Organizacijska shema s pravim nazivima radnih mjesta neće vam donijeti licencu. Ono što regulator traži jest arhitektura usklađenosti: dokumentirana neovisnost, kolektivna stručnost kroz tri različita domena znanja i stvarna institucionalna supstanca. Ovako taj standard funkcionira u praksi.
MiCA dekodiran: Zašto regulator vaš tim za usklađenost vidi kao jedan jedinstveni mozak
NAPISAO
PODIJELI
MiCA Decoded je tjedna serija od 12 članaka za Bitcoin.com News, koju su suautorirali Co-Founding i Managing Directors tvrtke LegalBison: Aaron Glauberman, Viktor Juskin i Sabir Alijev. LegalBison savjetuje kripto i FinTech kompanije o MiCA licenciranju, CASP i VASP prijavama te regulatornom strukturiranju diljem Europe i šire.
Mit: Dovoljno je outsourcati službenika za usklađenost
Kad osnivači počnu planirati autorizaciju pružatelja usluga povezanih s kriptoimovinom (CASP), razgovor gotovo uvijek dođe do istog trenutka: „Dakle, trebamo li zaposliti službenika za usklađenost?”
Ponekad pitanje dolazi uz nastavak: „I službenika za prijavu pranja novca (MLRO)? Je li to to?”
Odgovor na oba je da. Ali tretirati ta dva imenovanja kao ciljnu crtu najčešće je i najposljedičnije pogrešno tumačenje onoga što MiCA zapravo zahtijeva od funkcije usklađenosti.
Regulatori ne provjeravaju ima li organizacijska shema prave nazive radnih mjesta. Oni procjenjuju ima li upravljačko tijelo, kao cjelina, arhitekturu znanja, strukturnu neovisnost i dokumentiranu operativnu dubinu potrebnu za vođenje regulirane financijske institucije. MiCA licenca ne izdaje se osobi. Izdaje se organizmu.
Ta je razlika u središtu razloga zbog kojeg toliko prijava u ranoj fazi zapne ili zahtijeva značajnu doradu prije nego što nacionalno nadležno tijelo (NCA) odobri autorizaciju.
Što „kolektivno” zapravo znači u regulativi
Članak 68. stavak 1. MiCA-e precizan je u toj točki. Članovi upravljačkog tijela moraju posjedovati odgovarajuće znanje, vještine i iskustvo „i pojedinačno i kolektivno”. Ta jedna riječ, „kolektivno”, obavlja značajan regulatorni posao.
Zajedničke smjernice EBA-e i ESMA-e o prikladnosti članova upravljačkog tijela i dioničara za subjekte pod MiCA-om čine mehaniku tog standarda eksplicitnom tako što navode specifična područja profesionalnog iskustva koja upravljačko tijelo mora posjedovati. Eira Järvi, viša pravnica u LegalBisonu, prikazala je specifične zahtjeve u tablici u nastavku.
| Kategorija zahtjeva | Detaljan opis |
| Regulativa financijskih tržišta | Razumijevanje financijskih instrumenata i DLT financijskih instrumenata, uključujući regulatorne zahtjeve prema SIBA-i i drugom primjenjivom pravu |
| AML/CTF usklađenost | Poznavanje AML/CTF zahtjeva, uključujući identifikaciju rizika, procjenu i strategije ublažavanja |
| Virtualna imovina | Poznavanje tipova VA, uključujući tokene vezane uz imovinu i tokene e-novca, te rizike povezane sa svakim |
| Zaštita podataka | Razumijevanje obveza zaštite podataka relevantnih za poslovanje Društva |
| Upravljanje rizicima | Razumijevanje načela i postupaka upravljanja rizicima, uključujući tržišne, kreditne i likvidnosne rizike |
| Korporativno upravljanje i interne kontrole | Sposobnost procjene učinkovitosti aranžmana korporativnog upravljanja, mehanizama nadzora i internih kontrola |
| Digitalna operativna otpornost | Upoznatost sa zahtjevima povezanima s operativnom otpornošću |
| Strateško i menadžersko znanje | Iskustvo u strateškom planiranju, razvoju poslovanja i provedbi poslovnih ciljeva |
| Upravljanje trećim stranama | Razumijevanje aranžmana outsourcinga, upravljanja pružateljima usluga trećih strana i povezanih regulatornih zahtjeva |
| Komunikacija i nadzor | Sposobnost iznošenja stavova, rasprave o strategijama te, gdje je primjenjivo, osporavanja odluka menadžmenta kako bi se osigurao učinkovit nadzor |
| Računovodstvo i revizija | Sposobnost tumačenja financijskih informacija, identificiranja ključnih pitanja i razumijevanja relevantnih računovodstvenih i revizorskih standarda |
| Pravno i regulatorno znanje | Upoznatost s pravnim zahtjevima primjenjivima na VASP-ove, uključujući izdavanje i upravljanje VA |
Kada analizirate ESMA-ine smjernice, postaje jasno da kombinirani profil upravljačkog tijela mora dokazivo pokrivati tri temeljne domene znanja, koje uključuju sve one koje je Eira detaljno navela:
- Tradicionalna financijska tržišta: Regulatorni okviri, obveze zaštite ulagatelja, pravila ponašanja na tržištu i operativni standardi koji se primjenjuju na licencirane pružatelje financijskih usluga.
- Infrastruktura tehnologije distribuirane knjige (DLT) i kibernetička sigurnost: Blockchain arhitektura, rizik na razini protokola, izloženost pametnim ugovorima, modeliranje kibernetičkih prijetnji i specifične operativne ranjivosti koje proizlaze iz pružanja usluga na lancu (on-chain).
- Poslovna strategija i organizacijsko upravljanje: Dizajn upravljanja rizicima, arhitektura internih kontrola, politike upravljanja i sposobnost procjene te periodičnog preispitivanja učinkovitosti usklađenosti društva.
Regulator ne očekuje da jedna osoba pokrije sve tri domene. Očekivanje, formalizirano ESMA-inim zahtjevom da društva dostave procjenu svoje „kolektivne prikladnosti”, jest da tim, promatran kao cjelina, pokriva sve domene bez značajnih praznina.
Upravljačko tijelo sastavljeno isključivo od osoba iz tradicionalnih financija, bez ikoga tko može procijeniti rizik DLT infrastrukture, strukturno je nepotpuno prije nego što se prijava uopće podnese.
Isto vrijedi i obrnuto: tehnički dubok kripto-native tim bez ikoga tko razumije ponašanje na reguliranim financijskim tržištima suočit će se s istom razinom nadzora.
Problem vremenskog angažmana o kojem nitko ne govori
Postoji i drugi sloj standarda kolektivne prikladnosti koji zatekne podnositelje zahtjeva.
Pravi ljudi moraju postojati u praksi, ne samo na papiru. Svaki član upravljačkog tijela mora pisanim putem dokumentirati svoj minimalni vremenski angažman prema društvu: konkretno, procjenu vremena posvećenog ulozi (s naznakama i na godišnjoj i na mjesečnoj razini), uz formalnu izjavu o svim drugim izvršnim i neizvršnim direktorskim funkcijama koje trenutačno obnaša.
ESMA-in nacrt regulatornih tehničkih standarda o autorizaciji (proizašao iz prvog paketa savjetovanja) izričit je u tome. Procjena obuhvaća je li svaka osoba funkcionalno prisutna, a ne samo nominalno navedena.
Neizvršni direktor s još četiri mjesta u upravnim odborima i savjetničkim odnosom u području usklađenosti s još dva društva bit će pod izravnim nadzorom. NCA mora biti uvjeren da upravljačko tijelo doista može obavljati svoje dužnosti, a ne samo da se prava imena pojavljuju u prijavi.
To je posebno važno za kripto tvrtke u ranoj fazi koje dovode iskusne stručnjake za usklađenost u djelomičnom radnom vremenu ili savjetničkom kapacitetu kako bi ojačale prijavu za autorizaciju. Regulator će točno vidjeti koliko sati mjesečno ta osoba preuzima, i usporedit će taj broj s opsegom uloge i uslugama koje društvo namjerava pružati.
Nesklad između odgovornosti i vremenskog angažmana je crvena zastava, a ne tehnikalija.
Funkcije internih kontrola: struktura ispred titula
Razumijevanje kolektivne prikladnosti na razini upravljačkog tijela samo je dio slike. MiCA članak 68. stavak 4. zahtijeva od CASP-ova usvajanje politika i postupaka „dovoljno učinkovitih da osiguraju usklađenost”. Članak 68. stavak 5. zahtijeva osoblje s odgovarajućim znanjem na svakoj razini društva. Članak 68. stavak 6. zahtijeva da upravljačko tijelo periodično preispituje učinkovitost tih aranžmana i otkloni sve uočene nedostatke.
ESMA-in nacrt RTS-a ide dalje. Od društava traži da identificiraju specifične funkcije internih kontrola i dokumentiraju, za svaku od njih:
- Da izvještajna linija ide izravno prema upravljačkom tijelu.
- Kako funkcija djeluje neovisno od poslovnog područja koje nadzire.
- Kako funkcija može pristupiti upravljačkom tijelu i na planiranoj osnovi i hitno (ad hoc) kada se detektira značajan rizik neusklađenosti.
Tri funkcionalna područja koja čine jezgru ovog okvira internih kontrola su:
- Funkcija usklađenosti (regulatorne obveze, politike ponašanja, interne procedure).
- Funkcija procjene rizika (identifikacija rizika, metodologija procjene, protokoli eskalacije).
- Funkcija interne revizije (neovisna provjera učinkovitosti, periodična procjena).
Napomena: AML/CFT funkcija i funkcija kontinuiteta poslovanja također su obvezni stupovi prijave za autorizaciju, ali ESMA ih tretira kao zasebne organizacijske zahtjeve uz ovu jezgru okvira internih kontrola.
MiCA u tekstu razine 1 ne dodjeljuje uvijek ove precizne oznake. ESMA RTS jasno daje do znanja da ova temeljna područja internih kontrola moraju imati imenovane nositelje, dokumentirane opsege odgovornosti i provjerenu strukturnu neovisnost.
Upravo ta posljednja točka je mjesto gdje mnoge prijave otkrivaju strukturnu grešku.
Funkcija usklađenosti koja izvještava glavnog operativnog direktora (COO), koji ujedno upravlja prihodima i razvojem poslovanja, nije neovisna u regulatornom smislu. Funkcija rizika ugrađena u trgovački desk, koja izvještava prema gore kroz isti lanac kao desk koji bi trebala nadzirati, također ne zadovoljava standard.
Regulator će zatražiti organizacijsku shemu. Zatim će pitati kome voditelj usklađenosti u praksi izvještava, koje su druge odgovornosti te osobe i koja prava eskalacije ima kada se identificira ozbiljan rizik neusklađenosti.
Izgradnja prijave za CASP licencu oko stvarne strukture neovisnosti zahtijeva da se arhitektura dizajnira prije izrade prijave, a ne da se naknadno „prilagođava”.
Fizička supstanca: problem direktora-nominiranih osoba
Prijava za autorizaciju mora dokumentirati fizičko mjesto učinkovite uprave unutar EU-a. To znači adresu sjedišta, lokacije podružnica gdje je relevantno i stvarnu geografiju odlučivanja društva.
- Najmanje jedan direktor koji izvršava stvarnu ovlast mora imati prebivalište u Uniji i biti dostupan NCA-u matične države članice.
- Registrirana adresa u jurisdikciji EU-a potkrijepljena aranžmanom s nominiranim direktorom ne zadovoljava ovaj standard.
- Zahtjev supstance znači da stvarna težina ljudskog odlučivanja mora doista biti unutar Unije.
NCA-i to procjenjuju kroz polja lokacije u RTS prijavi i kroz objave o vremenskom angažmanu svakog člana upravljačkog tijela.
Direktor koji je fizički prisutan u EU-u dva tjedna po tromjesečju ne kvalificira se kao rezidentni direktor u bilo kojem smislenom regulatornom smislu.
Ovo je posebno važno za društva koja posluju iz globalnih sjedišta izvan EU-a i grade put prema kripto licenci u Europi. Subjekt sa sjedištem u EU-u mora funkcionirati kao stvarna jedinica odlučivanja, a ne kao administrativna fasada za grupnu strukturu koja djeluje odnekud drugdje.
Kontinuitet poslovanja pripada timu za usklađenost
Kontinuitet poslovanja široko se tretira kao IT odgovornost. Prema MiCA-i i Uredbi o digitalnoj operativnoj otpornosti (DORA), takvo je uokvirivanje pogrešno za bilo koji autorizirani CASP.
Politika kontinuiteta poslovanja mora biti u vlasništvu upravljačkog tijela, odobrena od njega i održavana od njega. DORA (Uredba EU 2022/2554) uređuje elemente specifične za informacijsku i komunikacijsku tehnologiju, a CASP-ovi ulaze u DORA-in opseg kao financijski subjekti. Ta dva okvira djeluju istodobno, a funkcija usklađenosti mora biti sposobna upravljati oboma u isto vrijeme.
ESMA-in drugi MiCA savjetodavni dokument uveo je specifičnu obvezu za društva koja posluju na permissionless tehnologiji distribuirane knjige (javnim blockchainima poput Ethereuma): proaktivnu, strukturiranu komunikaciju s klijentima tijekom bilo kakvog prekida usluge na razini DLT-a.
Društvo mora obavijestiti klijente o tome jesu li njihova sredstva ugrožena i pružiti jasnu sliku o tome kako se upravlja ponovnim uspostavljanjem usluge. Društvo ostaje u potpunosti odgovorno za sve gubitke koji proizlaze iz njegovih vlastitih pametnih ugovora, neovisno o tome je li temeljni blockchain permissionless.
Ovo nije standardna politika IT prekida rada. Smislena odgovornost za ovu obvezu zahtijeva da upravljačko tijelo razumije rizik DLT infrastrukture na razini koja daleko nadilazi opću tehničku upućenost.
Tim za usklađenost koji može opisati blockchain rizik samo općenito neće moći izraditi, pregledavati ili održavati politiku kontinuiteta poslovanja koja prolazi regulatorni nadzor.
Standardi podataka kao sposobnost usklađenosti
Odgovornosti funkcije usklađenosti protežu se i na arhitekturu podataka. CASP-ovi koji upravljaju trgovačkim platformama moraju koristiti standard Digital Token Identifier (DTI) za sve vođenje evidencije i izvještavanje prema NCA-ima. DTI jedinstveno identificira svaku kriptoimovinu i povezuje je s konkretnim DLT-om na kojem je izdana, na kojem se njome trguje ili na kojem se namiruje. To regulatorima omogućuje prekogranični nadzor uz dosljedne, usporedive podatke.
Standardi poruka ISO 20022 uređuju format transakcijskih podataka koji se dostavljaju tijelima. Podaci o transparentnosti prije i nakon trgovanja moraju se objavljivati putem nediskriminatornih, strojno čitljivih javnih kanala kako bi se spriječile zlouporabe tržišta. Svaki od ovih zahtjeva ima tehničku dimenziju koju tim za usklađenost mora posjedovati, a ne slijepo delegirati IT-u.
Društvo koje vođenje evidencije tretira kao opći zadatak administracije sustava, bez nadzora usklađenosti nad specifičnim standardima podataka koje RTS zahtijeva, suočit će se s nadzornim problemima nakon autorizacije.
Standardi postoje upravo zato da NCA-i mogu uspoređivati evidencije kroz stotine CASP-ova u jednoj analizi. Društvo koje ne može proizvesti podatke u traženom formatu jest društvo koje ne može dokazati kontinuiranu usklađenost.
To je praktično značenje standarda „jednog mozga”. Tim za usklađenost integrira regulatornu svijest, strukturu upravljanja, operativno znanje o DLT-u i tehničku pismenost u području podataka kao jednu funkcionalnu sposobnost. Nijedan od tih elemenata ne može se u potpunosti outsourcati drugoj funkciji.
Izgradnja tima prije izgradnje prijave
Prijava za autorizaciju CASP MiCA licence dokumentira instituciju koja već postoji. To je mentalni model koji razdvaja društva koja se učinkovito kreću kroz proces od onih koja zapinju.
Društva koja traže licencu za kripto burzu, odobrenje za skrbništvo nad digitalnom imovinom ili bilo koju drugu CASP licencu u Europi trebaju pristupiti arhitekturi tima kao prvom isporučivom rezultatu, a ne kao nečemu što se slaže dok se prijava piše.
Funkcija usklađenosti mora biti strukturno neovisna prije nego što se napiše prvi dokument. Pokrivenost kolektivnog znanja upravljačkog tijela mora se procijeniti, a sve praznine zatvoriti prije nego što započne NCA pregled. Objave o vremenskom angažmanu moraju biti realne prije nego što se podnesu.
Ista logika vrijedi globalno. Društva koja podnose zahtjev za VASP licencu u jurisdikcijama izvan EU-a sve češće nailaze na paralelne standarde: regulatori na Bliskom istoku, u Aziji i Pacifiku te u Amerikama konvergiraju prema sličnim zahtjevima „supstanca ispred forme” za dizajn funkcije usklađenosti.
EU standard, koji je trenutačno najdetaljniji i tehnički najspecifičniji koji je na snazi, koristan je benchmark za svaki tim koji gradi put prema reguliranom statusu u bilo kojoj velikoj jurisdikciji.
'Mi smo DeFi, pa se MiCA na nas ne odnosi.' Žao nam je, ali EBA i ESMA imaju drugačije stajalište
MiCA osporava tvrdnje o decentralizaciji DeFi-ja dok regulatorna tijela procjenjuju kontrolu, upravljanje i pravila usklađenosti. read more.
Pročitaj
'Mi smo DeFi, pa se MiCA na nas ne odnosi.' Žao nam je, ali EBA i ESMA imaju drugačije stajalište
MiCA osporava tvrdnje o decentralizaciji DeFi-ja dok regulatorna tijela procjenjuju kontrolu, upravljanje i pravila usklađenosti. read more.
Pročitaj'Mi smo DeFi, pa se MiCA na nas ne odnosi.' Žao nam je, ali EBA i ESMA imaju drugačije stajalište
PročitajMiCA osporava tvrdnje o decentralizaciji DeFi-ja dok regulatorna tijela procjenjuju kontrolu, upravljanje i pravila usklađenosti. read more.
Ključna poruka
Mit: Imenovanje službenika za usklađenost i MLRO-a ispunjava MiCA obveze usklađenosti.
Stvarnost: MiCA zahtijeva funkcionalni organizam usklađenosti, a ne popis naziva radnih mjesta.
Tri stvari određuju zadovoljava li upravljačko tijelo standard:
Kolektivna pokrivenost znanja. Tim, promatran kao cjelina, mora pokrivati stručnost tradicionalnih financijskih tržišta, kompetencije DLT-a i kibernetičke sigurnosti te sposobnost organizacijskog upravljanja. Praznine u bilo kojoj domeni strukturni su nedostaci, a ne preferencije profila.
Dokumentirana strukturna neovisnost. Temeljne funkcije internih kontrola (usklađenost, procjena rizika i interna revizija) moraju imati imenovanog nositelja, izravnu izvještajnu liniju prema upravljačkom tijelu i provjerenu neovisnost od poslovnog područja koje nadziru. (Napomena: AML/CFT i kontinuitet poslovanja jednako su obvezni, ali se tretiraju kao zasebni organizacijski stupovi). Organizacijska shema koja usklađenost usmjerava kroz funkciju koja generira prihod neće preživjeti NCA nadzor.
Stvarna institucionalna supstanca. Vremenski angažmani moraju biti stvarni i dokumentirani. Fizička prisutnost u EU-u mora odražavati stvarnu težinu odlučivanja, a ne registriranu adresu. Politika kontinuiteta poslovanja mora biti u vlasništvu na razini upravljačkog tijela. Izvještavanje podataka mora zadovoljiti DTI i ISO 20022 standarde od prvog dana.
Prijava za CASP licencu je rezultat. Arhitektura usklađenosti je temelj. Najprije izgradite temelj.
Ovaj članak temelji se na studiji koju je LegalBison proveo u travnju 2026. Sadržaj je isključivo informativne prirode i ne predstavlja pravni savjet.
