Bagan organisasi dengan jabatan yang tepat tidak akan membuat Anda mendapatkan lisensi. Yang dicari oleh regulator adalah arsitektur kepatuhan: independensi yang terdokumentasi, keahlian kolektif di tiga bidang pengetahuan yang berbeda, dan substansi kelembagaan yang nyata. Inilah cara standar tersebut diterapkan dalam praktiknya.
MiCA Terurai: Mengapa Regulator Memandang Tim Kepatuhan Anda sebagai Satu Kesatuan
DITULIS OLEH
BAGIKAN
MiCA Decoded adalah seri mingguan yang terdiri dari 12 artikel untuk Bitcoin.com News, yang ditulis bersama oleh para Pendiri dan Direktur Pelaksana LegalBison: Aaron Glauberman, Viktor Juskin, dan Sabir Alijev. LegalBison memberi nasihat kepada perusahaan kripto dan FinTech mengenai perizinan MiCA, aplikasi CASP dan VASP, serta penataan regulasi di seluruh Eropa dan sekitarnya.
Mitos: Menugaskan Pihak Ketiga untuk Menangani Kepatuhan Sudah Cukup
Ketika pendiri mulai merencanakan otorisasi penyedia layanan aset kripto (CASP), percakapan hampir selalu sampai pada titik yang sama: "Jadi, apakah kita perlu mempekerjakan seorang petugas kepatuhan?"
Terkadang pertanyaan itu disertai dengan pertanyaan lanjutan: "Dan Petugas Pelaporan Pencucian Uang (MLRO)? Apakah itu saja?"
Jawaban untuk keduanya adalah ya. Namun, menganggap dua penunjukan tersebut sebagai garis finish adalah kesalahpahaman paling umum dan berakibat serius mengenai apa yang sebenarnya diminta MiCA dari fungsi kepatuhan.
Regulator tidak memeriksa apakah bagan organisasi memiliki judul jabatan yang tepat. Mereka menilai apakah badan manajemen, sebagai satu kesatuan, memiliki arsitektur pengetahuan, kemandirian struktural, dan kedalaman operasional yang terdokumentasi untuk mengelola lembaga keuangan yang diatur. Lisensi MiCA tidak diterbitkan untuk seseorang. Lisensi tersebut diterbitkan untuk suatu entitas.
Perbedaan ini merupakan inti dari alasan mengapa begitu banyak permohonan pada tahap awal terhenti atau memerlukan perbaikan signifikan sebelum Otoritas Kompeten Nasional (NCA) memberikan otorisasi.
Apa Arti Sebenarnya dari Kata “Secara Kolektif” dalam Peraturan
Pasal 68(1) MiCA sangat jelas mengenai hal ini. Anggota badan pengelola harus memiliki pengetahuan, keterampilan, dan pengalaman yang sesuai "baik secara individu maupun kolektif". Kata tunggal "kolektif" tersebut memainkan peran regulasi yang signifikan.
Pedoman bersama EBA dan ESMA mengenai kesesuaian anggota badan pengelola dan pemegang saham untuk entitas di bawah MiCA menjelaskan mekanisme standar tersebut secara eksplisit dengan mencantumkan bidang-bidang pengalaman profesional spesifik yang harus dimiliki oleh badan pengelola. Eira Järvi, Pengacara Senior di LegalBison, telah merinci persyaratan spesifik tersebut dalam tabel di bawah ini.
| Kategori Persyaratan | Deskripsi Terperinci |
| Regulasi Pasar Keuangan | Pemahaman tentang instrumen keuangan dan instrumen keuangan DLT, termasuk persyaratan regulasi berdasarkan SIBA dan undang-undang lain yang berlaku |
| Kepatuhan AML/CTF | Pengetahuan tentang persyaratan AML/CTF, termasuk identifikasi risiko, penilaian, dan strategi mitigasi |
| Aset Virtual | Pengetahuan tentang jenis-jenis Aset Virtual, termasuk token yang merujuk pada aset dan token uang elektronik, serta risiko yang terkait dengan masing-masing |
| Perlindungan Data | Pemahaman tentang kewajiban perlindungan data yang relevan dengan operasi Perusahaan |
| Pengelolaan Risiko | Pemahaman tentang prinsip dan prosedur manajemen risiko, termasuk risiko pasar, kredit, dan likuiditas |
| Tata Kelola dan Pengendalian Internal | Kemampuan untuk menilai efektivitas pengaturan tata kelola, mekanisme pengawasan, dan pengendalian internal |
| Ketahanan Operasional Digital | Pengetahuan tentang persyaratan terkait ketahanan operasional |
| Pengetahuan Strategis dan Manajerial | Pengalaman dalam perencanaan strategis, pengembangan bisnis, dan implementasi tujuan bisnis |
| Pengelolaan Pihak Ketiga | Pemahaman tentang perjanjian outsourcing, pengelolaan penyedia pihak ketiga, dan persyaratan regulasi terkait |
| Komunikasi dan Pengawasan | Kemampuan untuk menyampaikan pandangan, mendiskusikan strategi, dan, jika perlu, mempertanyakan keputusan manajemen untuk memastikan pengawasan yang efektif |
| Akuntansi dan Audit | Kemampuan untuk menafsirkan informasi keuangan, mengidentifikasi masalah utama, dan memahami standar akuntansi dan audit yang relevan |
| Pengetahuan Hukum dan Regulasi | Pengetahuan tentang persyaratan hukum yang berlaku bagi Penyedia Layanan Aset Virtual (VASPs), termasuk penerbitan dan pengelolaan Aset Virtual (VAs) |
Ketika Anda menganalisis pedoman ESMA, menjadi jelas bahwa profil gabungan badan manajemen harus secara nyata mencakup tiga bidang pengetahuan inti, yang mencakup semua yang dijelaskan oleh Eira:
- Pasar keuangan tradisional: Kerangka kerja regulasi, kewajiban perlindungan investor, aturan perilaku pasar, dan standar operasional yang berlaku bagi penyedia jasa keuangan berlisensi.
- Infrastruktur Teknologi Buku Besar Digital (DLT) dan keamanan siber: Arsitektur blockchain, risiko tingkat protokol, paparan kontrak pintar, pemodelan ancaman keamanan siber, dan kerentanan operasional spesifik yang timbul dari penyediaan layanan on-chain.
- Strategi bisnis dan tata kelola organisasi: Desain manajemen risiko, arsitektur pengendalian internal, kebijakan tata kelola, serta kemampuan untuk menilai dan meninjau secara berkala efektivitas kepatuhan perusahaan.
Regulator tidak mengharapkan satu orang untuk menguasai ketiga bidang tersebut. Harapan tersebut, yang diformalkan oleh persyaratan ESMA agar perusahaan menyerahkan penilaian "kesesuaian kolektif" mereka, adalah bahwa tim, secara keseluruhan, mencakup semuanya tanpa celah yang signifikan.
Badan manajemen yang seluruh anggotanya berasal dari latar belakang keuangan tradisional, tanpa ada satu pun yang mampu mengevaluasi risiko infrastruktur DLT, secara struktural sudah tidak lengkap sebelum permohonan diajukan.
Hal yang sama berlaku sebaliknya: tim crypto-native yang memiliki kedalaman teknis namun tidak ada satu pun yang memahami perilaku pasar keuangan yang diatur akan menghadapi pengawasan yang sama.
Masalah Komitmen Waktu yang Tak Pernah Dibicarakan
Ada lapisan kedua dari standar kesesuaian kolektif yang mengejutkan para pemohon.
Orang-orang yang tepat harus benar-benar ada dalam praktik, bukan hanya di atas kertas. Setiap anggota badan manajemen harus mendokumentasikan, secara tertulis, komitmen waktu minimum mereka kepada perusahaan: secara spesifik, perkiraan waktu yang dihabiskan untuk peran tersebut (dengan indikasi tahunan dan bulanan), disertai dengan pernyataan resmi mengenai semua jabatan direksi eksekutif dan non-eksekutif yang saat ini dipegang.
Standar teknis regulasi draf ESMA mengenai otorisasi (yang diambil dari paket konsultasi pertama) sangat jelas mengenai hal ini. Penilaian mencakup apakah setiap orang secara fungsional hadir, bukan hanya terdaftar secara nominal.
Seorang direktur non-eksekutif yang memiliki empat jabatan dewan direksi lain dan hubungan penasihat kepatuhan dengan dua perusahaan tambahan akan menghadapi pengawasan langsung. Otoritas Pengawas Nasional (NCA) perlu yakin bahwa badan manajemen dapat benar-benar menjalankan tugasnya, bukan hanya bahwa nama-nama yang tepat tercantum dalam permohonan.
Hal ini paling penting bagi perusahaan kripto tahap awal yang mendatangkan figur kepatuhan berpengalaman dalam kapasitas paruh waktu atau penasihat untuk memperkuat permohonan izin. Regulator akan melihat dengan tepat berapa jam per bulan yang dihabiskan oleh orang tersebut, dan akan membandingkan angka tersebut dengan ruang lingkup peran serta layanan yang akan disediakan perusahaan.
Ketidaksesuaian antara tanggung jawab dan komitmen waktu merupakan tanda bahaya, bukan sekadar masalah teknis.
Fungsi Pengendalian Internal: Struktur, Bukan Gelar
Memahami kesesuaian kolektif di tingkat badan pengelola hanyalah sebagian dari gambaran keseluruhan. Pasal 68(4) MiCA mewajibkan CASPs untuk mengadopsi kebijakan dan prosedur yang "cukup efektif untuk memastikan kepatuhan." Pasal 68(5) mewajibkan adanya personel dengan pengetahuan yang sesuai di setiap tingkatan perusahaan. Pasal 68(6) mewajibkan badan pengelola untuk secara berkala meninjau efektivitas pengaturan tersebut dan menangani setiap kekurangan yang ditemukan.
Draf RTS ESMA melangkah lebih jauh. Mereka mewajibkan perusahaan untuk mengidentifikasi fungsi pengendalian internal tertentu dan mendokumentasikan, untuk masing-masing fungsi:
- Jalur pelaporan langsung ke badan manajemen.
- Bagaimana fungsi tersebut beroperasi secara independen dari bidang bisnis yang diawasi.
- Bagaimana fungsi tersebut dapat menghubungi badan manajemen secara terjadwal dan dalam keadaan darurat (ad hoc) ketika risiko kepatuhan yang signifikan terdeteksi.
Tiga bidang fungsional yang menjadi inti dari kerangka kerja pengendalian internal ini adalah:
- Fungsi kepatuhan (kewajiban regulasi, kebijakan perilaku, prosedur internal).
- Fungsi penilaian risiko (identifikasi risiko, metodologi penilaian, protokol eskalasi).
- Fungsi audit internal (peninjauan efektivitas independen, penilaian berkala).
Catatan: Fungsi AML/CFT dan fungsi Kelangsungan Bisnis juga merupakan pilar wajib dalam permohonan otorisasi, namun ESMA menganggapnya sebagai persyaratan organisasi terpisah di samping kerangka kerja pengendalian internal inti ini.
MiCA tidak selalu menetapkan label-label spesifik ini pada teks Level 1. RTS ESMA menegaskan bahwa area pengendalian internal inti ini harus memiliki pemilik yang ditunjuk, ruang lingkup tanggung jawab yang terdokumentasi, dan kemandirian struktural yang terverifikasi.
Poin terakhir inilah yang sering kali menunjukkan kelemahan struktural dalam banyak permohonan.
Fungsi kepatuhan yang melapor kepada Chief Operating Officer, yang juga mengelola pendapatan dan pengembangan bisnis, tidak independen dalam arti regulasi. Fungsi risiko yang terintegrasi dalam meja perdagangan, yang melapor ke atas melalui rantai komando yang sama dengan meja yang seharusnya diawasi, juga tidak memenuhi standar tersebut.
Regulator akan meminta bagan organisasi. Selanjutnya, regulator akan menanyakan kepada siapa kepala kepatuhan melapor dalam praktiknya, apa saja tanggung jawab lain orang tersebut, dan hak eskalasi apa yang dimilikinya ketika risiko kepatuhan yang serius teridentifikasi.
Membangun permohonan lisensi CASP berdasarkan struktur independensi yang sesungguhnya mengharuskan arsitektur dirancang sebelum permohonan disusun, bukan ditambahkan setelahnya.
Substansi Fisik: Masalah Direktur Nominee
Permohonan otorisasi harus mendokumentasikan lokasi fisik tempat pengelolaan yang efektif di dalam UE. Ini berarti alamat kantor pusat, lokasi cabang jika relevan, dan wilayah pengambilan keputusan yang sebenarnya dari perusahaan.
- Setidaknya satu direktur yang memiliki wewenang nyata harus berdomisili di dalam Uni Eropa dan dapat dihubungi oleh Otoritas Pengawas Nasional (NCA) negara anggota asal.
- Alamat terdaftar di yurisdiksi UE yang didukung oleh pengaturan direktur nominee tidak memenuhi standar ini.
- Persyaratan substansi berarti bahwa bobot pengambilan keputusan manusia harus benar-benar berada di dalam Uni Eropa.
Otoritas Pengawas Nasional (NCA) menilai hal ini melalui kolom lokasi dalam permohonan RTS dan melalui pengungkapan komitmen waktu dari setiap anggota badan manajemen.
Seorang direktur yang secara fisik hadir di UE selama dua minggu per kuartal tidak memenuhi syarat sebagai direktur yang berdomisili dalam arti regulasi yang berarti.
Hal ini menjadi poin yang sangat penting bagi perusahaan yang beroperasi dari kantor pusat global di luar UE dan sedang berupaya memperoleh lisensi kripto di Eropa. Entitas yang berbasis di UE harus berfungsi sebagai unit pengambilan keputusan yang nyata, bukan sekadar front administratif bagi struktur grup yang beroperasi dari tempat lain.
Kelangsungan Bisnis Merupakan Tanggung Jawab Tim Kepatuhan
Kelangsungan bisnis umumnya dianggap sebagai tanggung jawab TI. Berdasarkan MiCA dan Undang-Undang Ketahanan Operasional Digital (DORA), kerangka pemikiran tersebut tidak tepat bagi CASP yang berizin.
Kebijakan Kelangsungan Bisnis harus dimiliki, disetujui, dan dipelihara oleh badan manajemen. DORA (Regulasi UE 2022/2554) mengatur elemen-elemen yang spesifik terkait teknologi informasi dan komunikasi, dan CASP termasuk dalam cakupan DORA sebagai entitas keuangan. Kedua kerangka kerja tersebut beroperasi secara bersamaan, dan fungsi kepatuhan harus mampu mengelola keduanya secara bersamaan.
Dokumen konsultasi MiCA kedua ESMA memperkenalkan kewajiban khusus bagi perusahaan yang beroperasi pada teknologi buku besar terdistribusi tanpa izin (blockchain publik seperti Ethereum): komunikasi proaktif dan terstruktur dengan klien selama gangguan layanan pada tingkat DLT.
Perusahaan harus memberi tahu klien apakah dana mereka berisiko dan memberikan gambaran yang jelas tentang bagaimana pemulihan layanan dikelola. Perusahaan tetap sepenuhnya bertanggung jawab atas kerugian apa pun yang timbul dari kontrak cerdasnya sendiri, terlepas dari apakah blockchain yang mendasarinya bersifat tanpa izin.
Ini bukanlah kebijakan gangguan TI standar. Memiliki kewajiban ini secara bermakna mengharuskan badan manajemen untuk memahami risiko infrastruktur DLT pada tingkat yang jauh melampaui kesadaran teknis umum.
Tim kepatuhan yang hanya dapat menjelaskan risiko blockchain secara umum tidak akan mampu menyusun, meninjau, atau memelihara kebijakan kelangsungan bisnis yang memenuhi pengawasan regulasi.
Standar Data sebagai Kemampuan Kepatuhan
Tanggung jawab fungsi kepatuhan meluas hingga ke arsitektur data. CASPs yang mengoperasikan platform perdagangan wajib menggunakan standar Digital Token Identifier (DTI) untuk semua pencatatan dan pelaporan kepada Otoritas Pengawas Nasional (NCAs). DTI secara unik mengidentifikasi setiap aset kripto dan menghubungkannya dengan DLT spesifik tempat aset tersebut diterbitkan, diperdagangkan, atau diselesaikan. Hal ini memungkinkan regulator untuk melakukan pengawasan lintas batas dengan data yang konsisten dan dapat dibandingkan.
Standar pesan ISO 20022 mengatur format data transaksi yang diserahkan kepada otoritas. Data transparansi pra- dan pasca-perdagangan harus diungkapkan melalui saluran publik yang tidak diskriminatif dan dapat dibaca mesin untuk mencegah penyalahgunaan pasar. Setiap persyaratan ini memiliki dimensi teknis yang harus dikelola oleh tim kepatuhan, bukan diserahkan secara buta kepada IT.
Perusahaan yang memperlakukan pencatatan sebagai tugas administrasi sistem umum, tanpa pengawasan kepatuhan terhadap standar data spesifik yang diminta oleh RTS, akan menghadapi masalah pengawasan setelah mendapatkan otorisasi.
Standar tersebut ada tepatnya agar Otoritas Pengawas Nasional (NCAs) dapat membandingkan catatan di antara ratusan Penyedia Layanan Pasar Modal (CASPs) dalam satu analisis. Perusahaan yang tidak dapat menghasilkan data dalam format yang diwajibkan adalah perusahaan yang tidak dapat membuktikan kepatuhan berkelanjutan.
Inilah makna praktis dari standar "single brain". Tim kepatuhan mengintegrasikan kesadaran regulasi, struktur tata kelola, pengetahuan operasional DLT, dan literasi data teknis sebagai satu kemampuan yang berfungsi secara utuh. Tidak ada satu pun elemen tersebut yang dapat sepenuhnya diserahkan kepada fungsi lain.
Membangun Tim Sebelum Membangun Aplikasi
Permohonan izin untuk lisensi CASP MiCA mendokumentasikan sebuah lembaga yang sudah ada. Itulah model mental yang membedakan perusahaan yang bergerak efisien melalui proses ini dari yang terhambat.
Perusahaan yang mengejar lisensi bursa kripto, otorisasi penyimpanan aset digital, atau lisensi CASP lainnya di Eropa perlu menganggap arsitektur tim sebagai hasil pertama yang harus diselesaikan, bukan sebagai sesuatu yang terbentuk saat permohonan sedang disusun.
Fungsi kepatuhan harus secara struktural independen sebelum dokumen pertama ditulis. Cakupan pengetahuan kolektif badan manajemen harus dievaluasi dan celah apa pun harus diatasi sebelum tinjauan Otoritas Pengawas Nasional (NCA) dimulai. Pengungkapan komitmen waktu harus realistis sebelum diajukan.
Logika yang sama berlaku secara global. Perusahaan yang mengajukan permohonan lisensi VASP di yurisdiksi di luar UE semakin sering menghadapi standar yang serupa: regulator di Timur Tengah, Asia-Pasifik, dan Amerika semakin mengarah pada persyaratan substansi di atas bentuk yang serupa dalam desain fungsi kepatuhan.
Standar UE, yang saat ini merupakan yang paling rinci dan teknis, merupakan acuan yang berguna bagi tim mana pun yang sedang membangun struktur menuju status teratur di yurisdiksi utama mana pun.
"Kami adalah DeFi, jadi MiCA tidak berlaku bagi kami." Maaf, tetapi EBA dan ESMA memiliki pandangan yang berbeda
MiCA mempertanyakan klaim desentralisasi DeFi seiring regulator mengevaluasi aturan terkait pengendalian, tata kelola, dan kepatuhan. read more.
Baca sekarang
"Kami adalah DeFi, jadi MiCA tidak berlaku bagi kami." Maaf, tetapi EBA dan ESMA memiliki pandangan yang berbeda
MiCA mempertanyakan klaim desentralisasi DeFi seiring regulator mengevaluasi aturan terkait pengendalian, tata kelola, dan kepatuhan. read more.
Baca sekarang"Kami adalah DeFi, jadi MiCA tidak berlaku bagi kami." Maaf, tetapi EBA dan ESMA memiliki pandangan yang berbeda
Baca sekarangMiCA mempertanyakan klaim desentralisasi DeFi seiring regulator mengevaluasi aturan terkait pengendalian, tata kelola, dan kepatuhan. read more.
Poin Utama
Mitos: Menunjuk seorang petugas kepatuhan dan MLRO sudah memenuhi kewajiban kepatuhan MiCA.
Kenyataannya: MiCA mensyaratkan adanya struktur kepatuhan yang berfungsi, bukan sekadar daftar jabatan.
Tiga hal yang menentukan apakah badan pengelola memenuhi standar:
Cakupan pengetahuan kolektif. Tim, sebagai satu kesatuan, harus mencakup keahlian pasar keuangan tradisional, kompetensi DLT dan keamanan siber, serta kemampuan tata kelola organisasi. Kesenjangan dalam salah satu bidang merupakan kekurangan struktural, bukan preferensi profil.
Kemandirian struktural yang terdokumentasi. Fungsi pengendalian internal inti (kepatuhan, penilaian risiko, dan audit internal) harus memiliki penanggung jawab yang ditunjuk, jalur pelaporan langsung ke badan pengelola, dan kemandirian yang terverifikasi dari area bisnis yang diawasi. (Catatan: AML/CFT dan kelangsungan bisnis sama-sama wajib, tetapi diperlakukan sebagai pilar organisasi yang terpisah). Bagan organisasi yang mengalirkan fungsi kepatuhan melalui fungsi yang menghasilkan pendapatan tidak akan lolos dari pemeriksaan otoritas pengawas (NCA).
Substansi institusional yang nyata. Komitmen waktu harus sejati dan terdokumentasi. Kehadiran fisik di UE harus mencerminkan bobot pengambilan keputusan yang sebenarnya, bukan sekadar alamat terdaftar. Kebijakan kelangsungan bisnis harus dimiliki di tingkat badan manajemen. Pelaporan data harus memenuhi standar DTI dan ISO 20022 sejak hari pertama.
Permohonan lisensi CASP adalah hasilnya. Arsitektur kepatuhan adalah fondasinya. Bangun fondasinya terlebih dahulu.
Artikel ini didasarkan pada studi yang dilakukan oleh LegalBison pada April 2026. Isi artikel ini hanya untuk tujuan informasional dan tidak dimaksudkan sebagai nasihat hukum.
