ISO 9001 / ISO 45001 / ISO 27001 nedir?
ISO standartları, işletmelerin yönetim sistemlerini uluslararası kabul görmüş kriterlere göre kurmasını sağlar. ISO 9001 kalite, ISO 45001 iş sağlığı ve güvenliği, ISO 27001 ise bilgi güvenliği odaklıdır. Denetçiler, sertifikaya değil, sistemin sahadaki “proses çıktılarıyla” ne kadar uyumlu olduğuna bakar.
Türkiye’de sanayi tesislerinin düştüğü en büyük stratejik hata; ISO yönetim sistemlerini sadece ihaleye girmek için alınan bir “kağıt parçası” sanmaktır. Oysa Çalışma Bakanlığı (İSG), Ticaret Bakanlığı (Ürün Güvenliği) ve Sanayi Bakanlığı denetçileri tesise adım attığında, sertifikanın numarasından ziyade o sistemin “proses çıktılarını” çapraz sorguya çeker. Eğer ISO 9001 sisteminizde tanımladığınız bir “Uygun Olmayan Ürün Kontrolü” prosedürü, sahadaki hatalı ürün kasasıyla (red alanı) uyuşmuyorsa, o sertifika denetçi gözünde sadece bir “yanıltma beyanı” hükmündedir ve bu durum cezai yaptırımı ağırlaştırır. Aşağıda yönetim sistemleri denetim ile alakalı tüm sorunlarınızı çözebileceğimiz cevaplar ve ipuçları var
1. ISO 9001: Kalite Yönetimi mi, Yoksa “Kusur Gizleme” mi?
Ticaret Bakanlığı denetmenleri, ürün güvenliği incelemelerinde ilk olarak ISO 9001:2015 Madde 8.5 (Üretim ve Hizmetin Sunumu) kayıtlarını masaya bekler.
-
Teknik Detay (İzlenebilirlik): Müfettiş, hattan çıkan son 10 ürünü seçer ve bunların hammadde girişinden (lot numarası) sevkiyatına kadar olan dijital veya fiziksel izini görmek ister. Eğer ISO 9001 sisteminizde “Girdi Kontrol” (Madde 8.4) kayıtları eksikse veya hammadde analiz sertifikaları (CoA) teknik dosyada yer almıyorsa, ürününüzün tüm partisi “şüpheli” kabul edilir.
-
Hata: DÖF (Düzeltici Faaliyet) Korkusu: Birçok firma, denetimde “bizde hiç hata çıkmaz” diyerek kendi ayağına sıkar. Denetçi, “Hata yoksa kontrol de yoktur” mantığıyla doğrudan sahaya iner. Bizim yaklaşımımızda, ISO 9001 sisteminizi “denetlenebilir şeffaflıkta” kuruyoruz. Hataların (DÖF) nasıl yönetildiğini, kök neden analizinin (Fishbone veya 5 Why metoduyla) nasıl yapıldığını kanıtlayarak denetçiye “Biz sürecimize hakimiz” mesajını veriyoruz.
Denetim Formları (EK‑4 ve diğerleri)
Çalışma Bakanlığı ve Ticaret Bakanlığı müfettişleri, denetim sırasında sahada kullandıkları resmi formların eksiksiz doldurulmasını bekler. Hatalı veya eksik kayıtlar, cezai yaptırımı artırır. Manuel ve ERP kayıtlarının uyumlu olması kritik bir faktördür.
Hemen Teklif Alın
Yılmaz Danışmanlık ve Müşavirlik Hizmetleri
Adres: Kartaltepe Mah. General Şükrü Kanatlı Cad. No: 31 / 5 Bakırköy / İstanbulE-posta: info@yetkibelgesi.net
2. ISO 45001: İş Sağlığı ve Güvenliğinde “Ramak Kala” ve Teknik Bakım Mağduriyeti
Çalışma ve Sosyal Güvenlik Bakanlığı (İSG) müfettişlerinin denetim dosyasında baktığı ilk yer, risk analizinin güncelliğidir. Ancak asıl darbe “Ramak Kala” (Near Miss) kayıtlarından gelir.
-
Mühendislik Analizi: ISO 45001:2018 standartlarına göre kurulan bir sistemde, iş kazasından ziyade “kaza olasılıklarının” dökümante edilmesi zorunludur. Eğer tesisinizde bir vinç halatı aşınmışsa ama “Periyodik Ekipman Bakım Formu”nda (Madde 8.1.1) her gün “uygun” işaretlenmişse, bu durum kasıtlı ihmal ve evrakta sahtecilik kapsamında değerlendirilir.
-
Kritik Çelişki: İSG dökümanlarında yer alan risk analizi puanlamasının (Fine-Kinney veya L Tipi Matris), tesisteki gerçek ölçüm raporlarıyla (Makale 1’de bahsettiğimiz gürültü, toz, VOC ölçümleri) korele olmamasıdır. Ölçüm raporunda 90 dB gürültü çıkan bir alanda, risk analizinde gürültü riski “düşük” gösterilmişse, denetçi sistemi “geçersiz” sayar. Biz, ISO 45001’i bir evrak klasörü olmaktan çıkarıp, müfettişin sorduğu her tehlikeye karşı “Hiyerarşik Kontrol” (İkame, Mühendislik Önlemi, KKD) sunan teknik bir kütüphane haline getiriyoruz.
PRP – Ön Gereksinim Programları
ISO 45001’in etkinliği, sadece risk analizleri ve ramak kala kayıtlarıyla değil, aynı zamanda PRP’lerle desteklenir. Bu programlar, temizlik, personel eğitimi, hijyen, ekipman bakımı ve mikro çevresel risklerin yönetimini kapsar. Denetçiler sahadaki ölçümler ile kayıtları karşılaştırır.
3. ISO 27001 ve KVKK: Dijital Fabrikaların “Sızma” Sınavı
Günümüzde sanayi tesisleri artık sadece fiziksel değil, dijital olarak da denetleniyor. Sanayi ve Teknoloji Bakanlığı teşvikleri veya Avrupa’daki partnerlerin “TISAX” veya ISO 27001 şartları, bilgi güvenliğini bir zorunluluk haline getirdi.
-
Teknik Detay (A.8.10 Veri Sızıntısını Önleme): Denetçi, “Veri sızıntısı protokolleriniz neler?” diye sorduğunda, sadece “Firewall var” demek profesyonellikten uzaktır. Müfettiş; Sızma Testi (Penetration Test) raporlarını, kritik verilerin şifrelenme (encryption) metodunu ve çalışanların bilgi güvenliği farkındalık testlerini görmek ister.
-
Mağduriyet: Bir siber olay veya veri sızıntısı yaşandığında, ISO 27001 dökümantasyonunuz (Olay Yönetimi Planı – Madde 16) tam değilse, KVKK tarafından kesilen cezalar cironun %5’ine kadar çıkabilmektedir. Biz, IT ekibinizle koordineli çalışarak, ISO 27001’i kağıt üstünden sunucu odasına, oradan da bulut güvenliğine (Madde A.5.23) kadar teknik bir zırh olarak kurguluyoruz.
Denetçinin “Sertifika Zırhını” Delen 3 Ölümcül Soru ve Teknik Cevaplar
Denetim anında müfettişin yönelttiği çapraz sorulara verilen cevaplar, danışmanlık kalitesini belirler:
-
Soru: “Değişiklik Yönetimi (MOC) prosedürünüzü nasıl işletiyorsunuz? Son aldığınız CNC tezgahı için risk analizi nerede?”
-
Yetersiz Cevap: “Daha eklemedik, genel analizde var.” (Bu cevap ISO 9001 ve 45001’i anında çökertir).
-
Yılmaz Danışmanlık Yanıtı: “Madde 8.1.3 uyarınca Değişiklik Yönetimi formumuz açıldı, operatör yetkinlik matrisi güncellendi ve tezgahın CE teknik dosyasıyla uyumu İSG risk analizine entegre edildi.”
-
-
Soru: “Kritik tedarikçilerinizi hangi teknik kriterlere göre denetliyorsunuz?”
-
Yılmaz Danışmanlık Yanıtı: “Sadece fiyat değil; REACH/RoHS uyumluluğu, ISO 9001 sürekliliği ve Madde 8.4 kapsamındaki performans skor kartları üzerinden 6 aylık periyotlarla teknik valide ediyoruz.”
-
Yılmaz Danışmanlık Yaklaşımı: Neden “Sıradan” Bir Belgelendirme Değiliz?
Biz sadece üst yönetime sertifika takdim etmiyoruz. Biz, sahadaki operatörden depodaki sevkiyatçıya kadar herkesi, Bakanlık denetçisinin sorabileceği “Mühendislik Temelli Çapraz Sorgulara” hazırlıyoruz.
-
Karakutu Analizi: Tesisinizin geçmişte aldığı cezaları ve tutulan tutanakları teknik olarak analiz ediyor, aynı hatanın “sistem hatası” olarak tekrar etmesini önleyecek dökümantasyon bariyerleri kuruyoruz.
-
Matematiksel Tutarlılık: Kapasite raporunuzdaki üretim miktarı, ISO 14001 atık beyanınızdaki rakamlar ve ISO 9001 fire oranlarınız birbirini doğrulamalıdır. Biz, bu üç farklı dünyayı (Kalite-İSG-Çevre) tek bir “Merkezi Denetim Dosyası” haline getiriyoruz.
Müfettiş dosyanın kapağını açtığında, birbiriyle çelişen kağıt yığınları değil, bir saatin dişlileri gibi işleyen, sayısal verilere dayanan teknik bir organizasyon buluyor.
Soru: ISO 9001 belgesi kimler için zorunlu?
✍️ Yasal olarak zorunlu olmasa da, denetimlerde avantaj sağlar ve sahadaki kalite yönetimi göstergesidir.
Soru: ISO 45001’de ramak kala kayıtları neden önemlidir?
✍️ Denetçiler kazadan ziyade kaza olasılıklarının yönetimini inceler; eksik kayıt cezai yaptırım doğurur.
Soru: ISO 27001 denetiminde müfettiş neye bakar?
✍️ Veri sızıntısı protokolleri, şifreleme yöntemleri, sızma testi raporları ve farkındalık eğitimleri kritik kriterlerdir.