www.pwc.com.tr Ocak 2018 SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası
Bilgi Sistemleri Yönetimi Tebliği ve Denetim Tebliği 05.01.2018 tarih 30292 sayılı Resmi Gazete de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir. Bilgi Sistemleri Yönetimi Tebliği ile bilgi sistemlerinin yönetimine ilişkin usul ve esaslar belirlenmiştir. Denetim Tebliği ile bilgi sistemleri bağımsız denetimi faaliyetlerinin genel esasları, denetim metodolojisi, denetim sonuçlarının raporlanması, bilgi sistemleri bağımsız denetimini yürütecek kuruluşların yetkilendirilmesi, yönetici ve çalışanlarının lisanslanmasına ilişkin usul ve esaslar belirlenmiştir. Amaç Etki alanı Aşağıdaki Kurum, Kuruluş ve Ortaklıklar, bu Tebliğ hükümlerine uymakla yükümlüdürler: Borsa İstanbul A.Ş., Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri, Emeklilik yatırım fonları, İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., 6 Portföy saklayıcısı kuruluşlar, Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., Sermaye piyasası kurumları, Halka açık, Türkiye Sermaye Piyasaları Birliği, Türkiye Değerleme Uzmanları Birliği. Ayrıca yukarıda sayılan Kurum, Kurulus ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta şirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu uyarınca finansal kiralama, faktoring ve finansman şirketlerinin bilgi sistemlerinin, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu Tebliğ'de öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.
1. Aşama Farklılık Analizi 2-3 Gün/1-4 Hafta 2. Aşama Eğitim 1-2 Hafta SPK Check-up Uyum ve Denetim yükümlülüklerinin belirlenmesi Uyum yükümlülüğü Her yıl denetim yükümlülüğü 2 yılda 1 denetim yükümlülüğü 3 yılda 1 denetim yükümlülüğü Detaylı Değerlendirme Bilgi Teknolojileri BT Stratejisi ve BT Trendleri BT Süreç, Risk ve Kontrol Uygulamaları BT Proje Yönetimi BT Denetimi BT Tedarikçi Seçimi ve Denetimi COBIT, ITIL, CMMI ve PMI Uygulamaları Paydaşların belirlenmesi Bilgi Güvenliği Yönetim Kurulu İç Sistemler Bilgi Teknolojileri Destek Birimleri Tedarikçiler Bilgi Güvenliği Farkındalık Bilgi Güvenliği Yönetim Sistemi Uygulamaları KVKK Farkındalık ve Uygulama ISO27001 Uygulamaları Farkındalığın arttırılması Hizmet ve İş Sürekliliği Farkındalık Programı nın hazırlanması Eğitimlerin planlanması Hizmet ve İş Sürekliliği Yönetim Sistemi Uygulamaları ISO22301 Uygulamaları Mevcut durumun değerlendirilmesi Yönetişim Yapısı BT İç Sistemler Yapısı BT Organizasyonu BT Süreçleri BT Yetkinlikleri Teknoloji ve Altyapı Birincil ve İkincil Sistemler İç Sistemler SPK Bilgi Sistemleri Mevzuatı İç Sistemler Fonksiyonlarının Rolleri Kurumsal Risk Yönetimi İç Denetim Uygulamaları BDDK Bilgi Sistemleri Mevzuatı COSO, ISO31000, ISO38500 Uygulamaları Uyum ve Denetim faaliyetlerinin planlanması Organizasyon ve süreç gereksinimlerinin planlanması Teknoloji ve altyapı gereksinimlerinin planlanması Uyum faaliyetlerinin mevcut projelerle ilişkisinin değerlendirilmesi Tedarikçi ve sistem seçimleri Danışman ve bağımsız denetçi seçimleri Proje Yönetimi Planlama Yürütme Gözetim Kaynaklar Zamanlama Projeler Tedarikçiler İzleme Kalite Kontrol
3. Aşama 4. Aşama İyileştirme ve Uyum Bağımsız Denetim 2-12 Hafta 3-12 Hafta Süreç, Risk ve Kontrol Gereksinimleri Bağımsız denetçi seçimi BT Yönetimi Yönetimin oluşturulması ve hayata geçirilmesi Üst yönetimin gözetimi ve sorumluluğu Risk yönetimi Kontrollerin tesisi ve yönetilmesi Varlık yönetimi Bilgi Güvenliği Görevler ayrılığı prensibi Kimlik doğrulama Yetkilendirme Veri gizliliği Müşteri bilgilerinin gizliliği Müşterilerin bilgilendirilmesi Bilgi güvenliği ihlali Sözleşme yapılması Sözleşmenin SPK ya bildirilmesi Sistem Güvenliği Ağ güvenliği İşlemlerin, kayıtları ve verilerin bütünlüğü Zaman senkronizasyonu Üçüncü taraflarla bilgi değişimi Kayıt mekanizmasının oluşturulması Tedarikçi Yönetimi Fiziksel Güvenlik Kritik alanlar Sistem odaları Birincil ve ikincil veri merkezleri Çevresel güvenlik İş ve Hizmet Sürekliliği Bilgi Sistemleri Denetimi nin gerçekleştirilmesi Saha Çalışması - Kurum, Kuruluş, Ortaklık Saha Çalışması - Destek Hizmetleri Bilgi Sistemleri Denetim Raporu nun hazırlanması Dış kaynak yoluyla alınan hizmetlerin yönetimi İş etki analizi Hizmet sürekliliği planlaması İş sürekliliği planlaması Bilgi Sistemleri Denetim Raporu nun SPK ya iletilmesi Değişiklik Yönetimi Sızma Testi Edinim, geliştirme ve bakım Değişiklik Cihazlar Sistemler Servisler Uygulamalar Kullanıcılar Yönetişim Gereksinimleri İç Sistemler Risk Yönetimi İç Kontrol İç Denetim Yönetim Beyanı Kapsam ve metodoloji Sorumluluklar Planlama Saha Çalışması - Kurum, Kuruluş, Ortaklık Saha Çalışması - Destek Hizmetleri Raporlama Proje Yönetimi Planlama Yürütme Gözetim Kaynaklar Zamanlama Projeler Tedarikçiler İzleme Kalite Kontrol
5 Ocak 2018 itibarı ile bilgi sistemleri bağımsız denetimi yaptırma zorunluluğu getirilenler ve periyodları; Her yıl zorunlu olanlar: Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., borsalar ve piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi takas kuruluşları, merkezi saklama kuruluşları ve veri depolama kuruluşları. (yaklaşık 10 kurum) 2018 yılından itibaren 2 yılda 1 zorunlu olanlar: Kısmî ve Geniş Yetkili Aracı Kurumlar, asgari özsermaye yükümlülüğü 5 Milyon TL den fazla olan portföy yönetim şirketleri. (yaklaşık 80 kurum) 2019 yılından itibaren 3 yılda 1 zorunlu olanlar: Asgari özsermaye yükümlülüğü 5 Milyon TL ve az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. (yaklaşık 30 kurum) 2020 yılından itibaren Sadece uyum zorunluluğu olanlar Dar yetkili aracı kurumlar, Halka açık, Kolektif yatırım kuruluşları, Varlık kiralama şirketleri, Emeklilik yatırım fonları, Konut finansmanı fonları, Varlık finansmanı fonları, İpotek finansmanı kuruluşları, Bağımsız denetim, derecelendirme ve değerleme kuruluşları, Türkiye Sermaye Piyasaları Birliği, Türkiye Değerleme Uzmanları Birliği, Kuruluş ve faaliyet esasları Kurulca belirlenen diğer sermaye piyasası kurumları. Ayrıca yukarıda sayılan Kurum, Kuruluş ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanunu'nun 136 ncı maddesi uyarınca banka ve sigorta şirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu uyarınca finansal kiralama, faktoring ve finansman şirketlerinin bilgi sistemlerinin kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde denetlenmesi, bu Tebliğ'de öngörülen yükümlülüklerin yerine getirilmesi hükmündedir. Söz konusu Kurum, Kuruluş ve Ortaklıklar, kendi özel mevzuatlarına aykırı olmamak kaydıyla bilgi sistemleri bağımsız denetimi raporlarının Kurul a sunulmasında bu Tebliğ hükümlerine tabidirler. Etki alanı
Tarihler 2018 yılı itibarı ile Uyum yükümlülüğü Bilgi Sistemleri Yönetimi Tebliği kapsamındaki tüm 1 Ocak 2018 Denetim yükümlülüğü 30.1 kapsamındaki Her yıl denetlenecek 1 Mayıs 2018 (*) Sözleşme yükümlülüğü 30.1 kapsamındaki 2 yılda bir denetlenecek 3 yılda bir denetlenecek 1 Ocak 2019 Denetim yükümlülüğü Bilgi Sistemleri Bağımsız Denetim Tebliği Madde 30.2 kapsamındaki kurum, kuruluş ve 1 Mayıs 2019 (*) Sözleşme yükümlülüğü 30.2 kapsamındaki 1 Ocak 2020 Denetim yükümlülüğü 30.3 kapsamındaki 1 Mayıs 2020 (*) Sözleşme yükümlülüğü 30.3 kapsamındaki Sızma Testi Yıl içinde Yönetim Beyanı 1 Ocak - 31 Aralık Denetim Dönemi 1 Ocak - 31 Aralık (*) Bilgi sistemleri bağımsız denetim sözleşmesi imzalanmasına ilişkin 4 aylık sınırlama, ilk denetim dönemi için uygulanmayacaktır. Size nasıl yardımcı olabiliriz? Oktay Aktolun, Partner +90 212 326 6178 oktay.aktolun@pwc.com Tumin Gültekin, Partner +90 212 326 6232 tumin.gultekin@pwc.com Işıl Uysun, Partner +90 212 326 6520 isil.uysun@pwc.com Defne Ergun, Partner +90 212 326 6314 defne.ergun@pwc.com 2018 PwC Türkiye. Tüm hakları saklıdır. Bu içerik sadece genel bilgi verme amacı taşır ve profesyonel danışmanlardan alınacak hizmetin yerine geçmez. 2018-0051