Giriş
Üçüncü taraf sağlayıcılar (third-party providers), finansal hizmetlerin ayrılmaz bir parçasıdır ve firmalara dijital dönüşüm, inovasyon ve teknoloji altyapısı dayanıklılığını artırma konusunda yardımcı olur. Birleşik Krallık düzenleyici otoriteleri olan İngiltere Merkez Bankası (Bank of England), İhtiyatlı Düzenleme Kurumu (Prudential Regulation Authority) ve Finansal Davranışlar Otoritesi (Financial Conduct Authority) uzun zamandır firmaların bu sağlayıcılara olan bağımlılığının farkındadır. 2018 yılındaki ‘TSB Bank’ olayı gibi önemli Bilgi Teknolojisi arızalarından sonra, bu yetkililer üçüncü tarafların oluşturduğu sistemik riskler ve bu tür kesintileri önlemek için hangi gözetim önlemlerinin uygulanabileceği konusunda soruşturma başlatmıştır. Bu, yakın zamanda yürürlüğe giren 2023 tarihli Finansal Hizmetler ve Piyasalar Yasası (Financial Services and Markets Act[1]) kapsamında, İngiltere Merkez Bankası, İhtiyatlı Düzenleme Kurumu ve Finansal Davranışlar Otoritesi olsun, ilgili düzenleyici otoritenin kritik üçüncü taraflar üzerinde doğrudan denetimiyle sonuçlanmış ve söz konusu yasa 29 Haziran 2023 tarihinde kraliyet onayı almıştır.
Finansal Hizmetler ve Piyasalar Yasası; sürdürülebilirlik kamuyu aydınlatma yükümlülükleri ve Şikâyet Komiseri ataması (sustainability disclosure requirements and the appointment of the Complaints Commissioner) gibi finansal düzenlemelere kapsamlı değişiklikler getirmekte olup, kritik üçüncü tarafların belirlenmesi, bu yasanın tamamen yeni bir taraf kategorisini (Kraliyet Hazinesi tarafından üçüncü taraflara hizmet sağlarken kritik olarak kabul edilenler) düzenleme yetkisi verme açısından en önemli parçalarından biridir.
İhtiyatlı Düzenleme Kurumu ve Finansal Davranışlar Otoritesi tarafından yayınlanan ortak bir tartışma belgesi olan “Operasyonel dayanıklılık: Birleşik Krallık finans sektörü için kritik üçüncü taraflar” (Operational resilience: Critical third parties to the UK financial sector[2]) başlıklı raporda, bir kritik üçüncü tarafın belirlenmesinde dikkate alınabilecek önemlilik ve yoğunlaşma/konsantrasyon testlerinin (materiality and concentration tests) yanı sıra olası bir etki testi (a potential impact test) tartışılmaktadır.
Bu yazıda, Birleşik Krallık kritik üçüncü taraf rejiminin, özellikle de belirlenmiş kritik üçüncü tarafların sağladığı hizmetlerin finansal hizmetler sektörüne özgü olmayabileceği göz önünde bulundurulduğunda, kritik üçüncü tarafları doğrudan düzenleme veya denetleme amacına uygun olup olmadığı veya düzenleyici yetki aşımı olup olmadığı incelenmektedir.
- Birleşik Krallık’ın Kritik Üçüncü Taraf Rejimi Amaca Uygun mudur?
Çeşitli raporlar ve istişarelerin ardından, Hazine ve düzenleyici otoriteler 2022 yılında kritik üçüncü tarafların düzenlenmesi ile ilgili tasarılar yayınlamıştır. Kritik üçüncü tarafları düzenlemenin gerekçesi, Amazon Web Services (AWS) ve Google Cloud dâhil olmak üzere sınırlı sayıda büyük bulut sağlayıcısına güvenmekten kaynaklanan finansal istikrarsızlığı, piyasa güvenini ve tüketici zararını azaltmak etrafında yoğunlaşmıştır.
1.1. Kritik üçüncü taraflarla çalışmanın riskleri
Gözetim otoriteleri, kritik üçüncü taraflar ile bağlantılı üç ana risk belirlemiştir. Bunlardan birincisi, özellikle şirketlerin yüzde 65’i dört bulut sağlayıcısına güvendiğinde olası sistemsel kesintilerden kaynaklanan finansal istikrarsızlıktır. İkincisi, bu tür kesintiler meydana gelirse piyasa güvenine gelebilecek potansiyel zarardır. Son olarak, kritik üçüncü taraf hizmetlerindeki sık kesintiler önemli tüketici zararlarına yol açabilir.
‘Kesinti’ kavramının geniş yorumu, kapsamını firmaların bağımlı olduğu temel hizmetleri kapsayacak şekilde genişleterek herhangi bir hizmet kesintisini kapsar. Google Cloud veya AWS gibi sağlayıcılardaki kesintiler, yalnızca solo firmaları değil aynı zamanda daha geniş ekonomiyi de etkileyerek Birleşik Krallık’ın finansal istikrarını tehdit edebilir.
1.2. Finansal Hizmetler ve Piyasalar Yasası kapsamındaki yasal çerçeve
Finansal Hizmetler ve Piyasalar Yasası, kritik üçüncü tarafların oluşturduğu sistemsel riskleri hedefleyen yasal bir çerçeve sunar. Önlemleri arasında kritik üçüncü tarafları belirlemek ve kesintiyi en aza indirmek için dayanıklılık standartlarını uygulamak yer alır.
1.2.1. Kritik üçüncü tarafların belirlenmesi (designation of third-party providers)
Mart 2024’te, Hazine, Kritik Üçüncü Taraflar: Belirlemeye ilişkin Yaklaşım (Critical Third Parties: Approach to Designation[3]) başlıklı bir belge yayınladı ve finansal düzenleyici otoritelerden tavsiyeler alma beklentisiyle başlayıp, olası kritik üçüncü taraf için resmi beyanların alınmasıyla devam eden bir belirleme süreci belirledi. Hazine’nin kanıtları ve beyanları değerlendirmesi, ardından nihai bir belirleme kararı vermesi ve karar belirleme olduğunda Belirleme Yönetmeliklerini hazırlaması ve yayınlamasıyla sonuçlandı.
Kritik üçüncü taraflar finansal istikrar üzerindeki potansiyel sistemsel etkilerine göre belirlenecektir. Bu süreç iki değerlendirmeyi içerir: hizmetlerin ne kadar kritik olduğunu değerlendiren önemlilik ve sağlayıcının hizmet verdiği firma sayısını göz önünde bulunduran konsantrasyon. Tartışmanın önemli bir noktası, aynı hizmetleri sunan sağlayıcıların müşteri tabanlarına göre farklı muamele görebileceği ve bunun da adalet ve anayasaya uygunluk sorularını gündeme getirebileceğidir. Bir kez kritik üçüncü taraflar olarak sınıflandırıldığında, sağlayıcı finansal düzenleyici otoriteler tarafından doğrudan düzenlemeye tabi olur. Bu önemli bir değişimdir, çünkü birçok kritik üçüncü tarafın geleneksel finansal firmaların aksine finansal düzenleyici otoriteler ile daha önce hiç deneyimi yoktur ve bu da uyumu zorlaştırır.
1.2.2. Dayanıklılık standartları ve testleri (resilience standards and testing)
Kritik üçüncü tarafların dayanıklılık standartlarına uymaları ve düzenli dayanıklılık testleri yapmaları gerekecektir. Bu, sağladıkları hizmetleri haritalamayı, riskleri belirlemeyi, iletişim planlarını uygulamayı ve süreklilik oyun planları geliştirmeyi içerir. Ayrıca, düzenleyici otoriteler için raporlar üreterek bağımsız soruşturmalar ve denetimlerden geçmeleri gerekir.
Genel amaç, finansal sisteme yönelik sistemsel riskleri azaltmaktır, ancak önerilen standartların bunu nasıl başaracağı belirsizliğini korumaktadır. Gözetim otoritelerine bilgi edinme, eylemde bulunma veya hatta kritik üçüncü tarafların hizmet vermesini yasaklama konusunda verilen geniş yetkiler orantısız görünmektedir ve gereksiz gecikmelere ve kesintilere yol açabilir.
Ayrıca, şirketler hâlâ üçüncü taraflara ilişkin gerekli özeni göstermeli ve operasyonel dayanıklılık çerçevesi gibi mevcut çerçeveler uyarınca gerekli olduğu üzere iş sürekliliği planlarını sürdürmelidir. Bu, özellikle şirketlerin hâlihazırda benzer koşulları varsa, kritik üçüncü tarafların doğrudan düzenlenmesinin gereksiz gözetim getirip getirmediği konusunda soruları gündeme getirir.
1.2.3. Bilgi toplama ve soruşturmalar; yönlendirme ve kınama gücü (information-gathering and investigations; power of direction and censure)
Kritik üçüncü taraf, düzenleyici otoritenin hedeflerine ulaşmak için gerekli veya uygun göründüğü takdirde herhangi bir şeyi yapması veya yapmaktan kaçınması yönündeki talimat yetkisine ve ayrıca bilgi toplama ve soruşturma yetkilerine tabi olacaktır. Bilgi toplama yetkilerinin kapsamı ayrıca bir kritik üçüncü taraf ile bağlantılı bir kişiye de uzanır. Uygulama yetkileri açısından düzenleyici otorite, kritik üçüncü tarafı finansal piyasa altyapı kuruluşlarına (financial market infrastructure entities) hizmet sağlarken belirli koşullara veya sınırlamalara tabi tutmaktan veya hizmet sağlamalarını tamamen yasaklamaya kadar uzanan disiplin önlemlerini kınayabilir veya uygulayabilir.
- Firmalar ve Kritik Üçüncü Taraflar Üzerindeki Finansal Düzenlemenin Mantığı
Finansal istikrarsızlık ve tüketici koruması, bankacılık düzenlemeleri için yaygın gerekçelerdir. Ancak, bunları kritik üçüncü taraflara uygulamak kolay değildir.
2.1. Düzenlemenin gerekçesi olarak finansal istikrarsızlık (financial instability as a justification for regulation)
Finansal düzenleyici otoriteler, kritik üçüncü tarafları düzenlemenin finansal istikrarı korumak için elzem olduğunu savunuyor ve bankacılık düzenlemesinin ardındaki prensipleri yansıtıyor. Ancak, kritik üçüncü taraf hizmetlerindeki kesintilerin geleneksel bankacılık krizlerinde görülen türden sistemsel arızaları tetikleyeceği iddiasını destekleyecek çok az kanıt vardır. Şirketlerin zaten iş sürekliliği ve operasyonel dayanıklılık önlemlerini sürdürmeleri gerektiği düşünüldüğünde, doğrudan kritik üçüncü taraf düzenlemesinin gerekliliği hâlâ tartışmalıdır.
Bankacılık düzenlemesi, ekonomik çöküşe yol açabilecek piyasa başarısızlıklarını önlemek için tasarlanmıştır. Buna karşılık, kritik üçüncü taraf hizmetlerinin kesintiye uğraması, elverişsiz olsa da, aynı düzeyde ekonomik zarara yol açması olası değildir. Mevcut operasyonel dayanıklılık çerçevesi, kritik üçüncü taraf kesintilerinin oluşturduğu risklerin çoğunu zaten ele almakta ve bu da ek düzenlemeleri aşırı göstermektedir.
2.2. Bilgi asimetrisi ve ahlaki tehlike (information asymmetry and moral hazard)
Hazine, kritik üçüncü tarafları düzenlemeyi, firmalar ve üçüncü taraflar arasındaki bilgi asimetrisine atıfta bulunarak haklı çıkarıyor ki; bu, firmaların operasyonel dayanıklılığı sağlamasını engelleyebilir. Dış kaynak kullanma ilişkilerinin bilgi boşlukları yaratabileceği doğru olsa da, bu sorun sözleşmesel düzenlemeler, gerekli özen ve operasyonel dayanıklılık çerçevesi aracılığıyla zaten ele alınmıştır.
Finansal düzenleme ile kritik üçüncü taraf düzenlemesi arasındaki analoji hatalıdır. Kritik üçüncü taraflar finansal aracı kuruluşlar değildir ve finansal sistemi tehlikeye atabilecek riskli davranışlarda bulunmazlar. Önerilen ilave düzenleyici yükler kritik üçüncü tarafları piyasadan çıkarabilir, rekabeti ve inovasyonu azaltabilir.
- Kritik Üçüncü Taraflara Alternatif Bir Düzenleyici Yaklaşım
Daha etkili bir düzenleyici yaklaşım, Basel Bankacılık Denetim Komitesi tarafından önerildiği gibi kritik üçüncü taraf düzenlemesi için küresel bir çerçeve benimsemeyi içerebilir. Kritik üçüncü taraf hizmetlerinin ölçeği ve karmaşıklığı göz önüne alındığında, operasyonel dayanıklılık, iş sürekliliği ve risk yönetimini vurgulayan ilkelere dayalı, esnek bir yaklaşım daha uygun olacaktır.
Öncelikle, İhtiyatlı Düzenleme Kurumu’nun makro ihtiyati risklerde öncülük etmesi ve Finansal Davranışlar Otoritesi’nin mikro ihtiyati riskleri denetlemesi ile farklı düzenleyici otoritelerin rolleri arasında net bir ayrım yapılmalıdır. Bu, düzenleyici denetimi kolaylaştıracak ve kritik üçüncü tarafların piyasadan çıkma riskini azaltacaktır.
İkinci olarak, küresel bir düzenleyici yaklaşım kritik üçüncü taraf hizmetlerinin uluslararası doğasını daha iyi ele alacaktır. AWS ve Google gibi bulut sağlayıcıları küresel olarak faaliyet göstermekte olup farklı ulusal düzenlemelere uymaları onları belirli pazarlardan çekilmeye yönlendirebilir. Birleşik Krallık, Basel Komitesi gibi kurumlar altında uluslararası düzenlemeleri koordine ederek, rekabeti veya yeniliği engellemeden finansal sisteminin dayanıklı kalmasını sağlayabilir.
Sonuç
Finansal Hizmetler ve Piyasalar Yasası’ndaki kritik üçüncü taraf rejimi sistemsel riskleri azaltmayı amaçlar ancak üçüncü taraf sağlayıcılar üzerinde gereksiz düzenleyici yükler getirir. Operasyonel dayanıklılık çerçevesi gibi mevcut çerçeveler, düzenleyici otoriteler tarafından dile getirilen endişelerin çoğunu zaten ele almaktadır. Daha esnek, küresel olarak koordineli bir yaklaşım, finansal istikrarı piyasa inovasyonu ve rekabetle daha iyi dengeleyebilir.
[1] <https://www.legislation.gov.uk/ukpga/2023/29/contents>
[2] <https://www.bankofengland.co.uk/prudential-regulation/publication/2022/july/operational-resilience-critical-third-parties-uk-financial-sector>
[3] <https://assets.publishing.service.gov.uk/media/65fbf692703c42001a58f10d/HM_Treasury_Approach_to_Designating_Critical_Third_Parties_2024.pdf>
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.