Risk Yönetimi, İç Denetim, İç Kontrol ve Uyum

Denetim Komite'sinin, İç Sistemler Birimleri'nin 2024 Yılı İşleyişine İlişkin Değerlendirmeler

Ziraat Bankası’nda iç sistemler faaliyetleri; İç Sistemler Grup Başkanlığı koordinasyonunda, görev ve sorumlulukları ayrıştırılmış olarak, Teftiş Kurulu Başkanlığı, İç Kontrol Bölüm Başkanlığı, Risk Yönetimi Bölüm Başkanlığı, Uyum Bölüm Başkanlığı ve Bilgi Güvenliği Yöneticiliği tarafından yürütülmektedir.

Tüm birim ve şubeler ile denetime tabi iştirakleri kapsayacak şekilde tesis edilmiş olan organizasyon, bankacılık faaliyetlerinin tam ve güvenli bir şekilde sürdürülmesini, uzun dönemli kâr hedeflerinin gerçekleştirilmesini, güvenilir mali ve idari raporlamanın yapılmasını, Banka’nın itibarını ve finansal istikrarını olumsuz etkileyebilecek risklerin en aza indirilmesini amaçlamaktadır.

Risk Yönetimi Sisteminin İşleyişi

Ziraat Bankası, risk yönetimi faaliyetlerini, Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik ve diğer ilgili düzenlemeler ile BDDK İyi Uygulama Rehberleri doğrultusunda yürütmektedir.

Söz konusu faaliyetlerinde Banka, risk kültürünü iş süreçlerinin geneline yerleştirmek, sistem ve insan kaynağını sürekli iyileştirmek suretiyle risk yönetimi fonksiyonunu iyi uygulamalara yaklaştırmak hedeflerini gözetmektedir.

Risk yönetimi sistemi çerçevesinde yürütülen faaliyetler; kredi riski, piyasa riski, operasyonel risk, bilanço riskleri (bankacılık hesaplarından kaynaklanan faiz oranı riski ve likidite riski), içsel derecelendirmeye dayalı modelleme ve validasyon temel başlıklarını kapsamaktadır.
Risk yönetimine ilişkin faaliyetler, Yönetim Kurulu tarafından onaylanan mevzuatlar uyarınca gerçekleştirilmekte, her bir risk türünün ilişkili olduğu faaliyet koluna dâhil olan birimlerin de sürece katkıda bulunmalarına özen gösterilmektedir.

Ayrıca Banka, yurt dışı şubeleri ve iştiraklerinin risk yönetimine ilişkin yerel düzenlemelere uyumunu sağlama ve risk yönetimine ilişkin rasyolarını izleme faaliyetlerini de yürütmektedir.

Ziraat Bankası; “Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik” çerçevesinde, maruz kaldığı/kalabileceği riskleri karşılamak için gerekli olan sermayeyi tespit etmek, sermaye gereksinimini/düzeyini stratejileri paralelinde değerlendirecek bir sistem kurmak ve idame ettirmek amacıyla İçsel Sermaye Yeterliliği Değerlendirme Süreci oluşturmuştur. Bu kapsamda tasarlanan modeller ve bu modellerin validasyon çalışmalarıyla birlikte model çıktıları, TFRS-9 hesaplamalarında, tahsis ve fiyatlama süreçlerinde kullanılmaktadır. BDDK’nın düzenlemeleri doğrultusunda yapılan analizler, risk bazında stres testleri/senaryo analizleriyle de desteklenmektedir. Bu kapsamda yıl sonları itibarıyla hazırlanan Stres Testi ve İSEDES Raporları, Yönetim Kurulu onayının ardından BDDK’ya iletilmektedir.Risk yönetimi faaliyetleri kapsamında yürütülen analizlerin sonuçları ve risk göstergeleri, altı aylık periyotlarda Denetim Komitesi’ne ve Yönetim Kurulu’na; aylık periyotlarda Denetim Komitesi’ne; aylık, haftalık ve günlük periyotlarda ise üst düzey yönetime raporlanmaktadır.

Ziraat Bankası, tüm risk türlerine yönelik faaliyetlerini, uluslararası alanda kabul gören gelişmiş risk yönetim tekniklerine dayalı olarak sürdürmeye ve bu faaliyetleri stratejik karar alma süreçlerinin ayrılmaz bir parçasına dönüştürmeye gelecek dönemlerde de devam edecektir.

Risk Türleri İtibarıyla Uygulanan Risk Yönetimi Politikalarına İlişkin Bilgiler

Kredi Risk

Kredi riski; borçlunun yapılan sözleşme gereklerine uymayarak yükümlülüğünü kısmen veya tamamen zamanında yerine getirememesinden dolayı maruz kalınabilecek kayıp olasılığını ifade etmektedir.

Ziraat Bankası, kredi riski yönetimi faaliyetleri çerçevesinde; Basel-3 ile uyumlu yöntemler kullanarak kredi riskinin tanımlanması, ölçümü, izlenmesi ve raporlanmasına yönelik çalışmalar yürütmektedir.

Banka, Yönetim Kurulu onaylı kredi riski limitlerini takip etmekte, kredi risk faktörlerine içsel ve dışsal şoklar uygulayarak senaryo analizi ve stres testleri yapmaktadır. “Bankaların Sermaye Yeterliliğinin Ölçülmesine ve Değerlendirilmesine İlişkin Yönetmelik” çerçevesinde kredi riskinin ölçümü Standart Yaklaşım yöntemi kullanılarak yapılmaktadır. Karşı Taraf Kredi Riski ise Standart Yaklaşım (SA-CCR) yöntemi ile ölçülmektedir.

Ziraat Bankası, belirlemiş olduğu kredi riski ve karşı taraf kredi riski sinyal ve limit değerlerini aylık periyotlarda izlemekte ve raporlamaktadır. Söz konusu sinyal ve limit değerleri Yönetim Kurulu tarafından onaylanmış Risk İştahı Beyanı Yönetmeliği’nde yer almaktadır. Banka’nın segment ve portföy türü bazında taşıyabileceği risk ağırlıklı varlıkları bu limitlerle sınırlandırılmıştır.

Piyasa Riski

Piyasa riski; Banka’nın alım-satım faaliyetlerine konu ve gerçeğe uygun değerle değerlenen hesap ve pozisyonlarında takip edilen ve piyasa fiyatlarındaki hareketlerden kaynaklı olarak bilanço içi ve dışı kur, emtia, faiz oranı ve hisse senedi pozisyon riski nedeniyle maruz kalabileceği zarar ihtimalini ifade etmektedir.

Ziraat Bankası, piyasa riski yönetimi faaliyetleri kapsamında; riskin tanımlanması, ölçülmesi, analizi, izlenmesi ve raporlanması çalışmalarını yürütmekte, bu çalışmalar stres testiyle desteklenmektedir. Söz konusu faaliyetlerin sonuçları Banka’nın stratejik karar alma sürecinde dikkate alınmaktadır.

Piyasa riski kapsamında, Banka’nın alım-satım stratejisi paralelinde belirlenen piyasa riskine esas portföyün bugünkü değerini etkileyen piyasa gelişmeleri gün bazlı takip edilmekte, piyasalardaki aşağı ve yukarı yönlü olağan ve olağan dışı hareketlerin portföy üzerindeki etkileri analiz edilmektedir.

Banka’nın günlük faaliyetleri yürütülürken, finansal gücünün piyasalardaki dalgalanma artışından önemli ölçüde etkilenmesini önlemek amacıyla, erken uyarı süreci kapsamında sinyal değerleri takip edilmekte ve risk seviyeleri, limitlerle sınırlandırılmaktadır.

Piyasa riskine esas tutar, yasal sermaye yeterlilik rasyosuna dâhil edilmek üzere Standart Metot yöntemiyle hesaplanmakta ve raporlanmaktadır. Ayrıca, “Riske Maruz Değer” bazlı içsel modelle de günlük piyasa riski ölçümü yapılmaktadır. Diğer taraftan kullanılan modellerin etkinliğini ölçmek amacıyla düzenli olarak geriye yönelik test analizleri gerçekleştirilmektedir.

Operasyonel Risk

Operasyonel risk; yetersiz veya başarısız iç süreçler, insanlar ve sistemlerden ya da harici olaylardan kaynaklanan ve yasal riski de kapsayan zarar etme olasılığını ifade etmektedir.

Ziraat Bankası, operasyonel risk yönetimi faaliyetleri kapsamında; operasyonel risklerin tanımlanması, sınıflandırılması, ölçülmesi ve analiz edilmesi çalışmalarını yürütmekte, Yönetim Kurulu onaylı operasyonel risk sinyal ve limit değerlerini periyodik olarak takip etmektedir. Banka’da operasyonel riske esas tutar, “Bankaların Sermaye Yeterliliğinin Ölçülmesine ve Değerlendirilmesine İlişkin Yönetmelik” uyarınca, Temel Gösterge Yöntemi kullanılarak hesaplanmaktadır.

Banka ile bütünleşik ve muhasebe sistemi ile uyumlu, Basel Bankacılık Gözetim ve Denetim Komitesi’nin kayıp olay türü ve faaliyet kollarını kapsayan bir sınıflandırma doğrultusunda tesis edilen, yurt dışı-yurt içi şube ve iştiraklerden elde edilen verileri kapsayan operasyonel risk kayıp veri tabanı ile Banka’nın operasyonel risk görünümü etkin yöntemlerle izlenmektedir.

Ayrıca Banka’nın faaliyet süreçleri ile faaliyetlerinden kaynaklanan potansiyel tehditler ve bu tehditlere karşı banka nezdindeki zayıf noktaların değerlendirilmesini teminen öz değerlendirme çalışması yapılmaktadır.

Banka çalışanları, operasyonel riske ilişkin Banka mevzuatında yer alan esas ve usulleri dikkate alarak, karşılaşılabilecek operasyonel risklere duyarlı bir şekilde, zarar olasılığını azaltacak çalışma ortamının tesis edilmesine yönelik politikaları göz önünde bulunduran bir sorumluluk anlayışı içinde görevlerini yerine getirmektedir.

Bilgi Teknolojileri kapsamında gerçekleşen riskler ve alınan aksiyonlar ayrıca izlenmekte, operasyonel riske ilişkin üst yönetime yapılan raporlarda yer almaktadır.

Destek hizmeti kuruluşlarından sağlanan hizmetlerin sürekliliğini teminen, hizmet alımlarından kaynaklanabilecek riskler, BDDK tarafından yayımlanan “Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik” çerçevesinde değerlendirilmektedir.

İş Sürekliliği Planı kapsamında, faaliyetlerde meydana gelebilecek kesintilerin yaratabileceği muhtemel riskler ile bunların potansiyel etkilerinin değerlendirildiği “İş Etki Analizi” çalışmaları yürütülmekte, ayrıca portföy saklama hizmeti veri tabanına ilişkin analizler de yapılmaktadır. Operasyonel risk kapsamında itibar riski yönetimi faaliyetleri de gerçekleştirilmektedir. İtibar riski çalışmalarında, Banka itibarı açısından farklı etkenlerin takibi yapılmakta, risk analizleri düzenli bir biçimde raporlanmaktadır.

Bilanço Riskleri

Ziraat Bankası, bilanço riskleri kapsamında varlık, yükümlülük ve bilanço dışı hesaplarından kaynaklanan risklerini etkin bir şekilde yönetmeyi hedeflemektedir.

Bu doğrultuda Banka; likidite riski ve bankacılık hesaplarından kaynaklanan faiz oranı riski ile ilgili olarak tanımlama, ölçme, analiz, izleme ve raporlama faaliyetleri yürütmektedir. Banka, sonuçlarını stratejik karar alma sürelerinde dikkate aldığı bu çalışmaları, stres testi ve senaryo analizleriyle de desteklemektedir.

Likidite riski; fonlamaya ilişkin likidite riski ile piyasaya ilişkin likidite riskinden oluşmaktadır. Fonlamaya ilişkin likidite riski, Banka’nın öngörülebilen ya da öngörülemeyen tüm nakit akışı gereksinimini, günlük operasyonları ya da finansal yapıyı etkilemeksizin gereğince karşılayamaması sonucu Banka’nın zarar etme olasılığını ifade etmektedir.

Piyasaya ilişkin likidite riski, piyasalarda derinliğin olmaması veya aşırı dalgalanma nedeniyle Banka’nın herhangi bir pozisyonunu, piyasa fiyatlarından kapatamaması veya dengeleyememesi sonucu maruz kalabileceği zarar olasılığı anlamına gelmektedir.

Faiz oranı riski ise faiz oranlarında meydana gelen değişimlerin, faiz hassasiyeti olan varlıklarda, yükümlülüklerde ve ayrıca bilanço dışı işlemlerde ortaya çıkarabileceği değer kayıpları olarak tanımlanmaktadır.

Ziraat Bankası; likidite ve bankacılık hesaplarından kaynaklanan faiz oranı risklerine ilişkin konsolide ve konsolide olmayan Likidite Karşılama Oranı ve Net İstikrarlı Fonlama Oranı ile konsolide olmayan Bankacılık Hesaplarından Kaynaklanan Faiz Oranı Riski Rasyosunu BDDK düzenlemeleri dâhilinde hesaplayarak BDDK’ya raporlanmakta ayrıca, içsel olarak düzenli şekilde takip etmektedir.

Bunlara ek olarak, likidite riski kapsamında Banka;

  • Kaynak ve kullanımlar arasındaki vade uyumsuzluklarını,

  • Banka’nın normal günlük faaliyetlerini sürdürmesine elverecek ya da beklenmedik durumlarda ihtiyaç olabilecek likidite tamponu düzeyini,

yakından izlemektedir.

Belirtilen hususların yanı sıra stres testi, senaryo ve duyarlılık analizleriyle olası en kötü durumda Banka’nın likidite ihtiyacının değerlendirilebilmesine yönelik çalışmalar yapılmaktadır.

Ziraat Bankası, bankacılık hesaplarından kaynaklanan faiz oranı riski kapsamında ise;

  • Sabit ve değişken faizli kaynak ve kullanımlar arasındaki oran ve vade uyumsuzluklarını,

  • Varlık ve yükümlülüklerin kontrata dayalı vadeleri yanında davranışsal vadelerini,

  • Muhtemel aşağı ve yukarı yönlü, olağan ve olağan dışı faiz oranı değişikliklerinin, net faiz geliri ile varlık ve yükümlülüklerin cari değeri üzerindeki etkilerini,

analiz ve takip etmektedir.

Banka, erken uyarı süreci uygulamasıyla likidite ve bankacılık hesaplarından kaynaklanan faiz oranı riski sinyal ve limit değerlerini periyodik olarak izlemektedir. Risk limitleri; risk iştahı gözetilerek belirlenmekte ve Yönetim Kurulu onayı ile yürürlüğe girmektedir.

Banka içi periyodik raporlara konu edilen stres testi analizlerinin yanı sıra yıl sonları itibarıyla BDDK’ya gönderilmek üzere stres testi ve İSEDES raporları hazırlanmakta, içsel sermaye ve likidite yeterlilik düzeyi analiz edilmektedir.

Validasyon

Ziraat Bankası, maruz kaldığı risklerin doğru ölçülmesi ve yönetilmesi amacıyla içsel olarak kullanılan derecelendirme modellerinin ve diğer ölçüm metodolojilerinin doğruluğu, tutarlılığı, yeterliliği ile risk modellerinin istikrarlılığı, çıktı performanslarının değerlendirilmesi ve sonuçların düzenli aralıklarla üst yönetime raporlanması amacıyla validasyon faaliyetleri yürütmektedir.

Bu kapsamda Banka; İDD modelleri ve TFRS-9 entegrasyonu başta olmak üzere İDD modellerinin, yönetimsel modellerin, İSEDES, operasyonel risk ve piyasa riski modelleri gibi karar alma süreçlerinde kullanılan içsel modellerin validasyon çalışmalarını gerçekleştirerek tespit ettiği bulgular neticesinde gerekli aksiyonları almayı hedeflemektedir.

Validasyon faaliyetleri, başlangıç ve periyodik validasyon olmak üzere iki ana başlık altında yürütülmektedir. Her iki validasyon türünde de model ve metodolojiler nitel ve nicel açıdan değerlendirilmektedir. Başta veri kalitesi kontrolleri, performans analizleri, temel çalışma mantığının değerlendirilmesi, yasal ve içsel mevzuata uyum ile dokümantasyon ve implementasyon olmak üzere model ve metodolojiler validasyon sürecinde kapsamlı şekilde ele alınmaktadır. Bunun yanı sıra nihai validasyon raporlarının hazırlanması, bulguların ve aksiyonların değerlendirilmesi ve takibi de validasyon süreçleri içerisinde yer almaktadır.

İç Denetim Sisteminin İşleyişi

Teftiş Kurulu Başkanlığı; Banka’nın Genel Müdürlük birimleri ile yurt içi, yurt dışı şubelerinde ve iştiraklerinde tüm faaliyetlerin kanun ve ilgili diğer mevzuat ile Banka içi strateji, politika, ilke ve hedefler doğrultusunda yürütülüp yürütülmediğini, risk odaklı denetim anlayışı çerçevesinde denetlemektedir. Teftiş Kurulu Başkanlığı, Banka üst yönetimini bilgilendirerek, üst yönetimin karar verme süreçlerine katkıda bulunacak nitelikteki çalışmalarını sürdürmektedir.

Uluslararası iç denetim standartları doğrultusunda faaliyet gösteren Teftiş Kurulu Başkanlığı, 2024 yılı içerisinde Banka faaliyetlerinin tabi oldukları iş süreçlerine uygunluklarını denetlenmenin yanı sıra asli süreçleri oluşturan işlem adımlarının etkinliklerini, verimliliklerini ve tali süreçleri de denetlemek suretiyle değerlendirmeye tabi tutmuştur. Ayrıca, BDDK tarafından yayınlanan bilgi sistemleri ve iş süreçlerine ilişkin düzenlemelerde belirtilen süreçler de Banka uygulamaları çerçevesinde denetlenmiştir.

Teftiş Kurulu Başkanlığı bünyesinde 2024 yılında yürütülen çalışmalara aşağıda yer verilmiştir:

  • Uyguladığı senaryo analizleri ile usulsüzlüklerin önlenmesi bakımından caydırıcı bir etkiye sahip olan Merkezden Denetim Ekibi, faaliyetlerine 2024 yılında da devam etmiştir. Muhtemel suistimallere karşı oluşturulan mevcut senaryolarının etkinliğini sürekli gözden geçirerek geliştiren ekip, denetim esnasında kullanılan manuel süreçlerin en aza indirilmesini teminen sistemsel geliştirmelerini sürdürmüştür. Yapay zekâ teknolojisinin Merkezden Denetim süreçlerine entegre edilmesi amacıyla başlanan çalışmalara devam edilmektedir. Bu sayede şubelere gönderilen işlem tiplerinin makine öğrenimine dâhil edilerek suistimal olasılığının hesaplanması ve suistimale konu olabilecek daha çok vakanın, daha hızlı ve daha etkin şekilde tespit edilebilmesi sağlanacaktır.

  • Denetimde uluslararası standartların ve uygulamaların takibini sağlayan Ar-Ge Ekibi tarafından, dinamik bir yaklaşımla denetim modelinin güncellenmesi çalışmaları tamamlanmıştır. Yeni denetim yapısında, yerinden şube denetimlerine ek olarak, denetimlerin merkezileştirilmesi ve ortaya çıkan yeni durumların zaman kaybedilmeksizin denetim kapsamına alınması amacıyla senaryo bazlı dinamik denetimler yapılmaya başlanmıştır. Bu çalışmalar sayesinde riskin büyümeden tespiti amaçlanmış ve hâlihazırda temas edilenden daha çok şubeye ulaşılması sağlanmıştır. Ekip tarafından kanunlar, BDDK kararları, Banka üst yönetiminin ve Genel Müdürlük birimlerinin öngördüğü değişiklikler yakından izlenerek denetim noktalarındaki gerekli değişiklikler yapılmıştır.

  • Şube denetimlerinde kullanılan sondaj kuralları revize edilmiş, müşterilerin TO verilerinin de analizlere dâhil edildiği yeni kural setleri oluşturulmuştur. Bu sayede riskliliği daha sağlıklı yansıtan örneklem tespit edilmesi sağlanmıştır. Bununla birlikte; sondaj kuralları dinamik bir yapıda kurgulanarak, konjonktüre ve Banka’nın risk iştahına göre anlık aksiyon alınmaya başlanmıştır.

  • Bilgi Sistemleri Ekibi tarafından, Banka, konsolidasyona tabi yurt içi ve yurt dışı iştirakler, yurt dışı şubeler ve destek hizmeti/dış hizmet alınan kuruluşların bilgi sistemleri ve iş süreçleri üzerinde tesis edilen kontrollerin etkinliği, yeterliliği ve uyumluluğu; ilgili iç ve dış düzenlemeler, uluslararası standartlar ve iyi uygulamalar göz önünde bulundurularak risk odaklı bakış açısıyla her yıl periyodik olarak değerlendirilmekte olup, 2024 yılı içerisinde de çalışmalara devam edilmiştir.

  • Müşterilerin ve Banka’nın sır niteliğindeki bilgilerinin korunması amacıyla faaliyet gösteren Veri Güvenliği Ekibi, 2024 yılında da çalışmalarına devam etmiştir.

  • Dijitalleşmenin getirdiği teknolojik dönüşüme paralel olarak denetimin daha verimli hale getirilmesi amacıyla kurulmuş olan Banka süreçlerindeki eksiklikleri tespit ederek genele yayılmış riski ölçmek, süreçleri geliştirmek ve verimliliği artırmak üzere senaryo üreten ve söz konusu senaryoları ilgili iş birimine sunarak Banka geneli için hızlı ve etkin çözüm yoluna gidilmesini sağlayan Veri Bilimi Ekibi, çalışmalarına 2024 yılında hız vermiş, yapılan çok sayıda çalışmanın çıktıları, ilgili Genel Müdürlük birimleriyle paylaşılmıştır. Ekip aynı zamanda daha önce yürütülmüş denetim/soruşturma üzerinden bulgu, verimsizlik, etkinsizlik veya usulsüzlüğe konu olan işlemlere ilişkin senaryo çalışmaları aracılığıyla bir profil oluşturarak, profilin makine öğrenmesi ile gelecek yıllarda daha hızlı ve efektif bir şekilde bulgu, verimsizlik, etkinsizlik ve usulsüzlüklerin tespitini sağlanmayı hedeflemektedir. Geçmişe yönelik profil oluşturulamadığı veya tahmin yapılamadığı durumlarda, hedeflenen veri setindeki benzer ögeler kümelenmekte veya anomali tespiti yapılmaktadır.

  • Banka genelinde karşılaşılan sistemsel eksikliklerin/hatalı uygulamaların tespit edilmesi ve giderilmesine yönelik çözüm önerileri geliştirerek, Banka’nın veri havuzundan risk ihtiva ettiği düşünülen verileri süzen ve Spot Teftiş Raporları hazırlayan Teftiş Senaryo Birimi çalışmalarına 2024 yılında da devam etmiştir. Birim tarafından hazırlanan raporlar, Banka’nın ilgili iş birimleri ile paylaşılarak, iş süreçlerinin geliştirilmesine/değiştirilmesine ve Banka’nın ürünlerinin verimliliğinin arttırılmasına katkı sağlanmaktadır.

  • Teftiş Kurulu Başkanlığı’nda analitik araçların daha etkin ve verimli kullanılması için Teftiş Kurulu üyelerinin konu hakkındaki eğitimlere katılımları sağlanmıştır. Bu kapsamda Müfettişlerin Oracle SQL ve Python uygulamalarına yönelik eğitimlere katılımları sağlanmıştır.

  • Banka’nın 2023 yılı Aralık ayında açmış olduğu Müfettiş Yardımcılığı Giriş Sınavı’nda başarılı olan 20 Müfettiş Yardımcısı ve 2024 yılı Ağustos ayında açmış olduğu Müfettiş Yardımcılığı Giriş Sınavı’nda başarılı olan 31 Müfettiş Yardımcısı 2024 yılı içerisinde işe başlamıştır.

  • 2024 yılında 26 Müfettişin idari göreve geçişi sağlanarak Banka’ya nitelikli insan kaynağı sağlama fonksiyonu sürdürülmüştür.

Teftiş Kurulu, önümüzdeki dönemde de Banka üst yönetimince belirlenen hedef ve politikalar doğrultusunda hazırlanacak iç denetim planının icrası, sonuçlarının Denetim Komitesi aracılığıyla Yönetim Kurulu’na raporlanması ve denetim raporlarına istinaden alınacak önlemlerin izlenmesi faaliyetlerini, yüksek sorumluluk ve görev bilinci içerisinde sürdürecektir.

İç Kontrol Sisteminin İşleyişi

Ziraat Bankası’nda İç Kontrol Sistemi; “Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik” 9. madde 3. fıkrası “İç Kontrol sistemi, bankanın yurt içi ve yurt dışı şubeleri ile genel müdürlük birimlerini, konsolidasyona tabi ortaklıklarını ve tüm faaliyetlerini kapsayacak şekilde yapılandırılır.” gereğince, iş süreçleri ve bilgi sistemleri, yurt içi şubeleri, yurt dışı şubeleri ve konsolidasyona tabi ortaklıklarını kapsayacak şekilde kurgulanmıştır.

Faaliyetler, kapsam ve uygulanan yöntem itibarıyla Banka’nın ana hedef ve stratejileri ile uyumlu bir şekilde yürütülmektedir.

Benimsenen proaktif yapı sayesinde Banka faaliyetlerinin sektör normlarının üzerinde gerek iç gerekse dış mevzuat ve rekabet koşulları ile uyumlu bir şekilde yürütülmesine katkı sağlanmaktadır.

Yurt içi şube kontrolleri, her bir üç aylık faaliyet dönemi için dinamik bir yapıyla, konjonktürel risklilik durumuna göre hazırlanan kontrol programları çerçevesinde yerinden ve merkezden gerçekleştirilmektedir. Kontrol faaliyetleri ağırlıklı olarak teknoloji yoğun ve merkezi bir yapıda kurgulanmış, genele yaygın eksikliklerin ilgili iş birimleri nezdinde hızlıca düzeltilmesi amaçlanmıştır.

Anlık kontrol faaliyetleri ile operasyonel işlemlere, muhasebe kayıtlarına ve kredi işlemlerine ilişkin gerçek zamanlı kontroller yapılmaktadır. Belirlenen risklilik senaryoları dâhilinde yer alan işlemler gün içerisinde tetkik edilmekte ve hatalı işlemlerin düzeltilmesi sağlanmaktadır. İşlemlerin gerçek zamanlı kontrolü yapılarak, önleyici aksiyonlarla etkinliğin artırılması ve geçmişe yönelik işlem takibi yerine, iç kontrol sisteminin Banka’nın günlük faaliyetlerinin bir parçası haline gelmesi sağlanmaktadır.

Bu amaçla iç kontrolörler tarafından geliştirilen EVAM senaryolarıyla anlık olay ve aksiyon yönetimi araçları kullanılarak anomali durumları tespit edilmekte, yapay zekâ/makine öğrenmesi çözümlerinin kontrol süreçlerine entegrasyonuyla da müşteriler için düzenlenen kredi değerleme raporlarının muhtelif kriterleri kontrol edilmektedir. Bu sayede, varlık ve yükümlülüklerin kayda alınması ve finansal raporlara yansıtılması sürecinde oluşabilecek hataların ve eksikliklerin önüne geçilebilmesi temel ilke olarak benimsenmiştir. Bahsi geçen kontrol uygulamaları, ilave maliyet ve insan gücü kullanımının önüne geçerek kontrol faaliyetlerinin sürdürülebilirlik odağında geliştirilmesine fayda sağlamaktadır.

2024 yılı itibarıyla, şubeler tarafından gerçekleştirilen muhasebesel/operasyonel işlemlerin kontrolünün robotik süreçlere entegrasyonu ve bu husustaki raporlamaların robot tarafından gerçekleştirilmesi çalışmaları uygulanmaya başlamıştır. Bu kapsamda yapılan çalışmalar ve ilerleyen süreçte gerçekleştirilmesi planlanan geliştirmeler neticesinde; gerçek kişiler ile idame ettirilen fiziksel raporlama ve dokümantasyon gibi süreçlere ihtiyaç azalacak, böylece şube kontrol faaliyetleri ekonomik sürdürülebilirlik rotasında yapılanmaya devam edecektir. Robotik süreçlerin insan kaynağına ihtiyacı azaltması insan kaynaklı çevresel etki faktörlerini de azaltacağından potansiyel karbon ayak izinin düşürülmesi noktasında da fayda sağlanacaktır.

Robotik kontrol faaliyetlerine yönelik yürütülen proje kapsamında, 9 farklı senaryo oluşturulmuştur. Projenin karar aşamasında Banka’nın tüm şubelerinin belirlenen senaryolar doğrultusunda 21 günde kontrolünün sağlanabileceği hesaplanmıştır. Projenin pilot uygulaması sürecinde 1 günde 21 adet şube kontrol edilmiş, gerçekleşen kontroller neticesinde 444 adet bulgu tespiti sağlanmıştır. Aynı dönemde geleneksel yöntemle kontrol edilen şubelerde ise bu sayıda kontrol adedi ve bulguya ulaşılması için gereken 21 adam/gün maliyetten tasarruf sağlanmıştır.

Ön inceleme faaliyetleri, iç kontrolörler tarafından tespit edilen veya herhangi bir kanaldan İç Kontrol Bölüm Başkanlığı’na iletilen; şikâyet/ihbar niteliğindeki kayıtlara, zarar doğurucu işlemlere, mutat uygulamalara göre riskli veya şüpheli görülen hususlara yönelik gerçekleştirilmektedir.

İç kontrolörler tarafından, Banka geneline yaygın hataların veya sistemsel eksikliklerin merkezden tespit edilmesi amacıyla Analitik Kontrol faaliyetleri gerçekleştirilmektedir. Gerçekleştirilen kontrol ve analizlerde veri tabanı programları ve çeşitli analitik araçlar kullanılarak senaryolar geliştirilmektedir. Bu kapsamda yapılan bazı çalışmalar global kuruluşlarca da ödüllendirilmiştir.

İş birimlerinin kontrol programları, birimlerin işlevleri ve taşıdıkları riskler, birimlerin görev tanımları ve Banka bilançosuna etkileri dikkate alınarak oluşturulmakta ve ihtiyaçlar doğrultusunda revize edilmektedir. Oluşturulan programlar doğrultusunda yeter sayıda iç kontrolör tarafından iş birimleri kontrol edilmektedir.

Banka’nın yurt dışında bulunan şubelerine ilişkin iç kontrol faaliyetleri, yıllık olarak hazırlanan kontrol planları doğrultusunda yürütülüp izlenmektedir. Yurt dışı şubelere yönelik düzenlenen raporlar, ilgili iç kontrolörler tarafından incelenmesinin akabinde, raporlarda yer alan bulgular konusuna göre ilgili Genel Müdürlük birimlerine iletilmektedir.

Tüm bu faaliyetler neticesinde ortaya çıkan bulgular ve gerçekleştirilen kontrollere ilişkin detaylar Banka’nın ilgili iş birimleri ve üst yönetim ile dönemsel olarak paylaşılmaktadır.

Kontrol faaliyetlerinin yanı sıra, iç kontrolörler tarafından Banka’da yürütülen faaliyetlere ilişkin süreçlerin iyileştirilmesi ve muhtemel risklerin önlenmesine yönelik süreç iyileştirme önerileri iş birimleri ile paylaşılmaktadır. Bu uygulamayla risklerin önceden tespit edilerek önlenmesi, süreçlerin iyileştirilerek rekabet ortamına uyum ve müşteri memnuniyetinin sağlanması ve maliyet azaltıcı tedbirlerin alınması hedeflenmiştir.

Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğin 18. maddesi çerçevesinde mevzuat uyum kontrolleri de iç kontrol bünyesinde yürütülmektedir. Bu kapsamda, Banka’nın gerçekleştirdiği ve gerçekleştirmeyi planladığı tüm faaliyetleri ile yeni işlem ve ürünlerin, kanuna ve ilgili diğer mevzuata, Banka içi politika ve kurallar ile bankacılık teamüllerine uyumu kontrol edilmektedir. Ayrıca, uyum kontrolleri kapsamında Banka içinde düzenlenen ya da değiştirilen mevzuat da incelenmekte ve oluşan görüşler ilgili iş birimleri ile paylaşılmaktadır.

2024 yılında uygulanmaya başlanan bireysel ve kurumsal kredilerin merkezden gerçek zamanlı (anlık) kontrolü projelerinin geliştirilmesi, robotik kontrollerin devreye alınması, senaryo bazlı analitik kontrol çalışmalarının çeşitlendirilmesi gibi projeler ile birlikte, yerinden şube kontrol faaliyetleri azalmıştır. Bu sayede, iş seyahatleri kaynaklı uçuşlara, karayolu taşıtı kullanımlarına ve otel konaklamalarına gerek kalmaması nedeniyle sera gazı emisyonunda düşüş elde edilmiştir.

Bir diğer önemli proje de KKTC Ülke Yöneticiliği nezdindeki iç kontrol faaliyetleri kapsamında incelenen hususları ve tespit edilen bulguları içeren fiziki raporların, ana bankacılık uygulamasındaki iç kontrol modüllerine entegre edilmesi olmuştur. Böylece kâğıt tüketimi azaltılarak kaynak tasarrufunun yanı sıra emisyonlarda da düşüş sağlanmıştır. Diğer taraftan, projenin sonucunda iç kontrolörlerin raporlama ve bulgu takip süreci daha verimli hale gelmiş, kontrol edilen birimlerin tespit/bulgu düzeltimi ve süreç iyileştirme çalışmalarına geçiş kolaylaşmıştır.

Uyum Sisteminin İşleyişi

Banka’da suç gelirlerinin aklanmasının, terörün ve kitle imha silahlarının yayılmasının finansmanının önlenmesine yönelik faaliyetler; ulusal ve uluslararası düzenlemelere uygun şekilde yürütülmektedir.

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’da meydana gelen değişiklikler doğrultusunda güncellenen “Suç Gelirlerinin Aklanmasının Önlenmesine Dair Uyum Programı Hakkında Yönetmelik” gereğince Banka; Ziraat Finans Grubu bünyesinde ana finansal kuruluş olarak yurt içinde faaliyet gösteren finansal kuruluşlar ile birlikte finansal grup bazında uyum programı ve Ziraat Finans Grubu Uyum Politikası’nı takip etmektedir. Bu doğrultuda ilgili kanun ve yönetmelikler ile getirilen sorumlulukların etkili bir biçimde yerine getirilebilmesini sağlamak amacıyla Banka’nın Suç Gelirlerinin Aklanmasının ve Terörün/Kitle İmha Silahlarının Yayılmasının Önlenmesi Uygulama Esas ve Usulleri tümüyle güncellenmiştir. Grubun yapısal özellikleri göz önünde bulundurularak personel ve kaynak tahsisi yapılmaya özen gösterilmektedir.

Bankacılık süreçlerinde teknolojik gelişmelerin getirdiği hızlı dijitalleşmeyle birlikte; suç örgütleri de bankaları yasa dışı faaliyetlerinin finansmanı için kullanmak amacıyla teknoloji kullanımını arttırmış ve daha karmaşık araçlara yönelmeye başlamıştır. Finansal hizmetlerdeki yeniliklere ve yeni ürünlere yapmış olduğu yatırımlarla birlikte Banka, sunmuş olduğu ürün ve hizmetlerin yasa dışı faaliyetlere aracı olarak kullanılmaması için önleyici kontrol mekanizmaları geliştirmiş, önleyici kontrollerle engellenemeyen durumların ise zamanında tespitini sağlayıp, proaktif önlemlerle suç gelirleriyle mücadelede hızlı aksiyon alabilecek şekilde yapılandırılmıştır.

Banka’da suç gelirlerinin aklanması, terörün ve kitle imha silahlarının yayılmasının finansmanı alanındaki potansiyel risklerin daha iyi tanımlanıp, risklerin etkin bir şekilde yönetilip kontrol edilmesine ilişkin uzman personelin bilgi ve analitik becerilerinin yanında; yapay zeka ve makine öğrenmesine dayalı dijital çözümlerin kullanımına ağırlık verilen, suç gelirlerinin aklanması ve terörün finansmanı ile mücadele gereksinimlerine etkin bir şekilde yanıt verebilen bir sistem oluşturulmasına yönelik projeler yoğunlaşmaktadır.

Bu kapsamda, suç gelirlerinin aklanması ve terörizmin finansmanı ile mücadele önlemlerini ve yükümlülüklerini daha etkili ve hızlı hale getirebilmek adına teknoloji tabanlı, yenilikçi süreçler geliştirmeye önümüzdeki dönemde de ağırlık verilmeye bu alana yatırım yapılmaya devam edilecektir.

Banka’nın müşteri edinimi sürecini hem güncel konjonktüre adapte edebilmek hem de bu sürecin oluşturacağı uyum risklerini asgari seviyede tutabilmek amacıyla sistemsel iyileştirmelere devam edilmektedir.

Ziraat Finans Grubu içerisinde faaliyet gösteren tüm yurt içi ve yurt dışı finansal kuruluşların suç gelirlerinin aklanması, terörün ve kitle imha silahlarının yayılmasının finansmanıyla etkili bir şekilde mücadele edilmesi amacıyla, Grup nezdinde etkin bir risk temelli yaklaşım izlenmekte, mücadeleye konu riskler tanımlanmakta, sınıflandırılmakta ve tanımlanan risklere dayalı, etkin ve orantılı kontroller oluşturulmaktadır. Faaliyet gösterilen tüm ülke ve alanlarda suç ve terör odaklarınca geliştirilen yeni tipolojiler yakından takip edilmekte, trend analizleri yapılmakta ve risk bazlı yaklaşım modeline uygun bir şekilde kaynak planlaması yapılmaktadır. Bu kapsamda, insan kaynağında artışın yanında teknolojik imkânların daha verimli kullanılmasına yönelik projeler hızlı bir şekilde hayata geçirilmektedir. Bu alanda da makine öğrenmesi yapıları ile etkinlik ve hız sağlamaya yönelik çalışmalar yürütülmektedir.

Grup nezdinde oluşturulan ve regülasyonlarda meydana gelen değişikliklerle birlikte güncellenen yazılı politika ve prosedürler ile Banka’nın ve Ziraat Finans Grubu’nun sunmuş olduğu ürün ve hizmetleri suç gelirlerinin aklanması, terörizmin ve kitle imha silahlarının yayılmasının finansmanı amacıyla kullanılmasını engellemek adına gerekli tedbirler alınmakta ve bu konularda Banka’yı herhangi bir operasyonel risk, itibari risk ve yaptırım riskine maruz bırakmayacak şekilde kontroller gerçekleştirilmektedir.

Banka tarafından takip edilen yaptırım programlarında yer verilen kişi ve kuruluşlar ile iş ilişkisine girilmesinin, yaptırıma konu faaliyetlere yönelik herhangi bir hizmet sunulmasının ve yaptırımları ihlal eden herhangi bir bankacılık hizmetine aracılık edilmesinin önüne geçilmesine ilişkin yaptırım riskini önleyici nitelikte kontroller geliştirilmiştir.

Uyum programı yönetmeliği kapsamında, Ziraat Finans Grubu içi bilgi paylaşımını temin etmek amacıyla geliştirilmiş olan ve Banka’nın teknoloji alt yapısının desteklediği sistem sayesinde, Ziraat Finans Grubu’nun bilgi paylaşım politikası çerçevesinde bilgilerin Grup içinde güvenli bir şekilde paylaşımı sağlanmaya devam etmektedir.

Ziraat Finans Grubu içerisinde yer alan Banka’nın yurt içi iştirakleri yanında, yurt dışı şube ve iştirakleriyle de uyum faaliyetlerine ilişkin yürütülen eşgüdümlü strateji çerçevesinde düzenli temaslar söz konusu olmakta, başta SGA/TFÖ olmak üzere ulusal ve uluslararası mevzuat ve uygulamalara uyum noktasında ortak çalışmalar yürütülmekte ve gerekli durumlarda ilgili şube veya iştiraklere uzaktan veya yerinde destek ve eğitimler verilmekte olup önümüzdeki dönemde de Banka’nın sağladığı destek artarak devam edecektir. Kuruluşu gerçekleştirilen iştirakler Ziraat Pay ve Ziraat Dinamik tarafından Banka nezdinde uyum kontrollerinin yapılabilmesi için gerekli sistemsel yapıların adaptasyonunda önderlik edilmekte olup Cezayir Şubesi’nin uyum kontrolleri için gerekli sistemsel adaptasyon çalışması devam etmektedir. Dubai Temsilciliği’nin açılması sürecinde ise uyum mevzuatının oluşturulması aşamasında destek sağlanmıştır.      

“Suç Gelirlerinin Aklanması ve Terörün/Kitle İmha Silahlarının Finansmanının Önlenmesi” konularında ortak standartlar geliştirmek, ortak süreçler oluşturmak ve ortak politika hedefi doğrultusunda hareket etmek hususlarında karşılıklı bilgi alışverişinde bulunmak amacıyla düzenlenen kurum içi eğitimlere devam edilmektedir.

Ayrıca, tüm personelin suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi konularında bilinç ve farkındalık düzeylerini arttırıcı eğitimler düzenlenmeye devam edilmektedir.

Banka, Grup nezdinde uyum risklerinin zamanında tespiti, asgari düzeye indirilmesi ve önlenmesine ilişkin mevcut yasa ve yönetmelikler dikkate alınmak suretiyle kontrollerini güçlendirmeye devam edecektir.

Gerek ana finansal kuruluş olarak Ziraat Bankası’nın, gerekse Ziraat Finans Grubu dâhilinde faaliyet gösteren finansal kuruluşların uyum birimleri, geçmiş yıllarda olduğu gibi bundan sonraki dönemde de SGA/TFÖ alanında yeni trendleri, en iyi uygulamaları yakından takip ederek, uzman personel yapısı ile birlikte analitik altyapı ve teknolojik imkânları azami ölçüde kullanmak suretiyle, verimlilik ve etkinlik maksimizasyonu sağlamaya yönelik, risk bazlı yaklaşım ile faaliyetlerini sürdürecektir.

Risk Yönetim Sisteminin İşleyişi

Ziraat Bankası’nın risk yönetimi faaliyetleri, Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik ve diğer ilgili düzenlemeler ile BDDK İyi Uygulama Rehberlerine göre Banka bütününde risk kültürünün yerleştirilmesi, sistem ve insan kaynağının sürekli olarak iyileştirilmesi suretiyle, risk yönetimi fonksiyonunun iyi uygulamalara yaklaştırılması hedeflenerek yürütülmektedir. Risk yönetimi sistemi çerçevesinde yürütülen faaliyetler; kredi riski, piyasa riski, operasyonel risk, bilanço riskleri (bankacılık hesaplarından kaynaklanan faiz oranı riski ve likidite riski), içsel derecelendirmeye dayalı modelleme ve validasyon temel başlıklarını kapsamaktadır. Ayrıca Banka’nın yurt dışı şubeleri ve iştiraklerinin risk yönetimine ilişkin yerel düzenlemelere uyumunun sağlanması ve risk yönetimine ilişkin rasyolarının izlenmesi faaliyetleri yürütülmektedir. Her bir risk türünün ilişkili olduğu faaliyet koluna dâhil olan birimlerin katkıları ile eşgüdüm halinde yürütülmesinin sağlanmasına özen gösterilmektedir.

Kredi riski yönetimi faaliyetleri çerçevesinde, Basel III ile uyumlu yöntemler kullanılarak kredi riskinin tanımlanması, ölçümü, izlenmesi ve raporlanmasına yönelik çalışmalar yürütülmektedir. Yönetim Kurulu onaylı kredi riski limitleri takip edilmekte, kredi risk faktörlerine çeşitli şoklar uygulanarak senaryo analizi ve stres testleri yapılmaktadır. Karşı taraf riskine yönelik olarak Karşı Taraf Kredi Riski ölçümleri gerçekleştirilmektedir.

Ayrıca, İçsel Derecelendirmeye Dayalı (İDD) yaklaşım ile oluşturulan modeller ve bu modellerin validasyon çalışmaları ile birlikte model çıktıları TFRS-9 hesaplamalarında, tahsis ve fiyatlama süreçlerinde kullanılmaktadır.

Piyasa riski yönetimi faaliyetleri kapsamında; riskin tanımlanması, ölçülmesi, analizi, izlenmesi ve raporlanması faaliyetleri yürütülmekte, yapılan analizler stres testi ile desteklenmektedir. Risk ölçümleri sermaye yeterlilik rasyosuna dâhil olacak yasal hesaplamaların yanı sıra içsel olarak raporlanan riske maruz değer ölçüm yöntemleri vasıtasıyla da gerçekleştirilmektedir. Riske maruz değer sonuçları geriye yönelik test analizleri yoluyla izlenmektedir. Piyasa riskine esas tutarlar, Yönetim Kurulu onaylı limitler vasıtasıyla periyodik olarak takip edilmekte ve takip edilen içsel limitler Banka Üst Düzey Yönetimi ile paylaşılmaktadır.  

Operasyonel risk yönetimi faaliyetleri kapsamında, operasyonel risklerin tanımlanması, sınıflandırılması, ölçülmesi ve analiz edilmesi faaliyetleri yürütülmekte, Yönetim Kurulu onaylı operasyonel risk sinyal ve limit değerleri periyodik olarak takip edilmektedir. Operasyonel Riske Esas Tutar, Bankaların Sermaye Yeterliliğinin Ölçülmesine ve Değerlendirilmesine ilişkin Yönetmelik uyarınca Temel Gösterge Yöntemi kullanılarak hesaplanmaktadır. Banka ile bütünleşik ve muhasebe sistemi ile uyumlu, Basel Bankacılık Gözetim ve Denetim Komitesi’nin kayıp olay türü ve faaliyet kollarını kapsayan bir sınıflandırma doğrultusunda tesis edilen, yurt dışı-yurt içi şube ve iştiraklerden elde edilen verileri kapsayan operasyonel risk kayıp veri tabanı ile Banka’nın operasyonel risk görünümü etkin yöntemlerle izlenmektedir. Ayrıca Banka organizasyonunu kapsayan öz değerlendirme çalışması yapılmakta, bilgi teknolojilerinden kaynaklanan riskler ve alınan aksiyonlar, ilgili birimlerle koordineli bir şekilde takip edilmekte ve destek hizmeti alınan kuruluşlar için risklilik değerlendirmeleri yapılmaktadır. Diğer taraftan operasyonel risk kapsamında itibar riskine ilişkin çalışmalar da gerçekleştirilmekte ve yapılan analizler raporlara konu edilmektedir.

Bilanço riskleri kapsamında; likidite riski ve bankacılık hesaplarından kaynaklanan faiz oranı riski ile ilgili olarak tanımlama, ölçme, analiz, izleme ve raporlama faaliyetleri yürütülmekte, yapılan analizler stres testi ve senaryo analizleri ile de desteklenmektedir. Konsolide ve konsolide olmayan Likidite Karşılama Oranı ve Net İstikrarlı Fonlama Oranı ile konsolide olmayan Bankacılık Hesaplarından Kaynaklanan Faiz Oranı Riski Rasyosu periyodik olarak BDDK’ya raporlanmaktadır. Ayrıca, Yönetim Kurulu onaylı likidite ve bankacılık hesaplarından kaynaklanan faiz oranı riski sinyal ve limit değerleri periyodik olarak takip edilmektedir.

Banka içi periyodik raporlara konu edilen stres testi analizlerinin yanı sıra yılsonları itibarıyla BDDK’ya gönderilmek üzere Stres Testi ve İSEDES Raporları hazırlanmakta, Banka’nın içsel sermaye ve likidite yeterlilik düzeyi analiz edilmektedir.

Banka’nın maruz kaldığı risklerin doğru ölçülmesi ve yönetilmesi amacıyla içsel olarak kullanılan derecelendirme modelleri ve diğer ölçüm metodolojilerinin doğruluğu, tutarlılığı ve yeterliliği ile risk modellerinin istikrarlılığının ve çıktı (risk tahminleri, derecelendirme notları) performanslarının değerlendirilebilmesi ve sonuçların düzenli aralıklarla Üst Yönetime raporlanması amacıyla validasyon birimi tarafından faaliyetler yürütülmektedir. Böylelikle, karar alma süreçlerinde kullanılan içsel modellerin validasyon çalışmalarının gerçekleştirilerek tespit edilen bulgular neticesinde gerekli aksiyonların alınabilmesi ve yasal gerekliliklere tam uyumun sağlanması hedeflenmektedir.

Risk yönetimi faaliyetleri kapsamında yürütülen analizlerin sonuçları ve risk göstergeleri altı aylık periyotlarda Denetim Komitesi’ne ve Yönetim Kurulu’na; aylık periyotlarda Denetim Komitesi’ne, aylık, haftalık ve günlük periyotlarda ise Üst Düzey Yönetime raporlanmaktadır.

Tüm risk türlerine yönelik yürütülen faaliyetlerin, uluslararası alanda kabul gören gelişmiş risk yönetim tekniklerine dayalı olarak sürdürülmesine ve bu faaliyetlerin Banka’nın stratejik karar alma süreçlerinin ayrılmaz bir parçası olarak yürütülmesine yeni faaliyet döneminde de devam edilecektir.

Teftiş Kurulu Başkanlığı

Bankamız Sürdürülebilirlik Politikası ile uyumlu olarak insana ve çevreye saygılı bankacılık prensibi ile katma değer oluşturan faaliyetlerimiz aşağıda belirtilmiştir.

Son yıllarda gerek devletlerin gerekse de kurumların başlıca gündem maddelerinden olan sürdürülebilirlik kavramı çerçevesinde Bankamızın gerçekleştirdiği çalışmaları değerlendirmek amacıyla, Teftiş Kurulu Başkanlığı tarafından 2024 yılında denetim planına alınan Sürdürülebilir Bankacılık Süreç Denetimi kapsamında; sendikasyon kredisi gereksinimleri doğrultusunda sürdürülebilirlik performans kriterleri (Key Performance Indicator (KPI)), sürdürülebilirlik kapsamındaki Bankamız çevresel kredi ürünleri, BDDK tarafından 01.10.2023 tarihinde yayınlanan Yeşil Varlık Oranları Hakkında Tebliğ Taslağı ve Kamu Gözetim Kurumu’nun finans sektöründe sürdürülebilirliğe ilişkin yayınlamış olduğu mevzuatlar ile ulusal ve uluslararası otoritelerin sürdürülebilir bankacılık alanındaki strateji ve politikalara Bankamızın genel uyum seviyesi incelenmiştir. Ek olarak gerçekleştirilen denetim kapsamında 2019 yılından beri yayınlanan ve yıllık bazda Bankamızın sürdürülebilirlik politikalarını içeren entegre faaliyet raporları, ulusal ve uluslararası otoritelerin sürdürülebilir bankacılık alanındaki genel strateji ve politikaları da incelenmiştir.

Kurulumuz tarafından uygulanmakta olan denetim modeli kapsamında tüm şube raporlarının sistem üzerinden düzenlenmesi sayesinde fiziki belge/rapor gönderimine son verilmiştir. Şube denetimlerinin yanında tüm Genel Müdürlük Birimleri için de denetim raporlarının sistem üzerinden hazırlanması ve takip edilmesi sağlanmıştır.

Bununla birlikte kullanılmakta olan e-imza ve sanal arşiv uygulaması ile tüm denetim ve inceleme/soruşturma raporları fiziki bir doküman arşivine ihtiyaç duyulmaksızın ana bankacılık yazılımı üzerinde dijital ortamda arşivlenmektedir.

Denetim ve inceleme/soruşturma raporlarının sisteme aktarılması, sanal arşiv uygulaması ile 32.000 adet A4 kâğıt tasarrufu sağlanmıştır.

Bilgi Güvenliği Yöneticiliğinin İşleyişi

Ziraat Finans Grubu olarak, ulusal düzenlemeler, uluslararası standartlar ve sektörel en iyi uygulamalar doğrultusunda oluşturulan bilgi güvenliği politikaları ile uyumlu bilgi güvenliği yönetim sistemi işletilmektedir. Bu politika, Bankamızın stratejik hedefleriyle uyumlu bir çerçeve sağlayarak bilgi güvenliği süreçlerini etkin bir şekilde yönlendirmektedir. Banka genelinde bilgi güvenliğinin sağlanması, iş birimleriyle uyum içinde çalışılarak gerçekleştirilmektedir. Bilgi güvenliği hedeflerimiz, iş hedeflerimizle entegre bir şekilde yürütülmektedir.

Bilgi güvenliği yönetimi, sürekli izleme, değerlendirme ve iyileştirme süreçlerini içeren dinamik bir yapı sergileyerek, bankanın operasyonlarının kesintisiz bir şekilde devam etmesini sağlamaktadır. Bankamız çalışanlarına yönelik riskleri en aza indirmek amacıyla farkındalık programları yürütülmektedir. Aynı zamanda bilginin korunması ve kullanımı için gerekli prosedürler hazırlanarak tüm çalışanlarımızın bu kurallara uygun hareket etmesi sağlanmaktadır.

Bankamızda Bilgi Güvenliği Yönetimi, bilgi varlıklarını korumak için kapsamlı politikalar, süreçler ve teknolojiler bütününü içermektedir. Bankamız bilgi varlıklarımızı gizlilik, bütünlük ve erişilebilirlik kriterlerine göre sınıflandırılmakta, her varlık için uygun koruma yöntemlerini belirlenmektedir. Bankamız bilgi varlıklarına yönelik tehditler ve zafiyetler analiz edilmekte, bu analizler sonucunda riskleri en aza indirecek kontrol mekanizmaları geliştirilmektedir. Kritik projeler ve sistem değişikliklerinde bilgi güvenliği gereksinimlerini analiz edilmektedir. Bu süreçte bilgi güvenliği risklerini belirlemek ve azaltmak amacıyla projelerde yer alan tüm ekiplerle iş birliği içinde çalışılmaktadır.

Düzenli olarak bağımsız üçüncü taraf firmalar tarafından gerçekleştirilen sızma testlerini yaptırmakta ve bu testlerden elde edilen bulgulara yönelik aksiyon planları hazırlanmaktadır. Hazırlanan bu aksiyon planları Bankacılık Düzenleme ve Denetleme Kurumu (BDDK)’na zamanında raporlanarak bilgi güvenliği süreçleri sürekli gözden geçirilmekte ve iyileştirilmektedir. Bankamız bilgi varlıkları için belirlenen risklerin etkisini azaltmak için iyileştirme aksiyonları alınmakta ve bu aksiyonlar sonucu aksiyonların başarısını değerlendirilmektedir. İyileştirme süreci sonunda tekrar bir analiz gerçekleştirilerek risklerin kabul edilebilir seviyelere indirilmesi sağlanmaktadır. Bankamız bilgi varlıklarına yönelik tehditlerin ve zafiyetlerin etkilerini sınırlamak veya gerçekleşme olasılıklarını azaltmak için kapsamlı kontroller uygulanmaktadır. Bu kontroller, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda risklerini azaltırken, faaliyetlerin mevzuatlara ve standartlara uygun bir şekilde sürdürülmesini de sağlamaktadır.

Bilgi güvenliği olaylarının etkinliğini en aza indirmek için gerekli önlemler alınmakta, süreçler düzenli olarak izlenmekte ve geliştirilmektedir. Bilgi güvenliği ihlallerini izlemek ve raporlamak önceliklerimiz arasında yer almakta olup, olası ihlalleri önlemek için bilgi sistemleri üzerinde sürekli bir izleme mekanizması bulunmaktadır. Siber saldırılar ya da veri ihlali durumlarında olay yönetim süreçlerimiz hızlı müdahale ve etkili çözüm sağlamayı hedeflemektedir. Bankamızda 7/24 aktif olarak çalışan Siber Güvenlik Merkezi, bilgi sistemlerimizi olası siber tehditlere karşı sürekli izleyerek ve analiz ederek, bankamız güvenliği en üst düzeyde tutmaktadır. Gerçek zamanlı tehdit tespiti ve müdahalesi sayesinde veri ihlallerini önlenmekte ve operasyonel kesintilerin önüne geçilmektedir.

Görevler ayrılığı ve en az yetki prensiplerine uygun bir şekilde bankamız bilgi sistemlerinde etkili kimlik doğrulama ve erişim yönetimi politikaları uygulanmaktadır. Kritik sistemlere ve verilere erişim yalnızca yetkili kişilerle sınırlandırılmakta, çok faktörlü kimlik doğrulama ve rol tabanlı erişim yönetimi gibi yöntemlerle yetkisiz erişim riskleri azaltılmaktadır. Çalışanlarımızın yalnızca iş ihtiyaçlarına uygun erişim yetkilerine sahip olmasını sağlayarak yetkisiz erişim riskleri en aza indirilmektedir.

Bankacılık hizmetlerinde ve bilgi sistemlerinde gerçekleştirilen işlemlerin, kayıtların ve verilerin bütünlüğünü korumak için gerekli tüm önlemler alınmaktadır. Hem banka ağı hem de dış ağlardan gelebilecek tehditlere karşı güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi ileri teknolojiler etkin bir şekilde kullanılmakta, düzenli yedekleme süreçleriyle veri kaybı önlenmekte ve veri bütünlüğü sağlanmaktadır. Bankamızda bilgi güvenliğini sağlamak amacıyla SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemi kullanılarak, tüm bilgi sistemlerimizden detaylı iz kayıtları toplanmakta ve bu kayıtlar ileri düzey analiz teknikleriyle incelenmektedir. Böylece olası güvenlik tehditlerinin ve anormal aktivitelerin erken tespit edilmesine olanak tanırken, bankamızın siber güvenlik olaylarına hızlı ve etkili bir şekilde yanıt vermesini sağlamaktadır.