ISO 42001 Consulting Alırken
Nelere Dikkat Etmelisiniz?
7 Kritik Soru · Kırmızı Bayraklar · Valuelendirme Çerçevesi
Neden ISO 42001 Danışman Seçimi Bu Kadar Kritik?
ISO 9001 veya ISO 27001 danışmanı seçmek nispeten kolaylaşmış bir süreç — on annually pazar deneyimi var, referans sorabilirsiniz, binlerce sertifikalı kurum var. ISO 42001’de tablo bambaşka:
Standart yeni ve karmaşık olunca, pazarlama ile gerçek uzmanlığı ayırt etmek zorlaşıyor. Pek çok firma web sitesine “ISO 42001 danışmanlığı” ekledi ama bu hizmetin içinde ne var, kim yapacak, ne kadar sürecek soruları muğlak kalıyor. Aşağıdaki frame bu muğlaklığı ortadan kaldırmak için hazırlandı.
- Genel ISO firması: ISO 9001/14001/27001 altyapısını kopyalayarak ISO 42001’i sunanlar. YZ risk değerlendirmesi ve Annex B kontrolleri konusunda bilgi sığ.
- Teknik YZ/yazılım firması: Yapay zeka teknolojisini biliyor ama ynetim sistemi kurulum deneyimi, denetim ve dokümantasyon bilgisi zayıf.
- Entegre siber security + ynetim sistemi danışmanı: Hem ISO framesini hem de YZ ve sektr risklerini anlıyor. Bu profildir aradığınız.
7 Kritik Valuelendirme Kriteri
Gerçek Proje Referansı vs. “Hizmet Veriyoruz” İddiası
ISO 42001 için en nemli kriter bu. Standardın 2 yılı yeni doldu; bu noktada tamamlanmış Türkiye referansı yoksa firmayı eleyebilirsiniz. Ama eğer talep sıfır olsaydı bu sertifika piyasası da şekillenmemiş olurdu — bu nedenle tamamlanmış proje yerine aktif devam eden proje referansı da değerlidir.
Sormanız gereken: “OKladığınız ya da aktif yürüttüğünüz ISO 42001 projeleri var mı? Sektr ve genel kapsam hakkında bilgi paylaşabilir misiniz?” Cevabın belirsizliği zaten veriyi taşır.
Sektr Uzmanlığı: Soyut Bilgi Yeterli Değil
ISO 42001 Annex A ve B kontrolleri, YZ sisteminin türüne ve sektrün risk profiline gre uygulanır. Bir kredi skorlama modelinin riski ile prediktif bakım YZ’sinin riski aynı kontrol seti ile ynetilemez. Danışmanın sektrünüzü gerçekten anlıyor olması şart.
Bankacılık için: BDDK model riski, KVKK veri işleme, AB AI Act yüksek risk kategorisi bağlamını bilmeli. Havacılık için: EASA Part-IS, SHGM bağlamını ve security-kritik YZ sistemleri zelliklerini bilmeli. Yazılım tedarikçisi için: SBOM, SSDLC ve tedarik zinciri YZ riskleri gündemde olmalı.
ISO 27001 Integration Yetkinliği
ISO 27001’iniz varsa, danışmanın bunu ISO 42001 ile entegre etme kapasitesi olmalı. İki ayrı ynetim sistemi, iki ayrı iç denetim, iki ayrı ynetimin gzden geçirmesi — bu sürdürülemez ve gereksiz maliyet üretir. İyi danışman ortak HLS yapısını kullanarak entegre bir sistem kurar.
Sormanız gereken: “ISO 27001 altyapımız var. İki standardı nasıl entegre edersiniz? Ortak hangi belgeler tekrar kullanılabilir?” Buna net cevap veremiyorsa bu firmanın HLS deneyimi muhtemelen teorik.
Kapsam Tanımı: “Her Şey Dahil” Aldatıcıdır
ISO 42001’de kapsam hatası en pahalı hatadır. Kapsam çok geniş tutulursa sertifikasyon denetiminde savunulamaz; çok dar tutulursa iş değeri yaratmaz. Profesyonel danışman GAP analizinden nce kapsamı nermez.
Teklif aşamasında “All YZ sistemlerinizi kapsıyoruz” diyen firma, henüz kurumunuzu tanımadan satış yapıyor demektir. Doğru yaklaşım: nce YZ inventory çıkarılır, ardından kapsam kurumla birlikte belirlenir.
Belgelendirme Kurumu ile İlişki: Bağımsızlık Şart
ISO standartlarında consulting hizmeti ile belgelendirme denetimi aynı kuruluş tarafından yapılamaz — bu ISO 17021 gereği bir çıkar çatışmasıdır. Bazı firmalar bu sınırı muğlaklaştırarak “paket” satmaya çalışır.
Danışman firmanın belirli bir belgelendirme kuruluşuna “ynlendirme” veya “komisyon” ilişkisi olup olmadığını doğrudan sorun. Gerçekten bağımsız danışman, birden fazla akredite seçenek sunar ve avantaj/dezavantajlarını nesnel biçimde anlatır.
Takvim ve Fiyat Gerçekçiliği
Türkiye’de ISO 42001 consulting tekliflerinde iki aşırı uç var: rakip kazanmak için gerçekçi olmayan kısa süre/low fiyat nerileri ve tam tersi, aşırı şişirilmiş teklifler. Her ikisi de kırmızı bayrak.
Gerçekçi referans aralıklar: ISO 27001 altyapısı olmayan kurum için 5–8 ay, 27001 altyapısı olan için 3–4 ay. Bu süreden belirgin biçimde kısa teklif, ya kapsam çok dardır ya da “hazır şablon” teslim edilecektir. Sertifikasyon denetim ücreti consulting ücretinden ayrı olmalı — birleşik tek fiyat teklifine dikkat.
Sertifikasyon Sonrası Destek: Bir Kere Bitip Bitmediği
ISO 42001 sertifikası 3 yıl geçerli, ara dnemde gzetim denetimleri var. YZ teknolojisi hızla değişiyor — yeni YZ sistemi devreye girmesi, model güncellemeleri, regülasyon değişiklikleri AIMS’i etkiliyor. Danışmanın “sertifika aldınız, grüşürüz” modeli bu standart için sürdürülemez.
Sormanız gereken: Gzetim denetimlerine hazırlıkta destek var mı? Yeni YZ sistemi devreye alındığında kapsamı birlikte güncelleyebilir miyiz? Retainer modeli mümkün mü?
Teklif Grüşmesinde Sormanız Gereken 10 Soru
Aşağıdaki sorular iki işe yarıyor: doğru danışmanı bulmak ve yetersiz olanı ayıklamak. İyi danışman bu soruların tamamına somut, zgün cevap verir.
📋 Danışmana sorun — ve cevabı dinleyin
- OKladığınız veya aktif yürüttüğünüz ISO 42001 projesi var mı? Sektr ve genel proje boyutu hakkında bilgi paylaşabilir misiniz?
- Standardın Annex B’sini nasıl uyguluyorsunuz? Bu soru teknik bilgiyi test eder — Annex B, YZ kontrolleri için uygulama kılavuzudur ve birçok danışman Annex A ile karıştırır.
- AI Impact Assessment (AIIA) metodolojiniz nedir? Hangi şablonu kullanıyorsunuz, kuruma zgü mü yoksa hazır mı?
- ISO 27001 altyapımız var. Hangi belgeler yeniden kullanılabilir, hangilerini sıfırdan yazıyoruz?
- Kapsam kararını ne zaman ve nasıl veriyorsunuz? GAP analizinden nce mi, sonra mı?
- YZ sistemlerinin inventoryni nasıl çıkarıyorsunuz? Hangi araçlar veya metodoloji kullanılıyor?
- Belgelendirme kuruluşu seçiminde nasıl bir yaklaşım izliyorsunuz? Belirli bir kuruluşla komisyon/ynlendirme anlaşmanız var mı?
- Annex A kontrollerini nasıl seçiyorsunuz? Risk bazlı mı, tüm kontroller mi?
- Çalışan eğitimi hizmetinizin içeriği ne? Standart farkındalık mı, sektre zgü senaryolar mı?
- Sertifikasyon sonrası gzetim dneminde ne tür destek sunuyorsunuz?
🚨 Kırmızı Bayraklar: Bunları Grünce Duraksayın
Teklif veya grüşme sürecinde aşağıdaki işaretlerden biri belirirse, ilerlemeden nce ek doğrulama yapın — ya da eleyin.
GAP Analizi Olmadan Kesin Teklif
Kurumunuzu tanımadan “X ayda, Y fiyata” diyen firma gerçekçi değerlendirme yapmıyor.
“Hazır Şablon Paketi” Yaklaşımı
ISO 42001 politika ve prosedürlerinin %100’ü hazır şablonla teslim edilebileceği iddiası — kapsam ve YZ inventory kuruma zgüdür.
Belgelendirme Kurumu ile Pakette Satış
“Belgelendirme garantisi veriyoruz” ifadesi — danışman belgelendirme sonucunu garanti edemez, bağımsız denetim gerektirir.
Annex B’yi Açıklayamamak
Standardın uygulama kılavuzunu bilmiyorsa, kontrollerini de doğru seçemez.
1–2 Aylık Proje Teklifi
ISO 27001 altyapısı olan kurum için bile 3 ay minimum gerçekçi süre. 1–2 ay sadece kağıt üretimi anlamına gelir.
Sektrünüze Dair Spesifik Bilgi Eksikliği
Bankacılık firmasına BDDK’yı ya da havacılık firmasına EASA’yı sormadıysa sektrünüzü bilmiyordur.
✅ Yeşil Bayraklar: Doğru Firmayı Tanıyın
Karşı tarafta bunları grüyorsanız ilerleyin:
GAP Analizini Ön Koşul Olarak Sunuyor
Kurumunuzu anlamadan teklif vermek yerine nce GAP analizi yaparak kapsam ve takvimi birlikte belirlemeyi neriyor.
ISO 27001 Entegrasyon Planı Var
Var olan ISMS altyapınızı nasıl kullanacağını somut olarak açıklıyor — hangi belgeler yeniden kullanılacak, hangiler yazılacak.
Sektrünüzü Biliyor ve Konuşuyor
İlk grüşmede sektrünüze zgü regülasyon, risk ve YZ kullanım senaryosu gündeme geliyor.
Belgelendirme Kuruluşunda Tarafsız
Birden fazla akredite seçenek sunuyor, aralarındaki farkları nesnel açıklıyor ve tercih kararını size bırakıyor.
Gerçekçi Takvim ve Gerekçesi Var
Takvim teklifini kurumun mevcut altyapısına bağlı olarak veriy ve “neden bu kadar sürecek” sorusunu cevaplıyor.
Sertifikasyon Sonrası Planı Var
Gzetim dnemleri, yeni YZ sistemi entegrasyonu ve retainer destek seçeneklerini proaktif olarak ele alıyor.
Danışman Valuelendirme Puanlama Tablosu
Birden fazla teklif karşılaştırıyorsanız, aşağıdaki tabloyu 1–5 arası puanlama ile kullanın. 30 puan üzeri güvenli blge, 20–29 ek inceleme, 20 altı risk olarak değerlendirin.
| Valuelendirme Kriteri | Ağırlık | Puan (1–5) | Açıklama |
|---|---|---|---|
| Proje referansı ve gerçek deneyim | %25 | × 1,25 | OKlanmış/aktif ISO 42001 projesi var mı? |
| Sektrünüze zgü bilgi | %20 | × 1,00 | Regülasyon ve risk profilinizi biliyor mu? |
| ISO 27001 entegrasyon yetkinliği | %15 | × 0,75 | HLS entegrasyonunu somut açıklayabiliyor mu? |
| Kapsam metodolojisi | %15 | × 0,75 | GAP analizinden sonra mı kapsam tanımlanıyor? |
| Belgelendirme bağımsızlığı | %10 | × 0,50 | Belirli bir kuruluşa bağımlılık var mı? |
| Takvim gerçekçiliği | %10 | × 0,50 | Duration kurumun altyapısına gre gerekçeli mi? |
| Sertifikasyon sonrası destek | %5 | × 0,25 | Gzetim dnemi ve retainer planı var mı? |
30–35 Puan
- İlerlemeye değer
- Szleşme detaylarını netleştirin
- Referans doğrulama yapın
20–29 Puan
- Zayıf kriterleri netleştirin
- Ek soru turu yapın
- Alternatif teklif alın
20 Altı Puan
- Alternatif firma arayın
- Fiyat cazip olsa da ilerlemeyin
- Durationç ileride pahalıya patlayabilir
Szleşmeye Yansıması Gereken 6 Madde
Danışman seçtikten sonra szleşme aşamasında aşağıdaki unsurların net olduğundan emin olun:
Sık Sorulan Sorular
Teklifleri Kıyaslamadan Önce 30 Dakikalık Ön Grüşme Yapın
Aldığınız teklifleri ya da danışman adaylarını birlikte değerlendirebiliriz. Kurumunuzun mevcut durumu, YZ inventory ve gerçekçi beklentiler — somut çıktıyla çıkalım.
Ücretsiz Ön Grüşme İsteyin →📞 0850 305 4223 · bilgi@securefors.com
