Ang organigrama na may tamang mga titulo ng trabaho ay hindi magpapalisen sa iyo. Ang hinahanap ng regulator ay isang compliance architecture: nakadokumentong independensiya, kolektibong kadalubhasaan sa tatlong magkakahiwalay na larangan ng kaalaman, at tunay na institusyonal na substansiya. Ganito gumagana ang pamantayang iyon sa aktuwal na praktika.
MiCA Na-decode: Bakit Tinitingnan ng Regulator ang Iyong Compliance Team bilang Isang Utak
ISINULAT NI
IBAHAGI
Ang MiCA Decoded ay isang 12-artikulong lingguhang serye para sa Bitcoin.com News, na isinulat kasama ng LegalBison’s mga Co-Founding at Managing Director: Aaron Glauberman, Viktor Juskin at Sabir Alijev. Nagbibigay ang LegalBison ng payo sa mga crypto at FinTech na kumpanya tungkol sa MiCA licensing, mga aplikasyon sa CASP at VASP, at regulatory structuring sa buong Europa at higit pa.
Ang Mito: Sapat Na ang Pag-outsource ng Compliance Officer
Kapag nagsisimula ang mga founder na magplano para sa authorization ng mga crypto-assets services providers (CASP), halos palaging dumarating ang usapan sa iisang punto: “Kailangan ba nating mag-hire ng compliance officer?”
Minsan may kasunod na tanong: “At isang Money Laundering Reporting Officer (MLRO)? Iyon na ba iyon?”
Ang sagot sa pareho ay oo. Ngunit ang pagtrato sa dalawang appointment na iyon bilang finish line ang pinakakaraniwan at pinakamabigat na maling pagbasa sa kung ano ang talagang hinihingi ng MiCA mula sa isang compliance function.
Hindi tinitingnan ng mga regulator kung may tamang mga titulo ng trabaho ang org chart. Sinusuri nila kung ang management body, bilang isang buo, ay may knowledge architecture, structural independence, at nakadokumentong operational depth upang patakbuhin ang isang regulated na institusyong pinansyal. Ang MiCA license ay hindi ibinibigay sa isang tao. Ibinibigay ito sa isang organismo.
Ang pagkakaibang ito ang nasa puso kung bakit napakaraming early-stage na aplikasyon ang natitigil o nangangailangan ng malaking rework bago magbigay ng authorization ang isang National Competent Authority (NCA).
Ano Talaga ang Ibig Sabihin ng “Collectively” sa Regulasyon
Tiyak ang Article 68(1) ng MiCA sa puntong ito. Ang mga miyembro ng management body ay dapat may angkop na kaalaman, kasanayan, at karanasan “kapwa indibidwal at kolektibo”. Ang iisang salitang iyon, “collectively,” ay gumagawa ng makabuluhang gawaing regulatori.
Ang pinagsamang EBA at mga alituntunin ng ESMA tungkol sa suitability ng mga miyembro ng management body at mga shareholder para sa mga entity sa ilalim ng MiCA ay ginagawang malinaw ang mekanika ng pamantayang iyon sa pamamagitan ng paglista ng mga tiyak na larangan ng propesyonal na karanasan na dapat taglayin ng management body. Inilahad ni Eira Järvi, Senior Lawyer sa LegalBison, ang mga tiyak na kinakailangan sa talahanayan sa ibaba.
| Kategorya ng Kinakailangan | Detalyadong Paglalarawan |
| Regulasyon ng Mga Pamilihang Pinansyal | Pag-unawa sa mga financial instrument at mga DLT financial instrument, kabilang ang mga regulatory requirement sa ilalim ng SIBA at iba pang naaangkop na batas |
| Pagsunod sa AML/CTF | Kaalaman sa mga requirement ng AML/CTF, kabilang ang pagtukoy ng risk, pagtatasa, at mga estratehiya sa pagmitiga |
| Virtual Assets | Kaalaman sa mga uri ng VA, kabilang ang asset-referenced at e-money token, at ang mga risk na kaugnay ng bawat isa |
| Proteksyon sa Datos | Pag-unawa sa mga obligasyon sa proteksyon ng datos na may kaugnayan sa operasyon ng Kumpanya |
| Pamamahala ng Panganib | Pag-unawa sa mga prinsipyo at pamamaraan ng pamamahala ng panganib, kabilang ang market, credit, at liquidity risk |
| Governance at Internal Controls | Kakayahang tasahin ang bisa ng mga governance arrangement, mekanismo ng oversight, at mga internal control |
| Digital Operational Resilience | Pagiging pamilyar sa mga requirement na may kaugnayan sa operational resilience |
| Estratehikong at Managerial na Kaalaman | Karanasan sa strategic planning, business development at pagpapatupad ng mga layunin sa negosyo |
| Pamamahala ng Third-Party | Pag-unawa sa mga outsourcing arrangement, pamamahala ng third-party provider, at kaugnay na mga regulatory requirement |
| Komunikasyon at Oversight | Kakayahang maglahad ng pananaw, talakayin ang mga estratehiya, at kung naaangkop, hamunin ang mga desisyon ng management upang matiyak ang epektibong oversight |
| Accounting at Auditing | Kakayahang bigyang-kahulugan ang impormasyong pinansyal, tukuyin ang mahahalagang isyu, at unawain ang mga kaugnay na pamantayan sa accounting at auditing |
| Legal at Regulatory na Kaalaman | Pagiging pamilyar sa mga legal na requirement na naaangkop sa mga VASP, kabilang ang pag-isyu at pamamahala ng mga VA |
Kapag sinuri mo ang mga alituntunin ng ESMA, nagiging malinaw na ang pinagsamang profile ng management body ay dapat mapatunayang sumasaklaw sa tatlong pangunahing larangan ng kaalaman, na kinabibilangan ng lahat ng detalyadong inilista ni Eira:
- Tradisyunal na pamilihang pinansyal: Mga regulatory framework, obligasyon sa proteksyon ng mamumuhunan, mga tuntunin sa market conduct, at mga operational standard na naaangkop sa mga lisensiyadong tagapagbigay ng serbisyong pinansyal.
- Digital Ledger Technology (DLT) infrastructure at cybersecurity: Arkitektura ng blockchain, risk sa antas ng protocol, exposure sa smart contract, cybersecurity threat modelling, at ang mga tiyak na operational vulnerability na nagmumula sa on-chain na paghahatid ng serbisyo.
- Diskarte sa negosyo at organizational governance: Disenyo ng risk management, arkitektura ng internal control, patakaran sa governance, at kakayahang tasahin at pana-panahong repasuhin ang bisa ng compliance ng kumpanya.
Hindi inaasahan ng regulator na iisang tao ang may hawak ng lahat ng tatlong larangan. Ang inaasahan, na pormal na itinakda ng requirement ng ESMA na magsumite ang mga kumpanya ng pagtatasa ng kanilang “collective suitability”, ay na ang team, kapag pinagsama, ay sumasaklaw sa lahat ng ito nang walang makabuluhang puwang.
Ang isang management body na puro mula sa tradisyunal na finance ang pinanggalingan, na walang sinumang kayang magsuri ng DLT infrastructure risk, ay structurally kulang bago pa maisumite ang aplikasyon.
Ganoon din ang kabaligtaran: ang isang technically deep na crypto-native team na walang sinumang nakakaunawa ng market conduct sa regulated na pamilihang pinansyal ay haharap sa parehong pagsusuri.
Ang Problema sa Time Commitment na Walang Nagsasalita Tungkol Dito
May ikalawang antas ang collective suitability standard na ikinagugulat ng mga aplikante.
Dapat umiiral ang mga tamang tao sa aktuwal na praktika, hindi lang sa papel. Ang bawat miyembro ng management body ay dapat magdokumento, sa pamamagitan ng sulat, ng kanilang minimum na time commitment sa kumpanya: partikular, isang pagtatantiya ng oras na inilalaan sa tungkulin (na may parehong taunang at buwanang indikasyon), kasama ang isang pormal na deklarasyon ng lahat ng iba pang executive at non-executive directorship na kasalukuyang hawak.
Tahasang nakasaad dito ang draft regulatory technical standards ng ESMA tungkol sa authorization (na hinango mula sa unang consultation package). Saklaw ng pagtatasa kung ang bawat tao ay functionally present, hindi lang nominal na nakalista.
Ang isang non-executive na may apat pang iba pang board seat at isang compliance advisory relationship sa dalawa pang kumpanya ay masusing sisiyasatin. Kailangang masiyahan ang NCA na ang management body ay talagang kayang gampanan ang mga tungkulin nito, hindi lang na lumilitaw ang tamang mga pangalan sa aplikasyon.
Pinakamahalaga ito para sa mga early-stage na crypto firm na kumukuha ng mga may karanasang compliance figure sa part-time o advisory na kapasidad upang palakasin ang isang authorization application. Makikita ng regulator kung ilang oras bawat buwan ang inilalaan ng taong iyon, at ikukumpara nila ang numerong iyon sa saklaw ng tungkulin at sa mga serbisyong nilalayong ibigay ng kumpanya.
Ang hindi tugma sa pagitan ng responsibilidad at time commitment ay isang pulang bandila, hindi isang teknikalidad.
Ang Mga Internal Control Function: Istruktura Higit sa Mga Titulo
Ang pag-unawa sa collective suitability sa antas ng management body ay bahagi lamang ng larawan. Inaatasan ng MiCA Article 68(4) ang mga CASP na magpatupad ng mga patakaran at pamamaraan na “sapat na epektibo upang matiyak ang pagsunod.” Inaatasan ng Article 68(5) ang pagkakaroon ng mga tauhan na may angkop na kaalaman sa bawat antas ng kumpanya. Inaatasan ng Article 68(6) ang management body na pana-panahong repasuhin ang bisa ng mga ayos na iyon at tugunan ang anumang kakulangan na matutuklasan.
Mas pinalalalim pa ito ng draft RTS ng ESMA. Inaatasan nila ang mga kumpanya na tukuyin ang mga tiyak na internal control function at idokumento, para sa bawat isa:
- Ang linya ng pag-uulat ay tumatakbo nang direkta sa management body.
- Paano gumagana ang function nang independent mula sa business area na binabantayan nito.
- Paano maa-access ng function ang management body sa naka-iskedyul na batayan at sa emergency (ad hoc) na batayan kapag may natukoy na malaking compliance risk.
Ang tatlong functional area na bumubuo sa sentro ng internal control framework na ito ay:
- Ang compliance function (mga regulatory obligation, patakaran sa conduct, mga internal procedure).
- Ang risk assessment function (pagtukoy ng risk, metodolohiya ng pagtatasa, mga escalation protocol).
- Ang internal audit function (independent na pagrepaso sa bisa, pana-panahong pagtatasa).
Tandaan: Ang AML/CFT function at ang Business Continuity function ay mga mandatoryong haligi rin ng authorization application, ngunit itinuturing sila ng ESMA bilang magkakahiwalay na organizational requirement kasabay ng core internal control framework na ito.
Hindi palaging itinalaga ng MiCA ang eksaktong mga label na ito sa Level 1 text. Nililinaw ng ESMA RTS na ang mga core internal control area na ito ay dapat may mga pinangalanang may-ari, nakadokumentong saklaw ng responsibilidad, at nabe-verify na structural independence.
Ang huling puntong iyon ang nagpapakita ng structural flaw sa maraming aplikasyon.
Ang compliance function na nag-uulat sa Chief Operating Officer, na siya ring namamahala sa revenue at business development, ay hindi independent sa regulatory na kahulugan. Ang risk function na nakabaon sa loob ng trading desk, na nag-uulat paakyat sa parehong chain gaya ng desk na dapat nitong bantayan, ay hindi rin pumapasa sa pamantayan.
Hihingin ng regulator ang organizational chart. Pagkatapos ay tatanungin nila kung kanino nag-uulat sa praktika ang compliance head, ano ang iba pang responsibilidad ng taong iyon, at ano ang escalation rights na hawak nila kapag natukoy ang isang seryosong compliance risk.
Ang pagbuo ng CASP license application na nakabatay sa tunay na independence structure ay nangangailangan na ang arkitektura ay idinisenyo bago pa isulat ang aplikasyon, hindi inaangkop na lang pagkatapos.
Physical Substance: Ang Problema sa Nominee Director
Dapat idokumento ng authorization application ang isang pisikal na lugar ng epektibong pamamahala sa loob ng EU. Ibig sabihin nito ang address ng head office, mga lokasyon ng branch kung naaangkop, at ang tunay na heograpiya ng pagdedesisyon ng kumpanya.
- Hindi bababa sa isang direktor na nagsasagawa ng tunay na awtoridad ang dapat residente sa loob ng Union at maaabot ng NCA ng home member state.
- Ang rehistradong address sa isang EU jurisdiction na sinusuportahan ng nominee director arrangement ay hindi tumutugon sa pamantayang ito.
- Ang substance requirement ay nangangahulugang ang bigat ng pagdedesisyon ng tao ay dapat talagang nasa loob ng Union.
Sinusuri ito ng mga NCA sa pamamagitan ng mga field ng lokasyon sa RTS application at sa pamamagitan ng mga time-commitment disclosure ng bawat miyembro ng management body.
Ang isang direktor na pisikal na nasa EU nang dalawang linggo bawat quarter ay hindi kwalipikado bilang resident director sa anumang makabuluhang regulatory na kahulugan.
Ito ay puntong partikular na mahalaga para sa mga kumpanyang nagpapatakbo mula sa global headquarters sa labas ng EU na nagtatayo tungo sa isang crypto license sa Europa. Ang EU-based entity ay dapat gumana bilang isang tunay na unit ng pagdedesisyon, hindi bilang isang administratibong harapan para sa group structure na pinapatakbo mula sa iba.
Ang Business Continuity ay Dapat Nasa Compliance Team
Karaniwang itinuturing ang business continuity bilang responsibilidad ng IT. Sa ilalim ng MiCA at ng Digital Operational Resilience Act (DORA), mali ang ganitong pag-frame para sa anumang authorized na CASP.
Ang Business Continuity Policy ay dapat pag-aari, aprubahan, at panatilihin ng management body. Ang DORA (Regulation EU 2022/2554) ang namamahala sa mga elementong tiyak sa information and communications technology, at ang mga CASP ay sakop ng DORA bilang mga financial entity. Magkasabay na gumagana ang dalawang framework, at ang compliance function ay dapat may kakayahang i-navigate ang dalawa nang sabay.
Ipinakilala ng ikalawang MiCA consultation paper ng ESMA ang isang tiyak na obligasyon para sa mga kumpanyang nagpapatakbo sa permissionless distributed ledger technology (mga public blockchain tulad ng Ethereum): proaktibo, nakabalangkas na komunikasyon sa mga kliyente sa panahon ng anumang DLT-level na pagkaantala ng serbisyo.
Dapat i-update ng kumpanya ang mga kliyente kung nasa panganib ang kanilang mga pondo at magbigay ng malinaw na larawan kung paano pinamamahalaan ang pagpapatuloy ng serbisyo. Nanatiling ganap na mananagot ang kumpanya para sa anumang pagkalugi na nagmumula sa sarili nitong mga smart contract, anuman kung permissionless ang underlying blockchain.
Hindi ito karaniwang patakaran para sa IT outage. Ang makabuluhang pag-angkin ng obligasyong ito ay nangangailangan na maunawaan ng management body ang DLT infrastructure risk sa antas na lampas pa sa pangkalahatang technical awareness.
Ang compliance team na kaya lamang ilarawan ang blockchain risk sa pangkalahatang mga termino ay hindi makakagawa, makakarepaso, o makakapagpanatili ng business continuity policy na pumapasa sa regulatory scrutiny.
Mga Pamantayan sa Datos bilang Kakayahang Compliance
Umaabot ang mga responsibilidad ng compliance function hanggang sa data architecture. Ang mga CASP na nagpapatakbo ng mga trading platform ay dapat gumamit ng Digital Token Identifier (DTI) na pamantayan para sa lahat ng record-keeping at pag-uulat sa mga NCA. Natatanging kinikilala ng DTI ang bawat crypto-asset at iniuugnay ito sa tiyak na DLT kung saan ito iniisyu, itinitrade, o isinasara (settled). Pinapahintulutan nito ang mga regulator na magsagawa ng cross-border surveillance gamit ang pare-pareho at maihahambing na data.
Ang mga ISO 20022 messaging standard ang namamahala sa format ng transactional data na isinusumite sa mga awtoridad. Ang pre- at post-trade transparency data ay dapat ihayag sa pamamagitan ng di-diskriminatibo, machine-readable na pampublikong mga channel upang maiwasan ang market abuse. Ang bawat isa sa mga requirement na ito ay may teknikal na dimensyon na dapat angkinin ng compliance team, hindi basta ipasa nang bulag sa IT.
Ang isang kumpanyang tinatrato ang record-keeping bilang pangkalahatang system administration na gawain, nang walang compliance oversight sa mga tiyak na data standard na hinihingi ng RTS, ay haharap sa mga problemang pang-superbisor pagkatapos ng authorization.
Umiiral ang mga pamantayan upang maikumpara ng mga NCA ang mga record sa daan-daang CASP sa iisang pagsusuri. Ang kumpanyang hindi makapaglalabas ng data sa kinakailangang format ay kumpanyang hindi makapagpapakita ng tuloy-tuloy na pagsunod.
Ito ang praktikal na kahulugan ng pamantayang “single brain”. Pinagsasama ng compliance team ang regulatory awareness, governance structure, DLT operational knowledge, at technical data literacy bilang isang iisang gumaganang kakayahan. Wala sa mga elementong iyon ang maaaring ganap na i-outsource sa ibang function.
Pagbuo ng Team Bago Pagbuo ng Aplikasyon
Ang authorization application para sa isang CASP MiCA license ay nagdodokumento ng isang institusyong umiiral na. Iyan ang mental model na naghihiwalay sa mga kumpanyang mabilis na umuusad sa proseso mula sa mga natitigil.
Ang mga kumpanyang naghahabol ng crypto exchange licensing, digital asset custody authorization, o anumang iba pang CASP license sa Europa ay kailangang lapitan ang team architecture bilang unang deliverable, hindi bilang isang bagay na nabubuo habang isinusulat ang aplikasyon.
Ang compliance function ay dapat structurally independent bago pa maisulat ang unang dokumento. Ang collective knowledge coverage ng management body ay dapat masuri at anumang puwang ay matugunan bago magsimula ang NCA review. Ang mga time commitment disclosure ay dapat makatotohanan bago isumite.
Pareho ang lohika sa buong mundo. Ang mga kumpanyang nag-aaplay para sa VASP license sa mga hurisdiksiyon sa labas ng EU ay lalo nang nakakaharap ng magkakatulad na pamantayan: ang mga regulator sa Middle East, Asia-Pacific, at Americas ay nagko-converge sa mga katulad na substance-over-form requirement para sa disenyo ng compliance function.
Ang pamantayan ng EU, na siyang pinaka-detalyado at pinaka-teknikal na espesipiko na kasalukuyang umiiral, ay isang kapaki-pakinabang na benchmark para sa anumang team na nagtatayo tungo sa regulated status sa anumang pangunahing hurisdiksiyon.
'Kami ay DeFi, kaya hindi naaangkop sa amin ang MiCA.' Paumanhin, ngunit may ibang pananaw ang EBA at ESMA
Hinahamon ng MiCA ang mga pahayag ng DeFi tungkol sa desentralisasyon habang sinusuri ng mga regulator ang kontrol, pamamahala, at mga tuntunin sa pagsunod. read more.
Basahin ngayon
'Kami ay DeFi, kaya hindi naaangkop sa amin ang MiCA.' Paumanhin, ngunit may ibang pananaw ang EBA at ESMA
Hinahamon ng MiCA ang mga pahayag ng DeFi tungkol sa desentralisasyon habang sinusuri ng mga regulator ang kontrol, pamamahala, at mga tuntunin sa pagsunod. read more.
Basahin ngayon'Kami ay DeFi, kaya hindi naaangkop sa amin ang MiCA.' Paumanhin, ngunit may ibang pananaw ang EBA at ESMA
Basahin ngayonHinahamon ng MiCA ang mga pahayag ng DeFi tungkol sa desentralisasyon habang sinusuri ng mga regulator ang kontrol, pamamahala, at mga tuntunin sa pagsunod. read more.
Pangunahing Takeaway
Ang mito: Ang pagtalaga ng compliance officer at isang MLRO ay tumutugon na sa mga obligasyon sa compliance ng MiCA.
Ang realidad: Nangangailangan ang MiCA ng isang gumaganang compliance organism, hindi isang listahan ng mga titulo ng trabaho.
Tatlong bagay ang tumutukoy kung pumapasa sa pamantayan ang isang management body:
Kolektibong saklaw ng kaalaman. Ang team, bilang isang yunit, ay dapat sumaklaw sa kadalubhasaan sa tradisyunal na pamilihang pinansyal, kahusayan sa DLT at cybersecurity, at kakayahan sa organizational governance. Ang mga puwang sa alinman sa isang larangan ay mga structural deficiency, hindi mga preference sa profile.
Nakadokumentong structural independence. Ang mga pangunahing internal control function (compliance, risk assessment, at internal audit) ay dapat may pinangalanang may-ari, direktang linya ng pag-uulat sa management body, at nabe-verify na independensiya mula sa business area na binabantayan nila. (Tandaan: Ang AML/CFT at business continuity ay parehong mandatory, ngunit itinuturing na magkakahiwalay na organizational pillar). Ang org chart na dinadaan ang compliance sa isang function na kumikita ng revenue ay hindi makakaligtas sa NCA scrutiny.
Tunay na institusyonal na substansiya. Ang mga time commitment ay dapat totoo at nakadokumento. Ang pisikal na presensiya sa EU ay dapat magpakita ng aktuwal na bigat sa pagdedesisyon, hindi lang rehistradong address. Ang business continuity policy ay dapat pag-aari sa antas ng management body. Ang data reporting ay dapat tumugon sa DTI at ISO 20022 na pamantayan mula sa unang araw.
Ang CASP license application ang output. Ang compliance architecture ang pundasyon. Itayo muna ang pundasyon.
Ang artikulong ito ay batay sa isang pag-aaral na isinagawa ng LegalBison noong Abril 2026. Ang nilalaman ay para sa layuning pang-impormasyon lamang at hindi bumubuo ng legal na payo.
