Kurumsal Hazine Yönetimi Kriptoya Giriyor: Politika & Risk Çerçevesi

Kurumsal Hazine Yönetimi Kriptoya Giriyor: Politika & Risk Çerçevesi

Kriptonun kurumsal bilançolara girişi, “fırsat” ile “kontrol” ikilisini aynı anda yönetmeyi gerektiriyor. Artık hazine departmanları; nakit yönetimi, yatırım limitleri, risk ölçümü, saklama ve uyum başlıklarını kripto varlıklar için de somut prosedürlere bağlamak zorunda. Bu rehber, kriptomagic.com okurları için kurumsal hazine ekiplerinin sıfırdan uygulanabilir bir Politika & Risk Çerçevesi (Policy & Risk Framework) kurmasına yardımcı olacak kapsamlı bir yol haritası sunuyor.

Neden Şimdi? Kurumsal Hazine Perspektifinden Kripto

• Çeşitlendirme ve getiri: Faiz ortamı ve döngüsel riskler, nakit fazlalarının bir kısmını dijital varlıklarda değerlendirme motivasyonunu artırıyor.
• Operasyonel verimlilik: Stablecoin bazlı ödemeler sınır ötesi transfer hızını ve mutabakat netliğini iyileştirebiliyor.
• Stratejik opsiyon: Web3 entegrasyonları, sadakat programları ve tedarikçi ödemeleri için zincir üstü iş akışlarına kapı aralıyor.

Bu motivasyonlar kadar önemli olan taraf ise kontrol: yazılı politika, ölçülebilir risk limitleri, bağımsız raporlama ve denetim.

Politika Belgesinin Omurgası: Beş Zorunlu Bölüm

1. Amaç & Kapsam: Hangi varlık sınıfları (BTC/ETH, seçili stablecoin’ler, kurumsal seviye token’lar), hangi kullanım amaçları (hazinede park, ödemeler, stratejik pilotlar).
2. Yönetişim & Sorumluluklar: CFO sponsorluğu; Hazine Direktörü, Risk Yönetimi, Uyum, İç Denetim ve Bilgi Güvenliği’nin açık rol tanımları.
3. Risk Taksonomisi & Limitler: Piyasa, likidite, karşı taraf, operasyonel, siber, hukuk/uyum ve vergi riskleri için metrikler ve eşikler.
4. Operasyonel Prosedürler: Cüzdan yapısı, saklama modeli, iş akışları, onay matrisi, kayıt/raporlama standardı.
5. Denetim & Eskalasyon: Periyodik bağımsız kontroller, ihlal durumunda otomatik durdurma/limit sıfırlama, kriz iletişim planı.

Risk Taksonomisi: Tanımlar, Ölçümler ve Tetikleyiciler

• Piyasa Riski (Fiyat/Volatilite)
  • Ölçüm: Günlük VaR, 30/90 günlük max drawdown, stres senaryoları (ör. %30 anlık düşüş).
  • Limit: Toplam kripto pozisyonu/Toplam Nakit ≤ %X; tek varlık konsantrasyon ≤ %Y.
  • Tetikleyici: VaR ihlali veya drawdown eşiğinin aşılması → zorunlu pozisyon küçültme.
• Likidite Riski
  • Ölçüm: Emir defteri derinliği, AMM havuz TVL’i, 1 milyon USD’lik siparişte beklenen slippage.
  • Limit: İşlem başına maksimum fiyat etkisi ≤ %Z; 24 saat içinde nakde dönüştürülebilirlik ≥ %A.
• Karşı Taraf Riski (Borsa/Saklama)
  • Ölçüm: Lisans durumu, sigorta kapsamı, Proof-of-Reserves, sıcak/soğuk cüzdan oranı, geçmiş kesinti/ihlal kayıtları.
  • Limit: Tek borsa/toplam varlık oranı ≤ %B; aynı gruptaki sağlayıcılar toplamı ≤ %C.
• Operasyonel & Siber Risk
  • Ölçüm: Çoklu imza (multisig) veya MPC katsayısı, HSM kullanımı, anahtar yönetim politikası, işlem onay süresi.
  • Limit: Tüm yüksek tutarlı transferlerde en az 2 kişi + 1 bağımsız onay; üretim ortamına erişim “least privilege”.
• Hukuki/Uyumluluk Riski
  • Ölçüm: Yargı alanı uyumu, KYC/AML süreç kalitesi, yaptırım taraması, seyahat kuralı uyarlaması, kayıt yükümlülükleri.
  • Limit: Yalnızca uyum puanı ≥ eşiği sağlayan borsa/saklama kurumlarıyla çalışma.
• Vergi & Muhasebe Riski
  • Ölçüm: TFRS/IFRS sınıflaması, gerçeğe uygun değer ölçümü, stopaj/KDV etkileri, realize/realize olmayan PnL ayrışımı.
  • Limit: Aylık kapanışta bağımsız değerleme ve belge seti zorunluluğu.

Yatırım Evreni ve İzinli Varlık Listesi

• Katman 1 (Çekirdek): BTC, ETH — derin likidite, düzenleyici kabul seviyesi yüksek.
• Katman 2 (Ödeme/Enstrüman): Tier-1 rezerv kanıtı ve şeffaflığı olan USD stablecoin’ler.
• Katman 3 (Seçici): Kurumsal kullanımı kanıtlı, tokenomikleri şeffaf ve risk puanı belirlenen varlıklar (pilot ölçek, net üst limit).

Her katman için maksimum portföy payı, tek varlık limiti ve likidite gereksinimi yazılı olmalı.

Saklama Mimarisi: MPC/Multisig, Cold/Warm/Hot Ayrımı

• Cold Vault (Ana Rezerv): İnternete kapalı, HSM destekli, felaket kurtarma prosedürleri dokümante.
• Warm Wallet (Operasyon): Günlük operasyon limiti düşük; otomatik alarmlar ve onay akışları.
• Hot Wallet (Anlık Ödeme): Sadece gerektikçe; limit ve IP/cihaz kısıtları; 7/24 izleme.
• Ayrıştırma: Müşteri fonları/şirket fonları ve proje bazlı alt cüzdanlar; günlük mutabakat raporu.
• Anahtar Döngüsü: Anahtar üretimi, rotasyonu, iptali ve yedeklemesi için “dört göz” prensibi + kayıt altı.

İşlem, Onay ve Görev Ayrılığı Matrisi

• T+0–T+1 Süreç: İstek → Hazırlık → Kontrol → Onay → İcra → Mutabakat → Raporlama.
• Görev Ayrılığı:
  • İstek: Hazine Operasyon
  • Kontrol: Risk/ Uyumluluk
  • Onay: Hazine Direktörü + Bilgi Güvenliği
  • İcra: Sınırlı yetkili operatör
  • Mutabakat: Muhasebe
• Onay Eşikleri: Tutar aralıklarına göre 2/3/4 onay kademesi; olağan dışı saatlerde “hard stop”.

Likidite ve Uygulama Kuralları

• Sipariş Yolu: Öncelik kurumsal borsalar ve kayıtlı broker’lar; AMM kullanılıyorsa maksimum slippage parametresi zorunlu.
• Parçalı İcra: Büyük tutarlarda TWAP/VWAP; zaman-fiyat sapması için tetikleyici.
• Stablecoin De-peg Senaryosu: Otomatik eşik izleme; de-peg > X bps durumunda stablecoin → fiat/BTC/ETH dönüş protokolü.

Uyum & KYC/AML Kontrolleri

• Tüm karşı taraflarda güncel KYC, yaptırım taraması, PEP kontrolü.
• Adres/işlem ekranlaması; şüpheli transferlerde “hold & review”.
• Transfer sebebi/iş akdı/ödeme belgesi eşlemesi; şeffaf denetim izi (audit trail).

Muhasebe, Değerleme ve Raporlama

• Sınıflama: Nakit benzeri, stok, yatırım amaçlı varlık veya maddi olmayan duran varlık değerlendirmesi (TFRS perspektifi).
• Değerleme: Günlük kapanış fiyatı ve bağımsız sağlayıcıdan ikinci bir referans; kur dönüşümü için merkez kuru.
• PnL Ayrıştırması: Realize / realize olmayan; hedge varsa hedge accounting dokümantasyonu.
• Rapor Seti:
  • Günlük: Pozisyon/limit, cüzdan bakiyeleri, transfer güncesi.
  • Haftalık: VaR, drawdown, likidite metrikleri, karşı taraf risk skoru.
  • Aylık: Yönetim kurulu özeti, ihlal/olay raporu, denetim önerileri.

Denetim, Süreklilik ve Kriz Yönetimi

• Pen-test & Red-team: Yılda en az bir derin test; kritik bulgular için kapanış SLA’ları.
• BaaU (Business as a Usual) ↔ BCP/DRP: Felaket kurtarma tatbikatı; cold-vault erişim senaryoları; alternatif ağ/karşı taraf listesi.
• Kriz Prosedürü: Ciddi ihlalde otomatik global freeze, yönetim kurulu bilgilendirmesi, düzenleyiciye bildirim ve adli bilişim süreci.

30-60-90 Günlük Uygulama Yol Haritası

• 0–30 Gün
  • Politika taslağı ve risk taksonomisi; yatırım evreni ve limit tasarımı.
  • Karşı taraf değerlendirme (borsa/saklama); kısa liste ve “term sheet” hazırlığı.
  • Cüzdan mimarisi kararı: MPC/multisig; çevresel güvenlik ve erişim yönetimi.
• 31–60 Gün
  • Pilot hacimle süreç testi (sipariş rotası, mutabakat, raporlama).
  • Muhasebe/ERP entegrasyonu; veri beslemeleri (fiyat, adres, işlem).
  • Uyum modülleri (adres taraması, seyahat kuralı, kayıt saklama).
• 61–90 Gün
  • Limitler ve tetikleyiciler için otomasyon; ihlal anında aksiyon kuralları.
  • Denetim izi ve log’ların bağımsız doğrulaması.
  • Yönetim kurulu onayı ve kalıcı ölçekleme.

Örnek Politika Maddeleri (Hızlı Başlangıç)

• Toplam kripto varlıklar, konsolide nakit ve nakit benzerlerinin %X’ini aşamaz.
• Tek bir varlıkta konsantrasyon %Y ile sınırlıdır; stablecoin’lerde en az iki ihraççıya dağıtım zorunludur.
• İşlem başına slippage ≤ %Z; tek sağlayıcıda saklanan varlık oranı ≤ %B.
• Tüm yüksek tutarlı işlemlerde 2+1 onay; olağan dışı saat ve günlerde ek onay.
• Günlük mutabakat ve bağımsız fiyat referansı olmadan kapanış yapılamaz.
• De-peg veya borsa kesintisi gibi olaylarda otomatik durdurma ve “alternatif rota” prosedürü devreye girer.
• Anahtar rotasyonu 6 ayda bir; erişim değişiklikleri anlık log ve haftalık gözden geçirme ile takip edilir.

Stratejik İpuçları: Hazine Ekipleri İçin Pratikler

• Küçük başla, kanıtla, ölçekle: Önce pilot tutar, sonra limit yükselt.
• Sade ürün seti: BTC/ETH + Tier-1 stablecoin yeterlidir; karmaşıklık riski büyütür.
• Veri-odaklı disiplin: VaR, likidite ve karşı taraf skorları gösterge panosunda günlük izlenmeli.
• Dış doğrulama: Sigorta kapsamı, denetim raporları ve rezerv kanıtlarını periyodik teyit et.
• Eğitim ve tatbikat: Anahtar kaybı, sosyal mühendislik ve sahte onay senaryolarını düzenli prova et.

Sonuç

Kripto, kurumsal hazineler için artık “gelecek” değil, yönetilmesi gereken bugünün işi. Başarının anahtarı; açıkça yazılmış bir politika, ölçülebilir limitler, otomasyonla desteklenen raporlama ve bağımsız denetimdir. Bu çerçeveyi adım adım kuran kurumlar, volatiliteyi fırsata, karmaşıklığı ise rekabet avantajına dönüştürebilir. kriptomagic.com olarak önerimiz, küçük ama disiplinli pilotlarla başlayıp, veri ve kontroller olgunlaştıkça ölçeği büyütmeniz.