Temel çıkarımlar
- Uyum görev yetki belgesi, şirkette rol sınırı, karar yetkisi ve raporlama hattını tek yazılı çerçeveye bağlar.
- RACI (Responsible, Accountable, Consulted, Informed / Sorumlu, Hesap Veren, Danışılan, Bilgilendirilen), rol matrisi için denetimde en okunabilir araçtır.
- Süreç haritası, yeni ürün, yeni tedarikçi, yeni pazar ve mevzuat değişikliğinde hangi ekibin hangi adımı atacağını göstermelidir.
- GPSR (General Product Safety Regulation / Genel Ürün Güvenliği Tüzüğü), güvenli ürün kararının yazılı görev ve yetki hattıyla desteklenmesini gerektirir.
- Yönetim onayı, uyum organizasyonunu kişiye bağlı takipten denetlenebilir şirket prosedürüne dönüştürür.
Uyum görev yetki belgesi, uyum organizasyonu kurulurken hangi departmanın veri sağlayacağını, hangi rolün karar vereceğini ve hangi riskin yönetime raporlanacağını açıkça yazmalıdır. Belge; rol matrisi, süreç haritası, görev tanımı ve yönetim onayıyla desteklenmezse denetimde sorumluluk boşluğu ve gecikmiş üst bildirim ortaya çıkar.
Uyum görev yetki belgesi hangi problemi çözer?
Kurumsal uyum süreçlerinde en sık hata, görevlerin iyi niyetle paylaşılması fakat karar yetkisinin yazılmamasıdır. Ürün güvenliği kalite ekibinde, sözleşme hukukta, tedarikçi belgeleri satın almada, sürdürülebilirlik verisi çevre veya ürün ekibinde, siber güvenlik bilgi teknolojilerinde kalır. Ortak yönetişim belgesi yoksa bu parçalar denetimde tek karar zinciri oluşturmaz.
Uyum görev yetki belgesi bu dağınık yapıyı tek çerçeveye bağlar. Belge, kimin işi hazırladığını, kimin kararı onayladığını, kimden görüş alınacağını ve hangi seviyede raporlama yapılacağını gösterir. Belgenin amacı uyum ekibine sınırsız yetki vermek değil, kritik kararlarda rol boşluğunu kapatmaktır.
Economic operators shall place or make available on the market only safe products.
Regulation (EU) 2023/988, Article 5
Güvenli ürün yükümlülüğü, pazara arz kararının sadece satış veya ürün geliştirme hedefiyle verilemeyeceğini ortaya koyar. Ürün güvenliği değerlendirmesi, tedarikçi kanıtı, test raporu, etiket ve şikayet sinyali aynı karar hattında görülmelidir.
Kapsam önce süreçlerden, sonra departmanlardan çizilmeli
Uyum görev yetki belgesi hazırlanırken ilk soru “hangi departman dahil olsun?” değildir. Daha doğru soru, “hangi uyum kararları şirkette gecikirse risk doğar?” olmalıdır. Çünkü departman listesi tek başına denetim kanıtı üretmez; karar noktası, tetikleyici ve kayıt formatı üretir.
Kapsam en az şu süreçleri içermelidir: yeni ürün onayı, yeni tedarikçi açılışı, yeni pazar satışı, test raporu kabulü, mevzuat değişikliği analizi, ürün verisi eksikliği, yüksek riskli şikayet, satış durdurma, geri çağırma değerlendirmesi ve yönetim raporlaması. Uyum görev yetki belgesi karar anlarını isimlendirmiyorsa sahada uygulanamaz.
Kapsam dışı alanlar da yazılmalıdır. Vergi uyumu, kişisel veri, iş sağlığı ve güvenliği, rekabet hukuku veya finansal raporlama ayrı yönetişim altında yönetiliyorsa bu sınır açıkça belirtilmelidir. Sınır çizmek sorumluluktan kaçmak değildir; yanlış kanala giden işleri ve geciken kararları önler.
Rol matrisi hangi ekipleri kapsamalı?
Rol matrisi ürün geliştirme, satın alma, kalite, hukuk, uyum, sürdürülebilirlik, bilgi güvenliği, satış kanalları, müşteri hizmetleri, lojistik, iç denetim ve üst yönetimi kapsamalıdır. Her ekip aynı seviyede yetkili değildir; bazı ekipler veri sağlar, bazıları kontrol eder, bazıları karar verir, bazıları yalnız bilgilendirilir.
Ürün geliştirme ürün tanımını, teknik değişikliği ve kullanım senaryosunu bildirir. Satın alma tedarikçi belgesini, sözleşme şartlarını ve belge teslim takibini yürütür. Kalite test raporu, numune, uygunsuzluk ve düzeltici faaliyet kaydını yönetir. Hukuk sözleşme, otorite yazışması, sorumluluk ve geri çağırma metninde rol alır. Uyum ekibi mevzuat tetikleyicisini, prosedürü, karar kaydını ve raporlama hattını yönetir.
Üst yönetim ayrı bir satırda gösterilmelidir. Satış durdurma, tedarikçi blokajı, ek test bütçesi, geri çağırma, yeni yüksek riskli pazar kararı ve politika onayı yönetim desteği gerektirir. Yönetim rolü sadece rapor almak değil, belirli eşiklerde karar vermektir.
| Karar noktası | Ana rol | Denetim kanıtı |
|---|---|---|
| Yeni ürün kapsamı | Ürün sahibi | Kapsam formu |
| Tedarikçi belge kontrolü | Satın alma | Tedarikçi dosyası |
| Test raporu kabulü | Kalite | Rapor kontrol listesi |
| Mevzuat etki analizi | Uyum | Etki analizi kaydı |
| Sözleşme ve sorumluluk | Hukuk | Onaylı sözleşme şartı |
| Satış durdurma | Uyum komitesi | Karar tutanağı |
| Yüksek risk onayı | Üst yönetim | Yönetim kararı |
RACI matrisi görev listesi değil karar listesi olmalı
RACI matrisi, yalnız görev dağılımı tablosu olarak hazırlanırsa etkisi sınırlı kalır. Doğru kullanımda matris, kritik uyum kararlarını kapsar: yeni ürün kabulü, tedarikçi onayı, test raporu reddi, satış durdurma, yeni pazar açılışı, yüksek riskli şikayet ve geri çağırma üst bildirimi.
Her karar için tek nihai hesap veren rol bulunmalıdır. Birden fazla ekip katkı sağlayabilir; fakat karar sahibinin belirsiz olduğu süreçlerde gecikme hızla büyür. Karar sahibi tek, danışılan ekipler birden fazla olabilir.
RACI matrisi görev tanımlarıyla bağlanmalıdır. Uyum yöneticisinin prosedür sahibi olduğu, kalite liderinin rapor kabul yetkisi bulunduğu, satın almanın tedarikçi belge takibinden sorumlu olduğu ve üst yönetimin yüksek risk kararlarını onayladığı aynı doküman setinde görülmelidir.
Yeni mevzuat değişikliğinde uygulama akışı nasıl olmalı?
Uyum görev yetki belgesi, yalnız normal ürün akışını değil mevzuat değişikliği anını da tarif etmelidir. Yeni düzenleme veya resmi rehber yayımlandığında uyum ekibi ilk etki analizi kaydını açar. Ürün geliştirme etkilenen ürün ailelerini listeler. Satın alma tedarikçiden ek belge gerekip gerekmediğini kontrol eder. Kalite test ve dosya boşluğunu çıkarır. Hukuk sözleşme, otorite ve sorumluluk etkisini değerlendirir.
Etki düşükse aksiyon bölüm içinde kapatılabilir. Orta etkide görev ataması ve kapanış tarihi belirlenir. Yüksek etkide konu uyum komitesine, bütçe veya satış etkisi varsa üst yönetime çıkar. Mevzuat değişikliği akışı, “okundu” kaydıyla değil görev, süre ve karar kaydıyla kapanmalıdır.
Bu akışta raporlama formatı sade olmalıdır: hangi düzenleme değişti, hangi ürün veya pazar etkilendi, hangi departman aksiyon alacak, son tarih nedir, satışa etkisi var mı, yönetim kararı gerekiyor mu? Denetimde uzun mevzuat özeti değil, bu karar zinciri aranır.
Yeni ürün akışı uyum organizasyonuna nasıl bağlanır?
Yeni ürün geldiğinde ürün sahibi ürün tanım formunu açmalıdır. Bu form ürün grubu, hedef kullanıcı, kullanım amacı, teknik özellik, satış pazarı, tedarikçi, dijital unsur, kimyasal temas, çocuk veya hassas kullanıcı teması gibi alanları içermelidir.
Satın alma tedarikçi dosyasını oluşturur. Kalite test gerekliliğini belirler. Uyum ekibi mevzuat tetikleyicisini ve gerekli dosya seviyesini işaretler. Hukuk, sözleşme ve sorumluluk paylaşımı şartlarını kontrol eder. Bilgi güvenliği veya sürdürülebilirlik ekibi yalnız tetikleyici varsa sürece dahil edilir. Uyum görev yetki belgesi, yeni ürünün hangi kapıdan geçmeden satışa çıkamayacağını göstermelidir.
Yüksek riskli ürünlerde satışa açma kararı komite kaydı olmadan verilmemelidir. Orta riskli ürünlerde ek belge, ek test veya tedarikçi düzeltmesi aranabilir. Düşük riskli ürünlerde normal onay hattı çalışır; fakat karar yine kayıt altına alınır.
Raporlama hattı üç seviyeli kurulmalı
Raporlama hattı operasyon, uyum ve yönetim seviyesi olarak ayrılmalıdır. Operasyon seviyesi ürün, tedarikçi, test, şikayet ve satış kanalı verisini üretir. Uyum seviyesi bu veriyi risk, aksiyon, gecikme ve karar ihtiyacı olarak yorumlar. Yönetim seviyesi satış durdurma, bütçe, tedarikçi blokajı, geri çağırma ve stratejik pazar kararlarını ele alır.
Raporun amacı bilgi yığmak değil karar üretmektir. Yönetim raporunda uzun mevzuat anlatımı yerine karar bekleyen dosyalar, açık riskler, son tarih, sorumlu rol ve önerilen aksiyon bulunmalıdır. Raporlama hattı karar üretmiyorsa yönetişim kağıt üzerinde kalır.
İç denetim rolü ayrı tutulmalıdır. İç denetim modelin çalışıp çalışmadığını test eder; operasyon kararını devralmaz. Bu ayrım korunmazsa ikinci hat ve üçüncü hat sorumlulukları karışır.
GPSR, ESPR, AI Act ve CRA rol sınırına nasıl bağlanır?
Uyum organizasyonu farklı mevzuatları aynı yönetişim modeli içinde yönetmelidir. GPSR ürün güvenliği kararını; ESPR (Ecodesign for Sustainable Products Regulation / Sürdürülebilir Ürünler İçin Eko Tasarım Tüzüğü) sürdürülebilirlik, bilgi gereklilikleri ve dijital ürün pasaportu verisini; AI Act (Artificial Intelligence Act / Yapay Zekâ Tüzüğü) yüksek riskli yapay zekâ sistemlerinde risk yönetimini; CRA (Cyber Resilience Act / Siber Dayanıklılık Tüzüğü) dijital unsurlu ürünlerde siber güvenlik sorumluluğunu sürece bağlar.
Bu düzenlemeler aynı üründe kesişebilir. Bağlantılı, yazılım içeren ve tüketiciye sunulan bir ürün için kalite, bilgi güvenliği, hukuk, uyum, sürdürülebilirlik ve ürün geliştirme aynı dosyada çalışmak zorunda kalabilir. Uyum görev yetki belgesi mevzuat adlarını değil, bu mevzuatların şirkette doğurduğu karar rollerini yazmalıdır.
The information requirements shall provide that products can only be placed on the market or put into service if a digital product passport is available in accordance with the applicable delegated acts adopted pursuant to Article 4 and with Articles 10 and 11.
Regulation (EU) 2024/1781, Article 9
ESPR tarafındaki bu pasaport şartı, ürün verisi sahipliğinin neden rol matrisinde yer alması gerektiğini açıkça gösterir. Ürün verisi tedarikçide, teknik dosya kalitede, dijital erişim bilgi teknolojilerinde, mevzuat yorumu uyumda kalıyorsa tek sahipli pasaport süreci kurulamaz.
A risk management system shall be established, implemented, documented and maintained in relation to high-risk AI systems.
Regulation (EU) 2024/1689, Article 9
AI Act risk yönetimi için dokümantasyon disiplinini doğrudan kurar. Yapay zekâ özelliği bulunan ürünlerde uyum görev yetki belgesi, veri ekibi, ürün sahibi, hukuk, bilgi güvenliği ve uyum ekibinin karar sınırlarını önceden tanımlamalıdır.
The CRA entered into force on 10 December 2024. Its main provisions will start applying from 11 December 2027.
European Commission, Cyber Resilience Act summary
CRA takvimi, dijital unsurlu ürünlerde geç dahil olan uyum kontrolünün maliyet yaratacağını hatırlatır. Ürün geliştirme tamamlandıktan sonra güvenlik gereklilikleri fark edilirse lansman, tedarikçi ve teknik mimari kararları yeniden açılabilir.
ISO 37301 yaklaşımı görev ve yetki belgesine nasıl yansır?
ISO 37301 (Compliance Management Systems / Uyum Yönetim Sistemleri), uyumu tek seferlik kontrol değil, kurulan, işletilen, değerlendirilen ve iyileştirilen yönetim sistemi olarak ele alır. Uyum görev yetki belgesi de bu sistemin rol, yetki ve raporlama ayağıdır.
It provides guidelines for establishing, developing, implementing, evaluating, maintaining, and improving an effective and responsive compliance management system within organizations.
ISO 37301:2021, ISO official standard page
Bu yönetim sistemi mantığı, belgenin bir kez hazırlanıp arşive kaldırılmamasını gerektirir. Yeni ürün kategorisi, yeni pazar, mevzuat değişikliği, ciddi uygunsuzluk veya organizasyon değişikliği sonrası rol matrisi yeniden gözden geçirilmelidir.
Yönetim onayı hangi maddeleri kapsamalı?
Yönetim onayı yalnız imza sayfası olmamalıdır. Onayda kapsam, rol matrisi, karar eşikleri, satış durdurma yetkisi, tedarikçi blokajı, kritik üst bildirim hattı, raporlama sıklığı ve iç denetim periyodu yer almalıdır. Yönetimin onaylamadığı yetki, kriz anında uygulanması zor yetkidir.
Onay metni pratik sorulara cevap vermelidir. Hangi risk doğrudan üst yönetime çıkar? Hangi ekip belge eksikliği nedeniyle satışı durdurabilir? Hangi komite geri çağırma değerlendirmesi yapar? Hangi durumlarda ek test bütçesi serbest bırakılır?
Bu cevaplar yazılı değilse yüksek riskli olaylarda zaman kaybedilir. Denetçi de yalnız belgenin varlığına değil, belgenin yönetim tarafından kabul edilip işletilip işletilmediğine bakar.
Denetim için minimum kanıt seti
Denetimde güçlü dosya, çok sayıda bağımsız belgeden değil, kopmayan karar zincirinden oluşur. Minimum set; uyum görev yetki belgesi, RACI matrisi, süreç haritası, görev tanımları, yönetim onayı, komite karar tutanakları, açık aksiyon listesi ve kapanış kanıtlarıdır.
Yüksek riskli bir ürün dosyasında ürün kapsam formu, tedarikçi dosyası, test raporu kontrolü, mevzuat etki analizi, karar tutanağı, satış durdurma veya devam kararı ve aksiyon kapanışı gösterilmelidir. Denetimde asıl değer, belgenin çokluğu değil kararın kimden geçerek verildiğinin izlenebilmesidir.
Şirketler uygulamaya üç adımla başlayabilir. Önce kapsamı ve karar noktalarını yazın. Sonra RACI matrisini ve süreç haritasını bu karar noktalarına bağlayın. Ardından yönetim onayıyla raporlama ve üst bildirim eşiklerini yürürlüğe alın.
Sıkça Sorulan Sorular
Uyum görev yetki belgesi şirkette ne işe yarar?
Uyum görev yetki belgesi, hangi departmanın hangi uyum kararında veri sağlayacağını, karar vereceğini, danışılacağını ve raporlanacağını yazılı hale getirir. Rol sınırı netleştiğinde denetimde sorumluluk boşluğu ve gecikmiş üst bildirim riski azalır.
Uyum organizasyonu için RACI matrisi hangi kararları kapsamalı?
RACI matrisi yeni ürün onayı, tedarikçi kabulü, test raporu reddi, yeni pazar açılışı, yüksek riskli şikayet, satış durdurma ve geri çağırma değerlendirmesi gibi kritik kararları kapsamalıdır. Her kararda tek nihai karar sahibi bulunmalıdır.
Uyum görev yetki belgesi yönetim onayı olmadan yeterli olur mu?
Hayır. Yönetim onayı yoksa satış durdurma, tedarikçi blokajı, ek test bütçesi ve yüksek risk raporlaması departman inisiyatifine kalır. Denetlenebilir yönetişim için kapsam, rol matrisi ve karar eşikleri yönetim tarafından onaylanmalıdır.
Yeni mevzuat değişikliği geldiğinde kim sorumlu olmalı?
Uyum ekibi ilk etki analizi kaydını açmalı, ürün sahibi etkilenen ürünleri listelemeli, kalite test boşluğunu, satın alma tedarikçi belge etkisini, hukuk sözleşme ve sorumluluk etkisini kontrol etmelidir. Yüksek etki varsa konu uyum komitesine ve gerekirse yönetime çıkarılmalıdır.
GPSR, ESPR, AI Act ve CRA aynı rol matrisi içinde yönetilebilir mi?
Evet, aynı rol matrisi içinde yönetilebilir; ancak her mevzuat için ayrı tetikleyici, veri sahibi ve karar noktası yazılmalıdır. Ürün güvenliği, sürdürülebilirlik, yapay zekâ ve siber güvenlik sorumlulukları farklı ekiplerde olsa da raporlama hattı tek yönetişim modeli içinde izlenmelidir.
Kontrol sorusu
Uyum görev yetki belgesi içinde kapsam, RACI matrisi, süreç haritası, görev tanımları, mevzuat değişikliği akışı, raporlama hattı, yönetim onayı ve denetim kanıtı tek karar zinciri olarak izlenebilir mi?
Kaynaklar
Regulation (EU) 2023/988 on general product safety — 10 Mayıs 2023 tarihli AB Genel Ürün Güvenliği Tüzüğü’dür; güvenli ürün yükümlülüğü ve ekonomik operatör sorumlulukları için temel hukuk kaynağıdır.
Regulation (EU) 2024/1781 establishing a framework for the setting of ecodesign requirements for sustainable products — 13 Haziran 2024 tarihli ESPR metnidir; ürün sürdürülebilirliği, bilgi gereklilikleri ve dijital ürün pasaportu yaklaşımı için ana düzenlemedir.
Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence — 13 Haziran 2024 tarihli AI Act metnidir; yüksek riskli yapay zekâ sistemlerinde risk yönetimi, dokümantasyon ve yaşam döngüsü yaklaşımını düzenler.
Regulation (EU) 2024/2847 on horizontal cybersecurity requirements for products with digital elements — 23 Ekim 2024 tarihli CRA metnidir; dijital unsurlu ürünlerde siber güvenlik gereklilikleri, risk değerlendirmesi ve uygunluk yükümlülüklerini belirler.
European Commission Cyber Resilience Act summary — Avrupa Komisyonu’nun CRA için hazırladığı resmi özet sayfadır; yürürlük tarihi, uygulama takvimi ve üretici yükümlülükleri hakkında kurumsal açıklama sağlar.
ISO 37301:2021 Compliance management systems — Requirements with guidance for use — ISO tarafından yayımlanan uluslararası standart sayfasıdır; uyum yönetim sisteminin kurulması, uygulanması, değerlendirilmesi ve iyileştirilmesi için yönetim sistemi çerçevesi sunar.