SPK Tarafından Yayımlanan Bilgi Sistemleri Yönetimi ve Bilgi Sistemleri Bağımsız Denetim Tebliğleri
05 Ocak 2018 tarihli ve 30292 sayılı Resmi Gazete’de Sermaye Piyasası Kurulu (SPK) tarafından,
– Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) ve
– Bilgi Sistemleri Yönetimi Tebliği (VII-128.9)
yayımlandı. Bu tebliğlerin taslak halleri 2013 yılı sonlarında sermaye piyasası kurumlarına gönderilmiş ve ilgili kurumların görüşleri toplanmıştı.
Hemen belirtmek gerekir ki aşağıdaki yazı sadece bankalar ve konsolidasyona tabi iştiraklerinin söz konusu Tebliğler kapsamındaki temel yükümlülüklerine ilişkin bilgi vermek amaçlı hazırlanmıştır. Özellikle kısmi ve geniş yetkili aracı kurumlarla, asgari özsermaye yükümlülüğü 5 milyon TL üzerinde olan portföy yönetim şirketlerinin (PYŞ’lerin) bu tebliğler kapsamında aşağıda yazılanlardan çok daha geniş kapsamlı yükümlülükleri bulunmaktadır.
BİLGİ SİSTEMLERİ BAĞIMSIZ DENETİM TEBLİĞİ (III-62.2)
Bilgi Sistemleri Bağımsız Denetim Tebliği’nin 2/2 maddesi uyarınca banka ve sigorta şirketleri ile finansal kiralama, faktoring ve finansman şirketlerinin bilgi sistemlerinin kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde denetlenmesi, bu Tebliğ’de öngörülen yükümlülüklerin yerine getirilmesi hükmünde sayılmıştır. Ancak, bu şirketler kendi özel mevzuatlarına aykırı olmamak kaydıyla kendi mevzuatları çerçevesinde hazırlanan bilgi sistemleri bağımsız denetimi raporlarını Tebliğ hükümleri çerçevesinde SPK’ya sunmakla yükümlü kılınmıştır. Bununla birlikte Tebliğ’in “Yükümlülük ve muafiyetler” başlıklı 30 uncu maddesindeki hükümler de göz önüne alındığında sayılan şirketlerden sadece bankaların kendi özel mevzuatları çerçevesinde hazırlanan bilgi sistemleri bağımsız denetim raporunu SPK’ya göndermekle yükümlü oldukları düşünülmektedir.
Bu çerçevede, Bilgi Sistemleri Bağımsız Denetim Tebliği’nin 29 uncu maddesi kapsamında, bankaların BDDK mevzuatı çerçevesinde düzenlenen bilgi sistemleri bağımsız denetim raporunu, teslim alınmasını itibaren en geç 5 iş günü içerisinde raporun kabulüne yönelik yönetim kurulu kararıyla birlikte SPK’ya göndermeleri gerektiği görülmektedir (madde 29).
Diğer taraftan, bahse konu Tebliğ taslak halinde iken 2013 yılı sonlarında Türkiye Bankalar Birliği (TBB) tarafından taslak tebliğe ilişkin verilen görüşte, bankalar ve bankaların konsolidasyona tabi iştiraklerine ait bilgi sistemlerinin BDDK düzenlemeleri kapsamında yönetilmekte ve denetlenmekte olduğu; söz konusu yönetim ve denetimin kapsamına bankaların iştiraki olan “Aracı Kurumlar ve Portföy Yönetim Şirketleri”nin de girdiği; bu sebeple Tebliğ taslaklarında yer verilen istisnaların kapsamına banka iştiraki “Aracı Kurumlar ve Portföy Yönetim Şirketleri”nin de dahil edilmesi istenmişti. Ancak, Tebliğ’in nihai halinde bankaların konsolide iştiraki olan aracı kurum ve PYŞ’ler için bu yönde bir istisna tanınmadığı görülmektedir.
Kısmi ve geniş yetkili aracı kurumlarla asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketlerinin Bilgi Sistemleri Bağımsız Denetim Tebliği’nin 30/2 maddesi uyarınca 2 yılda bir kez bu Tebliğ uyarınca bilgi sistemleri bağımsız denetimi yaptırma zorunluluğu bulunmaktadır. Bu çerçevede, söz konusu kapsamdaki aracı kurumların ve PYŞ’lerin ilk bilgi sistemleri bağımsız denetimini bu Tebliğ’in yürürlüğünü izleyen ikinci yıl (2019) için, izleyen bilgi sistemleri bağımsız denetimini ise bir öncekini izleyen ikinci yıl için yaptırmaları gerekmektedir (md. 30/2).
Tebliğ’in 20 nci maddesi uyarınca bu kapsamdaki aracı kurumlarla PYŞ’lerin bilgi sistemleri bağımsız denetimini gerçekleştirecek yetkili kuruluş ile bilgi sistemleri bağımsız denetim sözleşmesini, denetime tabi dönemin ilk 4 ayı içerisinde imzalamaları gerekmektedir. Ancak, bağımsız denetim sözleşmesi imzalanmasına ilişkin bu 4 aylık sınırlama, ilk denetim dönemi için uygulanmayacaktır (Geçici md. 1/2).
BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ (VII-128.9)
Bilgi Sistemleri Yönetimi Tebliği’nin 2/2 maddesi uyarınca banka ve sigorta şirketleri ile finansal kiralama, faktoring ve finansman şirketlerinin bilgi sistemlerinin, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu Tebliğ’de öngörülen yükümlülüklerin yerine getirilmesi hükmünde sayılmıştır. Bu çerçevede, bankaların bu Tebliğ özelinde yerine getirmesi gereken ilave bir yükümlülük bulunmamaktadır.
Öte yandan, asgari özsermaye yükümlülüğü 5 milyon TL üzerinde olan PYŞ’ler ile kısmi ve geniş yetkili aracı kurumlar söz konusu Tebliğ’in 28 inci maddesinde sayılan muafiyet uygulanan kurumlar arasında bulunmadığından, bu kapsamdaki aracı kurumların ve PYŞ’lerin (bankaların konsolidasyona tabi nitelikte iştiraki olan aracı kurum ve PYŞ’ler dahil) Bilgi Sistemleri Yönetimi Tebliği kapsamında,
– Yönetim Kurulu onaylı bilgi güvenliği politikası oluşturmaları,
– Bilgi sistemleri üzerinde etkin ve yeterli kontrolleri tesis etmeleri,
– Bilgi sistemlerini, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutmaları,
– Bilgi sistemlerine ilişkin dış kaynak yoluyla alınan hizmetleri yönetimi konusunda Tebliğ’de istenen yükümlülükleri yerine getirmeleri,
– Denetim izi kayıt mekanizmasını tesis etmeleri ve asgari 5 yıl saklamaları
gibi kapsamlı yükümlülükleri bulunmaktadır,
Tebliğler 5 Ocak 2018 tarihi itibarıyla yürürlüğe girmiştir.
Saygılarımızla,
BİLGİ SİSTEMLERİ BAĞIMSIZ DENETİM TEBLİĞİ (III-62.2)
BİLGİ SİSTEMLERİ BAĞIMSIZ DENETİM TEBLİĞİ EKLERİ
Loading...
Reload document 
Open in new tab BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ (VII-128.9)
BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ EKLERİ
Loading...
