Risk Matrisi Nedir? Nasıl Oluşturulur?
Türk Dil Kurumuna göre risk; Zarara uğrama tehlikesidir. Şirketler için ise risk, ne zaman gerçekleşeceği belli olmayan fakat gerçekleşirse şirkete zarar verecek olan olayların tümüdür.
İlk olarak Amerikan askeri standardının sistem güvenlik ihtiyaçlarının karşılanması amacıyla geliştirilmiş olup, mevcut tehditlerin gerçekleşme olasılıkları ve bu olasılıkların gerçekleşmesi durumunda ortaya çıkabilecek kayıpların tespit edilmesi ve var olan tehditlerin kabul edilebilir olup olmadıklarının belirlenebilmesi amacıyla kullanılmıştır. Bu bağlamda risk matrisleri, iki veya daha fazla değişken arasındaki ilişkiyi analiz etmekte kullanılan bir değerlendirme aracı olarak ifade edilebilir.
Risk matrislerini oluşturmak için öncelikle riskleri belirlemek ve değerlendirmek gerekmektedir. Risk ile ilgili önceki yazımızda risklerin belirlenmesi ve değerlendirmesinden bahsettiğim için bu kısımları biraz kısa tutacağım. Okumak isteyenler için yazının adresini buraya ekliyorum:
Risklerin tespiti için öncelikle şirketin süreçleri ve işleri belirlenerek, risklerin tespit edilmesine çalışılır. Bu aşamada süreç sahipleri yapılan görüşmeler, sistemsel kontroller, mevzuat taramaları gibi yöntemlerle riskler tespit edilir. Risk tespitinde sadece iç faktörlere odaklanılmamalı, süreçleri etkileyebilecek teknolojik gelişmeler ve toplumsal olaylar, kanun değişiklikleri gibi dış faktörlerin de etkili olabileceğini göz önünde bulundurmak gerekmektedir.
Süreç veya iş düzeyinde riskler tespit edildikten sonra, risklerin değerlendirilmesi gerekmektedir. Burada süreç veya bir işle ilgili risklerin meydana gelme olasılığı ve etkisi gibi iki önemli husus öne çıkmaktadır. Bu iki değişkenin bir tabloda değerlendirilerek analiz edilmesiyle risk matrisi oluşmaktadır. Tabloda tespit edilen her risk için olasılık ve etki(şiddet) yönünden puan verilerek değerlendirme yapılır. Değerlendirmeler sonucunda etki ve olasılık değerlerinin çarpımı ile risk puanı elde edilir.
Riskin Etkisi
Riskin etkisi, belirlenen riskin gerçekleşmesi halinde yaratacağı olumsuz sonuçların boyutudur. Genel olarak etki belirlenmeye çalışılırken olabilecek en olumsuz sonucu düşünülerek çalışma gerçekleştirilir.
Günümüzde risklerin belirlenmesinde 3’lü ya da 5’li olan tabloların kullanıldığı görülmektedir. Şirketlerde genel olarak 5’li tablo yani etki ve olasılık dereceleri 5 ölçekte değerlendirilen tablo kullanılır fakat 3’lü tablonun kullanılmasında bir sakınca olmamaktadır. Genel kullanım örneği olan 5’li tablo ya da daha doğru bir ifade ile 5’li matris(5×5 matris) üzerinden açıklamalarımıza geçelim. 3’lü matrisi kullanmak isteyenler de etki ve olasılıkları “Yüksek, Orta ve Düşük” olarak tanımlamayarak, açıklamaları da ona göre değerlendirerek bir fikir elde edebilir.
| ETKİ DERECELERİ | Açıklamalar |
| Çok Yüksek | Çok büyük ölçekli maddi zarar, ölüm riski, işletme faaliyetlerinin tamamen durma ihtimali, şirketin hedeflerine büyük zarar verebilecek bir etki |
| Yüksek | Büyük maddi zarar, çok ciddi yaralanmalar, işletmenin faaliyetlerinin kısmen durdurma ihtimali, şirketin hedeflerini etkileyebilecek bir etki |
| Orta | Telafisi mümkün olan zararlar, kısmi iş gücü veya zaman kaybı oluşturabilecek durumlar |
| Düşük | Küçük ve önemsiz etkiler |
| Çok Düşük | Maddi bir kayıp yok, çok küçük veya önemsiz etkiler |
Faaliyetin, işin veya projenin maruz kalabileceği risklerin etkilerini değerlendirmek için bazı sorular yardımcı olacaktır. Yapılan işe göre soracağınız sorular değişmekle birlikte başlangıç için bir kaç örnek verelim. Bu risk meydana gelirse;
- Şirketin ya da projenin maddi zararı ne olur? Çalışanların sağlığı ne ölçüde etkilenir?
- Bu durumun şirketin veya projenin itibarına etkisi ne olur? Daha sonrasında bu itibar kaybı neleri etkiler?
- Operasyonel olarak etkisi ne olur? Hangi faaliyetler etkilenebilir veya yavaşlamalar yaşanabilir?
Riskin Olasılığı
Risk matrisimizi oluşturmak için ikinci husus olan olasılığı yani riskin gerçekleşme ihtimalini, sıklığını belirlemek gerekecektir. Risk değerlendirmesi hangi konu ya da iş alanı için yapılıyorsa ona uygun soruların sorulması gerekecektir. Bunun için de bir kaç örnek soru soralım.
- Bu risk daha önce bulunduğunuz yerde/projede meydana geldi mi? Geldiyse sıklığı ne oldu?
- Daha önce tamamlanmış ya da faal olan benzer işlerde/projelerde ne kadar sıklıkla karşılaşıldı?
- Bu riskin olma ihtimali nedir? Riskin oluşması önündeki engeller/kontroller neler? Bu engeller ve kontroller riski ne kadar süre erteleyebilir?
Bir riskin gerçekleşme olasılığını belirlerken şu durumları da göz önünde bulundurmak gerekmektedir:
Yasal düzenlemeler olup olmadığı, şirket içi yönetmelikler prosedürlerin bulunup bulunmadığı, dış faktörlerin neler olduğu ve hangi sıklıkla yaşanma riski olduğu, şirket içi kontrol mekanizmaların tasarlanıp tasarlanmadığı ve etkinliği gibi konular olasılık hesaplamasını etkileyecektir. Özellikle bir şirket için risk değerlendirilmesi yapılıyorsa şirket içi kontrollerin çok iyi belirlenmesi ve buna göre analiz yapılması gerekmektedir.
| OLASILIK DERECELERİ | Açıklamalar |
| Çok Yüksek | Gerçekleşme olasılığı çok yüksek/ çok sık gerçekleşebilir (Örneğin: Haftada bir) |
| Yüksek | Gerçekleşme olasılığı yüksek/ sık gerçekleşebilir (Örneğin :Ayda bir, iki ayda bir) |
| Orta | Gerçekleşme olasılığı çok değil/ az sıklıkla gerçekleşir (Örneğin: Yılda bir veya iki) |
| Düşük | Gerçekleşme olasılığı düşük/ Nadiren gerçekleşebilir (Örneğin: İki, üç yılda bir) |
| Çok Düşük | Gerçekleşme olasılığı yok denecek kadar azdır veya olağanüstü durumlarda gerçekleşebilir |
Yukarıdaki gibi belirlenen riskleri matrisimizde görebilmemiz için bir 5×5’lik bir tablo hazırlayarak kritik öneme olanlar ve düşük öneme sahip olan riskleri daha iyi ayırt edebiliriz. Risklerin belirlenmesi sonrası etki ve olasılıklar puanlanır. Tüm riskler, kırmızı, yeşil, sarı ve tonlarında olan alanlara yerleştirilir. Günlük hayatımızda kullanım mantığıyla bu renklerin hangi riskleri anlattığı karşı tarafa anlatmakta daha kolay anlam taşımaktadır. Kırmızı renkli gösterilen riskler, şirketin kabul edemeyeceği noktada olanlar ve hayati öneme sahip olan risklerdir. Bu riskler için en kısa sürede gerekli aksiyonlar alınmalıdır. Sarı renkli olarak gösterilen riskler orta vadede aksiyon alınarak gerekli kontrollerin konulması gereken risklerdir. Bu riskler genel olarak orta seviyede bir tehdit oluşturur. Aksiyon alınmaz ise tehdittin boyutu yükselebilir. Yeşil boyalı alanlarda gösterilen riskler ise etki ve olasılığı çok düşük olan risklerdir. Bu riskler yönetim kararı ile kabul edilebilir bir alanda değerlendirilebilir, aksiyon alınmasına gerek görülmeyebilir veya uzun vadede aksiyona alınabilir. Öncelik seviyesi en düşük olan risk grubu bu risklerdir.
Örneğin, Fatih Örnek isimli holdingin çok büyük bir elektronik eşya deposu olduğunu farz edelim ve orası için bir risk değerlendirmesi yaptığımızı düşünelim. Depo alanı tellerle çevrili kapalı bir alan ve kapısı da kilitleniyor fakat ne bir güvenlik sistemi var ne de bir gece depo alanını bekleyen bir bekçi. Burada olabilecek bir hırsızlık faaliyetinin şirketin mallarına vereceği zarar, müşterilerine dağıtmadığı mallardan oluşan fakat önden tahsili yapılan tutarlarından dolayı ek maddi zararların yanı sıra şirketin itibari kaybı da buna da eklenecektir. Pahalı elektronik eşyaların kontrolsüz bir ortamda çalınma olasılığı her an gerçekleşebileceği için hem etkisi hem de olasılığına çok yüksek diyebiliriz.
Hesaplama sonucunda çıkan risk seviyesi aşağıdaki risk derecelendirme tablosunda ilgili puanlamaya göre yerleştirilir:
Belirlenen risk puanlarına göre hangi risklerin düşük, hangilerinin orta, hangilerinin de yüksek olacağını belirlemeli ve bu çerçevede risk haritası oluşturulmalıdır.
Düşük risk seviyesi “yeşil”, orta risk seviyesi “sarı”, yüksek risk seviyesi ise “kırmızı” ile gösterilir.
Risklerin renk kodları ile gösterilmesi, riskin önem derecesinin kolayca görülmesine yardımcı olur.
Bİr kurum için risk matrisinin hazırlanması sonrasında, risklerin kontrol altına alınması için çalışmalar yapılarak öngörülemeyen ya da daha önce tespiti yapılamayan riskli durumların önüne geçilebilir.
Denetim, İş Hayatı ve Fazlası . . . 
2 Replies to “Risk Matrisi Nedir?”