Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından hazırlanan Bilgi Sistemleri ve İş Süreçlerinin Denetimi Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) 26.07.2021 tarihinde kamuoyu görüşüne açıldı.

Yönetmelik Taslağı’nın, 13.01.2010 tarihli Resmi Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik’in (“Yönetmelik”) yerini alması planlanıyor.

BDDK’nın internet sitesinde paylaştığı Taslak Yönetmelik’in dikkat çeken konu başlıkları aşağıdaki şekildedir.

1. Taslak Yönetmelik Kapsamı, Bankalar Dışındaki BDDK Denetim ve Gözetimindeki Kuruluşlar Dahil Edilerek Genişletilmiştir.

Bilindiği üzere Yönetmelik, bankaların bilgi sistemleri ile bankacılık süreçlerinin, yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ilgili usul ve esasları regüle etmektedir.

Öte yandan, risk merkezi ve bilgi alışverişi kuruluşlarının denetimi ise Yönetmelik’ten ayrı bir düzenleme olan “Bilgi Alışverişi, Takas Ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler İle İş Süreçleri Ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ” kapsamında düzenlenmekte olup, bu düzenlemenin yerine geçmesi beklenen “Bilgi Alışverişi Kuruluşlarında ve Risk Merkezinde Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler Tebliği Taslağı”nda ise risk merkez ve bilgi alışverişi kuruluşlarının denetimine ilişkin bir husus yer almamaktadır.

BDDK’nın, Taslak Yönetmelik’te bu ihtiyacı gözeterek “Banka” yerine “Kurum gözetimi ve denetimi altındaki kuruluşlar” ifadesine yer verdiğini ve bilgi sistemleri denetimi (“BSD”) tanımına risk merkezi ve bilgi alışverişi kuruluşlarında bilgi sistemleri ve iş süreçleri bağımsız denetimi ile BDDK gözetimi ve denetimi altındaki diğer kuruluşları dahil ettiği görülmektedir. Bu doğrultudaki düzenleme ile BDDK’nın hem risk merkezi ve bilgi alışverişi kuruluşunun denetiminin yasal zemininin devam ettirdiğini, hem de kendi gözetimi ve denetimi altındaki diğer kuruluşları kapsayacak şekilde uygulama kapsamını genişletmeyi planladığı anlaşılmaktadır.

2. Bilgi Sistemleri Denetimi Sürecindeki Genel Kontrollerin Gerçekleştirilmesinde Bilgi Teknolojilerine İlişkin Kontrol Hedefleri (“COBIT”) Salt Referans Olmaktan Çıkarılmıştır.

Yönetmelik çerçevesinde denetçiler, bilgi sistemleri denetimi sürecindeki genel kontrollerde, Bilgi Sistemleri Denetim ve Kontrol Birliği (“ISACA”) Bilgi Teknolojileri Yönetişim Enstitüsü (“ITGI”) tarafından yayınlanmış olan COBIT’e göre denetlemekle yükümlüdürler. Her denetim döneminin başlangıcı itibariyle BDDK’nın uygun gördüğü COBIT versiyonu belirlenmekte ve denetimler belirlenen bu versiyona göre gerçekleştirilmektedir.

Yönetmelik Taslağı’nda ise COBIT’e ilişkin referanslar ve atıflar kaldırılmış, denetlenenin salt bilgi sistemleri yönetiminde esas alınacak ilkelere ilişkin BDDK tarafından yapılan düzenlemelerdeki hükümler gözetilerek gerçekleştirileceğine yer verilmiştir.

Yönetmelik’te hüküm bulunmayan hallerde COBIT’te yer alan usul ve esasların referans alınması uygulamasından Yönetmelik Taslağı ile vazgeçildiği anlaşılmaktadır. Yönetmelik’in 42. maddesinde yer alan “Yönetmelikte hüküm bulunmayan hallerde; BDYFY, uluslararası denetim standartları ve COBIT’te yer alan usul ve esaslar uygulanır.” hükmüne Taslak Yönetmelik’te yer verilmemiştir.

Bilindiği üzere BDDK düzenlemelerinde COBIT referansı geçtiğimiz yıllarda yürürlükten kaldırılan İlkeler Tebliği’nde (Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ) yer almaktaydı ve bu düzenlemenin yerine geçen Bilgi Sistemleri Yönetmeliği’nde (Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik) COBIT referansı kaldırılmıştı. BDDK’nın Taslak Yönetmelikte’de bu yaklaşımı devam ettiği görülmektedir.

3. Denetlenen Yükümlünün Yönetim Beyanı Sunma Zorunluluğu Kaldırılmıştır

Yürürlükteki Yönetmelik kapsamında, denetlenen bankalar ile Yönetmelik kapsamında denetim raporu oluşturulması amacıyla sınırlı olmak üzere konsolidasyon kapsamındaki ortaklıkları ve destek hizmeti kuruluşlarının, iç kontrolleri hakkında denetim dönemi itibariyle güvence veren ve yönetim kurulu tarafından onaylanmış olan yönetim beyanını denetçiye sunma yükümlülüğü bulunmaktadır.

Bu yükümlülük Yönetmelik’te 01.01.2011 tarihinde yapılan değişiklik ile getirilmiş, denetçinin de denetim görüşünü oluştururken denetlenen tarafından sunulan yönetim beyanını ve bu beyana mesnet teşkil eden çalışmaları inceleyeceği düzenlenmiş ve konuya ilişkin detaylar Yönetime Beyanına İlişkin Genelge (2010/3) ile düzenlemişti.

BDDK, Yönetmelik Taslağı ile denetçinin denetim görüşüne esas alacağı, denetlenenin yönetim kurulu tarafından onaylanacak bir yönetim beyanı sunma yükümlülüğünü kaldırmıştır.

Yönetmelik Taslağı’nın görüşe sunulan hali ile yürürlüğe girmesi halinde Yönetmelik Taslağı kapsamında denetlenen firmaların denetim dönemleri itibariyle iç kontrolleri hakkında yönetim beyanı hazırlamalarına gerek kalmayacaklarını ve yukarıda bahsi geçen genelgenin mülga olacağını söylemek mümkündür.

4. Bilgi Sistemleri Denetçisi Sertifikası (CISA) ve İç Denetçi Sertifikasının (CIA) Tecrübe Şartlarının Değerlendirilmesindeki Ayrıcalıkları ve Baş Denetçinin Zorunlu Unsurları Arasından Kaldırılmıştır

Yönetmelik’in 18. maddesinde denetçilerin kıdem sırasına göre sorumlu bilgi sistemleri bağımsız başdenetçisi, bilgi sistemleri bağımsız başdenetçisi, kıdemli bilgi sistemleri bağımsız denetçisi, bilgi sistemleri bağımsız denetçisi ve bilgi sistemleri bağımsız denetçi yardımcısı unvanlarını alacakları ve kıdem hesaplamalarında dikkate alınacak değerler ile taşımaları gereken şartlara yer verilmiştir.

Uygulamada, Bilgi Sistemleri Denetçisi Sertifikası (“CISA”) sahibi olan finansal denetçilerin mesleklerindeki tecrübeleri mesleki tecrübe, denetçilerin CISA ve İç Denetçi Sertifikası (“CIA”) tecrübe şartlarının değerlendirilmesinde ilave birer yıl bilgi sistemleri denetimi tecrübesi olarak kabul edilmektedir.

Yönetmelik’in 18. maddesinde düzenlenen anılan hususların Taslak Yönetmelik’te kaldırılması ile CISA sahibi olan finansal denetçilerin mesleklerindeki tecrübeleri mesleki tecrübe, denetçilerin CISA ve CIA sertifikalarının şartlarının değerlendirilmesinde ilave birer yıl bilgi sistemleri denetimi tecrübesi olarak kabul olarak kabul edilmesi uygulamasının sona ereceği anlaşılmaktadır.

Aynı şekilde Yönetmelik’in 18. maddesinin 7. fıkrasının c bendinde yer alan Bilgi Sistemleri Bağımsız Başdenetçisinin taşıması gereken şartlar arasında yer verilen CISA sertifikasına sahip olma şartına Yönetmelik Taslağında yer verilmemiştir. Yönetmelik Taslağının bu hali ile yürürlüğe girmesi durumunda Bilgi Sistemleri Bağımsız Başdenetçilerinin CISA sertifikasına sahip olma zorunluluğu ortadan kalkacağı değerlendirmesi yapılabilecektir.

5. Yetkili Kuruluşların ve Denetçilerin Veri Güvenliğine İlişkin Yükümlülükleri Arttırılmış, Yetkili Kuruluşların Birincil Sistemlerini ve Her Türlü Yedeğini Yurt İçinde Bulundurma Zorunluluğu Getirilmiştir

Uygulamada, Yönetmelik kapsamındaki yetkili kuruluşlar ve denetçilerin, BSD faaliyetleri dolayısıyla öğrendikleri ve ilgili düzenleme hükümlerine göre sır kapsamında bulunan bilgilerin kendi nezdlerinde korunmasına ilişkin tedbirleri alma, bu bilgileri kanunen açıkça yetkili kılınanlardan başkasına açıklamama ve doğrudan veya dolaylı şekilde kendi yararlarına kullanmama yükümlülükleri Yönetmelik’in 20. maddesinde düzenlenmektedir.

BDDK tarafından, yetkili kuruluşlar ve denetçilerin BSD faaliyetleri dolayısıyla öğrendikleri ve ilgili düzenleme hükümlerine göre sır kapsamında bulunan bilgilerin muhafazasına ilişkin bu genel düzenlemenin çerçevesini belirlenmesi ihtiyacını gidermek amacıyla Taslak Yönetmelik ile bu kapsamdaki yükümlülüklerinin asgari unsurlarının çerçevesinin belirlenmek istendiği anlaşılmaktadır.

Bu çerçevede Yönetmelik Taslağı ile;

i. Yetkili kuruluşların BSD sırasında elde ettikleri kendi nezdlerinde bulunan sır kapsamındaki verilerin ve BSD kapsamında kullandıkları sistemlerin güvenliğine ilişkin politika, prosedür ve süreçleri tesis etme,

ii. Yetkili kuruluşlar bünyelerinde bulunan sır kapsamındaki verilerin yer aldığı veri tabanlarına, BSD sürecinde kullanılan uygulamalara ve sistemlere erişim için uygun bir yetkilendirme ve erişim kontrolü tesis etmesi,

iii. Görev ve sorumluluklar göz önünde bulundurularak, gerekli olan en kısıtlı yetki ve erişim hakkı verilmesi ve yetkiler ve erişim hakları en az yetki prensibi açısından asgari yılda bir kez gözden geçirilmesi,

iv. BSD kapsamında yetkili kuruluşa ait bilgi sistemleri üzerinde gerçekleşen işlemler için işlemlerin türü, niteliği ve verinin hassasiyet derecesi dikkate alınarak uygun bir kimlik doğrulama mekanizması kurulması ve aynı kullanıcı hesabının birden fazla kişi tarafından kullanılması engellenmesi ile kimlik doğrulamada inkâr edilmezlik sağlanması,

v. Yetkili kuruluşun BSD faaliyetlerine ilişkin bilgi sistemleri üzerinde etkin bir denetim izi mekanizması tesis edilmesi ve bilgilere erişilmesi, sorgulanması, bunlara yönelik erişim yetkilerinin verilmesi veya değiştirilmesine yönelik işlemler ve bunlara yönelik yetkisiz erişim teşebbüslerine ilişkin iz kayıtları tutulması

asgari yükümlülük olarak düzenlenmiştir.

Taslak Yönetmelik’te, yetkilendirilen kuruluşlara birincil sistemlerini ve her türlü yedeğini yurt içinde bulundurmak zorunluluğu getirilmiş, hangi sistem ve uygulamaların birincil sistem kapsamına girmeyeceğine açıkça yer verilmiştir. Bu kapsamda herhangi bir sistem ya da uygulamanın birincil sistemler kapsamına girip girmediğinin değerlendirmesinden sistem veya uygulama üzerinden herhangi bir iş sürecinin yürütülmemesi, denetlenene ait verilerin işlenmemesi, iletilmemesi ve saklanmaması kriterlerinin göz önünde bulundurulacağı belirtilmiştir.

Bu doğrultuda, BDDK’nın veriyi kaynağında koruma yaklaşımının genişlediğini, koruma kapsamının yetkilendirilen kuruluşları da artık içine alacağını söylemek mümkündür.

6. Destek Hizmeti Kuruluşları İfadesi Dış Hizmet Kuruluşu Olarak Düzenlenerek Kapsamı Genişletilmiştir

Taslak Yönetmelik’te yer alan önemli bir değişiklik ise, mevzuatın kapsamının genişletilmesine ilişkin düzenlemelerdir. Yönetmelikte yer alan kapsam ve “Denetlenen” tanımlarında yer verilen “destek hizmeti kuruluşları” ifadesine Taslak Yönetmelik’te “dış hizmet sağlayıcı kuruluşları” olarak yer verilerek yönetmelik kapsamına, denetlenen kuruluşların dış hizmet sağladıkları her türlü kuruluşun gireceğine yer verilmiştir.

Genel Değerlendirme

Taslak Yönetmelik’te yer verilen yeni tanımlar ve eklen hükümler ile Yönetmelik’in kapsamı ve etki alanı genişletilmiş, bankalar ile ortaklıkları bağlamından çıkarılarak bankalar dışındaki BDDK denetim ve gözetimindeki kuruluşlar gibi yeni aktörler dahil edilmiştir.

Uygulamada Yönetmelik’i tamamlayıcı nitelikte kabul edilen uluslararası denetim standartları ve COBIT’te yer alan usul ve esaslar, CISA ve CIA gibi sertifikasyonlara ilişkin vurgulara Yönetmelik Taslağı’nda yer verilmemesi anılan uluslararası standart ve hedeflerin mevzuatı tamamlayıcı ve referans ölçütü niteliğinin sona ereceğine işaret etmektedir.

Yönetmelik Taslağı bütünsel olarak değerlendirildiğinde, BDDK’nın taslağı hazırlarken tercih ettiği detaycılık, kapsam ve uluslararası denetim standartlarına ilişkin yaklaşım, BDDK’nın bilgi sistemleri ve iş süreçlerinin denetimi konusundaki bugüne kadarki tecrübelerine güvendiğini ve bunları rafine ettiğini ortaya koymaktadır.

Sorunuz olması halinde yasar@canpolatlegal.com ve gokhan.yuksel@canpolatlegal.com aracılığıyla bizlere ulaşabilirsiniz.

Yazarlar: Gökhan Yüksel, Yaşar K. Canpolat