MiCA رمزگشایی شد: چرا نهاد ناظر تیم تطبیق مقررات شما را به‌عنوان یک مغز واحد می‌بیند

MiCA Decoded یک مجموعه هفتگی ۱۲ مقاله‌ای برای Bitcoin.com News است که به‌صورت مشترک توسط مدیران هم‌بنیان‌گذار و مدیران عامل LegalBison تألیف شده است: Aaron Glauberman، Viktor Juskin و Sabir Alijev. LegalBison به شرکت‌های کریپتو و فین‌تک در زمینه اخذ مجوز MiCA، درخواست‌های CASP و VASP، و ساختاردهی مقرراتی در سراسر اروپا و فراتر از آن مشاوره می‌دهد.

افسانه: برون‌سپاری یک افسر انطباق کافی است

وقتی بنیان‌گذاران برنامه‌ریزی برای اخذ مجوز ارائه‌دهندگان خدمات دارایی‌های رمزینه (CASP) را آغاز می‌کنند، گفتگو تقریباً همیشه به همان نقطه می‌رسد: «خب، آیا باید یک افسر انطباق استخدام کنیم؟»

گاهی این پرسش با یک سوال تکمیلی همراه است: «و یک افسر گزارش‌دهی پول‌شویی (MLRO)؟ همین است؟»

پاسخ به هر دو بله است. اما تلقی این دو انتصاب به‌عنوان خط پایان، رایج‌ترین و اثرگذارترین بدفهمی از چیزی است که MiCA واقعاً از یک کارکرد انطباق مطالبه می‌کند.

نهادهای ناظر بررسی نمی‌کنند که آیا چارت سازمانی عناوین شغلی درست را دارد یا نه. آنها ارزیابی می‌کنند که آیا رکن مدیریتی (management body) به‌عنوان یک واحد، معماری دانشی، استقلال ساختاری، و عمق عملیاتیِ مستند لازم برای اداره یک مؤسسه مالیِ تحت‌نظارت را دارد یا خیر. مجوز MiCA به یک شخص اعطا نمی‌شود. به یک ارگانیسم اعطا می‌شود.

این تمایز در قلبِ این قرار دارد که چرا بسیاری از درخواست‌های مرحله اولیه متوقف می‌شوند یا پیش از آنکه مقام صلاحیت‌دار ملی (NCA) مجوز را اعطا کند، به بازکاریِ قابل‌توجه نیاز پیدا می‌کنند.

«به‌طور جمعی» در مقرره واقعاً به چه معناست

ماده 68(1) از MiCA در این نکته دقیق است. اعضای رکن مدیریتی باید از دانش، مهارت‌ها و تجربه مناسب «هم به‌صورت فردی و هم به‌صورت جمعی» برخوردار باشند. همین یک کلمه، «جمعی»، کار مقرراتیِ قابل‌توجهی انجام می‌دهد.

رهنمودهای مشترک EBA و ESMA درباره صلاحیت اعضای رکن مدیریتی و سهام‌داران برای نهادهای مشمول MiCA، سازوکار این استاندارد را به‌طور صریح با فهرست کردن حوزه‌های مشخص تجربه حرفه‌ای که رکن مدیریتی باید دارا باشد روشن می‌کنند. ایرا یاروی (Eira Järvi)، وکیل ارشد در LegalBison، الزامات مشخص را در جدول زیر تشریح کرده است.

وقتی رهنمودهای ESMA را تحلیل می‌کنید، روشن می‌شود که پروفایل ترکیبی رکن مدیریتی باید به‌طور قابل‌اثبات سه حوزه دانشیِ هسته‌ای را پوشش دهد؛ حوزه‌هایی که شامل همه موارد تفصیلیِ بیان‌شده توسط ایرا هستند:

• بازارهای مالی سنتی: چارچوب‌های مقرراتی، تعهدات حمایت از سرمایه‌گذار، قواعد رفتار بازار، و استانداردهای عملیاتی که برای ارائه‌دهندگان خدمات مالی دارای مجوز اعمال می‌شوند.
• زیرساخت فناوری دفترکل توزیع‌شده (DLT) و امنیت سایبری: معماری بلاکچین، ریسک در سطح پروتکل، مواجهه با قرارداد هوشمند، مدل‌سازی تهدیدات امنیت سایبری، و آسیب‌پذیری‌های عملیاتیِ مشخصی که از ارائه خدمات روی زنجیره (on-chain) ناشی می‌شوند.
• راهبرد کسب‌وکار و حاکمیت سازمانی: طراحی مدیریت ریسک، معماری کنترل‌های داخلی، سیاست حاکمیتی، و توانایی ارزیابی و بازبینی دوره‌ای اثربخشی انطباق شرکت.

نهاد ناظر انتظار ندارد یک نفر هر سه حوزه را در اختیار داشته باشد. انتظار، که با الزام ESMA مبنی بر اینکه شرکت‌ها ارزیابی «صلاحیت جمعی» خود را ارائه کنند رسمی شده است، این است که تیم در مجموع همه آنها را بدون خلأهای معنادار پوشش دهد.

رکن مدیریتی‌ای که تماماً از پیشینه‌های مالی سنتی تشکیل شده باشد، بدون فردی که قادر به ارزیابی ریسک زیرساخت DLT باشد، پیش از ارسال درخواست از نظر ساختاری ناقص است.

همین موضوع به‌صورت معکوس نیز صادق است: یک تیم کریپتو-بومی با عمق فنی بالا که هیچ‌کس در آن رفتار بازارهای مالی تحت‌نظارت را نمی‌فهمد، با همان سطح موشکافی مواجه خواهد شد.

مشکل تعهد زمانی که هیچ‌کس درباره‌اش حرف نمی‌زند

یک لایه دوم در استاندارد صلاحیت جمعی وجود دارد که متقاضیان را غافلگیر می‌کند.

افراد مناسب باید در عمل وجود داشته باشند، نه فقط روی کاغذ. هر عضو رکن مدیریتی باید به‌صورت کتبی حداقل تعهد زمانی خود به شرکت را مستند کند: مشخصاً برآوردی از زمانی که به نقش اختصاص می‌دهد (با اشاره‌های سالانه و ماهانه)، همراه با اظهارنامه رسمیِ همه سمت‌های مدیریتی اجرایی و غیر اجرایی (directorships) دیگری که در حال حاضر در اختیار دارد.

پیش‌نویس استانداردهای فنی مقرراتی (RTS) ESMA درباره مجوزدهی (برگرفته از نخستین بسته مشاوره) در این باره صریح است. ارزیابی بررسی می‌کند که آیا هر شخص از نظر کارکردی حاضر است، نه اینکه صرفاً به‌صورت اسمی درج شده باشد.

یک عضو غیر اجرایی با چهار کرسی هیئت‌مدیره دیگر و یک رابطه مشاوره انطباق با دو شرکت اضافی، با موشکافی مستقیم مواجه خواهد شد. NCA باید قانع شود که رکن مدیریتی واقعاً می‌تواند وظایفش را انجام دهد، نه صرفاً اینکه نام‌های درست در درخواست دیده می‌شوند.

این موضوع بیش از همه برای شرکت‌های کریپتوی مرحله اولیه اهمیت دارد که برای تقویت درخواست مجوزدهی، چهره‌های باتجربه انطباق را به‌صورت پاره‌وقت یا مشاوره‌ای وارد می‌کنند. نهاد ناظر دقیقاً می‌بیند آن شخص چند ساعت در ماه تعهد می‌دهد و آن را با دامنه نقش و خدماتی که شرکت قصد ارائه دارد مقایسه می‌کند.

ناهمخوانی میان مسئولیت و تعهد زمانی یک پرچم قرمز است، نه یک نکته فنی.

کارکردهای کنترل داخلی: ساختار مهم‌تر از عنوان

درک صلاحیت جمعی در سطح رکن مدیریتی فقط بخشی از تصویر است. ماده 68(4) MiCA از CASPها می‌خواهد سیاست‌ها و رویه‌هایی «به اندازه کافی مؤثر برای تضمین انطباق» اتخاذ کنند. ماده 68(5) در هر سطح شرکت، کارکنانی با دانش مناسب را الزام می‌کند. ماده 68(6) از رکن مدیریتی می‌خواهد اثربخشی این ترتیبات را به‌صورت دوره‌ای بازبینی کند و هر نقص شناسایی‌شده را برطرف سازد.

پیش‌نویس RTSهای ESMA این را یک گام جلوتر می‌برند. آنها از شرکت‌ها می‌خواهند کارکردهای کنترل داخلی مشخصی را شناسایی کنند و برای هر یک مستند کنند:

• خط گزارش‌دهی مستقیماً به رکن مدیریتی می‌رود.
• این کارکرد چگونه مستقل از بخش کسب‌وکاری که بر آن نظارت دارد عمل می‌کند.
• این کارکرد چگونه می‌تواند به‌صورت برنامه‌ریزی‌شده و نیز به‌صورت اضطراری (موردی/ ad hoc) هنگام کشف یک ریسک انطباق مهم، به رکن مدیریتی دسترسی داشته باشد.

سه حوزه کارکردی که هسته این چارچوب کنترل داخلی را تشکیل می‌دهند عبارت‌اند از:

• کارکرد انطباق (تعهدات مقرراتی، سیاست‌های رفتاری، رویه‌های داخلی).
• کارکرد ارزیابی ریسک (شناسایی ریسک، روش‌شناسی ارزیابی، پروتکل‌های تشدید/ارجاع).
• کارکرد حسابرسی داخلی (بازبینی مستقلِ اثربخشی، ارزیابی دوره‌ای).

نکته: کارکرد AML/CFT و کارکرد تداوم کسب‌وکار نیز ستون‌های الزامیِ درخواست مجوزدهی هستند، اما ESMA آنها را در کنار این چارچوب هسته کنترل داخلی، به‌عنوان الزامات سازمانی متمایز تلقی می‌کند.

MiCA همیشه این برچسب‌های دقیق را در متن سطح ۱ به‌کار نمی‌برد. RTSهای ESMA روشن می‌کنند که این حوزه‌های هسته کنترل داخلی باید متولیان نام‌دار، دامنه مسئولیت‌های مستند، و استقلال ساختاریِ راستی‌آزمایی‌شده داشته باشند.

همین نکته آخر جایی است که بسیاری از درخواست‌ها یک نقص ساختاری را آشکار می‌کنند.

کارکرد انطباقی که به مدیر عملیات (COO) گزارش می‌دهد، در حالی‌که او همچنین مدیریت درآمد و توسعه کسب‌وکار را بر عهده دارد، از منظر مقرراتی مستقل نیست. کارکرد ریسکی که در میز معاملات تعبیه شده و از همان زنجیره‌ای گزارش می‌دهد که میزی را که قرار است رصد کند پوشش می‌دهد نیز استاندارد را برآورده نمی‌کند.

نهاد ناظر چارت سازمانی را درخواست خواهد کرد. سپس می‌پرسد رئیس انطباق در عمل به چه کسی گزارش می‌دهد، آن شخص چه مسئولیت‌های دیگری دارد، و هنگام شناسایی یک ریسک انطباق جدی چه حقوق/اختیارات تشدید (escalation) در اختیار دارد.

ساختن یک درخواست مجوز CASP حول یک ساختار واقعیِ استقلال، مستلزم آن است که این معماری پیش از نگارش درخواست طراحی شود، نه اینکه بعداً به آن الصاق/بازطراحی شود.

جوهره فیزیکی: مشکل مدیر اسمی (Nominee Director)

درخواست مجوزدهی باید یک مکان فیزیکیِ مدیریت مؤثر در داخل اتحادیه اروپا را مستند کند. این یعنی آدرس دفتر مرکزی، محل شعب در صورت لزوم، و جغرافیای واقعیِ تصمیم‌گیری شرکت.

• حداقل یک مدیر که اختیار واقعی اعمال می‌کند باید در داخل اتحادیه مقیم باشد و برای NCA کشور عضو محل استقرار قابل دسترس باشد.
• یک آدرس ثبت‌شده در یک حوزه قضایی اتحادیه اروپا که با ترتیبات مدیر اسمی پشتیبانی می‌شود، این استاندارد را برآورده نمی‌کند.
• الزام «جوهره» یعنی وزن تصمیم‌گیری انسانی باید واقعاً داخل اتحادیه مستقر باشد.

NCAها این موضوع را از طریق فیلدهای مکانی در درخواست RTS و از طریق افشاگری‌های تعهد زمانی هر عضو رکن مدیریتی ارزیابی می‌کنند.

مدیری که در هر فصل دو هفته به‌صورت فیزیکی در اتحادیه اروپا حاضر است، از هیچ منظر مقرراتی معناداری «مدیر مقیم» محسوب نمی‌شود.

این نکته به‌ویژه برای شرکت‌هایی اهمیت دارد که از مقرهای جهانی خارج از اتحادیه اروپا فعالیت می‌کنند و به سمت اخذ مجوز کریپتو در اروپا حرکت می‌کنند. نهاد مستقر در اتحادیه اروپا باید به‌عنوان یک واحد واقعیِ تصمیم‌گیری عمل کند، نه به‌عنوان یک پوشش اداری برای ساختار گروهی‌ای که از جای دیگری اداره می‌شود.

تداوم کسب‌وکار متعلق به تیم انطباق است

تداوم کسب‌وکار به‌طور گسترده به‌عنوان مسئولیت فناوری اطلاعات تلقی می‌شود. تحت MiCA و قانون تاب‌آوری عملیاتی دیجیتال (DORA)، این چارچوب برای هر CASP دارای مجوز نادرست است.

سیاست تداوم کسب‌وکار باید تحت مالکیت، تصویب و نگهداری رکن مدیریتی باشد. DORA (مقرره اتحادیه اروپا 2022/2554) عناصر خاص فناوری اطلاعات و ارتباطات را تنظیم می‌کند و CASPها به‌عنوان نهادهای مالی در دامنه DORA قرار می‌گیرند. این دو چارچوب به‌طور هم‌زمان عمل می‌کنند و کارکرد انطباق باید قادر باشد هر دو را در یک زمان مدیریت کند.

سند مشاوره دوم ESMA درباره MiCA یک تعهد مشخص برای شرکت‌هایی که روی فناوری دفترکل توزیع‌شده بدون مجوز (permissionless) فعالیت می‌کنند (بلاکچین‌های عمومی مانند اتریوم) معرفی کرد: ارتباط پیش‌دستانه و ساختاریافته با مشتریان در طول هر اختلال خدمات در سطح DLT.

شرکت باید به مشتریان به‌روزرسانی دهد که آیا وجوه آنها در معرض ریسک است یا نه و تصویر روشنی ارائه کند از اینکه از سرگیری خدمت چگونه مدیریت می‌شود. شرکت به‌طور کامل مسئول هر زیانی است که از قراردادهای هوشمند خودش ناشی شود، فارغ از اینکه بلاکچین زیرین بدون مجوز باشد.

این یک سیاست استاندارد قطعی IT نیست. مالکیت معنادار این تعهد مستلزم آن است که رکن مدیریتی ریسک زیرساخت DLT را در سطحی بسیار فراتر از آگاهی فنی عمومی بفهمد.

تیم انطباقی که فقط می‌تواند ریسک بلاکچین را به‌صورت کلی توصیف کند، نخواهد توانست سیاست تداوم کسب‌وکار را به‌گونه‌ای تدوین، بازبینی یا نگهداری کند که از موشکافی مقرراتی عبور کند.

استانداردهای داده به‌عنوان یک قابلیت انطباق

مسئولیت‌های کارکرد انطباق به معماری داده نیز امتداد می‌یابد. CASPهایی که پلتفرم‌های معاملاتی را اداره می‌کنند باید برای تمام نگهداری سوابق و گزارش‌دهی به NCAها از استاندارد شناسه توکن دیجیتال (DTI) استفاده کنند. DTI هر دارایی رمزینه را به‌طور یکتا شناسایی می‌کند و آن را به DLT مشخصی که روی آن صادر، معامله یا تسویه می‌شود پیوند می‌دهد. این به نهادهای ناظر امکان می‌دهد با داده‌های سازگار و قابل‌مقایسه، پایش فرامرزی انجام دهند.

استانداردهای پیام‌رسانی ISO 20022 قالب داده‌های تراکنشیِ ارسال‌شده به مراجع را تنظیم می‌کنند. داده‌های شفافیت پیش و پس از معامله باید از طریق کانال‌های عمومیِ غیرتبعیض‌آمیز و ماشین‌خوان افشا شوند تا از سوءاستفاده بازار جلوگیری شود. هر یک از این الزامات یک بُعد فنی دارد که تیم انطباق باید مالک آن باشد، نه اینکه کورکورانه به IT واگذار کند.

شرکتی که نگهداری سوابق را یک کار عمومی مدیریت سامانه تلقی کند، بدون نظارت انطباق بر استانداردهای داده مشخصی که RTS مطالبه می‌کند، پس از اخذ مجوز با مشکلات نظارتی مواجه خواهد شد.

این استانداردها دقیقاً برای این وجود دارند که NCAها بتوانند سوابق را در میان صدها CASP در یک تحلیل واحد مقایسه کنند. شرکتی که نمی‌تواند داده را در قالب موردنیاز تولید کند، شرکتی است که نمی‌تواند انطباق مستمر را نشان دهد.

این معنای عملیِ استاندارد «مغز واحد» است. تیم انطباق، آگاهی مقرراتی، ساختار حاکمیتی، دانش عملیاتی DLT، و سواد فنیِ داده را به‌عنوان یک قابلیت یکپارچه ادغام می‌کند. هیچ‌یک از این عناصر نمی‌تواند به‌طور کامل به کارکرد دیگری برون‌سپاری شود.

ساختن تیم پیش از ساختن درخواست

درخواست مجوزدهی برای مجوز MiCAِ یک CASP، یک نهاد را مستند می‌کند که از پیش وجود دارد. این همان مدل ذهنی‌ای است که شرکت‌هایی را که به‌طور کارآمد از فرآیند عبور می‌کنند از شرکت‌هایی که متوقف می‌شوند جدا می‌کند.

شرکت‌هایی که به‌دنبال اخذ مجوز صرافی کریپتو، مجوز نگه‌داری حضانتی دارایی دیجیتال، یا هر مجوز CASP دیگری در اروپا هستند، باید معماری تیم را به‌عنوان نخستین خروجی (deliverable) ببینند، نه چیزی که هم‌زمان با نگارش درخواست شکل می‌گیرد.

کارکرد انطباق باید پیش از نوشتن نخستین سند، از نظر ساختاری مستقل باشد. پوشش دانش جمعیِ رکن مدیریتی باید ارزیابی شود و هر خلأیی پیش از آغاز بررسی NCA برطرف گردد. افشاگری‌های تعهد زمانی باید پیش از ارسال، واقع‌بینانه باشند.

همین منطق در سطح جهانی نیز صادق است. شرکت‌هایی که برای مجوز VASP در حوزه‌های قضایی خارج از اتحادیه اروپا اقدام می‌کنند، به‌طور فزاینده با استانداردهای موازی مواجه می‌شوند: نهادهای ناظر در خاورمیانه، آسیا-اقیانوسیه، و قاره آمریکا به سمت الزامات مشابهِ «جوهره به‌جای ظاهر» برای طراحی کارکرد انطباق همگرا می‌شوند.

استاندارد اتحادیه اروپا، که در حال حاضر مفصل‌ترین و از نظر فنی مشخص‌ترین استاندارد لازم‌الاجرا است، یک معیار مرجع مفید برای هر تیمی است که در هر حوزه قضاییِ مهم به سمت وضعیتِ تحت‌نظارت حرکت می‌کند.

نکته کلیدی

افسانه: انتصاب یک افسر انطباق و یک MLRO تعهدات انطباق MiCA را برآورده می‌کند.

واقعیت: MiCA یک ارگانیسم انطباقِ کارکردی می‌خواهد، نه فهرستی از عناوین شغلی.

سه چیز تعیین می‌کند که آیا رکن مدیریتی استاندارد را برآورده می‌کند یا نه:

پوشش دانش جمعی. تیم به‌عنوان یک واحد باید تخصص بازارهای مالی سنتی، مهارت در DLT و امنیت سایبری، و قابلیت حاکمیت سازمانی را پوشش دهد. شکاف در هر یک از این حوزه‌ها نقص ساختاری است، نه ترجیح پروفایلی.

استقلال ساختاریِ مستند. کارکردهای هسته کنترل داخلی (انطباق، ارزیابی ریسک، و حسابرسی داخلی) باید یک متولی نام‌دار، یک خط گزارش‌دهی مستقیم به رکن مدیریتی، و استقلال راستی‌آزمایی‌شده از بخش کسب‌وکاری که بر آن نظارت دارند داشته باشند. (نکته: AML/CFT و تداوم کسب‌وکار نیز به همان اندازه الزامی‌اند، اما به‌عنوان ستون‌های سازمانی متمایز تلقی می‌شوند). چارت سازمانی‌ای که انطباق را از مسیر یک کارکرد درآمدزا عبور می‌دهد، از موشکافی NCA جان سالم به در نخواهد برد.

جوهره واقعیِ نهادی. تعهدات زمانی باید واقعی و مستند باشند. حضور فیزیکی در اتحادیه اروپا باید وزن واقعی تصمیم‌گیری را منعکس کند، نه صرفاً یک آدرس ثبت‌شده را. سیاست تداوم کسب‌وکار باید در سطح رکن مدیریتی مالکیت داشته باشد. گزارش‌دهی داده باید از روز اول با استانداردهای DTI و ISO 20022 منطبق باشد.

درخواست مجوز CASP خروجی است. معماری انطباق پی‌ریزی/بنیاد است. اول بنیاد را بسازید.

این مقاله بر اساس یک مطالعه انجام‌شده توسط LegalBison در آوریل ۲۰۲۶ تهیه شده است. این محتوا صرفاً برای اهداف اطلاع‌رسانی است و مشاوره حقوقی محسوب نمی‌شود.