Kripto Varlık Ekosisteminde Paydaşların Güven İhtiyacı Nasıl Karşılanır?

2009 yılında blok zinciri teknolojisiyle hayatımıza giren kripto paralar, yasal fiziksel para birimlerine güçlü bir alternatif olarak birçok yatırımcı, kuruluş ve regülatörün dikkatini çekti. Kripto para birimlerinin, çarpıcı bir teknoloji ürünü olmalarına rağmen kullanıcıların mağduriyetine yol açabilmeleri ve kontrolsüz bir sistem içerisinde ilerlemeleri nedeniyle regülasyon ihtiyacı arttı. Belli ülkelerde, kripto para birimlerine ilişkin düzenlemeler değişti. Ülkelerin sosyoekonomik koşullara ve finansal sistemlere yönelik farklı güven algıları, farklı düzenleyici adımlarının ortaya çıkmasına neden oldu. Bununla birlikte, kripto paraların dünya çapında yasal bir statü kazanarak düzenlenmesinin kripto paraların kara para aklama, vergi kaçakçılığı veya uyuşturucu kaçakçılığı gibi yasa dışı faaliyetlerde kullanılmasını önleyerek uzun vadede bu varlıkların değerini artıracağı düşünülüyor. 

Sektör olgunlaştıkça kripto para ekosistemindeki oyuncular özellikle yatırımcı ve menfaat sahibi paydaşlar tarafında güveni oluşturmak ve sürdürmek adına bağımsız bir dış gözle güvence hizmetlerine ihtiyaç duyuyorlar. Kripto varlıkları olan veya kripto varlıklarla işlem yapan bir şirkete bağımsız denetim hizmetinin verilebilmesi için, ilgili şirketin veya hizmet sağlayıcılarının etkili bir iç kontrol sistemine sahip olmaları gerekir. İç kontrol sisteminin olmadığı veya bağımsız denetime tabi dönem boyunca etkin bir şekilde işlemediği veya etkin bir şekilde işlediğine dair denetim kanıtlarının bulunmadığı durumlarda, yeterli ve uygun denetim kanıtı elde edilemeyecek ve dolayısıyla bağımsız denetim hizmeti verilmesi mümkün olmayacak. 

Kripto varlıkların da diğer varlıklar gibi risk değerlenmesi yapılmalı

• Cüzdan yönetim süreci: Denetim ekibinin şirketlerin sahip olduğu cüzdanların yönetimine ilişkin uyguladığı iş ve bilgi sistemleri süreçlerini anlaması şart. Farklı cüzdan tiplerinin farklı siber güvenlik riskleri, veri bütünlüğü ve tamlığı öncelikli olmak üzere, bilgi teknolojileri kaynaklı diğer riskler gibi operasyonel riskleri bulunuyor. Bu risklerin yönetimi açısından, cüzdan yönetimine ilişkin bilgi teknolojileri genel kontrolleri ve iş süreçleri dahilindeki otomatik veya manuel uygulama kontrolleri her bir cüzdanda tutulan işlemlerin güvenliğini sağlamak açısından kritik önem taşıyor.

• Özel anahtarın güvenliği (anahtar oluşturma, dağıtım ve rotasyon süreçleri; anahtar depolama ve yönetim süreçleri için kullanılan varlıklara ilişkin fiziksel ve mantıksal kontroller; siber tehdit ve güvenlik açığı yönetimine ilişkin süreçler ve kontroller): Özel anahtarlara erişim, erişim sağlanan kişiye ilgili kripto varlığa da erişim hakkı sağlar. Şirketlerin bir özel anahtara erişiminin olması, ilgili genel adresteki işlemlerin de sahibi olduğunu göstermez. Bu durum, kripto varlıkların sahipliğine ilişkin denetim kanıtı edinmeyi zorlaştırır.

• Üçüncü taraf hizmet sağlayıcı kullanımı: Şirket, sahip olduğu kripto varlıklarının saklanması ve raporlanması veya ilgili kripto varlıkların muhafaza edildiği cüzdanların tutulması için üçüncü bir taraftan hizmet alabilir. Bu durumda, dış teyit yöntemine ilave olarak, üçüncü taraf hizmet sağlayıcının kripto varlıklara ilişkin etkin bir iç kontrol sistemine sahip olduğuna dair denetim kanıtı alınması da gerekiyor (ISAE 3402 - SOC).

Kripto paralarda dijital güven

Cüzdan ve özel anahtar yönetimi gibi, kripto yönetimi süreç kontrolleri yanında erişim güvenliği, sistem ve uygulama yazılım geliştirme, değişiklik yönetimi, fiziksel güvenlik ve ağ operasyonlarını da içerecek Genel Bilgi Teknolojileri kontrolleri de iç kontrollerin etkinliği değerlendirmelerinde göz önünde bulundurulmalı.

Bağımsız denetim ve güvence raporları kripto varlık ekosistemindeki paydaşların güvence ihtiyaçlarını karşılamak ve olası mağduriyetlerin önüne geçmek için en etkili yöntemlerden biri. Olası düzenlemelerin, uluslararası uygulamalarla tutarlı olarak bağımsız denetimi zorunlu kılmasının önemli bir ihtiyaca cevap veren akılcı bir adım olacağını düşünüyoruz.