01 Ağustos 2009 Tarihli Resmi Gazete
Sayı: 27306
Bankacılık Düzenleme ve Denetleme Kurumu’ndan:
MADDE 1 – 10/3/2007 tarihli ve 26458 sayılı Resmî Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin 14 üncü maddesinin üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir.
“(3) Kart kuruluşları ile bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının iç kontrol, risk yönetimi ve iç denetim sistemlerinin işlerliğinin, uygunluğunun ve yeterliliğinin sağlanması, finansal raporlama sistemlerinin güvence altına alınması, söz konusu kuruluşlar içindeki yetki ve sorumlulukların belirlenmesi yönetim kurulunun sorumluluğundadır.”
MADDE 2 – Aynı Yönetmeliğin 15 inci maddesinin üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir.
“(3) Bilgi alışverişi ile takas ve mahsuplaşma kuruluşlarının genel müdürlerinin, hukuk, iktisat, maliye, bankacılık, işletme, kamu yönetimi veya bilişim teknolojileri ve dengi alanlarda lisans düzeyinde, diğer alanlarda lisans düzeyinde öğrenim görmüş olanların ise belirtilen alanlarda lisansüstü öğrenim görmüş olmaları ve en az on yıllık mesleki deneyime sahip olmaları şarttır. Genel müdür yardımcılarının ise, asgari üçte ikisinin bu alanlarda en az lisans veya lisansüstü eğitim görmüş olmaları ve en az yedi yıllık mesleki deneyime sahip olmaları şarttır.”
MADDE 3 – Aynı Yönetmeliğin 26 ncı maddesinden sonra gelmek üzere aşağıdaki maddeler eklenmiştir.
“Bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının iç kontrol sistemleri
MADDE 26/A – (1) Bilgi alışverişi, takas ve mahsuplaşma kuruluşları, faaliyetlerinin etkin ve verimli bir şekilde Kanuna ve ilgili diğer mevzuata, kuruluş içi politika ve kurallara ve teamüllere uygun olarak yürütülmesini ve bilgilerin zamanında elde edilebilirliğini sağlamak amacıyla yeterli ve etkin bir iç kontrol sistemi oluşturmak zorundadırlar.
(2) İç kontrol sisteminden beklenen amacın sağlanabilmesi için;
- a) Kuruluş bünyesinde işlevsel görev ayrımının tesis edilmesi ve sorumlulukların paylaştırılması,
- b) İç kontrol faaliyetlerinin oluşturulması,
- c) Kuruluşun iş süreçleri üzerinde kontrollerin ve iş adımlarının gösterildiği iş akım şemalarının oluşturulması,
ç) Bilgi sistemlerinin faaliyetlerin yapısına ve karmaşıklık düzeyine uygun olarak tesis edilmesi,
zorunludur.
(3) İç kontrol sistemi ile iç kontrol faaliyetleri ve bunların nasıl icra edileceği tüm faaliyetlerin nitelikleri dikkate alınarak tasarlanır. İç kontrol faaliyetlerinin tasarımında;
- a) Kuruluş bünyesinde üretilen bilginin güvenilir, tam, izlenebilir, tutarlı ve ihtiyacı karşılayacak uygun biçim, nitelik ve yapıda olmasının,
- b) Gerçekleştirilen veya gerçekleştirilmesi planlanan tüm faaliyet, işlem ve ürünlerin Kanuna ve ilgili diğer mevzuata, kuruluş içi politika ve kurallar ile teamüllere uyumunun
sağlanması amaç olarak alınır.
(4) Kuruluş nezdinde, hata ve sahtekârlığın, menfaat çatışmalarının, bilgi manipülasyonunun ve kaynakların kötüye kullanımının önlenmesi amacıyla aynı konudaki faaliyetlere ilişkin görev ayrıştırması yapılarak, kuruluş içindeki tüm birimlerin, personelin ve komitelerin yetki ve sorumlulukları açıkça ve yazılı olarak belirlenir.
Bilgi sistemlerinin tesisi
MADDE 26/B – (1) Kuruluş içinde tesis edilecek bilgi sistemleri, kuruluşun ölçeği, faaliyetlerinin ve sunulan ürünlerin niteliği ve karmaşıklığı ile uyumlu olarak yapılandırılır.
(2) Bilgi sistemleri kuruluşla ilgili tüm bilgilerin elektronik ortamda güvenli bir şekilde saklanılmasına ve kullanılmasına imkan verecek yapıda tesis edilir. Bilgi sistemlerinin güvenilirliğinin sağlanması ve düzenli olarak güncellenerek gerekli değişikliklerin yapılması zorunludur.
(3) Kuruluşlar, bilgi sistemlerinde kesilmeler yaşandığı durumlarda dahi faaliyetlerinin kesintisiz devam etmesinin sağlanmasına yönelik olarak, bilgi sistemlerinin bir tehlikeye maruz kalmadan kurtarılması ve benzeri konularda destek hizmeti alınması imkanlarını da dikkate almak suretiyle, faaliyetleri yeniden başlatma ve devamlılık sağlama planları oluşturmak ve bunları dönemsel olarak test etmek zorundadırlar.
(4) Kuruluşların bilgi sistemlerinin unsurları ile kontrolüne ilişkin asgari usul ve esasları belirlemeye Kurul yetkilidir.
(5) Beklenmedik durumlar nedeniyle mevcut verilerin kaybının önlenmesi amacıyla bir veri yedekleme merkezi oluşturulur. Bilgi alışverişi, takas ve mahsuplaşma kuruluşları veri yedekleme merkezinin yerini, yurt içinde olmak kaydıyla veriye yetkisiz erişim risklerini de dikkate alarak acil ve beklenmedik durumların etki alanı dışında kalacak şekilde belirlerler.
Bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının risk yönetimi sistemleri
MADDE 26/C – (1) Kuruluşlar, faaliyetlerinden kaynaklanan, hizmet verdikleri kuruluşların risk değerlendirme sürecine zarar verebilecek riskler ile kart kullanımdan doğan borç ve alacakların takas ve mahsup işlemlerine ilişkin faaliyetlerinden kaynaklanan risklerin yönetilmesi için yazılı politika ve uygulama usullerini belirlerler.
(2) Risk yönetimi politika ve uygulama usullerinin değişen koşullara uyum sağlaması zorunludur. Yönetim kurulu bunların yeterliliğini düzenli olarak değerlendirir ve gerekli değişiklikleri yapar.
Bilgi alışverişi, takas ve mahsuplaşma kuruluşlarında iç denetim sistemi
MADDE 26/Ç – (1) Bilgi alışverişi, takas ve mahsuplaşma kuruluşları, kuruluşun Kanun ve ilgili diğer mevzuat ile kuruluş içi strateji, politika, ilke ve hedefler doğrultusunda yürütüldüğüne ve iç kontrol ve risk yönetimi sistemlerinin etkinliğine ve yeterliliğine ilişkin olarak yönetim kurulu, genel müdür ve genel müdür yardımcılarına güvence sağlayacak bir iç denetim sistemi tesis ederler.
(2) İç denetim sisteminden beklenen faydanın sağlanabilmesi için, iç denetim faaliyetleriyle; kuruluş içi herhangi bir kısıtlama olmaksızın tüm faaliyetler dönemsel olarak incelenir ve denetlenir, eksiklik, hata ve suiistimaller ortaya çıkarılır, bunların yeniden ortaya çıkmasının önlenmesine ve kaynakların etkin ve verimli olarak kullanılmasına yönelik görüş ve önerilerde bulunulur.
(3) Denetimlerde, iç kontrol ve risk yönetimi sistemlerinin yeterliği ve etkinliği ile bilgi sistemlerinin yeterliliği, etkinliği ve güvenilirliği değerlendirilir.
(4) Bilgi alışverişi, takas ve mahsuplaşma kuruluşları, kuruluşlarının büyüklüğüne, faaliyetlerinin karmaşıklığına, yoğunluğuna, kapsamına ve risklilik düzeyine bağlı olarak, Kanun ve ilgili mevzuat ile kuruluş içi düzenlemelerde öngörülen denetim hizmetlerinin aksatılmadan ve bu hizmetlerin gerektirdiği seviyede yerine getirilmesi amacıyla yeterli sayıda iç denetim elemanı çalıştırır. Kuruluşlar, iç denetim elemanı çalıştırmaksızın iç denetim hizmetlerini bu konuda destek hizmeti veren kuruluşlardan temin edebilirler. Ancak, 5411 sayılı Bankacılık Kanununun 73 üncü maddesi kapsamında yer alan banka veya banka müşterilerinin sırlarına vakıf olunması sonucunu doğuracak iç denetim hizmetinin bulunması halinde, bu hizmetlerin iç denetim elemanı çalıştırmak suretiyle yerine getirilmesi zorunludur.
(5) Bilgi alışverişi, takas ve mahsuplaşma kuruluşları, iç denetim elemanlarının görev ve sorumluluklarını tarafsız ve bağımsız olarak icra etmesini sağlar. Bağımsızlık, iç denetim elemanlarının denetim görev ve sorumlulukları kapsamına giren birimlerin yöneticilerine karşı herhangi bir suretle hesap verme sorumluluğunun bulunmaması; tarafsızlık ise iç denetim elemanlarının görevlerinin icrasında kişisel veya akrabalık ilişkileri ya da kuruluş içi konumu gibi hususlardan kaynaklı menfaat çatışmalarından uzak olması suretiyle sağlanır.
(6) İç denetimi icra edecek kişilerde aranacak öğrenim durumu, deneyim bilgi becerisi ve diğer nitelikler yönetim kurulu tarafından belirlenir. Bu niteliklerin belirlenmesinde iç denetim faaliyetlerinin gerektirdiği bilgi, beceri ve yetenekler göz önünde bulundurulmak zorundadır. Kuruluşun bilgi teknolojilerinin denetimini icra edeceklerin bilgi teknolojileri ile bilgi teknolojilerine dayalı denetim teknikleri konularında öğrenim alanları itibariyle veya aldıkları eğitim sertifikalarıyla kanıtlanabilir asgari bilgi ve beceriye sahip olmaları zorunludur.”
MADDE 4 – Bu Yönetmeliğin 1 inci ve 2 nci maddeleri yayımı tarihinde, 3 üncü maddesi Yönetmeliğin yayımı tarihinden itibaren bir yıl sonra yürürlüğe girer.
MADDE 5 – Bu Yönetmelik hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
Yönetmeliğin Yayımlandığı Resmî Gazete’nin | |
Tarihi | Sayısı |
10/3/2007 | 26458 |
Yönetmelikte Değişiklik Yapan Yönetmeliğin Yayımlandığı Resmî Gazete’nin | |
Tarihi | Sayısı |
21/12/2008 | 27087 |