Risk Yönetim Politikası,

Kullanıcıların Hakları ve Sorumlulukları

 

A. Risk Yönetim Politikası

1. Amaç

Bu politika, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Kanunu ve ilgili Kanun kapsamında düzenlenen Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine ilişkin Tebliğ esas alınarak, Kuruluşun genel Risk Yönetimi Politikasının belirlenmesi ve Kuruluşun hedeflerine ulaşmasını sağlarken faaliyetlerinden doğan risklerin tanımlanması, yönetilmesi, ölçülmesi, izlenmesi ve raporlanmasına ilişkin ilkelerin tespit edilmesi amacıyla düzenlenmiştir.

2. Kapsam

Bu politika, Kuruluşun genel risk politikasını, maruz kaldığı risk türleri itibari ile risk yönetim uygulamalarını içermektedir. Bu kapsamda hazırlanan bu metin, Kuruluşun tüm işlem ve faaliyetlerini kapsar.

3. Görev ve Sorumluluklar

Yönetim Kurulu

 

·         Kuruluşun organizasyon yapısı ve insan kaynakları politikası ile personelin yetki ve sorumluluklarının belirlenmesinden,

·         Kuruluşun organizasyon yapısında yer alan birimlerin kurulmasına ilişkin kararın verilmesinden,

·         İç kontrol ve risk yönetimi birimlerinin faaliyetlerine ilişkin strateji ve politikalar ile uygulama usullerinin yazılı olarak belirlenmesi, bunların etkin bir şekilde uygulanması ve idame ettirilmesinden,

·         Kuruluşun genel olarak ve maruz kalınabilecek her bir risk türü itibariyle risk yönetimine ilişkin politika ve stratejilerin, alabileceği risk seviyesinin ve bunlara ilişkin uygulama usullerinin yazılı olarak belirlenmesinden ve risklerin yönetimi konusunda bilgi sahibi olmaktan,

·         Bilgi sistemlerinin yönetimine ilişkin politikaların belirlenmesinden ve etkin işleyişini temin etmeye yönelik kontrol süreçlerini oluşturarak uygulanmasının sağlanmasından,

·         Müşteri şikayetlerinin değerlendirilerek sonucu hakkında ilgililere cevap verilmesini sağlayacak bir sistemin oluşturulmasını ve şikayetlerin belirlenecek hususları ihtiva edecek şekilde kendisine düzenli raporlanmasını ve şikayet konusu hususlara ilişkin gerekli tedbirlerin alınmasını sağlamaktan,

·         Fonların korunmasına ilişkin usul ve esaslar ile buna ilişkin iç kontrol ve risk yönetimi prosedürlerinin belirlenmesinden,

·         Birim yöneticilerinin atanmasından,

·         Genel Müdür ile aynı nitelikleri haiz olmak kaydıyla genel müdür vekili olarak yönetim kurulu toplantılarına katılacaklar ve bunların hangi hallerde bu toplantılara katılacaklarının belirlenmesinden, sorumludur.

 

Risk Yönetim Sorumlusu

 

·         Kuruluştaki mevcut süreçlerde ve alt süreçlerdeki riskleri tanımlanması ve değerlendirilmesinden,

·         Riskleri önceliklendirilmesi ve sınıflandırılmasından,

·         Mevcut risklere karşı yürütülecek faaliyetleri İç Kontrol Sorumlusu ile birlikte belirlenmesinden,

·         Belirlenen faaliyetlerin uygulanmasını sağlanmasından,

·         Üç aylık periyodlarda mevcut risklerin Yönetim Kurulu’na raporlanmasından sorumludur.

 

 

 

İç Kontrol Sorumlusu

 

·         Kuruluşun maruz kaldığı riskleri ve bunlara ilişkin kontrolleri dikkate alarak denetim çalışmalarında öncelik verilecek alanların, dikkate alınacak ayrıntıların ve denetim sıklığının belirlenmesini sağlayacak risk kontrol matrisinin oluşturulmasından,

·         Kuruluş bünyesinde işlevsel görev ayrımının tesis edilmesi, sorumlulukların paylaştırılması, yetki ve sorumlulukların açıkça ve yazılı olarak belirlenmesinden,

·         İç kontrol faaliyetlerinin oluşturulmasından,

·         Kuruluş’nun iş süreçleri üzerinde kontrollerin ve iş adımlarının gösterildiği iş akış şemalarının oluşturulmasından,

·         İç kontrol faaliyetlerinin oluşturulmasından,

·         Kuruluşun ana faaliyetlerinin icrasına yönelik işlemlerin kontrolünün periyodik olarak gerçekleştirilmesinden,

·         5549 sayılı Kanun (Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun) ile iç düzenleme ve teamüllere ve diğer mevzuata uyumun ve bu amaçla işletilen süreçlerin kontrolünün gerçekleştirilmesinden,

·         Kuruluş bünyesinde üretilen güvenilir, tam, izlenebilir, tutarlı ve ihtiyacı karşılayacak uygun biçim ve nitelikte olmasının sağlanmasından,

·         Gerçekleştirilen iç kontrol faaliyetlerine ilişkin olarak Haziran ve Aralık sonu itibariyle yılda iki kez Yönetim Kuruluna veya Yönetim Kurulu’nun belirleyeceği Genel Müdür dışındaki bir Yönetim Kurulu üyesine raporlama yapmaktan,

·         Ödeme fonlarının korunması ve/veya elektronik para koruma hesabına ilişkin işlemlerin mevzuata uygun şekilde gerçekleştirilmesi için gerçekleştirilecek iç kontrol faaliyetlerinin takibinden sorumludur.

 

4. Risk Yönetişimi

Kuruluşun risk yönetimi süreci, Kuruluş üst düzey yönetimi ile Risk Yönetim Sorumlusu’nun birlikte belirlediği ve Yönetim Kurulu’nun onayladığı esaslar çerçevesinde, risklerin tanımlanıp ölçülmesi, risk politikaları ve uygulama usullerinin oluşturulması ve uygulanması, risklerin analiz edilmesi, izlenmesi ve raporlanması süreçlerinden meydana gelir. Belirlenen riskler İç Kontrol Sorumlusu ile paylaşılır, İç Kontrol Sorumlusu Kuruluşun maruz kaldığı riskleri ve bunlara ilişkin kontrolleri dikkate alarak denetim çalışmalarında öncelik verilecek alanların, dikkate alınacak ayrıntıların ve denetim sıklığının belirlenmesini sağlayacak risk kontrol matrisini oluşturur.

4.1. Risk Yönetim İlkeleri

4.1.1. Risklerin Tanımlanması

Kuruluşun karşılaşabileceği, maruz kalabileceği ve sunulan hizmetlerin taşıdığı riskler aşağıda belirtilmiştir. Bu riskler sayıca artabilir veya öncelikleri değişebilir, makro ekonomik gelişmelere ve Kuruluşun kendi gelişimine göre zaman zaman yeniden değerlendirme ve revizyon yapılır:

Operasyonel Risk: Yetersiz veya başarısız iç süreçler, insanlar ve sistemlerden ya da harici olaylardan kaynaklanan ve yasal riski de kapsayan zarar etme olasılığı olarak tanımlanmıştır.

 

İtibar Riski: Mevcut veya potansiyel müşteriler, ortaklar, rakipler ve denetim otoriteleri gibi tarafların firma hakkındaki olumsuz düşünceleri ya da mevcut yasal düzenlemelere uygun davranılmaması neticesinde firmaya duyulan güvenin azalması veya Kuruluş itibarının zedelenmesi nedeniyle firmanın zarar etme olasılığını ifade eder.

 

İş Riski: Yasal düzenlemeler, teknolojik gelişmeler, müşteri davranışları ve rekabet ortamına ilişkin ekonomide ve genel iş koşullarında meydana gelen beklenmedik değişiklikler sebebiyle Kuruluşun maliyet yapısı, ürün konumlandırması, fiyatlandırma veya faaliyetlerindeki adaptasyon sorunları dolayısıyla beklenenden daha düşük gelir elde edilmesi ya da daha yüksek maliyetlere katlanılmasından kaynaklanan risktir.

 

Stratejik Riski: Kuruluşun yanlış ticari seçimlerden veya yapılan ticari seçimlerin yanlış şekilde uygulanmasından ya da sektörel değişikliklerin iyi analiz edilmemesi veya yorumlanmaması neticesinde söz konusu değişiklikler ile bu değişikliklerden ileride doğabilecek fırsat ve tehditlere uyumlu karar alınmaması ve uygun hareket edilememesinden dolayı Kuruluşun zarar etme olasılığını ifade eder.

 

Uyum Riski: Kuruluşun faaliyetlerinin veya personelin tutum ve davranışlarının mevzuat, düzenleme ve standartlara uygun ve uyumlu olmaması sonucunda maruz kalınabilecek yaptırımlar, finansal kayıplar ve/veya itibar kaybı ile ilgili risklerdir.

 

Ülke Riski: Ekonomik, sosyal ve siyasi koşullarda meydana gelen belirsizlikler nedeniyle bir ülkedeki borçluların dış yükümlülüklerini yerine getirememeleri veya yerine getirmekten kaçınmaları sonucunda Kuruluşun maruz kalabileceği zarar olasılığıdır.

 

Bilgi Sistemleri Riski: Hatalı tasarlanmış sistem mimarileri, hatalı modellemeler, güvenlik zaafiyetleri, iletişim problemi, yazılım ve/veya donanım hataları, veri ve sistem kayıpları ile elverişsiz bir bilgi teknoloji stratejisi ve politikasından veya Kuruluşun bilişim teknolojisini yetersiz kullanımından kaynaklanan riskleri içerir.

 

Finansal Risk: Herhangi bir nedenle maddi kayıp yaşanması veya beklenmeyen bir maliyet oluşması durumudur.

 

4.1.2. Risklerin Yönetimi

Kuruluşun risk yönetimi, Risk Yönetim Sorumlusu tarafından gerçekleştirilmekle birlikte gözetimi Yönetim Kurulu’nun sorumluluğu altındadır. Riskler, Risk Birimi tarafından hazırlanan ve Üst Yönetim (Yönetim Kurulu) tarafından onaylanmış olan politika, uygulama usulleri ve risk stratejileri doğrultusunda,  BDDK mevzuatıyla uyumlu ve güncel piyasa ihtiyaçlarına cevap verebilecek şekilde yönetilmektedir.

Kuruluş, strateji planlamasını ve yönetim kurulu tarafından belirlenen risk iştahını göz önünde bulundurarak risk yönetimini ve sermaye planlamasını yapar.

4.1.3. Risklerin Ölçülmesi

Operasyonel riskler, iç kontrol, iç denetim ve risk yönetimi sistemlerinin yeterli ve uygun bir şekilde oluşturulması ve uygulanması, Kuruluş içinde görev ve sorumlulukların tanımlanması, Kuruluşun tüm faaliyetlerinin süreç ve sistemlerinin detaylı bir şekilde test ve kontrol edilmesi, iç ve dış sistemler arasında tam bir uyumun tesisi, bilgi sistemleri ve insan kaynaklarına ilişkin olarak yedekleme imkanlarının tesisi, bu risklerden kaynaklanabilecek zararların kontrolünün sağlanması amacıyla, kayıplara ilişkin verilerin, bilgi sisteminde saklanılarak analize hazır durumda bulundurulması hususunda gerekli tüm tedbirlerin alınması, gerekli dokümantasyonla desteklenmesi ve uygulanması suretiyle yönetilir.

Kuruluşun risk yönetimi uygulamaları dahilinde risk limitlerinin Yönetim Kurulunca onaylanması esastır.

Risk yönetiminde kullanılan verilerin kalitesinin düzenli kontrolü için yönetim süreci oluşturulur ve ilgili kapsamdaki işlemlere ilişkin sorumluluklar ile süreç tanımları yazılı olarak belirlenir. Veri yönetim süreci oluşturulurken veri kalitesi, verinin zamanında, tutarlı ve güvenilir şekilde temin edilmesi ile veri güvenliğini etkileyebilecek tüm riskler dikkate alınır.

4.1.4. Risklerin İzlenmesi ve Raporlanması

Gündeme getirilen risklere yönelik aşağıda belirtilen detayda raporlama yapılır:

·         Kuruluşun stratejik planında yer alan hedeflerden hangi hedeflerine dair oldukları

·         Ne zaman belirlendikleri

·         Kimin koordinasyonunda olduğu

·         Riske karşı hangi kararların alındığı

·         Alınan karar doğrultusunda yapılacaklar

·         Aksiyon planı adımları için öngörülen tamamlanma tarihleri

Üst Yönetim toplantısında kilit risklere yönelik yapılan yorum ve öneriler doğrultusunda Risk Envanteri Risk Yönetim Sorumlusu tarafından güncellenir güncellemelerden ilgili yöneticiler ve aksiyon sahipleri haberdar edilir.

Risk Envanteri kapsamında her risk için tanımlanmış olan aksiyonları içinden tamamlananların durumları Risk Yönetim Sorumlusu tarafından güncellenir ve tamamlanmasının ardından riskin olasılık ve etki değerinin durumu Risk Yönetim Sorumlusu tarafından değerlendirilir.

Tamamlanmayan aksiyon planlarının, tamamlanmama nedenleri, varsa aksiyon planındaki değişiklikleri ve güncellenen tamamlanma tarihleri Risk Yönetim Sorumlusu tarafından tespit edilerek Risk Envanterindeki durumları Yönetim Kurulu tarafından alınan kararla güncellenir.

Aksiyon planı belirlenmiş riskler her güncelleme/değişiklik sonrası İç Kontrol Sorumlusu ile paylaşılarak mevcut riskleri minimize etmek için düzenlenen kontrollerin etkinliğinin takibi aşamasına geçilir.

4.1.5. Yeni Ortaya Çıkan Risklerin İzlenmesi ve Değerlendirilmesi

Üst Yönetim, ilgili birim müdürleri, Risk Yönetim Sorumlusu ve İç Kontrol Sorumlusunun katılımı ile gerçekleşen toplantıda,

·         İç ve dış ortamdaki yeni gelişmeler

·         Yeni alınan kararlar

·         Karşılaşılan mevcut problem ve sorunlar doğrultusunda varsa gündeme gelen yeni riskler değerlendirilir.

Yeni risklere ilişkin:

·         Yeni riskler, risk belirleme ve değerlendirme çalışması kapsamında belirlenen risk derecesine göre hemen veya belirlendiği andan sonraki ilk Üst Yönetim toplantısında görüşülerek analiz edilir ve Üst Yönetimin kararı doğrultusunda Risk Belirleme ve Değerlendirme Çalışmasına Risk Yönetim Sorumlusu tarafından dahil edilir. Diğer risklerle birlikte takip edilerek raporlanır.

5. Risk Yönetim Politikasının Onay Süreci

Kuruluşun Risk Yönetim Sorumlusu tarafından hazırlanan bu politika, Yönetim Kurulu tarafından onaylanır. Bu politikanın değişen koşullara uyumunun sağlanması amacıyla Yönetim Kurulu tarafından politikanın yeterliliği yılda bir kez olmak üzere değerlendirilir; gerekli görüldüğü takdirde ihtiyaç duyulan önemli değişiklikler Yönetim Kurulu’nun onayından sonra yapılır.

 

 

 

 

 

 

 

B. Kullanıcıların Hakları ve Sorumlulukları

Kullanıcılarımız aşağıda belirtilen hususlara dikkat etmelidirler. Şüphelendikleri durumların olması halinde derhal 0850 200 00 22 nolu telefonu aramaları veya e-posta yoluyla info@ode.al bizlere ulaşmaları gerekmektedir.

-  Kuruluş, anlaşmalı olduğu üye işyerlerine ödemelerini banka hesapları üzerinden gerçekleştirmektedir. Kuruluş, üye iş yerleri ile direkt olarak anlaşma yapmaktadır.

- Kuruluş, ÖdeAl uygulaması ile son kullanıcı ve üye işyerleri arasında gerçekleşen satın alım işlemlerine yönelik tahsilata aracılık etmektedir.

- Son kullanıcı, üye iş yerinde ÖdeAl uygulamasını kullanarak 3 farklı yol ile ödemesini gerçekleştirebilmektedir. Ödemeyi yapan kart sahibinin ödeme esnasında orada bulunması zorunludur, uzaktan ödeme kesinlikle kabul edilmemektedir.

Birinci ödeme yöntemi: Son kullanıcı satın alacağı ürünün fiyatını ödemek istediği zaman üye iş yeri birinci aşama olarak son kullanıcının isim soyisim ve telefon numarasını ister.  İsim soyisim ve telefon numarası bilgileri ÖdeAl İşyerim uygulaması üzerinde eklenir. Uygulamada son kullanıcıya dair herhangi bir kayıt bulunamaz ise son kullanıcı bilgileri ÖdeAl uygulamasına kaydedilir. Daha sonra, üye işyeri tarafından uygulama aracılığı ile son kullanıcı kredi kartı numarası kamera ile okutulur ya da elle giriş yapılır ve kredi kartının son kullanma tarıihi uygulamaya girilir. Bu aşamada üye işyeri uygulamasının lokasyon tespit sisteminin ve mikrofon özelliklerinin erişilebilir olması esastır. Aksi halde üye işyerinin uygulamayı kullanmasına izin verilmez. Harcama tutarının üye işyeri tarafından girilmesinin ardından, üye işyeri uygulamasında çıkan onay ekranına, son kullanıcı tarafından imza atılır ve ödeme süreci başlatılır. İşlemin tamamlanmasını müteakip son kullanıcının telefonuna ÖdeAl uygulaması üzerinden işlem detaylarının belirtildiği bilgilendirme mesajı iletilir. Üye iş yeri ayrıca her satın alım işleminden sonra son kullanıcıya ödeme işlemi detaylarını eposta yoluyla isteyip istemediğini sormakla yükümlüdür. Son kullanıcının talep etmesi durumunda üye iş yeri son kullanıcının eposta adresine ödeme işlemi detaylarını iletir. Ek olarak satın alım işlemi esnasında üye iş yeri son kullanıcıya kredi kartı bilgilerinin uygulama üzerinde sürekli olarak tanımlı bir biçimde kalıp kalmamasını istediğini sorar. Eğer son kullanıcı kart bilgilerinin uygulama üzerinde kalmasını isterse ikinci ödeme yöntemi burada devreye girer. Fakat kullanıcı bu bilgilerin uygulama üzerinde kalmasını istemez ise birinci ödeme yöntemi her satın alım işleminde üye iş yerinin son kullanıcı kredi kartını ÖdeAl uygulaması yardımıyla okutmak şeklinde tekrarlanır.

İkinci ödeme yolu: Birinci ödeme yönteminin gerçekleşmesinin ardından son kullanıcı tarafından ÖdeAl uygulamasında bilgilerinin kaydedilmesine yönelik bir istek yapılması halinde son kullanıcının bir sonraki satın alım işlemi sırasında kredi kartına gerek duyulmaz. Üye işyeri tarafından son kullanıcı telefon numarası bilgisi talep edilerek uygulama üzerinde sorgulama yapılır. İlgili son kullanıcı kayıtlarına erişilmesi ile birlikte son kullanıcının telefonun ÖdeAl uygulaması tarafından gerçekleştirilecek işleme yönelik detayların yer aldığı bir link iletilir. Son kullanıcının ilgili link üzerinden onay vermesi ile birlikte ödeme işlemi gerçekleştirilir.

Üçüncü ödeme yolu: Diğer iki ödeme yolundan farklı olarak üçüncü ödeme yolunda son kullanıcı kullanmakta olduğu cep telefonuna ÖdeAl Müşteri uygulamasını indirir. Son kullanıcı kişisel bilgiler, telefon numarası ve kart bilgilerini Wallet uygulamasına tanımlar. Son kullanıcı üye iş yerlerinde satın alma işlemi gerçekleştireceği zaman üye iş yeri sisteminin son kullanıcı telefon numarasından kullanıcıyı tanıması sayesinde kullanıcı kullandığı müşteri uygulaması ekranında ödeyeceği tutarı görerek arzu ettiği ödeme şeklini seçip işlemi gerçekleştirir.