Birinci Bölüm Genel Hükümler
Amaç ve Tanımı
Madde 1 –
Bu planın ( bilgi notunun ) amacı, Şirketin, acil ve beklenmedik durumlarda müşterilerine, aracı kurumlara, piyasa katılımcılarına ve üçüncü taraflara karşı olan yükümlülüklerini yerine getirme koşullarını, yöntemlerini ve prosedürlerini ortaya koyacak Acil ve Beklenmedik Durum Planı ile iş akış prosedürlerini oluşturmaktır.
Şirketin normal operasyonuna devamını engelleyen olayları takip eden ilk dakikalarında ve saatlerinde çalışanların, fiziksel ortamın ve altyapının güvenliğine yönelik alınacak acil tedbirleri içermektedir.
Aşağıda sıralanan olaylar, acil eylem takımlarının aktivasyonunu ve mevcut planlarla olaya müdahalesini gerektirmektedir:
■ Yangın
■ Deprem
■ Kötü Hava şartları
■ Binanın Eylemcilerce İşgali / Halk Hareketi
■ Enerji Kesintisi
■ Telefon Kesintisi
■ Terör Saldırıları
■ Posta Yoluyla Yapılan Saldırılar
■ Bomba Tehdidi
■ Salgın Hastalık
Acil ve Beklenmedik bir durum halinde Şirket çalışanlarının, oluşturulan plan dahilinde hareket etmesi sağlanır. Söz konusu plan ihtiyaç halinde güncellenir.
Dayanak
Madde 2 –
Bu plan Sermaye Piyasası Kurulu düzenlemelerine göre hazırlanmıştır.
Tanımlar ve Kısaltmalar
Madde 3 - Bu planda geçen;
KISALTMA TANIMI
ABD Acil ve Beklenmedik Durum.
Sağlık, güvenlik, çevre veya mülkiyete ve operasyonlara yönelik potansiyel bir tehdit oluşturması açısından derhal harekete geçmeyi gerektiren ani, beklenmeyen bir olay.
ABDK Acil ve Beklenmedik Durum Komitesi
ABDP Acil ve Beklenmedik Durum Plan Bilgi Notu
ACA Alternatif Çalışma Alanı ( Acil ve Beklenmedik Durumlarda kullanılacak alanlar)
Hissedar Şirketin sermayesine katılan pay sahipleri.
Kurul Sermaye Piyasası Kurulunu,
MKK Merkezi Kayıt Kuruluşu A.Ş.'yi,
Müşteri İmzalanacak, sermaye piyasası araçlarının alım satımı sözleşmesi çerçevesinde, menkul kıymet alım satım ve portföy yönetimi hizmeti alan kolektif yatırım kuruluşları ile bireysel ve kurumsal müşterileri.
Saklamacı Kuruluş, Menkul Kıymet Saklayıcısı MKK, Takasbank ve portföy saklama hizmeti vermesi Kurulca uygun görülen kurumlar.
Şirket Bizim Menkul Değerler Anonim Şirketi'ni.
Takasbank İstanbul Takas ve Saklama Bankası AŞ.'ni,
TTK 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununu,
İkinci Bölüm Acil ve beklenmedik durum uygulama planı
Madde 4 -
Her Türlü Kayıt İle Kıymetli Evrakın saklanması
Şirket, Mali tablolar ve mevcut mevzuat uyarınca tutmakla yükümlü olduğu her türlü kayıt ile kıymetli evrakı basılı olarak ve elektronik ortamda TTK'nın 82 nci maddesi uyarınca saklar. Söz konusu kayıt ve belgeler dijital ve basılı olarak TTK saklama hüküm ve sürelerine göre korumalı arşiv alanlarında 10 yıl saklanır.
Madde 5 -
Şirket faaliyetlerinin sürdürülmesi
Acil ve beklenmedik durum kapsamında bilgi işlem sistemleri, şirketimiz faaliyetlerini normal bir şekilde sürdürmelerini sağlamak üzere hazırlanmıştır.
Kritik iş süreçleri ve fonksiyonları şirketin tüm birimleri kapsayacak şekilde tespit edilmiştir. Hizmet verdiğimiz kurum ve kişilerin portföylerine ilişkin işlemlerin gerçekleştirilmesini, takas ve saklama işlemlerinin yürütülmesini, hizmet verdiği kişilerin hesaplarının saklamasını ve takibini sağlayan sistemler ( bilgi sistemleri) kritik fonksiyonlara cevap verecek şekilde hazırlanmış ve yedeklemesi yapılmıştır.
Acil ve beklenmedik durumlar için alternatif çalışma alanları belirlenmiştir. Alternatif çalışma alanında, faaliyetlerin sürekliliğini sağlayacak donanım ve yazılımlar kullanıma hazır durumdadır. Veri aktarım hizmetleri tesis edilmiş ve faaliyetlerimizin sürdürülmesi için gerekli tüm ofis programları ile bilgi erişim sistemleri yüklenmiştir. İşlemlerin sürekliliği için gereken telefon, faks, yazıcı gibi teknik cihazlar ve tesisler kullanıma hazır durumda bulundurulur.
Sistem, veri kaydı yedekleri düzenli olarak alınır. Kritik sistem ve uygulamaların verileri, kesintiye neden olan Acil ve Beklenmedik Durumdan etkilenmeyecek yeterli uzaklığa sahip güvenli ve korumalı bir ortamda TTK hükümleri ile SPK özel hükümlerine göre saklanır.
Madde 6 -
Mali ve Bilgi İletişim Altyapı risk değerlendirmesi
Operasyonel riskler, finansal tüm risklerin dışında kalan teknik aksaklıklar ya da idari eksiklik, hile, sahtekarlık ve işlem hataları gibi şirket faaliyetleri esnasında oluşabilecek insan veya sistem kaynaklı sorunlar ile doğal afetler ve felaketler gibi dışsal riskler kaynaklı olarak ortaya çıkan riskleri kapsamaktadır. Operasyonel riskler dışsal faktörler, sistem ve bilgi teknolojileri, destek hizmeti alım riski, insan kaynakları riski, süreç yönetimi riski ve muhafaza riski şeklinde alt başlıklarda değerlendirilmektedir. Şirket bünyesinde olağanüstü durumlar karşısında faaliyetlerin devamlılığını, oluşabilecek maddi ve itibari kaybın asgari seviyede tutulmasını, bu hallerde çalışanların görev ve sorumluluklarını, faaliyetlerin önceliklerini ve bunların Şirket organizasyonu içerisinde nasıl yapılacağı planlanmıştır.
Plan düzenli olarak gözden geçirilerek, sistem testleri ve kontrolleri yapılarak faaliyetlerin sürekliliği hedeflenmiştir.
Operasyonel riskler değerlendirildiğinde, hazırlanan planlar çerçevesinde şirket faaliyetlerini engelleyecek bir risk bulunmamaktadır.
Madde 7 -
Hizmet verilen kişilerle alternatif iletişim kanallarının tedariki ve sürekliliğinin sağlanması
Hizmet verilen kişilerle alternatif iletişim kanallarının tedariki ve sürekliliğinin sağlanması için alternatif çalışma alanı her an kullanıma hazır durumdadır. Acil ve Beklenmedik Durum Planının ( ABDP ) devreye alınmasını gerektiren bir durum olduğunda, Acil ve Beklenmedik Durum Komitesi ( ABDK ) lider ve üyeleri iletişim kanallarının (telefon, faks ve elektronik ortam) işlerliğini inceler ve hangi iletişim kanallarının açık hangilerinin kapalı olduğunu tespit eder. ABDK lider ve üyelerinin belirlediği görevlendirilmiş üye, açık olan iletişim kanallarını ve gerek mobil (GSM) telefonları kullanarak gerekse SMS kısa mesaj sistemi ile müşterilerin Şirket'e hangi kanallarla ulaşabileceklerini bildirir. Tüm iletişim kanallarının (telefon, elektronik ortam, faks) kapalı olması durumunda müşterilere mobil telefon vasıtasıyla ve/veya SMS Kısa mesaj ile ulaşılarak mevcut iletişim kanalları bildirilir. Alternatif çalışma merkezinde, şirketimizin kullanımı için tahsis edilen iletişim araçları ile iletişim sağlanacaktır.
Madde 8 -
Şirket ve personeliyle alternatif iletişim kanallarının tedariki ve sürekliliğinin sağlanması
ABDP, Şirket çalışanları, hissedarları, iş ortakları ile müşterileri, talebe göre kamu kurumları ve tedarikçiler ile şirketin web sayfasında ve istendiğinde çıktı olarak verilmek üzere hazırlanmıştır. Çalışanlar, ABDP konusunda bilgilendirilmiştir. Acil ve Beklenmedik Durum ( ABD ) oluştuğunda, ABDP'nı uygulayacak yeterli sayıda ve bilgide personelin göreve yönlendirilmesi hedeflenmiştir.
ABDP devreye alındığında İnsan Kaynakları birimindeki sorumlu üye, planın devreye alınmasını gerektiren durum hakkında şirket personeli ile iletişim sağlar, genel bilgilendirme ile alınacak aksiyon hakkında bilgi verir. ABDP'nın uygulamasından sorumlu kişilerin alternatif çalışma alanına ulaşımları ile ilgili düzenlemeler aşağıdaki şekilde yapılmıştır.
• Mesai saatleri içinde oluşan bir durumda; uygun ulaşım olanağı ABDK üye / üyeleri yönlendirmesi ile İdari İşler Ekibinin desteği ile sağlanacaktır
• Mesai saatleri dışında oluşan bir durumda; normal servisler çalışabilir durumda ise bu servisler kullanılacak aksi halde ABDK ekibinde yer alan çalışan kendi ulaşımını sağlamakla sorumlu olacaktır.
• ABDP uygulanmasından sorumlu ekip üyeleri, iletişim bilgileri konusunda bilgilendirilmiştir.
• Kritik süreçlerin yürütülmesi için ihtiyaç duyulan özel donanım ve kıymetli evrak erişilebilir durumda olacaktır.
• ABDP sorumlusu ve kendisine bağlı destek ekipleri ABD anından itibaren 2 saat içinde Alternatif Çalışma alanında bir araya gelecektir.
• ABDP Devreye alınmasına karar verilmesi ile maksimum 2 saat içerisinde kritik sistem uygulamalarının hazır hale getirilmesi sağlanacaktır.
• Sabit ve mobil telefon erişiminin mümkün olması için tedarikçilerden gerekli hizmetin alınabileceği öğrenilmiştir. ABD, Ülke genelinde mücbir sebep oluşturması durumunda uygulamaya yönelik durumsal aksiyon alınacak, süreçlerin aksamadan devam etmesi sağlanmaya çalışılacaktır. İletişim sağlanamadığında, Grup Şirketlerinin ABDP kapsamında hazırladığı altyapı ile oluşturdukları uydu telefon ve telsiz ile haberleşme sağlanması ve bu iletişim araçlarının kullanılabilir olacağı varsayılmaktadır.
Madde 9 -
Alternatif şirket merkezi ve merkez dışı örgütlerinin tespit edilmesi
Şirket yedekleme merkezleri ile alternatif çalışma alanlarını belirlemiştir.
Şirketin yedekleme merkezi olarak, Kayseri / OSB ve/veya Ankara/Sincan/Temelli lokasyonunu belirlenmiştir. Şirketin hizmet verdiği işyeri merkezinin kullanılamaz olması durumunda, hizmete devam edilecek alternatif çalışma merkezi olarak bina riski olması veya bölgesel risk halinde İstanbul/Sarıyer adresinden faaliyetlerin devamlılığı hedeflemiştir.
Madde 10 -
Acil ve beklenmedik durumun, karşı tarafa olası etkileri hakkında değerlendirmesi
İş ilişkisi içinde olduğumuz kamu / özel kurum ve kuruluşları, hissedarlar, personel ile diğer 3. Şahıslar ile olan ilişkiler değerlendirildiğinde, ABD sırasında müşteriler, tedarikçiler ve kamu kurumları ile iletişim sağlanamadığında dahi iş sürekliliğinin aksamadan devam etmesi hedeflenmiştir.
Müşteri varlıkları (para ve sermaye piyasası araçları) saklama kuruluşları nezdinde saklandığından ABDP'nın devreye alınması gerektiği durumlarda müşterilerin para ve sermaye piyasası araçlarının zayi olması söz konusu değildir. Müşteriler, 3. şahıslar ile kamu kurum ve kuruluşlarının olası durumlardan etkilenmemesi için iş bu ABDP uygulamasına göre gerekli örgütlenme, alternatif iletişim kanallarının aktif olması hedeflenmiştir.
Madde 11 -
Kurulun alınan önlemler hakkında bilgilendirilmesi, rutin zorunlu bildirimlerin nasıl yapılacağının belirlenmesi
ABDP'nın devreye alınmasını gerektiren durumlarda, süreci koordine etmek üzere ABDK oluşturulmuştur. Bu ekipte, Şirket Yönetim Kurulu Kararı ile yetkilendirilen görevli yönetici / personel ile bu personellerin komiteye dahil ettiği Şirket birim yönetici ve personelleri komite üyesi olarak belirlenir. Üyelerin yokluğu halinde mevcut en yetkili üyenin / üst düzey yöneticinin talimatlarına uyulacaktır. Bu ekip tarafından görevlendirilen üye, şirketin saklanan kayıtlarını uygulamaya açar, müşterilerle irtibat kurar.
ABDP'nın devreye alındığı durumlarda, alternatif iletişim kanallarından Kurul'un bilgilendirilmesi iş sürekliliği planlarına dahil edilmiştir. Sorumlu üye, Kurulu alınan önlemler hakkında yazılı veya sözlü olarak bilgilendirir. Rutin ve zorunlu bildirimlerin aksamadan süresi içinde gerçekleşmesini sağlar. Bu durumun sağlanamaması durumunda Kurul durumu açıklayan gerekçeli bir yazı ile bilgilendirilir, sözlü bilgi verilir. Rutin bildirimler süresi içinde İlgili Birimlerde yetkilendirilmiş ve birbirlerine yedeklenmiş kişilerce, acil durum koordinatörünün talimat ve yönergelerine göre sonuçlanır. Zorunlu bildirimler alternatif çalışma alanlarından yapılacaktır.
Madde 12 -
Şirketçe faaliyete devam edilemeyeceği yönünde karar verilmesi durumunda müşterilerin hesaplarına erişimi ve söz konusu hesapların başka şirkete devrinin planlanması
Alınan tüm bu önlemler ve kurulan altyapı sayesinde faaliyetlerimizin devamlılığı planlanmıştır. Müşterilere ait varlıklar, Şirketimizden bağımsız olarak Saklama Kuruluşları nezdinde saklandığından, herhangi bir risk öngörülmemiştir.
ABDP'nın devreye alınması halinde hizmetlerimizin devamlılığına katkı sağlayan tedarikçilerden, anlaşmalarda belirtilen şartlarda hizmet verebilir durumda olacağı varsayılmıştır.
Şirket faaliyetlerinin devam edilemeyeceği yönünde karar verilmesi durumunda müşteriler bu durumdan haberdar edilir. Müşteri varlıklarının transferi için gerekli işlemler müşteri onayı ile gerçekleştirilir.
Madde 13-
İletişim
İş sürekliğinin kesintiye uğraması ve iş sürekliliği planlarının devreye alınması durumunda, müşterilerin bilgilendirilmesi ve iletişimin sağlanması, www.bmd.com.tr internet sitesi üzerinden, merkezi olarak tüm müşterilere SMS, Push Notification veya e-mail gönderilmesi suretiyle veya basın açıklamaları ile sağlanacaktır.
Madde 14-
Uygulama
OPERASYONEL RİSK DEĞERLENDİRMESİ
Operasyonel Riskler, yetersiz ya da başarısız iş süreçleri ile, insandan, sistemden veya dışsal olaylardan kaynaklanan, gerçekleşmesi halinde doğrudan veya dolaylı şekilde zarara yol açabilen, içinde itibar kaybı riskini de barındıran olası hallerdir. Bu döküman kapsamında, Acil ve Beklenmedik Durumlara sebebiyet verebilecek, Şirket faaliyetinin aralıksız sürdürülmesini, yükümlülüklerinin yerine getirilmesini engelleyebilecek Operasyonel Riskler değerlendirilmeye alınmış, bunları önlemeye, gerçekleşmesi halinde ise etkilerini azaltmaya yönelik tedbirler ortaya konulmaya çalışılmıştır. Şirket bünyesinde, Operasyonel Risklerin tespit edilmesi ve önlenmesine yönelik öneriler geliştirilmesi çalışması durağan olmayıp devamlılık arzeden bir süreçtir. Bu amaçla yapılan çalışmalar ve değerlendirmeler belirli zaman aralıklarıyla veya yeni iş süreçlerinin ortaya çıkması halinde ihtiyaca göre tekrar edilir. Bu çalışmalarda, yükümlülüklerimizin yerine getirilmesine engel teşkil edebilecek veya müşteriler, aracı kurumlar, düzenleyici kuruluşlar ve üçüncü şahıslar nezdinde itibar kaybı yaratabilecek, böylece doğrudan veya dolaylı olarak maddi ve itibari kayba yol açabilecek hususlar ortaya konulur.
Acil ve Beklenmedik Durumlara sebebiyet verebilecek olası Operasyonel Riskler aşağıda belirtilmiştir.
- Bilgi Teknolojileri Riski : Şirket faaliyetlerine ilişkin işlerin büyük kısmı bilgi teknolojilerinden faydalanılarak gerçekleştirilmektedir. Şirketin bütün muhasebe işlemleri, müşteri emirlerinin iletilmesi, müşteri bilgi kayıtları, portföy varlık hareketleri, para transferleri, yazışmalar vb. pek çok günlük faaliyet bilgi işlem sistemine bağımlı ve bağlantılı olarak sürdürülmektedir. Bu nedenle, bilgi işlem sisteminde meydana gelebilecek bir sorun Şirket faaliyetini etkileyebilecek Acil ve Beklenmedik Durum kapsamında değerlendirilebilecek sonuçlara varabilecektir.
Bilgi Teknolojilerine bağlı riskler, donanımla (hardware) veya yazılımla (software) ilgili olabilir.
Donanımla ilişkili önemli riskler, sunucularda (server) ve diğer elektronik cihazlarda meydana gelebilecek mekanik arızalardır. Söz konusu arızaların meydana gelmesinin önlenmesi için, rutin cihaz bakımları yaptırılmaktadır. Söz konusu bakım faaliyetlerinin takibi Bilgi İşlem Bölüm Bölümü Yöneticisinin koordinasyonu altında, Bilgi İşlem Bölümü tarafından yapılmaktadır. Cihazların uygun çevresel koşullar altında (sıcaklık, nem, toz vb.) çalışmasının sağlanması için, bağımsız kapalı bir mekan oluşturulması sağlanmıştır. Bütün bu önlemlerin alınmasına rağmen yine de arıza meydana gelmesi halinde, yedek cihazların derhal devreye sokulması ve arızalanan cihazın tamiri için servis sağlayıcı firmalara haber verilmesi faaliyetlerinin takibi Bilgi İşlem Yöneticisinin koordinasyonu altında Bilgi İşlem Bölümü tarafından yapılır.
Yazılımla ilişkili riskler arasında ise şirket tarafından kullanılan yazılımda ortaya çıkan program hataları, piyasa izleme ekranlarında meydana gelebilecek sorunlar, web sitemize veya sistemlerimize dışarıdan gelebilecek virüs saldırıları sayılabilir. Bilgi İşlem Bölümü tarafından günlük, aylık, yıllık rutin kontroller yapılıp, şirketimiz Genel Müdürü’ne raporlanır.
Madde 15-
Uygulama Hükümleri
a) Acil ve beklenmedik durum planlarına ilişkin iş akış prosedürlerinin şirketin büyüklüğüne ve ihtiyaçlarına göre tespit edilmesi zorunlu olmakla birlikte söz konusu iş akış prosedürlerinin tebliğde belirtilen asgari hususları içermesi sağlanır.
b) İş bu plana dayanak olarak belirtilen ikinci maddede yer alan tebliğ hükümlerine göre hazırlanan planda, tebliğde yer alan hususlardan herhangi birinin iş akış prosedürleri kapsamında yer almaması durumunda söz konusu duruma neden yer verilmediği hususunun iş akış prosedürleri kapsamında ayrıca açıklanması zorunludur. Şirket, hizmet verdiği kişilere acil ve beklenmedik durumlarda iş sürekliliğinin nasıl sağlanacağı ve buna ilişkin iş akış prosedürleri hakkında bilgi vermekle yükümlüdürler. Söz konusu bildirimin şirketin internet sayfası aracılığıyla yapılması sağlanır.
c) Acil ve beklenmedik durum planı ve buna ilişkin iş akış prosedürlerinin Şirket yönetim kurulunca onaylanması ve en az genel müdür yardımcısı düzeyinde bir şirket personelinin ve bu kişiye alternatif olarak belirlenecek bir başka şirket personelinin acil ve beklenmedik durum planının uygulanmasından sorumlu kişiler olarak yönetim kurulunca atanması ve bu kişilere ait unvan ile her türlü iletişim bilgilerinin Kurul, MKK, Takasbank ve Kurulca belirlenecek diğer kuruluşlara bildirilmesi sağlanır.
ç) Şirketin faaliyetleri ile şube açılması veya kapanması şeklinde örgütlenme yapılarındaki değişiklikler dikkate alınır. İş akış prosedürünün yeterliliği gözden geçirilir. Prosedürlerde gerekli değişiklikler yapılır.
Madde 16-
Dışarıdan Hizmet Alımı
Şirket, dışarıdan aldığı hizmetlerde, hizmeti sağlayanın teknik donanımı, altyapısı, mali gücü ve tecrübesiyle ilgili tespitte bulunur ve değerlendirir. Dışarıdan alınan hizmetin kesintiye uğraması veya aksaması durumunda, hizmeti aldığı kurumdan, kesintinin süresi hakkında detaylı olarak açıklama yapmasını ve hizmet alınan kurumun acil durum planı ve sözleşmelere göre hareket etmesini bekler.
Sorumluluk
Madde 17 - Bu Planın uygulanmasından tüm şirket çalışanları görevleri dahilinde sorumludur.
Yürürlük
Madde 18 - Bu Plan 03.04.2023 tarihinde yürürlüğe girmiştir. Bu planının yürürlüğe alınması ile önceden hazırlanan, yayımlanan planlar hükmünü yitirir. Bu plan onaylanmasını takiben üç gün içinde Şirketin internet sitesinde yayımlanır. İlgili personel ile paylaşılır.
Yürütme
Madde 19 - Bu Plan hükümlerini Yönetim Kurulu Kararı ile yetkilendirilmiş Genel Müdür veya belirlenmiş diğer personel yürütür.