ISO (international organization for standardization ) tarafından geliştirilen ISO 28000 uluslararası bir standart olup, Tedarik Zinciri Güvenliği Yönetim Sistemi gereklerini ortaya koyar ve bu sistemi uygulamak isteyen kuruluşlara bir yönetim modeli oluşturur. Kuruluşun, Tedarik zinciri güvenliği ile ilgili faaliyetlerini diğer yönetim sistemleri ile aynı şemsiye altına alarak, risklerin etkin yönetilmesini hedefler.

Bu yeni yönetim sistemi standardı, tedarik zincirine herhangi bir şekilde bağlı olan kuruluşlara tedarik zincirindeki kritik güvenlik noktalarına dikkati çeken yeni bir çerçeve çizmektedir. Bu çerçevede, tedarik zincirini hammadde temini ile başlayıp, ürün ve hizmetin farklı ulaştırma yöntemleriyle son kullanıcıya ulaşmasına kadar uzanan, birbirleri ile ilişki içinde olan kaynaklar ve süreçler dizisidir. Finans, üretim bilgi yönetimi ve üretim tesislerini içeren ancak bunlarla sınırlı kalmayan bir yapıdadır.

Küreselleşmenin etkisiyle artan rekabet, firmaların maliyete, zamanında teslime ve kalite konusuna verdikleri önemi artırmaktadır. Bu standart, tedarik zincirine herhangi bir şekilde bağlı olan kuruluşlara tedarik zincirindeki kritik güvenlik noktalarına dikkati çeken yeni bir çerçeve çizmektedir. Bu çerçeve finans, üretim, bilgi yönetimi ve üretim tesislerini içeren ancak bunlarla sınırlı kalmayan bir yapıdadır.

Bir yandan tüm endüstri sektörlerinde faaliyet gösteren kuruluşlara güvenlik risklerini değerlendirmelerinde ve kontrol etmelerinde destek olurken, bir yandan da güvenlik tehditlerinden kaynaklanabilecek etkilerin azaltılmasını amaçlar ve bunu yaparken kalite, iş güvenliği, müşteri memnuniyeti yönetimi gibi temel yönetim prensiplerini kullanır. ISO 28000 standardı, güvenlik risklerinin en aza indirilmesine ve dolayısıyla mal ve malzeme dağıtımının zamanında ve problemsiz olarak gerçekleşmesine yardımcı olur.

ISO 28000, bir tedarik zincirine dahil olan her kuruluş için, üretim, depolama ve dağıtım (karayolu, demiryolu, deniz ve havayolu dahil) konusunda, alıcıya gidene kadar yol boyunca güvenlik sağlayan bir güvenlik modelidir. Bir güvenlik sisteminin IS0 28000’e göre uygulanmasıyla, bir kuruluş bütün tedarik zinciri boyunca sahip olduğu güvenilirliği ve güvenliği arttırmaktadır. Yüksek bir değere sahip olan ya da bir tehlike arz eden ürünler dünya çapında taşınıp daha güvenli olarak saklanabilmektedir. Bu model, önleme, uygulama, izlenilebilirlik ve belgeleme konusunda güvenlik süreçlerini arttırmak isteyen kuruluşlar için tasarlanmıştır. Dahası, bir güvenlik yönetimi sistemi kuruluşun her seviyesinde artan güvenlik bilinçliliğine önemli bir katkıda bulunmaktadır.

ISO 28000 standardına göre, hali hazırda uygulanmış olan güvenlik modelleri (AEO, C-TPAT, TAPA vs.) bir kapsamlı sistem çerçevesinde toplanılabilmektedir. Uluslararası aktif organizasyonlar böylece günlük işlerinin daha hızlı, daha fiyat oranlı ve daha iyi belgelenmiş işlenmesine kavuşmuş olurlar.

Tedarik zinciri yönetimi günümüz iş dünyasında firmaların en önemli faaliyetlerinden biri haline gelmiştir. Bu sürecin hızlı, verimli ve sürekli bir şekilde işletilmesi, firmaların kârlılığı ve müşteri memnuniyetini sağlaması açısından çok önemlidir. Firmalar ayrıca tedarik zincirinin güvenliğinden de sorumludur. Güvenli bir tedarik zinciri yönetimi, firmalara bu süreçlerdeki riskleri ve tehditleri belirleme ve etkin bir şekilde yönetme fırsatı oluşturur. Böylelikle, verimlilik artarken güvenlik risklerinden doğan maliyetler de en aza indirilmiş olur.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi de bu kapsamda oluşturulmuş bir standarttır. ISO 9001 Kalite Yönetim Sistemi ve ISO 14001 Çevre Yönetim Sistemi’ne uygun bir şekilde hazırlanan standart, tedarik zincirinin güvenliğinin sağlanmasında risk değerlendirme temelli bir yaklaşım sunmaktadır. Tedarik zinciri süreçlerine zarar veren kasıtlı ve yetkisiz her türlü girişimi bir tehdit unsuru olarak tanımlayan ISO 28000, firmalara güvenlik risklerini, potansiyel tehditleri ve bunlardan doğan doğrudan veya dolaylı etkileri kapsamlı ve sistemli bir şekilde yönetme imkanı vermektedir.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi Kapsamı

ISO 28000, firmaların sürekli uygulayabileceği bir tedarik zinciri güvenlik politikası geliştirmesini sağlamaktadır. Bu bağlamda, firmalar ISO 28000 ile bir güvenlik sistemi oluşturabilir ve uygulayabilir; bu sistemin sürekliliğini sağlayabilir ve gerekli durumlarda iyileştirme yapabilir. Ayrıca, tedarik zincirinde yer alan paydaşlarına güvenlik politikalarına uygunluğunu gösterebilir ve onların da güvenlik uygulamalarında aktif rol almasını sağlayabilir. Bu standardın gerekliliklerini uygulayan firmalar, akredite üçüncü taraf belgelendirme kuruluşlarından, ISO 28000 temelli denetleme ve sertifikasyon hizmeti alarak tedarik zincirinin güvenliğini tescilleyebilir.

ISO 28000, tedarik zinciri süreçlerinin her aşamasında uygulanabilen bir standarttır. Faaliyet gösterdiği sektör, sunduğu ürün ya da hizmet, büyüklüğü ve konumu fark etmeksizin her firma, ISO 28000’i uygulayabilir. Tedarik zinciri ne kadar çok boyutlu ve kompleks olursa güvenlik yönetim sistemine duyulan ihtiyaç da o kadar artmaktadır.

ISO 28000, tedarik zinciri güvenliği ile ilgili ulusal ve uluslararası düzeyde geçerli diğer standartlar, yönetmelik ve yasalarla uyum içerisindedir. ISO 20858 Deniz Liman Tesisi Güvenlik Değerlendirmeleri ve Güvenlik Planı ve ISO 28001 Tedarik Zinciri Güvenliğinde En İyi Uygulama gibi standartları tamamlayıcı niteliktedir. ISO 2800’in mevcut düzenlemelerin yanı sıra tedarik zincirlerinin güvenliğini ilgilendiren ve geliştirilmekte olan diğer standartlarla da uyum içerisinde olması hedeflenmektedir.

ISO 28000, günümüzde birçok kalite standardı ve yönetim sisteminde aktif olarak uygulanan PUKÖ (Planla, Uygula, Kontrol et, Önlem al) metodolojisine de uygundur. Bu bağlamda işletmeler, tedarik zinciri güvenliği politikası, hedefleri ve proseslerini

  • planlayabilir,
  • bunları uygulayabilir,
  • diğer standartlar, yasa ve yönetmeliklere göre kontrol edebilir; takip edebilir ve raporlayabilir,
  • bu sistematik çalışmaların performansını sürekli olarak iyileştirebilmek için gerekli önlemleri alabilir.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi Gereklilikleri

ISO 28000’e entegre olmak isteyen işletmeler tedarik zinciri güvenliğini sağlayacak bir yönetim sistemi oluşturmalıdır. Bu sistem, işletmenin tedarik zinciri süreçlerinden kaynaklı riskleri ve tehditleri tanımlamalı, değerlendirmeli, sonuçlarını öngörmeli ve kontrol etmelidir. ISO 28000 ayrıca, firmalardan bu sistemin dokümante edilmesini, uygulamada karşılık bulmasını ve sürekli olarak geliştirilmesini istemektedir. Güvenlik sisteminin uygulanmasında kullanılan iç ve dış kaynakların ve proseslerin tamamının firma kontrolünde olması; standardı uygulayan şirketlerin üst yönetiminin ISO 28000 kapsamında geliştirilen politikaları onaylaması gerekmektedir.

ISO 28000’e göre oluşturulan tedarik zinciri güvenliği politikasının şu kriterlere uygun olması gerekmektedir:

  • İşletmenin kurumsal değerlerine, ilkelerine, diğer politikalarına ve hedeflerine; ayrıca diğer kalite ve yönetim sistemlerine uyumlu olmalı.
  • Yürürlükte olan ulusal ve uluslararası mevzuata uygun olmalı.
  • İşletmenin sadece tedarik zinciriyle değil, diğer süreçlerindeki risk yönetimi çerçeveleriyle uyumlu olmalı.
  • Üst yönetim tarafından desteklenmeli, sürdürülebilir olmalı.
  • Sürekli iyileştirmeye açık olmalı; gerekli görüldüğünde değiştirilebilmelidir.

ISO 28000 Tedarik Zinciri Güvenliği Yönetim Sistemi İçeriği

ISO 28000, tedarik zinciri güvenlik politikalarıyla ilgili şu faaliyetlerin işletme tarafından hayata geçirilmesini amaçlamaktadır:

  • Güvenlik risk değerlendirmesi ve planlama
  • Uygulama ve işletim
  • Kontrol ve düzeltici faaliyet
  • Yönetimin gözden geçirmesi ve sürekli iyileştirme

Şimdi bu adımlara yakından bakalım.

Güvenlik risk değerlendirmesi ve planlama: İşletmeler, uygulanabilir bir güvenlik politikası geliştirmeden önce tedarik zinciri güvenliğiyle ilgili bir risk değerlendirmesi yapmalı ve mevcut ve olası tehditleri belirlemelidir. Bu değerlendirmeler;

  • tedarik zinciri süreçlerini etkileyecek her türlü kaza, hasar, hırsızlık, terörizm faaliyetleri, doğal afetler, fiziksel yetersizlikler,
  • güvenliği tehlikeye atacak beşeri faktörler,
  • hizmetlerdeki aksamalar,
  • bakım, onarım, tasarım ve kurulum çalışmaları

gibi unsurları içermelidir. Değerlendirme yapıldıktan sonra tedarik zinciri güvenliğini sağlamak üzere işletmenin tüm kaynaklarından etkin bir şekilde faydalanılan, teknolojiyi aktif bir şekilde kullanan, paydaş görüşlerini dikkate alan bir politika oluşturulmalıdır. Bu politika, mevcut ve geliştirilmekte olan tüm standartları ve yasaları kapsamalıdır.

Uygulama ve işletim: Tedarik zinciri güvenlik politikasının uygulanmasında şirketlerin dikkat etmesi gereken önemli hususlar vardır. Bunları şöyle sıralayabiliriz:

  • Güvenlik yönetimi ile ilgili işletme bünyesinde yetki ve sorumluluk tanımlaması yapılmalı; konuyla ilgili herkesin görevleri net bir şekilde açıklanmalıdır.
  • İşletme içerisinde üst yönetimden başlayarak her kademeki birim ve çalışanların tedarik zinciri politikalarıyla ilgili farkındalık ve bilgi sahibi olması sağlanmalıdır. Bu konuda çalışanlara eğitimler verilmelidir.
  • Tedarik zinciri süreçleri ve güvenlik yönetimi konusunda etkin bir iletişim ağı oluşturulmalıdır.
  • Tüm çalışmalar dokümante edilmelidir.
  • Acil durum eylem planı hazırlanmalı; tedarik zinciri güvenliğinden kaynaklı her türlü gelişmeye hızlı reaksiyon gösterilmesini sağlayan uygulamalar belirlenmelidir.

Kontrol ve düzeltici faaliyet: Tedarik zinciri güvenliğiyle ilgili sistematik bir yapı kuran ve belirli uygulamaları hayata geçiren şirketler, bu konudaki tüm faaliyetleri sürekli olarak izlemelidir. Güvenlik yönetimi performansını ölçmeli ve sonuçları değerlendirmelidir. Güvenlik çalışmalarıyla ilgili her türlü olumsuz durum, kaza, uygunsuzluk vb ile ilgili düzeltici ve önleyici faaliyetler planlamalıdır. Bu konuyla ilgili oluşturulan kayıtlar kontrol edilmeli ve güvenli bir şekilde muhafaza edilmelidir.

ISO 28000 ile ilgili en önemli kontrol faaliyetlerinden biri tedarik zinciri güvenliğiyle ilgili firma bünyesinde yapılan denetimlerdir. Bunla ilgili iç tetkikçiler ve / veya bağımsız üçüncü taraf kişi veya kurumlardan destek alınabilmektedir.

Yönetimin gözden geçirmesi ve sürekli iyileştirme: Güvenlik politikaları üst yönetim tarafından belirli aralıklarla gözden geçirilmelidir. Bu çalışmalar, güvenlik risklerini, tehditleri, mevcut politikaları, sistem ve / veya kişi değişikliklerini, ihtiyaçları ve fırsatları kapsayacak nitelikte olmalıdır. Yapılacak gözden geçirmelere;

  • güvenlik performansına dair ölçümler,
  • paydaşlardan yapılan geri dönüşler,
  • düzeltici ve önleyici faaliyetler,
  • yapılabilecek iyileştirme önerileri,
  • tedarik zinciri güvenliğini ilgilendiren yasa ve standartlarda yapılan değişiklikler vs dahil edilmelidir.

***

Şirketlerin ISO 28000 tedarik zinciri güvenliği yönetim sistemiyle ilgili öncelikle akredite kuruluşlardan eğitim ve danışmanlık hizmeti alması ve belgelendirme sürecine daha sonra başlaması tavsiye edilmektedir. Tedarik zincirinin güvenliğini her yönden sağlayan kuruluşlar, sektörde rekabet avantajı elde edebilmekte ve yeni pazarlara girme şansını artırmaktadır. ISO 28000, kurumsal itibarın artırılması ve marka değerinin yükseltilmesi açısından da önem taşımaktadır.