Kurum politikası kapsamında işletme büyüklüklerini, iş hacimlerini ve işlem niteliklerini göz önünde bulundurarak oluşturulan risk yönetim politikasının amacı, maruz kalınabilecek risklerin izlenmesi, değerlendirilmesi, tanımlanması ve azaltılmasını sağlamaktır.
Risk yönetimine ilişkin faaliyetler asgari düzeyde;
a) Müşteri riski, hizmet riski ve ülke riskini esas alan risk tanımlama, derecelendirme, sınıflandırma ve değerlendirme yöntemlerinin geliştirilmesi,
b) Hizmetlerin, işlemlerin ve müşterilerin risklere göre derecelendirilmesi ve sınıflandırılması,
c) Riskli müşteri, işlem veya hizmetlerin izlenmesinin ve kontrol edilmesinin sağlanması; ilgili birimleri uyaracak şekilde rapor edilmesi; işlemin üst makamın onayı ile gerçekleştirilmesi ve gerektiğinde denetlenmesi için uygun işleyiş ve kontrol kurallarının geliştirilmesi,
ç) Risk tanımlama ve değerlendirme yöntemlerinin, risk derecelendirmesi ve sınıflandırma yöntemlerinin, örnek olaylar ya da gerçekleşen işlemler üzerinden geriye dönük olarak tutarlılıklarının ve etkinliklerinin sorgulanması, varılan sonuçlara ve gelişen koşullara göre yeniden değerlendirilmesi ve güncellenmesi,
d) Risk kapsamına giren konulara ilişkin ulusal mevzuat ve uluslararası kuruluşlarca getirilen tavsiye, ilke, standart ve rehberlerin takip edilerek gerekli geliştirme çalışmalarının yapılması,
e) Risk izleme ve değerlendirme sonuçlarının düzenli aralıklarla yönetim kuruluna raporlanması,
faaliyetlerini kapsar.
Ek olarak yüksek derecede riskli gruplara yönelik ilave tedbirler alınması gereklidir.
Yükümlüler, risk derecelendirmesi neticesinde yüksek riskli olarak belirledikleri gruplara yönelik olarak üstlenilecek riskin azaltılmasını teminen, asgari olarak aşağıda sayılan ilave tedbirleri almak zorundadır:
a) İşlemlerin ve müşterilerin sürekli olarak izlenmesine yönelik prosedürler geliştirmek,
b) İş ilişkisine girilmesini, mevcut iş ilişkisinin sürdürülmesini ya da işlemin gerçekleştirilmesini bir üst seviyedeki görevlinin onayına bağlamak,
c) İşlemin amacı ve işleme konu malvarlığının kaynağı hakkında mümkün olduğu ölçüde bilgi edinmek,
ç) Müşterinin tanınması kapsamında ilave bilgi ve belge temin etmek, sunulan bilgilerin teyidi ve tevsiki konusunda ilave önlemler almak.
