Posted on

‘Mevzuata Uyum Raporu’ Hazırlanması

Giriş

Mevcut mevzuata uyum sağlamak ve uyumlu görünmek, çağdaş iş dünyasında olmazsa olmazdır. Ülkeler veri ihlalleri, yolsuzluk, içeriden öğrenenlerin ticareti [data breaches, corruption, insider dealing] ve daha fazlası gibi tehditlerle mücadele etmeye çalışırken, düzenleyici ortam sürekli olarak gelişmektedir. Bu göz önünde bulundurularak, bir mevzuata uyum raporu[1] [compliance report] hazırlanmaya başlanmalıdır. Bu rapor, faaliyet gösterilen ülkelerin mevzuatına uygun kalma çabalarının kanıtlarının bir araya getirilmesine yardımcı olacaktır.

Yasal uyuma tutarlı bir yaklaşım oluşturmak için, çabaların belgelenmesi ve kuruluş içinde en iyi uygulamaların oluşturulması gerekir. Ancak birçok düzenleme için uyum, yalnızca bir adım olmaktan ziyade, karar alma süreçlerini her zaman bilgilendirmesi gereken sürekli bir endişe kaynağıdır.

Örneğin, ‘Bilgi Teknolojisi Yönetişim blogu’nda[2] [IT Governance blog], Genel Veri Koruma Yönetmeliği’nin [General Data Protection Regulation] “sorumluluğu bir ilke haline getirdiği” belirtilmektedir. Mevzuata uyum raporu, web sitesindeki Gizlilik Politikası’ndan kayıt tutma prosedürüne ve veri eğitimi politikasına kadar uygulamanın tüm yönlerini belgelemelidir. Bir veri ihlali durumunda, durumu önlemek için nasıl adımlar atıldığının gösterilebilmesi gerekir ve bir uyum raporu bunu yapmanın etkili bir yoludur. Bu, yetkililerin biraz hoşgörü gösterme olasılığını artıracak ve 20 milyon avroya veya önceki yılki cironun yüzde dördüne kadar ulaşabilen cezalardan kaçınılmasını sağlayacaktır.

  1. Mevzuata Uyum Raporu

Uyum raporu, sektörünüz ve konumunuz için geçerli olan çeşitli standartlara ve mevzuata uyum çabalarıyla ilgili tüm bilgilerin bir araya getirildiği belgedir. Bu raporda, kuruluşun yasal uyum faaliyetleri, işletmenin karşılaştığı tüm riskler ve bunları azaltmak için atılan adımlar dikkate alınarak açıklanmalıdır.

Uyum raporlaması, raporun hedef kitlesine bağlı olarak farklılık gösterebilir. Aşağıdakiler için bir uyum raporu oluşturulabilir:

  • (Bağımsız) Dış denetçiler ve düzenleyici otoriteler;
  • İş ortakları;
  • Yatırımcılar,
  • Yönetim kurulu üyeleri ve üst düzey yönetim.

Bu tarafların hepsinin kuruluşun uyumunda çıkarı vardır, ancak kullanılan dil ve girilen ayrıntılar farklılık gösterebilir.

  1. Uyum Raporunun Oluşturulmasından Sorumlu Olanlar

İşletme bir baş uyum sorumlusu [chief compliance officer] istihdam edebilecek kadar büyükse, mevzuata uyum raporlarını hazırlamaktan sorumlu kişi ve uyum birimi sorumlu olacaktır. Yasal uyum ihlallerini önlemek ve ortaya çıkan ihlalleri hızla tespit edip düzeltmek onların görevidir. Ayrıca, kuruluşun çeşitli birimlerindeki uzmanlardan, bilgi ve deneyimlerini kullanarak kapsamlı bir yasal uyum genel görünümü oluşturmak için rapora katkı sağlamalarını da talep edebilirler.

Baş uyum sorumlusu olmayan şirketler ise, uyum raporlamalarını yönetmek üzere uygun niteliklere sahip bir çalışan seçmelidir. Bu kişi, kuruluşun karşılaştığı düzenleyici zorlukların yanı sıra işletmenin operasyonel yapısı hakkında da iyi bir anlayışa sahip olmalıdır.

  1. Uyum Raporlarının Önemi

İşletmenin hangi alanlarının tam uyumlu, hangilerinin eksik olduğunu anlamak, kaynakların en çok ihtiyaç duyulan yerlere tahsis edilmesine yardımcı olur. Bir uyum raporu bunu vurgulayacak ve gelecekteki stratejiyi şekillendirecektir.

Rapor, olumsuz bir olayın meydana gelmesini önlemek için makul adımlar atıldığını kanıtlar ve meydana gelen sorunları gidermek için ne kadar hızlı ve etkili bir şekilde düzeltici önlemler alındığını gösterir. Bu, yetkililere karşı müsamaha talep ederken sahip olunması gereken iyi bir kanıttır.

Mevzuata uyumun şirket süreçlerine entegre edildiğini gösteren bir uyum raporu, yönetim ve diğer iç paydaşlar için gönül rahatlığı sağlar. Şirketin finansal yaptırımlara maruz kalmasına veya itibarının zedelenmesine yol açabilecek kötü sürprizler konusunda endişelenmelerine gerek kalmaz.

Mevzuata uyumun kanıtlanabilmesi, bir işletmeyi yatırımcılar ve müşteriler için daha cazip hale getirir.

  1. Mevzuata Uyum Raporlarının Türleri[3]
  2. Uyum Raporunun İçeriği

5.1. Rapora konu düzenlemeler

Uyulması gereken düzenlemelerin belirlenmesi önemlidir. Avrupa Birliği İhbar Direktifi’nden Piyasa Bozucu Eylemler Yönetmeliği’ne [EU Whistleblowing Directive to the Market Abuse Regulation] kadar kuruluşu etkileyebilecek çok sayıda farklı mevzuat bulunmaktadır.

İşletme üzerindeki tüm düzenleyici baskılar tam olarak anlaşılarak uyum konusundaki sağlamlık doğru bir şekilde değerlendirilebilir.

5.2. Raporun kapsamı [scope of the report]

Uyum raporunu okuyan herkes, baş uyum görevlisinin belgeyi hazırlarken hangi alanlara baktığını ve hangilerine bakmadığını bilmelidir. Bu, raporun amacına uygundur ve düzenleyici koşullara uyum sağlamak için ihtiyaç olan tüm alanları kapsadığından emin olunmasını sağlar.

5.3. Uyum sürecinin gözden geçirilmesi [review of the compliance process]

Süreçlerin nasıl incelendiğini ve nasıl yürütülmesi gerektiğini bilmek, şirketin yasal uyum altyapısının durumunu tam olarak anlamak için uygun prosedürlere uyulduğunun gösterilmesine yardımcı olur. Düzenleyici otoritelere, süreçlerin yeterince sağlam olduğu sonucuna varmak için atılan adımlar tam olarak gösterilebilir.

5.4. Analizin özeti [summary of the analysis]

Bulgular eksiksiz bir şekilde rapor edilmeli ve bir özet de sunulmalıdır. Bu, paydaşların şirketin hangi noktalarda uyumlu olduğunu ve nelerin değiştirilmesi gerektiğini gösteren hızlı bir durum kontrolü görmelerini sağlar.

5.5. İyileştirme takvimi [timelines for improvement]

Uyum söz konusu olduğunda riskler çok yüksek olduğundan, eksikliklerin en kısa sürede giderildiğinden emin olunmalıdır. Bu eylemler, prosedürleri iyileştirmek ve kurumsal uyum yükümlülüklerini karşılamak için zaman çizelgeleri belirlenerek harekete geçirilir. Ayrıca, inceleme yapan denetçilere iyileştirme ve uyum niyeti de gösterilmiş olur.

  1. İpuçları ve En İyi Uygulamalar

6.1. Bilgilerin herkesin erişimine açılması [make the information accessible to all]

Bir uyum raporunun birden fazla hedef kitle tarafından erişilebilir olması gerekir; bu da bilgilerin farklı şekillerde sunulması gerekebileceği anlamına gelir. Denetçiler konu hakkında derinlemesine bilgiye sahip olduklarından, bu kurumlar için hazırlayacağı rapor daha teknik olmalıdır. Şirket yöneticileri için ise, kısıtlı zamanlarında durumu en iyi şekilde anlayabilmeleri için temel çıkarımların anlaşılır bir formatta sunulması gerekebilir.

6.2. Raporda objektif olunması [be objective in the report]

Bir mevzuata uyum raporu için nesnellik esastır. Sistemlerin etkili olduğundan emin olmanın tek yolu, onlara bir düzenleyici otoritenin yapacağı gibi tarafsız bir şekilde bakmaktır. Elbette hepimiz işleri doğru şekilde yaptığımızı düşünmek isteriz, ancak kontrollerin mümkün olduğunca kusursuz olduğundan emin olmak için başarısızlıkları görmeye hazırlıklı olmak gerekir. Prosedürleri güçlendirmenin tek yolu budur.

6.3. Sık sık rapor verilmesi [report frequently]

Düzenleyici ortam sürekli değiştikçe, uyum altyapısının da uyum içinde kalması için uyum sağlaması gerekir. Sık sık raporlama yapmak, yasaların doğru tarafında kalınmasına yardımcı olacak sürekli iyileştirme kültürünün korunmasına yardımcı olur. Yıllık uyum raporları, doğru yolda olunduğunun emin olmanın en iyi yoludur

Sonuç

Bir mevzuata uyum raporu hazırlamak, sistemlerin ve süreçlerin düzgün çalıştığından ve şirketin faaliyetlerinin yasalara uygun olduğundan emin olmanın en iyi yoludur. Şirket genelindeki tüm ilgili bilgileri bir araya getirmek büyük bir projedir, ancak bu, olası cezalardan ve itibar kaybından kaçınmak için elzemdir.

[1] Çevirenin Notu: Türkiye uygulamasında buna “kurumsal uyum raporu” (KYUR) denilmektedir.

[2] < https://www.itgovernance.co.uk/blog/how-you-can-demonstrate-gdpr-compliance >.

[3] Uyum raporu türlerinin İngilizcesi şöyledir:

  • Uyum denetimi raporu [compliance audit report];
  • Uyum soruşturması raporu [compliance investigation report];
  • Uyum olay raporu [compliance incident report],
  • Uyum değerlendirmesi raporu [compliance assessment report] ve
  • Yıllık uyum raporu [annual compliance report].

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.