ISO 19011, yönetim sistemleri tetkikine kılavuzluk eden uluslararası standardın dördüncü baskısıyla (ISO 19011:2026) yenilendi. ISO, standardı 27 Mayıs 2026 tarihinde yayımlarken aynı gün üçüncü baskı olan ISO 19011:2018’i geri çekti. Yeni baskı, tetkik sürecinin çekirdeğini ve yedi temel ilkesini korurken; uzaktan tetkik, sanal lokasyon ve risk temelli düşünce konularında belirgin bir güncelleme getiriyor.
Bu rehber; standardın ne olduğunu, madde yapısını, yedi tetkik ilkesini, tetkik aşamalarını, ISO 19011:2018’e göre değişen yanlarını, ISO/IEC 27001 ve KVKK tetkikleri açısından sonuçlarını ve kuruluşların atması gereken adımları kapsamlı biçimde ele alıyor.
İçindekiler
- ISO 19011 nedir?
- ISO 19011:2026 ne zaman yayımlandı?
- Standardın kapsamı ve niteliği
- ISO 19011 madde yapısı (Madde 4–7 ve Annex A)
- Yedi tetkik ilkesi
- Tetkik aşamaları: program, planlama, yürütme, raporlama, takip
- ISO 19011:2026 ile ne değişti?
- ISO 19011:2018 ve 2026 karşılaştırması
- ISO/IEC 27001 ve KVKK tetkikleri açısından sonuçlar
- Kuruluşlar için uygulama adımları
- Hazırlanması önerilen belgeler
- Sıkça sorulan sorular
ISO 19011 nedir?
ISO 19011, ISO 9001 (kalite), ISO 14001 (çevre), ISO 45001 (iş sağlığı ve güvenliği), ISO 22000 (gıda güvenliği), ISO 50001 (enerji) ve ISO/IEC 27001 (bilgi güvenliği) gibi yönetim sistemlerinin iç ve dış tetkiklerine yöntemsel zemin sağlayan bir kılavuz standardıdır. Standart; tetkik ilkelerini, tetkik programının yönetimini, tetkik faaliyetlerinin planlanması ile yürütülmesini ve tetkikçi yetkinliğinin belirlenmesi ile değerlendirilmesini kapsar.
Standardın tarihçesi 1990 yılına, ISO 10011 serisine dayanır. Kalite ve çevre tetkik kılavuzları 2002’de ISO 19011 çatısı altında birleştirildi; 2011 baskısı tüm yönetim sistemlerini kapsayacak şekilde genişletildi. Türkiye’de standardın karşılığı TSE tarafından TS EN ISO 19011 koduyla yayımlanır; üçüncü baskı 19 Kasım 2018 tarihinde TS EN ISO 19011:2018 olarak yürürlüğe girmişti.
Türkçe literatürde standardın konusu için “denetim” ve “tetkik” terimleri birlikte kullanılır; belgelendirme ve TSE bağlamında yerleşik karşılık tetkiktir. Bu yazıda da ağırlıklı olarak “tetkik” terimi tercih edilmiştir.
ISO 19011:2026 ne zaman yayımlandı?
ISO 19011:2026, 27 Mayıs 2026 tarihinde dördüncü baskı olarak yayımlandı. Standardın resmi katalog kaydı 88984 numarası altında, durum kodu 60.60 (yayımlandı) olarak görünüyor. ISO 19011:2018’in kaydı ise aynı tarihte 95.99 (geri çekildi) durumuna geçti.
Kılavuz standardı olması nedeniyle ISO 19011:2026 için geçiş süresi öngörülmedi; yayım tarihi itibarıyla yürürlükte. Bu, belgelendirilebilir standartlardaki (örneğin ISO/IEC 27001 için tanınan üç yıllık geçiş takvimi gibi) düzenden farklı bir durum ve tetkik programlarının gecikmeden güncellenmesini gerektiriyor.
Standardın kapsamı ve niteliği
Burada kritik bir ayrım var: ISO 19011 bir gereklilik standardı değil, bir kılavuz standardıdır. Kuruluşlar ISO 19011’e göre belgelendirilemez; standart denetlenebilir şart içermez. İşlevi, belgelendirilebilir standartların tetkiklerinde ortak, tutarlı ve güvenilir bir çerçeve sunmaktır.
Standart üç farklı tetkik türüne uygulanabilir:
- Birinci taraf tetkikleri (iç tetkik): Kuruluşun kendi yönetim sistemini kendi adına tetkik etmesi. Neredeyse tüm yönetim sistemi standartları iç tetkiki zorunlu kılar.
- İkinci taraf tetkikleri (tedarikçi tetkiki): Kuruluşun tedarikçilerini veya sözleşmeli taraflarını tetkik etmesi.
- Üçüncü taraf tetkikleri: Bağımsız belgelendirme kuruluşlarınca yürütülen tetkikler. Üçüncü taraf tetkikçi yetkinliği için ISO/IEC 17021-1 ile birlikte değerlendirilir.
Bir kuruluş farklı disiplinlerde iki veya daha fazla yönetim sistemi işletiyorsa, bunlar tek bir tetkik programında kombine tetkik olarak ele alınabilir. Bu yaklaşım, entegre yönetim sistemleri (kalite + çevre + bilgi güvenliği) işleten kuruluşlar için kaynak verimliliği sağlar.
ISO 19011 madde yapısı (Madde 4–7 ve Annex A)
ISO 19011, Annex SL formatını izlemez; ancak risk temelli bir yaklaşıma sahiptir. Standardın ana maddeleri şunlardır:
- Madde 4 – Tetkik ilkeleri: Tetkikin temel niteliğini açıklar. Madde 5 ila 7’deki rehberlik bu ilkeler üzerine kuruludur.
- Madde 5 – Tetkik programının yönetimi: Program amaçlarının belirlenmesi; program risk ve fırsatlarının değerlendirilmesi; programın oluşturulması, uygulanması, izlenmesi, gözden geçirilmesi ve iyileştirilmesi.
- Madde 6 – Tetkikin yürütülmesi: Tetkikin başlatılması, hazırlık, tetkik faaliyetlerinin yerine getirilmesi (açılıştan kapanış toplantısına), raporun hazırlanması ile dağıtımı, tamamlanması ve takip faaliyetleri.
- Madde 7 – Tetkikçi yetkinliği ve değerlendirilmesi: Tetkikçi yetkinliğinin belirlenmesi, değerlendirme kriterlerinin oluşturulması, uygun yöntemin seçilmesi, değerlendirmenin uygulanması ve yetkinliğin sürdürülmesi.
- Annex A (bilgilendirici): Tetkikçiler için ek rehberlik. 2026 baskısında uzaktan tetkik yöntemleri ve sanal lokasyonlar etrafında belirgin biçimde güçlendirildi.
Not: Madde içi alt başlık numaraları ve Annex A alt başlık dağılımının nihai standart metninden teyit edilmesi önerilir.
Yedi tetkik ilkesi
Madde 4, tetkikin dayandığı yedi ilkeyi tanımlar. Bu ilkelere uyum; bağımsız çalışan tetkikçilerin benzer koşullarda benzer sonuçlara ulaşmasını ve tetkik sonuçlarının ilgili ile yeterli olmasını sağlar.
| İlke | Açıklama |
|---|---|
| Dürüstlük | Profesyonelliğin temeli. Tetkikçi çalışmasını ahlaklı, dürüst ve sorumlu biçimde, yalnızca yetkin olduğu alanda yürütür. |
| Adil sunum | Gerçeği ve doğruyu raporlama yükümlülüğü. Bulgular, sonuçlar ve raporlar tetkik faaliyetlerini doğru yansıtır; çözülmemiş görüş ayrılıkları bildirilir. |
| Mesleki özen | Tetkikte titizlik ve sağlam karar verme. Tetkikçi, görevinin önemiyle orantılı özen gösterir. |
| Gizlilik | Bilginin güvenliği. Tetkik sırasında edinilen bilgi uygun biçimde korunur ve uygunsuz kullanılmaz. |
| Bağımsızlık | Tarafsızlığın ve sonuçların objektifliğinin esası. Tetkikçi, mümkün olduğunca tetkik edilen faaliyetten bağımsız ve önyargısız olur. |
| Kanıt temelli yaklaşım | Güvenilir ve yeniden üretilebilir sonuçlara ulaşmak için rasyonel yöntem. Sonuçlar doğrulanabilir kanıta dayanır. |
| Risk temelli yaklaşım | 2018’de yedinci ilke olarak eklendi; 2026 baskısında çekirdek ilke olarak güçlendirildi. Tetkikçi, risk ve fırsatları planlama ile yürütme boyunca dikkate alır. |
Tetkik aşamaları: program, planlama, yürütme, raporlama, takip
ISO 19011, tetkiki PDCA (Planla–Uygula–Kontrol Et–Önlem Al) mantığıyla yönetilen bir süreç olarak ele alır. Tipik akış şu aşamalardan oluşur:
- Tetkik programının oluşturulması: Amaçların tanımlanması, risk ve fırsatların değerlendirilmesi, kaynakların belirlenmesi. Program; kuruluşun büyüklüğüne, yapısına ve karmaşıklığına göre ölçeklenir.
- Tetkikin başlatılması: Tetkik ekibinin atanması, tetkik edilenle ilk temas, fizibilitenin belirlenmesi.
- Hazırlık: Dokümante bilginin gözden geçirilmesi, tetkik planının hazırlanması, ekip içi görev dağılımı, çalışma dokümanlarının hazırlanması.
- Tetkik faaliyetlerinin yürütülmesi: Açılış toplantısı, bilgi toplama ve doğrulama, tetkik bulgularının oluşturulması, tetkik sonuçlarının hazırlanması, kapanış toplantısı.
- Raporun hazırlanması ve dağıtımı: Tetkik raporunun düzenlenmesi ve ilgili taraflara iletilmesi.
- Tetkikin tamamlanması ve takip: Düzeltici faaliyetlerin kanıtlanması, takip tetkiki ve etkinliğin doğrulanması.
ISO 19011:2026 ile ne değişti?
Revizyon köklü bir dönüşüm değil, teknik bir güncellemedir. Tetkik felsefesi, yedi ilke ve temel madde yapısı korunurken mevcut rehberlik açıklığa kavuşturulmuş ve genişletilmiştir.
1. Uzaktan ve hibrit tetkik artık resmen tanımlı
En belirgin fark, uzaktan tetkik yöntemlerinin standart metninde resmen tanımlanmasıdır. 2018 baskısında istisnai bir yaklaşım sayılan uzaktan tetkik, artık yerleşik bir yöntem olarak kabul ediliyor. Bu genişletme, ISO/IEC TS 17012:2024 (uzaktan tetkik yöntemleri kılavuzu) içeriğiyle hizalandı. ISO/IEC TS 17012, uzaktan yöntemlerin yerinde tetkikin yerine geçmek için değil, tetkiki etkin ve verimli yürütmek için bir araç olarak tasarlandığını vurguluyor.
2. Sanal lokasyon kavramı tetkik kapsamına girdi
Sanal lokasyon, kuruluş çalışanlarının fiziksel konumlarından bağımsız olarak süreçlerini yürüttükleri veya hizmet sundukları dijital ortamı ifade eder; bulut sistemleri, uzaktan çalışma platformları ve çevrim içi hizmet altyapıları bu kapsamdadır. Tetkik artık yalnızca fiziksel sahalarla sınırlı değil; süreçler fiilen gerçekleştiği yerde değerlendirilmeli. Bu, tetkikçinin fiziksel kontrolleri gözlemlemenin ötesine geçerek sistem tabanlı kontrolleri, erişim haklarını ve dijital kanıtı aynı titizlikle ele almasını gerektiriyor.
3. Annex A güçlendirildi
Annex A bilgilendirici bir araç seti olma niteliğini koruyor; ancak dijital ve uzaktan tetkik pratiği etrafında belirgin biçimde güçlendirildi. Tetkik yöntemleri başlığı, yerinde/uzaktan/hibrit yöntem seçimi için riske, dijital olgunluğa ve kanıt ihtiyacına dayalı yapılandırılmış rehberlik sunuyor. Uzaktan tetkik başlığı ise ISO/IEC TS 17012 içeriğiyle genişletilerek fizibilite değerlendirmesi, platform güvenliği, teknoloji arızasına karşı acil durum planlaması ve program genelinde uzaktan-yerinde denge konularını kapsıyor. Disipline özgü tetkikçi yetkinliği eki (2018’de kaldırılmıştı) yine yer almıyor; bunun yerine ISMS tetkikleri için ISO/IEC 27007 gibi sektöre özgü standartlara yönlendiriliyor.
4. Risk temelli düşünce çekirdek ilke oldu
Risk temelli düşünce 2018 baskısında rehber boyunca atıfla yer alıyordu; 2026 baskısında tetkik ilkeleri arasına doğrudan gömülerek çekirdek ilkeye yükseltildi. Tetkikçinin, program yönetimi ve tetkik icrası boyunca en yüksek risk ve önem taşıyan alanlara odaklanması bekleniyor.
5. Tetkikçi yetkinliği genişledi
Yetkinlik tanımı, standartların teknik bilgisinin ötesine taşındı. Uzaktan tetkik, dijital kanıt değerlendirmesi, siber güvenlik farkındalığı ve sektöre özgü risk anlayışı; hibrit ve dijital ortamlarda iletişim ile iş birliği becerileriyle birlikte yetkinliğe dahil edildi.
6. Tedarik zinciri ve dış kaynaklı operasyonlar
Güncellenmiş rehberlik; bulut hizmetleri, üçüncü taraf sağlayıcılar ve dijital olarak dağıtık operasyonların tetkikinde kararların, kontrollerin ve dış kaynaklı işlevlerin nerede yönetildiğinin anlaşılmasına daha fazla ağırlık veriyor.
ISO 19011:2018 ve 2026 karşılaştırması
| Konu | ISO 19011:2018 | ISO 19011:2026 |
|---|---|---|
| Uzaktan tetkik | Annex A’da sınırlı, tamamlayıcı rehberlik | Metinde resmen tanımlı; ISO/IEC TS 17012 ile hizalı |
| Sanal lokasyon | Tanım düzeyinde değiniliyor | Tetkik kapsamının açık bileşeni |
| Risk temelli yaklaşım | Yedinci ilke olarak eklendi | Çekirdek ilke olarak güçlendirildi |
| Tetkikçi yetkinliği | Genel yetkinlik şartları | Dijital kanıt, siber güvenlik, uzaktan tetkik becerileri eklendi |
| Annex A | Bağlam, liderlik, sanal tetkik kavramları | Uzaktan yöntem ve sanal lokasyon etrafında genişletildi |
| Yöntem seçimi | Yerinde yöntem varsayılan | Yerinde/uzaktan/hibrit bilinçli seçim ve gerekçe |
| Geçiş süresi | Yok (kılavuz standardı) | Yok (kılavuz standardı) |
ISO/IEC 27001 ve KVKK tetkikleri açısından sonuçlar
Bilgi güvenliği yönetim sistemi tetkiklerini yürüten kuruluşlar için yeni baskının pratik yansımaları belirgin:
- Sanal lokasyon tetkiki: ISMS kapsamındaki bulut ortamları, SaaS bileşenleri ve uzaktan çalışma altyapıları artık açıkça tetkik kapsamının parçası. Erişim hakları, kimlik yönetimi ve sistem tabanlı kontroller dijital kanıt üzerinden değerlendirilmeli.
- Dijital kanıt güvenilirliği: Yalnızca doğrulanabilir ve yeterli kanıta dayanma ilkesi; ekran paylaşımı, log kayıtları ve uzaktan erişim oturumları bağlamında daha sıkı uygulanmalı.
- Platform güvenliği ve gizlilik: Uzaktan tetkikte kullanılan platformların güvenliği ve tetkik sırasında işlenen verilerin korunması, 6698 sayılı KVKK madde 12 teknik tedbirleri ile ISO/IEC 27001 Annex A kontrolleriyle paralel biçimde gözetilmeli.
- Yöntemin gerekçelendirilmesi: Tetkikin yerinde mi, uzaktan mı, hibrit mi yürütüleceği; riske, karmaşıklığa, bilgiye erişime ve fizibiliteye dayalı olarak gerekçelendirilmeli ve kayıt altına alınmalı.
Kuruluşlar için uygulama adımları
- Tetkik programını revize edin: İç tetkik prosedürleri ve program dokümantasyonu, uzaktan/hibrit yöntem seçim kriterlerini ve sanal lokasyon kapsamını içerecek şekilde güncellenmeli.
- Yetkinlik matrisini gözden geçirin: İç tetkikçi yetkinlik kriterlerine dijital kanıt değerlendirme, uzaktan tetkik ve siber güvenlik farkındalığı eklenmeli.
- Yöntem seçim kriteri tanımlayın: Riske dayalı bir karar modeli (yerinde / uzaktan / hibrit) Annex A mantığıyla oluşturulmalı.
- Teknoloji ve acil durum planı kurun: Uzaktan tetkik platformlarının güvenlik gereklilikleri ve teknoloji arızası senaryoları için yedek planlar tanımlanmalı.
- ISO/IEC TS 17012 ile hizalayın: Uzaktan tetkik uygulamaları TS 17012:2024 ile paralel yürütülmeli.
- Tetkikçileri bilgilendirin: Mevcut iç tetkikçilere yeni baskının getirdiği değişiklikler için bilgilendirme/yenileme eğitimi sağlanmalı.
Hazırlanması önerilen belgeler
- Güncellenmiş iç tetkik prosedürü (uzaktan/hibrit yöntem ve sanal lokasyon hükümleriyle)
- Tetkikçi yetkinlik ve değerlendirme matrisi (dijital/uzaktan tetkik becerileri dahil)
- Tetkik yöntemi seçim formu (riske dayalı yerinde/uzaktan/hibrit karar kaydı)
- Uzaktan tetkik fizibilite ve platform güvenliği kontrol listesi
- Güncellenmiş yıllık tetkik programı (sanal lokasyonlar kapsama dahil)
- Tetkik planı ve tetkik raporu şablonları (dijital kanıt referansları içerecek biçimde)
Nesil Teknoloji; ISO/IEC 27001 ve KVKK uyum projelerinde tetkik programı kurulumu, iç tetkikçi yetkinlik yapısı ve dokümantasyon hazırlığı konularında danışmanlık sağlar.
Sıkça sorulan sorular
ISO 19011:2026 ne zaman yayımlandı?
27 Mayıs 2026 tarihinde dördüncü baskı olarak yayımlandı; aynı tarihte ISO 19011:2018 geri çekildi.
ISO 19011’e göre belgelendirme alınabilir mi?
Hayır. ISO 19011 bir kılavuz standardıdır, denetlenebilir şart içermez. Belgelendirme, ISO 9001 veya ISO/IEC 27001 gibi gereklilik standartları üzerinden alınır.
ISO 19011:2026 için geçiş süresi var mı?
Hayır. Kılavuz standardı olduğundan yayım tarihi itibarıyla yürürlüktedir; belgelendirilebilir standartlardaki çok yıllı geçiş takvimi bu standart için geçerli değildir.
2026 baskısındaki en önemli değişiklik nedir?
Uzaktan ve hibrit tetkik yöntemlerinin ISO/IEC TS 17012:2024 ile hizalı biçimde resmen tanımlanması ve sanal lokasyon kavramının tetkik kapsamına açıkça girmesidir.
ISO 19011’in kaç tetkik ilkesi vardır?
Yedi: dürüstlük, adil sunum, mesleki özen, gizlilik, bağımsızlık, kanıt temelli yaklaşım ve risk temelli yaklaşım.
ISO 19011 ile ISO/IEC 17021 arasındaki fark nedir?
ISO 19011 tüm tetkik türlerine (iç, tedarikçi, üçüncü taraf) genel kılavuzluk eder. ISO/IEC 17021-1 ise yalnızca üçüncü taraf belgelendirme kuruluşları ve onların tetkikçi yetkinliği için zorunlu şartları tanımlar.
ISO 19011:2026 hangi standartların tetkikinde kullanılır?
ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 50001, ISO/IEC 27001 ve diğer yönetim sistemi standartlarının iç ve dış tetkiklerinde kılavuz olarak kullanılır.
