Kurumlar risk yönetimine nereden başlamalı?

Forcerta Siber Güvenlik Danışmanlık Hizmetleri Direktörü Ayşim Niksarlı, Wise TV’ye verdiği röportajda etkili bir risk yönetimi programının temel yapı taşlarını, üçüncü taraf (3rd party) risklerinin önemi ve kurum içi görev paylaşımı gibi kritik konuları detaylı şekilde ele alıyor.

Bir risk yönetim programını oluşturmadan önce mutlaka bir yol haritası çıkarmak önemlidir. Yani metodolojilere karar vermek, risklerin hangi kategorilerde sınıflandırılabileceğine dair kararlar almak gereklidir. Risk deyince, aslında sadece kurumun kendi riskleri değil, aynı zamanda birlikte iş yaptığı iş ortaklarının riskleri de önemlidir. Bu konuyu 3. parti risk yönetimi olarak ele alıyoruz. Aynı risk metodolojisinin ve risk programının, şirketin kendisiyle birlikte iştirakleri, birlikte iş yaptığı farklı şirketler veya tamamen hizmet aldığı ve ürün aldığı üreticiler veya partnerler gibi paydaşların tümünü kapsaması çok önemlidir. Diğer taraftan, riskle ilgili metodolojileri oluştururken şirketlerde farklı rol ve sorumluluklar söz konusu olabilir. Örneğin, bilgi güvenliğinin yanı sıra risk yönetiminden sorumlu bir birim olabilir veya bu riskleri ortaya çıkarıp takibini yapan denetim ekipleri olabilir. Tüm paydaşların rol ve sorumluluklarının bu program dahilinde açık ve net bir şekilde yazıldığı bir görev paylaşım matrisi ile belirlendiği ve bu programa uygun şekilde herkesin kendi rolünü uyguladığı bir yapıdan söz ediyoruz. Bu yapının da belli bir prosedürü, politikası olması, çıktılarının düzenli olarak gözden geçirilmesi önemlidir. Sınıflandırılmış veya önceliklendirilmiş risklerin, riskin sahibi olan birim tarafından izlenmesi ve gerektiğinde aksiyon alınması önemlidir. Riskleri farklı şekillerde ele alabiliriz; bir riski kabul edebiliriz, derecelendirebiliriz veya sigorta gibi yöntemlerle transfer edebiliriz. Yüksek skordaki risklerin mutlaka üst yönetimle iletişimi sağlanmalı, gerektiğinde bütçe alınarak yatırımlar gerçekleştirilmelidir.

Risk Yönetiminde Yol Haritası Oluşturmanın Önemi

Risk yönetimi, bir kurumun karşılaşabileceği potansiyel tehditleri tanımlama, değerlendirme ve bu tehditlere karşı önlemler alma sürecidir. Bu süreçte, etkili bir risk yönetim programı oluşturmak için öncelikle bir yol haritası belirlemek kritik bir adımdır. Yol haritası, risklerin nasıl sınıflandırılacağı, hangi metodolojilerin kullanılacağı ve hangi paydaşların sürece dahil edileceği gibi temel kararları içerir. Bu adımlar, risk yönetiminin etkinliğini artırmak ve kurumun sürdürülebilirliğini sağlamak için gereklidir.

Risk Kategorilerinin Belirlenmesi

Risk yönetiminde ilk adım, risklerin hangi kategorilerde sınıflandırılacağını belirlemektir. Bu, risklerin daha iyi anlaşılmasını ve yönetilmesini sağlar. Örneğin, finansal riskler, operasyonel riskler, stratejik riskler gibi kategoriler oluşturulabilir. Her kategori, farklı bir yönetim stratejisi gerektirebilir.

3. Parti Risk Yönetimi

Kurumlar, sadece kendi iç risklerini değil, aynı zamanda iş ortaklarının ve tedarikçilerinin risklerini de değerlendirmelidir. 3. parti risk yönetimi, bu paydaşların risklerinin de göz önünde bulundurulmasını sağlar. Bu, özellikle büyük ölçekli işletmeler ve holdingler için kritik bir öneme sahiptir.

Rol ve Sorumlulukların Belirlenmesi

Risk yönetim sürecinde, farklı rol ve sorumlulukların net bir şekilde tanımlanması gereklidir. Bu, bilgi güvenliği birimleri, risk yönetim ekipleri ve denetim ekipleri gibi farklı birimlerin görevlerini açıkça belirler. Görev paylaşım matrisi, bu sürecin etkin bir şekilde yürütülmesini sağlar.

Risk Yanıt Stratejileri

Risklere karşı alınacak yanıtlar, riskin derecesine ve kurumun risk iştahına bağlı olarak değişebilir. Riskler kabul edilebilir, azaltılabilir veya transfer edilebilir. Örneğin, siber güvenlik sigortası gibi yöntemlerle riskler transfer edilebilir. Her bir risk için uygun yanıt stratejisinin belirlenmesi, risk yönetiminin başarısı için kritiktir.

Üst Yönetimle İletişim ve Raporlama

Yüksek skordaki risklerin üst yönetimle düzenli olarak paylaşılması ve bu riskler hakkında raporlamalar yapılması gereklidir. Bu, yönetimin riskler hakkında bilinçli kararlar almasını ve gerektiğinde bütçe ayırarak yatırımlar yapmasını sağlar. Etkili iletişim ve raporlama, risk yönetim sürecinin başarısını artırır.

Sonuç

Risk yönetimi, bir kurumun sürdürülebilirliği ve başarısı için kritik bir süreçtir. Etkili bir risk yönetim programı oluşturmak için öncelikle bir yol haritası belirlemek, risk kategorilerini tanımlamak, 3. parti riskleri değerlendirmek ve rol-sorumlulukları netleştirmek gereklidir. Risk yanıt stratejilerinin doğru bir şekilde belirlenmesi ve üst yönetimle etkili iletişim, risk yönetiminin başarısını artırır. Bu adımlar, kurumların karşılaşabileceği potansiyel tehditlere karşı hazırlıklı olmasını sağlar.