Carta organisasi dengan jawatan yang betul tidak akan melesenkan anda. Apa yang dicari oleh pengawal selia ialah seni bina pematuhan: kebebasan yang didokumenkan, kepakaran kolektif merentasi tiga domain pengetahuan yang berbeza, dan substansi institusi yang sebenar. Beginilah standard itu berfungsi dalam amalan.
MiCA Dinyahkod: Mengapa Pengawal Selia Melihat Pasukan Pematuhan Anda sebagai Satu Otak Tunggal
DITULIS OLEH
KONGSI
MiCA Decoded ialah siri mingguan 12 artikel untuk Bitcoin.com News, ditulis bersama oleh Pengarah Pengasas Bersama dan Pengarah Urusan LegalBison: Aaron Glauberman, Viktor Juskin dan Sabir Alijev. LegalBison menasihati syarikat kripto dan FinTech mengenai pelesenan MiCA, permohonan CASP dan VASP, serta penstrukturan kawal selia di seluruh Eropah dan seterusnya.
Mitos: Mengalih Keluar Pegawai Pematuhan Sudah Memadai
Apabila pengasas mula merancang untuk kebenaran penyedia perkhidmatan aset kripto (CASP), perbualan hampir selalu sampai ke saat yang sama: “Jadi, adakah kita perlu mengambil pegawai pematuhan?”
Kadangkala soalan itu disusuli dengan: “Dan Pegawai Pelaporan Pengubahan Wang Haram (MLRO)? Itu sahaja?”
Jawapan bagi kedua-duanya ialah ya. Tetapi menganggap dua pelantikan itu sebagai garisan penamat ialah salah tafsir yang paling lazim dan paling membawa kesan tentang apa yang sebenarnya dituntut oleh MiCA daripada fungsi pematuhan.
Pengawal selia tidak memeriksa sama ada carta organisasi mempunyai jawatan yang betul. Mereka menilai sama ada badan pengurusan, sebagai satu unit keseluruhan, memiliki seni bina pengetahuan, kebebasan struktur, dan kedalaman operasi yang didokumenkan untuk menjalankan sebuah institusi kewangan terkawal selia. Lesen MiCA tidak dikeluarkan kepada seorang individu. Ia dikeluarkan kepada sebuah organisma.
Perbezaan ini berada di teras mengapa begitu banyak permohonan peringkat awal tersekat atau memerlukan kerja semula yang ketara sebelum Pihak Berkuasa Kompeten Kebangsaan (NCA) akan memberikan kebenaran.
Apa Maksud “Secara Kolektif” Sebenarnya dalam Peraturan
Artikel 68(1) MiCA tepat dalam hal ini. Ahli badan pengurusan mesti mempunyai pengetahuan, kemahiran, dan pengalaman yang sesuai “secara individu dan secara kolektif”. Satu perkataan itu, “secara kolektif,” melakukan kerja kawal selia yang besar.
Garis panduan bersama EBA dan ESMA mengenai kesesuaian ahli badan pengurusan dan pemegang saham untuk entiti di bawah MiCA menjelaskan mekanisme standard tersebut secara nyata dengan menyenaraikan bidang pengalaman profesional khusus yang mesti dimiliki oleh badan pengurusan. Eira Järvi, Peguam Kanan di LegalBison, telah menggariskan keperluan khusus dalam jadual di bawah.
| Kategori Keperluan | Penerangan Terperinci |
| Peraturan Pasaran Kewangan | Pemahaman tentang instrumen kewangan dan instrumen kewangan DLT, termasuk keperluan kawal selia di bawah SIBA dan undang-undang lain yang terpakai |
| Pematuhan AML/CTF | Pengetahuan tentang keperluan AML/CTF, termasuk pengenalpastian risiko, penilaian, dan strategi mitigasi |
| Aset Maya | Pengetahuan tentang jenis VA, termasuk token berpandukan aset (asset-referenced) dan token e-wang, serta risiko yang berkaitan dengan setiap satu |
| Perlindungan Data | Pemahaman tentang kewajipan perlindungan data yang relevan dengan operasi Syarikat |
| Pengurusan Risiko | Pemahaman tentang prinsip dan prosedur pengurusan risiko, termasuk risiko pasaran, kredit, dan kecairan |
| Tadbir Urus dan Kawalan Dalaman | Keupayaan untuk menilai keberkesanan pengaturan tadbir urus, mekanisme penyeliaan, dan kawalan dalaman |
| Ketahanan Operasi Digital | Kefahaman terhadap keperluan yang berkaitan dengan ketahanan operasi |
| Pengetahuan Strategik dan Pengurusan | Pengalaman dalam perancangan strategik, pembangunan perniagaan dan pelaksanaan objektif perniagaan |
| Pengurusan Pihak Ketiga | Pemahaman tentang pengaturan penyumberluaran, pengurusan penyedia pihak ketiga, dan keperluan kawal selia yang berkaitan |
| Komunikasi dan Penyeliaan | Keupayaan untuk membentangkan pandangan, membincangkan strategi, dan, apabila berkenaan, mencabar keputusan pengurusan bagi memastikan penyeliaan yang berkesan |
| Perakaunan dan Pengauditan | Keupayaan untuk mentafsir maklumat kewangan, mengenal pasti isu utama, dan memahami piawaian perakaunan dan pengauditan yang relevan |
| Pengetahuan Undang-undang dan Kawal Selia | Kefahaman terhadap keperluan undang-undang yang terpakai kepada VASP, termasuk penerbitan dan pengurusan VA |
Apabila anda menganalisis garis panduan ESMA, jelas bahawa profil gabungan badan pengurusan mesti secara nyata meliputi tiga domain pengetahuan teras, yang merangkumi semua yang diperincikan oleh Eira:
- Pasaran kewangan tradisional: Kerangka kawal selia, kewajipan perlindungan pelabur, peraturan kelakuan pasaran, dan standard operasi yang terpakai kepada penyedia perkhidmatan kewangan berlesen.
- Infrastruktur Teknologi Lejar Digital (DLT) dan keselamatan siber: Seni bina rantaian blok, risiko pada peringkat protokol, pendedahan kontrak pintar, pemodelan ancaman keselamatan siber, dan kerentanan operasi khusus yang timbul daripada penyampaian perkhidmatan on-chain.
- Strategi perniagaan dan tadbir urus organisasi: Reka bentuk pengurusan risiko, seni bina kawalan dalaman, dasar tadbir urus, dan keupayaan untuk menilai serta menyemak secara berkala keberkesanan pematuhan firma.
Pengawal selia tidak mengharapkan seorang individu menguasai ketiga-tiga domain. Jangkaan itu, yang diformalkan oleh keperluan ESMA agar firma mengemukakan penilaian “kesesuaian kolektif” mereka, ialah pasukan, apabila diambil secara keseluruhan, meliputi semuanya tanpa jurang yang bermakna.
Badan pengurusan yang sepenuhnya datang daripada latar belakang kewangan tradisional, tanpa sesiapa yang mampu menilai risiko infrastruktur DLT, adalah tidak lengkap dari segi struktur sebelum permohonan dikemukakan.
Perkara yang sama terpakai secara terbalik: pasukan kripto asli yang sangat mendalam dari segi teknikal tetapi tiada sesiapa yang memahami kelakuan pasaran kewangan terkawal selia akan menghadapi penelitian yang sama.
Masalah Komitmen Masa yang Tiada Siapa Bincangkan
Terdapat lapisan kedua kepada standard kesesuaian kolektif yang mengejutkan pemohon.
Orang yang betul mesti wujud dalam amalan, bukan sekadar di atas kertas. Setiap ahli badan pengurusan mesti mendokumenkan, secara bertulis, komitmen masa minimum mereka kepada firma: khususnya, anggaran masa yang ditumpukan kepada peranan tersebut (dengan petunjuk tahunan dan bulanan), bersama suatu perisytiharan rasmi semua jawatan pengarah eksekutif dan bukan eksekutif lain yang sedang dipegang.
Draf piawaian teknikal kawal selia ESMA mengenai kebenaran (diambil daripada pakej perundingan pertama) adalah jelas tentang perkara ini. Penilaian merangkumi sama ada setiap individu benar-benar hadir secara fungsian, bukan sekadar tersenarai secara nominal.
Seorang bukan eksekutif dengan empat kerusi lembaga lain dan hubungan nasihat pematuhan dengan dua firma tambahan akan diperhatikan secara langsung. NCA perlu berpuas hati bahawa badan pengurusan benar-benar boleh melaksanakan tugasnya, bukan sekadar bahawa nama yang betul muncul pada permohonan.
Ini paling penting bagi firma kripto peringkat awal yang membawa masuk tokoh pematuhan berpengalaman secara separuh masa atau sebagai penasihat untuk mengukuhkan permohonan kebenaran. Pengawal selia akan melihat dengan tepat berapa jam sebulan individu itu komited, dan akan membandingkan angka tersebut dengan skop peranan serta perkhidmatan yang firma bercadang untuk sediakan.
Ketidakpadanan antara tanggungjawab dan komitmen masa ialah bendera merah, bukan perkara remeh teknikal.
Fungsi Kawalan Dalaman: Struktur Mengatasi Gelaran
Memahami kesesuaian kolektif pada peringkat badan pengurusan hanyalah sebahagian daripada gambaran. MiCA Artikel 68(4) mewajibkan CASP mengguna pakai dasar dan prosedur yang “cukup berkesan untuk memastikan pematuhan.” Artikel 68(5) memerlukan kakitangan dengan pengetahuan yang sesuai pada setiap peringkat firma. Artikel 68(6) memerlukan badan pengurusan menyemak secara berkala keberkesanan pengaturan tersebut dan menangani sebarang kekurangan yang dikenal pasti.
Draf RTS ESMA melangkah lebih jauh. Ia mengkehendaki firma mengenal pasti fungsi kawalan dalaman khusus dan mendokumenkan, bagi setiap satu:
- Garis pelaporan berjalan terus kepada badan pengurusan.
- Bagaimana fungsi itu beroperasi secara bebas daripada bidang perniagaan yang diselia.
- Bagaimana fungsi itu boleh mengakses badan pengurusan secara berjadual dan secara kecemasan (ad hoc) apabila risiko pematuhan yang ketara dikesan.
Tiga bidang fungsian yang membentuk teras kerangka kawalan dalaman ini ialah:
- Fungsi pematuhan (kewajipan kawal selia, dasar kelakuan, prosedur dalaman).
- Fungsi penilaian risiko (pengenalpastian risiko, metodologi penilaian, protokol eskalasi).
- Fungsi audit dalaman (semakan keberkesanan secara bebas, penilaian berkala).
Nota: Fungsi AML/CFT dan fungsi Kesinambungan Perniagaan juga merupakan tonggak mandatori bagi permohonan kebenaran, tetapi ESMA menganggapnya sebagai keperluan organisasi yang berasingan di samping kerangka kawalan dalaman teras ini.
MiCA tidak semestinya menetapkan label tepat ini pada teks Tahap 1. RTS ESMA menjelaskan bahawa bidang kawalan dalaman teras ini mesti mempunyai pemilik yang dinamakan, skop tanggungjawab yang didokumenkan, dan kebebasan struktur yang disahkan.
Perkara terakhir itu ialah tempat banyak permohonan mendedahkan kecacatan struktur.
Fungsi pematuhan yang melapor kepada Ketua Pegawai Operasi, yang juga mengurus hasil dan pembangunan perniagaan, tidak bebas dalam erti kata kawal selia. Fungsi risiko yang tertanam dalam meja dagangan, melapor ke atas melalui rantaian yang sama seperti meja yang sepatutnya dipantau, juga tidak memenuhi standard.
Pengawal selia akan meminta carta organisasi. Ia kemudian akan bertanya kepada siapa ketua pematuhan melapor dalam amalan, apakah tanggungjawab lain individu itu, dan apakah hak eskalasi yang mereka miliki apabila risiko pematuhan serius dikenal pasti.
Membina permohonan lesen CASP berasaskan struktur kebebasan yang sebenar memerlukan seni bina itu direka sebelum permohonan dirangka, bukan ditampal selepasnya.
Substansi Fizikal: Masalah Pengarah Nominee
Permohonan kebenaran mesti mendokumenkan tempat pengurusan berkesan secara fizikal di dalam EU. Ini bermaksud alamat ibu pejabat, lokasi cawangan jika relevan, dan geografi pembuatan keputusan sebenar firma.
- Sekurang-kurangnya seorang pengarah yang menjalankan kuasa sebenar mesti bermastautin dalam Kesatuan dan boleh dihubungi oleh NCA negara anggota asal.
- Alamat berdaftar dalam bidang kuasa EU yang disokong oleh pengaturan pengarah nominee tidak memenuhi standard ini.
- Keperluan substansi bermaksud berat pembuatan keputusan manusia mesti benar-benar berada di dalam Kesatuan.
NCA menilai perkara ini melalui medan lokasi dalam permohonan RTS dan melalui pendedahan komitmen masa setiap ahli badan pengurusan.
Seorang pengarah yang hadir secara fizikal di EU selama dua minggu setiap suku tahun tidak layak sebagai pengarah pemastautin dalam apa-apa erti kawal selia yang bermakna.
Ini ialah perkara yang sangat penting khususnya bagi firma yang beroperasi dari ibu pejabat global di luar EU dan sedang membina ke arah lesen kripto di Eropah. Entiti berasaskan EU mesti berfungsi sebagai unit pembuatan keputusan yang sebenar, bukan sebagai muka pentadbiran bagi struktur kumpulan yang beroperasi dari tempat lain.
Kesinambungan Perniagaan Milik Pasukan Pematuhan
Kesinambungan perniagaan lazimnya dianggap sebagai tanggungjawab IT. Di bawah MiCA dan Akta Ketahanan Operasi Digital (DORA), kerangka itu tidak tepat bagi mana-mana CASP yang diberi kuasa.
Dasar Kesinambungan Perniagaan mesti dimiliki, diluluskan, dan diselenggara oleh badan pengurusan. DORA (Peraturan EU 2022/2554) mengawal elemen yang khusus kepada teknologi maklumat dan komunikasi, dan CASP termasuk dalam skop DORA sebagai entiti kewangan. Kedua-dua kerangka beroperasi serentak, dan fungsi pematuhan mesti mampu menavigasi kedua-duanya pada masa yang sama.
Kertas perundingan MiCA kedua ESMA memperkenalkan kewajipan khusus bagi firma yang beroperasi pada teknologi lejar teragih tanpa kebenaran (blockchain awam seperti Ethereum): komunikasi proaktif dan berstruktur dengan pelanggan semasa sebarang gangguan perkhidmatan pada peringkat DLT.
Firma mesti mengemas kini pelanggan tentang sama ada dana mereka berisiko dan memberikan gambaran yang jelas tentang bagaimana penyambungan semula perkhidmatan diuruskan. Firma kekal bertanggungjawab sepenuhnya atas sebarang kerugian yang timbul daripada kontrak pintar miliknya sendiri, tanpa mengira sama ada blockchain asas itu tanpa kebenaran.
Ini bukan dasar gangguan IT standard. Memiliki kewajipan ini secara bermakna memerlukan badan pengurusan memahami risiko infrastruktur DLT pada tahap yang jauh melebihi kesedaran teknikal umum.
Pasukan pematuhan yang hanya boleh menerangkan risiko blockchain secara umum tidak akan mampu merangka, menyemak, atau menyelenggara dasar kesinambungan perniagaan yang memenuhi penelitian kawal selia.
Piawaian Data sebagai Keupayaan Pematuhan
Tanggungjawab fungsi pematuhan meluas ke dalam seni bina data. CASP yang mengendalikan platform dagangan mesti menggunakan standard Digital Token Identifier (DTI) untuk semua penyimpanan rekod dan pelaporan kepada NCA. DTI mengenal pasti secara unik setiap aset kripto dan mengaitkannya dengan DLT khusus yang menjadi tempat ia diterbitkan, didagangkan, atau diselesaikan. Ini membolehkan pengawal selia melakukan pengawasan rentas sempadan dengan data yang konsisten dan boleh dibandingkan.
Piawaian pemesejan ISO 20022 mengawal format data transaksi yang dihantar kepada pihak berkuasa. Data ketelusan pra-dagang dan pasca-dagang mesti didedahkan melalui saluran awam yang tidak diskriminatif dan boleh dibaca mesin untuk mencegah penyalahgunaan pasaran. Setiap keperluan ini mempunyai dimensi teknikal yang mesti dimiliki oleh pasukan pematuhan, bukan didelegasikan secara membuta tuli kepada IT.
Firma yang menganggap penyimpanan rekod sebagai tugas pentadbiran sistem umum, tanpa pengawasan pematuhan terhadap piawaian data khusus yang dituntut oleh RTS, akan menghadapi masalah penyeliaan selepas kebenaran diberikan.
Piawaian ini wujud tepat supaya NCA boleh membandingkan rekod merentas ratusan CASP dalam satu analisis. Firma yang tidak boleh menghasilkan data dalam format yang diperlukan ialah firma yang tidak boleh menunjukkan pematuhan berterusan.
Inilah maksud praktikal standard “satu otak”. Pasukan pematuhan mengintegrasikan kesedaran kawal selia, struktur tadbir urus, pengetahuan operasi DLT, dan literasi data teknikal sebagai satu keupayaan berfungsi. Tiada satu pun unsur tersebut boleh disumberluarkan sepenuhnya kepada fungsi lain.
Membina Pasukan Sebelum Membina Permohonan
Permohonan kebenaran untuk lesen MiCA CASP mendokumenkan sebuah institusi yang sudah wujud. Itulah model mental yang membezakan firma yang bergerak cekap melalui proses daripada yang tersekat.
Firma yang mengejar pelesenan pertukaran kripto, kebenaran kustodian aset digital, atau mana-mana lesen CASP lain di Eropah perlu mendekati seni bina pasukan sebagai hasil pertama, bukan sebagai sesuatu yang terbentuk ketika permohonan sedang dirangka.
Fungsi pematuhan mesti bebas dari segi struktur sebelum dokumen pertama ditulis. Liputan pengetahuan kolektif badan pengurusan mesti dinilai dan sebarang jurang ditangani sebelum semakan NCA bermula. Pendedahan komitmen masa mesti realistik sebelum ia dihantar.
Logik yang sama terpakai secara global. Firma yang memohon lesen VASP di bidang kuasa di luar EU semakin kerap menemui piawaian selari: pengawal selia di Timur Tengah, Asia-Pasifik, dan benua Amerika sedang menyatu ke arah keperluan substansi mengatasi bentuk yang serupa bagi reka bentuk fungsi pematuhan.
Standard EU, yang merupakan yang paling terperinci dan paling spesifik dari segi teknikal yang sedang berkuat kuasa, ialah penanda aras yang berguna bagi mana-mana pasukan yang membina ke arah status terkawal selia di mana-mana bidang kuasa utama.
'Kami ialah DeFi, jadi MiCA tidak terpakai kepada kami.' Maaf, tetapi EBA dan ESMA mempunyai sudut pandang yang berbeza
MiCA mencabar dakwaan penyahpusatan DeFi apabila pengawal selia menilai kawalan, tadbir urus dan peraturan pematuhan. read more.
Baca sekarang
'Kami ialah DeFi, jadi MiCA tidak terpakai kepada kami.' Maaf, tetapi EBA dan ESMA mempunyai sudut pandang yang berbeza
MiCA mencabar dakwaan penyahpusatan DeFi apabila pengawal selia menilai kawalan, tadbir urus dan peraturan pematuhan. read more.
Baca sekarang'Kami ialah DeFi, jadi MiCA tidak terpakai kepada kami.' Maaf, tetapi EBA dan ESMA mempunyai sudut pandang yang berbeza
Baca sekarangMiCA mencabar dakwaan penyahpusatan DeFi apabila pengawal selia menilai kawalan, tadbir urus dan peraturan pematuhan. read more.
Intipati Utama
Mitos: Melantik seorang pegawai pematuhan dan seorang MLRO memenuhi kewajipan pematuhan MiCA.
Realiti: MiCA memerlukan organisma pematuhan yang berfungsi, bukan senarai jawatan.
Tiga perkara menentukan sama ada badan pengurusan memenuhi standard:
Liputan pengetahuan kolektif. Pasukan, apabila diambil sebagai satu unit, mesti meliputi kepakaran pasaran kewangan tradisional, kecekapan DLT dan keselamatan siber, serta keupayaan tadbir urus organisasi. Jurang dalam mana-mana satu domain ialah kekurangan struktur, bukan keutamaan profil.
Kebebasan struktur yang didokumenkan. Fungsi kawalan dalaman teras (pematuhan, penilaian risiko, dan audit dalaman) mesti mempunyai pemilik yang dinamakan, garis pelaporan terus kepada badan pengurusan, dan kebebasan yang disahkan daripada bidang perniagaan yang diselia. (Nota: AML/CFT dan kesinambungan perniagaan juga sama-sama mandatori, tetapi dianggap sebagai tonggak organisasi yang berasingan). Carta organisasi yang merutekan pematuhan melalui fungsi yang menjana hasil tidak akan melepasi penelitian NCA.
Substansi institusi yang sebenar. Komitmen masa mesti tulen dan didokumenkan. Kehadiran fizikal dalam EU mesti mencerminkan berat pembuatan keputusan sebenar, bukan sekadar alamat berdaftar. Dasar kesinambungan perniagaan mesti dimiliki pada peringkat badan pengurusan. Pelaporan data mesti memenuhi piawaian DTI dan ISO 20022 sejak hari pertama.
Permohonan lesen CASP ialah hasil. Seni bina pematuhan ialah asas. Bina asas dahulu.
Artikel ini berasaskan satu kajian yang dijalankan oleh LegalBison pada April 2026. Kandungan ini adalah untuk tujuan maklumat sahaja dan tidak merupakan nasihat undang-undang.
