TS Iso 31000

TÜRK
STANDARDLARI
ENSTİTÜSÜ Türk Standardı
TS ISO 31000
Mart 2018
TS ISO 31000:2009 yerine
ICS 03.100.01
Risk yönetimi — Kılavuz bilgiler

(ISO 31000:2018)
Risk management — Guidelines
Management du risque — Lignes directrices
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iZMiR KAVRAM MESLEK YÜKSEKOKULU'A VERiLMiSTiR. BASILMA TARiHi: 18.06.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TS ISO 31000:2020 ISO 31000:2018
TELİF HAKKI KORUMALI DOKÜMAN
© TSE 2021
Tüm hakları saklıdır. Aksi belirtilmedikçe bu yayının herhangi bir bölümü veya tamamı, TSE'nin yazılı izni olmaksızın
fotokopi ve mikrofilm dâhil, elektronik ya da mekanik herhangi bir yolla çoğaltılamaz ya da kopyalanamaz.
TSE Standard Hazırlama Merkezi Başkanlığı

Necatibey Caddesi No: 112
06100 Bakanlıklar * ANKARA
Tel: + 90 312 416 68 30

Faks: + 90 312 416 64 39
E-posta: dokumansatis@tse.org.tr
Web: www.tse.org.tr
ISO 31000:2018 TS ISO 31000:2020
Millî önsöz
Bu standart, kaynağı ISO 31000:2018 standardı olan TS ISO 31000 Türk standardının Mühendislik
Hizmetleri İhtisas Kurulu’na bağlı TK-16: Mühendislik Hizmetleri Teknik Komitesi tarafından hazırlanan
Türkçe tercümesidir.
ISO resmî dillerinde yayımlanan diğer standart metinleri ile aynı geçerliliğe sahiptir.
Bu standartta kullanılan bazı kelime veya ifadeler patent haklarına konu olabilir. Böyle bir patent
hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.
© TSE - Tüm hakları saklıdır.

ULUSLARARASI ISO
STANDART 31000
İkinci baskı
2018-02
Risk management — Guidelines

Management du risque — Lignes directrices
Referans numarası
ISO 31000:2018(E)
TS ISO 31000:2020 ISO 31000:2018
TELİF HAKLARI KORUMALI DOKÜMAN

© ISO 2018
Tüm hakları saklıdır. Aksi belirtilmedikçe, bu yayının hiçbir bölümü, yazılı ön izin olmaksızın, fotokopi de dâhil olmak üzere
elektronik veya mekanik, hiçbir şekilde çoğaltılamaz veya hiçbir bölümünden faydalanılamaz. İzin, ISO’nun aşağıda verilen
adresinden veya isteklinin ülkesindeki ISO’nun üye kuruluşundan talep edilebilir.
ISO telif hakları bürosu
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tel. +41 22 749 01 11
Faks +41 22 749 09 47
Eposta: copyright@iso.org
Web sayfası: www.iso.org
İsviçre'de yayımlanmıştır
ii © TSE - Tüm hakları saklıdır.

ISO 31000:2018 TS ISO 31000:2020
İçindekiler
Önsöz ......................................................................................................................................................................4
Giriş ......................................................................................................................................................................5
1 Kapsam ......................................................................................................................................................1
2 Bağlayıcı atıflar ......................................................................................................................................1
3 Terimler ve tanımlar ............................................................................................................................ 1
4 İlkeler......................................................................................................................................................... 2
5 Çerçeve ......................................................................................................................................................4
5.1 Genel ............................................................................................................................................................ 4
5.2 Liderlik ve taahhüt ................................................................................................................................. 5
5.3 Entegrasyon .............................................................................................................................................. 5
5.4 Tasarım ....................................................................................................................................................... 6
5.4.1 Kuruluşu ve bağlamını anlama ......................................................................................... 6
5.4.2 Risk yönetimi taahhüdünün bildirilmesi ...................................................................... 6
5.4.3 Kurumsal görevler, yetkiler, sorumluluklar ve hesap verebilirliğin
atanması ..................................................................................................................................... 7
5.4.4 Kaynakların tahsis edilmesi ............................................................................................... 7
5.4.5 İletişim kurma ve danışma yaklaşımının belirlenmesi ........................................... 7
5.5 Uygulama ................................................................................................................................................... 7
5.6 Değerlendirme ......................................................................................................................................... 8
5.7 İyileştirme ................................................................................................................................................. 8
5.7.1 Uyarlama .................................................................................................................................... 8
5.7.2 Sürekli iyileştirme .................................................................................................................. 8
6 Süreç ........................................................................................................................................................... 8
6.1 Genel ............................................................................................................................................................ 8
6.2 İletişim ve danışma ................................................................................................................................ 9
6.3 Kapsam, bağlam ve kriterler ........................................................................................................... 10
6.3.1 Genel ......................................................................................................................................... 10
6.3.2 Kapsamın tanımlanması ................................................................................................... 10
6.3.3 Dış ve iç bağlam .................................................................................................................... 10
6.3.4 Risk kriterlerinin tanımlanması .................................................................................... 10
6.4 Risk değerlendirmesi ......................................................................................................................... 11
6.4.1 Genel ......................................................................................................................................... 11
6.4.2 Risk tanımlaması.................................................................................................................. 11
6.4.3 Risk analizi ............................................................................................................................. 12
6.4.4 Risk değerlendirmesi ......................................................................................................... 12
6.5 Risk iyileştirmesi ................................................................................................................................. 13
6.5.1 Genel ......................................................................................................................................... 13
6.5.2 Risk iyileştirmesi seçeneklerinin seçilmesi .............................................................. 13
6.5.3 Risk iyileştirmesi planlarının hazırlanması ve uygulanması ............................. 14
6.6 İzleme ve gözden geçirme................................................................................................................ 14
6.7 Kaydetme ve raporlama ................................................................................................................... 14
Kaynaklar............................................................................................................................................................. 16
© TSE - Tüm hakları saklıdır. iii

TS ISO 31000:2020 ISO 31000:2018
Önsöz
ISO (Uluslararası Standardizasyon Kuruluşu) ulusal standart kuruluşlarının (ISO üye kuruluşları) dünya
çapında federasyonudur. Uluslararası Standart hazırlama çalışması genellikle ISO teknik komiteleri
aracılığıyla yapılır. Bir teknik komitenin kurulduğu konuyla ilgilenen her üye kuruluşun, o teknik
komitede temsil edilme hakkı vardır. ISO ile işbirliği içindeki resmî ve gayri resmî uluslararası kuruluşlar
da ayrıca çalışmalarda yer alır. ISO, elektroteknik standartlaştırma ile ilgili tüm konularda Uluslararası
Elektroteknik Komisyonu (IEC) ile yakın işbirliği içinde çalışır.
Bu standardın geliştirilmesi için kullanılan prosedürler ile standardın ileride sürdürülebilmesi için
tasarlanmış prosedürler ISO/IEC Direktifleri Bölüm 1’de açıklanmıştır. Özellikle farklı ISO doküman
tipleri için ihtiyaç duyulan farklı onay kriterlerine dikkat edilmesi tavsiye edilir. Bu standart, ISO/IEC
Direktifleri Bölüm 2 yazım kurallarına uygun olarak hazırlanmıştır (bk. www.iso.org/directives).
Bu standardın bazı unsurlarının patent haklarının konusu olabileceği ihtimaline dikkat edilmelidir. Böyle
bir patent hakkının belirlenmesi durumunda ISO sorumlu tutulamaz. Standardın geliştirilmesi sırasında
belirlenen patent haklarıyla ilgili detaylara giriş kısmından ve/veya ISO’nun patent duyuruları
listesinden ulaşılabilecektir (bk. www.iso.org/patents).
Bu standartta kullanılan tüm ticari isimler kullanıcıların rahatlığı açısından bilgi amaçlı verilmiştir ve bir
onay anlamına gelmemektedir.
Standartların gönüllülüğü esas alan doğasına, uygunluk değerlendirmesiyle ilgili ISO’ya özgü terimlerin
ve ifadelerin anlamlarına ilişkin açıklama için ve ayrıca ISO’nun, Dünya Ticaret Örgütü (WTO) Ticarette
Teknik Engeller Anlaşması’na (TBT) olan bağlılığı hakkında daha fazla bilgi için İnternet sitesine bakınız:
www.iso.org/iso/foreword.html.
Bu standart, ISO/TC 262 “Risk management” (Risk yönetimi) Teknik Komitesi tarafından hazırlanmıştır.
Bu ikinci baskı, teknik olarak revize edilmiş ilk baskının (ISO 31000:2009) yerini alır.
Önceki baskıya kıyasla yapılan temel değişiklikler aşağıdaki gibidir:
— risk yönetiminin, başarısı için temel kriterler olan ilkeleri gözden geçirildi;
— üst yönetimin liderliği ve kuruluşun yönetiminden başlanarak risk yönetiminin entegrasyonu

vurgulandı;
— risk yönetiminin sürekli yenilenebilir, yeni tecrübelerin, bilginin ve analizin proses elemanları,
eylemler ve prosesin her bir aşamasındaki kontrollerin revize edilmesine neden olabileceği
belirtilerek vurgulandı;
— içerik, birden fazla ihtiyaca ve bağlama uygun bir açık sistemler modelinin sürdürülmesine daha fazla
odaklanacak şekilde modernleştirildi.
iv © TSE - Tüm hakları saklıdır.

ISO 31000:2018 TS ISO 31000:2020
Giriş
Bu standart; kuruluşlarda riskleri yöneterek, karar vererek, amaçları belirleyip gerçekleştirerek ve

performansı iyileştirerek değer yaratan ve bu değerleri koruyan kişilerin kullanımı için hazırlanmıştır.
Her türlü ve her büyüklükte kuruluş, amaçlarını gerçekleştirip gerçekleştiremeyecekleri konusunda
belirsizlik yaratan iç ve dış etkenlerle ve etkilerle karşılaşır.
Riskin yönetilmesi, devamlı bir süreçtir ve kuruluşların stratejilerini belirlemesine, hedeflerini
gerçekleştirmesine ve bilinçli karar vermesine yardımcı olur.
Riskin yönetilmesi, yönetimin ve liderliğin bir parçasıdır ve kuruluşun her düzeyde yönetilme şeklinin
temelini oluşturur. Riskin yönetilmesi yönetim sistemlerinin iyileştirilmesine katkıda bulunur.
Riskin yönetilmesi, bir kuruluşla ilgili tüm faaliyetlerin bir parçasıdır ve paydaşlar ile etkileşimi de
kapsar.
Riskin yönetilmesinde, insan davranışları ve kültürel etkenler dâhil, kuruluşun iç ve dış konu bağlamı
dikkate alınır.
Riskin yönetilmesi, Şekil 1’de gösterildiği şekilde bu standartta ana hatları ile verilen ilkelere, çerçeveye
ve sürece dayalı olarak yapılır. Bu bileşenler, hâlihazırda tamamen veya kısmen kuruluşta bulunabilir,
ancak risk yönetiminin; verimli, etkili ve tutarlı olması için uyarlanması veya iyileştirilmesi gerekebilir.
Şekil 1 —İlkeler, çerçeve ve süreç
© TSE - Tüm hakları saklıdır. v

ULUSLARARASI STANDART ISO 31000:2018 (E)
1 Kapsam
Bu standart, kuruluşların karşılaştığı risklerin yönetilmesi hakkında kılavuzluk sağlar. Bu kılavuz
bilgilerin uygulaması, kuruluşa ve konu bağlamına göre uyarlanabilir.
Bu standart, her türlü riskin yönetimine ortak bir yaklaşım sunar ve herhangi bir sanayiye veya sektöre
özgü değildir.
Bu standart, kuruluşun tüm ömrü boyunca kullanılabilir ve tüm düzeylerde karar verme süreci dâhil, tüm
faaliyetlere uygulanabilir.
2 Bağlayıcı atıflar
Bu standartta bağlayıcı atıflar bulunmamaktadır.
3 Terimler ve tanımlar
Bu standardın amaçları bakımından, aşağıdaki terimler ve tanımlar geçerlidir.
ISO ve IEC, standardizasyonda kullanılmak üzere terminoloji veri tabanlarını aşağıdaki adreslerde
muhafaza etmektedir:
— ISO Çevrimiçi gezinti platformu: http://www.iso.org/obp üzerinden erişilebilir.
— IEC Electropedia’ya http://www.electropedia.org/ üzerinden erişilebilir.
3.1
risk
belirsizliğin amaçlara etkisi
Kayda ait not 1: Etki, beklenen durumdan sapmadır. Bu etki, olumlu, olumsuz veya her iki şekilde olabilir ve fırsatları
ve tehditlerin konusu olabilir, fırsatlar ve tehditler yaratabilir veya bunların oluşmasıyla sonuçlanabilir.
Kayda ait not 2: Amaçlar, farklı hususlarda ve kategorilerde olabilir ve farklı düzeylerde uygulanabilir.
Kayda ait not 3: Risk genelde risk kaynakları (Madde 3.4), potansiyel olaylar (Madde 3.5), bunların sonuçları (Madde
3.6) ve gerçekleşme olasılığı (Madde 3.7).
3.2
risk yönetimi
kuruluşu risk (Madde 3.1) açısından yönlendirme ve kontrol etme amaçlı koordinasyonlu faaliyetler
3.3
paydaş
bir kararı veya etkinliği etkileyebilen, bunlardan etkilenebilen veya bunlardan etkilendiğini düşünen kişi
veya kuruluş
Kayda ait not 1: “İlgili taraf” terimi, “paydaş” ifadesine alternatif olarak kullanılabilir.
3.4
risk kaynağı
tek başına veya başka bir unsur ile birlikte bir riskin (Madde 3.1) ortaya çıkmasına neden olan unsur
© TSE - Tüm hakları saklıdır. 1

TS ISO 31000:2020 ISO 31000:2018
3.5
olay
belirli şartların meydana gelmesi veya değişmesi
Kayda ait not 1: Bir olay bir veya daha fazla durumun meydana gelmesinden oluşabilir ve birden fazla nedeni ve
sonucu (Madde 3.6) olabilir.
Kayda ait not 2: Olay ayrıca olması beklenen bir şeyin olmaması ya da olmaması beklenen bir şeyin olması da
olabilir.
Kayda ait not 3: Bir olay, bir risk kaynağı olabilir.
3.6
sonuç
bir olayın (Madde 3.5), amaçları etkileyen çıktısı
Kayda ait not 1: Sonuç belirli veya belirsiz olabilir ve amaçları doğrudan ya da dolaylı olarak olumlu veya olumsuz
etkileyebilir.
Kayda ait not 2: Sonuçlar nitel veya nicel olarak ifade edilebilir.
Kayda ait not 3: Sonuçlar üst üste ve kümülatif etkiler ile büyüyebilir.
3.7
olasılık
bir şeyin meydana gelme ihtimali
Kayda ait not 1: Risk yönetimi (Madde 3.2) terminolojisinde “olasılık” terimi; nesnel ya da öznel, nitel ya da nicel
olarak tanımlanan, ölçülen veya belirlenen bir şeyin meydana gelme ihtimali anlamında kullanılır ve genel
terimlerle veya matematiksel olarak (örneğin olasılık veya belirli bir zamanda meydana gelme sıklığı şeklinde) ifade
edilir.
Kayda ait not 2: Ancak İngilizcedeki “likelihood” teriminin bazı dillerde doğrudan bir karşılığı yoktur; bunun yerine
genelde “probability” teriminin karşılığı kullanılır. Ancak İngilizcedeki “probability” kelimesi genellikle
matematiksel bir terim olarak daha dar bir anlamda yorumlanır. Bu nedenle risk yönetimi terminolojisinde,
“probability” kelimesinin İngilizce dışındaki dillerdeki geniş anlamlı karşılığına sahip olması amacıyla “likelihood”
terimi kullanılır; Türkçedeki “olasılık” kelimesi, hem matematiksel terimi, hem de genel ifadelerle meydana gelme
ihtimalini kapsar.
3.8
kontrol
riskin (Madde 3.1) mevcut durumunu koruyan ve/veya değiştiren tedbir
Kayda ait not 1: Kontroller, bunlarla sınırlı kalmamak üzere, riski değiştiren süreçleri, politikaları, cihazları,
uygulamaları veya diğer koşulları ve/veya eylemleri kapsar.
Kayda ait not 2: Kontroller her zaman planlanan veya varsayılan değiştirme etkisini yaratmayabilir.
4 İlkeler
Risk yönetiminin amacı, değer yaratmak ve değerleri korumaktır. Risk yönetimi performansı arttırır,
yeniliği teşvik eder ve amaçların gerçekleştirilmesini destekler.
Şekil 2’de özetlenen ilkeler verimli ve etkili risk yönetiminin değeri, niyetini ve amacını açıklayarak
özellikleri hakkında kılavuzluk sağlar. Söz konusu ilkeler, risk yönetiminin temelidir ve kuruluşun risk
yönetimi çerçevesi ve süreçleri oluşturulurken göz önünde bulundurulmalıdır. Bu ilkeler, bir kuruluşun,
amaçları üzerindeki belirsizlik etkilerini yönetebilmesini sağlamalıdır.
2 © TSE - Tüm hakları saklıdır.

ISO 31000:2018 TS ISO 31000:2020
Şekil 2— İlkeler
Etkili risk yönetimi Şekil 2’de gösterilen ögeleri gerektirir ve daha detaylı olarak aşağıdaki şekilde
açıklanabilir.
a) Birleşik/Entegre
Risk yönetimi, kuruluşun tüm faaliyetlerinin ayrılmaz bir parçasıdır.
b) Yapılandırılmış ve kapsamlı
Risk yönetimine yapılandırılmış ve kapsamlı bir yaklaşım uygulanması, tutarlı ve karşılaştırılabilir

sonuçların elde edilmesine katkı sağlar.
c) Uyarlanmış
Risk yönetimi çerçevesi ve süreci, kuruluşun amaçlarına ilişkin iç ve dış konu bağlamına orantılı
olarak özelleştirilir.
d) Kapsayıcı
Paydaşların uygun ve zamanlı bir şekilde dâhil edilmesi, onların bilgi birikimlerinin, bakış açılarının
ve algılarının dikkate alınabilmesini sağlar. Bu da farkındalığın artmasını ve risk yönetiminin bilinçli
uygulanmasını sağlar.
e) Dinamik
Kuruluşun iç ve dış konu bağlamı değiştikçe yeni riskler ortaya çıkabilir, mevcut riskler değişebilir
veya ortadan kalkabilir. Risk yönetimi ile bu değişiklikler ve olaylar uygun bir şekilde ve zamanında
öngörülür, saptanır, bilinir ve ele alınır.
f) Mevcut en iyi bilgi

TS ISO 31000:2020 ISO 31000:2018
Risk yönetiminin girdileri, geçmiş ve mevcut bilgilere ve ayrıca gelecek beklentilerine dayanır. Risk
yönetiminde bu bilgiler ve beklentilerle ilgili tüm sınırlamalar ve belirsizlikler açık bir şekilde göz
önünde bulundurulur. Bilgiler zamanında ve net bir şekilde ilgili paydaşların kullanımına hazır
olmalıdır.
g) İnsanla ilgili ve kültürel etkenler
İnsan davranışı ve kültür, risk yönetiminin tüm boyutlarını her bir düzeyde ve aşamada önemli
ölçüde etkiler.
h) Sürekli iyileştirme
Risk yönetimi, öğrenme ve tecrübe yoluyla sürekli iyileştirilir.
5 Çerçeve
5.1 Genel
Risk yönetimi çerçevesinin amacı, risk yönetiminin önemli faaliyetlere ve işlevlere entegre edilmesinde
kuruluşa destek olmaktır. Risk yönetiminin etkinliği, risk yönetim süreçlerinin (karar verme dâhil)
kuruluşun yönetimine entegre edilmesine bağlıdır. Bunu gerçekleştirmek için başta üst yönetim olmak
üzere tüm paydaşların desteği gerekir.
Çerçeve geliştirme süreci, risk yönetiminin kuruluşun tamamında entegre edilmesini, tasarlanmasını,
uygulanmasını, değerlendirilmesini ve iyileştirilmesini kapsar. Şekil 3’te bir çerçevenin bileşenleri
gösterilmektedir.
Şekil 3 — Çerçeve
Kuruluş, mevcut risk yönetimi uygulamalarını ve süreçlerini değerlendirmeli, varsa boşlukları

değerlendirerek bu boşluklara çerçeve kapsamında iyileştirme yapmalıdır.
Çerçevenin bileşenleri ve bunları bir araya gelme şekli, kuruluşun ihtiyaçlarına göre uyarlanmalıdır.

ISO 31000:2018 TS ISO 31000:2020
5.2 Liderlik ve taahhüt

Üst yönetim ve gözlem organları, uygulanabilir olduğunda risk yönetimini tüm kurumsal faaliyetlere
entegre etmeli ve aşağıda belirtilenleri yaparak liderlik ve taahhüdünü göstermelidir:
— çerçevenin tüm bileşenlerini kuruluşa uyarlama ve uygulama;
— bir risk yönetimi yaklaşımı, planı veya yol haritası teşkil eden bir beyan veya politika yayımlama;
— risk yönetimine gerekli kaynakların tahsis edilmesini sağlama;
— yetki, sorumluluk ve hesap verebilirliği kuruluşun uygun düzeylerine atama.
Liderlik ve taahhüt, kuruluşun aşağıda belirtilenleri yapmasına yardımcı olur:
— risk yönetimini; kuruluşun amaçları, stratejisi ve kültürüne uyarlama;
— tüm yükümlülüklerini ve gönüllü taahhütlerini anlama ve bunları ele alma;
— risk kriterlerinin, kuruluşa ve paydaşlarına iletilmesini temin ederek, geliştirilmesini yönlendirmek

için alınabilecek ve alınamayacak risk miktarını ve türünü belirleme;
— risk yönetiminin kuruluşa ve paydaşlarına iletilmesi;
— risklerin sistematik olarak izlenmesini destekleme;
— risk yönetimi çerçevesinin, kuruluşun konu bağlamı için sürekli uygun kalmasını sağlama.
Üst yönetim riskleri yönetmekten sorumlu iken gözetim organları risk yönetimini gözetmekten
sorumludur. Gözetim organlarının genellikle aşağıda belirtilenleri yapması beklenir veya gerekir:
— kuruluşun amaçları belirlenirken risklerin uygun bir şekilde dikkate alınmasını sağlama;
— kuruluşun, amaçlarını gerçekleştirmeye çalışırken karşılaşacağı riskleri anlama;
— bu riskleri yönetmeye yönelik sistemin uygulanmasını ve etkili bir şekilde işlemesini sağlama;
— bu risklerin kuruluşun amaçları bağlamında uygun olduğunda emin olma;
— bu risklere ilişkin bilgilerin ve bu bilgelerin yönetiminin uygun bir şekilde kuruluş geneline
bildirilmesini sağlama.
5.3 Entegrasyon
Risk yönetiminin entegre edilmesi, kurumsal yapılara ve bağlama dair bir anlayışa sahip olmaya bağlıdır.
Yapılar; kuruluşun amacına, hedeflerine ve karmaşıklığına bağlı olarak değişir. Risk, kuruluşun her
kısmında yönetilir. Kuruluştaki herkes riskin yönetilmesinde sorumluluk taşır.
Yönetim; kuruluşun işlerine, iç ve dış ilişkilerine ve amacını gerçekleştirmesi için gerekli kurallarına,
proseslerine ve uygulamalarına kılavuzluk eder. Yönetim yapıları, sürdürülebilir performansının istenen
düzeylerine ulaşmak ve uzun süre var olmayı sürdürebilmek için yönetimin yönünü, gerekli stratejiye ve
bununla ilişkili amaçlara çevirir. Kuruluş içerisinde risk yönetimi konusunda hesap verebilirliği ve
gözetim görevlerini belirleme, kuruluşun yönetiminin ayrılmaz bir parçasıdır.
Risk yönetiminin bir kuruluş ile bütünleştirilmesi dinamik ve devamlı bir süreçtir ve kuruluşun
ihtiyaçlarına ve kültürüne göre özelleştirilmelidir. Risk yönetimi; kuruluşun amacı, yönetimi, liderlik ve
taahhüdü, stratejisi, amaçları ve çalışmalarının bir parçası olmalı ve bunlardan ayrılmamalıdır.

TS ISO 31000:2020 ISO 31000:2018
5.4 Tasarım
5.4.1 Kuruluşu ve bağlamını anlama
Riskleri yönetme çerçevesini tasarlarken kuruluş, iç ve dış bağlamını incelemeli ve anlamalıdır.
Kuruluşun dış bağlamının incelenmesi, bunlarla sınırlı kalmamak üzere, aşağıda belirtilenleri içerebilir:
— uluslararası, ulusal, bölgesel veya yerel düzeyde toplumsal, kültürel, siyasi, hukuki, düzenleyici, mali,
teknolojik, ekonomik ve çevresel etkenler;
— kuruluşun amaçlarını etkileyen temel etkenler ve eğilimler;
— dış paydaşların ilişkileri, algıları, değerleri, ihtiyaçları ve beklentileri;
— sözleşmeye dayalı ilişkiler ve taahhütler;
— ağların karmaşıklığı ve bağımlılıklar.
Kuruluşun iç bağlamının incelenmesi, bunlarla sınırlı kalmamak üzere, aşağıda belirtilenleri içerebilir:
— vizyon, misyon ve değerler;
— yönetim, kuruluş yapısı, görevler ve hesap verme durumları;
— strateji, amaçlar ve politikalar;
— kuruluşun kültürü;
— kuruluşun benimsediği standartlar, kılavuz ilkeler ve modeller;
— kaynaklar ve bilgi birikimi açısından kabiliyetler (ör. sermaye, zaman, insan kaynakları, fikrî
mülkiyet, süreçler, sistemler ve teknolojiler);
— veri, bilgi sistemleri ve bilgi akışları;
— algıları ve değerleri dikkate alınarak, iç paydaşlarla ilişkiler;
— sözleşmeye dayalı ilişkiler ve taahhütler;
— karşılıklı bağımlılıklar ve bağlantılar.
5.4.2 Risk yönetimi taahhüdünün bildirilmesi

Üst yönetim ve gözetim organları, uygulanabilir olduğunda, risk yönetimine sürekli bağlılığını bir
politika, beyan veya kuruluşun amaçlarını ve risk yönetimine olan taahhüdünü açık bir şekilde gösteren
başka biçimlerde göstermeli ve bildirmelidir. Taahhüt, verilenlerle sınırlı kalmamak üzere, aşağıdakileri
içerir:
— kuruluşun riski ve riskin hedefler ve diğer politikalarla bağlantılarını yönetme amacı;
— risk yönetimini, kuruluşun geneline entegre etme ihtiyacının güçlendirilmesi;
— risk yönetiminin ana iş faaliyetlerine ve karar vermeye bütünleştirilmesine öncülük etme;
— yetkiler, sorumluluklar ve hesap verme durumları;
— gerekli kaynakları kullanıma sunma;
— çelişen amaçların ele alınma şekli;

ISO 31000:2018 TS ISO 31000:2020
— kuruluşun performans göstergeleri kapsamında ölçüm ve raporlama;
— gözden geçirme ve iyileştirme.
Risk yönetimi taahhüdü, kuruluş içinde ve uygun olduğunda paydaşlara bildirilmelidir.

5.4.3 Kurumsal görevler, yetkiler, sorumluluklar ve hesap verebilirliğin atanması
Üst yönetim ve gözetim organları, uygulanabilir olduğunda, ilgili roller için risk yönetimi açısından
yetkilerin, sorumlulukların ve hesap verebilirliğin atanmasını ve kuruluşun her düzeyine bildirilmesini
sağlamalı ve:
— risk yönetiminin temel bir sorumluluk olduğunu vurgulamalı;
— riskleri yönetme konusunda hesap veren ve yetkili kişileri (risk sahiplerini) tanımlamalıdır.
5.4.4 Kaynakların tahsis edilmesi

Üst yönetim ve gözetim organları, uygulanabilir olduğunda, risk yönetimi için aşağıda belirtilen ancak
bunlarla sınırlı olmayan uygun kaynakların tahsis edilmesini sağlamalıdır:
— insan, beceri, tecrübe ve yetkinlik;
— kuruluşun; risk yönetmek için kullanılacak süreçleri, yöntemleri ve araçları;
— dokümante edilmiş süreçler ve prosedürler;
— bilgi ve bilgi birikimi yönetim sistemleri;
— mesleki gelişim ve eğitim ihtiyaçları.
Kuruluş mevcut kaynakların kabiliyetlerini ve sınırlarını dikkate almalıdır.

5.4.5 İletişim kurma ve danışma yaklaşımının belirlenmesi
Kuruluş, risk yönetimi çerçevesini desteklemek ve etkili bir şekilde uygulanmasını kolaylaştırmak
amacıyla iletişim ve danışmaya doğru bir yaklaşım belirlemelidir. İletişim, hedef kitlelerle bilgi
paylaşımını içerir. Danışma ayrıca, kararlara veya diğer faaliyetlere katkıda bulunması veya bu
faaliyetleri şekillendirmesi beklentisiyle geri bildirim veren katılımcıları da içerir. İletişim ve danışma
yöntemleri ve içeriği, uygun olduğunda paydaşların beklentilerini yansıtmalıdır.
İletişim ve danışma zamanında gerçekleşmeli ve ilgili bilginin toplanmasını, derlenmesini, sentezlenmesi
ve paylaşılmasını ve uygun olduğunda geri bildirim sağlanmasını ve iyileştirmelerin yapılmasını
sağlamalıdır.
5.5 Uygulama
Kuruluş, aşağıda belirtilenleri yaparak risk yönetimi uygulamalıdır:
— zaman ve kaynakları da içeren uygun bir plan hazırlama;
— çeşitli kararların kuruluşta nerede, ne zaman, nasıl ve kim tarafından verildiğini tanımlama;
— gerektiğinde mevcut karar verme süreçlerini değiştirme;
— kuruluşun riski yönetmek için yaptığı düzenlemelerin açık bir şekilde anlaşılmasını ve
uygulanmasını sağlama.

TS ISO 31000:2020 ISO 31000:2018
Çerçevenin başarılı bir şekilde uygulanması, paydaşların katılımını ve farkındalığını gerektirir. Bu,
kuruluşların karar verme sürecindeki belirsizliği açık bir şekilde ele alabilmesini ve aynı zamanda yeni
veya müteakip bir belirsizlik meydana geldiğinde hesaba katılabilmesini sağlar.
Doğru bir şekilde tasarlandığında ve uygulandığında, risk yönetimi çerçevesi risk yönetimi proseslerinin,
karar verme süreci dâhil, kuruluşun tüm faaliyetlerinin bir parçası olmasını sağlar.
5.6 Değerlendirme
Risk yönetimi çerçevesinin etkinliğini değerlendirmek için kuruluş:
— risk yönetimi çerçevesinin performansını, amacına, uygulama planlarına, göstergelere ve beklenen
davranışa göre düzenli aralıklarla ölçmelidir;
— kuruluşun amaçlarına uygun olmaya devam edip etmediğini belirlemelidir.
5.7 İyileştirme
5.7.1 Uyarlama
Kuruluş, risk yönetimi çerçevesini sürekli izlemeli ve risk yönetimi çerçevesini iç ve dış değişiklikleri ele
alacak şekilde uyarlamalıdır. Böylelikle kuruluş, değerini artırabilir.
5.7.2 Sürekli iyileştirme
Kuruluş; risk yönetimi çerçevesinin uygunluğu, yeterliliği ve etkinliğini ve risk yönetimi sürecinin
entegre edilme şeklini sürekli iyileştirmelidir.
Kuruluş, konuyla ilgili boşluklar veya iyileştirme fırsatları belirlendikçe planlar ve görevler geliştirmeli
ve bunları uygulamadan sorumlu kişilere atamalıdır. Bu iyileştirmelerin uygulanması, risk yönetiminin
geliştirilmesine katkıda bulunacaktır.
6 Süreç
6.1 Genel
Risk yönetimi süreci; politikaların, prosedürlerin ve uygulamaların; iletişim ve danışma, bağlamın
oluşturulması ve riskin değerlendirilmesi, ele alınması, izlenmesi, gözden geçirilmesi, kaydedilmesi ve
raporlanması faaliyetlerine sistematik bir şekilde uygulanmasını içerir. Bu süreç Şekil 4’te gösterilmiştir.

ISO 31000:2018 TS ISO 31000:2020
Şekil 4 — Süreç
Risk yönetimi süreci, yönetim ve karar verme sürecinin ayrılmaz bir parçası olmalı ve kuruluşun yapısına,
işlerine ve süreçlerine entegre edilmelidir. Stratejik, çalışma, program veya proje düzeylerinde
uygulanabilir.
Risk yönetimi sürecinin, bir kuruluş içinde amaçlara ulaşılması ve uygulandıkları dış ve iç bağlama uygun
olması için, özelleştirilmiş birçok uygulaması olabilir.
İnsan davranışları ve kültürün dinamik ve değişken niteliği, risk yönetimi sürecinin tamamında göz
önünde bulundurulmalıdır.
Risk yönetimi sürecinin genellikle sıralı olarak sunulmasına karşın, uygulamada yinelemelidir.
6.2 İletişim ve danışma
İletişim ve danışmanın amacı, riskin, kararların hangi temellere dayalı olarak alındığı ve belirli eylemlerin
neden gerekli olduğunun anlaşılması konusunda ilgili paydaşlara destek olmaktır. İletişim, risk
konusunda farkındalığı ve anlayışı desteklemeyi hedeflerken, danışma ve karar verme sürecini
desteklemek için geri bildirim ve bilgi sağlamayı içerir. Bunların ikisi arasındaki sıkı eşgüdüm, bilginin
gizliliği ve bütünlüğü ile gerçek kişilerin mahremiyet haklarını dikkate alarak bilginin gerçeğe dayalı,
zamanında, doğru ve anlaşılır bir şekilde paylaşılmasını sağlar.
Uygun dış ve iç paydaşlarla iletişim ve danışma, risk yönetimi süreçlerinin tüm adımlarında
gerçekleştirilmelidir.
İletişim ve danışmanın amacı:
— risk yönetimi sürecinin her bir adımı için farklı uzmanlık alanlarını bir araya getirmek;
— risk kriterlerinin belirlenmesinde ve risklerin değerlendirilmesinde farklı görüşlerin uygun şekilde

dikkate alınmasını sağlamak;
— risk gözetimini ve karar vermeyi kolaylaştırmak için yeterli bilgi sağlamak;

TS ISO 31000:2020 ISO 31000:2018
— riskten etkilenenler arasında bir müdahillik ve sahiplenme anlayışı oluşturmaktır.
6.3 Kapsam, bağlam ve kriterler

6.3.1 Genel
Kapsam, bağlam ve kriterlerin belirlenmesinin amacı, risk yönetimi sürecini özelleştirerek etkili risk
değerlendirmesi uygulamak ve risklerin uygun bir şekilde ele alınabilmesini sağlamaktır. Kapsam,
bağlam ve kriterler, sürecin kapsamının tanımlanmasını ve iç ve dış bağlamın anlaşılmasını kapsar.
6.3.2 Kapsamın tanımlanması
Kuruluş, risk yönetimi faaliyetlerinin kapsamını tanımlamalıdır.
Risk yönetimi süreci farklı düzeylerde (örneğin stratejik, çalışma, program, proje veya diğer faaliyetler)
uygulanabildiğinden, söz konusu kapsam, dikkate alınacak ilgili amaçlar ve bunların kurumsal amaçlarla
uyumlulaştırılması konularının açıklığa kavuşturulması önemlidir.
Yaklaşım planlanırken göz önünde bulundurulması gerekenler aşağıda belirtilenleri de kapsar:
— amaçlar ve verilmesi gereken kararlar;
— atılacak adımlardan beklenen sonuçlar;
— zaman, yer, özel olarak dâhil edilenler ve hariç tutulanlar;
— uygun risk değerlendirme araçları ve teknikleri;
— gerekli kaynaklar, sorumluluklar ve tutulması gereken kayıtlar;
— diğer projeler, süreçler ve faaliyetler ile ilişkiler.
6.3.3 Dış ve iç bağlam

Dış ve iç konu bağlamı, kuruluşun amaçlarını tanımlamaya ve gerçekleştirmeye çalıştığı çevredir.
Risk yönetimi sürecinin bağlamı, kuruluşun içerisinde çalıştığı dış ve iç çevrenin anlaşılmasından
başlayarak oluşturulmalı ve risk yönetiminin uygulanacağı faaliyetin özel çevresini yansıtmalıdır.
Bağlamın anlaşılması aşağıdaki nedenlerle önemlidir:
— risk yönetimi kuruluşun amaçları ve faaliyetleri bağlamında yer alır;
— kurumsal etkenler bir risk kaynağı olabilir;
— risk yönetimi sürecinin amacı ve kapsamı, kuruluşun bir bütün olarak amaçları ile ilişkili olabilir.
Kuruluş, risk yönetimi sürecinin dış ve iç bağlamını Madde 5.4.1’de verilen etkenleri dikkate alarak
oluşturmalıdır.
6.3.4 Risk kriterlerinin tanımlanması
Kuruluş, amaçlarına göre alıp alamayacağı risk türlerini ve miktarını belirtmelidir. Ayrıca kuruluş, riskin
önem derecesini değerlendirmek ve karar verme süreçlerini desteklemek için kullanılacak kriterleri
tanımlamalıdır. Risk kriterleri, risk yönetimi çerçevesi ile uyumlu olmalı ve söz konusu faaliyetin özel
amacına ve hedefine göre özelleştirilmelidir. Risk kriterleri kuruluşun değerlerini, amaçlarını ve
kaynaklarını yansıtmalıdır ve risk yönetimine ilişkin politikalar ve beyanlarla tutarlı olmalıdır. Kriterler,
kuruluşun yükümlülükleri ve paydaşların görüşleri dikkate alınarak tanımlanmalıdır.
Risk kriterlerinin risk değerlendirmesinin başında belirlenmesi gerekmesine rağmen bu kriterler
dinamiktir ve sürekli gözden geçirilerek, gerektiğinde değiştirilmelidir.

ISO 31000:2018 TS ISO 31000:2020
Risk kriterlerini belirlemek için aşağıda belirtilenler dikkate alınmalıdır:

— çıktıları ve amaçları (hem maddi hem maddi olmayan) etkileyebilecek belirsizliklerin niteliği ve türü;
— sonuçların (hem olumlu hem olumsuz) ve olasılığın nasıl tanımlanacağı ve ölçüleceği;
— zamana bağlı etkenler;
— ölçümlerin uygulanmasında tutarlılık;
— risk düzeyinin nasıl belirleneceği;
— birden fazla risk kombinasyonu ve dizilerinin nasıl hesaba katılacağı;
— kuruluşun kapasitesi.
6.4 Risk değerlendirmesi

6.4.1 Genel
Risk değerlendirmesi, risk tanımlaması, risk analizi ve risk değerlendirmesini kapsayan genel süreçtir.
Risk değerlendirmesi sistematik, devamlı bir şekilde ve tam bir işbirliği içinde, paydaşların bilgi birikimi
ve görüşleri dikkate alınarak gerçekleştirilmelidir. Risk değerlendirmesinde eldeki en iyi bilgi
kullanılarak, gerektiğinde daha detaylı sorgulamalarla desteklenmelidir.
6.4.2 Risk tanımlaması
Risk tanımlamasının amacı, bir kuruluşun amaçlarını gerçekleştirmesine yardımcı olacak veya bunu
engelleyecek riskleri bulmak, tanımak ve açıklamaktır. Risklerin tanımlanmasında ilgili, uygun ve güncel
bilgiler önemlidir.
Kuruluş, bir veya daha fazla amacını etkileyebilecek belirsizlikleri tanımlamak için bir dizi teknik
kullanabilir. Aşağıda belirtilen etkenler ve bu etkenler arasındaki ilişkiler göz önünde bulundurulmalıdır:
— maddi ve maddi olmayan risk kaynakları;
— nedenler ve olaylar;
— tehditler ve fırsatlar;
— zayıflıklar ve kabiliyetler;
— dış ve iç bağlamdaki değişiklikler;
— ortaya çıkan yeni risklere dair göstergeler;
— varlıkların ve kaynakların niteliği ve değeri;
— sonuçlar ve bunların amaçlara etkileri;
— bilgi birikimi sınırlamaları ve bilginin güvenilirliği;
— zamana bağlı etkenler;
— sürece dâhil olanların ön yargıları, varsayımları ve inanışları.
Kuruluş, riskin kaynağı kendi kontrolünde olsa da, olmasa da riskleri tanımlamalıdır. Çeşitli maddi ve
maddi olmayan sonuca yol açabilecek birden fazla tipte sonuç olabileceğine dikkat edilmelidir.

TS ISO 31000:2020 ISO 31000:2018
6.4.3 Risk analizi

Risk analizinin amacı, riskin niteliğini ve uygun olduğunda risk düzeyi dâhil, riskin karakteristiklerini
anlamaktır. Risk analizi, belirsizlikler, risk kaynakları, sonuçlar, olasılık, olaylar, senaryolar, kontroller ve
kontrollerin etkinliğinin detaylı bir şekilde değerlendirilmesidir. Bir olayın birden fazla nedeni ve sonucu
olabilir ve birden fazla amacı etkileyebilir.
Risk analizi; analizin amacı, bilginin varlığı ve güvenilirliği ve eldeki kaynaklara bağlı olarak farklı detay
ve karmaşıklık düzeylerinde gerçekleştirilebilir. Analiz teknikleri, mevcut şartlara ve kullanım amacına
bağlı olarak nitel, nicel veya bunların bir kombinasyonu olabilir.
Risk analizinde aşağıda belirtilen etkenler göz önünde bulundurulmalıdır.
— olayların ve sonuçların olasılığı;
— sonuçların niteliği ve şiddeti;
— karmaşıklık ve ilişkililik;
— zamana bağlı etkenler ve değişkenlik;
— mevcut kontrollerin etkinliği;
— hassasiyet ve güven seviyeleri.
Risk analizi; görüşlerin, ön yargıların, risk algılarının ve hükümlerin değişiminden etkilenebilir.

Kullanılan bilginin niteliği, yapılan varsayımlar ve hariç tutmalar, tekniklerin kısıtlamaları ve nasıl
uygulandığı diğer etki faktörleridir. Bu etkiler dikkate alınmalı, dokümante edilmeli ve karar vericilere
bildirilmelidir.
Çok belirsiz olayların nicel olarak ifade edilmesi zor olabilir. Bu durum, ciddi sonuçları olan olayları analiz
ederken sorun olabilir. Böyle durumlarda, tekniklerin bir kombinasyonunun kullanılması genelde daha
iyi iç görü sağlar.
Risk analizi, risk değerlendirmesi, riskin ele alınıp alınmayacağı ve bunun nasıl yapılacağına dair kararlar
ve en uygun risk yönetimi stratejisi ve yöntemlerinin seçilmesi için girdi oluşturur. Sonuçlar, bir seçim
yapıldığında ve seçenekler farklı türlerde ve düzeylerde risk içerdiğinde kararlar için iç görü sağlar.
6.4.4 Risk değerlendirmesi
Risk değerlendirmesinin amacı, kararları desteklemektir. Risk değerlendirmesi, ek eylemler gerekip
gerekmediğini belirlemek için risk analizi sonuçlarının belirlenen risk kriterleri ile karşılaştırılmasını
içerir. Bu karşılaştırma, aşağıda belirtilen kararlardan birinin alınmasıyla sonuçlanabilir:
— herhangi ilave bir eylemde bulunmama;
— riskle başa çıkma seçeneklerini değerlendirme;
— riski daha iyi anlayabilmek için ilave analizler yapma;
— mevcut kontrolleri sürdürme;
— amaçları tekrar gözden geçirme.
Kararlarda daha geniş bir bağlam ile iç ve dış paydaşlar üzerindeki gerçek ve algılanan sonuçlar dikkate
alınmalıdır.
Risk değerlendirmesinin sonucu kaydedilmeli, iletilmeli ve sonra kuruluşun uygun seviyelerinde
doğrulanmalıdır.
ISO 31000:2018 TS ISO 31000:2020
6.5 Risk iyileştirmesi

6.5.1 Genel
Risk iyileştirmesinin amacı, riskleri ele alma seçeneklerini seçmek ve uygulamaktır.
Risk iyileştirmesi aşağıda belirtilenlerden oluşan sürekli ve tekrar eden bir süreci içerir:
— risk iyileştirmesi seçeneklerinin sistemli hâle getirilmesi ve seçilmesi;
— risk iyileştirmesi planlanması ve uygulanması;
— bu risk iyileştirmesi etkinliğinin değerlendirilmesi;
— geri kalan riskin kabul edilebilir olup olmadığına karar verilmesi;
— kabul edilebilir değilse ilave iyileştirmelerde bulunulması.
6.5.2 Risk iyileştirmesi seçeneklerinin seçilmesi

En uygun risk iyileştirmesi seçeneklerinin seçilmesi süreci, amaçların gerçekleştirilmesi ile elde
edilebilecek potansiyel faydaların, seçilen uygulamanın maliyeti, gerektirdiği çaba ve dezavantajları ile
dengelenmesini içerir.
Risk iyileştirmesi seçenekleri karşılıklı münhasır veya her şartta uygun olmayabilir. Risk iyileştirmesi
seçenekleri, aşağıda belirtilenlerden bir veya daha fazlasını içerebilir:
— riske neden olabilecek faaliyete başlamama veya devam etmeme kararı alarak riskten kaçınma;
— bir fırsatı yakalamaya çalışmak için riski alma veya artırma;
— risk kaynağını ortadan kaldırma;
— olasılığı değiştirme;
— sonuçları değiştirme;
— riski paylaştırma (örneğin sözleşmelerle, sigorta yaptırarak);
— bilinçli kararla riski sürdürme.
Risk iyileştirmesinin gerekçelendirilmesi, yalnızca ekonomik açıdan yapılan değerlendirmelere göre

daha kapsamlıdır ve bu süreçte kuruluşun tüm yükümlülükleri, gönüllü taahhütleri ve paydaşlarının
görüşleri dikkate alınmalıdır. Risk iyileştirmesi seçenekleri, kuruluşun amaçları, risk kriterleri ve mevcut
kaynaklara uygun şekilde seçilmelidir.
Risk iyileştirmesi seçenekleri seçilirken kuruluş; paydaşların değerleri, algıları ve muhtemel katılımı ile
paydaşlarla iletişim kurmanın ve onlara danışmanın en uygun yolunu dikkate almalıdır. Eşit seviyede
etkili olmalarına rağmen bazı risk iyileştirmesi seçenekleri, bazı paydaşlara göre daha kabul edilebilirdir.
Risk iyileştirmeleri, dikkatli bir şekilde tasarlanıp uygulandığında dahi beklenen sonuçları vermeyebilir
ve istenmeyen sonuçlara da yol açabilir. İzleme ve gözden geçirme süreçleri, farklı iyileştirme
biçimlerinin etkili olabileceği ve kalabileceği güvencesinin verilebilmesi için risk iyileştirmesi
uygulamasının ayrılmaz bir parçası olmalıdır.
Risk iyileştirmesi, yönetilmesi gereken yeni risklere de yol açabilir.
Herhangi bir iyileştirme seçeneği yoksa ya da iyileştirme seçenekleri riskin değiştirilmesi için yeterli
değilse, risk kaydedilmeli ve devamlı gözden geçirilmelidir.

TS ISO 31000:2020 ISO 31000:2018
Karar vericiler ve diğer paydaşlar, risk iyileştirmesinin ardından hâlâ devam eden risklerin niteliğinin ve
derecesinin farkında olmalıdır. Kalan risk dokümante edilmeli, izlenmeli, gözden geçirilmeli ve uygun
olduğunda daha fazla iyileştirme yapılmalıdır.
6.5.3 Risk iyileştirmesi planlarının hazırlanması ve uygulanması
Risk iyileştirmesi planlarının amacı, seçilen risk iyileştirmesi seçeneğinin, sürece katılanların
yapılacakları anlamasını ve ilerlemenin plan içindeki ilerlemesinin izlenmesini sağlayacak şekilde nasıl
uygulanacağını belirtmektir. İyileştirme planında, risk iyileştirmesinin hangi sırayla uygulanacağı açık bir
şekilde tanımlanmalıdır.
İyileştirme planları, uygun paydaşlara danışılarak kuruluşun yönetim planlarına ve proseslerine entegre
edilmelidir.
İyileştirme planında sağlanan bilgiler aşağıda belirtilenleri kapsamalıdır:
— kazanılması beklenen faydalar dâhil, seçilen iyileştirme planının seçilme gerekçesi;
— planın onaylanması ve uygulanması konusunda hesap veren ve sorumlu kişiler;
— önerilen eylemler;
— beklenmedik durumlar için yedekler dâhil, gerekli kaynaklar;
— performans tedbirleri;
— kısıtlamalar;
— gerekli raporlama ve izleme;
— eylemlerin gerçekleştirilmesinin ve tamamlanmasının beklendiği zaman.
6.6 İzleme ve gözden geçirme

İzleme ve gözden geçirmenin amacı, süreç tasarımı, uygulaması ve sonuçlarının kalitesini ve etkinliğini
güvenceye almak ve iyileştirmektir. Risk yönetimi sürecinin ve sonuçlarının sürekli izlenmesi ve düzenli
aralıklarla gözden geçirilmesi, sorumluluklar açıkça tanımlanmış bir şekilde risk yönetimi sürecinin
planlı bir parçası olmalıdır.
İzleme ve gözden geçirme faaliyetleri, sürecin tüm aşamalarında gerçekleştirilmelidir. İzleme ve gözden
geçirme süreçleri planlama, bilgi toplama ve analiz etme, sonuçların kaydedilmesi ve geri bildirim
sağlanmasını kapsar.
İzleme ve gözden geçirmenin sonuçları, kuruluşun performans yönetimi, ölçüm ve raporlama
faaliyetlerinde kullanılmalıdır.
6.7 Kaydetme ve raporlama
Risk yönetimi süreci ve sonuçları uygun mekanizmalarla dokümante edilmeli ve raporlanmalıdır.
Kaydetme ve raporlama süreçleri ile aşağıda belirtilenler amaçlanır:
— risk yönetimi faaliyetlerini ve sonuçlarını kuruluşun tamamına iletme;
— karar verme için bilgi sağlama;
— risk yönetimi faaliyetlerini iyileştirme;
— risk yönetimi faaliyetlerinden sorumlu ve bu konuda sorumlular ve hesap verenler dâhil, paydaşlarla
etkileşimi destekleme.

ISO 31000:2018 TS ISO 31000:2020
Dokümante edilmiş bilginin oluşturulması, saklanması ve işlenmesine ilişkin kararlarda, bunlarla sınırlı
kalmamak üzere bilginin kullanımı, hassasiyeti ve iç dış bağlamı dikkate alınmalıdır.
Raporlama kuruluşun yönetiminin ayrılmaz bir parçasıdır ve paydaşlar ile iletişimin kalitesini arttırmalı
ve üst yönetim ile gözetim organlarına sorumluluklarını yerine getirmede destek olmalıdır. Raporlama
için göz önünde bulundurulması gereken etkenler, bunlarla sınırlı kalmamak üzere aşağıda belirtilenleri
kapsar:
— farklı paydaşlar ve bunların özel bilgi ihtiyaçları ve gereklilikleri;
— raporlamanın maliyeti, sıklığı ve zamanlaması;
— raporlama yöntemi;
— kurumsal amaçların ve karar vermenin anlamlılığı.

TS ISO 31000:2020 ISO 31000:2018
Kaynaklar
[1] IEC 31010, Risk management — Risk assessment techniques


TS Iso 31000

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TS Iso 31000

Uploaded by

Copyright:

Available Formats

TÜRK

TS ISO 31000:2009 yerine

Risk yönetimi — Kılavuz bilgiler

Risk management — Guidelines

Management du risque — Lignes directrices

TELİF HAKKI KORUMALI DOKÜMAN

TSE Standard Hazırlama Merkezi Başkanlığı

Tel: + 90 312 416 68 30

© TSE - Tüm hakları saklıdır.

Risk yönetimi — Kılavuz bilgiler

Risk management — Guidelines

TELİF HAKLARI KORUMALI DOKÜMAN

ii © TSE - Tüm hakları saklıdır.

© TSE - Tüm hakları saklıdır. iii

Önceki baskıya kıyasla yapılan temel değişiklikler aşağıdaki gibidir:

— üst yönetimin liderliği ve kuruluşun yönetiminden başlanarak risk yönetiminin entegrasyonu

iv © TSE - Tüm hakları saklıdır.

Bu standart; kuruluşlarda riskleri yöneterek, karar vererek, amaçları belirleyip gerçekleştirerek ve

Şekil 1 —İlkeler, çerçeve ve süreç

© TSE - Tüm hakları saklıdır. v

Risk yönetimi — Kılavuz bilgiler

— IEC Electropedia’ya http://www.electropedia.org/ üzerinden erişilebilir.

© TSE - Tüm hakları saklıdır. 1

2 © TSE - Tüm hakları saklıdır.

Risk yönetimi, kuruluşun tüm faaliyetlerinin ayrılmaz bir parçasıdır.

Risk yönetimine yapılandırılmış ve kapsamlı bir yaklaşım uygulanması, tutarlı ve karşılaştırılabilir

f) Mevcut en iyi bilgi

© TSE - Tüm hakları saklıdır. 3

g) İnsanla ilgili ve kültürel etkenler

Risk yönetimi, öğrenme ve tecrübe yoluyla sürekli iyileştirilir.

Kuruluş, mevcut risk yönetimi uygulamalarını ve süreçlerini değerlendirmeli, varsa boşlukları

4 © TSE - Tüm hakları saklıdır.

5.2 Liderlik ve taahhüt

— risk yönetimine gerekli kaynakların tahsis edilmesini sağlama;

— yetki, sorumluluk ve hesap verebilirliği kuruluşun uygun düzeylerine atama.

Liderlik ve taahhüt, kuruluşun aşağıda belirtilenleri yapmasına yardımcı olur:

— risk yönetimini; kuruluşun amaçları, stratejisi ve kültürüne uyarlama;

— tüm yükümlülüklerini ve gönüllü taahhütlerini anlama ve bunları ele alma;

— risk kriterlerinin, kuruluşa ve paydaşlarına iletilmesini temin ederek, geliştirilmesini yönlendirmek

— risk yönetiminin kuruluşa ve paydaşlarına iletilmesi;

— risklerin sistematik olarak izlenmesini destekleme;

— kuruluşun, amaçlarını gerçekleştirmeye çalışırken karşılaşacağı riskleri anlama;

— bu risklerin kuruluşun amaçları bağlamında uygun olduğunda emin olma;

© TSE - Tüm hakları saklıdır. 5

— kuruluşun amaçlarını etkileyen temel etkenler ve eğilimler;

— dış paydaşların ilişkileri, algıları, değerleri, ihtiyaçları ve beklentileri;

— sözleşmeye dayalı ilişkiler ve taahhütler;

— ağların karmaşıklığı ve bağımlılıklar.

— yönetim, kuruluş yapısı, görevler ve hesap verme durumları;

— strateji, amaçlar ve politikalar;

— kuruluşun benimsediği standartlar, kılavuz ilkeler ve modeller;

— veri, bilgi sistemleri ve bilgi akışları;

— algıları ve değerleri dikkate alınarak, iç paydaşlarla ilişkiler;

— sözleşmeye dayalı ilişkiler ve taahhütler;

— karşılıklı bağımlılıklar ve bağlantılar.

5.4.2 Risk yönetimi taahhüdünün bildirilmesi

— risk yönetimini, kuruluşun geneline entegre etme ihtiyacının güçlendirilmesi;

— risk yönetiminin ana iş faaliyetlerine ve karar vermeye bütünleştirilmesine öncülük etme;

— yetkiler, sorumluluklar ve hesap verme durumları;

— gerekli kaynakları kullanıma sunma;

— çelişen amaçların ele alınma şekli;

— kuruluşun performans göstergeleri kapsamında ölçüm ve raporlama;

— gözden geçirme ve iyileştirme.