Bankacılık ve Sigortacılıkta “İç Sistemler”
Bankacılık ve sigortacılık (sigorta, reasürans ve emeklilik), günlük hayatın her safhasına girmeleri nedeniyle vazgeçilmez bir konumda; kamu düzeni ve kamu yararı ile de sıkı ilişki içindedir. Fon akımı ve ekonominin genel işleyişi ile seyrini etkileme gücü olan ve tüm bu yönleri ile de güven – itibar unsurunu kuşatan bankacılık ve sigortacılık, dünyada olduğu gibi ülkemizde de özel bir düzenleme, gözetim ve denetime tabidir. Finansal sistemimizde bankacılık ve sigortacılık faaliyeti yürüten kuruluşların etkin, emin ve güvenilir bir şekilde çalışmasını güvence altına almak amacıyla bünyelerinde iç sistemlerin tesis edilmesi, işlerliğinin ve yeterliliğinin sağlanmasına özel önem atfedilmiş ve bu yönde çalışmalar tatbik edilmiştir.
Bu yazımızda bankacılıkta ve sigortacılıkta iç sistemler ve işleyişi ile buna ilişkin düzenlemelerin tarihsel bir perspektif içerisinde kıyasen gelişimi irdelenerek güncel gelişmeler ışığında yenilik ve değişikliklerin aktarılması amaçlanmıştır.
I. Bankacılıkta İç Sistemler
1990’lı yılların sonunda ülkemizde bankacılık sahasındaki yasal ve kurumsal düzenlemelerin değişen koşullara ve uluslararası standartlardaki gelişmelere uyumu konusunda önemli adımlar atılmıştır. Bu çerçevede, 23 Haziran 1999 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren 4389 sayılı Bankalar Kanunu önemli bir dönüm noktasıdır. Anılan Kanun ile getirilen düzenlemelerin en önemlilerinden birisi de Kanunun 9/4. maddesinde yer almıştır. Bu maddede “Bankalar, işlemleri nedeniyle karşılaştıkları risklerin izlenmesi ve kontrolünü sağlamak amacıyla faaliyetlerinin kapsamı ve yapısıyla uyumlu, esasları ve usulleri Kurumca çıkarılacak yönetmelikle belirlenecek etkin bir iç denetim sistemi ve risk kontrol ve yönetim sistemi kurmakla” yükümlü tutulmuşlardır. Bu düzenlemeye dayanarak bankaların bünyelerinde iç sistemlere ilişkin uymaları gereken usul ve esaslar ilk defa Bankacılık Düzenleme ve Denetleme Kurumu’nca (BDDK) 8 Şubat 2001 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bankaların İç Denetim ve Risk Yönetim Sistemleri Hakkında Yönetmelik (İDRYS Yönetmeliği) ile belirlenmiştir. Yönetmelikte bankaların iç sistemlerle birlikte üç saç ayağı (iç kontrol sistemi, risk yönetim sistemi ve iç denetim (teftiş) sistemi) diğer icracı birimlerden bağımsızlığı öngören bir tarzda tasarlanmıştır.
İDRSY Yönetmeliğinden yaklaşık beş sene sonra 1 Kasım 2005 tarihinde yürürlüğe giren 5411 sayılı Bankacılık Kanunu’nun 29-32’nci maddeleri tamamıyla ‘iç sistemlere’ ayrılmış ve daha önce İDRSY Yönetmeliği ile düzenlenen temel fonksiyonlar yeni Kanunda ayrı ayrı tanımlanarak, yasal çerçeve içine alınmıştır. Kanunun 29’uncu maddesinde ‘bankalar, maruz kaldıkları risklerin izlenmesi, kontrolünün sağlanması, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, tüm şube ve konsolidasyona tâbi ortaklıklarını kapsayan yeterli ve etkin bir iç kontrol, risk yönetimi ve iç denetim sistemi kurmak ve işletmekle yükümlü…’ tutulmuşlardır. Yine Kanun’un 24.maddesi ile banka yönetim kurulları içinde, yönetim kurulunun denetim ve gözetim faaliyetlerinin yerine getirilmesine yardımcı olmak üzere icrai görevi bulunmayan en az iki yönetim kurulu üyesinden oluşan bir ‘denetim komitesi’ oluşturulması zorunlu tutulmuş, denetim komitesine iç sistemlerin denetim ve gözetimi ile ilgili önemli görev ve sorumluluk yüklenmiştir. Kanun uyarınca denetim komitesi, iç kontrol, iç denetim ve risk yönetimi sistemleri kapsamında oluşturulan birimlerden ve bağımsız denetim kuruluşlarından; görevlerinin ifasıyla ilgili olarak düzenli raporlar almak ve bankanın faaliyetlerinin sürekliliği ve güven içinde yürütülmesini olumsuz etkileyebilecek hususlar veya mevzuata ve iç düzenlemelere aykırılıklar bulunması hâlinde bu hususları yönetim kuruluna bildirmekle yükümlü kılınmıştır.
İç kontrol sistemi Bankacılık Kanunu’nun 30.maddesinde düzenlenmiştir. Buna göre ‘Bankalar, iç kontrol sistemi kapsamında, faaliyetlerinin mevzuata, iç düzenlemelerine ve bankacılık teamüllerine uygun olarak yürütülmesini, muhasebe ve raporlama sisteminin bütünlüğünü, güvenilirliğini ve bilgilerin zamanında elde edilebilirliğini her seviyedeki personeli tarafından uyulacak ve uygulanacak sürekli kontrol faaliyetleri ile sağlamak, görevlerin fonksiyonel ayrımlarını, yetki ve sorumlulukların paylaşımını, fon ödemelerini, banka işlemlerinin mutabakatını, varlıkların korunmasını ve yükümlülüklerin kontrol altında tutulmasını temin etmek, maruz kalınan her türlü riskin tanınması, değerlendirilmesi ve yönetimi için gerekli alt yapıyı hazırlamak ve yeterli iletişim ağını oluşturmak zorundadır. İç kontrol faaliyetleri yönetim kuruluna bağlı olarak çalışacak iç kontrol birimi ve personeli tarafından yürütülür.” denilmiştir.
Risk yönetim sistemi Kanunun 31.maddesinde yer almıştır. Buna göre bankalar risk yönetimi sistemi kapsamında, risk politikalarını Bankacılık Düzenleme ve Denetleme Kurulu’nca belirlenen esaslar çerçevesinde oluşturmak, uygulamak ve raporlamak zorundadır. Risk yönetimi faaliyetleri yönetim kuruluna bağlı olarak çalışacak risk yönetimi birimi ve personeli tarafından yürütülecektir.
Kanunun ‘iç denetim sistemi’ başlıklı 32.maddesinde ise ‘Bankalar bütün birim, şube ve konsolidasyona tâbi ortaklıklarını kapsayan bir iç denetim sistemi kurmak zorundadır. Bu çerçevede, faaliyetlerin mevzuata, ana sözleşmeye, iç düzenlemelere ve bankacılık ilkelerine uygunluğu, banka müfettişleri tarafından denetlenir. İç denetim faaliyetleri, tarafsız ve bağımsız bir şekilde, gerekli meslekî özen gösterilerek, yeterli sayıda müfettiş tarafından yerine getirilir. Ana ortaklık niteliğindeki bankanın iç denetiminde görev alanlar konsolidasyona tâbi ortaklıklarda iç denetim görevini ifa edebilir. İç denetimle görevli birimce veya yetkili müfettişlerce bu Kanunun 29 uncu maddesinin ikinci fıkrası kapsamında düzenlenecek iç denetim raporunun, en az üçer aylık dönemler itibarıyla ve denetim komitesi aracılığıyla yönetim kuruluna tevdii zorunludur.” denilmiştir.
BDDK tarafından 5411 sayılı Bankacılık Kanunu’nun yürürlüğe girmesinden sonra 1 Kasım 2006 tarihinde yürürlüğe giren ‘Bankaların İç Sistemleri Hakkında Yönetmelik’ ile bankalarda günümüzde mevcut iç sistemlerinin mimarı durumundaki İDRSY Yönetmeliği yürürlükten kaldırılarak bankaların kuracakları iç kontrol, iç denetim ve risk yönetim sistemlerine ve bunların işleyişine ilişkin usul ve esaslar detaylandırılarak hüküm altına alınmıştır. Ayrıca yönetim kurulunun, denetim komitesinin ve üst yönetimin iç sistemlere ilişkin görev ve sorumlulukları ayrı başlıklar halinde ayrıntılı ve kapsamlı biçimde belirlenmiş, denetim komitesi üyelerinde aranacak niteliklere yer verilmiştir. Ayrıca iç kontrol sistemi ile iç denetim sistemi arasındaki ayrım netleştirilmiş, iç kontrol faaliyetleri kapsamında yürürlükteki düzenlemelere, banka içi politika ve kurallar ile bankacılık teamüllerine uyumun özel kontrolüne yönelik hükümler tesis edilmiştir.
Bununla birlikte 11 Temmuz 2014 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirilme Süreci Hakkında Yönetmelik ile Bankaların İç Sistemleri Hakkında Yönetmelik yürürlükten kaldırılmış olmakla birlikte bankaların iç sistemlere ilişkin mevcut yapı ile usul ve esasları korunmuştur. Bunun yanı sıra anılan Yönetmelik ile bankaların faaliyetlerini gerçekleştirirken maruz kaldıkları tüm riskler karşılığında yeterli sermaye bulundurmaları ve risk yönetim kabiliyetlerini geliştirmeleri amacıyla, bankalar ve BDDK tarafından birlikte yürütülecek iç sermaye yeterliliği değerlendirme süreci (İSEDES) usul ve esasları belirlenmiştir. Söz konusu Yönetmelik ortaya çıkan gereksinimlere bağlı olarak 2015, 2016 ve 2017 yıllarında revize edilmiş olmakla birlikte uzaktan kimlik tespiti, açık bankacılık servisleri, servis modeli bankacılığı, yapay zekâ temelli uygulamalar gibi finansal teknolojiler ve dijital bankacılık, iklimle bağlantılı riskler, sürdürülebilirlik gibi güncel gelişmeler çerçevesinde iç sistemlere ilişkin yapı, süreç ve uygulamaların gözden geçirilme ihtiyacının doğabileceği belirtilebilecektir.
II. Sigortacılıkta İç Sistemler
Sigortacılık, bir taraftan risk transferi yoluyla sigortalıların maruz kalacakları zararları bertaraf etmekte, diğer taraftan fon birikimi yaratmak suretiyle ekonominin gelişmesine ve istikrarına katkıda bulunmaktadır. Ülkemiz sigortacılığı ve iç sistemlere ilişkin kilometre taşı; 14 Haziran 2007 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren 5684 sayılı Sigortacılık Kanunu denilebilecektir. Anılan Kanun ile getirilen düzenlemelerin en önemlilerinden birisi de Kanunun 4/8. maddesinde yer almıştır. Bu maddede “Sigorta şirketleri ile reasürans şirketleri; tüm iş ve işlemlerinin, sigortacılık mevzuatı ve ilgili diğer mevzuata, şirketin iç yönergeleri ile yönetim stratejisi ve politikalarına uygunluğunun sürekli kontrol edilmesi, denetlenmesi ile hata, hile ve usulsüzlüklerin tespiti ve önlenmesi amacıyla iç denetim ve risk yönetimini kapsayacak şekilde etkin bir iç kontrol sistemi kurmakla” yükümlü tutulmuşlardır. 5684 sayılı Sigortacılık Kanunu 2007’de yayımlandığında iç sistemler sadece iç denetim ve risk yönetimi olarak ele alınmışken 29 Haziran 2012 tarihli Resmi Gazete’de yayımlanan 6327 sayılı Kanun değişikliği ile sonrasında iç kontrol sistemini de kapsama dahil edilerek kanun düzeyinde bugünkü şeklini almıştır. Bununla birlikte iç sistemlere ilişkin görev, yetki ve sorumluluklar ile yapı ve süreçler bankacılıkta kanun düzeyinde detaylı olarak düzenlenmeye konu edilmişken sigortacılıkta ise benzer bir karşılık bulmadığı, temel olarak değinilmekle iktifa edildiği görülmekte diyebiliriz.
5684 sayılı Sigortacılık Kanunu’na dayanarak sigorta ve reasürans şirketleri ile emeklilik şirketlerinin (Şirket(ler)) bünyelerinde iç sistemlere ilişkin uymaları gereken usul ve esaslar Hazine Müsteşarlığı’nca 21 Haziran 2008 tarihinde yayımlanan Sigorta ve Reasürans ile Emeklilik Şirketlerinin İç Sistemlerine İlişkin Yönetmelik (Eski Yönetmelik) ile belirlenmiştir. Yönetmelikte şirketlerin iç sistemlerine (iç kontrol sistemi, risk yönetim sistemi ve iç denetim sistemi) ilişkin organizasyon yapısında iç denetim birimi doğrudan yönetim kuruluna bağlı ve idari açıdan bağımsız olarak konumlandırılmışken iç kontrol ve risk yönetimi ise – banka iç sistemler uygulamasından farklı olarak – icranın başındaki genel müdüre doğrudan bağlanmıştır. Belirtilmesinde fayda görülen bir diğer husus ise Yönetmelikte şirket yönetim kurulunun nihai sorumluluk kendisinde olmak üzere İcrai görevi bulunmayan bir veya birden fazla üyesini iç sistemlerden sorumlu üye olarak görevlendirebileceği düzenlenmişken – bankacılık uygulamasından farklı olarak – Denetim Komitesi gibi bir yapılanmaya hiç yer verilmediği görülmüştür.
Hazine ve Maliye Bakanlığı’nın hizmet birimleri olan Sigortacılık Genel Müdürlüğü ve Sigorta Denetleme Kurulu birleştirilerek 2019 yılında yeni adı ile Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu’nun (SEDDK) kurulması akabinde mevzuat güncelleme çalışmaları hız kazanmıştır. Bu doğrultuda SEDDK tarafından sigortacılık ve özel emeklilik sektöründe faaliyet gösteren kuruluşların kurumsal yapılarının güçlendirilmesi, uygulamaların uluslararası sisteme entegrasyonunu ve sigortalılara sunulan hizmet kalitesinin artırılmasını sağlayacak nitelikte düzenlemeler içeren Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik (Yeni Yönetmelik) 25 Kasım 2021 tarihli ve 31670 sayılı Resmi Gazete’de yayımlanmıştır. Yeni Yönetmelik ışığında bankacılık iç sistemler uygulaması ile yeknesak sayılabilecek öne çıkan yenilik ve değişikliklere özetle aşağıda yer verilmiştir:
- Eski Yönetmelik kapsamında yer alan ülkemizde kurulu sigorta, reasürans ve emeklilik şirketleri ile yabancı sigorta ve reasürans şirketlerinin ülkemizdeki teşkilatlarına; Yeni Yönetmelik ile Özellikli Kuruluşlar (Güvence Hesabı, Sigorta Bilgi ve Gözetim Merkezi, Emeklilik Gözetim Merkezi, Sigorta Tahkim Komisyonu, Türkiye Motorlu Taşıt Bürosu, Doğal Afet Sigortaları Kurumu, Özel Riskler Yönetim Merkezi) ve tüzel kişiliği haiz sigorta ve reasürans brokerleri de eklenmiştir.
- Yeni Yönetmelikte göze çarpan noktalardan birisi yönetim kuruluna getirilen ilave sorumluluklardır. Yönetim kuruluna atanan sorumluluklar arasında bankalardakine benzer şekilde kuruluşun organizasyon yapısını ve mevzuatla sorumlu kılındığı politikaların oluşturulması, iç sistemler kapsamındaki birimlerde çalışacak personelin seçimi, görevden alınması, iç sistemler birimlerinin çalışma usul ve esaslarını belirleme ve gerekli kaynağın tahsisini sağlamak bulunmaktadır. Yönetim kurulunun sorumlulukları arasında bulunan bir diğer önemli nokta ise risk yönetimi faaliyetlerinin acenteleri, temsilcilikleri ve dışarıdan hizmet alınan kuruluşlarını da içermesi olarak görülmektedir. Sigorta ve özel emeklilik sektöründe faaliyet gösteren kuruluşların müşteri şikayet ve itirazlarının alınabileceği kanalların oluşturulması ve bu şikayet ve itirazların raporlanmasına yönelik metodolojinin oluşturulması sorumluluğu da yönetim kuruluna verilmektedir.
- Yönetmelikte göze çarpan bir diğer nokta ise yönetim kurulunun kuruluşun iç sistemleri hakkında güvence veren yönetim beyanını denetim dönemi itibarıyla bağımsız denetçiye sunmakla yükümlü olmasıdır. Bu kapsamda şirketler için, yönetim beyanı metodolojilerini belirlemeleri, metodolojiye uygun şekilde çalışmalarına imkan sağlayacak sürecin tasarlanması ile rol ve sorumlulukların tanımlanması önemli hale gelmektedir.
- Yeni Yönetmelik ile birlikte sigortacılık iç sistemlerinde; asgari olarak icrai görevi bulunmayan iki yönetim kurulu üyesinden oluşan, belirlenen niteliklere haiz ve denetim – gözetim faaliyetlerinin yerine getirilmesinde yönetim kuruluna yardımcı olmak üzere denetim komitesi yapılanması ihdas edilerek bankacılık ile paralel bir uygulama standardına kavuşmaktadır.
- Yeni Yönetmelikte şirketlerde yönetim kurulunun iç sistemler kapsamındaki görev ve sorumluluklarının sağlıklı bir biçimde yerine getirilmesini teminen iç sistemler sorumluluğu görevini denetim komitesi aracılığıyla ifa edeceği düzenlenmiştir. Ayrıca denetim komitesinin iç sistemlere ilişkin görev ve sorumlulukları ayrı başlıklar halinde ayrıntılı ve kapsamlı biçimde belirlenmiş, denetim komitesi üyelerinde aranacak niteliklere ve özellikli kuruluşlar, tüzel kişiliği haiz sigorta ve reasürans brokerler için denetim komitesi uygulamasında istisnalara yer verilmiştir.
- Yeni Yönetmelikle birlikte iç sistemleri oluşturan iç kontrol, risk yönetimi ve iç denetim sistemlerine; sigortacılığın olmazsa olmazı aktüerya fonksiyonu da eklenmiştir.
- Yeni Yönetmelikte iç denetim biriminin (teftiş kurulu) doğrudan yönetim kuruluna bağlı olarak faaliyet göstermesi uygulaması mevcutta korunurken iç kontrol, risk yönetimi ve aktüerya birimlerinin idari ve fonksiyonel açıdan denetim komitesine bağlı kurulması ve faaliyet göstermesi zorunlu kılınmıştır. Böylelikle iç sistemlerin sağlıklı ve etkin bir şekilde işletimi açısından bankacılık uygulaması ile paralel sayılabilecek bir adım atılmış denilebilir. Nitekim iç sistemlerin, şirket organizasyon yapısında icranın başındaki genel müdürle hiyerarşik bağının bulunmaması ve iç sistemler kapsamındaki birimlerin yöneticilerinin performans ile mali ve özlük haklarına ilişkin değerlendirmelerin icrai görevi bulunmayan üst yöneticiler nezdinde yapılması iç sistemlerin sağlıklı ve etkin bir şekilde işletimi açısından kritiktir. Zira bu tercih ile çıkar çatışmalarının engellenmesine ve şirket içi denetim ve gözetim fonksiyonlarının gücünü artırarak icrai fonksiyonların etkisinde kalmaksızın faaliyet yürütmelerine imkan sağlayacağı söylenebilecektir.
- Yeni yönetmelikte iç sistemlerin konsolidasyona tâbi ortaklıkları da kapsayacak şekilde kurulması öngörülmüştür.
- Birincil / ikincil sistemler, iş sürekliliği gibi konulardaki standartlar ve prosedürler Yeni Yönetmelik kapsamında ele alınırken, iç kontrol, risk yönetimi, aktüerya ve iç denetim fonksiyonlarına ilişkin organizasyonel, yönetsel ve idari sorumluluklar da düzenlenmiştir.
- Şirketler, gerçekleştirdiği faaliyetler ile uyumlu ölçekte bilgi sistemleri altyapısını ve süreçlerini T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi ve Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayımlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri (COBIT) çerçevesine uyumlu olarak oluşturmak ve düzenli olarak gözden geçirmekle yükümlü hale gelmiştir. BDDK’nın güncel düzenlemelerine baktığımızda ise bilgi sistemleri denetiminde COBIT referansının kaldırılarak Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğe referans verildiği görülmektedir.
III. Genel Değerlendirme
BDDK’nın bankacılık iç sistemler düzenlemeleri BASEL Bankacılık Komitesi (Basel Committee on Banking Supervisory) prensipleri üzerine inşa edilirken, SEDDK sigortacılık iç sistemler düzenlemelerinin ise Sigorta Denetçileri Birliği (International Association of Insurance Supervisors – IAIS) prensiplerinin izlerini taşıdığı görülmektedir. Bununla birlikte BASEL Bankacılık Komitesi, IAIS, COSO Komitesi, IIA (Uluslararası İç Denetçiler Enstitüsü) ve ACFE (Suistimal İnceleme Uzmanları Birliği) ve daha birçok kuruluş 3’lü Hattı Modeli’ni iç sistemlerin etkinliği bakımından bir gösterge (benchmark) olarak kabul etmekte; BDDK ve SEDDK gibi kuruluşlarında düzenlemelerinde konu ettiği görülmektedir.
SEDDK’nın 25 Kasım 2021 tarihinde yayımlanan sigortacılık iç sistemler düzenlemesi ile birlikte ağırlıklı olarak BDDK’nın bankacılık iç sistemleri düzenlemesine paralel bir yaklaşım benimsediği, sigortacılığın kendine has yapısına binaen farklılaşan fonksiyonları dışında ülkemiz bankacılık iç sistemler yapısı ile yakınlaşan yapı, süreç ve uygulamaların inşa edildiği söylenebilecektir. Bununla birlikte gerek bankacılıkta gerekse sigortacılıkta iç sistemler birimlerinde çalışanların; uluslararası standartlar ışığında hazırlanan, BDDK ve SEDDK’nın yorum ve yaklaşımlarıyla hayat bulmuş anılan her iki düzenlemeye göz atmalarının konuya farklı açıdan ve tepeden bakabilmek, bütünü ve büyük resmi görmek açısından son derece faydalı olacağını belirtebiliriz.
Not: Bankacılıkta / sigortacılıkta iç sistemler kapsamında uyum kontrolleri, katılım bankacılığında / sigortacılığında iç sistemler ile suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi uyarınca çıkarılan düzenlemelere uyum başta olmak üzere mevzuat uyum fonksiyonu ile ilgili ayrı bir yazı yayımlanması planlandığından ötürü bu yazıda yer verilmemiştir.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”