Ödeme ve Elektronik Para Kuruluşlarında Kurumsal Yönetim

Giriş

6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un temel amacı, ödeme ve menkul kıymet mutabakat sistemlerine, ödeme hizmetlerine, ödeme kuruluşlarına ve elektronik para kuruluşlarına ilişkin usul ve esasları düzenlemektir. Bu çerçevede 6493 sayılı Kanun ilgili faaliyetleri ve bu faaliyetlerle iştigal edecek şirketleri tanımlamış, bunların kuruluş ve faaliyetlerine ilişkin temel esasları belirlemiştir.

Kanun ilgili kuruluşların kurumsal yönetimleri ile ilgili detaylara girmekten uzak durmuş, bu konuda alt düzenleme yapma yetkisini TCMB’ye bırakmıştır. Kanun’un ödeme kuruluşları (madde 14/6) ve elektronik para kuruluşları (madde 18/6) hakkındaki maddelerine kuruluşların kurumsal yönetim ilkelerine ile iç sistemlerine ilişkin usul ve esaslar TCMB tarafından çıkarılacak yönetmelikle belirlenecektir. TCMB, Kanun tarafından verilen bu yetkiyi 1 Aralık 2021 tarihli Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Sağlayıcıları Hakkında Yönetmelik ile kullanmıştır.

Yönetmeliğin Kurumsal Yönetim başlıklı dördüncü bölümü üst yönetim, iç kontrol, risk yönetimi, muhasebe ve raporlama, bağımsız denetim, TCMB denetim ve gözetimi, iş sürekliliği ve bilgi sistemi denetimleri hakkında maddeler içermektedir. Ödeme ve Elektronik Para Kuruluşlarında Kurumsal Yönetim kapsamında bu konularla ilgili önemli hususlara aşağıda yer verilmiştir.

1. Yönetim Kurulu

Kuruluşların yönetim kurulu, genel müdür dâhil üç kişiden az olamaz. Genel müdür yönetim kurulunun doğal üyesidir. Yönetim kurulu üyelerinin 5411 sayılı Bankacılık Kanunu’nda yer alan kurucularda aranan şartlardan iflas etmemiş olma, batık bankalarda pay sahibi olmama ve çeşitli suçları işlememiş olma gibi negatif nitelikli şartları taşımaları zorunludur.

Yönetim kurulunun sorumluluğundaki konular:

• Organizasyon yapısı ile görev ve sorumlulukların oluşturulması,
• İç kontrol ve risk yönetimi birimlerinin strateji, politika ve uygulama usulleri ile risk türleri bazında risk iştahının belirlenmesi,
• Bilgi sistemleri politikasının ve kontrol sürecinin oluşturulması,
• Müşteri şikayet yönetim sisteminin oluşturulması,
• Fonların korunması usul ve esaslarla iç kontrol ve risk yönetimi politikalarının oluşturulması,
• Temsilcilerin seçimine ve temsilcilerden kaynaklanacak risklerin yönetilmesine ve izlenmesine ilişkin usul ve esasların oluşturulması,
• Faaliyetlerle ilgili iş akış planlarının oluşturulması,
• Bilgi sistemlerinin yönetilmesine ve denetlenmesine ilişkin faaliyetlerin yürütülmesi.

Genel müdürün en az yedi yıllık işletmecilik veya finans tecrübesine sahip olması ve asgari lisans eğitimi görmüş olması gerekmektedir. Diğer yönetim kurulu üyeleri için bu çerçevede bir yeterlilik şartı öngörülmemiştir. Ancak yönetim kurulu üyelerinin ayrıntılı özgeçmişinin Yönetmelik ek-9’da yer alan detayda TCMB’ye iletileceği unutulmamalıdır.

2. İç Kontrol Sistemi

Kuruluşların yeterli ve etkin bir iç kontrol sistemi kurmaları zorunludur. Bu sistemin iki temel amacı belirlenmiştir:

• Faaliyetlerin etkin ve verimli bir şekilde Kanuna ve ilgili diğer mevzuata, iç düzenlemelere ve teamüllere uygun olarak yürütülmesini sağlamak.
• Muhasebe ve raporlama sistemlerinin bütünlüğünü, güvenirliğini ve bilgilerin zamanında elde edilebilirliğini sağlamak.

İç kontrol sisteminin bu amaçlara ulaşabilmesi yapılması gereken asgari gereklilikler şu şekilde belirlenmiştir:

• Kuruluş bünyesinde işlevsel görev ayrımının tesis edilmesi, sorumlulukların paylaştırılması, yetki ve sorumlulukların açıkça ve yazılı olarak belirlenmesi,
• İç kontrol faaliyetlerinin oluşturulması,
• Kuruluşun iş süreçleri üzerinde kontrollerin ve iş adımlarının gösterildiği iş akış şemalarının oluşturulması,
• Bilgi sistemlerinin faaliyetlerin yapısına ve karmaşıklık düzeyine uygun olarak tesis edilmesi,
• İş sürekliliği ve acil durum planlarının hazırlanması ve yılda bir defa test edilmesi.

İç kontrol faaliyetlerinin çerçevesine ise beş farklı faaliyet alınmıştır:

• Faaliyetlerin icrasına yönelik işlemlerin kontrolü,
• İletişim kanalları ile bilgi sistemlerinin ve finansal raporlama sisteminin kontrolü,
• Şikâyetlerin cevaplandırılması sürecinin işleyişinin kontrolü,
• 5549 sayılı Kanun ve ilgili mevzuatı kapsamındaki düzenlemeler ile iç düzenleme ve teamüllere ve diğer mevzuata uyumun ve bu amaçla işletilen süreçlerin kontrolü,
• Temsilci veya dış hizmet alımı suretiyle yürütülen faaliyetlerin kontrolü.

Görüldüğü üzere iç kontrol faaliyetleri ödeme ve elektronik para kuruluşlarının temel faaliyetleri ile ilişkili işlemlerin kontrolü ile bu faaliyetlerin müşterilerle iletişim, bilgi sistemleri, finansal raporlama, uyum, temsilci işlemleri ve dış hizmet alımları alanlarındaki yansımalarına ilişkin kontrollerden oluşacaktır.

İç kontrol faaliyetlerinin tasarımında; kuruluş bünyesinde üretilen bilginin güvenilir, tam, izlenebilir, tutarlı ve ihtiyacı karşılayacak uygun biçim ve nitelikte olmasının sağlanması esastır. Faaliyetlerin icrasına yönelik kontrol setinin tasarlanması için kuruluşun iş modeli detaylı şekilde analiz edilmesi ve faaliyetlerin icrası ile ilişkili tüm işlemler belirlenmiş olmalıdır. Bu işlemlerle ilgili iş akışlarının detaylı şekilde hazırlanması, iş akışındaki her bir noktanın şirket organizasyon yapısındaki bir yetki seviyesi ile ilişkilendirilmesi gerekmektedir. Daha sonrasında iş akışlarındaki her nokta için önem düzeylerine ve olası bir zafiyet durumunda finansal etkiye göre kontrol noktaları belirlenmelidir.

İç kontrol sisteminin tasarımı açısından faaliyetlerin icrasına yönelik işlemlerin kontrolü dışındaki dört başlık esasen bu ilk başlığın alt başlıkları olarak da değerlendirilebilecekken, mevzuatın bunları ana kategori olarak sayması bu başlıklara verilen öneme işaret etmektedir. Uyum riskine ilişkin kontroller (KYC ve AML/CFT kontrolleri) iç kontrol faaliyetinin en önemli birleşenlerinden birisidir. Bilgi sistemlerinin ve finansal raporlama sisteminin kontrolü şirket faaliyetleri belirli bir güvence altında yürütülmesi açısından önemlidir. Müşteri şikayetlerinin ve iletişim kanallarının kontrolü olası kayıp ve yanlış uygulamaların erken tespiti açısından iç kontrol çerçevesinin ayrılmaz bir parçasıdır. Temsilci veya dış hizmet hizmet alımı suretiyle yürütülen faaliyetlerin kontrolü ise bu faaliyetlerin taşıdığı riskler düşünüldüğünde ayrı bir başlık olarak ele alınmayı hak etmektedir.

3. İç Kontrol Sisteminin Organizasyonel Yapısı

İç kontrol faaliyetleri, doğrudan yönetim kuruluna bağlı yürütülebileceği gibi, genel müdür dışındaki icrai görevi olmayan bir yönetim kurulu üyesine bağlı olarak da yürütülebilir. 6493 sayılı Kanun ve alt mevzuatında bankacılık mevzuatındaki gibi bir denetim komitesi yapılandırılmamış olsa da ödeme ve elektronik para kuruluşları da yönetim kurulu içerisinde bir denetim komitesi oluşturarak da ilgili fonksiyonları yönetebilirler.

İç kontrol faaliyetleri, kuruluşun faaliyet yapısı ve kapsamıyla uyumlu sayıda, gerekli bilgi ve deneyime sahip olan ve icraî görevi bulunmayan iç kontrol personeli vasıtasıyla gerçekleştirilir. İç kontrol personeli tarafından, gerçekleştirilen iç kontrol faaliyetlerine ilişkin asgari Haziran ve Aralık sonu itibarıyla olmak üzere yönetim kuruluna raporlama yapılır. İç kontrol personelinin kuruluşun tam zamanlı çalışanı olması şarttır.

4. Risk Yönetimi Sistemi

Kuruluşların, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, risklerin tanımlanmasını, ölçülmesini, izlenmesini, kontrol edilmesini, raporlanmasını ve yönetilmesini sağlamak üzere etkin bir risk yönetimi sistemi kurması zorunludur. Bu sistemin ana faaliyetlerle ilgili risklerin yanında aşağıdaki riskleri de kapsaması gerekmektedir:

• Suç gelirlerinin aklanması ve terörizmin finansmanıyla ilgili riskler
• Faaliyetlerin gerçekleştirilmesi ile ilgili diğer kuruluşlardan doğan riskler
• Katılım sağlanan ödeme sistemleri ile ilgili riskler
• Dış hizmet sağlayıcılardan kaynaklanan riskler
• Temsilcilerden kaynaklanan riskler

Risk yönetimi sisteminin en önemli bileşenlerinden birisi bilgi sistemlerine yönelik risklerin yönetilmesidir. Kuruluşların faaliyetlerin türü ve karmaşıklığına göre bu konuyu detaylı şekilde ele almaları gerekmektedir. Bu kapsamda ilgili mevzuat ile ulusal ve uluslararası standartlar da göz önünde bulundurulmalıdır. Bilgi sistemlerinden kaynaklı riskler ele alınırken, temsilciler, ilgili kuruluşlar ve sistemler gibi tüm faktörler dikkate alınmalıdır.

Risk yönetim sistemi ile ilgili kural, prosedür ve politikalar ile bunlarda yapılacak değişikliklerin yazılı olarak oluşturulması esastır.

Risk yönetimi faaliyetleri kapsamında, şirket tarafından sunulan hizmetlerin yasa dışı bahis başta olmak üzere yasa dışı faaliyetlerde kullanılıp kullanılmadığının tespiti için sosyal medya ve çevrim içi platformlar başta olmak üzere araştırmalar yapılarak gerekli önlemlerin alınması gerekmektedir.

5. Risk Yönetim Sisteminin Organizasyonel Yapısı

Risk yönetimi faaliyetleri, yönetim kuruluna veya yönetim kurulunun belirleyeceği genel müdür dışındaki icrai görevi olmayan bir yönetim kurulu üyesine bağlı olarak; gerekli bilgi ve deneyime sahip olan ve icraî görevi bulunmayan risk yönetimi personeli tarafından yürütülür. Risk yönetimi birimi asgari Haziran ve Aralık sonu itibarıyla olmak üzere faaliyet sonuçlarını yönetim kuruluna raporlar. Ayrıca, yılda en az bir defa bilgi sistemlerine ilişkin kapsamlı risk değerlendirmesi yapılmalı ve sonuçları ile aksiyon planı her yıl Ocak ayında yönetim kuruluna ve TCMB’ye sunulmalıdır. Bu çalışmanın bilgi sistemlerinde gerçekleşecek önemli bir değişiklikten önce de yapılması gerekir.

İç kontrol personeli için mevzuatın açık şekilde tam zamanlı çalışma öngörmesine karşın risk yönetimi için sessiz kalması, risk yönetimi personelinin yarı zamanlı olarak da istihdam edilebileceğini şeklinde yorumlanabilecektir.

6. Muhasebe, Raporlama ve Bağımsız Denetim

Kuruluşların faaliyetlerini TFRS’ye uygun şekilde muhasebeleştirmeleri ve yılsonu finansal tablolarını SPK ve BDDK denetimindeki kuruluşlarda denetim yapma yetkisi almış bağımsız denetim kuruluşlarına denetlettirmeleri gerekmektedir. Yılsonuna ilişkin denetim raporunun en geç 15 Mayıs’a kadar TCMB’ye gönderilmesi gerekmektedir. TCMB’nin bağımsız denetim faaliyetinin yetersiz kaldığına karar verip ilave bağımsız denetim gerçekleştirilmesini isteme talebi hakkı vardır.

7. Denetim ve TCMB’ye Raporlama

TCMB, yönetmelik ve alt düzenlemeleri uygulamak ile bunların uygulanmasına ilişkin hususları izlemek ve denetlemekle görevlidir. TCMB denetimi, kuruluşlarca iletilen bilgi ve belgeler üzerinden yapılan uzaktan gözetimi ve yerinde denetimi kapsar. Kuruluşlar düzenli olarak TCMB’nin belirleyeceği format, yöntem, sıklık ve sürelerde raporlama yapmak zorundadır.

8. İş Sürekliliği Planı

Kuruluşların acil ve beklenmedik durum senaryoları, bu senaryoların gerçekleşmesi durumunda oluşacak kesintiler ve kayıpları kapsayan bir iş sürekliliği planı oluşturup bunu düzenli olarak test etmesi gerekmektedir. İş sürekliliği planı şube ve temsilcilikler, kritik operasyon ve kaynaklar ile dış hizmet sağlayıcılarla ilgili hususları da kapsamalıdır.