Gerçekleştirilen sunum ile taslak
yönetmelik ile neden güncelleme yapma gereği duyulduğu, güncelleme
çalışmaları esnasında nelerin dikkate alındığı, hangi konuların öne çıkarılmaya
çalışıldığı, değişiklik ile neyin amaçlandığı ve bundan sonraki yol haritasının nasıl olacağı katılımcılar ile paylaşılmıştır.
Ben de aldığım notlar ile yapılan konuşmayı blog yazısında konuyu merak eden profesyoneller ile paylaşmaya çalıştım.
Günümüzde Bilgi Teknolojileri
faaliyetlerinin nasıl yürütüleceği ve dolayısıyla nasıl denetleneceği 2006
yılında yayımlanan ve 2010 yılında yürürlüğe giren sektörde İlkeler Tebliği
olarak kısaltılan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin
Yönetmeliği ile düzenlenmektedir. 10 yılı aşkın süredir hem BDDK, hem bağımsız
denetim şirketleri denetimlerini bu yönetmelik hükümlerine göre
gerçekleştirmektedir. Tebliğin yayımlanmasından günümüze teknoloki anlamında
önemli gelişmeler olmuştur, Kişisel Verilerin Korunması Kanunu gelmiştir. 2010
yılında bu yana sahada BDDK’nın denetim tecrübeleri ve bağımsız denetim
şirketleri tarafından gerçekleştirilen denetimlerde sektörde görülen hatalı
uygulamalar, eksiklikler ve yanlış anlaşılmalara açıklık getirme gerekliliğinin
doğduğu belirtilmiştir. Keza, BDDK tarafından talimatlar ile ele alınan hususlar
da yeni yönetmelik ile ele alınmıştır. İlkeler tebliği içerisinde refere edilen
çerçeveler ve standartlar mevcuttu. Ama uygulama ve denetim esnasında bazı
hususlarda gri kalan alanlar olabiliyordu. Yeni yönetmelikle birlikte bu gri
alanlara da açıklık getirilmesi hedeflenmektedir.
Ek olarak yönetmeliğin çıktığı
dönemde dijital bankacılık denilince temelde internet bankacılığı akıllara
gelirken, günümüzde dijital bankacılık kanalları mobil bankacılık, telefon
bankacılığı noktasındaki gelişmeler ile oldukça genişlemiştir.
Yönetmeliğe
ilişkin çalışmalar esnasında neler dikkate alındı?
Bağımsız denetim çıktıları,
BDDK tarafından sahada gerçekleştirilen denetimlerde karşılaşılan konulara ek
olarak 2010 yılından bu yana diğer ülkelerdeki yasal mevzuata yönelik gelişmeler
ve uygulamalar uzmanlar tarafından incelenmiştir. ITIL, COBIT, çeşitli güvenlik
standartları ve çerçeveler de taslak yönetmelik çalışmasında dikkate alınmıştır.
Diğer devlet kurumları, savcılık ve mahkemelerden gelen taleplerle ilgili de bazı
maddeler taslak yönetmelik içerisinde ele alınmıştır. Yurtdışındaki uygulamalar
elbette olduğu gibi alınmamış, ülkemiz koşullarında uygulanabilecek şekliyle değerlendirilmiştir.
Kişisel verilerin korunması
kanununa yönelik olarak öncesinde bilgi mimarisi ile adreslenen hususların detaylandırılması
gerçekleştirilmiştir. Kişisel veriler, hassas veriler, bunların nasıl
paylaşılabileceği, açık rıza, varlık envanteri gibi tanımlamalar yapılmış.
Bilgi güvenliği alanında nelerin korunması gerekiyorsa bunlara ilişkin hususlar
yönetmelik taslağına derç edilmiştir.
İz kayıtları günümüzde daha
önemli hale gelmeye başladı. API uygulamalarından bahsediyoruz, bankalar kamu
kurumlarından çeşitli web servisler ile hizmetler alıyorlar. Dolayısıyla bu
kanal üzerinde dolaşan verinin güvenliğinin sağlanması da önem arz eder hale
gelmiştir.
Siber güvenlik alanında Ulusal
Siber Güvenlik Stratejisi kapsamında BDDK tarafından yürütülen bir takım
faaliyetler mevcut. Bu konuda da düzenlemeler yönetmeliğe eklenmiştir.
Erişilebilirlik ve yedekleme
yönetmelikte ele alınan bir diğer konudur.
Dış hizmet alımlarına yönelik
destek hizmetleri yönetmeliğimiz vardı, ilkeler tebliğinde bir kaç madde ile
konu ele alınmaktadır. Konuya ilişkin bir takım kafa karışıklıkları mevcuttu,
bunların üzerinden talimatlarla geçilmiştir. BDDK, her türlü hizmetin dış
hizmet olarak ele alınmasını beklemektedir. Bu süreçte bankalardan beklenti
risklerin iyi yönetilmesi anlamında gerekli önlemleri almaları şeklindedir.
Internet bankacılığının yanı
sıra mobil bankacılık, telefon bankacılığı, internet üzerinden bağlanabilecek
herhangi bir cihaz üzerinden verilebilecek bankacılık hizmetleri ile kanallar
oldukça genişledi. Bu hususlara ilişkin hükümler olabildiğince aktarılmaya
çalışılmıştır.
Yönetmeliğe açık bankacılık
ile ilgili temel hükümler eklenmiştir. Sektörün kendi içerisinde etkileşimin
sağlanabilmesi anlamında Açık Bankacılık önemli. Bu doğrultuda ek yapılması
gereken işler elbette mevcut.
Yönetmelik ile sektörel buluta
özel madde açıldı.
BDDK’nın sektörden yazılan her
madde için yazılım ve donanım yatırımı yapılması doğrultusunda bir beklentisi
geçmişte olmadığı gibi bu yönetmelik ile birlikte de yok. Bu günden sonra da olmayacağı
vurgulanmıştır. Kurumun, büyüklük bakımında birinci sıradaki banka ile en son
sırada yer alan banka açısından düzenlemeye aynı gözle bakılmaması gerektiğinin
farkında olduğu belirtilmiştir. Banka gruplarının kendi aralarında bir araya
gelerek, yönetmeliğe ilişkin ortak önerilerini bildirmelerine yönelik bir
beklenti mevcut. Türk Bankacılık sistemi içerisinde şube statüsünde bankalar,
Kalkınma Yatırım Bankaları, mevduat toplayan büyük bankalar gibi çeşitli
büyüklük ve yapıda bankalar mevcut. Büyük bankalardan beklenenlerin küçük
bankalardan da beklenmesinin çok doğru olmadığı vurgulandı ve bu doğrultuda sektörün
BDDK’ya doğru geri bildirimleri vermelerinin önemi belirtildi.
Bilgi Teknolojileri bankalar
tarafından bir rekabet unsuru olarak görülmüştür. Bu sebeple iş birliği
örnekleri olmamıştır. Bu yönetmelik ile ihtiyaç olması durumunda bankaların oluşturdukları
iştirakler ile maliyeti paylaştıkları yatırımlar yapılması beklenmektedir. Buradaki
gelişmeleri zaman gösterecektir.
Sonrasında
yapılacaklar nelerdir?
BDDK tarafından görüşler
toplanmıştır. Gelmeye de devam etmektedir. Dönüşlerin hepsinin üstünden tek tek
geçilmektedir. BDDK’nın duruşuna uygun bir şekilde değerlendirmeler yapılmaktadır.
Bildirimler sonrasında bir ara taslak oluşturulacak. Bu ara taslak
oluşturulduktan sonra sektör paydaşları ile 1-2 günlük çalıştay yapılması
planlanmaktadır. Banka büyüklüklerine göre seviyelendirme olabilir mi olamaz
mı, mevzuatın yarattığı maliyet etkisi var mı gibi hususlar değerlendirilecek.
API bankacılığının biraz daha açıklığa kavuşması gerekiyor. Belki API kullanan
kuruluşların lisanslanması ihtiyacı doğabilir. Dijital onboarding ile alakalı
olarak dijital olarak müşterileri nasıl kabul edebiliriz konusu BDDK tarafından
üzerinden çalışılan bir diğer konu.
Özetle, Yönetmeliği görüşe
açarmaktaki amaç; oluşturulan yönetmeliğin gelen gelri bildirimler ile sektörün
yönetmeliği niteliğine kavuşturulması olduğu önemle vurgulanmıştır. Sektör
paydaşları görüşlerini doğru bir şekilde iletebilirse, mükemmeli yakalamak
elbette zor olsa da yönetmeliğin mükemmele daha çok yaklaşabileceğinin
bilindiği belirtilmiştir. Yönetmelik ile amaçlanan, doğru bir şekilde riskleri yönetecek,
doğru bir şekilde de sektörün önünü açabilecek yani inovatif çözümlere de
fırsat verebilecek bir yapıya kavuşmaktır.
