GİRİŞ
Uyum programlarının etkinliği, bir şirketin etik değerleri, yasalara uyumu ve riskleri yönetme yetkinliği hakkında önemli bir göstergedir.
Bir uyum programının gerçekten etkili olup olmadığını değerlendirmek ve iyileştirmek için objektif bir ölçüm sürecine ihtiyaç duyulur. Bu basitleştirilmiş rehberde uyum programınızın etkinlik ölçümünde kullanabileceğiniz pratik sorulara ve ipuçlarına yer verdik.
UYUM PROGRAMININ ETKİNLİĞİNİ ÖLÇMEKTE KULLANILACAK 43 PRATİK SORU
PROGRAMA GENEL BAKIŞ
1. Etkili bir uyum programı için Federal Sentencing Guidelines gibi otoritelerce belirlenmiş gereklilikleri veya ISO 37001 -37301 gibi uluslararası geçerliliği
olan standartların gereklerini karşılıyor muyuz?
2. Uyum programımız sağlıklı işliyor mu? Eğilimler, açıklar, zorluklar vb. neler?
3. Önümüzdeki çeyrek, gelecek yıl ve sonraki 3 yıl için planımız nedir?
RİSK
4. Mevcut yüksek riskli alanlarımız nelerdir ve bunları nasıl ele alıyoruz?
5. En son ne zaman bir uyum risk değerlendirmesinden geçtik? Sonuçlar nasıldı?
6. Yüksek öncelikli risk alanlarını ele almak için hangi politika, prosedür ve iç kontroller mevcut?
7. Politikalarımız, prosedürlerimiz ve kontrollerimiz iş ortakları, tedarikçiler, taşeronlar vb. üçüncü taraflar da dahil olmak üzere tüm küresel
operasyonlarımızı kapsıyor mu?
8. Yerel ve uluslararası mevzuatta risk profilimizi etkileyecek herhangi bir regülasyon değişikliği oldu mu? Olduysa, bu değişiklikler karşısında nasıl aksiyon
alıyoruz?
9. Risk profilimizdeki hangi değişiklikleri öngörebiliriz ve gerektiğinde bunları ele almaya hazır mıyız?
YAZILI STANDARTLAR
10. Etik İlkelerimiz diğer önemli yazılı standartlarla birlikte tüm ilgili taraflara dağıtılıyor mu? Dağıtım ve onay kayıtları var mı
11. Uyum politikalarına çalışanlar kolayca erişebiliyor mu? Etik İlkelerimiz web sitemizde yayınlanıyor mu?
12. Etik İlkelerimizi, bağlı politika ve prosedürlerimizi en son ne zaman gözden geçirdik ve/veya revize ettik?
13. Yazılı dokümanlardaki dil ve üslup tüm çalışan kitlemiz için uygun mu? Sık Sorulan Sorular gibi öğrenmeye ve anlamaya yardımcı olacak
bölümler içeriyorlar mı?
EĞİTİM & İLETİŞİM
14. Politika ve prosedürlerimize ilişkin yeterli iletişim ve eğitim planlaması yapıyor muyuz?
15. Hangi eğitimleri veriyoruz ve hangi kitleler bu eğitimlerden faydalanıyor? Çalışanların aldığı eğitimlerin ve gerçekleştirilen iletişim çalışmalarının kayıtları
var mı?
16. Yöneticilerimizi ve Yönetim Kurulumuzu da eğitiyor muyuz?
17. Eğitimlerin etkili olduğunu nasıl tespit ediyoruz?
18. Kurumun etik ve uyum konusundaki bağlılığını ve taahhüdünü sürekli olarak güçlendirmek için devam eden bir iletişim planımız var mı?
BİLDİRİMLER & AKSİYONLAR
19. Etkili ve erişilebilir bir etik ihlal bildirim mekanizması mevcut mu? Anonim bir bildirim kanalı var mı? Çalışanlar kullanıyor mu?
20. Yöneticilere şahsen yapılan bildirimleri nasıl ele alıyoruz? Yöneticilerimiz bu bildirimler ile ilgilenme konusunda eğitimli mi? Bu bildirimleri yönetme
konusunda rahat olduklarını doğruladık mı?
21. Çalışanları suistimal bildirimleri yapmaya teşvik etmek için ne yapıyoruz? Misillemeyi önleme taahhüdümüzü onlara nasıl iletiyoruz?
22. Suistimal vakalarını nasıl inceliyoruz ve bunlar karşısında ne gibi aksiyonlar alıyoruz? Aldığımız aksiyonlar gelecek suistimal vakaları için yeterince
caydırıcı mı? Soruşturma süreci ile ilgili bildirimde bulunan ve hakkında bildirimde bulunulan tarafları bilgilendiriyor muyuz?
23. Hangi mekanizma üzerinden olursa olsun tüm bildirimleri belgeliyor muyuz? Soruşturma ve sonucunda alınan aksiyonların kayıtlarını tutuyor muyuz?
24. Alınan aksiyonların ve uygulanan yaptırımların tutarlı olmasını nasıl sağlıyoruz?
25. İlgili suistimale neden olan koşulları ve davranışların sebeplerini (eksik veya yetersiz kontroller, performans baskısı, bahaneler vb.) anlıyor muyuz?
Sorunların kök nedenlerini nasıl ele alıyoruz?
KARŞILAŞTIRMA
26. Programın genel performansına göre, bu yılın sonuçlarını nasıl ölçüyoruz? Farklılıkların neyden kaynaklandığını düşünüyorsunuz?
27. Programımız rakiplerimizin uyum programlarına kıyasla ne durumda? Sektördeki en iyi uygulama örneklerine nasıl ayak uydurabiliriz?
KÜLTÜR
30. Kurum kültürümüz etik karar vermeyi destekliyor mu?
31. Etik kültürün gelişiminde programımızın etkinliğini ölçen anketler yapıyor muyuz?
32. Üst yönetimin tavrı, uyum kültürünü başarımızın ayrılmaz bir parçası olarak ele alan cinsten mi? Üst yönetim uyum programına bağlılık gösteriyor mu ve
bu konuda yeterince bilgili mi?
33. Uyum kültürünün iletişimi ve uygulanması noktasında orta düzey yöneticilerimizden nasıl yararlanıyoruz?
34. Etik kültürün gelişimi için teşvik çalışmaları yapıyor muyuz? Bu çalışmalar uzun vadeli bir uyum kültürünü destekliyor mu yoksa kısa vadeli kazanımlarla
mı sınırlı kalıyor?
HESAP VEREBİLİRLİK
35. Program düzenli olarak gözden geçiriliyor mu?
36. Programımızın geçerliliği bağımsız bir üçüncü taraf tarafından doğrulandı mı?
37. Yasal bir incelemeye girmemiz durumunda ayrıntılı program verileri (vaka kayıtları, onaylar vb.) ne kadar erişilebilir ve hazır durumda?
YÖNETİM KURULUNUN UYUM VE GÖZETİM SORUMLULUĞU
38. Uyum programı raporunu kim sunuyor? Uyum yöneticisi veya başka bir yönetici ise, bu kişinin program hakkında günlük operasyonel sorumluluğu var mı?
39. Bu kişi yönetim kuruluna ne sıklıkla rapor veriyor? Kritik sorunları gündeme getirmek için bu resmi raporun dışında yönetim kuruluna doğrudan erişimi var
mı?
40. Bu kişi etik/denetim komitesine mi yoksa genel olarak yönetim kuruluna mı raporluyor? Birincisi ise, etik/denetim komitesinin rolü nedir? Etik/denetim
komitesinde olmak hangi yetkinliklere sahip olmayı gerektiriyor? Yöneticiler komitede ne kadar yer alıyor?
41. Raporlama yapısını ve raporların içeriğini sırasıyla tüzük ve yönetim kurulu toplantı tutanaklarında belgeledik mi?
42. Şirketin uyum inisiyatifleri ve bir uyum kültürü oluşturulması için yönetim kurulunun desteği ne kadar görünür durumda? Yönetim kurulu, bir uyum kültürünün
teşvik edilmesine nasıl daha fazla destek olabilir?
43. Yönetim kurulu, şirketin etik ilkeleri ve ilgili diğer risk alanları (örneğin, çıkar çatışmaları) hakkında yeterince eğitimli mi?
ETİK VE UYUM KOMİTESİ GÖREV VE SORUMLULUKLARI
- Şirketin önemli yasal ve düzenleyici gerekliliklere ve iş etiği politikaları ile ilkelerine uyumuna ilişkin gözetim sorumluluğunu yerine getirir.
- Yönetim Kurulu ile uyum yöneticisi arasında açık bir iletişim yolu sağlar.
- Komitenin gözetimi, Denetim Komitesinin sorumluluk alanına giren uyum konularını içerir.
- Bu konular dışında, yasa ve düzenleyicilere uyum, çevre koruma, iş sağlığı ve güvenliği, veri gizliliği, istihdam, yolsuzluk ve rüşvetle mücadele, ürün ve hizmet kalitesi, çıkar çatışması, çalışan ve 3.taraf bildirimleri, 3.taraf riskleri, uyum riskleri, eğitim ve iletişim planları, iç kontrol ve iç tetkik sonuçları ele alınır.
- İş etiği rehberi ile etik ilkelere uygunluk gözden geçirilir.
- Şirketin etik ve uyum işlevine uygun özerklik ve kaynakların sağlandığından emin olur.
- Şirketin etik ve uyum fonksiyonunun, şirketin risk profili ışığında misyon ve hedeflerini yerine getirmek için yeterli finansmana ve kaynaklara sahip olduğundan emin olmak için kadro, harcama ve bütçeyi uyum yöneticisi ile gözden geçirir.
- Raporlama mekanizmaları ve soruşturma işlevleriyle ilgili güncellemeleri
denetler ve gözden geçirir. - Soruşturma ve bildirim sürecinde bağımsızlık, tarafsızlık, profesyonellik ve
gizlilik ihtiyaçlarını güçlendirme çalışması yapar. - Periyodik etkinlik ölçümleri kapsamında yönetim kuruluna revizyon tavsiyelerini sunar.
- Düzenli toplanır. (Yılda 4 toplantıdan az olmamak üzere)
- Komite faaliyetleri hakkında kurula düzenli raporlama yapar.
- Çalışmaların yeterliliğini en az yılda bir kez gözden geçirir ve yeniden değerlendirir.
- Etik ve uyumla ilgili konuların ele alınması ve soruşturulması sorumluluğuna sahiptir.
- Etkili bir uyum programı oluşturulması ve uygulanmasını koordine eder.
- Uyum programının yasaların, yönetmeliklerin, şirket politika ve ilkelerine uygun olmasını sağlar.
- Uyum programının yönetimini ve gözetimini sağlar.
- Uyum programını düzenli gözden geçirir.
- Olası uyum riski alanları hakkında yönetime tavsiyede bulunmak da dahil uygun revizyon ve değişiklikleri önerir.
- 3. taraflar için uyum farkındalık eğitimleri tasarlar.
- İç kontrollerin şirket içerisinde ve 3.taraflarda uyum risklerini önleme ve tespit etme yeteneği olduğundan emin olur.
- İnsan kaynaklarına ilişkin politika ve prosedürler ile performans değerlendirme ve teşvik programlarında uygunsuz davranışların engellenmesi ve uyum programına uygunluğun sağlanması için öneri ve yönlendirmelerde bulunur.
- Uyum risk alanlarını belirlemekten ve değerlendirmekten sorumludur.
- Uyum programının temelini oluşturan etik ilke ve politikaları belirleyen dokümanın hazırlanması ve dağıtılmasından sorumludur.
- Eğitim programları geliştirmek ve uygulamaktan sorumludur.
- Gizlilik esasına dayalı bir bildirim mekanizması da dahil olmak üzere misillemeye izin verilmeyen bir raporlama süreci uygular.
- Uyum programı kapsamındaki soruşturmaları yürütür, yetkilendirir ve denetler.
- Düzeltici eylem planları geliştirir, soruşturma ve sorunların çözümünü takip
eder, denetler. - Uyum programının sistem operasyonları ve programlarına etkin şekilde dahil edilmesi konusunu departmanlar özelinde takip eder.
- Risk yönetim ekibi ile birlikte, komite için 3 ayda bir özet raporlar hazırlar.
- Risk yönetim ekibi ile birlikte, departmanların sorumluluklarını yasal ve etik bir şekilde yerine getirmesi konusunda etik liderlik eder.
- Şirket içerisinde etik komitesini temsil eder.
- Uyum programına ilişkin yıllık gözden geçirmeleri yapar.
- Kuruluşun günlük uyum faaliyetlerini denetler, koordine eder ve izler.
- Dahili paydaşlarla iş birliği içerisinde bir uyum el kitabı oluşturur.
- Şirketin, işin yürütülmesi için geçerli tüm mevzuata, politikalara ve etik gerekliliklere uyum taahhüdünü sağlar.
- Herhangi bir suistimalin veya uygunsuzluğun izlenmesi ve tespit edilmesi amacıyla iç ve dış denetim prosedürlerini geliştirir, koordine eder, denetler.
- Herhangi bir uygunsuzluk veya sustimal tespiti halinde çözüm önerileri sunar, uygunsuzluğun çözülmesi ve ilgili risklerin azaltılmasını takip eder.
- İnsan kaynakları ile birlikte uygunsuzluk halinde disiplin süreçlerini tespit
eder. - Etik komitesi tarafından verilen görev ve sorumlulukları yerine getirir.
UYUM PROGRAMLARININ ARDINDAKİ HUKUKİ DİNAMİKLER
ETİK VE UYUM KOMİTESİ İLE UYUM YÖNETİCİSİNİN SORUMLULUKLARI
TEMEL AMAÇLAR:
- ŞİRKET KAYNAKLARININ ETKİN KULLANIMI
- PAY SAHİPLERİ ADINA YÖNETİLEN RİSKLER
- PAY SAHİPLERİNİN HAKLARININ KORUNMASI
- YOLSUZLUKLA MÜCADELE
- ADİL REKABET ŞARTLARININ KORUNMASI
ŞİRKETLER İÇİN CEZA MUHAKEMELERİ YASASI REHBERİ
1. Şirketin uyum programı iyi tasarlanmış mıdır?
2. Uyum programı samimi ve iyi niyetle uygulanmakta mıdır? Başka bir deyişle, uyum programına yeterli kaynak
ayrılmış mıdır ve etkin çalışması için yetkilendirme yapılmış mıdır?
3. Şirketin uyum programı fiiliyatta çalışmakta mıdır?
1. ŞİRKETİN UYUM PROGRAMI İYİ TASARLANMIŞ MIDIR?
“Herhangi bir uyum programını değerlendirirken dikkate alınacak kritik unsurlar, programın, çalışanların yanlış davranışlarını önlemede ve tespit etmede azami etkinlik için yeterli seviyede tasarlanıp tasarlanmadığı ve kurumsal yönetimin programı uyguladığı mı yoksa çalışanları herhangi bir suistimalde bulunmaları için üstü kapalı olarak cesaretlendirdiği ya da bu yönde baskı mı uyguladığıdır.” JM 9-28.800
Buna bağlı olarak, savcılar, “uyum programının kapsamlılığını” değerlendirmelidirler. JM 9-28.800, bir şirkette suistimalin hiçbir şekilde kabul edilmediğinin ifade edilmesinin yalnızca tek bir yöntemi olmadığını, – uygun sorumluluk dağılımından eğitim programlarına, teşvik ve disiplin sistemlerine kadar – uyum programının şirketin iş ve işlemleri ile iş gücüne iyi bir şekilde entegre olmasını sağlayan politika ve prosedürler olduğunu da hüküm altına almaktadır.
A. RİSK DEĞERLENDİRMESİ
Bir savcının, bir şirketin iyi tasarlanmış bir uyum programına sahip olup olmadığını değerlendirirken başlangıç noktası, o şirketin iş faaliyetlerinin ticari bir bakış açısıyla şirket tarafından nasıl tanımlandığını, nasıl değerlendirildiğini, şirketin risk profilini nasıl belirlediğini ve uyum programının, o risklere yönelik olarak tahsis ettiği uygun tetkik ve kaynakların seviyesini anlamaktır. Özetle, savcıların, ilgili şirketin var olan uyum programını neden o şekilde kurduğunu, şirketin uyum programının zaman içerisinde neden ve nasıl geliştiğini anlamaları gerekmektedir.
- Şirket risk yönetim sürecini nasıl işletmiştir?
- Risk yönetimine ayrılan kaynaklar ilgili riskle orantılı mıdır? (şüpheli ödemeler, şişirilmiş satış sonuçları vb.)
- Risk değerlendirmeleri düzenli olarak gözden geçirilmekte midir?
- Çıkartılan dersler programın gelişiminde kullanılmakta mıdır?
B. POLİTİKA VE PROSEDÜRLER
İyi tasarlanmış her uyum programı, etik normlara hem içerik hem de etki sağlayan ve şirket tarafından risk değerlendirme sürecinin bir parçası olarak belirlenen
riskleri ele alan ve bu riskleri azaltmayı hedefleyen politika ve prosedürleri içerir. Savcılar, öncelikli olarak, diğer hususların yanı sıra, şirketin Federal kanunlarla
tam uyum taahhüdünün düzenlendiği, şirketin bütün çalışanları tarafından erişilebilen ve bütün çalışanlara uygulanabilen bir davranış kuralları düzenleyip
düzenlemediğini değerlendirmelidirler.
- Tasarlama, uygulama, güncelleme, stres testi süreçleri nedir ve değişiklik göstermiş midir?
- Politikaların kapsamı ile iş süreçleri ve risklerin şiddeti uyumlu mu?
- İç tetkikten sorumlu denetçiler gerekli bilgi seviyesinde mi?
- İlgili politikalar tüm çalışanlar ve üçüncü taraflarla paylaşılıyor mu (sözleşmeler, doküman yönetimi, eğitim ve iletişim)
C. EĞİTİM VE İLETİŞİM
İyi tasarlanmış bir uyum programının bir diğer ayırt edici özelliği ise, uygun şekilde tasarlanmış eğitim ve iletişimdir. Savcılar; tüm yöneticileri, yetkilileri, ilgili
çalışanları ve gerektiğinde aracıları ile iş ortakları için verdiği düzenli eğitim ve sertifikalandırma programları da dahil olmak üzere, şirketin, politika ve
prosedürlerinin şirket organizasyonu ile entegre olmasını sağlamak için attığı adımları değerlendirmelidir.
- Eğitimler risk bazlı olarak tasarlanmış mıdır?
- Eğitimlerin şekli, içeriği ve verimliliği değerlendirilmekte midir?
- Uyum dışı davranışın önlenmesine yönelik bir iletişim planı var mıdır?
- Çalışanlar için bir danışma mekanizması kurulmuş mudur? Rehberlik sağlanmakta mıdır?
D. GİZLİ BİLDİRİM VE DANIŞMA HATTI / SORUŞTURMA PROSEDÜRÜ
İyi tasarlanmış bir uyum programının bir başka özelliği de çalışanların, şirketin davranış kodunun, şirket politika ve prosedürlerinin ihlal edildiğine dair iddiaları ya da şüpheli veya mevcut bir suistimali, isimsiz olarak ya da gizlilik esasına dayanarak bildirebilecekleri etkili ve güvenli bir mekanizmanın bulunmasıdır. Savcılar, şirketin şikayetleri ele alma süreci kapsamında, bildirimde bulunan çalışanların misilleme korkusu yaşamadıkları bir iş ortamı
oluşturulup oluşturulmadığını, şikayetlerin iletilmesi için uygun usullerin belirlenip belirlenmediğini, şikayette bulunan kişilerin korunması için gerekli önleyici ve etkili tedbirlerin alınıp alınmadığını değerlendirmelidir.
- Şirket hangi şikayetlerin ya da ikaz işaretlerinin daha ileri düzeyde bir soruşturma gerektirdiğine ne şekilde karar vermektedir?
- Şirket, soruşturmanın zamanında yanıtlanmasını sağlamak adına bir zamanlama ölçütü uygulamakta mıdır?
- Bildirim ve soruşturma mekanizmaları gereği gibi desteklenmekte midir?
E. ÜÇÜNCÜ TARAF YÖNETİMİ
İyi tasarlanmış bir uyum programı, üçüncü taraf ilişkilerine risk bazlı özenli inceleme yapmalıdır. Her ne kadar uygun özenli inceleme ihtiyacı ve kapsamı, şirketin, ilgili işlemin ve üçüncü tarafın büyüklüğü ve niteliğine göre değişebilse de savcılar, şirketin, üçüncü taraflar hakkındaki bilgileri, özellikle, uluslararası ticari işlerde yabancı kamu görevlisine rüşvet verilmesi gibi çeşitli suistimallerin gizlenmesi amacıyla yaygın bir şekilde kullanılan temsilciler,
danışmanlar ve distribütörler gibi tüm üçüncü tarafların niteliklerini, ne kapsamda anladıklarını değerlendirmelidir.
- Şirketin üçüncü taraf yönetim süreci, şirket tarafından işin niteliği ve kapsamına bağlı olarak tespit edilen riskleri ne şekilde karşılamaktadır?
- Şirket, herhangi bir işleme veya iş sürecine üçüncü tarafların dahil edilmesinde, uygun ve yerinde bir iş gerekçesi bulunduğundan ne şekilde
emin olmaktadır?
2. ŞİRKETİN UYUM PROGRAMI UYGULANMAKTA MIDIR?
İyi tasarlanmış bir uyum programı bile, etkin bir şekilde uygulanmazsa, yeterli kaynak sağlanmazsa veya başka bir şekilde etkisizse fiiliyatta başarısız olabilmektedir. Savcılar, bir uyum programının “kağıt üstünde kalan bir program” mı yoksa “uygulanan, gözden geçirilen, gerektiği takdirde düzeltilen bir program” mı olduğunu araştırmaları konusunda talimat almışlardır. JM 9 – 28.800. Ayrıca savcıların, “bir şirketin denetim yapacak, belgeleyecek, analiz edecek ve şirketin uyum çalışmalarını yararlı hale getirecek yeterli ve kalifiye personel temin edip etmediğini” tespit etmeleri gerekmektedir.
A. ÜST VE ORTA DÜZEY YÖNETİCİLERİN TAAHHÜTLERİ
Şirketin uyum mekanizmaları, politika ve prosedürlerinin de ötesinde, şirketin tüm düzeylerinde etik ve mevzuata uyum kültürü oluşturulması ve teşvik
edilmesi önem taşımaktadır. Bir uyum programının etkililiği, şirket liderlerinin uyum kültürünü şirketin orta ve üst düzeyinde uygulamak için kesin taahhüdünü gerektirmektedir.
- Üst düzey yöneticiler ve liderler, soruşturmaya konu olan suistimal de dahil olmak üzere, sözleri ve davranışları ile, çalışanları uyuma teşvik mi etmiştir yoksa uyumdan uzaklaştırmış mıdır? Şirketin uyum ve düzeltme çabaları karşısında bu kişiler liderliklerini göstermek adına ne gibi somut girişimlerde bulunmuştur?
- Üst ve orta düzey yöneticiler (örneğin, iş ve operasyon müdürleri, finans, tedarik, hukuk, insan kaynakları birimleri) düzeltme çalışmaları da dahil olmak üzere, uyuma ya da uyum görevlilerine olan taahhüt ve desteklerini göstermek için ne gibi girişimlerde bulunmuşlardır?
- Şirket yönetim kurulunda uyum uzmanlığı/tecrübesi bulunmakta mıdır? Şirket yönetim kurulu ve/veya bağımsız denetçiler, şirketin uyum ve kontrol birimleri ile toplantılar yapmışlar mıdır? Şirket yönetim kurulu ve üst düzey yönetimi, suiistimalin meydana geldiği iş kapsamında yürütülmekte olan gözetim faaliyetine ilişkin olarak ne gibi bilgileri sorgulamış ve incelemiştir?
B. ÖZERKLİK, BAĞIMSIZLIK VE BİLGİ, YETKİNLİK VE KAYNAKLAR
Etkili uygulama aynı zamanda bir uyum programının günlük gözetiminden sorumlu olanların yeterli yetki ve statüyle hareket etmesini de gerektirir. Savcılar ilk olarak uyum programının nasıl yapılandırıldığını değerlendirmelidir. Savcılar, buna ek olarak, uyum departmanı dahilindeki personel ve kaynakların yeterliliğini ele alırken özellikle uyumdan sorumlu olanların (1) kuruluş içinde yeterli kıdeme, (2) gerekli denetimi, dokümantasyonu ve analizi etkin bir şekilde yürütmek için yeterli kaynak ve personele, (3) yönetim kuruluna veya kurulun denetim komitesine doğrudan erişim gibi icrai birimlerden özerkliğe sahip olup olmadığını da göz önünde bulundurmalıdır.
- Uyum departmanı şirket içinde nerede yer almaktadır (örneğin, hukuk departmanı içinde, bir iş kolu altında ya da CEO ve/veya yönetim kuruluna raporlama yapan bağımsız bir birim olarak)? Uyum departmanı kime rapor vermektedir?
- Uyum departmanı, belirlenmiş bir uyum yöneticisi tarafından mı yoksa şirket içindeki başka bir yönetici tarafından mı yönetilmektedir ve bu yöneticinin şirket içinde başka rolleri var mıdır?
- Uyum departmanı; statü ücret seviyeleri, rütbe/unvan, kime raporladığı, kaynaklar ve kilit karar vericilere erişim açısından şirketteki diğer stratejik
birimlerle nasıl karşılaştırılmaktadır? Uyum ve ilgili kontrol departmanı çalışanları için işten ayrılma oranı nedir? - Uyum departmanının uyum endişelerini bildirdiği bazı durumlarda şirket ne şekilde yanıt vermiştir?
- Uyum ve kontrol personeli, rolleri ve sorumlulukları için uygun deneyim ve niteliklere sahip midir? Bu rollerdeki deneyim ve nitelikler zaman içinde değişmiş midir?
- Şirket, uyum ve kontrol personelinin eğitimlerine ve gelişimlerine nasıl yatırım yapmaktadır? Uyum departmanının performansını kim gözden geçirir ve gözden geçirme süreci nedir?
- Uyum personelinin uyum çabalarının sonuçlarını etkin bir şekilde denetlemesi, belgelemesi, analiz etmesi ve bunlara göre hareket etmesi için yeterli personel ve altyapı var mıdır? Şirket bunun için yeterli maddi kaynak ayırmış mıdır?
- Uyum ve kontrol personelinin; politikaların, kontrollerin ve işlemlerin zamanında ve etkili bir şekilde izlenmesine ve/veya test edilmesine olanak sağlamak için ilgili veri kaynaklarına doğrudan ya da dolaylı erişimi var mıdır? İlgili veri kaynaklarına erişimi sınırlayan herhangi bir engel var mıdır, varsa şirket bu engelleri ortadan kaldırmak için ne yapmaktadır?
- Uyum birimleri, yönetim kurulu ve/veya uyum/denetim komitesindeki herhangi birine doğrudan raporlama yapmakta mıdır?
C. TEŞVİK VE CEZA UYGULAMALARI
Bir uyum programının etkili bir şekilde uygulanmasının diğer bir özelliği, uyum için teşviklerin ve uyumsuzluğu engellemek için caydırıcı unsurların oluşturulmasıdır. Savcılar, şirketin açıkça anlaşılabilecek disiplin esaslarına sahip olup olmadığını, bunların kurum genelinde tutarlı bir şekilde uygulanıp uygulanmadığını ve esasların ihlallerle orantılı olup olmadığını değerlendirmelidir. Savcılar aynı zamanda şirketin, etik olmayan davranışta bulunan çalışanın
pozisyonu veya unvanı ne olursa olsun, çalışanlarına bu gibi davranışlara müsamaha göstermeyeceğini ne ölçüde ilettiğini de değerlendirmelidir.
- Söz konusu suistimal türü de dahil olmak üzere disiplin kararlarının alınmasına kimler dahil olmaktadır? Her suistimal vakası için aynı süreç izlenmekte midir, eğer izlenmiyorsa sebebi nedir?
- Şirket, teşviklerinin ve ödüllerinin uyum üzerindeki etkilerini değerlendirmiş midir? Şirket, uyumu ve etik davranışı nasıl teşvik etmektedir?
3. ŞİRKETİN UYUM PROGRAMI FİİLİYATTA ÇALIŞMAKTA MIDIR?
Ticari Kuruluşlar Hakkında Federal Kovuşturma İlkeleri, savcıların “şirketin suçun işlendiği sırada olduğu kadar iddianame zamanında da uyum programının yeterliliğini ve etkinliğini” değerlendirmesini gerektirmektedir. JM 9-28.300. İlk soruşturmanın geriye dönük doğası nedeniyle, savcıların suistimali takiben bir uyum programını değerlendirirken yanıtlaması gereken en zor sorulardan biri, programın suç anında, özellikle de suistimalin hemen tespit edilmediği durumlarda etkili bir şekilde çalışıp çalışmadığıdır.
A. SÜREKLİ GELİŞİM DÜZENLİ TEST VE İNCELEME
Etkili bir uyum programının ayırt edici özelliklerinden biri, gelişme ve evirilme kapasitesidir. Pratikte kontrollerin fiilen mutlak uygulanması, risk alanlarını ve potansiyel düzeltmeleri beraberinde getirecektir. Bir şirketin işi -faaliyet gösterdiği ortamlar, müşterilerinin doğası, eylemlerini yöneten yasalar ve geçerli endüstri standartları gibi- zamanla değişmektedir. Buna göre savcılar, şirketin uyum programını gözden geçirmek için anlamlı çabalar gösterip göstermediğini değerlendirmeli ve programın güncelliğini kontrol etmelidir.
- İç denetim biriminin nerede ve ne sıklıkta bir denetim gerçekleştireceğini belirleme süreci nedir ve bu sürecin oluşturulmasındaki gerekçe nedir?
- Şirket, suistimalle ilgili alandaki uyum programını gözden geçirmiş ve etkinliğini denetlemiş midir? Bir diğer deyişle, şirket uyum verilerinin toplanması ve analizini, hangi kontrol testlerini yaparak, çalışanlar ve üçüncü taraflara uyguladığı hangi anketlerden gelen veriyi değerlendirerek yapmıştır? Sonuçlar nasıl raporlanmaktadır ve girişimler nasıl takip edilmektedir?
- Şirket, risk değerlendirmelerini ne sıklıkla güncellemiş ve uyum politikalarını, prosedürlerini ve uygulamalarını ne sıklıkla gözden geçirmiştir? Şirket, belirli risk alanlarının politikalarında, kontrollerinde veya eğitimlerinde yeterince ele alınıp alınmadığını belirlemek için bir analiz yapmış mıdır?
- Şirket uyum kültürünü ne sıklıkla ve nasıl ölçmektedir?
B. SUİSTİMALİN ARAŞTIRILMASI
Etkin şekilde çalışan bir uyum programının bir başka özelliği ise şirkette, çalışanları veya aracıları tarafından gerçekleştirildiği iddia edilen herhangi bir suistimalin veya şüphesinin, zamanında ve kapsamlı bir şekilde araştırılması için iyi işleyen ve uygun şekilde finanse edilen bir mekanizmanın varlığıdır. Etkili bir soruşturma yapısı, alınan herhangi bir disiplin veya düzeltme önlemi dahil olmak üzere, şirketin yanıtını belgelemek için yerleşik bir araca sahip olmuş olacaktır.
- Şirket, soruşturmaların kapsamının gereği gibi belirlenmesini ve bağımsız, nesnel, uygun şekilde yürütülmesini ve belgelenmesini nasıl sağlamıştır?
- Şirketin soruşturmaları, gözetimden sorumlu yöneticiler ve üst düzey yöneticiler de dahil olmak üzere kök nedenleri, sistem güvenlik açıklarını ve hesap verebilirlik hatalarını belirlemek için kullanılmış mıdır?
C. KÖK SEBEBİN ANALİZİ VE SÜREÇLERİN İYİLEŞTİRİLMESİ
Son olarak… fiiliyatta etkili bir şekilde çalışan bir uyum programının ayırt edici özelliği, bir şirketin suistimale ilişkin bir kök neden analizi gerçekleştirebilmesi ve tespit edilen kök sebeplerin ortadan hızla kaldırılabilmesi için uygulamalar geliştirebilmesidir.
- Şirketin söz konusu suistimalle ilgili kök neden analizi nedir? Sisteme bağlı herhangi bir sorun tespit edilmiş midir? Analizin yapılmasına şirketten kimler katılmıştır?
- Hangi kontroller başarısız olmuştur? Politikalar veya prosedürler suiistimali yasaklamış olsaydı, bunlar etkin bir şekilde uygulanır mıydı ve bir suiistimal durumunda bu politikalar ile prosedürleri hazırlayan birimler sorumlu tutulur muydu?
- Söz konusu suistimal nasıl finanse edilmiştir(Ör. Satın alma siparişleri, çalışana yapılan geri ödemeler, indirimler, nakit avans)? Bu kaynaklara uygunsuz erişimi engelleyen veya tespit eden süreçler nelerdir?
- Suistimale tedarikçiler dahil olduysa; tedarikçi seçim süreci nasıldır ve tedarikçi bu süreçten geçmiş midir?
- İlgili kontrol hatalarını veya iddiaları, şikayetleri ya da soruşturmaları tanımlayan denetim raporları gibi söz konusu suiistimali tespit etmek için önceden ortaya çıkan fırsatlar var mıydı? Şirketin bu tür fırsatların neden kaçırıldığına dair analizi nedir?
- Şirket, aynı veya benzer sorunların gelecekte meydana gelme riskini azaltmak için hangi özel değişiklikleri, güncellemeleri yapmıştır?
- Şirket suistimal karşısında hangi disiplin önlemlerini almıştır ve bu önlemler zamanında alınmış mıdır? Yöneticiler, kendi gözetimleri altında meydana gelen suistimalden sorumlu tutulmuş mudur? Şirket, gözetimdeki başarısızlıklar için disiplin cezası düşünmüş müdür? Söz konusu davranış türlerine ilişkin olarak çalışan disiplini konusunda şirketin sicili (Ör. Disiplin cezalarının sayısı ve türleri) nasıldır?