Herkese Merhaba!
Daha önceki yazımızda “ödeme kuruluşu nedir” sorusunun cevabını çok boyutlu şekilde yazmıştık. İlgili yazıyı okumak için BURAYA TIKLAYABİLİRSİNİZ. Bu yazımızda ödeme kuruluşlarının nasıl kurulabileceği, faaliyet iznini nasıl alabileceği konusuna eğileceğiz.
Ödeme kuruluşları 6493 sayılı Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’a istinaden kurulur. Bu kanun ve alt metinleri (yönetmelik, tebliğ v.b.) ödeme kuruluşlarının nasıl kurulacağı, nasıl faaliyet izni alacağı ve nasıl işletileceği sorularına cevap verir. Hukuki metinler bazen kafa karıştırıcı olabildiğinden daha önce bulunduğumuz süreçlerden oluşan tecrübelerimizle bu blog yazısını hazırlamak ve biraz daha basit bir dille adım adım anlatmak isteriz.
1. ADIM Şirketi KURMAK
Sadece bir şirket kurmak kulağa kolay gibi gelebilir. Fakat kanuna ve yönetmeliklere göre bir Anonim Şirketi statüsünde bir Ödeme Kuruluşu kurulması gerekiyor. Ödeme kuruluşunun nasıl, ne çerçevede ve ne amaçla kurulacağı hatta yasal unvanının bile nasıl olacağı konusunda kurallar bulunuyor. Örneğin ABC Ödeme, İnşaat, Nakliyat LTD. gibi bir isimle ödeme kuruluşu kurulamaz. “ABC Ödeme Hizmetleri” A.Ş. formatında olmalıdır. Şirketin kuruluş sözleşmesinden varlıklarına kadar her detay mevzuata göre yapılmalıdır.
Bu adımda şirketin yönetim kurulunun ve organizasyon şemasının da hazır olması beklenir. Genel olarak risk, bilgi işlem, iç kontrol, muhasebe gibi fonksiyonların bulanacağı bu şemaya uygun işe alım süreçlerinin yapılması gerekir. Faaliyet iznine kadar devam edecek süreçte bu organizasyon şeması sürdürmelidir. Bu organizasyon şemasını sürdürebilmenin maliyeti detaylı şekilde hesaplanmalıdır. EticSoft olarak daha önce danışmanlık yaptığımız ve/veya bilişim sistemlerini sağladığımız ödeme kuruluşlarında bu maliyetin alt sınırının aylık 60-80 bin civarında olduğu gözlemlenmiştir. Bu adımdan sonra faaliyet izni alınana kadar sürecek diğer aşamaların hızı hem maliyet hem faaliyetten doğacak kar zararı için önemlidir.
Kuruluşun başvuracağı faaliyet alanına göre değişen bir ödenmiş sermayesinin olması gerekiyor. Mevcut kanuna göre bu miktar 1.000.000 TL ile 5.000.000 TL arasında değişmektedir. Örneğin sadece ödeme hizmetleri sağlayacak bir kuruluş için bu miktar 2.000.000 TL dir. Ödeme kuruluşlarının çoğu aynı zamanda “Elektronik Para Kuruluşu” faaliyet iznine de başvurduklarından genelde 5.000.000 TL öderler. Burada yanlış bilinen bir husus bu ödemenin bir lisans ücreti olduğu yönündedir. Aslında yatırılan bu varlık her zaman ödeme şirketine aittir: Kullanılması kısıtlı olmasına karşın belirli koşullara göre elektronik para olarak ihraç edilebilmektedir. Yine başka bir husus bu miktarın yetkili kurum tarafından arttırılmasının mümkün olduğudur. Tüm bu rakamlar alt sınırları gösterir. Kuruluş daha fazla bir ödenmiş sermaye ile faaliyet göstermek isteyebilir.
2. ADIM Ödeme Kuruluşu Bilişim Sistemi
Ödeme kuruluşlarının en kritik parçası kullanacakları bilişim sistemidir. Çünkü klasik bankalardan farklı olarak fiziksel şubeleri yoktur ve hemen hemen tüm süreçler bu bilişim sisteminde yapılır. Ödeme kuruluşları bu sistemi kendi iç personelleri ile geliştirebileceği gibi dış hizmet alımı ile de yapabilirler. Dış hizmet alımı hem maliyet etkin hem de sürdürülebilir olduğundan tercih edilmektedir.
Bu bilişim sistemi faaliyet izninden önce bağımsız bir denetim kuruluşunca denetlenip bir rapor almak durumundadır. Sürecin en zorlu noktalarından birisi olan bu denetime ek, faaliyet izni sırasında yetkili kurum (An itibariyle TCMB yetkilidir) bir kurul toplantısı ile bu bilişim sistemini yeniden bütün detayları ile inceleyecektir.
Bir bankacılık sistemi olacak bu bilişim sisteminin sektörün tüm teknik standartlarına göre oldukça detaylı bir şekilde test edilmesi, tüm güvenlik zafiyetleri ve işlevsel hatalardan arınmış olması çok önemlidir. Çünkü bu sistemde meydana gelebilecek hataların meydana getireceği maddi kayıplar çok büyük olabilmektedir. Örneğin ödeme kuruluşu ile aracı bankaların entegrasyonunda yapılan bir hata bir kaç saat içinde milyonlarca liraya mal olabilir. Bu yüzden entegrasyonların çok dikkatli ve detaylı test dilmesi gerekir. Ödeme Şirketi Bilişim Sisteminin teknik gereksinimleri ile ilgili ayrı bir yazıya buradan ulaşabilirsiniz.
İkinci adımın toplam dört alt adımı daha var diyebiliriz. Bunlar
- Bilişim sistemi kurulum ve test süreci (Genellikle 1-2 hafta) (Geliştirme sürecini kendi üstlenen ödeme kuruluşları için aylar sürebilir)
- Bilişim sisteminin bağımsız denetim süreci (1 hafta – 2 ay arasında)
- Faaliyet izninde sistemin denetim ve test süreci (1-2 ay)
- Sistemin entegrasyon ve faaliyet süreci (1-2 hafta)
Ödeme kuruluşu bilişim sistemi mimari olarak çok parçadan oluşan, esnek ama oldukça yüksek güvenlikli bir bilişim sistemdir. Yapılan işlemlerin kontrolü, çoklu onay mekanizması, entegrasyonlar, aktif güvenlik önlemleri ve stres optimizasyonu gibi bir çok alt bileşenden oluşur.
3. ADIM FAALİYET İZNİ (Lisans)
Bu adımda, ilk adımda yapılan şirketi kuruluşu, organizasyon şeması ve ikinci adımdaki bilişim sistemi ile ilgili tüm belgeler hazır durumdadır. Ödeme kuruluşu faaliyet izni almak için yetkili kuruma başvurur. Başvuru dosyasında bulunacak evrakların (bağımsız denetim raporları, yönetim şeması, ortaklık şeması, başvuru formları v.b.) tesliminin ardından toplanan bir kurul toplantısı ile faaliyete izin verebilir veya değişiklikler isteyebilir veya reddedebilir. Faaliyet izni alan kuruluşların ismi ve faaliyetleri kurul kararı ile birlikte Resmi Gazete’de yayınlanır.
Faaliyet izni başvuru dosyaları eskiden BDDK’ya teslim edilirdi. BDDK ödeme kuruluşunun bağımsız denetim gibi raporlarına ek olarak tepeden tırnağa yeniden her şeyi yeniden kontrol eder. 2020 itibariyle bu yetki TCMB’ye devredilmiştir. TCMB’nin izin kararları ile ilgili sürecin şeklinde bir değişiklik yapıp yapmayacağı henüz bilinmiyor. Bu konuda herhangi bir mevzuat değişikliği olduğunda aşağıya not olarak ekleyeceğiz.
Faaliyet izni alan bir ödeme kuruluşu artık hem aracı bankalarla hem üye iş yerleri ile “Ödeme Kuruluşu” unvanı ile sözleşmeler yapabilir duruma gelmiştir. Üçüncü tarafların entegrasyonu daha önce bağımsız denetim sürecinde test ortamları üzerinden yapıldı ise artık gerçek (üretim) ortamlarına aktarılmalı ve yeniden test edilmelidir. Mevzuata göre üye iş yerlerinin hesaplarındaki varlıkları korumalı hesaplara aktarmak gibi yükümlülükleri olduğu için ayrıca koruma hesaplarını kullanmaya başlar. Faaliyet izninden sonra belirli periyotlarda bağımsız denetimler yapılmaya devam edecektir.
Sırada Ne Var?
Yukarıdaki adımlardan sonra faaliyet izni alıp ödeme kuruluşları dünyasına giriş yapmış ve artık yukarıdaki organizasyon şemasının tıkır tıkır işlemesini sağlamakla yükümlü bir ödeme kuruluşundan bahsediyoruz. Faaliyet izni için şart olmayan fakat işleyiş açısından önemli bazı adımlar var. Örneğin PCI-DSS gibi bazı sertifikasyon/akreditasyon programlarına başvuru yapılması gerekebilir. Uluslararası ve yerel işbirlikleri, pazarlama stratejileri, inovatif fin-tech ürünleri, özellikle entegrasyon araçları gibi yeni süreçler ortaya çıkacak. Bunlar da sonraki yazımızın konusu olsun !