ISO 37001 Üçüncü Taraf Due Diligence Kılavuzu

ISO 37001 Üçüncü Taraf Due Diligence Kılavuzu: Yolsuzluk Risklerini Uçtan Uca Yönetme

ISO 37001 (Yolsuzlukla Mücadele Yönetim Sistemi), kurumların rüşvet ve yolsuzluk risklerini sistematik şekilde belirlemesi, azaltması ve izlemesi için bir çerçeve sunar. Bu kılavuz, özellikle üçüncü taraflarla ilişkilerde (tedarikçiler, distribütörler, aracı danışmanlar, ortak girişimler, bağış/sponsorluk paydaşları) uygulanacak due diligence süreçlerini operasyonel düzeyde tanımlar. Amaç; risk temelli seçim, sözleşme öncesi değerlendirme, sözleşme içi kontroller ve sözleşme sonrası gözetim döngüsünü netleştirerek uyum, şeffaflık ve hesap verebilirliği güçlendirmektir.

Kılavuzun kapsamı; risk sınıflandırma ve tarama kriterleri, hediye/bağış/sponsorluk onay akışları, ihbar hattı ve gizlilik mekanizmaları, iç soruşturma adımları, eğitim ve onay (attestation) süreçleri, yaptırım ve disiplin yapısı, yönetim raporlaması ve KPI’lar, tedarik zinciri sözleşme maddeleri, denetim kanıtları ve sürekli iyileştirme döngüsünü içerir. Her bölüm, politika → prosedür → kanıt mantığıyla ilerleyerek hem denetimlere hazır hem de işlevsel bir uygulama seti ortaya koyar.

Buradaki yaklaşım; “tek tip kontrol” yerine, üçüncü tarafın ülke, sektör, işlem türü, ödeme yapısı ve ilişki rolü gibi parametrelere göre şekillenen risk bazlı esneklik sağlar. Böylece yüksek riskli taraflarda daha derinlemesine inceleme ve daha sık izleme devreye girerken, düşük riskli taraflarda yalın ama izlenebilir kontrollerle orantılılık korunur.

Sonuç olarak; ISO 37001’e uyumlu, denetlenebilir ve işin ritmine uygun bir üçüncü taraf uyum ekosistemi kurulur. Takip eden bölümlerde her başlığı, adım adım uygulanabilir yöntemler ve pratik örneklerle detaylandıracağız.

Risk Sınıflandırma ve Tarama Kriterleri

Üçüncü taraf due diligence süreci, risk temelli bir metodoloji üzerine kurulmalıdır. İlk aşamada tarafın ülke riski, sektör riski, işleme konu ürün/hizmet, ödeme yapısı, mülkiyet ve aracılar gibi değişkenleri analiz edilir. Amaç; tarama derinliğini ve kontrol yoğunluğunu orantılı biçimde belirlemektir.

Temel kriterler:

• Ülke ve Yargı Riski: Yolsuzluk algı endeksleri, yaptırım listeleri, PEP (Politically Exposed Person) varlığı.
• Sektör/İş Modeli: Kamu ihaleleri, gümrük/izin süreçlerine bağımlılık, nakit yoğunluğu.
• İşlem Parametreleri: Komisyon/iskonto oranları, olağandışı ödeme şartları, üçüncü aracıların kullanımı.
• Mülkiyet ve Ortaklık: Faydalanıcı sahiplik (UBO), karmaşık/örtülü yapı, PEP bağlantıları.
• Geçmiş Kayıtlar: Medya taraması, dava/ceza kayıtları, önceki ihlaller.

Tarama araçları: Yaptırım/uyum veri tabanları, açık kaynak medya taraması, şirket sicilleri ve yerel kayıtlar. Risk puanına göre hafif, standart, derinlemesine düzeyde doğrulama planlanır.

Sonuçlar, üçüncü tarafın risk sınıfını ve takipte kullanılacak KYC/KYB (müşterini/işini tanı) dokümantasyon derinliğini belirler.

Hediye, Bağış ve Sponsorluk Onay Akışı

Hediye, bağış ve sponsorluklar yolsuzluk riskini artırabilir. Bu nedenle eşik değerler, yasaklı kategoriler ve ön onay mercileri net tanımlanmalıdır. Üçüncü taraflardan gelen tekliflerde amaç, zamanlama, miktar ve ilişki bağı sorgulanır.

Politika prensipleri:

• Şeffaflık: Nakit hediye yasaktır; makul değeri aşan jestler reddedilir.
• Meşruiyet: Bağış/sponsorluk kurumun sosyal sorumluluk ilkeleriyle uyumlu olmalıdır.
• Ön Onay: Eşik değer üzeri her talep uyum birimi ve ilgili yönetici tarafından onaylanır.
• Kayıt: Tüm onay ve reddler merkezi bir hediye/bağış kaydında tutulur.

Akış adımları: Talep formu → Uyum ön inceleme → Risk sınıfına göre ek doküman → Onay/ret → İfşa kaydı ve periyodik raporlama.

İhbar Hattı, Gizlilik ve Misilleme Karşıtı Koruma

ISO 37001 kapsamında, üçüncü taraf ilişkilerinde uygunsuzluk şüphesini bildirmek için erişilebilir, çok kanallı ve anonim ihbar mekanizmaları kurulmalıdır. Hat; web, telefon, e-posta gibi kanallarla 7/24 erişilebilir olmalı, birden çok dil desteklemelidir.

Gizlilik ilkeleri:

• Veri Koruma: Kimlik bilgileri yetkisiz kişilerle paylaşılmaz; yalnızca “bilmesi gereken” prensibi uygulanır.
• Misilleme Yasağı: İyi niyetli bildirim yapan çalışan/tedarikçi misillemeye karşı korunur.
• Geri Bildirim: Bildirim sahibine makul sürede süreç durumu hakkında dönüş yapılır.

İhbarlar kayıt altına alınır, ön değerlendirmeden geçer ve ciddi vakalar için soruşturma süreci tetiklenir. Trend analizleri, riskli üçüncü tarafları erken uyarı göstergesi olarak işaretleyebilir.

İç Soruşturma: Tetikleyiciler, Yürütme ve Kapanış

İddia veya ihlalin ciddiyetine göre orantılı soruşturma yürütülür. Amaç; gerçekleri hızlı, adil ve kanıta dayalı şekilde ortaya koymaktır.

Tetikleyiciler: İhbar hattı raporu, olağandışı ödeme/komisyon, PEP bağlantısı, yaptırım uyumsuzluğu, medya bulguları.

Yürütme adımları:

• Kapsam ve Rol Atama: Soruşturma lideri, hukuk ve uyum temsilcileri belirlenir.
• Kanıt Toplama: Sözleşmeler, fatura/ödeme kayıtları, e-posta/loglar, üçüncü taraf beyanları.
• Görüşmeler: İlgili personel ve üçüncü taraf temsilcileriyle yapılandırılmış mülakatlar.
• Değerlendirme ve Rapor: Bulgular, ihlal değerlendirmesi, önerilen aksiyonlar.
• Kapanış ve CAPA: Düzeltici/önleyici faaliyetler, politika/prosedür güncellemeleri.

Soruşturma bağımsızlık, gizlilik ve kanıt bütünlüğü ilkeleriyle yürütülür; sonuçlar yönetim ve gerekli hallerde regülatörlerle paylaşılır.

Eğitim ve Onay Süreçleri

ISO 37001 uyumluluğu, yalnızca politika belgeleriyle değil, çalışanlar ve üçüncü tarafların farkındalığı ve taahhüdü ile mümkündür. Bu nedenle eğitim ve onay süreçleri kritik bir rol oynar.

Temel unsurlar:

• Zorunlu Eğitim: Üçüncü taraflarla çalışan tüm personel, düzenli yolsuzlukla mücadele eğitimine katılmalıdır.
• Rol Bazlı Eğitim: Satın alma, satış, hukuk ve uyum ekipleri için hedeflenmiş içerikler hazırlanmalıdır.
• Üçüncü Taraf Eğitimi: Kritik tedarikçiler ve aracılar, kısa uyum modülleriyle bilgilendirilmelidir.
• Onay (Attestation): Çalışanlar ve üçüncü taraf temsilcileri, politika ve prosedürleri okuduklarını ve kabul ettiklerini yazılı olarak beyan etmelidir.

Eğitim kayıtları denetim kanıtı olarak saklanmalı ve yenileme döngüleri (örneğin yılda bir) tanımlanmalıdır.

Yaptırım ve Disiplin Yapısı

Etkin bir uyum programı için ihlal durumlarında uygulanacak yaptırımların açık ve tutarlı şekilde belirlenmesi gerekir. Bu yaklaşım, caydırıcılık ve adalet sağlar.

Disiplin matrisinde yer alması gereken unsurlar:

• Uyarı: Küçük ihlaller için yazılı veya sözlü uyarılar.
• Eğitim Tekrarı: Eksik bilgi veya farkındalık kaynaklı ihlallerde ek eğitim zorunluluğu.
• Disiplin Cezaları: Tekrar eden veya ciddi ihlallerde görevden alma, prim iptali veya sözleşme feshi.
• Üçüncü Taraflara Uygulama: İhlalde bulunan tedarikçiler için iş akdinin feshi veya kara listeye alınma.

Her yaptırım kararı, belgelendirilmeli ve ilgili mevzuatla uyumlu olmalıdır.

Yönetim Raporlaması ve KPI’lar

Üçüncü taraf due diligence performansı, düzenli olarak üst yönetime raporlanmalı ve ölçülebilir göstergeler (KPI) ile takip edilmelidir. Bu, sistemin etkinliğini somut verilerle göstermeyi sağlar.

Örnek KPI’lar:

• Taranan üçüncü taraf sayısı ve oranı
• Risk sınıflarına göre dağılım (düşük, orta, yüksek)
• Tamamlanan eğitim yüzdesi
• Onay (attestation) imzalama oranı
• Açılan ve kapanan ihbar/soruşturma sayısı
• Uygulanan disiplin tedbiri sayısı

Bu raporlar aylık/çeyreklik hazırlanmalı ve gösterge panoları üzerinden yönetim ekibine sunulmalıdır.

Tedarik Zinciri Örnek Sözleşme Maddeleri

Üçüncü taraflarla yapılan sözleşmelere, yolsuzlukla mücadele yükümlülükleri açıkça eklenmelidir. Bu maddeler, hem tarafın sorumluluklarını hem de kurumun fesih haklarını netleştirir.

Örnek maddeler:

• Taraf, tüm ilgili yolsuzlukla mücadele yasalarına ve ISO 37001 gerekliliklerine uymayı kabul eder.
• Taraf, hediye, bağış ve sponsorluk politikalarına uyum gösterecektir.
• Taraf, ihbar hattı kanallarına erişimi kabul eder ve misilleme yapmayacağını taahhüt eder.
• Kuruluş, denetim ve belge talebi hakkına sahiptir.
• İhlal durumunda sözleşmeyi derhal feshetme hakkı saklıdır.

Bu maddeler, üçüncü taraf uyum kültürünün bir parçası haline gelmeli ve gerektiğinde özelleştirilmelidir.

Denetim Kanıtları

ISO 37001 kapsamında üçüncü taraf due diligence süreci, yalnızca politika ve prosedürlerle değil, aynı zamanda somut kanıtlarla desteklenmelidir. Denetim sırasında, uygulamanın etkinliğini gösteren belgeler kritik rol oynar.

Örnek kanıtlar:

• Risk sınıflandırma raporları ve tarama sonuçları
• Hediye/bağış/sponsorluk onay formları ve kayıt defterleri
• İhbar hattı kayıtları ve çözüm raporları
• İç soruşturma raporları, mülakat notları ve karar çıktıları
• Eğitim katılım listeleri ve onay (attestation) belgeleri
• Disiplin kararları ve uygulama kayıtları
• Sözleşmelere eklenen uyum maddeleri ve denetim raporları
• KPI tabloları ve yönetim raporları

Bütün bu belgeler izlenebilir, erişilebilir ve düzenli arşivlenmiş olmalıdır. Böylece hem iç hem de dış denetimlerde kurumun şeffaflığı ve uyumluluğu kanıtlanabilir.

Sürekli İyileştirme

Üçüncü taraf due diligence süreci, statik değil, döngüsel bir yaklaşımla ele alınmalıdır. Bu çerçevede sürekli iyileştirme, sistemin canlı tutulmasını ve yeni risklere uyarlanmasını sağlar.

Adımlar:

• Periyodik Gözden Geçirme: Risk sınıflandırma kriterleri, tarama araçları ve eşik değerler yılda en az bir kez güncellenir.
• Kök Neden Analizi: Tespit edilen her ihlal, yüzeysel değil, kök nedenleriyle incelenir.
• CAPA (Corrective and Preventive Action): Hem düzeltici hem önleyici faaliyetler planlanır ve uygulanır.
• Geri Bildirim Döngüsü: Çalışanlardan, üçüncü taraflardan ve denetimlerden gelen öneriler sürece entegre edilir.
• Teknoloji Kullanımı: Yeni uyum yazılımları, otomatik tarama araçları ve raporlama panoları sisteme dahil edilir.

Bu yaklaşım sayesinde kurum, yalnızca uyumluluk gerekliliklerini karşılamakla kalmaz, aynı zamanda kurumsal itibarı, operasyonel verimliliği ve paydaş güvenini de sürekli olarak artırır.