içinde önceki haber, riskleri belirlemek için geliştirilen yukarıdan aşağıya ve aşağıdan yukarıya yaklaşımları ele aldık. Bu makalede alternatif bir yaklaşım sunacağız. Bu yaklaşım, riskleri belirlemek için süreç haritalarını kullanması bakımından aşağıdan yukarıya yaklaşıma benzer. Ancak, süreç haritalarına ve riskleri belirlemek için kullanılan metodolojilere bakış açıları oldukça farklıdır.

Operasyonel Risk Maruziyeti

Risk maruziyeti, belirli bir süreç veya olaydan kaynaklanabilecek gelecekteki kayıp olasılığının bir ölçüsü olarak tanımlanır. Maruziyet, faaliyetlerin kendisiyle ilgilidir; risk ise, bu faaliyetlerin yürütülmesi sırasında olumsuz bir olayın meydana gelme olasılığıdır.

Şirketler, iş süreçlerinin doğal akışı içerisinde operasyonel risklere maruz kalmalarını artıran birçok faaliyette bulunma eğilimindedir. Bu faaliyetlerden bazıları aşağıda belirtilmiştir:

• Şirketler, ürünlerini bazı önemli dağıtım kanalları aracılığıyla pazara sunabilirler. Dolayısıyla, şirketler bu kanallara büyük ölçüde maruz kalırlar. Bu durum, gelecekte operasyonel risk oluşturabilir. Örneğin, distribütör iflas edebilir. Alternatif olarak, distribütör daha yüksek bir kâr marjı sağlayan başka bir şirket adına dağıtım yapmaya başlayabilir. Diğer zamanlarda ise jeopolitik olaylar ve hükümet kuralları, şirketin distribütör tarafından sağlanacak hizmetleri etkili bir şekilde kullanmasını engelleyebilir.

• Şirket, gelirinin çoğunu bir avuç müşteriye borçlu olabilir. Bu durum, söz konusu müşterilere karşı bir görünürlük yaratır. Bu müşterilerin iflas etmesi veya alternatif bir tedarikçi bulması olasılığı vardır. Ayrıca, bu müşterilerin pazarlık güçlerini kullanarak şirkete çok düşük fiyatlar teklif etmeleri ve böylece kâr marjını olumsuz etkilemeleri de mümkündür.

• Çoğu durumda, şirketler bazı tedarikçilerin ve önemli üçüncü tarafların hizmetlerine de bağımlıdır. Bu gibi durumlarda da şirket benzer zorluklarla karşı karşıya kalır. Tedarikçi, şirketimize zamanında tedarik sağlayamayabilir. Ayrıca, tedarikçi fiyatları artırarak şirketin kâr marjını bozabilir.

• Şirketler ayrıca bazı kritik BT sistemlerine maruz kalabilir. İşletme, büyük ölçüde bu BT sistemleri tarafından sağlanan bilgi akışıyla yönlendirilebilir. Bu sistemlerin tedarikçileri destek sağlamayı bırakırsa, şirket yeni bir ürüne geçiş yapmak için masraflı ve zaman alıcı bir süreçle karşılaşabilir.

• Ayrıca, düzenlemelerle ilgili operasyonel riskler her zaman mevcuttur. Çin ile ticaret yapan Amerikan şirketleri, verimli ve optimize edilmiş iş modellerinin, kendi kusurları olmaksızın tamamen bozulabileceğini ve ortadan kaldırılabileceğini yakın zamanda fark ettiler. Şirketin ticari çıkarlarını olumsuz etkileyecek yeni bir düzenleyici çerçevenin oluşturulma riski her zaman mevcuttur.

Operasyonel riske maruz kalma durumunu bir risk matrisinde haritalamaya çalışsaydınız, yüksek etkili, düşük olasılıklı bir bölgede haritalanırdı. Bu, yukarıda bahsedilen olaylardan herhangi birinin gerçekleşme olasılığının çok düşük olduğu anlamına gelir. Ancak, gerçekleşirse, etkisi önemli olacaktır.

Operasyonel Güvenlik Açığı

Operasyonel güvenlik açıkları ise düşük etkili, yüksek sıklıkta görülen olaylardır. Bu olayların herhangi bir şirketin günlük yaşamında meydana gelme ve hatta tekrarlanma olasılığı çok daha yüksektir. Ancak finansal etkileri o kadar yüksek değildir. Operasyonel güvenlik açıkları genellikle herhangi bir iş sürecindeki en zayıf halka olarak tanımlanır.

Şirketin günlük süreçlerindeki kusurlar veya eksiklikler operasyonel zafiyetler olarak adlandırılırÖrneğin, bir şirketin hatalı ürün üretmesi veya bazen yanlış ürünü yanlış müşteriye göndermesi oldukça olasıdır. Bu gibi durumlar meydana gelirse, şirket ürünü hızla değiştirebilir ve müşteriye doğru siparişi verebilir. Hatta müşteri memnuniyetini sağlamak için bazı hediyeler bile verebilirler. Dolayısıyla maliyet düşük olacaktır. Ancak bu durumlar bazı şirketlerde oldukça sık yaşanmaktadır.

Bir şirketin bilgi sisteminin yoğun veri yükü nedeniyle çökme olasılığı her zaman vardır. Şirketlerin bilgi sistemlerindeki arızalar nedeniyle birkaç saat hatta birkaç gün boyunca faaliyetlerini durdurması hiç de alışılmadık bir durum değildir. Bu tür kesintilerin mali etkisi nispeten düşüktür. Ancak, genellikle daha sık meydana gelirler.

Yetersiz personel de işletme için operasyonel bir risktir. Bazı şirketler rutin olarak deneyimsiz kişileri işe alıp onları eğitmektedir. Bu gibi durumlarda, hizmeti sağlayan deneyimsiz kişiler nedeniyle şirketin hizmet seviyesinin düşmesi oldukça olasıdır. Bu, uzun vadede şirkete maliyet çıkarabilecek bir diğer önemli operasyonel zafiyettir. Her şirketin, uygun risk yönetimi protokollerini izlemeden küçük bir grup çalışanın kesintisiz olarak çalışmaya devam ettiği bazı siloları olması oldukça olasıdır.

Operasyonel risk yönetiminin amacı, riskleri ve zafiyetleri kapsamlı bir şekilde değerlendirmektir. Bunlar tespit edildikten sonra amaç, riskleri en aza indirmektir. Risklerin tamamen ortadan kaldırılamayacağının farkında olmak önemlidir. Ancak, aynı zamanda, zafiyetleri ortadan kaldırmak da önemlidir. Çok uluslu şirketler, süreçlerinin Altı Sigma uyumlu olmasını ve dolayısıyla operasyonel zafiyetlerden arındırılmasını sağlamak için zamanlarının ve paralarının çoğunu harcarlar.