MILLI_RE_2023 YILI FAALİYET RAPORU

Bu riskin ölçülmesinde sayısal olmayan yöntemler kullanılmaktadır. “Kendi Kendini Değerlendirme Metodolojisi” esas alınmak suretiyle, “Anket” ve/ veya “Mülakat” yöntemleri kullanılarak maruz kalınan riskin düzeyi “Yüksek”, “Makul” veya “Düşük” olarak tanımlanmaktadır. Bilgi Teknolojileri Riski Şirket faaliyetlerinde kullanılan donanımların, uygulamaların ve iletişim kanallarının bütününü oluşturan Bilgi Teknolojileri (BT) süreçleri, varlıkları ve kaynaklarında; strateji yönetimi, maliyet yönetimi, insan kaynağı yönetimi, risk yönetimi, olay ve problem yönetimi, bilgi güvenliği, yedekleme süreci, tedarik süreci, tedarikçi belirlenmesi ve değerlendirilmesi, kullanıcı kimlik ve erişim yönetimi, kritik kaynakların yönetimi, veri güvenliği, bütünlüğü ve erişilebilirliği, yazılım ve donanım edinimi ve değişikliği, test ve sürüm yönetimi, hizmet kalitesi ve devamlılığı, iş sürekliliği, olağanüstü durum ve konfigürasyon yönetimi, çevresel ve fiziksel faktörlerin yönetimi gibi faaliyet ve süreçlerde meydana gelen iç ve/veya dış kaynaklı aksaklıklara bağlı olarak ortaya çıkabilecek zarar durumudur. Şirket’in bilgi teknolojilerine ilişkin riskleri, uluslararası kabul görmüş uygulamalar esas alınarak Bilgi Teknolojileri Risk Yönetimi Uygulama Usulleri’nde yer verilen hususlar doğrultusunda ölçülür ve değerlendirilir. Diğer taraftan, iş sürekliliği ve bilgi teknolojileri sürekliliğine ilişkin alt risklerin yönetilmesi ve izlenmesi amacıyla tanımlanan Olağanüstü Durum Yönetimi süreci, ilgili mevzuat hükümleri çerçevesinde yürütülmektedir. Olağanüstü Durum Yönetimi kapsamında her yıl Şirket içi eğitim düzenlenmekte ve test/tatbikat çalışması yapılmaktadır. Bu bağlamda 2023 yılında Şirket’in Singapur Şubesi dâhil iş süreçleri ve bilgi sistemleri kapsamında, Ankara’daki Olağanüstü Durum Sunucu Merkezi’nde bulunan uygulama ve sistemlere uzaktan bağlantı sağlanarak olağanüstü durum tatbikatı gerçekleştirilmiştir. Ayrıca, Şirket’in kurtarma lokasyonu olan Suadiye Miltaş Spor Tesisleri’ne gidilerek buradaki donanımlar da test edilmiştir. Söz konusu tatbikatta Olağanüstü Durum Planı’nda belirtilen tüm uygulama ve sistemlere, iş birimlerinin kritik iş süreçleri için ihtiyaç duydukları veri ve dokümanlara kurtarma noktası hedefleri doğrultusunda erişim sağlanmış ve veri girişleri başarıyla tamamlanmıştır. Bunun yanı sıra, geri dönüş testi de başarıyla gerçekleştirilmiştir. Yukarıda yer verilen risklerin ölçülmesi sonucunda elde edilen tüm bulgular, bulgulara ilişkin analizler ve değerlendirmeler Risk Yönetimi Servisi tarafından düzenli aralıklarla Yönetim Kurulu’nun yanı sıra, Türkiye İş Bankası A.Ş. İştirakler Müdürlüğü’ne raporlanmaktadır. Maruz kalınan risklerin etki ve olasılık düzeyinin yüksek bulunması halinde yapılması gereken işlemlere ilişkin eylem planı Yönetim Kurulu tarafından belirlenmektedir. 85 2023 Faaliyet Raporu GENEL BİLGİLER YÖNETİM ORGANI ÜYELERİ İLE ÜST DÜZEY YÖNETİCİLERE SAĞLANAN MALİ HAKLAR RİSKLER VE YÖNETİM ORGANININ DEĞERLENDİRİLMESİ ŞİRKET FAALİYETLERİ VE FAALİYETLERE İLİŞKİN ÖNEMLİ GELİŞMELER ŞİRKETİN ARAŞTIRMA VE GELİŞTİRME ÇALIŞMALARI FİNANSAL DURUM FİNANSAL BİLGİLER