Tedarikçi Durum Tespiti: Genel Bakış

Pandemi sırasında, çok sayıda şirket ürünleri için gerekli bileşenleri elde edemediklerini görmüş olup; bu da, birçoğunun satış kaybetmesine, geçici olarak kapanmasına ve hatta bazı durumlarda iflas etmesine neden olmuştur. O zamandan beri bu zaman dilimi geride kalmıştır, ancak kuruluşlar hâlâ her türden tedarikçiye önemli ölçüde bağımlıdır. Ve bu ilişkiler, işletmeleri ve kuruluşları yalnızca tedarik sıkıntısı değil, aynı zamanda veri ihlalleri ve itibar kaybı gibi yıkıcı risklere maruz bırakabilir.

Müşteri tanıma [know your customer] hayati önem taşırken tedarikçi tanıma [know your vendor] da aynı derecede önemlidir. İster özel ister kamu sektöründe olsun, risk ve dolandırıcılık uzmanlarının potansiyel veya mevcut üçüncü taraf tedarikçiler ile ilişkili riskleri yönetmek için tedarikçi durum tespiti süreçleri ve en iyi uygulamaları konusunda güncel olmaları gerekir.

1. Tedarikçi Durum Tespiti

Tedarikçi durum tespiti [vendor due diligence], iş ilişkileri kurmadan veya sürdürmeden önce üçüncü taraf satıcıları değerlendirmek için kapsamlı bir süreçtir. Bu, kuruluşun bir satıcıyı tanıştırma [onboarding] veya mevcut bir satıcıyla devam etme konusunda bilinçli bir karar almasını sağlar. Amaç, elbette, işletmeyi veya kuruluşu tehlikeli ortaklıklardan ve olası felaketlerden korumaktır. Kapsamlı tedarikçi durum tespiti ayrıca müşterileri veya ödeme yapanları [clients or customers] üçüncü taraflara yönelik siber saldırıların neden olduğu veri ifşası gibi risklerden korur.

Tedarikçi durum tespiti süreci, diğer durum tespiti süreçlerinde izlenen süreçlere benzerdir:

1.1. İlk değerlendirme [initial assessment]

Kuruluş işe bir  risk değerlendirmesi yaparak başlar. Ön tarama genellikle nispeten belirgin kırmızıçizgileri belirlemek için geçmiş kontrollerini içerir. Bu değerlendirme aşamasında, birçok kuruluş potansiyel tedarikçilere dâhili süreçler ve risk yönetimi protokolleri hakkında bilgi talep eden anketler gönderir.

1.2. Bilgi toplama [information gathering]

Daha sonra daha derinlere inmenin zamanı gelir. Kuruluş, tedarikçi şirketin gerçek faydalanıcı ve idari yapısı dâhil olmak üzere olası bir satıcının kimliğini doğrulamak için tüm mevcut belgeleri bir araya getirir. Bu adım ayrıca geçmiş veya devam eden yasal anlaşmazlıkları, iflas başvurularını, yaptırımları ve olumsuz medya haberlerini araştırmayı da içerir.

1.3. Risk değerlendirmesi [risk evaluation]

Bu bilgiler toplandıktan sonra, kuruluş bir risk analizi uygular. Siber güvenlik, tedarik zinciri, finans ve operasyon gibi alanlardaki uzmanlar (dâhili veya harici) potansiyel riskleri değerlendirmek için bu bilgileri incelemelidir.

Örneğin, bir finans analisti potansiyel satıcının finansal tablolarını, muhasebe uygulamalarını, nakit akışını ve iç kontrollerini inceleyerek ileride sorunlara işaret edebilecek herhangi bir anormalliğe karşı uyarabilir. Bir hukuk uzmanı satıcının sözleşmelerini, fikri mülkiyet haklarını ve dava geçmişini ve ayrıca kara para aklamayı önleme kuralları ve çevresel, sosyal ve kurumsal yönetişim yükümlülükleri [anti-money-laundering rules and environmental, social, and governance requirements] gibi ilgili düzenlemelere ve sektör standartlarına uyumunu araştırabilir.

Risk değerlendirmesi ayrıca bir organizasyonun tedarikçi risk toleransını netleştirmesini gerektirir. Yararlı bir teknik risk puanlamasıdır. Risk seviyelerini değerlendirirken, organizasyonun kritikliği belirlemesi gerekecektir. Bir tedarikçi, ürününün veya hizmetinin kullanılamaması organizasyonun operasyonlarını önemli ölçüde aksatıyorsa kritik olarak kabul edilir. Ayrıca, ürünü veya hizmeti başka bir tedarikçi tarafından hızlı bir şekilde karşılanamıyorsa yüksek riskli olur. Buna ek olarak, tedarikçi, örneğin organizasyonun verilerine erişim izni verildiyse yüksek riskli olarak kategorize edilir. Risk ne kadar yüksekse, tedarikçi durum tespiti o kadar titizdir.

1.4. Karar ve uygulama [decision and implementation]

Burada kuruluş, satıcı ilişkisini onaylama veya reddetme kararını belgelendirir. Onaylamayı seçerse, üçüncü taraf risklerine maruz kalmayı sınırlayan sözleşme dilini ekleyebilir.

1.5. Sürekli izleme [ongoing monitoring]

Tedarikçi ile temas sağlandıktan sonra bile, kuruluş herhangi bir önemli değişikliği, yeni riski veya operasyonel düzensizliği tespit etmek için düzenli izleme ve değerlendirme yapmalıdır. Bu sorunlar kuruluşun ortaklığı sonlandırmasını gerektirebilir.

2. Tedarikçi Durum Tespitinin Önemi

Günümüzün birbirine bağlı iş ortamında, kuruluşların kritik işlevler için giderek daha fazla harici taraflara güvendiği bir ortamda, tedarikçi durum tespitinin önemi yeterince vurgulanamaz. Müşteri tanımaya yönelik etkili dikkat, bir tedarik zincirindeki olası güvenlik açıklarını ortaya çıkarır, düzenleyici uyumun sürdürülmesine yardımcı olur ve kuruluşları finansal ve operasyonel kesintilere karşı korur.

Satıcıyla ilgili risklerden kaynaklanan hasar örnekleri üzücü derecede çoktur. İki önemli örneği vurgulamak gerekirse:

• ‘Target’ firmasının 2013 yılındaki büyük veri ihlali, bilgisayar korsanlarının perakendecilerden birinin ısıtma, havalandırma ve klima [heating, ventilation and air conditioning-HVAC] tedarikçilerinden birinin ağ erişim bilgilerini çalmasıyla gerçekleşmiştir.
• Siber suçlular 2020 yılında bilgi teknolojisi tedarikçisi ‘SolarWinds’ firmasının ağ yönetim yazılımına kötü amaçlı yazılım yerleştirerek on binlerce işletme ve devlet ağına erişim sağlamıştır.

Uygun tedarikçi durum tespiti olmadan, kuruluşlar önemli maliyetli sonuçlarla karşı karşıya kalabilir ve üçüncü taraf veri ihlalleri bunlardan sadece biridir. Bir satıcı devlet düzenlemelerine uymuyorsa, işletmeler ve kuruluşlar finansal cezalarla karşı karşıya kalabilir. Operasyonel sorunlar yaşayan sağlayıcılar tedarik zincirlerini tıkayabilir ve kuruluşların istikrarını altüst edebilir. Tüm bunlar, sağlam satıcı değerlendirmesinin bir yasal uyum egzersizinden daha fazlası olduğu gerçeğini vurgular. Bu bir iş zorunluluğudur.

3. Tedarikçi Durum Tespitine İlişkin En İyi Uygulamalar

Bu zorunluluğu etkili bir şekilde ele almak için, kuruluşların güncel tedarikçi durum tespiti en iyi uygulamaları hakkında bilgi sahibi olmaları gerekir:

• Risk temelli yaklaşım [risk-based approach]: Risk temelli yaklaşım, kaynakları en büyük potansiyel riski oluşturan tedarikçilere odaklar ve değerlendirme derinliği tedarikçi ilişkisinin kritikliğine ve potansiyel risk etkisine bağlıdır.
• Standardizasyon ve otomasyon [standardization and automation]: Tutarlı çerçeveler ve ölçümler, kuruluşların tedarikçi durum tespitlerini değerlendirmelerine ve iyileştirmelerine yardımcı olur. Yapay zekâ destekli araçlar da dâhil olmak üzere teknolojiden yararlanmak, tedarikçi bilgilerinin toplanmasını, analizini ve yönetimini otomatikleştirebilir ve kolaylaştırabilir.
• İşletme bölümleri arasında işbirliği [cross-functional collaboration]: Kuruluş içindeki ilgili uzmanlardan ve paydaşlardan (bilgi teknolojisi, hukuk, tedarik, yasal uyum vb.) alınan girdiler daha kapsamlı bir risk değerlendirmesi sağlar.
• Dokümantasyon ve merkezileştirme [documentation and centralization]: Bir kuruluş, tüm tedarikçi durum tespiti kararlarının ve risk azaltma planlarının kapsamlı kayıtlarını tutmalı ve bunlara tüm paydaşların erişebilmesini sağlamalıdır.
• Sürekli izleme [continuous monitoring]: Bu önemlidir çünkü satıcı bilgileri, iş koşulları ve yönetmelikler değişime tabidir. Kuruluşlar ayrıca kritik ve yüksek riskli üçüncü taraf satıcılar için daha sık tedarikçi durum tespiti incelemeleri ayarlamalıdır.

* İşbu yazı bağlamında aşağıdaki çalışmalara da bakılabilir.

• Yavuz Akbulak (Türkçe Çeviri), Yasal Durum Tespiti ve Önemi, Legal Blog, 18 Mart 2024.
• Yavuz Akbulak (Türkçe Çeviri), Birleşme ve Devralmalarda Hukuki Durum Tespitine Yönelik Bir Kılavuz [Amerika Birleşik Devletleri Uygulaması], Legal Blog, 26 Temmuz 2024.
• Yavuz Akbulak (Türkçe Çeviri), İşletme Satın Alımlarında Durum Tespitinin [Due Diligence] Kritik Rolü, Legal Blog, 13 Ağustos 2024.
• Yavuz Akbulak (Türkçe Çeviri), Hukuk, Finans, İş ve Diğer Sektörlerde ‘Durum Tespiti (Due Diligence)’, Legal Blog, 05 Eylül 2024.
• Yavuz Akbulak (Türkçe Çeviri), Tedarikçi Değerlendirmesi Minvalinde ESG Durum Tespiti, Legal Blog, 02 Aralık 2024.
• Yavuz Akbulak (Türkçe Çeviri), Avrupa Birliği’nin ‘Sürdürülebilirlik Durum Tespiti Direktifi’ Kurumsal Amerika’yı Nasıl Yeniden Şekillendirebilir? Legal Blog, 25 Şubat 2025.
• Yavuz Akbulak (Türkçe Çeviri), Müşteri Durum Tespiti, Legal Blog, 13 Mart 2025.
• Yavuz Akbulak (Türkçe Çeviri), Gelişmiş Durum Tespiti: Genel Bakış, Legal Blog, 25 Mart 2025.
• Yavuz Akbulak (Türkçe Çeviri), Kurumsal Sürdürülebilirlik Durum Tespiti Direktifi: Her Şey, Her Yerde, Hepsi Aynı Anda mı? Legal Blog, 17 Nisan 2025.

Yavuz Akbulak

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.