ISO 28000 tedarik zinciri güvenliği yönetim sistemi

ISO 28000 Nedir ?

Bir ürün ya da hizmet için gerekli hammadde tedariki, üretim, planlama, depolama, stok yönetimi, sevkiyat, toptan ya da perakende satış gibi süreçlerin tamamına tedarik zinciri diyoruz. Tedarik zincirine, bu süreçlerde kullanılan kaynaklar, teknolojiler, iş gücü ve faaliyet gösteren işletmeler de dahil edilmektedir. Son kullanıcıya ulaştırılan ürünler veya hizmetler tedarik zincirinin bir çıktısıdır ve şirketlerin bu süreci aktif bir şekilde kontrol etmesi gerekmektedir.

Tedarik zinciri yönetimi günümüz iş dünyasında firmaların en önemli faaliyetlerinden biri haline gelmiştir. Bu sürecin hızlı, verimli ve sürekli bir şekilde işletilmesi, firmaların kârlılığı ve müşteri memnuniyetini sağlaması açısından çok önemlidir. Firmalar ayrıca tedarik zincirinin güvenliğinden de sorumludur. Güvenli bir tedarik zinciri yönetimi, firmalara bu süreçlerdeki riskleri ve tehditleri belirleme ve etkin bir şekilde yönetme fırsatı oluşturur. Böylelikle, verimlilik artarken güvenlik risklerinden doğan maliyetler de en aza indirilmiş olur.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi de bu kapsamda oluşturulmuş bir standarttır. ISO 9001 Kalite Yönetim Sistemi ve ISO 14001 Çevre Yönetim Sistemi’ne uygun bir şekilde hazırlanan standart, tedarik zincirinin güvenliğinin sağlanmasında risk değerlendirme temelli bir yaklaşım sunmaktadır. Tedarik zinciri süreçlerine zarar veren kasıtlı ve yetkisiz her türlü girişimi bir tehdit unsuru olarak tanımlayan ISO 28000, firmalara güvenlik risklerini, potansiyel tehditleri ve bunlardan doğan doğrudan veya dolaylı etkileri kapsamlı ve sistemli bir şekilde yönetme imkanı vermektedir.

ISO 28000 Standardının Kapsamı

ISO 28000, firmaların sürekli uygulayabileceği bir tedarik zinciri güvenlik politikası geliştirmesini sağlamaktadır. Bu bağlamda, firmalar ISO 28000 ile bir güvenlik sistemi oluşturabilir ve uygulayabilir; bu sistemin sürekliliğini sağlayabilir ve gerekli durumlarda iyileştirme yapabilir. Ayrıca, tedarik zincirinde yer alan paydaşlarına güvenlik politikalarına uygunluğunu gösterebilir ve onların da güvenlik uygulamalarında aktif rol almasını sağlayabilir. Bu standardın gerekliliklerini uygulayan firmalar, akredite üçüncü taraf belgelendirme kuruluşlarından, ISO 28000 temelli denetleme ve sertifikasyon hizmeti alarak tedarik zincirinin güvenliğini tescilleyebilir.

ISO 28000, tedarik zinciri süreçlerinin her aşamasında uygulanabilen bir standarttır. Faaliyet gösterdiği sektör, sunduğu ürün ya da hizmet, büyüklüğü ve konumu fark etmeksizin her firma, ISO 28000’i uygulayabilir. Tedarik zinciri ne kadar çok boyutlu ve kompleks olursa güvenlik yönetim sistemine duyulan ihtiyaç da o kadar artmaktadır.

ISO 28000, tedarik zinciri güvenliği ile ilgili ulusal ve uluslararası düzeyde geçerli diğer standartlar, yönetmelik ve yasalarla uyum içerisindedir. ISO 20858 Deniz Liman Tesisi Güvenlik Değerlendirmeleri ve Güvenlik Planı ve ISO 28001 Tedarik Zinciri Güvenliğinde En İyi Uygulama gibi standartları tamamlayıcı niteliktedir. ISO 2800’in mevcut düzenlemelerin yanı sıra tedarik zincirlerinin güvenliğini ilgilendiren ve geliştirilmekte olan diğer standartlarla da uyum içerisinde olması hedeflenmektedir.

ISO 28000, günümüzde birçok kalite standardı ve yönetim sisteminde aktif olarak uygulanan PUKÖ (Planla, Uygula, Kontrol et, Önlem al) metodolojisine de uygundur. Bu bağlamda işletmeler, tedarik zinciri güvenliği politikası, hedefleri ve proseslerini

  • planlayabilir,
  • bunları uygulayabilir,
  • diğer standartlar, yasa ve yönetmeliklere göre kontrol edebilir; takip edebilir ve raporlayabilir,
  • bu sistematik çalışmaların performansını sürekli olarak iyileştirebilmek için gerekli önlemleri alabilir.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi Gereklilikleri

ISO 28000’e entegre olmak isteyen işletmeler tedarik zinciri güvenliğini sağlayacak bir yönetim sistemi oluşturmalıdır. Bu sistem, işletmenin tedarik zinciri süreçlerinden kaynaklı riskleri ve tehditleri tanımlamalı, değerlendirmeli, sonuçlarını öngörmeli ve kontrol etmelidir. ISO 28000 ayrıca, firmalardan bu sistemin dokümante edilmesini, uygulamada karşılık bulmasını ve sürekli olarak geliştirilmesini istemektedir. Güvenlik sisteminin uygulanmasında kullanılan iç ve dış kaynakların ve proseslerin tamamının firma kontrolünde olması; standardı uygulayan şirketlerin üst yönetiminin ISO 28000 kapsamında geliştirilen politikaları onaylaması gerekmektedir.

ISO 28000’e göre oluşturulan tedarik zinciri güvenliği politikasının şu kriterlere uygun olması gerekmektedir:

  • İşletmenin kurumsal değerlerine, ilkelerine, diğer politikalarına ve hedeflerine; ayrıca diğer kalite ve yönetim sistemlerine uyumlu olmalı.
  • Yürürlükte olan ulusal ve uluslararası mevzuata uygun olmalı.
  • İşletmenin sadece tedarik zinciriyle değil, diğer süreçlerindeki risk yönetimi çerçeveleriyle uyumlu olmalı.
  • Üst yönetim tarafından desteklenmeli, sürdürülebilir olmalı.
  • Sürekli iyileştirmeye açık olmalı; gerekli görüldüğünde değiştirilebilmelidir.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi İçeriği

ISO 28000, tedarik zinciri güvenlik politikalarıyla ilgili şu faaliyetlerin işletme tarafından hayata geçirilmesini amaçlamaktadır:

  • Güvenlik risk değerlendirmesi ve planlama
  • Uygulama ve işletim
  • Kontrol ve düzeltici faaliyet
  • Yönetimin gözden geçirmesi ve sürekli iyileştirme

Şimdi bu adımlara yakından bakalım.

Güvenlik risk değerlendirmesi ve planlama: İşletmeler, uygulanabilir bir güvenlik politikası geliştirmeden önce tedarik zinciri güvenliğiyle ilgili bir risk değerlendirmesi yapmalı ve mevcut ve olası tehditleri belirlemelidir. Bu değerlendirmeler;

  • tedarik zinciri süreçlerini etkileyecek her türlü kaza, hasar, hırsızlık, terörizm faaliyetleri, doğal afetler, fiziksel yetersizlikler,
  • güvenliği tehlikeye atacak beşeri faktörler,
  • hizmetlerdeki aksamalar,
  • bakım, onarım, tasarım ve kurulum çalışmaları

gibi unsurları içermelidir. Değerlendirme yapıldıktan sonra tedarik zinciri güvenliğini sağlamak üzere işletmenin tüm kaynaklarından etkin bir şekilde faydalanılan, teknolojiyi aktif bir şekilde kullanan, paydaş görüşlerini dikkate alan bir politika oluşturulmalıdır. Bu politika, mevcut ve geliştirilmekte olan tüm standartları ve yasaları kapsamalıdır.

Uygulama ve işletim: Tedarik zinciri güvenlik politikasının uygulanmasında şirketlerin dikkat etmesi gereken önemli hususlar vardır. Bunları şöyle sıralayabiliriz:

  • Güvenlik yönetimi ile ilgili işletme bünyesinde yetki ve sorumluluk tanımlaması yapılmalı; konuyla ilgili herkesin görevleri net bir şekilde açıklanmalıdır.
  • İşletme içerisinde üst yönetimden başlayarak her kademeki birim ve çalışanların tedarik zinciri politikalarıyla ilgili farkındalık ve bilgi sahibi olması sağlanmalıdır. Bu konuda çalışanlara eğitimler verilmelidir.
  • Tedarik zinciri süreçleri ve güvenlik yönetimi konusunda etkin bir iletişim ağı oluşturulmalıdır.
  • Tüm çalışmalar dokümante edilmelidir.
  • Acil durum eylem planı hazırlanmalı; tedarik zinciri güvenliğinden kaynaklı her türlü gelişmeye hızlı reaksiyon gösterilmesini sağlayan uygulamalar belirlenmelidir.

Kontrol ve düzeltici faaliyet: Tedarik zinciri güvenliğiyle ilgili sistematik bir yapı kuran ve belirli uygulamaları hayata geçiren şirketler, bu konudaki tüm faaliyetleri sürekli olarak izlemelidir. Güvenlik yönetimi performansını ölçmeli ve sonuçları değerlendirmelidir. Güvenlik çalışmalarıyla ilgili her türlü olumsuz durum, kaza, uygunsuzluk vb ile ilgili düzeltici ve önleyici faaliyetler planlamalıdır. Bu konuyla ilgili oluşturulan kayıtlar kontrol edilmeli ve güvenli bir şekilde muhafaza edilmelidir.

ISO 28000 ile ilgili en önemli kontrol faaliyetlerinden biri tedarik zinciri güvenliğiyle ilgili firma bünyesinde yapılan denetimlerdir. Bunla ilgili iç tetkikçiler ve / veya bağımsız üçüncü taraf kişi veya kurumlardan destek alınabilmektedir.

Yönetimin gözden geçirmesi ve sürekli iyileştirme: Güvenlik politikaları üst yönetim tarafından belirli aralıklarla gözden geçirilmelidir. Bu çalışmalar, güvenlik risklerini, tehditleri, mevcut politikaları, sistem ve / veya kişi değişikliklerini, ihtiyaçları ve fırsatları kapsayacak nitelikte olmalıdır. Yapılacak gözden geçirmelere;

  • güvenlik performansına dair ölçümler,
  • paydaşlardan yapılan geri dönüşler,
  • düzeltici ve önleyici faaliyetler,
  • yapılabilecek iyileştirme önerileri,
  • tedarik zinciri güvenliğini ilgilendiren yasa ve standartlarda yapılan değişiklikler vs dahil edilmelidir.

***

Şirketlerin ISO 28000 tedarik zinciri güvenliği yönetim sistemiyle ilgili öncelikle akredite kuruluşlardan eğitim ve danışmanlık hizmeti alması ve belgelendirme sürecine daha sonra başlaması tavsiye edilmektedir. Tedarik zincirinin güvenliğini her yönden sağlayan kuruluşlar, sektörde rekabet avantajı elde edebilmekte ve yeni pazarlara girme şansını artırmaktadır. ISO 28000, kurumsal itibarın artırılması ve marka değerinin yükseltilmesi açısından da önem taşımaktadır.