Yeni kurulan şirketler çoğu zaman AML ve KYC işinin gelir başladıktan sonra geleceğini sanır. Pratikte süreç daha erken başlar. Kuruluş aşamasında, ilk banka hesabında, ilk ödeme kuruluşu incelemesinde ya da yatırımcı şirketi gerçekten kimin kontrol ettiğini sorduğu anda başlar. Sahiplik dosyası zayıfsa sorun da hızlı çıkar.
Hukuki mantık nettir. 2015/849 sayılı AB Direktifinin 13. maddesi müşteri kimliği, faydalanıcı sahiplik, ilişkinin amacı ve sürekli izleme başlıklarını customer due diligence kapsamına koyar. Birleşik Krallık'ta PSC rehberi, şirketin PSC bilgilerini kuruluşta bildirmesini ve değişiklikleri Companies House'a iletmesini ister. AML yükümlüsü kurumlar açısından FCA'nın resmi sayfası da aynı çizgidedir: risk bazlı due diligence, yüksek riskte daha derin inceleme ve sürekli izleme. Şirket dosyası, sahiplik mantığı ve onboarding sırasını tek akışta kurmak isterseniz Corpenza'nın bağımsız denetim ve uyum, şirket kuruluşu ve vergi yapılanması ekipleri birlikte çalışabilir.
Yeni şirket için gerçek AML ve KYC dosyası nedir?
Yeni bir şirket için gerçek AML ve KYC dosyası, karşı tarafın şirketi anlamasını sağlayan kayıt setidir. Kim sahip. Kim kontrol ediyor. Şirket ne yapacak. Para nereden gelecek. Kurgu neden mantıklı. Sadece kuruluş belgesi bu soruların hiçbirini tek başına kapatmaz.
Kurucular KYC'yi pasaport, AML'yi ise bankanın kendi checklist'i gibi görmeye eğilimlidir. Pazar bunu tek dosya olarak okur. Banka, EMI, muhasebe firması, yatırımcı ya da alıcı aynı hikâyenin baştan sona tutarlı olmasını ister: yasal şirket, faaliyet modeli, faydalanıcı sahipler, kontrol hakları, beklenen işlem profili ve fon kaynağı.
Bu yüzden ticaret geçmişi olmayan genç şirketler de zorlanabilir. İnceleyen taraf sadece hacme bakmaz. Şirket anlaşılır mı diye bakar. Yapı temizse ve dosya kendi içinde tutuyorsa geçmişin kısa olması yönetilebilir. Sahiplik zinciri fluysa basit şirket bile olduğundan karmaşık görünür.
İlk günden hangi faydalanıcı sahiplik bilgileri hazır olmalı?
Asgari olarak ortaklık tablosu, kontrol hakları, yönetici listesi ve şirketi nihai olarak sahiplenen ya da kontrol eden gerçek kişiler hazır olmalıdır. Bu veri hem AML incelemesinin hem de kurumsal şeffaflık dosyasının merkezindedir.
AB kuralı bunu açık yazar. Direktifin 13. maddesi yükümlü kuruluşların faydalanıcı sahibin kim olduğunu anlamasını ve ownership-control yapısını makul şekilde doğrulamasını ister. İngiltere tarafında konu doğrudan sicile iner. PSC rehberi, şirket kurulurken PSC bilgisinin verilmesini, kayıtların güncel tutulmasını ve PSC tespit edilemiyorsa bunun da Companies House'a bildirilmesini ister.
| Kontrol noktası | Odak | Resmi kaynak |
|---|---|---|
| AB customer due diligence | Müşteri kimliği, faydalanıcı sahip, ilişkinin amacı, sürekli izleme | 2015/849 sayılı Direktif, Madde 13 |
| Birleşik Krallık şeffaflık dosyası | PSC tespiti, bildirim, güncelleme, kimlik doğrulama hattı | GOV.UK PSC rehberi |
| ABD BOI istisnası | BOI raporlaması değişti, fakat banka KYC'si ayrı yaşamaya devam ediyor | FinCEN BOI sayfası |
ABD tarafındaki değişiklik özellikle şaşırtıcı olabiliyor. FinCEN'in BOI sayfası, 26 Mart 2025 güncellemesi itibarıyla ABD'de kurulan tüm şirketlerin ve onların beneficial owner'larının BOI raporlamasından muaf olduğunu, bazı yabancı reporting company'lerin ise raporlama yükümlülüğü taşımaya devam ettiğini söylüyor. Bu değişiklik banka KYC'sini ortadan kaldırmaz. Sadece bir kamu raporlama rejimini değiştirir.
Banka ve servis sağlayıcılar genelde hangi belgeleri ister?
Çoğu yeni şirketin temel bir paket hazırlaması gerekir: kuruluş evrakı, ana sözleşme veya eşdeğeri, yönetici ve ortak kayıtları, faydalanıcı sahip kimlikleri, adres kanıtı ve faaliyet açıklaması. İşlem geçmişi başladıysa fatura, sözleşme ve web sitesi gibi ticari izler de hızla dosyaya çekilir.
Liste kurumdan kuruma değişir, ama mantık tekrar eder. İnceleyen taraf yasal dosya ile ticari hikâyenin birbirine oturmasını ister. Şirket yazılım satacağını söylüyorsa dosya alakasız nakit yoğun iş modeline işaret etmemelidir. Ortaklar kurumsal araçlarsa inceleme genelde doğal kişiye ulaşana kadar yukarı çıkar.
Pratik başlangıç paketi çoğu zaman şu parçalardan oluşur: kuruluş belgesi, ana sözleşme, cap table, yönetici kaydı, PSC veya UBO özeti, her kontrol sahibi için pasaport kopyası, adres kanıtı, bir sayfalık iş modeli notu, beklenen tahsilat ve ödeme akışı ve o yargı alanının neden seçildiğine dair kısa açıklama. Gelirsiz şirketlerde fon kaynağı notu da hazır olmalıdır. Kısa olabilir. Ama boş olmamalıdır.
Fon kaynağı ve iş modeli soruları ne zaman derinleşir?
Soru seti, yapı karmaşıklaştığında, coğrafya hassaslaştığında, sektör yüksek risk taşıdığında veya anlatılan faaliyet belgelerle uyuşmadığında derinleşir. O noktada standart onboarding biter, risk açıklaması başlar.
Zayıf metin burada pahalıya patlar. Kurucu “danışmanlık” ya da “ticaret” yazıp geçmek ister çünkü esnek görünür. AML incelemesinde bu ince bir zemin değildir. Ne satılıyor. Kim ödüyor. Hangi ülkelerde çalışılacak. Ortalama işlem tutarı ne. Hangi banka ya da ödeme rayı kullanılacak. Bunlar açık yazıldığında takip soruları azalır.
İlk sermaye birkaç kişiden geldiyse, üst holding üzerinden aktarılıyorsa, ilişkili taraf kredisi kullanılıyorsa, kripto dönüşümü varsa ya da yakın tarihli varlık satışıyla finanse ediliyorsa source-of-funds incelemesi de ağırlaşır. Bu unsurlar otomatik ret sebebi değildir. Ama her biri bir belge yolu yaratır. Para izi gerçekse bunu üçüncü follow-up'ı beklemeden başta düzenli anlatmak daha iyidir.
Enhanced due diligence ne zaman başlar?
Enhanced due diligence, risk profilinin normal onboarding çizgisinin üstüne çıktığı yerde başlar. Bu çoğu zaman yüksek riskli ülkeler, PEP bağlantısı, yaptırım teması, sıra dışı ortaklık katmanları veya daha sıkı işlem izlemesi gerektiren faaliyet modeli anlamına gelir.
Resmi metinler burada aynı şeyi söyler. FCA, yükümlü firmaların risk bazlı customer due diligence uygulamasını ve yüksek riskli müşterilerde daha intrusive inceleme yani enhanced due diligence yapmasını ister. Direktifin 18. maddesi de yüksek riskli durumlarda, high-risk third country bağlantıları dahil, enhanced customer due diligence gerektirir. Bu yüzden EDD bir suçlama değildir. Bir risk kategorisi ve iş yükü kategorisidir.
EDD altında değişen şey genelde soru sayısı değil, delilin derinliğidir. Daha detaylı sahiplik kanıtı. Karşı taraf geçmişi hakkında daha net bilgi. Fon kaynağına daha açık belge. Beklenen para akışına daha net rota. Bazen de kurum içinde senior manager onayı. Bu sorulara tek dosya içinde cevap verebilen şirket ilerler. Parça parça cevap veren şirket bekler.
Kurucular süreci köşe kesmeden nasıl hızlandırabilir?
Hız çoğu zaman daha fazla dosyadan değil, daha tutarlı dosyadan gelir. Birbiriyle konuşan kısa bir onboarding paketi, uyumsuz yüzlerce belgeye göre çok daha hızlı sonuç verir. Hedef, inceleyenin yoruma ihtiyaç duymadan temiz bir sonuca ulaşmasıdır.
Tek bir sahiplik notu ile başlayın. Şirketi, yöneticileri, ortakları, nihai faydalanıcı sahipleri, kontrol haklarını ve şirketin işletme amacını sade dille göstersin. Sonra destekleyici belgeleri aynı sırada dizin. Cap table bir şey söylüyor, ana sözleşme başka şey söylüyorsa süreç orada durur.
Bir de gelecek soruları gelmeden cevaplamak işe yarar. Neden bu ülke. Neden bu banka ya da EMI. Neden bu müşteriler. Neden bu ülkeler. Neden bu kurucular. Bu beş noktayı baştan anlatan genç şirketler, sadece ham şirket evrakı gönderen daha eski şirketlerden daha iyi görünür. Bu paketi operasyonel disiplinle kurmak isterseniz Corpenza'nın uyum ekibi ve danışmanlık hattı ilk büyük inceleme başlamadan dosyayı düzenleyebilir.
SSS
Kuruluş belgesi KYC için yeterli midir?
Hayır. Şirketin var olduğunu gösterir. Ama onu kimin kontrol ettiğini, ne yapacağını, nasıl fonlanacağını ve işlem profilinin mantıklı olup olmadığını göstermez.
Geliri olmayan startup için AML dosyası gerekir mi?
Evet. Dosya daha küçük olabilir, ama sahiplik zinciri, iş modeli açıklaması, kurucu kimliği ve fon kaynağı mantığı yine net olmalıdır.
FinCEN BOI değişikliği ABD kurucuları için KYC'yi gereksiz kılar mı?
Hayır. 2025 güncellemesi bir kamu raporlama rejimini değiştirdi. Banka, ödeme kuruluşu ve yatırımcı incelemesi ise kendi KYC ve beneficial-owner kontrolünü sürdürür.
Onboarding en çok neden gecikir?
Tutarsız ortaklık verisi, belirsiz faaliyet açıklaması, açıklanmayan ilişkili taraf fonlaması ve belgelerin farklı ülke veya iş modeline işaret etmesi yüzünden.
Dış uyum desteği ne zaman alınmalı?
Genelde ilk banka veya EMI incelemesinden önce. Özellikle yapı sınır ötesiyse, ortaklık katmanlıysa ya da source-of-funds dosyası dikkatli paketlenecekse erken destek daha verimlidir.
Bu içerik genel bilgilendirme amaçlıdır. AML kuralları, sicil yükümlülükleri ve onboarding standartları değişir. Doğru belge seti şirket yapısına ve faaliyet ülkesine göre belirlenir.
