ISO 28001 veya güncel adıyla ISO 28001:2007 Tedarik Zinciri Güvenliği Yönetim Sistemi, tedarik zincirinde olası risklerin doğru tespit edilmesi ve yönetilmesi konusunda yayınlanmış bir yönetim sistemi standardıdır. ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi uluslararası bir standarttır. ISO 28001, tedarik zincirinin güvenlik teminatı için bir çerçeve sunar.
ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi, etkinlik alanı gereği işletmenin departmanlarında risk değerlendirmesi yaparak potansiyel riskleri kontrol altına almalarını sağlar. ISO 28000 gereklilikleri, tedarik zinciri güvenlik güvencesi için tüm kritik riskleri içerirken ISO 28001, bu gereklilikleri ve riskleri tanımlayarak bu sistemi uygulamak isteyen kuruluşlara bir yönetim modeli sağlar.
ISO 28001 Belgesi Rehberi
ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi
Uluslararası tedarik zincirlerine yönelik güvenlik olayları, uluslararası ticarete ve ticaret yapan ulusların ekonomik büyümesine yönelik tehditlerdir. İnsanlar, mallar, ulaşım araçları dahil altyapı ve ekipman ve güvenlik olaylarına ve bunların potansiyel olarak yıkıcı etkilerine karşı korunmalıdır. ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi, kuruluşlara malın hammadde temininden başlayarak son tüketiciye kadar ulaşmasında rol alan kuruluşlara makul güvenlik seviyeleri oluşturma ve belgeleme seçeneği sunar. ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi belgesi kuruluşların, uluslararası tedarik zincirlerinde güvenlikle ilgili daha iyi risk temelli kararlar almalarını sağlayacaktır.
Çok modlu bir yapısı olan ISO 28001 Uluslararası Standardının küresel ticareti güvence altına almak ve kolaylaştırmak için Dünya Gümrük Örgütü’nün standartlar çerçevesi ile uyum içinde olması ve bu çerçeveyi tamamlaması amaçlanmıştır. Bir kuruluşun kontrol ettiği uluslararası tedarik zincirinin ilgili bölümlerinde yeterli güvenlik seviyeleri oluşturmasına ISO 28001 yardımcı olur.
ISO 28001 uluslararası standarttan kaynaklanan çıktılar aşağıdaki gibi olacaktır:
- Güvenlik planının kapsadığı tedarik zincirinin sınırlarını tanımlayan bir Kapsam Beyanı.
- Tedarik zincirinin güvenlik açıklarını tanımlanmış güvenlik tehdidi senaryolarına karşı belgeleyen bir Güvenlik Değerlendirmesi. Ayrıca, olası güvenlik tehdidi senaryolarının her birinden makul olarak beklenebilecek etkileri de açıklar.
- Güvenlik değerlendirmesi sonrasında belirlenen güvenlik tehdidi senaryolarını yönetmek için yürürlükte olan güvenlik önlemlerini açıklayan bir Güvenlik Planı hazırlanır.
- Güvenlik personelinin kendilerine atanan güvenlikle ilgili görevlerini yerine getirmek için nasıl eğitileceğini belirleyen bir eğitim programı devreye sokulur.
- Güvenlik planını oluşturmak ve gereken güvenlik değerlendirmesini üstlenmek için ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi uluslararası standardını kullanan bir kuruluş,
- Ortaya çıkan tehditleri tanımlar (güvenlik tehdidi senaryoları);
- Güvenlik Değerlendirmesi tarafından belirlenen güvenlik tehdidi senaryolarının her birini bir güvenlik olayında kişilerin nasıl ilerletebileceklerini belirler.
- Bu belirleme, tedarik zincirindeki mevcut güvenlik durumu gözden geçirilerek yapılır ve ona göre profesyonel muhakeme kullanılır.
Potansiyel bir güvenlik tehdidine karşı savunmasız olan tedarik zinciri, zararı azaltmak için ek prosedürler veya operasyonel değişiklikler geliştirecektir. Karşı önlem olarak adlandırılan bu durumda, öncelikler sistemine dayalı olarak, tehdidi kabul edilebilir bir düzeye indirmek için güvenlik planına karşı önlemlerin dahil edilmesi gerekir. ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi, ISO 9001 (Kalite Yönetim Sistemleri), ISO 14001 (Çevre Yönetim Sistemleri), ISO 28000 (Tedarik zinciri için güvenlik yönetim sistemleri) ve Uluslararası Denizcilik Örgütü’nün Uluslararası Emniyet Yönetimi (ISM) Kodu, yönetim sistemleriyle entegre çalışarak tedarik zinciri risklerinin etkin yönetimini sağlar.
Tedarik zinciri
Bir satınalma siparişinin verilmesiyle birlikte hammaddenin tedarik edilmesiyle başlayan; malların ya da ilgili hizmetlerin alıcıya imalatı, işlenmesi, elleçlenmesi ve teslimine kadar uzanan bağlantılı kaynaklar ile süreçler dizisi. Tedarik zinciri, satıcıları, üretim tesislerini, lojistik sağlayıcıları, dahili dağıtım merkezlerini, distribütörleri, toptancıları ve malların imalatı, işlenmesi, elleçlenmesi ve teslimatı ve bunlarla ilgili hizmetler ile ilgili diğer kuruluşları içerebilir. Özetle ISO 28001 Tedarik Zinciri Güvenliği Sistemi, tedarik zinciri güvenliği süreçlerini geliştirmek ve uygulamak; bir tedarik zincirinin/zincirlerinin veya bir tedarik zincirinin segmentinin içinde asgari bir güvenlik seviyesi oluşturmak ve belgelemek işlevlerini yerine getirir. Bu konuda Dünya Gümrük Örgütü standartları çerçevesinde belirtilen geçerli yetkili ekonomik operatör (AEO) kriterlerini karşılamaya ve ulusal tedarik zinciri güvenlik programlarına uymaya yardımcı olur.
ISO 28001 Standardı’nın Belgelendirme Süreci Aşamaları Nedir?
ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi’ni kurarak uygulamaya geçiren firmalar belgelendirmeyi alabilmek için aşağıdaki süreçleri takip ederler:
Teklif Aşaması
Belgelendirme başvurusu yapan firma öncelikle 3. taraf denetimler olarak tanımlanan MA Belgelendirme & Mühendislik firmamız gibi denetimleri yapan firmalardan fiyat teklifi alırlar. Fiyatlar belirlenirken personel sayısına ve firmanın faaliyet alanı göz önünde tutulur. Firmanın büyük olması durumunda denetim süreci uzayacaktır. Fiyat teklifinin kabulünden sonra MA Belgelendirme & Mühendislik firmamıza müracaat edebilirsiniz.
Başvuru Aşaması
Belgelendirme kuruluşundan alacağınız başvuru formları ile ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi dokümanları istenildiği gibi hazırlanır.
Doküman İnceleme Aşaması
Buna 1. aşama denetim adı da verilmektedir. Ma Belgelendirme & Mühendislik kuruluşunun gönderdiği başdenetçi, dökümanlar üzerinde inceleme yapar. Yapılan inceleme sonucunda ilgili dokümanların standartların gereklerini karşılayıp karşılamadığını kontrol eder. Dökümanlar standartların gereklerini karşılıyorsa şirket denetim planına alınır; karşılamıyorsa eksikliklerin tamamlanması için şirkete yazılı olarak bilgi verilir.
Denetim Planlama Aşaması
Belgelendirme kuruluşu, şirketin büyüklüğüne göre, uygulamaların yerinde görülebilmesi için gerekli olan denetim süresini ve uygun denetçileri, tarihi tespit eder. Bu bilgiler firmaya iletilerek teyit alınır. Denetim plan teyidinin ardından bir sonraki aşamaya geçilir.
Denetim Aşaması
Belgelendirme kuruluşu, hazırlanan plana göre şirket ortamında çalışma başlatır. Açılış toplantısıyla başlayan denetim, planlı bir şekilde departmanların incelenmesiyle devam eder. Denetçiler tarafından bulunması gereken sistemsel şartlara ait dökümanlar ve uygulamalar incelenir. Öncelikle standart maddeler denetlenir. Ardından işletme içi bölümler, denetçilerin bulgularıyla değerlendirilerek olumlu olumsuz olarak tavsiye niteliğinde karar verilir. Bu karar kapanış toplantısında firmayla paylaşılır. Denetim ekibinin verdiği karar olumsuzsa; uygunsuzlukların düzeltilmesi talep edilir. Karar olumlu ise belgelendirme kuruluşunun iç prosedürü işlemeye başlar.
Sözleşme Aşaması
Raporlar ilgili komite tarafından incelenir. İncelemeden olumlu sonuç çıkarsa sertifikalar hazırlanarak firma ile belgelendirme sözleşmesi yapılır. Sözleşme üç yıl geçerli olup bu süre içerisinde belgelendirme firması tarafından yılda en az 1 defa gözetim tetkiki yapılarak sistem şartlarının devamlılığının takibi yapılır.
ISO 28001 belgesini almak için MA Belgelendirme & Mühendislik firmamıza müracaat ederek süreçle ilgili bilgi alabilir, hatta sistem kurmak için firmamızın deneyimli elemanlarından hizmet talep edebilirsiniz.
ISO 28001 Tedarik Zinciri Güvenliği Sistemi Belgesi Başvurusu İçin Hangi Evraklar Gereklidir?
ISO 28001 Tedarik Zinciri Güvenliği Sistemi Belgesi’ni almak için öncelikle bir belgelendirme firmasına başvurmanız gerekmektedir. Bu başvuruda gerekli olan tek evrak ise eksiksiz olarak doldurmanız gereken başvuru formudur. Bu form ile birlikte ISO 28001 Tedarik Zinciri Güvenliği Sistemi’ni kurarken hazırlamış olduğunuz bütün dökümanların da hazır olarak bulundurulması gerekmektedir. Bu evraklarla ilgili daha detaylı bilgileri Ma Belgelendirme &Mühendislik firmamızdan temin edebilirsiniz.
ISO 28001 Belgesi Etki Alanları
Tedarik zinciri, birçok sektörde kırılgan bir yapıdadır. Bu kırılgan yapı özel ve resmi kuruluşlar için güvenlik açıklarına yol açmakta ve şirketleri olumsuz yönde etkilemektedir. Ortaya çıkabilecek risklerin yönetimini sağlamak için ISO tarafından yayınlanmıştır. Bu amaca ulaşabilmek için firmaların bazı alanlarda risk değerlendirmesi yapmaları ve olası riskleri güvenlik temelli tedbirlerle kontrol altına almaları beklenmektedir.
Bu tedbiri almayı gerektiren alanlar nelerdir?
Dünya Ekonomik Forumu’nun 2019 yılında yayınladığı Küresel Risk Raporu’na göre dünyada olma olasılığı en yüksek riskler gruplandırılmıştır. Bu gruplar önem düzeyine ve etki düzeyine göre sınıflandırılmıştır.
Olasılık Düzeyine Göre İlk 10 Risk
- Aşırı iklim olayları
- İklim değişikliğini en az düzeye indirme konusunda yaşanacak başarısızlık.
- Doğal afetler
- Veri dolandırıcılığı, hırsızlığı
- Siber saldırılar
- İnsan ürünü çevresel faktörler
- Büyük ölçekli istenmeyen göç
- Biyoçeşitliliğin azalması/ekosistemin çöküşü
- Su krizleri
- Genel ekonomik varlık balonları
Etki Düzeyine Göre İlk 10 Risk
- Kitle imha silahlarının yapacağı yıkım
- İklim değişikliğini en az düzeye indirme konusunda yaşanacak başarısızlık.
- Aşırı iklim olayları
- Su krizleri
- Doğal afetler
- Biyoçeşitliliğin azalması, ekosistemin çöküşü
- Siber saldırılar
- Kritik bilgi altyapısının bozulması
- İnsan ürünü çevresel faaliyetler
- Bulaşıcı hastalıkların yayılması
Yozgat Bozok Üniversitesi Öğretim Üyesi Dr. Nigar Özçetin’in 2019 yılında İMKB 500’e kayıtlı gıda ve içecek imalat sektörü ile perakende sektöründe yer alan işletmelerin karşılaşabilecekleri tedarik zinciri riskleri ve bu riskleri yönetme yollarını ele aldığı araştırmasında tedarik zinciri riskleri; tedarik riskleri, operasyonel riskler, talep riskleri, teknolojik riskler, stratejik riskler, terörist faaliyetlerden kaynaklanan riskler, satın alma riskleri ve şirket içi riskler olarak ayrılmaktadır.
Konuyla ilgili daha fazla bilgi edinmek isteyen okuyucularımız bu internet sayfasına bakabilirler.
Sonuç olarak ISO 28001 Tedarik Zinciri Güvenliği Yönetim Sistemi Belgesi tedarik zincirindeki kuruluşların herhangi bir noktada ortaya çıkacak sorunlar veya aksaklıkları önceden tahmin ederek tedbir almaları için gerekli güvenlik prosedürlerini tanımlar. Bu belgeye sahip olan kuruluşlar olası risklerin sonuçlarından daha iyi korunma tedbirleri aldıkları için rakiplerine karşı tercih noktasında da avantaj yakalarlar.