ISO 31000 Nedir ?
ISO 31000, bir kurumun karşılaştığı riskleri doğru bir şekilde yönetmesi için gerekli olan kuralları ve prensipleri açıklamaktadır. İşletmeler, birim, süreç, faaliyet bazlı ya da tamamen kurumsal olarak bu standardı uygulayabilir ve ISO 31000 Kurumsal Risk Yönetim Sistemi Belgesi alabilir. ISO 31000 Belgesi, sektör veya endüstri özelinde olmayıp tüm kamu ve özel sektör kuruluşları tarafından alınabilmektedir. İşletme büyüklüğü veya tanımlanan risklerin türü ve boyutu da fark etmemektedir. ISO 31000 Kurumsal Risk Yönetim Sistemi Belgesi alan işletmeler, kurumsal risklerini çok daha kolay bir şekilde yönetebilmekte ve karşılacağı sorunları ve tehlikeleri en aza indirebilmektedir.
ISO 31000:2018 Kurumsal Risk Yönetim Sistemi Kapsamı
Günümüz iş dünyasında büyük ya da küçük her işletmenin, ürettiği ürün ya da hizmet ne olursa olsun karşı karşıya kaldığı ve yönetmesi gereken birtakım riskler bulunmaktadır. İşletme büyüdükçe, iş süreçleri karmaşıklaştıkça, tedarik zincirleri uzadıkça, çalışan sayısı arttıkça bu riskler de elbette artmaktadır. Fakat kurumların her durumda ayakta kalabilmek, kâr edebilmek, paydaşlarını memnun edebilmek ve büyüyebilmek için bu riskleri en iyi şekilde yönetmesi gerekmektedir. ISO 31000 Kurumsal Risk Yönetim Sistemi de bu kapsamda geliştirilmiş uluslararası bir standarttır. Yapısı itibariyle diğer yönetim sistemlerine benzeyen ISO 31000’i başarıyla uygulayan şirketler, ISO 31000 Kurumsal Risk Yönetim Sistemi Belgesi alarak bu kabiliyetini ve yetkinliğini tescilleyebilmektedir.
En son versiyonu 2018 yılında yayınlanan ISO 31000:2018 standardının maddelerini şöyle özetleyebiliriz:
- Kapsam
- Normatif Referanslar
- Terimler ve tanımlamalar
- Prensipler
- Çerçeve
- Genel
- Liderlik ve taahhüt
- Entegrasyon
- Tasarım
- Uygulama
- Değerlendirme
- İyileştirme
- Süreç
- Genel
- İletişim ve danışma
- Kapsam, bağlam ve kriterler
- Risk değerlendirme
- Risk iyileştirme
- İzleme ve gözden geçirme
- Kayıt ve raporlama
ISO 31000 Belgesi Nasıl Alınır?
ISO 31000’in bir kılavuz doküman olduğunu, gereklilik belirtmediğini ve bu nedenle aslında belgelendirme / sertifikasyon amacıyla kullanılmadığını belirtmekte fayda var. Standardın amacı işletmelere kurumsal risk yönetimi yaklaşımını oturtmak ve risk değerlendirme ve iyileştirme yetkinliği kazandırmaktır. ISO 31000’in nihai amacı diğer yönetim sistemlerinde olduğu gibi belgelendirme olmamasına rağmen, kurdukları risk yönetim sisteminin bağımsız kuruluşlar tarafından denetlenip belgelendirilmesini talep eden işletmeler mevcuttur.
ISO 31000 Belgesi almak için öncelikle işletme bünyesinde risk yönetim sistemi altyapısının kurulması ve konuyla ilgili personellere ISO 31000 Kurumsal Risk Yönetim Sistemi eğitimleri verilmesi gerekmektedir. ISO 31000 Kurumsal Risk Yönetim Sistemi Belgesi başvurusu yapmadan öne ayrıca sistemin, işletmenin hangi birimlerine ve süreçlerine uygulanacağı da belirlenmeli ve gerekli prosedürler oluşturulmalıdır. ISO 31000 Belgesi için tüm hazırlıklar yapıldıktan sonra akredite belgelendirme kuruluşlarıyla iletişime geçilerek belgelendirme süreci başlatılabilir. Bu aşamadan sonra süreç şu şekilde ilerlemektedir:
Belgelendirme kuruluşu işletmelerden şirkete ait birtakım evraklar ve ISO 31000 özelinde hazırlanmış bazı dokümanlar talep etmektedir. Bunları inceledikten ve uygunluğunu onayladıktan sonra bir denetleme planı oluşturulmaktadır. Bu plan başvuru sahibi firma ile paylaşılır ve denetleme tarihi geldiğinde bağımsız denetçiler şirkete gelerek yerinde denetlemeler yapar. Denetlemelerin başarıyla tamamlanmasında sonra ise ISO 31000 Kurumsal Risk Yönetim Sistemi belgelendirmesi yapılır.
ISO 31000 Kurumsal Risk Yönetim Sisteminin Faydaları
ISO 31000 standardını uygulayan işletmeler doğrudan veya dolaylı olarak birçok avantaj elde etmektedir. Bunlardna bazıları şunlardır:
- Kurumsal risklerin doğru bir şekilde yönetilmesi ile ileride karşılaşılabilecek sorunlar ve tehlikeler en aza indirilir.
- Daha gerçekçi ve ulaşılabilir hedefler belirlenir.
- İş süreçlerinde verimlilik; ürün ve hizmetlerde kalite ve müşteri ilişkilerinde memnuniyet artar.
- Marka değeri yükselirken kurumsal itibar artar. ISO 31000’i uygulayan şirketlerin paydaşları nezdindeki saygınlığı ve müşterilerin markaya olan bağlılığı artar.
- ISO 31000 sayesinde riskleri kontrol altına alan firmalar kurumsal fırsatları da daha iyi belirleyebilir.
- Risk yönetimi sayesinde iş süreçlerinde reaktif değil proaktif bir yaklaşım sergilenir.
- Çevre, kalite, enerji, iş sağlığı ve güvenliği, bilgi güvenliği veya şirketin bulunduğu sektöre özel geliştirilmiş standartların uygulanması kolaylaşır.
- Çalışanların farkındalığı ve motivasyonu artar.