Kurumsal Risk Yönetimi ve Risk Olgunluk Modeli

Risklerinizi yeterince doğru ve sistematik bir şekilde belirleyebiliyor musunuz?

Risklerinizi neye göre, ne kadar analiz ediyor ve değerlendiriyorsunuz?

Risklerinizi yönetirken herhangi bir referans kullanıyor musunuz?

 

Küreselleşen dünyada, verimlilik, kar maksimizasyonu, artan rekabet gibi tetikleyici faktörler yönetim sistemleri açısından risk yönetiminin ele alınmasını gerektirmiştir. Bu bağlamda kamu ya da özel birçok organizasyon (kurum ve kuruluş) risk yönetimi üzerinde kendi çalışmalarını sürdürürken Uluslararası Standardizasyon Organizasyonu (ISO) yapılan başvurular ile bu alandaki eksikliği doldurmak üzere TC 262 Teknik Komitesi ile ISO 31000:Risk Yönetimi serisi standartlarını hazırlayarak yayımlamıştır.

Risk ve Risk Yönetimi

Her türde ve büyüklükte kuruluşlar, kendi hedeflerini gerçekleştirip gerçekleştirmeyeceklerini veya ne zaman gerçekleştireceklerini belirsiz kılan iç ve dış faktörler ve etkilerle karşılaşır. Bir kuruluşun hedefleri üzerindeki bu belirsizlik etkisi “risk”tir.

Bir kuruluşun bütün faaliyetleri risk içerir. Kuruluşlar, riski belirleyerek, analiz ederek ve daha sonra risk kriterlerini sağlamak için risk iyileştirmesi yoluyla riski değiştirip değiştirmeyeceğini değerlendirerek yönetir.

Risklerin yönetilmesi, riske ilişkin olarak bir kuruluşun yönlendirilmesi ve kontrolü için koordineli faaliyetleri içermektedir.

Yeni Yaklaşım: Kurumsal Risk Yönetimi

Geleneksel anlamda risk yönetimi, risklerin belirlenme teknikleri üzerinde detaylı farkları ortaya koymaktan uzak, riskin tanımlanmasında kullanıcılara geniş serbestlikler bırakan, bu nedenle subjektif ve çoğunlukla sayısallaştırılmaktan ve geniş anlamda paydaşlar için yeterli bilgiyi sağlamayan bir yapıdadır. Geleneksel risk yönetiminin bu gibi birçok dezavantajı risklerin belirlenmesi, analiz edilmesi, değerlendirilmesi ve nihai olarak yönetilmesi için sistematik bir metodoloji gereksinimine neden olmuştur.

ISO 31000:Risk Yönetimi, geleneksel risk yönetiminin bu zafiyetlerinden uzak, sistematik ve bilimsel bir yaklaşım ile yönetim sistemleri ve risk arasında ilişki kurar. Bu sayede, ‘Kurumsal Risk Yönetimi’ için dünya çapında kabul gören bir metodoloji oluşturur. Geleneksel Risk Yönetimi ile ISO 31000 temelinde Kurumsal Risk Yönetimi arasındaki farklar tablo 1’ de verilmektedir.

 

Tablo 1. Geleneksel ve Kurumsal Risk Yönetimi arasındaki farklar

 
Geleneksel Risk Yönetimi Kurumsal Risk Yönetimi
Tehlike kaynaklı riskler Tehlike ve İş Kaynaklı Riskler
Kazanç ya da kayıp ihtimali Kazanç, kayıp ve kazanç ihtimali
İşletmenin önceki kayıpsız durumunda kalması Organizasyonun en yüksek potansiyel üretkenlik seviyesine ulaşmasına yardımcı olma
Kazalarla ortaya çıkan kayıplara odaklı Organizasyonun değerine odaklı
Belirli kayıplara odaklı Organizasyonun tümüne odaklı

 

ISO 31000 Risk Yönetimi; COSO Kurumsal Risk Yönetimi’ nden farklı olarak sadece belirli büyüklükteki organizasyonlara ya da sadece finansal veya iç denetim gibi belirli tipteki yönetim fonksiyonlarına özgü risklerin yönetilmesini ele almaz. Kapsam bakımından, her türden farklı tipteki organizasyonların çoklu fonksiyonlarına ve farklı alt organizasyonlarına ait tüm yönetim sistemlerindeki tüm kademelerde kullanılabilecek bir çerçeve ve sistem entegrasyonu temin eder. Bu sayede, organizasyonların birkaç farklı biriminde gerçekleşebilecek risklere odaklanmadan tüm organizasyonu tüm boyutları ile ele alınmasını sağlar, sadece tehlikelerin değil aynı zamanda COSO ERM’ den farklı olarak fırsatların da değerlendirilmesi ile organizasyonun tümüne değer katar.

Aynı sektörde olarak aynı dış çevreyi paylaşsa dahi her organizasyonun kendine ait ayrı bir iç çevresi olacağından hiçbir organizasyon tek tip değildir. Bu nedenle sadece ‘en iyi uygulamalar’ temelinde sunulan risk yönetimi metodolojileri uygulanan her organizasyon için aynı sonuçları vermeyecektir. ISO 31000: Risk Yönetimi, en iyi örnekler üzerinden risk yönetimini tarif etmeyi hedeflemez. Ayrıca ISO 31000, organizasyonlardaki mevcut yönetim sistemlerine alternatif bir sistem kurmak üzerine yapılandırılmamıştır. Bunun yerine yönetim sistemlerinin her biri için ve kurumsal yönetim sistemi içinde belirlenen risklerin yönetimi üzerinde rehber oluşturur ve sistematik bir yaklaşım ortaya koyar. Bu nedenle de organizasyonların kalite, çevre, iş sağlığı ve güvenliği, enerji, varlık yönetimi, bilgi güvenliği gibi tüm dünyada rehber alınan diğer ISO standartlarına göre kurulan yönetim sistemleri ile uyumludur.

Risk Olgunluk Modeli

Risk olgunluk modeli, mevcut risk yönetiminde olgunluk seviyesini elde etmek için kuruluşların kullanabileceği bir değerlendirme aracı sağlamaktır. Sonuçlar daha sonra kuruluşları hedef olgunluk seviyesine ulaşmalarına yönlendiren bir iyileştirme planı oluşturmak için kullanılabilir. Bu olgunluk modeli, kuruluşların bir risk yönetim sürecini, risk yönetim referanslarında tanımlanan en iyi uygulamalara göre değerlendirmelerini sağlar. Model, bir risk yönetim sürecinin nasıl gerçekleştirilmesi gerektiği konusunda net bir yol belirlediğinden süreç iyileştirilmesinde referans olarak kullanılabilir.

G31000: Risk Yönetimi Standartları Global Enstitüsü

G31000: Risk Yönetimi Standartları Global Enstitüsü (G31000:Global Institute for Risk Management Standards), 2017 yılında merkezi Paris’ ten Cenova’ ya taşınan, tüm dünyada 11 bölgesel temsilciliği bulunan, ISO ile yakın ve birlikte çalışan, dünya çapında her ay ortalama 1000 üyenin katılım için başvurduğu, 85000 üyesi bulunan bir organizasyon olarak, Türk Standarları Enstitüsü ile ISO 31000:Risk Yönetimi (ve serisi) standardın Türkçe’ ye tercümesinde birlikte çalışmış uluslararası eğitim, sertifikasyon ve danışmanlık veren, organizasyonlar düzenleyen alanındaki en önemli kuruluştur.

Kendi ülkelerinin alanlarındaki en yetkin kişilerinden seçkin risk yöneticileri arasından G31000 tarafından seçilen eğiticiler, uluslararası düzeyde düzenlenen eğitimlere ve etkinliklere katılarak kamu ve özel sektörde faaliyet gösteren kurum ve kuruluşlara, bazı ülkelerin hükümetlerine Kurumsal Risk Yönetimi ve Risk Olgunluk Modeli konularında destek olmaktadırlar. Eğiticilerinin bir kısmı aynı zamanda uluslararası dolaşımda kitap yazarları olan G31000, sigortacılık, finans, bilgi teknolojileri, kalite, proje gibi tüm alanlarda ISO 31000 temelinde risk yönetiminin nasıl entegre edileceğini yılları aşkın uluslararası deneyimlerle birlikte ortaya koymaktadır.

 G31000 ve Seyir AKADEMİ

Son yıllarda Türkiye’ de yasal mevzuatların risk analizi, değerlendirmesi ve yönetimi üzerine değişmeye başlaması, ülkenin sosyo-ekonomik ve jeopolitik durumu, gelişmeye olan ihtiyaç, rekabet ve ekonomik kırılganlık gibi unsurlar kamu ya da özel tüm kurum ve kuruluşların risklerini belirlemeye, analiz etmeye, değerlendirmeye ve yönetmeye zorlamaktadır. Bu sorunun farkında olan Seyir Akademi, ilk kez 2017 yılında G31000 ile görüşme sağlamıştır. Yapılan görüşmeler sonunda, G31000’ nin ilgili her konuda dünya çapında tanınan, kabul görmüş eğiticileriyle birlikte Türkiye’ deki tüm kurum ve kuruluşlara yönetim sistemlerinin tamamında risk yönetimi hakkında eğitim, danışmanlık ve risk olgunluk modeli konusunda destek sunmak üzere anlaşma imzalamıştır.