Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ (mülga)

Kapsam

(1) Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşları, bilgi sistemleri denetimini yapmaya yetkili kuruluşlar, bağımsız denetim kuruluşları ve dış hizmet sağlayıcı kuruluşlar 1 inci maddede belirtilen amaçla sınırlı olarak bu Tebliğ hükümlerine tabidir.

Dayanak

(1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun Ek 1 inci maddesi, 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununun 27 nci maddesinin üçüncü fıkrası ve 29 uncu maddesinin ikinci fıkrası ile 10/3/2007 tarihli ve 26458 sayılı Resmî Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin 26/B maddesinin dördüncü fıkrası hükümlerine dayanılarak düzenlenmiştir.

Tanımlar ve kısaltmalar

(1) Bu Tebliğde geçen;

a) Bilgi alışverişi kuruluşu: Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları,

b) Birincil sistemler: Faaliyetlerin yürütülmesini ve ilgili düzenlemelerde kuruluş için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,

c) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,

ç) COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedeflerinin Kurumca uygun görülen versiyonunu,

d) Denetçi: Bilgi sistemleri ve iş süreçleri denetimini yapmak üzere BSDHY kapsamında yetkilendirilmiş bağımsız denetim kuruluşu tarafından görevlendirilmiş ve unvanları bu BSDHY’nin 18 inci maddesinde sıralanan personeli,

e) İç Sistemler: Banka Kartları ve Kredi Kartları Hakkında Yönetmelik hükümlerine tabi kuruluşlar bakımından anılan Yönetmeliğin 26/A, 26/C ve 26/Ç maddesinde tanımlanan iç kontrol, risk yönetimi ve iç denetim sistemlerini; diğer kuruluşlar için bu Tebliğ uyarınca tesis edilmesi gereken kontrol ve sistemleri,

f) İkincil merkez: İkincil sistemlerin kullanıma hazır olacak şekilde tesis edildiği ve herhangi bir kesinti durumunda personelin çalışmasına imkân tanıyacak ve birincil sistemlerin tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,

g) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve ilgili kanun ve düzenlemelerde kuruluş için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedeklerini,

ğ) İlkeler Tebliği: 14/9/2007 tarihli ve 26643 sayılı Resmî Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği,

h) İş etki analizi: İş süreçlerinin ve bir faaliyet kesintisinin iş süreçleri üzerinde yaratabileceği etkilerin analizini,

ı) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,

i) Kuruluş: Risk Merkezi ile bilgi alışverişi, takas ve mahsuplaşma kuruluşlarını,

j) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,

k) Üst yönetim: Kuruluş yönetim kurulu ile genel müdür ve genel müdür yardımcıları, iç sistemler kapsamındaki birimlerin yöneticileri ile başka unvanlarla istihdam edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticileri,

l) Yetkili kuruluş: BSDHY kapsamında denetim yapma yetkisi verilen bağımsız denetim kuruluşunu veya BSDHY kapsamında dış hizmet alımı yöntemiyle kuruluşta bilgi sistemleri denetimi yapma izni verilen bağımsız denetim kuruluşu ile dış hizmet sağlayıcı kuruluşu,

m) Risk Merkezi: Bankacılık Kanununun Ek 1 inci maddesinde öngörülen; kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan, ayrı bir tüzel kişiliği bulunmayan Türkiye Bankalar Birliği Risk Merkezini,