Bilgi Sistemleri Yönetimi

Mart 2018 Nezihe Boran

Giriş

6362 sayılı Sermaye Piyasası Kanunu’nun[1] (“Sermaye Piyasası Kanunu”), 128’inci maddesine göre Sermaye Piyasası Kurulu’nun (“SPK”) görevlerinden biri, sermaye piyasası kurumlarının, halka açık şirketlerin, borsaların ve öz düzenleyici kuruluşların bilgi sistemlerinin işletimine ve Sermaye Piyasası Kanunu çerçevesindeki denetimine ilişkin usul ve esasları belirlemektir. Bu kapsamda, Sermaye Piyasası Kanunu hükümlerine dayanılarak 5 Ocak 2018 tarih ve 30292 sayılı Resmi Gazete’de Bilgi Sistemleri Yönetimi Tebliği (VII - 128.9) (“Yönetim Tebliğ”) ve Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) (“Denetim Tebliğ”, Yönetim Tebliğ ve Denetim Tebliğ birlikte “Tebliğler” olarak anılacaktır) yayımlandı. Her iki Tebliğ de Resmi Gazete’de yayımlanmaları ile birlikte yürürlüğe girdi. Yönetim Tebliğ, kapsamına giren kuruluşların bilgi sistemlerinin yönetimine uygulanacak usul ve esasları belirlerken, bilgi sitemlerinin bağımsız denetimine ilişkin detaylar da Denetim Tebliğ’inde yer alır. Bu makalede; Yönetim Tebliğ’inin kapsamı, getirilen yenilikler, özellikle sistemlerin Türkiye Cumhuriyeti’nde tutulması ve yaptırımlar ele alınacaktır.

Yönetim Tebliğ’inin Kapsamı

Her iki Tebliğ’in kapsamı da Borsa İstanbul A.Ş., borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri, emeklilik yatırım fonları, İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., portföy saklayıcısı kuruluşlar, Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., sermaye piyasası kurumları, halka açık ortaklıklar, Türkiye Sermaye Piyasaları Birliği ve Türkiye Değerleme Uzmanları Birliği’ni kapsar. Söz konusu kurum, kuruluş ve ortaklıklardan, banka ve sigorta şirketleri ile finansal kiralama, faktöring ve finansman şirketlerinin bilgi sistemleri kendi özel mevzuatlarında belirlenen ilkelere uyumlu olmalıdır. Bu çerçevede yönetilmesi, Yönetim Tebliğ’inde öngörülen yükümlülüklerin yerine getirilmesi hükmünde sayılır.

Bilgi Sistemleri: Birincil ve İkincil Sistemler

Yönetim Tebliğ uyarınca birincil sistem “Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamı” olarak tanımlanır. Yönetim Tebliğ altında ikincil sistemler ise “birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna ilişkin alt düzenlemelerde Kurum, Kuruluş ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedekleri” olarak ifade edilir. Bu kapsamda kanun koyucu, bilgi sistemlerini Sermaye Piyasası Kanunu kapsamına giren veya SPK tarafından talep edilen faaliyetlerin yerine getirilmesi sırasında kullanılan bilgi sistemlerini de içerecek şekilde geniş bir tanım yapmıştır.

Yönetim Tebliğ’inin 26’ıncı maddesi (Bilgi Sistemleri Sürekliliği) uyarınca kurum, kuruluş ve ortaklıkların birincil ve ikincil sistemlerini Türkiye’de bulundurmaları zorunludur. Uygulamada birçok halka açık şirketin bilgi sistemleri yurtdışında bulunan bulut hizmeti sağlayıcıları tarafından yönetilir. Bu yeni düzenleme ile söz konusu şirketlerin sistemlerini Türkiye’ye taşımalarının gerekip gerekmeyeceğine dair tartışmalar doğdu. Ancak, SPK, 8 Mart 2018 tarihli ve 2018/10 sayılı SPK Bülteni’nde ilgili tartışmalara açıklık getirdiği ilke kararını duyurdu. Buna göre; bilgi sistemleri bağımsız denetim zorunluluğu bulunmayan halka açık ortaklıkların, bu aşamada birincil sistemlerini yurtiçinde bulundurma zorunlulukları bulunmaz. Ancak, bilgi sistemleri bağımsız denetim kapsamına girecek kurum, kuruluş ve ortaklıkların tedrici olarak genişletilmesi planlanmaktadır. Halka açık ortaklıklar, bilgi sistemleri bağımsız denetimine tabi olacakları dönem itibarıyla, birincil sistemlerini Türkiye’de tutmak zorunda olacaklardır.

Bilgi Sistemlerinin Yönetimi

Yönetim Tebliğ’inin yürürlüğe girmesinin sebebi bilgi sistemlerinin daha güvenilir, etkili, sürdürülebilir bir şekilde kurulmasını ve yönetimini sağlamak ve buna ilişkin uygulanacak usul ve esasları belirlemektir. Bu amaçla, Yönetim Tebliğ’ine göre bilgi sistemlerinin kuruluşuna ilişkin politikalar ile bunların yönetimi ve kullanımı ve bilginin gizliliği, bütünlüğü ve gerekirse bilgilere erişimin sağlanmasına yönelik bilgi güvenliği hakkındaki her türlü kural üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onayı müteakiben ilgili politikalar çalışanlara duyurulur.

Üst yönetim politikaların uygulanmasının gözetiminden sorumludur. Ancak ilgili kontrollerin bilgi sistemleri üzerinde etkin ve yeterli bir şekilde tesis edilmesinden yönetim kurulu sorumlu olur. Yönetim Tebliğ ayrıca üst yönetimin; belirlenen politikaları ve buna ilişkin sorumlulukları yıllık olarak gözden geçirmesi için bir takım mekanizmalar oluşturması, risklerin tespiti ve risk yönetiminin yapılabilmesi, bilgi güvenliğine aykırı olayların gözetilmesi ve bunların değerlendirilmesi, bilgi güvenliği farkındalığını arttırmak için çalışanlara eğitimler düzenlenmesi gibi farklı sorumluluklarını da düzenler.

Yönetim Tebliğ, kapsamına giren kurum, kuruluş ve ortaklıkların; bilgi sistemleri güvenliğine ilişkin süreç ve prosedürlerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliğiyle ilgili yeterli teknik bilgi ve tecrübeye sahip bir bilgi sistemleri güvenliği sorumlusu atamalarını gerekli kılar. Bilgi sistemleri güvenliği sorumlusu üst yönetime riskler ve bu risklerin yönetilmesi hususunda rapor vermekle yükümlüdür. Söz konusu Tebliğ uyarınca kurum, kuruluş ve ortaklıkların bilgi sistemleri; bilgi güvenliği gereklerinin yerine getirilmesi hususunda sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur.

Yönetim Tebliğ’inde belirtildiği üzere, kanun koyucu bilgi sistemleri kontrolleri kapsamında uyulması gereken asgari kıstasları belirler. Bunlar özetle (i) süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların tanımlanması, (ii) kontrol süreçlerinin periyodik biçimde tanımlanması ve (iii) her kontrol sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının ölçülebilir olmasıdır. Diğer konuların yanı sıra, ilgili Tebliğ altında ayrıca (bilgilerden oluşan) varlıkların yönetimini; sisteme, veri tabanına ve uygulamanın geliştirilmesine ilişkin görevlerin ayrılığını, güvenlik konularını, kimlik doğrulamayı, denetim izi kayıt mekanizmasını, müşterilerin bilgilendirilmesine ilişkin kuralları ve en nihayetinde de bazı kurum, kuruluş ve ortaklıklara bazı yükümlülüklerine ilişkin tanınan kısıtlı muafiyetleri düzenlenir.

Yaptırımlar

Yönetim Tebliğ’inde yer alan hükümlere aykırılık olması durumunda, Sermaye Piyasası Kanunu’nun 103’üncü maddesi (Genel Esaslar) uygulanır. Buna göre, 27.047 TL’den 338.088 TL’ye kadar idari para cezasına hükmedilebilir.

Sonuç

Bilgi sistemlerinin yönetimine uygulanacak usul ve esasları belirleyen Yönetim Tebliğ’inin yürürlüğe girmesi ile beraber, bilgi sistemlerinin daha güvenilir, etkili, sürdürülebilir bir şekilde kurulması ve yönetiminin sağlanması amaçlandı. Sermaye Piyasası Kanunu uyarınca kurulmuş veya söz konusu kanuna tabii olan tüm kuruluşlar Yönetim Tebliğ’inin kapsamına girer. Birincil ve ikincil sistemlerin Türkiye’de tutulması zorunluluğuna ilişkin getirilen düzenlemeyle ilgili tartışmalar, mevcut durumda SPK’nın yapmış olduğu açıklama ile giderilmeye çalışıldı. Ancak, konunun daha detaylı ve açık bir şekilde ele alınması gerekir. İlgili Tebliğ ile bilgi sistemlerinin kurulması, işletilmesi, yönetimi ve kullanılmasına ilişkin politikalar ve her türlü bilgi güvenliği politikaları, bunlardan sorumlu olan taraflar ve diğer detaylar düzenlenir.

[1] 6362 Sayılı Sermaye Piyasası Kanunu, RG, No. 28513, 30.12.2012.

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Hukuk Postası
Türk ve Alman Hukukunda Elektronik İmza
Ticaret Hukuku Aralık 2021
Hukuk Postası
Genel Kurul Çağrı Davaları
Ticaret Hukuku Ağustos 2021
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Taşıyanın Hapis Hakkı
Ticaret Hukuku Haziran 2021
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Anonim Şirketlerde Oy Hakkının Donması
Ticaret Hukuku Temmuz 2020
Hukuk Postası
Anonim Şirketlerde Veto Hakkı
Ticaret Hukuku Ağustos 2020
Hukuk Postası
Türk Hukukunda Gemi Rehni
Ticaret Hukuku Mayıs 2020
Hukuk Postası
Rehinli Anonim Şirket Payının Devri
Ticaret Hukuku Mart 2020
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hacizli Payların Devri
Ticaret Hukuku Temmuz 2019
Hukuk Postası
Yönetim Kurulunda Temsil Edilme İmtiyazı
Ticaret Hukuku Mayıs 2019
Hukuk Postası
Anonim Şirketlerde Organların Eksikliği
Ticaret Hukuku Nisan 2019
Hukuk Postası
Futbol Kulüplerinin Şirketleşmesi
Ticaret Hukuku Nisan 2019
Hukuk Postası
Hukuk Postası
2016 York Anvers Kuralları
Ticaret Hukuku Mart 2019
Hukuk Postası
Hukuk Postası
Teknik İflasta Yenilikler
Ticaret Hukuku Eylül 2018
Hukuk Postası
Hukuk Postası
Anonim Şirketlerde Primli Sermaye Artırımı
Ticaret Hukuku Ağustos 2018
Hukuk Postası
Taksitle Satış Sözleşmeleri
Ticaret Hukuku Temmuz 2018
Hukuk Postası
Hukuk Postası
Limited Şirketlerde Pay Rehni
Ticaret Hukuku Haziran 2018
Hukuk Postası
Türk Hukukunda Gemilerin İhtiyati Haczi
Ticaret Hukuku Mayıs 2018
Hukuk Postası
Anonim Şirketlerde Pay Rehni
Ticaret Hukuku Mayıs 2018
Hukuk Postası
Hukuk Postası
Güncellenmiş FIDIC Sözleşmeleri
Ticaret Hukuku Nisan 2018
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Türkiye’deki Hisse Opsiyon Planları
Ticaret Hukuku Haziran 2017
Hukuk Postası
Türk Hukukunda Oy Sözleşmeleri
Ticaret Hukuku Mayıs 2017
Hukuk Postası
Anonim Şirketlerde Rüçhan Hakkı
Ticaret Hukuku Nisan 2017
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Anonim Şirketlerde Sermayenin Kaybı
Ticaret Hukuku Eylül 2015
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Anonim Şirketlerde Kefil Olma Ehliyeti
Ticaret Hukuku Şubat 2015
Hukuk Postası
Acentenin Rekabet Etmeme Yükümlülüğü
Ticaret Hukuku Aralık 2014
Hukuk Postası
Özel Denetim İsteme Hakkı
Ticaret Hukuku Ekim 2014
Hukuk Postası
Pay Devri mi, Malvarlığı Devri mi?
Ticaret Hukuku Ekim 2014
Hukuk Postası
İmtiyazlı Pay Sahipleri Özel Kurulu
Ticaret Hukuku Ekim 2014
Hukuk Postası
Limited Şirketlerde Haklı Sebeple Fesih
Ticaret Hukuku Eylül 2014
Hukuk Postası
Sermaye Taahhüdü Yoluyla Sermaye Artırımı
Ticaret Hukuku Ağustos 2014
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Şarta Bağlı Sermaye Artırımı
Ticaret Hukuku Mart 2014
Hukuk Postası
Anonim Şirketin Haklı Sebeple Feshi
Ticaret Hukuku Şubat 2014
Hukuk Postası
Hâkimiyet Sözleşmeleri
Ticaret Hukuku Ocak 2014
Hukuk Postası
Anonim Şirketlerde Temsil Yetkisi
Ticaret Hukuku Aralık 2013
Hukuk Postası
Hukuk Postası
Paysahipleri Sözleşmeleri
Ticaret Hukuku Kasım 2013
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Şubeler Ve İrtibat Büroları
Ticaret Hukuku Ağustos 2013
Hukuk Postası
TTK Hükümleri Uyarınca Ön Şirket
Ticaret Hukuku Temmuz 2013
Hukuk Postası
Hukuk Postası
Limited Şirkette Çıkma Ve Çıkarılma
Ticaret Hukuku Temmuz 2013
Hukuk Postası
Hukuk Postası
Hukuk Postası
Ticari İşletmenin Tür Değiştirmesi
Ticaret Hukuku Nisan 2013
Hukuk Postası
Hukuk Postası
Hukuk Postası
Ticaret Sicili Yönetmeliği
Ticaret Hukuku Ocak 2013
Hukuk Postası
Hukuk Postası
Finansal Kiralama Sözleşmesi
Ticaret Hukuku Aralık 2012
Hukuk Postası
Hukuk Postası
Hukuk Postası
Kar Payı Avansı
Ticaret Hukuku Eylül 2012
Hukuk Postası
Ticaret Şirketlerinin Bakanlıkça Denetimi
Ticaret Hukuku Ağustos 2012
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Anonim Şirketlerde Sona Erme Ve Tasfiye
Ticaret Hukuku Haziran 2012
Hukuk Postası
Yeni TTK’da Finansal Yardım Yasağı
Ticaret Hukuku Nisan 2012
Hukuk Postası
Hukuk Postası
Kurumsal Yönetim İlkeleri
Ticaret Hukuku Mart 2012
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Hukuk Postası
Anonim Şirketlerin Kuruluşunda Yenilikler
Ticaret Hukuku Şubat 2011
Hukuk Postası
Hukuk Postası
Anonim Şirketlerde Temsil ve İlzam
Ticaret Hukuku Ocak 2011
Hukuk Postası
Hukuk Postası
Hukuk Postası
Ticari İşletme Rehninde Güncel Sorunlar
Ticaret Hukuku Kasım 2010
Hukuk Postası
Hukuk Postası
Faturaya Konan Vade Farkı Kaydı
Ticaret Hukuku Haziran 2010
Hukuk Postası
Hukuk Postası
Anonim Şirketlere Kayyum Atanması
Ticaret Hukuku Şubat 2010
Hukuk Postası
Hukuk Postası
Çeklerde Sil Baştan
Ticaret Hukuku Aralık 2009
Hukuk Postası
Anonim Şirketlerde İmtiyazlı Paylar
Ticaret Hukuku Haziran 2009
Hukuk Postası
Türk Hukuku ve FIDIC Kapsamında Ek Ücret
Ticaret Hukuku Mayıs 2009
Hukuk Postası
Türk Hukuku ve FIDIC Kapsamında Ek Süre
Ticaret Hukuku Nisan 2009
Hukuk Postası
Çek Hukukunda İki Yenilik
Ticaret Hukuku Şubat 2009
Hukuk Postası
Anonim Şirketlerin Denetiminde Yeni Düzen
Ticaret Hukuku Şubat 2009

Yaratıcı hukuk çözümleri için iletişime geçin.