Ercüment Erdem Av. Nezihe Boran Demir

Bilgi Sistemleri Yönetimi

Mart 2018

Giriş

6362 sayılı Sermaye Piyasası Kanunu’nun[1] (“Sermaye Piyasası Kanunu”), 128’inci maddesine göre Sermaye Piyasası Kurulu’nun (“SPK”) görevlerinden biri, sermaye piyasası kurumlarının, halka açık şirketlerin, borsaların ve öz düzenleyici kuruluşların bilgi sistemlerinin işletimine ve Sermaye Piyasası Kanunu çerçevesindeki denetimine ilişkin usul ve esasları belirlemektir. Bu kapsamda, Sermaye Piyasası Kanunu hükümlerine dayanılarak 5 Ocak 2018 tarih ve 30292 sayılı Resmi Gazete’de Bilgi Sistemleri Yönetimi Tebliği (VII - 128.9) (“Yönetim Tebliğ”) ve Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) (“Denetim Tebliğ”, Yönetim Tebliğ ve Denetim Tebliğ birlikte “Tebliğler” olarak anılacaktır) yayımlandı. Her iki Tebliğ de Resmi Gazete’de yayımlanmaları ile birlikte yürürlüğe girdi. Yönetim Tebliğ, kapsamına giren kuruluşların bilgi sistemlerinin yönetimine uygulanacak usul ve esasları belirlerken, bilgi sitemlerinin bağımsız denetimine ilişkin detaylar da Denetim Tebliğ’inde yer alır. Bu makalede; Yönetim Tebliğ’inin kapsamı, getirilen yenilikler, özellikle sistemlerin Türkiye Cumhuriyeti’nde tutulması ve yaptırımlar ele alınacaktır.

Yönetim Tebliğ’inin Kapsamı

Her iki Tebliğ’in kapsamı da Borsa İstanbul A.Ş., borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri, emeklilik yatırım fonları, İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., portföy saklayıcısı kuruluşlar, Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., sermaye piyasası kurumları, halka açık ortaklıklar, Türkiye Sermaye Piyasaları Birliği ve Türkiye Değerleme Uzmanları Birliği’ni kapsar. Söz konusu kurum, kuruluş ve ortaklıklardan, banka ve sigorta şirketleri ile finansal kiralama, faktöring ve finansman şirketlerinin bilgi sistemleri kendi özel mevzuatlarında belirlenen ilkelere uyumlu olmalıdır. Bu çerçevede yönetilmesi, Yönetim Tebliğ’inde öngörülen yükümlülüklerin yerine getirilmesi hükmünde sayılır.

Bilgi Sistemleri: Birincil ve İkincil Sistemler

Yönetim Tebliğ uyarınca birincil sistem “Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamı” olarak tanımlanır. Yönetim Tebliğ altında ikincil sistemler ise “birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna ilişkin alt düzenlemelerde Kurum, Kuruluş ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedekleri” olarak ifade edilir. Bu kapsamda kanun koyucu, bilgi sistemlerini Sermaye Piyasası Kanunu kapsamına giren veya SPK tarafından talep edilen faaliyetlerin yerine getirilmesi sırasında kullanılan bilgi sistemlerini de içerecek şekilde geniş bir tanım yapmıştır.

Yönetim Tebliğ’inin 26’ıncı maddesi (Bilgi Sistemleri Sürekliliği) uyarınca kurum, kuruluş ve ortaklıkların birincil ve ikincil sistemlerini Türkiye’de bulundurmaları zorunludur. Uygulamada birçok halka açık şirketin bilgi sistemleri yurtdışında bulunan bulut hizmeti sağlayıcıları tarafından yönetilir. Bu yeni düzenleme ile söz konusu şirketlerin sistemlerini Türkiye’ye taşımalarının gerekip gerekmeyeceğine dair tartışmalar doğdu. Ancak, SPK, 8 Mart 2018 tarihli ve 2018/10 sayılı SPK Bülteni’nde ilgili tartışmalara açıklık getirdiği ilke kararını duyurdu. Buna göre; bilgi sistemleri bağımsız denetim zorunluluğu bulunmayan halka açık ortaklıkların, bu aşamada birincil sistemlerini yurtiçinde bulundurma zorunlulukları bulunmaz. Ancak, bilgi sistemleri bağımsız denetim kapsamına girecek kurum, kuruluş ve ortaklıkların tedrici olarak genişletilmesi planlanmaktadır. Halka açık ortaklıklar, bilgi sistemleri bağımsız denetimine tabi olacakları dönem itibarıyla, birincil sistemlerini Türkiye’de tutmak zorunda olacaklardır.

Bilgi Sistemlerinin Yönetimi

Yönetim Tebliğ’inin yürürlüğe girmesinin sebebi bilgi sistemlerinin daha güvenilir, etkili, sürdürülebilir bir şekilde kurulmasını ve yönetimini sağlamak ve buna ilişkin uygulanacak usul ve esasları belirlemektir. Bu amaçla, Yönetim Tebliğ’ine göre bilgi sistemlerinin kuruluşuna ilişkin politikalar ile bunların yönetimi ve kullanımı ve bilginin gizliliği, bütünlüğü ve gerekirse bilgilere erişimin sağlanmasına yönelik bilgi güvenliği hakkındaki her türlü kural üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onayı müteakiben ilgili politikalar çalışanlara duyurulur.

Üst yönetim politikaların uygulanmasının gözetiminden sorumludur. Ancak ilgili kontrollerin bilgi sistemleri üzerinde etkin ve yeterli bir şekilde tesis edilmesinden yönetim kurulu sorumlu olur. Yönetim Tebliğ ayrıca üst yönetimin; belirlenen politikaları ve buna ilişkin sorumlulukları yıllık olarak gözden geçirmesi için bir takım mekanizmalar oluşturması, risklerin tespiti ve risk yönetiminin yapılabilmesi, bilgi güvenliğine aykırı olayların gözetilmesi ve bunların değerlendirilmesi, bilgi güvenliği farkındalığını arttırmak için çalışanlara eğitimler düzenlenmesi gibi farklı sorumluluklarını da düzenler.

Yönetim Tebliğ, kapsamına giren kurum, kuruluş ve ortaklıkların; bilgi sistemleri güvenliğine ilişkin süreç ve prosedürlerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliğiyle ilgili yeterli teknik bilgi ve tecrübeye sahip bir bilgi sistemleri güvenliği sorumlusu atamalarını gerekli kılar. Bilgi sistemleri güvenliği sorumlusu üst yönetime riskler ve bu risklerin yönetilmesi hususunda rapor vermekle yükümlüdür. Söz konusu Tebliğ uyarınca kurum, kuruluş ve ortaklıkların bilgi sistemleri; bilgi güvenliği gereklerinin yerine getirilmesi hususunda sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur.

Yönetim Tebliğ’inde belirtildiği üzere, kanun koyucu bilgi sistemleri kontrolleri kapsamında uyulması gereken asgari kıstasları belirler. Bunlar özetle (i) süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların tanımlanması, (ii) kontrol süreçlerinin periyodik biçimde tanımlanması ve (iii) her kontrol sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının ölçülebilir olmasıdır. Diğer konuların yanı sıra, ilgili Tebliğ altında ayrıca (bilgilerden oluşan) varlıkların yönetimini; sisteme, veri tabanına ve uygulamanın geliştirilmesine ilişkin görevlerin ayrılığını, güvenlik konularını, kimlik doğrulamayı, denetim izi kayıt mekanizmasını, müşterilerin bilgilendirilmesine ilişkin kuralları ve en nihayetinde de bazı kurum, kuruluş ve ortaklıklara bazı yükümlülüklerine ilişkin tanınan kısıtlı muafiyetleri düzenlenir.

Yaptırımlar

Yönetim Tebliğ’inde yer alan hükümlere aykırılık olması durumunda, Sermaye Piyasası Kanunu’nun 103’üncü maddesi (Genel Esaslar) uygulanır. Buna göre, 27.047 TL’den 338.088 TL’ye kadar idari para cezasına hükmedilebilir.

Sonuç

Bilgi sistemlerinin yönetimine uygulanacak usul ve esasları belirleyen Yönetim Tebliğ’inin yürürlüğe girmesi ile beraber, bilgi sistemlerinin daha güvenilir, etkili, sürdürülebilir bir şekilde kurulması ve yönetiminin sağlanması amaçlandı. Sermaye Piyasası Kanunu uyarınca kurulmuş veya söz konusu kanuna tabii olan tüm kuruluşlar Yönetim Tebliğ’inin kapsamına girer. Birincil ve ikincil sistemlerin Türkiye’de tutulması zorunluluğuna ilişkin getirilen düzenlemeyle ilgili tartışmalar, mevcut durumda SPK’nın yapmış olduğu açıklama ile giderilmeye çalışıldı. Ancak, konunun daha detaylı ve açık bir şekilde ele alınması gerekir. İlgili Tebliğ ile bilgi sistemlerinin kurulması, işletilmesi, yönetimi ve kullanılmasına ilişkin politikalar ve her türlü bilgi güvenliği politikaları, bunlardan sorumlu olan taraflar ve diğer detaylar düzenlenir.

[1] 6362 Sayılı Sermaye Piyasası Kanunu, RG, No. 28513, 30.12.2012.