İç Kontrol ISO 31000 Risk Yönetim Değerlendirme Sistemi Danışmanlık
Kamu İç Kontrol Standarlarına göre kamu kurumları Risk Yönetim Sistemilerini kurmaları gerekmektedir.
Dünya Üzerinde hekm kamuda hemde özel sektörde Riskleri yönetmek riskleri değerlendirmek Risk Yönetim Sisteminin kurulması için klavuzluk yapacak en iyi standart iso 31000 Kurumsal Risk Yönetim Standardıdır.
İç Kontrol Sistemi Risk Yönetim ile ilgili yapılan yanlış uygulamalr nedeni ile çalışma yapacak kamu kurumlarına şu bilgilendirmeyi yapmak zorundayız
İç Kontrol Sistemi sizden Risk Yönetim Sistemini kurmanızı istemektedir. Fakat görülen uygulamalara bakıldığında risk değerlendirme çalışmaları yapılmış riskler belirlenmiş ve değerlendirilmiş ve risk değerlendirmelerin yapıldığı tarih itibari ile de aynen bırakılmıştır halbuki risk yönetim sistemi yaşayan bir sistemdir ve sürekli yeni teknolojiler yeni hedefler hedeflerde revizyonlar personel sirkülasyonu vb bir çok neden ile yeni riskler ortaya çıkmakta veya eski risklerin amaç ve hedefleri değişmektedir. İş te bu yüzden sadece risk değerlendirme değil riskleri sürekli nasıl değerlendireceksiniz bunun ile ilgili bir sistem oluşturulması gerekmektedir.
Risk Yönetim Sistemi ile ilgili Dünyadaki en iyi kurumsal risk yönetim sistemi standardı İSO 31000 standadırdını incelemenizi ve bu standarda göre risk yönetim sistemini oluşturmanız gerekmektedir.
ICTSERT olarak risk yönetim sistemi ile ilgili danışmanlık hizmeti vermekteyiz ve aşağıda ISO 31000 Kurumsal Risk Yönetimi ile ilgili geniş bir bilgi siz müşterilerimize sunulmuştur.
ISO 31000 RİSK YÖNETİM SİSTEMİ KURUMSAL RİSK YÖNETİMİ NEDİR
Her çeşit ve büyüklükteki kuruluş, hedeflerine ulaşıp ulaşamayacaklarına dair belirsizlik yaratan iç ve dış faktörler ve etkilerle karşı karşıya gelir. Bir kuruluşun hedefleri üzerindeki bu belirsizliğe risk denir.
Her kuruluşun bütün faaliyetleri bir risk içerir. Kuruluşlar riski tanımlayıp analiz ederek ve sonra da risk kriterleri çerçevesinde riski, risk işleme yoluyla azaltmak gerekip gerekmediğini değerlendirerek risk yönetimi sağlar. Bu süreç boyunca kuruluşlar hissedarlarla iletişim halinde olup onlara danışırlar; daha fazla risk işleme gerekmediğinden emin olmak için riski ve riski azaltan kontrolleri izler ve gözden geçirirler. ISO 31000 Risk Yönetim Sistemi Standardı bu sistematik ve mantıksal işlemi detaylı bir şekilde tanımlar.
Bütün kuruluşlar bir dereceye kadar risk yönetimi sağlarken, ISO 31000 Risk Yönetim Sistemi Standardı risk yönetimini etkili yapmak için uyulması şart olan bir takım ilkeleri belirler. ISO 31000 Risk Yönetim Sistemi Standardı kuruluşlara, amacı risk yönetim sürecini şirketin bütün yönetim, strateji ve planlamasıyla, idaresi, raporlama süreci, politikaları, değerleri ve kültürüyle bütünleştirmek olan bir çerçeve geliştirmesini, bu çerçeveyi yürürlüğe koyup sürekli olarak ilerletmesini tavsiye etmektedir. Risk yönetimi bütün kuruluşa, kuruluşun birçok alanında, herhangi bir zamanda uygulanabilir ayrıca belirli fonksiyon, proje ve aktivitelere de uygulanabilir. Risk yönetimi uygulaması zamanla, çeşitli ihtiyaçları karşılamak amacıyla birçok sektörde geliştirilse de, kapsamlı bir çerçeve içerisinde uygun süreçlerin benimsenmesi, riskin bütün kuruluş içerisinde etkili, verimli ve bağlantılı bir şekilde yönetilmesini sağlamaya yardım eder. ISO 31000 Risk Yönetim Sistemi Standardında tanımlanan genel yaklaşım, herhangi bir riski sistematik, net ve güvenilir bir biçimde, herhangi bir kapsam ve bağlamda yönetmek için ilkeler ve ana esaslar sağlar. Her bir sektör veya risk yönetimi uygulaması, bireysel ihtiyaçları, hedef kitleleri, algıları ve kriterleri de beraberinde getirir. Bu yüzden ISO 31000 Risk Yönetim Sistemi Standardının ana özelliği, “bağlamı oluşturmayı bu genel risk yönetim sürecinin başlangıcında bir etkinlik olarak dâhil etmektir. Bağlamı oluşturmak, kuruluşun hedeflerini, bu hedeflerleri yürüteceği ortamı, hissedarlarını ve risk kriterlerinin çeşitliliğini gösterecektir ve bütün bunlar risklerin yapısını ve karmaşıklığını ortaya çıkarmaya ve değerlendirmeye yardımcı olacaktır. Risk yönetimine dair ilkeler arasındaki ilişki, bu ilişkinin oluştuğu çerçeve ve ISO 31000 Risk Yönetim Sistemi Standardı tanımlanan risk yönetim süreci Şekil 1’de gösterilmiştir. ISO 31000 Risk Yönetim Sistemi Standardı uyum içerisinde uygulandığında ve sürdürüldüğünde, risk yönetimi bir kuruluşa aşağıdakileri gerçekleştirebilmeyi sağlar:
- hedefleri gerçekleştirme olasılığını arttırmak;
- proaktif yönetimi teşvik etmek;
- kuruluş genelinde riski tanımlama ve işleme gerekliliğinden haberdar olmak;
- fırsatların ve tehditlerin belirlenmesini iyileştirmek;
- ilgili yasal ve düzenleyici şartlara ve uluslararası normlara riayet etmek;
- zorunlu ve gönüllü raporlamayı iyileştirmek;
- yönetimi iyileştirmek;
- hissedarların güven ve itimadını sağlamak;
- karar verme ve planlama için güvenilir bir temel oluşturmak;
- kontrolleri iyileştirmek;
- risk işleme için kaynakları etkili bir biçimde ayırmak ve kullanmak;
- işletme etkinliğini ve verimliliğini iyileştirmek;
- sağlık ve güvenlik performansını ve bunun yanı sıra çevre korumasını artırmak;
- hasar önlenmesini ve olay yönetimini iyileştirmek;
- hasarları en aza indirmek;
- örgütsel öğrenmeyi geliştirmek; ve
- örgütsel esnekliği geliştirmek.
ISO 31000 Risk Yönetim Sistemi Standardı çok sayıda hissedarın ihtiyaçlarını karşılamaya yöneliktir, örneğin:
a) kendi kuruluşları içerisinde risk yönetim politikası geliştirmekten sorumlu olanlar; b) kuruluşun tamamında veya belirli bir alan, proje veya faaliyette riskin etkili bir şekilde yönetilmesini sağlamakla yükümlü olanlar; c) kuruluşun, risk yönetimindeki etkisini değerlendirmek zorunda olanlar; ve d) riskin nasıl yönetildiğini bu belgeler kapsamında kısmen veya tamamen açıklayan standartlar, esaslar, prosedürler ve uygulama esasları geliştirenler.
Birçok kuruluşun mevcut işletme uygulamaları ve süreçleri, risk yönetimi öğeleri içerir ve farklı çeşit risk ve durumlar için birçok kuruluş halihazırda resmi bir risk yönetim süreci benimsemiştir. Bu gibi durumlarda bir kuruluş, ISO 31000 Risk Yönetim Sistemi Standardıışığında var olan uygulama ve süreçlerini gözden geçirmeye karar verebilir. ISO 31000 Risk Yönetim Sistemi Standardı “risk yönetimi” ve “riski yönetme” ifadelerinin ikisi de kullanılmaktadır. Genel anlamda “risk yönetimi”, riskleri etkili bir şekilde yönetmek için kullanılan yapıları (ilkeler, çerçeve ve süreç) ifade eder; “riski yönetme” is bu yapıları belirli risklere uygulama anlamına gelir.
Şekil 1. Risk yönetim ilkeleri, çerçeve ve süreç arasındaki ilişki
a) Değer yaratır b) Örgütsel süreçlerin bütünleyici parçası c) Karar verme kısmı d) Açık bir şekilde belirsizliği irdeler e) Sistematik, yapılandırılmış ve vaktinde f) Mevcut olan en iyi bilgiye dayalı g) Kuruluşa özel h) İnsanı ve kültürel faktörleri hesaba katar i) Şeffaf ve kapsayıcı j) Dinamik, yinelemeli ve değişime hassas k) Kuruluşun devamlı geliştirilmesini ve iyileştirilmesini kolaylaştırmak
İlkeler (3. Şart) |
Emir ve Bağlılık (4.2) Risk yönetimi için çerçeve tasarımı (4.3) Çerçevenin devamlı iyileştirilmesi (4.6) Risk yönetimini yürürlüğe koyma (4.4) Çerçeveyi izlenme ve gözden geçirme (4.5)
Çerçeve (4. Şart) |
İletişim ve danışma (5.2)
İzleme ve İnceleme (5.6) Bağlamı oluşturma (5.3) Riski hesaplama (5.4) Riski tanımlama (5.4.2) Risk analizi (5.4.3) Risk değerlendirme (5.4.4) Risk işleme (5.5) Süreç (5. Şart) |
ISO 31000 RİSK YÖNETİM SİSTEMİ STANDARDI NEDİR ?
Risk yönetimi — İlkeler ve temel esaslar
1 Kapsam
ISO 31000 Risk Yönetim Sistemi Standardı, risk yönetimi hakkında ilkeleri ve genel esasları düzenler. ISO 31000 Risk Yönetim Sistemi Standardı, herhangi bir kamusal, özel veya toplumsal girişim, birlik, grup veya birey tarafından kullanılabilir. Bu yüzden, ISO 31000 Risk Yönetim Sistemi Standardı herhangi bir endüstriye veya sektöre özgü değildir. NOT Kolaylık için, ISO 31000 Risk Yönetim Sistemi Standardında kullanan farklı kullanıcıların hepsi “kuruluş” terimiyle ifade edilmiştir. ISO 31000 Risk Yönetim Sistemi Standardı, bir kuruluşun ömrü boyunca çok çeşitli faaliyetlerine uygulanabilir; bu faaliyetler stratejiler, kararlar, işlemler, süreçler, fonksiyonlar, projeler, ürünler, servisler ve aktifleri içerir. ISO 31000 Risk Yönetim Sistemi Standardı niteliği ne olursa olsun, pozitif veya negatif sonucu olsun veya olmasın her tür riske uygulanabilir. ISO 31000 Risk Yönetim Sistemi Standardı her ne kadar genel esaslar sağlasa da, kuruluşlar çapında risk yönetimi birliğini teşvik etmeyi amaçlamaz. Risk yönetimi planlarının ve çerçevelerinin tasarımı ve uygulanması sürecinde, belirli bir kuruluşun değişen ihtiyaçları, özel hedefleri, bağlamı, yapısı, işlemleri, süreçleri, projeleri, ürünleri, servisleri veya aktifleri ve benimsenen belirli yöntemleri hesaba katılmalıdır. ISO 31000 Risk Yönetim Sistemi Standardı, mevcut ve gelecekteki standartlardaki risk yönetimi süreçlerini düzene sokmak için kullanılması hedeflenmektedir. ISO 31000 Risk Yönetim Sistemi Standardı, belirli risklerle ve/veya sektörlerle ilgili olan standartları destekleyen genel bir yaklaşım sağlar ve bu standartların yerini almaz. ISO 31000 Risk Yönetim Sistemi Standardı, sertifika amacı taşımaz.
ISO 31000 Risk Yönetim Sistemi Standardı amaçları çerçevesinde aşağıdaki terimler ve tanımlar geçerlidir. 2.1 risk : sk : Hedefler üzerindeki belirsizliğin etkisi NOT 1 Etki beklenenden sapma şeklinde olabilir — pozitif ve/veya negatif. NOT 2 Hedeflerin muhtelif boyutları olabilir (finansal, sağlık ve güvenlik ve çevresel hedefler) ve muhtelif seviyelerde uygulanabilir (stratejik, kuruluş çapında, proje, ürün ya da süreç). NOT 3 Risk genel olarak potansiyel olaylar (2.17) ve sonuçlar (2.18) ya da bunların birleşimi ile tanımlanır. NOT 4 Risk genel olarak bir olayın sonuçları (sonuçlardaki değişiklikleri de içerir) ile oluşmaihtimalinin (2.19) birleşimi bakımından ifade edilir. NOT 5 Belirsizlik bir olay, sonuç, ya da olasılığın anlaşılması ya da bilinmesi ile ilgili tam ya da kısmi bilgi eksikliği durumudur. 2.2 risk yönetimi: risk (2.1) bakımından bir kuruluşu yöneten ve kontrol eden koordineli faaliyetler bütünüdür. 2.3 risk yönetim çerçevesi : Kuruluş genelinde tasarlama, uygulama, izleme (2.28), inceleme ve risk yönetimini (2.2) devamlı iyileştirmek için kurum ve kuruluşlara ait düzenlemeleri sağlayan bileşenler dizisidir NOT 1 Kurumlar riski (2.1) yönetebilmek için politika, hedefler, emir ve bağlılık faktörlerini içerir. NOT 2 Kuruluşlara ait düzenlemeler; planlar, ilişkiler, sorumluluklar, kaynaklar, süreçler ve faaliyetleri içerir. NOT 3 Risk yönetim çerçevesi, kuruluşun bütün stratejik ve örgütsel politika ve uygulamaları içerisine yerleştirilmiştir. 2.4 risk yönetim politikası : bir kuruluşun risk yönetimine (2.2) ilişkin bütün amaçları ve yönetiminin ifadesidir 2.5 risk tutumu : kuruluşun riski (2.1) hesaplayıp peşinden gitmesi, riski muhafaza etmesi ve risk ele alması veya onunla uğraşmayı bırakması yaklaşımıdır 2.6 risk yönetim plan:risk (2.1) yönetimine uygulanacak yaklaşımı, yönetim bileşenlerini ve kaynakları belirleyenrisk yönetim çerçevesi (2.3) içerisindeki plandır NOT 1 Yönetim bileşenleri genel olarak prosedürleri, uygulamaları, sorumlulukların dağılımını, faaliyetlerin sırası ve zamanını içerir. NOT 2 Risk yönetim planı, özel bir ürüne, sürece veya projeye, kuruluşun tamamına veya bir kısmına uygulanabilir. 2.7risk sahibi :Riski (2.1) yönetme yetki ve sorumluluğuna sahip kişi veya kuruluş 2.8 risk yönetim süreci: yönetim politikalarını, prosedürlerini ve faaliyetlerini, iletişim, danışma, bağlam oluşturma faaliyetlerine sistematik olarak uygulama ve riski (2.1) belirleme, değerlendirme, işleme, izleme (2.28) ve inceleme 2.9 Bağlam oluşturma: Riski yönetirken göz önünde bulundurulacak iç ve dış parametreleri tanımlama ve risk yönetim politikası (2.4) için kapsam ve risk kriterlerini (2.22) belirleme 2.10 Dış bağlam : Kuruluşun hedeflerini gerçekleştirmeye çalıştığı dış ortamdır NOT Dış bağlam aşağıdakileri içerir:
- uluslararası, ulusal, bölgesel veya yerel fark etmeden kültürel, sosyal, politik, yasal, düzenleyici, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam;
- kuruluşun hedefleri üzerinde etkisi olan kilit noktalar ve eğilimler; ve
- dış hissedarlarla (2.13) kurulan ilişkiler ve onların algıları ve değerleri.
- Kuruluşun hedeflerini gerçekleştirmeye çalıştığı iç ortamdır NOT İç bağlam aşağıdakileri içerir:
- Bir kuruluşun risk (2.1) yönetimi hakkında hissedarlara (2.13) bilgi sağlamak, onlarla bilgi paylaşmak veya onlardan bilgi edinmek ve onlarla diyalog halinde olmak için yürüttüğü devamlı ve yinelemeli süreçlerdir NOT 1 Bilgi, risk yönetiminin varlığı, türü, şekli, ihtimali (2.19), önemi, değerlendirmesi, uygunluğu ve işlenmesi ile ilgili olabilir. NOT 2 Danışma, bir konu üzerinde karar vermeden veya gidişatı belirlemeden önce bir kuruluşla hissedarlar arasındaki konuya dair çift taraflı iletişim sürecidir. Danışma:
- bir karar veya faaliyeti etkileyen, ondan etkilenen veya etkilendiğini düşünen kişi veya kuruluşlardır. NOT Karar veren kişi hissedar olabilir.
- Bütün risk tanımlama (2.15), risk analizi (2.21) ve risk inceleme(2.24) süreçleridir.
- (2.1) bulma, tanıma ve tanımlama sürecidir NOT 1 Risk tanımlama, risk kaynaklarının (2.16), olayların (2.17), bunların şartları ve potansiyel sonuçlarının (2.18) tanımlanmasını içerir. NOT 2 Risk tanımlama, geçmiş veri, teorik analiz, aydın ve uzman fikirleri ve hissedarın (2.13) ihtiyaçlarını da içerebilir.
- tek başına veya başka bir öğeyle birlikte risk (2.1) oluşturma potansiyeli taşıyan unsur NOT Bir risk somut veya soyut olabilir.
- bir takım şartların oluşumu veya değişimine verilen isimdir NOT 1 Bir olay bir veya birden fazla olabilir ve bir olayın birkaç sebebi olabilir. NOT 2 Bir olay, gerçekleşmeyen şeyleri içerebilir. NOT 3 Bir olay, bazen “vaka” veya “kaza” olarak adlandırılabilir. NOT 4 Sonuçları (2.18) olmayan bir olaydan, “ramak kala”, “hadise”, “ucuz kurtulma” veya “kıl payı” olarak da bahsedilebilir.
- bir olayın (2.17) hedefleri etkileyen neticesine verilen addır NOT 1 Bir olay, bir dizi sonuçlar doğurabilir. NOT 2 Bir sonuç kesin olabilir veya olmayabilir ve hedefler üzerinde pozitif veya negatif etkiye sahip olabilir. NOT 3 Sonuçlar, niteliksel veya niceliksel olarak ifade edilebilir. NOT 4 İlk sonuçlar zincirleme etkiyle çoğalabilir.
- bir şeyin olma olasılı NOT 1 Risk yönetimi terminolojisinde, “ihtimal” kelimesi, nesnel veya öznel olarak, niteliksel veya niceliksel olarak tanımlanmış, ölçülmüş veya belirlenmiş olsun veya olmasın bir şeyin olma olasılığından bahsetmek için kullanılır ve genel terimler kullanılarak veya matematiksel olarak (örneğin belirli bir süre içinde olma olasılığı veya sıklığı) tanımlanır. NOT 2 “İhtimal” teriminin bazı dillerde doğrudan bir karşılığı yoktur; onun yerine genellikle “olasılık” terimi kullanılır. Ancak Türkçede “olasılık” kelimesi genellikle dar anlamda matematik terimi olarak anlaşılır. Bu yüzden risk yönetimi terminolojisinde “ihtimal” kelimesi, Türkçe dışındaki diğer dillerdeki “olasılık” teriminin sahip olduğu geniş anlamı da içerecek şekilde kullanılır.
- bir takım risklerin (2.1) tanımıdır NOT Bu bir takım riskler, kuruluşun tamamını veya bir kısmını ilgilendiren ya da başka şekilde tanımlanan riskleri içerebilir.
- (2.1) türünü anlamak ve risk seviyesini (2.23) belirlemek için yürütülen süreçtir. NOT 1 Risk analizi, risk inceleme (2.24) için bir zemin oluşturur ve risk işleme (2.25) ile ilgili kararlar sağlar. NOT 2 Risk analizi, risk tahmini içerir.
- şartname -- bir riskin (2.1) önemi bu şartnameye göre değerlendirilir NOT 1 Risk kriterleri, örgütsel hedeflere ve dış (2.10) ve iç bağlama (2.11) dayalıdır. NOT 2 Risk kriterleri, standartlardan, yasalardan, politikalardan ve diğer şartlardan türetilebilir.
- (2.18) ve bu sonuçların ihtimallerinin (2.19) birleşimi açısından ifade edilen riskin (2.1) büyüklüğü veya risklerin birleşimidir.
- (2.1) ve/veya büyüklüğünün kabul edilebilir veya geçerli olup olmadığını belirlemek için risk analizinin (2.21) sonuçları ile risk kriterlerini (2.22) karşılaştırma sürecidir NOT Risk inceleme, risk işleme (2.25) ile ilgili kararlara yardımcı olur.
- (2.1) azaltma sürecidir NOT 1 Risk işleme aşağıdakileri içerir:
- yönetim, örgütsel yapı, roller ve sorumluluklar;
- politikalar, hedefler ve onları gerçekleştirmeye elverişli stratejiler;
- kaynaklar ve bilgi yönünden imkanlar (örneğin nakit, zaman, insan, süreç, sistemler ve teknolojiler);
- bilgi sistemleri, bilgi akışları ve karar verme süreçleri (hem resmi hem gayri resmi);
- iç hissedarlarla kurulan ilişkiler ve onların algıları ve değerleri;
- kuruluşun kültürü;
- kuruluş tarafından benimsenen standartlar, esaslar ve modeller; ve
- akdi ilişkilerin şekli ve kapsamı.
- bir karara yetkiden ziyade söz geçirerek etkide bulunan süreçtir; ve
- karar verme sürecine yapılan katkıdır ama ortaklaşa karar verme değildir.
- riski arttıran faaliyetlere başlamamaya veya devam etmemeye karar vererek riskten kaçınma;
- bir fırsatın peşinden koşmak için risk alma veya riski arttırma;
- risk kaynağını (2.16) kaldırma;
- ihtimali (2.19) değiştirme;
- sonuçları (2.18) değiştirme;
- riski başka taraf veya tararlarla paylaşma (sözleşmeler ve risk finansmanı dahil); ve
- bilinçli kararlarla riski muhafaza etme.
NOT 2 Olumsuz sonuçlarla ilgilenen risk işlemesi bazen “riski hafifletme”, “riski ortadan kaldırma”, “riskten korunma” ve “risk azaltma” olarak adlandırılır. NOT 3 Risk işleme, yeni riskler yaratabilir veya var olan riskleri azaltabilir.
- (2.1) azaltan önlemdir. dir. NOT 1 Kontroller, riski azaltan her türlü süreç, politika, araç, uygulama veya diğer faaliyetleri içerir. NOT 2 Kontroller her zaman istenilen veya öngörülen azaltma etkisini göstermeyebilir.
- (2.25) sonra kalan risktir (2.1). NOT 1 Artık risk, tanımlanamayan risk içerebilir. NOT 2 Artık risk aynı zamanda “arta kalan risk” olarak da bilinir.
- gereken veya beklenen performans seviyesinden sapmayı belirlemek için durumu devamlı kontrol etme, denetleme, gözlemleme veya saptama sürecidir NOT İzleme risk yönetim çerçevesine (2.3), risk yönetim sürecine (2.8), riske (2.1) veyakontrole (2.26) uygulanabilir.
- Koyulan hedeflere ulaşmak amacıyla konunun uygunluğunu, yeterliliğini ve etkisini belirlemek için yürütülen faaliyet NOT: Gözden geçirme, risk yönetim çerçevesine (2.3), risk yönetim sürecine (2.8), riske(2.1) veya kontrole(2.26) uygulanabilir.
3 ISO 31000 RİSK YÖNETİM SİSTEMİ İLKELERİ
Risk yönetiminin etkili olması için, bir kuruluş her düzeyde aşağıdaki ilkelere uymalıdır. ır.
a) Risk yönetimi değer yaratır ve değeri korur. Risk yönetimi, sağlık ve güvenlik, emniyet, yasalara ve mevzuata uygunluk, halk tarafından kabul görme, çevre koruması, ürün kalitesi, proje yönetimi, işlemlerdeki yeterlilik, yönetim ve saygınlık gibi konulardaki performansın geliştirilmesine ve hedeflerin gerçekleştirilmesine katkıda bulunur.
b) Risk yönetimi, bütün örgütsel süreçlerin bütünleyici bir parçasıdır. Risk yönetimi, bir kuruluşun ana faaliyetlerinden ve süreçlerinden ayrı bağımsız bir faaliyet değildir. Risk yönetimi, sorumlulukların ve yönetimin bir parçası ve stratejik planlama ve bütün proje ve değişiklik yönetimi süreçleri dahil bütün örgütsel süreçlerin bütünleyici bir parçasıdır.
c) Risk yönetimi, karar verme sürecinin bir parçasıdır. Risk yönetimi, karar veren kişilerin bilinçli seçimler yapmasına, faaliyetlerin öncelik sırasını belirlemelerine ve bir faaliyetin alternatif yolları hakkında fikir yürütmelerine yardımcı olur.
d) Risk yönetimi doğrudan belirsizliklere odaklanır. Risk yönetimi doğrudan belirsizliği, belirsizliğin türünü ve onunla nasıl başa çıkılacağını hesaba katar.
e) Risk yönetimi sistematik, yapısal ve zamana bağlıdır. Risk yönetimine sistematik, zamana bağlı ve yapısal bir şekilde yaklaşmak tutarlı, karşılaştırılabilir ve güvenilir sonuçlara ve etkinliğe katkı sağlar.
f) Risk yönetimi mevcut olan en iyi bilgiye dayanır. Risk yönetimi süreci girdileri, geçmiş veriler, tecrübe, hissedarların geribildirimleri, gözlemler, tahminler ve uzman görüşleri gibi bilgi kaynaklarına dayanır. Ancak karar vericiler, verilerin üzerindeki sınırlamalardan, kullanılan modelden veya uzmanlar arasında oluşabilecek görüş ayrılıklarından haberdar olup bunları hesaba katmalıdırlar.
g) Risk yönetimi kuruluşa özeldir. Risk yönetimi kuruluşun dış ve iç bağlam ve risk profili ile paraleldir.
h) Risk yönetimi insan ve kültür faktörlerini hesaba katar. Risk yönetimi, kuruluşun hedeflerine ulaşmasını sağlayacak veya buna engel olacak iç ve dış kişilerin yeteneklerini, algılarını ve niyetlerini hesaba katar.
i) Risk yönetimi şeffaf ve kapsayıcıdır. Hissedarların ve özellikle de kuruluşun muhtelif seviyelerinde yer alan karar vericilerin uygun ve zamanında katılımı, risk yönetiminin yerinde ve güncel olmasını sağlar. Bu katılım ayrıca hissedarların uygun biçimde temsil edilmesine ve risk kriterleri belirlenirken görüşlerinin hesaba katılmasına imkan sağlar.
j) Risk yönetimi dinamik, yinelemeli ve değişime hassastır Risk yönetimi sürekli olarak değişimi algılar ve değişime cevap verir. İç ve dış olaylar oldukça, bağlam ve bilgi değişir, risklerin izlenmesi ve gözden geçirilmesi gerçekleşir, yeni riskler ortaya çıkar, bazıları değişir ve bazıları ortadan kalkar.
k) Risk yönetimi kuruluşun sürekli gelişmesini sağlar.Kuruluşlar, kendilerine ait diğer yönlerin yanı sıra risk yönetim olgunluğunu iyileştirmek için de stratejiler geliştirir ve bu stratejileri uygular. ,
İçindekiler
Önsöz
Giriş
1 Kapsam
2 Terimler ve tanımlar
3 İlkeler
4 Çerçeve
4.1 Genel
4.2 Emir ve bağlılık
4.3 Risk yönetimi için çerçeve tasarımı
4.3.1 Kuruluşu ve bağlamı anlama
4.3.2 Risk yönetim politikası oluşturma
4.3.3 Sorumluluk
4.3.4 Örgütsel süreçlerle bütünleşme
4.3.5 Kaynaklar
4.3.6 İç haberleşme ve raporlama mekanizması oluşturma
4.3.7 Dış haberleşme ve raporlama mekanizması oluşturma
4.4 Risk yönetimini yürürlüğe koyma
4.4.1 Risk yönetimi için hazırlanan çerçeveyi yürürlüğe koyma
4.4.2 Risk yönetim sürecini yürürlüğe koyma
4.5 Çerçeveyi izleme ve gözden geçirme
4.6 Çerçevenin devamlı iyileştirilmesi
5 Süreç
5.1 Genel
5.2 İletişim ve danışma
5.3 Bağlam oluşturma
5.3.1 Genel
5.3.2 Dış bağlam oluşturma
5.3.3 İç bağlam oluşturma
5.3.4 Risk yönetim sürecinin bağlamını oluşturma
5.3.5 Risk kriterlerini tanımlama
5.4 Risk hesaplama
5.4.1 Genel
5.4.2 Risk tanımlama
5.4.3 Risk analizi
5.4.4 Risk değerlendirme
5.5 Risk işleme
5.5.1 Genel
5.5.2 Risk işleme seçeneklerini seçme
5.5.3 Risk işleme planları hazırlama ve yürürlüğe koyma
5.6 İzleme ve gözden geçirme
5.7 Risk yönetim sürecini kaydetme
Ek A (bilgilendirici) Gelişmiş risk yönetimin özellikleri
Kaynakça