Türkiye'de Yeni Kripto Varlık Düzenlemesi: Artık 3’lü Savunma Hattını Kurmanın Zamanı Geldi

Sanırım son dönemin en önemli gündem maddesi, Türkiye'de kripto varlık hizmet sağlayıcılarına yönelik yeni düzenlemeler. Geçtiğimiz haftalarda TBMM’ye sunulan “Sermaye Piyasası Kanununda Değişiklikler Yapılmasına Dair Kanun Teklifi”, kripto varlıklara ilişkin ilk yasal düzenleme olma özelliğini taşıyor. Bu yazıda, yeni kripto düzenlemesi kapsamında risk yönetimi ve denetim alanında beklenenler Avrupa Birliği'nin Markets in Crypto-Assets Regulation (MiCA) ile karşılaştırarak inceleyeceğim. Genellikle risk yönetim uzmanlarınca kullanılan ve şirketlerin risk yönetim yapılarına işaret eden “3’lü savunma hattı” kavramına birazdan değineceğim. Öncelikle, kamuoyuna duyurulan düzenleme maddesine göz attığımda iç kontrol kavramı üzerindeki vurgu gözüme çarpıyor. Birkaç noktada hizmet sağlayıcıların, yürüttükleri operasyonların tüm yönlerini denetleyecek bir iç kontrol birimi oluşturması gerektiği vurgulanıyor. Ayrıca, bu süreçlerin düzenli iç denetimlerle yasalarla tam uyumlu hale getirilmesi ve potansiyel risklerin erken tespiti için gelişmiş risk izleme sistemleri kurulması gerektiği belirtiliyor. Avrupa Birliği tarafından kabul edilen Markets in Crypto-Assets Regulation (MiCA) dokümanına göz attığımızda dokümanın farklı maddelerinde bu konulara birçok defa değinildiğini görebiliyoruz. Örneğin, MiCA'nın 18, 34 ve 36’ncı maddeleri, işleyişi ile ilgili ayrıntıların verildiği iç kontrol ve risk yönetim mekanizmalarının kurulmasını ve bu sistemlerin düzenli olarak gözden geçirilip güncellenmesini istiyor.

Bazılarımızın kafasında iç kontrol, risk yönetimi ve iç denetim kavramları ve aralarındaki farklara ilişkin soru işaretleri olabilir. Burada, sizleri çok sıkmadan biraz açıklama yapacağım. Her şirketin vizyon ve misyon tanımları çerçevesinde iş hedefleri bulunur. Bu hedefleri gerçekleştirmek üzere iş süreçleri kurgulanır ve işletilir. Ancak hayatın her alanında olduğu gibi iş süreçleri açısından da iş hedeflerini gerçekleştirmeyi etkileyebilecek belirsizlikler söz konusudur. Bu belirsizlikler risklerdir. Riskler tanımlanmalı, analiz edilmeli, kategorize edilmeli ve uygun yaklaşımlarla yönetilmelidir. Bu sisteme risk yönetimi diyoruz. Risk yönetimi sisteminin bir alt başlığı iç kontrol yapısıdır. İç kontrol, risk yönetim döngüsünün önemli bir parçasıdır ve kurumun risk iştahı ile ilgili iş süreci için tanımlanmış risk toleransına göre belirlenir.  

Şimdi 3’lü savunma hattı kavramına açıklama getireyim. Bu kavram, organizasyonları etkileyen risklerin, derinlemesine tasarlanmış süreçler ve fonksiyonlar aracılığıyla yönetilmesini ifade ediyor. Risk yönetimi ve iç kontrol, üçlü savunma hattının ikinci savunma hattında yer alır. Birinci savunma hattında ise, organizasyonun karşı karşıya kaldığı risklerle ilk teması sağlayan iş birimleri yer alır. İkinci savunma hattı, birinci savunma hattını risk yönetimi açısından eğitir, destekler ve yönlendirir. İç denetim fonksiyonu ise üçlü savunma hattının son kademesidir. Teorik olarak bağımsız bir yaklaşımla hem iş süreçlerini hem de risk yönetimi/iç kontrol sistemlerini inceleyerek, yönetim kuruluna raporlar. Eğer bir organizasyon başarılı olmak istiyorsa, bu yapıyı doğru şekilde kurmalı ve güçlendirmelidir. Aksi halde çok sevdiğim bir sözde olduğu gibi: "Yıldızlara ulaşmak için uzanan eller, bir saman çöpüne takılıp düşer."

Düzenlemede uyum konusunda da önemli maddeler bulunuyor: Hizmet sağlayıcıların tüm yasal gerekliliklere yönelik uyum programları geliştirmeleri gerektiği hükmedilmiş. Ayrıca, ilgili düzenleyici kurumlarla düzenli iletişim kurularak yasal değişikliklerden haberdar olunması ve gerekli uyum güncellemeleri yapılması gerektiği belirtiliyor. Bunu okuduğumda ilk aklıma gelen üç düzenleyici kuruluş SPK, MASAK ve KVKK oldu. Ancak düzenleme metni incelendiğinde, yeni dönemde TÜBİTAK’ın da kripto ekosisteminde önemli bir düzenleyici aktör olarak yer alacağını söyleyebiliriz. Düzenleme metninde uyum birimlerinin faaliyetlerinin de iç denetim kapsamında denetime tabi tutulması gerekliliği belirtiliyor. Benzer bir yaklaşımı MiCA’da da görüyoruz. MiCA'nın 18, 36 ve 43(3) maddelerinde, uyum fonksiyonunun kurulmasını ve uyum durumunun sürekli izlenip gerekli düzeltici tedbirlerin alınması vurguluyor.

Düzenlemede, bağımsız denetim kuruluşları tarafından düzenli denetimler yapılacağı müjdeliyor. Bu konuda BDDK ve SPK kapsamındaki kuruluşların edindiği tecrübeler, kripto varlık hizmet sağlayıcılara ışık tutacaktır. Yani sıkı durun, dış denetçiler geliyor. Bu Türkiye’de kripto varlık hizmet sağlayıcılar açısından daha sıkı bir denetim döneminin habercisi. Yine metinde, dış denetimler öncesinde, şirketlerin kendi bünyelerindeki iç denetim fonksiyonları ile gerekli hazırlıkları yapmaları isteniyor. Buradan yola çıkarak şunu rahatlıkla söyleyebilirim: Dış denetçiler şirketlerinize adım attıklarında, iç denetim başta olmak üzere tüm güvence fonksiyonlarına ait faaliyetleri ve raporlamalarını detaylı bir şekilde incelemek isteyecekler. Bu nedenle güvence fonksiyonlarında yer alan ekiplerinizi yetkin isimlerle güçlendirmenizi ve onları gerekli kaynaklarla desteklemenizi tavsiye ederim. FTX vakasını hatırlayalım. Olayların patlak vermesinin ardından FTX Group’un başına getirilen John Ray III, kariyerinde bir organizasyonun tüm seviyelerinde kurumsal kontrol yapısının bu kadar başarısız olduğu başka bir örnek görmediğini belirtmişti. Bunun gerekçeleri arasında “risk yönetim fonksiyonlarında FTX Group büyüklüğündeki bir şirkette beklenenden daha az ve deneyimsiz personel olması” da vardı. Dış denetim sonuçlarının da kamuoyu ile paylaşılması gerekeceği de yine metinde yer alıyor. Bu da kurumsallaşma açısından kripto varlık hizmet sağlayıcılar için motivasyonu artırıcı bir madde. MiCA’da da bu konular, Madde 34 ve 36’da düzenleniyor ve şirketlerin yılda bir kez denetim geçirecekleri vurgulanıyor.

Bu hafta sonu Chainalysis tarafından yayımlanan “The 2024 Crypto Crime Report” raporunu ayrıntılı olarak inceleme şansım olmuştu. Siber güvenlik konularının kripto ekosisteminin en önemli başlığı olmaya devam ettiği bu raporda da göze çarpıyor. Düzenleme metninde, hizmet sağlayıcıların bilgi sistemlerini ve altyapılarını siber saldırılara karşı korumak için tüm personele yönelik farkındalık eğitim programlarının hayata geçirilmesi, en son güvenlik protokollerinin devreye alınması ve olay yönetim süreçlerinin hayata geçirilmesi vurgulanmış. Şirketlerin kendi siber güvenlik olgunluk seviyelerini analiz edip, bunu güçlendirmek için adımlar atması gerekiyor. Bir tavsiye olarak KVKK kapsamında sunulan Teknik Tedbirler Rehberi ve Cumhurbaşkanlığı Dönüşüm Ofisinin yayımladığı “Bilgi ve İletişim Güvenliği Rehberi” çok iyi iki kılavuz olabilir. Bu düzenlemede buna ilişkin bir yönlendirme bulunmuyor. Ancak kripto varlık hizmet sağlayıcıların hizmet sunduğu alan göz önüne alındığında bu iki dokümanın hükümlerinin yerine getirmelerinin gerekli olduğunu düşünüyorum. MiCA’da siber güvenlik konusu, Madde 75 altında değiniliyor ve hizmet sağlayıcının müşteri varlıklarını siber saldırılara karşı korumak için gerekli tedbirleri alması gerekliliği vurgulanıyor. Ayrıca Madde 95 ve 101’de veri korumaya ilişkin hususlara da değiniliyor.

Yazı boyunca sizlere düzenleme metninde geçen güvence fonksiyonları ile ilgili kısa da olsa bilgiler sundum. Bu fonksiyonların oluşturulması ve etkin bir şekilde çalışması, zaman ve çaba gerektiren bir süreç. Ancak, bu adımların atılması sektördeki güveni artırmak ve sürdürülebilir bir büyüme açısından çok önemli. Unutmayın ki, günümüz iş dünyasında “güven unsuru” artık rekabetçi bir avantaj.