Organizační schéma se správnými pracovními pozicemi vám licenci nezajistí. Regulační orgán hledá architekturu zajišťující dodržování předpisů: zdokumentovanou nezávislost, kolektivní odborné znalosti ve třech odlišných oblastech a skutečnou institucionální podstatu. Takto tento standard funguje v praxi.
MiCA v kostce: Proč regulátor vnímá váš tým pro dodržování předpisů jako jeden celek
NAPSAL
SDÍLET
MiCA Decoded je týdenní série 12 článků pro Bitcoin.com News, na které se podílejí spoluzakladatelé a výkonní ředitelé společnosti LegalBison: Aaron Glauberman, Viktor Juskin a Sabir Alijev. LegalBison poskytuje poradenství kryptoměnovým a fintechovým společnostem v oblasti licencí MiCA, žádostí o CASP a VASP a regulační struktury v celé Evropě i mimo ni.
Mýtus: Stačí outsourcovat pozici compliance officer
Když zakladatelé začínají plánovat autorizaci poskytovatelů služeb v oblasti kryptoměn (CASP), rozhovor téměř vždy dospěje ke stejnému bodu: „Takže, musíme najmout compliance officer?“
Někdy na tuto otázku navazuje další: „A úředníka pro hlášení praní špinavých peněz (MLRO)? To je vše?“
Odpověď na obě otázky zní ano. Považovat však tyto dvě jmenování za cílovou čáru je nejčastějším a nejzávažnějším omylem v chápání toho, co MiCA ve skutečnosti od funkce compliance vyžaduje.
Regulační orgány nekontrolují, zda organizační schéma obsahuje správné pracovní pozice. Posuzují, zda má řídící orgán jako celek znalostní architekturu, strukturální nezávislost a zdokumentovanou provozní hloubku k provozování regulované finanční instituce. Licence MiCA se nevydává osobě. Vydává se organizaci.
Toto rozlišení je jádrem toho, proč se tolik žádostí v rané fázi zastaví nebo vyžaduje významné přepracování, než národní příslušný orgán (NCA) udělí povolení.
Co ve skutečnosti znamená „kolektivně“ v nařízení
Článek 68(1) MiCA je v tomto bodě přesný. Členové řídícího orgánu musí disponovat odpovídajícími znalostmi, dovednostmi a zkušenostmi „jak individuálně, tak kolektivně“. Právě toto jediné slovo, „kolektivně“, má významný regulační dopad.
Společné pokyny EBA a ESMA týkající se vhodnosti členů řídícího orgánu a akcionářů pro subjekty podléhající MiCA jasně vysvětlují mechanismus tohoto standardu tím, že uvádějí konkrétní oblasti odborných zkušeností, které musí řídící orgán mít. Eira Järvi, senior právnička ve společnosti LegalBison, shrnula konkrétní požadavky v tabulce níže.
| Kategorie požadavků | Podrobný popis |
| Regulace finančních trhů | Porozumění finančním nástrojům a finančním nástrojům DLT, včetně regulačních požadavků podle SIBA a dalších platných právních předpisů |
| Dodržování předpisů AML/CTF | Znalost požadavků AML/CTF, včetně identifikace rizik, jejich posuzování a strategií pro jejich zmírňování |
| Virtuální aktiva | Znalost typů virtuálních aktiv, včetně tokenů vázaných na aktiva a tokenů elektronických peněz, a rizik spojených s každým z nich |
| Ochrana osobních údajů | Porozumění povinnostem v oblasti ochrany osobních údajů relevantním pro činnost společnosti |
| Řízení rizik | Porozumění zásadám a postupům řízení rizik, včetně tržních, úvěrových a likvidních rizik |
| Správa a vnitřní kontroly | Schopnost posoudit účinnost systémů správy a řízení, mechanismů dohledu a vnitřních kontrol |
| Digitální operační odolnost | Znalost požadavků týkajících se operační odolnosti |
| Strategické a manažerské znalosti | Zkušenosti se strategickým plánováním, rozvojem podnikání a realizací obchodních cílů |
| Řízení třetích stran | Porozumění outsourcingovým ujednáním, řízení externích dodavatelů a souvisejícím regulačním požadavkům |
| Komunikace a dohled | Schopnost prezentovat názory, diskutovat o strategiích a v případě potřeby zpochybňovat rozhodnutí vedení s cílem zajistit účinný dohled |
| Účetnictví a audit | Schopnost interpretovat finanční informace, identifikovat klíčové problémy a rozumět příslušným účetním a auditorským standardům |
| Právní a regulační znalosti | Znalost právních požadavků platných pro poskytovatele služeb v oblasti virtuálních aktiv (VASP), včetně vydávání a správy virtuálních aktiv |
Při analýze pokynů ESMA je zřejmé, že kombinovaný profil řídícího orgánu musí prokazatelně pokrývat tři základní oblasti znalostí, které zahrnují všechny oblasti podrobně popsané společností Eira:
- Tradiční finanční trhy: Regulační rámce, povinnosti v oblasti ochrany investorů, pravidla chování na trhu a provozní standardy, které se vztahují na licencované poskytovatele finančních služeb.
- Infrastruktura technologie digitálních účetních knih (DLT) a kyberbezpečnost: architektura blockchainu, rizika na úrovni protokolu, expozice vůči smart kontraktům, modelování kyberbezpečnostních hrozeb a specifické provozní zranitelnosti vyplývající z poskytování služeb v rámci blockchainu.
- Obchodní strategie a organizační správa: Návrh řízení rizik, architektura vnitřní kontroly, politika správy a schopnost posuzovat a pravidelně přezkoumávat účinnost dodržování předpisů ve společnosti.
Regulační orgán neočekává, že by jedna osoba pokrývala všechny tři oblasti. Očekáváním, formalizovaným požadavkem ESMA, aby společnosti předložily posouzení své „kolektivní vhodnosti“, je, že tým jako celek pokrývá všechny tyto oblasti bez významných mezer.
Řídící orgán složený výhradně z osob s tradičním finančním zázemím, v němž není nikdo schopen vyhodnotit rizika infrastruktury DLT, je již před podáním žádosti strukturálně neúplný.
Totéž platí i opačně: technicky zdatný tým specializovaný na kryptoměny, v němž není nikdo, kdo by rozuměl chování regulovaných finančních trhů, bude čelit stejné kontrole.
Problém časové náročnosti, o kterém nikdo nemluví
Standard kolektivní způsobilosti má druhou rovinu, která žadatele zaskočí.
Správní lidé musí existovat v praxi, ne jen na papíře. Každý člen řídícího orgánu musí písemně zdokumentovat svůj minimální časový závazek vůči firmě: konkrétně odhad času věnovaného dané funkci (s uvedením ročních i měsíčních údajů), spolu s formálním prohlášením o všech ostatních výkonných a nevýkonných funkcích, které v současné době zastává.
Návrh regulačních technických standardů ESMA týkajících se povolení (vycházející z prvního konzultačního balíčku) je v tomto ohledu jednoznačný. Posuzování se týká toho, zda je každá osoba funkčně přítomna, a ne pouze formálně uvedena na seznamu.
Neexekutivní člen, který zasedá v dalších čtyřech představenstvech a má poradenský vztah v oblasti compliance se dvěma dalšími firmami, bude podroben přímé kontrole. NCA musí být přesvědčena, že řídící orgán je schopen skutečně plnit své povinnosti, a ne pouze že se na žádosti objevují správná jména.
To je nejdůležitější pro začínající kryptoměnové firmy, které najímají zkušené odborníky na compliance na částečný úvazek nebo jako poradce, aby posílily žádost o povolení. Regulační orgán bude přesně sledovat, kolik hodin měsíčně daná osoba věnuje práci, a porovná tento údaj s rozsahem role a služeb, které firma hodlá poskytovat.
Nesoulad mezi odpovědností a časovým nasazením je varovným signálem, nikoli formalitou.
Funkce vnitřní kontroly: struktura nad tituly
Pochopení kolektivní způsobilosti na úrovni řídícího orgánu je pouze částí celkového obrazu. Článek 68(4) MiCA vyžaduje, aby CASP přijaly zásady a postupy, které jsou „dostatečně účinné k zajištění dodržování předpisů“. Článek 68(5) vyžaduje, aby na všech úrovních společnosti byli zaměstnanci s odpovídajícími znalostmi. Článek 68(6) vyžaduje, aby řídící orgán pravidelně přezkoumával účinnost těchto opatření a řešil veškeré zjištěné nedostatky.
Návrh RTS agentury ESMA jde ještě dále. Vyžaduje, aby společnosti identifikovaly konkrétní funkce vnitřní kontroly a pro každou z nich zdokumentovaly:
- Způsob podávání zpráv přímo řídícímu orgánu.
- Jak funkce funguje nezávisle na obchodní oblasti, kterou dohlíží.
- Jakým způsobem má funkce přístup k řídícímu orgánu v pravidelných intervalech a v naléhavých případech (ad hoc), je-li zjištěno významné riziko v oblasti dodržování předpisů.
Tři funkční oblasti, které tvoří jádro tohoto rámce vnitřní kontroly, jsou:
- Funkce dodržování předpisů (regulační povinnosti, zásady chování, interní postupy).
- Funkce posuzování rizik (identifikace rizik, metodika posuzování, eskalační protokoly).
- Funkce interního auditu (nezávislé přezkoumání účinnosti, pravidelné hodnocení).
Poznámka: Funkce AML/CFT a funkce kontinuity podnikání jsou rovněž povinnými pilíři žádosti o povolení, ale ESMA je považuje za samostatné organizační požadavky vedle tohoto základního rámce vnitřní kontroly.
MiCA v textu úrovně 1 ne vždy přiřazuje tyto přesné označení. Technické regulační standardy ESMA jasně stanoví, že tyto základní oblasti vnitřní kontroly musí mít jmenované vlastníky, zdokumentovaný rozsah odpovědnosti a ověřenou strukturální nezávislost.
Právě v tomto posledním bodě mnoho žádostí odhaluje strukturální nedostatek.
Funkce compliance, která podléhá provoznímu řediteli, jenž zároveň řídí výnosy a rozvoj podnikání, není v regulačním smyslu nezávislá. Funkce řízení rizik začleněná do obchodního oddělení, která podává zprávy nahoru prostřednictvím stejné hierarchie jako oddělení, které má monitorovat, rovněž nesplňuje tento standard.
Regulační orgán si vyžádá organizační schéma. Poté se zeptá, komu vedoucí oddělení compliance v praxi podléhá, jaké jsou další povinnosti této osoby a jaká má pravomoc při eskalaci, pokud je identifikováno závažné riziko v oblasti compliance.
Vytvoření žádosti o licenci CASP na základě skutečně nezávislé struktury vyžaduje, aby byla architektura navržena před vypracováním žádosti, nikoli dodatečně.
Fyzická podstata: problém nominovaných ředitelů
Žádost o povolení musí dokumentovat fyzické místo účinného řízení v rámci EU. To znamená adresu ústředí, případně umístění poboček a skutečné geografické rozložení rozhodovacích pravomocí společnosti.
- Alespoň jeden ředitel vykonávající skutečnou pravomoc musí mít bydliště v Unii a musí být dostupný pro národní příslušný orgán domovského členského státu.
- Registrovaná adresa v jurisdikci EU podporovaná dohodou o nominovaném řediteli tento standard nesplňuje.
- Požadavek na podstatu znamená, že lidská rozhodovací pravomoc musí skutečně spočívat uvnitř Unie.
Národní kompetentní orgány (NCA) to posuzují na základě údajů o umístění v žádosti o RTS a na základě informací o časové náročnosti poskytnutých každým členem řídícího orgánu.
Člen představenstva, který je fyzicky přítomen v EU dva týdny za čtvrtletí, se v žádném smysluplném regulačním smyslu nepovažuje za rezidentního člena představenstva.
Tento bod je důležitý zejména pro společnosti působící z globálního ústředí mimo EU, které usilují o získání kryptoměnové licence v Evropě. Subjekt se sídlem v EU musí fungovat jako skutečná rozhodovací jednotka, nikoli jako administrativní zástěrka pro skupinu působící jinde.
Zajištění kontinuity podnikání náleží týmu pro dodržování předpisů
Kontinuita podnikání je obecně považována za odpovědnost IT. Podle MiCA a zákona o digitální operační odolnosti (DORA) je tento rámec pro jakéhokoli autorizovaného CASP nesprávný.
Politiku kontinuity podnikání musí vlastnit, schvalovat a udržovat řídící orgán. DORA (nařízení EU 2022/2554) upravuje prvky specifické pro informační a komunikační technologie a CASP spadají do působnosti DORA jako finanční subjekty. Tyto dva rámce fungují současně a funkce compliance musí být schopna se v obou orientovat najednou.
Druhý konzultační dokument ESMA k MiCA zavedl konkrétní povinnost pro firmy působící na technologii distribuované účetní knihy bez povolení (veřejné blockchainy, jako je Ethereum): proaktivní a strukturovanou komunikaci s klienty během jakéhokoli přerušení služby na úrovni DLT.
Společnost musí informovat klienty o tom, zda jsou jejich prostředky ohroženy, a poskytnout jasný přehled o tom, jak je obnovení služby řízeno. Společnost zůstává plně odpovědná za jakékoli ztráty vyplývající z jejích vlastních inteligentních smluv, bez ohledu na to, zda je podkladový blockchain bez povolení.
Nejedná se o standardní politiku pro výpadky IT. Plnění této povinnosti vyžaduje, aby řídící orgán rozuměl rizikům infrastruktury DLT na úrovni, která daleko přesahuje obecné technické povědomí.
Tým pro dodržování předpisů, který dokáže popsat rizika blockchainu pouze v obecné rovině, nebude schopen vypracovat, revidovat ani udržovat politiku kontinuity podnikání, která by splňovala požadavky regulačních orgánů.
Datové standardy jako součást compliance
Odpovědnosti funkce compliance sahají až do oblasti datové architektury. CASP provozující obchodní platformy musí používat standard Digital Token Identifier (DTI) pro veškeré vedení záznamů a podávání zpráv národním orgánům. DTI jednoznačně identifikuje každé kryptoaktivum a propojuje je s konkrétní DLT, na které je vydáno, obchodováno nebo vypořádáno. To umožňuje regulátorům provádět přeshraniční dohled s konzistentními a srovnatelnými daty.
Formát transakčních dat předkládaných orgánům upravují standardy pro zasílání zpráv ISO 20022. Údaje o transparentnosti před a po obchodování musí být zveřejňovány prostřednictvím nediskriminačních, strojově čitelných veřejných kanálů, aby se zabránilo zneužívání trhu. Každý z těchto požadavků má technický rozměr, za který musí nést odpovědnost tým pro dodržování předpisů, a nikoli jej slepě delegovat na IT.
Společnost, která považuje vedení záznamů za obecný úkol systémové správy bez dohledu nad dodržováním konkrétních datových standardů požadovaných RTS, bude po získání povolení čelit problémům s dohledem.
Standardy existují právě proto, aby národní kompetentní orgány (NCA) mohly v rámci jedné analýzy porovnávat záznamy napříč stovkami CASP. Společnost, která nedokáže poskytnout data v požadovaném formátu, je společností, která nedokáže prokázat trvalé dodržování předpisů.
To je praktický význam standardu „jediného mozku“. Tým pro dodržování předpisů integruje povědomí o regulaci, strukturu řízení, provozní znalosti DLT a technickou datovou gramotnost do jediné funkční schopnosti. Žádný z těchto prvků nelze zcela outsourcovat na jinou funkci.
Sestavení týmu před podáním žádosti
Žádost o licenci CASP MiCA dokumentuje již existující instituci. To je mentální model, který odlišuje firmy, které procesem procházejí efektivně, od těch, které se zaseknou.
Firmy usilující o licenci na kryptoměnovou burzu, povolení k úschově digitálních aktiv nebo jakoukoli jinou licenci CASP v Evropě musí přistupovat k architektuře týmu jako k prvnímu výstupu, nikoli jako k něčemu, co se dává dohromady až během vypracovávání žádosti.
Funkce compliance musí být strukturálně nezávislá ještě před sepsáním prvního dokumentu. Je třeba posoudit rozsah kolektivních znalostí řídícího orgánu a vyřešit případné mezery ještě před zahájením přezkumu ze strany NCA. Údaje o časové náročnosti musí být realistické ještě před jejich předložením.
Stejná logika platí globálně. Firmy žádající o licenci VASP v jurisdikcích mimo EU se stále častěji setkávají s paralelními standardy: regulátoři na Středním východě, v Asii a Tichomoří a v Americe se sbližují v podobných požadavcích na obsah před formou při navrhování funkce compliance.
Standard EU, který je v současné době nejdetailnější a technicky nejkonkrétnější, je užitečným měřítkem pro jakýkoli tým usilující o regulovaný status v jakékoli významné jurisdikci.
„Jsme DeFi, takže se na nás MiCA nevztahuje.“ Je nám líto, ale EBA a ESMA to vidí jinak
MiCA zpochybňuje tvrzení o decentralizaci DeFi, zatímco regulační orgány posuzují pravidla týkající se kontroly, správy a dodržování předpisů. read more.
Přečíst
„Jsme DeFi, takže se na nás MiCA nevztahuje.“ Je nám líto, ale EBA a ESMA to vidí jinak
MiCA zpochybňuje tvrzení o decentralizaci DeFi, zatímco regulační orgány posuzují pravidla týkající se kontroly, správy a dodržování předpisů. read more.
Přečíst„Jsme DeFi, takže se na nás MiCA nevztahuje.“ Je nám líto, ale EBA a ESMA to vidí jinak
PřečístMiCA zpochybňuje tvrzení o decentralizaci DeFi, zatímco regulační orgány posuzují pravidla týkající se kontroly, správy a dodržování předpisů. read more.
Klíčové sdělení
Mýtus: Jmenování compliance officer a MLRO splňuje povinnosti v oblasti compliance podle MiCA.
Realita: MiCA vyžaduje funkční orgán pro compliance, nikoli seznam pracovních pozic.
O tom, zda řídící orgán splňuje standard, rozhodují tři věci:
Pokrytí kolektivních znalostí. Tým jako celek musí pokrývat odborné znalosti v oblasti tradičních finančních trhů, znalosti v oblasti DLT a kyberbezpečnosti a schopnosti v oblasti organizačního řízení. Mezery v jakékoli z těchto oblastí představují strukturální nedostatky, nikoli preference profilů.
Dokumentovaná strukturální nezávislost. Klíčové funkce vnitřní kontroly (compliance, posuzování rizik a interní audit) musí mít jmenovaného vlastníka, přímou podřízenost řídícímu orgánu a ověřenou nezávislost na obchodní oblasti, kterou dohlížejí. (Poznámka: AML/CFT a kontinuita podnikání jsou stejně povinné, ale jsou považovány za samostatné organizační pilíře). Organizační schéma, které směruje compliance přes funkci generující příjmy, neobstojí při přezkumu ze strany NCA.
Skutečná institucionální podstata. Časová náročnost musí být skutečná a zdokumentovaná. Fyzická přítomnost v EU musí odrážet skutečnou rozhodovací váhu, nikoli pouze registrovanou adresu. Politika kontinuity podnikání musí být v kompetenci řídícího orgánu. Vykazování dat musí od prvního dne splňovat standardy DTI a ISO 20022.
Výsledkem je žádost o licenci CASP. Architektura compliance je základem. Nejprve vybudujte základy.
Tento článek vychází ze studie provedené společností LegalBison v dubnu 2026. Obsah slouží pouze pro informační účely a nepředstavuje právní poradenství.
