Supplier Audit Training

TEDARİKÇİ DENETİM EĞİTİMİ — TPRM

İhlallerin yarısından fazlası tedarikçinizin kapısından geçer; denetim disiplini bu kapıyı kapatır.

Supplier Audit Training; üçüncü taraf risk ynetimi (TPRM) çerçevesinde tedarikçi seçimi, soru listesi tasarımı, yerinde denetim yntemi, bulgu sınıflandırma ve sürekli izleme süreçlerini ele alır. ISO 27001 Annex A 5.19-5.23, KVKK veri işleyen, BDDK ve EBA dış kaynak ynetimi gereklilikleri bütünleşik olarak işlenir. Eğitim, klasik soru listesi yaklaşımının tesine geçerek modern bir denetim metodolojisi sunar.

Eğitim Akışını Review Eğitim Planı Talep Et
Üçüncü Taraf Risk Ynetimi ISO 27001 Annex A 5.19-5.23 KVKK Veri İşleyen BDDK Dış Kaynak Sürekli İzleme
Tedarikçi Risk Olgunluk Panosu
DENETİM + İZLEME
Envanter
tam
Sınıflandırma
kritiklik
Sürekli izleme
otomatik
%62ihlalde tedarikçi izi var
4. Taraftedarikçinin tedarikçisi de risk
SBOMyazılım bileşen şeffaflığı
TPRMÜçüncü taraf risk ynetimi; tedarikçi seçiminden szleşme bitişine kadar tüm yaşam dngüsü.
Annex AISO 27001:2022 Annex A 5.19-5.23 maddeleri tedarikçi ilişkilerini düzenler.
SIG / CAIQSektr standardı tedarikçi değerlendirme soru listeleri.
4. TarafTedarikçinizin tedarikçisi; modern TPRM’in gz ardı edilemez katmanı.
EĞİTİMİN AMACI

Tedarikçi denetimi, soru listesi gndermek değildir; bir kontrol ekosistemi kurmaktır.

Pek çok kurumda tedarikçi denetimi, yıllık olarak gnderilen ve ortalama 200 maddelik bir Excel soru listesinin tedarikçi tarafından doldurulup geri gnderilmesi şeklinde yürütülür. Bu yaklaşım, dokümantasyon yükümlülüğünü karşılayabilir; ancak gerçek riski lçemez. Cevapların doğru olup olmadığı, tedarikçinin kapısından içeri girilmediği sürece bilinemez.

Modern tedarikçi denetimi; risk bazlı yaklaşımla başlar, soru listesini kuruma zel uyarlar, critical supplierlerde yerinde denetim yapar, kanıt toplar, bulguyu sınıflandırır, kapanış izlemesi yürütür ve tedarikçinin durumunu yıl boyu sürekli izler. Bu eğitim; ISO 27001 Annex A 5.19-5.23, KVKK veri işleyen yükümlülükleri, BDDK ve EBA dış kaynak ynetimi düzenlemeleri ile sahada gerçekten işleyen denetim metodolojisini bir araya getirir.

Amaç: Katılımcıların tedarikçi inventoryni doğru şekilde sınıflandırması, denetim soru listelerini risk bazlı tasarlaması, yerinde denetim yapabilmesi, kanıt toplama disiplinini ğrenmesi, bulgu raporlaması ve sürekli izleme yntemleri kurmasıdır.
İhlallerin nemli bir kısmı tedarikçi üzerinden gelir.Solar Winds, Kaseya, Okta, MOVEit gibi tedarikçi merkezli saldırılar gsterdi ki en güçlü security kontrolü olan kurumlar bile zayıf bir tedarikçi üzerinden ihlal edilebilir. Tedarikçi denetimi artık opsiyonel bir süreç değildir.
Soru listesi gndermek tek başına denetim değildir.Tedarikçi tarafından doldurulan Excel formu, dokümantasyon yükümlülüğünü karşılar ama gerçek bir kontrolün varlığını ispatlamaz. Bu eğitim, soru listesi ile gerçek denetim arasındaki farkı gsterir.
Mevzuat denetimi tek seferlik değil, sürekli bir süreç olarak grür.ISO 27001:2022 Annex A 5.22, KVKK veri işleyen yükümlülükleri, BDDK Bilgi Sistemleri Ynetmeliği ve EBA dış kaynak rehberi; tedarikçi izlemesinin yaşam dngüsü boyunca yapılmasını şart koşar. Yıllık tek soru listesi bu yükümlülüğü karşılamaz.
Tedarikçinizin tedarikçisi de sizin riskinizdir.Modern tedarik zincirinde 4. taraf riski (tedarikçinizin tedarikçisi) gerçek bir tehdit halindedir. Yazılım bileşen listesi (SBOM), bulut zincir grünürlüğü ve alt yüklenici inventory gibi konuları ğrenmek artık zorunlu.
KLASİK YAKLAŞIM VE MODERN YAKLAŞIM

Bu eğitim, klasik soru listesi denetiminin üzerine modern bir TPRM metodolojisi ekler.

Pek çok tedarikçi denetim eğitimi 2010’ların yaklaşımı üzerine kuruludur: bir tedarikçi soru listesi gnderilir, geri dnen formlar arşivlenir. Bu yaklaşım dokümante eder ama korumaz. Modern TPRM ise bütüncül bir kontrol ekosistemi kurar.

Klasik Supplier Denetim Yaklaşımı Soru listesi odaklı, dokümantasyon merkezli

  • 200 maddelik aynı Excel formu her tedarikçiye
  • Tek seferlik yıllık değerlendirme
  • Tedarikçi cevabı kabul edilir, kanıt istenmez
  • Kritik ve düşük riskli tedarikçi aynı muameleye tabi
  • Yerinde denetim yapılmaz veya seyrek yapılır
  • Bulgu izlemesi takip edilmez
  • 4. taraf riski gz ardı edilir
  • Sonuç: dokümante edilmiş risk, korunmamış kurum

Modern TPRM Metodolojisi Risk bazlı, kanıt odaklı, sürekli izleme

  • Tedarikçi sınıflandırmasına gre farklı soru setleri
  • Yaşam dngüsü boyunca sürekli izleme
  • Kritik tedarikçide yerinde denetim ve kanıt toplama
  • SIG, CAIQ, ISO 27001, SOC 2 gibi standart referanslar
  • Szleşmeye bağlı denetim hakkı ve süre yükümlülükleri
  • Bulgu kapanış takibi ve eskalasyon
  • 4. taraf grünürlüğü ve SBOM disiplini
  • Sonuç: lçülebilir kontrol, denetlenebilir süreç
EĞİTİM KAZANIMLARI

Katılımcılar tedarikçi denetimini risk ynetimi, mevzuat ve kanıt disiplini ekseninde birlikte değerlendirmeyi ğrenir.

Eğitim, tek bir denetim aracını veya platformunu ğretmez. Risk bazlı denetim metodolojisini ve hangi kurumda hangi yaklaşımın doğru olacağını gerçek vakalarla aktarır.

RİSK BAZLI YAKLAŞIM

Tedarikçileri kritikliğe gre sınıflandırır.

Veri hassasiyeti, sistem erişimi, finansal bağımlılık ve operasyonel kritiklik faktrlerine gre tedarikçileri sınıflandırma; her sınıfa farklı denetim derinliği uygulama.

  • Kritiklik kriterleri matrisi
  • Veri sınıflandırma ile bağ
  • Sınıf bazında denetim derinliği
SORU LİSTESİ TASARIMI

Tedarikçiye gre uyarlanmış soru listesi kurar.

SIG, CAIQ, ISO 27001 Annex A, KVKK ve sektrel referansları kullanarak tedarikçiye zel, gerçek bilgi alan, atlanamayan sorulardan oluşan denetim formu tasarımı.

  • SIG ve CAIQ kullanımı
  • Standart referans haritalama
  • Sektrel uyarlama
YERİNDE DENETİM

Sahada nasıl denetim yapılır, ne aranır.

Yerinde denetim hazırlığı, açılış toplantısı, kanıt toplama, mülakat tekniği, sistem incelemesi, kapanış toplantısı ve denetim raporu yazımı disipliniyle çalışılır.

  • Açılış ve kapanış disiplini
  • Kanıt toplama protokolü
  • Mülakat ve gzlem teknikleri
SÖZLEŞME VE HUKUK

Denetim hakkını szleşmeyle güvence altına alır.

Szleşmeye eklenmesi gereken bilgi güvenliği maddeleri, denetim hakkı, KVKK veri işleyen szleşmesi, ihlal bildirim süreleri ve szleşme bitiş yükümlülükleri detaylı ele alınır.

  • Bilgi güvenliği şart maddeleri
  • KVKK veri işleyen szleşmesi
  • İhlal bildirim hükümleri
CONTINUOUS İZLEME

Yıllık denetimi sürekli izlemeye d.

Otomatik tehdit istihbaratı, dış security puanlama servisleri, ihlal haberleri takibi, finansal sağlık izleme ve szleşme dngüsü gibi sürekli izleme bileşenleri kurulur.

  • Dış puanlama servisleri
  • İhlal istihbarat takibi
  • Otomatik tetikleme kuralları
BULGU YÖNETİMİ

Bulguyu rapora değil aksiyona d.

Bulgu sınıflandırma kriterleri, remediation plan talebi, sürelere bağlı eskalasyon, szleşme yenileme kararına etkisi ve ynetim raporlamasında nasıl kullanılacağı işlenir.

  • Bulgu nceliklendirme lçütleri
  • Kapanış izleme dngüsü
  • Ynetim raporlama formatı
EĞİTİM AKIŞI

İki günlük yoğun program; inventoryden sürekli izlemeye kadar tüm TPRM yaşam dngüsünü kapsar.

Program; kurumun tedarikçi olgunluğuna ve katılımcı profiline gre 1 gün zet, 2 gün uygulayıcı veya 5 gün denetçi yetkinliği biçiminde uyarlanabilir. Tüm akış pratik atlyelerle desteklenir.

01Tedarikçi inventory ve sınıflandırmaKurumun tedarikçi listesi çıkarılır; veri hassasiyeti, sistem erişimi, kritiklik ve finansal bağımlılığa gre sınıflandırma yapılır.
02Mevzuat ve standart haritasıISO 27001 Annex A 5.19-5.23, KVKK veri işleyen, BDDK Bilgi Sistemleri ve EBA dış kaynak ynetimi gerekliliklerinin haritalaması yapılır.
03Szleşme ve giriş aşamasıYeni tedarikçi girişinde nceden değerlendirme, szleşmeye eklenmesi gereken maddeler ve KVKK veri işleyen szleşmesi tasarımı çalışılır.
04Soru listesi tasarımıSIG, CAIQ ve zel soru listesi kullanımı; tedarikçi sınıfına gre uyarlama; cevapların kanıtla desteklenmesi disiplini.
05Yerinde denetim yntemiAçılış toplantısı, kanıt toplama, mülakat tekniği, sistem ve fiziksel kontrol incelemesi, kapanış toplantısı ve raporlama.
06Bulgu sınıflandırma ve kapanışBulguların kritiklik düzeyine gre sınıflandırılması, remediation plan talebi, eskalasyon yolları ve szleşme dngüsüne etkisi.
07Sürekli izleme ve dış puanlamaTehdit istihbaratı, dış security puanlama servisleri, ihlal haberleri ve finansal sağlık izlemesinin kurum içine entegrasyonu.
08Ynetim raporlama ve yol haritasıÜst ynetim TPRM panosu, ana risk gstergeleri, yıllık tedarikçi raporu ve katılımcı kuruma zel 90 günlük TPRM yol haritası.
EĞİTİM MODÜLLERİ

Mevzuat, metodoloji ve sürekli izleme tek programda buluşur.

M1
TPRM temelleri ve mevzuat haritasıÜçüncü taraf risk ynetimi kavramı, ISO 27001 Annex A 5.19-5.23, KVKK veri işleyen, BDDK ve EBA dış kaynak ynetimi gerekliliklerinin bütünleşik haritalaması.
M2
Tedarikçi inventory ve sınıflandırmaTedarikçi yaşam dngüsü, kritiklik kriterleri matrisi, veri hassasiyeti ile bağ, sınıflandırma matrisinin uygulamalı kurulumu.
M3
Soru listesi ve standart referanslarSIG, CAIQ, ISO 27001, SOC 2 referansları; soru listesinin sınıfa gre uyarlanması; cevapların kanıtla desteklenmesi disiplini.
M4
Yerinde denetim metodolojisiHazırlık, açılış, kanıt toplama, mülakat tekniği, sistem ve fiziksel kontrol incelemesi, kapanış ve denetim raporu yazımı.
M5
Szleşme, hukuk ve KVKKBilgi güvenliği şartları, denetim hakkı, KVKK veri işleyen szleşmesi, ihlal bildirim süreleri, szleşme bitiş yükümlülükleri ve veri imha disiplini.
M6
Sürekli izleme, bulgu ve raporlamaDış puanlama servisleri, tehdit istihbaratı, bulgu sınıflandırma, kapanış izleme, üst ynetim panosu ve KPI tasarımı.
DOMALI ATÖLYELER

Eğitim, gerçek tedarikçi vakaları ve denetim raporları üzerinden ğrenmeyi kalıcı hale getirir.

Katılımcılar yalnızca dinlemez; tedarikçi sınıflandırması yapar, soru listesi uyarlar, mülakat oynar, kanıt toplar, bulgu raporu yazar ve kendi kurumları için yol haritası çıkarır.

SINIFLANDIRMA ATÖLYESİTedarikçi kritiklik haritasıÖrnek bir kurumun 50 tedarikçisi sınıflandırılır; veri hassasiyeti, sistem erişimi ve operasyonel kritiklik faktrleri uygulanır.
SORU LİSTESİSınıfa zel form tasarımıYüksek, orta ve düşük kritiklik tedarikçileri için ayrı soru setleri tasarlanır; SIG ve CAIQ ile haritalanır.
MÜLAKATYerinde denetim mülakatıBir bulut sağlayıcısı temsilcisiyle mülakat canlandırılır; doğru sorular, kanıt talebi ve takip soruları pratiği yapılır.
EVIDENCE TOPLAMADoküman ve sistem incelemesiPolitika dokümanları, sistem ekran grüntüleri, kayıt rnekleri ve sertifikalar üzerinden geçerlilik değerlendirmesi yapılır.
BULGU RAPORUSınıflandırma ve eskalasyonTespit edilen 10 rnek bulgu kritiklik düzeyine gre sınıflandırılır; remediation plan ve eskalasyon yolu belirlenir.
ROADMAP90 günlük TPRM planıKatılımcı kurumlar için olgunluk tespiti, hızlı kazanımlar ve sürekli izleme adımlarından oluşan yol haritası çıkarılır.
KİMLER KATILMALI

Tedarikçi yaşam dngüsünün herhangi bir aşamasında karar veren tüm kritik roller için uyarlanabilir eğitim.

Bilgi Güvenliği ve TPRM Sorumluları
İç Denetim Uzmanları
Risk Yneticileri
Satınalma ve Szleşme Ynetimi
Hukuk ve KVKK Sorumluları
Uyum (Compliance) Birimi
BT ve Sistem Yneticileri
Kalite ve Süreç Ynetimi
ÇIKTILAR

Eğitim sonunda kurumun tedarikçi denetim olgunluğu lçülebilir ve sürdürülebilir hale gelir.

Katılımcı kazanımları

  • Tedarikçi inventoryni doğru kriterlerle sınıflandırabilme
  • SIG, CAIQ ve zel soru listelerini etkin kullanabilme
  • Yerinde denetim yapabilme ve kanıt toplayabilme
  • Mülakat tekniği ile gerçek bilgi alabilme
  • Bulgu sınıflandırma ve raporlama yapabilme
  • Szleşmelere bilgi güvenliği maddesi ekleyebilme
  • Sürekli izleme süreci kurabilme

Kurum çıktıları

  • Tedarikçi sınıflandırma matrisi şablonu
  • Sınıfa zel soru listesi setleri
  • Yerinde denetim kontrol listesi
  • Szleşme bilgi güvenliği maddeleri kütüphanesi
  • KVKK veri işleyen szleşmesi şablonu
  • Bulgu sınıflandırma ve raporlama formatı
  • Üst ynetim TPRM panosu KPI listesi
  • Kuruma zel 90 günlük TPRM yol haritası
EĞİTİM KÜNYESİ

Eğitim hakkında bilmek istediğiniz her şey tek bakışta.

Süre, format, katılımcı sayısı, sertifika, içerik kapsamı ve teslim edilen materyaller netleştirilmiştir. Kuruma zel programlarda parametreler ihtiyaca gre uyarlanır.

2 GÜN
Eğitim Süresi 14 Saat / 2 Tam Gün Kurumun olgunluğuna gre 1 gün zet veya 5 gün denetçi yetkinliği seçeneği.
FORMAT
Eğitim Formatı Yüz Yüze veya Online Kurum lokasyonunda sınıf eğitimi, online canlı oturum veya hibrit yapı.
SERTİFİKA
Belgelendirme Katılım Sertifikası OKlayan tüm katılımcılara Secure Fors imzalı dijital sertifika.
DİL
Eğitim Dili Türkçe Talep durumunda İngilizce eğitim ve materyal sunumu.
Eğitim AdıSupplier Audit Training (TPRM — Üçüncü Taraf Risk Ynetimi)
Süre2 gün (14 saat). Kurumun olgunluğuna gre 1 gün zet veya 5 gün denetçi yetkinliği programı olarak uyarlanabilir.
Eğitim Formatı Yüz Yüze (Kurum Lokasyonu) Online Canlı (Zoom / Teams) Hibrit
Eğitim BaşlıklarıTPRM temelleri · Tedarikçi yaşam dngüsü · ISO 27001 Annex A 5.19-5.23 · KVKK veri işleyen yükümlülükleri · BDDK ve EBA dış kaynak ynetimi · Tedarikçi sınıflandırma matrisi · SIG ve CAIQ kullanımı · Yerinde denetim metodolojisi · Mülakat tekniği ve kanıt toplama · Szleşme bilgi güvenliği maddeleri · Bulgu sınıflandırma · Sürekli izleme · Üst ynetim raporlama.
Hedef KitleBilgi güvenliği ve TPRM sorumluları, iç denetim uzmanları, risk yneticileri, satınalma ve szleşme ynetimi, hukuk ve KVKK sorumluları, uyum birimi, BT ve sistem yneticileri, kalite ve süreç ynetimi.
Ön KoşulISO 27001 ve KVKK hakkında temel düzeyde bilgi tavsiye edilir; ancak zorunlu değildir. İç denetim deneyimi olan katılımcılar için içerik ileri seviyede uyarlanabilir.
Katılımcı SayısıOptimum verim için 8 – 20 kişi. Kuruma zel programlarda en fazla 25 kişiye kadar grup açılabilir.
Sertifika Katılım Sertifikası Eğitim tamamlandığında Secure Fors tarafından imzalı dijital katılım sertifikası verilir. Doğrulanabilir QR kod içerir.
Eğitim MateryaliSunum dosyası (PDF) · Atlye çalışma defteri · Tedarikçi sınıflandırma matrisi şablonu · Sınıfa zel soru listesi setleri · Yerinde denetim kontrol listesi · Szleşme bilgi güvenliği maddeleri kütüphanesi · KVKK veri işleyen szleşmesi şablonu · Bulgu sınıflandırma ve raporlama formatı · Üst ynetim TPRM panosu KPI listesi · 90 günlük TPRM yol haritası şablonu.
UygulamaTedarikçi sınıflandırma atlyesi, sınıfa zel soru listesi tasarımı, yerinde denetim mülakatı canlandırması, doküman ve sistem kanıt incelemesi, bulgu sınıflandırma ve eskalasyon tartışması, 90 günlük yol haritası tasarımı atlyeleri içerir.
EğitmenISO 27001 Lead Auditor, CEH ve TPRM alanında deneyimli kıdemli danışman. Türkiye’nin nde gelen havayolu, banka ve teknoloji şirketlerinde tedarikçi denetimleri yürütmüş; sahada uygulanabilir metodoloji odaklı.
FiyatlandırmaKuruma zel teklif. Katılımcı sayısı, format (yüz yüze / online), program süresi ve zelleştirme ihtiyacına gre fiyat oluşturulur.
SIKÇA SORULAN SORULAR

Eğitim ncesinde aklınıza takılabilecek soruların yanıtları.

İç denetim deneyimimiz yok, eğitim bizim için uygun mu?

Evet. Eğitim, iç denetim deneyimi olmayan katılımcılar için temel denetim tekniklerini sade bir dille aktarır. Soru listesi tasarımı, mülakat tekniği ve kanıt toplama gibi yetkinlikler sıfırdan ğretilir. Deneyimli katılımcılar varsa içerik ileri seviyede uyarlanır.

Kurumumuzun ISO 27001 sertifikası yok, yine de TPRM yapmamız gerekir mi?

Evet. KVKK veri işleyen yükümlülükleri, BDDK ve EBA düzenlemeleri, sektrel uyum şartları ve müşteri szleşmelerindeki yükümlülükler ISO 27001’den bağımsız olarak tedarikçi denetimini gerektirir. Eğitim, ISO 27001 olmadan da TPRM kurmayı ğretir.

SIG, CAIQ gibi soru listelerini doğrudan kullanabilir miyiz?

Bu standart soru listeleri başlangıç için faydalıdır ancak kurumun sektrüne, tedarikçi profiline ve risk iştahına gre uyarlanması gerekir. Eğitim, bu uyarlama metodolojisini ğretir; kuruma zel uyarlanmış rnek setler ile birlikte verilir.

Yerinde denetim her tedarikçi için zorunlu mu?

No. Risk bazlı yaklaşımda yalnızca yüksek kritiklik sınıfındaki tedarikçilerde yerinde denetim yapılır. Orta sınıf için video konferanslı denetim, düşük sınıf için soru listesi yeterli olabilir. Eğitim, hangi sınıfta hangi yntemin uygun olduğunu somut kriterlerle gsterir.

Tedarikçinin SOC 2 raporu varsa denetim yapmamıza gerek yok mu?

SOC 2 raporu güçlü bir referanstır ancak tek başına yeterli değildir. Raporun kapsamı, geçerlilik tarihi, denetim tipi (Type 1 / Type 2) ve sizinle ilgili kontrolleri kapsayıp kapsamadığı ayrı ayrı değerlendirilmelidir. Eğitim, üçüncü taraf raporlarını nasıl okuyacağınızı ğretir.

Sürekli izleme servisleri (BitSight, SecurityScorecard vb.) tek başına yeterli mi?

No, bunlar dış grünür security durumunu lçer; iç kontrol kalitesini lçmez. Sürekli izleme servisleri yıllık denetim yerine değil, yıllık denetimi tamamlayıcı bir araç olarak kullanılır. Eğitim, bu servislerin doğru entegrasyonunu ğretir.

Tedarikçi denetimini soru listesi gndermekten çıkarıp lçülebilir bir kontrol disiplinine dnüştürün.

Kurumunuzun sektrüne, tedarikçi profiline ve risk iştahına zel hazırlanan TPRM eğitimi ile denetim olgunluğunuzu sürdürülebilir hale getirin.

Eğitim Planı Talep Et

Referans çerçeveler: ISO/IEC 27001:2022 Annex A 5.19-5.23 Tedarikçi İlişkileri Controlleri · ISO/IEC 27036 Tedarikçi İlişkileri için Bilgi Güvenliği · NIST SP 800-161 Tedarik Zinciri Risk Ynetimi · 6698 Sayılı KVKK ve Veri İşleyen Yükümlülükleri · BDDK Bilgi Sistemleri ve Elektronik Bankacılık Ynetmeliği · EBA Outsourcing Arrangements Rehberi · Shared Assessments SIG · Cloud Security Alliance CAIQ.