Tedarikçi Denetim Eğitimi

TEDARİKÇİ DENETİM EĞİTİMİ — TPRM

İhlallerin yarısından fazlası tedarikçinizin kapısından geçer; denetim disiplini bu kapıyı kapatır.

Tedarikçi Denetim Eğitimi; üçüncü taraf risk yönetimi (TPRM) çerçevesinde tedarikçi seçimi, soru listesi tasarımı, yerinde denetim yöntemi, bulgu sınıflandırma ve sürekli izleme süreçlerini ele alır. ISO 27001 Annex A 5.19-5.23, KVKK veri işleyen, BDDK ve EBA dış kaynak yönetimi gereklilikleri bütünleşik olarak işlenir. Eğitim, klasik soru listesi yaklaşımının ötesine geçerek modern bir denetim metodolojisi sunar.

Eğitim Akışını İncele Eğitim Planı Talep Et
Üçüncü Taraf Risk Yönetimi ISO 27001 Annex A 5.19-5.23 KVKK Veri İşleyen BDDK Dış Kaynak Sürekli İzleme
Tedarikçi Risk Olgunluk Panosu
DENETİM + İZLEME
Envanter
tam
Sınıflandırma
kritiklik
Sürekli izleme
otomatik
%62ihlalde tedarikçi izi var
4. Taraftedarikçinin tedarikçisi de risk
SBOMyazılım bileşen şeffaflığı
TPRMÜçüncü taraf risk yönetimi; tedarikçi seçiminden sözleşme bitişine kadar tüm yaşam döngüsü.
Annex AISO 27001:2022 Annex A 5.19-5.23 maddeleri tedarikçi ilişkilerini düzenler.
SIG / CAIQSektör standardı tedarikçi değerlendirme soru listeleri.
4. TarafTedarikçinizin tedarikçisi; modern TPRM’in göz ardı edilemez katmanı.
EĞİTİMİN AMACI

Tedarikçi denetimi, soru listesi göndermek değildir; bir kontrol ekosistemi kurmaktır.

Pek çok kurumda tedarikçi denetimi, yıllık olarak gönderilen ve ortalama 200 maddelik bir Excel soru listesinin tedarikçi tarafından doldurulup geri gönderilmesi şeklinde yürütülür. Bu yaklaşım, dokümantasyon yükümlülüğünü karşılayabilir; ancak gerçek riski ölçemez. Cevapların doğru olup olmadığı, tedarikçinin kapısından içeri girilmediği sürece bilinemez.

Modern tedarikçi denetimi; risk bazlı yaklaşımla başlar, soru listesini kuruma özel uyarlar, kritik tedarikçilerde yerinde denetim yapar, kanıt toplar, bulguyu sınıflandırır, kapanış izlemesi yürütür ve tedarikçinin durumunu yıl boyu sürekli izler. Bu eğitim; ISO 27001 Annex A 5.19-5.23, KVKK veri işleyen yükümlülükleri, BDDK ve EBA dış kaynak yönetimi düzenlemeleri ile sahada gerçekten işleyen denetim metodolojisini bir araya getirir.

Amaç: Katılımcıların tedarikçi envanterini doğru şekilde sınıflandırması, denetim soru listelerini risk bazlı tasarlaması, yerinde denetim yapabilmesi, kanıt toplama disiplinini öğrenmesi, bulgu raporlaması ve sürekli izleme yöntemleri kurmasıdır.
İhlallerin önemli bir kısmı tedarikçi üzerinden gelir.Solar Winds, Kaseya, Okta, MOVEit gibi tedarikçi merkezli saldırılar gösterdi ki en güçlü güvenlik kontrolü olan kurumlar bile zayıf bir tedarikçi üzerinden ihlal edilebilir. Tedarikçi denetimi artık opsiyonel bir süreç değildir.
Soru listesi göndermek tek başına denetim değildir.Tedarikçi tarafından doldurulan Excel formu, dokümantasyon yükümlülüğünü karşılar ama gerçek bir kontrolün varlığını ispatlamaz. Bu eğitim, soru listesi ile gerçek denetim arasındaki farkı gösterir.
Mevzuat denetimi tek seferlik değil, sürekli bir süreç olarak görür.ISO 27001:2022 Annex A 5.22, KVKK veri işleyen yükümlülükleri, BDDK Bilgi Sistemleri Yönetmeliği ve EBA dış kaynak rehberi; tedarikçi izlemesinin yaşam döngüsü boyunca yapılmasını şart koşar. Yıllık tek soru listesi bu yükümlülüğü karşılamaz.
Tedarikçinizin tedarikçisi de sizin riskinizdir.Modern tedarik zincirinde 4. taraf riski (tedarikçinizin tedarikçisi) gerçek bir tehdit halindedir. Yazılım bileşen listesi (SBOM), bulut zincir görünürlüğü ve alt yüklenici envanteri gibi konuları öğrenmek artık zorunlu.
KLASİK YAKLAŞIM VE MODERN YAKLAŞIM

Bu eğitim, klasik soru listesi denetiminin üzerine modern bir TPRM metodolojisi ekler.

Pek çok tedarikçi denetim eğitimi 2010’ların yaklaşımı üzerine kuruludur: bir tedarikçi soru listesi gönderilir, geri dönen formlar arşivlenir. Bu yaklaşım dokümante eder ama korumaz. Modern TPRM ise bütüncül bir kontrol ekosistemi kurar.

Klasik Tedarikçi Denetim Yaklaşımı Soru listesi odaklı, dokümantasyon merkezli

  • 200 maddelik aynı Excel formu her tedarikçiye
  • Tek seferlik yıllık değerlendirme
  • Tedarikçi cevabı kabul edilir, kanıt istenmez
  • Kritik ve düşük riskli tedarikçi aynı muameleye tabi
  • Yerinde denetim yapılmaz veya seyrek yapılır
  • Bulgu izlemesi takip edilmez
  • 4. taraf riski göz ardı edilir
  • Sonuç: dokümante edilmiş risk, korunmamış kurum

Modern TPRM Metodolojisi Risk bazlı, kanıt odaklı, sürekli izleme

  • Tedarikçi sınıflandırmasına göre farklı soru setleri
  • Yaşam döngüsü boyunca sürekli izleme
  • Kritik tedarikçide yerinde denetim ve kanıt toplama
  • SIG, CAIQ, ISO 27001, SOC 2 gibi standart referanslar
  • Sözleşmeye bağlı denetim hakkı ve süre yükümlülükleri
  • Bulgu kapanış takibi ve eskalasyon
  • 4. taraf görünürlüğü ve SBOM disiplini
  • Sonuç: ölçülebilir kontrol, denetlenebilir süreç
EĞİTİM KAZANIMLARI

Katılımcılar tedarikçi denetimini risk yönetimi, mevzuat ve kanıt disiplini ekseninde birlikte değerlendirmeyi öğrenir.

Eğitim, tek bir denetim aracını veya platformunu öğretmez. Risk bazlı denetim metodolojisini ve hangi kurumda hangi yaklaşımın doğru olacağını gerçek vakalarla aktarır.

RİSK BAZLI YAKLAŞIM

Tedarikçileri kritikliğe göre sınıflandırır.

Veri hassasiyeti, sistem erişimi, finansal bağımlılık ve operasyonel kritiklik faktörlerine göre tedarikçileri sınıflandırma; her sınıfa farklı denetim derinliği uygulama.

  • Kritiklik kriterleri matrisi
  • Veri sınıflandırma ile bağ
  • Sınıf bazında denetim derinliği
SORU LİSTESİ TASARIMI

Tedarikçiye göre uyarlanmış soru listesi kurar.

SIG, CAIQ, ISO 27001 Annex A, KVKK ve sektörel referansları kullanarak tedarikçiye özel, gerçek bilgi alan, atlanamayan sorulardan oluşan denetim formu tasarımı.

  • SIG ve CAIQ kullanımı
  • Standart referans haritalama
  • Sektörel uyarlama
YERİNDE DENETİM

Sahada nasıl denetim yapılır, ne aranır.

Yerinde denetim hazırlığı, açılış toplantısı, kanıt toplama, mülakat tekniği, sistem incelemesi, kapanış toplantısı ve denetim raporu yazımı disipliniyle çalışılır.

  • Açılış ve kapanış disiplini
  • Kanıt toplama protokolü
  • Mülakat ve gözlem teknikleri
SÖZLEŞME VE HUKUK

Denetim hakkını sözleşmeyle güvence altına alır.

Sözleşmeye eklenmesi gereken bilgi güvenliği maddeleri, denetim hakkı, KVKK veri işleyen sözleşmesi, ihlal bildirim süreleri ve sözleşme bitiş yükümlülükleri detaylı ele alınır.

  • Bilgi güvenliği şart maddeleri
  • KVKK veri işleyen sözleşmesi
  • İhlal bildirim hükümleri
SÜREKLİ İZLEME

Yıllık denetimi sürekli izlemeye dönüştürür.

Otomatik tehdit istihbaratı, dış güvenlik puanlama servisleri, ihlal haberleri takibi, finansal sağlık izleme ve sözleşme döngüsü gibi sürekli izleme bileşenleri kurulur.

  • Dış puanlama servisleri
  • İhlal istihbarat takibi
  • Otomatik tetikleme kuralları
BULGU YÖNETİMİ

Bulguyu rapora değil aksiyona dönüştürür.

Bulgu sınıflandırma kriterleri, kapanış planı talebi, sürelere bağlı eskalasyon, sözleşme yenileme kararına etkisi ve yönetim raporlamasında nasıl kullanılacağı işlenir.

  • Bulgu önceliklendirme ölçütleri
  • Kapanış izleme döngüsü
  • Yönetim raporlama formatı
EĞİTİM AKIŞI

İki günlük yoğun program; envanterden sürekli izlemeye kadar tüm TPRM yaşam döngüsünü kapsar.

Program; kurumun tedarikçi olgunluğuna ve katılımcı profiline göre 1 gün özet, 2 gün uygulayıcı veya 5 gün denetçi yetkinliği biçiminde uyarlanabilir. Tüm akış pratik atölyelerle desteklenir.

01Tedarikçi envanteri ve sınıflandırmaKurumun tedarikçi listesi çıkarılır; veri hassasiyeti, sistem erişimi, kritiklik ve finansal bağımlılığa göre sınıflandırma yapılır.
02Mevzuat ve standart haritasıISO 27001 Annex A 5.19-5.23, KVKK veri işleyen, BDDK Bilgi Sistemleri ve EBA dış kaynak yönetimi gerekliliklerinin haritalaması yapılır.
03Sözleşme ve giriş aşamasıYeni tedarikçi girişinde önceden değerlendirme, sözleşmeye eklenmesi gereken maddeler ve KVKK veri işleyen sözleşmesi tasarımı çalışılır.
04Soru listesi tasarımıSIG, CAIQ ve özel soru listesi kullanımı; tedarikçi sınıfına göre uyarlama; cevapların kanıtla desteklenmesi disiplini.
05Yerinde denetim yöntemiAçılış toplantısı, kanıt toplama, mülakat tekniği, sistem ve fiziksel kontrol incelemesi, kapanış toplantısı ve raporlama.
06Bulgu sınıflandırma ve kapanışBulguların kritiklik düzeyine göre sınıflandırılması, kapanış planı talebi, eskalasyon yolları ve sözleşme döngüsüne etkisi.
07Sürekli izleme ve dış puanlamaTehdit istihbaratı, dış güvenlik puanlama servisleri, ihlal haberleri ve finansal sağlık izlemesinin kurum içine entegrasyonu.
08Yönetim raporlama ve yol haritasıÜst yönetim TPRM panosu, ana risk göstergeleri, yıllık tedarikçi raporu ve katılımcı kuruma özel 90 günlük TPRM yol haritası.
EĞİTİM MODÜLLERİ

Mevzuat, metodoloji ve sürekli izleme tek programda buluşur.

M1
TPRM temelleri ve mevzuat haritasıÜçüncü taraf risk yönetimi kavramı, ISO 27001 Annex A 5.19-5.23, KVKK veri işleyen, BDDK ve EBA dış kaynak yönetimi gerekliliklerinin bütünleşik haritalaması.
M2
Tedarikçi envanteri ve sınıflandırmaTedarikçi yaşam döngüsü, kritiklik kriterleri matrisi, veri hassasiyeti ile bağ, sınıflandırma matrisinin uygulamalı kurulumu.
M3
Soru listesi ve standart referanslarSIG, CAIQ, ISO 27001, SOC 2 referansları; soru listesinin sınıfa göre uyarlanması; cevapların kanıtla desteklenmesi disiplini.
M4
Yerinde denetim metodolojisiHazırlık, açılış, kanıt toplama, mülakat tekniği, sistem ve fiziksel kontrol incelemesi, kapanış ve denetim raporu yazımı.
M5
Sözleşme, hukuk ve KVKKBilgi güvenliği şartları, denetim hakkı, KVKK veri işleyen sözleşmesi, ihlal bildirim süreleri, sözleşme bitiş yükümlülükleri ve veri imha disiplini.
M6
Sürekli izleme, bulgu ve raporlamaDış puanlama servisleri, tehdit istihbaratı, bulgu sınıflandırma, kapanış izleme, üst yönetim panosu ve KPI tasarımı.
UYGULAMALI ATÖLYELER

Eğitim, gerçek tedarikçi vakaları ve denetim raporları üzerinden öğrenmeyi kalıcı hale getirir.

Katılımcılar yalnızca dinlemez; tedarikçi sınıflandırması yapar, soru listesi uyarlar, mülakat oynar, kanıt toplar, bulgu raporu yazar ve kendi kurumları için yol haritası çıkarır.

SINIFLANDIRMA ATÖLYESİTedarikçi kritiklik haritasıÖrnek bir kurumun 50 tedarikçisi sınıflandırılır; veri hassasiyeti, sistem erişimi ve operasyonel kritiklik faktörleri uygulanır.
SORU LİSTESİSınıfa özel form tasarımıYüksek, orta ve düşük kritiklik tedarikçileri için ayrı soru setleri tasarlanır; SIG ve CAIQ ile haritalanır.
MÜLAKATYerinde denetim mülakatıBir bulut sağlayıcısı temsilcisiyle mülakat canlandırılır; doğru sorular, kanıt talebi ve takip soruları pratiği yapılır.
KANIT TOPLAMADoküman ve sistem incelemesiPolitika dokümanları, sistem ekran görüntüleri, kayıt örnekleri ve sertifikalar üzerinden geçerlilik değerlendirmesi yapılır.
BULGU RAPORUSınıflandırma ve eskalasyonTespit edilen 10 örnek bulgu kritiklik düzeyine göre sınıflandırılır; kapanış planı ve eskalasyon yolu belirlenir.
YOL HARİTASI90 günlük TPRM planıKatılımcı kurumlar için olgunluk tespiti, hızlı kazanımlar ve sürekli izleme adımlarından oluşan yol haritası çıkarılır.
KİMLER KATILMALI

Tedarikçi yaşam döngüsünün herhangi bir aşamasında karar veren tüm kritik roller için uyarlanabilir eğitim.

Bilgi Güvenliği ve TPRM Sorumluları
İç Denetim Uzmanları
Risk Yöneticileri
Satınalma ve Sözleşme Yönetimi
Hukuk ve KVKK Sorumluları
Uyum (Compliance) Birimi
BT ve Sistem Yöneticileri
Kalite ve Süreç Yönetimi
ÇIKTILAR

Eğitim sonunda kurumun tedarikçi denetim olgunluğu ölçülebilir ve sürdürülebilir hale gelir.

Katılımcı kazanımları

  • Tedarikçi envanterini doğru kriterlerle sınıflandırabilme
  • SIG, CAIQ ve özel soru listelerini etkin kullanabilme
  • Yerinde denetim yapabilme ve kanıt toplayabilme
  • Mülakat tekniği ile gerçek bilgi alabilme
  • Bulgu sınıflandırma ve raporlama yapabilme
  • Sözleşmelere bilgi güvenliği maddesi ekleyebilme
  • Sürekli izleme süreci kurabilme

Kurum çıktıları

  • Tedarikçi sınıflandırma matrisi şablonu
  • Sınıfa özel soru listesi setleri
  • Yerinde denetim kontrol listesi
  • Sözleşme bilgi güvenliği maddeleri kütüphanesi
  • KVKK veri işleyen sözleşmesi şablonu
  • Bulgu sınıflandırma ve raporlama formatı
  • Üst yönetim TPRM panosu KPI listesi
  • Kuruma özel 90 günlük TPRM yol haritası
EĞİTİM KÜNYESİ

Eğitim hakkında bilmek istediğiniz her şey tek bakışta.

Süre, format, katılımcı sayısı, sertifika, içerik kapsamı ve teslim edilen materyaller netleştirilmiştir. Kuruma özel programlarda parametreler ihtiyaca göre uyarlanır.

2 GÜN
Eğitim Süresi 14 Saat / 2 Tam Gün Kurumun olgunluğuna göre 1 gün özet veya 5 gün denetçi yetkinliği seçeneği.
FORMAT
Eğitim Formatı Yüz Yüze veya Online Kurum lokasyonunda sınıf eğitimi, online canlı oturum veya hibrit yapı.
SERTİFİKA
Belgelendirme Katılım Sertifikası Tamamlayan tüm katılımcılara Secure Fors imzalı dijital sertifika.
DİL
Eğitim Dili Türkçe Talep durumunda İngilizce eğitim ve materyal sunumu.
Eğitim AdıTedarikçi Denetim Eğitimi (TPRM — Üçüncü Taraf Risk Yönetimi)
Süre2 gün (14 saat). Kurumun olgunluğuna göre 1 gün özet veya 5 gün denetçi yetkinliği programı olarak uyarlanabilir.
Eğitim Formatı Yüz Yüze (Kurum Lokasyonu) Online Canlı (Zoom / Teams) Hibrit
Eğitim BaşlıklarıTPRM temelleri · Tedarikçi yaşam döngüsü · ISO 27001 Annex A 5.19-5.23 · KVKK veri işleyen yükümlülükleri · BDDK ve EBA dış kaynak yönetimi · Tedarikçi sınıflandırma matrisi · SIG ve CAIQ kullanımı · Yerinde denetim metodolojisi · Mülakat tekniği ve kanıt toplama · Sözleşme bilgi güvenliği maddeleri · Bulgu sınıflandırma · Sürekli izleme · Üst yönetim raporlama.
Hedef KitleBilgi güvenliği ve TPRM sorumluları, iç denetim uzmanları, risk yöneticileri, satınalma ve sözleşme yönetimi, hukuk ve KVKK sorumluları, uyum birimi, BT ve sistem yöneticileri, kalite ve süreç yönetimi.
Ön KoşulISO 27001 ve KVKK hakkında temel düzeyde bilgi tavsiye edilir; ancak zorunlu değildir. İç denetim deneyimi olan katılımcılar için içerik ileri seviyede uyarlanabilir.
Katılımcı SayısıOptimum verim için 8 – 20 kişi. Kuruma özel programlarda en fazla 25 kişiye kadar grup açılabilir.
Sertifika Katılım Sertifikası Eğitim tamamlandığında Secure Fors tarafından imzalı dijital katılım sertifikası verilir. Doğrulanabilir QR kod içerir.
Eğitim MateryaliSunum dosyası (PDF) · Atölye çalışma defteri · Tedarikçi sınıflandırma matrisi şablonu · Sınıfa özel soru listesi setleri · Yerinde denetim kontrol listesi · Sözleşme bilgi güvenliği maddeleri kütüphanesi · KVKK veri işleyen sözleşmesi şablonu · Bulgu sınıflandırma ve raporlama formatı · Üst yönetim TPRM panosu KPI listesi · 90 günlük TPRM yol haritası şablonu.
UygulamaTedarikçi sınıflandırma atölyesi, sınıfa özel soru listesi tasarımı, yerinde denetim mülakatı canlandırması, doküman ve sistem kanıt incelemesi, bulgu sınıflandırma ve eskalasyon tartışması, 90 günlük yol haritası tasarımı atölyeleri içerir.
EğitmenISO 27001 Lead Auditor, CEH ve TPRM alanında deneyimli kıdemli danışman. Türkiye’nin önde gelen havayolu, banka ve teknoloji şirketlerinde tedarikçi denetimleri yürütmüş; sahada uygulanabilir metodoloji odaklı.
FiyatlandırmaKuruma özel teklif. Katılımcı sayısı, format (yüz yüze / online), program süresi ve özelleştirme ihtiyacına göre fiyat oluşturulur.
SIKÇA SORULAN SORULAR

Eğitim öncesinde aklınıza takılabilecek soruların yanıtları.

İç denetim deneyimimiz yok, eğitim bizim için uygun mu?

Evet. Eğitim, iç denetim deneyimi olmayan katılımcılar için temel denetim tekniklerini sade bir dille aktarır. Soru listesi tasarımı, mülakat tekniği ve kanıt toplama gibi yetkinlikler sıfırdan öğretilir. Deneyimli katılımcılar varsa içerik ileri seviyede uyarlanır.

Kurumumuzun ISO 27001 sertifikası yok, yine de TPRM yapmamız gerekir mi?

Evet. KVKK veri işleyen yükümlülükleri, BDDK ve EBA düzenlemeleri, sektörel uyum şartları ve müşteri sözleşmelerindeki yükümlülükler ISO 27001’den bağımsız olarak tedarikçi denetimini gerektirir. Eğitim, ISO 27001 olmadan da TPRM kurmayı öğretir.

SIG, CAIQ gibi soru listelerini doğrudan kullanabilir miyiz?

Bu standart soru listeleri başlangıç için faydalıdır ancak kurumun sektörüne, tedarikçi profiline ve risk iştahına göre uyarlanması gerekir. Eğitim, bu uyarlama metodolojisini öğretir; kuruma özel uyarlanmış örnek setler ile birlikte verilir.

Yerinde denetim her tedarikçi için zorunlu mu?

Hayır. Risk bazlı yaklaşımda yalnızca yüksek kritiklik sınıfındaki tedarikçilerde yerinde denetim yapılır. Orta sınıf için video konferanslı denetim, düşük sınıf için soru listesi yeterli olabilir. Eğitim, hangi sınıfta hangi yöntemin uygun olduğunu somut kriterlerle gösterir.

Tedarikçinin SOC 2 raporu varsa denetim yapmamıza gerek yok mu?

SOC 2 raporu güçlü bir referanstır ancak tek başına yeterli değildir. Raporun kapsamı, geçerlilik tarihi, denetim tipi (Type 1 / Type 2) ve sizinle ilgili kontrolleri kapsayıp kapsamadığı ayrı ayrı değerlendirilmelidir. Eğitim, üçüncü taraf raporlarını nasıl okuyacağınızı öğretir.

Sürekli izleme servisleri (BitSight, SecurityScorecard vb.) tek başına yeterli mi?

Hayır, bunlar dış görünür güvenlik durumunu ölçer; iç kontrol kalitesini ölçmez. Sürekli izleme servisleri yıllık denetim yerine değil, yıllık denetimi tamamlayıcı bir araç olarak kullanılır. Eğitim, bu servislerin doğru entegrasyonunu öğretir.

Tedarikçi denetimini soru listesi göndermekten çıkarıp ölçülebilir bir kontrol disiplinine dönüştürün.

Kurumunuzun sektörüne, tedarikçi profiline ve risk iştahına özel hazırlanan TPRM eğitimi ile denetim olgunluğunuzu sürdürülebilir hale getirin.

Eğitim Planı Talep Et

Referans çerçeveler: ISO/IEC 27001:2022 Annex A 5.19-5.23 Tedarikçi İlişkileri Kontrolleri · ISO/IEC 27036 Tedarikçi İlişkileri için Bilgi Güvenliği · NIST SP 800-161 Tedarik Zinciri Risk Yönetimi · 6698 Sayılı KVKK ve Veri İşleyen Yükümlülükleri · BDDK Bilgi Sistemleri ve Elektronik Bankacılık Yönetmeliği · EBA Outsourcing Arrangements Rehberi · Shared Assessments SIG · Cloud Security Alliance CAIQ.