Risk Yönetimi, İç Denetim, İç Kontrol ve Uyum

Denetim Komitesinin, İç Sistemler Birimlerinin
2025 Yılı İşleyişine İlişkin Değerlendirmeleri

Ziraat Bankası’nda iç sistemler faaliyetleri; İç Sistemler Grup Başkanlığı koordinasyonunda, görev ve sorumlulukları ayrıştırılmış olarak, Teftiş Kurulu Başkanlığı, İç Kontrol Bölüm Başkanlığı, Risk Yönetimi Bölüm Başkanlığı, Uyum Bölüm Başkanlığı ve Bilgi Güvenliği Yöneticiliği tarafından yürütülmektedir.

Tüm birim ve şubeler ile denetime tabi iştirakleri kapsayacak şekilde tesis edilmiş olan organizasyon, bankacılık faaliyetlerinin tam ve güvenli bir şekilde sürdürülmesini, uzun dönemli kâr hedeflerinin gerçekleştirilmesini, güvenilir mali ve idari raporlamanın yapılmasını, Banka’nın itibarını ve finansal istikrarını olumsuz etkileyebilecek risklerin en aza indirilmesini amaçlamaktadır.

ALİ ARAS

İç Sistemler Grup Başkanı

1969 yılında Beyşehir'de doğdu. Lisans eğitimini 1990 yılında Ankara Üniversitesi Siyasal Bilgiler Fakültesi Maliye Bölümünde, yüksek lisansını ise 2024 yılında Hacı Bayram Veli Üniversitesi İşletme bölümünde tamamladı. 1991 yılında Bankamızda Müfettiş Yardımcısı olarak göreve başlayan Aras, 1998-2013 yılları arasında sırasıyla Ankara Bölge Dış Muameleler Şubesi Müdür Yardımcılığı, Çorum Şubesi Müdürlüğü, Çorum Bölge Başkanlığı, Konya Bölge Başkanlığı, İdari ve Sosyal Hizmetler Daire Başkanlığı, Satın Alma ve İnşaat Hizmetleri Daire Başkanlığı, Teftiş Kurulu Başkanlığı görevlerinde bulundu. 2013 yılında İç Anadolu-2 Koordinatörlüğü görevine atanan Aras, 2014-2018 yıllarında Ankara Yenimahalle Bölge Başkanı, 2018-2021 yıllarında ise Ankara Çankaya Bölge Başkanı olarak görev yaptı. 2005-2014 yılları arasında yurt dışı iştiraklerimiz Azertürk Bank, KZI Bank ve Ziraat Rusya'da Yönetim ve Denetim Kurulu üyeliği görevlerinde de bulundu. 2021 yılında kısa bir süre Almanya'daki iştirak Bankamız Ziraat International A.G.'de Genel Müdür olarak görev yaptıktan sonra Temmuz 2021 tarihinde Ankara Kamu Kurumsal Şube Yöneticiliği görevine atandı. Ocak 2023-Eylül 2023 tarihleri arasında tekrar Ankara Çankaya Bölge Başkanı olarak görev yaptı. Aras Ekim 2024 tarihinden itibaren İç Sistemler Grup Başkanı olarak görevine devam etmektedir.

Teftiş Kurulu Başkanlığı

Banka’nın Sürdürülebilirlik Politikası ile uyumlu olarak insana ve çevreye saygılı bankacılık prensibi Teftiş Kurulu tarafından da benimsenmiş olup, bu kapsamda mevcut faaliyetlerin, çevre konusundaki hassasiyeti yansıtacak bir şekilde yürütülmesi sağlanmıştır.

Son yıllarda gerek devletlerin gerekse de kurumların başlıca gündem maddelerinden olan sürdürülebilirlik kavramı çerçevesinde Banka’nın gerçekleştirdiği çalışmaları değerlendirmek amacıyla, Sürdürülebilir Bankacılık Süreç Denetimi kapsamında; sendikasyon kredisi gereksinimleri doğrultusunda sürdürülebilirlik performans kriterleri KPI, sürdürülebilirlik kapsamındaki Banka’nın çevresel kredi ürünleri, BDDK tarafından 01.10.2023 tarihinde yayınlanan Yeşil Varlık Oranları Hakkında Tebliğ Taslağı ve Kamu Gözetim Kurumunun finans sektöründe Sürdürülebilirliğe ilişkin yayınlamış olduğu mevzuatlar ile ulusal ve uluslararası otoritelerin sürdürülebilir bankacılık alanındaki strateji ve politikalara Banka’nın genel uyum seviyesi incelenmiştir. Ek olarak gerçekleştirilen denetim kapsamında 2019 yılından beri yayınlanan ve yıllık bazda Banka’nın sürdürülebilirlik politikalarını içeren Entegre Faaliyet Raporları, Ulusal ve Uluslararası otoritelerin Sürdürülebilir Bankacılık alanındaki genel strateji ve politikaları da incelenmiştir.

Kurulumuz tarafından uygulanmakta olan denetim modeli kapsamında tüm şube raporlarının sistem üzerinden düzenlenmesi sayesinde fiziki belge/rapor gönderimine son verilmiştir.

Şube denetimlerinin yanında tüm Genel Müdürlük Birimleri için de denetim raporlarının sistem üzerinden hazırlanması ve takip edilmesi sağlanmıştır. Ayrıca Kurulumuzda çevresel sürdürülebilirliği desteklemek amacıyla ofis genelinde atık yönetimi uygulamaları hayata geçirilmiştir. Bu kapsamda, kâğıt atıkları da dahil olmak üzere geri dönüştürülebilir atıkların kaynağında ayrıştırılmasını sağlamak üzere ofis alanlarında atık ayrıştırma kutuları kullanılmaktadır. Söz konusu uygulama ile atıkların etkin bir şekilde yönetilmesi ve çevresel etkilerin azaltılması hedeflenmektedir.

Bununla birlikte kullanılmakta olan e-imza ve sanal arşiv uygulaması ile tüm denetim ve inceleme/soruşturma raporları fiziki bir doküman arşivine ihtiyaç duyulmaksızın ana bankacılık yazılımı üzerinde dijital ortamda arşivlenmektedir.

Denetim ve inceleme/soruşturma raporlarının sisteme aktarılması, sanal arşiv uygulaması ile 33.000 adet A4 kâğıt tasarrufu sağlanmıştır.

İç Denetim Sisteminin İşleyişi

Teftiş Kurulu Başkanlığı; Banka’nın Genel Müdürlük birimleri ile yurt içi, yurt dışı şubelerinde ve iştiraklerinde tüm faaliyetlerin kanun ve ilgili diğer mevzuat ile Banka içi strateji, politika, ilke ve hedefler doğrultusunda yürütülüp yürütülmediğini, risk odaklı denetim anlayışı çerçevesinde denetlemektedir. Teftiş Kurulu Başkanlığı, Banka üst yönetimini bilgilendirerek, üst yönetimin karar verme süreçlerine katkıda bulunacak nitelikteki çalışmalarını sürdürmektedir.

Uluslararası iç denetim standartları doğrultusunda faaliyet gösteren Teftiş Kurulu Başkanlığı, 2025 yılı içerisinde Banka faaliyetlerinin tabi oldukları iş süreçlerine uygunluklarını denetlenmenin yanı sıra asli süreçleri oluşturan işlem adımlarının etkinliklerini, verimliliklerini ve tali süreçleri de denetlemek suretiyle değerlendirmeye tabi tutmuştur. Ayrıca, BDDK tarafından yayınlanan bilgi sistemleri ve iş süreçlerine ilişkin düzenlemelerde belirtilen süreçler de Banka uygulamaları çerçevesinde denetlenmiştir.

Teftiş Kurulu Başkanlığı bünyesinde 2025 yılında yürütülen çalışmalara aşağıda yer verilmiştir:

Uyguladığı senaryo analizleri ile usulsüzlüklerin önlenmesi bakımından caydırıcı bir etkiye sahip olan Merkezden Denetim Ekibi, faaliyetlerine 2025 yılında da devam etmiştir. Muhtemel suistimallere karşı oluşturulan mevcut senaryolarının etkinliğini sürekli gözden geçirerek geliştiren ekip, denetim esnasında kullanılan manuel süreçlerin en aza indirilmesini teminen sistemsel geliştirmelerini sürdürmüştür. Yapay zekâ teknolojisinin Merkezden Denetim süreçlerine entegre edilmesi amacıyla başlanan çalışmalara devam edilmektedir. Bu sayede şubelere gönderilen işlem tiplerinin makine öğrenimine dâhil edilerek suistimal olasılığının hesaplanması ve suistimale konu olabilecek daha çok vakanın, daha hızlı ve daha etkin şekilde tespit edilebilmesi sağlanacaktır.

Denetimde uluslararası standartların ve uygulamaların takibini sağlayan Ar-Ge Ekibi tarafından, dinamik bir yaklaşımla denetim modelinin güncellenmesi çalışmaları tamamlanmıştır. Yeni denetim yapısında, yerinden şube denetimlerine ek olarak, denetimlerin merkezileştirilmesi ve ortaya çıkan yeni durumların zaman kaybedilmeksizin denetim kapsamına alınması amacıyla senaryo bazlı dinamik denetimler yapılmaya başlanmıştır. Bu çalışmalar sayesinde riskin büyümeden tespiti amaçlanmış ve hâlihazırda temas edilenden daha çok şubeye ulaşılması sağlanmıştır.

Ekip tarafından kanunlar, BDDK kararları, Banka üst yönetiminin ve Genel Müdürlük birimlerinin öngördüğü değişiklikler yakından izlenerek denetim noktalarındaki gerekli değişiklikler yapılmıştır. Şube denetimlerinde kullanılan sondaj kuralları revize edilmiş, müşterilerin PD verilerinin de analizlere dâhil edildiği yeni kural setleri oluşturulmuştur. Bu sayede riskliliği daha sağlıklı yansıtan örneklem tespit edilmesi sağlanmıştır. Bununla birlikte; sondaj kuralları dinamik bir yapıda kurgulanarak, konjonktüre ve Banka’nın risk iştahına göre anlık aksiyon alınmaya başlanmıştır.

Bilgi Sistemleri Ekibi tarafından, Banka, konsolidasyona tabi yurt içi ve yurt dışı iştirakler, yurt dışı şubeler ve destek hizmeti/dış hizmet alınan kuruluşların bilgi sistemleri ve iş süreçleri üzerinde tesis edilen kontrollerin etkinliği, yeterliliği ve uyumluluğu; ilgili iç ve dış düzenlemeler, uluslararası standartlar ve iyi uygulamalar göz önünde bulundurularak risk odaklı bakış açısıyla her yıl periyodik olarak değerlendirilmekte olup, 2025 yılı içerisinde de çalışmalara devam edilmiştir.

Müşterilerin ve Banka’nın sır niteliğindeki bilgilerinin korunması amacıyla faaliyet gösteren Veri Güvenliği Ekibi, 2025 yılında da çalışmalarına devam etmiştir.

Dijitalleşmenin getirdiği teknolojik dönüşüme paralel olarak denetimin daha verimli hale getirilmesi amacıyla kurulmuş olan Banka süreçlerindeki eksiklikleri tespit ederek genele yayılmış riski ölçmek, Banka’nın veri havuzundan risk ihtiva ettiği düşünülen verileri süzmek, süreçleri geliştirmek ve verimliliği artırmak üzere senaryo üreten ve söz konusu senaryoları ilgili iş birimine sunarak Banka geneli için hızlı ve etkin çözüm yoluna gidilmesini sağlayan Veri Bilimi Ekibi, çalışmalarına 2025 yılında hız vermiş, yapılan çok sayıda çalışmanın çıktıları, ilgili Genel Müdürlük birimleriyle paylaşılmıştır. Ekip aynı zamanda daha önce yürütülmüş denetim/soruşturma üzerinden bulgu, verimsizlik, etkinsizlik veya usulsüzlüğe konu olan işlemlere ilişkin senaryo çalışmaları aracılığıyla bir profil oluşturarak, makine öğrenmesi ile gelecek yıllarda daha hızlı ve efektif bir şekilde bulgu, verimsizlik, etkinsizlik ve usulsüzlüklerin tespitini sağlamayı hedeflemektedir. Geçmişe yönelik profil oluşturulamadığı veya tahmin yapılamadığı durumlarda, hedeflenen veri setindeki benzer ögeler kümelenmekte veya anomali tespiti yapılmaktadır.

Hem yerel hem global olarak bankacılıkta denetim anlayışının geleneksel yapıdan dinamik yapıya evrilmesi nedeniyle Teftiş Kurulu Başkanlığı tarafından denetim yapısını güncellemiş olup Senaryo Denetimi ekibi tarafından şube denetimlerine ek olarak senaryo bazlı denetim yapılmaya başlanmıştır.

Her bir senaryo kapsamında makro bakış açısıyla birçok Şube/Birim ve personelle temas sağlanmaktadır. Senaryo Denetim ekibi tarafından 2025 yılı içerisinde çalışmalarına başlanan Dijital Müfettiş MÜF-IT projesiyle; sürekli ve gerçek zamanlı, risk odaklı, otomatik veri analizi yapılarak risklerin erken tespiti ile denetim süreçlerinde dijitalleşmenin ve verimliliğin artırılması planlanmaktadır. 2026 yılında projeyle ilgili geliştirmeler sağlanarak Makine Öğrenimi ile sürekli gelişim yaklaşımıyla yeni denetim alanlarının sisteme entegrasyonu hedeflenmekte ve bu sayede insan kaynağımızın daha stratejik alanlara aktarılması planlanmaktadır.

Teftiş Kurulu Başkanlığı’nda analitik araçların daha etkin ve verimli kullanılması amacıyla Teftiş Kurulu üyelerinin Oracle SQL ve Python uygulamalarına yönelik eğitimlere katılımları sağlanmıştır.

Banka’nın 2025 Haziran ayında açmış olduğu Müfettiş Yardımcılığı Giriş Sınavı’nda başarılı olan 20 Müfettiş Yardımcısı 2025 yılı içerisinde işe başlamıştır. 2025 yılında 18 Müfettişin idari göreve geçişi sağlanarak Banka’ya nitelikli insan kaynağı sağlama fonksiyonu sürdürülmüştür.

Teftiş Kurulu, önümüzdeki dönemde de risk değerlendirmelerine dayalı olarak ve Banka üst yönetimince belirlenen hedef ve politikalar doğrultusunda hazırlanacak iç denetim planının icrası, sonuçlarının Denetim Komitesi aracılığıyla Yönetim Kurulu’na raporlanması ve denetim raporlarına istinaden alınacak önlemlerin izlenmesi faaliyetlerini, yüksek sorumluluk ve görev bilinci içerisinde sürdürecektir.

İç Kontrol Sisteminin İşleyişi

İç Kontrol Bölüm Başkanlığı; Bankacılık Kanunu, BDDK tarafından bankaların iç sistemlerine ve bilgi sistemlerine ilişkin yayımlanan yönetmelik ile diğer yasal ve Banka mevzuatında yer alan hükümler ile faaliyetlerin Yönetim Kurulu tarafından belirlenen strateji ve politikalara uygun olarak düzenli, verimli ve etkin bir biçimde, mevcut mevzuat ve kurallar çerçevesinde yürütülmesini sağlamak üzere Banka’nın Genel Müdürlük birimleri ile yurt içi, yurt dışı şubelerinde ve iştiraklerinde kontrol faaliyetlerini sürdürmektedir.

Faaliyetler, kapsam ve uygulanan yöntem itibarıyla Banka’nın ana hedef ve stratejileri ile uyumlu bir şekilde yürütülmektedir. Benimsenen proaktif yapı sayesinde Banka faaliyetlerinin sektör normlarının üzerinde gerek iç gerekse dış mevzuat ve rekabet koşulları ile uyumlu bir şekilde yürütülmesine katkı sağlanmaktadır.

Yurt içi şube kontrolleri, her bir üç aylık faaliyet dönemi için dinamik bir yapıyla, kontrol edilecek şubelerin son kontrol/denetim tarihleri ve denetim planı dikkate alınarak konjonktürel risklilik durumuna göre hazırlanan kontrol programları çerçevesinde yerinden ve merkezden gerçekleştirilmektedir. Kontrol faaliyetleri, teknoloji odaklı ve merkezi bir yapı esas alınarak kurgulanmış; genele yaygın nitelikteki eksikliklerin ilgili iş birimleri nezdinde hızlı ve etkin şekilde giderilmesi hedeflenmiştir. Anlık kontrol faaliyetleri ile operasyonel işlemlere, muhasebe kayıtlarına ve kredi işlemlerine ilişkin gerçek zamanlı kontroller yapılmaktadır. Belirlenen risklilik senaryoları dahilinde yer alan işlemler gün içerisinde tetkik edilmekte ve hatalı işlemlerin düzeltilmesi sağlanmaktadır. İşlemlerin gerçek zamanlı kontrolü yapılarak önleyici aksiyonlarla etkinliğin artırılması, iç kontrol sisteminin Banka’nın günlük faaliyetlerinin bir parçası haline gelmesini sağlamaktadır.

Bu amaçla iç kontrolörler tarafından geliştirilen EVAM senaryolarıyla anlık olay ve aksiyon yönetimi araçları kullanılarak anomali durumları tespit edilmekte, yapay zekâ/makine öğrenmesi çözümlerinin kontrol süreçlerine entegrasyonuyla da müşteriler için düzenlenen kredi değerleme raporlarının muhtelif kriterleri kontrol edilmektedir. Bu sayede, varlık ve yükümlülüklerin kayda alınması ve finansal raporlara yansıtılması sürecinde oluşabilecek hataların ve eksikliklerin önüne geçilebilmesi temel ilke olarak benimsenmektedir. Bahsi geçen kontrol uygulamaları, ilave maliyet ve insan gücü kullanımının önüne geçerek kontrol faaliyetlerinin sürdürülebilirlik odağında geliştirilmesine fayda sağlamaktadır.

2024 yılı itibarıyla, şubeler tarafından gerçekleştirilen muhasebesel/operasyonel işlemlerin kontrolünün robotik süreçlere entegrasyonu ve bu husustaki raporlamaların robot tarafından gerçekleştirilmesi çalışmaları pilot şubelerde uygulanmaya başlamıştır. 2025 yılında pilot uygulamadan canlı ortama geçirilen robotik kontrol süreci kapsamında belirlenen şubeler, kontrol edilmiş olup bu sayede önemli ölçüde zaman ve maliyet tasarrufu sağlanmıştır. 

İç Kontrolörler tarafından, Banka geneline yaygın hataların veya sistemsel eksikliklerin merkezden tespit edilmesi amacıyla Analitik Kontrol faaliyetleri gerçekleştirilmektedir. Gerçekleştirilen kontrol ve analizlerde veri tabanı programları ve çeşitli analitik araçlar kullanılarak senaryolar geliştirilmektedir. Bu kapsamda yapılan bazı çalışmalar global kuruluşlarca da ödüllendirilmiştir.

İş birimlerinin kontrol programları, birimlerin işlevleri ve taşıdıkları riskler, birimlerin görev tanımları ve Banka bilançosuna etkileri dikkate alınarak oluşturulmakta ve ihtiyaçlar doğrultusunda revize edilmektedir. Oluşturulan programlar doğrultusunda yeter sayıda iç kontrolör tarafından iş birimleri kontrol edilmektedir.

Yurt dışında bulunan şubelere ilişkin iç kontrol faaliyetleri, yıllık olarak hazırlanan kontrol planları doğrultusunda yürütülüp izlenmektedir. Yurt dışı şubelerimize yönelik düzenlenen raporlar, ilgili iç kontrolörler tarafından incelenmesinin akabinde, raporlarda yer alan bulgular konusuna göre ilgili Genel Müdürlük Birimlerine iletilmektedir.

Kontrol faaliyetlerinin yanı sıra, iç kontrolörler tarafından Banka’da yürütülen faaliyetlere ilişkin süreçlerin iyileştirilmesi ve muhtemel risklerin önlenmesine yönelik süreç iyileştirme önerileri iş birimleri ile paylaşılmaktadır. Bu uygulamayla risklerin önceden tespit edilerek önlenmesi, süreçlerin iyileştirilerek rekabet ortamına uyum ve müşteri memnuniyetinin sağlanması ve maliyet azaltıcı tedbirlerin alınması hedeflenmiştir.

2024 yılında uygulanmaya başlanan bireysel ve kurumsal kredilerin merkezden gerçek zamanlı (anlık) kontrolü projelerinin geliştirilmesi, robotik kontrollerin devreye alınması, senaryo bazlı analitik kontrol çalışmalarının çeşitlendirilmesi gibi projeler ile birlikte, yerinden şube kontrol faaliyetleri azalmıştır. Bu sayede, iş seyahatleri kaynaklı uçuşlara, karayolu taşıtı kullanımlarına ve otel konaklamalarına olan ihtiyaçta gerileme yaşanmıştır.

Bir diğer önemli proje de KKTC Ülke Yöneticiliği nezdindeki iç kontrol faaliyetleri kapsamında incelenen hususları ve tespit edilen bulguları içeren fiziki raporların, ana bankacılık uygulamasındaki iç kontrol modüllerine entegre edilmesi olmuştur. Böylece kâğıt tüketimi azaltılarak kaynak tasarrufu sağlanmıştır.

Diğer taraftan, projenin sonucunda iç kontrolörlerin raporlama ve bulgu takip süreci daha verimli hale gelmiş, kontrol edilen birimlerin tespit/bulgu düzeltimi ve süreç iyileştirme çalışmalarına geçiş kolaylaşmıştır. Tüm bu faaliyetler neticesinde ortaya çıkan bulgular ve gerçekleştirilen kontrollere ilişkin detaylar Banka’nın ilgili iş birimleri ve Üst Yönetim ile dönemsel olarak paylaşılmaktadır.

Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğin 18. maddesi çerçevesinde mevzuat uyum kontrolleri de iç kontrol bünyesinde yürütülmektedir. Bu kapsamda, Banka’nın gerçekleştirdiği ve gerçekleştirmeyi planladığı tüm faaliyetleri ile yeni işlem ve ürünlerin, kanuna ve ilgili diğer mevzuata, Banka içi politika ve kurallar ile bankacılık teamüllerine uyumu kontrol edilmektedir. Ayrıca, uyum kontrolleri kapsamında Banka içinde düzenlenen ya da değiştirilen mevzuat da incelenmekte ve oluşan görüşler ilgili iş birimleri ile paylaşılmaktadır.

Sürdürülebilirlik çalışmaları kapsamında, Banka’nın ISO 14001 Çevre Yönetim Sistemi belgelendirme sürecine ilişkin iç tetkik faaliyetlerinin Başkanlığımız tarafından yürütülebilmesini teminen 50 personel İç Tetkikçi, 2 personel ise Baş Denetçi eğitimi alarak sertifikalandırılmıştır. Bu doğrultuda, yılda bir kez Genel Müdürlük birimleri ile Başkanlığımız kontrol programı kapsamında yer alan şube kontrollerinde kullanılmak üzere kontrol noktaları oluşturulmuştur.

Bilgi sistemleri iç kontrol faaliyetlerini, banka ve dış hizmet sağlayıcılar nezdinde, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ve genel kabul görmüş standartlar temel kaynak alınarak, yıllık bazda oluşturulan bilgi sistemleri iç kontrol inceleme planları doğrultusunda gerçekleştirilmektedir. Bu kapsamda; Şubeler, Para Grup Merkezleri ve Genel Müdürlük birimleri tarafından kayıt altına alınan veri güncelleme ve servis yönetimi (SM) çağrı kayıtları ile uygulama geliştirme kapsamında gerçekleştirilen taleplerin detayları, uzaktan erişim yetkisi bulunan kullanıcıların mesai saatleri dışındaki erişimleri ve veri tabanı üzerinden gerçekleştirilen sorgulamalar periyodik olarak kontrol edilmektedir.

Ön inceleme faaliyetleri, İç Kontrolörler tarafından tespit edilen veya herhangi bir kanaldan İç Kontrol Bölüm Başkanlığına iletilen; şikâyet/ihbar niteliğindeki kayıtlara, zarar doğurucu işlemlere, mutat uygulamalara göre riskli veya şüpheli görülen hususlara yönelik gerçekleştirilmektedir.

Uyum Sisteminin İşleyişi

Banka’da suç gelirlerinin aklanmasının, terörün ve kitle imha silahlarının yayılmasının finansmanının önlenmesine yönelik faaliyetler; ulusal ve uluslararası düzenlemelere uygun şekilde yürütülmektedir.

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’da meydana gelen değişiklikler doğrultusunda güncellenen “Suç Gelirlerinin Aklanmasının Önlenmesine Dair Uyum Programı Hakkında Yönetmelik” gereğince Banka; Ziraat Finans Grubu bünyesinde ana finansal kuruluş olarak yurt içinde faaliyet gösteren finansal kuruluşlar ile birlikte finansal grup bazında uyum programı ve Ziraat Finans Grubu Uyum Politikasını takip etmektedir. Bu doğrultuda İlgili kanun ve yönetmelikler ile getirilen sorumlulukların etkili bir biçimde yerine getirilebilmesini sağlamak amacıyla Banka Suç Gelirlerinin Aklanmasının ve Terörün/Kitle İmha Silahlarının Yayılmasının Önlenmesi Uygulama Esas ve Usulleri tümüyle güncellenmiştir. Grubun yapısal özellikleri göz önünde bulundurularak personel ve kaynak tahsisi yapılmaya özen gösterilmektedir.

Bankacılık süreçlerinde teknolojik gelişmelerin getirdiği hızlı dijitalleşmeyle birlikte; suç örgütleri de bankaları yasa dışı faaliyetlerinin finansmanı için kullanmak amacıyla teknoloji kullanımını artırmış ve daha karmaşık araçlara yönelmeye başlamıştır. Finansal hizmetlerdeki yeniliklere ve yeni ürünlere yapmış olduğu yatırımlarla birlikte Banka, sunmuş olduğu ürün ve hizmetlerin yasa dışı faaliyetlere aracı olarak kullanılmaması için önleyici kontrol mekanizmaları geliştirmiş, önleyici kontrollerle engellenemeyen durumların ise zamanında tespitini sağlayıp, proaktif önlemlerle suç gelirleriyle mücadelede hızlı aksiyon alabilecek şekilde yapılandırılmıştır.

Banka’da suç gelirlerinin aklanması, terörün ve kitle imha silahlarının yayılmasının finansmanı alanındaki potansiyel risklerin daha iyi tanımlanıp, risklerin etkin bir şekilde yönetilip kontrol edilmesine ilişkin uzman personelin bilgi ve analitik becerilerinin yanında; yapay zeka ve makine öğrenmesine dayalı dijital çözümlerin kullanımına ağırlık verilen, suç gelirlerinin aklanması ve terörün finansmanı ile mücadele gereksinimlerine etkin bir şekilde yanıt verebilen bir sistem oluşturulmasına yönelik projeler yoğunlaşmaktadır. Bu kapsamda, suç gelirlerini aklama ve terörizmin finansmanı ile mücadele önlemlerini ve yükümlülüklerini daha etkili ve hızlı hale getirebilmek adına teknoloji tabanlı, yenilikçi süreçler geliştirmeye önümüzdeki dönemde de ağırlık verilmeye bu alana yatırım yapılmaya devam edilecektir.

Banka’nın müşteri edinimi sürecini hem güncel konjonktüre adapte edebilmek hem de bu sürecin oluşturacağı uyum risklerini asgari seviyede tutabilmek amacıyla sistemsel iyileştirmelere devam edilmektedir.

Ziraat Finans Grubu içerisinde faaliyet gösteren tüm yurt içi ve yurt dışı finansal kuruluşların suç gelirlerinin aklanması, terörün ve kitle imha silahlarının yayılmasının finansmanıyla etkili bir şekilde mücadele edilmesi amacıyla, grup nezdinde etkin bir risk temelli yaklaşım izlenmekte, mücadeleye konu riskler tanımlanmakta, sınıflandırılmakta ve tanımlanan risklere dayalı, etkin ve orantılı kontroller oluşturulmaktadır. Faaliyet gösterilen tüm ülke ve alanlarda suç ve terör odaklarınca geliştirilen yeni tipolojiler yakından takip edilmekte, trend analizleri yapılmakta ve risk bazlı yaklaşım modeline uygun bir şekilde kaynak planlaması yapılmaktadır. Bu kapsamda, insan kaynağında artışın yanında teknolojik imkânların daha verimli kullanılmasına yönelik projeler hızlı bir şekilde hayata geçirilmektedir. Bu alanda da makine öğrenmesi yapıları ile etkinlik ve hız sağlamaya yönelik çalışmalar yürütülmektedir.

Grup nezdinde oluşturulan ve regülasyonlarda meydana gelen değişikliklerle birlikte güncellenen yazılı politika ve prosedürler ile Banka’nın ve Ziraat Finans Grubu’nun sunmuş olduğu ürün ve hizmetleri suç gelirlerinin aklanması, terörizmin ve kitle imha silahlarının yayılmasının finansmanı amacıyla kullanılmasını engellemek adına gerekli tedbirler alınmakta ve bu konularda Banka’yı herhangi bir operasyonel, itibari risk ve yaptırım riskine maruz bırakmayacak şekilde kontroller gerçekleştirilmektedir.

Banka’nın takip edilen yaptırım programlarında yer verilen kişi ve kuruluşlar ile iş ilişkisine girilmesinin, yaptırıma konu faaliyetlere yönelik herhangi bir hizmet sunulmasının ve yaptırımları ihlal eden herhangi bir bankacılık hizmetine aracılık edilmesinin önüne geçilmesine ilişkin yaptırım riskini önleyici nitelikte kontroller geliştirilmiştir.

Uyum programı yönetmeliği kapsamında, Ziraat Finans Grubu içi bilgi paylaşımını temin etmek amacıyla geliştirilmiş olan ve Banka’nın teknoloji alt yapısının desteklediği sistem sayesinde, finansal grubun bilgi paylaşım politikası çerçevesinde bilgilerin grup içinde güvenli bir şekilde paylaşımı sağlanmaya devam etmektedir.

Finansal grup içerisinde yer alan yurt içi iştiraklerimiz yanında, yurt dışı şube ve iştiraklerimizle de uyum faaliyetlerine ilişkin yürütülen eşgüdümlü strateji çerçevesinde düzenli temaslarımız söz konusu olmakta, başta SGA/TFÖ olmak üzere, ulusal ve uluslararası mevzuat ve uygulamalara uyum noktasında ortak çalışmalar yürütülmekte ve gerekli durumlarda ilgili Şube veya İştiraklere uzaktan veya yerinde destek ve eğitimler verilmektedir.

“Suç Gelirlerinin Aklanması ve Terörün/Kitle İmha Silahlarının Finansmanının Önlenmesi” konularında ortak standartlar geliştirmek, ortak süreçler oluşturmak ve ortak politika hedefi doğrultusunda hareket etmek hususlarında karşılıklı bilgi alışverişinde bulunmak amacıyla düzenlenen kurum içi eğitimlere devam edilmektedir.

Ayrıca, tüm personelin suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi konularında bilinç ve farkındalık düzeylerini artırıcı eğitimler düzenlenmeye devam edilmektedir.

Banka grup nezdinde uyum risklerinin zamanında tespiti, asgari düzeye indirilmesi ve önlenmesine ilişkin mevcut yasa ve yönetmelikler dikkate alınmak suretiyle kontrollerini güçlendirmeye devam edecektir.

Gerek ana finansal kuruluş olarak Ziraat Bankası, gerekse Ziraat Finans Grubu dahilinde faaliyet gösteren finansal kuruluşların uyum birimleri, geçmiş yıllarda olduğu gibi bundan sonraki dönemde de SGA/TFÖ alanında yeni trendleri, en iyi uygulamaları yakından takip ederek, uzman personel yapısı ile birlikte analitik altyapı ve teknolojik imkânları azami ölçüde kullanmak suretiyle, verimlilik ve etkinlik maksimizasyonu sağlamaya yönelik, risk bazlı yaklaşım ile faaliyetlerini sürdürecektir.

Risk Yönetimi Sisteminin İşleyişi

Ziraat Bankası’nın risk yönetimi faaliyetleri, Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmelik ve diğer ilgili düzenlemeler ile BDDK İyi Uygulama Rehberlerine göre Banka bütününde risk kültürünün yerleştirilmesi, sistem ve insan kaynağının sürekli olarak iyileştirilmesi suretiyle, risk yönetimi fonksiyonunun iyi uygulamalara yaklaştırılması hedeflenerek yürütülmektedir. Risk yönetimi sistemi çerçevesinde yürütülen faaliyetler; kredi riski, piyasa riski, operasyonel risk, bilanço riskleri (bankacılık hesaplarından kaynaklanan faiz oranı riski ve likidite riski), içsel derecelendirmeye dayalı modelleme ve validasyon temel başlıklarını kapsamaktadır. Ayrıca yurt dışı şubelerimiz ve iştiraklerimizin risk yönetimine ilişkin yerel düzenlemelere uyumunun sağlanması ve risk yönetimine ilişkin rasyolarının izlenmesi faaliyetleri yürütülmektedir. Her bir risk türünün ilişkili olduğu faaliyet koluna dâhil olan birimlerin katkıları ile eşgüdüm halinde yürütülmesinin sağlanmasına özen gösterilmektedir.

Kredi riski yönetimi faaliyetleri çerçevesinde, Basel III ile uyumlu yöntemler kullanılarak kredi riskinin tanımlanması, ölçümü, izlenmesi ve raporlanmasına yönelik çalışmalar yürütülmektedir. Yönetim Kurulu onaylı kredi riski limitleri takip edilmekte, kredi risk faktörlerine çeşitli şoklar uygulanarak senaryo analizi ve stres testleri yapılmaktadır. Karşı taraf riskine yönelik olarak Karşı Taraf Kredi Riski ölçümleri gerçekleştirilmektedir.

Ayrıca, İçsel Derecelendirmeye Dayalı (İDD) yaklaşım ile oluşturulan modeller ve bu modellerin validasyon çalışmaları ile birlikte model çıktıları TFRS-9 hesaplamalarında, tahsis ve fiyatlama süreçlerinde kullanılmaktadır.

Piyasa riski yönetimi faaliyetleri kapsamında; riskin tanımlanması, ölçülmesi, analizi, izlenmesi ve raporlanması faaliyetleri yürütülmekte, yapılan analizler stres testi ile desteklenmektedir. Risk ölçümleri sermaye yeterlilik rasyosuna dahil olacak yasal hesaplamaların yanı sıra içsel olarak raporlanan riske maruz değer ölçüm yöntemleri vasıtasıyla da gerçekleştirilmektedir. Riske maruz değer sonuçları geriye yönelik test analizleri yoluyla izlenmektedir.

Piyasa riskine esas tutarlar, Yönetim Kurulu onaylı limitler vasıtasıyla periyodik olarak takip edilmekte ve takip edilen içsel limitler Banka Üst Düzey Yönetimi ile paylaşılmaktadır.

Operasyonel risk yönetimi faaliyetleri kapsamında, operasyonel risklerin tanımlanması, sınıflandırılması, ölçülmesi ve analiz edilmesi faaliyetleri yürütülmekte, Yönetim Kurulu onaylı operasyonel risk sinyal ve limit değerleri periyodik olarak takip edilmektedir. Operasyonel Riske Esas Tutar, Bankaların Sermaye Yeterliliğinin Ölçülmesine ve Değerlendirilmesine ilişkin Yönetmelik uyarınca Temel Gösterge Yöntemi kullanılarak hesaplanmaktadır. Banka ile bütünleşik ve muhasebe sistemi ile uyumlu, Basel Bankacılık Gözetim ve Denetim Komitesinin kayıp olay türü ve faaliyet kollarını kapsayan bir sınıflandırma doğrultusunda tesis edilen, yurt dışı-yurt içi şube ve iştiraklerden elde edilen verileri kapsayan operasyonel risk kayıp veri tabanı ile Banka’nın operasyonel risk görünümü etkin yöntemlerle izlenmektedir. Ayrıca Banka organizasyonunu kapsayan öz değerlendirme çalışması yapılmakta, bilgi teknolojilerinden kaynaklanan riskler ve alınan aksiyonlar, ilgili birimlerle koordineli bir şekilde takip edilmekte ve destek hizmeti alınan kuruluşlar için risklilik değerlendirmeleri yapılmaktadır. Diğer taraftan operasyonel risk kapsamında itibar riskine ilişkin çalışmalar da gerçekleştirilmekte ve yapılan analizler raporlara konu edilmektedir.

Bilanço riskleri kapsamında; likidite riski ve bankacılık hesaplarından kaynaklanan faiz oranı riski ile ilgili olarak tanımlama, ölçme, analiz, izleme ve raporlama faaliyetleri yürütülmekte, yapılan analizler stres testi ve senaryo analizleri ile de desteklenmektedir. Konsolide ve konsolide olmayan Likidite Karşılama Oranı ve Net İstikrarlı Fonlama Oranı ile konsolide olmayan Bankacılık Hesaplarından Kaynaklanan Faiz Oranı Riski Rasyosu periyodik olarak BDDK’ye raporlanmaktadır. Ayrıca, Yönetim Kurulu onaylı likidite ve bankacılık hesaplarından kaynaklanan faiz oranı riski sinyal ve limit değerleri periyodik olarak takip edilmektedir.

Banka içi periyodik raporlara konu edilen stres testi analizlerinin yanı sıra yıl sonları itibarıyla BDDK’ye gönderilmek üzere Stres Testi ve İSEDES Raporları hazırlanmakta, içsel sermaye ve likidite yeterlilik düzeyimiz analiz edilmektedir.

Bankada risk yönetimi faaliyetlerinde kullanılan tüm verilerin Veri ve global risk birimi tarafından düzenli bir şekilde doğruluğu, bütünlüğü ve güncelliği sağlamaktadır. Veri yönetişimi çerçevesinde veri kaynaklarının ve veri akışlarının kontrolü ile birlikte Ziraat Finans Grubu nezdinde bulunan iştirakler ile yurt dışı şubelerinin risk yönetimi verileri temin edilerek Banka’nın Risk Veri Tabanı oluşturulmaktadır. Bu sayede, Kredi Risk Analitiği ile Piyasa Riski, Bilanço ve Operasyonel Risk birimleri tarafından hazırlanan konsolide ve konsolide olmayan yasal ve içsel oranlar için gerekli verilerin tek kaynaktan yönetilmesi sağlanmaktadır.

Ayrıca, Banka iştirakleri ve yurt dışı şubelerinin risk yönetimi faaliyetlerine destek sağlanarak, Ziraat Finans Grubu genelinde risk yönetimi uygulamalarının standart hale getirilmesi hedeflenmektedir.

Banka’nın maruz kaldığı risklerin doğru ölçülmesi ve yönetilmesi amacıyla içsel olarak kullanılan derecelendirme modelleri ve diğer ölçüm metodolojilerinin doğruluğu, tutarlılığı ve yeterliliği ile risk modellerinin istikrarlılığının ve çıktı (risk tahminleri, derecelendirme notları) performanslarının değerlendirilebilmesi ve sonuçların düzenli aralıklarla Üst Yönetime raporlanması amacıyla validasyon birimi tarafından faaliyetler yürütülmektedir. Böylelikle, karar alma süreçlerinde kullanılan içsel modellerin validasyon çalışmalarının gerçekleştirilerek tespit edilen bulgular neticesinde gerekli aksiyonların alınabilmesi ve yasal gerekliliklere tam uyumun sağlanması hedeflenmektedir.

Risk yönetimi faaliyetleri kapsamında yürütülen analizlerin sonuçları ve risk göstergeleri altı aylık periyotlarda Denetim Komitesine ve Yönetim Kurulu’na; aylık periyotlarda Denetim Komitesi’ne, aylık, haftalık ve günlük periyotlarda ise Üst Düzey Yönetime raporlanmaktadır.

Tüm risk türlerine yönelik yürütülen faaliyetlerin, uluslararası alanda kabul gören gelişmiş risk yönetim tekniklerine dayalı olarak sürdürülmesine ve bu faaliyetlerin Banka’nın stratejik karar alma süreçlerinin ayrılmaz bir parçası olarak yürütülmesine yeni faaliyet döneminde de devam edilecektir.

Bilgi Güvenliği Yöneticiliğinin İşleyişi

Ziraat Finans Grubu bünyesinde, ulusal düzenlemeler, uluslararası standartlar ve sektörel en iyi uygulamalar esas alınarak oluşturulmuş bilgi güvenliği politikalarıyla uyumlu Bilgi Güvenliği Yönetim Sistemi etkin şekilde işletilmektedir. Belirlenen politikalar, Banka’nın stratejik hedefleriyle uyumlu bir çerçeve sağlayarak bilgi güvenliği süreçlerini etkin bir şekilde yönlendirmektedir. Banka genelinde bilgi güvenliğinin sağlanması, iş birimleriyle uyum içinde çalışılarak gerçekleştirilmektedir. Bilgi güvenliği hedeflerimiz, iş hedeflerimizle entegre bir şekilde yürütülmektedir. Bilgi Güvenliği Yönetimi, sürekli izleme, değerlendirme ve iyileştirme süreçlerini içeren dinamik bir yapı sergileyerek, Banka’nın operasyonlarının kesintisiz bir şekilde devam etmesini sağlamaktadır.

Uygulanan bilgi güvenliği strateji ve politikaları doğrultusunda entegre bir BT Risk Yönetimi yapısı kurulmuştur. BT Riski, Banka’nın kurumsal risk bileşenlerinden biri ve bankacılık operasyonlarının ayrılmaz bir parçasıdır. BT Risk Yönetimi için Banka stratejileri ile uyumlu bir çerçevenin oluşturulması, strateji ve planlamaların belirlenmesi ve gerçekleştirilen faaliyetlerin düzenli olarak gözden geçirilmesi sağlanmaktadır.

Çalışanlarımıza yönelik riskleri en aza indirmek amacıyla kapsamlı bir Bilgi Güvenliği farkındalık programları yürütülmektedir. Aynı zamanda bilginin korunması ve kullanımı için gerekli prosedürler hazırlanarak tüm çalışanlarımızın bu kurallara uygun hareket etmesi sağlanmaktadır.

Banka’da Bilgi Güvenliği Yönetimi, bilgi varlıklarını korumak için kapsamlı politikalar, süreçler ve teknolojiler bütününü içermektedir. 2020 yılında yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetler Hakkında Yönetmelik doğrultusunda bilgi varlıklarının tamamı sınıflandırılarak Bilgi Varlığı Envanteri oluşturulmakta; varlıklarımızı gizlilik, bütünlük ve erişilebilirlik kriterleri belirlenerek bu kriterlere göre sınıflandırılmakta ve her varlık için uygun koruma yöntemlerini belirlenmektedir. Banka bilgi varlıklarına yönelik tehditler ve zafiyetler analiz edilmekte, bu analizler sonucunda riskleri en aza indirecek kontrol mekanizmaları geliştirilmektedir. Kritik projeler ve sistem değişikliklerinde bilgi güvenliği gereksinimlerini analiz edilmektedir. Bu süreçte bilgi güvenliği risklerini belirlemek ve azaltmak amacıyla projelerde yer alan tüm ekiplerle iş birliği içinde çalışılmaktadır.

Düzenli aralıklarla bağımsız üçüncü taraf firmalar tarafından sızma testleri gerçekleştirilmektedir. Bu testler sonucunda elde edilen bulgular doğrultusunda riskleri gidermeye yönelik aksiyon planları oluşturulmaktadır. Hazırlanan bu aksiyon planlarını BDDK’ye, zamanında raporlayarak bilgi güvenliği süreçleri sürekli gözden geçirilmekte ve iyileştirilmektedir. Banka, bilgi varlıkları için belirlenen risklerin etkisini azaltmak için iyileştirme aksiyonları alınmakta ve bu aksiyonlar sonucu aksiyonların başarısını değerlendirilmektedir. İyileştirme süreci sonunda tekrar bir analiz gerçekleştirilerek risklerin kabul edilebilir seviyelere indirilmesi sağlanmaktadır. Banka, bilgi varlıklarına yönelik tehditlerin ve zafiyetlerin etkilerini sınırlamak veya gerçekleşme olasılıklarını azaltmak için kapsamlı kontroller uygulanmaktadır. Bu kontroller, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda risklerini azaltırken, faaliyetlerin mevzuatlara ve standartlara uygun bir şekilde sürdürülmesini de sağlamaktadır.

Bilgi güvenliği olaylarının etkinliğini en aza indirmek için gerekli önlemler alınmakta, süreçler düzenli olarak izlenmekte ve geliştirilmektedir. Bilgi güvenliği ihlallerini izlemek ve raporlamak önceliklerimiz arasında yer almakta olup, olası ihlalleri önlemek için bilgi sistemleri üzerinde sürekli bir izleme mekanizması bulunmaktadır. Siber saldırılar ya da veri ihlali durumlarında olay yönetim süreçlerimiz hızlı müdahale ve etkili çözüm sağlamayı hedeflemektedir. Banka’da 7/24 aktif olarak çalışan Siber Güvenlik Merkezi, bilgi sistemlerimizi olası siber tehditlere karşı sürekli izleyerek ve analiz ederek, Banka’nın güvenliği en üst düzeyde tutmaktadır.