Bir faaliyete ilişkin riskleri tanımlayabilmek için, öncelikle faaliyeti tanımlamak gerekiyor. Faaliyeti tanımlamak bir işin neden ve nasıl yapıldığının tanımlanması anlamına geliyor. İşin neden yapıldığı, faaliyetin amacını görebilmemizi sağlıyor. Nasıl yapıldığı ise faaliyetin doğasını ve bizim yönetim/kontrol tercihlerimizi/stratejilerimizi görebilmemizi sağlıyor.

Faaliyetin amacını bilmeden, hedefe ulaşmamıza engel olabilecek riskleri nasıl tanımlayabilir, doğal ve kalıntı risk seviyelerini nasıl analiz edebiliriz? Yapamayız.

Bu nedenle, dünya genelinde risk yönetimi iyi uygulamalarının süreç bazlı uygulamalar olduğunu görüyoruz.

Ülkemizdeki kurum ve şirketlerde risk değerlendirme çalışmalarında maalesef, süreç analizi çalışmalarının ya hiç yapılmadığını ya da risk değerlendirme çalışmalarına yeterli katkıyı sağlayacak detaya sahip olmadıklarını biliyoruz.

Nasıl yapalım?

1. Faaliyeti tanımlayarak başlayalım.
- Faaliyetin amacı nedir?
- Faaliyetin kapsamı nedir?
- Faaliyetin sorumluları kimlerdir?
- Faaliyetin paydaşları kimlerdir?
- Faaliyetin referansları nelerdir? (iç ve dış düzenlemeler)
- Faaliyetin kaynakları, girdi ve çıktıları nelerdir?
- Faaliyetin kritik başarı faktörleri nelerdir?
- Faaliyetin kurumsal amaç ve hedeflerle bağlantısı nedir?
- Faaliyetin diğer faaliyetlerle bağlantısı nedir?
- Faaliyetin yönettiği/etki ettiği varlıklar nelerdir? Bu varlıkların büyüklüğü ve önemi nedir?

2. Faaliyetin iş akış diyagramını oluşturalım.
3. İşlem adımları ile yukarıdaki bilgilerin eşleştirilmesini sağlayalım.
4. Hangi adım ne kadar önemli/öncelikli görelim.

Söz konusu aşamaları tamamladıktan sonra riskler ve kontrol noktaları ilgili önemli verilere sahip oluruz:

-Faaliyet ne kadar tanımlı, ne kadar belirsiz, ne kadar karmaşık, ne kadar rutin? vb.
-Faaliyetin referans kaynakları ne kadar tanımlı, güncel, iletişimi ne kadar güçlü?
-Faaliyetin varlıkları korumak açısından önemi nedir?
-Faaliyetin dışa bağımlılık derecesi nedir?
-Faaliyetin hedefler üzerindeki etkisi nedir?
-Faaliyetin yetki sınırları nasıl tanımlanmış?
-Faaliyetin otomasyon seviyesi nedir?
-Faaliyetin itibar üzerindeki etkisi nedir? vb.

Şimdi elimizdeki verilerle, başarılı ve etkili bir risk değerlendirmesi yapmamız mümkün.

Biliyoruz ki Ülkemizde süreç yönetimini başarılı şekilde uygulayabilen kurum/ şirket sayısı çok çok az. Süreç yönetimi dokümantasyonuna sahip olan kurumların/şirketlerin oranı da hala çok düşük. Sadece bir risk envanterine değil, risk yönetimi sistemine sahip olmaksa amacımız, otomasyonların kabiliyetlerinden de destek alarak süreç bazlı risk yönetimi uygulamalarına yönelmek, kurumların/şirketlerin bu alandaki yatırımlarını değerli hale getirecektir.