Bugün iş dünyasının en büyük sıkıntısı sürdürülebilir rekabet gücünü korumaktır. Oysa ekonomideki iniş ve çıkışlar ve siyasal ve ekonomik krizlerin olumsuz etkileri bu rekabet gücünü ciddi anlamda etkilemektedir. Her kuruluşun hedefleri var. Ancak yaşanan belirsizlikler kuruluşların hedeflere ulaşmasında risk yaratmakta ve kuruluşlar bu risklerle baş etmeye uğraşmaktadırlar. Belirsizliklerin fırsata dönüştürülmesi ise ayrı bir yetenektir ve kuruluşlar şimdi bu yeteneği kazanmak için risk yönetimine ağırlık vermektedir.
Sadece yerel anlamda değil aynı zamanda küresel anlamda çok sık yaşanmaya başlanan krizler yüzünden kuruluşlar, varlıklarını sürdürülebilmek ve güvenceye almak için, risklerini bir disiplin içinde ve sistematik olarak yönetmek zorundadırlar.
Uluslararası Standartlar Organizasyonu (ISO) bu amaçla 2009 yılında ISO 31000 Kurumsal Risk Yönetimi standardını yayınlamıştır. Bu standart kurumların risk yönetimi çalışmalarına ışık tutmakta ve riski yönetmek için gerekli kuralları belirlemektedir.
Bu standardın yanında kuruluşların risk yönetimi uygulamaları için kullandıkları başka standartlar da bulunmaktadır:
- ISO/IEC Guide 73:2009 (bu doküman risk yönetimine ilişkin genel terimlerin tanımlarını verir)
- ISO/IEC Guide 71:2014 (bu doküman risk yönetimine ilişkin dokümanların amacını açıklar)
- ISO/IEC 27005 Bilgi Güvenliği Yönetim Sistemi, Risk Yönetimi Standardı
- ISO 31000:2009 Risk Yönetimi, Terimler, Standartların Uygulaması
Kuruluşlar Risk Yönetim Sistemi uygulayarak, risklerin önüne geçmek veya etkilerini düşürmek amacı ile verilere dayanarak bilgi sağlamakta, bu bilgileri analiz etmekte ve alternatif risk yönetimi seçenekleri arasından seçim yapmaktadır. Bu çalışmalar sonucunda riskler ve kuruluş üzerindeki olası etkileri ortaya konmaktadır. Risk doğuran ya da doğuracak olan unsurlar ve zayıf halkalar belirlenmektedir. Karar verecek kademelere bilgi sağlanmaktadır.
Riskler belirlendikten sonra firma için öncelik sırasında konulmakta ve riski yönetme konusunda bir yöntem belirlenmektedir. Bazı durumlarda riski tamamen ortadan kaldırmak mümkün olmayabilir. Bu durumlarda da riskin kabul edilebilir sınırları belirlenmekte ve riskler ile belirsizlikler arasında bağlantı kurulmaktadır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi standartları, büyük veya küçük bütün kamu ve özel kuruluşların faaliyetlerine yönelik riskleri doğru ve etkin bir şekilde yönetmek için tasarlanmıştır. Bu standartlar sayesinde oluşturulacak risk yönetim stratejileri, firmanın karşı karşıya kalabileceği her türlü riski yönetmek üzere uygulanabilir.
ISO 31000 standartları, kuruluşların hedeflerine ulaşabilmesi için kabul edilebilir bir güvence sağlamak üzere, taşıdığı faaliyet risklerinin sistematik olarak değerlendirilmesine olanak sağlar. Bu sayede muhtemel zararların yaratacağı etkiler en aza indirilmiş olur. Bunu yapabilmek için de kuruluş, elindeki her türlü bilgiyi kullanmak, analiz etmek ve karar vermek durumundadır.
Önemli olan risklerin de bazen fırsat yaratabileceğini anlamak ve bu yönde hareket edebilmektir. Risklerin yarattığı durumlardan kazanç sağlamak ve risklerin olumsuz etkilerinden kaçınmak mümkün olabilir.
Böyle bir imkan yaratabilmek için çoğu zaman ISO 31000 Kurumsal Risk Yönetim Sistemi’ni kurarken danışmanlık hizmeti alınması daha uygundur. Danışmanlık hizmeti veren kuruluşlar, firmaların, organizasyonel yapılarını, hedeflerini, süreçlerini, varlıklarını, ürün veya hizmetlerini ve yürütülen ya da ileride başlanacak projelerini bir bütün olarak ele alırlar ve her yönden incelerler. Bunun sonucunda da fırsatları ve tehditleri daha çabuk tespit edip değerlendirebilir ve karşılığında strateji belirleyebilirler. Bu da firmanın zararlarının önlenmesinde gelişme demektir. Üstelik çeşitli zorluklar karşısında firmanın esnekliği artmış olacaktır.
ISO 31000 Kurumsal Risk Yönetimi Sistemi sayesinde, firma içinde farklı ünitelerde tespit edilen ve farklı sonuçları olan ancak bir şekilde birbirini etkileyen çeşitli riskler, tutarlı ve firma için en uygun şekilde yönetilmiş olacaktır.
Kurumsal risk yönetiminin firmalara sağlayacağı yararlar şunlar olabilir:
• Firma içinde sorumluluk duygusu yaratmak
• Çalışanlar arasında risk konusunda farkındalık yaratmak
• Süreçleri etkin bir şekilde yönetmek
• Riskleri önleyici bir yaklaşımla yönetmek
• Kaynakları etkin kullanmak
• Firmada açıklık ve şeffaflık kültürünü yaymak
• Firmaya rekabet üstünlüğü sağlamak
• Firmanın marka değerini yükseltmek
Sonuç olarak Kurumsal Risk Yönetim Sistemi bir firmada üst yönetimin sahiplenmesi ve bütün çalışanların katılımı ile kurulabilir. Analiz çalışmaları ile başlanır ve tüm süreçler elden geçirilir. Bütün süreçler, riskleri önleme bakış açısı ile ve olası risklere hızlı tepki verecek şekilde ve yeniden düzenlenir. Yapılacak eğitim çalışmaları ile çalışanlara risklerin ne olduğu, nasıl yönetileceği ve nasıl fırsata dönüştürüleceği ile birlikte sistemin tüm mantığı her yönü ile anlatılır.