Giriş
Kaliforniya ve Nevada (eyaletleri), Ağustos 2023’te, Hilary Tropikal Fırtınasının saldırısına uğradı. Neyse ki herhangi bir ölüm yaşanmadı. Ancak fırtına, çoğunlukla çöl olan bölgelere rekor miktarda yağmur yağdırdı. Bu durum insanların hayatlarını, eyalet tarafından sağlanan hizmetleri ve bölgedeki işletmeleri sekteye uğrattı. Bölgedeki hükümet ve işletmeler için ciddi sağlık ve güvenlik tehlikelerine ve güvenlik risklerine neden olabilirdi. Bu, her türden kuruluşun tanımlaması ve hazır olması gereken bir tür risk olayıdır; belki son derece olağandışı ama aynı zamanda potansiyel olarak felakete yol açabilecek bir şeydir.
Hilary gibi yıkıcı olaylara hazırlıklı olmak, ister kamu ister özel olsun, her türden kuruluşun risk değerlendirme protokolleri oluşturma ihtiyacının ana nedenlerinden biridir. Risk değerlendirme araçları, riskleri tanımlar ve sınıflandırır, her bir riskin olasılığını ve ciddiyetini analiz eder ve bu riskleri önlemek, azaltmak veya ortadan kaldırmak için stratejiler geliştirir. Peki, kuruluşlar hem öngörülebilir hem de pek öngörülemeyen tehlikelere karşı kendilerini hangi stratejilerle hazırlayabilir?
1. Risk değerlendirmesi nedir?
Risk değerlendirmesi (risk assessment), belirli bir faaliyet veya proje ile ilişkili risklerin tanımlanması, analiz edilmesi ve değerlendirilmesi sürecidir. İşletmelerin ve devlet kurumlarının karşılaşabilecekleri potansiyel riskleri ve bunları nasıl azaltabileceklerini anlamalarına yardımcı olur.
Kamunun ve müşterilerin sağlık ve güvenliğinin korunması, kuruluşların ve projelerin finansal sağlığını ve sürdürülebilirliğini etkileyebilecek karar alma süreçlerinde önemli bir araçtır. Risk değerlendirmesi, bir işletmeye veya kamuya zarar verebilecek olaylarla sonuçlanabilecek tüm potansiyel riskleri ve sorunları belirleme ve analiz etme süreci olan risk analizinin önemli bir bileşenidir. Risk değerlendirmesi, kuruluşların karşılaşabilecekleri risklerin doğasını ve kapsamını anlamalarına ve kuruluşların hangi düzeyde riske istekli olduğu ve tolere edebildiği de dâhil olmak üzere risk yönetimi hakkında bilinçli karar vermelerine yardımcı olur. Aynı zamanda olası görünmeyen ancak aniden ve felaketle gerçekleşebilecek olayları ortaya çıkarmalarına da yardımcı olur.
Bu tür değerlendirmelerin neden bu kadar önemli olduğu, kuruluşun niteliğine göre değişir. İşletmeler için riskler; ürün arızası, temel üretim bileşenlerinin eksikliği ve veri ihlalleri gibi çeşitli biçimlerde olabilir. Pandemi döneminde birçok endüstri, otomobiller, ev aletleri ve imalat ekipmanları gibi çok çeşitli ürünler için giderek daha önemli hale gelen yarı iletken kıtlığı nedeniyle sekteye uğramıştır. Ekonomik açıdan kritik tatil perakende sezonunu da içeren 2023 yılının dördüncü çeyreğinde tedarik zincirleri, bu sefer Panama Kanalı’nı etkileyen benzeri görülmemiş ve öngörülemeyen kuraklık yüzünden bir kez daha sarsılabilir.
İş riskleri genellikle kurumsal riskler veya operasyonel riskler olarak kategorize edilir. Kurumsal riskler, iş hedeflerine ulaşmayla ilgili faaliyetleri içeren stratejik riskleri içerir. Bunlar aynı zamanda borç seviyeleri, nakit akışı eksiklikleri veya işletmenin kârlılığına zarar verebilecek yatırımlar gibi finansal riskleri de içerir. Yeni teknolojiler, özellikle de ChatGPT gibi üretken yapay zekâ sohbet robotları, birçok şirketin iş modellerini bozabilir ve onları olası uyumluluk zorluklarına açık hale getirebilir. Yetersiz siber güvenlik, önemli şirket veya müşteri verilerinin siber suçluların eline geçmesine neden olabilir. Sözleşmeler veya diğer iş anlaşmalarını içeren davalar gibi hukuki riskler vardır. Ayrıca yasal uyum (düzenleme yükümlülüklerini karşılamamayla) ile ilgili riskler de vardır.
Operasyonel riskler, insan hatası, üçüncü taraflardan, korsan yazılım saldırıları gibi siber güvenlik tehditlerinden, siyasi kargaşa ve doğal afetler gibi dış olaylardan ve hükümet düzenlemelerinden de dâhil olmak üzere çeşitli kaynaklardan gelebilir. Operasyonel risk, uygun şekilde yönetilmediği takdirde finansal kayıplara, itibar kaybına, yasal sorumluluğa veya iş kesintisine veya bunların herhangi bir kombinasyonuna neden olabilir. Bu riskler genellikle iç iş süreçlerini, sistemleri ve insanları içerir; ancak bazı dış olaylar (özellikle kuruluşun denizaşırı operasyonları varsa) bir kuruluşun faaliyetlerini dengeli bir şekilde sürdürme yeteneğini de olumsuz yönde etkileyebilir.
Devlet kurumları için riskler arasında güvenlik yönetimi de yer alır: Halk sağlığını ve güvenliğini tehlikeye atan tehlikeli olaylar. Geçtiğimiz yaz Maui’yi kasıp kavuran ölümcül yangınlar gibi doğal afetler bunun bariz örnekleridir. (Bu risk olayları aynı zamanda belirli işletmelerin operasyonları üzerinde de olumsuz bir etkiye sahip olabilir.) Tropikal Hilary Fırtınası ve Maui yangınları gibi “muhtemel olmayan” olayların meydana gelebileceği ve potansiyel olarak ciddi hasara yol açabileceği çok açık olmayan bir durumdur. Ancak kuruluşlar, risk değerlendirmesi yaparak bu riskleri azaltmak veya önlemek ve kaza, can kaybı ve mali kayıp gibi olumsuz sonuçların olasılığını azaltmak için adımlar atabilir.
Hem şirketler hem de hükümetler için, değerlendirme açısından özellikle önemli hedefler olan riskler, sağlık ve güvenlikle ilgili olanlardır. Sağlık ve güvenlik risk değerlendirmeleri elbette OSHA ve EPA[1] gibi federal kurumların misyonlarının temel parçalarıdır. Ancak işletmeler riskleri sağlık ve güvenlik açısından değerlendirmezlerse kendilerini tehlikeye atıyorlar. Tarım, imalat, otomotiv ve enerji gibi çok çeşitli endüstrilerin (sadece en göze çarpanlardan bazılarını belirtmek gerekirse), çalışanları ve tehlikedeki diğer paydaşları zor durumda bırakabilecek kimyasal sızıntı, ürün arızaları ve (bazı durumlarda) doğal afet olasılıklarını değerlendirmesi gerekir.
2. Risk değerlendirmesinin faydaları ve zorlukları
Bir risk değerlendirme yaklaşımı oluşturmak, kuruluşların kendilerini ve paydaşlarını etkileyebilecek potansiyel riskleri belirlemesine, değerlendirmesine ve yönetmesine yardımcı olabilir. Risk değerlendirmesi yaklaşımı kuruluşların kaynakları tahsis etmesine ve potansiyel iyileştirme alanlarını belirlemesine yardımcı olabilir. Risk değerlendirme yaklaşımının kullanılması, potansiyel risklerin değerlendirilmesi için otomatik bir sistem sağlayarak zamandan ve paradan tasarruf sağlayabilir.
Risk değerlendirmesi aynı zamanda kuruluşların risk yönetimindeki en son trendler konusunda güncel kalmasına da olanak tanır. Risk değerlendirmesi hiçbir zaman bir kez yapılmaz. Devam eden bir disiplindir ve bir kuruluşun değerlendirme yaklaşımı düzenli olarak gözden geçirilmeli ve gerektiğinde güncellenmelidir.
Risk değerlendirme yaklaşımını kullanmanın zorluklarından biri, toplanan verilerin doğru ve güncel olmasını sağlamaktır. Diğer bir zorluk ise risk değerlendirme yaklaşımının oluşturulması ve sürdürülmesi ile ilgili maliyetlerdir. Çalışan zamanının önemli bir kısmını bu yaklaşıma ayırmayı da içeren bu masraflar, birçok kuruluşun böyle bir yaklaşımı oluşturmakta veya bunu risk değerlendirmesinin gerektirdiği titizlikle yapmakta tereddüt etmesinin temel nedenidir. Yeni potansiyel risklerin belirlenmesini ve değerlendirmeye dâhil edilmesini içeren yaklaşımı güncel tutmanın da maliyetleri vardır.
Ancak bunu yapmamanın maliyeti daha da büyük olabilir. Şirketlerin ve devlet dairelerinin beklenmeyen tehlikelere hazırlıklı olması gerekir. Bol miktarda olması muhtemeldir.
3. Risk değerlendirmesinin adımları
Bir risk değerlendirme yaklaşımı oluşturmadan önce, risk yönetimi ekibinin ilk olarak risk yönetimi sürecini başlatarak karşılaşabilecekleri kapsamı, kaynakları, paydaşları ve karşılaşabilecekleri yasa ve düzenlemeleri (OSHA ve EPA tarafından yayınlananlar gibi) anlaması gerekir. Risk değerlendirme yaklaşımı, risk yönetimi süreci içindeki risklerin değerlendirilmesi ve önceliklendirilmesinin bir parçasıdır.
Bu yazının ilerleyen kısımlarında riski değerlendirmeye yönelik çeşitli yöntemler tartışılacaktır. Şimdilik bir kurumun riskleri yönetirken izlemesi gereken genel adımlara ve risk değerlendirmesinin nasıl yapılması gerektiğine bakalım.
3.1. Tehlikelerin belirlenmesi (identifying hazards)
Bu adım, olayı önlemek veya en azından hazırlık yapmak için insanlara, mülklere veya çevreye zarar verebilecek herhangi bir risk olayının tanımlanmasını içerir. Daha önce de belirttiğimiz gibi, doğal afetler tanımlanmış tehlikelerin açık bir örneğidir. Bir tesis veya ekipmanın tehlikeli kimyasalları karaya veya havaya saldığı olaylar da öyledir.
3.2. Risklerin değerlendirilmesi (assessing the risks)
Risk analizi sürecinin başladığı yer burasıdır, dolayısıyla risk değerlendirmesi de başlar. Riskleri analiz etmek için birçok yöntem olmasına rağmen bunların çoğu, risk yönetimi ekiplerinin hangi yöntemi kullanmaları gerektiğini seçmesi gereken niteliksel veya niceliksel kapsamına girmektedir.
Nitel yöntemler; kavramları, görüşleri veya deneyimleri anlamak için sayısal olmayan verilerin toplanmasını ve analiz edilmesini içerir. Bu yöntemler öncelikle keşif amaçlıdır ve altta yatan nedenler ve motivasyonlar hakkında fikir edinmek için kullanılır. Çalışma alanı iyi anlaşılmadığında teoriler geliştirmek için faydalıdırlar. Nitel araştırmalarda sıklıkla kullanılan teknikler arasında röportajlar, odak grupları ve gözlemler yer alır. Toplanan veriler genellikle metin tabanlı veya görseldir ve analiz, verilerdeki temaları ve kalıpları bulmayı amaçlayan yorumlayıcıdır.
Nicel yöntemler ise nicelleştirilebilen ve istatistiksel prosedürlere tabi tutulabilen sayısal verilerin toplanmasını ve analiz edilmesini içerir. Bu yöntemler hipotezleri test etmek, neden ve sonuca bakmak ve tahminlerde bulunmak için kullanılır. Daha büyük popülasyonlara genelleştirilebilecek ölçülebilir ve tipik olarak ölçeklenebilir sonuçlar sağlama açısından değerlidirler. Yaygın teknikler arasında kapalı uçlu sorular içeren anketler, deneyler ve korelasyonel çalışmalar yer alır. Analiz, verilerden sonuçlar elde etmek için matematiksel modellemeyi ve istatistiksel analizi içerir.
Riskleri değerlendirmek için daha birçok yöntem vardır. Örneklere daha sonra geçeceğiz ancak bir yöntem seçtikten sonraki adım, her bir tehlikeden kaynaklanabilecek zararın olasılığı ve ciddiyetine ilişkin bir risk değerlendirmesi yapmayı içerir. Kim ve ne zarar görebilir? Olay ne tür zararlara yol açabilir? Tehlikeli olayın kuruluşa veya kamuya maliyeti ne kadar olabilir? Risk yönetimi ekibi belirlendikten sonra, hangi risk faktörlerinin yakın zamanda gerçekleşebileceğine, hangilerinin kuruluş üzerinde en fazla yüksek potansiyel etkiye neden olabileceğine veya her ikisinin bir kombinasyonuna neden olabileceğine öncelik vermeye başlamalıdır.
3.3. Risklerin önceliklendirilmesi (prioritizing the risks)
Bu noktada aslında risk analizi süreci bitiyor ancak risk değerlendirme yaklaşımı devam ediyor. Bir kuruluşun risk değerlendirme yaklaşımı, hangi risklerin ilk önce ve derhal ele alınması gerektiğine öncelik vererek devam eder. Bu etki, sıklık, kurulum süresi, müşteri korkuları, maliyetler ve diğer puanlara dayanabilir.
3.4. Risklerin kontrol edilmesi (controlling the risks)
Riskler tanımlanıp değerlendirildikten sonra risk yönetimi ekibi, kuruluşun bu riskleri ortadan kaldırmak veya azaltmak için atması gereken adımları belirlemelidir. Ayrıca bu kontrol tedbirlerinin maliyetlerine de bakılması ve bunların önleme veya hafifletme değerini aşıp aşmadığına bakması gerekecektir. Bazı durumlarda kuruluş, azaltmanın önlemeden daha uygun maliyetli olduğuna karar verebilir.
3.5. Bulguların kaydedilmesi (recording the findings)
Tehlikenin tanımlanması ve risk yönetimi için uygulanan kontrol önlemleri de dâhil olmak üzere risk yönetimi sürecinin sonuçlarının belgelenmesi, hem çalışanlar hem de yönetim için temel iletişimdir. Olası bir risk olayına ilişkin karar verme sorumluluğu bulunan tüm paydaşların böyle bir olayı nasıl öngöreceklerini, nasıl tespit edeceklerini ve meydana gelmesi durumunda nasıl müdahale edeceklerini bilmeleri gerekmektedir.
3.6. Sürecin gözden geçirilmesi (reviewing the process)
Son olarak, kuruluşun risk yönetiminin etkili kalmasını sağlamak için oluşturduğu kontrol önlemlerinin etkinliğini periyodik olarak gözden geçirmesi gerekir. Bu durum özellikle kuruluşun iş akışında yeni adımlar, ekipman, teknolojiler, süreçler veya başka değişiklikler getirdiği durumlarda veya tehlike tanımlamasının yeni potansiyel riskleri ortaya çıkardığı durumlarda geçerlidir.
4. Farklı risk değerlendirme yöntemleri
Bir kuruluşun risk değerlendirmesi yaparken kullanabileceği çok sayıda yöntem bulunmaktadır. İşte en yaygın kullanılanlar. Potansiyel riskler ile varsayımsal riskler arasında bir ayrım olduğu unutulmamalıdır. Basitçe ifade etmek gerekirse, potansiyel risklerin gerçekleşme olasılığı, hiçbir zaman gerçekleşmeyebilecek olasılıklar olan varsayımsal risklerden daha yüksektir. Bununla birlikte, bir kuruluş her iki türü de değerlendirmeyi düşünmelidir. Beklenmedik bir risk hâlâ çok gerçek bir olaya ve kuruluş için çok gerçek bir soruna dönüşebilir.
4.1. Potansiyel riskleri değerlendirme yöntemleri (methods for assessing potential risks)
4.1.1. Risk değerlendirme matrisi (risk assessment matrix)
Risk matrisi, potansiyel risklerin olasılığını ve ciddiyetini değerlendirmek için kullanılan görsel bir araçtır. Risklerin ortaya çıkma olasılığına ve ciddiyetine değerler atayan bir matris üzerinde risklerin çizilmesini içerir. Bu, bir kuruluşun “risk ekibinin” riskleri önceliklendirmesine ve uygun risk azaltma stratejilerini belirlemesine yardımcı olabilir. Ayrıca tolere etmeye istekli olduğu risk düzeyinin belirlenmesine de yardımcı olabilir.
4.1.2. Nicel değerlendirmeler (quantitative assessments)
Bu yöntemde, riski değerlendirmek için matematiksel modeller ile istatistiksel yöntemler kullanılır. Bu yöntem, karmaşık sistemleri analiz etmek ve potansiyel risklerin olasılığını ve ciddiyetini değerlendirmek için kullanılabilir.
4.1.3. Niteliksel değerlendirmeler (qualitative assessments)
Bu yaklaşım, riski uzman görüşü, deneyim ve yargıyı içerebilen öznel veya “anlatı” kanıtlarına dayalı olarak analiz eder. Bu yöntem, niceliksel verilerin mevcut olmadığı durumlarda veya yeni ya da test edilmemiş teknolojilerle ilişkili risklerin değerlendirilmesinde yararlı olabilir.
4.2. Varsayımsal riskleri değerlendirme yöntemleri (methods for assessing hypothetical risks)
4.2.1. Eğer olursa analizi (what-if analysis)
Bu yöntem, potansiyel riskleri ve sonuçlarını, özellikle de hemen görünmeyebilecek potansiyel riskleri belirlemek ve değerlendirmek için bir dizi “ya olursa” sorusunun sorulmasını içerir. Bu yöntem genellikle tasarım, yapım, değişiklik veya işletme amacından olası sapmaları arar. Durum analizi, yeni projeler veya girişimlerle ilişkili potansiyel risklerin tespit edilmesinde yardımcı olabilir.
4.2.2. Senaryo analizi (scenario analysis)
Senaryo risk analizi, potansiyel olarak gerçekleşebilecek varsayımsal senaryoların oluşturulmasını ve ardından her senaryoyla ilişkili risklerin değerlendirilmesini içerir. Bu, paydaşların potansiyel güvenlik açıklarını belirlemesine ve bu riskleri azaltmak için acil durum planları hazırlamasına yardımcı olabilir.
4.3. Sistem risklerini değerlendirme yöntemleri (methods for assessing system risks)
4.3.1. Hata ağacı analizi
Hata ağacı analizi (fault tree analysis), bir tehlikenin veya sistem arızasının nedenlerini belirlemeye yönelik yukarıdan aşağıya bir yaklaşımdır. Başarısızlığa veya tehlikeye yol açan tüm olası yolları haritalandıran bir diyagram oluşturmayı ve ardından potansiyel nedenleri ve katkıda bulunan faktörleri belirlemek için her yolu analiz etmeyi içerir. Faktörler genellikle donanım arızaları, yazılım arızaları ve insan hatalarından oluşan kombinasyonları içerir ve risk analizindeki paydaşlar “Bu nasıl olabilir?” diye sorar. Hata ağacı analizi, nükleer santraller ve havacılık bileşenleri gibi karmaşık sistemlerle ilişkili riskleri değerlendirmek için kullanılabilir.
4.3.2. Arıza modları ve etki analizi
Arıza modları ve etkileri analizi (failure modes and effects analysis), bir üretim veya montaj sürecinde veya bir ürün veya hizmette hatalar veya kusurlar gibi tüm potansiyel arızaları tanımlamanın ve değerlendirmenin bir yoludur. Arıza modları ve etkileri analizi, ürün veya sistem tasarım sürecinin başlarında başlar. Bir sistemi veya süreci daha küçük bileşenlere ayırmayı ve ardından her bir bileşeni potansiyel arızaları ve etkilerini belirlemek için analiz etmeyi içerir. Bu yöntemi kullanan kuruluşlar riskleri, sonuçlarının ne kadar ciddi olduğuna, ne sıklıkta ortaya çıktığına, ne kadar kolay tespit edilebildiğine ve etkilerinin ne kadar ciddi olabileceğine göre önceliklendirir. Arıza modları ve etkileri analizi, otomotiv üretimi, havacılık ve sağlık gibi sektörlerde yaygın olarak kullanılmaktadır.
4.3.3. Tehlike ve çalışabilirlik analizi
Arıza modları ve etkileri analizi gibi bir risk değerlendirme yöntemi, tehlike ve işletilebilirlik analizidir (hazard and operability analysis). Arıza modları ve etkileri analizi gibi tehlike ve işletilebilirlik analizi de bir sistemi veya süreci daha küçük bileşenlere ayırmayı ve her bir bileşeni potansiyel tehlikeler ve çalışabilirlik sorunları açısından incelemeyi içerir. Öncelikli olarak kimyasal ve malzeme işleme şirketleri tarafından kullanılan tehlike ve işletilebilirlik analizi, sistemdeki tehlikelerin tanımlanmasının yanı sıra prosesin bozulmasına veya tehlikeli ürün arızasına yol açabilecek işletilebilirlik sorunlarına da yardımcı olabilir.
5. Risk değerlendirmesi için en iyi uygulamalar
Risk değerlendirmesi, risk yönetiminin kritik bir bileşenidir ve kuruluşların riskleri tanımlamasına, değerlendirmesine ve önceliklendirmesine yardımcı olur. Etkili bir risk değerlendirme yaklaşımı için en iyi beş uygulama burada bulunabilir:
5.1. Açık Bir Çerçeve Oluşturma (establish a clear framework):
- Risk değerlendirmesinin kapsamı ve hedeflerinin açıkça tanımlanması.
- Ortaya çıkma olasılığı ve potansiyel etki de dâhil olmak üzere, riskin değerlendirilmesine yönelik ölçütlerin oluşturulması.
- Çerçevenin kuruluşun genel risk yönetimi stratejisiyle uyumlu olduğundan emin olunması.
5.2. Doğru Paydaşları Dâhil Etme (involve the right stakeholders):
- Potansiyel riskler hakkında farklı bakış açıları sağlamak için kuruluşun çeşitli bölümlerinden çeşitli paydaş gruplarının dâhil edilmesi. Paydaşların dâhil edilmesi yalnızca çeşitli içgörüler sağlamakla kalmaz, aynı zamanda risk azaltma stratejilerinin uygulanmasında daha geniş kabul ve kararlılığı da sağlar.
5.3. Niteliksel ve Niceliksel Yöntemlerin Bir Kombinasyonunu Kullanma (use a combination of qualitative and quantitative methods):
- Uzman görüşmeleri ve SWOT[2] analizi gibi nitel yöntemler, risklerin belirlenmesi ve bunların sonuçlarına ilişkin içyüzünü anlama elde edilmesi açısından faydalıdır.
- İstatistiksel analiz ve modelleme gibi nicel yöntemler, risklerin ölçülmesine ve etkilerinin tahmin edilmesine yardımcı olur.
- Her iki yaklaşımın birleştirilmesi, risklerin daha kapsamlı anlaşılmasını sağlar.
5.4. Düzenli Olarak Güncelleme ve İnceleme (regularly update and review):
- Risk değerlendirmesi tek seferlik bir faaliyet değildir. Yeni riskleri ve mevcut risklerdeki değişiklikleri hesaba katmak için düzenli incelemeler ve güncellemeler gereklidir.
- Periyodik yeniden değerlendirme için bir program oluşturulmalı ve risk yönetimi planı buna göre güncellenmelidir.
5.5. Dokümantasyon ve Raporlama (documentation and reporting)
- Risk değerlendirme süreci sırasında alınan tüm bulgular, metodolojiler ve kararlar belgelenmelidir.
- Riskleri, potansiyel etkilerini ve önerilen azaltma stratejilerini özetleyen açık ve kısa raporlar hazırlanmalıdır.
- Dokümantasyonun denetim amacıyla ve gelecekteki değerlendirmelere bilgi sağlamak amacıyla erişilebilir olduğundan emin olunmalıdır.
- Bu en iyi uygulamaların uygulanması, risk değerlendirme yaklaşımının etkinliğini artırabilir ve bir kuruluş içinde daha iyi risk yönetimine ve karar almaya yol açabilir.
Sonuç
Sonuç olarak risk değerlendirmesi, tüm sektörlerdeki kuruluşların potansiyel riskleri etkili bir şekilde değerlendirmeleri ve önceliklendirmeleri için temel bir araç olarak hizmet eder. Yapılandırılmış bir risk değerlendirme yaklaşımı uygulayarak kuruluşlar hem öngörülebilir hem de beklenmeyen olaylara proaktif bir şekilde hazırlanabilirler, böylece olası zararlar en aza indirilebilir ve operasyonel süreklilik sağlanabilir.
Hem niteliksel hem de niceliksel yöntemlerin entegrasyonu, analizi zenginleştirerek risk şiddeti ve olasılığı konusunda dengeli bir bakış açısı sağlar. Düzenli güncellemeler, paydaş katılımı ve kapsamlı dokümantasyon, risk yönetimi stratejisinin sağlamlığını daha da artırır. Sonuçta, iyi yürütülen bir risk değerlendirmesi, kuruluşu yalnızca potansiyel tehditlere karşı korumakla kalmaz, aynı zamanda stratejik karar almayı da destekleyerek kuruluşun uzun vadeli dayanıklılığına ve başarısına katkıda bulunur.
[1] OSHA: Occupational Safety and Health Administration (İş Güvenliği ve Sağlığı İdaresi); EPA: Environmental Protection Agency (Çevreyi Koruma Ajansı)
[2] SWOT: [Strengths (Güçlü Yönler), Weaknesses (Zayıf Yönler), Opportunities (Fırsatlar) ve Threats (Tehditler)].
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.