AML risk skorlaması, her müşterinin (ve gerektiğinde her işlemin) finansal suç riskini sayısallaştıran modeldir. FATF Recommendation 1'in temel taşı olan risk-based approach'un (RBA) operasyonel uygulamasıdır. İyi tasarlanmış bir risk skorlama modeli ekibin enerjisini yüksek riskli vakalara odaklar, düşük riskli kitleye hafif izleme uygular ve regülatöre "neden bu müşteri için bu seviye uygulama yapıldı" sorusuna belgeli cevap üretir. Bu HowTo sıfırdan bir AML risk skorlama modeli kurmanın 7 adımını anlatır.
1. Adım: Risk Faktörlerini Belirleyin
İlk iş hangi faktörlerin müşteri riskini belirlediğini tanımlamak. Endüstri pratiği üç ana boyutu içerir:
Müşteri faktörleri:
- Müşteri tipi (gerçek kişi, KOBİ, kurumsal, finansal kuruluş, NPO)
- Endüstri/sektör (yüksek risk: nakit yoğun işler, kripto, kumar, silah ticareti, değerli madenler, gayrimenkul)
- PEP statüsü (yabancı PEP, yerli PEP, ex-PEP, RCA)
- Ortaklık yapısı şeffaflığı (UBO tespit edilebilir mi, layered ownership var mı)
- Müşteri yaşı ve hesap geçmişi (yeni müşteri vs köklü ilişki)
Coğrafi faktörler:
- Müşteri uyruğu / yerleşim ülkesi
- Ticaret yapılan ülkeler
- FATF gri/kara liste durumu (örn. 2025 itibarıyla gri listede: Burkina Faso, Kamerun, Demokratik Kongo, Haiti, Mali, Mozambik, Myanmar, Nijerya, Filipinler, Güney Afrika, Güney Sudan, Suriye, Vietnam, Yemen)
- Yüksek riskli jurisdiction'larla bağlantı
Ürün/işlem faktörleri:
- Kullanılan ürün/hizmet (nakit yatırma/çekme yoğun, swift ile uluslararası transfer, kripto, mobil cüzdan, korespondent banka, prepaid kart)
- Beklenen işlem hacmi
- Geçmiş davranışı (anomali sayısı, daha önce STR gerektiren işlemler, hesap kapatma denenen kişi)
Türkiye'ye Özgü Faktörler
MASAK 5 No'lu Tebliği "yüksek riskli müşteri" kategorisini tanımlarken: yabancı PEP, korespondent banka müşterileri, anonim hesap yapan ülkelerden olanlar, FATF yüksek riskli jurisdiction'lar, nakit yoğun sektörler, KVHS müşterileri gibi kategorileri içerir. Modelinizde bu kategorilerin her birine ayrı faktör olarak yer verin.
2. Adım: Faktör Skorlama Skalasını Tasarlayın
Her faktör için bir skala tanımlayın. Yaygın yaklaşım 1-5 ölçeği:
| Skor | Anlam | Örnek (Coğrafya) |
|---|---|---|
| 1 | Çok düşük risk | Türkiye, AB ülkeleri |
| 2 | Düşük risk | UK, Norveç, İsviçre |
| 3 | Orta risk | Latin Amerika, Doğu Avrupa |
| 4 | Yüksek risk | FATF gri listede ülkeler |
| 5 | Çok yüksek risk | FATF kara listede, embargo altındaki ülkeler |
Bazı modeller 1-10 veya 1-100 kullanır; ölçek seçimi daha çok stilistik. Önemli olan tutarlı kullanım ve dokümantasyon.
Pratik öneri: Skorlama matrisini tablolaştırın ve compliance review'a sunun. Her faktör değeri için neden o skoru aldığı belgelenmiş olmalı.
3. Adım: Faktör Ağırlıklarını Belirleyin
Tüm faktörler eşit ağırlıkta değildir. PEP statüsü, hesap geçmişinden daha ağırlık taşır. Coğrafya, müşteri yaşından daha ağırlık.
Tipik ağırlık dağılımı (toplam %100):
- Müşteri tipi: %15
- Endüstri: %15
- PEP/yaptırım statüsü: %20
- UBO şeffaflığı: %10
- Coğrafi risk: %20
- Ürün/hizmet riski: %15
- Hesap geçmişi/davranış: %5
Bu ağırlıkları belirlerken iki yaklaşım var:
Expert-driven (uzman görüşü): Compliance ekibi tartışıp ağırlıkları manuel atar. Hızlı, anlaşılır, ama doğrulaması yok.
Data-driven (veri tabanlı): Geçmiş STR/SAR vakalarınız üzerinden istatistiksel analiz — hangi faktörler gerçek riski daha iyi öngördü? Lojistik regresyon, gradient boosting modelleri. Güçlü ama veri lazım (en az birkaç yüz STR vakası).
Yeni kurulan bir kuruluşta expert-driven başlamak gerçekçi; 12-18 ay sonra data-driven recalibration mantıklı.
4. Adım: Skorları Birleştirin ve Müşteri Risk Seviyesini Belirleyin
Her müşteri için ağırlıklı toplam skor hesaplanır:
Toplam Risk Skoru = Σ (Faktör_i × Ağırlık_i)
Sonra bu skor risk seviyelerine eşlenir:
| Toplam Skor | Risk Seviyesi | Uygulanacak |
|---|---|---|
| 1.0 - 2.0 | Düşük | Simplified Due Diligence (uygunsa); standart izleme |
| 2.1 - 3.5 | Orta | Standart Customer Due Diligence; normal izleme |
| 3.6 - 4.5 | Yüksek | Enhanced Due Diligence (EDD); sıkı izleme |
| 4.6 - 5.0 | Çok yüksek | EDD + yönetim onayı; yakın izleme; daha sık review |
Eşik aralıkları (2.0, 3.5, 4.5) modelin sonucudur; bu eşiklerin ne kadar müşteriyi hangi kategoriye düşürdüğü dağılımı bilinmeli. Tipik hedef: %70-80 düşük, %15-20 orta, %3-8 yüksek, %0.5-2 çok yüksek.
Eğer dağılım bunun dışında çıkıyorsa (örn. müşterilerin %30'u yüksek risk olarak işaretleniyor) ya eşikler ya faktör ağırlıkları yanlış kalibre edilmiş demektir.
5. Adım: Segmentasyon Uygulayın
Tek bir model tüm müşteri tiplerine optimum değildir. Gerçek kişi müşteri için riskli faktörler ile kurumsal müşteri için riskli faktörler farklıdır. Tipik segmentler:
- Gerçek kişi - bireysel: PEP, coğrafya, gelir/hesap dengesizliği ağırlıklı
- Gerçek kişi - profesyonel/yüksek net değer: + servet kaynağı, ek hesap, çoklu ülke
- KOBİ: Endüstri, sahiplik şeffaflığı, beklenen hacim
- Kurumsal: UBO yapısı, mali tablo izlenebilirliği, çok ülkeli operasyon
- Finansal kuruluş (korespondent): Düzenleyici kuruluş, denetim kalitesi, AML programı kalitesi
- NPO: Bağış kaynakları, faaliyet ülkeleri, yararlanıcı kitle
Her segment için ayrı skor matrisi tutmak operasyonel olarak ağır olabilir; pratik orta yol: faktör seti aynı, ağırlıklar segmentle değişir.
6. Adım: Modeli Validasyon Edin
Yayına almadan önce model retrospektif veri üzerinde test edilmeli:
- Historical backtesting: Geçmiş 12-24 ay müşteri portföyünüz üzerinde modeli koşturun. Yüksek risk olarak işaretleyenlerin gerçekten STR'ye dönüşüp dönüşmediğine bakın.
- False positive analizi: Yüksek risk olarak işaretlenen ama gerçek vaka çıkmayan müşteri sayısı. %100 false-positive olamaz; %70-90 normal aralık (yaptırım taramasından daha düşük FP zaten).
- False negative analizi: Gerçek STR vakaları arasında düşük risk olarak işaretlenen kaç tane vardı? Bunlar sistemin kaçırdıkları. Sıfıra yakın olmalı.
- Sensitivity analizi: Bir faktörü değiştirdiğinizde sonuç ne kadar etkileniyor? Aşırı hassas modeller (1 puanlık fark seviyeyi değiştiriyor) kararsız; çok az hassas modeller (50 puan fark bile seviyeyi değiştirmez) ayırt edici değil.
- Compliance review: Model dokümantasyonu (faktör tanımları, ağırlıklar, eşikler, validasyon sonuçları) compliance birimi ve gerekirse iç denetim tarafından onaylanmalı.
5549 sayılı Kanun yükümlüye "risk-bazlı yaklaşım" şart koşar; modelin nasıl çalıştığını MASAK denetiminde açıklayabilmek için bu dokümantasyon zorunlu.
7. Adım: Operasyonel Entegrasyon ve Sürekli İzleme
Model çalışır hale geldikten sonra:
Onboarding entegrasyonu: Yeni müşteri başvuru anında skor hesaplanır; risk seviyesine göre KYC akışı (standart vs EDD) dallandırılır. Yüksek risk için ek belge isteme, yönetim onay süreci.
Periyodik yeniden skorlama: Müşteri risk profili statik değil. Yılda bir kez (yüksek riskli için 6 ayda bir) skor yeniden hesaplanır. Faktör değerleri değişmiş olabilir (örn. müşteri ülke değiştirdi, yeni PEP statüsü kazandı).
Olay-bazlı yeniden skorlama: Belirli olaylar anlık recalculation tetikler — STR raporlanan müşteri, yüksek tutarlı anomali, adverse media hit, yeni yaptırım eşleşmesi.
Monitoring eşik bağlama: Müşteri risk seviyesi, transaction monitoring eşiklerini etkiler. Yüksek riskli müşteri için 100.000 TL tek tutarlı transfer otomatik alarm tetikler; düşük riskli için eşik 500.000 TL olabilir. Bu, false positive azaltma için kritik tekniklerden biridir.
Case management: Yüksek risk seviyesindeki müşterilerin işlemleri daha sıkı izlenir; analist atanmış müşteri portföyü tutulur, periyodik review takvimi otomatik oluşur.
Model performans takibi: Aylık dashboard: risk seviye dağılımı, STR-to-skor korelasyonu, false positive trend, model drift. Çeyrek bazında compliance birimine raporlanır.
Worked Example: Bir Müşteri Için Skor Hesabı
Yöntemi somutlaştırmak için tipik bir müşteri profili üzerinden çalışalım:
Müşteri profili: Mehmet K., 47 yaş, T.C. vatandaşı, İstanbul'da yerleşik, mühendislik sektöründe (KOBİ sahibi), inşaat malzemesi ithalat, beklenen aylık işlem hacmi 2-5 milyon TL, beş yıl bankamızın müşterisi, geçmişinde STR yok, dış ortaklar Birleşik Arap Emirlikleri ve Pakistan'da.
Faktör skorları:
| Faktör | Değer | Skor | Ağırlık | Katkı |
|---|---|---|---|---|
| Müşteri tipi | KOBİ sahibi gerçek kişi | 2 | %15 | 0.30 |
| Endüstri | İnşaat malzemesi ithalat | 3 | %15 | 0.45 |
| PEP statüsü | Yok | 1 | %20 | 0.20 |
| UBO şeffaflığı | Net (kendi sahibi) | 1 | %10 | 0.10 |
| Coğrafi risk | TR yerleşik + BAE/Pakistan ortaklar | 3 | %20 | 0.60 |
| Ürün/hizmet | Standart hesap + SWIFT | 2 | %15 | 0.30 |
| Hesap geçmişi | 5 yıl temiz | 1 | %5 | 0.05 |
Toplam skor: 2.00 → orta seviyenin altında → düşük risk segmenti.
Uygulanacak: Standart CDD. Yıllık review. Yüksek tutarlı işlemlerde (örn. 1 milyon TL+) ek inceleme — coğrafi ortaklık riski yüksek tutar işlemlerde tetikleyici.
Şimdi aynı müşteri için bir senaryo değişikliği: BAE ortağı Pakistan'da bir başka şirket aracılığıyla ödeme alıyor, ve Pakistan FATF gri listesinde. Coğrafi risk skoru 3 → 4 olur. Yeni toplam: 2.20 → orta. Threshold değişti — şimdi standart CDD + 6 aylık review.
İkinci senaryo: Mehmet K. yerel belediye meclisinde üye seçildi (yerli PEP). PEP skoru 1 → 3 (yerli PEP, MASAK'a göre risk-bazlı). Yeni toplam: 2.60 → orta-yüksek sınırı. Threshold geçişi: standart CDD + ek izleme + yıllık review yerine 6 aylık.
Üçüncü senaryo: Mehmet K. Suriyeli bir şirketle ihracat anlaşması yapıyor. Coğrafi risk 5'e çıkar (FATF kara listesinde değil ama yüksek riskli ülke). Yeni toplam: 3.40 → yüksek risk eşiğine yaklaşıyor. EDD tetikleyici.
Bu worked example, modelin gerçek müşteri davranışına nasıl tepki verdiğini gösterir; statik bir snapshot değil dinamik bir değerlendirmedir.
Model Yönetişimi: Kim Hangi Karara Sahip?
Risk skorlama modeli teknik bir araç değil, regülatör maruziyeti olan bir karar yapısıdır. Yönetişim hatları:
MLRO (Uyum Görevlisi). Model dokümantasyonunun nihai sahibidir; her önemli değişiklik (faktör ekleme, ağırlık değişimi, eşik kaydırma) MLRO onayından geçer. MASAK denetiminde modeli anlatma sorumluluğu MLRO'dadır.
Compliance birim. Günlük model uygulamasını izler; ay sonu raporlama; pattern tespiti (model drift, anomalist analiz çıktıları, segment-bazlı performans).
Risk birimi. Tüm-banka risk yönetimi perspektifinden modelle ilgilenir; özellikle yüksek risk seviyesi olan müşterilerin toplam portföy oranı bağlamında. Risk komitesi (genelde aylık) model performansını gözden geçirir.
Iç denetim. Yıllık model validasyonu yapar; bağımsız test sonuçları yönetim kuruluna raporlanır.
IT/data engineering. Modelin teknik uygulamasını sürdürür; veri kalitesi monitoring, model entegrasyonu, dashboard üretimi. Model parametre değişikliği değil — sadece teknik bakım.
Yönetim kurulu. Model değişikliklerinin yıllık raporu sunulur; yönetim onay seviyesi belirlenir. Yönetim kurulu kararını risk iştahına göre etkiler.
Kim hangi kararı verir tablosu (RACI tarzı):
| Karar | MLRO | Compliance | Risk | IT | Yönetim Kurulu |
|---|---|---|---|---|---|
| Yeni faktör ekleme | Onay | Öneri | Konsültasyon | Uygulama | Bilgi |
| Faktör ağırlığı değişimi | Onay | Öneri | Konsültasyon | Uygulama | Bilgi |
| Eşik değişimi | Onay | Öneri | Konsültasyon | Uygulama | (önemliyse) Bilgi |
| Yıllık model validasyonu | Onay | Katılım | Katılım | Veri sağlama | Sonuç bilgisi |
| Model retirement / yeniden tasarım | Onay | Katılım | Katılım | Uygulama | Onay |
Bu yapı denetimde "modelin sorumlusu kim, kararları kim aldı" sorusuna net cevap üretir.
Risk Skorlama ve İlgili AML Süreçleri
Risk skorlama izole bir araç değil — diğer AML süreçleriyle bağlanır:
- Onboarding sırasında: Risk skoru KYC akışını dallandırır (standart vs EDD)
- Tarama yoğunluğunda: Yüksek risk → daha düşük eşleşme threshold'u; düşük risk → daha yüksek
- Transaction monitoring eşiklerinde: Risk seviyesi monitoring kurallarının eşiklerini ayarlar
- Review döngülerinde: Yüksek risk yıllık → 6 aylık, çok yüksek → 3 aylık
- STR değerlendirmesinde: Bir işlem şüpheli görünüyor; risk skoru yüksek olan müşteri için STR daha hızlı tetiklenir
- EDD seviyesinde: Source of Funds belge derinliği, monitoring sıklığı risk seviyesiyle kalibre edilir
Birleşik yaklaşım için false positive azaltma makalemizdeki segment-bazlı threshold tablosunu inceleyin — orada risk seviyesi + liste tipi kombinasyonuna göre threshold matrisi var.
Yaygın Hatalar
Sadece geographic risk + PEP kullanmak. Endüstri ve hesap davranışı kritik faktörler; modeli kötü ayırt ettirir.
Çok az segment. Tek model tüm müşterilere = ya çok hassas (false positive seli) ya çok gevşek (gerçek risk kaçırma).
Ağırlıkları sabit tutmak. Yıllık recalibration olmadan model "stale" olur — yeni risk eğilimlerine adapte olmaz.
Düşük risk için "hiçbir şey yapmamak". Düşük risk seviyesi standart izleme demek; izleme yokluğu değil. MASAK denetiminde "neden bu müşteri için hiçbir izleme yoktu?" sorusuna cevap üretilemez.
Dokümantasyon eksikliği. Modelin nasıl çalıştığı yazılı değilse, denetimde gerekçesi olmayan kararlar gibi görünür.
Sıkça Sorulan Sorular
Risk skoru otomatik mi yoksa manuel mı?
Hibrit. Hesaplama otomatik (yazılım skoru üretir). Bazı faktör değerlendirmeleri (örn. UBO şeffaflık, davranış anomalisi) algoritma + analist yorumu karışımı. Yüksek risk seviyeleri yönetim onayı gerektirir — bu manuel adım. Hibrit yaklaşım ölçek + insan kararı dengesi sağlar.
Risk skoru her gün mü güncellenir?
Hayır, pahalı ve gereksiz. Standart pratik: yılda 1 düzenli review (yüksek riskli müşteri için 6 ayda 1), artı olay-bazlı recalculation (yeni PEP statüsü, yaptırım eşleşmesi, anomali, STR). Bazı kuruluşlar gece batch ile değişen faktörleri (örn. coğrafya, beklenen hacim) günlük yansıtır ama bu opsiyonel.
Yapay zeka / makine öğrenmesi modelleri zorunlu mu?
Hayır. Rule-based ağırlıklı toplam modelleri tamamen kabul edilebilir ve çoğu kuruluş bunu kullanıyor. ML modelleri (örn. gradient boosting) daha iyi tahmin gücü sunabilir ama "açıklanabilir" olması gerekir — denetimde "neden bu skor" sorusuna anlamlı cevap üretmeli. Kara kutu ML modelleri compliance açısından sorunlu.
Düşük risk seviyesindeki müşteri için STR ihtiyacı doğarsa ne yapılır?
STR yine sunulur; risk seviyesi STR yükümlülüğünü etkilemez. Risk seviyesi, sistemin proaktif olarak hangi müşterileri yakından izleyeceğini belirler; ama spesifik bir işlem şüpheli ise risk seviyesinden bağımsız raporlanır. STR yükümlülüğü 5549 sayılı Kanun gereği koşulsuzdur.
Risk skorunu müşteriyle paylaşmak gerekir mi?
Hayır. Risk skoru iç bir değerlendirmedir; müşteriyle paylaşılmaz. Yüksek risk seviyesi nedeniyle ek belge istendiğinde "iç AML değerlendirmemiz kapsamında" diye genel bir gerekçe yeterlidir. Spesifik skoru veya formülü paylaşmak hem operasyonel risk hem regülatör beklentisinin ötesindedir.
Legichain ile Risk Skorlama
Legichain AML platformunun içinde konfigüre edilebilir bir risk skorlama motoru var. Müşteri tipi, coğrafya (FATF gri/kara liste dahil otomatik güncel), PEP/yaptırım skor entegrasyonu, ürün ve davranış faktörleri için hazır şablonlar; ağırlıklar ve eşikler admin panelinden ayarlanabiliyor. Türkiye odaklı segment şablonu MASAK 5 No'lu Tebliği'nin yüksek riskli müşteri kategorisiyle uyumlu çıkıyor.
Periyodik recalculation otomatik (cron tabanlı); olay-bazlı tetikleyiciler (yeni yaptırım eşleşmesi, anomali skoru) skor güncellemesi başlatıyor. Model dokümantasyonu PDF olarak otomatik üretiliyor — MASAK denetiminde gerekli olan model raporu çıktısı tek tıkla.