Bu Yazıda
- Süreç mi Yoksa Olay mı? İki Yaklaşım Arasındaki Uçurum
- Tedarikçi Risk Değerlendirme Sürecinin 6 Temel Aşaması
- Risk Puanlama: Tedarikçiler Nasıl Sıralanır?
- Türkiye’de Yasal Zorunluluk Haritası
- Sürecin Sürdürülebilir Olması İçin 5 Temel İlke
- En Sık Yapılan 7 Hata
- Nereden Başlamalısınız? 90 Günlük Başlangıç Planı
- Sık Sorulan Sorular
1. Süreç mi Yoksa Olay mı? İki Yaklaşım Arasındaki Uçurum
Türkiye’deki kurumların büyük çoğunluğu, tedarikçi riskini bir süreç olarak değil bir olay olarak yönetir. Yani tedarikçiyle bir sorun yaşandığında veya ISO 27001 denetimi yaklaştığında harekete geçilir; araya uzun süre sessizlik girer.
Bu reaktif yaklaşımın bedeli ağırdır: Tedarikçi kaynaklı veri ihlalleri ortalama 287 gün sonra fark edilir; tedarik zinciri saldırıları her yıl üç kurumdan birini etkiler; kaçırılan fırsatlarda ise ISO 27001 denetiminde majör uyumsuzluk.
2. Tedarikçi Risk Değerlendirme Sürecinin 6 Temel Aşaması
Etkin bir tedarikçi risk değerlendirme süreci doğrusal değil döngüseldir. Altı aşama ardı ardına tamamlandıktan sonra döngü yeniden başlar:
Tedarikçi Risk Değerlendirme Döngüsü
1
Envanter ve Sınıflandırma
Tüm tedarikçilerin listelenmesi, her birinin kritiklik düzeyi ve erişim kapsamının belirlenmesi. Hangi tedarikçi hangi veriye, hangi sisteme erişiyor?
2
Risk Kriterleri ve Metodoloji
Her tedarikçi kategorisi için değerlendirme boyutlarının (siber güvenlik, KVKK, operasyonel, finansal) ve ağırlıklarının belirlenmesi. Puanlama skalası tanımlanır.
3
Bilgi Toplama ve Doğrulama
Güvenlik anketi (VSQ), belge talebi, sertifika doğrulama ve gerekli durumlarda saha/uzaktan görüşme. Sadece anket değil — kanıt temelli doğrulama.
4
Risk Puanlama ve Önceliklendirme
Toplanan verilerin belirlenen metodolojiye göre puanlanması, tedarikçi risk skorunun hesaplanması ve öncelikli aksiyon gerektiren alanların belirlenmesi.
5
Aksiyon ve Düzeltici Faaliyet
Risk kabul, risk transferi, risk azaltımı veya tedarikçi değişimi kararlarının alınması. Yüksek riskli bulgular için tedarikçiyle düzeltici faaliyet planının oluşturulması.
6
Sürekli İzleme ve Döngü Yenileme
Tedarikçi değişikliklerinin izlenmesi, düzeltici faaliyetlerin doğrulanması ve kritiklik düzeyine göre belirlenen takvimde döngünün yeniden başlatılması.
3. Risk Puanlama: Tedarikçiler Nasıl Sıralanır?
Tedarikçi risk puanlama, kişisel kanılara değil ölçülebilir kriterlere dayanmalıdır. Tipik bir bilgi güvenliği odaklı risk puanlama modeli iki ana eksende çalışır:
Eksen 1: Olasılık / Tehdit Skoru
Tedarikçinin güvenlik olgunluğunun ne kadar düşük olduğunu ölçer. Yüksek tehdit skoru = zayıf kontroller.
- Bilgi güvenliği politikası ve BGYS varlığı
- MFA, şifreleme, yama yönetimi uygulaması
- ISO 27001 sertifikası ve kapsam durumu
- Geçmiş güvenlik olayları ve açıklık geçmişi
- Personel güvenlik eğitimi ve farkındalık düzeyi
Eksen 2: Etki Skoru
Bu tedarikçi kaynaklı bir ihlal ne kadar zarar verir? Yüksek etki = kritik tedarikçi.
- İşlediği kişisel veri türü ve hacmi (KVKK kritikliği)
- Eriştiği sistem hassasiyeti (kritik altyapı, ERP, CRM)
- İş sürekliliğine etkisi (bu tedarikçi olmadan kaç gün çalışılır?)
- Marka ve itibar riski boyutu
- Tek kaynak bağımlılığı (alternatifi var mı?)
Basit Risk Skoru Formülü
Risk Skoru = Tehdit Puanı (1–5) × Etki Puanı (1–5)
1–5: Düşük | 6–12: Orta | 13–19: Yüksek | 20–25: Kritik
| Tedarikçi Türü | Tehdit (1–5) | Etki (1–5) | Skor | Kategori |
|---|---|---|---|---|
| Bulut ERP sağlayıcısı (tüm finansal veriye erişim) | 3 | 5 | 15 | Yüksek |
| HR yazılımı (çalışan kişisel verileri) | 4 | 4 | 16 | Yüksek |
| Bakım firması (sınırlı ağ erişimi) | 3 | 3 | 9 | Orta |
| Ofis kırtasiye tedarikçisi (veri/sistem erişimi yok) | 2 | 1 | 2 | Düşük |
Pratik not: Puan modeli karmaşık olmak zorunda değil. Başlangıç için 5×5 matris yeterlidir. Önemli olan öznel değerlendirmeyi değil, belgelenmiş kriterleri kullanmaktır. “Ben bu firmaya güveniyorum” ifadesi, bir risk skoru yerine geçmez.
4. Türkiye’de Yasal Zorunluluk Haritası
Tedarikçi risk değerlendirmesi Türkiye’de artık salt “iyi uygulama” değil; birden fazla yasal ve standart çerçevesi tarafından doğrudan ya da dolaylı olarak gerektirilen bir faaliyet haline gelmiştir.
5. Sürecin Sürdürülebilir Olması İçin 5 Temel İlke
Pek çok kuruluş bir kere değerlendirme yapar, bunu yeterli sayar. Oysa tedarikçi risk değerlendirme sürecinin asıl zorluğu başlatmak değil, sürdürmektir. Bu beş ilke, süreci kurumsal refleks haline getirir:
İ1
Politikaya Bağlayın — Yoruma Bırakmayın
Tedarikçi risk değerlendirmesi bir politika dokümanına ve BGYS’ye bağlanmalıdır. Kim ne zaman ne yapacak, hangi tedarikçi hangi sıklıkta değerlendirme alacak — bunlar net yazılı olmalıdır. Yazılmayan süreç yok demektir; hem denetçi hem yasal savunma açısından.
İ2
Sözleşmede Denetim Hakkını Önceden Müzakere Edin
Tedarikçiyle sözleşme imzalanmadan önce denetim hakkı, ihlal bildirim süresi ve güvenlik gereksinimleri sözleşmede yer almalıdır. Sonradan eklemek ya imkânsız hale gelir ya da ilişkiyi zorlaştırır. Bu, hukuk ve bilgi güvenliği ekiplerinin birlikte çalışması gereken bir süreç adımıdır.
İ3
Değişim Tetikleyicilerini Tanımlayın
Periyodik değerlendirme döngüsünün yanı sıra, belirli değişimler yeniden değerlendirmeyi otomatik olarak tetiklemelidir: tedarikçide önemli personel değişikliği, yeni alt yüklenici eklenmesi, hizmet kapsamı genişlemesi, tedarikçide güvenlik ihlali haberi, sertifika değişikliği. Bu tetikleyiciler politikada yazılı olmalıdır.
İ4
Bulguları Takip Edin — Raporla Bırakmayın
Değerlendirme raporlanıp dosyalandıktan sonra süreç bitmez. Kritik ve majör bulgular için kapatma tarihleri belirlenmeli, düzeltici faaliyetlerin tamamlandığı doğrulanmalı ve bu bilgi BGYS’ye entegre edilmelidir. “Bulduk ama bıraktık” savunması, hukuki açıdan “bilmiyorduk” savunmasından daha güçsüzdür.
İ5
Süreci Satın Almayla, Hukukla ve Üst Yönetimle Entegre Edin
Tedarikçi risk değerlendirmesi yalnızca bilgi güvenliği ekibinin sorumluluğu değildir. Satın alma yeni tedarikçi seçmeden önce güvenlik onayını bekler; hukuk sözleşme güvenlik maddelerini kontrol eder; yönetim kritik tedarikçi riskleri hakkında düzenli bilgilendirilir. Entegre olmayan bir süreç, bir bölümün “iyi niyetli ödevinden” öte geçemez.
6. En Sık Yapılan 7 Hata
Sahadan derlenen, süreci kağıt üzerinde bırakan veya gerçek bir güvenlik değeri üretmesini engelleyen hatalar:
“ISO 27001 sertifikası var, güvendeyiz”
Sertifika kapsamı sınırlı olabilir; sizinle çalışan birimi kapsamıyor olabilir; sertifika süresi dolmuş olabilir. Sertifika incelemesi değerlendirmenin başlangıcı, sonu değil.
Anketi doldurup dosyalamak
Tedarikçi “MFA kullanıyoruz” der, siz inanırsınız; denetimde kanıt yoktur. Her kritik yanıt belge veya ekran görüntüsüyle doğrulanmalıdır.
Sadece yeni tedarikçileri değerlendirmek
5 yıldır çalışılan yazılım firması 3 yıl önce ekibini büyük ölçüde değiştirdi, yeni bir veri merkezine taşındı — ama hiç yeniden değerlendirilmedi. Sürekli müşteriler körlük yaratır.
4. tarafı (alt tedarikçiyi) görmezden gelmek
Tedarikçinizin verilerinizi kendi alt yüklenicisine aktarması risk kaybolduğu anlamına gelmez; sadece görünmez hale gelir. Alt yüklenici bildirim yükümlülüğü sözleşmede olmalı.
Boyuta göre değil, erişime göre önceliklendirmemek
“Bu firma çok küçük, sorun olmaz” düşüncesi tehlikelidir. İki kişilik bir firma, 10.000 çalışanın kişisel verisini işliyorsa kritik tedarikçidir.
Bulgular için aksiyon almamak
Raporda “kritik bulgu: paylaşılan hesaplar” yazıyor ama 6 ay sonra durum aynı. Değerlendirme, kapatma döngüsü olmadan yalnızca kağıt üretir.
Süreci sadece bilgi güvenliği ekibinin omzuna yüklemek
Satın alma ekibi yeni tedarikçiyi imzaladıktan sonra bilgi güvenliğine bildiriyor, sözleşmede hiçbir güvenlik maddesi yok. Tedarikçi risk yönetimi kurumsal bir süreç olmalı, sadece teknik bir kontrol değil. CISO veya bilgi güvenliği yöneticisi, satın alma kararlarına mümkün olduğunca erken dahil edilmelidir.
7. Nereden Başlamalısınız? 90 Günlük Başlangıç Planı
“Mükemmel sistemi kuralım, sonra başlayalım” tuzağına düşmeyin. Üç ayda temel bir TPRM programı kurulabilir. İşte kanıtlanmış başlangıç yol haritası:
Nereden Başlamalıyım Sorusuna Sahadan Yanıt
Danışmanlık görüşmelerimizde en sık duyduğumuz cümle şudur: “Tedarikçi risk yönetimi yapmak istiyoruz ama nereden başlayacağımızı bilmiyoruz.” Yanıtımız her zaman aynıdır: Tedarikçilerinizin listesini çıkarın ve içlerinden “bu firma yarın veri ihlali yaşasa bizi en fazla etkileyen hangisi?” sorusunu sorun. Oradan başlayın.
— Secure Fors, TPRM Danışmanlık Görüşmelerinden
8. Sık Sorulan Sorular
Tedarikçi risk değerlendirme süreci ile tedarikçi denetimi aynı şey midir?
Hayır, birbirine bağlı ama farklı kavramlardır. Tedarikçi risk değerlendirme süreci; envanter, puanlama, periyodik izleme ve aksiyon döngüsünü kapsayan üst çerçevedir. Tedarikçi denetimi ise bu sürecin içindeki bir alt adımdır — riski doğrulamak için başvurulan kanıt toplama yöntemidir. Her tedarikçi risk değerlendirmesinde denetim gerekmez; kritiklik düzeyine göre anket, belge doğrulama veya saha denetimi seçilir.
50’den fazla tedarikçimiz var. Hepsini değerlendirmek zorunda mıyız?
Evet, hepsi listelenmelidir — ancak aynı kapsamda değerlendirilmesi gerekmez. Kritiklik matrisi bu sorunu çözer: Kritik tedarikçiler (kişisel veri işleyen, kritik sisteme erişen) tam değerlendirmeye alınırken, düşük kritiklik kategorisindekiler için standart anket veya sertifika kontrolü yeterlidir. Kapsam doğru belirlenirse 50 tedarikçinin yalnızca 8–10 tanesi derin değerlendirme gerektirebilir.
Tedarikçi risk değerlendirme programı kurmak ne kadar sürer?
Temel bir program 90 günde kurulabilir. Pilot değerlendirme 4–8 hafta alır. Programın olgunlaşması — yani tüm kritik tedarikçilerin değerlendirilmesi, politikaların tamamlanması ve döngünün otururluk kazanması — genellikle 6–12 ay sürer. Mükemmeli beklemeyin; küçük ama gerçek bir başlangıç, büyük ama hayali bir plan değeri.
Bu süreci yönetmek için özel bir yazılım şart mı?
Hayır. Başlangıç için Excel veya benzeri bir araç yeterlidir: Tedarikçi envanteri, risk skoru sütunları, değerlendirme tarihleri ve bulgu takibi bir elektronik tabloya sığar. Tedarikçi sayısı ve değerlendirme sıklığı arttıkça GRC araçları veya özelleşmiş TPRM platformları değer yaratmaya başlar. Ama yazılım hiçbir zaman metodolojinin ve politikanın önüne geçemez.
Tedarikçi risk değerlendirme programımızı kurmak için dış destek almak zorunda mıyız?
Zorunlu değil, ama bazı durumlarda güçlü bir seçim olabilir: ISO 27001 sertifikasyon veya gözetim denetimine hazırlık süreci, iç ekipte TPRM uzmanlığının bulunmaması, büyük tedarikçi portföyü ve zaman baskısı, ya da denetçiye bağımsızlık kanıtı sunma ihtiyacı. İç ekip metodoloji ve politikayı kurarken, bağımsız danışman kritik tedarikçi değerlendirmelerini yürütüyor olabilir — hibrit model çoğu durumda en verimli çözümdür.
