Risk ve Yönetimi…ISO 31000:2009 – 2. kısım

Yaşamımızın her adımında risk almaktayız.

Bu risklerin temelindeki tehlikelerin  bir kısmını yaşadıkça öğreniyoruz yarım yamalak ve hayatımızı garanti altına çalışıyoruz kendimizce önlemler geliştirerek veya öğrendiğimiz önlemleri uygulamaya çalışarak. Tehlike potansiyel zarar kaynağıdır. Bunu, yani tehlike tanımlamayı ve risk yönetimini beceremedikleri zamanlar insanlar yaralanır veya ölürler. Ocakta omlet yapmak ne kadar basit görünür; oysa tehlikeli bir iştir omlet yapmak ve yapmaya başladığınız an riskle karşı karşıyasınızdır. Sokakta yürümek de tehlikelidir, su içmek de, elma soymak da…Bunları yapmaya başladığımız an risklerle karşı karşıyayız demektir. Trafiğe çıkmanın tehlikesi daha büyüktür, çıkıldığı anda risk alınmış olur; kabak tekerlekle yağışlı havada otomobili kaydırıp da kaza yapılınca bazen insanlar ölüverir.  Bu örneklerin sonu yoktur. Öte yandan hayat da devam etmektedir; sokağa çıkmayacak, su içmeyecek, otomobile binmeyecek, bankaya para yatırmayacak, yatırım yapmayacak, iş yeri açmayacak, yeni sahalara yönelmeyecek… vb değil insanlar. Hayat asla durağan değildir. Hayatı sürdürmek için risk almak zorundayız, ama hayattaki tehlikelere karşı dikkatli olmak gerekir. Risk almadan yaşanmaz; lakin alınan risklerin boyutların dikkat etmek gerekir.

Sonra bir gün hiç risk almamanın riskinin hepsinden büyük olduğuna karar verdim

“Sonra bir gün hiç risk almamanın riskinin hepsinden daha büyük risk olduğuna karar verdim”

Gönül ister ki hepimiz kişisel ve sosyal yaşamımızdaki tehlikelere ve ilgili risklere karşı uyanık olalım ve sistemli olarak önlem alabilelim. Böyle olmadığını biliyoruz.

Yakın tarihlere kadar iş dünyasında da risk yönetimine ilişkin olarak aynı zafiyet vardı. Yakın tarihler dediğim de belki 20 yıl kadar…ve riskin sistematik yönetimi söz konusu değildi. Bütün işleri risk paylaşmak olan sigorta şirketleri dışarda bırakılabilir belki. Gerçi onlar da kendilerinin değil de müşterilerinin risklerinin peşindelerdir. Sigortacılar 1700 lerin ortalarından bu yana risk analizi yapıyorlar. Büyük matematikçilerin emekleri vardır risk analizinin bilimsel temellerinin oluşturulmasında (Laplace, Poincare, Gauss, Bayes, Bernoulli, Pascal en önde gelenler) 20. yüzyılının ünlü dahi matematikçisi Von Neumann’ı da unutmamak lazım 26 sında geliştirdiği oyun teorisi ile. (Von Neumann’ın marifetleri saymakla bitmez; 30 unda yazdığı ünlü kitabı “Kuantum Mekaniğinin Matematik Temelleri-Mathematische Grundlagen der Quantenmechanik.” ile Kuantum Mekaniğini yerli yerine oturtan da o idi. Geliştirdiği matematik fizikçiler tarafından kutsal kitap olarak kabul edildi. Von Neumann bilgisayarların babası olarak da tanınır.) İş dünyasında risk analizi geçmiş verilerin analizlerini de içerir ki bu, istatistikte uzmanlık seviyesinde bilgi gerektirebilir yerine göre.

risk 2Risk yönetimi salt istatistik veya risk analizinden ibaret değildir. Risk yönetimi bir kuruluşun riske ilişkin olarak koordine edilmiş faaliyetlerinin yönetimi ve kontroludur (ISO Guide 73) . Dünya ölçeğindeki ekonomide yakın tarihlerde üst üste yaşanan değişimler ve krizler kuruluşları sürdürülebilirlik konusunda arayışlara itti doğal olarak. Bu arayışlar sonucunda bir kriz (en geniş anlamıyla) ortamında işin devamının sağlanması için uygulanması gereken yönetim modeline ilişkin olarak bir standart da yayınlanmıştır ( ISO 22301 Business Continuity Management -İş sürekliliği yönetimi) Bu standart, her türlü önlem alınmış olsa da bir olası bir olayın  ( en geniş anlamı ile) gerçekleşmesi durumunda işin devam edebilmesi için gerekli ilgili aktivitelere ilişkindir. Yani hayatta kalmak için reaksiyon planlaması… Risk yönetiminde ise olayların gerçekleşme şansından-olasılığından ve bunlardan kaçınma yollarından….bahsedilir; ancak iş sürekliliği yönetimi doğal olarak risk yönetiminin kapsama alanında yer alır.

Risk yönetiminin önemi gittikçe artmakta. Yöneticiler ne kadar kendilerinden emin görünseler de, her şeyin kontrol altında olduğunu söyleseler de, riskler kuruluşun stratejik kararları için itici güç olabildikleri gibi kuruluştaki belirsizliklerin nedeni de olabilirler veya kuruluşun hedeflerinin, grevli personelin, yönetim biçimin, finans yönetiminin, satın  alma faaliyetlerinin, organizasyon yapısının… arkasına yerleşmiş olabilirler. Risk yönetiminin kuruluş genelinde uygulanması her tür riskin iş süreçleri, faaliyetler, paydaşlar ürün ve servisler üzerindeki potansiyel etkilerinin dikkate alınmasına yardımcı olur. Risk yönetiminin kuruluş çapında uygulanması “riskin üst tarafı”ndan yararlanmayla sonuçlanır; risk yönetimini başarıyla uygulamanın meyveleri….2000 li yılların sonundaki küresel finansal kriz pek çok şeyle birlikte risk yönetiminin uygun biçimde ve oranda uygulanması gereğini de gösterdi.  ISO 31000 ‐ ‘Risk Yönetimi Kuralları ve Rehberi’ de bu dönemde ortaya çıkmıştır.  ISO 31000 kuruluş çapında risk yönetimi çerçeve sunmaktadır ve ISO 31000 den başka bir dokümanda böyle bir çerçeve yoktur. Bu yazı için de ISO 31000 den gerektikçe yararlandım.

Bütün kuruluşlar hedeflerine erişmek ve bunun meyvelerini toplamak için aldıkları riskleri anlamak gereksinimi içindedirler. (Kişisel baza indirgersek, gece yarısı 03:00 da yola çıkıp 6  saat otomobil sürerek karlı bir sözleşmeye imza atmaya gitmek gibi…) Süreçlerle ve faaliyetlerle bütünleşmiş olan bütün risk seviyelerinin anlaşılması, öne çıkan risklerin bilinmesi ve önceliklendirilmesi ve en zayıf kontrol noktalarının tanımlanması risk yönetiminde önemlidir.   Risklerin bir organizasyona kısa, orta ve uzun vadeli etkileri olabilir. Bu riskler de sırasıyla operasyonlarla, taktiklerle ve stratejilerle ilişkilidir. Strateji uzun vadeli hedefler demektir ve tipik bir stratejik planlama süreci 3-5 veya daha fazla yılı kapsar. Taktikler ise değişimin başarılabilmesi için koyulan hedefler ve hazırlanan planlardır. Bu yüzden taktiksel riskler genellikle projelerle, birleşme ve satın almalarla, ürün geliştirmelerle ilişkilendirilir. Operasyonlar şirketin rutin faaliyetleridir.

risk dilbert

Risk yönetimi süreci genel hatlarıyla aşağıdaki faaliyetleri içerir:

  • Riskin tanımlanması veya tanınması
  • Riskin sıralanması veya değerlendirilmesi 
  • Belirgin risklere cevap verme
    • Riski tolere etme
    • Riske müdahale etme, modifiye etme
    • Riski transfer etme
    • Riski  sonlandırma
  • Kontrollere kaynak ayırma
  • Reaksiyon planlama
  • Risk performansının raporlanması ve izlenmesi
  • Risk yönetim çerçevesinin gözden geçirilmesi

ISO 31000’e göre risk yönetimi süreci şöyle:

IS0 31000 Risk Yönetimi Süreci

IS0 31000 Risk Yönetimi Süreci

Son olarak risk yönetimi prensiplerine kısaca göz atalım (ISO 31000:2009)

  • Risk yönetimi kuruluş için değer yaratır ve değer korur
  • Risk yönetimi organizasyonel sürecin bütünleşik bir parçasıdır.
  • Risk yönetimi karar verme sürecinin parçasıdır
  • Risk yönetimi açık olarak belirsizliğe hitap eder
  • Risk yönetimi sistematiktir, yapısaldır ve zamanlamalıdır
  • Risk yönetimi var olan en iyi bilgiye dayanır.
  • Risk yönetimi ihtiyaca ve duruma uygun olacak biçimde şekillendirilir.
  • Risk yönetimi insani ve kültürel faktörleri göz önüne alır.
  • Risk yönetimi şeffaftır ve geniş kapsamlıdır
  • Risk yönetimi dinamiktir,  tekrarlanır ve değişikliklere karşı yenilenir.
  • Risk yönetimi kuruluşun sürekli iyileşmesini kolaylaştırır.

Risk yönetimininin bilgiye dayandığını unutmamakta yarar var.

dilbert datamining

Reklamlar

About Selçuk Aytimur

Yolun yarısını geçeli çok olmakla birlikte, bana hiç öyle gelmiyor daha
Bu yazı Yönetim içinde yayınlandı ve , , , , , , , , , , , , , , , , , , , , , , , , , , , , olarak etiketlendi. Kalıcı bağlantıyı yer imlerinize ekleyin.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s