Daha az metin, daha fazla esneklik, daha az düzenleme, daha fazla pragmatizm - ISO 22301 İş Sürekliliği Yönetim Sistemi'nin yeni versiyonu dünyayı sarsan değişiklikler getirmese de ileriye doğru atılmış önemli bir adımdır. 2019 versiyonundan ne gibi değişiklikler bekleyebileceğinizi ve geçiş sürecini aşağıda inceleyebilirsiniz.

2012’de yayınlanmasından bu yana, ISO 22301 standardı, İş Sürekliliği Yönetim Sistemleri için uluslararası bir kriter haline gelmiştir. ISO araştırmalarına göre, 4000’den fazla kuruluş ISO 22301 sertifikasına sahiptir. Standardın popüleritesi çok çeşitli endüstriler arasında yayıldı. Bankalar, kimyasal tesisler, BT servis sağlayıcıları ve araba parçaları üreticileri DQS’in belgelendirdiği kuruluşların ait olduğu sektörlerden sadece birkaçıdır.

Bu popülerliği göz önünde bulundurarak, ISO’nun yalnızca standardı gözden geçirmesi ve ilk kullanım yıllarındaki tecrübeleri dahil etmesi gerekti. Ve yeni versiyon Kasım 2019’da yayınlandı.

İyi haber: Değişiklikler sınırlı

Ana noktadan başlayalım, zaten ISO 22301:2012 sertifikasına sahipseniz, geçişle ilgili herhangi bir sorun yaşamayacaksınız. Yapılan karşılaştırmalar, standartta önemli bir yapısal değişiklik olmadığını göstermektedir.

ISO yönetim sistemi standartlarının revizyonlarının son birkaç yıl içinde zorlayıcı olmasının temel nedenlerinden biri, tüm ISO yönetim sistemi standartları için birleşik bir yapı ve temel metin olan Üst Düzey Yapının benimsenmesi olmuştur. Ancak, ISO 22301’in 2012 versiyonu zaten Üst Düzey Yapıya sahipti hatta bu yeni yapıyı ortaya koyan ilk ISO standartlarından biriydi.

Bu nedenle, tüm standardı yeniden yazmak yerine, çalışma grubu ifadelere ve açıklığa odaklanabildi. Birçok gereksiz bölüm kısıtlandı, tanımlar daha tutarlı ve metin daha mantıklı hale geldi.

Önemli haber: İş sürekliliği yönetim sisteminin özüne geri dönüş

Özellikle ilginç olan, kaç gereksinimin özüne geri getirildiğidir. Bölüm 4.1 buna iyi bir örnek, 2012 versiyonu, bir kuruluşun yapısını ve içeriğini anlamak için ne yapılması gerektiğini (ve dokümantasyonu!) belirtirken, yeni versiyon detaya girmeden “iç ve dış sorunları belirleme” ihtiyacını dile getirir. Hangi yönlerin dikkate alınması gerektiğini söylemez ve bu süreci dokümante etme zorunluluğunu içermez. Benzer bir şey, iletişim konusundaki 7.4 bölümünde gerçekleşiyor: yeni versiyon belirgin bir şekilde daha az kuralcı.

Daraltılmış olan bir başka gereklilik, üst yönetimin katılımıdır (5.2). Hem eski hem de yeni versiyon, İş Sürekliliği Yönetimi politikasına üst yönetimin bağlılığını gerektirir. Bununla birlikte, eski versiyon üst yönetime “aktif bir şekilde pratik ve deneme yapmak”  görevini yükleyecek kadar ileri gitse de, yeni versiyon yaklaşımında daha pragmatiktir ve etkili bir İş Sürekliliği Yönetim Sistemini sürdürmek için gerçekten neyin gerekli olduğuna odaklanmaktadır.

Diğer Değişiklikler

Sertifikalı sahalar için etkisi çok az olan veya hiç olmayan, çok sayıda ufak düzenlemelerin yanı sıra, vurgulanmaya değer birkaç değişiklik vardır:

  • Sayıları çok az olan yeni gereksinimlerden biri, kuruluşların İş Sürekliliği Yönetim Sisteminde “planlı bir şekilde” değişiklik yapmalarını gerektiren madde 6.3’tür. Teknik olarak bu şart yeni olsa da, madde içeriği hiç kimseye için sürpriz niteliğinde değildir.
  • Bölüm 8.2.2 İş Etkisi Analizi (BIA), etki kategorilerini başlangıç noktası olarak alınmasını şart koşuyor. Birçok kuruluş zaten analizinde etki kategorileri tanımlarken, standardın yeni versiyonu bunu zorunlu kılmaktadır.
  • Bölüm 8.3, “İş Sürekliliği Stratejisi” iken “İş Sürekliliği Stratejileri ve Çözümleri” olarak yeniden adlandırılmıştır. Bununla birlikte standardın artan pragmatizmi şu şekilde yansıtılır: Odak, iş sürekliliğini sağlamak için büyük bir strateji geliştirmek değil, spesifik riskler ve etkiler için çözümler bulmak.
  • “Risk appetite” terimi standarttan çıkarılmıştır. 2012 versiyonunda “risk appetite” “bir kurumun takip etmeye veya elinde tutmaya istekli olduğu riskin miktarı ve türü” olarak tanımlanmıştır. Bununla birlikte, yeni standart terimi ortadan kaldırmakta haklıdır. “Risk appetite” oldukça öznel bir mesele olmanın yanı sıra konu ile ilgisizdir, önemli olan bir kuruluşun almak için istekli olduğu risk değil, faaliyetlerin devam etmemesinin etkisinin bir kuruluş için kabul edilemez hale gelme düzeyidir.

“Kuruluş, iş etki analizi ve risk değerlendirmesinden elde edilen çıktılara dayanarak iş sürekliliği stratejilerini tanımlamalı ve seçmelidir. İş sürekliliği stratejileri bir veya daha fazla çözümden oluşacaktır.”

ISO 22313 Rehberinin revizyonu

Standardı özüne indirgeyerek ISO, gereklilikler (ne) ve rehberlik (nasıl) arasında daha net bir ayrım sağladı. 2012 yılına dayanan ISO 22313 numaralı kılavuz dökümanı da ISO 22301 standardındaki değişiklikleri yansıtacak şekilde güncellenecektir. ISO 22301’in yeni versiyonun yayınlanmasından kısa bir süre sonra yayınlanması bekleniyor.

ISO 22301:2019 Versiyonuna Geçiş Süreci

ISO 22301’in yeni versiyonu Kasım 2019’da yayınlandı. Yayın tarihinden itibaren üç yıllık bir geçiş süresi olacaktır. Bu, tüm ISO 22301:2012 sertifikalarının Kasım 2022'de geçerliliğini yitireceği anlamına gelir.

Not: ISO 22301 standardını ISO web sitesinden indirebilirsiniz.

Yazar
Dr. Thijs Willaert

Dr. Thijs Willaert Sürdürülebilirlik Hizmetleri Küresel Direktörüdür. Bu görevde, DQS'in tüm ÇSY hizmet portföyünden sorumludur. İlgi alanları arasında sürdürülebilir satın alma, insan hakları durum tespiti ve ÇSY denetimleri yer almaktadır.

Loading...