BDDK’nın Bilgi Alışverişi Kuruluşları ve Risk Merkezi’ne İlişkin Tebliği Yayımlandı

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) bünyesinde 2013 yılında Risk Merkezi (RM), Kredi kayıt Bürosu (KKB) ve Bankalararası Kart Merkezi (BKM) gibi kuruluşların, bilgi sistemlerine ilişkin bilgi güvenliği, görevler ayrılığı, yetkilendirme ve denetim izleri gibi konularda bankalar gibi o dönemki Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (İlkeler Tebliği) hükümlerine tabi tutulması ve uyum durumlarının Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik kapsamında denetlenmesine ve raporlanmasına yönelik olarak yapılan mevzuat çalışmalarının bir sonucu olarak 04.12.2013 tarihli ve 28841 sayılı Resmi Gazete’de Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ (Tebliğ) yayımlanarak yürürlüğe girmiştir.

Tebliğ kapsamındaki denetimler başta İlkeler Tebliği olmak üzere BDDK’nın diğer düzenlemelerindeki hükümler gözetilerek icra edilmiş ve hüküm bulunmayan hallerde COBIT’e (Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri) referans verilmiştir. Bununla birlikte İlkeler Tebliği’ni yürürlükten kaldırarak 1 Ocak 2021 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te ise COBIT’e yer verilmemiştir. 22.11.2019 tarihli Resmi Gazete’de yayımlanan 7192 sayılı Kanun ile esasen ödeme sistemi faaliyeti olan “takas ve mahsup” faaliyetlerine ilişkin ifadeler 5464 sayılı Banka Kartları ve Kredi Kartları Kanun metninden çıkarılarak düzenleyici otoritenin tekilleştirilmesi amacına binaen takas ve mahsuplaşma faaliyetlerinin Türkiye Cumhuriyet Merkez Bankası’nın (TCMB) yetkisi altında yürütülmesi uygulamasına geçilmiştir.

Dolayısıyla Tebliğin yayımlandığı 2013 yılından günümüze kadar geçen süredeki mevzuatsal değişiklikler başta olmak üzere denetim ve gözetim faaliyetlerinde edinilen tecrübeler ve ortaya çıkan ihtiyaçlar da göz önünde bulundurularak BDDK tarafından Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ (Yeni Tebliğ), 19.08.2021 tarihli ve 31573 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Böylelikle sır kapsamında yer alan verilere sahip olacak RM, KKB, BKM gibi kuruluşların bankalarla aynı seviyede bilgi teknolojilerini kullanabilmesi ve yönetmesi beklendiğinden ötürü Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğin yerini almak üzere yeni Tebliğ uygulamaya geçirilmiştir. Bu kapsamda Yeni Tebliğ ile birlikte gözümüze çarpan öne çıkan hususlara aşağıda yer verilmektedir:

• Risk Merkezi ile bilgi alışverişi kuruluşları, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği’nin tümüne tabi kılınmıştır. Bu bakımdan Tebliğ’de yer alan birçok hükme Yeni Tebliğ’de yer verilmemiştir.

• Risk Merkezi ile bilgi alışverişi kuruluşları, 5411 sayılı Bankacılık Kanunu’nun 73.maddesine göre sır kapsamında olan bilgilerin üye kuruluş (banka vd.) tarafından sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte “beş yıl” süreyle üye kuruluş (banka vd.) tarafından tutulmasını temin edecektir. Bu süre Eski Tebliğ’de “bir yıl” idi.

• Risk Merkezi ile bilgi alışverişi kuruluşlarının bilgi alışverişi sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar (banka vd.) tarafından alınması gerekli olan tedbirleri belirleme ve yazılı olarak üyeleriyle paylaşmasına ilişkin uygulama devam ettirilmektedir. Risk Merkezi ile bilgi alışverişi kuruluşları tarafından yapılan kontrollerde, bildirilen ve söz konusu önlemleri belirtilen tarihe kadar almadığı tespit edilen üye kuruluşun en geç bir ay içerisinde BDDK’ya bildirilmesi kuralı mevcut haliyle korunmuştur.

• Bilgi alışverişine ilişkin kullanılacak süreçler ve sistemlerin; Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin dış hizmet alım sürecinin yönetimi başlıklı madde 29 /10 kapsamındaki “kritik bilgi sistemleri” olarak değerlendirileceği hüküm altına alınmıştır. Bilindiği üzere kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilmesi ve dış hizmet alımında önemli bir kriter olarak değerlendirilmesi BDDK tarafından beklenmektedir. Aynı zamanda bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şart kılınmış olup; kullanılacak güvenlik ürünleri ve diğer BT unsurları hakkında ilave şartlar belirlemeye BDDK yetkili kılınmıştır.

• Eski Tebliğin kapsamı altında yer alan takas ve mahsuplaşma kuruluşları; Yeni Tebliğ’de 7192 sayılı Kanun ile uyumlu olarak kapsamdan çıkarılmıştır.

• Eski Tebliğ’de Risk Merkezi ile bilgi alışverişi kuruluşları için sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmakla yükümlü kılınırlarken Yeni Tebliğ’de farklılaştırılarak sahtecilik ve bilgi ifşasını önleyici çalışmalar yapmakla yükümlü oldukları düzenlenmiştir.

Saygılarımızla,

Vahdet Deniz AKÇAOĞLU

“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”

Vahdet Deniz AKÇAOĞLU

Makalenin yazarı Vahdet Deniz AKÇAOĞLU, 2007 – 2009 yılları arasında özel bir bankanın İç Kontrol Merkezi Başkanlığı’nda Denetçi olarak, 2009 yılından 2018 yılına kadar aynı bankanın Uyum Başkanlığı’nda Ürün ve Hizmetler Uyum Kontrol Yöneticisi olarak görev yaptı. 2019 yılından itibaren de İç Kontrol ve Uyum Başkanlığı’nda Etik ve Mevzuat Takip Yöneticisi olarak görev yapmaktadır. Bankacılık ve sermaye piyasası mevzuatı ile kurumsal yönetim, etik, iç sistemler konuları başta olmak üzere banka ve finans kurumlarını ilgilendiren her türlü mevzuat üzerinde çalışmaktadır.

 

Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ:

Loading...

Taking too long?

Reload document

| Open in new tab

İndir (Download) [237.30 KB]