ISO 42001 Belgesi Nasıl Alınır? Adım Adım Süreç

ISO 42001 belgesi nasıl alınır sorusunun yanıtı, planlı bir yönetim sistemi kurulumundan geçer. Süreç; kapsam belirleme, gap analizi, dokümantasyon, iç denetim ve akredite kuruluş denetimi adımlarını izler. Bu rehberde ISO 42001 belgelendirme sürecinin her adımını, tahmini süreleri ve maliyet unsurlarını bulacaksınız. Standardı henüz tanımıyorsanız önce ISO 42001 nedir rehberimizi okuyun.

1. Başlangıç: kapsam ve liderlik desteği

Belgelendirme yolculuğu üst yönetim kararıyla başlar. Bu aşamada:

  • AIMS kapsamını belirlersiniz: hangi AI sistemleri, hangi birimler, hangi lokasyonlar (Madde 4.3).
  • İç/dış tarafların beklentilerini analiz edersiniz: müşteri denetimleri, EU AI Act, KVKK (Madde 4.2).
  • AI politikasını ve üst yönetim taahhüdünü yayınlarsınız (Madde 5.1–5.2).
  • Rolleri atarsınız: AIMS sorumlusu, risk sahipleri, iç denetçi adayları (Madde 5.3).

Kapsamı dar tutmak ilk belgelendirmede meşru bir stratejidir; kritik AI sistemleriyle başlayıp sonraki yıllarda genişletebilirsiniz.

2. Gap analizi

Mevcut durumunuzu standardın gereksinimleriyle karşılaştırırsınız. Çıktı: madde madde uyum durumu, eksik listesi ve önceliklendirilmiş aksiyon planı. Hızlı bir ilk ölçüm için ücretsiz gap analizi aracımızı kullanabilirsiniz — 25 soru, 10 dakika, anında skor.

3. AIMS dokümantasyonu

Zorunlu dokümantasyon çekirdeği:

DokümanİçerikDayanak
Kapsam beyanıSistemler, birimler, sınırlarMadde 4.3
AI politikasıİlkeler, taahhütler, etik çerçeveMadde 5.2
Risk metodolojisiDeğerlendirme kriterleri, kabul eşiğiMadde 6.1
AI etki değerlendirmesiBirey/toplum etkileriMadde 6.1.4
AI sistem envanteriSistem, amaç, veri, risk seviyesiEk A
Uygulanabilirlik Bildirgesi (SoA)38 kontrolün uygulanma/dışlanma gerekçesiMadde 6.1.3
Hedefler ve KPI’larÖlçülebilir AI hedefleriMadde 6.2

Şablondan kopyalanan, kuruluşa uyarlanmamış dokümantasyon denetimde en sık düşülen hatadır. Denetçi belgeyi değil, belgenin yaşadığını arar.

4. Uygulama ve iç denetim

Dokümante ettiğiniz kontrolleri fiilen işletir, kanıt toplarsınız: eğitim kayıtları, risk değerlendirme çıktıları, izleme logları, tedarikçi sözleşme maddeleri. Ardından eğitimli iç denetçilerle iç denetim yaparsınız (Madde 9.2). İç denetim bulguları, dış denetimden önce düzeltme şansınızdır.

5. Yönetim gözden geçirmesi

Üst yönetim, AIMS performansını gündemli bir toplantıda değerlendirir (Madde 9.3): denetim sonuçları, KPI’lar, riskler, kaynak ihtiyaçları. Girdi ve çıktılar kayıt altına alınır. Aşama 1 denetiminden önce en az bir tur tamamlanmış olmalıdır.

6. Belgelendirme kuruluşu seçimi

Belgeyi danışman değil, akredite belgelendirme kuruluşu verir. Seçim kriterleri:

  • TÜRKAK veya uluslararası (IAF üyesi) akreditasyon — ISO/IEC 42001 kapsamında
  • Sektörünüzde denetim deneyimi
  • Denetçi kadrosunda AI yetkinliği
  • Teklifte adam-gün ve toplam maliyetin şeffaflığı

Tarafsızlık gereği aynı kuruluş hem danışmanlık hem belgelendirme veremez. ISO’nun belgelendirme sayfası kurumsal çerçeveyi açıklar.

7. Aşama 1: doküman denetimi

Denetçi, AIMS dokümantasyonunuzun standardı karşılayıp karşılamadığını inceler; genelde 5–10 iş günü içinde raporlanır. Çıktı: Aşama 2’ye hazırlık durumu + varsa endişe alanları. Küçük eksikler burada yakalanır ve Aşama 2’den önce kapatılır.

8. Aşama 2: saha denetimi

Denetçi sahada (veya uzaktan) uygulamanın kanıtlarını inceler: personelle görüşmeler, kayıt örnekleri, kontrol testleri. Sonuç üç türde bulgu olabilir:

  • Majör uygunsuzluk — sertifikayı engeller, kapsamlı düzeltme + doğrulama gerekir
  • Minör uygunsuzluk — düzeltici faaliyet planıyla ilerlenir
  • Gözlem/iyileştirme fırsatı — bağlayıcı değil, izlenir

9. Bulgu kapatma ve sertifikasyon

Uygunsuzluklar için kök neden analizi + düzeltici faaliyet (DÖF) sunarsınız (Madde 10.1). Kuruluş kanıtları doğruladığında sertifika düzenlenir. Belge 3 yıl geçerlidir.

Süre tahmini ve maliyet unsurları

Tipik zaman çizelgesi (ISO 27001 deneyimi olan orta ölçekli kuruluş):

AdımSüreÇıktıSorumlu
Kapsam + liderlik2–3 haftaKapsam beyanı, politikaÜst yönetim + AIMS sorumlusu
Gap analizi1–2 haftaEksik listesi, yol haritasıDanışman / iç ekip
Dokümantasyon4–8 haftaAIMS doküman seti, SoAAIMS sorumlusu
Uygulama + kanıt6–10 haftaKayıtlar, eğitimlerSüreç sahipleri
İç denetim + YGG2–3 haftaDenetim raporu, YGG kaydıİç denetçi + üst yönetim
Aşama 11–2 haftaHazırlık raporuBelgelendirme kuruluşu
Aşama 2 + kapatma2–6 haftaSertifikaBelgelendirme kuruluşu

Maliyeti belirleyen unsurlar: çalışan sayısı ve kapsam (denetim adam-günü bunlarla ölçeklenir), AI sistem sayısı ve risk seviyesi, danışmanlık alıp almamanız, entegre denetim fırsatı. ISO 27001’iniz varsa entegrasyon avantajlarını ayrıca inceleyin.

Sertifika sonrası: gözetim denetimleri

Belgelendirme bitiş değil, döngü başlangıcıdır:

  • Yıl 1 ve 2: gözetim denetimi (daha dar kapsamlı)
  • Yıl 3: yeniden belgelendirme denetimi
  • Sürekli: iç denetim programı, yönetim gözden geçirmesi, DÖF takibi (Madde 9–10)

Kapsam değişiklikleri (yeni AI sistemi, yeni kullanım alanı) planlı değerlendirme gerektirir (Madde 6.3).

Nasıl başlarsınız?

  1. Ücretsiz gap analiziyle mevcut durumunuzu 10 dakikada ölçün.
  2. Sonuç raporundaki zayıf alanlara göre yol haritanızı çıkarın.
  3. Süreci uzman eşliğinde yürütmek için ISO 42001 danışmanlık hizmetimizi inceleyin veya doğrudan teklif alın — 24 saat içinde dönüş yapıyoruz.

SSS

Sık sorulan sorular

ISO 42001 belgesi almak ne kadar sürer? +

ISO 27001 gibi mevcut bir yönetim sistemi deneyiminiz varsa 4–6 ay, sıfırdan başlıyorsanız 6–12 ay gerçekçi bir aralıktır. Süreyi en çok etkileyen faktörler kapsam genişliği, AI sistem sayısı ve iç kaynak ayırma düzeyidir.

ISO 42001 belgesinin maliyeti nedir? +

Maliyet üç kalemden oluşur: belgelendirme kuruluşu denetim ücreti (adam-gün bazlı), danışmanlık (alırsanız) ve iç işçilik. Denetim ücreti çalışan sayısı ve kapsamla ölçeklenir. Net rakam için teklif almanız gerekir; sabit bir liste fiyatı yoktur.

Danışman kullanmak zorunlu mu? +

Hayır. Standardı kendi ekibinizle de uygulayabilirsiniz. Danışman, süreyi kısaltır ve denetimde sık düşülen hataları önler. Belgelendirme kuruluşu tarafsızlık gereği danışmanlık veremez; iki hizmeti ayrı taraflardan almalısınız.

ISO 42001 belgesi kaç yıl geçerli? +

Sertifika 3 yıl geçerlidir. Her yıl gözetim denetimi yapılır; 3. yılın sonunda yeniden belgelendirme denetimiyle döngü yenilenir. Gözetim denetimini geçemezseniz belge askıya alınabilir.

ISO 27001 ile ISO 42001 denetimi birlikte yapılabilir mi? +

Evet. Aynı belgelendirme kuruluşuyla entegre (kombine) denetim planlanabilir. Ortak süreçler (politika, iç denetim, yönetim gözden geçirmesi) tek seferde denetlenir; toplam adam-gün ve maliyet düşer.