Şirketlerde İç Kontrol ve MASAK Uyum Programı — Aklama Riski ve Ceza Sorumluluğu

Normatif çerçeve ve yükümlülüklerin kaynağı

Uyum programının hukuki temeli 5549 sayılı Kanun’un 5. maddesindeki “eğitim, iç denetim, kontrol ve risk yönetimi sistemleri” hükmü ile “Uyum Programı Hakkında Yönetmelik”te yer alan ayrıntılı düzenlemelerdir. Yönetmelik, risk yönetimi, izleme ve kontrol, eğitim, iç denetim, uyum görevlisi atanması ve yönetim kurulunun gözetim rolünü açıkça çizer. Bankalar ve finansal kuruluşlar yanında belirlenen diğer yükümlüler için de programın kapsamı ve derinliği kurallara bağlanmıştır.

Yönetim kurulunun sorumluluğu ve uyum yönetişimi

Yönetim kurulu, uyum programını onaylamak, kaynak tahsis etmek ve etkinliği izlemekle yükümlüdür. Grup yapılarında FATF 18 No’lu Tavsiye, grup çapında politikalar, bilgi paylaşımı ve iç denetim mekanizmalarının işletilmesini önerir; Türkiye’ye ilişkin değerlendirmelerde de iç kontroller ve geri bildirim süreçlerinin güçlendirilmesi vurgulanır. Uyum görevlisi ve uyum birimi, yönetim kuruluna doğrudan raporlama ilişkisi içinde çalışmalı ve görev tanımları yazılı prosedürlerle belirlenmelidir.

Risk değerlendirmesi ve müşteri kabul politikaları

Kurumsal uyum, risk temelli yaklaşımla başlar. Müşteri, ürün, hizmet, kanal ve coğrafya temelinde risk değerlendirmesi yapılır; yüksek riskli segmentler için artırılmış tedbirler tasarlanır. Kimlik tespiti ve sürekli izleme süreçleri, Uyum Programı Yönetmeliği ve MASAK “Yükümlülükler” sayfasındaki çerçeveyle uyumlu biçimde uygulanır. KYC verileri, lehdar ve nihai faydalanıcı tespiti, iş ilişkilerinin amacı ve fon kaynağına ilişkin bilgiler politika belgelerinde açıkça düzenlenmelidir.

STR (Şüpheli İşlem Bildirimi) ve iç iletişim

Şüpheli İşlem Bildirimi, risk temelli izleme ve uyarı senaryolarının çıktısıdır. İç iletişim hattı, birimler arası bilgi akışını güvenceye almalı ve uyum görevlisine doğrudan bildirim imkânı sağlamalıdır. Büyük ölçekli kuruluşlarda, bilgi güvenliği ve veri anonimleştirme ilkeleriyle uyumlu bir “olay biletleme” sistemi tercih edilir. Banka ve finans kuruluşlarının kamuya açık politika metinleri, eğitim ve süreç tasarımında örnek teşkil eder.

Eğitim, iç denetim ve kalite güvence

Uyum programı periyodik eğitimlerle canlı tutulur; eğitim kapsamı, rol bazlı yetkinlik haritalarıyla uyarlanır. İç denetim, risk yönetimi ve uyum fonksiyonlarının etkinliği bağımsız denetim planlarıyla test edilir. Yönetmelik metni, iç denetim ve izleme-kontrol görevlerini açıkça sıralar; bulgular yönetim kuruluna raporlanır ve düzeltici eylemler takip edilir.

Aklama riski, ceza sorumluluğu ve tedbirler

Uyum eksiklikleri, TCK 282 kapsamında aklama isnadıyla birleştiğinde kurumsal ve kişisel sorumluluk riskini yükseltir. Soruşturma safhasında CMK 128’e dayalı hak ve alacaklara el koyma, şirket yönetimine kayyım atanması ve veri kopyalama tedbirleri gündeme gelebilir. Bu nedenle kayıt saklama, uyarı senaryolarının geriye dönük izlenebilirliği, STR dosyalarının bütünlüğü ve delil zincirinin korunması kritik önemdedir. Tedbir süreçlerinde ölçülülük, gereklilik ve ilgililik ilkeleri kurumsal itiraz stratejisinin temel eksenleridir.

Grup çapında bilgi paylaşımı ve gizlilik dengesi

FATF rehberleri, grup çapında bilgi paylaşımının risk azaltmadaki rolünü vurgular; ancak mahremiyet ve veri koruma ilkeleri gözetilmelidir. Türkiye’ye ilişkin son değerlendirmeler, özel sektörle düzenli geri bildirim ve tipoloji paylaşımının önemine işaret eder. Politika metinlerinde hem yerel mevzuatın hem de grup ilkelerinin uyumu açıkça gösterilmelidir.

Uygulama örüntüsü: tipik açıklar ve düzeltici aksiyon

Gerçek faydalanıcının eksik belgelendiği, nakit yoğun işlemlerin yeterince izlenmediği ve yüksek riskli ülkelerle yapılan işlemlerde gelişmiş sorguların atlandığı senaryolarda uyum arızaları sık görülür. Düzeltici aksiyon planları, risk sınıfı özelinde KYC yenileme, uyarı eşiklerinin gözden geçirilmesi, dış veri kaynaklarıyla negatif haber taraması ve STR kalitesinin artırılmasını içerir. Banka ve sigorta sektörü politikaları, iyi uygulama örnekleri sağlayan şeffaf çerçeveler sunar.

Sonuç: sürdürülebilir uyum mimarisi

Etkin bir uyum programı; yönetim kurulu gözetimi, risk temelli KYC ve izleme, güçlü STR süreçleri, düzenli eğitim ve bağımsız iç denetim üzerine kurulur. 5549 ve ikincil düzenlemeler ile FATF standartları birlikte okunarak, soruşturma riskine karşı delil bütünlüğü ve ölçülülük ilkesini önceleyen bir savunma altyapısı tesis edilmelidir.

Kaynaklar: 5549 sayılı Kanun; MASAK “Uyum Programı Hakkında Yönetmelik” ve “Yükümlülükler” sayfası; FATF R.18 açıklama notları, Türkiye değerlendirme raporları; bankacılık sektörü uyum politikaları.

SIKÇA SORULAN SORULAR

Uyum programının yasal dayanağı nedir?
5549 sayılı Kanun m.5 ve “Uyum Programı Hakkında Yönetmelik”; risk yönetimi, izleme-kontrol, eğitim, iç denetim ve uyum görevlisi hükümleri.

Kimler uyum programı kurmak zorundadır?
Banka ve finansal kuruluşlar başta olmak üzere Yönetmelik’te sayılan yükümlüler; programın kapsamı ölçeğe ve riske göre farklılaşır.

STR süreçleri nasıl kurgulanmalı?
Risk temelli uyarı senaryoları, iç bildirim hattı, uyum görevlisine doğrudan erişim ve kayıt saklama; kalite kontrol ve geriye dönük izlenebilirlik şarttır.

Ceza sorumluluğu ile bağlantı nedir?
Uyumsuzluk, TCK 282 isnadıyla birleştiğinde CMK 128–133 tedbirleri (hak ve alacaklara el koyma, kayyım) gündeme gelebilir; ölçülülük ve ilgililik ilkeleri önemlidir.

Grup şirketlerinde bilgi paylaşımı nasıl yönetilir?
FATF 18’e uygun grup çapı politikalar; gizlilik ve KVKK gözetilerek merkezi izleme, eğitim ve iç denetim.