Şirketlerde Risk Bazlı Uyum Programı Nasıl Kurulur?
Bugün birçok şirket için asıl mesele artık yalnızca “mevzuata aykırı bir işlem yapmamak” değildir. Asıl mesele, şirketin faaliyetlerini baştan itibaren öngörülebilir, denetlenebilir ve savunulabilir bir düzen içinde yürütebilmesidir. İşte risk bazlı uyum programı tam bu noktada önem kazanır.
Uyum programı, şirketin faaliyetlerini yalnızca kâğıt üzerinde değil, günlük işleyiş içinde mevzuata, kurumsal politikalara ve etik kurallara uygun biçimde yürütmesini sağlayan bütünleşik bir sistemdir. “Risk bazlı” denildiğinde ise bundan, her şirketin kendi faaliyet alanına, müşteri yapısına, tedarik zincirine, satış modeline, coğrafi yaygınlığına ve regülasyon yoğunluğuna göre farklı bir risk haritasına sahip olduğu anlaşılmalıdır. Bu nedenle doğru kurulmuş bir uyum programı, her kurala eşit ağırlık veren değil; en yüksek risk alanını önce gören, kaynaklarını oraya yönelten ve kontrol yoğunluğunu buna göre belirleyen bir yapı olmalıdır. Bu yaklaşım, uluslararası iyi uygulamada da esas alınan modeldir.
Risk bazlı uyum neden artık bir tercih değil?
Türk hukukunda tüm şirketler için tek başına “Uyum Programı Kanunu” başlıklı müstakil bir düzenleme bulunmasa da, şirketleri fiilen bu yönde zorlayan güçlü bir hukukî omurga vardır. Türk Ticaret Kanunu’nun 18/2. maddesi, her tacirin ticaretine ait bütün faaliyetlerinde basiretli bir iş adamı gibi hareket etmesini öngörür. Aynı Kanun’un 369. maddesi ise yönetim kurulu üyeleri ile yönetimle görevli kişilerin görevlerini tedbirli bir yöneticinin özeniyle yerine getirmesini ve şirket menfaatlerini dürüstlük kurallarına uygun biçimde gözetmesini zorunlu kılar. Bu iki hüküm birlikte okunduğunda, riskleri öngörmek, makul önlemleri almak ve işleyen bir kurumsal sistem kurmak artık yalnızca iyi yönetim tercihi değil; yönetimsel sorumluluğun da parçası haline gelir.
Bu hukukî zemin, regüle sektörlerde çok daha açık hale gelir. Bankacılık Kanunu’nun 29. maddesi bankalara, maruz kaldıkları risklerin izlenmesi ve kontrolünün sağlanması için faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara uygun, yeterli ve etkin bir iç kontrol, risk yönetimi ve iç denetim sistemi kurma ve işletme yükümlülüğü getirir. Aynı sistematik içinde 30, 31 ve 32. maddeler; iç kontrol, risk yönetimi ve iç denetimin ayrı ayrı nasıl yapılandırılması gerektiğini gösterir. Bu, risk bazlı uyum mantığının Türk hukukunda sadece teorik bir öneri olmadığını açık biçimde ortaya koyar.
Benzer şekilde ödeme hizmetleri alanında da mevzuat, etkin risk yönetimini açık bir zorunluluk olarak düzenler. Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik’in 27. maddesi; kuruluşun, faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara uygun ve suç gelirlerinin aklanması ile terörizmin finansmanı riskleri de dahil olmak üzere maruz kalınabilecek tüm risklerin tanımlanmasını, ölçülmesini, izlenmesini, kontrol edilmesini, raporlanmasını ve yönetilmesini sağlayacak etkin bir risk yönetimi sistemi kurmasını zorunlu tutar. Üstelik bu hüküm, dış hizmet sağlayıcılar, temsilciler ve bağlantılı faaliyetlerden doğan risklerin de sisteme dahil edilmesini ister.
Sigortacılık ve özel emeklilik alanında da aynı mantık görülür. İç sistemler düzenlemesi, daha yönetmelik seviyesinde dahi iç kontrol sistemi içinde uyum kontrolleri başlığına, ayrıca risk yönetim fonksiyonu başlığına ayrı maddeler ayırmaktadır. Bu yapı, uyumun yalnızca etik beyanı değil; iç sistemlerin çekirdeğinde yer alan bir kontrol ve yönetim fonksiyonu olarak görüldüğünü gösterir.
Yargısal ve idari bakış açısı ne söylüyor?
Şirketler açısından en kritik gerçeklerden biri şudur: “Bizim bir uyum programımız var” cümlesi, tek başına koruyucu bir kalkan oluşturmaz. Hukukî ve idari denetimde asıl bakılan şey, programın varlığı değil; işleyip işlemediğidir.
Rekabet Kurumu’nun kendi savunuculuk materyallerinde uyum programları, teşebbüslerin rekabet hukuku bakımından kendilerini denetlemelerine imkân sağlayan yapılar olarak tanımlanır. Buna karşılık Kurul uygulaması, programın yalnızca isim olarak var olmasını yeterli görmez. 2025’te yayımlanan para cezası kılavuzu ve son dönemdeki bazı Kurul kararları, kapsamlı bir uyum programının bazı dosyalarda hafifletici değerlendirmeye konu olabildiğini göstermektedir; ancak bu yaklaşım, programın kâğıt üstünde kalmadığı, gerçekten uygulandığı ve izlenebilir olduğu durumlarla sınırlı anlam taşır. Başka bir ifadeyle, uyum programı otomatik bir dokunulmazlık sağlamaz; fakat ciddiyetle kurulmuş ve işletilmişse düzenleyici değerlendirmede anlamlı hale gelebilir.
Yargısal denetim mantığı bakımından da sonuç benzerdir. Şirket içi politika, prosedür, görev ayrımı, kontrol ve raporlama mekanizmaları; yalnızca “iyi niyet göstergesi” değil, denetlenebilir kurumsal yapı unsurlarıdır. Bu nedenle yargı ve düzenleyici otorite bakışında asıl değer taşıyan şey; eğitim kayıtlarının bulunması, kontrol faaliyetlerinin iz bırakması, ihbarların işlenmesi, iç soruşturma protokollerinin uygulanması, disiplin sonuçlarının kaydedilmesi ve yönetim kuruluna raporlama yapılmasıdır. Uyum programı, ancak kanıtlanabilir bir işletim sistemi haline geldiğinde anlam taşır.
Risk bazlı uyum programı nasıl kurulur?
Sağlıklı bir uyum programı tek günde kurulmaz; fakat dağınık biçimde de kurulmaz. İşe önce şirketin kendi haritasını çıkararak başlamak gerekir.
1. Önce kapsam belirlenmelidir
İlk soru şudur: Bu program tam olarak nereye uygulanacaktır?
Sadece merkez ofise mi? Grup şirketlerine de mi? Yurt dışı satışlara, distribütörlere, bayilere, tedarikçilere, temsilcilere ve dış hizmet sağlayıcılara da mı? Uyum programı masa başında yazılırken en çok yapılan hata, şirketin gerçek operasyon alanını olduğundan dar görmek olur. Oysa risk çoğu zaman şirket merkezinde değil, üçüncü taraf ilişkilerinde doğar.
Bu nedenle kapsam belirlenirken yalnızca iç birimler değil; şirket adına hareket eden veya şirket için kritik rol oynayan dış taraflar da değerlendirmeye alınmalıdır.
2. Risk envanteri çıkarılmalıdır
Bir şirket, hangi riskleri taşıdığını bilmeden hangi kuralları koyacağını da sağlıklı biçimde belirleyemez. Risk envanteri bu nedenle programın çekirdeğidir.
Pratikte çoğu şirkette ana risk kümeleri birbirine benzer görünür: rekabet hukuku riskleri, kişisel veri ve bilgi güvenliği riskleri, rüşvet ve yolsuzluk riski, üçüncü taraf ve tedarikçi riski, finansal raporlama ve suistimal riski, iş sağlığı-güvenliği veya çevre kaynaklı riskler, sektöre göre yaptırım ve AML/CFT riskleri. Ancak hangi riskin daha kritik olduğu, şirketin kendi faaliyetine göre değişir.
Bu nedenle doğru risk envanteri, “internetten bulunan hazır liste” değil; şirketin müşteri, işlem, ödeme, yetki, sözleşme ve saha gerçekliğine göre çıkarılan haritadır.
3. Risk değerlendirmesi yapılmalıdır
Risk bazlı yaklaşımın özü, her riski aynı ağırlıkta ele almamaktır. Değerlendirme yapılırken en az dört soruya bakılmalıdır:
Bu ihlal gerçekleşme ihtimali taşıyor mu?
Gerçekleşirse etkisi ne olur?
Şu anda bu riski karşılayan hangi kontroller zaten var?
Bu kontrollerden sonra geriye ne kadar artık risk kalıyor?
Burada amaç “her şeyi sıfır risk” noktasına indirmek değildir. Zaten ticari hayatta böyle bir model gerçekçi değildir. Amaç, şirketin zamanını, insan kaynağını ve kontrol yoğunluğunu en kritik alana yöneltmektir.
4. Politika ve prosedürler kuruma özgü yazılmalıdır
Uyum dokümanı ile uyum sistemi aynı şey değildir. Etik kod, çıkar çatışması politikası, hediye-ağırlama kuralı, üçüncü taraf inceleme prosedürü, rekabet hukuku toplantı kuralları, veri saklama-imha yaklaşımı, ihbar hattı prosedürü ve disiplin mekanizması gibi dokümanlar elbette gereklidir. Ancak bunlar, şirketin gerçek faaliyet akışına temas etmiyorsa, sadece görünürlük üretir; koruma üretmez.
Bu nedenle politika “neye izin verilmediğini” ve “ne beklendiğini” göstermeli; prosedür ise kim, ne zaman, hangi adımı, hangi kayıtla atacak sorusuna cevap vermelidir. Kopyala-yapıştır dokümanlar tam da bu yüzden çoğu zaman ilk denetimde zayıf halka haline gelir.
5. Sorumluluk matrisi kurulmalıdır
Sağlıklı bir uyum sistemi, sadece hukuk biriminin sırtına bırakılamaz. İş birimleri birinci savunma hattıdır; çünkü günlük işlemi yapan onlardır. Uyum veya risk fonksiyonu ikinci hattı oluşturur; çerçeveyi kurar, izler, rehberlik eder. İç denetim ise üçüncü hattır; sistemi bağımsız biçimde test eder.
Bu ayrım, sadece kurumsal teori değildir. Özellikle iç kontrol, risk yönetimi ve iç denetim yapılarının mevzuatta ayrı fonksiyonlar olarak düzenlenmesi, görev ayrımının artık iyi niyetli bir tercih değil, denetlenebilir bir yapı olduğunu göstermektedir.
6. Eğitimler riskli role göre farklılaştırılmalıdır
Tek tip uyum eğitimi, çoğu zaman yalnızca formalite üretir. Oysa satış ekiplerinin rekabet hukuku ve pazarlama verisi riskleri, satın alma ekiplerinin üçüncü taraf ve çıkar çatışması riskleri, insan kaynaklarının çalışan verisi ve disiplin süreci riskleri, üst yönetimin ise gözetim ve raporlama sorumluluğu farklıdır.
Bu nedenle eğitim, herkese aynı sunumu okutmak değil; riske göre hedeflenmiş farkındalık üretmek olmalıdır. Eğitimin gerçekten işe yarayıp yaramadığı ise katılım listesiyle değil, davranış değişikliği ve denetim iziyle anlaşılır.
7. İzleme, kontrol ve test mekanizması kurulmalıdır
Bir uyum programının gerçek testi, yazıldıktan sonra başlar. Kontrol listeleri, örneklem testleri, log kayıtları, sözleşme incelemeleri, onay mekanizmaları, ihbar kayıtları, iç soruşturma dosyaları ve düzeltici faaliyet planları, programın gerçekten yaşadığını gösteren izlerdir.
Burada kritik olan şey, kontrol faaliyetinin yapılması kadar kayda bağlanmasıdır. Çünkü denetim anında sorulacak soru genellikle “böyle bir politikanız var mı?” değil; “bunu nasıl uyguladınız?” olacaktır.
8. Raporlama ve yönetim kurulu gözetimi sağlanmalıdır
Risk bazlı uyum programı, yönetim kurulu seviyesinde sahiplenilmediğinde çoğu zaman proje gibi başlar ve dosya gibi biter. Oysa TTK’nın özen standardı, risklerin yönetim seviyesinde görülmesini ve makul tedbirlerin sahiplenilmesini gerektirir. Bu nedenle dönemsel uyum raporları, eğitim oranları, denetim bulguları, kritik olaylar, üçüncü taraf taramaları ve düzeltici aksiyonlar yönetim seviyesine düzenli biçimde taşınmalıdır.
Başlangıç için pratik yol haritası
Şirketler açısından en gerçekçi başlangıç modeli, bütün sistemi aynı anda kurmaya çalışmak değil; ilk doksan günde temel omurgayı oluşturmaktır.
İlk otuz günde kapsam belirlenir, risk envanteri çıkarılır, hızlı bir boşluk analizi yapılır. İkinci otuz günde politika ve prosedür seti, rol matrisi ve eğitim planı kurulmaya başlanır. Son otuz günde ise izleme kontrolleri, ihbar hattı mantığı, raporlama seti ve ilk test mekanizması devreye alınır.
Bu yöntem, teorik olarak kusursuz ama fiilen uygulanmayan bir sistem yerine, önce yüksek riski hedefleyen ve sonra derinleşen bir yapı kurmayı mümkün kılar.
Rekabet hukuku özelinde neden ayrıca önemlidir?
Rekabet hukuku, uyum programının “var olması” ile “işlemesi” arasındaki farkın en net görüldüğü alanlardan biridir. Rekabet Kurumu, uyum programlarını önemseyen ve teşvik eden bir çizgi izlemekle birlikte, bu programların otomatik olarak ihlalden koruyacağı veya kendiliğinden ceza avantajı yaratacağı varsayımıyla hareket etmez. Son dönemde bazı kararlarda kapsamlı uyum programlarının hafifletici değerlendirmede rol oynayabildiği görülse de, bu durum ancak programın gerçek, kapsamlı ve süreklilik arz eden bir yapıya dönüştüğünün gösterilebildiği dosyalarda önem kazanır. Bu da şirkete şu mesajı verir: uyum programı, broşür değil; delil üreten bir sistem olmalıdır.
Sonuç
Şirketlerde risk bazlı uyum programı kurmak, birkaç politika metni hazırlamakla eş anlamlı değildir. Asıl mesele; şirketin hangi riskleri taşıdığını görmesi, bu risklere göre önceliklendirme yapması, rol ve sorumlulukları netleştirmesi, iç kontrol ve raporlama düzeni kurması ve bütün bunları gerçekten işletebilmesidir.
Bugün hukukî ve idari beklenti, “şirketin bir uyum politikası var mı?” sorusundan çok daha ileri gitmektedir. Asıl soru artık şudur:
- Şirket riskini biliyor mu?
- Bu riski ölçüyor mu?
- Önleyici tedbir koyuyor mu?
- Kontrol ediyor mu?
- Raporluyor mu?
- İhlal çıktığında ne yaptığını gösterebiliyor mu?
Risk bazlı uyum programı, tam da bu sorulara kurumsal bir cevap üretir. Bu yönüyle uyum, yalnızca yaptırımdan kaçınma aracı değil; aynı zamanda yönetim kalitesi, kurumsal ciddiyet ve sürdürülebilir güven yapısıdır.
Şirketlerde uyumun gerçek değeri, çoğu zaman bir politika metninin varlığında değil; riskin tanımlandığı, sorumluluğun dağıtıldığı ve kontrolün kayda bağlandığı işleyen bir sistem kurulabilmesinde ortaya çıkar.