Risk yönetimi çalışmaları, firmaların faaliyetleri sırasında ortaya çıkacak risklerin önceden ayrıntılı ve dikkatli bir şekilde tanımlanması, değerlendirilmesi ve bu riskleri en düşük seviyeye çekmek için veya tamamen ortadan kaldırmak için gerekli önlemlerin alınması yönünde yapılan çalışmalardır.
Firmaların, finansal alanda faaliyet gösteriyor olsalar da olmasalar da, hedeflerine ulaşmak için yolunu kesecek tehlikelerin ve belirsizliklerin farkında olması, bunları tanımlaması, analiz etmesi ve olası etkilerini değerlendirmiş olması gerekmektedir. Risk yönetimi çalışmaları bu amaçla yapılmaktadır. Çeşitli tehlikelere ve belirsizliklere karşı firmaların önceden önlem almaları ve riski berataf edecek planlar hazırlamaları risk yönetimi kapsamında yapılan çalışmalardır. Firmaların hedeflerine ulaşma yolundaki bütün riskleri yönetebilmesi gerekir, aksi halde bunlar umulmadık emek, zaman ve maddi kayıplara yol açabilir.
Faaliyet alanlarına bağlı olarak firmaların karşı karşıya kalabilecekleri sınırsız sayıda risk çeşidi bulunmaktadır. Doğuracağı etkiler firmadan firmaya değişen bu riskler, kredi riski, piyasa riski, itibar riski, yasal risk, çevre riski, iş kazası riski, meslek hastalığı riski, operasyonel risk ve daha birçok risk çeşidi olabilir. Belki bazı riskleri bütünüyle ortadan kaldırmak mümkün olmasa da en azından bu risklerin etkilerini en aza indirmek mümkün olabilir. Bunu sağlamak ise ancak risk yönetimi yaparak mümkün olabilir.
Risk yönetimi sırasında yapılacak çalışmaların maliyeti, risk meydana geldiğinde bunun etkilerini ortadan kaldırmak için yapılacak harcamaların maliyetinden çok daha düşük olacaktır.
Risk Yönetimi Çalışmaları Doğru Bir Planlama Gerektirir
Risk yönetimi çalışmaları, tehlikelerin belirlenmesi, kontrol altına alınması, ortadan kaldırılması ya da etkilerinin en aza indirilmesi yönünde çalışmaları kapsayan bir süreçtir. Bu süreç, risk analizi yapmak, fayda maliyet analizi yapmak, karar vermek, uygulamaya koymak, test etmek ve güvenlik değerlendirmesi gerçekleştirmek gibi belli adımlardan oluşmaktadır. Bu adımlar bir plan kapsamında yapılmalıdır. Riskler farklı faktörlere bağlı bir değişkendir ve bu değişkenlerin etkisi altında bulunmaktadır. Tanımlanmış risklerin ayrı ayrı ele alınması, gerçekleşme ihtimallerinin belirlenmesi ve etki derecelerinin tespit edilmesi gerekir. Risk boyutlarının hesaplanması ve alınacak önlemlerin belirlenmiş olması gerekir. Riskler tespit edilirken firmanın sahip olduğu bütün varlıkların ele alınması gerekir. Her bir varlığın karşı karşıya kalabileceği tehditler belirlenmiş olmalıdır. Mevcut durumda alınmış olan önlemler varsa bunların uygulanabilir ve yeterli olup olmadığının belirlenmesi gerekir.
Elde edilen bütün bulgular ışığında varlıkların hangi tehditlere ve risklere açık olduğu, ne boyutta risk altında olduğu, hangi önlemlerin alınmasına ihtiyaç duyulduğu ve bu önlemlerle ne kadar koruma sağlanabileceği değerlendirilir.
ISO 31000 Risk Yönetim Sistemi Standardı Ne Sağlamaktadır?
Zaman zaman bir yandan küresel alanda bir yandan ulusal çok sık ekonomik veya siyasal krizler yaşanmaktadır. Bu yüzden firmalar varlıklarını güvence altına almak ve devam ettirebilmek için risklerini kontrol altında tutmak ve sistematik bir şekilde yönetmek zorundadırlar. Bir yandan da firmalar rakipleri ile mücadelede geri kalmamak zorundadırlar. Firmaların bugün en büyük problemi sürdürülebilir rekabet güçlerini korumak zorunda olmalarıdır. Yaşanan belirsizlikler, firmaların hedeflerine ulaşmasında risk yaratmakta ve firmalar bu risklerle baş etmeye uğraşmaktadırlar. Başarılı bir risk yönetimi uygulamaları halinde belirsizliklerin fırsata dönüştürülmesi ihtimali her zaman vardır.
Uluslararası Standartlar Organizasyonu 2009 yılında bu ihtiyaçlardan yola çıkarak ISO 31000 Risk Yönetimi standardını çıkarmıştır. Bu standart, firmaların risklerini yönetebilmeleri için gerekli kriterleri ve uygulama esaslarını belirlemektedir.
İşletmelerinde ISO 31000 standardını uygulayan firmalar, olası risklerin önüne geçmek veya önüne geçilemeyen risklerin etkilerini düşürmek amacı ile verilere dayalı bilgi sağlamakta, bu bilgileri analiz etmekte, değerlendirmekte ve önlem almaya çalışmaktadır. Bu standart sayesinde riskler ve firma üzerindeki muhtemel etkileri tespit edilmekte, risk doğuran veya risk doğurma ihtimali olan unsurlar ortaya konmakta ve karar verme durumundaki yöneticilere bilgi akışı sağlanmaktadır.
Kısaca ISO 31000 Risk Yönetim Sistemi’nın kurulması ve uygulanması ile firmaların hedeflerine ulaşabilmesi için kabul edilebilir bir güvence sağlanmış olmakta, faaliyet riskleri sistematik olarak değerlendirilmekte ve bu sayede olası zararların yaratacağı etkiler en düşük seviyeye indirilmiş olmaktadır. Burada en önemli nokta, risklerin bazen yeni fırsatlar yaratabileceğini görmek ve bu yönde hareket edebilmektir.
ISO 31000 Risk Yönetim Sistemi Belgesi Firmalara Ne Kazandırır?
ISO 31000 standardı, firmanın kamu veya özel sektörde olduğuna veya ne kadar büyük olduğuna bakılmaksızın her firmada uygulanabilir. Ne tür faaliyet gösteriyor olursa olsun bütün firmalar faaliyetleri sırasında bir takım risklerle karşı karşıyadır. Bu risklerin kontrol altına alınması ve olası zararlarından korunmaya çalışılması çok doğaldır. ISO 31000 standardı bu çalışmayı daha belli kurallar içinde ve sistematik olarak yapmaya imkan vermektedir. Bu yüzden firma yöneticileri risk yönetimi yapmanın gereğine ve önemine inanıyorsa, riskleri değerlendirmenin ve olası etkilerinin tespit edilmesinin yararlı olacağına inanıyorlarsa, o firmada ISO 31000 Kurumsal Risk Yönetim Sistemi kurabilir ve bir belgelendirme kuruluşuna müracaat edilerek ISO 31000 Belgesi talep edilebilir.
ISO 31000 standardı uygulamanın firmalara sağlayacağı birçok kazanç bulunmaktadır. İşte bunlardan birkaçı:
• Çalışanlar arasında riskler ve etkileri konusunda farkındalık yaratılır
• Her seviyeden çalışanlar içinde sorumluluk duygusu yaratılır
• Olası riskler, önleyici bir yaklaşım ile yönetilir
• İş süreçleri daha etkin bir şekilde yönetilir
• Firma kaynakları daha etkin kullanılır
• Firmanın itibarı ve marka değeri yükselir
• Firma aynı kulvardaki rakiplerine üstünlük sağlar
Yeni yönetim anlayışı, işleri ilk seferinde doğru yapmak ve muhtemel hatalar ortaya çıkmadan önce önlem almak esaslarına dayalıdır. Risk yönetimi yaklaşımı bu ikinci ilkenin yerine getirilmesi ile çok ilgilidir. Hızlı ve etkili karar alabilmek, sürpriz yaşamamak, olası kayıpları en az seviyeye indirmek, üretimde emek, zaman ve maddi kayıplar yaşamamak, kaynak israfının önüne geçmek ve riskleri makul seviyelerde tutabilmek için ISO 31000 standardının uygulanmasında yarar bulunmaktadır. Ancak bu faydaların elde edilebilmesi için de sistemi üst yönetimin sahiplenmesi ve yapılacak çalışmalara fiilen katılması gerekmektedir.
ISO 31000 Risk Yönetim Sistemi’nin Kapsamı Nedir?
ISO 31000 Risk Yönetim Sistemi standardının genel yaklaşım, risklerin yönetilmesinde ana esasları ve ilkeleri belirlemektir. Firmalar ISO 31000 standardını uygularken, firmanın hedeflerini, ihtiyaçlarını ve prensiplerini hep birlikte ele almak zorundadır.
ISO 31000 Risk Yönetim Sistemi’nin genel çerçevesi dördüncü maddede açıklanmıştır. Bu maddede, genel kurallar, emir ve bağlılık, risk yönetimi tasarımı, risk yönetim politikası, sorumluluk, mevcut iş süreçleri ile bütünleşme, kaynaklar, haberleşme ve raporlama mekanizmaları, risk yönetimi sürecinin yürürlüğe konulması, sistemin izlenmesi, gözden geçirilmesi ve sürekli iyileştirilmesi ilgili açıklamalar yer almaktadır.
ISO 31000 standardının beşinci maddesi ise süreçler başlığını taşımaktadır. Bu maddede, risk yönetim süreci, risk kriterleri, risklerin tanımlanması, analiz edilmesi ve değerlendirilmesi, risk işleme seçenekleri ve riskin yönetilmesine yönelik açıklamalar yer almaktadır.
Bunun yanında bir de gelişmiş risk yönetiminin özelliklerini açıklayan bir ek yer almaktadır.
Kuruluşumuz TÜRCERT Teknik Kontrol ve Belgelendirme A.Ş., ISO 31000 Risk Yönetim Sistemi ve ISO 31000 Belgesi ile ilgili tereddüt duyulan her konuda yardımcı olmaya hazırdır.