Foreks – Sermaye Piyasası Kurulu (SPK), kripto varlık platformlarının yapması gereken rezerv delili kontrolü sürecinde uygulanacak unsur ve asılları belirledi.
SPK’nın Unsur Kararı’na nazaran, Kripto varlık hizmet sağlayıcılar ile bilgi sistemleri bağımsız kontrol kuruluşları ortasında, kontrole tabi her üç aylık periyodun en geç birinci ayı içerisinde rezerv ispat kontrolünün yürütülmesine ait olarak bir mukavele imzalanacak. Mukavelenin kelam konusu yılın öteki kontrol periyotlarını de kapsayacak biçimde topluca imzalanması da mümkün olacak. Bir kripto varlık hizmet sağlayıcı art geriye en fazla 12 periyot rezerv delil kontrolünü birebir şirkete yaptırabilecek. Bir sorumlu bilgi sistemleri başdenetçisi ise birebir kripto varlık hizmet sağlayıcı için art geriye en fazla 4 devir rezerv delil kontrol raporu imzalayabilecek.
İmzalanan kontrat kapsamında kripto varlık hizmet sağlayıcılar, kontrole husus olan her türlü kayıt, bilgi ve evrak ile kontrolün yapılacağı sistemleri hazır hale getirmekle yükümlü olacak.
Sözleşme imzalandıktan sonra, imzalanan kontratta belirlenen mühlet içerisinde kripto varlık hizmet sağlayıcılar tarafından aşağıdaki bilgiler bilgi sistemleri denetçisine sunulur ve kontrol raporunda “denetim periyodu prestijiyle listelenen/saklaması yapılan kripto varlıkların listesi”, “Müşterilere ilişkin kripto varlıkların cari değeri”, “Kripto varlıkların hangi ağlarda bulunduğu, saklama modeli ve erişim denetim düzeneklerine ait bilgiler”, “Kripto varlıkların saklandığı cüzdanların listesi ve adresleri”, “denetim sürecinin tamamlanabilmesini teminen bilgi sistemleri denetçisi tarafından talep edilebilecek öbür bilgi ve belgeler” yer alacak.
Bilgi sistemleri denetçisi, müşterilere ilişkin kripto varlıklar içerisinde en büyük bakiyeye sahip minimum 10 kripto varlık olmak üzere, müşterilere ilişkin toplam kripto varlık bakiyesinin en az %80’ine ulaşıncaya kadar kontrol kapsamını oluşturulacak.
Platformun likit rezervinde tutulan varlıkların tamamı kontrol kapsamına alınacak.
Söz konusu varlıklar bakımından kontrol sonuçlarına raporda başka bir başlık altında yer verilecek.
Denetimde, kontrol kapsamına alınan kripto varlıkların %100’ünün varlığının teyit edilmesi gerekir. Likidite sağlayıcılık faaliyeti kapsamında oluşan müşteri varlıklarına ait borç/alacak kayıtlarının denetim edilerek kurum kaydi sistemi üzerinden teyit edilmesi kâfi olacak. Lakin bu duruma kontrol raporunda ek bir başlık altında yer verilmesi gerekecek.
Kapsama alınan kripto varlıklar dikkate alınarak kripto varlık hizmet sağlayıcı tarafından; müşteri varlıkları üzerinde direkt tasarruf yetkisi sağlayacak bilgiler hariç olmak üzere, bu varlıkların bulunduğu cüzdan adresleri, cüzdanların tipi (soğuk/sıcak), cüzdan adreslerinin bulunduğu dağıtık defter ağı, cüzdan altyapısı üzere cüzdan hareketlerinin denetimi için gerekecek bilgiler mukavelede belirtilen müddet içerisinde bilgi sistemleri denetçisine verilecek.
Bilgi sistemleri denetçisi, kontrol devri içerisinde kontrol yapılacak rastgele iki farklı tarih belirler ve seçilen tarihlerde gün içinde kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda izlenen müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere alacak. Seçilen tarihler, kontrol tarihinin bir gün öncesine kadar kripto varlık hizmet sağlayıcı ile paylaşılmayacak.
Bilgi sistemleri denetçisi, kripto varlık hizmet sağlayıcının ilettiği cüzdan adreslerinin kripto varlık hizmet sağlayıcıya ilişkin olduğunun teyidini yapar. Teyit metoduna kontrol raporunda yer verilecek.
Denetim sürecinde, BDS 500 Bağımsız Kontrol İspatları Standardı, BDS 520 Analitik Prosedürler Standardı ve BDS 530 Bağımsız Kontrolde Örnekleme Standardı kararları; kontrol ispatı, teknikleri ve örneklemesi bakımından kıyasen uygulanacak.
Bilgi sistemleri denetçisi, kontrol sonuçlarını kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda yer alan datalar ile karşılaştırarak, raporda karşılaştırma anına, atomik saat belirtilmek suretiyle yer verilecek.
Söz konusu raporun oluşturulmasında kullanılan tüm bilgilerin gerektiğinde Şura ile paylaşılabilecek halde ve III-35/B.1 sayılı Tebliğ’in doküman kayıt düzenlemelerine nazaran saklanması zarurî olacak.
Cüzdan bakiyelerinin sorgulanması ile cüzdan doğrulama süreçlerinde kullanılacak araçlara raporda yer verilecek.
Denetim raporu, sorumlu bilgi sistemleri başdenetçisi tarafından imzalandığında nihaileşir ve kontrol periyodunun bitişini takip eden birinci 10 iş günü içinde kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığına teslim edilecek. Kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığınca teslim alınan kontrol raporu her halükarda ilgili kontrol periyodunun bitimini takip eden 15 iş günü içerisinde raporun kabulüne yönelik yönetim kurulu kararıyla birlikte Kurul’a gönderilecek.
Denetim raporu denetlenen kripto varlık hizmet sağlayıcının yönetim kuruluna hitaben hazırlanır ve yönetim kurulu ve Şura dışında rastgele bir taraf ile paylaşılmayacak. Lakin kripto varlık hizmet sağlayıcıların internet sitelerinde, kontrolü gerçekleştiren firmaya ait rastgele bir bilgiye yer verilmemek suretiyle müşterilere ilişkin kripto varlıkların rezerv meblağlarına ve oranlarına son kontrol raporuna uyumlu olmak kaydıyla yer verilebilecek.
