Risk Merkezi üyelerinin gündemi

Türkiye Bankalar Birliği nezdinde kurulan Risk Merkezi faaliyetlerinin denetlenmesine yönelik esasları düzenleyen tebliğ ile Risk Merkezi ve üyeleri bünyesinde uyum çalışmalarının yapılması kaçınılmaz oldu.

Selim Elban

PwC Risk, Süreç ve Teknoloji Hizmetleri Müdürü

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), “Bilgi Alışverişi, Takas ve Mahsuplaşma kuruluşlarının bilgi sistemleri yönetiminde esas alınacak ilkeler ile iş süreçleri ve bilgi sistemlerinin denetimine ilişkin tebliği” 4 Aralık 2013 tarihinde resmi gazetede yayınlamıştı. Türkiye Bankalar Birliği (TBB) nezdinde kurulan Risk Merkezi faaliyetlerinin denetlenmesine yönelik esasları düzenleyen bu tebliğ ile Risk Merkezi ve üyeleri bünyesinde uyum çalışmalarının yapılması böylece kaçınılmaz oldu.

2014 yılını uyum çalışmalarıyla geçiren Risk Merkezi, üyeleri için 3 Ekim 2014 tarihinde bir duyuru yayınlayarak üyelerden beklenen çalışmaları tüm üyelere tebliğ etti. Ayrıca Risk Merkezi tarafından üyelere yönelik seminerler düzenlenerek beklenen çalışmalar ve bundan sonra izlenecek yol haritasıyla ilgili bilgilendirmeler de yapıldı. Bu kapsamda Risk Merkezi verilerine erişen tüm tarafların, uyumlu Bilgi Güvenliği Politika ve uygulamalarına sahip olması bekleniyor ve Risk Merkezi üyelerinin bilgi sistemleri ve iş süreçlerini uygun hale getirip getirmediğinin çeşitli denetimlerle tespit edileceği açıklanıyor.

Peki bu dönüşüm sürecinin detayları nedir? Şirketler bu duyurunun özellikle Risk Merkezi üyelerini ilgilendiren kusumlarına en iyi nasıl hazırlanabilir? Bilgi sistemleri ve bankacılık süreçleri denetimlerini gerçekleştirmek konusunda BDDK tarafından yetkilendirilmiş kuruluşlardan biri olan PwC Türkiye olarak, farklı sektör ve firmalarda edindiğimiz geniş tecrübeye istinaden, bu konunun detaylarını siz okuyucularla paylaşmak konusunda sorumluluk hissediyoruz.

Söz konusu düzenleme kapsamında dikkate alınması gereken öncelikli hususları sıralayarak başlayalım:

• Uyum denetimlerinin yıllık olarak yaptırılması ve Risk Merkezi’ne raporlanması gerekiyor.
• Denetimler sonucunda hazırlanması planlanan raporlama formatının 2015 ikinci çeyrekte Risk Merkezi tarafından yayınlanması bekleniyor. Yeni format üyelere bu tarihten itibaren duyurulacak.
• Denetim sonuçlarına ilişkin tespit edilen uyumsuz noktalar, bilgi akışının kesilmesine kadar gidebilecek ceza-i yaptırımlar getirecek. Cezanın kapsamı Risk Merkezi’nce belirlenip uygulanacak.
• Uyum denetimi yetkisi, BDDK tarafından bilgi sistemleri ve iş süreçleri denetimi konusunda yetkilendirilmiş kuruluşlara verilecek.
• Risk Merkezi üyelerinin uyum çalışmalarına 1/1/2015 itibariyle başlaması bekleniyor.
• Duyuru kapsamında açıklanan uyum çalışmalarının en erken şekilde başlatılması ve denetim zamanına kadar uyumsuz alanların giderilmesi öneriliyor.

Bu düzenlemelerin şirketinizde eksiksiz olarak uygulanmasını sağlamak için ise öncelikle uyum çalışmalarını şu üç aşamada değerlendirmeniz büyük önem taşıyor:

• Mevcut Durum Analizi

Risk Merkezi tarafından yapılan duyuru kapsamında beklenen uyum çalışmalarında üye kuruluşların durum değerlendirmesi, mevcut durum analizleri ile gerçekleştirilecek. Bu değerlendirme sonucunda iyileştirmeye açık alanların tespiti çok önemli.

• İyileştirme

Tespit edilen iyileştirmeye açık alanlara yönelik alınacak aksiyonların belirlenmesi, sahiplerinin atanması, son tarihlerin belirlenmesi ve çeşitli iyileştirme çalışmalarının gerçekleştirilmesi gerekiyor. Bu kapsamda denetim zamanına kadar alınması planlanan aksiyonların sıkı takibinin yapılması gerekiyor.

• Denetim

Risk Merkezi tarafından yayınlanan kontrol hedefleri ve bilgi güvenliği politikasına yönelik bağımsız denetim kuruluşları tarafından gerçekleştirilecek uyum denetimleri sürecin en kritik noktalarından biri. 2015 yılı için yapılacak denetimlerin tüm yılı kapsamasına ise bilhassa dikkat edilmeli.