Sıfır Tolerans İlkesiyle Katmanlı Risk Yönetimi

0
1689

Kurumsal Risk Yönetimi; şirketi etkileyebilecek potansiyel olayları tanımlamak, riskleri şirketin kurumsal risk alma profiline uygun olarak yönetmek ve şirketin hedeflerine ulaşması ile ilgili olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; şirketin yönetim kurulu, üst yönetimi ve tüm diğer çalışanları tarafından etkilenen ve stratejilerin belirlenmesinde kullanılan, kurumun tümünde uygulanan sistematik bir süreçtir (Kaynak: COSO Enterprise Risk Management-Integrated Framework, 2004). Bu tanım doğrultusunda en yalın haliyle risk yönetimini; kurumların hedeflerine ulaşmasını engelleyici risklerin ve hedeflere ulaşımını kolaylaştırıcı fırsatların önceden fark edilerek yönetilmesini sağlayan dinamik ve disiplinli bir sistem olarak tanımlayabiliriz. Dünya genelinde birçok kurum, Risk Yönetimi ve Risk Değerlendirme Tekniklerini içeren ilke ve standartları (ISO 31000, ISO 31010, ISO 31004, ISO 73, ICMM, vb.) göz önünde bulundurarak risk yönetimi için tutarlı ve bütüncül yaklaşımlar benimsemeye ve risk yönetiminin, kurumun yönetimiyle tamamen entegre edilmesi gereken bir yönetim süreci olduğunu kabul etmeye başlamıştır.

ISO 31000‘in çerçevesi ve yapısı her türlü risk yönetimi sürecinin değerlendirilmesine bir baz oluşturması amacı ile tasarlanmıştır. ISO 31000 Risk Yönetimi Standartları, büyük veya küçük ölçekli her türlü kurum için uygulanabilir bir risk yönetimi yapısı oluşturulmasına rehberlik etmektedir. Bu makalede anlatılan Katmanlı Risk Yönetimi yaklaşımı, ISO 31000 risk yönetimi yapısını ve terminolojisini kullanarak açıklanmaya çalışılmıştır.

Risk Kültürü İçeriği

Çeşitli kurumlarda görev yapan risk uzmanları ister büyük ister küçük ölçekli olsun bir kurumun risk kültüründe gerçekleştirilebilecek bir değişimin başarılı bir şekilde sürdürebileceğine inanırlar. Bununla birlikte bu değişim, birisi “Risk Kültürü” diğeri ise “Risk Olgunluğu” terminolojisi ile göze çarpan iki özelliğin şüphesiz olarak yerine getirilmesini gerektirmektedir. Değişim açısından bir risk kültürünün hedeflenmesi mevcut kültürün ve istenen “hedef” kültürün arasındaki farklılıkların açık bir şekilde anlaşılmasını gerektirmektedir. Bu husus, söz konusu değişimin muazzam büyüklükte bir paradigma değişimi olduğunun ve gerçekleştirilmesi için disiplin, kaynaklar ve zaman gerektirdiğinin, özellikle üst yönetim ve yönetici seviyelerinde anlaşılmasını gerektirmektedir.

Bir risk kültürü değişimi için kullanıma hazır bir tarif kitabı veya kanıtlanmış bir bilimsel yaklaşım yoktur. Ancak, bu kültür değişiminin desteklenmesi ve sürdürülmesi açısından belirli koşullarda doğruluğu onaylanmış iyi bilinen modeller, araçlar ve yaklaşımlar mevcuttur.

Yandaki şekilde de gösterildiği üzere, Uluslararası Risk Yönetimi Enstitüsü (IRMI) tarafından geliştirilen risk kültürü modeli, bu kültürün sekiz yönünü, kurumun iş modeliyle uyumlu bir risk kültürünün temel göstergeleri olan dört temada gruplandırmaktadır. Risk yönetimi modelleri en yaygın olarak 6 insan ve 17 sistem olmak üzere 23 temel bileşenden oluşmaktadır.

Mevcut Durum Analizi (Boşluk Analizi) ve Olgunluk Modeli

Bir kurumun risk yönetimi yaklaşımını geliştirmek için yapılması gereken ilk şey, kurumun elindekilerini belirleyen, hangi süreç ve sistemlerin mevcut bulunduğunu değerlendiren bir mevcut durum analizi (boşluk analizi ”GAP Analysis”) yapmaktır. Bir başka deyişle katmanlı yaklaşımın ilk adımı, kurumun mevcut durumunun, belirlenmiş standartlara dayanarak analiz edilmesidir. Kulanılan bu standart, yukarda da bahsedilen 6 insan ve 17 sistem bileşenleri olmak üzere toplam 23 elementi içerir. Bu tür uygulanacak bir mevcut durum tespiti Risk yönetimi çerçevesinin ve uygulama planlarının ana unsurlarını oluşturacaktır.

Risk yönetiminin etkili olması için risk yönetimindeki temel parçalardan herhangi birisinin eksik olmaması gerekir. Unutulmaması gereken husus nerde olduğumuzu bilmeden gitmek istediğimiz yere nasıl gideceğimizi belirlemenin çok zor olacağıdır. Örneğin; çağımızın en büyük teknolojik gelişimlerinden biri olan mobil telefon ile kimseye ihtiyacımız olmadan ulaşmak istediğimiz yerin adını ya da adresini yazarak nasıl ulaşacağımızı öğrenebiliriz. Ancak rotayı belirleyebilmek için mevcut konumumuzu ve nasıl gitmek istediğimizi (yürüyerek, vasıta ile, vb.) belirtmek ve bu koşullara uygun olup olmadığımızı bilmek şartıyla.

Bu nedenle mevcut durum analizi, kurumun risk yönetimi faaliyetlerini değerlendirmek ve sonrasında geliştirmek için çok önemli bir çalışma ve çok kritik bir aşamadır. Riskin olgunluğuna ilişkin resmi bir analiz gerçekleştirilmesi, birden fazla faaliyet için esas teşkil etmektedir ve ölçülen unsurların her birinin uygulama eylem planını içermelidir. Her bir unsur, aşağıdaki resimde gösterilen 5 olgunluk seviyesine dayanan ve olgunluk seviyesini temin edecek bütün kriterleri karşılayacak şekilde değerlendirilmesi gereken tanımlı bir standarda sahiptir (Bu süreç için Hudson Olgunluk Modeli temel olarak kullanılmıştır).

Olgunluk modeli, bir kurumun risk yönetimi sürecinin kalitesinin zaman içerisinde artmasına ilişkin bir yaklaşımdır. Kurumlardaki olgun olmayan veya olgunluk seviyesi düşük olan risk yönetimi sistemleri, genellikle riskleri etkili biçimde yönetmekten ziyade risklerin sadece raporlanmasıyla ilgilenen, sırf kurallara uymak için yürütülen ve istenmeyen bir yükümlülük olarak kalır. Etkili risk yönetimi süreçlerinin zaman içerisinde geliştirilmesi olgunlaşma sürecinin her bir basamağına ek değer katması demektir. Burada dikkat edilmesi gereken husus, daha yukarıdaki bir olgunluk seviyesine ulaşmanın tek yolu, basamakları birer birer çıkmaktan geçer. Olgunluk modeli, kurumun risk yönetimi sürecinin risk kültürü ve olgunluğu anlamında nerde durduğunu göstererek kurumun ihtiyaçlarının karşılanıp karşılanmadığının ve sürecin beklendiği gibi olgunlaşıp olgunlaşmadığının değerlendirilmesine yardımcı olur Değerlendirme bağımsız ve tarafsız risk uzmanı veya uzmanları tarafından gerçekleştirilmelidir. Bu uygulamanın ardından her unsura ilişkin bir gelişim ve iyileştirme planı yapılmalıdır. Bu plan, hedeflere ulaşmayı engelleyecek eksiklikleri ortadan kaldırmaya yönelik olacaktır. Bu hedefler spesifik, ölçülebilir, ulaşılabilir ve doğru zamanlamalı olmalıdır.

Risk Yönetim Süreci

ISO 31000, risk yönetimi çerçevesinin uygulanması için bir risk yönetim süreci sağlamaktadır ve bu süreç, katmanlı risk değerlendirme yaklaşımının temelini oluşturmaktadır.

Risk yönetimi sürecinin tüm aşamalarında iç ve dış paydaşlarla iletişim ve isitişare yapılmalıdır. Bu nedenle iletişim ve danışma planları erken bir aşamada geliştirilmelidir.

Risk yönetim sürecinin en kilit noktasını, risk yönetimi sisteminin içeriğinin belirlenmesi oluşturmaktadır. Kurumun iç ve dış çevresinin tanımlanması, mevcut risk yönetim sisteminin özelliklerinin, eksiklerinin ve hatalarının belirlenmesi, risk yönetim sistemi ile ilgili kriterlerin tespit edilmesi ve sistemin kapsamının oluşturulması gerekmektedir.

Kurum, tehlike/risk kaynaklarını, etki alanlarını, değişiklikleri içeren olayları, koşulları, nedenleri ve olası sonuçları tanımlamalıdır. Bu adımın amacı, hedeflerin gerçekleştirilmesini engelleyebilecek veya geciktirebilecek istenmeyen olaylara dayanan kapsamlı bir risk listesi oluşturmaktır.

Risk analizi, riskin tam olarak tanımlanmasını ve anlaşılmasını içerir. Risk analizi, risk değerlendirmesine ve risklerin iyileştirilmesinin gerekip gerekmediğine ve en uygun iyileştirme stratejilerinin ve yöntemlerinin belirlenmesine karar verir. Risk analizi, ayrıca gerekli kararların alınmasında önemli bir girdi sağlar ve farklı tip ve risk seviyeleri için karar seçenekleri içerir.

Riskin değerlemesinin veya derecelendirilmesinin amacı, risk analizinin sonuçlarına dayanarak, hangi risklerin iyileştirilmesi gerektiği ve iyileştirme uygulamasının önceliği hakkında karar vermede yardımcı olmaktır. Risk değerlemesi, analiz süreci sırasında bulunan risk düzeyinin, içerik dikkate alındığında oluşturulan risk kriterleri ile karşılaştırılmasını içerir.

Kontrollerin hiyerarşisi, tehlikelere maruz kalmayı en aza indirmek veya ortadan kaldırmak için endüstride kullanılan bir sistemdir ve kontrollerin etkinliğinin doğrulanması amacıyla geliştirilmiştir.

Riski iyileştirme, kurumun risk iştahı bünyesindeki mevcut riskleri yansıtmaktadır ve hedeflere ulaşılması bakımından makul bir güvence sağlamaktadır. Riski iyileştirme, riskleri değiştirmek için gerçekleştirilecek uygulamalarda kullanılacak bir veya daha fazla riski iyileştirme seçeneklerini içerir. Bu seçenek veya seçeneklerin uygulanması sonucu ilgili riskin kontrolü veya kontrolün değiştirilmesi sağlanmış olur.

Hem izleme hem de gözden geçirme, risk yönetimi sürecinin planlanmış bir parçası olmalı ve düzenli kontrol ve gözetim içermelidir. Periyodik olarak izleme ve gözden geçirmenin yapılmasıyla birlikte sorumluluklar da açık bir şekilde tanımlanmalıdır. Risk yönetimi faaliyetleri izlenebilir ve ölçülebilir olmalıdır.

Risk yönetimi sürecinde tutulan kayıtlar, yöntem ve araçların yanısıra genel süreçte iyileştirme için temel oluşturur.

Katmanlı Risk Değerlendirmesi ve Entegrasyon

Risk yönetimi süreçlerinin pratik bir uygulama yöntemi ile birleştirilmesinden üç katmanlı bir yaklaşım elde edilmiştir:

Aşağıda yer alan şema, her katman arasındaki bağlantıyı ve katmanın, sürecin dinamikleri üzerinde sahip olduğu etkiyi belirtmektedir. Bu hususlardan herhangi birisinin ihmal edilmesi sistemin zarar verici sonuçlara yol açması ve çökmesi ile sonuçlanacaktır.

Katman 1: Temel Risk Değerlendirmesi

Birinci katmanın (Temel Risk Değerlendirmesi) amacı, kuruma bağlı işletmeye bütün olarak bakmak (kuş bakışı bakmak), potansiyel büyük tehlikeleri belirlemek, büyük istenmeyen olayları tanımlamak, analiz etmek, kontroller oluşturmak, gereksinimleri belgelemek ve ilgili riski mümkün olan en düşük seviyeye indirmek için gerekli kontrol adımlarını uygulamaktır. Bir başka deyişle kurumun veya kuruma ait işletmenin risk profilini ve büyük tehlikelerini ortaya çıkarmaktır.

Katman 2: Yaşam Döngüsü Sorun Bazlı Risk Değerlendirmesi

Bu katman önemli riskleri çok daha ayrıntılı olarak değerlendirerek ele almak, kontrollerin etkinliğini değerlendirmek ve işletim prosedürleri ve özelliklerini sağlamayı hedeflemektedir. Genellikle ’Katman 1’’ kapsamında tanımlanmayan, ele alınmamış, yeni ortaya çıkmış veya var olan ancak önemli ölçüde değiştirilmiş olabilecek riskleri ele almaktadır. Bu katmandaki risk değerlendirmesi aşağıda belirtilenler ile ilişkili olarak ortaya çıkar:

  • Yeni makinelerin veya donanımların kullanıma alınması;
  • Yeni veya ek tesislerin / ünitelerin işletmeye alınması;
  • Yeni kimyasal ürünlerin kullanılmaya başlanması;
  • İşletme bünyesinde var olan faaliyetlerde ve / veya süreçlerde önemli değişiklikler yapılması;
  • Rutin dışı faaliyetler;
  • Planlı veya plansız değişiklikler;
  • Personel ve iş süreçlerindeki değişiklikler de dahil olmak üzere işletme yönetiminde yapılan değişiklikler;
  • Olay araştırmaları veya diğer girdiler üzerinden belirlenen sorunlar;
  • Kullanılan yüklenicilerin / alt yüklenicilerin tanıtımı veya bunlarda yapılan değişiklikler; ve
  • Risk Yönetim sisteminde yapılan değişiklikler.

Katman 3: Sürekli Risk Değerlendirmesi (Mini Risk)

Risk değerlendirmesi sürecinin en güçlü ve önemli ayağı olan Sürekli Risk (Mini Risk) değerlendirmesi gündelik yönetim faaliyetlerinin ayrılmaz bir parçası olarak gerçekleştirilmelidir. Burada, işyerinde günlük işlerin, iş sağlığı ve güvenliği başta olmak üzere düzenli olarak yürütülmesini sağlayan ve denetleyen kişiler ve çalışanlar için resmi bir eğitim sağlanması zorunludur.

Sürekli Risk değerlendirmesi, tehlikelerin, süpervizörler ve ekibi tarafından belirlenmesine odaklanmaktadır. Görev için Güvenli Çalışma Prosedürleri veya Görev Prosedürleri mevcut olmalıdır ve bu prosedürler göreve başlamadan önce veya vardiyanın başlangıcında çalışma ekibi tarafından gözden geçirilmelidir.

Sonuç

Bir kurumun risk kültürünün ve risk yönetiminin etkin bir şekilde sağlanması için Katmanlı Risk Yönetimi önemlidir. İş güvenliği ve sağlığı açısından risk kültürünün değerlendirilmesi, kurumun sağlık ve güvenlik performansı başta olmak üzere diğer risk (çevre, mevzuat, sosyal, finansal, itibar) yönetim performanslarının da değerlendirilmesini sağlar. Kurumun parçası olan her bir paydaş tarafından risk yönetiminin öneminin iyi bilinmesi ve bunun için çaba sarf edilmesi gerekmektedir.

Kaynak