Demo Talep Et
Tüm yazılar

Rehber

TCMB Denetim Hazırlığı: Ödeme ve E-Para Kuruluşları İçin Kontrol Listesi

11 Haziran 20267 dk okuma

RehberTCMB Denetim Hazırlığı: Ödeme ve E-Para Kuruluşları İçin Kontrol Listesi

TCMB denetiminde ödeme ve e-para kuruluşları neyle karşılaşır? Şikayet yönetimi, kayıt saklama, bilgi sistemleri ve organizasyonel hazırlık: kurumun denetim gününe hazır olmasını sağlayan pratik kontrol listesi.

Türkiye Cumhuriyet Merkez Bankası, 6493 sayılı Kanun kapsamında ödeme kuruluşlarını ve elektronik para kuruluşlarını hem lisanslama hem de süregelen denetim açısından doğrudan gözetim altında tutar. TCMB denetimi; yalnızca mali tablolar veya ödeme altyapısını değil, müşteri şikayet yönetimi, kayıt tutma, bilgi sistemleri altyapısı ve organizasyonel yapıyı da kapsar.

Çoğu kuruluş denetim sürecini bir sürpriz olarak değil, öngörülebilir bir idari süreç olarak yaşamak ister. Bunun için gereken şey sistematik bir hazırlık: hangi alanlarda hangi belgelerin denetçilere sunulması gerektiğini, hangi süreçlerin çalışır durumda olduğunu ve hangi eksikliklerin önceden giderilmesi gerektiğini bilen bir organizasyon yapısı.

Yasal Çerçeve: 6493 Sayılı Kanun

6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, ödeme ve e-para kuruluşlarının temel yasal dayanağıdır. Bu Kanun'un 23. maddesi kayıt tutma ve saklama yükümlülüğünü düzenlemektedir: hizmetlere ilişkin kayıtlar 10 yıl süreyle, yurt içinde güvenli biçimde saklanmak zorundadır ve istendiğinde ibraz edilebilir durumda bulundurulmalıdır.

TCMB, bu Kanun kapsamında çıkardığı ikincil düzenlemelerle ödeme ve e-para kuruluşlarının müşteri şikayet yönetimi, bilgi sistemleri güvenliği ve organizasyonel yapıya ilişkin standartlarını belirlemiştir. Denetimler, bu düzenleme setinin bütününe uyumu değerlendirmektedir.

6493'ün saklama yükümlülüğünü ihlal eden kuruluş yöneticileri, Kanun'un ilgili hükümleri çerçevesinde 1 ila 3 yıl hapis cezası ve adli para cezasıyla karşılaşabilir. Bu nedenle kayıt saklama boyutu, salt bürokratik bir gereklilik olarak değil; kişisel cezai sorumluluk içeren bir risk olarak değerlendirilmelidir.

Denetim Alanları ve Kontrol Listesi

1. Müşteri Şikayet Mekanizması

  • Kuruluş, müşterilerin başvurabileceği yazılı ve elektronik şikayet kanallarını tanımlamış ve müşterilere duyurmuş mu?
  • Her şikayet için başvuru tarihi, kanal bilgisi, içerik, sorumlu birim ve sonuç kayıt altına alınıyor mu?
  • Şikayetlere verilen yanıt 30 takvim günü içinde tamamlanıyor ve belgeleniyor mu?
  • Yanıtsız kalan veya süre aşımına giren başvurular için eskalasyon süreci tanımlı mı?
  • Şikayet kanalları erişilebilir ve güncel mi? (web sitesi, mobil uygulama, çağrı merkezi, fiziksel başvuru)

2. Kayıt Saklama ve İbraz Kabiliyeti

  • Tüm müşteri şikayet kayıtları 10 yıl süreyle saklanıyor mu?
  • Kayıtlar yurt içindeki altyapıda mı tutuluyor? (6493 m.23 yurt içi saklama zorunluluğu — yurt dışı bulut bu yükümlülüğü karşılamaz)
  • Saklanan kayıtlar denetimde istendiği an ibraz edilebilir durumda mı?
  • Kayıtlar üzerinde yapılan değişiklikler loglanıyor ve değiştirilemez denetim izi sağlanıyor mu?
  • Elektronik arşiv bütünlüğü düzenli aralıklarla kontrol ediliyor mu?

3. Bilgi Sistemleri Altyapısı

  • Şikayet yönetim sistemi yedeklilik ve iş sürekliliği gerekliliklerini karşılıyor mu?
  • Sisteme erişim logu tutuluyor mu? (kim, ne zaman, hangi kayda erişti)
  • Sistem üzerinde yapılan silme veya değiştirme işlemleri kayıt altına alınıyor mu?
  • Kişisel verilere erişim yetkilendirmesi rol bazında tanımlanmış ve güncel mi?
  • Bilgi sistemleri güvenliği için düzenli güvenlik değerlendirmesi yapılıyor mu?

4. Organizasyonel Yapı

  • Şikayet yönetiminden sorumlu bir birim veya yetkili kişi kurum içinde resmi olarak atanmış mı?
  • Şikayet yönetimi prosedürü yazılı olarak belgelenmiş ve güncel mi?
  • İlgili personel bu prosedürler konusunda eğitim almış mı?
  • Şikayet trendleri üst yönetime düzenli olarak raporlanıyor mu?
  • Müşteri şikayetleri, ürün ve süreç iyileştirme süreçlerine girdi olarak aktarılıyor mu?

5. MASAK Uyum Entegrasyonu

  • 5549 sayılı Kanun kapsamındaki kayıt tutma yükümlülüğü şikayet kayıtlarıyla entegre yönetiliyor mu?
  • Müşteri kimlik tespiti kayıtları ile şikayet kayıtları ilişkilendirilebiliyor mu?
  • Şüpheli işlem bildirimi (ŞİB) sürecinde şikayet verileri değerlendirmeye alınıyor mu?

Denetim Öncesi Pratik Adımlar

Kontrol listesini işaretlemenin yanı sıra, denetim öncesinde yapılması gereken birkaç pratik adım vardır:

Kayıt bütünlüğü doğrulaması: Sistemdeki şikayet kayıtlarını örneklem bazında gözden geçirerek eksik veya tutarsız alanlar tespit edilmeli ve giderilmelidir. Denetçi, rastgele seçtiği kayıtların bütünlüğünü kontrol edebilir.

Prosedür güncelliği: Şikayet yönetimi prosedürünün en son mevzuat değişikliklerine ve TCMB yönetmeliklerine uygun olup olmadığı kontrol edilmelidir. Eski tarihli veya güncellenmemiş prosedür belgesi, uyumsuzluk göstergesi olarak değerlendirilebilir.

Personel hazırlığı: Denetçilerin görüşme yapabileceği uyum ve operasyon sorumluları, denetim süreci hakkında önceden bilgilendirilmeli; hangi soruların sorulabileceği değerlendirilmelidir.

Hızlı erişim paketi: Denetim sırasında sıkça istenen belgeler önceden hazır tutulmalıdır: şikayet prosedürü, son dönem şikayet istatistikleri, örnek şikayet dosyaları ve kayıt saklama altyapısına ilişkin teknik belge.

FlowDesk ile TCMB Denetim Hazırlığı

FlowDesk, ödeme ve e-para kuruluşları için on-premise model olarak çalışan bir şikayet yönetim platformudur. 6493 sayılı Kanun'un öngördüğü yurt içi saklama zorunluluğu, FlowDesk'in temel mimarisiyle doğrudan karşılanır: tüm veriler kurumun kendi altyapısında tutulur.

Denetim izi: Her şikayet kaydı üzerindeki tüm işlemler (oluşturma, güncelleme, erişim, kapatma) otomatik olarak loglanır. Değiştirilemez denetim izi, denetçinin "bu kayda kim dokundu?" sorusunun yanıtını anında üretir.

10 yıl arşiv: Kayıt saklama süresi sistemde tanımlanabilir; süre dolmadan önce arşivleme politikaları devreye girer. 6493 m.23'ün öngördüğü 10 yıllık süre sistematik biçimde yönetilir.

Anlık raporlama: Şikayet hacmi, yanıt süresi uyum oranı ve eskalasyon verileri standart raporlar olarak çıkarılabilir. Denetim öncesinde veri derlemek yerine hazır sistem çıktısı sunulur.

SLA takibi: 30 günlük yanıt süresi her başvuru için sistem tarafından izlenir. Süre aşımına girilmeden önce operasyon ekibi otomatik olarak uyarılır; bu da denetimde "yanıt süresini kaçırdınız mı?" sorusunu ortadan kaldırır.

Sonuç

TCMB denetimi, ödeme ve e-para kuruluşları için hem lisansın korunması hem de kurumsal güvenilirliğin sağlanması açısından kritik bir süreçtir. Denetim hazırlığının temeli; önceden hazırlanmış belgeler ve çalışır durumdaki sistemlerdir. Denetim günü yapılacak son dakika düzenlemeleri ne belge eksikliklerini kapatır ne de kontrol listesinin boşluklarını doldurur.

Yukarıdaki kontrol listesi, denetim hazırlığını sistematik biçimde yönetmek için bir başlangıç noktasıdır. Her kuruluşun kendi lisans türüne, ürün portföyüne ve TCMB ile kurduğu özgün ilişkiye göre bu listeyi genişletmesi ve kurumsal bağlamına uyarlaması önerilir.

Şikayet yönetim altyapınızın TCMB denetim gerekliliklerine uygunluğunu değerlendirmek için FlowDesk ekibiyle iletişime geçebilirsiniz.

FlowDesk

Operasyonu tek mimaride,
uçtan uca yönetin.

© 2026 FlowDesk. Tüm hakları saklıdır.

contact@flowdesk.com.trKVKK uyumlu