Yaşamımızın her adımında risk almaktayız. İş dünyası da risklerle doludur. İşinizi yürütürken risk analizi yapmıyor ve sonuçlarına göre hareket etmiyorsanız başınızın derde gireceği kesindir. 

Hizmet ve üretim sektöründe yıllardır yaygın olan ISO 9001 Kalite Yönetim Sistem standardının 2015 Ekim ayında yayınlanacak olan son versiyonu da pek çok yeniliğin yanı sıra (ISO 9001:2015) risk yönetimi de esas alacak biçimde yapılandırılmıştır. 

Risklerin temelindeki tehlikelerin  bir kısmını yaşadıkça öğreniyoruz yarım yamalak ve hayatımızı garanti altına almaya çalışarak. Tehlike potansiyel zarar kaynağıdır. Tehlike tanımlamayı ve risk yönetimini beceremedikleri zamanlar insanlar yaralanır veya ölürler. Ocakta omlet yapmak ne kadar basit görünür; oysa tehlikeli bir iştir omlet yapmak ve yapmaya başladığınız an riskle karşı karşıyasınızdır. Sokakta yürümek de tehlikelidir, su içmek de, elma soymak da…Bunları yapmaya başladığımız an risklerle karşı karşıyayız demektir. Trafiğe çıkmanın tehlikesi daha büyüktür, çıkıldığı anda risk alınmış olur; kabak tekerlekle yağışlı havada otomobili kaydırıp da kaza yapılınca bazen insanlar ölüverir.  

Öte yandan hayat da devam etmektedir; sokağa çıkmayacak, su içmeyecek, otomobile binmeyecek, bankaya para yatırmayacak, yatırım yapmayacak, iş yeri açmayacak, yeni sahalara yönelmeyecek… vb değil insanlar. Hayat asla durağan değildir. Hayatı sürdürmek için risk almak zorundayız, ama hayattaki tehlikelere karşı dikkatli olmak gerekir. Risk almadan yaşanmaz; lakin alınan risklerin boyutların dikkat etmek gerekir.

“Sonra bir gün hiç risk almamanın riskinin hepsinden daha büyük risk olduğuna karar verdim”

Gönül ister ki hepimiz kişisel ve sosyal yaşamımızdaki tehlikelere ve ilgili risklere karşı uyanık olalım ve sistemli olarak önlem alabilelim. Böyle olmadığını biliyoruz.

Yakın tarihlere kadar iş dünyasında da risk yönetimine ilişkin olarak aynı zafiyet vardı. Yakın tarihler dediğim de belki 20 yıl kadar…ve riskin sistematik yönetimi söz konusu değildi. Bütün işleri risk paylaşmak olan sigorta şirketleri dışarda bırakılabilir belki. Gerçi onlar da kendilerinin değil de müşterilerinin risklerinin peşindelerdir. Sigortacılar 1700 lerin ortalarından bu yana risk analizi yapıyorlar. Büyük matematikçilerin emekleri vardır risk analizinin bilimsel temellerinin oluşturulmasında (Laplace, Poincare, Gauss, Bayes, Bernoulli, Pascal en önde gelenler) 20. yüzyılının ünlü dahi matematikçisi Von Neumann’ı da unutmamak lazım 26 sında geliştirdiği oyun teorisi ile. İş dünyasında risk analizi geçmiş verilerin analizlerini de içerir ki bu, istatistikte uzmanlık seviyesinde bilgi gerektirebilir yerine göre. Ancak, bir fabrika, otel veya tatil köyü söz konusu ise durum bu kadar karmaşık olmayabilir. 

Risk yönetimi salt istatistik veya risk analizinden ibaret değildir. Risk yönetimi bir kuruluşun riske ilişkin olarak koordine edilmiş faaliyetlerinin yönetimi ve kontroludur (ISO Guide 73) . Dünya ölçeğindeki ekonomide yakın tarihlerde üst üste yaşanan değişimler ve krizler kuruluşları sürdürülebilirlik konusunda arayışlara itti doğal olarak. Bu arayışlar sonucunda bir kriz (en geniş anlamıyla) ortamında işin devamının sağlanması için uygulanması gereken yönetim modeline ilişkin olarak bir standart da yayınlanmıştır ( ISO 22301 Business Continuity Management -İş sürekliliği yönetimi) Bu standart, her türlü önlem alınmış olsa da bir olası bir olayın  ( en geniş anlamı ile) gerçekleşmesi durumunda işin devam edebilmesi için gerekli ilgili aktivitelere ilişkindir. Yani hayatta kalmak için reaksiyon planlaması… Risk yönetiminde ise olayların gerçekleşme şansından-olasılığından ve bunlardan kaçınma yollarından….bahsedilir; ancak iş sürekliliği yönetimi doğal olarak risk yönetiminin kapsama alanında yer alır.

Risk yönetiminin önemi gittikçe artmakta. Yöneticiler ne kadar kendilerinden emin görünseler de, her şeyin kontrol altında olduğunu söyleseler de, riskler kuruluşun stratejik kararları için itici güç olabildikleri gibi kuruluştaki belirsizliklerin nedeni de olabilirler veya kuruluşun hedeflerinin, grevli personelin, yönetim biçimin, finans yönetiminin, satın  alma faaliyetlerinin, organizasyon yapısının… arkasına yerleşmiş olabilirler. Risk yönetiminin kuruluş genelinde uygulanması her tür riskin iş süreçleri, faaliyetler, paydaşlar ürün ve servisler üzerindeki potansiyel etkilerinin dikkate alınmasına yardımcı olur. Risk yönetiminin kuruluş çapında uygulanması “riskin üst tarafı”ndan yararlanmayla sonuçlanır; risk yönetimini başarıyla uygulamanın meyveleri….2000 li yılların sonundaki küresel finansal kriz pek çok şeyle birlikte risk yönetiminin uygun biçimde ve oranda uygulanması gereğini de gösterdi.  ISO 31000 ‐ ‘Risk Yönetimi Kuralları ve Rehberi’ de bu dönemde ortaya çıkmıştır.  ISO 31000 kuruluş çapında risk yönetimi çerçeve sunmaktadır ve ISO 31000 den başka bir dokümanda böyle bir çerçeve yoktur. 

Bütün kuruluşlar hedeflerine erişmek ve bunun meyvelerini toplamak için aldıkları riskleri anlamak gereksinimi içindedirler. (Kişisel baza indirgersek, gece yarısı 03:00 da yola çıkıp 6  saat otomobil sürerek karlı bir sözleşmeye imza atmaya gitmek gibi…) Süreçlerle ve faaliyetlerle bütünleşmiş olan bütün risk seviyelerinin anlaşılması, öne çıkan risklerin bilinmesi ve önceliklendirilmesi ve en zayıf kontrol noktalarının tanımlanması risk yönetiminde önemlidir.   Risklerin bir organizasyona kısa, orta ve uzun vadeli etkileri olabilir. Bu riskler de sırasıyla operasyonlarla, taktiklerle ve stratejilerle ilişkilidir. Strateji uzun vadeli hedefler demektir ve tipik bir stratejik planlama süreci 3-5 veya daha fazla yılı kapsar. Taktikler ise değişimin başarılabilmesi için koyulan hedefler ve hazırlanan planlardır. Bu yüzden operasyonel ve taktiksel riskler genellikle projelerle, satış faaliyetleriyle, satın almalarla, ürün geliştirmelerle ilişkilendirilir. 

Risk yönetimi süreci genel hatlarıyla aşağıdaki faaliyetleri içerir:

• Riskin tanımlanması veya tanınması
  
• Riskin sıralanması veya değerlendirilmesi 
• Belirgin risklere cevap verme
  • Riski tolere etme
  • Riske müdahale etme, modifiye etme
  • Riski transfer etme
  • Riski  sonlandırma
• Kontrollere kaynak ayırma
• Reaksiyon planlama
• Risk performansının raporlanması ve izlenmesi
• Risk yönetim çerçevesinin gözden geçirilmesi

Son olarak risk yönetimi prensiplerine/yararlarına  kısaca göz atalım (ISO 31000:2009)

• kuruluş için değer yaratır ve değer korur
  
• organizasyonel sürecin bütünleşik bir parçasıdır.
• karar verme sürecinin parçasıdır
• açık olarak belirsizliğe hitap eder
• sistematiktir, yapısaldır ve zamanlamalıdır
• var olan en iyi bilgiye dayanır.
• ihtiyaca ve duruma uygun olacak biçimde şekillendirilir.
• insani ve kültürel faktörleri göz önüne alır.
• şeffaftır ve geniş kapsamlıdır
• dinamiktir,  tekrarlanır ve değişikliklere karşı yenilenir.
• kuruluşun sürekli iyileşmesini kolaylaştırır.