- Katılım
- 28 Ara 2011
- Mesajlar
- 508
- Tepki puanı
- 1,476
- Medeni hal
- Belirtilmedi
- Meslek
- Uzman (B)
RİSK ANALİZİ
1.1.Riskin Tanımı:
Gerçek kişi ve tüzel kişiler açısından gelecek çeşitli belirsizlikler taşımaktadır.Bireyler ve işletmeler bu belirsizlik durumunda kendilerinin en az zararla çıkma amacını göz önünde bulundururlar.Belirsizlik ortamı beraberinde çeşitli riskleri ortaya çıkartır.
Riskin çeşitli tanımları mevcuttur, başlıca öneli tanımlar şunlardır:
Risk, italyanca “risco” kelimesinden gelmekte olup bir zarar veya kayıp durumuna yol açabilecek bir olayın ortaya çıkma ihtimalidir.Tehlike ile aynı anlamlıdır ve ileride ortaya çıkması beklenen ama meydana gelip gelmeyeceği bilinmeyen olaydır.1 (E.Kadal,İstanbul,1995)
Risk,arzulanmayan bir olayın meydana gelebilmesinin sakınca dolu belirsizliğidir.2 (M.Allan Willet, Philedelphia, 1951)
Sigortacılık dilinde mali kayıp veya hasarın belirsizliği risk denir.3 (T. Yazgan, İstanbul, 1977 )
Risk, gelecekte ortaya çıkması istenmeyen bir olayın gerçekleşme olasılığı olarak nitelendirilebilir.4 (N. Berk, İstanbul, 1993 )
Risk her faaliyetin içinde ve her yerde yer alan, bireyleri, kuruluşları, ekonomiyi, sosyal ve politik hayatı, hükümetleri ve çevremizi yakından ilgilendiren bir unsurdur.Bize kendi hayatımız ve geleceğimiz kadar önemli bir konu olup oluşumuzla ilgilidir.
Karşılaşılan problemler ve davranışlar gösterir ki, gelecek için bilgimiz çok azdır.Bu düşünce diğer bütün aktivitelerde olduğu gibi iş dünyasında da böyledir.Bir işlem yapılırken bu çok etkin veya daha az etkin kaynakların ve değerlerin doğrultusunda gerçekleşmesi gerekir.Bu demek değildir ki, elde edilen bilgiler tam doğruyu gösterecektir ve ya tamamen yanlıştır; amaç bu değerlerin bir bilgi kaynağı olarak kullanılmasıdır.
Riski bir ölçüye kadar kavrayabiliriz, zaten tamamıyla kavrayabilseydik risk de var olmazdı.Belirsizlik olmasaydı oluşumuz da çok sıkıcı, tekdüze, ve tamamıyla yaşanması zor bir varoluş olacaktı.
Tarih öncesi çağlardan itibaren sosyal ve ekonomik sistemler insanoğlunun sistemlere bağımlılığı ile aynı paralelde gelişme göstermiştir.Bağımsızlığımız hala gittikçe ve gittikçe daha artan bir hızda gelişmektedir.Atmosfer dışında hayatın bütün gereksinimleri için oldukça karışık ve korunması gereken sistemlere ihtiyacımız vardır.
Endüstrileşmiş toplumlarda, kendini dıştan yardım görmeksizin besleyebilecek bir tek fert bulunur.Bu gün artık bu insanoğlu üretim ve dağıtım hattında zincirlerine bağımlı yaşamaktadır.Dolayısıyla da organize bir risk yönetimine ihtiyaç kendiliğinden ortaya çıkmaktadır.5 ( E. Gökalp, İstanbul, 1995 )
Risk, gerek belirsizlik gerekse belirsizliğin sonuçları olarak tanımlanabilir.Risk, karar ya da planlama ortamında sonuçların kestirilememesine ilişkin olup, olasılık kavramlarıyla açıklanabilir.
Kimi yazarlar riskle, belirsizlik arasında şöyle bir ayrım yapar:Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları çıkarabiliyorsa risk, uzmanlar bu konuda bir anlaşmaya varamıyorlarsa belirsizlik söz konusudur.
Bir başka ayırım ise şöyledir: Ayrım istatiksel ve istatiksel olmayan olaylara ilişkindir.İstatiksel olaylar için risk, istatiksel olmayan olaylar için belirsizlik söz konusu olur.İstatatiksel olaylar yinelenebilir.Ancak pek çok karar durumu tek olup, yinelenebilir nitelikte değildir.Bu nedenle karar vericiler olasılık kurallarıyla tutarlı (istatiksel ya da nesnel) olan istatiksel olmayan ya da öznel olasılık değerlemeleri yapmak zorunda kalırlar.
Risk profili, firmanın karşı karşıya olduğu ana risklerin analizini ortaya koymak ve ürün, imalat metotları, yerleşim yeri, satış metotları ve ya yönetimi ve iş gücü açısından gereklidir.Ancak riskin bu portresi tespit edildikten sonra, risk kontrolü ve finansı açısından risk objektifleri yapılabilir.Bütün bu objektiflere ulaşabilmek için detaylı planlar hazırlamadan önce uygulanmakta olan mevcut risk yönetimi tarzı kontrol edilmelidir.
Yukarıdaki tanımlar sonucunda; riskin, tüm ekonomik faaliyet ve hareketlerin karşı karşıya olduğu ve işletmelerce kullanılan sermayenin kayba uğrama tehlikesi ya da kısaca başarısızlığa uğrama tehlikesi olduğu belirtilebilir.İşletmelerde risklerin ortaya çıkış şekline bakılmaksızın her zaman sermaye azalışına ve dolayısıyla para ihtiyacına yol açarlar.Bu bakımdan hedef olarak belirlenen karın gerçekleşmemesi de bir sermaye kaybı olarak değerlendirilmelidir.6 (N. Berk, İstanbul,1993 )
Riskin varlığı ve ona karşı davranışlarda bireyin duyarlılığı da farklılık göstermektedir.Bazı işletme ortakları firma faaliyetlerini ayrıntılı olarak izlerken, diğerleri küçük risklerin işletmede yol açtığı hasarlardan habersizdir.Ayrıca başarılı işletme yöneticileri birçok ticari riski işletmede oluşturan gizli ya da gönüllü yedeklerle karşılamaktadır.
Risk ile ilgili kavramlardan biri de şanstır.Ancak şansın pozitif ve negatif versiyonlarının bulunduğu bilinmektedir.Buna göre risk şansın negatif şeklini, diğer bir ifade ile şansızlığı ifade etmektedir.Ancak risk ile şans arasında doğrudan bir bağlılık olmadığı da belirtilmelidir.Zira büyük kar fırsatlarının, büyük risklere girilerek gerçekleşmesi mümkün olmakla birlikte girişimler yüksek karları amaçladıkları durumlarda da risklerle karşılaşırlar.Böylece girişimciler yeni faaliyette bulunmasalar bile kendilerinin tehlikeden soyutlayamazlar.Risk ve tehlike birbirine bağlı iki kavramdır.Tehlikelerin varoluşu riski yaratır.7 (S. Denengberg,Pennsylavia,1986 )
1.2 Risk Çeşitleri
Risk çeşitlerini incelerken ilk önce riskin belirlenmesine, sınıflandırılmasına ve özellikle işletmelerin karşılaşacağı risk çeşitlerine değineceğiz.
1.2.1 Riskin Belirlenmesi
Bir risk ile karşı karşıya kalındığında ilk önce yapılması gereken şey o riski oluşturacak kaynak olayı ve riskin etkilerini belirlemektir. Böylece riski tanımak daha kolaylaşır ve riske karşı ne gibi önlemler alınacağı daha rahat bir şekilde ortaya konulabilir. Ayrıca, kötü belirlenmiş risklerin daha başka risklerin doğmasına neden olacağını belirtmekte fayda vardır. Aşağıdaki şekil kaynak olayı ve riskin etkilerini göstermektedir.
Şekil 1: Risk belirlenirken izlenecek yol
Kaynak olay ve riskin etkisi
Kontrol edilebilir Kontrol edilemez
Bağımlı Bağımsız
Tamamen Kısmen
Bağımlı Bağım
* Kaynak: Roger Flanagan and George Norman, Risk Management and Construction, Blackwell Scientific Publications, 1993, s. 47.
Riski belirlerken, riskin kontrol ebilebilir olup olmadığını ve bağımlılık derecesini tespit etmek gerekmektedir. Riskleri kontrol edilebilme derecesine göre sınıflandırmak gerekirse dört çeşit riskden bahsedebiliriz. Bunlar;
• Kontrolümüzde olan riskler,
• Tarafımızdan bağlantı kurdurulan kişilerin kontrolünde olan riskler,
• Hükümete bağlı olanlar,
• Tamamıyla kontrolümüz dışında olanlar.
Örnek vermek gerekirse işletmelerde koordinasyon eksikliği gibi bazı riskler kontrol edilebilirler. Ancak hava şartları gibi bir fiziksel çevre riski ise kontrol edilemez. Her zaman için en kötü ihtimalin gerçekleşeceği düşünülerek tüm risklere karşı tedbir alınmalıdır.
Risk belirlenmesinde kullanılan bir diğer yöntem ise, bağımlılık derecesine göre riskleri tanımlamaktır. Burada riski bağımlı ve bağımsız olmak üzere ikiye ayırarak inceleyebiliriz. Bir projedeki iki risk kaynağından biri hakkında elde edilen bilgiler, diğeri için yapılan tahminleri etkiliyorsa risk bağımlı demektir. Aşağıdaki örnektede görüleceği gibi, kontrol edilebilir ve kontrol edilemez riskler arasında bağımlılık olabilir.
Bir makinanın ömrü daha çok onun dizaynına, yapılışındaki ustalığa ve kullanılan malzemenin kalitesine bağlıdır. Makinanın içine yerleştirilen küçük parçalar yaşlanma, fiziksel hırpalanma ve yıpranmaya bağlı olarak bozulurlar. Bozulma yetersiz ve eksik bakım veya kötü kullanım sonucu da olabilir. Küçük parçaların ömrü teknolojik eskime ve modaya bağlı olarak da değişir. Fonksiyonel olmak yerine, son model parçalarla değiştirilebilirler. Bu faktörlerin çoğu kontrol edilebilir fakat bir kısmı özellikle çevreden etkilenenler kontrol edilemez. Örnekte küçük parçaların bozulma riskinin bilinmesi, makinanın ömrünün kısalma riskini etkileyecektir. Yani riskler arasında bir bağımlılık söz konusudur.
Risk değerlendirmesi yapılırken, değişkenler arasındaki bağımlılık sorgulanmalı ve çeşitli varsayımlar ileri sürülmelidir. Üç çeşit bağımlılık vardır.
• Değişkenler arasında bir ilişki olmadığından bağımlılık yoktur,
• Tam bağımlılık vardır,
• Kısmı bağımlılık vardır.
Kısmı bağımlılığa örnek olarak, 20 katı bulunan bir binanın metre karesinin yapım maliyetinin, kat sayısı 21'e yükseldiğinde nasıl etkileneceğini düşünelim. Kat bitirme, boyama, dekorasyon maliyetleri etkilenmeyecektir, fakat toplam maliyet artan yüke bağlı olarak artacaktır. Bundan dolayı metrekare fiyatı ve toplam kat adedi değişkenleri arasında kısmi bir bağımlılık vardır.
Riski tanımlamaya çalışmak aynı bir dünya haritası çizmeye benzer. Merkez haritayı çizenin olduğu yerdedir. Durduğu yerden dünyanın büyük kısmını göremez. Haritayı çizenin bildiği bazı yerler başkaları için çok yabancı olabilir. Buna benzer olarak kompleks bağlantılar planlamalar ve problemler içeren büyük projelere kuşbakışı bakmak, dünya haritasına sislerin arasından bakmaya benzer. Yönetimin çıktıları etkileme kapasitesi, ancak bildikleri ve görebildikleri ile sınırlıdır. Yönetimin yapacağı en büyük yanlış ise ne olacağına değilde ne olması gerektiğine odaklanmak ile başlar. Gereksinimimiz olan ilk şey risk kaynaklarına ve olayların etkilerine odaklanmaktır.8 (S. Herbert, London, 1990 )
1.2.1.1. Riskin Kaynakları
Kaynak Olay Etki
Risk genelde kaynak, olay ve etki anlamında düşünülür. Örneğin bir buhar kazanın patlamasının (olay) sebebi dizayndaki bir hata veya üretimdeki yanlışlıktan kaynaklanıyor olabilir (risk kaynağı). Patlamadan dolayı işlerin yavaşlaması ve projenin geç tamamlanması durumunda yapımcı zararı ödemek durumunda kalırken, sonuçta maddi bir kayba (etki) uğrayacaktır.
Risk kaynakları, etkilerinden ayırt edilmelidir. Aşağıda risk kaynaklarına ve etkilerine çeşitli örnekler verilmiştir. Risk kaynaklarına örnekler;
• Hammadde kaynaklı riskler (bozulması, gecikmesi, değişmesi gibi)
• Enflasyonun tahmin edilenden yüksek olması
• Hava şartları
• Koordinasyon bozuklukları
gibi.
Riskin etkilerine örnekler;
• Maliyetin fazla çıkması
• İşin öngörülen zamanda tamamlanamaması
• Kalite yetersizliği gibi.
1.2.2 Riskin Genel Olarak Sınıflandırılması
Riski sınıflandırmanın üç yolu vardır. Riski; sonucuna, kazançlara-kayıplara ve etkisine göre sınıflandırmak mümkündür. Bu ayrıma göre yapılan bir sınıflandırmanın genel şekli aşağıda belirtilmiştir.
Şekil 2: Risk sınıflandırması
Risk Sınıflandırması
Sonucuna Göre Kazançlara ve Kayıplara Göre Etkisine Göre
Sınıflandırma Sınıflandırma Sınıflandırma
Saf Riskler Spekülatif Riskler Çevre Piyasa Şirket
Sıklık Şiddet Tahmin Edebilmek
* Kaynak ; Roger Flanagan and George Norman, Risk Management and Construction, Blackwell Scientific Publications, 1993, s. 52.
Aşağıda üç tip sınıflandırma ayrıntıları ile incelenecektir.
1.2.2.1 Sonucuna Göre Risk Sınıflandırması
Riski sonucuna göre sınıflandırmak istediğimizde, riskin etkileri ile ilgili olan bazı faktörleri göz önüne almalıyız. Çoğu yöneticiler, uzman kararlarına, eldeki bilgilere ve eğer mümkünse geçmişteki olaylara dayanarak karar alma eğilimindedirler. Riski karşılaşma sıklığına, şiddetine ve tahmin edilebilirlik derecesine göre sınıflandırmak ona karşı alınabilecek tedbirlerin belirlenmesinde faydalı olabilir. Risk ile karşılaşma sıklığımızı belirlememiz o riski ne kadar tanıdığımızı ortaya çıkaracaktır. Riski tanıma derecemiz ne kadar yüksek ise ona karşı nasıl bir tutum alacağımızı bilmemiz de o derece kolaylaşacaktır.
Genelde bir riskin tahmin edilebilirliği ne kadar yüksek ise tedbir almada o derecede kolaylaşacaktır. Ancak tedbirin olumlu sonuç verip vermeyeceği riskin şiddetine, kontrol edilebilirliğine ve bağımlılığına göre değişecektir. Ayrıca çoğu risk kaynağı için güvenilir veriler bulmak imkansızdır. Bu gibi durumlarda olay tüm risk yönetim sistemini ilgilendirmektedir.
1.2.2.2 Kazançlara ve Kayıplara Göre Risk Sınıflandırması
Riskleri kazanç ve kaybı göz önünde bulundurarak saf ve spekülatif olmak üzere ikiye ayırabiliriz. Bu iki çeşit risk aşağıda incelenmiştir.
1.2.2.2.1 Saf Riskler
Kazançtan söz edilmeyen sadece kayıp ihtimali bulunan durumlarda saf riskler mevcuttur. Örneğin otomobil sahibinin kaza yapma riski vardır. Kaza yapması durumunda maddi bir kayıp söz konusudur. Kaza yapmaması durumunda ise bir kazancı olmayacak, durumu değişmeyecektir.
1.2.2.2.2 Spekülatif Riskler
Hem kazancın hem kaybın söz konusu olduğu durumlarda ise spekülatif risk mevcuttur. Örneğin mevcut fabrikayı genişletmek hem kazanca hemde kayba yol açabilir. Saf riskler her zaman için tatsızdır, ancak spekülatif riskler bazı çekici özelliklere de sahiptir. Saf riskler spekülatif risklerden daha çok tekrarlanmak özelliğine sahiptir. Bu da saf riskle karşılaşan birinin daha başarılı tahminler yapacağı anlamına gelir. Sonuçta spekülatif risk içeren bir durum şahsa zarar verse bile topluma faydalı olabilir. Saf risklerde kişi kayba uğruyorsa toplumda kayba uğrar.
Deneyler göstermiştir ki kişiler spekülatif risklere karşı farklı tepki verirler. Örneğin bir deneyde çoğu denek eğer kazanma ihtimali 0.99 değil ise muhtemel kazancın 100 kaybın ise 4 900 TL. olduğu spekülatif bir olaya katılmak istememiştir. Diğer yandan, kaybetme ihtimalinin 0.10 veya daha fazla olmadığı durumlarda 5 000 TL. kaybetmemek için 100 TL. ödemek istememişlerdir. Riske karşı olan davranışların farklılığının muhtemel bir açıklaması, spekülatif risk durumlarında deneklerin riski varsayarak hareket etme zorunlulukları olmasıdır. Saf riskin söz konusu olduğu durumlarda ise denekler kendilerini riskten koruyucu önlemler almak zorundadırlar.9 (Williams and Heins, ABD, 1981 )
Genelde hem spekülatif hem de saf riskler aynı anda var olurlar. Örneğin bina satın alan bir kişi iki çeşit riskle karşı karşıya kalmış olur. Birincisi, kazaların yol açabileceği saf riskler. İkincisi, ekonomik sebeplerden dolayı binanın değer kaybı ya da kazancını etkileyen spekülatif riskler. Saf riskleri ele alan bazı özel teknikler olduğundan bu iki risk çeşidi arasında ayırım yapmak önemlidir.
1.2.2.3 Etkisine Göre Risk Sınıflandırması
Riski etkisine göre sınıflandırırken Roger Flanagan ve George Norman'ın tanımladığı risk hiyerarşisini göz önünde bulundurmak gerekmektedir.
ilk önce çevresel risklerden bahsedelim. Bu tür riskler ikiye ayrılabilirler. Birincisi, fiziksel ikincisi ise politik, sosyal ve ekonomik riskler. Hava şartları, deprem gibi kavramlar fiziksel çevre risklerine örnektir. Fiziksel çevre kontrol edilemeyeceğinden bu tip riskler tanımlanmalı ve etkisini azaltıcı önlemler alınmalıdır. Politik, sosyal ve ekonomik riskler kısmen kontrol edilebilirler. Örneğin, hükümet kendi ülkesinin ekonomisini kontrol edebilirken, doğal olarak dünya ekonomisini kontrol altında tutamaz. Ekonomik ve sosyal çevre genelde hükümetin kontrolü altındayken, çeşitli endüstriler çevresel kararlardan ciddi olarak etkilenirler. Örneğin hükümetin şehir merkezlerinde yapılanma hakkında aldığı bir karar inşaat sektörünü yakından etkileyecektir. Çevresel riskler göz ardı edilmemelidir. Açıklandığı gibi, çevresel riskler üzerinde kontrolümüz önemsenmeyecek kadar az olacağından, bu tür riskleri önceden görebilmek işletmeler için bir avantaj olacaktır.
İkinci olarak ele alınacak risk türü piyasa veya endüstri riskidir. Bu tür riskler tüm sektörü etkileyecektir. Büyük firmalar bu tür riskleri daha sistematik yöntemlerle analiz ettiklerinden, uğrayacakları kayıplar küçüklere kıyasla daha az olacaktır. Tüm firmalar piyasadaki paylarını korumak isterler. Bunun sonucu olarak da hepsi rekabeti benimser ve fiyat ve kaliteyi bu anlayışla belirlerler. Bunun neticesinde de bir firmanın riske karşı aldığı tutum diğerlerinin davranışlarını da etkileyecektir. Ayrıca firmalar piyasa riskini minimize etmek için bir kaç sektörde birden faaliyet gösterme eğilimindedirler. Örneğin, tekstil sektöründe kimyevi madde üreten bir firma bu sektördeki olası risklere karşı kendini korumak için bir seçenek olarak kimyevi madde satmak üzere deri sektörüne de girebilir.
Üçüncü olarak firma riski incelenecektir. Firmalar belirli bir piyasa içinde faaliyet gösterirler. Genelde firmalar bir çok projeyi aynı anda yürütürler ve bu projelerden her biri kar kaynağıdır. Firma riski ile proje riski birbiri ile bağıntılıdır. Çünkü firma, riskli projenin sonucunu üstlenmek durumundadır. Riskli projenin sonucu sadece o projedekileri değil tüm firmayı ilgilendirdiğinden, riskli kararları grup halinde vermek daha doğru olacaktır. Ayrıca firma riski denilince o firmanın faaliyetinden kaynaklanan bütün riskler içerilmiş olur. Bunlara personel kaybı riski, iş kazası riski gibi riskler örnek olarak verilebilir.
Son olarak ise proje veya birey riski incelenecektir. Hiyerarşinin alt basamaklarına inildikçe riskleri görmek kolaylaşır. Proje ile ilgisi olan kişiler, özellikle bizzat çalışanlar projedeki güçlükleri daha rahat görebilmektedirler. Ancak projeleri bir bütün olarak göremediklerinden önemini tam olarak kavramakta güçlük çekerler. Bu yüzden risk yönetim sisteminde bütün riskleri görebilmek gerekli önlemleri alabilmek için aşağıdan yukarıya ve yukarıdan aşağıya bilgi ileten çok iyi bir mekanizmanın kurulmuş olması gerekmektedir.10 ( R. Norman, London ,1993 )
1.3. Risk Analizi
Risk analizi, stratejik kararlarda ele alınan değişkenle ilgili olan riskin kapsamlı olarak anlaşılması sağlayan yöntemlerin bütünüdür.Bir başka değişle, ilgi duyulan değişkene ilişkin kestirim, olasılık dağılımı biçiminde ortaya konur.Olasılık dağılımını elde etmekte iki çözüm yöntemi vardır: İlk yöntem analitik yöntem olup, bu yöntemle belirlenen yapısal modele göre bireysel kestirimler ( Örneğin, satışlar ve maliyetlerin olasılık dağılımları ) matematiksel olarak birleştirilerek net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir.İkinci yöntem Monte-Carlo simulasyon yöntemi olup, bu yöntemle yapısal bir modele dayanarak bir dizi denklem oluşturup, net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir.Burada dağılımların matematiksel olarak birleştirilmesi söz konusu değildir.Kuşkusuz her iki yöntemde de tüm girdilerin olasılık dağılımları olarak modele alınması zorunlu değildir.Duyarlılık analizi sonucunda duyarlı olduğu belirlenen değişkenler, modele reel değişken olarak alınır.
Risk analizi yatırım projelerinin değerlendirilmesinde geniş bir kabul görmüştür.Kimileri risk analizini yatırım kararlarında uygulanan yeni bit yöntem olarak değerlendirmiştir.bu doğru değildir.Risk analizi yatırım kararlarında kullanılabileceği gibi, tüm karar sorunlarını çevreleyen verilerin incelenmesinde kullanılabilir.Muhasebe ve finans yazımında yatırımları değerlendirmek için kullanılan geri ödeme dönemi, muhasebe verim oranı, iç verim oranı, net şimdiki değer ölçütler, risk analizinde de geçerli, uygulanabilir ölçütlerdir.Kuşkusuz bu ölçütler olasılık dağılımları biçiminde ortaya konacaktır.
1.4. Risk Analiz Yöntemleri
Risk ile mücadele edilirken en çok başvurulan kaynak risk analiz yöntemleridir. Bu yöntemler sayesinde riskler bilimsel olarak analiz edilmiş ve teknik veriler elde edilmiş olur. Aşağıda çeşitli karar ortamlarında kullanılan analiz yöntemleri incelenmiştir.
1.4.1. Risk ve Belirsizlik Ortamında Karar Verme
Risk ve (objektif) belirsizlik ortamlarında kullanılan başlıca karar ölçütleri aşağıda belirtilmiştir. Bunlar;
• en büyük beklenen değer ölçütü (MEV),
• etkin strateji-kayıtsızlık eğrileri ölçütü,
• en büyük olasılık ölçütü,
• hırs düzeyi ölçütü'dür.
Bu dört karar ölçütünü aşağıda ayrıntıları ile inceleyeceğiz.
1.4.1.1. En Büyük Beklenen Değer Ölçütü
Bu ölçütün uygulamasında izlenen aşamalar aşağıda belirtilmiştir. Bunlar:
• Her bir stratejiye ilişkin sonuçların (parasal ya da fayda birimi cinsinden) değerleri ile ilişkin oldukları olasılıklar ile çarpımları toplamının bulunması.
• Beklenen değerler içinde en büyüğünün belirlenerek, bu değere ilişkin stratejinin en iyi karar olarak seçimi şeklinde belirtilebilir.
E :beklenen değeri
EMV(Sj) , EU(Sj) :Sj stratejisine ilişkin beklenen parasal değeri ya da beklenen faydayı, simgelediğinde, bu ölçütün matematiksel anlatımı;
MaksSj [ EMV (Sj) ] = MaksSj [ I p(Qi) . R (Qi, Sj) ] şeklindedir.
Beklenen kazanç ölçütünün uygulanmasında, kararların uzun dönemdeki kazançlara göre şekillendiği bilinmelidir. Önemli olan bir başka nokta ise hesaplanan beklenen kazançlar içinde ikisinin ya da daha çoğunun birbirlerine eşit olması durumudur. Bu durumda sorun, birbirine eşit olan beklenen değerlere ilişkin dağılımların dağılma ölçüsü olarak, varyanslarının ya da standart sapmalarının hesaplanması ile çözümlenir. Bulunacak varyans ya da standart sapma değerleri içinde en küçük olanı, o dağılımın ortalama dolaylarında toplandığını açıklar. Böylece, hesaplanan beklenen değerin, ilişkin olduğu dağılımı en iyi biçimde açıkladığı ortaya çıkar. Bu nedenle, varyans ya da standart sapması en küçük olan beklenen değerli strateji, en iyi strateji olarak seçilir.
1.4.1.2 Etkin Stratejiler-Kayıtsızlık Eğrileri Ölçütü
En büyük beklenen değer ölçütü, ister parasal ister fayda birimlerine dayalı olsun, karar vericinin istenmeyen sonuçlara ulaşmasına neden olabilmektedir. Çünkü, en büyük beklenen değer ölçütünün temel mantığı; etken stratejinin uzun dönemde uygulanması sonunda, dönem başına ortalama olarak elde edileceğine dayanmaktadır. Yani, bu değerler elde edilmemektedir. Ancak, uzun dönem sonunda ortalama olarak elde edileceği varsayılır. Karar vericinin karşı karşıya olduğu sorun; beklenen değeri ve varyansı en iyi olan ve böylece, en büyük doyumu sağlayacak olan stratejiyi seçme sorunudur. Karar verici, stratejileri belirleyip, herbirinin beklenen değerini ve beklenen değişirliğini elde edebilir. Bu konuda, Markowitz, yatırım ve portföy analizinde varyans ve getiri kombinasyonlarını incelemek üzere bir teknik geliştirmiştir. Bu teknikte, Markowitz, etkin stratejilerin; tüm stratejiler setinin bir alt seti olduğunu belirtmiştir. Buna göre etkin olmayan stratejiler;
• Eşit değişirliği olan stratejilerden, en büyük beklenen getirili (değer) olanın seçimi,
• Eşit en büyük beklenen getirili stratejilerden, en küçük değişirli olanının tercihi yoluyla ayıklanmalıdır. Ayıklanan stratejiler dışında kalanlar, yani etkin stratejiler; en uygun eğrinin çizilmesi ile yaklaşık olarak gösterilebilir.11 ( S. Archer, Newyork, 1964 )
Karar verici, bu eğri üzerinde, daha yüksek getiriler için daha büyük değişikliği benimsemektedir. Eğri üzerindeki her nokta, bir ortalama değer ile ödemenin değişirliğinin kombinasyonu olarak belirlenmektedir. Böylelikle, elde edilen her nokta, bir stratejiyi simgelemektedir. Şimdi sorun hangi stratejinin seçileceğidir. Karar vericinin, bu kombinasyonlar karşısında davranışını gösteren bir tekniğin oluşturulması gerekmektedir. İşte bu araca kayıtsızlık eğrileri (indifference curves), adı verilmektedir. Karar verici burada, her stratejinin, beklenen ödemesi ile varyansmı kapsayan iki boyutunu değerlendirir. Ancak ödemelerin fayda birimleri ile ölçümlenmelerinde ikiden çok boyutlu olabilme olanağı vardır. Aşağıdaki şekil böyle çizilen kayıtsızlık eğrilerinin setini göstermektedir. Kayıtsızlık eğrisi üzerindeki tüm noktalar stratejileri belirttiğinden, karar verici her stratejiye kayıtsız olmaktadır. Kayıtsızlık eğrileri üzerindeki her çizgi olurlu değildir, olurlu stratejiler etkin strateji eğrisi üzerindedir. Karar verici, bu eğri üzerindeki bir stratejiyi en iyi karar olarak seçmek zorundadır. Bu nedenle, karar vericinin en iyi kararı; kayıtsızlık eğrileri ile etkin strateji eğrilerisinin teğet olduğu noktadaki stratejinin seçimi olarak ortaya çıkmaktadır.
Beklenen değerlerle ilgili değişiklik ya da dağılma ölçüsüne genellikle, risk adı verilmektedir. Riskin ölçüsü ise, genellikle standart sapmadır.
1.4.1.3. En büyük olasılık ölçütü
Beklenen değer ölçütüne alternatif bir başka ölçüttür. Bu ölçütün uygulanmasıyla belirlenen etken stratejinin seçimi; karar matriksinde en büyük olasılıklı doğa durumuna ilişkin satırdaki ödemeler içinde, en büyük olanının saptanmasına bağlıdır. Ölçütün temeli olasılıklı bir modelden deterministik bir modele dönüşüme dayandırılmaktadır. Ölçütün temel mantığı iyimserlik görüşüne dayandığından, karar vermede kullanılması sakıncalıdır.
1.4.1.4. Hırs Düzeyi Ölçütü
Hırs düzeyi ölçütü (aspiration level criterion), en büyük beklenen değer ölçütü gibi en iyi kararı sağlayan bir ölçüt değildir. Bu ölçütün uygulanması ile elde edilen strateji, benimsenebilir strateji niteliği taşımaktadır. Örneğin bir kişi kullandığı arabayı satışa çıkardığında, satış fiyatı için bir alt limit değeri saptandığında, bu değer onun hırs düzeyi demektir. Hırs düzeyi ölçütünün sakıncalı tarafları aşağıda belirtilmiştir:
• Bazı durumlar için benimsenebilir strateji vermemektedir. Böylece ortada karar vermeme kararı çıkmaktadır.
• Benimsenebilir stratejinin seçimi, karar vericinin hırs düzeyine bağlı bir ön koşul ile yapılmaktadır. Bu yüzden en iyi karar söz konusu olmamaktadır
• Saptanan hırs düzeyinin altındaki tüm kazançlar dikkate alınmamaktadır
• Karar verici, son çareyi deneyerek şansını zorlayan bir konuma düşer12 (B .Bircan, İzmir, 1985 )
1.4.2. Modern Fayda Yaklaşımı
Geleneksel ekonomide fayda, psikolojik kazanç ve kayıplar biçiminde ölçülen ve malın sağladığı doğal doyum olarak tanımlanır. Fayda kavramı; ekonomide tüketici açısından ele alınır, tüketilen malın tüketiciye sağladığı doyuma dayanır. Düşünürlere göre, modern fayda kavramı; karar verici tarafından strateji seçiminde söz konusu olmakta ve risk karşısında başvurulan değer ölçüsü olarak tanımlanmaktadır. 13 (M. Hamburg, New York,1970 )
Böylece karar kuramında fayda; malın yerine parasal değerlerin ve psikolojik doyum ölçüsü yerine de, risk karşısında belirlenen değer ölçüsü biçiminde incelenmektedir. Ekonomide ve karar kuramında; fayda kavramı sübjektiftir. Kişiden kişiye olduğu kadar, kişideki psikolojik ve sosyo-ekonomik durumdaki değişikliğe göre de değişir. Karar vericinin risk ortamındaki davranışını açıklayan kurama, kardinal fayda kuramı (cardinal utility theory) adı verilmiştir.Bu kuramın özünde; her kişinin, fayda olarak belirlenen sonuçlardan beklenen değerini en iyileştirecek biçimde davranışta bulunacağı ve parasal değerler ile fayda arasında fonksiyonel bir ilişkinin saptanabileceği gerçeğine dayanır. İşte, karar verici açısından parasal değerlerle fayda arasındaki ilişkiyi belirleyen fonksiyona, kişisel fayda fonksiyonu denir. Bu fonksiyon; karar vercinin risk karşısında sübjektif davranışlarını belirleyerek, her bir parasal sonuca karşılık olan göreli fayda değerini verir. Karar vericinin kişisel fayda fonksiyonu belirlendiğinde;
• riskten kaçan
• riske giren
• riske karşı nötr ya da risk karşısında kayıtsız
olmak üzere, üç farklı karar verici tipi ortaya çıkmaktadır.14 (R. Swalm, Harward,1966)
1.4.2.1. Riskten Kaçan Karar Verici
Genel olarak kişisel fayda fonksiyonu;
U = f(M) l biçiminde gösterilir.
U :fayda
M
arasal değer (ya da amacın ölçümlendiği diğer değerleri)
f :fonksiyonel ilişkiyi, gösteren simgelerdir
Buna göre fayda, parasal değerin bir fonksiyonudur. Fonksiyon monoton olarak artar. Karar vericinin kişisel fayda fonksiyonunun grafiği belli teknikler yardımı ile belirlendiğinde, bulunan eğri konkav biçiminde ise, bu tip karar vericiye riskten kaçan denir.
Bu tip karar verici, içinde bulunduğu olumsuz finansal koşullar nedeni ile risk karşısında tutucudur. Yani, kendisine önerilen para oyunlarından riski içermeyenini, kesin olarak kazanacağı oyunu, beklenen kazanç diğerlerine nazaran daha az olsada tercih etme eğilimindedir. Şekilde de eğrinin eğimi kazanç arttıkça küçülmekte, zarar arttıkça büyümektedir. Bunun anlamı, belli bir kazanç artışının sağladığı faydanın , eşit zarar azalmasının sağladığı faydadan az olacağıdır. Karar verici açısından, kazanılan parasal değer artışının, sübjektif olarak daha az değer yaratması, ekonomide, azalan marjinal fayda yasası adıyla bilinmektedir.15 ( G. Calvert, San Francisco,1993 )
1.4.2.2. Riske Giren Karar Verici
Karar vericinin kişisel fayda fonksiyonunun grafiği konveks bir eğri biçiminde ise, bu tip karar vericiye riske giren denir.Kazanılan parasal değer arttıkça, eğrinin eğiminin de büyüdüğü görülmektedir. Bu durum, belli bir kazanç artışı faydasının, eşiti olan zarar azalmasının faydasından daha büyük olduğunu açıklamaktadır. Yani, kazanılan parasal değer arttığında, karar vericinin artan her bir para birimine bir öncekinden daha büyük bir sübjektif değer verdiği anlamını içermektedir. Kazanılan parasal değer artışının, sübjektif olarak daha büyük bir değer yaratması, artan marjinal fayda yasası biçiminde tanımlanır.54 (M. Demir,İzmir,1985 )
1.4.2.3. Risk Karşısında Kayıtsız Olan Karar Verici
Karar vericinin kişisel fayda fonksiyonu doğrusal olduğunda, bu tip karar verici risk karşısında kayıtsızdır denir.
Kazanılan parasal değer arttığında, doğrunun eğiminin değişmediği, sabit olduğu görülmektedir. Bunun anlamı, belli bir kazanç artışının faydasının, eşiti olan zarar azalışının faydasına eşit olduğudur. Kazanılan parasal değer artışlarının eşit sübjektif değer yaratması, bir bakıma, sabit marjinal fayda yasası biçiminde tanımlanabilir. Bu durumda karar verici, en büyük beklenen parasal değer ölçütünü uygulamakla, beklenene faydayı da en büyüklemiş olur. Böylece, en büyük beklenene değer ölçütünün parasal ya da fayda birimlerine dayalı olarak uygulanışında, aynı stratejinin! seçimi söz konusu olmaktadır. Bu nedenle, karar kuramında bu tip karar vericilere, EMV'ciler, yani beklenen parasal değer özellikli olanlar adı verilmiştir. 16 (E. Trueman,New York,1972 )
Karar vericinin yukarıda açıklanan bu üç tipten hangisine ilişkin olduğunu gösteren kişisel fayda fonksiyonlarından hiç birinin uygulamada tek başına gerçeği yansıtmadığı ileri sürülmüştür. 1948 yılında Friedman ve Savage, fonksiyonun yalnızca konkav ya da konveks olarak belirlenmesinin yerinde olmadığı düşüncesiyle, her ikisinin de birlikte içerildiği bir fayda fonksiyonu önermişlerdir.17 ( Y. Chou,New York ,1972 )
karar verici, önce risk karşısında tutucu; sonra hırs düzeyi noktasına değin kazancını arttırmak amacı ile riske giren; bu noktadan başlayak, yine riskten kaçan olmaktadır. Karar vericinin, kazancının belli bir noktaya ulaşmasıyla onun ölçülü davranış tipini benimsediği CO noktasına, hırs düzeyi adı verilmektedir. Karar vericinin kişisel fayda fonksiyonunu belirlemede;
• doğrudan ölçümleme
• standart para oyunu
• belirlilik eşdeğeri
• Ramsey tekniği gibi değişik tekniklerden yararlanılır.18 (H. Moskowitz, New Jersey,1979 )
1.5. Ağ Teknolojilerinde Risk ve Risk Analizi
Günümüzde, ağ teknolojileri hayatın her noktasına girmiş durumdadır. Hemen hemen tüm ticari, resmi ve akademik kuruluşlar, ağ teknolojilerini kullanmakta ve İnternet olarak adlandırılan en büyük geniş alan ağına bağlı bulunmaktadırlar. Neredeyse her gün, insanların yaşamını kolaylaştıran yeni ürünler çıkmakta, her iş kolu için yeni çözümler üretilmektedir.
Üretilen bu çözümlerin arasında güvenlik ürünleri de önemli bir yer tutmaktadır. Çünkü, sadece birbirine bağlı iki bilgisayar için bile birçok güvenlik açığı bulunmaktadır. En büyük ağ olan İnternet ise çok güvensiz bir ortamdır. Kodlanan bir virüs İnternet yoluyla çok kısa bir sürede tüm dünyaya yayılmakta ve milyonlarca dolar zarar verebilmektedir.
Amerika Birleşik Devletleri’nin en önemli güvenlik konferanslarını düzenleyen SANS enstitüsünün web sayfasının ağustos ayında kullanılamaz duruma getirilmesi sistemlerde yeterli güvenliği sağlamanın ve devam ettirmenin çok kolay bir iş olmadığını ortaya koymaktadır.
Çünkü kullanılan ağ protokolleri, işletim sistemleri ve yazılımlarda kodlama ve konfigürasyon hataları bulunmaktadır ve daima da olacaktır. Bu hatalar hackerlar tarafından ortaya çıkarılacak, kar ve ün elde etmek isteyen ya da sadece zevk amacıyla yapan bir çok *****er tarafından da kullanılacaktır. Tamamıyla güvenilir kodlamalar ve konfigürasyon yapılsa ve sonucunda sistemlerin gerçekten de teknik olarak açıklıkları olmasa bile, kasıtlı yapılan saldırılar, doğal afetler ve yangınlar her zaman olacaktır. Böyle bir senaryoda, mutlak (yüzde yüz) güvenliği sağlamanın imkansız olduğu söylenebilir.
Mutlak güvenlik olmadığından dolayı, her zaman için bir bilgi sisteminde mevcut bir risk vardır. Amaç, varolan bu riski önlemek olmamalıdır. Çünkü, riski önlemek çok pahalıdır hatta imkansızdır. Bir bilgi sistemi için, sırf riski sıfırlamak için o kıymetin değerinden fazla güvenlik önlemi almak akılcı bir yaklaşım olmayacaktır. Bu nedenle riski önlemek yerine risk ile birlikte yaşamayı öğrenmek daha uygun bir yoldur. Bunun için, bilgi sistemini korumak adına çıkan güvenlik önlemini kullanmanın getirdiği masraf ile o güvenlik önleminin kullanılmadığı zaman olacak saldırılar sonucunda oluşacak masrafları karşılaştıracak bir araç olması gerekmektedir. Risk analizi ve yönetimi bu işi yapan araçlardır.
Mutlak güvenliğin imkansızlığı ve riskin daima varoluşu güvenliğe bir ürün gözüyle bakmamızı engeller. Artık günümüzde, bilgi teknolojileri güvenliği, gerçek zamanlı risk analizi ve yönetimi prosesi olmuştur. Kısacası, güvenlik artık bir teknoloji konsepti olmaktan çıkmış bir iş (business) konsepti haline gelmiştir. Risk analizi ve yönetimi ise, bu işin çekirdek kısmıdır ve bilgi teknolojileri güvenliği ürünlerinin seçilmesi ve geliştirilmesinde ana karar verme mekanizmasıdır.
1.5.1. Ağ Teknolojisinde Risk ve Risk Analizi Tanımları
Risk analizi ve yönetimi çerçevesinde sıkça kullanılan konseptlerin ve daha sonra risk analizi ve yönetimi kavramlarının tanımları yapılacaktır.
1.5.1.1. Kıymet (Asset)
Kıymetin, risk analizi konseptindeki tanımı, korunması gereken herşeydir. Kıymetler, bilgi sistemlerinde değere sahip olan elemanlardır. Kıymetler beş ana başlık altında toplanabilir. Bunlar, donanım, yazılım, veri, politikalar-prosedürler ve insandır.
Bilgi teknolojilerinde, tüm kıymetlerin bir sahibi vardır. Kurumun kendisi, kurumdaki departmanlar ya da insanlar bir kıymetin sahibi olabilirler. Bir kıymete gelebilecek herhangi bir zarar, aynı zamanda o kıymetin sahibini de etkiler.
Risk analizinde, kıymetler, somut (tangible) ya da soyut (intangible) olabilir. Donanım ve insan somut, yazılım, veri ve politikalar ise soyut kıymetlerdir.
1.5.1.2. Açıklık (Vulnerability)
Bir kıymeti tehditlere karşı korumasız hale getiren kusurlardır. Bir bilgi sistemi kıymeti için açıklık, kıymetin programlamasındaki hatalar olabileceği gibi, doğal etkenlere (toz, nem, güneş ışığı, yangın, vb) karşı korumasız durumda olması da olabilir.
Tehditler, açıklıları kullanarak kıymete zarar verirler. Bu nedenle, açıklıklar, riskin en önemli nedenidir.
1.5.1.3. Tehdit (Threat)
Bir kıymetteki açıklıkları kullanarak (exploit) kıymete kısmen ya da tamamen zarar veren etkenlere tehdit denilmektedir. Bilgi sistemlerine zarar verebilecek üç tip tehdit vardır. Bunlar, doğal tehditler, kasıtsız tehditler ve kasıtlı tehditlerdir. Doğal tehditler, genel olarak insan faktöründen kaynaklanmayan, sel, yıldırım, yangınlar gibi tabiat olaylarıdır. Kasıtsız tehditler, insan faktöründen kaynaklanan ancak bilerek yapılmayan tehditlerdir. Bir kurum ağındaki zararlı kullanıcı aktiviteleri kasıtsız bir tehdit sayılabilir. Kasıtlı tehditler ise, kasıtsız tehditler gibi insan faktöründen kaynaklanır, ancak belli bir amaca yönelik olarak bilerek yapılırlar. *****erlar kasıtlı bir tehdit örneğidir.
Bilgi teknolojilerinde, güvenliği mekanizmalarının koruması gereken üç ana servis, süreklilik (availability), bütünlük (integrity) ve gizlilik (confidentiality)’dir. Tehdit, bu üç elementten en az birine zarar veren ya da verme ihtimali bulunan etken(ler)dir. Tehditin sonucunda, para, üretim, güven, verimlilik kayıpları olur.
1.5.1.4.Karşı Önlem (Safeguard, Security Measure)
Bir kıymette bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlere karşı önlem denir. Karşı önlemler arasında, güvenlik yamaları, güvenilir ürünler (trusted products), güvenlik politikaları, konfigürasyon düzenlemeleri, tasarım, güvenlik yazılımları, donanımlar, eğitimler, kişilere sorumluluk yükleme, gözetleme ve monitorleme sayılabilir. Bütün bunlar riski azaltan faktörlerdir.
Karşı önlem sadece açıklığın kapatılmasını (ör. sistem yamaları) önermez. Açıklığın kapatılması yanında, kıymetin değerinin düşürülmesi (ör. şifreleme) ya da tehditin azaltılması (ör. insanların eğitilmesi) da karşı önlemlerdir. Sonuç olarak, bu üç tip karşı önlemin amacı riski düşürmektir.
1.5.1.5. Risk
Risk, sözlüklerde, “zarara yol açan ya da zarar verme kapasitesi olan kişi ya da nesne” olarak tanımlanmaktadır.
Riskin önceki başlıklar altında değinilen kıymet, açıklık ve tehdit kavramları bağlamındaki bir diğer tanımı “bir kıymetteki bir açıklığın bir tehdit tarafından kullanılma (exploit) ihtimalidir” şeklindedir.
Şekil 3: Kıymet, tehdit ve açıklık fonksiyonu olarak risk
Kaynak:B. Karabacak,2000
Risk, kıymet, tehdit ve açıklığın bir fonksiyonudur. Şekil 1’de bu fonksiyon soyut olarak ifade edilmiştir. Şekildeki sarı oklar, karşı önlem başlığı altındaki 3 tip karşı önlemi temsil etmektedir. Karşı önlemleri almadan önce, riskin büyük olduğu görülmektedir. (Siyah kübün hacmi) Karşı önlemleri aldıktan sonra ise risk azalmıştır. (Turuncu kübün hacmi)
Karşı önlemler almadan önce sistemde mevcut olan riske taban (baseline) riski denmektedir. Karşı önlemler alındıktan sonra sistemde mevcut olan riske ise geri kalan (residual, projected) risk denmektedir. Buna göre siyah küp taban riski, turuncu küp ise kalan riski ifade etmektedir.
İstenen (taşınabilir) risk seviyesi (required risk) ise, kurumun kabul ettiği ve taşıyabileceği risk miktarıdır. Karşı önlemler alındıktan sonra, geri kalan riskin, gerekli riskten daha aşağı seviyede olması gerekir.
Geri Kalan (Residual) Risk Seviyesi £ İstenen (Required) Risk Seviyesi
Herhangi bir karşı önlem alınmamışken, eğer bulunan taban risk, istenen riskin aşağısında çıkarsa, karşı önlem alınmaya gerek olmayacaktır.
Riskin önüne geçebilecek büyüklükte bir bütçe bulunmamaktadır. Bu nedenle, giriş başlığı altında da söylendiği gibi, bilgi sistemlerinde risk daima olacaktır. Çünkü risk iş yapmanın maliyetidir. Risk analizi ve yönetiminin ana çıkış noktası budur.
1.5.1.6. Risk Analizi ( Risk Analysis )
Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir.
Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde varolabilecek tüm kıymetlerin, bu kıymetlerdeki açıklıkların ve bu kıymetleri etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir.
Daha sonraki aşamada, ortaya konulmuş olan kıymet, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş kıymet, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, matematiksel ve mantıksal metodlar kullanılarak risk değeri bulunur. Son olarak risk-kıymet eşleştirmesi yapılır.
Risk analizi karşı önlemlerin nasıl ve ne şekilde alınacağı üstünde durmaz. Bu işi, risk risk yönetimi prosesi yapmaktadır.
1.5.1.7. Risk Yönetimi ( Risk Management )
Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Karşı önlem maliyetleri ve risk analizi sonucunda çıkan kıymet-risk eşleşmesi risk yönetimi prosesi için en önemli girdilerdir.
Şekil 1’de sarı oklarla gösterilen uygun karşı önlemlerin alınması işini risk yönetimi yapar. Yerinde bir risk yönetimi ile az bir maliyet ile risk kübünün hacmi büyük bir ölçüde düşürülebilir. Risk yönetimi, genel olarak karşı önlemlerin alınması ile oluşacak maliyeti, geri kalan (residual) riskden dolayı oluşacak bir zararın yol açacağı maddi kayıpla karşılaştırır ve daha düşük ise karşı önlemleri alır.
Risk yönetimi prosesinin dayandığı asıl nokta kurumun güvenlik ihtiyaçlarıdır. (security requirements) Kurumun güvenlik ihtiyaçlarına göre, taşınabilir risk oranı belirlenebilir ve bunun sonucunda uygun karşı önlemlerin seçilmesi işlemi yapılabilir. Güvenlik ihtiyacı, bir kıymeti etkileyen bir tehdit için kurumun ne kadar güvenlik önlemi istediğidir. Askeri bir kurum, belli bir kıymet için tehditin çok aza indirgenmesi isteyebilecekken, normal bir şirket ise aynı kıymeti etkileyen aynı tehdit için hiç bir güvenlik önlemi almak istemeyebilir.
Şekil 4: Risk analizi ve yönetimi prosesi
Risk Analizi Risk Yönetimi
Kaynak:B. Karabacak,2000
Risk analizi, yorumlaması ve yönetimi bir defa yapılmaz. Risk analizi ve yönetimi birer sonuç değildir, şekil 4’de de görüldüğü gibi risk analizi ve risk yönetimi sürekli birbirini takip eden iki ana prosesdir. Maliyet etkin bir risk yönetiminin temellerini risk analizi prosesi oluşturur. Risk analizi ve yönetimi bir kurumda, yönetimin de kararıyla belli aralıklarla yapılmalıdır. Çünkü kıymetler, açıklıklar, tehditler daima değişecektir. Bütün bunlar değişmese bile daha maliyet etkin çözümler ortaya çıkabilecektir.
Risk analizi sonuçlarına göre, risk yönetimi dört farklı işten birini yapabilir.
1. Risk yüksektir, karşı önlemler yoktur ya da çok pahalıdır. Kıymet kullanılmaz. (Eliminate Asset)
2. Uygun karşı önlemler alınarak risk düşürülebilir. (Reduce Risk)
3. Karşı önlemlerin alınmasının maliyeti, riskin açacağı zarardan çok daha fazla olduğu için risk önemsenmeyebilir. (İgnore/Accept Risk)
4. Kıymetler sigortalanarak risk transfer edilebilir. (Transfer Risk)
Bu dört iş haricinde, risk analizi ve yönetimi sonucunda, karşı önlemlerin azaltılması ya da kaldırılması da yapılabilir. Hali hazırdaki karşı önlemin çok pahalı olması, tehditin varolmaması gibi faktörlerden böyle bir sonuca gidilebilir.
Risk analizi ve yönetimi tanımları kapsamında son olarak, bu iki prosesin yerini tam olarak çizmek gerekirse, şekil 4’de görüldüğü gibi risk analizi riskleri çıkartır ve yorumlar. Bunun için, kıymetleri, kıymetlerdeki açıklıkları, tehditleri çıkarır. Risk yönetimi ise, risk analizi sonucunda çıkarılan risklere göre karşı önlemleri alır.
Şekil 4: Risk analizi ve yönetiminin yeri
Kaynak:B. Karabacak,2000
1.5.2. Ağ Teknolojileri Bakımından Risk Analizi Yorumu
Şimdiye dek yapılan tanımların ardından, risk analizi yöntemleri ve metodolojileri, risk analizi ve yönetimi prosesinin yararları ve bu prosesin problemleri üzerinde bir takım yorumlar yapılacaktır.
1.5.2.1. Risk Analizi Yöntemleri ve Metodolojileri
İki temel risk analizi yöntemi mevcuttur. Bunlar, nicel (quantitative) ve nitel (qualitative) yöntemlerdir.
Nicel risk analizi, riski hesaplarken sayısal yöntemlere başvurur. Nicel risk analizinde, kıymet, açıklık, tehditin olma ihtimali, tehditin etkisi gibi değerlere sayısal değerler verilir ve bu değerler matematiksel ve mantıksal metotlar ile proses edilip risk değeri bulunur. Dördüncü bölümde örnek bir nicel risk analizi yapılmıştır. Bu örnekte, kıymetin değeri, tehditin olma ihtimali ve tehditin etkisi değerlerine basit sembolik sayılar verilmiştir. Bunun yerine senelik dolar kaybı gibi gerçek hayata yakın değerler de verilebilir.
Risk = Tehditin Olma İhtimali (likelihood) * Tehditin Etkisi (impact) formülü nicel risk analizinin temel formülüdür.
Bu formüle göre, bir kıymete zarar verme ihtimali olan tehditin olma olasılığı ile bu zararın kıymete etkisininin çarpımı riski ifade eder. Çarpım sonucu ne kadar fazla çıkarsa, risk o kadar yüksektir. Bir tehditin olma olasılığı çok az ancak, ortaya çıktığı zaman vereceği zarar çok fazla ise, orta derecede bir risk söz konusudur denebilir. Nicel risk analizi yöntemleri ayrıntılı olarak dördüncü bölümde incelenecektir.
Diğer temel risk analizi yöntemi ise nitel risk analizidir. Nitel risk analizi riski hesaplarken ve ifade ederken numerik değerler yerine yüksek, çok yüksek gibi tanımlayıcı değerler kullanır. Ayrıca, nitel risk analizi tehditin olma ihtimalini kullanmaz, riskin sadece etki değerini dikkate alır.
Nitel bir risk analizi metodu olan CRAMM, risk, kıymet değerinin, tehditin etkisinin ve açıklık seviyesinin bir fonksiyonudur.
Risk = Áunction (Kıymetin değeri (asset value), Tehditin Etkisi (impact), Açıklığın seviyesi (level of vulnerability) )
Bu noktada risk analizi metodolojileri konsepti karşımıza çıkar. Risk analizi metodolojisi (metodu), risk analizi sürecinin matematiksel işlemler ve yorumların yapıldığı çekirdek kısmıdır. Yukarıda bahsedildiği gibi, risk analizinin nicel ve nitel olmak üzere iki temel yöntemi vardır. Bu iki temel yöntemin birisine bağlı kalarak ya da hiçrir bir yöntem kullanarak, kıymetler, tehditler, açıklıklar ve karşı önlemler arasındaki ilişkiler değişik metodlar ve formulasyon ile analiz edilip, yine değişik matematiksel metotlar ile risk faktörü bulunabilir. Ekte, değişik risk analizi metodlarından bahsedilmiştir. Bu metodları birbirinden ayıran en önemli farklar, risk değerini bulmak için kullandıkları kendilerine has metodlardır.
1.5.2.2.Risk Analizinin ve Yönetiminin Yararları
Risk analizi ve yönetiminin hedefi, kurum içerisinde olabilecek tehlikelere uygun cevap verebilecek, kasıtlı ya da kasıtsız tehditlerin etkisini ve olma ihtimalini azaltacak hazırlıkları, prosedürleri ve kontrolleri teşhis etmektir.
Risk analizi ve yönetimi prosesinin bir çok yararları vardır. Bu yararların başta gelenleri şu şekilde sıralanabilir.
1. Kurumun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar.
2. Kurum çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar.
3. Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar.
4. Risk analizi prosesinin ilk kısmında yapılan kıymet analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.
Risk analizi ve yönetiminin yapılmadığı bir bilgi sisteminde aşağıdaki gibi durumlar olabilir.
1. Bu bilgi sisteminde hiç güvenlik olmayabilir ya da çok az güvenlik olabilir
2. Kullanılabilirliliği oldukça azaltan çok fazla güvenlik olabilir
3. Yanlış güvenlik önlemleri alınmış olabilir
4. İnsanlarda yanlış güvenlik bilinci olabilir.
Bütün bunları maddi olarak ve zaman olarak kayıplara yol açan durumlardır.
1.5.2.3.Risk Analizinin ve Yönetiminin Problemleri
Risk analizi ve yönetimi ile birlikte gelen bir takım problemler ve ideal olmayan durumlar vardır. Bunlar,
1. Risk analizinin kendisinin maliyetinin yüksek olmasıdır. Risk analizini kurumun kendisi bile yapsa zaman ve para kaybına yol açabilmektedir.
2. Risk analizi sonuçlanana kadar geçen süre diğer bir problemdir. Güvenlik önlemlerinin biran evvel uygulanması gerekirken, risk analizi sonucu beklenmek zorundadır. Bunun zararlı etkileri olabilmektedir. Bu nedenle bir çok yerde, risk analizi yapılmadan güvenlik önlemleri alınmaktadır.
3. Risk analizi sonuçlarının nesnel olması beklenirken daha çok öznel olabilmektedir. Özellikle nitel risk analizinde bu problem daha çok görülebilir. Çünkü, nitel risk analizinde risk, sayısal değerlerden çok tanımlar ile ifade edilmektedir.
4. Risk analizi ve yönetimi prosesi, önceden belirlenmiş kesin adımları olan prosesler değildir. Nıtel ve nicel risk analizi yöntemlerinin çatısı altında, bir çok risk analizi metodolojisi mevcuttur. Bu methodlar, riski yorumlama aşamasında birbirinden ayrılırlar.
5. Tüm kurumlara uyan bir risk analizi metodolojisi mevcut değildir. Çünkü, her organizasyonun kendine özel bir kıymet listesi, bu kıymetlere göre farklı farklı tehditleri vardır. Bütün bunları dışında, kurumdan kuruma güvenlik anlayışı ve güvenlik gereksinimleri de değişim göstermektedir. Risk analizi ve yönetimi yapılacak olan bir kurumda, öncelikle ne tip bir risk analizi ve yönetimi metodunun uygulanması gerektiği belirlenmelidir.
6. Günümüzde, kıymetlerin, buna bağlı olarak açıklıkların ve tehditlerin artması ile beraber, risk analizi ve yönetiminin sahasına giren, kıymet tanımla, açıklık belirleme, tehdit tanımla ve karşı önlem belirleme safhaları çok geniş nesneleri kapsadığından dolayı, bir çok risk analizi ve yönetimi metodu her nesneyi örtemeyebilmekte ve bazı nesneler göz ardı edilebilmektedirler.
1.5.3. Dökümanlarda Geçen Risk Kavramı
Taban (baseline) risk: Herhangi bir risk analizi ve yönetimi yapılmadan bir kurumda mevcut olan risktir.
Geri kalan (residual) risk: Bir risk analizi ve yönetimi sonucunda önerilen karşı önlemlerin alınması sonucunda kurumda kalan riske geri kalan risk denir.
İstenen(taşınabilir, required) risk: Bir kurumun güvenlik ihtiyaçları kapsamında belirlediği ve bünyesinde taşıyabileceği risk miktarıdır.
1.5.4.Bazı Risk Analizi Araçları
Hem nicel hem nitel yöntemleri kullanır. CEC/INFOSEC Programı (CEC, 1993b) çerçevesinde geliştirilen veritabanında, 70’ten fazla risk analizi metodu bulunmaktadır. Bunlardan bazıları şu şekildedir.
1. CRAMM: United Kingdom Central Computer and Telecommunication Agency’s (geliştirilmiştir. Nıtel (qualitative) yöntemlere dayanmaktadır. İngiltere hükümetinin desteklediği resmi risk analizi ve yönetimidir. CRAMM metodu bir yazılım desteklenmektedir. Karşı önlem seçme bölümü tamamıyla yazılım tarafından yapılmaktadır. Büyük bir açıklık ve karşı önlem kütüphanesi mevcuttur.
2. @RISK: Palidase şirketi tarafından geliştirilmiş nicel bir risk analizi aracıdır. Monte Carlo simulasyonu metodunu kullanmaktadır.
3. ALRAM: Automated Livermore Risk Analysis Methodology. Lawrence Livermore ulusal laboratuvarı tarafından, Amerikan Hükümeti için geliştirilmiştir. Nicel yöntemleri kullanmaktadır.
4. ARES: Automated Risk Evaluation System. ARES, Air Force kriptoloji destek merkezi tarafından geliştirilmiştir. Nicel (quantitative) bir risk analizi aracıdır.
5. BDSS: Bayesian Decision Support System. OPA şirketi tarafından geliştirilmiştir. Hem nitel hem de nicel yöntemleri kullanan bir araçtır.
6. BUDDY SYSTEM: Nicel yöntemleri kullanır. Countermeasures şirketi tarafından geliştirilmiştir.
7. Marion: İngiliz Coopers & Lybrand şirketi tarafından geliştirilmiştir.
8. Cobra: Nitel yöntemleri kullanan bir risk analizi metotudur. Modüler bir yapıya sahiptir. ISO 17799 modülü yardımıyla bir sistemin bu standarta uygunluğunu ölçebilmektedirCCTA) Risk Analysis and Management Method. CRAMM, 1987 senesinde.19 (B.Karabacak, 2000 )
www.forumpaylas.net
1.1.Riskin Tanımı:
Gerçek kişi ve tüzel kişiler açısından gelecek çeşitli belirsizlikler taşımaktadır.Bireyler ve işletmeler bu belirsizlik durumunda kendilerinin en az zararla çıkma amacını göz önünde bulundururlar.Belirsizlik ortamı beraberinde çeşitli riskleri ortaya çıkartır.
Riskin çeşitli tanımları mevcuttur, başlıca öneli tanımlar şunlardır:
Risk, italyanca “risco” kelimesinden gelmekte olup bir zarar veya kayıp durumuna yol açabilecek bir olayın ortaya çıkma ihtimalidir.Tehlike ile aynı anlamlıdır ve ileride ortaya çıkması beklenen ama meydana gelip gelmeyeceği bilinmeyen olaydır.1 (E.Kadal,İstanbul,1995)
Risk,arzulanmayan bir olayın meydana gelebilmesinin sakınca dolu belirsizliğidir.2 (M.Allan Willet, Philedelphia, 1951)
Sigortacılık dilinde mali kayıp veya hasarın belirsizliği risk denir.3 (T. Yazgan, İstanbul, 1977 )
Risk, gelecekte ortaya çıkması istenmeyen bir olayın gerçekleşme olasılığı olarak nitelendirilebilir.4 (N. Berk, İstanbul, 1993 )
Risk her faaliyetin içinde ve her yerde yer alan, bireyleri, kuruluşları, ekonomiyi, sosyal ve politik hayatı, hükümetleri ve çevremizi yakından ilgilendiren bir unsurdur.Bize kendi hayatımız ve geleceğimiz kadar önemli bir konu olup oluşumuzla ilgilidir.
Karşılaşılan problemler ve davranışlar gösterir ki, gelecek için bilgimiz çok azdır.Bu düşünce diğer bütün aktivitelerde olduğu gibi iş dünyasında da böyledir.Bir işlem yapılırken bu çok etkin veya daha az etkin kaynakların ve değerlerin doğrultusunda gerçekleşmesi gerekir.Bu demek değildir ki, elde edilen bilgiler tam doğruyu gösterecektir ve ya tamamen yanlıştır; amaç bu değerlerin bir bilgi kaynağı olarak kullanılmasıdır.
Riski bir ölçüye kadar kavrayabiliriz, zaten tamamıyla kavrayabilseydik risk de var olmazdı.Belirsizlik olmasaydı oluşumuz da çok sıkıcı, tekdüze, ve tamamıyla yaşanması zor bir varoluş olacaktı.
Tarih öncesi çağlardan itibaren sosyal ve ekonomik sistemler insanoğlunun sistemlere bağımlılığı ile aynı paralelde gelişme göstermiştir.Bağımsızlığımız hala gittikçe ve gittikçe daha artan bir hızda gelişmektedir.Atmosfer dışında hayatın bütün gereksinimleri için oldukça karışık ve korunması gereken sistemlere ihtiyacımız vardır.
Endüstrileşmiş toplumlarda, kendini dıştan yardım görmeksizin besleyebilecek bir tek fert bulunur.Bu gün artık bu insanoğlu üretim ve dağıtım hattında zincirlerine bağımlı yaşamaktadır.Dolayısıyla da organize bir risk yönetimine ihtiyaç kendiliğinden ortaya çıkmaktadır.5 ( E. Gökalp, İstanbul, 1995 )
Risk, gerek belirsizlik gerekse belirsizliğin sonuçları olarak tanımlanabilir.Risk, karar ya da planlama ortamında sonuçların kestirilememesine ilişkin olup, olasılık kavramlarıyla açıklanabilir.
Kimi yazarlar riskle, belirsizlik arasında şöyle bir ayrım yapar:Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları çıkarabiliyorsa risk, uzmanlar bu konuda bir anlaşmaya varamıyorlarsa belirsizlik söz konusudur.
Bir başka ayırım ise şöyledir: Ayrım istatiksel ve istatiksel olmayan olaylara ilişkindir.İstatiksel olaylar için risk, istatiksel olmayan olaylar için belirsizlik söz konusu olur.İstatatiksel olaylar yinelenebilir.Ancak pek çok karar durumu tek olup, yinelenebilir nitelikte değildir.Bu nedenle karar vericiler olasılık kurallarıyla tutarlı (istatiksel ya da nesnel) olan istatiksel olmayan ya da öznel olasılık değerlemeleri yapmak zorunda kalırlar.
Risk profili, firmanın karşı karşıya olduğu ana risklerin analizini ortaya koymak ve ürün, imalat metotları, yerleşim yeri, satış metotları ve ya yönetimi ve iş gücü açısından gereklidir.Ancak riskin bu portresi tespit edildikten sonra, risk kontrolü ve finansı açısından risk objektifleri yapılabilir.Bütün bu objektiflere ulaşabilmek için detaylı planlar hazırlamadan önce uygulanmakta olan mevcut risk yönetimi tarzı kontrol edilmelidir.
Yukarıdaki tanımlar sonucunda; riskin, tüm ekonomik faaliyet ve hareketlerin karşı karşıya olduğu ve işletmelerce kullanılan sermayenin kayba uğrama tehlikesi ya da kısaca başarısızlığa uğrama tehlikesi olduğu belirtilebilir.İşletmelerde risklerin ortaya çıkış şekline bakılmaksızın her zaman sermaye azalışına ve dolayısıyla para ihtiyacına yol açarlar.Bu bakımdan hedef olarak belirlenen karın gerçekleşmemesi de bir sermaye kaybı olarak değerlendirilmelidir.6 (N. Berk, İstanbul,1993 )
Riskin varlığı ve ona karşı davranışlarda bireyin duyarlılığı da farklılık göstermektedir.Bazı işletme ortakları firma faaliyetlerini ayrıntılı olarak izlerken, diğerleri küçük risklerin işletmede yol açtığı hasarlardan habersizdir.Ayrıca başarılı işletme yöneticileri birçok ticari riski işletmede oluşturan gizli ya da gönüllü yedeklerle karşılamaktadır.
Risk ile ilgili kavramlardan biri de şanstır.Ancak şansın pozitif ve negatif versiyonlarının bulunduğu bilinmektedir.Buna göre risk şansın negatif şeklini, diğer bir ifade ile şansızlığı ifade etmektedir.Ancak risk ile şans arasında doğrudan bir bağlılık olmadığı da belirtilmelidir.Zira büyük kar fırsatlarının, büyük risklere girilerek gerçekleşmesi mümkün olmakla birlikte girişimler yüksek karları amaçladıkları durumlarda da risklerle karşılaşırlar.Böylece girişimciler yeni faaliyette bulunmasalar bile kendilerinin tehlikeden soyutlayamazlar.Risk ve tehlike birbirine bağlı iki kavramdır.Tehlikelerin varoluşu riski yaratır.7 (S. Denengberg,Pennsylavia,1986 )
1.2 Risk Çeşitleri
Risk çeşitlerini incelerken ilk önce riskin belirlenmesine, sınıflandırılmasına ve özellikle işletmelerin karşılaşacağı risk çeşitlerine değineceğiz.
1.2.1 Riskin Belirlenmesi
Bir risk ile karşı karşıya kalındığında ilk önce yapılması gereken şey o riski oluşturacak kaynak olayı ve riskin etkilerini belirlemektir. Böylece riski tanımak daha kolaylaşır ve riske karşı ne gibi önlemler alınacağı daha rahat bir şekilde ortaya konulabilir. Ayrıca, kötü belirlenmiş risklerin daha başka risklerin doğmasına neden olacağını belirtmekte fayda vardır. Aşağıdaki şekil kaynak olayı ve riskin etkilerini göstermektedir.
Şekil 1: Risk belirlenirken izlenecek yol
Kaynak olay ve riskin etkisi
Kontrol edilebilir Kontrol edilemez
Bağımlı Bağımsız
Tamamen Kısmen
Bağımlı Bağım
* Kaynak: Roger Flanagan and George Norman, Risk Management and Construction, Blackwell Scientific Publications, 1993, s. 47.
Riski belirlerken, riskin kontrol ebilebilir olup olmadığını ve bağımlılık derecesini tespit etmek gerekmektedir. Riskleri kontrol edilebilme derecesine göre sınıflandırmak gerekirse dört çeşit riskden bahsedebiliriz. Bunlar;
• Kontrolümüzde olan riskler,
• Tarafımızdan bağlantı kurdurulan kişilerin kontrolünde olan riskler,
• Hükümete bağlı olanlar,
• Tamamıyla kontrolümüz dışında olanlar.
Örnek vermek gerekirse işletmelerde koordinasyon eksikliği gibi bazı riskler kontrol edilebilirler. Ancak hava şartları gibi bir fiziksel çevre riski ise kontrol edilemez. Her zaman için en kötü ihtimalin gerçekleşeceği düşünülerek tüm risklere karşı tedbir alınmalıdır.
Risk belirlenmesinde kullanılan bir diğer yöntem ise, bağımlılık derecesine göre riskleri tanımlamaktır. Burada riski bağımlı ve bağımsız olmak üzere ikiye ayırarak inceleyebiliriz. Bir projedeki iki risk kaynağından biri hakkında elde edilen bilgiler, diğeri için yapılan tahminleri etkiliyorsa risk bağımlı demektir. Aşağıdaki örnektede görüleceği gibi, kontrol edilebilir ve kontrol edilemez riskler arasında bağımlılık olabilir.
Bir makinanın ömrü daha çok onun dizaynına, yapılışındaki ustalığa ve kullanılan malzemenin kalitesine bağlıdır. Makinanın içine yerleştirilen küçük parçalar yaşlanma, fiziksel hırpalanma ve yıpranmaya bağlı olarak bozulurlar. Bozulma yetersiz ve eksik bakım veya kötü kullanım sonucu da olabilir. Küçük parçaların ömrü teknolojik eskime ve modaya bağlı olarak da değişir. Fonksiyonel olmak yerine, son model parçalarla değiştirilebilirler. Bu faktörlerin çoğu kontrol edilebilir fakat bir kısmı özellikle çevreden etkilenenler kontrol edilemez. Örnekte küçük parçaların bozulma riskinin bilinmesi, makinanın ömrünün kısalma riskini etkileyecektir. Yani riskler arasında bir bağımlılık söz konusudur.
Risk değerlendirmesi yapılırken, değişkenler arasındaki bağımlılık sorgulanmalı ve çeşitli varsayımlar ileri sürülmelidir. Üç çeşit bağımlılık vardır.
• Değişkenler arasında bir ilişki olmadığından bağımlılık yoktur,
• Tam bağımlılık vardır,
• Kısmı bağımlılık vardır.
Kısmı bağımlılığa örnek olarak, 20 katı bulunan bir binanın metre karesinin yapım maliyetinin, kat sayısı 21'e yükseldiğinde nasıl etkileneceğini düşünelim. Kat bitirme, boyama, dekorasyon maliyetleri etkilenmeyecektir, fakat toplam maliyet artan yüke bağlı olarak artacaktır. Bundan dolayı metrekare fiyatı ve toplam kat adedi değişkenleri arasında kısmi bir bağımlılık vardır.
Riski tanımlamaya çalışmak aynı bir dünya haritası çizmeye benzer. Merkez haritayı çizenin olduğu yerdedir. Durduğu yerden dünyanın büyük kısmını göremez. Haritayı çizenin bildiği bazı yerler başkaları için çok yabancı olabilir. Buna benzer olarak kompleks bağlantılar planlamalar ve problemler içeren büyük projelere kuşbakışı bakmak, dünya haritasına sislerin arasından bakmaya benzer. Yönetimin çıktıları etkileme kapasitesi, ancak bildikleri ve görebildikleri ile sınırlıdır. Yönetimin yapacağı en büyük yanlış ise ne olacağına değilde ne olması gerektiğine odaklanmak ile başlar. Gereksinimimiz olan ilk şey risk kaynaklarına ve olayların etkilerine odaklanmaktır.8 (S. Herbert, London, 1990 )
1.2.1.1. Riskin Kaynakları
Kaynak Olay Etki
Risk genelde kaynak, olay ve etki anlamında düşünülür. Örneğin bir buhar kazanın patlamasının (olay) sebebi dizayndaki bir hata veya üretimdeki yanlışlıktan kaynaklanıyor olabilir (risk kaynağı). Patlamadan dolayı işlerin yavaşlaması ve projenin geç tamamlanması durumunda yapımcı zararı ödemek durumunda kalırken, sonuçta maddi bir kayba (etki) uğrayacaktır.
Risk kaynakları, etkilerinden ayırt edilmelidir. Aşağıda risk kaynaklarına ve etkilerine çeşitli örnekler verilmiştir. Risk kaynaklarına örnekler;
• Hammadde kaynaklı riskler (bozulması, gecikmesi, değişmesi gibi)
• Enflasyonun tahmin edilenden yüksek olması
• Hava şartları
• Koordinasyon bozuklukları
gibi.
Riskin etkilerine örnekler;
• Maliyetin fazla çıkması
• İşin öngörülen zamanda tamamlanamaması
• Kalite yetersizliği gibi.
1.2.2 Riskin Genel Olarak Sınıflandırılması
Riski sınıflandırmanın üç yolu vardır. Riski; sonucuna, kazançlara-kayıplara ve etkisine göre sınıflandırmak mümkündür. Bu ayrıma göre yapılan bir sınıflandırmanın genel şekli aşağıda belirtilmiştir.
Şekil 2: Risk sınıflandırması
Risk Sınıflandırması
Sonucuna Göre Kazançlara ve Kayıplara Göre Etkisine Göre
Sınıflandırma Sınıflandırma Sınıflandırma
Saf Riskler Spekülatif Riskler Çevre Piyasa Şirket
Sıklık Şiddet Tahmin Edebilmek
* Kaynak ; Roger Flanagan and George Norman, Risk Management and Construction, Blackwell Scientific Publications, 1993, s. 52.
Aşağıda üç tip sınıflandırma ayrıntıları ile incelenecektir.
1.2.2.1 Sonucuna Göre Risk Sınıflandırması
Riski sonucuna göre sınıflandırmak istediğimizde, riskin etkileri ile ilgili olan bazı faktörleri göz önüne almalıyız. Çoğu yöneticiler, uzman kararlarına, eldeki bilgilere ve eğer mümkünse geçmişteki olaylara dayanarak karar alma eğilimindedirler. Riski karşılaşma sıklığına, şiddetine ve tahmin edilebilirlik derecesine göre sınıflandırmak ona karşı alınabilecek tedbirlerin belirlenmesinde faydalı olabilir. Risk ile karşılaşma sıklığımızı belirlememiz o riski ne kadar tanıdığımızı ortaya çıkaracaktır. Riski tanıma derecemiz ne kadar yüksek ise ona karşı nasıl bir tutum alacağımızı bilmemiz de o derece kolaylaşacaktır.
Genelde bir riskin tahmin edilebilirliği ne kadar yüksek ise tedbir almada o derecede kolaylaşacaktır. Ancak tedbirin olumlu sonuç verip vermeyeceği riskin şiddetine, kontrol edilebilirliğine ve bağımlılığına göre değişecektir. Ayrıca çoğu risk kaynağı için güvenilir veriler bulmak imkansızdır. Bu gibi durumlarda olay tüm risk yönetim sistemini ilgilendirmektedir.
1.2.2.2 Kazançlara ve Kayıplara Göre Risk Sınıflandırması
Riskleri kazanç ve kaybı göz önünde bulundurarak saf ve spekülatif olmak üzere ikiye ayırabiliriz. Bu iki çeşit risk aşağıda incelenmiştir.
1.2.2.2.1 Saf Riskler
Kazançtan söz edilmeyen sadece kayıp ihtimali bulunan durumlarda saf riskler mevcuttur. Örneğin otomobil sahibinin kaza yapma riski vardır. Kaza yapması durumunda maddi bir kayıp söz konusudur. Kaza yapmaması durumunda ise bir kazancı olmayacak, durumu değişmeyecektir.
1.2.2.2.2 Spekülatif Riskler
Hem kazancın hem kaybın söz konusu olduğu durumlarda ise spekülatif risk mevcuttur. Örneğin mevcut fabrikayı genişletmek hem kazanca hemde kayba yol açabilir. Saf riskler her zaman için tatsızdır, ancak spekülatif riskler bazı çekici özelliklere de sahiptir. Saf riskler spekülatif risklerden daha çok tekrarlanmak özelliğine sahiptir. Bu da saf riskle karşılaşan birinin daha başarılı tahminler yapacağı anlamına gelir. Sonuçta spekülatif risk içeren bir durum şahsa zarar verse bile topluma faydalı olabilir. Saf risklerde kişi kayba uğruyorsa toplumda kayba uğrar.
Deneyler göstermiştir ki kişiler spekülatif risklere karşı farklı tepki verirler. Örneğin bir deneyde çoğu denek eğer kazanma ihtimali 0.99 değil ise muhtemel kazancın 100 kaybın ise 4 900 TL. olduğu spekülatif bir olaya katılmak istememiştir. Diğer yandan, kaybetme ihtimalinin 0.10 veya daha fazla olmadığı durumlarda 5 000 TL. kaybetmemek için 100 TL. ödemek istememişlerdir. Riske karşı olan davranışların farklılığının muhtemel bir açıklaması, spekülatif risk durumlarında deneklerin riski varsayarak hareket etme zorunlulukları olmasıdır. Saf riskin söz konusu olduğu durumlarda ise denekler kendilerini riskten koruyucu önlemler almak zorundadırlar.9 (Williams and Heins, ABD, 1981 )
Genelde hem spekülatif hem de saf riskler aynı anda var olurlar. Örneğin bina satın alan bir kişi iki çeşit riskle karşı karşıya kalmış olur. Birincisi, kazaların yol açabileceği saf riskler. İkincisi, ekonomik sebeplerden dolayı binanın değer kaybı ya da kazancını etkileyen spekülatif riskler. Saf riskleri ele alan bazı özel teknikler olduğundan bu iki risk çeşidi arasında ayırım yapmak önemlidir.
1.2.2.3 Etkisine Göre Risk Sınıflandırması
Riski etkisine göre sınıflandırırken Roger Flanagan ve George Norman'ın tanımladığı risk hiyerarşisini göz önünde bulundurmak gerekmektedir.
ilk önce çevresel risklerden bahsedelim. Bu tür riskler ikiye ayrılabilirler. Birincisi, fiziksel ikincisi ise politik, sosyal ve ekonomik riskler. Hava şartları, deprem gibi kavramlar fiziksel çevre risklerine örnektir. Fiziksel çevre kontrol edilemeyeceğinden bu tip riskler tanımlanmalı ve etkisini azaltıcı önlemler alınmalıdır. Politik, sosyal ve ekonomik riskler kısmen kontrol edilebilirler. Örneğin, hükümet kendi ülkesinin ekonomisini kontrol edebilirken, doğal olarak dünya ekonomisini kontrol altında tutamaz. Ekonomik ve sosyal çevre genelde hükümetin kontrolü altındayken, çeşitli endüstriler çevresel kararlardan ciddi olarak etkilenirler. Örneğin hükümetin şehir merkezlerinde yapılanma hakkında aldığı bir karar inşaat sektörünü yakından etkileyecektir. Çevresel riskler göz ardı edilmemelidir. Açıklandığı gibi, çevresel riskler üzerinde kontrolümüz önemsenmeyecek kadar az olacağından, bu tür riskleri önceden görebilmek işletmeler için bir avantaj olacaktır.
İkinci olarak ele alınacak risk türü piyasa veya endüstri riskidir. Bu tür riskler tüm sektörü etkileyecektir. Büyük firmalar bu tür riskleri daha sistematik yöntemlerle analiz ettiklerinden, uğrayacakları kayıplar küçüklere kıyasla daha az olacaktır. Tüm firmalar piyasadaki paylarını korumak isterler. Bunun sonucu olarak da hepsi rekabeti benimser ve fiyat ve kaliteyi bu anlayışla belirlerler. Bunun neticesinde de bir firmanın riske karşı aldığı tutum diğerlerinin davranışlarını da etkileyecektir. Ayrıca firmalar piyasa riskini minimize etmek için bir kaç sektörde birden faaliyet gösterme eğilimindedirler. Örneğin, tekstil sektöründe kimyevi madde üreten bir firma bu sektördeki olası risklere karşı kendini korumak için bir seçenek olarak kimyevi madde satmak üzere deri sektörüne de girebilir.
Üçüncü olarak firma riski incelenecektir. Firmalar belirli bir piyasa içinde faaliyet gösterirler. Genelde firmalar bir çok projeyi aynı anda yürütürler ve bu projelerden her biri kar kaynağıdır. Firma riski ile proje riski birbiri ile bağıntılıdır. Çünkü firma, riskli projenin sonucunu üstlenmek durumundadır. Riskli projenin sonucu sadece o projedekileri değil tüm firmayı ilgilendirdiğinden, riskli kararları grup halinde vermek daha doğru olacaktır. Ayrıca firma riski denilince o firmanın faaliyetinden kaynaklanan bütün riskler içerilmiş olur. Bunlara personel kaybı riski, iş kazası riski gibi riskler örnek olarak verilebilir.
Son olarak ise proje veya birey riski incelenecektir. Hiyerarşinin alt basamaklarına inildikçe riskleri görmek kolaylaşır. Proje ile ilgisi olan kişiler, özellikle bizzat çalışanlar projedeki güçlükleri daha rahat görebilmektedirler. Ancak projeleri bir bütün olarak göremediklerinden önemini tam olarak kavramakta güçlük çekerler. Bu yüzden risk yönetim sisteminde bütün riskleri görebilmek gerekli önlemleri alabilmek için aşağıdan yukarıya ve yukarıdan aşağıya bilgi ileten çok iyi bir mekanizmanın kurulmuş olması gerekmektedir.10 ( R. Norman, London ,1993 )
1.3. Risk Analizi
Risk analizi, stratejik kararlarda ele alınan değişkenle ilgili olan riskin kapsamlı olarak anlaşılması sağlayan yöntemlerin bütünüdür.Bir başka değişle, ilgi duyulan değişkene ilişkin kestirim, olasılık dağılımı biçiminde ortaya konur.Olasılık dağılımını elde etmekte iki çözüm yöntemi vardır: İlk yöntem analitik yöntem olup, bu yöntemle belirlenen yapısal modele göre bireysel kestirimler ( Örneğin, satışlar ve maliyetlerin olasılık dağılımları ) matematiksel olarak birleştirilerek net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir.İkinci yöntem Monte-Carlo simulasyon yöntemi olup, bu yöntemle yapısal bir modele dayanarak bir dizi denklem oluşturup, net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir.Burada dağılımların matematiksel olarak birleştirilmesi söz konusu değildir.Kuşkusuz her iki yöntemde de tüm girdilerin olasılık dağılımları olarak modele alınması zorunlu değildir.Duyarlılık analizi sonucunda duyarlı olduğu belirlenen değişkenler, modele reel değişken olarak alınır.
Risk analizi yatırım projelerinin değerlendirilmesinde geniş bir kabul görmüştür.Kimileri risk analizini yatırım kararlarında uygulanan yeni bit yöntem olarak değerlendirmiştir.bu doğru değildir.Risk analizi yatırım kararlarında kullanılabileceği gibi, tüm karar sorunlarını çevreleyen verilerin incelenmesinde kullanılabilir.Muhasebe ve finans yazımında yatırımları değerlendirmek için kullanılan geri ödeme dönemi, muhasebe verim oranı, iç verim oranı, net şimdiki değer ölçütler, risk analizinde de geçerli, uygulanabilir ölçütlerdir.Kuşkusuz bu ölçütler olasılık dağılımları biçiminde ortaya konacaktır.
1.4. Risk Analiz Yöntemleri
Risk ile mücadele edilirken en çok başvurulan kaynak risk analiz yöntemleridir. Bu yöntemler sayesinde riskler bilimsel olarak analiz edilmiş ve teknik veriler elde edilmiş olur. Aşağıda çeşitli karar ortamlarında kullanılan analiz yöntemleri incelenmiştir.
1.4.1. Risk ve Belirsizlik Ortamında Karar Verme
Risk ve (objektif) belirsizlik ortamlarında kullanılan başlıca karar ölçütleri aşağıda belirtilmiştir. Bunlar;
• en büyük beklenen değer ölçütü (MEV),
• etkin strateji-kayıtsızlık eğrileri ölçütü,
• en büyük olasılık ölçütü,
• hırs düzeyi ölçütü'dür.
Bu dört karar ölçütünü aşağıda ayrıntıları ile inceleyeceğiz.
1.4.1.1. En Büyük Beklenen Değer Ölçütü
Bu ölçütün uygulamasında izlenen aşamalar aşağıda belirtilmiştir. Bunlar:
• Her bir stratejiye ilişkin sonuçların (parasal ya da fayda birimi cinsinden) değerleri ile ilişkin oldukları olasılıklar ile çarpımları toplamının bulunması.
• Beklenen değerler içinde en büyüğünün belirlenerek, bu değere ilişkin stratejinin en iyi karar olarak seçimi şeklinde belirtilebilir.
E :beklenen değeri
EMV(Sj) , EU(Sj) :Sj stratejisine ilişkin beklenen parasal değeri ya da beklenen faydayı, simgelediğinde, bu ölçütün matematiksel anlatımı;
MaksSj [ EMV (Sj) ] = MaksSj [ I p(Qi) . R (Qi, Sj) ] şeklindedir.
Beklenen kazanç ölçütünün uygulanmasında, kararların uzun dönemdeki kazançlara göre şekillendiği bilinmelidir. Önemli olan bir başka nokta ise hesaplanan beklenen kazançlar içinde ikisinin ya da daha çoğunun birbirlerine eşit olması durumudur. Bu durumda sorun, birbirine eşit olan beklenen değerlere ilişkin dağılımların dağılma ölçüsü olarak, varyanslarının ya da standart sapmalarının hesaplanması ile çözümlenir. Bulunacak varyans ya da standart sapma değerleri içinde en küçük olanı, o dağılımın ortalama dolaylarında toplandığını açıklar. Böylece, hesaplanan beklenen değerin, ilişkin olduğu dağılımı en iyi biçimde açıkladığı ortaya çıkar. Bu nedenle, varyans ya da standart sapması en küçük olan beklenen değerli strateji, en iyi strateji olarak seçilir.
1.4.1.2 Etkin Stratejiler-Kayıtsızlık Eğrileri Ölçütü
En büyük beklenen değer ölçütü, ister parasal ister fayda birimlerine dayalı olsun, karar vericinin istenmeyen sonuçlara ulaşmasına neden olabilmektedir. Çünkü, en büyük beklenen değer ölçütünün temel mantığı; etken stratejinin uzun dönemde uygulanması sonunda, dönem başına ortalama olarak elde edileceğine dayanmaktadır. Yani, bu değerler elde edilmemektedir. Ancak, uzun dönem sonunda ortalama olarak elde edileceği varsayılır. Karar vericinin karşı karşıya olduğu sorun; beklenen değeri ve varyansı en iyi olan ve böylece, en büyük doyumu sağlayacak olan stratejiyi seçme sorunudur. Karar verici, stratejileri belirleyip, herbirinin beklenen değerini ve beklenen değişirliğini elde edebilir. Bu konuda, Markowitz, yatırım ve portföy analizinde varyans ve getiri kombinasyonlarını incelemek üzere bir teknik geliştirmiştir. Bu teknikte, Markowitz, etkin stratejilerin; tüm stratejiler setinin bir alt seti olduğunu belirtmiştir. Buna göre etkin olmayan stratejiler;
• Eşit değişirliği olan stratejilerden, en büyük beklenen getirili (değer) olanın seçimi,
• Eşit en büyük beklenen getirili stratejilerden, en küçük değişirli olanının tercihi yoluyla ayıklanmalıdır. Ayıklanan stratejiler dışında kalanlar, yani etkin stratejiler; en uygun eğrinin çizilmesi ile yaklaşık olarak gösterilebilir.11 ( S. Archer, Newyork, 1964 )
Karar verici, bu eğri üzerinde, daha yüksek getiriler için daha büyük değişikliği benimsemektedir. Eğri üzerindeki her nokta, bir ortalama değer ile ödemenin değişirliğinin kombinasyonu olarak belirlenmektedir. Böylelikle, elde edilen her nokta, bir stratejiyi simgelemektedir. Şimdi sorun hangi stratejinin seçileceğidir. Karar vericinin, bu kombinasyonlar karşısında davranışını gösteren bir tekniğin oluşturulması gerekmektedir. İşte bu araca kayıtsızlık eğrileri (indifference curves), adı verilmektedir. Karar verici burada, her stratejinin, beklenen ödemesi ile varyansmı kapsayan iki boyutunu değerlendirir. Ancak ödemelerin fayda birimleri ile ölçümlenmelerinde ikiden çok boyutlu olabilme olanağı vardır. Aşağıdaki şekil böyle çizilen kayıtsızlık eğrilerinin setini göstermektedir. Kayıtsızlık eğrisi üzerindeki tüm noktalar stratejileri belirttiğinden, karar verici her stratejiye kayıtsız olmaktadır. Kayıtsızlık eğrileri üzerindeki her çizgi olurlu değildir, olurlu stratejiler etkin strateji eğrisi üzerindedir. Karar verici, bu eğri üzerindeki bir stratejiyi en iyi karar olarak seçmek zorundadır. Bu nedenle, karar vericinin en iyi kararı; kayıtsızlık eğrileri ile etkin strateji eğrilerisinin teğet olduğu noktadaki stratejinin seçimi olarak ortaya çıkmaktadır.
Beklenen değerlerle ilgili değişiklik ya da dağılma ölçüsüne genellikle, risk adı verilmektedir. Riskin ölçüsü ise, genellikle standart sapmadır.
1.4.1.3. En büyük olasılık ölçütü
Beklenen değer ölçütüne alternatif bir başka ölçüttür. Bu ölçütün uygulanmasıyla belirlenen etken stratejinin seçimi; karar matriksinde en büyük olasılıklı doğa durumuna ilişkin satırdaki ödemeler içinde, en büyük olanının saptanmasına bağlıdır. Ölçütün temeli olasılıklı bir modelden deterministik bir modele dönüşüme dayandırılmaktadır. Ölçütün temel mantığı iyimserlik görüşüne dayandığından, karar vermede kullanılması sakıncalıdır.
1.4.1.4. Hırs Düzeyi Ölçütü
Hırs düzeyi ölçütü (aspiration level criterion), en büyük beklenen değer ölçütü gibi en iyi kararı sağlayan bir ölçüt değildir. Bu ölçütün uygulanması ile elde edilen strateji, benimsenebilir strateji niteliği taşımaktadır. Örneğin bir kişi kullandığı arabayı satışa çıkardığında, satış fiyatı için bir alt limit değeri saptandığında, bu değer onun hırs düzeyi demektir. Hırs düzeyi ölçütünün sakıncalı tarafları aşağıda belirtilmiştir:
• Bazı durumlar için benimsenebilir strateji vermemektedir. Böylece ortada karar vermeme kararı çıkmaktadır.
• Benimsenebilir stratejinin seçimi, karar vericinin hırs düzeyine bağlı bir ön koşul ile yapılmaktadır. Bu yüzden en iyi karar söz konusu olmamaktadır
• Saptanan hırs düzeyinin altındaki tüm kazançlar dikkate alınmamaktadır
• Karar verici, son çareyi deneyerek şansını zorlayan bir konuma düşer12 (B .Bircan, İzmir, 1985 )
1.4.2. Modern Fayda Yaklaşımı
Geleneksel ekonomide fayda, psikolojik kazanç ve kayıplar biçiminde ölçülen ve malın sağladığı doğal doyum olarak tanımlanır. Fayda kavramı; ekonomide tüketici açısından ele alınır, tüketilen malın tüketiciye sağladığı doyuma dayanır. Düşünürlere göre, modern fayda kavramı; karar verici tarafından strateji seçiminde söz konusu olmakta ve risk karşısında başvurulan değer ölçüsü olarak tanımlanmaktadır. 13 (M. Hamburg, New York,1970 )
Böylece karar kuramında fayda; malın yerine parasal değerlerin ve psikolojik doyum ölçüsü yerine de, risk karşısında belirlenen değer ölçüsü biçiminde incelenmektedir. Ekonomide ve karar kuramında; fayda kavramı sübjektiftir. Kişiden kişiye olduğu kadar, kişideki psikolojik ve sosyo-ekonomik durumdaki değişikliğe göre de değişir. Karar vericinin risk ortamındaki davranışını açıklayan kurama, kardinal fayda kuramı (cardinal utility theory) adı verilmiştir.Bu kuramın özünde; her kişinin, fayda olarak belirlenen sonuçlardan beklenen değerini en iyileştirecek biçimde davranışta bulunacağı ve parasal değerler ile fayda arasında fonksiyonel bir ilişkinin saptanabileceği gerçeğine dayanır. İşte, karar verici açısından parasal değerlerle fayda arasındaki ilişkiyi belirleyen fonksiyona, kişisel fayda fonksiyonu denir. Bu fonksiyon; karar vercinin risk karşısında sübjektif davranışlarını belirleyerek, her bir parasal sonuca karşılık olan göreli fayda değerini verir. Karar vericinin kişisel fayda fonksiyonu belirlendiğinde;
• riskten kaçan
• riske giren
• riske karşı nötr ya da risk karşısında kayıtsız
olmak üzere, üç farklı karar verici tipi ortaya çıkmaktadır.14 (R. Swalm, Harward,1966)
1.4.2.1. Riskten Kaçan Karar Verici
Genel olarak kişisel fayda fonksiyonu;
U = f(M) l biçiminde gösterilir.
U :fayda
M
f :fonksiyonel ilişkiyi, gösteren simgelerdir
Buna göre fayda, parasal değerin bir fonksiyonudur. Fonksiyon monoton olarak artar. Karar vericinin kişisel fayda fonksiyonunun grafiği belli teknikler yardımı ile belirlendiğinde, bulunan eğri konkav biçiminde ise, bu tip karar vericiye riskten kaçan denir.
Bu tip karar verici, içinde bulunduğu olumsuz finansal koşullar nedeni ile risk karşısında tutucudur. Yani, kendisine önerilen para oyunlarından riski içermeyenini, kesin olarak kazanacağı oyunu, beklenen kazanç diğerlerine nazaran daha az olsada tercih etme eğilimindedir. Şekilde de eğrinin eğimi kazanç arttıkça küçülmekte, zarar arttıkça büyümektedir. Bunun anlamı, belli bir kazanç artışının sağladığı faydanın , eşit zarar azalmasının sağladığı faydadan az olacağıdır. Karar verici açısından, kazanılan parasal değer artışının, sübjektif olarak daha az değer yaratması, ekonomide, azalan marjinal fayda yasası adıyla bilinmektedir.15 ( G. Calvert, San Francisco,1993 )
1.4.2.2. Riske Giren Karar Verici
Karar vericinin kişisel fayda fonksiyonunun grafiği konveks bir eğri biçiminde ise, bu tip karar vericiye riske giren denir.Kazanılan parasal değer arttıkça, eğrinin eğiminin de büyüdüğü görülmektedir. Bu durum, belli bir kazanç artışı faydasının, eşiti olan zarar azalmasının faydasından daha büyük olduğunu açıklamaktadır. Yani, kazanılan parasal değer arttığında, karar vericinin artan her bir para birimine bir öncekinden daha büyük bir sübjektif değer verdiği anlamını içermektedir. Kazanılan parasal değer artışının, sübjektif olarak daha büyük bir değer yaratması, artan marjinal fayda yasası biçiminde tanımlanır.54 (M. Demir,İzmir,1985 )
1.4.2.3. Risk Karşısında Kayıtsız Olan Karar Verici
Karar vericinin kişisel fayda fonksiyonu doğrusal olduğunda, bu tip karar verici risk karşısında kayıtsızdır denir.
Kazanılan parasal değer arttığında, doğrunun eğiminin değişmediği, sabit olduğu görülmektedir. Bunun anlamı, belli bir kazanç artışının faydasının, eşiti olan zarar azalışının faydasına eşit olduğudur. Kazanılan parasal değer artışlarının eşit sübjektif değer yaratması, bir bakıma, sabit marjinal fayda yasası biçiminde tanımlanabilir. Bu durumda karar verici, en büyük beklenen parasal değer ölçütünü uygulamakla, beklenene faydayı da en büyüklemiş olur. Böylece, en büyük beklenene değer ölçütünün parasal ya da fayda birimlerine dayalı olarak uygulanışında, aynı stratejinin! seçimi söz konusu olmaktadır. Bu nedenle, karar kuramında bu tip karar vericilere, EMV'ciler, yani beklenen parasal değer özellikli olanlar adı verilmiştir. 16 (E. Trueman,New York,1972 )
Karar vericinin yukarıda açıklanan bu üç tipten hangisine ilişkin olduğunu gösteren kişisel fayda fonksiyonlarından hiç birinin uygulamada tek başına gerçeği yansıtmadığı ileri sürülmüştür. 1948 yılında Friedman ve Savage, fonksiyonun yalnızca konkav ya da konveks olarak belirlenmesinin yerinde olmadığı düşüncesiyle, her ikisinin de birlikte içerildiği bir fayda fonksiyonu önermişlerdir.17 ( Y. Chou,New York ,1972 )
karar verici, önce risk karşısında tutucu; sonra hırs düzeyi noktasına değin kazancını arttırmak amacı ile riske giren; bu noktadan başlayak, yine riskten kaçan olmaktadır. Karar vericinin, kazancının belli bir noktaya ulaşmasıyla onun ölçülü davranış tipini benimsediği CO noktasına, hırs düzeyi adı verilmektedir. Karar vericinin kişisel fayda fonksiyonunu belirlemede;
• doğrudan ölçümleme
• standart para oyunu
• belirlilik eşdeğeri
• Ramsey tekniği gibi değişik tekniklerden yararlanılır.18 (H. Moskowitz, New Jersey,1979 )
1.5. Ağ Teknolojilerinde Risk ve Risk Analizi
Günümüzde, ağ teknolojileri hayatın her noktasına girmiş durumdadır. Hemen hemen tüm ticari, resmi ve akademik kuruluşlar, ağ teknolojilerini kullanmakta ve İnternet olarak adlandırılan en büyük geniş alan ağına bağlı bulunmaktadırlar. Neredeyse her gün, insanların yaşamını kolaylaştıran yeni ürünler çıkmakta, her iş kolu için yeni çözümler üretilmektedir.
Üretilen bu çözümlerin arasında güvenlik ürünleri de önemli bir yer tutmaktadır. Çünkü, sadece birbirine bağlı iki bilgisayar için bile birçok güvenlik açığı bulunmaktadır. En büyük ağ olan İnternet ise çok güvensiz bir ortamdır. Kodlanan bir virüs İnternet yoluyla çok kısa bir sürede tüm dünyaya yayılmakta ve milyonlarca dolar zarar verebilmektedir.
Amerika Birleşik Devletleri’nin en önemli güvenlik konferanslarını düzenleyen SANS enstitüsünün web sayfasının ağustos ayında kullanılamaz duruma getirilmesi sistemlerde yeterli güvenliği sağlamanın ve devam ettirmenin çok kolay bir iş olmadığını ortaya koymaktadır.
Çünkü kullanılan ağ protokolleri, işletim sistemleri ve yazılımlarda kodlama ve konfigürasyon hataları bulunmaktadır ve daima da olacaktır. Bu hatalar hackerlar tarafından ortaya çıkarılacak, kar ve ün elde etmek isteyen ya da sadece zevk amacıyla yapan bir çok *****er tarafından da kullanılacaktır. Tamamıyla güvenilir kodlamalar ve konfigürasyon yapılsa ve sonucunda sistemlerin gerçekten de teknik olarak açıklıkları olmasa bile, kasıtlı yapılan saldırılar, doğal afetler ve yangınlar her zaman olacaktır. Böyle bir senaryoda, mutlak (yüzde yüz) güvenliği sağlamanın imkansız olduğu söylenebilir.
Mutlak güvenlik olmadığından dolayı, her zaman için bir bilgi sisteminde mevcut bir risk vardır. Amaç, varolan bu riski önlemek olmamalıdır. Çünkü, riski önlemek çok pahalıdır hatta imkansızdır. Bir bilgi sistemi için, sırf riski sıfırlamak için o kıymetin değerinden fazla güvenlik önlemi almak akılcı bir yaklaşım olmayacaktır. Bu nedenle riski önlemek yerine risk ile birlikte yaşamayı öğrenmek daha uygun bir yoldur. Bunun için, bilgi sistemini korumak adına çıkan güvenlik önlemini kullanmanın getirdiği masraf ile o güvenlik önleminin kullanılmadığı zaman olacak saldırılar sonucunda oluşacak masrafları karşılaştıracak bir araç olması gerekmektedir. Risk analizi ve yönetimi bu işi yapan araçlardır.
Mutlak güvenliğin imkansızlığı ve riskin daima varoluşu güvenliğe bir ürün gözüyle bakmamızı engeller. Artık günümüzde, bilgi teknolojileri güvenliği, gerçek zamanlı risk analizi ve yönetimi prosesi olmuştur. Kısacası, güvenlik artık bir teknoloji konsepti olmaktan çıkmış bir iş (business) konsepti haline gelmiştir. Risk analizi ve yönetimi ise, bu işin çekirdek kısmıdır ve bilgi teknolojileri güvenliği ürünlerinin seçilmesi ve geliştirilmesinde ana karar verme mekanizmasıdır.
1.5.1. Ağ Teknolojisinde Risk ve Risk Analizi Tanımları
Risk analizi ve yönetimi çerçevesinde sıkça kullanılan konseptlerin ve daha sonra risk analizi ve yönetimi kavramlarının tanımları yapılacaktır.
1.5.1.1. Kıymet (Asset)
Kıymetin, risk analizi konseptindeki tanımı, korunması gereken herşeydir. Kıymetler, bilgi sistemlerinde değere sahip olan elemanlardır. Kıymetler beş ana başlık altında toplanabilir. Bunlar, donanım, yazılım, veri, politikalar-prosedürler ve insandır.
Bilgi teknolojilerinde, tüm kıymetlerin bir sahibi vardır. Kurumun kendisi, kurumdaki departmanlar ya da insanlar bir kıymetin sahibi olabilirler. Bir kıymete gelebilecek herhangi bir zarar, aynı zamanda o kıymetin sahibini de etkiler.
Risk analizinde, kıymetler, somut (tangible) ya da soyut (intangible) olabilir. Donanım ve insan somut, yazılım, veri ve politikalar ise soyut kıymetlerdir.
1.5.1.2. Açıklık (Vulnerability)
Bir kıymeti tehditlere karşı korumasız hale getiren kusurlardır. Bir bilgi sistemi kıymeti için açıklık, kıymetin programlamasındaki hatalar olabileceği gibi, doğal etkenlere (toz, nem, güneş ışığı, yangın, vb) karşı korumasız durumda olması da olabilir.
Tehditler, açıklıları kullanarak kıymete zarar verirler. Bu nedenle, açıklıklar, riskin en önemli nedenidir.
1.5.1.3. Tehdit (Threat)
Bir kıymetteki açıklıkları kullanarak (exploit) kıymete kısmen ya da tamamen zarar veren etkenlere tehdit denilmektedir. Bilgi sistemlerine zarar verebilecek üç tip tehdit vardır. Bunlar, doğal tehditler, kasıtsız tehditler ve kasıtlı tehditlerdir. Doğal tehditler, genel olarak insan faktöründen kaynaklanmayan, sel, yıldırım, yangınlar gibi tabiat olaylarıdır. Kasıtsız tehditler, insan faktöründen kaynaklanan ancak bilerek yapılmayan tehditlerdir. Bir kurum ağındaki zararlı kullanıcı aktiviteleri kasıtsız bir tehdit sayılabilir. Kasıtlı tehditler ise, kasıtsız tehditler gibi insan faktöründen kaynaklanır, ancak belli bir amaca yönelik olarak bilerek yapılırlar. *****erlar kasıtlı bir tehdit örneğidir.
Bilgi teknolojilerinde, güvenliği mekanizmalarının koruması gereken üç ana servis, süreklilik (availability), bütünlük (integrity) ve gizlilik (confidentiality)’dir. Tehdit, bu üç elementten en az birine zarar veren ya da verme ihtimali bulunan etken(ler)dir. Tehditin sonucunda, para, üretim, güven, verimlilik kayıpları olur.
1.5.1.4.Karşı Önlem (Safeguard, Security Measure)
Bir kıymette bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlere karşı önlem denir. Karşı önlemler arasında, güvenlik yamaları, güvenilir ürünler (trusted products), güvenlik politikaları, konfigürasyon düzenlemeleri, tasarım, güvenlik yazılımları, donanımlar, eğitimler, kişilere sorumluluk yükleme, gözetleme ve monitorleme sayılabilir. Bütün bunlar riski azaltan faktörlerdir.
Karşı önlem sadece açıklığın kapatılmasını (ör. sistem yamaları) önermez. Açıklığın kapatılması yanında, kıymetin değerinin düşürülmesi (ör. şifreleme) ya da tehditin azaltılması (ör. insanların eğitilmesi) da karşı önlemlerdir. Sonuç olarak, bu üç tip karşı önlemin amacı riski düşürmektir.
1.5.1.5. Risk
Risk, sözlüklerde, “zarara yol açan ya da zarar verme kapasitesi olan kişi ya da nesne” olarak tanımlanmaktadır.
Riskin önceki başlıklar altında değinilen kıymet, açıklık ve tehdit kavramları bağlamındaki bir diğer tanımı “bir kıymetteki bir açıklığın bir tehdit tarafından kullanılma (exploit) ihtimalidir” şeklindedir.
Şekil 3: Kıymet, tehdit ve açıklık fonksiyonu olarak risk
Kaynak:B. Karabacak,2000
Risk, kıymet, tehdit ve açıklığın bir fonksiyonudur. Şekil 1’de bu fonksiyon soyut olarak ifade edilmiştir. Şekildeki sarı oklar, karşı önlem başlığı altındaki 3 tip karşı önlemi temsil etmektedir. Karşı önlemleri almadan önce, riskin büyük olduğu görülmektedir. (Siyah kübün hacmi) Karşı önlemleri aldıktan sonra ise risk azalmıştır. (Turuncu kübün hacmi)
Karşı önlemler almadan önce sistemde mevcut olan riske taban (baseline) riski denmektedir. Karşı önlemler alındıktan sonra sistemde mevcut olan riske ise geri kalan (residual, projected) risk denmektedir. Buna göre siyah küp taban riski, turuncu küp ise kalan riski ifade etmektedir.
İstenen (taşınabilir) risk seviyesi (required risk) ise, kurumun kabul ettiği ve taşıyabileceği risk miktarıdır. Karşı önlemler alındıktan sonra, geri kalan riskin, gerekli riskten daha aşağı seviyede olması gerekir.
Geri Kalan (Residual) Risk Seviyesi £ İstenen (Required) Risk Seviyesi
Herhangi bir karşı önlem alınmamışken, eğer bulunan taban risk, istenen riskin aşağısında çıkarsa, karşı önlem alınmaya gerek olmayacaktır.
Riskin önüne geçebilecek büyüklükte bir bütçe bulunmamaktadır. Bu nedenle, giriş başlığı altında da söylendiği gibi, bilgi sistemlerinde risk daima olacaktır. Çünkü risk iş yapmanın maliyetidir. Risk analizi ve yönetiminin ana çıkış noktası budur.
1.5.1.6. Risk Analizi ( Risk Analysis )
Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir.
Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde varolabilecek tüm kıymetlerin, bu kıymetlerdeki açıklıkların ve bu kıymetleri etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir.
Daha sonraki aşamada, ortaya konulmuş olan kıymet, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş kıymet, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, matematiksel ve mantıksal metodlar kullanılarak risk değeri bulunur. Son olarak risk-kıymet eşleştirmesi yapılır.
Risk analizi karşı önlemlerin nasıl ve ne şekilde alınacağı üstünde durmaz. Bu işi, risk risk yönetimi prosesi yapmaktadır.
1.5.1.7. Risk Yönetimi ( Risk Management )
Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Karşı önlem maliyetleri ve risk analizi sonucunda çıkan kıymet-risk eşleşmesi risk yönetimi prosesi için en önemli girdilerdir.
Şekil 1’de sarı oklarla gösterilen uygun karşı önlemlerin alınması işini risk yönetimi yapar. Yerinde bir risk yönetimi ile az bir maliyet ile risk kübünün hacmi büyük bir ölçüde düşürülebilir. Risk yönetimi, genel olarak karşı önlemlerin alınması ile oluşacak maliyeti, geri kalan (residual) riskden dolayı oluşacak bir zararın yol açacağı maddi kayıpla karşılaştırır ve daha düşük ise karşı önlemleri alır.
Risk yönetimi prosesinin dayandığı asıl nokta kurumun güvenlik ihtiyaçlarıdır. (security requirements) Kurumun güvenlik ihtiyaçlarına göre, taşınabilir risk oranı belirlenebilir ve bunun sonucunda uygun karşı önlemlerin seçilmesi işlemi yapılabilir. Güvenlik ihtiyacı, bir kıymeti etkileyen bir tehdit için kurumun ne kadar güvenlik önlemi istediğidir. Askeri bir kurum, belli bir kıymet için tehditin çok aza indirgenmesi isteyebilecekken, normal bir şirket ise aynı kıymeti etkileyen aynı tehdit için hiç bir güvenlik önlemi almak istemeyebilir.
Şekil 4: Risk analizi ve yönetimi prosesi
Risk Analizi Risk Yönetimi
Kaynak:B. Karabacak,2000
Risk analizi, yorumlaması ve yönetimi bir defa yapılmaz. Risk analizi ve yönetimi birer sonuç değildir, şekil 4’de de görüldüğü gibi risk analizi ve risk yönetimi sürekli birbirini takip eden iki ana prosesdir. Maliyet etkin bir risk yönetiminin temellerini risk analizi prosesi oluşturur. Risk analizi ve yönetimi bir kurumda, yönetimin de kararıyla belli aralıklarla yapılmalıdır. Çünkü kıymetler, açıklıklar, tehditler daima değişecektir. Bütün bunlar değişmese bile daha maliyet etkin çözümler ortaya çıkabilecektir.
Risk analizi sonuçlarına göre, risk yönetimi dört farklı işten birini yapabilir.
1. Risk yüksektir, karşı önlemler yoktur ya da çok pahalıdır. Kıymet kullanılmaz. (Eliminate Asset)
2. Uygun karşı önlemler alınarak risk düşürülebilir. (Reduce Risk)
3. Karşı önlemlerin alınmasının maliyeti, riskin açacağı zarardan çok daha fazla olduğu için risk önemsenmeyebilir. (İgnore/Accept Risk)
4. Kıymetler sigortalanarak risk transfer edilebilir. (Transfer Risk)
Bu dört iş haricinde, risk analizi ve yönetimi sonucunda, karşı önlemlerin azaltılması ya da kaldırılması da yapılabilir. Hali hazırdaki karşı önlemin çok pahalı olması, tehditin varolmaması gibi faktörlerden böyle bir sonuca gidilebilir.
Risk analizi ve yönetimi tanımları kapsamında son olarak, bu iki prosesin yerini tam olarak çizmek gerekirse, şekil 4’de görüldüğü gibi risk analizi riskleri çıkartır ve yorumlar. Bunun için, kıymetleri, kıymetlerdeki açıklıkları, tehditleri çıkarır. Risk yönetimi ise, risk analizi sonucunda çıkarılan risklere göre karşı önlemleri alır.
Şekil 4: Risk analizi ve yönetiminin yeri
Kaynak:B. Karabacak,2000
1.5.2. Ağ Teknolojileri Bakımından Risk Analizi Yorumu
Şimdiye dek yapılan tanımların ardından, risk analizi yöntemleri ve metodolojileri, risk analizi ve yönetimi prosesinin yararları ve bu prosesin problemleri üzerinde bir takım yorumlar yapılacaktır.
1.5.2.1. Risk Analizi Yöntemleri ve Metodolojileri
İki temel risk analizi yöntemi mevcuttur. Bunlar, nicel (quantitative) ve nitel (qualitative) yöntemlerdir.
Nicel risk analizi, riski hesaplarken sayısal yöntemlere başvurur. Nicel risk analizinde, kıymet, açıklık, tehditin olma ihtimali, tehditin etkisi gibi değerlere sayısal değerler verilir ve bu değerler matematiksel ve mantıksal metotlar ile proses edilip risk değeri bulunur. Dördüncü bölümde örnek bir nicel risk analizi yapılmıştır. Bu örnekte, kıymetin değeri, tehditin olma ihtimali ve tehditin etkisi değerlerine basit sembolik sayılar verilmiştir. Bunun yerine senelik dolar kaybı gibi gerçek hayata yakın değerler de verilebilir.
Risk = Tehditin Olma İhtimali (likelihood) * Tehditin Etkisi (impact) formülü nicel risk analizinin temel formülüdür.
Bu formüle göre, bir kıymete zarar verme ihtimali olan tehditin olma olasılığı ile bu zararın kıymete etkisininin çarpımı riski ifade eder. Çarpım sonucu ne kadar fazla çıkarsa, risk o kadar yüksektir. Bir tehditin olma olasılığı çok az ancak, ortaya çıktığı zaman vereceği zarar çok fazla ise, orta derecede bir risk söz konusudur denebilir. Nicel risk analizi yöntemleri ayrıntılı olarak dördüncü bölümde incelenecektir.
Diğer temel risk analizi yöntemi ise nitel risk analizidir. Nitel risk analizi riski hesaplarken ve ifade ederken numerik değerler yerine yüksek, çok yüksek gibi tanımlayıcı değerler kullanır. Ayrıca, nitel risk analizi tehditin olma ihtimalini kullanmaz, riskin sadece etki değerini dikkate alır.
Nitel bir risk analizi metodu olan CRAMM, risk, kıymet değerinin, tehditin etkisinin ve açıklık seviyesinin bir fonksiyonudur.
Risk = Áunction (Kıymetin değeri (asset value), Tehditin Etkisi (impact), Açıklığın seviyesi (level of vulnerability) )
Bu noktada risk analizi metodolojileri konsepti karşımıza çıkar. Risk analizi metodolojisi (metodu), risk analizi sürecinin matematiksel işlemler ve yorumların yapıldığı çekirdek kısmıdır. Yukarıda bahsedildiği gibi, risk analizinin nicel ve nitel olmak üzere iki temel yöntemi vardır. Bu iki temel yöntemin birisine bağlı kalarak ya da hiçrir bir yöntem kullanarak, kıymetler, tehditler, açıklıklar ve karşı önlemler arasındaki ilişkiler değişik metodlar ve formulasyon ile analiz edilip, yine değişik matematiksel metotlar ile risk faktörü bulunabilir. Ekte, değişik risk analizi metodlarından bahsedilmiştir. Bu metodları birbirinden ayıran en önemli farklar, risk değerini bulmak için kullandıkları kendilerine has metodlardır.
1.5.2.2.Risk Analizinin ve Yönetiminin Yararları
Risk analizi ve yönetiminin hedefi, kurum içerisinde olabilecek tehlikelere uygun cevap verebilecek, kasıtlı ya da kasıtsız tehditlerin etkisini ve olma ihtimalini azaltacak hazırlıkları, prosedürleri ve kontrolleri teşhis etmektir.
Risk analizi ve yönetimi prosesinin bir çok yararları vardır. Bu yararların başta gelenleri şu şekilde sıralanabilir.
1. Kurumun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar.
2. Kurum çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar.
3. Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar.
4. Risk analizi prosesinin ilk kısmında yapılan kıymet analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.
Risk analizi ve yönetiminin yapılmadığı bir bilgi sisteminde aşağıdaki gibi durumlar olabilir.
1. Bu bilgi sisteminde hiç güvenlik olmayabilir ya da çok az güvenlik olabilir
2. Kullanılabilirliliği oldukça azaltan çok fazla güvenlik olabilir
3. Yanlış güvenlik önlemleri alınmış olabilir
4. İnsanlarda yanlış güvenlik bilinci olabilir.
Bütün bunları maddi olarak ve zaman olarak kayıplara yol açan durumlardır.
1.5.2.3.Risk Analizinin ve Yönetiminin Problemleri
Risk analizi ve yönetimi ile birlikte gelen bir takım problemler ve ideal olmayan durumlar vardır. Bunlar,
1. Risk analizinin kendisinin maliyetinin yüksek olmasıdır. Risk analizini kurumun kendisi bile yapsa zaman ve para kaybına yol açabilmektedir.
2. Risk analizi sonuçlanana kadar geçen süre diğer bir problemdir. Güvenlik önlemlerinin biran evvel uygulanması gerekirken, risk analizi sonucu beklenmek zorundadır. Bunun zararlı etkileri olabilmektedir. Bu nedenle bir çok yerde, risk analizi yapılmadan güvenlik önlemleri alınmaktadır.
3. Risk analizi sonuçlarının nesnel olması beklenirken daha çok öznel olabilmektedir. Özellikle nitel risk analizinde bu problem daha çok görülebilir. Çünkü, nitel risk analizinde risk, sayısal değerlerden çok tanımlar ile ifade edilmektedir.
4. Risk analizi ve yönetimi prosesi, önceden belirlenmiş kesin adımları olan prosesler değildir. Nıtel ve nicel risk analizi yöntemlerinin çatısı altında, bir çok risk analizi metodolojisi mevcuttur. Bu methodlar, riski yorumlama aşamasında birbirinden ayrılırlar.
5. Tüm kurumlara uyan bir risk analizi metodolojisi mevcut değildir. Çünkü, her organizasyonun kendine özel bir kıymet listesi, bu kıymetlere göre farklı farklı tehditleri vardır. Bütün bunları dışında, kurumdan kuruma güvenlik anlayışı ve güvenlik gereksinimleri de değişim göstermektedir. Risk analizi ve yönetimi yapılacak olan bir kurumda, öncelikle ne tip bir risk analizi ve yönetimi metodunun uygulanması gerektiği belirlenmelidir.
6. Günümüzde, kıymetlerin, buna bağlı olarak açıklıkların ve tehditlerin artması ile beraber, risk analizi ve yönetiminin sahasına giren, kıymet tanımla, açıklık belirleme, tehdit tanımla ve karşı önlem belirleme safhaları çok geniş nesneleri kapsadığından dolayı, bir çok risk analizi ve yönetimi metodu her nesneyi örtemeyebilmekte ve bazı nesneler göz ardı edilebilmektedirler.
1.5.3. Dökümanlarda Geçen Risk Kavramı
Taban (baseline) risk: Herhangi bir risk analizi ve yönetimi yapılmadan bir kurumda mevcut olan risktir.
Geri kalan (residual) risk: Bir risk analizi ve yönetimi sonucunda önerilen karşı önlemlerin alınması sonucunda kurumda kalan riske geri kalan risk denir.
İstenen(taşınabilir, required) risk: Bir kurumun güvenlik ihtiyaçları kapsamında belirlediği ve bünyesinde taşıyabileceği risk miktarıdır.
1.5.4.Bazı Risk Analizi Araçları
Hem nicel hem nitel yöntemleri kullanır. CEC/INFOSEC Programı (CEC, 1993b) çerçevesinde geliştirilen veritabanında, 70’ten fazla risk analizi metodu bulunmaktadır. Bunlardan bazıları şu şekildedir.
1. CRAMM: United Kingdom Central Computer and Telecommunication Agency’s (geliştirilmiştir. Nıtel (qualitative) yöntemlere dayanmaktadır. İngiltere hükümetinin desteklediği resmi risk analizi ve yönetimidir. CRAMM metodu bir yazılım desteklenmektedir. Karşı önlem seçme bölümü tamamıyla yazılım tarafından yapılmaktadır. Büyük bir açıklık ve karşı önlem kütüphanesi mevcuttur.
2. @RISK: Palidase şirketi tarafından geliştirilmiş nicel bir risk analizi aracıdır. Monte Carlo simulasyonu metodunu kullanmaktadır.
3. ALRAM: Automated Livermore Risk Analysis Methodology. Lawrence Livermore ulusal laboratuvarı tarafından, Amerikan Hükümeti için geliştirilmiştir. Nicel yöntemleri kullanmaktadır.
4. ARES: Automated Risk Evaluation System. ARES, Air Force kriptoloji destek merkezi tarafından geliştirilmiştir. Nicel (quantitative) bir risk analizi aracıdır.
5. BDSS: Bayesian Decision Support System. OPA şirketi tarafından geliştirilmiştir. Hem nitel hem de nicel yöntemleri kullanan bir araçtır.
6. BUDDY SYSTEM: Nicel yöntemleri kullanır. Countermeasures şirketi tarafından geliştirilmiştir.
7. Marion: İngiliz Coopers & Lybrand şirketi tarafından geliştirilmiştir.
8. Cobra: Nitel yöntemleri kullanan bir risk analizi metotudur. Modüler bir yapıya sahiptir. ISO 17799 modülü yardımıyla bir sistemin bu standarta uygunluğunu ölçebilmektedirCCTA) Risk Analysis and Management Method. CRAMM, 1987 senesinde.19 (B.Karabacak, 2000 )
www.forumpaylas.net