‘Risk Değerlendirme Matrisi’ [Özel Sektör ve Kamu Sektörü Kuruluşları Bakımından Önemi]*

Giriş

Risk, ister özel sektörde ister kamu sektöründe faaliyet göstersin, her kuruluş için yaşamın bir gerçeğidir. Kuruluşlar için riskler mutlaka kötü değildir. Yeni büyüme ve artan kârlılık için fırsatlar sağlayabilirler. Yine de risklerin daha öngörülemez, daha çok sayıda ve potansiyel olarak daha tehlikeli hale geldiğine dair işaretler vardır. Ekonomik belirsizlikler, benzeri görülmemiş iklim olayları, dijital platformlara artan bağımlılık, yeni ve gelişen teknolojiler ve hem Amerika Birleşik Devletleri’nde (ABD) hem de yurtdışındaki siyasi kutuplaşma, en iyi şekilde hazırlanmış planların ters gitmesi için birçok fırsat sunmaktadır.

Hem işletmeler hem de devlet kurumları için risklerin büyüklüğü ve karmaşıklığı artmakta ve büyümeye devam etmesi muhtemel görünmektedir. Bu nedenle risk değerlendirme matrisinin (risk assessment matrix) geliştirilmesi ve kullanılması her zamankinden daha önemlidir.

1. Risk değerlendirme matrisi

Bazen olasılık ve şiddet matrisi veya ihtimal ve etki matrisi olarak (probability and severity matrix or a likelihood and impact matrix) da adlandırılan risk değerlendirme matrisi, bir kuruluşa zarar verebilecek potansiyel riskleri değerlendirmek ve önceliklendirmek için görsel bir araçtır. Tipik bir risk matrisi iki eksende düzenlenir ki; bir eksende risk hadisesinin olasılığı ve diğer eksende risk etkisinin şiddeti çizilir. Matristeki her hücre belirli bir risk senaryosunu temsil eder ve olasılık ve şiddet değerlerinin kesişimine dayalı olarak karşılık gelen bir risk düzeyine atanır. Farklı risk düzeylerini (yüksek riskler ve düşük riskler) kategorize ederek, bir risk değerlendirme matrisi kuruluşların karar almalarına yardımcı olabilir ve mevcut belirsizlik ortamında riskleri daha etkili bir şekilde yönetebilmeleri için onları daha etkili bir biçimde konumlandıran eylem planları oluşturabilir.

Risk değerlendirme matrisi, bir kuruluşun riskleri sistematik ve yapılandırılmış bir şekilde tanımlamasına, değerlendirmesine ve yönetmesine olanak tanır. Kuruluşlar, risk analizi sürecini üstlenerek ve çeşitli risk senaryoları ile birlikte hem yüksek riskleri hem de düşük riskleri belirleyerek, risk etkisi hakkında bilinçli kararlar alabilir. Sonuç olarak varlıklarını, itibarlarını ve operasyonlarını yıkıcı risk olaylarına karşı korumak için sağlam eylemler oluşturabilirler. Bu tür kontroller hâlihazırda mevcutsa, bir risk matrisi bir kuruluşun bu kontrollerin riski ele almak için yeterli olup olmadığını değerlendirmesine (de) yardımcı olabilir.

Bir risk matrisi, belirli bir faaliyet veya proje ile ilişkili risklerin tanımlanması, analiz edilmesi ve değerlendirilmesi süreci olan “risk değerlendirme yaklaşımı”nda çok önemli bir rol oynayabilir. Ürün geliştirme, yeni hizmet tanıtımları ve diğer temel işletim görevleri gibi girişimlerin devam eden uygulanabilirliği belirli risk olayları nedeniyle raydan çıkabileceğinden, potansiyel riskleri belirleyerek bir risk matrisi proje yönetimiyle kesişir.

Örneğin, inşaatı içeren bir proje, tedarik zinciri sorunları nedeniyle yavaşlayabilir. Bu, kereste, yapısal çelik ve yarı iletkenler gibi ürünlerin elde edilmesinin giderek zorlaştığı pandemi döneminde birçok işletme için çok yaygın bir sorun haline gelmiştir. Şirketler bu tür eksikliklere yönelik planlar yapabilse de birçok bileşenin fiyatı da artabilir; öyle ki maliyetler bir projeyi karşılanamaz hale getirebilir. Tedarik zinciri risklerinin dış güçlerle kesiştiği durumlar da vardır. Bu yılki (2024) benzeri görülmemiş Panama Kanalı kuraklığı, ithal edilen malların ve bileşenlerin bulunabilirliği üzerinde yeni bir hasara yol açabilir. Bir risk değerlendirme matrisi bu tür risklerin ön plana çıkarılmasına yardımcı olmalıdır.

2. Risk matrisinin önemli olma nedeni

Bir risk matrisi geliştirirken, en geniş çapta uygulanabilir (yani misyona bakılmaksızın çoğu kuruluşa uygulanabilir) risk alanları arasında iklim değişikliği, satıcılar ve diğer üçüncü taraf ilişkileri, tedarik zincirleri, siber güvenlik, yetenek kazanımı ve elde tutulması ve yıkıcı yeni teknolojiler yer alır. Şu anda en yıkıcı potansiyele sahip yeni gelişen teknolojilerden biri, çok sayıda iş modelini alt üst edebilecek (yenilik ve büyüme için yeni fırsatlar yaratmanın yanı sıra) üretken yapay zekâdır (generative artificial intelligence).

Riskin bir diğer temel kaynağı ise enflasyon, faiz oranları ve tüketici harcama seviyeleri gibi ekonomik belirsizliklerdir ki; bunlar yalnızca şirketlerin kendisini değil aynı zamanda onlara hizmet veren diğer çeşitli işletmeleri (distribütörler, profesyonel hizmet sağlayıcılar ve finansal hizmet firmaları gibi) de etkileyebilir.

Kuruluşların karşılaştığı risklerden bazıları açık olabilir. Örneğin çoğu, yetenek eksikliğiyle uğraşmak zorunda kalıyor; vasıflı ve hatta o kadar da vasıfsız çalışanları bulmak genellikle zordur. Diğerleri ise daha tahmin edilemez durumdadır. Pandemi, neredeyse her kuruluşa mal olan, öngörülemeyen bir riskin açıkça bir örneğidir. Hem özel hem de kamu kuruluşlarının artık yeni Kovid varyantının ne gibi etkiler yaratabileceğini değerlendirmesi gerekir.

Finansal kurumlar uzun süredir riske karşı tetiktedir. Bu risklerden bazıları, özellikle küçük bölgesel bankalara zarar veren faiz oranlarının artması gibi iyi bilinmektedir. Diğerleri ise daha belirsizdir ve potansiyel tehlikeleri daha öngörülemezdir. Son zamanlarda, faiz oranları yükselmeye devam ettikçe, giderek daha fazla banka “aracılı mevduat sertifikaları” (brokered certificate of deposit) olarak da adlandırılan şeyleri almaktadır. Bankalar bu yüksek getirili mevduat sertifikalarını aracı kurumlar vasıtasıyla satmaktadır. Çok sayıda yeni müşteri çekebilirler ancak bu müşteriler, başka yerlerde daha iyi fiyatlar bulabilirlerse ortadan kaybolabilirler.

Devlet kurumları için riskler nadiren iyileştirme fırsatlarıdır. Şu anda kamu sektörünün karşı karşıya olduğu en büyük risklerden biri sosyal yardım dolandırıcılığıdır. Sürekli sağlık yardımı (medicaid) kayıt programının 2023 yılı baharında sona ermesi, milyonlarca insanın yeniden kaydolmaya ve dolandırıcıların yasadışı yoldan para kazanmaya çalışacağı anlamına gelir. Ve tabii ki kolluk kuvvetleri işlevi her zaman risklerle dolu olmuştur. Yeni düzenlemeler ve kalifiye personel eksikliği işleri daha da öngörülemez hale getirmektedir.

Kuruluş ister bir işletme ister bir devlet kurumu olsun, risklerin önceliklendirilmesi önemlidir. Risk düzeyleri ve risk türleri farklılık gösterir. Bazı riskler yıkıcı etkilere yol açabilir; diğerlerinin bunu yapma olasılığı çok daha düşüktür. Bir kuruluşun kaynakları buna göre tahsis edilmelidir. Bir risk matrisi, risk yönetimi için hedefli stratejiler oluşturulmasını sağlayabilir. Kuruluşlar bir risk matrisi oluşturarak en acil tehditleri belirleyebilir, eylem planları geliştirebilir ve uygun risk azaltma önlemlerini alabilir. Risk seviyelerini farklı senaryolara atayarak kuruluşlar dikkatlerini odaklayabilir ve kaynakları en büyük tehditleri oluşturan risklere tahsis edebilir. Bu, sınırlı kaynakların verimli ve etkili kullanılmasını sağlarken, potansiyel risk etkilerini de en aza indirir. Özetle, bir risk matrisi kuruluşların risk ortamlarına ilişkin daha derin bir anlayış geliştirmelerine yardımcı olur.

Bir risk matrisi aynı zamanda her tür kuruluşun riskleri ortaya çıktıkça ve geliştikçe takip etmesine de yardımcı olabilir; çünkü bir riskin potansiyel zararı henüz kolayca görülemeyebilir. Üstelik bazı tehditler bir sonraki yıl veya daha sonraki bir yıl yeniden ortaya çıkabilir. Sürekli değişen bir risk ortamında, bir risk matrisi, kuruluş içindeki paydaşların eylem planları geliştirmesine ve operasyonel sürekliliği devam ettirmesine yardımcı olabilir.

Risk değerlendirme matrisi geliştirmenin başka bir faydası daha vardır: Hem iç hem de dış paydaşlara, organizasyon liderliğinin risk yönetimini son derece ciddiyetle yürüttüğünü gösterebilir.

3. Risk değerlendirme matrisinin oluşturulması

Bir risk matrisi geliştirirken -ve bu, risk yönetiminin tüm unsurları için geçerlidir- bir kuruluşun her riski açıkça tanımlaması ve her riskin nasıl ele alınması gerektiği konusunda özellikli olması gerekir. Ayrıca proje yönetimi sürecinin bir parçası olarak her proje için risk değerlendirmeleri yapmalı ve sürdürmelidir. Kuruluşlar bunu yaparak, belirli bir proje riskinin başka bir projeyle örtüşmesi durumunda ortaya çıkan modelleri görebilir.

Elbette bu tasarım organizasyonun türüne ve faaliyetlerine göre değişiklik gösterecektir. Ancak genel olarak risk değerlendirme matrisi oluşturma süreci aşağıdaki adımları izlemelidir:

  • Risklerin belirlenmesi (identifying the risks): Bu adımda kuruluşların operasyonlarını, hedeflerini veya işlevlerini etkileyebilecek tüm potansiyel riskleri tanımlamaları gerekir. Bu, tehdit oluşturabilecek iç ve dış faktörlerin kapsamlı bir analizinin yapılmasını içerir. İşletmeler için bu tehditler büyük olasılıkla operasyonel, finansal ve kurumsal riskleri içerecektir.
  • Risklerin tanımlanması (defining the risks): Riskler belirlendikten sonra ayrıntılı olarak tanımlanmaları ve açıklanmaları gerekir. Bu, riskin ortaya çıkma olasılığının ve sonuçların potansiyel etkisinin değerlendirilmesini içerir. Kuruluşlar bu faktörleri anlayarak riskleri yönetme ve azaltma çabalarına öncelik verebilir.
  • Risklerin değerlendirilmesi (assessing the risks): Bir sonraki adım bunların ciddiyetini değerlendirmek ve bunları farklı risk seviyelerine göre sınıflandırmaktır. Bu, her bir riskin olasılığını ve etkisini değerlendirerek veya hesaplayarak yapılabilir. Tipik olarak değerlendirmeler, zarar verme veya aksama yaratma potansiyellerine bağlı olarak yüksek risk, orta risk veya düşük risk olarak bir risk derecelendirmesine göre sınıflandırılabilir.
  • Risklerin önceliklendirilmesi (prioritizing the risks): Riskler değerlendirilip kategorize edildikten sonra, potansiyel etkilerine göre bunların önceliklendirilmesi önemlidir. Kuruluşlar oluşması en muhtemel ve en tehlikeli riskleri belirleyerek kaynakları daha etkili bir şekilde tahsis edebilir ve bunları yönetmek ve azaltmak için stratejiler geliştirebilir.

Bir risk değerlendirme matrisi tipik olarak niceliksel ve niteliksel bir kombinasyon olarak kategorize edilir. Niceliksel matrisler, terimin de belirttiği gibi, bir riskin ne kadar olası olduğunu ve ne düzeyde bir etkiye sahip olabileceğini belirlemek için büyük ölçüde sayısal verilere dayanır. Daha az karmaşık risk durumları için, geliştirilmesi nispeten kolay olduğundan niteliksel bir matris tercih edilebilir. Riskleri öncelikle subjektif yargı ve gözlemlere dayanarak değerlendirir.

4. Risk değerlendirme matrisi oluşturulmasından sonraki adımlar

Bir risk matrisi geliştirildiğinde kuruluşun risk yönetimi için eylem planları geliştirmesi gerekir. Mümkün olduğunda, herhangi bir risk yönetimi planının amacı, bir riskin operasyonel aksamaya neden olmasını önlemek olacaktır. Bu, özellikle risk etkisinden kaçınmak için mümkün olan her stratejiyi belirlemenin ve uygulamaya koymanın tek gerçek seçenek olduğu, potansiyel olarak yıkıcı bir risk olayı için geçerlidir. Ancak bazı durumlarda kuruluş, önleme maliyetlerinin risk etkisinden kaynaklanan kayıplardan daha yüksek olacağına karar verebilir. Bu durumlarda en iyi strateji, risk olayının neden olabileceği zararları azaltmaya yönelik bir hafifletme planı olabilir.

  • Bir prosedür geliştirme (develop a procedure): Risk matrisine ve diğer risk değerlendirme araçlarına dayanarak, bir kuruluş muhtemelen risk olaylarını tespit etmek, önlemek veya hafifletmek için iç kontroller geliştirmek isteyecektir. Politikalar ve prosedürler, daha sağlam mevzuat uyumunu, dolandırıcılığı önleme protokollerini ve tutarlı finansal raporlamayı içerebilir.
  • Verimliliği izleme (monitor and track efficiency): Kuruluş, risk matrisini oluşturduktan ve risk önleme ve azaltma stratejilerini uyguladıktan sonra, gerektiğinde ayarlamalar yaparak bunların etkinliğini izlemeli ve takip etmelidir. Genel bir kural, matrisin ve genel risk yönetimi stratejisinin gözden geçirilmesinin yılda en az bir kez yapılması gerektiğidir. Çok az risk statiktir. Etki veya olasılık puanlamasında yukarı veya aşağı gidebilirler. Dahası, geçmişteki hafifletme stratejileri güncelliğini yitirebilir veya etkisiz hale gelebilir. Ve elbette yeni potansiyel risklerin ortaya çıkması muhtemeldir ve bunların tanımlanması gerekecektir. Örneğin bir kuruluş, iş akışında yeni adımlar, ekipman, teknolojiler, süreçler veya başka değişiklikler getirdiğinde veya tehlike tanımlaması yeni potansiyel riskleri ortaya çıkardığında risk değerlendirmesini ve risk yönetimi eylem planlarını güncellemelidir. Güncelleme aynı zamanda düzenleyici, ekonomik ve jeopolitik değişikliklerin yanı sıra tıbbi ve iklimsel risk olaylarının (pandemi, kuraklık, sel vb.) neden olabileceği potansiyel aksaklıkları da içermelidir.
  • İletişim protokolleri oluşturma (establish communication protocols): Bir kuruluşun aynı zamanda risk iletişim protokolleri oluşturması gerektiği açık olmalıdır. Risk değerlendirmesinin bulgularının ilgili paydaşlara iletilmesi ve belirlenen risklerin etkili bir şekilde yönetilip kontrol edildiğine dair güvence verilmesi önemlidir. Kuruluşa ve çalışmasına bağlı olarak bu protokoller, bir risk olayından etkilenmesi muhtemel tüm paydaşları içeren bir yanıt planı içermelidir. Bu paydaşlar yönetim kurulu üyelerini, proje yöneticilerini, iç ve dış iletişimleri, kriz yönetimini ve halkla ilişkiler liderlerini ve danışmanlarını içerebilir. Müşterilerin ve satıcıların ayrıca üretimi veya ödemeleri etkileyebilecek herhangi bir risk olayından (özellikle yıkıcı bir olaydan) haberdar edilmesi gerekebilir. Amaç, tüm paydaşların risk kaynaklı bir krizi nasıl yönetmeleri gerekebileceği konusunda bilinçli kararlar almalarına olanak sağlamaktır.

Sonuç

Risk değerlendirme matrisi, son derece yararlı bir araç olmasına rağmen, risk yönetimi için bir kerede uygulanan her derde deva değildir. Bir kuruluşun yine de risklerin olasılığını ve tehlikesini belirlemek için kullandığı verilerin güvenilir ve güncel olduğundan emin olması gerekir. Matris ayrıca bir kuruluşun henüz karşılaşmadığı riskleri gözden kaçırmasına veya en aza indirmesine neden olabilir. Başka bir deyişle, risk matrisi genel risk değerlendirme yaklaşımının, risk analizi sürecinin ve risk yönetimi çerçevesinin önemli bir parçası olsa da yalnızca bir parçasıdır. Genel olarak risk analizi stratejileri gibi, risk matrisinin de düzenli olarak güncellenmesi gerekir. Bir kuruluşun karşılaştığı en büyük riskler genellikle en “öngörülemez” olanlardır.

*Bu konuda lütfen bkz. “Yavuz Akbulak (Türkçeye Çeviren), Risk Değerlendirmesi: Genel Bir Bakış, Legal Blog, 7 Haziran 2024”.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.