2021 YILINDA KARBON VE SU AYAK İZİ ÖLÇÜMLERİ YAPILMIŞ VE LİTERATÜRDE YER ALAN DİĞER ÇALIŞMALARLA MUKAYESE EDİLEREK GELECEK YILLARA İLİŞKİN AZALTIM HEDEFLERİ BELİRLENMİŞTİR.

Faaliyetlerini üstün kalite standartları doğrultusunda şekillendiren KKB; stratejik, operasyonel, finansal ve itibar kategorileri altında sınıflandırdığı risk yönetimi çalışmalarını uluslararası kurumsal risk yönetimi standartları COSO ERM ve ISO 31000 Risk Yönetimi Standardı ışığında yürütmektedir. Risk Yönetimi Bölümü, organizasyonel olarak Genel Müdür’e bağlıdır ve Denetim Komitesi’ne raporlamaktadır.

Bölüm, faaliyetleriyle KKB’nin kuruluş misyonu doğrultusunda yönetilmesi gereken risklerin ve fırsatların kurumun stratejik hedefleri doğrultusunda değerlendirilmesi, ürün ve hizmetlerin en etkin, verimli ve kontrollü olarak sunulabilmesine katkı vermektedir. Stratejik planlama/hedefleme ve risk yönetimi faaliyetlerinin yanı sıra Bilgi Güvenliği Yönetim Sistemi (ISO 27001), İş Sürekliği Yönetim Sistemi (ISO 22301) ve Hizmet Yönetim Sistemi (ISO 20000) standartlarına uygun risk değerlendirme çalışmaları gerçekleştirmektedir. Bu çalışmalar süreç, hizmet ve varlık bazlı olarak ayrı ayrı gerçekleştirilmiş ve böylece KKB’nin kritik hizmetleri, bu hizmetlerin sunulmasını sağlayan süreçler ve varlıklar, olası tüm riskleri tespit edebilmek adına farklı yöntem ve yaklaşımlarla risk değerlendirmesine tabi tutulmuştur. 2021 yılında ayrıca, dışarıdan hizmet alınacak veya iş ortaklığı kurulacak kritik üçüncü partiler için de sözleşme öncesinde Risk Yönetimi Bölümü tarafından risk değerlendirmeleri gerçekleştirilmeye devam edilmiştir. Yapılması planlanan çalışmaların KKB’ye olası etkileri değerlendirilerek ilgili partiler ziyaret edilmiş ve saha çalışmaları düzenlenmiştir. Bu çalışmalarla sadece destek hizmetleri ile ilgili değil, dış kaynaklı tüm risklerin daha da azaltılması sağlanmıştır.

ISO 27001:2013, ISO 22301:2012 ve ISO 20000:2018 sertifikalarına sahip olan KKB, 2021 yılında da bu alanlarda en iyi uygulamaları hedefleyerek olgunluğunu artırmış ve denetimleri başarıyla geçerek tüm sertifikalarını yenilemiştir. Bunlara ek olarak KKB Anadolu Veri Merkezi’nde 2020 yılında kurulmuş olan Çevre Yönetim Sistemine ilişkin ISO 14001 015 sertifikası da yenilenmiştir.

2021 yılı ile beraber çevre yönetimi bilincinin kurumsal olarak da ele alınması amacıyla Sürdürülebilirlik Raporu çalışması gerçekleştirilmiştir. Sürdürülebilirlik Raporu çalışmaları kapsamında KKB Anadolu Veri Merkezi de dâhil olacak şekilde tüm kuruluşun karbon ve su ayak izi ölçümleri yapılmış ve literatürde yapılan diğer çalışmalarla mukayese edilerek gelecek yıllara ilişkin azaltım hedefleri belirlenmiştir.

2018 yılından bugüne olduğu gibi, 2021 yılında da KKB Anadolu Veri Merkezi bünyesinde bir bağımsız denetim çalışması gerçekleştirilerek sonuçları, ISAE3402 raporlama standardına uygun şekilde raporlanmış ve söz konusu rapor müşteriler ile paylaşılmıştır. Bu raporla, müşterilere KKB Anadolu Veri Merkezi’nin kontrol ortamına ilişkin güvence verilirken, denetim eforlarının da azaltılması sağlanmıştır.

KKB’de uluslararası COSO ERM ve ISO 31000 Risk Yönetimi Standardı uygulanmaktadır.

Bölüm; kriz yönetimi, risk yönetimi, bilgi güvenliği, stratejik planlama ve süreç yönetimi alanlarında ortaya koyduğu teknolojik ve yapısal gelişimlerin yanı sıra Ekim ayı içerisinde iş sürekliliği ve olağanüstü durum testlerini de önceki yıllara göre daha geniş bir kapsamda başarıyla gerçekleştirmiştir. Buna paralel olarak kriz yönetimi alanında da güncel tehditlere daha hazırlıklı olabilmek amacıyla üst yönetimin de katılımıyla kriz simülasyonları düzenlenmiş ve KKB’nin bu krizlere hazırlık derecesi değerlendirilerek, olası gelişim alanları ortaya çıkarılmıştır. Kriz simülasyonlarının faydası özellikle 2020 yılında başlayan ve 2021’de de devam eden COVID-19 küresel salgın döneminde görülmüş ve pandemi krizinin yönetimi Risk Yönetimi Bölümü tarafından gerçekleştirilerek kurumun bu durumdan en az şekilde etkilenmesi hedeflenmiştir.

KKB bünyesinde tüm faaliyetlere ilişkin BT ve iş süreçleri; COBIT çerçevesi, ISO 27001, ISO 22301, ISO 20000 standartlarına ve BDDK’nın 2021 yılında yayınladığı ve “Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ”in yerini alan “Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ”e uygun olarak oluşturulmuştur. Kurumsal Süreç Yönetimi uygulaması ile tüm kurum süreçlerinin güncel işleyiş ile uyumlandırılması sağlanırken, süreçlerdeki değişimin etkisini analiz edilerek değişiklikler daha etkin şekilde yaygınlaştırılmıştır. Süreçlerdeki verimlilik alanlarının ortaya çıkarılması ve etkinliğinin artırılması amacıyla, geçtiğimiz yıllarda süreç sahipleri ile birlikte belirlenmiş olan süreçlere yönelik OKR üzerinden analizler gerçekleştirilerek raporlamalar yapılmıştır. Yürütülen Robotik Süreç Otomasyonu (Robotic Process Automation - RPA) çalışmaları kapsamında, bir yandan ilgili süreçlerdeki operasyonel verimlilik artırılırken, süreç kalitesine yönelik iyileştirmeler gerçekleştirilmiştir.

Bunların yanı sıra; kurum çalışanların, kurumu ve kendilerini daha ileriye taşıyacağına inandıkları fikirler üretmelerinin teşvik edilmesi amacıyla, çalışanların bir konu, uygulama veya ürünler hakkındaki tüm iyileştirme veya girişimcilik fikirlerinin toplandığı, girişim fikirlerinin ön araştırma ve prototip aşamalarından geçerek üst yönetim tarafından değerlendirildiği ve ödüllendirildiği uçtan uca bir süreç tanımlanarak yürütülmeye başlanmıştır.

Bilgi güvenliği altyapı ve süreçlerinin bu alandaki en iyi şirketler seviyesine getirilmesi adına KKB, bilgi güvenliği altyapısına yatırım yapmaya ve siber güvenlik alanındaki tespit yeteneklerini artırmaya 2021 yılında da devam etmiştir. Bu kapsamda öne çıkan çalışmalar aşağıdaki gibi olmuştur:

• Sızma Testi ve Siber Güvenlik ve Tehdit İzleme ekiplerinin 2021 yılı içerisinde gerçekleştirdiği siber güvenlik tatbikatları ile güvenlik olay yönetimi sistem ve süreçlerinin etkinliği test edilmiş ve yapılan çalışmalar sonrasında bu sistem ve süreçlerin tespit ve müdahale yeteneklerinin geliştirilmesi sağlanmıştır.
• Kurumun güncel bulut bilişim teknolojilerine yapmış olduğu yatırımlarla birlikte bu teknolojilere yönelik güvenlik sistemleri hayata geçirilmiştir.
• Kurum içi verimliliğin artırılması ve kurumun güvenlik dayanıklılığının geliştirilmesi amacıyla güvenlik otomasyon projesine başlanmıştır.
• 2021 yılı içerisinde yazılım ve uygulama güvenliği alanında artan açık kaynak kütüphane riskleri özelinde sıkı bir güvenlik politikası izlenerek yıl içerisinde bu alanda gelişen risk ve tehditlere ivedilikle cevap verilmesi sağlanmış ve kurumun bu doğrultuda maruz kaldığı risk ve tehditlerin kontrol altında tutulması sağlanmıştır.
• Bağımsız bir danışman firma ile yüz elli gün süren tam kapsamlı sızma testi gerçekleştirilmiş ve kurumun olası riskli noktaları tespit edilerek çözüme kavuşturulmuştur.
• Üniversite sponsorluk ve iş birlikleriyle siber güvenlik alanındaki yetişmiş insan kaynağı ihtiyacına katkı sağlama hedeflenmiş ve ulusal ve uluslararası siber güvenlik ve siber istihbarat paylaşım etkinliklerinde aktif katılım ve paylaşım sağlanmıştır.
• Bilgi sistemlerine yönelik yeni mevzuata uyum faaliyetlerine 2021 yılında da hız kesmeden devam edilmiş, Risk Yönetimi bünyesinde siber risk yönetimi faaliyetleri yürütülmüş ve iç, dış ve üçüncül taraf denetim süreçlerine katkı sağlanmıştır.
• Küresel pandemi döneminde evden çalışmaya özel riskler de göz önünde tutularak çalışan farkındalığının artırılması faaliyetleri yürütülmüş, bölüm ve birim bazlı iş odaklı senaryolar hayata geçirilmiştir

KKB’nin risk yönetimi sistemine dair politikası;

• KKB’nin temel faaliyet hedeflerinin belirlenmesini,
• Bu hedeflere ulaşılmasını engelleyecek tehditlerin tespit edilmesini,
• Bu tehditleri doğuran risklerin, olası etkilerinin ve gerçekleşme olasılıklarının belirlenmesini,
• Risk değerlerinin, üst yönetim tarafından belirlenen seviyelere düşürülmesi için gerekli risk yönetimi ve kontrollerinin uygulanmasını,
• Risklerin KKB bünyesinde yönetimi için gerekli koordinasyon ve iletişim ağının oluşturulmasını,
• Kredi kayıt ve bilgi sistemleri teknolojisine yönelik ortaya çıkabilecek yeni risklerin proaktif olarak değerlendirilmesini ve olası risklerin azaltılmasına yönelik önerilerin oluşturulmasını,
• KKB yöneticilerinin risk yönetimi konusunda düzenli eğitimler almasını ve KKB çalışanlarının farkındalığının artırılmasını,
• Risklerin mevcut durumlarının ölçülmesi ve izlenmesi amacı ile önemli risk göstergelerinin belirlenmesini ve düzenli olarak gözden geçirilmesini içermektedir.

Bu politika, oluşturulan yazılı prosedürler ve görev tanımları, günlük faaliyetler içinde kurumsal seviyede belirlenmiş risklere yönelik olarak birimler tarafından gerçekleştirilen birinci seviyedeki kontroller, risk yönetimi faaliyet sonuçlarının üst yönetim tarafından periyodik olarak değerlendirilmesi ile desteklenmektedir.

Robotik Süreç Otomasyonu (RPA) ile süreçlerdeki operasyonel verimlilik artırılmıştır.

FİNANSAL VE TİCARİ HAYATIN SÜRDÜRÜLEBİLİRLİĞİNDE KKB’NİN ROLÜ

KKB sunduğu ürün ve hizmetlerle finansal ve ticari hayatın sürdürülebilirliğine katkıda bulunmaktadır.

Finansal ve ticari hayatın merkezinde yer alan ve Türkiye’nin ilk ve tek kredi bürosu olan KKB sürdürülebilirliği; Çevre Koruma, Ekonomik Büyüme ve Sosyal Gelişim başlıkları altında ele almaktadır. KKB, yenilikçi ürünler ve etkin risk yönetimi çözümleri ile başta finans sektörü olmak üzere bireylere ve reel sektöre hizmet verirken, bu çözümlerle üye ve müşterilerinin risklerini daha etkin olarak yönetmelerini sağlayarak finansal ve ticari ekosistemin sürdürülebilirliğine önemli katkıda bulunmaktadır. Bu kapsamda sunulan Çek Raporu ve Risk Raporu gibi hizmetlerle yalnız finansal kuruluşlara değil, aynı zamanda bireylere ve reel sektöre de finansal risklerini daha etkin yönetme olanağı sunulmuştur. 1 Ocak 2017’de devreye giren Karekodlu Çek Sistemi ile ise ticari hayatın daha şeffaf ve güvenilir hale gelmesine katkıda bulunulmuştur. Risk yönetimi çözümlerinin yanında özellikle COVID-19 pandemisi sonrası büyük önem kazanan uzaktan kimlik doğrulama süreçlerine ilişkin olarak TCKN ve GSM doğrulama gibi merkezi ürünlerle pandeminin bankacılık ve finans sektörüne yarattığı etkinin azaltılmasına yardımcı olmaktadır. Sunduğu hizmetlerle daha güvenilir bir finansal ve ticari yaşamı hedefleyen KKB, sunduğu 100’e yakın ürün ve hizmetle başta bankacılık ve finans sektörü olmak üzere tüm finansal ve ticari ekosistemin sürdürülebilirliğine direkt olarak katkıda bulunmaktadır.

KKB ürün ve hizmetlerini minimum kesinti ile sunulması için yaptığı yatırımlar ve kurduğu yönetişim yapısı ile finansal ve ticari hayatın sürdürülebilirliğine katkıda bulunmaktadır.

Sunulan hizmetlerin bankacılık ve finans sektörü için önemi ve sektörün sürdürülebilirliğine olan etkisinin bilinciyle hizmetlerin kesintisiz sunumu KKB’nin en önemli öncelikleri arasında yer almaktadır. Hizmetlerin sürekliliğini sağlamak amacıyla ISO 22301 standardına uygun bir İş Sürekliliği Yönetim Sistemi yapısı kurulmuştur. Kesinti kaynaklı olası bir krizin sektöre etkisini önlemek adına KKB’nin ikincil sistemleri KKB Anadolu Veri Merkezi’nde kurulmuş ve çalışmaya hazır durumdadır. İş Sürekliliği Yönetim Sistemi kapsamında her yıl iş sürekliliği tatbikatları düzenlenerek hizmetler bir gün boyunca KKB Anadolu Veri Merkezi’nden sunularak bu durum test edilmektedir. Ek olarak, KKB Anadolu Veri Merkezi’nde bulunan KKB sistemlerinin birincil merkez ile aktif-aktif yapıda çalışması için yatırımlar başlatılmış durumdadır.

Aynı zamanda kesintisiz hizmet sunumu alanında TIER IV sertifikasına sahip olan KKB Anadolu Veri Merkezi, özellikle olağanüstü durum merkezi olarak hizmet alan üyelerin birincil veri merkezlerinde bir kesinti yaşamaları durumunda güvenebilecekleri bir ikincil sistem olanağı sunmaktadır. Bu da sadece KKB Anadolu Veri Merkezi üyelerinin değil, onların milyonlarca müşterisinin de kesintisiz hizmet almasını sağlama adına güvence sunmaktadır.

KKB, SUNDUĞU 100’E YAKIN ÜRÜN VE HİZMETLE BAŞTA BANKACILIK VE FİNANS SEKTÖRÜ OLMAK ÜZERE TÜM FİNANSAL VE TİCARİ EKOSİSTEMİN SÜRDÜRÜLEBİLİRLİĞİNE DİREKT OLARAK KATKIDA BULUNMAKTADIR.

Özellikle bankacılık ve finans sektörü için önemli yer tutan KKB Anadolu Veri Merkezi’nde yapılan yatırımlarla tüm sektörün çevreye olan etkisinin azaltılmasına katkıda bulunulmaktadır.

Olağanüstü durum merkezi, bulut hizmetleri, merkezi ürün ve teknolojik altyapı hizmetleri sunan KKB Anadolu Veri Merkezi, üyelerin bu alanlardaki ihtiyaçlarını merkezi olarak karşılayarak, özellikle bankacılık sektörünün sürdürülebilirliği açısından önemli rol oynamaktadır. KKB Anadolu Veri Merkezi’nin kuruluşunda ve operasyonunda enerji verimliliği ve çevreye olan etkinin azaltılması hep ön planda tutulmuş ve yatırımlar bu doğrultuda yapılmıştır. “LEED Platinum” Yeşil Bina Sertifikası’na sahip Türkiye’deki ilk veri merkezi olan KKB Anadolu Veri Merkezi, aynı zamanda 2020 yılından beri ISO 14001 Çevre Yönetim Sistemi sertifikasına sahiptir. KKB Anadolu Veri Merkezi’nde yapılan yatırımlarla sağlanan enerji verimliliği başta bankacılık ve finans sektörü olmak üzere hizmet alan tüm üyelerin karbon ayak izini düşürerek yaşadığımız çevrenin sürdürülebilirliğine katkıda bulunmaktadır.

Yayınlanan KKB 2020 Sürdürülebilirlik Raporu ile beraber KKB’nin yıllık karbon ve su ayak izi değerleri de kuruluş çapında hesaplanmaya başlanmış ve özellikle KKB Anadolu Veri Merkezi bünyesinde yapılan enerji verimliliğine ilişkin yatırımların, kullanılabilecek benzeri diğer teknolojilere göre önemli oranda daha az karbon salınımına sebep olduğu ortaya konmuştur.

KKB bünyesinde tuttuğu donanım, yazılım ve verilere ilişkin kontrol ortamını düzenli olarak denetlettirerek üyelerine bunların güvenliğine ve sürekliliğine ilişkin güvence sağlamaktadır.

Çevreye olan etkisinin yanında, KKB Anadolu Veri Merkezi’nden hizmet alan üyelerin sistemlerinin, verilerinin ve çalışanlarının güvenliğini sağlamak adına bağımsız denetçiler tarafından birçok denetim düzenlenmiştir. Yayınlanan ISAE 3402 Tip 2 Bağımsız Denetim Raporu ile KKB Anadolu Veri Merkezi’nin COBIT 4.1 çerçevesinin yanında BDDK’nın yayınlamış olduğu Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’e de uygun bir şekilde çalışıldığı bağımsız denetçilerce teyit edilmiştir. Bu raporun verdiği güvencenin yanında KKB Anadolu Veri Merkezi de dâhil olacak şekilde tüm kuruluş; bilgi güvenliği alanında ISO 27001, iş sürekliliği alanında ISO 22301, hizmet yönetimi alanında ise ISO 20000 sertifikalarına sahiptir. Kurulmuş olan yönetim sistemlerinin bağımsız denetçiler tarafından denetlenmesi ile sahip olunan bu sertifikalar ile KKB; bilgi güvenliği, süreklilik ve hizmet sunumu alanlarında da özellikle bankacılık ve finans sektörünün sürdürülebilirliğine katkıda bulunmaktadır.