SPK, kripto varlık platformlarının yapması gereken rezerv kanıtı denetimi sürecinde uygulanacak ilke ve esasları belirledi

Foreks – Sermaye Piyasası Kurulu (SPK), kripto varlık platformlarının yapması gereken rezerv kanıtı denetimi sürecinde uygulanacak ilke ve esasları belirledi.

SPK’nın İlke Kararı’na göre, Kripto varlık hizmet sağlayıcılar ile bilgi sistemleri bağımsız denetim kuruluşları arasında, denetime tabi her üç aylık dönemin en geç ilk ayı içerisinde rezerv kanıt denetiminin yürütülmesine ilişkin olarak bir sözleşme imzalanacak. Sözleşmenin söz konusu yılın diğer denetim dönemlerini de kapsayacak şekilde topluca imzalanması da mümkün olacak. Bir kripto varlık hizmet sağlayıcı arka arkaya en fazla 12 dönem rezerv kanıt denetimini aynı şirkete yaptırabilecek. Bir sorumlu bilgi sistemleri başdenetçisi ise aynı kripto varlık hizmet sağlayıcı için arka arkaya en fazla 4 dönem rezerv kanıt denetim raporu imzalayabilecek.

İmzalanan sözleşme kapsamında kripto varlık hizmet sağlayıcılar, denetime konu olan her türlü kayıt, bilgi ve belge ile denetimin yapılacağı sistemleri hazır hale getirmekle yükümlü olacak.

Sözleşme imzalandıktan sonra, imzalanan sözleşmede belirlenen süre içerisinde kripto varlık hizmet sağlayıcılar tarafından aşağıdaki bilgiler bilgi sistemleri denetçisine sunulur ve denetim raporunda “denetim dönemi itibarıyla listelenen/saklaması yapılan kripto varlıkların listesi”, “Müşterilere ait kripto varlıkların cari değeri”, “Kripto varlıkların hangi ağlarda bulunduğu, saklama modeli ve erişim kontrol mekanizmalarına ilişkin bilgiler”, “Kripto varlıkların saklandığı cüzdanların listesi ve adresleri”, “denetim sürecinin tamamlanabilmesini teminen bilgi sistemleri denetçisi tarafından talep edilebilecek diğer bilgi ve belgeler” yer alacak.

Bilgi sistemleri denetçisi, müşterilere ait kripto varlıklar içerisinde en büyük bakiyeye sahip asgari 10 kripto varlık olmak üzere, müşterilere ait toplam kripto varlık bakiyesinin en az %80’ine ulaşıncaya kadar denetim kapsamını oluşturulacak.

Platformun likit rezervinde tutulan varlıkların tamamı denetim kapsamına alınacak.

Söz konusu varlıklar bakımından denetim sonuçlarına raporda ayrı bir başlık altında yer verilecek.

Denetimde, denetim kapsamına alınan kripto varlıkların %100’ünün varlığının teyit edilmesi gerekir. Likidite sağlayıcılık faaliyeti kapsamında oluşan müşteri varlıklarına ilişkin borç/alacak kayıtlarının kontrol edilerek kurum kaydi sistemi üzerinden teyit edilmesi yeterli olacak. Ancak bu duruma denetim raporunda ek bir başlık altında yer verilmesi gerekecek.

Kapsama alınan kripto varlıklar dikkate alınarak kripto varlık hizmet sağlayıcı tarafından; müşteri varlıkları üzerinde doğrudan tasarruf yetkisi sağlayacak bilgiler hariç olmak üzere, bu varlıkların bulunduğu cüzdan adresleri, cüzdanların tipi (soğuk/sıcak), cüzdan adreslerinin bulunduğu dağıtık defter ağı, cüzdan altyapısı gibi cüzdan hareketlerinin kontrolü için gerekecek bilgiler sözleşmede belirtilen süre içerisinde bilgi sistemleri denetçisine verilecek.

Bilgi sistemleri denetçisi, denetim dönemi içerisinde denetim yapılacak rastgele iki farklı tarih belirler ve seçilen tarihlerde gün içinde kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda izlenen müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere alacak. Seçilen tarihler, denetim tarihinin bir gün öncesine kadar kripto varlık hizmet sağlayıcı ile paylaşılmayacak.

Bilgi sistemleri denetçisi, kripto varlık hizmet sağlayıcının ilettiği cüzdan adreslerinin kripto varlık hizmet sağlayıcıya ait olduğunun teyidini yapar. Teyit metoduna denetim raporunda yer verilecek.

 Denetim sürecinde, BDS 500 Bağımsız Denetim Kanıtları Standardı, BDS 520 Analitik Prosedürler Standardı ve BDS 530 Bağımsız Denetimde Örnekleme Standardı hükümleri; denetim kanıtı, teknikleri ve örneklemesi bakımından kıyasen uygulanacak.

Bilgi sistemleri denetçisi, denetim sonuçlarını kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda yer alan veriler ile karşılaştırarak, raporda karşılaştırma anına, atomik saat belirtilmek suretiyle yer verilecek.

Söz konusu raporun oluşturulmasında kullanılan tüm verilerin gerektiğinde Kurul ile paylaşılabilecek şekilde ve III-35/B.1 sayılı Tebliğ’in belge kayıt düzenlemelerine göre saklanması zorunlu olacak.

Cüzdan bakiyelerinin sorgulanması ile cüzdan doğrulama süreçlerinde kullanılacak araçlara raporda yer verilecek.

Denetim raporu, sorumlu bilgi sistemleri başdenetçisi tarafından imzalandığında kesinleşir ve denetim döneminin bitişini takip eden ilk 10 iş günü içinde kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığına teslim edilecek. Kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığınca teslim alınan denetim raporu her halükarda ilgili denetim döneminin bitimini takip eden 15 iş günü içerisinde raporun kabulüne yönelik yönetim kurulu kararıyla birlikte Kurul’a gönderilecek.

Denetim raporu denetlenen kripto varlık hizmet sağlayıcının yönetim kuruluna hitaben hazırlanır ve yönetim kurulu ve Kurul dışında herhangi bir taraf ile paylaşılmayacak. Ancak kripto varlık hizmet sağlayıcıların internet sitelerinde, denetimi gerçekleştiren firmaya ilişkin herhangi bir bilgiye yer verilmemek suretiyle müşterilere ait kripto varlıkların rezerv tutarlarına ve oranlarına son denetim raporuna uyumlu olmak kaydıyla yer verilebilecek.