Sam schemat organizacyjny z odpowiednimi stanowiskami nie zapewni wam uzyskania licencji. Organ regulacyjny zwraca uwagę na strukturę zapewniającą zgodność z przepisami: udokumentowaną niezależność, zbiorową wiedzę specjalistyczną w trzech odrębnych dziedzinach oraz rzeczywistą treść instytucjonalną. Tak właśnie ten standard funkcjonuje w praktyce.
MiCA w pigułce: dlaczego organ regulacyjny postrzega Twój zespół ds. zgodności jako jeden organizm
NAPISAŁ
UDOSTĘPNIJ
MiCA Decoded to cotygodniowa seria 12 artykułów dla serwisu Bitcoin.com News, której współautorami są współzałożyciele i dyrektorzy zarządzający LegalBison: Aaron Glauberman, Viktor Juskin i Sabir Alijev. LegalBison doradza firmom z branży kryptowalutowej i FinTech w zakresie licencjonowania MiCA, wniosków CASP i VASP oraz strukturyzacji regulacyjnej w Europie i poza nią.
Mit: Wystarczy zlecić obsługę compliance na zewnątrz
Kiedy założyciele zaczynają planować uzyskanie zezwolenia dla dostawców usług związanych z aktywami kryptograficznymi (CASP), rozmowa prawie zawsze dochodzi do tego samego momentu: „Więc czy musimy zatrudnić specjalistę ds. zgodności?”
Czasami po tym pytaniu pojawia się kolejne: „A specjalistę ds. zgłaszania przypadków prania pieniędzy (MLRO)? To wszystko?”
Odpowiedź na oba pytania brzmi: tak. Jednak traktowanie tych dwóch stanowisk jako mety jest najczęstszym i najbardziej brzemiennym w skutkach błędnym rozumieniem tego, czego MiCA faktycznie wymaga od funkcji zgodności.
Organy regulacyjne nie sprawdzają, czy w schemacie organizacyjnym znajdują się właściwe stanowiska. Oceniają one, czy organ zarządzający, jako całość, posiada strukturę wiedzy, niezależność strukturalną oraz udokumentowaną głębię operacyjną niezbędną do prowadzenia regulowanej instytucji finansowej. Licencja MiCA nie jest wydawana osobie. Jest wydawana podmiotowi.
To rozróżnienie leży u podstaw tego, dlaczego tak wiele wniosków na wczesnym etapie utknęło w martwym punkcie lub wymaga znacznych poprawek, zanim krajowy organ właściwy (NCA) udzieli zezwolenia.
Co faktycznie oznacza termin „zbiorowo” w rozporządzeniu
Artykuł 68 ust. 1 MiCA jest precyzyjny w tej kwestii. Członkowie organu zarządzającego muszą posiadać odpowiednią wiedzę, umiejętności i doświadczenie „zarówno indywidualnie, jak i zbiorowo”. To jedno słowo, „zbiorowo”, pełni istotną funkcję regulacyjną.
Wspólne wytyczne EBA i ESMA dotyczące odpowiedniości członków organu zarządzającego i udziałowców podmiotów objętych MiCA wyjaśniają mechanizm działania tego standardu, wymieniając konkretne obszary doświadczenia zawodowego, które musi posiadać organ zarządzający. Eira Järvi, starszy prawnik w LegalBison, przedstawiła szczegółowe wymagania w poniższej tabeli.
| Kategoria wymogów | Szczegółowy opis |
| Regulacje rynków finansowych | Znajomość instrumentów finansowych i instrumentów finansowych opartych na technologii DLT, w tym wymogów regulacyjnych wynikających z SIBA i innych obowiązujących przepisów |
| Zgodność z przepisami AML/CTF | Znajomość wymogów AML/CTF, w tym strategii identyfikacji, oceny i ograniczania ryzyka |
| Aktywa wirtualne | Znajomość rodzajów aktywów wirtualnych, w tym tokenów powiązanych z aktywami i tokenów pieniądza elektronicznego, oraz ryzyka związanego z każdym z nich |
| Ochrona danych | Zrozumienie obowiązków w zakresie ochrony danych istotnych dla działalności Spółki |
| Zarządzanie ryzykiem | Zrozumienie zasad i procedur zarządzania ryzykiem, w tym ryzykiem rynkowym, kredytowym i płynnościowym |
| Ład korporacyjny i kontrole wewnętrzne | Umiejętność oceny skuteczności rozwiązań w zakresie ładu korporacyjnego, mechanizmów nadzoru oraz kontroli wewnętrznej |
| Odporność operacyjna w środowisku cyfrowym | Znajomość wymagań dotyczących odporności operacyjnej |
| Wiedza strategiczna i menedżerska | Doświadczenie w planowaniu strategicznym, rozwoju biznesowym i wdrażaniu celów biznesowych |
| Zarządzanie podmiotami zewnętrznymi | Zrozumienie umów outsourcingowych, zarządzania dostawcami zewnętrznymi oraz związanych z tym wymogów regulacyjnych |
| Komunikacja i nadzór | Umiejętność przedstawiania poglądów, omawiania strategii oraz, w stosownych przypadkach, kwestionowania decyzji kierownictwa w celu zapewnienia skutecznego nadzoru |
| Księgowość i audyt | Umiejętność interpretacji informacji finansowych, identyfikacji kluczowych kwestii oraz zrozumienia odpowiednich standardów rachunkowości i audytu |
| Znajomość przepisów prawnych i regulacyjnych | Znajomość wymogów prawnych mających zastosowanie do dostawców usług związanych z aktywami wirtualnymi (VASP), w tym w zakresie emisji i zarządzania aktywami wirtualnymi |
Analizując wytyczne ESMA, staje się jasne, że łączny profil organu zarządzającego musi w sposób wyraźny obejmować trzy podstawowe obszary wiedzy, które obejmują wszystkie te wyszczególnione przez Eirę:
- Tradycyjne rynki finansowe: ramy regulacyjne, obowiązki w zakresie ochrony inwestorów, zasady postępowania rynkowego oraz standardy operacyjne mające zastosowanie do licencjonowanych dostawców usług finansowych.
- Infrastruktura technologii rejestrów cyfrowych (DLT) i cyberbezpieczeństwo: architektura łańcucha bloków, ryzyko na poziomie protokołu, ekspozycja na inteligentne kontrakty, modelowanie zagrożeń dla cyberbezpieczeństwa oraz konkretne słabe punkty operacyjne wynikające ze świadczenia usług w łańcuchu bloków.
- Strategia biznesowa i ład korporacyjny: projektowanie zarządzania ryzykiem, architektura kontroli wewnętrznej, polityka ładu korporacyjnego oraz zdolność do oceny i okresowego przeglądu skuteczności przestrzegania przepisów przez firmę.
Organ regulacyjny nie oczekuje, że jedna osoba będzie zajmować się wszystkimi trzema obszarami. Oczekiwaniem, sformalizowanym przez wymóg ESMA, aby firmy przedkładały ocenę swojej „zbiorowej odpowiedniości”, jest to, aby zespół jako całość obejmował wszystkie te obszary bez znaczących luk.
Organ zarządzający, składający się wyłącznie z osób o tradycyjnym wykształceniu finansowym, w którym nikt nie jest w stanie ocenić ryzyka związanego z infrastrukturą DLT, jest strukturalnie niekompletny jeszcze przed złożeniem wniosku.
To samo dotyczy sytuacji odwrotnej: zespół o głębokiej wiedzy technicznej w zakresie kryptowalut, w którym nikt nie rozumie zasad funkcjonowania regulowanych rynków finansowych, spotka się z taką samą kontrolą.
Problem poświęcania czasu, o którym nikt nie mówi
Istnieje drugi aspekt standardu zbiorowej odpowiedniości, który zaskakuje wnioskodawców.
Odpowiednie osoby muszą istnieć w praktyce, a nie tylko na papierze. Każdy członek organu zarządzającego musi udokumentować na piśmie minimalny czas, jaki poświęca firmie: w szczególności oszacowanie czasu poświęconego na pełnienie funkcji (z podaniem wartości zarówno rocznych, jak i miesięcznych), wraz z formalnym oświadczeniem o wszystkich innych stanowiskach dyrektorskich i nadzorczych, które obecnie zajmuje.
Projekt regulacyjnych standardów technicznych ESMA dotyczących zezwoleń (oparty na pierwszym pakiecie konsultacyjnym) jasno to określa. Ocena obejmuje to, czy każda osoba jest faktycznie obecna, a nie tylko nominalnie wymieniona.
Członek zarządu niewykonawczy, który zasiada w zarządach czterech innych spółek i pełni funkcję doradczą w zakresie zgodności w dwóch dodatkowych firmach, zostanie poddany bezpośredniej kontroli. Krajowy organ nadzoru musi mieć pewność, że organ zarządzający jest w stanie faktycznie wykonywać swoje obowiązki, a nie tylko że we wniosku pojawiają się właściwe nazwiska.
Ma to największe znaczenie dla firm kryptowalutowych na wczesnym etapie rozwoju, które zatrudniają doświadczonych specjalistów ds. zgodności w niepełnym wymiarze godzin lub w charakterze doradców w celu wzmocnienia wniosku o zezwolenie. Organ regulacyjny sprawdzi dokładnie, ile godzin miesięcznie dana osoba poświęca na tę działalność, i porówna tę liczbę z zakresem obowiązków oraz usługami, które firma zamierza świadczyć.
Niezgodność między zakresem odpowiedzialności a poświęcanym czasem jest sygnałem ostrzegawczym, a nie kwestią formalną.
Funkcje kontroli wewnętrznej: struktura ponad tytułami
Zrozumienie zbiorowej zdolności na poziomie organu zarządzającego to tylko część obrazu. Artykuł 68 ust. 4 MiCA wymaga od CASP przyjęcia polityk i procedur „wystarczająco skutecznych, aby zapewnić zgodność z przepisami”. Artykuł 68 ust. 5 wymaga personelu posiadającego odpowiednią wiedzę na każdym szczeblu firmy. Artykuł 68 ust. 6 wymaga od organu zarządzającego okresowego przeglądu skuteczności tych rozwiązań i usuwania wszelkich stwierdzonych braków.
Projekt RTS ESMA idzie jeszcze dalej. Wymaga on od firm określenia konkretnych funkcji kontroli wewnętrznej i udokumentowania dla każdej z nich:
- Linia podległości służbowej biegnie bezpośrednio do organu zarządzającego.
- W jaki sposób funkcja działa niezależnie od obszaru działalności, który nadzoruje.
- W jaki sposób funkcja ta może kontaktować się z organem zarządzającym w sposób planowy oraz w sytuacjach nadzwyczajnych (ad hoc), gdy wykryte zostanie istotne ryzyko związane z przestrzeganiem przepisów.
Trzy obszary funkcjonalne, które stanowią trzon tych ram kontroli wewnętrznej, to:
- Funkcja zgodności (obowiązki regulacyjne, polityki postępowania, procedury wewnętrzne).
- Funkcja oceny ryzyka (identyfikacja ryzyka, metodologia oceny, protokoły eskalacji).
- Funkcja audytu wewnętrznego (niezależny przegląd skuteczności, okresowa ocena).
Uwaga: Funkcja AML/CFT oraz funkcja ciągłości działania są również obowiązkowymi filarami wniosku o zezwolenie, ale ESMA traktuje je jako odrębne wymogi organizacyjne obok tych podstawowych ram kontroli wewnętrznej.
MiCA nie zawsze przypisuje te precyzyjne etykiety w tekście poziomu 1. RTS ESMA jasno stwierdzają, że te podstawowe obszary kontroli wewnętrznej muszą mieć wyznaczonych właścicieli, udokumentowany zakres odpowiedzialności oraz zweryfikowaną niezależność strukturalną.
Właśnie w tym ostatnim punkcie wiele wniosków ujawnia wadę strukturalną.
Funkcja ds. zgodności podlegająca dyrektorowi operacyjnemu, który zarządza również przychodami i rozwojem biznesowym, nie jest niezależna w sensie regulacyjnym. Funkcja ds. ryzyka wbudowana w biuro handlowe, podlegająca tej samej hierarchii, co biuro, które ma monitorować, również nie spełnia tego standardu.
Organ regulacyjny zażąda schematu organizacyjnego. Następnie zapyta, komu w praktyce podlega kierownik ds. zgodności, jakie są inne obowiązki tej osoby oraz jakie ma uprawnienia do eskalacji w przypadku zidentyfikowania poważnego ryzyka związanego z niezgodnością.
Opracowanie wniosku o licencję CASP w oparciu o rzeczywistą strukturę niezależności wymaga zaprojektowania architektury przed sporządzeniem wniosku, a nie dostosowywania jej później.
Istota fizyczna: problem dyrektora nominowanego
Wniosek o zezwolenie musi zawierać informacje o fizycznej lokalizacji, w której faktycznie prowadzone jest zarządzanie na terenie UE. Oznacza to adres siedziby głównej, lokalizacje oddziałów, jeśli dotyczy, oraz rzeczywisty obszar podejmowania decyzji przez firmę.
- Co najmniej jeden dyrektor sprawujący rzeczywistą władzę musi być rezydentem Unii i pozostawać w kontakcie z krajowym organem nadzoru (NCA) państwa członkowskiego pochodzenia.
- Adres siedziby w jurysdykcji UE poparty umową z dyrektorem nominowanym nie spełnia tego standardu.
- Wymóg dotyczący substancji oznacza, że rzeczywista waga procesu decyzyjnego musi faktycznie znajdować się na terenie Unii.
Krajowe organy nadzoru oceniają to na podstawie pól dotyczących lokalizacji w wniosku RTS oraz informacji o poświęcanym czasie przez każdego członka organu zarządzającego.
Dyrektor, który fizycznie przebywa w UE przez dwa tygodnie w każdym kwartale, nie kwalifikuje się jako dyrektor rezydent w żadnym znaczącym sensie regulacyjnym.
Jest to kwestia szczególnie istotna dla firm działających z globalnej siedziby poza UE, które dążą do uzyskania licencji kryptowalutowej w Europie. Podmiot z siedzibą w UE musi funkcjonować jako rzeczywista jednostka decyzyjna, a nie jako administracyjna przykrywka dla struktury grupowej działającej gdzie indziej.
Ciągłość działania należy do zespołu ds. zgodności
Ciągłość działania jest powszechnie traktowana jako obowiązek działu IT. Zgodnie z MiCA i ustawą o odporności operacyjnej w środowisku cyfrowym (DORA) takie podejście jest nieprawidłowe w przypadku każdego autoryzowanego CASP.
Polityka ciągłości działania musi być opracowana, zatwierdzona i utrzymywana przez organ zarządzający. DORA (rozporządzenie UE 2022/2554) reguluje elementy specyficzne dla technologii informacyjno-komunikacyjnych, a CASP-y wchodzą w zakres DORA jako podmioty finansowe. Oba systemy funkcjonują jednocześnie, a dział ds. zgodności musi być w stanie poruszać się po obu jednocześnie.
W drugim dokumencie konsultacyjnym ESMA dotyczącym MiCA wprowadzono konkretny obowiązek dla firm działających w oparciu o technologię rozproszonego rejestru bez zezwoleń (publiczne łańcuchy bloków, takie jak Ethereum): proaktywną, ustrukturyzowaną komunikację z klientami podczas wszelkich zakłóceń usług na poziomie DLT.
Firma musi informować klientów o tym, czy ich środki są zagrożone, oraz przedstawiać jasny obraz tego, w jaki sposób zarządzane jest przywrócenie usług. Firma ponosi pełną odpowiedzialność za wszelkie straty wynikające z jej własnych inteligentnych kontraktów, niezależnie od tego, czy bazowy łańcuch bloków jest bez zezwoleń.
Nie jest to standardowa polityka dotycząca awarii IT. Ponoszenie tego obowiązku w sposób znaczący wymaga od organu zarządzającego zrozumienia ryzyka związanego z infrastrukturą DLT na poziomie znacznie wykraczającym poza ogólną wiedzę techniczną.
Zespół ds. zgodności, który potrafi opisać ryzyko związane z blockchainem jedynie w ogólnych słowach, nie będzie w stanie opracować, zweryfikować ani utrzymać polityki ciągłości działania, która spełniłaby wymogi regulacyjne.
Standardy danych jako element zdolności w zakresie zgodności
Obowiązki funkcji zgodności rozciągają się na architekturę danych. CASP obsługujące platformy transakcyjne muszą stosować standard Digital Token Identifier (DTI) we wszystkich rejestrach i raportach przekazywanych do krajowych organów nadzoru (NCA). DTI jednoznacznie identyfikuje każdy kryptowalutowy składnik aktywów i łączy go z konkretną technologią DLT, w ramach której jest on emitowany, przedmiotem obrotu lub rozliczany. Pozwala to organom regulacyjnym na prowadzenie nadzoru transgranicznego w oparciu o spójne, porównywalne dane.
Standardy komunikacyjne ISO 20022 regulują format danych transakcyjnych przekazywanych organom. Dane dotyczące przejrzystości przed- i potransakcyjnej muszą być ujawniane za pośrednictwem niedyskryminacyjnych, czytelnych dla maszyn kanałów publicznych, aby zapobiec nadużyciom na rynku. Każdy z tych wymogów ma wymiar techniczny, za który musi odpowiadać zespół ds. zgodności, a nie ślepo delegować go do działu IT.
Firma, która traktuje prowadzenie dokumentacji jako ogólne zadanie administracyjne systemu, bez nadzoru zgodności z konkretnymi standardami danych wymaganymi przez RTS, po uzyskaniu zezwolenia napotka problemy nadzorcze.
Standardy istnieją właśnie po to, aby krajowe organy nadzoru (NCA) mogły porównać zapisy setek dostawców usług CASP w ramach jednej analizy. Firma, która nie jest w stanie dostarczyć danych w wymaganym formacie, jest firmą, która nie może wykazać ciągłej zgodności z przepisami.
To jest praktyczne znaczenie standardu „jednego mózgu”. Zespół ds. zgodności łączy świadomość regulacyjną, strukturę zarządzania, wiedzę operacyjną na temat technologii DLT oraz znajomość danych technicznych w jedną sprawną funkcję. Żadnego z tych elementów nie można całkowicie zlecić innej funkcji.
Zbudowanie zespołu przed złożeniem wniosku
Wniosek o licencję CASP MiCA dokumentuje istniejącą już instytucję. To właśnie ten model mentalny odróżnia firmy, które sprawnie przechodzą przez proces, od tych, które utknęły w martwym punkcie.
Firmy ubiegające się o licencję na giełdę kryptowalut, zezwolenie na przechowywanie aktywów cyfrowych lub jakąkolwiek inną licencję CASP w Europie muszą potraktować strukturę zespołu jako pierwszy element do zrealizowania, a nie jako coś, co powstaje w trakcie przygotowywania wniosku.
Funkcja zgodności musi być strukturalnie niezależna przed sporządzeniem pierwszego dokumentu. Należy ocenić zakres zbiorowej wiedzy organu zarządzającego i wyeliminować wszelkie luki przed rozpoczęciem przeglądu przez krajowy organ nadzoru (NCA). Informacje dotyczące poświęconego czasu muszą być realistyczne przed ich złożeniem.
Ta sama logika ma zastosowanie na całym świecie. Firmy ubiegające się o licencję VASP w jurysdykcjach poza UE coraz częściej napotykają na podobne standardy: organy regulacyjne na Bliskim Wschodzie, w regionie Azji i Pacyfiku oraz w Ameryce zbliżają się do podobnych wymagań dotyczących pierwszeństwa treści nad formą w zakresie projektowania funkcji zgodności.
Standard UE, który jest obecnie najbardziej szczegółowy i specyficzny pod względem technicznym, stanowi użyteczny punkt odniesienia dla każdego zespołu dążącego do uzyskania statusu podmiotu podlegającego regulacjom w dowolnej większej jurysdykcji.
„Jesteśmy DeFi, więc MiCA nas nie dotyczy”. Niestety, EBA i ESMA mają inne zdanie na ten temat
MiCA podważa twierdzenia dotyczące decentralizacji DeFi, podczas gdy organy regulacyjne analizują zasady dotyczące kontroli, zarządzania i zgodności z przepisami. read more.
Czytaj teraz
„Jesteśmy DeFi, więc MiCA nas nie dotyczy”. Niestety, EBA i ESMA mają inne zdanie na ten temat
MiCA podważa twierdzenia dotyczące decentralizacji DeFi, podczas gdy organy regulacyjne analizują zasady dotyczące kontroli, zarządzania i zgodności z przepisami. read more.
Czytaj teraz„Jesteśmy DeFi, więc MiCA nas nie dotyczy”. Niestety, EBA i ESMA mają inne zdanie na ten temat
Czytaj terazMiCA podważa twierdzenia dotyczące decentralizacji DeFi, podczas gdy organy regulacyjne analizują zasady dotyczące kontroli, zarządzania i zgodności z przepisami. read more.
Kluczowe wnioski
Mit: Powołanie specjalisty ds. zgodności i MLRO spełnia wymogi zgodności MiCA.
Rzeczywistość: MiCA wymaga funkcjonującego organu ds. zgodności, a nie listy stanowisk.
Trzy czynniki decydują o tym, czy organ zarządzający spełnia normę:
Zakres zbiorowej wiedzy. Zespół, traktowany jako całość, musi posiadać wiedzę z zakresu tradycyjnych rynków finansowych, biegłość w zakresie technologii DLT i cyberbezpieczeństwa oraz zdolność do zarządzania organizacją. Luki w którejkolwiek z tych dziedzin stanowią braki strukturalne, a nie preferencje profilowe.
Udokumentowana niezależność strukturalna. Podstawowe funkcje kontroli wewnętrznej (zgodność z przepisami, ocena ryzyka i audyt wewnętrzny) muszą mieć wyznaczonego właściciela, bezpośrednią linię podległości wobec organu zarządzającego oraz potwierdzoną niezależność od obszaru działalności, nad którym sprawują nadzór. (Uwaga: przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu oraz ciągłość działania są równie obowiązkowe, ale traktowane jako odrębne filary organizacyjne). Schemat organizacyjny, w którym zgodność z przepisami przechodzi przez funkcję generującą przychody, nie przetrwa kontroli organu nadzoru krajowego.
Rzeczywista istota instytucjonalna. Poświęcony czas musi być rzeczywisty i udokumentowany. Fizyczna obecność w UE musi odzwierciedlać rzeczywisty wpływ na proces decyzyjny, a nie tylko adres rejestrowy. Polityka ciągłości działania musi być własnością organu zarządzającego. Raportowanie danych musi spełniać standardy DTI i ISO 20022 od pierwszego dnia.
Wniosek o licencję CASP jest wynikiem. Architektura zgodności stanowi fundament. Najpierw zbuduj fundament.
Niniejszy artykuł opiera się na badaniu przeprowadzonym przez LegalBison w kwietniu 2026 r. Treść ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.
