Bankalar, 'acil durum planı' oluşturacak
Yönetmelikteki ilgili madde, 'İş sürekliliği yönetimi ve planı' başlığıyla yeniden düzenlendi
ANKARA - Bankacılık faaliyetlerinde kullanılan tüm bilgilerin elektronik ortamda saklanması ve yedeklenmesi zorunlu hale getirildi.
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), Bankaların İç Sistemleri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmeliği Resmi Gazetenin bugünkü sayısında yayımlandı.
Buna göre, yönetmeliğin üçüncü maddesindeki tanımlar bölümüne, faaliyetlerde ani ve planlanmamış bir kesintiye, iş kaybına veya krize neden olması muhtemel bir durumda risklerin ve sorunların yönetilebilmesi amacıyla alınacak tedbirlerin ve gerçekleştirilecek öncelikli eylemlerin belirlendiği, iş sürekliliği planının bir parçası olan "Acil ve beklenmedik durum planı" tanımı eklendi.
Bankalar, yönetmeliğin üçüncü maddesine eklenen "Bilgi sistemleri süreklilik planı" çerçevesinde, bankacılık faaliyetlerinin sürdürülmesini sağlayan bilgi sistemleri servislerinin, bir kesinti durumunda sürekliliğinin sağlanmasına yönelik plan hazırlayacak.
Bankacılık faaliyetlerinin yürütülmesini ve kanunda, Kanuna ilişkin alt düzenlemelerde ve ilgili diğer mevzuatta bankalar için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan tüm bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını oluşturan birincil sistemler oluşturacak.
Birincil sistemle ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini sağlayan birincil sistem yedeklerini oluşturmak için ikincil sistemler hazır hale getirilecek.
Yönetmeliğin üçüncü maddesine ayrıca, iş süreçlerinin ve faaliyet kesintisinin iş süreçleri üzerinde yaratabileceği etkilerin analiz sürecini tanımlayan "İş etki analizi" ile iş sürekliliği yönetiminin bir parçası olan ve bir kesinti durumunda bankanın öncelikleriyle uyumlu olarak faaliyetlerin sürdürülmesine ve mevzuata uyum sağlamasına yönelik politika, standart ve prosedürlerden oluşan yazılı plan veya planlar bütünü olarak tanımlanan "İş süreklilik planı" eklendi.
İş sürekliliği planı
Yönetmeliğin iç kontrol sistemini düzenleyen dokuzuncu maddesi, "iş sürekliliği planı ve ilgili diğer planların hazırlanması" şeklinde yeniden düzenlenirken, bilgi sistemlerinin tesisini oluşturan on birinci maddesi, "bankacılık faaliyetlerinin yürütülmesi ve kanunda, kanuna ilişkin alt düzenlemelerde ve ilgili diğer mevzuatta bankalar için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime olanak sağlayacak şekilde kaydedilmesine ve kullanılmasına" şeklinde değiştirildi.
Yönetmeliğin on birinci maddesi ile bankalara, birincil ve ikincil sistemlerini yurt içinde bulundurmaları, birincil ve ikincil sistemler kapsamında destek hizmeti alınıp alınmadığına bakılmaksızın, bu sistemler için iş sürekliliğini sağlamaya yetecek nitelik ve sayıda yurt içinde personel istihdam edilmesi zorunluluğu getirildi.
Yönetmelikteki "Acil durum planı" başlıklı on üçüncü madde, "İş sürekliliği yönetimi ve planı" başlığıyla yeniden düzenlendi.
Buna göre, bankalara, bir kesinti anında faaliyetlerinin sürdürülmesi veya zamanında kurtarılmasını sağlamak üzere operasyonel, finansal, yasal ve itibari olumsuz etkileri en aza indirmeyi amaçlayan yönetim kurulu tarafından onaylanmış bir iş sürekliliği yönetim yapısı oluşturmaları zorunluluğu getirildi.
İş sürekliliği yönetimi kapsamında, iş sürekliliğinin gereklerini yerine getirmek üzere gerekli süreçler tesis edilecek, gereken tedbirler alınacak, iş sürekliliği planlamasına yönelik olarak iş etki analizi çalışmaları yapılacak, kurtarma stratejileri belirlenecek, bu çalışmalar ışığında bir iş sürekliliği planı oluşturulacak ve bu plan yönetim kurulu tarafından onaylanacak.
Farklı senaryolara yönelik riskler değerlendirilecek
İş etki analizi kapsamında, ilgili çalışanların katılımıyla, iç ve dış bağımlılıklar belirlenirken, meydana gelebilecek bir kesinti durumunda gereken faaliyet düzeyini ortaya koymak üzere operasyonlar önem düzeyleri açısından sınıflandırılacak, farklı kesinti senaryolarının faaliyetler üzerinde yaratabileceği muhtemel riskler ve bunların potansiyel etkileri değerlendirilecek.
İş etki analizini temel alan, kurtarma öncelikleri ve hedeflerini ortaya koyan bir kurtarma stratejisi geliştirilecek, kurtarma stratejisinin uygulanması ile ilgili detaylara iş sürekliliği planında yer verilecek.
Bankanın hedefleri ve öncelikleriyle uyumlu, güncel ve yeterli olmasının esas olduğu belirtilen, risklerin açık ve net olarak tanımlandığı iş sürekliliği planında, faaliyet kesintilerinin yönetilmesi için görev ve sorumlulukların belirlenmesi, plan dahilinde önemli göreve sahip personele ulaşılamaması durumunda yetki ve karar verme yapısının sürdürülebilmesi ile planın hangi koşullarda uygulamaya alınacağı hususlarına yer verilecek.
Yönetmelikte, iş sürekliliği planı geliştirilirken, varsa destek hizmeti alınan kuruluşların da dikkate alınacağı, personelin, iş sürekliliği planı ile ilgileri çerçevesinde bilgilendirileceği, görev ve sorumlulukları konusunda eğitileceği belirtiliyor.
Yönetmeliğe göre, herhangi bir acil veya beklenmedik durumda öncelikli gerçekleştirilecek eylemleri ve alınacak tedbirleri belirlemek üzere iş sürekliliği planının bir parçası olarak acil ve beklenmedik durum planı oluşturulacak, karşılaşılan durum bu plan kapsamında çözülemediği takdirde iş sürekliliği planının diğer kısımları devreye alınacak.
Acil ve beklenmedik durum planı kapsamında, ortaya çıkabilecek sorun ya da kriz ile başa çıkmak amacıyla gerekli önlemler alınacak, gerektiğinde kullanılmak üzere ana hizmetlerin verildiği ortam ile aynı risklere maruz olmayan bir yönetim ve çalışma ortamı tesis edilecek.
Planda, muhtemel acil ve beklenmedik durumlar karşısında, her banka operasyonu için bir öncelik sırası, yetki devri, durumun gerektirdiği personelin teminine ilişkin düzenlemeler, yönetim ile personelin temas düzeni, sırası ve yöntemi açık olarak belirlenecek.
Ödeme ve mutabakat sistemlerine ilişkin muhtemel acil ve beklenmedik bir duruma yönelik olarak, Türkiye Cumhuriyet Merkez Bankası yetkilileri, bankalararası ödeme, mutabakat ve takas sistemleri sorumluları ve Kurum ile muhtemel haberleşme düzeni, halkla ve müşterilerle ilişkilere yönelik kamuya açık bir haberleşme kanalı ya da ağı tesis edilmesi sağlanacak.
Haberleşme stratejileri de belirlenecek
Müşteriler ve yayın organlarının zamanında ve doğru haber almasının teminine yönelik kullanılacak iletişim yöntemlerinin belirtildiği bir haberleşme stratejisi belirlenecek.
Genel müdürlük ve şubeler arasında, buna ilaveten bilgi işlem merkezi ile şubeler arasında özel hatlar kullanılarak çoklu haberleşme metotlarının kullanımı güvence altına alınacak.
Bankanın faaliyetlerini sürdürebilmek için ihtiyaç duyabileceği tüm kaynaklar dikkate alınacak, varlıkların korunmasına yönelik tedbirler ve hasar gören varlıkların değerlendirilmesine yönelik usuller belirlenecek.
Yönetmeliğin on birinci maddesi kapsamında, sistemlerini yurt içine taşıması gereken bankaların, sistemlerini 1 Mayıs 2012 tarihine kadar bu Yönetmeliğe uygun hale getirmesi, yapacakları çalışmaları Kurumca belirlenecek usul ve esaslara uygun olarak kuruma bildirmesi zorunlu hale getirildi.
Yönetmeliğin üçüncü maddesi, 1 Mayıs 2012 tarihinden itibaren yürürlüğe girecek. Diğer maddeler ise bugünden itibaren yürürlüğe girdi.