bilgiye zamanında ulaşabilmeyi sağlayan faaliyetlerden oluşur. Bu süreç, risk yönetim sistemi için gerekli olan bilginin toplanması, üretilmesi, saklanması, düzenlenmesi, yürürlükten kaldırılması faaliyetlerini içermektedir. 21/29
Risk bilgi yönetim sistemi teknik, maliyet ve çizelgeye ilişkin tüm bilgilerin yönetimini sağlar. Bilgi sözlü, kağıt ortamda, grafiksel, sayısal formda olabilir ve elektronik, kağıt, manyetik, mekanik, optik ortamlar kullanılarak depolanabilir ve kopyalanabilir. 22/29
Risk bilgi yönetim sisteminin başarılı bir şekilde yürütülmesi sonucunda aşağıdaki ürünler elde edilebilir: Yönetilecek tüm bilgiler tanımlanır, Bilginin formu belirlenir, Bilginin durumu kaydedilir, Bilginin geçerliliği sağlanır, Bilginin ilgililer için elverişli olması sağlanır. 23/29
Risk bilgi yönetim prosedürlerine göre yürütülecek faaliyetler şunlardır: Kuruluş bilgi yönetim politikalarına göre risk yönetimi kapsamında yönetilecek bilgilerin belirlenmesi, Bilgi yönetim sistemine ilişkin sorumluluk ve yetkilerin tanımlanması, Bilginin taşınma, erişilme, yürürlükten kaldırılması için hakların ve yasakların tanımlanması. Bilgi güvenliği (entelektüel haklar, giriş hakları, sahiplik, patent gibi) politikaların oluşturulması, İçerik, format ve ortamların tanımlanması, Bilginin toplanması ve yaratılması, Bilginin bütünlük, gizlilik ve güvenlik gereklerine uygun olarak kaydedilmesi ve saklanması, Bilginin kuruluş politikalarına uygun olarak arşivlenmesi, İstenmeyen, geçersiz, doğrulanmamış bilginin tanımlanması 24/29
Bilgi yönetim sisteminde, kritik olan veri ambarında tutulan verilerdir. Veri ambarında içerilebilecek risk bilgileri aşağıda listelenmiştir. 25/29
Tablo 1: veri ambarı elemanları 26/29
İş ürünleri Her risk yönetim süreci sonucunda elde edilen iş ürünleri vardır. Bunlara örnekler tablo 2 de gösterilmektedir. 27/29
Tablo 2: Risk yönetim süreçleri iş ürünleri 28/29
29/29