ISO 9001 / ISO 45001 / ISO 27001 nedir?
ISO standartları, işletmelerin yönetim sistemlerini uluslararası kabul görmüş kriterlere göre kurmasını sağlar. ISO 9001 kalite, ISO 45001 iş sağlığı ve güvenliği, ISO 27001 ise bilgi güvenliği odaklıdır. Denetçiler, sertifikaya değil, sistemin sahadaki “proses çıktılarıyla” ne kadar uyumlu olduğuna bakar.
Türkiye’de sanayi tesislerinin düştüğü en büyük stratejik hata; ISO yönetim sistemlerini sadece ihaleye girmek için alınan bir “kağıt parçası” sanmaktır. Oysa Çalışma Bakanlığı (İSG), Ticaret Bakanlığı (Ürün Güvenliği) ve Sanayi Bakanlığı denetçileri tesise adım attığında, sertifikanın numarasından ziyade o sistemin “proses çıktılarını” çapraz sorguya çeker. Eğer ISO 9001 sisteminizde tanımladığınız bir “Uygun Olmayan Ürün Kontrolü” prosedürü, sahadaki hatalı ürün kasasıyla (red alanı) uyuşmuyorsa, o sertifika denetçi gözünde sadece bir “yanıltma beyanı” hükmündedir ve bu durum cezai yaptırımı ağırlaştırır. Aşağıda yönetim sistemleri denetim ile alakalı tüm sorunlarınızı çözebileceğimiz cevaplar ve ipuçları var
Burada çoğu işletmenin gözden kaçırdığı bir nokta var: ISO sistemleri teknik ekip işi gibi görülür ama denetçi ilk olarak üst yönetimin sürece ne kadar dahil olduğuna bakar. Yönetim gözden geçirme toplantıları (YGG) kağıt üzerinde yapılıyorsa ve alınan kararların sahada bir karşılığı yoksa, sistem “yaşayan sistem” olarak kabul edilmez. Bu da doğrudan majör uygunsuzluk sebebidir.
1. ISO 9001: Kalite Yönetimi mi, Yoksa “Kusur Gizleme” mi?
Ticaret Bakanlığı denetmenleri, ürün güvenliği incelemelerinde ilk olarak ISO 9001:2015 Madde 8.5 (Üretim ve Hizmetin Sunumu) kayıtlarını masaya bekler.
-
Teknik Detay (İzlenebilirlik): Müfettiş, hattan çıkan son 10 ürünü seçer ve bunların hammadde girişinden (lot numarası) sevkiyatına kadar olan dijital veya fiziksel izini görmek ister. Eğer ISO 9001 sisteminizde “Girdi Kontrol” (Madde 8.4) kayıtları eksikse veya hammadde analiz sertifikaları (CoA) teknik dosyada yer almıyorsa, ürününüzün tüm partisi “şüpheli” kabul edilir.
-
Hata: DÖF (Düzeltici Faaliyet) Korkusu: Birçok firma, denetimde “bizde hiç hata çıkmaz” diyerek kendi ayağına sıkar. Denetçi, “Hata yoksa kontrol de yoktur” mantığıyla doğrudan sahaya iner. Bizim yaklaşımımızda, ISO 9001 sisteminizi “denetlenebilir şeffaflıkta” kuruyoruz. Hataların (DÖF) nasıl yönetildiğini, kök neden analizinin (Fishbone veya 5 Why metoduyla) nasıl yapıldığını kanıtlayarak denetçiye “Biz sürecimize hakimiz” mesajını veriyoruz.
- ISO 9001’in en kritik ama en çok ihmal edilen tarafı performans ölçümüdür. Denetçi size şunu sorar: “Bu sistem işe yarıyor mu, nasıl ölçüyorsunuz?” Eğer kalite hedefleriniz (KPI) net değilse veya ölçülmüyorsa, tüm sistem “niyet beyanı” olarak kalır. Örneğin; müşteri şikayet oranı, iade yüzdesi veya üretim hatası trendleri düzenli analiz edilmiyorsa, sistemin çıktısı yoktur.
Denetim Formları (EK‑4 ve diğerleri)
Çalışma Bakanlığı ve Ticaret Bakanlığı müfettişleri, denetim sırasında sahada kullandıkları resmi formların eksiksiz doldurulmasını bekler. Hatalı veya eksik kayıtlar, cezai yaptırımı artırır. Manuel ve ERP kayıtlarının uyumlu olması kritik bir faktördür.
Denetçiler için en büyük kırmızı bayrak, aynı hatanın tekrar etmesidir. Bir uygunsuzluk için DÖF açılmış ama 3 ay sonra aynı problem tekrar yaşanmışsa, bu durum “kök neden analizi yapılmamış” olarak değerlendirilir. Yani sorun çözülmemiş, sadece üstü örtülmüştür.
Hemen Teklif Alın
Yılmaz Danışmanlık ve Müşavirlik Hizmetleri
Adres: Kartaltepe Mah. General Şükrü Kanatlı Cad. No: 31 / 5 Bakırköy / İstanbulE-posta: info@yetkibelgesi.net
2. ISO 45001: İş Sağlığı ve Güvenliğinde “Ramak Kala” ve Teknik Bakım Mağduriyeti
Çalışma ve Sosyal Güvenlik Bakanlığı (İSG) müfettişlerinin denetim dosyasında baktığı ilk yer, risk analizinin güncelliğidir. Ancak asıl darbe “Ramak Kala” (Near Miss) kayıtlarından gelir.
-
Mühendislik Analizi: ISO 45001:2018 standartlarına göre kurulan bir sistemde, iş kazasından ziyade “kaza olasılıklarının” dökümante edilmesi zorunludur. Eğer tesisinizde bir vinç halatı aşınmışsa ama “Periyodik Ekipman Bakım Formu”nda (Madde 8.1.1) her gün “uygun” işaretlenmişse, bu durum kasıtlı ihmal ve evrakta sahtecilik kapsamında değerlendirilir.
-
Kritik Çelişki: İSG dökümanlarında yer alan risk analizi puanlamasının (Fine-Kinney veya L Tipi Matris), tesisteki gerçek ölçüm raporlarıyla (Makale 1’de bahsettiğimiz gürültü, toz, VOC ölçümleri) korele olmamasıdır. Ölçüm raporunda 90 dB gürültü çıkan bir alanda, risk analizinde gürültü riski “düşük” gösterilmişse, denetçi sistemi “geçersiz” sayar. Biz, ISO 45001’i bir evrak klasörü olmaktan çıkarıp, müfettişin sorduğu her tehlikeye karşı “Hiyerarşik Kontrol” (İkame, Mühendislik Önlemi, KKD) sunan teknik bir kütüphane haline getiriyoruz.
- ISO 45001 sistemlerinde denetçi sadece evrağa bakmaz, sahada çalışan personele de sorular sorar. “Bu riski biliyor musun?”, “Bu ekipmanı neden böyle kullanıyorsun?” gibi basit sorularla sistemin gerçekten yaşayıp yaşamadığını test eder. Eğer çalışan verdiği cevabı prosedürden değil, tahmin ederek söylüyorsa sistem kağıt üzerinde kalmış demektir.
- Ayrıca acil durum planları da sadece dosyada durmamalıdır. Denetçi, “Son yangın tatbikatını ne zaman yaptınız?” diye sorar ve kayıtlarını görmek ister. Tatbikat yapılmamışsa veya sadece imza atılmışsa, bu durum doğrudan uygunsuzluk olarak yazılır.
PRP – Ön Gereksinim Programları
ISO 45001’in etkinliği, sadece risk analizleri ve ramak kala kayıtlarıyla değil, aynı zamanda PRP’lerle desteklenir. Bu programlar, temizlik, personel eğitimi, hijyen, ekipman bakımı ve mikro çevresel risklerin yönetimini kapsar. Denetçiler sahadaki ölçümler ile kayıtları karşılaştırır.
3. ISO 27001 ve KVKK: Dijital Fabrikaların “Sızma” Sınavı
Günümüzde sanayi tesisleri artık sadece fiziksel değil, dijital olarak da denetleniyor. Sanayi ve Teknoloji Bakanlığı teşvikleri veya Avrupa’daki partnerlerin “TISAX” veya ISO 27001 şartları, bilgi güvenliğini bir zorunluluk haline getirdi.
-
Teknik Detay (A.8.10 Veri Sızıntısını Önleme): Denetçi, “Veri sızıntısı protokolleriniz neler?” diye sorduğunda, sadece “Firewall var” demek profesyonellikten uzaktır. Müfettiş; Sızma Testi (Penetration Test) raporlarını, kritik verilerin şifrelenme (encryption) metodunu ve çalışanların bilgi güvenliği farkındalık testlerini görmek ister.
-
Mağduriyet: Bir siber olay veya veri sızıntısı yaşandığında, ISO 27001 dökümantasyonunuz (Olay Yönetimi Planı – Madde 16) tam değilse, KVKK tarafından kesilen cezalar cironun %5’ine kadar çıkabilmektedir. Biz, IT ekibinizle koordineli çalışarak, ISO 27001’i kağıt üstünden sunucu odasına, oradan da bulut güvenliğine (Madde A.5.23) kadar teknik bir zırh olarak kurguluyoruz.
- ISO 27001’de en büyük açık genelde teknik değil, insandır. Denetçiler bu yüzden çalışanların farkındalık seviyesini test eder. Basit bir phishing (oltalama) simülasyonunda personelin büyük kısmı hataya düşüyorsa, en güçlü firewall bile sistemi kurtaramaz.
- Bir diğer kritik konu da veri yedekleme ve felaket kurtarma planıdır. Denetçi, “Sunucularınız çökerse kaç saat içinde geri dönersiniz?” diye sorar. Bu sorunun net bir cevabı ve test edilmiş bir senaryosu yoksa, sistem eksik kabul edilir.
Denetçinin “Sertifika Zırhını” Delen 3 Ölümcül Soru ve Teknik Cevaplar
Denetim anında müfettişin yönelttiği çapraz sorulara verilen cevaplar, danışmanlık kalitesini belirler:
-
Soru: “Değişiklik Yönetimi (MOC) prosedürünüzü nasıl işletiyorsunuz? Son aldığınız CNC tezgahı için risk analizi nerede?”
-
Yetersiz Cevap: “Daha eklemedik, genel analizde var.” (Bu cevap ISO 9001 ve 45001’i anında çökertir).
-
Yılmaz Danışmanlık Yanıtı: “Madde 8.1.3 uyarınca Değişiklik Yönetimi formumuz açıldı, operatör yetkinlik matrisi güncellendi ve tezgahın CE teknik dosyasıyla uyumu İSG risk analizine entegre edildi.”
-
-
Soru: “Kritik tedarikçilerinizi hangi teknik kriterlere göre denetliyorsunuz?”
-
Yılmaz Danışmanlık Yanıtı: “Sadece fiyat değil; REACH/RoHS uyumluluğu, ISO 9001 sürekliliği ve Madde 8.4 kapsamındaki performans skor kartları üzerinden 6 aylık periyotlarla teknik valide ediyoruz.”
-
Yılmaz Danışmanlık Yaklaşımı: Neden “Sıradan” Bir Belgelendirme Değiliz?
Biz sadece üst yönetime sertifika takdim etmiyoruz. Biz, sahadaki operatörden depodaki sevkiyatçıya kadar herkesi, Bakanlık denetçisinin sorabileceği “Mühendislik Temelli Çapraz Sorgulara” hazırlıyoruz.
-
Karakutu Analizi: Tesisinizin geçmişte aldığı cezaları ve tutulan tutanakları teknik olarak analiz ediyor, aynı hatanın “sistem hatası” olarak tekrar etmesini önleyecek dökümantasyon bariyerleri kuruyoruz.
-
Matematiksel Tutarlılık: Kapasite raporunuzdaki üretim miktarı, ISO 14001 atık beyanınızdaki rakamlar ve ISO 9001 fire oranlarınız birbirini doğrulamalıdır. Biz, bu üç farklı dünyayı (Kalite-İSG-Çevre) tek bir “Merkezi Denetim Dosyası” haline getiriyoruz.
- Açık konuşmak gerekirse; piyasadaki ISO sistemlerinin büyük kısmı çalışmaz. Çünkü sistem kurulurken “denetimden geçelim yeter” mantığıyla kurulmuştur. Ama denetçi artık belgeye değil, davranışa bakıyor. Prosedür ile gerçek hayat arasındaki fark ne kadar açıksa, ceza da o kadar hızlı gelir.
Müfettiş dosyanın kapağını açtığında, birbiriyle çelişen kağıt yığınları değil, bir saatin dişlileri gibi işleyen, sayısal verilere dayanan teknik bir organizasyon buluyor.
Soru: ISO 9001 belgesi kimler için zorunlu?
✍️ Yasal olarak zorunlu olmasa da, denetimlerde avantaj sağlar ve sahadaki kalite yönetimi göstergesidir.
Soru: ISO 45001’de ramak kala kayıtları neden önemlidir?
✍️ Denetçiler kazadan ziyade kaza olasılıklarının yönetimini inceler; eksik kayıt cezai yaptırım doğurur.
Soru: ISO 27001 denetiminde müfettiş neye bakar?
✍️ Veri sızıntısı protokolleri, şifreleme yöntemleri, sızma testi raporları ve farkındalık eğitimleri kritik kriterlerdir.
ISO sistemleri bir vitrin değil, işletmenin iç iskeletidir. O iskelet zayıfsa, ilk denetimde kırılır. Ama doğru kurulduğunda sadece denetimden geçmezsiniz; üretim hatalarınız azalır, iş kazaları düşer, veri kaybı riski minimuma iner. Yani mesele belge almak değil, sistemi gerçekten kurmaktır.