Kripto Varlık Platformlarının Rezerv Kanıtı Denetim Süreci Hakkında SPK’dan Açıklama

Sermaye Piyasası Kurulu (SPK), kripto varlık platformlarının yapması gereken rezerv kanıtı denetimi sürecinde uygulanacak ilke ve esasları açıkladı.

SPK, kripto varlık hizmet sağlayıcılar tarafından yapılacak faaliyet izni başvuruları öncesinde platformların yaptırması zorunlu olan rezerv kanıtı denetimi süreçlerinde uygulanması amacıyla bazı ilke ve esaslar belirlediğini duyurdu. Haftalık bültende yer alan duyuruya göre, kripto varlık hizmet sağlayıcılar ile bilgi sistemleri bağımsız denetim kuruluşları arasında denetime tabi her 3 aylık dönemin en geç ilk ayı içerisinde rezerv kanıtı denetiminin yürütülmesine ilişkin sözleşme imzalanacak. Sözleşme, yılın diğer denetim dönemlerini de kapsayacak şekilde topluca da imzalanabilecek.

Bir kripto varlık hizmet sağlayıcı, arka arkaya en fazla 12 dönem rezerv kanıt denetimini aynı şirkete yaptırabilecek. Bir sorumlu bilgi sistemleri başdenetçisi ise aynı kripto varlık hizmet sağlayıcı için arka arkaya en fazla 4 dönem rezerv kanıt denetim raporu imzalayabilecek.

İmzalanan sözleşme kapsamında kripto varlık hizmet sağlayıcılar, denetime konu olan her türlü kayıt, bilgi ve belge ile denetimin yapılacağı sistemleri hazır hale getirmekle yükümlü olacak.

Denetim Raporlarında Yer Alması Gereken Bilgiler

Sözleşme imzalandıktan sonra belirlenen süre içerisinde kripto varlık hizmet sağlayıcılar tarafından bazı bilgilerin bilgi sistemleri denetçisine sunulması ve denetim raporunda yer alması gerekecek.

Bu bilgiler arasında “kripto varlıkların listesi”, “müşterilere ait kripto varlıkların cari değeri”, “kripto varlıkların hangi ağlarda bulunduğu”, “saklama modeli ve erişim kontrol mekanizmalarına ilişkin bilgiler” ile “kripto varlıkların saklandığı cüzdanların listesi ve adresleri” bulunacak.

Platformlar, “müşterilere ait nakit bakiye büyüklüklerini”, “platforma ait kripto varlıkların cari değeri ile nakit bakiye büyüklüklerini”, “platformun çalıştığı saklama kuruluşlarının listesini” ve “nakit bakiyelere ilişkin banka ve hesap bilgilerini” de bilgi sistemleri denetçisine sunacak ve denetim raporunda bu bilgilere yer verecek.

Kripto varlık platformunun likit rezervinde tutulan varlıkların tamamı denetim kapsamına alınacak ve söz konusu varlıklar bakımından denetim sonuçlarına raporda ayrı bir başlık altında yer verilecek.

Denetimde, denetim kapsamına alınan kripto varlıkların yüzde 100’ünün varlığının teyit edilmesi gerekecek.

Denetim Tarihi Bir Gün Öncesine kadar Paylaşılmayacak

Bilgi sistemleri denetçisi, denetim dönemi içerisinde denetim yapılacak rastgele iki farklı tarih belirleyecek ve seçilen tarihlerde gün içinde kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda izlenen müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere alabilecek.

Seçilen tarihler, denetim tarihinin bir gün öncesine kadar kripto varlık platformu ile paylaşılmayacak.

Denetçi, kripto varlık hizmet sağlayıcının ilettiği cüzdan adreslerinin kripto varlık hizmet sağlayıcıya ait olduğunun teyidini yapacak ve teyit metoduna denetim raporunda yer verecek.

Denetim sonuçlarını kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda yer alan veriler ile karşılaştırarak raporlayacak.

Cüzdan bakiyelerinin sorgulanması ile cüzdan doğrulama süreçlerinde kullanılacak araçlara raporda yer verilecek.

Denetim raporu, sorumlu bilgi sistemleri başdenetçisi tarafından imzalandığında kesinleşecek ve denetim döneminin bitişini takip eden ilk 10 iş günü içinde kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığına teslim edilecek.

Denetim döneminin bitimini takip eden 15 iş günü içerisinde raporun kabulüne yönelik yönetim kurulu kararıyla birlikte SPK’ye gönderilecek.

Denetim raporu, kripto varlık platformunun yönetim kuruluna hitaben hazırlanacak, yönetim kurulu ve SPK dışında herhangi bir taraf ile paylaşılmayacak.

Raporun giriş bölümünde denetimin amacı ve kapsamına, denetim sırasında kullanılan araç ve tekniklere, denetimin gerçekleştirildiği tarihlere, görevli bilgi sistemleri denetçilerinin ad, soyad, unvan ve iletişim bilgilerine, denetimin söz konusu bağımsız denetim şirketi ve sorumlu bilgi sistemleri başdenetçisi tarafından arka arkaya kaçıncı defa gerçekleştirildiğine yer verilecek.

İlke ve esasların açıklandığı duyuruda, denetim raporunun giriş, değerlendirme ve sonuç bölümlerinde asgari bulunması gereken bilgi, görüş, beyan ve tablolar da yer aldı.