Compliance Audit Sürecinde Hangi Belgeler Talep Edilir? Gizlilik Nasıl Korunur?
Giriş
Globalleşen piyasalarda şirketlerin yalnızca kârlı olmaları değil, aynı zamanda yasalara ve etik standartlara uygun hareket etmeleri de beklenmektedir. Bu çerçevede, hukuka uygunluk denetimi ya da yaygın adıyla compliance audit, şirketlerin faaliyetlerinin yerel ve uluslararası mevzuata uygun olup olmadığının tespiti için hayati öneme sahiptir. Ancak bu denetim sürecinde şirket içi belgelerin denetçilere açılması, ticari sırların ve kişisel verilerin korunması ihtiyacını da beraberinde getirir.
Bu yazıda, compliance audit sürecinde hangi belgelerin talep edildiği, bu belgelerin gizliliğinin nasıl korunduğu, sürecin teorik altyapısı ve uygulamadaki riskler, kurgusal bir örnek olayla birlikte incelenecektir.
I. Compliance Audit Nedir?
Compliance audit, bir şirketin işleyişinin;
-
Ulusal mevzuata,
-
Uluslararası sözleşmelere,
-
Sektörel düzenlemelere,
-
İç politika ve etik kurallarına
uyumlu olup olmadığını tespit etmeyi amaçlayan denetim sürecidir.
Bu denetim; şirket birleşmeleri (M&A), yatırım kararları, iç denetim süreçleri, ihbar sonrası risk kontrolleri gibi birçok farklı nedenle yapılabilir.
II. Denetim Sürecinde Hangi Belgeler Talep Edilir?
1. Kurumsal Belgeler
-
Ticaret sicil kayıtları
-
Ana sözleşme
-
Ortaklar kurulu ve yönetim kurulu kararları
-
Şirketin organizasyon şeması
-
Yetki belgeleri ve imza sirküleri
2. Finansal Belgeler
-
Bilanço ve gelir tabloları
-
Vergi beyannameleri
-
SGK ve vergi borcu yazıları
-
Banka hesap özetleri
-
Fatura örnekleri ve mutabakatlar
3. Sözleşmeler ve Ticari Belgeler
-
Satış, tedarik, bayilik, distribütörlük sözleşmeleri
-
Kiralama ve leasing sözleşmeleri
-
Lisans, know-how ve gizlilik anlaşmaları
-
Sözleşmelere ilişkin fatura ve tahsilat kayıtları
4. Personel Belgeleri
-
Çalışan bordroları
-
SGK bildirgeleri
-
İş sözleşmeleri
-
Disiplin kayıtları ve performans değerlendirme belgeleri
-
KVKK kapsamında alınmış açık rıza metinleri
5. Bilgi Güvenliği ve KVKK Belgeleri
-
Kişisel veri işleme envanteri
-
Aydınlatma metinleri ve veri saklama politikaları
-
VERBİS kayıt çıktıları
-
Bilgi güvenliği prosedürleri ve BT altyapı haritası
6. Faaliyet İzinleri ve Ruhsatlar
-
Lisanslar ve yetki belgeleri (örneğin: EPDK, BDDK, ÇED raporları)
-
Faaliyet belgesi
-
İşyeri açma ve çalışma ruhsatları
7. İç Politikalar ve Etik Kurallar
-
Uyum (compliance) yönetmeliği
-
Etik davranış kuralları
-
İç denetim raporları
-
Şikâyet ve ihbar sistemlerine dair kayıtlar
III. Bu Belgelerin Neden Talep Edildiği
Yukarıda sayılan belgeler, denetimin kapsamına ve hedeflerine göre değişiklik gösterebilir. Ancak genel amaç;
-
Yasal uyum seviyesini tespit etmek,
-
Veri işleme faaliyetlerinin hukuka uygunluğunu değerlendirmek,
-
Risk alanlarını ve ihlalleri belirlemek,
-
Şirketin itibar ve sürdürülebilirliğini güvence altına almaktır.
IV. Gizliliğin Korunması: Hukuki ve Teknik Önlemler
A. Gizlilik Sözleşmesi (NDA)
Denetimden önce mutlaka taraflar arasında karşılıklı gizlilik sözleşmesi (Non-Disclosure Agreement – NDA) imzalanmalıdır. Bu sözleşme:
-
Hangi belgelerin gizli olduğu,
-
Hangi amaçla kullanılabileceği,
-
Kimlerle paylaşılabileceği,
-
Ne kadar süreyle saklanacağı
konularını açıkça belirlemelidir.
B. Erişim Yetkilendirmesi
Tüm belgeler, sadece yetkili kişiler tarafından ve erişim sınırlı ortamlarda incelenmelidir. Özellikle kişisel veri içeren belgeler, KVKK kapsamında “veri minimizasyonu” ilkesine göre filtrelenmelidir.
C. Şifreli Dijital Platformlar
Belgeler mümkünse şifreli dijital ortamlarda paylaşılmalı ve denetçilerle belgeler arasında erişim kayıtları (log) tutulmalıdır. Böylece kimin, ne zaman, hangi belgeye eriştiği izlenebilir hale gelir.
D. Fiziksel Belgeler İçin Önlem
Fiziksel belge incelemelerinde denetçilerin belgeyi kopyalamasına, fotoğraf çekmesine veya dışarı çıkarmasına izin verilmemeli; gerekirse inceleme süreci refakatle yürütülmelidir.
V. Kurgusal Örnek Olay: “B. Tekstil A.Ş.” ve Patlak Veren Veri İfşası
B. Tekstil A.Ş., büyük bir Avrupa firması tarafından satın alınmak üzere due diligence sürecine girmiştir. Satın alma öncesi yapılan compliance audit sırasında, şirketin tüm bordro kayıtları, KVKK belgeleri ve tedarikçi sözleşmeleri dış hukuk ofisine açılmıştır. Ancak şirket, denetim öncesinde gizlilik sözleşmesi imzalamamış, herhangi bir loglama altyapısı kurmamıştır.
Bir süre sonra şirketteki çalışanların özlük bilgileri bir çevrimiçi platformda sızdırılmış olarak bulunmuş, çalışanlar konuyu medyaya taşımıştır. Kişisel verilerin hukuka aykırı paylaşımı nedeniyle hem şirket hem de alıcı taraf Kişisel Verileri Koruma Kurulu tarafından soruşturmaya tabi tutulmuş ve önemli itibar kaybı yaşamıştır.
Bu olay, belgelerin yalnızca paylaşılması değil, korunmaması nedeniyle ortaya çıkan bir krizdir.
VI. Uyum Denetiminde Gizliliğe Dair Ekstra İpuçları
-
Denetim Kapsamı Belirlenmeden Belge Paylaşılmamalı
Her denetçiye “her şeyi” açmak yerine, yalnızca ilgili alanlarda sınırlı belge sunulmalıdır. -
Kişisel Veriler Maskelenmeli
Denetim sırasında bordrolarda isim, T.C. kimlik numarası, adres gibi bilgiler anonimleştirilerek sunulmalıdır. -
Şirketin Hukuk Birimi Sürece Dahil Edilmeli
Uyum denetiminde sadece muhasebe veya insan kaynakları değil, şirketin hukuk müşavirliği veya dış avukatı da süreçte aktif olmalıdır. -
Veri İmha Politikası Tanımlanmalı
Denetim sonrası belgelerin nasıl imha edileceği (fiziksel veya dijital) önceden belirlenmeli ve ispatlanabilir şekilde yerine getirilmelidir.
VII. Sonuç: Uyum Denetimi Şeffaflık Değil, Kontrollü Paylaşım Gerektirir
Compliance audit, şirketler için riskli alanları görünür kılma imkânı sunarken; denetim sürecinde kontrolsüz bilgi paylaşımı bizzat yeni riskler doğurabilir. Bu nedenle;
-
Hangi belgelerin, kimlerle ve nasıl paylaşılacağı,
-
Bu bilgilerin korunması için hangi önlemlerin alınacağı,
-
Denetim sonrasında bu bilgilerin akıbetinin ne olacağı
gibi sorulara önceden yanıt verilmiş olmalıdır. Unutulmamalıdır ki denetim kadar, denetimin nasıl yapıldığı da şirketin hukuki güvenliğini belirler.
Hukuk Fakültesi Öğrencisi Gamze Akbulut
About Post Author
