RİSK ANALİZİ 1 Risk nedir İyi bir

RİSK ANALİZİ 1

Risk nedir? İyi bir yaşam, eldeki olanakların en iyi biçimde değerlendirilmesiyle sağlanır. Farklı alternatifler dikkate alınarak, geleceğe yön verilir. Gerçekleştirilmeye çalışılan plan, sonucu belli olmadığından kazanma ve kaybetme riskini de beraberinde getirir. 2

l l l 3 Risk; Kişinin sakınmak istediği zararın elemanıdır. Belirsizliği, şüpheyi, kayıp olasılığını ve zarar ihtimalini ifade eder. Sistemin belli bir zayıflığından faydalanarak sisteme zarar verme ihtimalidir.

Risk ve Belirsizlik Risk Tüm mümkün sonuçlar ve onların ortaya çıkma olasılığı bilinemez. Tüm mümkün sonuçlar ve onların ortaya çıkma olasılığı bilinebilir. Sonuçlar konusunda uzmanlar birlikte olasılık dağılımları çıkartabilirler. İstatistiksel olan olaylar 4 Belirsizlik Uzmanlar bu konuda anlaşmaya varamazlar. İstatistiksel olmayan olaylar

1. Risk çeşitleri 1. 1. Riskin belirlenmesi 5

1. 2. Riskin kaynakları 6

1. 3. Riskin genel olarak sınıflandırılması 7

2. Risk Analizi nedir? l 8 Stratejik kararlarda ele alınan değişkenle ilgili olan riskin kapsamlı olarak anlaşılmasını sağlayan yöntemlerin bütünüdür. Başka bir ifade ile, ilgi duyulan değişkene ilişkin kestirim, olasılık dağılımı biçiminde ortaya konur.

Olasılık dağılımını elde etmek için; 1. 9 Analitik yöntem; Belirlenen yapısal modele göre bireysel kestirimler ( satış ve maliyetlerin olasılık dağılımları ) matematiksel olarak birleştirilerek net şimdiki değer gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir

Olasılık dağılımını elde etmek için; 2. 10 Monte-Carlo simülasyonu; Yapısal bir modele dayanarak bir dizi denklem oluşturup, NŞD gibi son değişkenin olasılık dağılımına ilişkin parametreler elde edilir. Burada dağılımların matematiksel birleştirilmesi söz konusu değildir.

3. Risk Analiz Yöntemleri l Risk ve Belirsizlik ortamında karar verme A. B. C. D. l Modern Fayda yaklaşımı A. B. 11 En büyük beklenen değer ölçütü Etkin stratejiler-kayıtsızlık eğrileri ölçütü En büyük olasılık ölçütü Hırs düzeyi ölçütü C. Riskten kaçan karar verici Riske giren karar verici Riske karşı kayıtsız karar verici

4. Ağ teknolojisinde risk ve risk analizi Güvenlik; Teknoloji konsepti İş konsepti Risk Analizi 12 Bilgi teknolojileri güvenliği ürünlerinin seçilmesi ve geliştirilmesinde ana karar verme mekanizmasıdır.

Tanımlar: A. B. C. 13 Kıymet (Asset): Korunması gereken herşey. -Veri -Kaynak -Zaman -Saygınlık Açıklık (Vulnerability): Bir kıymeti tehditlere karşı korumasız hale getiren unsurlar. Tehdit (Threat): Bir kıymetteki açıklıkları kullanarak, kıymete kısmen ya da tamamen zarar veren etkenler.

Tanımlar: D. E. F. 14 Karşı önlem (Safeguard): Bir kıymette bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlerdir. Risk: Belirli bir tehdidin, sistemin belli bir zayıflığından faydalanarak sisteme zarar verme ihtimalidir. Risk Analizi (Risk Analysis): Sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir.

Tanımlar: G. 15 Risk Yönetimi: R. A. Sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir.

5. Bazı Risk Analiz Araçları l 16 Bir çok kurum, risk analizi ve yönetimi sürecinde, maliyetleri azaltmak ve süreci kolaylaştırmak için otomatikleşmiş ticari yazılımlar kullanmaktadır. CRAMM: İngiliz hükümetinin tercih ettiği resmi risk analizi ve yönetimidir. United Kingdom Central Computer and Telecomunication Agency’s tarafından geliştirilmiştir. Nitel yöntemlere (qualitative) dayanır.

5. Bazı Risk Analiz Araçları B. C. 17 Karşı önlem seçme bölümü tamamen yazılım tarafından yapılmaktadır. Büyük bir açıklık ve karşı önlem kütüphanesi mevcuttur. RISK: Palidase şti tarafından geliştirilmiştir. Nicel bir risk analizi aracıdır. Monte carlo simülasyonu metodunu kullanmaktadır. ALRAM (Automated Livermore Risk Analysis Methodology): Lawrence Livermore ulusal laboratuvarı tarafından, Amerikan hükümeti için geliştirilmiştir. Nicel yöntemleri kullanır.

5. Bazı Risk Analiz Araçları D. E. F. 18 ARES (Automated Risk Evaluation System): Air Force kriptoloji destek merkezi tarafından geliştirilmiştir. Nicel bir risk analiz aracıdır. BDSS (Bayesian Decision Support System): OPA şti. tarafından geliştirilmiştir. Hem nicel, hem nitel yöntemleri kullanan bir araçtır. BUDDY SYSTEM: Countermeasures şti. tarafından geliştirilmiştir. Nicel yöntemleri kullanır.

5. Bazı Risk Analiz Araçları G. 19 COBRA: İngiliz danışmanlık şirketi tarafından ortaya konan bir risk analizi, danışmanlık ve güvenlik inceleme yazılımıdır. Nitel yöntemleri kullanan anket bazlı bir yazılımdır. Cobra risk analizi aracı modüler ve esnek bir yapıya sahiptir. COBRA 5 modülden oluşur. Bu modüllerin her biri kendi konusunda sorulardan oluşan bir ankettir.

-ISO 17799 COMPLIANCE KNOWLEDGE BASE -E-SRUCTURE KNOWKEDGE BASE -HIGH LEVEL RISK ANALYSİS -IT SECURITY ASSESSMENT KNOWLEDGE BASE -OPERATIONAL RISK KNOWLEDGE BASE l 20 Sorulara verilen cevapları toplar ve cevaplara göre bir risk analizi raporu hazırlar.

Stratejik planlama ve R. A. Stratejik planlama; 1. Amaçlar 2. Firmanın iç ve dış çevresi konusunda bilgi toplama 3. Kaynak dağıtımı konusunda kararlar a. b. c. 21 En iyileme (optimizasyon) Sistem analizi Duyarlılık analizi

Stratejik planlama ve R. A. duyarlılık analizinin doğal ve mantıksal bir uzantısıdır. Bu nedenle R. A. , stratejik planlamanın çok önemli bir aracı olmaktadır. 22

Risk Analizi ve Simülasyon R. A. ’ nde simülasyon süreci; 1. Modelin geliştirilmesi 2. Bağımsız değişkenlerin bilgisayara girilmesi 3. Bağımlı değişkenlerin bilgisayara girilmesi 4. Denklemlerin bilgisayara girilmesi 5. Sonuçların alınması ve yorumu 23

1. aşama: Modelin geliştirilmesi 24

2. Aşama: Bağımlı- bağımsız değişkenlerin bilgisayara girilmesi 1. 2. 3. 25 Değişkenler olasılık dağılımı olarak belirlenir. Değişken için dağılım türünü seçmek; Değişkenlerin alabileceği min-max değerler (dağılım aralığı) Min-max değerler arasında değişkenin alabileceği olası değerler Tüm olası değerlerin göreli olarak gerçekleşme olasılığı

2. Aşama: Bağımlı- bağımsız değişkenlerin bilgisayara girilmesi Dağılımlar; l Histogram ve dikdörtgen dağılımlar l Üçgen dağılımlar l Normal dağılımlar l Kesikli dağılımlar l Zaman boyutu ve nokta tahminleri 26

3. Aşama: Denklemlerin belirlenmesi Doğrusal, kuadratik, kübik, üssel, … olabilir. 27

5. Aşama: Sonuçları alınması ve yorumlanması 1. 2. Çözüm Analizi; Aritmetik Ortalama Duyarlılık Analizi; a. b. 3. Simülasyon Analizi; Aşamaları: a. b. 28 Model sonuçlarına etkisi olan bağımsız değişkenleri belirlemek Değişkenler hakkında ayrıntılı bilgi alma c. Örnekleme (değişken değerlerinin seçimi) Deneme (modelin ayrı çözümü) sonuçlarının alınması Sonuçların olasılık dağılımlarının yorumlanması

ÖRNEK OLAY: Petrol Kuyusunun Açılması Olay: Petrol kuyusunun açılması için bir yatırım önerisinin geliştirilmesi 1. Aşama: Modelin geliştirilmesi: Model: Yatırımın finansal niteliklerini değerlendirecek şekilde olmalıdır. Modelleme sürecini iyi belirlemek için zaman boyunca olası olayların sırasını gösteren bir karar ağacı oluşturulabilir. 29

Petrol kuyusunun açılmasında olay sırası 30

Petrol kuyusunun açılmasında olay sırası l l l 31 Kuyu açma kararı verilirse modeli denetleyen üç önemli değişkenin olduğu görülmektedir; Kuyunun açılması durumunda sonuç ( Başarı veya başarısızlık) Bulunan petrolün büyüklüğü Kuyunun çalıştırılması sonucunda sağlanacak kar ya da zarar

2. l l l 32 Aşama: Girdi değişkenlerin tanımlanması Kuyu açma maliyeti Başarı Yıllık üretim Faaliyet gideri Fiyat

3. l 33 Aşama: Model denklemlerinin oluşturulması Kuyu açma ile ilgili model mantığının akış şeması

34

4. 35 Aşama: Modelin çözülmesi ve sonuçların yorumu SONUÇ: Model, değişkenlerin beklenen değerleri üzerinden çözülür. Simülasyon Analizi kuyu açma yatırımı ile ilgili son kararı verecektir. Sonuçta elde edilen Net Karın Şimdiki Değeri dağılımı ve sonuçlar ışığı altında yatırım kararı vermek, karar vericiye aittir.

Risk Analizinin Avantajları 1. 2. 3. 4. 5. 36 6. Karar vermede sistematik ve mantıksal bir yaklaşım sağlar. Karmaşık karar sorunlarında seçeneklerin ayrıntılı bir analizi olanaklı kılar. Karar vericinin risk ve belirsizlikle gerçekçi bir biçimde karşıya gelmesini sağlar. Örgüt içinde iletişime yardımcı olur. Bir karar sorunu için ne kadar bilgi toplanacağının karar vericiler tarafından belirlenmesini sağlar. Karar vermede yargı ve sezgiyi ön plana çıkartır.

Risk Analizinin Dezavantajları 1. 2. 3. 4. 37 Maliyeti yüksektir. Zaman ve para kaybına yol açar. Uzun zaman alır. Bu nedenle güvenlik önlemlerinin alınması gecikebilir. Yöneticiler R. A. ’ nın sonuçlarını yorumlamada güçlük çekerler. Olasılık hesaplamalarını elde etmede bazen güçlükler olabilir.

Risk Analizinin Dezavantajları 5. 38 R. A. Metodolojisi kurumun yapısına göre değişir. R. A. yapılacak kurumda, öncelikle ne tip bir R. A. metodunun uygulanacağı belirlenmelidir.

ÖNERİLER l l l Eğitim Karar sorununun doğru tasarlanması R. A. çok disiplinli bir yaklaşımdır. R. A. uygulaması yoğun bir biçimde bilgisayar ve istatistik bilgisi gerektirir. Yöneylem Araştırmacılar, Endüstri mühendisleri, Ekonometrisyenler, İstatistikçiler, Matematikçiler 39

DİNLEDİĞİNİZ İÇİN TEŞEKKÜRLER… SUNUCU: Gülçin GÜZHAN 40