Yüzlerce yönetim sistemi sertifikası tartışmalı hale geldi. Üniversiteler ve şirketler yeniden belgelendirme baskısıyla karşı karşıya.
Türkiye’de faaliyet gösteren bir belgelendirme kuruluşunun, sertifikalandırma yetkisinde yani akreditasyon statüsünde 27 nisanda geniş “geri çekmeler” yaşandı. Konuyu araştırdık, 75 kadar ISO 27001 belgesinin çok kısa sürede ve muhtemelen denetim bile yapılmadan verildiği notu var. Konuyla ilgili taraflara cevap hakkı kapsamında soru gönderdik. İkinci haberimizde daha detaylı anlatacağız.
Akreditasyon geri çekmeleri sonrası, kamuoyunda yaklaşık 500 civarında yönetim sistemi sertifikasının geçerliliğinin ve güvenilirliğinin tartışma konusu olduğu konuşuluyor. Etkilenen kurumlar arasında özel şirketlerin yanı sıra bazı üniversitelerin de bulunduğu belirtiliyor.
Gelişme, özellikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kalite yönetimi ve diğer kurumsal sertifikasyon alanlarında yeni bir güven tartışmasını beraberinde getirdi. Ama 27 nisan 2026’da geri çekilen akreditasyon yetkileri arasında şunlar var;
- TS EN ISO 14001 – Çevre Yönetim Sistemi Belgilendirmesi
- TS EN ISO 9001 – Kalite Yönetim Sistemi Belgelendirmesi
- TS EN ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sistemi Belgelendirmesi
- TS ISO/ IEC 27701 – Kişisel Verilerin Yönetimi için ISO\IEC 27001 ve ISO\IEC 27002 Standartlarına Yapılan Eklemeler
Sertifika alan kurumlar şimdi ne yapacak?
Uzmanlara göre, sertifika veren kuruluşun akreditasyonunun geri çekilmesi ya da kapsamlarının iptal edilmesi, sertifika sahibi kurumların işin kolayına kaçtıklarını, süreçleri yaşamadan belge alma çabasında olduklarını gösteriyor. Doğal olarak şimdi bu kurumların yeniden belgelendirme, sertifika transferi veya bağımsız denetimden geçme süreci başlayabilir. Çünkü, Birçok sözleşmede ve ihalede geçerli sertifika şartı bulunduğu için, statü değişikliği ticari sonuçlar da doğurabilir.
Özellikle şu alanlarda acil aksiyon gerekebileceği belirtiliyor:
- Kamu ihalelerine giren şirketler
- Banka ve finans sektörüne hizmet veren firmalar
- Veri işleyen teknoloji şirketleri
- Öğrenci ve personel verisi yöneten üniversiteler
- Uluslararası müşterilerle çalışan ihracatçı kurumlar
Üniversiteler neden kritik başlık?
Etkilenen kurumlar arasında üniversitelerin bulunması, konunun önemini artırdı. Çünkü yükseköğretim kurumlarında sertifikalar çoğu zaman, öğrenci bilgi sistemleri, personel verileri, veri merkezleri, araştırma altyapıları, kalite yönetim süreçleri konularında alınıyor. Uzmanlara göre üniversitelerin, bilgi güvenliği kontrollerinin gerçekten çalıştığını bağımsız şekilde yeniden göstermek zorunda kalabileceği belirtiliyor.
“Gerçek denetim” ile “kâğıt sertifika” farkı
Olay, Türkiye’de uzun süredir konuşulan başka bir tartışmayı da yeniden gündeme taşıdı. Sertifika piyasasında kalite farkı. Uzmanlara göre ciddi belgelendirme süreçlerinde şu başlıklar denetleniyor:
- Risk analizi
- Veri erişim yetkileri
- İç denetim kayıtları
- Yedekleme testleri
- Olay müdahale planları
- Personel eğitimleri
- Yönetim gözden geçirme toplantıları
Ancak bazı zayıf uygulamalarda yalnızca evrak toplanıp kısa sürede sertifika verildiği, sahaya inilmediği ve gerçek kontrol yapılmadığı yönünde sektör eleştirileri bulunuyor.
Uzmanlara göre kurumların yeni sertifika alırken, belgelendirme kuruluşunun akreditasyonu aktif mi, denetçi yetkinliği nedir, denetim kaç gün sürecek, uygunsuzluk bulunursa belge yine de verilecek mi, sertifika uluslararası tanınıyor mu gibi soruları sorması gerekir.
Uzmanlara göre asıl sorun tek tek kurumlar değil, genel güven algısı. Eğer sertifika sistemi zedelenirse, iyi yönetilen şirketlerle göstermelik belge alanlar aynı görünür. Bu durum, ihracatta güven kaybı, kamu alımlarında kalite sorunu, üniversitelerde veri güvenliği sorgusu, Türk sertifikasyon piyasasında itibar kaybı gibi sonuçlar doğurabilir.
Yani yüzlerce sertifikanın tartışmalı hale gelmesi, sadece teknik bir akreditasyon meselesi değil; Türkiye’de kurumsal yönetişim, bilgi güvenliği ve denetim kalitesi açısından önemli bir uyarı olarak görülüyor.
Kaynak : 