Anasayfa > Hakkımızda > Risk Yönetimi

Risk Yönetimi

Kuruluşumuzca sahip olunan ISO 27001 bilgi güvenliği yönetim sistemi ve ISO 22301 iş sürekliliği yönetim sistemleri sertifikaları ile uyumlu olarak, ISO 31000 risk yönetim standartları çerçevesinde geliştirilen risk yönetim sistemi uygulanmaktadır. Bu kapsamda yönetim kurulumuz tarafından onaylanan risk yönetimi yönergesi esas alınarak, bir uygulama yazılımı üzerinde, Kuruluşumuzun maruz kalabileceği tüm iç ve dış riskler tanımlanmakta, analiz edilmekte, risk değerleri hesaplanmakta, riske ilişkin karar verilmekte ve gerekli risk yönetim aksiyonları alınmaktadır. Risk değerlendirme çalışmaları her yıl düzenli olarak tekrarlanmakta olup, risklere ilişkin gelişmeler üst yönetim, riskin erken saptanması komitesi ve yönetim kuruluna raporlanmaktadır.

Uluslararası iç denetim standartları çerçevesinde, risk bazlı iç denetim yaklaşımı benimsenerek Kuruluşumuza değer katan bir denetim sistemi oluşturulmuştur. Bu sistem çerçevesinde,  Kuruluşumuzdaki tüm birimlerin her yıl iç denetimi yapılmakta olup, denetim sonuçları denetim komitesi ve yönetim kuruluna sunulmaktadır. İç denetimi bulguları için gerekli düzeltici ve önleyici aksiyonların alınması sağlanmaktadır.

COSO iç kontrol sistemi yaklaşımı ile geliştirilen iç kontrol sistemi çerçevesinde, her yıl iç denetimler sırasında Kuruluşumuzun iç kontrol sistemi değerlendirilmekte ve sonuçlar iç denetim raporlarında sunulmaktadır. İç kontrol zayıflıklarının tespiti durumunda gerekli düzeltici ve önleyici tedbirler alınmaktadır.

Kuruluşumuzda performans ve risk yönetim sistemlerinin entegre edilmesi amacıyla performans yönetim sistemi kurulmuştur. Bu amaç doğrultusunda, kurumsal karne (balanced scorecard) çerçevesi esas alınarak finansal, müşteri, içsel süreçler ve işgücü olmak üzere dört boyuta uygun ana performans göstergeleri ve bu göstergeleri üzerinde risk seviyeleri tanımlanmıştır. Bu göstergeler üzerinden günlük ve aylık bazda performans ve risk seviyelerindeki gelişmeler izlenmekte, tolerans ve risk gösterge seviyelerinin aşan durumlar ilgililere rapor edilmekte, bu konuda gerekli düzeltici ve önleyici aksiyonların alınması sağlanmaktadır.

Kuruluşumuzu düzenleyen mevzuat çerçevesinde,  Merkezi Kaydi Sistem kayıtlarının saatlik ve günlük bazda tutarlılık kontrolleri yapılmaktadır. Bu kontrollerde Merkezi Kaydi Sistem ve çeşitli uygulamalar üzerinde çalışan otomatik güvenlik raporları kullanılmaktadır. Bu güvenlik raporları aracılığıyla herhangi bir tutarsızlık tespit edilmesi durumunda, hemen gerekli düzeltici ve önleyici tedbirler alınmaktadır.

Çeşitli bilgi sistemi izleme ve kontrol araçları (HP openview, firewall, router access listler, IPS/IDS, virüs, varyant ve malware önleme, domain ve lokal yetkilendirmeler, log analiz, sunucu ve client güvenlik agentları vs) ile sistemlere erişimler ve sistem performansları sürekli olarak izlenmekte ve gerekli tedbirler alınmaktadır. Ayrıca, mevcut bilgi sistemi kontrol ve koruma araçlarına ilave olarak, başta Merkezi Kaydi Sistem kayıtları olmak üzere kritik bilgilerin yetkisiz ve izinsiz olarak Kuruluşumuz dışına çıkmasını önlemek amacıyla,  veri kaybı önleme sistemi bulunmakta olup, bu sistem verileri düzenli olarak takip edilmekte ve yönetime raporlanmaktadır.

Global ve yerel gelişmeler, güncel tehditler hakkında çalışanlarımızı bilgilendirmek için periyodik olarak tekrarlanan bilgi güvenliği farkındalık eğitimleri verilmekte olup, karşılaşılabilecek riskler pratik örnekler halinde çalışanlarımıza sunulmaktadır.

Diğer taraftan, Kuruluşumuz risklere karşı korumak amacıyla, fiziksel varlıklara ilişkin hasar sigortası,  suç sigortası, mesleki sorumluluk sigortası ve yönetici sorumluluk sigortası da satın alınmaktadır.

 

YENİDEN YAPILANDIRMA PLANLARI

Ödeme ve menkul kıymet mutabakat sistemleri mevzuatı çerçevesinde, CPMI-IOSCO Principles for Financial Market Infrastructures-April 2012 ve Recovery of Financial Market Infrastructures-October 2014 dokümanları ile Financial Stability Board Key Attributes of Effective Resolution Regimes for Financial Institutions-October 2014 dokümanı esas alınarak, beklenmedik ölçüde çok büyük risklerin gerçekleşebileceği varsayımı altında Kuruluşumuzun karşılaşacağı finansal sorunların yönetimini amaçlayan yeniden yapılandırma planları geliştirilmiş ve yönetim kurulumuz tarafından onaylanmıştır.

Merkezi takas, karşı taraf ve saklama kuruluşları finansal piyasalarda üstlendikleri görevlerin doğal bir parçası olarak kredi, likidite ve teminat yönetimi risklerine tabi iken, Kuruluşumuz, merkezi saklama faaliyetleri sırasında bu tür riskleri üstelenmemektedir. Başka bir deyişle, Kuruluşumuz, görevleri ve yapısı itibariyle sadece genel işletme ve operasyon risklerine maruz bulunmaktadır.

Kuruluşumuz ticari faaliyetlerinden zarar etmeyecek şekilde fonksiyonlar üstlenmekte ve hizmetleri için yaptığı yatırımlar öz kaynaklardan karşılanmaktadır. Kuruluşumuz faaliyete geçtiği 2001 yılından beri hiçbir şekilde kredi kullanmamış olup, hizmetleri ile ilgili ihtiyaç duyduğu donanım ve yazılımları kendi öz kaynaklarını kullanarak finanse etmiş, temel hizmetlerle ilgili tüm yazılımlar kendi personeli tarafından geliştirilmiştir. Ayrıca, düzenleyici kuruluşlar tarafından onaylanan ücret tarifesinde sunduğu hizmetler karşılığında makul bir kâr elde etmesi hedefi gözetilmektedir. Böylece Kuruluşumuzun kritik hizmetlerini kesintiye uğratmadan sürdürmesine olanak sağlayacak güçlü bir öz kaynak yapısı sağlanmaktadır.

Bu kapsamda, yeniden yapılandırma planlarında, Kuruluşumuzun kritik hizmetleri tanımlanmış, stres senaryoları geliştirilmiş, mevcut durumda alınan tüm önlemlere rağmen stres senaryolarının gerçekleşebileceği, muhtemel etkisinin büyük olacağı ve Kuruluşumuzun finansal durumunu önemli ölçüde etkileyeceği temel varsayım olarak alınmıştır. Yeniden yapılandırma planlarını kısmen veya tamamen devreye alınmasını gerektiren (tetikleyen) hususlar ayrıntılı olarak açıklandıktan sonra, bu hususların gerçekleşmesi durumunda alınacak finansal tedbirler ayrıntılı olarak belirlenmiştir.