Antes de 1999, la regulación y supervisión del sistema
bancario 1 en Turquía tenían una estructura fragmentada en la que la
Subsecretaría de Hacienda y el Banco Central de la República de Turquía fueron
los principales actores. Las crisis en el sector bancario enseña la necesidad
de eficacia de la regulación, la supervisión y la importancia de los mecanismos
de toma de decisiones independientes. En junio de 1999, la Agencia de
Regulación y Supervisión Bancaria (BRSA) se estableció de acuerdo a la Ley de
Bancos Nr. 4389 y comenzó a operar en agosto de 2000.
Del mismo modo, la unidad de auditoría de TI de BRSA es un
subproducto de un fraude financiero basado en TI masivo en Imar Banco. 2 , 3
Responsabilidades de esta unidad están auditoría in situ; autorización 4 y de
aplicación de las actividades relativas a las instituciones de auditoría
externa (EAI); actividades de aplicación con respecto a las funciones de TI de
los bancos; seguimiento de los resultados en los informes de auditoría de
tecnología de la información y procesos de negocio (ARITBP) preparados por EAI;
la redacción de la legislación en cuanto a la gestión, la gobernanza y la
auditoría de TI.
A medida que el responsable de la política del sector
bancario en Turquía, BRSA es responsable de diseñar el entorno legislativo más
adecuado para el gobierno de TI en el sector bancario. Por lo tanto, BRSA tiene
que mantenerse al día con los nuevos avances en los marcos de gobernanza de TI.
Dado que la gobernanza se ha cambiado drásticamente con el lanzamiento de COBIT
5, en comparación con las versiones anteriores, se necesita una revisión de la
legislación bancaria nacional. Existen numerosas similitudes entre las
regulaciones bancarias BRSA-creado en Turquía y los procesos del área de
gobernabilidad COBIT 5, incluida la adopción de muchas mejoras sobre COBIT 4.1.
El concepto BRSA auditoría de TI consta de los reglamentos nacionales e
incorpora la "versión actual de COBIT." La reglamentación nacional (
figura 1 ) sobre la gobernanza de la TI empresarial (GEIT), optimización de
riesgo, optimización de recursos, la transparencia, la entrega beneficios y la
legislación adicional diseñada específicamente para Turquía se describen aquí.
Se espera que los resultados de este estudio que es beneficioso para los
tomadores de decisiones en los órganos de gobierno, la industria bancaria,
auditores independientes y los grupos de interés relacionados.
GEIT: estructura, sistemas internos de funcionamiento
"Comunicado sobre los
principios que deben considerarse en la gobernanza de Sistemas de Información y
Gestión de Bancos (CPISGMB)", emitido por BRSA, establece claramente que
GEIT es una parte de la gestión empresarial y la estrategia de TI debe estar
alineada con las estrategias del banco y los objetivos a llevar a cabo sus
operaciones en una línea estable, competitiva y mejorar. 5La estructura de TI
que se establecerá dentro del banco debe ser proporcional a la escala del banco
y con la naturaleza y complejidad de los productos y servicios ofrecidos. 6
Además, el primer principio del Reglamento de Gobierno Corporativo de Bancos
(CGRB) 7establece que los valores corporativos y objetivos estratégicos se
establecerán dentro del banco teniendo en cuenta los principios GEIT.
Para operar GEIT de los bancos
con eficacia y lograr su misión, BRSA ha regulado los sistemas de estructura
interna de la organización. Establecimiento de sistemas internos tiene por
objeto garantizar el seguimiento y control de los riesgos a que están expuestos
los bancos, en todos los canales y las asociaciones sujetas a consolidación.
Sistemas internos consisten en auditoría interna, control interno y gestión de
riesgos, y esas unidades se establezcan en el consejo de administración (BOD)
dentro de la estructura institucional del banco. 8 Por ejemplo, la finalidad
del sistema de auditoría interna es proporcionar seguridad a los la alta
dirección (SM) que las actividades del banco se realizan de acuerdo con la ley
y demás legislación aplicable, las estrategias internas, políticas, principios
y objetivos del banco y que los sistemas de control y gestión de riesgos son
eficaces y adecuadas y proporcionar una comunicación de principios GEIT a
directivos de alto nivel 9 (TLM).
La auditoría interna identifica
cualquier deficiencias, errores y abusos; les impide que vuelvan a producirse;
asegura el uso eficaz y eficiente de los recursos del banco para la
optimización de los recursos; y asegura la exactitud y fiabilidad de la información
y memorias que haya enviado el BRSA, SM y el público. Los auditores de TI
también están incluidos en el equipo de auditoría interna y deben tener un
nivel mínimo de conocimientos demostrado por la educación y la certificación de
las áreas de capacitación relacionados. Además, un número suficiente de
personal de auditoría interna debe ser empleado para cumplir con los servicios
de auditoría sin demora. La gestión de riesgos, control interno y mecanismos de
auditoría interna garantizar la eficacia y el rendimiento de GEIT.
GEIT: Evaluar, directa, Monitor
Lógica regulación de BRSA es
evaluar en primer lugar, a continuación, dirigir, y, finalmente, control e
intervención. Esta lógica está impregnada en toda la legislación. Las funciones
y responsabilidades del Consejo Rector, el comité de auditoría, SM, TLM y otros
se regulan claramente.
El Consejo Rector del banco tiene el poder y la
responsabilidad de determinar las estrategias de un banco y responsabilidades
de las unidades; establecer los sistemas internos de conformidad con los
procedimientos y principios especificados en el ISB; operarlos de manera
efectiva, suficiente y adecuada; garantizar la competencia del personal de los
sistemas internos; tener conocimiento de todos los factores de riesgo del banco
y los métodos de medición del riesgo; aprobar y supervisar las políticas de
riesgos relativos a la propensión al riesgo, el seguimiento, la gestión y la
presentación de informes; aprobar la política de seguridad de la información
del banco; y asegurar la información proporcionada por el sistema de
contabilidad y de información financiera. Además, el comité de auditoría 10
(AC), integrado por miembros electos BoD, supervisa la función de auditoría
interna; establece los canales de comunicación directa para la denuncia de
irregularidades para auditar unidades; evalúa propuestas de TLM relativas a los
sistemas internos; garantiza y controla la independencia y el desempeño de los
auditores internos y externos; informa al Consejo Rector en relación con las
responsabilidades del CA; y evalúa la disponibilidad de los necesarios métodos,
herramientas y procedimientos de aplicación para identificar, medir, monitorear
y controlar el riesgo realizado por un banco. SM del banco lleva a cabo una
vigilancia eficaz de gestionar el riesgo derivado de la utilización de sistemas
de información (SI) y establece mecanismos para evaluar periódicamente las
amenazas, la revisión y el monitor son políticas que incluyen pasos de
aprobación apropiados, y aumentan el conocimiento relativo a la seguridad de la
información. Como se indica en el ISB, los deberes y las responsabilidades de
TLM 11 son coordinar y supervisar el personal del banco empleados en
departamentos (ISB- 1.8), hacer la notificación oportuna y confiable para el Consejo
Rector sobre el riesgo, 12 y examinar y aprobar las áreas de riesgo de los
proyectos sobre el uso de las nuevas ES elementos que tendrán impactos
importantes. 13
GEIT: Auditoría Externa
La EAI es otro actor clave en el
sector bancario turco. Por lo tanto, BRSA trata directamente con todos los
detalles (por ejemplo, los recursos adecuados, las calificaciones, títulos de
los miembros de un equipo de auditoría) y regula las actividades de TI de
auditoría externa sobre la base del "Reglamento de Sistemas de Información
y Procesos Bancarios del Banco de auditoría sean realizadas por entidades de
auditoría externa "(RIBPEA) para garantizar que TI relacionados con los
procesos son supervisados de manera efectiva, se analizan, e identificar los
factores ambientales internos y externos y el cumplimiento de las regulaciones.
Según el RIBPEA, el Consejo Rector de un banco debe firmar el contrato de
auditoría de procesos bancarios e IS. El auditor determina el alcance de la
auditoría de procesos, sistemas, operaciones y control de 14 mecanismos basados
en una forma orientada al riesgo y teniendo en cuenta los criterios de
materialidad. Además, el auditor proporciona evidencia de auditoría suficiente
para ofrecer garantías. ARITBP, preparado y firmado digitalmente por el EAI, se
envían al departamento de auditoría de TI de BRSA. Si departamento de auditoría
de TI de la BRSA considera el contenido de la auditoría sea inadecuada o no
creado correctamente, el BRSA puede intervenir y hacer cumplir la EAI para
mejorar el contenido de la auditoría.
La auditoría de los procesos
bancarios se realiza todos los años; la auditoría de los procesos de SI se
completa cada dos años, por COBIT. Si es necesario, BRSA puede cambiar la
frecuencia o el alcance de las auditorías de un banco o más. Si bien la
evaluación de los resultados, si existe una falta de control de notable o
importante, el auditor debería revisar la unidad o de la función de
cumplimiento. Los auditores también informan TLM por escrito o verbalmente
sobre cualquier tema que consideren importante durante el banco es y banca
procesa auditorías.
Si BRSA identifica que hay cuestiones
importantes que afectan a los procesos / sistemas, los activos del banco, las
actividades llevadas a cabo de conformidad con las políticas internas y
regulaciones, prácticas bancarias generales, la fiabilidad y la integridad de
los informes contables y financieros, y la disponibilidad oportuna de la
información, la EAI bancarios puede ser removido de la lista de las entidades
fiscalizadoras competentes. Todos ellos están regulados por las disposiciones
de los artículos 12, 20, 22, 25, 32, 36 y 40 de la RIBPEA para garantizar que
TI relacionados con los procesos son supervisados con eficacia y transparencia
para confirmar el cumplimiento de los requisitos legales, reglamentarios y de
gobernabilidad.
Gestión de Riesgos
Como ya se mencionó, la gestión
de riesgos es la parte principal de los sistemas internos que guía GEIT por
responsabilidades claras dadas al Consejo Rector, AC y TLM. De acuerdo con el
artículo 1.5 de CPISGMB, "el banco toma las medidas necesarias con el fin
de medir, monitorear, controlar e informar sobre los riesgos derivados del uso
de TI en las actividades bancarias". El artículo 05.02 de CPISGMB
continúa: "Así como el riesgo derivado de TI se consideran dentro del
ámbito del riesgo operacional, debido a la posibilidad de que estos riesgos
pueden ser un multiplicador de otros riesgos derivados de las actividades
bancarias, se adoptará un enfoque de gestión integral del riesgo para todas las
actividades bancarias ".
El riesgo operativo determina la cantidad de
capital regulatorio que los bancos deben destinar. Por lo tanto, el riesgo
operacional es la digitalización de TI y es importante para la gobernanza
empresarial. Ya que es una parte esencial de los bancos, la interrupción de los
servicios o la ocurrencia de riesgos de TI pone bancos en una situación
difícil. De acuerdo con el perfil de riesgo, estructura operativa y cultura de
gestión corporativa del banco, es esencial que el banco desarrollar procesos de
gestión de riesgos y evaluar el riesgo derivado de TI en consecuencia.
Relacionados, por lo tanto, se entiende la tolerancia al riesgo relacionado con
el uso de las TI, comunicada y administrada por la determinación del nivel de
riesgo: La relación entre el uso de servicios de soporte aumento en la
actividad bancaria; la continuidad del negocio del banco y la seguridad de los
datos registrados, transmitidos y procesados convirtió en totalmente
dependiente de TI; y los errores informáticos son diferentes de los fraudes
conocidos. Responsabilidades básicas del departamento de gestión de riesgos son
determinar las políticas y procedimientos de gestión de riesgos sobre la base
de las estrategias de gestión de riesgos; garantizar una información periódica
y oportuna sobre medición y monitoreo resultados de riesgo a la DBO y SM o
funcionario sistemas internos pertinentes; y asegurarse de que se comprendan
los factores de riesgo, incluidos los riesgos relacionados con TI,,
suficientemente evaluados y comunicados en relación con la tolerancia de riesgo
del banco. 15 El banco también debe implementar mecanismos para proporcionar
información de alerta temprana en relación con acontecimientos inesperados
relacionados con SI. Los canales de comunicación apropiados deben ser
establecidos de personal del banco para la gestión, control interno y auditoría
interna para minimizar el riesgo, identificar de manera temprana y comunicar
tolerancia al riesgo. 16Para gestionar los riesgos relacionados con TI, pruebas
de continuidad de negocio, incluyendo las pruebas de todos los canales en un
banco y las organizaciones de servicios de apoyo, si es necesario, se deben
completar una vez al año. Los resultados son reportados a TLM. Con base en los
resultados, los planes pueden ser modificados, incluidos los parámetros de los
procesos de gobierno y de gestión de riesgos, los principios de progresividad,
y detalles técnicos. 17
Transparencia
BRSA
está preocupado con el buen funcionamiento del sector bancario y reconoce que
un elemento clave para ello es la transparencia. Según el principio siete de
CGRB, la transparencia debe garantizarse en el gobierno corporativo. La
transparencia en los informes de auditoría de cuentas es de 100 por ciento,
mientras que los informes de auditoría de TI son transparentes sólo a las
partes interesadas clave, debido a la naturaleza de las TI. Si, por ejemplo,
los resultados de una prueba de penetración de TI 18 se hicieran públicos, los
sistemas del banco podrían ser fácilmente hackeado. De la misma manera, las
sanciones relativas a las regulaciones bancarias nacionales que cobran los BRSA
no se publican por el riesgo reputacional. En resumen, las principales partes
interesadas definidos, por ejemplo, EAIs, puede tener toda la información sobre
los costos de TI, riesgos y beneficios. Además, la transparencia es
significativa si se entiende correctamente. Por lo tanto, las regulaciones BRSA
requieren que el auditor dará información detallada sobre los criterios, el
estado, enlaces a artículos concretos de la regulación, el riesgo empresarial
de los resultados en la medida necesaria por objetivos y opiniones de la
evaluación del resultado auditado en ARITBP auditoría. 19
Beneficia
Bancos establecen políticas, procedimientos y procesos relacionados
con la gobernanza y la gestión de los SI. Estos son revisados y renovados
regularmente para asegurarse de que están en línea con los avances tecnológicos
o cambios en el área de negocios relacionados, y para optimizar el valor de la
contribución al negocio. 20 También proveen valor óptimo, el presupuesto y los
recursos adecuados, que se destinarán de acuerdo con el artículo 1.4 de
CPISGMB.
El sector bancario depende directamente de TI
para las actividades bancarias, incluso básicos y la continuidad del negocio.
Sin embargo, las inversiones en TI en los bancos deben ser a costos aceptables
y deben asegurar valor óptimo. Por ejemplo, el IS debe estar habilitado para
identificar las desviaciones de los objetivos y presupuestos anuales. 21
Legislación adicional
En lugar de imponer COBIT como el
único conjunto de normas que rigen los procesos de TI en el sector bancario,
BRSA utiliza COBIT como fuente complementaria. 22 Es decir, a pesar de COBIT es
un marco general, la legislación específica del país adicional o riesgo
dependiente relevante ha sido incluido por BRSA ser aplicada por los bancos.
Por ejemplo, para garantizar la seguridad ATM, sistemas de cámaras se han
convertido en obligatoria para cada cajero. 23 Otro ejemplo es que los procesos
de negocio de banca han de ser supervisado cada año durante seis años 24 para
asegurarse de que su concepto está en paralelo con COBIT DSS06Administrar
controles de negocio.
El Reglamento sobre la Gestión de
aserción 25 asegura que el Consejo Rector evalúa la eficacia, adecuación y el
cumplimiento de los controles internos sobre los procesos de SI y bancarias. 26
Otra responsabilidad de la DBO es aprobar y firmar planes de acción 27que se
utilizan para dar seguimiento a los hallazgos en ARITBP . Si la solución o la
fecha final de conclusiones cambios, el Consejo Rector deberá aprobar el plan
nuevo. Con esto, el Consejo Rector debe entender el riesgo y seguimiento a los
hallazgos de TI.Además, los mandatos CPISGMB que el riesgo relevante implícitas
en cada uno de los resultados de la auditoría de TI pueden asignar en el riesgo
empresarial 28 y por auditores independientes, por lo que el riesgo inherente
puede ser fácilmente percibido por TLM, la mayoría de los cuales no cuentan con
fondos de la tecnología. BRSA organiza frecuentes reuniones con las partes
interesadas para discutir temas relacionados con los casos de fraude y las
legislaciones de TI bancario, junto con las quejas y otros comentarios en
consideración en la preparación de los reglamentos. Con la ayuda de estas
reuniones, BRSA actúa de forma proactiva, en lugar de ofrecer las decisiones de
una manera reactiva después de la realización de un resultado no deseado.
Si es necesario, los resultados de TI y procesos
bancarios de auditoría pertinentes pueden ser compartidos con otras autoridades
públicas, como la Junta de Mercados de Capital y el Banco Central de la
República de Turquía. Estas autoridades pueden ser informados para que actúen
correctamente en caso legislación les obliga a tomar acciones. BRSA tiene como
objetivo proporcionar los mecanismos de comunicación y de información para la
supervisión y toma de decisiones con la información adecuada para todos los
actores que intervienen en el sector bancario.
Conclusión
BRSA es la organización gubernamental responsable de diseñar
el entorno legislativo más adecuado para el gobierno de TI en el sector
bancario de Turquía. De este modo, se completó una comparación de la zona COBIT
5 gobernabilidad con la legislación interna BRSA.
En términos generales, las regulaciones BRSA
habían estado en vigor antes de la publicación de COBIT 5, y los procesos de
reciente introducción de COBIT 5 están cubiertos en gran parte por las regulaciones
BRSA. Los resultados del estudio muestran que existen numerosas similitudes y
algunas diferencias entre los dos. Las diferencias pueden atribuirse a dos
razones: en primer lugar, a diferencia de COBIT, las legislaciones BRSA han
sido diseñados específicamente para el sector bancario. En segundo lugar, los
requisitos nacionales están siendo considerados en el diseño del marco
legislativo para el sector bancario turco de una manera continua.
Bibliografía:
1 The Turkish banking system is composed of 49 banks, three
of which are public commercial banks and four of which are participation banks.
Total assets are approximately US $820 billion. In total, there are about
11,691 branches in Turkey. There are 41 independent IT auditing organizations
licensed by BRSA to perform audits in banks, but only six of these are licensed
to perform IT audits.
2 Aktan, B.; O. Masood; S. Yilmaz; “Financial Shenanigans
and the Failure of Ethics in Banking: A Review and Synthesis of an
Unprecedented Fraud,” Banks and Bank Systems, vol. 4, iss. 1, 2009
3 Fort, J.; P. Hayward; “The Supervisory Implications of the
Failure of Imar Bank,” Commission of Inquiry into the Supervisory Implications
of the Failure of the Imar Bank
4 Authorization refers to licensing activities.
5 Banking Regulation and Supervision Agency (BRSA),
“Communiqué on the Principles to Be Considered in Information Systems
Governance and Management in Banks (CPISGMB),” Republic of Turkey, 14 September
2007,www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/949194913729ilkelertebligi_010610_degistirilmishali.pdf
6 BRSA, Regulation on the Internal Systems of Banks (ISB),
Article 11, 1 November
2006www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/1678yonetmelik_16_7_2013_pdfhali.pdf
7 BRSA, Corporate Governance Regulation of Banks (CGRB), 1
November
2006,www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/1682kurumsalyonetimyonetmeligiislenmishali.pdf
8 Op cit, ISB, article 5; Banking Law No. 5411, article 8;
CGRB, principle 3
9 The general manager and assistant general managers of a
bank, the managers of the units included within the scope of the internal
systems, and those managers of the nonadvisory units who serve in positions
equivalent or superior to the position of assistant general manager in terms of
their powers and duties even if they are employed with other titles.
10 Op cit, ISB, article 6
11 Op cit, ISB, and CGRB principle 4
12 Op cit, ISB, 8/1 and 5/2/i
13 Op cit, ISB- 26/5 and 26/6; CPISGMB 6/3
14 Op cit, RIBPEA 7/5 defines key words. “Control”
represents policies, procedures, practices and organizational structures,
aiming adequate assurance related to the realization of business objectives,
prevention/identifying/correcting of adverse events. Similarly, “control
weakness” is the case of determining the state that design or operation of a
control prevents errors.
15 Op cit, ISB 40
16 Op cit, ISB 12/3
17 Op cit, ISB 13/11
18 BRSA, Circular on Penetration Tests, 24 July 2012,
www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/11076bilgi_sistemlerine_iliskin_sizma_testleri_hakkinda_genelge.pdf
19 BRSA, “Communiqué on the Report Relating to Information
Systems and Banking Processes Audit to Be Performed by External Audit
Institutions (CIPBEA),” 13 January 2006
20 Op cit, CPISGMB 4/2
21 Op cit, ISB, article 11
22 Op cit, CPISGMB 22/2 and 34/1, RIBPEA 24/2
23 Op cit, CPISGMB 32/10
24 Op cit, CPISGMB 21
25 RSA, Circular on Management Assertion, 30 July 2010
26 RIBPEA 19/7 and 33
27 Op cit, RIBPEA 19/8
28 Op cit, CIBPEA 9
