RBI, Düzenlenmiş Kuruluşlar Arasında BT Dış Kaynak Kullanımı Düzenlemeleri İçin Ortak Standartlar Öneriyor


Hindistan Merkez Bankası Perşembe günü, tüm düzenlenmiş kuruluşlar tarafından bilgi ve teknoloji hizmetlerinin dış kaynak kullanımı için taslak ana yönergeler yayınladı. Bu düzenlenmiş kuruluşlar arasında, tarifeli ticari bankalar, yerel alan bankaları, küçük finans bankaları, ödeme bankaları, aktif büyüklüğü 1.000 crore ve üzeri olan kentsel kooperatif bankaları, tüm banka dışı finans şirketleri, kredi bilgi şirketleri ve tüm Hindistan finans kurumları yer alacak.

Düzenleyiciye göre, düzenlenen kuruluşlar, BT faaliyetlerinin önemli bir bölümünü, bu kuruluşları önemli risklere maruz bırakabilecek olan üçüncü taraf hizmet sağlayıcılarına dış kaynak sağlamaktadır.

RBI taslak ana genelgesinde, BT hizmetlerini dışarıdan temin etmek isteyen düzenlenmiş kuruluşların düzenleyiciden önceden onay almasına gerek olmadığını söyledi.

RBI, “Ancak, bu tür düzenlemeler, denetleme makamı tarafından yerinde/yer dışı izleme ve teftiş/incelemeye tabi olacaktır.” Dedi.

Bu tür dışarıdan hizmet alımı düzenlemeleri için uygun olan hizmet sağlayıcılar, düzenlenen kuruluş grubunun parçası olan üçüncü taraf kuruluşları veya kuruluşları içerebilir. Ayrıca üçüncü şahıs hizmet sağlayıcıların daha fazla dış kaynak kullanabilecekleri taşeronları da içerebilirler.

Dış kaynaklı hizmetler aşağıdakileri içerebilir:

  • BT altyapı yönetimi, bakımı ve desteği.

  • Ağ ve güvenlik çözümleri bakımı.

  • Uygulama geliştirme, bakım ve test.

  • Veri merkezleriyle ilgili hizmetler ve işlemler.

  • Bulut bilişim hizmetleri.

  • Yönetilen güvenlik hizmetleri.

  • ATM anahtarı ASP’leri dahil uygulama hizmeti sağlayıcıları.

  • Ödeme sistemi ekosistemiyle ilişkili BT altyapısı ve teknoloji hizmetlerinin yönetimi.

Bu taslak ana genelgenin bir parçası olarak, düzenlenen kuruluşların BT hizmetlerini dışarıdan temin etmenin gerekliliğini ve kritikliğini yeterince değerlendirmesi gerekmektedir. Kurul, düzenlenen kuruluştaki yönetim kurulu üyelerinin, yönetimin ve BT işlevinin belirli rol ve sorumluluklarının tanımlanması gereken açık bir BT dış kaynak kullanımı çerçevesi sağlamalıdır.

RBI, bu tür bir dış kaynak kullanımının, düzenlenen kuruluşları müşterilere karşı görevlerinden de kurtarmayacağını söyledi.

Yönergelerinde düzenleyici ayrıca şunları da belirtmiştir:

  • Tüm müşteri düzeltmeleri, üçüncü taraf hizmet sağlayıcının değil, asıl tüzel kişinin sorumluluğunda olacaktır.

  • Bu hizmet sağlayıcıların kapsamlı durum tespiti, güvenilirlikleri ve gösterilmiş yetenekleri, onlarla bağlantı kurmadan önce yapılmalıdır.

  • Hizmet sağlayıcının bir alt yükleniciyi görevlendirmeden önce kendi durum tespiti süreci de kontrol edilmelidir.

  • Hizmet sağlayıcının personelinin müşteri bilgilerine erişimi “bilmesi gereken” esasına göre olacaktır.

  • İtibara zarar verebilecek hizmet sağlayıcılardan kaçınılmalıdır.

  • Dış hizmet alımı acentesi, bu tür düzenlemeler için birden fazla düzenlenmiş kuruluşla çalışıyorsa, belgelerin, bilgilerin, kayıtların ve varlıkların birleştirilmesinin olmaması sağlanmalıdır.

  • Aynı hizmet sağlayıcıya birden fazla dış kaynak kullanımından kaynaklanan yoğunlaşma riskinin etkisi değerlendirilmelidir.

  • Düzenlenmiş kuruluşlar, hizmet sağlayıcılarının iş sürekliliği planını ve felaket kurtarma planını belgelemek, sürdürmek ve test etmek için sağlam bir çerçeve geliştirmesini ve oluşturmasını isteyecektir.

  • Hizmet sağlayıcılar ve bunların taşeronları için düzenli denetimler yapılmalıdır.

  • Grup şirketlerini dış kaynak kullanımı acenteleri olarak istihdam ederken, düzenlenen kuruluşlar, seçim kriterlerinin objektif olmasını ve kaynakların yeterli şekilde sınırlandırılmasını sağlamalıdır.

  • Grup şirketleri ile dış kaynak kullanımı düzenlemeleri, RBI’nin denetim yürütme becerisini engellememelidir.

RBI, 22 Temmuz’a kadar taslak genelgesine ilişkin görüş ve önerilerini davet etti. Alınan geri bildirimler dikkate alınarak nihai kılavuzlar yayınlanacaktır.





Kaynak : https://www.bqprime.com/business/rbi-proposes-common-standards-for-it-outsourcing-arrangements-across-regulated-entities

Yorum yapın