Edubilim Forumları - www.edubilim.com Edubilim Forumları - www.edubilim.com
Duyurular: 2011-2012 Eğitim ve Öğretim Yılı 2.Dönem Evrakları
 
Ana Sayfa Yardım Ara Takvim SON MESAJLAR SON KONULAR Giriş Yap Kayıt
*
Merhaba, Ziyaretçi. Lütfen giriş yapın veya üye olun. Mayıs 26, 2012, 02:33:33 ÖÖ


Kullanıcı adınızı, parolanızı ve aktif kalma süresini giriniz


...::: EDuBiLiM :::...


Edubilim Forumları - www.edubilim.com > 
Eğitim & Öğretim & Ödev & Tez & Makale
 > Eğitim > Dersler, Ödevler & Tezler  > Ekonomi / İktisat / İşletme > 

Rİsk YÖnetİmİ



  Sayfa: [1]  
  Bu Konuyu Gönder  
Gönderen Konu: Rİsk YÖnetİmİ  (Okunma Sayısı 315 defa)
0 Üye ve 1 Ziyaretçi konuyu incelemekte.
admin
Administrator
Uzman Üye
*****
Üye No: 1
Mesaj Sayısı: 5627
Puan: +19/-0

Offline
« : Ekim 27, 2007, 06:04:53 ÖS »
RİSK YÖNETİMİ

I.BÖLÜM :
RİSK ANALİZİ
1.1.Riskin Tanımı:
Gerçek kişi ve tüzel kişiler açısından gelecek çeşitli belirsizlikler taşımaktadır.Bireyler ve işletmeler bu belirsizlik durumunda kendilerinin en az zararla çıkma amacını göz önünde bulundururlar.Belirsizlik ortamı beraberinde çeşitli riskleri ortaya çıkartır.
Riskin çeşitli tanımları mevcuttur, başlıca öneli tanımlar şunlardır:
Risk, italyanca “risco” kelimesinden gelmekte olup bir zarar veya kayıp durumuna yol açabilecek bir olayın ortaya çıkma ihtimalidir.Tehlike ile aynı anlamlıdır ve ileride ortaya çıkması beklenen ama meydana gelip gelmeyeceği bilinmeyen olaydır.1 (E.Kadal,İstanbul,1995)
Risk,arzulanmayan bir olayın meydana gelebilmesinin sakınca dolu belirsizliğidir.2 (M.Allan Willet, Philedelphia, 1951)
Sigortacılık dilinde mali kayıp veya hasarın belirsizliği risk denir.3 (T. Yazgan, İstanbul, 1977 )
Risk, gelecekte ortaya çıkması istenmeyen bir olayın gerçekleşme olasılığı olarak nitelendirilebilir.4 (N. Berk, İstanbul, 1993 )
Risk her faaliyetin içinde ve her yerde yer alan, bireyleri, kuruluşları, ekonomiyi, sosyal ve politik hayatı, hükümetleri ve çevremizi yakından ilgilendiren bir unsurdur.Bize kendi hayatımız ve geleceğimiz kadar önemli bir konu olup oluşumuzla ilgilidir.
Karşılaşılan problemler ve davranışlar gösterir ki, gelecek için bilgimiz çok azdır.Bu düşünce diğer bütün aktivitelerde olduğu gibi iş dünyasında da böyledir.Bir işlem yapılırken bu çok etkin veya daha az etkin kaynakların ve değerlerin doğrultusunda gerçekleşmesi gerekir.Bu demek değildir ki, elde edilen bilgiler tam doğruyu gösterecektir ve ya tamamen yanlıştır; amaç bu değerlerin bir bilgi kaynağı olarak kullanılmasıdır.
Riski bir ölçüye kadar kavrayabiliriz, zaten tamamıyla kavrayabilseydik risk de var olmazdı.Belirsizlik olmasaydı oluşumuz da çok sıkıcı, tekdüze, ve tamamıyla yaşanması zor bir varoluş olacaktı.
Tarih öncesi çağlardan itibaren sosyal ve ekonomik sistemler insanoğlunun sistemlere bağımlılığı ile aynı paralelde gelişme göstermiştir.Bağımsızlığımız hala gittikçe ve gittikçe daha artan bir hızda gelişmektedir.Atmosfer dışında hayatın bütün gereksinimleri için oldukça karışık ve korunması gereken sistemlere ihtiyacımız vardır.
Endüstrileşmiş toplumlarda, kendini dıştan yardım görmeksizin besleyebilecek bir tek fert bulunur.Bu gün artık bu insanoğlu üretim ve dağıtım hattında zincirlerine bağımlı yaşamaktadır.Dolayısıyla da organize bir risk yönetimine ihtiyaç kendiliğinden ortaya çıkmaktadır.5 ( E. Gökalp, İstanbul, 1995 )
Risk, gerek belirsizlik gerekse belirsizliğin sonuçları olarak tanımlanabilir.Risk, karar ya da planlama ortamında sonuçların kestirilememesine ilişkin olup, olasılık kavramlarıyla açıklanabilir.
Kimi yazarlar riskle, belirsizlik arasında şöyle bir ayrım yapar:Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları çıkarabiliyorsa risk, uzmanlar bu konuda bir anlaşmaya varamıyorlarsa belirsizlik söz konusudur.
Bir başka ayırım ise şöyledir: Ayrım istatiksel ve istatiksel olmayan olaylara ilişkindir.İstatiksel olaylar için risk, istatiksel olmayan olaylar için belirsizlik söz konusu olur.İstatatiksel olaylar yinelenebilir.Ancak pek çok karar durumu tek olup, yinelenebilir nitelikte değildir.Bu nedenle karar vericiler olasılık kurallarıyla tutarlı (istatiksel ya da nesnel) olan istatiksel olmayan ya da öznel olasılık değerlemeleri yapmak zorunda kalırlar.
Risk profili, firmanın karşı karşıya olduğu ana risklerin analizini ortaya koymak ve ürün, imalat metotları, yerleşim yeri, satış metotları ve ya yönetimi ve iş gücü açısından gereklidir.Ancak riskin bu portresi tespit edildikten sonra, risk kontrolü ve finansı açısından risk objektifleri yapılabilir.Bütün bu objektiflere ulaşabilmek için detaylı planlar hazırlamadan önce uygulanmakta olan mevcut risk yönetimi tarzı kontrol edilmelidir.
Yukarıdaki tanımlar sonucunda; riskin, tüm ekonomik faaliyet ve hareketlerin karşı karşıya olduğu ve işletmelerce kullanılan sermayenin kayba uğrama tehlikesi ya da kısaca başarısızlığa uğrama tehlikesi olduğu belirtilebilir.İşletmelerde risklerin ortaya çıkış şekline bakılmaksızın her zaman sermaye azalışına ve dolayısıyla para ihtiyacına yol açarlar.Bu bakımdan hedef olarak belirlenen karın gerçekleşmemesi de bir sermaye kaybı olarak değerlendirilmelidir.6 (N. Berk, İstanbul,1993 )
Riskin varlığı ve ona karşı davranışlarda bireyin duyarlılığı da farklılık göstermektedir.Bazı işletme ortakları firma faaliyetlerini ayrıntılı olarak izlerken, diğerleri küçük risklerin işletmede yol açtığı hasarlardan habersizdir.Ayrıca başarılı işletme yöneticileri birçok ticari riski işletmede oluşturan gizli ya da gönüllü yedeklerle karşılamaktadır.
Risk ile ilgili kavramlardan biri de şanstır.Ancak şansın pozitif ve negatif versiyonlarının bulunduğu bilinmektedir.Buna göre risk şansın negatif şeklini, diğer bir ifade ile şansızlığı ifade etmektedir.Ancak risk ile şans arasında doğrudan bir bağlılık olmadığı da belirtilmelidir.Zira büyük kar fırsatlarının, büyük risklere girilerek gerçekleşmesi mümkün olmakla birlikte girişimler yüksek karları amaçladıkları durumlarda da risklerle karşılaşırlar.Böylece girişimciler yeni faaliyette bulunmasalar bile kendilerinin tehlikeden soyutlayamazlar.Risk ve tehlike birbirine bağlı iki kavramdır.Tehlikelerin varoluşu riski yaratır.7 (S. Denengberg,Pennsylavia,1986 )
1.2 Risk Çeşitleri
Risk çeşitlerini incelerken ilk önce riskin belirlenmesine, sınıflandırılmasına ve özellikle işletmelerin karşılaşacağı risk çeşitlerine değineceğiz.
1.2.1 Riskin Belirlenmesi
Bir risk ile karşı karşıya kalındığında ilk önce yapılması gereken şey o riski oluşturacak kaynak olayı ve riskin etkilerini belirlemektir. Böylece riski tanımak daha kolaylaşır ve riske karşı ne gibi önlemler alınacağı daha rahat bir şekilde ortaya konulabilir. Ayrıca, kötü belirlenmiş risklerin daha başka risklerin doğmasına neden olacağını belirtmekte fayda vardır. Aşağıdaki şekil kaynak olayı ve riskin etkilerini göstermektedir.

Şekil 1: Risk belirlenirken izlenecek yol


Kaynak olay ve riskin etkisi





Kontrol edilebilir Kontrol edilemez






Bağımlı Bağımsız



Tamamen Kısmen
Bağımlı Bağım

* Kaynak: Roger Flanagan and George Norman, Risk Management and Construction, Blackwell Scientific Publications, 1993, s. 47.
Riski belirlerken, riskin kontrol ebilebilir olup olmadığını ve bağımlılık derecesini tespit etmek gerekmektedir. Riskleri kontrol edilebilme derecesine göre sınıflandırmak gerekirse dört çeşit riskden bahsedebiliriz. Bunlar;
• Kontrolümüzde olan riskler,
• Tarafımızdan bağlantı kurdurulan kişilerin kontrolünde olan riskler,
• Hükümete bağlı olanlar,
• Tamamıyla kontrolümüz dışında olanlar.
Örnek vermek gerekirse işletmelerde koordinasyon eksikliği gibi bazı riskler kontrol edilebilirler. Ancak hava şartları gibi bir fiziksel çevre riski ise kontrol edilemez. Her zaman için en kötü ihtimalin gerçekleşeceği düşünülerek tüm risklere karşı tedbir alınmalıdır.

Risk belirlenmesinde kullanılan bir diğer yöntem ise, bağımlılık derecesine göre riskleri tanımlamaktır. Burada riski bağımlı ve bağımsız olmak üzere ikiye ayırarak inceleyebiliriz. Bir projedeki iki risk kaynağından biri hakkında elde edilen bilgiler, diğeri için yapılan tahminleri etkiliyorsa risk bağımlı demektir. Aşağıdaki örnektede görüleceği gibi, kontrol edilebilir ve kontrol edilemez riskler arasında bağımlılık olabilir.
Bir makinanın ömrü daha çok onun dizaynına, yapılışındaki ustalığa ve kullanılan malzemenin kalitesine bağlıdır. Makinanın içine yerleştirilen küçük parçalar yaşlanma, fiziksel hırpalanma ve yıpranmaya bağlı olarak bozulurlar. Bozulma yetersiz ve eksik bakım veya kötü kullanım sonucu da olabilir. Küçük parçaların ömrü teknolojik eskime ve modaya bağlı olarak da değişir. Fonksiyonel olmak yerine, son model parçalarla değiştirilebilirler. Bu faktörlerin çoğu kontrol edilebilir fakat bir kısmı özellikle çevreden etkilenenler kontrol edilemez. Örnekte küçük parçaların bozulma riskinin bilinmesi, makinanın ömrünün kısalma riskini etkileyecektir. Yani riskler arasında bir bağımlılık söz konusudur.
Risk değerlendirmesi yapılırken, değişkenler arasındaki bağımlılık sorgulanmalı ve çeşitli varsayımlar ileri sürülmelidir. Üç çeşit bağımlılık vardır.
• Değişkenler arasında bir ilişki olmadığından bağımlılık yoktur,
• Tam bağımlılık vardır,
• Kısmı bağımlılık vardır.
Kısmı bağımlılığa örnek olarak, 20 katı bulunan bir binanın metre karesinin yapım maliyetinin, kat sayısı 21'e yükseldiğinde nasıl etkileneceğini düşünelim. Kat bitirme, boyama, dekorasyon maliyetleri etkilenmeyecektir, fakat toplam maliyet artan yüke bağlı olarak artacaktır. Bundan dolayı metrekare fiyatı ve toplam kat adedi değişkenleri arasında kısmi bir bağımlılık vardır.
Riski tanımlamaya çalışmak aynı bir dünya haritası çizmeye benzer. Merkez haritayı çizenin olduğu yerdedir. Durduğu yerden dünyanın büyük kısmını göremez. Haritayı çizenin bildiği bazı yerler başkaları için çok yabancı olabilir. Buna benzer olarak kompleks bağlantılar planlamalar ve problemler içeren büyük projelere kuşbakışı bakmak, dünya haritasına sislerin arasından bakmaya benzer. Yönetimin çıktıları etkileme kapasitesi, ancak bildikleri ve görebildikleri ile sınırlıdır. Yönetimin yapacağı en büyük yanlış ise ne olacağına değilde ne olması gerektiğine odaklanmak ile başlar. Gereksinimimiz olan ilk şey risk kaynaklarına ve olayların etkilerine odaklanmaktır.8 (S. Herbert, London, 1990 )
1.2.1.1. Riskin Kaynakları

Kaynak Olay Etki
Risk genelde kaynak, olay ve etki anlamında düşünülür. Örneğin bir buhar kazanın patlamasının (olay) sebebi dizayndaki bir hata veya üretimdeki yanlışlıktan kaynaklanıyor olabilir (risk kaynağı). Patlamadan dolayı işlerin yavaşlaması ve projenin geç tamamlanması durumunda yapımcı zararı ödemek durumunda kalırken, sonuçta maddi bir kayba (etki) uğrayacaktır.
Risk kaynakları, etkilerinden ayırt edilmelidir. Aşağıda risk kaynaklarına ve etkilerine çeşitli örnekler verilmiştir. Risk kaynaklarına örnekler;
• Hammadde kaynaklı riskler (bozulması, gecikmesi, değişmesi gibi)
• Enflasyonun tahmin edilenden yüksek olması
• Hava şartları
• Koordinasyon bozuklukları
gibi.
Riskin etkilerine örnekler;
• Maliyetin fazla çıkması
• İşin öngörülen zamanda tamamlanamaması
• Kalite yetersizliği gibi.

1.2.2 Riskin Genel Olarak Sınıflandırılması
Riski sınıflandırmanın üç yolu vardır. Riski; sonucuna, kazançlara-kayıplara ve etkisine göre sınıflandırmak mümkündür. Bu ayrıma göre yapılan bir sınıflandırmanın genel şekli aşağıda belirtilmiştir.




Şekil 2: Risk sınıflandırması
Risk Sınıflandırması


Sonucuna Göre Kazançlara ve Kayıplara Göre Etkisine Göre
Sınıflandırma Sınıflandırma Sınıflandırma



Saf Riskler Spekülatif Riskler Çevre Piyasa Şirket




Sıklık Şiddet Tahmin Edebilmek

* Kaynak ; Roger Flanagan and George Norman, Risk Management and Construction, Blackwell Scientific Publications, 1993, s. 52.
Aşağıda üç tip sınıflandırma ayrıntıları ile incelenecektir.
1.2.2.1 Sonucuna Göre Risk Sınıflandırması
Riski sonucuna göre sınıflandırmak istediğimizde, riskin etkileri ile ilgili olan bazı faktörleri göz önüne almalıyız. Çoğu yöneticiler, uzman kararlarına, eldeki bilgilere ve eğer mümkünse geçmişteki olaylara dayanarak karar alma eğilimindedirler. Riski karşılaşma sıklığına, şiddetine ve tahmin edilebilirlik derecesine göre sınıflandırmak ona karşı alınabilecek tedbirlerin belirlenmesinde faydalı olabilir. Risk ile karşılaşma sıklığımızı belirlememiz o riski ne kadar tanıdığımızı ortaya çıkaracaktır. Riski tanıma derecemiz ne kadar yüksek ise ona karşı nasıl bir tutum alacağımızı bilmemiz de o derece kolaylaşacaktır.
Genelde bir riskin tahmin edilebilirliği ne kadar yüksek ise tedbir almada o derecede kolaylaşacaktır. Ancak tedbirin olumlu sonuç verip vermeyeceği riskin şiddetine, kontrol edilebilirliğine ve bağımlılığına göre değişecektir. Ayrıca çoğu risk kaynağı için güvenilir veriler bulmak imkansızdır. Bu gibi durumlarda olay tüm risk yönetim sistemini ilgilendirmektedir.
1.2.2.2 Kazançlara ve Kayıplara Göre Risk Sınıflandırması
Riskleri kazanç ve kaybı göz önünde bulundurarak saf ve spekülatif olmak üzere ikiye ayırabiliriz. Bu iki çeşit risk aşağıda incelenmiştir.
1.2.2.2.1 Saf Riskler
Kazançtan söz edilmeyen sadece kayıp ihtimali bulunan durumlarda saf riskler mevcuttur. Örneğin otomobil sahibinin kaza yapma riski vardır. Kaza yapması durumunda maddi bir kayıp söz konusudur. Kaza yapmaması durumunda ise bir kazancı olmayacak, durumu değişmeyecektir.
1.2.2.2.2 Spekülatif Riskler
Hem kazancın hem kaybın söz konusu olduğu durumlarda ise spekülatif risk mevcuttur. Örneğin mevcut fabrikayı genişletmek hem kazanca hemde kayba yol açabilir. Saf riskler her zaman için tatsızdır, ancak spekülatif riskler bazı çekici özelliklere de sahiptir. Saf riskler spekülatif risklerden daha çok tekrarlanmak özelliğine sahiptir. Bu da saf riskle karşılaşan birinin daha başarılı tahminler yapacağı anlamına gelir. Sonuçta spekülatif risk içeren bir durum şahsa zarar verse bile topluma faydalı olabilir. Saf risklerde kişi kayba uğruyorsa toplumda kayba uğrar.
Deneyler göstermiştir ki kişiler spekülatif risklere karşı farklı tepki verirler. Örneğin bir deneyde çoğu denek eğer kazanma ihtimali 0.99 değil ise muhtemel kazancın 100 kaybın ise 4 900 TL. olduğu spekülatif bir olaya katılmak istememiştir. Diğer yandan, kaybetme ihtimalinin 0.10 veya daha fazla olmadığı durumlarda 5 000 TL. kaybetmemek için 100 TL. ödemek istememişlerdir. Riske karşı olan davranışların farklılığının muhtemel bir açıklaması, spekülatif risk durumlarında deneklerin riski varsayarak hareket etme zorunlulukları olmasıdır. Saf riskin söz konusu olduğu durumlarda ise denekler kendilerini riskten koruyucu önlemler almak zorundadırlar.9 (Williams and Heins, ABD, 1981 )
Genelde hem spekülatif hem de saf riskler aynı anda var olurlar. Örneğin bina satın alan bir kişi iki çeşit riskle karşı karşıya kalmış olur. Birincisi, kazaların yol açabileceği saf riskler. İkincisi, ekonomik sebeplerden dolayı binanın değer kaybı ya da kazancını etkileyen spekülatif riskler. Saf riskleri ele alan bazı özel teknikler olduğundan bu iki risk çeşidi arasında ayırım yapmak önemlidir.
1.2.2.3 Etkisine Göre Risk Sınıflandırması
Riski etkisine göre sınıflandırırken Roger Flanagan ve George Norman'ın tanımladığı risk hiyerarşisini göz önünde bulundurmak gerekmektedir.
ilk önce çevresel risklerden bahsedelim. Bu tür riskler ikiye ayrılabilirler. Birincisi, fiziksel ikincisi ise politik, sosyal ve ekonomik riskler. Hava şartları, deprem gibi kavramlar fiziksel çevre risklerine örnektir. Fiziksel çevre kontrol edilemeyeceğinden bu tip riskler tanımlanmalı ve etkisini azaltıcı önlemler alınmalıdır. Politik, sosyal ve ekonomik riskler kısmen kontrol edilebilirler. Örneğin, hükümet kendi ülkesinin ekonomisini kontrol edebilirken, doğal olarak dünya ekonomisini kontrol altında tutamaz. Ekonomik ve sosyal çevre genelde hükümetin kontrolü altındayken, çeşitli endüstriler çevresel kararlardan ciddi olarak etkilenirler. Örneğin hükümetin şehir merkezlerinde yapılanma hakkında aldığı bir karar inşaat sektörünü yakından etkileyecektir. Çevresel riskler göz ardı edilmemelidir. Açıklandığı gibi, çevresel riskler üzerinde kontrolümüz önemsenmeyecek kadar az olacağından, bu tür riskleri önceden görebilmek işletmeler için bir avantaj olacaktır.
İkinci olarak ele alınacak risk türü piyasa veya endüstri riskidir. Bu tür riskler tüm sektörü etkileyecektir. Büyük firmalar bu tür riskleri daha sistematik yöntemlerle analiz ettiklerinden, uğrayacakları kayıplar küçüklere kıyasla daha az olacaktır. Tüm firmalar piyasadaki paylarını korumak isterler. Bunun sonucu olarak da hepsi rekabeti benimser ve fiyat ve kaliteyi bu anlayışla belirlerler. Bunun neticesinde de bir firmanın riske karşı aldığı tutum diğerlerinin davranışlarını da etkileyecektir. Ayrıca firmalar piyasa riskini minimize etmek için bir kaç sektörde birden faaliyet gösterme eğilimindedirler. Örneğin, tekstil sektöründe kimyevi madde üreten bir firma bu sektördeki olası risklere karşı kendini korumak için bir seçenek olarak kimyevi madde satmak üzere deri sektörüne de girebilir.
Üçüncü olarak firma riski incelenecektir. Firmalar belirli bir piyasa içinde faaliyet gösterirler. Genelde firmalar bir çok projeyi aynı anda yürütürler ve bu projelerden her biri kar kaynağıdır. Firma riski ile proje riski birbiri ile bağıntılıdır. Çünkü firma, riskli projenin sonucunu üstlenmek durumundadır. Riskli projenin sonucu sadece o projedekileri değil tüm firmayı ilgilendirdiğinden, riskli kararları grup halinde vermek daha doğru olacaktır. Ayrıca firma riski denilince o firmanın faaliyetinden kaynaklanan bütün riskler içerilmiş olur. Bunlara personel kaybı riski, iş kazası riski gibi riskler örnek olarak verilebilir.
Son olarak ise proje veya birey riski incelenecektir. Hiyerarşinin alt basamaklarına inildikçe riskleri görmek kolaylaşır. Proje ile ilgisi olan kişiler, özellikle bizzat çalışanlar projedeki güçlükleri daha rahat görebilmektedirler. Ancak projeleri bir bütün olarak göremediklerinden önemini tam olarak kavramakta güçlük çekerler. Bu yüzden risk yönetim sisteminde bütün riskleri görebilmek gerekli önlemleri alabilmek için aşağıdan yukarıya ve yukarıdan aşağıya bilgi ileten çok iyi bir mekanizmanın kurulmuş olması gerekmektedir.10 ( R. Norman, London ,1993 )
1.3. Risk Analizi
Risk analizi, stratejik kararlarda ele alınan değişkenle ilgili olan riskin kapsamlı olarak anlaşılması sağlayan yöntemlerin bütünüdür.Bir başka değişle, ilgi duyulan değişkene ilişkin kestirim, olasılık dağılımı biçiminde ortaya konur.Olasılık dağılımını elde etmekte iki çözüm yöntemi vardır: İlk yöntem analitik yöntem olup, bu yöntemle belirlenen yapısal modele göre bireysel kestirimler ( Örneğin, satışlar ve maliyetlerin olasılık dağılımları ) matematiksel olarak birleştirilerek net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir.İkinci yöntem Monte-Carlo simulasyon yöntemi olup, bu yöntemle yapısal bir modele dayanarak bir dizi denklem oluşturup, net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir.Burada dağılımların matematiksel olarak birleştirilmesi söz konusu değildir.Kuşkusuz her iki yöntemde de tüm girdilerin olasılık dağılımları olarak modele alınması zorunlu değildir.Duyarlılık analizi sonucunda duyarlı olduğu belirlenen değişkenler, modele reel değişken olarak alınır.
Risk analizi yatırım projelerinin değerlendirilmesinde geniş bir kabul görmüştür.Kimileri risk analizini yatırım kararlarında uygulanan yeni bit yöntem olarak değerlendirmiştir.bu doğru değildir.Risk analizi yatırım kararlarında kullanılabileceği gibi, tüm karar sorunlarını çevreleyen verilerin incelenmesinde kullanılabilir.Muhasebe ve finans yazımında yatırımları değerlendirmek için kullanılan geri ödeme dönemi, muhasebe verim oranı, iç verim oranı, net şimdiki değer ölçütler, risk analizinde de geçerli, uygulanabilir ölçütlerdir.Kuşkusuz bu ölçütler olasılık dağılımları biçiminde ortaya konacaktır.
1.4. Risk Analiz Yöntemleri
Risk ile mücadele edilirken en çok başvurulan kaynak risk analiz yöntemleridir. Bu yöntemler sayesinde riskler bilimsel olarak analiz edilmiş ve teknik veriler elde edilmiş olur. Aşağıda çeşitli karar ortamlarında kullanılan analiz yöntemleri incelenmiştir.
1.4.1. Risk ve Belirsizlik Ortamında Karar Verme
Risk ve (objektif) belirsizlik ortamlarında kullanılan başlıca karar ölçütleri aşağıda belirtilmiştir. Bunlar;
• en büyük beklenen değer ölçütü (MEV),
• etkin strateji-kayıtsızlık eğrileri ölçütü,
• en büyük olasılık ölçütü,
• hırs düzeyi ölçütü'dür.
Bu dört karar ölçütünü aşağıda ayrıntıları ile inceleyeceğiz.
1.4.1.1. En Büyük Beklenen Değer Ölçütü
Bu ölçütün uygulamasında izlenen aşamalar aşağıda belirtilmiştir. Bunlar:
• Her bir stratejiye ilişkin sonuçların (parasal ya da fayda birimi cinsinden) değerleri ile ilişkin oldukları olasılıklar ile çarpımları toplamının bulunması.
• Beklenen değerler içinde en büyüğünün belirlenerek, bu değere ilişkin stratejinin en iyi karar olarak seçimi şeklinde belirtilebilir.
E :beklenen değeri
EMV(Sj) , EU(Sj) :Sj stratejisine ilişkin beklenen parasal değeri ya da beklenen faydayı, simgelediğinde, bu ölçütün matematiksel anlatımı;
MaksSj [ EMV (Sj) ] = MaksSj [ I p(Qi) . R (Qi, Sj) ] şeklindedir.
Beklenen kazanç ölçütünün uygulanmasında, kararların uzun dönemdeki kazançlara göre şekillendiği bilinmelidir. Önemli olan bir başka nokta ise hesaplanan beklenen kazançlar içinde ikisinin ya da daha çoğunun birbirlerine eşit olması durumudur. Bu durumda sorun, birbirine eşit olan beklenen değerlere ilişkin dağılımların dağılma ölçüsü olarak, varyanslarının ya da standart sapmalarının hesaplanması ile çözümlenir. Bulunacak varyans ya da standart sapma değerleri içinde en küçük olanı, o dağılımın ortalama dolaylarında toplandığını açıklar. Böylece, hesaplanan beklenen değerin, ilişkin olduğu dağılımı en iyi biçimde açıkladığı ortaya çıkar. Bu nedenle, varyans ya da standart sapması en küçük olan beklenen değerli strateji, en iyi strateji olarak seçilir.
1.4.1.2 Etkin Stratejiler-Kayıtsızlık Eğrileri Ölçütü
En büyük beklenen değer ölçütü, ister parasal ister fayda birimlerine dayalı olsun, karar vericinin istenmeyen sonuçlara ulaşmasına neden olabilmektedir. Çünkü, en büyük beklenen değer ölçütünün temel mantığı; etken stratejinin uzun dönemde uygulanması sonunda, dönem başına ortalama olarak elde edileceğine dayanmaktadır. Yani, bu değerler elde edilmemektedir. Ancak, uzun dönem sonunda ortalama olarak elde edileceği varsayılır. Karar vericinin karşı karşıya olduğu sorun; beklenen değeri ve varyansı en iyi olan ve böylece, en büyük doyumu sağlayacak olan stratejiyi seçme sorunudur. Karar verici, stratejileri belirleyip, herbirinin beklenen değerini ve beklenen değişirliğini elde edebilir. Bu konuda, Markowitz, yatırım ve portföy analizinde varyans ve getiri kombinasyonlarını incelemek üzere bir teknik geliştirmiştir. Bu teknikte, Markowitz, etkin stratejilerin; tüm stratejiler setinin bir alt seti olduğunu belirtmiştir. Buna göre etkin olmayan stratejiler;
• Eşit değişirliği olan stratejilerden, en büyük beklenen getirili (değer) olanın seçimi,
• Eşit en büyük beklenen getirili stratejilerden, en küçük değişirli olanının tercihi yoluyla ayıklanmalıdır. Ayıklanan stratejiler dışında kalanlar, yani etkin stratejiler; en uygun eğrinin çizilmesi ile yaklaşık olarak gösterilebilir.11 ( S. Archer, Newyork, 1964 )
Karar verici, bu eğri üzerinde, daha yüksek getiriler için daha büyük değişikliği benimsemektedir. Eğri üzerindeki her nokta, bir ortalama değer ile ödemenin değişirliğinin kombinasyonu olarak belirlenmektedir. Böylelikle, elde edilen her nokta, bir stratejiyi simgelemektedir. Şimdi sorun hangi stratejinin seçileceğidir. Karar vericinin, bu kombinasyonlar karşısında davranışını gösteren bir tekniğin oluşturulması gerekmektedir. İşte bu araca kayıtsızlık eğrileri (indifference curves), adı verilmektedir. Karar verici burada, her stratejinin, beklenen ödemesi ile varyansmı kapsayan iki boyutunu değerlendirir. Ancak ödemelerin fayda birimleri ile ölçümlenmelerinde ikiden çok boyutlu olabilme olanağı vardır. Aşağıdaki şekil böyle çizilen kayıtsızlık eğrilerinin setini göstermektedir. Kayıtsızlık eğrisi üzerindeki tüm noktalar stratejileri belirttiğinden, karar verici her stratejiye kayıtsız olmaktadır. Kayıtsızlık eğrileri üzerindeki her çizgi olurlu değildir, olurlu stratejiler etkin strateji eğrisi üzerindedir. Karar verici, bu eğri üzerindeki bir stratejiyi en iyi karar olarak seçmek zorundadır. Bu nedenle, karar vericinin en iyi kararı; kayıtsızlık eğrileri ile etkin strateji eğrilerisinin teğet olduğu noktadaki stratejinin seçimi olarak ortaya çıkmaktadır.
Beklenen değerlerle ilgili değişiklik ya da dağılma ölçüsüne genellikle, risk adı verilmektedir. Riskin ölçüsü ise, genellikle standart sapmadır.

1.4.1.3. En büyük olasılık ölçütü
Beklenen değer ölçütüne alternatif bir başka ölçüttür. Bu ölçütün uygulanmasıyla belirlenen etken stratejinin seçimi; karar matriksinde en büyük olasılıklı doğa durumuna ilişkin satırdaki ödemeler içinde, en büyük olanının saptanmasına bağlıdır. Ölçütün temeli olasılıklı bir modelden deterministik bir modele dönüşüme dayandırılmaktadır. Ölçütün temel mantığı iyimserlik görüşüne dayandığından, karar vermede kullanılması sakıncalıdır.
1.4.1.4. Hırs Düzeyi Ölçütü
Hırs düzeyi ölçütü (aspiration level criterion), en büyük beklenen değer ölçütü gibi en iyi kararı sağlayan bir ölçüt değildir. Bu ölçütün uygulanması ile elde edilen strateji, benimsenebilir strateji niteliği taşımaktadır. Örneğin bir kişi kullandığı arabayı satışa çıkardığında, satış fiyatı için bir alt limit değeri saptandığında, bu değer onun hırs düzeyi demektir. Hırs düzeyi ölçütünün sakıncalı tarafları aşağıda belirtilmiştir:
• Bazı durumlar için benimsenebilir strateji vermemektedir. Böylece ortada karar vermeme kararı çıkmaktadır.
• Benimsenebilir stratejinin seçimi, karar vericinin hırs düzeyine bağlı bir ön koşul ile yapılmaktadır. Bu yüzden en iyi karar söz konusu olmamaktadır
• Saptanan hırs düzeyinin altındaki tüm kazançlar dikkate alınmamaktadır
• Karar verici, son çareyi deneyerek şansını zorlayan bir konuma düşer12 (B .Bircan, İzmir, 1985 )
1.4.2. Modern Fayda Yaklaşımı
Geleneksel ekonomide fayda, psikolojik kazanç ve kayıplar biçiminde ölçülen ve malın sağladığı doğal doyum olarak tanımlanır. Fayda kavramı; ekonomide tüketici açısından ele alınır, tüketilen malın tüketiciye sağladığı doyuma dayanır. Düşünürlere göre, modern fayda kavramı; karar verici tarafından strateji seçiminde söz konusu olmakta ve risk karşısında başvurulan değer ölçüsü olarak tanımlanmaktadır. 13 (M. Hamburg, New York,1970 )
Böylece karar kuramında fayda; malın yerine parasal değerlerin ve psikolojik doyum ölçüsü yerine de, risk karşısında belirlenen değer ölçüsü biçiminde incelenmektedir. Ekonomide ve karar kuramında; fayda kavramı sübjektiftir. Kişiden kişiye olduğu kadar, kişideki psikolojik ve sosyo-ekonomik durumdaki değişikliğe göre de değişir. Karar vericinin risk ortamındaki davranışını açıklayan kurama, kardinal fayda kuramı (cardinal utility theory) adı verilmiştir.Bu kuramın özünde; her kişinin, fayda olarak belirlenen sonuçlardan beklenen değerini en iyileştirecek biçimde davranışta bulunacağı ve parasal değerler ile fayda arasında fonksiyonel bir ilişkinin saptanabileceği gerçeğine dayanır. İşte, karar verici açısından parasal değerlerle fayda arasındaki ilişkiyi belirleyen fonksiyona, kişisel fayda fonksiyonu denir. Bu fonksiyon; karar vercinin risk karşısında sübjektif davranışlarını belirleyerek, her bir parasal sonuca karşılık olan göreli fayda değerini verir. Karar vericinin kişisel fayda fonksiyonu belirlendiğinde;
• riskten kaçan
• riske giren
• riske karşı nötr ya da risk karşısında kayıtsız
olmak üzere, üç farklı karar verici tipi ortaya çıkmaktadır.14 (R. Swalm, Harward,1966)
1.4.2.1. Riskten Kaçan Karar Verici
Genel olarak kişisel fayda fonksiyonu;
U = f(M) l biçiminde gösterilir.
U :fayda
M arasal değer (ya da amacın ölçümlendiği diğer değerleri)
f :fonksiyonel ilişkiyi, gösteren simgelerdir
Buna göre fayda, parasal değerin bir fonksiyonudur. Fonksiyon monoton olarak artar. Karar vericinin kişisel fayda fonksiyonunun grafiği belli teknikler yardımı ile belirlendiğinde, bulunan eğri konkav biçiminde ise, bu tip karar vericiye riskten kaçan denir.
Bu tip karar verici, içinde bulunduğu olumsuz finansal koşullar nedeni ile risk karşısında tutucudur. Yani, kendisine önerilen para oyunlarından riski içermeyenini, kesin olarak kazanacağı oyunu, beklenen kazanç diğerlerine nazaran daha az olsada tercih etme eğilimindedir. Şekilde de eğrinin eğimi kazanç arttıkça küçülmekte, zarar arttıkça büyümektedir. Bunun anlamı, belli bir kazanç artışının sağladığı faydanın , eşit zarar azalmasının sağladığı faydadan az olacağıdır. Karar verici açısından, kazanılan parasal değer artışının, sübjektif olarak daha az değer yaratması, ekonomide, azalan marjinal fayda yasası adıyla bilinmektedir.15 ( G. Calvert, San Francisco,1993 )
1.4.2.2. Riske Giren Karar Verici
Karar vericinin kişisel fayda fonksiyonunun grafiği konveks bir eğri biçiminde ise, bu tip karar vericiye riske giren denir.Kazanılan parasal değer arttıkça, eğrinin eğiminin de büyüdüğü görülmektedir. Bu durum, belli bir kazanç artışı faydasının, eşiti olan zarar azalmasının faydasından daha büyük olduğunu açıklamaktadır. Yani, kazanılan parasal değer arttığında, karar vericinin artan her bir para birimine bir öncekinden daha büyük bir sübjektif değer verdiği anlamını içermektedir. Kazanılan parasal değer artışının, sübjektif olarak daha büyük bir değer yaratması, artan marjinal fayda yasası biçiminde tanımlanır.54 (M. Demir,İzmir,1985 )
1.4.2.3. Risk Karşısında Kayıtsız Olan Karar Verici
Karar vericinin kişisel fayda fonksiyonu doğrusal olduğunda, bu tip karar verici risk karşısında kayıtsızdır denir.
Kazanılan parasal değer arttığında, doğrunun eğiminin değişmediği, sabit olduğu görülmektedir. Bunun anlamı, belli bir kazanç artışının faydasının, eşiti olan zarar azalışının faydasına eşit olduğudur. Kazanılan parasal değer artışlarının eşit sübjektif değer yaratması, bir bakıma, sabit marjinal fayda yasası biçiminde tanımlanabilir. Bu durumda karar verici, en büyük beklenen parasal değer ölçütünü uygulamakla, beklenene faydayı da en büyüklemiş olur. Böylece, en büyük beklenene değer ölçütünün parasal ya da fayda birimlerine dayalı olarak uygulanışında, aynı stratejinin! seçimi söz konusu olmaktadır. Bu nedenle, karar kuramında bu tip karar vericilere, EMV'ciler, yani beklenen parasal değer özellikli olanlar adı verilmiştir. 16 (E. Trueman,New York,1972 )
Karar vericinin yukarıda açıklanan bu üç tipten hangisine ilişkin olduğunu gösteren kişisel fayda fonksiyonlarından hiç birinin uygulamada tek başına gerçeği yansıtmadığı ileri sürülmüştür. 1948 yılında Friedman ve Savage, fonksiyonun yalnızca konkav ya da konveks olarak belirlenmesinin yerinde olmadığı düşüncesiyle, her ikisinin de birlikte içerildiği bir fayda fonksiyonu önermişlerdir.17 ( Y. Chou,New York ,1972 )
karar verici, önce risk karşısında tutucu; sonra hırs düzeyi noktasına değin kazancını arttırmak amacı ile riske giren; bu noktadan başlayak, yine riskten kaçan olmaktadır. Karar vericinin, kazancının belli bir noktaya ulaşmasıyla onun ölçülü davranış tipini benimsediği CO noktasına, hırs düzeyi adı verilmektedir. Karar vericinin kişisel fayda fonksiyonunu belirlemede;
• doğrudan ölçümleme
• standart para oyunu
• belirlilik eşdeğeri
• Ramsey tekniği gibi değişik tekniklerden yararlanılır.18 (H. Moskowitz, New Jersey,1979 )
1.5. Ağ Teknolojilerinde Risk ve Risk Analizi
Günümüzde, ağ teknolojileri hayatın her noktasına girmiş durumdadır. Hemen hemen tüm ticari, resmi ve akademik kuruluşlar, ağ teknolojilerini kullanmakta ve İnternet olarak adlandırılan en büyük geniş alan ağına bağlı bulunmaktadırlar. Neredeyse her gün, insanların yaşamını kolaylaştıran yeni ürünler çıkmakta, her iş kolu için yeni çözümler üretilmektedir.
Üretilen bu çözümlerin arasında güvenlik ürünleri de önemli bir yer tutmaktadır. Çünkü, sadece birbirine bağlı iki bilgisayar için bile birçok güvenlik açığı bulunmaktadır. En büyük ağ olan İnternet ise çok güvensiz bir ortamdır. Kodlanan bir virüs İnternet yoluyla çok kısa bir sürede tüm dünyaya yayılmakta ve milyonlarca dolar zarar verebilmektedir.
Amerika Birleşik Devletleri’nin en önemli güvenlik konferanslarını düzenleyen SANS enstitüsünün web sayfasının ağustos ayında kullanılamaz duruma getirilmesi sistemlerde yeterli güvenliği sağlamanın ve devam ettirmenin çok kolay bir iş olmadığını ortaya koymaktadır.
Çünkü kullanılan ağ protokolleri, işletim sistemleri ve yazılımlarda kodlama ve konfigürasyon hataları bulunmaktadır ve daima da olacaktır. Bu hatalar hackerlar tarafından ortaya çıkarılacak, kar ve ün elde etmek isteyen ya da sadece zevk amacıyla yapan bir çok *****er tarafından da kullanılacaktır. Tamamıyla güvenilir kodlamalar ve konfigürasyon yapılsa ve sonucunda sistemlerin gerçekten de teknik olarak açıklıkları olmasa bile, kasıtlı yapılan saldırılar, doğal afetler ve yangınlar her zaman olacaktır. Böyle bir senaryoda, mutlak (yüzde yüz) güvenliği sağlamanın imkansız olduğu söylenebilir.
Mutlak güvenlik olmadığından dolayı, her zaman için bir bilgi sisteminde mevcut bir risk vardır. Amaç, varolan bu riski önlemek olmamalıdır. Çünkü, riski önlemek çok pahalıdır hatta imkansızdır. Bir bilgi sistemi için, sırf riski sıfırlamak için o kıymetin değerinden fazla güvenlik önlemi almak akılcı bir yaklaşım olmayacaktır. Bu nedenle riski önlemek yerine risk ile birlikte yaşamayı öğrenmek daha uygun bir yoldur. Bunun için, bilgi sistemini korumak adına çıkan güvenlik önlemini kullanmanın getirdiği masraf ile o güvenlik önleminin kullanılmadığı zaman olacak saldırılar sonucunda oluşacak masrafları karşılaştıracak bir araç olması gerekmektedir. Risk analizi ve yönetimi bu işi yapan araçlardır.
Mutlak güvenliğin imkansızlığı ve riskin daima varoluşu güvenliğe bir ürün gözüyle bakmamızı engeller. Artık günümüzde, bilgi teknolojileri güvenliği, gerçek zamanlı risk analizi ve yönetimi prosesi olmuştur. Kısacası, güvenlik artık bir teknoloji konsepti olmaktan çıkmış bir iş (business) konsepti haline gelmiştir. Risk analizi ve yönetimi ise, bu işin çekirdek kısmıdır ve bilgi teknolojileri güvenliği ürünlerinin seçilmesi ve geliştirilmesinde ana karar verme mekanizmasıdır.
1.5.1. Ağ Teknolojisinde Risk ve Risk Analizi Tanımları
Risk analizi ve yönetimi çerçevesinde sıkça kullanılan konseptlerin ve daha sonra risk analizi ve yönetimi kavramlarının tanımları yapılacaktır.
1.5.1.1. Kıymet (Asset)
Kıymetin, risk analizi konseptindeki tanımı, korunması gereken herşeydir. Kıymetler, bilgi sistemlerinde değere sahip olan elemanlardır. Kıymetler beş ana başlık altında toplanabilir. Bunlar, donanım, yazılım, veri, politikalar-prosedürler ve insandır.
Bilgi teknolojilerinde, tüm kıymetlerin bir sahibi vardır. Kurumun kendisi, kurumdaki departmanlar ya da insanlar bir kıymetin sahibi olabilirler. Bir kıymete gelebilecek herhangi bir zarar, aynı zamanda o kıymetin sahibini de etkiler.
Risk analizinde, kıymetler, somut (tangible) ya da soyut (intangible) olabilir. Donanım ve insan somut, yazılım, veri ve politikalar ise soyut kıymetlerdir.
1.5.1.2. Açıklık (Vulnerability)
Bir kıymeti tehditlere karşı korumasız hale getiren kusurlardır. Bir bilgi sistemi kıymeti için açıklık, kıymetin programlamasındaki hatalar olabileceği gibi, doğal etkenlere (toz, nem, güneş ışığı, yangın, vb) karşı korumasız durumda olması da olabilir.
Tehditler, açıklıları kullanarak kıymete zarar verirler. Bu nedenle, açıklıklar, riskin en önemli nedenidir.
1.5.1.3. Tehdit (Threat)
Bir kıymetteki açıklıkları kullanarak (exploit) kıymete kısmen ya da tamamen zarar veren etkenlere tehdit denilmektedir. Bilgi sistemlerine zarar verebilecek üç tip tehdit vardır. Bunlar, doğal tehditler, kasıtsız tehditler ve kasıtlı tehditlerdir. Doğal tehditler, genel olarak insan faktöründen kaynaklanmayan, sel, yıldırım, yangınlar gibi tabiat olaylarıdır. Kasıtsız tehditler, insan faktöründen kaynaklanan ancak bilerek yapılmayan tehditlerdir. Bir kurum ağındaki zararlı kullanıcı aktiviteleri kasıtsız bir tehdit sayılabilir. Kasıtlı tehditler ise, kasıtsız tehditler gibi insan faktöründen kaynaklanır, ancak belli bir amaca yönelik olarak bilerek yapılırlar. *****erlar kasıtlı bir tehdit örneğidir.
Bilgi teknolojilerinde, güvenliği mekanizmalarının koruması gereken üç ana servis, süreklilik (availability), bütünlük (integrity) ve gizlilik (confidentiality)’dir. Tehdit, bu üç elementten en az birine zarar veren ya da verme ihtimali bulunan etken(ler)dir. Tehditin sonucunda, para, üretim, güven, verimlilik kayıpları olur.
1.5.1.4.Karşı Önlem (Safeguard, Security Measure)
Bir kıymette bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlere karşı önlem denir. Karşı önlemler arasında, güvenlik yamaları, güvenilir ürünler (trusted products), güvenlik politikaları, konfigürasyon düzenlemeleri, tasarım, güvenlik yazılımları, donanımlar, eğitimler, kişilere sorumluluk yükleme, gözetleme ve monitorleme sayılabilir. Bütün bunlar riski azaltan faktörlerdir.
Karşı önlem sadece açıklığın kapatılmasını (ör. sistem yamaları) önermez. Açıklığın kapatılması yanında, kıymetin değerinin düşürülmesi (ör. şifreleme) ya da tehditin azaltılması (ör. insanların eğitilmesi) da karşı önlemlerdir. Sonuç olarak, bu üç tip karşı önlemin amacı riski düşürmektir.
1.5.1.5. Risk
Risk, sözlüklerde, “zarara yol açan ya da zarar verme kapasitesi olan kişi ya da nesne” olarak tanımlanmaktadır.
Riskin önceki başlıklar altında değinilen kıymet, açıklık ve tehdit kavramları bağlamındaki bir diğer tanımı “bir kıymetteki bir açıklığın bir tehdit tarafından kullanılma (exploit) ihtimalidir” şeklindedir.

Şekil 3: Kıymet, tehdit ve açıklık fonksiyonu olarak risk



Kaynak:B. Karabacak,2000
Risk, kıymet, tehdit ve açıklığın bir fonksiyonudur. Şekil 1’de bu fonksiyon soyut olarak ifade edilmiştir. Şekildeki sarı oklar, karşı önlem başlığı altındaki 3 tip karşı önlemi temsil etmektedir. Karşı önlemleri almadan önce, riskin büyük olduğu görülmektedir. (Siyah kübün hacmi) Karşı önlemleri aldıktan sonra ise risk azalmıştır. (Turuncu kübün hacmi)
Karşı önlemler almadan önce sistemde mevcut olan riske taban (baseline) riski denmektedir. Karşı önlemler alındıktan sonra sistemde mevcut olan riske ise geri kalan (residual, projected) risk denmektedir. Buna göre siyah küp taban riski, turuncu küp ise kalan riski ifade etmektedir.
İstenen (taşınabilir) risk seviyesi (required risk) ise, kurumun kabul ettiği ve taşıyabileceği risk miktarıdır. Karşı önlemler alındıktan sonra, geri kalan riskin, gerekli riskten daha aşağı seviyede olması gerekir.
Geri Kalan (Residual) Risk Seviyesi £ İstenen (Required) Risk Seviyesi
Herhangi bir karşı önlem alınmamışken, eğer bulunan taban risk, istenen riskin aşağısında çıkarsa, karşı önlem alınmaya gerek olmayacaktır.
Riskin önüne geçebilecek büyüklükte bir bütçe bulunmamaktadır. Bu nedenle, giriş başlığı altında da söylendiği gibi, bilgi sistemlerinde risk daima olacaktır. Çünkü risk iş yapmanın maliyetidir. Risk analizi ve yönetiminin ana çıkış noktası budur.
1.5.1.6. Risk Analizi ( Risk Analysis )
Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir.
Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde varolabilecek tüm kıymetlerin, bu kıymetlerdeki açıklıkların ve bu kıymetleri etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir.
Daha sonraki aşamada, ortaya konulmuş olan kıymet, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş kıymet, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, matematiksel ve mantıksal metodlar kullanılarak risk değeri bulunur. Son olarak risk-kıymet eşleştirmesi yapılır.
Risk analizi karşı önlemlerin nasıl ve ne şekilde alınacağı üstünde durmaz. Bu işi, risk risk yönetimi prosesi yapmaktadır.
1.5.1.7. Risk Yönetimi ( Risk Management )
Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Karşı önlem maliyetleri ve risk analizi sonucunda çıkan kıymet-risk eşleşmesi risk yönetimi prosesi için en önemli girdilerdir.
Şekil 1’de sarı oklarla gösterilen uygun karşı önlemlerin alınması işini risk yönetimi yapar. Yerinde bir risk yönetimi ile az bir maliyet ile risk kübünün hacmi büyük bir ölçüde düşürülebilir. Risk yönetimi, genel olarak karşı önlemlerin alınması ile oluşacak maliyeti, geri kalan (residual) riskden dolayı oluşacak bir zararın yol açacağı maddi kayıpla karşılaştırır ve daha düşük ise karşı önlemleri alır.
Risk yönetimi prosesinin dayandığı asıl nokta kurumun güvenlik ihtiyaçlarıdır. (security requirements) Kurumun güvenlik ihtiyaçlarına göre, taşınabilir risk oranı belirlenebilir ve bunun sonucunda uygun karşı önlemlerin seçilmesi işlemi yapılabilir. Güvenlik ihtiyacı, bir kıymeti etkileyen bir tehdit için kurumun ne kadar güvenlik önlemi istediğidir. Askeri bir kurum, belli bir kıymet için tehditin çok aza indirgenmesi isteyebilecekken, normal bir şirket ise aynı kıymeti etkileyen aynı tehdit için hiç bir güvenlik önlemi almak istemeyebilir.
Şekil 4: Risk analizi ve yönetimi prosesi

Türkiyenin En Büyük Eğitim Sitesi - www.edubilim.com
Logged
2009-2010 İlköğretim Yıllık Planları(Tüm Dersler)

1. Sınıf  - 2. Sınıf - 3.Sınıf - 4.Sınıf - 5.Sınıf - 6.Sınıf - 7.Sınıf - 8.Sınıf
admin
Administrator
Uzman Üye
*****
Üye No: 1
Mesaj Sayısı: 5627
Puan: +19/-0

Offline
« Yanıtla #1 : Ekim 27, 2007, 06:05:07 ÖS »
Risk Analizi Risk Yönetimi



Kaynak:B. Karabacak,2000
Risk analizi, yorumlaması ve yönetimi bir defa yapılmaz. Risk analizi ve yönetimi birer sonuç değildir, şekil 4’de de görüldüğü gibi risk analizi ve risk yönetimi sürekli birbirini takip eden iki ana prosesdir. Maliyet etkin bir risk yönetiminin temellerini risk analizi prosesi oluşturur. Risk analizi ve yönetimi bir kurumda, yönetimin de kararıyla belli aralıklarla yapılmalıdır. Çünkü kıymetler, açıklıklar, tehditler daima değişecektir. Bütün bunlar değişmese bile daha maliyet etkin çözümler ortaya çıkabilecektir.
Risk analizi sonuçlarına göre, risk yönetimi dört farklı işten birini yapabilir.
1. Risk yüksektir, karşı önlemler yoktur ya da çok pahalıdır. Kıymet kullanılmaz. (Eliminate Asset)
2. Uygun karşı önlemler alınarak risk düşürülebilir. (Reduce Risk)
3. Karşı önlemlerin alınmasının maliyeti, riskin açacağı zarardan çok daha fazla olduğu için risk önemsenmeyebilir. (İgnore/Accept Risk)
4. Kıymetler sigortalanarak risk transfer edilebilir. (Transfer Risk)
Bu dört iş haricinde, risk analizi ve yönetimi sonucunda, karşı önlemlerin azaltılması ya da kaldırılması da yapılabilir. Hali hazırdaki karşı önlemin çok pahalı olması, tehditin varolmaması gibi faktörlerden böyle bir sonuca gidilebilir.
Risk analizi ve yönetimi tanımları kapsamında son olarak, bu iki prosesin yerini tam olarak çizmek gerekirse, şekil 4’de görüldüğü gibi risk analizi riskleri çıkartır ve yorumlar. Bunun için, kıymetleri, kıymetlerdeki açıklıkları, tehditleri çıkarır. Risk yönetimi ise, risk analizi sonucunda çıkarılan risklere göre karşı önlemleri alır.

Şekil 4: Risk analizi ve yönetiminin yeri



Kaynak:B. Karabacak,2000




1.5.2. Ağ Teknolojileri Bakımından Risk Analizi Yorumu
Şimdiye dek yapılan tanımların ardından, risk analizi yöntemleri ve metodolojileri, risk analizi ve yönetimi prosesinin yararları ve bu prosesin problemleri üzerinde bir takım yorumlar yapılacaktır.
1.5.2.1. Risk Analizi Yöntemleri ve Metodolojileri
İki temel risk analizi yöntemi mevcuttur. Bunlar, nicel (quantitative) ve nitel (qualitative) yöntemlerdir.
Nicel risk analizi, riski hesaplarken sayısal yöntemlere başvurur. Nicel risk analizinde, kıymet, açıklık, tehditin olma ihtimali, tehditin etkisi gibi değerlere sayısal değerler verilir ve bu değerler matematiksel ve mantıksal metotlar ile proses edilip risk değeri bulunur. Dördüncü bölümde örnek bir nicel risk analizi yapılmıştır. Bu örnekte, kıymetin değeri, tehditin olma ihtimali ve tehditin etkisi değerlerine basit sembolik sayılar verilmiştir. Bunun yerine senelik dolar kaybı gibi gerçek hayata yakın değerler de verilebilir.
Risk = Tehditin Olma İhtimali (likelihood) * Tehditin Etkisi (impact) formülü nicel risk analizinin temel formülüdür.
Bu formüle göre, bir kıymete zarar verme ihtimali olan tehditin olma olasılığı ile bu zararın kıymete etkisininin çarpımı riski ifade eder. Çarpım sonucu ne kadar fazla çıkarsa, risk o kadar yüksektir. Bir tehditin olma olasılığı çok az ancak, ortaya çıktığı zaman vereceği zarar çok fazla ise, orta derecede bir risk söz konusudur denebilir. Nicel risk analizi yöntemleri ayrıntılı olarak dördüncü bölümde incelenecektir.
Diğer temel risk analizi yöntemi ise nitel risk analizidir. Nitel risk analizi riski hesaplarken ve ifade ederken numerik değerler yerine yüksek, çok yüksek gibi tanımlayıcı değerler kullanır. Ayrıca, nitel risk analizi tehditin olma ihtimalini kullanmaz, riskin sadece etki değerini dikkate alır.
Nitel bir risk analizi metodu olan CRAMM, risk, kıymet değerinin, tehditin etkisinin ve açıklık seviyesinin bir fonksiyonudur.
Risk = Áunction (Kıymetin değeri (asset value), Tehditin Etkisi (impact), Açıklığın seviyesi (level of vulnerability) )
Bu noktada risk analizi metodolojileri konsepti karşımıza çıkar. Risk analizi metodolojisi (metodu), risk analizi sürecinin matematiksel işlemler ve yorumların yapıldığı çekirdek kısmıdır. Yukarıda bahsedildiği gibi, risk analizinin nicel ve nitel olmak üzere iki temel yöntemi vardır. Bu iki temel yöntemin birisine bağlı kalarak ya da hiçrir bir yöntem kullanarak, kıymetler, tehditler, açıklıklar ve karşı önlemler arasındaki ilişkiler değişik metodlar ve formulasyon ile analiz edilip, yine değişik matematiksel metotlar ile risk faktörü bulunabilir. Ekte, değişik risk analizi metodlarından bahsedilmiştir. Bu metodları birbirinden ayıran en önemli farklar, risk değerini bulmak için kullandıkları kendilerine has metodlardır.
1.5.2.2.Risk Analizinin ve Yönetiminin Yararları
Risk analizi ve yönetiminin hedefi, kurum içerisinde olabilecek tehlikelere uygun cevap verebilecek, kasıtlı ya da kasıtsız tehditlerin etkisini ve olma ihtimalini azaltacak hazırlıkları, prosedürleri ve kontrolleri teşhis etmektir.
Risk analizi ve yönetimi prosesinin bir çok yararları vardır. Bu yararların başta gelenleri şu şekilde sıralanabilir.
1. Kurumun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar.
2. Kurum çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar.
3. Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar.
4. Risk analizi prosesinin ilk kısmında yapılan kıymet analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.
Risk analizi ve yönetiminin yapılmadığı bir bilgi sisteminde aşağıdaki gibi durumlar olabilir.
1. Bu bilgi sisteminde hiç güvenlik olmayabilir ya da çok az güvenlik olabilir
2. Kullanılabilirliliği oldukça azaltan çok fazla güvenlik olabilir
3. Yanlış güvenlik önlemleri alınmış olabilir
4. İnsanlarda yanlış güvenlik bilinci olabilir.
Bütün bunları maddi olarak ve zaman olarak kayıplara yol açan durumlardır.
1.5.2.3.Risk Analizinin ve Yönetiminin Problemleri
Risk analizi ve yönetimi ile birlikte gelen bir takım problemler ve ideal olmayan durumlar vardır. Bunlar,
1. Risk analizinin kendisinin maliyetinin yüksek olmasıdır. Risk analizini kurumun kendisi bile yapsa zaman ve para kaybına yol açabilmektedir.
2. Risk analizi sonuçlanana kadar geçen süre diğer bir problemdir. Güvenlik önlemlerinin biran evvel uygulanması gerekirken, risk analizi sonucu beklenmek zorundadır. Bunun zararlı etkileri olabilmektedir. Bu nedenle bir çok yerde, risk analizi yapılmadan güvenlik önlemleri alınmaktadır.
3. Risk analizi sonuçlarının nesnel olması beklenirken daha çok öznel olabilmektedir. Özellikle nitel risk analizinde bu problem daha çok görülebilir. Çünkü, nitel risk analizinde risk, sayısal değerlerden çok tanımlar ile ifade edilmektedir.
4. Risk analizi ve yönetimi prosesi, önceden belirlenmiş kesin adımları olan prosesler değildir. Nıtel ve nicel risk analizi yöntemlerinin çatısı altında, bir çok risk analizi metodolojisi mevcuttur. Bu methodlar, riski yorumlama aşamasında birbirinden ayrılırlar.
5. Tüm kurumlara uyan bir risk analizi metodolojisi mevcut değildir. Çünkü, her organizasyonun kendine özel bir kıymet listesi, bu kıymetlere göre farklı farklı tehditleri vardır. Bütün bunları dışında, kurumdan kuruma güvenlik anlayışı ve güvenlik gereksinimleri de değişim göstermektedir. Risk analizi ve yönetimi yapılacak olan bir kurumda, öncelikle ne tip bir risk analizi ve yönetimi metodunun uygulanması gerektiği belirlenmelidir.
6. Günümüzde, kıymetlerin, buna bağlı olarak açıklıkların ve tehditlerin artması ile beraber, risk analizi ve yönetiminin sahasına giren, kıymet tanımla, açıklık belirleme, tehdit tanımla ve karşı önlem belirleme safhaları çok geniş nesneleri kapsadığından dolayı, bir çok risk analizi ve yönetimi metodu her nesneyi örtemeyebilmekte ve bazı nesneler göz ardı edilebilmektedirler.
1.5.3. Dökümanlarda Geçen Risk Kavramı
Taban (baseline) risk: Herhangi bir risk analizi ve yönetimi yapılmadan bir kurumda mevcut olan risktir.
Geri kalan (residual) risk: Bir risk analizi ve yönetimi sonucunda önerilen karşı önlemlerin alınması sonucunda kurumda kalan riske geri kalan risk denir.
İstenen(taşınabilir, required) risk: Bir kurumun güvenlik ihtiyaçları kapsamında belirlediği ve bünyesinde taşıyabileceği risk miktarıdır.
1.5.4.Bazı Risk Analizi Araçları
Hem nicel hem nitel yöntemleri kullanır. CEC/INFOSEC Programı (CEC, 1993b) çerçevesinde geliştirilen veritabanında, 70’ten fazla risk analizi metodu bulunmaktadır. Bunlardan bazıları şu şekildedir.
1. CRAMM: United Kingdom Central Computer and Telecommunication Agency’s (geliştirilmiştir. Nıtel (qualitative) yöntemlere dayanmaktadır. İngiltere hükümetinin desteklediği resmi risk analizi ve yönetimidir. CRAMM metodu bir yazılım desteklenmektedir. Karşı önlem seçme bölümü tamamıyla yazılım tarafından yapılmaktadır. Büyük bir açıklık ve karşı önlem kütüphanesi mevcuttur.
2. @RISK: Palidase şirketi tarafından geliştirilmiş nicel bir risk analizi aracıdır. Monte Carlo simulasyonu metodunu kullanmaktadır.
3. ALRAM: Automated Livermore Risk Analysis Methodology. Lawrence Livermore ulusal laboratuvarı tarafından, Amerikan Hükümeti için geliştirilmiştir. Nicel yöntemleri kullanmaktadır.
4. ARES: Automated Risk Evaluation System. ARES, Air Force kriptoloji destek merkezi tarafından geliştirilmiştir. Nicel (quantitative) bir risk analizi aracıdır.
5. BDSS: Bayesian Decision Support System. OPA şirketi tarafından geliştirilmiştir. Hem nitel hem de nicel yöntemleri kullanan bir araçtır.
6. BUDDY SYSTEM: Nicel yöntemleri kullanır. Countermeasures şirketi tarafından geliştirilmiştir.
7. Marion: İngiliz Coopers & Lybrand şirketi tarafından geliştirilmiştir.
8. Cobra: Nitel yöntemleri kullanan bir risk analizi metotudur. Modüler bir yapıya sahiptir. ISO 17799 modülü yardımıyla bir sistemin bu standarta uygunluğunu ölçebilmektedirCCTA) Risk Analysis and Management Method. CRAMM, 1987 senesinde.19 (B.Karabacak, 2000 )

Türkiyenin En Büyük Eğitim Sitesi - www.edubilim.com
Logged
2009-2010 İlköğretim Yıllık Planları(Tüm Dersler)

1. Sınıf  - 2. Sınıf - 3.Sınıf - 4.Sınıf - 5.Sınıf - 6.Sınıf - 7.Sınıf - 8.Sınıf
admin
Administrator
Uzman Üye
*****
Üye No: 1
Mesaj Sayısı: 5627
Puan: +19/-0

Offline
« Yanıtla #2 : Ekim 27, 2007, 06:05:45 ÖS »
II.BÖLÜM :
ENTEGRE RİSK YÖNETİMİ
2.1.Entegre Risk Yönetiminin Yapısı
Günümüzün risk yönetimi yaklaşımları kurum faaliyetlerine birçok farklı açıdan bakmakta, piyasa pozisyonlarına yasal gerekliliklere, kredi portföyüne ve operasyonlara ilişkin tüm riskleri göz önüne almaktadır. Ancak esas zor olan bu risklerin tümünü ölçmek ve bunların gerçekleşme olasılıklarını, muhtemel sonuçlarını ve birbirleriyle olan ilişkilerini değerlendirebilmektir.
Kurum Çapında Entegre Risk yönetimi yaklaşımına ihtiyaç duyulmasına yol açan nedenler şu şekilde sıralanabilir:
• Organizasyonların giderek daha büyük ve karmaşık bir yapıya sahip olmaları ve bu nedenle farklı risklerle karşı karşıya kalmaları,
• Organizasyonların uluslararası platformlarda faaliyet göstermeleri,
• Geleneksel kontrol ve gözetim yöntemlerinin sürekli olarak değişen risk profillerini yönetmekte yetersiz kalması,
• Yatırımcıların, derecelendirme kuruluşlarının, düzenleyici kurumların ve sermaye piyasalarının risklerin nasıl yönetildiği konusuna yoğunlaşan ilgileri,
• Riskler üzerindeki kontrollerin aksaması sonucu kabul edilebilir sınırın ötesindeki olaylar,
• Müşterilerin, satıcıların ve medyanın artan ilgisi ve beklentileri,
Ayrıca belirli bazı risklerin etkin olarak yönetilmemesi, piyasa riski , çevre riski ve itibar riski gibi diğer bazı riskler ister istemez maruz kalmasına yol açabilmektedir.
Kurum Çapında Entegre Risk yönetiminin tasarımı, tüm risk yönetimi fonksiyonlarının başarısı için son derece önem taşımaktadır. Başarılı risk yönetimi sistemlerinde, Yönetim Kurulu, stratejik planlama ve hedeflerin ve üstlenilebilecek risk düzeyinin belirlenmesinden sorumlu tutulmaktadır.Daha sonra üstlenilmek istenilen risk tüm organizasyona duyurulmakta ve organizasyonun alt kademeleri tarafından anlaşılması sağlanmaktadır. Ancak riskleri bilmek yetmemektedir; somut sonuçlar ortaya koyabilmek için risklerin kurumun hedefleri ve stratejileri ile ilişkilendirilmesi gerekmektedir. Diğer bir deyişle kurum çapında risklerin belirlenmesi ve değerlendirilmesi, kontrol aktivitelerinin oluşturulması, gözetim ve raporlamanın düzenli olarak gerçekleştirilmesi gerekmektedir.
Bu yaklaşımın başarıya ulaşabilmesi için:
• Yönetim kurulunun ve üst yönetimin desteği ve aktif rol oynaması sağlanmalıdır,
• Riskleri yönetmek için sorumlu bir birim oluşturulmalı ve bu birimin sorumlu yöneticisi belirlenmelidir,
• Tüm risk çeşitleri ele alınmalıdır,
• Tüm risk faktörleri değerlendirilmelidir,
• Değerlendirmeye organizasyonun alt seviyelerinden başlanmalıdır,
• Risklerin hedefleri nasıl etkilediği üzerine yoğunlaşılmalıdır,
• Veri toplanmalı ve modeller oluşturulmalıdır,
• Risk değerlendirmeleri raporlanmalıdır,
• Risk değerlendirmelerinde ortaya çıkan bilgiler uygulanmalıdır.
Kurumlar artık faaliyetlerini çevreleyen risklerin bağımsız birimler itibariyle yönetilemeyeceğinin farkına varmışlardır. Geçmişte risk yönetimi, iş birimlerinin kendi stratejilerini ve karlılığını yönetmesi ,kredi birimlerinin kredi riskini yönetmesi, fon yönetimi biriminin piyasa riskini yönetmesi ve diğer birimlerin de yasal riskler gibi diğer riskleri ayrı ayrı yönetmesi yoluyla yapılmaktaydı. Ancak bu risklerin hiçbiri diğerlerinden tümüyle bağımsız olmadığı için bu yöntemin başarılı olmadığı kanıtlanmıştır.
Kurum Çapında Entegre Risk yönetimi yaklaşımı ile yönetilmesi gereken kredi riski, piyasa riski ve operasyonel risk farklı özel yaklaşımlar gerektirmekle birlikte, birbirleriyle entegre bir şekilde ele alınmalıdırlar. Aşağıda her üç risk unsuru için gerekli yaklaşım ana hatlarıyla ele alınmıştır.
Kredi riski yönetimi kapsamında kredi teklif ve onayı, kredinin yönetilmesi, değerlendirilmesi ve belirlenmesi ve tasarlanması gerekmektedir.
Kredi riski değerlendirilmesi çerçevesinde kredi derecelendirme sistemi ve buna bağlı kredi karşılıkları hesaplama metodolojileri geliştirilmelidir. Tüm bu süreçleri kapsayacak kredi politika ve prosedürleri belirlenmeli ve ilgili tüm kredi birimlerine duyurulmalıdır.
Kredi riski yönetim sürecinin bir diğer önemli bileşeni ise kredi yönetim bilgi sistemidir. Kredi yönetim bilgi sistemi ile kredi portföyünü önemli konsantrasyon grupları itibariyle analiz tahsilatına ilişkin süreçlerin edebilmek mümkün olmalıdır; örneğin, sektör bazında, coğrafi bölgeler bazında, müşteri grupları bazında, kredi geri ödemesi dönemleri bazında, risk dereceleri bazında gibi. Bilgi sisteminin, bir krediye ilişkin, sektör, coğrafi bölge, müşterinin bağlı olduğu grup, kredi derecesi, teminatları, vade, faiz oranı, anapara ödemeleri gibi, tüm verileri saklayabilecek, geriye dönük olarak analiz edilmesine ve verilerin kredi müşterisi yada portföy bazında incelenmesine imkan verebilecek özelliklere sahip olması şarttır.
Kredi yönetim bilgi sisteminden elde edilen doğru, güvenilir ve güncel raporlar risk yönetiminden sorumlu tüm birimlere ve diğer kullanıcılara zamanında iletilmelidir. Kredi riski yönetim süreçlerinin hayata geçirilmesini ve kredilere ait tarihsel verilerin toplanmasını takiben kredi riski niceliksel olarak ölçülmeli ve kredi riskine ilişkin bir Riske Maruz Değer-VaR hesaplanmalıdır..
Piyasa riski yönetimi kapsamında, kurumun veri ihtiyaçları belirlenmeli, pozisyon ve piyasa verileri toplanmalı, kurumun Riske Maruz Değeri-VaR bir risk ölçüm modeli ile ölçülmeli ve daha sonra da risk ölçüm modeli raporlama sistemlerinin oluşturulması sağlanmalıdır. Bu süreç çerçevesinde kurumun alım-satım faaliyetinden doğan piyasa riski faktörleri göz önüne alınmalıdır
Piyasa riski süreç akışının tasarlanmasını takiben, kurumun pozisyonlarına ve faaliyet gösterdiği piyasalara en uygun risk ölçüm modelleri, risk analiz araçları tasarlanmalı ve kurulmalıdır. Örneğin, gelişmiş ve normallik arz eden piyasalarda parametrik yaklaşım kullanılabilirken, Türkiye gibi dalgalanmalara açık ve ekstrem olayların sıkça yaşandığı, normal olmayan piyasalarda Monte Carlo simulasyonu ya da tarihsel simulasyon tekniklerine dayalı modeller geliştirilmesi söz konusu olmaktadır.
Risk analiz araçları ve risk ölçüm modelleri kurulması ve hayata geçirilmesiyle piyasa riski raporlama süreci de başlamalıdır. Gelişmiş risk yazılımları sayesinde kurumla ilişkisi olan tüm kullanıcılara risk ölçüm raporlaması yapılması ve piyasa riskinin buna bağlı olarak yönetilmesi söz konusu olmalıdır.
Operasyonel Risk; Salt kredi yada salt piyasa riski olmayan tüm riskleri kapsayan ve organizasyonun faaliyette bulunmasından kaynaklanan her türlü risk olarak tanımlayabileceğimiz operasyonel risk ölçüm modelleri henüz geliştirilme aşamasındadır. Ancak söz konusu risklerin niceliksel olarak ölçülmesi aşamasına gelmeden önce kurumlar, operasyonel risklerin yönetilmesine ilişkin organizasyonlarını oluşturmak, riskleri önleyecek kontrolleri hayata geçirmek, periyodik olarak değerlendirmek ve raporlamak durumundadırlar. Operasyonel risk yönetimi fonksiyonu, organizasyonun en alt kademelerinden başlayarak her düzeyde risk duyarlılığı ve risk bilinci yaratmalı; periyodik değerlendirmeler ve raporlamalarla kurumun maruz kalabileceği risk düzeyini belirlemelidir.
Süreklilik arz eden bir süreç olan operasyonel risk yönetimi kapsamında, kurum bazında iş amaçlarının anlaşılması, ilgili risklerin tanımlanması ve değerlendirilmesi, bu risklere ilişkin kontrol mekanizmanın gözden geçirilmesi ve uygun eylem planının geliştirilmesi gerekmektedir. Bütün bu faaliyetler periyodik olarak tekrarlanmalı ve günün şartlarına uygun olarak güncelleştirilmelidir.
Dünya çapında risk yönetimi konusunda başarıya ulaşmış finansal kurumları incelediğimizde bu başarının piyasa, kredi ve operasyonel risklerin kurum çapında ele alınmasına ve herbirinin yönetimi için en uygun metodoloji ve araçların kullanılmasına bağlı olduğunu görmekteyiz. Artık risklerin birbirinden bağımsız olarak algılanması ve yönetilmesi mümkün değildir. Kurumlar tüm risklerine bir bütün olarak yaklaşmak ve risklerin ortaya çıkardığı sermaye gereksinimini belirlemek durumundadırlar.
Kurumlar, söz konusu sermaye gereksinimlerinin belirlenmesi amacıyla, “Riske Göre Düzeltilmiş Sermaye Getirisi- RAROC” gibi gelişmiş risk yönetimi tekniklerinin kullanımına yönelmektedirler.Bu gelişmiş teknikler piyasa ve riskinin kapsamlı olarak değerlendirilmesi ve yönetilmesine olanak tanımaktadır. Benzer teknikler operasyonel riskin ölçülebilmesi bu amacıyla da geliştirilme aşamasındadır .20 (U. Suel, 2001)
Riskleri bireysel alanlara ayırmanın yeterli olmadığı ve kurumların karşılayabilecekleri toplam belirsizliği tespit etmek zorunda oldukları açık bir şekilde ortaya çıkmıştır.Bu durum, bireysel olarak yönetilen unsurlardan, bütünleşik risk yönetimi çözümüne doğru bir kaymaya neden olmuştur.Sorun , kurumların işe nereden başlayacaklarıdır.
Geçmişte alım-satım işlemlerinden kaynaklanan facialar, zayıf bir iç kontrol sisteminin, kurumların bilançoları üzerinde nasıl felaket sonuçlara neden olabileceğini göstermektedir.Şirketler kontrol fonksiyonlarını yeniden yapılandırıyor ve bağımsız bir risk kontrol birimi geliştiriyorlar.Risk kontrol biriminin sorumlulukları ürün destekleme fonksiyonlarından, yönetim süreçlerinin izlenmesine ve bankanın risk yönetimi çözümünün dizaynında uygulaması, riskin günlük bazda, risk analizlerinin diğer birimlerle günlük olarak iletişim kurularak paylaşılabileceği şekilde yönetilmesini gerektirir.Risk ve getirinin dengelenebilmesi için bilginin, risk yöneticileri ve birimler arasında karşılıklı olarak iletilmesi gerekmektedir.
İç denetim birimi, risk yönetiminde kullanılan önemli bir kontrol birimidir.Yüksek risk bölgesinde tanımlanan iş alanları daha sık denetime tabi tutulmaktadır.Bu bağımsız birim, iş süreçlerini kontrol eder, faaliyetleri destekler ve yönetime, ilgi alanına uygun alanları aydınlatan denetim raporları sunar.Bir iç denetim yapısının etkinliğinin yüksekliği, yönetimin muhasebe verileri ve mali tablolar hakkında güvencesinin de yükselmesi anlamında gelir.
Görevlerin açık şekilde ayrımı, iç kontrollerde sorumluluklarla ilgili çıkar çatışmalarından sakınmak için temel bir prensiptir.Yönetim, organizasyonu hilekar veya yetkilendirilmemiş davranışlardan korumak için, sınırları ve bağımsız raporlama sürecini tanımlamakla sorumludur.
Alım-satım pozisyonları yatırımda ayırmak, risk yönetimi metodolojisinin temel bir parçası alım-satım işlemleri ile yatırım varlıkları arasında bir ayrım yapmaktır.Alım-satım işlemlerinden kaynaklanan piyasa riskini yönetmede önemli bir kural, piyasa değerlerinin belirlenmesi, yani alım-satım işlemlerinin cari piyasa bilgilerine dayanarak, günlük bazda yeniden değerlemesidir.Tahakkuk esasına veya piyasa değerine dayanan muhasebe sistemini kullanıp kullanmamayı belirlemek, aldığı her bir pozisyonun özelliklerini analiz etmede bankalar için hayati önem taşımaktadır.
Yönetim kurulu ve üst yönetim desteği, başarılı olabilmek için, kurum çapında yetkilendirilmiş en üst seviyedeki yönetim basamağı başlangıç noktasını oluşturmalıdır.Üst yönetim artan bir şekilde, potansiyel finansal riski ölçmeye risk yönetimi uygulamalarını kendi organizasyonlarıyla bütünleştirme ihtiyacının farkına varmaktadır.Yönetim kurulu üyeleri 1990’larda yaşanan krizlerin tekrarını bir daha asla görmeme konusunda çok kararlılar ve bu amaçla zorunlu periyodik risk raporları ve risk yönetimi komitelerinin kurulması aracılığıyla iç kontrolleri teşvik ediyorlar.Bu girişimler sayesinde, organizasyonlarının karşılaştıkları belirsizliğin bütüncül tek bir resmini çizmeleri ve kurumların kendi risklerini buna göre yönetmeleri mümkün olacaktır.
Bütün risk biçimlerinin birleştirin, bütün riskler bir şekilde birbiriyle ilişkilidir.Örnek olarak, bir şirket tahvilinin alım-satım işlemlerindeki riski alınabilir.Bu yalnızca faiz oranını hesaba katmaktan çok daha fazlasını gerektirir.Tahvillerin yalnızca piyasa riskine değil aynı zamanda kredi riskine de bakmak zorundayız.Analiz, kredi derecelendirmelerinin, sorunlu hale dönüşme ihtimallerinin, likiditenin ve diğer faktörlerin araştırılmasını içermektedir.Bu şekilde, piyasa ve kredi riski bileşenlerinin toplamaya ve tahvil için tek bit fiyat riskine ulaşmaya çalışmaktadır.Riskin risk yönetimi modeline entegre edilmesi, finansal kurumun maruz kaldığı risklerin doğru bir göstergesini verecektir.
Çabuk kazanma yaklaşımı, bütün risk olasılıkları, muhtemel sonuçları ve birbirleriyle olan bağlantıları cinsinden ölçmek gerçekten çok büyük ve kapsamlı bir görevdir.Finansal riskin farklı türlerinin en ön sırada birleştirilmesi imkansızdır, bu nedenle risk yönetimi sorununu halletmede en mantıklı yol, önce kolayca ulaşılabilir ve ölçülebilir verilerle çalışmak ve daha sonra bütünleştirme aşamasına geçmektir.
Risk yönetiminden sorumlu bir genel müdür yardımcısı atanması, bütünleşik bir risk yönetimi modelini gerçekleştirme başarısını sağlamak için, yeni bir yaklaşım ileri sürebilecek vizyona ve kabiliyete sahip bir risk profesyoneli belirlenmelidir.Bazı finansal kurumlarda, genel müdür , risk yönetiminden sorumlu müdür yardımcısı olurken, diğer kurumlar bu role başlı başına bir müdür atarlar.Bütüncül ve birleştirilmiş risk yönetimi yaklaşımını benimsemiş kurumlar, risk araştırmaları ve kriz yönetimiyle uğraşmak için risk profesyonellerinden kurulu bir takım oluştururlar.
Prosedürleri gerçekleştirmek, prosedürler risk yönetimi sürecini sistematik hale getirirler,Prosedürler, örneğin; piyasa, kredi ve likidite riskini azaltacak herhangi bir alım-satım işlemi için ne kadar riskin çok fazla risk olarak değerlendirileceğini açık hale getirirler.Alım-satım işlemlerinin yapan uzmanların limitlerine ek olarak, her işlem masası için (FX, bono gibi) genel limitler ve alım-satım operasyonunun tümü için toplam limitler olacaktır.Risk limitleri olmadığı takdirde, ilgili uzmanlar kendi kararlarını uygulayabilmektedirler.Etkili prosedürler belirsizliği azaltır ve bireysel yetkinliği artırır.
Kurumsal risk kültürü oluşturun, risk yönetiminde çalışan girdisini ve katılımını sağlamak önemlidir.Kurumsal kültür risk yönetiminde kritik bir rol oynar çünkü bu kültür, herhangi bir bireyin alması gereken risklerin (ki eğer bu riskler organizasyonel risklerin yönetilmesine yardımcı olabilecekse) tanımını yapmaktadır.Pozitif risk kültürü bireysel sorumluluğu artıran bir kültürdür.
Verileri toplayın ve risk değerlendirme modelleri kurun, başarılı bir risk değerlendirme çabası, karar vermede rehberlik sağlayan ekonomik modellerle beslenmiş doğru bilgiye bağlıdır.
Risk değerlendirme sonuçlarını bildirin, eğer bizden haberdar olma ve sorumluluk kültürü inşa etmemiz bekleniyorsa, sonuçlar basitlilik gerektirir.Bazı organizasyonlar risk/ödül oranlarını kullanır ve kurum dışı çevreyle kıyaslamalar (benchmarks) oluşturur.
Risk yönetimi ve gelişmiş teknoloji üzerindeki artan vurgu, risk yönetimi çözümlerinin gelişmesine yol açmıştır.Bu çözümler, uygun tedarikçi bulunduğu takdirde, ölçeklenebilir, gerçek zamanlı bir platform tabanında farklı varlık türlerinden işlemler ile piyasa ve kredi riskinin yönetimini kurumlara kolaylıkla entegre edebilirler.
Kurum çapında risk yönetimi, ana sermayeyi riske maruz kalmaktan korumaya ve risk optimasyonuna olan ihtiyacın giderek farkına varan finansal kurumlar için kritik bir konu olmuştur.Düzenleyicilerin düzenlemelerle uyum için artan baskısı, geçmişteki finansal felaketler ve teknolojik gelişmelerin hepsi aynı yönü işaret ediyor- entegre risk yönetimi.21 (S. Clarke,1999 )
2.2 Risk Yönetim Metodu
Risk yönetimi, çeşitli beklenmeyen kayıpların olma ihtimaline karşı bir yönetim işlemidir.Risk yönetimini 4 bölümde inceleyebiliriz:
1.”Risk tanımı” firma veya kuruluşun karşı karşıya olabileceği risklerin belirlenmesidir.Bu riskler, tehlikeler bazen hemen teşhis edilebilir cinsten olabildiği gibi bir kısmı da görülemez veya tanınamaz yapıdadırlar.Risk analizinin bir amacı, firma içindeki risklerin varlığına ve bunların oluşması halinde operasyonun tümü üzerinde bırakacağı etkinin değerlendirilmesine dikkati çekmektedir.Risk analizi, firma yönetiminin hasar ve kayıplardan korunmak için ve kaybı sınırlayıcı ölçüler olması için gerekli kararı olmasına bir esas teşkil eder.Aynı zamanda doğru yerinde bir tehdit unsurları da tespit edilebilir.Riskler için genel bir fikre sahip olmada en uygun yol, sistematik iş metotları kurmaktır.
2.İkinci etap, riskin değerlendirilmesidir.Burada tehdit edici unsurların ne derecede ciddi olduğu hem şiddeti hem de boyutları açısından ayrıca olma ihtimali veya sıklık derecesi açısından tespit edilir.
3.Tehdit unsurlarına karşı ekonomik yönetim planı hazırlamaktır.Bu plan içinde tehlikeli olacak bazı faaliyetlerin saf dışı bırakılması, koruyucu tedbirlerin alınması, özel eğitim ve uygulama, özel idari yöntemler,kurallar ve risk yönetimi geliştirme çaba ve teknikleri yer alır.Başka bir deyişle: zarardan kaçınmak-zarardan korunmak ve zararın asgariye indirgenmesi faaliyetleri aynı zamanda riskin kontrolüdür.Örneğin; yangında alarm sistemi erken teşhis dolayısıyla riskin yeni kaybı minimun seviyeye indirger.Bu da kayıpların, ön tehlikelerin ortadan kaldırılması ve tanımlanmasını içerir.
4.Birinci aşamada tarif edilen tehlikelerin olması halinde bunların karşılayabilecek uygun finansman sağlanmasıdır.Örnek olarak sigorta gibi pek çok finansman teknikleri mevcuttur.
2.3.Risk Yönetim Teknikleri
a)-Risk tanımlanır, ölçülür, değerlendirilir ve kontrol edilir.
b)-Büyük kayıpların olma ihtimalini azaltan tedbirleri ekonomik kontrol mekanizması ile sağlar.Kayıpların maliyetini azaltan önlem ve tedbirleri ekonomik kontrol mekanizması ile sağlar.
c)-Riskin olumsuz ve büyük sonuçlarına karşı etkin bir savunma için Risk Yönetimine sorumluluklar tesis edilir.
2.3.1.Risk Tanımı (Teşhisi)
Bir firma veya kuruluşa risk yönetimini takdim etmek için aşağıdakiler noktalar teker teker uygulanmalıdır.
-Riskin portresi ana hatlarıyla çıkarılmalıdır.
-Risk politikası tespit edilmelidir.
-Mevcut “Risk Yönetimi” değerlendirilmelidir.
-Detaylı planlar hazırlanmalıdır.
-Üst seviye yöneticileri eğitilmeli, bilgilendirilmelidir.
-Risk yönetimi şartları, imkanları geliştirilmelidir.
-Risk yönetimi çalışmaları. Performansı temsil edilmeli.
2.3.2.Risk Portresi
Risk profili, firmanın karşı karşıya olduğu ana risklerin analizini ortaya koymak ve ürün, imalat metotları, yerleşim yeri, satış metotları veya yönetimi ve işgücü açısından özel konumları ile firmanın alışa gelmiş risklerinin dışındaki risklerini önlemek için gereklidir.Ancak riskin bu portresi tespit edildikten sonra, riskin kontrolü ve finansı açısından risk objektifleri yapılabilir.bütün bu objektiflere ulaşabilmek için detaylı planlar hazırlamadan önce, uygulanmakta olan mevcut risk yönetim tarzı kontrol edilmelidir.Risk profili, portresi, belirli bir zaman dilimi içinde belirli bir firma veya kuruluşun özel risk durumunu ve karakteristik noktalarını belirlemektir.
Bu işlem belirli bir endüstri kolunun risklerini incelemekle başlar ve daha sonra belirli bir firmanın risk durumunun belirli ve özel analizlerinin yapılmasını sağlar.Bu tür risk profili için gerekli bilgi kaynakları, endüstri dalındaki dökümanları ve firma yöneticileri ile yapılan görüşmeleri kapsar.Tüm bu metotlarla firmanın geleceğe ait kazanç ve karını tehdit eden riskler tanımlanır.
Risk kaynaklarının nerelerde olduğu listelenmelidir.Riske maruz kalan varlıklar ana hatlarıyla ortaya çıkarılmalıdır.
Risk boyutlarının değerlendirilmesi yapılmalıdır.Tüm bu çalışmalar ihtimal ve sıklık derecesi üzerinden ve riske konu değerler üzerinden yapılacaktır.
Belirli risk karakterlerini tespit etmek için, firmanın kendi dökümanları ve firma anahtar üst düzey yöneticileri ile yapılacak görüşmelerin yanında; şantiye, atölye ve işyerlerinde ziyaret ve araştırmalar da yer almalıdır.Bu nedenle çoğunlukla, firma dışı teknik bilgi de gerekli olacaktır.Bu belirli makineler için bilgileri, işlem gören ve işlem sırasında kullanılan kimyevi maddelerin cinsleri veya diğer anahtar risk bilgilerini kapsar.Kontrol listelerini de göz önüne almak gereklidir.Şüphesiz ki, Kontrol risklerinin son tarihli ve kontrollü olanları kastedilmektedir.
2.3.3.Risk Denetimi ve Kontrol Listeleri
Ele alınan riskin tipi üç çeşit analizde incelenir:
-Kaynak Analizi-Faaliyet Analizi-Sonuç Analizi
Kaynak Analizi
-Doğal tehlikeler
-İnsan etkisiyle oluşan doğal tehlikeler
-İnsan tarafından oluşturulan kazalar
-Kasıtlı insan hareketleriyle oluşan tehlikeler
-Sosyal ve politik
-Artan kötüye gitme durumları
-Yanlış kararlar, hükümler
Faaliyet Alanı Analizi
-Dahili
-Harici
-Tabii çevre
-Sosyal çevre
-Coğrafi yerleşim
-sosyal yerleşim
-Toptancı/üretim/imalat zinciri
-Müşteri zinciri
Sonuç Analizi
KİŞİLER ÜZERİNDE:
-Çalışanların üzerinde
-Kamu üzerinde
-Müşteriler üzerinde
MAL/MALZEME ÜZERİNDE
-Kendi malında
-Diğer mallarda
KAZANÇLAR ÜZERİNDE
-Hasar veya kaybın diğer tipleri üzerindeki dolaylı etki
-Ekonomik kayıp
-Sosyal ve Pazar şartları
-Spekülatif
-Kur
-Mallar
Kontrol Listesi: Risk finansmanı ve sigortayı, şirket ziyaretlerini, şantiye tetkiklerini,idare bilgileri,nakliyat ve (sanayi,endüstri,müteahhitlik işyerinde) forklift kamyon faaliyetlerini, pazarlama, personel, bilgisayar, işçi ve personel güvenliği, hukuki durum, mal ve varlık durumu, ürün geliştirme ve kalite kontrolü, yangın ve güvenlik, satın alma, mühendislik ve ilk yardım planlama durumlarını kapsar nitelikte olmalıdır.22 (The All Tution Service,London,1982 )
Risk tanımlanması için yapılacak kontrol listeleri ile, tehlikelerin detaylı analizi için gerekli unsurlar ve alanlar tespit edilebilir.
Genel bir kanı, ana bir kontrol listesini il başta yapmak daha sonra yapılacak branşlar bazındaki tek tek olan kontrol listelerine esas teşkil etmesi açısından çok faydalı olacaktır.
“Ön ve genel yapım kontrol listesinde sorulması gereken ilk sorular şunlar olmalıdır”23 (Y. Karayalçın, Ankara, 1988 )
• İş nedir?
• İşletmenin ilgilendiği ürün ve servisler nelerdir?
• Nadir rastlanan değişik bir konu mudur?
• Mevcut ve gelişmiş bir teknoloji mi uygulanıyor?
• Gelecek beklentileri nelerdir?
İşletme fabrikası veya işlemlerin yenilendiği durumda:
• Bu alışa gelmiş normal bir durum mudur yoksa değişik veya çok nadir yapılan bir işlem midir?
• Konu olan fabrikalar ve makineler kaç yıldır faaliyettedir?
• Geçmişte olan ve gelecekte olabilecek değişiklikler nelerdir,neler olabilir?
İşletmenin işini ve işlemlerini ürettiği ürün bazında veya müşteriye hizmet bazında incelersek, şu noktalar göz önüne alınmalıdır:
• Mevcut müşteriler, alıcılar kimlerdir?
• Rakip firmalar kimlerdir?
• Genel gelir seviyesi ve ferdi bazda gelir seviyesi nedir?Ve ilgili brüt kar nedir?
En son gelişmelere uygun ve son teknolojiyi kullanan işletmelerde risk tanımlama işlemi risk mühendisleri tarafından onların hazırladığı programlar, soru formları kontrol listeleri ile yapılarak faaliyetteki üst seviye müdürleri ile koordine olarak yürütülmektedir.
Risk yönetiminden sorumlu olan birim, işletme malvarlığının tesadüfü risklerin gerçekleşmesi dolayısıyla azalmasını önlemektir.Bu amaçla önleyici ve koruyucu tedbirleri almak ve korkulan olayın gerçekleşmesi halinde işletmenin maruz kalacağı zararların telafi edilmesini sağlamak risk yönetim biriminin birinci amacıdır.Bu birim ikinci amacı işletme malvarlığının azalmasını önleyecek tedbirleri optimal finansmanla sağlamak yani bu tedbirlerin işletmeye en az mali fedakarlılıkla alınmasını sağlamaktır.24 (E. Post,Toronto,1993)
Risk yönetimi açısından işletmenin giderleri a) Önleme ve koruma giderleri b) Sigorta giderleri olmak üzere iki kısma ayrılır.Bu iki grup giderler işletme gelir-gider hesabında ve bütçesinde yer alır.Bazı risklerin bizzat işletme tarafından taşınması halinde dönem içinde aktifteki azalmayı veya pasifteki artmayı tespit etmeye imkan yoktur.Bu, ancak dönem sonunda belli olur.Risk yönetimi birimi, işletmenin mali yükünü artıran birimleri arasında yer alır.Korkulan olay gerçekleşmediği takdirde önleme ve koruma giderleri veya sigorta giderleri olarak işletme kasasından çıkan tutarlar gider olarak sayılabilir.Bu giderlerde tasarruf yapılması kokulan olayın gerçekleşmesi halinde işletme malvarlığını büyük ölçüde tehdit edebilecektir.Risk yönetimi, işletme malvarlığının karşılaştığı tehlikeler ile bu tehlikeleri önlemek veya riski başka bir kuruluşa taşıtmak için yaptığı giderler arasında hassas dengeyi kurmakla görevlidir.
Risk yönetimi işletmenin risk durumunu tespit etmek, başka bir deyimle riskler envanterini hazırlamak ve işletme malvarlığı üzerindeki muhtemel etkilerini değerlendirmek ile işe başlar.
Bu değerlendirme sonucunda işletme içinde alınacak önleyici ve koruyucu tedbirleri tespit eder.Endüstri işletmelerinde önleyici ve koruyucu tedbirleri tespit yönü ağır basar.
Risk yönetimi,işletmenin bizzat taşıyacağı riskler için işletme içinde mali açıdan hangi tedbirler alınması gerektiğini de tespit yönü ağır basar.
Risk yönetimi, işletmenin bizzat taşıyabileceği riskleri de tespit edebilecektir.Mali külfeti çok büyük, gerçekleşme ihtimali az olan riskler ile sigortacılar tarafından taşınmak istenmeyen veya taşınması gerekmeyen küçük ve önemsiz riskleri işletme bizzat taşıyabilir.İşletmenin bizzat taşıdığı riskler arasında belli bir tutara kadar sigorta dışı bırakılan riskler yer alır.25 (B Arısoy, İstanbul, 1982 )
2.4. Risk Yönetiminin Kapsamı
Risk yönetiminin amacı, belli bir durumu korumak veya belli bir faaliyeti hedeflenen amaçlar doğrultusunda ve belli bir güvenlikte sürdürmektir.Bu amaca ulaşmak için uygulanacak aşamalar, risk yönetiminin kapsamını da açıklayacaktır.
• Riskin analizi, ölçümlenmesi ve dağılımı
• Riskle savaşma programlarının hazırlanması ve yönetimi
Riskle karşı karşıya olan en küçük birim bireydir.Çoğunlukla bireyin bağımlı olduğu ve bireye bağlı olan başka bireylerden söz etmek olasıdır.Bireyin kendisinin ve bağımlılarının yaşamını olumsuz yönde etkileyebilecek belli başlı riskler şunlardır:
• Sakatlık, ölüm, hastalık
• Sahip olunan mallarda kayıp ve hasarlar
• Bireyin ya da sorumlu olduğu kişilerin yol açtığı ve hukuken tazminatla sorumlu olduğu haller.
Bireyin oluşabilecek bu risklerin kendisinde oluşabilecek olumsuz etkilerini azaltmak için “risk yönetimine” başvurması gerekmektedir.Bu süreçte 3 aşamada ele alınabilir.
1.Başlangıç olarak karşı karşıya kalınabilecek tanımlanmalı ve listelenmelidir.
2.Daha sonra riskler değerlendirilmelidir.Bu değerlendirmede iki aşama vardır:
a)Kayba yol açacak olayların gerçekleşmesi olasılığı
b)Muhtemel kayıpların hesaplanması
3.Son olarak, riskten korunmak için uygun yöntemler saptanmalı ve uygulanmalıdır.Bu yöntemlerden bazı şunlardır:
a)Riski yaratan eylemden uzak durmak
b)Riskin gerçekleşme ihtimalini azaltmak
c)Riski aktarmak
d)Riski üstlenmek
2.5. Toplu Risk Yönetimi
Toplu risk yönetimi “Kurumsal Risk Yönetimi” terimi de kullanılabilir ve temel unsurlar açısından, bireysel risk yönetiminden farklı değildir.Ancak daha büyük organizasyonlar gerektirdiği için uzman kişilerce ele alınmalıdır ve bireye göre daha güçlü finansman olanaklarından söz edilebilir.
Kurumsal risk yönetiminde, doğrudan riske ilişkin çalışmalara başlamadan önce tespit edilmesi gereken bazı ilkeler vardır ki tüm çalışmanın temelinin oluşturacaktır.Bunları üç başlık altında toplamak mümkündür:
2.5.1. Kurumsal Karşı Tutum
Kurum içerisinde tüm kademelerce benimsenmiş bir risk felsefesinin var olup olmadığı, varsa, bunun özü tespit edilmeli ve iyice anlaşılmalıdır.Üstlenilebilecek risk miktarı da risk yönetimi kararları açısından önemlidir.Bu miktar zamana, firmanın büyüklüğüne (karlılık, likidite, kredibilite) riske karşı tutuma ( yönetim kadrosunun bireysel tutumu, firma hedefleri) bağlıdır.
Örneğin; beklenen karın arttırmayı hedefleyen bir firma, risk önleme yöntemlerine yatırım yapma yolunu seçmelidir.Çünkü bu şekilde muhtemel maksimum karda azalma olacak ama muhtemel hasarda da azalma olacağı için gerçek karda bir artış meydana gelecektir.
2.5.2. Kurumsal Eğilimler
Bu eğilim direkt olarak, riske karşı bir tutumdur.Riskten kaçınan ya da riski göze alan tutumlar, farklı risk yönetim planlamaları getirir.
2.5.3.Organizasyonun Yapısı
Anonim şirketlerde yöntemler, hissedarlara karşı sorumlu olduğu ve kısa sürelerde sonuç sunmak zorunda olduğu için, genellikle kısa vade karlılığını benimserler.Aile şirketlerinde hedefler aile fertleri tarafından çok büyük yaşlarda benimsediği için uzun dönemde karlılık daha rahat kabul görür.Kamu kuruluşları bunların hepsinden farklı olarak karlılığı hedeflemez.Buna karşılık finans konusunda rahattırlar.
Bu üç konuda gerekli tespitler yapıldıktan sonra risk yönetim süreci işletilmeye başlanır.Bu süreci oluşturan aşamaları şu başlıklar altında toplamak mümkündür:
1. Risk analizi
-Riski tanımlama
-Riski değerlendirme
2. Riskin kontrolü
3. Riskin finansmanı
Risk yönetim sürecinin son iki aşaması, organizasyonun güvenliğini sağlamak için uygulanan riskten korunma yöntemleridir.Ne derece uzman olursa olsun tek bir kişinin tüm bu süreci başından sonuna kadar üstlenmesi ve başarıyla yürütmesi mümkün değildir.Ancak, yine de özellikle belli bir büyüklüğe ulaşmış kuruluşlarda risk yönetiminden sorumlu bir uzmanın görevlendirilmesi gerekli görülmektedir.
Risk yöneticisi, firmanın riski azaltma hedeflerine uygun olarak, tüm iş risklerinin analizi, ölçümlenmesi ve dağılımı konusunda uzman bir personel olmalıdır.Bu işlemler sonucunda risk yöneticisinin ulaştığı gelecekle ilgili tahminler, üst yönetime aktarılan bilgilerin ayrılmaz bir parçası olarak yenilikle ve büyüme kararlarında esası teşkil eder.Bu uzmanın organizasyon içindeki yerini ve sorumluluklarını belirlemek önemlidir.26 (T Yurdakul,İstanbul,1991 )
Kurum hedefleri, kontrol, finansman kararları üst yönetimin yetki ve görevleridir.Dolayısıyla risk yönetim uzmanının üst yönetime karşı bir danışmanlık görevi üstlenmesi gerekir.Üst yönetimin kararlarını uygulayan ve uygulatan ise orta kademe yöneticilerdir.O halde risk yönetim uzmanının, orta kademe yönetimi de danışmanlık yapması söz konusudur.Ancak orta kademe yönetimle, ilişkisi bununla sınırlı olmayacaktır.Çünkü her departman yetkilisi, kendi bölümünün aynı zamanda risk yöneticisidir.
Burada da orta kademe yönetimin risk yönetim uzmanına danışmanlık yapması söz konusudur.Risk yönetim uzmanının kurum hiyeraraşisi içinde bağlı olduğu yetkiliyi tespit etmek zordur ama tam anlamıyla bağımsız olduğu hiç söylenemez.Bu nedenle kurumlar kendilerine bu danışmanlığı verecek ve koordinasyonu sağlayacak şekilde bünyeleri dışındaki bir uzmanın hizmetlerinden de faydalanma yolunu seçebilir.
Sonuç olarak, risk yönetimi koordinatörü olarak tanımlanabilecek bu uzmanın görevi alt birimlerinden üst birimlere ve tersine bilgi akışı ve personelin bu doğrultuda eğitimini sağlamaktır.Ama asla bir bütün olarak güvenlikten sorumlu olmak değildir.Bu, bugünkü koşullarda ve gelecekte de her kademeden ve her türden olmak üzere tüm yöneticilerin görevidir.
2.6. Risk Yönetiminin Organizasyonu
Risk yönetiminin temel prensiplerinin basitleştirilmesi ve ölçme, değerlendirme, finanslama, kontrol ve revizyon aşamalarından oluşması yanıltıcı olabilir.Kağıt üzerinde kolay görünen şeyleri karmaşık yapıdaki şirketlere uygulamanın güçlüğü açıktır.Şirketin riskleri, belki de yüzlerce farklı bölgelere yayılmakta ve birçok farklı proseslerle, ilişkilere dayanmaktadır.işlemlerin özelliği kalıcı küçük ya da büyük değişime katlanmayı gerektirmekte ve bu durum şirket riskinin üstlenilmesi ürkütücü olabilmektedir,
Organizasyonlarda risk yönetimi bir takım çalışması niteliğindedir.Hiçbir kimse tek başına şirketin çeşitli bütün risklerin üstesinden gelebilecek bilgiye sahip olmayabilir.Böyle yetenekli biri olsa bile görüşlerini problemleri ile uğraşan yöneticilere kabul ettirmede ve risk yönetiminin göz önüne alınması için ikna etmede zorlanabilir.
Etkili risk yönetiminde önceden gerekli olan diğer bir nokta ise; risk yönetiminin organizasyonun özel faaliyet tarzına uygun bir şekilde uygulanmasıdır.Risk yönetimi bir şirketin yönetildiği bütünün bir parçası olarak uygulanmalıdır.Böylece, eğer işletmede yönetimin diğer mevzularla ilgisiz olduğu sanılan bir tarz ve eylem olarak ele alınırsa başarılı olması olanaksız olur.
Risk yönetiminin amaçları şirketin yaklaşımını yansıtan politikaların açıklanmasıyla tespit edilmelidir.Bu politikalar sosyal sorumluluğun önemini vurgulamaya çalışıyorsa, bu durumda risk yönetimi yorumlanmalıdır.Öte yandan, kar amacı düşünüldüğünde finansal katkı risk yönetiminin, artan maliyetlerin azaltılması ile gerçekleşir.
Risk yönetiminin örgütlenme şekli işletmede var olan organizasyon biçimi ile aynı olmalıdır.Eğer işletme merkezleştirilmezse o zaman risk yönetimi de merkezleştirilmemelidir.Merkezi risk yönetimi bölümü, günlük risk yönetiminin boyutları ne kadar ciddi de olsa iyi örgütlenmiş bir işletme bunu kolayca aşabilir.Üst kademe yöneticilerinden bizzat kendi risklerini halletmesi istenebilir.Öte yandan, risk beklenildiği gibi departmanlara özgü olmayabilir.Farklı iletişim kuralları olabilen bir çok fonksiyonu bir arada içermesi bakımından risk fonksiyonel organize sınırlarını aşarak yayılır.Böylece koordinasyon gerekliliği ortaya çıkmakta ve bir merkezi risk yönetim danışmanı yararlı görülmektedir.27( Ö. Akmut,Ankara,1980 )
2.6.1. Risk Yönetimi Programı Yapmak
Risk yönetimi programı yapmak ve gerekli organizasyon ihtiyaçlarını yürütmek için firmanın mevcuttaki ve gelecekteki faaliyetleri ile ilgili riskler üzerinde detaylı bir çalışma gerekir.
Bu çalışmalar üst düzey yöneticileri ile görüşmeleri,üretim için dar ve geniş kapsamlı araştırmaları,iç ve dış kaynaklardan elde edilen bilgilerle inceleyerek yapılır.Daha detaylı bir çalışmada riskin tanımı ölçümü ve finansmanını hasardan koruma yöntemlerini içeren faaliyetlerinin denetimi olmalıdır.Firmanın faaliyetleri ile ilgili bilgi hem firma içinden hem de firmanın toptancı veya müşterilerinden alınarak risklerin değerlendirilmesi yapılır.
Riski bir bütün olarak ele aldıktan sonra bunu rapor olarak üst yönetim kadrosuna sunmak gerekir.Programın kabul edilebilmesi için sunuş tarzı çok önemlidir.
Devamlı bir planlama tekniği olarak risk yönetiminin değeri vurgulanmalıdır.Üst yönetimin risk yönetim işlemine vakıf olmaları ve firmayı tehdit eden önemli tehlikeleri görebilmiş olmaları lazımdır.
Risk yönetimi programının uygulaması için yönetimi ikna edici planlar,maliyette olacak indirimlerin ve büyük hasarların ihtimalleri sayılarıyla verilmelidir.Bunlar ayrıca mevcut harcamalarla karşılaştırılarak tehlikelerin tanımı ve kontrolü için gerekli bütçeleri kabul ettirebilmelidir.Olayların analizi,ihtimal planlarının gözden geçirilmesi,güvenlik raporları hasar tecrübesi,prim maliyetleri gibi araştırma sonuçları takdim edilmelidir.
Risk yönetimi programını takdim ederken ,’Riski Kim Yönetecektir’ sorusuna açıklık getirmek çok mühimdir.Üst Yönetim tarafından riskin kontrolü yapılırken bu husus olması gereken bir şarttır.
2.6.2.Birden Fazla Merkezden Yönetilen Şirketlerde Risk Yönetimi
Birden fazla yerde faaliyette bulunan firmalarda her bölge için risk yönetici danışmanı olması ve faaliyetlerini ana yönetim ile koordine bir şekilde yürütmesi gerekir.
Risk yöneticisinin rolü,mevcut kaynaklar üzerinde bağımlıdır.Bu nedenle mevcut sigorta görevlileri şirketin hukuki danışmanları ve sorumlu kişileri ile yapılan denetimde kaynak durumunu değerlendirmek gerekir.Dolayısıyla risk yöneticisinin birim sorumlularıyla koordinasyon kabiliyeti olması gerekir.Kişiliği ve saygınlığı ve kabiliyetleri ,üst yönetim tarafından bir görev tanımı ile atanması resmen yapılmalıdır.
Bir firma içinde risk yöneticisinin görevleri şöyle sıralanabilir:
-Risk yönetimini şirket içinde geliştirmeye yardımcı olmak,
-Firmanın zarara uğrayabileceği hususlar hakkında genel bir görüş çıkarabilmek
-Riski daha faydalı bir şekilde yönetebilmek için yönetim kadrosunu eğiterek ve bilgilendirerek yönetime yardımcı olabilmek,
-Firma içindeki diğer birimlerdeki uzman kadroların bilgisini toplayarak risk hakkında teknik ve özel bir bilgi birikimi yapmak,
Risk yönetim programı yapıldıktan sonra,risk yönetim departmanı,’Risk Yönetim Klavuzları’ yayınlayarak yönetim birimlerini yeni tekniklerle güncelleştirir ve işletmenin bir biriminde olan gelişme ve oluşan yeni faktörleri en sağlıklı bir şekilde diğer birimlere uyarlayabilir.Yayınlanan klavuzlar risk yönetim işleminin yapısı hakkında tüm çalışanlara sağlıklı bilgi taşır.
Dağıtılacak el klavuzlaarı ve rehberler mesajla ilgili grafikleri içerir bir şekilde güncel ve ilgi çekecek bir tarzda hazırlanarak iyi bir prezantasyonla verilmelidir.
1.3 Tipik bir klavuzdaki index şu bilgileri içermelidir:
1)Gayesi,idarenin bu konudaki riskin yönetilmesi için olan görüşleri
2)Risk Yöntemi nedir?
3)Uygulanacak teknik ve yöntemlerle tüm programın kapsamı,
4)Günlük faaliyetleri sırasında tüm idari bilimlerin sorumlulukları
5)Hasarın şirketin itibarı ve karlılığı üzerinde yapacağı etkileri gösteren gerçek ve
detaylı maliyeti hakkında bilgi
6)Risk sınıfları hakkında örneklerle bir kontrol listesi
7)Riske konu olan kısımların ve riskin kapsamı hakkında tablolar,nasıl doldurulup kullanacaklarını gösteren açıklamalar ile
8)Hasar kontrol teknikleri
9)Risk Yöneticisinin görevleri hakkında özet bilgi
10)Hasarları kayıt eden bir sistemin detayları
11)Olayların analizlerini,sebeplerini,hasardan korunma üzerindeki olumlu ve olumsuz etkilerini gösteren ve bu maksatla doldurulacak örnek kopyalar
12)Hasar indirimi veya analizi ve korunma ve tasarruf metodlarının değerlendirilmesinde kullanılacak formlar ve örnekleri,
İşletme içinde her müdürün görevleri arasında risk yönetimi görevinin de olduğunun anlaşılması ve uygulanması çok mühimdir.28 (M. Heins, ABD, 1981 )
2.7. Risk Yönetiminde Beş Aşama
Risk yönetimi; tanımlama, ölçme, mal, borç, personel kayıplarına karşı gösterilen davranışlar olarak tanımlanır. Beş aşamadan oluşur.
1) Firmanın kayıpları tanımlanmalıdır. Risk tanımlaması risk yöneticisinin ilk ve belki de en güç fonksiyonudur. Eğer tanımlamada hata yapılırsa yöneticinin bu bilinmeyen risk ile akılcı bir şekilde ilgilenebilme şansı olmayacaktır.
2) Risk tanımlamasından sonraki aşama ise ilgili kayıpların uygun şekilde ölçülebilmesidir. Bu ölçüm kaybın olma olasılığının, kaybın sonucunda olabilecek finansal zararların, bütçe dönemi içinde olabilecek kayıpların tahmin edilebilmesinin tanımlanmasını içerir. Ölçüm işlemi gerçekten oldukça önemlidir. Çünkü bunun sonucunda en ciddi ve acil tedbir alınması gereken konular ortaya çıkmaktadır. Ayrıca üçüncü aşamaya veri oluşturulmuş olur.
3) Tanımlama ve ölçüm işleminden sonra soruna çeşitli çözümler ve yöntemler sunma ve en iyi çözüm kombinasyonunu oluşturmak risk yöneticisinin uygulaması gereken üçüncü aşamayı oluşturmaktadır. Bu yöntemleri sıralamak gerekirse:
• Riskten kaçınma,
• Kaybın oluşma şansını azaltma veya ortadan kaldırma,
• Riski başka bir birime transfer etme,
• Riski geciktirmektir.
Üçüncü alternatif sigortayı da kapsamaktadır. Risk yöneticisi uygun yöntemi seçerken alternatif yöntemlerin maliyetlerini ve muhtemel sonuçları saptamak durumundadır. Ayrıca şirketin halihazırdaki finansal durumu, amaçları ve şirket politikası da göz önüne alınmalıdır.
4) Hangi yöntemin uygulanacağına karar verdikten sonra kararlar yürürlüğü konmalıdır.
5) Dört aşama sonucunda verilmiş olan ve uygulamaya konulan kararların sonuçları takip edilerek gerekli görülmesi durumunda değişiklikler yapılır.
Tüm yöneticiler için olduğu gibi, risk yönetimini de hem sanat hem de bilim olarak tanımlamak uygun olur. Aslında bilimsel risk yönetimi henüz çok yenidir. Zaman içerisinde risk yöneticilerine rehberlik edecek kaynaklar artacaktır.29 (M. Heins,ABD,1981 )
2.8. Risk Yönetimi ile Diğer İşletme Fonksiyonları İlişkisi
Risk yönetimi ve işletmenin diğer fonksiyonları arasında özel bir ilişki vardır. İşletme fonksiyonları şu şekilde sıralanabilir;1) Yönetim, 2) Finans, 3) Pazarlama, 4) Üretim, 5) İnsan kaynakları. Sıralanan departmanlar, risk yönetim departmanının belli bazı işlerini üstlenmeli ve risk yöneticisine bilmesi gereken verileri sunmalıdır. Aşağıda bu ilişkiler ayrıntıları ile incelenmektedir.
2.8.1. Finansal Departmanı ile İlişkisi
Finans departmanı, risk yönetimini etkileyecek pek çok karar verir. Risk yöneticisi normalde finans yöneticisine elindeki bilgileri raporlar. Bunun sebebi ise risk yönetiminin bazen finans departmanının bir parçası şeklinde görülmesidir. Genelde eğilim bu yönde olmasına rağmen risk yönetiminin özel bazı karakteristikleri olduğu da tespit edilmiştir. Finans departmanı çoğu zaman, kar ve nakit akışını gösteren muhasebe verilerini değerlendirir. Özellikle işletme amaçları, firma birleşmeleri gibi kritik konularda verilecek kararlar risk yöneticisini yakından ilgilendirecektir. İşletmenin pahalı bir ekipmanı veya binayı alması gibi kararlar da yine risk yöneticisinin ilgi alanına girmektedir.
2.8.2. Pazarlama ile İlişkisi
Pazarlama departmanının temel görevlerinden birisi de olası kayıpları ortaya koymaktır. Bu kayıpların tanımlanması ile gerçekleşmeleri durumunda etkileri azaltılabilir. Pazarlama departmanı tarafından kaynaklanabilecek bazı risklerden bazıları şunlardır:
• Ürünün müşteriye ulaştırılması esnasında olabilecek aksaklıklar dolayısıyla işletme bazı kayıplara uğrayabilir.
• Ambalajlamada olabilecek bir eksiklik, hukuki bazı sorunlara yol açabilir.
• Yanlış fiyat politikasının izlenmesi oldukça büyük kayıplara neden olabilir.
• Rakip firma faaliyetlerinin yeterince izlenememesi çeşitli kayıplara
yol açabilir.
Ürün veya hizmet fiyatlandırması genelde bu departman tarafından yapılır. Fiyatlandırma yapılırken risk yönetiminin sunduğu maliyet tablosu göz ardı edilmemelidir. Bu sayede daha gerçekçi bir fiyatlandırma yapılacaktır. Pazarlama departmanı yol açabileceği bu tip kayıpların farkında olmalı, risk yöneticisini bilgilendirmeli ve uyarmalıdır.
2.8.3. Üretim ile İlişkisi
Ürün veya hizmetin dizayn edilmesi ve üretilmesi üretim departmanının sorumluluğundadır. Bu departmana bağlı bulunan elemanlar, diğer departmanlara kıyasla daha sıklıkla ve daha ciddi şekilde zarar görebilirler. Özellikle üretim yapılan fabrikalarda işçilerin yaralanma riski oldukça yüksektir. Ayrıca üretim kaynaklı hataların olma riskini azaltmak da bu departmanın görevidir. Daha güvenli bir üretim hattı kurmak, daha dikkatli dizaynlar yapmak ve kontrol mekanizmaları kurmak risk departmanı ile yapılacak ortak çalışmaların ürünüdür.

2.8.4. İnsan Kaynakları ile İlişkisi
İnsan kaynakları departmanı risk yönetim departmanını ilgilendiren çok fazla sayıda risk ile karşı karşıyadır. Bunlara en net örnek ise personel iyileştirme programları düzenleme riskidir. Bazı firmalar bu konudaki tüm yetkiyi risk yöneticisine vermiş olmasına rağmen, çoğu firma bu konu hakkındaki yetkiyi insan kaynakları departmanına vermiş veya iki departman arasında paylaştırmıştır. Yetiştirilmiş bir elemanı kaybetme riski veya işe yeni alınacak bir elemanın seçimi ile ilgili riskler tüm işletmeler için ayrı bir önem taşır.
2.8.5. Yönetim ile İlişkisi
Risk yönetim departmanının yönetim ile oldukça yoğun bir ilişkisi vardır. Özellikle küçük işletmelerde nihai kararı üst yöneticiler verir. Yöneticilerin verecekleri kararlarda risk yönetim departmanının vereceği bilgiler oldukça fazla önem taşır. Ayrıca bu kararlar, yönetimin olaylara verdiği öneme ve önceliğe göre de değişiklik gösterebilir.30 (G. Norman,London,1993 )
2.9. Risk Yönetiminin Faydaları
Önceden de belirtildiği gibi risk yöneticileri daha ziyade saf riskler ile ilgilenirler ve amaçları bu risklerden minimum maliyet ve zarar ile kurtulabilmektir. Risk yönetiminin şirket, aile ve toplum üzerinde oldukça önemli faydaları olabilir.
Risk yönetiminin şirket için olan faydaları beş ayrı kategoride incelenebilir.
1) Gelirin artmasıyla olabileceği gibi, harcamaların azalması ile de kar artacaktır. Risk yönetimi direk olarak işletme karını etkileyecektir.
2) Risk yönetimi şirket karını endirek olarak en az altı şekilde etkileyebilir.
• Eğer şirket saf risklerini başarılı şekilde yönetiyorsa gereksiz yere spekületif riskler almak zorunda kalmayacaktır. Örneğin şirket eğer bir ekonomik kasırgadan korkuyorsa kendisini tehlike geçene kadar mevcut piyasada kalmak ile sınırlayabilir. Tehlike geçtikten sonra yeni piyasalara açılabilir.
• Spekülatif olayların saf riskleri konusunda Genel Müdürleri uyararak bu tip olaylar hakkında verilen kararların kalitesini arttırmış olurlar. Örneğin bir binayı satın almayı veya kiralamayı düşünen bir şirket binaya karşı kaza eseri olabilecek bir fiziksel hasarı göz ardı edecek olursa yanlış kararlar verebilir.
• Spekülatif bir olaya girildiğini varsayalım. Saf risklerin çok iyi analiz edilmesi ile spekülatif riskler daha akılcı ve daha etkin şekilde ele alınabilecektir. Örneğin eğer hatalı ürün yüzünden kazara zarar gören kişilerin açtıkları davalara karşı kendilerini iyi korunmuş hissediyorlarsa, şirket ürün hattını daha saldırgan bir şekilde geliştirebilir.
• Risk yönetimi yıllık karda ve nakit akışındaki dalgalanmaları azaltır. Bu dalgalanmaları kısıtlamak planlama yapmamıza yardımcı olur.
• Önceden yapılan hazırlıklar sayesinde sonu kayıp ile sonuçlanabilecek faaliyetler, müşterilerimizi rakiplerimize kaptırmamak adına, devam ettirilebilir.
• Kredi kaynakları, müşteriler ve tedarikçiler saf risklere karşı önlemler almış firmalarla çalışmayı tercih ederler.
3) Risk yönetimi bazı durumlarda bir firmanın yaşamsal fonksiyonlarını devam ettirmesini sağlar. Önceden tedbir alınmaması durumunda bazen firmalar karşılayamayacakları kadar büyük kayıplarla karşılaşabilirler ve batma tehlikesi yaşarlar.
4) Saf riskleri çözümlemeye yönelik çalışmalar yöneticilerin fiziksel ve zihinsel olarak gelişmesini sağlar. Bu işin kişisel yönü olmasına rağmen sonuçta kişinin performansını etkileyecek, firmaya faydası olacaktır.
5) Risk yönetiminin yaptığı planlar diğer bölümlerin de işine yarayacaktır. Ayrıca risk yönetimi firmanın itibarını arttıracaktır.
Risk yönetimi aileler üzerinde de faydalı olacağı gibi, sonuçta tüm toplumu etkileyecek kişilerin olaylara daha bilinçli yaklaşmaları ile sorunların çözümü kolaylaşacak, kayıplar azalacaktır.
Risk yönetiminin sağladığı faydalar işletme bazında, ekonomik bazda ve hükümet bazında değerlendirilirse aşağıdaki faydaları elde etmiş oluruz.



2.9.1. İşletmeye Olan Faydaları
Uzun vadede üretim maliyetlerini azaltan Risk Yönetimi,ithal mallarla rekabet halinde olan yerli firmalara yardımcı olacaktır.Daha dikkatli ve etkin bir risk finansmanı ve sigorta ile işletmenin sigorta primi harcamalarını makul seviyeye indirir.Etkili bir risk yönetimi uygulayan firmalar bu sayede pek çok ülkede daha iyi krediler temin eder.
Risk yönetimi teknikleri pek çok ticari ve sınai kuruluşların yangın,fırtına ve diğer kayıplar nedeniyle iş yapamaz hale gelmesini azaltır.Belirsizliğin azalması yerli kredinin ve kapital piyasasının ve yerli ticaretin gelişmesine dolayısıyla işletmelerin daha rahat büyümelerine sebep olur.
2.9.2. Ekonomiye Olan Faydaları
Maliyetlerin düşmesine yol açan risk yönetimi,yeni endüstri kollarının gelişerek ihracat pazarının başarılı bir şekilde artmasına yardımcı olur.Bir ülkenin ödemeler dengesi,kayıpların Ve kaybolan milli sermayenin azalmasıyla daha gelişir.Yerli sigorta endüstrisi gelişir,aynı zamanda güçlenir.
2.9.3. Hükümete Olan Faydaları
Risk Yönetim teknikleri,gelişmekte olan ülkelerin gelişme amaçlarına ulaşmalarında yardımcı olur.Hasar kontrol ölçümleri sermaye mallarının kaza ile kaybını azaltacağı için, dövizin yurt dışına gitmesini engeller.
Hasar ve kayıplardaki azalmalar ve gelişen finansal denge yerli şirketlerin,yabancı firma sermaye ve kredileri için cazip bir duruma gelmesini sağlayarak milli iş kapasitesini arttır.31 ( G. Norman,london,1993 )
2.10. Risk Yönetimi Uygulamasını Arttırıcı Metotlar
Ülke hükümetleri risk yönetiminin daha yaygın uygulanmasını sağlamak için akla ve mantığa uygun yeni kanun ,yönetmelik ve tüzükler çıkarabilir ve bunlarla bağdaşan etkin standart yöntemleri koyabilir.Kanunlar arasında,çevre ve güvenlik kanunları,sigorta kanunu,ticaret teşvik ve yatırım ve döviz transferi hakkında ekonomiyi güçlendirici,risk yönetiminin gelişmesini sağlayacak yeni kanun,yönetmelik ve kurallar koyabilir.
Hükümetler ayrıca ana bilgi kaynağı olarak hizmet verebilir.
Risk yönetiminin bilinçli yapılabilmesi için ticari ve sınai kuruluşlar en üst seviyede yöneticisinden başlayarak en alt seviye çalışanına kadar tüm personelini eğitebilir. Çok uluslu kuruluşlar başka ülkelerden yeni risk yönetim teknikleri,know-how getirebilirler Sigorta sektörü,vermiş olduğu teminatlar,fiyat ve servisle gelişmiş bir risk yönetimi sunabilir.Poliçe sahibinin ihtiyaçlarına uygun poliçe teminatı verir.Bu tür teminatlar riziko seviyelerindeki farklılıkları gösterir ve firmalara teşvik unsuru olarak daha az prim ödeme şansı verirken ,azalan hasarı yaratacak risk yönetimi kavramını ve tekniğini aşılayabilir.
Genel ve sonuç olarak tüm firmalar ve kuruluşlar kanun,hüküm ve yönetmeliklerle işbirliği ve uygunluk halinde kendi faaliyetlerini kendi bilinçli insiyatifleri ile bir bütünlük içinde yürütmelidirler.
Eğitim kuruluşları ,enstitüler düzenledikleri kurslar arasına risk yönetimi konusunu ilave edebilir,yeni eğiticiler yetiştirebilir,yapılan araştırmaları yönetebilir ve geniş teknik hizmet vererek ve bilgi kaynağı olarak yardımcı olabilir.


III.BÖLÜM
1.4 ENTEGRE RİSK YÖNETİMİNİN
BANKACILIK SEKTÖRÜNDE UYGULANMASI
3.Bankacılıkta Risk Yönetiminim Nedeni
Günümüzün risk yönetimi yaklaşımlarına şekil veren “Kurum Çapında Entegre Risk Yönetimi” anlayışının ana hatlarını anlatmaya çalıştım. Kurum çapında entegre risk yönetimi yaklaşımı günümüz organizasyonlarının giderek daha karmaşık bir yapıda olmaları, uluslararası alanlarda faaliyet göstermeleri ve dolayısıyla daha farklı ve karmaşık risklerle karşı karşıya kalmaları sonucu, risklerin tüm kurum bazında yönetilmesi gereksinimine bağlı olarak ortaya çıkmıştır.Kurumun maruz kalabileceği tüm riskler artık birbirinden bağımsız birimlerde yönetilmemekte, entegre olarak ele alınmaktadır.
Bankacılıkta risk önde gelen bir konu olduğu için bu konu hakkında bir yöntem hazırlanmıştır. Söz konusu yöntem bankaların karşılaştıkları riskleri izlemek kontrolünü sağlamak üzere kuracakları iç denetim ve risk yönetimi sistemlerinin tekniklerini esas ve usullerini belirlemek amacıyla hazırlanmış bulunmaktadır. Bu yöntemle bankaların sahip olmaları gereken iç denetim ve risk yönetimi sistemlerinin kapsamı, organizasyon yapısı ve bu alanlarda faaliyet göstermesi beklenen her birimin ve banka üst yönetiminin sorumlulukları belirlenmiştir.
3.1.Bankacılıkta Risk Yönetimi Anlayışı
Bankalar temel risklerini oluşturan, kredi riski, piyasa riski, işlemin sonuçlandırılamaması riski, likidite riski, operasyonel risk ve mevzuat hakkındaki yetersiz bilgi risklerine ilişkin politika ve prosedürleri belirlemelidirler.
A)Kredi Riski
Kredi riski, banka müşterisinin yapılan sözleşme gereklerine uymayarak yükümlülüğünü kısmen veya tamamen zamanında yerine getirememesinden dolayı bankanın maruz kalacağı riski ifade eder.
Kredi riski ölçüm, izleme ve yönetim süreci; bankalar kredi riskinin ölçülmesi, izlenmesi ve yönetilmesi sürecinde:
• Kredi riski taşıyan çeşitli portföylerin sürekli olarak yönetilmesini, ayrılması gereken karlılıkların belirlenmesini, tüm kredi izlenmesini sağlayacak bir sisteme sahip olmalıdırlar,
• Özellikleri, ölçekleri ve faaliyetleri ile uyumlu içsel risk derecelendirme ve puanlandırma sistemleri/modelleri geliştirmeli ve kullanmalıdırlar,
• Risk yoğunlaşmasını tanımlayacak şekilde kredi portföyünün bileşimi hakkında yeterli bilgi sağlayan yönetim bilgi sistemlerine ve analitik tekniklere sahip olmalıdırlar,
• Ekonomik koşullarda ileride meydana gelebilecek muhtemel değişiklikleri de dikkate almalı ve baskı altındaki şartlar içerisinde maruz kalacakları kredi riskini değerlendirmelidirler.
Kredilendirme Modeli; Bankalar, kredilerin, onaylanması, kullandırılması, kaydedilmesi, takibi ve karşılık ayrılması gibi temel uygulama usul ve esaslarını içeren bir Kredilendirme Modeli geliştirmelidirler.
a)Kredilendirme Politikası: Bankalar, farklı kredi müşteri kategorileri için belirlenen azami sınırlar, kabul edilebilecek teminat türleri ve kabul marjları gibi kredi açılışının onaylanması hususundaki kriterlerini belirleyen, yönetim kurulunca kabul edilmiş, banka personeli tarafından anlaşılabilen, yazılı bir kredi politikası belgesine sahip olmak zorundadırlar.
Kredi limitlerinin tespit edilmesinde dolaylı kredi ilişkileri de dikkate alınmak suretiyle kredi riski yaratabilecek tüm işlemlere yer verilmelidir.
b)Kredi Onay Sistemi:Bakalar, yeni kredilerin açılışının değerlendirilmesinde ve onaylanmasında, resmi ve dökümana dayalı uygulama usullerine sahip olmalıdır.
c)Kredi İzleme Yöntemi:bankalar, kredilerinin performanslarının düzenli olarak izlenmesi sağlamak amacıyla banka üst yönetimi tarafından onaylanmış uygulama usullerini belirlemelidirler.Belirlenecek kredi izleme süreci aşağıdaki özelliklere sahip olmalıdır:
-Kredi izleme birimi, kredinin onaylanması, fonlanması ve kaydedilmesi fonksiyonlarından bağımsız olmalıdır
-Kredi riskinin öngörülen limitler dahilinde kalması sağlanmalıdır.
-Kredi ana para ve faizine ilişkin olarak bankaya geri ödeme yapılamamış ise üst düzey yönetime raporlama yapılmalıdır.
-İzleme sonuçlarını yansıtan rapor formatları ile izleme sıklığı belirlenmelidir.
-Teminatlar yeterliliği konusunda düzenli kontrollerin yapılması için teminatların değerlemesine ilişkin kontrol yükümlülüğünün ana prensipleri ve alt detayları tespit edilmeli
-Kredi talep edenlerin ve mevcut kredi müşterilerinin kredi değerliliğinin yakından takip edilmesi ve işyeri ziyaret raporlarının bu kapsamda değerlendirilmesi gereklidir.
-Kredilendirme sürecinde yapılacak herhangi bir düzeltici müdahale ve uygulanacak tedbir için yetki kullanımının kararlaştırılması ve söz konusu muhtemel müdahale ve tedbirlerin niteliğinin çeşitli durumlara göre tanımlanması ve kredi izleme birimine raporlanması gereklidir.
-Dolaylı kredi ilişkileri ile problemli kredilerin ayrıca takibini ve yönetilmesini temin eden bir sistem geliştirilmelidir.
d)Yükümlülüklerin merkezi kaygının tutulması ve ikame ettirilmesi:Bankalar, her bir kredi borçlusu için verilen tüm kredi imkanlarını, tüm borçlarını, alınan veya verilen her garantiyi ihtiva eden merkezi bir borç yükümlülük kaydı tutmalıdırlar.
e)Kredi dosyalarında bulundurulacak bilgi ve dökümanlar:Bankalar, her bir kredi borçlusu için bankanın kredi politikasına ve yapısına uygun olarak edinilmiş bilgi ve belgeleri içeren bir kredi dosyası bulundurmalıdırlar.
f)Karşılılıkların yeterliliğini izleme:Mevzuatla getirilen kurallar uyumlu olmak şartıyla, her banka kullandırdığı kredilerin durumuna göre, ayrılan ve ayrılacak olan karşılıkların yeterliliğinin periyodik olarak izlenmesini sağlayacak sistemleri kurmalıdır.
Bankalar kredilerinin kalitesi ve buna bağlı olarak kredi karşılıklarının yeterliliğinin değerlendirilmesine ilişkin politikalar ve yöntemler oluşturmalı, bu politikaları düzenli olarak gözden geçirmeli ve uygun şekilde uygulanmasını sağlamalıdırlar.
Bankalar problemli kredilerinin izlenmesine ve vadesi gelen kredilerinin tahsilatına ilişkin politikaları belirlemeli ve uygulamalıdırlar.
g)Genel karşılıkların idamesi:Bankalar kredileri için ayırdıkları özel karşılıkların haricinde aktiflerindeki ve bilonço dışı hesaplarındaki potansiyel riskler için, mevzuatla getirilen kurallarla uyumlu olmak şartıyla, geçmişteki zarar deneyimlerini, kredilerin teminat durumlarını, portföyün yoğunlaştırdığı sektör ya da coğrafi dağılım gibi özellikleri, risk yoğunlaşması bulunan grupları göz önüne alarak, genel karşılık ayırmalıdırlar.
h)Kredilendirme fonksiyonuna ilişkin iç denetim politikası:Bankalar, kredilendirme fonksiyonuna ilişkin yazılı bir iç denetim politikası oluşturmak zorundadırlar.
Ülke ve tranfer riski; bankalar uluslar arası kredilendirme ve yatırım faaliyetlerine ilişkin olarak ülke ve tranfer risklerinin saptanması, izlenmesi ve kontrol edilmesine ilişkin yeterli politikalara ve uygulama usullerine sahip olmalı ve söz konusu riskleri kapsayacak yeterli karşılıkları oluşturmalıdırlar.
Kredi riski yoğunluğu ve büyük riskler; bankcılıkla ilgili mevzuata yer verilenlere ilave olarak ,bankaların yönetim kurulları ve üst düzey yönetimleri, münferit kişilere ya da gruplara verilen kredilerin ve benzer diğer risk konstrasyonlarının sınırlandırılmasına yönelik koruyucu risk limitlerini ve uygulama esaslarını düzenli bir biçimde belirlemelidir.Bu amaçla, bankalar portföylerindeki yoğunlaşmayı belirlemelerine olanak verecek yeterli kapasitede bilgi iletişim ağına sahip olmalıdırlar.
Birbirleri ile ilişkili kişilere verilen dolaylı krediler; bankalar, birbirleriyle doğrudan ve dolaylı ilişkiye sahip krediler nedeniyle ortaya çıkabilecek riskleri belirlemek ve muhtemel zararlardan korunabilmek amacıyla gerekli önlemleri almakla yükümlüdürler.
B)Piyasa Riski
Genel piyasa riski bankanın alım-satım hesapları içersinde yer alan;
• Getirisi faiz oranı ile ilişkilendirilmiş borçlanmayı finansal araçlara,
• Hisse senetlerine,
• Diğer menkul kıymetlere,
• Yukarıda belirtilen araçlara dayalı türev sözleşmelerine,
• Bankanın bilonço iç veya dışı kalemlerinde yer alan, farkılı döviz cinslerindeki tüm döviz varlıkları ve yükümlülüklerine,ilişkin pozisyonların değerinde faiz oranları, hisse senedi fiyatları ve döviz kurlarındaki dalgalanmalar nedeniyle meydana gelebilecek zara riski olarak riski olarak tanımlanmıştır.
Piyasa riskinin unsurları faiz oranı riski, hisse senedi pozisyon riski ve kur riski olarak belirlenmiştir.
Bankalar riske maruz değeri (RMD-VaR:elde tutulan bir portföy ya da varlık değerinin faiz oranlarında, döviz kurlarında ve hisse senedi fiyatlarındaki dalgalanmalar nedeniyle meydana gelebilecek değişiklikler neticesinde maruz kalabilecekleri en yüksek zararı, belli bir güven aralığı ve zaman dilimini dikkate alarak ifade eden ve muhtelif istatistiki yöntemlerle tahmin edilen değeri) ölçmekle yükümlüdürler.
Piyasa riskinin ölçümünde iki temel yöntem belirlenmiştir; standart model ve ya risk ölçüm modelleri.
Standart model ile piyasa riskinin hesaplanması;standart model ile piyasa riski ölçüm yöntemi, günlük “Riske Maruz Değer” tutarını tahmin etmeye yönelik bir risk ölçüm modeli bulunmayan ya da bulunmakla birlikte modelin işerliliği kurumca yeterli görülmeyen bankalar tarafından, genel piyasa riskleri ve spesifik risklere karşı bulundurulması gereken sermaye tutarını belirlemeye yönelik olarak uygulanacak olan ve usul ve esasları ifade eder.
Risk ölçüm modelleri ile piyasa riskinin hesaplanması; bankalar,kurumdan izin almak kaydıyla piyasa riskinin ölçmek ve karşılığında sermaye ayırmak için piyasa riski ölçüm modellerini kullanabilirler.
Genel kriterler; kurumun gereken izni verebilmesi için bankaların risk ölçüm modelleri bir dizi standarda uygun olmak zorundadır.Bu standartlara göre:
-Uygulanan risk ölçüm sistemi teorik olarak sağlam temellere dayanmalı ve güvenilir olmalıdır
-Fon yönetimi ve hazine operasyonları, risk yönetimi grubu ve iç denetim merkezinde karmaşık risk modellerinin kullanabilecek ve değerlendirecek yeterli sayı ve nitelikte eleman çalıştırmalıdır;
-Sağlıklı ve güvenilir veri kayıt sistemine sahip olunmalıdır,
-Düzenli olarak stress testleri ve geriye dönük testler uygulanmalıdır.
Niteliksel kriterler;
-Risk yönetim grubu içinde, bankanın risk ölçüm modelinden elde edilen bulgular üzerinden günlük rapor hazırlayıp analiz yapacak, alım-satım fonksiyonuna yönelik bağımsız bir risk kontrol birimi bulunmalıdır,
-En az birer aylık dönemlerde geriye dönük test uygulanmalıdır,
-Yönetim kurulu ve üst düzey yönetim risk kontrol sürecine aktif olarak katılmalıdır,
-Risk ölçüm modeli, günlük risk yönetim sürecinin bir parçası olmalı ve elde edilen bulgular bankanın piyasa riski profilinin planlanmasında ve kontrolünde kullanılmalıdır,
-Risk ölçüm modeli işlem ve risk limitleri ile bağlantılı kullanılmalı, işlem limitleri riske maruz değer ile limitleri riske maruz değer ile ilişkilendirmelidir,
-Düzenli olarak stress testleri yapılmalı ve sonuçları periyodik olarak yönetim kuruluna bildirilmelidir,
-Yazılı bir risk ölçüm modeli ve yönetimine ilişkin düzenleme yürürlüğe konulmalıdır,
-Entegre risk kontrol sistemi yılda en az bir kez gözden geçirilmelidir.
Niceliksel kriterler;
-“Riske Maruz Değer” günlük olarak, %99 güven aralığı kullanılarak ve on gün elde tutma süresi kabul edilerek hesaplanmalıdır,
-Riske maruz değer hesabında tarihi gözlem dönemi bir yıldan az olmamalıdır,
-Riske maruz değeri hesaplamak için kullanılan veri setleri en az üç ayda bir güncellenmelidir,( kurum, kullanılacak veri setleri ve zaman serilerini tespit ettiği ve ya bunlarla ilgili kaynak gösterdiği takdirde bankalar bunları kullanmak zorundadır.)
-Bankalar riske maruz değer hesabında parametrik, tarihi simulasyon ve ya Monte Carlo simulasyonu yöntemlerinden uygun görecekleri bir yöntemi kullanabilirler,
-Bankaların risk ölçüm modeli faiz riskine ve spesifik riski de ölçebilmelidir.
Riske maruz değere dayalı sermaye yükümlülüğünün hesabı; bankalar günlük bazda sermaye yükümlülüğünün hesabında, önceki 60 iş gününün ortalama “Riske Maruz Değer “inin “Çarpım Faktörü” ve “Artı Çarpım Faktörü” toplamıyla çarpılması sonucu bulunan tutar ile bir önceki günün “Riske Maruz Değer” tutarından yüksek olanını dikkate almalıdırlar.
“Çarpım faktörü” piyasa riski hesabında risk ölçüm modellerini kullanan tüm bankalar için “3” olarak uygulanır.Kurum, geriye dönük test sonuçlarından elde edilen sapma sayılarını dikkate alarak çarpım faktörüne belirlenen oranlarda artı çarpım faktörü ilave edebilir.
C)İşlemin Sonuçlandırılmaması Riski
İşlemin sonuçlandırılmaması riski, bankanın karşı taraftan, umulan sürede işleme konulan finansal aracı ve ya fonu ( nakdi) teslim alamaması, elde edememesi riskidir.
D)Likidite Riski
Likidite riski, bankanın nakit akışındaki dengesizlik sonucunda nakit çıkışlarını tam olarak ve zamanında karşılayacak düzeyde ve nitelikte nakit mevcuduna ve ya nakit girişine sahip olunmaması şeklinde tanımlanır.
E)Operasyonel Risk
Operasyonel risk, banka içi kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin gözden kaçması, banka yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilememesi, banka yönetimine ilişkin hatalar, bilgi teknolojisi sistemlerindeki hata ve aksamalar ile deprem, yangın, sel gibi felaketlerden kaynaklanabilecek kayıplar ya da zarara uğrama ihtimali olarak tanımlanır.
F)Mevzuata İlişkin Yetersiz Bilgi Riski
Mevzuata ilişkin yetersiz bilgi riski, banka tarafından yetersiz ya da yanlış yasal bilgi ve ya belgeye dayanarak yapılabilecek işlemler neticesinde hakların beklenenden düşük,yükümlülüklerin ise beklenenin üzerinde gerçekleşmesi riskidir.
Banka iştiraklerinin risk yönetiminde dikkate alınması; bankanın doğrudan ve dolaylı iştiraklerinin finansal performansı konsolide bazda izlenmeli ve risk yönetimi aynı bazda gerçekleştirilmelidir.Risk yapısı izlenirken, konsolide edilmeyen iştiraklerin durumları da ayrıca dikkate alınmalıdır.
Banka, yurtiçi ve yurt dışı iştirakleri arasında gerçekleşen büyük hacimli işlemleri ve fon transferlerini izlemeli, bu iştiraklerin risk profilini değerlendirmeli,sermaye tabanı,öz kaynaklar gibi mali güce ilişkin kriterlere göre bu risklerin belirlenen sınırlar dahilinde bulunup bulunmadığını tespit etmelidir.
Acil ve beklenmedik durum planı uygulaması; üst düzey yönetim, beklenmeyen olaylar sonucu oluşabi

Türkiyenin En Büyük Eğitim Sitesi - www.edubilim.com
Logged
2009-2010 İlköğretim Yıllık Planları(Tüm Dersler)

1. Sınıf  - 2. Sınıf - 3.Sınıf - 4.Sınıf - 5.Sınıf - 6.Sınıf - 7.Sınıf - 8.Sınıf
Etiket:
  Sayfa: [1]  
  Bu Konuyu Gönder  
 
Gitmek istediğiniz yer:  


Edubilim olarak 2009-2010 Eğitim ve Öğretim Yılında da eğitimle ilgili , bilgi , belge ve dosyalarla tüm öğrenci ve öğretmenlerin yanındayız...
Tüm hakları sakllıdır. Edubilim 2007-2009. Bu sitede bulunan bilgi , belge ve dökümanların izin alınmadan veya kaynak gösterilmeden kullanılması yasaktır. İletişim Adresi: edubilim@gmail.com

Edubilim I Edubilim Forumları I Urllist I Etiketler I Rss I Google Etiketleri I Site Haritası I Site Map

MySQL ile Güçlendirildi PHP ile Güçlendirildi Powered by SMF 1.1.16 | SMF © 2006-2009, Simple Machines

XHTML 1.0 Geçerli! CSS Geçerli!