ISO 31000:2009 standardı risk yönetimine ilişkin süreç, çerçeve ve ilkelerden oluşmaktadır. Herhangi bir organizasyon tarafından işletmenin boyutu ve sektörü ne olursa olsun kullanılabilmektedir.
Günümüzde işletmeler bir takım risklere maruz kalmaktadır. Söz konusu riskler kaçınılmaz olup, yönetilebilir niteliktedir. ISO 31000 belli başlı prosedürler sağlamaksızın ve sertifikasyona gerek duymaksızın; bazı temel ilkeler ve kılavuz prensipler üzerine odaklanmaktadır. Burada atılması gereken ilk adım yönetilecek risklerin anlaşılabilmesidir.
Risk kavramı geleneksel olarak yaralanmalara veya kayıplara neden olabilen tehlikelere maruz kalma anlamına gelmektedir. Ancak ISO 31000 standardı risk kavramına yeni bir boyut kazandırır ve riski şu şekilde tanımlar: belirsizliğin, hedefler üzerindeki olumlu veya olumsuz etkisidir. Bu tanımı göz önünde bulundurarak, ISO 31000 standardı riski 3 önemli kategori altında toplamaktadır. Bu kategoriler:
-
Felaket (Eğer belirsizliğe neden olan olay gerçekleşirse, olumsuz sonuçlar doğuracaktır)
-
Kontrol (belirsizliğin sonuçları da belirsizdir)
-
Fırsat (Eğer belirsizliğe nede olan olay gerçekleşirse, olumlu sonuçlar doğuracaktır)
şeklinde sınıflandırılmaktadır.
Felakete Neden Olan Riskler:
Güvenliği tehdit eden unsurlar; zararlı kimyasallar, yüksek akımlı elektrik veya hareket eden makineler. Bu tür riskleri tanımlamada tipik olarak 3 uçlu yaklaşım kullanılmaktadır:
1. Riskin mühendislik kontrolleri kullanılarak elimine edilmesi - Bu adım ekipmanın veya süreçlerin yeniden tasarımını içermektedir. Mühendislik kontrollerinin hedefi tüm olumsuz sonuç doğurabilecek olasılıkları elimine etmektir.
2. Riskin yönetimsel kontroller kullanılarak azaltılması - olumsuz sonuçlar doğurabilecek olasılıkların önlenmesine ilişkin standartların, prosedürlerin ve uygulamaların yürürlüğe konması. Örnek olarak bir fabrikada forklift trafiğinin, yaya trafiğinden ayrılabilmesine yönelik zeminin şerit bant ile işaretlenmesi. Zararlı etkinliklerin daha az personel işyerinde olduğunda gerçekleştirilebilmesine yönelik iş programlarının hazırlanması.
3. Bireylerin risklerden Kişisel Koruyucu Ekipman kullanılarak korunması. Örneğin çalışanların kaynak işlemi sırasında koruyucu gözlük ve yüz koruyucu maske giyme zorunluluğu.
Bunların yanısıra ISO 31000 standardı güvenlik ile ilgili olmayan, hırsızlık vb. riskleride ele alır.
Kontrol Riskleri:
Bazı risk türleri belirsiz sonuçlar doğurabilen risklerdir. Bu tür riskler kontrol riskleri olarak tanımlanmaktadır. Kontrol riskleri genellikle proje yönetimi ile ilişkilendirilmektedir. Tipik olarak proje planı, bütçe ve spesifikasyonlar, bilinmeyen ve beklenmeyen olaylar ve koşullar doğrultusunda risk altındadırlar. Çoğu işletme bu tür riskleri ortadan kaldırmaya yönelik olarak çaba sarf etmektedir. Bu tür riskler değerlendirilirken elde edilen faydalar ile maruz kalınan riskler kıyaslanmalıdır.
Fırsat Riskleri:
Bu tür risklere örnek olarak herhangi bir işletmenin yeni teknolojilere yaptığı yatırım verilebilir. Yeni teknolojiler uzun vadede daha fazla maliyetli olmasına karşın sağlanan fayda riske oranla daha fazla olabilir.
Risk Değerlendirmesi ve Risk Matrisi
Risk ile ilgili en önemli 2 boyut sonucunun ciddiyeti ve meydana gelme olasılığıdır. Risk değerlendirmesi yapılırken bu 2 boyut göz önünde bulundurulmalıdır.
Risk Matrisi; risk değerlendirmede kullanılan araçlardan birisi de risk matrisidir. Mevcut riske ilişkin ciddiyet ve olasılığın 1'den 10'a kadar derecelendirildiği ve grafiğe döküldüğü bu araç yardımı ile riskler birbiri ile kıyaslanabilmektedir. Bu matrise göre maruz kalınan riskin önemi olma olasılığı ile ciddiyet seviyesinin çarpımına eşittir.