Et organisationsdiagram med de rigtige stillingsbetegnelser er ikke nok til at få en licens. Det, tilsynsmyndigheden ser efter, er en compliance-struktur: dokumenteret uafhængighed, samlet ekspertise inden for tre forskellige videnområder og reel institutionel substans. Sådan fungerer denne standard i praksis.
MiCA forklaret: Hvorfor tilsynsmyndigheden betragter dit compliance-team som en samlet enhed
SKREVET AF
DEL
MiCA Decoded er en ugentlig serie på 12 artikler til Bitcoin.com News, skrevet i fællesskab af LegalBisons medstiftere og administrerende direktører: Aaron Glauberman, Viktor Juskin og Sabir Alijev. LegalBison rådgiver krypto- og FinTech-virksomheder om MiCA-licenser, CASP- og VASP-ansøgninger samt reguleringsstrukturering i hele Europa og udenfor.
Myten: Det er nok at outsource en compliance-ansvarlig
Når grundlæggere begynder at planlægge godkendelse som udbyder af kryptoaktiver (CASP), kommer samtalen næsten altid til det samme punkt: "Så skal vi ansætte en compliance-ansvarlig?"
Nogle gange følger der et opfølgende spørgsmål: "Og en ansvarlig for rapportering af hvidvaskning (MLRO)? Er det det?"
Svaret på begge spørgsmål er ja. Men at betragte disse to ansættelser som målstregen er den mest almindelige og konsekvensfulde fejltolkning af, hvad MiCA faktisk kræver af en compliance-funktion.
Tilsynsmyndighederne tjekker ikke, om organisationsdiagrammet har de rigtige jobtitler. De vurderer, om ledelsen som helhed har den nødvendige viden, den strukturelle uafhængighed og den dokumenterede operationelle dybde til at drive en reguleret finansiel institution. En MiCA-licens udstedes ikke til en person. Den udstedes til en organisation.
Denne skelnen er kernen i, hvorfor så mange ansøgninger i den tidlige fase går i stå eller kræver betydelig omarbejdning, før en national kompetent myndighed (NCA) vil give tilladelse.
Hvad "kollektivt" faktisk betyder i forordningen
Artikel 68, stk. 1, i MiCA er præcis på dette punkt. Medlemmer af ledelsesorganet skal besidde den relevante viden, de relevante færdigheder og den relevante erfaring "både individuelt og kollektivt". Det ene ord, "kollektivt", udfører et betydeligt reguleringsarbejde.
De fælles retningslinjer fra EBA og ESMA om egnethed for medlemmer af ledelsesorganet og aktionærer i enheder under MiCA gør mekanismerne i denne standard eksplicitte ved at opregne de specifikke områder af erhvervserfaring, som ledelsesorganet skal besidde. Eira Järvi, senioradvokat hos LegalBison, har skitseret de specifikke krav i tabellen nedenfor.
| Kravkategori | Detaljeret beskrivelse |
| Regulering af finansielle markeder | Forståelse af finansielle instrumenter og DLT-finansielle instrumenter, herunder lovgivningsmæssige krav i henhold til SIBA og anden gældende lovgivning |
| Overholdelse af AML/CTF | Kendskab til AML/CTF-krav, herunder strategier for identifikation, vurdering og afbødning af risici |
| Virtuelle aktiver | Kendskab til typer af virtuelle aktiver, herunder aktiverelaterede tokens og e-penge-tokens, samt de risici, der er forbundet med hver type |
| Databeskyttelse | Forståelse af databeskyttelsesforpligtelser, der er relevante for virksomhedens drift |
| Risikostyring | Forståelse af principper og procedurer for risikostyring, herunder markeds-, kredit- og likviditetsrisici |
| Ledelse og interne kontroller | Evne til at vurdere effektiviteten af ledelsesordninger, tilsynsmekanismer og interne kontroller |
| Digital operationel modstandsdygtighed | Kendskab til krav vedrørende operationel modstandsdygtighed |
| Strategisk og ledelsesmæssig viden | Erfaring med strategisk planlægning, forretningsudvikling og implementering af forretningsmål |
| Tredjepartsstyring | Forståelse af outsourcingaftaler, styring af tredjepartsleverandører og tilhørende lovkrav |
| Kommunikation og tilsyn | Evne til at fremlægge synspunkter, drøfte strategier og, hvor det er relevant, udfordre ledelsens beslutninger for at sikre effektivt tilsyn |
| Regnskab og revision | Evne til at fortolke finansielle oplysninger, identificere centrale problemstillinger og forstå relevante regnskabs- og revisionsstandarder |
| Juridisk og regulatorisk viden | Kendskab til de juridiske krav, der gælder for VASP'er, herunder udstedelse og forvaltning af virtuelle aktiver |
Når man analyserer ESMA's retningslinjer, bliver det klart, at ledelsesorganets samlede profil påviseligt skal dække tre centrale videnområder, som omfatter alle dem, der er beskrevet af Eira:
- Traditionelle finansielle markeder: Reguleringsrammer, forpligtelser vedrørende investorbeskyttelse, regler for markedsadfærd og de operationelle standarder, der gælder for godkendte udbydere af finansielle tjenesteydelser.
- Infrastruktur for digital regnskabsteknologi (DLT) og cybersikkerhed: Blockchain-arkitektur, risiko på protokolniveau, eksponering for smarte kontrakter, modellering af cybersikkerhedstrusler og de specifikke operationelle sårbarheder, der opstår ved levering af tjenester på blockchain.
- Forretningsstrategi og organisatorisk styring: Udformning af risikostyring, arkitektur for intern kontrol, styringspolitik samt evnen til at vurdere og regelmæssigt gennemgå virksomhedens compliance-effektivitet.
Tilsynsmyndigheden forventer ikke, at én person dækker alle tre områder. Forventningen, som er formaliseret gennem ESMA's krav om, at virksomhederne skal indsende en vurdering af deres "kollektive egnethed", er, at teamet samlet set dækker dem alle uden væsentlige huller.
Et ledelsesorgan, der udelukkende består af personer med traditionel finansiel baggrund, hvor ingen er i stand til at vurdere DLT-infrastrukturrisici, er strukturelt ufuldstændigt, allerede inden ansøgningen indsendes.
Det samme gælder omvendt: Et teknisk dygtigt, krypto-indfødt team, hvor ingen forstår adfærd på regulerede finansielle markeder, vil blive udsat for den samme granskning.
Det tidsmæssige problem, som ingen taler om
Der er et andet aspekt ved standarden for kollektiv egnethed, der overrasker ansøgerne.
De rette personer skal findes i praksis, ikke kun på papiret. Hvert medlem af ledelsesorganet skal skriftligt dokumentere sit minimale tidsforbrug i virksomheden: nærmere bestemt et skøn over den tid, der afsættes til rollen (med både årlige og månedlige angivelser), sammen med en formel erklæring om alle andre ledende og ikke-ledende bestyrelsesposter, der i øjeblikket besiddes.
ESMA's udkast til reguleringsmæssige tekniske standarder for godkendelse (udarbejdet på baggrund af den første høringspakke) er eksplicitte på dette punkt. Vurderingen omfatter, om hver person er funktionelt til stede, ikke blot nominelt opført.
En ikke-udøvende direktør med fire andre bestyrelsesposter og et compliance-rådgivningsforhold til to yderligere virksomheder vil blive underkastet direkte kontrol. Den nationale kompetente myndighed skal være overbevist om, at ledelsesorganet rent faktisk kan udføre sine opgaver, ikke blot at de rette navne fremgår af ansøgningen.
Dette har størst betydning for kryptovirksomheder i opstartsfasen, der henter erfarne compliance-personer ind på deltid eller som rådgivere for at styrke en ansøgning om godkendelse. Tilsynsmyndigheden vil se nøjagtigt, hvor mange timer om måneden den pågældende person bruger, og den vil sammenligne dette tal med omfanget af rollen og de tjenester, virksomheden har til hensigt at levere.
Et misforhold mellem ansvar og tidsforbrug er et rødt flag, ikke en formalitet.
De interne kontrolfunktioner: Struktur frem for titler
At forstå den kollektive egnethed på ledelsesniveau er kun en del af billedet. MiCA-artikel 68, stk. 4, kræver, at CASP'er vedtager politikker og procedurer, der er "tilstrækkeligt effektive til at sikre overholdelse." Artikel 68, stk. 5, kræver personale med passende viden på alle niveauer i virksomheden. Artikel 68, stk. 6, kræver, at ledelsen regelmæssigt gennemgår effektiviteten af disse ordninger og afhjælper eventuelle mangler.
ESMA's udkast til RTS går endnu længere. De kræver, at virksomhederne identificerer specifikke interne kontrolfunktioner og for hver enkelt dokumenterer:
- At rapporteringslinjen går direkte til ledelsen.
- Hvordan funktionen fungerer uafhængigt af det forretningsområde, den fører tilsyn med.
- Hvordan funktionen kan få adgang til ledelsen på planlagt basis og i nødsituationer (ad hoc), når der opdages en væsentlig compliance-risiko.
De tre funktionsområder, der udgør kernen i denne interne kontrolramme, er:
- Compliance-funktionen (lovgivningsmæssige forpligtelser, adfærdspolitikker, interne procedurer).
- Risikovurderingsfunktionen (risikoidentifikation, vurderingsmetodologi, eskaleringsprotokoller).
- Den interne revisionsfunktion (uafhængig effektivitetsgennemgang, periodisk vurdering).
Bemærk: AML/CFT-funktionen og forretningskontinuitetsfunktionen er også obligatoriske søjler i ansøgningen om godkendelse, men ESMA behandler dem som særskilte organisatoriske krav sideløbende med denne centrale interne kontrolramme.
MiCA tildeler ikke altid disse præcise betegnelser i niveau 1-teksten. ESMA's RTS gør det klart, at disse centrale interne kontrolområder skal have navngivne ejere, dokumenterede ansvarsområder og verificeret strukturel uafhængighed.
Det er netop dette sidste punkt, hvor mange ansøgninger afslører en strukturel fejl.
En compliance-funktion, der rapporterer til Chief Operating Officer, som også styrer indtægter og forretningsudvikling, er ikke uafhængig i reguleringsmæssig forstand. En risikofunktion, der er integreret i handelsafdelingen og rapporterer opad gennem samme kæde som den afdeling, den skal overvåge, opfylder heller ikke standarden.
Tilsynsmyndigheden vil anmode om organisationsdiagrammet. Den vil derefter spørge, hvem compliance-chefen i praksis rapporterer til, hvilke andre ansvarsområder denne person har, og hvilke eskaleringsrettigheder vedkommende har, når der identificeres en alvorlig compliance-risiko.
At opbygge en CASP-licensansøgning omkring en reel uafhængighedsstruktur kræver, at arkitekturen udformes, før ansøgningen udarbejdes, og ikke eftermonteres bagefter.
Fysisk tilstedeværelse: Problemet med den nominerede direktør
Ansøgningen om godkendelse skal dokumentere et fysisk sted for den faktiske ledelse inden for EU. Dette omfatter hovedkontorets adresse, eventuelle filialer og virksomhedens reelle beslutningsgeografi.
- Mindst én direktør, der udøver reel myndighed, skal være bosiddende i Unionen og være tilgængelig for den nationale tilsynsmyndighed i hjemlandet.
- En registreret adresse i en EU-jurisdiktion, der understøttes af en ordning med en nominel direktør, opfylder ikke denne standard.
- Substanskravet betyder, at den menneskelige beslutningsvægt faktisk skal ligge inden for Unionen.
De nationale tilsynsmyndigheder vurderer dette gennem lokaliseringsfelterne i RTS-ansøgningen og gennem oplysningerne om tidsforbruget for hvert medlem af ledelsesorganet.
En direktør, der er fysisk til stede i EU i to uger pr. kvartal, kvalificerer sig ikke som en bosiddende direktør i nogen meningsfuld reguleringsmæssig forstand.
Dette er et punkt, der er særlig vigtigt for virksomheder, der opererer fra globale hovedkvarterer uden for EU, og som arbejder hen imod en kryptolicens i Europa. Den EU-baserede enhed skal fungere som en reel beslutningsenhed, ikke som en administrativ facade for en koncernstruktur, der opererer fra et andet sted.
Forretningskontinuitet hører under compliance-teamet
Forretningskontinuitet betragtes bredt som et IT-ansvar. I henhold til MiCA og Digital Operational Resilience Act (DORA) er denne ramme forkert for enhver autoriseret CASP.
Politikken for forretningskontinuitet skal ejes, godkendes og vedligeholdes af ledelsen. DORA (forordning EU 2022/2554) regulerer de elementer, der er specifikke for informations- og kommunikationsteknologi, og CASP'er falder ind under DORA's anvendelsesområde som finansielle enheder. De to rammer fungerer samtidigt, og compliance-funktionen skal være i stand til at navigere i begge på én gang.
ESMA's andet MiCA-høringsdokument indførte en specifik forpligtelse for virksomheder, der opererer på tilladelsesfri distribueret regnskabsteknologi (offentlige blockchains såsom Ethereum): proaktiv, struktureret kommunikation med kunder under enhver serviceforstyrrelse på DLT-niveau.
Virksomheden skal holde kunderne opdateret om, hvorvidt deres midler er i fare, og give et klart billede af, hvordan genoptagelsen af tjenesten håndteres. Virksomheden forbliver fuldt ansvarlig for eventuelle tab, der opstår som følge af dens egne smarte kontrakter, uanset om den underliggende blockchain er tilladelsesfri.
Dette er ikke en standardpolitik for IT-nedbrud. For at kunne påtage sig denne forpligtelse på en meningsfuld måde kræves det, at ledelsen forstår risikoen ved DLT-infrastruktur på et niveau, der går langt ud over generel teknisk viden.
Et compliance-team, der kun kan beskrive blockchain-risiko i generelle vendinger, vil ikke være i stand til at udarbejde, gennemgå eller vedligeholde en politik for forretningskontinuitet, der opfylder de lovgivningsmæssige krav.
Datastandarder som en compliance-funktion
Compliance-funktionens ansvarsområder strækker sig ind i dataarkitekturen. CASP'er, der driver handelsplatforme, skal anvende Digital Token Identifier (DTI)-standarden til al registrering og rapportering til nationale tilsynsmyndigheder. DTI identificerer hvert kryptoaktiv unikt og knytter det til den specifikke DLT, hvorpå det udstedes, handles eller afregnes. Dette giver tilsynsmyndighederne mulighed for at udføre grænseoverskridende overvågning med konsistente, sammenlignelige data.
ISO 20022-meddelelsesstandarder regulerer formatet for transaktionsdata, der indsendes til myndighederne. Data om gennemsigtighed før og efter handel skal offentliggøres via ikke-diskriminerende, maskinlæsbare offentlige kanaler for at forhindre markedsmisbrug. Hvert af disse krav har en teknisk dimension, som compliance-teamet skal tage ansvar for og ikke blindt delegere til IT.
En virksomhed, der behandler registrering som en generel systemadministrationsopgave uden compliance-tilsyn med de specifikke datastandarder, som RTS kræver, vil stå over for tilsynsproblemer efter godkendelsen.
Standarderne findes netop for at de nationale kompetente myndigheder (NCA'er) kan sammenligne registreringer på tværs af hundredvis af CASP'er i en enkelt analyse. En virksomhed, der ikke kan frembringe data i det krævede format, er en virksomhed, der ikke kan påvise løbende compliance.
Dette er den praktiske betydning af "single brain"-standarden. Compliance-teamet integrerer reguleringsbevidsthed, styringsstruktur, operationel viden om DLT og teknisk datakompetence som en samlet funktionel kapacitet. Ingen af disse elementer kan outsources fuldstændigt til en anden funktion.
Opbygning af teamet før opbygning af ansøgningen
Ansøgningen om en CASP MiCA-licens dokumenterer en institution, der allerede eksisterer. Det er den mentale model, der adskiller virksomheder, der bevæger sig effektivt gennem processen, fra dem, der går i stå.
Virksomheder, der søger om kryptovalutabørslicens, tilladelse til opbevaring af digitale aktiver eller enhver anden CASP-licens i Europa, skal betragte teamarkitekturen som det første leveringspunkt, ikke som noget, der falder på plads, mens ansøgningen udarbejdes.
Compliance-funktionen skal være strukturelt uafhængig, før det første dokument skrives. Ledelsens samlede viden skal vurderes, og eventuelle huller skal udfyldes, før NCA-gennemgangen begynder. Oplysningerne om tidsforbruget skal være realistiske, før de indsendes.
Den samme logik gælder globalt. Virksomheder, der ansøger om en VASP-licens i jurisdiktioner uden for EU, støder i stigende grad på parallelle standarder: tilsynsmyndigheder i Mellemøsten, Asien-Stillehavsområdet og Amerika konvergerer mod lignende krav om substans frem for form i udformningen af compliance-funktionen.
EU-standarden, som er den mest detaljerede og teknisk specifikke, der i øjeblikket er i kraft, er et nyttigt benchmark for enhver teamopbygning med henblik på reguleret status i enhver større jurisdiktion.
»Vi er DeFi, så MiCA gælder ikke for os.« Beklager, men EBA og ESMA ser anderledes på det
MiCA sætter spørgsmålstegn ved påstandene om DeFi’s decentralisering, idet tilsynsmyndighederne vurderer reglerne for kontrol, styring og overholdelse. read more.
Læs nu
»Vi er DeFi, så MiCA gælder ikke for os.« Beklager, men EBA og ESMA ser anderledes på det
MiCA sætter spørgsmålstegn ved påstandene om DeFi’s decentralisering, idet tilsynsmyndighederne vurderer reglerne for kontrol, styring og overholdelse. read more.
Læs nu»Vi er DeFi, så MiCA gælder ikke for os.« Beklager, men EBA og ESMA ser anderledes på det
Læs nuMiCA sætter spørgsmålstegn ved påstandene om DeFi’s decentralisering, idet tilsynsmyndighederne vurderer reglerne for kontrol, styring og overholdelse. read more.
Vigtigste konklusion:
Myten: Udnævnelse af en compliance-ansvarlig og en MLRO opfylder MiCA's compliance-forpligtelser.
Virkeligheden: MiCA kræver en fungerende compliance-organisation, ikke en liste over jobtitler.
Tre ting afgør, om et ledelsesorgan opfylder standarden:
Dækning af kollektiv viden. Teamet skal som helhed dække traditionel ekspertise inden for finansielle markeder, kompetencer inden for DLT og cybersikkerhed samt organisatorisk ledelseskapacitet. Mangler inden for et hvilket som helst af disse områder er strukturelle mangler, ikke profilpræferencer.
Dokumenteret strukturel uafhængighed. De centrale interne kontrolfunktioner (compliance, risikovurdering og intern revision) skal have en navngiven ansvarlig, en direkte rapporteringslinje til ledelsesorganet og verificeret uafhængighed af det forretningsområde, de fører tilsyn med. (Bemærk: AML/CFT og forretningskontinuitet er ligeledes obligatoriske, men behandles som særskilte organisatoriske søjler). Et organisationsdiagram, der leder compliance gennem en indtægtsgenererende funktion, vil ikke kunne modstå NCA's granskning.
Reel institutionel substans. Tidsforpligtelser skal være ægte og dokumenterede. Den fysiske tilstedeværelse i EU skal afspejle den faktiske beslutningsvægt, ikke en registreret adresse. Politikken for forretningskontinuitet skal ejes på ledelsesniveau. Datarapportering skal opfylde DTI- og ISO 20022-standarder fra dag ét.
CASP-licensansøgningen er resultatet. Compliance-arkitekturen er fundamentet. Byg fundamentet først.
Denne artikel er baseret på en undersøgelse foretaget af LegalBison i april 2026. Indholdet er udelukkende til orientering og udgør ikke juridisk rådgivning.
