RİSK ANALİZİ NASIL YAPILIR?
Bir şirketin bir sabah uyandığında karşılaştığı en pahalı sürpriz, çoğu zaman görülebilecekken görülmemiş bir risktir. Tedarikçinin iflası, ana müşterinin kaybı, yasal mevzuat değişikliği, siber saldırı, anahtar çalışanın istifası — hepsi önceden konuşulup hazırlanılabilecek olaylardır. Risk analizi, bu hazırlığı yapılandırılmış biçimde kuran disiplindir.
Risk analizinin amacı tüm riskleri ortadan kaldırmak değildir; bu zaten mümkün de değil. Amaç, hangi risklerin ne kadar olası, ne kadar yıkıcı olduğunu görmek ve önceliklendirilmiş bir müdahale planı kurmaktır. İyi risk analizi yapan şirket, kriz anında panik değil; senaryo uygular.
Bu yazıda risk analizinin temel yöntemlerini, sahada işe yarayan araçları ve kurumsal risk yönetimi yapısını ele alıyoruz.
Risk analizi nedir?
Risk analizi, bir organizasyonun karşılaşabileceği olası tehditlerin sistematik biçimde tespit edilmesi, değerlendirilmesi ve önceliklendirilmesi sürecidir. Çıktısı, hangi risklere ne tür önlem alınacağını belirleyen bir eylem planıdır.
Risk ve belirsizlik farkı
Risk, olasılığı ve etkisi tahmin edilebilen olumsuz olaylardır. Belirsizlik ise olasılık veya etki tahmininin yapılamadığı durumdur. Risk analizi belirsizliği riske çevirmenin de bir yoludur.
Risk türleri
- Stratejik riskler
- Yanlış pazar girişi, rekabet baskısı, teknolojik dönüşüm gibi şirket yönüne ilişkin riskler.
- Operasyonel riskler
- Süreç hataları, tedarik zinciri kopması, anahtar personelin kaybı.
- Finansal riskler
- Likidite, kur, faiz, ödeme yapamayan müşteri, vergi cezaları.
- Uyum riskleri
- Yasal düzenleme ihlalleri, denetim cezaları, sektörel standart eksiklikleri.
- İtibar riskleri
- Sosyal medya krizi, müşteri şikayeti, kamuoyu algı düşüşü.
- Siber riskler
- Veri sızıntısı, fidye yazılımı, sistem aksaması, kimlik hırsızlığı.
Risk analizi adımları
Sistematik bir risk analizi beş adımdan oluşur.
- Risk tespiti: Hangi olaylar olası, beyin fırtınası ve geçmiş veri taraması
- Risk değerlendirme: Olasılık ve etki tahmini
- Önceliklendirme: Yüksek olasılık + yüksek etki = en yüksek öncelik
- Müdahale planı: Her yüksek öncelikli risk için aksiyon
- İzleme ve gözden geçirme: Risk profili zamanla değişir, düzenli güncellenmeli
Risk matrisi
En yaygın risk değerlendirme aracı risk matrisidir. Olasılık ve etki iki eksen olarak çizilir, riskler bu matrise yerleştirilir.
| Düşük etki | Orta etki | Yüksek etki | |
|---|---|---|---|
| Yüksek olasılık | Orta | Yüksek | Kritik |
| Orta olasılık | Düşük | Orta | Yüksek |
| Düşük olasılık | Çok düşük | Düşük | Orta |
Kritik bölge — acil müdahale
Sağ üst köşedeki "kritik" bölge, yöneticinin masasındaki ilk öncelik olmalıdır. Yüksek olasılık + yüksek etki kombinasyonu derhal aksiyon gerektirir; ertelenmesi şirketi kriz anında savunmasız bırakır.
FMEA (Failure Mode and Effects Analysis)
FMEA, özellikle ürün ve süreç risk analizinde kullanılan teknik bir yöntemdir. Her olası başarısızlık modu için üç boyut değerlendirilir:
- Severity (S): Etki şiddeti — 1 (önemsiz) - 10 (felaket)
- Occurrence (O): Görülme sıklığı — 1 (çok nadir) - 10 (sürekli)
- Detection (D): Tespit edilebilirlik — 1 (anında görülür) - 10 (görülemez)
RPN (Risk Priority Number) = S × O × D formülüyle her riskin önceliği hesaplanır. Yüksek RPN sayısı, acil aksiyon gerektiren riskleri işaretler.
SWOT analizi
Klasik SWOT (Strengths, Weaknesses, Opportunities, Threats) risk analizinin makro düzeyde versiyonudur. Stratejik kararlar için kullanışlıdır.
- Strengths (güçlü yönler)
- İç kaynaklar, rekabet avantajları — risk hafifletmek için kullanılabilir
- Weaknesses (zayıf yönler)
- İç eksiklikler — risk üretebilir, düzeltilmeli
- Opportunities (fırsatlar)
- Dış olumlu trendler — ihmal edilirse rakipler değerlendirir
- Threats (tehditler)
- Dış riskler — risk analizinin merkezi
Risk müdahale stratejileri
Bir risk tespit edildiğinde dört temel müdahale alternatifi vardır.
- Kaçınma: Riskli faaliyetten tamamen vazgeçmek. Yüksek riskli pazara girmemek gibi.
- Azaltma: Olasılığı veya etkisini düşürmek. Yedek tedarikçi kurmak, eğitim vermek.
- Transfer: Riski başkasına devretmek. Sigorta, outsource, taşeron sözleşmesi.
- Kabul: Düşük etkili veya kaçınılmaz riskleri kabul edip yedek plan hazırlamak.
Kurumsal risk yönetimi (ERM)
Tekil risk analizinin ötesinde, şirket genelinde sürekli işleyen Kurumsal Risk Yönetimi (Enterprise Risk Management — ERM) yapısı kurulmalıdır.
ERM çerçevesinin temel unsurları
- Risk yönetim politikası ve sahipliği (kim sorumlu?)
- Yıllık risk değerlendirme döngüsü
- Risk register (tüm risklerin merkezi kaydı)
- KRI (Key Risk Indicator) — erken uyarı sinyalleri
- Yönetim kurulu seviyesinde periyodik raporlama
- İş sürekliliği planı (BCP) ve felaket kurtarma (DR)
İzleme ve düzenli gözden geçirme
Risk profili statik değildir. Pazar koşulları, mevzuat, teknoloji, rekabet — hepsi risk haritasını değiştirir. Yılda en az bir kez, ideal olarak çeyrekte bir kez risk register güncellenmeli, yeni riskler eklenmeli, eskileri kapatılmalı.
Eğitim ve kurumsal hazırlık
Risk analizi, hem teknik yöntem hem kurumsal disiplin gerektiren bir alandır. Profesyonel düzlemde tasarlanmış bir risk analizi eğitimi, hem yöneticilere hem de operasyon ekiplerine risk tespiti, değerlendirme ve müdahale yöntemlerini bir arada kazandırır. Krizden korunma boyutu için kriz yönetimi eğitimi konunun farklı bir boyutunu işleyen ek bir programdır.
Risk analizi, geleceğin sürprizini en aza indiren bilinçli bir öngörüdür. Tüm riskleri yok etmek mümkün değildir; ama hangisinin önemli, hangisinin görmezden gelinebileceğine sistematik karar vermek — bu disiplin kurulan şirketleri sürpriz krizlerden koruyan en güçlü perdedir.
