ISO9001 2015 revizyonunun getirdiği en büyük değişikliklerden (kimilerine göre karmaşalardan) biri de risk tabanlı düşünme idi. Bu kavramın yansımasını da standardın içinde bolca “blok” halinde geçen “risk ve fırsatlar” kelimeleri ile görüyoruz. Yalnız, standardın uygulaması yaygınlaştıkça, işin içine girdikçe kafalar biraz karışmaya başladı.
Risk tabanlı düşünme
Özetle ISO9001 diyor ki; hedeflerinize ulaşmak için yolunuza çıkabilecek engelleri önceden öngörün ve bunları olabildiğince ortadan kaldırın. Tamam. Felsefede sorun yok. Gayet akla mantığa uygun bir öneri, zaten yabancı olduğumuz bir kavram da değil.
Risk Tabanlı Düşünme=Risk Yönetimi olsaydı, uygulamada da sorun olmayacaktı. Daha önceden OHSAS 18000 (yeni ISO45001), ISO14001, ISO31000 gibi standartlardan aşina olduğumuz, prosedürlerini yazdığımız, sayfa sayfa risk analizlerini yaptığımız risk yönetimi sürecini, ISO9001’in amaçlarına uygun ve onu da kapsayacak şekilde güncelleyip yolumuza devam edecektik. Zaten önceden de “Risk Tabanlı” düşünebiliyorduk.
Fırsat nedir?
Lakin; bu kavram Risk Yönetimi değil de, “Risk ve Fırsat Yönetimi” olarak karşımıza çıkınca olayın rengi biraz değişti. “Fırsat” kelimesi ortalığı karıştırdı!
Tamam, o zaman ISO9001’in fırsat tanımı da risk yönetimine ekler, bu işi çözeriz? Hadi o zaman açalım standardı, bakalım bu “fırsat” dediği şey neymiş?
ISO9001 0.3.3.Risk temelli düşünme maddesinin son paragrafına bir göz atalım:
ISO9001 0.3.3.Risk temelli düşünme
Fırsatlar, amaçlanan bir sonuca erişmek için olumlu bir durumun sonucu olarak ortaya çıkabilir; örneğin, kuruluşun müşterileri etkilemesi, yeni ürün ve hizmetler geliştirmesi, atığı azaltması veya verimliliği artırmasına katkı sağlar. Fırsatları belirleme faaliyetleri, ilgili risklerin değerlendirmelerini de kapsayabilir. Risk, belirsizliğin etkisidir ve böyle bir belirsizlik olumlu veya olumsuz etkilere sahip olabilir. Bir riskten kaynaklanan olumlu bir sapma, fırsat oluşturabilir ancak riskin bütün olumlu etkileri fırsat ile sonuçlanmaz.
Eskiden beri biz; risk= kötü bir şey diye bilirdik. Bir olayın olumsuz etkilerini risk olarak tanımladık. Onlar bizim düşmanımızdı. Onları yok etmeye çalıştık durduk. Ama bu paragraf, risk dediğimiz şeyin “olumlu” etkileri de olabilir diyor. Hadi bakalım, çık işin içinden…
Şimdi bu risk denilen şey iyi adam mı kötü adam mı? Dövelim mi, sevelim mi?
Kafamız biraz daha karıştı…
Risk nedir?
Hadi o zaman biz de en başa dönelim ve “risk” tanımına tekrar bir göz atalım. Terimler ve Tarifler’e (Madde 3) bakalım. Orada bir şey yazmıyor, terimler için ISO9000:2015’e bakın diyor.
Tamam, ISO9000:2015’i açalım ona bakalım o zaman.
ISO9000’de de “fırsat” tanımını bulamadık. Madde 3.7.9’da “risk” tanımı var sadece. Ki bu tanıma risk yönetimi konusunda referans aldığımız ISO31000:2009 standardının 2.1 maddesinde de rastlıyoruz. Her ikisi de Risk’i “Hedefler üzerindeki belirsizlik etkisi” olarak tanımlıyor ve her ikisi de bu tanım için ISO Guide 73: 2009'u referans gösteriyor. Bu tanımın altındaki bir not gözümüze ilişiyor hemen:
“Not 1 - Bir etki beklenenden bir sapmadır (pozitif ve/veya negatif)”
Her şey netleşti mi? Hayır!
ISO31000:2009
2.1 Risk
Hedefler üzerindeki belirsizlik etkisi.Not 1 - Bir etki beklenenden bir sapmadır (pozitif ve/veya negatif).
Not 2 - Hedefler farklı hususlara sahiptir (örneğin finansal, sağlık ve güvenlik, çevresel amaçlar) ve farklı
seviyelerde uygulanır (örneğin stratejik, kuruluş çapında, proje, ürün ve süreç gibi).Not 3 - Risk genellikle muhtemel olaylar (Madde 2.17) ve sonuçlara (Madde 2.18) göre veya bunların bir
birleşimine göre karakterize edilir.Not 4 - Risk genellikle bir olayın sonuçlarının (şartlardaki değişiklikler dahil) ve karşılık gelen olma
ihtimalinin (Madde 2.19) bir birleşimi cinsinden ifade edilir.Not 5 - Belirsizlik, kısmî de olsa, bir olayın, sonuçlarının veya ihtimalinin anlaşılması veya bilinmesine
ilişkin bilgi eksikliği durumudur.[ISO Guide 73: 2009, tarif 1.1]
NOT: ISO31000 standardı 2018 yılında revize edildi. ISO9001:2015 yayınlandığında ise ISO31000:2009 standardı kullanımdaydı. ISO31000:2018 revizyonunun yayınlanmasının konuya nasıl bir katkı sağladığını ayrıca başka bir yazıda değerlendiririz. Fakat, ISO9000:2015 3.7.9'daki tanım halihazırda olduğu gibi duruyor. Atıfta bulunulan ISO Guide 73'te hala revizyon görmedi. ISO31000:2018'in bundan farklı bir şey demesi durumunda da başka soru işaretleri ve tartışmalar ortaya çıkacak...
Çılgın sorular
Şimdi bütün bunlara göre konuyu nasıl yorumlayalım?
Yorum 1: Risk başka bir şey, fırsat başka bir şey, zaten aynı şeyin farklı rengi olsa ISO9001 “Risk ve Fırsat” demezdi. Risk kötü adamdır, fırsat iyi adamdır. Riskleri ve fırsatları ayrı ayrı ele almalı ve analiz etmeliyiz.
Yorum 2: Fırsat denilen şey; risk tanımının içindeki bir şeydir (Not1’e göre). Beklenenden sapma pozitif ise bunu bir fırsat olarak tanımlayabiliriz. Zaten risklerin içinde fırsatlar, fırsatların içinde de riskler yok mu? Dolayısıyla risk analizi yaptığımızda aynı zamanda fırsat analizi de yapmış olmamız lazım. Peki, pozitif sapmayı “fırsat” olarak tanımlarsak, negatif sapmayı ne olarak tanımlayacağız?
Soru 1: ISO9000, ISO31000, ISO Guide 73. Hatta entegre yönetim sistemleri uygulayan firmalarda bunun ISO45001'i, ISO14001'i, ISO27001'i de var. Hepsi de risk yönetimini içeriyor/atıfta bulunuyor/şart koşuyor. Peki, bu standartların hepsinde kavramlar aynı mıdır? Farklı standartlar kavramları farklı yorumlayabilir mi? Eğer yorum/anlam farklılıkları varsa hangisini referans alacağız?
Soru 2: Tüm bunları okusak, kendi kafamıza yattığı şekilde kendi kavramlarımızı tanımlasak ve tüm sistemimizi buna göre kurup işletsek ne olur? Her yiğidin yoğurt yemesi bir olacak diye bir standart şartı var mı?
Sonuç
Şimdi bir kısmınızın kafasında şimşekler çakmaya ve bazı şeyler netleşmeye başlarken, bir kısmınızın da şu sözlerini duyar gibi oluyorum: “Atilla Hocam, zaten kafamız karışıktı, iyice allak bullak ettin! Eeee, sonuç? ”
Kusuruma bakmayın, bazen kafamız allak bullak olmadan, bir konuyu tüm yönleriyle derinlemesine araştırıp düşünmeden, felsefesini yapmadan olmuyor. Ama bir süre sonra bulanıklık görüntüler netleşmeye başlayacak, emin olun. Aslında konu göründüğü kadar karmaşık değil, endişe etmeyin. Daha sonraki yazılarımda da bunları netleştirmek için dilimin döndüğünce yardımcı olmaya çalışacağım.
Sizler de konuyla ilgili görüş ve yorumlarınızı sayfanın alt kısmından bana iletiverin.
Özet ve Değerlendirme
İş sağlığı ve güvenliği, çevre, bilgi güvenliği gibi standartlardan aşina olduğumuz risk yönetimi kavramı, ISO9001: 2015 revizyonu ile kalite yönetim sistemleri içine de dahil oldu. Bununla birlikte standartta adı geçen “fırsat” teriminin net olarak tanımlanmaması ve birbiriyle çelişki yaratabilecek ifadeler içermesi de kafalarda bir çok soru işareti oluşmasına neden oldu. ISO ve konuyla ilgili teknik komite olan TC176’nın yayınları ve kılavuzları da bu soru işaretlerini tam olarak gidermiş değil. Umuyoruz ki en kısa zamanda bu konu ISO tarafından netleştirilir ve yorum farklılıkları ortadan kalkar.