Türkiye'de bankalar, sigorta şirketleri, aracı kurumlar, leasing/factoring şirketleri ve yetkili müesseseler 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve MASAK Tebliğleri kapsamında ciddi yükümlülükler altındadır. Bu yükümlülüklerin başında müşteri kimlik tespiti, müşteri risk profili tutma, şüpheli işlem bildirimi ve 8 yıl belge saklama gelir.

Bu rehber Microsoft 365 ile MASAK uyum yapılandırmasını, SharePoint mimarisini, Power Automate akışlarını ve denetim hazırlık sürecini içerir.

1. MASAK Yükümlülükleri Özeti

1.1 Müşteri Kimlik Tespiti

Yükümlülerin yapması gereken:

  • Sürekli iş ilişkisinde her müşteri için kimlik tespiti
  • Tek seferlik 5.000 TL üzeri işlemde kimlik tespiti
  • Bağlantılı işlemlerde toplam 20.000 TL aşımında tespiti
  • Tüzel kişide gerçek faydalanıcı tespiti (UBO)
  • Kimlik belge kopyası saklama (8 yıl)

1.2 Müşteri Risk Profili

Her müşteri için risk seviyesi belirlenmeli:

  • Düşük risk — kamuya açık şirketler, devlet kurumları, denetlenmiş finansal kurumlar
  • Orta risk — standart kurumsal ve bireysel müşteriler
  • Yüksek risk — politik nüfuz sahibi kişiler (PEP), yüksek riskli ülkelerden müşteriler, nakit yoğun sektörler, FATF gri listesi ülkelerden müşteriler

Yüksek riskli müşteri için geliştirilmiş müşteri tedbirleri (Enhanced Due Diligence) uygulanmalı.

1.3 Şüpheli İşlem Bildirimi (SİB)

Şüpheli işlemin tespit edilmesinden itibaren 10 iş günü içinde MASAK'a bildirim gönderilmeli. Bildirim formu (Form 1) ile elektronik olarak. Şüpheli işlem örnekleri:

  • Müşterinin profiline uymayan büyük tutarlı işlem
  • Bağlantısız müşterilerden gelen seri ödemeler
  • Üçüncü kişilere yöneltilmiş ödeme talepleri
  • Yüksek riskli ülkelere fon transferi
  • Nakit yoğun, açıklanması güç işlemler

1.4 Belge Saklama

5549 sayılı Kanun gereği 8 yıl boyunca saklanması zorunlu belgeler:

  • Kimlik tespit belgeleri (TC kimlik kartı, pasaport, vergi levhası)
  • Müşteri risk değerlendirme raporları
  • İşlem kayıtları
  • Şüpheli işlem bildirimleri ve belgeleri
  • İletişim kayıtları (önemli müşteri yazışmaları)

2. Microsoft 365 ile MASAK Mimarisi

2.1 SharePoint Müşteri Klasör Yapısı

MASAK Müşteri Merkezi (Site)
├── Aktif Müşteriler
│   ├── 0001 - Müşteri ABC
│   │   ├── Kimlik Tespit
│   │   │   ├── Kimlik Belgeleri (TC, pasaport, vergi)
│   │   │   ├── UBO (gerçek faydalanıcı)
│   │   │   └── Tespit Tarihi + Onaylayan
│   │   ├── Risk Profili
│   │   │   ├── Risk Değerlendirme Raporu
│   │   │   └── Yıllık Güncelleme
│   │   ├── İşlem Kayıtları
│   │   ├── İletişim
│   │   └── SİB (varsa)
│   └── ...
├── Arşiv (8 yıl tamamlanmış)
└── SİB Merkezi

2.2 Müşteri Risk Profili — Power Apps

Yeni müşteri kaydında Power Apps formu:

  1. Müşteri tipi (gerçek/tüzel/dernek/vakıf)
  2. Sektör (yüksek riskli sektör listesinden seçim)
  3. Coğrafya (FATF gri listesi kontrolü otomatik)
  4. İşlem hacmi tahmini
  5. PEP statüsü (politik nüfuz)
  6. Otomatik risk skoru hesaplama
  7. Düşük / Orta / Yüksek risk ataması

Risk skoru SharePoint'te müşteri klasörüne işlenir, yıllık güncelleme Power Automate ile hatırlatılır.

2.3 Şüpheli İşlem Akışı (Power Automate)

Şüpheli işlem tespit edildiğinde otomatik akış:

  1. İşlem yapan personel "şüpheli işlem işaretle" butonuna basar
  2. Power Automate akışı tetiklenir → MASAK Sorumlusu'na Teams bildirimi
  3. Sorumlu işlemi inceler — belge toplar, müşteri görüşmesi yapar
  4. SİB Form 1 doldurulur (SharePoint'te şablon)
  5. 10 iş günü sayacı başlar — gün sayar, son güne yaklaşırken eskalasyon
  6. MASAK portalına bildirim gönderilir
  7. Bildirim referansı SharePoint müşteri klasörüne arşivlenir
  8. Müşteri "izlenen" listesine alınır (gizli, sadece MASAK Sorumlusu görür)

3. Retention Policy — 8 Yıl Otomatik Saklama

Microsoft Purview Compliance Manager üzerinden:

  • SharePoint MASAK Müşteri Merkezi sitesi için 8 yıl retention policy aktive edilir
  • Belge silme/değiştirme engellenir (immutable storage)
  • 8 yıl sonunda otomatik arşivleme veya silme
  • Audit log her erişim/değişiklik kaydeder

Müşteri 1 Ocak 2026'da kayıt olduysa, kimlik tespit belgeleri 1 Ocak 2034'e kadar saklanır.

4. MASAK Denetim Hazırlığı

4.1 Hazır Belgeler

MASAK denetçisi geldiğinde tek panelden sunulabilen belgeler:

  • Müşteri kimlik tespit belgeleri
  • Risk değerlendirme raporları
  • SİB kayıtları (varsa)
  • Müşteri risk profili güncellemeleri
  • İç denetim raporları
  • Çalışan eğitim kayıtları

SharePoint'te tek panelden tüm bu belgelere erişim. Compliance Manager üzerinden MASAK kontrol noktaları izlenir.

4.2 Denetçi Hesabı

MASAK denetçisi için kısa süreli "Denetim Hesabı":

  • 5 gün boyunca "Görüntüleme" yetkisi
  • Sadece SharePoint MASAK Merkezi sitesine erişim
  • Tüm erişim audit log'da kaydedilir
  • 5 gün sonunda hesap otomatik kapanır

5. PEP ve FATF Listesi Kontrolü

Otomatik kontrol akışları:

  • Yeni müşteri kayıt sırasında PEP listesi kontrolü (Refinitiv, Lexis, Dow Jones API entegrasyonu — opsiyonel)
  • FATF gri/kara liste ülkeleri otomatik tespit (Power Automate ülke kontrolü)
  • Eşleşme bulunursa otomatik yüksek risk ataması
  • Manuel inceleme için MASAK Sorumlusu'na bildirim

6. Çalışan Eğitimi

5549 sayılı Kanun gereği yükümlüler çalışanlarına yıllık MASAK eğitimi vermelidir. Microsoft 365 ile:

  • Stream'e MASAK eğitim videoları yüklenir
  • Her çalışan eğitim videosunu izler
  • Sonunda Forms quiz (10-15 soru)
  • Başarılı tamamlananlara otomatik sertifika SharePoint'te oluşur
  • Compliance Manager'da çalışan bazlı eğitim kaydı
  • MASAK denetiminde "tüm çalışanlar yıllık eğitim aldı" kanıtı

7. Sık Yapılan Hatalar

Hata 1: Kimlik Belgeleri Paylaşılan Sürücüde

Kimlik belgeleri paylaşılan ağ sürücüsünde tutuluyorsa kim ne zaman erişti loglu değildir, KVKK riski yüksektir. Çözüm: SharePoint'te yapılandırılmış mimaride + Information Protection etiketleri.

Hata 2: SİB Süresinin Kaçırılması

10 iş günü süresi içinde bildirim yapılmazsa idari para cezası. Çözüm: Power Automate sayaç + eskalasyon akışı.

Hata 3: Müşteri Risk Profili Güncellemesinin Atlanması

Risk profili yıllık güncellenmemişse denetimde sorun çıkar. Çözüm: Power Automate her müşteri için yıllık otomatik hatırlatma.

Hata 4: 8 Yıl Saklama Süresinin Yanlış Hesaplanması

Saklama süresi işlem tarihinden itibaren değil, müşteri ilişkisinin bitmesinden itibaren 8 yıldır. Çözüm: Compliance Manager retention policy ile doğru hesaplama.

8. Müvekkil Bilgi Sistemleri Yönetmeliği'ne Göre Avukatlık Bürosu Farkı

Avukatlık büroları MASAK kapsamı dışında değil — özellikle gayrimenkul alım satımı, şirket kurulumu, tröst yapılandırması gibi işlerde MASAK yükümlüsü kabul edilirler. SMMM ve YMM bürolar da kapsam dahilindedir. Detaylı bilgi: Hukuk Bürosu için Microsoft 365.

Sonuç

MASAK uyumu Türkiye'deki tüm finansal kurumlar ve belirli profesyonel hizmetler için kritik bir yükümlülüktür. Microsoft 365 (özellikle SharePoint + Power Automate + Compliance Manager kombinasyonu) ile müşteri kimlik tespiti, risk profili, SİB akışı, 8 yıl retention ve denetim hazırlığı eksiksiz şekilde yapılandırılabilir.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak bankalar, sigorta şirketleri, aracı kurumlar, SMMM/YMM bürolar ve diğer MASAK yükümlülerine özel SharePoint mimarisi, Power Automate akışları, Compliance Manager kurulumu ve denetim hazırlığı hizmeti sunmaktadır. Finans Sektörü için Microsoft 365 sayfamızı inceleyin veya ücretsiz MASAK uyum değerlendirmesi için iletişime geçin.

İlgili yazılar: BDDK Bulut Hizmetleri Tebliği Rehberi · SMMM Bürosu için Microsoft 365 Rehberi