Türkiye’de finansal teknolojilerin hızla gelişmesiyle birlikte, Elektronik Para ve Ödeme Kuruluşları (EPÖK’ler) günlük hayatın vazgeçilmez bir parçası haline gelmiştir. Ancak bu büyüme, yasa dışı bahis, dolandırıcılık ve kara para aklama gibi finansal suç risklerini de beraberinde getirmektedir. Bu noktada, Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan düzenlemeler, bu kuruluşların faaliyetlerini güvenli bir zeminde sürdürebilmeleri için sağlam bir iç kontrol sistemi kurmalarını zorunlu kılmaktadır. Etkin bir iç kontrol mekanizması, hem kuruluşun itibarını ve varlığını korur hem de finansal sistemin genel güvenliğine katkıda bulunur.
Elektronik Para ve Ödeme Kuruluşları (EPÖK) İçin İç Kontrol Sisteminin Anlamı ve Önemi
İç kontrol sistemi, bir kuruluşun hedeflerine ulaşmasını sağlamak, operasyonel verimliliği artırmak, finansal raporlamanın güvenilirliğini temin etmek ve en önemlisi yasal düzenlemelere uyumu garanti altına almak için tasarlanmış entegre bir süreçler bütünüdür. EPÖK’ler için bu sistem, sadece bir idari zorunluluk değil, aynı zamanda iş modelinin sürdürülebilirliği için hayati bir savunma mekanizmasıdır.
İç Kontrol Sistemi Nedir?
İç kontrol sistemi, bir şirketin yönetim kurulu, üst yönetim ve diğer personeli tarafından etkilenen, operasyonların etkinliği ve verimliliği, finansal raporlamanın güvenilirliği ve ilgili yasa ve düzenlemelere uygunluk hedeflerine ulaşılmasına yönelik makul güvence sağlamak üzere tasarlanmış bir süreçtir. Bu sistem; risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim, ve izleme gibi birbiriyle ilişkili beş ana bileşenden oluşur. EPÖK’ler özelinde bu, müşteri tanıma (KYC) süreçlerinden işlem izleme mekanizmalarına, personel eğitimlerinden raporlama yükümlülüklerine kadar geniş bir yelpazeyi kapsar.
EPÖK’ler İçin Yasa Dışı Faaliyetlerin Önlenmesinde İç Kontrolün Rolü
Elektronik para ve ödeme hizmetleri, hız ve kolaylıkları nedeniyle yasa dışı faaliyetler için cazip bir alan olabilir. Yasa dışı bahis ve kumar gelirlerinin aklanması, dolandırıcılık ve terörizmin finansmanı gibi suçlar, bu platformlar üzerinden gerçekleştirilmeye çalışılabilir. İşte bu noktada iç kontrol sistemi, bu tür faaliyetleri proaktif olarak tespit etmek, engellemek ve yetkili makamlara bildirmek için birincil araçtır. Sağlam bir kontrol mekanizması, şüpheli işlem kalıplarını belirleyerek, riskli müşterileri veya işyerlerini tespit ederek ve anormal faaliyetlere anında müdahale ederek kuruluşu finansal ve itibari kayıplardan korur.
Risk Temelli Yaklaşım: Proaktif ve Sürekli Gelişim Sorumluluğu
TCMB’nin düzenlemeleri, EPÖK’lerin statik ve kuralcı bir kontrol anlayışı yerine “risk temelli bir yaklaşım” benimsemesini şart koşar. Bu yaklaşım, her kuruluşun kendi iş modeline, müşteri profiline, ürün ve hizmetlerine özgü riskleri analiz etmesini ve kontrol mekanizmalarını bu risklerle orantılı olarak tasarlamasını gerektirir. Bu, “tek beden herkese uyar” anlayışının terk edilmesi anlamına gelir. Kuruluşlar, risk unsurlarını proaktif ve devamlı olarak geliştirmekle, yeni dolandırıcılık trendlerini takip etmekle ve sistemlerini sürekli olarak bu yeni tehditlere karşı güncellemekle yükümlüdür.
İç Kontrol Sisteminin Hukuki ve Düzenleyici Dayanakları
EPÖK’lerin kurmakla yükümlü olduğu iç kontrol ve risk yönetimi sistemleri, keyfi uygulamalar olmayıp, temelini kanun ve yönetmeliklerden alan yasal zorunluluklardır. Bu düzenlemeler, sektörün güvenli, şeffaf ve istikrarlı bir yapıda faaliyet göstermesini amaçlamakta ve hem kuruluşları hem de son kullanıcıları korumaktadır.
6493 Sayılı Kanun Kapsamındaki Yükümlülükler
Türkiye’de ödeme hizmetleri ve elektronik para ihracı faaliyetlerinin temel çerçevesini 20/6/2013 tarihli ve 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” çizmektedir. Bu kanun, EPÖK’lerin faaliyet izinlerini, operasyonel kurallarını ve denetim esaslarını belirler. Kanun, TCMB’ye bu kuruluşların iç kontrol, risk yönetimi ve bilgi sistemleri altyapılarına ilişkin düzenlemeler yapma yetkisi vermiştir. Dolayısıyla, etkin bir iç kontrol sistemi kurma zorunluluğunun ana yasal dayanağı 6493 sayılı Kanun’dur.
TCMB’nin “Risk Yönetimi Rehberi”nin Amaç ve Kapsamı
TCMB, 6493 sayılı Kanun’dan aldığı yetkiyle, sektöre yönelik detaylı düzenlemeler yapmaktadır. Bu kapsamda yayımlanan “Ödeme ve Elektronik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi”, iç kontrol sistemlerinin pratikte nasıl şekilleneceğini ortaya koyan en önemli dokümanlardan biridir. Bu rehberin temel amacı, EPÖK’lerin sunduğu hizmetlerin yasa dışı faaliyetlerde kullanılmasını engellemek için alınması gereken asgari tedbirleri ve izlenecek yöntemleri belirlemektir. Rehber, onlarca farklı risk senaryosu tanımlayarak kuruluşlara yol göstermektedir.
5549 Sayılı Kanun ve MASAK Düzenlemeleri ile İlişkisi
TCMB Rehberi, EPÖK’lerin tek uyum yükümlülüğü değildir. 5549 sayılı “Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun” ve bu kanun çerçevesinde Hazine ve Maliye Bakanlığı’na bağlı Mali Suçları Araştırma Kurulu (MASAK) tarafından yapılan düzenlemeler, tüm finansal kuruluşlar için geçerli olan temel kara para aklama ve terörizmin finansmanıyla mücadele (AML/CFT) yükümlülüklerini içerir. TCMB Rehberi, bu genel yükümlülükleri ortadan kaldırmaz; aksine, EPÖK’lerin faaliyet alanlarına özgü riskleri de dikkate alarak bu yükümlülükleri tamamlar ve detaylandırır.
Yasa Dışı Faaliyetlerin Tespit ve Takibinde Kullanılacak Asgari Unsurlar
TCMB tarafından yayımlanan Risk Yönetimi Rehberi, EPÖK’lerin yasa dışı faaliyetleri tespit etmek için kurmaları gereken takip mekanizmalarına ilişkin somut ve detaylı senaryolar içermektedir. Bu senaryolar, kuruluşların asgari düzeyde izlemesi gereken şüpheli işlem ve davranış kalıplarını tanımlayarak, risk temelli yaklaşımın nasıl uygulanacağına dair net bir çerçeve sunar.
Takip Mekanizmalarının Otomasyon Zorunluluğu
Rehberin en kritik noktalarından biri, kurulacak takip mekanizmalarının manuel olamayacağıdır. İşlem hacimlerinin yüksekliği ve tespit edilmesi gereken senaryoların karmaşıklığı göz önüne alındığında, manuel kontroller yetersiz kalmaktadır. Bu nedenle, EPÖK’lerin tüm işlemleri gerçek zamanlı olarak izleyen, analiz eden ve tanımlanan risk senaryolarına uyan işlemleri anında işaretleyen otomatik sistemler kurması zorunludur. Manuel süreçler, bu otomatik sistemlerin tespit ettiği alarmları incelemek ve değerlendirmek gibi destekleyici roller üstlenebilir.
Ödeme Hesabına İlişkin Hizmetlerde İzlenmesi Gereken Risk Senaryoları
Bireysel veya kurumsal ödeme hesapları üzerinden gerçekleştirilen para transferleri, yasa dışı faaliyetler için en sık kullanılan yöntemlerden biridir. Rehber, bu alandaki riskleri minimize etmek için çok sayıda kontrol noktası belirlemiştir.
İşlem Frekansı ve Adedine Dayalı Kontroller (Günlük/Aylık Limitler)
Normal bir kullanıcı davranışının dışına çıkan işlem sıklığı, önemli bir risk göstergesidir. Örneğin, bireysel bir hesaptan bir günde 10’dan fazla veya bir ayda 15’ten fazla farklı kişiye para transferi yapılması, hesabın para “mule” (katırı) olarak bilinen aracılık faaliyetleri için kullanıldığına işaret edebilir. Bu tür limit aşımları sistem tarafından anında tespit edilmelidir.
Farklı Kişi Sayısına Dayalı Kontroller (Para Gönderen/Alan)
Bir hesaba kısa süre içinde çok sayıda farklı kişiden para gelmesi (örneğin, gün içinde 5, ay içinde 15 farklı kişiden) veya bir hesaptan çok sayıda farklı kişiye para gönderilmesi, tipik bir yasa dışı bahis veya “ponzi” şeması belirtisi olabilir. Bu durum, hesabın ticari bir amaç gütmeden para toplama veya dağıtma merkezi olarak kullanıldığını düşündürür.
Müşteri Profiline Dayalı Kontroller (Yaş, Yeni Hesap)
Müşterinin demografik bilgileri ve hesap geçmişi de risk analizinde kritik bir rol oynar. Örneğin, 20 yaşından küçük bir kullanıcının veya yeni açılmış bir hesabın ilk bir ay içinde 50’den fazla işlem yapması veya toplamda 27.500 TL gibi belirli bir limitin üzerinde işlem hacmine ulaşması şüpheli bir durum olarak değerlendirilir. Bu, gençlerin veya yeni açılan hesapların yasa dışı faaliyetler için daha kolay hedef seçilebildiği varsayımına dayanır.
Teknik ve Dijital İzlere Dayalı Kontroller (IP, E-posta, Cihaz Bilgileri)
Finansal işlemler, arkalarında dijital izler bırakır. Aynı IP adresinden aynı gün içinde 5 veya daha fazla farklı bireysel müşteri hesabına erişilmesi, bu hesapların tek bir merkezden kontrol edildiği şüphesini doğurur. Benzer şekilde, güvenilmeyen e-posta sunucuları, sürekli tekrar eden e-posta kalıpları veya bilinmeyen operatörlere ait telefon numaraları kullanılması da risk seviyesini artıran teknik göstergelerdir.
Coğrafi ve Ülke Bazlı Riskler (Riskli Ülkeler, Off-shore)
İşlemin yapıldığı coğrafi konum, risk analizinin önemli bir parçasıdır. Yüksek riskli olarak sınıflandırılmış ülkeler, off-shore merkezler veya bahis faaliyetlerinin yasal olduğu ülkelerden gelen IP adresleri veya bu ülkelere ait telefon numaraları ile işlem yapılması, özel bir inceleme gerektirir. Bu, uluslararası kara para aklama şebekeleriyle bağlantı riskini içerir.
İşlem Açıklaması Analizi (Şüpheli Kelime ve Anlamsız Metinler)
Para transferlerinin açıklama kısmı, işlemin amacı hakkında değerli bilgiler içerebilir. Ancak bu alanın yasa dışı faaliyetleri gizlemek için kullanılması da yaygındır. Anlamsız, ardışık veya tekrar eden karakterler (örn: “asdfg”, “123123”), işlemle ilgisiz metinler veya doğrudan “kumar, bahis, bet” gibi kelimeler ve kısaltmalar içeren açıklamalar, işlemin derhal şüpheli olarak işaretlenmesini gerektirir.
Ödeme Aracının Kabulüne İlişkin Hizmetlerde (Sanal/Fiziki POS) İzlenmesi Gereken Risk Senaryoları
Üye işyerlerine sunulan sanal veya fiziki POS hizmetleri, yasa dışı gelirlerin yasal ticari faaliyet geliri gibi gösterilmeye çalışıldığı (temizlendiği) bir alan olabilir. Bu nedenle üye işyeri faaliyetlerinin yakından izlenmesi kritik öneme sahiptir.
Ciro Anormallikleri ve Sektör Ortalamasından Sapmalar
Bir işyerinin cirosundaki ani ve açıklanamayan artışlar en temel risk göstergelerindendir. Ticari hayatın olağan akışına aykırı şekilde sektör ortalamasının çok üzerinde veya geçmişiyle uyumsuz derecede hızlı bir ciro artışı (örneğin, bir günde dört kat ve üzeri) yaşanması, işyerinin POS’unun yasa dışı işlem geçmek için kullanıldığına (faktoring) işaret edebilir.
İtiraz (Chargeback) Oranları ve Şüpheli İşlem Zamanlaması (Gece/Hafta Sonu)
Müşterilerden gelen harcama itirazlarının (chargeback) toplam işlem adedine veya tutarına oranının %5’i aşması, sunulan mal veya hizmette bir sorun olduğuna veya dolandırıcılık faaliyetine işaret eder. Ayrıca, bir işyerinin cirosunun büyük bir kısmını (%75’inin hafta sonu veya %50’sinin gece 21:00-06:00 arası gibi) normal çalışma saatleri dışında yapması, özellikle belirli sektörler için şüphe çekicidir.
Tekrar Eden Düz Tutarlı İşlem Desenleri
Yasa dışı bahis sitelerine para yatırma işlemlerinde genellikle belirli ve düz tutarlı rakamlar kullanılır. Bir işyerinin aylık işlem tutarının %25’inin 50, 100, 250, 1000 TL gibi tekrar eden yuvarlak rakamlardan oluşması, bu işyerinin paravan bir bahis aracısı olabileceği şüphesini güçlendirir.
Üye İşyeri Profili Riskleri (Domain Yaşı, Sermaye Yapısı, Ticari Geçmiş)
İşyerinin kendisi de bir risk unsuru olabilir. Örneğin, internet üzerinden satış yapan bir işyerinin domain yaşının 3 aydan küçük olması, ticari geçmişi olmayan yeni kurulmuş bir şirketin kısa sürede milyon TL’lik ciroya ulaşması veya düşük sermayeli, benzer ortaklık yapılarına sahip çok sayıda şirketin aynı kişi tarafından kurulup e-ticaret faaliyetine başlaması, organize bir suistimal şebekesinin göstergeleri olabilir.
Teknik Güvenlik Göstergeleri (Hatalı Girişler, Back URL, Yurtdışı IP)
Teknik detaylar, sahtekarlığı ortaya çıkarabilir. Sanal POS’ta kısa sürede çok sayıda “hatalı SMS OTP” uyarısı alınması, çalınan kartların denendiğini gösterebilir. İşlemin yapıldığı web sitesi ile teknik kayıtlardaki back URL bilgisinin uyumsuz olması veya Türkiye’deki bir işyerinin POS sunucusunun IP’sinin yurtdışında görünmesi gibi durumlar, API’nin veya POS bilgilerinin çalınarak başka bir sitede kullanıldığı anlamına gelebilir.
Fatura Ödemeleri ve Para Havalesi Hizmetlerinde İzlenmesi Gereken Risk Senaryoları
Fatura ödeme merkezleri veya para transferi hizmeti sunan temsilcilikler (acenteler), yasa dışı fon akışlarında aracı olarak kullanılabilir. Bu nedenle temsilci bazlı kontroller büyük önem taşır.
Temsilci Bazında Ciro ve İşlem Anormallikleri
Bir temsilcinin cirosunda ani ve dört kat gibi yüksek artışlar yaşanması, normal müşteri trafiğiyle açıklanamayan bir durumdur ve incelenmelidir. Benzer şekilde, bir bireysel müşterinin bir ayda 30’dan fazla fatura ödemesi de olağan dışı bir durumdur ve hesabın başkaları adına fatura ödeme (tahsilatçılık) için kullanıldığı şüphesini doğurur.
Coğrafi Tutarsızlıklar ve Yüksek Hızlı İşlemler
Fiziki bir noktada faaliyet gösteren bir temsilcinin, kendi bulunduğu il dışındaki iller için yoğun bir şekilde (örneğin, bir günde 10, ayda 100 adet) fatura ödemesine aracılık etmesi mantıksal bir tutarsızlık içerir. Ayrıca, bir temsilcinin 10 saniye gibi çok kısa bir sürede birden fazla işlem yapması, işlemlerin otomatik bir yazılım aracılığıyla ve muhtemelen sahte kimliklerle yapıldığına işaret edebilir.
Şirket Ortaklarının Temsilcilik Üzerinden Fon Aktarımı
Temsilci konumundaki şirketin ortağının veya gerçek faydalanıcısının, temsilcilik faaliyetini kullanarak kendi şahsi hesaplarına yüksek tutarlarda (örneğin, 200.000 TL ve üzeri) fon aktarması, temsilcilik cirosunun kişisel amaçlar için suistimal edildiğini ve potansiyel bir kara para aklama faaliyetini gösterebilir.
Mobil Ödeme Hizmetlerine Özgü Risk Senaryoları
GSM operatörleri aracılığıyla sunulan mobil ödeme hizmetleri, kendine özgü riskler barındırır. TCMB Rehberi, bu alanda gönderici ve alıcı taraflar için ayrı kontroller öngörmüştür.
Gönderenin Ödeme Hizmeti Sağlayıcısı (GHS) İçin Kontroller
Gönderenin ödeme hizmeti sağlayıcısı (genellikle GSM operatörünün kontrolündeki kuruluş), son kullanıcı davranışlarını izlemelidir. Örneğin, bir bireysel müşterinin gece 21:00-06:00 saatleri arasında 3 adet mobil ödeme yapması veya aynı cep telefonu numarasından bir saat içinde aynı işyerine 3’ten fazla, farklı işyerlerine 5’ten fazla işlem gerçekleştirmesi şüpheli kabul edilir. Ayrıca, uzun süredir hiç kullanılmayan bir hattan aniden mobil ödeme yapılması da bir risk sinyalidir.
Alıcının Ödeme Hizmeti Sağlayıcısı (AHS) İçin Kontroller
Mobil ödeme işleminde alıcı olan işyerine fon aktarımını sağlayan kuruluş (AHS) ise, bu işyerini “Ödeme Aracının Kabulüne İlişkin Hizmetler” başlığı altında belirtilen tüm Sanal POS risk senaryolarına göre değerlendirmelidir. Yani, mobil ödeme kabul eden işyeri de ciro anormallikleri, işlem zamanlaması, işlem tutar desenleri gibi tüm kriterler açısından bir sanal POS işyeri gibi denetlenmelidir.
Teknoloji Odaklı İç Kontrol: Otomatik İşlem İzleme ve API Güvenliği
TCMB’nin Risk Yönetimi Rehberi’nde belirtilen onlarca farklı senaryoyu ve karmaşık kuralı, insan gücüne dayalı manuel yöntemlerle takip etmek imkansızdır. Bu durum, EPÖK’leri teknoloji odaklı, akıllı ve otomatik çözümlere yöneltmektedir. Modern iç kontrol sistemleri, sadece yasal bir zorunluluğu yerine getirmekle kalmaz, aynı zamanda operasyonel verimliliği artırarak ve sahtekarlığı proaktif olarak önleyerek rekabet avantajı sağlar.
Manuel Kontrollerin Yetersizliği ve Otomatik Sistemlerin Gerekliliği
Binlerce, hatta milyonlarca işlemin gerçekleştiği bir ortamda, bir analistin her bir işlemi rehberdeki kurallara göre tek tek kontrol etmesi mümkün değildir. Manuel kontroller yavaştır, hataya açıktır ve en önemlisi, TCMB’nin getirdiği “3 saat içinde aksiyon belirleme” kuralını karşılayamaz. Şüpheli bir işlem gerçekleştikten sonra saatler veya günler sonra fark edilmesi, finansal kaybın ve yasa dışı fon transferinin çoktan gerçekleşmiş olması anlamına gelir. Bu nedenle, tüm işlemleri milisaniyeler içinde analiz edebilen, kural setlerini ve yapay zeka modellerini çalıştırabilen otomatik dolandırıcılık tespit ve önleme sistemleri bir tercih değil, bir zorunluluktur.
Modern ve Etkin Çözüm: İHS Teknoloji’nin Sunduğu Fraud.com “Bulut İşlem İzleme” (aiReflex)
Bu zorunluluk karşısında İHS Teknoloji, Fraud.com iş birliğiyle sunduğu aiReflex adlı Bulut İşlem İzleme çözümü ile EPÖK’lere kapsamlı bir çözüm sunmaktadır. AiReflex, geleneksel kural tabanlı sistemlerin ötesine geçen hibrit bir yapıya sahiptir. Bu yapı, hem TCMB Rehberi’ndeki gibi net ve tanımlı kuralların (örneğin, “günde 10’dan fazla transfer”) uygulanmasını sağlar hem de yapay zeka ve makine öğrenimi algoritmalarıyla daha önce tanımlanmamış, yeni ve karmaşık dolandırıcılık desenlerini tespit eder. Gerçek zamanlı işlem izleme, davranışsal biyometri, anomali tespiti, cihaz parmak izi (device fingerprinting) ve velocity check gibi gelişmiş yetenekleri sayesinde, şüpheli faaliyetleri anında yakalar. Bulut tabanlı (SaaS) bir çözüm olması, kuruluşların uzun ve maliyetli kurulum süreçleri olmadan hızlıca entegre olmasını ve TCMB’nin 3 saat kuralına tam uyum sağlamasını mümkün kılar. En büyük avantajlarından biri de, meşru işlemleri yanlışlıkla engelleyen “False Positive” oranını düşürerek hem müşteri memnuniyetini koruması hem de operasyonel yükü azaltmasıdır.
| Özellik | Manuel Kontrol | Otomatik Sistem (AiReflex) |
|---|---|---|
| Hız | Yavaş (Saatler/Günler) | Gerçek Zamanlı (Milisaniyeler) |
| TCMB 3 Saat Kuralı Uyumu | İmkansız | Tam Uyumlu |
| Kapsam | Örneklem Bazlı, Sınırlı | Tüm İşlemlerin %100’ü |
| Doğruluk | İnsan Hatasına Açık | Yapay Zeka ile Yüksek Doğruluk |
| “False Positive” Oranı | Yüksek | Düşük |
| Yeni Tehditlere Uyum | Zor ve Yavaş | Makine Öğrenimi ile Hızlı Adaptasyon |
| Maliyet | Yüksek Personel Maliyeti | Öngörülebilir SaaS Maliyeti |
API Bağlantılarına İlişkin İç Kontrol Tedbirleri
EPÖK’ler, hizmetlerini işyerlerine ve temsilcilerine genellikle API (Uygulama Programlama Arayüzü) bağlantıları üzerinden sunar. Bu API’ler, kontrolsüz bırakıldığında ciddi güvenlik açıkları oluşturabilir. TCMB Rehberi, API güvenliğine yönelik özel tedbirler alınmasını zorunlu kılar.
API Envanteri Oluşturma ve Risk Değerlendirmesi
Kuruluşlar, hizmet verdikleri tüm işyerleri, temsilciler ve diğer müşteriler için kullandıkları API’lerin bir envanterini tutmakla yükümlüdür. Bu envanterde işyeri bilgileri, URL adresi, bağlantı yapılan IP adresi ve API’nin hangi amaçla verildiği gibi bilgiler yer almalıdır. Bu envanter düzenli olarak (en az 3 ayda bir) güncellenmeli ve her bir API bağlantısı için risk değerlendirmesi yapılmalıdır.
API Üzerinden Gerçekleşen İşlemlerde Anomali Tespiti
API’ler üzerinden geçen işlemler de otomatik olarak izlenmelidir. Aynı IP üzerinden çok sayıda farklı ödeme hesabına işlem yapılması veya bir hesaba çok kısa süreler içinde farklı IP’lerden erişilmesi gibi anormal davranış desenleri tespit edilerek engellenmelidir. Bu, API anahtarlarının çalınarak kötüye kullanılmasını önlemeye yardımcı olur.
Denetim İzlerinin (Audit Trail) Tutulması ve İçeriği
API üzerinden geçen her işleme dair detaylı denetim izlerinin (log kayıtları) tutulması zorunludur. Bu kayıtlarda asgari olarak işlem türü, tutarı, tarihi, saati, müşteri ve işyeri bilgileri, kullanılan kart bilgileri (güvenlik standartlarına uygun olarak maskelenmiş) ve isteğin geldiği kaynak IP, port, URL gibi teknik bilgiler bulunmalıdır. Bu izler, olası bir sahtekarlık durumunda olayın araştırılması için hayati önem taşır.
API Güvenlik Tedbirleri: IP Kısıtlaması, Beyaz Liste (Whitelist) ve URL Doğrulaması
API bağlantılarının amaç dışı kullanımını önlemek için katı güvenlik önlemleri alınmalıdır. API’nin sadece belirli, statik IP adreslerinden gelen isteklere cevap vermesi için bir beyaz liste (whitelist) oluşturulmalıdır. Ayrıca, API’nin kurulduğu web sitesi URL’si ile işlemin geldiği back URL bilgisinin aynı olması sağlanarak, API anahtarının başka bir sitede kullanılması engellenmelidir. Bu kurallara uymayan ve amaç dışı kullanım tespit edilen işyerleri ile derhal iş ilişkisi kesilmelidir.
Riskli İşlemlerin Tespiti, Aksiyon Süreçleri ve Yaptırımlar
Etkin bir iç kontrol sisteminin son adımı, tespit edilen riskli işlemlere karşı zamanında ve doğru aksiyonların alınması ve bu süreçlerin yasal yükümlülüklere uygun olarak yönetilmesidir. Risklerin tespit edilip üzerine gidilmemesi, en az riskleri hiç tespit edememek kadar büyük bir uyum eksikliğidir.
Tespit Edilen Riskli İşlemlere İlişkin Alınacak Aksiyonlar (3 Saat Kuralı)
TCMB Rehberi bu konuda çok net bir zaman çerçevesi çizmektedir: Riskli işlemlerin tespiti anlık (gerçek zamanlı) olmalıdır. Tespit edilen bu riskli işleme veya duruma ilişkin yapılacak değerlendirme ve alınacak aksiyonların ise işlem anından itibaren en geç üç saat içerisinde belirlenmesi gerekmektedir. Bu aksiyonlar; işlemin geçici olarak durdurulması, müşteriden veya işyerinden ek bilgi/belge talep edilmesi, hesabın geçici olarak bloke edilmesi veya durumun ciddiyetine göre iş ilişkisinin sonlandırılması gibi çeşitli önlemleri içerebilir. Bu 3 saatlik süre, manuel inceleme süreçlerini neredeyse imkansız hale getirmekte ve otomatik alarm ve vaka yönetim sistemlerinin önemini bir kez daha ortaya koymaktadır.
Şüpheli Durumlarda İş İlişkisinin Sonlandırılması ve Kayıt Altına Alınması
Yapılan incelemeler sonucunda bir müşterinin, işyerinin veya temsilcinin yasa dışı faaliyetlerde bulunduğuna dair güçlü şüpheler oluşursa, kuruluşun bu taraflarla iş ilişkisini derhal sonlandırması gerekmektedir. Bu sadece bir güvenlik önlemi değil, aynı zamanda yasal bir yükümlülüktür. İş ilişkisi sonlandırılan bu kişiler ve kurumlar, gelecekte tekrar müşteri olmalarını engellemek amacıyla bir kayıt altına alınmalı (kara liste) ve bu kayıtlar Tebliğ hükümlerine uygun olarak en az 10 yıl süreyle saklanmalıdır. Bu bilgiler, düzenli olarak üst yönetime raporlanmalıdır.
İç Kontrol Yükümlülüklerine Aykırılığın Sonuçları ve İdari Para Cezaları
TCMB Rehberi’nde belirtilen takip yöntemlerine, risk unsurlarına ve talimatlara uymamak ciddi sonuçlar doğurabilir. Bu tür eksiklikler, kuruluşun “iç kontrol”, “risk yönetimi” ve “bilgi güvenliği” gibi temel yükümlülüklerine aykırılık olarak kabul edilir. 6493 sayılı Kanun’un ilgili maddeleri uyarınca, bu aykırılıkları tespit edilen kuruluşlara önemli miktarlarda idari para cezası uygulanabilir. TCMB, bu cezaları belirlerken yayımladığı “İdari Para Cezalarına İlişkin Açıklama Rehberi”ndeki esasları ve oranları dikkate alır. Dolayısıyla, iç kontrol sistemine yapılacak yatırım, olası bir cezai yaptırımın maliyetinden çok daha düşüktür.
| Yükümlülük | Uygun Davranış | Aykırılık ve Sonucu |
|---|---|---|
| İşlem İzleme | Tüm işlemleri otomatik sistemlerle gerçek zamanlı izlemek, rehberdeki senaryoları uygulamak. | Manuel izleme yapmak veya yetersiz kalmak. Sonuç: Risklerin gözden kaçırılması, idari para cezası. |
| Aksiyon Süresi | Riskli işlemi tespit ettikten sonra en geç 3 saat içinde aksiyon planını belirlemek. | İncelemeleri geciktirmek, 3 saat kuralına uymamak. Sonuç: Yasa dışı işlemin tamamlanması, idari para cezası. |
| İş İlişkisinin Yönetimi | Yasa dışı faaliyeti kanıtlanan müşteri/işyeri ile ilişkiyi derhal kesmek ve kayıt altına almak. | Riskli müşterilerle çalışmaya devam etmek. Sonuç: Suça iştirak riski, lisans kaybına varabilecek yaptırımlar. |
| Kayıt Saklama | İlişkisi kesilenlere ait kayıtları ve denetim izlerini en az 10 yıl saklamak. | Kayıtları eksik tutmak veya zamanından önce silmek. Sonuç: Denetimlerde tespit, idari para cezası. |
Etkin Bir İç Kontrol ve İşlem İzleme Sistemi İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
TCMB’nin belirlediği katı kurallar ve yasa dışı faaliyetlerin giderek karmaşıklaşan doğası, EPÖK’leri geleneksel yöntemlerin ötesinde, akıllı ve kapsamlı çözümler aramaya itmektedir. İHS Teknoloji’nin Fraud.com iş birliğiyle sunduğu aiReflex siber güvenlik çözümü, bu ihtiyacı karşılamak üzere tasarlanmış modern bir platformdur. Kuruluşunuzun sadece mevzuata uyum sağlamasını değil, aynı zamanda daha güvenli ve verimli çalışmasını hedefler.
TCMB Rehberindeki Tüm Senaryolara Uyumlu Esnek Kural Motoru
aiReflex, TCMB Rehberi’nde detaylandırılan onlarca spesifik senaryoyu (ciro artışları, işlem frekansları, şüpheli açıklamalar, coğrafi riskler vb.) kolayca tanımlamanıza olanak tanıyan güçlü ve esnek bir kural motoruna sahiptir. Bu sayede, düzenleyici kurumun beklentilerini eksiksiz bir şekilde karşılayabilir ve denetimlere tam bir özgüvenle girebilirsiniz. Kurallar, kurumunuzun kendi risk iştahına göre özelleştirilebilir ve yeni tehditler ortaya çıktıkça anında güncellenebilir.
Yapay Zeka Destekli Gerçek Zamanlı Tespit ve Düşük Hata Oranı
Platformun en büyük gücü, kural tabanlı kontrolleri yapay zeka ve makine öğrenimi ile birleştirmesidir. Bu hibrit yaklaşım, sadece bilinen riskleri değil, aynı zamanda sistemin kendi kendine öğrendiği anormal davranış kalıplarını ve gizli ilişkileri de ortaya çıkarır. Bu sayede, dolandırıcıların sürekli değiştirdiği yeni yöntemlere karşı proaktif bir savunma sağlanır. Yapay zeka, meşru müşteri davranışlarını daha iyi analiz ederek “false positive” (yanlış alarm) oranını önemli ölçüde düşürür, bu da operasyon ekibinizin sadece gerçek risklere odaklanmasını sağlar.
Kolay Entegrasyon ve Kullanıcı Dostu Arayüzler
Bulut tabanlı bir SaaS (Hizmet Olarak Yazılım) platformu olan aiReflex, kurumunuzun mevcut altyapısına karmaşık ve uzun süren projeler olmadan, basit API entegrasyonları ile hızla dahil edilebilir. Bu, teknoloji yatırımınızın çok daha hızlı bir şekilde değer yaratmaya başlaması anlamına gelir. Ayrıca, analistlerin ve uyum görevlilerinin alarmları kolayca yönetebileceği, vakaları inceleyebileceği ve kararlar alabileceği modern, anlaşılır ve kullanıcı dostu arayüzler sunar.
Kapsamlı Raporlama ve Denetim Süreçlerine Hazırlık
aiReflex, yapılan tüm analizleri, tespit edilen şüpheli işlemleri, alınan aksiyonları ve bunların sonuçlarını detaylı bir şekilde kayıt altına alır. Platform, hem yönetim raporlaması için gerekli özet verileri hem de yasal denetimlerde talep edilebilecek ayrıntılı denetim izlerini (audit trail) sunar. Bu, kurumunuzun şeffaflığını artırır ve TCMB başta olmak üzere düzenleyici kurumlara karşı hesap verebilirliğinizi güçlendirir. Kapsamlı raporlama yetenekleri, risklerinizi daha iyi anlamanıza ve gelecekteki stratejilerinizi bu verilere dayanarak şekillendirmenize yardımcı olur.
