Risk yönetimi bugünün iş dünyasında işletmeleri en fazla ilgilendiren ve en fazla endişe duymalarına neden olan bir faktördür. Genel olarak risk, stratejik kararların itici gücü olabilir, veya işletmelerdeki belirsizliğin bir nedeni olabilir, ya da basitçe işletmenin faaliyetlerinin bir sonucu olabilir.
Ancak işletme genelinde risk yönetimi yaklaşımı, işletmenin her türlü riskin, süreçler, faaliyetler, ürünler ve hizmetler üzerindeki potansiyel etkilerini göz önünde bulundurmasını gerektirmektedir.
Son yaşanan küresel finansal krizler, yeterli risk yönetiminin önemini bir kere daha göstermiştir. Bu noktada Uluslararası Standartlar Örgütü (ISO) tarafından tasarlanan ISO 31000 Kurumsal Risk Yönetimi Sistemi standardı başta olmak üzere yeni risk yönetimi standartları yayınlanmıştır. ISO 31000 standardı, kurumsal risk yönetimi uygulanmasına yönelik yapısal bir yaklaşım getirmektedir.
Etkili bir risk yönetimi uygulaması, bir dizi prensip tarafından desteklenen bir süreçtir. Başarılı bir risk yönetimi girişimi, işletmedeki risk düzeyi ile orantılı olmalıdır. Yani işletmenin büyüklüğü, niteliği ve karmaşıklığı burada önemli faktörlerdir. Aynı zamanda diğer kurumsal faaliyetlerle uyumlu olmalı ve dinamik olarak değişen koşullara duyarlı olmalıdır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi standardı 2009 yılında yayınlanmıştır ve risk yönetimi ilkelerinin uygulanması bakımından uluslararası kabul görmüş bir standarttır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi, işletmelerin riskleri etkin bir şekilde tanımlamaları ve etkilerini düşürmeleri için bir risk yönetimi stratejisi geliştirmelerine yardımcı olmaktadır. Bu şekilde işletmelerin, hedeflerine ulaşmaları ve varlıklarını korunmaları mümkün olmaktadır.
ISO 31000 sisteminin genel hedefi, çalışanların ve paydaşların riskleri takip etme ve yönetmenin öneminin farkında olduğu, bir risk yönetimi kültürü geliştirmektir. Bu standardın uygulanması, işletmelerin bir yandan çeşitli riskler ile ilgili olumlu fırsatları ve olumsuz sonuçları görmelerine yardımcı olurken, bir yandan da kaynakların tahsis edilmesinde daha bilinçli olmak ve yönetimde daha etkili karar almalarına olanak sağlamaktadır. Dahası, işletmelerin etkin yönetiminde ve performansının iyileştiilmesinde bu standart, aktif bir bileşen olmaktadır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi sayesinde işletmeler, olası tehlikeleri önceden tespit etmekte, bu tehlikelerin gerçekleşmesi durumunda işletmeye vereceği zararları önceden hesaplamakta, riskleri yaşamamak için gerekli önlemleri önceden almakta, önlenmesi mümkün olayan riskler için kabul edilebilir değerler öngörmekte ve risk gerçekleştiği zaman neler yapılması gerektiğini önceden planlamaktadır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi standardının birçok ilkesi, daha önce bu konuda yayınlanan standartlar ile benzerlikler göstermektedir. Bununla birlikte, ISO 31000 standardı, yeni bir risk tanımı getirmekte ve 11 risk prensibi sunmaktadır. Bu risk prensipleri şunlardır:
Risk yönetimi değer yaratır
Risk yönetimi, işletmenin süreçlerinin ayrılmaz bir parçasıdır
Risk yönetimi, karar vermenin bir parçasıdır
Risk yönetimi, güvensizliği açıkça ele almaktadır
Risk yönetimi, sistematik, yapılandırılmış ve programlanmıştır
Risk yönetimi, mevcut en iyi bilgilere dayanmaktadır
Risk yönetimi, uyarlanmıştır
Risk yönetimi, insani ve kültürel faktörleri dikkate alır
Risk yönetimi, şeffaf ve kapsayıcıdır
Risk yönetimi, dinamik, tekrarlamalı ve değişime karşı duyarlıdır
Risk yönetimi, sürekli iyileştirmeyi kolaylaştırır
ISO 31000 standardının amacı, risk yönetiminin uygulandığı işletmede bir risk yönetimi çerçevesi oluşturmak için genel kurallar sağlamaktır. Bu standart, boyutlarına ve sektörlerine bakılmaksızın bütün işletmeler için geçerlidir.
ISO 31000 Kurumsal Risk Yönetimi Sistemi, risk yönetimi ile ilgili şu üç temel düzenlemeyi esas almaktadır:
ISO 31000:2009 Risk yönetimi - Uygulamaya ilişkin ilkeler ve kurallar
ISO Guide 73:2009 Risk yönetimi - Sözlük
ISO/IEC 31010:2009 Risk yönetimi - Risk değerlendirme teknikleri
Bu standartlar ülkemizde Türk Standartları Enstitüsü (TSE) tarafından şu başlıklarla yayınlanmıştır:
TS ISO 31000 Risk yönetimi - Kurallar
TSE ISO Guide 73 Risk yönetimi - Terimler ve tarifler
TS EN 31010 Risk yönetimi - Risk değerlendirme teknikleri
ISO 31000 standardı, en son 2018 yılında revize edilmiştir. Bu nedenle bugün yürürlükte olan sürümü ISO 31000:2018 sürümüdür. Bu sürüm, bir önceki sürüme göre daha stratejik bir rehberlik sağlamaktadır. Hem üst yönetimin katılımı hem de risk yönetiminin işletmeye entegre edilmesi daha fazla ön plana çıkarılmıştır. Bu son sürümde, risk yönetimine olan bağlılık, işletme içinde uygun seviyelerde yetki, sorumluluk ve hesap verebilirlik ve gerekli kaynakların risk yönetimi için ayrılması gibi esaslar yer almaktadır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi standardına göre risk yönetimi faaliyetleri, işletme yapısının, süreçlerinin, hedeflerinin, stratejisinin ve faaliyetlerinin bir parçasıdır. Risk yönetimi değer yaratmaya daha fazla odaklanmaktadır. Temel amaç, işletme içinde ortak bir dil oluşturmak ve faaliyetleri daha net ve kolay hale getirmektir.
Riskler bir işletmeyi kısa, orta ve uzun vadede etkileyebilir. Bu riskler genelde işletmenin faaliyetleri, stratejileri ve iş yapma yaklaşımları ile ilgilidir. Strateji, işletmelerin uzun vadeli amaçlarını ortaya koyar. İş yapma yaklaşımları, işletmelerin değişime nasıl ulaşmak istediklerini tanımlar. Faaliyetler ise işletmelerin süregiden rutin faaliyetleridir.
Risk ve risk yönetiminin birçok tanımı vardır. ISO Rehber 73’e göre risk, belirsizliğin hedefler üzerindeki etkisidir. Bu etki olumlu, olumsuz veya beklenenden sapma şeklinde olabilir. Risk, bir olay, koşullardaki bir değişim veya beklenmedik sonuçlar şeklinde ortaya çıkar. Bu tanımlamalara göre riskler ve hedefler birbirleri ile ilişkilidir. Risk değerlendirmesi, risklerin tanımlanmasını içerir.
ISO 31000 Kurumsal Risk Yönetimi Sistemi standardına, risk yönetimi sürecini başarılı bir şekilde uygulamak, desteklemek ve sürdürmek isteyen işletmeler için bir yapı oluşturmaktadır.
Risk yönetimi süreci şu faaliyetlerin koordineli yürütülmesini gerektirmektedir:
Risklerin tanınması veya tanımlanması
Risklerin sıralanması veya değerlendirilmesi
Önemli risklere cevap vermesi (katlanmak, tedavi etmek, aktarmak veya bitirmek)
Kaynakların kontrol edilmesi
Reaksiyonların planlanması
Risk performansının izlenmesi ve raporlanması
Risk yönetiminin gözden geçirilmesi
ISO 31000 standardı, bir risk yönetimi uygulama çerçevesinin bileşenlerini açıklamakta ve risk yönetimi sürecinin uygulanmasında atılması gereken temel adımları içermektedir. ISO 31000 çerçevesinin ilk bileşeni, yönetim tarafından yetki verilmesi ve taahhüt edilmesidir. Bunu bir çerçeve oluşturma, risk yönetimi uygulama, izleme, gözden geçirme ve geliştirme takip etmektedir.
Öncelikle kuruluşun, standardın zorunlu gerekliliklerini karşılayıp karşılamadığı ve bir sonraki aşamaya geçilip geçilmeyeceği belirlenir.
Gerekli prosedür ve denetimlerin geliştirilip geliştirilmediği kontrol edilir ve kurumunuzun değerlendirmeye hazırlığı gözden geçirilir.
İlk iki aşamada ortaya çıkan bulgular değerlendirilir ve yapılan her türlü düzeltici işlem gözden geçirildikten sonra belge hazırlama işlemine geçilir.
Randevu almak, daha detaylı bilgi edinmek yada değerlendirme talep etmek için formumuzu doldurarak size ulaşmamızı isteyebilirsiniz.