Site icon Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri

Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ

Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri

19 Ağustos 2021 Tarihli Resmi Gazete

Sayı: 31573

Bankacılık Düzenleme ve Denetleme Kurumundan:

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Tebliğin amacı, Risk Merkezi ve bilgi alışverişi kuruluşlarının faaliyetlerinin ifasında kullandıkları bilgi sistemleri yönetiminde ve denetiminde esas alınacak asgari usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (1) Risk Merkezi ve bilgi alışverişi kuruluşları bu Tebliğ hükümlerine tabidir.

Dayanak

MADDE 3 – (1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 93 üncü maddesi ve ek 1 inci maddesi, 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununun 27 nci maddesinin üçüncü fıkrası ve 29 uncu maddesinin ikinci fıkrası ile 10/3/2007 tarihli ve 26458 sayılı Resmî Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin 26/B maddesinin dördüncü fıkrası hükümlerine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar

MADDE 4 – (1) Bu Tebliğde yer alan;

a) Bilgi alışverişi kuruluşu: Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları,

b) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,

c) Kanun: 19/10/2005tarihli ve 5411 sayılı Bankacılık Kanununu,

ç) Kuruluş: Risk Merkezi ile bilgi alışverişi kuruluşlarını,

d) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,

e) Risk Merkezi: Kanunun ek 1 inci maddesi uyarınca; kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan Risk Merkezini,

f) Risk Merkezi Yönetimi: Risk Merkezinin görev ve faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan Türkiye Bankalar Birliği Risk Merkezi Yönetimini,

g) Üye kuruluş: Kuruluş ile arasında bilgi alışverişi bulunan tüzel kişileri,

ğ) Yönetmelik: 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği,

ifade eder.

İKİNCİ BÖLÜM

Bilgi Sistemleri Yönetişimi, Bağımsız Bilgi Sistemleri ve İş Süreçleri Denetimi

Genel ilkeler

MADDE 5 – (1) Kuruluş, Yönetmelik hükümlerine tabidir. Yönetmelikte geçen “banka” ifadesi kuruluşu; “bankacılık faaliyetleri” ifadesi kuruluşun faaliyetlerini, “Yönetim kurulu” ifadesi ise Risk Merkezi için Risk Merkezi Yönetimini ifade eder.

Bilgilerin doğruluğunun, güvenliğinin ve güncelliğinin sağlanması

MADDE 6 – (1) Kuruluş, üye kuruluşlar ile olan bilgi iletişiminin güvenli, doğru ve yeterli sıklıkta gerçekleşebilmesi için gerekli önlemleri alır; söz konusu önlemleri üye kuruluşa iletir ve bu önlemlerin yerine getirilmesini gözetir. Bilgilerin ne ölçüde güncel tutulacağına ilişkin yönetim kurulu kararı veya Risk Merkezi Yönetimi kararı alır ve kararı, alındığı tarihten itibaren bir ay içinde Kuruma ve Türkiye Cumhuriyet Merkez Bankasına yazılı olarak iletir.

(2) Kuruluş, Kanunun 73 üncü maddesine göre sır kapsamında olan bilgilerin üye kuruluş tarafından sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte beş yıl süreyle üye kuruluş tarafından tutulmasını temin eder.

(3) Kuruluş, kendi alanına giren konularda sahtecilik ve bilgi ifşasını önleyici çalışmalar yapmak, güvenlik önlemlerini saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.

(4) Kuruluş, bilgi alışverişi sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması gerekli olan tedbirleri belirler ve yazılı olarak üyeleriyle paylaşır. Kuruluş tarafından yapılan kontrollerde, söz konusu önlemleri, belirtilen tarihe kadar almadığı tespit edilen üye kuruluş, alınması talep edilen tedbir ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde Kuruma bildirilir.

(5) Bilgi alışverişine ilişkin kullanılacak süreçler ve sistemler Yönetmeliğin 29 uncu maddesinin onuncu fıkrası kapsamında kritik bilgi sistemleri olarak değerlendirilir.

Bağımsız bilgi sistemleri ve iş süreçleri denetimi

MADDE 7 – (1) Kuruluşun bilgi sistemleri, iş süreçleri ve iç sistemlerinin denetimi ve denetim sonuçlarının raporlanması BSDHY ile belirlenen usul ve esaslar çerçevesinde, BSDHY kapsamında yetkilendirilmiş veya izin verilmiş bağımsız denetim kuruluşlarınca gerçekleştirilir.

(2) BSDHY’de geçen “banka” ifadesi kuruluş; “bankacılık süreçleri” ifadesi ise kuruluşun iş süreçleri olarak uygulanır. İş süreçlerinin belirlenmesi ve denetim kapsamına dâhil edilmesinde, BSDHY’nin 5 inci maddesinde tanımlanan önemlilik kriteri dikkate alınır.

(3) Denetçi, kuruluşun destek hizmeti alarak gerçekleştirdiği hizmetlerin bilgi sistemlerini ve iş süreçlerini nasıl etkilediğini göz önünde bulundurur, denetimini buna göre planlar ve etkin bir denetim yaklaşımı geliştirir.

(4) İş süreçleri denetimi her yıl, bilgi sistemleri denetimi iki yılda bir kez yapılır. Kurum, gerekli gördüğü hallerde denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu denetimlerin kapsamını ve sıklığını farklılaştırabilir.

ÜÇÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

Yürürlükten kaldırılan tebliğ

MADDE 8 – (1) 4/12/2013 tarihli ve 28841 sayılı Resmî Gazete’de yayımlanan Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yürürlükten kaldırılmıştır.

Yürürlük

MADDE 9 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 10 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.

Exit mobile version