Yazarlar

Piyasalar

Şirketler

Teknoloji

Öğren

Politika

DeFi

TV&Video

Podcast

Etkinlikler

Sponsorlu İçerik

Consensus Magazine

E-Bülten

Yazarlar

Türkiye'de Yeni Kripto Varlık Düzenlemesi: Artık 3’lü Savunma Hattını Kurmanın Zamanı Geldi

Bazılarımızın kafasında iç kontrol, risk yönetimi ve iç denetim kavramları ve aralarındaki farklara ilişkin soru işaretleri olabilir.

27 Mayıs 2024 12:03

Güncellenme: 3 Haziran 2024 10:22

Gökhan Polat

TSK bünyesinde subay olarak uzun yıllar görev yaptı. Bu dönemde, NATO uluslararası karargahında bilgi toplama ve analiz uzmanı olarak yer aldı. Özel sektörde, EY Türkiye ve SabancıDx bünyesinde bilgi teknolojileri veri koruma alanında projeler yönetti. CSA’nın globaldeki Blockchain Security Governance çalışma grubunda risk yönetimine ilişkin çerçeve geliştirme çalışmalarında yer almaktadır. Yine CSA Türkiye bünyesinde Blokzinciri GRC Çalışma Grubunun da kurarak, global ortamdaki bilgi birikiminin ülkemize aktarılması için çalışmalar yürütmektedir. Blok zinciri teknolojileri alanında hizmetler sunan BTguru firmasının da danışma kurulu üyesidir. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı eğitim ve danışmanlık hizmetleri sunmaktadır. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı içerikler yayınlamakta ayrıca Averest Training and Consultancy şirketinde Strateji ve İş Geliştirme Lideri olarak görev yapmaktadır.

Sanırım son dönemin en önemli gündem maddesi, Türkiye'de kripto varlık hizmet sağlayıcılarına yönelik yeni düzenlemeler. Geçtiğimiz haftalarda TBMM’ye sunulan “Sermaye Piyasası Kanununda Değişiklikler Yapılmasına Dair Kanun Teklifi”, kripto varlıklara ilişkin ilk yasal düzenleme olma özelliğini taşıyor. Bu yazıda, yeni kripto düzenlemesi kapsamında risk yönetimi ve denetim alanında beklenenler Avrupa Birliği'nin Markets in Crypto-Assets Regulation (MiCA) ile karşılaştırarak inceleyeceğim. Genellikle risk yönetim uzmanlarınca kullanılan ve şirketlerin risk yönetim yapılarına işaret eden “3’lü savunma hattı” kavramına birazdan değineceğim. Öncelikle, kamuoyuna duyurulan düzenleme maddesine göz attığımda iç kontrol kavramı üzerindeki vurgu gözüme çarpıyor. Birkaç noktada hizmet sağlayıcıların, yürüttükleri operasyonların tüm yönlerini denetleyecek bir iç kontrol birimi oluşturması gerektiği vurgulanıyor. Ayrıca, bu süreçlerin düzenli iç denetimlerle yasalarla tam uyumlu hale getirilmesi ve potansiyel risklerin erken tespiti için gelişmiş risk izleme sistemleri kurulması gerektiği belirtiliyor. Avrupa Birliği tarafından kabul edilen Markets in Crypto-Assets Regulation (MiCA) dokümanına göz attığımızda dokümanın farklı maddelerinde bu konulara birçok defa değinildiğini görebiliyoruz. Örneğin, MiCA'nın 18, 34 ve 36’ncı maddeleri, işleyişi ile ilgili ayrıntıların verildiği iç kontrol ve risk yönetim mekanizmalarının kurulmasını ve bu sistemlerin düzenli olarak gözden geçirilip güncellenmesini istiyor.


Bazılarımızın kafasında iç kontrol, risk yönetimi ve iç denetim kavramları ve aralarındaki farklara ilişkin soru işaretleri olabilir. Burada, sizleri çok sıkmadan biraz açıklama yapacağım. Her şirketin vizyon ve misyon tanımları çerçevesinde iş hedefleri bulunur. Bu hedefleri gerçekleştirmek üzere iş süreçleri kurgulanır ve işletilir. Ancak hayatın her alanında olduğu gibi iş süreçleri açısından da iş hedeflerini gerçekleştirmeyi etkileyebilecek belirsizlikler söz konusudur. Bu belirsizlikler risklerdir. Riskler tanımlanmalı, analiz edilmeli, kategorize edilmeli ve uygun yaklaşımlarla yönetilmelidir. Bu sisteme risk yönetimi diyoruz. Risk yönetimi sisteminin bir alt başlığı iç kontrol yapısıdır. İç kontrol, risk yönetim döngüsünün önemli bir parçasıdır ve kurumun risk iştahı ile ilgili iş süreci için tanımlanmış risk toleransına göre belirlenir.  


Şimdi 3’lü savunma hattı kavramına açıklama getireyim. Bu kavram, organizasyonları etkileyen risklerin, derinlemesine tasarlanmış süreçler ve fonksiyonlar aracılığıyla yönetilmesini ifade ediyor. Risk yönetimi ve iç kontrol, üçlü savunma hattının ikinci savunma hattında yer alır. Birinci savunma hattında ise, organizasyonun karşı karşıya kaldığı risklerle ilk teması sağlayan iş birimleri yer alır. İkinci savunma hattı, birinci savunma hattını risk yönetimi açısından eğitir, destekler ve yönlendirir. İç denetim fonksiyonu ise üçlü savunma hattının son kademesidir. Teorik olarak bağımsız bir yaklaşımla hem iş süreçlerini hem de risk yönetimi/iç kontrol sistemlerini inceleyerek, yönetim kuruluna raporlar. Eğer bir organizasyon başarılı olmak istiyorsa, bu yapıyı doğru şekilde kurmalı ve güçlendirmelidir. Aksi halde çok sevdiğim bir sözde olduğu gibi: "Yıldızlara ulaşmak için uzanan eller, bir saman çöpüne takılıp düşer."


Düzenlemede uyum konusunda da önemli maddeler bulunuyor: Hizmet sağlayıcıların tüm yasal gerekliliklere yönelik uyum programları geliştirmeleri gerektiği hükmedilmiş. Ayrıca, ilgili düzenleyici kurumlarla düzenli iletişim kurularak yasal değişikliklerden haberdar olunması ve gerekli uyum güncellemeleri yapılması gerektiği belirtiliyor. Bunu okuduğumda ilk aklıma gelen üç düzenleyici kuruluş SPK, MASAK ve KVKK oldu. Ancak düzenleme metni incelendiğinde, yeni dönemde TÜBİTAK’ın da kripto ekosisteminde önemli bir düzenleyici aktör olarak yer alacağını söyleyebiliriz. Düzenleme metninde uyum birimlerinin faaliyetlerinin de iç denetim kapsamında denetime tabi tutulması gerekliliği belirtiliyor. Benzer bir yaklaşımı MiCA’da da görüyoruz. MiCA'nın 18, 36 ve 43(3) maddelerinde, uyum fonksiyonunun kurulmasını ve uyum durumunun sürekli izlenip gerekli düzeltici tedbirlerin alınması vurguluyor.


Düzenlemede, bağımsız denetim kuruluşları tarafından düzenli denetimler yapılacağı müjdeliyor. Bu konuda BDDK ve SPK kapsamındaki kuruluşların edindiği tecrübeler, kripto varlık hizmet sağlayıcılara ışık tutacaktır. Yani sıkı durun, dış denetçiler geliyor. Bu Türkiye’de kripto varlık hizmet sağlayıcılar açısından daha sıkı bir denetim döneminin habercisi. Yine metinde, dış denetimler öncesinde, şirketlerin kendi bünyelerindeki iç denetim fonksiyonları ile gerekli hazırlıkları yapmaları isteniyor. Buradan yola çıkarak şunu rahatlıkla söyleyebilirim: Dış denetçiler şirketlerinize adım attıklarında, iç denetim başta olmak üzere tüm güvence fonksiyonlarına ait faaliyetleri ve raporlamalarını detaylı bir şekilde incelemek isteyecekler. Bu nedenle güvence fonksiyonlarında yer alan ekiplerinizi yetkin isimlerle güçlendirmenizi ve onları gerekli kaynaklarla desteklemenizi tavsiye ederim. FTX vakasını hatırlayalım. Olayların patlak vermesinin ardından FTX Group’un başına getirilen John Ray III, kariyerinde bir organizasyonun tüm seviyelerinde kurumsal kontrol yapısının bu kadar başarısız olduğu başka bir örnek görmediğini belirtmişti. Bunun gerekçeleri arasında “risk yönetim fonksiyonlarında FTX Group büyüklüğündeki bir şirkette beklenenden daha az ve deneyimsiz personel olması” da vardı. Dış denetim sonuçlarının da kamuoyu ile paylaşılması gerekeceği de yine metinde yer alıyor. Bu da kurumsallaşma açısından kripto varlık hizmet sağlayıcılar için motivasyonu artırıcı bir madde. MiCA’da da bu konular, Madde 34 ve 36’da düzenleniyor ve şirketlerin yılda bir kez denetim geçirecekleri vurgulanıyor.


Bu hafta sonu Chainalysis tarafından yayımlanan “The 2024 Crypto Crime Report” raporunu ayrıntılı olarak inceleme şansım olmuştu. Siber güvenlik konularının kripto ekosisteminin en önemli başlığı olmaya devam ettiği bu raporda da göze çarpıyor. Düzenleme metninde, hizmet sağlayıcıların bilgi sistemlerini ve altyapılarını siber saldırılara karşı korumak için tüm personele yönelik farkındalık eğitim programlarının hayata geçirilmesi, en son güvenlik protokollerinin devreye alınması ve olay yönetim süreçlerinin hayata geçirilmesi vurgulanmış. Şirketlerin kendi siber güvenlik olgunluk seviyelerini analiz edip, bunu güçlendirmek için adımlar atması gerekiyor. Bir tavsiye olarak KVKK kapsamında sunulan Teknik Tedbirler Rehberi ve Cumhurbaşkanlığı Dönüşüm Ofisinin yayımladığı “Bilgi ve İletişim Güvenliği Rehberi” çok iyi iki kılavuz olabilir. Bu düzenlemede buna ilişkin bir yönlendirme bulunmuyor. Ancak kripto varlık hizmet sağlayıcıların hizmet sunduğu alan göz önüne alındığında bu iki dokümanın hükümlerinin yerine getirmelerinin gerekli olduğunu düşünüyorum. MiCA’da siber güvenlik konusu, Madde 75 altında değiniliyor ve hizmet sağlayıcının müşteri varlıklarını siber saldırılara karşı korumak için gerekli tedbirleri alması gerekliliği vurgulanıyor. Ayrıca Madde 95 ve 101’de veri korumaya ilişkin hususlara da değiniliyor.


Yazı boyunca sizlere düzenleme metninde geçen güvence fonksiyonları ile ilgili kısa da olsa bilgiler sundum. Bu fonksiyonların oluşturulması ve etkin bir şekilde çalışması, zaman ve çaba gerektiren bir süreç. Ancak, bu adımların atılması sektördeki güveni artırmak ve sürdürülebilir bir büyüme açısından çok önemli. Unutmayın ki, günümüz iş dünyasında “güven unsuru” artık rekabetçi bir avantaj.




Daha Fazla Oku

    Türkiyekripto varlık düzenlemesiMİCA

Günün Gelişmeleri İçin E-Bültenimize Abone Olun

E-Bültenimize abone olarak onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.


YASAL UYARI

Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

TSK bünyesinde subay olarak uzun yıllar görev yaptı. Bu dönemde, NATO uluslararası karargahında bilgi toplama ve analiz uzmanı olarak yer aldı. Özel sektörde, EY Türkiye ve SabancıDx bünyesinde bilgi teknolojileri veri koruma alanında projeler yönetti. CSA’nın globaldeki Blockchain Security Governance çalışma grubunda risk yönetimine ilişkin çerçeve geliştirme çalışmalarında yer almaktadır. Yine CSA Türkiye bünyesinde Blokzinciri GRC Çalışma Grubunun da kurarak, global ortamdaki bilgi birikiminin ülkemize aktarılması için çalışmalar yürütmektedir. Blok zinciri teknolojileri alanında hizmetler sunan BTguru firmasının da danışma kurulu üyesidir. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı eğitim ve danışmanlık hizmetleri sunmaktadır. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı içerikler yayınlamakta ayrıca Averest Training and Consultancy şirketinde Strateji ve İş Geliştirme Lideri olarak görev yapmaktadır.

TSK bünyesinde subay olarak uzun yıllar görev yaptı. Bu dönemde, NATO uluslararası karargahında bilgi toplama ve analiz uzmanı olarak yer aldı. Özel sektörde, EY Türkiye ve SabancıDx bünyesinde bilgi teknolojileri veri koruma alanında projeler yönetti. CSA’nın globaldeki Blockchain Security Governance çalışma grubunda risk yönetimine ilişkin çerçeve geliştirme çalışmalarında yer almaktadır. Yine CSA Türkiye bünyesinde Blokzinciri GRC Çalışma Grubunun da kurarak, global ortamdaki bilgi birikiminin ülkemize aktarılması için çalışmalar yürütmektedir. Blok zinciri teknolojileri alanında hizmetler sunan BTguru firmasının da danışma kurulu üyesidir. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı eğitim ve danışmanlık hizmetleri sunmaktadır. Kurucularından olduğu Databulls topluluğu bünyesinde dijital güven odaklı içerikler yayınlamakta ayrıca Averest Training and Consultancy şirketinde Strateji ve İş Geliştirme Lideri olarak görev yapmaktadır.

Fiyatları İncele

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Trend Haberler

1
Yeni Vergi Paketi TBMM'ye Sunulmaya Hazır, Kripto Vergi Oranı Belirlendi

14 Haziran 2024 18:14

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Kategoriler

Yazarlar

Piyasalar

Şirketler

E-Bülten

Politika

Teknoloji

Kripto Paralar

Hakkında

Hakkında

Kişisel Verileri Koruma Kanunu

Künye

Çerez Politikası

Reklam Verin

KVKK Başvuru Formu

İletişim

Kişisel Verileri Saklama ve İmha Politikası


Yasal Uyarı: Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

@2022 CoinDesk