Davranış psikolojisi çerçevesinde risk yönetimi
Güvenlikte risk analizi farklı iş kollarında (otelcilik sektörü, enerji sektörü gibi) farklı şekilde uygulansa da, temelde olaylara dayanan risk analizi ve tesisin bulunduğu yere bağlı risk analizinin toplamı olarak değerlendirilebilir.
Risk analizi, kısaca firmanın sahip olduğu kıymetlerin (iş gücü, teçhizat, donanım, binalar vs.) maruz kalacağı zarar veya kayıp ihtimali olarak tanımlanabilir. Bazı tanımlarda ise art niyetli (düşmanca) olan veya olmayan güvenlik tehdidinin yol açtığı sonuçlar ile bu sonuçların olabilirliği arasındaki fonksiyonel ilişki olarak belirtilebilir. Bu tanımlardan yola çıkarak risk analizi için art niyetli tehditlerin belirlenmesi gerekir ve bu aşamada tehdit senaryosunun;
- Düşmanca olmasına,
- Zarar vermeye yönelik olmasına,
- Ve azami hasarı verdirecek şekilde seçilmesine dikkat edilir.
Bu tehdit senaryolarında daha önce maruz kalınan ve kayda giren olaylardan da yararlanılabilir. Risk analizi yapıldığında mümkün olduğunca ölçülebilir, yönetilebilir ve minimize edilebilir olmasına dikkat edilmelidir. Riskin “0” olduğu bir durum, istisnalar haricinde yoktur. Dolayısıyla yapılacak risk analizinde amaç; tespit edilen risklerin minimize edilerek, kabul edilebilir bir seviyeye indirilmesidir.
Güvenlikte risk analizi farklı iş kollarında (otelcilik sektörü, enerji sektörü gibi) farklı şekilde uygulansa da, temelde olaylara dayanan risk analizi ve tesisin bulunduğu yere bağlı risk analizinin toplamı olarak değerlendirilebilir. Eskiden risk analizi hesaplarında karmaşık formüller kullanılır ve adeta içinde çıkılmaz bir hale dönüştürülürdü. Günümüzün yoğun ve hızlı iş dünyasında, karar verici makamlar tarafından basit anlaşılır ve mantıklı risk analizi usulleri kullanılmaktadır.
Risk analizinin başarısında firma yönetiminin desteği en belirleyici faktördür. Risk analizi sonunda hazırlanan raporların, ihtiyaçların tozlu raflarda kalmaması, güvenlik yönetiminin etkinliğini arttıracaktır. Yönetimini desteğini belirtmesi, risk analizi sonunda ortaya çıkan ihtiyaçların karşılanması çalışanlara verilen en etkili mesaj olacaktır.
Doğru yapılmış bir risk analizinin firmaya kazandırdığı faydaları şu şekilde sıralayabiliriz?
1) Analiz mevcut güvenlik sisteminin durumunu ayrıntılı şekilde ortaya çıkartır. Bir bakıma fotoğrafını çeker.
2) Daha fazla veya daha az güvenlik tedbirine ihtiyaç duyan alanları işaret eder.
3) Geliştirilmesi gereken güvenlik açıklarını belirtir.
4) Alınacak tedbirlerin etkin ve uygun maliyetli olmasını sağlar.
5) Güvenlik ekibinin “farkındalığını” artırır.
Tehdit senaryoları belirlendikten sonraki aşama ise firmada kullanılan temel güvenlik önlemlerinin (basicsecuritymeasures) tespit edilmesidir. Normal olarak bu husus şirket kurumsal güvenlik departmanı tarafından öncelikle tespit edilmiş ve uygulamaya geçmiş olmalıdır. Böylece her bir tesiste, her bir lokasyonda güvenlik önlemlerinin, güvenlik uygulamalarının standardizasyonu sağlanırken, risk analizine bağlı olarak yaratılacak fark açıkça ortaya çıkacaktır. Risk analizinin temel aşamalar kısaca şu şekilde tanımlanabilir: Bu bölümde riske maruz kalacak hedefler belirlenerek, risk analiz yapılacak ofis, bina veya tesisin tanımı yapılır. Bu ofis, bina veya tesisten sorumlu olan kişiler ile güvenliğinden sorumlu kişiler görüşme amacıyla listelenir. Haritalar veya krokiler üzerinden sorumluluk alanı tespit edilir. Standart prosedür ve proseslerle ilgili yazılı dokümanlar temin edilir. Bununla ilgili olarak gerekli bilgiler toplanır.
“Tesisin emanet edildiği güvenlik elemanı tehlikenin nereden geleceğini, tesisin neresinin zayıf olduğunu herkesten daha iyi bilir.”
Bu bölümde ofis, bina veya tesisin karakteristik özellikleri belirlenir. Mevcut durumla ilgili olarak gerekli bilgiler toplanır. Başlangıç risk analizi en önemli husus olup; analizde temel teşkil edecek olan güvenlik bilginin toplanmasıdır. “Security Survey” olarak da adlandırılan bu aşamada kontrol listesi marifetiyle tesis veya bina yetkilisinden güvenlikle ilgili bilgiler derlenir. Sektörel deneyimlere dayanarak, bu tür bir bilgi toplamanın her zaman doğru sonuca ulaştırmadığı bilinmelidir. Bu yüzden aynı soruları sohbet havasıyla ofis veya binada görev yapan güvenlik elemanı veya güvenlik amiri ile konuşmak daha kesin ve doğru bilgiye ulaşılmasını sağlamaktadır. Hatta yaratılan hayali bir senaryo yardımıyla bilgiye (gerçek) daha kolay ulaşılması sağlanabilir. Unutulmamalıdır ki, tesisin emanet edildiği güvenlik elemanı gece yalnız kaldığında tehlikenin / tehdidin nereden geleceğini, tesisin neresinin zayıf olduğunu herkesten daha iyi bilir. Hatta risk analizinde kullanılabilecek (o anda bilemeyeceğiniz) senaryoları sizinle paylaşır. Kötü niyetli (düşmanca) tehdit (hırsızlık, sabotaj vs.) potansiyeli ile art niyetli olmayan (kamera sisteminin bağlantılarının usulüne uygun yapılmaması gibi) tehdit potansiyeli sıralanır. Seçilmiş olan tesis veya belli bir demirbaşın bu tehditlere karşı ne derece zarar göreceği hesaplanır. İstenmeyen sonuca yol açacak her bir olay için senaryolar tarif edilir. Bu senaryoların gerçekleşme ihtimalleri değerlendirilir. Örneğin kutuplara yakın bir bölgede bir insansız tesisiniz (ölçüm istasyonu veya ikmal noktası) var ise buradaki en yüksek riskiniz bir terör saldırısından ziyade bir ayı saldırısı olabilir. Dolaysıyla bu riski minimize etmek için silahlı nöbetçiler, K9 uygulamaları, devriye planlamaları yerine basitçe; bir jiletli telle takviye edilmiş tel çit uygulaması yeterli olacaktır. Eğer bu tesisiniz senaryo gereği elmas çıkaran bir ünite ise o zaman riskiniz vahşi hayvan saldırı riskinden hırsızlık saldırısı riskine dönecektir. Buna bağlı olarak jiletli telle takviye edilmiş tel çit uygulaması yanında silahlı nöbetçiler, K9 uygulamaları, devriye planlamaları riski minimize etmek için kullanılacaktır. Bir önceki aşamada tespit edilen senaryolar, risk matrisi olarak tanımlanan tablo içinde tek tek belirtilir.
Bu matrisin doldurulması işlemi güvenlik sektörünün kimi gurularınca sübjektif olarak değerlendirildiği gibi objektif olarak da değerlendirilebilir. Dolayısıyla risk analizleri yapan (hesaplayan)taraflar farklı yorumlarla sonuca ulaşabilir.Örneğin güvenlik ekipmanı / hizmeti satan firmalar, risk analizleri ile güvenlik ekipmanı / hizmeti alan firmaların risk analizleri arasında büyük farkların bulunması son derece normaldir.
Sektörlere göre küçük değişiklikler gösterse de aşağıdaki tablo risk analizindeki bir matris olarak kullanılabilir. Bu tabloda güvenlik yönetiminin hangi risklere daha fazla yoğunlaşması gerektiği açık şekilde görülecektir. Kırmızı bölge içinde kalan riskler en önemli riskler olup, alınacak ek tedbirlerle bu risklerin önce sarı bölgeye ve daha sonra yeşil bölgeye taşınması sağlanmalıdır.
Bir örnek vermek gerekirse; Liman tesisinizin rıhtım bölümünün yerel balıkçılar tarafından sürekli olarak kullanıldığını ve geçmişteki kayıtlardan burada birkaç tekne kazası yaşandığını, yaralanan yerel balıkçılar olduğunu düşünelim. Rıhtımda tekne kazası olma senaryosunu; tabloda çok yüksek olasılık ile orta süreli iş göremezlik sütunlarını kesişimi olan kırmızı kutuya yazdığımızda mevcut durumu tanımlamış oluruz.
“Özel güvenlik alanında risk analizi sonunda ortaya çıkan ihtiyaçların karşılanması çalışanlara verilen en etkili mesajdır.”
Bu bölümde senaryoya dayalı analizler yardımıyla alınacak önlemler tartışılır.
Örneğin tesisteki tel çit tipinin bahçe teli türü olmasının saldırıları engellemeyeceği düşünüyorsa; bunun plaka tel ile değiştirilmesi veya düzlemsel jiletli tel takviyesiyle engelleme ihtimali olduğu hesaplanıyorsa bu bölümde belirtilir. CCTV sisteminin olmadığı bir tesise bu sistemin konulması halinde tehdidi ne kadar düşüreceği hesaplanır ve adet ile lokasyon bazında değişim belirtilir. Liman örneğimize geri dönecek olursak; rıhtım bölgesinin güvenliğini sağlanması amacıyla balıkçılık saatlerinde tekne ile dolaşan güvenlik devriyesi oluşturulması, projektör ile ilave aydınlatmaları yapılması, siren ve anons sistemi konulması, sahil güvenlik ile koordinasyonun artırılması ile bu riskin sıfır olmasa da bir basamak düşürülmesi sağlanacaktır. Bu durumda ilk riskin hemen altındaki sarı kutucuk riskin düşeceği yeni bölümü gösterecektir. Risk matris tablosu üzerinde ilk tespit edilen risk ile senaryoya dayalı olarak alınan ek tedbirler sonucu riskin hangi seviyeye çekildiği gösterilir.
Seçilmiş olan senaryoların tamamı bu listede incelenir. Risk analizi sonunda çıkan sonuçlar bir rapor halinde yönetime sunularak, mevcut riskin ne olduğu ve bunu hangi tedbirlerle nasıl yönetileceği anlatılır. Sonuç olarak risk analizi ve bununla birlikte risk değerlendirme işlemi güvenlik yönetiminin önemli bir aracıdır. Bununla güvenliğe yönelik tehdidin yönetilmesi sağlanır. Unutulmamalıdır ki, tehdit zaman içinde değişebilir. Aynı şekilde güvenlik teknolojisi, uygulamalar, prosedürler de bu değişimi yaşarlar.
Dolayısıyla değişen bu tehdit ortamına göre yeni bir risk analizi yapılması veya belli periyodlarda (örneğin yılda bir) bu risk analizlerinin yenilenmesi gereklidir.
Son söz olarak; iyi bir risk yönetimi yerine iyi bir kriz yönetimine mi sahip olmak istersiniz? Karar sizin?
Submit a Review