Organizacijska shema s pravimi nazivi delovnih mest vam ne bo prinesla licence. Regulator išče arhitekturo skladnosti: dokumentirano neodvisnost, skupno strokovno znanje na treh različnih področjih ter dejansko institucionalno vsebino. Tako ta standard deluje v praksi.
MiCA razloženo: Zakaj regulator vašo ekipo za skladnost obravnava kot enoten možgan
NAPISAL
DELI
MiCA Decoded je tedenska serija 12 člankov za Bitcoin.com News, ki so jo skupaj napisali soustanovitelji in direktorji podjetja LegalBison: Aaron Glauberman, Viktor Juskin in Sabir Alijev. LegalBison svetuje podjetjem s področja kriptovalut in finančnih tehnologij glede licenciranja MiCA, vlog za CASP in VASP ter regulativne strukture po Evropi in zunaj nje.
Mit: Zadostuje zunanje izvajanje funkcije pooblaščenca za skladnost
Ko ustanovitelji začnejo načrtovati pridobitev dovoljenja za ponudnike storitev s kriptosredstvi (CASP), se pogovor skoraj vedno dotakne istega vprašanja: »Ali moramo zaposliti odgovornega za skladnost?«
Včasih temu vprašanju sledi še eno: »In odgovornega za poročanje o pranju denarja (MLRO)? Je to vse?«
Odgovor na obe vprašanji je da. Vendar je obravnavanje teh dveh imenovanj kot ciljne črte najpogostejša in najpomembnejša napačna interpretacija tega, kar MiCA dejansko zahteva od funkcije skladnosti.
Regulatorji ne preverjajo, ali ima organizacijska shema prave nazive delovnih mest. Ocenjujejo, ali ima upravni organ kot celota znanstveno strukturo, strukturno neodvisnost in dokumentirano operativno globino za vodenje regulirane finančne institucije. Licenca MiCA se ne izda posamezniku. Izdaja se organizaciji.
Ta razlika je ključni razlog, zakaj se toliko vlog v zgodnji fazi zastavi ali zahteva znatno popravljanje, preden nacionalni pristojni organ (NCA) izda dovoljenje.
Kaj v uredbi dejansko pomeni »skupaj«
Člen 68(1) MiCA je v tej točki natančen. Člani upravnega organa morajo imeti ustrezno znanje, spretnosti in izkušnje »tako posamezno kot skupaj«. Ta ena beseda, »skupaj«, opravlja pomembno regulativno delo.
Skupna smernica EBA in ESMA o primernosti članov upravnega organa in delničarjev za subjekte v okviru MiCA pojasnjuje mehanizme tega standarda s seznamom posebnih področij strokovnih izkušenj, ki jih mora imeti upravni organ. Eira Järvi, višja pravnica pri LegalBison, je v spodnji tabeli povzela posebne zahteve.
| Kategorija zahtev | Podroben opis |
| Regulacija finančnih trgov | Razumevanje finančnih instrumentov in finančnih instrumentov DLT, vključno z regulativnimi zahtevami v skladu z SIBA in drugo veljavno zakonodajo |
| Skladnost z AML/CTF | Znanje o zahtevah AML/CTF, vključno z identifikacijo tveganj, ocenjevanjem in strategijami za zmanjševanje tveganj |
| Virtualna sredstva | Poznavanje vrst VA, vključno s tokeni, vezanimi na sredstva, in tokeni za elektronsko denar, ter tveganj, povezanih z vsako od njih |
| Varstvo podatkov | Razumevanje obveznosti glede varstva podatkov, ki so pomembne za poslovanje družbe |
| Upravljanje tveganj | Razumevanje načel in postopkov upravljanja tveganj, vključno s tržnimi, kreditnimi in likvidnostnimi tveganji |
| Upravljanje in notranje kontrole | Sposobnost ocenjevanja učinkovitosti ureditev upravljanja, nadzornih mehanizmov in notranjih kontrol |
| Digitalna operativna odpornost | Poznavanje zahtev v zvezi z operativno odpornostjo |
| Strateško in upravljavsko znanje | Izkušnje s strateškim načrtovanjem, razvojem poslovanja in izvajanjem poslovnih ciljev |
| Upravljanje tretjih oseb | Razumevanje dogovorov o zunanjem izvajanju, upravljanja zunanjih izvajalcev in s tem povezanih regulativnih zahtev |
| Komunikacija in nadzor | Sposobnost predstavljanja stališč, razpravljanja o strategijah in, kjer je to primerno, izpodbijanja odločitev vodstva za zagotovitev učinkovitega nadzora |
| Računovodstvo in revizija | Sposobnost razlage finančnih podatkov, prepoznavanja ključnih vprašanj ter razumevanja ustreznih računovodskih in revizijskih standardov |
| Pravno in regulativno znanje | Poznavanje pravnih zahtev, ki veljajo za ponudnike storitev na področju virtualnih valut (VASP), vključno z izdajo in upravljanjem virtualnih valut |
Ob analizi smernic ESMA postane jasno, da mora skupni profil upravnega organa dokazljivo pokrivati tri ključna področja znanja, ki vključujejo vsa področja, ki jih podrobno opisuje Eira:
- Tradicionalni finančni trgi: regulativni okviri, obveznosti varstva vlagateljev, pravila ravnanja na trgu in operativni standardi, ki veljajo za licencirane ponudnike finančnih storitev.
- Infrastruktura tehnologije digitalnih knjig (DLT) in kibernetska varnost: arhitektura verige blokov, tveganje na ravni protokola, izpostavljenost pametnim pogodbam, modeliranje kibernetskih groženj ter specifične operativne ranljivosti, ki izhajajo iz zagotavljanja storitev v verigi.
- Poslovna strategija in organizacijsko upravljanje: zasnova upravljanja tveganj, arhitektura notranjih kontrol, politika upravljanja ter sposobnost ocenjevanja in rednega pregledovanja učinkovitosti skladnosti podjetja.
Regulator ne pričakuje, da bo ena oseba pokrivala vsa tri področja. Pričakovanje, ki ga formalizira zahteva ESMA, da podjetja predložijo oceno svoje »skupne primernosti«, je, da ekipa kot celota pokriva vsa področja brez pomembnih vrzeli.
Upravni organ, ki v celoti izhaja iz tradicionalnega finančnega okolja in v katerem ni nikogar, ki bi bil sposoben oceniti tveganje infrastrukture DLT, je strukturno nepopoln že pred oddajo vloge.
Enako velja tudi v obratni smeri: tehnično izkušena ekipa, ki se ukvarja izključno s kriptovalutami, v kateri ni nikogar, ki razume ravnanje na reguliranih finančnih trgih, se bo soočila z enako natančnim pregledom.
Problem časovne zavezanosti, o katerem nihče ne govori
Standard kolektivne primernosti ima še eno raven, ki vlagatelje preseneti.
Prave osebe morajo obstajati v praksi, ne le na papirju. Vsak član upravnega organa mora pisno dokumentirati svoj minimalni časovni zavezanost podjetju: natančneje, oceno časa, posvečenega tej vlogi (z letnimi in mesečnimi navedbami), skupaj z uradno izjavo o vseh drugih izvršnih in neizvršnih direktorjih, ki jih trenutno zaseda.
Osnutek regulativnih tehničnih standardov ESMA o odobritvi (iz prvega paketa posvetovanj) je v zvezi s tem jasen. Ocena zajema, ali je vsaka oseba dejansko prisotna, ne le navedena na seznamu.
Neizvršni direktor, ki zaseda še štiri mesta v upravnih odborih in ima svetovalno vlogo na področju skladnosti v dveh dodatnih podjetjih, bo podvržen neposrednemu pregledu. Nacionalni pristojni organ mora biti prepričan, da lahko upravni organ dejansko opravlja svoje naloge, ne le da so na vlogi navedena prava imena.
To je najbolj pomembno za kriptopodjetja v zgodnji fazi, ki za okrepitev vloge za pridobitev dovoljenja vključijo izkušene strokovnjake za skladnost v okviru delovnega razmerja za krajši delovni čas ali v svetovalni vlogi. Regulator bo natančno preveril, koliko ur na mesec ta oseba posveča delu, in to število primerjal z obsegom vloge ter storitvami, ki jih podjetje namerava opravljati.
Neusklajenost med odgovornostjo in časovno zavezanostjo je rdeča zastava, ne le tehnična podrobnost.
Funkcije notranjega nadzora: struktura pred nazivi
Razumevanje kolektivne primernosti na ravni upravnega organa je le del slike. Člen 68(4) MiCA od CASP-ov zahteva, da sprejmejo politike in postopke, ki so »dovolj učinkoviti za zagotavljanje skladnosti«. Člen 68(5) zahteva osebje z ustreznim znanjem na vseh ravneh podjetja. Člen 68(6) zahteva, da upravni organ redno pregleduje učinkovitost teh ureditev in odpravlja morebitne pomanjkljivosti.
Osnutek tehničnih standardov izvrševanja (RTS) agencije ESMA gre še dlje. Od podjetij zahteva, da opredelijo posamezne funkcije notranjega nadzora in za vsako od njih dokumentirajo:
- Poročevalna linija poteka neposredno do upravnega organa.
- način, kako funkcija deluje neodvisno od poslovnega področja, ki ga nadzoruje
- kako ima funkcija dostop do upravnega organa po vnaprej določenem urniku in v nujnih primerih (ad hoc), kadar se ugotovi znatno tveganje za neskladnost.
Tri funkcionalna področja, ki tvorijo jedro tega okvira notranje kontrole, so:
- Funkcija skladnosti (regulativne obveznosti, politike ravnanja, notranji postopki).
- Funkcija ocenjevanja tveganj (prepoznavanje tveganj, metodologija ocenjevanja, protokoli za eskalacijo).
- Funkcija notranje revizije (neodvisen pregled učinkovitosti, redna ocena).
Opomba: Funkcija AML/CFT in funkcija neprekinjenega poslovanja sta prav tako obvezna stebra vloge za pridobitev dovoljenja, vendar ju ESMA obravnava kot ločene organizacijske zahteve poleg tega osnovnega okvira notranje kontrole.
MiCA v besedilu ravni 1 ne vedno dodeljuje teh natančnih oznak. RTS ESMA jasno navajajo, da morajo ta osnovna področja notranje kontrole imeti imenovane lastnike, dokumentirane obsege odgovornosti in preverjeno strukturno neodvisnost.
Prav v tej zadnji točki mnoge vloge razkrivajo strukturno pomanjkljivost.
Funkcija skladnosti, ki poroča glavnemu operativnemu direktorju, ki upravlja tudi prihodke in poslovni razvoj, ni neodvisna v regulativnem smislu. Tudi funkcija tveganja, vgrajena v trgovalno mizo, ki poroča navzgor po isti hierarhični verigi kot miza, ki jo naj bi nadzorovala, ne izpolnjuje standarda.
Regulator bo zahteval organizacijsko shemo. Nato bo vprašal, komu v praksi poroča vodja skladnosti, kakšne so druge odgovornosti te osebe in kakšne pravice do eskalacije ima, ko se ugotovi resno tveganje za skladnost.
Oblikovanje vloge za licenco CASP na podlagi resnične strukture neodvisnosti zahteva, da se arhitektura oblikuje pred pripravo vloge, ne pa naknadno.
Fizična prisotnost: problem imenovanega direktorja
V vlogi za odobritev je treba navesti fizično lokacijo dejanskega upravljanja znotraj EU. To pomeni naslov sedeža, lokacije podružnic, kjer je to relevantno, in dejansko geografsko območje odločanja podjetja.
- Vsaj en direktor, ki izvaja dejansko pristojnost, mora imeti stalno prebivališče v Uniji in biti dostopen nacionalnemu pristojnemu organu matične države članice.
- Registrirani naslov v jurisdikciji EU, podprt z dogovorom o imenovanem direktorju, ne izpolnjuje tega standarda.
- Zahteva po vsebini pomeni, da mora dejanska teža odločanja dejansko ležati znotraj Unije.
Nacionalni pristojni organi to ocenjujejo na podlagi podatkov o lokaciji v vlogi za RTS in na podlagi razkritij o časovni zavezanosti vsakega člana upravnega organa.
Direktor, ki je fizično prisoten v EU dve tedni na četrtletje, v nobenem pomembnem regulativnem smislu ne izpolnjuje pogojev za rezidenčnega direktorja.
To je točka, ki je še posebej pomembna za podjetja, ki delujejo iz globalnih sedežev zunaj EU in si prizadevajo za pridobitev licence za kriptovalute v Evropi. Subjekt s sedežem v EU mora delovati kot dejanska enota za sprejemanje odločitev, ne pa kot administrativna fasada za skupinsko strukturo, ki deluje od drugod.
Nadaljevanje poslovanja je v pristojnosti ekipe za skladnost
Neprekinjeno poslovanje se na splošno obravnava kot odgovornost IT. V skladu z MiCA in Zakonom o digitalni operativni odpornosti (DORA) je takšno okvirjanje napačno za vsakega pooblaščenega CASP.
Politiko neprekinjenega poslovanja mora sprejeti, odobriti in vzdrževati upravni organ. DORA (Uredba EU 2022/2554) ureja elemente, specifične za informacijsko in komunikacijsko tehnologijo, CASP-ji pa kot finančni subjekti sodijo v področje uporabe DORA. Oba okvira delujeta sočasno, funkcija skladnosti pa mora biti sposobna obvladovati oba hkrati.
Drugi posvetovalni dokument ESMA o MiCA je uvedel posebno obveznost za podjetja, ki delujejo na tehnologiji razpršenih knjig brez dovoljenj (javne verige blokov, kot je Ethereum): proaktivno, strukturirano komuniciranje s strankami med kakršno koli motnjo storitev na ravni DLT.
Podjetje mora stranke obveščati o tem, ali so njihova sredstva ogrožena, in zagotoviti jasno sliko o tem, kako se upravlja ponovni zagon storitve. Podjetje ostaja v celoti odgovorno za kakršne koli izgube, ki izhajajo iz lastnih pametnih pogodb, ne glede na to, ali je osnovni blokchain brez dovoljenj.
To ni standardna politika za izpad IT-sistemov. Da bi lahko to obveznost smiselno izpolnjevali, mora vodstveno telo razumeti tveganje infrastrukture DLT na ravni, ki daleč presega splošno tehnično ozaveščenost.
Ekipa za skladnost, ki lahko tveganje verige blokov opiše le v splošnih izrazih, ne bo sposobna pripraviti, pregledati ali vzdrževati politike neprekinjenega poslovanja, ki bi zadostila regulativnemu nadzoru.
Standardi podatkov kot zmogljivost skladnosti
Odgovornosti funkcije skladnosti se razširjajo na arhitekturo podatkov. CASP-ji, ki upravljajo trgovalne platforme, morajo za vse vodenje evidenc in poročanje nacionalnim pristojnim organom uporabljati standard Digital Token Identifier (DTI). DTI edinstveno identificira vsako kriptoaktivno sredstvo in ga poveže s specifično tehnologijo DLT, na kateri je izdano, trgovan ali poravnano. To regulatorjem omogoča izvajanje čezmejnega nadzora z doslednimi, primerljivimi podatki.
Standardi za sporočanje ISO 20022 urejajo format transakcijskih podatkov, predloženih organom. Podatki o preglednosti pred in po trgovanju morajo biti razkriti prek nediskriminatornih, strojno berljivih javnih kanalov, da se prepreči zloraba trga. Vsaka od teh zahtev ima tehnično dimenzijo, za katero mora biti odgovorna ekipa za skladnost, ne pa jo slepo prenesti na IT.
Podjetje, ki vodenje evidenc obravnava kot splošno nalogo sistemskega upravljanja, brez nadzora skladnosti s specifičnimi standardi podatkov, ki jih zahtevajo RTS, se bo po pridobitvi dovoljenja soočilo z nadzornimi težavami.
Standardi obstajajo prav zato, da lahko nacionalni pristojni organi v eni sami analizi primerjajo evidence med stotinami CASP-ov. Podjetje, ki ne more zagotoviti podatkov v zahtevanem formatu, je podjetje, ki ne more dokazati stalne skladnosti.
To je praktični pomen standarda »enotnega možgana«. Ekipa za skladnost združuje poznavanje predpisov, strukturo upravljanja, operativno znanje o tehnologiji DLT in tehnično pismenost na področju podatkov v eno samo delujočo zmogljivost. Nobenega od teh elementov ni mogoče v celoti prenesti na drugo funkcijo.
Oblikovanje ekipe pred pripravo vloge
Vloga za pridobitev licence CASP MiCA dokumentira institucijo, ki že obstaja. To je miselni model, ki ločuje podjetja, ki učinkovito napredujejo skozi proces, od tistih, ki zastanejo.
Podjetja, ki si prizadevajo za licenco za kripto borzo, pooblastilo za hrambo digitalnih sredstev ali katero koli drugo licenco CASP v Evropi, morajo k sestavi ekipe pristopiti kot k prvemu izdelku, ne pa kot k nečemu, kar se oblikuje med pripravo vloge.
Funkcija skladnosti mora biti strukturno neodvisna, še preden se napiše prvi dokument. Pred začetkom pregleda nacionalnega pristojnega organa je treba oceniti obseg skupnega znanja upravnega organa in odpraviti morebitne vrzeli. Razkritja glede časovne zavezanosti morajo biti realistična, še preden se predložijo.
Enaka logika velja globalno. Podjetja, ki zaprosijo za licenco VASP v jurisdikcijah zunaj EU, se vse pogosteje srečujejo s podobnimi standardi: regulatorji na Bližnjem vzhodu, v Aziji-Pacifiku in Ameriki se zbližujejo glede podobnih zahtev, da je pri oblikovanju funkcije skladnosti vsebina pomembnejša od oblike.
Standard EU, ki je trenutno najbolj podroben in tehnično specifičen, je koristno merilo za vsako ekipo, ki si prizadeva za reguliran status v kateri koli večji jurisdikciji.
»Mi smo DeFi, zato se MiCA za nas ne uporablja.« Žal, vendar imata EBA in ESMA drugačno mnenje
MiCA postavlja pod vprašaj trditve o decentralizaciji DeFi, saj regulativni organi preučujejo pravila glede nadzora, upravljanja in skladnosti. read more.
Preberi zdaj
»Mi smo DeFi, zato se MiCA za nas ne uporablja.« Žal, vendar imata EBA in ESMA drugačno mnenje
MiCA postavlja pod vprašaj trditve o decentralizaciji DeFi, saj regulativni organi preučujejo pravila glede nadzora, upravljanja in skladnosti. read more.
Preberi zdaj»Mi smo DeFi, zato se MiCA za nas ne uporablja.« Žal, vendar imata EBA in ESMA drugačno mnenje
Preberi zdajMiCA postavlja pod vprašaj trditve o decentralizaciji DeFi, saj regulativni organi preučujejo pravila glede nadzora, upravljanja in skladnosti. read more.
Ključna ugotovitev
Mit: Imenovanje pooblaščenca za skladnost in MLRO izpolnjuje obveznosti skladnosti MiCA.
Realnost: MiCA zahteva delujoč organ za skladnost, ne pa seznam delovnih nazivov.
Tri stvari določajo, ali upravni organ izpolnjuje standard:
Pokritost s kolektivnim znanjem. Ekipa, obravnavana kot celota, mora pokrivati tradicionalno strokovno znanje o finančnih trgih, usposobljenost na področju tehnologije DLT in kibernetske varnosti ter sposobnost organizacijskega upravljanja. Vrzeli na katerem koli področju so strukturne pomanjkljivosti, ne pa preference glede profila.
Dokumentirana strukturna neodvisnost. Osnovne funkcije notranjega nadzora (skladnost, ocena tveganja in notranja revizija) morajo imeti imenovanega lastnika, neposredno poročevalsko linijo do upravnega organa in preverjeno neodvisnost od poslovnega področja, ki ga nadzorujejo. (Opomba: AML/CFT in neprekinjeno poslovanje sta enako obvezna, vendar se obravnavata kot ločena organizacijska stebra). Organizacijski diagram, ki usmerja skladnost prek funkcije, ki ustvarja prihodke, ne bo prestal pregleda nacionalnega pristojnega organa.
Resnična institucionalna vsebina. Časovna zavezanost mora biti resnična in dokumentirana. Fizična prisotnost v EU mora odražati dejansko težo pri odločanju, ne pa le registriranega naslova. Politika neprekinjenega poslovanja mora biti v lasti na ravni upravnega organa. Poročanje o podatkih mora od prvega dne izpolnjevati standarde DTI in ISO 20022.
Rezultat je vloga za licenco CASP. Arhitektura skladnosti je temelj. Najprej zgradite temelj.
Ta članek temelji na študiji, ki jo je aprila 2026 izvedlo podjetje LegalBison. Vsebina je namenjena izključno informativnim namenom in ne predstavlja pravnega nasveta.
