Risk ve Yönetimi…ISO 31000:2009

Risk Yönetimi

Risk Yönetimi ISO 31000:2009

Risk yönetimi, risk değerlendirme…vb üzerine çok az yazmış olmama karşın, risk ve riske ilişkin konularda hemen her gün bu bloga da yönlendirme olduğunu görünce bu konuda yine  ve biraz daha yazmak şart oldu.

Risk yönetimi yaşamın her alanında uygulanabilir. Ancak, yaşam değişik alanlarda farklılıklarla cereyan eder. Böyle olduğu için de, temelde aynı prensiplerin geçerli olmasına karşın risk yönetimi uygulamalarında da farklılıklar oluyor. ISO 9001:2008 dışındaki yönetim sistem standardlarının neredeyse tamamı (ISO 2200, OHSAS 18001, ISO 14001, API Q1, TS 16949, AS 9001…) bir şekilde riskin yönetilmesine ilişkin gereklilikleri içerirler. ISO 9001’in 2015 de yayınlanması beklenen versiyonunun da risk yönetimini içermesini bekliyoruz. ( ISO 9001:2015 teknik komite çalışmasını blogda daha önce yayınlamıştım).

Adı geçen standartlar, risk yönetimini kendilerine uygun olacak şekilde ele alırlar ve ilgili tanımlamaları da, temelde aynı olmakla birlikte farklıdır. ISO 31000:2009 da da böyle olması gerektiği yönünde ifadeler vardır. Bu yazıda biraz daha yukarıdan bakarak risk yönetiminin temel tanımlarına kısaca göz atacağız.

Yaygın olarak uygulandığı için çoğunluğun aşina olduğunu düşündüğüm OHSAS 18001 ISG yönetim sistemi standardına bakalım önce. Standardın 4.3.1 (Tehlike tanımlama, risk değerlendirme ve kontrolların belirlenmesi) maddesi  risk yönetimine ilişkin açık gereklilikleri ve 3. maddesi ilgili tanımlamaları içerir. Bazı tanımlar aşağıda :

  • RiskTehlikeli bir olayın veya maruz kalma durumunun meydana gelme olasılığı ile olay veya maruz kalma durumunun yol açabileceği yaralanma veya sağlık bozulmasının  ciddiyet derecesinin birleşimi.
  • Risk değerlendirmesi :  Tehlikelerden kaynaklanan riskin (Madde 3.21) büyüklüğünü tahmin etmek ve mevcut kontrollerin yeterliliğini dikkate alarak riskin kabul edilebilir olup olmadığına karar vermek için kullanılan proses.
  • Kabul edilebilir risk : Kuruluşun, yasal zorunluluklara ve kendi İSG politikasına  göre, tahammül edebileceği düzeye  indirilmiş risk.
  • Tehlike : İnsanların yaralanması veya sağlığının bozulması veya bunların birlikte gerçekleşmesine sebep olabilecek kaynak, durum veya işlem.
  • Tehlike: Bir tehlikenin varlığını tanıma ve özelliklerini tarif etme prosesi.
  • Olay : Yaralanmaya veya (ciddiyet seviyesinden bağımsız olarak) sağlığın bozulmasına  veya ölüme sebep olan veya sebep olacak potansiyele sahip olan, işle ilgili olaylar.

Risk yönetimi ve ilgili tanımlamalar deyince üç dokümanı göz önüne almadan olmaz . En azından şu anda böyle. İleride başka dokümanlar da çıkabilir.

  1. Uluslarası Standardlaştırma Kuruluşu’nun (ISO) ve yayınladığı  ISO Guide 73 Risk Management-Vocabulary (Risk Yönetimi -Sözlük)

2. ISO 31000 :2009  Risk management — Principles and guidelines (Risk Yönetimi- Prensipler ve klavuz).  Bu doküman bir kuruluşun riski yönetmek ve böylece  ortaya çıkan fırsatları/tehditleri değerlendirme, ilgili yasal düzenlemelere uygunluğu sağlama, hedeflerine erişme şanslarını  arttırmak için yerine getirmesi gereken ana kavramları ve faaliyetleri özetlemektedir.  Spesifik herhangi bir teknik önerilmemekte, tam tersine her kuruluşun kendisine uygun risk tanımlama yöntemleri ve teknikleri uygulaması gerektiğini belirtmektedir. 

M o R3. M o R : Management of Risk – 2013: Guidance for Practitioners and the international standard on risk management, ISO 31000:2009 ( Risk Yönetimi : Uygulayıcılar ve uluslarası risk yönetimi standardı ISO 31000:2009 için klavuz)

ISO 31000:2009 tüm iş sektörlerinde risk yönetiminin uygulanmasına yardımcı olacak prensipleri  içermektedir. ISO 31000’in uygulamalarda yol göstermek üzere hazırlanan kardeş dokümanı da vardır:  ISO/IEC 31010:2009, Risk Management – Risk Assessment Techniques. (Risk Yönetimi- Risk Değerlendirme Teknikleri)

Kısaca MoR olarak bilinen doküman  Ingiliz Ticaret Bakanlığı tarafından hazırlanan ve TSO (The Stationery Office) tarafından yayınlanan bir dokümandır. Bir önceki versiyonu 2000 li yılların başında ve sonunda yayınlanmış idi; ilk versiyonu ISO 31000 den yıllar önce yayınlanmıştır.  TSO İngiliz hükümetinin resmi dokümanlarını yayınlayan bir kuruluş olup krallığa bağlı iken yakın tarihlerde özelleştirilmiştir.

ISO 31000:2009 “madde 2 tanımlar ve kavramlar başlığı” altında risk yönetimine ilişkin sözcüklerin ve kavramların tanımlamaları yapılmıştır. Hem ISO 31000 den hem de Guide 73 den sık sık karşımıza çıkan bazı tanımları seçerek aşağıda verdim. ISO 31000 ve Guide 73 herhangi bir özel alan için oluşturulmadığından, risk yönetimine ilişkin kavram ve tanımlamalar özel olan tüm durumları kapsayacak biçimde ve bütün tanımlamaların üstünde olacak biçimde düzenlenmiştir. Bunu özellikle OHSAS 18001 deki tanımlamalara alışkın olanlar için yazıyorum. ISO 31000 tüm iş alanlarında risk yönetimi esaslarını tanımlamaktadır, ve risk yönetimi iş sağlığı ve güvenliği ile sınırlı değildir. ISO 31000 ve Guide 73 teki tanımlamalar OHSAS 18001 e aşina olanlara farklı gelebilir ilk bakışta.

nasa-iss-03-10-2011

  • Risk Yönetimi Tanımlar ve Kavramlar

Risk : Belirsizliğin hedefler üzerindeki etkisi  (effect of uncertainty on objectives).

  •  Bir etki beklenenden pozitif veya negatif sapmadır
  • Hedefler değişik boyutlarda  (finansal, sağlık ve güvenlik, çevre…gibi)  ve farklı seviyelerde olabilir (stratejik, organizasyonel, proje bazında, ürüne veya prosese ilişkin) 
  • Risk çoğunlukla olayların gerçekleşme olasılıkları ve sonuçlarıyla, veya bunların kombinasyonuyla karakterize edilir. 
  • Risk çoğunlukla bir olayın (şartlardaki değişiklikleri de içererek) sonuçları ve  bu olayla ilgili gerçekleşme olasılığının  bileşimi  olarak ifade edilir. 
  • Belirsizlik,  bir olayın meydana gelme olasılığı ve sonuçlarının bilinmesine veya anlaşılmasına ilişkin, kısmen de olsa, bilgi eksikliği durumudur. 

Risk Değerlendirme (assessment) : Risk tanımlama, risk analizi ve risk değerlendirme (evaluation) sürecinin tamamı.

Ingilizce “Assessment” sözcüğünün karşılığı ile  “Evaluation” sözcüğünün karşılığı Türkçede aynıdır: değerlendirme. Assessment sözcüğünün tanımının evaluation-değerlendirme sözcüğünü içerdiğini unutmamak gerekir. (Assessment sözcüğünün denetim faaliyetleri alanındaki anlamı da şöyle bir şeydir : Girdileri ve çıktıları ile bir süreci ele alıp etkinliğini ve belirlenen amaca göre bir işe yarayıp yaramadığını, kurallara uygunluğunu…denetlemek. Görüldüğü gibi değerlendirmek işleminden farklı, ve onu da içerecek biçimde daha geniş kapsamlı.)

Risk Değerlendirme : Riskin ve veya büyüklüğünün kabul edilebilir veya tolere edilebilir olup olmadığını belirlemek için risk analizi sonuçlarını risk kriteri ile karşılaştırmak.

Risk Tanımlama : Risklerin bulunması, tanınması ve tarif edilmesi süreci.

  1. Risk tanımlama risk kaynaklarının, olayların, nedenlerinin ve potansiyel sonuçlarının tanımlanmasını içerir.
  2. Risk tanımlaması  geçmiş dönem verileri, teorik analiz, uzman görüşleri ve ilgili tarafların-paydaşların gereksinimlerini içerebilir. 

Risk Analizi : Riskin doğasını-yapısını anlama ve risk seviyesini belirleme süreci

1. Risk analizi risk değerlendirme (evaluation) ve riskin durumun değiştirme (risk treatment)  kararları için temel oluşturur
2. Risk analizi risk tahminini içerir.

Risk Kriteri :  Riskin ağırlığı-öneminin karşılaştırıldığı referans noktaları-kabul seviyeleri.

1 Risk kriteri organizasyonel hedefler, kuruluşun hedeflerine erişmek için içinde çalıştığı iç ve dış çevre esas alınarak belirlenir.
2 Risk kriteri standartlardan, yasalardan, politikalardan ve diğer gerekliliklerden belirlenebilir.

Olay : Özel bir durumun-şartların meydana gelmesi veya değişmesi

1 Bir olay bir veya daha fazla kez meydana gelebilir ve nedenleri birden fazla olabilir.
2 Bir olay meydana gelmeyen bir şeyden oluşabilir.
3 Bir olay bazan bir “özel durum” veya bir “kaza” olarak adlandırılabilir.
4 Sonuçlanmayan bir olay “ramak kala”, “özel durum” olarak da adlandırılabilir.

Likelihood : Bir şeyin gerçekleşme şansı.

Bu sözcüğün dilimizde tam karşılığı yok. Dilimize olasılık olarak da çevrilmekte ise de, olasılık sözcüğünün Ingilizce  tam karşılığı “probability” sözcüğüdür. Ancak, probability sözcüğü de Ingilizcede daha çok matematiksel bir terim olarak alınmaktadır.   Risk yönetimi terminolojisinde “şans” sözcüğü (veya bizde kullanılagelen “olasılık”) bir şeyin objektif veya sübjektif niteliklerle veya niceliklerle  tanımlanmış, ölçülmüş, belirlenmiş gerçekleşebilme durumuna işaret eder.

Olasılık – Probability : 0 ile 1 arasında bir rakamla ifade edilen gerçekleşme şansının ölçümü; 0 imkansızı, 1 ise kesin gerçekleme durumunu gösterir.

Risk Toleransı : Kuruluşun veya paydaşların, riskin değiştirilmesinden (Risk treatment- riskin modifiye edilmesi)  sonra hedeflerine erişebilmek için riski üstlenmeye hazır olma derecesi.

Risk İştahı : Kuruluşun izlemeye, taşımaya veya almaya hazır olduğu risk miktarı

Tehlike – hazard : Potansiyel zarar kaynağı

Reklamlar

About Selçuk Aytimur

Yolun yarısını geçeli çok olmakla birlikte, bana hiç öyle gelmiyor daha
Bu yazı Yönetim içinde yayınlandı ve , , , , , , , , , , , , , , , , , , , , , , , , , , , olarak etiketlendi. Kalıcı bağlantıyı yer imlerinize ekleyin.

2 Responses to Risk ve Yönetimi…ISO 31000:2009

  1. Eline sağlık amca fakat riskin yönetimi hakkında pek birşey yazmamışsın sanırım

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s