Gartner 2025 IT Vendor Management raporuna göre kurumsal yazılım tedarikçi seçim sürecinin %71’i 90 günü aşıyor ve seçimden sonraki 18 ay içinde tedarikçi değişikliği yapan kurumların oranı %34’e yükseldi. Ortalama RFP süreci 380 saat efor harcıyor; en ucuz teklif %42 olasılıkla 24 ay içinde en pahalı projeye dönüşüyor.
Tedarikçi Seçimi 2026: Pazar Bağlamı ve Stratejik Çerçeve
ISG Provider Lens 2025 raporu, 12.000+ kurumsal alıcının tedarikçi seçim verisini analiz ederek kritik bir trend ortaya koyuyor: 2018’de tedarikçi seçim kararlarının %66’sı fiyat odaklıyken 2026’da bu oran %29’a düştü; yerini teknik fit (%31), kültürel uyum (%18) ve finansal sağlık (%22) aldı. Forrester Wave 2025 araştırması, formal due diligence çalışması yapmayan kurumların 24 ay sonunda tedarikçi değişikliğine gitme olasılığının %58 olduğunu, formal süreç uygulayanlarda bu oranın %12’ye düştüğünü gösteriyor.
Gartner Magic Quadrant ve ISG Provider Lens 2026 itibarıyla 14 farklı kategoride yazılım hizmet sağlayıcılarını puanlıyor; ama hiçbir benchmark, kurumun kendi spesifik gereksinim setiyle birebir eşleşmiyor. RFP süreci 2026’da artık tek aşamalı bir doküman değişimi değil; multi-stage funnel: (1) market scan, (2) RFI, (3) shortlist, (4) RFP, (5) demo + POC, (6) reference check + due diligence, (7) finalist negotiation. McKinsey Sourcing Excellence raporu, 7 aşamalı sürecin 3 aşamalıya göre %47 daha yüksek tedarikçi memnuniyeti ve %38 daha düşük dispute oranı sağladığını rapor ediyor.
Kurumsal alıcının ilk hatası genelde “tek aşamalı RFP” tuzağına düşmesi: market scan ve RFI atlanır, doğrudan RFP gönderilir; sonuç olarak 30-50 tedarikçiden gelen tekliflerin %60’ı gereksinim setine bile uymaz. Doğru sıralama: önce 8-12 hafta market scan (Gartner, Forrester, ISG raporları + Clutch.co listeleri), sonra 15-25 firmaya kısa RFI (5 sayfa, 10-15 soru), gelen yanıtlardan 5-8 firmaya formal RFP. Bu funnel %72 daha kaliteli teklif setine yol açıyor (ISG 2025). Müşterilerime kabaca “1 ay RFI + 6 hafta RFP + 4 hafta POC + 2 hafta negotiation” formülünü öneriyorum; toplam 16-18 hafta yatırım, ama 24 aylık sözleşmenin başarı oranını 2 katına çıkarıyor.
RFP Hazırlık Standardı ve İçerik Çerçevesi
Kaliteli bir RFP, tedarikçinin %70 oranla doğru cevap vermesini sağlar; eksik RFP ise teklifler arası karşılaştırılabilirliği yok eder. PMI Vendor Management 2025 standardı, kurumsal RFP’nin minimum 12 bölümden oluşması gerektiğini belirtiyor. RFP hazırlığı 3-6 hafta sürmeli ve içeride en az 5 paydaş (CTO, finans, hukuk, güvenlik, ürün) ile birlikte yazılmalı. RFP’yi tek başına satın alma departmanının yazdığı kurumların aldığı tekliflerin %68’i teknik gereksinim setiyle yetersiz uyumlu çıkıyor (Forrester 2025).
| RFP Bölümü | Sayfa Sayısı | Kritik İçerik | Atlama Riski | Süre |
|---|---|---|---|---|
| Executive Summary | 2-3 | Vizyon, başarı kriteri | Düşük | 1 gün |
| Scope of Work | 15-25 | İşlevsel/işlevsel olmayan req | Çok yüksek | 1-2 hafta |
| Teknik Mimari Beklentisi | 8-12 | Tech stack, integration | Yüksek | 1 hafta |
| SLA & Performance | 4-6 | Uptime, response time | Çok yüksek | 3-5 gün |
| Security & Compliance | 6-10 | SOC 2, ISO 27001, KVKK | Yüksek | 1 hafta |
| Commercial Model | 3-5 | Fiyat yapısı, ödeme | Orta | 3 gün |
| Evaluation Criteria | 2-4 | Ağırlıklı skor matrisi | Yüksek | 2-3 gün |
| Timeline & Process | 2 | Q&A, demo, finalist | Düşük | 1 gün |
Due Diligence: Görünmeyen Riskleri Bulma Sanatı
Due diligence, sözleşme imzası öncesi tedarikçi profilinin teknik, finansal, operasyonel ve hukuki derinlikte incelendiği kritik fazdır. Gartner 2025 verilerine göre due diligence atlanan tedarikçi seçimlerinin %44’ü 24 ay içinde major dispute’a giriyor. Due diligence yatırımının kendisi de bütçe gerektiriyor: orta ölçek bir kurumsal sözleşme için 35-75K USD aralığında ek maliyet, ama 24 ay sonra tedarikçi değiştirme maliyetinin (ortalama 280-650K USD) yanında ihmal edilebilir.
- Finansal sağlık: Son 3 yıl gelir tablosu, EBITDA marjı %12+ olmalı, leverage 3x altında
- Müşteri konsantrasyonu: Tek müşterinin gelirin %25’ini aşması red flag
- Çalışan turnover: Yıllık %20’nin altında olmalı; üstünde knowledge loss riski
- Security posture: SOC 2 Type II, ISO 27001, ISO 27701 sertifikaları (KVKK için kritik)
- Referans ziyareti: Finalist 2 firmanın 3-5 referansını telefon + on-site ziyaret
- Legal check: Açık dava, IP dispute, regülatif ihlal kaydı
- Backup capacity: Kritik ekipte yedek personel + knowledge documentation oranı
İlgili konu: offshore-nearshore-onshore strateji rehberimizde detayları bulabilirsiniz.
Değerlendirme Çerçevesi: Ağırlıklı Skor Matrisi
Şeffaf ve savunulabilir tedarikçi değerlendirmesi, ağırlıklı çok kriterli karar analizi (MCDA) yöntemiyle yapılmalı. Forrester’ın önerdiği 7-boyutlu çerçeve, 2026’da kurumsal standardı oluşturuyor: teknik fit (%25), maliyet (%20), referanslar (%15), kültürel uyum (%12), ekip kalitesi (%12), SLA & performance (%8), inovasyon kapasitesi (%8). NIST SDLC framework’ü ek olarak security & compliance puanını ayrı izlemeyi öneriyor.
Değerlendirme matrisinin ağırlık dağılımının RFP yayınından önce kilitlenmesi, sübjektif kararı engelliyor. Eğer ağırlıklar RFP cevapları geldikten sonra ayarlanırsa, finalist tarafa “matematiksel olarak yönlendirilmiş” sonuç çıkar ve diğer adaylar haklı olarak itiraz eder. Forrester Wave 2025 değerlendirmesinde de aynı disiplin uygulanır: tüm kriterler ve ağırlıklar yayınlanmadan önce sabit. Pratikte değerlendirme komitesinin minimum 5 kişi olması (CTO, CFO temsilcisi, ürün lideri, security lead, satın alma yöneticisi) ve her komite üyesinin bağımsız puanlama yapması önerilir; sonra ortalama alınır. Tek bir karar vericinin “favori” oyu vermesi ve sübjektif yanlılığı, kurumsal tedarikçi seçimlerinin en yaygın hatası.
İlgili konu: sözleşme modelleri rehberimizde detayları bulabilirsiniz.
POC ve Demo: Teori ile Pratik Arası Köprü
Finalist 2-3 tedarikçi için 2-4 haftalık ücretli POC, kararın en sağlıklı yerde verilmesini sağlar. ISG 2025 verisine göre POC yapan kurumların tedarikçi memnuniyeti POC yapmayanlara göre %62 daha yüksek. POC scope’u net olmalı: gerçek bir use case, gerçek data subset (anonimleştirilmiş), gerçek integration noktası.
POC’ye giren tedarikçinin “showcase ekibi” değil sözleşmeye dahil edilecek gerçek ekibi sunması, kontratın sıkı bir maddesi olmalı. Forrester 2025 araştırması, POC’de mükemmel performans gösterip “A-team” ile etkileyen tedarikçilerin %44’ünün, sözleşme sonrası “B-team” ile çalıştırdığını gösteriyor. POC çıktısının “demoable artifact” olması yetmiyor; mimari kararlar, performans testleri, security review ve knowledge transfer dokümanlarının da alıcıya teslim edilmesi şart. ISG Provider Lens 2025 standardı, POC bütçesinin sözleşme imzalanırsa final kontrattan düşülmesini öneriyor — bu kural alıcının POC’yi “shopping” değil, gerçek seçim aracı olarak kullanmasını sağlıyor.
| POC Bileşeni | Süre | Bütçe | Çıktı | Karar Etkisi |
|---|---|---|---|---|
| Discovery workshop | 3-5 gün | 15-25K USD | Gereksinim ortak doğrulama | %20 |
| Architecture proposal | 1 hafta | 20-35K USD | Mimari diyagram + risk | %25 |
| Working prototype | 2-3 hafta | 45-85K USD | Demo-able çıktı | %30 |
| Performance test | 3-5 gün | 10-18K USD | Latency, throughput raporu | %10 |
| Security review | 1 hafta | 15-25K USD | Pentest mini-raporu | %10 |
| Knowledge transfer | 2-3 gün | 8-15K USD | Dokuman + kod handover | %5 |
Sektörel Use Case ve Sektör Spesifik Kriterler
Fintech tedarikçi seçiminde BDDK uyumluluğu, ISO 27001 + PCI DSS sertifikası, finansal kayıtlarda 7+ yıl tecrübe zorunlu (Gartner 2025). Healthcare’de HIPAA + ISO 13485, sektörel referans en az 5 tane; e-ticaret’te Black Friday gibi peak yük POC zorunlu; kamu sektöründe yerli yazılım puanı, KVKK ekstra check. ISG Provider Lens, sektör spesifik %18-32 ekstra ağırlık öneriyor; “generic” tedarikçinin sektör spesifiklerine yenildiği oran %71.
Endüstri 4.0 / OT (operational technology) tarafında IEC 62443 ve ISA/IEC 62443-4-1 sertifikaları kritik; çoğu generic yazılım tedarikçisi bunlara sahip değil. Telekom tarafında 3GPP, MEF ve TM Forum bilgisi referans olarak öne çıkıyor. Lojistik ve supply chain’de ERP (SAP, Oracle) integration kapasitesi, perakende’de POS ve omnichannel deneyimi belirleyici. Forrester Wave 2025 sektör puanlamalarına bakıldığında, sektör spesifik sertifikası olan tedarikçinin POC başarı oranı generic’lere göre 2.1 kat yüksek. Tedarikçi seçim matrisinizde “sektörel referans sayısı” ve “sektör spesifik sertifika” boyutlarını ayrı puanlamak, sözleşme imzasından önce kaliteli ön elemenin en etkili yolu.
Kurumsal Tedarikçi Seçim Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- RFP’nin scope kısmının muğlak yazılması, teklifler arası karşılaştırılabilirliği yok ediyor (%48 oran)
- Değerlendirme matrisinin ağırlık dağılımının RFP’den sonra “ayarlanması”, sübjektif karara dönüşüyor
- Due diligence’in sözleşme imzasından sonraya bırakılması, %44 olasılıkla 24 ay içinde dispute yaratıyor
- Referans ziyaretinin telefon görüşmesine sıkıştırılması, on-site ziyarette ortaya çıkacak red flag’leri kaçırıyor
- POC’nin ücretsiz istenmesi, kaliteli tedarikçinin elenmesine ve düşük kaliteli teklif setine yol açıyor
- En ucuz teklifin “uygun” sayılması: %42 olasılıkla 24 ay sonra en pahalı projeye dönüşüyor
Sonuç
2026’da kurumsal yazılım tedarikçi seçimi artık 4 saatlik bir karşılaştırma egzersizi değil; 90+ günlük, 7 aşamalı, formal due diligence ve referans ziyareti içeren stratejik bir süreç. Müşterilerime önerim: RFP’yi 12 bölümlü standartta yazın, değerlendirme matrisinin ağırlıklarını RFP yayınından önce kilitleyin, finalist 2 firmayla ücretli POC yapın, en az 3 referansı on-site ziyaret edin ve finansal due diligence’ı sözleşme öncesi tamamlayın. En ucuz teklif ile en uygun teklif farklı şeyler; bu farkı 24 ay sonra değil, sözleşme imzasından önce anlamak çok daha ucuz. Detaylı tedarikçi araştırması için Gartner Research, ISG Provider Lens ve Forrester Research kaynaklarını öneriyorum. Yorumlarınızı bekliyorum.
Sıkça Sorulan Sorular
Yazılım tedarikçi seçim süreci ortalama ne kadar sürer?
Gartner 2025 verilerine göre kurumsal yazılım tedarikçi seçim süreci ortalama 90-150 gün sürüyor ve toplam 380+ saat efor gerektiriyor. Formal 7 aşamalı süreç uygulanan kurumlarda tedarikçi değişikliği oranı %12, formal süreç uygulanmayanlarda %58.
RFP’de en kritik bölümler hangileri?
PMI Vendor Management 2025 standardına göre Scope of Work (15-25 sayfa), Security & Compliance (6-10 sayfa), SLA & Performance (4-6 sayfa) ve Evaluation Criteria (2-4 sayfa) kritik bölümler. Bu 4 bölüm RFP’nin %60’ını kapsamalı.
Due diligence’da hangi sertifikalar zorunlu?
Finansal sağlık raporu (son 3 yıl), SOC 2 Type II, ISO 27001, sektör spesifik sertifikalar (PCI DSS fintech, HIPAA healthcare, ISO 13485 medical). KVKK uyumluluğu için ISO 27701 ek olarak öneriliyor. Forrester 2025 verisine göre bu sertifikaları olmayan tedarikçinin reddedilme oranı %78.
POC sürecinin maliyeti ne kadar olmalı?
Finalist 2-3 tedarikçi ile 2-4 haftalık ücretli POC, toplam 110-200K USD aralığında bütçe gerektirir. ISG 2025 verisine göre POC yapan kurumların tedarikçi memnuniyeti %62 daha yüksek; ücretsiz POC isteyen kurumların kaliteli teklif alma oranı %43 daha düşük.
Tedarikçi seçim matrisinde hangi kriterler ne kadar ağırlığa sahip olmalı?
Forrester 2025 modeline göre teknik fit %25, maliyet %20, referanslar %15, kültürel uyum %12, ekip kalitesi %12, SLA & performance %8, inovasyon kapasitesi %8. Sektör spesifik gereksinimler için %18-32 ek ağırlık önerilir.
Ömer ÖNAL
Mayıs 18, 2026Tedarikçi seçiminde müşterilerime hep şu uyarıyı yapıyorum: en ucuz teklif aslında en pahalı projedir. 2026’da Gartner ve ISG Provider Lens verileri net olarak gösteriyor ki; teknik fit, kültürel uyum ve finansal sağlık üçlüsü ağırlıklandırılmayan RFP süreçlerinin %40’ı yeniden ihaleyle sonuçlanıyor. Due diligence’i sözleşme imzasından önce, finalist 2 firmayla referans ziyareti dahil yapın. Kısa yoldan dönmek pahalıya patlıyor. Ömer ÖNAL