Türkiye'de bankalar, sigorta şirketleri, aracı kurumlar, leasing/factoring şirketleri ve yetkili müesseseler 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve MASAK Tebliğleri kapsamında ciddi yükümlülükler altındadır. Bu yükümlülüklerin başında müşteri kimlik tespiti, müşteri risk profili tutma, şüpheli işlem bildirimi ve 8 yıl belge saklama gelir.
Bu rehber Microsoft 365 ile MASAK uyum yapılandırmasını, SharePoint mimarisini, Power Automate akışlarını ve denetim hazırlık sürecini içerir.
1. MASAK Yükümlülükleri Özeti
1.1 Müşteri Kimlik Tespiti
Yükümlülerin yapması gereken:
- Sürekli iş ilişkisinde her müşteri için kimlik tespiti
- Tek seferlik 5.000 TL üzeri işlemde kimlik tespiti
- Bağlantılı işlemlerde toplam 20.000 TL aşımında tespiti
- Tüzel kişide gerçek faydalanıcı tespiti (UBO)
- Kimlik belge kopyası saklama (8 yıl)
1.2 Müşteri Risk Profili
Her müşteri için risk seviyesi belirlenmeli:
- Düşük risk — kamuya açık şirketler, devlet kurumları, denetlenmiş finansal kurumlar
- Orta risk — standart kurumsal ve bireysel müşteriler
- Yüksek risk — politik nüfuz sahibi kişiler (PEP), yüksek riskli ülkelerden müşteriler, nakit yoğun sektörler, FATF gri listesi ülkelerden müşteriler
Yüksek riskli müşteri için geliştirilmiş müşteri tedbirleri (Enhanced Due Diligence) uygulanmalı.
1.3 Şüpheli İşlem Bildirimi (SİB)
Şüpheli işlemin tespit edilmesinden itibaren 10 iş günü içinde MASAK'a bildirim gönderilmeli. Bildirim formu (Form 1) ile elektronik olarak. Şüpheli işlem örnekleri:
- Müşterinin profiline uymayan büyük tutarlı işlem
- Bağlantısız müşterilerden gelen seri ödemeler
- Üçüncü kişilere yöneltilmiş ödeme talepleri
- Yüksek riskli ülkelere fon transferi
- Nakit yoğun, açıklanması güç işlemler
1.4 Belge Saklama
5549 sayılı Kanun gereği 8 yıl boyunca saklanması zorunlu belgeler:
- Kimlik tespit belgeleri (TC kimlik kartı, pasaport, vergi levhası)
- Müşteri risk değerlendirme raporları
- İşlem kayıtları
- Şüpheli işlem bildirimleri ve belgeleri
- İletişim kayıtları (önemli müşteri yazışmaları)
2. Microsoft 365 ile MASAK Mimarisi
2.1 SharePoint Müşteri Klasör Yapısı
MASAK Müşteri Merkezi (Site)
├── Aktif Müşteriler
│ ├── 0001 - Müşteri ABC
│ │ ├── Kimlik Tespit
│ │ │ ├── Kimlik Belgeleri (TC, pasaport, vergi)
│ │ │ ├── UBO (gerçek faydalanıcı)
│ │ │ └── Tespit Tarihi + Onaylayan
│ │ ├── Risk Profili
│ │ │ ├── Risk Değerlendirme Raporu
│ │ │ └── Yıllık Güncelleme
│ │ ├── İşlem Kayıtları
│ │ ├── İletişim
│ │ └── SİB (varsa)
│ └── ...
├── Arşiv (8 yıl tamamlanmış)
└── SİB Merkezi
2.2 Müşteri Risk Profili — Power Apps
Yeni müşteri kaydında Power Apps formu:
- Müşteri tipi (gerçek/tüzel/dernek/vakıf)
- Sektör (yüksek riskli sektör listesinden seçim)
- Coğrafya (FATF gri listesi kontrolü otomatik)
- İşlem hacmi tahmini
- PEP statüsü (politik nüfuz)
- Otomatik risk skoru hesaplama
- Düşük / Orta / Yüksek risk ataması
Risk skoru SharePoint'te müşteri klasörüne işlenir, yıllık güncelleme Power Automate ile hatırlatılır.
2.3 Şüpheli İşlem Akışı (Power Automate)
Şüpheli işlem tespit edildiğinde otomatik akış:
- İşlem yapan personel "şüpheli işlem işaretle" butonuna basar
- Power Automate akışı tetiklenir → MASAK Sorumlusu'na Teams bildirimi
- Sorumlu işlemi inceler — belge toplar, müşteri görüşmesi yapar
- SİB Form 1 doldurulur (SharePoint'te şablon)
- 10 iş günü sayacı başlar — gün sayar, son güne yaklaşırken eskalasyon
- MASAK portalına bildirim gönderilir
- Bildirim referansı SharePoint müşteri klasörüne arşivlenir
- Müşteri "izlenen" listesine alınır (gizli, sadece MASAK Sorumlusu görür)
3. Retention Policy — 8 Yıl Otomatik Saklama
Microsoft Purview Compliance Manager üzerinden:
- SharePoint MASAK Müşteri Merkezi sitesi için 8 yıl retention policy aktive edilir
- Belge silme/değiştirme engellenir (immutable storage)
- 8 yıl sonunda otomatik arşivleme veya silme
- Audit log her erişim/değişiklik kaydeder
Müşteri 1 Ocak 2026'da kayıt olduysa, kimlik tespit belgeleri 1 Ocak 2034'e kadar saklanır.
4. MASAK Denetim Hazırlığı
4.1 Hazır Belgeler
MASAK denetçisi geldiğinde tek panelden sunulabilen belgeler:
- Müşteri kimlik tespit belgeleri
- Risk değerlendirme raporları
- SİB kayıtları (varsa)
- Müşteri risk profili güncellemeleri
- İç denetim raporları
- Çalışan eğitim kayıtları
SharePoint'te tek panelden tüm bu belgelere erişim. Compliance Manager üzerinden MASAK kontrol noktaları izlenir.
4.2 Denetçi Hesabı
MASAK denetçisi için kısa süreli "Denetim Hesabı":
- 5 gün boyunca "Görüntüleme" yetkisi
- Sadece SharePoint MASAK Merkezi sitesine erişim
- Tüm erişim audit log'da kaydedilir
- 5 gün sonunda hesap otomatik kapanır
5. PEP ve FATF Listesi Kontrolü
Otomatik kontrol akışları:
- Yeni müşteri kayıt sırasında PEP listesi kontrolü (Refinitiv, Lexis, Dow Jones API entegrasyonu — opsiyonel)
- FATF gri/kara liste ülkeleri otomatik tespit (Power Automate ülke kontrolü)
- Eşleşme bulunursa otomatik yüksek risk ataması
- Manuel inceleme için MASAK Sorumlusu'na bildirim
6. Çalışan Eğitimi
5549 sayılı Kanun gereği yükümlüler çalışanlarına yıllık MASAK eğitimi vermelidir. Microsoft 365 ile:
- Stream'e MASAK eğitim videoları yüklenir
- Her çalışan eğitim videosunu izler
- Sonunda Forms quiz (10-15 soru)
- Başarılı tamamlananlara otomatik sertifika SharePoint'te oluşur
- Compliance Manager'da çalışan bazlı eğitim kaydı
- MASAK denetiminde "tüm çalışanlar yıllık eğitim aldı" kanıtı
7. Sık Yapılan Hatalar
Hata 1: Kimlik Belgeleri Paylaşılan Sürücüde
Kimlik belgeleri paylaşılan ağ sürücüsünde tutuluyorsa kim ne zaman erişti loglu değildir, KVKK riski yüksektir. Çözüm: SharePoint'te yapılandırılmış mimaride + Information Protection etiketleri.
Hata 2: SİB Süresinin Kaçırılması
10 iş günü süresi içinde bildirim yapılmazsa idari para cezası. Çözüm: Power Automate sayaç + eskalasyon akışı.
Hata 3: Müşteri Risk Profili Güncellemesinin Atlanması
Risk profili yıllık güncellenmemişse denetimde sorun çıkar. Çözüm: Power Automate her müşteri için yıllık otomatik hatırlatma.
Hata 4: 8 Yıl Saklama Süresinin Yanlış Hesaplanması
Saklama süresi işlem tarihinden itibaren değil, müşteri ilişkisinin bitmesinden itibaren 8 yıldır. Çözüm: Compliance Manager retention policy ile doğru hesaplama.
8. Müvekkil Bilgi Sistemleri Yönetmeliği'ne Göre Avukatlık Bürosu Farkı
Avukatlık büroları MASAK kapsamı dışında değil — özellikle gayrimenkul alım satımı, şirket kurulumu, tröst yapılandırması gibi işlerde MASAK yükümlüsü kabul edilirler. SMMM ve YMM bürolar da kapsam dahilindedir. Detaylı bilgi: Hukuk Bürosu için Microsoft 365.
Sonuç
MASAK uyumu Türkiye'deki tüm finansal kurumlar ve belirli profesyonel hizmetler için kritik bir yükümlülüktür. Microsoft 365 (özellikle SharePoint + Power Automate + Compliance Manager kombinasyonu) ile müşteri kimlik tespiti, risk profili, SİB akışı, 8 yıl retention ve denetim hazırlığı eksiksiz şekilde yapılandırılabilir.
Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak bankalar, sigorta şirketleri, aracı kurumlar, SMMM/YMM bürolar ve diğer MASAK yükümlülerine özel SharePoint mimarisi, Power Automate akışları, Compliance Manager kurulumu ve denetim hazırlığı hizmeti sunmaktadır. Finans Sektörü için Microsoft 365 sayfamızı inceleyin veya ücretsiz MASAK uyum değerlendirmesi için iletişime geçin.
İlgili yazılar: BDDK Bulut Hizmetleri Tebliği Rehberi · SMMM Bürosu için Microsoft 365 Rehberi