Bilgi Sistemleri Yönetimi
Giriş
6362 sayılı Sermaye Piyasası Kanunu’nun[1] (“Sermaye Piyasası Kanunu”), 128’inci maddesine göre Sermaye Piyasası Kurulu’nun (“SPK”) görevlerinden biri, sermaye piyasası kurumlarının, halka açık şirketlerin, borsaların ve öz düzenleyici kuruluşların bilgi sistemlerinin işletimine ve Sermaye Piyasası Kanunu çerçevesindeki denetimine ilişkin usul ve esasları belirlemektir. Bu kapsamda, Sermaye Piyasası Kanunu hükümlerine dayanılarak 5 Ocak 2018 tarih ve 30292 sayılı Resmi Gazete’de Bilgi Sistemleri Yönetimi Tebliği (VII - 128.9) (“Yönetim Tebliğ”) ve Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) (“Denetim Tebliğ”, Yönetim Tebliğ ve Denetim Tebliğ birlikte “Tebliğler” olarak anılacaktır) yayımlandı. Her iki Tebliğ de Resmi Gazete’de yayımlanmaları ile birlikte yürürlüğe girdi. Yönetim Tebliğ, kapsamına giren kuruluşların bilgi sistemlerinin yönetimine uygulanacak usul ve esasları belirlerken, bilgi sitemlerinin bağımsız denetimine ilişkin detaylar da Denetim Tebliğ’inde yer alır. Bu makalede; Yönetim Tebliğ’inin kapsamı, getirilen yenilikler, özellikle sistemlerin Türkiye Cumhuriyeti’nde tutulması ve yaptırımlar ele alınacaktır.
Yönetim Tebliğ’inin Kapsamı
Her iki Tebliğ’in kapsamı da Borsa İstanbul A.Ş., borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri, emeklilik yatırım fonları, İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., portföy saklayıcısı kuruluşlar, Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., sermaye piyasası kurumları, halka açık ortaklıklar, Türkiye Sermaye Piyasaları Birliği ve Türkiye Değerleme Uzmanları Birliği’ni kapsar. Söz konusu kurum, kuruluş ve ortaklıklardan, banka ve sigorta şirketleri ile finansal kiralama, faktöring ve finansman şirketlerinin bilgi sistemleri kendi özel mevzuatlarında belirlenen ilkelere uyumlu olmalıdır. Bu çerçevede yönetilmesi, Yönetim Tebliğ’inde öngörülen yükümlülüklerin yerine getirilmesi hükmünde sayılır.
Bilgi Sistemleri: Birincil ve İkincil Sistemler
Yönetim Tebliğ uyarınca birincil sistem “Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamı” olarak tanımlanır. Yönetim Tebliğ altında ikincil sistemler ise “birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna ilişkin alt düzenlemelerde Kurum, Kuruluş ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedekleri” olarak ifade edilir. Bu kapsamda kanun koyucu, bilgi sistemlerini Sermaye Piyasası Kanunu kapsamına giren veya SPK tarafından talep edilen faaliyetlerin yerine getirilmesi sırasında kullanılan bilgi sistemlerini de içerecek şekilde geniş bir tanım yapmıştır.
Yönetim Tebliğ’inin 26’ıncı maddesi (Bilgi Sistemleri Sürekliliği) uyarınca kurum, kuruluş ve ortaklıkların birincil ve ikincil sistemlerini Türkiye’de bulundurmaları zorunludur. Uygulamada birçok halka açık şirketin bilgi sistemleri yurtdışında bulunan bulut hizmeti sağlayıcıları tarafından yönetilir. Bu yeni düzenleme ile söz konusu şirketlerin sistemlerini Türkiye’ye taşımalarının gerekip gerekmeyeceğine dair tartışmalar doğdu. Ancak, SPK, 8 Mart 2018 tarihli ve 2018/10 sayılı SPK Bülteni’nde ilgili tartışmalara açıklık getirdiği ilke kararını duyurdu. Buna göre; bilgi sistemleri bağımsız denetim zorunluluğu bulunmayan halka açık ortaklıkların, bu aşamada birincil sistemlerini yurtiçinde bulundurma zorunlulukları bulunmaz. Ancak, bilgi sistemleri bağımsız denetim kapsamına girecek kurum, kuruluş ve ortaklıkların tedrici olarak genişletilmesi planlanmaktadır. Halka açık ortaklıklar, bilgi sistemleri bağımsız denetimine tabi olacakları dönem itibarıyla, birincil sistemlerini Türkiye’de tutmak zorunda olacaklardır.
Bilgi Sistemlerinin Yönetimi
Yönetim Tebliğ’inin yürürlüğe girmesinin sebebi bilgi sistemlerinin daha güvenilir, etkili, sürdürülebilir bir şekilde kurulmasını ve yönetimini sağlamak ve buna ilişkin uygulanacak usul ve esasları belirlemektir. Bu amaçla, Yönetim Tebliğ’ine göre bilgi sistemlerinin kuruluşuna ilişkin politikalar ile bunların yönetimi ve kullanımı ve bilginin gizliliği, bütünlüğü ve gerekirse bilgilere erişimin sağlanmasına yönelik bilgi güvenliği hakkındaki her türlü kural üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onayı müteakiben ilgili politikalar çalışanlara duyurulur.
Üst yönetim politikaların uygulanmasının gözetiminden sorumludur. Ancak ilgili kontrollerin bilgi sistemleri üzerinde etkin ve yeterli bir şekilde tesis edilmesinden yönetim kurulu sorumlu olur. Yönetim Tebliğ ayrıca üst yönetimin; belirlenen politikaları ve buna ilişkin sorumlulukları yıllık olarak gözden geçirmesi için bir takım mekanizmalar oluşturması, risklerin tespiti ve risk yönetiminin yapılabilmesi, bilgi güvenliğine aykırı olayların gözetilmesi ve bunların değerlendirilmesi, bilgi güvenliği farkındalığını arttırmak için çalışanlara eğitimler düzenlenmesi gibi farklı sorumluluklarını da düzenler.
Yönetim Tebliğ, kapsamına giren kurum, kuruluş ve ortaklıkların; bilgi sistemleri güvenliğine ilişkin süreç ve prosedürlerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliğiyle ilgili yeterli teknik bilgi ve tecrübeye sahip bir bilgi sistemleri güvenliği sorumlusu atamalarını gerekli kılar. Bilgi sistemleri güvenliği sorumlusu üst yönetime riskler ve bu risklerin yönetilmesi hususunda rapor vermekle yükümlüdür. Söz konusu Tebliğ uyarınca kurum, kuruluş ve ortaklıkların bilgi sistemleri; bilgi güvenliği gereklerinin yerine getirilmesi hususunda sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur.
Yönetim Tebliğ’inde belirtildiği üzere, kanun koyucu bilgi sistemleri kontrolleri kapsamında uyulması gereken asgari kıstasları belirler. Bunlar özetle (i) süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların tanımlanması, (ii) kontrol süreçlerinin periyodik biçimde tanımlanması ve (iii) her kontrol sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının ölçülebilir olmasıdır. Diğer konuların yanı sıra, ilgili Tebliğ altında ayrıca (bilgilerden oluşan) varlıkların yönetimini; sisteme, veri tabanına ve uygulamanın geliştirilmesine ilişkin görevlerin ayrılığını, güvenlik konularını, kimlik doğrulamayı, denetim izi kayıt mekanizmasını, müşterilerin bilgilendirilmesine ilişkin kuralları ve en nihayetinde de bazı kurum, kuruluş ve ortaklıklara bazı yükümlülüklerine ilişkin tanınan kısıtlı muafiyetleri düzenlenir.
Yaptırımlar
Yönetim Tebliğ’inde yer alan hükümlere aykırılık olması durumunda, Sermaye Piyasası Kanunu’nun 103’üncü maddesi (Genel Esaslar) uygulanır. Buna göre, 27.047 TL’den 338.088 TL’ye kadar idari para cezasına hükmedilebilir.
Sonuç
Bilgi sistemlerinin yönetimine uygulanacak usul ve esasları belirleyen Yönetim Tebliğ’inin yürürlüğe girmesi ile beraber, bilgi sistemlerinin daha güvenilir, etkili, sürdürülebilir bir şekilde kurulması ve yönetiminin sağlanması amaçlandı. Sermaye Piyasası Kanunu uyarınca kurulmuş veya söz konusu kanuna tabii olan tüm kuruluşlar Yönetim Tebliğ’inin kapsamına girer. Birincil ve ikincil sistemlerin Türkiye’de tutulması zorunluluğuna ilişkin getirilen düzenlemeyle ilgili tartışmalar, mevcut durumda SPK’nın yapmış olduğu açıklama ile giderilmeye çalışıldı. Ancak, konunun daha detaylı ve açık bir şekilde ele alınması gerekir. İlgili Tebliğ ile bilgi sistemlerinin kurulması, işletilmesi, yönetimi ve kullanılmasına ilişkin politikalar ve her türlü bilgi güvenliği politikaları, bunlardan sorumlu olan taraflar ve diğer detaylar düzenlenir.
[1] 6362 Sayılı Sermaye Piyasası Kanunu, RG, No. 28513, 30.12.2012.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Türkiye otomobil ve hafif ticari araç piyasası, 2000’li yılları sürekli yükselen, 2010’lu yılları ise yine yüksek ve stabil seyreden satış adetleriyle geride bıraktı. Bu dönemde pazarın büyümesinde, alım gücünün yüksekliği kadar, krediye kolay ulaşım ve ürün çeşitliliği de etkiliydi. Üretimin de benzer şekilde artmasıyla birlikte...
6102 sayılı Türk Ticaret Kanunu (“TTK”) m. 638 ila TTK m. 640 arasında limited şirketlere özel düzenlenen çıkma ve çıkarılma kurumları ile anonim şirket yapısından farklı olarak limited şirket ortaklarına şirketten çıkma ve şirkete de ortağı çıkarma hakkı tanımaktadır...
6102 sayılı Türk Ticaret Kanunu (“TTK”), anonim şirketleri yönetim kurulunun idare ve temsil edeceği kuralını korur. TTK, temsil yetkisinin nasıl kullanılacağını, temsile yetkili kişilerin tescil ve ilanını, temsil yetkisinin devrini ve sınırlarını düzenler. Aşağıda yetkinin devri başta olmak üzere, anonim şirketlerde temsil yetkisi...
Adi ortaklıklar Türk Hukuku’nda 6098 sayılı Türk Borçlar Kanunu’nun (“TBK” veya “Kanun”) 620 ve 645. maddeleri arasında düzenlenir. Adi ortaklık sözleşmesi Kanun’da, iki veya daha fazla kişinin emeklerini veya mallarını ortak bir amaca erişmek üzere birleştirmeyi üstlendiği sözleşme olarak tanımlanır...
Birleşme ve devralma süreçleri; şirketlerin benliklerini ve hukuki statülerini en ciddi şekilde etkileyen hukuki süreçlerin başında gelir. Hukuki, vergisel, finansal ve operasyonel incelemelerin yürütülmesinin ardından taraflar işlemin gerçekleştirilmesi konusunda bir mutabakata vardığı takdirde müzakere süreci başlar...
Franchising, pazar erişimini ve marka bilinirliğini dünya çapında genişletmek için kullanılan popüler bir iş modelidir. Tek marka satma koşulu içeren mağaza sözleşmeleri (mono-brand store agreements) şeklindeki dağıtım sözleşmelerine kıyasla daha az yaygın olmasına rağmen franchising, lüks markaların dağıtım...
Yargıtay Hukuk Genel Kurulu (“HGK”) 2019/149 E. 2022/894 K. sayılı 14.06.2022 tarihli kararında tüzel kişilik perdesinin aralanması teorisini, kredi sözleşmesinden kaynaklanan bir uyuşmazlıkta kefil ile borç alan şirket arasındaki ilişki bağlamında değerlendirdi. HGK, tüzel kişilik perdesinin aralanması...
Avrupa Birliği yabancı yatırımcılar için önemli bir yatırım merkezi olmaya devam ediyor. Avrupa Komisyonu’nun hazırladığı Avrupa Birliği’ne gelen doğrudan yabancı yatırımların izlenmesine ilişkin İkinci Yıllık Rapor’da yer alan verilere göre Avrupa Birliği 2021 yılında 117 Milyar Euro değerinde yabancı doğrudan...
Pay devrinin, bir sermaye şirketinin paylarına ilişkin hukuki işlemler arasında ilk akla gelen, uygulamada da en sık karşılaşılan işlem olduğu söylenebilir. Bununla beraber bir sermaye şirketinin payı, devir dışında işlemlere de konu olabilir. Bunlara ilişkin örnekler, uygulamada en sık görüldüğü ve öğreti tarafından...
Hızla büyüyen ve gelişen e-ticaret sektöründeki oyuncuların davranışlarını düzenlemek amacıyla 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun (E-ticaret Kanunu veya Kanun) kısa süre önce köklü bir değişime uğramıştı. 1 Ocak 2023 itibariyle yürürlüğe giren yeni düzenlemeler ile e-ticaret...
11 Haziran 2021'de Alman Federal Meclisi, yalnızca Alman şirketlerini değil, aynı zamanda bu şirketlerin yabancı ülkelerdeki (Türk kuruluşları dahil) tedarikçilerini de etkileyen Alman Tedarik Zinciri Uyum Yasası’nı (Lieferkettensorgfaltsgesetz) ("Yasa") onayladı. 1 Ocak 2023 tarihinde yürürlüğe giren...
İsviçre Federal Konseyi, 21 Aralık 2007 tarihinde şirketler hukukuna ilişkin değişiklikleri de içeren İsviçre Borçlar Kanunu revizyon taslağını onayladı. Federal Konsey 28 Kasım 2014 tarihinde taslak revizyonu görüşe açtı. Kapsamlı tartışmalar ve uzun bir yasalaşma sürecinin ardından, İsviçre Borçlar Kanunu'nda...
6102 sayılı Türk Ticaret Kanunu’nun beşinci kitabı olan deniz ticaretine ilişkin hükümler altında dördüncü kısmı altında deniz ticareti sözleşmeleri düzenlenir. Bu bölümde düzenlenen sözleşme tipleri içerisinde uluslararası deniz taşımacılığı pratiğinde en sık kullanılan, üçüncü bölümde m.1138 vd. maddelerinde...
6362 sayılı Sermaye Piyasası Kanunu (“SerPK”) ile geniş şekilde düzenlemeye gidilen en önemli konulardan biri de örtülü kazanç aktarımı yasağıdır. Mülga 2499 sayılı Sermaye Piyasası Kanunu’nun 15nci maddesinden daha geniş bir düzenleme getiren SerPK madde 21 ile düzenleyici kamu otoritesi olan...
Gelişmekte olan ticari faaliyetler ve özellikle inşaat, enerji ve madencilik alanlarında yapılmakta olan geniş çaplı yatırımlar neticesinde şirketler, güçlerini birleştirerek bu yatırımlara iştirak etmek ve gerek uzmanlıklarını, gerekse finansman imkânlarını birlikte kullanarak daha güçlü bir şekilde projelerde yer almak...
Türk Ticaret Kanunu (“TTK veya Kanun”) 159’uncu ve devam maddelerinde bölünme hükümlerine yer vererek, şirketlere farklı yapılanma modellerini uygulama ve yeni hukuki oluşumları hayata geçirme imkanı tanımaktadır. Şirketler bölünme yöntemini kullanarak belirli bir malvarlığı unsurunu veya unsurlarını...
FIDIC (Fédération Internationale Des Ingénieurs-Counseils) kısaltılmış adıyla anılan Müşavir ve Mühendisler Uluslararası Federasyonu, 1913 yılında kurulmuş bir meslek örgütüdür. Üyeleri çeşitli ülkelerden usulüne uygun olarak seçilmiş müşavir-mühendis birlikleri olup Örgüt’e üyelik her ülkeden tek bir meslek birliği...
INCOTERMS, milletlerarası ticarette sıklıkla kullanılan ticari terimleri açıklamak için Milletlerarası Ticaret Odası (ICC) tarafından yayımlanan bir kurallar bütünü olarak tanımlanabilir. Anılan kuralların amacı, milletlerarası ticareti güvenli bir şekilde kolaylaştırmak ve hızlandırmaktadır...
Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından hazırlanan ve 31 Ekim 2012 tarihli Resmi Gazete ’de yayınlanarak yürürlüğe giren Limanlar Yönetmeliği (“Yönetmelik”) her bir liman için ayrı ayrı çıkarılmakta olan tüzük, yönetmelik ve talimatları tek bir Yönetmelikte bütünleştirmektedir. Bu yönde...
Kural olarak sözleşmeden doğan hak ve borçlar sadece sözleşmenin tarafı olan alacaklı ve borçlu arasında hukukî sonuç doğurur. Bu prensip hukukumuzda “sözleşmelerin nispiliği” olarak adlandırılır. Genel olarak, sözleşmenin tarafları dışındaki üçüncü kişiye bir edimin yerine getirilmesinin üstlenildiği...
Dijitalleşen dünyada büyüyen ve gelişen e-ticaretin kuralları değişiyor. Önceleri dijital pazarın odak noktası olarak gösterilen e-ticaret, çok geçmeden dijital ekonominin itici gücü olarak ifade edilmeye başladı. Ancak e-ticaretin büyüme hızı ve kısa süre içinde geçirdiği dönüşüm dikkate alındığında...
Bir şirketin feshi, tescil ile kazanılan tüzel kişiliğin ortadan kalkmasına yol açarak, şirketin sona erme sebeplerinden biri olarak karşımıza çıkan infisahın, özellikli bir görünümüdür. Hâkimin inşai hükmüyle bir şirketin feshine ve bunun doğal sonucu olarak sona ermesine yol açan bu özel dava türü...
Kontrol veya yönetimin bir ailenin üyelerine ait olduğu şirketler, aile şirketi olarak kabul edilir. Aile üyeleri, şirket kontrolünü sağlayan payları elinde tutabildiği gibi yönetim yetkisini de elinde bulundurur. Aile şirketleri, aile üyeleri için fırsat, güvence ve gelir demektir...
Türkiye 7 Aralık 1993 tarihli 3939 sayılı Kanun ile Eşyaların Karayolundan Uluslararası Nakliyatı için Mukavele Sözleşmesi’ne (“CMR”) katılmayı uygun buldu ve CMR Türkiye’de 31 Ekim 1995 tarihinde yürürlüğe girdi. CMR’nin 1/1 maddesi uyarınca, tarafların tabiiyeti ve ikamet yerinden bağımsız olarak...
Türk hukukunda adi ortaklıklar 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) 620 ve devamı maddelerinde düzenlenir. Adi ortaklık sözleşmesi, iki veya daha fazla kişinin emeklerini veya mallarını ortak bir amaca (nihai olarak kazanç elde etme amacına) ulaşmak üzere...
Anonim şirketlerde örtülü kazanç aktarımı, geniş anlamda şirket malvarlığının ilişkili taraflara aktarılmasını konu alan ve birçok farklı görünümü barındıran bir kavram olarak karşımıza çıkar. Sermaye piyasaları hukukunda kanun seviyesinde ve...
Çoğunlukla start-up yatırımlarında karşımıza çıkan sermaye iştirak sözleşmeleri, bir yatırımcının bir şirkette sermaye artırımı ile çıkarılacak yeni payları taahhüt ederek sermaye artırımına katılması ve pay sahibi olmasına ilişkin hüküm ve koşulları düzenler...
Belirli koşulları taşıdığı takdirde ıslak imza ile aynı hukuki sonuçları doğuran elektronik imza, pek çok hukuk sisteminde kendine yer edinmiş ve ticari hayatın hız kazanmasını sağlamıştır. Farklı hukuk sistemlerinde çeşitli türleri ve uygulamaları bulunsa da elektronik imzanın...
INCOTERMS, milletlerarası ticarette sıklıkla kullanılan ticari terimleri açıklamak için Milletlerarası Ticaret Odası (ICC) tarafından yayımlanan bir kurallar dizisidir. Incoterms kurallarının amacı milletlerarası ticaretin güvenli ve hızlı bir şekilde yürütülmesine katkıda bulunmak ve bunu kolaylaştırmaktır...
6102 sayılı Türk Ticaret Kanunu (“TTK”), anonim şirketleri yönetim kurulunun idare ve temsil edeceği kuralını korur. TTK, temsil yetkisinin nasıl kullanılacağını, temsile yetkili kişilerin tescil ve ilanını, temsil yetkisinin devrini ve sınırlarını düzenler. Bu ayki hukuk postası makalesi, yetkinin devri başta olmak üzere...