Uluslararası Standartlar Teşkilâtı, yolsuzlukla mücadele ve iş etiğini desteklemek amacı ile 4 yıldır 50’yi aşkın ülkeden uzmanların işbirliği ile hazırladığı ISO 37001 Yolsuzlukla Mücadele Yönetim Sistemi Standardını 14 Ekim 2016 tarihinde yayınladı. 

Temel ilke ve uygulamalar ortak paydasında buluşmak kaydıyla şirketlerin risk yönetimi ihtiyaçları olgunluk seviyeleri, faaliyet alanları gibi değişkenleri etkin yönetebilmek için kendine özel bir uyum programı geliştirmesi gereğinin altını hep çizdik.

Bu riskler arasında en önemlisi, global arenada iş yaparken karşınıza en çok çıkacak olan, ulusal ve uluslararası kanunlara uyum riskleri bakımından sıranın en başında gelen ve tabi en büyük cezalar ve itibar kaybı ile sonuçlananı “Yolsuzluk ve Rüşvetle Mücadele”.

Madem her şirketin kendine özel bir program geliştirmesi doğru, o zaman bir değil “uyulması gereken” bir çok standardın varlığından veya iyi uygulama örneğinden söz edebiliriz. Ancak 2016 Ekim ayının ortalarında, bugüne kadar biriktirdiğimiz tüm tecrübe ve literatür okumalarımızla oluşturduğumuz, bu şirkete özel standartları standardize etmek için bir standart geliyor: ISO 37001.

Yüzüklerin Efendisi sever dostlarım, ISO 37001 i “Tüm diğer yolsuzlukla mücadele standartlarına hakim olacak standart” olarak anmaya başladı bile.

Bu yazıyı, uyum dünyasında bir yolsuzlukla mücadele programı standardının yokluğundan şikayetçi olan meslektaşlar ile “Federal Sentencing Guidelines, Guidelines for Corporations” ile gelen “makul yapılanma ve önlemler” tanımında gizli olan “her şirket kendisi için en iyi sistemi kurmakla sorumludur” önermesinin ideal uygulama olduğunu savunanlar arasındaki tartışmanın argümanlarını bir kez daha gözden geçirmeniz ve en doğru kararı verebilmeniz için kaleme aldım.

Gelin görün ki, siz hangi tarafta olursanız olun, tüm standartlara hükmedecek o standart gerçekten geliyor.

Neden şimdi?

Bu soruya cevap vermeden önce uluslararası yolsuzlukla mücadele ortamına şekil veren kilometre taşlarını hatırlayalım:

*Foreign Corrupt Practives Act (FCPA) – Amerikan Yurtdışı işlemlerde yolsuzlukla mücadele yasası – 1977

*UK Bribery Act – Birleşik Krallık Yolsuzlukla Mücadele Yasası –

*OECD Convention on Combating Bribery of Foreign Public Officials in International Business Transactions – OECD Ticari İşlemlerde Yabancı Kamu Görevlilerine Verilen Rüşvetin Önlenmesi Sözleşmesi

*United Nations Convention Against Corruption (UNCAC) – Birleşmiş Milletler Yolsuzlukla Mücadele Sözleşmesi

*European Anti-Corruption Conventions – Avrupa Yolsuzlukla Mücadele Sözleşmeleri

*Brazilian Clean Company Act – Brezilya Temiz Şirket Yasası

*Canadian Corruption of Foreign Public Officials Act (CFPOA) – Kanada Yurtdışı İşlemlerde Kamu Görevlisine Rüşvetin Engellenmesi Yasası

*The Sapin II, Draft Bill for Transparency and Modernisation of the Economy – Fransız Şeffaflık ve Ekonominin Modernizasyonu Yasa Tasarısı

İçinizden bir ses size bütün bu yasa ve anlaşmaların sizi neden ilgilendirdiğini soruyor olmalı. Cevap basit. Tüm bu yasal düzenlemelerin ve sözleşmelerin ortak paydası o ülkenin vatandaşının yurt dışında (doğrudan veya aracılar üzerinden) rüşvet vermesini engellemeye yönelik olmaları. Yani eğer bir Fransız şirketi ile çalışıyorsanız sizin kendi ülkenizde uyguladığınız yolsuzlukla mücadele risk yönetimi programı veya kısaca “etik ve uyum programınız” artık iş yaptığınız şirket için bir sorumluluk haline geldi. Bir Amerikan şirketini temsil ediyorsanız ve bu şirket bir ihracatçı ise Amerikan Ticaret Odası (American Chamber of Commerce) sadece o şirketin bir uyum programı olması ile yetinmeyip sizin de bir uyum programınız olmasını mecburi kılıyor ve bu programın varlığı ile etkinliği konusunda detaylı bir denetim yapma sorumluluğunu da Amerikalı ortağınıza bırakıyor.

Yani, bırakın bir kurumsal dünya vatandaşı olarak görevinizi, yabancı iş ortaklarınızla ilişkilerinizi sağlıklı sürdürebilmek için bile onların hangi yerel hukuki riskleri yönettiklerini bilmek ve aynı kimliğe bürünmek zorundasınız.

Neden şimdi sorusunun birçok mantıklı cevabı olabilir ancak bunların başında “Günümüzde, yolsuzluk risklerinin yönetilmesinin global şirketlerin kurulu veya halka açık oldukları ülkelerin rekabet öncelikleri ve hukuki sorumlulukları haline gelmiş olması” var. Uluslararası yasal mimarinin olgunlaşması ve kanun yapıcıların yaptırım gücünün artmış olması ise standardizasyon gereğinin ardındaki önemli bir itici güç.

Sonuç olarak yolsuzlukla mücadele dünyası sizin sandığınızdan çok daha hızlı dönüyor ve sizi hukuken doğrudan etkilemediğini düşündüğünüz her yasa iş yaptığınız yabancı ortaklarınız üzerindeki baskısını artırıyor. Bu gelişmelerin ardında ahlaki yönelimler olduğunu lütfen düşünmeyin. Çerçevesi ülkelerin dış politikaları, dış ticarette adil rekabet zemini arayışları yani global siyaset ve ticaret dinamikleri ile belirlenmiş yeni bir oyun alanı içerisindesiniz. Bu yeni dünyanın kuralları ile ne kadar geç tanışırsanız işlerinizi sürdürmeniz ve geliştirmeniz o kadar zorlaşacak gibi gözüküyor.

Bu küçük uyarıdan sonra gelin ISO 37001 incelememizi sürdürelim.

Nasıl bir ekip tarafından hazırlandı?

İş dünyasının karşılaştığı düzenlemeler ve standardizasyon araçları karşısında ilk, ve çoğunlukla haklı, tepkisi bunları “işleri yavaşlatacak yeni bir bürokratik engel” olarak görmek yönünde oluyor.

Büyük çoğunluğu profesyonellerden oluşan, 28 ülkeden 50 yi aşkın uzmanın iki senelik çalışmasının sonucu olan ISO 37001 için yapılan tanım cesaret verici: “İş dünyası tarafından, her büyüklükteki şirket için hazırlanmış bir standart”

Yayınlanan standarda baktığım zaman, ISO 37001’in, yakın gelecekte tedarik zinciri yolsuzluk risk değerlendirme anketlerinin yerini almasına şaşırmayacağımı söylemeliyim. Global ve yerinde denetlenen bir standart varken hangi global şirket yerel risklerini kendi anketleri üzerinden yönetmek istesin ki?

Yeni olan nedir?

Eğer bu soruyu soran Amerika, İngiltere, Almanya, Kanada, Brezilya, Güney Afrika veya Fransa’da kurulu bir şirketin etik ve uyum yöneticisi ise cevap basit: “Yeni standart zaten yapmadığınız veya bilmediğiniz hiçbir şey getirmiyor”. Ancak yurt dışında yolsuzlukla mücadele konusunda sert hukuki önlemler almış, uzman mahkemelerini kurmuş ve yaptırımları uygulayan, gelişmiş bir yargı sistemi olan bir ülkede değilseniz; yasalar sizi zaten bu sistemleri kurmaya ve doğru çalıştırmaya yöneltmemişse; yabancı iş ortaklarınızın ilgili taleplerini ciddiye almak yerine gönderdikleri etik kodunu imzalayıp unutmak refleksine sahip bir ticaret pratiğini yaşıyorsanız o zaman kolları sıvamanızın zamanı geldi demektir. Sertifikasyon ve denetleme süreçlerinde ortaya çıkacak “yerel çözüm üreten” danışman firmalarla karşılaşacaksınız elbette ama bu konu diğer kodlara benzemiyor. Yabancı iş ortaklarınız üzerindeki hukuki baskı o kadar büyük ki içi doldurulmamış bir sertifikanın fitili kısa bir bomba olduğunu fark ettiğinizde çok geç kalmış olabilirsiniz.

ISO 37001 ile tanımlanan sorumlulukların etki alanı nedir?

Bir şirket sizden ISO 37001 sertifikası istiyorsa emin olun ya kendisinde de vardır veya etik ve uyum programları zaten dünya standardındadır. Zira üçüncü taraflarla ilgili risk değerlendirmesi ISO 3001 ile gelen sorumlulukların başında geliyor. (Third Party Due Dilligence). Şirketiniz bu denklemin iki tarafında da olduğunu unutmamalısınız. Yani global şirkete karşı, bir tedarikçi olarak, ne kadar sorumluysanız kendi tedarik zinciri risk yönetiminizi de aynı titizlikle yapmak durumundasınız. Bu temel ilke zaten etkin bir etik ve uyum programının ruhunu oluşturuyor. Siz kendinizi nasıl bir kurumsal vatandaş olarak tanımlıyorsanız aynı tanıma uygun tedarikçilerle çalışmak da sizin sorumluluğunuz. Standart bu sorumluluğu da tanımlıyor. İşte birkaç örnek:

*Risklerin tespitinde gerekli özenin gösterilmesi (Due dilligence) tespite konu risklerin önemine ve ağırlığına uygun yapılmak zorundadır. Bunun anlamı, etik ve uyum yönetimi programınızın risklerin değerlendirilmesi, ölçülmesi, derecelendirilmesi ve haritalanması ile ilgili bir altyapıya sahip olmalıdır. Doğru ölçemediğinizi doğru yönetemezsiniz. Her paydaşınızla ilgili risk tespitiniz aynı olamaz. Örneğin tedarikçiniz ile müşterinizin yolsuzluk risklerini aynı araçla yönetemezsiniz. Müşterim neden yolsuzluk riski getirsin demeyin. Banka gibi yüksek regülasyonlara tabi bir şirketseniz, kamu ile iş yapıyorsanız veya kara para aklama operasyonunda hizmetine sıklıkla başvurulan riskli sektörlerde iseniz “Müşterini tanı” (Know your customer) ilkesi risklerinizi yönetmekteki dominant faktör olabilir.

*Kırmızı bayrak; Şirketler risk tespitlerinde buz dağının üzerinde kalan konulara dikkat ederken bir çok küçük göstergeyi gözden kaçırıyor olabilirler. Örneğin rüşvet soruşturması geçirmiş bir şirket hemen radarlarınıza takılırken şirketin sicil kaydına dair kayıtlardaki tutarsızlıklar dikkatinizi çekmiyorsa, imza sirküleri gibi şirket iç kontrollerine aykırılığın ortaya çıkartılması ile ilgili denetim mekanizmalarının varlığı ve işlevselliğini değerlendirmiyorsanız, “yönetim kurulu veya yöneticiler arasında özellikle şirketin müşterileri arasındaki bir kamu kurumundan veya bu kamu kurumları üzerinde baskı oluşturabilecek yetkiyle çalışmış bir kamu görevlisi var mıdır?” sorusu aklınıza gelmiyorsa risk yönetiminizi layıkıyla yaptığınızı iddia etmek zor olacaktır.

Standart, tam da yapmasını isteyeceğimiz gibi, almanız gereken önlemleri ve uygulamanız gereken yöntemleri sıralamıyor; buna mukabil risklerinizi “makul ve orantılı” yöntemlerle ölçüp yöneten bir mekanizmanın varlığını sorguluyor. Elbette neyin makul olduğu tanımı hep bir tartışma konusu olarak kalacaktır; ancak ticari ilişki içindeki her şirket aslında hukuki bir riski de paylaşıyor ve birlikte yönetiyor demektir. Bu ilişki ve zamanla gelişecek karşılıklı talepler endüstri normlarını oluşturacak ve makul olanın tarifini kolaylaştıracaktır.

Nasıl denetlenecek?

Yolsuzlukla, etik ve uyum programı ile yönetilen en önemli risk. Bu programlarla ilgili hiçbir şey öğrenmediysek en azından herkese uyan bir program şablonu olamayacağını biliyoruz. Etik ve uyum programları şirketin ne ürettiği ile değil nasıl ürettiği ve kim olduğu ile ilgilidir. İlaveten, bir önceki sorunun cevabında geçen “makul ve orantılı” tanımı bile 37001 denetimini ISO tarafından hazırlanmış diğer tüm standartların denetiminden daha zor hale getiriyor. Bu şirkete özel durumun standardı karşıladığı nasıl anlaşılacak?

Bu soru altındaki bir diğer detay ise şudur: Etik ve uyum yöneticisi, herhangi bir uyumsuzluk durumundaki mütalaasını, tabi olunan kanunlar, şirketin yönetmek durumunda olduğu riskler, şirket kültürü, iş yapılan bölgenin sosyal yapısı ve kültürü, ortaya çıkan uyumsuzluğun dinamikleri, şirket politika ve prosedürleri gibi bir çok kriteri inceledikten ve yeterli bilgi ile donandıktan sonra verir. Dolayısıyla verdiği mütalaa veya kararın ileride hatalı çıkması o andaki kararın yanlış olduğu anlamına gelmeyebilir. Yani neyin makul olduğu kadar verilen kararın doğruluğu da içeriden bakan ve dışarıdan bakan göz için sübjektif olabilir. Örneğin yöneticiler ve çalışanların aynı içerikle ve aynı ortamda yolsuzlukla mücadele eğitimi alması veya almaması bile birçok meslektaşın hala tartıştığı bir konu. Dahası, işinde uzman bir uyum yöneticisi için bile sektör değiştirdiğinde yeni şirketinin dinamiklerini öğrenmek ve kararlarını bunları göz önünde bulundurarak vermek bir süreç gerektirirken hem meslek hem sektör tecrübesi buna yeterli olamayacak bir denetçinin vereceği görüş ne derece adil olabilir?

Benim vardığım sonuç, özellikle bir şirketin uyum hayatını kaotik hale getirebilecek kadar fazla kesişim kümesi olan, uluslararası yaptırım sahası olan ulusal yasalarla gelen, hukuka uygunluk (regulatory compliance) alanındaki risklerin etkin yönetimine destek olabilecek, tüm standartlara hakim olacak bir standarda ihtiyaç duyulduğu yönünde.

Bunun da ötesinde, özellikle tedarik zincirinde yolsuzlukla mücadele ve üçüncü tarafların risklerinin değerlendirilmesinde çok faydalı bir denetim aracı ile karşı karşıya olduğumuzu düşünüyorum.

Elbette düğmeye basıldığı gün yolsuzluk risklerinin yönetimi alanındaki tüm gri alanlar ortadan kalmayacak veya su kaçıran tüm delikler tıkanmış olmayacak. Bir standart içinde bile olsak öğrenme ve gelişme süreci hep devam edecek.

Etik ve uyum yöneticisi, tasarladığı ve/veya yönettiği programın en temel özelliğinin sürekli öğrenmek, gelişmek ve adapte olmak olduğunu bilir. Dolayısıyla, standardın da öğrenip gelişecek bir dinamizmde olmasını yadırgamayacaktır.


Tayfun Zaman, Etik ve İtibar Derneği Genel Sekreteri

Tayfun Zaman Etik ve İtibar Derneği TEİD’in genel sekreteri, Turkish Integrity Center of Excellence TICE’ın kurucu direktörü, INmagazine dergisi editorü ve 7 etik ve uyum rehberinin yazarıdır.

Birleşmiş Milletler ve OECD’nin de aralarında bulunduğu uluslararası ve ulusal platformlarda iş etiği, itibar yönetimi, yolsuzlukla mücadele programları ve yolsuzluğun gizli maliyeti alanlarında birçok konuşma yapmıştır.

Tayfun Zaman B20 Yolsuzlukla Mücadele Görev Gücü üyesi, OECD Orta Asya ve Doğu Avrupa Ülkeleri Yolsuzlukla Mücadele Ağı Danışma Kurulu Üyesi ve Global Ethics Network Bölgesel Program Direktörüdür. UNODC ve OECD kapsamındaki çeşitli rüşvet engelleme çalışma gruplarına katılmıştır.

B20 Yolsuzlukla Mücadele Görev Gücü faaliyetleri kapsamında  “KOBİlerde Yolsuzlukla Mücadele” ve Gümrüklerde Yolsuzlukla Mücadele” çalışma gruplarının eş başkanlığını yapmış olan Zaman “B20 KOBİlerde Yolsuzlukla Mücadele Rehberi” ve “B20 Gümrüklerde Kolektif Eylem Yoluyla Yolsuzlukla Mücadele Rehberi’nin” yazarıdır.

İstanbul Saint Joseph Fransız Lisesi’nde tamamladığı orta oğreniminin ardınıdan, Bilkent Üniversitesi Turizm ve Otel İşletmeciliği Bölümü’nü bitirmiş, Copenhag Üniversitesi’nde Deniz Yatırımları ve Gemi İşletmeciliği eğitimi almış ve halen yüksek lisansını, İstanbul Bilgi Üniversitesi’nde, İnsan Hakları Hukuku dalında sürdürmektedir.