Merhaba,
ülkemizde bankacılık faaliyetlerini düzenlemekle sorumlu olan Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), faaliyet gösteren tüm bankaları ve özellikle bu bankaların Yönetim Kurulları, Bilgi Teknolojileri, Teftiş, İç Kontrol, Denetim, operasyonları, iştirakleri ve tedarikçileri öncelikli olarak ilgilendiren ayrıca bu bankaların tüm müşterilerini de dolaylı olarak etkileyecek büyük ve önemli değişiklikler içeren “BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK TASLAĞI” metnini 25 Aralık 2018 günü görüşe açtı. Bu yeni düzenleme, mevcutta kullanılan ve 14/06/2007 tarihli ve 26643 sayılı Resmî Gazete’de yayımlanan “Bankaların Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”in yerini alacaktır. Taslağın “GEÇİCİ MADDE 1” (1) bölümünde ele aldığı şekilde, BDDK yeni yönetmeliğe uyum için bankalara 1/1/2020 tarihine kadar bir geçiş süreci tanımıştır.
Buradan anlaşıldığı üzere taslak yönetmelik çok fazla askıda kalmayacak ve kısa sürede nihai haline getirilerek yayınlanarak devreye alınacaktır. Bu bağlamda 2019 yılında tüm bankaları büyük ve yoğun bir çalışma beklediğini söyleyebiliriz. 2019 bütçeleri yapılmış ve son şekli verilmişken, bu değişiklik sadece düzenlenmiş bütçeleri yeniden rötuşlamak kadar küçük bir etki değil, maddeleri incelediğinizde göreceğiniz üzere köklü değişikler ile tahminimce bütçelerin üç yıllık projeksiyonlarında da kayda değer artışlara neden olacaktır.
Düzenlemenin eski adı:
BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ
iken, yeni adı:
BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK
olarak isimlendirilmiştir.
Rakamlar ile yayınlanan taslağa hızlı bir bakış atıldığında şu şekilde bir tablo ortaya çıkmaktadır.
- Taslak, toplam 39 sayfadan oluşmaktadır.
- 4 Ana Kısım şeklinde bölümlenmiştir.
- 50 tane Kalıcı, 1 tane Geçici Madde’den meydana gelmiştir.
- Toplamda 19 Ana ve Alt başlık halinde kategorilendirilmiştir.
- 51 adet Konu belirlenmiştir.
- 51 konu, 236 adet Alt Madde ile detaylandırılmıştır.
- 236 Alt Madde altında, toplamda 139 adet detay açıklama ve kontrol bulunmaktadır.
- Alt Maddeler ile birlikte ( a), b), c) vb. şekilde) toplamda tüm taslak 375 adet Konuya yada Kontrole sahiptir. (*)[1]
İlk göze çarpan fark eski düzenleme TEBLİĞ olarak yayımlanmışken, yeni düzenleme ise bir YÖNETMELİK olarak BDDK tarafından ele alınmıştır.
Batı dünyasında düzenlemeleri oturtulan ve ülkemizde henüz bir zemini bulunmayan “ELEKTRONİK BANKACILIK” kavramı da hayatımıza bu düzenleme ile girecek gibi görünmektedir. Dijitalleşme sürecinde müşteri beklentileri esneklik ararken, sektöre özel düzenleme eksikliği nedeniyle bankalar müşteri beklentilerini karşılamada zorluklar yaşmaktaydı. Burada ipucu olarak karşımıza çıkan “Elektronik Bankacılık” olgusunun, gelecek için hem müşteriler hem de bankalar tarafında yeni fırsatlar vaat ederken, aynı zamanda yeni güvenlik risklerini de getireceğini söyleyebiliriz.
Eski ile yeni düzenleme arasındaki diğer bir fark da, eski tebliğ’de YÖNETİM vurgusu yapılırken, yeni yönetmelik ise HİZMET odaklı bir bakış açısı ortaya koymaktadır. Hizmet yaklaşımı ile tüm bankacılık ürünlerinin bir hizmet şeklinde yönetilmesi, böylece hem banka’nın hem de müşterilerinin optimum faydayı yakalamalarına, karlılık ve verimlilik oranlarına katkı sağlamayı amaçlamış oldukları görülmektedir. Bu hizmet bakış açısı:
- Müşteri’ye sunulan hizmetler
- Banka’nın rutin iş süreçlerindeki hizmetler
- Banka’nın BT hizmetleri
- BT’nin, BT’ye sunduğu hizmetler
- Tedarikçi hizmetleri
- Alt yükleniciler
gibi birçok farklı hizmet bölümünü kapsamaktadır.
Aşağıda verilmiş olan Tablo 1 incelendiği zaman Yönetmelik taslağı’nın dört bölümden oluştuğu ve en yoğun bölümün ise 284 adet ayrı açıklama ile KISIM 2 olduğu görülmektedir.
Tablo 1: Tebliğde bulunan Kısım’lardaki Toplam Madde Sayısı
Tablo 2’de ise Yönetmelik içindeki konu başlıklarının ağırlıkları ele alınarak özetlenmiştir. Bilgi Güvenliği Yönetimi’nin diğerlerine göre açık ara önce olarak işlendiği ve bu alanın da İKİNCİ KISIM’daki yüksek farkın en belirgin sebebi olduğu anlaşılmaktadır.
Tablo 2: Tebliğde bulunan Bölüm’lerdeki Toplam Madde Sayısı
Tablo 3’de detaylara girilerek, her bir kısım ve bölüm altında yer alan Bilgi Güvenliği ve Hizmet süreçlerinin konu başlıkları ve bu başlıklar altında ele alınan konu sayısı istatistiksel olarak görselleştirilmiştir.
Tablo 3: Kontrol veya Süreç’lerdeki Toplam Madde Sayıları
Tablo 3’de bulunan süreçler incelendiğinde BDDK da “Tedarikçi Kaynaklı Riskler” için özel bir bakış açısı geliştirmiş ve 36 adet kontrol ile en önemli ağırlığı bu konuya vermiştir. 1.1.2020 tarihine kadar sadece bankalar değil, bankalara hizmet veren tedarikçiler de önemli bir değişim ve gelişim sürecini başarı ile tamamlamak zorunda kalacaklardır. Bundan sonrasındaki en önemli iki madde ise toplam 28 adet kontrol ile “Kimlik ve erişim yönetimi” ve toplam 24 adet kontrol ile “Bilgi güvenliği organizasyonu” olarak özetlenebilir.
İLİŞKİLİ KANUN, DÜZENLEME VEYA DİĞER ATIFTA BULUNULAN DÜZENLEMELER
Birinci bölümde yer alana “Tanımlar ve Tarifler” bölümünde yer alan ve bu Yönetmelik tarafından atıfta bulunulan düzenlemeler aşağıda listelenmiştir. Bu yönetmelik değerlendirilirken ve uygulanırken aşağıdaki düzenlemeler ile birlikte ele alınmalıdır.
a) 5411 sayılı Bankacılık Kanununu
b) İSEDES – İçsel Sermaye Yeterliliği Değerlendirme Süreci
c) Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik
d) 5070 sayılı Elektronik İmza Kanunu
e) KVKK – 6698 sayılı Kişisel Verilerin Korunması Kanunu
f) Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ
ÖZET SONUÇ
Yönetmeliğin taslak metni üzerinde yapılan hızlı gözden geçirme ile bu özet bilgilere ulaşılmıştır. Detaylı inceleme ile buradaki her bir maddenin ve kurumdaki ilişkili diğer maddelerin aksiyon maddeleri haline getirilerek bir uygulama projesine dönüştürülmesi gerekmektedir.
Banka, iştirakler, paydaşlar ve tedarikçiler’den oluşan tarafların bir araya gelerek bir komisyon yönetiminde düzenli olarak takibi ile 1.1.2020’deki zorlayıcı uyum hedefi takvimlendirilmeli, üst yönetimin öncü desteği ile başarılı bir şekilde yönetmeliğe uyum sağlanmalıdır.
EK-1: BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK TASLAĞI
[1] MADDE 3’de yer alan 66 adet kısaltma ve açıklamalar toplamda 375 olan madde sayısına dahil edilmemiştir.
Bu eserin telif hakları yazar’a (Mustafa TURAN) aittir. Eserin bazı bölümleri veya paragrafları sadece araştırma veya özel çalışmalar yapmak amacıyla referans vererek kullanılabilir. Ticari kullanım için eser sahibinden onay alınmalıdır.
