Operasyonel risk:
Kurumların karşılaştığı
diğer bir risk türü operasyonel risktir.
Tüm risklerden daha eski ve temel bir risk
olmasına rağmen operasyonel risk ile ilgili
bilincin gelişmesi diğer risklere göre daha geç
oldu. 1980’li yıllardan itibaren uluslararası
finansal piyasalarda yaşanan hızlı gelişim
ve değişim, teknolojiye olan aşırı bağımlılık,
bölgesel ya da global kriz ve terörist saldırılar,
bu riskle ilgili çalışmaları hızlandırma
gereğini ortaya çıkardı. Operasyonel riskler,
en genel anlamda, piyasa ve kredi riski gibi
finansal riskler dışında kalan tüm riskler
olarak tanımlanıyor. Ancak bu tanım çok geniş
kapsamlı olduğundan ve aslında operasyonel
riskin ne olduğu değil, ne olmadığını
açıkladığından operasyonel riskin yönetimi
açısından açık bir fikir vermiyor.
Operasyonel risklerin ölçülmesi ve risk
yönetimin etkin bir şekilde yapılabilmesi için
bu risklerin sayısallaştırılabilir olması gerekir.
Ancak, risklerin sayısallaştırılması sürecinde,
operasyonel risklerden kaynaklanan
zararların büyüklüğü ve sıklığına ilişkin
bilgileri belirten yeterli kalite ve miktarda
bir veri tabanı oluşturmak oldukça güç. Bu
nedenle operasyonel risklerin tamamını tespit
etmek yani bu risklerin yüzde 100 oranında
ölçülmesini sağlamak neredeyse olanaksız.
Basel Komitesi tarafından 1994 yılında
operasyonel risk; “bilgi sistemlerinin
veya iç kontrollerin yetersizliği nedeniyle
beklenmeyen zararlara uğrama riski” olarak
tanımlandı. Daha sonra Basel II ile birlikte
operasyonel riskin yeni tanımı “yetersiz veya
başarısız iç süreçler, insanlar ve sistemler ya
da dışsal olaylar sonucu ortaya çıkan zarara
uğrama riski” şeklinde yapıldı. Uluslararası
geçerli bu tanım, operasyonel risklerin
kaynaklarına odaklanmakta ve operasyonel
risklerin insanlar, süreçler, sistemler ve dışsal
olaylar olmak üzere başlıca dört kaynaktan
gelebileceğini kabul etmektedir:
1-Personelden kaynaklı operasyonel
riskler:
Personelin bilinçli veya bilinçli
olmadan yaptıkları faaliyetlerden dolayı
kurumun zarara uğrama riski olarak
tanımlanabilir. Çalışanların profesyonel
davranmayıp özel hayatlarındaki sorunları iş
hayatına taşımaları, iş ortamında yaşanılan
stres, sahip olunan personele aşırı iş yükü
verilerek fazla mesai yaptırılması, yeni
teknolojiye uyum gibi nedenler, personelin
kötü niyet gözetmeden hata yapmasına
yol açabilmekte, kurumun faaliyetlerinin
gerçekleştirilmesi sırasında risk
yaratabilmektedir. Bunun yanı sıra personel
bilinçli olarak da kurumu zarara uğratacak
eylemler gerçekleştirebilir. Örneğin, sahte
evraklarla zimmetine para geçiren bir kişi veya
görevini kötüye kullanan bir yetkili, kuruma
karşı hileli davranışlar içine girerek kuruma
büyük zararlar verebilir. Kuruma karşı yapılan
bu tür suiistimaller, kurumu sadece maddi
kayba uğratmayıp, aynı zamanda suiistimalin
kamuda duyulması ile kurum için bir itibar,
dolayısıyla müşteri kaybı oluşturabilir.
Personel kaynaklı riskler altında incelenen bir
başka operasyonel risk türü de kurumda kilit
personel eksikliğidir.
2-Bilgi sistemlerinden kaynaklanan
operasyonel riskler: Son yıllarda
kurumlar, rekabete ayak uydurmak, ürün
seçeneklerini arttırmak, müşteriye daha
hızlı ve kolay hizmet sunmak için teknoloji
konusuna oldukça önem verip bu hizmetleri
sağlayacak sistemleri bünyelerinde
kuruyorlar. Ancak bu sistemlerde oluşabilen
iletişim hatlarının kesilmesi, yedekleme
sistemindeki yetersizlikler veya zararlı kodlar
gibi aksaklıklardan dolayı kurumlar zarar
görebiliyor. Özellikle İnternet üzerinden işlem
gerçekleştiren veya bünyelerinde farklı yazılım
ve işletim sistemlerine sahip kurumların bu
tür risklerle karşılaşma olasılığı daha fazla.
3-Süreçlerden kaynaklanan
operasyonel riskler: Kurumun süreçlerine
ilişkin politika ve prosedürlerin olmaması,
bu kontrollerin eksik geliştirilmesi veya
doğru geliştirilmiş olsa bile yanlış şekilde
uygulanmasından kaynaklanan operasyonel
risklerdir. Süreçlere yönelik bu kontrollerin
yetersiz olmasının nedenleri arasında;
maruz kalınabilecek risklerin tam anlamıyla
algılanmaması, üst yönetimin konuya
yeterince katkı sağlamaması sonucu kurum
çalışanlarının riskler konusunda yeterince
bilgilendirilmemesi sayılabilir. Bu riske
örnek olarak, iş süreçlerinin gerektirdiği
belgelerin doldurulmaması veya bu belgelerin
saklanmaması sonucu kurumun zarara
uğraması, müşteri şikâyetlerinin dikkate
alınmamasından dolayı müşteri kayıpları
oluşması, mutabakatların zamanında
yapılmaması, kurum içi iletişim eksikliği gibi
aksaklıklar gösterilebilir.
4-Dış olaylardan kaynaklanan
operasyonel riskler: Kurumla herhangi bir
bağlantısı olmayan, tamamen dışarıdan gelen
etkenler çerçevesinde ortaya çıkan risklerdir.
Dışarıdan alınan hizmetlerde aksaklık
yaşanması veya yangın, deprem, sel gibi
olaylar dış kaynaklı operasyonel riskler olarak
sayılabilir. Bir hizmet dışarıdan alındığında
genellikle, maliyetlerin düşürülmesi ve maruz
kalınacak risklerin azaltılması amaçlanır.
Ancak bu durum her zaman gerçekleşmeyip
beklenmeyen risklere yol açabilir. Bu tür dış
olaylardan kaynaklı risklerin gerçekleşme
olasılığı diğerlerine göre daha az olsa da
gerçekleştiğinde yarattığı etki çok büyük
olabilir. Örneğin dışarıdan alınan bir hizmet
sonucu kurum içi bilgilerin dışarı çıkması,
kurum açısından büyük bir itibar kaybına yol
açar.
Görüldüğü üzere, günlük hayatımızda çok
zaman karşılaştığımız risk kavramını,
kurumlar açısından ele aldığımızda farklı
çeşitleri bulunuyor. Kurumların faaliyet
gösterdiği sektörlere göre risk haritalarını
çıkartmaları ve ne tür risklere maruz
kalabileceklerinin çalışmasını yapmaları
büyük önem taşıyor. Risk analizi, risk
derecelendirmesi ve risk işleme süreçlerinden
oluşan risk yönetimi tüm kurum içinde
sahiplenilerek yaşatılmalıdır.