SEPAM

ISO Risk Yönetim Standardı (ISO 31000:2018)

ISO Risk Yönetim Standardı (ISO 31000:2018)

Yaşamak aslında risk almaktır. Bu kural tüm canlılar için geçerlidir. İnsan yaşamında riskten kaçmak çoğu defa mümkün değildir. Riskten kaçınılamaz ama görmezlikten gelinebilir. Modern yaşamda trafikte araç kullanmak, yolda yürümek gibi her normal faaliyet tehlikelere açıktır ve özünde risk almayı gerektirir. Risksiz bir yaşam yoktur sadece risksiz yaşam algısı bir yanılsamadan ibarettir. Risk almadan bir yaşam mümkün olmasa da risk getirecek hareketlerden kaçınarak hayat sürdürülebilir. Ama bu hayat tatsız tuzsuz ömür geçirme faaliyeti ötesinde bir anlamı yoktur.

Risk, insan yaşamında olduğu gibi, iş hayatının da ayrılmaz bir parçasıdır. İşletmelerin amaçlarına yönelik belirsizlik yaratan veya beklenenden sapmalara sebep olan her şey risk kapsamı içindedir. Bu tanım sadece işletmenin hayatiyeti veya gücüne yönelik tehditler değil aynı zamanda kazanç elde edilebilecek fırsatları da içermektedir.

ISO 31000 standardı, şirketlerin risk temelli bir karar verme sürecini kendi bünyelerinde bulunan yönetişim, planlama, yönetim, raporlama, politikalar, değerler ve kültürüne nasıl entegre edeceklerine ilişkin yol gösterici ilkeler sunmayı amaçlar. ISO 31000, zorunlulukları dikte etmez sadece rehberlik sağlamayı amaçlar ve zorunluluk içermediğinden ISO tarafından sertifika verilebilir standartlar arasında sayılmamıştır.

Dünya Ekonomik Forumu’nun Global Risk Raporu’na (The Global Risks Report 2023) göre; enflasyon, geçim sıkıntısı, doğal felaketler ve ekstrem hava olayları,  iklim değişikliği, sosyal bağların zayıflaması ve sosyal ayrışmalar, yaygın siber saldırılar, doğal kaynak krizi, büyük boyutlu mülteci göçleri, devletlerin çökmesi, yalan haber yaymak ve haber gizlemek, devletler arası çatışmalar, çok uluslu kurumların etkisizliği, tedarik zincirinde çökmeler, borç krizi, işsizlik krizi, varlık fiyatı çökmeleri,  salgın hastalıklar, kamu altyapı ve hizmetlerinde çökmeler, dijital eşitsizlik, ekstrem teknolojilerin ters yan etkileri, dijital güç yoğunlaşması global riskler olarak sayılmıştır. Kuşkusuz, bu global riskler ülke ve işletme düzeyinde riskler yanında fırsatlar da yaratmaya adaydır.

Bu kapsamda, işletmeler için geliştirilen ISO 31000:2018 Standardının temel bileşenleri aşağıda kısaca açıklanmıştır.

İlkeler

Risk yönetimine nereden başlanmalıdır? İlk olarak, risk yönetimi için öncelikle işletmenin ana amaçları tanımlanmış olmalıdır. Amaçlar belirlenmeden bu amaçlara yönelik riskleri belirlemek, risk yönetim sistemi hedeflerini ve gerekliliklerini tanımlamak kolay değildir. İkinci olarak, işletmenin mevcut yönetişim yapısının gözden geçirilmesi gerekir. Bu sayede risklere yönelik doğru roller, sorumluluklar ve raporlama prosedürleri tahsis edilebilir. Son olarak, risk yönetim sistemi kurmak ve işletmek için hangi kaynakların tahsis edileceğine yönelik taahhüt düzeyi belirlenmelidir.

Risk yönetiminin amacı, değerin yaratılması ve korunmasıdır. İlkeler, etkin ve efektif bir risk yönetiminin yapısı konusunda rehberlik yapmayı amaçlar. Bu ilkeler, işletmenin amaçları üzerindeki bulunan belirsizliklerin etkilerini yönetmeye imkân vermelidir. Risk yönetimine ilişkin temel ilkeler;

  • Risk yönetimi işletmenin faaliyetlerinin bütünleşik bir parçasıdır.
  • Risk yönetimi için kapsamlı ve yapılandırılmış bir yaklaşım istikrarlı ve karşılaştırılabilir sonuçlara katkıda bulunur.
  • Risk yönetimi çerçevesi ve süreci işletmenin amaçlarına ilişkin içsel ve dışsal bağlamı ile orantılı ve işletmeye özgüdür.
  • Paydaşların bilgisini, görüşünü ve algısını dikkate alacak şekilde zamanında ve uygun yöntemlerle paydaşları sürece dahil eder.
  • Riskler, işletmenin içsel ve dışsal bağlamı değiştikçe ortaya çıkar, değişir veya ortadan kaybolurlar. Risk yönetimi, zamanında ve uygun bir şekilde bu olay ve değişmeler tahmin eder, tespit eder ve uygun cevaplar üretir.
  • Risk yönetimine yönelik girdiler, geçmiş ve şimdiki bilgiler yanında geleceğe yönelik beklentilere dayanır.
  • İnsan davranışları ve kültür, her düzeyde ve her aşamada risk yönetimini tüm boyutlarından önemli ölçüde etkiler.
  • Risk yönetimi, tecrübe ve öğrenme yoluyla sürekli olarak iyileştirilir.

Çerçeve

Risk yönetim çerçevesinin amacı, işletmenin önemeli faaliyet ve fonksiyonlarına risk yönetimini entegre etmektir.

  • Üst yönetim ve gözetim organları, mümkün olan her durumda işletmenin tüm faaliyetlerine entegre edildiğinden emin olmalı ve bu konuda liderlik etmeli ve taahhütte bulunmalıdır.
  • İşletmelerin yapısı, işletmelerin amaç, hedef ve karmaşıklığına bağlı olarak değişir. Riskler, işletme yapısının her parçasında yönetilir ve işletmedeki herkes risk yönetiminden sorumludur.
  • Risk yönetimi çerçevesi tasarlarken işletme, içsel ve dışsal bağlamını incelemeli ve anlamalıdır.
  • Üst yönetim ve gözetim organları, mümkün olan her durumda, işletmenin amaçlarına ve risk yönetimine ilişkin politika, talimat veya diğer formlarda risk yönetimine ilişkin taahhütlerini göstermeli ve açıklamalıdır.
  • Üst yönetim ve gözetim organları, mümkün olan her durumda, risk yönetimine yönelik uygun kaynakları tahsis etmelidir.
  • İşletme, efektif risk yönetim uygulamasını mümkün kılmak ve çerçeveyi desteklemek için iletişim ve danışmanlık yaklaşımı getirmelidir.
  • İşletme, uygun bir risk yönetimi çerçevesi tasarlamalı ve uygulamalıdır.
  • İşletme, dönemsel olarak risk yönetim çerçevesinin etkinliğini gözden geçirmeli, işletmenin amaçlarına hizmet edip etmediği belirlenmelidir.
  • İşletme, sürekli olarak, içsel ve dışsal koşullardaki değişmeleri adreslemek için risk yönetim çerçevesi adapte etmeli ve izlemelidir.
  • İşletme, risk yönetim çerçevesinin etkinliği ve uygunluğu ile risk yönetim süresi ile entegrasyonunu sürekli olarak iyileştirmelidir.

Süreç

Risk yönetim süreci, riski değerlendirme, bağlamını tanımlama, önleme, izleme, gözden geçirme, iletişimini ve danışmanlığını yapma faaliyetlerine yönelik politika, prosedür ve pratiklerin sistematik bir uygulamasını içerir.

  • İletişim ve danışmanlığın amacı, riskin anlaşılması ile kararların dayanağı ve belirli aksiyonların niye alındığı konusunda ilgili paydaşlara yardım etmektir.
  • Kapsam, bağlam ve kriterlerin belirlenmesinin amacı, efektif risk değerlendirme ve uygun risk önlemlerine imkân verecek şekilde, risk yönetim sürecini işletmeye özgü hale getirmektir.
  • İşletme, risk yönetiminin kapsamını tanımlamalıdır. Amaçlar ve alınması gereken kararlar, süreçte atılması gereken adımlardan beklenen çıktılar, zaman, lokasyon, spesifik eklemeler ve çıkarmalar, uygun risk değerlendirme araç ve teknikleri, gerekli kaynaklar, sorumluluklar ve tutulması gereken kayıtlar, diğer süreç ve faaliyet ve projeler ile ilişkiler dikkate alınmalıdır.
  • İçsel ve dışsal bağlam, işletmenin amaçlarını tanımladığı ve gerçekleştirmeyi hedeflediği ortamı ifade eder. Bağlamı anlamak önemlidir çünkü risk yönetimi işletmenin amaçları ve faaliyetleri bağlamında cereyan eder, işletme faktörleri risk kaynağı olabilir ve bir bütün olarak risk yönetiminin amacı ve kapsamı işletmenin amaçları ile iç içedir.
  • İşletme, amaçlarına ilişkin üstlenmeye hazır olabileceği risk tipi ve miktarını belirlemelidir. Risk kriteri tanımlanırken, amaç ve çıktıları etkileyebilen belirsizlik türleri ve doğası, ihtimaller ve sonuçların nasıl tanımlanacağı ve ölçüleceği, zamanla ilgili faktörler, önlemlerin sürekliliği, risk düzeylerinin nasıl belirlendiği, çoklu risklerin sıralaması ve kombinasyonunun nasıl dikkate alınacağı ile işletmenin kapasitesi dikkate alınmalıdır.
  • Risk değerlendirme, riskin tanımlanması, analiz edilmesi ve riskin ölçülmesidir.
  • Riskin tanımlanmasının amacı, işletmenin amaçlarının gerçekleştirilmesini engelleyebilen veya yardım edebilen risklerin bulunması, teşhis edilmesi ve belirlenmesidir. Riskin maddi ve maddi olmayan kaynakları, tehditler ve fırsatlar, olay ve sebepleri, zayıflıklar ve yetenekler, içsel ve dışsal bağlamda değişiklikler, kaynak ve varlıkların değeri ve doğası, amaçlar üzerindeki etki ve sonuçlar, bilgilerin güvenirliği ve limitleri, zamanla ilgili faktörler, sapmalar, varsayımlar ve kanaatleri ile ilgili faktörleri içermelidir.
  • Risk analizinin amacı, riskin doğasının ve özelliklerinin anlaşılmasıdır. Olayların ihtimali ve sonuçları, sonuçların doğası ve büyüklüğü, karmaşıklığı ve ilişkisi, zamanla ilgili faktörler ve değişkenlikler, mevcut kontrollerin efektifliği, duyarlılık ve gizliliği ilgili faktörleri içermelidir.
  • Risk değerlemenin amacı, kararları desteklemektir. Risk değerleme, ilave aksiyon gerekip gerekmediği konusunda, risk analizi sonuçlarını önceden belirlenmiş risk kriterleri ile karşılaştırmayı içerir. İlave aksiyon alınmaması, risk azaltma opsiyonlarının belirlenmesi, riski daha iyi anlamak için ilave analizler yapılması, mevcut kontrollerle yetinilmesi, amaçların yeniden ele alınmasına ilişkin faktörleri içerir.
  • Risk önlemlerinin amacı, riski adresleyen opsiyonların seçilmesi ve uygulanmasıdır. Risk önleme opsiyonları seçmek ve formüle etmek, risk önlemlerini planlamak ve uygulamak, önlemlerin efektifliğini değerlendirmek, kalan riskin kabul edilebilirliğine karar vermek, kabul edilebilir değilse ilave önlemler almak ile ilgili deneme yanılma sürecidir.
  • En uygun risk önlemlerinin seçilmesi, amaçların gerçekleştirilmesinden gelen potansiyel faydalar ile uygulamanın maliyetleri, çabalar ve dezavantajları dengelemeyi amaçlar. Risk önleme opsiyonları, riske neden olan faaliyete başlamamak veya durdurmak şeklinde riskten kaçınmak, bir fırsattan yararlanmak için riski almak veya riski artırmak, risk kaynağını devre dışı bırakmak, ihtimali değiştirmek, sonuçları değiştirmek, riski paylaşmak (sözleşme veya sigorta) ve bilinçli bir şeklide mevcut riski kabul etmek şeklinde faktörleri içerir.
  • Risk önleme planları, beklenen faydaları içerecek şekilde önlemlerin seçilmesini gerekçelendirme, planı onaylamak ve uygulamaktan sorumlu olanlar, önerilen aksiyonlar, şartlı olanlar dahil gerekli kaynaklar, performans ölçümleri, kısıtlar, gerekli izleme ve raporlama, aksiyonların ne zaman alınacağı ve tamamlanacağı şeklinde faktörleri içerir.
  • Gözden geçirme ve izleme, sürecin tüm aşamalarında yer almalı; planlama, bilgi toplama ve analizi, sonuçların kaydı ve geri bildirimleri içermelidir. İzleme ve gözden geçirme sonuçları işletmenin performans yönetimi, ölçülmesi ve raporlanması faaliyetleri ile entegre edilmelidir.
  • Kaydetme ve raporlama aşaması, risk yönetim süreci ve çıktıların uygun mekanizmalarla dokümante edilmesi ve raporlanmasını sağlamalıdır. İşletme içinde risk yönetim faaliyetlerini ve sonuçlarının iletişimini yapmak, karar verme için bilgi sağlamak, risk yönetim faaliyetlerini iyileştirmek, risk yönetim faaliyetleri için sorumluluk ve hesap verme sorumluluğu olanlar da dahil olmak üzere paydaşlarla etkileşime yardımcı olmak hedeflenmelidir.

Mustafa Arar

Sermaye Piyasaları Bağımsız Danışmanı