Türkiye'de faaliyette bulunan kripto para borsaları için SPK yeni kriterleri açıkladı. Söz konusu kripto para platformların mali yapılarının güçlü durması, yatırımcının mağdur edilmemesi adına yeni kriterler belirlendi.
I. Sözleşme imzalandıktan sonra, imzalanan sözleşmede belirlenen süre içerisinde kripto varlık hizmet sağlayıcılar tarafından aşağıdaki bilgiler bilgi sistemleri denetçisine sunulur ve denetim raporunda asgari olarak bu bilgilere yer verilir:
a. Denetim dönemi itibarıyla listelenen/saklaması yapılan kripto varlıkların listesi.
b. Müşterilere ait kripto varlıkların cari değeri.
c. Kripto varlıkların hangi ağlarda bulunduğu, saklama modeli ve erişim kontrol mekanizmalarına ilişkin bilgiler.
d. Kripto varlıkların saklandığı cüzdanların listesi ve adresleri.
e. Denetim sürecinin tamamlanabilmesini teminen bilgi sistemleri denetçisi tarafından talep edilebilecek diğer bilgi ve belgeler.
II. Platformlar bakımından, yukarıdakilere ek olarak aşağıdaki bilgiler de bilgi sistemleri denetçisine sunulur ve denetim raporunda asgari olarak bu bilgilere yer verilir:
a. Müşterilere ait nakit bakiye büyüklükleri.
b. Platforma ait kripto varlıkların cari değeri ile nakit bakiye büyüklükleri.
c. Platformun çalıştığı saklama kuruluşlarının listesi.
d. Nakit bakiyelere ilişkin banka ve hesap bilgileri.4- Bilgi sistemleri denetçisi, müşterilere ait kripto varlıklar içerisinde en büyük bakiyeye sahip asgari 10 kripto varlık olmak üzere, müşterilere ait toplam kripto varlık bakiyesinin en az %80’ine ulaşıncaya kadar denetim kapsamını oluşturur.5- Platformun likit rezervinde tutulan varlıkların tamamı denetim kapsamına alınır. Söz konusu varlıklar bakımından denetim sonuçlarına raporda ayrı bir başlık altında yer verilir.6- Denetimde, denetim kapsamına alınan kripto varlıkların %100’ünün varlığının teyit edilmesi gerekir. Likidite sağlayıcılık faaliyeti kapsamında oluşan müşteri varlıklarına ilişkin borç/alacak kayıtlarının kontrol edilerek kurum kaydi sistemi üzerinden teyit edilmesi yeterlidir. Ancak bu duruma denetim raporunda ek bir başlık altında yer verilmesi gerekir.7- Kapsama alınan kripto varlıklar dikkate alınarak kripto varlık hizmet sağlayıcı tarafından; müşteri varlıkları üzerinde doğrudan tasarruf yetkisi sağlayacak bilgiler hariç olmak üzere, bu varlıkların bulunduğu cüzdan adresleri, cüzdanların tipi (soğuk/sıcak), cüzdan adreslerinin bulunduğu dağıtık defter ağı, cüzdan altyapısı gibi cüzdan hareketlerinin kontrolü için gerekecek bilgiler sözleşmede belirtilen süre içerisinde bilgi sistemleri denetçisine verilir.8- Bilgi sistemleri denetçisi, denetim dönemi içerisinde denetim yapılacak rastgele iki farklı tarih belirler ve seçilen tarihlerde gün içinde kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda izlenen müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere alır. Seçilen tarihler, denetim tarihinin bir gün öncesine kadar kripto varlık hizmet sağlayıcı ile paylaşılmaz.
İncelemelerde Ek/1 uyarınca hesaplanacak toplam rezerv koruma oranının %100’ün altında kaldığının tespit edilmesi halinde bu durum derhal Kurul’a bildirilir.9- Bilgi sistemleri denetçisi, kripto varlık hizmet sağlayıcının ilettiği cüzdan adreslerinin kripto varlık hizmet sağlayıcıya ait olduğunun teyidini yapar. Teyit metoduna denetim raporunda yer verilir.10- Denetim sürecinde, BDS 500 Bağımsız Denetim Kanıtları Standardı, BDS 520 Analitik Prosedürler Standardı ve BDS 530 Bağımsız Denetimde Örnekleme Standardı hükümleri; denetim kanıtı, teknikleri ve örneklemesi bakımından kıyasen uygulanır.11- Bilgi sistemleri denetçisi, denetim sonuçlarını kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda yer alan veriler ile karşılaştırarak raporlar. Raporda karşılaştırma anına, atomik saat belirtilmek suretiyle yer verilir. Söz konusu raporun oluşturulmasında kullanılan tüm verilerin gerektiğinde Kurul ile paylaşılabilecek şekilde ve III-35/B.1 sayılı Tebliğ’in belge kayıt düzenlemelerine göre saklanması zorunludur.12- Cüzdan bakiyelerinin sorgulanması ile cüzdan doğrulama süreçlerinde kullanılacak araçlara raporda yer verilir.13- Denetim raporu, sorumlu bilgi sistemleri başdenetçisi tarafından imzalandığında kesinleşir ve denetim döneminin bitişini takip eden ilk 10 iş günü içinde kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığına teslim edilir. Kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığınca teslim alınan denetim raporu her halükarda ilgili denetim döneminin bitimini takip eden 15 iş günü içerisinde raporun kabulüne yönelik yönetim kurulu kararıyla birlikte Kurul’a gönderilir.14- Denetim raporu denetlenen kripto varlık hizmet sağlayıcının yönetim kuruluna hitaben hazırlanır ve yönetim kurulu ve Kurul dışında herhangi bir taraf ile paylaşılmaz. Ancak kripto varlık hizmet sağlayıcıların internet sitelerinde, denetimi erçekleştiren firmaya ilişkin herhangi bir bilgiye yer verilmemek suretiyle müşterilere ait kripto varlıkların rezerv tutarlarına ve oranlarına son denetim raporuna uyumlu olmak kaydıyla yer verilebilir.15- Denetim raporunun;I) “Giriş” bölümünde asgari olarak;a. Denetimin amacı ve kapsamına,
b. Denetim sırasında kullanılan araç ve tekniklere,
c. Denetimin gerçekleştirildiği tarihlere,
d. Denetimde görevli bilgi sistemleri denetçilerinin ad, soyad, ünvan ve iletişim bilgilerine,
e. Denetimin söz konusu bağımsız denetim şirketi ve sorumlu bilgi sistemleri başdenetçisi tarafından arka arkaya kaçıncı defa gerçekleştirildiğineII) “Değerlendirme ve Sonuç” bölümünde asgari olarak;a. 3, 5, 6 ve 9 uncu maddede belirtilen hususlara,
b. Saklama kuruluşları için Ek/1; platformlar için Ek/1, Ek/2 ve Ek/3’te yer alan tablolara, c. Rezerv kanıt denetiminin mevzuata uygun bir şekilde gerçekleştirilmesini teminen denetime elverişli ortamın KVHS tarafından oluşturulduğuna ve denetim için gerekli bilgi, belge ve açıklamaların tam ve zamanında bilgi sistemleri denetçilerine sunulduğuna dair hazırlanan yönetim beyanına,
d. Denetim kapsamına alınan varlıkların teyit sonucuna ilişkin değerlendirmelere; bu kapsamda KVHS müşterilerine ait kripto varlık bakiyesi ile nakit bakiyesinin denetim kapsamı ile sınırlı olarak korunup korunmadığına dair denetçi görüşüne yer verilir.AÇIKLAMALAR:
SPK’dan Kripto Varlık Platformları İçin Yeni Rezerv Kanıtı Denetim Kuralları
Sermaye Piyasası Kurulu (SPK), kripto varlık hizmet sağlayıcılarının rezerv kanıtı denetimlerine ilişkin yeni düzenlemeleri açıkladı. Buna göre, kripto borsaları faaliyet izni alabilmek için belirli aralıklarla bağımsız denetim yaptırmak zorunda olacak.Denetim Sürecine İlişkin Önemli Kurallar:
3 Ayda Bir Zorunlu Denetim: Platformlar, her çeyrek dönemde rezerv kanıtı denetimi yaptıracak. Denetim sözleşmeleri, her dönem için ayrı ayrı veya yıllık olarak toplu şekilde imzalanabilecek. Denetçi Değişim Zorunluluğu:- Bir denetim şirketi, aynı platform için en fazla 12 dönem (3 yıl) çalışabilecek.
- Bir başdenetçi, ardışık 4 dönemden (1 yıl) fazla aynı platformu denetleyemeyecek.
- Müşteri varlıklarının tamamı (%100 rezerv kanıtı) kontrol edilecek.
- Cüzdan adresleri, saklama modelleri, ağ bilgileri, nakit bakiyeler ve likit varlıklar detaylı şekilde raporlanacak.
- Denetçiler, haber vermeden 2 rastgele tarih seçerek varlıkları blokzincir üzerinde doğrulayacak.
- Denetim raporu, dönem bitiminden sonra 10 iş günü içinde platforma, 15 iş günü içinde ise SPK’ya sunulacak.
- Raporlar yalnızca SPK ve platform yönetimiyle paylaşılacak, kamuya açıklanmayacak.
Bu Düzenleme Neden Önemli?
SPK’nın getirdiği bu kurallar, kripto varlık platformlarının şeffaflığını artırmayı ve müşteri varlıklarının güvende olduğunu kanıtlamayı amaçlıyor. Böylece, FTX benzeri iflasların önüne geçilmesi hedefleniyor.Sonuç: Türkiye’deki kripto sektörü, SPK denetimleriyle daha güvenli bir yapıya kavuşuyor. Kullanıcılar, rezerv kanıtı denetimi yapılan platformlarda varlıklarını daha güvenle tutabilecek.Kurul Karar Organı’nın i-SPK.35/B.2 (08/05/2025 tarih ve 30/846 s.k.) sayılı İlke Kararı:Aşağıda yer verilen i-SPK.35/B.2 (08/05/2025 tarih ve 30/846 s.k.) sayılı İlke Kararı’nın yürürlüğe konulmasına karar verilmiştir.III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ’in (Tebliğ) 48 inci maddesinin üçüncü fıkrası uyarınca periyodik olarak kripto varlık hizmet sağlayıcılar tarafından ve Tebliğ'in Geçici 1 inci maddesi uyarınca yapılacak faaliyet izni başvuruları öncesinde ise platformlar tarafından yaptırılması zorunlu olan rezerv kanıt denetim süreçlerinde uygulanmak üzere aşağıdaki ilke ve esaslar belirlenmiştir.III-62.2 sayılı Bilgi Sistemleri Bağımsız Denetim Tebliği’nde tanımlanan bilgi sistemleri denetçileri (bilgi sistemleri denetçi yardımcısı, bilgi sistemleri denetçisi, bilgi sistemleri kıdemli denetçisi, bilgi sistemleri başdenetçisi ve sorumlu bilgi sistemleri başdenetçisi) tarafından kripto varlık hizmet sağlayıcılar (KVHS) nezdinde yürütülecek rezerv kanıt denetimlerinde uygulanacak ilke, esas ve yöntemler aşağıdaki gibidir:1- Denetim dönemi, III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Şartlarına İlişkin Tebliğ’in III35/B.1 sayılı Tebliğ) 48 inci maddesinin üçüncü fıkrasında yer alan üçüncü, altıncı, dokuzuncu ve on ikinci ayları arasındaki her bir üçer aylık periyodu ifade eder.2- Kripto varlık hizmet sağlayıcılar ile bilgi sistemleri bağımsız denetim kuruluşları arasında, denetime tabi her üç aylık dönemin en geç ilk ayı içerisinde rezerv kanıt denetiminin yürütülmesine ilişkin olarak bir sözleşme imzalanır. Sözleşmenin söz konusu yılın diğer denetim dönemlerini de kapsayacak şekilde topluca imzalanması da mümkündür. Bir kripto varlık hizmet sağlayıcı arka arkaya en fazla 12 dönem rezerv kanıt denetimini aynı şirkete yaptırabilir. Bir sorumlu bilgi sistemleri başdenetçisi ise aynı kripto varlık hizmet sağlayıcı için arka arkaya en fazla 4 dönem rezerv kanıt denetim raporu imzalayabilir.3- İmzalanan sözleşme kapsamında kripto varlık hizmet sağlayıcılar, denetime konu olan her türlü kayıt, bilgi ve belge ile denetimin yapılacağı sistemleri hazır hale getirmekle yükümlüdür.I. Sözleşme imzalandıktan sonra, imzalanan sözleşmede belirlenen süre içerisinde kripto varlık hizmet sağlayıcılar tarafından aşağıdaki bilgiler bilgi sistemleri denetçisine sunulur ve denetim raporunda asgari olarak bu bilgilere yer verilir:
a. Denetim dönemi itibarıyla listelenen/saklaması yapılan kripto varlıkların listesi.
b. Müşterilere ait kripto varlıkların cari değeri.
c. Kripto varlıkların hangi ağlarda bulunduğu, saklama modeli ve erişim kontrol mekanizmalarına ilişkin bilgiler.
d. Kripto varlıkların saklandığı cüzdanların listesi ve adresleri.
e. Denetim sürecinin tamamlanabilmesini teminen bilgi sistemleri denetçisi tarafından talep edilebilecek diğer bilgi ve belgeler.
II. Platformlar bakımından, yukarıdakilere ek olarak aşağıdaki bilgiler de bilgi sistemleri denetçisine sunulur ve denetim raporunda asgari olarak bu bilgilere yer verilir:
a. Müşterilere ait nakit bakiye büyüklükleri.
b. Platforma ait kripto varlıkların cari değeri ile nakit bakiye büyüklükleri.
c. Platformun çalıştığı saklama kuruluşlarının listesi.
d. Nakit bakiyelere ilişkin banka ve hesap bilgileri.4- Bilgi sistemleri denetçisi, müşterilere ait kripto varlıklar içerisinde en büyük bakiyeye sahip asgari 10 kripto varlık olmak üzere, müşterilere ait toplam kripto varlık bakiyesinin en az %80’ine ulaşıncaya kadar denetim kapsamını oluşturur.5- Platformun likit rezervinde tutulan varlıkların tamamı denetim kapsamına alınır. Söz konusu varlıklar bakımından denetim sonuçlarına raporda ayrı bir başlık altında yer verilir.6- Denetimde, denetim kapsamına alınan kripto varlıkların %100’ünün varlığının teyit edilmesi gerekir. Likidite sağlayıcılık faaliyeti kapsamında oluşan müşteri varlıklarına ilişkin borç/alacak kayıtlarının kontrol edilerek kurum kaydi sistemi üzerinden teyit edilmesi yeterlidir. Ancak bu duruma denetim raporunda ek bir başlık altında yer verilmesi gerekir.7- Kapsama alınan kripto varlıklar dikkate alınarak kripto varlık hizmet sağlayıcı tarafından; müşteri varlıkları üzerinde doğrudan tasarruf yetkisi sağlayacak bilgiler hariç olmak üzere, bu varlıkların bulunduğu cüzdan adresleri, cüzdanların tipi (soğuk/sıcak), cüzdan adreslerinin bulunduğu dağıtık defter ağı, cüzdan altyapısı gibi cüzdan hareketlerinin kontrolü için gerekecek bilgiler sözleşmede belirtilen süre içerisinde bilgi sistemleri denetçisine verilir.8- Bilgi sistemleri denetçisi, denetim dönemi içerisinde denetim yapılacak rastgele iki farklı tarih belirler ve seçilen tarihlerde gün içinde kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda izlenen müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere alır. Seçilen tarihler, denetim tarihinin bir gün öncesine kadar kripto varlık hizmet sağlayıcı ile paylaşılmaz.
İncelemelerde Ek/1 uyarınca hesaplanacak toplam rezerv koruma oranının %100’ün altında kaldığının tespit edilmesi halinde bu durum derhal Kurul’a bildirilir.9- Bilgi sistemleri denetçisi, kripto varlık hizmet sağlayıcının ilettiği cüzdan adreslerinin kripto varlık hizmet sağlayıcıya ait olduğunun teyidini yapar. Teyit metoduna denetim raporunda yer verilir.10- Denetim sürecinde, BDS 500 Bağımsız Denetim Kanıtları Standardı, BDS 520 Analitik Prosedürler Standardı ve BDS 530 Bağımsız Denetimde Örnekleme Standardı hükümleri; denetim kanıtı, teknikleri ve örneklemesi bakımından kıyasen uygulanır.11- Bilgi sistemleri denetçisi, denetim sonuçlarını kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda yer alan veriler ile karşılaştırarak raporlar. Raporda karşılaştırma anına, atomik saat belirtilmek suretiyle yer verilir. Söz konusu raporun oluşturulmasında kullanılan tüm verilerin gerektiğinde Kurul ile paylaşılabilecek şekilde ve III-35/B.1 sayılı Tebliğ’in belge kayıt düzenlemelerine göre saklanması zorunludur.12- Cüzdan bakiyelerinin sorgulanması ile cüzdan doğrulama süreçlerinde kullanılacak araçlara raporda yer verilir.13- Denetim raporu, sorumlu bilgi sistemleri başdenetçisi tarafından imzalandığında kesinleşir ve denetim döneminin bitişini takip eden ilk 10 iş günü içinde kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığına teslim edilir. Kripto varlık hizmet sağlayıcının yönetim kurulu başkanlığınca teslim alınan denetim raporu her halükarda ilgili denetim döneminin bitimini takip eden 15 iş günü içerisinde raporun kabulüne yönelik yönetim kurulu kararıyla birlikte Kurul’a gönderilir.14- Denetim raporu denetlenen kripto varlık hizmet sağlayıcının yönetim kuruluna hitaben hazırlanır ve yönetim kurulu ve Kurul dışında herhangi bir taraf ile paylaşılmaz. Ancak kripto varlık hizmet sağlayıcıların internet sitelerinde, denetimi erçekleştiren firmaya ilişkin herhangi bir bilgiye yer verilmemek suretiyle müşterilere ait kripto varlıkların rezerv tutarlarına ve oranlarına son denetim raporuna uyumlu olmak kaydıyla yer verilebilir.15- Denetim raporunun;I) “Giriş” bölümünde asgari olarak;a. Denetimin amacı ve kapsamına,
b. Denetim sırasında kullanılan araç ve tekniklere,
c. Denetimin gerçekleştirildiği tarihlere,
d. Denetimde görevli bilgi sistemleri denetçilerinin ad, soyad, ünvan ve iletişim bilgilerine,
e. Denetimin söz konusu bağımsız denetim şirketi ve sorumlu bilgi sistemleri başdenetçisi tarafından arka arkaya kaçıncı defa gerçekleştirildiğineII) “Değerlendirme ve Sonuç” bölümünde asgari olarak;a. 3, 5, 6 ve 9 uncu maddede belirtilen hususlara,
b. Saklama kuruluşları için Ek/1; platformlar için Ek/1, Ek/2 ve Ek/3’te yer alan tablolara, c. Rezerv kanıt denetiminin mevzuata uygun bir şekilde gerçekleştirilmesini teminen denetime elverişli ortamın KVHS tarafından oluşturulduğuna ve denetim için gerekli bilgi, belge ve açıklamaların tam ve zamanında bilgi sistemleri denetçilerine sunulduğuna dair hazırlanan yönetim beyanına,
d. Denetim kapsamına alınan varlıkların teyit sonucuna ilişkin değerlendirmelere; bu kapsamda KVHS müşterilerine ait kripto varlık bakiyesi ile nakit bakiyesinin denetim kapsamı ile sınırlı olarak korunup korunmadığına dair denetçi görüşüne yer verilir.AÇIKLAMALAR:
- (1) Saklama kuruluşları tarafından saklama hizmeti sunulan her bir platform için ayrı tablolar halinde; doğrudan saklama hizmeti sunulan diğer müşteriler için ise tek bir tablo şeklinde hazırlanacaktır.
- (2) “Kripto Varlık Adı” başlıklı sütunda yer verilecek kripto varlıklar, “Müşterilere Ait Kripto Varlıkların Cari Değeri” dikkate alınarak büyükten küçüğe olacak şekilde sıralanmalıdır.
- (3) Platformlar bakımından kurum kaydi sistemi nezdinde izlenen müşteri varlıkları, saklama kuruluşları bakımından ise platform müşterileri ile bunların dışında kalan doğrudan saklama hizmeti sunduğu diğer müşteriler dikkate alınacaktır.
- (4) Rezerv koruma oranı; KVHS kontrolündeki cüzdanlarda saklanan müşterilere ait kripto varlık miktarının, KVHS kayıtlarında takip edilen müşterilere ait kripto varlık miktarına oranlanması suretiyle bulunacaktır.
- (5) Rezerv koruma oranı, %100’ün (1:1) altında ise ilgili sütuna giriş yapılması gerekmektedir.
- (6) Kripto varlıklar ile KVHS’nin alacakları hariç olmak üzere dönen varlıklarında yer alan kalemler dikkate alınacaktır.
- (7) III-35/B.2 sayılı Tebliğ'in 37 nci maddesinde belirtilen değerleme ilkeleri dikkate alınacaktır.
