19 Ağustos 2021 PERŞEMBE | Resmî Gazete | Sayı : 31573 |
TEBLİĞ | ||
Bankacılık Düzenleme ve Denetleme Kurumundan: BİLGİ ALIŞVERİŞİ KURULUŞLARI İLE RİSK MERKEZİNİN
BİLGİ SİSTEMLERİ YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞ BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1 – (1) Bu Tebliğin amacı, Risk Merkezi ve bilgi
alışverişi kuruluşlarının faaliyetlerinin ifasında kullandıkları bilgi
sistemleri yönetiminde ve denetiminde esas alınacak asgari usul ve esasları
düzenlemektir. Kapsam MADDE 2 – (1) Risk Merkezi ve bilgi alışverişi kuruluşları
bu Tebliğ hükümlerine tabidir. Dayanak MADDE 3 – (1) Bu Tebliğ, 19/10/2005
tarihli ve 5411 sayılı Bankacılık Kanununun 93 üncü maddesi ve ek 1 inci
maddesi, 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları
Kanununun 27 nci maddesinin üçüncü fıkrası ve 29
uncu maddesinin ikinci fıkrası ile 10/3/2007 tarihli ve 26458 sayılı Resmî
Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin
26/B maddesinin dördüncü fıkrası hükümlerine dayanılarak hazırlanmıştır. Tanımlar
ve kısaltmalar MADDE 4 – (1) Bu Tebliğde yer alan; a) Bilgi alışverişi kuruluşu: Banka Kartları ve
Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak
bilgi alışverişi faaliyetinde bulunan kuruluşları, b) BSDHY: 13/1/2010
tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim
Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık
Süreçlerinin Denetimi Hakkında Yönetmeliği, c) Kanun: 19/10/2005
tarihli ve 5411 sayılı Bankacılık Kanununu, ç) Kuruluş: Risk Merkezi ile bilgi alışverişi
kuruluşlarını, d) Kurum: Bankacılık Düzenleme ve Denetleme
Kurumunu, e) Risk Merkezi: Kanunun ek 1
inci maddesi uyarınca; kredi kuruluşları ile Kurulca uygun görülecek
finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz
konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle
ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri
ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde
kurulan Risk Merkezini, f) Risk Merkezi Yönetimi: Risk Merkezinin görev ve
faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan Türkiye Bankalar
Birliği Risk Merkezi Yönetimini, g) Üye kuruluş: Kuruluş ile arasında bilgi
alışverişi bulunan tüzel kişileri, ğ) Yönetmelik: 15/3/2020
tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi
Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği, ifade eder. İKİNCİ BÖLÜM Bilgi Sistemleri Yönetişimi, Bağımsız Bilgi
Sistemleri ve İş Süreçleri Denetimi Genel
ilkeler MADDE 5 – (1) Kuruluş, Yönetmelik hükümlerine tabidir.
Yönetmelikte geçen “banka” ifadesi kuruluşu; “bankacılık faaliyetleri”
ifadesi kuruluşun faaliyetlerini, “Yönetim kurulu” ifadesi ise Risk Merkezi
için Risk Merkezi Yönetimini ifade eder. Bilgilerin
doğruluğunun, güvenliğinin ve güncelliğinin sağlanması MADDE 6 – (1) Kuruluş, üye kuruluşlar ile olan bilgi
iletişiminin güvenli, doğru ve yeterli sıklıkta gerçekleşebilmesi için
gerekli önlemleri alır; söz konusu önlemleri üye kuruluşa iletir ve bu
önlemlerin yerine getirilmesini gözetir. Bilgilerin ne ölçüde güncel tutulacağına
ilişkin yönetim kurulu kararı veya Risk Merkezi Yönetimi kararı alır ve
kararı, alındığı tarihten itibaren bir ay içinde Kuruma ve Türkiye
Cumhuriyet Merkez Bankasına yazılı olarak iletir. (2) Kuruluş, Kanunun 73 üncü maddesine göre sır
kapsamında olan bilgilerin üye kuruluş tarafından sorgulanmasına ilişkin
işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş
içindeki sorumluların tespitini sağlayacak nitelikte beş yıl süreyle üye
kuruluş tarafından tutulmasını temin eder. (3) Kuruluş,
kendi alanına giren konularda sahtecilik ve bilgi ifşasını önleyici
çalışmalar yapmak, güvenlik önlemlerini saptamak, ilgili taraflar arasında
gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar
kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür. (4) Kuruluş, bilgi alışverişi sisteminin
sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması
gerekli olan tedbirleri belirler ve yazılı olarak üyeleriyle paylaşır.
Kuruluş tarafından yapılan kontrollerde, söz konusu önlemleri, belirtilen
tarihe kadar almadığı tespit edilen üye kuruluş, alınması talep edilen
tedbir ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde
Kuruma bildirilir. (5) Bilgi alışverişine ilişkin kullanılacak
süreçler ve sistemler Yönetmeliğin 29 uncu maddesinin onuncu fıkrası
kapsamında kritik bilgi sistemleri olarak değerlendirilir. Bağımsız
bilgi sistemleri ve iş süreçleri denetimi MADDE 7 – (1) Kuruluşun bilgi sistemleri, iş süreçleri ve iç
sistemlerinin denetimi ve denetim sonuçlarının raporlanması BSDHY ile
belirlenen usul ve esaslar çerçevesinde, BSDHY kapsamında yetkilendirilmiş
veya izin verilmiş bağımsız denetim kuruluşlarınca gerçekleştirilir. (2) BSDHY’de geçen
“banka” ifadesi kuruluş; “bankacılık süreçleri” ifadesi ise kuruluşun iş
süreçleri olarak uygulanır. İş süreçlerinin belirlenmesi ve denetim
kapsamına dâhil edilmesinde, BSDHY’nin 5 inci
maddesinde tanımlanan önemlilik kriteri dikkate
alınır. (3) Denetçi, kuruluşun destek hizmeti alarak gerçekleştirdiği
hizmetlerin bilgi sistemlerini ve iş süreçlerini nasıl etkilediğini göz
önünde bulundurur, denetimini buna göre planlar ve etkin bir denetim
yaklaşımı geliştirir. (4) İş süreçleri denetimi her yıl, bilgi sistemleri
denetimi iki yılda bir kez yapılır. Kurum, gerekli gördüğü hallerde
denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu
denetimlerin kapsamını ve sıklığını farklılaştırabilir. ÜÇÜNCÜ BÖLÜM Çeşitli ve Son Hükümler Yürürlükten
kaldırılan tebliğ MADDE 8 – (1) 4/12/2013 tarihli ve
28841 sayılı Resmî Gazete’de yayımlanan Bilgi Alışverişi, Takas ve
Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak
İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ
yürürlükten kaldırılmıştır. Yürürlük MADDE 9 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer. Yürütme MADDE 10 –
(1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı
yürütür. | ||
