Özet

Aklama suçu ile mücadeleye yönelik tedbirler “bastırıcı tedbirler” ve “önleyici tedbirler” olmak üzere ikiye ayrılmaktadır. Bastırıcı tedbirler daha çok suç işlendikten sonra suçun tespitine ve suçlunun cezalandırılmasına yönelik tedbirlerdir. Önleyici tedbirler ise, suçluları caydırıcı nitelikte olan proaktif tedbirlerdir. Önleyici tedbirlerin uygulanmasındaki en önemli aktörler “yükümlü” olarak adlandırılan kişi ve kuruluşlar olup, yükümlüler sorumlu oldukları yükümlülükleri etkin bir şekilde uygulayarak mücadeleye katkı sağlamaktadır. Bu yükümlülüklerden birisi de finansal kuruluşlara yönelik uyum programı oluşturma yükümlülüğüdür. Risk bazlı bir yaklaşımla oluşturulan uyum programıyla; tüm yükümlülükler sistemli bir şekilde irtibatlandırılmakta, kurumsal bir yapıya dönüştürülmekte ve uygulamaya süreklilik kazandırılmaktadır. Diğer bir deyişle yükümlülükler kurumsal bir yapı içerisinde sistematik olarak birbirine bağlanmakta, birbirini destekler nitelikte çalışmakta, tedbirlerin uygulanmasına süreklilik kazandırılmaktadır. Buradaki risk bazlı yaklaşım durağan bir sürece ilişkin değildir. Şartların değişmesine ve tehditlerin gelişimine bağlı olarak değerlendirmeler de değişecektir. Yine risk bazlı yaklaşımla her bir finansal kuruluş kendi risklerini önceliklendirerek özgün bir yapı oluşturacaktır.

Anahtar Kelimeler

MASAK, yükümlü, yükümlülük, uyum programı, risk.

Uzman kalemlerden, mevzuat dünyasına dair kapsamlı içeriklere ulaşmak için şimdi Aylık Mevzuat Dergisi’ne göz atın!

1. Giriş

Ülke ekonomileri geliştikçe işlenen suçların niteliği değişmekte, klasik suçlara oranla ekonomik suçlar artmaktadır. Klasik suçların birçoğunda ise suçun saiki değişmekte; gelir elde etme amacıyla işlenen suçlar artmaktadır. Gelir elde etme amacıyla işlenen suçlarla mücadelede salt hürriyeti bağlayıcı cezalar yetersiz kalmakta, hapis cezası ile cezalandırılmalarına rağmen suç gelirlerinden mahrum edilemeyen suçlular zamanla organize olarak güçlü suç örgütleri teşkil etme yoluna gidebilmektedir.

Suçların niteliğindeki ve saikindeki değişmeye paralel olarak suç ile mücadele anlayış ve yöntemlerinin de geliştirilmesi gerekmektedir. Ekonomik çıkar amaçlı suçlarla etkin bir mücadele yürütülebilmesi için suçun saiki olan suç gelirinin hangi formda ve nerede olursa olsun bulunabilmesi ve müsadere edilmesi gereklidir. Bu nedenle, suç gelirinin ele geçiril- mesine yönelik mevzuat çalışmaları yapılmalı ve gerekli tedbirler alınmalıdır. Suçla mücadele eden kurumlar suç ve suçlu profilindeki değişmeye paralel olarak yöntemlerini geliştirmezlerse ülkede “suç ekonomisi” nin boyutları artar. Bunun ise ekonomik, sosyal, ahlaki vb. birçok olumsuz sonucu ortaya çıkar.

Hukuk devletinde, suç işlemek, ekonomik kazanç elde etme yolu olarak görülemez. Keza, suç işlemek suretiyle veya suç işlemek dolayısıyla elde edilen kazanç, kişinin yanına kâr olarak kalamaz. İlke bu olmakla birlikte, ekonomik düzenin işleyişinde ceza muhakemesi hukuku tedbirlerine mümkün olduğunca az başvurmak gerekir. Bunun yerine, önleyici tedbir olarak, ekonomik hayatın ve finans sisteminin işleyişini mümkün olduğunca devletin gözetim ve denetimi altında tutmak gerekir.¹

Ekonomik çıkar amaçlı işlenen suçların başında aklama suçu gelmektedir. Aklama suçu bazen ülke sınırlarını aşan bir zincire dönüşebilmektedir. Suçun bu niteliği mücadelenin de uluslararası boyutta ele alınmasını zorunlu kılmaktadır.

Aklama suçu ile uluslararası boyutta mücadelenin en önemli oluşumlarından birisi Financial Action Task Force (FATF)’dir. FATF, aklama suçu ile mücadeleye yönelik 40 Tavsiye Kararı yayımlamış, daha sonra görevlerine terörizmin finansmanı suçu ile mücadeleyi de dahil ederek, 40 Tavsiye Kararını terörizmin finansmanı ile mücadeleyi de kapsayacak şekilde revize etmiştir. Ülkemiz, 1991 yılında FATF’a üye olarak aklama suçu ile mücadeledeki iradesini net bir şekilde ortaya koymuştur.

2. Mevzuatsal Gelişim

Bu itibarla, aklama suçu ile mücadelede suç işlenmeden önce suçun önlenebilmesi, bu kapsamda önleyici tedbirlerin ön plana çıkarılması ihtiyacı doğmuştur. Önleyici tedbirlerin başında yükümlülerin şüpheli işlem bildirimi (ŞİB) yükümlülüğü gelmektedir. Şüpheli işlem bildirimi, işleme konu malvarlığının yasadışı yollardan elde edildiğine veya terörizmin finansmanına yönelik olduğuna yönelik bilgi, şüphe veya şüpheyi gerektiren durumun, daha detaylı olarak araştırılması, analiz edilmesi, incelenmesi için MASAK’a gönderilmesidir.

Önleyici tedbirlerin ve dolayısıyla ŞİB yükümlülüğünün başarıyla uygulanabilmesi mali sektörle yakın iş birliği yapılmasını gerektirmektedir. Ancak 4208 sayılı Kanun’da yükümlülüklerini iyi niyetle yerine getiren gerçek ve tüzel kişilere hukuki ve cezai koruma sağlayan ve bu kişilerin kimliklerinin açıklanmasını yasaklayan hükümler bulunmaması bu iş birliğini zayıflatmış ve mali sektörden beklenen düzeyde şüpheli işlem bildirimi alınamamasının nedenlerinden biri olarak görülmüştür.  Suçla mücadelede mali sektörle iş birliğinin güçlendirilmesi, güçlü bir bilgi-veri sistemi kurulması, bu suretle mali bilgilerden hareketle suça/suçluya ulaşılması, yükümlülüklere uyumun takibinde etkinlik ve uluslararası gelişmelere uyum sağlanması amacıyla 11.10.2006 tarih, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun yayımlandı.

3. Yükümlüler ve Yükümlülükler

5549 sayılı Kanun, 4208 sayılı Kanun’un aksine önleyici tedbirler ağırlıklı olarak hazırlanmıştır. Aklama suçu tanımının Türk Ceza Kanunu kapsamına alınması da burada bir etken olmuştur. MASAK’in, “yükümlü” olarak tanımladığı finansal ve finansal olmayan sektörde faaliyet gösteren kişi, kurum ve kuruluşlardan temel olarak beklentisi şüpheli işlem bildirimidir. Şüpheli işlem bildirimi uygulaması, klasik bir yöntem olan suçtan paraya gitme yöntemini tersine çevirerek paradan suça gidilmeye çalışılmıştır.

5549 sayılı Kanun’da aklama suçu ve terörizmin finansmanı suçu ile mücadeleye yönelik, yükümlülerin uymakla zorunda oldukları bazı yükümlülükler belirlenmiştir. Bunlar;

-Müşterinin tanınması yükümlülüğü,

-Şüpheli işlem bildirimi yükümlülüğü,

-Uyum programı oluşturma yükümlülüğü,

-Bilgi ve belge verme yükümlülüğü,

-Devamlı bilgi verme yükümlülüğü,

-Muhafaza ve ibraz yükümlülüğü,

-Elektronik tebligat kullanma yükümlülüğü.

Yukarıda sayılan yükümlülerin tamamı suç gelirlerinin aklanması ve terörizmin finansmanı (SGA/TF) ile mücadeleye yönelik olmakla birlikte, müşterinin tanınması yükümlülüğü, şüpheli işlem bildirimi yükümlülüğü ve uyum programı oluşturma yükümlülüğü mücadelenin en önemli ayaklarıdır.

Daha önceden de ifade edildiği üzere nihai hedef şüpheli işlem bildiriminin etkin bir şekilde uygulanmasıdır. Müşterinin tanınması yükümlülüğü ve uyum programı oluşturma yükümlülüğü şüpheli işlem bildirimi yükümlülüğünün etkin bir şekilde yerine getirilmesini destekleyen yükümlülüklerdir.

4. Uyum Programı Tanımı, Amacı, Kapsamı

Uyum programı, Uyum Yönetmeliği’nde, suç gelirlerinin aklanmasının ve terörün finansmanının önlen- mesi için mevzuata uyum amacıyla risk temelli bir yaklaşımla oluşturulacak olan tedbirler bütünü olarak tanımlanmıştır. Tanımdaki, “mevzuata uyum” dolaylı olarak mevzuatta düzenlenen yükümlülüklere uyumdur. Buradan hareketle uyum programının tüm yükümlülüklerle bağlantılı olduğunu söylemek yanlış olmaz.  Risk temelli yaklaşımın sonucu olarak; bir taraftan her bir yükümlünün hazırlayacağı uyum programı (özellikle kurum politikası ve prosedürleri) birbirinden farklı olacak diğer taraftan, suç gelirlerinin aklanması ve terörün finansmanının önlenmesine ilişkin yayımlanan yönetmelik ve tebliğlerin aynen kopyalanması yerine yükümlünün faaliyetleriyle uyumlu bir program oluşturulması sağlanacaktır.²

Tanımdaki son unsur, tedbirler bütünü ifadesidir. Uyum programı birden fazla bileşenli tedbirler bütünüdür. Mevzuatta söz konusu tedbirler aşağıda gibi yer almıştır:

-Uyum görevlisi (ve uyum görevlisi yardımcısı) atanması ve uyum birimi oluşturulması,

-Yazılı bir kurum politikası ve prosedürlerinin oluşturulması,

-Risk yönetimi faaliyetlerinin yürütülmesi,

-İzleme ve kontrol faaliyetlerinin yürütülmesi,

-Eğitim faaliyetlerinin yürütülmesi,

 -İç denetim faaliyetlerinin yürütülmesi.

Uyum programının bütününün, yükümlünün faaliyetlerinin kapsamı ve özelliklerine uygun bir biçimde, yeterli ve etkin bir şekilde yürütülmesinden, nihai olarak yönetim kurulu sorumludur. MASAK, uyum programına ilişkin sorumluluğu yönetim kuruluna yani yükümlünün en üst düzey karar organına vererek konunun önemine dikkat çekmiştir. Diğer taraftan bu durum bir zorunluluk oluşturmaktadır. Çünkü uyum programı kapsamında alınması gerekli tedbirler üst seviyede bir irade gerektirmektedir.

MASAK mevzuatında genel bir “yükümlü” tanımlaması yapılmamıştır. Yükümlü olarak ifade edilen grup, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’da faaliyet alanları itibariyle tanımlanmış olup yükümlü grubu bazında detaylı tanımlama Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (Tedbirler Yönetmeliği)’te yapılmıştır. Buna göre yaklaşık 35 yükümlü grubu belirlenmiştir. Uyum programı oluşturma yükümlülüğü tüm yükümlüler için zorunlu değildir. Uyum Yönetmeliği’nde uyum programı oluşturacak yükümlüler aşağıdaki gibi belirlenmiştir:   

-Bankalar (Türkiye Cumhuriyet Merkez Bankası ile İstanbul Takas ve Saklama Bankası A.Ş. hariç),

-Sermaye piyasası aracı kurumları,

-Portföy yönetim şirketleri,

-Sigorta ve emeklilik şirketleri,

-Posta ve Telgraf Teşkilatı Anonim Şirketi (Bankacılık faaliyetiyle sınırlı olmak üzere),

-Kambiyo mevzuatında belirtilen A grubu yetkili müesseseler,

-Finansman şirketleri

-Faktoring şirketleri,

-Finansal kiralama şirketleri,

-Kıymetli madenler aracı kuruluşları,

-Elektronik para kuruluşları,

-Ödeme kuruluşları (Münhasıran fatura ödemelerine aracılık hizmeti, münhasıran ödeme emri başlatma hizmeti ve münhasıran ödeme hesabına ilişkin bilgilerin sunulması hizmetini sağlayanlar hariç),

-Kripto varlık hizmet sağlayıcılar.

Bankalar kapsamında, kalkınma ve yatırım bankaları 22.08.2025 tarih ve 32994 sayılı Resmî Gazete’de yayımlanan Yönetmelik değişikliği ile yakın tarihte kapsama alınmıştır. Yukarıda sayılan yükümlülerin yurt dışında şube, acente, temsilci vb. birimlerinin bulunması halinde, oluşturulan uyum programı bunların faaliyet gösterdikleri ülkenin mevzuatı ve yetkili otoritelerinin izin verdiği ölçüde uygulanması gerekmektedir. Uyum programı kapsamındaki tedbirlerin asgari iki yılda bir gözden geçirilerek, gerekli güncellemelerin yapılması gerekmektedir. Çünkü risk temelli bir yaklaşımla oluşturulduğundan değişen risklere veya risklerin dercesine uyum sağlanmalıdır.

Mevzuat uyum programı oluşturulmasına ve uygulanmasına yönelik yetki ve sorumluluğu yönetim kuruluna vermekle birlikte burada bir esneklik de sağlamıştır. Yönetim kurulu, yetkilerinin bir kısmını veya tamamını, Türkiye’de mukim bir veya birden fazla yönetim kurulu üyesine açık bir şekilde ve yazılı olarak devredebilir. Söz konusu yetki devrinin yapılması, yönetim kurulunun bu konudaki sorumluluğunu ortadan kaldırmayacaktır.

4.1. Uyum Görevlisi ve Uyum Görevlisi Yardımcısı Atanması ve Uyum Birimi Oluşturulması

Uyum programı oluşturulması yükümlülüğünün temel aktörlerinden birisi yukarıda belirtildiği üzere yönetim kuruludur. İkinci en önemli aktör ise uyum görevlisidir. Uyum programı kapsamında alınması gerekli tedbirlerden “iç denetim” hariç tamamı uyum görevlisi tarafından veya uyum görevlisinin gözetim ve koordinasyonu altında yerine getirilmektedir.

Uyum görevlisi, Uyum Yönetmeliği’nde, “5549 sayılı Kanun ve Kanuna dayanılarak yürürlüğe konulan mevzuatla getirilen yükümlülüklere uyumu sağlamak amacıyla istihdam edilen ve gerekli yetkiyle donatılmış görevli” olarak tanımlanmıştır. Yükümlüler faaliyet izninin alınmasını müteakip 30 gün içinde uyum programının yürütülmesi amacıyla yönetim kuruluna veya yönetim kurulunun yetkisini devrettiği bir veya birden fazla üyeye bağlı olacak şekilde uyum görevlisi atamak zorundadır.

Uyum görevlisi münhasıran kurum personeli olmak zorunda olup dışarıdan bir kişi uyum görevlisi olarak atanamaz. Bunun dışında uyum görevlisinin; T.C. vatandaşı olması, kamu haklarından mahrum olmaması, Uyum Yönetmeliği’nde belirlenen suçlardan hüküm giymemiş olması, en az dört yıllık eğitim veren yüksek öğretim kurumlarından mezun olması, Uyum Yönetmeliği’nde belirlenen kuruluşlar nezdinde ve belirlenen pozisyonlarda en az beş yıl süreyle çalışmış olması, yükümlü nezdinde ve iştiraklerinde nitelikli pay sahibi olmaması veya yönetiminde bulunmaması, yükümlünün nitelikli pay sahibi ortağının, yönetim kurulu üyelerinin veya genel müdürünün eşi veya ikinci dereceye kadar (bu derece dahil) kan veya sıhrî hısmı olmaması, nihai olarak 25 Aralık 2025 tarihinde yürürlüğe girecek düzenleme ile uyum görevlisi olarak yetkilendirilmiş ve MASAK tarafından tutulan uyum görevlisi siciline kayıtlı olması şartları da aranmaktadır.

Diğer taraftan, uyum programının yürütülmesi ve uyum görevlisine yardımcı olunması amacıyla yükümlüler bir veya birden fazla uyum görevlisi atamak zorundadır. Uyum görevlisi yardımcısı uyum görevlisine bağlı olarak çalışmakta olup atamaya ilişkin usul ve bütün şartlar uyum görevlisi ile aynıdır. Yalnızca, birden fazla uyum görevlisi yardımcısı atanacağı durumlarda, süre şartı ilk uyum görevlisi yardımcısının atanmasında aranacaktır.

Uyum görevlisi ve uyum görevlisi yardımcısı yükümlünün MASAK ile iletişiminde temas noktası olduğundan yükümlüler atadıkları uyum görevlisi ve uyum görevlisi yardımcısına ilişkin bilgileri (iletişim bilgileri dahil) atandıkları tarihten itibaren en geç 10 gün içerisinde yönetim kurulu veya yetkisini devrettiği yönetim kurulu üye veya üyeleri tarafından imzalı matbu bir taahhüt formu ile MASAK’a gönderirler.

Uyum Yönetmeliği’nde uyum görevlisinin görev, yetki ve sorumlulukları aşağıdaki gibi belirlenmiştir:

-Yükümlünün 5549 sayılı Kanun ve Kanun uyarınca çıkarılan düzenlemelere uyumunu sağlamak amacıyla gerekli çalışmaları yapmak ve MASAK ile gerekli iletişim ve koordinasyonu sağlamak (Bu kapsamda yükümlülerin MASAK’a bilgi ve belge verme yükümlülüğü, uyum görevlisi vasıtasıyla yerine getirilir.),

-Kurum politikası ve prosedürlerini oluşturmak ve kurum politikalarını yönetim kurulunun onayına sunmak,

-Risk yönetimi politikasını oluşturmak, risk yönetimi faaliyetlerini yürütmek,

-İzleme ve kontrol politikalarını oluşturmak ve buna ilişkin faaliyetleri yürütmek,

-Suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesine yönelik eğitim programına ilişkin çalışmalarını yönetim kurulunun onayına sunmak ve onaylanan eğitim programının etkin bir şekilde uygulanmasını sağlamak,

 -Kendisine iletilen veya resen öğrendiği şüpheli olabilecek işlemler hakkında yetki ve imkânları ölçüsün-  de araştırma yaparak edindiği bilgi ve bulguları değerlendirmek ve şüpheli olduğuna karar verdiği işlemleri MASAK’a bildirmek,

 -Bildirimlerin ve ilgili diğer hususların gizliliğinin sağlanmasına yönelik gerekli tedbirleri almak,

 -İç denetim ve eğitim faaliyetlerine ilişkin bilgi ve istatistikleri düzenli olarak tutmak ve bunları mevzuatta belirtilen sürelerde MASAK’a göndermek.

Uyum görevlisi, yukarıda sayılan görev ve yetkilerinin bir kısmını veya tamamını, açık bir şekilde ve yazılı olarak uyum görevlisi yardımcısına devredebilir. Söz konusu görev ve yetki devrinin yapılması, uyum görevlisinin bu konudaki sorumluluğunu ortadan kaldırmaz. Yönetim Kurulu, uyum görevlisinin görev ve sorumluluklarını etkin bir şekilde yerine getirebilmesini sağlamak amacıyla yükümlünün, işletme büyüklüğü, işlem hacmi, şube ve personel sayısı ya da karşılaşabileceği risklerin yüksekliği gibi unsurları göz önünde bulundurarak uyum görevlisine doğrudan bağlı olan ve uyum programının yürütülmesiyle görevli uyum biriminin oluşmasını ve uyum birimine yeterli personel ve kaynak tahsisi yapılmasını sağlamalıdır. Uyum birimi asgari uyum görevlisi ve uyum görevlisi yardımcısından oluşmaktadır. Uyum görevlisinin uhdesinde başka görevler de bulunabileceğinden özellikle büyük ölçekli yükümlülerde uyum görevlisinin tek başına etkin bir çalışma yürütmesi mümkün olmayabilir. Bu nedenle yeterli personel ile uyum birimi desteklenmelidir.

Uyum biriminde çalışacak personel, şüpheli işlemlere konu teşkil edebilecek dahili bildirimlerin ilgili mevzuat ışığında değerlendirilmesi sürecinde görev alabilir, ancak işlemin şüpheli işlem olarak MASAK’a bildirilip bildirilmemesine karar veremez ya da MASAK’a doğrudan şüpheli işlem bildiriminde bulunamaz. Şüpheli işlem kapsamında uyum görevlisine yapılan dahili bildirimler de gizlilik kapsamında olduğundan, personelin bu yükümlülüğü ihlal etmeyecek şekilde çalışması için gereken tedbirler yönetim kurulu ve uyum görevlisi tarafından alınır. Uyum görevlisi veya uyum görevlisi yardımcısının görevden ayrılması veya görevden alınması veya mevzuatta aranan şartları kaybetmesi veya bu şartlara haiz olmadığının sonradan anlaşılması halinde, durum yükümlü tarafından ayrılış tarihinden itibaren on gün içinde MASAK’a yazılı olarak bildirilmelidir. Bu bildirimde ayrılışın veya görevden alınmanın nedenleri de belirtilecektir. Ayrıca uyum görevlisi veya uyum görevlisi yardımcısı da ayrılış nedenini ayrılış tarihinden itibaren on gün içinde MASAK’a yazılı olarak bildirir. Yeni atama, ayrılış tarihinden itibaren en geç otuz gün içinde yapılır ve belirlenen usul ve esaslara göre taahhüt formu MASAK’a gönderilir. Yükümlünün ve uyum görevlisinin ayrılış nedenini MASAK’a bildirmesine ilişkin uygulama, 22.08.2025 tarih ve 32994 sayılı Resmî Gazete’de yayımlanan Yönetmelik değişikliği ile getirilmiştir.

4.2. Kurum Politika ve Prosedürlerinin Oluşturulması

Yükümlüler faaliyet izninin alınmasını müteakip, uyum görevlisinin atandığı tarihten itibaren en geç otuz gün içinde kurum politikasını oluşturur ve aynı süre içinde yönetim kurulu tarafından onaylanır. Kurum politikasına ilişkin taahhüt formu yönetim kurulu veya yetkisini devrettiği yönetim kurulu üye veya üyeleri tarafından imzalanarak, kurum politikasının onay tarihinden itibaren otuz gün içinde MASAK’a gönderilir.

Kurum politikasının yükümlünün işletme büyüklüğüne, iş hacmine, nezdinde gerçekleştirilen işlemlerin niteliğine göre oluşturulması, yükümlünün, müşterilerini, işlemlerini ve hizmetlerini risk temelli bir yaklaşımla değerlendirilerek maruz kalabileceği riskin azaltılmasına yönelik stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi, bu politikanın özgün olmasını zorunlu kılmaktadır.

Bir başka anlatımla, her yükümlünün işletme büyüklüğü, iş hacmi ve riskleri birbirinden farklı olacağından yükümlülerin oluşturdukları kurum politikalarının da birbirinden farklı olması gerekmektedir.

Kurum politikası uyum görevlisi tarafından yazılı olarak düzenlenecektir. Kurum politikası asgari düzeyde; risk yönetimi, izleme ve kontrol, eğitim ve iç denetim politikalarını içerir. Kurum politikasının oluşturulmasında MASAK tarafından ilgili kurum ve kuruluşlarla birlikte hazırlanan ve MASAK’ın internet sitesinde yayımlanan ulusal risk değerlendirmesi kapsamında belirlenen hususlar da dikkate alınır. Yine, 6415 ve 7262 sayılı Kanunlar kapsamında malvarlığı dondurulması kararlarının ihlali, uygulanmaması ve bunlardan kaçınılması risklerine yönelik gerekli tedbirlerin alınması ve kontrol noktaları oluşturulması gerekmektedir.

Yükümlüler ilgili personelini kurum politikaları hakkında bilgilendirmelidir. Personelin bu konuda bilgilendirilmesi bir yükümlülük olarak düzenlenmekle birlikte bilgilendirme usulüne ilişkin olarak bir yöntem belirtilmemiştir. Ancak ileride uygulamadan kaynaklanacak bir sorumluluk durumunun belirlenmesinde kurum politikasına ilişkin bilgilendirmenin yapılıp yapılmadığı önem arz edebilecektir. Bu bakımdan söz konusu bilgilendirmenin yapıldığının tevsikine ilişkin olarak; örneğin e-posta veya intranet uygulamaları ile bilgilendirme yapılması halinde söz konusu belgeye erişildiğine dair onay alınması yahut bilgisayar destekli uzaktan eğitim programları kapsamına alınarak eğitim çalışmalarına dahil edilmesi gibi uygulamaların faydalı olacağı düşünülmektedir.

Diğer taraftan yükümlünün inisiyatifi dahilinde, kurum politika belgesinin ilgili personele imza karşılığında tebliğ edilmesi uygulamasına devam edilmesi de mümkündür.

Kurum prosedürlerinde ise, kurum politikası kapsamında belirlenen tüm önlem ve işleyiş kurallarından kimlerin sorumlu olduğu, belirli risk limitlerine göre işlemlerin onaylanması, gerçekleştirilmesi, raporlanması ve izlenmesinden kimlerin veya hangi birimlerin sorumlu olacağı gibi hususlar açık şekilde prosedüre bağlanır.

4.3. Risk Yönetimi Politikası ve Faaliyetleri

Risk yönetim politikasının amacı; yükümlünün maruz kalabileceği risklerin tanımlanması, derecelendirilmesi, izlenmesi, değerlendirilmesi ve azaltılmasını sağlamaktır. Risk yönetimi politikası asgari düzeyde; Tedbirler Yönetmeliği’nin "Müşterinin Tanınmasına İlişkin Esaslar" başlıklı üçüncü bölümünde yer alan tedbirlere ilişkin kurum içi önlem ve işleyiş kurallarını kapsar. Ancak, burada her bir yükümlü grubu (banka, aracı kurum, sigorta şirketi) söz konusu tedbirlerden kendisi ile ilgisi olanları esas alacaktır. Konuyu bir örnekle somutlaştırmak gerekirse Tedbirler Yönetmeliği’nin “Müşterinin Tanınmasına İlişkin Esaslar” başlıklı üçüncü bölümünde yer alan tedbirlerden birisi de elektronik transferlerdir. Söz konusu tedbir ile ilgili önlem ve işleyiş kuralına banka tarafından oluşturulacak risk yönetim politikasında yer verilecek ancak, sigorta şirketi tarafından oluşturulacak risk politikasında yer verilmeyecektir.

Yükümlülerin risk yönetimine ilişkin asgari düzeyde aşağıdaki faaliyetleri gerçekleştirmesi beklenilmektedir:

-Riskli müşteri, işlem veya hizmetlerin izlenmesinin ve kontrol edilmesinin sağlanması, risklerin azaltılması için gerekli tedbirlerin alınması,

-Belirlenen eksikliklerin ve risklerin ilgili birimleri uyaracak şekilde rapor edilmesi,

-İşlemin üst makamın onayı ile gerçekleştirilmesi,

-Risk tanımlama ve değerlendirme yöntemlerinin, risk derecelendirmesi ve sınıflandırma yöntemlerinin, örnek olaylar ya da gerçekleşen işlemler üzerinden geriye dönük olarak tutarlılıklarının ve etkinliklerinin sorgulanması, varılan sonuçlara ve gelişen koşulara göre yeniden değerlendirilmesi ve güncellenmesi,

-Risk izleme ve değerlendirme sonuçlarının düzenli aralıklarla yönetim kuruluna raporlanması.

Risk bazlı yaklaşım uygulaması; belirli risk veya risklerin varlığının kabulü, risklerin tanımlanması ve sınıflandırılması, tanımlanan risklere bağlı olarak makul kontrollerin kurulması, belirlenen risklerin yönetimi ve azaltılması anlamına gelmektedir. Bunlar durağan değerlendirmeler değildir. Şartların değişmesine ve tehditlerin gelişimine bağlı olarak değerlendirmeler de değişecektir.

Yükümlü tarafından yapılan risk sınıflandırması sonucu yüksek derecede riskli olarak belirlenen gruplara yönelik aşağıdaki tespit edilen riskle orantılı olarak aşağıda belirtilen tedbirlerin bir veya birden fazlası ya da tamamı uygulanır:

a-Müşteri hakkında ilave bilgi edinmek ve müşteri ile gerçek faydalanıcının kimlik bilgilerini daha sık güncellemek,

b-İş ilişkisinin mahiyeti hakkında ilave bilgi edinmek,

c-İşleme konu malvarlığının/müşteriye ait fonların kaynağı hakkında mümkün olduğunca bilgi edinmek,

ç-İşlemin amacı hakkında bilgi edinmek,

d-İş ilişkisine girilmesini, mevcut iş ilişkisinin sürdürülmesini ya da işlemin gerçekleştirilmesini üst seviyedeki görevlinin onayına bağlamak,

e-Uygulanan kontrollerin sayı ve sıklığını artırmak ve ilave kontrol gerektiren işlem türlerini belirlemek suretiyle iş ilişkisini sıkı gözetim altında tutmak,

f-Sürekli iş ilişkisi tesisinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluştan yapılmasını zorunlu tutmak.

Uyum Yönetmeliği’nde 25.12.2024 tarihinde yapılan değişiklikle yukarıda açıklanan hususlara ilave olarak aşağıdaki riskli işlemler ve hizmetler belirlenmiştir. Belirlenen riskli durumlar; finansal kuruluşların KVHS’le kuracakları iş ilişkisi tesisi, KVHS’lerin müşterileriyle kuracakları iş ilişkisi ile bankaların ve ödeme ve elektronik para kuruluşlarının terminal hizmetine (POS uygulaması) ilişkindir.

Finansal kuruluşların kripto varlık hizmet sağlayıcılarla iş ilişkisi tesisinde ve kripto varlık hizmet sağlayıcılarının ise müşterileriyle iş ilişkisi tesisi ve kimlik tespiti gerektiren diğer işlemlerinde asgari olarak yukarıda yer verilen tedbirlerden (c), (ç) ve (e) bentlerinde yer alan tedbirler uygulanır, ayrıca tutar ve işlem sayısı sınırı belirlemeye yönelik uygun tedbirler alınır. Finansal kuruluşlar tarafından kripto varlık hizmet sağlayıcılarla iş ilişkisi tesisi üst seviyedeki görevlinin onayına bağlanır. 

6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 12’nci maddesinin birinci fıkrasının (a) ve (b) bentleri ile (c) bendinde yer alan ödeme aracının kabulü hizmeti kapsamında temin edilen terminal aracılığıyla gerçekleştirilen ödeme hizmetinde (terminal hizmeti), müşteriyle (üye işyeri) iş ilişkisi tesisi ve kimlik tespiti gerektiren diğer işlemlerde asgari olarak yukarıda yer alan tedbirlerden (a) ila (f) bentlerinde yer alan tedbirler uygulanır. Ancak bankalar tarafından (f) bendinde yer alan tedbir uygulanmayabilir.

Söz konusu terminallerin iş ilişkisinin amacına uygun olarak kullanıldığı veya ilgili mevzuatında izin verilen haller dışında başka kişilere kullandırılmadığı düzenli olarak kontrol edilir; bu kapsamda herhangi bir aykırılığın tespiti halinde iş ilişkisine son verilmesi de dahil olmak üzere gerekli tedbirler alınır.

4.4. İzleme ve Kontrol Faaliyetleri

İzleme ve kontrolün amacı; yükümlülerin risklerden korunması ve faaliyetlerinin 5549 sayılı Kanun’a ve Kanun uyarınca çıkarılan yönetmelik ve tebliğlerle, kurum politika ve prosedürlerine uygun olarak yürütülüp yürütülmediğinin sürekli olarak izlenmesi ve kontrol edilmesidir.

İzleme ve kontrol faaliyetleri asgari düzeyde aşağıdaki tedbirleri kapsamalıdır:

-Yüksek risk grubundaki müşteri ve işlemlerin izlenmesi ve kontrolü,

-Riskli ülkelerle gerçekleştirilen işlemlerin izlenmesi ve kontrolü,

-Karmaşık ve olağandışı işlemlerin izlenmesi ve kontrolü,

-Yükümlünün, risk politikasına göre belirleyeceği bir tutarın üzerindeki işlemlerin, müşteri profili ile uyumlu olup olmadığının örnekleme yöntemi ile kontrolü,

-Birlikte ele alındıklarında, kimlik tespiti yapılmasını gerektiren tutarı aşan bağlantılı işlemlerin izlenmesi ve kontrolü,

-Müşteriler hakkında elektronik ortamda yahut yazılı olarak muhafaza edilmesi gereken bilgi ve belgeler ile elektronik transfer mesajlarında yer verilmesi zorunlu bilgilerin kontrolü ve eksikliklerin tamamlatılması ve bunların güncellenmesi,

-Müşteri tarafından yürütülen işlemin; müşterinin, işine, risk profiline ve fon kaynaklarına dair bilgiler ile uyumlu olup olmadığının iş ilişkisi süresince devamlı olarak izlenmesi,

-Yüz yüze olmayan işlemler yapılmasını mümkün kılan sistemler kullanılarak gerçekleştirilen işlemlerin kontrolü,

-Yeni sunulan ürünler ve teknolojik gelişmeler nedeniyle suistimale açık hale gelebilecek hizmetlerin risk odaklı kontrolü.

İzleme ve kontrol faaliyetleri kapsamında; Kanun uyarınca getirilen yükümlülüklere uyumun sağlanmasıyla ilgili olarak yapılan kontroller neticesinde tespit edilen eksiklikler, gerekli tedbirlerin alınması için ilgili birimlere raporlanarak sonuçları takip edilir.

İzleme ve kontrol faaliyetleri sonucunda şüpheli bulunan hususlar, MASAK’a şüpheli işlem bildirimi olarak gönderilmelidir.

4.5. Eğitim Politikası ve Faaliyetleri

5549 sayılı Kanun ve ilgili mevzuatta düzenlenen, yükümlülerin uymak zorunda oldukları yükümlülüklerin icrası kuşkusuz yükümlü çalışanları tarafından yerine getirilmektedir. Bu durumda uygulamanın yeterli ve etkin olabilmesi için yükümlü çalışanlarının ilgili mevzuatı bilmesi, bilgilerin güncel tutulması, yükümlü özelinde risklerin farkında olması ve nihayetinde sorumluluk bilinci artırılarak bir kurum kültürü oluşturulması gerekmektedir. Bunu sağlayabilmek için yükümlü bünyesinde etkili bir eğitim politikası oluşturulması ve uyum görevlisinin gözetiminde ve koordinasyonunda yürütülmesi gerekmektedir. Eğitim faaliyetleri, ölçme ve değerlendirme sonuçlarına göre ilgili birimlerin de katılımıyla gözden geçirilmesi ve ihtiyaca göre düzenli aralıklarla tekrarlanmalıdır.

Yükümlülerin yıllık olarak bir eğitim programı hazırlaması, eğitim programının yönetim kurulu tarafından onaylanması ve bu programda MASAK’ın asgari olarak belirlediği eğitim konularına yer vermesi gerekmektedir. Söz konusu eğitim konularını; aklama suçu kavramı, aklamanın aşama ve yöntemleri ile örnek olaylar, aklama ve terörizmin finansmanı suçuna yönelik mevzuat ile kurum özelinde riskler ve kurum politika ve prosedürleri olarak sınıflandırabiliriz.  

Yükümlüler, yıl içinde uyguladıkları eğitim faaliyetlerine ilişkin mevzuatta belirlenen istatistiki bilgileri ertesi yılın mart ayının sonuna kadar uyum görevlisi vasıtasıyla MASAK’a bildirilir.

4.6. İç Denetim Faaliyetleri

İç denetimin amacı, uyum programının bütününün etkinliği ve yeterliği hususunda yönetim kuruluna güvence sağlamaktır. Yükümlüler, kurum politika ve prosedürlerinin, risk yönetimi, izleme ve kontrol faaliyetleri ile eğitim faaliyetlerinin yeterli ve verimli olup olmadığı, yükümlünün risk politikasının yeterliği ve etkinliği, işlemlerin 5549 sayılı Kanun ve Kanun uyarınca çıkarılan yönetmelik ve tebliğler ile kurum politika ve prosedürlerine uygun olarak yürütülüp yürütülmediği hususlarının yılık olarak ve risk temelli bir yaklaşımla incelenmesini ve denetlenmesini sağlarlar. Denetimin kapsamı belirlenirken, izleme ve kontrol çalışmalarında tespit edilen aksaklıklar ve risk içeren müşteriler, hizmetler ve işlemler denetim kapsamına dahil edilir. Yükümlü tarafından gerçekleştirilen işlemlerin tamamını temsil edebilecek nicelik ve nitelikte birim ve işlemin denetlenmesi sağlanır.

Uyum programı kapsamındaki yükümlülerin iç denetim faaliyetleri, iç denetim birimleri ya da teftiş kurulu bulunan yükümlülerde bunlar tarafından yerine getirilir. Diğer yükümlülerde iç denetim faaliyetleri, yönetim kurulu tarafından yetkilendirilen kişi ya da birim tarafından yerine getirilir. İç denetim faaliyetlerini yürütmek üzere yetkilendirilecek personelin, bağımsız çalışmasını teminen, uyum programı kapsamındaki diğer tedbirlerin yerine getirilmesinde görev ve yetki almamış olması gerekir.

İç denetim faaliyeti, her bir finansal kuruluşun kendi faaliyetlerinin mevzuata ve kurum politika ve prosedürlerine uygunluğunun ve yeterliliğinin denetimi olup, diğer taraftan da olası bir MASAK denetiminde karşılaşılabilecek eksiklikleri ve riskleri ortaya koyacaktır.  İç denetim neticesinde ortaya çıkarılan eksiklik, hata ve suistimaller ile bunların yeniden ortaya çıkmasının önlenmesine yönelik görüş ve öneriler yönetim kuruluna raporlanır.

Yükümlüler, yıl içinde uyguladıkları iç denetim faaliyetlerine ilişkin mevzuatta belirlenen istatistiki bilgileri ertesi yılın mart ayının sonuna kadar uyum görevlisi vasıtasıyla MASAK’a bildirilir.

5. Sonuç

Ülkemizin karaparanın aklanması suçuyla mücadeleye yönelik yolculuğu 1991 yılında FATF üyeliği ile başlamış, karaparanın aklanmasıyla mücadele iradesinin somut bir yansıması olan 4208 sayılı Karaparanın Aklanmasının Önlenmesine Dair Kanun’un 1996 yılında kabul edilmesiyle devam etmiş ve nihai olarak önleyici tedbirlerin (başta yükümlüler ve yükümlülükler) ön plana çıktığı 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un 2006 yılında yayımlamasıyla uluslararası düzenlemelere daha uyumlu bir noktaya gelmiştir. Bilahare uluslararası düzenlemelerdeki gelişmelere paralel olarak, terörizmin finansmanıyla (TF) mücadeleye yönelik 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun ve kitle imha silahlarının yayılmasının finansmanıyla (KİSYF) mücadeleye yönelik 7262 sayılı Kitle İmha Silahlarının Yayılmasının Finansmanının Önlenmesine İlişkin Kanun kabul edilmiştir.

MASAK’ın karaparanın aklanmasıyla mücadeleye yönelik yükümlülerden beklentisinin merkezinde şüpheli işlem bildirimi yükümlülüğü bulunmaktadır. Şüpheli işlem bildirimi, işleme konu malvarlığının yasadışı yollardan elde edildiğine veya terörizmin finansmanına yönelik olduğuna yönelik bilgi, şüphe veya şüpheyi gerektiren durumun, daha detaylı olarak araştırılması, analiz edilmesi, incelenmesi için MASAK’a gönderilmesidir. Şüpheli işlem bildirimi yükümlülüğünün etkinliği ise müşterinin tanınması ile doğrudan bağlantılıdır. Çünkü müşterinin iyi tanınması, müşterinin faaliyetleri ve işlemleri ile ilgili doğru değerlendirmeler yapmamıza katkı sağlar. Nihai olarak bu iki yükümlülüğün birbiri ile bağlantılı ve etkileşim halinde, kurumsal bir yapı içerisinde risk bazlı ve sürekli olarak uygulanabilmesi için uyum programı oluşturulması gerekmektedir.

Uyum programı, karaparanın aklanmasıyla ve terörizmin finansmanıyla mücadele için mevzuata uyum amacıyla risk temelli bir yaklaşımla oluşturulmuş tedbirler bütünüdür. Söz konusu tedbirler; uyum görevlisi/uyum görevlisi yardımcısı atanması, kurum politika ve prosedürlerinin oluşturulması, risk yönetimi, izleme ve kontrol, eğitim ve iç denetim faaliyetlerinin yürütülmesinden ibarettir.

Buna göre, yükümlüler öncelikle faaliyetlerini MASAK tarafından yayımlanan mevzuatla uyumlu hale getirmek için, gerek MASAK ile iletişim ve koordinasyonu sağlamak gerekse kurum içi tedbirlerin alınması ve/veya alınmasını koordine etmek için gerekli yetki ile donatılmış bir uyum görevlisi atamalıdır. Uyum görevlisi söz konusu amaca yönelik yazılı bir kurum politikası ve prosedür oluşturmalı ve bu politika kapsamında risk yönetim faaliyetleri ve izleme ve kontrol faaliyetlerini yürütmelidir. Yükümlü bünyesindeki çalışanların mevzuat bilgilerinin geliştirilmesi, güncellenmesi ve risklere yönelik farkındalıklarının artırılması için uyum görevlisinin gözetimi altında eğitim faaliyetleri düzenlenmelidir. Nihai olarak uyum programının etkinliğinden ve yeterliliğinden sorumlu yönetim kuruluna güvence sağlamak için yönetim kurulu adına iç denetim faaliyetlerinin yürütülmesi, sonuçlarının yönetim kuruluna raporlanarak gerekli tedbirlerin alınması gerekmektedir.

Kaynakça