Organizačná schéma so správnymi pracovnými pozíciami vám licenciu nezabezpečí. Regulačný orgán hľadá architektúru zabezpečenia súladu: zdokumentovanú nezávislosť, kolektívnu odbornosť v troch odlišných oblastiach znalostí a skutočnú inštitucionálnu podstatu. Takto tento štandard funguje v praxi.
MiCA v skratke: Prečo regulátor vníma váš tím zodpovedný za dodržiavanie predpisov ako jeden celok
NAPÍSAL
ZDIEĽAŤ
MiCA Decoded je týždenný seriál pozostávajúci z 12 článkov pre Bitcoin.com News, ktorého spoluautormi sú spoluzakladatelia a výkonní riaditelia spoločnosti LegalBison: Aaron Glauberman, Viktor Juskin a Sabir Alijev. Spoločnosť LegalBison poskytuje poradenstvo krypto a FinTech spoločnostiam v oblasti licencovania MiCA, žiadostí CASP a VASP a regulačnej štruktúry v Európe aj mimo nej.
Mýtus: Stačí outsourcovať pozíciu compliance officer
Keď zakladatelia začínajú plánovať autorizáciu poskytovateľov služieb s kryptoaktívami (CASP), rozhovor takmer vždy dospje k rovnakému bodu: „Takže, musíme zamestnať pracovníka zodpovedného za dodržiavanie predpisov?“
Niekedy na túto otázku nadväzuje ďalšia: „A pracovníka zodpovedného za hlásenie prania špinavých peňazí (MLRO)? To je všetko?“
Odpoveď na obe otázky je áno. Ale považovať tieto dve menovania za cieľovú čiaru je najbežnejším a najzávažnejším nesprávnym výkladom toho, čo MiCA skutočne vyžaduje od funkcie compliance.
Regulačné orgány nekontrolujú, či organizačná schéma obsahuje správne pracovné pozície. Posudzujú, či riadiaci orgán ako celok disponuje znalostnou architektúrou, štrukturálnou nezávislosťou a zdokumentovanou prevádzkovou hĺbkou potrebnou na prevádzkovanie regulovanej finančnej inštitúcie. Licencia MiCA sa nevydáva osobe. Vydáva sa organizácii.
Toto rozlíšenie je kľúčovým dôvodom, prečo toľko žiadostí v počiatočnej fáze uviazne alebo si vyžaduje významné prepracovanie, než národný príslušný orgán (NCA) udelí povolenie.
Čo v skutočnosti znamená pojem „kolektívne“ v nariadení
Článok 68 ods. 1 MiCA je v tomto bode presný. Členovia riadiaceho orgánu musia disponovať primeranými znalosťami, zručnosťami a skúsenosťami „individuálne aj kolektívne“. Toto jediné slovo, „kolektívne“, má významný regulačný účinok.
Spoločné usmernenia EBA a ESMA o vhodnosti členov riadiaceho orgánu a akcionárov pre subjekty podliehajúce MiCA vysvetľujú mechanizmus tohto štandardu tým, že uvádzajú konkrétne oblasti odborných skúseností, ktoré musí riadiaci orgán mať. Eira Järvi, senior právnička v spoločnosti LegalBison, uviedla konkrétne požiadavky v tabuľke nižšie.
| Kategória požiadaviek | Podrobný popis |
| Regulácia finančných trhov | Porozumenie finančným nástrojom a finančným nástrojom DLT, vrátane regulačných požiadaviek podľa SIBA a iných platných právnych predpisov |
| Dodržiavanie predpisov v oblasti AML/CTF | Znalosť požiadaviek AML/CTF, vrátane stratégií identifikácie, posudzovania a zmierňovania rizík |
| Virtuálne aktíva | Znalosť typov VA, vrátane tokenov viazaných na aktíva a tokenov elektronických peňazí, a rizík spojených s každým z nich |
| Ochrana údajov | Porozumenie povinnostiam v oblasti ochrany údajov relevantným pre činnosť spoločnosti |
| Riadenie rizík | Porozumenie zásadám a postupom riadenia rizík, vrátane trhových, úverových a likviditných rizík |
| Správa a vnútorné kontroly | Schopnosť posúdiť účinnosť opatrení v oblasti správy a riadenia, mechanizmov dohľadu a vnútorných kontrol |
| Digitálna operačná odolnosť | Znalosť požiadaviek týkajúcich sa operačnej odolnosti |
| Strategické a manažérske znalosti | Skúsenosti so strategickým plánovaním, rozvojom podnikania a implementáciou obchodných cieľov |
| Riadenie tretích strán | Porozumenie dohodám o outsourcingu, riadeniu tretích strán a súvisiacim regulačným požiadavkám |
| Komunikácia a dohľad | Schopnosť prezentovať názory, diskutovať o stratégiách a v prípade potreby spochybňovať rozhodnutia vedenia s cieľom zabezpečiť účinný dohľad |
| Účtovníctvo a audit | Schopnosť interpretovať finančné informácie, identifikovať kľúčové problémy a rozumieť príslušným účtovným a audítorským štandardom |
| Právne a regulačné znalosti | Znalosť právnych požiadaviek platných pre poskytovateľov služieb v oblasti virtuálnych aktív (VASP), vrátane vydávania a správy virtuálnych aktív |
Pri analýze usmernení ESMA je zrejmé, že kombinovaný profil riadiaceho orgánu musí preukázateľne pokrývať tri základné oblasti znalostí, ktoré zahŕňajú všetky oblasti podrobne opísané spoločnosťou Eira:
- Tradičné finančné trhy: Regulačné rámce, povinnosti v oblasti ochrany investorov, pravidlá správania sa na trhu a prevádzkové štandardy, ktoré sa vzťahujú na licencovaných poskytovateľov finančných služieb.
- Infraštruktúra technológie digitálnych registrov (DLT) a kyberbezpečnosť: Architektúra blockchainu, riziko na úrovni protokolu, expozícia inteligentných zmlúv, modelovanie hrozieb kyberbezpečnosti a špecifické prevádzkové zraniteľnosti, ktoré vyplývajú z poskytovania služieb v reťazci.
- Obchodná stratégia a organizačné riadenie: Návrh riadenia rizík, architektúra vnútornej kontroly, politika riadenia a schopnosť posudzovať a pravidelne prehodnocovať účinnosť dodržiavania predpisov v spoločnosti.
Regulačný orgán neočakáva, že jedna osoba bude zodpovedná za všetky tri oblasti. Očakávanie, formalizované požiadavkou ESMA, aby spoločnosti predložili posúdenie svojej „kolektívnej vhodnosti“, je, že tím ako celok pokryje všetky tieto oblasti bez významných medzier.
Riadiaci orgán zložený výlučne z ľudí s tradičným finančným zázemím, v ktorom nie je nikto schopný posúdiť riziko infraštruktúry DLT, je štrukturálne neúplný ešte pred podaním žiadosti.
To isté platí aj naopak: technicky zdatný tím z oblasti kryptomien, v ktorom nie je nikto, kto rozumie správaniu regulovaných finančných trhov, bude čeliť rovnakému skúmaniu.
Problém časovej náročnosti, o ktorom nikto nehovorí
Existuje druhá vrstva štandardu kolektívnej vhodnosti, ktorá žiadateľov zaskočí.
Správni ľudia musia existovať v praxi, nielen na papieri. Každý člen riadiaceho orgánu musí písomne zdokumentovať svoj minimálny časový záväzok voči spoločnosti: konkrétne odhad času venovaného danej funkcii (s ročnými aj mesačnými údajmi), spolu s formálnym vyhlásením o všetkých ostatných výkonných a nevýkonných funkciách, ktoré v súčasnosti zastáva.
Návrh regulačných technických noriem ESMA týkajúcich sa povolenia (vypracovaný na základe prvého konzultačného balíka) je v tomto smere jednoznačný. Posudzovanie sa zameriava na to, či je každá osoba funkčne prítomná, a nie len nominálne uvedená.
Neexekutívny člen, ktorý má štyri ďalšie miesta v správnych radách a poradenský vzťah v oblasti dodržiavania predpisov s ďalšími dvoma firmami, bude podrobený priamemu preskúmaniu. NCA sa musí uistiť, že riadiaci orgán môže skutočne vykonávať svoje povinnosti, a nie len to, že v žiadosti figurujú správne mená.
To je najdôležitejšie pre začínajúce kryptofirmy, ktoré na posilnenie žiadosti o povolenie angažujú skúsených odborníkov na dodržiavanie predpisov na čiastočný úväzok alebo v poradenskej funkcii. Regulačný orgán presne zistí, koľko hodín mesačne táto osoba venuje práci, a porovná tento údaj s rozsahom úlohy a službami, ktoré firma zamýšľa poskytovať.
Nesúlad medzi zodpovednosťou a časovým nasadením je varovným signálom, nie formálnou záležitosťou.
Funkcie vnútornej kontroly: štruktúra nad titulmi
Pochopenie kolektívnej vhodnosti na úrovni riadiaceho orgánu je len časťou celkového obrazu. Článok 68 ods. 4 MiCA vyžaduje, aby CASP prijali politiky a postupy, ktoré sú „dostatočne účinné na zabezpečenie dodržiavania predpisov“. Článok 68 ods. 5 vyžaduje, aby na každej úrovni spoločnosti pracovali zamestnanci s primeranými znalosťami. Článok 68 ods. 6 vyžaduje, aby riadiaci orgán pravidelne preskúmal účinnosť týchto opatrení a riešil akékoľvek zistené nedostatky.
Návrh RTS agentúry ESMA ide ešte ďalej. Vyžaduje, aby spoločnosti identifikovali konkrétne funkcie vnútornej kontroly a pre každú z nich zdokumentovali:
- Hierarchická línia vedie priamo k riadiacemu orgánu.
- Ako funkcia funguje nezávisle od obchodnej oblasti, ktorú dohliada.
- ako má funkcia prístup k riadiacemu orgánu na pravidelnej báze a v núdzových (ad hoc) situáciách, keď sa zistí významné riziko v oblasti dodržiavania predpisov
Tri funkčné oblasti, ktoré tvoria jadro tohto rámca vnútornej kontroly, sú:
- Funkcia dodržiavania predpisov (regulačné povinnosti, zásady správania, interné postupy).
- Funkcia posudzovania rizík (identifikácia rizík, metodika posudzovania, protokoly eskalácie).
- Funkcia vnútorného auditu (nezávislé preskúmanie účinnosti, pravidelné hodnotenie).
Poznámka: Funkcia AML/CFT a funkcia zabezpečenia kontinuity činnosti sú tiež povinnými piliermi žiadosti o povolenie, ale ESMA ich považuje za samostatné organizačné požiadavky popri tomto základnom rámci vnútornej kontroly.
MiCA v texte úrovne 1 nie vždy priraďuje tieto presné označenia. Technické regulačné normy ESMA jasne stanovujú, že tieto kľúčové oblasti vnútornej kontroly musia mať menovaných vlastníkov, zdokumentovaný rozsah zodpovednosti a overenú štrukturálnu nezávislosť.
Práve v tomto poslednom bode sa v mnohých žiadostiach prejavuje štrukturálna chyba.
Funkcia dodržiavania predpisov, ktorá podlieha prevádzkovému riaditeľovi, ktorý zároveň riadi príjmy a rozvoj podnikania, nie je v zmysle regulácie nezávislá. Funkcia riadenia rizík začlenená do obchodného oddelenia, ktorá podáva správy smerom nahor cez rovnakú hierarchickú líniu ako oddelenie, ktoré má monitorovať, tiež nespĺňa tento štandard.
Regulačný orgán si vyžiada organizačnú schému. Následne sa opýta, komu vedúci oddelenia compliance v praxi podlieha, aké sú ďalšie povinnosti tejto osoby a aké má právomoci v prípade zistenia závažného rizika v oblasti compliance.
Vytvorenie žiadosti o licenciu CASP na základe skutočnej štruktúry nezávislosti vyžaduje, aby bola architektúra navrhnutá ešte pred vypracovaním žiadosti, a nie dodatočne.
Fyzická podstata: Problém nominovaného riaditeľa
Žiadosť o povolenie musí dokumentovať fyzické miesto efektívneho riadenia v rámci EÚ. To znamená adresu hlavného sídla, prípadné pobočky a skutočnú geografiu rozhodovania spoločnosti.
- Aspoň jeden riaditeľ vykonávajúci skutočnú právomoc musí mať bydlisko v Únii a musí byť dostupný pre príslušný orgán domovského členského štátu.
- Registrovaná adresa v jurisdikcii EÚ podporená dohodou o nominovanom riaditeľovi nespĺňa tento štandard.
- Požiadavka na podstatu znamená, že ťažisko ľudského rozhodovania musí skutočne ležať v rámci Únie.
Národné príslušné orgány to posudzujú na základe údajov o umiestnení v žiadosti o RTS a na základe informácií o časovej náročnosti poskytnutých každým členom riadiaceho orgánu.
Riaditeľ, ktorý je fyzicky prítomný v EÚ dva týždne za štvrťrok, sa v žiadnom zmysluplnom regulačnom zmysle nekvalifikuje ako riaditeľ s bydliskom v EÚ.
Toto je bod, ktorý je dôležitý najmä pre spoločnosti pôsobiace z globálneho sídla mimo EÚ, ktoré sa snažia získať licenciu na kryptomeny v Európe. Subjekt so sídlom v EÚ musí fungovať ako skutočná rozhodovacia jednotka, nie ako administratívna fasáda pre skupinovú štruktúru pôsobiacu z iného miesta.
Zabezpečenie kontinuity činnosti patrí do kompetencie tímu pre dodržiavanie predpisov
Kontinuita podnikania sa vo všeobecnosti považuje za zodpovednosť IT. Podľa MiCA a zákona o digitálnej operačnej odolnosti (DORA) je tento rámec nesprávny pre akéhokoľvek autorizovaného CASP.
Politiku kontinuity podnikania musí vlastniť, schvaľovať a udržiavať riadiaci orgán. Nariadenie DORA (Nariadenie EÚ 2022/2554) upravuje prvky špecifické pre informačné a komunikačné technológie a CASP spadajú do pôsobnosti DORA ako finančné subjekty. Oba rámce fungujú súčasne a funkcia dodržiavania predpisov musí byť schopná orientovať sa v oboch naraz.
Druhý konzultačný dokument ESMA k MiCA zaviedol špecifickú povinnosť pre spoločnosti pôsobiace na technológii distribuovaných registrov bez povolenia (verejné blockchainy, ako je Ethereum): proaktívnu, štruktúrovanú komunikáciu s klientmi počas akéhokoľvek prerušenia služby na úrovni DLT.
Spoločnosť musí informovať klientov o tom, či sú ich finančné prostriedky ohrozené, a poskytnúť jasný obraz o tom, ako sa riadi obnovenie služby. Spoločnosť naďalej nesie plnú zodpovednosť za akékoľvek straty vyplývajúce z jej vlastných inteligentných zmlúv, bez ohľadu na to, či je príslušný blockchain bez povolení.
Nejde o štandardnú politiku pre výpadky IT. Plnenie tejto povinnosti vyžaduje, aby riadiaci orgán rozumel rizikám infraštruktúry DLT na úrovni, ktorá výrazne presahuje všeobecné technické vedomosti.
Tím zodpovedný za dodržiavanie predpisov, ktorý vie opísať riziká blockchainu len vo všeobecných pojmoch, nebude schopný vypracovať, preskúmať ani udržiavať politiku kontinuity podnikania, ktorá by spĺňala požiadavky regulačného dohľadu.
Štandardy údajov ako schopnosť zabezpečenia súladu
Zodpovednosti funkcie dodržiavania predpisov sa rozširujú aj na dátovú architektúru. CASP prevádzkujúce obchodné platformy musia používať štandard Digital Token Identifier (DTI) pre všetky záznamy a podávanie správ národným príslušným orgánom. DTI jednoznačne identifikuje každé kryptoaktívum a spája ho s konkrétnou DLT, na ktorej je vydané, obchodované alebo vyrovnané. To umožňuje regulačným orgánom vykonávať cezhraničný dohľad s konzistentnými a porovnateľnými údajmi.
Štandardy zasielania správ ISO 20022 upravujú formát transakčných údajov predkladaných orgánom. Údaje o transparentnosti pred a po obchodovaní musia byť zverejňované prostredníctvom nediskriminačných, strojovo čitateľných verejných kanálov, aby sa zabránilo zneužívaniu trhu. Každá z týchto požiadaviek má technický rozmer, za ktorý musí niesť zodpovednosť tím zodpovedný za dodržiavanie predpisov, a nie ho slepo delegovať na IT.
Spoločnosť, ktorá považuje vedenie záznamov za všeobecnú úlohu správy systému bez dohľadu nad dodržiavaním konkrétnych dátových štandardov, ktoré vyžadujú RTS, bude po autorizácii čeliť problémom s dohľadom.
Tieto štandardy existujú práve preto, aby národné príslušné orgány (NCA) mohli v rámci jednej analýzy porovnávať záznamy stoviek CASP. Spoločnosť, ktorá nedokáže vygenerovať údaje v požadovanom formáte, je spoločnosťou, ktorá nedokáže preukázať trvalé dodržiavanie predpisov.
To je praktický význam štandardu „jedného mozgu“. Tím zodpovedný za dodržiavanie predpisov integruje povedomie o regulácii, štruktúru riadenia, prevádzkové znalosti DLT a technickú gramotnosť v oblasti údajov do jednej fungujúcej schopnosti. Žiaden z týchto prvkov nemožno úplne outsourcovať na inú funkciu.
Vytvorenie tímu pred vytvorením žiadosti
Žiadosť o povolenie na licenciu CASP MiCA dokumentuje inštitúciu, ktorá už existuje. To je mentálny model, ktorý oddeľuje firmy, ktoré procesom prechádzajú efektívne, od tých, ktoré stagnujú.
Firmy, ktoré sa uchádzajú o licenciu na kryptoburzu, povolenie na úschovu digitálnych aktív alebo akúkoľvek inú licenciu CASP v Európe, musia pristupovať k architektúre tímu ako k prvému výstupu, nie ako k niečomu, čo sa dáva dohromady počas vypracovávania žiadosti.
Funkcia zabezpečenia súladu musí byť štrukturálne nezávislá ešte pred vypracovaním prvého dokumentu. Pred začatím posudzovania zo strany NCA je potrebné posúdiť rozsah kolektívnych znalostí riadiaceho orgánu a odstrániť akékoľvek medzery. Informácie o časovej náročnosti musia byť realistické ešte pred ich predložením.
Tá istá logika platí globálne. Firmy žiadajúce o licenciu VASP v jurisdikciách mimo EÚ sa čoraz častejšie stretávajú s paralelnými štandardmi: regulátori na Blízkom východe, v ázijsko-tichomorskej oblasti a v Amerike sa zhodujú na podobných požiadavkách, ktoré uprednostňujú podstatu pred formou, pokiaľ ide o návrh funkcie compliance.
Štandard EÚ, ktorý je v súčasnosti najpodrobnejší a technicky najšpecifickejší, je užitočným meradlom pre akýkoľvek tím budujúci sa smerom k regulovanému statusu v akejkoľvek významnej jurisdikcii.
„Sme DeFi, takže sa na nás MiCA nevzťahuje.“ Je nám ľúto, ale EBA a ESMA majú iný názor
MiCA spochybňuje tvrdenia o decentralizácii DeFi, keďže regulačné orgány posudzujú pravidlá týkajúce sa kontroly, správy a dodržiavania predpisov. read more.
Čítať teraz
„Sme DeFi, takže sa na nás MiCA nevzťahuje.“ Je nám ľúto, ale EBA a ESMA majú iný názor
MiCA spochybňuje tvrdenia o decentralizácii DeFi, keďže regulačné orgány posudzujú pravidlá týkajúce sa kontroly, správy a dodržiavania predpisov. read more.
Čítať teraz„Sme DeFi, takže sa na nás MiCA nevzťahuje.“ Je nám ľúto, ale EBA a ESMA majú iný názor
Čítať terazMiCA spochybňuje tvrdenia o decentralizácii DeFi, keďže regulačné orgány posudzujú pravidlá týkajúce sa kontroly, správy a dodržiavania predpisov. read more.
Kľúčové posolstvo
Mýtus: Menovanie compliance officer a MLRO spĺňa povinnosti v oblasti dodržiavania predpisov podľa MiCA.
Realita: MiCA vyžaduje fungujúci orgán zodpovedný za dodržiavanie predpisov, nie zoznam pracovných pozícií.
Tri veci určujú, či riadiaci orgán spĺňa štandard:
Pokrytie kolektívnych znalostí. Tím ako celok musí pokrývať odborné znalosti v oblasti tradičných finančných trhov, zručnosti v oblasti DLT a kyberbezpečnosti a schopnosti organizačného riadenia. Medzery v akejkoľvek jednej oblasti sú štrukturálne nedostatky, nie preferencie profilu.
Dokumentovaná štrukturálna nezávislosť. Kľúčové funkcie vnútornej kontroly (compliance, posudzovanie rizík a vnútorný audit) musia mať menovaného vlastníka, priamu podriadenosť riadiacemu orgánu a overenú nezávislosť od obchodnej oblasti, ktorú dohliadajú. (Poznámka: AML/CFT a kontinuita činnosti sú rovnako povinné, ale považujú sa za samostatné organizačné piliere). Organizačná schéma, ktorá smeruje compliance cez funkciu generujúcu príjmy, neprejde kontrolou NCA.
Skutočná inštitucionálna podstata. Časové záväzky musia byť skutočné a zdokumentované. Fyzická prítomnosť v EÚ musí odrážať skutočnú rozhodovaciu váhu, nie len registrovanú adresu. Politika kontinuity činnosti musí byť v kompetencii riadiaceho orgánu. Vykazovanie údajov musí od prvého dňa spĺňať normy DTI a ISO 20022.
Výsledkom je žiadosť o licenciu CASP. Architektúra dodržiavania predpisov je základom. Najprv vybudujte základ.
Tento článok vychádza zo štúdie, ktorú v apríli 2026 vykonala spoločnosť LegalBison. Obsah slúži iba na informačné účely a nepredstavuje právne poradenstvo.
