SPK, Kripto Varlık Hizmet Sağlayıcıları İçin Denetim Esasları Belirledi

Sermaye Piyasası Kurulu (SPK), kripto varlık hizmet sağlayıcıları tarafından yapılacak faaliyet izni başvuruları öncesinde platformların yapması gereken rezerv kanıtı denetimi süreçlerinde uygulanacak ilke ve esasları açıkladı.

Haftalık bültende duyurulan bilgiye göre, kripto varlık hizmet sağlayıcıları ile bilgi sistemleri bağımsız denetim kuruluşları arasında her 3 aylık dönemde en geç ilk ay içinde rezerv kanıtı denetiminin yapılması için sözleşmeler imzalanacak. Bu sözleşmeler yılın diğer denetim dönemlerini de kapsayacak şekilde topluca yapılabilir.

Bir kripto varlık hizmet sağlayıcısı en fazla 12 dönem rezerv kanıt denetimini aynı şirkete yaptırabilir. Bir sorumlu bilgi sistemleri başdenetçisi ise aynı kripto varlık hizmet sağlayıcısı için en fazla 4 dönem rezerv kanıt denetim raporu imzalayabilir.

İlgili sözleşme kapsamında kripto varlık hizmet sağlayıcıları, denetime tabi olan tüm kayıt, bilgi ve belgeleri hazır hale getirerek denetim yapılacak sistemleri sağlamakla yükümlüdür.

– Denetim Raporlarında Yer Alacak Bilgiler

Sözleşme imzalandıktan sonra belirlenen süre içinde kripto varlık hizmet sağlayıcıları, denetim raporunda yer alacak bazı bilgileri bilgi sistemleri denetçisine sunacak.

Bu bilgiler arasında “kripto varlıkların listesi”, “müşterilere ait kripto varlıkların cari değeri”, “kripto varlıkların bulunduğu ağlar”, “saklama modeli ve erişim kontrol mekanizmaları”, “kripto varlıkların saklandığı cüzdanların listesi ve adresleri” bulunmaktadır.

Platformlar, “müşterilere ait nakit bakiye büyüklükleri”, “platforma ait kripto varlıkların cari değeri ile nakit bakiye büyüklükleri”, “platformun çalıştığı saklama kuruluşlarının listesi”, “nakit bakiyelerle ilgili banka ve hesap bilgileri” gibi bilgileri de denetçiye sunacak ve denetim raporunda bu bilgilere yer verecektir.

Kripto varlık platformunun likit rezervinde bulunan tüm varlıklar denetim kapsamına alınacak ve bu varlıklar için ayrı bir başlık altında denetim sonuçları raporda belirtilecektir.

Denetimde, denetim kapsamına alınan kripto varlıkların yüzde 100’ünün varlığının doğrulanması gerekmektedir.

– Denetim Tarihi Önceden Paylaşılmayacak

Bilgi sistemleri denetçisi, denetim döneminde rastgele seçilen iki farklı tarih belirleyerek kripto varlık hizmet sağlayıcısının kayıtlarındaki müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere inceleyebilecektir.

Seçilen tarihler, denetim tarihinden bir gün önceye kadar kripto varlık platformu ile paylaşılmayacaktır.

Denetçi, kripto varlık hizmet sağlayıcısının ilettiği cüzdan adreslerinin doğruluğunu teyit edecek ve teyit metodunu denetim raporunda belirtecektir.

Denetim sonuçları, kripto varlık hizmet sağlayıcısının kayıtlarındaki verilerle karşılaştırılarak raporlanacaktır.

Cüzdan bakiyelerinin sorgulanması ve cüzdan doğrulama süreçlerinde kullanılan araçlar raporda detaylı bir şekilde yer alacaktır.

Denetim raporu, sorumlu bilgi sistemleri başdenetçisi tarafından imzalandığında kesinlik kazanacak ve denetim dönemini takip eden ilk 10 iş günü içinde kripto varlık hizmet sağlayıcısının yönetim kuruluna teslim edilecektir.

Denetim dönemini takip eden 15 iş günü içinde rapor, yönetim kurulu kararı ile birlikte SPK’ya gönderilecektir.

Denetim raporu, kripto varlık platformunun yönetim kuruluna hitaben hazırlanacak olup, yalnızca yönetim kurulu ve SPK ile paylaşılacaktır.

Raporun giriş bölümünde denetimin amacı, kapsamı, kullanılan araç ve teknikler, gerçekleştirildiği tarihler, görevli bilgi sistemleri denetçilerinin bilgileri, denetim şirketi ve başdenetçisinin defalarca gerçekleştirdiği denetimler gibi detaylar yer alacaktır.

Duyuruda belirtilen ilke ve esaslar doğrultusunda, denetim raporunda minimum gereklilikler olan giriş, değerlendirme ve sonuç bölümlerinin yanı sıra bazı bilgi, görüş, beyan ve tablolar bulunacaktır.