Yenilenen ISO 31000 Risk Yönetimi Rehberi

Kurumsal risk yönetimi alanında, tüm dünyada, yaygın olarak kullanılan iki çerçeve/rehber var: Biri COSO (The Committee of Sponsoring Organizations of the Treadway Commission) diğeri ise ISO (The International Oranization for Standardization) tarafından yayımlanan.

COSO, 2004 yılında yayımladığı ilk çerçeveyi revize ederek, geçtiğimiz Eylül ayında, COSO-Kurumsal Risk Yönetimi- Riskin Strateji ve Performansla Uyumlaştırılması (COSO-Enterprise Risk Management- Aligning Risk with Strategy and Performance) adıyla yayımlamıştı. Şimdi de, ISO, revize süreçlerini tamamlayarak, ilk olarak 2009 yılında yayımladığı rehberin ikinci versiyonunu, ISO 31000-Risk Yönetimi Rehberi (ISO 31000-Risk Management – Guidelines) adıyla, 15 Şubat 2018 tarihinde yayımlandı.

Daha önce, yenilenen COSO Kurumsal Risk Yönetimi çerçevesi hakkında bilgi vermiştik. Bu yazıda ise, ISO Risk Yönetimi Rehberinde yapılan ana değişiklikler hakkında kısaca bilgi vereceğim.

ISO standartları her beş yılda bir gözden geçirilmekte ve gerek görülürse revize edilmektedir. Yapılan bu değişikliklerde, piyasa koşullarındaki ve organizasyonların karşı karşıya oldukları zorluklardaki değişimlerin dikkate alındığı belirtilmiştir.

Öncelikle, rehberinin esaslarında büyük değişiklikler olmadığını söylemek yanlış olmaz. Aşağıda ayrıntıları verileceği üzere, eski rehberde yer alan üç ana kısım (Prensipler, Çerçeve, Süreç) ana hatlarıyla yeni versiyonda da yer almıştır.  Gösterimleri değiştirilmiştir.

Rehber, 20 sayfadan 16 sayfaya indirilmiş, daha kolayca okunabilir ve anlaşılabilir hale getirilmiştir.

Yeni versiyonda, risk yönetiminin, organizasyonların tüm aktivite ve süreçlerine entegre edilmesinin ve üst yönetimin risk yönetimine katılımı ve liderliğinin önemine vurgu yapılmıştır.

2009 ve 2018 rehberlerinde yer alan üç ana kısım ve aralarındaki ilişkiler aşağıda Şekil: 1 ve 2’de gösterilmiştir.

Şekil :1 2009- Prensipler, Çerçeve ve Süreç

255fmfig1

Şekil :2 2018- Prensipler, Çerçeve ve Süreç

figure 1_1

Rehberin üç ana kısmı ve bu kısımlarda yapılan değişikler aşağıda kısaca ifade edilmiştir.

1.Prensipler (Principles): Prensiplerin, etkin ve verimli bir risk yönetiminin; nitelikleri, gaye ve hedefleri hakkında rehberlik sağladığı ifade edilmiştir. Bunların, organizasyonun risk yönetimi çerçevesi ve süreçleri oluşturulurken dikkate alınması gereken esaslar olduğu belirtilmiştir. Aşağıdaki tabloda, eski ve yeni versiyonlarda yer alan prensipler karşılaştırmalı olarak gösterilmiştir.

2009   2018
1 Değer oluşturur 1 Entegre
2 Organizasyonel süreçlere entegre 2 Yapılandırılmış ve geniş kapsamlı
3 Karar almanın parçası 3 Özelleştirilmiş
4 Belirsizliği net bir şekilde dikkate alan 4 Kapsayan
5 Sistematik, yapılandırılmış ve zamanlamalı 5 Dinamik
6 Var olan en iyi bilgiye dayanan 6 Var olan en iyi bilgi
7 İhtiyaca ve duruma uygun hale getirilmiş 7 İnsani ve kültürel faktörler
8 İnsani ve kültürel faktörleri hesaba katan 8 Sürekli iyileştirme
9 Şeffaf ve kapsayan
10 Dinamik, yinelenen, değişimlere cevap veren
11 Organizasyonun sürekli iyileşme ve gelişimini kolaylaştıran

Prensiplerin sayısı, yeni versiyonda 11’den 8’e indirilmiştir. Bununla birlikte, yeni versiyondaki prensiplerin, eski versiyonda yer alan prensiplerin aynısı olduğu, sadece ifade ediliş şeklinde küçük değişiklikler yapıldığı görülmektedir.

2. Çerçeve (Framework): Çerçeve kısmında, risk yönetiminin, organizasyonun önemli aktivite ve fonksiyonlarının içerisine nasıl entegre edileceği açıklamaktadır. Risk yönetiminin başarısının, bu entegrasyonun başarısına bağlı olduğu ifade edilmiştir. Risk yönetiminin, kurumun tüm aktivitelerinin içerisine entegre olabilmesinde, üst yönetimin bu konuyu sahiplenmesi ve desteğinin kritik olduğu vurgulanmaktadır.

Aşağıdaki tabloda da görüleceği üzere, 2009 versiyonunda çerçeve kısmında yer alan beş husus, 2018 versiyonunda, “entegrasyon” da ilave edilerek,  altıya çıkarılmıştır.

2009   2018
1 Emir/yetki ve adanma 1 Liderlik ve adanma
2 Çerçevenin tasarımı 2 Tasarım
3 Risk yönetiminin uygulaması 3 Uygulama
4 Çerçevenin takip ve gözden geçirmesi 4 Değerlendirme
5 Çerçevenin sürekli iyileştirmesi 5 İyileştirme
6 Entegrasyon

3. Süreç (Process): Süreç kısmı; iletişim ve danışma, ortamın oluşturulması, değerlendirme, cevap verme, gözden geçirme, kayıt ve raporlamayı kapsar. Aşağıdaki tabloda da gösterildildiği üzere; bu kısımda da, eski ve yeni versiyon arasında içerik olarak önemli bir farklılık görülmemektedir. Yeni versiyonda “Kayıt ve Raporlama” (Recording and Reporting) sürece ilave edilmiştir. Eski versiyondaki, “Ortamın oluşturulması” (Establishing context) yeni versiyonda “Kapsam, Ortam, Kriter” şeklinde (Scope, Context, Criteria) ifade edilmiştir.

2009   2018
1 İletişim ve danışma 1 İletişim & Danışma
2 Ortamın oluşturulması 2 Kapsam, Ortam, Kriter
3 Risk değerlendirme (Risk belirleme, Risk analizi, Risk değerleme) 3 Risk değerlendirme (Risk belirleme, Risk analizi, Risk değerleme)
4 Riske cevap verme 4 Riske cevap verme
5 Takip ve gözden geçirme 5 Takip & Gözden geçirme
6 Kayıt & Raporlama

Organizasyonların risk yönetimi uygulamalarının, revize edilen rehbere uygunluğu açısından, gözden geçirilmesi ve tespit edilen noktalarda gerekli iyileştirmelerin sağlanması faydalı olacaktır. Yenilenen rehber, ISO tarafından satışa sunulmuştur. Buradan ulaşabilirsiniz.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s