Risk Yönetimi Bölümü, KKB’nin misyonundan yola çıkarak yönetilmesi gereken riskler ve fırsatları Kurum’un stratejik hedefleri doğrultusunda değerlendirilmektedir

Faaliyetlerini üstün kalite standartları doğrultusunda şekillendiren KKB; stratejik, operasyonel, finansal ve itibar kategorileri altında sınıflandırdığı risk yönetimi çalışmalarını uluslararası kurumsal risk yönetimi standartları COSO ERM ve ISO 31000 Risk Yönetimi ışığında yürütmektedir. Risk Yönetimi Bölümü, organizasyonel olarak “Genel Müdür’e bağlı ve Denetim Komitesi’ne raporlayacak” şekilde konumlanmıştır.

Bölüm faaliyetleriyle, KKB’nin kuruluş misyonu doğrultusunda yönetilmesi gereken riskler ve fırsatların Kurum’un stratejik hedefleri doğrultusunda değerlendirilmesi ve ürün ve hizmetlerin en etkin, verimli ve kontrollü olarak sunulabilmesine katkı vermektedir. Stratejik planlama/hedefleme ve risk yönetimi faaliyetlerinin yanı sıra Bilgi Güvenliği Yönetim Sistemi (ISO 27001), İş Sürekliği Yönetim Sistemi (ISO 22301) ve Hizmet Yönetim Sistemi (ISO 20000) standartlarına uygun risk değerlendirme çalışmaları gerçekleştirmektedir. Bu çalışmalar süreç, hizmet ve varlık bazlı olarak ayrı ayrı gerçekleştirilmiş ve böylece KKB’nin kritik hizmetleri, bu hizmetlerin sunulmasını sağlayan süreçler ve varlıklar, olası tüm riskleri tespit edebilmek adına farklı yöntem ve yaklaşımlarla risk değerlendirmesine tabi tutulmuştur. Risk Yönetimi Bölümü 2020 yılında ayrıca, dışarıdan hizmet alınacak veya iş ortaklığı kurulacak kritik üçüncü partiler için de sözleşme öncesinde risk değerlendirmeleri gerçekleştirmeye devam etmiştir. Yapılması planlanan çalışmaların KKB’ye olası etkileri değerlendirilerek ilgili partiler ziyaret edilmiş ve saha çalışmaları düzenlenmiştir. Bu çalışmalarla sadece destek hizmetleriyle ilgili değil, dış kaynaklı tüm risklerin daha da azaltılması sağlanmıştır.

ISO 27001, ISO 22301 ve ISO 20000 sertifikalarına sahip olan KKB, 2020 yılında da bu alanlarda en iyi uygulamaları hedefleyerek olgunluğunu artırmış ve denetimleri başarıyla geçerek tüm sertifikalarını yenilemiştir. Bunlara ek olarak, KKB Anadolu Veri Merkezi’nde Çevre Yönetim Sistemi’ni kurarak devreye almış ve gerçekleştirilen denetimler sonucu ISO 14001 Çevre Yönetim Sistemi sertifikası almaya hak kazanmıştır. Ayrıca, 2018 yılında başlayan uygulama yinelenerek KKB Anadolu Veri Merkezi için gerçekleştirilen bağımsız denetim çalışması sonrası ISAE3402 raporlama standardına uygun yayınlanan Hizmet Güvence Raporu müşterilerle paylaşılmıştır. Raporla, müşterilere güvence verilirken, denetim eforlarının azaltılması sağlanmıştır.

Bölüm; kriz yönetimi, risk yönetimi, bilgi güvenliği, stratejik planlama ve süreç yönetimi alanlarında ortaya koyduğu teknolojik ve yapısal gelişimlerin yanı sıra Ekim ayı içerisinde iş sürekliliği ve olağanüstü durum testlerini de önceki senelere göre daha geniş bir kapsamda başarıyla gerçekleştirmiştir. Buna paralel olarak, kriz yönetimi alanında da güncel tehditlere daha hazırlıklı olabilmek amacıyla üst yönetimin de katılımıyla kriz simülasyonları düzenlenmiş ve KKB’nin bu krizlere hazırlık derecesi değerlendirilerek, olası gelişim alanları ortaya çıkarılmıştır. Kriz simülasyonlarının faydası özellikle 2020 yılında ortaya çıkan COVID-19 salgını döneminde görülmüş ve krizin yönetimi Risk Yönetimi Bölümü tarafından gerçekleştirilerek kurumun bu durumdan en az şekilde etkilenmesi hedeflenmiştir.

KKB bünyesinde tüm faaliyetlere ilişkin BT ve iş süreçleri; COBIT çerçevesi, ISO 27001, ISO 22301, ISO 20000 standartlarına ve BDDK’nın 2013 yılında yayınladığı “Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliği”ne uygun olarak oluşturulmuştur. Kurumsal Süreç Yönetimi uygulamasıyla tüm kurum süreçlerinin güncel işleyişle uyumlandırılması sağlanırken, süreçlerdeki değişimin etkisi analiz edilerek değişiklikler daha etkin şekilde yaygınlaştırılmıştır. Süreçlerin standartlarının belirlenmesiyle birlikte, Ağustos 2019 tarihinde başlayan çalışmalarla süreçlerdeki verimlilik alanlarının ortaya çıkarılması ve etkinliğinin artırılması amacıyla Anahtar Performans Göstergeleri (KPI) belirlenerek süreç sahiplerinin kullanımına sunulmuştur. Ayrıca süreçlerdeki otomasyon fırsatları değerlendirilirken, tam otomasyona geçişin öncül adımlarından biri olan Robotik Süreç Otomasyonu (Robotic Process Automation - RPA) çalışmalarına başlanmış ve gelecek yıla ait uygulama planı belirlenmiştir.

Bilgi güvenliği altyapı ve süreçlerinin bu alandaki en iyi şirketler seviyesine getirilmesi adına KKB, bilgi güvenliği altyapısına yatırım yapmaya ve siber güvenlik alanındaki tespit yeteneklerini artırmaya 2020 yılında da devam etmiştir. 2020 yılı içerisinde yeni güvenlik olay yönetimi aracına geçiş süreci tamamlanarak büyük veri analiz platformuyla bilgi güvenliğine dair olayların daha efektif bir şekilde tespit ve analizinin yapılması sağlanmıştır. İnsan odaklı bilgi güvenliği yaklaşımı çerçevesinde, güncel olaylar ve global tehditler kapsamında bilgi güvenliği farkındalık çalışmalarına 2020 yılında da hız kesmeden devam edilmiş, 2020 yılı bilgi güvenliği farkındalık indeksi en yüksek beş çalışan hediye çekiyle ödüllendirilmiştir. Bankacılık sektöründe bilgi güvenliği alanında iş birliğinin artırılması amacıyla güvenlik yöneticilerine ev sahipliği yapmaya 2020 yılında da devam edilmiştir.

KKB’nin müşterilerine sunduğu hizmetlerin sürekliliğinin sağlanması için İş Sürekliliği Yönetim Sistemi’nin işletilmesi sorumluluğunu da üstlenen Risk Yönetimi, gerçekleştirdiği iş etki analizleri ve olağanüstü durum tatbikatlarıyla, yaşanabilecek krizlerin riskini azaltmak ve bu krizlere karşı kurumu sürekli olarak hazır tutmak için çalışmalarını 2020 yılında da sürdürmüştür.

Risk Yönetimi Bölümü, KKB’nin İş Sürekliliği Yönetim Sistemi’ni işletmekte ve sunulan hizmetlerin sürekliliğini sağlamaktadır.

KKB’nin risk yönetimi sistemine dair politikası;

• KKB’nin temel faaliyet hedeflerinin belirlenmesini,
• Bu hedeflere ulaşılmasını engelleyecek tehditlerin tespit edilmesini,
• Bu tehditleri doğuran risklerin, olası etkilerinin ve gerçekleşme olasılıklarının belirlenmesini,
• Risk değerlerinin, üst yönetim tarafından belirlenen seviyelere düşürülmesi için gerekli risk yönetimi ve kontrollerinin uygulanmasını,
• Risklerin KKB bünyesinde yönetimi için gerekli koordinasyon ve iletişim ağının oluşturulmasını,
• Kredi kayıt ve bilgi sistemleri teknolojisine yönelik ortaya çıkabilecek yeni risklerin proaktif olarak değerlendirilmesini ve olası risklerin azaltılmasına yönelik önerilerin oluşturulmasını,
• KKB yöneticilerinin risk yönetimi konusunda düzenli eğitimler almasını ve KKB çalışanlarının farkındalığının artırılmasını,
• Risklerin mevcut durumlarının ölçülmesi ve izlenmesi amacıyla önemli risk göstergelerinin belirlenmesini ve düzenli olarak gözden geçirilmesini içermektedir.

Bu politika, oluşturulan yazılı prosedürler ve görev tanımları, günlük faaliyetler içinde kurumsal seviyede belirlenmiş risklere yönelik olarak birimler tarafından gerçekleştirilen birinci seviyedeki kontroller, risk yönetimi faaliyet sonuçlarının üst yönetim tarafından periyodik olarak değerlendirilmesiyle desteklenmektedir.