BDDK ve İş Sürekliliği

Bankalar, hızlı değişen rekabetçi iş ortamında ayakta kalabilmek için kaliteli hizmet anlayışı ile müşteri memnuniyetini ön plana alan stratejiler geliştirmektedirler. Kurumların bünyesindeki Bilgi işlem grupları bu doğrultuda diğer kurum gruplarıyla eş güdümlü hareket etmek ve kalite ile müşteri ihtiyaçlarını

dikkate almak zorundadır. Dolayısıyla Bilgi işlem servisleri çeşitlenmekte, teknik altyapılar karmaşıklaşmakta, bu da yönetim ve güvenliği güçleştirmektedir.

Bu Tebliğ 1/1/2008 tarihinde yürürlüğe girmiştir.

Kaliteli bilgi işlem servisleri, bilgi işlem süreçlerinin tanımlanmasını, standartlaştırılmasını ve sürekli iyileştirilmesini gerekli kılar. Bu bağlamda BDDK tebliğleri; ITIL uygulamaları, ISO 9001, BS15000 standartları, vb arasında;

• Süreç odaklı olması,

• Temel Bilgi İşlem süreçlerini kapsayan bir bütünlüğe sahip olması,

• Süreçleri entegre etmesi,

• Servis kalitesi ile müşteri memnuniyetini öncelikli olarak dikkate alması,

• Her Kurum için uygulanabilmesi

…açılarından en etkin olanıdır.

Bankalar, bu Tebliğ hükümleri ile ilgili mevcut faaliyet ve

sistemlerini, yürürlük tarihinden itibaren azami iki yıl içerisinde

14 Eylül 2007 tarihli, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ile;

• Bilgi Sistemlerine İlişkin Risk Yönetimi ve İç Kontrollerin Tesisi

• Bilgi Sistemlerine İlişkin İç Kontrollerin Tesisi ve Takibi

• Özellik Arz Eden İşlemler;

• İnternet Bankacılığı

• ATM

• Çeşitli ve Son Hükümler

Bu Tebliğ 1/1/2008 tarihinde yürürlüğe girmiştir.

Bankalar, bu Tebliğ hükümleri ile ilgili mevcut faaliyet ve sistemlerini, yürürlük tarihinden itibaren azami iki yıl içerisinde Tebliğ hükümlerine uygun hale getirmek zorundadır.

Bu Tebliğ 1/1/2008 tarihinde yürürlüğe girmiştir.

CobiT 4.1 ve İş Sürekliliği

Bilgi teknolojilerinin iş hayatındaki önemi arttıkça, oldukça yüklü yatırım ve riskli proje yönetimlerini gerektiren bilgi teknolojileri süreçlerinin

olgunluk seviyeleri hakkında güvence sağlayacak denetim metodolojilerine olan ihtiyaç da artmaktadır. Bu konuda genel kabul görmüş

metodolojilerin içinde CobiT (“Control Objectives for Information and Related Technology”) en geniş katılım ve uygulamaya sahiptir.

CobiT, bilgi teknolojileri kontrol hedefleri ve denetim rehberinin yanı sıra uygulanabilir bir model olabilmek ve yönetime yön

verebilmek için gerekli araçları da barındıran bir metodolojidir.

CobiT’in misyonu; yönetim ve denetim kadroları tarafından sürekli kullanılabilmesi amacıyla güncel, genel kabul görmüş bilgi teknolojileri

kontrol hedeflerinin araştırılması, geliştirilmesi, yayınlanması ve kullanımına destek verilmesi olarak açıklanabilir;

CobiT’in vizyonu ise bilgi teknolojileri yönetişim (IT governance) modeli olmaktır. CobiT salt bir denetim aracı olmanın ötesinde bir

yönetişim aracı olma vizyonuna sahiptir. Bu nedenle yönetimden bilgi teknolojileri personeline kadar kurum içi ve dışında, kurumun varlığı

ve sağlıklı faaliyet göstermesi konularında risk üstlenen çeşitli taraflara fayda sağlama amacını da yerine getirmeyi hedeflemektedir.

Genel olarak:

CobiT bir dokümantasyon sistemi değildir.

CobiT bir yönetim modeli olduğundan üst yönetim tarafından kurum geneline yayılması daha etkili olacaktır.

Genellikle kurumlara CobiT’i kazandırmak için CobiT sponsorları bulunmaktadır.

Çalışma mantığı olarak PUKÖ ( Planla, Uygula, Kontrol Et, Önlem Al) döngüsü esas alınmıştır. İşler planlanır, uygulanır, kontrol edilir ve önlem alınır.

CobiT dört ana domainden meydana gelmiştir; Planlama ve Organizasyon, Tedarik ve Uygulama, Hizmet Sunumu ve Destek, İzle ve Değerlendir.

Acil Durum ve İş Sürekliliği Planının Banka İçindeki Sorumluları

İş sürekliliği planı, Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan “Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik”te “Acil Durum Eylem Planı” olarak yer almaktadır. BDDK tarafından yapılan düzenlemede, Acil ve Beklenmedik Durum Planı ile ilgili sorumluluklar

şu şekilde belirlenmiştir: Yönetim Kurulu ve üst düzey yönetimin diğer organları organizasyon genelinde devamlılık planlaması ile

ilgili politikaların, süreçlerin ve yetkilerin belirlenmesinden ve bunların uygulanmasından sorumludur.

Üst düzey yönetim, beklenmeyen riskli olaylara karşılık oluşabilecek riskleri ve sorunları mümkün olduğunca yönetebilmek için üst düzey risk komitesinin de değerlendirdiği, Yönetim Kurulunca onaylanan bir acil ve beklenmedik durum planı hazırlar.

Bu plan; bir rehber kitapçık haline getirilerek tüm banka personeline dağıtılır ve personelin plan ve

üstlenmiş olduğu sorumluluk hakkında bilgi sahibi olması sağlanır. Planda belirtilen hususların eşgüdümü için yetkili bir birim tesis edilir.

Uygun sürelerde acil ve beklenmedik durum planlarını gözden geçirecek bir sistem oluşturulur ve bu planla ilgili olarak otomasyon ve diğer sistemlerde olası aksaklık ya da çöküş dikkate alınarak genel müdürlük ve şubelerde düzenli olarak tatbikat yapılır. Yerinde tatbikatın sonuçları uygun bir değerlendirmeyi müteakip üst düzey yönetime raporlanır ve planın yeniden gözden geçirilmesinde kullanılır.