BDDK Uyumluluk Kontrol Listesi 2026: Bankacılık Düzenlemeleri ve Uyum Adımları
Türkiye'de bankacılık faaliyetleri yürüten kurumlar, BDDK (Bankacılık Düzenleme ve Denetleme Kurulu) tarafından belirlenen katı bir düzenleyici çerçevenin içinde faaliyet göstermektedir. Bu çerçeve, sadece bankaları değil, aynı zamanda fintech şirketleri, dijital banka hizmetleri sağlayıcıları ve ödeme kuruluşlarını da kapsamaktadır.
2026 yılında BDDK tarafından yenilenen düzenlemeler, özellikle siber güvenlik, risk yönetimi ve uluslararası uyum standartları konusunda önemli güncellemeler içermektedir. Bu rehber, BDDK uyumluluğunun tüm boyutlarını kapsayan bir kontrol listesi sunmaktadır.
1. BDDK Uyumluluk Çerçevesi
Bankacılık ve finansal hizmetler sektörü, ekonominin kritik altyapısı olarak kabul edilmektedir. Bu nedenle BDDK, finansal istikrarı, müşteri korumasını ve sistem risklerini minimize etmeyi amaçlayan kapsamlı kurallar koymuştur.
BDDK Uyumluluğunun Temel Sütunları:
Finansal Yeterlilik: Kurumlar, belirli konsantrasyon oranlarında varlık tutmalı ve likit olmayan varlıklara maruz kalma riskini sınırlandırmalıdır.
Operasyonel Güvenlik: İç kontrol, risk yönetimi, siber güvenlik ve personel yeterliliği, BDDK denetim çerçevesinin temel unsurlarıdır.
Müşteri Koruma: KYC, AML/CTF ve müşteri varlık ayrılığı, tüm finans kurumlarının yerine getirmesi gereken zorunlu yükümlülüklerdir.
Raporlama Şeffaflığı: Periyodik finansal ve operasyonel raporlamalar, düzenleyici otoritelere sistem durumunu açıkça göstermelidir.
2. Sermaye ve Likidite Gereksinimleri Kontrol Listesi
Bankacılık sektöründe en önemli gereksinimlerden biri, belirli sermaye oranlarının korunmasıdır. Bu oranlar, kurumun zarar absorbe etme kapasitesini gösterir.
Sermaye Yeterliliği Oranı (CAR):
- [ ] Tier 1 Capital Ratio en az %8,5 olmalıdır (BDDK minimum)
- [ ] Toplam Capital Ratio en az %12,5 olmalıdır
- [ ] Riskli aktifler(RWA) aylık hesaplanmakta mıdır?
- [ ] CAR raporları zamanında sunuluyor mu?
Likidite Kapsama Oranı (LCR):
- [ ] LCR oranı minimum %100 korunuyor mu?
- [ ] Yüksek likit varlıklar (HQLA) portföyü uygun mu?
- [ ] Stres senaryolarında likidite yeterli mi?
Net Stabil Finansman Oranı (NSFR):
- [ ] NSFR oranı minimum %100 sağlanıyor mu?
- [ ] Finansman kaynakları 30 güne kadar yeterli mi?
- [ ] Vadeli borçlanma profili analiz ediliyor mu?
Büyüme Oranları Sınırlaması:
- [ ] Toplam aktif büyümesi kontrol edilmekte mi?
- [ ] Sektör ortalamasından önemli sapmaları tanımlandı mı?
- [ ] Büyümeye paralel riskler değerlendirildi mi?
3. Siber Güvenlik Uyum Adımları
BDDK'nın 2026 siber güvenlik düzenlemeleri, teknik standartları ve kurumsal yapı gereksinimlerini detaylı olarak belirtmektedir.
Teknik Güvenlik Standartları:
- [ ] ISO 27001 sertifikası alınmış mı?
- [ ] Veri şifreleme (AES-256 minimum) uygulanmakta mı?
- [ ] Ağ segmentasyonu (network isolation) yapılmış mı?
- [ ] İnternet bağlantıları başka bir kuruluşun sunucusu üzerinde mi?
Saldırı Tespit ve Yanıt Sistemi (SIEM/SOC):
- [ ] 24/7 işletilen Security Operations Center (SOC) var mı?
- [ ] Olaylar otomatik olarak tespit ve önceliklendirilmekte mi?
- [ ] İncident Response Plan hazırlanmış ve test edilmiş mi?
- [ ] Etkinleştirme süresi 1 saatin altında mı?
Penetration Testing ve Zafiyet Değerlendirmesi:
- [ ] Yılda minimum 2 kez penetration testing yapılıyor mu?
- [ ] Bulunacak zafiyetler ivedilikle kapatılıyor mu?
- [ ] Bağımsız denetçi tarafından test ediliyor mu?
- [ ] Test raporları BDDK'ya sunuluyor mu?
Personel Eğitimi:
- [ ] Tüm çalışanlar yılda minimum 2 kez siber güvenlik eğitimi alıyor mu?
- [ ] Fishing (kimlik avı) testi rutin olarak yapılıyor mu?
- [ ] Güvenlik uzmanları sektör sertifikaları taşıyor mu?
Felaket Kurtarma Planı:
- [ ] Yazılı Disaster Recovery Plan (DRP) var mı?
- [ ] Yılda minimum 2 kez tam test yapılıyor mu?
- [ ] Recovery Time Objective (RTO) 4 saat ve altında mı?
- [ ] Backup sistemler farklı coğrafi konumlarda mı?
4. Risk Yönetimi Kontrol Listesi
Kredi riski, piyasa riski, operasyonel risk ve likidite riski, BDDK tarafından tanımlanan temel risk kategorileridir.
Kredi Riski Yönetimi:
- [ ] Kredi raporlama sistemi BDDK standartlarında mı?
- [ ] Temerrüt tahminleme modelleri geliştiriliyor mu?
- [ ] Loan to Value (LTV) oranları izleniyor mu?
- [ ] Sorunlu kredi (NPL) oranı %5 altında mı?
- [ ] Kolateral değerleme bağımsız denetçiler tarafından yapılıyor mu?
Piyasa Riski Yönetimi:
- [ ] Faiz oranı riski Value at Risk (VaR) ile ölçülüyor mu?
- [ ] Döviz riski pozisyonları sınırlandırılmış mı?
- [ ] Hisse senedi riski maruziyeti kontrol altında mı?
Operasyonel Risk:
- [ ] Veri kaybı ve sistem arızaları loglaniyor mu?
- [ ] Personel hataları ve sahtecilik izleniyor mu?
- [ ] Yasal ve uyum riskleri dokumente ediliyor mu?
- [ ] Dış olaylar (tedarikçi arızası vb.) değerlendirildi mi?
Likidite Riski:
- [ ] Likidite tünelleri (maturity ladder) hazırlanmakta mı?
- [ ] Stres testleri belirli aralıklarla yapılıyor mu?
- [ ] Fon akışı senaryoları analiz ediliyor mu?
5. AML/CTF Yükümlülükleri
Kara para aklama (AML) ve Terörün Finansmanı (CTF) mücadelesi, BDDK ve MASAK (Mali Suçlar Değerlendirme Merkezi) tarafından birlikte denetlenmektedir.
Müşteri Bilgi Yönetimi (KYC/AML Screening):
- [ ] Tüm müşteriler KYC kurallarına uygun şekilde tanımlanıyor mu?
- [ ] MASAK tarafından yayınlanan şüpheli listesi günlük kontrol ediliyor mu?
- [ ] Uluslararası yaptırım listeleri (OFAC, UN vb.) taranıyor mu?
- [ ] Müşteri Bilgi Sürümleri (CIF) güncelleniyor mu?
Şüpheli İşlem Raporlaması:
- [ ] Şüpheli işlemler 24 saat içinde MASAK'a rapor ediliyor mu?
- [ ] Şüpheli işlem tanımı personele açık şekilde iletiliyor mu?
- [ ] İç uyum ekibi bu işlemleri izliyor mu?
Büyük İşlem Raporlaması:
- [ ] 100 bin USD veya üzeri işlemler günlük raporlanıyor mu?
- [ ] Fiziksel para işlemleri de izleniyor mu?
Uyum Müdürü ve Uyum Ekibi:
- [ ] BDDK tarafından onaylanmış bir uyum müdürü var mı?
- [ ] Uyum müdürü bağımsız mı (riskten veya gelir kazanmaktan sorumlu değil mi)?
- [ ] Uyum ekibi yeterli kaynağa sahip mi?
6. İç Denetim ve Raporlama Kontrol Listesi
İç denetim, kurumun kendi operasyonlarını, kontrol mekanizmalarını ve risk yönetimini değerlendiren bağımsız bir fonksiyondur.
İç Denetim Yapısı:
- [ ] BDDK tarafından onaylı bir Başdenetçi var mı?
- [ ] İç denetim birimi bağımsız mı (Denetim Kurulu'na raporlar mı)?
- [ ] Denetim planı yıllık hazırlanmakta mı?
Denetim Kapsamı:
- [ ] Finansal kontroller inceleniyor mu?
- [ ] İş sürekliliği (business continuity) test ediliyor mu?
- [ ] Mevzuat uyumluluğu değerlendiriliyor mu?
- [ ] Bilgi güvenliği denetimleri yapılıyor mu?
Raporlama:
- [ ] Denetim bulguları yönetim kuruluna rapor ediliyor mu?
- [ ] Sorunlu bulguların düzeltilmesi takip ediliyor mu?
- [ ] Aylık risk raporları hazırlanıyor mu?
- [ ] Yıllık iç denetim raporu BDDK'ya sunuluyor mu?
7. Mevzuat Değişikliklerini Takip Etmek
BDDK düzenlemeleri sıkça güncellenmektedir. Kurumun bu değişikliklere kayıtsız olmadan uyum sağlaması gereklidir.
Mevzuat İzleme Sistemi:
- [ ] Resmi Gazete'de BDDK tebliğleri günlük izleniyor mu?
- [ ] BDDK web sitesinden duyurular takip ediliyor mu?
- [ ] Yeni düzenlemeler hakkında hukuk ekibine danışılıyor mu?
- [ ] Operasyonel değişiklikler hızla uygulanıyor mu?
İnsan Kaynakları Eğitimi:
- [ ] Yeni mevzuat hakkında personel eğitimi verilmiş mi?
- [ ] Sistem ve prosedürler güncellendi mi?
- [ ] Operasyonal görevliler değişiklikleri anlamış mı?
8. Uyumsuzluk Riski ve Cezalar
BDDK uyumluluğundan kaynaklanan başarısızlık, ciddi sonuçlara yol açabilir.
Yazılı Uyarı:
- Hafif ihlallerde verilir
- Belirlenen süre içinde düzeltme talep edilir
İdari Para Cezası:
- Bireysel ihlal başına 100 bin TL ile 20 milyon TL arası
- Devam eden ihlallerde günlük cezalar uygulanır
Kısıtlama ve Yasaklama:
- Belirli operasyonlar geçici süreyle durdurulabilir
- Kurucular ve yöneticiler yasaklı hale gelebilir
- Lisans belirli faaliyetlere sınırlandırılabilir
Lisans İptal:
- En ağır ceza
- Müşteri varlıklarının korunması sağlandıktan sonra
9. Tam Kontrol Listesi (Entegre)
Finansal Yeterlilik:
- [ ] Sermaye yeterliliği oranı (%8,5 minimum) sağlanıyor mu?
- [ ] Likidite kapsama oranı (%100 minimum) korunuyor mu?
- [ ] Net stabil finansman oranı (%100 minimum) izleniyor mu?
- [ ] Aktif büyümesi kontrolüne tabi mi?
- [ ] Aylık finansal tablolar zamanında hazırlanıyor mu?
Siber Güvenlik:
- [ ] ISO 27001 sertifikası mevcut mu?
- [ ] 24/7 SOC işletiliyor mu?
- [ ] Yılda minimum 2 penetration test yapılıyor mu?
- [ ] Tüm çalışanlar yıllık siber güvenlik eğitimi alıyor mu?
- [ ] Disaster recovery planı 4 saat RTO ile test ediliyor mu?
Risk Yönetimi:
- [ ] Kredi risk modelleri kurgulanmış mı?
- [ ] Piyasa riski VaR ile ölçülüyor mu?
- [ ] Operasyonel risk olayları izleniyor mu?
- [ ] Likidite stres testleri yapılıyor mu?
AML/CTF:
- [ ] KYC prosedürleri uygulanıyor mu?
- [ ] MASAK ve OFAC listeleri günlük kontrol ediliyor mu?
- [ ] Şüpheli işlemler 24 saat içinde rapor ediliyor mu?
- [ ] Uyum müdürü BDDK onaylı mı?
İç Denetim:
- [ ] Başdenetçi BDDK onaylı mı?
- [ ] Yıllık denetim planı hazırlandı mı?
- [ ] Bulguları Denetim Kurulu'na raporlanıyor mu?
- [ ] Aylık risk raporları oluşturuluyor mu?
Raporlama:
- [ ] Aylık raporlar BDDK'ya sunuluyor mu?
- [ ] Yıllık finansal tablolar denetim geçmiş mi?
- [ ] Risk raporları tam ve doğru mu?
- [ ] Acil durumlar 48 saat içinde bildirilmiş mi?
10. Regulfy ile BDDK Takibi
BDDK düzenlemelerine uyumlu kalmak, yasal değişikliklerin hızına ayak uydurmayı gerektirir. Regulfy, BDDK tebliğlerini, kararlarını ve rehberi dökümanları gerçek zamanlı takip eder ve otomatik bildirimler gönderir.
Regulfy'nin BDDK uyum platformu, kontrol listenizi otomatik olarak izlemenizi, eksik raporları tanımlamanızı ve kritik deadlineları asla kaçırmamanızı sağlar.
Sonuç: BDDK Uyumluluğu Sürekli Bir Süreç
BDDK uyumluluğu, tamamlanan bir proje değil, kurumsal bir kültürün parçasıdır. Finansal istikrar, müşteri koruması ve sistem güvenliği, devam eden bir taahhüt gerektirir.
Bu kontrol listesi, her adımda rehberlik edecek, ancak en önemlisi, uyumluluğu bir yük değil, bir rekabet avantajı olarak görmektir. İyi uyumlu kurumlar, müşteri güveni kazanır, regulatör desteği alır ve uzun vadede daha sağlıklı bir işletme modeli kurar.
Kaynaklar ve Yasal Dayanaklar
- Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) - Tebliğler ve Kararlar — BDDK tarafından yayınlanan tüm düzenleyici dökümanlar ve tebliğler
- Resmi Gazete - BDDK Tebliğleri Arşivi — Tebliğlerin yasal yayını
- Bankaların Yönetim ve Risk Yönetimi Tebliğleri — BDDK'nın risk yönetimi ve iç kontrol standartları
- Mali Suçlar Değerlendirme Merkezi (MASAK) - AML/CTF Rehberi — MASAK tarafından yayınlanan kara para aklama ve terörün finansmanı önleme rehberi
- Uluslararası Basel Komitesi - Basel III Standartları — Küresel bankacılık standartları ve sermaye yeterliliği gereksinimleri
İlgili İçerikler
- BDDK Bankacı Uyum Rehberi 2026: Yönetim, Raporlama ve Denetim — BDDK uyumluluğunun kapsamlı rehberi
- BDDK Siber Güvenlik Yönetmeliği 2026: Teknik Standartlar ve Uygulama — Siber güvenlik standartlarının detaylı analizi
- Resmi Gazete Takibi Nasıl Yapılır? 2026 Dijital Rehberi — Düzenleme değişikliklerini takip etme stratejileri
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →