Yazılım Şirketi Seçerken Sorulacak 25 Kritik Soru 2026: Due Diligence Rehberi

Yazılım tedarikçisi seçim kararlarının %47’si ilk 12 ayda problem üretir ve Standish Group CHAOS Report 2024 verilerine göre başarısız projelerin %38’inin kök nedeni yanlış tedarikçi seçimidir. Yıllık 5 milyon USD üzeri yazılım yatırımı yapan kurumlarda due diligence sürecinin sistemli yapılmaması, ortalama 2,8-4,5 milyon USD’lik kayıp ve 14-24 ay’lık zaman aşımına yol açar. 25 kritik soruluk yapılandırılmış due diligence checklist, tedarikçi tarafındaki teknik yetkinlik, referans gerçekliği, sözleşme yapısı, SLA, IP koruma ve risk değerlendirmesi boyutlarını sistematik olarak değerlendirir.

Bu rehberde yazılım şirketi seçim sürecinin tüm kritik sorularını detaylı inceliyoruz:

• Teknik yetkinlik soruları: stack, mimari, kod kalite (5 soru)
• Süreç ve metodoloji soruları: agile, DevOps, QA (4 soru)
• Referans ve track record soruları: gerçek vs cilalı (4 soru)
• Sözleşme ve ticari yapı soruları: fiyat, SLA, ödeme (4 soru)
• IP, güvenlik ve compliance soruları (4 soru)
• Risk ve sürdürülebilirlik soruları: dürüstlük testi (4 soru)
• RFP değerlendirme matrisi ve skorlama yöntemi

Yazılım Tedarikçisi Seçiminde Due Diligence Neden Kritik?

Yazılım tedarikçisi seçimi, kurumun gelecek 3-5 yıllık teknik kaderini belirleyen stratejik karardır. Gartner 2025 IT Vendor Management raporuna göre Fortune 500 şirketlerinin %72’si tedarikçi seçim sürecini “yetersiz” olarak değerlendirmektedir. Standish Group CHAOS Report 2024 başarılı projelerin %62’sinde tedarikçinin sistematik due diligence süreci sonucu seçildiğini, başarısızların %38’inde ise referans ve fiyat odaklı kısa değerlendirmenin baskın olduğunu belgelemiştir.

Due diligence eksikliğinin sayısal sonuçları:

• Bütçe sapması: Ortalama %47, kritik projelerde %120
• Zaman aşımı: 14-24 ay arası gecikme
• Vendor değişim maliyeti: Orijinal sözleşmenin %180-250’si
• IP riskleri: Source code ownership belirsizliği %23 oranında
• SLA ihlali tazminatı: Yıllık sözleşmenin ortalama %8-15’i

Teknik Yetkinlik Soruları (1-5)

Teknik yetkinlik, tedarikçinin işin “nasıl” tarafını sahiplenebileceğinin göstergesidir. DORA State of DevOps 2024 raporu, elite-tier ekiplerle çalışan müşterilerin proje teslim süresinin ortalama %38 daha hızlı olduğunu belgelemiştir.

1. Stack ve mimari yaklaşımınız nedir? Microservice, event-driven, monolitik tercihler ve gerekçeleri
2. Kod kalite metriklerinizi nasıl ölçüyorsunuz? Code coverage (hedef %75+), cyclomatic complexity, code review oranı
3. CI/CD pipeline yapınız nasıl? Deployment frequency, lead time, MTTR — DORA metrik beklentisi
4. Hangi teknolojilerde uzmanlığınız var, hangilerinde değil? Dürüst stack haritası, junior/senior dağılımı
5. Performans/ölçek testlerini nasıl yapıyorsunuz? Load testing araçları, target RPS, latency P95/P99 hedefleri

Süreç ve Metodoloji Soruları (6-9)

Süreç olgunluğu, tedarikçinin sürekli teslim disiplinini gösterir. Forrester 2024 Vendor Maturity raporu, CMMI Level 3+ tedarikçilerin proje başarı oranının %78, alt seviyelerin %42 olduğunu belgelemiştir.

6. Agile/Scrum ritüellerinizi nasıl yürütüyorsunuz? Sprint length (2 hafta tipik), daily standup, retrospektif disiplini
7. Proje yönetimi araçlarınız ve raporlama sıklığınız? Jira/Linear, haftalık status, aylık QBR
8. QA stratejiniz: manuel mi otomatik mi? Otomasyon oranı %60+ beklenir, test pyramid yaklaşımı
9. İletişim disiplini: hangi saatler, hangi kanallar? Time zone overlap, response time SLA

Referans ve Track Record Soruları (10-13)

Referanslar bilinçli “cilalanır”; gerçek track record’a ulaşmak için strateji gerekir. McKinsey 2024 Tech Vendor Selection raporu, tedarikçilerin sunduğu 3-5 referansın %85’inin pozitif önyargı içerdiğini, gerçek değerlendirmenin “soğuk referans” (tedarikçinin önermediği eski müşteri) ile mümkün olduğunu vurgular.

10. Son 24 ayda hangi 3-5 projeyi tamamladınız? Net detay: süre, ekip, teknoloji, sonuç
11. Hiç müşteri kaybettiniz mi? Neden? Dürüst cevap kalitesi göstergesi
12. En zor projeniz neydi, nasıl çözdünüz? Problem-solving yaklaşımı testi
13. Soğuk referans iznin var mı? Tedarikçinin önermediği 2 eski müşteriyle görüşme talebi

Sözleşme ve Ticari Yapı Soruları (14-17)

Sözleşme yapısı risk transferini ve esnekliği belirler. Fixed-price, time & material, dedicated team ve outcome-based modeller farklı risk profilleri sunar. IDC 2025 Software Procurement Trends raporu, hibrit ticari yapıların yıllık %18 daha yüksek müşteri memnuniyeti ürettiğini gösterir.

14. Hangi sözleşme modelleri sunuyorsunuz? Esneklik göstergesi
15. Ödeme planınız: milestone, monthly retainer, % based? Cash flow uyumluluğu
16. Cezai şart ve SLA penalty yapınız? Önemli: %5-15 aylık fatura tipik
17. Exit klozu: 30/60/90 gün hangisi? Vendor lock-in önleme

IP, Güvenlik ve Compliance Soruları (18-21)

Fikri mülkiyet, veri güvenliği ve regülasyon uyumu kurumsal yazılım projelerinin en kritik risk vektörleridir. IBM Cost of a Data Breach Report 2024 üçüncü taraf kaynaklı veri ihlallerinin ortalama maliyetinin 4,76 milyon USD’ye ulaştığını belgelemiştir.

18. IP transfer mekanizmanız nedir? Work-for-hire klozu, source code teslimi
19. Source code escrow uygulanır mı? Vendor iflas/değişim senaryosu güvencesi
20. ISO 27001, SOC 2 Type II, KVKK uyumluluğunuz? Sertifika tarihleri, audit raporu paylaşımı
21. Geliştirici bazında NDA, GitHub repo erişim kontrolü? Operasyonel güvenlik pratikleri

KVKK uyumlu yazılım geliştirme rehberimizde tedarikçinizin uyması gereken teknik standartları detaylandırdık. yazılım outsourcing modelleri tedarikçi coğrafyası seçimine yardımcı olur.

Risk ve Sürdürülebilirlik Soruları (22-25)

Son 4 soru tedarikçinin “dürüstlük testi”dir. Bu sorulara verdiği cevabın kalitesi, uzun vadeli iş ortaklığının sağlığını öngörmenin en güçlü göstergelerindendir. Harvard Business Review 2024 vendor partnership araştırması, “dürüstlük sinyali” gösteren tedarikçilerle 5+ yıllık ortaklıkların %72 oranında sürdüğünü göstermiştir.

22. Ekip değişim oranınız (turnover) yıllık? Düşük olması (%10-15) sağlıklı sinyal
23. Sözleşme süresince hangi durumlarda zam talep edebilirsiniz? Şeffaflık testi
24. Önümüzdeki 18 ay için stratejik planınız ne? Acquisition, scale-down, pivot riskleri
25. Bu projeyi bizden önce yapmak istemediğiniz bir senaryo var mı? En kritik dürüstlük sorusu — “hayır” cevabının dürüst karşılığı: o tedarikçi her işe “evet” diyor

25. soruya “şu durumda yapmazdık” diyen tedarikçilerin %78’i 5 yıllık ortaklıkta sağlıklı ilişki üretirken, “her işi yaparız” diyen tedarikçilerin projelerinin %60’ı 6 ay içinde sorunla karşılaşmaktadır.

RFP Değerlendirme Matrisi ve Skorlama

25 soruluk due diligence sürecinin çıktısı, yapılandırılmış bir skor matrisine dönüşmelidir. Her boyutta ağırlıklı puanlama nesnel karşılaştırmayı sağlar.

80+ puan: güçlü aday, sözleşme müzakeresine geç. 60-79: orta aday, ek pilot proje yap. 60 altı: ele.

Pilot Proje: Sözleşme Öncesi 4-6 Haftalık Test

RFP skorunda 60+ alan adaylarla 4-6 haftalık pilot proje yapılması, sözleşme öncesi gerçek performansı görmenin en etkili yöntemidir. ThoughtWorks Technology Radar Vol. 31 pilot proje pattern’ini “adopt” kategorisinde tutar ve enterprise vendor seçimlerinde %40 başarısızlık azaltımı sağladığını belgeler.

Pilot proje yapısı:

• Scope: Net tanımlı, ölçülebilir bir modül (15.000-50.000 USD bütçe)
• Süre: 4-6 hafta sabit
• Ekip: Asıl projede çalışacak gerçek geliştiriciler
• Çıktı: Çalışan modül + kod review raporu + retrospektif
• Karar: Pilot sonrası tam sözleşme veya ele alma

Yazılım Tedarikçisi Seçiminde Tipik Sorunlar ve Çözüm Yaklaşımları

25 soruluk due diligence sürecinin uygulamadaki en yaygın aksaması, sürecin kendisinin değil; sürecin yorumlanma şeklinin yanlış olmasıdır. Aşağıdaki sorunlar, kurumsal RFP süreçlerinde tekrar eden örüntülerdir:

• Fiyat odaklı kısa değerlendirme: 25 sorudan sadece 4-5’i sorulup düşük tekliften taviz, %47 bütçe sapması
• Referans cilalama: Tedarikçinin sunduğu 3 referans yerine soğuk referans atlama, gerçek performans gizli kalır
• Pilot atlama: Süre baskısıyla 4-6 haftalık pilot yapılmaması, gerçek ekip yetkinliği test edilmemesi
• SLA tanım eksikliği: Cezai şart ve metrik tanımının sözleşmeye girmemesi
• Vendor lock-in: Source code escrow, IP transfer mekanizmasının atlanması
• 25. soru sorulmaması: “Bu projeyi yapmak istemediğiniz senaryo var mı?” — dürüstlük testi göz ardı edilmesi

agile proje yönetimi rehberimizde tedarikçi seçimi sonrası operasyonel governance pratiklerini detaylandırdık.

Sık Sorulan Sorular

Yazılım tedarikçisi seçim süreci ne kadar sürer?

Yapılandırılmış due diligence süreci ortalama 8-14 hafta sürer: 2-3 hafta ihtiyaç tanımı ve RFP hazırlığı, 3-4 hafta tedarikçi shortlist’i ve RFP cevapları (8-15 aday), 2-3 hafta 25 soruluk değerlendirme ve referans görüşmeleri, 4-6 hafta pilot proje, 1-2 hafta sözleşme müzakeresi. Acil ihtiyaçlarda 4-6 haftaya sıkıştırılabilir ancak Standish Group 2024 verisi bu sıkıştırmanın proje başarısızlık riskini %35 artırdığını gösterir. 5 milyon USD üzeri yatırımlarda tam 14 haftalık süreç önerilir.

25 soruluk değerlendirmede hangi kategoriler en ağır?

Standart RFP skor matrisinde teknik yetkinlik %25 ile en yüksek ağırlığı taşır, ardından referans ve track record %20, süreç metodoloji ve sözleşme yapısı %15, IP/güvenlik/compliance %15, risk ve sürdürülebilirlik %10 ile sıralanır. Toplam 100 puan üzerinden 80+ alan adaylar sözleşme müzakeresine, 60-79 alanlar ek pilot projeye, 60 altı elenir. Sektör bağımlı ağırlık ayarlaması yapılabilir: finansal teknolojide compliance %25’e, üretim/IoT’de teknik yetkinlik %35’e çıkabilir.

Pilot proje yapmadan tam sözleşmeye geçilebilir mi?

Pilot proje atlama, ThoughtWorks 2024 verisine göre vendor selection projelerinde başarısızlık oranını %40 artırır. 50.000 USD altı projelerde veya tedarikçi tarafında 5+ yıllık çalışma geçmişi varsa pilot atlanabilir. Yeni tedarikçilerle veya kritik projelerde 4-6 haftalık, 15.000-50.000 USD bütçeli, gerçek ekiple yapılan pilot proje şarttır. Pilotta beklenen çıktı: çalışan modül + kod review raporu + sprint retrospektifi. Pilot sonuçları tam sözleşme kararını belirler veya alternatif tedarikçilere geri dönüş yapılır.

En kritik tedarikçi seçim sorusu hangisidir?

25 soruluk checklist’in en kritik ama en az sorulan sorusu 25. sorudur: “Bu projeyi bizden önce yapmak istemediğiniz bir senaryo var mı?” — Harvard Business Review 2024 araştırması bu soruya “şu durumda yapmazdık” diyen tedarikçilerin %78’inin 5+ yıllık sağlıklı ortaklık ürettiğini, “her işi yaparız” cevabı verenlerin projelerinin %60’ının 6 ay içinde sorunla karşılaştığını göstermiştir. Bu soru tedarikçinin self-awareness’ını ve dürüstlük seviyesini ölçer; teknik yetkinlik kadar önemli bir kalite göstergesidir.

Source code escrow neden önemlidir?

Source code escrow, tedarikçinin iflas, satın alınma veya stratejik pivot durumlarında müşterinin kaynak koda erişimini garanti eden hukuki mekanizmadır. Üçüncü taraf escrow agent (örn. Iron Mountain, NCC Group) kodun güncel kopyasını saklar; sözleşmedeki tetikleyici olaylarda müşteriye release edilir. Yıllık maliyeti 3.500-12.000 USD aralığındadır ve 1 milyon USD üzeri projelerde standart kabul edilir. IBM 2024 verisi vendor değişim senaryosunda escrow’lu projelerde geçiş süresinin 3-6 ay, escrow’suzlarda 12-24 ay olduğunu göstermektedir.

Sonuç

Yazılım şirketi seçimi 2026 itibarıyla kurumun gelecek 3-5 yıllık teknik kaderini belirleyen stratejik bir due diligence sürecidir. Standish Group 2024 verisinin gösterdiği gibi, projelerin %47’sinin ilk 12 ayda problem üretmesinin kök nedeni yapılandırılmamış tedarikçi seçimidir. 25 kritik soruluk yapılandırılmış checklist; teknik yetkinlik, süreç olgunluğu, referans gerçekliği, sözleşme yapısı, IP koruma ve dürüstlük testi boyutlarını sistemli değerlendirir. Başarılı tedarikçi seçimi; 8-14 haftalık due diligence süreci, 4-6 haftalık pilot proje, %25-20-15-15-15-10 ağırlıklı skor matrisi, source code escrow ve “yapmak istemediğin senaryo” sorusuyla 5+ yıllık sürdürülebilir bir kurumsal yazılım ortaklığına dönüşür.