BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak, Tanımlar ve Kısaltmalar
Amaç ve kapsam
(1) Bu Tebliğin amacı, finansal kiralama, faktoring ve finansman şirketlerinin Kanun kapsamındaki faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimine ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesine ilişkin usul ve esasları düzenlemektir.
Dayanak
(1) Bu Tebliğ, 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanununun 14 üncü maddesinin ikinci fıkrası ve 24/4/2013 tarihli ve 28627 sayılı Resmî Gazete’de yayımlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Kuruluş ve Faaliyet Esasları Hakkında Yönetmeliğin 14 üncü maddesine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
(1) Bu Tebliğde yer alan;
a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda tanımlanan açık rızayı,
b) Birincil sistemler: Kanunda yer alan hususlarla ilgili bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile faaliyetlerin yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
c) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,
ç) Denetim izi: Bir operasyonel ya da finansal işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile ilgili bilgi sistemi varlığına kimin eriştiğini, erişmeye çalıştığını ve kullanıcının hangi işlemleri gerçekleştirdiğini gösteren kayıtları,
d) Dış hizmet: Kuruluşların bilgi sistemlerine ilişkin dışarıdan temin ettikleri her türlü hizmet alımlarını,
e) İkincil merkez: İkincil sistemlerin kullanıma hazır olacak şekilde tesis edildiği ve birincil sistemlerde herhangi bir kesinti yaşanması durumunda personelin çalışmasına imkan tanıyacak ve birincil merkez ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
f) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin bilgi sistemleri süreklilik planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda yer alan hususlarla ilgili bilgilere erişilmesini sağlayan birincil sistem yedeklerini,
g) Kanun: 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Hakkında Kanunu,
ğ) KGK: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunu,
h) Kontrol: BSDHY’nin 4 üncü maddesinde tanımlanan kontrolü,
ı) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
i) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
j) Sızma testi: Sistemin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testleri,
k) Şirket: Kanunun 3 üncü maddesinde tanımlanan şirketi,
l) Üst yönetim: Şirket yönetim kurulu ile genel müdür ve genel müdür yardımcıları ve başka unvanlarla istihdam edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticilerini,
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
Bilgi sistemleri yönetimi
(1) Şirket, kurumsal yönetim ilkelerinin uygulandığı yönetim kurulu onaylı bir bilgi sistemleri yönetim yapısı tesis eder. Şirketin bilgi sistemlerine ilişkin stratejisinin iş hedefleri ile uyumlu olması sağlanır. Bilgi sistemlerinin güvenliği ve gerektiği şekilde yönetimi için gerekli finansman ve insan kaynağı tahsis edilir.
(2) Şirket, bu amaçla bilgi sistemlerine ilişkin politika, prosedür ve süreçlerini tesis eder. Politika, prosedür ve süreçler düzenli olarak gözden geçirilerek güncellenir. Politikalar yönetim kurulu, prosedür ve süreçler üst yönetim tarafından onaylanır. Politika, prosedür ve süreçlerin fiili olarak işlemesi sağlanır. Bu kapsamda işleyişin sağlanması için süreç sahipleri ve sorumlulukları ile kontrol noktaları tanımlanır. Bilgi sistemlerinin kendisinden beklenen hizmetleri zamanında, doğru ve güvenilir şekilde sağlaması için gereken kontroller belirlenir ve bu kontrollerin etkinliği sağlanır.
(3) Bilgi sistemleri kullanılarak gerçekleştirilen işlemlerin kontrolü, izlenmesi ve inkar edilemezliğin sağlanması için gerekli süreç ve altyapılar tesis edilir.
(4) Şirket iç kontrol birimi yılda bir kez, yönetim kuruluna sunulmak üzere, politika ve prosedürlere uyuma ilişkin hususları da içeren mevzuata uyum değerlendirmesi raporu hazırlar.
Bilgi sistemleri risk yönetimi
(1) Şirket, faaliyetlerinde bilgi teknolojilerinin kullanılmasından kaynaklanan riskleri tespit etmek, analiz etmek, ölçmek, izlemek ve raporlamak üzere üst yönetim tarafından onaylanmış bir risk yönetim süreci oluşturur. Şirket, riskleri takip ederek gözden geçirir ve günceller. Süreç kapsamında, Tebliğin 10 uncu maddesinin birinci fıkrası uyarınca hazırlanan envanterdeki varlıklara yönelik tehditlere, riskin ortaya çıkma ihtimaline, riskin gerçekleşmesi durumunda ortaya çıkacak olası sonuçlara ve alınabilecek önlemlere ilişkin bir değerlendirmede bulunur. Şirket yapacağı risk analizinde, belirlediği her riske ilişkin; riski azaltma, riskten kaçınma, riski kabul etme veya riski transfer etme yöntemlerinden birini seçer.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
