Bu siteyi kullanarak Gizlilik ve Veri Güvenliği Politikası and Kullanım Koşulları ve Fikri Mülkiyet'i kabul etmiş olursunuz.
Kabul Et
Teknik UyumTeknik Uyum
  • Anasayfa
  • Kategoriler
    • Ürün Uygunluğu
    • Kimyasal Uyum
    • Piyasa Dolaşımı
    • Sürdürülebilirlik
    • Uyum Yönetimi
  • TU Gündem
  • Güvensiz Ürün ve Recall Bildirimleri
Bildirim Daha Fazla Göster
Yazı Tipi BoyutlandırıcıAa
Teknik UyumTeknik Uyum
Yazı Tipi BoyutlandırıcıAa
Ara
  • Anasayfa
  • Kategoriler
    • Ürün Uygunluğu
    • Kimyasal Uyum
    • Piyasa Dolaşımı
    • Sürdürülebilirlik
    • Uyum Yönetimi
  • TU Gündem
  • Güvensiz Ürün ve Recall Bildirimleri
Bizi Takip Et
  • Hakkında
  • İletişim
  • Yasal Uyarı ve Sorumluluk Reddi
  • Gizlilik ve Veri Güvenliği Politikası
  • Çerez Politikası
  • Kullanım Koşulları ve Fikri Mülkiyet
Uyum Yönetimi

Risk Bazlı Uyum Yönetimi Skor Modeli Nasıl Kurulur?

Risk skorunu rol, süreç ve yönetim onayıyla denetlenebilir karara çeviren uyum modeli

Son güncelleme: 08.07.2026 1:30 pm
Teknik Uyum
Paylaş
Risk Bazlı Uyum Yönetimi Skor Modeli Nasıl Kurulur
Risk Bazlı Uyum Yönetimi Skor Modeli Nasıl Kurulur
Paylaş

Temel çıkarımlar

  • Risk bazlı uyum yönetimi, tek skorlu model, RACI ve yönetim onayı birlikte kurulursa denetimde savunulabilir olur.
  • RACI (Responsible, Accountable, Consulted, Informed / Sorumlu, Hesap Veren, Danışılan, Bilgilendirilen), rol ve karar sınırını yazılı hale getirir.
  • Ürün, tedarikçi ve pazar skoru ayrı hesaplanmalı, karar anında tek risk kararına bağlanmalıdır.
  • Süreç haritası, yeni ürün geldiğinde kimin veri girdiğini, kimin skoru onayladığını ve hangi eşikte satışın duracağını göstermelidir.
  • Yönetim onayı, modeli kişisel inisiyatiften çıkarıp şirket içi uyum prosedürü haline getirir.

Risk bazlı uyum yönetimi, tek skorlu model, RACI matrisi, süreç haritası ve yönetim onayı ile kurulur. Ürün, tedarikçi ve pazar riskinin kim tarafından değerlendirileceği yazılmazsa, denetimde sorumluluk boşluğu, gecikmiş eskalasyon ve tutarsız satış kararı ortaya çıkar.

Risk bazlı uyum yönetimi için önce kapsamı kilitleyin

İlk karar, modelin hangi alanları kapsayacağıdır. Şirket ürün güvenliği, sürdürülebilirlik, siber güvenlik, yapay zekâ, kimyasal uygunluk ve tedarikçi yeterliliğini aynı modelde izleyecekse kapsam tablosu baştan yazılmalıdır. Kapsam yazılmadan rol dağıtmak, yanlış kişiye doğru görevi vermek anlamına gelebilir.

Kapsam tablosunda ürün grubu, tedarikçi tipi, satış pazarı, satış kanalı, mevzuat tetikleyicisi ve belge gerekliliği yer almalıdır. Kapsam dışı bırakılan ürünler de gerekçesiyle yazılmalıdır; aksi halde denetçi, neden skorlanmadığını sorar.

Economic operators shall place or make available on the market only safe products.

Regulation (EU) 2023/988, Article 5

Bu güvenli ürün eşiği, modelin yalnız iç kontrol amacı taşımadığını gösterir. Pazara arz kararı verilecekse ürünün güvenliği, tedarikçi kanıtı ve satış pazarı gereklilikleri aynı karar dosyasında görünmelidir.

Ürün, tedarikçi ve pazar skorunu ayırın

Risk bazlı uyum yönetimi modelinde tek bir “yüksek risk” etiketi yeterli değildir. Ürün riski; hedef kullanıcı, ürün tipi, kimyasal temas, elektriksel tehlike, çocuk kullanımı, yazılım özelliği veya bağlantılı cihaz niteliğiyle ilgilidir.

İlginizi çekebilir

Mevzuat İzleme Sisteminiz Hangi Seviyede? 5 Adım
Mevzuat İzleme Sisteminiz Hangi Seviyede? 5 Adım
Uyum Görev Yetki Belgesi ve Rol Matrisi Kapsamı

Tedarikçi riski; belge kalitesi, test raporu tutarlılığı, önceki uygunsuzluk, değişiklik bildirimi ve düzeltici faaliyet geçmişiyle ölçülür. Pazar riski ise yerel dil, etiket, çevrim içi satış, yetkili aktör, piyasa gözetimi ve geri çağırma kanalıyla ilgilidir. Aynı ürün düşük teknik riskli ama yüksek pazar riskli olabilir.

Uygulama talimatı net olmalıdır: ürün skoru teknik ekipten, tedarikçi skoru satın alma ve kalite ekibinden, pazar skoru uyum ve hukuk ekibinden gelir. Nihai karar, belirlenen eşiklere göre uyum komitesinde kayda bağlanır.

Yeni ürün akışını tek sayfada gösterin

Denetimde en güçlü kanıt, teorik politika değil çalışanların takip edebildiği akıştır. Yeni ürün geldiğinde süreç şu sırayla işlemelidir: ürün sahibi ürün tanımını girer, satın alma tedarikçi dosyasını açar, kalite test gerekliliğini belirler, uyum ekibi mevzuat tetikleyicisini işaretler, hukuk gerektiğinde sözleşme şartını ekler.

Ön skor bu verilerle oluşur. Skor düşükse normal onay hattı çalışır; orta riskte ek belge veya numune testi istenir; yüksek riskte satış, satın alma veya lansman kararı komite onayına çıkar. Hangi eşikte satışın duracağı prosedürde rakamla veya karar seviyesiyle yazılmalıdır.

Adım Karar sahibi Denetim kanıtı
Ürün tanımı Ürün sahibi Ürün kapsam formu
Tedarikçi açılışı Satın alma Tedarikçi dosyası
Test gerekliliği Kalite Test kontrol listesi
Mevzuat tetikleyicisi Uyum Skor formu
Sözleşme şartı Hukuk Onaylı şartname
Yüksek risk kararı Uyum komitesi Karar tutanağı

RACI matrisini görev listesi değil karar listesi yapın

RACI matrisi yalnız “kim ne yapar” tablosu olarak hazırlanırsa etkisi sınırlı kalır. Doğru kullanımda matris, kritik kararları kapsar: yeni ürün kabulü, tedarikçi onayı, test raporu reddi, satış durdurma, yeni pazar açılışı, geri çağırma eskalasyonu ve prosedür revizyonu.

Her karar için bir hesap veren rol bulunmalıdır. Birden fazla ekip katkı verebilir; fakat nihai kararın sahibi belirsiz olmamalıdır. Karar sahibi tek, danışılan ekipler çok olabilir. Böylece gecikme “kim onaylayacak?” sorusunda takılmaz.

RACI tablosunu görev tanımlarına bağlayın. Uyum yöneticisinin skor metodunu, kalite liderinin test raporu kabulünü, satın alma liderinin tedarikçi kanıtını, hukuk ekibinin sözleşme ve otorite yazışmasını, üst yönetimin yüksek risk onayını hangi dokümanda üstlendiği görülebilmelidir.

Mevzuat tetikleyicilerini tek kapıya bağlayın

GPSR, ESPR (Ecodesign for Sustainable Products Regulation / Sürdürülebilir Ürünler İçin Eko Tasarım Tüzüğü), AI Act (Artificial Intelligence Act / Yapay Zekâ Tüzüğü) ve CRA (Cyber Resilience Act / Siber Dayanıklılık Tüzüğü) farklı ekipleri ilgilendirebilir. Sorun, her ekibin kendi düzenlemesini ayrı dosyada yönetmesiyle başlar.

Tek kapı yaklaşımı daha nettir. Ürün güvenliği tetikleyicisi GPSR’ye, sürdürülebilirlik ve ürün verisi tetikleyicisi ESPR’ye, yapay zekâ fonksiyonu AI Act’e, dijital unsur veya bağlantılı cihaz niteliği CRA’ya bağlanır. Mevzuat adı değil, karar tetikleyicisi skor modeline girer.

A risk management system shall be established, implemented, documented and maintained in relation to high-risk AI systems.

Regulation (EU) 2024/1689, Article 9

Yapay zekâ alanındaki bu gereklilik, dokümante edilmemiş risk sürecinin yeterli olmadığını açıkça gösterir. Aynı disiplin ürün güvenliği, siber güvenlik ve sürdürülebilirlik kararları için de uygulanmalıdır: sistem kurulmalı, işletilmeli, kaydedilmeli ve güncel tutulmalıdır.

The CRA entered into force on 10 December 2024. Its main provisions will start applying from 11 December 2027.

European Commission, Cyber Resilience Act summary

Takvim bilgisi, süreç kapsamının neden güncel tutulması gerektiğini hatırlatır. Dijital unsurlu ürünlerde teknik ekip ürün geliştirmeye başlamışken uyum kontrolü sona bırakılırsa, geç gelen siber gereklilikler lansmanı durdurabilir.

Yönetim onayı olmadan model tamamlanmış sayılmaz

Risk bazlı uyum yönetimi modeli, üst yönetim tarafından onaylanmadıkça departman içi kontrol listesi olarak kalır. Yönetim onayı; kapsamı, skor eşiklerini, satış durdurma yetkisini, tedarikçi blokajını, eskalasyon hattını ve raporlama sıklığını kapsamalıdır.

Yönetim raporunda uzun mevzuat listesi yerine karar verdiren alanlar bulunmalıdır: yüksek riskli ürünler, bekleyen tedarikçi belgeleri, blokaj kararları, açık düzeltici faaliyetler, yaklaşan uygulama tarihleri ve kapanmayan şikayetler. Risk raporu karar üretmiyorsa denetim kanıtı zayıftır.

Uygulama sırası sade tutulmalıdır. Önce kapsamı yazın. Sonra RACI matrisini karar noktalarına göre kurun. Ardından skor eşiklerini ve eskalasyon sürelerini belirleyin. En son yönetim onayıyla prosedürü yürürlüğe alın.

ISO 37301 yaklaşımı nasıl kullanılmalı?

ISO 37301 (Compliance Management Systems / Uyum Yönetim Sistemleri), uyumun kurulmuş, işletilen, değerlendirilen ve iyileştirilen bir yönetim sistemi olarak ele alınmasını destekler. Bu yaklaşım, risk bazlı uyum yönetimi modelini tek seferlik tablo olmaktan çıkarır.

It provides guidelines for establishing, developing, implementing, evaluating, maintaining, and improving an effective and responsive compliance management system within organizations.

ISO 37301:2021, ISO official standard page

Standart sayfasındaki bu ifade, modelin yaşam döngüsünü tarif eder. Skorlama tablosu kurulmalı, uygulanmalı, ölçülmeli, revize edilmeli ve iç denetimle test edilmelidir. Revize edilmeyen risk modeli kısa sürede eski mevzuat ve eski tedarikçi varsayımlarına dayanır.

Denetim için minimum kanıt seti

Denetimde gereksiz kalabalık yerine izlenebilir kanıt gerekir. Her yüksek risk kararı için ürün kapsam formu, skor formu, RACI kaydı, karar tutanağı, aksiyon planı ve kapanış kanıtı bulunmalıdır. Tedarikçi kaynaklı risklerde ek olarak tedarikçi beyanı, test raporu kontrolü ve düzeltici faaliyet kaydı aranmalıdır.

Yeni pazar kararlarında yerel gereklilik kontrolü, etiket ve dil kontrolü, satış kanalı onayı ve yönetim kararı dosyaya girmelidir. Siber veya yapay zekâ tetikleyicisi varsa teknik mimari, sorumlu ekip ve risk değerlendirme kaydı eklenmelidir. Kanıt seti, kararın neden verildiğini ve kimin onayladığını aynı anda göstermelidir.

Sıkça Sorulan Sorular

Risk bazlı uyum yönetimi şirkette ilk olarak neyle başlatılmalı?

İlk adım kapsam tablosudur. Şirket hangi ürünleri, tedarikçileri, pazarları, satış kanallarını ve mevzuat tetikleyicilerini modele alacağını yazılı hale getirmelidir. Kapsam netleşmeden RACI ve skor eşikleri doğru kurulamaz.

Ürün, tedarikçi ve pazar skoru ayrı mı hesaplanmalı?

Evet. Ürün skoru teknik riskleri, tedarikçi skoru kanıt ve üretim güvenilirliğini, pazar skoru yerel mevzuat ve satış koşullarını ölçer. Üç skor karar anında birleşmeli, fakat veri sahipleri ayrı kalmalıdır.

RACI matrisi hangi kararları kapsamalı?

RACI matrisi yeni ürün onayı, tedarikçi kabulü, test raporu reddi, satış durdurma, yeni pazar açılışı ve yüksek risk eskalasyonu gibi karar noktalarını kapsamalıdır. Her kararda tek hesap veren rol bulunmalı, danışılan ve bilgilendirilen ekipler ayrıca yazılmalıdır.

Yüksek risk skorunda satış otomatik durmalı mı?

Bu karar şirketin onaylı prosedüründe belirlenmelidir. Bazı yüksek risklerde satış durdurma, bazılarında ek test veya yönetim onayı yeterli olabilir. Önemli olan eşiklerin önceden yazılması ve her kararın kayıt altına alınmasıdır.

Risk bazlı uyum yönetimi için yönetim onayı neden gerekir?

Yönetim onayı, modelin departman inisiyatifi değil şirket prosedürü olduğunu gösterir. Satış durdurma, tedarikçi blokajı, ek test bütçesi ve yüksek risk raporlaması yönetim desteği olmadan sürdürülebilir şekilde uygulanamaz.

Kontrol sorusu

Risk bazlı uyum yönetimi modelinizde kapsam tablosu, RACI matrisi, yeni ürün akışı, ürün-tedarikçi-pazar skorları, yüksek risk eşikleri, yönetim onayı ve denetim kanıtları tek prosedür üzerinden izlenebilir mi?

Kaynaklar

Regulation (EU) 2023/988 on general product safety — 10 Mayıs 2023 tarihli AB Genel Ürün Güvenliği Tüzüğü’dür; güvenli ürün yükümlülüğü ve ekonomik operatör sorumlulukları için temel hukuk kaynağıdır.

Regulation (EU) 2024/1781 establishing a framework for the setting of ecodesign requirements for sustainable products — 13 Haziran 2024 tarihli ESPR metnidir; ürün sürdürülebilirliği, bilgi gereklilikleri ve dijital ürün pasaportu yaklaşımı için ana düzenlemedir.

Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence — 13 Haziran 2024 tarihli AI Act metnidir; yüksek riskli yapay zekâ sistemlerinde risk yönetimi, dokümantasyon ve yaşam döngüsü yaklaşımını düzenler.

Regulation (EU) 2024/2847 on horizontal cybersecurity requirements for products with digital elements — 23 Ekim 2024 tarihli CRA metnidir; dijital unsurlu ürünlerde siber güvenlik gereklilikleri, risk değerlendirmesi ve uygunluk yükümlülüklerini belirler.

European Commission Cyber Resilience Act summary — Avrupa Komisyonu’nun CRA için hazırladığı resmi özet sayfadır; uygulama takvimi, kapsam ve üretici yükümlülükleri hakkında kurumsal açıklama sağlar.

ISO 37301:2021 Compliance management systems — Requirements with guidance for use — ISO tarafından yayımlanan uluslararası standart sayfasıdır; uyum yönetim sisteminin kurulması, uygulanması, değerlendirilmesi ve iyileştirilmesi için yönetim sistemi çerçevesi sunar.

ETİKETLENDİ:ISO 37301pazar riskiRACI matrisirisk bazlı uyum yönetimisüreç haritasıtedarikçi riskiürün riskiuyum prosedürüyönetim onayı
Yorum yapılmamış

Bir yanıt yazın Yanıtı iptal et

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

ESPR Bağış İmha Kararı: Bağışsız İmha Mümkün mü?

Temel çıkarımlar ESPR bağış imha kararı, satılmamış ürünler için bağış hiç düşünülmeden…

ESPR İmha Yasağı Hasarlı Satılmamış Ürünler İçin de Geçerli mi?

Temel çıkarımlar Hasar tek başına imha izni değildir; onarım veya yenileme olasılığı…

ESPR Satılmamış Ürünlerin İmha Yasağı Tüm Ürünleri Kapsıyor mu?

Temel çıkarımlar ESPR satılmamış ürünlerin imha yasağı bugün tüm ürünleri kapsayan genel…

Linkedin Youtube
Teknik Uyum
  • Hakkında
  • İletişim
  • Yasal Uyarı ve Sorumluluk Reddi
  • Gizlilik ve Veri Güvenliği Politikası
  • Çerez Politikası
  • Kullanım Koşulları ve Fikri Mülkiyet
#
  • Anasayfa
  • Kategoriler
    • Ürün Uygunluğu
    • Kimyasal Uyum
    • Piyasa Dolaşımı
    • Sürdürülebilirlik
    • Uyum Yönetimi
  • TU Gündem
  • Güvensiz Ürün ve Recall Bildirimleri

Teknik standartlar sınırları çizmek için değil, dijital güveni ve sürekliliği inşa etmek için vardır.

Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?

Üye değil misiniz? Kayıt Ol