Resmi Gazete Dışındaki Kaynak
No.:
2018/482
Kurum:
Türkiye Sermaye Piyasaları Birliği
Kabul Tarihi:
08.05.2018
Yürürlüğe Giriş Tarihi:
08.05.2018
Bu doküman Resmi Gazete dışında bir kaynakta yayınlanmıştır. Konsolide metin çalışmaları ilgili kaynak güncellendikçe sağlanabilmektedir.
GENEL MEKTUP
No: 802
Konu : Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımzsız Denetim Tebliğ Hk.
SAYIN ÜYEMİZ,
Sermaye Piyasası Kurulu’nun (Kurul) VII-1 28.9 sayılı Bilgi Sistemleri Yönetimi Tebliği (BSY) ve III-62.2 sayılı Bilgi Sistemleri Bağımsız Denetimi Tebliği (BSD) 05.01.2018 tarihli ve 30292 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. Söz konusu tebliğlerin uygulanmasına yönelik olarak Kurul’a iletilen görüşler hakkında 27.04.2018 tarih ve 73226411 -045.99-E.4711 sayılı yazısı ile Birliğimize iletilen Kurul açıklamaları aşağıda sunulmaktadır.
a) BYS’nin "Bilgi Sistemlerine İlişkin Dış Kaynak Yoluyla Alınan Hizmetlerin Yönetimi” başlıklı 18 inci maddesi kapsamında dışarıdan hizmet alımıyla ilgili yaşanan çeşitli tereddütlere ilişkin; kurum, kuruluş ve ortaklıkların BYS hükümlerine uygun olmak kaydıyla dışarıdan hizmet alımlarının önünde bir engel bulunmadığı belirtilmiştir.
b) Tebliğlerin yürürlük tarihi yayım tarihi olup, tabi kurum, kuruluş ve ortaklıkların tebliğ hükümlerine, kendi faaliyet ve iş planları kapsamında mümkün olan en kısa sürede uyum sağlamalarının beklendiği belirtilmiştir. Birliğimiz üyesi kısmi ve geniş yetkili aracı kurumların ilk bilgi sistemleri denetim yükümlülüğünün 2019 yılı için olduğu dikkate alındığında Üyelerimizin anılan Tebliğlerin hükümlerine uyum için kendi prosedür ve iş akışlarını sürece yayarak mümkün olan en kısa sürede tamamlamalarının beklendiği bildirilmiştir. Diğer yandan kısmi ve geniş yetkili aracı kurumların bilgi sistemleri bağımsız denetim yükümlülüğü ilki 2019 yılı için olmak üzere her 2 yılda birdir. Banka iştiraki konumundaki aracı kurumların 2019 yılından önce 2018 yılından başlamak üzere BSD hükümleri kapsamında bilgi sistemleri bağımsız denetim yaptırmalarının mümkün olduğu belirtilmiş, bu durumda olan aracı kurumlar için sermaye piyasası mevzuatı kapsamında bilgi sistemleri bağımsız denetim yükümlülüğünün ilki 2018 yılı için olmak üzere 2 yılda bir olacağı ve bu durumdaki aracı kurumların BSD’nin 2 nci maddesinin ikinci fıkrası kapsamına girmedikleri için bilgi sistemleri denetimi ve raporlamasının BSD kapsamında yapılması gerektiği hususunun hatırlatılmasında fayda görüldüğü açıklanmıştır.
c) Bilgi sistemlerinin dış kaynak yoluyla ediniminde olduğu gibi, nihai sorumluluk Üyelerimizde olmak üzere bilgi sistemleri risk yönetimine ilişkin olarak dışarıdan danışmanlık hizmetinin alınmasının mümkün olduğu, ancak bilgi sistemleri güvenliği sorumlusunun kurumun iç kaynaklarından belirlenmesi gerektiği bildirilmiştir.
d) Yedek sistemlere ve bunların testlerine ilişkin olarak; bilgi sistemleri sürekliliği kapsamında, bilgi sistemleri sürekliliği planının oluşturulması ve planın etkinliğini ve güncelliğini temin etmek üzere testlerin yapılması gerektiği ve bu testlerin ilgili kurumların faaliyetlerini olumsuz olarak etkilemeyecek şekilde planlanması ve faaliyetlerde bir kesinti olduğunda ikincil sistemlerin ivedilikle faaliyete alınmasını sağlayıcı ön çalışma olarak değerlendirilmesi gerektiği bildirilmiştir.
Gereği için bilgilerinize sunarım.
Saygılarımla,