step@stepveriguvenligi.com 0 (539) 701 38 61 Ataşehir / İstanbul
Step Veri Güvenliği
Regülasyon ve Bilgi Güvenliği Danışmanlığı
Ana Sayfa SPK Tebliği Hizmetlerimiz Referanslarımız İletişim
SPK’ya bağlı değerleme kuruluşları için

SPK Tebliği Uyumunu Anlaşılır, Pratik ve Denetime Hazır Hale Getiriyoruz

Gayrimenkul değerleme şirketleri için zorunlu yükümlülükleri sadece “ne yapmak gerekiyor?” düzeyinde bırakmıyor; yönetim, dokümantasyon, raporlama ve sorumluluk düzeni olan uygulanabilir bir yapıya dönüştürüyoruz.

Değerleme sektörü deneyimi Regülasyon uyum odağı Denetim hazırlık yaklaşımı
GAP Analizi Muafiyet Haritalama Denetim Hazırlık Paketi

Uyum Kontrol Merkezi

Tebliğin zorunlu başlıklarını, kuruma özel görev, belge ve raporlama düzenine çeviren çalışma modeli.

Kapsam Netliği
Şirketiniz için hangi başlıkların zorunlu, hangilerinin ikincil olduğunu netleştirir.
Belge ve Politika Seti
Politika, prosedür, risk değerlendirme ve yönetim raporu gibi temel çıktıları oluşturur.
BG Sorumlusu Modeli
Bilgi Güvenliği Sorumlusu rolünün iç kaynak mı dış kaynak mı yürütüleceğini tanımlar.
Denetim Hazırlık Düzeni
Sorulabilecek başlıklar için kayıt, açıklama ve sunum düzeninin kurulmasına yardımcı olur.
  • Yönetim kurulu seviyesinde sorumluluk yapısı
  • Yıllık risk analizi ve temel kontrol çerçevesi
  • Olay yönetimi ve iş sürekliliği hazırlığı
Önemli not

Tebliğ çoğu zaman teknik ürün ihtiyacı gibi algılanıyor. Oysa asıl konu kurum içi yönetim ve denetim düzenidir.

Bu çalışma bir ürün satın alma projesi değildir.
Öncelik, kurumun zorunlu yükümlülüklerini doğru yorumlamaktır.

Antivirüs veya firewall tek başına uyum sağlamaz.
Denetimde belge, süreç, görev ve raporlama düzeni sorgulanır.

Asıl ihtiyaç: yönetim yapısı, BG sorumlusu modeli, risk değerlendirme ve temel politika/prosedür setidir.

Zorunlu başlıklar

Temel yükümlülükler

  • Bilgi sistemleri yönetişim çerçevesi
  • Bilgi güvenliği sorumlusu
  • Risk değerlendirme ve risk yönetimi
  • Politika ve prosedür seti
  • Olay yönetimi ve iş sürekliliği
  • Yönetim kurulu bilgilendirme ve raporlama
Neden Step?

Regülasyon odaklı yaklaşım

  • Değerleme şirketleri ile geçmiş proje deneyimi
  • TDUB ve değerleme sektörü dinamiklerine aşinalık
  • KVKK, bilgi güvenliği ve regülasyon uyumu tecrübesi
  • Denetimde talep edilecek belge ve raporlama yapısına odaklı model
Yaklaşım sınırı

Bu çalışma “hacklenmeyelim diye birkaç ürün alalım” işi değildir

Değerleme şirketlerinde bu konu çoğu zaman antivirüs, şifre veya cihaz güvenliği düzeyinde düşünülüyor. Oysa asıl ihtiyaç; sorumlulukların tanımlanması, risklerin değerlendirilmesi, gerekli belgelerin hazırlanması ve denetime açıklanabilir bir düzen kurulmasıdır.

Öncelik antivirüs, firewall veya lisans almak değildir.
Önce gerçekten hangi yükümlülüklerin sizde devam ettiğini netleştiririz.

Bu çalışma ISO belgesi alma paketi değildir.
Ama denetime hazır bir düzen kurmak için gerekli temel yapıları oluşturur.

Teknik yatırım kararı en başta verilmez.
Önce muafiyetler, zorunlu başlıklar, BG sorumlusu modeli ve belge ihtiyacı belirlenir.

Hizmet modelleri

İki seviyeli yaklaşım

Her iki modelde de amaç Tebliğin zorunlu başlıklarını karşılamaktır. Fark; çalışmanın derinliği, kuruma uyarlama seviyesi ve sürdürülebilirlik kapsamındadır.

Uyum başlangıç paketi

Zorunlu temel yapıyı kurmak isteyen firmalar için

Bu modelde şirketin temel yükümlülükleri görünür hale getirilir, başlangıç için gerekli ana belge ve değerlendirme çıktıları hazırlanır.

  • Madde bazlı durum tespiti: Şirketiniz için devam eden yükümlülüklerin belirlenmesi
  • Temel belge seti: Politika, prosedür ve yönetim bilgilendirme notu
  • Özet risk değerlendirme: Temel risklerin görünür hale getirilmesi
  • Başlangıç seviyesinde varlık / konu görünürlüğü: Kritik alanların çerçeve düzeyinde ele alınması
  • Yönetim kurulu bilgilendirme notu: Karar verici seviyede özet çıktı
  • Minimum uyum çerçevesi: “Nereden başlayalım?” sorusuna net cevap
Bu pakette teslim alacağınız ana çıktılar:
GAP özeti, temel belge seti, özet risk değerlendirme, yönetim kurulu bilgilendirme notu

Bu model, önce zorunlu başlıkları tamamlamak ve temel eksikleri kontrollü biçimde kapatmak isteyen firmalar için uygundur.

Tam uyum ve sürdürülebilir model

Denetimde açıklanabilir ve sürdürülebilir yapı isteyen firmalar için

Bu modelde yalnızca başlangıç seviyesi değil, şirketin yapısına uyarlanmış, izlenebilir ve sürdürülebilir bir uyum düzeni kurulması hedeflenir.

  • Detaylı GAP analizi: Eksikler, öncelikler ve aksiyon planı
  • Kuruma uyarlanmış belge seti: Hazır metin değil, şirkete özel uyarlama
  • Detaylı risk envanteri: Risklerin sınıflandırılması ve görünür hale getirilmesi
  • Kontrol matrisi: Hangi risk için hangi kontrolün çalışacağı yapının kurulması
  • BG sorumlusu modeli: İç / dış kaynak rol kurgusu ve görev çerçevesi
  • Periyodik izleme ve raporlama: Kurulan yapının yaşatılması
  • Denetim hazırlık desteği: “Sorulursa ne göstereceğiz?” düzeni
Başlangıç paketine ek olarak bu modelde:
detaylı risk envanteri, kontrol matrisi, kuruma özel belge uyarlaması, BG sorumlusu modeli ve periyodik izleme yer alır

Bu model, sadece başlangıç yapmak değil; yönetim, risk ve raporlama tarafını sürdürülebilir hale getirmek isteyen firmalar için uygundur.

Teslimatlar

Kuruma teslim edilecek temel çıktılar

GAP analizi raporu
Politika ve prosedür seti
Risk değerlendirme raporu
Yönetim kurulu bilgilendirme notu
BG sorumlusu rol ve hizmet planı
Denetim hazırlık kontrol listesi

Paketlere göre çıktı karşılaştırması

Tüm çıktılar her iki modelde de sunulur. Fark; detay, kuruma uyarlama ve uygulama seviyesindedir.

Çıktı Başlangıç Paketi Tam Uyum Modeli
GAP analizi Özet durum tespiti Detaylı analiz + aksiyon planı
Politika ve prosedür Temel doküman seti Kuruma özel uyarlanmış yapı
Risk değerlendirme Basitleştirilmiş risk bakışı Risk envanteri + kontrol matrisi
Yönetim kurulu raporu Özet bilgilendirme Karar destek odaklı yapı
BG sorumlusu modeli Rol çerçevesi İç / dış kaynaklı görev modeli
Denetim hazırlık Kontrol listesi Denetim senaryosu + sunum yapısı
Hangi model size daha uygun? Konuyu sadece zorunlu başlıklar düzeyinde mi ele almak istiyorsunuz, yoksa denetimde açıklanabilir ve sürdürülebilir bir yapı mı kurmak istiyorsunuz?
10 dakikalık kısa görüşme ile netleştirelim
Süreç

4 aşamalı uyum dönüşümü

1. Keşif: Mevcut yapı, hedefler ve kapsamın alınması
Bu aşamada kurumun mevcut çalışma biçimi, kullanılan sistemler, dış hizmet bağımlılıkları, karar verici beklentileri ve öncelikli risk alanları değerlendirilir. Amaç, “bizde gerçekten ne var ve ne eksik?” sorusunu netleştirmektir.
Tebliğ maddeleri kurum yapısına göre değerlendirilir; muaf olan, basitleştirilmiş uygulanacak ve zorunlu devam eden alanlar ayrıştırılır. Aynı zamanda bilgi sistemleri riskleri ve temel kontrol ihtiyacı görünür hale getirilir.
Politika ve prosedürler hazırlanır, risk değerlendirme ve kontrol çerçevesi oluşturulur, BG sorumlusu rolü ve raporlama düzeni netleştirilir. Yönetim kuruluna sunulabilecek açıklıkta belge ve görev yapısı kurulur.
Kurulan yapı yalnızca ilk kurulumla bırakılmaz; risk gözden geçirme, raporlama, belge güncelleme, olay takibi ve denetim öncesi hazırlık perspektifiyle yaşatılır. Dış kaynak BG sorumlusu modeli de bu aşamada devreye alınabilir.
Bilgilendirme merkezi

Doküman ve webinar bilgileri

Tebliğ Kısa Özeti

Gayrimenkul değerleme şirketleri için temel yükümlülükleri kısa ve anlaşılır biçimde özetleyen bilgilendirme notu.

Özet Talep Et

Doğru Bilinen Yanlışlar

Sahada en sık karıştırılan başlıkları sade şekilde açıklayan kısa bilgilendirme içeriği.

Bilgi Al

Webinar Kaydı

SPK VII-128.10 Tebliği kapsamındaki gerçek yükümlülükleri 20 dakikalık özet anlatım ile dinleyin.

Webinar Kaydı Oluştur
Referanslar

Değerleme sektörü deneyimi

Türkiye Değerleme Uzmanları Birliği (TDUB)
Türkiye Değerleme Uzmanları Birliği (TDUB)
KVKK regülasyon uyum
24 Taşınmaz Değerleme ve Danışmanlık A.Ş.
24 Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
A Gayrimenkul Değerleme A.Ş.
A Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Ada Taşınmaz Değerleme Danışmanlık A.Ş.
Ada Taşınmaz Değerleme Danışmanlık A.Ş.
KVKK regülasyon uyum
Aden Gayr. Değ. ve Danışmanlık A.Ş.
Aden Gayr. Değ. ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Adil Taşınmaz Değerleme ve Danışmanlık A.Ş.
Adil Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Alesta Kurumsal Gayr. Değ. ve Dan. A.Ş.
Alesta Kurumsal Gayr. Değ. ve Dan. A.Ş.
KVKK regülasyon uyum
Arı Değerleme A.Ş.
Arı Değerleme A.Ş.
KVKK regülasyon uyum
Arma Taşınmaz Değerleme ve Danışmanlık A.Ş.
Arma Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Atak Gayrimenkul Değerleme A.Ş.
Atak Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Bilge Gayr. Değ. ve Danışmanlık A.Ş.
Bilge Gayr. Değ. ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Bilgi Gayrimenkul Değerleme A.Ş.
Bilgi Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Detay Taşınmaz Gayrimenkul Değerleme A.Ş.
Detay Taşınmaz Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Dora Gayrimenkul Değerleme A.Ş.
Dora Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Eva Gayrimenkul Değerleme Danışmanlık A.Ş.
Eva Gayrimenkul Değerleme Danışmanlık A.Ş.
KVKK regülasyon uyum
Galata Taşınmaz Değerleme ve Danışmanlık Hizmetleri A.Ş.
Galata Taşınmaz Değerleme ve Danışmanlık Hizmetleri A.Ş.
KVKK regülasyon uyum
İnvest Gayr. Değ.ve Danışmanlık A.Ş.
İnvest Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Kent Değerleme A.Ş.
Kent Değerleme A.Ş.
KVKK regülasyon uyum
Limit Değerleme A.Ş.
Limit Değerleme A.Ş.
KVKK regülasyon uyum
Makro Gayrimenkul Değerleme A.Ş.
Makro Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Metropol Gayr. Değ.ve Danışmanlık A.Ş.
Metropol Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Nova Taşınmaz Değerleme ve Danışmanlık A.Ş.
Nova Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Öztürk Gayrimenkul Değerleme A.Ş.
Öztürk Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Prim E Gayr. Değ.ve Danışmanlık A.Ş.
Prim E Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Som Kurumsal Gayr. Değ.ve Dan.Hiz.Tic. A.Ş.
Som Kurumsal Gayr. Değ.ve Dan.Hiz.Tic. A.Ş.
KVKK regülasyon uyum
Talya Gayr. Değ.ve Danışmanlık A.Ş.
Talya Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Teknik Gayrimenkul Değerleme A.Ş.
Teknik Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Varlık Taşınmaz Değerleme ve Danışmanlık A.Ş.
Varlık Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Vera Gayrimenkul Değerleme ve Danışmanlık A.Ş.
Vera Gayrimenkul Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Zirve Gayrimenkul Değerleme A.Ş.
Zirve Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Sık sorulan sorular

En çok sorulan konular

Değerleme şirketlerinden en sık gelen soruları sade ve doğrudan cevaplarla derledik.

Değerleme şirketleri bu Tebliğe ne zamana kadar uyum sağlamalıydı?
Değerleme şirketleri açısından, muaf olunmayan hükümler için esas hedef tarih 31.12.2025 olarak değerlendirilmelidir. Tebliğde 31.12.2026’ya uzayan süre, genel olarak 29. maddenin 3. fıkrası için yazılmıştır. Ancak değerleme kuruluşları zaten 29. maddeden muaf tutulduğu için bu tarih sizin açınızdan ayrı bir genel ek süre anlamına gelmez.
Hayır. Muafiyetler daha çok bazı ileri teknik detayları ve büyük ölçekli kurumlara özgü bazı hükümleri daraltır. Buna rağmen bilgi sistemleri yönetişimi, yönetim sorumluluğu, risk yönetimi, politika ve prosedürler, iş sürekliliği, olay yönetimi ve BG sorumlusu gibi temel başlıklar devam eder.
Evet. Şirket içinde uygun kişi varsa BG sorumlusu içeriden görevlendirilebilir. Ancak bu kişinin sadece isim olarak belirlenmesi yeterli değildir. Rolü gerçekten üstlenebilecek zaman, yetki, farkındalık ve raporlama kabiliyeti olmalıdır.
Belirli bir sertifika adı zorunlu tutulmuyor gibi okunmamalıdır; esas olan kişinin rolü taşıyabilecek yeterli teknik bilgiye ve ilgili alanlardan birinde en az 5 yıl tecrübeye sahip olmasıdır. Ayrıca kişinin üst yönetime raporlayabilecek, risk ve kontrol bakışı taşıyabilecek düzeyde olması gerekir. Sadece teknik destek veriyor olmak bu rol için tek başına yeterli sayılmamalıdır.
Evet. Değerleme kuruluşları için bu görevin dışarıdan hizmet alımı yoluyla, grup şirketleri arası hizmet sözleşmesiyle, ortak istihdam veya yarı zamanlı modellerle yürütülmesi mümkündür. Önemli olan, rolün gerçekten tanımlanmış ve sorumlulukları üstlenecek şekilde yapılandırılmış olmasıdır.
Olabilir ya da olmayabilir; bu tamamen o firmanın rolü nasıl üstlendiğine bağlıdır. Sadece antivirüs kurmaları, firewall yönetmeleri veya uzaktan destek vermeleri tek başına yeterli sayılmaz. BG sorumlusu rolü; yönetişim, risk yönetimi, raporlama, olay yönetimi ve sorumluluk takibi boyutlarını da kapsamalıdır.
Tek başına “bilgi işlemci olmak” yeterli olmayabilir. Eğer kişi hem teknik tarafı hem de süreç, kontrol, raporlama ve yönetişim tarafını yürütebilecek kapasitedeyse rol verilebilir. Ancak Tebliğde BG sorumlusunun bilgi sistemleri yönetimine ilişkin icrai görevlerle çakışmaması ve üst yönetime bağlı çalışması beklendiği için rol ayrımı dikkatle kurulmalıdır.
Her zaman değil. Değerleme şirketlerinde asıl ihtiyaç çoğu zaman teknik ürün yatırımı değil; kapsamın netleştirilmesi, belge setinin hazırlanması, risk değerlendirme yapılması ve görevlerin tanımlanmasıdır. Teknik yatırım ihtiyacı varsa bu, ancak mevcut durum görüldükten sonra anlamlı şekilde belirlenir.
Evet, büyük ihtimalle yine kapsamdasınız. Çünkü konu yalnızca cihaz sahipliği değil; bilgiye erişim, süreçteki rol, veri güvenliği ve dış hizmet ilişkilerinin yönetimidir. Dış kaynak kullanımının olması, sorumluluğun ortadan kalktığı anlamına gelmez; tam tersine kontrol ve gözetim ihtiyacını artırır.
Büyük ihtimalle evet. Bilgi toplumu hizmetleri ile ilgili yükümlülükler ile SPK Tebliği kapsamındaki bilgi sistemleri yönetişimi aynı şey değildir. Bu nedenle bir firmadan o kapsamda hizmet alıyor olmanız, tebliğe ilişkin rol, belge, risk ve raporlama düzeninin ayrıca ele alınması ihtiyacını ortadan kaldırmaz.
Evet, en azından basitleştirilmiş düzeyde gerekir. Değerleme şirketleri için bazı detay envanter hükümleri daraltılmış olsa da bilgi varlıklarının, kritik sistemlerin ve temel süreçlerin görünür hale getirilmesi; risk değerlendirme, iş sürekliliği ve sorumluluk yapısı açısından hâlâ önemlidir.
Evet. Muafiyetler bazı ileri teknik fıkraları daraltıyor olsa da risk yönetiminin çekirdek hükümleri devam eder. Bilgi sistemleri risklerinin belirlenmesi, değerlendirilmesi, kayıt altına alınması ve üst yönetime uygun şekilde sunulması değerleme şirketleri için de temel yükümlülükler arasındadır.
Tebliğin 29. maddesi değerleme kuruluşları için muafiyet listesinde yer almaktadır. Bu nedenle 29. madde kapsamındaki iç denetim yükümlülükleri sizin için uygulanması zorunlu başlıklar arasında değildir. Ancak bu durum, yönetişim, risk, belge ve BG sorumlusu tarafındaki temel yükümlülükleri ortadan kaldırmaz.
En çok zorlanılan alanlar genelde şunlardır: yükümlülüklerin yanlış yorumlanması, BG sorumlusu rolünün sadece isim olarak bırakılması, belge setinin eksik veya genel kalması, risk değerlendirme ve olay yönetimi tarafının görünür olmaması, dış hizmet sağlayıcıların kontrol çerçevesinin net kurulmaması ve yönetim kuruluna sunulabilir raporlama düzeninin oluşmaması.
Sizin durumunuz bunlardan biraz farklı olabilir. Kısa bir görüşmede şirketinizin mevcut yapısını değerlendirip hangi başlıkların gerçekten sizde devam ettiğini netleştirebiliriz.
Şirketiniz için kısa değerlendirme yapalım
İletişim

Kurumunuza özel kapsamı birlikte netleştirelim

15 dakikalık kısa bir görüşmede, şirketiniz için minimum uyum ile sürdürülebilir model arasındaki farkı netleştirelim.

Hemen Arayın: 0 (539) 701 38 61
E-posta Gönderin