Stock

ISO 31000 Risk Yönetimi
TR
TR

RİSK      

Hedefler üzerinde belirsizliğin etkisidir.

  • Etki beklenenden sapma şeklinde olabilir– pozitif ya da negatif
  • Hedeflerin muhtelif boyutları olabilir (finansal, iş sağlığı ve güvenliği) ve muhtelif seviyelerde uygulanabilir (stratejik, organizasyon bütünü, proje, ürün ya da proses)
  • Risk genel olarak olaylar ve sonuçlar ya da bunların kombinasyonu ile tanımlanır.
  • Bir olayın sonuçlarının etkisi, oluşma olasılığı ile mukayese edilerek risk hesaplamasına ulaşılır.
  • Belirsizlik bir olay, bir sonuç, ya da olasılığın anlaşılması ya da bilinmesi ile ilgili tam ya da kısmi bilgi eksikliği durumudur.

RİSK YÖNETİMİ

Organizasyonun risk ile ilgili unsurları yöneten ve kontrol eden koordineli faaliyetler bütünüdür.

 

Ne zaman gereklidir?

RİSK YÖNETİM PLANI

Risk yönetimine uygulanacak olan ve risk yönetim çerçevesi içerisinde yaklaşımı, yönetim bileşenlerini, kaynakları tanımlayan plandır.

  • Prosedürler, uygulamalar, sorumlulukların dağılımı, sıra ve zamanlama
  • Ürün, proses, projeye ya da organizasyon bütünü ya da bir kısmına uygulanabilir.

RİSK SAHİBİ

Riski yönetme yetki ve sorumluluğuna sahip olan kişi.

 

ŞARTLARIN BELİRLENMESİ

Risk yönetim politikası için risk kriteri ve kapsamın belirlenmesi ve riskin yönetilmesi sırasında hesaba katılacak olan iç ve dış parametrelerin oluşturulmasıdır. 

 

RİSK YÖNETİM İLKELERİ

Etkin bir risk yönetimi için organizasyon her seviyede aşağıda sayılan ilkelere uygun hareket etmelidir.

  • Risk yönetimi değer üretir, değeri korur. Risk yönetimi hedeflere ulaşılmasını görsel hale getirir ve performansın iyileştirilmesine katkı sağlar. Örnek vermek gerekirse, insan sağlığı ve güvenliği, emniyet, yasal uyum sağlanması, toplumsal kabul görme, çevre koruma, ürün kalitesi, proje yönetimi, operasyonlarda, yönetimde ve itibarın korunmasında başarı bu kapsamda ele alınır.
  • Risk yönetimi tüm organizasyonel süreçlerin entegre bir parçasıdır. Risk yönetimi, diğer ana faaliyetlerden ve proseslerden ayrı başlı başına bir faaliyet değildir. Risk yönetimi yönetimin sorumluluklarından birisidir ve organizasyonel süreçlerin, stratejik planlama, proje ve değişim yönetimi süreçlerinin entegre bir parçasıdır.
  • Risk yönetimi karar verme sürecinin bir parçasıdır. Risk yönetimi karar vericilere yardımcı olur. Seçenekler hakkında bilgi verir, aksiyonların öncelik sırasını belirler, kararların alternatif sonuçlarının farkları hakkında fikir verir.
  • Risk yönetimi belirsizliklere odaklanır. Risk yönetimi, belirsizlikleri hesaba katar, belirsizliklerin tabiatını ve nasılişleneceğini araştırır
  • Risk yönetimi, sistematik, yapısal ve zamana bağlıdır. Risk yönetimine sistematik, zamana bağlı ve yapısal bir yaklaşım,tutarlı, mukayese edilebilir, güvenilir sonuçlara ve etkinliğe katkı sağlar.
  • Risk yönetimi, mevcut olan en iyi bilgiye dayanır. Risk yönetimi prosesi girdileri, geçmiş veriler, tecrübe, paydaşların geri beslemesi, gözlemler, tahminler, uzman görüşleri vb. bilgi kaynaklarına dayanır. Bununla birlikte, karar vericiler verilerin üzerindeki sınırlamalar, kullanılan model, ve uzmanlar arasında oluşabilecek farklılıkları hesaba katarak sonuca ulaşmalıdırlar.
  • Risk yönetimi organizasyona özeldir. Risk yönetimi organizasyon iç ve dış çevre şartları ile risk profiline özel ve paraleldir.
  • Risk yönetimi insan ve kültür faktörlerini hesaba katar. Risk yönetimi, organizasyon hedeflerine ulaşmayı sağlayacak ya da önleyecek iç ve dış kişilerin yetenekleri, algılamaları, ve niyetlerini hesaba katar.
  • Risk yönetimi şeffaf ve kapsayıcıdır. Paydaşların ve organizasyonun muhtelif seviyelerinde yer alan karar vericilerin uygun ve zamanında katılımının sağlanması, risk yönetiminin doğru ve güncel olmasına imkân verir. Bu katılım paydaşların uygun bir biçimde temsil edilmesine ve risk kriterleri belirlenirken görüşlerin hesaba katılmasını sağlayacaktır.
  • Risk yönetimi dinamiktir, tekrarlanır ve değişime tepki verir. Risk yönetimi sürekli olarak değişimi hisseder ve tepki verir. İç ve dış olaylar meydana geldikçe, şartlar ve bilgiler değiştikçe, risklerin izlenmesi ve gözden geçirilmesi sağlanır. Bu çalışma sonunda yeni riskler ortaya çıkar, değişir ya da ortadan kalkar.
  • Risk yönetimi organizasyonun sürekli iyileşmesini harekete geçirir. Organizasyonların tüm diğer boyutlarının yanı sıra, risk yönetim olgunluğunu iyileştirmeleri için stratejiler geliştirilmesi ve uygulanmalıdır. 

RİSK KRİTERİNİN BELİRLENMESİ

Organizasyon risklerin ÖNEM derecesini değerlendirmek üzere kriterler belirlemelidir. Bu kriter organizasyon değerleri, hedefleri ve kaynaklarını yansıtmalıdır. Bir takım kriterler yasal şartlar tarafından ortaya konabilir, bunlardan türetilebilir ya da organizasyonun tabi olduğu diğer şartlar tarafından zorunlu kılınabilir. Risk kriterleri organizasyon risk yönetim politikası ile tutarlı olmalıdır ve risk yönetim çalışması başlangıcında tanımlanarak düzenli gözden geçirilmelidir.

Risk kriteri tanımlanırken aşağıdaki faktörler göz önünde bulundurulmalıdır.

  • Oluşabilecek sebep ve sonuçların (şiddet) tabiatı, türleri ve bunların nasıl ölçüleceği
  • Olasılığın nasıl tanımlanacağı
  • Olasılık ve/veya şiddetin zamana bağlı açılımı
  • Risk seviyesinin nasıl belirleneceği
  • Paydaşların görüşleri
  • Riskin kabul edilebilir, ya da tolere edilebilir seviyeye gelme seviyesi
  • Birden fazla riskin kombinasyonunun hesaba katılması ve bunların hangilerinin nasıl değerlendirileceği

RİSK DEĞERLENDİRMESİ

Risk değerlendirmesi risk tanımlama, analiz ve inceleme proseslerinin bütününe verilen addır.

 

Risklerin tanımlanması: Organizasyon risk kaynaklarını, bunların etki alanlarını, olayları (durumlarda meydana gelen değişiklikler dahil) ve sebeplerini, bunların potansiyel sonuçlarını tanımlamalıdır. Bu adımın amacı hedeflere ulaşım konusunu geciktirebilecek, hızlandırabilecek, olumsuz etkileyecek, önleyecek, geliştirecek ya da tamamen sağlayacak olaylara dayalı olarak geniş kapsamlı bir risk listesi elde etmektir. Burada önemli olan bir riskleri bir fırsat amacı gütmeksizin tanımlamaktır. Çok geniş kapsamlı bir tanımlama önemlidir, zira bu aşamada tanımlanmayan bir risk daha ileri analiz aşamasında değerlendirilmemiş olacaktır.

 

Tanımlama aşamasında risklerin kaynakları organizasyonun kontrolünde olsun ya da olmasın, risk kaynağı ya da sebebi belirli olsun ya da olmasın çalışmaya dâhil olmalıdır. Risk tanımlaması bazı sonuçların zincir etkisine kümülatif etkiler dahil dikkat çekmelidir. Bu aşamada risk kaynağı ya da sebebi belirsiz olsa da geniş kapsamlı sonuçlar hesaba katılmalıdır. Bu durumda ne olacağı hesaplanırken olası sebepler ve senaryolar düşünülmeli, ne sonuçların ortaya çıkacağı tahmin edilmelidir. Tüm önemli sebep ve sonuçlar hesaba katılmalıdır.

 

Organizasyon risk tanımlama araç ve teknikleri kullanmalı ve bunlar hedef ve kabiliyetlerine ve karşılaşılan risklere uygun olmalıdır. Risklerin tanımlanması için ilgili ve güncel bilgilerin kullanılması önemlidir. Bu çalışma içerisinde geçmiş bilgilerin toplanması önemli olduğundan yeterli bilgi sahibi kişilerin ekipte bulunması önem taşır. 

 

Risk analizi : Risk analizi çalışması riskler hakkında bir anlayış geliştirmeyi gerekli kılar. Risk analizi risk inceleme sürecine girdi sağlar ve riskin ne tür bir işlem göreceğine dair verilen kararlara esas teşkil eder. Bu şekilde risklerin işlenmesi ve riske müdahale strateji ve yöntemleri arasında seçim yapılabilecektir. Risk analizi seçimlerin yapıldığı durumlarda ve muhtelif tür ve seviyede risklerin kapsandığı hallerde girdi sağlar.

 

Risk analizi risk sebep ve kaynaklarının hesaba katılmasını sağlar, pozitif ve negatif sonuçları ve bu sonuçların oluşma olasılığının hesaplar. Sonuçlar (şiddet) ve olasılığın analizi ayrıca diğer özelliklerin hesaba katılması ile risk analiz edilir. Bazı olayların birden fazla sonucu olabilir be birden fazla hedefi etkileyebilir. Mevcut kontroller ve etkinlik ve verimlilik durumları dikkate alınmalıdır.

 

Şiddet ve olasılığın sunulma biçimi ve bunların risk seviyesini belirlemek anlamında birleştirme yöntemi, riskin türünü, elde mevcut bilgiyi ve risk değerlendirme çıktısının kullanım amacını belirler. Tüm bunlar risk kriteri ile tutarlı olmalıdır. Muhtelif risklerin ve kaynakların birbirleriyle bağımlılığı da bu noktada hesaba katılmalıdır.

 

Risk seviyesinin belirlenmesine olan güven ve bunun ön koşullara ve varsayımlara olan hassasiyeti analiz sırasında hesaba katılmalı ve karar vericilere ve paydaşlara etkin bir biçimde iletilmelidir. Uzmanlar arası görüş farklılıkları, belirsizlikler, emre amadelik, kalite ve nitelik, nicelik, ve bilginin süregelen tutarlılığı ve modelleme de sınırlamalar belirtilmeli ve altı çizilmelidir.

 

Risk analizi muhtelif detay seviyelerinde, riske, analizin amacına var olan bilgi kaynak ve verilere bağlı olarak gerçekleştirilmelidir. Analizleri niteliksel, yarı niteliksel, sayısal ya da şartlara bağlı olarak bunların kombinasyonu şeklinde olabilir. Şiddet ve olasılık bir olayın ya da olay grubunun çıktılarının modellenmesi ile belirlenir, deneysel çalışmalar ya da elde mevcut verilere dayanarak hesaplanır. Şiddet ölçülebilir ya da ölçülemeyen parametrelere göre açıklanabilir. Bazı hallerde birden fazla nümerik değer ya da tanımlayıcı farklı zaman, yer, grup ya da duruma istinaden gerekli olabilir.

 

Risk inceleme – değerlendirme: Risklerin incelenmesinin amacı risk analizi sonuçlarına göre karar vermeye yardımcı olmaktır. Bu aşamada hangi risklere müdahale edilmesi gerektiği ve öncelikleri tespit edilir.

 

Bu çalışma ile analiz sürecinde ortaya çıkan risk seviyesinin kapsam tespiti aşamasında oluşturulan risk kriteri ile mukayesesini kapsar. Bu mukayese ile riske müdahale ihtiyacı tespit edilecektir. Kararlar verilirken riskten istifade eden organizasyon dışı taraflarca ortaya çıkarılan risklere tolerans hesaba katılmalıdır. Kararlar, yasal ve diğer şartlar hesaba katılarak verilmelidir.

Bazı durumlarda risk değerlendirme daha ileri analiz kararı verilmesini gerektirebilir. Bazı hallerde ise riskin mevcut kontrollerle takip edilmesi ve daha ileri seviyede müdahale edilmemesi kararı verilebilir. Bu karar organizasyonun riske karşı bakış açısı ve daha önce belirlenen risk kriteri ile ilgilidir. 

 

Riske Müdahale: Riske müdahale süreci riskin modifiye edilmesi içi bir ya da daha fazla seçeneğin seçilmesini kapsar. Uygulama yapıldığında müdahale kontrol sağlayacak ya da mevcut kontrolü modifiye edecektir. Riske müdahale süreci çevrimsel bir süreçtir:

  • Risk müdahalesinin değerlendirilmesi
  • Arta kalan risk seviyesinin tolere edilip edilmeyeceğinin karara bağlanması
  • Tolere edilemiyorsa yeni bir müdahale planlanması
  • Müdahalenin etkinliğinin değerlendirilmesi

Riske müdahale seçenekleri tek türlü ya da her şarta uygun değildir. Bu seçenekler aşağıdaki başlıkları içerir:

a.      Riski oluşturan faaliyete hiç başlamayarak, ya da sürdürmeyerek riski bertaraf etmek

b.      Bir fırsatı yakalamak için riski almak ya da artırmak

c.      Risk kaynağını ortadan kaldırmak

d.      Olasılığı değiştirmek

e.      Sonuç ve şiddeti değiştirmek

f.       Riski başka taraflarla bölüşmek (sözleşme risk finansmanı)

g.      Bildirilen kararla riski muhafaza etmek

 

RİSK DEĞERLENDİRME METODU

Risk Analiz metodu olarak PHA (Başlangıç Tehlike Analizi) metodu kullanılması uygun görülmüştür. Risk kontrol tedbirlerinin alınması, risklerle ilgili tehlikeli durumların/vakaların ortaya çıkması ramak kalmasına yönelik veriler toplandıkça HAZOP ve FMEA gibi daha fazla veriye ihtiyaç duyan İSG verileri artmış olacak, değerlendirme nesnelliği güçlenecektir.

 

Bu yöntemde olası sakıncalı durumlar önce tanımlanır ve daha sonra ayrı ayrı olarak çözümlenir. Her bir sakıncalı olay veya tehlike mümkün olan düzelmeler ve önleyici ölçümler formüle edilir. Bu yöntemle elde edilen sonuç hangi tür etkilerin sıklıkla ortaya çıktığını ve hangi analiz metotlarının uygulanmasının gerektiğini belirlemektir. Tanımlanan tehlikeler sıklık/sonuç diyagramının yardımı ile sıraya konur ve önlemler öncelik sırasına göre alınır. Sıklık değerlendirmesinde mevcut durumun sürekliği dikkate alınmıştır. 

 

İrtibat Bilgiliri

İş Geliştirme Departmanı
posta@meyer.gen.tr

Daha fazla bilgi

Gönder