Mali Hizmetlerde Dışarıdan Hizmet TeminiBu dokümanda, temel meseleler ve riskler belirtilmektedir ve temel ilkeler öne sürül-mektedir. Bu ilkeler, bankacılık, sigorta ve menkul

Bankacılar Dergisi, Sayı 56, 2006

73

Mali Hizmetlerde Dışarıdan Hizmet Temini*

Basel Bankacılık Denetim Komitesi

1. Yönetici Özeti

Dünyanın her tarafındaki mali hizmetlerle ilgili işletmeler, normal olarak kendilerininüstlenecekleri faaliyetleri yürütmek için, üçüncü tarafları gittikçe daha fazla kullanmaktadır-lar. Düzenleyiciler tarafından yapılan endüstri araştırmaları ve anketleri, mali firmaların, dü-zenlemeye tabi olan ve olmayan faaliyetlerinin önemli kısmını dışarıdan temin ettiklerinigöstermektedir. Destek hizmetleri olarak da adlandırılan dışarıdan temin faaliyetine yönelikdüzenlemeler de, gittikçe daha karmaşık hale gelmektedir.

Dışarıdan hizmet temini, düzenlemeye tabi olmayabilen ve kıyı bölgelerinde faaliyetgösterebilen üçüncü taraflara, riski, yönetimi ve uyumu geçirme potansiyeline sahiptir.

Bu durumlarda, mali hizmet işletmeleri, kendi işletmelerinden sorumlu olarak kaldık-larına ve kendi iş risklerini kontrol ettiklerine nasıl güvenebilirler? Onlar, düzenleme ile ilgilisorumluluklarına uymakta olduklarını nasıl bilebilirler? Düzenleyiciler sorduğunda, bu işlet-meler, bu sorumluluklarına uymakta olduklarını nasıl gösterebilirler?

Bu soruların cevaplandırılmasına yardımcı olmak ve düzenlemeye tabi kuruluşlara yolgöstermek için, Ortak Forum, dışarıdan hizmet teminine ilişkin yüksek seviyede ilkeler geliş-tirmek amacıyla bir çalışma grubu kurmuştur.

Bu dokümanda, temel meseleler ve riskler belirtilmektedir ve temel ilkeler öne sürül-mektedir. Bu ilkeler, bankacılık, sigorta ve menkul kıymetler sektörleri için geçerlidir ve herbir sektörle ilgili uluslararası komiteler1, daha belirli ve odaklanmış rehberlik sunmak için, builkelerden yararlanabilirler, Seçilmiş uluslararası olay incelemeleri (Ek A’ya bakınız), bu so-ruların neden önemli olduğunu göstermektedir.

Dışarıdan mal ve hizmet temini, günümüzde, hem maliyetleri düşürmenin, hem destratejik amaçları gerçekleştirmenin bir aracı olarak gittikçe daha fazla kullanılmaktadır. Onunpotansiyel etkisi, bilgi teknolojisi (örneğin, uygulamaların geliştirilmesi, programlama vekodlama), belirli faaliyetler (örneğin, finansman ve muhasebenin bazı yönleri, arka ofis faali-yetleri ve işlem ve idare) ve sözleşme fonksiyonları (örneğin, çağrı merkezleri) da dahil ol-mak üzere, birçok işletme faaliyetlerinde görülebilir. Endüstri raporları ve endüstri uygula-malarına ilişkin düzenleyici anketler göstermektedir ki, mali firmalar, diğer firmaların (birkurumsal grup bünyesindeki ilgili firmaların ve üçüncü taraf hizmet sağlayıcıların) işletmenindüzenlemeye tabi olan ve olmayan faaliyetlerinin önemli kısımlarını yürüttükleri düzenleme-lere girmektedirler2.

* BIS, (Şubat 2005), “The Joint Forum: Outsourcing in financial services”, Basel Committee on Banking Su-pervision, Bank for International Settlements, www.bis.org


74

Bir örgüt içindeki faaliyetler ve fonksiyonlar, çeşitli şekillerde yapılır ve sunulurlar.Bir kurum, ürün imalatı, pazarlama, arka ofis ve dağıtım gibi fonksiyonları, düzenlenen ku-rumun bünyesinde bölebilir. Düzenlenen kurumun, böyle düzenlemeleri kurum içinde tuttuğufakat bazı faaliyetleri çeşitli yerlerden işlettiği durumlarda, bu, dışarıdan temin olarak sınıf-landırılmaz. Bu nedenle bu kurumun, bunun sunduğu riskleri, kendi normal risk yönetim çer-çevesi içinde karşılaması beklenir.

İlgili kuruluşlar bazı faaliyetleri yürütürken, ilişkili olmayan hizmet sağlayıcıların di-ğer faaliyetleri yürütmesini sağlayan, gittikçe daha karmaşık düzenlemeler geliştirilmektedir.Ortak Forum ilkeleri, hizmet sağlayıcının düzenlemeye tabi bir kuruluş olması veya olmamasıhalinde geçerli olacak şekilde tasarlanmıştır.

Endüstri ve düzenleme ile ilgili çeşitli raporlarda, dışarıdan teminin, genellikle sınırötesi bazda risk devri yönetimi ile ilgili meseleler ortaya çıkardığı belirtilmiştir ve faaliyetle-rin dışarıdan temin edilmesine artan ölçüde dayanılmasının, düzenlenen kuruluşların kendirisklerini yönetme ve düzenleyici gereksinimlere uyumlarını izleme yeteneklerini etkileyebi-leceği, endüstri ve düzenleyiciler tarafından tasdik edilmektedir. Ayrıca, düzenleyiciler, dışa-rıdan teminin, düzenlenen kuruluşların, kendi risklerini yönetmek ve geçerli yönetmeliklereuymak için uygun adımlar atmakta olduklarını düzenleyicilere (örneğin, incelemeler vasıta-sıyla) kanıtlama yeteneklerini potansiyel olarak nasıl etkileyebileceği konusunda kaygılıdırlar.

Dışarıdan temin faaliyetlerinin ortaya çıkardığı kaygılar arasında, düzenlenen bir ku-ruluşun varlığını ve müşterilere karşı olan yükümlülüklerini sürdürmeye devam etmesi açısın-dan kritik öneme sahip olan dışarıdan temin faaliyetlerine aşırı dayanma olasılığı vardır.

Düzenlenen kuruluşlar, kapsamlı ve net dışarıdan temin politikaları hazırlamak, etkinrisk yönetimi programları tesis etmek, dışarıdan hizmet temin firmasından beklenmeyen du-rum planlaması istemek, uygun dışarıdan hizmet temin sözleşmeleri müzakere etmek ve hiz-met sağlayıcının mali ve altyapı kaynaklarını analiz etmek üzere (ilkelerde tartışıldığı şekilde)adımlar atmak suretiyle, bu riskleri azaltabilirler.

Düzenleyiciler, sistem ile ilgili riskler ele alındığında üçüncü taraf sağlayıcılarda yo-ğunlaşma risklerini hesaba katarken, münferit firmalara ilişkin değerlendirmelerinde dışarıdanteminin yeterince dikkate alınmasını temin etmek suretiyle de, kaygıları azaltabilirler.

Düzenleyicilerin özellikle ilgilendikleri bir konu, düzenlenen kuruluşta güçlü kurum-sal yönetişimin muhafaza edilmesidir. Bu bakımdan, bir dışarıdan hizmet temin firmasınınyönetiminin, düzenleme ile ilgili sorumluluklarını yerine getirmesini engelleyen dışarıdan te-min faaliyetleri, düzenleyiciler açısından bir kaygı kaynağıdır. Hızlı BT yenilik oranı ile bir-likte dış hizmet sağlayıcılarına aşırı dayanılması, piyasa ve düzenlemenin bir bileşimi ile sı-nırlandırılmadıkça, sistemle ilgili problemlere yol açma potansiyeline sahiptir.

Bu dokümanda, bu kaygılar daha ayrıntılı olarak belirtilmeye ve firmalara ve düzenle-yicilere, firmaların verimlilik ve etkinliğini engellemeksizin bu kaygıları daha iyi azaltmaları-na yardımcı olmak için onlara yol gösteren bir dizi ilke geliştirmeye çalışılmaktadır.

2. Kılavuz İlkeler – Genel Bakış

Ortak Forum, aşağıda verilen yüksek seviyedeki ilkeleri geliştirmiştir. İlk yedi ilke,düzenlenen kuruluşlar faaliyetlerini dışarıdan temin ettiklerinde onların sorumluluklarını kap-

Bankacılar Dergisi

75

samaktadır ve son iki ilke ise, düzenleyici rolleri ve sorumlulukları kapsamaktadır. Burada, builkelere bir genel bakış sunulmaktadır. Daha fazla ayrıntı, 9. bölümde bulunabilir.

I. Dışarıdan faaliyetler temin etmek isteyen bir düzenlenen kuruluş, o faaliyetlerin dışarıdannasıl uygun bir şekilde temin edilebileceğinin ve temin edilip edilemeyeceğinin değerlen-dirilmesine yol gösterecek kapsamlı bir politika yerleştirmelidir. Dışarıdan temin politikasıve o politika altında üstlenilen faaliyetlere ilişkin genel sorumluluk, yönetim kuruluna ve-ya eşdeğer bir organa aittir.

II. Düzenlenen kuruluş, dışarıdan temin faaliyetlerini ve hizmet sağlayıcısı ile ilişkiyi ele al-mak için kapsamlı bir dışarıdan temin risk yönetimi programı tesis etmelidir.

III. Düzenlenen kuruluş, dışarıdan temin düzenlemelerinin, müşterilerine ve düzenleyicilerekarşı olan yükümlülüklerini yerine getirme yeteneğini azaltmamasını ve düzenleyiciler ta-rafından etkin denetimi engellememesini temin etmelidir.

IV. Düzenlenen kuruluş, üçüncü taraf hizmet sağlayıcılarını seçerken, gereken incelemeyiyapmalıdır.

V. Dışarıdan temin faaliyetleri, tüm tarafların hakları, sorumlulukları ve beklentileri de dahilolmak üzere, dışarıdan temin düzenlemesinin tüm önemli yönlerini açıkça tarif eden yazılıanlaşmalara tabi olmalıdır.

VI. Düzenlenen kuruluş ve onun hizmet sağlayıcıları, felaketten sonra iyileşme ve yedek te-sislerin periyodik olarak test edilmesini içeren beklenmeyen durum planlarını tesis ve i-dame ettirmelidirler.

VII. Düzenlenen kuruluş, hizmet sağlayıcılarından, hem düzenlenen kuruluşun, hem de müşte-rilerinin gizli bilgilerini, bilerek veya bilmeyerek yetkisiz kişilere ifşa edilmeye karşı ko-rumasını istemek için uygun adımlar atmalıdır.

VIII. Düzenleyiciler, dışarıdan temin faaliyetlerini, düzenlenen kuruluşun devam eden değer-lendirilmesinin ayrılmaz bir parçası olarak dikkate almalıdırlar.

Düzenleyiciler, dışarıdan temin düzenlemelerinin, düzenlenen bir kuruluşun düzenleme ileilgili yükümlülüklerini yerine getirme yeteneğini engellemeyen uygun araçlar ile, kendikendilerine güvence sağlamalıdırlar.

IX. Düzenleyiciler, çok sayıda düzenlenen kuruluşun dışarıdan temin faaliyetlerinin, sınırlısayıdaki hizmet sağlayıcılarında yoğunlaştığı durumda oluşan olası risklerin farkında ol-malıdırlar.

3. Tanım

Bu dokümanda dışarıdan temin, düzenlenen bir kuruluşun şimdi veya gelecekte, nor-mal olarak kendisi tarafından üstlenilecek faaliyetleri devamlı olarak ifa etmesi için üçüncübir tarafı (kurumsal grup bünyesindeki bir yan kuruluşu veya kurumsal grubun dışındaki birkuruluşu) kullanması olarak tanımlanmaktadır.


76

Dışarıdan temin, bir faaliyetin (veya o faaliyetin bir kısmının) düzenlenen bir kuru-luşta üçüncü bir tarafa ilk devri veya bir faaliyetin (veya onun bir kısmının) bir üçüncü tarafhizmet sağlayıcısından başka birine ilave devri olabilir; ki bu, bazen “taşerona verme” olarakanılır. Bazı ülkelerde, ilk dışarıdan temin de, taşerona verme olarak anılmaktadır.

Firmalar, bu ilkeleri, dışarıdan temin tanımına giren faaliyetlere uygularken, birkaçfaktörü gözönüne almalıdırlar. Birinci olarak, bu ilkeler, dışarıdan temin edilen faaliyetin,firmanın işi açısından önem derecesine göre uygulanmalıdırlar. Bu faaliyetin önemli olmama-sı halinde bile, dışarıdan hizmet temin eden kuruluş, bu ilkeleri uygulamanın uygunluğunu elealmalıdır. İkinci olarak, dışarıdan hizmet temin eden kuruluş ile hizmet sağlayıcısı arasındakibağlı kuruluş ilişkisini veya diğer ilişkiyi düşünmelidirler. Dışarıdan Temin İlkelerini bağlıkuruluşlara uygulamak gerekli olmakla birlikte, onları, grup içindeki dış temine ilişkin farklırisk dereceleri potansiyelini gözönüne alacak şekilde değiştirerek benimsemek uygun olabilir.Üçüncü olarak, firma, hizmet sağlayıcısının, bağımsız denetime tabi bir düzenlenen kuruluşolup olmadığını gözönüne almalıdır.

Bu tanıma göre, dışarıdan temin, satınalma sözleşmelerini kapsamayacaktır; ancak, dı-şarıdan teminde olduğu gibi, firmalar, satınalmakta oldukları şeyin, düşünülen amaca uygunolmasını temin etmelidirler. Diğer tanımların yanı sıra, satınalma, satınalan firmanın, müşte-rilerine ilişkin olan, halka açık olmayan mülkiyet altındaki bilgiler veya kendi iş faaliyetleriile ilgili diğer bilgiler devredilmeksizin, bir satıcıdan hizmet, mal veya tesisler iktisap edilme-si olarak tanımlanmaktadır.

Bu dokümanda, düzenlenen kuruluş, bir düzenleyici tarafından, düzenlenen bir faaliyetiçin yetkili kılınan kuruluş olarak anılacaktır. Bu dokümanda belirtilen ilkeler, böyle kuruluş-ları hedeflemektedir.

Üçüncü taraf veya hizmet sağlayıcısı, düzenlenen kuruluş adına, dışarıdan temin edi-len faaliyeti üstlenen kuruluş olarak anılmaktadır.

Düzenleyici terimi, firmalara, herhangi bir düzenlenen faaliyeti üstlenme izni veren veo faaliyeti denetleyen tüm denetleyici ve düzenleyici makamlar olarak anılmaktadır.

4. Endüstri Uygulamasındaki Gelişmeler ve Motivasyon

Kanıtlar, esas olarak anekdot niteliğinde ve kısmi nitelikte olmakla birlikte, son yıllar-da dışarıdan temin faaliyetinin hızla büyüdüğüne işaret etmektedir.

Örneğin, Deloitte, 2004’ten itibaren beş yıl içinde, ABD mali hizmetler endüstrisinden356 milyar doların kıyı bölgelerinden temin edileceğini tahmin etmiştir3. Deloitte’ye göre, bu,bu endüstrinin güncel maliyet tabanının yüzde 15’ini temsil etmektedir. Dışarıdan TeminEnstitüsü, çeşitli şirketlere ve kuruluşlara dışarıdan temin faaliyetlerine ilişkin anketler uygu-lamıştır. Bu Enstitünün 5. Yıllık Dışarıdan Temin Endeksine göre, anketi yanıtlayanlar tara-fından dışarıdan temin edilmekte olan faaliyetler, aşağıdakileri içermektedir:

Grafik 1, BT (bilgi teknolojisi) ile ilgili hizmetlerin, en sık olarak dışarıdan temin e-dildiğini göstermektedir; ki bu, diğer çalışmalardan edinilen tecrübe ve Ortak Forum üyeleri-nin kendi tecrübeleri ile uyumludur. Bir tahmine4 göre, 2003 yılında küresel olarak BT içinharcanan 340 milyar doların, 120 milyar doları veya üçte biri, üçüncü taraflara emanet edil-miştir. Ancak, bu grafik ayrıca, insan kaynakları ve finansman da dahil olmak üzere şimdi dı-

Bankacılar Dergisi

77

şarıdan temin edilmekte olan diğer faaliyetlerdeki büyümeyi de göstermektedir. Bu büyüme,belirli görevlerin dışarıdan temin edilmesinden, dışarıdan stratejik hizmet teminine doğru birbüyüme şeklinde gelişen bir eğilimin bir parçası olarak görülebilir (aşağıdaki dışarıdan temineğilimlerine bakınız).

Grafik 1: Dışarıdan Temin Edilen Faaliyetler

Kaynak: Dışarıdan Temin Enstitüsü, 5. Yıllık Dışarıdan Temin Endeksi

Dışarıdan temin için zorlayıcı birçok nedenler vardır; ki bunların en azından birisi,hizmetlerin, belirli bir işlemsel alanda ölçek ekonomisi geliştirmeyi başarmış olan bir işletme-ciden veya başka bir ülkede daha düşük işçilik maliyetine erişebilen bir işletmeciden teminedilmesi suretiyle önemli maliyet tasarrufu potansiyelidir. Belirli faaliyetlerin dışarıdan teminiiçin verilen ana nedenler, bir sonraki sayfada yer alan tabloda belirtilmektedir.

Grafik 2: Dışarıdan Temin Nedenleri

Kaynak: Dışarıdan Temin Enstitüsü – 5. Yıllık Dışarıdan Temin Endeksi 2004

1. Taşıma2. Emlak/Tesis Yönetimi3. Satış/Pazarlama4. İrtibat/Çağrı Merkezleri5. İmalat6. İnsan Kaynakları7. Finansman8. Dağıtım ve Lojistik9. İdare10. Bilgi TeknolojisiGrafikte sonuçlar yukarıdan aşağıya aynı sırala-mayla verilmiştir.)

1. Yönetimi zor olan veya kontrol dışı fonksiyon2. Kıyı bölgesi imkanlarından yararlanmak3. Riskleri paylaşmak4. Pazarlama süresini azaltmak5. Yeniden tasarlama yararlarını hızlandırmak6. Kurum içinde mevcut olmayan kaynaklar7. Dünya çapında imkanlara erişmek8. Kaynakları, diğer projeler için serbest bırakmak9. İşletme giderlerini azaltmak ve kontrol etmek10. Şirketin odaklanmasını iyileştirmek(Grafikte sonuçlar yukarıdan aşağıya aynı sıralamaylaverilmiştir.)


78

Avrupa Merkez Bankası, tarafından dışarıdan temin nedenlerine ilişkin bir anket yap-mış olup, AB için coğrafi bakımdan daha belirgin ayrıntılar mevcuttur.

Grafik 3: AB Bankalarının Dışarıdan Temin Nedenleri (Yüzde)

Kaynak: Avrupa Merkez Bankası 2004

Dışarıdan teminin önemi, üç mali sektörde artmış olmakla birlikte, dışarıdan teminkalıpları, her sektörde aynı değildir. Özellikle fon yönetimi ve sigorta sektörleri, bir süredir,temel fonksiyon sayılabilecek olan faaliyetleri dışarıdan temin etmektedirler. Bunlar, aşağıda-kileri içermektedir:

- Yatırım yönetimi: Birçok sigortacı ve fon yöneticisi, şimdi yatırım yönetimi hizmetinidış taraflardan ve/veya ilgili grup kuruluşlarından temin etmektedirler.

- Birim fiyatlama ve emanet: Birçok durumlarda, birim bağlantılı fonlar ve ürünler ileilgili birim fiyatların belirlenmesi ve emanet (koruma) düzenlemeleri ile ilgili hizmet-ler, üçüncü taraflardan temin edilmektedir.

- Aracılık yüklenimi ve hasarların ödenmesi: bazı aracılık yüklenicileri, sigorta aracıla-rının, kendi adlarına belirli aracılık yüklenimi risklerini kabul etmelerine ve hasar ta-leplerini işleme koymalarına izin vermektedirler.

Bu eğilim için gerçek nedenler vardır (yeni bir pazara girerken temel uzmanlığın öne-mi ve ölçek ekonomisinin yararları gibi); fakat Ek A’daki Olay İncelemesi 3’te gösterildiğigibi, düzenlemeler yine de yanlış yönde gelişebilir.

5. Dışarıdan Temin ile İlgili Güncel Eğilimler

Mali firmalar, yakın geçmişte görülen derecede olmamakla birlikte, uzun bir süredirdışarıdan temin düzenlemelerine girmişlerdir. Örneğin, menkul kıymetler endüstrisinde, fir-malar, 1970’lerden beri, kayıtların basılması ve saklanması gibi katiplik işlerine benzeyen fa-aliyetleri dışarıdan temin etmişlerdir. Bu, maliyet tasarrufu nedeniyle yapılmıştır.

Teknoloji geliştikçe, bilgi hizmetlerinin dışarıdan temini daha yaygın hale gelmiştir.1980’lerde ve 1990’larda böyle işlemler büyük çaplı olma eğilimindeydi ve genellikle, mali-

Maliyeti düşürmek

Yeni teknolojiye/daha iyi yönetime erişim

Temele odaklanma

Ölçek ekonomileri

Kaynakları serbest bırakmak

Kalite/hizmet

Değişim/esneklik

Bankacılar Dergisi

79

yete ve hızla gelişen teknolojide günceli yakalamanın önemine dayalı olarak, tüm BT bölüm-lerinin dışarıdan teminini içermekteydi.

Müteakiben, insan kaynakları gibi daha stratejik alanlarda dışarıdan teminin arttığı gö-rüldü ve bazen, “ticari işlem hizmetinin dışarıdan temini” (BPO), yani, bir ticari hattın veyaişlemin, uçtan uca tümüyle dışarıdan temin edilmesi eğilimi gözlendi. BPO’lar ayrıca şu an-lama gelmektedir: dışarıdan hizmet temin eden ile üçüncü taraf arasındaki ilişki, üçüncü taraf,geleneksel bir tedarikçiden ziyade bir stratejik ortak haline geldikçe, biraz değişmektedir.

Dışarıdan temin konusunda ivme kazanmış görünen diğer bir önemli eğilim, “kıyıbölgelerinden mal ve hizmet teminidir”, yani faaliyetlerin, ulusal sınırların dışından temin e-dilmesidir. Birçok holding şirket, işlemlerin işlemden geçirilmesini ve çağrı merkezlerini kıyıbölgelerinde konuşlandırmak suretiyle, küresel verimlilikler yaratmaya çalışmaktadırlar. Budüzenlemeler bazen ilişkili olmayan taraflarla yapılmakta, diğer durumlarda ise, dışarıdan te-min firması, hizmetler sağlamak için kendi kıyı üssünü kurmaktadır (yani, bir yan şirket vası-tasıyla).

Sadece Hindistan’da, bir dizi kuruluş, aşağıdaki tabloda yer alan örnek firmalar ilegösterildiği şekilde, dışarıdan temin düzenlemeleri tesis etmişlerdir. (Yaklaşık personel sayıla-rı, parantez içinde belirtilmektedir.)

Tablo 1: 2003’te Hindistan’daki Mali Hizmetler ŞirketleriABN Amro (300+) Amex (1000+)Axa (380) Citigroup (3,000)Deutsche Bank (500) GE (11,000)HSBC (2000) JP Morgan Chase (480)Mellon Financial (240) Merrill Lynch (350Standard Chartered (3,000)

Kaynak: Federal Reserve Sisteminin Governörler Kuruluna Deloitte’nin sunuşu, Bankalar TarafındanKıyı Bölgelerinden ve Sınır Ötesi Dış Hizmet Temini, 30 Mart 2004.i

Anekdot niteliğindeki kanıtlar, Çin, Malezya ve Filipinlerin de arzu edilen dışarıdantemin yerleri olarak görüldüklerini ima etmektedir.

Deloitte tarafından hazırlanan bir 2004 raporuna5 göre, bu on yıl boyunca, kıyı bölge-lerinden mal ve hizmet temini artmaya devam edecektir. Bu rapordaki tahmine göre, kıyı te-sislerine sahip olan küresel mali hizmet şirketlerinin yüzdesi, 2002’de yüzde 29’dan, 2003’teyüzde 67’ye çıkmıştır. Raporda ayrıca, 2005 yılına kadar, endüstri maliyetlerinin 210 milyardolar kadarının kıyı bölgelerinde olacağı ve 2010 yılında bunun 400 milyar dolara veya en-düstrinin toplam maliyet tabanının yüzde 20’sine çıkacağı tahmin edilmektedir.

Bu raporda, büyük firmaların yüzdesinin, küçük firmalara kıyasla önemli ölçüde dahayüksek olduğu ve firmaların, gittikçe, kıyı bölgelerinde kendi operasyonlarını kurmakta ol-dukları ve bu eğilimin, dışarıdan teminin kendisindeki büyümeden ayırt edildiği not edilmek-tedir.

Pratik seviyede, kıyı bölgelerinden hizmet teminindeki bu büyüme, “ülke riskinin” dü-zenli olarak izlenmesi ihtiyacına yol açmıştır; ki bu, şu anlama gelmektedir: dışarıdan hizmettemin eden bir kuruluş, bir hizmet sağlayıcısı ile akdi ilişkiye sahip olduğu ülkedeki yabancıhükümetin politikalarını ve siyasi, sosyal, ekonomik ve hukuki durumları izlemeye ihtiyaç


80

duyacaktır. O ayrıca, uygun beklenmeyen durum planları ve çıkış stratejileri de geliştirmeli-dir. Kuruluş, işin devamı ile ilgili meseleleri ele alma ihtiyacının bir parçası olarak, uç du-rumlarda proseslerin hızla ana vatana geri döndürülüp döndürülemeyeceğini düşünmelidir.

6. Düzenleyici Gelişmeler

Düzenleyiciler, dışarıdan hizmet temininin, hem ulusal, hem de uluslararası seviyedeortaya çıkardığı meseleleri tanımışlardır. Ortak Forum, tüm mali sektörler için geçerli olan builkeler takımının geliştirilmesinde, birtakım diğer uluslararası çalışma gruplarıyla irtibat kur-muşlardır. Diğer uluslararası çalışma akımları arasında aşağıdakiler yer almaktadır:

- Ortak Forum, menkul kıymet şirketlerine yönelik bir dizi dışarıdan temin ilkesi üretmişolan IOSCO daimi komitesi ile yakın bir şekilde çalışmıştır. Bu iki ilkeler takımı, birbirinitamamlayıcı şekilde tasarlanmakta olup, Ortak Forum, tüm sektörler için bir temel işlevigörebilecek olan yüksek seviyeli ilkeler takımı sağlamakta ve bunlar, IOSCO’nun sektöreözgü ilkeleri ile desteklenmektedir.

- Basel Komitesi ve IAIS, gelişmekte olan dışarıdan temin uygulamalarını ve düzenleyicitepkileri izlemektedir.

- Avrupa Bankacılık Denetleyicileri Komitesi (CEBS), “Groupe de Contact” tarafındanbaşlatılan çalışmayı daha ileriye götürmüştür. O, Nisan 2004’te halkla istişare konusundadışarıdan hizmet temini ile ilgili bir dizi ilke yayınladı.

- Avrupa Menkul Kıymetler Düzenleyicileri Komitesi (CESR), Mali Araçlar DirektifineDahil Pazarlar (MIFID) içindeki dışarıdan temin ile ilgili AB mevzuatının uygulaması ko-nusunda tavsiye geliştirmektedir. İstişare döneminin ardından, MFID’nın 2006 yılı ortala-rında uygulanması beklenmektedir.

- Avrupa Sigorta ve Mesleki Emekli Aylıkları Denetçileri Komitesinin (CEIOPS) de bu a-lanla ilgilenmesi muhtemeldir.

Birtakım ulusal düzenleyiciler, halihazırda, dışarıdan temin ile ilgili standartlara veyamevzuat kontrollerine sahiptirler. Ulusal yaklaşımlara ilişkin geniş bir örnek, aşağıda yer al-maktadır:

Tablo 2: Dışarıdan Temin ile ilgili Ulusal YaklaşımlarAvustralya Bankalar için dışarıdan temin ile ilgili standartlar, 1 Temmuz 2002’den itibaren

geçerli olmak üzere uygulamaya konulmuştur. Sigorta sektörüne, onların resmenuygulamaya konulmasına kadar, onların da bu standartlara uymalarının beklendiğibildirilmiştir.

Belçika Haziran 2004’te, CBFA, CEBS istişari belgesine dayalı olarak, hem bankacılık,hem de yatırım hizmetleri sektörü için bir ortak yol gösterici genelge yayınladı.Bunların sigorta sektöründe uygulanması için istişare başlatılmıştır.

Kanada Mayıs 2001’de, OSFI, dışarıdan temin ile ilgili beklentileri belirten kılavuz ilke B-10’u uygulamaya koydu. Bu kılavuz ilkenin revize edilen bir şekli, Aralık 2003’teyayınlandı. Federal olarak düzenlenen tüm kuruluşların, 15 Aralık 2004’e kadar,revize edilen bir kılavuz ilkeye uymaları beklenmekteydi.

Fransa 2005’in başlarında, kredi kuruluşlarındaki ve yatırım firmalarındaki iç kontrol ile

Bankacılar Dergisi

81

ilgili yönetmelik 97-02 uygulamaya konuldu. Bu hükümler, önemli olan ve olma-yan dışarıdan temini kapsamakta ve “temel” faaliyetlerin dışarıdan teminine özgügereksinimleri belirtmektedir. Dışarıdan temin, yazılı bir sözleşme ile tesis edil-meli ve bu sözleşme, mali kuruluş ve Komisyon bankeri tarafından yerinde ziya-retler yapılmasına izin vermelidir. Dışarıdan temin edilen faaliyetler ve onlarailişkin riskler, yönetim kuruluna verilen raporların bir parçasını oluşturmalıdır.

Almanya Aralık 2001’de, Alman makamları, tüm kredi kuruluşlarını ve mali hizmet ku-rumlarını kapsayan kılavuz ilkeler yayınladılar. Bu kılavuz ilkeler, dışarıdan temingereksinimlerini tarif etmektedir. Buna göre, operasyonel faaliyetlerin dışarıdantemininin, (1) böyle iş veya hizmetlerin düzenliliğini, (2) yöneticilerin faaliyetleriyönetme ve izleme yeteneğini veya (3) BaFin’in kendi yetkisi altındaki kredi ku-rumlarını denetleme ve izleme yeteneğini zaafa uğratmaması temin edilmelidir.

Japonya Nisan 2001’de, Bank of Japan, mali kuruluşlar için, dışarıdan temin ile ilgili riskyönetimi beklentisini belirten bir uygulama belgesi yayınladı.

Mali Hizmetler Kurumu, mali kuruluşlar için teftiş elkitapları yayınlar. Bu elki-taplarında, dışarıdan temin düzenlemeleri için, risk yönetimi kontrol noktalarıtespit edilir.

Hollanda 1 Nisan 2001’de, De Nederlandsche Bank (kredi kuruluşlarının basiretli denetçisi)Organizasyon ve Kontrol Yönetmeliğini yayınladı. Bu yönetmeliğin 2.6. bölümü,iş süreçlerinin (veya onların bileşenlerinin) dışarıdan temini ile ilgilidir. 1 Şubat2004’te, Pensionen & Verzekeringskamer (Hollanda Emekli Aylığı ve SigortaDenetim Kurumu) (sigorta şirketlerinin ve emekli aylığı fonlarının basiretli denet-çisi), Sigorta Şirketleri tarafından Dışarıdan Hizmet Temini Yönetmeliğini yayın-ladı.

İsviçre Ağustos 1999’da, İsviçre Federal Bankacılık Komisyonu (SFBC), bankalar vemenkul kıymet firmaları için SFBC’nin izni olmaksızın dışarıdan hizmet teminineizin veren “Dışarıdan Temin Kılavuz İlkelerini” uygulamaya koydu.

Bu kılavuz ilkelere uyum, yıllık dış denetime tabidir. Dışarıdan temin, yazılı birsözleşme ile tesis edilmelidir ve bir mali kurumun iç kontrol sistemi kapsamındadışarıdan temin edilen faaliyetlerin entegre edilmesini gerektirmektedir. Bir dışa-rıdan temin sözleşmesi, mali kurumlar, onun iç ve dış denetim firması ve SFBCtarafından ziyaretler ve kontroller yapılmasına açıkça izin vermelidir.Yönetim kurulunun fonksiyonları ve mali kurumun yönetiminin merkezi fonksi-yonları için dışarıdan hizmet teminine izin verilmemektedir.

Birleşik Krallık Denetim Otoritesi FSA, bankalara yönelik Ara Basiretli Kaynak Kitabında, ban-kalar ve konut kredisi veren mali kuruluşlar için kılavuz ilkeleri belirtmektedir.Sigortacılara yönelik olan Ara Basiretli Kaynak Kitaptaki kılavuz ilke not P3, aynıkonuyu kapsamaktadır.

Bu kılavuz ilkeler, önemli olan ve olmayan dışarıdan temini kapsamakta; fakatdışarıdan önemli hizmet teminine ağırlık vermektedir. Bir firma, önemli bir dışa-rıdan temin düzenlemesine girmeden önce, daima FSA’ya bilgi vermelidir.

Aralık 2004’te, FSA elkitabına yeni bir fasıl olan SYSC 3A.7’de yeni kılavuz il-keler uygulamaya konulacaktır.

ABD (Menkul KıymetlerFirmaları)

Genel olarak, menkul kıymet düzenleyicilerinin, dışarıdan hizmet temini meydanagelmeden önce geleneksel olarak menkul kıymet firmalarının bünyesinde yer alanbelirli süreçlerin ve prosedürlerin dışarıdan temin edilmesine itiraz etmemelerigerekmektedir.

New York Menkul Kıymetler Borsasının (ki birçok büyük firma bu borsanın üye-


82

sidir) 342, 346 ve 382 no.lu kuralları, dışarıdan hizmet teminini, tümüyle veyasadece düzenlenen kişilere yönelik olarak sınırlandırdığı veya engellediği şeklindeyorumlanmıştır.

1934 tarihli Menkul Kıymetler Borsası Kanunu, herhangi bir kişi veya kuruluşun,önce ABD Menkul Kıymetler ve Borsa Komisyonuna kaydolmaksızın, başkaları-nın hesabına menkul kıymet işlemleri yapma işi ile iştigal etmesini genel olarakyasaklamaktadır. “Başkalarının hesabına menkul kıymet işlemleri yapma işi ileiştigal etme” ifadesi, geniş olarak, birçok faaliyeti içerdiği şeklinde yorumlanmış-tır.

ABD (Bankalar) ABD mali kuruluşları ile ilgili beş düzenleyici kurumun şemsiye örgütü olanFFIEC, bankaların, BT ile ilgili dışarıdan temin ilişkilerine ilişkin risk yönetimigörevlerini açıklamak ve inceleyicilere yol göstermek amacıyla, bir dizi kılavuzilkeler ve bültenler yayınlamıştır. Son güncellemeler, üçüncü taraf ilişkilerindebilgi güvenliği risklerini ele almaktadır. Dışarıdan temin konusunda temel güncelABD banka düzenleme rehberliği, aşağıdakileri içermektedir:

OCC Bülteni 2001-47, Üçüncü Taraf İlişkileri: Risk Yönetimi İlkeleri (Kasım2001).

Dışarıdan Temin Edilen Teknoloji Hizmetlerinin Risk Yönetimi ile ilgili FFIECRehberliği (Kasım 2000).

FDIC’nin şu üç teknoloji bülteni: Hizmet Sağlayıcısının Seçimi için Etkin Uygu-lamalar; Teknoloji Sağlayıcısının Performans Riskini Yönetme Araçları: HizmetSeviyesi Anlaşmaları; ve Çoklu Hizmet Sağlayıcılarını Yönetme Teknikleri (Hazi-ran 2001).

Teknoloji Hizmet Sağlayıcısı ilişkilerinin denetimine ve yönetimine riske dayalıbir denetim yaklaşımını özetleyen “Teknoloji Hizmet Sağlayıcılarının DenetimiKitapçığı” (Mayıs 2003) başlıklı FFIEC BT Elkitabı.

2004 yılının ortalarında, ABD banka denetçileri, Teknoloji Hizmetlerinin Dışarı-dan Teminine ilişkin FFIEC BT İnceleme Elkitabının güncellenmiş bir şeklinisonuçlandırdılar. Bu elkitabı, BT hizmetinin dışarıdan teminini tesis etmek, yö-netmek ve izlemek üzere, bir mali kuruluşun risk yönetimi süreçlerinin değerlen-dirilmesinde inceleyicilere yardımcı olacak rehberlik ve inceleme prosedürlerisağlayacaktır.

ABD (Sigorta) ABD’de, sigortacılar tarafından faaliyetlerin dışarıdan temin edilmesi, eyalet si-gorta denetçileri tarafından çeşitli şekillerde ele alınmaktadır. Elzem fonksiyonla-rın dışarıdan temin edilmesi, denetçiye verilen ilgili yasal yetki vasıtasıyla elealınmaktadır. Bunun örnekleri arasında, genel temsilcilerin ve üçüncü taraf idare-cilerin yönetimine ilişkin kanunlar yer almaktadır. (NAIC Genel Temsilcileri Yö-netme Modeli Kanunu, Üçüncü Taraf İdareci Modeli Kanununda belirtilmektedir).Dışarıdan temin edilen diğer faaliyetler, yerinde piyasa davranışını inceleme süre-cinde ele alınacaktır; ki burada, bir şirketin iş kontrolleri incelenecektir (yani, ha-sar taleplerinin işleme konulması veya yatırım yönetimi) ve adil olmayan hasartasfiyesini ve adil olmayan ticari uygulamaları önlemek için, ihlaller, denetçininyetkisi vasıtasıyla ele alınacaktır.

NAIC Piyasa Düzenleme ve Tüketici İşleri (D) Komitesi, halihazırdaki düzenlemeyetkisinin, sigorta şirketlerinin üçüncü taraf hizmet sağlayıcılarını kullandığı be-lirli alanlara uzanmadığı durumları ele almak için, bir Üçüncü Taraf Satıcı Çalış-ma Grubu oluşturmuştur. Bu Grubun, NAIC’ın Piyasa Davranışları İnceleyicileriElkitabına dahil edilmek üzere tavsiyeler üretmesi beklenmektedir.

Bankacılar Dergisi

83

7. Dışarıdan Hizmet Temininin Temel Riskleri

Belirli faaliyetlerin dışarıdan temin edilmesi bir mali hizmet kuruluşuna birtakım ya-rarlar sağlayabilirken, etkin bir şekilde yönetilmesi gereken birtakım riskler vardır. Bu temelrisklerin bazıları, aşağıdaki tabloda eşleştirilmektedir.

Tablo 3: Dışarıdan Hizmet Teminindeki Bazı Temel Riskler

Risk Ana KaygılarStratejik Risk - Üçüncü taraf, düzenlenen kuruluşun genel stratejik hedefleriyle tutarsız olan

faaliyetleri, kendi adına yürütebilir.- Dışarıdan hizmet sağlayıcısının uygun bir şekilde denetlenmemesi.- Hizmet sağlayıcısını denetlemek için yetersiz uzmanlık.

İtibar Riski - Üçüncü taraftan kötü hizmet alınması.- Müşteriyle etkileşimin, düzenlenen kuruluşun genel standartlarıyla tutarlı

olmaması.- Üçüncü tarafın uygulamalarının, düzenlenen kuruluşun belirtilen uygulamala-

rına (ahlaki veya başka şekilde) uygun olmaması.Uyum Riski - Gizlilik kanunlarına uyulmaması.

- Tüketici ve basiretli davranış ile ilgili kanunlara yeterince uyulmaması.- Dışarıdan hizmet sağlayıcının, uyum sistemlerinin ve kontrollerinin yetersiz

oluşu.Operasyonel Risk - Teknoloji arızası.

- Yükümlülükleri yerine getirmek ve/veya telafi sağlamak için yetersiz malikapasite.

- Hile veya hata.

Risk Ana Kaygılar- Firmaların, teftiş yapmayı zor/pahalı görme riski

Çıkış Stratejisi Riski - Uygun çıkış stratejilerinin yerleştirilmemiş olması riski. Bu, şunlardan ortayaçıkabilir: tek bir firmaya aşırı dayanma, kurumda ilgili becerilerin kaybedil-mesi ve bunun, onu bu faaliyeti tekrar kurum içine getirmesini engellemesi vehızlı bir çıkışı, yasaklayacak kadar pahalı hale getiren sözleşmeler.

- Personel eksikliği veya entellektüel mazinin kaybı nedeniyle hizmetleri anavatana geri getirme yeteneğinin sınırlı olması.

Karşı Taraf Riski - Uygun olmayan aracılık yüklenimi veya kredi değerlendirmeleri.- Alacakların kalitesi azalabilir.

Ülke Riski - Siyasi, sosyal ve hukuki ortam, ilave risk yaratabilir.- İşin devamı ile ilgili planlamanın daha karmaşık olması.

Akdi Risk - Sözleşmeyi uygulamaya koyma yeteneği.- Kıyı bölgelerinden hizmet temini için, geçerli hukuk seçimi önemlidir.

Erişim Riski - Dışarıdan temin düzenlemesi, düzenlenen kuruluşun, düzenleyicilere zama-nında veriler ve diğer bilgiler vermesini engellemektedir.

- Düzenleyicinin, dışarıdan hizmet sağlayıcısının faaliyetlerini anlaması dahagüçtür.

Yoğunlaşma veSistem Riski

- Tüm endüstrinin, dış hizmet sağlayıcısında önemli riski vardır. Bu yoğunlaş-ma riskinin, aşağıdakileri içeren birtakım yönleri vardır:

1. Münferit firmaların hizmet sağlayıcısı üzerinde kontrole sahip olmaması2. Endüstrinin tümü açısından sistem ile ilgili risk.

8. İlkelere Yaklaşım Meseleleri

Tanım: Ortak forumun çalışma grubu (grup) dışarıdan teminin yeterli bir tanımını ha-zırlarken epeyce tartıştı. Temel kaygı meseleleri, su veya büro mobilyası gibi, normal olarakmali denetçilerin yetki alanı dışında olan görevlerin kapsanmasından kaçınmanın önemi kabul


84

edilirken, bu tanımın mümkün olduğu kadar geniş ve kısa tutulmasıydı (bu hizmetlerin denet-çileri ilgilendirebileceği teorik fakat uç senaryolar üretmek mümkün olmasına rağmen). Buamaçla, grup, Avrupa Bankacılık Denetçileri Komitesi (CEBS) ve Uluslararası Menkul Kıy-metler Komisyonları Örgütü (IOSCO) tarafından yapılan çalışmadan epeyce yararlandı. Buikincisi, grubun, düzenlenen bir kuruluşun sürekli olarak üstlenmesini beklediği faaliyetleriözetlemek suretiyle, pozitif bir yaklaşımın tespit edilmesine yardımcı oldu. İlki ise, grubun,hariç tutulması gereken temel satınalma sözleşmeleri ile ilgili anlayışının tanımlanmasındayardımcı oldu.

Yan Şirketler: Grup, bu tanımın, yan şirketlerden hizmet alımını içerip içermemesi ge-rektiğini tartıştı. Grup, oybirliğiyle, dahil edilmesi gerektiğine karar verdi. Ancak grup, ken-dileri düzenleyici veya diğer yasal amaçlarla kurulmuş olabilen yan şirketleri kapsayacak il-kelerin belirtilmesi konusunda dile getirilen kaygıları kabul etmektedir. Bu kaygı, Ortak Fo-rumun istişare uygulaması esnasında defalarca dile getirildi ve bunun bir sonucu olarak, ek biryolgösterici metin, tanıma dahil edildi. Burada belirtilen önerilerin, yan şirketler için zatenuygulanıyor olmasının çok muhtemel olması düşüncesi, grubu biraz rahatlattı.

Maddilik: Grup, maddi olan ve olmayan faaliyetler arasında ayrım yapmanın ve mad-dilik seviyesine göre farklı uyum seviyeleri olmasının faydasını tartıştı. Başlangıçta, maddili-ğin farklı sektörler ve ülkelerde farklı anlamlara geleceği kabul edilerek, bu yol seçilmedi.Ancak, istişare çalışmamızın bir sonucu olarak, maddilik seviyesinin dikkate alınması gerek-tiğini açıklayan bir ifadenin dahil edilmesi kararlaştırıldı, fakat bunun kesin tanımı ulusal ma-kamların takdirine bağlıdır. Ortak Forum, her durumda, ilkelerin, firmaları, kendi risk yöne-tim süreçlerinin belirlenmesinde maddilik seviyesini dikkate almaya teşvik ettiklerini ve bunayardımcı olmak için bazı esaslar verdiklerini not etti.

Firma yönetiminin sorumluluğu: Ortak Forum, ilkelerde, firmaların üst yönetiminin– dışarıdan temin edilen veya edilmeyen – bütün faaliyetlerden sorumlu olmalarının vurgu-lanması gerektiği görüşünde birleşti. İstişare sürecinde alınan görüşlerin bir sonucu olarak,dışarıdan temin eden firmanın açıkça tanımlanmış rolleri ve sorumluluklarıyla uygun bir yö-netişim yapısının hizmet sağlayıcı ile anlaşma yapılmadan önce ve yapıldıktan sonra mevcutolması gerektiğini açıklayan bir metin III. İlkeye eklendi.

Belirli faaliyetlerin yasaklanması: Bazı temel faaliyetlerin dışarıdan temin edilmesiniyasaklamanın faydası ve uygulanabilirliği konusunda tartışma yapıldı. Ancak, bu ilkelerin ge-niş kapsamı ve kendileri için tasarlanmış oldukları sektörlerdeki farklılıklar göz önüne alına-rak, sınırlayıcı bir yaklaşım kabul edildi. Buna göre, bazı faaliyetlerin dışarıdan temin edilme-sini yasaklamak için Ortak Forum ilkeleri üzerinde daha ayrıntılı sektörel ilkeler oluşturula-bileceği dikkate alınarak, belirli herhangi bir faaliyet yasaklanmayacaktı.

Sistemik konular: Bu ilkeler mikro firma seviyesinde dışarıdan temin risklerine karşıtasarlanmış olsalar da, Ortak Forum, dışarıdan temin etmenin yaratabileceği sistemik konula-rın risklerinin tamamıyla bilincindeydi. Bu amaçla, grup, üçüncü taraf sağlayıcılarında yo-ğunlaşma risklerinin ve oradaki sistemik risklerin izlenmesinde denetleyicilere yardım etmekiçin özel bir ilke dahil etmek gerektiğini düşündü.

9. Yol Gösterici İlkeler

Ortak Forum aşağıdaki yüksek seviyeli ilkeleri geliştirdi. Bölüm ikide bir özet buluna-bilir.

Bankacılar Dergisi

85

I. Faaliyetleri dışarıdan temin etmeyi düşünen bir düzenlenen teşkilat, bu faali-yetlerin dışarıdan temin edilebilirliği ve uygun şekilde nasıl temin edilebileceği konu-sundaki değerlendirmeye yol göstermek üzere kapsamlı bir politikaya sahip olmalıdır.Yönetim kurulu veya buna eşdeğer organ, dışarıdan temin politikası için sorumluluğuve bu politika çerçevesinde girişilen faaliyetler için genel ilgili sorumluluğu elinde tutar.

Faaliyetlerin dışarıdan temin edilmesi öncesinde, bir düzenlenen teşkilat, dışarıdantemin hakkında kararlar verilmesi için özel politikalar ve kriterler oluşturmalıdır. Bunlarıniçinde, ilgili faaliyetlerin dışarıdan temin edilmeye uygun olup olmadıkları ve ne ölçüde uy-gun oldukları konusunda bir değerlendirme olmalıdır. Risk yoğunlaşmaları, dışarıdan teminedilen faaliyetlerin kabul edilebilir genel seviyesi üzerinde sınırlar ve çeşitli faaliyetlerin aynıhizmet sağlayıcıdan temin edilmesinin riskleri dikkate alınmalıdır.

Bir düzenlenen teşkilat faaliyetlerinden herhangi birini dışarıdan temin etmek isterse,onun yönetimi, ilgili faydalar ve maliyetler konusunda kapsamlı bir anlayış geliştirmelidir.Bunun için, teşkilatın temel yetkinlikleri, yönetimsel güçlü ve zayıf tarafları ve müstakbel a-maçlar hakkında bir değerlendirme yapılması gerekir.

Düzenlenen teşkilat, dışarıdan temin edilmekte olan faaliyeti etkili biçimde denetlemekabiliyetini sağlayan politikalara da sahip olmalıdır (bkz. III. İlke). Dışarıdan temin eden fir-manın açıkça tanımlanmış rolleri ve sorumluluklarıyla uygun bir yönetişim yapısı, bütün ta-ahhüt sürecinde ve sözleşme döneminde mevcut olmalıdır.

Düzenlenen teşkilat, hem kendi ülkesindeki, hem de yabancı ülkedeki yasal ve düzen-leyici gereklere uyma yeteneğini sağlamak için uygun adımlar atmalıdır.

Düzenleyici makamın düzenlenen teşkilatın işini değerlendirme hakkına veya denet-leme yeteneğine zarar verecek ise, bir faaliyet dışarıdan temin edilmemelidir (Bkz. III. İlke).

Düzenlenen teşkilatın Yönetim Kurulu (veya buna eşdeğer organı) düzenlenen teşki-latça alınan bütün dışarıdan temin kararlarının ve üçüncü taraflarca taahhüt edilen bütün faali-yetlerin teşkilatın dışarıdan temin politikasıyla uyumlu olmalarını sağlamak için genel so-rumluluğa sahiptir. İçsel denetimin rolü de bu açıdan önemli olacaktır.

II. Düzenlenen teşkilat, dışarıdan temin edilen faaliyetlere ve hizmet sağlayıcı ileilişkiye yönelik kapsamlı bir dışarıdan temin risk yönetim programı oluşturmalıdır.

Bir dışarıdan temin risk yönetim programı oluşturulması esnasında, bir düzenlenenteşkilatta dışarıdan temin riskinin değerlendirilmesi birkaç faktöre bağlı olacaktır: dışarıdantemin edilen faaliyetin kapsamı ve maddiliği; düzenlenen teşkilatın (genel operasyonel riskyönetimi dahil) dışarıdan temin riskini ne kadar iyi yönettiği, izlediği ve kontrol ettiği; vehizmet sağlayıcının operasyonun potansiyel risklerini ne kadar iyi yönettiği ve kontrol ettiği.

Bir risk yönetim programında maddiliğin düşünülmesine yardım edebilecek bazı fak-törler arasında şunlar vardır:

- Bir hizmet sağlayıcının faaliyeti yeterli biçimde gerçekleştirmemesinin düzenlenen teşki-lat üzerinde finans, itibar ve operasyon açılarından etkisi;

- Hizmet sağlayıcının görevini yapmaması halinde bir düzenlenen teşkilatın müşterilerineve onların muhataplarına yönelik potansiyel zararlar;


86

- Faaliyeti dışarıdan temin etmenin düzenlenen teşkilatın düzenleyici gereklere ve bunlar-daki değişmelere uyma yeteneği ve kapasitesi üzerindeki sonuçları;

- Maliyet;- Dışarıdan temin edilen faaliyetin düzenlenen teşkilat içindeki başka faaliyetler ile ilişkisi;- Düzenlenen teşkilat ve hizmet sağlayıcı arasındaki yakınlık veya başka ilişki;- Hizmet sağlayıcının düzenleme statüsü;- Gerekirse alternatif bir hizmet sağlayıcı seçmenin veya iş faaliyetini teşkilatın içine alma-

nın zorluk derecesi ve gerektirdiği süre; ve- Dışarıdan temin düzenlemesinin karmaşıklığı. Örnek olarak, bir uçtan diğer uca bir dışarı-

dan temin çözümü sunmak için birden fazla hizmet sağlayıcının işbirliği ettikleri bir du-rumda riskleri kontrol etme yeteneği.

Veri koruma, güvenlik ve başka riskler, bir dış hizmet sağlayıcının coğrafi yerindenolumsuz etkilenebilir. Bu amaçla, esas ülkenin dışına götürülen dışarıdan temin düzenlemele-rine girerken ve onları yönetirken, örneğin, siyasi veya hukuki şartlara ilişkin ülke riskinindeğerlendirilmesinde özel risk yönetim uzmanlığı gerekebilir.

Daha genel olarak, kapsamlı bir dışarıdan temin risk yönetim programında, dışarıdantemin düzenlemelerinin bütün ilgili yönlerinin devamlı olarak izlenmesi ve kontrol edilmesi,ve belirli olaylar meydana geldiğinde yapılacak düzeltici eylemlere yol gösteren prosedürleröngörülmelidir.

III. Düzenlenen teşkilat, dışarıdan temin ile ilgili düzenlemelerin, müşterilere vedüzenleyicilere karşı yükümlülüklerini yerine getirme yeteneğini azaltmamasını ve dü-zenleyicilerin etkin denetimine engel olmamasını sağlamalıdır.

Dışarıdan temin düzenlemeleri, müşterinin ilgili kanunlar çerçevesinde telafi elde et-me yeteneği dahil, müşterinin düzenlenen teşkilata karşı haklarını etkilememelidir.6

Dışarıdan temin düzenlemeleri, düzenleyici makamın (bir düzenlenen teşkilatın gere-ğince denetlenmesi gibi) düzenleme sorumluluklarını yerine getirme yeteneğini zayıflatma-malıdır.

IV. Düzenlenen teşkilat, üçüncü taraf hizmet sağlayıcılarının seçiminde uyguninceleme ve araştırma yapmalıdır.

Bir düzenlenen teşkilat, belirli bir hizmet sağlayıcıyı kullanmak ile bağlantılı potansi-yel risk faktörleriyle birlikte, üçüncü taraf hizmet sağlayıcının dışarıdan temin edilen faali-yetleri etkili, güvenilir bir biçimde ve yüksek bir standart ile gerçekleştirme kapasitesi ve ye-teneğini – seçim öncesinde – değerlendirmesine imkan veren kriterler geliştirmelidir.

Uygun inceleme ve araştırma şunları içermelidir: (1) dışarıdan temin edilen işi yapmakiçin ehliyetli olan ve yeterli kaynaklara sahip hizmet sağlayıcıların seçilmesi; (2) hizmet sağ-layıcının düzenlenen teşkilatın faaliyet konusundaki hedeflerini anladığı ve bunlara uyabile-ceğinden emin olmak; ve (3) hizmet sağlayıcının yükümlülüklerini gerçekleştirmek için malisağlamlığını görmek. Coğrafi bakımdan dağınık faaliyetler için hizmet verilmesi gibi özel ih-tiyaçlar tespit edilmeli ve benzer erişime veya kabiliyete sahip üçüncü taraflar kullanmak yo-luyla karşılanmalıdır.

Bankacılar Dergisi

87

Kriterleri yerine getirmeyen bir hizmet sağlayıcıya, dışarıdan temin yoluyla faaliyetleryaptırılmamalıdır.

Bir hizmet sağlayıcı dışarıdan temin edilen faaliyeti gerçekleştirmez veya gerçekleşti-remez ise, alternatif çözümler bulmak maliyetli veya problemli olabilir. Bu nedenle, geçişmaliyetleri ve potansiyel iş aksamaları da dikkate alınmalıdır.

Bir faaliyetin yurt dışından temin edilmesi durumunda, göz önünde tutulacak başkahususlar da vardır. Örneğin, bir olağanüstü durumda, düzenlenen teşkilat, zamanında uygunkarşılıklar vermeyi daha zor bulabilir. Dolayısıyla, bir düzenlenen teşkilatın üst yönetimi,hizmet sağlayıcının düzenlenen teşkilat için etkili ve verimli biçimde hizmet sağlama yetene-ğini olumsuz etkileyebilecek ekonomik, hukuki ve siyasi şartları değerlendirmelidir.

V. Dışarıdan temin ilişkileri, bütün tarafların hakları, sorumlulukları ve beklen-tileri dahil, dışarıdan temin düzenlemesinin bütün maddi yönlerini açıkça belirleyen ya-zılı sözleşmelere tabi olmalıdır.

Dışarıdan temin düzenlemeleri, açıkça yazılmış bir sözleşmeye tabi olmalıdır. Busözleşmenin niteliği ve ayrıntıları, düzenlenen teşkilatın mevcut işine göre dışarıdan teminedilen faaliyetin maddiliğine (önemine) uygun olmalıdır. Yazılı bir sözleşme önemli bir yö-netim aletidir ve uygun sözleşme hükümleri, ifa etmeme riskini veya sağlanacak hizmetinkapsamı, niteliği ve kalitesine ilişkin anlaşmazlık riskini azaltabilir. Bu sözleşmenin bazı te-mel hükümleri şöyle olmalıdır:

- Sözleşme, uygun hizmet ve performans seviyeleri dahil, hangi faaliyetlerin dışarıdan te-min edileceğini açıkça tarif etmelidir. Hizmet sağlayıcının hem nicel, hem nitel bakımdan per-formans gereklerini karşılama yeteneği önceden değerlendirilebilir olmalıdır;

- Sözleşme, düzenlenen teşkilatın düzenleme yükümlülüklerini karşılamasına ve düzenleyi-ci makamın da düzenleme yetkilerini kullanmasına engel olmamalıdır;

- Düzenlenen teşkilat, dışarıdan temin edilen faaliyet ile ilgili olarak hizmet sağlayıcınınbütün defterlerine, kayıtlarına ve bilgilerine erişebilmelidir;

- Sözleşme, gerekli düzeltici tedbirlerin derhal alınabilmesi için, hizmet sağlayıcının dü-zenlenen teşkilatça devamlı olarak izlenmesi ve değerlendirilmesini öngörmelidir;

- Gerekli bulunur ise, bir fesih maddesi ve fesih hükmünü işletmek için asgari süreler dahiledilmelidir. Fesih süresini işletmek için asgari süreler, dışarıdan temin edilen hizmetlerin birbaşka üçüncü taraf hizmet sağlayıcıya transfer edilmesine veya düzenlenen teşkilat içine a-lınmasına olanak verecektir. Fesih maddesinde, borç ödeyemezlik haliyle veya şirketin biçi-mindeki diğer önemli değişimlerle ilgili hükümler olmalı ve, düzenlenen teşkilata bilgi iadesi(bkz. aşağıda VI. ilke) ve sözleşmenin feshinden sonra geçerli olmaya devam eden sair ödev-ler dahil, fesih sonrasında fikrî mülkiyet sahipliği açıkça belirlenmelidir,

- Dışarıdan temin düzenlemesine özgü olan maddi konular anlamlı bir biçimde düzenlen-melidir. Örneğin, hizmet sağlayıcı yurt dışında ise, sözleşme, taraflar arasındaki ihtilaflarınbelirli bir ülkenin yasalarına göre çözülmesini öngören yargı yetkisi taahhütleri, anlaşma ta-ahhütleri ve hukuk seçimiyle ilgili hükümler içermelidir;


88

- Uygun olduğu takdirde, sözleşme, dışarıdan temin edilen bir faaliyetin tamamen veyakısmen üçüncü taraf hizmet sağlayıcı tarafından alt-yükleniciye devrinin şartlarını içermelidir.Uygun hallerde, servis verilen veya sunulan bir faaliyetin hizmet sağlayıcı tarafından tama-men veya kısmen alt-yükleniciye yaptırılması düzenlenen teşkilatın onayına tabi olmalıdır.Daha genel olarak, sözleşme, düzenlenen teşkilata, bir hizmet sağlayıcı başka üçüncü taraflar-dan hizmet aldığında riskler üzerinde orijinal dış temin düzenlemesinde olduğu gibi kontrolsürdürebilme olanağını vermelidir.

VI. Düzenlenen teşkilat ve onun hizmet sağlayıcıları, yedek tesislerin periyodik o-larak test edilmesi ve felaket telafisi için bir plan dahil, olasılık planları oluşturmalı veidame etmelidirler.

Düzenlenen teşkilatlar, olasılık planlamasına yönelik genel bir kurumsal politikaya sa-hip olmalıdırlar. Bununla birlikte, münferit iş konularında yapıldığı gibi, her dış temin dü-zenlemesi için daha özel olasılık planları ayrıca geliştirilmelidir. Bir düzenlenen teşkilat, hiz-met sağlayıcıdaki bir iş aksamasının veya başka problemin olası sonuçlarını değerlendirmekve gidermek için uygun adımlar atmalıdır. Özellikle, hizmet sağlayıcıda olasılık planlarını;hem düzenlenen teşkilatta, hem hizmet sağlayıcıda olasılık planlarının eşgüdümlenmesini; vehizmet sağlayıcının görevini yapmaması halinde düzenlenen teşkilatın olasılık planlarını dü-şünmelidir.

Hizmet sağlayıcının ve düzenlenen teşkilatın kapsamlı olasılık planlarına sahip olma-masıyla birlikte, tekrarlanan performans sorunları, istenmeyen kredi risklerine, mali zararlara,iş fırsatlarının kaçırılmasına ve firma itibarıyla ilgili ve yasal sorunlara yol açabilir.

Sağlam bilgi teknolojisi güvenliği bir ihtiyaçtır. Bilgi teknolojisi kapasitesinde bir arı-za, düzenlenen teşkilatın diğer piyasa katılımcılarına karşı yükümlülüklerini yerine getirmeyeteneğine zarar verebilir, müşterilerinin mahremiyet haklarını zayıflatabilir, düzenlenen teş-kilatın itibarını bozabilir ve, nihai olarak, düzenlenen teşkilatın genel işleyiş risk profili üze-rinde etkili olabilir. Düzenlenen teşkilatlar, hizmet sağlayıcıların uygun bilgi teknolojisi gü-venliği ve, uygun hallerde, felaket telafi kabiliyetleri idame etmelerini sağlamaya çalışmalı-dırlar.

Olasılık planları, performansın kötüleşmesi halinde, alternatif seçeneklerin maliyetle-rini dikkate almalıdır. Hizmet sağlayıcının yetersiz hizmet vermesiyle karşı karşıya olduğundabir düzenlenen teşkilatın seçenekleri arasında, hizmet sağlayıcının değiştirilmesi, faaliyetinkurum bünyesine aktarılması veya bazen işten çıkılması bile vardır. Bunlar çok pahalı seçe-nekler olabilir ve genellikle ancak bir son çare olarak kullanılır. Yine de, bu olasılıklar ve il-gili maliyetler, müzakere sürecinde değerlendirilmeli ve sözleşmede belirlenmelidir. Mevcutsözleşmeler yenilenirken bu gibi maddeler ilave edilmelidir.

VII. Düzenlenen teşkilat, hem kendisinin, hem de müşterilerinin gizli bilgilerininyetkisiz kişilere kasıtlı veya kasıtsız olarak ifşa edilmesini önlemek için, hizmet sağlayı-cıları bu türden gizli bilgilerin korunmasıyla yükümlü kılmak üzere uygun adımlar at-malıdır.

Dışarıdan hizmet temin eden bir düzenlenen teşkilat, gizli müşteri bilgilerini korumakve bunların yanlış kullanılmadığını veya suiistimal edilmediğini doğrulamak için uygun a-dımlar atmalıdır. Bu türden adımlar arasında, üçüncü taraf ile yapılan sözleşmede, hizmetsağlayıcının ve temsilcilerinin, düzenlenen teşkilata veya onun müşterilerine ait özel bilgileri

Bankacılar Dergisi

89

(sözleşme konusu olan hizmetlerin sağlanması için veya düzenleyici ve yasal gerekliliklereuyulması için gerekli olmadıkça) başkalarına ifşa etmemelerini veya kullanmamalarını öngö-ren hükümlere yer verilmesi olabilir. Düzenlenen bir teşkilat, geçerli olabilecek düzenleyiciveya yasal hükümler dikkate alındığında, müşteri verilerinin bir hizmet sağlayıcıya iletilebile-ceğini müşterilere bildirmenin uygun olup olmadığını da düşünmelidir.

VIII. Düzenleyici makamlar, dışarıdan hizmet temin etme faaliyetlerini, düzenle-nen teşkilata yönelik sürekli değerlendirmenin ayrılmaz bir parçası olarak dikkate al-malıdırlar.

Düzenleyici makamlar, dışarıdan hizmet temin etme düzenlemelerinin, düzenle-nen teşkilatın düzenleyici gerekliliklere uyma yeteneğine engel olmadıkları konusundauygun yollardan kendilerini ikna etmelidirler.

Düzenleyici makamlar, dışarıdan hizmet temin etme faaliyetlerini, bir düzenlenen teş-kilata yönelik sürekli değerlendirmenin bir parçası olarak görmelidirler.

Bir düzenlenen teşkilatın dışarıdan temin politikası ve dışarıdan temin risk yönetimprogramını değerlendirebilmek ve izleyebilmek için, düzenleyici makamlar, talep üzerine sü-ratli bir şekilde, dışarıdan temin edilen faaliyete ilişkin defterler ve kayıtları (bunlar, ister dı-şarıdan hizmet temin eden firmanın, ister üçüncü taraf hizmet sağlayıcının elinde olsunlar) vedışarıdan temin edilen faaliyetler hakkında ilave bilgileri elde edebilmelidir. Bir düzenleyicimakamın bu defterler ve kayıtlara erişimi dolaysız veya dolaylı olabilir, fakat düzenlenen teş-kilat bunlara her zaman dolaysız erişim imkanına sahip olmalıdır. Bunun için, defterler ve ka-yıtların düzenleyici makamın ülkesinde tutulmaları veya hizmet sağlayıcının, talep edildiğin-de, defterler ve kayıtların asıllarını veya nüshalarını düzenleyici makamın ülkesine gönderme-si gerektiği öngörülebilir.

Düzenleyici makamlar, dışarıdan temin edilen faaliyetlerin gerçekleştirilmesi konu-sunda hizmet sağlayıcının defterleri, kayıtları ve bilgilerine erişimi desteklemeye yönelik uy-gun yönetmelikler ve tedbirler uygulanmasını düşünmelidir. Bu kapsamda, düzenlenen teşki-latların, dışarıdan hizmet temin etme düzenlemelerinde, hizmet sağlayıcının dışarıdan teminedilen faaliyetler ile ilgili defterleri ve kayıtlarına düzenlenen teşkilatın erişme imkanına vebunları denetleme hakkına sahip olmasını ve ayrıca hizmet sağlayıcının, dışarıdan temin edi-len faaliyetlere ilişkin defterleri, kayıtları ve diğer bilgileri, talep edildiğinde, düzenleyici ma-kama sunmak ile yükümlü olmasını öngören sözleşme hükümlerine yer vermeleri gerekli tu-tulabilir.

IX. Çok sayıda düzenlenen teşkilatın dışarıdan temin edilen faaliyetlerinin sınırlısayıda hizmet sağlayıcılarda toplaşması durumunda ortaya çıkabilecek riskler düzenle-yici makamlarca bilinmelidir.

Sınırlı sayıda hizmet sağlayıcılar (bazen sadece tek bir hizmet sağlayıcı) çok sayıdadüzenlenen teşkilata dışarıdan hizmet temin ettiğinde, operasyonel riskler aynı ölçüde yoğun-laşır ve bir sistemik tehdit yaratabilirler. Öte yandan, çok sayıda üçüncü taraf dışarıdan hizmetsağlayıcılar, iş devamlılık hizmetleri alanında tek bir hizmet sağlayıcıya bağımlı olurlar ise(örneğin, ortak bir felaket telafi sahası), bu teşkilatlar içinden birçoğunu etkileyen bir aksama,iş devamlılık hizmetlerinde bir kapasite yetersizliğine sebep olabilir.


90

Firmalar daha yüksek verimlilik ve ölçek ekonomileri arayışında dışarıdan hizmet te-min etme yöntemini kullandıkça bir tür yoğunlaşma riskinin kaçınılmaz olduğu kabul edile-rek, bir düzenlenen teşkilatın dışarıdan temin politikası ve risk yönetim programını değerlen-dirir ve izlerken, düzenleyici makamlar, yoğunlaşmanın getirdiği potansiyel riskin düzenleyiciteşkilat tarafından nasıl hesaba katıldığına özel dikkat göstermelidir.

Yoğunlaşma riskleri var olmakla birlikte, bunun potansiyel sistemik riskine karşı ha-fifletici araçlar mevcuttur. Bunlar arasında, esas olarak, düzenlenen teşkilatlar içinde yeterliolasılık planlaması (bkz. VI. ilke) ve ayrıca, devamlı izleme ve farkındalık programları, de-netleyici programlar, risk değerlendirmeleri ve diğer eylemler gibi başka denetleyici hafiflet-me aletleri vardır.

Ek: A

Olay İncelemesi 1: Alman kredi fabrikası

Almanya’da, gittikçe artan sayıda kredi kurumları, ödünç verme işlemlerini, “kredifabrikaları” adıyla bilinen uzmanlaşmış, düzenlenmeyen hizmet sağlayıcılara yaptırmaktadır.Bu hizmet sağlayıcılar, kredi ve ipotekler ile ilgili arka büro hizmetlerinde uzmanlaşmıştır ve,bazı durumlarda, bir kredi verilip verilmeyeceğine karar verirler.

2003 yılında, bir kredi kurumu, sadece kredilerin servis işlemlerini değil, standart pe-rakende ödünç faaliyetinde ve standart olmayan faaliyette 2,5 milyon Avroya kadar krediverme kararını da dışarıya yaptırmak istedi. Denetleyicinin yaptığı değerlendirmenin sonucu-na göre, standart olmayan faaliyette, kredi kurumu, kredi fabrikasının verdiği kredileri izlemeve gözetleme imkanına sahip olamayacaktı. İşletme, ondan doğan riski taşıyan kredi kuru-munca yönetilse de, kredileri verme kararı hizmet sağlayıcı tarafından alınmıştı.

Bu senaryo kapsamında ortaya çıkan konular arasında şunlar bulunuyordu:

- Yeni riskler altına girilmesiyle ilgili kararların dışarıya aktarılabilmesi için, yönetiminriskleri yeterince yönetme kabiliyetinin bundan zarar görmemesi şarttır.

- Bu şartın yerine getirilmesi için de, hizmet sağlayıcının kesin ve doğrulanabilir değerlen-dirme kriterleri uygulamayı düzenlenen teşkilata mutlak surette taahhüt etmesi gerekir.Finans sektöründe halen kullanılan sistemler ile, böyle bir uygulama yalnızca standart pe-rakende ödünç verme işlerinde olabilir.

Olay İncelemesi 2: Avustralya düzenleme makamı bankaların dışarıdan hizmet teminuygulamalarını araştırıyor

Avustralya bankaları, diğer faaliyetler yanında, bilgi teknolojisi, kredi kartı hizmetleri,tedarik, çek ve diğer elektronik takas hizmetleri, ipotek ve bordro işlemleri gibi bazı faaliyet-leri dışarıya yaptırma yoluna gitmişlerdir. Bu uygulama, müşteri bilgilerinin mahremiyeti ko-nusunda endişelere yol açtığı gibi, bir hizmet sağlayıcının problemler yaşaması veya hizmetvermeye devam edememesi halinde bankaları finans ve itibar risklerine maruz kılmaktadır.Ocak 2002’de, Avustralya İhtiyat Düzenleme Makamı (AİDM) bankaların dışarıya hizmetyaptırma uygulamaları konusunda bir incelemeyi tamamladı ve 1 Temmuz 2002’den itibarengeçerli olmak üzere ayrıntılı ihtiyat standartları koydu.

Bankacılar Dergisi

91

AİDM, dışarıya hizmet yaptırma düzenlemelerinin çeşitli biçimlerde yönetilmekte ol-duklarını tespit etti. Daha büyük olan kurumlar, genelde, kurumun dışarıya hizmet yaptırmapolitikasının tutarlı bir şekilde uygulanmasını sağlamaktan sorumlu özel bir birime sahiptiler.Ancak, bazı kurumlar, dışarıya hizmet yaptırma sorumluluğunu işletme birimlerine devret-mişti. Bu durumlarda, risklerin uygun bir tarzda belirleneceği ve değerlendirileceği garantisiyoktu ve dışarıya hizmet yaptırma düzenlemelerini izlemek için herhangi bir merkezi noktamevcut değildi.

Araştırılan kurumların üçte birinden daha azının dışarıya hizmet yaptırma konusundaresmi bir politikası vardı. Çoğu durumda, bankalar, dışarıya yaptırılabilecek faaliyet türlerinive bir faaliyetin dışarıya yaptırılmasının gerekçelerini tespit edebiliyordu, fakat bu konularbiçimsel bir çerçeveye bağlanmamıştı.

Olay İncelemesi 3: Yönetilen fonlar için birim fiyatlamasını dışarıya yaptırmak

1999 yılında, büyük bir Avustralyalı kurum, birim fiyatlama ve saklama faaliyetlerini,grup içinde yer alan bir saklayıcı kuruluşa yaptırmaya başladı. Saklayıcı kuruluş daha sonrabir başka tarafa satıldı, fakat dışarıya yaptırma düzenlemesi devam etti.

Ocak 2004’te, birkaç yıl boyunca ilgili fonlar için vergi mahsuplarının talep edilmemişolduğu ve birim fiyatların bu nedenle eksik tahmin edilmiş olduğu anlaşıldı. Problem ortayaçıktığında, kurum yatırımcılara 90 milyon Avustralya Doları tutarında tazminat ödemek zo-runda kaldı ve düzenleyici makam, problemin tekrarlanmaması için sistemlerini ve usullerinigenel bir değerlendirmeye tabi tutması yönünde kuruma talimat verdi.

Ortaya çıkan başlıca konular:

- Üçüncü taraf hizmet sağlayıcı ve kurum arasında yeterli kontroller ve denetleme meka-nizmaları yoktu.

- Kurum, üçüncü taraf hizmet sağlayıcıdaki usulleri kolayca değiştirme yeteneği konusundaendişeliydi, çünkü hizmet seviyesi anlaşmalarının müzakere edildiği dönemde hizmetsağlayıcı henüz gruptan ayrılmamıştı.

- Böyle bir faaliyeti bir üçüncü taraf hizmet sağlayıcıya yaptırmak suretiyle kurum kendiitibarıyla ilgili önemli bir risk almaktaydı.

Olay İncelemesi 4: Bir bankaya ve bir hizmet sağlayıcıya karşı OCC eylemi

2002 yılında, ABD Para Kontrolörlük Bürosu (OCC), bir Kaliforniya bankasına veona çalışan bir üçüncü taraf hizmet sağlayıcıya karşı cezai işlem yaptı. Hizmet sağlayıcı, 18eyalette ve Columbia ilçesinde banka tarafından muhasebesi yapılan bazı kredileri başlat-makta, servis etmekte ve tahsilatını yapmaktaydı.

Başka şeyler yanında, hizmet sağlayıcı, müşteri kredi dosyalarını korumamıştı. Ban-kanın defterlerinde taşınan kredileri temsil eden bu dosyalar, 2002 yılında çöpe atılmıştı.OCC, kredi dosyalarının uygunsuzca atılması sonucunda yasa ve yönetmelik ihlalleri meyda-na geldiğini iddia ediyordu.


92

OCC, hizmet sağlayıcının güvenli ve sağlıklı olmayan uygulamalar içinde bulundu-ğunu, bir yandan bankanın politika ve usullerini takip ettiğini, diğer yandan bankanın kredidosyalarını kötü bir biçimde yönettiğini de tespit etti. Bu olay, bankaların, yetkilerini üçüncütaraf satıcılara kiraladıklarında ve sağlam denetim uygulamayı ihmal ettiklerinde, kendilerinihangi risklere maruz bıraktıklarını gösteriyordu.

OCC, bankanın hizmet sağlayıcı ile münasebetini güvenli ve sağlıklı bir tarzda yönet-mediğini tespit etti. Eşit Kredi Fırsatı Yasasını ve Ödünç Vermede Doğruluk Yasasını ihlaletmesi yanında, banka güvenlik ve sağlamlık standartlarını ve Gramm-Leach-Bliley Yasasınınmahremiyet güvencelerini de ihlal etmekteydi. Söz edilen ikinci yasa, müşteri bilgilerininmahremiyetini korumak ve sürdürmek için standartlar koymaktadır.

Bu ihlaller ve güvenliksiz ve sağlıksız uygulamalar nedeniyle, banka aleyhine bir emirçıkarıldı. Söz konusu emre göre, bankanın tazminat ödemesi ve hizmet sağlayıcı ile münase-betine son vermesi gerekiyordu.

Hizmet sağlayıcı da bir ceza ödedi ve OCC’nin onayı olmaksızın bir ulusal bankayaveya onun bağlı kuruluşlarına hizmet sağlamak için herhangi bir anlaşmaya girmemesi emre-dildi.

Müşterilerin mahremiyet haklarını korumak için, emirde, kredi dosyaları kaybolan bütünmüracaatçılara banka tarafından bildirim yapılması da isteniyordu. Bu bildirimde, potansiyel kimlikhırsızlığına karşı ne gibi işlemler yapılabileceği konusunda müşteriye bilgi verilmesi gerekiyordu.

Olay İncelemesi 5: ABD’de üçüncü taraf hizmet sağlayıcılara yönelik ortak incelemeler

Banka Hizmet Şirketi Yasası (Yasa) kapsamında, Federal Düzenlenen Kurumlar İn-celeme Konseyini (FFIEC)7 içeren ABD Federal Bankacılık Ajansları bankaların üçüncü tarafhizmet sağlayıcılarını incelemek yetkisine sahiptirler. Yasa, bir banka hizmet şirketinin (bu-nun tanımına bir Teknoloji Hizmet Sağlayıcısı veya THS de girer) ondan hizmet alan banka-nın düzenleyici makamınca inceleme ve düzenlemeye tabi olduğunu öngörür. Buna ek olarak,bazı FFIEC ajansları THS’lere karşı cezai işlemler yapmışlardır. FFIEC ajanslarının Yasayıbanka hizmet sağlayıcılarına nasıl uygulamış olduklarını gösteren bir örnek aşağıda verilmiş-tir.

Bir hizmet sağlayıcı, birden fazla ajansın düzenleme yetkisine tabi olan çok sayıdateşkilat için kritik uygulamalara ait işlemler yapıyor ve böylece yüksek bir sistemik risk dere-cesi oluşturuyor ise veya farklı coğrafi bölgelerde bulunan belli sayıda veri merkezinden ge-len işlerin muamelesini yapıyor ise, ortak inceleme için dikkate alınır. İlgili ajanslar bu ince-lemelerin kapsamı, zamanlaması ve personeli üzerinde hep birlikte karar verirler ve sonuçtahazırlanan inceleme raporu, bütün üye ajanslara, incelenen hizmet sağlayıcıya ve onun müşte-risi olan düzenlenen teşkilatlara gönderilir. FFIEC ajansları, düzenlenen teşkilatların veTHS’lerin bilgi teknolojisiyle ilgili risklerini değerlendirmek ve derecelendirmek için kap-samlı ve tekdüze bir derecelendirme sistemi (URSIT-Bilgi Teknolojisi Tekdüze Derecelen-dirme Sistemi) kullanırlar. Bilgi teknolojisi incelemelerinin sıklığı, THS’nin risk profiline gö-re, tipik olarak 18 ve 36 ay arasında değişir. Ulusal ve bölgesel programlar halen yaklaşık 160hizmet sağlayıcıyı izlemekte olup, FFIEC inceleme görevlileri tarafından yapılan risk değer-lendirmeleri temelinde, bunlardan 130 tanesi düzenli olarak incelenir.

Bankacılar Dergisi

93

2003 yılında, FFIEC üyesi ajanslar, bir global teknoloji hizmet sağlayıcının ABD böl-ge ofislerine yönelik bilgi teknolojisi incelemelerine müştereken katıldılar. Risk odaklı ince-lemelerin kapsamında, faaliyetler, muamele işlem hizmetleri, takas ve tasfiye, bilgi güvenliği,iş devamlılık planlaması ve URSIT bileşenleri (yönetim, denetim, geliştirme ve edinme, des-tek ve teslimat) bulunmaktaydı. Her durumda, THS’lerdeki bilgi teknolojisi incelemelerine aitFFIEC tekdüze inceleme raporunun formatını kullanan ortak inceleme raporları şeklinde, in-celeme bulguları yayımlandı. Destek fonksiyonlarının teşkilatın esas bölgesel hizmet mer-kezleri dışında oldukları durumlarda, destek faaliyetlerine yönelik sınırlı kapsamda incele-meler de yapıldı.

Kaydetmek gerekir ki uluslararası denetleyiciler, başka ülkelerdeki düzenlenen teşki-latlara hizmet veren THS’ler üzerine inceleme raporlarına erişim talebinde bulunmuşlardır.MDPS programından kaynaklanan incelemelerin raporlarını uluslararası denetleyiciler ilepaylaşma konusu üzerinde düşünülmektedir.

Dipnotlar1 Basel Bankacılık Gözetim ve Denetim Komitesi (BCBS), Uluslararası Menkul Kıymetler Komisyonları Ör-gütü (IOSCO) ve Uluslararası Sigorta Denetçileri Birliği (IAIS).2 Banka Bilgi Teknolojisi Sekreterliği (BITS) BT Hizmet Sağlayıcısı İlişkileri ile ilgili Teknoloji Riskini Yönet-mek için Çerçeve, II. Versiyon, Kasım 2003, s.2.3 Federal Reserve Sisteminin Governörler Kuruluna Deloitte’nin sunuşu, Bankalar Tarafından Kıyı Bölgelerin-den ve Sınır Ötesi Dış Hizmet Temini, 30 Mart 20044 www.banktech.com 27 Şubat 20035 Deloitte’nin ikinci yıllık kıyı anketi Titanlar Yerleşiyor6 Bir düzenlenen teşkilat, elbette ki, bir üçüncü taraf hizmet sağlayıcıya karşı sahip olabileceği yasal hakları kul-lanabilir.7 FFIEC üyesi kurumlar: Federal Rezerv Sistemi Yöneticiler Kurulu, Federal Mevduat Sigortası Kurumu, UlusalKredi Birliği, Tutumluluk Denetleme Bürosu ve Para Kontrolörlük Bürosu.

Documents

Mali Hizmetlerde Dışarıdan Hizmet TeminiBu dokümanda, temel meseleler ve riskler belirtilmektedir ve temel ilkeler öne sürül-mektedir. Bu ilkeler, bankacılık, sigorta ve menkul