Doğru görev tanımlarının yer aldığı bir organizasyon şeması, lisans almanızı sağlamaz. Düzenleyici kurumun aradığı şey, bir uyum mimarisidir: belgelenmiş bağımsızlık, üç farklı bilgi alanında toplu uzmanlık ve gerçek kurumsal yapı. Bu standart, pratikte işte bu şekilde işler.
MiCA'yı Anlamak: Düzenleyici Kurum Neden Uyum Ekibinizi Tek Bir Beyin Olarak Görüyor?
YAZAN
PAYLAŞ
MiCA Decoded, Bitcoin.com News için hazırlanan, LegalBison'un kurucu ortakları ve genel müdürleri Aaron Glauberman, Viktor Juskin ve Sabir Alijev tarafından ortaklaşa yazılan 12 makalelik haftalık bir dizidir. LegalBison, kripto ve FinTech şirketlerine MiCA lisanslama, CASP ve VASP başvuruları ve Avrupa ve ötesindeki düzenleyici yapılandırma konularında danışmanlık vermektedir.
Efsane: Bir Uyum Görevlisini Dışarıdan Tedarik Etmek Yeterlidir
Kurucular kripto varlık hizmet sağlayıcıları (CASP) yetkilendirme planlamasına başladıklarında, konuşma neredeyse her zaman aynı noktaya gelir: "Peki, bir uyum görevlisi işe almamız gerekiyor mu?"
Bazen bu soruya bir devam sorusu gelir: "Peki ya Kara Para Aklama Raporlama Görevlisi (MLRO)? Hepsi bu kadar mı?"
Her ikisinin de cevabı evettir. Ancak bu iki atamayı bitiş çizgisi olarak görmek, MiCA'nın bir uyum fonksiyonundan gerçekte ne istediğine dair en yaygın ve sonuçları ağır olan yanlış yorumdur.
Düzenleyiciler, organizasyon şemasında doğru iş unvanlarının olup olmadığını kontrol etmiyorlar. Yönetim organının, bir bütün olarak, düzenlemeye tabi bir finansal kurumu yönetmek için gerekli bilgi mimarisine, yapısal bağımsızlığa ve belgelenmiş operasyonel derinliğe sahip olup olmadığını değerlendiriyorlar. MiCA lisansı bir kişiye verilmez. Bir kuruluşa verilir.
Bu ayrım, neden bu kadar çok erken aşama başvurunun durma noktasına geldiğinin veya Ulusal Yetkili Makam (NCA) tarafından yetkilendirme verilmeden önce önemli ölçüde yeniden düzenleme gerektirdiğinin temelinde yatmaktadır.
Yönetmelikte "Toplu Olarak" İfadesinin Gerçek Anlamı
MiCA'nın 68(1) maddesi bu noktada oldukça nettir. Yönetim organı üyeleri, "hem bireysel hem de toplu olarak" uygun bilgi, beceri ve deneyime sahip olmalıdır. "Toplu olarak" kelimesi, düzenleme açısından önemli bir işlev görmektedir.
MiCA kapsamındaki kuruluşların yönetim organı üyeleri ve hissedarlarının uygunluğuna ilişkin EBA ve ESMA'nın ortak kılavuzları, yönetim organının sahip olması gereken mesleki deneyim alanlarını listeleyerek bu standardın işleyişini açıkça ortaya koymaktadır. LegalBison'da Kıdemli Avukat olan Eira Järvi, aşağıdaki tabloda belirli gereklilikleri özetlemiştir.
| Gereklilik Kategorisi | Ayrıntılı Açıklama |
| Finansal Piyasalar Düzenlemesi | SIBA ve diğer ilgili yasalar kapsamındaki düzenleyici gereklilikler dahil olmak üzere, finansal araçlar ve DLT finansal araçlarına ilişkin bilgi |
| AML/CTF Uyumluluğu | Risk tanımlama, değerlendirme ve azaltma stratejileri dahil olmak üzere AML/CTF gereklilikleri hakkında bilgi |
| Sanal Varlıklar | Varlık referanslı ve e-para tokenleri dahil olmak üzere VA türleri ve her biriyle ilişkili riskler hakkında bilgi |
| Veri Koruma | Şirketin faaliyetleriyle ilgili veri koruma yükümlülüklerini anlama |
| Risk Yönetimi | Piyasa, kredi ve likidite riskleri dahil olmak üzere risk yönetimi ilkeleri ve prosedürlerinin anlaşılması |
| Yönetişim ve İç Kontroller | Yönetişim düzenlemelerinin, gözetim mekanizmalarının ve iç kontrollerin etkinliğini değerlendirme becerisi |
| Dijital Operasyonel Dayanıklılık | Operasyonel dayanıklılıkla ilgili gerekliliklere aşina olma |
| Stratejik ve Yönetimsel Bilgi | Stratejik planlama, iş geliştirme ve iş hedeflerinin uygulanması konusunda deneyim |
| Üçüncü Taraf Yönetimi | Dış kaynak kullanımı düzenlemeleri, üçüncü taraf sağlayıcı yönetimi ve ilgili yasal gerekliliklere ilişkin anlayış |
| İletişim ve Denetim | Etkili denetim sağlamak için görüşleri sunma, stratejileri tartışma ve uygun durumlarda yönetimin kararlarına itiraz etme becerisi |
| Muhasebe ve Denetim | Finansal bilgileri yorumlama, temel sorunları belirleme ve ilgili muhasebe ve denetim standartlarını anlama becerisi |
| Hukuk ve Mevzuat Bilgisi | VA'ların ihracı ve yönetimi dahil olmak üzere VASP'lere uygulanabilir yasal gerekliliklere aşina olma |
ESMA'nın kılavuzlarını incelediğinizde, yönetim organının birleşik profilinin, Eira tarafından ayrıntılı olarak belirtilenlerin tümünü içeren üç temel bilgi alanını açıkça kapsaması gerektiği ortaya çıkmaktadır:
- Geleneksel finansal piyasalar: Düzenleyici çerçeveler, yatırımcı koruma yükümlülükleri, piyasa davranış kuralları ve lisanslı finansal hizmet sağlayıcıları için geçerli olan operasyonel standartlar.
- Dijital Defter Teknolojisi (DLT) altyapısı ve siber güvenlik: Blok zinciri mimarisi, protokol düzeyinde risk, akıllı sözleşme maruziyeti, siber güvenlik tehdit modellemesi ve zincir üzerinde hizmet sunumundan kaynaklanan belirli operasyonel güvenlik açıkları.
- İş stratejisi ve kurumsal yönetişim: Risk yönetimi tasarımı, iç kontrol mimarisi, yönetişim politikası ve şirketin uyum etkinliğini değerlendirme ve periyodik olarak gözden geçirme yeteneği.
Düzenleyici kurum, tek bir kişinin bu üç alanı da kapsamasını beklemiyor. ESMA'nın firmalardan "toplu uygunluk" değerlendirmelerini sunmalarını talep etmesiyle resmileştirilen beklenti, ekibin bir bütün olarak bu alanların tümünü anlamlı bir boşluk bırakmadan kapsamasıdır.
Tamamen geleneksel finans geçmişinden gelen ve DLT altyapı riskini değerlendirebilecek kimseyi barındırmayan bir yönetim organı, başvuru sunulmadan önce yapısal olarak eksik sayılır.
Aynısı tersi için de geçerlidir: Düzenlenmiş finansal piyasaların işleyişini anlayan kimseyi barındırmayan, teknik açıdan derin bilgiye sahip kripto odaklı bir ekip de aynı incelemeye tabi tutulacaktır.
Kimsenin Bahsetmediği Zaman Ayırma Sorunu
Toplu uygunluk standardının, başvuru sahiplerini hazırlıksız yakalayan ikinci bir boyutu vardır.
Doğru kişiler sadece kağıt üzerinde değil, pratikte de mevcut olmalıdır. Yönetim organının her üyesi, şirkete ayıracağı minimum zaman taahhüdünü yazılı olarak belgelemelidir: özellikle, role ayrılan zamanın tahmini (hem yıllık hem de aylık göstergelerle birlikte), şu anda sahip olduğu diğer tüm icra ve icra dışı yönetim kurulu üyeliklerinin resmi beyanı.
ESMA'nın yetkilendirme konusundaki düzenleyici teknik standart taslağı (ilk danışma paketinden alınmıştır) bu konuda açıktır. Değerlendirme, her bir kişinin sadece isim olarak listelenmiş olup olmadığını değil, işlevsel olarak mevcut olup olmadığını da kapsar.
Dört başka yönetim kurulu üyeliği ve iki ek firmayla uyum danışmanlığı ilişkisi olan bir icracı olmayan üye, doğrudan incelemeye tabi tutulacaktır. NCA, yönetim organının sadece başvuruda doğru isimlerin yer alması değil, görevlerini fiilen yerine getirebileceğinden de emin olmalıdır.
Bu durum, yetkilendirme başvurusunu güçlendirmek için deneyimli uyum uzmanlarını yarı zamanlı veya danışmanlık kapasitesinde işe alan erken aşamadaki kripto şirketleri için en önemli konudur. Düzenleyici kurum, o kişinin ayda tam olarak kaç saat çalışacağını görecek ve bu rakamı, rolün kapsamı ve şirketin sunmayı planladığı hizmetlerle karşılaştıracaktır.
Sorumluluk ile zaman ayırma arasındaki uyumsuzluk, teknik bir ayrıntı değil, bir tehlike işaretidir.
İç Kontrol İşlevleri: Unvanlardan Çok Yapı
Yönetim organı düzeyinde toplu uygunluğu anlamak, resmin sadece bir parçasıdır. MiCA Madde 68(4), CASP'lerin "uyumluluğu sağlamak için yeterince etkili" politika ve prosedürler benimsemesini gerektirir. Madde 68(5), firmanın her kademesinde uygun bilgiye sahip personel bulunmasını gerektirir. Madde 68(6), yönetim organının bu düzenlemelerin etkinliğini periyodik olarak gözden geçirmesini ve tespit edilen eksiklikleri gidermesini gerektirir.
ESMA'nın RTS taslağı bunu daha da ileri götürmektedir. Taslak, firmaların belirli iç kontrol fonksiyonlarını belirlemelerini ve her biri için aşağıdakileri belgelemelerini gerektirmektedir:
- Raporlama hattının doğrudan yönetim organına bağlı olması.
- İşlevin, denetlediği iş alanından bağımsız olarak nasıl çalıştığı.
- İşlevin, önemli bir uyum riski tespit edildiğinde planlı olarak ve acil durumlarda (ad hoc) yönetim organına nasıl erişebileceği.
Bu iç kontrol çerçevesinin temelini oluşturan üç işlevsel alan şunlardır:
- Uyum fonksiyonu (yasal yükümlülükler, davranış politikaları, iç prosedürler).
- Risk değerlendirme fonksiyonu (risk tanımlama, değerlendirme metodolojisi, eskalasyon protokolleri).
- İç denetim fonksiyonu (bağımsız etkinlik incelemesi, periyodik değerlendirme).
Not: AML/CFT fonksiyonu ve İş Sürekliliği fonksiyonu da yetkilendirme başvurusunun zorunlu unsurlarıdır, ancak ESMA bunları bu temel iç kontrol çerçevesinin yanı sıra ayrı organizasyonel gereklilikler olarak ele almaktadır.
MiCA, Seviye 1 metninde her zaman bu kesin tanımlamaları kullanmamaktadır. ESMA RTS, bu temel iç kontrol alanlarının isimlendirilmiş sahipleri, belgelenmiş sorumluluk alanları ve doğrulanmış yapısal bağımsızlığa sahip olması gerektiğini açıkça belirtmektedir.
Bu son nokta, birçok başvuruda yapısal bir kusurun ortaya çıktığı yerdir.
Gelir ve iş geliştirmeyi de yöneten Operasyon Direktörüne bağlı bir uyum fonksiyonu, düzenleyici anlamda bağımsız değildir. İşlem masasına entegre edilmiş ve izlemesi gereken masayla aynı hiyerarşiye bağlı bir risk fonksiyonu da bu standardı karşılamamaktadır.
Düzenleyici kurum, organizasyon şemasını talep edecektir. Ardından, uyum başkanı pratikte kime rapor verdiğini, o kişinin diğer sorumluluklarının neler olduğunu ve ciddi bir uyum riski tespit edildiğinde hangi eskalasyon haklarına sahip olduğunu soracaktır.
Gerçek bir bağımsızlık yapısı etrafında bir CASP lisans başvurusu oluşturmak, mimarinin başvuru taslağı hazırlanmadan önce tasarlanmasını gerektirir; sonradan uyarlanması yeterli değildir.
Fiziksel Varlık: Aday Direktör Sorunu
Yetki başvurusu, AB içinde etkin yönetimin fiziksel yerini belgelemelidir. Bu, merkez ofis adresini, ilgili durumlarda şube konumlarını ve firmanın gerçek karar alma coğrafyasını ifade eder.
- Gerçek yetkiyi kullanan en az bir yönetici, Birlik içinde ikamet etmeli ve ana üye devletin NCA'sına erişilebilir olmalıdır.
- Aday yönetici düzenlemesiyle desteklenen bir AB yargı bölgesindeki kayıtlı adres, bu standardı karşılamaz.
- Maddi gereklilik, insan kaynaklı karar alma ağırlığının fiilen Birlik içinde olması gerektiği anlamına gelir.
Ulusal yetkili makamlar (NCA'lar), bunu RTS başvurusundaki konum alanları ve her yönetim organı üyesinin zaman ayırma beyanları aracılığıyla değerlendirir.
Her çeyrekte iki hafta boyunca AB'de fiziksel olarak bulunan bir yönetici, herhangi bir anlamlı düzenleyici anlamda yerleşik yönetici olarak nitelendirilemez.
Bu, AB dışındaki küresel merkezlerinden faaliyet gösteren ve Avrupa'da kripto lisansı almaya çalışan firmalar için özellikle önemli bir noktadır. AB merkezli kuruluş, başka bir yerden faaliyet gösteren bir grup yapısının idari cephesi olarak değil, gerçek bir karar alma birimi olarak işlev görmelidir.
İş Sürekliliği Uyum Ekibinin Sorumluluğundadır
İş sürekliliği genellikle bir BT sorumluluğu olarak ele alınır. MiCA ve Dijital Operasyonel Dayanıklılık Yasası (DORA) kapsamında, bu çerçeve herhangi bir yetkili CASP için yanlıştır.
İş Sürekliliği Politikası, yönetim organı tarafından sahiplenilmeli, onaylanmalı ve sürdürülmelidir. DORA (AB Yönetmeliği 2022/2554), bilgi ve iletişim teknolojisine özgü unsurları düzenler ve CASP'ler, finansal kuruluşlar olarak DORA'nın kapsamına girer. Bu iki çerçeve eşzamanlı olarak işler ve uyum fonksiyonu her ikisini de aynı anda yönetebilmelidir.
ESMA'nın ikinci MiCA danışma belgesi, izinsiz dağıtılmış defter teknolojisi (Ethereum gibi halka açık blok zincirleri) üzerinde faaliyet gösteren firmalar için belirli bir yükümlülük getirmiştir: herhangi bir DLT düzeyinde hizmet kesintisi sırasında müşterilerle proaktif ve yapılandırılmış iletişim.
Şirket, müşterilere fonlarının risk altında olup olmadığı konusunda bilgi vermeli ve hizmetin yeniden başlatılmasının nasıl yönetildiğine dair net bir tablo sunmalıdır. Şirket, altta yatan blok zincirinin izinsiz olup olmadığına bakılmaksızın, kendi akıllı sözleşmelerinden kaynaklanan her türlü kayıptan tam olarak sorumludur.
Bu, standart bir BT kesinti politikası değildir. Bu yükümlülüğü anlamlı bir şekilde yerine getirmek, yönetim organının DLT altyapı riskini genel teknik bilginin çok ötesinde bir düzeyde anlamasını gerektirir.
Blockchain riskini yalnızca genel terimlerle tanımlayabilen bir uyum ekibi, düzenleyici kurumların incelemesini karşılayan bir iş sürekliliği politikası hazırlayamaz, gözden geçiremez veya sürdüremez.
Uyum Yetkinliği Olarak Veri Standartları
Uyum fonksiyonunun sorumlulukları veri mimarisine kadar uzanır. İşlem platformlarını işleten CASP'ler, tüm kayıt tutma ve ulusal yetkili kurumlara (NCA) raporlama işlemleri için Dijital Token Tanımlayıcı (DTI) standardını kullanmalıdır. DTI, her bir kripto varlığı benzersiz bir şekilde tanımlar ve onu, ihraç edildiği, işlem gördüğü veya takas edildiği belirli DLT ile ilişkilendirir. Bu, düzenleyicilerin tutarlı ve karşılaştırılabilir verilerle sınır ötesi gözetim yapmasına olanak tanır.
ISO 20022 mesajlaşma standartları, yetkililere sunulan işlem verilerinin formatını düzenler. Piyasa suistimalini önlemek için, işlem öncesi ve sonrası şeffaflık verileri, ayrımcı olmayan, makine tarafından okunabilir kamuya açık kanallar aracılığıyla açıklanmalıdır. Bu gerekliliklerin her birinin, uyum ekibinin sahiplenmesi gereken ve körü körüne BT'ye devredilmemesi gereken teknik bir boyutu vardır.
Kayıt tutmayı genel bir sistem yönetimi görevi olarak ele alan ve RTS'nin gerektirdiği belirli veri standartlarına ilişkin uyum denetimini yapmayan bir firma, yetkilendirme sonrasında denetim sorunlarıyla karşı karşıya kalacaktır.
Standartlar, tam da ulusal yetkili kurumların (NCA'lar) tek bir analizde yüzlerce CASP'nin kayıtlarını karşılaştırabilmesi için mevcuttur. Verileri istenen formatta sunamayan bir firma, sürekli uyumu kanıtlayamayan bir firmadır.
"Tek beyin" standardının pratik anlamı budur. Uyum ekibi, düzenleyici farkındalığı, yönetişim yapısını, DLT operasyonel bilgisini ve teknik veri okuryazarlığını tek bir işlevsel yetkinlik olarak bütünleştirir. Bu unsurların hiçbiri tamamen başka bir işlev birimine devredilemez.
Uygulamayı Oluşturmadan Önce Ekibi Oluşturmak
Bir CASP MiCA lisansı için yapılan yetkilendirme başvurusu, halihazırda var olan bir kurumu belgelemektedir. Süreci verimli bir şekilde ilerleyen firmaları, tıkanan firmalardan ayıran zihinsel model budur.
Avrupa'da kripto borsası lisansı, dijital varlık saklama yetkilendirmesi veya başka herhangi bir CASP lisansı peşinde olan firmalar, ekip mimarisine başvurunun hazırlanması sırasında ortaya çıkan bir şey olarak değil, ilk teslim edilecek çıktı olarak yaklaşmalıdır.
İlk belge yazılmadan önce uyum fonksiyonu yapısal olarak bağımsız olmalıdır. NCA incelemesi başlamadan önce yönetim organının kolektif bilgi kapsamı değerlendirilmeli ve eksiklikler giderilmelidir. Zaman taahhüdü açıklamaları sunulmadan önce gerçekçi olmalıdır.
Aynı mantık küresel olarak da geçerlidir. AB dışındaki yargı bölgelerinde VASP lisansı için başvuran şirketler, giderek artan bir şekilde benzer standartlarla karşılaşmaktadır: Orta Doğu, Asya-Pasifik ve Amerika kıtalarındaki düzenleyiciler, uyum fonksiyonunun tasarımı konusunda benzer "içerik öncelikli" gereklilikler üzerinde uzlaşmaktadır.
Halen yürürlükte olan en ayrıntılı ve teknik açıdan en spesifik standart olan AB standardı, herhangi bir büyük yargı bölgesinde düzenlemeye tabi statüye ulaşmak için ekip kuran herkes için yararlı bir referans noktasıdır.
Önemli Nokta
Efsane: Bir uyum görevlisi ve bir MLRO atamak, MiCA'nın uyum yükümlülüklerini yerine getirir.
Gerçek: MiCA, bir görev unvanları listesi değil, işlevsel bir uyum yapısı gerektirir.
Bir yönetim organının standardı karşılayıp karşılamadığını belirleyen üç unsur vardır:
Toplu bilgi kapsamı. Ekip, bir bütün olarak ele alındığında, geleneksel finansal piyasalar uzmanlığı, DLT ve siber güvenlik yeterliliği ile kurumsal yönetişim yetkinliğini kapsamalıdır. Herhangi bir alanda bulunan boşluklar, profil tercihleri değil, yapısal eksikliklerdir.
Belgelenmiş yapısal bağımsızlık. Temel iç kontrol fonksiyonları (uyum, risk değerlendirmesi ve iç denetim) için atanmış bir sorumlu, yönetim organına doğrudan raporlama hattı ve denetledikleri iş alanından doğrulanmış bağımsızlık bulunmalıdır. (Not: AML/CFT ve iş sürekliliği de aynı derecede zorunludur, ancak ayrı organizasyonel sütunlar olarak ele alınır). Uyumu gelir getirici bir fonksiyon üzerinden yönlendiren bir organizasyon şeması, NCA'nın incelemesinden geçemez.
Gerçek kurumsal içerik. Zaman taahhütleri gerçek ve belgelenmiş olmalıdır. AB'deki fiziksel varlık, kayıtlı bir adres değil, gerçek karar alma ağırlığını yansıtmalıdır. İş sürekliliği politikası, yönetim organı düzeyinde sahiplenilmelidir. Veri raporlaması, ilk günden itibaren DTI ve ISO 20022 standartlarını karşılamalıdır.
CASP lisans başvurusu sonuçtur. Uyum mimarisi ise temeldir. Önce temeli oluşturun.
Bu makale, LegalBison tarafından Nisan 2026'da yapılan bir araştırmaya dayanmaktadır. İçerik yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz.
