ผังองค์กรที่มีชื่อตำแหน่งงานถูกต้องจะไม่ได้ทำให้คุณได้รับใบอนุญาต สิ่งที่หน่วยงานกำกับดูแลมองหาคือสถาปัตยกรรมด้านการปฏิบัติตามกฎเกณฑ์: ความเป็นอิสระที่จัดทำเป็นเอกสาร ความเชี่ยวชาญแบบรวมหมู่ครอบคลุมสามโดเมนความรู้ที่แยกจากกัน และความมีตัวตนเชิงสถาบันอย่างแท้จริง นี่คือวิธีที่มาตรฐานนั้นทำงานในทางปฏิบัติ
MiCA ถอดรหัส: ทำไมหน่วยงานกำกับดูแลจึงมองทีมกำกับการปฏิบัติตามของคุณเป็นสมองเดียวกัน
เขียนโดย
แชร์
MiCA Decoded เป็นซีรีส์รายสัปดาห์จำนวน 12 บทความสำหรับ Bitcoin.com News เขียนร่วมโดยกรรมการผู้ร่วมก่อตั้งและกรรมการผู้จัดการของ LegalBison: Aaron Glauberman, Viktor Juskin และ Sabir Alijev โดย LegalBison ให้คำปรึกษาแก่บริษัทคริปโตและฟินเทคเกี่ยวกับการขอใบอนุญาตภายใต้ MiCA การยื่นคำขอ CASP และ VASP และการวางโครงสร้างด้านกำกับดูแลทั่วทวีปยุโรปและนอกยุโรป
ความเชื่อผิด ๆ: เอาท์ซอร์สเจ้าหน้าที่กำกับดูแลก็พอ
เมื่อผู้ก่อตั้งเริ่มวางแผนสำหรับการขออนุญาตเป็นผู้ให้บริการสินทรัพย์คริปโต (crypto-assets services providers: CASP) บทสนทนามักจะมาถึงจุดเดียวกันเสมอ: “งั้นเราต้องจ้างเจ้าหน้าที่กำกับดูแล (compliance officer) ไหม?”
บางครั้งคำถามนั้นจะมีคำถามต่อ: “แล้วเจ้าหน้าที่รายงานการฟอกเงิน (Money Laundering Reporting Officer: MLRO) ล่ะ? แค่นั้นพอไหม?”
คำตอบของทั้งสองข้อคือใช่ แต่การมองว่าการแต่งตั้งสองตำแหน่งนี้คือเส้นชัย เป็นการตีความผิดที่พบบ่อยที่สุดและส่งผลมากที่สุดต่อสิ่งที่ MiCA ต้องการจริง ๆ จากฟังก์ชันด้านการกำกับดูแล
หน่วยงานกำกับไม่ได้ตรวจเพียงว่าในผังองค์กรมีชื่อตำแหน่งถูกต้องหรือไม่ พวกเขาประเมินว่า “คณะผู้บริหาร” (management body) ในฐานะหน่วยรวม มีสถาปัตยกรรมความรู้ ความเป็นอิสระเชิงโครงสร้าง และความลึกเชิงปฏิบัติการที่จัดทำเป็นเอกสาร เพียงพอสำหรับการดำเนินงานสถาบันการเงินที่อยู่ภายใต้การกำกับหรือไม่ ใบอนุญาต MiCA ไม่ได้ออกให้ “บุคคล” แต่ถูกออกให้ “สิ่งมีชีวิตขององค์กร”
ความแตกต่างนี้เป็นหัวใจว่าทำไมคำขอจำนวนมากในระยะเริ่มต้นจึงหยุดชะงัก หรือจำเป็นต้องแก้ไขครั้งใหญ่ก่อนที่หน่วยงานผู้มีอำนาจระดับชาติ (National Competent Authority: NCA) จะให้การอนุญาต
คำว่า “โดยรวม” ในกฎระเบียบหมายถึงอะไรจริง ๆ
มาตรา 68(1) ของ MiCA ระบุชัดเจนในประเด็นนี้ สมาชิกของคณะผู้บริหารต้องมีความรู้ ทักษะ และประสบการณ์ที่เหมาะสม “ทั้งในรายบุคคลและโดยรวม (collectively)” คำว่า “โดยรวม” คำเดียวนี้ทำงานเชิงกำกับดูแลอย่างมีนัยสำคัญ
แนวทางร่วมของ EBA และ ESMA guidelines ว่าด้วยความเหมาะสมของสมาชิกคณะผู้บริหารและผู้ถือหุ้นสำหรับหน่วยงานภายใต้ MiCA ทำให้กลไกของมาตรฐานนี้ชัดเจน โดยระบุรายการด้านประสบการณ์วิชาชีพเฉพาะที่คณะผู้บริหารต้องมี Eira Järvi ทนายความอาวุโสของ LegalBison ได้สรุปข้อกำหนดเฉพาะไว้ในตารางด้านล่าง
| หมวดหมู่ข้อกำหนด | คำอธิบายโดยละเอียด |
| กฎระเบียบตลาดการเงิน | ความเข้าใจเกี่ยวกับตราสารทางการเงินและตราสารทางการเงินบน DLT รวมถึงข้อกำหนดตามกฎระเบียบภายใต้ SIBA และกฎหมายอื่นที่เกี่ยวข้อง |
| การปฏิบัติตาม AML/CTF | ความรู้เกี่ยวกับข้อกำหนด AML/CTF รวมถึงการระบุความเสี่ยง การประเมิน และกลยุทธ์การบรรเทาความเสี่ยง |
| สินทรัพย์เสมือน (Virtual Assets) | ความรู้เกี่ยวกับประเภทของ VA รวมถึงโทเคนที่อ้างอิงสินทรัพย์และโทเคนเงินอิเล็กทรอนิกส์ และความเสี่ยงที่เกี่ยวข้องกับแต่ละประเภท |
| การคุ้มครองข้อมูล | ความเข้าใจเกี่ยวกับภาระหน้าที่ด้านการคุ้มครองข้อมูลที่เกี่ยวข้องกับการดำเนินงานของบริษัท |
| การบริหารความเสี่ยง | ความเข้าใจเกี่ยวกับหลักการและกระบวนการบริหารความเสี่ยง รวมถึงความเสี่ยงด้านตลาด ด้านเครดิต และด้านสภาพคล่อง |
| ธรรมาภิบาลและการควบคุมภายใน | ความสามารถในการประเมินประสิทธิผลของการจัดวางธรรมาภิบาล กลไกการกำกับดูแล และการควบคุมภายใน |
| ความยืดหยุ่นด้านการปฏิบัติการเชิงดิจิทัล | ความคุ้นเคยกับข้อกำหนดที่เกี่ยวข้องกับความยืดหยุ่นในการปฏิบัติการ |
| ความรู้เชิงกลยุทธ์และการบริหารจัดการ | ประสบการณ์ด้านการวางแผนกลยุทธ์ การพัฒนาธุรกิจ และการนำวัตถุประสงค์ทางธุรกิจไปปฏิบัติ |
| การบริหารบุคคลที่สาม | ความเข้าใจเกี่ยวกับการจัดทำข้อตกลงเอาท์ซอร์ส การบริหารผู้ให้บริการบุคคลที่สาม และข้อกำหนดด้านกำกับดูแลที่เกี่ยวข้อง |
| การสื่อสารและการกำกับดูแล | ความสามารถในการนำเสนอความคิดเห็น อภิปรายกลยุทธ์ และเมื่อเหมาะสม ท้าทายการตัดสินใจของฝ่ายบริหารเพื่อให้เกิดการกำกับดูแลที่มีประสิทธิผล |
| การบัญชีและการตรวจสอบบัญชี | ความสามารถในการตีความข้อมูลทางการเงิน ระบุประเด็นสำคัญ และเข้าใจมาตรฐานการบัญชีและการตรวจสอบบัญชีที่เกี่ยวข้อง |
| ความรู้ด้านกฎหมายและกำกับดูแล | ความคุ้นเคยกับข้อกำหนดทางกฎหมายที่ใช้บังคับกับ VASP รวมถึงการออกและการบริหารจัดการ VA |
เมื่อวิเคราะห์แนวทางของ ESMA จะเห็นชัดว่าโปรไฟล์รวมของคณะผู้บริหารต้องครอบคลุมสามโดเมนความรู้หลักอย่างพิสูจน์ได้ ซึ่งรวมถึงทั้งหมดที่ Eira ระบุไว้:
- ตลาดการเงินแบบดั้งเดิม: กรอบกำกับดูแล ภาระหน้าที่คุ้มครองผู้ลงทุน กฎการประพฤติปฏิบัติในตลาด และมาตรฐานการปฏิบัติงานที่ใช้กับผู้ให้บริการทางการเงินที่ได้รับใบอนุญาต
- โครงสร้างพื้นฐานเทคโนโลยีบัญชีแยกประเภทดิจิทัล (DLT) และความมั่นคงปลอดภัยไซเบอร์: สถาปัตยกรรมบล็อกเชน ความเสี่ยงระดับโปรโตคอล การเปิดรับความเสี่ยงจากสมาร์ตคอนแทรกต์ การสร้างแบบจำลองภัยคุกคามทางไซเบอร์ และช่องโหว่เชิงปฏิบัติการเฉพาะที่เกิดจากการให้บริการแบบออนเชน
- กลยุทธ์ธุรกิจและธรรมาภิบาลขององค์กร: การออกแบบการบริหารความเสี่ยง สถาปัตยกรรมการควบคุมภายใน นโยบายธรรมาภิบาล และความสามารถในการประเมินและทบทวนประสิทธิผลการกำกับดูแลของบริษัทเป็นระยะ
หน่วยงานกำกับไม่ได้คาดหวังให้คนคนเดียวครอบครองทั้งสามโดเมน ความคาดหวังคือ—ซึ่งถูกทำให้เป็นทางการผ่านข้อกำหนดของ ESMA ที่ให้บริษัทส่งการประเมิน “ความเหมาะสมโดยรวม (collective suitability)”—ทีมโดยรวมต้องครอบคลุมทั้งหมดโดยไม่มีช่องว่างที่มีนัยสำคัญ
คณะผู้บริหารที่มาจากพื้นฐานการเงินดั้งเดิมทั้งหมด โดยไม่มีใครสามารถประเมินความเสี่ยงโครงสร้างพื้นฐาน DLT ได้ จะถือว่าโครงสร้างไม่สมบูรณ์ตั้งแต่ก่อนยื่นคำขอ
ในทางกลับกันก็เช่นกัน: ทีมคริปโตเนทีฟที่มีความลึกด้านเทคนิค แต่ไม่มีใครเข้าใจกฎการประพฤติปฏิบัติในตลาดการเงินที่อยู่ภายใต้การกำกับ จะถูกตรวจเข้มไม่ต่างกัน
ปัญหาเรื่องเวลาที่ไม่มีใครพูดถึง
ยังมีอีกชั้นหนึ่งของมาตรฐานความเหมาะสมโดยรวมที่ทำให้ผู้ยื่นคำขอหลายรายตั้งตัวไม่ทัน
คนที่เหมาะสมต้องมีอยู่จริงในทางปฏิบัติ ไม่ใช่แค่บนกระดาษ สมาชิกแต่ละคนของคณะผู้บริหารต้องจัดทำเป็นลายลักษณ์อักษรถึงเวลาขั้นต่ำที่ตนจะทุ่มให้กับบริษัท โดยเฉพาะการประมาณเวลาที่ใช้กับบทบาทดังกล่าว (ทั้งในภาพรวมรายปีและรายเดือน) พร้อมกับคำประกาศอย่างเป็นทางการเกี่ยวกับตำแหน่งกรรมการบริหารและไม่บริหารทั้งหมดที่ดำรงอยู่ในปัจจุบัน
ร่าง มาตรฐานทางเทคนิคเชิงกำกับดูแล (RTS) ของ ESMA ว่าด้วยการอนุญาต (ซึ่งอิงจากแพ็กเกจการปรึกษาหารือชุดแรก) ระบุชัดในเรื่องนี้ การประเมินครอบคลุมว่าบุคคลแต่ละคน “อยู่จริง” ในเชิงหน้าที่ ไม่ใช่เพียงถูกระบุชื่อไว้ตามนาม
กรรมการไม่บริหารที่นั่งบอร์ดอีกสี่แห่ง และมีความสัมพันธ์ที่ปรึกษาด้านการกำกับดูแลกับอีกสองบริษัท จะถูกตรวจสอบโดยตรง NCA ต้องมั่นใจว่าคณะผู้บริหารสามารถปฏิบัติหน้าที่ได้จริง ไม่ใช่แค่มีชื่อที่ถูกต้องปรากฏในคำขอ
เรื่องนี้สำคัญอย่างยิ่งสำหรับบริษัทคริปโตระยะเริ่มต้นที่ดึงบุคลากรกำกับดูแลที่มีประสบการณ์เข้ามาแบบพาร์ตไทม์หรือที่ปรึกษาเพื่อเสริมความแข็งแรงของคำขออนุญาต หน่วยงานกำกับจะเห็นอย่างชัดเจนว่าบุคคลนั้นให้เวลากี่ชั่วโมงต่อเดือน และจะเทียบตัวเลขนั้นกับขอบเขตบทบาทและบริการที่บริษัทตั้งใจจะให้
ความไม่สอดคล้องระหว่างความรับผิดชอบกับเวลาที่ทุ่มให้ เป็นสัญญาณเตือน ไม่ใช่เรื่องเล็กน้อยทางเทคนิค
ฟังก์ชันการควบคุมภายใน: โครงสร้างสำคัญกว่าตำแหน่ง
การเข้าใจความเหมาะสมโดยรวมในระดับคณะผู้บริหารเป็นเพียงส่วนหนึ่งของภาพรวม มาตรา 68(4) ของ MiCA กำหนดให้ CASP ต้องใช้นโยบายและขั้นตอนที่ “มีประสิทธิผลเพียงพอเพื่อให้มั่นใจถึงการปฏิบัติตามกฎ” มาตรา 68(5) กำหนดให้มีบุคลากรที่มีความรู้เหมาะสมในทุกระดับของบริษัท มาตรา 68(6) กำหนดให้คณะผู้บริหารทบทวนประสิทธิผลของการจัดวางดังกล่าวเป็นระยะ และแก้ไขข้อบกพร่องที่พบ
ร่าง RTS ของ ESMA ทำให้เข้มขึ้นไปอีก โดยกำหนดให้บริษัทระบุฟังก์ชันการควบคุมภายในที่เฉพาะเจาะจง และจัดทำเอกสารสำหรับแต่ละฟังก์ชันว่า:
- สายการรายงานเชื่อมตรงไปยังคณะผู้บริหาร
- ฟังก์ชันดำเนินงานอย่างเป็นอิสระจากสายธุรกิจที่ตนกำกับดูแลอย่างไร
- ฟังก์ชันสามารถเข้าถึงคณะผู้บริหารได้ทั้งแบบตามกำหนดเวลา และแบบฉุกเฉิน (ad hoc) เมื่อพบความเสี่ยงด้านการปฏิบัติตามกฎที่มีนัยสำคัญอย่างไร
สามด้านหน้าที่ที่เป็นแกนของกรอบการควบคุมภายในนี้คือ:
- ฟังก์ชันการกำกับดูแล (ภาระหน้าที่ด้านกฎระเบียบ นโยบายการประพฤติปฏิบัติ ขั้นตอนภายใน)
- ฟังก์ชันการประเมินความเสี่ยง (การระบุความเสี่ยง ระเบียบวิธีการประเมิน โปรโตคอลการยกระดับ)
- ฟังก์ชันตรวจสอบภายใน (การทบทวนประสิทธิผลอย่างอิสระ การประเมินเป็นระยะ)
หมายเหตุ: ฟังก์ชัน AML/CFT และฟังก์ชันความต่อเนื่องทางธุรกิจ (Business Continuity) ก็เป็นเสาหลักบังคับของคำขออนุญาตเช่นกัน แต่ ESMA ปฏิบัติต่อสองส่วนนี้เป็นข้อกำหนดด้านองค์กรที่แยกต่างหากควบคู่กับกรอบการควบคุมภายในแกนหลักนี้
MiCA ไม่ได้กำหนดป้ายกำกับเหล่านี้อย่างแม่นยำเสมอไปในตัวบทระดับ 1 แต่ RTS ของ ESMA ทำให้ชัดว่าพื้นที่การควบคุมภายในแกนหลักเหล่านี้ต้องมีผู้รับผิดชอบที่ระบุชื่อได้ มีขอบเขตความรับผิดชอบที่จัดทำเป็นเอกสาร และมีความเป็นอิสระเชิงโครงสร้างที่ผ่านการยืนยัน
ประเด็นสุดท้ายนี่เองที่ทำให้คำขอจำนวนมากเผยให้เห็นข้อบกพร่องเชิงโครงสร้าง
ฟังก์ชันกำกับดูแลที่รายงานต่อประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ (COO) ซึ่งดูแลรายได้และการพัฒนาธุรกิจด้วย ไม่เป็นอิสระในความหมายเชิงกำกับดูแล ฟังก์ชันความเสี่ยงที่ฝังอยู่ในโต๊ะเทรดและรายงานขึ้นไปตามสายเดียวกับโต๊ะที่มันควรตรวจสอบ ก็ไม่ผ่านมาตรฐานเช่นกัน
หน่วยงานกำกับจะขอผังองค์กร จากนั้นจะถามว่าในทางปฏิบัติหัวหน้ากำกับดูแลรายงานต่อใคร บุคคลนั้นมีหน้าที่อื่นอะไรอีก และมีสิทธิในการยกระดับเรื่องเมื่อพบความเสี่ยงด้านการปฏิบัติตามกฎที่ร้ายแรงอย่างไร
การสร้างคำขอใบอนุญาต CASP บนโครงสร้างความเป็นอิสระที่แท้จริง ต้องออกแบบสถาปัตยกรรมก่อนร่างคำขอ ไม่ใช่มาปรับใส่ทีหลัง
ตัวตนทางกายภาพ: ปัญหากรรมการตัวแทน (Nominee Director)
คำขออนุญาตต้องจัดทำเอกสารถึงสถานที่ที่เป็น “ศูนย์กลางการบริหารจัดการที่มีประสิทธิผล” ภายในสหภาพยุโรป ซึ่งหมายถึงที่อยู่สำนักงานใหญ่ ที่ตั้งสาขา (หากเกี่ยวข้อง) และภูมิศาสตร์การตัดสินใจที่แท้จริงของบริษัท
- ต้องมีกรรมการอย่างน้อยหนึ่งคนที่ใช้อำนาจจริงอาศัยอยู่ภายในสหภาพ และสามารถติดต่อได้โดย NCA ของรัฐสมาชิกที่เป็นประเทศบ้าน (home member state)
- ที่อยู่จดทะเบียนในเขตอำนาจศาลของสหภาพยุโรปที่รองรับด้วยโครงสร้างกรรมการตัวแทน ไม่เป็นไปตามมาตรฐานนี้
- ข้อกำหนดด้าน substance หมายความว่า “น้ำหนัก” ของการตัดสินใจโดยมนุษย์ต้องอยู่ภายในสหภาพจริง ๆ
NCA ประเมินเรื่องนี้ผ่านช่องข้อมูลที่ตั้งในคำขอ RTS และผ่านการเปิดเผยเวลาที่ทุ่มให้ของสมาชิกคณะผู้บริหารแต่ละราย
กรรมการที่อยู่ในสหภาพยุโรปทางกายภาพเพียงสองสัปดาห์ต่อไตรมาส ไม่ถือว่าเป็นกรรมการประจำถิ่นในความหมายเชิงกำกับดูแลอย่างมีนัยสำคัญ
ประเด็นนี้สำคัญเป็นพิเศษสำหรับบริษัทที่ดำเนินงานจากสำนักงานใหญ่ทั่วโลกนอกสหภาพยุโรปและกำลังมุ่งสู่ใบอนุญาตคริปโตในยุโรป หน่วยงานในสหภาพยุโรปต้องทำหน้าที่เป็นหน่วยตัดสินใจจริง ไม่ใช่เป็นฉากหน้าทางธุรการให้โครงสร้างกลุ่มบริษัทที่บริหารจากที่อื่น
ความต่อเนื่องทางธุรกิจเป็นเรื่องของทีมกำกับดูแล
ความต่อเนื่องทางธุรกิจมักถูกมองว่าเป็นความรับผิดชอบของฝ่ายไอที ภายใต้ MiCA และกฎหมายว่าด้วยความยืดหยุ่นด้านการปฏิบัติการเชิงดิจิทัล (DORA) กรอบคิดนั้นไม่ถูกต้องสำหรับ CASP ที่ได้รับอนุญาตใด ๆ
นโยบายความต่อเนื่องทางธุรกิจต้องเป็นของคณะผู้บริหาร ต้องได้รับการอนุมัติ และต้องถูกบำรุงรักษาโดยคณะผู้บริหาร DORA (Regulation EU 2022/2554) กำกับองค์ประกอบเฉพาะด้านเทคโนโลยีสารสนเทศและการสื่อสาร และ CASP อยู่ในขอบเขตของ DORA ในฐานะหน่วยงานการเงิน กรอบทั้งสองทำงานพร้อมกัน และฟังก์ชันกำกับดูแลต้องสามารถนำทางทั้งสองพร้อมกันได้
เอกสารปรึกษาหารือ MiCA ชุดที่สองของ ESMA ได้เพิ่มภาระหน้าที่เฉพาะสำหรับบริษัทที่ดำเนินงานบนเทคโนโลยีบัญชีแยกประเภทแบบไม่ต้องขออนุญาต (permissionless DLT) (บล็อกเชนสาธารณะ เช่น Ethereum): การสื่อสารเชิงรุกและมีโครงสร้างกับลูกค้าในช่วงที่เกิดการหยุดชะงักของบริการระดับ DLT
บริษัทต้องอัปเดตลูกค้าว่าเงินของพวกเขาอยู่ในความเสี่ยงหรือไม่ และให้ภาพที่ชัดเจนว่าการกลับมาให้บริการกำลังถูกบริหารจัดการอย่างไร บริษัทยังคงรับผิดเต็มที่ต่อความเสียหายใด ๆ ที่เกิดจากสมาร์ตคอนแทรกต์ของตนเอง ไม่ว่าบล็อกเชนพื้นฐานจะเป็นแบบ permissionless หรือไม่ก็ตาม
นี่ไม่ใช่นโยบายรับมือระบบไอทีล่มแบบมาตรฐาน การเป็นเจ้าของภาระหน้าที่นี้อย่างมีความหมาย ต้องให้คณะผู้บริหารเข้าใจความเสี่ยงโครงสร้างพื้นฐาน DLT ในระดับที่ลึกกว่าความรู้เชิงเทคนิคทั่วไปมาก
ทีมกำกับดูแลที่อธิบายความเสี่ยงบล็อกเชนได้เพียงภาพรวม จะไม่สามารถร่าง ทบทวน หรือบำรุงรักษานโยบายความต่อเนื่องทางธุรกิจให้ผ่านการตรวจสอบของหน่วยงานกำกับได้
มาตรฐานข้อมูลในฐานะขีดความสามารถด้านการกำกับดูแล
ความรับผิดชอบของฟังก์ชันกำกับดูแลขยายไปถึงสถาปัตยกรรมข้อมูล CASP ที่ดำเนินแพลตฟอร์มการซื้อขายต้องใช้มาตรฐาน Digital Token Identifier (DTI) สำหรับการเก็บบันทึกและการรายงานต่อ NCA ทั้งหมด DTI ระบุตัวตนสินทรัพย์คริปโตแต่ละรายการอย่างเฉพาะเจาะจง และเชื่อมโยงไปยัง DLT เฉพาะที่สินทรัพย์นั้นถูกออก ซื้อขาย หรือชำระราคา ทำให้หน่วยงานกำกับสามารถทำการเฝ้าระวังข้ามพรมแดนด้วยข้อมูลที่สม่ำเสมอและเทียบเคียงกันได้
มาตรฐานการส่งข้อความ ISO 20022 กำกับรูปแบบของข้อมูลธุรกรรมที่ส่งให้หน่วยงาน ข้อมูลความโปร่งใสก่อนและหลังการซื้อขายต้องเปิดเผยผ่านช่องทางสาธารณะที่ไม่เลือกปฏิบัติและอ่านได้โดยเครื่อง เพื่อป้องกันการบิดเบือนตลาด แต่ละข้อกำหนดเหล่านี้มีมิติทางเทคนิคที่ทีมกำกับดูแลต้องเป็นเจ้าของ ไม่ใช่โยนให้ไอทีโดยไม่ไตร่ตรอง
บริษัทที่มองการเก็บบันทึกเป็นงานผู้ดูแลระบบทั่วไป โดยไม่มีการกำกับดูแลด้านการปฏิบัติตามมาตรฐานข้อมูลเฉพาะที่ RTS กำหนด จะประสบปัญหาด้านการกำกับหลังได้รับอนุญาต
มาตรฐานเหล่านี้มีไว้โดยเฉพาะเพื่อให้ NCA สามารถเปรียบเทียบบันทึกของ CASP หลายร้อยรายได้ในการวิเคราะห์ครั้งเดียว บริษัทที่ไม่สามารถผลิตข้อมูลในรูปแบบที่กำหนดได้ คือบริษัทที่ไม่สามารถพิสูจน์การปฏิบัติตามกฎอย่างต่อเนื่องได้
นี่คือความหมายเชิงปฏิบัติของมาตรฐาน “สมองเดียว” ทีมกำกับดูแลบูรณาการการตระหนักรู้ด้านกฎระเบียบ โครงสร้างธรรมาภิบาล ความรู้เชิงปฏิบัติการของ DLT และความรู้เท่าทันข้อมูลเชิงเทคนิค ให้เป็นความสามารถเดียวที่ทำงานได้จริง ไม่มีองค์ประกอบใดที่สามารถเอาท์ซอร์สให้ฟังก์ชันอื่นได้ทั้งหมด
สร้างทีมก่อนสร้างคำขอ
คำขออนุญาตสำหรับใบอนุญาต CASP ภายใต้ MiCA คือเอกสารที่บันทึก “สถาบันที่มีอยู่แล้ว” นั่นคือโมเดลความคิดที่แยกบริษัทที่เดินหน้าในกระบวนการได้อย่างมีประสิทธิภาพออกจากบริษัทที่ติดขัด
บริษัทที่ต้องการใบอนุญาตสำหรับการแลกเปลี่ยนคริปโต การขออนุญาตรับฝากทรัพย์สินดิจิทัล หรือใบอนุญาต CASP อื่นใดในยุโรป จำเป็นต้องมองสถาปัตยกรรมทีมเป็นผลส่งมอบแรก ไม่ใช่สิ่งที่ค่อย ๆ ประกอบระหว่างร่างคำขอ
ฟังก์ชันกำกับดูแลต้องเป็นอิสระเชิงโครงสร้างตั้งแต่ก่อนเขียนเอกสารฉบับแรก ต้องประเมินความครอบคลุมความรู้โดยรวมของคณะผู้บริหารและอุดช่องว่างก่อนเริ่มการทบทวนของ NCA การเปิดเผยเวลาที่ทุ่มให้ต้องสมจริงก่อนส่ง
ตรรกะเดียวกันใช้ได้ทั่วโลก บริษัทที่ยื่นขอใบอนุญาต VASP ในเขตอำนาจศาลนอกสหภาพยุโรปกำลังเผชิญมาตรฐานคู่ขนานมากขึ้นเรื่อย ๆ: หน่วยงานกำกับในตะวันออกกลาง เอเชียแปซิฟิก และทวีปอเมริกากำลังมาบรรจบกันที่ข้อกำหนดคล้ายกันซึ่งเน้น “สาระเหนือรูปแบบ” สำหรับการออกแบบฟังก์ชันกำกับดูแล
มาตรฐานของสหภาพยุโรปซึ่งในปัจจุบันมีรายละเอียดและเฉพาะเจาะจงเชิงเทคนิคมากที่สุดที่มีผลบังคับใช้ เป็นบรรทัดฐานที่มีประโยชน์สำหรับทีมใด ๆ ที่กำลังสร้างไปสู่สถานะที่อยู่ภายใต้การกำกับในเขตอำนาจศาลหลักใด ๆ
'เราเป็น DeFi ดังนั้น MiCA จึงไม่มีผลบังคับใช้กับเรา' ขอโทษด้วย แต่ EBA และ ESMA มีมุมมองที่แตกต่างกัน
MiCA ท้าทายข้ออ้างเรื่องความกระจายอำนาจของ DeFi ขณะที่หน่วยงานกำกับดูแลประเมินการควบคุม ธรรมาภิบาล และกฎการปฏิบัติตามข้อกำหนด read more.
อ่านตอนนี้
'เราเป็น DeFi ดังนั้น MiCA จึงไม่มีผลบังคับใช้กับเรา' ขอโทษด้วย แต่ EBA และ ESMA มีมุมมองที่แตกต่างกัน
MiCA ท้าทายข้ออ้างเรื่องความกระจายอำนาจของ DeFi ขณะที่หน่วยงานกำกับดูแลประเมินการควบคุม ธรรมาภิบาล และกฎการปฏิบัติตามข้อกำหนด read more.
อ่านตอนนี้'เราเป็น DeFi ดังนั้น MiCA จึงไม่มีผลบังคับใช้กับเรา' ขอโทษด้วย แต่ EBA และ ESMA มีมุมมองที่แตกต่างกัน
อ่านตอนนี้MiCA ท้าทายข้ออ้างเรื่องความกระจายอำนาจของ DeFi ขณะที่หน่วยงานกำกับดูแลประเมินการควบคุม ธรรมาภิบาล และกฎการปฏิบัติตามข้อกำหนด read more.
บทสรุปสำคัญ
ความเชื่อผิด ๆ: การแต่งตั้งเจ้าหน้าที่กำกับดูแลและ MLRO ทำให้ปฏิบัติตามภาระหน้าที่ด้านการกำกับดูแลของ MiCA ได้ครบถ้วนแล้ว
ความเป็นจริง: MiCA ต้องการ “สิ่งมีชีวิตด้านการกำกับดูแล” ที่ทำงานได้จริง ไม่ใช่รายชื่อตำแหน่งงาน
สามสิ่งที่กำหนดว่าคณะผู้บริหารเป็นไปตามมาตรฐานหรือไม่:
ความครอบคลุมความรู้โดยรวม ทีมในฐานะหน่วยรวมต้องครอบคลุมความเชี่ยวชาญตลาดการเงินแบบดั้งเดิม ความชำนาญด้าน DLT และความมั่นคงปลอดภัยไซเบอร์ และความสามารถด้านธรรมาภิบาลขององค์กร ช่องว่างในโดเมนใดโดเมนหนึ่งคือข้อบกพร่องเชิงโครงสร้าง ไม่ใช่ความชอบของโปรไฟล์
ความเป็นอิสระเชิงโครงสร้างที่จัดทำเป็นเอกสาร ฟังก์ชันการควบคุมภายในแกนหลัก (การกำกับดูแล การประเมินความเสี่ยง และการตรวจสอบภายใน) ต้องมีผู้รับผิดชอบที่ระบุชื่อได้ มีสายการรายงานตรงต่อคณะผู้บริหาร และมีความเป็นอิสระจากสายธุรกิจที่ตนกำกับดูแลซึ่งผ่านการยืนยัน (หมายเหตุ: AML/CFT และความต่อเนื่องทางธุรกิจก็เป็นข้อบังคับเท่าเทียมกัน แต่ถูกจัดเป็นเสาหลักขององค์กรที่แยกต่างหาก) ผังองค์กรที่ให้การกำกับดูแลไหลผ่านฟังก์ชันสร้างรายได้จะไม่ผ่านการตรวจของ NCA
ตัวตนเชิงสถาบันที่แท้จริง เวลาที่ทุ่มให้ต้องเป็นของจริงและจัดทำเป็นเอกสาร การมีตัวตนทางกายภาพในสหภาพยุโรปต้องสะท้อน “น้ำหนัก” ของการตัดสินใจจริง ไม่ใช่เพียงที่อยู่จดทะเบียน นโยบายความต่อเนื่องทางธุรกิจต้องเป็นของคณะผู้บริหาร การรายงานข้อมูลต้องเป็นไปตามมาตรฐาน DTI และ ISO 20022 ตั้งแต่วันแรก
คำขอใบอนุญาต CASP คือผลลัพธ์ สถาปัตยกรรมด้านการกำกับดูแลคือรากฐาน จงสร้างรากฐานก่อน
บทความนี้อ้างอิงจาก การศึกษา ที่ดำเนินการโดย LegalBison ในเดือนเมษายน 2026 เนื้อหานี้มีไว้เพื่อให้ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำทางกฎหมาย
