Banka ve Kambiyo Mevzuatı  
Resmi Gazete Tarihi: 08.02.2001 Perşembe Sayı: 24312 (Asıl) Düstur Tertip:5 Cilt:Sahife:
Bankacılık Düzenleme ve Denetleme Kurulundan:

BANKALARIN İÇ DENETİM VE RİSK YÖNETİMİ SİSTEMLERİ HAKKINDA YÖNETMELİK
 


BİRİNCİ KISIM
GENEL HÜKÜMLER
  
BİRİNCİ BÖLÜM
AMAÇ, KAPSAM, HUKUKİ DAYANAK VE TANIMLAR

            AMAÇ, KAPSAM VE HUKUKİ DAYANAK
            Madde 1- Bu Yönetmelik, bankaların, karşılaştıkları risklerin izlenmesini ve kontrolünü sağlamak üzere kuracakları iç denetim sistemleri ile risk yönetim sistemlerine ilişkin esas ve usulleri belirlemeyi amaçlamaktadır.

            Bu Yönetmelikte geçen "banka" tabiri, 4389 sayılı Bankalar Kanununda geçen ve banka adı altında Türkiye'de kurulan kuruluşlar ile yurtdışında kurulu bankaların Türkiye'deki şubelerini ve özel finans kurumlarını kapsar.

            Bu Yönetmelik 4389 sayılı Bankalar Kanununun 9 uncu maddesinin 4 numaralı fıkrasına dayanılarak hazırlanmıştır.

            TANIMLAR
            Madde 2- Bu Yönetmelikte geçen;

            Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu;

            Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu;

            İç kontrol işlevi: Banka faaliyetlerinin, yönetim stratejisi ve politikalarına uygun olarak düzenli, verimli ve etkin bir şekilde mevcut mevzuat ve kurallar çerçevesinde yürütülmesini, hesap ve kayıt düzeninin bütünlüğünü ve güvenilirliğini, veri sistemindeki bilgilerin zamanında elde edilebilirliğini sağlamak amacıyla, banka yönetim kurulu ve üst düzey yönetimi tarafından tesis edilen yönetim tarzı ve organizasyon yapısı kapsamında yürütülen ve her seviyedeki personel tarafından uyulması ve uygulanması gereken kontrol faaliyetlerinin tümünü;

            İç kontrol sistemi: Bankanın tüm faaliyetlerinin, belirlenen politika, yöntem, uygulama talimatları ve limitlere uygun olarak, yönetim kademelerince yürütülmesini sağlamak amacıyla, iç kontrol elemanları tarafından yerine getirilen, bir sistem içinde izlemeyi, bağımsız değerlendirmeyi, yönetim kademelerine eş anlı rapor etmeyi içeren finansal, operasyonel ve diğer kontrol sistemlerinin tümünü;

            Teftiş sistemi: Bankanın günlük faaliyetlerinden bağımsız, yönetimin ihtiyaçları ve bankanın yapısına göre finansal faaliyet ve uygunluk denetimleri şeklinde, iç kontrol işlevi kapsamında bağımsız bir biçimde, müfettişlerce gerçekleştirilen, iç kontrol sistemi ile risk yönetim sisteminin işleyişi başta olmak üzere bankanın tüm faaliyetlerini ve birimlerini kapsayan ve bu alanlara ilişkin değerlendirme yapılmasını sağlayan, değerlendirmelerde kullanılan kanıt ve bulguların raporlama, izleme ve inceleme sonucunda elde edildiği sistematik denetim sürecini;

            İç denetim sistemi: İç kontrol sistemi ile teftiş sisteminden oluşan bütünleştirilmiş süreci;

            Risk yönetim sistemi: Yönetim kurulunun, bankanın gelecekteki nakit akımlarının ihtiva ettiği risk-getiri yapısını, buna bağlı olarak faaliyetlerin niteliğini ve düzeyini izlemek, kontrol altında tutmak ve gerektiğinde değiştirmek amacıyla uygulamaya koyduğu standart belirleme, bilgilendirme, standartlara uygunluğu tespit etme, karar alma ve uygulama sürecine ilişkin mekanizmaların tümünü;

            Üst düzey yönetimi: Banka genel müdür ve genel müdür yardımcıları ile birinci derece imza yetkisine sahip diğer icra birimlerinin yöneticilerini;

            Müfettiş: Bankalar Kanununun 9 uncu maddesinin 4 üncü fıkrası hükmüne istinaden, banka yönetim kurulundan veya yönetim kurulunun görevlendirdiği genel müdürlük makamından aldığı yetkiye dayanarak banka işlemlerinin bankacılık mevzuatı ile bankaların iç mevzuatına uygunluğunu denetleyen banka elemanını;

            İç kontrol merkezi: Bankanın iç kontrol faaliyetlerini tasarlayan idare eden ve eşgüdümünü sağlayan yapılanmayı;

            İç kontrol elemanı: Faaliyetlere yönelik olarak sürekli izleme, inceleme ve kontrol yapmak üzere banka yönetimi tarafından yetkilendirilmiş, müfettişler dışındaki banka personelini;

            Risk yönetimi grubu: Bankanın maruz bulunduğu risklerin sistemli yönetilmesi amacıyla oluşturulan; üst düzey risk komitesini, banka risk komitesini ve merkezi veya merkezi olmayan yapıdaki münferit faaliyet birimlerine ilişkin risk yönetimi komitelerini ihtiva eden teşkilatın tümünü;

            Aktif/pasif yönetimi komitesi: Yönetim kurulu tarafından, banka varlık ve yükümlülüklerinin yönetimi ile bu kapsamda fon hareketlerine ilişkin politikaları belirlemek, banka bilançosunun yönetilmesi için ilgili birimlerce icra edilecek kararları almak ve uygulamaları izlemekle görevlendirilen komiteyi;

            Risk yönetimi elemanları: Risk yönetimi komitelerinde bankanın maruz kaldığı risklerin belirli ölçüler, sayısal ve analitik teknikler kullanmak suretiyle tanımlanması, tespit edilmesi, değerlendirilmesi gibi hususlarda görev alan; yönetim kurulunca belirlenecek usul ve esaslara göre iç kontrol elemanları ile eşgüdüm içinde çalışan, risk yönetimi bilgi ve deneyimine sahip personeli;

            Risk: Bir işleme ilişkin bir parasal kaybın ortaya çıkması veya bir giderin ya da zararın vuku bulması nedeniyle ekonomik faydanın azalması ihtimalini;

            Kontrol edilebilir riskler: Risk azaltıcı tekniklerin kullanılması veya riski doğuracak işlemlere ilişkin limitler uygulanması suretiyle bankanın zarara uğrama ihtimalinin azaltılmasının mümkün olduğu riskleri;

            Kontrol edilemeyen riskler: Kontrol edilebilir risklerin, zaman içinde değişebilirliğine bağlı olarak, herhangi bir risk ölçme ve azaltma tekniği kullanmak veya limit uygulamak suretiyle gerçekleşme olasılığı önceden tahmin edilemeyen ve ortaya çıktığı anda gerçekleşen zarar riskini;

            Bankanın kontrol ettiği iştirakler: Bir bankanın, bankacılık mevzuatına göre yürürlükte bulunan konsolide mali tablolarla ilgili düzenlemelerde yer alan, üzerlerinde kontrol etme gücüne sahip olduğu kuruluşları;

            ifade eder.

            SİSTEM KURMA ZORUNLULUĞU
            Madde 3- Bankalar, bünyelerinde, faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara cevap verebilecek nitelik, yeterlilik ve etkinlikte, bu Yönetmelik hükümlerine uygun iç denetim ve risk yönetim sistemlerini kurmak, idame ettirmek ve geliştirmek zorundadırlar.
  

İKİNCİ BÖLÜM
İÇ KONTROL İŞLEVİ

            İÇ KONTROL İŞLEVİNİN ETKİNLİĞİNİ BELİRLEYEN UNSURLAR
            Madde 4- Bankalar iç kontrol işlevini etkin bir şekilde yerine getirmek amacıyla, asgari olarak,

            a) Karar alma sürecine ilişkin usul ve esasları,

            b) Risk yönetimi kapsam ve uygulaması,

            c) Risklerle ilgili limit ve standartları belirleme ve uygulama süreçleri,

            d) Bilgi işlem altyapısı üzerinde oluşturulacak kontroller,

            e) Finansal ve yönetsel raporlama,

            f) Personel politikası,

            g) Sorumlulukların belirlenmesi,

            h) Denetim ve kurallara riayet,

            i) Usulsüz işlemlerin önlenmesi hususlarında yazılı iç kuralları bu Yönetmelik hükümlerine uygun olarak tesis etmek ve uygulamak zorundadırlar.

            Bankalar, bünyelerinde, faaliyetlerinin kapsamı ve yapısıyla uyumlu, değişen koşullara cevap verebilecek nitelik, yeterlilik ve etkinlikte, bu Yönetmelik hükümlerine uygun iç denetim ve risk yönetim sistemi kurmak, idame ettirmek ve geliştirmek zorundadırlar.

            İÇ KONTROL İŞLEVİNİ YÜRÜTECEK TEMEL BİRİMLER
            Madde 5- İç kontrol işlevi kapsamındaki faaliyetler, yönetim kurulu, üst düzey yönetim ve bankanın her seviyedeki personeli ile teftiş kurulu, iç kontrol merkezi ve risk yönetimi grubu tarafından yürütülür. Yönetim kurulu, bu birimlerin, görevlerini bankanın temel faaliyetlerinden bağımsız olarak ve objektif bir şekilde yerine getirmeleri için gerekli tüm tedbirleri almakla veya alınmasını sağlamakla yükümlüdür.

            İç denetim ve risk yönetimi düzenlemeleri, bu birimlerin idari bakımdan birbirlerinden bağımsız, iç kontrol işlevi kapsamında banka yönetim kuruluna ve üst düzey yönetimine karşı ayrı ayrı sorumlu olmalarını sağlayacak şekilde yapılır.

            Teftiş kurulu, iç kontrol merkezi ve risk yönetim grubunun yetki ve sorumluluk alanları, eleman sayısı ve bunların aralarındaki işbirliği, yönetim kurulunca belirlenir.

            Bu Yönetmelik hükümlerine aykırı olmamak kaydıyla her banka, kendi faaliyetlerinin kapsamını ve yapısal özelliklerini de dikkate alarak iç denetim sistemi ile risk kontrol ve yönetim sisteminin teşkilat yapısını ve işbirliği usullerini geliştirir.

            YÖNETİM KURULUNUN İÇ KONTROL İŞLEVİNİN GERÇEKLEŞTİRİLMESİNDEKİ GÖREV VE SORUMLULUĞU
            Madde 6- Yönetim kurulu, bankanın kontrol faaliyetlerine ilişkin önemli strateji ve politikaları oluşturarak, onaylar, uygulanmasını dönemsel olarak inceler ve bankanın bünyesinde kurumsal yapıya uygun ve etkin bir iç denetim sistemi ile risk yönetim sisteminin kurulması ve sürdürülmesi hususunda gerekli tedbirleri alır.

            Yönetim kurulu, Yönetmelikte belirtilen esaslara uygun olarak bankanın genel yönetim yapısında iç denetim ve risk yönetim sistemlerine açıkça yer verir; bu sistemlerin idari yapısına, personelin teminine, kalitenin sağlanmasına ilişkin esas ve usulleri belirler.

            Yönetim kurulu, banka üst düzey yönetiminin, teftiş kurulu, iç kontrol merkezi ve risk yönetimi grubu yetkililerinin ve bankanın bağımsız dış denetimini yapan kuruluşun bankanın iç denetim sistemine ya da iç kontrol sürecine ilişkin değerlendirmelerini düzenli olarak incelemek, bankanın bağımsız denetim kuruluşunun iç denetimin güçlendirilmesine yönelik önerilerinin dikkate alınıp alınmadığını ve taleplerine uyulup uyulmadığını kontrol etmek, banka stratejileri ve politikaları ile mevcut risk sınırlarının uygunluğunu periyodik olarak değerlendirmek zorundadır.

            ÜST DÜZEY YÖNETİMİN SORUMLULUĞU
            Madde 7- Üst düzey yönetimi, banka içi bir düzenleme ile bu Yönetmelikte belirtilen iç kontrol işlevini ifa edecek organlarla eşgüdümlü olarak;

            a) Yönetim kurulunca onaylanan iç kontrol stratejileri, politikaları ve sürecinin belirlenmesi, yürütülmesi, sürekli olarak gözden geçirilmesi ve gerektiğinde yeni riskleri de içerecek şekilde yeniden düzenlenmesi ve etkinliğinin kontrolünden;

            b) Bankanın taşıdığı risklerin tespit edilmesi, ölçülmesi, izlenmesi ve kontrol edilmesi için gerekli yöntem, araçlar ve uygulama usullerinin geliştirilmesinden;

            c) Yetki ve sorumlulukların açıkca düzenlenmesi ile görev ve sorumlulukların etkin olarak yerine getirilmesinin izlenmesinden, yönetim kuruluna karşı sorumlu tutulur.

            Üst düzey yönetimde görev alanlar, üst düzey risk komitesi hariç, risk yönetimi grubuna dahil komitelerde, denetim komitesinde ve iç kontrol merkezinde görev alamazlar.

            ÜST DÜZEY RİSK KOMİTESİNİN TEŞKİLİ VE SORUMLULUKLARI
            Madde 8- Üst düzey risk komitesi, bankanın konsolide ve konsolide olmayan bazda izleyeceği risk yönetimi stratejilerinin, politikalarının hazırlanmasından, yönetim kurulunun onayına sunulmasından ve uygulamaların izlenmesinden sorumlu tutulur.

            Üst düzey risk komitesi, yönetim kurulunun iç denetim sisteminin idame ettirilmesi ile görevli üyesinin başkanlığında Yönetmeliğin 33 üncü maddesine göre teşkil olunan banka risk komitesinin başkanından, aktif/pasif yönetimi komitesi başkanından, varsa kredi komitesi başkanından ve konsolidasyon kapsamındaki kuruluşların üst düzey risk komitelerinin ya da benzeri organlarının başkanlarından oluşur.

            Bankada "aktif/pasif yönetimi komitesi" bulunmaması ve aynı görevi üstlenen bir başka birimin mevcut olması halinde, sözkonusu birimden sorumlu kişi, üst düzey risk komitesinde yer alır.

            DİĞER PERSONELİN SORUMLULUKLARI
            Madde 9- Etkin bir iç kontrolün sağlanmasında, tüm personelin kendi sorumluluklarını yerine getirmeleri, meslek ilkeleriyle bağdaşmayan uygulamalar ile görevleri dolayısıyla karşılaştıkları banka politikalarına aykırı veya yasal olmayan faaliyetler gibi hususları üst düzey yönetime aktarmaları için görev ve yetkiler, yazılı olarak tanımlanır ve ilgili personele bildirilir.

            Banka için benimsenen meslek ilkelerine aykırı olan faaliyetleri ve basiretten uzak işlemleri teşvik edebilecek; özellikle kısa vadeli performans ve operasyonel sonuçların ön plana çıkarılarak uzun dönemde etkili olabilecek risklerin göz ardı edilmesi, görev ve yetkilerin etkin olmayan şekilde dağılımı sonucu banka kaynaklarının verimsiz kullanılması, kısa dönemli hedeflere yönelik teşvik programı uygulanması ya da hatalı davranışlar için uygun bir yaptırım mekanizmasının işletilmeyişi şeklindeki politika ve uygulamalardan kesinlikle kaçınılacaktır.

            İÇ KONTROL SÜRECİNİN TEMEL UNSURLARI
            Madde 10- İç kontrol, yönetim kurulunun, üst düzey yönetimin ve diğer banka personelinin içinde yer aldığı, her düzeyde süreklilik göstermesi zorunlu bir faaliyet olarak yürütülür.

            İç kontrol sürecinin etkin bir şekilde tesisi ve iç denetim amaçlarına ulaşılabilmesi için,

            a) Yönetim kurulu ve üst düzey yönetimin, iç kontrol sürecindeki görev ve sorumlulukları ve banka bünyesinde oluşturulacak iç kontrol ortamının unsurları,

            b) İç kontrol faaliyetleri ile banka bünyesindeki işlevsel görev ve sorumlulukların paylaşımı,

            c) Bilgi erişim sistemi ve banka içi iletişim yapısı,

            d) İç kontrol sürecinin izlenmesine dönük faaliyetleri ile hataların düzeltilmesi hususundaki uygulama usulleri,

            e) İç kontrol sürecinde risklerin saptanması ve değerlendirilmesi faaliyetleri, bu Yönetmelikte belirtilen esaslara uygun olarak tanımlanır, kayıtlarda açıkça gösterilir ve tüm işlevsel faaliyetler tanımlanan sözkonusu unsurlara uygun olarak gerçekleştirilir.

            BANKA BÜNYESİNDE İÇ KONTROL ORTAMININ TESİSİ
            Madde 11- Yönetim kurulu, mesleki ve ahlaki standartların geliştirilmesini ve her seviyedeki personelin iç kontrolün önemini ve üzerine düşen yükümlülüğü özümsemesini sağlayacak kurum içi kontrol kültürünün oluşturulmasını sağlar.

            İç kontrollerle ilgili detaylı uygulama usullerinin oluşturulması konusunda banka bünyesinde özel birimler görevlendirebilir.

            İç kontrol ortamında, raporlamaya ilişkin yetki ve sorumlulukların dağılımını açıkça gösteren etkin iletişim kanallarına ve bilgi donanımına sahip bir organizasyon yapısı belirlenir; yetki ve sorumlulukların dağılımının raporlamada aksamaya yol açmaması ve tüm birimlerin ve faaliyetlerin yönetimin kontrolünde olması sağlanır.

            İç kontrol sürecine ilişkin faaliyetlerin yeterli teknik özelliklere sahip personel tarafından yürütülmesi hususunda gerekli tedbirler alınır, tüm personelin çalışmalarından dolayı tabi olacağı teşvik kriterleri belirlenir.

            İÇ KONTROL FAALİYETLERİ
            Madde 12- İç kontrol faaliyetleri, risk değerlendirme işlevi çerçevesinde tespit edilen risklerin de izlenmesine olanak verecek şekilde günlük faaliyetlerin ayrılmaz bir parçası olarak düzenlenir ve sürdürülür.

            İç kontrol süreci ve faaliyetlerinde aşağıdaki unsurlara yer verilir:

            a) Yönetim kurulu ile banka üst düzey yönetiminin gözetim ve incelemeleri: Banka yönetim kurulu, bankanın amaç ve hedefleri doğrultusunda gelişmeleri, bütçe ve performans hedeflerine uygunluğunu gözler ve ortaya çıkan aksaklıklar için uyarı yapmak suretiyle iç kontrol sürecine işlerlik kazandırır.

            b) Faaliyet kontrolleri: Bu kontroller, birim veya servis yöneticilerinin olağanüstü durumlar hakkında günlük, haftalık ve aylık raporlar ile genel performans raporlarını incelemelerini ve değerlendirmelerini kapsar.

            c) Maddi unsurlara ilişkin kontroller: Genellikle bankaya ait nakit para, menkul kıymetler gibi finansal varlıklar da dahil olmak üzere maddi varlıklara erişilebilmesine, bunların kullanımına ve saklanmasına yönelik kurallara ve sınırlamalara uyumun incelenmesini, tüm maddi varlıkların periyodik envanterinin çıkarılmasını ve değerlendirilmesini içerir.

            d) Limitlere uygunluk incelemeleri, aşım ve aykırılıkların takibi: Genel ve özel risk sınırlarına uyulup uyulmadığı incelenir ve limit aşımları yakından izlenir.

            e) Onay ve yetki sistemi: Organizasyon yapısı içinde işlevsel görev ayrımları yapılır, çift taraflı ve çapraz kontrol ve imza usulleri tesis edilir, yetki ve sorumluluklar açıkça tanımlanır, belirli limitlerin üzerindeki işlemler için onay ya da yetki alınması yükümlülüğü konulur.

            f) Sorgulama ve mutabakat sistemi: İşlem detaylarının ve kullanılan risk yönetim modellerine ait çıktıların tutarlılığının araştırılması, hesapların karşılaştırılması, kontrol listelerinin hazırlanması ve periyodik mutabakatların gerçekleştirilmesi suretiyle iç kontrol sistemi etkin bir biçimde işletilir. Bu incelemeler sonucunda saptanan mevcut veya potansiyel sorunlar yetkili üst düzey yöneticilere rapor edilir.

            İŞLEVSEL GÖREV AYRIMI VE SORUMLULUKLARIN TESİSİ
            Madde 13- İç kontrol mekanizmalarını sağlıklı ve etkin biçimde kurmak ve çalıştırabilmek için banka faaliyetlerine ilişkin işlevsel ayrımlar tesis edilir. Bu kapsamda;

            a) Bankanın temel faaliyet alanlarına ilişkin olarak; menkul kıymet ve türev ürün alım-satım faaliyetleri ile kredi açma ve diğer bankacılık işlemlerinin gerçekleştirilmesi;

            b) Kredilendirme sürecinde; kredi dokümantasyonunun yeterliliğinin tespiti ile kredinin onaylanmasından sonra müşterinin takibi; talep sahibinin kredi değerliliğinin incelenmesi ile kredinin pazarlanmasına yönelik faaliyetler;

            c) Ödemelere ilişkin işlemlerde; ödemenin onaylanması ile fiili olarak gerçekleştirilmesi;

            d) Menkul kıymet alım-satım işlemlerinde; işlemin fiilen gerçekleştirilmesi ile kaydedilmesi, gibi değişik işlevler için tanınan yetkiler ve sorumluluklar birbirinden ayrılır ve çakışmaması sağlanır.

            Banka için risk yaratabilecek işlevler tespit edilerek mümkün olduğunca diğer işlevlerden ayrılır ve farklı yetkililerin sorumluluğuna verilir. İcrai yetkileri olan personelin sorumlulukları ve yetkileri dönemsel olarak incelenerek, bunların banka için potansiyel risk oluşturmaması hususunda gerekli tedbirler alınır.

            BANKALARDA GÜVENİLİR BİLGİ ERİŞİM SİSTEMLERİNİN TESİSİ
            Madde 14- İç kontrol işlevinin iyi çalışmasının ve gerekli bilgi ihtiyacının karşılanmasının sağlanması bakımından verilerin ve diğer bilgilerin elektronik ortamda saklanılmasına ve kullanılmasına olanak veren, güvenilir etkin yönetim bilgi sistemlerinin tesis edilmesi zorunludur.

            Banka bünyesinde elde edilen bilginin güvenilir, zamanında erişilebilir ve uygun biçim ve nitelikte olması sağlanır.

            Bilgilerin sadece yetkililerce ulaşılabilir olması, bu hususta mevzuattaki meslek sırrı ile ilgili düzenlemelere riayet için her türlü tedbir alınır.

            BİLGİ SİSTEMLERİNİN VE BİLGİ İŞLEM TEKNOLOJİSİNİN KONTROLÜ
            Madde 15- Bilgi sistemlerinin ve bilgi işlem teknolojisinin içerdiği risklerin, bankaların faaliyetlerinin kesintisiz yürütülmesi ve muhtemel zararların önlenmesi amacıyla, etkin olarak kontrolü şarttır.

            Genel kontrol ve incelemeler, veri yedekleme ve ilgili diğer işlemleri, kullanılan temel yazılımlardaki ve diğer yazılımlardaki gelişmeleri, bilgi erişim politikalarını ve bilgi erişimine ilişkin fiziki ve mantıksal güvenlik kontrollerini kapsar.

            Uygulamaya yönelik kontrol ve incelemeler, işlemlerin kaydının kontrolünü sağlayan ve yazılım uygulamalarının ve diğer el kitabı uygulama usullerinin içinde tanımlanan elektronik ortamda kontrol safhalarından oluşur. Uygulamaya yönelik kontrol ve incelemeler, mantıksal erişimler ile yazılımların özel kontrollerini ve benzeri diğer özel kontrol ve incelemeleri içerir.

            Bankalar, başlıca finansal hizmetleri sunma yeteneğinin olumsuz yönde etkilenmemesi amacıyla, bilgi sistemleri başta olmak üzere önemli sistemlerinin bir tehlikeye maruz kalmadan kurtarılması ve benzeri konularda alternatif dış hizmet temini imkanlarını da dikkate almak suretiyle, faaliyetleri yeniden başlatma ve devamlılık sağlama planları oluşturmak ve bunları dönemsel olarak test etmek zorundadırlar.

            ETKİN İLETİŞİM YAPISI VE İLETİŞİM KANALLARININ TESİSİ
            Madde 16- İç denetim sisteminin etkin bir şekilde çalışmasının sağlanması bakımından, bankalarda yeterli ve etkin bir iletişim sistemi tesis edilir.

            Bankanın organizasyon yapısı içinde bilginin yukarıdan aşağıya, aşağıdan yukarıya ve yatay olmak üzere bankanın tüm yönetim kademeleri ile personeline ulaşacak biçimde akışı ve bankanın amaçları, politikaları, uygulama usulleri ve beklentileri hakkında alt birim yöneticilerinin ve operasyonda görevli personelin tam anlamıyla bilgi sahibi olması sağlanır. Personele yönlendirilecek bilgilerin içeriğinde banka faaliyetlerine ilişkin politikalara, bunların uygulama usullerine ve bankanın faaliyet performansına ilişkin verilere yer verilir. Banka personelinin görev ve sorumluluklarına ilişkin kuralları bilmeleri ve gerekli bilgilerin ilgili personele hızlı bir biçimde ulaşması sağlanır.

            Yönetim kurulu, bankanın karşı karşıya olduğu riskleri ve faaliyet performansını değerlendirir. Banka personelinin karşılaştığı problemleri, mutad uygulamalara göre şüpheli gördükleri hususları ve davranışları ilgili yönetim kademelerine ve denetim birimlerine raporlaması için üst düzey yönetim tarafından banka bünyesinde uygun iletişim kanallarının tesisi ve idamesi gereklidir.

            Yatay bilgi akışının sağlanması suretiyle banka içindeki veya bankanın kontrolü altındaki kuruluşlara ait bir birimin sahip olduğu bilginin, o bilgiye gereksinim duyan diğer birimlerle paylaşılması temin edilir.

            İÇ KONTROL SÜRECİNİN İZLENMESİ FAALİYETLERİ VE HATALARIN DÜZELTİLMESİ
            Madde 17- İç kontrol sürecinin izlenmesinden sorumlu personel, iç kontrol merkezi ve risk yönetimi grubunun görüşleri ve üst düzey yönetimin önerisi üzerine yönetim kurulunca görevlendirilir.

            Bankanın farklı faaliyetlerinin izlenmesinin sıklığı, bankanın taşıdığı mevcut riskler ile banka içi ve dışındaki diğer gelişmelere göre belirlenir.

            İç kontrol sisteminde ortaya çıkan zayıflıkların giderilmesi, hata ve eksikliklerin en kısa sürede düzeltilmesi için kesintisiz izleme faaliyetleri aracılığıyla iç kontrol süreci ve muhtelif işlemler üzerindeki kontrol mekanizmalarının etkinliği gözden geçirilir.

            İç kontrol sürecinin etkinliği dönemsel olarak değerlendirilir. Bu değerlendirme yetkili personelin kendi sorumluluk alanıyla ilgili olarak, uygulanan kontrol mekanizmalarının etkinliği hususunda kişisel değerlendirmelerini yapması şeklinde gerçekleştirilir. Söz konusu değerlendirmelerin üst düzey yönetim, iç kontrol merkezi ve teftiş kurulu tarafından incelenmesi sağlanır. Değişik düzeylerde yapılan değerlendirmelerin bir raporla bu konuda sorumlu yöneticilere ve yetkililere zamanında ulaştırılması öngörülür.

            İç kontrol sürecinin etkinliğinin ve bu sürece ilişkin politikalara ve uygulama usullerine uyulup uyulmadığının izlenmesi görevi, nihai olarak teftiş kurulu tarafından yerine getirilir.

            RİSK TANIMA VE DEĞERLENDİRME SÜRECİ
            Madde 18- Risk yönetimi sistemi, idari bakımdan bağımsız bir şekilde örgütlenir. Risk tanıma ve değerlendirme işlevi ağırlıklı olarak risk yönetimi sistemi kapsamında faaliyette bulunan risk yönetimi grubu tarafından icra edilir. Risklerin bankadaki iş akışı içinde etkin bir biçimde tanımlanması, tespit edilmesi ve değerlendirilmesi sürecinde iç kontrol ve risk yönetimi grubu elemanlarının yönetim kurulunca belirlenecek esas ve usullere göre işbirliği içinde hareket etmesi sağlanır. Gerek duyulması halinde, müfettişler başta yasal ve operasyonel riskler olmak üzere, özellikli alanlardaki riskleri de değerlendirirler.

            Risklerin tanınmasında ve değerlendirilmesinde, bankanın ve kontrol ettiği iştiraklerin oluşturduğu grubun karşı karşıya olduğu tüm riskler konsolide bazda dikkate alınır. İç kontrol süreci, bankanın kontrol ettiği konsolidasyon kapsamındaki tüm kuruluşları ve bunların karşılaştıkları riskleri kapsar.

            Yönetim kurulu, bankanın taşıdığı temel riskleri gözönünde bulundurarak bu risklere ilişkin limitleri belirler ve risk yönetimi grubu ile banka üst düzey yönetiminin, bankanın maruz kaldığı çeşitli riskleri tespit etmesi, ölçmesi, kontrol etmesi ve yönetmesi hususlarında gerekli tedbirleri almalarını sağlar.

            İç kontrol süreci, yeni ya da daha önceden karşılaşılmamış veya tanımlanmamış riskleri de kapsamına almak üzere gözden geçirilir ve gerektiğinde sözkonusu riskleri etkin bir şekilde algılamak üzere yeniden yapılandırılır.

            Risk değerlendirme işlevi, bankanın karşı karşıya kaldığı tüm riskleri kapsar. Bu işlevin etkin bir şekilde yerine getirilmesi, banka faaliyetlerini olumsuz yönde etkileyebilecek kurumsal yapının karmaşıklığı, banka faaliyetlerinin içeriği, personelin niteliği ve sürekliliği, kurumsal değişiklikler gibi banka içi ekonomik etkenler ile sektördeki değişmeler ve teknolojik gelişmeler gibi banka dışı tüm faktörlerin tespit edilmesini gerektirir.

            Risklerin tanınması ve değerlendirilmesi işlevinin eksiksiz bir şekilde yerine getirilebilmesi için bankada, faaliyet ortamının değişmesi, yeni personel istihdamı, bilgi sistemlerinin yenilenmesi, hızlı büyümeye yönelik faaliyetler, yeni teknoloji kullanımı, yeni ürün ve hizmetlerin sunulması, birleşme ve devralmalar, ekonomik yapıdaki ve yasal düzenlemelerdeki değişikliklerin etkisi de dikkate alınarak uluslararası faaliyetlerin genişletilmesi hususları gözden geçirilerek gerekli tedbirler alınır.
   

İKİNCİ KISIM
İÇ DENETİM SİSTEMİ
    
BİRİNCİ BÖLÜM
İÇ DENETİM SİSTEMİNİN AMACI, UNSURLARI VE YAPISI

            İÇ DENETİM SİSTEMİNİN AMACI VE TEMEL UNSURLARI
            Madde 19- İç denetim sistemi faaliyetlerin verimliliğinin ve etkinliğinin sağlanmasını, finansal ve idari konulara ait bilginin güvenirliliğinin, bütünlüğünün ve zamanında elde edilebilirliğinin, banka faaliyetlerinin yürürlükteki yasalara ve düzenlemelere tam anlamıyla uygunluğunun sağlanmasını amaçlar.

            Bu amaçlara ulaşabilmek için iç denetim sistemi;

            a) Banka faaliyetlerinin yasal düzenlemelere, yönetim kurulunca tesis edilmiş strateji ve politikalara uygun olarak; basiretli, düzgün ve maliyet boyutu dikkate alınarak etkin bir şekilde planlanmasının ve yürütülmesinin kontrolünü;

            b) İşlemlerin ve yükümlülüklerin ifasının, genel veya özel yetkilere dayalı olarak gerçekleştirmesini;

            c) Faaliyetlere ilişkin olarak, yönetim kurulunun bankanın varlıklarını güvence altına alabilmesini ve yükümlülükleri kontrol edebilmesini;

            d) Usulsüzlüklerden ve hatalardan kaynaklanan risklerin asgariye indirilmesi için risklerin tanımlanabilmesini ve gerekli önlemlerin alınmasını;

            e) Kayıtların tam, doğru ve zamanında bilgi sağlamasını;

            f) Yönetim kurulunun, bankanın sermaye yeterliliğini, likiditesini, aktiflerinin kalitesini, bütçesine uygun karlılık performansını ve bankacılıkla ilgili mevzuat hükümlerine tam anlamıyla uygunluğunu düzenli ve zamanında izlemeye muktedir olmasını;

            g) Yönetim kuruluna, zarara uğrama riskini tanımlama, düzenli olarak gözden geçirme ve mümkün ise sayısallaştırma imkanı vermesi bakımından risk yönetim sisteminin etkin bir biçimde çalışmasını;

            h) Banka bünyesindeki kontrol mekanizmalarının etkinliğinin değerlendirilmesini; temin edecek şekilde oluşturulur.

            TEMEL KONTROL ALANLARI
            Madde 20- Temel kontrol alanları düzenli aralıklarla yapılan sıradan kontrol ve incelemelerin odaklandığı faaliyet alanları ile talebe göre yapılacak özel incelemelerin ya da süreye bağlı olmadan yapılan acil ve hızlı incelemelerin odaklandığı faaliyet alanlarını kapsar. Başlıca temel kontrol alanları şunlardır:

            a) Gözetim amacıyla Kurum tarafından talep edilen raporlamaların ve diğer bilgilerin hazırlanması,

            b) İlgili mevzuata uygunluğun sağlanması,

            c) Yeterli düzeyde karşılık ayrılmasının sağlanması,

            d) Faaliyetlerin basiretli biçimde planlanması ve yürütülmesinin temini,

            e) Finansal muhasebe ve yönetim bilgi sistemleri,

            f) Temel faaliyet alanlarının özel kontrolü,

            g) Otomasyon/bilgi-işlem ortamı,

            h) Acil ve beklenmedik durum planlaması,

            ı) Kara paranın aklanmasının önlenmesi.

            İÇ DENETİM İŞLEVİNİN SÜRDÜRÜLMESİNDE GÖREVLİ YÖNETİM KURULU ÜYESİ
            Madde 21- Yönetim kurulu, banka ile konsolidasyon kapsamındaki kuruluşlarda kendisine bağlı operasyonel ya da icracı birimler bulunmayan bir üyesini, iç denetim işlevinin sürdürülmesi için görevlendirir.

            Bu üye, yönetim kurulu adına, kendisine sunulan risk değerlendirmelerini, denetim planlarını, denetim programlarını, raporlarını ve belgelerini kontrol eder ve bunlarla ilgili işlemlerde, teftiş kurulunun, iç kontrol merkezinin ve risk yönetimi grubunun ilişkilerinin eşgüdümünü gözetir, yönetim kuruluna bu hususlarda bilgi akışını temin eder, oluşturulacak politikaları, usul ve esasları hazırlar ve yönetim kurulunun onayına sunar.

            İÇ DENETİM STANDARTLARI
            Madde 22- Bankalar iç denetim faaliyetlerini, iç denetime ilişkin yürürlükteki mevzuatta yer alan iç denetim standartlarına göre yürütürler. Bu standartların mevzuatta belirlenmemiş veya bu Yönetmeliğin uygulanması bakımından yeterince açık olmadığı hallerde uluslararası düzeyde kabul gören "İç Denetçiler Enstitüsünün (IIA) İç Denetime İlişkin Profesyonel Uygulama Standartları" (The Institute of Internal Auditors' Standards for the Professional Practice of Internal Auditing) dikkate alınır.
   

İKİNCİ BÖLÜM
İÇ KONTROL SİSTEMİ

            İÇ KONTROL SİSTEMİ
            Madde 23- İç kontrol sistemi, banka bünyesinde tesis edilen finansal, operasyonel ve diğer kontrol sistemlerinin tümünü kapsar ve istenilmeyen olayları önleyici kontrol faaliyetlerini, istenilmemekle beraber meydana gelmiş olaylarda kanıtlayıcı ve düzeltici niteliğe sahip araştırıcı kontrol faaliyetlerini ve beklenen bir faaliyetin oluşmasını teşvik edici niteliğe sahip yönlendirici kontrol faaliyetlerini düzenler. Sözkonusu kontroller, idari kontroller ile yönetim, finans ve muhasebe kontrollerini, operasyonel kontrolleri, finansal ürün ve hizmetlere ilişkin kalite kontrollerini ve diğer kontrolleri içerir.

            İÇ KONTROL MERKEZİ
            Madde 24- Bankalar iç kontrol faaliyetlerinin tasarımı, idaresi ve eşgüdümü amacıyla doğrudan yönetim kuruluna bağlı bir iç kontrol merkezi tesis ederler. İç kontrol merkezinde bir başkan ile yeteri kadar iç kontrol elemanı görev yapar. İç kontrol merkezinin çalışma esas ve usulleri, yönetim kurulu tarafından, teftiş kurulu ile üst düzey risk komitesinin görüşü alınarak saptanır. İç kontrol merkezi fiziken banka genel müdürlüğünde yer alır. Türkiye de şube açarak faaliyet gösteren yabancı bankalarda iç kontrol merkezi, merkez şubede tesis edilir.

            İç kontrol süreci ile iç kontrol faaliyetleri, bankanın gerçekleştirdiği operasyonların nitelikleri dikkate alınarak, iç kontrol merkezi, teftiş kurulu, banka risk komitesi ve üst düzey yönetimi ile beraberce tasarlanır, planlanır ve eşgüdümlendirilir. İç kontrol faaliyetlerinden bazılarının teftiş kurulunca gerçekleştirilmesinin kararlaştırılması halinde, diğer kontrol faaliyetlerinin nasıl ifa edileceği iç kontrol merkezi tarafından saptanır. Bankada standartların yerine getirilip getirilmediği, kurallara ve sınırlamalara uyulup uyulmadığı, hedeflere ulaşılıp ulaşılamadığı hususları, belirlenen değişik yönetim kademelerinde ve ilgili kontrol basamak ve noktalarında kontrol edilerek tespitlerin niteliği de dikkate alınmak suretiyle normal veya acil bir şekilde iç kontrol elemanlarınca ilgili yönetim kademesine ve iç kontrol merkezine aynı zamanda bildirilmesi temin edilir. İç kontrol elemanlarının görev yaptığı mahaldeki bankanın faaliyetlerini yürüten diğer personelle olan kontrol ilişkisinin iç kontrol merkezi tarafından eşgüdümü sağlanır.

            Her faaliyet türü için tahsis edilecek iç kontrol elemanı sayısı ve hangi türde kontrol faaliyetlerinde bulunulacağı iç kontrol merkezi ve üst düzey yönetimi tarafından beraberce saptanır. İç kontrol merkezi, kontrol sonuçlarını, raporlanmasını takiben bünyesinde muhafaza eder; genel ve dönemsel olarak değerlendirmek suretiyle çeşitli kontrol sistemlerinin geliştirilmesini planlar; kontrol işlemlerinin aksamadan yürütülmesi için gerekli ayarlamaları yapar ve tedbirleri alır. İç kontrol merkezi, kontrol faaliyetlerinin yürütülmesinde gerekli donanımın temininden ve idame ettirilmesinden de üst kademelere karşı sorumlu tutulur.

            İç kontrol sürecinin etkinliği iç kontrol merkezi tarafından izlenerek değerlendirilir ve gerektiğinde bu süreçte yeni ya da daha önceden karşılaşılmamış veya tanımlanmamış riskleri de kapsamına almak üzere kontrol etkinliğini koruyacak değişiklikler hızla gerçekleştirilir.

            İÇ KONTROL ELEMANLARININ GÖREV VE YETKİLERİ
            Madde 25- İç kontrol merkezine bağlı iç kontrol elemanları, görevlerini fiziken bankaların işlevsel birimleri bünyesinde gerçekleştirirler. Bu elemanlar, bankacılık ve diğer finansal hizmetlerin verilmesinde çalıştırılamazlar.

            İç kontrol elemanları, bankanın tüm işlevlerinin güvenli bir biçimde icra edilmesini iç kontrol mekanizmaları vasıtasıyla izlemek, incelemek ve kontrol etmek amacıyla raporlamaya dayalı bilgi talebinde bulunurlar, çeşitli kontrol dökümanları ve araçları üzerinden genel veya özel gözlemlere ve izlemeye dayalı kontrol ya da inceleme yaparlar, tespitlerini raporlara bağlarlar veya uyarı mesajları hazırlayarak ilgili birimlere tebliğ ederler. İç kontrol elemanlarına, izledikleri, inceledikleri ve kontrol ettikleri hususlara ilişkin olarak banka personelinden ilave açıklama isteme, bunların fikirlerine başvurma, gerekli gördüklerinde teftiş kurulunu, risk yönetimi grubunu ve bankanın yönetim kademelerinin tümünü uyarma yetkileri verilir.
   

ÜÇÜNCÜ BÖLÜM
TEFTİŞ SİSTEMİ

            TEFTİŞ SİSTEMİ
            Madde 26- Teftiş, bankanın tüm faaliyetlerini ve birimlerini kapsar. İç kontrol sisteminin işleyişi, banka müfettişleri tarafından incelenir. Tespitleri ve inceleme ya da teftiş sonuçlarını ihtiva eden raporlar, önemine ve öncelik sırasına göre, doğrudan banka yönetim kuruluna ya da üst düzey yönetimine intikal ettirilir.

            Teftiş kurulu başkanlığının, müfettişlerin ve müfettiş yardımcılarının görev, yetki ve sorumlulukları ile buna bağlı faaliyetleri, teftiş işlevinin hedefleri ve kapsamı, teftiş kurulunun banka içindeki konumu, yönetim kurulunca yürürlüğe konulan teftiş kurulu yönetmeliğinde düzenlenir.

            TEFTİŞLE İLGİLİ DİĞER HUSUSLAR
            Madde 27- Teftiş, banka içinde tüm maddi hususların, hesap ve kayıtların, belgelerin, personelin ve banka güvenliğini etkileyebilecek diğer tüm unsurların yerinde incelenmesinin yanısıra, banka bünyesinin ve faaliyetlerin özelliğine göre merkezden de inceleme ve denetleme faaliyetlerinde bulunulmasını, gerektiğinde soruşturma yapılmasını, ifade alınmasını, savunma istenilmesini, belge ve bilgilere el konulmasını, gerekli görülmesi halinde sorumlu personelin inceleme sonuçlandırılıncaya kadar işten uzaklaştırılması gibi eylemleri de kapsar.

            Müfettişlerin maaş ve ödenekleri yönetim kurulu tarafından belirlenir.

            Teftiş yönetmeliğinde, müfettişlerin görevleri arasında şunlara da yer verilir:

            a) Bankanın risk yönetim sisteminin yeterliliğinin ve etkinliğinin bir bütün olarak incelenmesi ve değerlendirilmesi, risk değerlendirme metodolojilerinin uygulanmasının ve etkinliğinin incelenmesi, risk tahmini ile bağlantılı olarak banka özkaynağının değerlendirilmesi sisteminin incelenmesi;

            b) Banka içindeki görev dağılımı dahil olmak üzere, iç kontrol sisteminin yeterliliğinin ve etkinliğinin incelenmesi ve değerlendirilmesi çerçevesinde bankadaki çeşitli operasyonel kontrollerin, elektronik bankacılık hizmetleri dahil olmak üzere yönetim ve finansal bilgi sistemlerinin yeterliliğinin gözden geçirilmesi ve bu kontroller ile işlemlerin ve yönetim ve finansal bilgi sistemlerinin etkinliğinin ve işleyiş usullerinin test edilmesi, personelin tesis edilmiş politikalara ve uygulama usullerine uyum durumunun incelenmesi;

            c) Limit ihlalleri, yetki alınmadan alım-satım yapılan işlemleri ve üzerinde mutabık kalınmayan değerleme işlemleri veya muhasebeleştirme farklılıkları gibi hususların araştırılması;

            d) Hesap ve kayıt düzeni ile mali tabloların ve gözetim raporlamalarının doğruluğunun ve güvenilirliğinin incelenmesi;

            e) İşlemlerin bankacılık mevzuatına uygunluğunun incelenmesi.

            Müfettişlerin sorun ve aksaklıkları uygun yönetim kademesine derhal bildirmeleri zorunlu tutulur.

            Yönetim kurulu, banka içi iletişim mekanizmalarını teftiş kurulu ile müfettişlerinin talep ve önerilerini dikkate alacak ve ilgili yöneticilerin çözüme yönelik uygulamalarından haberdar olacak şekilde tesis eder.

            Müfettişler tarafından tespit edilen iç kontrole ilişkin hata ve eksiklikler ile etkin bir şekilde kontrol edilmeyen tüm riskler, iç kontrol merkezi, üst düzey risk komitesi ve uygun yönetim birimlerine zamanında rapor edilir ve bu birimlerce ivedilikle ele alınması sağlanır. Sözkonusu tespitlerden ilgili banka personeli de haberdar edilir.

            Yapılması gerekli düzeltmelerin iç kontrol merkezi, üst düzey risk komitesi ve üst düzey yönetim tarafından, sözü geçen denetim elemanları ile mutabakata varılarak önceden tespit edilmiş makul bir zaman sürecinde gerçekleştirilmesi zorunludur.

            Sorumlu birimin, teftiş kurulunun talep ve önerilerini tespit edilen bir sürede uygulamaması ya da yerine getirmemesi durumunda, bu aksaklığın, alınması gereken ilave tedbirler ile beraber yönetim kuruluna ve varsa yönetim kurulunca oluşturulan denetim komitesine ivedilikle bildirilmesi sağlanır.

            İŞTİRAKLERİN DENETİMİ
            Madde 28- Banka, kendi teftiş kurulunun, kontrol gücünü elinde bulundurduğu konsolidasyon kapsamındaki iştiraklerinin bütün faaliyetlerini ve birimlerini sınırlama olmaksızın inceleyebilmesini sağlamak için gerekli bütün tedbirleri alır.

            Denetim ilkeleri, gerek konsolidasyon kapsamındaki iştirakler gerekse yurtdışı şubeler için kontrolü elinde bulunduran banka tarafından merkezden tesis edilir.
   

ÜÇÜNCÜ KISIM
RİSK YÖNETİM SİSTEMİ

            RİSK YÖNETİMİ SÜRECİ
            Madde 29- Risk yönetimi süreci, banka üst düzey yönetimi ile risk yönetimi grubunun beraberce belirlediği ve yönetim kurulunun onayladığı esaslar çerçevesinde, risklerin tanımlanması, ölçülmesi, risk politikaları ve uygulama usullerinin oluşturulması ve uygulanması, risklerin analizi ve izlenmesi, raporlanması, araştırılması, teyidi ve denetimi safhalarından meydana gelir.

            RİSKLERİN TANIMLANMASI
            Madde 30- Risklerin tanımlanması safhasında, bir bankanın maruz kaldığı risklerin özellikleri tarif edilir ve tüm birimlerce bu hususlarda bilgi sahibi olunması sağlanır.

            Bu Yönetmelik hükümleri kapsamında değerlendirilecek risklere ilişkin açıklamalar, sadece bunlarla sınırlı olmamak üzere, aşağıda belirtilmiştir:

            Kredi riski: Banka müşterisinin yapılan sözleşme gereklerine uymayarak yükümlülüğünü kısmen veya tamamen zamanında yerine getirememesinden dolayı bankanın karşılaştığı durumu;

            İşlemin sonuçlandırılamaması riski: Bankanın karşı taraftan, umulan sürede işleme konu finansal aracı ya da fonu (nakdi) teslim alamaması, elde edememesi durumunu;

            İşlemin sonuçlandırılma öncesi oluşan risk: İşlemi yapan taraflardan birinin, işlemin süresi içinde, sözleşmedeki yükümlülüğünü yerine getiremeyeceğinin anlaşıldığı durumu;

            Ülke riski: Uluslararası kredi işlemlerinde, krediyi alan kişi ya da kuruluşun faaliyette bulunduğu ülkenin ekonomik, sosyal ve politik yapısı nedeniyle yükümlülüğün kısmen veya tamamen zamanında yerine getirilememesi ihtimalini;

            Transfer riski: Krediyi alan kişi ya da kuruluşun bulunduğu ülkenin ekonomik durumu ve mevzuatı nedeniyle döviz borcunun aynı türde veya konvertibl diğer bir döviz ile geri ödenememe ihtimalini;

            Likidite riski: Bankanın nakit akışındaki dengesizlik sonucunda nakit çıkışlarını tam olarak ve zamanında karşılayacak düzeyde ve nitelikte nakit mevcuduna veya nakit girişine sahip bulunmaması;

            Piyasaya ilişkin likidite riski: Bankanın piyasaya gerektiği gibi girememesi, bazı ürünlerdeki sığ piyasa yapısı ve piyasalarda oluşan engeller ve bölünmeler nedeniyle pozisyonlarını uygun bir fiyatta, yeterli tutarlarda ve hızlı olarak kapatamaması veya pozisyonlardan çıkamaması durumunda ortaya çıkan zarar ihtimalini;

            Fonlamaya ilişkin likidite riski: Nakit giriş ve çıkışlarındaki düzensizlikler ve vadeye bağlı nakit akımı uyumsuzlukları nedeniyle fonlama yükümlülüğünü makul bir maliyet ile potansiyel olarak yerine getirememe ihtimalini;

            Piyasa riski: Bilanço içi ve bilanço dışı hesaplarda bankalarca tutulan pozisyonlarda finansal piyasadaki dalgalanmalardan kaynaklanan faiz, kur ve hisse senedi fiyat değişmelerine bağlı olarak ortaya çıkan faiz oranı riski, hisse senedi pozisyon riski ve kur riski gibi riskler nedeniyle zarar etme ihtimalini;

            Faiz oranı riski: Faiz oranlarındaki hareketler nedeniyle bankanın pozisyon durumuna bağlı olarak maruz kalabileceği zarar ihtimalini;

            Operasyonel risk: Banka içi kontrollerdeki aksamalar sonucu hata ve usulsüzlüklerin gözden kaçmasından, banka yönetimi ve personeli tarafından zaman ve koşullara uygun hareket edilememesinden, banka yönetimindeki hatalardan, bilgi teknolojisi sistemlerindeki hata ve aksamalar ile deprem, yangın, sel gibi felaketlerden kaynaklanabilecek kayıpları ya da zarara uğrama ihtimalini;

            Mevzuata ilişkin yetersiz bilgi riski: Banka tarafından yetersiz ya da yanlış yasal bilgi ve belgeye dayanarak yapılabilecek işlemler neticesinde hakların beklenenden düşük, yükümlülüklerin ise beklenenin üzerinde gerçekleşme ihtimalini;

            İtibar riski: Faaliyetlerindeki başarısızlıklar ya da mevcut yasal düzenlemelere uygun davranılmaması neticesinde bankaya duyulan güvenin azalması veya itibarının zedelenmesi ile ortaya çıkabilecek kaybı;

            Düzenlemelere uyulmama riski: Mevzuat hükümlerine ve yasal yükümlülüklere uyulmaması sonucu ortaya çıkabilecek kaybı, ifade eder.

            RİSKLERİN ÖLÇÜLMESİ
            Madde 31- Risklerin ölçülmesi safhasında, bankanın maruz kaldığı risklerin belirli ölçüler veya kriterler kullanılarak sayısal ya da analitik bir şekilde ifade edilmesi sağlanır.

            Maruz kalınan risklerin tutarlı bir şekilde değerlendirilmesi ve yönetilme imkanına sahip olunması için riskin değişik boyutları arasında bir kıyas imkanı yaratacak ve risk kavramını performans ölçümü ve özkaynak temin kararlarında bir unsur haline getirecek bir risk ölçüm metodolojisi geliştirilir.

            Bir bankanın maruz kalabileceği riskin üç ayrı ölçüm kategorisi çerçevesindeki boyutları aşağıda belirtilmiştir.

            a) Birinci ölçüm kategorisi: tahmin edilen kayıp veya zarar

            b) İkinci ölçüm kategorisi: tahmin edilemeyen kayıp veya zarar

            c) Üçüncü ölçüm kategorisi: oluşturulan senaryo çerçevesinde stres altında tahmin edilen kayıp veya zarar.

            Bu Yönetmelik bakımından tahmin edilen kayıp veya zarar, riskin önceden saptanabilir maliyetini, tahmin edilemeyen kayıp veya zarar, tahmin edilebilir riske ilişkin maliyetin zaman içinde potansiyel olarak değişebilirliğini, stres altında tahmin edilen kayıp veya zarar ise bankanın en kötü durum senaryosu çerçevesinde tanımlanan ve sayısal hale getirilen riskinin ortaya çıkaracağı nihai maliyeti ifade eder.

            Stres testleri neticesinde tahmin edilen kayıp veya zararın her risk faktörü için sayısal hale getirilmesi hususunda geçmiş deneyimlerin dikkate alınması suretiyle bir ölçüm yapılması durumunda, kullanılan varsayımlar ve diğer faktörler bakımından sözkonusu ölçümün tutarlılığı ve izlenen yöntem, yönetim kurulunca onaylanır.

            Tahmin edilemeyen kayıp veya zararlar en kötü durum senaryosu çerçevesinde tanımlanan ve sayısal hale getirilen riskin ortaya çıkarabileceği kayıplar için bunları karşılayabilecek tutarda özkaynak ayrılır.

            RİSK POLİTİKALARI
            Madde 32-a) Risk politikaları ve bunlara ilişkin uygulama usulleri, risk yönetimi grubunun önerilerinin de dikkate alınması suretiyle yönetim kurulu tarafından oluşturularak yürürlüğe konulan ve üst düzey yönetim tarafından uygulanan yazılı standartları ihtiva eder. Banka personeli risk politikaları ve bunlara ilişkin uygulama usullerinden haberdar edilir.

            Risk politikalarını ihtiva eden belgelerin tümü bir arada ilgilenenlerin yararlanması için hazır bulundurulur.

            b) Yönetim kurulu, risk politikalarını üst düzey risk komitesinin görüşünü alarak oluşturur. Risk kontrolü, üst düzey risk komitesi ile muhtelif risk yönetimi komitelerinin başında bulunan risk başkanlarının oluşturduğu banka risk komitesi tarafından kontrol düzeyleri dikkate alınmak suretiyle yetki devri esasına uygun bir biçimde icra edilir.

            Risk yönetimi, banka bünyesindeki menkul kıymet alım-satım, kurumsal finansman, fon yönetimi ve bireysel müşteri işlemleri birimleri gibi faaliyet birimlerinin risk yönetimi komiteleri tarafından icra edilir.

            Risk politikaları ve buna ilişkin uygulama esasları bu Yönetmelik hükümlerine aykırı olmamak kaydıyla, asgari olarak aşağıda belirtilen hususları kapsar:

            1) Risk yönetimi işlevinin organizasyonu ve kapsamı,

            2) Risklerin ölçülme usulleri,

            3) Risk yönetimi grubunun görev ve sorumluluklarının kapsamı,

            4) Değişik kademelerdeki risk komitelerinin yapıları ve toplanma sıklıkları,

            5) Risk limitlerinin saptanma usulleri, limit ihlallerinin oluşmasında izlenecek yollar,

            6) Oluşturulacak bildirim ve ihbar usulleri ve işleyiş şekilleri,

            7) Çeşitli olay ve durumlarda verilmesi zorunlu onay ve teyidler.

            Yönetim kurulu, mevcut ve gelecekteki yönetim ortamını ve şartlarını dikkate alarak banka için kısa ve uzun vadeli risk yönetimi stratejileri ile bunlara ilişkin risk politikalarını belirleyerek, bir iş planı oluşturur. Risk politikaları bankadaki her birim için belirli kriterleri gösteren, anlaşılır ve uygulanabilir bir yapıda tespit edilir.

            c) Risk politikalarının banka bünyesine gerektiği gibi nüfuz edebilmesi için;

            1) Konsolide ve konsolide olmayan bazda risk yönetiminin banka yönetimi ve personeli tarafından tüm boyutlarıyla anlaşılması sağlanır,

            2) Risk kontrol mekanizması her yönüyle teşvik edilir,

            3) Risk yönetimi stratejilerinin çeşitli riskler ve bankanın özkaynakları arasındaki denge dikkate alınarak belirlenir,

            4) Temel faaliyet alanlarındaki riskler dağıtılır,

            5) Finansal sistemdeki kuruluşlardan kaynaklanabilecek ödeme sistemlerine ilişkin sistemik risklerin, finansal sistemin istikrarı üzerindeki etkileri konusunda gerekli önlemler alınır.

            RİSK YÖNETİMİNİN ORGANİZASYONU
            Madde 33- Risk yönetiminin organizasyonel yapısının oluşturulması çerçevesinde yönetim kuruluna doğrudan bağlı, bağımsız çalışan üst düzey risk komitesi; bu komiteye bağlı banka risk komitesi ve buna bağlı olarak, bankanın faaliyetlerinin yapısına uygun sayıda ve özellikte münferit risk yönetimi komiteleri tesis edilir.

            Yabancı banka şubelerinde üst düzey risk komitesinin işlevleri de banka risk komitesi tarafından ifa edilebilir.

            Risk yönetimi grubu, organizasyon ve görev yapısı bakımından merkezi veya merkezi olmayan bir yapıda tesis edilebilir.

            RİSK YÖNETİM GRUBUNUN TEMEL GÖREVLERİ VE SORUMLULUKLARI
            Madde 34- Risk yönetimi grubuna aşağıdaki;

            a) Risklerin izlenmesi ve analizi kapsamında; pozisyonlara ve fiyatlara ilişkin verilerin izlenmesi, risk tutarlarının izlenmesi, limit ihlallerinin tanımlanması ve izlenmesi, muhtemel senaryoların analizi, risk tutarlarının özetlenmesi ve raporlanması, diğer birim ve iş alanları ile uyumu ve geriye dönük test (backtesting) uygulanması,

            b) Sayısal ya da analitik analizler kapsamında; yeni finansal ürünler için modellemenin saptanması, yeni sayısal veya analitik modellerin tasarlanması ve oluşturulan yeni modellerin denenmesi,

            c) Fiyat araştırmaları kapsamında; karmaşık türev ürünlerin fiyatlarının araştırılması, fiyatlama modellerindeki faktörlerin değişiminin kaydedilmesi ve belgelenmesi,

            d) Model geliştirme kapsamında; sistem için yeni modellerin risk analiz araçlarının ve tekniklerinin geliştirilmesi, geri bildirim konusu yapılmış tarihi veya geçmiş verinin idame ettirilmesi,

            e) Sistem geliştirme ve bütünleştirme kapsamında; işlem yapmayı desteklemek için alt yapının geliştirilmesi, diğer sistemlerden girdilerin kabul edilmesi, verilerin silinmesinin, temizlenmesinin ve dönüşümünün otomatik hale getirilmesi, risklere ilişkin verilerin ve bilgilerin kullanımını destekleyecek veri tabanlarının geliştirilmesi temel görev ve sorumlulukları verilir.

            Her bankanın  faaliyetlerinin tipine, hacmine ve yapısına uygun olarak, farklı özelliklere sahip risklerin izlenmesi ve kontrolü için daha alt kademelerde birden çok risk izleme ve kontrol birimi tesis edilir veya istisnai durumlarda Kurumdan önceden izin alınarak mevcut işlevsel birimler bu işle görevlendirilebilir. Bu birimler de risk yönetimi grubuna bağlı olarak çalışır. Bu kapsamda, her ayrı faaliyetin içerdiği değişik riskler arasındaki bağlar ve ilişki dikkate alınır.

            ÜST DÜZEY RİSK KOMİTESİNİN GÖREV VE SORUMLULUKLARI
            Madde 35- Üst düzey risk komitesi, bankanın izleyeceği risk yönetim stratejilerinin, politikalarının hazırlanmasından, yönetim kurulunun onayına sunulmasından ve uygulamaların izlenmesinden sorumlu tutulur ve risk yönetim grubunu, banka yönetim kuruluna karşı temsil eder. Bu Yönetmeliğin 43 üncü maddesi gereğince hazırlanacak bankanın risklilik düzeyinin değerlendirildiği belge ile bu Yönetmeliğin 42 nci maddesi gereğince hazırlanacak acil ve beklenmedik durum planı üst düzey risk komitesi tarafından değerlendirilerek yönetim kurulunun onayına sunulur.

            RİSK YÖNETİM SİSTEMİNİN TEMEL UNSURLARI
            Madde 36- Banka bünyesinde, etkin, bağımsız ve güçlü bir risk yönetimi işlevinin tüm personelin katılımı ile oluşmuş bir kurumsal risk kültürü içinde tam anlamıyla icra edilebilmesi ve sürdürülebilmesi için;

            a) Risk yönetimi sürecinin ve buna ilişkin yapılması gereken faaliyetlerin yönetim kurulunca oluşturulması ve aktif olarak gözetim altında tutulması,

            b) Yeterli, tutarlı ve dikkatlice tasarlanmış, stratejiler, politikalar, uygulama usulleri ve risk limitleri tesisi,

            c) Uygun personel istihdam edilerek, yeterli ve tutarlı risk ölçümü, analizi ve izleme işlevlerinin gerçekleştirilmesi,

            d) Güvenilir teknolojiye erişim imkanının ve yönetim bilgi sisteminin bulunması,

            e) Doğru ve bütünleşik verilerin olması,

            f) Onaylanmış ve kullanılan risk modellerinin varlığı,

            g) Kapsamlı bir iç denetim uygulamasının bulunması zorunludur.

            Bankanın belirlediği yönetim politikalarının güçlü, saydam, rasyonel bütünlüğe sahip olması ve banka bünyesine nüfuz edebilme kabiliyetinin bulunması gereklidir.

            Risk yönetimi konusunda banka bünyesinde saptanan problemlerin tekrar ortaya çıkmaması için faaliyetlerin iyileştirilmesi hususunda ve özellikle iç kuralların gözden geçirilmesinde denetim sonuçları etkin olarak kullanılır. Yönetim iyileştirme tedbirlerinin ilgili birimlerce uygulanıp uygulanmadığı yönetim kurulunca düzenli olarak gözlemlenir.

            RİSKLERİN ANALİZİ, İZLENMESİ, RAPORLANMASI İLE ARAŞTIRILMASI, TEYİDİ VE DENETİMİ
            Madde 37- Risk yönetimi grubu, çeşitli riskleri günlük olarak izler ve analiz eder.

            Risk analizi, tüm riskleri ve bu risklerin yönetilebilmesine ilişkin kar ve maliyet hesaplamalarını kapsar. Risk değerlendirmesi risklerin kontrol edilebilirlik derecesinin belirlenmesini de içerir. Kontrol edilebilir risklerin ne ölçüde azaltılabileceği hususu banka tarafından değerlendirilir. Kontrol edilemeyen risk yaratma ihtimali olan işlemler yapan bankalar, bunun hacmini özkaynaklarının gücünü dikkate alarak belirler ya da bu risklerin etkilediği banka faaliyetlerini azaltır ya da sona erdirir.

            Risk bilgilerinin doğru zamanda, doğru kişiye rapor edilmesi temin edilir. Risk bütünleştirme işleminde bilgi kaybının asgariye indirilmesi hususunda gerekli tedbirler alınır.

            Risklerin araştırılması, teyidi ve denetimi faaliyetleri iç kontrol ve dış denetim işlevleri kapsamında gerçekleştirilir. İç denetim risk yönetim sürecinin bütünlüğünün, doğruluğunun ve tutarlılığının incelenmesi üzerinde yoğunlaştırılır.

            Risk verilerinin tutarlılığının ve güvenilirliğinin incelenmesi ile oluşturulacak kurallar dahilinde, risk yönetimi sürecinde temel bir araç olan risk modellerinin ekonomik, istatistiksel ve diğer yönlerden tutarlılıklarının teyidi ve "geriye dönük test" işlemleri gerçekleştirir.

            RİSKLERİN ÖLÇÜLMESİ, İZLENİLMESİ VE YÖNETİMİ
            Madde 38-a) Bankalar, taşıdıkları tüm riskleri tespit edecek, ölçecek, kontrol edecek, yönetecek ve bu riskler için yeterli sermayeyi bulunduracak şekilde yönetim kurulunun ve üst düzey yönetimin izleme işlevini de içeren geniş kapsamlı bir risk yönetimi sistemi tesis ve idame ettirirler.

            Bankaların, cari olarak taşıdıkları riskler ile ileride maruz kalabilecekleri riskler için yeterli ve düzenli risk ölçüm, kontrol ve yönetim tekniklerine sahip olmaları zorunludur. Bankalar üstlendikleri riskler hakkında en doğru ve sürekli bilgiye sahip olmak için portföylerini günlük olarak izlerler.

            b) Bankaların temel risklerini oluşturan;

            1) Kredi riski, banka bünyesinde belirlenen kredi limitlerinin düzenli bir şekilde yeniden gözden geçirilmesi ve yeni limitler tesis edilmesi, senaryo analizleri ve saptanmış bulunan kredi limitleri dikkate alınarak, maruz kalınan kredi risk tutarlarının gözlemlenmesi faaliyetleri gerçekleştirilerek,

            2) Piyasa riski, faizlerin/fiyatların dalgalanma düzeyi ve "riske maruz değer-VaR" hesaplamaları gibi, kendi içinde tutarlı risk ölçü ve kriterleri kullanılarak, kontrolün ifasına ilişkin uygun usuller tesis edilerek ve saptanmış bulunan risk limitlerine olan uyum gözlemlenerek, banka organizasyon yapısı içinde riskin kaynaklarının araştırılması ve öğrenilmesi ve tüm organizasyon kademelerinde piyasa riskine ilişkin tutarlı bilginin sağlanması yoluyla,

            3) İşlemin sonuçlandırılamaması riski, karşı tarafın faaliyetlerini ve ödeme kabiliyeti limitlerini gözlemleyerek ve karşı taraf riskini ödeme öncesi süreçte yönlendirerek,

            4) Likidite riski, borçların fonlanabilme imkanının, pozisyonların likiditeleri ile uyumlulaştırılması, değişik aktif grupları ve finansal enstrümanlara ilişkin risklerin sınırlanması işlemleri çerçevesinde banka bünyesinde likidite bulundurma prensiplerinin geliştirilmesi ve bunlara uyumun kontrolü suretiyle,

            5) Operasyonel risk, uygun bir iç denetim sisteminin ve bunun gerektirdiği yetkilerin banka içinde dağıtımı mekanizmasının tesisi, bankanın tüm faaliyet sistemlerinin detaylı bir şekilde test ve kontrol edilmesi, iç ve dış sistemler arasında tam bir uyumun tesisi, tamamen bağımsız bir yedekleme imkanının tesisi suretiyle,

            6) Mevzuata ilişkin yetersiz bilgi risk, banka içindeki ve dışındaki, banka ile ilişkili tüm kişi ve kuruluşlarla ilişkilerde, yapılacak sözleşmelerde mevzuatın tam olarak dikkate alınması, gerekli dokümantasyonla desteklenmesi suretiyle yürütülmesi, düzenlemelere uyulmama riski ise faaliyetlerin mevzuata uygunluğunun kontroluna ilişkin mekanizmanın yeterli bir şekilde tesisi ve uygulanması suretiyle yönetilir.

            Bankalar, en uç noktalarda yer alabilecek unsurların ve bunların sonucunda ortaya çıkabilecek bir yükümlülük veya zararın, portföyleri ve risk yapıları üzerindeki olası etkilerini inceleyebilmek amacıy,a düzenli ve ayrıntılı olarak, stres testi ve senaryo analizi programları uygularlar. Sözkonusu programların sonuçları mümkün olduğu ölçüde risk sınırlarının veya limitlerinin tespitinde bir yönetim aracı olarak kullanılır.

            Belirlenen portföy stratejileri, yapılması planlanan işlemlerin etkin bir şekilde yürütülmesi ve bir kriz durumunda pozisyonların en iyi şekilde yönetilmesini sağlamak amacıyla açıkca ve sık aralıklarla operasyonel birim yöneticilerine bildirilir.

            KARLILIĞIN YÖNETİLMESİ
            Madde 39- Üst düzey yönetim ile risk yönetimi grubu, banka bünyesindeki temel operasyonel birimlerin kar ve zarar durumlarını, risk-getiri dengesini dikkate alarak değerlendirir. Operasyonel birimlerde direkt ve endirekt maliyet unsurları dikkate alınır. Karlılık ve maliyet ilişkisi bankadaki özel bir birimde müşteri ve şube bazında ve konsolide bazda izlenir. Bankada karlılık ve maliyet yönetimini destekleyen bir analiz sistemi ile bilgi-işlem sistemi oluşturulur.

            Kaynaklar her birime dağıtılırken sözkonusu risk-getiri dengesi ile risk-özkaynak ilişkisi de dikkate alınır. Kredilendirme ve mevduat kabulü işlemlerinde fiyatlama yapılırken operasyon ve kar planlaması, piyasa koşulları ve risk faktörleri rasyonel olarak değerlendirilir.

            Üst düzey yönetiminin kaynakları birimler arasındaki dağıtımı normal kar ve zarar yönetimi raporlamasına dayandırılır. Yeni faaliyet alanlarına girerken "risk-tahsis edilecek özkaynak" dengesinin gözönüne alınması ve her operasyon birimi için risk sınırlarını, tahsis edilen özkaynağa göre saptanması esastır.

            RİSK YÖNETİMİNDE GÖREV AYRIMI
            Madde 40- Risk kontrolü, banka hiyerarşik kademelerinde yukarıdan aşağıya doğru gerçekleştirilir. Kontrol hedefleri, düzgün bir iletişim alt yapısının kullanılması şartıyla, risk limit ihlallerini ve diğer bilgileri tutarlı ve etkin olarak bildirecek şekilde, alt kademelerde belirlenir.

            Alım-satım işlemlerinin icra edilmesinden sorumlu birimler ile sonuçlanan alım-satımların kaydedilmesinden ve değerlemesinden sorumlu birimler işlevsel ve fiziki olarak belirgin bir ayrıma tabi tutulur. Kayıt ve değerleme yapan birim elemanlarının, alım-satımı gerçekleştiren elemanlara bağlı olmasından ya da bunların astı olmasından kesinlikle kaçınılır.

            Alım-satım faaliyetlerine ilişkin olarak:

            a) Fiyatlama sürecinin alım-satım işlemlerinin kaydedilmesinden ve değerlemesinden sorumlu birim veya ayrı bir risk kontrol birimi yerine alım-satım işlemlerinin icra edilmesinden sorumlu birim tarafından yerine getirilmesinden;

            b) Piyasa fiyatlamasında kullanılan verilerin alım-satım işlemlerinin icra edilmesinden sorumlu birimden bağımsız olan kaynaklardan temin edilmemesi veya bağımsız olarak araştırılmamasından;

            c) Alım-satım işlemlerinin kaydedilmesinden ve değerlemesinden sorumlu biriminin pozisyon raporlarının alım-satım işlemlerinin icra edilmesinden sorumlu birim kayıtlarıyla mutabakatının aynı personel tarafından gözden geçirilmesinden;

            d) Gelen alım-satım teyitlerinin öncelikle alım-satım işlemlerinin kaydedilmesinden ve değerlemesinden sorumlu birim yerine, alım-satımı icra eden elemanlar tarafından alınmasından;

            e) Alım-satım ve kar ve zarar raporlarının alım-satımı icra eden elemanlar tarafından hazırlanmasından ve üst düzey yönetime bunlar tarafından intikal ettirilmesinden;

            f) Limitlerin izlenmesinin alım-satım birimine bağlı personel ile yürütülmesinden; kaçınılması sağlanır.

            BANKA İŞTİRAKLERİNİN RİSK YÖNETİMİNDE DİKKATE ALINMASI
            Madde 41- Banka ile bankanın üzerinde kontrol gücüne sahip bulunduğu doğrudan ve dolaylı iştiraklerinin konsolide bazda finansal performansları, kar ve zarar durumu izlenir; risk yönetimi konsolide bazda tesis edilir ve uygulanır. Risk yapısı ve finansal performans, konsolidasyon muhasebesi uygulamalarına dahil edilmemiş bulunan iştiraklerin durumlarının da dikkate alınmasıyla değerlendirilir.

            Bankanın tüm iştiraklerinin faaliyetlerinin izlenmesinden sorumlu ayrı bir birim tesis edilir. Ana ortaklık durumundaki banka, iştirakleri arasında gerçekleşen büyük hacimli işlemleri ve fon transferlerini izlemek ve kontrolü altında bulundurduğu yurt dışındaki bankaların risk profilini tanımlamak ve bilmek zorundadır.

            Ana ortak durumundaki banka, yurtiçi ve yurtdışı iştiraklerinin maruz kaldıkları riskleri düzenli olarak izlemek, sermaye tabanı, özkaynaklar gibi mali güce ilişkin kriterlere göre bu risklerin belirlenen sınırlar dahilinde bulunup bulunmadığını tespit etmek zorundadır.

            ACİL VE BEKLENMEDİK DURUM PLANI UYGULAMASI
            Madde 42- Üst düzey yönetim, beklenmeyen riskli olaylara karşılık oluşabilecek riskleri ve sorunları mümkün olduğunca yönetebilmek için üst düzey risk komitesinin de değerlendirdiği, yönetim kurulunca onaylanan bir acil ve beklenmedik durum planı hazırlar. Bu plan; bir rehber kitapçık haline getirilerek tüm banka personeline dağıtılır ve personelin plan ve üstlenmiş olduğu sorumluluk hakkında bilgi sahibi olması sağlanır. Planda belirtilen hususların eşgüdümü için yetkili bir birim tesis edilir.

            Plan, acil durum halinde müşterilerin ve personelin güvenliğine azami önem verir; ortaya çıkan sorun ya da kriz ile başa çıkmak için acil durum merkezi tesis edilir. Plan, banka operasyonları üzerinde muhtemel bir acil ve beklenmedik durumun etki derecesini değerlendirir; her banka operasyonu için bir öncelik sırasını, yetkinin devrini, acil ve beklenmedik bir durumda gerekli personel teminine ilişkin düzenlemeleri, acil ve beklenmedik durumlarda yönetim ile personelin temasının düzenini, sırasını ve yöntemini açık olarak belirler. Ödeme sistemlerine ilişkin acil ve beklenmedik bir durumda, Türkiye Cumhuriyet Merkez Bankası yetkilileri, bankalararası ödeme ve takas sistemleri sorumluları ve Kurum ile muhtemel haberleşme düzenini belirler; halkla ve müşterilerle ilişkileri sağlamak için kamuya açık bir haberleşme kanalı ya da ağı tesis edilmesini temin eder.

            Acil ve beklenmedik durum planı, elektrik, yakıt, su ve gıda kaynaklarını dikkate alır, varlıkların korunmasına yönelik tedbirleri ve hasar gören varlıkların değerlendirilmesine yönelik usulleri de içerir.

            Bankalar bir veri yedekleme merkezi kurmak veya diğer bankalarla ya da kuruluşlarla veri yedekleme işlemlerinin gerçekleştirilmesi hususunda güvence sağlayan anlaşmalar yapmakla yükümlüdürler. Güvence altına alınan veri yedekleri bir kasada veya uzak bir merkezde saklanır. Genel müdürlük ve şubeler arasında, buna ilaveten bilgi işlem merkezi ile şubeler arasında özel hatlar kullanarak çoklu haberleşme metodlarının kullanımı güvence altına alınır.

            Uygun sürelerde acil ve beklenmedik durum planlarını gözden geçirecek bir sistem oluşturulur ve bu planla ilgili olarak otomasyon ve diğer sistemlerde olası aksaklık ya da çöküş dikkate alınarak genel müdürlük ve şubelerde düzenli olarak tatbikat yapılır. Yerinde tatbikatın sonuçları uygun bir değerlendirmeyi müteakip üst düzey yönetime raporlanır ve planın yeniden gözden geçirilmesinde kullanılır.

            FAALİYETLERİN RİSKLİLİK DÜZEYİNİN DEĞERLENDİRİLMESİ
            Madde 43- Bankaların, oluşturdukları risk yönetim sistemlerinin değerlendirilmesi, konsolidasyona dahil her kuruluşu da kapsayacak şekilde ekteki (EK-1) matris yardımıyla yapılır. Bankalar, taşıdıkları risk kompozisyonlarını asgari olarak anılan matrisde belirtilen alanlar itibariyle izlemek ve değerlendirmek zorundadır.

            Asgari yıl sonlarında veya Kurumun belirlediği dönemler itibariyle bankalarca yazılı bir risk değerlendirmesi yapılır. Bu değerlendirmede;

            a) Banka teşkilatının konsolide ve konsolide olmayan bazda risk değerlendirmesi;

            b) Risklerin türleri ile münferit risklerin gelişim düzeyi ve yönü;

            c) Risklerin kaynaklandığı tüm belirgin işlevler, faaliyet alanları, ürünler ve tüzel kişiler ve risk profilini etkileyebilecek tüm önemli hususlar;

            d) Bir olumsuz hadisenin ortaya çıkma ihtimali ile bunun bankanın üzerindeki potansiyel etkisi arasındaki ilişki;

            e) Bankanın risk yönetim sisteminin tarifi, bankanın risk alması ve yönetmesine ilişkin iç ve dış denetçiler tarafından gerçekleştirilen risk değerlendirmeleri incelenir ve değerlendirilir.

            Risk değerlendirmede ortaya çıkan sorunlar yanında banka için tatmin edici olmayan gelişmelerin sebepleri irdelenir, tanımlanması yoluyla problemlerin anlaşılması sağlanır.
  

DÖRDÜNCÜ KISIM
DİĞER HÜKÜMLER

            İÇ DENETİM İLE RİSK YÖNETİM SİSTEMLERİNİN KURUM TARAFINDAN DEĞERLENDİRİLMESİ
            Madde 44- Kurum, ilgili bankalar nezdinde yerinde denetim tekniklerini de uygulamak suretiyle iç denetim sistemleri ile risk yönetim sistemlerini inceler ve değerlendirir. Yerinde denetim incelemeleriyle banka faaliyetlerini test ederek bankanın sözkonusu sistemlerine ilişkin kontroller ile iç denetimin ve risk yönetiminin bütünü hakkında bilgi verebilen özel kontrollerin güvenilirliği araştırılır.

            Kurum, bankaların taşıdığı riskler açısından bu Yönetmelikte yer alan usul ve esaslara göre yeterli ve etkin iç denetim ve risk yönetim sistemlerinin bulunmadığını belirlerse Bankalar Kanununun 14 üncü maddesi hükümlerine istinaden bankanın faaliyetlerinin kısıtlanması da dahil, gerekli tedbirleri alır.

            BİLDİRİM YÜKÜMLÜLÜĞÜ
            Madde 45-a) Bankalar, iç denetim işlevinin idame ettirilmesiyle yetkili kılınan yönetim kurulu üyesinin ve risk yönetimi grubu içinde yer alan komitelerin üyelerinin görevlendirilmelerini ve görevden ayrılmalarını, bu konudaki kararların alınmasını izleyen 10 gün içinde Kuruma yazılı olarak bildirmek zorundadır.

            b) Bankalar 1.7.2001 tarihinden başlamak ve konsolide bazda olmak üzere, iç denetim ve risk yönetimi teşkilatlarının durumunu ve sözkonusu teşkilattaki organizasyon değişikliklerini üçer aylık dönem sonlarında Kuruma bildirirler.

            c) Bankalar, Yönetmeliğin 43 üncü maddesine göre yapacakları yazılı risk değerlendirmesini, değerlendirmenin yapıldığı tarihi izleyen 2 ay içinde bir rapor halinde Kuruma gönderirler.

            YETKİ DEVRİ
            Madde 46- Banka yönetim kurulu, bu Yönetmelikle ilgili esasların uygulanmasında üst düzey yönetime yetki devredebilir. Ancak, bu devir, yönetim kurulunun risk yönetimini izlemesini ve yönlendirmesini hiçbir şekilde olumsuz etkileyemez.

            Geçici Madde 1- Bankalar, iç denetim ve risk yönetim sistemlerini 1 Ocak 2002 tarihine kadar bu Yönetmelik hükümlerine uygun hale getirmek zorundadırlar.

            Kurum bu tarihe kadar iç denetim ve risk yönetim sistemlerini Yönetmelik hükümlerine uygun hale getiremeyen bankalara, mazeretlerini geçerli görürse, altı ayı geçmemek üzere Yönetmeliğin Kurumca tespit edilen hükümleri ile sınırlı olmak üzere bir kez istisna tanıyabilir.

            YÜRÜRLÜK
            Madde 47- Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

            YÜRÜTME
            Madde 48- Bu Yönetmelik hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.