Professional Documents
Culture Documents
TS Iso 31000
TS Iso 31000
STANDARDLARI
ENSTİTÜSÜ Türk Standardı
TS ISO 31000
Mart 2018
ICS 03.100.01
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iZMiR KAVRAM MESLEK YÜKSEKOKULU'A VERiLMiSTiR. BASILMA TARiHi: 18.06.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TS ISO 31000:2020 ISO 31000:2018
© TSE 2021
Tüm hakları saklıdır. Aksi belirtilmedikçe bu yayının herhangi bir bölümü veya tamamı, TSE'nin yazılı izni olmaksızın
fotokopi ve mikrofilm dâhil, elektronik ya da mekanik herhangi bir yolla çoğaltılamaz ya da kopyalanamaz.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iZMiR KAVRAM MESLEK YÜKSEKOKULU'A VERiLMiSTiR. BASILMA TARiHi: 18.06.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ISO 31000:2018 TS ISO 31000:2020
Millî önsöz
Bu standart, kaynağı ISO 31000:2018 standardı olan TS ISO 31000 Türk standardının Mühendislik
Hizmetleri İhtisas Kurulu’na bağlı TK-16: Mühendislik Hizmetleri Teknik Komitesi tarafından hazırlanan
Türkçe tercümesidir.
ISO resmî dillerinde yayımlanan diğer standart metinleri ile aynı geçerliliğe sahiptir.
Bu standartta kullanılan bazı kelime veya ifadeler patent haklarına konu olabilir. Böyle bir patent
hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.
İkinci baskı
2018-02
Referans numarası
ISO 31000:2018(E)
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iZMiR KAVRAM MESLEK YÜKSEKOKULU'A VERiLMiSTiR. BASILMA TARiHi: 18.06.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TS ISO 31000:2020 ISO 31000:2018
İçindekiler
Önsöz ......................................................................................................................................................................4
Giriş ......................................................................................................................................................................5
1 Kapsam ......................................................................................................................................................1
2 Bağlayıcı atıflar ......................................................................................................................................1
3 Terimler ve tanımlar ............................................................................................................................ 1
4 İlkeler......................................................................................................................................................... 2
5 Çerçeve ......................................................................................................................................................4
5.1 Genel ............................................................................................................................................................ 4
5.2 Liderlik ve taahhüt ................................................................................................................................. 5
5.3 Entegrasyon .............................................................................................................................................. 5
5.4 Tasarım ....................................................................................................................................................... 6
5.4.1 Kuruluşu ve bağlamını anlama ......................................................................................... 6
5.4.2 Risk yönetimi taahhüdünün bildirilmesi ...................................................................... 6
5.4.3 Kurumsal görevler, yetkiler, sorumluluklar ve hesap verebilirliğin
atanması ..................................................................................................................................... 7
5.4.4 Kaynakların tahsis edilmesi ............................................................................................... 7
5.4.5 İletişim kurma ve danışma yaklaşımının belirlenmesi ........................................... 7
5.5 Uygulama ................................................................................................................................................... 7
5.6 Değerlendirme ......................................................................................................................................... 8
5.7 İyileştirme ................................................................................................................................................. 8
5.7.1 Uyarlama .................................................................................................................................... 8
5.7.2 Sürekli iyileştirme .................................................................................................................. 8
6 Süreç ........................................................................................................................................................... 8
6.1 Genel ............................................................................................................................................................ 8
6.2 İletişim ve danışma ................................................................................................................................ 9
6.3 Kapsam, bağlam ve kriterler ........................................................................................................... 10
6.3.1 Genel ......................................................................................................................................... 10
6.3.2 Kapsamın tanımlanması ................................................................................................... 10
6.3.3 Dış ve iç bağlam .................................................................................................................... 10
6.3.4 Risk kriterlerinin tanımlanması .................................................................................... 10
6.4 Risk değerlendirmesi ......................................................................................................................... 11
6.4.1 Genel ......................................................................................................................................... 11
6.4.2 Risk tanımlaması.................................................................................................................. 11
6.4.3 Risk analizi ............................................................................................................................. 12
6.4.4 Risk değerlendirmesi ......................................................................................................... 12
6.5 Risk iyileştirmesi ................................................................................................................................. 13
6.5.1 Genel ......................................................................................................................................... 13
6.5.2 Risk iyileştirmesi seçeneklerinin seçilmesi .............................................................. 13
6.5.3 Risk iyileştirmesi planlarının hazırlanması ve uygulanması ............................. 14
6.6 İzleme ve gözden geçirme................................................................................................................ 14
6.7 Kaydetme ve raporlama ................................................................................................................... 14
Kaynaklar............................................................................................................................................................. 16
Önsöz
ISO (Uluslararası Standardizasyon Kuruluşu) ulusal standart kuruluşlarının (ISO üye kuruluşları) dünya
çapında federasyonudur. Uluslararası Standart hazırlama çalışması genellikle ISO teknik komiteleri
aracılığıyla yapılır. Bir teknik komitenin kurulduğu konuyla ilgilenen her üye kuruluşun, o teknik
komitede temsil edilme hakkı vardır. ISO ile işbirliği içindeki resmî ve gayri resmî uluslararası kuruluşlar
da ayrıca çalışmalarda yer alır. ISO, elektroteknik standartlaştırma ile ilgili tüm konularda Uluslararası
Elektroteknik Komisyonu (IEC) ile yakın işbirliği içinde çalışır.
Bu standardın geliştirilmesi için kullanılan prosedürler ile standardın ileride sürdürülebilmesi için
tasarlanmış prosedürler ISO/IEC Direktifleri Bölüm 1’de açıklanmıştır. Özellikle farklı ISO doküman
tipleri için ihtiyaç duyulan farklı onay kriterlerine dikkat edilmesi tavsiye edilir. Bu standart, ISO/IEC
Direktifleri Bölüm 2 yazım kurallarına uygun olarak hazırlanmıştır (bk. www.iso.org/directives).
Bu standardın bazı unsurlarının patent haklarının konusu olabileceği ihtimaline dikkat edilmelidir. Böyle
bir patent hakkının belirlenmesi durumunda ISO sorumlu tutulamaz. Standardın geliştirilmesi sırasında
belirlenen patent haklarıyla ilgili detaylara giriş kısmından ve/veya ISO’nun patent duyuruları
listesinden ulaşılabilecektir (bk. www.iso.org/patents).
Bu standartta kullanılan tüm ticari isimler kullanıcıların rahatlığı açısından bilgi amaçlı verilmiştir ve bir
onay anlamına gelmemektedir.
Standartların gönüllülüğü esas alan doğasına, uygunluk değerlendirmesiyle ilgili ISO’ya özgü terimlerin
ve ifadelerin anlamlarına ilişkin açıklama için ve ayrıca ISO’nun, Dünya Ticaret Örgütü (WTO) Ticarette
Teknik Engeller Anlaşması’na (TBT) olan bağlılığı hakkında daha fazla bilgi için İnternet sitesine bakınız:
www.iso.org/iso/foreword.html.
Bu standart, ISO/TC 262 “Risk management” (Risk yönetimi) Teknik Komitesi tarafından hazırlanmıştır.
Bu ikinci baskı, teknik olarak revize edilmiş ilk baskının (ISO 31000:2009) yerini alır.
— risk yönetiminin, başarısı için temel kriterler olan ilkeleri gözden geçirildi;
— risk yönetiminin sürekli yenilenebilir, yeni tecrübelerin, bilginin ve analizin proses elemanları,
eylemler ve prosesin her bir aşamasındaki kontrollerin revize edilmesine neden olabileceği
belirtilerek vurgulandı;
— içerik, birden fazla ihtiyaca ve bağlama uygun bir açık sistemler modelinin sürdürülmesine daha fazla
odaklanacak şekilde modernleştirildi.
Giriş
1 Kapsam
Bu standart, kuruluşların karşılaştığı risklerin yönetilmesi hakkında kılavuzluk sağlar. Bu kılavuz
bilgilerin uygulaması, kuruluşa ve konu bağlamına göre uyarlanabilir.
Bu standart, her türlü riskin yönetimine ortak bir yaklaşım sunar ve herhangi bir sanayiye veya sektöre
özgü değildir.
Bu standart, kuruluşun tüm ömrü boyunca kullanılabilir ve tüm düzeylerde karar verme süreci dâhil, tüm
faaliyetlere uygulanabilir.
2 Bağlayıcı atıflar
Bu standartta bağlayıcı atıflar bulunmamaktadır.
3 Terimler ve tanımlar
Bu standardın amaçları bakımından, aşağıdaki terimler ve tanımlar geçerlidir.
ISO ve IEC, standardizasyonda kullanılmak üzere terminoloji veri tabanlarını aşağıdaki adreslerde
muhafaza etmektedir:
— ISO Çevrimiçi gezinti platformu: http://www.iso.org/obp üzerinden erişilebilir.
3.1
risk
belirsizliğin amaçlara etkisi
Kayda ait not 1: Etki, beklenen durumdan sapmadır. Bu etki, olumlu, olumsuz veya her iki şekilde olabilir ve fırsatları
ve tehditlerin konusu olabilir, fırsatlar ve tehditler yaratabilir veya bunların oluşmasıyla sonuçlanabilir.
Kayda ait not 2: Amaçlar, farklı hususlarda ve kategorilerde olabilir ve farklı düzeylerde uygulanabilir.
Kayda ait not 3: Risk genelde risk kaynakları (Madde 3.4), potansiyel olaylar (Madde 3.5), bunların sonuçları (Madde
3.6) ve gerçekleşme olasılığı (Madde 3.7).
3.2
risk yönetimi
kuruluşu risk (Madde 3.1) açısından yönlendirme ve kontrol etme amaçlı koordinasyonlu faaliyetler
3.3
paydaş
bir kararı veya etkinliği etkileyebilen, bunlardan etkilenebilen veya bunlardan etkilendiğini düşünen kişi
veya kuruluş
Kayda ait not 1: “İlgili taraf” terimi, “paydaş” ifadesine alternatif olarak kullanılabilir.
3.4
risk kaynağı
tek başına veya başka bir unsur ile birlikte bir riskin (Madde 3.1) ortaya çıkmasına neden olan unsur
3.5
olay
belirli şartların meydana gelmesi veya değişmesi
Kayda ait not 1: Bir olay bir veya daha fazla durumun meydana gelmesinden oluşabilir ve birden fazla nedeni ve
sonucu (Madde 3.6) olabilir.
Kayda ait not 2: Olay ayrıca olması beklenen bir şeyin olmaması ya da olmaması beklenen bir şeyin olması da
olabilir.
Kayda ait not 3: Bir olay, bir risk kaynağı olabilir.
3.6
sonuç
bir olayın (Madde 3.5), amaçları etkileyen çıktısı
Kayda ait not 1: Sonuç belirli veya belirsiz olabilir ve amaçları doğrudan ya da dolaylı olarak olumlu veya olumsuz
etkileyebilir.
Kayda ait not 2: Sonuçlar nitel veya nicel olarak ifade edilebilir.
Kayda ait not 3: Sonuçlar üst üste ve kümülatif etkiler ile büyüyebilir.
3.7
olasılık
bir şeyin meydana gelme ihtimali
Kayda ait not 1: Risk yönetimi (Madde 3.2) terminolojisinde “olasılık” terimi; nesnel ya da öznel, nitel ya da nicel
olarak tanımlanan, ölçülen veya belirlenen bir şeyin meydana gelme ihtimali anlamında kullanılır ve genel
terimlerle veya matematiksel olarak (örneğin olasılık veya belirli bir zamanda meydana gelme sıklığı şeklinde) ifade
edilir.
Kayda ait not 2: Ancak İngilizcedeki “likelihood” teriminin bazı dillerde doğrudan bir karşılığı yoktur; bunun yerine
genelde “probability” teriminin karşılığı kullanılır. Ancak İngilizcedeki “probability” kelimesi genellikle
matematiksel bir terim olarak daha dar bir anlamda yorumlanır. Bu nedenle risk yönetimi terminolojisinde,
“probability” kelimesinin İngilizce dışındaki dillerdeki geniş anlamlı karşılığına sahip olması amacıyla “likelihood”
terimi kullanılır; Türkçedeki “olasılık” kelimesi, hem matematiksel terimi, hem de genel ifadelerle meydana gelme
ihtimalini kapsar.
3.8
kontrol
riskin (Madde 3.1) mevcut durumunu koruyan ve/veya değiştiren tedbir
Kayda ait not 1: Kontroller, bunlarla sınırlı kalmamak üzere, riski değiştiren süreçleri, politikaları, cihazları,
uygulamaları veya diğer koşulları ve/veya eylemleri kapsar.
Kayda ait not 2: Kontroller her zaman planlanan veya varsayılan değiştirme etkisini yaratmayabilir.
4 İlkeler
Risk yönetiminin amacı, değer yaratmak ve değerleri korumaktır. Risk yönetimi performansı arttırır,
yeniliği teşvik eder ve amaçların gerçekleştirilmesini destekler.
Şekil 2’de özetlenen ilkeler verimli ve etkili risk yönetiminin değeri, niyetini ve amacını açıklayarak
özellikleri hakkında kılavuzluk sağlar. Söz konusu ilkeler, risk yönetiminin temelidir ve kuruluşun risk
yönetimi çerçevesi ve süreçleri oluşturulurken göz önünde bulundurulmalıdır. Bu ilkeler, bir kuruluşun,
amaçları üzerindeki belirsizlik etkilerini yönetebilmesini sağlamalıdır.
Şekil 2— İlkeler
Etkili risk yönetimi Şekil 2’de gösterilen ögeleri gerektirir ve daha detaylı olarak aşağıdaki şekilde
açıklanabilir.
a) Birleşik/Entegre
b) Yapılandırılmış ve kapsamlı
c) Uyarlanmış
Risk yönetimi çerçevesi ve süreci, kuruluşun amaçlarına ilişkin iç ve dış konu bağlamına orantılı
olarak özelleştirilir.
d) Kapsayıcı
Paydaşların uygun ve zamanlı bir şekilde dâhil edilmesi, onların bilgi birikimlerinin, bakış açılarının
ve algılarının dikkate alınabilmesini sağlar. Bu da farkındalığın artmasını ve risk yönetiminin bilinçli
uygulanmasını sağlar.
e) Dinamik
Kuruluşun iç ve dış konu bağlamı değiştikçe yeni riskler ortaya çıkabilir, mevcut riskler değişebilir
veya ortadan kalkabilir. Risk yönetimi ile bu değişiklikler ve olaylar uygun bir şekilde ve zamanında
öngörülür, saptanır, bilinir ve ele alınır.
Risk yönetiminin girdileri, geçmiş ve mevcut bilgilere ve ayrıca gelecek beklentilerine dayanır. Risk
yönetiminde bu bilgiler ve beklentilerle ilgili tüm sınırlamalar ve belirsizlikler açık bir şekilde göz
önünde bulundurulur. Bilgiler zamanında ve net bir şekilde ilgili paydaşların kullanımına hazır
olmalıdır.
İnsan davranışı ve kültür, risk yönetiminin tüm boyutlarını her bir düzeyde ve aşamada önemli
ölçüde etkiler.
h) Sürekli iyileştirme
5 Çerçeve
5.1 Genel
Risk yönetimi çerçevesinin amacı, risk yönetiminin önemli faaliyetlere ve işlevlere entegre edilmesinde
kuruluşa destek olmaktır. Risk yönetiminin etkinliği, risk yönetim süreçlerinin (karar verme dâhil)
kuruluşun yönetimine entegre edilmesine bağlıdır. Bunu gerçekleştirmek için başta üst yönetim olmak
üzere tüm paydaşların desteği gerekir.
Çerçeve geliştirme süreci, risk yönetiminin kuruluşun tamamında entegre edilmesini, tasarlanmasını,
uygulanmasını, değerlendirilmesini ve iyileştirilmesini kapsar. Şekil 3’te bir çerçevenin bileşenleri
gösterilmektedir.
Şekil 3 — Çerçeve
— bir risk yönetimi yaklaşımı, planı veya yol haritası teşkil eden bir beyan veya politika yayımlama;
— risk yönetimi çerçevesinin, kuruluşun konu bağlamı için sürekli uygun kalmasını sağlama.
Üst yönetim riskleri yönetmekten sorumlu iken gözetim organları risk yönetimini gözetmekten
sorumludur. Gözetim organlarının genellikle aşağıda belirtilenleri yapması beklenir veya gerekir:
— kuruluşun amaçları belirlenirken risklerin uygun bir şekilde dikkate alınmasını sağlama;
— bu riskleri yönetmeye yönelik sistemin uygulanmasını ve etkili bir şekilde işlemesini sağlama;
— bu risklere ilişkin bilgilerin ve bu bilgelerin yönetiminin uygun bir şekilde kuruluş geneline
bildirilmesini sağlama.
5.3 Entegrasyon
Risk yönetiminin entegre edilmesi, kurumsal yapılara ve bağlama dair bir anlayışa sahip olmaya bağlıdır.
Yapılar; kuruluşun amacına, hedeflerine ve karmaşıklığına bağlı olarak değişir. Risk, kuruluşun her
kısmında yönetilir. Kuruluştaki herkes riskin yönetilmesinde sorumluluk taşır.
Yönetim; kuruluşun işlerine, iç ve dış ilişkilerine ve amacını gerçekleştirmesi için gerekli kurallarına,
proseslerine ve uygulamalarına kılavuzluk eder. Yönetim yapıları, sürdürülebilir performansının istenen
düzeylerine ulaşmak ve uzun süre var olmayı sürdürebilmek için yönetimin yönünü, gerekli stratejiye ve
bununla ilişkili amaçlara çevirir. Kuruluş içerisinde risk yönetimi konusunda hesap verebilirliği ve
gözetim görevlerini belirleme, kuruluşun yönetiminin ayrılmaz bir parçasıdır.
Risk yönetiminin bir kuruluş ile bütünleştirilmesi dinamik ve devamlı bir süreçtir ve kuruluşun
ihtiyaçlarına ve kültürüne göre özelleştirilmelidir. Risk yönetimi; kuruluşun amacı, yönetimi, liderlik ve
taahhüdü, stratejisi, amaçları ve çalışmalarının bir parçası olmalı ve bunlardan ayrılmamalıdır.
5.4 Tasarım
5.4.1 Kuruluşu ve bağlamını anlama
Riskleri yönetme çerçevesini tasarlarken kuruluş, iç ve dış bağlamını incelemeli ve anlamalıdır.
Kuruluşun dış bağlamının incelenmesi, bunlarla sınırlı kalmamak üzere, aşağıda belirtilenleri içerebilir:
— uluslararası, ulusal, bölgesel veya yerel düzeyde toplumsal, kültürel, siyasi, hukuki, düzenleyici, mali,
teknolojik, ekonomik ve çevresel etkenler;
Kuruluşun iç bağlamının incelenmesi, bunlarla sınırlı kalmamak üzere, aşağıda belirtilenleri içerebilir:
— vizyon, misyon ve değerler;
— kuruluşun kültürü;
— kaynaklar ve bilgi birikimi açısından kabiliyetler (ör. sermaye, zaman, insan kaynakları, fikrî
mülkiyet, süreçler, sistemler ve teknolojiler);
— riskleri yönetme konusunda hesap veren ve yetkili kişileri (risk sahiplerini) tanımlamalıdır.
— çeşitli kararların kuruluşta nerede, ne zaman, nasıl ve kim tarafından verildiğini tanımlama;
— kuruluşun riski yönetmek için yaptığı düzenlemelerin açık bir şekilde anlaşılmasını ve
uygulanmasını sağlama.
Çerçevenin başarılı bir şekilde uygulanması, paydaşların katılımını ve farkındalığını gerektirir. Bu,
kuruluşların karar verme sürecindeki belirsizliği açık bir şekilde ele alabilmesini ve aynı zamanda yeni
veya müteakip bir belirsizlik meydana geldiğinde hesaba katılabilmesini sağlar.
Doğru bir şekilde tasarlandığında ve uygulandığında, risk yönetimi çerçevesi risk yönetimi proseslerinin,
karar verme süreci dâhil, kuruluşun tüm faaliyetlerinin bir parçası olmasını sağlar.
5.6 Değerlendirme
Risk yönetimi çerçevesinin etkinliğini değerlendirmek için kuruluş:
— risk yönetimi çerçevesinin performansını, amacına, uygulama planlarına, göstergelere ve beklenen
davranışa göre düzenli aralıklarla ölçmelidir;
5.7 İyileştirme
5.7.1 Uyarlama
Kuruluş, risk yönetimi çerçevesini sürekli izlemeli ve risk yönetimi çerçevesini iç ve dış değişiklikleri ele
alacak şekilde uyarlamalıdır. Böylelikle kuruluş, değerini artırabilir.
5.7.2 Sürekli iyileştirme
Kuruluş; risk yönetimi çerçevesinin uygunluğu, yeterliliği ve etkinliğini ve risk yönetimi sürecinin
entegre edilme şeklini sürekli iyileştirmelidir.
Kuruluş, konuyla ilgili boşluklar veya iyileştirme fırsatları belirlendikçe planlar ve görevler geliştirmeli
ve bunları uygulamadan sorumlu kişilere atamalıdır. Bu iyileştirmelerin uygulanması, risk yönetiminin
geliştirilmesine katkıda bulunacaktır.
6 Süreç
6.1 Genel
Risk yönetimi süreci; politikaların, prosedürlerin ve uygulamaların; iletişim ve danışma, bağlamın
oluşturulması ve riskin değerlendirilmesi, ele alınması, izlenmesi, gözden geçirilmesi, kaydedilmesi ve
raporlanması faaliyetlerine sistematik bir şekilde uygulanmasını içerir. Bu süreç Şekil 4’te gösterilmiştir.
Şekil 4 — Süreç
Risk yönetimi süreci, yönetim ve karar verme sürecinin ayrılmaz bir parçası olmalı ve kuruluşun yapısına,
işlerine ve süreçlerine entegre edilmelidir. Stratejik, çalışma, program veya proje düzeylerinde
uygulanabilir.
Risk yönetimi sürecinin, bir kuruluş içinde amaçlara ulaşılması ve uygulandıkları dış ve iç bağlama uygun
olması için, özelleştirilmiş birçok uygulaması olabilir.
İnsan davranışları ve kültürün dinamik ve değişken niteliği, risk yönetimi sürecinin tamamında göz
önünde bulundurulmalıdır.
Risk yönetimi sürecinin genellikle sıralı olarak sunulmasına karşın, uygulamada yinelemelidir.
6.2 İletişim ve danışma
İletişim ve danışmanın amacı, riskin, kararların hangi temellere dayalı olarak alındığı ve belirli eylemlerin
neden gerekli olduğunun anlaşılması konusunda ilgili paydaşlara destek olmaktır. İletişim, risk
konusunda farkındalığı ve anlayışı desteklemeyi hedeflerken, danışma ve karar verme sürecini
desteklemek için geri bildirim ve bilgi sağlamayı içerir. Bunların ikisi arasındaki sıkı eşgüdüm, bilginin
gizliliği ve bütünlüğü ile gerçek kişilerin mahremiyet haklarını dikkate alarak bilginin gerçeğe dayalı,
zamanında, doğru ve anlaşılır bir şekilde paylaşılmasını sağlar.
Uygun dış ve iç paydaşlarla iletişim ve danışma, risk yönetimi süreçlerinin tüm adımlarında
gerçekleştirilmelidir.
İletişim ve danışmanın amacı:
— risk yönetimi sürecinin her bir adımı için farklı uzmanlık alanlarını bir araya getirmek;
— risk yönetimi sürecinin amacı ve kapsamı, kuruluşun bir bütün olarak amaçları ile ilişkili olabilir.
Kuruluş, risk yönetimi sürecinin dış ve iç bağlamını Madde 5.4.1’de verilen etkenleri dikkate alarak
oluşturmalıdır.
6.3.4 Risk kriterlerinin tanımlanması
Kuruluş, amaçlarına göre alıp alamayacağı risk türlerini ve miktarını belirtmelidir. Ayrıca kuruluş, riskin
önem derecesini değerlendirmek ve karar verme süreçlerini desteklemek için kullanılacak kriterleri
tanımlamalıdır. Risk kriterleri, risk yönetimi çerçevesi ile uyumlu olmalı ve söz konusu faaliyetin özel
amacına ve hedefine göre özelleştirilmelidir. Risk kriterleri kuruluşun değerlerini, amaçlarını ve
kaynaklarını yansıtmalıdır ve risk yönetimine ilişkin politikalar ve beyanlarla tutarlı olmalıdır. Kriterler,
kuruluşun yükümlülükleri ve paydaşların görüşleri dikkate alınarak tanımlanmalıdır.
Risk kriterlerinin risk değerlendirmesinin başında belirlenmesi gerekmesine rağmen bu kriterler
dinamiktir ve sürekli gözden geçirilerek, gerektiğinde değiştirilmelidir.
— kuruluşun kapasitesi.
— nedenler ve olaylar;
— tehditler ve fırsatlar;
— zayıflıklar ve kabiliyetler;
Kuruluş, riskin kaynağı kendi kontrolünde olsa da, olmasa da riskleri tanımlamalıdır. Çeşitli maddi ve
maddi olmayan sonuca yol açabilecek birden fazla tipte sonuç olabileceğine dikkat edilmelidir.
— karmaşıklık ve ilişkililik;
Kararlarda daha geniş bir bağlam ile iç ve dış paydaşlar üzerindeki gerçek ve algılanan sonuçlar dikkate
alınmalıdır.
Risk değerlendirmesinin sonucu kaydedilmeli, iletilmeli ve sonra kuruluşun uygun seviyelerinde
doğrulanmalıdır.
12 © TSE - Tüm hakları saklıdır.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iZMiR KAVRAM MESLEK YÜKSEKOKULU'A VERiLMiSTiR. BASILMA TARiHi: 18.06.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ISO 31000:2018 TS ISO 31000:2020
— olasılığı değiştirme;
— sonuçları değiştirme;
Karar vericiler ve diğer paydaşlar, risk iyileştirmesinin ardından hâlâ devam eden risklerin niteliğinin ve
derecesinin farkında olmalıdır. Kalan risk dokümante edilmeli, izlenmeli, gözden geçirilmeli ve uygun
olduğunda daha fazla iyileştirme yapılmalıdır.
6.5.3 Risk iyileştirmesi planlarının hazırlanması ve uygulanması
Risk iyileştirmesi planlarının amacı, seçilen risk iyileştirmesi seçeneğinin, sürece katılanların
yapılacakları anlamasını ve ilerlemenin plan içindeki ilerlemesinin izlenmesini sağlayacak şekilde nasıl
uygulanacağını belirtmektir. İyileştirme planında, risk iyileştirmesinin hangi sırayla uygulanacağı açık bir
şekilde tanımlanmalıdır.
İyileştirme planları, uygun paydaşlara danışılarak kuruluşun yönetim planlarına ve proseslerine entegre
edilmelidir.
İyileştirme planında sağlanan bilgiler aşağıda belirtilenleri kapsamalıdır:
— kazanılması beklenen faydalar dâhil, seçilen iyileştirme planının seçilme gerekçesi;
— önerilen eylemler;
— performans tedbirleri;
— kısıtlamalar;
— risk yönetimi faaliyetlerinden sorumlu ve bu konuda sorumlular ve hesap verenler dâhil, paydaşlarla
etkileşimi destekleme.
Dokümante edilmiş bilginin oluşturulması, saklanması ve işlenmesine ilişkin kararlarda, bunlarla sınırlı
kalmamak üzere bilginin kullanımı, hassasiyeti ve iç dış bağlamı dikkate alınmalıdır.
Raporlama kuruluşun yönetiminin ayrılmaz bir parçasıdır ve paydaşlar ile iletişimin kalitesini arttırmalı
ve üst yönetim ile gözetim organlarına sorumluluklarını yerine getirmede destek olmalıdır. Raporlama
için göz önünde bulundurulması gereken etkenler, bunlarla sınırlı kalmamak üzere aşağıda belirtilenleri
kapsar:
— farklı paydaşlar ve bunların özel bilgi ihtiyaçları ve gereklilikleri;
— raporlama yöntemi;
Kaynaklar