Finans Kuruluşlarının ‘Düzenleme Uyumu’ Konusundaki Kör Noktalarının Belirlenmesi*

 

1. Giriş

Tutarlı bir risk ve uyum çerçevesi oluşturmak (establishing a cohesive risk and compliance framework), engellerin önlenmesine yardımcı olabilir. Ortalama bir finans kuruluşunun uyması gereken düzinelerce düzenleme ve yanıt vermesi gereken yarım düzineden fazla düzenleyici kurum bulunmaktadır. Mevcut kurallara uymak ve yenilerine hazırlanmak büyük bir iştir ve uyum değer zinciri riskine ilişkin kapsamlı bir anlayışa (comprehensive understanding of the compliance value chain risk) sahip olmayan kuruluşların kör noktalara maruz kaldıkları yazılmaktadır.

Bankalar ve finans kuruluşları, kendi yetki alanlarındaki mevcut uyum yükümlülüklerini bilmenin yanı sıra, neredeyse sürekli değişikliklere ayak uydurabilme yeteneklerini de göstermelidir. Yalnızca Amerika Birleşik Devletleri’nde (ABD), bankalar ve finansal kuruluşlar için kırka yakın temel düzenleme vardır ki; bunların arasında sadece birkaçını saymak gerekirse Federal Rezerv, Menkul Kıymetler ve Borsa Komisyonu (Securities and Exchange Commission-SEC), Emtia Vadeli İşlemler Komisyonu (Commodity Futures Trading Commission-CFTC) ve Federal Mevduat Sigortası Kurumu (Federal Deposit Insurance Corporation-FDIC) gibi düzenleyici kurumları burada saymaya gerek yoktur.

Ve bu buzdağının sadece görünen kısmıdır. Bankacılık, sigortacılık veya ödeme kuruluşları olsun, her sektör için yeni eyalet düzenlemelerini, sektör standartlarını, en iyi uygulamaları ve gözlemci yönergeler de buna eklenmelidir. Rüşvet ve yolsuzlukla mücadele, ihbar, kara parayla mücadele (anti-money laundering; AML), ESG (environmental, social, and governance; çevresel, sosyal ve kurumsal yönetişim) ve veri gizliliği gibi uyum ve risk ile ilgili kavramlar hakkında hiçbir şey söylememek gerekir.

Finans sektörü düzenlemelerle dolu olup, bu hâlâ daha büyümektedir. Finansal kurumların aynı zamanda müşterilerine ve paydaşlarına karşı sözleşme yükümlülüklerine uyumu da sağlamaları gerekmektedir. Bu durum, satıcıların, alt yüklenicilerin ve hizmet sağlayıcıların uyumunun gözetimini ve sorumluluğunu gerektiren tedarik zinciri uyumluluğu nedeniyle daha da karmaşık hale gelmektedir.

Risk ve uyum görevlilerinin önündeki sorumluluk, sadece düzenlemeleri anlamak değil, aynı zamanda karmaşık ürünleri, pazarları ve bu ürünleri etkileyen risk faktörlerini de anlamaktır. Karmaşıklığın gerçek kapsamını anlamak için uyum değer zinciri takip edilmelidir.

2. Yasal uyum

Bir kuruluşun hukuk departmanı veya uyum departmanıyla başlıyoruz. Bir uyum yükümlülüğünün bir girdi veya vakıa olarak kabul edilmesi durumunda bu vakıanın analiz edilmesi, değerlendirilmesi, operasyonel hale getirilmesi, izlenmesi ve raporlanması gerekir.

Bu departmanın girdisi, analiz edilmesi, anlaşılması gereken ve bunların finansal kuruma uygulanabilirliğinin belirlenmesi gereken herhangi bir düzenleyici kılavuz, yasa, kılavuz veya talimattır. En iyi uygulama, ilgili düzenleyici mevzuatın otomatik bir özetine sahip olmak olacaktır.

Gereksinim, belirli bir ürüne, departmana veya fonksiyona uygulanabilirliği açısından analiz edilir. Bu seviyelerin birinde veya tamamında uygulanabilir.

3. Etkinin ölçülmesi

Daha sonra yükümlülük etkisi açısından değerlendirilir. Bu konudaki anahtar sorular şunlardır:

  • Düzenleyici otoriteler tarafından uyum için hangi zaman çizelgesi belirlendi mi?
  • Bu düzenlemenin belirli bir ürün(ler), departman veya fonksiyon üzerinde ne gibi bir etkisi vardır?
  • Mevcut politika, süreç, organizasyon yapısı, faaliyet gösterdiği pazarlar, insan sermayesi, altyapısı, teknolojisi vb. konularda bir değişikliği garanti ediyor mu?

Bir değişikliği gerektiriyorsa, hem finansal hem de finansal olmayan anlamda etkisinin belirlenmesi zorunlu hale gelir. Göz önünde bulundurulması gereken bir diğer önemli husus da, düzenleyiciler tarafından yükümlülüklere uymak için sağlanan zaman çizelgesi ve değişikliğin hayata geçirilmesine yönelik bir fayda-maliyet analizidir. Ayrıca eğitim veya çapraz beceriler gibi finansal olmayan yükümlülüklerin analizi de eklenmelidir.

Organizasyon düzeyindeki politikalar geçerli uyum talimatlarının gereksinimlerine göre güncellendiğinde, etkilediği alt işlevlere dağıtılır. Ürün/departman düzeyinde politikanın tanımlanması ve geçerli uyum yetkisinin operasyonel hale getirilmesi, bireysel ürün gruplarının veya iş kollarının sorumluluğundadır ve genellikle merkezi ikinci hat uyum fonksiyonunun yardımını gerektirmektedir.

Bu iki ila üç aşamalı bir süreçtir. Prosedür kılavuzları ve süreçleri, talimatların gerektirdiği değişikliklere göre güncellenmektedir. Gerektiğinde, birinci, ikinci ve üçüncü aşama katılım ve onay alındıktan sonra teknoloji değişiklikleri ve güncellemeleri gerçekleştirilir veya geçici çözümler oluşturulur ve belgelenir.

4. Kontroller

Uyumu göstermek aynı zamanda operasyonel kontroller hakkında rapor verebilmeyi de gerektirir. Risk değerlendirme süreci veya risk kontrol güvenliği değerlendirme süreci yoluyla kritikliklerine göre riskler tanımlanır, analiz edilir ve kontroller uygulamaya konulur.

Uyum ile ilgili kontrollerin periyodik ve sık aralıklarla izlenmesi, temel kontrollerin hem tasarımının hem de işleyişinin etkinliğinin sağlanmasını sağlayacaktır. Belirlenen sorunlar için temel nedenin ele alınması gerekir. Ayrıca düzenleyici otoritelerin ve yetkililerin, uyum çerçevesinin etkili olup olmadığını belirlemelerine yardımcı olmak için bu kontrolleri incelemelerine ve bunlara güvenmelerine yardımcı olur.

Yetkililere nihai raporlamanın iki bileşeni vardır: düzenleyici talimatın politika düzeyindeki değişikliklere sorunsuz bir şekilde aktarılması veya çevrilmesi ve daha sonra bu talimatın/değişikliğin ürün, işletme, operasyonlar ve teknoloji departmanlarına eşleştirilmesi.

Geriye kalan ve genellikle bir uyum programının başarısını belirleyen şey, kuruluşun kültürü ve üst kademedeki tavrıdır. En kritik nokta da budur. Üstteki üslup, uyum ihlallerine karşı sıfır tolerans politikasını desteklemiyorsa sorunlar ortaya çıkmaya devam edecektir. Potansiyel sonuç sistemik bir sorundur. Sistemik sorunlar sonuçta büyük para cezalarına, cezalara ve itibar ve müşteri güveninin kaybına yol açar.

Uyum değer zincirinin yaşam döngüsü içinde, kör noktanın ölümcül bir kazaya yol açmamasını sağlamak önemli bir görevdir. Bu yükümlülükleri proaktif olarak belirlemek, analiz etmek, operasyonel hale getirmek ve izlemek devam eden bir süreçtir. Bir kurumsal yönetişim mekanizması ve yukarıdan aşağıya ve aşağıdan yukarıya yaklaşım oluşturmak, sürpriz olmayan bir kültüre ve güvenli bir sürüşe yol açar.

5. Uyum riski matrisi

Kuruluşların uyumlu olduğunu göstermek için düzenleme veya uyum risk matrisi oluşturmaları gerekir. Bu matris, kritik uyum talimatlarının risk tanımlama, değerlendirme ve hafifletme kontrolüne eşlenmesini içerir. Bu, tüm temel risk göstergelerinin (key risk indicators-KRI) tek bir yerde toplanmasına yardımcı olacaktır. Uygulanabilir uyum riski matrisi öğelerinin bir alt kümesi daha sonra kuruluşlar tarafından periyodik olarak gerçekleştirilen uygulamaların bir parçası olarak değerlendirilebilir.

Bu matris, temel risklerin ve maruz kalma durumlarının en ayrıntılı düzeyde tanımlanmasını sağlayacaktır. Temel risk göstergeleri ihlalleri sistematik olarak gerçekleşiyorsa bunların vurgulanması ve liderliğe rapor edilmesi gerekir. Bu, yönetim kurulunu ve risk komiteleri ve denetim komiteleri gibi diğer paydaşları içerebilir.

Uyum kaynaklarının eğitilmesi ve uyum organizasyonunun doğru becerilerle donatılması sürecin geri kalanı kadar önemlidir. Nitelikli uyum kaynakları, kuruluş düzeyindeki uyum ofisi ile gerçek iş kolları arasındaki boşluğu doldurabilecek bir varlıktır.

6. Sonuç

Bir organizasyondaki kör noktaları bilmek ilk adımdır. Azaltıcı stratejilerin uygulanması ikinci adımdır. İyileştirilmiş süreçler ve teknolojiler uyum kuruluşlarının bu riski azaltmasına yardımcı olur. Sürekli değişen bir ortam ve mevzuat değişikliğinin hızlı temposu nedeniyle kuruluşların çevik olması ve bu değişikliklere hızla uyum sağlaması gerekiyor.

Kuruluş genelinde tutarlı bir çerçeve oluşturmak ve modern teknolojileri benimsemek, uyum kuruluşlarının yalnızca kör noktaları ortadan kaldırmasına değil, aynı zamanda potansiyel engelleri proaktif bir şekilde öngörmesine de olanak tanıyacaktır.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.