Birçok kalite yöneticisi, ISO 9001 denetimlerinde risk analiz formlarını gösterirken, tespit edilen her riskin karşısına mutlaka bir “önleyici faaliyet” yazmak zorunda hisseder. Oysa TS EN ISO 9001:2015, risk yönetiminde daha stratejik ve gerçekçi bir yaklaşım sunar.
Standart, riskleri ele alma seçenekleri arasında “bilgiye dayalı karar ile riskin olduğu gibi bırakılması” seçeneğini açıkça belirtir. Yani, bir riski tespit edip, analiz edip, “Buna dokunmuyoruz” demek, ISO 9001’e uygun bir yönetim kararıdır. Peki, bu karar hangi durumlarda mantıklıdır ve denetçilere nasıl açıklanır?
Risk Kabulü (Riskin Olduğu Gibi Bırakılması) Nedir?
Standartta riskleri ele alma seçenekleri Madde 6.1.2 Not 1’de listelenmiştir. Bunlar; riskten kaçınma, risk kaynağını yok etme, ihtimali/sonuçları değiştirme, riski paylaşma ve riskin olduğu gibi bırakılmasıdır.
Risk kabulü; riskin varlığının bilincinde olunarak, mevcut şartlar altında herhangi bir ilave aksiyon almamaya (veya mevcut kontrollerle devam etmeye) karar verilmesidir. Ancak buradaki anahtar kelime **”bilgiye dayalı karar”**dır. Gözden kaçırdığınız için değil, analiz ettiğiniz için bırakmalısınız.
Risk Kabulü Hangi Durumlarda Mantıklıdır?
ISO 9001:2015 perspektifinden bakıldığında, aşağıdaki 3 senaryoda riski kabul etmek mantıklı ve uygundur:
1. Fırsat Kovalarken Bilinçli Risk Alma
Standart, fırsatların yeni uygulamalara veya yeni pazarlara girmeye yol açabileceğini belirtir. Bazen büyük bir fırsatı yakalamak için riski göze almak gerekir.
• Senaryo: Yeni ve inovatif bir pazara girmek istiyorsunuz. Pazarın başarısız olma riski var (belirsizlik).
• Karar: Bu riski yok etmeye çalışmak (pazara girmemek) fırsatı kaçırmak demektir. Kuruluş, “Fırsat kovalarken risk alma” seçeneğini kullanarak, potansiyel kazanç uğruna bu riski kabul eder.
2. Maliyet – Fayda Dengesizliği
Bir riski ortadan kaldırmanın maliyeti, risk gerçekleştiğinde oluşacak zarardan çok daha yüksekse, o riski kabul etmek ticari bir zorunluluktur.
• Senaryo: Bir ambalaj kutusunda binde bir oranında hafif renk tonu farkı oluşma riski var. Bu riski tamamen yok etmek için milyon dolarlık yeni bir baskı makinesi alınması gerekiyor.
• Karar: Müşteri memnuniyetini kritik düzeyde etkilemiyorsa ve yatırım maliyeti potansiyel şikayet maliyetinden yüksekse, yönetim “bilgiye dayalı karar” ile bu riski kabul eder.
3. “Kalıntı Risk” Seviyesinin Kabul Edilebilir Olması
Her türlü önlemi aldıktan sonra bile geriye kalan risk (kalıntı risk), kuruluşun “risk iştahı” sınırları içindeyse kabul edilir.
• Senaryo: Yangın riskine karşı sigorta yaptırdınız (paylaşma) ve söndürme sistemi kurdunuz (etkiyi azaltma). Ancak teorik olarak hala yangın çıkma ihtimali vardır.
• Karar: Artık daha fazlasını yapmak operasyonu durdurmak anlamına geleceği için, kalan risk seviyesi kabul edilir.
Risk Kabulü Nasıl Dokümante Edilmelidir?
“Hiçbir şey yapmamak”, “kayıt tutmamak” anlamına gelmez. Standart, risk yönetimi için formel bir yöntem zorunluluğu getirmese de, kuruluşun riskleri ele almak için gerçekleştirdiği faaliyetlerden sorumlu olduğunu belirtir.
Risk kabulü kararı verdiğinizde şunları kayıt altına almalısınız (örneğin YGG toplantısında veya risk analiz tablosunda):
1. Riskin tanımı.
2. Mevcut etki ve olasılık seviyesi.
3. Neden aksiyon alınmadığının gerekçesi (Örn: “Maliyet/Fayda analizi sonucu risk kabul edilmiştir” veya “Stratejik fırsat nedeniyle risk üstlenilmiştir”).
4. Kararı veren yetkili.
——————————————————————————–
Sıkça Sorulan Sorular (SSS)
S1: Bir riski kabul etmek, onu görmezden gelmek midir? Hayır. Görmezden gelmek (ihmal), riskin farkında olmamaktır. Risk kabulü ise; riski analiz edip, sonuçlarını hesaplayıp, bilinçli bir şekilde (bilgiye dayalı) mevcut durumu koruma kararıdır. Biri yönetim zafiyeti, diğeri stratejik yönetimdir.
S2: İş güvenliği risklerini kabul edebilir miyiz? Hayır. ISO 9001 kalite odaklıdır ancak yasal şartlara uyumu da (Madde 1.a) şart koşar. İş sağlığı ve güvenliği ile ilgili yasal mevzuatlar genellikle riskin “kabul edilmesini” değil, “makul olan en alt seviyeye indirilmesini” ister. Yasal zorunluluk olan konularda risk kabulü (aksiyon almama) seçeneği kullanılamaz.
S3: Risk kabulü kararı sonsuza kadar geçerli midir? Hayır. Madde 4.1 gereği kuruluş, bağlamı ile ilgili bilgiyi izlemeli ve gözden geçirmelidir. Bugün kabul edilebilir olan bir risk (örneğin döviz kuru dalgalanması), yarın kabul edilemez bir tehdide dönüşebilir. Bu nedenle kabul edilen riskler de periyodik olarak (örneğin YGG toplantılarında) gözden geçirilmelidir.
S4: Denetçi “Neden bu riske önlem almadın?” derse ne cevap vermeliyiz? Cevabınız şu olmalıdır: “Bu riski belirledik ve analiz ettik. Madde 6.1.2 uyarınca, potansiyel etkisi ve çözüm maliyetini değerlendirerek ‘bilgiye dayalı karar ile riskin olduğu gibi bırakılmasına’ karar verdik.” Bu, standarda tam uyumlu bir cevaptır.
S5: Risk kabulü sadece üst yönetimin mi yetkisindedir? Genellikle evet. Risk kabulü, potansiyel bir zararı veya hatayı üstlenmek demektir. Madde 5.1.1 gereği KYS’nin etkinliği için hesap verilebilirlik üst yönetimde olduğu için, önemli risklerin kabulü kararı üst yönetim veya yetki devrettiği yöneticiler tarafından onaylanmalıdır.
——————————————————————————–
Sonuç
ISO 9001:2015’te “sıfır risk” diye bir hedef yoktur. Risk kabulü, kaynakları önemsiz detaylara harcamak yerine kritik süreçlere odaklanmayı sağlayan güçlü bir yönetim aracıdır. Önemli olan, hiçbir şey yapmama kararının “tembellikten” değil, “veriye dayalı analizden” kaynaklandığını kanıtlayabilmektir.