Hangi büyüklükte olursa olsun ve hangi tür sektörde faaliyet gösterirse göstersin, şirketler hedeflerine ulaşıp ulaşamayacağına dair belirsizlik oluşturan iç ve dış faktörler ve etkilerle karşı karşıya gelir. Bir kuruluşun hedefleri üzerindeki bu belirsizlik Kurumsal Risk olarak adlandırılır. Her kuruluşun bütün faaliyetleri, bu faaliyetlerin yolunda gidip gitmeyeceğine dair kurumsal risk içerir. Kuruluşların, riskleri tanımlayıp analiz ederek ve sonra da risk kriterleri çerçevesinde, risk işlemesi yoluyla bu riskleri azaltmaya gerek olup olmadığını değerlendirmesine Kurumsal Risk Yönetimi denir.
Kurumsal risk kapsamında yapılan çalışmalardan biri de; Uluslararası Standardizasyon Organizasyonu, ISO (International Organization for Standardization) tarafından oluşturulan ISO 31000 Risk Yönetim Sistemi’dir. ISO 31000 Standardı; firmaların, kurum ve kuruluşların, kurumsal risklerini nasıl değerlendireceği ve bu risklerin nasıl yönetileceği ile ilgili bir uluslararası standarttır. Bu standardı; “ISO 31000 Kurumsal Risk Yönetim Sistemi” olarak da duyabilirsiniz.
ISO 31000 Standardı‘nın son hali 2018 yılında yayınlanmış olup, hali hazırda iki basımı bulunmaktadır. Güncel ve geçerli basımı ikinci basımdır. Son hali 2018 yılında basılan hali olduğundan bu standardı daha çok ISO 31000:2018 Standardı olarak duyabilirsiniz. Ayrıca ISO’nun kendi sitesine bu adresten erişebilir ve ISO 31000:2018 Standardı ile ilgili detaylı bilgiye ulaşabilirsiniz.
ISO 31000 Risk Yönetim Sistemi karar verme yaklaşımlıdır ve açık bir şekilde belirsizliği irdeler. Örgütsel süreçlerin bütünleyici bir parçası olduğu söylenebilir. ISO 31000 Standardı; niteliği ne olursa olsun, pozitif veya negatif sonucu olsun veya olmasın her tür riske uygulanabilir. Bu standart her ne kadar genel esaslar sağlasa da, kuruluşlar çapında risk yönetimi birliğini teşvik etmeyi amaçlamaz.
Risk yönetimi planlarının ve çerçevelerinin tasarımı ve uygulanması sürecinde, belirli bir kuruluşun değişen ihtiyaçları, özel hedefleri, bağlamı, yapısı, işlemleri, süreçleri, projeleri, ürünleri, servisleri veya aktifleri ve benimsenen belli yöntemleri hesaba katılmalıdır. ISO 31000 Risk Yönetim Sistemi’nin mevcut ve gelecekteki standartlardaki risk yönetimi süreçlerini düzene sokmak için kullanılması hedeflenmektedir.
Kuruluş Bünyesinde ISO 31000 Risk Yönetim Sistemi Oluşturmanın Faydaları
ISO 31000 Standardı uyum içerisinde uygulandığında ve sürdürüldüğünde, bir kuruluşun aşağıdakileri gerçekleştirmesine önemli katkı sağlar;
• Hedefleri gerçekleştirme ihtimalini arttırmak,
• Öngörerek hareket eden (proaktif, aktif) yönetimi teşvik etmek,
• Kuruluş genelinde riski tanımlama ve işleme gerekliliğinden haberdar olmak,
• Fırsatların ve tehditlerin belirlenmesini iyileştirmek,
• İlgili yasal ve düzenleyici şartlara ve uluslararası normlara riayet etmek,
• Zorunlu ve gönüllü raporlamayı iyileştirmek,
• Yönetimi iyileştirmek,
• Hissedarların güven ve itimadını sağlamak,
• Karar verme ve planlama için güvenilir bir temel oluşturmak,
• Kontrolleri iyileştirmek ve risk işleme için kaynakları etkili bir biçimde ayırmak,
• İşletme etkinliğini ve verimliliğini iyileştirmek,
• Sağlık ve güvenlik performansını ve buna ek olarak çevre korumasını artırmak,
• Hasar önlemesini ve olay yönetimini iyileştirmek,
• Hasarları en aza indirmek ve örgütsel öğrenmeyi geliştirmek,
• Örgütsel esnekliği geliştirmek.
ISO 31000 Risk Yönetim Sistemi çok sayıda hissedarın ihtiyaçlarını karşılamaya yöneliktir. Örnek olarak;
• Kuruluşları içerisinde risk yönetimi politikası geliştirmekten sorumlu olanlar,
• Kuruluşun tamamında veya belirli bir alanında riskin etkili bir şekilde yönetilmesini sağlamakla yükümlü olanlar,
• Kuruluşun risk yönetimindeki etkisini değerlendirmek mecburiyetinde olanlar,
• Riskin nasıl yönetildiğini bu belgeler kapsamında kısmen veya tamamen açıklayan standartlar, esaslar, prosedürler vb. geliştirenler.
ISO 31000 Risk Yönetim Sistemi Hangi Kuruluşları İlgilendirir?
ISO 31000 Risk Yönetim Sistemi Standardı, risk yönetimi ile ilgili ilkeleri ve genel esasları düzenler. Herhangi bir kamusal, özel veya toplumsal girişim, birlik, grup veya birey tarafından kullanılabilir. Bu nedenle ISO 31000 Risk Yönetim Sistemi Standardı herhangi bir endüstriye veya sektöre özgü değildir. Kolaylık olması için, ISO 31000 Standardı’nda farklı kullanıcıların hepsi için “kuruluş” terimi kullanılmıştır. Bu standart, bir kuruluşun ömrü boyunca çok çeşitli faaliyetlerine uygulanabilir, Bu faaliyetler; stratejiler, kararlar, işlemler, süreçler, fonksiyonlar, projeler, ürünler, servisler ve aktifleri içerir.
Birçok kuruluşun var olan işletme uygulamaları ve süreçleri, risk yönetimi öğeleri içerebilir ve farklı çeşit risk durumları için bir risk yönetim süreci benimsenebilir. ISO 31000 Risk Yönetim Sistemi “risk yönetimi” ve “riski yönetme” ifadelerinin ikisini de kullanmaktadır. Genel anlamda risk yönetimi; riskleri etkili bir şekilde yönetmek için kullanılan yapıları belirtir. Riski yönetme ise bu yapıları belirli risklere uygulama anlamına gelir.