Yeni nesil ödeme kaydedici cihazlara ait ÖKC merkezlerinin denetimi
Kayıt dışı ekonominin önüne geçilmesi amacıyla tasarlanan yeni ödeme kabul sistemleri yapısında Güvenli Servis Sağlayıcı (Trusted Service Manager-) merkezleri önemli bir rol üstlenmektedir. Bu sebeple Gelir İdaresi (GİB), 23 Kasım 2015 te yayınladığı Kılavuz ile merkezleri için sertifikasyon süreçlerini zorunlu tutmuş ve sertifikasyon değerlendirmesi sorumluluğunu merkezinin anlaşacağı, GİB tarafından yetkilendirilmiş kuruluşlara vermiştir. Sertifikasyon denetimlerinde ele alınacak başlıklar Uluslararası sertifikalar Sistemlerin münhasırlığı Mesaj ve iletişim yönetimi ÖKC yaşam döngüsü yönetimi Risk yönetimi esasları Değişiklik yönetimi Denetim izlerinin oluşturulması Anahtar yönetim süreçleri ve hassas veri güvenliği Yazılım güvenliği İş sürekliliği yönetimi Sistem ve donanım güvenliği Test ve onay süreçleri Yönetim esasları Güvenlik esasları Personel gereksinimleri GİB uyarı mekanizmaları Denetim süreci adımları ÖKC Üreticisi TÜBİTAK Bağımsız Denetim Kuruluşu TÜBİTAK 1 2 3 4 5 6 1. ÖKC Üreticisi çalışacağı merkezini seçer. 2. ÖKC Üreticisi kılavuzlarda belirtilen başvuru formlarını doldurur ve seçtiği ve beraber çalışacağı bağımsız denetim kuruluşunun ismini (veya TÜBİTAK'ı) bildirerek GİB e başvuru yapar. Başvuru için belirlenen son tarih 2 Mayıs 2016 dır. 3. GİB, uygun gördüğü takdirde başvuruyu TÜBİTAK'a yönlendirir. 4. Denetim eğer TÜBİTAK tarafından gerçekleştirilmeyecek ise, TÜBİTAK başvuru belgelerini bağımsız denetim kuruluşuna iletir. Bağımsız denetim kuruluşu veya TÜBİTAK sertifikasyon denetimini gerçekleştirir. 5. Bağımsız denetim raporu TÜBİTAK'a sunulur. 6. TÜBİTAK raporları kontrol eder ve uygun görmesi halinde raporları bir üst yazı ile GİB e iletir. GİB aldığı rapor doğrultusunda onayını verir.
Denetim süreci Denetim Kriterleri 01 Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik 03 ÖKC Merkezi Teknik Kılavuzu 02 ÖKC Merkezlerinin Başvuru, Test, Denetim ve Onay Teknik Kılavuzu 04 Düzenli Denetim Teknik Kılavuzu* Test Senaryoları* * Önümüzdeki dönemde yayınlanması bekleniyor. Üç taraflı ilişki Denetlenen: Merkezi Denetleyen: Bağımsız Denetçi Koordine eder Gerçekleştirir A. Güvencenin sağlanacağı konu: ÖKC Merkezlerinin kurulması, işletilmesi, yönetimi B. Konunun değerlendirileceği uygun kriter: ÖKC Merkezi Teknik Kılavuzları Denetim süreci C. Güvence çalışmasının yürütülmesi: Saha çalışması D. Güvence sorumlusu tarafından açıklanan sonuç: Denetim raporu Otorite: GİB Bilgi alır ÖKC üreticisinin sorumluluğunda Denetçinin sorumluluğunda EY size nasıl destek olabilir? İyileştirme ve Uygulama Düzenlemelere ilişkin tüm hazırlıkların denetime kadar tamamlanması için ISO 20000, ISO 22301, ISO 27001 ve PCI sertifikasyonlarına yönelik danışmanlık verilmesi İş akış şemalarının, görev tanımlarının, politika ve prosedürlerin ve diğer dokümanların hazırlanmasına destek verilmesi Fark Analizi ve Yol Haritası GİB düzenlemelerine yönelik süreçlerinin ve altyapısının incelenmesi ve gerekli aksiyonların belirlenerek yol haritasının oluşturulması Ön inceleme Mevzuat kapsamında belirlenen usul ve esaslara yönelik süreçlerinin ve altyapısının ön incelemesinin yapılması ve raporlanması Denetim Mevzuat kapsamında belirlenen usul ve esaslara yönelik sertifikasyon denetimlerinin ve yıllık bilgi sistemleri denetimlerinin gerçekleştirilmesi ve raporlanması
Bugüne kadar 1984 11/04/2012 27/06/2013 01/10/2013 06/02/2015 13/03/2015 23/11/2015 3100 Sayılı Kanun Yeni Nesil ÖKC lerin çıkışı 6493 Sayılı Kanun Seyyar POS ların değişimi Yeni Nesil ÖKC Teknik Kılavuzları Teknik Kılavuzu Merkezlerinin başvuru, test, denetim ve onay teknik kılavuzu Bugünden sonra 01/04/2016 01/07/2016 01/10/2016 01/01/2017 1 Milyon TL yi aşan mükellefler için YN ÖKC kullanma 500 bin TL - 1 Milyon TL arası olan mükellefler için YN ÖKC kullanma 150 bin TL 500 bin TL arası olan mükellefler için YN ÖKC kullanma 150 bin TL den az olan mükellefler ve Bilgisayar Bağlantılı Ödeme Kaydedici Cihazları kullanan mükellefler için YN ÖKC kullanma 6 Aralık 1984 tarihli 3100 sayılı Kanun ile KDV mükelleflerine Ödeme Kaydedici Cihaz (ÖKC) kullanma zorunluluğu getirilmesiyle, ÖKC teknolojileri de kesintisiz bir gelişim sürecine girdi. Günümüzde ise Yeni Nesil ÖKC teknolojilerine geçiş, ödeme kabul sistemlerinin de dönüşümünü gerektiriyor. İletişim Emre Beşli Şirket Ortağı emre.besli@tr.ey.com Üye İşyerleri ÖKC Üreticisi Operatörler Ümit Şen Direktör umit.sen@tr.ey.com Banka / Üye İşyeri Anlaşması Yapan Kuruluş Can Ünver Müdür can.unver@tr.ey.com
EY Assurance Tax Transactions Advisory EY Hakkında EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlık hizmetlerinde bir dünya lideridir. Anlayışımız ve kaliteli hizmetlerimiz dünya ekonomisi ve sermaye piyasalarında güvenin oluşmasına katkıda bulunmaktadır. EY, güçlü yönetim ekibiyle tüm paydaş gruplarına verdiği sözleri yerine getirmekte ve bu şekilde çalışanları, müşterileri ve içinde yer aldığı diğer çevreler için daha iyi bir çalışma hayatı oluşturulmasında önemli bir rol üstlenmektedir. EY adı küresel organizasyonu temsil eder ve Ernst & Young Global Limited in her biri ayrı birer tüzel kişiliğe sahip olan, bir veya daha çok, üye firmasını temsil edebilir. Sınırlı sorumlu bir Birleşik Krallık şirketi olan Ernst & Young Global Limited müşteri hizmeti sunmamaktadır. Daha fazla bilgi için lütfen ey.com adresini ziyaret ediniz. 2016. Tüm Hakları Saklıdır. Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe, vergi veya diğer profesyonel hizmetler alanında geçerli bir kaynak olarak kullanılması amacıyla hazırlanmamıştır. Belirli bir konuya ilişkin olarak ilgili danışmana başvurulmalıdır. ey.com/tr vergidegundem.com facebook.com/ernstyoungturkiye instagram.com/eyturkiye twitter.com/ey_turkiye