BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK HAKKINDA NOTLAR
Bilindiği üzere, yıllardır Bankacılık sektöründe Bilgi Sistemlerinin yönetim, kontrol ve denetimine ilişkin COBIT standardının yanı sıra uymakla yükümlü olduğumuz “Bankaların Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’i (nam-ı diğer İlkeler Tebliği)” yerini 2018 yılından beri taslak halinde üzerinde çalışmalar süren ve nihayet Mart 2020’de Resmî Gazete’de yayınlanan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”e bıraktı.
BDDK tarafından 2020 yılında yapılan değerlendirme ve düzenlemeler sonucu ilk olarak Yönetmelik’e uyum yükümlülüğü kısıtlı maddeler ile devreye alındı. Öncelikli olarak devreye alınan konular aşağıdaki gibiydi:
2021 yılı hepimiz için yeni Yönetmelik’in tüm maddelerine tam uyumun beklendiği ilk yıl olması dolayısıyla çeşitli çalışmaların eksiksiz yapılması gereksinimini karşımıza çıkarıyor. Bu kapsamda Bankalarda çeşitli fonksiyonlarda bir dolu görevin gerçekleştirilmesi gerekirken bu görevlerin en etkin ve verimli yapılabilmesi ve mükerrer efor oluşmaması önemli. Yeni düzenlemelere uyumun sağlanması ve yeni yönetmeliğe uyumun fonksiyonlar tarafından sağlanması bakımından yapılacaklar listesini ise kabataslak şöyle sıralayabiliriz:
Mevzuat Uyum Tarafı: Yeni yönetmelik maddeleri ile eski tebliğ maddelerinin karşılaştırılması, ilgili birimlerin yeni yönetmelik maddesi uyum gereksinimleri hakkında bilgilendirilmesi.
Bilgi Sistemleri Tarafı: Organizasyonel yapılar, süreç, sistem ve uygulamalarda yönetmelik maddelerini karşılamayan yönlere dair yeni organizasyonlar kurgulamak, aksiyonlar almak, projeler geliştirmek ve düzenlemeler yapmak.
Risk Yönetimi Tarafı: Yeni yönetmelik kapsamında yeni riskleri adreslemek, risk yönetim faaliyetlerine ilgili yeni yasal uyum risklerini entegre etmek.
İç Kontrol Tarafı: Yeni maddelerin karşılanmasına yönelik iç kontrol sisteminin gözden geçirilmesi, mevcut kontrollerin gözden geçirilmesi, yeni kontrollerin tasarlanması, geliştirilmesi ve izlenmesi. Risk kontrol matrislerine yeni kontrollerin işlenmesi ve mevcut kontrollerin yeni Yönetmelik maddelerini karşılayan referans bilgilerinin düzenlenmesi.
Denetim Tarafı: Denetim planlarına yeni yükümlülüklerin işlenmesi, denetim kaynak planlamalarının düzenlenmesi, yeni yükümlülükler kapsamında oluşan yeni danışmanlık taleplerinin karşılanması.
Tüm yükümlülükler dikkate alındığında yeni yükümlülüklere yönelik görevlerin yerine getirilmesi bakımından süreçlerin kolaylaştırılmasını sağlamak üzere belki de ilk yapılması gereken eski tebliğ maddeleri ile yeni yönetmelik maddelerini karşılaştırmak.
Bu yazıda sizlerle BS ve Elektronik Bankacılık Yönetmeliği Maddeleri ile hayatımıza giren yeni düzenlemelere ilişkin bir özet paylaşmaya çalışacağım.
TANIMLARDAKİ DEĞİŞİKLİKLER
İlkeler Tebliği ile BS ve Elektronik Bankacılık Yönetmeliği tanımlarını karşılaştırdığımızda karşımıza güncel gelişme ve düzenlemeleri de karşılayacak yeni tanımlar çıkıyor. Bunlardan bazıları ise şöyle:
İlkeler Tebliği’nde “Bilgi Sistemlerine İlişkin Risk Yönetimi ve İç Kontrollerin Tesisi” ana başlığı altında “Bilgi Sistemlerine İlişkin Risk Yönetimi” ve “Bilgi Sistemlerine İlişkin İç Kontrollerin Tesisi ve Takibi” olmak üzere iki ayrı bölümde tanımlanıyordu.
BS ve Elektronik Bankacılık Yönetmeliği’nde ise “Bilgi Sistemlerine İlişkin Risk Yönetimi ve İç Kontrollerin Tesisi” ana başlığının yedi (7) ayrı bölümde; “Bilgi Sistemleri Yönetişimi”, “Bilgi Sistemleri Risklerinin Yönetilmesi”, “Bilgi Güvenliği Yönetimi”, “Sistem Geliştirme ve Değişiklik Yönetimi”, “Bilgi Sistemleri Sürekliliği ve Erişilebilirlik Yönetimi”, “Bilgi Sistemlerine ilişkin Dış Hizmet Alımı” ve “Bilgi Sistemleri İç Kontrol ve İç Denetim Faaliyetleri” başlıkları şeklinde kategorize edildiğini görüyoruz.
Bu yeni yönetmelikte kısaca öne çıkan hususları aşağıda başlıklar halinde tanımlamaya çalışacağım.
Açık Bankacılık kavramının tanımlanması
“Açık bankacılık servisleri: Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, FTP gibi yöntemlerle bankanın sunduğu bir takım finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı(Md.3/1(a))” olarak ilk kez yasal mevzuat içerisinde tanımlanıyor.
İş Sürekliliği ve BT sürekliliğine daha fazla vurgu
• BS Süreklilik Komitesi kurulması zorunluluğu
“BS Süreklilik Komitesi, bankanın insan kaynakları, hukuk, iş birimleri, BS güvenlik fonksiyonu ve ilgili BS birimlerinin temsilcilerinden oluşur ve bilgi sistemleri süreklilik yönetimi süreci sorumlusu bu komiteye başkanlık eder.”.(Md.28/1)
• BS Risk yönetimine daha fazla vurgu
• BS risk envanterinin oluşturulması zorunluluğu
• Bilgi Güvenliği Yönetim Sistemleri’ne daha fazla vurgu
• SOME(Siber Olaylara Müdahale Ekibi) kurgusu
• Dış Hizmet alımları ve risklerinin değerlendirilmesine yönelik daha fazla vurgu
• Bulut hizmetinin risklerin yönetilmesi şartıyla alınabilmesinin önünün açılması
• Denetim Komitesi’nin BS iç kontrol ve iç denetim çalışmalarını ayrıca takip etmesine yönelik sorumlulukların vurgulanması,
• Denetim Komitesi’nin BS iç kontrol ve BS denetim mesleki tecrübe ve bilgi birikimine ilişkin tanımlamaların yapılması,
“Banka denetim komitesi, BS iç kontrol, BS iç denetim ve diğer bilgi sistemleri denetim çalışmaları sonucu tespit edilen bulguların ele alınması konusuna yeterli zaman ayırır, bu çalışmalar sonucu tespit edilen kritik konuları bizzat gözden geçirir ve gerekli önlemlerin alınması konusunda üst yönetime rehberlik eder. Bu çerçevede, banka denetim komitesi üyelerinin kompozisyonu, BS iç kontrol ve BS iç denetim raporlarını ve bulgularını uygun bir şekilde değerlendirebilecek mesleki tecrübe ve bilgi birikimine sahip olacak şekilde oluşturulur.”(Md. 32/1)
• BS İç Kontrol ve İç Denetim eğitimlerine ayrılan sürenin net olarak belirtilmesi
“BS iç kontrol ve iç denetim fonksiyonlarında görev alacak tüm personelin, yılda en az yirmi saat, üç yılda en az yüz yirmi saat olmak üzere BS iç kontrol, bilgi sistemleri denetimi, bilgi sistemleri yönetişimi ve kontrollerinin tesisi veya siber güvenlik alanlarında eğitim almaları sağlanır.”(Md. 33/1)
• BS İç Denetim Sorumlusu ve BS İç Kontrol ve Uyum Sorumlusu atanması zorunluluğu, fonksiyonlarının tanımlanması,
“Banka ve bankanın dış hizmet sağlayıcıları nezdindeki BS yönetimine ilişkin faaliyetler, bu faaliyetleri destekleyen süreçler ve tesis edilen BS kontrollerinin mevzuata ve banka içi politika, prosedür ve standartlara uyumlu olduğunu sürekli bir şekilde kontrol etmek üzere bankanın iç kontrol birimi altında bir BS iç kontrol ve uyum fonksiyonu oluşturulur ve hiyerarşik olarak arada başka bir pozisyon bulunmadan iç kontrol birimi yöneticisine doğrudan bağlı olacak şekilde bir BS iç kontrol ve uyum sorumlusu atanır.”(Md. 30/1)
“Banka ve bankanın dış hizmet sağlayıcıları nezdindeki BS yönetimine ilişkin faaliyetler, bu faaliyetleri destekleyen süreçler ve tesis edilen BS kontrollerinin mevzuata ve banka içi politika, prosedür ve standartlara uyumlu olduğu ve BS’ye ilişkin iç kontrol ve risk yönetimi faaliyetlerinin etkinliği ve yeterliliği hususunda yönetim kuruluna güvence sağlamak üzere bankanın iç denetim birimi altında bir BS iç denetim fonksiyonu oluşturulur, hiyerarşik olarak arada başka bir pozisyon bulunmadan iç denetim birimi yöneticisine doğrudan bağlı olacak şekilde bir BS iç denetim sorumlusu atanır ve tüm BS iç denetim faaliyetleri bu kişinin sorumluluğunda yürütülür.”(Md. 31/1)
• Mobil Bankacılık Uygulamalarına ilişkin şartların tanımlanması,
• Bankacılık mobil uygulamalarına getirilen SMS OTP kısıtlamaları
“Banka mobil bankacılık uygulamasını yükleyerek aktifleştirmiş olan müşterilerine, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS OTP gönderemez ve bunu bir kimlik doğrulama unsuru olarak kullanamaz.”(Md. 34/7)
• Telefon Bankacılığı’na ilişkin şartların tanımlanması,
- ATM’lere ilişkin şartların tanımlanması.
Yönetmeliğe bütünsel olarak bakıldığında IT Domain alanlarının ayrıştırılması, bu domain alanlarına verilen önemin artması, organizasyonel anlamda Bilgi Sistemleri alanının öneminin artması gibi sevindirici ama bir o kadar da uyumun önemli bir “challenge” olarak karşımıza çıktığı durumlar söz konusu.
Herkese bu yeni süreçte kolaylık ve ferahlıklar dilerim.
Diğer Yazılar:
https://medium.com/databulls/sistem-odas%C4%B1-g%C3%BCvenli%C4%9Fi-86ef38ad3458
