2026’da Riskleri Takip Et: Örnekler ve En İyi Uygulamalarla Rehber

ISO 31000’u Kılavuz Standart Olarak Kullanarak Stratejik Planlamada Risk Yönetimi Üzerine Pratik Bir Perspektif.

2026’da risk yönetimi alanını şekillendiren ana trendler

Stratejik planlamadaki yeni ortaya çıkan trendleri, özellikle risk yönetimine etkilerini aktif olarak takip ediyoruz.

2025 yılında gözlemlenen risk ile ilgili kullanım senaryoları:

• Kurum genelindeki riskleri stratejik ve fonksiyonel olarak uyumlu skor kartlarına hiyerarşik dağılım ile entegre ederek, riskleri, senaryoları ve KPI’ları fonksiyonlar arasında ilişkilendirerek risk yönetimini stratejiye entegre etme.
• Önleyici ve azaltıcı kontrolleri tek bir performans çerçevesinde bowtie analizi ile sürekli izleyerek risk yönetimini strateji uygulamasına entegre etme.

2026’da risk yönetiminde görmeyi beklediğimiz değişimler şunlardır:

• Daha fazla düzenleme, risk yönetimi uygulamaları için gereksinimleri açıkça içermektedir. Paydaşlar kavramı risk yönetiminde daha yaygın hale gelmektedir.
• Ortaya çıkan üretken AI ile ilişkili riskleri azaltmak için AI yönetimi yaygın olarak benimsenmektedir.
• Coupang, Aflac ve Phoenix Üniversitesi gibi önemli veri ihlalleri, üçüncü taraf tedarikçi doğrulamasına ilgiyi artırmıştır.
• Süregelen jeopolitik parçalanma, ticaret kısıtlamaları ve makroekonomik dalgalanmalar, 2026’da organizasyonları risk modellerini özellikle tedarik zinciri genelinde genişletmeye ve stres testine zorlamaktadır.
• Aşırı hava olayları, afet kurtarmaya olan ilgiyi temel BT’nin ötesine taşımıştır.

Risk, profesyonel toplulukta yükselen bir konudur. ABD ve Avrupa genelinde daha fazla risk ve GRC konferansı görmekteyiz. Planlanan konferans konuşmaları ile risk yönetimindeki pratik deneyimlerimizi paylaşacağız.

Giriş: Riski Olasılık ve Etki Ötesinde Tanımlamak

Risk yönetimi alanındaki yol gösterici standart ISO 31000’dir. Standardın risk tanımının zaman içindeki evrimini gözlemlemek ilginçtir:

• Önceki ISO risk tanımı: “Bir kayıp olasılığı veya ihtimali.”
• ISO 31000:2018’e göre tanım: “Belirsizliğin hedefler üzerindeki etkisi.”

Neler değişti?

• Eski tanımda “kayıp” yer alıyordu; yeni tanım “etki” terimini kullanıyor. Bu değişim, potansiyel pozitif ve negatif etkileri ifade eder ve müşteri algısı gibi soyut unsurların önemini vurgular.
• Eski tanımda olayların oluşma olasılığını tanımlamak için “şans” ve “olasılık” kullanılıyordu. Modern tanımda “belirsizliğin etkisi” ile karşılaşıyoruz, bu da eksik bilginin etkisi olarak açıklanır. Bu yaklaşım, risklerin tanımlanmasında daha fazla esneklik sağlar ve “olasılık x etki” modelinin ötesine geçer.
• Yeni tanıma “hedef” teriminin eklenmesi, risklerin belirli bir bağlam içinde tanımlandığını vurgular, bu da genel strateji ile potansiyel uyumsuzlukların önlenmesini sağlar.

ISO standardının yol gösterici ilkelerini kullanarak stratejik planlamada risk yönetiminin pratik uygulamasını inceleyelim.

1. Risk Değerlendirmesi: Sistematik ve Paydaş Farkındalığı

Organizasyonun stratejisi ve paydaşların çıkarları bağlamında itici güçlerin ve erken işaret göstergelerinin sistematik analizi yoluyla olası riskleri haritalayın.

ISO standardının genel kılavuzu, risk değerlendirmesinin sistematik olması ve farklı paydaşların görüşlerini dikkate alması gerektiğini vurgulamaktadır.

Uygulamada bu ne anlama gelir?

Risk Değerlendirmesi: Sistematik

‘Sistematik’ risk değerlendirmesi kavramı, sektörler arasında farklılık gösterir. Temelde, belirlenmiş süreçler ve standartlar izlemeyi içerir, örneğin:

• Risk değerlendirmesinin Düzenliliği
• Riskin Ölçülmesi
• Sorumlu bireylerin atanması

Aşağıda, bunun operasyonel düzeyde nasıl uygulanabileceğini tartışıyoruz.

Risk değerlendirmesi: paydaşın görünümü

Diğer iş alanlarına benzer şekilde (örneğin, sürdürülebilirlik raporlama direktifi), ISO standardı paydaş tanımına odaklanır ve riskleri yönetirken paydaşların görüşlerinin dikkate alınmasını gerektirir.

Pratikte bu, organizasyonların şunları yapması gerektiği anlamına gelir:

• İlgili tarafları tanımlamak için bir paydaş analizi yapın.
• Hedefler bağlamında bir risk modeli oluştururken paydaşların çıkarlarını dikkate alın.

Bu standart gereksinim, strateji uygulama sistemimiz aracılığıyla desteklediğimiz yaklaşımla iyi bir şekilde uyum sağlar.

BSC Designer kullanıcıları, hesaplarında paydaş analizi şablonunu bulacaklardır.

• Paydaşlar listesi, Ayarlar > Organizasyon > Strateji yoluyla tanımlanabilir.
• Listeden paydaşlar ‘Sahibi‘ listesine dahil edilecek ve bir hedefe, riske veya risk azaltma planına atanabilir.

Risk Identification in the Context of Objectives

Hedefler bağlamında risklerin tanımlanması
Risk değerlendirmesinin bir sonraki adımı, belirli riski adlandırmaktır. Yeni ISO standardı, risklerin hedefler bağlamında tanımlanmasını gerektirir. Standardın hedefi, risk ile iş bağlamı arasındaki uyumu geliştirmektir.

Tanınmış bir GRC analisti olan Michael Rasmussen, değer yaratma için risk yönetimi ile uyumluluk için risk yönetimi konusundaki perspektifini paylaştı:

• “[Risk yönetimi için iyi bir araç] işin hedefleriyle başlar ve bu hedefler bağlamında riski haritalar ve yönetir (gerçek ISO 31000).”

Stratejik planlamada, ayrı bir risk skor kartı yerine riskleri strateji skor kartlarına entegre edin.

Değer temelli strateji ayrıştırması yaparken, paydaşların stratejik hedeflerini daha spesifik hedeflere ve alt hedeflere ayırırız. Bu noktada, hedefleri nicelendirir ve iş bağlamını daha iyi anlamak için riskleri tanımlarız.

İş ortamını taramak için kullandığımız (diyagramdaki Strateji Analizi segmentine bakınız) çoğu araç doğal olarak risklerin tanımlanmasına yardımcı olacaktır.

BSC Designer’da bir risk tanımlamak için:

• Mevcut bir hedefi seçin veya yeni bir hedef oluşturun.
• Ekle butonu menüsünden Risk Ekle seçeneğini seçin.
• Açıklama alanına ilgili faktörleri girin ve destekleyici belgeleri yüklemek için Belgeler bölümünü kullanın.

Risk analiz sonuçlarını girmek için:

1. Olasılık göstergesini seçin.
2. Başlangıç risk tahminini Doğal alanına girin.
3. Kabul edilebilir riski Kabul edilebilir alanına girin.
4. Mevcut risk tahminini Artık alanına girin.

Etkisi göstergesi için adımları tekrarlayın.

Erken Belirti Göstergelerini Tanımlama

Riskin kök nedeni, ISO’da “eksik bilgi” etkisi olarak adlandırılır.

Risk modellerimizi, itici güçler bağlamında nasıl geliştirebiliriz?

Olasılık göstergelerine ek olarak, erken belirti göstergelerini tanımlayın. Örneğin, bunlar ekonomik krizlerin veya hatta savaşların erken uyarı göstergeleri olabilir. Genel itici güçleri daha spesifik faktörlere çevirerek, güvenilir bir erken uyarı göstergesi bulma şansını artırırız.

Stratejik planlamada, başarı faktörleriyle uyumlu bu öngörücü/öncü göstergeleri, sonuçları ölçen göstergelerden (gecikmeli göstergeler) ayırırız.

BSC Designer’da öngörücü bir erken belirti göstergesi oluşturmak için:

• Yeni bir gösterge oluşturun.
• Bağlam sekmesine geçin.
• Gösterge türünü “Öncü” olarak değiştirin.

Gösterge türünü Öncü olarak değiştirme. Kaynak: Risk Management Example.

Bu gösterge, üst hedefin performansını hesaplamada dikkate alınmayacak, ancak izleyebilir ve risk keşfi veya risk azaltma girişimlerini ölçmek için kullanabiliriz.

2. Risk Analizi: Olasılık, Etki, Zayıflık

Olasılık, etki ve zayıflık gibi nitelikleri sayısallaştırarak riskleri daha belirgin hale getirin.

Risk analizi, riski ve organizasyon üzerindeki potansiyel etkilerini anlamaya odaklanan geniş bir uygulamadır. Aşağıda, stratejik planlama bağlamında risk analizi için öneriler sunuyoruz.

Olasılık/Gerçekleşme İhtimali Göstergesi Tanımla

Olasılık göstergesi şu şekilde tanımlanabilir:

• Niteliksel olarak, örneğin, [Düşük, Orta, Yüksek] ölçeğinde veya
• Niceliksel olarak, örneğin, [0 ile 100% arası] ölçeğinde.

Niceliksel ölçek, risk olayının belirli bir zaman diliminde olasılığını tahmin etmek için yeterli ampirik verilere sahip olduğu durumlar için uygundur.

Risk olasılığını ölçmek için niceliksel bir ölçek. Kaynak: Risk Management Example.

BSC Designer kullanıcıları, yazılımın belirli değerlere dönüştürebileceği niteliksel ölçüm birimlerini (özel bir ölçek [“Nadir, Olası Değil, Mümkün, Muhtemel, Kesin”]) tanımlayabilirler.

Risk ihtimalini değerlendirmek için niteliksel bir ölçek. Kaynak: Risk Management Example.

Risk Etkisi Göstergesi

Olasılık göstergesine benzer şekilde, risk göstergesini 0’dan 100%’e kadar olan bir ölçekte niceliksel olarak tanımlayabiliriz.

Alternatif bir seçenek, risk etkisi göstergesi için bir dolar ölçeği kullanmak olacaktır.

Dolar ölçeğinde ölçülen etki göstergesi. Kaynak: Risk Yönetimi Örneği.

Olasılık göstergesine benzer şekilde, etki için özel bir niceliksel ölçek tanımlayabiliriz:

Risk etkisi göstergesi için niteliksel ölçek. Kaynak: Risk Yönetimi Örneği.

Güvenlik Açığı Göstergesi

Riskin olasılığı ve olası etkisi tahmini, organizasyonun bu tür risklere karşı hassasiyetini dikkate almaz.

Erken uyarı göstergelerini tartışırken, belirli itici güçlerin gelişimini tahmin edebilecek iş ortamının yönlerini ölçtük. Güvenlik açığı durumunda, benzer bir analiz yapıyoruz ancak organizasyona ve altyapısına odaklanıyoruz.

Örneğin, mevcut siber güvenlik açıklarını savaş oyunları veya saldırı simülasyonu yoluyla değerlendirebiliriz. Daha spesifik örnekler siber güvenlik makalesinde bulunabilir.

“Güvenlik Açığı”, 0’dan 10’a kadar olan ölçekte CVSS‘e göre “Minimizasyon” optimizasyon fonksiyonu ile ölçülebilir.

Riskleri İç Kontrollerin Etkinliği ile Uyumlu Hale Getir

Bir riskin olasılığını veya etkisini tahmin etmenin bir yolu, iç kontrollerin etkinliğini değerlendirmektir.

Kontrollerin etkinliği gecikmeli metriklerle doğrulanır. Eğer bunlar yeşil bölgede ise, daha düşük bir risk tahmini bekleyebiliriz.

Zaman Faktörlerini İzle

Sürekli değişen itici güçler ve risk önleme girişimleri, risk tahminlerinde değişikliklere neden olur.

Zaman içinde riskin evrimini takip edin ve öğrenme ve iyileştirme döngüsü için ilgili fikirleri not alın.

Bunu BSC Designer’da otomatikleştirmek için:

• Risk göstergeleri için bir güncelleme aralığı belirleyin.

• Göstergeyi güncel verilerle güncellemek için dahili takvim ve Değer alanını kullanın.
• Güncellemeye ilgili notlar eklemek için yorum butonunu kullanın.

3. Risk Tedavisi: Riski Yanıtlamaya Karar Verme

Riskler için azaltma planlarını uygulayın ve girişimlerin durumları ve risk azaltma göstergeleri ile uygulamanın başarısını takip edin.

Kabul edilebilir risklerin belirlenen eşiklerine göre ve risk analiz sonuçlarını takip ederek, karar vericiler aşağıdaki gibi olası seçeneklerle risk için bir yanıt stratejisi oluştururlar:

• Riskleri ilgili değil olarak kaldırma
• Mevcut risk modeli içinde izleme
• Bir risk tedavi planı tanıtma
• Risk analizini sorgulama
• Bağlamı (hedef veya paydaşların hırsı) sorgulama

BSC Designer’da:

• Risk tedavi planlarını yazmak için Risk Azaltma girişimlerini kullanın.
• Risk azaltma girişimi ile ilerleme göstergesini hizalayın.
• Kabul edilen risk yönetimi iş akışına göre riskin mevcut durumunu belirtmek için riskin durum alanını kullanın.

Risk azaltma girişiminin durumunu takip et. Kaynak: Risk Yönetimi Örneği.

• Girişimler diyaloğu aracılığıyla ek öğeler ekleyin (yeni riskler, girişimler, gerekçeler, hipotezler, beklenen sonuçlar)
• Risk tedavisi için bütçe, zaman çizelgesi, ilerleme göstergesi, sorumlu kişiler gibi ilgili verileri ekleyin
• İlgili destekleyici belgeleri yükleyin

4. Risk İzleme: Risk Maruziyetine Yeni Bir Bakış

Risk maruziyetinin zamanla nasıl değiştiğini, kilit risk göstergeleri ve paneller ile izleyin.

Riskleri tanımlamak için kullandığımız göstergeler belirli bir güncelleme aralığına göre yapılandırılmıştır. Risk göstergelerine atanan sahipler, yaklaşan güncelleme aralıkları ve kaçırılan güncellemeler hakkında bildirim alacaklardır.

Zamanında güncellenmeyen göstergeleri panelde görselleştirmek de mümkündür.

Tüm güncellemelerin detayları (güncellemeyi yapan kişi, güncellemenin yapıldığı zaman, önceki değerin değiştirilip değiştirilmediği) göstergeler için denetim günlüğü aracılığıyla görselleştirilebilir.

Yönetim skor kartı seviyesinde, düzenli risk analizi özel bir gösterge ile nicelendirilebilir:

• “Sistematik risk değerlendirmesi yap” ifadesini yönetim skor kartına ekleyin.
• Göstergenin üç ayda bir veya yılda bir güncellenmesini yapılandırın.
• Düzenli risk analizinden sorumlu kişi/ekibi bu göstergenin sahibi olarak atayın ve yaklaşan güncellemeler hakkında e-posta hatırlatıcıları alın.
• Bu göstergenin, belirli alanlarda yapılan risk değerlendirmelerini nicelendiren alt seviyelerdeki ilgili göstergelerle uyumlu olmasını sağlayın.

Paneller

Düzenli olarak güncellenen göstergelerle izleme yapmanın yanı sıra, ilgili diyagramlarla bir panel eklemeyi düşünün:

• Risklerin listesi, durumları, tedavi ilerlemesi, sorumlu kişilerle birlikte bir diyagram
• En kritik riskler için özel diyagramlar
• Risk dizini ve zaman içindeki değişimi için diyagramlar.

Risk diyagramları ile bir panel. Kaynak: Risk Yönetimi Örneği.

Ağırlıklı Risk Dizin

Risk olaylarını raporlamanın popüler yollarından biri, ağırlıklı bir risk dizini kullanmaktır. Basit bir dizin şöyle görünebilir:

• Düşük etkili olaylar (ağırlık = %5)
• Orta etkili olaylar (ağırlık = %15)
• Yüksek etkili olaylar (ağırlık = %30)
• Kritik olaylar (ağırlık = %50)

Dizinin kullanımı, yüksek değerli olayların düşük değerli düzeltmelerle maskelenerek göstergenin manipüle edilmesini önlemeye yardımcı olur.

Ağırlıklı risk dizini örneği. Kaynak: Risk Yönetimi Örneği.

BSC Designer’da:

• Hiyerarşik bir gösterge yapısı oluşturmak için Ekle butonunu kullanın.
• Göstergeye ilgili ağırlığı atamak için Performans sekmesinde Ağırlık özelliğini kullanın.

Geniş Ölçekte Risk Yönetimi: Risk Defteri ve Hedef Merkezli Risk Tanımları

Riskle ilgili uygulamaları genişletirken, organizasyonlar genellikle risk görünürlüğü ve uyumunu dengelemek için bu iki risk yönetim yöntemini birleştirir:

• Genel riskler için bir risk defteri skor kartı kullanmak ve
• Daha spesifik riskler için hedef merkezli risk tanımlarına odaklanmak.

BSC Designer tarafından otomatikleştirilen bir fonksiyonel skor kartında risk defteri örneği. Kaynak: Risk Register.

Kapsamlı Risk Analizi – Bowtie Yöntemi

Yukarıda, belirli risklerin kantitatif analizine odaklandık. Ancak, belirli bir risk olayına ilişkin belirsizlikleri—birden fazla tehdit ve sonucun çeşitli boyutlarda yer aldığı durumları—daha ayrıntılı anlamamız gerekirse ne yapmalıyız?

Bu tür durumlarda, bowtie risk analizi yöntemi, yalnızca olayın kendisini değil, aynı zamanda önleme ve azaltma kontrollerini de haritalandırarak, belirli risk olayı için net ve yapılandırılmış bir bakış sunar.

Slaytlar

Sonuç: Riskin Stratejik Planlamaya Entegrasyonu

Artık risk yönetimi, uyum ve yönetişim gibi ayrı disiplinlerden bahsetmiyoruz. Hızla değişen iş ortamı, organizasyonları entegre bir GRC çerçevesi aramaya zorlamaktadır.

Strateji Uygulama Sistemimizde belirtildiği gibi, pratik uygulama şunları içerir:

• Karışık sorunların, özel strateji ve fonksiyon skor kartları tarafından yönetilen belirli alanlara ayrıştırılması.
• Uygun risk tanımları, göstergeler ve girişimlerle hedeflerin formüle edilmesi.
• Skor kartlarının uyum, siber güvenlik veya tedarik zinciri gibi ilgi alanlarına odaklanması.

Risk Management Example Şablonunu kullan

BSC Designer, organizasyonların karmaşık stratejilerini uygulamalarına yardımcı olur:

1. Platformda ücretsiz bir plan için kaydolun.
2. Başlangıç noktası olarak Risk Management Example şablonunu kullanın. Bunu Yeni > Yeni Skor kartı > Daha Fazla Şablonlar altında bulabilirsiniz.
3. Paydaşları ve stratejik hedefleri kapsamlı bir stratejiye uyumlu hale getirmek için Strateji Uygulama Sistemimizi takip edin.

Bugün başlayın ve BSC Designer'ın strateji uygulamanızı nasıl basitleştirebileceğini görün!

Alexis Savkín

Alexis Savkin, strateji yürütme ve Kurumsal Karne yazılım platformu BSC Designer’ın kurucusu ve Strateji Uygulama Mimarıdır. Kuruluşların performans yönetimini otomatikleştirmesine ve stratejiyi ölçülebilir sonuçlara dönüştürmesine yardımcı olur. Alexis, “Strategy Execution Canvas”’ın yaratıcısı, strateji ve performans ölçümü üzerine 100’den fazla makalenin yazarı ve sektör etkinliklerinde düzenli konuşmacıdır.