ISO (International Organization for Standardization) tarafından 2018 yılında yayınlanan ISO 31000 Risk Yönetimi Kılavuzu, 2009 yılında yayınlanan bir önceki versiyonun yerini alıyor. Bu doküman, risk yönetim stratejileri geliştirmek isteyen tüm kuruluşlar için bir rehber niteliğinde.
TSE, henüz IS0 31000:2018 versiyonu için Türkçe bir çeviri yayınlamadı. 2009 yılındaki versiyon ise, 2011 yılında “ISO 31000 Risk Yönetimi – Prensipler ve Kılavuzlar” adıyla Türkçe olarak yayınlanmıştı.
ISO 31000 2018 Risk Yönetimi Rehberi Ücretsiz
Covid-19 salgını nedeniyle, ISO tarafından, ISO 31000:2018 Risk Yönetimi dokümanı ücretsiz olarak erişime açıldı. Bununla ilgili bilgi için buraya bakınız. Ayrıca, ücretsiz olarak sunulan başka kaynaklar da mevcut.
ISO 31000 Risk Yönetimi Rehberi Ne İçindir?
ISO 31000, kuruluşların riskleri etkin bir şekilde tanımlamaları ve azaltmaları için bir risk yönetimi stratejisi geliştirmelerine yardımcı olur, böylece hedeflerine ulaşma olasılığını artırır ve varlıklarının korumasını sağlar. Genel amacı, çalışanların ve paydaşların riski izlemenin ve yönetmenin öneminin farkında olduğu bir risk yönetimi kültürü geliştirmektir.
ISO 31000’in uygulanması, kuruluşların riskle ilişkili hem olumlu fırsatları hem de olumsuz sonuçları görmelerine yardımcı olur ve kaynakların tahsisinde etkili karar vermelerini sağlar.
ISO 31000, ISO 9001:2015 ve diğer yönetim standartlarında belirtilen risk ve fırsatların yönetimi için bir rehber olabilir.
ISO 31000 Risk Yönetimi Belgelendirmesi Yapılabilir Mi?
Bu doküman, bir standart değil, bir rehberdir. İçerisinde herhangi bir gereklilik içermez. Dolayısı ile bu dokümana göre herhangi bir belgelendirme yapmaktan söz etmek doğru olmaz.
ISO 31000 2018 İçerisinde Yer Alan Bazı Konular
Risk Nedir?
Risk, belirsizlik etkisi olarak tanımlanabilir. Başka bir tanım, riski, beklenen durumdan sapma olarak ifade eder. Bu sapma olumlu veya olumsuz olabilir. Olumlu olduğunda fırsat olarak adlandırılabilir.
Risk Yönetimi Nedir?
Risk yönetimi ise, riskin yönlendirilmesi ve kontrolü için oluşturulan koordineli faaliyetlerdir. Bu rehber, risk yönetiminin adımları ile ilgili detayları barındırmaktadır.
Risk Değerlendirmesi
Risk değerlendirmesi aşağıdaki aşamalardan oluşur:
- Riski tanımlama (Risk identification)
- Risk analizi (Risk analysis)
- Riski değerlendirme (Risk evaluation)
Risk değerlendirmede kullanılabilecek teknikler için, “IEC 31010 Risk Değerlendirme Teknikleri” dokümanını incelemeniz tavsiye edilir.
1 – Riski Tanımlama
Risk tanımlamanın amacı, kuruluşun hedeflerine ulaşmasına yardımcı olabilecek veya engelleyebilecek riskleri bulmak ve anlamaktır. Risklerin belirlenmesinde ilgili, uygun ve güncel bilgiler önemlidir. Kuruluş, bir veya daha fazla hedefi etkileyebilecek belirsizlikleri belirlemek için bir çeşitli kullanabilir.
2 – Risk Analizi
Risk analizinin amacı, riskin doğasını ve risk seviyesi dahil özelliklerini anlamaktır. Risk analizi, riskin sebepleri ve kaynaklarının, onların olumlu ve olumsuz sonuçlarının ve bu sonuçların oluşabilme ihtimalinin dikkate alınmasını gerektirir. Aşağıdaki faktörler dikkate alınabilir:
- Ortaya çıkma olasılığı
- Sonuçların büyüklüğü
- Karmaşıklık ve bağlantı
- Zamanla ilgili faktörler
- Mevcut kontrollerin etkinliği
- Hassasiyet ve güven seviyeleri
3 – Riski Değerlendirme
Risk değerlendirmesinin amacı, kararları desteklemektir. Risk değerlendirmesi, ek eylemlerin nerede gerekli olduğunu belirlemek için risk analizinin sonuçlarının yerleşik risk kriterleri ile karşılaştırılmasını içerir. Bu, şu kararlara yol açabilir:
- Herhangi bir şey yapmamak
- Riski iyileştirme seçeneklerini değerlendirme
- Riski daha iyi anlamak için analiz etmek
- Mevcut kontrolleri sürdürmek
- Hedefleri yeniden değerlendirmek
Risk İyileştirme
Risk iyileştirmenin amacı, riski ele almak seçenekleri belirlemektir. Sürekli yinelenen aşağıdaki süreci içerir:
- Risk iyileştirme seçeneklerini formüle etme, matematiksel hale dönüştürme
- Risk iyileştirmenin planlanması ve uygulanması
- Etkinliğinin değerlendirilmesi
- Kalan riskin kabul edilebilir olup olmadığına karar vermek
- Kabul edilebilir değilse daha fazla iyileştirme
Risk İyileştirme Seçenekleri
Risk iyileştirme seçenekleri, aşağıdakilerden birini veya birkaçını içerebilir:
- Riski ortaya çıkaran faaliyete başlamamak veya devam etmeyerek riskten kaçınmak
- Bir fırsat yakalamak için risk almak veya riski artırmak
- Riskin kaynağını ortadan kaldırmak
- Riskin olasılığını değiştirmek
- Riskin sonuçlarını değiştirmek
- Riskin paylaşılması (örneğin; sigorta, sözleşmeler)
- Bilinen bir kararla riskin devam ettirilmesi
Kaynaklar
- TSE, TS ISO 31000, Risk Yönetimi – Kurallar, 19.03.2018, İngilizce
- ISO 31000:2018 Risk management — Guidelines, https://www.iso.org/standard/65694.html
- ISO 31000:2018, Ücretsiz bağlantı, https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:en