Ahmet Türkay VARLI Bilgi Yönetimi Daire Başkanı / BDDK

... konulu sunumlar: "Ahmet Türkay VARLI Bilgi Yönetimi Daire Başkanı / BDDK"— Sunum transkripti:

1 Ahmet Türkay VARLI Bilgi Yönetimi Daire Başkanı / BDDK
Bankacılıkta Bilgi Sistemleri Yönetimi ve Denetimi/ Mevzuat Çerçevesinde BDDK Perspektifi Ahmet Türkay VARLI Bilgi Yönetimi Daire Başkanı / BDDK Türkiye İç Denetim Enstitüsü, XI. Türkiye İç Denetim Kongresi 9 Kasım 2007, İstanbul

2 BDDK / Bilgi Yönetimi Daire Başkanlığı
Ajanda Bankacılıkta Bilgi Sistemleri (BS) ve Denetim Gereksinimi Bankacılıkta BS Yönetimi Bankacılıkta BS Denetimi Benimsenen Denetim Çerçevesi : CobiT® 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

3 Verimli/Etkin Banka Bilgi Sistemleri Ortaklar Yatırımcılar
Banka Yönetimi Doğru Finansal Tablolara Dayalı Yatırım Kararı Etkin/Verimli Faaliyet, Risk Yönetimi ve İç Kontrol Ticari Kazanç Verimli/Etkin Banka Hızlı, Güvenilir ve Çeşitli Finansal Hizmet Etkin Aracılık Fonksiyonu, İstikrarlı ve Güçlü Finansal Yapı Bilgi Sistemleri Yasal Yükümlülükleri Karşılayabilen, Risklere Dayanıklı, Güçlü Sektör Müşteri Türkiye Ekonomisi Kamu Otoriteleri

4 Bankacılıkta Bilgi Sistemleri Sektörel BT Harcamaları
KAYNAK: Dataquest Insight Financial Services Sector IT Spending Forecast, , Susan Cournoyer, 10 Kasım 2006 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

5 Bankacılıkta Bilgi Sistemleri Dünyada Finansal Sektörün BT Harcamaları
Harcamalarda Yıllık Ortalama Artış:%4.4, Kaynak: Gartner Milyon $ 7 Kasım 2007 Kaynak: “Dataquest Insight: Financial Services Sector IT Spending Forecast”, , Susan Cournoyer, Gartner,10 Kasım 2006 BDDK / Bilgi Yönetimi Daire Başkanlığı

6 BDDK / Bilgi Yönetimi Daire Başkanlığı
Bankacılıkta Bilgi Sistemleri Türk Bankacılık Sektörünün BT Harcamaları ve İşletme Giderleri Türk bankacılık sektöründe de bilgi sistemlerinin önemi grafikten de görüldüğü gibi oldukça fazla sayılabilir. Önemi tartışılmayacak kadar açık olan bilgi sistemleri, doğru biçimde tesis edilip kullanılmadığında veya bilinçli bir şekilde yanlış kullanıldığında ciddi zararlar doğurabilen operasyonel risk ve itibar riskleri yaratabilmektedir. 7 Kasım 2007 * BT Harcamaları için , , 88009, hesaplar kullanılmıştır. BDDK / Bilgi Yönetimi Daire Başkanlığı

7 Bilgi Sistemlerinde Önemli Olaylar
at&t 1998’de Ana Switch Problemi 18 Saat Boyunca Pek Çok Kredi Kartı Kullanım Dışı WorldCom Finansal Bilgi Raporlamasında Sahtekarlık Enron 60 Milyar USD Kamu Zararı İmar Bankası Çift Kayıt Sistemine Bağlı Eksik Yükümlülük Beyanı Burada ismi geçen kuruluşlar hem global hem de yerel anlamda teknoloji ile bağlantılı kriz kaynağı olup olağanüstü zarar yaratan kuruluşlar olarak sıralanabilir. İşte bu sorunlar yararı tartışılmayacak bilgi sistemlerinin ele alınış şeklinde önemli değişikliklere yol açmış ve konunun bir disiplin içinde ele alınmasını tetiklemiştir. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

8 Bankacılıkta Bilgi Sistemleri Düzenleme Çalışmaları
İki alanda yoğunlaşma; Bilgi sistemlerinin yönetimi Bilgi sistemleri denetimi 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

9 Bankacılıkta Bilgi Sistemlerinin Yönetimine İlişkin Mevzuat
Bu çerçevede BDDK olarak Bankacılık Kanununun verdiği yetkiye dayanarak birtakım hazırlıklar yapılmış ve bunlar doğrudan bilgi sistemlerine dönük düzenlemeler kadar bankacılığın diğer disiplinlerine ait düzenlemelerinde de kendine yer bulmuş durumdadır. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

10 Bilgi Sistemleri Yönetiminde Düzenleyici Mevzuat
5411 sayılı Bankacılık Kanunu Bankaların İç Sistemleri Hakkında Yönetmelik Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ Bu düzenlemeler temel olarak banka bilgi sistemlerinin özelliklerine, tesisine, yönetilmesine ve sorumluluklarına ilişkin hususları düzenlemektedir. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

11 BS Yönetiminde Düzenleyici Mevzuat 5411 sayılı Bankacılık Kanunu(I)
Madde 29: Bankalar etkin; İç kontrol Risk Yönetimi ve İç Denetim sistemleri kurmak ve işletmekle yükümlüdür. İç sistemlere ilişkin yükümlülükler MADDE 29.- Bankalar, maruz kaldıkları risklerin izlenmesi, kontrolünün sağlanması, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, tüm şube ve konsolidasyona tâbi ortaklıklarını kapsayan yeterli ve etkin bir iç kontrol, risk yönetimi ve iç denetim sistemi kurmak ve işletmekle yükümlüdürler. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

12 BS Yönetiminde Düzenleyici Mevzuat 5411 sayılı Bankacılık Kanunu(II)
Madde 30: Bankalar, iç kontrol sistemi kapsamında; Faaliyetlerin mevzuata uygun yürütülmesini Muhasebe ve finansal raporlama sisteminin bütünlüğünü, güvenilirliğini ve bilgilerin zamanında elde edilebilirliğini Görevlerin fonksiyonel ayrımlarını ve sorumlulukların paylaşımını Varlıkların ve yükümlülüklerin kontrol altında tutulmasını sağlayacak bir altyapıyı kurmak zorundadır. İç kontrol sistemi MADDE 30.- Bankalar, iç kontrol sistemi kapsamında, faaliyetlerinin mevzuata, iç düzenlemelerine ve bankacılık teamüllerine uygun olarak yürütülmesini, muhasebe ve raporlama sisteminin bütünlüğünü, güvenilirliğini ve bilgilerin zamanında elde edilebilirliğini her seviyedeki personeli tarafından uyulacak ve uygulanacak sürekli kontrol faaliyetleri ile sağlamak, görevlerin fonksiyonel ayrımlarını, yetki ve sorumlulukların paylaşımını, fon ödemelerini, banka işlemlerinin mutabakatını, varlıkların korunmasını ve yükümlülüklerin kontrol altında tutulmasını temin etmek, maruz kalınan her türlü riskin tanınması, değerlendirilmesi ve yönetimi için gerekli alt yapıyı hazırlamak ve yeterli iletişim ağını oluşturmak zorundadır. İç kontrol faaliyetleri yönetim kuruluna bağlı olarak çalışacak iç kontrol birimi ve personeli tarafından yürütülür. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

13 BS Yönetiminde Düzenleyici Mevzuat 5411 sayılı Bankacılık Kanunu(III)
Madde 41: Yönetim Kurulu, faaliyetlerin mevzuata uygun muhasebeleştirilmesi, Finansal raporlama sistemini görev, yetki ve sorumluluklarının belirlenmesi ve Bilgi sistemlerinin yeterli hale getirilmesi ve uygulamanın gözetlenmesi ile yükümlüdür. Sorumluluk MADDE 41.- Yönetim kurulu, bu Kanunun 37 nci maddesi uyarınca faaliyetlerin muhasebeleştirilmesi, finansal tabloların hazırlanması, onaylanması, denetlenmesi, yetkili mercilere sunulması ve yayımlanması dâhil finansal raporlama sistemini, görev, yetki ve sorumlulukları belirlemek, bilgi sistemlerini yeterli hale getirmek ve uygulamayı gözetmekle yükümlüdür. İtibarın korunması MADDE 74. — 5187 sayılı Basın Kanununda belirtilen araçlarla ya da radyo, televizyon, video, internet, kablolu yayın veya elektronik bilgi iletisim araçları ve benzeri yayın araçlarından biri vasıtasıyla; bir bankanın itibarını kırabilecek veya söhretine ya da servetine zarar verebilecek bir hususa kasten sebep olunamaz ya da bu yolla asılsız haber yayılamaz. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

14 BDDK / Bilgi Yönetimi Daire Başkanlığı
BS Yönetiminde Düzenleyici Mevzuat Destek Hizmeti Alımına İlişkin Yönetmelik Destek hizmeti alımında ön koşullar (Md 5) Destek hizmeti kuruluşlarında aranacak şartlar (Md 6) Sözleşmenin unsurları (Md 9) Destek hizmeti alınan kuruluşlarda denetim hakkı (Md 12) Mesleki sorumluluk sigortası (Md 10) Önkoşullar MADDE 5 – (1) Destek hizmeti alacak bankaların; a) Faaliyet konuları itibarıyla ihtiyaç duydukları destek hizmetlerinin hangileri olduğuna, b) Destek hizmeti alınmasından beklenen fayda ve maliyetin değerlendirilmesine, c) Destek hizmetine geçiş aşamasında gerekli dönüşüm, iç düzenleme, altyapı ve eğitim çalışmalarına, ç) Destek hizmetine ilişkin denetim, ölçme ve değerlendirme, raporlama ve güvenlik konularında sorumlulukların koordinasyonuna, d) Destek hizmetinden doğabilecek riskler ile hizmetin herhangi bir surette kesintiye uğraması veya aksaması durumunda uygulamaya konulacak bir eylem planıyla birlikte bu risklerin yönetilmesine, ilişkin bir risk yönetimi programı oluşturmaları şarttır. (2) Bankaların destek hizmeti kuruluşlarıyla sözleşme imzalamadan önce ilgili kuruluş bünyesinde, destek hizmetini istenilen kalitede gerçekleştirebilecek düzeyde teknik donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı bulunup bulunmadığı hususlarını da dikkate alacak şekilde inceleme ve değerlendirme çalışması yapmaları zorunludur. Bu çalışma sonucunda üst düzey yönetimce denetim komitesine ve yönetim kuruluna sunulmak üzere teknik yeterlilik raporu düzenlenir. (3) Banka yönetim kurulu ikinci fıkra uyarınca düzenlenecek teknik yeterlilik raporu ile denetim komitesinin konuya ilişkin görüşünün değerlendirilmesi neticesinde yeterli göreceği destek hizmeti kuruluşu ile destek hizmeti sözleşmesi imzalanmasına karar verir. (4) Destek hizmeti kuruluşlarının veya alt yüklenici kuruluşların yurt dışında kurulu olmaları veya faaliyetlerini yurt dışı şube veya ortaklıkları üzerinden gerçekleştirecek olmaları durumunda, bu kuruluşların faaliyet gösterdikleri ülke düzenlemeleri ve uygulamalarında, Kurumun ihtiyaç duyduğu bilgi ve belgeleri edinmesine ve bu kuruluşlarda alınan hizmetle ilgili denetim yapmasına ilişkin herhangi bir engel bulunmaması şarttır. Bankalar destek hizmetinin yurt dışında faaliyet gösteren bir kuruluştan sağlanması durumunda, ülke riskini dikkate almak ve hizmetin herhangi bir surette kesintiye uğraması veya aksaması durumunda iş devamlılığını ve gerekirse bu hizmetin yurt içinden alınmasını sağlayacak eylem planlarını hazır bulundurmak zorundadır. (5) Destek hizmeti alınması, bankaların tüm hesap ve kayıtları ile her türlü işlemlerine ilişkin bilgilerin kendi bünyelerinde tutulması ve saklanması yükümlülüğünü ortadan kaldırmaz. Hizmetin verilmesi sırasında oluşacak tüm hesap, kayıt ve işlemlere ait her türlü bilgi ve belge ile bu bilgilerin tutulduğu kartuş, disk, disket, manyetik teyp, mikrofilm, mikrofiş ve benzeri her türlü ortamın mülkiyeti, yazılıma ilişkin fikri mülkiyet hakları saklı olmak üzere bankaya aittir. Bunlarla ilgili olarak destek hizmeti sağlayan kuruluş herhangi bir tasarrufta bulunamaz. (6) Destek hizmeti sağlayan kuruluşlarca bankaya ve müşterilerine ait sırların korunmasına yönelik gerekli tedbirlerin alınmasını sağlamak, destek hizmeti alan ilgili bankanın sorumluluğundadır. Destek hizmeti kuruluşlarında aranacak şartlar MADDE 6 – (1) Bu Yönetmelik kapsamında bankalara destek hizmeti verecek kuruluşların; a) Sermaye şirketi şeklinde kurulmuş, ortaklık yapısının şeffaf ve açık olması, b) Destek hizmetini gerçekleştirebilecek yönetim yapısına, yeterli sayı ve nitelikte personele, gerekli teknik donanıma, belge ve kayıt düzenine sahip olması, c) Verdikleri hizmetlerden doğabilecek zararları karşılamak amacıyla mesleki sorumluluk sigortası yaptıracaklarını taahhüt etmesi, ç) Yurt dışında ya da Türkiye’deki yetkili otoritelerce faaliyette bulunduğu alanla ilgili yetkilerinin iptal edilmemiş veya kısıtlanmamış olması, d) Kanunun 8 inci maddesinin birinci fıkrasının (a) bendi kapsamında bulunmaması, e) Ortaklarının, yönetim kurulu başkan ve üyeleri ile denetçilerinin ve yöneticilerinin; 1) Kanunun 8 inci maddesinin birinci fıkrasının (a), (b), (c) ve (d) bentlerinde belirtilen nitelikleri haiz olmaları, 2) Kanun ve bu Yönetmelik hükümlerine aykırı nitelikte işlem ve uygulamalar nedeniyle 14 üncü maddenin ikinci fıkrası uyarınca yetkisi iptal edilen destek hizmeti kuruluşlarında ortak, yönetim kurulu başkanı, üyesi veya denetçi ya da yönetici olmamaları veya çalışan olarak sözleşmenin feshine neden olan işlemlerde sorumluluklarının tespit edilmemiş olması, 3) Yurt dışında ya da Türkiye’deki yetkili otoritelerce bulunduğu alanla ilgili yetkileri iptal edilmiş veya kısıtlanmış destek hizmeti kuruluşlarında ortak, yönetim kurulu başkanı, üyesi veya denetçi ya da yönetici olmamaları veya çalışan olarak yetki iptaline veya kısıtlamaya neden olan işlemlerde sorumluluklarının tespit edilmemiş olması, şarttır. Sözleşmenin unsurları MADDE 9 – (1) Bankalar ile destek hizmetleri kuruluşları arasında imzalanacak sözleşmelerde; a) Destek hizmetinin konusu, kapsamı ve süresi, alınan hizmet karşılığı ödenecek ücret ile tarafların sorumlulukları gibi hususların açık, anlaşılır ve hiçbir tereddüte mahal vermeyecek şekilde ifade edilmesi, b) Destek hizmeti kuruluşlarının gerçekleştirdiği faaliyetlere ilişkin olarak Kurumun denetimine tabi olduğu ve Kurumca talep edilen her tür bilgi ve belgeyi zamanında ve doğru olarak vermekle ve bunlara ilişkin her türlü mikrofiş, mikrofilm, manyetik teyp, disket ve benzeri ortamlardaki kayıtları ve bu kayıtlara erişim ve kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır bulundurmak ve işletmekle yükümlü olduğu hususlarının belirtilmesi, c) Destek hizmeti kuruluşu tarafından sağlanan hizmet dolayısıyla öğrenilen bankalara ve müşterilerine ait bilgi ve belgelerin, yapılan anlaşmada belirtilen amaçlar dışında kullanılmasının ve üçüncü kişilere açıklanmasının yasak olduğu, destek hizmeti kuruluşunun söz konusu bilgi ve belgelerin korunmasında gerekli özeni göstermekle yükümlü bulunduğu ve bunlara aykırılık halinde banka tarafından sözleşmenin tek taraflı olarak feshedileceği hususlarının belirtilmesi, ç) Destek hizmeti kuruluşuna belirli hallerde sözleşmeyi süresinden önce sona erdirme hakkı tanınmakta ise, bu durumda alınan hizmetin başka bir destek hizmeti kuruluşu veya bizzat banka tarafından sağlanmasına imkan verecek bir müddetle destek hizmeti kuruluşu tarafından sağlanmasına devam olunmasına ilişkin hüküm konulması, d) Destek hizmeti kuruluşunca verilecek hizmetlerden doğabilecek zararların karşılaması amacıyla mesleki sorumluluk sigortası yaptırılacağı hususunun taahhüt edilmesi, e) Destek hizmeti kuruluşları tarafından sağlanan hizmetlerin tamamen veya kısmen alt yüklenici kuruluşlara devrinin mümkün kılınması halinde (a), (b), (c), (ç) ve (d) bentlerinde belirtilen hususlara alt yüklenici kuruluşlarla yapılacak sözleşmelerde de yer verileceğinin destek hizmeti kuruluşu tarafından taahhüt edilmesi, zorunludur. Mesleki sorumluluk sigortası MADDE 10 – (1) Destek hizmeti kuruluşları verdikleri hizmetlerden doğabilecek zararları karşılamak amacıyla imzalayacakları her bir destek hizmeti sözleşmesi için genel şartları Hazine Müsteşarlığınca belirlenen mesleki sorumluluk sigortası yaptırmak zorundadır. (2) Mesleki sorumluluk sigortasına esas matrah bankaca destek hizmeti kuruluşuna ödenecek hizmet bedelinin iki katından az olamaz. (3) Mesleki sorumluluk sigortasının, 7 nci maddenin ikinci fıkrası uyarınca yapılacak tebliğ tarihinden itibaren en geç on beş gün içinde, 7 nci maddenin yedinci fıkrası kapsamında imzalanacak sözleşmeler için ise sözleşmenin imzalanmasını müteakip en geç yedi gün içinde yaptırılması zorunludur. Destek hizmeti kuruluşunca mesleki sorumluluk sigortası poliçesinin bir örneği banka yönetim kuruluna sunulmak üzere banka denetim komitesine ve Kuruma gönderilir. Denetim MADDE 12 – (1) Kurum, destek hizmeti kuruluşlarından Kanun ve bu Yönetmelik hükümleri ile ilgili göreceği bütün bilgileri gizli dahi olsa istemeye, tüm defter, kayıt ve belgelerini incelemeye yetkili olup, destek hizmeti kuruluşları da istenilen bilgileri vermekle, defter, kayıt ve belgeleri incelemeye hazır bulundurmakla, tüm bilgi işlem sistemini denetim amaçlarına uygun olarak Kurumun yerinde denetim yapan meslek personeline açmakla, verilerin güvenliğini sağlamakla ve muhafaza etmek zorunda oldukları her türlü defter, belge ve karneler ile vermek zorunda bulundukları bilgilere ilişkin mikrofiş, mikrofilm, manyetik teyp, disket ve benzeri ortamlardaki kayıtlarını ve bu kayıtlara erişim veya kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifrelerini inceleme için ibraz etmek ve işletmekle yükümlüdür. (2) Üst düzey yönetim, destek hizmeti alınmasında bankanın iç sistemlerinin etkin ve yeterli bir şekilde işletilmesini veya iç kontrol ya da iç denetim faaliyetlerinin yürütülmesini engelleyici ya da risk doğurucu herhangi bir hususun oluşup oluşmadığı ve destek hizmeti kuruluşunun, ortaklarının ve yöneticilerinin 6 ncı maddede belirlenen şartları idame ettirip ettirmedikleri hususlarında, yılda en az bir defa denetim komitesine ve yönetim kuruluna sunulmak üzere bir değerlendirme raporu hazırlar. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

15 Bankacılık Bilgi Sistemlerinde Destek Hizmeti Kullanımı (2006)
Bilgi sistemlerinde destek hizmeti kullanmayan banka oranı sadece %6’dır. Bankaların %94’ü en az bir faaliyetini gerçekleştirmek için destek hizmeti almaktadır. Tamamen destek hizmeti alarak yürüten bankaların çoğunluğunu yabancı bankalar teşkil etmektedir. Destek hizmeti kullanmayan 3 banka ise kalkınma ve yatırım bankalarıdır. Bilgi Teknolojileri faaliyetlerini tamamen destek hizmeti alımı yolu ile gerçekleştiren bankalar içerisinde yabancı sermayeli bankaların yoğun olduğu dikkat çekmektedir. Büyüklük itibariyle A grubu kategoriye giren bankalar arasında Bilgi Teknolojileri faaliyetlerini tamamen ya da yoğun bir şekilde iştiraklerinden aldıkları destek hizmetleri ile gerçekleştiren bankalar da bulunmaktadır. (Garanti Bankası, Yapı Kredi Bankası) Bankacılık sektörü açısından Bilgi Teknolojileri faaliyetlerine ilişkin bir ya da çok alanda destek hizmeti alımı % 94 oranında gerçekleşmektedir. Destek hizmeti kullanmayan 3 bankanın kalkınma ve yatırım bankası olması da göz önünde bulundurulmalıdır. Dış Hizmetin Yoğunluğu Tamamen :Bilgi Teknolojileri faaliyetlerinin bilfiil başka bir firma tarafından yürütülüyor olması, bununla birlikte bankada küçük çaplı bir ekibin bulunması Yoğun :Faaliyetlerin çoğunluk itibariyle firma tarafından yürütülmesi ile birlikte bazı küçük çaplı işlemlerin banka bünyesinde gerçekleştirilmesi Kısmen :Bilgi Teknolojileri faaliyetlerinin bir kısmını dış hizmet sağlayıcılar geri kalanının ise bankanın kendi imkânlarıyla gerçekleştirilmesi Nadiren :Bazı özelleşmiş işler dışında bütün Bilgi Teknolojileri faaliyetlerinin banka bünyesinde yürütülmesi ve ölçeğine göre yeterli bir Bilgi Teknolojileri bölümüne sahip olunması Kullanılmıyor :Bilgi Teknolojileri faaliyetlerin tamamının banka bünyesinde gerçekleştirilmesi, hiçbir şekilde dış hizmet sağlayıcılardan destek kullanılmaması BT Destek Hizmeti kullanmayan bankalar; İMKB Takasbank, Diler Yatırım ve T. İhracat ve Kredi Bankası 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

16 BS Yönetiminde Düzenleyici Mevzuat İç Sistemler Yönetmeliği
İç kontrol, iç denetim ve risk yönetimi fonksiyonları İşlevsel görev ayrımı (Md 10) Bilgi sistemlerinin asgari tesis etmesi gereken noktalar (Md 11) Acil ve beklenmedik durum planları (Md 13) İletişim kanallarının ve bilgi sistemlerinin kontrolü (Md 16) Yasa ve bu yönetmeliğe dayanılarak BS ye özgü bir düzenleme yapma gereksiniminin bir tebliğ ile karşılanması suretiyle önemli bir adım atılmıştır. İşlevsel görev ayırımı MADDE 10- (1) Banka nezdinde, hata ve sahtekarlığın, menfaat çatışmalarının, bilgi manipülasyonunun ve kaynakların kötüye kullanımının önlenmesi amacıyla aynı konudaki faaliyetlere ilişkin görev ayrıştırması yapılarak, banka içindeki tüm birimlerin, personelin ve komitelerin yetki ve sorumlulukları açıkça ve yazılı olarak belirlenir. Menfaat çatışması doğabilecek faaliyetlerin tespit edilerek mümkün olduğunca en aza indirilmesi ve risk doğuran bir işlemin yapılmasına karar verilmesi, işlemin muhasebeleştirilmesi ve işlemden kaynaklanan riskin yönetilmesi işlevlerinin farklı personelin sorumluluğuna verilmesi sağlanır. Madda 11- (2) Bilgi sistemleri asgari olarak; a) Bankayla ilgili tüm bilgilerin elektronik ortamda güvenli bir şekilde saklanılmasına ve kullanılmasına, b) Risk ölçüm yöntem veya modelleri kullanılarak risklerin ölçülebilmesine ve zamanında ve etkin bir şekilde raporlanabilmesine, c) Sunulan ürünler, faaliyet türleri, coğrafya veya risk doğuran gruplar bazında veri toplulaştırması yapılabilmesine, ç) Yıllık bütçe ve hedeflerden sapmaların tespit edilebilmesine, d) Önceden belirlenen risk limitlerine yaklaşılması halinde uyarıcı bilgiler üretilebilmesine, e) Belirlenen azami risk düzeylerine ilişkin aşımların ve istisnaların zamanında raporlanabilmesine, f) Risk alma düzeyine göre sunulan hizmetlere ve faaliyetlere ilişkin sermaye yükümlülüğünün tahsisine, g) Stres testi ve senaryo analizi yapılabilmesine imkan verecek bir yapıda tesis edilir. Acil ve beklenmedik durum planı MADDE 13- (1) Bankaların, beklenmedik durumlar nedeniyle oluşabilecek riskleri ve sorunları yönetebilmek için yönetim kurullarınca onaylanmış acil ve beklenmedik bir durum planına sahip olmaları zorunludur. Bu plan, bir rehber kitapçık haline getirilerek bankanın gerekli tüm birimlerine dağıtılır ve personelin plan ve bu plan dahilinde üstlendiği sorumluluk hakkında bilgi sahibi olması sağlanır. Planda belirtilen hususların eşgüdümü için yetkili bir birim belirlenir. (2) Acil durum halinde müşterilerin ve personelin güvenliğine azami önem verilir, ortaya çıkan sorun ya da kriz ile başa çıkmak için acil durum merkezi tesis edilir. Plan, banka operasyonları üzerinde muhtemel bir acil ve beklenmedik durumun etki derecesi değerlendirilerek hazırlanır. (3) Acil ve beklenmedik durum planında, muhtemel acil ve beklenmedik durumlar karşısında, her banka operasyonu için bir öncelik sırası, yetki devri, durumun gerektirdiği personelin teminine ilişkin düzenlemeler, yönetim ile personelin temas düzeni, sırası ve yöntemi açık olarak belirlenir. Plan, ödeme sistemlerine ilişkin muhtemel acil ve beklenmedik bir duruma yönelik olarak, Türkiye Cumhuriyet Merkez Bankası yetkilileri, bankalararası ödeme ve takas sistemleri sorumluları ve Kurum ile muhtemel haberleşme düzenini; halkla ve müşterilerle ilişkileri sağlamak için kamuya açık bir haberleşme kanalı ya da ağı tesis edilmesini temin eder. (4) Acil ve beklenmedik durum planı, elektrik, yakıt, su ve gıda kaynakları gibi bankanın faaliyetlerini sürdürebilmek için ihtiyaç duyabileceği tüm kaynakları dikkate alır, varlıkların korunmasına yönelik tedbirleri ve hasar gören varlıkların değerlendirilmesine yönelik usulleri içerir. (5) Birinci fıkra uyarınca bankalar bir veri yedekleme merkezi kurmak veya diğer bankalarla ya da destek hizmeti kuruluşları ile veri yedekleme işlemlerinin gerçekleştirilmesi hususunda güvence sağlayan anlaşmalar yapmakla yükümlüdürler. Güvence altına alınan veri yedekleri bir merkezde saklanır. Genel müdürlük ve şubeler arasında, buna ilaveten bilgi işlem merkezi ile şubeler arasında özel hatlar kullanılarak çoklu haberleşme metotlarının kullanımı güvence altına alınır. (6) Uygun sürelerde acil ve beklenmedik durum planlarını gözden geçirecek bir sistem oluşturulur ve bu planla ilgili olarak otomasyon ve diğer sistemlerde olası aksaklık ya da çöküş dikkate alınarak genel müdürlük ve şubeler ile diğer birimlerinde düzenli olarak tatbikatlar yapılır. Tatbikat sonuçları uygun bir değerlendirmeyi müteakip üst düzey yönetime raporlanır ve planın yeniden gözden geçirilmesinde kullanılır. İletişim kanallarının ve bilgi sistemlerinin kontrolü MADDE 16- (1) Bankanın iletişim kanallarının ve bilgi sistemlerinin kontrolü ile, banka bünyesinde elde edilen bilginin güvenilir, tam, izlenebilir, tutarlı ve ihtiyacı karşılayacak uygun biçim ve nitelikte olması ve ilgili birim ve personel tarafından zamanında erişilebilmesi imkanının sağlanması amaçlanır. (2) İletişim kanallarına ilişkin kontroller; a) Banka içinde ya da konsolidasyona tabi ortaklıklarında üretilen ve Kanun ve ilgili diğer mevzuat ile banka yönetim kurulunca onaylanan politika ve stratejilere göre herhangi bir sınırlamaya tabi tutulması gereken bilgilerden ilgili birim ve personele erişim imkanı tanınanlar üzerinde sınırlamalar bulunup bulunmadığına, b) Banka, çalıştığı birim ve kendi performansı hakkında personele düzenli olarak bilgi verilip verilmediğine, c) Kanunda ve ilgili diğer mevzuatta yapılan değişiklikler ile yeni ürün veya faaliyetler hakkında personelin bilgilendirilip bilgilendirilmediğine, ç) Karşılaşılan problemler, mutat uygulamalara göre tereddüt edilen hususlar hakkında ilgili personel tarafından kendi birimlerindeki yönetim kademelerine ve iç kontrol birimine ne kadar sıklıkla raporlama yapıldığına, ilişkin kontrol faaliyetlerinden oluşur. (3) Bilgi sistemlerine ilişkin kontroller, genel bilgi sistemi kontrolleri ve uygulama kontrollerinden oluşur. Genel bilgi sistemi kontrolleri, bilgi sistemi ve yönetimine ilişkin faaliyet ve bu faaliyetlere ilişkin süreçlerin kontrollerini kapsar. Uygulama kontrolleri, bilgi sistemleri içerisinde yer alan ve bankacılık faaliyetlerini yürütmek veya desteklemek için kullanılan finansal verilerin tanımlanması, üretilmesi, kullanılması, bütünlük ve güvenilirliğinin sağlanması, verilere erişimin yetkilendirilmesi gibi tüm iş süreçlerinde kullanılması gereken iç kontrolleri kapsar. Uygulama kontrolleri kapsamında asgari olarak veri oluşturma/yetkilendirme kontrolleri, girdi kontrolleri, veri işleme kontrolleri, çıktı kontrolleri ve sınır kontrolleri gerçekleştirilir. Kurul, genel bilgi sistemi kontrolleri ile uygulama kontrolleri çerçevesinde icra edilecek asgari kontrollerin kapsamına ilişkin usul ve esasları belirlemeye yetkilidir. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

17 Bankacılıkta BS Yönetimi
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (+İnternet Bankacılığı) 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

18 BS Yönetimi/İlkeler Tebliği Hazırlıkları Diğer Ülke Yaklaşımları
Düzenleme (Regulation) Kılavuz (Guideline) Sertifikasyon (WebTrust, BBBOnline, TrustUK,…) Düzenleme hazırlıkları esnasında diğer ülkelerin bu konudaki tecrübeleri araştırıldığında -her ülkede bu yönde bir düzenleme bulunmadığı, -ülkelerin benimsedikleri uygulamaların kendi tecrübelerini yansıttığı, -konunun ele alınışının bazen bir kılavuz bazen bir yasal düzenleme veya bir sertifikasyon sahibi olma biçiminde olabildiği, -bütünü kapsayan ilkeler seviyesinde veya özel bir alana ilişkin düzenleme biçiminde içerik oluşturulduğu 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

19 BS Yönetimi/İlkeler Tebliği Hazırlıkları Diğer Ülke Yaklaşımları (II)
Kurulus Tanim Kategorisi ABD AICPA WebTrust / SysTrust Audit / Certification / Guideline FFIEC E-Banking Handbook OCC Internet Banking Audit Program Guideline ISACA IS Auditing Guidance Internet Banking Document G24 Authentication in an Internet Banking Environment Guidance Final Rule on Electronic Banking Regulation OCC, FRS, FDIC, OTS Guidelines Establishing Standards for Safeguarding Customer Information EU BIS Risk Mgmt Princ. For E-Banking Cross Border Electronic Activities ECBS Security Guidelines for E-Banking COMMISSION OF THE EUROPEAN COMMUNITIES transactions by electronic payment instruments and in particular the relationship between issuer and holder Regulation / Recommandation 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

20 BS Yönetimi/İlkeler Tebliği Hazırlıkları Diğer Ülke Yaklaşımları (III)
Kurulus Tanim Kategorisi İsveç UN/EDIFACT Finance Group SWG-F MESSAGE IMPLEMENTATION GUIDELINE OF THE UN/EDIFACT SECURE AUTHENTICATION & ACKNOWLEDGEMENT MESSAGE Guideline RECOMMENDED PRACTICE FOR MESSAGE FLOW AND SECURITY FOR EDIFACT PAYMENTS Romanya Ministery of Communication and IT MCTI 218/2004 Order(Kanun) Suudi Arabistan Saudi Arabian Monetary Agency Internet Banking Security Guidelines Gudeline Lubnan Banque du Liban Circular no to Banks, Financial Institutions and Institutions Dealing with Electronic Banking and Financial Transactions Circular Hindistan Reserve Bank of India Internet banking in India Singapur Monetary Authority of Singapore Internet Banking Technology Risk Management Guidelines TWO-FACTOR AUTHENTICATION FOR INTERNET BANKING HongKong HongKong Monetary Authority Management of Security Risks in Electronic Banking Services Guidance Çin ICBC- Industrial&Commercial Bank of China E-banking Regulation Regulation Bahama Adalari The Central Bank of The Bahamas GUIDELINES FOR ELECTRONIC BANKING 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

21 BDDK / Bilgi Yönetimi Daire Başkanlığı
BS Yönetimi/İlkeler Tebliği Hazırlıkları Temel Alınan Uluslararası Yaklaşımlar Risk Management Principles for Electronic Banking – Temmuz 2003 Bank For International Settlements (BIS) – Electronic Banking Group of Basel Committee on Banking Supervision Security Guidelines For E-Banking: Application of Basel Risk Management Principles – Ağustos 2004 European Committee For Banking Standards (ECBS) Biz de ülke örnekleri yanında, bankacıların yakından bileceği BIS ve AB nin (aynen) benimsediği e-banking özelinde ilkeler setinden de yararlandık. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

22 BDDK / Bilgi Yönetimi Daire Başkanlığı
BS Yönetimi/İlkeler Tebliği Hazırlıkları Elektronik Bankacılık İçin Risk Yönetim Prensipleri (I)* Yönetim gözetimi Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi Destek hizmeti alımı sürecinin yönetimi Kimlik doğrulama İnkâr edilemezlik ve sorumluluk atama Yetkilendirme * BIS’in Temmuz 2003 tarihli “Risk Management Principles for Electronic Banking” dokümanından 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

23 BDDK / Bilgi Yönetimi Daire Başkanlığı
BS Yönetimi/İlkeler Tebliği Hazırlıkları Elektronik Bankacılık İçin Risk Yönetim Prensipleri (II)* İşlemlerin, kayıtların ve verilerin bütünlüğü Denetim izlerinin oluşturulması Veri gizliliği Müşterilerin bilgilendirilmesi Müşteri bilgilerinin mahremiyeti Bilgi sistemlerine ilişkin iş sürekliliği ve kurtarma planı Acil ve beklenmedik durum planı * BIS’in Temmuz 2003 tarihli “Risk Management Principles for Electronic Banking” dokümanından 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

24 BDDK / Bilgi Yönetimi Daire Başkanlığı
BS Yönetimi/İlkeler Tebliği Hazırlıkları Önemli Konu Başlıkları ve Riskler Kimlik Doğrulama İnkar Edemezlik Güvenlik (Gizlilik) Mahremiyet Veri Bütünlüğü / Tutarlılığı 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

25 BS Yönetimi/İlkeler Tebliği Hazırlıkları Öne Çıkan Teknikler
Çok Faktörlü Kimlik Doğrulama Müşterinin Bildiği Bir Unsur Müşterinin Sahip Olduğu Bir Unsur Müşterinin Biyolojik Tekil Bir Özelliği E-İmza Şifreleme Bu slayttan sonra Tebliğin ana unsurlarına geçiliyor. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

26 BS Yönetimi/İlkeler Tebliği Ana Başlıklar (I)
Bilgi Sistemlerine İlişkin Risk Yönetimi Yönetim gözetimi Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi Destek hizmeti alımı sürecinin yönetimi Kimlik doğrulama İnkâr edilemezlik ve sorumluluk atama Görevler ayrılığı ilkesi Yetkilendirme Tebliğin Risk Yönetimine ilişkin ana başlıkları 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

27 BS Yönetimi/İlkeler Tebliği Ana Başlıklar (II)
Bilgi Sistemlerine İlişkin Risk Yönetimi - dvm İşlemlerin, kayıtların ve verilerin bütünlüğü Denetim izlerinin oluşturulması Veri gizliliği Müşterilerin bilgilendirilmesi Müşteri bilgilerinin mahremiyeti Bilgi sistemlerine ilişkin iş sürekliliği ve kurtarma planı Acil ve beklenmedik durum planı 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

28 BS Yönetimi/İlkeler Tebliği Ana Başlıklar (III)
Bilgi Sistemlerine İlişkin İç Kontrollerin Tesisi ve Takibi Uygulama Kontrolleri İş Bilgisi+Uyum+İş Akışları+Kontroller Genel Kontroller (CobiT®) IT+İş Hedefleri ile İlişkilendirme+Uyum+Ölçüm+Kontroller Kontrollerin Takibi Tebliğin Bilgi sistemlerindeki iç kontrol ortamına ilişkin unsurlar 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

29 BS Yönetimi/İlkeler Tebliği Ana Başlıklar (IV)
Özellik Arz Eden İşlemler İnternet Bankacılığına özel hükümler ATM Güvenliği Kablosuz Haberleşme Teknolojileri Uyum Süreci (yaklaşık 2,5 yıl) Türkiye’de gündem oluşturması nedeniyle ayrı başlıklar olarak ele alınmak durumunda kalınan 2 konu. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

30 BS Yönetimi/İlkeler Tebliğinde Karşılaşılan Zorluklar
E-İmzanın beklenen yaygınlık seviyesine ulaşmamış olması Teknolojinin gelişen ve değişen yapısı Halka açık ortam (İnternet) Müşteri bilincinin artırılması 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

31 BDDK / Bilgi Yönetimi Daire Başkanlığı
Ajanda Bankacılıkta Bilgi Sistemleri ve Denetim Gereksinimi Bankacılıkta BS Yönetimi Bankacılıkta BS Denetimi Benimsenen Denetim Çerçevesi : CobiT® 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

32 Bankacılıkta BS Denetimi Mevzuat Çerçevesi
5411 Bankacılık Kanunu Kamu Denetimi (BDDK) İç Denetimi (Banka) Bağımsız Denetim (Bağımsız Denetim Kuruluşları) İç Sistemler Yönetmeliği Bağımsız Denetimce Gerçekleştirilecek BS Denetimi Hk. Yönetmelik Rapor Formatına İlişkin Tebliğ Önemlilik İlkesi Rapor İçeriği Bulguların Sınıflaması Denetim Görüşleri Denetim Kapsamı Denetimin Türleri Denetçinin Yükümlülükleri Denetim Yetkilendirmesi Denetimde İş Birliği 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

33 Bankacılıkta BS Denetimi Temel Prensipler (I)
Üçlü saç ayağı İç denetim Bağımsız Denetim Kamu Denetimi Finansal ve bilgi sistemleri denetçileri arasında işbirliği Denetimde Bütünlük Denetim alanlarının bütünselliği (Finansal + BS Denetimi) Sorumlulukların Tespiti Risk odaklı denetim Üstlenilen Riskler Oluşturulan Süreçler ve Politikaların Yeterliliği Süreç denetimi yaklaşımı Bu prensipler ilgili yönetmeliğin şekillenmesinde yol gösterici olmuştur. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

34 Bankacılıkta BS Denetimi/Yönetmelik Ana Başlıklar (I)
Yetkilendirme ve Meslek Mensupları Tarafların Yükümlülükleri Bilgi Sistemleri Denetimi uygulama kontrollerinin denetimi, genel kontrol alanlarının denetimi, genel kontroller ile uygulama kontrollerinin birlikte gerçekleştirildiği geniş kapsamlı denetim konsolide bilgi sistemleri denetimi Benimsenen Denetim Çerçevesi: CobiT® 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

35 Bankacılıkta BS Denetimi/Yönetmelik Ana Başlıklar (II)
Olgunluk seviyesi tespiti Denetim Takvimi Uygulama Kontrolleri her yıl ve Genel Kontroller iki yılda bir yapılır. Kurul özelleştirilmiş denetim isteyebilir. Genel İlkeler ve Sorumluluklar Sözleşme, bilgilendirme ve belgelendirme 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

36 Bankacılıkta BS Denetimi/Yönetmelik Ana Başlıklar (III)
Bankaların Destek Hizmeti Alması ve Destek Firmalarının Denetimi BS Denetiminde İşbirliği BS Denetiminde Dış Hizmet Alımı Etik kurallar Ticari ilişkide bulunmama Denetçilerin bankalarda görev alamaması BS Denetimi Raporu ve Bildirimi 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

37 Bankacılıkta BS Denetimi Yapılan Faaliyetler
Sınırlı kapsamlı Uygulama Kontrolleri denetimi (2005, Yönetmelik öncesi faaliyet) Bağımsız denetim kuruluşlarının yetkilendirilmesi (6 yetki + 1 izin) Yönetmelik kapsamında 2006 yılı BS denetim faaliyetleri + bulgulara ilişkin takip işlemleri BDDK olay bazlı 7 adet kuruluş denetimi gerçekleştirdi 2006 yılı BS Denetimi Genel Değerlendirme Raporu 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

38 Bankacılıkta BS Denetimi İleriye Dönük Planlar
BDDK tarafından BS denetiminin yapılmaya başlanması Denetim yol haritasının oluşturulması Denetim rehberlerinin hazırlanması Denetçilerarası işbirliğinin sürdürülmesi 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

39 BDDK / Bilgi Yönetimi Daire Başkanlığı
Ajanda Bankacılıkta Bilgi Sistemleri ve Denetim Gereksinimi Bankacılıkta BS Yönetimi Bankacılıkta BS Denetimi Benimsenen Denetim Çerçevesi : CobiT® 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

40 BDDK / Bilgi Yönetimi Daire Başkanlığı
BS Denetimi & CobiT® FFIEC, CobiT®, BS7799, ITIL, COSO standartları ve yaklaşımları Diğer ülke uygulamaları 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

41 BS Denetimi & CobiT® Ülke Uygulamaları ve Benimsenen Esaslar
Ülkeler Benimsedikleri Yaklaşımlar Finlandiya “İç Kontrol ve Risk Yönetimi" İle İlgili Geliştirdikleri Kendi Standartları Norveç CobiT Baz Alınmıştır Macaristan CobiT Baz Alınmıştır  Çek Cumhuriyeti IT Yönetişimi ve Operasyonel Risk Kapsamında Sınırlı Düzenlemeler Makedonya ISO Baz Alınmıştır Slovakya Her Yıl Bilgi Sistemleri Güvenliğini Kapsayacak Bir Denetim Raporu Danimarka Finansal Denetimin Yanında Sistem, Operasyon, Veri ve İş Devamlılığı Denetimi Portekiz Üç Yılda Bir BS Denetimi Yapılmasını Zorunlu Kılan Kanun Tasarısı İsrail Hollanda Sınırlı Anlamda BS Denetimi‘ne de Referansta Bulunan Standardlar İtalya Sınırlı Anlamda Kontrolleri İçeren Düzenlemeler Slovenya Yunanistan BS Denetimi’ne de Değinen Bankacılık İle İlgili İki Kanun Almanya Almanya Denetim Kuruluşu (IDW) Tarafından Geliştirilen PS 330 Standardı BS denetiminde ülkelerin benimsedikleri yaklaşımlar tabloda yer alıyor. Dikkat edilirse COBIT ile ISO un en fazla kullanılan yöntem ve standartlar olduğu görülüyor. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

42 Benimsenen Denetim Çerçevesi CobiT®
Neden CobiT® ? Süreç denetimi odaklı Süreç tesisine yönelik ve bütüncül yaklaşım Dengeli ve hiyerarşik yapılandırılmış alanlar Ölçme ve Derecelendirme Mekanizması Etkili Kurumsal Yönetişim aracı (Yönetilebilirliğin sağlaması) Teknolojiden bağımsız ISO 17799, ITIL, SOX, COSO yaklaşımlarına uygun AB Mevzuatında uygunluğuna onay verilen BS yönetişim çerçevelerinden biri 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

43 CobiT® vs ISO 17799 (Kaynak : ISACA)
Kurumsal Yönetişim Bilgi Güvenliği İş Strateji ve Süreçlerinin Değerlendirilmesi Bilgi Güvenliği Standartı Güvenlik Kontrollerinin Değerlendirilmesi Ölçüm Yöntemi Not: ISACA CobiT’i, ISO 17799’a %100 uyumlu ve beraber kullanılabilir olarak tanımlıyor 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

44 Standartların Kapsam Karşılaştırması (Kaynak: ISACA)
Standartların kapsamlarına göre sınıflandırılması Diğer Standartlarda Kapsanan CobiT® Alanları (+): Değinilen Alanlar (O): Kısmen Değinilen Alanlar (-) : Nadir Değinilen veya Değinilmeyen alanlar Kaynak: COBIT Mapping Overview of International IT Guidance 2nd Edition, 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

45 BS Denetimini Şekillendiren Yerel Kriterler (I)
Finansal Denetim ile BS Denetiminin birlikte yapılması zorunluluğu (dışarıdan destek alabilme imkanı) Bağımsız Denetim Kuruluşlarının Yetkilendirilmesi Çıkabilir…. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

46 BS Denetimini Şekillendiren Yerel Kriterler (II)
Uygulama Kontrollerinin sektöre özel olarak uyarlanması Uygulama kontrolleri ile birlikte denetlenenin iç kontrol ve iç denetim yapısının da değerlendirilmesi Konsolide BS Denetimi Çıkabilir… 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

47 BDDK / Bilgi Yönetimi Daire Başkanlığı
Sağlanan Faydalar (I) Mevzuatın oluşması Meslek örgütü tanımının ve ihtiyacının gündeme gelmesi Finansal denetimin kalitesinin ve sağladığı güvencenin artması Çıkablir.. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

48 Sağlanan Faydalar (II)
Kamu denetim kurumlarının, denetim yaklaşımlarını tekrar gözden geçirmelerini tetiklemesi Kamuda bu alanda gerçekleştirilecek çalışmalar için kaynak teşkil etmesi E-devlet altyapısının etkin olarak tesis edilebilmesine sağlayacağı katkı Çıkabilir.. 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı

49 BDDK / Bilgi Yönetimi Daire Başkanlığı
ilginiz için teşekkürler.. Ahmet Türkay Varlı BDDK / Bilgi Yönetimi Daire Başkanı sorular? 7 Kasım 2007 BDDK / Bilgi Yönetimi Daire Başkanlığı