Turkey: Bankaların COVID-19 Salgınında Operasyonel Dayanıklılığı Nasıl Sağlanabilir?

Bankaların, operasyonel işleyişlerini COVID-19 salgının ekonomik ve sosyal etkileri doğrultusunda şekillendirmesi gerekince, uzaktan çalışma ve fiziksel bankacılığa erişimin sınırlandırılması gibi çeşitli tedbirler alındı. Fiziksel bankacılığın sınırlandırılması ile beraber, hizmet kesintilerini önleyebilmek ve bankaların finansal yapılarında istikrarı sağlayabilmek daha güçlü ve esnek bir operasyon ve iç sistem ihtiyacını ortaya çıkardı.

Bu bültenimizde, salgının finansal etkileri karşısında bankaların operasyonlarını güçlendirebilmek için alınabilecek olası tedbirler ile dikkat edilmesi gereken noktalar değineceğiz.

Bankaların İç Sistemleri

Bilgi Sistemleri

Bankalar, bilgi sistemlerini Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkın Yönetmelik ("İç Sistemler Yönetmeliği"), Temmuz'da yürürlüğe girecek Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ("Bilgi Sistemleri Yönetmeliği") ile Bankaların Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'de ("Bilgi Sistemleri Tebliği") ve belirtilen kıstaslara uygun olacak şekilde oluşturmakla yükümlüdür.

Bu çerçevede Bankalar, bilgi sistemleri yönetimine ilişkin politikaları gözden geçirir ve ihtiyaç olması halinde günceller.

Bilgi sistemlerine ilişkin riskler, bankacılık faaliyetlerinden kaynaklanan diğer risklerin bir çarpanı olabileceği için düzgün işleyen bir operasyonel sistemin sağlanabilmesi adına güncel bilgi sistemleri politikalarının gözden geçirilmesi gerekmektedir.

Bankaların üst yönetimi, bilgi sistemlerinin ve bilgi sistemlerinde saklanan verilerin gizli ve ulaşılabilir olması için oluşturulan kontrol altyapısının geliştirilmesi ve düzenli olarak güncellenmesi çalışmalarını gözlemlemekle yükümlüdür.

Bankalar, bilgi sistemleri servislerinin sürekliliğini sağlayabilmek adına aşağıda açıklanan iş sürekliliği yönetimi planının bir parçası olarak bilgi sistemleri süreklilik planını oluşturmakla yükümlüdür.

Bilgi Sistemleri İçin Destek Hizmeti Alımı

Bankaların üst yönetimi, bilgi sistemleri için alınacak destek hizmetinin banka açısından doğuracağı riskleri değerlendirmek, yönetmek ve destek hizmeti kuruluşu ile ilişkilerin etkin bir şekilde yürütülmesine olanak sağlamak için bir gözetim mekanizması tesis eder.

Bu çerçevede, üst yönetimin destek hizmetinin kesintisiz olarak sağlanması ve hizmette kesinti olması durumunda, hizmetin ne şekilde ikame edilebileceğini öngören bir planının olması gerekmektedir. Bu çerçevede bankaların, bilgi sistemlerine ilişkin destek hizmetinde kesinti olması halinde, hizmeti gecikmeden kendilerinin sağlayabilecekleri bir mekanizmaya ihtiyaçları olacaktır.

Dijital Bankacılık

Dijital bankacılığın önemi, evden çalışma sistemine geçilmesi ve fiziksel bankacılığın sınırlandırılması ile birlikte epey artmıştır. Bankaların, dijital bankacılığa karşı oluşan yoğun talebin karşılanabilmesi adına, dijital bankacılık hizmetlerinin kesilmesini önleyecek güçlü bir dijital bankacılık sistemi kurması gerekmektedir.

Bilgi Sistemleri Tebliği uyarınca bankalar etkin bir denetim izi tutma mekanizması ile servis sürekliliği ve kurtarma planına sahip olmalıdır.

Bilgi Sistemleri Tebliği 1 Temmuz 2020'de yürürlükten kalkacak ve yine aynı tarihte Bilgi Sistemleri Yönetmeliği yürürlüğe girecektir. Bu konuda daha detaylı bilgi için 18 Mart 2020 tarihli mevzuat duyurumuza başvurabilirsiniz.

İş Sürekliliği Planı

İş sürekliliğindeki herhangi bir aksaklık bankanın operasyonlarında önemli, olumsuz etkiler yaratabilir. Olası bir kesinti durumunda bankanın faaliyetlerinin sürdürülebilmesi için iş sürekliliği planının oluşturulması zorunludur. Bu nedenle bankaların aşağıda belirtilen hususları gözden geçirmesi büyük önem arz etmektedir:

• İş Etki Analizi: Bankanın kesinti sebebiyle faaliyetlerini sürdüremediği hallerde iş etki analizinin bulunması önem arz etmektedir. Bu kapsamda bankalar, iş sürekliliğinde kesintiye sebep olabilecek olası nedenler ile bu nedenlerin faaliyetlerinde yaratacağı olası etkileri değerlendirmeli ve gerekmesi halinde kurtarma stratejilerini güncellemelidir.
• Acil ve Beklenmedik Durum Planı: Bankalar, iş sürekliliği planlarının bir parçası olarak acil ve beklenmedik durum planı oluşturmak zorundadır. Piyasadaki artan belirsizlik dikkate alındığında, bankaların acil ve beklenmedik durum planlarını güncellemeleri gerekebilir.

Bankacılık Düzenleme ve Denetleme Kurumu bankaların iş sürekliliği planlarını yeniden gözden geçireceğini duyurmuştur. Söz konusu açıklamaya ilişkin detaylı bilgi için 20 Mart 2020 tarihli mevzuat duyurumuza başvurabilirsiniz.

Risk Yönetimi

İç Kontrol Sistemi

İç Kontrol Faaliyetleri: İç kontrol faaliyetleri bankanın günlük faaliyetlerinin bir parçasını oluşturur. Bankaların oluşturduğu yazılı politika ve uygulama prosedürlerinin aşağıdaki hususları düzenlemesi gerekir:

• Faaliyetlerin icrasına yönelik işlemlerin kontrolü.
• İletişim kanallarının, bilgi sistemlerinin ve finansal raporlama sistemlerinin kontrolü.
• Uyum kontrolleri.

Bankaların, önceden oluşturulan bu politikaların güncel ekonomik durum ile uyumlu olup olmadığının gözden geçirmesi ve politikalar uyumlu değilse gerekli düzeltmelerin yapılması gerekmektedir.

Raporlama: İç kontrol faaliyetlerinden bir diğeri de raporlamadır. Bankalar, üst yönetime sunmak üzere günlük, haftalık veya aylık bazda olağanüstü durum, şüpheli işlem, aykırılık ve genel performansa ilişkin rapor hazırlamakla yükümlüdür. COVID-19 salgınının ekonomideki genel etkisi düşünüldüğü zaman söz konusu raporlamaların daha sık aralıklarla yapılması düşünülebilir.

İletişim Kanallarının ve Bilgi Sistemlerinin Kontrolü: Bankanın iletişim kanallarının ve bilgi sistemlerinin kontrolü ile banka bünyesinde elde edilen bilginin güvenilir, tam, izlenebilir ve tutarlı biçimde olması ve bilgiye erişimin sağlanması amaçlanmaktadır. Bankalar, geçici olarak pek çok şubesini kapatarak evden çalışma sistemine geçmiş veya fiziksel bankacılık hizmetini çalışan personel ve çalışma saatleri bakımından sınırlandırmıştır. Bu nedenle bankaların güçlü iletişim kanalları ve bilgi sistemlerini kurmuş olmaları önem arz etmektedir. Bu kapsamda söz konusu iletişim kanalları ile bilgi sistemlerinin gözden geçirilmesi ve gerekmesi halinde bunları güncellemeleri yararlı olacaktır.

Risk Yönetimi Sistemi

Risk yönetimi sisteminin amacı, bankanın maruz kaldığı riskin (konsolide ve konsolide olmayan bazda maruz kalınan riskler ile bankanın dahil olduğu risk grubu ile gerçekleştirilen işlemlerden kaynaklanan risklerin), bankanın gelecekteki nakit akımlarının barındırdığı risk-getiri yapısına yönelik oluşturulan politikalar, uygulama usulleri ve limitler vasıtasıyla tanımlanması, ölçülmesi, raporlanması, izlenmesi ve kontrolünün sağlanmasıdır.

Bankanın risk yönetim sürecine stres testi programları da dâhildir. Stres testi, bankaya özgü olumsuz gelişmelerden kaynaklanabilecek veya stres altındaki ekonomik ve finansal ortamda ortaya çıkabilecek finansal risk fve kırılganlıkların ölçülmesi amacıyla geliştirilir.

Stres testi programı aşağıdaki unsurları barındırmalıdır:

• Açıkça tanımlanmış amaçlar.
• Bankanın faaliyetleri ve bu faaliyetlerden kaynaklanan risklerle uyumlu tasarlanmış senaryo ve varsayımlar.
• Güçlü bir stres testi yöntemi.
• Alınan kararları destekleyecek raporlamalar.
• Stres testi süreçlerinin devamlı ve etkin bir şekilde gözde geçirilmesi.
• Stres testi sonuçlarına dayalı yönetim aksiyonları.

Bankalar, her bir önemli risk bazında stres testi yapmanın yanı sıra, bu risklerin tümünün dikkate alındığı genel stres testlerini de yapmakla yükümlüdür.

Piyasa ve karşı taraf kredi riski ile bankanın toplam likidite riskine ilişkin yapılacak stres testleri eş zamanlı olarak ayda bir veya daha sık periyotlarla tekrarlanır. Stres testi sonuçlarının takibi banka üst yönetimine aittir.

Bankalar, COVID- 19 salgınının ekonomik etkileri ve ekonomideki dalgalanmalar nedeniyle daha sık stres testi yapılması gerekebilir.

Operasyonel Riskin Ölçülmesi

Bankalar, Bankaların Sermaye Yeterliliğinin Ölçülmesine ve Değerlendirilmesine İlişkin Yönetmelik ("Sermaye Yeterliliği Yönetmeliği") uyarınca operasyonel risklerini ölçmek durumundadır.

Operasyonel risk; yetersiz veya başarısız iç süreçler, insanlar ve sistemlerden ya da harici olaylardan kaynaklanan zarar etme olasılığını kapsamaktadır.

Yukarıdaki bilgiler kapsamında bankalar, operasyonel risk yönetimine ilişkin sürecin Sermaye Yeterliliği Yönetmeliği ve Operasyonel Risk Yönetimine İlişkin Rehber'de yer alan gereklilikleri yerine getirip getirmediği hususunu gözden geçirebilir.

İçsel Sermaye Yeterliliği Değerlendirme Süreci (İSEDES)

Bankalar yapılan risk ölçümünü, sermaye ve likidite planlaması ile risk yönetim kabiliyetlerine ilişkin değerlendirmeyi kapsayan İSEDES raporunu yılda en az bir kere hazırlar. İSEDES raporu hazırlanırken, İSEDES Raporuna İlişkin Rehber'de belirlenen usul ve esaslar dikkate alınmalıdır.

Bankalar; risk ölçümü, likidite planlaması ve risk yönetim kabiliyetlerinde bir değişiklik yapılmasının gerekli olup olmadığını değerlendirebilmek adına İSEDES raporlarını devamlı olarak gözden geçirmelidir.

Sermaye ve Likidite Yeterliliği

Likidite Yeterlilik Oranı

Bankaların Likidite Yeterliliğinin Ölçülmesine ve Değerlendirilmesine İlişkin Yönetmelik'te ("Likidite Yeterliliğine İlişkin Yönetmelik"), bankaların sağlaması gereken asgari likidite yeterliliği oranı düzenlenmektedir.

Bankacılık Düzenleme ve Denetleme Kurulu tarafından farklı bir oran kararlaştırılmadığı takdirde, bankların birinci vade dilimine ilişkin toplam likidite yeterlilik oranlarının haftalık basit aritmetik ortalaması ile ikinci vade dilimine ilişkin toplam likidite yeterlilik oranı yüzde yüzden az olamaz. Birinci vade dilimine ilişkin yabancı para likidite yeterlilik oranı ile ikinci vade dilimine ilişkin yabancı para likidite yeterlilik oranı ise yüzde seksenden az olamaz.

Bankalar, Likidite Yeterliliğine İlişkin Yönetmelik'te belirlenen asgari likidite yeterliliği oranını sürekli olarak sağlayabildiklerinin tespiti için likidite durumlarını devamlı olarak inceleyebilir ve bu kapsamda toplam ve yabancı para likidite yeterlilik oranlarını yeniden hesaplayabilir.

Sermaye Koruma ve Döngüsel Sermaye Tamponlarına İlişkin Yönetmelik

Sermaye Koruma ve Döngüsel Sermaye Tamponlarına İlişkin Yönetmelik ("Sermayenin Korunması Yönetmeliği"), sermaye koruma tamponu ve ilave çekirdek sermaye tutarının hesaplanması ile ilave çekirdek sermaye gereksiniminin karşılanamaması halinde alınacak tedbirleri düzenlemektedir.

Bu kapsamda, finansal sektörün genel risk düzeyinin kredi genişlemesi sonucu artması ve bunun sonucunda özkaynakların sermaye yeterliliğine ilişkin düzenlemeler karşısında yetersiz kalmasının engellenmesi amacıyla belli bir ilave çekirdek sermaye tutarı bulundurulması zorunludur.

Bankaların ilave çekirdek sermaye tutarının Sermayenin Korunması Yönetmeliği'nde belirtilen oran ve sınırlar dâhilinde olup olmadığının devamlı değerlendirilmesi faydalı olacaktır. Buna ek olarak, bankalar gerekmesi halinde sermaye koruma planlarını da gözden geçirebilirler.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.