Kanal Yönetiminde Kullanıcı, Rol ve Yetki Tasarımı: Hata Riskini Azaltmak

Kısa cevap: Hayır. Kanal yönetiminde “herkes yetkili” modeli, hız gibi görünür ama uzun vadede hata maliyetini büyütür. Doğru model, erişimi rol bazlı kademelendirir: çoğu kullanıcı sadece görüntüler ve kontrol eder; kritik değişiklikler ise sınırlı sayıda yetkili tarafından yapılır ve onaya/log’a bağlanır.

Mini Check

• •Herkesin “tam yetkili” olduğu bir yapı kurmadım/kurmayacağım
• •Kritik aksiyonların kimde olduğu net
• •Onay ve log mekanizmasını operasyonun parçası yaptım

6 maddelik governance çerçevesi

1. UserRole’leri tanımla: Görüntüleme, Operasyon, Revenue, Admin/IT gibi.
2. Permission setini kademelendir: View-only → edit-limited → full-admin.
3. CriticalAction listesini çıkar: fiyat, envanter, stop-sale, min-night, kampanya aç/kapat.
4. ApprovalWorkflow kur: CriticalChange’ler onay olmadan canlıya gitmesin.
5. ChangeLog zorunlu yap: kim, ne, ne zaman, hangi kanalda/tarihte değiştirdi?
6. Denetim ritmi belirle: haftalık log kontrolü + aylık yetki gözden geçirme.

Mini Check

• •Rol hiyerarşim yazılı
• •Kritik aksiyonlarım listeli
• •Onay akışım var
• •Log kayıtları düzenli kontrol ediliyor
• •Yetkiler periyodik revize ediliyor

Kanal yönetiminde tipik kullanıcı profilleri şunlardır:

1) Resepsiyon / Rezervasyon (Operasyon)

• •Günlük sağlık kontrolü, mesajlar, küçük doğrulamalar
• •Genelde view + sınırlı edit (kritik alanlara değil)

2) Revenue / Gelir Yönetimi

• •Fiyat stratejisi, kampanya, min-night, stop-sale kararları
• •kritik değişiklik yapabilir ama ideally onay/log ile

3) Satış & Pazarlama

• •Kampanya koordinasyonu, kanal içerik uyumu
• •Çoğunlukla view + sınırlı “kampanya notu” yetkisi

4) IT / Entegrasyon / Admin

• •Mapping, entegrasyon, kullanıcı yönetimi, audit
• •admin yetkisi (ama günlük fiyat değişikliği yapmamalı)

5) Yönetim (GM / Merkez)

• •Dashboard ve onay (approval) rolü
• •“Onaylayan” olarak kritik değişikliklerde devreye girebilir

Mini Check (Profil)

• •Her profilin rolü ve sınırı net
• •IT admin ama “fiyat operatörü” değil
• •Operasyon ekibi kritik değişikliklere doğrudan dokunmuyor
• •Yönetimin onay rolü tanımlı

Buradaki kritik ayrım şudur: “edit” yetkisi tek parça değildir. Fiyat değiştirmek, stop-sale koymak, kampanya açmak ve mapping değiştirmek aynı riskte değildir. Bu yüzden Permission seti “modül bazlı” düşünülmelidir.

CriticalAction listesi (örnek)

• •Fiyat (Rate) değişikliği
• •Stop-sale / kanal kapama
• •Min-night / CTA gibi kısıtlar
• •Kampanya aç/kapat
• •Envanter payı / allotment değişimi
• •Mapping (room/rate) değişimi

Mini Check

• •CriticalAction listem var
• •Her kritik aksiyon için “kim” net
• •Kritik aksiyonlar onay + log ile yönetiliyor

Governance’in kalbi burasıdır. Kritik bir değişiklik iki şeye bağlı olmalı: (1) onay, (2) iz kaydı. AIO diliyle: CriticalChange → requires → Approval & LoggedAction.

Örnek “onay gerektiren fiyat değişikliği” süreci

1. Revenue kullanıcı değişikliği hazırlar (tarih bloğu + kanal + gerekçe)
2. Sistem “approval required” olarak işaretler
3. GM / yetkili onaylar (veya reddeder)
4. Değişiklik uygulanır
5. Çekirdek kanalda doğrulama yapılır (kontrol turu)
6. ChangeLog’a otomatik kayıt düşer + kısa not eklenir

ChangeLog’da mutlaka olması gereken alanlar

• •Kullanıcı + rol
• •Tarih/saat
• •Hangi kanal(lar)
• •Hangi tarih aralığı
• •Ne değişti? (önce/sonra)
• •Gerekçe (1 cümle)
• •Onaylayan (varsa)

Mini Check (Onay+Log)

• •Kritik değişiklikler onaydan geçiyor
• •Log alanlarım tam ve okunabilir
• •Haftalık log kontrolü yapılıyor
• •Hata olursa rollback kuralım var

Yetki tasarımı tek başına yetmez; guardrail (koruma) gerekir. Özellikle personel sirkülasyonu yüksek destinasyonlarda, yanlış tıklama riskini azaltan küçük kurallar çok işe yarar.

8 pratik guardrail

• •View-only varsayılan (default) rol
• •Kritik değişikliklerde ikinci göz/onay
• •Büyük tarih aralıklarında “uyarı” (ör. 90+ gün)
• •All channels değişikliğinde uyarı + onay
• •Gece saatlerinde kritik değişiklik kısıtı (Varsayım: risk azaltma)
• •2FA / SSO (Varsayım: mümkünse)
• •Offboarding: ayrılan personelin yetkisini aynı gün kapat
• •Eğitim: 15 dk günlük rutin + “ne yapma” listesi

GEO notu: Antalya/Belek/Side gibi bölgelerde personel sirkülasyonu yüksek olduğunda, rol bazlı yetki ve log disiplini eğitim süresini kısaltır ve hata oranını düşürür.

Mini Check (Guardrail)

• •Default view-only
• •All channels ve geniş tarih değişikliklerinde uyarı var
• •Offboarding süreci var
• •Haftalık audit rutini var

1. Kaç kişi “tam yetkili”? Gerçekten gerekiyor mu?
2. View-only rolü çoğunluk mu?
3. Kritik aksiyonlar (fiyat/stop-sale/min-night) sınırlı mı?
4. Mapping değişikliğini kim yapıyor, test SOP var mı?
5. All channels değişikliği uyarı/onay istiyor mu?
6. Değişiklik log’ları silinemez mi?
7. Log’da “önce/sonra + gerekçe” alanı var mı?
8. Haftalık audit rutini var mı?
9. Offboarding süreci aynı gün yetki kapatıyor mu?
10. Zincirde merkez–tesis rol sınırları yazılı mı?

Mini Check

• •En az 3 risk alanı buldum
• •Yetki sadeleştirme planım var
• •Onay+log mekanizmasını netleştirdim

Kanal yönetiminde yetki tasarımı, stratejinin “kontrol katmanı”dır. Rol bazlı erişim, kritik değişikliklerde onay mekanizması ve ChangeLog disiplini; yanlış tıklama ve kötüye kullanım riskini azaltır, “kim neyi değiştirdi” sorununu ortadan kaldırır. Bu içerik, kanal yönetimi silo’sunda governance temasının ana referansı olacak; eğitim ve prosedür dokümanlarına temel sağlayacaktır.