Posted on

Mevzuata Uyum Risk Analizi

Giriş

Kuruluşlar günümüzde sürekli değişen bir iş ortamıyla karşı karşıyadır. Bir yandan yetkililer sürekli olarak mevzuatı uygulamaya koyup güncellerken, diğer yandan Y kuşağı yatırımcıları ve diğer paydaşlar salt kâr odaklı yaklaşımlar yerine değer odaklı yaklaşımları tercih etmektedir. Bunlar, işletmelerin karşı karşıya kalabileceği risklerden sadece birkaçıdır. Bu nedenle, risk profilini anlamak ve hangi adımların atılacağını bilmek son derece önemlidir.

Mevzuata uyum risk analizi [compliance risk analysis], bir şirketin potansiyel risklere ne kadar maruz kaldığı ve bu risklerin gerçekleşme olasılığı hakkında fikir verir.

Uyum riskini etkin bir şekilde yönetemeyen şirketler için bir dizi olası olumsuz sonuç vardır. Bunlar[1] şunlardır:

  • Finansal cezalar;
  • Ürün ele geçirmeleri;
  • Ticaret kısıtlamaları;
  • Sözleşmelerin ve diğer iş fırsatlarının kaybı;
  • Yönetim personelinin hapsedilmesi;
  • İtibar zedelenmesi,

Bir ihraççıya ilişkin finansal araçların fiyatı üzerinde olumsuz etki.

Bu yazıda yasal uyum risk analizinin ne olduğu ve bir uyum yöneticisinin kuruluşunu koruyacak şekilde bunu nasıl gerçekleştirebileceği açıklanmaktadır.

  1. Uyum Riskinin Kapsamı

Mevzuata uyum riski, düzenleyici risk olarak da bilinir ve bir şirketin herhangi bir mevzuatı ihlal etme olasılığıyla ilgilidir. Bu riskler, aşağıdakiler de dâhil olmak üzere çeşitli potansiyel faktörlerden[2] kaynaklanır:

  • Yetersiz durum tespiti;
  • Yetersiz iç uyum sistemleri;
  • Yasal değişikliklere ayak uyduramama;
  • Yetersiz eğitim;
  • İnsan hatası,
  • Kurumsal yönetişimdeki başarısızlıklar.

Uyum risklerinin büyük çoğunluğu yasa ve yönetmeliklerle ilgili olmakla birlikte, yatırımcıların ve diğer paydaşların beklentilerini karşılamayan etik olmayan davranışları da kapsayabilmektedir.

  1. Uyum Risk Analizi

Uyum risk analizi, şirketin yasal ve etik sınırları aşabileceği alanları ve bunları yapma olasılığını belirlemeyi içerir. Bu riskler genellikle dört genel kategoriye ayrılır:

  1. Uyum Risk Analizinin Amacı

İşletmedeki ilgili tüm riskler belirlendikten sonra, bu risklerin nasıl azaltılacağı planlanabilir. Risk analizi şunların yapılmasını sağlar:

  • Her bir riskin ciddiyetinin, gerçekleşme olasılığının ve gerçekleşmesi durumunda yaratacağı etkinin değerlendirilmesi.
  • İşletmeyle ilgili en acil risklerin hangileri olduğunun anlaşılması.
  • Risklerin kontrol edilmesi. Riskler öncelik sırasına koyulduktan sonra, bunların gerçekleşmesini önlemek için bir plan oluşturulabilir.

Bu analiz ve sonrasındaki eylemler, söz konusu olayların meydana gelme riskini azaltmaya yardımcı olmakla kalmaz, aynı zamanda düzenleyici otoritelere uyumu korumak için önlemler alındığını gösteren bir gözetim izi görevi de görür. Belirlenen risk gerçekleşse bile, bunun fark edildiğine ve önlenmeye çalışıldığına dair kanıt sunulabilmesi, sonraki soruşturmalardan daha hoşgörülü bir sonuç alınmasını sağlayabilir.

  1. Uyum Risk Analizini Yürütmenin Adımları

4.1. İlgili risklerin belirlenmesi [identify the relevant risks]

Bir işletme için ilgili riskleri belirlemek amacıyla tüm farklı bölüm ve departmanlarla işbirliği yapılması gerekir. Modern işletmeler birden fazla alana ve çeşitli bölgelere yayılabilir; bu da uyum programları oluştururken düzenleyici konularla ilgilenen paydaşlara düzenli olarak danışılmasını gerektirir. Bu durum, özellikle Avrupa Birliği (AB) ve Birleşik Krallık genelinde faaliyet gösteren işletmeler için bilhassa önemlidir[3]. Brexit’ten önce yasal çerçeve büyük ölçüde aynıydı. Birleşik Krallık’ın AB’den ayrılmasıyla birlikte, iki uyum alanı ayrı ayrı gelişmeye devam edecektir.

İş akışlarının nasıl işlediğini, sorunları tespit etmek için kullanılan sistemler ve çalışanların en son mevzuat konusunda güncel tutulması için kullanılan eğitim programları incelenmelidir. Herhangi bir yasal uyum sorunu tespit edilirse, bunlar not edilmeli ve risk yönetimi programına eklenmelidir.

4.2. Risklerin olası sonuçlara göre haritalanması [map risks to possible outcomes]

Risk listesi oluşturulduktan sonra, bunların gerçekte işletmeyi nasıl etkileyebileceğini anlamak için bunlar genelleştirilmelidir.

Örneğin, bir finansal hizmetler işletmesinde şu durumu hayal edin. Aracı kurumlar veya danışmanlar tarafından yapılan kişisel işlemlerin izin verilmesi veya engellenmesi için otomatik bir ön onay süreciniz [an automated pre-clearance process] yoktur. Bu durum, çıkar çatışmalarına veya içeriden bilgi edinilmesine yol açabilir ve bu da finansal cezaya neden olabilir. Credit Suisse, yeni işe alınanların kişisel işlemlerini doğru beyan edip etmediklerini takip etmek amacıyla gerekli sistemleri kurmadığı için 2021 yılında 345 bin ABD doları para cezasına çarptırılmıştır[4].

4.3. En ciddi risklerin önceliklendirilmesi [prioritise the most severe risks]

Mevzuata uyum uzmanları, işletmedeki her olası sorunun risk seviyelerini değerlendirmelidir. Zamanın ve kaynakların çoğunun, gerçekleşme olasılığı en yüksek ve gerçekleşmeleri halinde büyük etki yaratacak risklere ayrılması mantıklıdır. Benzer şekilde, daha az yaygın olan ve en az etki yaratacak riskler de sıranın sonuna koyulabilir.

İster yeni bir sistem kurmak ister mevcut sistemi güçlendirmek olsun, risk seviyesi açısından en yüksek öncelikten başlayarak aşağıya doğru ilerlemek en iyisidir. Süreçlerdeki ihlaller konusunda sizi uyarmak için nelerin mevcut olması gerektiği veya mevcut sistemin nasıl iyileştirilebileceği düşünülmelidir.

Örneğin, ihbarcılar için dâhili bir raporlama sistemi olarak bir telefon hattınız olabilir. Ancak, Genel Veri Koruma Yönetmeliği’nin[5] [General Data Protection Regulation] gerektirdiği şekilde, AB İhbar Direktifi’ndeki[6] [EU Whistleblowing Directive] gizlilik ve veri koruma yükümlülüklerini ihlal etme riski vardır.

4.4. Değişikliklerin izlenmesi [track changes]

Mevzuat ortamını izlemek, yasal uyum için olmazsa olmazdır. Kuruluşu etkileyen yasalar açısından neyin ne zaman değiştiğini anlamak gerekir. Bu, ilgili mevzuat değişikliklerinin kaçırılmamasını sağlayacak bir sistem gerektirir.

Bazı işletmeler bilgileri ileten otomatik bir hizmet kullanırken, diğerleri bu görevi yerel danışmanlık firmalarına devreder. Ancak, faaliyet gösterilen bölgelerdeki mevzuat değişiklikleri takip edilse de, bilgileri kolay anlaşılır bir şekilde bir araya getiren verimli bir sisteme sahip olunması gerekir.

4.5. Uygulama kontrolleri yapılması [implement controls]

Uyumu sürdürmek ve belirli bir riski azaltmak için ihtiyaç duyulan sistemler belirlendikten sonra, bunlardan faydalanmaya başlayabilmek için uygun kontroller mümkün olan en kısa sürede uygulamaya koyulmalıdır. Sistemler kurulmalı ve ilgili tüm personelin bunları nasıl kullanacakları ve bir uyum sorunu ortaya çıktığında ne yapacakları konusunda bilgi sahibi olmaları sağlanmalıdır.

4.6. Test yoluyla doğrulama yapılması [validate through testing]

Sistemlerin ne kadar sağlam olduğunu tam olarak anlamanın tek yolu, onları kapsamlı bir şekilde test etmektir. Her risk veya risk grubu için uyum kontrollerinin gerektiği gibi çalıştığından emin olunması şarttır. Bu test şirket içinde gerçekleştirilebilir, ancak kontrollerin gerektiği gibi çalıştığından emin olmak için sıkı bir incelemeye tabi tutabilecek Test Hizmeti [Testing as a Service] şirketleri de mevcuttur.

4.7. Gerektiğinde risklerin yeniden değerlendirilmesi [re-evaluate risks as needed]

Uyum kontrolleri kesin değildir çünkü iş dünyası sürekli gelişmekte ve kuruluş da aynı şekilde değişmektedir. Bu, karşı karşıya olunan risklerdeki değişikliklerin ve faaliyet gösterilen yasal çerçevelerdeki değişikliklerin sürekli farkında olunması gerektiği anlamına gelir.

  1. Uyum Risklerinin Yüksek Olduğu Yerler

İş dünyasında mevzuata uyumla ilgili olarak yüksek risk taşıyan bazı ortak alanlar vardır:

5.1. Çalışan davranışları [employee behaviour]

İhbarcılara misilleme yapmaktan içeriden öğrenenlerin ticareti yapmaya kadar, çalışanların uyumsuz davranışları hem bireyler hem de kurumlar için sorunlara yol açar.

5.2. Çevresel etki [environmental impact]

Sürdürülebilir yatırımların artmasıyla birlikte, şirketler giderek daha fazla ESG [environmental, social, and corporate governance-çevresel, sosyal ve kurumsal yönetişim] performansına odaklanmaktadır. Olumsuz çevresel etkiye sahip bir şirket, itibar kaybı riskiyle karşı karşıya kalmanın yanı sıra, ilgili yasaları ihlal ettiği için ağır cezalarla da karşı karşıya kalabilir.

5.3. Veri koruma [data protection]

AB’deki Genel Veri Koruma Yönetmeliği, şirketlerin verileri çok özel şekillerde ele almasını ve kullanmasını zorunlu kılar. Mevzuatı anlamak zor olabilir, ancak uyulmaması maliyetli olabileceğinden, bunu yapmak çok önemlidir. Potansiyel cezalar, hangisi daha yüksekse, 20 milyon avroya veya bir önceki mali yılın dünya çapındaki cirosunun yüzde 4’üne kadar çıkabilir.

5.4. Kara para aklama [money laundering]

Çok yönlü suçlular [sophisticated criminals], meşru finans kuruluşları aracılığıyla para aklamak için giderek daha akıllıca yöntemler kullanır. Bu nedenle Avrupa Birliği, kara para aklamayla mücadele mevzuatını sürekli olarak güncellemekte olup; şirketler, müşteri inceleme çalışmalarının mümkün olduğunca güvenli ve sağlam olmasını temin etmelidir.

Sonuç

Mevzuata uyum risk analizi, şirketlerin yasayı ihlal etmesi durumunda ortaya çıkabilecek olası finansal cezalardan, kovuşturmalardan, itibar kaybından ve maddi kayıplardan şirketi korumak için olmazsa olmazdır. Bu analiz sayesinde işletme ile ilişkili riskler keşfedilir, bunların kuruluşla nasıl ilişkili olduğu anlaşılır ve ardından bu riskleri en aza indirmek için atılması gereken adımlar belirlenebilir.

[1] Metnin İngilizcesi şöyledir: “Financial penalties; Product seizures; Restrictions on trading; Loss of contracts and other business opportunities; Imprisonment of management personnel; Reputational damage; Negative effect on the price of financial instruments relating to an issuer”.

[2] Metnin İngilizcesi şu şekildedir: “Insufficient due diligence; Inadequate internal compliance systems; Failure to keep up with legislative change; Inadequate training; Human error; Failures of corporate governance”.

[3] < https://www.legislation.gov.uk/eu-legislation-and-uk-law >.

[4]<https://fxnewsgroup.com/forex-news/regulatory/credit-suisse-fined-for-failure-to-monitor-employees-outside-brokerage-accounts/ >.

[5] < https://gdpr-info.eu/ >.

[6] < https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019L1937 >.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.