Bu doküman Resmi Gazete dışında bir kaynakta yayınlanmıştır. Konsolide metin çalışmaları ilgili kaynak güncellendikçe sağlanabilmektedir.
Aşağıda yer verilen i-SPK.35/B.2 (08/05/2025 tarih ve 30/846 s.k.) sayılı İlke Kararı’nın yürürlüğe konulmasına karar verilmiştir.
III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ’in (Tebliğ) 48 inci maddesinin üçüncü fıkrası uyarınca periyodik olarak kripto varlık hizmet sağlayıcılar tarafından ve Tebliğ'in Geçici 1 inci maddesi uyarınca yapılacak faaliyet izni başvuruları öncesinde ise platformlar tarafından yaptırılması zorunlu olan rezerv kanıt denetim süreçlerinde uygulanmak üzere aşağıdaki ilke ve esaslar belirlenmiştir.
III-62.2 sayılı Bilgi Sistemleri Bağımsız Denetim Tebliği’nde tanımlanan bilgi sistemleri denetçileri (bilgi sistemleri denetçi yardımcısı, bilgi sistemleri denetçisi, bilgi sistemleri kıdemli denetçisi, bilgi sistemleri başdenetçisi ve sorumlu bilgi sistemleri başdenetçisi) tarafından kripto varlık hizmet sağlayıcılar (KVHS) nezdinde yürütülecek rezerv kanıt denetimlerinde uygulanacak ilke, esas ve yöntemler aşağıdaki gibidir:
1- Denetim dönemi, III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Şartlarına İlişkin Tebliğ’in (III-35/B.1 sayılı Tebliğ) 48 inci maddesinin üçüncü fıkrasında yer alan üçüncü, altıncı, dokuzuncu ve on ikinci ayları arasındaki her bir üçer aylık periyodu ifade eder.
2- Kripto varlık hizmet sağlayıcılar ile bilgi sistemleri bağımsız denetim kuruluşları arasında, denetime tabi her üç aylık dönemin en geç ilk ayı içerisinde rezerv kanıt denetiminin yürütülmesine ilişkin olarak bir sözleşme imzalanır. Sözleşmenin söz konusu yılın diğer denetim dönemlerini de kapsayacak şekilde topluca imzalanması da mümkündür. Bir kripto varlık hizmet sağlayıcı arka arkaya en fazla 12 dönem rezerv kanıt denetimini aynı şirkete yaptırabilir. Bir sorumlu bilgi sistemleri başdenetçisi ise aynı kripto varlık hizmet sağlayıcı için arka arkaya en fazla 4 dönem rezerv kanıt denetim raporu imzalayabilir.
3- İmzalanan sözleşme kapsamında kripto varlık hizmet sağlayıcılar, denetime konu olan her türlü kayıt, bilgi ve belge ile denetimin yapılacağı sistemleri hazır hale getirmekle yükümlüdür.
I. Sözleşme imzalandıktan sonra, imzalanan sözleşmede belirlenen süre içerisinde kripto varlık hizmet sağlayıcılar tarafından aşağıdaki bilgiler bilgi sistemleri denetçisine sunulur ve denetim raporunda asgari olarak bu bilgilere yer verilir:
a. Denetim dönemi itibarıyla listelenen/saklaması yapılan kripto varlıkların listesi.
b. Müşterilere ait kripto varlıkların cari değeri.
c. Kripto varlıkların hangi ağlarda bulunduğu, saklama modeli ve erişim kontrol mekanizmalarına ilişkin bilgiler.
d. Kripto varlıkların saklandığı cüzdanların listesi ve adresleri.
e. Denetim sürecinin tamamlanabilmesini teminen bilgi sistemleri denetçisi tarafından talep edilebilecek diğer bilgi ve belgeler.
II. Platformlar bakımından, yukarıdakilere ek olarak aşağıdaki bilgiler de bilgi sistemleri denetçisine sunulur ve denetim raporunda asgari olarak bu bilgilere yer verilir:
a. Müşterilere ait nakit bakiye büyüklükleri.
b. Platforma ait kripto varlıkların cari değeri ile nakit bakiye büyüklükleri.
c. Platformun çalıştığı saklama kuruluşlarının listesi.
d. Nakit bakiyelere ilişkin banka ve hesap bilgileri.
4- Bilgi sistemleri denetçisi, müşterilere ait kripto varlıklar içerisinde en büyük bakiyeye sahip asgari 10 kripto varlık olmak üzere, müşterilere ait toplam kripto varlık bakiyesinin en az %80’ine ulaşıncaya kadar denetim kapsamını oluşturur.
5- Platformun likit rezervinde tutulan varlıkların tamamı denetim kapsamına alınır. Söz konusu varlıklar bakımından denetim sonuçlarına raporda ayrı bir başlık altında yer verilir.
6- Denetimde, denetim kapsamına alınan kripto varlıkların %100’ünün varlığının teyit edilmesi gerekir. Likidite sağlayıcılık faaliyeti kapsamında oluşan müşteri varlıklarına ilişkin borç/alacak kayıtlarının kontrol edilerek kurum kaydi sistemi üzerinden teyit edilmesi yeterlidir. Ancak bu duruma denetim raporunda ek bir başlık altında yer verilmesi gerekir.
7- Kapsama alınan kripto varlıklar dikkate alınarak kripto varlık hizmet sağlayıcı tarafından; müşteri varlıkları üzerinde doğrudan tasarruf yetkisi sağlayacak bilgiler hariç olmak üzere, bu varlıkların bulunduğu cüzdan adresleri, cüzdanların tipi (soğuk/sıcak), cüzdan adreslerinin bulunduğu dağıtık defter ağı, cüzdan altyapısı gibi cüzdan hareketlerinin kontrolü için gerekecek bilgiler sözleşmede belirtilen süre içerisinde bilgi sistemleri denetçisine verilir.
8- Bilgi sistemleri denetçisi, denetim dönemi içerisinde denetim yapılacak rastgele iki farklı tarih belirler ve seçilen tarihlerde gün içinde kripto varlık hizmet sağlayıcı nezdindeki kayıtlarda izlenen müşteri varlık bilgilerini dağıtık defter ağındaki varlıklarla karşılaştırmak üzere alır. Seçilen tarihler, denetim tarihinin bir gün öncesine kadar kripto varlık hizmet sağlayıcı ile paylaşılmaz. İncelemelerde Ek/1 uyarınca hesaplanacak toplam rezerv koruma oranının %100’ün altında kaldığının tespit edilmesi halinde bu durum derhal Kurul’a bildirilir.