Risk Merkezi Verilerine Erişen Şirketlerin Bilgi Sistemlerinin Bağımsız Denetimi Yükümlülüğü Başlıyor

28 Haziran 2013 tarihinde işletimi TCMB’den TBB’ye geçen Risk Merkezi (RM) verilerinin gizliliği Bankacılık Kanunu ile güvenceye alınmış durumda. Risk Merkezi verilerinin gizliliğini ihlal eden kişiler, 5411 sayılı Bankacılık Kanunu uyarınca müşteri sırrını açıklayan kişilerle aynı adli yaptırımlara tabi tutuluyor. Bu çerçevede, 5411 sayılı Bankacılık Kanunu’nun Ek Madde 1’inde “Risk Merkezinin bütün işlem ve kayıtları gizlidir. … Risk Merkezi nezdinde bulunan sır niteliğindeki bilgileri, bu konuda kanunen yetkili kılınan mercilerden başkalarına açıklayanlar, hukuka aykırı olarak kendisi ya da başkası yararına kullananlar, yayanlar, verenler, aktaranlar veya ele geçirenler hakkında 159 uncu madde hükümleri uygulanır. …” hükmü bulunuyor.

Aynı Kanun’un “Sırların Açıklanması” başlıklı 159 uncu maddesinde ise “Bu Kanunun 73 üncü maddesinin birinci ve üçüncü fıkralarında belirtilen yükümlülüğe uymayanlar için bir yıldan üç yıla kadar hapis ve bin günden ikibin güne kadar adlî para cezası hükmolunur. Banka ve müşterilere ait sırları açıklayan üçüncü kişiler hakkında da aynı cezalar uygulanır. Yukarıdaki fıkrada belirtilen kimseler sırları kendileri ya da başkaları için yarar sağlamak amacıyla açıklamış olursa verilecek cezalar altıda bir oranında artırılır. Ayrıca, fiilin önemine göre sorumluların bu Kanun kapsamına giren kuruluşlarda görev yapmaları, iki yıldan aşağı olmamak üzere geçici veya sürekli olarak yasaklanır.” hükmü yer alıyor.

Ayrıca, 10.04.2012 tarihli ve 28260 sayılı Resmi Gazete’de yayımlanan “Türkiye Bankalar Birliği Risk Merkezi Yönetmeliği“nin 6 ncı maddesi 1 inci fıkrası (e) bendi uyarınca Risk Merkezi Yönetimi (RMY), Risk Merkezi’nden temin ettiği bilgi ve belgelerin gizliliğinin sağlanmasına yönelik önlemleri almayan üye kuruluşlarına bilgi akışını durdurmakla yetkili kılınmıştır.

Halen TBB bünyesindeki Risk Merkezi’nden, bankalar, faktoring şirketleri, finansal kiralama şirketleri, finansman şirketleri, varlık yönetim şirketleri, bazı sigorta şirketleri ve Kredi Garanti Fonu A.Ş., Borsa İstanbul A.Ş., Tarım Kredi Kooperatifleri Merkez Birliği gibi diğer finansal kuruluşlar bilgi alıyor.

Risk Merkezi bir süredir yukarıdaki üye kuruluşlara sağladığı bilgilerin güvenliğinin ve gizliliğinin sağlanmasına yönelik çalışmalar yürütüyordu. Bu çerçevede, “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri Düzenlemesi” Risk Merkezi’nin 01.10.2014 tarihli ve 51128 sayılı yazısı ekinde üye kuruluşlara ulaştırılmış, RM üyelerinin 01.01.2015 tarihinde kadar bilgi sistemlerini ve iş süreçlerini bu düzenlemeye uyumlu hale getirmeleri istenmiş ve üyelerin bilgi sistemleri ve iş süreçlerini bu düzenlemeye uygun hale getirip getirmediklerinin üyeler nezdinde yapılacak denetimle tespit edileceği belirtilmişti.

Risk Merkezi’nin 03.10.2014 tarihli ve 51138 sayılı yazısı ile de Risk Merkezi Yönetimi tarafından onaylanan “Bilgi Güvenliği Politikası” üye kuruluşlara gönderilmiş ve RM verisine erişen tüm tarafların bu politika ile uyumlu Bilgi Güvenliği Politika ve uygulamalarına sahip olmalarının esas olduğu, tüm tarafların ve kullanıcıların Risk Merkezi Bilgi Güvenliği Politikası’nda yer alan düzenlemelere uygun olarak hareket etmelerinin beklendiği üye kuruluşlara bildirilmişti.

Son olarak Risk Merkezi Yönetimi’nin 07.01.2016 tarihli toplantısında alınan 3 no.lu karar ile RM üyelerinin denetimine ilişkin esas ve usulleri belirleyen “Risk Merkezi Üyelerinin Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Denetimi ve Raporlanması Hakkında Genelge” kabul edildi ve Risk Merkezi’nin 02.02.2016 tarihli ve 50114 sayılı yazısı ile üye kuruluşlara dağıtıldı. Bu Genelge’de;

• Bağımsız Denetim Kuruluşları tarafından yapılacak denetime tabi üyeler ve denetime ilişkin usul ve esaslar ile,
• Bağımsız Denetim Kuruluşları tarafından yapılacak denetime tabi olmayıp, Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi kapsamında yer alacak üyeler ve bunlara ilişkin esas ve usuller

düzenleniyor. Genelge’de belirtilen esas ve usuller, 2015 döneminden başlamak üzere uygulanmaya başlayacak. Böylece RM Yönetimi tarafından geriye yönelik yürürlüğe giren bir düzenleme yapılmış oluyor.

Denetime Tabi Kuruluşlar

Genelge’ye göre, her mali yılda;

– Bir Bankanın konsolide finansal tablo kapsamına dâhil edilen ve yetkili kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilmeyen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki üyeler,

– Bir Bankanın konsolide finansal tablo kapsamına dâhil edilmeyen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki üyeler,

– Bir bankanın bağlı ortaklık / birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikte olmayan üyeler,

– Kredi Garanti Fonu A.Ş.

denetime tabi olacak.

Bankalar ve bir bankanın konsolide finansal tablo kapsamına dâhil edilen ve yetkili kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık süreçleri denetimi kapsamına dâhil edilen bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştirak ve benzer nitelikteki üyeler ise denetime tabi olmayacak. Ancak, bu Üyeler “Risk Merkezi Veri İletimi – Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” verme kapsamında Genelge hükümlerine tabi olacaklar. Bu beyannameyi vermek istememeleri durumunda ise, “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi” kapsamına giren konularla sınırlı olmak üzere Genelge hükümleri çerçevesinde denetime tabi olacaklar.

Denetim Yaptırılacak Bağımsız Denetim Kuruluşları ve Denetimin Kapsamı 

Denetim, bankalarda Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri Denetimi yapmaya yetkili bağımsız denetim kuruluşlarınca, “Risk Merkezi Tarafından İletilen ve Saklanan Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanmasına Yönelik Üyeler Tarafından Alınması Gereken Önlemler ile Üyeler Tarafından Alınacak Önlemlerin Denetlenmesinde Kullanılacak Kontrol Hedefleri” ve “Bilgi Güvenliği Politikası” kapsamında RM üyelerinin bünyelerinde RM süreçlerinin gözden geçirilmesi ve bilgi sistemleri denetimi şeklinde gerçekleştirilecek.

Denetim Sıklığı

Her yıl bir denetim yaptırılacak. Risk Merkezi Yönetimi (RMY) tarafından gerekli görülen hallerde bu denetimlerin sıklığı ve sayısı farklılaştırabilecek. Genelge’de denetim dönemleri;

– Faktoring şirketleri için 1 Temmuz– 30 Haziran,

– Diğer finansal kuruluşlar için (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri, Kredi Garanti Fonu A.Ş. ve diğerlerinde) 1 Eylül– 31 Ağustos olarak belirlenmiş.

Risk Merkezine Yeni Üye Olacak Kuruluşların Denetim Yükümlülüğü

Risk Merkezi’ne yeni üye olacak ve banka veya bir bankanın bağlı ortaklığı/ birlikte kontrol edilen ortaklığı / iştiraki konumunda olmayan finansal kuruluşlar ise, RM tarafından bilgi paylaşımına başlamadan önce, RM süreç ve bilgi sistemlerinin, Risk Merkezi Kontrol Hedefleri ve Bilgi Güvenliği Politikasına uygun olarak tasarladığının tespit edilmesini teminen yetkili kuruluşlara denetim yaptırmakla yükümlü kılınmışlar.

Denetim Raporu Ve Aksiyon Planları

Yetkili kuruluşlar, genelge uyarınca denetim raporunu, üyenin tabi olduğu denetim döneminin bitiş tarihi itibari ile en geç 30 gün içerisinde tamamlayıp üyeye iletmekle yükümlüler. Ayrıca, denetim raporunu, üyenin tabi olduğu denetim döneminin bitiş tarihi itibarı ile en geç 60 gün içerisinde RMDS uygulaması üzerine kayıt ettirmek ve posta aracılığı ile RM’ye iletmek zorundalar.

Üyeler, RMDS uygulaması üzerinde kendilerine yönelik olarak hazırlanan kısım üzerinden; raporlarda yer alan bulgulara ilişkin aksiyon planlarını, yetkili kuruluşun rapor kayıt tarihi itibarı ile en geç 30 gün içerisinde RM’ye iletecekler.

Bankalar ve Bankaların Konsolide Denetime Tabi İştiraklerinin Beyan Verme veya Denetim Yaptırma Yükümlülükleri

Bankalar ve bir bankanın konsolide finansal tablo kapsamına dâhil edilmiş olup, Yetkili Kuruluş tarafından Bağımsız Bilgi Sistemleri ve Bankacılık Süreçleri denetimi kapsamına dâhil edilen bağlı ortaklığı/ birlikte kontrol edilen ortaklığı/ iştiraki ve benzeri nitelikteki Üye Finansal Kuruluşlar, RMY ‘ye hitaben, verilerin doğruluğu ve güvenilirliği hususunda Risk Merkezi Kontrol Hedefleri’nin 1. maddesi doğrultusunda Genelge’nin EK-9’unda yer alan “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni oluşturmak ve oluşturulan beyannameyi biri Genel Müdür Yardımcısı/Genel Müdür/ Yönetim Kurulu Üyesi olmak koşulu ile iki imzalı olarak iletmekle yükümlü kılınmışlar.

Bankalar 01 Ocak – 31 Aralık dönemine ilişkin, en geç 31 Ocak tarihine kadar, Faktoring şirketleri 1 Temmuz – 30 Haziran dönemine ilişkin, en geç 31 Temmuz tarihine kadar, diğer finansal kuruluşlar ise (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer) 1 Eylül – 31 Ağustos dönemine ilişkin, en geç 30 Eylül tarihine kadar, “Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesini” varsa bulgu ve aksiyon plan ile RMDS uygulaması üzerine girmek ve posta aracılığı ile RM’ye iletmekle yükümlüler.

Bu kuruluşlar beyanname vermek istemezler ise, beyanname kapsamına giren konularla sınırlı olmak üzere bağımsız denetim yaptırmakla yükümlüler.

Bağımsız Denetim Firmaları ile İmzalanan Sözleşmelerin En Geç 30.06.2016’ya Kadar RM’ye Bildirilmesi Gerekiyor

Bir bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştiraki olmayan;

– Faktoring şirketleri 1 Temmuz 2015 – 30 Haziran 2016 dönemini,

– Diğer finansal kuruluşlar (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri, Kredi Garanti Fonu ve diğer) 1 Eylül 2015 – 31 Ağustos 2016 dönemini kapsayacak şekilde denetim yaptırmakla yükümlüler. Üyelerin Yetkili Kuruluş ile imzaladıkları sözleşmeleri en geç 30 Haziran 2016 tarihine kadar RM’ye bildirmeleri gerekiyor.

Yetkili Kuruluşlar, bu kapsamda denetim raporlarını;

– Faktoring Şirketleri için en geç 30 Ağustos 2016 tarihine kadar,

– Diğer Finansal Kuruluşlar (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer ) için en geç 31 Ekim 2016 tarihine kadar, RM’ye göndermekle yükümlüler.

Banka ve İştiraklerinin 2015 Yılına İlişkin Denetim Yaptırma Yükümlülüğü Yok

Genelge’nin geçici 2 nci maddesine göre banka ve bir bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştiraki olan üyelerin, bankanın konsolide finansal tablolarına ve/veya ilgili yetkili kuruluş tarafından Bağımsız Bilgi Sistemleri Denetimi kapsamına dâhil edilip edilmediğine bakılmaksızın, 2015 yılına ilişkin denetim yaptırma yükümlülükleri bulunmuyor.

Bankaların En Geç 31.03.2016 Tarihine Kadar Beyanname Vermeleri Gerekiyor

Bankalar, 01 Ocak 2015 – 31 Aralık 2015 dönemine ilişkin en geç 31 Mart 2016 tarihine kadar, bir bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştiraki olan;

– Faktoring şirketlerinin 1 Temmuz 2015 – 30 Haziran 2016 dönemine ilişkin, en geç 31 Temmuz 2016 tarihine kadar,

– Diğer finansal kuruluşların ise (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer) 1 Eylül 2015 – 31 Ağustos 2016 dönemine ilişkin, en geç 30 Eylül 2016 tarihine kadar,

“Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi”ni vermeleri gerekiyor.

Beyanname Vermek İstemeyen Bankalar En Geç 31.03.2016 Tarihine Kadar Denetim Sözleşmesini RM’ye Göndermekle Yükümlüler

Bankalar ve kapsamdaki iştiraklerinin beyanname vermek istememeleri durumunda, Risk Merkezi Veri İletimi-Alımı Esnasında Dikkate Alınması Gereken Önlemler Beyannamesi kapsamına giren konularla sınırlı olarak,

– Bankaların 01 Ocak 2015 – 31 Aralık 2015 dönemini,

Bir bankanın bağlı ortaklık/ birlikte kontrol edilen ortaklık / iştiraki olan;

– Faktoring şirketlerinin 1 Temmuz 2015 – 30 Haziran 2016 dönemini,

– Diğer finansal kuruluşların ise (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer ) 1 Eylül 2015 – 31 Ağustos 2016 dönemini, kapsayacak şekilde yetkili kuruluşlara denetim yaptırma yükümlülükleri bulunuyor.

Bu kapsamda Yetkili Kuruluş ile imzalanan sözleşmelerin;

– Bankalar tarafından en geç 31 Mart 2016 tarihine kadar,

– Faktoring Şirketleri ve Diğer Finansal Kuruluşlar (Finansal Kiralama Şirketleri, Finansman Şirketleri, Varlık Yönetim Şirketleri, Sigorta Şirketleri ve diğer) tarafından en geç 31 Mart 2016 tarihine kadar, RM’ye bildirilmesi gerekiyor.

Genelge’ye www.riskmerkezi.org adresinde “Üye Girişi” adımındaki “Genelgeler” bölümünde “Risk Merkezi Üyelerinin Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Denetimi ve Raporlanması Hakkında Genelge” başlığı altından ulaşılabiliyor.

Genelge kapsamındaki bazı yükümlülüklerin en geç 31.03.2016 tarihine kadar tamamlanması gerektiği için hatırlatmak istedik.

Saygılarımızla,

ProCompliance