Pelkkä organisaatiokaavio, jossa on oikeat tehtävänimikkeet, ei riitä toimiluvan saamiseen. Sääntelyviranomainen kiinnittää huomiota noudattamisrakenteeseen: dokumentoituun riippumattomuuteen, kolmen eri osaamisalueen kattavaan kollektiiviseen asiantuntemukseen sekä todelliseen institutionaaliseen sisältöön. Näin kyseinen standardi toimii käytännössä.
MiCA selitettynä: Miksi sääntelyviranomainen pitää vaatimustenmukaisuusryhmääsi yhtenä kokonaisuutena
KIRJOITTAJA
JAA
MiCA Decoded on Bitcoin.com Newsin 12-osainen viikoittainen sarja, jonka ovat kirjoittaneet yhdessä LegalBisonin perustajat ja toimitusjohtajat Aaron Glauberman, Viktor Juskin ja Sabir Alijev. LegalBison neuvoo krypto- ja FinTech-yrityksiä MiCA-lisensointiin, CASP- ja VASP-hakemuksiin sekä sääntelyrakenteisiin Euroopassa ja sen ulkopuolella.
Myytti: Compliance-vastaavan ulkoistaminen riittää
Kun perustajat alkavat suunnitella kryptovaroja tarjoavien palveluntarjoajien (CASP) toimilupaa, keskustelu päätyy lähes aina samaan kohtaan: "Tarvitsemmeko siis palkata compliance-vastaavan?"
Joskus kysymykseen liittyy jatkokysymys: "Entä rahanpesun ilmoitusvastaava (MLRO)? Siinäkö kaikki?"
Vastaus molempiin kysymyksiin on kyllä. Mutta näiden kahden nimityksen pitäminen lopputuloksena on yleisin ja merkittävämpi väärinkäsitys siitä, mitä MiCA todella vaatii compliance-toiminnolta.
Sääntelyviranomaiset eivät tarkista, onko organisaatiokaaviossa oikeat nimikkeet. He arvioivat, onko johtokunnalla kokonaisuutena tarvittava tietorakenne, rakenteellinen riippumattomuus ja dokumentoitu toiminnallinen syvyys säännellyn rahoituslaitoksen johtamiseen. MiCA-lisenssiä ei myönnetä henkilölle. Se myönnetään organisaatiolle.
Tämä ero on keskeinen syy siihen, miksi niin monet varhaisvaiheen hakemukset jumittuvat tai vaativat merkittävää uudelleenkäsittelyä ennen kuin kansallinen toimivaltainen viranomainen (NCA) myöntää luvan.
Mitä ”yhdessä” todella tarkoittaa asetuksessa
MiCA-asetuksen 68 artiklan 1 kohta on täsmällinen tässä asiassa. Johtokunnan jäsenten on oltava ”sekä yksilöllisesti että kollektiivisesti” riittävän osaavia, ammattitaitoisia ja kokeneita. Tuo yksi sana, ”kollektiivisesti”, on sääntelyn kannalta merkittävä.
EBA:n ja ESMA:n yhteiset ohjeet johtokunnan jäsenten ja osakkeenomistajien sopivuudesta MiCA:n piiriin kuuluville yhteisöille selventävät tämän standardin mekanismia luettelemalla ne ammatillisen kokemuksen erityisalat, joita johtokunnalla on oltava. LegalBisonin vanhempi lakimies Eira Järvi on esittänyt erityisvaatimukset alla olevassa taulukossa.
| Vaatimusten luokka | Yksityiskohtainen kuvaus |
| Rahoitusmarkkinoiden sääntely | Rahoitusvälineiden ja DLT-rahoitusvälineiden ymmärtäminen, mukaan lukien SIBA:n ja muiden sovellettavien lakien mukaiset sääntelyvaatimukset |
| AML/CTF-vaatimusten noudattaminen | Tuntemus rahanpesun ja terrorismin rahoituksen torjunnan vaatimuksista, mukaan lukien riskien tunnistaminen, arviointi ja lieventämisstrategiat |
| Virtuaaliset varat | Tuntemus virtuaalivarojen tyypeistä, mukaan lukien varallisuuteen sidotut ja sähköisen rahan tokenit, sekä kuhunkin liittyvistä riskeistä |
| Tietosuoja | Yhtiön toimintaan liittyvien tietosuojavelvoitteiden ymmärtäminen |
| Riskienhallinta | Riskienhallinnan periaatteiden ja menettelyjen ymmärtäminen, mukaan lukien markkina-, luotto- ja likviditeettiriskit |
| Hallinto ja sisäiset valvontamenettelyt | Kyky arvioida hallintojärjestelyjen, valvontamekanismien ja sisäisten valvontamenetelmien tehokkuutta |
| Digitaalinen toimintavarmuus | Toiminnallisen kestävyyden vaatimusten tuntemus |
| Strateginen ja johtamisosaaminen | Kokemus strategisesta suunnittelusta, liiketoiminnan kehittämisestä ja liiketoimintatavoitteiden toteuttamisesta |
| Kolmansien osapuolten hallinta | Ulkoistamisjärjestelyjen, kolmansien osapuolten hallinnan ja niihin liittyvien sääntelyvaatimusten ymmärtäminen |
| Viestintä ja valvonta | Kyky esittää näkemyksiä, keskustella strategioista ja tarvittaessa kyseenalaistaa johdon päätöksiä tehokkaan valvonnan varmistamiseksi |
| Kirjanpito ja tilintarkastus | Kyky tulkita taloudellista tietoa, tunnistaa keskeiset ongelmat ja ymmärtää asiaankuuluvia kirjanpito- ja tilintarkastusstandardeja |
| Oikeudellinen ja sääntelytietous | VASP-yrityksiin sovellettavien lakisääteisten vaatimusten tuntemus, mukaan lukien virtuaalivaluuttojen liikkeeseenlasku ja hallinnointi |
Kun analysoidaan ESMA:n ohjeita, käy selväksi, että johtokunnan yhdistetty profiilin on katettava kolme keskeistä osaamisaluetta, jotka sisältävät kaikki Eiran yksityiskohtaisesti luettelemat alueet:
- Perinteiset rahoitusmarkkinat: Sääntelykehykset, sijoittajansuojavelvoitteet, markkinakäyttäytymissäännöt ja toimiluvan saaneisiin rahoituspalvelujen tarjoajiin sovellettavat toimintastandardit.
- Digitaalisen tilikirjatekniikan (DLT) infrastruktuuri ja kyberturvallisuus: lohkoketjuarkkitehtuuri, protokollatason riskit, älykkäiden sopimusten riskit, kyberturvallisuusuhkien mallintaminen sekä ketjussa tapahtuvasta palvelujen toimittamisesta johtuvat erityiset toiminnalliset haavoittuvuudet.
- Liiketoimintastrategia ja organisaation hallinto: riskienhallinnan suunnittelu, sisäisen valvonnan arkkitehtuuri, hallintopolitiikka sekä kyky arvioida ja tarkistaa säännöllisesti yrityksen sääntöjen noudattamisen tehokkuutta.
Sääntelyviranomainen ei odota, että yksi henkilö hallitsisi kaikkia kolmea aluetta. ESMA:n vaatimuksessa, jonka mukaan yritysten on toimitettava arvio "kollektiivisesta soveltuvuudestaan", virallistettu odotus on, että tiimi kokonaisuutena kattaa kaikki nämä alueet ilman merkittäviä aukkoja.
Johtoryhmä, joka koostuu kokonaan perinteisen rahoitusalan taustasta tulevista henkilöistä, joista kukaan ei kykene arvioimaan DLT-infrastruktuurin riskejä, on rakenteellisesti puutteellinen jo ennen hakemuksen jättämistä.
Sama pätee myös päinvastaisessa tilanteessa: teknisesti osaava, kryptovaluuttoihin perehtynyt tiimi, jossa kukaan ei ymmärrä säänneltyjen rahoitusmarkkinoiden toimintaa, joutuu samanlaisen tarkastelun kohteeksi.
Aikapanostusongelma, josta kukaan ei puhu
Kollektiivisen soveltuvuusvaatimuksessa on toinenkin ulottuvuus, joka yllättää hakijat.
Oikeiden henkilöiden on oltava olemassa käytännössä, ei vain paperilla. Jokaisen johtokunnan jäsenen on dokumentoitava kirjallisesti vähimmäisaikapanostuksensa yritykselle: tarkemmin sanottuna arvio rooliin käytettävästä ajasta (sekä vuosittain että kuukausittain) sekä virallinen ilmoitus kaikista muista tällä hetkellä hoidettavista johtotehtävistä ja hallitusjäsenyyksistä.
ESMA:n luonnos toimilupaa koskevista sääntelyteknisistä standardeista (perustuu ensimmäiseen kuulemispakettiin) on tässä asiassa selkeä. Arvioinnissa tarkastellaan, onko kukin henkilö toiminnallisesti läsnä, ei pelkästään nimellisesti luettelossa.
Hallituksen jäsen, jolla on neljä muuta hallituspaikkaa ja compliance-neuvonantajatehtävä kahdessa muussa yrityksessä, joutuu suoran tarkastelun kohteeksi. NCA:n on oltava vakuuttunut siitä, että johtokunta pystyy tosiasiallisesti hoitamaan tehtävänsä, ei pelkästään siitä, että hakemuksessa esiintyy oikeat nimet.
Tämä on tärkeintä alkuvaiheessa oleville kryptovaluutta-alan yrityksille, jotka ottavat palvelukseensa kokeneita compliance-ammattilaisia osa-aikaisina tai neuvonantajina vahvistaakseen toimilupahakemustaan. Sääntelyviranomainen tarkistaa tarkasti, kuinka monta tuntia kuukaudessa kyseinen henkilö käyttää tehtävään, ja vertaa tätä lukua roolin laajuuteen ja palveluihin, joita yritys aikoo tarjota.
Vastuun ja ajankäytön välinen epäsuhta on varoitusmerkki, ei pelkkä muodollisuus.
Sisäisen valvonnan toiminnot: rakenne on tärkeämpää kuin nimikkeet
Johtokunnan tason kollektiivisen soveltuvuuden ymmärtäminen on vain osa kokonaisuutta. MiCA:n 68 artiklan 4 kohdassa vaaditaan CASP-yrityksiä ottamaan käyttöön toimintaperiaatteet ja menettelyt, jotka ovat ”riittävän tehokkaita varmistamaan säännösten noudattamisen”. 68 artiklan 5 kohdassa vaaditaan, että yrityksen jokaisella tasolla on henkilöstöä, jolla on asianmukainen osaaminen. 68 artiklan 6 kohdassa vaaditaan johtokuntaa tarkastelemaan säännöllisesti näiden järjestelyjen tehokkuutta ja korjaamaan havaitut puutteet.
ESMA:n RTS-luonnos vie tämän vielä pidemmälle. Siinä vaaditaan yrityksiä määrittelemään erityiset sisäisen valvonnan toiminnot ja dokumentoimaan kunkin osalta:
- Raportointilinja ulottuu suoraan johtokuntaan.
- Miten toiminto toimii riippumattomasti sen liiketoiminta-alueesta, jota se valvoo.
- Miten toiminto voi ottaa yhteyttä johtokuntaan säännöllisesti ja hätätilanteissa (ad hoc), kun havaitaan merkittävä sääntöjen noudattamiseen liittyvä riski.
Tämän sisäisen valvonnan kehyksen ytimen muodostavat kolme toiminnallista aluetta:
- Sääntöjen noudattamista koskeva toiminto (sääntelyvelvoitteet, käytännesäännöt, sisäiset menettelyt).
- Riskinarviointitoiminto (riskien tunnistaminen, arviointimenetelmät, eskalointimenettelyt).
- Sisäinen tarkastus (riippumaton tehokkuuden arviointi, säännöllinen arviointi).
Huomautus: Rahanpesun ja terrorismin rahoituksen torjunnan toiminto sekä liiketoiminnan jatkuvuuden toiminto ovat myös pakollisia pilareita toimilupahakemuksessa, mutta ESMA käsittelee niitä erillisinä organisatorisina vaatimuksina tämän sisäisen valvonnan ydinkehyksen rinnalla.
MiCA ei aina määritä näitä tarkkoja nimityksiä tason 1 tekstissä. ESMA:n RTS-säännöissä tehdään selväksi, että näillä sisäisen valvonnan ydinalueilla on oltava nimetyt vastuuhenkilöt, dokumentoidut vastuualueet ja todennettu rakenteellinen riippumattomuus.
Juuri tässä viimeisessä kohdassa monissa hakemuksissa paljastuu rakenteellinen puute.
Compliance-toiminto, joka raportoi operatiiviselle johtajalle, joka myös hallinnoi tuloja ja liiketoiminnan kehittämistä, ei ole sääntelyn kannalta riippumaton. Myöskään kaupankäyntiyksikköön integroitu riskitoiminto, joka raportoi ylöspäin samaa ketjua pitkin kuin yksikkö, jota sen on tarkoitus valvoa, ei täytä standardia.
Sääntelyviranomainen pyytää organisaatiokaavion. Sen jälkeen se kysyy, kenelle compliance-johtaja käytännössä raportoi, mitkä ovat kyseisen henkilön muut vastuualueet ja mitä eskalointioikeuksia hänellä on, kun vakava compliance-riski havaitaan.
CASP-lisenssihakemuksen rakentaminen todellisen riippumattomuusrakenteen ympärille edellyttää, että arkkitehtuuri suunnitellaan ennen hakemuksen laatimista, eikä sitä jälkiasenneta myöhemmin.
Fyysinen olemus: nimellinen johtaja -ongelma
Lupahakemuksessa on dokumentoitava EU:n sisällä sijaitseva fyysinen paikka, jossa tehokasta johtamista harjoitetaan. Tämä tarkoittaa pääkonttorin osoitetta, tarvittaessa sivukonttoreiden sijainteja sekä yrityksen todellista päätöksentekopaikkaa.
- Vähintään yhden todellista päätösvaltaa käyttävän johtajan on oltava unionin alueella asuva ja kotijäsenvaltion kansallisen toimivaltaisen viranomaisen tavoitettavissa.
- EU:n lainkäyttöalueella sijaitseva rekisteröity osoite, jota tukee nimellinen johtaja, ei täytä tätä vaatimusta.
- Aineellisuusvaatimus tarkoittaa, että ihmisten päätöksentekovalta on tosiasiallisesti unionin alueella.
Kansalliset toimivaltaiset viranomaiset arvioivat tämän RTS-hakemuksen sijaintikenttien ja kunkin johtokunnan jäsenen aika-sitoutumista koskevien tietojen perusteella.
Johtaja, joka on fyysisesti läsnä EU:ssa kaksi viikkoa vuosineljänneksessä, ei täytä asuvan johtajan vaatimusta missään merkityksellisessä sääntelymielessä.
Tämä on erityisen tärkeä seikka yrityksille, jotka toimivat EU:n ulkopuolella sijaitsevasta globaalista pääkonttorista käsin ja pyrkivät saamaan kryptoluvan Euroopassa. EU:ssa sijaitsevan yksikön on toimittava todellisena päätöksentekoyksikkönä, ei muualta käsin toimivan konsernirakenteen hallinnollisena kulissina.
Liiketoiminnan jatkuvuus kuuluu compliance-tiimille
Liiketoiminnan jatkuvuutta pidetään yleisesti IT-osaston vastuuna. MiCA-asetuksen ja digitaalisen toimintavarmuuden asetuksen (DORA) mukaan tämä näkemys on virheellinen kaikkien toimiluvan saaneiden CASP-yritysten osalta.
Liiketoiminnan jatkuvuuspolitiikan omistajuus, hyväksyminen ja ylläpito on johtokunnan vastuulla. DORA (asetus EU 2022/2554) säätelee tieto- ja viestintätekniikkaan liittyviä erityiskohteita, ja CASP:t kuuluvat DORA:n soveltamisalaan rahoitusyksiköinä. Nämä kaksi sääntelykehystä toimivat rinnakkain, ja compliance-toiminnon on kyettävä navigoimaan molemmissa samanaikaisesti.
ESMA:n toisessa MiCA-kuulemisasiakirjassa otettiin käyttöön erityinen velvoite yrityksille, jotka toimivat luvattomalla hajautetun tilikirjan teknologialla (julkiset lohkoketjut, kuten Ethereum): ennakoiva, jäsennelty viestintä asiakkaiden kanssa DLT-tason palveluhäiriöiden aikana.
Yrityksen on tiedotettava asiakkaille siitä, ovatko heidän varansa vaarassa, ja annettava selkeä kuva siitä, miten palvelun palauttaminen hoidetaan. Yritys on täysin vastuussa omista älykkäistä sopimuksistaan johtuvista tappioista riippumatta siitä, onko taustalla oleva lohkoketju luvaton.
Tämä ei ole tavanomainen IT-katkoksen varalle laadittu käytäntö. Tämän velvoitteen täyttäminen edellyttää, että johto ymmärtää DLT-infrastruktuurin riskejä tasolla, joka ylittää selvästi yleisen teknisen tietämyksen.
Sääntöjen noudattamisesta vastaava tiimi, joka osaa kuvata lohkoketjun riskejä vain yleisellä tasolla, ei pysty laatimaan, tarkistamaan tai ylläpitämään liiketoiminnan jatkuvuussuunnitelmaa, joka täyttää sääntelyviranomaisten vaatimukset.
Tietostandardit compliance-valmiutena
Compliance-toiminnon vastuut ulottuvat data-arkkitehtuuriin. Kaupankäyntialustoja ylläpitävien CASP-toimijoiden on käytettävä Digital Token Identifier (DTI) -standardia kaikessa kirjanpidossa ja raportoinnissa kansallisille toimivaltaisille viranomaisille. DTI tunnistaa yksilöllisesti jokaisen kryptovaran ja linkittää sen siihen tiettyyn DLT:hen, jolla se on laskettu liikkeeseen, jolla sillä käydään kauppaa tai jolla se selvitetään. Tämä mahdollistaa sääntelyviranomaisten suorittaman rajat ylittävän valvonnan yhdenmukaisilla, vertailukelpoisilla tiedoilla.
ISO 20022 -viestintästandardit säätelevät viranomaisille toimitettavien transaktiotietojen muotoa. Kaupankäyntiä edeltävät ja sen jälkeiset läpinäkyvyystiedot on julkistettava syrjimättömien, koneellisesti luettavien julkisten kanavien kautta markkinoiden väärinkäytön estämiseksi. Jokaisella näistä vaatimuksista on tekninen ulottuvuus, josta compliance-tiimin on huolehdittava itse, eikä sitä saa sokeasti delegoida IT-osastolle.
Yritys, joka käsittelee kirjanpitoa yleisenä järjestelmänhallintatehtävänä ilman RTS:n vaatimien erityisten datastandardien compliance-valvontaa, joutuu valvontavaikeuksiin toimiluvan saamisen jälkeen.
Standardit on luotu nimenomaan siksi, että kansalliset toimivaltaiset viranomaiset voivat verrata satojen CASP-palveluntarjoajien tietoja yhdellä kertaa. Yritys, joka ei pysty tuottamaan tietoja vaaditussa muodossa, ei pysty osoittamaan jatkuvaa sääntöjen noudattamista.
Tämä on ”yhden aivojen” standardin käytännön merkitys. Compliance-tiimi yhdistää sääntelytietoisuuden, hallintorakenteen, DLT-käyttötietämyksen ja teknisen datalukutaidon yhdeksi toimivaksi kyvykkyydeksi. Mitään näistä elementeistä ei voida ulkoistaa kokonaan toiselle toiminnolle.
Tiimin rakentaminen ennen hakemuksen laatimista
CASP MiCA -lisenssin hakemus koskee jo olemassa olevaa laitosta. Tämä on ajattelutapa, joka erottaa prosessin tehokkaasti läpi käyvät yritykset niistä, jotka jumittuvat.
Yritysten, jotka hakevat kryptovaluutanvaihtolisenssiä, digitaalisten varojen säilytyslupaa tai mitä tahansa muuta CASP-lisenssiä Euroopassa, on lähestyttävä tiimin rakennetta ensimmäisenä toimitettavana asiana, ei jotain, joka muodostuu hakemuksen laatimisen aikana.
Compliance-toiminnon on oltava rakenteellisesti itsenäinen ennen ensimmäisen asiakirjan laatimista. Johtoryhmän kollektiivisen osaamisen laajuus on arvioitava ja mahdolliset puutteet korjattava ennen kuin kansallinen valvontaviranomainen aloittaa tarkastuksensa. Aikataulua koskevien tietojen on oltava realistisia ennen niiden toimittamista.
Sama logiikka pätee maailmanlaajuisesti. Yritykset, jotka hakevat VASP-lisenssiä EU:n ulkopuolella, kohtaavat yhä useammin samankaltaisia standardeja: Lähi-idän, Aasian ja Tyynenmeren sekä Amerikan alueen sääntelyviranomaiset ovat yhtenäistämässä compliance-toiminnon suunnittelua koskevia vaatimuksiaan siten, että sisältö on muotoa tärkeämpää.
EU:n standardi, joka on tällä hetkellä voimassa olevista standardeista yksityiskohtaisin ja teknisesti tarkin, on hyödyllinen vertailukohta kaikille tiimeille, jotka pyrkivät säänneltyyn asemaan missä tahansa merkittävässä lainkäyttöalueessa.
"Me olemme DeFi, joten MiCA ei koske meitä." Valitettavasti EBA ja ESMA ovat eri mieltä.
MiCA kyseenalaistaa DeFi:n hajauttamisväitteet, kun sääntelyviranomaiset arvioivat valvonta-, hallinto- ja sääntöjen noudattamista koskevia sääntöjä. read more.
Lue nyt
"Me olemme DeFi, joten MiCA ei koske meitä." Valitettavasti EBA ja ESMA ovat eri mieltä.
MiCA kyseenalaistaa DeFi:n hajauttamisväitteet, kun sääntelyviranomaiset arvioivat valvonta-, hallinto- ja sääntöjen noudattamista koskevia sääntöjä. read more.
Lue nyt"Me olemme DeFi, joten MiCA ei koske meitä." Valitettavasti EBA ja ESMA ovat eri mieltä.
Lue nytMiCA kyseenalaistaa DeFi:n hajauttamisväitteet, kun sääntelyviranomaiset arvioivat valvonta-, hallinto- ja sääntöjen noudattamista koskevia sääntöjä. read more.
Tärkein johtopäätös
Myytti: Compliance-vastaavan ja MLRO:n nimittäminen täyttää MiCA:n compliance-velvoitteet.
Todellisuus: MiCA vaatii toimivan compliance-organisaation, ei luetteloa työnimikkeistä.
Kolme seikkaa ratkaisee, täyttääkö johtokunta standardin vaatimukset:
Kollektiivisen osaamisen kattavuus. Tiimin on kokonaisuutena katettava perinteinen rahoitusmarkkinoiden asiantuntemus, DLT- ja kyberturvallisuusosaaminen sekä organisaation hallintokyky. Puutteet millä tahansa alalla ovat rakenteellisia puutteita, eivät profiilivalintoja.
Dokumentoitu rakenteellinen riippumattomuus. Keskeisillä sisäisen valvonnan toiminnoilla (compliance, riskien arviointi ja sisäinen tarkastus) on oltava nimetty vastuuhenkilö, suora raportointisuhde johtokuntaan sekä todennettu riippumattomuus valvonnan kohteena olevasta liiketoiminta-alueesta. (Huomautus: rahanpesun torjunta ja terrorismin rahoituksen torjunta sekä liiketoiminnan jatkuvuus ovat yhtä pakollisia, mutta niitä käsitellään erillisinä organisaation pilareina). Organisaatiokaavio, jossa compliance-toiminto on sijoitettu tulonmuodostavaan toimintoon, ei kestä kansallisen valvontaviranomaisen tarkastelua.
Todellinen institutionaalinen sisältö. Aikapanostusten on oltava aitoja ja dokumentoituja. EU:n fyysisen läsnäolon on heijastettava todellista päätöksentekopainoarvoa, ei rekisteröityä osoitetta. Liiketoiminnan jatkuvuuspolitiikan on oltava johtokunnan vastuulla. Tietojen raportointi on täytettävä DTI- ja ISO 20022 -standardit alusta alkaen.
CASP-lisenssihakemus on lopputulos. Sääntöjen noudattamisen arkkitehtuuri on perusta. Rakenna ensin perusta.
Tämä artikkeli perustuu LegalBisonin huhtikuussa 2026 tekemään tutkimukseen. Sisältö on tarkoitettu vain tiedoksi eikä se ole oikeudellista neuvontaa.
