Bilgi Sistemleri ve İş Süreçlerinin Denetimi Hakkında Yönetmelik Taslağı Yayımlandı
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 26 Temmuz 2021 tarihinde Bilgi Sistemleri ve İş Süreçlerinin Denetimi Hakkında Yönetmelik Taslağı (Yeni Yönetmelik Taslağı) internet sitesinde yayımlanarak kamuoyunun görüşüne açılmıştır.
Malumunuz Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik (Yönetmelik) 13 Ocak 2010 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Yönetmelik kapsamındaki denetimler başta Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (İlkeler Tebliği) olmak üzere BDDK’nın diğer düzenlemelerindeki hükümler gözetilerek icra edilmiş ve hüküm bulunmayan hallerde COBIT (Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri) referans alınarak gerçekleştirilmiştir. Bununla birlikte İlkeler Tebliği’ni yürürlükten kaldırarak 1 Ocak 2021 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te ise COBIT’e yer verilmemiştir. Ayrıca Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimi ve Denetimine İlişkin Tebliğ’in 6 Nisan 2019 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle adı geçen Tebliğ kapsamındaki şirketlerin bilgi sistemleri bağımsız denetimi ile ilgili olarak düzenleme gereksinimi ortaya çıkmıştır.
Dolayısıyla Yönetmeliğin yayımlandığı 2010 yılından günümüze kadar geçen süredeki mevzuatsal değişiklikler başta olmak üzere denetim ve gözetim faaliyetlerinde edinilen tecrübeler ve sektör ihtiyaçları da göz önünde bulundurularak Bilgi Sistemleri ve İş Süreçlerinin Denetimi Hakkında Yönetmelik Taslağı‘nın hazırlandığı görülmektedir. Anılan Yeni Yönetmelik Taslağı ile birlikte gözümüze çarpan gündemdeki önemli olası değişikliklere aşağıda yer verilmiştir:
- Meri Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik yürürlükten kaldırılacaktır.
- Mevcuttaki Yönetmelik sadece bankalar özelinde düzenlenmişken Yeni Yönetmelik ile beraber BDDK’nın gözetimi ve denetimi altındaki kuruluşlar kapsanacak şekilde yeniden tasarlanmıştır.
- Denetim için yetkilendirilecek kuruluşlarda aranan şartlar; Bankalar, Risk Merkezi ve bilgi alışverişi kuruluşları ile BDDK’nın gözetimi ve denetimine altındaki diğer finansal kuruluşlar olarak ikili bir ayrıma gidilerek güncellenmiştir.
- Bilgi sistemleri ve bankacılık iş süreçleri denetimi yapma yetkisinin kaldırılmasına ilişkin usul ve esaslar denetim ve gözetim faaliyetlerinde edinilen tecrübeler ışığında revize edilmiştir.
- Yetkili kuruluşlar ve denetçilerin denetim faaliyetleri dolayısıyla öğrendikleri sır kapsamındaki bilgilerin korunmasına ilişkin dikkate alınması gereken asgari standartlar sayma yöntemi ile belirlenerek ilave edilmiştir.
- Yönetmelikteki “bankacılık süreçleri” ibaresi “iş süreçleri” olarak değiştirilmiş ve bankaların 5411 sayılı Bankacılık Kanunu’nun faaliyet konuları başlıklı 4.maddesi çerçevesinde yürüttüğü faaliyetlere ilişkin tesis edilen süreçlerine ilaveten “Risk Merkezi ve bilgi alışverişi kuruluşlarının ilgili mevzuatı çerçevesinde yürüttükleri faaliyetler kapsamındaki iş süreçleri” de dahil edilmiştir.
- Bankalarda iş süreçlerinin denetimi kapsamında önemlilik kriteri çerçevesinde dikkate alınarak değerlendirilmesi gereken bankacılık faaliyetlerine ilişkin iş süreçlerinin alt kırılımları genişletilerek detaylandırılmıştır. Ayrıca süreç adlarında katılım bankacılığı ilke ve standartları gözetilerek gerekli düzeltmeler yapılmıştır.
- Mevcut Yönetmelik’teki yönetim beyanına ve COBIT’e ilişkin hükümlere Yeni Yönetmelik Taslağı’nda yer verilmemiştir.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
Bilgi Sistemleri ve İş Süreçlerinin Denetimi Hakkında Yönetmelik Taslağı: