Benim için ISO 31000:2018 risk yönetimi, hayatın içinde her gün yaptığımız küçük önlemleri şirket ölçeğine taşıyan bir akıl yürütme biçimi gibi; evden çıkarken hava durumuna bakmak, arabaya binerken emniyet kemeri takmak, önemli bir toplantıdan önce notlara göz atmak nasıl doğal bir refleksse, kurumda da hedeflere giderken hangi belirsizliklerin bizi yavaşlatacağını, hangi fırsatların hızlandıracağını bilmek aynı derecede doğal olmalı diye düşünüyorum 🙂🚀 Çünkü risk dediğimiz şey çoğu zaman “felaket” değil, zamanında ele alınmadığı için büyüyen, bütçeyi şişiren, müşteri memnuniyetini düşüren ve ekip enerjisini tüketen küçük çatlaklar oluyor; ISO 31000 ise bu çatlakları daha duvar yıkılmadan fark etmeyi, sonra da ölçülü bir şekilde onarmayı öneriyor.
Bu yazıda sana, ISO 31000 mantığıyla risk yönetimi nasıl kurulur sorusunu “adım adım” ve pratik bir dille anlatacağım; üstelik işin en çok işe yarayan kısmı olan Risk Kayıt Tablosu yani Risk Register örneğini de hem tabloyla hem de küçük bir senaryoyla göstereceğim 😊📋 Bu tarz çalışmalarda ben çoğu zaman bir sistem kurulum danışmanlığı yaklaşımını merkeze almayı seviyorum, çünkü risk yönetimi yalnızca bir tablo doldurmak değil, o tablonun yaşamasını sağlayacak rol ve ritmi kurmak demek; bu noktada NaroCert ile yürüyen ekiplerin daha hızlı oturduğunu gördüğüm şey, risk dilinin herkes için aynı hale gelmesi ve “ne zaman, kim, neyi güncelleyecek” sorularının netleşmesi oluyor 🙂🤝
ISO 31000:2018’i kurumda kurmak için benim kullandığım 8 adım 🧩✅
Ben ISO 31000’ı bir “çerçeve” gibi ele alıyorum, yani tek bir sektöre ya da tek bir departmana sıkışmıyor; ister üretim, ister e-ticaret, ister hizmet, ister yazılım olsun, aynı mantık çalışıyor, sadece detaylar değişiyor. Aşağıdaki 8 adımı, ben genelde kurulum projelerinde bir yol haritası gibi kullanıyorum; burada amaç “mükemmel doküman” değil, sahada yürüyen pratik bir düzen kurmak, çünkü risk yönetimi kağıt üzerinde kusursuz olsa bile günün sonunda kimse kullanmıyorsa, o sistem bir vitrin süsüne dönüşüyor 😅
- 1) Kapsamı ve bağlamı netleştir (Context): Risk yönetimi hangi hedefleri koruyacak, hangi süreçleri kapsayacak, hangi lokasyonları ve sistemleri içine alacak; ben burada mümkün olduğunca gerçekçi olmayı seviyorum, çünkü her şeyi aynı anda kapsamak “hiçbir şeyi doğru kapsayamamak” riskini doğuruyor 🙂
- 2) Risk kriterlerini belirle (Risk Criteria): Olasılık ve etki ölçeğin nasıl, hangi risk puanı “yüksek” sayılacak, hangi tür riskler mutlaka yönetim onayı isteyecek; bu kriterleri belirlemezsen herkes kendi kafasına göre puan verir ve tablo bir süre sonra anlamını kaybeder.
- 3) Roller ve sahiplik (Ownership): Risk sahibi kim, aksiyon sahibi kim, kim güncelleyecek, kim raporlayacak; ben burada “risk sahibi”ni, riskin yaşandığı süreci yöneten kişi olarak tanımlamayı seviyorum, çünkü o kişi hem kaynağı bilir hem de düzeltme gücüne sahiptir.
- 4) Riskleri belirle (Identification): Süreç bazlı atölyeler, olay kayıtları, müşteri şikayetleri, tedarikçi performansı, siber olaylar, mevzuat değişimleri; riskleri bulmanın en güzel yanı şu, doğru soruyu sorduğunda ekip zaten biliyor, sadece daha önce düzenli bir yere yazmıyordu 😄
- 5) Analiz et (Analysis): Olasılık ve etkiyi belirle, mevcut kontrolleri yaz, riskin “doğal” seviyesini ve kontrol sonrası “kalan” seviyesini ayır; ben bu ayrımı, “yağmura şemsiye ile çıkmak” gibi görüyorum, yağmur aynı yağmur ama ıslanma etkisi düşüyor ☔🙂
- 6) Değerlendir (Evaluation): Risk kabul edilebilir mi, azaltmak mı gerekir, transfer mi edilecek, kaçınma mı var; burada kararlar kriterlere göre verildiğinde ekip rahatlıyor, çünkü karar kişiye değil sisteme dayanıyor.
- 7) Risk işleme planı (Treatment): Aksiyon yaz, sorumlu belirle, tarih koy, ölçülebilir çıktı tanımla; “eğitim verilecek” yerine “2 saatlik phishing farkındalık eğitimi verilecek ve %80 başarı eşiği ile mini test yapılacak” gibi somutlaştırınca işler hızlanıyor.
- 8) İzle, gözden geçir, raporla (Monitoring & Review): Ben risk yönetimini bir takvim ritmiyle yaşatmayı seviyorum; aylık operasyon riskleri, çeyreklik yönetim özeti, yılda bir kapsamlı güncelleme gibi, çünkü ritim yoksa kayıt tablosu zamanla unutuluyor 😅
Risk Register neden bu kadar önemli? Çünkü “hafıza” oluşturuyor 🧠🗂️
Risk Register’ı ben kurumun “risk hafızası” gibi görüyorum; bugün konuştuğun şeyi yarın hatırlatan, geçen ay verdiğin kararı üç ay sonra sorgulatan, aksiyonun gerçekten kapanıp kapanmadığını gösteren yer burası. Bu tabloyu oturttuğunda, bir süre sonra ekiplerde şu tatlı değişimi görüyorsun: “Bir risk vardı ya” yerine “RR-012 riskinin aksiyonu ne oldu” diye konuşulmaya başlanıyor ve bu cümle değişikliği bile kaliteyi artırıyor 🙂✨ Bu arada risk yönetimi, kalite sistemleriyle de çok iyi oturuyor; örneğin kalite altyapısını güçlendirmek isteyenler genelde kalite belgelendirme bakışını da aynı masaya koyduğunda, risk kayıtlarının “denetimde gösterilecek doküman” olmaktan çıkıp “operasyonel araç” haline gelmesi kolaylaşıyor.
Risk Register örneği: Ben olsam tabloyu böyle kurardım 📋✅
Aşağıdaki örnekte, e-ticaret ağırlıklı bir işletmenin hem operasyon hem bilgi güvenliği hem de mevzuat risklerini aynı tabloda nasıl yönetebileceğini göstereceğim; burada puanlama ölçeği örnek olsun diye 1-5 arası düşünülmüş durumda, ama sen ister 1-3 kullan, ister 1-10 kullan, önemli olan ölçeğin her yerde aynı anlaşılması 😊
| Risk ID | Risk Tanımı | Neden | Sonuç | Olasılık (1-5) | Etki (1-5) | Doğal Risk | Mevcut Kontroller | Kalan Risk | Risk Sahibi | Aksiyon Planı | Hedef Tarih | Durum |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| RR-001 | Ödeme sayfasında kesinti | Tek noktadan hizmet, yetersiz izleme | Satış kaybı, müşteri güveni zedelenmesi | 3 | 5 | 15 | Uptime izleme, yedek ödeme sağlayıcı hazırlığı | 8 | BT Müdürü | Yedek sağlayıcı entegrasyonu + kesinti tatbikatı | 2026-03-15 | Açık |
| RR-002 | Kişisel veri yanlış alıcıya e-posta ile gider | Şablon hatası, manuel süreç | KVKK ihlali, itibar kaybı | 2 | 5 | 10 | Onay adımı, şablon kilidi, gönderim logları | 6 | Operasyon Müdürü | Gönderim otomasyonu + çift kontrol kuralı | 2026-02-28 | Açık |
| RR-003 | Stok bilgisinin yanlış görünmesi | ERP entegrasyon gecikmesi | İptal sipariş, kargo maliyeti, şikayet artışı | 4 | 3 | 12 | Entegrasyon izleme, manuel kontrol listesi | 7 | Satış Operasyon | Gerçek zamanlı senkron + hata kuyruğu raporu | 2026-04-01 | Planlandı |
| RR-004 | Yetkisiz panel erişimi | Zayıf parola, MFA yok | Veri sızıntısı, işlem manipülasyonu | 3 | 5 | 15 | IP kısıtı, oturum zaman aşımı | 9 | Bilgi Güvenliği | MFA zorunluluğu + ayrıcalık azaltma | 2026-03-05 | Açık |
| RR-005 | Tedarikçi kaynaklı gecikme | Tek tedarikçiye bağımlılık | Teslimat SLA bozulması | 3 | 4 | 12 | Performans takibi, alternatif arayışı | 7 | Satın Alma | İkinci tedarikçi sözleşmesi + minimum stok | 2026-05-10 | Planlandı |
Mini örnek anlatım: “Risk Register’ı masaya koyunca ne değişiyor?” 🙂📌
Diyelim ki senin e-ticaret operasyonunda müşteri şikayetleri artmış, ekip “kargo geç kalıyor” diyor, finans “iadeler yükseldi” diyor, pazarlama “puanlar düştü” diyor; ben böyle durumlarda herkesin elindeki parçaları tek bir hikâyede birleştirmek için Risk Register’ı kullanıyorum, çünkü risk tanımı doğru yapılınca sorun “kargo firması kötü” gibi genellemelerden çıkıp “X bölgede teslimat SLA’sı şu nedenle bozuluyor ve bunun etkisi iade oranını şu kadar artırıyor” gibi ölçülebilir bir dile dönüşüyor. Sonra da aksiyonlar netleşiyor: alternatif kargo, bölgesel dağıtım planı, sipariş cut-off saati düzenlemesi, müşteri bilgilendirme metni, takip linki iyileştirmesi; yani risk yönetimi bir anda “toplantıda konuşulan” olmaktan çıkıp “takvimde işi olan” hale geliyor 😄🗓️
İyi bir risk ölçeği nasıl olur? Benim sevdiğim sade model 🎚️🙂
Ben genelde olasılık ve etkiyi çok karmaşık hale getirmemeyi seviyorum, çünkü karmaşıklık arttıkça ekip “puan vermekten” yoruluyor; 1-5 ölçeğinde olasılığı “nadiren olur”dan “çok sık olur”a, etkiyi de “hafif”ten “kritik”e doğru tanımladığında, kurum içinde ortak dil oluşuyor. Burada bir püf noktası var: Etkiyi sadece finansal kayıp olarak değil, müşteri memnuniyeti, mevzuat, itibar, operasyonel süreklilik ve bilgi güvenliği boyutlarıyla da düşünmek, özellikle büyüyen işletmelerde büyük fark yaratıyor; bu yaklaşımı sevdiğim için e-ticaret ekibiyle konuşurken bile bazen ISO 27001 belgesi perspektifini masada tutuyorum, çünkü loglama ve erişim kontrolü gibi konular risk puanını gerçek hayatta ciddi şekilde düşürüyor.
“Kapatma” kültürü: Risk aksiyonu kapanmadan risk bitmiyor 😅✅
Benim sahada en sık gördüğüm hata şu: Risk yazılıyor, aksiyon yazılıyor, toplantı bitiyor, sonra herkes işine dönüyor ve aksiyonlar bir süre sonra buharlaşıyor; bunu engellemek için ben her aksiyona bir “kanıt” alanı eklemeyi seviyorum, örneğin MFA açıldıysa ekran görüntüsü ya da değişiklik kaydı, ikinci tedarikçi sözleşmesi yapıldıysa sözleşme numarası, yedek sağlayıcı entegrasyonu yapıldıysa test senaryosu ve sonuç raporu gibi. Bu disiplin oturduğunda risk yönetimi, denetim günü hazırlanan bir sunum değil, günlük işin bir parçası oluyor, ayrıca bu tarz kayıtlar kalite yönetimi tarafında da çok işe yarıyor; mesela süreçlerini olgunlaştırmak isteyenler için ISO 9001 belgesi yaklaşımıyla risk düşüncesi aynı masada birleşince, kurum hem daha düzenli hem de daha dirençli hale geliyor.
Bu işi hızlı ve düzgün kurmak için “10 bağlantılık” ortak dil paketi 🔗🙂
Ekip içinde ortak dil kurmak için ben bazen aynı çatıdaki hizmet ve referans başlıklarını görünür kılmayı seviyorum; böylece risk konuşurken herkesin aklına aynı çerçeve geliyor ve “bunu kim yapacak” sorusu daha hızlı cevap buluyor: kalite yönetim sistemi belgelendirme, kalite belgelendirme, ISO belgelendirme, belgelendirme firması, sertifikasyon firması, hızlı belgelendirme hizmeti, e-ticaret ürün belgelendirme, ihracat için gerekli belgeler, CE belgesi, FDA belgesi.
Google Haritalar: Güven bazen “buradayız” hissiyle başlıyor 📍🙂
Ben danışmanlık ve belgelendirme tarafında insanların önce “ulaşabileceğim bir yer var mı” diye baktığını fark ettim, bu yüzden görünürlük ve erişilebilirlik, teknik içerik kadar güven duygusunu besliyor.
Sonuç: Risk yönetimi kurulduğunda ben “daha az sürpriz, daha çok kontrol” görüyorum 😌🔒
ISO 31000:2018’i kurumda doğru kurduğunda, risk yönetimi bir korku üretme makinesi olmaktan çıkıp güven veren bir düzen haline geliyor; ekipler daha az panikliyor, çünkü riskleri konuşmak ayıp değil alışkanlık oluyor, yönetim daha doğru yatırım kararları alıyor, çünkü hangi kontrolün hangi riski düşürdüğünü sayılarla görebiliyor, müşteriler daha az hayal kırıklığı yaşıyor, çünkü sürprizler azalıyor. Ben bu dönüşümü gördüğümde hep aynı şeyi hissediyorum: Kurumun içinde bir “rahat nefes” oluyor 😌🌿 İşte bu yolculukta NaroCert ile ilerlemek isteyen ekipler genelde şunu hedefliyor: Risk Register’ı bir dosya olarak değil, canlı bir yönetim aracı olarak kullanmak; ben de bunu çok seviyorum çünkü iyi kurulan bir risk sistemi, günün sonunda hem parayı hem zamanı hem de itibarı koruyor. NaroCert tarafında en çok değer kattığını düşündüğüm şey, risk ritmini kurup herkesin aynı dili konuşmasını sağlamak, yani riskleri yazmakla kalmayıp kapatmayı ve etkililiği de takip ettirmek; böyle bir düzen oturduğunda kurum büyürken bile kontrol hissi kaybolmuyor. NaroCert ile bu süreci sağlam kuran ekiplerde, bir sonraki çeyrekte “aynı risk yine geldi” şikayetinin azaldığını görünce ben gerçekten mutlu oluyorum 😊✨ NaroCert adını son kez de şu yüzden özellikle vurgulamak isterim: Risk yönetiminde hedef, mükemmel tahmin değil, güçlü hazırlık ve iyi yönetişimdir, yani belirsizlik kaçınılmaz olsa da yönetilebilir.
