Üçüncü Tarafların Tanımlanması ve Yeterli ve İlgili Bilgilerin Toplanması

Üçüncü taraf ilişkisinde olduğunuz kaç şirket olduğunu biliyor musunuz? Bu şirketlerden kaynaklanabilecek rüşvet risklerini değerlendirebilmek için yeterli bilgiye sahip misiniz?

Bu yazım, üçüncü taraf rüşvet risklerine dair serinin üçüncüsü. İlk iki yazıda, üçüncü taraf rüşvet riskinin önemini ve üçüncü taraf rüşvet riskinin uygun bir şekilde yönetilmesine olanak sağlayacak ortamın oluşturulmasındaki unsurları tartışmıştım.

FCPA kapsamında, bir şahıs ya da kuruluş, yaptığı ödemenin tamamının veya bir kısmının doğrudan ya da dolaylı olarak yabancı bir kamu görevlisine gideceğini bilerek üçüncü bir tarafa ödeme yapmaktan sorumlu tutulabilir.

Bu yazıda, bir şirkette üçüncü tarafların tanımlanması, şirket operasyonlarına dahil edilmesi ve yönetilmesine dair sistematik bir sürecin nasıl kurulabileceğine ve sürdürülebileceğine odaklanacağım. Transparency International’ın üçüncü taraf rüşvetle mücadele çerçevesi kapsamında, mücadele yönteminin iyi bir şekilde uygulanabilmesinin yedi bileşeni bulunmaktadır:

• Üçüncü tarafların tanımlanması
• Risk değerlendirmesi
• Kayıt ve ön yeterlilik
• Detaylı inceleme
• Sözleşme
• İlişki yönetimi
• Gözetim prosedürleri

Tüm üçüncü tarafların ve risk değerlendirme aşamalarının tanımlanması, üçüncü taraf risk yönetiminin stratejisinin tasarlandığı alanlardır. “Herkese uyan” bir yaklaşım kullanılamayacağından, uygun bir sistem kurmak için bu aşamalar dikkatli bir şekilde tasarlanmalıdır. Diğer aşamalar, stratejinin uygulanmasında daha “operasyonel” olarak görülebilir.

Üçüncü Tarafların Tanımlanması

Şirket, rüşvet risklerini yönetebilmek için, üçüncü taraflara ilişkin evreni tam olarak bilmelidir.  Tüm üçüncü tarafların saptanması, kaydedilmesi ve bunlarla ilgili bilgilerin elde edilmesi, analizi ve saklanması üçüncü taraf rüşvetle mücadelede ilk adımdır. Bu, çok küçük ya da işletmenin büyüklüğüne ve yürüttüğü işe bağlı olarak kapsamlı bir çalışma olabilir.

Herhangi bir yanlış anlamayı önlemek ve üçüncü taraf evrenini tam olarak belirlemek için üçüncü tarafların tanımı şirketin tamamı için açık olmalıdır. Her şirket, ilişkide bulunduğu üçüncü tarafların tam bir envanterini çıkarmak için kendi listesini hazırlamalıdır. Üçüncü taraflar arasında aşağıda belirtilenler sayılabilir:

•    Tedarikçiler
•    Servis sağlayıcılar (tedarik zincir yönetimi, lojistik, depo vb.)
•    Distribütör / aracılar 
•    Ortak girişimler 
•    Danışmanlar (lobiciler, vergi, hukuk, operasyon, finans)
•    Müteahhitler, yükleniciler, alt yükleniciler
•    Pazarlama ve satış acenteleri
•    Gümrük acenteleri

Üçüncü tarafları tanımlamak ve sınıflandırmak için faaliyetlerini anlamanız önemlidir. Üçüncü tarafların bağlı oldukları diğer iş ortaklarının olması, bu iş ortaklarının da üçüncü taraflarınız olarak sınıflandırmanıza sebep olabilir. Üçüncü taraflarınız faaliyetlerini yürütürken ağırlıklı olarak taşeronlara, tedarik zincirinin alt halkalarına veya Siyasi Nüfuz Sahibi Kişiler’e bağlı hareket ediyorsa, risklerinizi değerlendirmek için tüm taraflara ilişkin yeterli bilgi toplamanız kritiktir.

Şirket sonraki aşamalarda üçüncü taraflara dair iyi bir risk değerlendirmesi ve orantılı bir durum tespiti (due diligence) yapmak için, hangi bilgilerin gerekeceğini planlayarak bu doğrultuda yeterli bilgiyi toplamalıdır.  Bu aşamada toplanan bilgilerin tam ve hatasız olması, risk değerlendirmesi ve durum tespiti sürecinin etkinliğini ve verimliliğini etkileyecektir.

FCPA veya benzer mevzuatlar kapsamında sonuçlanmış davaların çoğu, şirketin standartlarına uymayan ve şirketteki suistimalci çalışanlar tarafından rüşvet kanalı olarak kullanılabilen üçüncü taraflarla ilgilidir.

Bilgi toplama prosedürü mevcut tüm üçüncü taraflar için yapılmalıdır. Yeni çalışılacak üçüncü taraflar için ise şirket, yeni tedarikçi seçimine ilişkin politika ve prosedürler çerçevesinde uygulamalıdır.

Şirketin toplaması gereken bilgiler, sürecin en başında yapılacak olan üst düzey risk değerlendirmesine göre yapılandırılmalıdır. Daha fazla risk taşıyan üçüncü taraflar, şirketi devlet kurumları veya diğer üçüncü tarafların karşısında temsil eden, şirket yönetimi adına hizmet veren ve kamu görevlileri ile temaslarda bulunanlardır. 

Sonuncu ve fakat aynı derecede önemli bir diğer nokta, bireyler ve kurumlar hakkında bilgi toplarken, mahremiyet ve veri yasalarının göz önünde bulundurulması gerektiğidir. Verilerin izinsiz veya dikkatsiz bir şekilde toplanması ve işlenmesi, kişilere ve şirketlere büyük zarar verebilir.

Bir sonraki yazıda üçüncü taraf etik ve uyum konusunun en önemli kısmını, yani risk değerlendirmesini ele alacağım.