Deutsche Securities DEUTSCHE SECURITIES MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ YÖNETİMİ İLE ACİL VE BEKLENMEDİK DURUM PLANI Şirket Yönetim Kurulu tarafından onaylanmıştır. Tarih : 13 / 10 /2014 Deutsche Securities 1- AMAÇ İş Sürekliliği Yönetimi ve Acil ve Beklenmedik Durum Planı Amacı İş sürekliliği yönetimi, iş riskini hafifletmek ve en üst seviyede her riske karşı hazırlıklı olmayı sağlamak amacıyla operasyon esnekliğini geliştirmeyi amaçlamaktadır. Bu da, Acil Durum ve Kriz Yönetiminin planlanması, sistematik olarak test edilmesi ve sürekli geliştirilmesi hususlarını içeren bir İş Sürekliliği Programının uygulanması yoluyla ileriye dönük olarak yönetilir. İş Sürekliliği Yönetiminin amacı şunlardır:  Kişileri korumak  Deutsche Securities'in işini korumak  Riski hafifletmek  Düzenleyici kurum gerekliliklerini yerine getirmek  Gelirleri korumak  Finansal piyasalardaki istikrarı ve müşterinin güvenini korumak İş Sürekliliği Yönetiminin kalbinde, sadece acil bir durum sonrasında derhal toparlanma değil aynı zamanda işi, olabilecek en yüksek operasyonel seviyede devam ettirme zorunluluğu bulunmaktadır. Acil ve beklenmedik durum planının amacı , Deutsche Securities Menkul Değerler A.Ş'nin acil ve beklenmedik durumlarda düzenleyici kurumlara, personeline ,müşterilerine, diğer kurumlara, piyasa katılımcılarına ve üçüncü taraflara karşı olan yükümlülüklerini yerine getirme koşullarını, yöntemlerini, prosedürlerini belirlemektir. Kritik süreçlerin Acil ve Beklenmedik Durum kapsamına giren bir nedenle kesintiye uğraması durumunda, Deutsche Securities Menkul Değerler A.Ş'nin hizmetlerinin en kısa sürede devamının sağlanması ve veri kayıplarının en düşük seviyede tutulabilmesi için gerekli organizasyon,işlem ve prosedürlerin tanımlanmasıdır. Acil ve Beklenmedik Durum Planı ayrıca, Acil ve Beklenmedik Durum Planı’nı yürürlüğe koymaktan sorumlu çalışanların rol ve sorumluluklarını tanımlar. İş Sürekliliği Yönetimi ve Acil ve Beklenmedik Durum Planı , Sermaye Piyasası Kurulu'nun Seri:V No:68 / Seri:V No:104 sayılı "Aracı Kurumlarda Uygulanacak İçdenetim Sistemine İlişkin Tebliğ" ile III-39.1 sayılı "Yatırım Kuruluşlarının Kuruluş ve Faaliyet Esasları Hakkında Tebliğ" hükümleri çerçevesinde düzenlenmiştir. 2- ACİL VE BEKLENMEDİK DURUM TANIMI Şirketin olağan çalışmasını uzun bir süre kesintiye uğratacak ve/veya hizmet sunmasını engelleyecek acil ve beklenmedik durumlar aşağıdaki gibi tanımlanmıştır; • Doğal Afetler (Deprem, Yangın, Fırtına, Sel, vb.) • Terörist Saldırılar, Savaş , Halk ayaklanması gibi durumlar • Faaliyetlerin sürdürüldüğü binada meydana gelen beklenmedik durumlar (Deprem,Yangın,Fırtına Sel vb.) •Şirket merkezinde bilgi işlem sisteminin çalışamaz hale gelmesi veya Şirket sistemine izinsiz zarar verme amaçlı dış saldırılar gerçekleşmesi Sermaye Piyasası Kurulu düzenlemeleri çerçevesinde ; Aracı Kurumlar müşterilerine acil ve beklenmedik durumlarda iş sürekliliğinin nasıl sağlanacağı ve buna ilişkin iş akış prosedürleri hakkında bilgi vermekle yükümlüdürler. Söz konusu bildirimin hesap açılışı sırasında ve ayrıca aracı kurumların internet sayfalan aracılığıyla yapılması zorunludur. Acil ve beklenmedik durum kapsamında bilgi işlem sistemleri; aracı kurumların faaliyetlerini normal bir şekilde sürdürmelerini sağlayan, müşteri emirlerinin iletimi ile piyasa yapıcılık işlemleri ve gerçekleştirilmesini, takas ve saklama işlemlerinin yürütülmesini, müşteri hesaplarının saklanması, takibi ve müşteri kıymetleri ve nakdinin transferi işlemlerinin yürütülmesini sağlayan sistemleri ifade etmektedir. 3- İŞ SÜREKLİLİĞİ YÖNETİMİ İLE ACİL VE BEKLENMEDİK DURUM EKİBİ Acil ve beklenmedik durum sorumluları yönetim kurulu kararı ile belirlenir ve bu kişilerin ünvan ve iletişim bilgileri, Sermaye Piyasası Kurulu, Borsa İstanbul A.Ş , Merkezi Kayıt Kuruluşu A.Ş , İstanbul Takas ve Saklama Bankası A.Ş. ve Sermaye Piyasası Kurulu’nun belirleyeceği diğer kuruluşlara bildirilir. Ayrıca, Acil ve beklenmedik durum planının uygulanmasından sorumlu kişilerin değişmesi durumunda yine sorumlu kişiler yönetim kurulunca atanacak ve bu kişilere ait unvan ile e-posta Deutsche Securities adresi, telefon ve faks numaraları dahil, her türlü iletişim bilgileri Kurul, Borsa İstanbul A.Ş, Merkezi Kayıt Kuruluşu A.Ş., İstanbul Takas ve Saklama Bankası A.Ş. ve Sermaye Piyasası Kurulu tarafından belirlenecek diğer kuruluşlara bildirilecektir. Deutsche Securities Menkul Değerler A.Ş Acil ve Beklenmedik Durum Ekibi , Şirket Yönetim Kurulu kararı ile belirlenmiştir. İş Sürekliliği Yönetimi ile Acil ve Beklenmedik Durum Sorumluları Acil ve Beklenmedik Durum Özge Kutay +90 (212) 317 02 21 [email protected] Planı Sorumlusu Acil ve Beklenmedik Durum Nuran Çevik +90 (212) 319 03 38 [email protected] Planı Sorumlusu Çalışma ortamının kullanılamaz hale gelmesi, bilgi işlem sistemlerinin devamlılığın sağlanamaması veya çalışma ortamında ve /veya bilgi sistemlerinde meydana gelen hasarın giderilebilmesi için uzun süre gerektirmesi, Çalışma ortamı fiziken sağlam iken sistemlerin kısa süreli olarak sağlıksız çalışmasına yol açacak durumların meydana gelmesi durumunda Acil ve Beklenmedik Durum Planı’nda belirtilen tedbirlerin alınması sorumluların öncelikli görevlerindendir. Bu görevlerini DB Türkiye İş sürekliliği Yönetim ekibi ile koordineli olark yerine getirirler. İş Sürekliliği Yönetim Ekibi İş Sürekliliği Yönetim Ekibi aşağıda belirtilmiştir. Sözkonusu ekip, DB Grubunun İş Sürekliliği Yönetim Ekibi ile koordineli olarak çalışır ve gerekli durumlarda danışmanlık alır. Kriz Müdürü Özge Kutay +90 (212) 317 02 21 Gümüş Ekip Başkanı Ali Doğrusöz +90 (212) 317 02 31 Bilgi Teknolojileri (BT) Müdürü Mehmet Çağlayan +90 (212) 317 02 92 İnşaat Emlak Duygu Özcan +90 (212) 317 01 81 Güvenlik Nusrettin Yavuz +90 (212) 317 01 96 Bilgi Yönetimi Aslı Adik +90 (212) 317 01 82 İnsan Kaynakları Ayhan Eryiğit +90 (212) 317 02 51 İş Sürekliliği Yönetim Ekibi, ihtiyaçları belirlemek ve en önemli senaryolara dayanarak acil durum sonrası uygun toparlanma stratejilerinin uygulanmasını sağlamak amacıyla, İş Sürekliliği Koordinatörleri (İSK) ile beraber çalışır. İş Sürekliliği Yönetimi Ekibi, İş Birimlerini ve Altyapı Fonksiyonlarını aşağıdaki şekillerde destekler: Danışmanlık - Politikalar, yönetim ve eğitim programının hazırlanması dahil Yönlendirme ve Destek - İşin kesintiye uğradığı dönemlerde veya testler sırasında İş Sürekliliği Yönetimi çerçevesi - Politika ve Standartların korunması ve yayınlanması İş Sürekliliği Yönetimi - Uyumun izlenmesi İş Sürekliliği süreci belgelerinin kaynağı olan e-iş Sürekliliği Yönetimi uygulamasının sağlanması 4- ROLLER VE SORUMLULUKLAR: Şirket Yönetim Kurulu iş sürekliliği yönetim yapısının ve acil durum standartlarının/planının oluşturulmasından ve etkin bir şekilde uygulanmasını sağlamaktan sorumludur. Kriz Müdürü bu planın uygulanmasını İş Sürekliliği Yönetimi Ekibi ile birlikte sağlar. Deutsche Securities İş Sürekliliği Koordinatörleri (İSK), planın kendi bölümleriyle ilgili kısımlarını standart İş Sürekliliği Yönetimi (İSY olarak anılacaktır) süreçlerine uygun bir şekilde uygulayacak ve bu kısımları Kriz Müdürü ile birlikte gözden geçirecek ve kararları Kriz Müdürü ile birlikte alacaklardır. DB AG İş Sürekliliği Yönetimi Ekibi planların yönetimi ve takibine yardımcı olmaktan, danışmanlık ve tecrübe paylaşımından sorumludur. Eşgüdüm Kriz Müdürü tarafından gerçekleştirilmektedir. 5- KRİZ YÖNETİM STANDARTLARI Kriz Yönetimi Standartları, Kriz Yönetimine (KY) ilişkin ilkeleri tanımlar. Önemli olay veya durumların, Şirket çalışanlarının güvenliğine ya da Şirketin finansal durumuna, itibarına veya düzenlemeler karşısındaki konumuna olan gerçek ya da olası etkileri, bireysel ve esnek tepkilerin verilmesini gerektirir. Kriz Yönetimine ilişkin yol gösterici ilkeler, kritik öneme sahip Şirket faaliyetlerinin devamlılığını sağlamak ve ismini korumak, riski hafifletmek, gelirleri muhafaza etmek ve hem piyasa istikrarını hem de müşterilerin güvenini sağlamak üzere işlev görür. Bu nedenle, Kriz Yönetimi, Şirketin olağan iş operasyonları ve risk yönetiminin ayrılmaz bir parçası olmak üzere oluşturulmuştur. KY Standartları, krizlerin etkili ve verimli bir şekilde yönetilmesi için bir çerçeve sunar. 6- KAPSAM Kriz, Şirket çalışanlarının güvenliğine veya Şirket’in finansal durumuna, itibarına ya da düzenlemeler karşısındaki konumuna gerçek veya olası etkileri olan ve Şirketin operasyonlarının kesintiye uğratan herhangi bir olay veya durumdur. Kriz aynı zamanda, ivedilikle, konuya ilişkin prosedürler ve ilgili durumun meydana geldiği iş veya tesisin tek başına sahip olduğu kapasitenin üzerinde kaynaklarla koordineli bir tepki verilmesi gereken herhangi bir durum olarak da tanımlanabilir. Kriz, Şirket içi veya dışında meydana gelen pek çok olay ile tetiklenebilir (örneğin terörizm, doğal afetler, yangın, savaş, siyasi kargaşa, bulaşıcı hastalıklar veya teknolojik aksaklıklar). 7- AMAÇ KY Standartları, İş planlamasının bir parçasıdır ve bütün birim yöneticileri için önemli sorumluluklardan biridir. Amaçları şunlardır: Şirketin operasyonlarını etkileyen veya etkileme olasılığı bulunan bir olay karşısında karar verme sürecini kolaylaştırmak, Gerçekleşen veya gerçekleşme olasılığı bulunan olayların açık ve hızlı bir şekilde gerekli yerlere iletilmesini sağlamak, Kriz sırasında Şirket içinde ve Şirket dışı taraflarla kurulması gerekli iletişimi kolaylaştırmak. Kriz Müdürü, Standartların muhafazasından sorumludur. Gerçekleşen durumlar veya KY alıştırmaları sonrası gözden geçirmeleri müteakip KY Standartlarında güncellemeler talep edilebilir. Tanımlanan Kriz Yönetimi süreci genellikle, Şirket’in Altyapı Gruplarının ve İş Birimlerinin her seviyede ve geniş koordinasyonunu gerektiren krizlerin yönetilmesi sırasında kullanılmaktadır. 8- KRİZ YÖNETİMİ ORGANİZASYONU Bir kriz sırasında, Şirket üç seviyede krizle meşgul olur: Altın, Gümüş ve Bronz. İdeal olan, Şirket içinde Altın ve Gümüş ekiplerin rollerini yerine getirecek kişilerin her birim içinden atanmasıdır. Bronz seviyesindeki personel, herhangi bir role atanmaktan ziyade, söz konusu rollerin gereğini, günlük işlerinin bir parçası olarak yerine getirir. Şirket içindeki birimler, Altın ve Gümüş ekiplere kendi temsilcilerini atayacaklardır; bu temsilciler, KY toplantılarına hem organizasyon seviyesinde (örneğin bir birim içinden) hem de kurumsal seviyede katılacaklardır. Krizin büyüklüğüne bağlı olarak, Altın ekip seviyesindeki kararlar, genellikle Gümüş Seviyesi ile ilişkilendirilen yöneticilere atanabilir. Deutsche Securities Bölgesel, ülke veya birim seviyesindeki Kriz Yönetimi İletişim Kartları, Altın ve Kurumsal Gümüş Ekiplerin üyelerini ve her birinin yedeklerini liste halinde göstermektedir. Kurumsal KY iletişim kartlarına ilişkin sorumluluk, Kriz Müdürü’ne aittir. Bölgesel seviyede, kurumsal kriz yönetimi irtibat kartını Kurumsal Güvenlik & İş Sürekliliği Birimi muhafaza edecektir. Kriz Yönetimi iletişim kartı Şirket iç dökümantasyonu olarak düzenlenmiş ve tüm Şirket personeline dağıtılmıştır. a. Altın Ekip Altın seviye, bir kriz anında Şirket’in strateji ihtiyacını giderir, stratejik liderlik görevini üstlenir ve ilgili Birimler adına kararları alır. Altın ekip üyeleri aynı zamanda,Şirket’in kriz durumuna vereceği tepkinin stratejik koordinasyonunun sağlanması amacıyla kendi bölgeleri içinde ve global anlamda birbirleriyle ilişki içerisindedirler. Altın ekip içerisindeki KY rolleri, Kriz Yöneticisi, İş Birimlerinin Kriz Yöneticileri ile En Üst Düzey Sorumludur. b. Gümüş Ekip Gümüş seviye, Altın seviyenin karar almasını ve bir stratejinin uygulanmasını kolaylaştırmak amacıyla taktik koordinasyonu sağlar, bilgi toplar ve Süreklilik seçeneklerini açık ve kesin bir şekilde ifade eder. Gümüş ekibe, Gümüş Yönetici başkanlık eder. İçinde bulunulan duruma göre, İş Sürekliliği Yönetimi Ortakları/ Koordinatörleri her zaman Gümüş ekip toplantısına çağrılmayabilirler. Kişilere ilişkin kurtarma seçenekleri tartışılırken, İş Sürekliliği Yönetimi Ortakları, ilgili işin durumu hakkında bilgi vermeleri ve kurtarmanın planlanmasına destek sağlamaları için davet edileceklerdir. c. Bronz Seviye Bronz seviye, Altın ve Gümüş seviyelerin ortaya koydukları strateji ve taktiklerin uygulanması için birimler tarafından toplanan bilgileri ve yapılan uygulamaları yansıtmaktadır. Bronz seviye, muhtemelen Acil Durum Sonrası Toparlanma Planlarının uygulanması yoluyla, bir kriz durumunda krizin ilgili makamlara iletilmesi, krize tepki verilmesi ve işin toparlanması için çalışır. Bronz seviye, Şirket’in, krize verdiği tepki ile alakalı bütün çalışanlarını kapsar. 9- KRİZ YÖNETİMİ SÜRECİ Söz konusu bölümün amacı, olası veya gerçek krizlere ilişkin bilgi akışının ve ilgili makamlara iletme aşamalarının tanımlanmasıdır. Kriz sırasında belirlenmiş makamlara iletme türlerine ilişkin kurallar ve iletişim rehberi de ele alınacaktır. Buna ek olarak, bu bölüm, olası veya gerçek bir krizin bir parçası olarak ilgili makama iletme aşamalarını gözden geçirmektedir. Ortaya çıkan bir acil durumun gözden geçirilmesinden sonra, gerekli görülmesi halinde, tanımlanan krize verilecek tepkinin örgütlü ve etkili olmasını temin etmek amacıyla Kriz Yöneticisinin/Müdürünün önderliğinde Kriz Yönetimi sürecinin yürürlüğe konmasına karar verilir. KY süreci, toplantıların çakışmasını önlemek, bütün gerekli oyuncuların katılımını sağlamak ve başka etkinlikler için zaman ayrılmasını sağlamak amacıyla yapılacak bir dizi toplantı ve bilgilendirmelerden oluşan bir döngüyü ifade etmektedir. Her bir döngü tamamlandığında bilgilendirme noktaları belirlenir ve bir durum raporunun üretilerek dağıtılır. Aşağıda KY sürecinin açıklanması için bir örnek verilmiştir. Bununla beraber, aşağıda verilen örnek her ne kadar KY süreci sırasında meydana gelen olaylar zincirini gösterse de, krizin yönetimini esnek tutmakta fayda vardır çünkü bu sayede Şirket her türlü duruma tepki verebilecek hale gelir. Bu nedenle, içinde bulunulan duruma veya krizin sebebine bağlı olarak KY süreci değişiklik gösterebilir. Standart Model Bir kriz meydana geldiğinde, ister Gümüş isterse Altın seviyede olsun, ilk KY toplantısının mümkün olan en kısa zamanda yapılması gerekmektedir. KY toplantısını toplama yetkisi, çoğunlukla En Üst Düzey Sorumlu aracılığıyla hareket eden Kriz Yöneticisine aittir. Bununla beraber sonraki arama/ toplantılar, tanımlandığı şekliyle KY sürecini takip etmelidir. Gümüş ekip toplantılarına, Gümüş Ekip Yöneticisi başkanlık edecek ve aşağıdaki gündemi takip edecektir: 1. Yoklamanın alınması 2. Güvenlik ve İstihbarat güncellemesi 3. İşe Etki 4. İnşaat, Emlak ve İdari İşler güncellemesi Deutsche Securities 5. İK güncellemesi 6. GT Olay Yönetimi güncellemesi 7. Seyahat güncellemesi 8. İletişim güncellemesi (Şirket içi ve dışı) 9. Sonraki adımlar ve sonraki toplantılar Bilgi Yöneticisi, Gümüş ekip toplantısı tutanaklarından yararlanarak bir Durum Raporu oluşturur; bu rapor, Gümüş Ekip Yöneticisi tarafından gözden geçirilir ve En Üst Düzey Sorumlu ve Kriz Yöneticisinin bilgilendirilmesi için kullanılır. Altın ekibin toplantısı sırasında, Altın ekip üyeleri, En Üst Düzey Sorumlu veya Gümüş Ekip Yöneticisi tarafından bilgilendirilirler ve ilgili İş Birimi Kriz Yöneticileri aracılığı ile durumlarını ve önceliklerini bildirirler. En Üst Düzey Sorumlu, Altın ekip toplantısına başkanlık eder ve aşağıdaki gündemi takip eder: 1. Yoklamanın alınması 2. Durum güncellemesi 3. İşe ilişkin güncelleme 4. Düzenlemelere ilişkin güncelleme 5. Gümüş Ekipten alınan Strateji ve Seçenekler 6. Planlama güncellemesi/ lojistik raporu 7. İletişimin teyit edilmesi (Şirket içi ve dışı) 8. Sonraki adımlar ve sonraki toplantılar. Bilgi Yöneticisi, en yakın tarihli Altın ekip toplantısı sırasında alınan kararlar ile birlikte Durum Raporunu günceller ve En Üst Düzey Sorumlu, Durum Raporunu onaylar. Bilgi Yöneticisi, onaylanan Durum Raporunu mevcut durumun paydaşlarına dağıtırken En Üst Düzey Sorumlu ve/veya Kriz Yöneticisi, Üst Yönetimi bilgilendirir. Altın seviye toplantıları sırasında, Gümüş ekip de toplanmaya devam ederek krizin durumuna ilişkin bilgi toplayacak ve bu bilgileri bir araya getirerek ilk tavsiye ve çözüm önerilerini krizin gösterdiği gelişmelere göre değiştirecektir. Her iki KY toplantı gündemlerinin de son maddesi, bir sonraki toplantının zamanı üzerinde mutabakata varılmasıdır. İlgili durumun operasyonel temposu, söz konusu duruma ilişkin olarak yapılacak KY toplantılarının sıklığını belirleyecektir; bu sıklık, son derece hızlı gelişen olayların vuku bulması halinde (örneğin bomba tehditleri, patlama) saatlik aralardan (yaklaşmakta olan kasırga, tayfun gibi durumlarda) günlük aralara kadar uzayabilir. Buna ek olarak, KY toplantıları genellikle, bir krizin yönetilmesinin başlandığı sıralarda, sonuna göre daha hızlı bir sırayı takip etme eğilimindedir. Krizin özelliklerine bağlı olarak, toplantılara katılacak taraflar da değişiklik gösterebilir. KY toplantılarının amaçlarına ulaşılabilmesi için, ilgili durumun bütün paydaşlarının sürece dâhil edilmesi gereklidir. Bu da, durumun gerektirdiği hallerde, bütün Kurumsal Gümüş veya Altın ekip üyelerinin KY toplantılarına katılmalarının gerekmediği anlamına da gelmektedir. KY döngü silsilesi, krize örgütlü ve etkili bir tepki verilebilmesi için gereken uzunlukta tekrar edilecektir. İlgili olayın yönetilebilmesi için artık daha fazla KY toplantısının yapılmasına gerek kalmadığına ilişkin kararı Kriz Yöneticisi veya En Üst Düzey Sorumlu alacaktır. Bu durum belgelenecek ve kriz sırasında dağıtılan son Durum Raporunda duyurulacaktır. Bilgi Kaynakları, Bilgi Toplama Şirket, olası veya gerçek bir krizi, aşağıdakiler de dâhil olmak üzere fakat bununla sınırlı kalmamak kaydıyla pek çok Şirket içi veya dışı kaynaktan öğrenebilir:  İş Birimlerinden Gelen Bildirimler  GT Global Olay Yönetimi  İnşaat, Emlak ve İdari İşler Birimi  Düzenleyici kurumlar,  Medya ve basın,  Başka kaynak ve irtibatlar. Durum Değerlendirmesi Deutsche Securities Herhangi bir olayın, KY sürecinin başlatılmasını gerektirip gerektirmediğinin belirlenmesi için, Kriz Yönetimi Ekibi, ilgili olayın ciddiyeti ve karmaşıklığını aşağıda gösterilen risk faktörlerini göz önüne alarak değerlendirirler.  Güvenliğe Etkisi Şirket çalışanlarının fiziksel veya ruhsal sağlıkları üzerinde gerçek veya olası etkisi  Finansal Duruma Etkisi Fırsat maliyetleri de dâhil olmak üzere Şirket’in finansal varlıkları üzerindeki gerçek veya olası etkisi  Şirketin İtibarına Etkisi Şirket’in, çalışanlar, genel olarak toplum ve öteki paydaşlar nezdindeki itibarına olan gerçek veya olası etkisi  Düzenlemelere İlişkin Etki Düzenleyici kurumunun kuralları veya Şirketin , düzenleyici kurumla olan ilişkisi üzerindeki gerçek veya olası etkisi. KY süreci başlatıldığında, bilgi toplama işi, Bilgi Yöneticisi tarafından koordine edilecektir. İletişim Etkili ve verimli iletişim, bir krizi yönetmenin ayrılmaz parçasıdır. Aşağıdaki iletişim türleri, içinde bulunulan durumun, alınan aksiyonların ve sonraki adımların net bir resminin çizilmesi için kullanılabilir. DB AG Güvenlik Operasyonu Merkezlerinden Bildirimler Güvenlik Operasyonu Merkezi’nin en önemli işlevlerinden biri, Şirket üzerinde (gerçek veya olası) etkileri olan olaylara ilişkin bilgi güncellemelerini Kurumsal Güvenlik ve İş Sürekliliği’ne iletmektir. Güvenlik Operasyonu Merkezi, Kriz Hali boyunca Kurumsal Güvenlik ve İş Sürekliliği’ne bilgi vermeye devam edecek ve en önemli bilgi kaynağı işlevini görecektir. Güvenlik Operasyonu Merkezi, olağan görevleri arasında olduğu üzere, Personele ve Kurumsal Güvenlik ve İş Sürekliliği ekibine kriz durumu her ne olursa olsun güncellemelerini göndermeye devam edecektir. Başlatan : Kurumsal Güvenlik ve İş Sürekliliği, Güvenlik Operasyonu Merkezi İletişim Aracı : E-posta, telefon Alıcılar : Kriz Yönetimi Ekibi Paydaş Bildirimleri Durum değerlendirmesi sırasında, konunun paydaşlara iletilmesine ilişkin bir karar verildiğinde, elde mevcut olan bilgileri ana hatlarıyla gösteren ve gerekli olması halinde paydaşlardan geri bildirim talep eden bir bildirim kendilerine gönderilecektir. Başlatan: Kurumsal Güvenlik ve İş Sürekliliği İletişim Aracı: E-posta, telefon Alıcılar: İlgili durumun paydaşları (etkilenen iş veya yerin İş Sürekliliği Yönetimi Ortakları) Ek İletişim Bir kriz sırasında, paydaşlarla olağan Durum Raporu programının dışında iletişime geçmek gerekli olabilir. Bu bildirimler genellikle Güvenlik Operasyonu Merkezinden alınan güncellemelerdir ve gözden geçirilmelerinden sonra Bilgi Yöneticisi tarafından gönderilmeleri gerekmektedir. Tutarlı bir format elde edilebilmesi bakımından, Güvenlik Operasyonu Merkezinden alınan içerik, yeni bir e-posta sayfasına kopyalanmalı ve uygun bir başlık eklenmelidir. Başlatan: Bilgi Yöneticisi İletişim Aracı: E-posta Alıcılar: İlgili durumun paydaşları (etkilenen iş veya yerin İş Sürekliliği Yönetimi Ortakları) Gümüş Ekip Toplantıları Gümüş Ekip toplantısı sırasında, ilgili duruma ait bilgiler paylaşılır, toplanır ve değerlendirilir. Aynı şekilde, İş Birimleri, İş Birimleri içinde yapılacak toplantılarda, duruma ilişkin bilgileri toplayarak kendi işleri üzerindeki etkilerini değerlendirebilirler. Deutsche Securities Başlatan : Gümüş Ekip Yöneticisi İletişim Arac ı: Toplantı Alıcılar : Kurumsal Gümüş Ekip, eğer gerekliyse İş Sürekliliği Yönetimi Ortakları Altın Ekip Toplantıları Altın Ekip toplantısı sırasında, İş Birimi Kriz Yöneticileri, En Üst Düzey Sorumlu tarafından en son durum hakkında bilgilendirilmelidir, krizin, operasyonları üzerindeki etkisi üzerine rapor vermeli ve nasıl ilerleyecekleri hakkında bir karara varmaları gerekmektedir. Başlatan : En Üst Düzey Sorumlu İletişim Arac ı: Toplantı Alıcılar : Altın Ekip üyeleri, eğer gerekliyse durumun diğer paydaşları Durum Raporları Durum Raporları, bir kriz anında ana iletişim aracını oluşturur. Bu bilgilerin akışı ve bilgileri alan kişiler, Kriz İletişim kartında belirtilmiştir.. Başlatan : Bilgi Yöneticisi İletişim Aracı : e-posta Alıcılar : Zorunlu: - yerel Altın ve Kurumsal Gümüş Ekip üyeleri - Kurumsal Güvenlik ve İş Sürekliliği Global Kriz Yönetimi dağıtım listesi, - yerel Kurumsal Güvenlik ve İş Sürekliliği ekibi üyeleri 10- KRİZ YÖNETİM SÜRECİNİN SONLANDIRILMASI Genellikle En Üst Düzey Sorumlu aracılığı ile hareket eden Kriz Yöneticisi, olayı yönetmek için daha fazla KY toplantısının yapılmasına gerek olmadığına karar verecektir. Bundan sonra, İş Birimleri olağan çalışmalarına döneceklerdir. KY sürecinin sonlandırılması kararı, ilgili kriz için hazırlanacak son Durum Raporunda belirtilecektir. Krizin gözden geçirildiği ve olay sırasında toplanan aksiyon sonrası noktaları içeren bir Aksiyon Sonrası Raporu talep edilebilir. 11- ACİL ve BEKLENMEDİK DURUM İŞ AKIŞI 1. Mali tablolar ve mevcut mevzuat uyarınca tutmakla yükümlü oldukları her türlü kayıt ile kıymetli evrakın basılı olarak ve/veya elektronik ortamda saklanması; Şirket ile ilgili her türlü kayıt, kıymetli evrak ve elektronik ortamda saklanan bilgi, ilgili süreç sahipleri tarafından sınıflandırılır. Bu sınıflandırma sonucunda değerli veri olarak belirlenen her türlü bilgi, mevcut mevzuat çerçevesinde tutmakla yükümlü olunan her türlü kayıt ile kıymetli evrak basılı olarak Şirket bünyesinde yanmaz dolaplarda saklanmaktadır. Ayrıca tüm belgeler elektronik ortamda da muhafaza edilmekte ve hergün veri tabanının tam yedeği alınmaktadır. Söz konusu yedek kayıtlar telekom hatları aracılığı ile yedek afet merkezine kopyalanmaktadır. Aynı zamanda bu kopyalama işlemi arşivlenen veriler içinde tekrarlanarak yedek afet merkezinde tutulmaktadır. 2. Faaliyetlerimizin aralıksız sürdürülebilmesine yönelik bilgi işlem sistemlerinin devamlılığının sağlanması, yedeklerinin alınması ve söz konusu elektronik kayıt yedeklerin 5 yıl süre ile saklanması; Şirket faaliyetinin aralıksız sürdürülebilmesine yönelik bilgi işlem sistemlerinin devamlılığının sağlanması, yedeklerin alınması ve söz konusu elektronik kayıt yedeklerin 5 yıl süre ile saklanması Deutsche Securities Menkul Değerler A.Ş.'nin bulunduğu merkez lokasyonu dışında Şirket'in yedek afet lokasyonunda anlık ve günlük olarak yedeklenmekte ve arşivlenerek saklanmaktadır. Deutsche Securities 3- Mali ve bilgi iletişim altyapısı dahil olmak üzere operasyonel risk değerlendirmesi, Mali ve Operasyonel risk değerlendirilmesi aşağıda yer alan başlıklar altında yer almaktadır. Beklenmedik yazılım ve donanım arızaları : Beklenmedik yazılım ve donanım arızaları yaşanması durumunda iş sürekliliğini kesintiye uğratmayacak şekilde Şirket ana merkezindeki sistemlerin birebir yedek sistemlerinin otomatik olarak devreye alınması sağlanmıştır. Ancak Şirket ana merkezinde yer alan sistemlerin veri merkezinde genel bir sorun yaşanması durumunda iş birimlerince belirlenen geri dönüş süreleri içinde yedek afet merkezinde hayata geçirilmesi ile ilgili acil ve beklenmedik durum planının devreye alınması sağlanır. Dışarıdan hizmet alımı sırasında yaşanabilecek kesintiler : Dışarıdan alınan uygulamalar ile ilgili destek hizmeti alımı sırasında yaşanabilecek kesintilerde Şirket ana merkezindeki sistemlerin birebir yedek sistemlerinin otomatik olarak devreye alınması ve Şirket ana merkezinde genel bir sorun yaşanması durumunda yedek afet merkezinde hayata geçirilmesi sağlanmıştır. Bu çerçevede söz konusu uygulamalar ile ilgili destek hizmeti satın alınan firmalar ile yapılan sözleşmelerde belirlenen kritik seviyeler ve süreçler ile Genel Müdür tarafından Şirket yönetim Kuruluna sunulan destek hizmeti raporu çerçevesinde işlemlerin yürütülmesi sağlanacaktır. Elektrik Kesintisi ve/veya olması muhtemel enerji sorunları : Şehir elektrik şebekesinde meydana gelebilecek herhangi bir kesintiye karşı eneri ihtiyacının %100'ünü karşılamaya yeterli hem Şirket hem de bina yönetiminin sağladığı jeneratörler ve bu jeneratörlerin bağlı olduğu iki farklı UPS kaynağı sürekli olarak Şirket enerji kaynağını karşılamaktadır. Kesinti ve dalgalanmalarda geçiş otomatik olarak sağlanmaktadır. Veri hatları kaynaklı muhtemel kesinti ve/veya sorunlar : Şirketimiz iletişim hatları kaynaklı muhtemel kesinti ve/veya sorunlarda işlemlerin kesintiye uğramaması için aynı anda iki farklı telekom firmasından tedarik edilen veri hatları ile birebir yedeklenmiş durumdadır. 4- Şirket Müşterileri ile alternatif iletişim kanallarının tedariki ve sürekliliğinin sağlanması, Acil ve beklenmedik bir durum meydana geldiğinde Acil ve Beklenmedik Durum Komitesi tarafından Şirketin iletişim kanalları ile ilgili durum tespiti yapılarak aktif ve pasif olan kanallar belirlenir.Komite tarafından açık olduğu belirlenen iletişim kanalları ve mobil telefonlar aracılığıyla müşterilerin bilgilendirilmesi sağlanacaktır. 5- Şirket çalışanları ile alternatif iletişim kanallarının tedariki ve sürekliliğinin sağlanması, Acil ve beklenmedik durumlarda söz konusu durumun uygulanmasından “Acil ve Beklenmedik Durum Sorumluları” ve “İş Sürekliliği Yönetim Ekibi” sorumlu olmakla birlikte acil ve beklenmedik bir durum meydana geldiğinde kural olarak tüm Şirket personeli Şirket,müşteri ve personelin karşılayacağı risklerin giderilmesinde görevli ve sorumludur. Şirket personeli söz konusu görev ve sorumluluklarını "Acil ve Beklenmedik Durum Sorumluları " ve” İş sürekliliği Yönetimi Ekibi “tarafından yapılacak koordinasyon çerçevesinde yerine getirmek zorundadır. 6-Alternatif aracı kurum merkezi ve merkez dışı örgütlerinin tespit edilmesi Acil ve beklenmedik durumlar söz konusu olduğunda ve Şirket Merkezinin kullanılamadığı durumlarda "Acil ve Beklenmedik Durum Komitesi" tarafından hizmet verilecek yedek afet merkezi ile ilgili bilgilendirmelerin seri bir şekilde personele,müşterilere, düzenleyici otoriteler ile diğer kurumlara yapılması sağlanacaktır. 7-Acil ve beklenmedik durumun karşı tarafa olası etkileri hakkında değerlendirme Acil ve beklenmedik durum planı , olası acil ve beklenmedik durumlarda Şirket faaliyetlerinin kesintiye uğramadan yapılmasını sağlamakla birlikte Şirket müşterilerinin iş/işlemlerinin aksamadan devam etmesini sağlamaktadır. Aynı zamanda söz konusu çalışma ile meydana gelebilecek olumsuzlukların önceden tespit edilerek planlanması Sermaye piyasalarına olan güvenin artması ile birlikte Şirket müşterilerinin kuruma olan güvenin artmasına olumlu katkılar sağlayacaktır. 8-Kurul'un alınan önlemler hakkında bilgilendirilmesi, rutin zorunlu bildirimlerin nasıl yapılacağı, Şirket tarafından alınan önlemler ile ilgili Acil ve Beklenmedik Durum komitesinde yer alan kişiler tarafından Sermaye Piyasası Kuruluna bildirim işlemler telefon aracılığıyla (Sabit ve/veya mobil hatlar) aracılığıyla ) Deutsche Securities yapılacaktır. Söz konusu rutin zorunlu bildirimler Sermaye Piyasası Kurulu'na hitaben yazılacak yazı ekinde SPK'na hem fax yoluyla, hem de posta yoluyla teslim edilmesi sağlanacaktır. 9- Şirket tarafından faaliyete devam edilemeyeceği yönünde karar verilmesi durumunda müşterilerin hesaplarına erişimi ve söz konusu hesapların başka bir aracı kuruma devri. Şirket tarafından kurulan sistem alt yapısı sayesinde faaliyetlerimizin devamlılığı planlanmış ve bu çerçevede test edilmiştir. Ancak Şirket yönetim kurulu tarafından Şirket faaliyetlerin devam edilemeyeceği yönünde karar alınması durumunda düzenleyici otoriteler ve müşteriler söz konusu durumdan haberdar edilerek söz konusu durumun Şirket web sitesinde sürekli olarak ilan edilmesi sağlanacaktır. 12- KRİZ YÖNETİMİ EKİBİ Bu bölüm, kriz yönetimi ekibi içerisindeki rollerin ve ilgili sorumlulukların işlevsel bir tanımını yapmaktadır. i. Kriz Yönetimi Ekibine Genel Bir Bakış Bir kriz sırasında, çalışanların bazen olağan günlük işleri dışında işler yapmaları gerekebilir. Hangi görev ve işlevlerden kimlerin sorumlu olduğu konusunda genel bir anlaşmaya varılabilmesi için bu Standart, KY rollerini ortaya koymaktadır. Aşağıdaki roller, mümkün olan en ehil kişiler tarafından yerine getirilmelidir. KY rolleri aşağıda gösterildiği gibidir:  Kriz Yöneticisi  Gümüş Ekip Yöneticisi  Bilgi Yöneticisi  İş Sürekliliği Yönetimi Ortağı Yukarıda tanımlanan çekirdek KY Ekibinin yanı sıra, ciddi krizler sırasında Kriz Yönetimi Destek Grubu da destek sağlar. ii. Altın Ekip Altın ekip, Deutsche Securities’in stratejisini belirler, liderlik görevini üstlenir ve yönlendirir. Kriz Yönetimi ve İş Birimlerinin temsilcileri, Deutsche Securities ve/veya ilgili bölümleri adına karar alırlar. iii. Kriz Yöneticisi Çoğunlukla ilgili bölge veya ülkenin Operasyon Komitesi Başkanı (COO), ilgili Ülke Yöneticisi (CCO) veya bu kişilerce bu görev için atanan Kriz Yöneticisi Altın Ekibin bir üyesidir. Aşağıdakilerle sınırlı olmamak kaydıyla sorumlulukları arasında şunlar bulunmaktadır:  En Üst Düzey Sorumlu aracılığı ile hareket ederek KY sürecini başlatmak ve sonlandırmak,  Kriz sırasında Şirket’in stratejisini belirlemek,  Şirket’e stratejik anlamda liderlik etmek,  Altın Ekip toplantılarına başkanlık etmek,  Bütün ilgili kararların zamanında alınmasını sağlamak,  Eğer gerekliyse, Acil Durum Sonrası Toparlanmaya ilişkin önceliklere karar vermek,  Kriz sırasında KY ekibi arasında herhangi bir anlaşmazlık olması halinde ilgili konuya ilişkin son kararı almak. iv. İş Birimi Kriz Yöneticisi / Altın Ekip Üyesi İş Birimi Kriz Yöneticileri/ Altın Ekip üyeleri, İş Birimlerinin Operasyonel veya İdari Faaliyetlerinin Yürütülmesinden Sorumlu Kişiler veya onların yardımcılarıdırlar. Bir İş Sürekliliği Yönetimi Koordinatörü, ilgili olduğu birimin Operasyonel veya İdari Faaliyetlerinin Yürütülmesinden Sorumlu Kişisi olmadığı sürece bir İş Birimi Kriz Yöneticisi olamaz. İş birimlerinin yöneticileri, İş Birimi Kriz Yöneticisi olarak görev yapmak üzere