Güvenlik yönetimi ve risk analizi

Uluslararası faaliyet gösteren başta üretim ve lojistik firmalarımız olmak üzere birçok iş kolu için güvenlik yönetimi tıpkı kalite yönetimi, çevre yönetimi, iş sağlığı ve güvenliği yönetimi gibi uygulamalar ile birlikte ön plana çıkmış durumdadır. Uluslararası sahada bu konuda Uluslararası Standartlar Organizasyonu (ISO) tarafından oluşturulan 28000 serisi standartlar yürürlüğe girmiş ve ülkemizde bazı kurumsal firma ve limanlarımız da belgelendirme çalışmalarına başlamıştır. Bu yazımızda öncelikli olarak ISO 28000 standardında ele alınan güvenlik yönetimi içeriğinden ve onun ayrılmaz bir parçası olan risk analizi hakkında bilgi vermek istiyorum. Güvenlik yönetimi için öngörülen 28000 serisi standartlar ISO 14001:2004 kalite yönetim standardını esas alarak hazırlanmıştır. Temel elemanları; planlama, uygulama, kontrol ve düzeltici faaliyetler ile gözden geçirme ve sürekli geliştirme şeklindedir. Kuruluşun bağımsız bir denetim kuruluşu ile denetlenerek belgelendirilmesi ile süreç başlatılmış olmaktadır.

Güvenlik yönetiminde beklenti üst yönetimlerinde doğrudan güvenlik konularının yönetiminde rol almasıdır. Kuruluş yönetimi bir güvenlik politikası belirleyecek, üst yönetimden bir temsilci atayacak ve bu politika çerçevesinde güvenlik yönetimini bu temsilcinin başkanlığında oluşturulacak bir organizasyon ile sürdürecektir. Hemen belirtelim ki güvenlik yönetimi uygulamaları sadece bu organizasyonun sorumluluğunda kalmamalıdır. Kuruluşun en üst yöneticisinden en alt çalışanına kadar tüm personel ve çözüm ortaklarının, paydaş çalışanlarının da güvenlik politikası çerçevesinde uygulamalardan sorumlu olduğunun bilincinde olmalıdır. Güvenlik bilincini sağlamak üzere aşağıda belirtilen hususların öncelikli olarak uygulanmasına, denetlenmesine ilaveten başta eğitim toplantılarının yanı sıra talim ve tatbikatlarda ön plana çıkmaktadır.

Üst yönetim tarafından belirlenecek güvenlik politikası elbette kurumun diğer politikaları ile uyumlu, onları destekleyici bir politika olmalıdır. Güvenlik ihlalleri, güvenlik personeli sayısı, personel değişimi, personel ve ekipman performansları vb. ölçülebilir güvenlik hedefleri belirlenmelidir. Tehdit ve tehdit senaryoları için belirlenmiş senaryoların yanı sıra kuruluşa özgün senaryolar için profesyonel şirket destekleri düşünülmelidir. Güvenlik yönetimi sürecinde karşılaşılacak olumsuzluklar için çözüm stratejileri, yatırım planlamaları, hareket tarzları belirlenmiş olmalıdır. Uluslararası ve ulusal mevzuat ve uygulamalar ile uyumlu yeniliklere kolayca geçişi sağlayabilecek taahhütleri içermelidir.

Kuruluşa özgü güvenlik politikası ve güvenlik hedefleri belirlendikten sonra, risk analizi aşamasına geçilerek tesisin esas olarak en hassas operasyonları dahil olmak üzere, yapısal bütünlük, mevcut güvenlik uygulamaları sistematik bir yaklaşımla ele alınmalıdır. Risk analizi için çok çeşitli değerlendirme metotları mevcuttur ve tamamında risk analizinin bu aşamasında standartlarda belirlenmiş soru listeleri kullanılabilir ancak uygulamada bu soru listelerinin tüm sektörleri yeterince kapsamadığı hatta bölgesel ihtiyaçlar için yetersiz olabileceği değerlendirilmiştir. Kuruluşa özgü ilave edilmiş sorularının da açık bir şekilde ele alınması analizin sağlıklı yapılabilmesi için ön şarttır. Bu sorgulamanın yine profesyonel bir ekip tarafından yapılması hem tüm tehdit ve olasılıkların ele alınabilmesi hem de gereksiz yatırımlara neden olabilecek aşırı isteklerin önlenebilmesi açısından önemlidir.  Kuruluşa özgü yapılacak risk analizi sonucunda; İşlevsel başarısızlık, terörist veya suç eylemleri sonucu olası hasarlar, güvenlik, insan faktörleri ve kurumun performansını, durumunu veya güvenliğini etkileyen diğer faaliyetlerin kontrolü dâhil olmak üzere operasyonel tehditler ve riskler ele alınarak değerlendirilir. Bu çalışmada güvenlik önlemlerini ve ekipmanı etkisiz kılabilecek doğal çevre olayları deprem, fırtına, sel vb. olaylara ilaveten kurumun kontrolü dışındaki faktörler, dışarıdan tedarik edilen ekipman ve servislerdeki arızalar gibi paydaş tehditleri ve riskleri ile yasal gerekliliklere uyulmaması veya itibar veya markaya zarar verilmemesi gibi konularda değerlendirme kapsamı içerisindedir.

İlk iki aşamasını, güvenlik politikası ve risk analizi aşamalarını ele aldığımız güvenlik yönetimi olası güvenlik zafiyetlerinden kaynaklanacak kayıplarının önlenmesini sağlayacak ayrıca kuruluşlara çok ciddi bir katma değer kazandıracaktır. Uluslararası faaliyetlerde halen zorunlu olarak uygulanmakta olan Uluslararası Gemi ve Liman Tesisleri Güvenlik Kodu ( ISPS), Denizyolu ile taşınan Tehlikeli Maddeler Kodu ( IMDG) vb’ne ilave olarak gelecekte bir şekilde zorunlu hale gelebilecek 28000 serisi standartlar ve Belgelendirme çalışmaları ile TAPA, C-TPAT, EU AOE, WCO  gibi global ve bölgesel organizasyon ve işbirliği kuruluşlarında halen gönüllülük prensibi ile uygulanmakta olan tedarik zinciri güvenlik yönetimine geçiş sağlanabilecektir.

Güvenli ve sağlıklı günler dileklerimle