KYC Risk Değerlendirmesinin Temelleri ve Önemi
Modern finans dünyasında, kurumların yasa dışı faaliyetlere alet olmasını engellemek amacıyla geliştirilen en önemli savunma mekanizmalarından biri KYC risk değerlendirmesidir. Bu süreç, sadece müşteri kimliğini doğrulamaktan ibaret olmayıp, müşterinin finansal profilini, işlemlerini ve ilişkili olduğu riskleri bütüncül bir yaklaşımla analiz etmeyi içerir. Etkili bir risk değerlendirmesi, kurumların kaynaklarını en riskli alanlara yönlendirerek verimliliği artırır ve yasal uyum maliyetlerini optimize eder.
KYC Risk Değerlendirmesi Nedir?
KYC risk değerlendirmesi, bir finansal kuruluşun veya düzenlemeye tabi işletmenin, müşterileri, ürünleri, hizmetleri, işlem kanalları ve faaliyet gösterdiği coğrafi bölgeler aracılığıyla maruz kalabileceği kara para aklama (AML) ve terörizmin finansmanı (CFT) risklerini sistematik olarak tanımlama, ölçme ve yönetme sürecidir. Bu süreç, kurumun kendi risk iştahını belirlemesine ve bu iştaha uygun kontrol mekanizmaları geliştirmesine olanak tanır.
Risk Bazlı Yaklaşımın (RBA) Temel Prensibi
Risk Bazlı Yaklaşım (Risk-Based Approach – RBA), tüm müşterilere, ürünlere veya işlemlere aynı seviyede inceleme uygulamanın verimsiz ve etkisiz olduğu prensibine dayanır. RBA, kurumların en yüksek risk taşıyan alanlara odaklanmasını sağlar. Bu yaklaşıma göre, daha yüksek riskli olarak tanımlanan müşteriler, ürünler veya coğrafyalar için daha sıkı ve detaylı durum tespiti (Enhanced Due Diligence – EDD) önlemleri alınırken, düşük riskli olarak kabul edilenler için daha basitleştirilmiş prosedürler (Simplified Due Diligence – SDD) uygulanabilir. Bu, kaynakların etkin kullanımını sağlar ve dolandırıcılık tespiti ve önlenmesi gibi kritik süreçlerin daha verimli işlemesine yardımcı olur.
Yasal ve Düzenleyici Çerçeve
KYC ve AML/CFT yükümlülükleri, ulusal ve uluslararası düzenleyici otoriteler tarafından belirlenir. Mali Eylem Görev Gücü (FATF) gibi uluslararası standart belirleyici kuruluşların tavsiyeleri, ülkelerin yerel mevzuatlarının temelini oluşturur. Türkiye’de MASAK (Mali Suçları Araştırma Kurulu) başta olmak üzere düzenleyici kurumlar, finansal kuruluşların uyması gereken kuralları belirler. Bu düzenlemelere uyum sağlamak, kurumları ağır para cezaları, lisans iptalleri ve itibar kaybı gibi ciddi yaptırımlardan korur.
Etkili Bir Risk Değerlendirmesinin Kuruma Faydaları
Kapsamlı bir KYC risk değerlendirmesi, kurumlara birçok stratejik avantaj sunar. Öncelikle, yasal ve düzenleyici cezalardan kaçınarak finansal istikrarı korur. İkinci olarak, riskli müşterileri ve işlemleri erken aşamada tespit ederek potansiyel kayıpları önler. Ayrıca, kurumun marka itibarını korur ve paydaşlarına güven verir. Son olarak, kaynakların verimli bir şekilde yüksek riskli alanlara yönlendirilmesini sağlayarak operasyonel verimliliği artırır ve uyum maliyetlerini düşürür.
Müşteri Risk Profili ve Kategorizasyonu
Her müşterinin aynı düzeyde risk taşımadığı gerçeği, KYC risk değerlendirmesinin temelini oluşturur. Müşterileri doğru bir şekilde profillemek ve risk seviyelerine göre kategorize etmek, kurumların kaynaklarını en etkin şekilde kullanmasını sağlar. Bu bölüm, müşteri risk profilinin nasıl oluşturulacağını ve segmentasyonun nasıl yapılacağını ele almaktadır.
Bireysel ve Kurumsal Müşteri Farklılıkları
Risk değerlendirmesi sürecinde bireysel ve kurumsal müşteriler farklı dinamiklere sahiptir. Bireysel müşterilerde risk, genellikle meslek, gelir kaynağı, işlem hacmi ve politik nüfuz gibi faktörlere dayanırken; kurumsal müşterilerde ise şirketin faaliyet gösterdiği sektör, sahiplik yapısının karmaşıklığı, gerçek faydalanıcıları ve faaliyet gösterdiği ülkeler gibi unsurlar öne çıkar. Kurumsal müşteriler, karmaşık yapıları nedeniyle yasa dışı fonları gizlemek için daha fazla fırsat sunabilir, bu nedenle daha detaylı bir inceleme gerektirirler.
Yüksek Riskli Müşteri Gruplarının Tanımlanması
Bazı müşteri grupları, doğaları gereği daha yüksek AML/CFT riski taşır ve bu nedenle özel bir dikkat gerektirir. Bu grupların doğru bir şekilde tanımlanması, gelişmiş durum tespiti (EDD) önlemlerinin uygulanması için kritik öneme sahiptir.
Politik Nüfuz Sahibi Kişiler (PEP) ve İlişkili Taraflar
Politik Nüfuz Sahibi Kişiler (Politically Exposed Persons – PEPs), kamusal görevleri nedeniyle rüşvet ve yolsuzluk gibi suçlara daha açık olan kişilerdir. Devlet başkanları, üst düzey politikacılar, yargı mensupları ve askeri yetkililer bu gruba dahildir. Sadece PEP’lerin kendileri değil, aynı zamanda aile üyeleri ve yakın iş ortakları da yüksek riskli kabul edilir ve yakından izlenmelidir.
Özel Bankacılık Müşterileri
Özel bankacılık hizmetleri, genellikle yüksek net değerli bireylere sunulur ve büyük hacimli işlemler, karmaşık yatırım araçları ve gizlilik odaklı hizmetler içerir. Bu özellikler, özel bankacılık müşterilerini servetlerinin kaynağını gizlemek isteyen suçlular için cazip hale getirebilir. Bu nedenle, bu müşteri grubu standart müşterilere göre daha yüksek risk taşır.
Belirli Sektörlerdeki Müşteriler
Nakit yoğunluğu yüksek veya düzenlemeleri daha az sıkı olan sektörlerde faaliyet gösteren müşteriler, AML açısından daha risklidir. Kumarhaneler, değerli maden ve taş ticareti yapanlar (kuyumcular), emlak sektörü ve sanal varlık hizmet sağlayıcıları gibi sektörler bu kategoriye girer. Bu sektörlerdeki işletmelerle çalışırken, faaliyetlerinin ve nakit akışlarının daha dikkatli incelenmesi gerekir.
Müşteri Risk Segmentasyonunun Oluşturulması (Düşük, Orta, Yüksek)
Toplanan tüm müşteri bilgileri ışığında, kurumlar bir risk segmentasyon modeli oluşturmalıdır. Bu model, her müşteriye belirli kriterlere (meslek, sektör, ülke, PEP durumu vb.) dayalı bir risk puanı atar. Bu puanlara göre müşteriler genellikle “düşük”, “orta” ve “yüksek” risk kategorilerine ayrılır. Düşük riskli müşteriler için basitleştirilmiş, orta riskliler için standart, yüksek riskliler için ise gelişmiş durum tespiti prosedürleri uygulanır. Bu segmentasyon, uyum süreçlerinin verimliliğini doğrudan etkiler.
Ürün ve Hizmet Risklerinin Analizi
Finansal kuruluşların sunduğu ürün ve hizmetler de Kara Para Aklamanın Önlenmesi (AML) açısından farklı risk seviyeleri taşır. Bazı ürünler, anonimlik, hız ve sınır ötesi erişim gibi özellikleriyle yasa dışı faaliyetler için daha cazip olabilir. Bu nedenle, kurumların ürün ve hizmet portföylerini düzenli olarak analiz etmesi ve risklerini değerlendirmesi zorunludur.
Yüksek Riskli Finansal Ürünlerin Tespiti
Kurumlar, sundukları ürün ve hizmetlerin özelliklerini inceleyerek hangilerinin mali suçlar için kötüye kullanılma potansiyelinin daha yüksek olduğunu belirlemelidir. Bu tespit, risk odaklı kontrollerin doğru bir şekilde tasarlanmasını sağlar.
Sınır Ötesi Para Transferleri ve Havale Hizmetleri
Uluslararası para transferleri, fonların hızla farklı yasal yargı bölgelerine taşınmasına olanak tanıdığı için yüksek riskli olarak kabul edilir. Özellikle yetersiz AML/CFT rejimlerine sahip ülkelere veya bu ülkelerden yapılan sınır ötesi para transferleri, suç gelirlerinin aklanması ve terörizmin finansmanı için kullanılabilir. Bu işlemler, FATF’nin “Seyahat Kuralı” gibi özel düzenlemelere tabidir.
Anonimliği Kolaylaştıran Ürünler (Ön Ödemeli Kartlar vb.)
Müşteri kimliğinin tam olarak tespit edilmesini zorlaştıran ürünler, doğal olarak daha yüksek risk taşır. Yüksek limitli ve yeniden doldurulabilir anonim ön ödemeli kartlar, paravan şirketler adına açılan hesaplar veya gizliliği ön planda tutan diğer finansal araçlar, fonların kaynağını gizlemek için kullanılabilir.
Kripto Varlık Hizmetleri
Kripto varlık hizmetleri, merkezi olmayan yapıları ve anonimlik potansiyelleri nedeniyle önemli AML/CFT riskleri barındırır. Kripto para borsaları, cüzdan hizmet sağlayıcıları ve diğer sanal varlık hizmet sağlayıcıları (VASPs), yasa dışı fonların transferi ve aklanması için kullanılabilir. Bu nedenle bu alanda faaliyet gösteren kurumların çok sıkı KYC ve işlem izleme kontrolleri uygulaması gerekmektedir.
Yeni Ürün ve Teknolojilerin Risk Değerlendirmesi Sürecine Dahil Edilmesi
Finansal teknoloji (FinTech) alanındaki yenilikler, sürekli olarak yeni ürün ve hizmetlerin ortaya çıkmasına neden olmaktadır. Kurumlar, piyasaya sürmeyi planladıkları her yeni ürün veya teknoloji için proaktif bir risk değerlendirmesi yapmalıdır. Bu değerlendirme, ürünün potansiyel AML/CFT zafiyetlerini ve bu zafiyetleri azaltmak için hangi kontrollerin gerekli olduğunu belirlemelidir. Örneğin, Bulut KYC gibi yenilikçi çözümler, verimlilik artırırken aynı zamanda kendi siber güvenlik ve veri gizliliği risklerini de beraberinde getirebilir.
Ürün Risk Puanlamasının Yapılandırılması
Her bir ürün ve hizmete, belirli risk faktörlerine (anonimlik, hız, coğrafi erişim, işlem limitleri vb.) dayalı olarak bir risk puanı atanmalıdır. Bu puanlama sistemi, kurumun genel risk profilinin bir parçasını oluşturur ve müşteri risk puanıyla birleştirilerek bütüncül bir değerlendirme yapılmasını sağlar. Örneğin, yüksek riskli bir müşteri, düşük riskli bir ürün kullandığında toplam riski orta seviyede olabilirken; düşük riskli bir müşteri yüksek riskli bir ürün kullandığında riski artabilir.
Coğrafi Konum ve Ülke Riski
Bir müşterinin veya işlemin coğrafi bağlamı, KYC risk değerlendirmesinin en önemli bileşenlerinden biridir. Bazı ülkeler ve bölgeler, yetersiz AML/CFT düzenlemeleri, yüksek yolsuzluk seviyeleri, siyasi istikrarsızlık veya uluslararası yaptırımlara maruz kalmaları nedeniyle diğerlerine göre çok daha yüksek risk taşır. Bu nedenle, coğrafi risk faktörlerinin dikkatle analiz edilmesi kritik öneme sahiptir.
Yüksek Riskli Ülkelerin Belirlenmesi
Finansal kuruluşlar, hangi ülkelerin yüksek riskli olduğunu belirlemek için güvenilir ve güncel uluslararası kaynakları takip etmelidir. Bu kaynaklar, risk değerlendirme modelleri için temel bir girdi sağlar.
FATF Gri ve Siyah Listeleri
Mali Eylem Görev Gücü (FATF), stratejik AML/CFT eksiklikleri bulunan ülkeleri kamuya açık olarak listeler. “Siyah Liste” (İşbirliğine Çağrılan Yüksek Riskli Yargı Bölgeleri), en ciddi eksikliklere sahip ülkeleri içerir ve bu ülkelerle iş yaparken en üst düzeyde önlem alınması gerektiğini belirtir. “Gri Liste” (Artırılmış Gözetim Altındaki Yargı Bölgeleri) ise AML/CFT rejimlerini güçlendirmek için FATF ile aktif olarak çalışan ancak hala eksiklikleri bulunan ülkeleri kapsar. Bu listedeki ülkelerle yapılan işlemlerde de gelişmiş durum tespiti uygulanmalıdır.
Yaptırım Uygulanan Ülkeler (OFAC, BM, AB)
ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi (OFAC), Birleşmiş Milletler (BM) ve Avrupa Birliği (AB) gibi otoriteler tarafından yayınlanan yaptırım listeleri, belirli ülkeler, kuruluşlar ve bireylerle finansal işlem yapmayı yasaklar veya kısıtlar. Bu listelere tam uyum zorunludur ve ihlalleri çok ağır cezalara tabidir. Kurumlar, müşteri ve işlemlerinin bu yaptırım rejimlerini ihlal etmediğinden emin olmak için sürekli tarama yapmalıdır.
Yetersiz AML/CFT Rejimine Sahip Bölgeler
FATF listeleri ve yaptırım programlarının yanı sıra, bazı ülkeler yolsuzluk, organize suç, vergi cenneti olarak bilinme veya terör faaliyetlerinin yaygınlığı gibi nedenlerle genel olarak yüksek riskli kabul edilir. Uluslararası şeffaflık endeksleri ve Dışişleri Bakanlıklarının raporları gibi kaynaklar, bu bölgelerin belirlenmesinde kullanılabilir.
Müşterinin İkametgah, Vatandaşlık ve Faaliyet Gösterdiği Ülkelerin Değerlendirilmesi
Coğrafi risk değerlendirmesi sadece müşterinin ikamet ettiği veya vatandaşı olduğu ülkeyle sınırlı kalmamalıdır. Müşterinin iş yaptığı, fonlarının kaynağının bulunduğu veya transfer yaptığı ülkeler de analize dahil edilmelidir. Örneğin, düşük riskli bir ülkede ikamet eden bir müşteri, iş faaliyetlerini sürekli olarak yüksek riskli ülkelerde yürütüyorsa, risk seviyesi yeniden değerlendirilmelidir.
Coğrafi Risk Faktörlerinin Müşteri Risk Puanına Etkisi
Coğrafi risk faktörleri, genel müşteri risk puanlama sistemine entegre edilmelidir. Yüksek riskli bir ülkeyle bağlantısı olan bir müşterinin risk puanı otomatik olarak artırılmalıdır. Bu bağlantının niteliği (vatandaşlık, ikamet, iş operasyonları vb.) ve ülkenin risk seviyesi, puan üzerindeki etkiyi belirleyecektir. Bu dinamik yaklaşım, kurumun coğrafi risklere karşı daha duyarlı olmasını sağlar.
İşlem Kanalları ve Dağıtım Yöntemleri Riski
Müşterilerin finansal hizmetlere erişim sağladığı kanallar, KYC risk değerlendirmesinde önemli bir faktördür. Yüz yüze olmayan ve aracıların kullanıldığı kanallar, müşteri kimliğinin doğrulanmasını zorlaştırarak ve anonimliği artırarak daha yüksek riskler barındırabilir. Kurumların, sundukları tüm dağıtım kanallarının potansiyel zafiyetlerini analiz etmesi gerekir.
Yüz Yüze Olmayan Kanalların Risk Analizi
Müşteri ile fiziksel temasın kurulmadığı kanallar, kimlik hırsızlığı ve sahtekarlık gibi risklere daha açıktır. Bu kanalların güvenliğini sağlamak için ek doğrulama ve izleme mekanizmaları gereklidir.
İnternet ve Mobil Bankacılık
İnternet ve mobil bankacılık, müşterilere büyük kolaylık sağlarken, aynı zamanda dijital dolandırıcılık, hesap ele geçirme (ATO) ve Phishing saldırıları için bir zemin oluşturur. Bu kanallar üzerinden yapılan müşteri kabul süreçlerinde, Video KYC, iki faktörlü doğrulama (2FA) ve davranışsal biyometri gibi güçlü kimlik doğrulama yöntemleri kullanılmalıdır.
Temsilci veya Aracı Kullanımı
Finansal hizmetlerin acenteler, brokerlar veya diğer üçüncü taraf aracılar vasıtasıyla sunulması, kurumun müşteri üzerindeki kontrolünü azaltabilir. Aracının kendi KYC prosedürlerinin yeterliliği ve güvenilirliği sorgulanmalıdır. Kurum, aracılarının AML/CFT standartlarına uyumunu düzenli olarak denetlemeli ve bu kanaldan gelen müşterilere yönelik risk değerlendirmesini daha dikkatli yapmalıdır.
Nakit İşlemlerin ve Yoğunluğunun Değerlendirilmesi
Nakit, anonimliği ve takip edilmesinin zorluğu nedeniyle kara para aklayıcılar tarafından sıkça tercih edilen bir araçtır. Bu nedenle, müşterilerin işlem yaptığı kanallarda nakit kullanım yoğunluğu önemli bir risk göstergesidir. Özellikle ATM’ler, vezneler veya nakit kabul eden diğer kanallar üzerinden sürekli ve büyük miktarlarda nakit işlemi yapan müşteriler, şüpheli olarak değerlendirilmeli ve daha yakından izlenmelidir.
Dağıtım Kanalı Risk Seviyelerinin Belirlenmesi
Her bir dağıtım kanalı (şube, internet, mobil, ATM, aracı vb.) için potansiyel riskler analiz edilerek bir risk seviyesi belirlenmelidir. Bu seviye, kanalın anonimlik potansiyeli, coğrafi erişimi, işlem limitleri ve kullanılan kimlik doğrulama yöntemlerinin gücüne göre belirlenir. Müşterinin kullandığı kanalın risk seviyesi, genel müşteri risk puanını etkileyen bir faktör olarak hesaba katılmalıdır.
Müşterinin Faaliyet Alanı ve Sektörel Riskler
Müşterinin mesleği veya faaliyet gösterdiği sektör, potansiyel mali suç risklerini anlamada kritik bir rol oynar. Bazı sektörler, yapıları gereği kara para aklama ve terörizmin finansmanı faaliyetleri için daha elverişlidir. Bu nedenle, sektörel risklerin tespiti ve analizi, KYC sürecinin ayrılmaz bir parçasıdır.
Nakit Yoğun Sektörlerin Tespiti (İnşaat, Kumarhaneler, Kuyumculuk vb.)
İşlemlerin büyük bir kısmının fiziki nakit ile döndüğü sektörler, yasa dışı fonların yasal ekonomiye sokulması için ideal bir ortam sunar. İnşaat, turizm (oteller, restoranlar), şans oyunları (kumarhaneler, bahis şirketleri), değerli maden ve mücevherat ticareti (kuyumculuk) ve ikinci el araç alım satımı gibi sektörler bu gruba örnektir. Bu sektörlerde faaliyet gösteren müşterilerin nakit işlemleri ve gelir-gider tabloları daha dikkatli incelenmelidir.
Belirli Meslek Grupları ve Finansal Olmayan Kuruluşlar (DNFBPs)
Belirlenmiş Finansal Olmayan İşletmeler ve Meslekler (Designated Non-Financial Businesses and Professions – DNFBPs), FATF tarafından tanımlanan ve AML/CFT yükümlülükleri bulunan özel gruplardır. Avukatlar, noterler, muhasebeciler ve emlakçılar gibi meslek grupları, müşterileri adına finansal işlemler gerçekleştirebildikleri için risk taşırlar. Benzer şekilde, sivil toplum kuruluşları ve dernekler de, topladıkları bağışların amacı dışında kullanılma ve terörizmin finansmanına yönlendirilme riski nedeniyle dikkatle izlenmelidir.
Sektörel Risklerin Dinamik Olarak Takibi ve Değerlendirilmesi
Sektörel riskler statik değildir; ekonomik koşullar, yeni düzenlemeler ve teknolojik gelişmelerle birlikte sürekli değişebilir. Örneğin, sanal varlıklar gibi yeni ortaya çıkan bir sektör, başlangıçta düşük riskli görünse de zamanla yüksek riskli hale gelebilir. Finansal kuruluşlar, sektörel risk analizlerini periyodik olarak gözden geçirmeli, ulusal ve uluslararası risk değerlendirme raporlarını takip etmeli ve risk modellerini bu değişikliklere göre güncellemelidir.
Gerçek Faydalanıcı Yapısının Karmaşıklığı
Kurumsal müşterilerde risk değerlendirmesinin en zorlu adımlarından biri, tüzel kişiliğin arkasındaki gerçek kontrol sahibi olan nihai gerçek faydalanıcıyı (Ultimate Beneficial Owner – UBO) tespit etmektir. Suçlular, kimliklerini gizlemek ve yasa dışı fonların izini kaybettirmek için karmaşık ve şeffaf olmayan şirket yapıları oluştururlar. Bu nedenle, sahiplik yapısının analizi, kurumsal KYC’nin temel direğidir.
Gerçek Faydalanıcı (UBO) Tespiti ve Doğrulanması
Gerçek faydalanıcı, bir şirketin veya tüzel kişiliğin %25 gibi belirli bir oranından fazlasına sahip olan veya üzerinde nihai etkin kontrole sahip olan gerçek kişidir. Kurumlar, müşterisi olan tüzel kişiliklerin ortaklık yapılarını gösteren resmi belgeleri (ticaret sicil gazetesi, hazirun cetveli vb.) temin etmeli ve bu yapıdaki nihai gerçek kişilere ulaşmalıdır. UBO’nun kimlik bilgileri de standart KYC prosedürleri kapsamında doğrulanmalıdır. Bu süreç, Müşterini Tanı (KYC), İşletmeni Tanı (KYB) ve İşlemini Tanı (KYT) prensiplerinin bütüncül bir şekilde uygulanmasını gerektirir.
Karmaşık Tüzel Kişilik Yapılarının Riskleri
Bazı tüzel kişilik yapıları, doğaları gereği gerçek faydalanıcının gizlenmesini kolaylaştırır ve bu nedenle daha yüksek risk taşır. Bu tür yapılarla karşılaşıldığında gelişmiş durum tespiti önlemleri uygulanmalıdır.
Vakıflar ve Dernekler (Trusts)
Vakıflar (trusts), mal varlığının yönetimini bir mütevelliye devrederken, faydalanıcıların kimliğinin gizli kalmasına olanak tanıyabilir. Bu yapılar, servetin kaynağını ve gerçek sahiplerini gizlemek için kullanılabilir, bu nedenle vakıf kurucusu, mütevellisi ve faydalanıcıları hakkında detaylı bilgi alınması önemlidir.
İç İçe Geçmiş Şirket Sahiplikleri
Farklı ülkelerde kurulmuş çok sayıda şirketin birbirine sahip olduğu katmanlı sahiplik yapıları, gerçek faydalanıcıya ulaşmayı neredeyse imkansız hale getirebilir. Özellikle vergi cenneti olarak bilinen veya şeffaflık standartları düşük ülkelerde kurulmuş paravan (shell) şirketlerin kullanılması, en önemli kırmızı bayraklardan biridir.
Pay Senedi Hamilleri (Bearer Shares)
Hamiline yazılı pay senetleri, senedi fiziksel olarak elinde bulunduran kişiye sahiplik hakkı tanıyan ve herhangi bir sicile kaydedilmeyen anonim araçlardır. Bu özellik, sahipliğin izini sürmeyi imkansız kıldığı için kara para aklama açısından son derece yüksek risklidir. FATF, hamiline yazılı pay senetlerinin kullanımının engellenmesini tavsiye etmektedir.
Şeffaf Olmayan Sahiplik Yapılarının Yüksek Risk Göstergesi Olarak Değerlendirilmesi
Müşteri, şirketinin sahiplik yapısı veya gerçek faydalanıcıları hakkında bilgi vermekten kaçınıyorsa, eksik veya yanıltıcı bilgi sunuyorsa veya yapı olağan dışı derecede karmaşıksa, bu durum başlı başına bir yüksek risk göstergesi olarak kabul edilmelidir. Şeffaflıktan kaçınma, genellikle gizlenmesi gereken bir faaliyetin olduğuna işaret eder ve kurumun bu müşteriyle iş ilişkisine girmeme veya mevcut ilişkiyi sonlandırma kararı almasını gerektirebilir.
Beklenen İşlem Hacmi ve Niteliği
Bir müşterinin risk profilini oluştururken, gelecekte yapması beklenen işlemlerin hacmini ve türünü öngörmek, anormalliklerin tespiti için bir temel oluşturur. Müşterinin beyan ettiği faaliyet alanı ve finansal durumu ile uyumlu bir işlem profili belirlemek, sonradan gerçekleşen ve bu profilden sapan şüpheli aktivitelerin yakalanmasını kolaylaştırır.
Müşteri Profili ile Uyumlu İşlem Faaliyetlerinin Belirlenmesi
Müşteri kabul sürecinde, müşteriden işi, geliri ve hesaplarını ne amaçla kullanacağı hakkında bilgi alınır. Örneğin, maaşlı bir çalışanın hesabına düzenli olarak maaşı yatması ve günlük harcamalar yapması beklenirken, bir ithalat-ihracat şirketinin yüksek hacimli ve sık sık uluslararası para transferleri yapması normal kabul edilir. Beklenen faaliyetler, bu bilgiler ışığında mantıksal bir çerçeveye oturtulmalıdır.
Beklenen İşlem Profili Oluşturma (Sıklık, Tutar, Tür)
Kurumlar, her müşteri veya müşteri segmenti için beklenen bir işlem profili oluşturmalıdır. Bu profil; aylık beklenen işlem sayısı (sıklık), tek seferde ve aylık toplamda beklenen işlem hacmi (tutar), işlemlerin türü (nakit yatırma/çekme, havale, uluslararası transfer vb.) ve işlemin coğrafi dağılımı gibi parametreleri içermelidir. Bu profil, müşterinin risk seviyesine göre dinamik olarak ayarlanabilir.
Beklenen Faaliyetlerden Sapmaların İzlenmesi İçin Eşik Değerlerin Tespiti
Oluşturulan beklenen işlem profili, otomatik işlem izleme sistemleri için bir temel oluşturur. Bu sistemlerde, müşteri profilinden önemli ölçüde sapan işlemlerin otomatik olarak alarm (alert) üretmesi için eşik değerler belirlenir. Örneğin, bir müşterinin aylık beklenen işlem hacmi 10.000 TL iken, bir anda 500.000 TL’lik bir havale alması veya normalde hiç kullanmadığı bir kanaldan yüksek tutarlı nakit çekimi yapması, bu eşikleri aşarak bir uyum görevlisinin incelemesine sunulur.
Fonların ve Servetin Kaynağının Teyidi
Yüksek riskli müşterilerle çalışırken, sadece kimliklerini doğrulamak yeterli değildir. Bu müşterilerin işlemlerde kullandıkları fonların ve sahip oldukları toplam servetin yasal kaynaklardan elde edildiğinden emin olmak, AML/CFT uyumunun en kritik adımlarından biridir. Bu süreç, kurumun farkında olmadan suç gelirlerinin aklanmasına aracılık etmesini önler.
Fon Kaynağı (Source of Funds – SoF) ve Servet Kaynağı (Source of Wealth – SoW) Arasındaki Fark
Bu iki kavram sıklıkla karıştırılsa da aralarında önemli bir fark vardır.
- Fon Kaynağı (SoF): Belirli bir işlemde kullanılan paranın nereden geldiğini ifade eder. Örneğin, bir ev satın almak için kullanılan paranın kaynağı, maaş birikimleri, miras veya başka bir mülkün satışı olabilir. SoF, işleme özeldir.
- Servet Kaynağı (SoW): Müşterinin sahip olduğu toplam varlıkların (net değerinin) nasıl oluştuğunu açıklar. Bu, müşterinin tüm finansal geçmişini kapsar ve ticari faaliyetler, yatırımlar, miras veya diğer yasal gelir kaynaklarından oluşabilir. SoW, müşterinin genel finansal profilini anlamayı hedefler.
Yüksek Riskli Müşteriler İçin SoF ve SoW Belgelendirme Süreçleri
Yüksek riskli olarak sınıflandırılan müşterilerden (örneğin PEP’ler, özel bankacılık müşterileri veya yüksek riskli sektörlerdeki işletmeler) hem fonlarının hem de servetlerinin kaynağını belgelemeleri istenmelidir. Bu belgeler arasında maaş bordroları, vergi beyannameleri, mülk satış sözleşmeleri, şirket mali tabloları, miras belgeleri veya mahkeme kararları gibi kanıtlayıcı evraklar yer alabilir. Müşterinin beyanının güvenilir belgelerle desteklenmesi esastır.
Fon ve Servet Kaynağının İnandırıcılığının ve Tutarlılığının Değerlendirilmesi
Sunulan belgelerin ve bilgilerin sadece toplanması yeterli değildir; aynı zamanda inandırıcı ve tutarlı olup olmadığının da değerlendirilmesi gerekir. Uyum görevlisi, müşterinin yaşı, mesleği ve bilinen faaliyetleri ile beyan ettiği servet ve fon kaynağının mantıklı bir bütün oluşturup oluşturmadığını sorgulamalıdır. Örneğin, düşük maaşlı genç bir müşterinin aniden milyonlarca liralık bir servete sahip olması, kaynağı tatmin edici bir şekilde açıklanamıyorsa şüpheli bir durum olarak kabul edilmelidir.
Olumsuz Medya ve Yaptırım Listeleri Taraması
Müşterinin sadece kendi beyanlarına ve sunduğu belgelere güvenmek, risk değerlendirmesi için yeterli değildir. Kamuoyuna açık kaynaklardan ve resmi yaptırım listelerinden elde edilen bilgiler, müşterinin potansiyel riskleri hakkında daha geniş bir perspektif sunar. Sürekli ve kapsamlı tarama, kurumun itibari ve yasal risklerden korunmasına yardımcı olur.
Tarama Süreçlerinin Kapsamı ve Sıklığı
Etkili bir tarama süreci, hem müşteri kabul aşamasında hem de müşteri ilişkisi devam ettiği sürece periyodik olarak gerçekleştirilmelidir. Riskler durağan olmadığından, sürekli izleme esastır.
Müşteri Kabul Aşamasında Tarama
Yeni bir müşteriyle iş ilişkisi kurulmadan önce, müşterinin (bireysel ise kendisi ve ilişkili tarafları, kurumsal ise şirket, ortakları ve gerçek faydalanıcıları) adı, uluslararası yaptırım listelerinde ve olumsuz medya (adverse media) veritabanlarında taranmalıdır. Bu ilk tarama, kurumun başlangıçtan itibaren yüksek riskli veya yasaklı bir müşteriyle çalışmasını engeller.
Periyodik ve Olay Bazlı Taramalar
Müşteri ilişkisi başladıktan sonra, taramalar düzenli aralıklarla (müşterinin risk seviyesine göre belirlenir) tekrarlanmalıdır. Yaptırım listeleri ve medya sürekli güncellendiği için, dün temiz olan bir müşteri bugün listeye eklenebilir. Ayrıca, müşterinin profilinde önemli bir değişiklik (örneğin, yüksek tutarlı beklenmedik bir işlem) olması gibi “tetikleyici olaylar” da anlık taramaları gerektirebilir.
Güvenilir Veri Kaynaklarının Kullanımı
Tarama süreçlerinin etkinliği, kullanılan veri kaynaklarının kalitesine ve kapsamına bağlıdır. Kurumlar, OFAC, BM, AB, HMT (İngiltere Hazinesi) gibi başlıca uluslararası yaptırım listelerini içeren güvenilir ve sürekli güncellenen veritabanları kullanan profesyonel tarama yazılımlarını tercih etmelidir. Olumsuz medya taramaları için ise dünya genelindeki haber kaynaklarını, adli sicil kayıtlarını ve sızıntı veritabanlarını (örn. Panama Papers) tarayan gelişmiş çözümler kullanılmalıdır.
Eşleşme (Hit) Durumunda Uygulanacak Prosedürler ve Değerlendirme Kriterleri
Tarama sonucunda bir eşleşme (hit) bulunduğunda, kurumun önceden tanımlanmış bir prosedürü izlemesi gerekir. İlk adım, bu eşleşmenin bir “yanlış pozitif” (false positive) olup olmadığını, yani isim benzerliği gibi bir durumdan mı kaynaklandığını doğrulamaktır. Eşleşme gerçek ise (true match), uyum birimi durumu detaylıca incelemelidir. Eğer müşteri bir yaptırım listesinde yer alıyorsa, hesap derhal dondurulmalı ve ilgili otoritelere (örn. MASAK) bildirimde bulunulmalıdır. Olumsuz medya haberleri durumunda ise haberin kaynağı, niteliği ve müşteriyle olan ilgisi değerlendirilerek müşterinin risk seviyesi yeniden belirlenir ve gerekirse iş ilişkisi sonlandırılır.
Risk Değerlendirmesinin Periyodik Gözden Geçirilmesi
KYC risk değerlendirmesi, bir kereye mahsus yapılan bir işlem değildir. Müşterilerin durumları, yasal düzenlemeler ve genel risk ortamı sürekli değiştiği için, risk değerlendirme modelinin ve müşteri risk profillerinin düzenli olarak gözden geçirilmesi ve güncellenmesi yaşayan bir süreçtir. Bu dinamik yaklaşım, KYC programının etkinliğini ve güncelliğini korumasını sağlar.
Tetikleyici Olayların Tanımlanması (Trigger Events)
Periyodik gözden geçirmelerin yanı sıra, belirli olayların gerçekleşmesi durumunda müşteri risk profilinin anında yeniden değerlendirilmesini gerektiren “tetikleyici olaylar” tanımlanmalıdır. Bu olaylar, potansiyel bir risk artışına işaret eder.
Müşteri Bilgilerinde Önemli Değişiklikler
Müşterinin adresinin yüksek riskli bir ülkeye taşınması, mesleğini veya sektörünü değiştirmesi, şirketinin sahiplik yapısında önemli bir değişiklik olması veya PEP (Politik Nüfuz Sahibi Kişi) statüsü kazanması gibi durumlar, risk profilinin yeniden değerlendirilmesini tetiklemelidir.
Beklenmedik Büyük İşlemler
Müşterinin normal işlem profilinden önemli ölçüde sapan, kaynağı belirsiz büyük tutarlı bir işlem yapması, en yaygın tetikleyici olaylardan biridir. Bu durum, müşterinin finansal faaliyetlerinde bir değişiklik olduğunu gösterebilir ve detaylı bir inceleme gerektirir.
Olumsuz Medya Haberleri veya Yaptırım Listesi Eşleşmeleri
Periyodik taramalar sonucunda müşteri hakkında çıkan ve mali suçlarla (yolsuzluk, dolandırıcılık, rüşvet vb.) ilişkili olumsuz bir haber veya müşterinin bir yaptırım listesine eklenmesi, risk seviyesinin derhal en yükseğe çıkarılmasını ve gerekli aksiyonların alınmasını gerektiren kritik bir tetikleyicidir.
Zamanlanmış Periyodik Gözden Geçirme Takviminin Oluşturulması
Tetikleyici olaylar dışında, tüm müşteri profilleri düzenli aralıklarla gözden geçirilmelidir. Bu gözden geçirme sıklığı, müşterinin risk seviyesine göre belirlenir. Genellikle yüksek riskli müşteriler için yılda bir, orta riskli müşteriler için 2-3 yılda bir ve düşük riskli müşteriler için 3-5 yılda bir periyodik gözden geçirme yapılması kabul gören bir uygulamadır.
Risk Değerlendirme Modelinin ve Parametrelerinin Güncellenmesi
Sadece müşteri profilleri değil, aynı zamanda risk değerlendirmesi için kullanılan modelin kendisi de periyodik olarak gözden geçirilmelidir. Yeni ortaya çıkan riskler (örneğin, yeni bir dolandırıcılık türü veya yeni bir yüksek riskli sektör), yasal düzenlemelerdeki değişiklikler veya FATF gibi kuruluşların yeni rehberleri, modelin parametrelerinin ve risk ağırlıklarının güncellenmesini gerektirebilir. Bu, kurumun risk yönetimi çerçevesinin her zaman güncel ve etkili kalmasını sağlar.
