Banka ve Banka İştiraklerine Risk Merkezi Veri İletimi-Alımı Kapsamında Getirilen Sınırlı Bağımsız Denetim Yükümlülüğü
07 Mart 2016 tarihinde yayımladığımız yazımızda, Risk Merkezi Yönetimi’nin 07.01.2016 tarihli toplantısında alınan karar ile Risk Merkezi (RM) üyelerinin denetimine ilişkin esas ve usulleri belirleyen “Risk Merkezi Üyelerinin Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Denetimi ve Raporlanması Hakkında Genelge” (“Genelge”)’nin yayımlandığı ve bu Genelge’ye göre,
– bankalar ile bir bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştiraki olan şirketlerin “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni (“Beyanname”) vermekle yükümlü kılındığı,
– bu kuruluşların söz konusu beyannameyi vermek istememeleri durumunda ise beyanname kapsamına giren konularla sınırlı olmak üzere bağımsız denetim yaptırmalarının öngörüldüğünü belirtmiştik.
Bu defa, Risk Merkezi Yönetimi’nin 03.05.2017 tarih ve 72 sayılı kararına istinaden söz konusu uygulama değiştirilerek, bankalar ve bir bankanın konsolide finansal tablo ve Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri Denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki üyeleri için de 2018 yılı denetim döneminden başlamak üzere “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” kapsamına giren konularla sınırlı olarak bağımsız denetim yapılmasına başlanmasına karar verildi. Diğer bir ifadeyle 2018 yılından başlamak üzere Risk Merkezi ile veri alışverişinde bulunan bankalar ve konsolide denetime tabi iştiraklerinin Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemlere ilişkin sadece beyanname vermeleri yeterli olmayacak, bu konuda bağımsız denetim yaptırmaları da gerekecek.
Bu kapsamda Genelge’de sınırlı bağımsız denetim yükümlülüğü getirilen bankalar için denetim dönemi 1 Ocak – 31 Aralık olarak belirlenmiş. Kapsama giren diğer finansal kuruluşlar ise Genelge’nin 6 ncı maddesinde belirlenen denetim dönemleri itibarıyla denetim yaptırılması gerekecektir.
Önceki düzenlemede bankalar ve bir bankanın konsolide finansal tablo ve Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki üyeleri için denetim yükümlülüğü öngörülmüyordu. Bu Üyeler, Genelge kapsamında sadece “Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni vermekle yükümlü kılınmış; bu beyannameyi vermek istememeleri durumunda ise beyanname kapsamına giren konularla sınırlı olmak üzere denetime tabi tutulmaları öngörülmüştü.
Yeni durumda bu üyelerin, Genelge hükümleri çerçevesinde denetime tabi tutulma yükümlülükleri 2018 yılından itibaren başlayacağı için bu üyelerce, 2016 ve 2017 denetim dönemleri için hali hazırdaki düzenlemeye uygun olarak Beyanname verilebilecek veya bağımsız denetim yaptırabilecek.
Bu çerçevede, 2016 ve 2017 mali yılları için mevcut üye durumundaki;
– Bankalar 01 Ocak – 31 Aralık dönemine ilişkin en geç 31 Ocak tarihine kadar,
– Faktoring şirketleri 1 Temmuz – 30 Haziran dönemine ilişkin en geç 31 Temmuz tarihine kadar,
– Diğer finansal kuruluşlar (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer) 1 Eylül – 31 Ağustos dönemine ilişkin, en geç 30 Eylül tarihine kadar,
“Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi“ni RMDS (Risk Merkezi Üye Denetim Takip Sistemi) uygulaması üzerinden girecek ve posta aracılığı ile RM’ye iletecekler.
Ayrıca, Genelge’de yapılan bir diğer değişiklikle bağımsız denetçinin, Risk Merkezi faaliyetlerinin gerçekleştirilmesinde Risk Merkezi Üyesine destek hizmeti veren kuruluş bulunması halinde, bu kuruluşlarda yerinde denetim yapması da öngörüldü ve destek hizmeti kuruluşu tanımı üyelere risk merkezi faaliyetlerinin gerçekleştirilmesinde hizmet veren kuruluşlar olarak netleştirildi.
Genelge’de yapılan değişikliklerin tam hali aşağıda karşılaştırmalı olarak yer almaktadır. Bu kapsamda 2018 yılından itibaren Genelge hükümleri kapsamında sınırlı bağımsız denetim yükümlülüğü getirilen banka ve iştiraklerinin 2018 yılı için bağımsız denetim firmalarıyla yürütecekleri bağımsız denetim firması seçimi ve sözleşme yenilenmesi süreçlerinde yeni gelen bu sınırlı bağımsız denetim yükümlülüğünü de dikkate almaları gerekeceği anlaşılmaktadır.
Saygılarımızla,
RİSK MERKEZİ ÜYELERİNİN BAĞIMSIZ DENETİM KURULUŞLARINCA GERÇEKLEŞTİRİLECEK DENETİMİ VE RAPORLANMASI HAKKINDA GENELGE Risk Merkezi Yönetimi’nin 03.05.2017 tarih ve 72 sayılı kararı ile Yapılan Değişiklikler |
|
ESKİ DÜZENLEME |
YENİ DÜZENLEME |
Kapsam MADDE 2 – (1) Her mali yılda; – Bir Bankanın konsolide finansal tablo kapsamına dâhil edilen ve Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilmeyen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler, – Bir Bankanın konsolide finansal tablo kapsamına dâhil edilmeyen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler, – Bir bankanın bağlı ortaklık / birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikte olmayan Üyeler, – Kredi Garanti Fonu A.Ş. bu Genelge hükümleri çerçevesinde denetime tabidir. (2) Denetim kapsamına giren Risk Merkezi Üyelerine hizmet veren destek hizmeti kuruluşları ve Denetim kapsamına giren Risk Merkezi Üyelerine bilgi sistemleri hizmeti veren destek hizmeti kuruluşları, Bankalarda Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi yapmaya yetkili kuruluşlar ve dış hizmet sağlayıcı kuruluşlar 1 inci maddede belirtilen amaçla sınırlı olmak üzere bu Genelge hükümlerine tabidir. (3) Bankalar ve bir Bankanın konsolide finansal tablo kapsamına dâhil edilen ve Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler denetime tabi değildir. Ancak bu Üyeler “Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” verme kapsamında bu Genelge hükümlerine tabidir, bu beyannameyi vermek istememeleri durumunda, “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” kapsamına giren konularla sınırlı olmak üzere bu Genelge hükümleri çerçevesinde denetime tabidir. (4) Bu maddenin (1) inci ve (3) üncü fıkralarında tanımlanan hükümlerin tespitinde, Konsolide Finansal Tablo için, ana ortaklık bankanın bir önceki mali yıl sonuna ait konsolide finansal tablosu esas alınarak Yetkili Kuruluş tarafından gerçekleştirilen Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi raporu dikkate alınır. |
Kapsam MADDE 2 – (1) 01.01.2018 mali yılından itibaren; – Bankalar, – Bir Bankanın konsolide finansal tablo kapsamına dâhil edilen veya edilmeyen tüm bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler, – Bir bankanın bağlı ortaklık / birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikte olmayan tüm Üyeler,
bu Genelge hükümleri çerçevesinde denetime tabidir. (2) Risk Merkezi Üyelerine Risk Merkezi faaliyetlerinin gerçekleştirilmesinde hizmet veren destek hizmeti kuruluşları ve Risk Merkezi Üyelerine bilgi sistemleri hizmeti veren destek hizmeti kuruluşları, Bankalarda Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi yapmaya yetkili kuruluşlar ve dış hizmet sağlayıcı kuruluşlar 1 inci maddede belirtilen amaçla sınırlı olmak üzere bu Genelge hükümlerine tabidir. (3) 01.01.2018 mali yılından itibaren Bankalar ve bir Bankanın konsolide finansal tablo kapsamına dâhil edilen ve Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler, “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri”nin 1 numaralı “Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler” başlığında yer alan hükümler kapsamına giren konularla sınırlı olmak üzere denetime tabidir. (4) Bu maddenin (1) inci ve (3) üncü fıkralarında tanımlanan hükümlerin tespitinde, Konsolide Finansal Tablo için, ana ortaklık bankanın bir önceki mali yıl sonuna ait konsolide finansal tablosu esas alınarak Yetkili Kuruluş tarafından gerçekleştirilen Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi raporu dikkate alınır. |
Dayanak MADDE 3 – (1) Bu Genelge, Bankacılık Kanunu Ek Madde 1, 4 Aralık 2013 tarih ve 28841 sayılı Resmi Gazete’ de yayımlanan “Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ”, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” 12/08/2014 tarihli 56 no.lu , 04/12/2015 tarihli 93 no.lu ve 07/01/2016 tarihli 3 no.lu Risk Merkezi Yönetiminin kararları, “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” düzenlemelerine dayanılarak hazırlanmıştır. |
Dayanak MADDE 3 – Bu Genelge, Bankacılık Kanunu Ek Madde 1, 4 Aralık 2013 tarih ve 28841 sayılı Resmi Gazete’ de yayımlanan “Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ”, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” 12/08/2014 tarihli 56 no.lu , 04/12/2015 tarihli 93 no.lu , 07/01/2016 tarihli 3 no.lu ve 03/05/2017 tarihli 72 no.lu Risk Merkezi Yönetiminin kararları, “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” düzenlemelerine dayanılarak hazırlanmıştır. |
Tanımlar MADDE 4 – (1) Bu Genelgede yer alan; a) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu, b) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu, c) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu, ç) Risk Merkez(RM)i: Kanunun ek 1 inci maddesinde öngörülen; kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek veya tüzel kişiler ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan, ayrı bir tüzel kişiliği bulunmayan Türkiye Bankalar Birliği Risk Merkezini, d) Yönetmelik: 10/04/2012 tarihli 28260 sayılı Resmi Gazetede yayımlanan Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği, e) Risk Merkezi Yönetimi (RMY) : Risk Merkezinin görev ve faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan Türkiye Bankalar Birliği Risk Merkezi Yönetimini, f) Üye: Kredi kuruluşları ile Türkiye Bankalar Birliği Risk Merkezine Kurul tarafından üye olması uygun görülen finansal kuruluşu, g) Banka: 5411 sayılı Kanununun 3 üncü maddesinde tanımlanan bankaları, h) Finansal kuruluş: Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini, ı) Risk Merkezi Üye Denetimi (Üye Denetimi): “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” kapsamında denetime tabi üye bünyesinde gerçekleştirilecek Risk Merkezi süreçleri ve bilgi sistemleri denetimini, i) Tebliğ: 04/12/2013 tarihli ve 28841 sayılı Resmi Gazete’ de yayımlanan “Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliği, j) Risk Merkezi Kontrol Hedefleri: Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedeflerini, k) Bilgi Güvenliği Politikası: Risk Merkezi Bilgi Güvenliği Politikasını, l) Risk Merkezi Genelgesi: Risk Merkezi tarafından düzenlenmiş olan ve Risk Merkezi Üyeleri nezdinde yer alan Genelgeleri, m) Destek Hizmeti Kuruluşu: Risk Merkezi süreçleri, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikası kapsamında müşteri verisine erişim dâhil olmak üzere söz konusu Risk Merkezi süreçleri faaliyetlerinin gerçekleştirilmesinde Üyeye hizmet veren kuruluşları, n) Destek Hizmeti: Risk Merkezi süreçleri, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikası kapsamında müşteri verisine erişim dâhil olmak üzere söz konusu Risk Merkezi süreçleri faaliyetlerinin sürdürülmesine yönelik temin edilen dış kaynaklı hizmetleri, o) BSD: Bilgi Sistemleri ve Bankacılık Süreçleri denetimini, ö) BSD Yönetmeliği: 13/01/2010 tarihli ve 27461 sayılı Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği, p) BD Yönetmeliği: 26/12/2012 tarihli ve 28509 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Yönetmeliğini, r) Yetkili kuruluş: Bankalarda Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri Denetim Yapmaya Yetkili Bağımsız Denetim Kuruluşunu, s) Sorumlu bağımsız baş denetçi: BSD için yetkilendirilmiş yetkili kuruluşu tarafından, üyede bağımsız denetim faaliyetinin yürütülmesinden sorumlu tutulan ve denetim raporunun yetkili kuruluşu adına imzalanmasına yetkili kılınan bağımsız baş denetçiyi, ş) Bağımsız denetçi: BSD bağımsız denetim yapma yetkisine haiz olarak tescil ve ilan edilen ve Risk Merkezi Üyelerinde denetim faaliyetini yürütecek bağımsız denetçileri, t) Bağımsız denetim ekibi: Yetkili kuruluşu adına üyede denetim görevini yerine getirmek üzere sorumlu bağımsız baş denetçi ve onun sorumluluğu altında görev yapan bağımsız denetçilerden oluşan ekibi, u) Bulgunun Önemlilik Seviyesi: Genelgenin 7 inci maddesinde tanımlanan kontrol zayıflıklarının önem derecesini, ü) Risk Merkezi Üye Denetim Takip Sistemi (RMDS) : Risk Merkezine elektronik ortamda bildirim ve bulgu takip sistemini, v) Risk Merkezi süreçleri: Risk verilerinin tamamen veya kısmen otomatik olan veya olmayan yollar ile oluşturulduğu, elde edildiği, alındığı, kaydedildiği, depolandığı, muhafaza edildiği, işlendiği, yönetildiği, iletilir hale getirildiği ve iletildiği süreçleri, y) Bilgi Sistemleri: Risk verilerinin tamamen veya kısmen otomatik olan veya olmayan yollar ile oluşturulduğu, elde edildiği, alındığı, kaydedildiği, depolandığı, muhafaza edildiği, işlendiği, yönetildiği, iletilir hale getirildiği ve iletildiği bilgi sistemlerini, ifade eder. (2) Bu Genelgede tanımına yer verilmeyen kavramlar, BSD Yönetmeliğinde ve BD Yönetmeliğinde belirtilen anlamlarıyla kullanılmıştır. |
Tanımlar MADDE 4 – (1) Bu Genelgede yer alan; a) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu, b) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu, c) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu, ç) Risk Merkezi (RM): Kanunun Ek 1 inci maddesinde öngörülen; kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek veya tüzel kişiler ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan, ayrı bir tüzel kişiliği bulunmayan Türkiye Bankalar Birliği Risk Merkezini, d) Yönetmelik: 10/04/2012 tarihli 28260 sayılı Resmi Gazetede yayımlanan Türkiye Bankalar Birliği Risk Merkezi Yönetmeliğini, e) Risk Merkezi Yönetimi (RMY) : Risk Merkezinin görev ve faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan Türkiye Bankalar Birliği Risk Merkezi Yönetimini, f) Üye: Kredi kuruluşları ile Türkiye Bankalar Birliği Risk Merkezine Kurul tarafından üye olması uygun görülen finansal kuruluşu, g) Banka: 5411 sayılı Kanununun 3 üncü maddesinde tanımlanan bankaları, h) Finansal Kuruluş: Kredi kuruluşları dışında kalan ve sigortacılık, bireysel emeklilik veya sermaye piyasası faaliyetlerinde bulunmak veya Kanunda yer alan faaliyet konularından en az birini yürütmek üzere kurulan kuruluşlar ile kalkınma ve yatırım bankaları ve finansal holding şirketlerini, ı) Risk Merkezi Üye Denetimi (Üye Denetimi): “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” kapsamında denetime tabi üye bünyesinde gerçekleştirilecek Risk Merkezi süreçleri ve bilgi sistemleri denetimini, i) Tebliğ: 04/12/2013 tarihli ve 28841 sayılı Resmi Gazete’ de yayımlanan “Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliği, j) Risk Merkezi Kontrol Hedefleri: Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedeflerini, k) Bilgi Güvenliği Politikası: Risk Merkezi Bilgi Güvenliği Politikasını, l) Risk Merkezi Genelgesi: Risk Merkezi tarafından düzenlenmiş olan ve Risk Merkezi Üyeleri nezdinde yer alan Genelgeleri, m) Destek Hizmeti Kuruluşu: Risk Merkezi süreçleri, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikası kapsamında Risk Merkezi süreçleri faaliyetlerinin gerçekleştirilmesinde Üyeye hizmet veren kuruluşları, n) Destek Hizmeti: Risk Merkezi süreçleri, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikası kapsamında Risk Merkezi süreçleri faaliyetlerinin sürdürülmesine yönelik temin edilen dış kaynaklı hizmetleri, o) BSD: Bilgi Sistemleri ve Bankacılık Süreçleri denetimini, ö) BSD Yönetmeliği: 13/01/2010 tarihli ve 27461 sayılı Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği, p) BD Yönetmeliği: 26/12/2012 tarihli ve 28509 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Yönetmeliğini, r) Yetkili kuruluş: Bankalarda Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri Denetim Yapmaya Yetkili Bağımsız Denetim Kuruluşunu, s) Sorumlu bağımsız baş denetçi: BSD için yetkilendirilmiş yetkili kuruluşu tarafından, üyede bağımsız denetim faaliyetinin yürütülmesinden sorumlu tutulan ve denetim raporunun yetkili kuruluşu adına imzalanmasına yetkili kılınan bağımsız baş denetçiyi, ş) Bağımsız denetçi: BSD bağımsız denetim yapma yetkisine haiz olarak tescil ve ilan edilen ve Risk Merkezi Üyelerinde denetim faaliyetini yürütecek bağımsız denetçileri, t) Bağımsız denetim ekibi: Yetkili kuruluşu adına üyede denetim görevini yerine getirmek üzere sorumlu bağımsız baş denetçi ve onun sorumluluğu altında görev yapan bağımsız denetçilerden oluşan ekibi, u) Bulgunun Önemlilik Seviyesi: Genelgenin 7 inci maddesinde tanımlanan kontrol zayıflıklarının önem derecesini, ü) Risk Merkezi Üye Denetim Takip Sistemi (RMDS) : Risk Merkezine elektronik ortamda yapılacak bildirim ve bulgu takip sistemini, v) Risk Merkezi süreçleri: Risk verilerinin tamamen veya kısmen otomatik olan veya olmayan yollar ile oluşturulduğu, elde edildiği, alındığı, kaydedildiği, depolandığı, muhafaza edildiği, işlendiği, yönetildiği, iletilir hale getirildiği ve iletildiği süreçleri, y) Bilgi Sistemleri: Risk verilerinin tamamen veya kısmen otomatik olan veya olmayan yollar ile oluşturulduğu, elde edildiği, alındığı, kaydedildiği, depolandığı, muhafaza edildiği, işlendiği, yönetildiği, iletilir hale getirildiği ve iletildiği bilgi sistemlerini, ifade eder. (2) Bu Genelgede tanımına yer verilmeyen kavramlar, BSD Yönetmeliğinde ve BD Yönetmeliğinde belirtilen anlamlarıyla kullanılmıştır. |
Denetim Dönemi MADDE 6 – (1) Denetim Dönemleri; – Faktoring şirketleri için 1 Temmuz– 30 Haziran, – Diğer finansal kuruluşlar için (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri, Kredi Garanti Fonu A.Ş. ve diğerlerinde) 1 Eylül– 31 Ağustos, olarak belirlenmiştir. (2) Banka veya bir Bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak veya benzeri nitelikte olmayan yeni Üye finansal kuruluşlar, Risk Merkezi tarafından bilgi paylaşımına başlamadan önce, Risk Merkezi süreç ve bilgi sistemlerinin, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikasına uygun olarak tasarladığının tespit edilmesini teminen yetkili kuruluşa yaptıracakları denetimin raporunu Risk Merkezine iletmekle yükümlüdür. Önemli kontrol eksikliği veya önemli kontrol eksikliğine işaret edecek unsurlar taşımayan bir denetim raporu Risk Merkezine sunulmadan bilgi paylaşımı başlatılmaz. |
Denetim Dönemi MADDE 6 – (1) Mevcut Üye Denetim Dönemleri; – Bankalar için 1 Ocak- 31 Aralık, – Faktoring şirketleri için 1 Temmuz– 30 Haziran ve, – Yukarıda belirtilenlerin dışında kalan finansal kuruluşlar için (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğerlerinde) 1 Eylül– 31 Ağustos, olarak belirlenmiştir. (2) Yeni Üye Denetim Dönemi; – Yeni Üye finansal kuruluşlar öncelikle, Risk Merkezi süreç ve bilgi sistemlerini, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikasına uygun olarak tasarladığının tespit edilmesini teminen yetkili kuruluşlarına denetim yaptırmak ve denetim raporunu Risk Merkezine iletmekle yükümlüdür.. – Yeni Üye Bankalar için yeni üye denetimi yaptırma yükümlülüğü bulunmamaktadır. |
Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi Madde 12 – (1) Bankalar ve bir Bankanın konsolide finansal tablo kapsamına dâhil edilmiş olup, Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık/ iştirak ve benzer nitelikteki Üye Finansal Kuruluşlar, RMY ‘ye hitaben, verilerin doğruluğu ve güvenilirliği hususunda Risk Merkezi Kontrol Hedefleri’ nin 1. maddesi doğrultusunda EK-9’ da yer alan “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni oluşturmak ve oluşturulan beyannameyi biri Genel Müdür Yardımcısı/Genel Müdür/ Yönetim Kurulu Üyesi olmak koşulu ile iki imzalı olarak iletmekle yükümlüdür. (2) Bankalar 01 Ocak – 31 Aralık dönemine ilişkin, en geç 31 Ocak tarihine kadar, Faktoring şirketleri 1 Temmuz – 30 Haziran dönemine ilişkin, en geç 31 Temmuz tarihine kadar, Diğer finansal kuruluşlar (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer) 1 Eylül – 31 Ağustos dönemine ilişkin, en geç 30 Eylül tarihine kadar, “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesini” varsa bulgu ve aksiyon plan ile RMDS uygulaması üzerine girmek ve posta aracılığı ile RM’ye iletmekle yükümlüdür. (3) 2017 yılında Banka veya bir Bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak veya benzeri niteliğinde olan yeni Üye, öncelikle Risk Merkezi süreç ve bilgi sistemlerini, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikasına uygun olarak tasarlandığının tespit edilmesini teminen RMY ‘ye hitaben, verilerin doğruluğu ve güvenilirliği hususunda Risk Merkezi Kontrol Hedefleri’ nin 1. maddesi doğrultusunda EK_11′ de yer alan “Banka veya bir Bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak veya benzeri nitelikte olan Yeni Üyelerin Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni oluşturmak ve oluşturulan beyannameyi biri Genel Müdür Yardımcısı/Genel Müdür/ Yönetim Kurulu Üyesi olmak koşulu ile iki imzalı olarak Risk Merkezine iletmekle yükümlüdür. |
Beyanname Verilmesi Madde 12 – (1) Bankalar ve bir Bankanın konsolide finansal tablo kapsamına dâhil edilmiş olup, Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık/ iştirak ve benzer nitelikteki Üye Finansal Kuruluşlar, RMY ‘ye hitaben, verilerin doğruluğu ve güvenilirliği hususunda Risk Merkezi Kontrol Hedefleri’ nin 1. maddesi doğrultusunda EK-9′ da yer alan “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni oluşturmak ve oluşturulan beyannameyi biri Genel Müdür Yardımcısı/Genel Müdür/ Yönetim Kurulu Üyesi olmak koşulu ile iki imzalı olarak iletmekle yükümlüdür. (2) 2016 ve 2017 mali yılları için mevcut Üye; – Bankalar 01 Ocak – 31 Aralık dönemine ilişkin, en geç 31 Ocak tarihine kadar, – Faktoring şirketleri 1 Temmuz – 30 Haziran dönemine ilişkin, en geç 31 Temmuz tarihine kadar, – Diğer finansal kuruluşlar (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer) 1 Eylül – 31 Ağustos dönemine ilişkin, en geç 30 Eylül tarihine kadar, “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesini” ve varsa bulgu ve aksiyon planını RMDS uygulaması üzerinden girmek ve posta aracılığı ile RM’ye iletmekle yükümlüdür. (3) 2017 yılında Banka veya bir Bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak veya benzeri niteliğinde olan yeni Üye, öncelikle Risk Merkezi süreç ve bilgi sistemlerini, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikasına uygun olarak tasarlandığının tespit edilmesini teminen RMY ‘ye hitaben, verilerin doğruluğu ve güvenilirliği hususunda Risk Merkezi Kontrol Hedefleri’ nin 1. maddesi doğrultusunda EK_11′ de yer alan “Banka veya bir Bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak veya benzeri nitelikte olan Yeni Üyelerin Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni oluşturmak ve oluşturulan beyannameyi biri Genel Müdür Yardımcısı/Genel Müdür/ Yönetim Kurulu Üyesi olmak koşulu ile iki imzalı olarak Risk Merkezine iletmekle yükümlüdür. (4) 01.01.2018 mali yılından itibaren bir Bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak veya benzeri niteliğinde olan yeni Üye denetime tabi olup, Banka niteliğindeki Yeni Üyelerin Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikasına uygun olarak tasarlandığının tespit edilmesini teminen RMY’ye hitaben, verilerin doğruluğu ve güvenilirliği hususunda Risk Merkezi Kontrol Hedefleri’nin 1. maddesi doğrultusunda Beyanname oluşturma yükümlülüğü bulunmamaktadır. |
Denetim Raporu Madde 7 – (1) Yetkili kuruluş, denetim raporunu, üyenin tabi olduğu denetim döneminin bitiş tarihi itibari ile en geç 30 gün içerisinde tamamlayıp üyeye iletmekle yükümlüdür. (2) Yetkili kuruluş, denetim raporunu, üyenin tabi olduğu denetim döneminin bitiş tarihi itibarı ile en geç 60 gün içerisinde RMDS uygulaması üzerine kayıt etmek ve posta aracılığı ile RM’ye iletmekle yükümlüdür. (3) Üyeler, RMDS uygulaması üzerinde kendilerine yönelik olarak hazırlanan kısım üzerinden; raporlarda yer alan bulgulara ilişkin aksiyon planlarını, yetkili kuruluşun rapor kayıt tarihi itibarı ile en geç 30 gün içerisinde RM’ye iletimini gerçekleştirmekle yükümlüdür. |
Denetim Raporu Madde 7 – (1) Yetkili kuruluş, denetim raporunu, üyenin tabi olduğu denetim döneminin bitiş tarihi itibari ile en geç 30 gün içerisinde tamamlayıp üyeye iletmekle yükümlüdür. (2) Yetkili kuruluş, denetim raporunu, üyenin tabi olduğu denetim döneminin bitiş tarihi itibarı ile en geç 60 gün içerisinde RMDS uygulaması üzerinden RM’ ye iletmekle yükümlüdür. (3) Üyeler, RMDS uygulaması üzerinde kendilerine yönelik olarak hazırlanan kısım üzerinden; raporlarda yer alan bulgulara ilişkin aksiyon planlarını, yetkili kuruluşun rapor kayıt tarihi itibarı ile en geç 30 gün içerisinde RM’ye iletimini gerçekleştirmekle yükümlüdür. |
Üye Denetiminin Kapsamı MADDE 20 – (1) Tebliğ ve bu Tebliğde atıf yapılan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” içerisinde yer alan hükümlere istinaden RMY tarafından onaylanan “Risk Merkezi Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” düzenlemeleri kararı ile Yetkili Kuruluşlar tarafından Risk Merkezi Üyelerinde yapılacak Risk Merkezi Üye Denetim faaliyetlerini kapsar. (2) Risk Merkezi üyelerine destek hizmeti veren kuruluşlar bu Genelge hükümlerince risk merkezi üye denetim faaliyetleri kapsamına dâhil edilir. (3) Üyelerin Risk Merkezi süreçleri ve bilgi sistemleri kapsamında bulunan mevcut kontrol ortamının etkin bir şekilde işletilip işletilmediği bu Genelge hükümlerinde belirtilen usul, esas ve standartlar kapsamında denetlenir ve raporlanır. |
Üye Denetiminin Kapsamı MADDE 20 – (1) Tebliğ ve bu Tebliğde atıf yapılan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” içerisinde yer alan hükümlere istinaden RMY tarafından onaylanan “Risk Merkezi Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” düzenlemeleri kararı ile Yetkili Kuruluşlar tarafından Risk Merkezi Üyelerinde Risk Merkezi Genelgesi dahilinde yapılacak Risk Merkezi Üye Denetim faaliyetlerini kapsar. (2) Bağımsız Denetçi, Risk Merkezi süreçleri faaliyetlerinin gerçekleştirilmesinde Üyeye hizmet veren kuruluşlarının tamamını denetim kapsamına almak ve denetim sonuçlarına raporlarında yer vermekle yükümlüdürler. Üyelerin Risk Merkezi süreçleri ve bilgi sistemleri kapsamında bulunan mevcut kontrol ortamının etkin bir şekilde işletilip işletilmediği bu Genelge hükümlerinde belirtilen usul, esas ve standartlar kapsamında denetlenir ve raporlanır. |
Destek hizmeti kuruluşunun denetlenmesi MADDE 31 –
|
Destek hizmeti kuruluşunun denetlenmesi MADDE 31 – (1) Üye’nin Risk Merkezi faaliyetlerini yürütürken destek hizmeti Kuruluşundan destek alması halinde, bu kuruluşlar , denetim kapsamına alınarak yerinde denetim yapılır ve denetim sonuçlarına raporda yer verir. (2) Bağımsız denetçi, destek hizmeti kuruluşunun, sunduğu hizmete ilişkin sahip olduğu, güncelliğini yitirmemiş denetim raporu, sertifika gibi belgelerden bu Genelgenin 26 ıncı maddesi kapsamında faydalanabilir. |
Üye denetimi hakkında bilgi MADDE 44 – (1) Bağımsız denetçi, risk merkezi süreçleri üzerindeki kontrollerinin etkinlik, yeterlilik ve uyumluluğuna ilişkin yaptığı denetim sırasında Risk Merkezi Kontrol Hedefleri ile tanımlanan Risk Merkezi Üye Denetim kapsamını eksiksiz olarak değerlendirmeye aldığını açık ve net bir şekilde ifade eder. (2) Bağımsız denetçi, denetime tabi üye tarafından Risk Merkezi süreçlerine dair kendisine sunulan iş akış diyagramlarını ve bu diyagramlarda yer verilen süreçler üzerindeki kontrollerine ilişkin kendi çalışmasını özetleyen tabloyu raporuna ekler. (3) Bağımsız denetçi Risk Merkezi Kontrol Hedefleri’ ne karşılık gelen bölüm başlıkları altında her bölüme ilişkin detay kontrol test tanımları Ek-2’de belirtildiği şekli ile oluşturarak raporuna ekler.
(4) Bağımsız denetçi, denetim esnasında Risk Merkezi Kontrol Hedeflerinde belirtildiği bölümler şekliyle her bölüm için Ek-2’de yer alan detay kontrol tablosundaki gibi ilgili kontrol hedefinin ve kontrol tanımının yanında kontrol eksikliklerine (bulgularına) yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-1’deki tabloyu doldurur. (5) Bağımsız denetçi, süreç üzerindeki kontrollerin, kendilerinden beklenen işlevleri layıkıyla yerine getirme durumlarına ve sürecin bütününün etkinlik, yeterlilik ve uyumluluğuna ilişkin değerlendirmelerine kontrol hedefine ilişkin bölümün sonunda yer verir.
|
Üye denetimi hakkında bilgi MADDE 44 – (1) Bağımsız denetçi, risk merkezi süreçleri üzerindeki kontrollerinin etkinlik, yeterlilik ve uyumluluğuna ilişkin yaptığı denetim sırasında Risk Merkezi Kontrol Hedefleri ile tanımlanan Risk Merkezi Üye Denetim kapsamını eksiksiz olarak değerlendirmeye aldığını açık ve net bir şekilde ifade eder. (2) Bağımsız denetçi, denetime tabi üye tarafından Risk Merkezi süreçlerine dair kendisine sunulan iş akış diyagramlarını ve bu diyagramlarda yer verilen süreçler üzerindeki kontrollerine ilişkin kendi çalışmasını özetleyen tabloyu raporuna ekler. (3) Bağımsız denetçi Risk Merkezi Kontrol Hedefleri’ ne karşılık gelen bölüm başlıkları altında her bölüme ilişkin detay kontrol test tanımları Ek-2’de belirtildiği şekli ile oluşturarak raporuna ekler. (4) Bağımsız denetçi, Kontrol Hedefi kapsamında tespit edilen bulgular ile ilgili kontrol hedefi alt maddesi ve bulgu sınıfı karşılığı olan puanları EK-2’de yer alan detay kontrol tablosundaki “Sonuç” ve “Risk Puanı” kolonunda belirtir. Risk Puanı Hesaplaması, – Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 200, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 1600 Risk puanı, – Üye Personelinin Farkındalığının Oluşturulması Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 100, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 800 Risk puanı, – Risk Merkezi Bilgilerinin İşlendiği ve Saklandığı Sistemlere Erişim Kontrollerinin Düzenlenmesi Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 300, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 2400 Risk puanı, – Risk Merkezi Bilgilerinin İşlendiği ve Saklandığı Sistemlerin Güvenliğinin Sağlanması Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 200, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 1600 Risk puanı, – Risk Merkezi Bilgilerinin İşlendiği ve Saklandığı Sistemler Üzerinde Etkin Değişiklik Yönetiminin Gerçekleştirilmesi Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 250, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 2000 Risk puanı, – Risk Merkezi Bilgilerinin İşlendiği ve Saklandığı Sistemler Üzerinde Denetim İzlerinin Alınması Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 250, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 2000 Risk puanı, – Risk Merkezi Bilgilerinin İşlendiği ve Saklandığı Sistemler Üzerinde Otomatik İşlerin Takibi Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 150, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 1200 Risk puanı, – Risk Merkezi Bilgilerinin İşlendiği ve Saklandığı Sistemlerin Sürekliliğinin Sağlanması Kontrol Hedefi kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 150, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 1200 Risk puanı, – Bilgi Güvenliği Politika ve Uygulamaları kapsamında tespit edilen ve Kayda Değer Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 150, Önemli Kontrol Eksikliği olarak sınıflandırılan her bir bulgu için 1200 Risk puanı, olarak hesaplanır. (5) Bağımsız denetçi, denetim esnasında Risk Merkezi Kontrol Hedeflerinde belirtildiği bölümler şekliyle her bölüm için Ek-2’de yer alan detay kontrol tablosundaki gibi ilgili kontrol hedefinin ve kontrol tanımının yanında kontrol eksikliklerine (bulgularına) yer verir. Geçmiş dönemlerde tespit edilmiş ve bir önceki dönem raporunda halen giderilmediği ifade edilmiş olan bulgular için de Ek-1’deki tabloyu doldurur. (6) Bağımsız denetçi, süreç üzerindeki kontrollerin, kendilerinden beklenen işlevleri layıkıyla yerine getirme durumlarına ve sürecin bütününün etkinlik, yeterlilik ve uyumluluğuna ilişkin değerlendirmelerine kontrol hedefine ilişkin bölümün sonunda yer verir. |
Yeni Üyenin Denetimi hakkında bilgi Madde 45 – (1) Bağımsız Denetçi, yalnız tasarım testlerini gerçekleştirecektir. İşletim etkinliği bir sonraki denetim döneminde test edilecektir.
|
Yeni Üyenin Denetimi hakkında bilgi Madde 45 – (1) Bağımsız Denetçi, yeni üye denetimlerinde yalnız tasarım testlerini gerçekleştirecektir. (2) Bağımsız Denetçi tarafından İşletim etkinliği bir sonraki denetim döneminde test edilecektir. |
Geçici Madde – (1) 2016 ve 2017 mali yılları için; – Bir Bankanın konsolide finansal tablo kapsamına dâhil edilen ve Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilmeyen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler, – Bir Bankanın konsolide finansal tablo kapsamına dâhil edilmeyen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler, – Bir bankanın bağlı ortaklık / birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikte olmayan Üyeler, – Kredi Garanti Fonu A.Ş. bu Genelge hükümleri çerçevesinde denetime tabidir. (2) 2016 ve 2017 mali yılları için, – Bankalar ve bir Bankanın konsolide finansal tablo kapsamına dâhil edilen ve Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki Üyeler denetime tabi değildir. Bu Üyeler “Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” verme kapsamında bu Genelge hükümlerine tabidir. “Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” vermek istememeleri durumunda, “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” kapsamına giren konularla sınırlı olmak üzere bu Genelge hükümleri çerçevesinde denetime tabidir. (3) Bu maddenin (1) inci ve (2) üncü fıkralarında tanımlanan hükümlerin tespitinde, Konsolide Finansal Tablo için, ana ortaklık bankanın bir önceki mali yıl sonuna ait konsolide finansal tablosu esas alınarak Yetkili Kuruluş tarafından gerçekleştirilen Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi raporu dikkate alınır. (4) Risk Merkezi Üyelerine Risk Merkezi faaliyetlerinin gerçekleştirilmesinde hizmet veren destek hizmeti kuruluşları ve Risk Merkezi Üyelerine bilgi sistemleri hizmeti veren destek hizmeti kuruluşları, Bankalarda Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi yapmaya yetkili kuruluşlar ve dış hizmet sağlayıcı kuruluşlar 1 inci maddede belirtilen amaçla sınırlı olmak üzere bu Genelge hükümlerine tabidir. |
RİSK MERKEZİ ÜYELERİNİN BAĞIMSIZ DENETİM KURULUŞLARINCA GERÇEKLEŞTİRİLECEK DENETİMİ VE RAPORLANMASI HAKKINDA GENELGE (13.07.2017 TARİHLİ DEĞİŞİKLİKLER İŞLENMİŞ HALİ)
(Bu genelge “BANKACI ve FAKTORİNG, LEASİNG, TÜKETİCİ FİNANSMANI ŞİRKETLERİ ÇALIŞANLARI” kategorilerindeki site üyeleri tarafından görüntülenebilir. Siteye belirtilen kategorilerde üye iseniz aşağıdaki alandan giriş yaptıktan sonra yazı görünür hale gelecek, ancak, bu uyarı kalmaya devam edecektir. Üyelik koşullarını öğrenmek ve üyelik oluşturmak için “Üyelik” sayfasını ziyaret edebilirsiniz)
Bu içerik sadece yukarıda belirtilen kategorideki site üyeleri tarafından görüntülenebilmektedir. Eğer kayıtlı bir kullanıcı iseniz, lütfen giriş yapın. Daha önce sitemize üye olmadı iseniz aşağıdaki linkten ücretsiz olarak bir kullanıcı hesabı yaratabilirsiniz.