21 Eylül 2018 Cuma

ISO 45001

ISO 45001: 2018 , İş sağlığı ve güvenliği yönetim sistemleri - Kullanım rehberliği ile ilgili gereklilikler, küresel tedarik zincirlerinde iş güvenliğini iyileştirmek için sağlam ve etkili bir süreçler seti sağlar. Her ölçekteki ve sektördeki kuruluşlara yardımcı olmak için tasarlanan yeni Uluslararası Standart, dünyadaki işyeri yaralanmaları ve hastalıklarını azaltması bekleniyor.
Uluslararası Çalışma Örgütü (ILO) tarafından yapılan 2017 hesaplarına göre yılda 2.78 milyon ölümcül kaza meydana geliyor. Bu, her gün, yaklaşık 7 700 kişinin işle ilgili hastalık veya yaralanmalardan öldüğü anlamına gelir. Buna ek olarak, her yıl 374 milyon ölümcül olmayan işle ilgili yaralanma ve hastalık var, bunların çoğu işten uzun süre devamsızlıklarla sonuçlanıyor. Bu, modern işyerinin ayık bir resmini çiziyor; işçilerin basitçe “işlerini yapmanın” sonucu olarak ciddi sonuçlar doğurabilecekleri bir tablo.
ISO 45001 bunu değiştirmeyi umuyor. Devlet kurumlarını, endüstriyi ve diğer etkilenen paydaşları, dünya çapında ülkelerde iş güvenliğinin iyileştirilmesi için etkin, kullanılabilir rehberlik sağlar. Kullanımı kolay bir çerçeve sayesinde, bulundukları yere bakılmaksızın hem esir hem de ortak fabrikalara ve üretim tesislerine uygulanabilir.
ISO 45001'i geliştiren ISO / PC 283 proje komitesi başkanı David Smith, yeni International Standard'ın milyonlarca çalışan için gerçek bir oyun değiştirici olacağına inanıyor: “ISO 45001'in işyeri uygulamalarında büyük bir dönüşüme yol açacağı ve İşe bağlı kazaların ve dünyadaki hastalıkların trajik geçişi. ”Yeni standart, çalışanların ve ziyaretçilerin İSG performanslarını sürekli iyileştirerek güvenli ve sağlıklı bir çalışma ortamı sunmasına yardımcı olacak.
Smith şunları ekliyor: “Dünya standartları yazarları, hangi sektörde çalışmakta olduğunuz ve nerede çalıştığınız her yerde, herkes için daha güvenli bir iş alanı oluşturmak için bir araya geldi.” Bu önemli belgenin oluşturulmasında doğrudan 70'den fazla ülke yer aldı. ISO / PC 283 ,  İş sağlığı ve güvenliği yönetim sistemleri tarafından geliştirilen ve İngiliz Standartları Enstitüsü ( BSI ) tarafından komite sekretaryası olarak hizmet vermektedir.
ISO 45001, ISO 9001'in (kalite yönetimi) ve ISO 14001'in (çevre yönetimi) yeni sürümleriyle yüksek düzeyde uyumluluk sağlamak için diğer ISO yönetim sistemleri standartlarıyla entegre olacak şekilde tasarlandığından, bir ISO standardı uygulayan işyerlerinin bir bacağı olacaktır. ISO 45001'e göre çalışmaya karar verirlerse.
Yeni OH & S standardı, ISO'nun tüm yönetim sistemleri  standartlarında bulunan ortak unsurlara dayanmaktadır ve kuruluşların neleri yerine koymaları gerektiğini planlayan bir çerçeve sunan basit bir Plan Yap-Kontrol Et (PDCA) modeli kullanmaktadır. Zarar riskini en aza indirmek için. Tedbirler, uzun vadeli sağlık sorunlarına ve işten yoksunluğa ve ayrıca kazalara neden olan kaygılara yol açmalıdır.
ISO 45001, dünyanın işyeri sağlığı ve güvenliği referansı olan OHSAS 18001'in yerini alacak. Henüz ISO 45001 standardına uygunluk belgesi standardın gereği olmamasına rağmen, OHSAS 18001'e onaylanmış kuruluşların yeni ISO 45001 standardına uyması için üç yılı olacaktır.

15 Mart 2018 Perşembe

KURUMSAL RİSK YÖNETİMİ

Bilindiği üzere, COSO (The Committee of Sponsoring Organizations of the Treadway Commission) tarafından yayınlanan iki çerçeve var: Bir tanesi 1992 yılında yayınlanan ve 2013 yılında revize edilen İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework),  diğeri ise, 2004 yılında yayınlanan “Kurumsal Risk Yönetimi-Entegre Çerçevesi”dir (Enterprise Risk Management – Integrated Framework). COSO, Kurumsal Risk Yönetimi Çerçevesini de  revize edilerek geçtiğimiz günlerde, 6 Eylül 2017 tarihinde, “Kurumsal Risk Yönetimi-Riskin Strateji ve Performansla Uyumlaştırılması” (Enterprise Risk Management—Aligning Risk with Strategy and Performance) adıyla yayınlanmıştır.
Yenilemenin bazı gerekçeleri olarak, çerçevenin ilk çıktığı dönemden bu yana, yeni risklerin ortaya çıkması, risklerin daha karmaşıklaşması, paydaşların risk yönetimi farkındalığının artması, daha iyi risk raporlaması beklentileri ve kurumsal risk yönetimindeki gelişmelerin çerçeveye yansıtılması, olduğu belirtilmiştir.
Yenileme ile çerçevenin adı ve yapısı değiştirilmiştir. Çerçevenin adında, strateji, risk ve performans arasındaki ilişkiye vurgu yapılmıştır. Aşağıda gösterildiği üzere, yeni çerçevede  5 adet bileşen (Yönetişim & Kültür, Strateji & Hedef Oluşturma, Perfomans, Gözden Geçirme & Düzeltme, Bilgi, İletişim & Raporlama) ve bunlara ilişkin 20 adet prensip belirlenmiştir.
yeni COSO
eski coso küpü
Eski 2004 çerçevesinde sekiz adet bileşen (İç Ortam, Hedef Oluşturma, Olay Belirleme, Risk Değerlendirme, Kontrol Aktiviteleri, Bilgi&İletişim, İzleme)  vardı ve bunların altında prensipler şeklinde bir yapı yoktu. Yan tarafta görüldüğü üzere, kurumsal yönetimin bileşenleri, kurumun amaçları ve kurumsal yapı arasındaki ilişki küp şekliyle ifade edilmişti.
Aşağıda gösterildiği üzere, yeni gösterimde küp yerine, helezon şeklinde bir gösterim yapılmıştır.
yeni COSO ERM
Bu yeni şekilde, kurumsal risk yönetiminin bileşenlerinin, kurumun misyon, vizyon ve temel değerleriyle ilişkisi gösterilmektedir. Diyagramın üç şeridi (Strateji & Hedef Oluşturma, Perfomans, Gözden Geçirme & Düzeltme) kurum boyunca akan genel süreçleri temsil ettiği, diğer iki şeridin ise (Yönetişim & Kültür ve Bilgi, İletişim & Raporlama) kurumsal risk yönetiminin destekleyici unsurlarını temsil ettiği ifade edilmiştir.
Yeni gösterime göre, kurumsal risk yönetimi; strateji geliştirme, iş hedeflerinin oluşturulması ve uygulanması ve performansla entegre edildiğinde, bunun kurumun değerini artıracağı ifade edilmektedir. Kurumsal risk yönetiminin statik olmadığı, günlük alınan kararlar vasıtasıyla; strateji geliştirme, iş hedeflerinin oluşturulması ve bu hedeflerin uygulanmasına entegre olduğu belirtilmiştir.
Unsurlar ve bunlara ilişkin prensiplerin belirlenmesi, çerçevenin kullanım kolaylığı ve daha iyi anlaşılması bakımından uygun olmuştur. Küp şeklinde gösterimden vaz geçilmesi, COSO iç kontrol küpü ile karıştırılmasını önlemek ve kurumsal risk yönetimin kurumun tüm süreçlerine entegre olduğunu göstermek açısından faydalı olmuştur.
Güncellenen çerçevede kurumsal risk yönetiminin tanımı değiştirilmiştir.2004 çerçevesinde kurumsal risk yönetimi; “Bir kurumun yönetim kurulu, yöneticileri ve tüm çalışanlarından etkilenen, stratejinin belirlenmesinde ve kurum genelinde uygulanan, kurumu etkileme potansiyeli olan olayları belirleme ve risk iştahı çerçevesinde riskin yönetilmesi amacıyla dizayn edilen, kurumun hedeflerini başarması için makul güvence sağlayan bir süreçtir.” şeklinde tanımlanmıştır. Güncellenen çerçevede ise kurumsal risk yönetimi; “Organizasyonun değer yaratma, koruma ve realize etmede, riski yönetmek için güvenebilecekleri, stratejinin belirlenmesi ve yürütülmesine entegre edilen, kültür, imkan ve uygulamalardır.” şeklinde tanımlanmıştır.
Dikkat edileceği üzere, yeni tanımda risk yönetimin temel amacının değer oluşturmak, korumak ve realize etmek olduğu, stratejinin belirlenmesi ve yürütülmesine entegre edilmesi gerektiği ifade edilmektedir. Kurumsal risk yönetiminin sadece, değerin düşmesini önlemeye ve risklerin kabul edilebilir seviyeye indirilmesine odaklanmadığı, strateji belirleme ile entegre olarak, değerin artırılması ve sürdürülmesi için fırsatların oluşturulmasına da yardımcı olacağı belirtilmektedir. Kurumsal risk yönetiminin bir fonksiyon, departman veya risklerin listelenmesinden ibaret olmadığı, yönetimin, riskleri aktif bir şekilde yönetmek için kullandıkları uygulamaları kapsadığı ifade edilmiştir.
Güncellenen çerçevede kurumsal risk yönetiminin kurumun tüm süreçlerine entegre edilemesinin önemine vurgu yapılmıştır. Kurumsal risk yönetiminin  kurumun tüm aktivite ve süreçlerine entegre edilmesinin;  organizasyonun yönetişim, strateji, hedef belirleme ve günlük operasyonlarına ilişkin karar alma süreçlerini iyileştireceği, performansı artıracağı ve değerin oluşturulması, korunması ve sürdürülmesine katkı sağlayacağı ifade edilmiştir.
Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesinde yer alan, bir biriyle ilişkili beş unsur ve bunlara ait 20 prensip aşağıda kısaca ifade edilmiştir.
I. Yönetişim ve Kültür: Yönetişim ve kültür kurumsal risk yönetimin diğer unsurlarının temelini oluşturur. Yönetişim genel anlamda; rol, yetki ve sorumlulukların, paydaşlar, yönetim kurulu ve yönetim arasındaki dağılımına işaret eder. Yönetişim organizasyonun tarzını belirler, gözetim sorumluluklarını oluşturur.  Kültür, yönetimin ve personelin kararlarını etkileyen tutum, davranış ve riski anlama şeklidir ve organizasyonun visyon, misyon ve temel değerlerini yansıtır. Bu unsura ait beş prensip vardır:
1. Yönetim Kurulu Risk Gözetimini Yerine Getirir: Yönetim Kurulu, yönetimin strateji ve iş hedeflerini gerçekleştirmesini desteklemek amacıyla, stratejinin gözetimi ve yönetişim sorumluluklarını yerine getirir.
2.Operasyonel Yapıyı Oluşturur: Organizasyon, strateji ve iş hedeflerini gerçekleştirmek amacıyla operasyonel yapıyı oluşturur.
3.Arzu Edilen Kültürü Tanımlar: Organizasyon, kurumun kültürünü karakterize eden, arzu edilen davranışları tanımlar.
4.Temel Değerlere Bağlılık Gösterir: Organizasyon, kurumun temel değerlerine bağlılığını gösterir.
5.Yetenekli Personeli Çeker, Geliştirir ve Elde Tutar: Organizasyon, strateji ve iş hedefleri ile uyumlu olarak beşeri sermayesini inşa etmeye büyük önem verir.
II. Stareji ve Hedef Belirleme: Strateji planlama sürecinde, kurumsal risk yönetimi, strateji ve hedef belirlemeyle birlikte hareket ederler. Stratejiyle uyumlu, bir risk iştahı belirlenir. İş hedefleri; risklerin belirlenmesi, değerlendirilmesi ve cevap verilmesine esas oluşturur. İş hedefleri, stratejinin uygulamaya konulmasını sağlar ve kurumun günlük operasyonlarını ve önceliklendirmelerini şekillendirir. Bu unsurun altında dört prensip yer alır:
6.İş Ortamını Analiz Eder: Organizasyon, bulunduğu iş ortamının, risk profili üzerine potansiyel etkilerini analiz eder.
7.Risk İştahını Tanımlar: Organizasyon, risk iştahını, değer oluşturma, koruma ve realize etme bağlamında tanımlar.
8.Alternatif Stratejileri Değerlendirir: Organizasyon, alternatif stratejilerin risk profili üzerine etkilerini değerlendirir.
9.İş Hedeflerini Oluşturur: Organizasyon, iş hedeflerini oluştururken, stratejiyle uyumlu ve onu destekleyecek şekilde, çeşitli seviyelerdeki riskleri dikkate alır.
III. Performans: Strateji ve iş hedeflerine ulaşmayı etkileyebilecek riskler belirlenmeli ve değerlendirilmelidir. Riskler, risk iştahına göre, önceliklendirilmelidir. Organizasyon daha sonra, riske vereceği cevabı seçer ve yükleneceği risklerin miktarını portföy (kurumun her seviyesinde) bakış açısıyla belirler. Bu unsura ait beş prensip vardır:
10.Riskleri belirler: Organizasyon, strateji ve iş hedeflerinin yerine getirilmesini etkileyen riskleri belirler.
11.Risklerin Şiddetini Değerlendirir: Organizasyon, risklerin şiddetini değerlendirir.
12.Riskleri Önceliklendirir: Organizasyon, risklere vereceği cevaba esas oluşturmak üzere, riskleri önceliklendirir.
13.Risk Cevaplarını Uygular: Organizasyon, risklere vereceği cevapları belirler ve seçer.
14.Portföy Bakış Açısı Geliştirir: Organizasyon risklere ilişkin portföy bakış açısı geliştirir ve değerlendirir.
VI. Gözden Geçirme ve Düzeltme: Organizasyon, önemli değişmeler ışığında, hedeflere göre performansın nasıl sonuçlandığını, kurumsal yönetim uygulamalarının iyi çalışıp çalışmadığını, kuruma değer katıp katmadığı, değer katmaya devam edip etmediğini ve düzeltilmesi gereken hususlar bulunup bulunmadığını gözden geçirir. Bu unsurun altında üç prensip yer alır:
15.Önemli Değişimleri Değerlendirir: Organizasyon starateji ve iş hedeflerini önemli şekilde etkileyen değişiklikleri belirler ve değerlendirir.
16.Riskleri ve Performansı Gözden Geçirir: Organizasyon kurumun performans sonuçlarını gözden geçirir ve riskleri ele alır.
17.Kurumsal Risk Yönetiminde İyileştirmeleri Takip Eder: Organizasyon, kurumsal risk yönetiminde iyileştirmeleri takip eder.
V. Bilgi, İletişim ve Raporlama: İletişim, bilginin elde edilmesi, kurum genelinde paylaşılmasıdır ve sürekli tekrar eden bir süreçtir.  Yönetim, kurumsal risk yönetimini desteklemek için; hem içerden, hem de dışarıdan uygun olan bilgileri kullanır. Organizasyon, bilgi ve veriyi tutmak, işlemek ve yönetmek için bilgi sistemlerinden yararlanır. Tüm bileşenlere ilişkin bilgiyi kullanarak, organizasyon kültür, risk ve performansa ilişkin raporlama yapar. Bu unsurun altında üç prensip yer alır:
18.Bilgi ve Teknoloji Avantajlarından Yararlanır: Organizasyon, kurumsal risk yönetimini desteklemek için, kurumun bilgi sistemi avantajlarından yararlanır.
19.Risk Bilgisinin İletişimini Yapar: Organizasyon, kurumsal risk yönetimini desteklemek için, iletişim kanallarını kullanır.
20.Risk, Kültür ve Performans Hakkıda Raporlama Yapar: Organizasyon, kurum içerisinde çeşitli seviyelerde, risk, kültür ve performans hakkında raporlama yapar.
Daha önceki çerçevede  yer alan “Kontrol Faaliyetleri” bileşeni bu çerçevede belirtilmemiş, ancak COSO İç Kontrol Çerçevesine atıf yapılarak kontrol faaliyetleri hakkında bu çerçevenin halen geçerli olduğu ifade edilmiştir.
Çerçevenin, sektör, büyüklük, coğrafyaya bağlı olmaksızın, kar amaçlı veya kar amaçlı olmayan (kamu kurumları) tüm kurumlar için uygulanabileceği belirtilmiştir.
Yenilenen çerçeve, kurumların gözetim, yönetim ve denetiminde bulunan tüm taraflar için, kurumsal risk yönetimi uygulamalarının gözden geçirilmesi açısından önem arz etmektedir.  Bu anlamda çerçevenin ilgili tüm taraflarca detaylı bir şekilde incelenerek, değerlendirilmesi faydalı olacaktır.

KAYNAKLAR
  • “COSO Enterprise Risk Management – Aligning Risk with Strategy and Performance”, http://erm.coso.org/Pages/viewexposuredraft.aspx, September, 08,2016. “Kurumsal Risk Yönetimi –Strateji ve Performansla uyumlu Kurumsal Risk Yönetimi”, http://erm.coso.org/Pages/viewexposuredraft.aspx, 08/09/2016.
  • COSO Enterprise Risk Management Integrating with Strategy and Performance –June 2017 (COSO Strateji ve Performansla Bütünleştirilmiş Kurumsal Risk Yönetimi-Haziran 2017
  • Kurumsal Risk Yönetimi Nazif Burca – https://nazifburca.com