top of page
Search

Yeni Nesil Riskler ve Erken Uyarı Kültürü


"Risk yönetimi, gerçekleşmiş krizlerin raporlanması değil, henüz krize dönüşmemiş sinyallerin okunmasıdır."



Geçmiş dönemlerde risklerin daha kolay kategorize edildiğini ve yönetildiğini değerlendirebilir miyiz? Örneğin yangın ayrı bir başlıktı, iş kazası ayrı bir başlıktı, kalite problemi ayrı bir başlıktı, likidite riski ayrı bir başlıktı. Her birinin sahibi, ölçüm yöntemi ve takip periyodu daha belirgindi. Ancak bugün şirketlerin karşı karşıya kaldığı risklerin bir kısmı bu kadar düzenli ve sakin ilerlemiyor gibi görünüyor. Farklı başlıklarda ve uzmanlık alanlarındaki risklerin birbirini etkilediği bir dünyanın içinde çalışıyoruz. Yeni nesil riskler diyebileceğimiz bu risklerin hem kendi doğaları hem de diğer riskler ile olan etkileşimi nedeniyle etkilerinin belirlenmesi ya da kesittirilmesi zor olabilir.


Peki nasıl?

  • İklim riski su stresini tetiklerken, su stresi ise bir çok sektörde üretimin sürekliliğini üzerinde baskı yaratıyor. Çünkü su sadece üretim süreçlerinin doğrudan bir girdisi olmanın dışında sanayii üretiminde kullanılan bir çok makinanın hidrolik sistemlerinin soğutmasında da kullanılıyor.

  • Siber saldırılar sadece kişisel bilgilerimizi ya da banka hesaplarımızı tehdit etmiyor. Şirketlerin ERP sistemlerini kilitleyebiliyor ya da çok önemli ana verilerinin kaybolmasına neden olabiliyor.

  • Yapay zekâ verimlilik sağlarken aynı zamanda veri gizliliği, fikri mülkiyet ve itibar riski yaratabiliyor.

  • Regülasyonlar yalnızca hukuk birimlerinin değil, satıştan satın almaya, üretimden finansa kadar tüm şirket fonksiyonlarının gündemine giriyor.

  • Jeopolitik gerilimler ise uzak coğrafyalarda yaşanan bir haber olmaktan çıkıp doğrudan hammaddeye, navluna, teslim süresine ve müşteri taahhütlerine dokunuyor.


İçinde bulunduğumuz şartlarda, şirket operasyonlarının ve tedarik zincirinin üzerinde kesişen, birbirini tetikleyen ve çoğu zaman beklenenden daha hızlı yayılan bu riskleri birbirinden bağımsız başlıklar olarak görmek ve klasik yöntemler ile bu riskleri değerlendirmek doğru olmayacaktır.


Bu nedenle şirketler için asıl mesele sadece “Envanterimizde hangi risklerimiz var?” sorusunu sormak değildir. Daha kritik soru şu olabilir;

Bu risklerin hangileri, henüz küçük bir sinyal halindeyken bize kendini göstermeye başladı?


Radar Metaforu: Risk Yönetimi ve Erken Uyarı Sistemi


Yeni nesil risklerin yönetimi için somutlaştırıcı bir benzetme yapılacak olsa, “radar” iyi bir metafor olurdu. Radarın görevi, tehlike çok yaklaştığında alarm vermek değildir. Asıl görevi, ufuk çizgisinde henüz küçük bir iz varken bunu yakalamaktır. O iz her zaman kesin bir tehdit anlamına gelmeyebilir. Bazen önemsiz bir hareket olabilir. Bazen de yaklaşan büyük bir fırtınanın ilk işaretidir.


Şirketler açısından zayıf sinyaller de buna benzer. Tek başına bakıldığında çok anlamlı görünmeyebilirler. Birkaç küçük sistem kesintisi, su tüketimi ve maliyetlerden önemsiz ama düzenli artışlar, karbon düzenlemeleri ile ilgili müşterilerden gelen sorular ve veri talepleri, belirli bir tedarik rotasında navlun artışı, çalışanların doğrulanmamış yapay zekâ çıktıları kullanmaya başlaması ya da yerel bir regülasyon değişikliği ilk bakışta büyük kriz gibi görünmeyebilir. Ancak bu sinyaller doğru bağlamda okunmazsa, birkaç ay sonra üretim kesintisi, müşteri kaybı, ihracat engeli, regülasyon cezası veya itibar hasarı olarak şirketin karşısına çıkabilir.


Eski Paradigma Neden Yetmiyor?


Bildiğimiz klasik risk yönetimi yaklaşımında yılda bir kez güncellenen risk envanteri, olasılık-etki puanlaması ve periyodik raporlama önemli araçlardır. Bunlar bugün de gereklidir. Ancak tek başına yeterli olmayacaklardır. Çünkü yeni nesil risklerin üç temel özelliği bulunmaktadır;

  • Daha hızlı yayılırlar.

  • Daha fazla fonksiyonu aynı anda etkilerler.

  • Sonuçları çoğu zaman başlangıç noktasından farklı bir yerde ortaya çıkar.


Örneklendirecek olursak, bir siber saldırı bilgi teknolojileri biriminde başlar, ancak sevkiyat iptalinde sonuçlanabilir. Bir su riski çevre yönetimi başlığı altında izlenir, ancak üretim hattında kapasite kaybı yaratabilir. Bir regülasyon değişikliği hukuk biriminin gündemine girer, ancak satış ekibinin müşteri kaybetmesine neden olabilir. Önce haber bülteninde gördüğünüz bir jeopolitik gerilim şirketin hammadde alım bütçesini değiştirebilir ve gider yönetimini etkileyebilir.


Dolayısıyla bu risklere yaklaşım daha dinamik olmalıdır. Risk envanteri yaşayan bir gündeme dönüşmeli, ölçüm yöntemi yalnızca olasılık-etki puanlamasıyla sınırlı kalmamalı, senaryo analizi ve düşük olasılık-yüksek etki değerlendirmeleri daha fazla kullanılmalıdır. Risk yönetimi, organizasyonun tepe yönetimi tarafından yalnızca raporlama ve uyum aracı olarak değil, karar alma ve stratejik planlama girdisi olarak değerlendirilmelidir.


Yukarıdaki açıklamalar ışığında yeni nesil olarak adlandırdığımız risklere biraz daha detaylı bakalım:


1. İklim Riski


İklim riski uzun süre çevresel hassasiyet, kurumsal sosyal sorumluluk veya sürdürülebilirlik başlığı altında ele alınmıştır. Ancak bugün iklim riski doğrudan finansal, operasyonel ve stratejik bir risk haline gelmiştir.

Bu riskin iki yönü bulunmaktadır;

  • Birinci yön, fiziksel risklerdir. Aşırı hava olayları, sel, fırtına, kuraklık, sıcak hava dalgaları ve yangınlar şirket varlıklarını, üretim tesislerini, lojistik hatlarını ve çalışan güvenliğini etkileyebilir.

  • İkinci yön ise geçiş riskleridir. Karbon düzenlemeleri, müşteri beklentileri, düşük karbonlu ürün talebi, sigorta maliyetleri, finansmana erişim koşulları ve yeni emisyon standartları şirketlerin rekabet gücünü doğrudan etkileyebilir.


Panama Kanalı bu konuda oldukça öğretici bir örnektir. UNCTAD, 2024 yılında Panama Kanalı’ndaki ciddi kuraklık ve düşük su seviyelerinin kanal geçişlerini etkilediğini; bu durumun küresel ticaret akışları üzerinde baskı yarattığını belirtmiştir.


Bazen bir kanalın su seviyesi, dünyanın başka bir yerindeki üretim planını, stok politikasını ve teslim süresini belirleyebilmektedir. Bu nedenle, şirketler açısından iklim riskine karşı yapılması gereken, yalnızca karbon ayak izi ölçmek değildir. Aşırı sıcak gün sayısı, yağış sapmaları, enerji tüketimi, soğutma ihtiyacı, sigorta primlerindeki değişim, tedarikçi lokasyonlarının iklim kırılganlığı ve lojistik rotalarının iklim olaylarına açıklığı düzenli şekilde izlenmelidir.


Devletler açısından ise iklim uyum yatırımları, kritik altyapı dayanıklılığı, su yönetimi, afet erken uyarı sistemleri ve yeşil dönüşüm finansmanı daha stratejik bir politika alanı haline gelmelidir.


2. Su Riski


Su riski çoğu zaman çevre yönetimi kapsamında değerlendirilir. Ancak suya bağımlı üretim süreçlerinde suyun miktarı, kalitesi ve sürekliliği doğrudan operasyonel dayanıklılık konusudur. Özellikle gıda, tekstil, enerji, yarı iletken, kimya, maden ve tarım bağlantılı sektörlerde su yalnızca doğal kaynak değildir. Aynı zamanda üretim girdisidir.


Tayvan’da 2021 yılında yaşanan kuraklık bu açıdan dikkat çekici bir örnektir. Reuters’ın haberine göre, Tayvan’daki çip üreticileri kuraklık ve su kısıtları nedeniyle bazı tesisleri için tankerlerle su tedarik etmeye hazırlanmıştır.


Bu örnek, su riskinin yalnızca yerel bir çevre meselesi olmadığını göstermektedir. Su kesintisi, küresel yarı iletken tedarik zincirinde gecikme riskine dönüşebilir. Yani suyun azaldığı yerde yalnızca baraj seviyesi düşmez; üretim kapasitesi, teslim güvenilirliği ve müşteri taahhüdü de baskı altına girer. Bu nedenle su verimliliği yatırımları yalnızca maliyet azaltıcı projeler olarak değerlendirilmemelidir. Arıtma, geri kazanım, kayıp-kaçak analizi, proses bazlı tüketim ölçümü ve alternatif su kaynakları artık operasyonel süreklilik yatırımıdır.


Su riskini yönetmek isteyen şirketlerin şu soruları değerlendirmiş ve gerekli aksiyonları almış olması beklenir; Su kesilirse hangi üretim sürecim durur, hangi müşterilerim etkilenir, hangi teslimatlarım gecikir?

Bu sorulara yanıt veremeyen şirketler için su riskinin sadece teorik bir kavram olduğu gerçek anlamda bir ölçüm gerçekleştirilmediği yorumu yapılabilir.


3. Siber Risk


Siber riskin en yanıltıcı taraflarından birisi, teknik bir konu gibi görünmesidir. Oysa günümüzde siber riskin etkisi çoğu zaman teknik alanda değil, operasyonel alanda hissedilmektedir.


Bir fidye yazılımı saldırısı yalnızca dosyaları şifrelemez. Sipariş alınmasını engeller, ERP sistemini kilitler, üretim planını durdurur, sevkiyatları aksatır, faturalama süreçlerini bozar ve müşteri güvenini zedeler.


Colonial Pipeline vakası(*) bunun en açık örneklerinden biridir. ABD’de 2021 yılında yaşanan fidye yazılımı saldırısı sonrasında şirket boru hattı operasyonlarını durdurmuş; olay kritik altyapıların siber risklere ne kadar açık olduğunu göstermiştir. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı da bu saldırıyı kritik altyapılar açısından önemli bir ders olarak değerlendirmiştir.


Maersk’in 2017 yılında NotPetya saldırısından etkilenmesi(**) de benzer şekilde siber riskin finansal ve operasyonel boyutunu göstermektedir. Şirketin 2017 yıllı raporunda, saldırı kaynaklı etkinin 250-300 milyon ABD doları seviyesinde olduğu belirtilmiştir.


Bu örneklerden yapılabilecek çıkarımların başında siber risklerin sadece “veri kaybı” riski olmadığıdır. Siber riskler şirketin varlığını tehdit edebilirler.


Şirketler açısından klasik güvenlik yatırımlarının yanında davranışsal anomali takibi, yedekleme testleri, iş sürekliliği tatbikatları, tedarikçi siber risk değerlendirmesi, OT/IT ayrımı ve kriz anında manuel çalışma senaryoları kritik hale gelmektedir.


Devletler ve düzenleyici otoriteler açısından ise kritik altyapı standartları, sektörler arası siber tatbikatlar, asgari güvenlik protokolleri ve olay bildirim mekanizmaları daha güçlü bir çerçeveye kavuşturulmalıdır.


4. Yapay Zekâ Riski


Yapay zekâ, şirketler için önemli bir verimlilik alanı açmaktadır. Veri analizi, tahminleme, karar destek, kalite kontrol, müşteri hizmetleri, doküman inceleme ve süreç otomasyonu gibi birçok başlıkta ciddi kazanımlar sağlayabilir. Ancak bu fırsat, kontrolsüz bırakıldığında yeni bir risk alanı yaratır.


Yapay zekâ için bugün en büyük yanılgılardan biri, onu yalnızca “hızlandırıcı” bir teknoloji olarak görmektir. Oysa üretken yapay zekâ, sadece işleri hızlandırmaz; doğru yönetilmediğinde hatayı da hızlandırır, güven kaybını da büyütür, profesyonel sorumluluğu da daha görünür hale getirir.


Yapay zeka bazen olmayan bir makaleyi varmış gibi gösterebilir. Bazen gerçek bir araştırmacının adını, yazmadığı bir çalışmayla ilişkilendirebilir. Bazen hukuki bir kararı yanlış alıntılayabilir. Daha tehlikelisi, bütün bunları oldukça ikna edici bir dille yapabilir.

Bu nedenle yapay zekâ riski, teknolojinin kendisinden çok, insanın kontrol görevini bırakmasıyla ilgilidir.


Deloitte’un Avustralya’da hazırladığı bir kamu raporu bu açıdan önemli bir örnek sunmaktadır. Avustralya Maliye Bakanlığı tarafından yayımlanan FOI (Freedom of Information-Bilgi Edinme Özgürlüğü kapsamında kamuya açılmış resmi belge) dokümanında Deloitte’un kullandığı üretken yapay zekâ araçlarının bazı atıf ve kaynakça hatalarına yol açtığı; bu çıktıların gözden geçirilmesine rağmen tüm hataların tespit edilemediği belirtilmektedir. Aynı dokümanda, hataların bazı dipnotlar ve kaynak listesi unsurlarında yanlış çıktılar oluşturduğu ifade edilmektedir.


Benzer bir tartışma Kanada’da, Newfoundland ve Labrador hükümeti için hazırlanan sağlık insan kaynakları raporu üzerinden gündeme gelmiştir. Söz konusu raporun hükümet için Deloitte tarafından hazırlandığı ve sağlık iş gücü planlamasına ilişkin kapsamlı analizler içerdiği kamuya açık rapor metninde görülmektedir.  The Independent’ın haberine göre raporda, doğrulanamayan veya varlığı teyit edilemeyen araştırma atıfları tespit edilmiş; bazı atıfların gerçek araştırmacı isimleriyle ilişkilendirilen ancak bulunamayan çalışmalara dayandığı ileri sürülmüştür.


Bu iki örnek bize şunu göstermektedir: Yapay zekâ kullanımında risk, yalnızca verinin dışarı sızması ya da modelin yanlış cevap vermesi değildir. Risk, yapay zekâ çıktısının kurumsal muhakemenin yerine geçmesidir. Bir rapora giren yanlış kaynak, bir sunuma giren doğrulanmamış veri, bir müşteri teklifine eklenen hatalı varsayım veya yönetim kuruluna sunulan yanlış analiz, şirketin karar kalitesini doğrudan etkileyebilir.


NIST’in Yapay Zekâ Risk Yönetim Çerçevesi, kurumlara yapay zekâ risklerini yönetmek için “govern, map, measure, manage” fonksiyonları üzerinden bir yaklaşım sunmaktadır.  Avrupa Birliği Yapay Zekâ Yasası ise 1 Ağustos 2024’te yürürlüğe girmiş ve risk temelli bir düzenleme yaklaşımı getirmiştir.


Şirketler açısından belirleyici olan nokta şudur: Yapay zekâ kullanımını yasaklamak değil, yönetişim altına almak gerekir. Bunun için hangi verilerin yapay zekâ araçlarına girilebileceği, hangi çıktılarda insan onayı gerektiği, hangi süreçlerde yapay zekâ kullanımının yasak olduğu, model çıktılarının nasıl doğrulanacağı ve yapay zekâ kaynaklı hataların nasıl raporlanacağı açıkça belirlenmelidir.


5. Regülasyon Riski


Regülasyon riski çoğu zaman zorunlu uyum maliyeti olarak görülür. Ancak yeni dönemde regülasyonlara erken hazırlanan şirketler için bu alan aynı zamanda rekabet avantajı yaratabilir.


CBAM, yani Sınırda Karbon Düzenleme Mekanizması, bu dönüşümün en somut örneklerinden biridir. Avrupa Komisyonu’na göre CBAM geçiş dönemi 1 Ekim 2023’te başlamış, ithalatçılar için ilk raporlama dönemi 31 Ocak 2024’te sona ermiştir

CSRD (Corporate Sustainability Reporting Directive) artık “yaklaşan bir yükümlülük” değil, ilk dalga şirketler için uygulanmaya başlamış bir raporlama gerçekliğidir. İlk kapsamdaki şirketler 2024 finansal yılına ilişkin sürdürülebilirlik raporlarını 2025’te yayımlamaya başlamış; böylece sürdürülebilirlik verisi, beyan niteliği taşıyan ve denetlenebilir kurumsal bilgi alanına girmiştir.


Bu gelişmeler, regülasyonların artık yalnızca hukuk biriminin takip edeceği bir mevzuat listesi olmadığını göstermektedir. Regülasyonlara; veri altyapısı, karbon hesaplama, tedarikçi şeffaflığı, izlenebilirlik, raporlama kalitesi, müşteri güveni ve finansmana erişim meselesi olarak yaklaşmak gerekecektir.


Şirketler açısından reaktif yaklaşım; son anda veri toplama, acil danışmanlık maliyeti, müşteri talebine yetişememe ve pazar kaybı anlamına gelebilir. Proaktif yaklaşım ise erken hazırlık, güvenilir veri, müşteri karşısında şeffaflık ve rekabet avantajı sağlayabilir.


Devletler açısından ise regülasyonların yalnızca yükümlülük olarak değil, şirketlerin dönüşüm kapasitesini artıracak rehberlik, teşvik ve standartlaşma mekanizmalarıyla birlikte ele alınması önemlidir.


6. Jeopolitik Risk


Jeopolitik risk artık sadece dış politika uzmanlarının değerlendirdiği bir başlık değildir. Ticaret yolları, yaptırımlar, savaşlar, liman operasyonları, enerji fiyatları, ihracat kontrolleri ve kritik hammadde erişimi doğrudan şirketlerin operasyonel planlamasını etkilemektedir.


Bu noktada yakın dönemin iki ayrı ama birbirini tamamlayan örneği olan Kızıldeniz/Süveyş hattı ve Hürmüz Boğazı'nı birlikte okumak gerekir. Kızıldeniz ve Süveyş Kanalı hattında yaşanan saldırılar, küresel deniz ticaretinde rota değişiklikleri, teslim süresi uzamaları ve navlun maliyetleri açısından önemli bir örnek oluşturmuştur. UNCTAD (United Nations Conference on Trade and Development), 2023 sonunda başlayan Kızıldeniz ve Süveyş Kanalı aksamasının 2024’ün ilk aylarında da küresel tedarik zincirleri üzerinde baskı yarattığını belirtmektedir.  IMF de 2024’ün ilk iki ayında Süveyş Kanalı ticaretinin bir önceki yıla göre %50 düştüğünü aktarmıştır.


Enerji güvenliği açısından bakıldığında ise Hürmüz Boğazı’nı ayrıca ve daha merkezi bir yere koymak gerekir. Çünkü Hürmüz, yalnızca bir deniz geçidi değildir; petrol ve LNG akışının yoğunlaştığı stratejik bir enerji boğazıdır. EIA (U.S. Energy Information Administration) verilerine göre 2024 yılında Hürmüz’den geçen petrol akışı günlük ortalama 20 milyon varil seviyesindedir ve bu miktar küresel petrol sıvıları tüketiminin yaklaşık beşte birine denk gelmektedir.  IEA’nın değerlendirmesine göre 2025’te Hürmüz’den geçen LNG hacmi 110 bcm’nin üzerindedir; Katar ve BAE LNG ihracatının çok büyük kısmı bu boğazdan geçmekte, bu hacimler için alternatif bir deniz rotası bulunmamaktadır. Başka bir ifadeyle, Kızıldeniz hattı tedarik zincirinin zaman ve rota kırılganlığını, Hürmüz Boğazı ise enerji sisteminin fiyat ve arz kırılganlığını görünür kılmaktadır.


Bu olayın şirketler açısından anlamı şudur: Bir bölgede yaşanan güvenlik sorunu, başka bir ülkedeki fabrikanın hammadde teslim süresini değiştirebilir. Rota uzar, sigorta risk primi yükselir, navlun artar, teslim tarihi sarkar, stok politikası bozulur ve müşteri taahhüdü baskı altına girer.


Şirketler açısından jeopolitik risklere karşı tedarikçi çeşitlendirmesi, alternatif lojistik rotalar, kritik hammadde haritalaması, yaptırım listesi takibi, ülke riski analizi ve senaryo bazlı stok stratejileri önem kazanmaktadır.


Devletler açısından ise ticaret kanallarının açık tutulması, kritik sektörler için tedarik güvenliği stratejileri geliştirilmesi, bölgesel iş birliklerinin artırılması ve stratejik rezerv politikalarının gözden geçirilmesi değerlendirilebilir.


Yeni Nesil Risklerin Kesişim Merkezi

Bütün bu riskleri değerlendirdiğimizde hepsinin ortak olarak etkilediği, başka bir ifadeyle bu risklerin kesişiminde kalan bir alan mevcuttur: Tedarik Zinciri.


  • Riskin kaynağı iklim olabilir, sonucu teslimat gecikmesi olabilir.

  • Riskin kaynağı su stresi olabilir, sonucu üretim kapasitesi kaybı olabilir.

  • Riskin kaynağı siber saldırı olabilir, sonucu müşteri tahhüdünün yerine getirilememesi olabilir.

  • Riskin kaynağı yapay zekâ olabilir, sonucu itibar kaybı olabilir.

  • Riskin kaynağı regülasyon olabilir, sonucu pazar erişimi sorunu olabilir.

  • Riskin kaynağı jeopolitik gerilim olabilir, sonucu hammadde maliyet artışı olabilir.


Bu nedenle yeni nesil risklerin yönetiminde şirketlerin yalnızca kendi tesislerine bakması yeterli değildir. Tedarikçilerin lokasyonu, kritik hammaddelerin yoğunlaştığı ülkeler, lojistik rotalar, dijital altyapılar, müşteri beklentileri, sigorta koşulları, karbon verisi ve regülasyon takvimi ve uyum gereklilikleri birlikte değerlendirilmelidir.


Saklayan Değil, Erken Tespit Eden Organizasyon


Yeni nesil risklerin yönetiminin teknik olduğu kadar kültürel bir boyutu da vardır. Bazı kurumlarda riski bildirmek hâlâ “sorun çıkarmak” gibi algılanabilmektedir. Kötü haber geciktirilir. Risk kişiselleştirilir. Hata cezalandırılır. Zayıf sinyaller büyüyene kadar görmezden gelinir.


Oysa erken uyarı kültürüne sahip kurumlarda risk bildirmek stratejik katkı olarak görülür. Çalışan, “bu küçük sorun ileride büyüyebilir” dediğinde susturulmaz. Veri saklanmaz. Kırmızı bayrak kaldıran kişi ya da ekipler cezalandırılmaz. Sorun büyümeden masaya getirilir. Bu kültür farkı, en çok da kriz anında kendini belli eder. Bazı organizasyonlar bir krizi, kriz başladıktan sonra fark eder. Bazıları ise, kriz daha başlamadan önce, henüz küçük bir sinyal halindeyken radara almış ve üzerinde çalışmaya başlamıştır.


Organizasyonlar İçin Stratejik Aksiyon Planı


Yeni nesil riskleri yönetmek isteyen organizasyonlar için beş adımlı bir yaklaşım değerlendirilebilir;


1. Zayıf sinyalleri izle

İklim, su, siber, yapay zekâ, regülasyon ve jeopolitik başlıklarında erken uyarı göstergeleri belirlenmelidir. Bu göstergeler yalnızca kurumsal risk biriminin değil, operasyon, satın alma, üretim, finans, hukuk, bilgi teknolojileri ve sürdürülebilirlik ekiplerinin ortak gündeminde olmalıdır.

2. Veriyi doğrula

Her sinyal doğal olarak kriz anlamına gelmeyecektir. Ancak her sinyal en azından doğrulanmayı hak eder. Anomali gerçek mi, tekrar ediyor mu, operasyonel karşılığı var mı, müşteri veya tedarikçi üzerinde etkisi olabilir mi gibi sorular değerlidir.

3. Operasyonel etkiyi değerlendir

Risk gerçekleşirse hangi tedarikçi, hangi üretim hattı, hangi müşteri, hangi finansal gösterge ve hangi yükümlülük etkilenir sorusuna cevap verilmelidir.

4. Yönetime taşı

Risk yönetimi yalnızca raporlama faaliyeti olarak kalmamalıdır. Zayıf sinyaller karar alma mekanizmasına zamanında taşınmalıdır. Çünkü geç taşınan risk bilgisi çoğu zaman sadece hasar tespitine yarar.

5. Aksiyonu takip et.

Alınan önlemlerin uygulanıp uygulanmadığı, riski gerçekten azaltıp azaltmadığı ve yeni bir kırılganlık yaratıp yaratmadığı düzenli olarak kontrol edilmelidir.


Krizler Genellikle Birdenbire Gelmez

Krizler çoğu zaman aniden ortaya çıkmaz. Önce küçük işaretler gönderir. Bu işaretler operasyon sırasında genellikle fark edilmez ya da önemsenmez. Ancak olay büyüdüğünde, kriz başladığında ya da hasar oluştuğunda geriye dönük yapılan inceleme/değerlendirme çalışmalarında bu işaretlerin daha önceden var olduğu anlaşılır.


Bir sistem birkaç kez kısa süreli kesilir. Bir tedarikçi teslim süresini uzatmaya başlar.Bir müşteri yeni karbon verisi talep eder. Bir bölgede su kısıtı gündeme gelir. Bir regülasyon taslağı yayımlanır. Bir lojistik rotada navlun artar. Bir çalışan doğrulanmamış yapay zekâ çıktısını karar sürecine dahil eder. Örnekleri arttırmak mümkündür. Bunların her biri tek başına küçük ya da önemsiz görünebilir. Ancak risk yönetiminin görevi, bu küçük parçalar arasındaki ilişkiyi kurabilmektir.


Risklerini yönetebilen şirketler krizlerden yalnızca daha az etkilenmez. Aynı zamanda daha hızlı karar alır, daha güvenilir tedarik zincirleri kurar, müşterileri karşısında daha şeffaf olur ve rekabet avantajı yaratır.


(*)7 Mayıs 2021’de ABD’deki Colonial Pipeline şirketi, DarkSide adlı fidye yazılımı grubunun saldırısına uğradı. Colonial Pipeline, ABD Doğu Yakası’na taşınan akaryakıtın yaklaşık %45’ini sağlayan, yaklaşık 5.500 millik boru hattı sistemini işletiyordu. Şirket, saldırının yayılmasını ve operasyonel riski sınırlamak için boru hattı faaliyetlerini durdurdu. Saldırının önemli unsurlarından birisi, Saldırı IT tarafında başladı, ama sonuç OT / operasyon tarafında hissedildi.

(**) Maersk’in rezervasyon sistemleri, terminal operasyonları, ofis sistemleri, telefonlar ve birçok operasyonel uygulama devre dışı kaldı. WIRED’ın detaylı vaka anlatımına göre Maersk’in 76 terminalinden 17’sinde ciddi aksama yaşandı; yeni rezervasyon alınamadı, bazı limanlarda kapılar kapandı, vinç ve terminal süreçleri durdu.


 
 
 

Comments


Post: Blog2_Post
  • Facebook
  • X
  • Linkedin

©2022 by mehmetulusoy. Proudly created with Wix.com

bottom of page