ผังองค์กรที่มีชื่อตำแหน่งงานถูกต้องจะไม่ได้ทำให้คุณได้รับใบอนุญาต สิ่งที่หน่วยงานกำกับดูแลมองหาคือสถาปัตยกรรมด้านการปฏิบัติตามกฎเกณฑ์: ความเป็นอิสระที่จัดทำเป็นเอกสาร ความเชี่ยวชาญแบบรวมหมู่ครอบคลุมสามโดเมนความรู้ที่แยกจากกัน และความมีตัวตนเชิงสถาบันอย่างแท้จริง นี่คือวิธีที่มาตรฐานนั้นทำงานในทางปฏิบัติ
MiCA ถอดรหัส: ทำไมหน่วยงานกำกับดูแลจึงมองทีมกำกับการปฏิบัติตามของคุณเป็นสมองเดียวกัน
เขียนโดย
แชร์
MiCA Decoded เป็นซีรีส์รายสัปดาห์จำนวน 12 บทความสำหรับ Bitcoin.com News เขียนร่วมโดยกรรมการผู้ร่วมก่อตั้งและกรรมการผู้จัดการของ LegalBison: Aaron Glauberman, Viktor Juskin และ Sabir Alijev โดย LegalBison ให้คำปรึกษาแก่บริษัทคริปโตและฟินเทคเกี่ยวกับการขอใบอนุญาตภายใต้ MiCA การยื่นคำขอ CASP และ VASP และการวางโครงสร้างด้านกำกับดูแลทั่วทวีปยุโรปและนอกยุโรป
ความเชื่อผิด ๆ: เอาท์ซอร์สเจ้าหน้าที่กำกับดูแลก็พอ
เมื่อผู้ก่อตั้งเริ่มวางแผนสำหรับการขออนุญาตเป็นผู้ให้บริการสินทรัพย์คริปโต (crypto-assets services providers: CASP) บทสนทนามักจะมาถึงจุดเดียวกันเสมอ: “งั้นเราต้องจ้างเจ้าหน้าที่กำกับดูแล (compliance officer) ไหม?”
บางครั้งคำถามนั้นจะมีคำถามต่อ: “แล้วเจ้าหน้าที่รายงานการฟอกเงิน (Money Laundering Reporting Officer: MLRO) ล่ะ? แค่นั้นพอไหม?”
คำตอบของทั้งสองข้อคือใช่ แต่การมองว่าการแต่งตั้งสองตำแหน่งนี้คือเส้นชัย เป็นการตีความผิดที่พบบ่อยที่สุดและส่งผลมากที่สุดต่อสิ่งที่ MiCA ต้องการจริง ๆ จากฟังก์ชันด้านการกำกับดูแล
หน่วยงานกำกับไม่ได้ตรวจเพียงว่าในผังองค์กรมีชื่อตำแหน่งถูกต้องหรือไม่ พวกเขาประเมินว่า “คณะผู้บริหาร” (management body) ในฐานะหน่วยรวม มีสถาปัตยกรรมความรู้ ความเป็นอิสระเชิงโครงสร้าง และความลึกเชิงปฏิบัติการที่จัดทำเป็นเอกสาร เพียงพอสำหรับการดำเนินงานสถาบันการเงินที่อยู่ภายใต้การกำกับหรือไม่ ใบอนุญาต MiCA ไม่ได้ออกให้ “บุคคล” แต่ถูกออกให้ “สิ่งมีชีวิตขององค์กร”
ความแตกต่างนี้เป็นหัวใจว่าทำไมคำขอจำนวนมากในระยะเริ่มต้นจึงหยุดชะงัก หรือจำเป็นต้องแก้ไขครั้งใหญ่ก่อนที่หน่วยงานผู้มีอำนาจระดับชาติ (National Competent Authority: NCA) จะให้การอนุญาต
คำว่า “โดยรวม” ในกฎระเบียบหมายถึงอะไรจริง ๆ
มาตรา 68(1) ของ MiCA ระบุชัดเจนในประเด็นนี้ สมาชิกของคณะผู้บริหารต้องมีความรู้ ทักษะ และประสบการณ์ที่เหมาะสม “ทั้งในรายบุคคลและโดยรวม (collectively)” คำว่า “โดยรวม” คำเดียวนี้ทำงานเชิงกำกับดูแลอย่างมีนัยสำคัญ
แนวทางร่วมของ EBA และ ESMA guidelines ว่าด้วยความเหมาะสมของสมาชิกคณะผู้บริหารและผู้ถือหุ้นสำหรับหน่วยงานภายใต้ MiCA ทำให้กลไกของมาตรฐานนี้ชัดเจน โดยระบุรายการด้านประสบการณ์วิชาชีพเฉพาะที่คณะผู้บริหารต้องมี Eira Järvi ทนายความอาวุโสของ LegalBison ได้สรุปข้อกำหนดเฉพาะไว้ในตารางด้านล่าง
| หมวดหมู่ข้อกำหนด | คำอธิบายโดยละเอียด |
| กฎระเบียบตลาดการเงิน | ความเข้าใจเกี่ยวกับตราสารทางการเงินและตราสารทางการเงินบน DLT รวมถึงข้อกำหนดตามกฎระเบียบภายใต้ SIBA และกฎหมายอื่นที่เกี่ยวข้อง |
| การปฏิบัติตาม AML/CTF | ความรู้เกี่ยวกับข้อกำหนด AML/CTF รวมถึงการระบุความเสี่ยง การประเมิน และกลยุทธ์การบรรเทาความเสี่ยง |
| สินทรัพย์เสมือน (Virtual Assets) | ความรู้เกี่ยวกับประเภทของ VA รวมถึงโทเคนที่อ้างอิงสินทรัพย์และโทเคนเงินอิเล็กทรอนิกส์ และความเสี่ยงที่เกี่ยวข้องกับแต่ละประเภท |
| การคุ้มครองข้อมูล | ความเข้าใจเกี่ยวกับภาระหน้าที่ด้านการคุ้มครองข้อมูลที่เกี่ยวข้องกับการดำเนินงานของบริษัท |
| การบริหารความเสี่ยง | ความเข้าใจเกี่ยวกับหลักการและกระบวนการบริหารความเสี่ยง รวมถึงความเสี่ยงด้านตลาด ด้านเครดิต และด้านสภาพคล่อง |
| ธรรมาภิบาลและการควบคุมภายใน | ความสามารถในการประเมินประสิทธิผลของการจัดวางธรรมาภิบาล กลไกการกำกับดูแล และการควบคุมภายใน |
| ความยืดหยุ่นด้านการปฏิบัติการเชิงดิจิทัล | ความคุ้นเคยกับข้อกำหนดที่เกี่ยวข้องกับความยืดหยุ่นในการปฏิบัติการ |
| ความรู้เชิงกลยุทธ์และการบริหารจัดการ | ประสบการณ์ด้านการวางแผนกลยุทธ์ การพัฒนาธุรกิจ และการนำวัตถุประสงค์ทางธุรกิจไปปฏิบัติ |
| การบริหารบุคคลที่สาม | ความเข้าใจเกี่ยวกับการจัดทำข้อตกลงเอาท์ซอร์ส การบริหารผู้ให้บริการบุคคลที่สาม และข้อกำหนดด้านกำกับดูแลที่เกี่ยวข้อง |
| การสื่อสารและการกำกับดูแล | ความสามารถในการนำเสนอความคิดเห็น อภิปรายกลยุทธ์ และเมื่อเหมาะสม ท้าทายการตัดสินใจของฝ่ายบริหารเพื่อให้เกิดการกำกับดูแลที่มีประสิทธิผล |
| การบัญชีและการตรวจสอบบัญชี | ความสามารถในการตีความข้อมูลทางการเงิน ระบุประเด็นสำคัญ และเข้าใจมาตรฐานการบัญชีและการตรวจสอบบัญชีที่เกี่ยวข้อง |
| ความรู้ด้านกฎหมายและกำกับดูแล | ความคุ้นเคยกับข้อกำหนดทางกฎหมายที่ใช้บังคับกับ VASP รวมถึงการออกและการบริหารจัดการ VA |
เมื่อวิเคราะห์แนวทางของ ESMA จะเห็นชัดว่าโปรไฟล์รวมของคณะผู้บริหารต้องครอบคลุมสามโดเมนความรู้หลักอย่างพิสูจน์ได้ ซึ่งรวมถึงทั้งหมดที่ Eira ระบุไว้:
- ตลาดการเงินแบบดั้งเดิม: กรอบกำกับดูแล ภาระหน้าที่คุ้มครองผู้ลงทุน กฎการประพฤติปฏิบัติในตลาด และมาตรฐานการปฏิบัติงานที่ใช้กับผู้ให้บริการทางการเงินที่ได้รับใบอนุญาต
- โครงสร้างพื้นฐานเทคโนโลยีบัญชีแยกประเภทดิจิทัล (DLT) และความมั่นคงปลอดภัยไซเบอร์: สถาปัตยกรรมบล็อกเชน ความเสี่ยงระดับโปรโตคอล การเปิดรับความเสี่ยงจากสมาร์ตคอนแทรกต์ การสร้างแบบจำลองภัยคุกคามทางไซเบอร์ และช่องโหว่เชิงปฏิบัติการเฉพาะที่เกิดจากการให้บริการแบบออนเชน
- กลยุทธ์ธุรกิจและธรรมาภิบาลขององค์กร: การออกแบบการบริหารความเสี่ยง สถาปัตยกรรมการควบคุมภายใน นโยบายธรรมาภิบาล และความสามารถในการประเมินและทบทวนประสิทธิผลการกำกับดูแลของบริษัทเป็นระยะ
หน่วยงานกำกับไม่ได้คาดหวังให้คนคนเดียวครอบครองทั้งสามโดเมน ความคาดหวังคือ—ซึ่งถูกทำให้เป็นทางการผ่านข้อกำหนดของ ESMA ที่ให้บริษัทส่งการประเมิน “ความเหมาะสมโดยรวม (collective suitability)”—ทีมโดยรวมต้องครอบคลุมทั้งหมดโดยไม่มีช่องว่างที่มีนัยสำคัญ
คณะผู้บริหารที่มาจากพื้นฐานการเงินดั้งเดิมทั้งหมด โดยไม่มีใครสามารถประเมินความเสี่ยงโครงสร้างพื้นฐาน DLT ได้ จะถือว่าโครงสร้างไม่สมบูรณ์ตั้งแต่ก่อนยื่นคำขอ
ในทางกลับกันก็เช่นกัน: ทีมคริปโตเนทีฟที่มีความลึกด้านเทคนิค แต่ไม่มีใครเข้าใจกฎการประพฤติปฏิบัติในตลาดการเงินที่อยู่ภายใต้การกำกับ จะถูกตรวจเข้มไม่ต่างกัน
ปัญหาเรื่องเวลาที่ไม่มีใครพูดถึง
ยังมีอีกชั้นหนึ่งของมาตรฐานความเหมาะสมโดยรวมที่ทำให้ผู้ยื่นคำขอหลายรายตั้งตัวไม่ทัน
คนที่เหมาะสมต้องมีอยู่จริงในทางปฏิบัติ ไม่ใช่แค่บนกระดาษ สมาชิกแต่ละคนของคณะผู้บริหารต้องจัดทำเป็นลายลักษณ์อักษรถึงเวลาขั้นต่ำที่ตนจะทุ่มให้กับบริษัท โดยเฉพาะการประมาณเวลาที่ใช้กับบทบาทดังกล่าว (ทั้งในภาพรวมรายปีและรายเดือน) พร้อมกับคำประกาศอย่างเป็นทางการเกี่ยวกับตำแหน่งกรรมการบริหารและไม่บริหารทั้งหมดที่ดำรงอยู่ในปัจจุบัน
ร่าง มาตรฐานทางเทคนิคเชิงกำกับดูแล (RTS) ของ ESMA ว่าด้วยการอนุญาต (ซึ่งอิงจากแพ็กเกจการปรึกษาหารือชุดแรก) ระบุชัดในเรื่องนี้ การประเมินครอบคลุมว่าบุคคลแต่ละคน “อยู่จริง” ในเชิงหน้าที่ ไม่ใช่เพียงถูกระบุชื่อไว้ตามนาม
กรรมการไม่บริหารที่นั่งบอร์ดอีกสี่แห่ง และมีความสัมพันธ์ที่ปรึกษาด้านการกำกับดูแลกับอีกสองบริษัท จะถูกตรวจสอบโดยตรง NCA ต้องมั่นใจว่าคณะผู้บริหารสามารถปฏิบัติหน้าที่ได้จริง ไม่ใช่แค่มีชื่อที่ถูกต้องปรากฏในคำขอ
เรื่องนี้สำคัญอย่างยิ่งสำหรับบริษัทคริปโตระยะเริ่มต้นที่ดึงบุคลากรกำกับดูแลที่มีประสบการณ์เข้ามาแบบพาร์ตไทม์หรือที่ปรึกษาเพื่อเสริมความแข็งแรงของคำขออนุญาต หน่วยงานกำกับจะเห็นอย่างชัดเจนว่าบุคคลนั้นให้เวลากี่ชั่วโมงต่อเดือน และจะเทียบตัวเลขนั้นกับขอบเขตบทบาทและบริการที่บริษัทตั้งใจจะให้
ความไม่สอดคล้องระหว่างความรับผิดชอบกับเวลาที่ทุ่มให้ เป็นสัญญาณเตือน ไม่ใช่เรื่องเล็กน้อยทางเทคนิค
ฟังก์ชันการควบคุมภายใน: โครงสร้างสำคัญกว่าตำแหน่ง
การเข้าใจความเหมาะสมโดยรวมในระดับคณะผู้บริหารเป็นเพียงส่วนหนึ่งของภาพรวม มาตรา 68(4) ของ MiCA กำหนดให้ CASP ต้องใช้นโยบายและขั้นตอนที่ “มีประสิทธิผลเพียงพอเพื่อให้มั่นใจถึงการปฏิบัติตามกฎ” มาตรา 68(5) กำหนดให้มีบุคลากรที่มีความรู้เหมาะสมในทุกระดับของบริษัท มาตรา 68(6) กำหนดให้คณะผู้บริหารทบทวนประสิทธิผลของการจัดวางดังกล่าวเป็นระยะ และแก้ไขข้อบกพร่องที่พบ
ร่าง RTS ของ ESMA ทำให้เข้มขึ้นไปอีก โดยกำหนดให้บริษัทระบุฟังก์ชันการควบคุมภายในที่เฉพาะเจาะจง และจัดทำเอกสารสำหรับแต่ละฟังก์ชันว่า:
- สายการรายงานเชื่อมตรงไปยังคณะผู้บริหาร
- ฟังก์ชันดำเนินงานอย่างเป็นอิสระจากสายธุรกิจที่ตนกำกับดูแลอย่างไร
- ฟังก์ชันสามารถเข้าถึงคณะผู้บริหารได้ทั้งแบบตามกำหนดเวลา และแบบฉุกเฉิน (ad hoc) เมื่อพบความเสี่ยงด้านการปฏิบัติตามกฎที่มีนัยสำคัญอย่างไร
สามด้านหน้าที่ที่เป็นแกนของกรอบการควบคุมภายในนี้คือ:
- ฟังก์ชันการกำกับดูแล (ภาระหน้าที่ด้านกฎระเบียบ นโยบายการประพฤติปฏิบัติ ขั้นตอนภายใน)
- ฟังก์ชันการประเมินความเสี่ยง (การระบุความเสี่ยง ระเบียบวิธีการประเมิน โปรโตคอลการยกระดับ)
- ฟังก์ชันตรวจสอบภายใน (การทบทวนประสิทธิผลอย่างอิสระ การประเมินเป็นระยะ)
หมายเหตุ: ฟังก์ชัน AML/CFT และฟังก์ชันความต่อเนื่องทางธุรกิจ (Business Continuity) ก็เป็นเสาหลักบังคับของคำขออนุญาตเช่นกัน แต่ ESMA ปฏิบัติต่อสองส่วนนี้เป็นข้อกำหนดด้านองค์กรที่แยกต่างหากควบคู่กับกรอบการควบคุมภายในแกนหลักนี้
MiCA ไม่ได้กำหนดป้ายกำกับเหล่านี้อย่างแม่นยำเสมอไปในตัวบทระดับ 1 แต่ RTS ของ ESMA ทำให้ชัดว่าพื้นที่การควบคุมภายในแกนหลักเหล่านี้ต้องมีผู้รับผิดชอบที่ระบุชื่อได้ มีขอบเขตความรับผิดชอบที่จัดทำเป็นเอกสาร และมีความเป็นอิสระเชิงโครงสร้างที่ผ่านการยืนยัน
ประเด็นสุดท้ายนี่เองที่ทำให้คำขอจำนวนมากเผยให้เห็นข้อบกพร่องเชิงโครงสร้าง
ฟังก์ชันกำกับดูแลที่รายงานต่อประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ (COO) ซึ่งดูแลรายได้และการพัฒนาธุรกิจด้วย ไม่เป็นอิสระในความหมายเชิงกำกับดูแล ฟังก์ชันความเสี่ยงที่ฝังอยู่ในโต๊ะเทรดและรายงานขึ้นไปตามสายเดียวกับโต๊ะที่มันควรตรวจสอบ ก็ไม่ผ่านมาตรฐานเช่นกัน
หน่วยงานกำกับจะขอผังองค์กร จากนั้นจะถามว่าในทางปฏิบัติหัวหน้ากำกับดูแลรายงานต่อใคร บุคคลนั้นมีหน้าที่อื่นอะไรอีก และมีสิทธิในการยกระดับเรื่องเมื่อพบความเสี่ยงด้านการปฏิบัติตามกฎที่ร้ายแรงอย่างไร
การสร้างคำขอใบอนุญาต CASP บนโครงสร้างความเป็นอิสระที่แท้จริง ต้องออกแบบสถาปัตยกรรมก่อนร่างคำขอ ไม่ใช่มาปรับใส่ทีหลัง
ตัวตนทางกายภาพ: ปัญหากรรมการตัวแทน (Nominee Director)
คำขออนุญาตต้องจัดทำเอกสารถึงสถานที่ที่เป็น “ศูนย์กลางการบริหารจัดการที่มีประสิทธิผล” ภายในสหภาพยุโรป ซึ่งหมายถึงที่อยู่สำนักงานใหญ่ ที่ตั้งสาขา (หากเกี่ยวข้อง) และภูมิศาสตร์การตัดสินใจที่แท้จริงของบริษัท
- ต้องมีกรรมการอย่างน้อยหนึ่งคนที่ใช้อำนาจจริงอาศัยอยู่ภายในสหภาพ และสามารถติดต่อได้โดย NCA ของรัฐสมาชิกที่เป็นประเทศบ้าน (home member state)
- ที่อยู่จดทะเบียนในเขตอำนาจศาลของสหภาพยุโรปที่รองรับด้วยโครงสร้างกรรมการตัวแทน ไม่เป็นไปตามมาตรฐานนี้
- ข้อกำหนดด้าน substance หมายความว่า “น้ำหนัก” ของการตัดสินใจโดยมนุษย์ต้องอยู่ภายในสหภาพจริง ๆ
NCA ประเมินเรื่องนี้ผ่านช่องข้อมูลที่ตั้งในคำขอ RTS และผ่านการเปิดเผยเวลาที่ทุ่มให้ของสมาชิกคณะผู้บริหารแต่ละราย
กรรมการที่อยู่ในสหภาพยุโรปทางกายภาพเพียงสองสัปดาห์ต่อไตรมาส ไม่ถือว่าเป็นกรรมการประจำถิ่นในความหมายเชิงกำกับดูแลอย่างมีนัยสำคัญ
ประเด็นนี้สำคัญเป็นพิเศษสำหรับบริษัทที่ดำเนินงานจากสำนักงานใหญ่ทั่วโลกนอกสหภาพยุโรปและกำลังมุ่งสู่ใบอนุญาตคริปโตในยุโรป หน่วยงานในสหภาพยุโรปต้องทำหน้าที่เป็นหน่วยตัดสินใจจริง ไม่ใช่เป็นฉากหน้าทางธุรการให้โครงสร้างกลุ่มบริษัทที่บริหารจากที่อื่น
ความต่อเนื่องทางธุรกิจเป็นเรื่องของทีมกำกับดูแล
ความต่อเนื่องทางธุรกิจมักถูกมองว่าเป็นความรับผิดชอบของฝ่ายไอที ภายใต้ MiCA และกฎหมายว่าด้วยความยืดหยุ่นด้านการปฏิบัติการเชิงดิจิทัล (DORA) กรอบคิดนั้นไม่ถูกต้องสำหรับ CASP ที่ได้รับอนุญาตใด ๆ
นโยบายความต่อเนื่องทางธุรกิจต้องเป็นของคณะผู้บริหาร ต้องได้รับการอนุมัติ และต้องถูกบำรุงรักษาโดยคณะผู้บริหาร DORA (Regulation EU 2022/2554) กำกับองค์ประกอบเฉพาะด้านเทคโนโลยีสารสนเทศและการสื่อสาร และ CASP อยู่ในขอบเขตของ DORA ในฐานะหน่วยงานการเงิน กรอบทั้งสองทำงานพร้อมกัน และฟังก์ชันกำกับดูแลต้องสามารถนำทางทั้งสองพร้อมกันได้
เอกสารปรึกษาหารือ MiCA ชุดที่สองของ ESMA ได้เพิ่มภาระหน้าที่เฉพาะสำหรับบริษัทที่ดำเนินงานบนเทคโนโลยีบัญชีแยกประเภทแบบไม่ต้องขออนุญาต (permissionless DLT) (บล็อกเชนสาธารณะ เช่น Ethereum): การสื่อสารเชิงรุกและมีโครงสร้างกับลูกค้าในช่วงที่เกิดการหยุดชะงักของบริการระดับ DLT
บริษัทต้องอัปเดตลูกค้าว่าเงินของพวกเขาอยู่ในความเสี่ยงหรือไม่ และให้ภาพที่ชัดเจนว่าการกลับมาให้บริการกำลังถูกบริหารจัดการอย่างไร บริษัทยังคงรับผิดเต็มที่ต่อความเสียหายใด ๆ ที่เกิดจากสมาร์ตคอนแทรกต์ของตนเอง ไม่ว่าบล็อกเชนพื้นฐานจะเป็นแบบ permissionless หรือไม่ก็ตาม
นี่ไม่ใช่นโยบายรับมือระบบไอทีล่มแบบมาตรฐาน การเป็นเจ้าของภาระหน้าที่นี้อย่างมีความหมาย ต้องให้คณะผู้บริหารเข้าใจความเสี่ยงโครงสร้างพื้นฐาน DLT ในระดับที่ลึกกว่าความรู้เชิงเทคนิคทั่วไปมาก
ทีมกำกับดูแลที่อธิบายความเสี่ยงบล็อกเชนได้เพียงภาพรวม จะไม่สามารถร่าง ทบทวน หรือบำรุงรักษานโยบายความต่อเนื่องทางธุรกิจให้ผ่านการตรวจสอบของหน่วยงานกำกับได้
มาตรฐานข้อมูลในฐานะขีดความสามารถด้านการกำกับดูแล
ความรับผิดชอบของฟังก์ชันกำกับดูแลขยายไปถึงสถาปัตยกรรมข้อมูล CASP ที่ดำเนินแพลตฟอร์มการซื้อขายต้องใช้มาตรฐาน Digital Token Identifier (DTI) สำหรับการเก็บบันทึกและการรายงานต่อ NCA ทั้งหมด DTI ระบุตัวตนสินทรัพย์คริปโตแต่ละรายการอย่างเฉพาะเจาะจง และเชื่อมโยงไปยัง DLT เฉพาะที่สินทรัพย์นั้นถูกออก ซื้อขาย หรือชำระราคา ทำให้หน่วยงานกำกับสามารถทำการเฝ้าระวังข้ามพรมแดนด้วยข้อมูลที่สม่ำเสมอและเทียบเคียงกันได้
มาตรฐานการส่งข้อความ ISO 20022 กำกับรูปแบบของข้อมูลธุรกรรมที่ส่งให้หน่วยงาน ข้อมูลความโปร่งใสก่อนและหลังการซื้อขายต้องเปิดเผยผ่านช่องทางสาธารณะที่ไม่เลือกปฏิบัติและอ่านได้โดยเครื่อง เพื่อป้องกันการบิดเบือนตลาด แต่ละข้อกำหนดเหล่านี้มีมิติทางเทคนิคที่ทีมกำกับดูแลต้องเป็นเจ้าของ ไม่ใช่โยนให้ไอทีโดยไม่ไตร่ตรอง
บริษัทที่มองการเก็บบันทึกเป็นงานผู้ดูแลระบบทั่วไป โดยไม่มีการกำกับดูแลด้านการปฏิบัติตามมาตรฐานข้อมูลเฉพาะที่ RTS กำหนด จะประสบปัญหาด้านการกำกับหลังได้รับอนุญาต
มาตรฐานเหล่านี้มีไว้โดยเฉพาะเพื่อให้ NCA สามารถเปรียบเทียบบันทึกของ CASP หลายร้อยรายได้ในการวิเคราะห์ครั้งเดียว บริษัทที่ไม่สามารถผลิตข้อมูลในรูปแบบที่กำหนดได้ คือบริษัทที่ไม่สามารถพิสูจน์การปฏิบัติตามกฎอย่างต่อเนื่องได้
นี่คือความหมายเชิงปฏิบัติของมาตรฐาน “สมองเดียว” ทีมกำกับดูแลบูรณาการการตระหนักรู้ด้านกฎระเบียบ โครงสร้างธรรมาภิบาล ความรู้เชิงปฏิบัติการของ DLT และความรู้เท่าทันข้อมูลเชิงเทคนิค ให้เป็นความสามารถเดียวที่ทำงานได้จริง ไม่มีองค์ประกอบใดที่สามารถเอาท์ซอร์สให้ฟังก์ชันอื่นได้ทั้งหมด
สร้างทีมก่อนสร้างคำขอ
คำขออนุญาตสำหรับใบอนุญาต CASP ภายใต้ MiCA คือเอกสารที่บันทึก “สถาบันที่มีอยู่แล้ว” นั่นคือโมเดลความคิดที่แยกบริษัทที่เดินหน้าในกระบวนการได้อย่างมีประสิทธิภาพออกจากบริษัทที่ติดขัด
บริษัทที่ต้องการใบอนุญาตสำหรับการแลกเปลี่ยนคริปโต การขออนุญาตรับฝากทรัพย์สินดิจิทัล หรือใบอนุญาต CASP อื่นใดในยุโรป จำเป็นต้องมองสถาปัตยกรรมทีมเป็นผลส่งมอบแรก ไม่ใช่สิ่งที่ค่อย ๆ ประกอบระหว่างร่างคำขอ
ฟังก์ชันกำกับดูแลต้องเป็นอิสระเชิงโครงสร้างตั้งแต่ก่อนเขียนเอกสารฉบับแรก ต้องประเมินความครอบคลุมความรู้โดยรวมของคณะผู้บริหารและอุดช่องว่างก่อนเริ่มการทบทวนของ NCA การเปิดเผยเวลาที่ทุ่มให้ต้องสมจริงก่อนส่ง
ตรรกะเดียวกันใช้ได้ทั่วโลก บริษัทที่ยื่นขอใบอนุญาต VASP ในเขตอำนาจศาลนอกสหภาพยุโรปกำลังเผชิญมาตรฐานคู่ขนานมากขึ้นเรื่อย ๆ: หน่วยงานกำกับในตะวันออกกลาง เอเชียแปซิฟิก และทวีปอเมริกากำลังมาบรรจบกันที่ข้อกำหนดคล้ายกันซึ่งเน้น “สาระเหนือรูปแบบ” สำหรับการออกแบบฟังก์ชันกำกับดูแล
มาตรฐานของสหภาพยุโรปซึ่งในปัจจุบันมีรายละเอียดและเฉพาะเจาะจงเชิงเทคนิคมากที่สุดที่มีผลบังคับใช้ เป็นบรรทัดฐานที่มีประโยชน์สำหรับทีมใด ๆ ที่กำลังสร้างไปสู่สถานะที่อยู่ภายใต้การกำกับในเขตอำนาจศาลหลักใด ๆ
บทสรุปสำคัญ
ความเชื่อผิด ๆ: การแต่งตั้งเจ้าหน้าที่กำกับดูแลและ MLRO ทำให้ปฏิบัติตามภาระหน้าที่ด้านการกำกับดูแลของ MiCA ได้ครบถ้วนแล้ว
ความเป็นจริง: MiCA ต้องการ “สิ่งมีชีวิตด้านการกำกับดูแล” ที่ทำงานได้จริง ไม่ใช่รายชื่อตำแหน่งงาน
สามสิ่งที่กำหนดว่าคณะผู้บริหารเป็นไปตามมาตรฐานหรือไม่:
ความครอบคลุมความรู้โดยรวม ทีมในฐานะหน่วยรวมต้องครอบคลุมความเชี่ยวชาญตลาดการเงินแบบดั้งเดิม ความชำนาญด้าน DLT และความมั่นคงปลอดภัยไซเบอร์ และความสามารถด้านธรรมาภิบาลขององค์กร ช่องว่างในโดเมนใดโดเมนหนึ่งคือข้อบกพร่องเชิงโครงสร้าง ไม่ใช่ความชอบของโปรไฟล์
ความเป็นอิสระเชิงโครงสร้างที่จัดทำเป็นเอกสาร ฟังก์ชันการควบคุมภายในแกนหลัก (การกำกับดูแล การประเมินความเสี่ยง และการตรวจสอบภายใน) ต้องมีผู้รับผิดชอบที่ระบุชื่อได้ มีสายการรายงานตรงต่อคณะผู้บริหาร และมีความเป็นอิสระจากสายธุรกิจที่ตนกำกับดูแลซึ่งผ่านการยืนยัน (หมายเหตุ: AML/CFT และความต่อเนื่องทางธุรกิจก็เป็นข้อบังคับเท่าเทียมกัน แต่ถูกจัดเป็นเสาหลักขององค์กรที่แยกต่างหาก) ผังองค์กรที่ให้การกำกับดูแลไหลผ่านฟังก์ชันสร้างรายได้จะไม่ผ่านการตรวจของ NCA
ตัวตนเชิงสถาบันที่แท้จริง เวลาที่ทุ่มให้ต้องเป็นของจริงและจัดทำเป็นเอกสาร การมีตัวตนทางกายภาพในสหภาพยุโรปต้องสะท้อน “น้ำหนัก” ของการตัดสินใจจริง ไม่ใช่เพียงที่อยู่จดทะเบียน นโยบายความต่อเนื่องทางธุรกิจต้องเป็นของคณะผู้บริหาร การรายงานข้อมูลต้องเป็นไปตามมาตรฐาน DTI และ ISO 20022 ตั้งแต่วันแรก
คำขอใบอนุญาต CASP คือผลลัพธ์ สถาปัตยกรรมด้านการกำกับดูแลคือรากฐาน จงสร้างรากฐานก่อน
บทความนี้อ้างอิงจาก การศึกษา ที่ดำเนินการโดย LegalBison ในเดือนเมษายน 2026 เนื้อหานี้มีไว้เพื่อให้ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำทางกฎหมาย
