Bu yazıda Kripto Varlık Hizmet Sağlayıcılar için III-35/B.1 sayılı SPK Tebliği hükümleri çerçevesinde öngörülen sistemi, önemli bir kripto varlık hizmet sağlayıcı da kurmuş ve yönetmiş bir uzman olarak ele alıyorum.

Uzun yıllardır IIA ve ISACA bünyesinde; finans sektörü başta olmak üzere birçok kurumun iç denetim, risk yönetimi, iç kontrol, teknoloji yönetişimi ve siber güvenlik ekiplerine uluslararası sertifikasyonlara yönelik eğitimler veriyorum. Bugün ise, gelişimini yakından takip etmekten keyif aldığım bir sektörde, bu uzmanlık alanlarına duyulan ihtiyacın artmasını görmek benim için ayrı bir mutluluk kaynağı.

Bu ilk yazıda mevzuat kapsamında öngörülen sistemi kısaca tanıtacağım. Bir sonraki yazıda her bir fonksiyonun kurulması ve işletilmesinde dikkat edilmesi gereken başlıkları ele alacağım. Takipte kalın…

Türkiye’de kripto varlık hizmet sağlayıcılarının yasal altyapısı hızla gelişiyor. Artık bu kuruluşlar yalnızca teknoloji girişimleri değil; mevzuatla tanımlanmış, kurumsal yapılarla hareket etmesi beklenen finansal aktörler. Bu çerçevede, Sermaye Piyasası Kurulu’nun III-35/B.1 sayılı Tebliği, kripto varlık hizmet sağlayıcılara yönelik iç denetim, iç kontrol ve risk yönetimi sistemlerinin kurulmasını ve etkin biçimde işletilmesini zorunlu kılıyor.

Peki bu üç sistem ne anlama geliyor, nasıl işlemesi gerekiyor

İç Denetim: Kurum İçi Güvence Mekanizması

(Madde 43)

İç denetim faaliyeti, kripto varlık hizmet sağlayıcının iç kontrol ve risk yönetim sistemlerinin etkinliği, yeterliliği ve mevzuata uygunluğunu denetlemek üzere kurulan ve doğrudan yönetim kuruluna bağlı çalışan birimdir.

Tebliğe göre (m.43/3), iç denetim tüm faaliyetleri ve birimleri kapsayacak şekilde yürütülmelidir. İç denetçiler şirketin bilgi sistemleri dahil olmak üzere tüm varlıklarını, kayıtlarını ve personelini denetleyebilir. Gerekirse ifade alabilir, soruşturma başlatabilir ve yönetim kuruluna ilgili personele ilişkin geçici görevden alma önerisinde bulunabilir.

Her yıl en az bir kez, mevzuata uyum ve iç prosedürlere ilişkin denetim yapılması zorunludur (m.43/4).

İç Denetim Birimlerinin Görevleri:

  1. Tüm faaliyet ve birimlerin denetimi: İç kontrol ve risk yönetimi süreçleri dahil olmak üzere, tüm faaliyetlerin etkinliğini, yeterliliğini ve uyumunu değerlendirmek.
  2. Bağımsız denetim: Günlük faaliyetlerden bağımsız olarak sistematik ve tarafsız denetim faaliyetleri yürütmek.
  3. Kanıt temelli raporlama: Bulgulara dayalı raporları yönetim kuruluna sunmak ve belirlenen süreyle saklamak.
  4. Yerinde inceleme ve denetim: Tüm varlıkları, hesapları, belgeleri ve personeli incelemek; gerektiğinde soruşturma başlatmak.
  5. Gizlilik ve tarafsızlık: Erişilen bilgilerin gizliliğini sağlamak, kişisel çıkar sağlamamak ve tarafsızlık ilkesine bağlı kalmak.
  6. Yılda en az bir denetim gerçekleştirmek: Mevzuata uyum ve iş akış prosedürlerine yönelik.

İç Kontrol: Günlük Süreçlerin Uygunluğunu Gözeten Sistem

(Madde 44)

İç kontrol sistemi, mevzuata, iç politikalara ve MASAK düzenlemelerine uygun şekilde tüm iş ve işlemlerin düzenli, etkin ve güvenli yürütülmesini sağlar. (m.44/1)

İç kontrol faaliyeti, hem genel iş süreçlerini hem de bilgi sistemleri iç kontrolünü kapsar (m.44/2). Kritik nokta şu: İç kontrol mekanizması, günlük operasyonların bir parçası olarak işler. Riskli alanları anında fark edebilecek bir düzen içinde kurulur.

İç kontrol personeli yalnızca bu göreve odaklanmalı, başka sorumluluk verilmemelidir (m.44/6). Ayrıca personelin, uygunsuzlukları veya şüpheli durumları doğrudan üst yönetime bildirebileceği prosedürler tanımlanmalıdır (m.44/4).

İç Kontrol Birimlerinin Görevleri:

  1. Günlük işleyişi izlemek: Tüm iş ve işlemlerin strateji, mevzuat ve politikalarla uyumlu yürütülmesini sağlamak.
  2. Veri güvenliği ve sistem bütünlüğü: Bilgi sistemleri, kayıt düzeni ve güvenlik önlemlerinin işlerliğini sağlamak.
  3. Hile, usulsüzlük ve yasa dışı işlemleri önlemek: Süreçlerin içine yerleşmiş kontrol mekanizmalarıyla anomali tespiti yapmak.
  4. Personelin katılımını sağlamak: Kontrol mekanizmasına her düzeyde personelin etkin katılımını temin etmek.
  5. Sorumluluk alanını aşmamak: İç kontrol personeli yalnızca bu görev için istihdam edilmeli, başka sorumluluk almamalıdır.
  6. Tespitleri ilgili birimlere aktarmak: Hata veya usulsüzlüklerin ilgili bölümlere bildirilmesi, gerektiğinde teftiş önerisi sunmak.

Risk Yönetimi: Erken Uyarı ve Kontrol Sistemi

(Madde 45)

Risk yönetim faaliyeti, kripto varlık hizmet sağlayıcının sunduğu hizmetler sebebiyle maruz kalabileceği risklerin tanımlanması, ölçülmesi ve kontrolünü kapsar (m.45/1).

Riskler tanımlanırken bilgi sistemlerinden siber tehditlere, fiziksel güvenlikten personel kaynaklı risklere kadar çok geniş bir çerçeve esas alınmalıdır (m.45/2).

Ayrıca, fiyat gözetim sistemi dahil olmak üzere riski doğrudan etkileyen süreçler de bu kapsamda değerlendirilir. Eğer kritik bir risk gerçekleşir ya da tehdit belirlenirse, risk yönetimi birimi iç kontrol birimiyle birlikte durumu yönetim kuruluna raporlamakla yükümlüdür (m.45/4).

Risk Yönetim Birimlerinin Görevleri

  1. Tüm risklerin tanımlanması ve ölçülmesi: Operasyonel, finansal, bilgi sistemleri ve stratejik riskler dahil olmak üzere kapsamlı risk yönetimi yapmak.
  2. Risk raporlama: Olağandışı bir durum veya müşteri varlıklarını tehdit edebilecek bir risk tespitinde iç kontrol birimiyle iş birliği yaparak yönetim kuruluna rapor sunmak.
  3. Risk azaltıcı stratejiler belirlemek: Uygun önlemleri almak ve üst yönetime bildirmek.
  4. Bilişim sistemleri ve siber tehditler: Yetkisiz erişim, bilgi güvenliği ihlalleri ve saldırı risklerini izlemek.
  5. Fiyat gözetim sistemini yürütmek: Risk yönetiminin bir parçası olarak fiyat hareketlerini izlemek ve denetlemek.

Neden Bu Kadar Detaylı?

Çünkü SPK’nın amacı yalnızca regülasyona uyum sağlamak değil—kripto varlık hizmet sağlayıcıların uzun vadeli, kurumsal ve güven temelli yapılar hâline gelmesini teşvik etmektir.

İç denetim, iç kontrol ve risk yönetimi sistemleri; kurumların iç işleyişini şeffaflaştıran, hesap verebilirliği artıran ve yatırımcı güvenini pekiştiren temel yapı taşlarıdır.

Bugün kurulan bu sistemler; sürdürülebilirlik, uyum ve krizlere karşı direnç gibi konularda organizasyonlara uzun vadeli avantajlar sağlar.

Bu alanlarda bilgi ve yetkinliğinizi artırmak isterseniz, Fintech İstanbul Akademi tarafından sunulan eğitim programlarına göz atmanızı tavsiye ederim.

Gökhan Polat
Gökhan Polat
Danışman, Teknoloji Risk, Dijital Güven ve Dijital Dönüşüm Konu Uzmanı. TSK bünyesinde subay olarak uzun yıllar görev yaptı. Bu dönemde, NATO uluslararası karargahında bilgi toplama ve analiz uzmanı olarak yer aldı. Özel sektörde, EY Türkiye ve SabancıDx bünyesinde bilgi teknolojileri veri koruma alanında projeler yönetti. CSA’nın globaldeki Blockchain Security Governance çalışma grubunda risk yönetimine ilişkin çerçeve geliştirme çalışmalarında yer almaktadır. Yine CSA Türkiye bünyesinde Blokzinciri GRC Çalışma Grubunun da kurarak, global ortamdaki bilgi birikiminin ülkemize aktarılması için çalışmalar yürütmektedir. Blok zinciri teknolojileri alanında hizmetler sunan BTguru firmasının da danışma kurulu üyesidir. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı eğitim ve danışmanlık hizmetleri sunmaktadır. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı içerikler yayınlamakta ayrıca Averest Training and Consultancy şirketinde Strateji ve İş Geliştirme Lideri olarak görev yapmaktadır.
Instagram Linkedin Twitter